防火墙第三章课件.ppt

1、第第3 3章章 网络设计网络设计3.1 3.1 网络安全网络安全3.2 3.2 网络的防火墙设计网络的防火墙设计3.3 3.3 安全策略安全策略3.1.1 3.1.1 网络安全的定义网络安全的定义从狭义的保护角度来讲，网络安全是指计算机及其网络系统资从狭义的保护角度来讲，网络安全是指计算机及其网络系统资源和信息资源不被未授权的用户访问，即计算机、网络系统的硬件、源和信息资源不被未授权的用户访问，即计算机、网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭破坏、更改或泄露，系统能连续、可靠、正常地运行，使网络服务破

2、坏、更改或泄露，系统能连续、可靠、正常地运行，使网络服务不中断。不中断。从广义来说，凡是涉及计算机网络上信息的保密性、完整性、从广义来说，凡是涉及计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。研究领域。3.1 3.1 网络安全网络安全下一页 返回3.1.2 3.1.2 网络安全标准网络安全标准1.OSI1.OSI安全体系结构的安全技术标准安全体系结构的安全技术标准国际标准化组织（国际标准化组织（ISOISO）在它所指定的国际标准）在它所指定的国际标准ISO7498-2ISO7498

3、-2中描中描述了述了OSIOSI（开放系统互联基本参考模型）安全体系结构的（开放系统互联基本参考模型）安全体系结构的5 5种安全服种安全服务，各服务的名称以及用途如务，各服务的名称以及用途如表表3 3 1 1所示。所示。3.1 3.1 网络安全网络安全下一页 返回上一页2.2.可信计算机评估标准（可信计算机评估标准（Trusted Computer System Trusted Computer System Evaluation CriteriaEvaluation Criteria，TCSECTCSEC）在美国，国家计算机安全中心（在美国，国家计算机安全中心（NCSCNCSC）负责建立可信

4、计算机产）负责建立可信计算机产品的准则。品的准则。NCSCNCSC建立了可信计算机评估标准，建立了可信计算机评估标准，TCSECTCSEC指出了一些安全指出了一些安全等级，被称为安全级别，它的范围从级别等级，被称为安全级别，它的范围从级别A A到级别到级别D D，其中，其中A A是最高级是最高级别。高级别在低级别的基础上提供进一步的安全保护。级别别。高级别在低级别的基础上提供进一步的安全保护。级别A A、B B和和C C还分数字标明的子级别，各级别的名称以及描述如还分数字标明的子级别，各级别的名称以及描述如表表3 3 2 2所示。所示。3.1 3.1 网络安全网络安全下一页 返回上一页3.3.

5、我国计算机安全登记划分与相关标准我国计算机安全登记划分与相关标准对信息系统和安全产品的安全性评估事关国家安全和社会安全，对信息系统和安全产品的安全性评估事关国家安全和社会安全，任何国家不会轻易相信和接受别的国家所作的评估结果。没有一个任何国家不会轻易相信和接受别的国家所作的评估结果。没有一个国家会把事关本国安全利益的信息安全产品和系统的安全可信建立国家会把事关本国安全利益的信息安全产品和系统的安全可信建立在别人的评估标准、评估体系和评估结果上。为保险起见，通常要在别人的评估标准、评估体系和评估结果上。为保险起见，通常要通过本国标准的测试才被认为可靠。通过本国标准的测试才被认为可靠。198919

6、89年公安部在充分借鉴国际年公安部在充分借鉴国际标准的前提下，开始设计和起草法律和标准，并于标准的前提下，开始设计和起草法律和标准，并于19991999年年9 9月月1313日由日由国家质量技术监督局审查通过并正式批准发布，已于国家质量技术监督局审查通过并正式批准发布，已于20012001年年1 1月月1 1日日执行。执行。3.1 3.1 网络安全网络安全下一页 返回上一页3.1.3 3.1.3 网络传输过程中的网络传输过程中的3 3种安全机制种安全机制随着随着TCP/IPTCP/IP协议群在互联网上的广泛采用，信息技术与网络技协议群在互联网上的广泛采用，信息技术与网络技术得到了飞速发展。随之

7、而来的是安全风险问题的急剧增加。为了术得到了飞速发展。随之而来的是安全风险问题的急剧增加。为了保护国家公众信息网以及企业内联网和外联网的信息和数据的安全，保护国家公众信息网以及企业内联网和外联网的信息和数据的安全，要大力发展基于信息网络的安全技术。要大力发展基于信息网络的安全技术。1.1.信息与网络安全技术的目标信息与网络安全技术的目标由于互联网的开放性、连通性和自由性，用户在享受各类共有由于互联网的开放性、连通性和自由性，用户在享受各类共有信息资源的同时，也存在着自己的秘密信息可能被侵犯或被恶意破信息资源的同时，也存在着自己的秘密信息可能被侵犯或被恶意破坏的危险。信息安全的目标就是保护有可能

