《防火墙产品配置模型.ppt》由会员分享,可在线阅读,更多相关《防火墙产品配置模型.ppt(14页珍藏版)》请在三一办公上搜索。
1、,Internet/公网,内部网,路由器,控制台,服务器,服务器,服务器,主机,主机,内外网络隔离 截取IP包,根据安全策略控制其进/出 双向网络地址转换(NAT)基于一次性口令对移动访问进行身份识别和控制 IPMAC捆绑,防止IP地址的滥用,安全记录 通信事件记录 操作事件记录 违规事件记录 异常情况告警,移动用户,拨号用户,局域网用户,防火墙,(内部地址),(内部地址),路由器,HTTP服务器,DNS服务器,Email服务器,防火墙,DMZ区,内部专用网络,防火墙管理器,外部网络,安装方式之一,安装方式之二,隔离内外网络通信 控制外部用户进入内部专网 限制内部用户出访鉴别移动或异地办公用户
2、的网络访问 支持内部网络主机和服务器采用私有地址,对外界隐藏内部网络拓扑 防止内部主机IP地址的滥用和误用 对来自外部、内部的网络违规和入侵行为进行检测和集中监控 系统安全审计对违规通信、安全事件进行实时报警和处置 统计网络通信流量,并根据策略进行流量控制 采用基于策略的方式对防火墙设备进行配置,产品应用功能,安全公理/定理/推理,公理:所有的程序都有缺陷(摩菲定理)大程序定律:大程序的缺陷甚至比它包含的内容还多推理:一个安全相关程序有安全性缺陷定理:只要不运行这个程序,那么这个程序有缺陷,也无关紧要推理:只要不运行这个程序,那么这个程序有安全性漏洞,也无关紧要定理:对外暴露的计算机,应尽可能
3、少地运行程序,且运行的程序也尽可能地小推论:防火墙基本法则:防火墙必须配置得尽可能地小,才能降低风险。,防火墙配置策略的基本准则,一切未被允许的就是禁止的。防火墙缺省封锁所有的信息流,然后对希望提供的服务逐项开放。优点:实用,安全,可靠性高。按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配从头到尾的匹配方式匹配成功马上停止立刻使用该规则的”接受、禁止、拒绝”,防火墙网络地址转换,202.11.196.16,内部网络地址192.168.0.x,外部网络/Internet地址,网络地址转换,Internet,192.168.1.10,192.168.1.11,内部网,
4、192.168.2.0/255.255.255.0,WWW Server,E_Mail Server,FTP Server,192.168.1.12,202.115.1.33/24,防火墙,202.115.1.36/24,重定向(反向NAT),192.168.2.1/24,192.168.1.1/24,192.168.2.2/24,192.168.0.18800:88:CC:A0:2C:4D,192.168.0.18888:88:88:88:88:88,PASS,NO,IP包,IP包,IP/MAC 地址对应,安全日志,记录用户访问的开始和终止时间记录用户的通信事件,例如主机地址、访问时间、协议
5、等信息记录安全管理员的操作事件记录违规事件,安全VPN系统,网络隔离&加密&入侵检测,认证服务器,安全网关,网络安全管理工作站,各级分支机构,安全网关,安全网关,总部,资源子网,路由器,路由器,各级分支机构,DDN/PSTN,行业及领域专网安全平台,中央总部,省级机构,省级机构,市级机构,市级机构,市级机构,县级机构,业务末端,县级机构,县级机构,业务末端,业务末端,业务末端,县级机构,县级机构,县级机构,市级机构,业务末端,业务末端,业务末端,业务末端,纵向多级专网示意,国家级管理域,省级管理域,公共网络DDN/FR,公共网络DDN/FR,市级管理域,公共网络DDN/FR,县级管理域,公共网络DDN/FR,公共网络DDN/FR,安全VPN产品行业装备示意,
