防火墻第三章課件

第3章網(wǎng)絡(luò)設(shè)計3.1網(wǎng)絡(luò)安全3.2網(wǎng)絡(luò)的防火墻設(shè)計3.3安全策略第3章網(wǎng)絡(luò)設(shè)計3.1網(wǎng)絡(luò)安全13.1.1網(wǎng)絡(luò)安全的定義從狹義的保護角度來講，網(wǎng)絡(luò)安全是指計算機及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不被未授權(quán)的用戶訪問，即計算機、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭破壞、更改或泄露，系統(tǒng)能連續(xù)、可靠、正常地運行，使網(wǎng)絡(luò)服務(wù)不中斷。從廣義來說，凡是涉及計算機網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是計算機網(wǎng)絡(luò)安全的研究領(lǐng)域。3.1網(wǎng)絡(luò)安全下一頁返回3.1.1網(wǎng)絡(luò)安全的定義3.1網(wǎng)絡(luò)安全下一頁返回23.1.2網(wǎng)絡(luò)安全標準1.OSI安全體系結(jié)構(gòu)的安全技術(shù)標準國際標準化組織（ISO）在它所指定的國際標準ISO7498-2中描述了OSI（開放系統(tǒng)互聯(lián)基本參考模型）安全體系結(jié)構(gòu)的5種安全服務(wù)，各服務(wù)的名稱以及用途如表31所示。3.1網(wǎng)絡(luò)安全下一頁返回上一頁3.1.2網(wǎng)絡(luò)安全標準3.1網(wǎng)絡(luò)安全下一頁返回上一頁32.可信計算機評估標準（TrustedComputerSystemEvaluationCriteria，TCSEC）在美國，國家計算機安全中心（NCSC）負責建立可信計算機產(chǎn)品的準則。NCSC建立了可信計算機評估標準，TCSEC指出了一些安全等級，被稱為安全級別，它的范圍從級別A到級別D，其中A是最高級別。高級別在低級別的基礎(chǔ)上提供進一步的安全保護。級別A、B和C還分數(shù)字標明的子級別，各級別的名稱以及描述如表32所示。3.1網(wǎng)絡(luò)安全下一頁返回上一頁2.可信計算機評估標準（TrustedComputer43.我國計算機安全登記劃分與相關(guān)標準對信息系統(tǒng)和安全產(chǎn)品的安全性評估事關(guān)國家安全和社會安全，任何國家不會輕易相信和接受別的國家所作的評估結(jié)果。沒有一個國家會把事關(guān)本國安全利益的信息安全產(chǎn)品和系統(tǒng)的安全可信建立在別人的評估標準、評估體系和評估結(jié)果上。為保險起見，通常要通過本國標準的測試才被認為可靠。1989年公安部在充分借鑒國際標準的前提下，開始設(shè)計和起草法律和標準，并于1999年9月13日由國家質(zhì)量技術(shù)監(jiān)督局審查通過并正式批準發(fā)布，已于2001年1月1日執(zhí)行。3.1網(wǎng)絡(luò)安全下一頁返回上一頁3.我國計算機安全登記劃分與相關(guān)標準3.1網(wǎng)絡(luò)安全下一53.1.3網(wǎng)絡(luò)傳輸過程中的3種安全機制隨著TCP/IP協(xié)議群在互聯(lián)網(wǎng)上的廣泛采用，信息技術(shù)與網(wǎng)絡(luò)技術(shù)得到了飛速發(fā)展。隨之而來的是安全風險問題的急劇增加。為了保護國家公眾信息網(wǎng)以及企業(yè)內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的信息和數(shù)據(jù)的安全，要大力發(fā)展基于信息網(wǎng)絡(luò)的安全技術(shù)。1.信息與網(wǎng)絡(luò)安全技術(shù)的目標由于互聯(lián)網(wǎng)的開放性、連通性和自由性，用戶在享受各類共有信息資源的同時，也存在著自己的秘密信息可能被侵犯或被惡意破壞的危險。信息安全的目標就是保護有可能被侵犯或破壞的機密信息不受外界非法操作者的控制。3.1網(wǎng)絡(luò)安全下一頁返回上一頁3.1.3網(wǎng)絡(luò)傳輸過程中的3種安全機制3.1網(wǎng)絡(luò)安全62.網(wǎng)絡(luò)安全體系結(jié)構(gòu)國際標準化組織（ISO）在開放系統(tǒng)互聯(lián)參考模型（OSI/RM）的基礎(chǔ)上，于1989年制定了在OSI環(huán)境下解決網(wǎng)絡(luò)安全的規(guī)則：安全體系結(jié)構(gòu)。它擴充了基本參考模型，加入了安全問題的各個方面，為開放系統(tǒng)的安全通信提供了一種概念性、功能性以及一致性的途徑。OSI安全體系包含7個層次：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層。在各層次間進行的安全機制有以下幾種。（1）加密機制、（2）安全認證機制、（3）訪問控制策略3.1網(wǎng)絡(luò)安全下一頁返回上一頁2.網(wǎng)絡(luò)安全體系結(jié)構(gòu)3.1網(wǎng)絡(luò)安全下一頁返回上一頁73.1.4網(wǎng)絡(luò)安全重要性網(wǎng)絡(luò)安全是信息安全領(lǐng)域一個非常重要的方面，隨著計算機網(wǎng)絡(luò)的廣泛應(yīng)用，網(wǎng)絡(luò)安全的重要性也日漸突出，網(wǎng)絡(luò)安全已經(jīng)成為國家、國防以及國民經(jīng)濟的重要組成部分。隨著計算機技術(shù)和通信技術(shù)的發(fā)展，計算機網(wǎng)絡(luò)將日益成為工業(yè)、農(nóng)業(yè)和國防等方面的重要信息交換手段，滲透到社會生活的各個領(lǐng)域。因此，認清網(wǎng)絡(luò)的脆弱性和潛在威脅，采取強有力的安全策略，對于保障網(wǎng)絡(luò)信息傳輸?shù)陌踩詫⒆兊檬种匾?.1網(wǎng)絡(luò)安全下一頁返回上一頁3.1.4網(wǎng)絡(luò)安全重要性3.1網(wǎng)絡(luò)安全下一頁返回上一8目前網(wǎng)絡(luò)上已經(jīng)存在著無數(shù)的安全威脅與攻擊，對于它們，也存在著不同的分類方法。這里將網(wǎng)絡(luò)安全威脅分為兩大類：意外威脅和故意威脅?？偟膩碚f，網(wǎng)絡(luò)安全面臨著多種攻擊和威脅，網(wǎng)絡(luò)安全問題必將愈來愈引起人們的重視，保障網(wǎng)絡(luò)安全顯得特別重要。防火墻技術(shù)作為目前用來實現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，它主要是用來拒絕未經(jīng)授權(quán)用戶的訪問，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源。如果使用得當，可以在很大程度上提高網(wǎng)絡(luò)安全。3.1網(wǎng)絡(luò)安全下一頁返回上一頁目前網(wǎng)絡(luò)上已經(jīng)存在著無數(shù)的安全威脅與攻擊，對于它們，也存在著93.1.5網(wǎng)絡(luò)安全問題分類網(wǎng)絡(luò)存在的問題主要有3類。一是機房安全。機房是網(wǎng)絡(luò)設(shè)備運行的關(guān)鍵地方，如果發(fā)生安全問題，如物理安全（火災(zāi)、雷擊、盜賊等）、電氣安全（停電、負載不均等）等情況。二是病毒的侵入和黑客的攻擊。Internet開拓性的發(fā)展使病毒可能成為災(zāi)難。據(jù)美國國家計算機安全協(xié)會（NCSA）最近一項調(diào)查發(fā)現(xiàn)，幾乎100%的美國大公司都曾在他們的網(wǎng)絡(luò)或計算機上經(jīng)歷過計算機病毒的危害。3.1網(wǎng)絡(luò)安全下一頁返回上一頁3.1.5網(wǎng)絡(luò)安全問題分類3.1網(wǎng)絡(luò)安全下一頁返回上10黑客對計算機網(wǎng)絡(luò)構(gòu)成的威脅大體可分為兩種：一是對網(wǎng)絡(luò)中信息的威脅；二是對網(wǎng)絡(luò)中設(shè)備的威脅。它們以各種方式有選擇地破壞信息的有效性和完整性，進行截獲、竊取、破譯以獲得重要機密信息。三是由于管理不健全而造成的安全漏洞。從廣泛的網(wǎng)絡(luò)安全意義范圍來看，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，更是一個管理問題。它包含管理機構(gòu)、法律、技術(shù)、經(jīng)濟各方面。網(wǎng)絡(luò)安全技術(shù)只是實現(xiàn)網(wǎng)絡(luò)安全的工具。因此，要解決網(wǎng)絡(luò)安全問題，必須要有綜合的解決方案。3.1網(wǎng)絡(luò)安全下一頁返回上一頁黑客對計算機網(wǎng)絡(luò)構(gòu)成的威脅大體可分為兩種：一是對網(wǎng)絡(luò)中信息的113.1.6網(wǎng)絡(luò)安全工作的發(fā)展及趨勢縱觀近幾年來網(wǎng)絡(luò)安全領(lǐng)域，網(wǎng)絡(luò)安全工作大致有以下幾個方面的特征。1.需求日益增加，市場潛力巨大2.國內(nèi)廠商日益成熟，競爭日趨激烈3.專業(yè)安全服務(wù)已經(jīng)逐漸引起重視4.網(wǎng)絡(luò)安全整體方案需求更趨實用5.國家重大工程成為網(wǎng)絡(luò)安全市場的巨大推動力3.1網(wǎng)絡(luò)安全返回上一頁3.1.6網(wǎng)絡(luò)安全工作的發(fā)展及趨勢3.1網(wǎng)絡(luò)安全返回123.2.1網(wǎng)絡(luò)拓撲結(jié)構(gòu)把網(wǎng)絡(luò)中各個站點相互連接的方法和形式稱為網(wǎng)絡(luò)拓撲。構(gòu)成網(wǎng)絡(luò)的拓撲結(jié)構(gòu)有很多種，主要有總線型拓撲、星型拓撲、環(huán)型拓撲、樹型拓撲和網(wǎng)狀型拓撲，這些是構(gòu)建網(wǎng)絡(luò)的基本模塊，混合使用這幾種模塊就能作進一步的設(shè)計。以下分別介紹各種拓撲結(jié)構(gòu)的網(wǎng)絡(luò)。1.總線型拓撲結(jié)構(gòu)總線型拓撲結(jié)構(gòu)是指采用單根傳輸線作為總線，所有工作站都共用一條總線。當其中一個工作站發(fā)送信息時，該信息將通過總線傳到每一個工作站上。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回3.2.1網(wǎng)絡(luò)拓撲結(jié)構(gòu)3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返13工作站在接到信息時，先要分析該信息的目標地址與本地地址是否相同，若相同，則接收該信息；若不相同，則拒絕接收?？