版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
7防火墻配置?
7.
1
個人防火墻配置?
7.
1.
1
諾頓個人防火墻?
Symantec公司推出的NortonPersonalFirewall(諾頓個人防火墻)是專門針對家庭
和個人用戶的防火墻軟件
,
它可以有效地防范各種黑客程序
、特洛伊木馬對用戶計算機(jī)的攻擊
,
并且通過其特有的系統(tǒng)檢測功能阻止系統(tǒng)內(nèi)隱藏的程序向外界發(fā)送各種信息。?7.1.2天網(wǎng)防火墻個人版?1)系統(tǒng)設(shè)置?在防火墻的控制面板中單擊“系統(tǒng)設(shè)置”按鈕,即可展開防火墻系統(tǒng)設(shè)置面板。?天網(wǎng)個人版防火墻系統(tǒng)設(shè)置界面如圖7.1所示。?⑴啟動設(shè)置選中開機(jī)后自動啟動防火墻,天網(wǎng)個人版防火墻將在操作系統(tǒng)啟動的時候自動啟動,否則天網(wǎng)防火墻需要手工啟動。圖7.1系統(tǒng)設(shè)置界面?⑵防火墻自定義規(guī)則重置單擊該按鈕,防火墻將彈出窗口,如圖7.2所示。圖7.2防火墻自定義規(guī)則重置?如果單擊“確定”按鈕,天網(wǎng)防火墻將會把防火墻的安全規(guī)則全部恢復(fù)為初始設(shè)置,對安全規(guī)則的修改和加入的規(guī)則將會全部被清除掉。?⑶防火墻設(shè)置向?qū)榱吮阌谟脩艉侠淼脑O(shè)置防火墻,天網(wǎng)防火墻個人版專門為用戶設(shè)計了防火墻設(shè)置向?qū)?界面如圖7.3所示。用戶可以跟隨它一步一步完成天網(wǎng)防火墻的合理設(shè)置。圖7.3防火墻設(shè)置向?qū)?⑷應(yīng)用程序權(quán)限設(shè)置鉤選該選項之后出現(xiàn)圖7.4所示內(nèi)容,所有的應(yīng)用程序?qū)W(wǎng)絡(luò)的訪問都默認(rèn)為通行不攔截。這適合在某些特殊情況下,不需要對所有訪問網(wǎng)絡(luò)的應(yīng)用程序都做審核(如在運行某些游戲程序的時候)。圖7.4
應(yīng)用程序權(quán)限設(shè)置?⑸局域網(wǎng)地址設(shè)置在局域網(wǎng)內(nèi)的地址,其界面如圖7.5所示。?注意:如果你的機(jī)器是在局域網(wǎng)里面使用,一定要設(shè)置好這個地址。因為防火墻將會以這個地址來區(qū)分局域網(wǎng)或者是Internet的IP來源。圖7.5
局域網(wǎng)地址?⑹報警聲音設(shè)置報警聲音其界面如圖7.6所示,單擊“瀏覽”按鈕,可以自己選擇一個聲音文件作為天網(wǎng)防火墻預(yù)警的聲音。初始狀態(tài)是沒有設(shè)置報警聲音的,單擊“重置”按鈕即可將采用天網(wǎng)防火墻默認(rèn)的報警聲音。圖7.6
報警聲音?⑺日志保存鉤選“每次退出防火墻時自動保存日志”復(fù)選框,其界面如圖7.7所示,當(dāng)退出防火墻的保護(hù)時,天網(wǎng)防火墻將會把當(dāng)日的日志記錄自動保存到SkyNet/FireWall/log文件下,打開文件夾便可查看當(dāng)日的日志記錄。圖7.7
保存日志?2)安全級別設(shè)置?天網(wǎng)個人版防火墻的缺省安全級別分為低、中、高三個等級,默認(rèn)的安全等級為中級,其中各等級的安全設(shè)置說明如下:?⑴低所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時都將被詢問,已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運作。計算機(jī)將完全信任局域網(wǎng),允許局域網(wǎng)內(nèi)部的機(jī)器訪問自己提供的各種服務(wù)(如文件、打印機(jī)共享服務(wù)),但禁止互聯(lián)網(wǎng)上的機(jī)器訪問這些服務(wù)。?⑵中所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時都將被詢問,已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運作。禁止局域網(wǎng)內(nèi)部和互聯(lián)網(wǎng)的機(jī)器訪問自己提供的網(wǎng)絡(luò)共享服務(wù)(如文件、打印機(jī)共享服務(wù)等),局域網(wǎng)和互聯(lián)網(wǎng)上的機(jī)器將無法看到本機(jī)器。?