8、被侵犯或破坏的机密信坏的危险。信息安全的目标就是保护有可能被侵犯或破坏的机密信息不受外界非法操作者的控制。息不受外界非法操作者的控制。3.1 3.1 网络安全网络安全下一页 返回上一页2.2.网络安全体系结构网络安全体系结构国际标准化组织（国际标准化组织（ISOISO）在开放系统互联参考模型（）在开放系统互联参考模型（OSI/RMOSI/RM）的）的基础上，于基础上，于19891989年制定了在年制定了在OSIOSI环境下解决网络安全的规则：安全体环境下解决网络安全的规则：安全体系结构。它扩充了基本参考模型，加入了安全问题的各个方面，为系结构。它扩充了基本参考模型，加入了安全问题的各个方面，为

9、开放系统的安全通信提供了一种概念性、功能性以及一致性的途径。开放系统的安全通信提供了一种概念性、功能性以及一致性的途径。OSIOSI安全体系包含安全体系包含7 7个层次：物理层、数据链路层、网络层、传输层、个层次：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。在各层次间进行的安全机制有以下几种。会话层、表示层和应用层。在各层次间进行的安全机制有以下几种。（1 1）加密机制、（）加密机制、（2 2）安全认证机制）安全认证机制 、（、（3 3）访问控制策略）访问控制策略 3.1 3.1 网络安全网络安全下一页 返回上一页3.1.4 3.1.4 网络安全重要性网络安全重要性网络安全是信

10、息安全领域一个非常重要的方面，随着计算机网网络安全是信息安全领域一个非常重要的方面，随着计算机网络的广泛应用，网络安全的重要性也日渐突出，网络安全已经成为络的广泛应用，网络安全的重要性也日渐突出，网络安全已经成为国家、国防以及国民经济的重要组成部分。随着计算机技术和通信国家、国防以及国民经济的重要组成部分。随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，

11、对于保障网络信息传脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络信息传输的安全性将变得十分重要。输的安全性将变得十分重要。3.1 3.1 网络安全网络安全下一页 返回上一页目前网络上已经存在着无数的安全威胁与攻击，对于它们，也目前网络上已经存在着无数的安全威胁与攻击，对于它们，也存在着不同的分类方法。这里将网络安全威胁分为两大类：意外威存在着不同的分类方法。这里将网络安全威胁分为两大类：意外威胁和故意威胁。胁和故意威胁。总的来说，网络安全面临着多种攻击和威胁，网络安全问题必总的来说，网络安全面临着多种攻击和威胁，网络安全问题必将愈来愈引起人们的重视，保障网络安全显得特别重要。防火墙技将愈

12、来愈引起人们的重视，保障网络安全显得特别重要。防火墙技术作为目前用来实现网络安全措施的一种主要手段，它主要是用来术作为目前用来实现网络安全措施的一种主要手段，它主要是用来拒绝未经授权用户的访问，阻止未经授权用户存取敏感数据，同时拒绝未经授权用户的访问，阻止未经授权用户存取敏感数据，同时允许合法用户不受妨碍地访问网络资源。如果使用得当，可以在很允许合法用户不受妨碍地访问网络资源。如果使用得当，可以在很大程度上提高网络安全。大程度上提高网络安全。3.1 3.1 网络安全网络安全下一页 返回上一页3.1.5 3.1.5 网络安全问题分类网络安全问题分类网络存在的问题主要有网络存在的问题主要有3 3类

13、。类。一是机房安全。机房是网络设备运行的关键地方，如果发生安一是机房安全。机房是网络设备运行的关键地方，如果发生安全问题，如物理安全（火灾、雷击、盗贼等）、电气安全（停电、全问题，如物理安全（火灾、雷击、盗贼等）、电气安全（停电、负载不均等）等情况。负载不均等）等情况。二是病毒的侵入和黑客的攻击。二是病毒的侵入和黑客的攻击。InternetInternet开拓性的发展使病毒开拓性的发展使病毒可能成为灾难。据美国国家计算机安全协会（可能成为灾难。据美国国家计算机安全协会（NCSANCSA）最近一项调查）最近一项调查发现，几乎发现，几乎100%100%的美国大公司都曾在他们的网络或计算机上经历过的