偩€型拓撲結(jié)構(gòu)的優(yōu)點是電纜長度短，布線容易，便于擴充；其缺點主要是總線中任一處發(fā)生故障將導致整個網(wǎng)絡(luò)的癱瘓，且故障診斷困難。圖31顯示了總線型拓撲結(jié)構(gòu)的示意圖。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁工作站在接到信息時，先要分析該信息的目標地址與本地地址是否相142.星型拓撲結(jié)構(gòu)星型拓撲結(jié)構(gòu)是指網(wǎng)絡(luò)中各工作站都直接連接到集線器（HUB）或交換機上，每個工作站要傳輸數(shù)據(jù)到其他工作站時，都需要通過集線器（HUB）或交換機進行。星型拓撲結(jié)構(gòu)的優(yōu)點是連接方便，故障診斷容易，若一個工作站出現(xiàn)故障不會影響網(wǎng)絡(luò)的運行，可靠性較高；缺點是連接電纜較長，對集線器（HUB）或交換機的依賴性較高。圖32顯示了星型拓撲結(jié)構(gòu)的示意圖。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁2.星型拓撲結(jié)構(gòu)3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁153.環(huán)型拓撲結(jié)構(gòu)環(huán)型拓撲結(jié)構(gòu)是指每一個工作站都連接在一個封閉的環(huán)路中。當一個工作站發(fā)出信息時，該信息會依次通過所有的工作站，每個工作站在接到該信息時，會對該信息的目標地址和本地地址進行比較，若相同，則接收，然后恢復信號的原有強度并繼續(xù)向下發(fā)送；若不同，則不接收，只恢復信號的原有強度并繼續(xù)向下發(fā)送，直到再次發(fā)送到起始工作站為止。環(huán)型拓撲結(jié)構(gòu)具有信號強度不變的優(yōu)點，同時其又具有新增用戶較為困難，網(wǎng)絡(luò)可靠性較差，不易管理的缺點。圖33顯示了環(huán)型拓撲結(jié)構(gòu)的示意圖。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁3.環(huán)型拓撲結(jié)構(gòu)3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁164.樹型拓撲結(jié)構(gòu)樹型網(wǎng)絡(luò)是星形網(wǎng)絡(luò)的一種變體。像星形網(wǎng)絡(luò)一樣，網(wǎng)絡(luò)節(jié)點都連接到控制網(wǎng)絡(luò)的中央節(jié)點上。但并不是所有的設(shè)備都直接接入中央節(jié)點，絕大多數(shù)節(jié)點是先連接到次級中央節(jié)點上再連到中央節(jié)點上，其結(jié)構(gòu)如圖34所示。樹型拓撲結(jié)構(gòu)就像一棵“根”朝上的樹，與總線拓撲結(jié)構(gòu)相比，主要區(qū)別在于總線拓撲結(jié)構(gòu)中沒有“根”。這種拓撲結(jié)構(gòu)的網(wǎng)絡(luò)一般采用同軸電纜，用于軍事單位、政府部門等上、下界限相當嚴格和層次分明的部門。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁4.樹型拓撲結(jié)構(gòu)3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁175.網(wǎng)狀型拓撲結(jié)構(gòu)網(wǎng)狀型網(wǎng)絡(luò)的每一個節(jié)點都與其他節(jié)點有一條專業(yè)線路相連。網(wǎng)狀型拓撲廣泛用于廣域網(wǎng)中。由于網(wǎng)狀網(wǎng)絡(luò)結(jié)構(gòu)很復雜，所以在此只給出圖35所示的抽象結(jié)構(gòu)圖。3.2.2網(wǎng)絡(luò)設(shè)計方法1.定義建設(shè)網(wǎng)絡(luò)的目的定義建設(shè)網(wǎng)絡(luò)的目的是網(wǎng)絡(luò)建設(shè)的第一步，它為網(wǎng)絡(luò)設(shè)計工作指明了方向。一般的網(wǎng)絡(luò)建設(shè)都有以下幾個共同的目的：3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁5.網(wǎng)狀型拓撲結(jié)構(gòu)3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一18●為Internet用戶提供本公司的信息訪問，讓更多的人了解公司。●讓本公司的員工通過網(wǎng)絡(luò)共享Internet資源。●讓本公司的員工通過網(wǎng)絡(luò)訪問共享公司各部門的數(shù)據(jù)。●通過建設(shè)網(wǎng)絡(luò)可以節(jié)省辦公成本和人員管理成本?！裢ㄟ^建設(shè)網(wǎng)絡(luò)來提高公司生產(chǎn)效率。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁●為Internet用戶提供本公司的信息訪問，讓更多的人了192.明確需求一旦定義了網(wǎng)絡(luò)建設(shè)的目的后，就應(yīng)該對網(wǎng)絡(luò)安全的需求進行確認了。典型的網(wǎng)絡(luò)安全需求包括訪問控制、可用性和數(shù)據(jù)完整性。這里有一些與網(wǎng)絡(luò)設(shè)計相關(guān)的問題需要考慮：●公司有哪些服務(wù)需要對外共享？●每個用戶和部門需要訪問哪些數(shù)據(jù)？●部門的安全數(shù)據(jù)應(yīng)該放在網(wǎng)絡(luò)的哪個位置上？●哪些用戶或部門可以訪問Internet？●網(wǎng)絡(luò)性能需要達到什么樣的級別？3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁2.明確需求3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁20●用戶希望什么樣的服務(wù)水平？●本網(wǎng)絡(luò)希望什么樣的技術(shù)支持？3.預算網(wǎng)絡(luò)可用性需求確定后，就可以做一個預算來估計投資、維護費用以及人工費用。設(shè)計以及實施一個可用性達到99.9999%的網(wǎng)絡(luò)比一個只需要99.9%網(wǎng)絡(luò)需要更高的費用。在實際當中，預算通常是在項目籌劃時制定的。項目體系結(jié)構(gòu)完成后對預算再做一些調(diào)整會更加理想，因為這樣會使其更為準確。另外，創(chuàng)建預算時，一定要考慮管理和維護網(wǎng)絡(luò)以及安全的人工時間。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁●用戶希望什么樣的服務(wù)水平？3.2網(wǎng)絡(luò)的防火墻設(shè)計下一214.完成設(shè)計完成上述步驟后就可以創(chuàng)建一個詳細的網(wǎng)絡(luò)設(shè)計。網(wǎng)絡(luò)設(shè)計文檔應(yīng)該詳細描述網(wǎng)絡(luò)，具體細節(jié)包括以下幾方面：●安全特性?！袼薪M件的制造特性?！窬钟蚓W(wǎng)和廣域網(wǎng)連接要求的帶寬?！馡P地址和子網(wǎng)劃分?！馝GP和IGP特性?！袢哂嘈?。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁4.完成設(shè)計3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁22●網(wǎng)絡(luò)管理系統(tǒng)（NetworkManagementSystem，NMS）?！穹?wù)水平協(xié)議（SLA）的測量、處理和技術(shù)。5.創(chuàng)建實施計劃復雜的網(wǎng)絡(luò)設(shè)計要花費非常多的時間去理解和實施，因此，在網(wǎng)絡(luò)設(shè)計時盡量避免過于復雜的結(jié)構(gòu)或流程。實際上，實施計劃是由詳細的網(wǎng)絡(luò)設(shè)計文檔轉(zhuǎn)化而來的。在很多情況下，由于設(shè)計和實施的復雜性，設(shè)計人員和實施人員必須緊密協(xié)作才能保證從設(shè)計到實施的平穩(wěn)過渡。實施常常要求根據(jù)服務(wù)的數(shù)量和規(guī)模劃分為不同的階段，多個小組和用戶的協(xié)調(diào)對于順利實施及對用戶產(chǎn)生最小的影響是很必要的。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁●網(wǎng)絡(luò)管理系統(tǒng)（NetworkManagementSy23實施計劃是一個詳細的一步一步涵蓋每一個設(shè)計要求的過程，它在實施之前要求先在實驗室進行測試，以保證包括了所有的細節(jié)并且結(jié)合得比較緊密。對可用性的要求、資源限制、組織標準都會影響到實驗室測試的復雜程度。6.測試和確認在最后部署設(shè)備之前，判斷一個設(shè)計能否正常工作的最好辦法是對其進行測試和確認。一個獨立的測試確認實驗室可用于比較不同的銷售商的產(chǎn)品、測試配置和新方法、確認共用性。此外，在設(shè)備部署之前也要對維護進行測試，這樣可以減少由于服務(wù)中斷導致的風險。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁實施計劃是一個詳細的一步一步涵蓋每一個設(shè)計要求的過程，它在實243.2.3網(wǎng)絡(luò)防火墻的設(shè)計1.防火墻要能確保滿足的目標防火墻在實施安全的過程中是至關(guān)重要的。一個防火墻策略要符合4個目標，而每個目標通常都不是通過一個單獨的設(shè)備或軟件來實現(xiàn)的。大多數(shù)情況下，防火墻的組件放在一起使用以滿足公司安全目的的需求。防火墻要能確保滿足以下4個目標：3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁3.2.3網(wǎng)絡(luò)防火墻的設(shè)計3.2網(wǎng)絡(luò)的防火墻設(shè)計下一25（1）創(chuàng)建一個安全策略防火墻的主要意圖是強制執(zhí)行你的安全策略。在前面提到過在適當?shù)木W(wǎng)絡(luò)安全中安全策略的重要性。如果安全策略只需對MAIL服務(wù)器的SMTP流量做些限制，那么就只要直接在防火墻強制這些策略。（2）創(chuàng)建一個阻塞點防火墻在一個公司私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)間建立一個檢查點。這種實現(xiàn)要求所有的流量都要通過這個檢查點。一旦這些檢查點清楚地建立，防火墻設(shè)備就可以監(jiān)視、過濾和檢查所有進來和出去的流量。