防火墻配置規(guī)范ppt課件

1、2019年年4月月19日日1. 防火墻端口運(yùn)用防火墻端口運(yùn)用2. 防火墻路由配置防火墻路由配置3. 防火墻戰(zhàn)略配置防火墻戰(zhàn)略配置4. 防火墻地址轉(zhuǎn)換防火墻地址轉(zhuǎn)換5. 防火墻本身平安防火墻本身平安6. 外聯(lián)區(qū)網(wǎng)絡(luò)部署規(guī)范外聯(lián)區(qū)網(wǎng)絡(luò)部署規(guī)范總體構(gòu)造總體構(gòu)造1. 主備防火墻銜接端口主備防火墻銜接端口 防火墻在主備方式時(shí)，互聯(lián)端口運(yùn)用防火墻在主備方式時(shí)，互聯(lián)端口運(yùn)用最后一個(gè)可用端口；最后一個(gè)可用端口；2. 不同平安域運(yùn)用端口不同平安域運(yùn)用端口 防火墻業(yè)務(wù)運(yùn)用端口，按照平安域由高防火墻業(yè)務(wù)運(yùn)用端口，按照平安域由高究竟，防火墻端口由前往后順序運(yùn)用；究竟，防火墻端口由前往后順序運(yùn)用；3. 與其他網(wǎng)絡(luò)設(shè)備銜

2、接方式與其他網(wǎng)絡(luò)設(shè)備銜接方式 防火墻與其他網(wǎng)絡(luò)設(shè)備采用口字形銜防火墻與其他網(wǎng)絡(luò)設(shè)備采用口字形銜接。接。防火墻端口運(yùn)用防火墻端口運(yùn)用防火墻路由配置防火墻路由配置1. 與相鄰網(wǎng)絡(luò)設(shè)備之間的路由與相鄰網(wǎng)絡(luò)設(shè)備之間的路由 防火墻與其他網(wǎng)絡(luò)設(shè)備之間普通采用防火墻與其他網(wǎng)絡(luò)設(shè)備之間普通采用靜態(tài)路由；靜態(tài)路由；2. 防火墻內(nèi)部路由配置明晰防火墻內(nèi)部路由配置明晰 配置防火墻的路由時(shí)，路由配置明晰明配置防火墻的路由時(shí)，路由配置明晰明了，不能出現(xiàn)反復(fù)的路由。了，不能出現(xiàn)反復(fù)的路由。防火墻戰(zhàn)略配置防火墻戰(zhàn)略配置1.根本平安戰(zhàn)略根本平安戰(zhàn)略 一切沒(méi)有允許的效力都是制止的，戰(zhàn)一切沒(méi)有允許的效力都是制止的，戰(zhàn)略只允許經(jīng)過(guò)

3、略只允許經(jīng)過(guò) 必要的數(shù)據(jù)，控制雙向數(shù)據(jù)流，同時(shí)建議必要的數(shù)據(jù)，控制雙向數(shù)據(jù)流，同時(shí)建議在防火墻最后添加一條回絕一切數(shù)據(jù)經(jīng)在防火墻最后添加一條回絕一切數(shù)據(jù)經(jīng)過(guò)的戰(zhàn)略；過(guò)的戰(zhàn)略；防火墻戰(zhàn)略配置防火墻戰(zhàn)略配置2. 規(guī)那么盡量簡(jiǎn)單明晰規(guī)那么盡量簡(jiǎn)單明晰 規(guī)那么力求簡(jiǎn)單明晰，在滿足業(yè)務(wù)需規(guī)那么力求簡(jiǎn)單明晰，在滿足業(yè)務(wù)需求的情況下，規(guī)那么盡量簡(jiǎn)單，防止出現(xiàn)求的情況下，規(guī)那么盡量簡(jiǎn)單，防止出現(xiàn)戰(zhàn)略相互重疊、包容甚至沖突的情況，同戰(zhàn)略相互重疊、包容甚至沖突的情況，同時(shí)可以經(jīng)過(guò)添加注釋、運(yùn)用戰(zhàn)略組等方式時(shí)可以經(jīng)過(guò)添加注釋、運(yùn)用戰(zhàn)略組等方式添加明晰度；添加明晰度；3. 戰(zhàn)略次序安排戰(zhàn)略次序安排 按照業(yè)務(wù)的重要性，