⑶高所有應(yīng)用程序初次訪問網(wǎng)絡(luò)時都將被詢問,已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運作。禁止局域網(wǎng)內(nèi)部和互聯(lián)網(wǎng)的機(jī)器訪問自己提供的網(wǎng)絡(luò)共享服務(wù)(如文件、打印機(jī)共享服務(wù)等),局域網(wǎng)和互聯(lián)網(wǎng)上的機(jī)器將無法看到本機(jī)器。除了是由已經(jīng)被認(rèn)可的程序打開的端口,系統(tǒng)會屏蔽掉向外部開放的所有端口。?用戶可以根據(jù)自己的需要調(diào)整自己的安全級別,方便實用。?注意:天網(wǎng)的簡易安全級別是為了方便不熟悉天網(wǎng)使用的用戶能夠很好的使用天網(wǎng)而設(shè)的。如果用戶選擇了采用簡易的安全級別設(shè)置,那么天網(wǎng)就會屏蔽掉高級的IP規(guī)則設(shè)定里規(guī)則的作用。?3)IP規(guī)則設(shè)置?⑴缺省IP規(guī)則IP規(guī)則是針對整個系統(tǒng)的網(wǎng)絡(luò)層數(shù)據(jù)包監(jiān)控而設(shè)置的。利用自定義IP規(guī)則,用戶可針對個人不同的網(wǎng)絡(luò)狀態(tài),設(shè)置自己的IP安全規(guī)則,使防御手段更周到、更實用。用戶可以單擊“自定義IP規(guī)則”按鈕或者在“安全級別”中單擊進(jìn)入IP規(guī)則設(shè)置界面。?
IP規(guī)則設(shè)置的操作界面如圖7.8所示。圖7.8自定義IP規(guī)則?關(guān)于缺省的規(guī)則各項的具體意義,這里只選擇幾項重要的來解釋。實際上“天網(wǎng)防火墻個人版”本身已經(jīng)默認(rèn)設(shè)置了相當(dāng)好的缺省規(guī)則,一般用戶并不需要做任何IP規(guī)則修改,就可以直接使用。?①防御ICMP攻擊:選擇該項時,別人無法用Ping的方法來確定你的存在,但不影響你去Ping別人。?②防御IGMP攻擊:IGMP是用于組播的一種協(xié)議,對于Windows的用戶是沒有什么用途的,但現(xiàn)在也被用來作為藍(lán)屏攻擊的一種方法,建議選擇此設(shè)置。?③TCP數(shù)據(jù)包監(jiān)視:通過這條規(guī)則,可以監(jiān)視機(jī)器與外部之間的所有TCP連接請求。?注意:這只是一個監(jiān)視規(guī)則,開啟后會產(chǎn)生大量的日志,該規(guī)則是給熟悉TCP/IP協(xié)議網(wǎng)絡(luò)的人使用的,如果不熟悉網(wǎng)絡(luò),請不要開啟。這條規(guī)則一定要是TCP協(xié)議規(guī)則的第一條。?④禁止互聯(lián)網(wǎng)上的機(jī)器使用我的共享資源:禁止互聯(lián)網(wǎng)上的機(jī)器使用我的共享資源,開啟該規(guī)則后,別人就不能訪問你的共享資源,包括獲取你的機(jī)器名稱。?⑤禁止所有人連接低端端口:防止所有的機(jī)器和自己的低端端口連接。由于低端端口是TCP/IP協(xié)議的各種標(biāo)準(zhǔn)端口,幾乎所有的Internet服務(wù)都是在這些端口上工作的,所以這是一條非常嚴(yán)厲的規(guī)則,有可能會影響使用某些軟件。如果需要向外面公開特定端口,可在本規(guī)則之前添加使該特定端口數(shù)據(jù)包可通行的規(guī)則。?⑥允許已經(jīng)授權(quán)程序打開的端口:某些程序,如ICQ,視頻電話等軟件,都會開放一些端口,這樣,你的同伴才可以連接到你的機(jī)器上。本規(guī)則可以保證這些軟件可以正常工作。?⑦禁止所有人連接:防止所有的機(jī)器和自己連接。這是一條非常嚴(yán)厲的規(guī)則,有可能會影響使用某些軟件。如果需要向外面公開特定端口,在本規(guī)則之前添加使該特定端口數(shù)據(jù)包可通行的規(guī)則。該規(guī)則通常放在最后。?⑧UDP數(shù)據(jù)包監(jiān)視:通過這條規(guī)則,可以監(jiān)視機(jī)器與外部之間的所有UDP包的發(fā)送和接受過程。注意:這只是一個監(jiān)視規(guī)則,開啟后可能會產(chǎn)生大量的日志,平常請不要打開。這條規(guī)則是給熟悉TCP/IP協(xié)議網(wǎng)絡(luò)的人使用,如果不熟悉網(wǎng)絡(luò),則不要開啟。