防火墻配置規(guī)范ppt課件

1、2019年年4月月19日日1. 防火墻端口運用防火墻端口運用2. 防火墻路由配置防火墻路由配置3. 防火墻戰(zhàn)略配置防火墻戰(zhàn)略配置4. 防火墻地址轉(zhuǎn)換防火墻地址轉(zhuǎn)換5. 防火墻本身平安防火墻本身平安6. 外聯(lián)區(qū)網(wǎng)絡(luò)部署規(guī)范外聯(lián)區(qū)網(wǎng)絡(luò)部署規(guī)范總體構(gòu)造總體構(gòu)造1. 主備防火墻銜接端口主備防火墻銜接端口 防火墻在主備方式時，互聯(lián)端口運用防火墻在主備方式時，互聯(lián)端口運用最后一個可用端口；最后一個可用端口；2. 不同平安域運用端口不同平安域運用端口 防火墻業(yè)務(wù)運用端口，按照平安域由高防火墻業(yè)務(wù)運用端口，按照平安域由高究竟，防火墻端口由前往后順序運用；究竟，防火墻端口由前往后順序運用；3. 與其他網(wǎng)絡(luò)設(shè)備銜

2、接方式與其他網(wǎng)絡(luò)設(shè)備銜接方式 防火墻與其他網(wǎng)絡(luò)設(shè)備采用口字形銜防火墻與其他網(wǎng)絡(luò)設(shè)備采用口字形銜接。接。防火墻端口運用防火墻端口運用防火墻路由配置防火墻路由配置1. 與相鄰網(wǎng)絡(luò)設(shè)備之間的路由與相鄰網(wǎng)絡(luò)設(shè)備之間的路由 防火墻與其他網(wǎng)絡(luò)設(shè)備之間普通采用防火墻與其他網(wǎng)絡(luò)設(shè)備之間普通采用靜態(tài)路由；靜態(tài)路由；2. 防火墻內(nèi)部路由配置明晰防火墻內(nèi)部路由配置明晰 配置防火墻的路由時，路由配置明晰明配置防火墻的路由時，路由配置明晰明了，不能出現(xiàn)反復(fù)的路由。了，不能出現(xiàn)反復(fù)的路由。防火墻戰(zhàn)略配置防火墻戰(zhàn)略配置1.根本平安戰(zhàn)略根本平安戰(zhàn)略 一切沒有允許的效力都是制止的，戰(zhàn)一切沒有允許的效力都是制止的，戰(zhàn)略只允許經(jīng)過

3、略只允許經(jīng)過 必要的數(shù)據(jù)，控制雙向數(shù)據(jù)流，同時建議必要的數(shù)據(jù)，控制雙向數(shù)據(jù)流，同時建議在防火墻最后添加一條回絕一切數(shù)據(jù)經(jīng)在防火墻最后添加一條回絕一切數(shù)據(jù)經(jīng)過的戰(zhàn)略；過的戰(zhàn)略；防火墻戰(zhàn)略配置防火墻戰(zhàn)略配置2. 規(guī)那么盡量簡單明晰規(guī)那么盡量簡單明晰 規(guī)那么力求簡單明晰，在滿足業(yè)務(wù)需規(guī)那么力求簡單明晰，在滿足業(yè)務(wù)需求的情況下，規(guī)那么盡量簡單，防止出現(xiàn)求的情況下，規(guī)那么盡量簡單，防止出現(xiàn)戰(zhàn)略相互重疊、包容甚至沖突的情況，同戰(zhàn)略相互重疊、包容甚至沖突的情況，同時可以經(jīng)過添加注釋、運用戰(zhàn)略組等方式時可以經(jīng)過添加注釋、運用戰(zhàn)略組等方式添加明晰度；添加明晰度；3. 戰(zhàn)略次序安排戰(zhàn)略次序安排 按照業(yè)務(wù)的重要性，

4、戰(zhàn)略由前往后。按照業(yè)務(wù)的重要性，戰(zhàn)略由前往后。防火墻地址轉(zhuǎn)換防火墻地址轉(zhuǎn)換1.地址轉(zhuǎn)換地址轉(zhuǎn)換經(jīng)過防火墻進展不同平安區(qū)域的隔離，數(shù)經(jīng)過防火墻進展不同平安區(qū)域的隔離，數(shù)據(jù)在經(jīng)過防火墻后必需進展地址轉(zhuǎn)換。據(jù)在經(jīng)過防火墻后必需進展地址轉(zhuǎn)換。2.地址轉(zhuǎn)換方式地址轉(zhuǎn)換方式 防火墻映射地址建議采用防火墻映射地址建議采用DIP的轉(zhuǎn)換方的轉(zhuǎn)換方式而非式而非MIP的的轉(zhuǎn)換方式。轉(zhuǎn)換方式。防火墻地址轉(zhuǎn)換防火墻地址轉(zhuǎn)換2.地址轉(zhuǎn)換方式地址轉(zhuǎn)換方式防火墻地址轉(zhuǎn)換采用一一對應(yīng)的方式，區(qū)防火墻地址轉(zhuǎn)換采用一一對應(yīng)的方式，區(qū)域一的同一域一的同一IP地址映射到另一區(qū)域時的地址映射到另一區(qū)域時的映射地址堅持不變，例如映射地址堅

5、持不變，例如Trust域的地址域的地址A經(jīng)過防火墻映射到經(jīng)過防火墻映射到Untrust域為域為A1， Untrust 域的域的B經(jīng)過防火墻映射到經(jīng)過防火墻映射到Trust域為域為B1 A訪問訪問B時：時： 在防火墻在防火墻Trust域域A訪問訪問B1，經(jīng)過，經(jīng)過防火墻映射后在防火墻映射后在Untrust域變?yōu)橛蜃優(yōu)锳1訪問訪問B；B同時需求訪問同時需求訪問A時：時： 在防火墻在防火墻Untrust域域B訪問訪問A1，經(jīng)，經(jīng)過防火墻映射后在過防火墻映射后在Untrust域為域為B1訪問訪問A，此時的，此時的A1和和B1需與需與A訪問訪問B時防火時防火墻轉(zhuǎn)換的墻轉(zhuǎn)換的A1和和B1地址一樣地址一樣防火墻地址轉(zhuǎn)換防火墻地址轉(zhuǎn)換2.地址轉(zhuǎn)換方式地址轉(zhuǎn)換方式防火墻本身平安防火墻本身平安1. 回絕非平安域訪問回絕非平安域訪問 不允許非平安域主機訪問防火墻不允許非平安域主機訪問防火墻2. 設(shè)置授信地址設(shè)置授信地址 允許哪些位于平安域的主機來訪問防允許哪些位于平安域的主機來訪問防火墻，對防火墻進展操作火墻，對防火墻進展操作外聯(lián)區(qū)網(wǎng)絡(luò)部署規(guī)范外聯(lián)區(qū)網(wǎng)絡(luò)部署規(guī)范1. 外聯(lián)第三方外聯(lián)第三方2. 外聯(lián)交換機及路由器配置思緒外聯(lián)交換機及路由器配置思緒3. 外聯(lián)