網(wǎng)絡(luò)安全產(chǎn)業(yè)稱這些檢查點為阻塞點。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁（1）創(chuàng)建一個安全策略3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上26通過強制所有進出流量都通過這些檢查點，網(wǎng)絡(luò)管理員可以集中在較少的地方來實現(xiàn)安全目的。如果沒有這樣一個供監(jiān)視和控制信息的檢查點，系統(tǒng)或安全管理員則要在大量的地方來進行監(jiān)測。檢查點的另一個名字叫做網(wǎng)絡(luò)邊界。（3）記錄Internet活動防火墻還能夠強制日志記錄，并且提供警報功能。通過在防火墻上實現(xiàn)日志服務(wù)，安全管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問。好的日志策略是實現(xiàn)適當網(wǎng)絡(luò)安全的有效工具之一。防火墻對于管理員進行日志存檔提供了更多的信息。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁通過強制所有進出流量都通過這些檢查點，網(wǎng)絡(luò)管理員可以集中在較27（4）限制網(wǎng)絡(luò)暴露防火墻在內(nèi)部網(wǎng)絡(luò)周圍創(chuàng)建了一個保護的邊界。并且對于公網(wǎng)隱藏了內(nèi)部系統(tǒng)的一些信息以增加保密性。當遠程節(jié)點偵測內(nèi)部網(wǎng)絡(luò)時，它們僅僅能看到防火墻。遠程設(shè)備將不會知道內(nèi)部網(wǎng)絡(luò)的布局以及都有些什么。防火墻提高認證功能和對網(wǎng)絡(luò)加密來限制網(wǎng)絡(luò)信息的暴露。通過對所能進來的流量實行源檢查，以限制從外部發(fā)動的攻擊。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁（4）限制網(wǎng)絡(luò)暴露3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一282.考慮的事項●性能需要在充分的安全/防火墻和數(shù)據(jù)訪問之間作精心的平衡。在訪問列表或過濾處理中應(yīng)用的安全水平越高，性能就會越差?！襁^濾器在使用IP地址進行訪問控制時效率較高。然而，對于許多設(shè)備來說，過濾表越長，需要對每個包進行檢查的時間就越長?！裣到y(tǒng)提供過濾服務(wù)的速度能達到千兆。性能受不同因素影響會有所區(qū)別，這些因素包括使用了多少過濾器、軟件對包的掃描有多深（OSI模型三層到七層）、流量的類型。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁2.考慮的事項3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁29●加密和解密會產(chǎn)生延遲?！褡柚箤δ承┒丝诘脑L問是保證性能的有效手段，但這將同樣會阻止那些使用這些端口的應(yīng)用。3.設(shè)計網(wǎng)絡(luò)防火墻的技術(shù)設(shè)計網(wǎng)絡(luò)邊界時可采用不同的技術(shù)，以提供不同層次的安全、服務(wù)和性能。下面是防火墻設(shè)計中常見的技術(shù)類型，可以提供出色的安全?！穹擒娛聟^(qū)（DMZ）?！癖局鳈C?！襁^濾網(wǎng)關(guān)。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁●加密和解密會產(chǎn)生延遲。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返30（1）非軍事區(qū)非軍事區(qū)是一段網(wǎng)絡(luò)，它允許Internet流量出入Intranet，同時仍能保證Intranet的安全。DMZ（DemilitarizedZone）提供了在Internet和Intranet之間的緩沖。DMZ通過使用服務(wù)器和第三層設(shè)備防止Intranet直接暴露給Internet，從而提高了安全性。DMZ中連接的服務(wù)器可能包括為內(nèi)部用戶提供Web訪問的代理服務(wù)器、提供安全遠程訪問的VPN服務(wù)器，以及其他諸如郵件服務(wù)器和域名服務(wù)器等。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁（1）非軍事區(qū)3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁31（2）堡壘主機堡壘主機是指在極其關(guān)鍵的位置上用于安全防御的某個系統(tǒng)。堡壘主機系統(tǒng)必須檢查所有進入的流量并強制執(zhí)行在安全策略里所指定的規(guī)則，它們還必須準備好對付從外部來的攻擊和可能來自內(nèi)部的資源。堡壘主機系統(tǒng)還有日志記錄及警報的特性來阻止攻擊。有時檢測到一個威脅時也會采取行動。對于此系統(tǒng)的安全要給予額外關(guān)注，還要有例行的審計和安全檢查。如果攻擊者要攻擊內(nèi)部網(wǎng)絡(luò)，那他們只能攻擊到這臺堡壘主機。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁（2）堡壘主機3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁32堡壘主機可以是3種防火墻中的任一種類型：包過濾，電路級網(wǎng)關(guān)，應(yīng)用級網(wǎng)關(guān)。通常人們使用經(jīng)過加固的且沒有IP轉(zhuǎn)發(fā)的系統(tǒng)作為Internet和Intranet間的堡壘主機。Internet和Intranet都可以對堡壘主機的數(shù)據(jù)進行訪問，但這兩個網(wǎng)絡(luò)從來不能直接交換數(shù)據(jù)?？梢栽诒局鳈C上放置和更新Web服務(wù)，此時堡壘主機會阻止從Internet到Intranet的網(wǎng)絡(luò)訪問。（3）過濾網(wǎng)關(guān)“過濾網(wǎng)關(guān)”是一個起防火墻作用的路由器，它通過選擇TCP和UDP端口來進行流量的過濾，很多情況下它也阻止ICMP包。被阻止的來自Internet的訪問主要集中于那些危險性很高的服務(wù)。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁堡壘主機可以是3種防火墻中的任一種類型：包過濾，電路級網(wǎng)關(guān)，33使用過濾網(wǎng)關(guān)是一種非常常用的防止訪問Intranet的方法。傳統(tǒng)的防火墻通過在OSI的更高層增加屏蔽網(wǎng)絡(luò)流量的方式拓展了過濾網(wǎng)關(guān)的概念。4.設(shè)計規(guī)則當構(gòu)造防火墻設(shè)備時，經(jīng)常要遵循下面兩個主要的概念：第一，保持設(shè)計的簡單性；第二，要計劃好一旦防火墻被滲透應(yīng)該怎么辦。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁使用過濾網(wǎng)關(guān)是一種非常常用的防止訪問Intranet的方法。34（1）保持設(shè)計的簡單性一個黑客滲透系統(tǒng)最常見的方法就是利用安裝在堡壘主機上不注意的組件。建立你的堡壘主機時要盡可能使用較小的組件，無論硬件還是軟件。堡壘主機的建立只需提供防火墻功能。在防火墻主機上不要安裝像Web服務(wù)的應(yīng)用程序。要刪除堡壘主機上所有不必需的服務(wù)或守護進程。在堡壘主機上運行少量的服務(wù)給潛在的黑客很少的機會穿過防火墻。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁（1）保持設(shè)計的簡單性3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回35（2）安排事故計劃如果已設(shè)計好防火墻性能，并且規(guī)定只有通過防火墻才能允許公共訪問內(nèi)部網(wǎng)絡(luò)。當設(shè)計防火墻時，安全管理員要對防火墻主機崩潰或危及的情況做出計劃。如果僅僅是用一個防火墻設(shè)備把內(nèi)部網(wǎng)絡(luò)和公網(wǎng)隔離開，那么黑客滲透進防火墻后就會對內(nèi)部的網(wǎng)絡(luò)有著完全訪問的權(quán)限。為了防止這種滲透，要設(shè)計幾種不同級別的防火墻設(shè)備。不要依賴一個單獨的防火墻保護單獨的網(wǎng)絡(luò)。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁（2）安排事故計劃3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一365.4種常見的防火墻設(shè)計4種常見的防火墻設(shè)計都提供一個確定的安全級別，一個簡單的規(guī)則是越敏感的數(shù)據(jù)就要采取越廣泛的防火墻策略，這4種防火墻的實施都是建立一個過濾的矩陣和能夠執(zhí)行和保護信息的點。這4種選擇是：●篩選路由器?！駟嗡拗鞅局鳈C?！耠p宿主堡壘主機?！衿帘巫泳W(wǎng)。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁5.4種常見的防火墻設(shè)計3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁37篩選路由器的選擇是最簡單的，因此也是最常見的，大多數(shù)公司至少使用一個篩選路由器作為解決方案，因為所有需要的硬件已經(jīng)投入使用。用于創(chuàng)建篩選主機防火墻的兩個選擇是單宿主堡壘主機和雙宿主堡壘主機。不管是電路級還是應(yīng)用級網(wǎng)關(guān)的配置，都要求所有的流量通過堡壘主機。最后一個常用的方法是篩選子網(wǎng)防火墻，利用額外的包過濾路由器來達到另一個安全的級別。在企業(yè)組織中，常常有兩個不同的防火墻：外圍防火墻和內(nèi)部防火墻。雖然這些防火墻的任務(wù)相似，但是它們有不同的側(cè)重點，外圍防火墻主要提供對不受信任的外部用戶的限制，而內(nèi)部防火墻主要防止外部用戶訪問內(nèi)部網(wǎng)絡(luò)并且限制內(nèi)部用戶可以執(zhí)行的操作。3.2網(wǎng)絡(luò)的防火墻設(shè)計返回上一頁篩選路由器的選擇是最簡單的，因此也是最常見的，大多數(shù)公司至少383.3.1接受使用策略接受使用策略定義了公司網(wǎng)絡(luò)資源的使用方法。通過使用合理的安全策略、確保系統(tǒng)和設(shè)備進行適當?shù)募庸蹋涂梢詣?chuàng)建出更易管理的安全環(huán)境。