防火墙配置策略
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.两个防火墙,一个DMZ;这种配置也叫三宿 主防火墙,也指连接三个接口的单个防火墙。 这三个接口是防火墙所保护的内部网络、服 务网络和Internet。 使用原因: (1)一个防火墙可以监控DMZ和Internet之间 的通信,另外一个可以监控受保护的局域网 和DMZ之间的通信。
2013-3-15 15
2013-3-15 2
3.1.2 限制性的防火墙
如果建立的防火墙的目的是防止未经授权的访 问,那么重点应该发挥它的限制作用,而不 是启用它的连通性。 可以用以下方法实现公司防火墙策略的特殊部 分: (1)讲清楚雇员不能使用的服务。 (2)使用并且维护口令。 (3)采用开放式的安全方法。
2013-3-15 3
2013-3-15 11
3.3.4 两个路由器共用一个防火墙
将一个路由器配置在作为防火墙的屏蔽式主机 的一侧,配置在网络外侧的路由器可以执行 原始的静态包过滤功能。配置在内部的路由 器可以跟踪处在被保护的局域网内部的计算 机的通信。 多配置一个路由器可以在局域网和外部网络之 间增加了一层防护。
2013-3-15
第3章 防火墙配置策略
学习目标: (1)建立反映公司全面安全方法的防火墙规则 (2)理解防火墙配置的目的 (3)标识和实现不同的防火墙配置策略 (4)采用几种方法为防火墙添加功能
2013-3-15
1
3.1 对防火墙建立规则和约束
通过设置规则来训练防火墙,规则可以通过一 些特殊的标准告诉计算机哪些信息包可以进 入,哪些不可以。 3.1.1 规则的作用 对防火墙所设立的数据包过滤的规则实现了安 全策略所指定的安全方法。限制性的方法将 在默认阻断所有访问的一组规则中得以实现, 然后限制特定类型的通信量通过。
(2)第二个防火墙可以作为故障切换防火墙。 优点:可以控制三个网络内部通信的走向:位于 DMZ外部的外部网络、处在DMZ内部的外部网络 和位于DMZ之后的内部网络。
2.双防火墙、双DMZ 使用多重防火墙可能会使安全设置更加复杂,但他 赢得了更高的灵活性。 3.可以保护分支机构的多重防火墙 公司总部通过集中的防火墙和在其安全工作站所建 立的相关规则来开发和部署安全策略。每个子公 司的防火墙由总部建立和控制安全策略并被复制 到子公司的其他防火墙上。
12
3.3.5 DMZ屏蔽子网
DMZ网络处在内部网络的外部,但他连接到防 火墙,提供公共服务器,通过添加提供公共 服务的服务器并把它们组合到防火墙的子网 中,就创建了屏蔽子网。 有时又把DMZ屏蔽子网内部的防火墙叫做三叉 式防火墙,防火墙分别和三个独立的网络 (外网、DMZ屏蔽子网和受保护的局域网) 连接,因此需要三个网卡。
2013-3-15 19
可能导致用 户不满
不当的顺序 可能导致混 则 乱 防火墙决定规则 易于管理, 缺少控制 的处理顺序,一 减少了操作 般从最特殊的规 失误的风险
则到最普遍的规 则
5
2013-3-15
3.1.3 侧重连通性的防火墙 如果防火墙的主要功能是准许通信(允许通过网关的 连接)应该培养员工使用网络的责任感
方 法 Allow-All 优 点 允许所有的包 容易实现
2013-3-15 17
3.3.7 反向防火墙 不是阻断进入的信息,而是监视从网络出去 的信息。可以阻止DDoS。 3.3.8 专用防火墙 专用于保护特殊类型的网络通信,如特别关 注邮件或即时信息发送安全就用专业防火 墙
2013-3-15
18
3.4 为防火墙添加新功能的方法 3.4.1 NAT 把公共IP地址转变为专用地址,可以对外部 的计算机隐藏受保护网络上计算机的IP地址 3.4.2 加密 也可以在主机上使用加解密软件。 3.4.3 应用程序代理 网关的功能 3.4.4 VPN 3.4.5 入侵检测系统(IDS)
通过,但特别 指定需阻断的 包除外
作 用
缺 点 安全性小, 规则复杂
Port80/除 Video
允许无限制 用户可以上 网络容易受 到来自Web 的上网浏览,网浏览 中的攻击 但视频文件 除外
2013-3-15
6
3.2 防火墙配置策略:总的观点
没有两个绝对一样的防火墙。防火墙应当具有 伸缩性,可以随着它所保护网络的发展而升 级。 3.2.1 可伸缩性 3.2.2 生产效率 防火墙的功能越强大,数据的传送速度可能越 小。可供堡垒主机使用的处理资源和内存资 源是防火墙的两个重要特征。
2013-3-15
