《企业级防火墙的设计与实现课件》由会员分享,可在线阅读,更多相关《企业级防火墙的设计与实现课件(8页珍藏版)》请在金锄头文库上搜索。
1、企业级防火墙的设计与实现,企业级防火墙的设计与实现,企业级防火墙技术现状,以华为SecPath 系列防火墙为例: 自适应代理技术是在商业应用防火墙中实现的一种创 新性的技术。组成这类防火墙的基本要素有两个:自适 应代理服务器与动态包过滤器。 优势:功能完善、管理方便,现在企业级防火墙产品的劣势,价格昂贵,一般中小企业部门,难以承担。 例子:H3C SecPath F1000-E 价格 ¥20万 造成的现状: 很多企业缺少网络防护工具-防火墙,信息安全存在严重隐患,Linux防火墙,netfilter/iptables是Linux系统提供的一个非常优秀的防火墙工具,它完全免费、功能强大、使用灵活
2、、占用系统资源少,可以对经过的数据进行非常细致的控制。还可以进行网络地址转换(NAT)、数据包(package)记录、流量统计等。 iptables提供了强大的规则适配,被良好的应用于企业环境 它可以代替昂贵的商业防火墙解决方案,Linux防火墙存在缺陷,A.手工配置复杂、维护困难 若对高级的配置(如进行数据流路由、地址伪装或地址转换,或者使拥有很多接口,并且每个接口都需要复杂规则的服务器),就必须手工编写IPTable规则 例: 禁止客户机访问不健康网站playboy: iptables -I FORWARD -d -j DROP B.现有的Linux防火墙工具(firewall build
3、er、starfilter等、)难以应对复杂的企业应用环境,没有充分利用netfilter的强大规则库。,我所要做的,1编制iptables规则 2采用web方式对规则管理,从而达到对防火墙的管理 3对防火墙的日志进行管理,可行性分析,1 iptables配置完毕,规则修改实验证明没有问题 2 采用LAMP(Linux、apache、Mysql、PHP)实现web管理,用php调用iptables相应的规分离再读有过linux取则命令,完成对规则的修改,同时将修改的规则写入Mysql数据库中。已经有过linux部署、开发经历,这个也应该没有问题 3 对iptable日志有过linux采用先分离再读取的方式,开发经历,这个也应该没有问题,现实意义,1 为中小企业提供防火墙解决方案 2 可以对Linux系统进行裁剪,改进netfilter,打造拥有自主知识产权、软硬结合的防火墙,
