防火墙策略
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 需要什么网络服务,如:,E—,等……; • 在那里使用这些(或部分)服务,如本地,穿越因特网,从家里
或远方的分支机构等……; • 是否应当支持拨号入网和加密等服务; • 提供这些服务的风险是什么,比如拨号:是本单位的电话交换机,
还是市话; • 若提供这种保护,可能导致网络上使用的不方便等负面影响,这
3
防火墙策略
• 网络服务访问策略 • 防火墙设计策略
4
网络服务访问策略
• 允许从网站访问因特网,而不允许从因特网访 问网站;
• 允许来自因特网的某种访问,但这种访问只限 于特定的系统,例如,信息服务器或电子邮件 服务器;
• 有时会允许来自因特网的某些用户访问某些内 部主机,但这种访问策略只有在必要的时候, 而且只有在进行高级授权的情况下才使用。
些影响会有多大,是否值得付出这种代价。 • 和可用性,灵活性相比单位上把安全性放在什么位置。两种那一
个更重要。
9
注意
• 许多防火墙策略的排列顺序决定了优先级,排在前面 的策略优先执行,根据这个原则,我们要好好设计一 下防火墙策略的顺序。
• 例如,我们写了两条防火墙策略,一条是允许内网用 户任意访问,另外一条是拒绝内网用户访问联众游戏 网站。如果排列顺序如下图所示,允许策略排在拒绝 策略之前,那就是个错误的决定。拒绝访问联众的策 略永远不会被执行,因为当用户访问联众时,访问请 求匹配第一条防火墙策略,用户就被防火墙放行了, 第二条策略根本没有执行的机会。正确的做法是将拒 绝策略放到允许策略之前!
16
包过滤策略
• 1.包过滤控制点的设置:模型的2-7层 • 2.包过滤操作过程 • a. 定义包过滤规则 • b. 将规则存储在设备端口 • c. 设备提取接收到的数据包的头部信息 • d.规则以特定的顺序存放 • 3.包过滤规则 • 规则的先后顺序对数据包的过滤起着重要的作用,一
般先放置在前面。
17
包过滤策略
• 如,要求在防火墙上阻止发给的数据包,按照 下面的规则顺序是不能实现的。
Source
Host A Host A
Destination Host C Host C
Permit Pass Block
Protocol
UDP UDP
18
包过滤策略
• 4.防止两类不安全设计 • 第一种,地址欺骗; • 第二种,在输入输出接口两个方向的过滤。
源接口 1 2
目的接口 服务 2 1
模式 允许 允许
5.特定协议数据包的过滤
19
审计策略
• 成功或者不成功的登录事件 • 成功或者不成功的对象访问 • 成功或者不成功的目录服务访问 • 成功或者不成功的特权使用 • 成功或者不成功的系统事件 • 成功或者不成功的账户管理事件
20
透明模式下,这里不 用配置地址
防火墙策略
1
内容与要求
• 理解网络服务访问策略 • 理解防火墙设计策略 • 了解防火墙的安全策略 • 掌握防火墙的不同工作模式
• 能力目标 • 学会设计防火墙策略并配置防火墙不同的工作
模式
2
时间控制策略
Internet
在防火墙上制定基于 时间的访问控制策略
C
D
上班时间不允许 访问
上班时间可以访 问公司的网络
10
防火墙的安全策略
• 用户账号策略 • 用户权限策略 • 信任关系策略 • 包过滤策略 • 认证策略 • 签名策略 • 数据加密策略 • 密钥分配策略 • 审计策略
11
用户账号策略
• 用户账号包含的重要信息:用户名、口 令、所属组、用户在系统中的权限和资 源存取许可。
• 口令是访问控制的简单而有效的方法。 • 口令选择原则:
5
网络服务访问策略
• 在最高层次,总的组织策略可以叙述为如下原则: • ·信息对于组织的良好运营是至关重要的 • ·为了保证组织信息的机密性、完整性、真实性、有效性和可用性,
