防火墙配置策略.pptx

《防火墙配置策略.pptx》由会员分享，可在线阅读，更多相关《防火墙配置策略.pptx（18页珍藏版）》请在咨信网上搜索。

2024/4/14 周日13.1 对防火墙建立规则和约束通过设置规则来训练防火墙，规则可以通过一些特殊的标准告诉计算机哪些信息包可以进入，哪些不可以。3.1.1 规则的作用对防火墙所设立的数据包过滤的规则实现了安全策略所指定的安全方法。限制性的方法将在默认阻断所有访问的一组规则中得以实现，然后限制特定类型的通信量通过。2024/4/14 周日23.1.2 限制性的防火墙如果建立的防火墙的目的是防止未经授权的访问，那么重点应该发挥它的限制作用，而不是启用它的连通性。可以用以下方法实现公司防火墙策略的特殊部分：（1）讲清楚雇员不能使用的服务。（2）使用并且维护口令。（3）采用开放式的安全方法。2024/4/14 周日3（4）采用乐观的安全方法。（5）采用谨慎的安全方法。（6）采用严格的安全方法（7）采用偏执的安全方法。2024/4/14 周日4限制性防火墙方法限制性防火墙方法方方 法法作作 用用优优 点点缺缺 点点Deny-AllDeny-All除特别允许的数除特别允许的数据包外，阻断所据包外，阻断所有的数据包有的数据包更好的安全更好的安全性的规则要性的规则要求较少求较少可能导致用可能导致用户不满户不满In OrderIn Order按从上到下的顺按从上到下的顺序处理防火墙规序处理防火墙规则则较好的安全较好的安全性性不当的顺序不当的顺序可能导致混可能导致混乱乱Best FitBest Fit防火墙决定规则防火墙决定规则的处理顺序，一的处理顺序，一般从最特殊的规般从最特殊的规则到最普遍的规则到最普遍的规则则易于管理，易于管理，减少了操作减少了操作失误的风险失误的风险缺少控制缺少控制2024/4/14 周日53.1.3 3.1.3 侧重连通性的防火墙侧重连通性的防火墙如果防火墙的主要功能是准许通信（允许通过网关的如果防火墙的主要功能是准许通信（允许通过网关的连接）应该培养员工使用网络的责任感连接）应该培养员工使用网络的责任感方方 法法作作 用用优优 点点缺缺 点点Allow-AllAllow-All允许所有的包允许所有的包通过，但特别通过，但特别指定需阻断的指定需阻断的包除外包除外容易实现容易实现安全性小，安全性小，规则复杂规则复杂Port80/Port80/除除VideoVideo允许无限制允许无限制的上网浏览，的上网浏览，但视频文件但视频文件除外除外用户可以上用户可以上网浏览网浏览网络容易受网络容易受到来自到来自WebWeb中的攻击中的攻击2024/4/14 周日63.2 防火墙配置策略：总的观点没有两个绝对一样的防火墙。防火墙应当具有伸缩性，可以随着它所保护网络的发展而升级。3.2.1 可伸缩性3.2.2 生产效率防火墙的功能越强大，数据的传送速度可能越小。可供堡垒主机使用的处理资源和内存资源是防火墙的两个重要特征。2024/4/14 周日73.2.3 处理IP地址问题DMZ和服务网络都需要IP地址。尽量向ISP申请尽可能多的地址，否则就需要用到NAT，将内部网络改为私有地址IP转发功能使得网络的OSI接口堆栈之间可以传递信息包。大部分的操作系统都执行IP转发功能。2024/4/14 周日83.3 不同的防火墙配置策略3.3.1 屏蔽路由器在客户计算机和Internet之间放置一个路由器，使之执行包过滤功能，这是最简单的保护方法之一。屏蔽路由器对内部网络中的个人计算机执行数据包过滤的功能。路由器有两个接口：与外部网络连接的外部接口和被保护的内部网络相连的内部接口。每个接口都有它自己唯一的IP地址。2024/4/14 周日93.3.2 双宿主主机双宿主主机即带有两个网络接口的计算机（他有两个网卡）。