防火墻理論與實(shí)例講解

1、防火墻理論與實(shí)例講解第1頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四防火墻的工作原理 根據(jù)防范的方式和側(cè)重點(diǎn)的不同,防火墻可分為三大類: 1. 數(shù)據(jù)包過濾 數(shù)據(jù)包過濾(Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇,選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯,被稱為訪問控制表(Access Control Table)。通過檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素,或它們的組合來確定是否允許該數(shù)據(jù)包通過。網(wǎng)絡(luò)安全培訓(xùn)中心第2頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層數(shù)據(jù)包過

2、濾防火墻實(shí)現(xiàn)原理圖網(wǎng)絡(luò)安全培訓(xùn)中心第3頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四藍(lán)盾防火墻過濾規(guī)則網(wǎng)絡(luò)安全培訓(xùn)中心第4頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四2. 應(yīng)用級(jí)網(wǎng)關(guān) 應(yīng)用級(jí)網(wǎng)關(guān)(Application Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯,并在過濾的同時(shí),對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì),形成報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)應(yīng)用層表示層會(huì)話層轉(zhuǎn)輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用網(wǎng)防火墻實(shí)現(xiàn)原理圖第5頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32

3、分，星期四3. 代理服務(wù) 代理服務(wù)(Proxy Service)也稱鏈路級(jí)網(wǎng)關(guān)或TCP通道(Circuit Level Gateways orTCP Tunnels),也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。它是針對(duì)數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù),其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”,由兩個(gè)終止代理服務(wù)器上的“鏈接”來實(shí)現(xiàn),外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器,從而起到了隔離防火墻內(nèi)外網(wǎng)絡(luò)安全培訓(xùn)中心第6頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四計(jì)算機(jī)系統(tǒng)的作用。此外,代理服務(wù)也對(duì)過往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記,形成

4、報(bào)告,同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào),并保留攻擊痕跡。防火墻代理客戶代理訪問控制服務(wù)器代理客戶服務(wù)器請(qǐng)求轉(zhuǎn)發(fā)應(yīng)答請(qǐng)求轉(zhuǎn)發(fā)應(yīng)答代理服務(wù)防火墻應(yīng)用數(shù)據(jù)控制及傳輸過程圖網(wǎng)絡(luò)安全培訓(xùn)中心第7頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四一、一般防火墻的極限性 我國(guó)幾大知名網(wǎng)站先后被黑客攻破，充分暴露了一般防火墻存在的極限性-就是“治標(biāo)不治本”，對(duì)新型攻擊和變種攻擊無法防御，黑客只要改變攻擊方式或擁有了新的工具，就有一批網(wǎng)站要遭其黑手。藍(lán)盾安全小組第8頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四二、新一代防御技術(shù)-藍(lán)盾智能防御 藍(lán)盾防火墻突破了傳統(tǒng)的被動(dòng)防御觀念，從底

5、層做起，自行研制開發(fā)出了一套全新的智能防御核心，它不僅能攔截目前的4000多種黑客攻擊，對(duì)各種新型攻擊和“變種攻擊”也能自動(dòng)制定防御策略進(jìn)行有效防御，徹底解決了一般防火墻對(duì)新型攻擊無法防御的問題。同時(shí)藍(lán)盾防火墻還具備有反端口掃描功能和168位的高加密技術(shù)（美國(guó)嚴(yán)禁出口）。藍(lán)盾安全小組第9頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四藍(lán)盾智能技術(shù)主要有以下幾點(diǎn) 智能防御核心 自動(dòng)反掃描 自動(dòng)告警藍(lán)盾安全小組第10頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四 1、智能防御核心 （圖7） 藍(lán)盾防火墻系統(tǒng)有一個(gè)獨(dú)特的智能防御核心，能自動(dòng)統(tǒng)計(jì)、分析通過防火墻的各種連接數(shù)據(jù)，探測(cè)出攻

6、擊者，立即斷開與該主機(jī)的任何連接，保護(hù)內(nèi)網(wǎng)所有服務(wù)器和主機(jī)的安全。智能分析安全探測(cè)器防御策略制定網(wǎng) 絡(luò) 核 心藍(lán)盾安全小組第11頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四 2、自動(dòng)反掃描技術(shù) 掃描是“黑客攻擊”的前奏，攻擊前，“黑客”一般會(huì)先掃描一下目標(biāo)主機(jī)打開的服務(wù)端口，然后再進(jìn)行針對(duì)性攻擊。藍(lán)盾防火墻在內(nèi)核設(shè)計(jì)中引入自動(dòng)反掃描機(jī)制，當(dāng)“黑客”用掃描器掃描防火墻或防火墻保護(hù)的服務(wù)器時(shí)，將掃不出任何服務(wù)端口，使“黑客”無從下手。藍(lán)盾安全小組第12頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四（圖8）藍(lán)盾安全小組第13頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期

7、四3、自動(dòng)告警 當(dāng)你的服務(wù)器遭到掃描、攻擊時(shí)，防火墻系統(tǒng)會(huì)自動(dòng)向你提示告警。 電子郵件、手機(jī)、Bp機(jī) 藍(lán)盾安全小組第14頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四 七、藍(lán)盾系統(tǒng)構(gòu)架 軟硬一體化設(shè)計(jì) 自行開發(fā)的操作平臺(tái) 美觀、易用的 WEB 管理界面藍(lán)盾安全小組第15頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四1、軟硬一體化設(shè)計(jì) 充分發(fā)揮硬件的性能，運(yùn)行效率高；系統(tǒng)更加可靠，安裝方便。 藍(lán)盾安全小組第16頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四2、自行開發(fā)的操作平臺(tái) 現(xiàn)在商業(yè)操作平臺(tái)如Win98、NT、UNIX、 LINUX存在著不少漏洞，不斷被黑客在互

8、聯(lián) 網(wǎng)上公開、傳播，作為攻擊的目標(biāo)。 藍(lán)盾從底層做起，自行開發(fā)出一套防火墻專用平臺(tái)，對(duì)于與流量關(guān)系密切的模塊進(jìn)行優(yōu)化處理，做到了：高安全性高穩(wěn)定性高效率 藍(lán)盾安全小組第17頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四 3、美觀、易用的WEB界面 基于 WWW 管理界面的系統(tǒng)設(shè)置，管理員可以通過由HTML、組成的圖形界面對(duì)系統(tǒng)進(jìn)行管理。把復(fù)雜繁多的系統(tǒng)功能設(shè)置變?yōu)橹庇^易用的 WWW 界面，提高了系統(tǒng)的可用性。藍(lán)盾安全小組第18頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四 三、藍(lán)盾防火墻系統(tǒng)功能特點(diǎn) (一)、技術(shù)先進(jìn) 智能防御 端口反掃描 高保密度VPN(168bit) 防

9、外又防內(nèi)的解決方案藍(lán)盾安全小組第19頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四 （二）、實(shí)用性強(qiáng) 分組代理計(jì)費(fèi)功能 URL過濾功能 地址轉(zhuǎn)換功能(NAT) MAC綁定功能 物理斷開功能 藍(lán)盾安全小組第20頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四 （一）、技術(shù)先進(jìn) 智能防御 端口反掃描 高保密度VPN(168bit) 虛擬專網(wǎng)技術(shù)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，那么各地的機(jī)構(gòu)就可以互相傳遞信息。這樣使用VPN可以節(jié)約成本、提供遠(yuǎn)程訪問、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好

10、處。 藍(lán)盾的加密技術(shù)高達(dá)168 bit(3DES)，該加密技術(shù)美國(guó)禁止出口。藍(lán)盾安全小組第21頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四藍(lán)盾安全小組第22頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四某集團(tuán)公司VPN整體解決方案圖 第23頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四 防外又防內(nèi)的解決方案藍(lán)盾安全小組第24頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四（二）、實(shí)用性強(qiáng) 1 分組代理計(jì)費(fèi)功能 網(wǎng)管員可以根據(jù)企業(yè)內(nèi)部網(wǎng)的實(shí)際情況，將用戶劃分成不同的組，如“財(cái)務(wù)組”、“市場(chǎng)組”，再給組中的每一個(gè)用戶一個(gè)獨(dú)立的帳號(hào)（用戶/密碼）。防火墻對(duì)每一

