1、建立以防火墻為中心的網絡平安體系北大青鳥環宇科技股份. 根本概念 防火墻技術開展 處理方案 防火墻平安戰略 防火墻管理 防火墻技術開展趨勢.起步于90年代初，是最早出現的且運用量最大的網絡平安產品。作為一個中心“遏制點，將局域網的平安管理集中起來。是規范的網間隔離設備，識別并屏蔽非法懇求，有效防止跨越權限的數據訪問。可與其它防火墻、IDS聯動，并與VPN設備配合運用，建立層次防御體系。可掃描電子郵件和Web頁面中的病毒和惡意代碼。.防火墻操作層次.防火墻附加功能網絡地址轉換NAT動態主機配置協議DHCP加密功能如VPN自動內容過濾技術. 根本概念 防火墻技術開展 處理方案 防火墻平安戰略 防火

2、墻管理 防火墻技術開展趨勢.包過濾防火墻形狀檢測防火墻運用代理網關防火墻混合型防火墻.包過濾防火墻基于網絡包的如下信息提供網絡訪問功能： 源地址 目的地址 通訊類型詳細的網絡協議，經常在第2層是Ethernet，在第3層是IP)。 第4層通訊會話的一些特征，如會話的源與目的端口。 來自哪塊網卡，發往哪塊網卡。.包防火墻操作層次.包防火墻的優點速度快靈敏可以封鎖回絕效力及相關攻擊是置于與不可信網絡相連的最外邊境之理想設備.包防火墻簡單布署圖.包防火墻的缺陷不能阻止利用詳細運用的弱點或功能的攻擊日志內容少不支持高級用戶鑒別方案不能防止網絡地址冒充攻擊容易受配置不當的影響.結論包過濾防火墻非常適宜于

3、審計和用戶鑒別不重要的高速環境。有利于實施高可用性及failover方案。.形狀檢測防火墻操作層次.形狀檢測防火墻建立銜接形狀表，記錄外出的TCP銜接及相應的高編號客戶端口，以驗證任何進入的通訊能否合法。防火墻跟蹤客戶端口，而不是翻開全部高編號端口給外部訪問，因此更平安。具有包過濾防火墻的優缺陷。目前的形狀檢測技術僅可用于TCP/IP網絡。.運用代理網關防火墻操作層次.運用代理網關防火墻的優點日志才干強支持直接的用戶鑒別可在一定程度上防止地址冒充攻擊.運用代理網關防火墻的缺陷降低了防火墻的吞吐率，不適宜高帶寬或實時運用。對新網絡運用與協議的支持有限，大多數運用代理網關防火墻開發商提供通用代理以

4、支持未定義的網絡協議或運用，在一定程度上限制了運用代理網關架構優點的發揚。.典型的運用代理.公用代理效力器保管通訊的代理控制，但不含有防火墻才干減輕防火墻的處置負載，執行專門的過濾、審計及Web和Email內容掃描.運用代理布署圖.混合型防火墻包過濾或形狀檢測防火墻實現根本的運用代理功能，以提供較好的網絡通訊審計與用戶鑒別。運用代理網關防火墻實現根本的包過濾功能，更好地支持基于UDP的運用。在選擇防火墻產品時，應以其支持的特征集而不是防火墻產品分類為根據。. 根本概念 防火墻技術開展 處理方案 防火墻平安戰略 防火墻管理 防火墻技術開展趨勢.布署防火墻的四個原那么盡量簡單物盡其用建立層次防護留

5、意內部要挾將內部Web、Email效力器或財務系統等重要系統置于內部防火墻后面或DMZ中。.DMZ網絡.設置DMZ的優點將外面可訪問的效力器置于DMZ中，可減少遠程攻擊者運用這些效力器作為攻擊公用網的帶菌媒介的能夠性。同時可專門控制用戶對這些系統的訪問權限。.效力支路配置.VPN.VPN效力器的放置在大多數情況下，最好將VPN效力器放在防火墻上。假設將VPN效力器放在防火墻后面，即將穿過防火墻外出的VPN通訊將被加密，防火墻就不能檢查通訊，執行訪問控制、審計及掃描病毒等。.Intranet/Extranet.根底構件：Hub&SwitchHub任務在物理層，為網絡系統或資源提供物理上的懸掛點。

