《信息安全產(chǎn)品配置與應用》課程防火墻篇配置策略設計【方案設計與產(chǎn)品部署】

1、本講任務與學習目標配置策略設計可以不用文字形式表現(xiàn)出來，可以在頭腦中策劃是不可跳過的一個步驟，不設計防火墻具體的配置策略，如何進行下一步的防火墻配置 ？（沒有樂譜，如何彈奏）策略設計與網(wǎng)絡環(huán)境、應用情況關系密切，必須確認真實、準確的防火墻部署與需要實現(xiàn)的功能要求路由、NAT、訪問控制、主機保護最簡的策略設計，是一堆表格配置策略設計防火墻接口Ip/掩碼掩碼網(wǎng)關網(wǎng)關對端設備對端設備對端地址對端地址說明說明Eth0【接口地址接口地址/掩碼掩碼】【可以沒有可以沒有】【設備接口設備接口】【對端設備地對端設備地址址】【用途用途】Eth1192.168.2.1/24192.168.2.20核心交換機核心交換

2、機E2192.168.2.20連接內(nèi)網(wǎng)連接內(nèi)網(wǎng)Eth2OOOOOEth3OOOOOEth4OOOOOOXOXO配置策略設計防火墻接口NGFW 4000-UF（服務器區(qū)域）Eth0（GBIC多模光口）核心交換機6506光纖Eth1（GBIC多模光口）服務器區(qū)匯聚交換機光纖Eth2（GBIC多模光口）PDM服務器光纖Eth3（GBIC多模光口）科技大樓二級交換機光纖NGFW 4000Eth0Eth1（百兆自適應電口）雙絞線Eth2（百兆自適應電口）雙絞線Eth3配置策略設計路由、 NAT通信策略（路由）源地址（網(wǎng)）源地址（網(wǎng)）目的地址（網(wǎng)）目的地址（網(wǎng)） 下一跳路由下一跳路由接口接口說明說明路由路

3、由1【從哪個地方來從哪個地方來】 【到哪個地方去到哪個地方去】 【網(wǎng)關地址網(wǎng)關地址】【從哪個接口從哪個接口出去出去】【用途用途】路由路由2192.168.2.0/24172.10.1.0/24172.10.2.2Eth1外網(wǎng)路由外網(wǎng)路由路由路由3OOOOO路由路由4OOOOO路由路由5OOOOOOXOXO配置策略設計路由、 NAT通信策略（NAT）源地址（網(wǎng)）源地址（網(wǎng)）目的地址（網(wǎng)）目的地址（網(wǎng)） 服務服務源轉換源轉換目的轉換目的轉換說明說明【從哪個地方來從哪個地方來】 【到哪個地方去到哪個地方去】 【】 【地址或范圍地址或范圍】 【地址或均衡組地址或均衡組】【用途用途】192.168.2.

4、0/24互聯(lián)網(wǎng)區(qū)域互聯(lián)網(wǎng)區(qū)域ALL互聯(lián)網(wǎng)接口地址互聯(lián)網(wǎng)接口地址訪問互聯(lián)網(wǎng)訪問互聯(lián)網(wǎng)互聯(lián)網(wǎng)區(qū)域互聯(lián)網(wǎng)區(qū)域互聯(lián)網(wǎng)接口地址互聯(lián)網(wǎng)接口地址80/tcp內(nèi)網(wǎng)服務器地址內(nèi)網(wǎng)服務器地址互聯(lián)網(wǎng)訪問互聯(lián)網(wǎng)訪問內(nèi)網(wǎng)網(wǎng)站內(nèi)網(wǎng)網(wǎng)站OOOOOOOOOOOXOXO配置策略設計訪問控制策略訪問控制源地址（網(wǎng)）源地址（網(wǎng)）目的地址（網(wǎng)）目的地址（網(wǎng)）服務服務日志記錄日志記錄深度過濾深度過濾權限權限【從哪個地方來從哪個地方來】 【到哪個地方去到哪個地方去】【】【是否記錄是否記錄】 【關鍵字過濾關鍵字過濾】 【允許允許/禁止禁止】內(nèi)網(wǎng)區(qū)域內(nèi)網(wǎng)區(qū)域互聯(lián)網(wǎng)區(qū)域互聯(lián)網(wǎng)區(qū)域ALL不記錄不記錄不過濾不過濾允許允許互聯(lián)網(wǎng)區(qū)域互聯(lián)網(wǎng)區(qū)域Web服務器服務器80/tcp記錄記錄不過濾不過濾允許允許ANYANYALL不記錄不記錄不過濾不過濾禁止禁止OOOOOOXOXO配置策略設計其他功能應用用戶認證實現(xiàn)對用戶通過防火墻訪問其他網(wǎng)絡的身份認證深度過濾、應用過濾實現(xiàn)對郵件、網(wǎng)頁關鍵字、域名 的過濾，禁止訪問某一類的網(wǎng)站，收發(fā)某一類的郵件實現(xiàn)對P2P、QQ、PPLive等