防火墻策略簡要論述

防火墻策略1內(nèi)容與要求理解網(wǎng)絡(luò)效勞訪問策略理解防火墻設(shè)計策略了解防火墻的平安策略掌握防火墻的不同工作模式能力目標(biāo)學(xué)會設(shè)計防火墻策略并配置防火墻不同的工作模式2時間控制策略HostCHostD在防火墻上制定基于時間的訪問控制策略上班時間不允許訪問Internet上班時間可以訪問公司的網(wǎng)絡(luò)Internet3防火墻策略網(wǎng)絡(luò)效勞訪問策略防火墻設(shè)計策略4網(wǎng)絡(luò)效勞訪問策略允許從網(wǎng)站訪問因特網(wǎng)，而不允許從因特網(wǎng)訪問網(wǎng)站；允許來自因特網(wǎng)的某種訪問，但這種訪問只限于特定的系統(tǒng)，例如，信息效勞器或電子郵件效勞器；有時會允許來自因特網(wǎng)的某些用戶訪問某些內(nèi)部主機(jī)，但這種訪問策略只有在必要的時候，而且只有在進(jìn)行高級授權(quán)的情況下才使用。5網(wǎng)絡(luò)效勞訪問策略在最高層次，總的組織策略可以表達(dá)為如下原那么：·信息對于組織的良好運營是至關(guān)重要的·為了保證組織信息的機(jī)密性、完整性、真實性、有效性和可用性，要盡力采用低價高效的措施?！τ诠局懈鱾€層次的雇員來講，保護(hù)這些信息資源的機(jī)密性、完整性和有效性都是需要優(yōu)先考慮的，是工作責(zé)任?！儆诮M織的所有信息處理設(shè)備只能用于得到批準(zhǔn)的目的。6防火墻設(shè)計策略兩種根本設(shè)計策略：除非明確不準(zhǔn)許，否那么準(zhǔn)許某種效勞—寬松策略

除非明確準(zhǔn)許，否那么將禁止某種效勞—限制策略一道防火墻既可以實施允許式的設(shè)計策略。也可以實施限制性的設(shè)計策略。7策略舉例8需要考慮的問題

9注意許多防火墻策略的排列順序決定了優(yōu)先級，排在前面的策略優(yōu)先執(zhí)行，根據(jù)這個原那么，我們要好好設(shè)計一下防火墻策略的順序。例如，我們寫了兩條防火墻策略，一條是允許內(nèi)網(wǎng)用戶任意訪問，另外一條是拒絕內(nèi)網(wǎng)用戶訪問聯(lián)眾游戲網(wǎng)站。如果排列順序如以下圖所示，允許策略排在拒絕策略之前，那就是個錯誤的決定。拒絕訪問聯(lián)眾的策略永遠(yuǎn)不會被執(zhí)行，因為當(dāng)用戶訪問聯(lián)眾時，訪問請求匹配第一條防火墻策略，用戶就被防火墻放行了，第二條策略根本沒有執(zhí)行的時機(jī)。正確的做法是將拒絕策略放到允許策略之前！10防火墻的平安策略用戶賬號策略用戶權(quán)限策略信任關(guān)系策略包過濾策略認(rèn)證策略簽名策略數(shù)據(jù)加密策略密鑰分配策略審計策略11用戶賬號策略用戶賬號包含的重要信息：用戶名、口令、所屬組、用戶在系統(tǒng)中的權(quán)限和資源存取許可。口令是訪問控制的簡單而有效的方法?？诹钸x擇原那么：12用戶賬號策略口令最小長度口令最長有效期口令歷史口令存儲方式用戶賬號鎖定方式在假設(shè)干次口令錯誤之后13用戶權(quán)限策略用戶權(quán)限兩類：對執(zhí)行特定任務(wù)用戶的授權(quán)可應(yīng)用于整個系統(tǒng)對特定對象的規(guī)定，這些規(guī)定限制用戶能否或以何種方式存取對象14用戶權(quán)限策略備份文件權(quán)限遠(yuǎn)程/本地登錄訪問權(quán)限遠(yuǎn)程/本地關(guān)機(jī)權(quán)限更改系統(tǒng)時間權(quán)限管理日志權(quán)限刪除/復(fù)原文件權(quán)限設(shè)置信任關(guān)系權(quán)限卷管理權(quán)限安裝/卸載設(shè)備驅(qū)動程序權(quán)限15信任關(guān)系策略信任關(guān)系是兩個域中一個域信任另一個域，包含：信任域和被信任域。信任域可允許被信任域中的用戶訪問其網(wǎng)絡(luò)中的資源。16包過濾策略1.包過濾控制點的設(shè)置：OSI模型的2-7層2.包過濾操作過程a.定義包過濾規(guī)那么b.將規(guī)那么存儲在設(shè)備端口c.設(shè)備提取接收到的數(shù)據(jù)包的頭部信息d.規(guī)那么以特定的順序存放3.包過濾規(guī)那么規(guī)那么的先后順序?qū)?shù)據(jù)包的過濾起著重要的作用，一般先放置在前面。17包過濾策略如，要求在防火墻上阻止hostA發(fā)給hostC的UDP數(shù)據(jù)包，按照下面的規(guī)那么順序是不能實現(xiàn)的。UDPBlockHostCHostAUDPPassHostCHostADestinationProtocolPermitSource18包過濾策略4.防止兩類不平安設(shè)計第一種，地址欺騙；第二種，在輸入輸出接口兩個方向的過濾。源接口目的接口服務(wù)模式wan1wan2ping允許wan2wan1ping允許5.特定協(xié)議數(shù)據(jù)包的過濾19審計策略成功或者不成功的登錄事件成功或者不成功的對象訪問成功或者不成功的目錄效勞訪問成功或者不成功的特權(quán)使用成功或者不成功的系統(tǒng)事件成功或者不成功的賬戶管理事件20受保護(hù)網(wǎng)絡(luò)Internet如果防火墻支持透明模式，那么內(nèi)部網(wǎng)絡(luò)主機(jī)的配置不用調(diào)整HostA199.168.1.2HostC199.168.1.4HostD199.168.1.5HostB199.168.1.3199.168.1.8同一網(wǎng)段透明模式下，這里不用配置IP地址透明模式下，這里不用配置IP地址DefaultGateway=199.168.1.8防火墻相當(dāng)于網(wǎng)橋，原網(wǎng)絡(luò)結(jié)構(gòu)沒有改變透明接入21受保護(hù)網(wǎng)絡(luò)InternetHostA199.168.1.2HostC199.168.1.4HostD199.168.1.5HostB199.168.1.3199.168.1.8De