此外，策略的條文也使得管理人員能夠?qū)`反策略者進行約束?？山邮苁褂貌呗缘牡湫蜅l款如下：●策略的范圍，就是指策略適用于哪個網(wǎng)絡(luò)、哪些用戶及哪些技術(shù)。●一個清晰的確認書，要求用戶聲明他／她已經(jīng)閱讀、理解并同意遵守此策略?！襁`反策略的后果。3.3安全策略下一頁返回3.3.1接受使用策略3.3安全策略下一頁返回39●明確聲明用戶在使用公司網(wǎng)絡(luò)時將不能得到隱私保證，因為所有活動都會提交給安全監(jiān)測。●聲明在使用公司資源時各種可接受的和不可接受的行為。3.3.2特殊策略除了有一個管理公司系統(tǒng)的整體策略，還需要有一些特殊策略才能保證系統(tǒng)的使用和管理符合預期的目標。特殊策略細化了安全措施，可以保護網(wǎng)絡(luò)中的系統(tǒng)免受有意的或無意的破壞。特殊策略包括以下一些（但又不止是這些）：3.3安全策略下一頁返回上一頁●明確聲明用戶在使用公司網(wǎng)絡(luò)時將不能得到隱私保證，因為所有401.賬戶和密碼對于用戶來說，賬戶和密碼是第一道防線。每個用戶都有自己賬戶和密碼的控制權(quán)。這條策略規(guī)定了進行賬戶及密碼管理的組織標準。2.軟件應(yīng)用程序和操作系統(tǒng)的銷售商會經(jīng)常發(fā)布補丁、服務(wù)包及版本更新等來為軟件添加新的特性、改進功能、修改錯誤和彌補新發(fā)現(xiàn)的安全漏洞。公司的安全管理員應(yīng)主動瀏覽銷售商的網(wǎng)頁并訂閱郵件列表，以及時收到軟件更新的通知。這些更新在實施前要根據(jù)事先確定的如何進行測試、備份及恢復的策略做慎重的考慮。3.3安全策略下一頁返回上一頁1.賬戶和密碼3.3安全策略下一頁返回上一頁41此外，還要使用一些工具定期檢查可能的漏洞，因為有些漏洞可能是在上次檢查和打補丁后出現(xiàn)的。3.物理安全一般的安全策略都會包括邏輯的和軟件的安全，而物理安全策略指明了公司為減少通信設(shè)施風險所應(yīng)采取的行動，因為，若某人可以接觸這些設(shè)施，則他就可能有意地或無意地進行破壞。4.監(jiān)控策略服務(wù)器和網(wǎng)絡(luò)設(shè)備一般都有記錄日志的功能，可提供數(shù)據(jù)幫助判定違反安全策略事件的來源。對這些數(shù)據(jù)進行監(jiān)控可以找出事故前后的有用信息，這樣就能提高公司系統(tǒng)的安全系數(shù)。3.3安全策略下一頁返回上一頁此外，還要使用一些工具定期檢查可能的漏洞，因為有些漏洞可能是423.3.3設(shè)置防火墻的要素1.網(wǎng)絡(luò)策略影響Firewall系統(tǒng)設(shè)計、安裝和使用的網(wǎng)絡(luò)策略可分為兩級，高級的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)，低級的網(wǎng)絡(luò)策略描述Firewall如何限制和過濾在高級策略中定義的服務(wù)。2.服務(wù)訪問策略服務(wù)訪問策略集中在Internet訪問服務(wù)以及外部網(wǎng)絡(luò)訪問（如撥入策略、SLIP/PPP連接等）。服務(wù)訪問策略必須是可行的和合理的。可行的策略必須在阻止已知的網(wǎng)絡(luò)風險和提供用戶服務(wù)之間獲得平衡。3.3安全策略下一頁返回上一頁3.3.3設(shè)置防火墻的要素3.3安全策略下一頁返回上433.3.4防火墻策略及設(shè)計防火墻策略也稱為防火墻的安全規(guī)則，它是防火墻實施網(wǎng)絡(luò)保護的重要依據(jù)。防火墻策略設(shè)計的好壞直接影響到防火墻防護功能能否成功實現(xiàn)。因此首先要對防火墻策略有所了解和認識，下面從幾個方面來介紹防火墻的策略以及設(shè)計。1.什么是防火墻策略黑客攻擊采用算法進行程序設(shè)計，分為多種攻擊方式，防火墻之所以防范黑客，原理是根據(jù)黑客的算法，設(shè)計出相應(yīng)的防范規(guī)則加入防火墻。如果在工作狀態(tài)下，檢測到該訪問符合預先設(shè)定的判別黑客的防范規(guī)則，則禁止該訪問，達到防范目的。3.3安全策略下一頁返回上一頁3.3.4防火墻策略及設(shè)計3.3安全策略下一頁返回上44預先在防火墻內(nèi)設(shè)定的黑客判別規(guī)則稱為防火墻策略。防火墻策略越多，性能越好，但由于策略越多將導致防火墻運算加大，因此通信量將大幅度降低。防火墻策略和防火墻通信量是相互矛盾的。2.防火墻策略特性（1）防火墻的主要意圖是強制執(zhí)行安全策略應(yīng)給予特別注意的是，防火墻不僅僅是路由器、堡壘主機或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構(gòu)的信息資源。3.3安全策略下一頁返回上一頁預先在防火墻內(nèi)設(shè)定的黑客判別規(guī)則稱為防火墻策略。防火墻策略越45所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級別加以保護。僅設(shè)立防火墻系統(tǒng)而沒有全面的安全策略，那么防火墻就形同虛設(shè)。（2）防火墻安全策略的主要功能就是實施訪問控制規(guī)則訪問控制的主要原則可以表達為“必須禁止那些未經(jīng)許可的訪問”。除了訪問控制規(guī)則以外，防火墻安全策略還定義了何種類型的流量需要記入日志、何種類型的流量應(yīng)當產(chǎn)生告警。它還定義了地址使用翻譯規(guī)則、加強連接授權(quán)以及VPN使用設(shè)置等。3.3安全策略下一頁返回上一頁所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級別加以保護。僅46（3）安全策略定義錯誤已經(jīng)成為一個安全風險傳統(tǒng)安全策略定義使用一些規(guī)則列表，針對安全引擎的不同而不同，或者把一些規(guī)則綜合起來，以便同時適應(yīng)多個安全引擎，無論使用何種方式，依賴于網(wǎng)絡(luò)連接的企業(yè)安全策略都傾向于越來越龐大、難于理解以及難以維護。（4）安全策略是防火墻的靈魂和基礎(chǔ)在建立防火墻之前要在安全現(xiàn)狀、風險評估和商業(yè)需求的基礎(chǔ)上提出一個完備的總體安全策略，這是配置防火墻的關(guān)鍵。安全策略可以按如下兩個邏輯來制定：3.3安全策略下一頁返回上一頁（3）安全策略定義錯誤已經(jīng)成為一個安全風險3.3安全策略47·準許訪問除明確拒絕以外的全部訪問——所有未被禁止的都允許訪問?！ぞ芙^訪問除明確準許的全部訪問——所有未被允許的都禁止訪問?？梢钥闯龊笠贿壿嬒拗菩源?，前一邏輯比較寬松。（5）增強的認證許多在Internet上發(fā)生的入侵事件源于脆弱的傳統(tǒng)用戶/口令機制。多年來，用戶被告知使用難于猜測和難以破譯的口令，雖然如此，攻擊者仍然在Internet上監(jiān)視傳輸?shù)目诹蠲魑模箓鹘y(tǒng)的口令機制形同虛設(shè)。增強的認證機制包含智能卡，認證令牌，3.3安全策略下一頁返回上一頁·準許訪問除明確拒絕以外的全部訪問——所有未被禁止的都允許訪48生理特征（指紋）以及基于軟件（RSA）等技術(shù)，以此來克服傳統(tǒng)口令的弱點?，F(xiàn)在存在多種認證技術(shù)，它們均使用增強的認證機制產(chǎn)生難被攻擊者重用的口令和密鑰。目前許多流行的增強機制使用一次有效的口令和密鑰（如SmartCard和認證令牌）。3.防火墻策略的設(shè)計原則設(shè)計防火墻策略應(yīng)該遵守的原則如下：●只允許想要允許的客戶、源地址、目的地和協(xié)議。仔細地檢查每一條規(guī)則，看規(guī)則的元素是否和所需要的一致?！窬芙^的規(guī)則一定要放在允許的規(guī)則前面。3.3安全策略下一頁返回上一頁生理特征（指紋）以及基于軟件（RSA）等技術(shù)，以此來克服傳統(tǒng)49●當需要使用拒絕時，顯式拒絕是首要考慮的方式。●在不影響防火墻策略執(zhí)行效果的情況下，將匹配度更高的規(guī)則放在前面?！裨诓挥绊懛阑饓Σ呗詧?zhí)行效果的情況下，將針對所有用戶的規(guī)則放在前面。●盡量簡化規(guī)則，執(zhí)行一條規(guī)則的效率永遠比執(zhí)行兩條規(guī)則的效率高?！袢绻梢酝ㄟ^配置系統(tǒng)策略來實現(xiàn)，就沒有必要再建立自定義規(guī)則。3.3安全策略下一頁返回上一頁●當需要使用拒絕時，顯式拒絕是首要考慮的方式。3.350●每條訪問規(guī)則都是獨立的，執(zhí)行每條訪問規(guī)則時不會受到其他訪問規(guī)則的影響?！癫灰试S任何網(wǎng)絡(luò)訪問防火墻本機的所有協(xié)議，包括內(nèi)部網(wǎng)絡(luò)?！駸o論作為訪問規(guī)則中的目的還是源，最好使用IP地址?！袢绻欢ㄒ谠L問規(guī)則中使用域名集或URL集，最好將客戶配置為Web代理客戶?！穹阑饓Σ呗缘臏y試是必需的。3.3安全策略下一頁返回上一頁●每條訪問規(guī)則都是獨立的，執(zhí)行每條訪問規(guī)則時不會受到其他訪514.防火墻策略設(shè)計防火墻的策略是實現(xiàn)成功的、安全的防火墻的保證，它是一系列規(guī)則的集合。在安全審計中，經(jīng)常能看到一些由于規(guī)則配置的錯誤而將內(nèi)部網(wǎng)絡(luò)暴露于危險之中的案例。因此設(shè)計、建立和維護一個可靠、安全的防火墻規(guī)則集是保障網(wǎng)絡(luò)的關(guān)鍵。不管是哪種類型的防火墻，設(shè)計規(guī)則集的基本原理都相同。那么，如何建立一個安全的規(guī)則集呢？這里介紹從一個虛構(gòu)企業(yè)的安全策略開始設(shè)計防火墻規(guī)則集。3.3安全策略下一頁返回上一頁4.防火墻策略設(shè)計3.3安全策略下一頁返回上一頁52（1）安全策略管理層規(guī)定實施什么樣的安全策略，防火墻是策略得以實施的技術(shù)工具。所以，在建立規(guī)則集之前必須理解安全策略。（2）安全體系結(jié)構(gòu)作為管理員，第一步是將安全策略轉(zhuǎn)化為安全體系結(jié)構(gòu)。必須要添加DNS。作為安全管理員，要實現(xiàn)SplitDNS。SplitDNS是指在兩臺不同的服務(wù)器上分離DNS的功能，通過使用外部DNS服務(wù)器和內(nèi)部用戶使用的映射內(nèi)部網(wǎng)絡(luò)信息的內(nèi)部DNS服務(wù)器來實現(xiàn)。3.3安全策略下一頁返回上一頁（1）安全策略3.3安全策略下一頁返回上一頁53（3）規(guī)則次序在建立規(guī)則集之前，必須要確定規(guī)則次序。認識到哪條規(guī)則放在哪個之上是非常關(guān)鍵的。同樣的規(guī)則，以不同的次序放置，可能完全改變防火墻的運轉(zhuǎn)情況。很多防火墻以順序方式檢查信息包。當它發(fā)現(xiàn)一條匹配規(guī)則時，就停止檢查并應(yīng)用該規(guī)則。