[防火墙技术-核心技术介绍.pptVIP

第九讲：防火墙核心技术 * 网络地址转换技术（NAT） 虚拟专用网技术（VPN： Virtual Private Network） DMZ： Demilitarized Zone，非军事区或者隔离区 防火墙其它技术 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 改进 * 方向 Outside * 类型 tcp * 源地址 * * 目的地址 * * 源端口 any any 目的端口 80 any 动作 permit deny 方向 Inside * 类型 tcp * 源地址 * * 目的地址 * 源端口 any any 目的端口 80 any 动作 permit deny Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. DMZ（ Demilitarized Zone，非军事区或者隔离区） * DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器或者能够访问内部网络但会带来安全隐患的问题，而设立的一个非安全网络与安全网络之间的缓冲区； 这个缓冲区位于内部网络和外部网络之间的网络区域内； 在这个区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等； 通过DMZ区域，能更加有效地保护内部网络。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 三种网络 * 可信网络：企业内部网络 不可信网络：因特网和其它公众网络 中立网络：同时属于企业和因特网/其它公众网络的网络 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 为什么需要DMZ？ 在实际的运用中，某些主机需要对外提供服务，但会影响到内部网络的安全。将这些需要对外开放的主机与内部的众多网络设备分隔开来，根据不同的需要，有针对性地采取相应的隔离措施，这样便能在对外提供服务的同时最大限度地保护内部网络。 针对不同资源提供不同安全级别的保护，可以构建一个或多个DMZ区域。 DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击，即使DMZ中服务器受到破坏，也不会对内网中的重要信息造成影响。 * Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. DMZ防火墙组成 * Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. DMZ网络访问控制策略 1. 内网可以访问外网 2. 内网可以访问DMZ 3. 外网不能访问内网 4. 外网可以访问DMZ 5. DMZ不能访问外网 6. DMZ不能访问内网 （或者只能访问特定设备的特定应用 ） X X X Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. DMZ配置 地址转换 DMZ区服务器与内网区、外网区的通信是经过网络地址转换（NAT）实现的，以达到隐藏网络结构的目的。DMZ区服务器对内服务时映射成内网地址，对外服务时映射成外网地址。 DMZ安全规则制定 DMZ安全规则集是安全策略的技术实现，是实现一个成功、安全的防火墙的非常关键的一步。在建立规则集时必须注意规则次序 ，一般来说，通常的顺序是，较特殊的规则在前，较普通的规则在后，防止在找到一个特殊规则之前一个普通规则便被匹配，避免防火墙被配置错误。 * Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose P