網(wǎng)絡(luò)設(shè)備配置與管理項(xiàng)目式教程（第3版） 課件 3.6在局域網(wǎng)中部署防火墻

在局域網(wǎng)中部署防火墻教學(xué)目標(biāo)能夠根據(jù)用戶對(duì)網(wǎng)絡(luò)安全的需求在局域網(wǎng)中部署防火墻；能夠按照用戶對(duì)網(wǎng)絡(luò)安全的要求在防火墻中配置安全策略；能夠描述防火墻的基本工作原理和工作過程；能夠描述防火墻的類型、性能指標(biāo)和發(fā)展趨勢(shì)；能夠按照信息安全操作規(guī)范進(jìn)行防火墻的配置。工作任務(wù)

隨著計(jì)算機(jī)網(wǎng)絡(luò)在社會(huì)生活的各個(gè)領(lǐng)域應(yīng)用越來越廣泛，越來越多的局域網(wǎng)需要接入互聯(lián)網(wǎng)，在全球范圍進(jìn)行資源共享。另一方面，網(wǎng)絡(luò)信息安全問題日益突出，來自計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊的威脅影響信息系統(tǒng)的安全?，F(xiàn)在有一中小型企業(yè)網(wǎng)絡(luò)需要接入互聯(lián)網(wǎng)，向互聯(lián)網(wǎng)和內(nèi)網(wǎng)用戶提供基于WEB的信息服務(wù)、FTP服務(wù)、電子郵件服務(wù)等網(wǎng)絡(luò)信息服務(wù)；同時(shí)，企業(yè)內(nèi)部網(wǎng)運(yùn)行企業(yè)資源管理ERP系統(tǒng)，需要在該中小型企業(yè)網(wǎng)絡(luò)部署防火墻，既保證網(wǎng)絡(luò)各項(xiàng)服務(wù)正常運(yùn)行，與互聯(lián)網(wǎng)保持正常連接，又能保證網(wǎng)絡(luò)信息安全。部署方案1不安全的防火墻部署方案部署方案2使用非軍事區(qū)DMZ部署防火墻部署方案2使用非軍事區(qū)DMZ部署防火墻的訪問控制策略：內(nèi)網(wǎng)可以訪問外網(wǎng)內(nèi)網(wǎng)可以訪問DMZ外網(wǎng)不能訪問內(nèi)網(wǎng)外網(wǎng)可以訪問DMZDMZ不能訪問內(nèi)網(wǎng)DMZ不能訪問外網(wǎng)

此條策略也有例外，比如DMZ中放置郵件服務(wù)器時(shí)，就需要訪問外網(wǎng)，否則將不能正常工作。

部署方案3使用非軍事區(qū)DMZ和兩路防火墻架構(gòu)部署方案4通透式防火墻部署架構(gòu)相關(guān)知識(shí)—防火墻的作用和特點(diǎn)

防火墻作用一方面阻止來自因特網(wǎng)的對(duì)受保護(hù)網(wǎng)絡(luò)的未授權(quán)或未驗(yàn)證的訪問，另一方面允許內(nèi)部網(wǎng)絡(luò)的用戶對(duì)因特網(wǎng)進(jìn)行Web訪問或收發(fā)E-mail等。防火墻也可以作為一個(gè)訪問因特網(wǎng)的權(quán)限控制關(guān)口，如允許組織內(nèi)的特定的人可以訪問因特網(wǎng)。特點(diǎn)現(xiàn)在的許多防火墻同時(shí)還具有一些其他特點(diǎn)，如進(jìn)行身份鑒別，對(duì)信息進(jìn)行安全（加密）處理等等。

相關(guān)知識(shí)—防火墻的作用和特點(diǎn)