通常，較特殊的規(guī)則在前，較普通的規(guī)則在后，防止在找到一個特殊規(guī)則之前與普通規(guī)則相匹配，這將使防火墻避免配置錯誤。3.3安全策略下一頁返回上一頁（3）規(guī)則次序3.3安全策略下一頁返回上一頁54（4）規(guī)則集配置防火墻時，按照以下步驟設(shè)計規(guī)則集可以滿足前面的安全策略，這里簡要概述每條規(guī)則、為什么選擇這條規(guī)則和它的重要性：●默認性能：這是防火墻產(chǎn)品出廠時的設(shè)置，用戶設(shè)計規(guī)則集之前，首先應(yīng)該要切斷默認性能以清除原有規(guī)則，配置新規(guī)則?！駜?nèi)部出網(wǎng)：第一條規(guī)則是允許內(nèi)部網(wǎng)絡(luò)的任何人出網(wǎng)?！矜i定：添加鎖定規(guī)則，阻塞對防火墻的任何訪問。除了防火墻管理員，任何人都不能訪問防火墻。3.3安全策略下一頁返回上一頁（4）規(guī)則集3.3安全策略下一頁返回上一頁55●管理員訪問：沒有人能連接防火墻，包括管理員。必須創(chuàng)立一條規(guī)則允許管理員訪問防火墻?！駚G棄全部：在默認情況下，丟棄所有不能與任何規(guī)則匹配的信息包?！癫挥涗洠和ǔ?，網(wǎng)絡(luò)上大量被防火墻丟棄并記錄的通信通話會很快將日志填滿，創(chuàng)立一條規(guī)則丟棄/拒絕這種通話，但不記錄它。●DNS訪問：允許Internet用戶訪問DNS服務(wù)器?！襦]件訪問：希望Internet和內(nèi)部用戶通過SMTP訪問郵件服務(wù)器，內(nèi)部用戶通過POP訪問郵件服務(wù)器。3.3安全策略下一頁返回上一頁●管理員訪問：沒有人能連接防火墻，包括管理員。必須創(chuàng)立一條56●Web訪問：希望Internet和內(nèi)部用戶通過HTTP訪問Web服務(wù)器?！褡枞鸇MZ：必須阻止內(nèi)部用戶公開訪問DMZ?！馜MZ的規(guī)則：DMZ應(yīng)該從不啟動與內(nèi)部網(wǎng)絡(luò)的連接。只要有從DMZ到內(nèi)部用戶的通話，它就會拒絕、記錄并發(fā)出警告?！窆芾韱T訪問內(nèi)部網(wǎng)絡(luò)：允許管理員（受限于特殊的資源IP）以加密方式訪問內(nèi)部網(wǎng)絡(luò)?！裥阅埽喊炎畛Ｓ玫囊?guī)則移到規(guī)則集的頂端，以提高性能?！袢肭謾z測功能：有助于那些喜歡掃描檢測的人。3.3安全策略下一頁返回上一頁●Web訪問：希望Internet和內(nèi)部用戶通過HTTP57●附加規(guī)則：可以添加一些附加規(guī)則，例如，阻塞任何來自廣告商基于IP地址的連接，這可節(jié)省用戶時間并提高性能。（5）更新規(guī)則在組織好規(guī)則之后，建議應(yīng)在規(guī)則后寫上注釋并經(jīng)常更新。注釋幫助明白哪條規(guī)則做什么。對規(guī)則理解得越好，錯誤配置的可能性就越小。對那些有多重防火墻的大機構(gòu)來說，建議當規(guī)則被修改時，把規(guī)則更改者的名字、規(guī)則變更的日期/時間以及規(guī)則變更的原因等信息加入注釋中，這將幫助跟蹤誰修改了哪條規(guī)則以及修改的原因。3.3安全策略返回上一頁●附加規(guī)則：可以添加一些附加規(guī)則，例如，阻塞任何來自廣告商58表3-1安全服務(wù)返回身份驗證（Authentication）身份驗證是證明用戶及服務(wù)器身份的過程訪問控制（AccessControl）一旦用戶身份被驗證就發(fā)生訪問控制，這個過程決定用戶可以使用、瀏覽或改變哪些系統(tǒng)資源數(shù)據(jù)保密（DataConfidentiality）這項服務(wù)通常使用加密技術(shù)保護數(shù)據(jù)免于未授權(quán)的泄露，可以避免被動威脅數(shù)據(jù)完整性（DataIntegrity）這項服務(wù)通過檢驗或維護信息的一致性，避免主動威脅抗否認（Non-Reputation）否認是指否認參加全部或部分事務(wù)能力?？狗裾J服務(wù)提供關(guān)于服務(wù)、過程或部分信息的起源證明或發(fā)送證明表3-1安全服務(wù)返回身份驗證（Authenticati59表3-2TCSEC安全級別返回級別名稱描述例子A1可驗證的安全設(shè)計此級別要求嚴格的數(shù)學證明，證明系統(tǒng)不會危及安全HoneywellscompB3安全域機制提供數(shù)據(jù)隱藏和分層，保護層與層之間的所有交互信息Honeywell，federalB2結(jié)構(gòu)化安全保護支持硬件保護，內(nèi)存區(qū)域被虛擬分段，并進行嚴格保護XENIX，HoneywellMulticsB1標號安全保護除C2的保護級別外，把用戶隔離成各個單元以提供進一步的保護AT&TSystemVC2訪問控制保護以用戶為單位的存儲控制，廣泛的審計、跟蹤，對資源、數(shù)據(jù)、文件和進程提供系統(tǒng)級別的保護Windows2000、UNIXC1選擇的安全保護用戶與數(shù)據(jù)分離，不區(qū)分用戶群，以用戶組為單位早期的UNIXD最小保護無內(nèi)在的安全保護MS-DOS表3-2TCSEC安全級別返回級別名稱描述60圖3-1總線型網(wǎng)絡(luò)返回圖3-1總線型網(wǎng)絡(luò)返回61圖3-2星型網(wǎng)絡(luò)返回圖3-2星型網(wǎng)絡(luò)返回62圖3-3環(huán)型網(wǎng)絡(luò)返回圖3-3環(huán)型網(wǎng)絡(luò)返回63圖3-4樹型網(wǎng)絡(luò)返回圖3-4樹型網(wǎng)絡(luò)返回64第3章網(wǎng)絡(luò)設(shè)計3.1網(wǎng)絡(luò)安全3.2網(wǎng)絡(luò)的防火墻設(shè)計3.3安全策略第3章網(wǎng)絡(luò)設(shè)計3.1網(wǎng)絡(luò)安全653.1.1網(wǎng)絡(luò)安全的定義從狹義的保護角度來講，網(wǎng)絡(luò)安全是指計算機及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不被未授權(quán)的用戶訪問，即計算機、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭破壞、更改或泄露，系統(tǒng)能連續(xù)、可靠、正常地運行，使網(wǎng)絡(luò)服務(wù)不中斷。從廣義來說，凡是涉及計算機網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是計算機網(wǎng)絡(luò)安全的研究領(lǐng)域。3.1網(wǎng)絡(luò)安全下一頁返回3.1.1網(wǎng)絡(luò)安全的定義3.1網(wǎng)絡(luò)安全下一頁返回663.1.2網(wǎng)絡(luò)安全標準1.OSI安全體系結(jié)構(gòu)的安全技術(shù)標準國際標準化組織（ISO）在它所指定的國際標準ISO7498-2中描述了OSI（開放系統(tǒng)互聯(lián)基本參考模型）安全體系結(jié)構(gòu)的5種安全服務(wù)，各服務(wù)的名稱以及用途如表31所示。3.1網(wǎng)絡(luò)安全下一頁返回上一頁3.1.2網(wǎng)絡(luò)安全標準3.1網(wǎng)絡(luò)安全下一頁返回上一頁672.可信計算機評估標準（TrustedComputerSystemEvaluationCriteria，TCSEC）在美國，國家計算機安全中心（NCSC）負責建立可信計算機產(chǎn)品的準則。NCSC建立了可信計算機評估標準，TCSEC指出了一些安全等級，被稱為安全級別，它的范圍從級別A到級別D，其中A是最高級別。高級別在低級別的基礎(chǔ)上提供進一步的安全保護。級別A、B和C還分數(shù)字標明的子級別，各級別的名稱以及描述如表32所示。3.1網(wǎng)絡(luò)安全下一頁返回上一頁2.可信計算機評估標準（TrustedComputer683.我國計算機安全登記劃分與相關(guān)標準對信息系統(tǒng)和安全產(chǎn)品的安全性評估事關(guān)國家安全和社會安全，任何國家不會輕易相信和接受別的國家所作的評估結(jié)果。沒有一個國家會把事關(guān)本國安全利益的信息安全產(chǎn)品和系統(tǒng)的安全可信建立在別人的評估標準、評估體系和評估結(jié)果上。為保險起見，通常要通過本國標準的測試才被認為可靠。1989年公安部在充分借鑒國際標準的前提下，開始設(shè)計和起草法律和標準，并于1999年9月13日由國家質(zhì)量技術(shù)監(jiān)督局審查通過并正式批準發(fā)布，已于2001年1月1日執(zhí)行。3.1網(wǎng)絡(luò)安全下一頁返回上一頁3.我國計算機安全登記劃分與相關(guān)標準3.1網(wǎng)絡(luò)安全下一693.1.3網(wǎng)絡(luò)傳輸過程中的3種安全機制隨著TCP/IP協(xié)議群在互聯(lián)網(wǎng)上的廣泛采用，信息技術(shù)與網(wǎng)絡(luò)技術(shù)得到了飛速發(fā)展。隨之而來的是安全風險問題的急劇增加。為了保護國家公眾信息網(wǎng)以及企業(yè)內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的信息和數(shù)據(jù)的安全，要大力發(fā)展基于信息網(wǎng)絡(luò)的安全技術(shù)。1.信息與網(wǎng)絡(luò)安全技術(shù)的目標由于互聯(lián)網(wǎng)的開放性、連通性和自由性，用戶在享受各類共有信息資源的同時，也存在著自己的秘密信息可能被侵犯或被惡意破壞的危險。信息安全的目標就是保護有可能被侵犯或破壞的機密信息不受外界非法操作者的控制。3.1網(wǎng)絡(luò)安全下一頁返回上一頁3.1.3網(wǎng)絡(luò)傳輸過程中的3種安全機制3.1網(wǎng)絡(luò)安全702.網(wǎng)絡(luò)安全體系結(jié)構(gòu)國際標準化組織（ISO）在開放系統(tǒng)互聯(lián)參考模型（OSI/RM）的基礎(chǔ)上，于1989年制定了在OSI環(huán)境下解決網(wǎng)絡(luò)安全的規(guī)則：安全體系結(jié)構(gòu)。它擴充了基本參考模型，加入了安全問題的各個方面，為開放系統(tǒng)的安全通信提供了一種概念性、功能性以及一致性的途徑。OSI安全體系包含7個層次：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層。在各層次間進行的安全機制有以下幾種。（1）加密機制、（2）安全認證機制、（3）訪問控制策略3.1網(wǎng)絡(luò)安全下一頁返回上一頁2.網(wǎng)絡(luò)安全體系結(jié)構(gòu)3.1網(wǎng)絡(luò)安全下一頁返回上一頁713.1.4網(wǎng)絡(luò)安全重要性網(wǎng)絡(luò)安全是信息安全領(lǐng)域一個非常重要的方面，隨著計算機網(wǎng)絡(luò)的廣泛應(yīng)用，網(wǎng)絡(luò)安全的重要性也日漸突出，網(wǎng)絡(luò)安全已經(jīng)成為國家、國防以及國民經(jīng)濟的重要組成部分。