防火墙体系结构.
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
23:telnet 25:SMTP
2018/9/24
80: web >1023: 非系统进程
地址过滤配置实例
2018/9/24
解
某一个具有B类网络123.45的公司的网络管理员希望阻止来自因特 网上的访问(123.45/16)。该网络中有一个特殊子网(123.45.6.0/24) 是一个与某大学合作的,该大学的网址是135.79。他希望这个特 殊的子网能够被该大学的所有子网访问。此外还希望阻止公司 的网络被大学中某一个特殊子网(135.79.99.0/24)访问。试设计制 订过滤规则。
2018/9/24
审计策略
成功或者不成功的登录事件 成功或者不成功的对象访问 成功或者不成功的目录服务访问 成功或者不成功的特权使用 成功或者不成功的系统事件 成功或者不成功的账户管理事件
2018/9/24
4.2.3 防火墙技术
分组过滤技术 依据
– IP分组的源地址和目的地址 – 源端口号和目的端口号 – 传送协议
2018/9/24
网络防火墙体系结构
双重宿主机体系结构
– 基于堡垒主机
屏蔽主机体系结构
– 基于堡垒主机和屏蔽路由器
被屏蔽子网体系结构
– 双重屏蔽路由器
2018/9/24
双重宿主主机(dual-homed host)
连接因特网和局域网
过滤和代理
服务器 服务器 双重宿主 计算机 因特网
制订过滤规则如下
规则 A B C 源地址 135.79.99.0/24 135.79.0.0/16 0.0.0.0/0 目标地址 123.45.6.0/24 123.45.6.0/24 0.0.0.0/0 动作 拒绝 允许 拒绝
2018/9/24
例4-2
处于一个C类网络116.111.4.0的防火墙,第一,希望 阻止网络中的用户访问主机202.108.5.6;假设需要阻 止这个主机的Telnet服务,对于Internet的其他站点, 允许网络内部用户通过Telnet方式访问,但不允许网 络外部其他站点以Telnet方式访问网络。第二,为了 收发电子邮件,允许SMTP出站入站服务,邮件服务 器的IP地址为116.111.4.1。第三,对于WWW服务, 允许内部网用户访问Internet上任何网络和站点,但只 允许一个公司的网络98.120.7.0访问内部WWW服务器, 内部WWW服务器的IP地址是116.111.4.5。试根据以 上要求设计过滤规则。
工作站
工作站
工作站
2018/9/24
屏蔽主机(Screened Host)
用包过滤和应用代理的双重安全保护 包过滤器连接因特网 代理服务器为局域网上的客户机提供服务
服务器
服务器
包过滤器 因特网
工作站
工作站
应用代理网关
2018/9/24
屏蔽子网(Screened Subnet)
添加额外的安全层进一步地把内部网络 与Internet隔离开
2018/9/24
解
规则 A B C D E F G H I J K L M 方向 出 入 出 入 出 入 入 出 出 入 入 出 双向 协议 TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP TCP 任意 源地址 116.111.4.0 202.108.5.6 116.111.4.0 任意 116.111.4.1 任意 任意 116.111.4.1 116.111.4.0 任意 98.120.7.0 116.111.4.5 任意 目的地址 202.108.5.6 116.111.4.0 任意 116.111.4.0 任意 116.111.4.1 116.111.4.1 任意 任意 116.111.4.0 116.111.4.5 98.120.7.0 任意 源端口 >1023 23 >1023 23 >1023 25 >1023 25 >1023 80 >1023 80 任意 目的端口 23 >1023 23 >1023 25 >1023 25 >1023 80 >1023 80 >1023 任意 动作 拒绝 拒绝 允许 允许 允许 允许 允许 允许 允许 允许 允许 允许 拒绝
优点
– 可以实现粗颗粒的网络安全策略 – 容易实现 – 配置成本低 – 速度快
局限性 –配置分组过滤规则比较困难
– 不能识别分组中的用户信息 – 不能抵御IP地址欺骗
2018/9/24
例4-1
某一个具有B类网络123.45的公司的网络管理 员希望阻止来自因特网上的访问(123.45/16)。 该网络中有一个特殊子网(123.45.6.0/24)是一 个与某大学合作的,该大学的网址是135.79。 他希望这个特殊的子网能够被该大学的所有 子网访问。此外还希望阻止公司的网络被大 学中某一个特殊子网(135.79.99.0/24)访问。试 设计制订过滤规则。
服务器
服务器
包过滤器
包过滤器 因特网
工作站
工作站
工作站
Baidu Nhomakorabea
应用代理 服务器
DMZ
2018/9/24
4.2.2 防火墙的安全策略
安全策略的两个层次
– – 网络服务访问策略 防火墙设计策略
设计策略
1. 2. 3. 4. 5. 6. 7.
2018/9/24
用户账号策略 用户权限策略 信任关系策略 分组过滤策略 认证、签名和数据加密策略 密钥管理策略 审计策略
4.2.1 防火墙体系结构
基于网络防火墙的部件类型
屏蔽路由器(Screening router)
实施分组过滤 能够阻断网络与某一台主机的IP层的通信
堡垒主机(Bastion host)
一个网络系统中安全性最强的计算机系统 安全性受到最严密的监视 没有保护的信息 不能作为跳板 实施分组代理
用户账号策略
口令最小长度 口令最长有效期 口令历史 口令存储方式 用户账号锁定方式
– 在若干次口令错误之后
2018/9/24
用户权限策略
备份文件权限 远程/本地登录访问权限 远程/本地关机权限 更改系统时间权限 管理日志权限 删除/还原文件权限 设置信任关系权限 卷管理权限 安装/卸载设备驱动程序权限