16
4.通过防火墙分层实现负载分布 使用多重防火墙的负载平衡网络中,典型网 络组件如下: (1)入站和出站SMTP可以分配到两个服务 器中 (2)入站和出站HTTP可以分配到两个计算 机中。 (3)中央服务器可以用来记录所有系统日志 (4)中央处理器也可以被指定用来支持入侵 检测系统
3.3.2 双宿主主机
双宿主主机即带有两个网络接口的计算机(他 有两个网卡)。 缺点:主机充当公司的单一入口
2013-3-15
10
3.3.3 屏蔽式主机
屏蔽式主机有时也叫作双宿主网关或者堡垒主 机。 屏蔽式主机除了必要的安全服务和TCP、UDP 端口禁用机制以外,堡垒主机的设置几乎包 括所有必须的服务,所有相关的安全事件都 已记入日志。 与双宿主主机区别:前者主机专用于执行安全 功能。在屏蔽式主机和Internet之间加入路由 器进行IP数据包的过滤。
2013-3-15 7
3.2.3 处理IP地址问题
DMZ和服务网络都需要IP地址。尽量向ISP申请 尽可能多的地址,否则就需要用到NAT,将 内部网络改为私有地址 IP转发功能使得网络的OSI接口堆栈之间可以 传递信息包。大部分的操作系统都执行IP转 发功能。
2013-3-15
8
3.3 不同的防火墙配置策略
2013-3-15 13
三叉式防火墙由于只使用一个防火墙,他的 优缺点如下: (1)设置简单 (2)规则复杂 (3)开销较少 (4)易受攻击 (5)性能较低 1)包含Webwk.baidu.com务器和邮件服务器的服务网络 2)具有DNS服务器的服务网络 3)具有隧道服务器的服务网络
2013-3-15 14
3.3.6 多重防火墙DMZ
(4)采用乐观的安全方法。 (5)采用谨慎的安全方法。 (6)采用严格的安全方法 (7)采用偏执的安全方法。
2013-3-15
4
限制性防火墙方法
方 法 作 用 优 点 缺 点
Deny-All 除特别允许的数 更好的安全 据包外,阻断所 性的规则要 有的数据包 求较少 In Order 按从上到下的顺 较好的安全 序处理防火墙规 性 Best Fit
3.3.1 屏蔽路由器 在客户计算机和Internet之间放置一个路由器, 使之执行包过滤功能,这是最简单的保护 方法之一。屏蔽路由器对内部网络中的个 人计算机执行数据包过滤的功能。 路由器有两个接口:与外部网络连接的外部 接口和被保护的内部网络相连的内部接口。 每个接口都有它自己唯一的IP地址。
2013-3-15 9
2013-3-15 15
2013-3-15 2
3.1.2 限制性的防火墙
如果建立的防火墙的目的是防止未经授权的访 问,那么重点应该发挥它的限制作用,而不 是启用它的连通性。 可以用以下方法实现公司防火墙策略的特殊部 分: (1)讲清楚雇员不能使用的服务。 (2)使用并且维护口令。 (3)采用开放式的安全方法。
2013-3-15 3
2013-3-15 11
3.3.4 两个路由器共用一个防火墙
将一个路由器配置在作为防火墙的屏蔽式主机 的一侧,配置在网络外侧的路由器可以执行 原始的静态包过滤功能。配置在内部的路由 器可以跟踪处在被保护的局域网内部的计算 机的通信。 多配置一个路由器可以在局域网和外部网络之 间增加了一层防护。
2013-3-15
第3章 防火墙配置策略
学习目标: (1)建立反映公司全面安全方法的防火墙规则 (2)理解防火墙配置的目的 (3)标识和实现不同的防火墙配置策略 (4)采用几种方法为防火墙添加功能
2013-3-15
1
3.1 对防火墙建立规则和约束
通过设置规则来训练防火墙,规则可以通过一 些特殊的标准告诉计算机哪些信息包可以进 入,哪些不可以。 3.1.1 规则的作用 对防火墙所设立的数据包过滤的规则实现了安 全策略所指定的安全方法。限制性的方法将 在默认阻断所有访问的一组规则中得以实现, 然后限制特定类型的通信量通过。
(2)第二个防火墙可以作为故障切换防火墙。 优点:可以控制三个网络内部通信的走向:位于 DMZ外部的外部网络、处在DMZ内部的外部网络 和位于DMZ之后的内部网络。
2.双防火墙、双DMZ 使用多重防火墙可能会使安全设置更加复杂,但他 赢得了更高的灵活性。 3.可以保护分支机构的多重防火墙 公司总部通过集中的防火墙和在其安全工作站所建 立的相关规则来开发和部署安全策略。每个子公 司的防火墙由总部建立和控制安全策略并被复制 到子公司的其他防火墙上。
12
3.3.5 DMZ屏蔽子网