這條規(guī)則一定要是UDP協(xié)議規(guī)則的第一條。?⑨允許DNS:允許域名解釋。注意:如果要拒絕接收UDP包,就一定要開啟該規(guī)則,否則會無法訪問互聯(lián)網(wǎng)上的資源。?另外,可針對性的設(shè)置了多條安全規(guī)則,主要針對現(xiàn)在一些用戶對網(wǎng)絡(luò)服務(wù)端口的開放和木馬端口的攔截。?⑵自定義IP規(guī)則規(guī)則是一系列的比較條件和一個對數(shù)據(jù)包的動作,就是根據(jù)數(shù)據(jù)包的每一個部分來與設(shè)置的條件比較,當(dāng)符合條件時,就可以確定對該包放行或者阻擋。通過合理的設(shè)置規(guī)則就可以把有害的數(shù)據(jù)包擋在系統(tǒng)之外。?IP規(guī)則的頁面主要由以下3個部分組成:?①工具條,其界面如圖7.9所示。圖7.9
工具條?可以單擊上面的按鈕來“增加規(guī)則”,“修改規(guī)則”,“刪除規(guī)則”。由于規(guī)則判斷是由上而下執(zhí)行的,還可以通過單擊“上移”或“下移”按鈕調(diào)整規(guī)則的順序(注意:只有相同協(xié)議的規(guī)則才可以調(diào)整相互順序),還可以“導(dǎo)出”和“導(dǎo)入”已預(yù)設(shè)和已保存的規(guī)則。當(dāng)調(diào)整好順序后,可單擊“保存”按鈕即可保存修改。?②規(guī)則列表,其界面如圖7.10所示。圖7.10規(guī)則列表?這里列出了所有的規(guī)則的名稱,該規(guī)則所對應(yīng)的數(shù)據(jù)包的方向,該規(guī)則所控制的協(xié)議,本機(jī)端口,對方地址和對方端口,以及當(dāng)數(shù)據(jù)包滿足本規(guī)則時所采取的策略。在列表的左邊為該規(guī)則是否有效的標(biāo)志,鉤選表示該規(guī)則有效,否則表示無效。?③規(guī)則說明:這里列出了規(guī)則的詳細(xì)說明。關(guān)于規(guī)則編輯的說明,通過單擊“增加”按鈕或選擇一條規(guī)則后再單擊“修改”按鈕,就會激活編輯窗口如圖711和712所示圖7.11規(guī)則修改TCP圖7.12規(guī)則修改IP?首先輸入規(guī)則的“名稱”和“說明”,以便于查找和閱讀。然后,選擇該規(guī)則是對進(jìn)入的數(shù)據(jù)包還是輸出的數(shù)據(jù)包有效?!皩Ψ降腎P地址”,用于確定選擇數(shù)據(jù)包從那里來或是去哪里。注意:“任何地址”是指數(shù)據(jù)包從任何地方來,都適合本規(guī)則;“局域網(wǎng)網(wǎng)絡(luò)地址”是指數(shù)據(jù)包來自和發(fā)向局域網(wǎng);“指定地址”是用戶自己輸入的一個地址;“指定的網(wǎng)絡(luò)地址”是用戶自己輸入的一個網(wǎng)絡(luò)和掩碼。?除了錄入選擇上面內(nèi)容,還要錄入該規(guī)則所對應(yīng)的協(xié)議,其中:?“IP”協(xié)議不用填寫內(nèi)容。注意,如果錄入了IP協(xié)議的規(guī)則,一點要保證IP協(xié)議規(guī)則的最后一條的內(nèi)容是:“對方地址:任何地址;動作:繼續(xù)下一規(guī)則”。?“TCP”協(xié)議要輸入本機(jī)的端口范圍和對方的端口范圍,如果只是指定一個端口,那么可以在起始端口處錄入該端口,結(jié)束端口處,輸入同樣的端口。如果不想指定任何端口,只要在起始端口都輸入“0”。TCP標(biāo)志比較復(fù)雜,可以查閱其他資料,如果不選擇任何標(biāo)志,那么將不會對標(biāo)志作檢查。?“ICMP”規(guī)則要填入類型和代碼。如果輸入“255”,表示任何類型和代碼都符合本規(guī)則。?“IGMP”不用填寫內(nèi)容。?當(dāng)一個數(shù)據(jù)包滿足上面的條件時,就可以對該數(shù)據(jù)包采取如下行動:?“通行”指讓該數(shù)據(jù)包暢通無阻的進(jìn)入或出去。?“攔截”指讓該數(shù)據(jù)包無法進(jìn)入該系統(tǒng)。?“繼續(xù)下一規(guī)則”指不對該數(shù)據(jù)包作任何處理,由該規(guī)則的下一條協(xié)議規(guī)則來決定對該包的處理。?在執(zhí)行這些規(guī)則的同時,還可以定義是否記錄這次規(guī)則的處理和這次規(guī)則的處理的數(shù)據(jù)包的主要內(nèi)容,并用右下角的“天網(wǎng)防火墻個人版”圖標(biāo)是否閃爍來“警告”,或發(fā)出聲音提示。?