IDS—入侵檢測(cè)系統(tǒng)對(duì)流經(jīng)內(nèi)網(wǎng)的數(shù)據(jù)根據(jù)既定的規(guī)則進(jìn)行安全檢測(cè)，如有安全事件則發(fā)出安全警告。根據(jù)特征庫的更新，可以檢測(cè)出常見病毒、攻擊、木馬、系統(tǒng)漏洞。IPS—入侵防御系統(tǒng)對(duì)流經(jīng)內(nèi)網(wǎng)的數(shù)據(jù)根據(jù)既定的規(guī)則進(jìn)行安全檢測(cè)，對(duì)于非法數(shù)據(jù)包進(jìn)行安全過濾，保證內(nèi)網(wǎng)安全地接入外網(wǎng)。相關(guān)知識(shí)—防火墻的工作模式和接口防火墻的工作模式路由模式網(wǎng)橋模式防火墻的接口類型External外部網(wǎng)絡(luò)DMZ(demilitarizedzone)非軍事?；饏^(qū)Internal內(nèi)部網(wǎng)絡(luò)相關(guān)知識(shí)—IDS應(yīng)用IDSIDS典型應(yīng)用圖操作步驟—防火墻的局限性

不能防范不經(jīng)過防火墻的攻擊。沒有經(jīng)過防火墻的數(shù)據(jù)，防火墻無法檢查；不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題。防火墻可以設(shè)計(jì)為既防外網(wǎng)也防內(nèi)網(wǎng)，但絕大多數(shù)公司會(huì)因?yàn)椴环奖惆踩呗耘渲眉肮芾?，而不要求防火墻防?nèi)網(wǎng)；不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅。防火墻是一個(gè)被動(dòng)的安全策略執(zhí)行設(shè)備，就像門衛(wèi)一樣，只能按照對(duì)其配置的規(guī)則進(jìn)行有效的工作，而不能自作主張；不能防止可接觸的人為或自然的破壞。防火墻是一個(gè)安全設(shè)備，但防火墻本身必須存放在安全的地方；不能防止利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷進(jìn)行的攻擊。一旦防火墻準(zhǔn)許某些標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，就不能防止利用該協(xié)議中的缺陷進(jìn)行的攻擊；操作步驟—防火墻的局限性

不能防止利用服務(wù)器系統(tǒng)漏洞所進(jìn)行的攻擊。黑客通過防火墻準(zhǔn)許的訪問端口對(duì)該服務(wù)器的漏洞進(jìn)行攻擊，防火墻無法發(fā)現(xiàn)并阻止這種攻擊。不能防止被病毒感染的文件傳輸。防火墻本身并不具備查殺病毒的功能，即使集成了第三方的防病毒軟件，也沒有一種軟件可以查殺所有的病毒。不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。當(dāng)表面看來無害的文件被拷貝到內(nèi)部網(wǎng)絡(luò)的主機(jī)上并執(zhí)行時(shí)，可能會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)式的攻擊。不能防止內(nèi)部的泄密行為。防火墻內(nèi)部的合法用戶主動(dòng)泄密，防火墻是無能為力的。不能防止本身的安全漏洞威脅。防火墻保護(hù)別人，有時(shí)卻無法保護(hù)自己。目前還沒有廠商絕對(duì)保證防火墻不存在安全漏洞。因此對(duì)防火墻也必須提供某種安全保護(hù)。相關(guān)知識(shí)—防火墻類型及工作原理

按軟、硬件形式分類軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝的計(jì)算機(jī)操作系統(tǒng)支持，一般來說這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。

硬件防火墻基于PC架構(gòu)，在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過裁剪和簡(jiǎn)化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。芯片級(jí)防火墻

基于專門的硬件平臺(tái)，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。相關(guān)知識(shí)—防火墻類型及工作原理

按實(shí)現(xiàn)技術(shù)分類包過濾型防火墻，以色列的Checkpoint防火墻和美國(guó)Cisco公司的PIX防火墻為代表。工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號(hào)和協(xié)議類型等標(biāo)志確定是否允許通過。應(yīng)用代理型防火墻，美國(guó)NAI公司的Gauntlet防火墻為代表。

工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全"阻隔"了網(wǎng)絡(luò)通信流，通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。

相關(guān)知識(shí)—防火墻類型及工作原理

按結(jié)構(gòu)分類單一主機(jī)防火墻

是最為傳統(tǒng)的防火墻，獨(dú)立于其它網(wǎng)絡(luò)設(shè)備，它位于網(wǎng)絡(luò)邊界。

路由器集成式防火墻在中、高檔路由器中集成了防火墻功能。

分布式防火墻三種不是只位于網(wǎng)絡(luò)邊界，而是滲透于網(wǎng)絡(luò)的每一臺(tái)主機(jī)，對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)實(shí)施保護(hù)。

