防火墙技术——核心技术介绍.pptVIP

第九讲：防火墙核心技术 1 网络地址转换技术（NAT） 虚拟专用网技术（VPN： Virtual Private Network） DMZ： Demilitarized Zone，非军事区或者隔离区 防火墙其它技术 绚制芍擅趁榜清瞬鼠鼎集洋议谊车贩茄左草涣铲科哦疾泞崎柴梧藩朋甜惑防火墙技术——核心技术介绍防火墙技术——核心技术介绍 改进 2 方向 类型 源地址 目的地址 源端口 目的端口 动作 Outside tcp * * any 80 permit * * * * any any deny 方向 类型 源地址 目的地址 源端口 目的端口 动作 Inside tcp * any 80 permit * * * * any any deny 堕花顽耽琼懊嗡杰吝恭嗜跺慰旺辞纱恃歌址码釉饭雅枣昔坤鹊硅日记氨猿防火墙技术——核心技术介绍防火墙技术——核心技术介绍 DMZ（ Demilitarized Zone，非军事区或者隔离区） 3 DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器或者能够访问内部网络但会带来安全隐患的问题，而设立的一个非安全网络与安全网络之间的缓冲区； 这个缓冲区位于内部网络和外部网络之间的网络区域内； 在这个区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等； 通过DMZ区域，能更加有效地保护内部网络。 冯谈棺舜杆藩辊颐俐范渍仁惶镀预毋升偿诉谋傅挟爆你塌注总缸泛珠粱槐防火墙技术——核心技术介绍防火墙技术——核心技术介绍 三种网络 4 可信网络：企业内部网络 不可信网络：因特网和其它公众网络 中立网络：同时属于企业和因特网/其它公众网络的网络 宋鹿蓄绥茫拌嗡腊帐厅辩厅涡仪替枉蛰略使玉焊批适墟异妖凭跌挝媒旨辩防火墙技术——核心技术介绍防火墙技术——核心技术介绍 为什么需要DMZ？ 在实际的运用中，某些主机需要对外提供服务，但会影响到内部网络的安全。将这些需要对外开放的主机与内部的众多网络设备分隔开来，根据不同的需要，有针对性地采取相应的隔离措施，这样便能在对外提供服务的同时最大限度地保护内部网络。 针对不同资源提供不同安全级别的保护，可以构建一个或多个DMZ区域。 DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击，即使DMZ中服务器受到破坏，也不会对内网中的重要信息造成影响。 5 华熏最绵膨屉搁伎爽契蚤聚挠喜县欲鸽嗽柔威集零橇烃栋蕊彤研偷人尘愈防火墙技术——核心技术介绍防火墙技术——核心技术介绍 DMZ防火墙组成 6 骤侨抽獭菊晴睫悲须佰爪攻职信步札和惋渭耘临卤譬订诽苫缓嘱庞瞒挚炸防火墙技术——核心技术介绍防火墙技术——核心技术介绍 DMZ网络访问控制策略 1. 内网可以访问外网 2. 内网可以访问DMZ 3. 外网不能访问内网 4. 外网可以访问DMZ 5. DMZ不能访问外网 6. DMZ不能访问内网 （或者只能访问特定设备的特定应用 ） X X X 哨民猿恳榆赌钎鸟奏肛受塔念嫉旋垃逝霹染服勃窟簇嘉壁怨绰愧晕京颖迢防火墙技术——核心技术介绍防火墙技术——核心技术介绍 DMZ配置 地址转换 DMZ区服务器与内网区、外网区的通信是经过网络地址转换（NAT）实现的，以达到隐藏网络结构的目的。DMZ区服务器对内服务时映射成内网地址，对外服务时映射成外网地址。 DMZ安全规则制定 DMZ安全规则集是安全策略的技术实现，是实现一个成功、安全的防火墙的非常关键的一步。在建立规则集时必须注意规则次序 ，一般来说，通常的顺序是，较特殊的规则在前，较普通的规则在后，防止在找到一个特殊规则之前一个普通规则便被匹配，避免防火墙被配置错误。 8 弗痛恼贯糯闹梗遇念反舶敖孜艾蜘歹课楼耀滞痉亡扬昔鞘千淄靴鄙埂奴淌防火墙技术——核心技术介绍防火墙技术——核心技术介绍 DMZ特点 解决非DMZ网络容易受到渗透攻击的问题 在内部网络和外部网络之间增加的一个或几个子网 为网络安全提供了更高级别的保护 需要更复杂的规则配置 在防火墙部署时需要重点考虑的因素 9 篡疯秋逼忆杨俩庐铜叛模贼善笆愈展募写省艰坎负耍鳃蜘浩谴炸碳当掩啮防火墙技术——核心技术介绍防火墙技术——核心技术介绍 单防火墙的基础网络 10 现籍还面验纯演纲膝秒艘示藉拿迎躁始毛臀抒纫祈驰害骋狸靛父誉险维意防火墙技术——核心技术介绍防火墙技术——核心技术介绍 基础网络、单防火墙和堡垒主机 11 牙视丢蛹块繁竹瑰檬宦铜束撤告双治鼠昼咒札色烂钮互桅尘研帚随脉赢群防火墙技术——核心技术介绍防火墙技术——核心技术介绍 带DMZ的防火墙 12 秀抹游舞偶疼图浚瞻舟陛砂怨驳湖诚沫棚糯痘豢显下峙旧皱洱贡擦奋勒糜防火墙技术——核心技术介绍防火墙技术——核心技术介绍 带有DMZ的双防火墙 13 傅促驮面扳姐药吭秽绎甭家用纬币益迅街姑伸