⑶建議?①防火墻的規(guī)則檢查順序與列表順序是一致的。?②當(dāng)有局域網(wǎng)時,只想對局域網(wǎng)開放某些端口或協(xié)議(但對互聯(lián)網(wǎng)關(guān)閉)時,可對局域網(wǎng)的規(guī)則采用允許“局域網(wǎng)網(wǎng)絡(luò)地址”的某端口、協(xié)議的數(shù)據(jù)包“通行”的規(guī)則,然后用“任何地址”的某端口、協(xié)議的規(guī)則“攔截”,就可達(dá)到目的。?③如果輸入了IP協(xié)議的規(guī)則,一定要保證IP協(xié)議規(guī)則的最后一條的內(nèi)容是:“對方地址:任何地址,動作:繼續(xù)下一規(guī)則”,否則其他協(xié)議的規(guī)則將會執(zhí)行不到。?④不要濫用“記錄”功能,一個定義不好的規(guī)則加上記錄功能,會產(chǎn)生大量沒有任何意義的日志,并耗費大量的內(nèi)存。?說明:現(xiàn)在已經(jīng)增加了多條網(wǎng)絡(luò)服務(wù)規(guī)則,如FTP,WEB,SMTP,POP3,Telnet等,只要選中該規(guī)則并保存便可以實現(xiàn)網(wǎng)絡(luò)服務(wù),而不需要再設(shè)置規(guī)則。?規(guī)則可以導(dǎo)入導(dǎo)出,在這里作一個簡單的介紹,其操作如下:?單擊“導(dǎo)出”按鈕,防火墻會彈出一個規(guī)則導(dǎo)出選擇(如圖7.13所示),選中需要導(dǎo)出的規(guī)則,單擊瀏覽選擇保存規(guī)則的文件路徑并輸入識別名,這時防火墻便會自動把規(guī)則保存到所選的文件下。?注意:如果沒有選擇保存路徑,該規(guī)則會自動保存為SKYNET\FIREWALL\Export\IpRulesExport.dat文件。?單擊“導(dǎo)入”按鈕,打開選擇保存的規(guī)則目錄,再選擇需要導(dǎo)入的規(guī)則,單擊“確定”按鈕后,防火墻IP規(guī)則列表中便會增加所選的規(guī)則。圖7.13導(dǎo)出IP規(guī)則?說明:該“導(dǎo)出”、“導(dǎo)入”功能是方便一些用戶,在重裝防火墻前可以保存現(xiàn)有的規(guī)則,當(dāng)重裝后只需要導(dǎo)入原有的規(guī)則便可以使用防火墻。?4)網(wǎng)絡(luò)訪問監(jiān)控功能?應(yīng)用程序網(wǎng)絡(luò)狀態(tài)功能是目前其他個人版防火墻產(chǎn)品所沒有的,天網(wǎng)防火墻個人版首創(chuàng)的功能。用戶不但可以控制應(yīng)用程序訪問權(quán)限,還可以監(jiān)視該應(yīng)用程序訪問網(wǎng)絡(luò)所使用的數(shù)據(jù)傳輸通訊協(xié)議端口等。通過天網(wǎng)防火墻個人版提供的應(yīng)用程序網(wǎng)絡(luò)狀態(tài)功能,用戶能夠監(jiān)視到所有開放端口連接的應(yīng)用程序及它們使用的數(shù)據(jù)傳輸通訊協(xié)議,任何不明程序的數(shù)據(jù)傳輸通訊協(xié)議端口,例如特洛依木馬等,都可以在應(yīng)用程序網(wǎng)絡(luò)狀態(tài)下一覽無遺。用戶可以查看應(yīng)用程序網(wǎng)絡(luò)狀態(tài),如圖7.14所示。在此功能的監(jiān)控下,可以清楚地看到應(yīng)用程序的使用情況。圖7.14應(yīng)用程序網(wǎng)絡(luò)狀態(tài)?天網(wǎng)防火墻正式版對訪問網(wǎng)絡(luò)的應(yīng)用程序進(jìn)程監(jiān)控還實現(xiàn)了協(xié)議過濾功能,對于普通用戶而言,由于通常的危險進(jìn)程都是采用TCP傳輸層協(xié)議,所以基本上只要對使用TCP協(xié)議的應(yīng)用程序進(jìn)程監(jiān)控就可以了。一旦發(fā)現(xiàn)有不法進(jìn)程在訪問網(wǎng)絡(luò),用戶可以用天網(wǎng)應(yīng)用程序網(wǎng)絡(luò)監(jiān)控的結(jié)束進(jìn)程鈕來禁止它們,該按鈕存在于圖7.15中。圖7.15結(jié)束進(jìn)程?注意:為結(jié)束進(jìn)程鈕,當(dāng)用戶發(fā)現(xiàn)有不法進(jìn)程而要終止它們運行的時候,可以利用這個按鈕。