第九章　防火墙技术.pptVIP

9.2.3　防火墙的常见体系结构 1．屏蔽路由器(如图9.10所示) 2．双穴主机网关(如图9.11所示) 3．屏蔽主机网关(如图9.12所示) 4．被屏蔽子网(如图9.13所示) 图9.10　屏蔽路由器示意图 图9.11　双穴主机网关示意图 图9.12　屏蔽主机网关示意图 图9.13　被屏蔽子网防火墙示意图 返回本节 9.3　防火墙设计实例 9.3.1　防火墙产品选购策略 9.3.2　典型防火墙产品介绍 9.3.3　防火墙设计策略 9.3.4　Windows 2000环境下防火墙及NAT的实现 返回本章首页 9.3.1　防火墙产品选购策略 1．防火墙的安全性 2．防火墙的高效性 3．防火墙的适用性 4．防火墙的可管理性 5．完善及时的售后服务体系 返回本节 9.3.2　典型防火墙产品介绍 1．3Com Office Connect Firewall 新增的网络管理模块使技术经验有限的用户也能保障他们的商业信息的安全。 ? Office Connect Internet Firewall 25使用全静态数据包检验技术来防止非法的网络接入和防止来自Internet的“拒绝服务”攻击，它还可以限制局域网用户对Internet的不恰当使用。 ??????? Office Connect Internet Firewall DMZ可支持多达100个局域网用户，这使局域网上的公共服务器可以被Internet访问，又不会使局域网遭受攻击。 ?????3Com公司所有的防火墙产品很容易通过 Getting Started Wizard 进行安装。它们使整个办公室可以共享ISP提供的一个IP地址，因而节省开支。 2．Cisco PIX防火墙 （1）实时嵌入式操作系统。 （2）保护方案基于自适应安全算法（ASA），可以确保最高的安全性。 ? （3）用于验证和授权的“直通代理”技术。 ?? （4）最多支持250 000个同时连接。 ?? （5） URL过滤。 （6）HP Open View集成。 （7）通过电子邮件和寻呼机提供报警和告警通知。 ??（8）通过专用链路加密卡提供VPN支持。 ?（9）符合委托技术评估计划（TTAP），经过了美国安全事务处（NSA）的认证，同时通过中国公安部安全检测中心的认证（PIX520除外）。 返回本节 9.3.3　防火墙设计策略 1．防火墙的系统环境 取消危险的系统调用；限制命令的执行权限；取消IP的转发功能；检查每个分组的接口；采用随机连接序号；驻留分组过滤模块；取消动态路由功能；采用多个安全内核等等。 2．设置防火墙的要素 高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述防火墙如何限制和过滤在高级策略中定义的服务。 3．服务访问策略 允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务；允许内部用户访问指定的Internet主机和服务。 4．防火墙设计策略 允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。第一种的特点是安全但不好用，第二种是好用但不安全，通常采用第二种类型的设计策略。而多数防火墙都在两种之间采取折衷。 返回本节 9.3.4　Windows 2000环境下防火墙及NAT的实现 1．实现方法 通过网络地址转换把内部地址转换成统一的外部地址，避免了使用代理服务所引起的账号安全问题和代理服务端口被利用的危险。同时为了避免各种代理服务端口探测和其他各种常用服务端口的探测，可以启用Microsoft Proxy Server的动态包过滤功能和IP分段过滤，达到端口隐形的效果。 2．案例环境 假定有一台Web服务器（WWW），地址为0，其完整域名为：，对应解析的IP地址为0，，在其上装有两块网卡，命名为本地连接1和本地连接2，它们的IP地址分别为：和。 3．MS Windows 2000 NAT网络地址转换的实现 （1）路由和远程访问服务 （2）网络地址转换的实现:静态路由、网络地址转换、地址和特殊端口、IP地址欺骗过滤。 表9.2　地址和特殊端口配置 表9.3　内部地址欺骗过滤配置 表9.4　外部地址欺骗过滤配置 4．MS Proxy Server动态包过滤和反向代理 Proxy Server功能的配置界面如图9.14所示。 （1）MS Proxy Server动态过滤记录文件的详细说明如表9.5所示。 （2）MS Proxy Server动态包过滤的实现如表9.6所示。 图9.14　Proxy Server功能的配置界面 表9.5　一条记录条目的说明 表9.6　动态包过滤规则 返回本节 THANK