隨著計算機技術(shù)和通信技術(shù)的發(fā)展，計算機網(wǎng)絡(luò)將日益成為工業(yè)、農(nóng)業(yè)和國防等方面的重要信息交換手段，滲透到社會生活的各個領(lǐng)域。因此，認清網(wǎng)絡(luò)的脆弱性和潛在威脅，采取強有力的安全策略，對于保障網(wǎng)絡(luò)信息傳輸?shù)陌踩詫⒆兊檬种匾?.1網(wǎng)絡(luò)安全下一頁返回上一頁3.1.4網(wǎng)絡(luò)安全重要性3.1網(wǎng)絡(luò)安全下一頁返回上一72目前網(wǎng)絡(luò)上已經(jīng)存在著無數(shù)的安全威脅與攻擊，對于它們，也存在著不同的分類方法。這里將網(wǎng)絡(luò)安全威脅分為兩大類：意外威脅和故意威脅?？偟膩碚f，網(wǎng)絡(luò)安全面臨著多種攻擊和威脅，網(wǎng)絡(luò)安全問題必將愈來愈引起人們的重視，保障網(wǎng)絡(luò)安全顯得特別重要。防火墻技術(shù)作為目前用來實現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，它主要是用來拒絕未經(jīng)授權(quán)用戶的訪問，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源。如果使用得當，可以在很大程度上提高網(wǎng)絡(luò)安全。3.1網(wǎng)絡(luò)安全下一頁返回上一頁目前網(wǎng)絡(luò)上已經(jīng)存在著無數(shù)的安全威脅與攻擊，對于它們，也存在著733.1.5網(wǎng)絡(luò)安全問題分類網(wǎng)絡(luò)存在的問題主要有3類。一是機房安全。機房是網(wǎng)絡(luò)設(shè)備運行的關(guān)鍵地方，如果發(fā)生安全問題，如物理安全（火災(zāi)、雷擊、盜賊等）、電氣安全（停電、負載不均等）等情況。二是病毒的侵入和黑客的攻擊。Internet開拓性的發(fā)展使病毒可能成為災(zāi)難。據(jù)美國國家計算機安全協(xié)會（NCSA）最近一項調(diào)查發(fā)現(xiàn)，幾乎100%的美國大公司都曾在他們的網(wǎng)絡(luò)或計算機上經(jīng)歷過計算機病毒的危害。3.1網(wǎng)絡(luò)安全下一頁返回上一頁3.1.5網(wǎng)絡(luò)安全問題分類3.1網(wǎng)絡(luò)安全下一頁返回上74黑客對計算機網(wǎng)絡(luò)構(gòu)成的威脅大體可分為兩種：一是對網(wǎng)絡(luò)中信息的威脅；二是對網(wǎng)絡(luò)中設(shè)備的威脅。它們以各種方式有選擇地破壞信息的有效性和完整性，進行截獲、竊取、破譯以獲得重要機密信息。三是由于管理不健全而造成的安全漏洞。從廣泛的網(wǎng)絡(luò)安全意義范圍來看，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，更是一個管理問題。它包含管理機構(gòu)、法律、技術(shù)、經(jīng)濟各方面。網(wǎng)絡(luò)安全技術(shù)只是實現(xiàn)網(wǎng)絡(luò)安全的工具。因此，要解決網(wǎng)絡(luò)安全問題，必須要有綜合的解決方案。3.1網(wǎng)絡(luò)安全下一頁返回上一頁黑客對計算機網(wǎng)絡(luò)構(gòu)成的威脅大體可分為兩種：一是對網(wǎng)絡(luò)中信息的753.1.6網(wǎng)絡(luò)安全工作的發(fā)展及趨勢縱觀近幾年來網(wǎng)絡(luò)安全領(lǐng)域，網(wǎng)絡(luò)安全工作大致有以下幾個方面的特征。1.需求日益增加，市場潛力巨大2.國內(nèi)廠商日益成熟，競爭日趨激烈3.專業(yè)安全服務(wù)已經(jīng)逐漸引起重視4.網(wǎng)絡(luò)安全整體方案需求更趨實用5.國家重大工程成為網(wǎng)絡(luò)安全市場的巨大推動力3.1網(wǎng)絡(luò)安全返回上一頁3.1.6網(wǎng)絡(luò)安全工作的發(fā)展及趨勢3.1網(wǎng)絡(luò)安全返回763.2.1網(wǎng)絡(luò)拓撲結(jié)構(gòu)把網(wǎng)絡(luò)中各個站點相互連接的方法和形式稱為網(wǎng)絡(luò)拓撲。構(gòu)成網(wǎng)絡(luò)的拓撲結(jié)構(gòu)有很多種，主要有總線型拓撲、星型拓撲、環(huán)型拓撲、樹型拓撲和網(wǎng)狀型拓撲，這些是構(gòu)建網(wǎng)絡(luò)的基本模塊，混合使用這幾種模塊就能作進一步的設(shè)計。以下分別介紹各種拓撲結(jié)構(gòu)的網(wǎng)絡(luò)。1.總線型拓撲結(jié)構(gòu)總線型拓撲結(jié)構(gòu)是指采用單根傳輸線作為總線，所有工作站都共用一條總線。當其中一個工作站發(fā)送信息時，該信息將通過總線傳到每一個工作站上。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回3.2.1網(wǎng)絡(luò)拓撲結(jié)構(gòu)3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返77工作站在接到信息時，先要分析該信息的目標地址與本地地址是否相同，若相同，則接收該信息；若不相同，則拒絕接收。總線型拓撲結(jié)構(gòu)的優(yōu)點是電纜長度短，布線容易，便于擴充；其缺點主要是總線中任一處發(fā)生故障將導致整個網(wǎng)絡(luò)的癱瘓，且故障診斷困難。圖31顯示了總線型拓撲結(jié)構(gòu)的示意圖。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁工作站在接到信息時，先要分析該信息的目標地址與本地地址是否相782.星型拓撲結(jié)構(gòu)星型拓撲結(jié)構(gòu)是指網(wǎng)絡(luò)中各工作站都直接連接到集線器（HUB）或交換機上，每個工作站要傳輸數(shù)據(jù)到其他工作站時，都需要通過集線器（HUB）或交換機進行。星型拓撲結(jié)構(gòu)的優(yōu)點是連接方便，故障診斷容易，若一個工作站出現(xiàn)故障不會影響網(wǎng)絡(luò)的運行，可靠性較高；缺點是連接電纜較長，對集線器（HUB）或交換機的依賴性較高。圖32顯示了星型拓撲結(jié)構(gòu)的示意圖。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁2.星型拓撲結(jié)構(gòu)3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁793.環(huán)型拓撲結(jié)構(gòu)環(huán)型拓撲結(jié)構(gòu)是指每一個工作站都連接在一個封閉的環(huán)路中。當一個工作站發(fā)出信息時，該信息會依次通過所有的工作站，每個工作站在接到該信息時，會對該信息的目標地址和本地地址進行比較，若相同，則接收，然后恢復信號的原有強度并繼續(xù)向下發(fā)送；若不同，則不接收，只恢復信號的原有強度并繼續(xù)向下發(fā)送，直到再次發(fā)送到起始工作站為止。環(huán)型拓撲結(jié)構(gòu)具有信號強度不變的優(yōu)點，同時其又具有新增用戶較為困難，網(wǎng)絡(luò)可靠性較差，不易管理的缺點。圖33顯示了環(huán)型拓撲結(jié)構(gòu)的示意圖。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁3.環(huán)型拓撲結(jié)構(gòu)3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁804.樹型拓撲結(jié)構(gòu)樹型網(wǎng)絡(luò)是星形網(wǎng)絡(luò)的一種變體。像星形網(wǎng)絡(luò)一樣，網(wǎng)絡(luò)節(jié)點都連接到控制網(wǎng)絡(luò)的中央節(jié)點上。但并不是所有的設(shè)備都直接接入中央節(jié)點，絕大多數(shù)節(jié)點是先連接到次級中央節(jié)點上再連到中央節(jié)點上，其結(jié)構(gòu)如圖34所示。樹型拓撲結(jié)構(gòu)就像一棵“根”朝上的樹，與總線拓撲結(jié)構(gòu)相比，主要區(qū)別在于總線拓撲結(jié)構(gòu)中沒有“根”。這種拓撲結(jié)構(gòu)的網(wǎng)絡(luò)一般采用同軸電纜，用于軍事單位、政府部門等上、下界限相當嚴格和層次分明的部門。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁4.樹型拓撲結(jié)構(gòu)3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁815.網(wǎng)狀型拓撲結(jié)構(gòu)網(wǎng)狀型網(wǎng)絡(luò)的每一個節(jié)點都與其他節(jié)點有一條專業(yè)線路相連。網(wǎng)狀型拓撲廣泛用于廣域網(wǎng)中。由于網(wǎng)狀網(wǎng)絡(luò)結(jié)構(gòu)很復雜，所以在此只給出圖35所示的抽象結(jié)構(gòu)圖。3.2.2網(wǎng)絡(luò)設(shè)計方法1.定義建設(shè)網(wǎng)絡(luò)的目的定義建設(shè)網(wǎng)絡(luò)的目的是網(wǎng)絡(luò)建設(shè)的第一步，它為網(wǎng)絡(luò)設(shè)計工作指明了方向。一般的網(wǎng)絡(luò)建設(shè)都有以下幾個共同的目的：3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁5.網(wǎng)狀型拓撲結(jié)構(gòu)3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一82●為Internet用戶提供本公司的信息訪問，讓更多的人了解公司。●讓本公司的員工通過網(wǎng)絡(luò)共享Internet資源?！褡尡竟镜膯T工通過網(wǎng)絡(luò)訪問共享公司各部門的數(shù)據(jù)。●通過建設(shè)網(wǎng)絡(luò)可以節(jié)省辦公成本和人員管理成本?！裢ㄟ^建設(shè)網(wǎng)絡(luò)來提高公司生產(chǎn)效率。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁●為Internet用戶提供本公司的信息訪問，讓更多的人了832.明確需求一旦定義了網(wǎng)絡(luò)建設(shè)的目的后，就應(yīng)該對網(wǎng)絡(luò)安全的需求進行確認了。典型的網(wǎng)絡(luò)安全需求包括訪問控制、可用性和數(shù)據(jù)完整性。