14、美国大公司都曾在他们的网络或计算机上经历过计算机病毒的危害。计算机病毒的危害。3.1 3.1 网络安全网络安全下一页 返回上一页黑客对计算机网络构成的威胁大体可分为两种：一是对网络中黑客对计算机网络构成的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。它们以各种方式有选择地信息的威胁；二是对网络中设备的威胁。它们以各种方式有选择地破坏信息的有效性和完整性，进行截获、窃取、破译以获得重要机破坏信息的有效性和完整性，进行截获、窃取、破译以获得重要机密信息。密信息。三是由于管理不健全而造成的安全漏洞。从广泛的网络安全意三是由于管理不健全而造成的安全漏洞。从广泛的网络安全意义范围来

15、看，网络安全不仅仅是技术问题，更是一个管理问题。它义范围来看，网络安全不仅仅是技术问题，更是一个管理问题。它包含管理机构、法律、技术、经济各方面。网络安全技术只是实现包含管理机构、法律、技术、经济各方面。网络安全技术只是实现网络安全的工具。因此，要解决网络安全问题，必须要有综合的解网络安全的工具。因此，要解决网络安全问题，必须要有综合的解决方案。决方案。3.1 3.1 网络安全网络安全下一页 返回上一页3.1.6 3.1.6 网络安全工作的发展及趋势网络安全工作的发展及趋势纵观近几年来网络安全领域，网络安全工作大致有以下几个方纵观近几年来网络安全领域，网络安全工作大致有以下几个方面的特征。面的

16、特征。1.1.需求日益增加，市场潜力巨大需求日益增加，市场潜力巨大2.2.国内厂商日益成熟，竞争日趋激烈国内厂商日益成熟，竞争日趋激烈3.3.专业安全服务已经逐渐引起重视专业安全服务已经逐渐引起重视4.4.网络安全整体方案需求更趋实用网络安全整体方案需求更趋实用5.5.国家重大工程成为网络安全市场的巨大推动力国家重大工程成为网络安全市场的巨大推动力3.1 3.1 网络安全网络安全返回上一页3.2.1 3.2.1 网络拓扑结构网络拓扑结构把网络中各个站点相互连接的方法和形式称为网络拓扑。构成把网络中各个站点相互连接的方法和形式称为网络拓扑。构成网络的拓扑结构有很多种，主要有总线型拓扑、星型拓扑、

17、环型拓网络的拓扑结构有很多种，主要有总线型拓扑、星型拓扑、环型拓扑、树型拓扑和网状型拓扑，这些是构建网络的基本模块，混合使扑、树型拓扑和网状型拓扑，这些是构建网络的基本模块，混合使用这几种模块就能作进一步的设计。以下分别介绍各种拓扑结构的用这几种模块就能作进一步的设计。以下分别介绍各种拓扑结构的网络。网络。1.1.总线型拓扑结构总线型拓扑结构总线型拓扑结构是指采用单根传输线作为总线，所有工作站都总线型拓扑结构是指采用单根传输线作为总线，所有工作站都共用一条总线。当其中一个工作站发送信息时，该信息将通过总线共用一条总线。当其中一个工作站发送信息时，该信息将通过总线传到每一个工作站上。传到每一个工

18、作站上。3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回工作站在接到信息时，先要分析该信息的目标地址与本地地址工作站在接到信息时，先要分析该信息的目标地址与本地地址是否相同，若相同，则接收该信息；若不相同，则拒绝接收。总线是否相同，若相同，则接收该信息；若不相同，则拒绝接收。总线型拓扑结构的优点是电缆长度短，布线容易，便于扩充；其缺点主型拓扑结构的优点是电缆长度短，布线容易，便于扩充；其缺点主要是总线中任一处发生故障将导致整个网络的瘫痪，且故障诊断困要是总线中任一处发生故障将导致整个网络的瘫痪，且故障诊断困难。难。图图3 3 1 1显示了总线型拓扑结构的示意图。显示了总线型拓扑结构

19、的示意图。3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回上一页2.2.星型拓扑结构星型拓扑结构星型拓扑结构是指网络中各工作站都直接连接到集线器（星型拓扑结构是指网络中各工作站都直接连接到集线器（HUBHUB）或交换机上，每个工作站要传输数据到其他工作站时，都需要通过或交换机上，每个工作站要传输数据到其他工作站时，都需要通过集线器（集线器（HUBHUB）或交换机进行。星型拓扑结构）或交换机进行。星型拓扑结构的优点是的优点是连接方便连接方便，故故障诊断容易障诊断容易，若一个工作站出现故障不会影响网络的运行，可靠性若一个工作站出现故障不会影响网络的运行，可靠性较高；缺点是连接电缆较长，