相關(guān)知識(shí)—防火墻類型及工作原理

按部署位置分類邊界防火墻一般部署在內(nèi)、外部網(wǎng)絡(luò)邊界，所起作用是對(duì)內(nèi)、外部網(wǎng)絡(luò)實(shí)施隔離，保護(hù)邊界內(nèi)部網(wǎng)絡(luò)。個(gè)人防火墻安裝于單臺(tái)主機(jī)中，防護(hù)的也只是單臺(tái)主機(jī)。

混合防火墻一整套防火墻系統(tǒng)，由若干軟、硬件組件組成，分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機(jī)之間，既對(duì)內(nèi)、外部網(wǎng)絡(luò)之間通信進(jìn)行過濾，又對(duì)網(wǎng)絡(luò)內(nèi)部各主機(jī)間的通信進(jìn)行過濾。它屬于最新的防火墻技術(shù)之一，性能最好，價(jià)格也最貴。

相關(guān)知識(shí)—防火墻類型及工作原理

按性能分類百兆級(jí)防火墻

千兆級(jí)防火墻

相關(guān)知識(shí)—防火墻主要性能指標(biāo)

傳輸層性能TCP并發(fā)連接數(shù)指穿越防火墻/VPN網(wǎng)關(guān)的主機(jī)之間或主機(jī)與防火墻/VPN網(wǎng)關(guān)之間能同時(shí)建立的最大連接數(shù)。最大TCP連接建立速率是防火墻/VPN網(wǎng)關(guān)維持的最大TCP連接建立速度，本測(cè)試用以體現(xiàn)防火墻/VPN網(wǎng)關(guān)更新狀態(tài)表的最大速率，考察CPU的資源調(diào)度狀況。

相關(guān)知識(shí)—防火墻主要性能指標(biāo)

網(wǎng)絡(luò)層性能吞吐量指在沒有數(shù)據(jù)幀丟失的情況下，防火墻/VPN網(wǎng)關(guān)能夠接受并轉(zhuǎn)發(fā)的最大速率。時(shí)延指發(fā)送端口發(fā)出數(shù)據(jù)包經(jīng)過防火墻/VPN網(wǎng)關(guān)后到接收端口收到該數(shù)據(jù)包的時(shí)間間隔，時(shí)延有存儲(chǔ)轉(zhuǎn)發(fā)時(shí)延和直通轉(zhuǎn)發(fā)時(shí)延兩種。丟包率指在正常穩(wěn)定的網(wǎng)絡(luò)狀態(tài)下，應(yīng)該被轉(zhuǎn)發(fā)，但由于缺少資源而沒有被轉(zhuǎn)發(fā)的數(shù)據(jù)包占全部數(shù)據(jù)包的百分比。背靠背緩沖指防火墻/VPN網(wǎng)關(guān)設(shè)備在接收到以最小幀間隔傳輸?shù)木W(wǎng)絡(luò)流量時(shí)，在不丟包條件下所能處理的最大包數(shù)。

相關(guān)知識(shí)—防火墻主要性能指標(biāo)

應(yīng)用層性能HTTP傳輸速率測(cè)試防火墻/VPN網(wǎng)關(guān)在應(yīng)用層的平均傳輸速率，是被請(qǐng)求的目標(biāo)數(shù)據(jù)通過防火墻/VPN網(wǎng)關(guān)的平均傳輸速率。最大HTTP事物處理速率是防火墻/VPN網(wǎng)關(guān)所能維持的最大事務(wù)處理速率，即用戶在訪問目標(biāo)時(shí)，所能達(dá)到的最大速率。

相關(guān)知識(shí)—防火墻發(fā)展趨勢(shì)

模式轉(zhuǎn)變以分布式為體系進(jìn)行設(shè)計(jì)的防火墻產(chǎn)品以網(wǎng)絡(luò)節(jié)點(diǎn)為保護(hù)對(duì)象，可以最大限度地覆蓋需要保護(hù)的對(duì)象，大大提升安全防護(hù)強(qiáng)度，這不僅僅是單純的產(chǎn)品形式的變化，而是象征著防火墻產(chǎn)品防御理念的升華。功能擴(kuò)展呈