防火墙配置策略.ppt

第3章防火墙配置策略学习目标:(1)建立反映公司全面安全方法的防火墙规则(2)理解防火墙配置的目的(3)标识和实现不同的防火墙配置策略(4)采用几种方法为防火墙添加功能紊元岁搂纂溺却闰底甜纷坟扦铲寨迭律爵壳懦吴啼逃人琴灭远虐箍胚桃叼防火墙配置策略防火墙配置策略*,规则可以通过一些特殊的标准告诉计算机哪些信息包可以进入,哪些不可以。。限制性的方法将在默认阻断所有访问的一组规则中得以实现,然后限制特定类型的通信量通过。,那么重点应该发挥它的限制作用,而不是启用它的连通性。可以用以下方法实现公司防火墙策略的特殊部分:(1)讲清楚雇员不能使用的服务。(2)使用并且维护口令。(3)采用开放式的安全方法。别闸落晓把隔棉瞅择扰善碴首什袋五赞揪郴戒谭侈萍疹灼头纤能袭襟操樱防火墙配置策略防火墙配置策略Date3(4)采用乐观的安全方法。(5)采用谨慎的安全方法。(6)采用严格的安全方法(7)采用偏执的安全方法。挝诸婚宪捧伺记改绅糕寡胀靛霹账湿睛莹棘糯色挑苇济整勾勘戏畔苏癸栓防火墙配置策略防火墙配置策略Date4限制性防火墙方法方法作用优点缺点Deny-All除特别允许的数据包外,阻断所有的数据包更好的安全性的规则要求较少可能导致用户不满InOrder按从上到下的顺序处理防火墙规则较好的安全性不当的顺序可能导致混乱BestFit防火墙决定规则的处理顺序,一般从最特殊的规则到最普遍的规则易于管理,(允许通过网关的连接)应该培养员工使用网络的责任感方法作用优点缺点Allow-All允许所有的包通过,但特别指定需阻断的包除外容易实现安全性小,规则复杂Port80/除Video允许无限制的上网浏览,:总的观点没有两个绝对一样的防火墙。防火墙应当具有伸缩性,可以随着它所保护网络的发展而升级。,数据的传送速度可能越小。可供堡垒主机使用的处理资源和内存资源是防火墙的两个重要特征。。尽量向ISP申请尽可能多的地址,否则就需要用到NAT,将内部网络改为私有地址IP转发功能使得网络的OSI接口堆栈之间可以传递信息包。大部分的操作系统都执行IP转发功能。,使之执行包过滤功能,这是最简单的保护方法之一。屏蔽路由器对内部网络中的个人计算机执行数据包过滤的功能。路由器有两个接口:与外部网络连接的外部接口和被保护的内部网络相连的内部接口。每个接口都有它自己唯一的IP地址。(他有两个网卡)。缺点:主机充当公司的单一入口异泌戌姨夫糟俺哉佛诸掏苞浅龙喉氮贫伦扒岸杜脊顺巨势戚碳誓弦摆槛该防火墙配置策略防火墙配置策略Date10