防火牆.pptVIP

為何需使用防火牆 防火牆種類 封包過濾型 應用程式過濾型 防火牆網路架構 標準架構 3-Home架構 多層次架構 如何建置防火牆系統 如何定義存取的原則以限制未經授權的使用者存取您的網路 如何管理防火牆的日誌以了解防火牆保護企業網路的作為 如何掌握防火牆的運作異常現象，用最安全的機制保護您的網路 Firewall的設定 個人防火牆 商用防火牆 防火牆測試 企業網路的現況 常見的威脅 粗心大意或不滿的員工 社交工程攻擊(Social Engineering) 揚名攻擊 電腦病毒(Computer Virus) 惡性程式(Computer Malware) 電腦蠕蟲、特洛伊木馬、惡作劇程式 惡性的商業競爭 電腦駭客(Hacker) 常見的威脅(2)埠掃描 埠掃描 (Port Scanning) 常見的威脅(3)阻斷服務攻擊 阻斷服務攻擊(Denial of Service Attacks) 磁碟空間(Disk Space) 網路頻寬(Bandwidth) 緩衝區(Buffers) 中央處理器使用量(CPU Cycles Usage) 安全的建議 妥善的建置 完善的管理 持續的稽核 安全等級的劃分 防火牆的功能 網路流量過濾(Packet Filter) 過濾未經授權的網路流量 資料內容過濾(Application Filter) 網路位置轉譯(NAT、PAT) 解決IP位址不足的問題 保護內部網路位址配置 隱藏網際網路服務的真實位址 防火牆技術的種類 封包過濾(Packet Filter) 靜態(Static) 檢查來源端與目的端的網路位址及埠號 動態(Dynamic or Stateful Inspection) 設置了一個連結狀態表 ，將過往交通的狀態記錄下來 可以分辨出那些是從企業外發出的通信服務要求，而那些是回應企業內發出通信服務的返回資料 應用層級過濾(Application Filter) 檢查資料內容 自由擴充功能 封包過濾(Packet Filter) 動態過濾與靜態過濾的差異性TCP連線的建立與停止 動態過濾與靜態過濾的差異性埠掃描的方式 – SYN與FIN的掃描 應用程式過濾(Application Filter) 如何選擇防火牆的網路架構 堡壘主機式架構(BastionHost) 3-Homed架構 多層次架構(Multi-Layered) 堡壘主機式架構(Bastion Host) 基本防護 管理容易 成本低 3-Homed架構 管理容易 相對安全 多層次架構(Multi-Layered) 管理具彈性 安全性較佳 成本較高 各式防火牆架構的比較 防火牆的建置 設定防火牆的技巧 路由(Routing) 封包過濾(Packet Filtering) 網路位址轉譯(NAT、PAT) 路由(Routing) 封包過濾(Packet Filtering) 網路位址轉譯(NAT、PAT) 設定防火牆的存取控制原則 設定防火牆的存取控制原則 注意事項 注意”預設的狀態” 全部啟用 or 全部拒絕 以最嚴格的方式進行設定 紀錄所有的設定項目 定期稽核使用情形 防火牆的紀錄(Logging) 防火牆的監測與警示 入侵偵測 效能工具 警示通知 E-Mail 呼叫器 執行程式 Firewall的架設 不同的系統可以針對不同的安全需求架設防火牆 堡壘主機式防火牆(Bastion Host Firewall) 雙閘式防火牆(Dual-Homed Firewall) 屏障單機式防火牆(Screened Host Firewall) 屏障子網域式防火牆(Screened Subnet Firewall) Firewall的架設 堡壘主機式防火牆(Bastion Host Firewall) 屬於封包過濾器 有兩塊網路卡 進出的封包均需經過該防火牆的檢查 內部網路與外部網路的交通無法直接相連 封包均需透過該堡壘主機的轉送 Firewall的架設 堡壘主機式防火牆 (Bastion Host Firewall) Firewall的架設 雙閘式防火牆(Dual-Homed Firewall) 屬於代理伺服器型防火牆的一種 有兩塊網路卡 需安裝一特殊軟體-應用服務轉送器(Application Forwarder) 所有的網路應用服務封包都需經過該應用服務轉送器的檢查 應用服務轉送器將過濾掉不被系統所允許的服務要求封包 Firewall的架設 雙閘式防火牆(Dual-Homed Firewall) Firewall的架設 屏障單機式防火牆(Screened Host Firewall) 屬於結合封包過濾器及代理伺服器功能的一種架構 硬體設備除了一主機並需一路由器 路由器 必須有封包過濾的功