6、Hub允許任何連在上面的設備監視網絡通訊，不易用于建立DMZ或防火墻環境。網絡Switch任務在數據鏈路層，本質上是一個多端口橋，可傳送全網絡帶寬給每一個端口。銜接到Switch上的系統不能相互竊聽，可用于實現DMZ網和防火墻環境。由于類似于DOS的攻擊能使Switch用包淹沒銜接的網絡，不能在防火墻外面用Switch提供通訊隔離。Switch的子網隔離才干將影響IDS的布署與實現。.IDS用于通報及在某些情況下阻止對網絡系統或資源的未授權訪問。許多IDS可與防火墻交互，實現聯動。與IDS交互的防火墻能自動對覺察到的遠程要挾作出反響，沒有人工反響中的延遲。.基于主機的IDS集成于操作系統中。能

7、在高粒度層探測要挾。問題：影響系統性能及穩定性； 不能留意到基于網絡的攻擊，如DOS。.基于網絡的IDS可以監視多個系統和資源。問題：會漏掉分散在多個包中的攻擊特征。依賴于混雜方式網絡接口。易被攻擊。在遭到DOS攻擊時，許多IDS失效。.IDS布署圖.DNS內部域名效力器應與外部域名效力器分開Split DNS技術。必需控制DNS允許的訪問類型。.DNS布署圖.防火墻環境中效力器的放置應思索的要素： DMZ的個數、外部和內部對DMZ中效力器的訪問要求、通訊量及數據敏感程度。放置指南： 用邊境路由器/包過濾維護外部效力器； 將內部效力器置于內部防火墻后面； 隔離效力器，使得對效力器的攻擊不影響網

8、絡中的其它計算機系統。.效力器布署圖. 根本概念 防火墻技術開展 處理方案 防火墻平安戰略 防火墻管理 防火墻技術開展趨勢.防火墻戰略防火墻戰略指示防火墻怎樣處置運用通訊如Web、Email或telnet。描畫怎樣管理與更新防火墻。.建立防火墻戰略的步驟風險分析要挾脆弱性對策本錢效益分析建立防火墻規那么集.測試防火墻戰略1、根據定義的戰略，檢查防火墻配置。2、對防火墻進展實地配置測試。3、運用平安評價工具測試防火墻系統本身。.防火墻實現方法第一種是硬件防火墻，如Netscreen防火墻，利用ASIC技術實現防火墻軟件。這種防火墻速度快，且不受操作系統本身平安脆弱性的影響。第二種是基于PC構架、

9、運用經過定制的通用操作系統的防火墻。這種防火墻可擴展性強，但易受操作系統本身脆弱性影響。.防火墻維護與管理第一種機制是命令行界面配置。技術熟練的管理員配置防火墻，當出現緊急情況時可以作出快速反響。第二種機制是經過圖形用戶界面包括基于Web的配置界面配置防火墻。圖形界面簡單、配置快，但配置粒度有限。對于任何一種，必需保證防火墻管理信息的傳輸平安。對于基于是Web的界面，可運用SSL加密、用戶ID和口令。. 根本概念 防火墻技術開展 處理方案 防火墻平安戰略 防火墻管理 防火墻技術開展趨勢.訪問防火墻平臺最常用的攻擊方法是利用防火墻的遠程管理資源。流行的控制方法：加密、強用戶鑒別及用IP地址限制訪

10、問。.防火墻平臺操作系統、去掉操作系統中不用的網絡協議。、去掉或封鎖不用的網絡效力或運用。、去掉或封鎖不用的用戶或系統帳號。、給操作系統打補丁。、去掉或封鎖效力器中不用的物理網絡接口網卡。.防火墻熱恢復戰略兩種方法、采用網絡Switch提供負載平衡及熱恢復功能。Switch監視主防火墻的呼應，在主防火墻出缺點時將全部通訊轉移到備份防火墻。、采用“心跳機制。備份防火墻監視主防火墻的心跳，在主防火墻出缺點時替代之。. 根本概念 防火墻技術開展 處理方案 防火墻平安戰略 防火墻管理 防火墻技術開展趨勢.1、多級過濾在網絡層，過濾掉全部源路由分組和冒充的IP源地址；在傳輸層，遵照過濾規那么，過濾掉一切制止出入的協議和有害數據包；在運用層，利用Ftp、Http等各種網關，控制和監視Internet提供的通用效力。.、構成平安體系將防火墻與IDS、VPN、病毒檢測等相關平安產品結合起來，充分發揚各自的優點，協同配合，建立以防火墻為中心的網絡平安防備體系，提升網絡系統的平安性。.、網絡平安設備