網(wǎng)絡(luò)設(shè)備配置與管理項目式教程（第3版） 課件 3.6在局域網(wǎng)中部署防火墻

在局域網(wǎng)中部署防火墻教學(xué)目標能夠根據(jù)用戶對網(wǎng)絡(luò)安全的需求在局域網(wǎng)中部署防火墻；能夠按照用戶對網(wǎng)絡(luò)安全的要求在防火墻中配置安全策略；能夠描述防火墻的基本工作原理和工作過程；能夠描述防火墻的類型、性能指標和發(fā)展趨勢；能夠按照信息安全操作規(guī)范進行防火墻的配置。工作任務(wù)

隨著計算機網(wǎng)絡(luò)在社會生活的各個領(lǐng)域應(yīng)用越來越廣泛，越來越多的局域網(wǎng)需要接入互聯(lián)網(wǎng)，在全球范圍進行資源共享。另一方面，網(wǎng)絡(luò)信息安全問題日益突出，來自計算機病毒和網(wǎng)絡(luò)攻擊的威脅影響信息系統(tǒng)的安全?，F(xiàn)在有一中小型企業(yè)網(wǎng)絡(luò)需要接入互聯(lián)網(wǎng)，向互聯(lián)網(wǎng)和內(nèi)網(wǎng)用戶提供基于WEB的信息服務(wù)、FTP服務(wù)、電子郵件服務(wù)等網(wǎng)絡(luò)信息服務(wù)；同時，企業(yè)內(nèi)部網(wǎng)運行企業(yè)資源管理ERP系統(tǒng)，需要在該中小型企業(yè)網(wǎng)絡(luò)部署防火墻，既保證網(wǎng)絡(luò)各項服務(wù)正常運行，與互聯(lián)網(wǎng)保持正常連接，又能保證網(wǎng)絡(luò)信息安全。部署方案1不安全的防火墻部署方案部署方案2使用非軍事區(qū)DMZ部署防火墻部署方案2使用非軍事區(qū)DMZ部署防火墻的訪問控制策略：內(nèi)網(wǎng)可以訪問外網(wǎng)內(nèi)網(wǎng)可以訪問DMZ外網(wǎng)不能訪問內(nèi)網(wǎng)外網(wǎng)可以訪問DMZDMZ不能訪問內(nèi)網(wǎng)DMZ不能訪問外網(wǎng)

此條策略也有例外，比如DMZ中放置郵件服務(wù)器時，就需要訪問外網(wǎng)，否則將不能正常工作。

部署方案3使用非軍事區(qū)DMZ和兩路防火墻架構(gòu)部署方案4通透式防火墻部署架構(gòu)相關(guān)知識—防火墻的作用和特點

防火墻作用一方面阻止來自因特網(wǎng)的對受保護網(wǎng)絡(luò)的未授權(quán)或未驗證的訪問，另一方面允許內(nèi)部網(wǎng)絡(luò)的用戶對因特網(wǎng)進行Web訪問或收發(fā)E-mail等。防火墻也可以作為一個訪問因特網(wǎng)的權(quán)限控制關(guān)口，如允許組織內(nèi)的特定的人可以訪問因特網(wǎng)。特點現(xiàn)在的許多防火墻同時還具有一些其他特點，如進行身份鑒別，對信息進行安全（加密）處理等等。

相關(guān)知識—防火墻的作用和特點

IDS—入侵檢測系統(tǒng)對流經(jīng)內(nèi)網(wǎng)的數(shù)據(jù)根據(jù)既定的規(guī)則進行安全檢測，如有安全事件則發(fā)出安全警告。根據(jù)特征庫的更新，可以檢測出常見病毒、攻擊、木馬、系統(tǒng)漏洞。IPS—入侵防御系統(tǒng)對流經(jīng)內(nèi)網(wǎng)的數(shù)據(jù)根據(jù)既定的規(guī)則進行安全檢測，對于非法數(shù)據(jù)包進行安全過濾，保證內(nèi)網(wǎng)安全地接入外網(wǎng)。相關(guān)知識—防火墻的工作模式和接口防火墻的工作模式路由模式網(wǎng)橋模式防火墻的接口類型External外部網(wǎng)絡(luò)DMZ(demilitarizedzone)非軍事?；饏^(qū)Internal內(nèi)部網(wǎng)絡(luò)相關(guān)知識—IDS應(yīng)用IDSIDS典型應(yīng)用圖操作步驟—防火墻的局限性

不能防范不經(jīng)過防火墻的攻擊。沒有經(jīng)過防火墻的數(shù)據(jù)，防火墻無法檢查；不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題。防火墻可以設(shè)計為既防外網(wǎng)也防內(nèi)網(wǎng)，但絕大多數(shù)公司會因為不方便安全策略配置及管理，而不要求防火墻防內(nèi)網(wǎng)；不能防止策略配置不當或錯誤配置引起的安全威脅。防火墻是一個被動的安全策略執(zhí)行設(shè)備，就像門衛(wèi)一樣，只能按照對其配置的規(guī)則進行有效的工作，而不能自作主張；不能防止可接觸的人為或自然的破壞。防火墻是一個安全設(shè)備，但防火墻本身必須存放在安全的地方；不能防止利用標準網(wǎng)絡(luò)協(xié)議中的缺陷進行的攻擊。一旦防火墻準許某些標準網(wǎng)絡(luò)協(xié)議，就不能防止利用該協(xié)議中的缺陷進行的攻擊；操作步驟—防火墻的局限性

