防火墙策略简要论述

防火墙策略1内容与要求理解网络效劳访问策略理解防火墙设计策略了解防火墙的平安策略掌握防火墙的不同工作模式能力目标学会设计防火墙策略并配置防火墙不同的工作模式2时间控制策略HostCHostD在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet上班时间可以访问公司的网络Internet3防火墙策略网络效劳访问策略防火墙设计策略4网络效劳访问策略允许从网站访问因特网，而不允许从因特网访问网站；允许来自因特网的某种访问，但这种访问只限于特定的系统，例如，信息效劳器或电子邮件效劳器；有时会允许来自因特网的某些用户访问某些内部主机，但这种访问策略只有在必要的时候，而且只有在进行高级授权的情况下才使用。5网络效劳访问策略在最高层次，总的组织策略可以表达为如下原那么：·信息对于组织的良好运营是至关重要的·为了保证组织信息的机密性、完整性、真实性、有效性和可用性，要尽力采用低价高效的措施。·对于公司中各个层次的雇员来讲，保护这些信息资源的机密性、完整性和有效性都是需要优先考虑的，是工作责任。·属于组织的所有信息处理设备只能用于得到批准的目的。6防火墙设计策略两种根本设计策略：除非明确不准许，否那么准许某种效劳—宽松策略

除非明确准许，否那么将禁止某种效劳—限制策略一道防火墙既可以实施允许式的设计策略。也可以实施限制性的设计策略。7策略举例8需要考虑的问题

9注意许多防火墙策略的排列顺序决定了优先级，排在前面的策略优先执行，根据这个原那么，我们要好好设计一下防火墙策略的顺序。例如，我们写了两条防火墙策略，一条是允许内网用户任意访问，另外一条是拒绝内网用户访问联众游戏网站。如果排列顺序如以下图所示，允许策略排在拒绝策略之前，那就是个错误的决定。拒绝访问联众的策略永远不会被执行，因为当用户访问联众时，访问请求匹配第一条防火墙策略，用户就被防火墙放行了，第二条策略根本没有执行的时机。正确的做法是将拒绝策略放到允许策略之前！10防火墙的平安策略用户账号策略用户权限策略信任关系策略包过滤策略认证策略签名策略数据加密策略密钥分配策略审计策略11用户账号策略用户账号包含的重要信息：用户名、口令、所属组、用户在系统中的权限和资源存取许可。口令是访问控制的简单而有效的方法。口令选择原那么：12用户账号策略口令最小长度口令最长有效期口令历史口令存储方式用户账号锁定方式在假设干次口令错误之后13用户权限策略用户权限两类：对执行特定任务用户的授权可应用于整个系统对特定对象的规定，这些规定限制用户能否或以何种方式存取对象14用户权限策略备份文件权限远程/本地登录访问权限远程/本地关机权限更改系统时间权限管理日志权限删除/复原文件权限设置信任关系权限卷管理权限安装/卸载设备驱动程序权限15信任关系策略信任关系是两个域中一个域信任另一个域，包含：信任域和被信任域。信任域可允许被信任域中的用户访问其网络中的资源。16包过滤策略1.包过滤控制点的设置：OSI模型的2-7层2.包过滤操作过程a.定义包过滤规那么b.将规那么存储在设备端口c.设备提取接收到的数据包的头部信息d.规那么以特定的顺序存放3.包过滤规那么规那么的先后顺序对数据包的过滤起着重要的作用，一般先放置在前面。17包过滤策略如，要求在防火墙上阻止hostA发给hostC的UDP数据包，按照下面的规那么顺序是不能实现的。UDPBlockHostCHostAUDPPassHostCHostADestinationProtocolPermitSource18包过滤策略4.防止两类不平安设计第一种，地址欺骗；第二种，在输入输出接口两个方向的过滤。源接口目的接口服务模式wan1wan2ping允许wan2wan1ping允许5.特定协议数据包的过滤19审计策略成功或者不成功的登录事件成功或者不成功的对象访问成功或者不成功的目录效劳访问成功或者不成功的特权使用成功或者不成功的系统事件成功或者不成功的账户管理事件20受保护网络Internet如果防火墙支持透明模式，那么内部网络主机的配置不用调整HostA199.168.1.2HostC199.168.1.4HostD199.168.1.5HostB199.168.1.3199.168.1.8同一网段透明模式下，这里不用配置IP地址透明模式下，这里不用配置IP地址DefaultGateway=199.168.1.8防火墙相当于网桥，原网络结构没有改变透明接入21受保护网络InternetHostA199.168.1.2HostC199.168.1.4HostD199.168.1.5HostB199.168.1.3199.168.1.8De