收藏
下载资源

防火墙策略简要论述

上传人:F****n 文档编号:97071500 上传时间:2019-09-01 格式:PPT 页数:23 大小:250.50KB
返回 下载 相关 举报
防火墙策略简要论述_第1页
第1页 / 共23页
防火墙策略简要论述_第2页
第2页 / 共23页
防火墙策略简要论述_第3页
第3页 / 共23页
防火墙策略简要论述_第4页
第4页 / 共23页
防火墙策略简要论述_第5页
第5页 / 共23页
点击查看更多>>
资源描述

《防火墙策略简要论述》由会员分享,可在线阅读,更多相关《防火墙策略简要论述(23页珍藏版)》请在金锄头文库上搜索。

1、1,防火墙策略,2,内容与要求,理解网络服务访问策略 理解防火墙设计策略 了解防火墙的安全策略 掌握防火墙的不同工作模式 能力目标 学会设计防火墙策略并配置防火墙不同的工作模式,3,时间控制策略,Host C,Host D,在防火墙上制定基于时间的访问控制策略,上班时间不允许访问Internet,上班时间可以访问公司的网络,Internet,4,防火墙策略,网络服务访问策略 防火墙设计策略,5,网络服务访问策略,允许从网站访问因特网,而不允许从因特网访问网站; 允许来自因特网的某种访问,但这种访问只限于特定的系统,例如,信息服务器或电子邮件服务器; 有时会允许来自因特网的某些用户访问某些内部主

2、机,但这种访问策略只有在必要的时候,而且只有在进行高级授权的情况下才使用。,6,网络服务访问策略,在最高层次,总的组织策略可以叙述为如下原则: 信息对于组织的良好运营是至关重要的 为了保证组织信息的机密性、完整性、真实性、有效性和可用性,要尽力采用低价高效的措施。 对于公司中各个层次的雇员来讲,保护这些信息资源的机密性、完整性和有效性都是需要优先考虑的,是工作责任。 属于组织的所有信息处理设备只能用于得到批准的目的。,7,防火墙设计策略,两种基本设计策略: 除非明确不准许,否则准许某种服务宽松策略 除非明确准许,否则将禁止某种服务限制策略 一道防火墙既可以实施允许式的设计策略。也可以实施限制性

3、的设计策略。,8,策略举例,9,需要考虑的问题,为了确定防火墙设计策略,进而构建实现策略的防火墙。应当首先考虑以下几个问题: 需要什么网络服务,如:WWW,Email,Telnet等; 在那里使用这些(或部分)服务,如本地,穿越因特网,从家里或远方的分支机构等; 是否应当支持拨号入网和加密等服务; 提供这些服务的风险是什么,比如拨号:是本单位的电话交换机,还是市话; 若提供这种保护,可能导致网络上使用的不方便等负面影响,这些影响会有多大,是否值得付出这种代价。 和可用性,灵活性相比单位上把安全性放在什么位置。两种那一个更重要。,10,注意,许多防火墙策略的排列顺序决定了优先级,排在前面的策略优

4、先执行,根据这个原则,我们要好好设计一下防火墙策略的顺序。 例如,我们写了两条防火墙策略,一条是允许内网用户任意访问,另外一条是拒绝内网用户访问联众游戏网站。如果排列顺序如下图所示,允许策略排在拒绝策略之前,那就是个错误的决定。拒绝访问联众的策略永远不会被执行,因为当用户访问联众时,访问请求匹配第一条防火墙策略,用户就被防火墙放行了,第二条策略根本没有执行的机会。正确的做法是将拒绝策略放到允许策略之前!,11,防火墙的安全策略,用户账号策略 用户权限策略 信任关系策略 包过滤策略 认证策略 签名策略 数据加密策略 密钥分配策略 审计策略,12,用户账号策略,用户账号包含的重要信息:用户名、口令

5、、所属组、用户在系统中的权限和资源存取许可。 口令是访问控制的简单而有效的方法。 口令选择原则:,13,用户账号策略,口令最小长度 口令最长有效期 口令历史 口令存储方式 用户账号锁定方式 在若干次口令错误之后,14,用户权限策略,用户权限两类: 对执行特定任务用户的授权可应用于整个系统 对特定对象的规定,这些规定限制用户能否或以何种方式存取对象,15,用户权限策略,备份文件权限 远程/本地登录访问权限 远程/本地关机权限 更改系统时间权限 管理日志权限 删除/还原文件权限 设置信任关系权限 卷管理权限 安装/卸载设备驱动程序权限,16,信任关系策略,信任关系是两个域中一个域信任另一个域,包含

6、:信任域和被信任域。 信任域可允许被信任域中的用户访问其网络中的资源。,17,包过滤策略,1.包过滤控制点的设置:OSI模型的2-7层 2.包过滤操作过程 a. 定义包过滤规则 b. 将规则存储在设备端口 c. 设备提取接收到的数据包的头部信息 d.规则以特定的顺序存放 3.包过滤规则 规则的先后顺序对数据包的过滤起着重要的作用,一般先放置在前面。,18,包过滤策略,如,要求在防火墙上阻止hostA发给hostC的UDP数据包,按照下面的规则顺序是不能实现的。,19,包过滤策略,4.防止两类不安全设计 第一种,地址欺骗; 第二种,在输入输出接口两个方向的过滤。,5.特定协议数据包的过滤,20,

7、审计策略,成功或者不成功的登录事件 成功或者不成功的对象访问 成功或者不成功的目录服务访问 成功或者不成功的特权使用 成功或者不成功的系统事件 成功或者不成功的账户管理事件,21,受保护网络,Internet,如果防火墙支持透明模式,则内部网络主机的配置不用调整,199.168.1.8,同一网段,透明模式下,这里不用配置IP地址,透明模式下,这里不用配置IP地址,Default Gateway=199.168.1.8,防火墙相当于网桥,原网络结构没有改变,透明接入,22,受保护网络,Internet,199.168.1.8,Default Gateway=199.168.1.8,防火墙相当于一个简单的路由器,203.12.34.56,203.12.34.57,提供简单的路由功能,199.168.1.8,路由接入,23,实验,防火墙策略的设置,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > PPT素材/模板

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号