這里有一些與網(wǎng)絡(luò)設(shè)計相關(guān)的問題需要考慮：●公司有哪些服務(wù)需要對外共享？●每個用戶和部門需要訪問哪些數(shù)據(jù)？●部門的安全數(shù)據(jù)應(yīng)該放在網(wǎng)絡(luò)的哪個位置上？●哪些用戶或部門可以訪問Internet？●網(wǎng)絡(luò)性能需要達到什么樣的級別？3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁2.明確需求3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁84●用戶希望什么樣的服務(wù)水平？●本網(wǎng)絡(luò)希望什么樣的技術(shù)支持？3.預算網(wǎng)絡(luò)可用性需求確定后，就可以做一個預算來估計投資、維護費用以及人工費用。設(shè)計以及實施一個可用性達到99.9999%的網(wǎng)絡(luò)比一個只需要99.9%網(wǎng)絡(luò)需要更高的費用。在實際當中，預算通常是在項目籌劃時制定的。項目體系結(jié)構(gòu)完成后對預算再做一些調(diào)整會更加理想，因為這樣會使其更為準確。另外，創(chuàng)建預算時，一定要考慮管理和維護網(wǎng)絡(luò)以及安全的人工時間。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁●用戶希望什么樣的服務(wù)水平？3.2網(wǎng)絡(luò)的防火墻設(shè)計下一854.完成設(shè)計完成上述步驟后就可以創(chuàng)建一個詳細的網(wǎng)絡(luò)設(shè)計。網(wǎng)絡(luò)設(shè)計文檔應(yīng)該詳細描述網(wǎng)絡(luò)，具體細節(jié)包括以下幾方面：●安全特性?！袼薪M件的制造特性。●局域網(wǎng)和廣域網(wǎng)連接要求的帶寬?！馡P地址和子網(wǎng)劃分?！馝GP和IGP特性?！袢哂嘈浴?.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁4.完成設(shè)計3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁86●網(wǎng)絡(luò)管理系統(tǒng)（NetworkManagementSystem，NMS）。●服務(wù)水平協(xié)議（SLA）的測量、處理和技術(shù)。5.創(chuàng)建實施計劃復雜的網(wǎng)絡(luò)設(shè)計要花費非常多的時間去理解和實施，因此，在網(wǎng)絡(luò)設(shè)計時盡量避免過于復雜的結(jié)構(gòu)或流程。實際上，實施計劃是由詳細的網(wǎng)絡(luò)設(shè)計文檔轉(zhuǎn)化而來的。在很多情況下，由于設(shè)計和實施的復雜性，設(shè)計人員和實施人員必須緊密協(xié)作才能保證從設(shè)計到實施的平穩(wěn)過渡。實施常常要求根據(jù)服務(wù)的數(shù)量和規(guī)模劃分為不同的階段，多個小組和用戶的協(xié)調(diào)對于順利實施及對用戶產(chǎn)生最小的影響是很必要的。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁●網(wǎng)絡(luò)管理系統(tǒng)（NetworkManagementSy87實施計劃是一個詳細的一步一步涵蓋每一個設(shè)計要求的過程，它在實施之前要求先在實驗室進行測試，以保證包括了所有的細節(jié)并且結(jié)合得比較緊密。對可用性的要求、資源限制、組織標準都會影響到實驗室測試的復雜程度。6.測試和確認在最后部署設(shè)備之前，判斷一個設(shè)計能否正常工作的最好辦法是對其進行測試和確認。一個獨立的測試確認實驗室可用于比較不同的銷售商的產(chǎn)品、測試配置和新方法、確認共用性。此外，在設(shè)備部署之前也要對維護進行測試，這樣可以減少由于服務(wù)中斷導致的風險。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁實施計劃是一個詳細的一步一步涵蓋每一個設(shè)計要求的過程，它在實883.2.3網(wǎng)絡(luò)防火墻的設(shè)計1.防火墻要能確保滿足的目標防火墻在實施安全的過程中是至關(guān)重要的。一個防火墻策略要符合4個目標，而每個目標通常都不是通過一個單獨的設(shè)備或軟件來實現(xiàn)的。大多數(shù)情況下，防火墻的組件放在一起使用以滿足公司安全目的的需求。防火墻要能確保滿足以下4個目標：3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁3.2.3網(wǎng)絡(luò)防火墻的設(shè)計3.2網(wǎng)絡(luò)的防火墻設(shè)計下一89（1）創(chuàng)建一個安全策略防火墻的主要意圖是強制執(zhí)行你的安全策略。在前面提到過在適當?shù)木W(wǎng)絡(luò)安全中安全策略的重要性。如果安全策略只需對MAIL服務(wù)器的SMTP流量做些限制，那么就只要直接在防火墻強制這些策略。（2）創(chuàng)建一個阻塞點防火墻在一個公司私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)間建立一個檢查點。這種實現(xiàn)要求所有的流量都要通過這個檢查點。一旦這些檢查點清楚地建立，防火墻設(shè)備就可以監(jiān)視、過濾和檢查所有進來和出去的流量。網(wǎng)絡(luò)安全產(chǎn)業(yè)稱這些檢查點為阻塞點。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁（1）創(chuàng)建一個安全策略3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上90通過強制所有進出流量都通過這些檢查點，網(wǎng)絡(luò)管理員可以集中在較少的地方來實現(xiàn)安全目的。如果沒有這樣一個供監(jiān)視和控制信息的檢查點，系統(tǒng)或安全管理員則要在大量的地方來進行監(jiān)測。檢查點的另一個名字叫做網(wǎng)絡(luò)邊界。（3）記錄Internet活動防火墻還能夠強制日志記錄，并且提供警報功能。通過在防火墻上實現(xiàn)日志服務(wù)，安全管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問。好的日志策略是實現(xiàn)適當網(wǎng)絡(luò)安全的有效工具之一。防火墻對于管理員進行日志存檔提供了更多的信息。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁通過強制所有進出流量都通過這些檢查點，網(wǎng)絡(luò)管理員可以集中在較91（4）限制網(wǎng)絡(luò)暴露防火墻在內(nèi)部網(wǎng)絡(luò)周圍創(chuàng)建了一個保護的邊界。并且對于公網(wǎng)隱藏了內(nèi)部系統(tǒng)的一些信息以增加保密性。當遠程節(jié)點偵測內(nèi)部網(wǎng)絡(luò)時，它們僅僅能看到防火墻。遠程設(shè)備將不會知道內(nèi)部網(wǎng)絡(luò)的布局以及都有些什么。防火墻提高認證功能和對網(wǎng)絡(luò)加密來限制網(wǎng)絡(luò)信息的暴露。通過對所能進來的流量實行源檢查，以限制從外部發(fā)動的攻擊。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁（4）限制網(wǎng)絡(luò)暴露3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一922.考慮的事項●性能需要在充分的安全/防火墻和數(shù)據(jù)訪問之間作精心的平衡。在訪問列表或過濾處理中應(yīng)用的安全水平越高，性能就會越差。●過濾器在使用IP地址進行訪問控制時效率較高。然而，對于許多設(shè)備來說，過濾表越長，需要對每個包進行檢查的時間就越長?！裣到y(tǒng)提供過濾服務(wù)的速度能達到千兆。性能受不同因素影響會有所區(qū)別，這些因素包括使用了多少過濾器、軟件對包的掃描有多深（OSI模型三層到七層）、流量的類型。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁2.考慮的事項3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁93●加密和解密會產(chǎn)生延遲?！褡柚箤δ承┒丝诘脑L問是保證性能的有效手段，但這將同樣會阻止那些使用這些端口的應(yīng)用。3.設(shè)計網(wǎng)絡(luò)防火墻的技術(shù)設(shè)計網(wǎng)絡(luò)邊界時可采用不同的技術(shù)，以提供不同層次的安全、服務(wù)和性能。下面是防火墻設(shè)計中常見的技術(shù)類型，可以提供出色的安全。●非軍事區(qū)（DMZ）?！癖局鳈C?！襁^濾網(wǎng)關(guān)。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁●加密和解密會產(chǎn)生延遲。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返94（1）非軍事區(qū)非軍事區(qū)是一段網(wǎng)絡(luò)，它允許Internet流量出入Intranet，同時仍能保證Intranet的安全。DMZ（DemilitarizedZone）提供了在Internet和Intranet之間的緩沖。DMZ通過使用服務(wù)器和第三層設(shè)備防止Intranet直接暴露給Internet，從而提高了安全性。DMZ中連接的服務(wù)器可能包括為內(nèi)部用戶提供Web訪問的代理服務(wù)器、提供安全遠程訪問的VPN服務(wù)器，以及其他諸如郵件服務(wù)器和域名服務(wù)器等。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁（1）非軍事區(qū)3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁95（2）堡壘主機堡壘主機是指在極其關(guān)鍵的位置上用于安全防御的某個系統(tǒng)。堡壘主機系統(tǒng)必須檢查所有進入的流量并強制執(zhí)行在安全策略里所指定的規(guī)則，它們還必須準備好對付從外部來的攻擊和可能來自內(nèi)部的資源。堡壘主機系統(tǒng)還有日志記錄及警報的特性來阻止攻擊。有時檢測到一個威脅時也會采取行動。對于此系統(tǒng)的安全要給予額外關(guān)注，還要有例行的審計和安全檢查。如果攻擊者要攻擊內(nèi)部網(wǎng)絡(luò)，那他們只能攻擊到這臺堡壘主機。