5 防火墙策略

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,防火墙策略,1,内容与要求,理解网络服务访问策略,理解防火墙设计策略,了解防火墙的安全策略,掌握防火墙的不同工作模式,能力目标,学会设计防火墙策略并配置防火墙不同的工作模式,2,时间控制策略,Host C,Host D,在防火墙上制定基于时间的访问控制策略,上班时间不允许访问Internet,上班时间可以访问公司的网络,Internet,3,防火墙策略,网络服务访问策略,防火墙设计策略,4,网络服务访问策略,允许从网站访问因特网，而不允许从因特网访问网站；,允许来自因特网的某种访问，但这种访问只限于特定的系统，例如，信息服务器或电子邮件服务器；,有时会允许来自因特网的,某些用户,访问某些内部主机，但这种访问策略只有在必要的时候，而且,只有在进行高级授权,的情况下才使用。,5,网络服务访问策略,在最高层次，总的组织策略可以叙述为如下原则：,信息对于组织的良好运营是至关重要的,为了保证组织信息的机密性、完整性、真实性、有效性和可用性，要尽力采用低价高效的措施。,对于公司中各个层次的雇员来讲，保护这些信息资源的机密性、完整性和有效性都是需要优先考虑的，是工作责任。,属于组织的所有信息处理设备只能用于得到批准的目的。,6,防火墙设计策略,两种基本设计策略：,除非明确不准许，否则准许某种服务宽松策略除非明确准许，否则将禁止某种服务限制策略,一道防火墙既可以实施,允许式,的设计策略。也可以实施,限制性,的设计策略。,7,策略举例,8,需要考虑的问题,9,注意,许多防火墙策略的排列顺序决定了优先级，排在前面的策略优先执行，根据这个原则，我们要好好设计一下防火墙策略的顺序。,例如，我们写了两条防火墙策略，一条是允许内网用户任意访问，另外一条是拒绝内网用户访问联众游戏网站。如果排列顺序如下图所示，允许策略排在拒绝策略之前，那就是个错误的决定。拒绝访问联众的策略永远不会被执行，因为当用户访问联众时，访问请求匹配第一条防火墙策略，用户就被防火墙放行了，第二条策略根本没有执行的机会。正确的做法是将拒绝策略放到允许策略之前！,10,防火墙的安全策略,用户账号策略,用户权限策略,信任关系策略,包过滤策略,认证策略,签名策略,数据加密策略,密钥分配策略,审计策略,11,用户账号策略,用户账号包含的重要信息：用户名、口令、所属组、用户在系统中的权限和资源存取许可。,口令是访问控制的简单而有效的方法。,口令选择原则：,12,用户账号策略,口令最小长度,口令最长有效期,口令历史,口令存储方式,用户账号锁定方式,在若干次口令错误之后,13,用户权限策略,用户权限两类：,对执行特定任务用户的授权可应用于整个系统,对特定对象的规定，这些规定限制用户能否或以何种方式存取对象,14,用户权限策略,备份文件权限,远程/本地登录访问权限,远程/本地关机权限,更改系统时间权限,管理日志权限,删除/还原文件权限,设置信任关系权限,卷管理权限,安装/卸载设备驱动程序权限,15,信任关系策略,信任关系是两个域中一个域信任另一个域，包含：,信任域,和,被信任域,。,信任域可允许被信任域中的用户访问其网络中的资源。,16,包过滤策略,1.包过滤控制点的设置：OSI模型的2-7层,2.包过滤操作过程,a.定义包过滤规则,b.将规则存储在设备端口,c.设备提取接收到的数据包的头部信息,d.规则以特定的顺序存放,3.包过滤规则,规则的先后顺序对数据包的过滤起着重要的作用，一般先放置在前面。,17,包过滤策略,如，要求在防火墙上阻止hostA发给hostC的UDP数据包，按照下面的规则顺序是不能实现的。,UDP,Block,Host C,Host A,UDP,Pass,Host C,Host A,Destination,Protocol,Permit,Source,18,包过滤策略,4.防止两类不安全设计,第一种，地址欺骗；,第二种，在输入输出接口两个方向的过滤。,源接口,目的接口,服务,模式,wan1,wan2,ping,允许,wan2,wan1,ping,允许,5.特定协议数据包的过滤,19,审计策略,成功或者不成功的登录事件,成功或者不成功的对象访问,成功或者不成功的目录服务访问,成功或者不成功的特权使用,成功或者不成功的系统事件,成功或者不成功的账户管理事件,20,受保护网络,Internet,如果防火墙支持透明模式，则内部网络主机的配置不用调整,Host A,199.168.1.2,Host C,199.168.1.4,Host D,199.168.1.5,Host B,199.168.1.3,199.168.1.8,同一网段,透明模式下，这里不用配置IP地址,透明模式下，这里不用配置IP地址,Default Gateway=199.168.1.8,防火墙相当于网桥，原网络结构没有改变,透明接入,21,受保护网络,Internet,Host A,199.168.1.2,Host C,199.168.1.4,Host D,199.168.1.5,Host B,199.168.1.3,199.168.1.8,Default Gateway=199.168.1.8,防火墙相当于一个简单的路由器,203.12.34.56,203.12.34.57,提供简单的路由功能,199.168.1.8,路由接入,22,实验,防火墙策略的设置,23,