防火墙技术堡垒主机.pptVIP

存放系统日志主要考虑：方便性：要将它存放在易于操作的地方安全性：要使非相关用户无法操作到日志文件为此，同时存放日志文件的两个拷贝方便性拷贝：是监视系统日常运行的基础安全性拷贝：在发生事故重建堡垒主机时使用*第29页，共42页，星期日，2025年，2月5日关闭不必要的服务任何服务都可能有缺陷或配置问题关闭不必提供的任何服务，提供用户需要的服务*第30页，共42页，星期日，2025年，2月5日*第1页，共42页，星期日，2025年，2月5日堡垒主机的配置特殊类型的堡垒主机设计和构筑堡垒主机的原则建设堡垒主机需要考虑的因素建立堡垒主机的步骤运行堡垒主机堡垒主机的保护与备份*第2页，共42页，星期日，2025年，2月5日5.1堡垒主机的配置防火墙系统中，配置堡垒主机的数量：一台多台配置数量由具体情况决定*第3页，共42页，星期日，2025年，2月5日使用多台堡垒主机原因性能冗余分离数据或者服务器*第4页，共42页，星期日，2025年，2月5日性能：例1：一台堡垒主机处理提供给内部网用户的服务一台堡垒主机处理提供给因特网用户的服务内部网用户不会受外部网用户的活动影响例2：多堡垒主机用于同样的服务需要考虑负载平衡问题*第5页，共42页，星期日，2025年，2月5日冗余：一台失败，另一台提供相同服务分离数据或服务器：保证安全例：多台堡垒主机为不同用户提供同样服务，可以实现针对不同用户提供不同的数据*第6页，共42页，星期日，2025年，2月5日需要保证堡垒主机安全，原因高度暴露安全核心，坚固*第7页，共42页，星期日，2025年，2月5日5.2特殊类型的堡垒主机无路由双宿主机牺牲品主机内部堡垒主机*第8页，共42页，星期日，2025年，2月5日无路由双宿主机本身可以作为一个防火墙，也可以作为一个更复杂的防火墙的一部分有两个网络接口，但这些接口间没有信息流*第9页，共42页，星期日，2025年，2月5日牺牲品主机适用于无论使用代理服务还是数据包过滤都难以保证安全的网络服务，或者一些对其安全性没有把握的服务其上没有任何需要保护的信息不与任何入侵者想要利用的主机相连易于被管理，即使被侵袭也无碍内部网的安全*第10页，共42页，星期日，2025年，2月5日注意：用户总是希望在牺牲品主机上存有尽可能多的服务与程序但是出于安全性考虑，不可随意满足用户的要求，否则会使用户越来越信任牺牲品主机而违反设置牺牲品主机的初衷*第11页，共42页，星期日，2025年，2月5日内部堡垒主机与堡垒主机有交互的某些内部主机，例如：内部SMTP服务器内部DNS服务器等是有效的次级堡垒主机，应象保护堡垒主机一样加以保护可以在它上面多放一些服务，但其配置必须遵循与堡垒主机一样的过程*第12页，共42页，星期日，2025年，2月5日5.3设计和构筑堡垒主机原则最简化原则预防原则*第13页，共42页，星期日，2025年，2月5日最简化原则：尽量简单为什么：堡垒主机越简单，安全越有保证堡垒主机提供的任何服务可能有软件缺陷或者配置错误怎么做：提供服务数量尽可能少特权尽可能小*第14页，共42页，星期日，2025年，2月5日预防原则：做好堡垒主机被损害的准备让内部机器不再信任堡垒主机具体方法：在堡垒主机与内部主机之间设置包过滤器在内部主机上进行访问控制（口令、认证等）*第15页，共42页，星期日，2025年，2月5日5.4建设堡垒主机需考虑的因素选择机器选择位置选择服务*第16页，共42页，星期日，2025年，2月5日选择机器选择操作系统对机器速度的要求硬件配置*第17页，共42页，星期日，2025年，2月5日选择操作系统选择较为熟悉、较为安全的操作系统作为堡垒主机的操作系统要考虑对以后的工作的影响*第18页，共42页，星期日，2025年，2月5日对机器速度的要求并不要求有很高的速度，只要物尽其用即可当需要较快速度的机器时，也可使用多堡垒主机结构不使用高档堡垒主机的原因低档机器对入侵者的吸引力要小一些，入侵者往往以入侵高档计算机为荣低档堡垒主机不利于入侵者进一步侵入内部网，因为它编译较慢，运行一些有助于入侵的破译密码程序也较慢*第19页，共42页，星期日，2025年，2月5日硬件配置高兼容性、高可靠性、慎重选择新产品需要大内存以支持同时处理多个网际连接需要较大的磁盘空间作为存储缓冲来运行代理服务*第20页，共42页，星期日，2025年，2月5日选择位置物理场所网络上的位置*第21页，共42页