防火墙的部署及技术发展解读.ppt

6.4.2 防火墙的选购原则 第一要素 防火墙的基本功能 。 / 第二要素 企业的特殊要求 第三要素 与用户网络结合 6.4.2 防火墙的选购原则：企业的特殊需求 网络地址转换功能（NAT） 虚拟专用网络（VPN） 双重DNS 病毒扫描功能 特殊控制需求 6.4.2 防火墙的选购原则 第一要素 防火墙的基本功能 。 / 第二要素 企业的特殊要求 第三要素 与用户网络结合 6.4.2 防火墙的选购原则：与用户网络结合 管理的难易度 自身的安全性 完善的售后服务 完整的安全检查 结合用户情况 6 .4 防火墙的部署 6 .4 .1 防火墙的设计原则 6 .4 .2 防火墙的选购原则 6 .4 .3 常见防火墙产品 6 .4 .4 某企业安全策略 6.4.3 常见的防火墙产品：Checkpoint Firewall-1 Checkpoint Firewall-1（已停产） 6.4.3 常见的防火墙产品：Sonicwall 系列防火墙 Sonicwall 系列防火墙 6.4.3 常见的防火墙产品：Checkpoint Firewall-1 NetScreen Firewall 6.4.3 常见的防火墙产品：Checkpoint Firewall-1 北京天融信公司网络卫士防火墙 6 .4 防火墙的部署 6 .4 .1 防火墙的设计原则 6 .4 .2 防火墙的选购原则 6 .4 3 常见防火墙产品 6 .4 .4 某企业安全策略 6.4.3 某企业安全策略 某中型企业购买了适合自己网络特点的防火墙，刚投入使用后，发现以前局域网中肆虐横行的蠕虫病毒不见了，企业网站遭受拒绝服务攻击的次数也大大减少了，为此，公司领导特意表扬了负责防火墙安装实施的信息部。 6.4.3 某企业安全策略 企业网络环境分析 该企业内部网络的核心交换机是带路由模块的三层交换机，出口通过路由器和isp连接。内部网划分为5个vlan，vlan 1、vlan 2和vlan 3分配给不同的部门使用，不同的vlan之间根据部门级别设置访问权限；vlan 4分配给交换机出口地址和路由器使用；vlan 5分配给公共服务器使用。在没有加入防火墙之前，各个vlan中的pc机能够通过交换机和路由器不受限制地访问internet。加入防火墙后，给防火墙分配一个vlan 4中的空闲ip地址，并把网关指向路由器；将vlan 5接入到防火墙的一个网口上。这样，防火墙就把整个网络分为3个区域: 内部网、公共服务器区和外部网，三者之间的通信受到防火墙安全规则的限制。 6.4.3 某企业安全策略 问题描述 防火墙投入运行后，实施了一套较为严格的安全规则，导致公司员工无法使用qq聊天软件，于是没过多久就有员工自己拨号上网，导致感染了特洛依木马和蠕虫等病毒，并立刻在公司内部局域网中传播开来，造成内部网大面积瘫痪。 问题分析 我们知道，防火墙作为一种保护网络安全的设备，必须部署在受保护网络的边界处，只有这样防火墙才能控制所有出入网络的数据通信，达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一，有很多出入口，那么只部署一台防火墙是不够的。在本案例中，防火墙投入使用后，没有禁止私自拨号上网行为，使得许多pc机通过电话线和internet相连，导致网络边界不惟一，入侵者可以通过攻击这些pc机然后进一步攻击内部网络，从而成功地避开了防火墙。 6.4.3 某企业安全策略 解决办法 根据自己企业网的特点，制定一整套安全策略，并彻底地贯彻实施。比如说，制定一套安全管理规章制度，严禁员工私自拨号上网; 同时封掉拨号上网的电话号码，并购买检测拨号上网的软件，这样从管理和技术上杜绝出现网络边界不惟一的情况发生。另外，考虑到企业员工的需求，可以在防火墙上添加按照时间段生效的安全规则，在非工作时间打开qq使用的tcp/udp端口，使得企业员工可以在工余时间使用qq聊天软件。 结论与忠告 防火墙只是保证安全的一种技术手段，要想真正实现安全，安全策略是核心问题。 6.4 防火墙的部署 6.5 防火墙技术发展趋势 6 .5 防火墙技术的发展趋势 6 .5 .1 防火墙包过滤技术发展趋势 6 .5 .2 防火墙的体系结构发展趋势 6 .5 .3 防火墙的系统管理发展趋势 6 .5 .4 分布式防火墙技术 6.5.1 防火墙技术的发展趋势：防火墙包过滤技术发展趋势 身份认证技术 6.5.1 防火墙技术的发展趋势：防火墙包过滤技术发展趋势 多级过滤技术 6.5.1 防火墙技术的发展趋势：防火墙包过滤技术发展趋势 过滤所有的源路由分组和假冒的IP源地址 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 应用层 物理层 表示层 应用层 物理层