要尽力采用低价高效的措施。 • ·对于公司中各个层次的雇员来讲,保护这些信息资源的机密性、
完整性和有效性都是需要优先考虑的,是工作责任。 • ·属于组织的所有信息处理设备只能用于得到批准的目的。
12
用户账号策略
• 口令最小长度 • 口令最长有效期 • 口令历史 • 口令存储方式 • 用户账号锁定方式 • 在若干次口令错误之后
13
用户权限策略
• 用户权限两类: • 对执行特定任务用户的授权可应用于整
个系统
• 对特定对象的规定,这些规定限制用户 能否或以何种方式存取对象
14
用户权限策略
• 备份文件权限
6
防火墙设计策略
• 两种基本设计策略: • 除非明确不准许,否则准许某种服务—
宽松策略 除非明确准许,否则将禁止某种服务— 限制策略 • 一道防火墙既可以实施允许式的设计策 略。也可以实施限制性的设计策略。
7
策略举例
8
需要考虑的问题
• 为了确定防火墙设计策略,进而构建实现策略的防火墙。应当首 先考虑以下几个问题:
203.12.34.56 203.12.34.57
199.168.1.8
提供简单的路由功能
Internet 22
如果防火墙支持透明模式,则 内部网络主机的配置不用调整
透明模式下,这里不 用配置地址
透明接入
199.168.1.2
199.168.1.3 199.168.1.4
199.168.1.5
Host A
Host B Host C
Host D
199.168.1.8
受保护网络
防火墙相当于网桥, 原网络结构没有改变
同一网段
199.168.1.8
Internet 21
路由接入
199.168.1.2
199.168.1.3 199.168.1.4
199.168.1.5
Host A
Host B Host C
Host D
Default Gateway=199.168.1.8
受保护网络 199.168.1.8
防火墙相当于一个 简单的路由器
• 远程/本地登录访问权限
• 远程/本地关机权限
• 更改系统时间权限
• 管理日志权限
• 删除百度文库还原文件权限
• 设置信任关系权限
• 卷管理权限
• 安装/卸载设备驱动程序权限
15
信任关系策略
• 信任关系是两个域中一个域信任另一个 域,包含:信任域和被信任域。
• 信任域可允许被信任域中的用户访问其 网络中的资源。
或远方的分支机构等……; • 是否应当支持拨号入网和加密等服务; • 提供这些服务的风险是什么,比如拨号:是本单位的电话交换机,
还是市话; • 若提供这种保护,可能导致网络上使用的不方便等负面影响,这
3
防火墙策略
• 网络服务访问策略 • 防火墙设计策略
4
网络服务访问策略
• 允许从网站访问因特网,而不允许从因特网访 问网站;
• 允许来自因特网的某种访问,但这种访问只限 于特定的系统,例如,信息服务器或电子邮件 服务器;
• 有时会允许来自因特网的某些用户访问某些内 部主机,但这种访问策略只有在必要的时候, 而且只有在进行高级授权的情况下才使用。
些影响会有多大,是否值得付出这种代价。 • 和可用性,灵活性相比单位上把安全性放在什么位置。两种那一
个更重要。
9
注意
• 许多防火墙策略的排列顺序决定了优先级,排在前面 的策略优先执行,根据这个原则,我们要好好设计一 下防火墙策略的顺序。
• 例如,我们写了两条防火墙策略,一条是允许内网用 户任意访问,另外一条是拒绝内网用户访问联众游戏 网站。如果排列顺序如下图所示,允许策略排在拒绝 策略之前,那就是个错误的决定。拒绝访问联众的策 略永远不会被执行,因为当用户访问联众时,访问请 求匹配第一条防火墙策略,用户就被防火墙放行了, 第二条策略根本没有执行的机会。正确的做法是将拒 绝策略放到允许策略之前!
