《信息安全产品配置与应用》课程防火墙篇配置策略设计【方案设计与产品部署】

1、本讲任务与学习目标配置策略设计可以不用文字形式表现出来，可以在头脑中策划是不可跳过的一个步骤，不设计防火墙具体的配置策略，如何进行下一步的防火墙配置 ？（没有乐谱，如何弹奏）策略设计与网络环境、应用情况关系密切，必须确认真实、准确的防火墙部署与需要实现的功能要求路由、NAT、访问控制、主机保护最简的策略设计，是一堆表格配置策略设计防火墙接口Ip/掩码掩码网关网关对端设备对端设备对端地址对端地址说明说明Eth0【接口地址接口地址/掩码掩码】【可以没有可以没有】【设备接口设备接口】【对端设备地对端设备地址址】【用途用途】Eth1192.168.2.1/24192.168.2.20核心交换机核心交换

2、机E2192.168.2.20连接内网连接内网Eth2OOOOOEth3OOOOOEth4OOOOOOXOXO配置策略设计防火墙接口NGFW 4000-UF（服务器区域）Eth0（GBIC多模光口）核心交换机6506光纤Eth1（GBIC多模光口）服务器区汇聚交换机光纤Eth2（GBIC多模光口）PDM服务器光纤Eth3（GBIC多模光口）科技大楼二级交换机光纤NGFW 4000Eth0Eth1（百兆自适应电口）双绞线Eth2（百兆自适应电口）双绞线Eth3配置策略设计路由、 NAT通信策略（路由）源地址（网）源地址（网）目的地址（网）目的地址（网） 下一跳路由下一跳路由接口接口说明说明路由路

3、由1【从哪个地方来从哪个地方来】 【到哪个地方去到哪个地方去】 【网关地址网关地址】【从哪个接口从哪个接口出去出去】【用途用途】路由路由2192.168.2.0/24172.10.1.0/24172.10.2.2Eth1外网路由外网路由路由路由3OOOOO路由路由4OOOOO路由路由5OOOOOOXOXO配置策略设计路由、 NAT通信策略（NAT）源地址（网）源地址（网）目的地址（网）目的地址（网） 服务服务源转换源转换目的转换目的转换说明说明【从哪个地方来从哪个地方来】 【到哪个地方去到哪个地方去】 【】 【地址或范围地址或范围】 【地址或均衡组地址或均衡组】【用途用途】192.168.2.

4、0/24互联网区域互联网区域ALL互联网接口地址互联网接口地址访问互联网访问互联网互联网区域互联网区域互联网接口地址互联网接口地址80/tcp内网服务器地址内网服务器地址互联网访问互联网访问内网网站内网网站OOOOOOOOOOOXOXO配置策略设计访问控制策略访问控制源地址（网）源地址（网）目的地址（网）目的地址（网）服务服务日志记录日志记录深度过滤深度过滤权限权限【从哪个地方来从哪个地方来】 【到哪个地方去到哪个地方去】【】【是否记录是否记录】 【关键字过滤关键字过滤】 【允许允许/禁止禁止】内网区域内网区域互联网区域互联网区域ALL不记录不记录不过滤不过滤允许允许互联网区域互联网区域Web服务器服务器80/tcp记录记录不过滤不过滤允许允许ANYANYALL不记录不记录不过滤不过滤禁止禁止OOOOOOXOXO配置策略设计其他功能应用用户认证实现对用户通过防火墙访问其他网络的身份认证深度过滤、应用过滤实现对邮件、网页关键字、域名 的过滤，禁止访问某一类的网站，收发某一类的邮件实现对P2P、QQ、PPLive等