4、戰(zhàn)略由前往后。按照業(yè)務(wù)的重要性，戰(zhàn)略由前往后。防火墻地址轉(zhuǎn)換防火墻地址轉(zhuǎn)換1.地址轉(zhuǎn)換地址轉(zhuǎn)換經(jīng)過(guò)防火墻進(jìn)展不同平安區(qū)域的隔離，數(shù)經(jīng)過(guò)防火墻進(jìn)展不同平安區(qū)域的隔離，數(shù)據(jù)在經(jīng)過(guò)防火墻后必需進(jìn)展地址轉(zhuǎn)換。據(jù)在經(jīng)過(guò)防火墻后必需進(jìn)展地址轉(zhuǎn)換。2.地址轉(zhuǎn)換方式地址轉(zhuǎn)換方式 防火墻映射地址建議采用防火墻映射地址建議采用DIP的轉(zhuǎn)換方的轉(zhuǎn)換方式而非式而非MIP的的轉(zhuǎn)換方式。轉(zhuǎn)換方式。防火墻地址轉(zhuǎn)換防火墻地址轉(zhuǎn)換2.地址轉(zhuǎn)換方式地址轉(zhuǎn)換方式防火墻地址轉(zhuǎn)換采用一一對(duì)應(yīng)的方式，區(qū)防火墻地址轉(zhuǎn)換采用一一對(duì)應(yīng)的方式，區(qū)域一的同一域一的同一IP地址映射到另一區(qū)域時(shí)的地址映射到另一區(qū)域時(shí)的映射地址堅(jiān)持不變，例如映射地址堅(jiān)

5、持不變，例如Trust域的地址域的地址A經(jīng)過(guò)防火墻映射到經(jīng)過(guò)防火墻映射到Untrust域?yàn)橛驗(yàn)锳1， Untrust 域的域的B經(jīng)過(guò)防火墻映射到經(jīng)過(guò)防火墻映射到Trust域?yàn)橛驗(yàn)锽1 A訪問(wèn)訪問(wèn)B時(shí)：時(shí)： 在防火墻在防火墻Trust域域A訪問(wèn)訪問(wèn)B1，經(jīng)過(guò)，經(jīng)過(guò)防火墻映射后在防火墻映射后在Untrust域變?yōu)橛蜃優(yōu)锳1訪問(wèn)訪問(wèn)B；B同時(shí)需求訪問(wèn)同時(shí)需求訪問(wèn)A時(shí)：時(shí)： 在防火墻在防火墻Untrust域域B訪問(wèn)訪問(wèn)A1，經(jīng)，經(jīng)過(guò)防火墻映射后在過(guò)防火墻映射后在Untrust域?yàn)橛驗(yàn)锽1訪問(wèn)訪問(wèn)A，此時(shí)的，此時(shí)的A1和和B1需與需與A訪問(wèn)訪問(wèn)B時(shí)防火時(shí)防火墻轉(zhuǎn)換的墻轉(zhuǎn)換的A1和和B1地址一樣地址一樣防火墻地址轉(zhuǎn)換防火墻地址轉(zhuǎn)換2.地址轉(zhuǎn)換方式地址轉(zhuǎn)換方式防火墻本身平安防火墻本身平安1. 回絕非平安域訪問(wèn)回絕非平安域訪問(wèn) 不允許非平安域主機(jī)訪問(wèn)防火墻不允許非平安域主機(jī)訪問(wèn)防火墻2. 設(shè)置授信地址設(shè)置授信地址 允許哪些位于平安域的主機(jī)來(lái)訪問(wèn)防允許哪些位于平安域的主機(jī)來(lái)訪問(wèn)防火墻，對(duì)防火墻進(jìn)展操作火墻，對(duì)防火墻進(jìn)展操作外聯(lián)區(qū)網(wǎng)絡(luò)部署規(guī)范外聯(lián)區(qū)網(wǎng)絡(luò)部署規(guī)范1. 外聯(lián)第三方外聯(lián)第三方2. 外聯(lián)交換機(jī)及路由器配置思緒外聯(lián)交換機(jī)及路由器配置思緒3. 外聯(lián)