20、对集线器（较高；缺点是连接电缆较长，对集线器（HUBHUB）或交换机的依赖性较）或交换机的依赖性较高。高。图图3 3 2 2显示了星型拓扑结构的示意图显示了星型拓扑结构的示意图。3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回上一页3.3.环型拓扑结构环型拓扑结构环型拓扑结构是指每一个工作站都连接在一个封闭的环路中。环型拓扑结构是指每一个工作站都连接在一个封闭的环路中。当一个工作站发出信息时，该信息会依次通过所有的工作站，每个当一个工作站发出信息时，该信息会依次通过所有的工作站，每个工作站在接到该信息时，会对该信息的目标地址和本地地址进行比工作站在接到该信息时，会对该信息的目标地址

21、和本地地址进行比较，若相同，则接收，然后恢复信号的原有强度并继续向下发送；较，若相同，则接收，然后恢复信号的原有强度并继续向下发送；若不同，则不接收，只恢复信号的原有强度并继续向下发送，直到若不同，则不接收，只恢复信号的原有强度并继续向下发送，直到再次发送到起始工作站为止。环型拓扑结构具有信号强度不变的优再次发送到起始工作站为止。环型拓扑结构具有信号强度不变的优点，同时其又具有新增用户较为困难，网络可靠性较差，不易管理点，同时其又具有新增用户较为困难，网络可靠性较差，不易管理的缺点。的缺点。图图3 3 3 3显示了环型拓扑结构的示意图。显示了环型拓扑结构的示意图。3.2 3.2 网络的防火墙设

22、计网络的防火墙设计下一页 返回上一页4.4.树型拓扑结构树型拓扑结构树型网络是星形网络的一种变体。像星形网络一样，网络节点树型网络是星形网络的一种变体。像星形网络一样，网络节点都连接到控制网络的中央节点上。但并不是所有的设备都直接接入都连接到控制网络的中央节点上。但并不是所有的设备都直接接入中央节点，绝大多数节点是先连接到次级中央节点上再连到中央节中央节点，绝大多数节点是先连接到次级中央节点上再连到中央节点上，其结构如点上，其结构如图图3 3 4 4所示。所示。树型拓扑结构就像一棵树型拓扑结构就像一棵“根根”朝上的树，与总线拓扑结构相比，朝上的树，与总线拓扑结构相比，主要区别在于总线拓扑结构中

23、没有主要区别在于总线拓扑结构中没有“根根”。这种拓扑结构的网络一。这种拓扑结构的网络一般采用同轴电缆，用于军事单位、政府部门等上、下界限相当严格般采用同轴电缆，用于军事单位、政府部门等上、下界限相当严格和层次分明的部门。和层次分明的部门。3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回上一页5.5.网状型拓扑结构网状型拓扑结构网状型网络的每一个节点都与其他节点有一条专业线路相连。网状型网络的每一个节点都与其他节点有一条专业线路相连。网状型拓扑广泛用于广域网中。由于网状网络结构很复杂，所以在网状型拓扑广泛用于广域网中。由于网状网络结构很复杂，所以在此只给出图此只给出图3 35 5所示

24、的抽象结构图。所示的抽象结构图。3.2.2 3.2.2 网络设计方法网络设计方法1.1.定义建设网络的目的定义建设网络的目的定义建设网络的目的是网络建设的第一步，它为网络设计工作定义建设网络的目的是网络建设的第一步，它为网络设计工作指明了方向。一般的网络建设都有以下几个共同的目的：指明了方向。一般的网络建设都有以下几个共同的目的：3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回上一页 为为InternetInternet用户提供本公司的信息访问，让更多的人了解公用户提供本公司的信息访问，让更多的人了解公司。司。让本公司的员工通过网络共享让本公司的员工通过网络共享InternetIn

25、ternet资源。资源。让本公司的员工通过网络访问共享公司各部门的数据。让本公司的员工通过网络访问共享公司各部门的数据。通过建设网络可以节省办公成本和人员管理成本。通过建设网络可以节省办公成本和人员管理成本。通过建设网络来提高公司生产效率。通过建设网络来提高公司生产效率。3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回上一页2.2.明确需求明确需求一旦定义了网络建设的目的后，就应该对网络安全的需求进行一旦定义了网络建设的目的后，就应该对网络安全的需求进行确认了。典型的网络安全需求包括访问控制、可用性和数据完整性。确认了。典型的网络安全需求包括访问控制、可用性和数据完整性。这里有一些

