防火墙配置规范ppt课件

1、2019年年4月月19日日1. 防火墙端口运用防火墙端口运用2. 防火墙路由配置防火墙路由配置3. 防火墙战略配置防火墙战略配置4. 防火墙地址转换防火墙地址转换5. 防火墙本身平安防火墙本身平安6. 外联区网络部署规范外联区网络部署规范总体构造总体构造1. 主备防火墙衔接端口主备防火墙衔接端口 防火墙在主备方式时，互联端口运用防火墙在主备方式时，互联端口运用最后一个可用端口；最后一个可用端口；2. 不同平安域运用端口不同平安域运用端口 防火墙业务运用端口，按照平安域由高防火墙业务运用端口，按照平安域由高究竟，防火墙端口由前往后顺序运用；究竟，防火墙端口由前往后顺序运用；3. 与其他网络设备衔

2、接方式与其他网络设备衔接方式 防火墙与其他网络设备采用口字形衔防火墙与其他网络设备采用口字形衔接。接。防火墙端口运用防火墙端口运用防火墙路由配置防火墙路由配置1. 与相邻网络设备之间的路由与相邻网络设备之间的路由 防火墙与其他网络设备之间普通采用防火墙与其他网络设备之间普通采用静态路由；静态路由；2. 防火墙内部路由配置明晰防火墙内部路由配置明晰 配置防火墙的路由时，路由配置明晰明配置防火墙的路由时，路由配置明晰明了，不能出现反复的路由。了，不能出现反复的路由。防火墙战略配置防火墙战略配置1.根本平安战略根本平安战略 一切没有允许的效力都是制止的，战一切没有允许的效力都是制止的，战略只允许经过

3、略只允许经过 必要的数据，控制双向数据流，同时建议必要的数据，控制双向数据流，同时建议在防火墙最后添加一条回绝一切数据经在防火墙最后添加一条回绝一切数据经过的战略；过的战略；防火墙战略配置防火墙战略配置2. 规那么尽量简单明晰规那么尽量简单明晰 规那么力求简单明晰，在满足业务需规那么力求简单明晰，在满足业务需求的情况下，规那么尽量简单，防止出现求的情况下，规那么尽量简单，防止出现战略相互重叠、包容甚至冲突的情况，同战略相互重叠、包容甚至冲突的情况，同时可以经过添加注释、运用战略组等方式时可以经过添加注释、运用战略组等方式添加明晰度；添加明晰度；3. 战略次序安排战略次序安排 按照业务的重要性，

4、战略由前往后。按照业务的重要性，战略由前往后。防火墙地址转换防火墙地址转换1.地址转换地址转换经过防火墙进展不同平安区域的隔离，数经过防火墙进展不同平安区域的隔离，数据在经过防火墙后必需进展地址转换。据在经过防火墙后必需进展地址转换。2.地址转换方式地址转换方式 防火墙映射地址建议采用防火墙映射地址建议采用DIP的转换方的转换方式而非式而非MIP的的转换方式。转换方式。防火墙地址转换防火墙地址转换2.地址转换方式地址转换方式防火墙地址转换采用一一对应的方式，区防火墙地址转换采用一一对应的方式，区域一的同一域一的同一IP地址映射到另一区域时的地址映射到另一区域时的映射地址坚持不变，例如映射地址坚

5、持不变，例如Trust域的地址域的地址A经过防火墙映射到经过防火墙映射到Untrust域为域为A1， Untrust 域的域的B经过防火墙映射到经过防火墙映射到Trust域为域为B1 A访问访问B时：时： 在防火墙在防火墙Trust域域A访问访问B1，经过，经过防火墙映射后在防火墙映射后在Untrust域变为域变为A1访问访问B；B同时需求访问同时需求访问A时：时： 在防火墙在防火墙Untrust域域B访问访问A1，经，经过防火墙映射后在过防火墙映射后在Untrust域为域为B1访问访问A，此时的，此时的A1和和B1需与需与A访问访问B时防火时防火墙转换的墙转换的A1和和B1地址一样地址一样防火墙地址转换防火墙地址转换2.地址转换方式地址转换方式防火墙本身平安防火墙本身平安1. 回绝非平安域访问回绝非平安域访问 不允许非平安域主机访问防火墙不允许非平安域主机访问防火墙2. 设置授信地址设置授信地址 允许哪些位于平安域的主机来访问防允许哪些位于平安域的主机来访问防火墙，对防火墙进展操作火墙，对防火墙进展操作外联区网络部署规范外联区网络部署规范1. 外联第三方外联第三方2. 外联交换机及路由器配置思绪外联交换机及路由器配置思绪3. 外联