缺点：主机充当公司的单一入口2024/4/14 周日103.3.3 屏蔽式主机屏蔽式主机有时也叫作双宿主网关或者堡垒主机。屏蔽式主机除了必要的安全服务和TCP、UDP端口禁用机制以外，堡垒主机的设置几乎包括所有必须的服务，所有相关的安全事件都已记入日志。与双宿主主机区别：前者主机专用于执行安全功能。在屏蔽式主机和Internet之间加入路由器进行IP数据包的过滤。2024/4/14 周日113.3.4 两个路由器共用一个防火墙将一个路由器配置在作为防火墙的屏蔽式主机的一侧，配置在网络外侧的路由器可以执行原始的静态包过滤功能。配置在内部的路由器可以跟踪处在被保护的局域网内部的计算机的通信。多配置一个路由器可以在局域网和外部网络之间增加了一层防护。2024/4/14 周日123.3.5 DMZ屏蔽子网DMZ网络处在内部网络的外部，但他连接到防火墙，提供公共服务器，通过添加提供公共服务的服务器并把它们组合到防火墙的子网中，就创建了屏蔽子网。有时又把DMZ屏蔽子网内部的防火墙叫做三叉式防火墙，防火墙分别和三个独立的网络（外网、DMZ屏蔽子网和受保护的局域网）连接，因此需要三个网卡。2024/4/14 周日13三叉式防火墙由于只使用一个防火墙，他的优缺点如下：（1）设置简单（2）规则复杂（3）开销较少（4）易受攻击（5）性能较低1）包含Web服务器和邮件服务器的服务网络2）具有DNS服务器的服务网络3）具有隧道服务器的服务网络2024/4/14 周日143.3.6 多重防火墙DMZ1.两个防火墙，一个DMZ；这种配置也叫三宿主防火墙，也指连接三个接口的单个防火墙。这三个接口是防火墙所保护的内部网络、服务网络和Internet。使用原因：（1）一个防火墙可以监控DMZ和Internet之间的通信，另外一个可以监控受保护的局域网和DMZ之间的通信。2024/4/14 周日15（2 2）第二个防火墙可以作为故障切换防火墙。）第二个防火墙可以作为故障切换防火墙。优点：可以控制三个网络内部通信的走向：位于优点：可以控制三个网络内部通信的走向：位于DMZDMZ外部的外部网络、处在外部的外部网络、处在DMZDMZ内部的外部网络内部的外部网络和位于和位于DMZDMZ之后的内部网络。之后的内部网络。2.2.双防火墙、双双防火墙、双DMZDMZ使用多重防火墙可能会使安全设置更加复杂，但他使用多重防火墙可能会使安全设置更加复杂，但他赢得了更高的灵活性。赢得了更高的灵活性。3.3.可以保护分支机构的多重防火墙可以保护分支机构的多重防火墙公司总部通过集中的防火墙和在其安全工作站所建公司总部通过集中的防火墙和在其安全工作站所建立的相关规则来开发和部署安全策略。每个子公立的相关规则来开发和部署安全策略。每个子公司的防火墙由总部建立和控制安全策略并被复制司的防火墙由总部建立和控制安全策略并被复制到子公司的其他防火墙上。到子公司的其他防火墙上。2024/4/14 周日164.通过防火墙分层实现负载分布使用多重防火墙的负载平衡网络中，典型网络组件如下：（1）入站和出站SMTP可以分配到两个服务器中（2）入站和出站HTTP可以分配到两个计算机中。（3）中央服务器可以用来记录所有系统日志（4）中央处理器也可以被指定用来支持入侵检测系统2024/4/14 周日173.3.7 反向防火墙不是阻断进入的信息，而是监视从网络出去的信息。可以阻止DDoS。3.3.8 专用防火墙专用于保护特殊类型的网络通信，如特别关注邮件或即时信息发送安全就用专业防火墙2024/4/14 周日183.4 为防火墙添加新功能的方法3.4.1 NAT 把公共IP地址转变为专用地址，可以对外部的计算机隐藏受保护网络上计算机的IP地址3.4.2 加密也可以在主机上使用加解密软件。3.4.3 应用程序代理网关的功能3.4.4 VPN3.4.5 入侵检测系统（IDS）