4.4 保護企業(yè)網(wǎng)絡(luò)的邊界安全

單元2網(wǎng)絡(luò)綜合布線系統(tǒng)設(shè)計單元1網(wǎng)絡(luò)安全系統(tǒng)集成概述目錄單元3網(wǎng)絡(luò)工程設(shè)計單元5網(wǎng)絡(luò)工程的實施與測試驗收單元4網(wǎng)絡(luò)系統(tǒng)安全設(shè)計單元6網(wǎng)絡(luò)系統(tǒng)安全管理某組織采用如圖所示的網(wǎng)絡(luò)拓撲結(jié)構(gòu)（含IP地址規(guī)劃），在網(wǎng)絡(luò)出口方向上部署了一臺ASA5505?防火墻。在防火墻上規(guī)劃了?inside、outside?和DMZ三個不同的接口，對應(yīng)的安全級別為?100、0、50，使用防火墻默認的安全訪問策略，這樣組織內(nèi)部與Internet?之間互訪的所有數(shù)據(jù)流，包括組織中的用戶訪問Internet?中公網(wǎng)服務(wù)器的Web?資源和公網(wǎng)用戶訪問組織的公共Web?資源，都必須接受防火墻的檢查，并根據(jù)配置的規(guī)則來允許或拒絕數(shù)據(jù)通過，達到網(wǎng)絡(luò)邊界安全訪問的目?的。

任務(wù)場景

回顧防火墻的基本概念。

分析防火墻的區(qū)域劃分。

學(xué)習(xí)防火墻的工種模式。

研究防火墻的性能指標。

探究防火墻在實際網(wǎng)絡(luò)中的應(yīng)?用。

任務(wù)布置防火墻是一種高級訪問控制設(shè)備，是置于不同網(wǎng)絡(luò)安全域之間（網(wǎng)絡(luò)的邊界上）的一系列部件的組合。它是不同網(wǎng)絡(luò)安全域之間通信流的唯一通道，能根據(jù)組織有關(guān)的安全策略控制（允許、拒絕、監(jiān)視、記錄）進出網(wǎng)絡(luò)的訪問行為。4.4.1防火墻的基本概念

1．防火墻的主要功能（1）網(wǎng)絡(luò)安全的屏障（2）強化網(wǎng)絡(luò)安全策略（3）對網(wǎng)絡(luò)訪問進行監(jiān)控審計（4）防止內(nèi)部信息外泄4.4.1防火墻的基本概念

Internet

2．防火墻的局限性（1）防外不能防內(nèi)（2）不能防范繞過它的連接（3）不能防御全部威脅（4）不能防御惡意程序和病毒4.4.1防火墻的基本概念

來自內(nèi)部用戶的攻擊攻擊包沒有經(jīng)過防火墻，防火墻無能為力AttackcodeAttackcode

2．防火墻的局限性（1）防外不能防內(nèi)（2）不能防范繞過它的連接（3）不能防御全部威脅（4）不能防御惡意程序和病毒4.4.1防火墻的基本概念

繞過防火墻的攻擊Attackcode攻擊包沒有經(jīng)過防火墻，防火墻無能為力

2．防火墻的局限性（1）防外不能防內(nèi)（2）不能防范繞過它的連接（3）不能防御全部威脅（4）不能防御惡意程序和病毒4.4.1防火墻的基本概念

%c1%1c防火墻根據(jù)訪問控制規(guī)則，判斷為合法訪問而將數(shù)據(jù)包放行低版本的IIS將%c1%1c解析為dirc:\并執(zhí)行該命令unicodeattack數(shù)據(jù)驅(qū)動型攻擊一臺硬件防火墻最少有三個接口：內(nèi)網(wǎng)接口（高安全級別）、外網(wǎng)接口（低安全級別）和非軍事化區(qū)DMZ接口（中等安全級別）。將網(wǎng)絡(luò)劃分為三個區(qū)域—內(nèi)部網(wǎng)絡(luò)（如LAN）、外部網(wǎng)絡(luò)（如Internet）和DMZ（如放置公共服務(wù)器）。（1）外部網(wǎng)絡(luò)（2）DMZ（3）內(nèi)部網(wǎng)絡(luò)4.4.2防火墻的區(qū)域劃分