26、与网络设计相关的问题需要考虑：这里有一些与网络设计相关的问题需要考虑：公司有哪些服务需要对外共享？公司有哪些服务需要对外共享？每个用户和部门需要访问哪些数据？每个用户和部门需要访问哪些数据？部门的安全数据应该放在网络的哪个位置上？部门的安全数据应该放在网络的哪个位置上？哪些用户或部门可以访问哪些用户或部门可以访问InternetInternet？网络性能需要达到什么样的级别？网络性能需要达到什么样的级别？3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回上一页 用户希望什么样的服务水平？用户希望什么样的服务水平？本网络希望什么样的技术支持？本网络希望什么样的技术支持？3.3.预算预算

27、网络可用性需求确定后，就可以做一个预算来估计投资、维护网络可用性需求确定后，就可以做一个预算来估计投资、维护费用以及人工费用。设计以及实施一个可用性达到费用以及人工费用。设计以及实施一个可用性达到99.9999%99.9999%的网络的网络比一个只需要比一个只需要99.9%99.9%网络需要更高的费用。在实际当中，预算通常是网络需要更高的费用。在实际当中，预算通常是在项目筹划时制定的。项目体系结构完成后对预算再做一些调整会在项目筹划时制定的。项目体系结构完成后对预算再做一些调整会更加理想，因为这样会使其更为准确。另外，创建预算时，一定要更加理想，因为这样会使其更为准确。另外，创建预算时，一定要

28、考虑管理和维护网络以及安全的人工时间。考虑管理和维护网络以及安全的人工时间。3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回上一页4.4.完成设计完成设计完成上述步骤后就可以创建一个详细的网络设计。网络设计文完成上述步骤后就可以创建一个详细的网络设计。网络设计文档应该详细描述网络，具体细节包括以下几方面：档应该详细描述网络，具体细节包括以下几方面：安全特性。安全特性。所有组件的制造特性。所有组件的制造特性。局域网和广域网连接要求的带宽。局域网和广域网连接要求的带宽。IPIP地址和子网划分。地址和子网划分。EGPEGP和和IGPIGP特性。特性。冗余性。冗余性。3.2 3.2 网络的

29、防火墙设计网络的防火墙设计下一页 返回上一页 网络管理系统（网络管理系统（Network Management SystemNetwork Management System，NMSNMS）。）。服务水平协议（服务水平协议（SLASLA）的测量、处理和技术。）的测量、处理和技术。5.5.创建实施计划创建实施计划复杂的网络设计要花费非常多的时间去理解和实施，因此，在复杂的网络设计要花费非常多的时间去理解和实施，因此，在网络设计时尽量避免过于复杂的结构或流程。实际上，实施计划是网络设计时尽量避免过于复杂的结构或流程。实际上，实施计划是由详细的网络设计文档转化而来的。在很多情况下，由于设计和实由详细

30、的网络设计文档转化而来的。在很多情况下，由于设计和实施的复杂性，设计人员和实施人员必须紧密协作才能保证从设计到施的复杂性，设计人员和实施人员必须紧密协作才能保证从设计到实施的平稳过渡。实施常常要求根据服务的数量和规模划分为不同实施的平稳过渡。实施常常要求根据服务的数量和规模划分为不同的阶段，多个小组和用户的协调对于顺利实施及对用户产生最小的的阶段，多个小组和用户的协调对于顺利实施及对用户产生最小的影响是很必要的。影响是很必要的。3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回上一页实施计划是一个详细的一步一步涵盖每一个设计要求的过程，实施计划是一个详细的一步一步涵盖每一个设计要求的

31、过程，它在实施之前要求先在实验室进行测试，以保证包括了所有的细节它在实施之前要求先在实验室进行测试，以保证包括了所有的细节并且结合得比较紧密。对可用性的要求、资源限制、组织标准都会并且结合得比较紧密。对可用性的要求、资源限制、组织标准都会影响到实验室测试的复杂程度。影响到实验室测试的复杂程度。6.6.测试和确认测试和确认在最后部署设备之前，判断一个设计能否正常工作的最好办法在最后部署设备之前，判断一个设计能否正常工作的最好办法是对其进行测试和确认。是对其进行测试和确认。一个独立的测试确认实验室可用于比较不同的销售商的产品、一个独立的测试确认实验室可用于比较不同的销售商的产品、测试配置和新方法、

