5 防火墙策略.pptVIP

防火墙策略 内容与要求 理解网络服务访问策略 理解防火墙设计策略 了解防火墙的安全策略 掌握防火墙的不同工作模式 能力目标 学会设计防火墙策略并配置防火墙不同的工作模式 防火墙策略 网络服务访问策略 防火墙设计策略 网络服务访问策略 允许从网站访问因特网，而不允许从因特网访问网站； 允许来自因特网的某种访问，但这种访问只限于特定的系统，例如，信息服务器或电子邮件服务器； 有时会允许来自因特网的某些用户访问某些内部主机，但这种访问策略只有在必要的时候，而且只有在进行高级授权的情况下才使用。 网络服务访问策略 在最高层次，总的组织策略可以叙述为如下原则： ·信息对于组织的良好运营是至关重要的 ·为了保证组织信息的机密性、完整性、真实性、有效性和可用性，要尽力采用低价高效的措施。 ·对于公司中各个层次的雇员来讲，保护这些信息资源的机密性、完整性和有效性都是需要优先考虑的，是工作责任。 ·属于组织的所有信息处理设备只能用于得到批准的目的。 防火墙设计策略 两种基本设计策略： 除非明确不准许，否则准许某种服务—宽松策略除非明确准许，否则将禁止某种服务—限制策略 一道防火墙既可以实施允许式的设计策略。也可以实施限制性的设计策略。 策略举例 需要考虑的问题 为了确定防火墙设计策略，进而构建实现策略的防火墙。应当首先考虑以下几个问题： 需要什么网络服务，如：WWW，E—mail，Telnet等……； 在那里使用这些（或部分）服务，如本地，穿越因特网，从家里或远方的分支机构等……； 是否应当支持拨号入网和加密等服务； 提供这些服务的风险是什么，比如拨号：是本单位的电话交换机，还是市话； 若提供这种保护，可能导致网络上使用的不方便等负面影响，这些影响会有多大，是否值得付出这种代价。 和可用性，灵活性相比单位上把安全性放在什么位置。两种那一个更重要。 注意 许多防火墙策略的排列顺序决定了优先级，排在前面的策略优先执行，根据这个原则，我们要好好设计一下防火墙策略的顺序。 例如，我们写了两条防火墙策略，一条是允许内网用户任意访问，另外一条是拒绝内网用户访问联众游戏网站。如果排列顺序如下图所示，允许策略排在拒绝策略之前，那就是个错误的决定。拒绝访问联众的策略永远不会被执行，因为当用户访问联众时，访问请求匹配第一条防火墙策略，用户就被防火墙放行了，第二条策略根本没有执行的机会。正确的做法是将拒绝策略放到允许策略之前！ 防火墙的安全策略 用户账号策略 用户权限策略 信任关系策略 包过滤策略 认证策略 签名策略 数据加密策略 密钥分配策略 审计策略 用户账号策略 用户账号包含的重要信息：用户名、口令、所属组、用户在系统中的权限和资源存取许可。 口令是访问控制的简单而有效的方法。 口令选择原则： 用户账号策略 口令最小长度 口令最长有效期 口令历史 口令存储方式 用户账号锁定方式 在若干次口令错误之后 用户权限策略 用户权限两类： 对执行特定任务用户的授权可应用于整个系统 对特定对象的规定，这些规定限制用户能否或以何种方式存取对象 用户权限策略 备份文件权限 远程/本地登录访问权限 远程/本地关机权限 更改系统时间权限 管理日志权限 删除/还原文件权限 设置信任关系权限 卷管理权限 安装/卸载设备驱动程序权限 信任关系策略 信任关系是两个域中一个域信任另一个域，包含：信任域和被信任域。 信任域可允许被信任域中的用户访问其网络中的资源。 包过滤策略 1.包过滤控制点的设置：OSI模型的2-7层 2.包过滤操作过程 a. 定义包过滤规则 b. 将规则存储在设备端口 c. 设备提取接收到的数据包的头部信息 d.规则以特定的顺序存放 3.包过滤规则 规则的先后顺序对数据包的过滤起着重要的作用，一般先放置在前面。 包过滤策略 如，要求在防火墙上阻止hostA发给hostC的UDP数据包，按照下面的规则顺序是不能实现的。 包过滤策略 4.防止两类不安全设计 第一种，地址欺骗； 第二种，在输入输出接口两个方向的过滤。 审计策略 成功或者不成功的登录事件 成功或者不成功的对象访问 成功或者不成功的目录服务访问 成功或者不成功的特权使用 成功或者不成功的系统事件 成功或者不成功的账户管理事件 实验 防火墙策略的设置 * * 时间控制策略 Host C Host D 在防火墙上制定基于时间的访问控制策略 上班时间不允许访问Internet 上班时间可以访问公司的网络 Internet UDP Block Host C Host A UDP Pass Host C Host A Destination Protocol Permit Source wan1 wan2 目的接口 ping ping 服务 模式 源接口 允许 wan2 允许 wan1