信息安全技术教程（全）.ppt

（二）执行防火墙规则集 大多数防火墙平台都使用规则集作为它们执行安全控制的机制。规则集的内容决定了防火墙的真正功能。防火墙规则集根据防火墙平台体系结构的不同，包含不同的信息。然而几乎所有的规则集至少包含下面的域：数据包的源地址和目的地址、协议类型、数据包的源端口和目的端口、数据包通过的网络接口和对数据包的处理动作（拒绝、允许或者丢弃等，丢弃与拒绝的不同是前者不给数据包的发送者发送响应）。 一般而言，防火墙应该阻止下面所列的网络数据包： （1）来自未授权的源地址且目的地址为防火墙地址的所有入站数据包。 （2）源地址是内部网络地址的所有入站数据包，这些数据包很可能是某种类型的欺骗尝试。 （3）源地址不在本地局部网络地址范围内的所有出站数据包。 （4）包含ICMP（ICMP是（Internet Control Message Protocol）Internet控制报文协议）请求的所有入站数据包。 （5）源地址在私有地址或不合法地址范围内的所有入站数据包。 （6）来自未授权的源地址，包含SNMP的所有入站数据包。 （7）包含源路由的所有入站和出站数据包。I （8）包含直接广播地址的所有入站和出站数据包。 （9）所有入站和出站数据包片段。 （三）iptables中规则设置举例 iptables是Linux下的防火墙配置工具，目前市场上很多国产防火墙也都是基于这个工具开发而来的。有兴趣的同学下去自行了解具体命令的使用。 （四）测试防火墙策略 防火墙策略时刻都被执行，但这些策略通常很少被检查和验证。对几乎所有的企业和机构来说，防火墙策略应该至少每季度被审计和验证一次。 很多情况下，可以使用下面两种方法对防火墙策略进行验证： 第一种方法也是最简单的方法，获得防火墙配置的拷贝，然后把这些拷贝和根据已定义的策略产生的期望配置进行比较。企业应该至少使用这种方法对防火墙策略进行审查。 第二种方法是对防火墙配置进行实际测试。通过使用测试工具去尝试执行那些应该被禁止的操作来对防火墙设备进行评估。测试既可以使用公域软件完成，也可以使用商业软件完成。 测试防火墙策略的目的是确保防火墙（和其他安全设施）完全根据已制定的策略进行配置。对防火墙系统本身使用安全评估工具进行测试也是同样重要的。这些安全评估工具被用来检查防火墙底层操作系统以及防火墙软件。和前述一样，这些安全评估工具可以是公域软件或商业软件。 。 （五）防火墙维护和管理 商业防火墙通常采用下面两种方式进行配置和日常维护： 第一种方式是通过命令行界面配置。 第二种方式是通过图形界面配置，这种方式也是最常见的。 任何一种配置方式都必须保证所有对防火墙进行管理的网络通信是安全的。 （六）周期性审查安全策略信息 同任何形式的策略一样，信息安全策略必须定期审查，以确保准确性和及时性。 防火墙系统以及其他资源必须定期地被规范审计。 除了传统的审计外，由企业雇用另外的措施确保防火墙整体环境的安全同样重要。 种子渗透是由组织或团队进行评估，并在实施评估之前拥有详细的网络和系统信息的一种渗透分析方式。 盲目渗透是在开始评估之前拥有很少网络和系统信息的一种渗透分析方式。 五、防火墙环境的部署 防火墙环境，是指在网络中支持防火墙功能的系统和组件的集合。简单的防火墙环境可能只包含一个包过滤路由器，复杂和安全的防火墙环境可能包含几个防火墙、代理和专门的拓扑结构。 （一）防火墙环境构建准则：1.保持简单；2.设备专用；3.深度防御；4.注意内部威胁 （二）防火墙选购要点 防火墙作为网络安全体系的基础设施，其作用是通过从逻辑上切断受控网络的通信主干线，对通过受控干线的网络通信进行安全处理。目前，市场上防火墙种类繁多，用户在选购防火墙时应注意考虑以下因素： 1.安全性 2.高效性 防火墙的性能可以从以下几个方面进行评价：（1）并发会话连接数。（2）吞吐量。（3）延迟。（4）平均无故障时间。 3.功能灵活性 4.配置方便性 5.管理方便性 6.抗DoS和DDoS攻击 7.可靠性 8.可扩展和可升级性 （三）防火墙环境下的服务器部署 DMZ是英文DemilitarizedZone的缩写，中文名称为停火区，也称非军事化区。DMZ是一个位于可信的内部网络和不可信的外部网络（如互联网）之间的计算机或者小的子网。DMZ作为需要被内部网络和外部网络访问，但又不能放置在内部受保护网络的计算机系统或资源的附属点。在一个有多个防火墙存在的环境中，每个连接两个防火墙的计算机或网络都是DMZ。 内部网络、外部网络和DMZ的关系如下： （1）内部网络可以无限制地访问外部网络以及DMZ； （2）外部网络可以访问DMZ的服务器的公开端口，如Web服务器的