防火墻配置規(guī)范ppt課件

1、2019年年4月月19日日1. 防火墻端口運(yùn)用防火墻端口運(yùn)用2. 防火墻路由配置防火墻路由配置3. 防火墻戰(zhàn)略配置防火墻戰(zhàn)略配置4. 防火墻地址轉(zhuǎn)換防火墻地址轉(zhuǎn)換5. 防火墻本身平安防火墻本身平安6. 外聯(lián)區(qū)網(wǎng)絡(luò)部署規(guī)范外聯(lián)區(qū)網(wǎng)絡(luò)部署規(guī)范總體構(gòu)造總體構(gòu)造1. 主備防火墻銜接端口主備防火墻銜接端口 防火墻在主備方式時，互聯(lián)端口運(yùn)用防火墻在主備方式時，互聯(lián)端口運(yùn)用最后一個可用端口；最后一個可用端口；2. 不同平安域運(yùn)用端口不同平安域運(yùn)用端口 防火墻業(yè)務(wù)運(yùn)用端口，按照平安域由高防火墻業(yè)務(wù)運(yùn)用端口，按照平安域由高究竟，防火墻端口由前往后順序運(yùn)用；究竟，防火墻端口由前往后順序運(yùn)用；3. 與其他網(wǎng)絡(luò)設(shè)備銜

2、接方式與其他網(wǎng)絡(luò)設(shè)備銜接方式 防火墻與其他網(wǎng)絡(luò)設(shè)備采用口字形銜防火墻與其他網(wǎng)絡(luò)設(shè)備采用口字形銜接。接。防火墻端口運(yùn)用防火墻端口運(yùn)用防火墻路由配置防火墻路由配置1. 與相鄰網(wǎng)絡(luò)設(shè)備之間的路由與相鄰網(wǎng)絡(luò)設(shè)備之間的路由 防火墻與其他網(wǎng)絡(luò)設(shè)備之間普通采用防火墻與其他網(wǎng)絡(luò)設(shè)備之間普通采用靜態(tài)路由；靜態(tài)路由；2. 防火墻內(nèi)部路由配置明晰防火墻內(nèi)部路由配置明晰 配置防火墻的路由時，路由配置明晰明配置防火墻的路由時，路由配置明晰明了，不能出現(xiàn)反復(fù)的路由。了，不能出現(xiàn)反復(fù)的路由。防火墻戰(zhàn)略配置防火墻戰(zhàn)略配置1.根本平安戰(zhàn)略根本平安戰(zhàn)略 一切沒有允許的效力都是制止的，戰(zhàn)一切沒有允許的效力都是制止的，戰(zhàn)略只允許經(jīng)過

3、略只允許經(jīng)過 必要的數(shù)據(jù)，控制雙向數(shù)據(jù)流，同時建議必要的數(shù)據(jù)，控制雙向數(shù)據(jù)流，同時建議在防火墻最后添加一條回絕一切數(shù)據(jù)經(jīng)在防火墻最后添加一條回絕一切數(shù)據(jù)經(jīng)過的戰(zhàn)略；過的戰(zhàn)略；防火墻戰(zhàn)略配置防火墻戰(zhàn)略配置2. 規(guī)那么盡量簡單明晰規(guī)那么盡量簡單明晰 規(guī)那么力求簡單明晰，在滿足業(yè)務(wù)需規(guī)那么力求簡單明晰，在滿足業(yè)務(wù)需求的情況下，規(guī)那么盡量簡單，防止出現(xiàn)求的情況下，規(guī)那么盡量簡單，防止出現(xiàn)戰(zhàn)略相互重疊、包容甚至沖突的情況，同戰(zhàn)略相互重疊、包容甚至沖突的情況，同時可以經(jīng)過添加注釋、運(yùn)用戰(zhàn)略組等方式時可以經(jīng)過添加注釋、運(yùn)用戰(zhàn)略組等方式添加明晰度；添加明晰度；3. 戰(zhàn)略次序安排戰(zhàn)略次序安排 按照業(yè)務(wù)的重要性，

4、戰(zhàn)略由前往后。按照業(yè)務(wù)的重要性，戰(zhàn)略由前往后。防火墻地址轉(zhuǎn)換防火墻地址轉(zhuǎn)換1.地址轉(zhuǎn)換地址轉(zhuǎn)換經(jīng)過防火墻進(jìn)展不同平安區(qū)域的隔離，數(shù)經(jīng)過防火墻進(jìn)展不同平安區(qū)域的隔離，數(shù)據(jù)在經(jīng)過防火墻后必需進(jìn)展地址轉(zhuǎn)換。據(jù)在經(jīng)過防火墻后必需進(jìn)展地址轉(zhuǎn)換。2.地址轉(zhuǎn)換方式地址轉(zhuǎn)換方式 防火墻映射地址建議采用防火墻映射地址建議采用DIP的轉(zhuǎn)換方的轉(zhuǎn)換方式而非式而非MIP的的轉(zhuǎn)換方式。轉(zhuǎn)換方式。防火墻地址轉(zhuǎn)換防火墻地址轉(zhuǎn)換2.地址轉(zhuǎn)換方式地址轉(zhuǎn)換方式防火墻地址轉(zhuǎn)換采用一一對應(yīng)的方式，區(qū)防火墻地址轉(zhuǎn)換采用一一對應(yīng)的方式，區(qū)域一的同一域一的同一IP地址映射到另一區(qū)域時的地址映射到另一區(qū)域時的映射地址堅(jiān)持不變，例如映射地址堅(jiān)

5、持不變，例如Trust域的地址域的地址A經(jīng)過防火墻映射到經(jīng)過防火墻映射到Untrust域?yàn)橛驗(yàn)锳1， Untrust 域的域的B經(jīng)過防火墻映射到經(jīng)過防火墻映射到Trust域?yàn)橛驗(yàn)锽1 A訪問訪問B時：時： 在防火墻在防火墻Trust域域A訪問訪問B1，經(jīng)過，經(jīng)過防火墻映射后在防火墻映射后在Untrust域變?yōu)橛蜃優(yōu)锳1訪問訪問B；B同時需求訪問同時需求訪問A時：時： 在防火墻在防火墻Untrust域域B訪問訪問A1，經(jīng)，經(jīng)過防火墻映射后在過防火墻映射后在Untrust域?yàn)橛驗(yàn)锽1訪問訪問A，此時的，此時的A1和和B1需與需與A訪問訪問B時防火時防火墻轉(zhuǎn)換的墻轉(zhuǎn)換的A1和和B1地址一樣地址一樣防火墻地址轉(zhuǎn)換防火墻地址轉(zhuǎn)換2.地址轉(zhuǎn)換方式地址轉(zhuǎn)換方式防火墻本身平安防火墻本身平安1. 回絕非平安域訪問回絕非平安域訪問 不允許非平安域主機(jī)訪問防火墻不允許非平安域主機(jī)訪問防火墻2. 設(shè)置授信地址設(shè)置授信地址 允許哪些位于平安域的主機(jī)來訪問防允許哪些位于平安域的主機(jī)來訪問防火墻，對防火墻進(jìn)展操作火墻，對防火墻進(jìn)展操作外聯(lián)區(qū)網(wǎng)絡(luò)部署規(guī)范外聯(lián)區(qū)網(wǎng)絡(luò)部署規(guī)范1. 外聯(lián)第三方外聯(lián)第三方2. 外聯(lián)交換機(jī)及路由器配置思緒外聯(lián)交換機(jī)及路由器配置思緒3. 外聯(lián)