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁（2）堡壘主機3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁96堡壘主機可以是3種防火墻中的任一種類型：包過濾，電路級網(wǎng)關(guān)，應(yīng)用級網(wǎng)關(guān)。通常人們使用經(jīng)過加固的且沒有IP轉(zhuǎn)發(fā)的系統(tǒng)作為Internet和Intranet間的堡壘主機。Internet和Intranet都可以對堡壘主機的數(shù)據(jù)進行訪問，但這兩個網(wǎng)絡(luò)從來不能直接交換數(shù)據(jù)?？梢栽诒局鳈C上放置和更新Web服務(wù)，此時堡壘主機會阻止從Internet到Intranet的網(wǎng)絡(luò)訪問。（3）過濾網(wǎng)關(guān)“過濾網(wǎng)關(guān)”是一個起防火墻作用的路由器，它通過選擇TCP和UDP端口來進行流量的過濾，很多情況下它也阻止ICMP包。被阻止的來自Internet的訪問主要集中于那些危險性很高的服務(wù)。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁堡壘主機可以是3種防火墻中的任一種類型：包過濾，電路級網(wǎng)關(guān)，97使用過濾網(wǎng)關(guān)是一種非常常用的防止訪問Intranet的方法。傳統(tǒng)的防火墻通過在OSI的更高層增加屏蔽網(wǎng)絡(luò)流量的方式拓展了過濾網(wǎng)關(guān)的概念。4.設(shè)計規(guī)則當構(gòu)造防火墻設(shè)備時，經(jīng)常要遵循下面兩個主要的概念：第一，保持設(shè)計的簡單性；第二，要計劃好一旦防火墻被滲透應(yīng)該怎么辦。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁使用過濾網(wǎng)關(guān)是一種非常常用的防止訪問Intranet的方法。98（1）保持設(shè)計的簡單性一個黑客滲透系統(tǒng)最常見的方法就是利用安裝在堡壘主機上不注意的組件。建立你的堡壘主機時要盡可能使用較小的組件，無論硬件還是軟件。堡壘主機的建立只需提供防火墻功能。在防火墻主機上不要安裝像Web服務(wù)的應(yīng)用程序。要刪除堡壘主機上所有不必需的服務(wù)或守護進程。在堡壘主機上運行少量的服務(wù)給潛在的黑客很少的機會穿過防火墻。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁（1）保持設(shè)計的簡單性3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回99（2）安排事故計劃如果已設(shè)計好防火墻性能，并且規(guī)定只有通過防火墻才能允許公共訪問內(nèi)部網(wǎng)絡(luò)。當設(shè)計防火墻時，安全管理員要對防火墻主機崩潰或危及的情況做出計劃。如果僅僅是用一個防火墻設(shè)備把內(nèi)部網(wǎng)絡(luò)和公網(wǎng)隔離開，那么黑客滲透進防火墻后就會對內(nèi)部的網(wǎng)絡(luò)有著完全訪問的權(quán)限。為了防止這種滲透，要設(shè)計幾種不同級別的防火墻設(shè)備。不要依賴一個單獨的防火墻保護單獨的網(wǎng)絡(luò)。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁（2）安排事故計劃3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一1005.4種常見的防火墻設(shè)計4種常見的防火墻設(shè)計都提供一個確定的安全級別，一個簡單的規(guī)則是越敏感的數(shù)據(jù)就要采取越廣泛的防火墻策略，這4種防火墻的實施都是建立一個過濾的矩陣和能夠執(zhí)行和保護信息的點。這4種選擇是：●篩選路由器?！駟嗡拗鞅局鳈C?！耠p宿主堡壘主機?！衿帘巫泳W(wǎng)。3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁返回上一頁5.4種常見的防火墻設(shè)計3.2網(wǎng)絡(luò)的防火墻設(shè)計下一頁101篩選路由器的選擇是最簡單的，因此也是最常見的，大多數(shù)公司至少使用一個篩選路由器作為解決方案，因為所有需要的硬件已經(jīng)投入使用。用于創(chuàng)建篩選主機防火墻的兩個選擇是單宿主堡壘主機和雙宿主堡壘主機。不管是電路級還是應(yīng)用級網(wǎng)關(guān)的配置，都要求所有的流量通過堡壘主機。最后一個常用的方法是篩選子網(wǎng)防火墻，利用額外的包過濾路由器來達到另一個安全的級別。在企業(yè)組織中，常常有兩個不同的防火墻：外圍防火墻和內(nèi)部防火墻。雖然這些防火墻的任務(wù)相似，但是它們有不同的側(cè)重點，外圍防火墻主要提供對不受信任的外部用戶的限制，而內(nèi)部防火墻主要防止外部用戶訪問內(nèi)部網(wǎng)絡(luò)并且限制內(nèi)部用戶可以執(zhí)行的操作。3.2網(wǎng)絡(luò)的防火墻設(shè)計返回上一頁篩選路由器的選擇是最簡單的，因此也是最常見的，大多數(shù)公司至少1023.3.1接受使用策略接受使用策略定義了公司網(wǎng)絡(luò)資源的使用方法。通過使用合理的安全策略、確保系統(tǒng)和設(shè)備進行適當?shù)募庸?，就可以?chuàng)建出更易管理的安全環(huán)境。此外，策略的條文也使得管理人員能夠?qū)`反策略者進行約束?？山邮苁褂貌呗缘牡湫蜅l款如下：●策略的范圍，就是指策略適用于哪個網(wǎng)絡(luò)、哪些用戶及哪些技術(shù)?！褚粋€清晰的確認書，要求用戶聲明他／她已經(jīng)閱讀、理解并同意遵守此策略?！襁`反策略的后果。3.3安全策略下一頁返回3.3.1接受使用策略3.3安全策略下一頁返回103●明確聲明用戶在使用公司網(wǎng)絡(luò)時將不能得到隱私保證，因為所有活動都會提交給安全監(jiān)測?！衤暶髟谑褂霉举Y源時各種可接受的和不可接受的行為。3.3.2特殊策略除了有一個管理公司系統(tǒng)的整體策略，還需要有一些特殊策略才能保證系統(tǒng)的使用和管理符合預期的目標。特殊策略細化了安全措施，可以保護網(wǎng)絡(luò)中的系統(tǒng)免受有意的或無意的破壞。特殊策略包括以下一些（但又不止是這些）：3.3安全策略下一頁返回上一頁●明確聲明用戶在使用公司網(wǎng)絡(luò)時將不能得到隱私保證，因為所有1041.賬戶和密碼對于用戶來說，賬戶和密碼是第一道防線。每個用戶都有自己賬戶和密碼的控制權(quán)。這條策略規(guī)定了進行賬戶及密碼管理的組織標準。2.軟件應(yīng)用程序和操作系統(tǒng)的銷售商會經(jīng)常發(fā)布補丁、服務(wù)包及版本更新等來為軟件添加新的特性、改進功能、修改錯誤和彌補新發(fā)現(xiàn)的安全漏洞。公司的安全管理員應(yīng)主動瀏覽銷售商的網(wǎng)頁并訂閱郵件列表，以及時收到軟件更新的通知。這些更新在實施前要根據(jù)事先確定的如何進行測試、備份及恢復的策略做慎重的考慮。3.3安全策略下一頁返回上一頁1.賬戶和密碼3.3安全策略下一頁返回上一頁105此外，還要使用一些工具定期檢查可能的漏洞，因為有些漏洞可能是在上次檢查和打補丁后出現(xiàn)的。3.物理安全一般的安全策略都會包括邏輯的和軟件的安全，而物理安全策略指明了公司為減少通信設(shè)施風險所應(yīng)采取的行動，因為，若某人可以接觸這些設(shè)施，則他就可能有意地或無意地進行破壞。4.監(jiān)控策略服務(wù)器和網(wǎng)絡(luò)設(shè)備一般都有記錄日志的功能，可提供數(shù)據(jù)幫助判定違反安全策略事件的來源。對這些數(shù)據(jù)進行監(jiān)控可以找出事故前后的有用信息，這樣就能提高公司系統(tǒng)的安全系數(shù)。3.3安全策略下一頁返回上一頁此外，還要使用一些工具定期檢查可能的漏洞，因為有些漏洞可能是1063.3.3設(shè)置防火墻的要素1.網(wǎng)絡(luò)策略影響Firewall系統(tǒng)設(shè)計、安裝和使用的網(wǎng)絡(luò)策略可分為兩級，高級的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)，低級的網(wǎng)絡(luò)策略描述Firewall如何限制和過濾在高級策略中定義的服務(wù)。2.服務(wù)訪問策略服務(wù)訪問策略集中在Internet訪問服務(wù)以及外部網(wǎng)絡(luò)訪問（如撥入策略、SLIP/PPP連接等）。服務(wù)訪問策略必須是可行的和合理的?？尚械牟呗员仨氃谧柚挂阎木W(wǎng)絡(luò)風險和提供用戶服務(wù)之間獲得平衡。3.3安全策略下一頁返回上一頁3.3.3設(shè)置防火墻的要素3.3安全策略下一頁返回上1073.3.4防火墻策略及設(shè)計防火墻策略也稱為防火墻的安全規(guī)則，它是防火墻實施網(wǎng)絡(luò)保護的重要依據(jù)。防火墻策略設(shè)計的好壞直接影響到防火墻防護功能能否成功實現(xiàn)。因此首先要對防火墻策略有所了解和認識，下面從幾個方面來介紹防火墻的策略以及設(shè)計。1.什么是防火墻策略黑客攻擊采用算法進行程序設(shè)計，分為多種攻擊方式，防火墻之所以防范黑客，原理是根據(jù)黑客的算法，設(shè)計出相應(yīng)的防范規(guī)則加入防火墻。如果在工作狀態(tài)下，檢測到該訪問符合預先設(shè)定的判別黑客的防范規(guī)則，則禁止該訪問，達到防范目的。3.3安全策略下一頁返回上一頁3.3.4防火墻策略及設(shè)計3.3安全策略下一頁返回上108預先在防火墻內(nèi)設(shè)定的黑客判別規(guī)則稱為防火墻策略。防火墻策略越多，性能越好，但由于策略越多將導致防火墻運算加大，因此通信量將大幅度降低。防火墻策略和防火墻通信量是相互矛盾的。2.防火墻策略特性（1）防火墻的主要意圖是強制執(zhí)行安全策略應(yīng)給予特別注意的是，防火墻不僅僅是路由器、堡壘主機或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構(gòu)的信息資源。3.3安全策略下一頁返回上一頁預先在防火墻內(nèi)設(shè)定的黑客判別規(guī)則稱為防火墻策略。防火墻策略越109所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級別加以保護。僅設(shè)立防火墻系統(tǒng)而沒有全面的安全策略，那么防火墻就形同虛設(shè)。（2）防火墻安全策略的主要功能就是實施訪問控制規(guī)則訪問控制的主要原則可以表達為“必須禁止那些未經(jīng)許可的訪問”。除了訪問控制規(guī)則以外，防火墻安全策略還定義了何種類型的流量需要記入日志、何種類型的流量應(yīng)當產(chǎn)生告警。它還定義了地址使用翻譯規(guī)則、加強連接授