32、确认共用性。此外，在设备部署之前也要对维测试配置和新方法、确认共用性。此外，在设备部署之前也要对维护进行测试，这样可以减少由于服务中断导致的风险。护进行测试，这样可以减少由于服务中断导致的风险。3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回上一页3.2.3 3.2.3 网络防火墙的设计网络防火墙的设计1.1.防火墙要能确保满足的目标防火墙要能确保满足的目标防火墙在实施安全的过程中是至关重要的。一个防火墙策略要防火墙在实施安全的过程中是至关重要的。一个防火墙策略要符合符合4 4个目标，而每个目标通常都不是通过一个单独的设备或软件来个目标，而每个目标通常都不是通过一个单独的设备或软件

33、来实现的。大多数情况下，防火墙的组件放在一起使用以满足公司安实现的。大多数情况下，防火墙的组件放在一起使用以满足公司安全目的的需求。防火墙要能确保满足以下全目的的需求。防火墙要能确保满足以下4 4个目标：个目标：3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回上一页（1 1）创建一个安全策略）创建一个安全策略防火墙的主要意图是强制执行你的安全策略。在前面提到过在防火墙的主要意图是强制执行你的安全策略。在前面提到过在适当的网络安全中安全策略的重要性。如果安全策略只需对适当的网络安全中安全策略的重要性。如果安全策略只需对MAILMAIL服服务器的务器的SMTPSMTP流量做些限制，那么

34、就只要直接在防火墙强制这些策略。流量做些限制，那么就只要直接在防火墙强制这些策略。（2 2）创建一个阻塞点）创建一个阻塞点 防火墙在一个公司私有网络和外部网络间建立一个检查点。这防火墙在一个公司私有网络和外部网络间建立一个检查点。这种实现要求所有的流量都要通过这个检查点。一旦这些检查点清楚种实现要求所有的流量都要通过这个检查点。一旦这些检查点清楚地建立，防火墙设备就可以监视、过滤和检查所有进来和出去的流地建立，防火墙设备就可以监视、过滤和检查所有进来和出去的流量。网络安全产业称这些检查点为阻塞点。量。网络安全产业称这些检查点为阻塞点。3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回

35、上一页通过强制所有进出流量都通过这些检查点，网络管理员可以集通过强制所有进出流量都通过这些检查点，网络管理员可以集中在较少的地方来实现安全目的。如果没有这样一个供监视和控制中在较少的地方来实现安全目的。如果没有这样一个供监视和控制信息的检查点，系统或安全管理员则要在大量的地方来进行监测。信息的检查点，系统或安全管理员则要在大量的地方来进行监测。检查点的另一个名字叫做网络边界。检查点的另一个名字叫做网络边界。（3 3）记录）记录InternetInternet活动活动 防火墙还能够强制日志记录，并且提供警报功能。通过在防火防火墙还能够强制日志记录，并且提供警报功能。通过在防火墙上实现日志服务，安

36、全管理员可以监视所有从外部网或互联网的墙上实现日志服务，安全管理员可以监视所有从外部网或互联网的访问。好的日志策略是实现适当网络安全的有效工具之一。防火墙访问。好的日志策略是实现适当网络安全的有效工具之一。防火墙对于管理员进行日志存档提供了更多的信息。对于管理员进行日志存档提供了更多的信息。3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回上一页（4 4）限制网络暴露）限制网络暴露 防火墙在内部网络周围创建了一个保护的边界。并且对于公网防火墙在内部网络周围创建了一个保护的边界。并且对于公网隐藏了内部系统的一些信息以增加保密性。当远程节点侦测内部网隐藏了内部系统的一些信息以增加保密性。

37、当远程节点侦测内部网络时，它们仅仅能看到防火墙。远程设备将不会知道内部网络的布络时，它们仅仅能看到防火墙。远程设备将不会知道内部网络的布局以及都有些什么。防火墙提高认证功能和对网络加密来限制网络局以及都有些什么。防火墙提高认证功能和对网络加密来限制网络信息的暴露。通过对所能进来的流量实行源检查，以限制从外部发信息的暴露。通过对所能进来的流量实行源检查，以限制从外部发动的攻击。动的攻击。3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回上一页2.2.考虑的事项考虑的事项 性能需要在充分的安全性能需要在充分的安全/防火墙和数据访问之间作精心的平防火墙和数据访问之间作精心的平衡。在访问列表

38、或过滤处理中应用的安全水平越高，性能就会越差。衡。在访问列表或过滤处理中应用的安全水平越高，性能就会越差。过滤器在使用过滤器在使用IPIP地址进行访问控制时效率较高。然而，对于地址进行访问控制时效率较高。然而，对于许多设备来说，过滤表越长，需要对每个包进行检查的时间就越长。许多设备来说，过滤表越长，需要对每个包进行检查的时间就越长。系统提供过滤服务的速度能达到千兆。性能受不同因素影响系统提供过滤服务的速度能达到千兆。性能受不同因素影响会有所区别，这些因素包括使用了多少过滤器、软件对包的扫描有会有所区别，这些因素包括使用了多少过滤器、软件对包的扫描有多深（多深（OSIOSI模型三层到七层）、流量