防火墻采用何種工作模式是由組織的網(wǎng)絡(luò)環(huán)境決定的，組織需要根據(jù)自己的網(wǎng)絡(luò)情況，合理地確定防火墻的工作模式，并且防火墻采用何種工作模式都不會影響防火墻的訪問控制功能。通常防火墻有三種工作模式：路由模式、透明模式、混合模?式。（1）路由模式（2）透明模式（3）混合模式4.4.3防火墻的工作模式

防火墻采用何種工作模式是由組織的網(wǎng)絡(luò)環(huán)境決定的，組織需要根據(jù)自己的網(wǎng)絡(luò)情況，合理地確定防火墻的工作模式，并且防火墻采用何種工作模式都不會影響防火墻的訪問控制功能。通常防火墻有三種工作模式：路由模式、透明模式、混合模?式。（1）路由模式（2）透明模式（3）混合模式4.4.3防火墻的工作模式

防火墻采用何種工作模式是由組織的網(wǎng)絡(luò)環(huán)境決定的，組織需要根據(jù)自己的網(wǎng)絡(luò)情況，合理地確定防火墻的工作模式，并且防火墻采用何種工作模式都不會影響防火墻的訪問控制功能。通常防火墻有三種工作模式：路由模式、透明模式、混合模?式。（1）路由模式（2）透明模式（3）混合模式4.4.3防火墻的工作模式

防火墻的主要性能參數(shù)是指影響網(wǎng)絡(luò)防火墻包處理能力的參數(shù)。（1）系統(tǒng)性?能。（2）接?口。（3）并發(fā)連接?數(shù)。（4）吞吐?量。（5）安全過濾帶?寬。（6）支持用戶?數(shù)。4.4.4防火墻產(chǎn)品選型

防火墻的主要性能參數(shù)是指影響網(wǎng)絡(luò)防火墻包處理能力的參數(shù)。（1）系統(tǒng)性?能。（2）接?口。（3）并發(fā)連接?數(shù)。（4）吞吐?量。（5）安全過濾帶?寬。（6）支持用戶?數(shù)。4.4.4防火墻產(chǎn)品選型

1．單防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu)設(shè)?計單防火墻DMZ結(jié)構(gòu)將網(wǎng)絡(luò)劃分為?3?個區(qū)域，內(nèi)網(wǎng)（LAN）、外網(wǎng)（Internet）和DMZ。DMZ是外網(wǎng)與內(nèi)網(wǎng)之間附加的一個安全區(qū)域，這個安全區(qū)域也稱為屏蔽子網(wǎng)、過濾子網(wǎng)等。4.4.5防火墻的應(yīng)用場景

2．雙防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu)設(shè)?計如圖所示，防火墻通常與邊界路由器協(xié)同工作，邊界路由器是網(wǎng)絡(luò)安全的第一道屏障。通常的方法是在路由器中設(shè)置數(shù)據(jù)包過濾和NAT功能，讓防火墻完成特定的端口阻塞和數(shù)據(jù)包檢查，這樣在整體上提高了網(wǎng)絡(luò)性?能。4.4.5防火墻的應(yīng)用場景

3．基于區(qū)域的策略防火?墻區(qū)域是具有類似功能或特性的一個或多個接口的組，是應(yīng)用防火墻策略的最小單位。ZFW（Zone-BasedPolicyFirewall）是一種基于區(qū)域的防火墻。如果要實現(xiàn)不同接口之間的通信，只需要把這些接口劃入同一個區(qū)域，它們之間就可以任意互訪了。4.4.5防火墻的應(yīng)用場景

1.網(wǎng)絡(luò)安全需求分析。2.基本網(wǎng)絡(luò)配置。3.防火墻基本配?置。4.路由配?置。5.NAT配?置。6.防火墻安全策略配?置。7.參加