防火墙原理及其配置.ppt

第六章 防火墙原理及其配置 引例 ：亚东制药防火墙防御体系 北京亚东生物制药有限公司成立于1991 年，为股份制企业，拥有员工300 余人，是以一大批教授、 高级工程师、主任药师为核心的高新技术企业。其科研生产基地坐落于北京昌平科技园区，拥有国内先进 制药生产设备，生产有胶囊、颗粒、丸剂、口服液等剂型，分装车间共16000m，并具有国内先进水平 的年处理中药材6000t 的中药提取车间及配套的生产设备。该公司以科研生产生物制品、中成药为主，全厂已通过国家药品监督管理局认证中心组织的GMP 认证。 1．现状概述 亚东药业现今在大兴有一个制药厂，在海淀区有一个公司，网络中心在海淀公司之内。公司内有近 200 台普通客户端和数台服务器(主要是OA、VPN、财务)，公司同大兴厂通过VPN 专线进行互联。由于专线在和工厂互联的同时也承担公司日常办公任务，所以经常会遭到来自互联网络的攻击或入侵。 2．需求分析 如果办公网络遭受入侵，将很有可能导致各部门的机密资料外泄，甚至泄露重要的商业机密。防火墙是抵御黑客的第一道防线，可检查进出的数据包，透视应用层协议，与既定的安全策略进行比较。防火墙 可以提供用户认证、负载均衡、网络地址翻译(NAT)等功能，是保证网络初步安全必不可少的设备。如果第一道防线没有经过安全的配置，这道防线就形同虚设，那么这个网络就没有安全性可言了。 3．系统安全目标 基于以上的分析，瑞星公司认为亚东制药有限公司的网络系统安全应该实现以下目标。 ①建立一套完整可行的网络安全与网络管理策略。 ②将亚东制药局域网、公司服务器组和公司办公网进行有效隔离，避免公司局域网、公司服务器组和公司办公网络的直接通信。 ③建立办公网络各主机和服务器的安全保护措施，保证系统安全。 ④对网上服务请求内容进行控制，使非法访问在到达主机前被拒绝。 ⑤加强合法用户的访问认证，同时将用户的访问权限控制在最低限度。 ⑥加强对各种访问的审计工作，详细记录对网络、公开服务器的访问行为，形成完整的系统日志。 ⑦加强网络安全管理，提高系统全体人员的网络安全意识和防范技术。 4．方案设计概述 根据需求，在方案中将防火墙系统保护的安全区域定义为亚东制药公司及大兴制药厂；防火墙部署在 亚东制药公司边界网关处，即公司局域网及外连路由器之间；防火墙部署采用“路由”模式加NAT 的模式。通过对网络系统的安全风险、安全需求以及安全目标的分析，结合亚东制药网络的实际情况，在亚东制药局域网系统中，应该着重考虑对公司服务器组区域和公司内部办公网络区域进行安全防护；同时对于亚东制药局域网各部门机构服务器组网络要考虑数据的保密性和完整性；对于亚东制药办公网络要考虑服务器的安全性。建议在总部和制药厂之间使用防火墙系统进行安全保护，做到万无一失。 6.1 防火墙的概述6.1.1 防火墙的定义 防火墙实际上是一种访问控制技术，它在一个被认为是安全、可信的内部网络和一个 不安全、可信的外部网络之间设置障碍，阻止对信息资源的非法访问，也可以阻止保密信息从受保护网络上被非法输出。它能允许用户“同意”的人和数据进入用户的网络，同时将用户“不同意”的人和数据拒之网外。防火墙是一类防范措施的总称，不是一个单独的计算机程序或设备。在物理上，它通常是一组硬件设备和软件的多种组合；在逻辑上，它是分离器、限制器和分析器的组合，它有效地监控了内部网和公众网之间的任何活动。 在Internet 上应用防火墙可以构造一种非常安全的网络拓扑，如图 6.1 所示。它安装在信任网络和非信任网络之间，通过它可以隔离非信任网络(即Internet 或局域网的一部分)与信任网络(局域网)的连接，同时不会妨碍人们对非信任网络的访问。 6.1.2 防火墙的功能 防火墙具有如下几个基本功能 1．访问控制 防火墙是网络安全的屏障，通过设置防火墙的过滤规则，可以实现对数据流的访问控制。例如，允许内部网的用户只能够访问外部网的Web 服务器。 2．防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置，可以将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。 3．对网络存取和访问进行监控审计 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集网络的使用和误用情况也是非常重要的，首先可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足；另外，网络使用统