39、的类型。模型三层到七层）、流量的类型。3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回上一页 加密和解密会产生延迟。加密和解密会产生延迟。阻止对某些端口的访问是保证性能的有效手段，但这将同样阻止对某些端口的访问是保证性能的有效手段，但这将同样会阻止那些使用这些端口的应用。会阻止那些使用这些端口的应用。3.3.设计网络防火墙的技术设计网络防火墙的技术设计网络边界时可采用不同的技术，以提供不同层次的安全、设计网络边界时可采用不同的技术，以提供不同层次的安全、服务和性能。下面是防火墙设计中常见的技术类型，可以提供出色服务和性能。下面是防火墙设计中常见的技术类型，可以提供出色的安全。的安全

40、。非军事区（非军事区（DMZDMZ）。）。堡垒主机。堡垒主机。过滤网关。过滤网关。3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回上一页（1 1）非军事区）非军事区 非军事区是一段网络，它允许非军事区是一段网络，它允许InternetInternet流量出入流量出入IntranetIntranet，同，同时仍能保证时仍能保证IntranetIntranet的安全。的安全。DMZDMZ（Demilitarized ZoneDemilitarized Zone）提供了在）提供了在InternetInternet和和IntranetIntranet之间的缓冲。之间的缓冲。DMZDMZ通过

41、使用服务器和第三层设备防止通过使用服务器和第三层设备防止IntranetIntranet直接暴露给直接暴露给InternetInternet，从而提高了安全性。，从而提高了安全性。DMZDMZ中连接的服务器可能包括为内部中连接的服务器可能包括为内部用户提供用户提供WebWeb访问的代理服务器、提供安全远程访问的访问的代理服务器、提供安全远程访问的VPNVPN服务器，服务器，以及其他诸如邮件服务器和域名服务器等。以及其他诸如邮件服务器和域名服务器等。3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回上一页（2 2）堡垒主机）堡垒主机堡垒主机是指在极其关键的位置上用于安全防御的某个系统。

42、堡垒主机是指在极其关键的位置上用于安全防御的某个系统。堡垒主机系统必须检查所有进入的流量并强制执行在安全策略里所堡垒主机系统必须检查所有进入的流量并强制执行在安全策略里所指定的规则，它们还必须准备好对付从外部来的攻击和可能来自内指定的规则，它们还必须准备好对付从外部来的攻击和可能来自内部的资源。堡垒主机系统还有日志记录及警报的特性来阻止攻击。部的资源。堡垒主机系统还有日志记录及警报的特性来阻止攻击。有时检测到一个威胁时也会采取行动。对于此系统的安全要给予额有时检测到一个威胁时也会采取行动。对于此系统的安全要给予额外关注，还要有例行的审计和安全检查。如果攻击者要攻击内部网外关注，还要有例行的审计

43、和安全检查。如果攻击者要攻击内部网络，那他们只能攻击到这台堡垒主机。络，那他们只能攻击到这台堡垒主机。3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回上一页堡垒主机可以是堡垒主机可以是3 3种防火墙中的任一种类型：包过滤，电路级网种防火墙中的任一种类型：包过滤，电路级网关，应用级网关。通常人们使用经过加固的且没有关，应用级网关。通常人们使用经过加固的且没有IPIP转发的系统作转发的系统作为为InternetInternet和和IntranetIntranet间的堡垒主机。间的堡垒主机。InternetInternet和和IntranetIntranet都可以都可以对堡垒主机的数据进

44、行访问，但这两个网络从来不能直接交换数据。对堡垒主机的数据进行访问，但这两个网络从来不能直接交换数据。可以在堡垒主机上放置和更新可以在堡垒主机上放置和更新WebWeb服务，此时堡垒主机会阻止从服务，此时堡垒主机会阻止从InternetInternet到到IntranetIntranet的网络访问。的网络访问。（3 3）过滤网关）过滤网关“过滤网关过滤网关”是一个起防火墙作用的路由器，它通过选择是一个起防火墙作用的路由器，它通过选择TCPTCP和和UDPUDP端口来进行流量的过滤，很多情况下它也阻止端口来进行流量的过滤，很多情况下它也阻止ICMPICMP包。被阻止的包。被阻止的来自来自Inter

