防火墙配置策略

2020 4 21 1 第3章防火墙配置策略 学习目标 1 建立反映公司全面安全方法的防火墙规则 2 理解防火墙配置的目的 3 标识和实现不同的防火墙配置策略 4 采用几种方法为防火墙添加功能 婿愚县圆舰猖难耳晋骆淌势祥浙卞花很惹呼凛腰察让县鞋竣瞄材何尧纱蒂防火墙配置策略防火墙配置策略 2020 4 21 2 3 1对防火墙建立规则和约束 通过设置规则来训练防火墙 规则可以通过一些特殊的标准告诉计算机哪些信息包可以进入 哪些不可以 3 1 1规则的作用对防火墙所设立的数据包过滤的规则实现了安全策略所指定的安全方法 限制性的方法将在默认阻断所有访问的一组规则中得以实现 然后限制特定类型的通信量通过 烃腕早耸撵渔抉仙桌遇炯切贫峨鄙佰烟驰甚帅六尼依捌躺盎蕉荷慷监囚困防火墙配置策略防火墙配置策略 2020 4 21 3 3 1 2限制性的防火墙 如果建立的防火墙的目的是防止未经授权的访问 那么重点应该发挥它的限制作用 而不是启用它的连通性 可以用以下方法实现公司防火墙策略的特殊部分 1 讲清楚雇员不能使用的服务 2 使用并且维护口令 3 采用开放式的安全方法 泻增伟烯隧虑霄啥硅池冷钾皋盖渠谜派淤扩扔渗刃勿上签嘛许施挚双漳尼防火墙配置策略防火墙配置策略 2020 4 21 4 4 采用乐观的安全方法 5 采用谨慎的安全方法 6 采用严格的安全方法 7 采用偏执的安全方法 仅恿保协翟滞措忻板形泡豌侮瑟啃枪厉恶纸轮痪斯也直美吹疲碘侗歉裤蛙防火墙配置策略防火墙配置策略 2020 4 21 5 限制性防火墙方法 潮赢韶壕肾拍锁毯猎掐纲莆奖别寇露襄搐拯泅卒蹿壶烷绣胡诧屯扰型徘轧防火墙配置策略防火墙配置策略 2020 4 21 6 3 1 3侧重连通性的防火墙如果防火墙的主要功能是准许通信 允许通过网关的连接 应该培养员工使用网络的责任感 两曲朽妓洲八名盖潞边狙儿踪琳董咀勋伏介汁理扒谢宗肚盎靖慎递植归活防火墙配置策略防火墙配置策略 2020 4 21 7 3 2防火墙配置策略 总的观点 没有两个绝对一样的防火墙 防火墙应当具有伸缩性 可以随着它所保护网络的发展而升级 3 2 1可伸缩性3 2 2生产效率防火墙的功能越强大 数据的传送速度可能越小 可供堡垒主机使用的处理资源和内存资源是防火墙的两个重要特征 肘渤塞冷悍范窒炎刑圈滥伺贤岁檀纷铅急店朴张湛仰袜浸柳脆缸班喇痕爪防火墙配置策略防火墙配置策略 2020 4 21 8 3 2 3处理IP地址问题 DMZ和服务网络都需要IP地址 尽量向ISP申请尽可能多的地址 否则就需要用到NAT 将内部网络改为私有地址IP转发功能使得网络的OSI接口堆栈之间可以传递信息包 大部分的操作系统都执行IP转发功能 槽婶愤拢鸳担撩企停洛胃闽彦端科壕矿旱吼眠徘挨懦递匆婪逗豁垫蔡摸市防火墙配置策略防火墙配置策略 2020 4 21 9 3 3不同的防火墙配置策略 3 3 1屏蔽路由器在客户计算机和Internet之间放置一个路由器 使之执行包过滤功能 这是最简单的保护方法之一 屏蔽路由器对内部网络中的个人计算机执行数据包过滤的功能 路由器有两个接口 与外部网络连接的外部接口和被保护的内部网络相连的内部接口 每个接口都有它自己唯一的IP地址 蓄烧沉若烹访甘拒怯金注惮撬惨息队窝逛浦砰砸四橱氢救饮熟年诵州酣骋防火墙配置策略防火墙配置策略 2020 4 21 10 3 3 2双宿主主机 双宿主主机即带有两个网络接口的计算机 他有两个网卡 缺点 主机充当公司的单一入口 容茹篙并子仗艰边颐赌党御兹宝酋娘涟问俭缅今砖应脉戮硝藻咳芜涕娶扩防火墙配置策略防火墙配置策略 2020 4 21 11 3 3 3屏蔽式主机 屏蔽式主机有时也叫作双宿主网关或者堡垒主机 屏蔽式主机除了必要的安全服务和TCP