單擊后出現(xiàn)一個提示框,單擊“確定”按鈕之后就可以結(jié)束進(jìn)程。?5)修補(bǔ)系統(tǒng)漏洞功能?系統(tǒng)漏洞似乎不可避免,在有防火墻的情況下,黑客仍然可以通過已知或未知的系統(tǒng)漏洞入侵系統(tǒng)。例如最近爆發(fā)造成數(shù)十億美元損失的“紅色代碼CODERED”,即是利用IIS的系統(tǒng)漏洞,繞過了部分防火墻產(chǎn)品漏洞對系統(tǒng)產(chǎn)生入侵。在開始程序的天網(wǎng)防火墻個人版目錄下單擊圖標(biāo)進(jìn)行檢測修復(fù)。?天網(wǎng)防火墻個人版提供了安全檢測修復(fù)系統(tǒng),可以修補(bǔ)用戶的部分系統(tǒng)漏洞,在正式版本的天網(wǎng)防火墻個人版中,將提供修復(fù)系統(tǒng)漏洞的功能。?6)日志查看與分析?天網(wǎng)防火墻個人版將會把所有不合規(guī)則的數(shù)據(jù)傳輸封包攔截并且記錄下來(如圖7.16所示),如果選擇了監(jiān)視TCP和UDP數(shù)據(jù)傳輸封包,那發(fā)送和接受的每個數(shù)據(jù)傳輸封包也將被記錄下來。每條記錄從左到右分別是發(fā)送/接受時間、發(fā)送IP地址、數(shù)據(jù)傳輸封包類型、本機(jī)通訊端口,對方通訊端口,標(biāo)志位。圖7.16日志?有不是所有被攔截的數(shù)據(jù)傳輸封包都意味著有人在攻擊,有些是正常的數(shù)據(jù)傳輸封包。但可能由于設(shè)置的防火墻的IP規(guī)則的問題,也會被天網(wǎng)防火墻個人版攔截下來并且報警,如設(shè)置了禁止別人Ping您的主機(jī),如果有人向您的主機(jī)發(fā)送Ping命令,天網(wǎng)防火墻個人版也會把這些發(fā)來的ICMP數(shù)據(jù)攔截下來記錄在日志上并且報警。?7.2企業(yè)防火墻配置?7.2.1防火墻的主要應(yīng)用拓?fù)浣Y(jié)構(gòu)?傳統(tǒng)邊界防火墻主要有以下4種典型的應(yīng)用環(huán)境,它們分別是:?控制來自互聯(lián)網(wǎng)對內(nèi)部網(wǎng)絡(luò)的訪問?控制來自第三方局域網(wǎng)對內(nèi)部網(wǎng)絡(luò)的訪問?控制局域網(wǎng)內(nèi)部不同部門網(wǎng)絡(luò)之間的訪問?控制對服務(wù)器中心的網(wǎng)絡(luò)訪問?1)控制來自互聯(lián)網(wǎng)對內(nèi)部網(wǎng)絡(luò)的訪問?這是一種應(yīng)用最廣,也是最重要的防火墻應(yīng)用環(huán)境。?在這種應(yīng)用環(huán)境中,一般情況下防火墻網(wǎng)絡(luò)可劃分為3個不同級別的安全區(qū)域:?內(nèi)部網(wǎng)絡(luò)這是防火墻要保護(hù)的對象,包括全部的企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)備及用戶主機(jī)。這個區(qū)域是防火墻的可信區(qū)域(這是由傳統(tǒng)邊界防火墻的設(shè)計理念決定的)。?外部網(wǎng)絡(luò)這是防火墻要防護(hù)的對象,包括外部互聯(lián)網(wǎng)主機(jī)和設(shè)備。這個區(qū)域為防火墻的非可信網(wǎng)絡(luò)區(qū)域(也是由傳統(tǒng)邊界防火墻的設(shè)計理念決定的)。?DMZ它是從企業(yè)內(nèi)部網(wǎng)絡(luò)中劃分的一個小區(qū)域,在其中包括內(nèi)部網(wǎng)絡(luò)中用于公眾服務(wù)的外部服務(wù)器,如Web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、外部DNS服務(wù)器等,它們都是為互聯(lián)網(wǎng)提供某種信息服務(wù)。?在這種應(yīng)用環(huán)境中,在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上企事業(yè)單位可以有兩種選擇,這主要是根據(jù)單位的網(wǎng)絡(luò)設(shè)備情況而定。?如果企業(yè)原來已有邊界路由器,則可充分利用原有設(shè)備,利用邊界路由器的包過濾功能,添加相應(yīng)的防火墻配置,這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接。