天融信防火墙配置手册.ppt

天融信防火墙配置 实训手册 防火墙形态 配置目标 实验室分布情况 实验网络结构图 上半部份 区域之间缺省权限的设置 主机节点对象的建立 防火墙访问控制过滤机制－包过滤示意图 访问控制测试 访问控制测试 STEP6: 通过策略范围来控制主机访问权限 企业防火墙设置注意要点： 防火墙是企业安全的关键中枢，企业安全管理实施需要通过运用防火墙访问策略来实现。 访问策略不只是从技术上考虑，最重要的是安全管理的需要来进行设置。 为了安全需要，防火墙最好只能一个管理员进行配置，有其他人设置时要有日志记录便于管理审计。防止无关管理员任意设置。 策略规则应尽量简化，策略太多容易杂乱，不便管理，影响防火墙效率。 常见的木马、病毒使用的端口尽量关闭，如445,7626，4006，1027，6267等，对高发及最新病毒、木马端口要及时做出处理。 防止反向连接,对由内到外的连接也要注意端口防护。 通信策略 NAT 在互联网的应用 NAT原理－源地址转换 互联网过滤 互联网过滤 下半部份 了解防火墙的三种接入模式 2.路由模式 3.透明及路由的混合模式 透明网络结构 透明网络测试 三、MAP映射操作步骤 MAP端口（地址）映射 在互联网的应用 MAP测试过程 MAP映射参考案例 MAP映射原理－目的地址转换 案例应用综合测试： 案例应用综合测试图： 实验完※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※  附： Firewall讲义 词汇表 本讲义所用的词汇解释 Intranet 内联网（企业网） DMZ 非军事区（停火区） SSN 安全服务区 1.4防火墙的接口 1.5 IT领域防火墙的概念 1.6 防火墙 TCP/IP协议－协议层次 TCP/IP协议簇－数据包各层协议结构 TCP/IP协议簇 TCP/IP协议簇－各层之间的数据传递过程 二、防火墙的发展历程 三、防火墙核心技术 3.1 简单包过滤防火墙工作原理 3.2 状态检测包过滤防火墙工作原理 3.3 应用代理防火墙工作原理 3.4 复合型防火墙工作原理 3.5 核检测防火墙工作原理 防火墙核心技术比较 四、防火墙体系结构 基于内核的会话检测技术 五、防火墙构造体系 筛选路由器 多宿主主机 被屏蔽主机 被屏蔽子网 六、防火墙功能与原理 防止DoS和DDoS攻击 DoS ( Denial of Service ) 拒绝服务攻击 攻击者利用系统自身陋洞或者协议陋洞，耗尽可用资源乃至系统崩溃，而无法对合法用户作出响应。 DDoS ( Distributed Denial of Service ) 　　分布式拒绝服务攻击 拒绝服务攻击通常是以消耗服务器端资源为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，实现攻击目的。 DDoS的表现形式主要有两种，一种是流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法的网络数据包被虚假的网络数据包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机进行的攻击，即通过大量的攻击包导致主机的内存被耗尽，或是CPU被内核及应用程序占完而造成无法提供网络服务。 与MAC地址绑定 时间策略 NAT 网络地址转换 NAT原理－源地址转换 MAP端口（地址）映射 MAP映射原理－目的地址转换 服务器负载均衡 防火墙对TRUCK协议的支持 支持第三方认证服务器 与IDS的安全联动 为什么需要IDS 防范透过防火墙的入侵 利用应用系统漏洞实施的入侵 利用防火墙配置失误实施的入侵 防范来自内部网的入侵 内部网的攻击占总的攻击事件的70% 没有监测的内部网是内部人员的“自由王国” 对网络行为的审计，防范无法自动识别的恶意破坏 入侵很容易 入侵教程随处可见 各种工具唾手可得 安全漏洞日益暴露 入侵检测系统(IDS)连接方式 入侵检测系统连接方式 硬件安装：入侵检测系统接入方式之交换机 与病毒服务器的安全联动 SNMP管理 防火墙的不足之处 八、防火墙的典型应用 防火墙的典型应用 九、防火墙的性能 吞吐量 时 延 丢包率 背靠背 并发连接数 0 网关：50 0 Intranet:50 Internet:50 报头 数据 源地址：0 目的地址：0 报头 数据 源地址：50 目的地址：0 NAT转换 0发送的数据包经过NAT转换后，源地址成为50 MAP也称为反向NAT 0 网关：50 0 Intranet:50 Internet:50 报头 数据 源