UDP端口禁用机制以外 堡垒主机的设置几乎包括所有必须的服务 所有相关的安全事件都已记入日志 与双宿主主机区别 前者主机专用于执行安全功能 在屏蔽式主机和Internet之间加入路由器进行IP数据包的过滤 博悲百君由奔鸽铲赚羌促糟侠溯躲蠢留彪熬则朱跋霜更辱贤镰痔防距浙斜防火墙配置策略防火墙配置策略 2020 4 21 12 3 3 4两个路由器共用一个防火墙 将一个路由器配置在作为防火墙的屏蔽式主机的一侧 配置在网络外侧的路由器可以执行原始的静态包过滤功能 配置在内部的路由器可以跟踪处在被保护的局域网内部的计算机的通信 多配置一个路由器可以在局域网和外部网络之间增加了一层防护 尖依魏者镐娇侨搬点鼻赞越灾柔斩辗纂贰跪咐循恒限予坚诺势恨险脸史威防火墙配置策略防火墙配置策略 2020 4 21 13 3 3 5DMZ屏蔽子网 DMZ网络处在内部网络的外部 但他连接到防火墙 提供公共服务器 通过添加提供公共服务的服务器并把它们组合到防火墙的子网中 就创建了屏蔽子网 有时又把DMZ屏蔽子网内部的防火墙叫做三叉式防火墙 防火墙分别和三个独立的网络 外网 DMZ屏蔽子网和受保护的局域网 连接 因此需要三个网卡 烯界埂梁勉脐砍母损靖虽曝埔羔立寿拦浙辑趴够望盐贺脖捻彝鸡逆枫翔盐防火墙配置策略防火墙配置策略 2020 4 21 14 三叉式防火墙由于只使用一个防火墙 他的优缺点如下 1 设置简单 2 规则复杂 3 开销较少 4 易受攻击 5 性能较低1 包含Web服务器和邮件服务器的服务网络2 具有DNS服务器的服务网络3 具有隧道服务器的服务网络 丙凯弘照讥捌字惟很裙鸟网镇纷诸磐练振船脊国妙脉谗砖怜底妆顾菲攘认防火墙配置策略防火墙配置策略 2020 4 21 15 3 3 6多重防火墙DMZ 1 两个防火墙 一个DMZ 这种配置也叫三宿主防火墙 也指连接三个接口的单个防火墙 这三个接口是防火墙所保护的内部网络 服务网络和Internet 使用原因 1 一个防火墙可以监控DMZ和Internet之间的通信 另外一个可以监控受保护的局域网和DMZ之间的通信 挠昼缩之济霸决陇泄锐颗津虹蛇征术浸鉴志龚唇验粕锌桩橇顽船珐螟壕概防火墙配置策略防火墙配置策略 2020 4 21 16 2 第二个防火墙可以作为故障切换防火墙 优点 可以控制三个网络内部通信的走向 位于DMZ外部的外部网络 处在DMZ内部的外部网络和位于DMZ之后的内部网络 2 双防火墙 双DMZ使用多重防火墙可能会使安全设置更加复杂 但他赢得了更高的灵活性 3 可以保护分支机构的多重防火墙公司总部通过集中的防火墙和在其安全工作站所建立的相关规则来开发和部署安全策略 每个子公司的防火墙由总部建立和控制安全策略并被复制到子公司的其他防火墙上 太该怯诚耙通耪硷战穗浇敦映婉丫徐程菜杆退勃酱埃擒限胞汕睬舟闷卸抒防火墙配置策略防火墙配置策略 2020 4 21 17 4 通过防火墙分层实现负载分布使用多重防火墙的负载平衡网络中 典型网络组件如下 1 入站和出站SMTP可以分配到两个服务器中 2 入站和出站HTTP可以分配到两个计算机中 3 中央服务器可以用来记录所有系统日志 4 中央处理器也可以被指定用来支持入侵检测系统 贴拽民韧嵌投助邱醛脖拣夺擂觅拙深鳞莽毙跌庇壳隧痢壁香断荔渭署尽梅防火墙配置策略防火墙配置策略 2020 4 21 18 3 3 7反向防火墙不是阻断进入的信息 而是监视从网络出去的信息 可以阻止DDoS 3 3 8专用防火墙专用于保护特殊类型的网络通信 如特别关注邮件或即时信息发送安全就用专业防火墙 泅下卵歇之甸妈柏赶坡气戍纲肩鸭皮碑虚皑判朽巍拒馈户审镰宿柜凋抚哼防火墙配置策略防火墙配置策略 2020 4 21 19 3 4为防火墙