對于DMZ區(qū)中的公用服務(wù)器,則可直接與邊界路由器相連,不用經(jīng)過防火墻,它可只經(jīng)過路由器的簡單防護(hù)。在此拓?fù)浣Y(jié)構(gòu)中,邊界路由器與防火墻就一起組成了兩道安全防線,并且在這兩者之間可以設(shè)置一個DMZ區(qū),用來放置那些允許外部用戶訪問的公用服務(wù)器設(shè)施。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖7.20所示。圖7.20原來已有邊界路由器的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)?如果企業(yè)原來沒有邊界路由器,此時也可不再添加邊界路由器,僅由防火墻來保護(hù)內(nèi)部網(wǎng)絡(luò)。此時DMZ區(qū)域和需要保護(hù)的內(nèi)部網(wǎng)絡(luò)分別連接防火墻的不同LAN網(wǎng)絡(luò)接口,因此需要對這兩部分網(wǎng)絡(luò)設(shè)置不同的安全策略。這種拓?fù)浣Y(jié)構(gòu)雖然只有一道安全防線,但對于大多數(shù)中、小企業(yè)來說是完全可以滿足的。不過在選購防火墻時要注意,防火墻一定要有兩個以上的LAN網(wǎng)絡(luò)接口。這種應(yīng)用環(huán)境的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖7.21所示。圖7.21原來沒有邊界路由器的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)?2)控制來自第三方網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問?在這種防火墻應(yīng)用網(wǎng)絡(luò)環(huán)境中,根據(jù)企業(yè)是否需要非軍事區(qū)(放置一些供第三方網(wǎng)絡(luò)用戶訪問的服務(wù)器)可以有兩種具體的網(wǎng)絡(luò)配置方案:?(1)需要DMZ區(qū)這種情況是企業(yè)需要為第三方網(wǎng)絡(luò)提供一些公用服務(wù)器,供日常訪問。這種網(wǎng)絡(luò)環(huán)境與上面所介紹的限制互聯(lián)網(wǎng)用戶非法訪問企業(yè)內(nèi)部網(wǎng)絡(luò)一樣,整個網(wǎng)絡(luò)同樣可分為3個區(qū)域:?內(nèi)部網(wǎng)絡(luò)這是防火墻要保護(hù)的對象,包括全部企業(yè)內(nèi)部網(wǎng)絡(luò)中需要保護(hù)的設(shè)備和用戶主機(jī)。為防火墻的可信網(wǎng)絡(luò)區(qū)域,需對第三方用戶透明隔離。?外部網(wǎng)絡(luò)防火墻要限制訪問的對象,包括第三方網(wǎng)絡(luò)主機(jī)和設(shè)備。為防火墻的非可信網(wǎng)絡(luò)區(qū)域。?DMZ由企業(yè)內(nèi)部網(wǎng)絡(luò)中一些外部服務(wù)器組成,包括公眾Web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、外部DNS服務(wù)器等。這些公眾服務(wù)器為第三方網(wǎng)絡(luò)提供相應(yīng)的網(wǎng)絡(luò)信息服務(wù)。?需要保護(hù)的內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)的安全策略也是不同的:需要保護(hù)的內(nèi)部網(wǎng)絡(luò)一般禁止來自第三方的訪問,而DMZ則是為第三方提供相關(guān)的服務(wù),允許第三方的訪問。?同樣,也可以通過NAT對外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),保護(hù)內(nèi)網(wǎng)安全。?若企業(yè)原有邊界路由器設(shè)備,通過配置后它可以擔(dān)當(dāng)包過濾防火墻角色。這時的DMZ區(qū)就可直接連接邊界路由器的一個LAN接口上,而無需經(jīng)過防火墻。而保護(hù)內(nèi)部網(wǎng)絡(luò)通過防火墻與邊界路由器連接。如果企業(yè)沒有邊界路由器,則DMZ區(qū)和內(nèi)部網(wǎng)絡(luò)分別接在防火墻的兩個不同的LAN接口上,構(gòu)成多宿主機(jī)模式。?