11、帳號(hào)的上網(wǎng)情況都做了詳細(xì)記錄，并根據(jù)設(shè)定的單價(jià)表進(jìn)行記費(fèi)。 藍(lán)盾安全小組第25頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四藍(lán)盾安全小組第26頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四2、 URL過濾功能 對(duì)一些黃色站點(diǎn)、反動(dòng)站點(diǎn)，通過URL過濾功能，可進(jìn)行訪問限制，不給內(nèi)網(wǎng)人員瀏覽那些網(wǎng)站或特定頁(yè)面。（如）還可指定到具體某種類型文件。 藍(lán)盾安全小組第27頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四 3、地址轉(zhuǎn)換功能 NAT功能不僅可以隱藏內(nèi)部網(wǎng)絡(luò)地址信息，使外界無法直接訪問內(nèi)部網(wǎng)絡(luò)設(shè)備，同時(shí)，它還幫助網(wǎng)絡(luò)可以超越地址的限制，合理地安排網(wǎng)絡(luò)中的公有Inter

12、net地址和私有IP地址的使用。 主要包括： A: 地址（端口）映射。出去 B: 重定向。進(jìn)來 藍(lán)盾安全小組第28頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四藍(lán)盾安全小組第29頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四藍(lán)盾安全小組第30頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四 4、MAC綁定功能 MAC綁定技術(shù)是將IP地址和網(wǎng)卡的硬件地址綁定起來，目的是為了防止IP欺騙、地址偽裝，主要用于綁定一些重要的系統(tǒng)管理員IP和特權(quán)IP。 比如： IP MAC AC:10:5A:63:7C:3F 藍(lán)盾安全小組第31頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分

13、，星期四 5、物理斷開功能 本系統(tǒng)的三個(gè)網(wǎng)絡(luò)硬件接口中，都內(nèi)置一個(gè)物理開關(guān)模塊，通過設(shè)置，可斷開任一網(wǎng)絡(luò)接口的聯(lián)接，即時(shí)中止該網(wǎng)絡(luò)接口的任何通信，這樣，在某些特殊環(huán)境下，可進(jìn)一步提高系統(tǒng)的安全性。藍(lán)盾安全小組第32頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四四、藍(lán)盾防火墻典型方案：方案一： 內(nèi)（掩碼為） 通過藍(lán)盾防火墻透明代理上互聯(lián)網(wǎng)。防火墻地址（內(nèi)網(wǎng)別名，DMZ區(qū)（掩碼為）， 第33頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四外網(wǎng)（WWW）別名 (DNS)別名(EMAIL)（掩碼均為48），DMZ區(qū)（掩碼均為），WWW與FTP服務(wù)器IP地址為，EMAIL服務(wù)器IP地址

14、為，DNS服務(wù)器IP地址為0。外部路由器IP地址為（掩碼為48）。第34頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四互聯(lián)網(wǎng)外部路由器藍(lán)盾防火墻內(nèi)網(wǎng)主機(jī)群 www FTP DNS EMALL 第35頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四 在內(nèi)網(wǎng)所有要上互聯(lián)網(wǎng)的主機(jī)的網(wǎng)關(guān)設(shè)置為藍(lán)盾防火墻內(nèi)網(wǎng)地址。 在內(nèi)網(wǎng)DNS的輔助DNS服務(wù)器設(shè)置為。藍(lán)盾防火墻中的設(shè)置： 系統(tǒng)設(shè)置中設(shè)置域名服務(wù)器為ISP提供的DNS服務(wù)器IP地址。 安全規(guī)則中NAT規(guī)則設(shè)置：（外網(wǎng)部分訪問DMZ區(qū)）第36頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四 重定向 綁定網(wǎng)絡(luò)設(shè)備三 目標(biāo)地址 端口

15、 80 重定向到 端口 80 協(xié)議 TCP 重定向 綁定網(wǎng)絡(luò)設(shè)備三 目標(biāo)地址 端口 21 重定向到 端口 21 協(xié)議 TCP 映射 綁定網(wǎng)絡(luò)設(shè)備三 來源 主機(jī) 映射到 主機(jī) 協(xié)議 TCP/UDP 重定向 綁定網(wǎng)絡(luò)設(shè)備三 目標(biāo)地址 端口 53 重定向到 端口 53 協(xié)議 TCP/UDP第37頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四 重定向 綁定網(wǎng)絡(luò)設(shè)備三 目標(biāo)地址 端口 25 重定向到 0 端口 25 協(xié)議 TCP； 重定向 綁定網(wǎng)絡(luò)設(shè)備三 目標(biāo)地址 端口 110 重定向到 0 端口 110 協(xié)議 TCP；（內(nèi)網(wǎng)部分訪問DMZ區(qū)） 重定向 綁定網(wǎng)絡(luò)設(shè)備一 目標(biāo)地址 端口 80 重

