25/1/325/1/311第第33章防火墙配置策略章防火墙配置策略学习目标:学习目标:((11)建立反映公司全面安全方法的防火墙规则)建立反映公司全面安全方法的防火墙规则((22)理解防火墙配置的目的)理解防火墙配置的目的((33)标识和实现不同的防火墙配置策略)标识和实现不同的防火墙配置策略((44)采用几种方法为防火墙添加功能)采用几种方法为防火墙添加功能25/1/323.13.1对防火墙建立规则和约束对防火墙建立规则和约束通过设置规则来训练防火墙,规则可以通过一通过设置规则来训练防火墙,规则可以通过一些特殊的标准告诉计算机哪些信息包可以进些特殊的标准告诉计算机哪些信息包可以进入,哪些不可以。入,哪些不可以。3.1.13.1.1规则的作用规则的作用对防火墙所设立的数据包过滤的规则实现了安对防火墙所设立的数据包过滤的规则实现了安全策略所指定的安全方法。限制性的方法将全策略所指定的安全方法。限制性的方法将在默认阻断所有访问的一组规则中得以实现,在默认阻断所有访问的一组规则中得以实现,然后限制特定类型的通信量通过。然后限制特定类型的通信量通过。25/1/333.1.23.1.2限制性的防火墙限制性的防火墙如果建立的防火墙的目的是防止未经授权的访如果建立的防火墙的目的是防止未经授权的访问,那么重点应该发挥它的限制作用,而不问,那么重点应该发挥它的限制作用,而不是启用它的连通性。是启用它的连通性。可以用以下方法实现公司防火墙策略的特殊部可以用以下方法实现公司防火墙策略的特殊部分:分:((11)讲清楚雇员不能使用的服务。)讲清楚雇员不能使用的服务。((22)使用并且维护口令。)使用并且维护口令。((33)采用开放式的安全方法。)采用开放式的安全方法。25/1/34((44)采用乐观的安全方法。)采用乐观的安全方法。((55)采用谨慎的安全方法。)采用谨慎的安全方法。((66)采用严格的安全方法)采用严格的安全方法((77)采用偏执的安全方法。)采用偏执的安全方法。25/1/35限制性防火墙方法限制性防火墙方法方法方法作用作用优点优点缺点缺点Deny-AlDeny-Alll除特别允许的数除特别允许的数据包外,阻断所据包外,阻断所有的数据包有的数据包更好的安全更好的安全性的规则要性的规则要求较少求较少可能导致用可能导致用户不满户不满InInOrderOrder按从上到下的顺按从上到下的顺序处理防火墙规序处理防火墙规则则较好的安全较好的安全性性不当的顺序不当的顺序可能导致混可能导致混乱乱BestFitBestFit防火墙决定规则防火墙决定规则的处理顺序,一的处理顺序,一般从最特殊的规般从最特殊的规则到最普遍的规则到最普遍的规则则易于管理,易于管理,减少了操作减少了操作失误的风险失误的风险缺少控制缺少控制25/1/363.1.33.1.3侧重连通性的防火墙侧重连通性的防火墙如果防火墙的主要功能是准许通信(允许通过网关的如果防火墙的主要功能是准许通信(允许通过网关的连接)应该培养员工使用网络的责任感连接)应该培养员工使用网络的责任感方法方法作用作用优点优点缺点缺点Allow-AllAllow-All允许所有的包允许所有的包通过,但特别通过,但特别指定需阻断的指定需阻断的包除外包除外容易实现容易实现安全性小,安全性小,规则复杂规则复杂Port80/Port80/除除VideoVideo允许无限制允许无限制的上网浏览,的上网浏览,但视频文件但视频文件除外除外用户可以上用户可以上网浏览网浏览网络容易受网络容易受到来自到来自WeWebb中的攻击中的攻击25/1/373.23.2防火墙配置策略:总的观点防火墙配置策略:总的观点没有两个绝对一样的防火墙。防火墙应当具有没有两个绝对一样的防火墙。防火墙应当具有伸缩性,可以随着它所保护网络的发展而升伸缩性,可以随着它所保护网络的发展而升级。级。3.2.13.2.1可伸缩性可伸缩性3.2.23.2.2生产效率生产效率防火墙的功能越强大,数据的传送速度可能越防火墙的功能越强大,数据的传送速度可能越小。可供堡垒主机使用的处理资源和内存资小。可供堡垒主机使用的处理资源和内存资源是防火墙的两个重要特征。源是防火墙的两个重要特征。25/1/383.2.33.2.3处理处理IPIP地址问题地址问题DMZDMZ和服务网络都...