45、netInternet的访问主要集中于那些危险性很高的服务。的访问主要集中于那些危险性很高的服务。3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回上一页使用过滤网关是一种非常常用的防止访问使用过滤网关是一种非常常用的防止访问IntranetIntranet的方法。传的方法。传统的防火墙通过在统的防火墙通过在OSIOSI的更高层增加屏蔽网络流量的方式拓展了过滤的更高层增加屏蔽网络流量的方式拓展了过滤网关的概念。网关的概念。4.4.设计规则设计规则 当构造防火墙设备时，经常要遵循下面两个主要的概念：第一，当构造防火墙设备时，经常要遵循下面两个主要的概念：第一，保持设计的简单性；第二，要

46、计划好一旦防火墙被渗透应该怎么办。保持设计的简单性；第二，要计划好一旦防火墙被渗透应该怎么办。3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回上一页（1 1）保持设计的简单性）保持设计的简单性 一个黑客渗透系统最常见的方法就是利用安装在堡垒主机上不一个黑客渗透系统最常见的方法就是利用安装在堡垒主机上不注意的组件。建立你的堡垒主机时要尽可能使用较小的组件，无论注意的组件。建立你的堡垒主机时要尽可能使用较小的组件，无论硬件还是软件。堡垒主机的建立只需提供防火墙功能。在防火墙主硬件还是软件。堡垒主机的建立只需提供防火墙功能。在防火墙主机上不要安装像机上不要安装像WebWeb服务的应用程序

47、。要删除堡垒主机上所有不必需服务的应用程序。要删除堡垒主机上所有不必需的服务或守护进程。在堡垒主机上运行少量的服务给潜在的黑客很的服务或守护进程。在堡垒主机上运行少量的服务给潜在的黑客很少的机会穿过防火墙。少的机会穿过防火墙。3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回上一页（2 2）安排事故计划）安排事故计划 如果已设计好防火墙性能，并且规定只有通过防火墙才能允许如果已设计好防火墙性能，并且规定只有通过防火墙才能允许公共访问内部网络。当设计防火墙时，安全管理员要对防火墙主机公共访问内部网络。当设计防火墙时，安全管理员要对防火墙主机崩溃或危及的情况做出计划。如果仅仅是用一个防火

48、墙设备把内部崩溃或危及的情况做出计划。如果仅仅是用一个防火墙设备把内部网络和公网隔离开，那么黑客渗透进防火墙后就会对内部的网络有网络和公网隔离开，那么黑客渗透进防火墙后就会对内部的网络有着完全访问的权限。为了防止这种渗透，要设计几种不同级别的防着完全访问的权限。为了防止这种渗透，要设计几种不同级别的防火墙设备。不要依赖一个单独的防火墙保护单独的网络。火墙设备。不要依赖一个单独的防火墙保护单独的网络。3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回上一页5.45.4种常见的防火墙设计种常见的防火墙设计4 4种常见的防火墙设计都提供一个确定的安全级别，一个简单的种常见的防火墙设计都提供

49、一个确定的安全级别，一个简单的规则是越敏感的数据就要采取越广泛的防火墙策略，这规则是越敏感的数据就要采取越广泛的防火墙策略，这4 4种防火墙的种防火墙的实施都是建立一个过滤的矩阵和能够执行和保护信息的点。这实施都是建立一个过滤的矩阵和能够执行和保护信息的点。这4 4种选种选择是：择是：筛选路由器。筛选路由器。单宿主堡垒主机。单宿主堡垒主机。双宿主堡垒主机。双宿主堡垒主机。屏蔽子网。屏蔽子网。3.2 3.2 网络的防火墙设计网络的防火墙设计下一页 返回上一页筛选路由器的选择是最简单的，因此也是最常见的，大多数公筛选路由器的选择是最简单的，因此也是最常见的，大多数公司至少使用一个筛选路由器作为解决

50、方案，因为所有需要的硬件已司至少使用一个筛选路由器作为解决方案，因为所有需要的硬件已经投入使用。用于创建筛选主机防火墙的两个选择是单宿主堡垒主经投入使用。用于创建筛选主机防火墙的两个选择是单宿主堡垒主机和双宿主堡垒主机。不管是电路级还是应用级网关的配置，都要机和双宿主堡垒主机。不管是电路级还是应用级网关的配置，都要求所有的流量通过堡垒主机。最后一个常用的方法是筛选子网防火求所有的流量通过堡垒主机。最后一个常用的方法是筛选子网防火墙，利用额外的包过滤路由器来达到另一个安全的级别。墙，利用额外的包过滤路由器来达到另一个安全的级别。在企业组织中，常常有两个不同的防火墙：外围防火墙和内部在企业组织中，