防火墙配置策略 共20页PPT资料

允许无限制 用户可以上 网络容易受
的上网浏览，网浏览
到来自Web
但视频文件
中的攻击
除外
03.09.2019
6
3.2 防火墙配置策略：总的观点
没有两个绝对一样的防火墙。防火墙应当具有 伸缩性，可以随着它所保护网络的发展而升 级。
3.2.1 可伸缩性
3.2.2 生产效率
防火墙的功能越强大，数据的传送速度可能越 小。可供堡垒主机使用的处理资源和内存资 源是防火墙的两个重要特征。
与双宿主主机区别：前者主机专用于执行安全 功能。在屏蔽式主机和Internet之间加入路由 器进行IP数据包的过滤。
03.09.2019
11
3.3.4 两个路由器共用一个防火墙
将一个路由器配置在作为防火墙的屏蔽式主机 的一侧，配置在网络外侧的路由器可以执行 原始的静态包过滤功能。配置在内部的路由 器可以跟踪处在被保护的局域网内部的计算 机的通信。
多配置一个路由器可以在局域网和外部网络之 间增加了一层防护。
03.09.2019
12
3.3.5 DMZ屏蔽子网
DMZ网络处在内部网络的外部，但他连接到防 火墙，提供公共服务器，通过添加提供公共 服务的服务器并把它们组合到防火墙的子网 中，就创建了屏蔽子网。
有时又把DMZ屏蔽子网内部的防火墙叫做三叉 式防火墙，防火墙分别和三个独立的网络 （外网、DMZ屏蔽子网和受保护的局域网） 连接，因此需要三个网卡。
03.09.2019
13
三叉式防火墙由于只使用一个防火墙，他的 优缺点如下：
（1）设置简单 （2）规则复杂 （3）开销较少 （4）易受攻击 （5）性能较低 1）包含Web服务器和邮件服务器的服务网络 2）具有DNS服务器的服务网络 3）具有隧道服务器的服务网络
03.09.2019
14
3.3.6 多重防火墙DMZ
性
可能导致混
乱
易于管理， 缺少控制 减少了操作 失误的风险
5
3.1.3 侧重连通性的防火墙
如果防火墙的主要功能是准许通信（允许通过网关的 连接）应该培养员工使用网络的责任感
方法 Allow-All
Port80/除 Video
作用
优点
缺点
允许所有的包 容易实现
通过，但特别
指定需阻断的
包除外
安全性小， 规则复杂
3.1.1 规则的作用
对防火墙所设立的数据包过滤的规则实现了安 全策略所指定的安全方法。限制性的方法将 在默认阻断所有访问的一组规则中得以实现， 然后限制特定类型的通信量通过。
03.09.2019
2
3.1.2 限制性的防火墙
如果建立的防火墙的目的是防止未经授权的访 问，那么重点应该发挥它的限制作用，而不 是启用它的连通性。
3.3.1 屏蔽路由器
在客户计算机和Internet之间放置一个路由器， 使之执行包过滤功能，这是最简单的保护 方法之一。屏蔽路由器对内部网络中的个 人计算机执行数据包过滤的功能。
路由器有两个接口：与外部网络连接的外部 接口和被保护的内部网络相连的内部接口。 每个接口都有它自己唯一的IP地址。
03.09.2019
（3）中央服务器可以用来记录所有系统日志
（4）中央处理器也可以被指定用来支持入侵 检测系统
（2）第二个防火墙可以作为故障切换防火墙。
优点：可以控制三个网络内部通信的走向：位于 DMZ外部的外部网络、处在DMZ内部的外部网络 和位于DMZ之后的内部网络。
2.双防火墙、双DMZ
使用多重防火墙可能会使安全设置更加复杂，但他 赢得了更高的灵活性。
3.可以保护分支机构的多重防火墙
公司总部通过集中的防火墙和在其安全工作站所建
方法
作用
优点
缺点
Deny-All In Order Best Fit
03.09.2019
除特别允许的数 据包外，阻断所 有的数据包
按从上到下的顺 序处理防火墙规 则
防火墙决定规则 的处理顺序，一 般从最特殊的规 则到最普遍的规 则
更好的安全 可能导致用 性的规则要 户不满 求较少
较好的安全 不当的顺序
可以用以下方法实现公司防火墙策略的特殊部 分：
（1）讲清楚雇员不能使用的服务。 （2）使用并且维护口令。 （3）采用开放式的安全方法。
03.09.2019
3
（4）采用乐观的安全方法。 （5）采用谨慎的安全方法。 （6）采用严格的安全方法 （7）采用偏执的安全方法。
03.09.2019
4
限制性防火墙方法
1.两个防火墙，一个DMZ；这种配置也叫三宿 主防火墙，也指连接三个接口的单个防火墙。 这三个接口是防火墙所保护的内部网络、服 务网络和Internet。
使用原因：
（1）一个防火墙可以监控DMZ和Internet之间 的通信，另外一个可以监控受保护的局域网 和DMZ之间的通信。
03.09.2019
15
立的相关规则来开发和部署安全策略。每个子公
司的防火墙由总部建立和控制安全策略并被复制
03.09.2019到子公司的其他防火墙上。
16
4.通过防火墙分层实现负载分布
使用多重防火墙的负载平衡网络中，典型网 络组件如下：
（1）入站和出站SMTP可以分配到两个服务 器中
（2）入站和出站HTTP可以分配到两个计算 机中。
9
3.3.2 双宿主主机
双宿主主机即带有两个网络接口的计算机（他 有两个网卡）。
缺点：主机充当公司的单一入口
Biblioteka Baidu
03.09.2019
10
3.3.3 屏蔽式主机
屏蔽式主机有时也叫作双宿主网关或者堡垒主 机。
屏蔽式主机除了必要的安全服务和TCP、UDP 端口禁用机制以外，堡垒主机的设置几乎包 括所有必须的服务，所有相关的安全事件都 已记入日志。
03.09.2019
7
3.2.3 处理IP地址问题
DMZ和服务网络都需要IP地址。尽量向ISP申请 尽可能多的地址，否则就需要用到NAT，将 内部网络改为私有地址
IP转发功能使得网络的OSI接口堆栈之间可以 传递信息包。大部分的操作系统都执行IP转 发功能。
03.09.2019
8
3.3 不同的防火墙配置策略
第3章 防火墙配置策略
学习目标： （1）建立反映公司全面安全方法的防火墙规则 （2）理解防火墙配置的目的 （3）标识和实现不同的防火墙配置策略 （4）采用几种方法为防火墙添加功能
03.09.2019
1
3.1 对防火墙建立规则和约束
通过设置规则来训练防火墙，规则可以通过一 些特殊的标准告诉计算机哪些信息包可以进 入，哪些不可以。