(2)沒有DMZ區(qū)此應(yīng)用環(huán)境下整個網(wǎng)絡(luò)就只包括內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩個區(qū)域。某些需要向第三方網(wǎng)絡(luò)提供特殊服務(wù)的服務(wù)器或主機(jī)與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)通過防火墻的同一LAN接口連接,作為內(nèi)部網(wǎng)絡(luò)的一部分,通過防火墻配置對第三方開放內(nèi)部網(wǎng)絡(luò)中特定的服務(wù)器/主機(jī)資源。注意:這種配置可能帶來極大的安全隱患,因為來自第三方網(wǎng)絡(luò)中的攻擊者可能破壞和控制對他們開放的內(nèi)部服務(wù)器/主機(jī),并以此為據(jù)點,進(jìn)而破壞和攻擊內(nèi)部網(wǎng)絡(luò)中的其他主機(jī)/服務(wù)器等網(wǎng)絡(luò)資源。?3)控制內(nèi)部網(wǎng)絡(luò)不同部門之間的訪問?這種應(yīng)用環(huán)境就是在一個企業(yè)內(nèi)部網(wǎng)絡(luò)之間,對一些安全敏感的部門進(jìn)行隔離保護(hù)。通過防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)中敏感部門的資源不被非法訪問。這些所謂的“敏感部門”通常是指人事部門、財務(wù)部門和市場部門等,在這些部門的主機(jī)中的數(shù)據(jù)對于企業(yè)來說是非常重要,它的工作不能完全離開企業(yè)網(wǎng)絡(luò),但其中的數(shù)據(jù)又不能隨便供網(wǎng)絡(luò)用戶訪問。這時有幾種解決方案,通常采用的是采用VLAN配置,但這種方法需要配置3層以上交換機(jī),同時配置方法較為復(fù)雜。另一種有效的方法就是采用防火墻進(jìn)行隔離,在防火?墻上進(jìn)行相關(guān)的配置(比VLAN簡單許多)。通過防火墻隔離后,盡管同屬于一個內(nèi)部局域網(wǎng),但是其他用戶的訪問都需要經(jīng)過防火墻的過濾,符合條件的用戶才能訪問。這類防火墻通常不僅通過包過濾來篩選數(shù)據(jù)包的,而且還要對用戶身份的合法性(在防火墻中可以設(shè)置允許哪些用戶訪問)進(jìn)行識別。通常為自適應(yīng)代理服務(wù)器型防火墻,這種防火墻還可以有日志記錄功能,對網(wǎng)絡(luò)管理了解網(wǎng)絡(luò)安全現(xiàn)狀及改進(jìn)非常重要。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖7.22所示。圖7.22網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)?4)控制對服務(wù)器中心的網(wǎng)絡(luò)訪問?要按不同安全策略保護(hù)這些服務(wù)器,可以有以下兩種方法:?①為每個服務(wù)器單獨配置一個獨立的防火墻,網(wǎng)絡(luò)如圖7.23所示。這種方案是一種最直接、最傳統(tǒng)的方法。配置方法也最容易,但這種方案無論從經(jīng)濟(jì)上、還是從使用和管理的靈活可靠性上都不是最好的。一則需要購買與托管理服務(wù)器數(shù)據(jù)一樣多的防火墻,對托管中心來說投資非常之大;而且托管中心管理員面對這么多防火墻,其管理難度也較大。圖7.23
每個服務(wù)器單獨配置一個獨立的防火墻網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)?②采用虛擬防火墻方式,網(wǎng)絡(luò)結(jié)構(gòu)如圖7.24所示。這主要是利用3層交換機(jī)的VLAN(虛擬局域網(wǎng))功能,先為每一臺連接在3層交換機(jī)上的用戶服務(wù)器所連接的網(wǎng)絡(luò)配置成一個單獨的VLAN子網(wǎng),然后通過對高性能防火墻,對VLAN子網(wǎng)進(jìn)行配置,就相當(dāng)于將一個高性能防火墻劃分為多個虛擬防火墻,其最終效果如圖7.23一樣。這種方案雖然配置較為復(fù)雜,但首次配置好了,其后的使用和管理就相當(dāng)方便了,就像用交換機(jī)管理多個VLAN子網(wǎng)一樣來管理每個用戶服務(wù)器,這種方案在現(xiàn)實中比較經(jīng)濟(jì)可行。圖7.24
虛擬防火墻網(wǎng)絡(luò)結(jié)構(gòu)?
7.2.2防火墻的應(yīng)用配置?
