防火墙策略简要论述(ppt 25页).ppt

1 防火墙策略 2 内容与要求 理解网络服务访问策略理解防火墙设计策略了解防火墙的安全策略掌握防火墙的不同工作模式能力目标学会设计防火墙策略并配置防火墙不同的工作模式 3 时间控制策略 HostC HostD 在防火墙上制定基于时间的访问控制策略 上班时间不允许访问Internet 上班时间可以访问公司的网络 Internet 4 防火墙策略 网络服务访问策略防火墙设计策略 5 网络服务访问策略 允许从网站访问因特网 而不允许从因特网访问网站 允许来自因特网的某种访问 但这种访问只限于特定的系统 例如 信息服务器或电子邮件服务器 有时会允许来自因特网的某些用户访问某些内部主机 但这种访问策略只有在必要的时候 而且只有在进行高级授权的情况下才使用 6 网络服务访问策略 在最高层次 总的组织策略可以叙述为如下原则 信息对于组织的良好运营是至关重要的 为了保证组织信息的机密性 完整性 真实性 有效性和可用性 要尽力采用低价高效的措施 对于公司中各个层次的雇员来讲 保护这些信息资源的机密性 完整性和有效性都是需要优先考虑的 是工作责任 属于组织的所有信息处理设备只能用于得到批准的目的 7 防火墙设计策略 两种基本设计策略 除非明确不准许 否则准许某种服务 宽松策略除非明确准许 否则将禁止某种服务 限制策略一道防火墙既可以实施允许式的设计策略 也可以实施限制性的设计策略 8 策略举例 9 需要考虑的问题 为了确定防火墙设计策略 进而构建实现策略的防火墙 应当首先考虑以下几个问题 需要什么网络服务 如 WWW E mail Telnet等 在那里使用这些 或部分 服务 如本地 穿越因特网 从家里或远方的分支机构等 是否应当支持拨号入网和加密等服务 提供这些服务的风险是什么 比如拨号 是本单位的电话交换机 还是市话 若提供这种保护 可能导致网络上使用的不方便等负面影响 这些影响会有多大 是否值得付出这种代价 和可用性 灵活性相比单位上把安全性放在什么位置 两种那一个更重要 10 注意 许多防火墙策略的排列顺序决定了优先级 排在前面的策略优先执行 根据这个原则 我们要好好设计一下防火墙策略的顺序 例如 我们写了两条防火墙策略 一条是允许内网用户任意访问 另外一条是拒绝内网用户访问联众游戏网站 如果排列顺序如下图所示 允许策略排在拒绝策略之前 那就是个错误的决定 拒绝访问联众的策略永远不会被执行 因为当用户访问联众时 访问请求匹配第一条防火墙策略 用户就被防火墙放行了 第二条策略根本没有执行的机会 正确的做法是将拒绝策略放到允许策略之前 11 防火墙的安全策略 用户账号策略用户权限策略信任关系策略包过滤策略认证策略签名策略数据加密策略密钥分配策略审计策略 12 用户账号策略 用户账号包含的重要信息 用户名 口令 所属组 用户在系统中的权限和资源存取许可 口令是访问控制的简单而有效的方法 口令选择原则 13 用户账号策略 口令最小长度口令最长有效期口令历史口令存储方式用户账号锁定方式在若干次口令错误之后 14 用户权限策略 用户权限两类 对执行特定任务用户的授权可应用于整个系统对特定对象的规定 这些规定限制用户能否或以何种方式存取对象 15 用户权限策略 备份文件权限远程 本地登录访问权限远程 本地关机权限更改系统时间权限管理日志权限删除 还原文件权限设置信任关系权限卷管理权限安装 卸载设备驱动程序权限 16 信任关系策略 信任关系是两个域中一个域信任另一个域 包含 信任域和被信任域 信任域可允许被信任域中的用户访问其网络中的资源 17 包过滤策略 1 包过滤控制点的设置 OSI模型的2 7层2 包过滤操作过程a 定义包过滤规则b 将规则存储在设备端口c 设备提取接收到的数据包的头部信息d 规则以特定的顺序存放3 包过滤规则规则的先后顺序对数据包的过滤起着重要的作用 一般先放置在前面 18 包过滤策略 如 要求在防火墙上阻止hostA发给hostC的UDP数据包 按照下面的规则顺序是不能实现的 19 包过滤策略 4 防止两类不安全设计第一种 地址欺骗 第二种 在输入输出接口两个方向的过滤 5 特定协议数据包的过滤 20 审计策略 成功或者不成功的登录事件成功或者不成功的对象访问成功或者不成功的目录服务访问成功或者不成功的特权使用成功或者不成功的系统事件成功或者不成功的账户管理事件 21 受保护网络 Internet 如果防火墙支持透明模式 则内部网络主机的配置不用调整 199 168 1 8 同一网段 透明模式下 这里不用配置IP地址 透明模式下 这里不用配置IP地址 DefaultGateway 199 168 1 8 防火墙相当于网桥 原网络结构没有改变 透明接入 22 受保护网络 Internet 199 168 1 8 Defau