16
包过滤策略
• 1.包过滤控制点的设置:模型的2-7层 • 2.包过滤操作过程 • a. 定义包过滤规则 • b. 将规则存储在设备端口 • c. 设备提取接收到的数据包的头部信息 • d.规则以特定的顺序存放 • 3.包过滤规则 • 规则的先后顺序对数据包的过滤起着重要的作用,一
般先放置在前面。
17
包过滤策略
• 如,要求在防火墙上阻止发给的数据包,按照 下面的规则顺序是不能实现的。
Source
Host A Host A
Destination Host C Host C
Permit Pass Block
Protocol
UDP UDP
18
包过滤策略
• 4.防止两类不安全设计 • 第一种,地址欺骗; • 第二种,在输入输出接口两个方向的过滤。
源接口 1 2
目的接口 服务 2 1
模式 允许 允许
5.特定协议数据包的过滤
19
审计策略
• 成功或者不成功的登录事件 • 成功或者不成功的对象访问 • 成功或者不成功的目录服务访问 • 成功或者不成功的特权使用 • 成功或者不成功的系统事件 • 成功或者不成功的账户管理事件
20
透明模式下,这里不 用配置地址
防火墙策略
1
内容与要求
• 理解网络服务访问策略 • 理解防火墙设计策略 • 了解防火墙的安全策略 • 掌握防火墙的不同工作模式
• 能力目标 • 学会设计防火墙策略并配置防火墙不同的工作
模式
2
时间控制策略
Internet
在防火墙上制定基于 时间的访问控制策略
C
D
上班时间不允许 访问
上班时间可以访 问公司的网络
10
防火墙的安全策略
• 用户账号策略 • 用户权限策略 • 信任关系策略 • 包过滤策略 • 认证策略 • 签名策略 • 数据加密策略 • 密钥分配策略 • 审计策略
11
用户账号策略
• 用户账号包含的重要信息:用户名、口 令、所属组、用户在系统中的权限和资 源存取许可。
• 口令是访问控制的简单而有效的方法。 • 口令选择原则:
5
网络服务访问策略
• 在最高层次,总的组织策略可以叙述为如下原则: • ·信息对于组织的良好运营是至关重要的 • ·为了保证组织信息的机密性、完整性、真实性、有效性和可用性,
要尽力采用低价高效的措施。 • ·对于公司中各个层次的雇员来讲,保护这些信息资源的机密性、
完整性和有效性都是需要优先考虑的,是工作责任。 • ·属于组织的所有信息处理设备只能用于得到批准的目的。
12
用户账号策略
• 口令最小长度 • 口令最长有效期 • 口令历史 • 口令存储方式 • 用户账号锁定方式 • 在若干次口令错误之后
13
用户权限策略
• 用户权限两类: • 对执行特定任务用户的授权可应用于整
个系统
• 对特定对象的规定,这些规定限制用户 能否或以何种方式存取对象
14
用户权限策略
• 备份文件权限
6
防火墙设计策略
• 两种基本设计策略: • 除非明确不准许,否则准许某种服务—
宽松策略 除非明确准许,否则将禁止某种服务— 限制策略 • 一道防火墙既可以实施允许式的设计策 略。也可以实施限制性的设计策略。
7
策略举例
8
需要考虑的问题
• 为了确定防火墙设计策略,进而构建实现策略的防火墙。应当首 先考虑以下几个问题:
203.12.34.56 203.12.34.57
199.168.1.8
提供简单的路由功能
Internet 22
如果防火墙支持透明模式,则 内部网络主机的配置不用调整
透明模式下,这里不 用配置地址
透明接入
199.168.1.2
199.168.1.3 199.168.1.4
199.168.1.5
Host A
Host B Host C
Host D
199.168.1.8
受保护网络
防火墙相当于网桥, 原网络结构没有改变
同一网段
199.168.1.8
Internet 21
路由接入
199.168.1.2
199.168.1.3 199.168.1.4
199.168.1.5
Host A
Host B Host C
Host D
Default Gateway=199.168.1.8
受保护网络 199.168.1.8
防火墙相当于一个 简单的路由器
• 远程/本地登录访问权限
• 远程/本地关机权限
• 更改系统时间权限
• 管理日志权限
• 删除百度文库还原文件权限
• 设置信任关系权限
• 卷管理权限
• 安装/卸载设备驱动程序权限
15
信任关系策略
• 信任关系是两个域中一个域信任另一个 域,包含:信任域和被信任域。
• 信任域可允许被信任域中的用户访问其 网络中的资源。