1)DMZ應(yīng)用配置?DMZ是作為內(nèi)外網(wǎng)都可以訪問的公共計算機(jī)系統(tǒng)和資源的連接點,在其中放置的都是一些可供內(nèi)部、外部用戶訪問的服務(wù)器,或提供通信基礎(chǔ)服務(wù)的服務(wù)器及設(shè)備。例如,企事業(yè)單位的Web服務(wù)器、Email服務(wù)器、VPN網(wǎng)關(guān)、DNS服務(wù)器、撥號所用的Modem池等等。這些系統(tǒng)和資源都不能放置在內(nèi)部保護(hù)網(wǎng)絡(luò)內(nèi),否則會因內(nèi)部網(wǎng)絡(luò)受到防火墻的訪問限制而無法正常工作。DMZ區(qū)通常放置在帶包過濾功能的邊界路由器與防火墻之間。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖7.25所示。圖7.25
典型網(wǎng)絡(luò)結(jié)構(gòu)?以上所介紹的是一種典型的網(wǎng)絡(luò)應(yīng)用環(huán)境,有些企事業(yè)單位的網(wǎng)絡(luò),可能需要兩類DMZ,即所謂的“外部DMZ”和“內(nèi)部DMZ”。外部DMZ放置的是內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)用戶都可以寬松訪問的系統(tǒng)和資源,如以上所介紹的Web服務(wù)器、E-mail服務(wù)器、VPN網(wǎng)關(guān)、DNS服務(wù)器、撥號所用的Modem池等。這部分網(wǎng)絡(luò)需單獨連在主防火墻的一個LAN端口。內(nèi)部DMZ所放置是內(nèi)部網(wǎng)絡(luò)中用防火墻所保護(hù)的內(nèi)部網(wǎng)絡(luò)中需要供內(nèi)部網(wǎng)絡(luò)用戶共享的系統(tǒng)和資源(如內(nèi)部郵件服務(wù)器、內(nèi)部Web服務(wù)器、內(nèi)部FTP服務(wù)器等),當(dāng)然外部網(wǎng)絡(luò)用戶是不能訪問此DMZ區(qū)資源的。內(nèi)部DMZ放置在主防火墻與內(nèi)部防火墻之間。它的典型網(wǎng)絡(luò)結(jié)構(gòu)如圖7.26所示。圖7.26
典型網(wǎng)絡(luò)結(jié)構(gòu)?2)VPN?VPN是目前最新的網(wǎng)絡(luò)技術(shù)之一,它的主要優(yōu)點通過公網(wǎng),利用隧道技術(shù)進(jìn)行虛擬連接,相比專線連接來說可以大幅降低企業(yè)通信成本,隨著VPN技術(shù)的發(fā)展,VPN通信的安全問題已基本得到解決,所以目前它是一種企業(yè)首選通信方式,得到了廣大企業(yè)用戶的認(rèn)可和選擇。?在防火墻網(wǎng)絡(luò)中
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 員工出差協(xié)議
- 污水處理廠PE管道安裝合同
- 濱水區(qū)域物業(yè)招投標(biāo)策略
- 辦公空間聲學(xué)裝修合同范本
- 電商運營專員聘用合同格式
- 醫(yī)療設(shè)備租賃合同協(xié)議書
- 健康承諾書:關(guān)注員工身心健康
- 房地產(chǎn)項目招標(biāo)質(zhì)疑處理指南
- 臨時質(zhì)量總監(jiān)招聘協(xié)議
- 化妝學(xué)校餐飲服務(wù)人員勞動合同
- 白蛋白在臨床營養(yǎng)中的合理應(yīng)用
- 中小學(xué)課外輔導(dǎo)機(jī)構(gòu)創(chuàng)業(yè)計劃書
- 群落的結(jié)構(gòu)++第1課時++群落的物種組成課件 高二上學(xué)期生物人教版(2019)選擇性必修2
- 臨床決策分析課件
- 外科學(xué)(1)智慧樹知到答案章節(jié)測試2023年溫州醫(yī)科大學(xué)
- DBJ15302023年廣東省鋁合金門窗工程設(shè)計、施工及驗收規(guī)范
- 兒童口腔醫(yī)學(xué)課件 乳牙活髓切斷術(shù)及預(yù)成冠修復(fù)術(shù)
- 風(fēng)險加權(quán)資產(chǎn)
- 涉及人血液、尿液標(biāo)本采集知情同意書模板
- GB/T 9797-2022金屬及其他無機(jī)覆蓋層鎳、鎳+鉻、銅+鎳和銅+鎳+鉻電鍍層
- JJF 1183-2007溫度變送器校準(zhǔn)規(guī)范
評論
0/150
提交評論