网络设备配置与管理项目式教程（第3版） 课件 3.6在局域网中部署防火墙

在局域网中部署防火墙教学目标能够根据用户对网络安全的需求在局域网中部署防火墙；能够按照用户对网络安全的要求在防火墙中配置安全策略；能够描述防火墙的基本工作原理和工作过程；能够描述防火墙的类型、性能指标和发展趋势；能够按照信息安全操作规范进行防火墙的配置。工作任务

随着计算机网络在社会生活的各个领域应用越来越广泛，越来越多的局域网需要接入互联网，在全球范围进行资源共享。另一方面，网络信息安全问题日益突出，来自计算机病毒和网络攻击的威胁影响信息系统的安全。现在有一中小型企业网络需要接入互联网，向互联网和内网用户提供基于WEB的信息服务、FTP服务、电子邮件服务等网络信息服务；同时，企业内部网运行企业资源管理ERP系统，需要在该中小型企业网络部署防火墙，既保证网络各项服务正常运行，与互联网保持正常连接，又能保证网络信息安全。部署方案1不安全的防火墙部署方案部署方案2使用非军事区DMZ部署防火墙部署方案2使用非军事区DMZ部署防火墙的访问控制策略：内网可以访问外网内网可以访问DMZ外网不能访问内网外网可以访问DMZDMZ不能访问内网DMZ不能访问外网

此条策略也有例外，比如DMZ中放置邮件服务器时，就需要访问外网，否则将不能正常工作。

部署方案3使用非军事区DMZ和两路防火墙架构部署方案4通透式防火墙部署架构相关知识—防火墙的作用和特点

防火墙作用一方面阻止来自因特网的对受保护网络的未授权或未验证的访问，另一方面允许内部网络的用户对因特网进行Web访问或收发E-mail等。防火墙也可以作为一个访问因特网的权限控制关口，如允许组织内的特定的人可以访问因特网。特点现在的许多防火墙同时还具有一些其他特点，如进行身份鉴别，对信息进行安全（加密）处理等等。

相关知识—防火墙的作用和特点

IDS—入侵检测系统对流经内网的数据根据既定的规则进行安全检测，如有安全事件则发出安全警告。根据特征库的更新，可以检测出常见病毒、攻击、木马、系统漏洞。IPS—入侵防御系统对流经内网的数据根据既定的规则进行安全检测，对于非法数据包进行安全过滤，保证内网安全地接入外网。相关知识—防火墙的工作模式和接口防火墙的工作模式路由模式网桥模式防火墙的接口类型External外部网络DMZ(demilitarizedzone)非军事停火区Internal内部网络相关知识—IDS应用IDSIDS典型应用图操作步骤—防火墙的局限性

不能防范不经过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查；不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外网也防内网，但绝大多数公司会因为不方便安全策略配置及管理，而不要求防火墙防内网；不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备，就像门卫一样，只能按照对其配置的规则进行有效的工作，而不能自作主张；不能防止可接触的人为或自然的破坏。防火墙是一个安全设备，但防火墙本身必须存放在安全的地方；不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议，就不能防止利用该协议中的缺陷进行的攻击；操作步骤—防火墙的局限性

不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙无法发现并阻止这种攻击。不能防止被病毒感染的文件传输。防火墙本身并不具备查杀病毒的功能，即使集成了第三方的防病毒软件，也没有一种软件可以查杀所有的病毒。不能防止数据驱动式的攻击。当表面看来无害的文件被拷贝到内部网络的主机上并执行时，可能会发生数据驱动式的攻击。不能防止内部的泄密行为。防火墙内部的合法用户主动泄密，防火墙是无能为力的。不能防止本身的安全漏洞威胁。防火墙保护别人，有时却无法保护自己。目前还没有厂商绝对保证防火墙不存在安全漏洞。因此对防火墙也必须提供某种安全保护。相关知识—防火墙类型及工作原理

按软、硬件形式分类软件防火墙运行于特定的计算机上，它需要客户预先安装的计算机操作系统支持，一般来说这台计算机就是整个网络的网关。

硬件防火墙基于PC架构，在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。芯片级防火墙

基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。相关知识—防火墙类型及工作原理

按实现技术分类包过滤型防火墙，以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表。工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。应用代理型防火墙，美国NAI公司的Gauntlet防火墙为代表。

工作在OSI的最高层，即应用层。其特点是完全"阻隔"了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。

相关知识—防火墙类型及工作原理

按结构分类单一主机防火墙

是最为传统的防火墙，独立于其它网络设备，它位于网络边界。

路由器集成式防火墙在中、高档路由器中集成了防火墙功能。

分布式防火墙三种不是只位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施保护。

相关知识—防火墙类型及工作原理

按部署位置分类边界防火墙一般部署在内、外部网络边界，所起作用是对内、外部网络实施隔离，保护边界内部网络。个人防火墙安装于单台主机中，防护的也只是单台主机。

混合防火墙一整套防火墙系统，由若干软、硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一，性能最好，价格也最贵。

相关知识—防火墙类型及工作原理

按性能分类百兆级防火墙

千兆级防火墙

相关知识—防火墙主要性能指标

传输层性能TCP并发连接数指穿越防火墙/VPN网关的主机之间或主机与防火墙/VPN网关之间能同时建立的最大连接数。最大TCP连接建立速率是防火墙/VPN网关维持的最大TCP连接建立速度，本测试用以体现防火墙/VPN网关更新状态表的最大速率，考察CPU的资源调度状况。

相关知识—防火墙主要性能指标

网络层性能吞吐量指在没有数据帧丢失的情况下，防火墙/VPN网关能够接受并转发的最大速率。时延指发送端口发出数据包经过防火墙/VPN网关后到接收端口收到该数据包的时间间隔，时延有存储转发时延和直通转发时延两种。丢包率指在正常稳定的网络状态下，应该被转发，但由于缺少资源而没有被转发的数据包占全部数据包的百分比。背靠背缓冲指防火墙/VPN网关设备在接收到以最小帧间隔传输的网络流量时，在不丢包条件下所能处理的最大包数。

相关知识—防火墙主要性能指标

应用层性能HTTP传输速率测试防火墙/VPN网关在应用层的平均传输速率，是被请求的目标数据通过防火墙/VPN网关的平均传输速率。最大HTTP事物处理速率是防火墙/VPN网关所能维持的最大事务处理速率，即用户在访问目标时，所能达到的最大速率。

相关知识—防火墙发展趋势

模式转变以分布式为体系进行设计的防火墙产品以网络节点为保护对象，可以最大限度地覆盖需要保护的对象，大大提升安全防护强度，这不仅仅是单纯的产品形式的变化，而是象征着防火墙产品防御理念的升华。功能扩展呈