不能防止利用服務(wù)器系統(tǒng)漏洞所進行的攻擊。黑客通過防火墻準許的訪問端口對該服務(wù)器的漏洞進行攻擊，防火墻無法發(fā)現(xiàn)并阻止這種攻擊。不能防止被病毒感染的文件傳輸。防火墻本身并不具備查殺病毒的功能，即使集成了第三方的防病毒軟件，也沒有一種軟件可以查殺所有的病毒。不能防止數(shù)據(jù)驅(qū)動式的攻擊。當表面看來無害的文件被拷貝到內(nèi)部網(wǎng)絡(luò)的主機上并執(zhí)行時，可能會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。不能防止內(nèi)部的泄密行為。防火墻內(nèi)部的合法用戶主動泄密，防火墻是無能為力的。不能防止本身的安全漏洞威脅。防火墻保護別人，有時卻無法保護自己。目前還沒有廠商絕對保證防火墻不存在安全漏洞。因此對防火墻也必須提供某種安全保護。相關(guān)知識—防火墻類型及工作原理

按軟、硬件形式分類軟件防火墻運行于特定的計算機上，它需要客戶預(yù)先安裝的計算機操作系統(tǒng)支持，一般來說這臺計算機就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)。

硬件防火墻基于PC架構(gòu)，在這些PC架構(gòu)計算機上運行一些經(jīng)過裁剪和簡化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。芯片級防火墻

基于專門的硬件平臺，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。相關(guān)知識—防火墻類型及工作原理

按實現(xiàn)技術(shù)分類包過濾型防火墻，以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表。工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號和協(xié)議類型等標志確定是否允許通過。應(yīng)用代理型防火墻，美國NAI公司的Gauntlet防火墻為代表。

工作在OSI的最高層，即應(yīng)用層。其特點是完全"阻隔"了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。

相關(guān)知識—防火墻類型及工作原理

按結(jié)構(gòu)分類單一主機防火墻

是最為傳統(tǒng)的防火墻，獨立于其它網(wǎng)絡(luò)設(shè)備，它位于網(wǎng)絡(luò)邊界。

路由器集成式防火墻在中、高檔路由器中集成了防火墻功能。

分布式防火墻三種不是只位于網(wǎng)絡(luò)邊界，而是滲透于網(wǎng)絡(luò)的每一臺主機，對整個內(nèi)部網(wǎng)絡(luò)的主機實施保護。

相關(guān)知識—防火墻類型及工作原理

按部署位置分類邊界防火墻一般部署在內(nèi)、外部網(wǎng)絡(luò)邊界，所起作用是對內(nèi)、外部網(wǎng)絡(luò)實施隔離，保護邊界內(nèi)部網(wǎng)絡(luò)。個人防火墻安裝于單臺主機中，防護的也只是單臺主機。

混合防火墻一整套防火墻系統(tǒng)，由若干軟、硬件組件組成，分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機之間，既對內(nèi)、外部網(wǎng)絡(luò)之間通信進行過濾，又對網(wǎng)絡(luò)內(nèi)部各主機間的通信進行過濾。它屬于最新的防火墻技術(shù)之一，性能最好，價格也最貴。

相關(guān)知識—防火墻類型及工作原理

按性能分類百兆級防火墻

千兆級防火墻

相關(guān)知識—防火墻主要性能指標

傳輸層性能TCP并發(fā)連接數(shù)指穿越防火墻/VPN網(wǎng)關(guān)的主機之間或主機與防火墻/VPN網(wǎng)關(guān)之間能同時建立的最大連接數(shù)。最大TCP連接建立速率是防火墻/VPN網(wǎng)關(guān)維持的最大TCP連接建立速度，本測試用以體現(xiàn)防火墻/VPN網(wǎng)關(guān)更新狀態(tài)表的最大速率，考察CPU的資源調(diào)度狀況。

相關(guān)知識—防火墻主要性能指標

網(wǎng)絡(luò)層性能吞吐量指在沒有數(shù)據(jù)幀丟失的情況下，防火墻/VPN網(wǎng)關(guān)能夠接受并轉(zhuǎn)發(fā)的最大速率。時延指發(fā)送端口發(fā)出數(shù)據(jù)包經(jīng)過防火墻/VPN網(wǎng)關(guān)后到接收端口收到該數(shù)據(jù)包的時間間隔，時延有存儲轉(zhuǎn)發(fā)時延和直通轉(zhuǎn)發(fā)時延兩種。丟包率指在正常穩(wěn)定的網(wǎng)絡(luò)狀態(tài)下，應(yīng)該被轉(zhuǎn)發(fā)，但由于缺少資源而沒有被轉(zhuǎn)發(fā)的數(shù)據(jù)包占全部數(shù)據(jù)包的百分比。背靠背緩沖指防火墻/VPN網(wǎng)關(guān)設(shè)備在接收到以最小幀間隔傳輸?shù)木W(wǎng)絡(luò)流量時，在不丟包條件下所能處理的最大包數(shù)。

相關(guān)知識—防火墻主要性能指標

應(yīng)用層性能HTTP傳輸速率測試防火墻/VPN網(wǎng)關(guān)在應(yīng)用層的平均傳輸速率，是被請求的目標數(shù)據(jù)通過防火墻/VPN網(wǎng)關(guān)的平均傳輸速率。最大HTTP事物處理速率是防火墻/VPN網(wǎng)關(guān)所能維持的最大事務(wù)處理速率，即用戶在訪問目標時，所能達到的最大速率。

相關(guān)知識—防火墻發(fā)展趨勢

模式轉(zhuǎn)變以分布式為體系進行設(shè)計的防火墻產(chǎn)品以網(wǎng)絡(luò)節(jié)點為保護對象，可以最大限度地覆蓋需要保護的對象，大大提升安全防護強度，這不僅僅是單純的產(chǎn)品形式的變化，而是象征著防火墻產(chǎn)品防御理念的升華。功能擴展呈