DMZ网络处在内部网络的外部,但他连接到防 火墙,提供公共服务器,通过添加提供公共 服务的服务器并把它们组合到防火墙的子网 中,就创建了屏蔽子网。 有时又把DMZ屏蔽子网内部的防火墙叫做三叉 式防火墙,防火墙分别和三个独立的网络 (外网、DMZ屏蔽子网和受保护的局域网) 连接,因此需要三个网卡。
2013-3-15 19
可能导致用 户不满
不当的顺序 可能导致混 则 乱 防火墙决定规则 易于管理, 缺少控制 的处理顺序,一 减少了操作 般从最特殊的规 失误的风险
则到最普遍的规 则
5
2013-3-15
3.1.3 侧重连通性的防火墙 如果防火墙的主要功能是准许通信(允许通过网关的 连接)应该培养员工使用网络的责任感
方 法 Allow-All 优 点 允许所有的包 容易实现
2013-3-15 17
3.3.7 反向防火墙 不是阻断进入的信息,而是监视从网络出去 的信息。可以阻止DDoS。 3.3.8 专用防火墙 专用于保护特殊类型的网络通信,如特别关 注邮件或即时信息发送安全就用专业防火 墙
2013-3-15
18
3.4 为防火墙添加新功能的方法 3.4.1 NAT 把公共IP地址转变为专用地址,可以对外部 的计算机隐藏受保护网络上计算机的IP地址 3.4.2 加密 也可以在主机上使用加解密软件。 3.4.3 应用程序代理 网关的功能 3.4.4 VPN 3.4.5 入侵检测系统(IDS)
通过,但特别 指定需阻断的 包除外
作 用
缺 点 安全性小, 规则复杂
Port80/除 Video
允许无限制 用户可以上 网络容易受 到来自Web 的上网浏览,网浏览 中的攻击 但视频文件 除外
2013-3-15
6
3.2 防火墙配置策略:总的观点
没有两个绝对一样的防火墙。防火墙应当具有 伸缩性,可以随着它所保护网络的发展而升 级。 3.2.1 可伸缩性 3.2.2 生产效率 防火墙的功能越强大,数据的传送速度可能越 小。可供堡垒主机使用的处理资源和内存资 源是防火墙的两个重要特征。
2013-3-15
16
4.通过防火墙分层实现负载分布 使用多重防火墙的负载平衡网络中,典型网 络组件如下: (1)入站和出站SMTP可以分配到两个服务 器中 (2)入站和出站HTTP可以分配到两个计算 机中。 (3)中央服务器可以用来记录所有系统日志 (4)中央处理器也可以被指定用来支持入侵 检测系统
3.3.2 双宿主主机
双宿主主机即带有两个网络接口的计算机(他 有两个网卡)。 缺点:主机充当公司的单一入口
2013-3-15
10
3.3.3 屏蔽式主机
屏蔽式主机有时也叫作双宿主网关或者堡垒主 机。 屏蔽式主机除了必要的安全服务和TCP、UDP 端口禁用机制以外,堡垒主机的设置几乎包 括所有必须的服务,所有相关的安全事件都 已记入日志。 与双宿主主机区别:前者主机专用于执行安全 功能。在屏蔽式主机和Internet之间加入路由 器进行IP数据包的过滤。
2013-3-15 7
3.2.3 处理IP地址问题
DMZ和服务网络都需要IP地址。尽量向ISP申请 尽可能多的地址,否则就需要用到NAT,将 内部网络改为私有地址 IP转发功能使得网络的OSI接口堆栈之间可以 传递信息包。大部分的操作系统都执行IP转 发功能。
2013-3-15
8
3.3 不同的防火墙配置策略
2013-3-15 13
三叉式防火墙由于只使用一个防火墙,他的 优缺点如下: (1)设置简单 (2)规则复杂 (3)开销较少 (4)易受攻击 (5)性能较低 1)包含Webwk.baidu.com务器和邮件服务器的服务网络 2)具有DNS服务器的服务网络 3)具有隧道服务器的服务网络
2013-3-15 14
3.3.6 多重防火墙DMZ
(4)采用乐观的安全方法。 (5)采用谨慎的安全方法。 (6)采用严格的安全方法 (7)采用偏执的安全方法。
2013-3-15
4
限制性防火墙方法
方 法 作 用 优 点 缺 点
Deny-All 除特别允许的数 更好的安全 据包外,阻断所 性的规则要 有的数据包 求较少 In Order 按从上到下的顺 较好的安全 序处理防火墙规 性 Best Fit
3.3.1 屏蔽路由器 在客户计算机和Internet之间放置一个路由器, 使之执行包过滤功能,这是最简单的保护 方法之一。屏蔽路由器对内部网络中的个 人计算机执行数据包过滤的功能。 路由器有两个接口:与外部网络连接的外部 接口和被保护的内部网络相连的内部接口。 每个接口都有它自己唯一的IP地址。
2013-3-15 9