16、定向到 端口 80 協(xié)議 TCP； 重定向 綁定網(wǎng)絡(luò)設(shè)備一 目標(biāo)地址 端口 21 重定向到 端口 21 協(xié)議 TCP ；第38頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四 映射 綁定網(wǎng)絡(luò)設(shè)備一 來源 主機(jī) 映射到 主機(jī) 協(xié)議 TCP/UDP 重定向 綁定網(wǎng)絡(luò)設(shè)備一 目標(biāo)地址 端口 53 重定向到 端口 53 協(xié)議 TCP/UDP 重定向 綁定網(wǎng)絡(luò)設(shè)備一 目標(biāo)地址 端口 25 重定向到 0 端口 25 協(xié)議 TCP 重定向 綁定網(wǎng)絡(luò)設(shè)備一 目標(biāo)地址 端口 110 重定向到 0 端口 110 協(xié)議 TCP（內(nèi)網(wǎng)部分訪問外網(wǎng)）第39頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四

17、 重定向 綁定網(wǎng)絡(luò)設(shè)備一 目標(biāo)地址 端口 80 重定向到 端口 80 協(xié)議 TCP 映射 綁定網(wǎng)絡(luò)設(shè)備三 來源 網(wǎng)絡(luò) 子網(wǎng)掩碼 映射到 主機(jī) 協(xié)議 TCP/UDP 端口映射 5000-65000第40頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四方案二： 內(nèi)網(wǎng)-255（） 通過了內(nèi)網(wǎng)中的代理服務(wù)器代理上網(wǎng)（內(nèi)網(wǎng)DNS為)，最后通過藍(lán)盾防火墻出互聯(lián)網(wǎng)。防火墻地址（內(nèi)網(wǎng)別名，DMZ區(qū)（掩碼為），外網(wǎng)（WWW）別名(DNS)別名(EMAIL) (代理上網(wǎng)） 第41頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四互聯(lián)網(wǎng)外部路由器藍(lán)盾防火墻 www FTP DNS EMALL 代理服務(wù)

18、器內(nèi)部主機(jī)群第42頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四 在代理服務(wù)器上的網(wǎng)關(guān)設(shè)置為藍(lán)盾防火墻內(nèi)網(wǎng)地址，內(nèi)網(wǎng)中上互聯(lián)網(wǎng)的主機(jī)的設(shè)置具體與代理服務(wù)器相應(yīng)。 在內(nèi)網(wǎng)DNS的輔助DNS服務(wù)器設(shè)置為。藍(lán)盾防火墻中的設(shè)置： 系統(tǒng)設(shè)置中設(shè)置域名服務(wù)器為ISP提供的DNS服務(wù)器IP地址。第43頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四 重定向 綁定網(wǎng)絡(luò)設(shè)備三 目標(biāo)地址 端口 80 重定向到 端口 80 協(xié)議 TCP 重定向 綁定網(wǎng)絡(luò)設(shè)備三 目標(biāo)地址 端口 21 重定向到 端口 21 協(xié)議 TCP 映射 綁定網(wǎng)絡(luò)設(shè)備三 來源 主機(jī) 映射到 主機(jī) 協(xié)議 TCP/UDP 重定向 綁

19、定網(wǎng)絡(luò)設(shè)備三 目標(biāo)地址 端安全規(guī)則中NAT規(guī)則設(shè)置：（外網(wǎng)部分訪問DMZ區(qū)）第44頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四口 53 重定向到 端口 53 協(xié)議 TCP/UDP 重定向 綁定網(wǎng)絡(luò)設(shè)備三 目標(biāo)地址 端口 25 重定向到 0 端口 25 協(xié)議 TCP 重定向 綁定網(wǎng)絡(luò)設(shè)備三 目標(biāo)地址 端口 110 重定向到 0 端口 110 協(xié)議 TCP（內(nèi)網(wǎng)部分訪問DMZ區(qū)） 重定向 綁定網(wǎng)絡(luò)設(shè)備一 目標(biāo)地址 端口 80 重定向到 端口 80 協(xié)議 TCP 重定向 綁定網(wǎng)絡(luò)設(shè)備一 目標(biāo)地址 端口 21 重定向到 端口 21 協(xié)議 TCP第45頁(yè)，共65頁(yè)，2022年，5月20日，0

