《1防火墙产品配置模型》由会员分享,可在线阅读,更多相关《1防火墙产品配置模型(14页珍藏版)》请在金锄头文库上搜索。
1、1 防火墙产品配置模型防火墙产品配置模型路由器路由器HTTPHTTP服务器服务器DNSDNS服务器服务器EmailEmail服务器服务器防火墙防火墙DMZDMZ区区内部专用网络内部专用网络InternetInternetDDNDDNPSTNPSTNATMATMISDNISDNX.25X.25帧中继帧中继防火墙管理器防火墙管理器外部网络外部网络安装方式之一安装方式之一防火墙防火墙防火墙管理工作站防火墙管理工作站分支机构分支机构受保护局域网受保护局域网防火墙防火墙防火墙防火墙资源子网资源子网路由器路由器路由器路由器路由器路由器分支机构分支机构受保护局域网受保护局域网公共网络公共网络总部总部路由器路
2、由器路由器路由器安装方式之二安装方式之二 隔离内外网络通信隔离内外网络通信 控制外部用户进入内部专网控制外部用户进入内部专网 限制内部用户出访限制内部用户出访鉴别移动或异地办公用户的网络访问鉴别移动或异地办公用户的网络访问 支持内部网络主机和服务器采用私有地址,对外界隐藏内部网络拓扑支持内部网络主机和服务器采用私有地址,对外界隐藏内部网络拓扑 防止内部主机防止内部主机IPIP地址的滥用和误用地址的滥用和误用 对来自外部、内部的网络违规和入侵行为进行检测和集中监控对来自外部、内部的网络违规和入侵行为进行检测和集中监控 系统安全审计对违规通信、安全事件进行实时报警和处置系统安全审计对违规通信、安全
3、事件进行实时报警和处置 统计网络通信流量,并根据策略进行流量控制统计网络通信流量,并根据策略进行流量控制 采用基于策略的方式对防火墙设备进行配置采用基于策略的方式对防火墙设备进行配置产品应用功能产品应用功能安全公理安全公理/定理定理/推理推理公理公理:所有的程序都有缺陷(摩菲定理):所有的程序都有缺陷(摩菲定理)大程序定律:大程序的缺陷甚至比它包含的内容还多大程序定律:大程序的缺陷甚至比它包含的内容还多推理推理:一个安全相关程序有安全性缺陷:一个安全相关程序有安全性缺陷定理定理:只要不运行这个程序,那么这个程序有缺陷,:只要不运行这个程序,那么这个程序有缺陷,也无关紧要也无关紧要推理推理:只要
4、不运行这个程序,那么这个程序有安全性:只要不运行这个程序,那么这个程序有安全性漏洞,也无关紧要漏洞,也无关紧要定理定理:对外暴露的计算机,应尽可能少地运行程序,:对外暴露的计算机,应尽可能少地运行程序,且运行的程序也尽可能地小且运行的程序也尽可能地小推论:防火墙基本法则:防火墙必须配置得尽可能地推论:防火墙基本法则:防火墙必须配置得尽可能地小,才能降低风险。小,才能降低风险。防火墙配置策略的基本准则一切未被允许的就是禁止的一切未被允许的就是禁止的。防火墙缺省封锁所有的信息流,然后对希望提供的服务逐项开放。优点 : 实用,安全,可靠性高。按规则链来进行匹配按规则链来进行匹配使用源地址、目的地址、
5、源端口、目的端口、协议、时间段进行匹配从头到尾的匹配方式从头到尾的匹配方式匹配成功马上停止匹配成功马上停止立刻使用该规则的立刻使用该规则的”接受、禁止、接受、禁止、拒绝拒绝”防火墙网络地址转换202.11.196.16内部网络地址192.168.0.x外部网络/Internet地址网络地址转换网络地址转换Internet192.168.1.10192.168.1.11内部网192.168.2.0/255.255.255.0WWW ServerE_Mail ServerFTP Server192.168.1.12202.115.1.33/24SFH02 FW Alarm2035968?E1E0P
6、ower防火墙防火墙202.115.1.36/24重定向(反向重定向(反向NAT)192.168.2.1/24192.168.1.1/24192.168.2.2/24192.168.0.188192.168.0.18800:88:CC:A0:2C:4D00:88:CC:A0:2C:4D192.168.0.188192.168.0.18888:88:88:88:88:8888:88:88:88:88:88uuPASSPASSuuNONOIPIP包包IPIP包包IP / MAC 地址对应地址对应安全日志安全日志记录用户访问的开始和终止时间记录用户访问的开始和终止时间记录用户的通信事件,例如主机地记
7、录用户的通信事件,例如主机地址、访问时间、协议等信息址、访问时间、协议等信息记录安全管理员的操作事件记录安全管理员的操作事件记录违规事件记录违规事件安全安全VPNVPN系统系统网络隔离&加密&入侵检测认证服务器认证服务器安全网关安全网关网络安全网络安全管理工作站管理工作站各级分支机构各级分支机构安全网关安全网关安全网关安全网关总部总部资源子网资源子网路由器路由器路由器路由器各级分支机构各级分支机构DDN/PSTN行行业业及及领领域域专专网网安安全全平平台台中央总部中央总部省级机构省级机构省级机构省级机构市级机构市级机构市级机构市级机构市级机构市级机构县级机构县级机构业务末端业务末端县级机构县级
8、机构县级机构县级机构业务末端业务末端业务末端业务末端业务末端业务末端县级机构县级机构县级机构县级机构县级机构县级机构市级机构市级机构业务末端业务末端业务末端业务末端业务末端业务末端业务末端业务末端纵向多级专网示意纵向多级专网示意国家级管理域国家级管理域省级管理域省级管理域公共网络公共网络DDN/FR公共网络公共网络DDN/FR市级管理域市级管理域公共网络公共网络DDN/FR县级管理域县级管理域公共网络公共网络DDN/FR公共网络公共网络DDN/FRNEsec300 FW2035968?告 警内网接口外网接口电源NEsec300 CA警内网接口外网接口源NEsec300 FW2035968?告
9、警内网接口外网接口电源NEsec300 FW2035968?告 警内网接口外网接口电源安全管理器安全管理器安全认证服务器安全认证服务器安全网关安全网关安全网关安全网关安全网关安全网关NEsec300 CA警内网接口外网接口源安全管理器安全管理器安全认证服务器安全认证服务器NEsec300 FW2035968?告 警内网接口外网接口电源安全网关安全网关NEsec300 FW2035968?告 警内网接口外网接口电源NEsec300 FW2035968?告 警内网接口外网接口电源安全网关安全网关安全网关安全网关NEsec300 CA警内网接口外网接口源NEsec300 FW2035968?告 警内
10、网接口外网接口电源NEsec300 FW2035968?告 警内网接口外网接口电源NEsec300 FW2035968?告 警内网接口外网接口电源安全管理器安全管理器安全认证服务器安全认证服务器安全网关安全网关安全网关安全网关安全网关安全网关NEsec300 FW2035968?告 警内网接口外网接口电源NEsec300 CA警内网接口外网接口源安全管理器安全管理器安全认证服务器安全认证服务器安全网关安全网关NEsec300 CA警内网接口外网接口源NEsec300 FW2035968?告 警内网接口外网接口电源NEsec300 FW2035968?告 警内网接口外网接口电源NEsec300 FW2035968?告 警内网接口外网接口电源安全管理器安全管理器安全认证服务器安全认证服务器安全网关安全网关安全网关安全网关安全网关安全网关安全安全VPNVPN产品行业装备示意产品行业装备示意
