防火墙详细设计.docVIP

防火墙——详细设计/实现 防火墙设计细化 边界防火墙设计细化 保护对象与目标 对象：校内学生网络、办公室网络、图书馆网络、各个学院网络、老师宿舍网络，财务部重要资料，人事部重要资料 目标：用于控制信任的网络和非信任网络之间的数据包交换，并且可以通过防火墙反馈收集的信息可以进行分析，找出系统安全存在的隐患，进而可以有针对性地进行改进。 内部网络与外部网络界定 内部网络：主要为校内部网络的设备以及用户主机，这个是可信区域，禁止所有来自Internet用户的访问； 外部网络：主要为校外部网络的设备以及用户主机，这个是不可信区域。 考虑DMZ区（非军事区或停火区） DMZ（非军事区）：是校内部网络的小部分，是内部网络中用于公众服务的外部服务器，都是为Internet提供信息服务。不需要如内部网络那么严格，因为真正的服务器数据保证在受保护的内部网络主机上。 边界防火墙规则制定 按照对象的不同而安装不同的防火墙 按照内、外部网络的界定安装不同的防火墙 边界防火墙可用性需求 无冗余 有冗余 容错防火墙集 内部防火墙设计细化 用户分类 内部防火墙用于控制对内部网络的访问以及从内部网络进行访问。用户类型可能包括： ?信任 校内的学生，可以是要到外围区域或 Internet 的内部用户、外部用户、远程用户或在校外办公的用户。 ?部分信任 学校合作的网站，这类用户的信任级别比不受信任的用户高。但是，其信任级别经常比内网的用户要低。 ?不信任 公共网站的用户。 控制校园网内不同区域之间的访问 将学生用户、教师用户、学校办公用户、以及重要数据信息的划分（详细根据拓扑图写），例如，学生无权访问办公人员负责处理的数据。 （具体实现） 内部防火墙规则制定 通常，内部防火墙在默认情况下或者通过设置将需要实现下列规则： ? 默认情况下，阻止所有数据包。 ? 在外围接口上，阻止看起来好像来自内部 IP 地址的传入数据包，以阻止欺骗；在内部接口上，阻止看起来好像来自外部 IP 地址的传出数据包以限制内部攻击。 ? 允许从内部 DNS 服务器到 DNS 解析程序 Bastion 主机的基于 UDP 的查询和响应；允许从 DNS 解析程序 Bastion 主机到内部 DNS 服务器的基于 UDP 的查询和响应。 ? 允许从内部 DNS 服务器到 DNS 解析程序 Bastion 主机的基于 TCP 的查询，包括对这些查询的响应；允许从 DNS 解析程序 Bastion 主机到内部 DNS 服务器的基于 TCP 的查询，包括对这些查询的响应。 ? 允许 DNS 广告商 Bastion 主机和内部 DNS 服务器主机之间的区域传输。 ? 允许从内部 SMTP 邮件服务器到出站 SMTP Bastion 主机的传出邮件；允许从入站 SMTP Bastion 主机到内部 SMTP 邮件服务器的传入邮件。 ? 允许来自 VPN 服务器上后端的通信到达内部主机并且允许响应返回到 VPN 服务器。 ? 允许验证通信到达内部网络上的 RADUIS 服务器并且允许响应返回到 VPN 服务器。 ? 来自内部客户端的所有出站 Web 访问将通过代理服务器，并且响应将返回客户端。 ? 在外围域和内部域的网段之间支持 Microsoft Windows 2000/2003 域验证通信。 ? 至少支持五个网段。 ? 在所有加入的网段之间执行数据包的状态检查（线路层防火墙 ? 第 3 层和第 4 层）。 ? 支持高可用性功能，如状态故障转移。 ? 在所有连接的网段之间路由通信，而不使用网络地址转换。 内部防火墙可用性需求 无冗余 有冗余 容错防火墙集 控制对服务器中心的网络访问 独立防火墙 每台服务器单独配置独立的防火墙。 虚拟防火墙 虚拟防火墙就是可以将一台防火墙在逻辑上划分成多台虚拟的防火墙，每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备，可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。 虚拟防火墙极大的减少了用户投入的资本 　　防火墙增强了安全策略部署的灵活性，当用户业务划分发生变化或者产生新的业务部门时，直接在物理防火墙上增加或删除逻辑防火墙。 3.具体选型： 对于网站等用户来说，由于其数据流量大，对速度和稳定性要求较高，如果这些用户需要在外部网络发布Web（将Web服务器置于外部），同时需要保护数据库或应用服务器（置于防火墙内），这就要求所采用的防火墙具有传送SQL数据的功能，而且必须具有较快的传送速度，建议这些用户采用高效的包过滤型并且只允许外部Web服务器和内部传送SQL数据使用、100M及以上带宽的硬件防火墙。ASA5505-UL-BUN-K9，因为它达到100M带宽,不但内存，闪存容量，并发连接数较大，而且价格相对较低。 　内部数据比较重要因此在选