20、點(diǎn)32分，星期四 映射 綁定網(wǎng)絡(luò)設(shè)備一 來源 主機(jī) 映射到 主機(jī) 協(xié)議 TCP/UDP 重定向 綁定網(wǎng)絡(luò)設(shè)備一 目標(biāo)地址 端口 53 重定向到 端口 53 協(xié)議 TCP/UDP 重定向 綁定網(wǎng)絡(luò)設(shè)備一 目標(biāo)地址 端口 25 重定向到 0 端口 25 協(xié)議 TCP 重定向 綁定網(wǎng)絡(luò)設(shè)備一 目標(biāo)地址 端口 110 重定向到 0 端口 110 協(xié)議 TCP（使內(nèi)網(wǎng)中的代理服務(wù)器提供出口部分） 映射 綁定網(wǎng)絡(luò)設(shè)備三 來源 主機(jī) 映射到 主機(jī) 協(xié)議 TCP/UDP第46頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四方案三： 第47頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四(代理上

21、網(wǎng)）（掩碼均為48），DMZ區(qū)（掩碼均為），WWW與FTP服務(wù)器IP地址為，EMAIL服務(wù)器IP地址為，DNS服務(wù)器IP地址為0。外部路由器IP地址為（掩碼為48）。第48頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四互聯(lián)網(wǎng)外部路由器藍(lán)盾防火墻 www FTP DNS EMALL 代理服務(wù)器內(nèi)部主機(jī)群第49頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四 在代理服務(wù)器上的網(wǎng)關(guān)設(shè)置為藍(lán)盾防火墻內(nèi)網(wǎng)地址，內(nèi)網(wǎng)中上互聯(lián)網(wǎng)的主機(jī)的設(shè)置具體與代理服務(wù)器相應(yīng)。 在內(nèi)網(wǎng)DNS的輔助DNS服務(wù)器設(shè)置為。藍(lán)盾防火墻中的設(shè)置： 系統(tǒng)設(shè)置中設(shè)置域名服務(wù)器為ISP提供的DNS服務(wù)器IP地址。第50頁(yè)

22、，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四 安全規(guī)則中NAT規(guī)則設(shè)置：（外網(wǎng)部分訪問DMZ區(qū)） 重定向 綁定網(wǎng)絡(luò)設(shè)備三 目標(biāo)地址 端口 80 重定向到 端口 80 協(xié)議 TCP 重定向 綁定網(wǎng)絡(luò)設(shè)備三 目標(biāo)地址 端口 21 重定向到 端口 21 協(xié)議 TCP 映射 綁定網(wǎng)絡(luò)設(shè)備三 來源 主機(jī) 映射到 主機(jī) 協(xié)議 TCP/UDP第51頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四 重定向 綁定網(wǎng)絡(luò)設(shè)備三 目標(biāo)地址 端口 53 重定向到 端口 53 協(xié)議 TCP/UDP 重定向 綁定網(wǎng)絡(luò)設(shè)備三 目標(biāo)地址 端口 25 重定向到 0 端口 25 協(xié)議 TCP 重定向 綁定網(wǎng)絡(luò)設(shè)備

23、三 目標(biāo)地址 端口 110 重定向到 0 端口 110 協(xié)議 TCP（內(nèi)網(wǎng)部分訪問DMZ區(qū)） 重定向 綁定網(wǎng)絡(luò)設(shè)備一 目標(biāo)地址 端口 80 重定向到 端口 80 協(xié)議 TCP 第52頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四端口 21 重定向到 端口 21 協(xié)議 TCP 映射 綁定網(wǎng)絡(luò)設(shè)備一 來源 主機(jī) 映射到 主機(jī) 協(xié)議 TCP/UDP 重定向 綁定網(wǎng)絡(luò)設(shè)備一 目標(biāo)地址 端口 53 重定向到 端口 53 協(xié)議 TCP/UDP 重定向 綁定網(wǎng)絡(luò)設(shè)備一 目標(biāo)地址 端口 25 重定向到 0 端口 25 協(xié)議 TCP 重定向 綁定網(wǎng)絡(luò)設(shè)備一 目標(biāo)地址 端口 110 重定向到 0 端口 110 協(xié)議 TCP（使內(nèi)網(wǎng)中的代理服務(wù)器提供出口部分） 第53頁(yè)，共65頁(yè)，2022年，5月20日，0點(diǎn)32分，星期四 重定向 綁定網(wǎng)絡(luò)設(shè)備一 目標(biāo)地址 端口 80 重定向到 端口 8