4.4 保護(hù)企業(yè)網(wǎng)絡(luò)的邊界安全

單元2網(wǎng)絡(luò)綜合布線系統(tǒng)設(shè)計(jì)單元1網(wǎng)絡(luò)安全系統(tǒng)集成概述目錄單元3網(wǎng)絡(luò)工程設(shè)計(jì)單元5網(wǎng)絡(luò)工程的實(shí)施與測(cè)試驗(yàn)收單元4網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)單元6網(wǎng)絡(luò)系統(tǒng)安全管理某組織采用如圖所示的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（含IP地址規(guī)劃），在網(wǎng)絡(luò)出口方向上部署了一臺(tái)ASA5505?防火墻。在防火墻上規(guī)劃了?inside、outside?和DMZ三個(gè)不同的接口，對(duì)應(yīng)的安全級(jí)別為?100、0、50，使用防火墻默認(rèn)的安全訪問(wèn)策略，這樣組織內(nèi)部與Internet?之間互訪的所有數(shù)據(jù)流，包括組織中的用戶訪問(wèn)Internet?中公網(wǎng)服務(wù)器的Web?資源和公網(wǎng)用戶訪問(wèn)組織的公共Web?資源，都必須接受防火墻的檢查，并根據(jù)配置的規(guī)則來(lái)允許或拒絕數(shù)據(jù)通過(guò)，達(dá)到網(wǎng)絡(luò)邊界安全訪問(wèn)的目?的。

任務(wù)場(chǎng)景

回顧防火墻的基本概念。

分析防火墻的區(qū)域劃分。

學(xué)習(xí)防火墻的工種模式。

研究防火墻的性能指標(biāo)。

探究防火墻在實(shí)際網(wǎng)絡(luò)中的應(yīng)?用。

任務(wù)布置防火墻是一種高級(jí)訪問(wèn)控制設(shè)備，是置于不同網(wǎng)絡(luò)安全域之間（網(wǎng)絡(luò)的邊界上）的一系列部件的組合。它是不同網(wǎng)絡(luò)安全域之間通信流的唯一通道，能根據(jù)組織有關(guān)的安全策略控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。4.4.1防火墻的基本概念

1．防火墻的主要功能（1）網(wǎng)絡(luò)安全的屏障（2）強(qiáng)化網(wǎng)絡(luò)安全策略（3）對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行監(jiān)控審計(jì)（4）防止內(nèi)部信息外泄4.4.1防火墻的基本概念

Internet

2．防火墻的局限性（1）防外不能防內(nèi)（2）不能防范繞過(guò)它的連接（3）不能防御全部威脅（4）不能防御惡意程序和病毒4.4.1防火墻的基本概念

來(lái)自內(nèi)部用戶的攻擊攻擊包沒(méi)有經(jīng)過(guò)防火墻，防火墻無(wú)能為力AttackcodeAttackcode

2．防火墻的局限性（1）防外不能防內(nèi)（2）不能防范繞過(guò)它的連接（3）不能防御全部威脅（4）不能防御惡意程序和病毒4.4.1防火墻的基本概念

繞過(guò)防火墻的攻擊Attackcode攻擊包沒(méi)有經(jīng)過(guò)防火墻，防火墻無(wú)能為力

2．防火墻的局限性（1）防外不能防內(nèi)（2）不能防范繞過(guò)它的連接（3）不能防御全部威脅（4）不能防御惡意程序和病毒4.4.1防火墻的基本概念

%c1%1c防火墻根據(jù)訪問(wèn)控制規(guī)則，判斷為合法訪問(wèn)而將數(shù)據(jù)包放行低版本的IIS將%c1%1c解析為dirc:\并執(zhí)行該命令unicodeattack數(shù)據(jù)驅(qū)動(dòng)型攻擊一臺(tái)硬件防火墻最少有三個(gè)接口：內(nèi)網(wǎng)接口（高安全級(jí)別）、外網(wǎng)接口（低安全級(jí)別）和非軍事化區(qū)DMZ接口（中等安全級(jí)別）。將網(wǎng)絡(luò)劃分為三個(gè)區(qū)域—內(nèi)部網(wǎng)絡(luò)（如LAN）、外部網(wǎng)絡(luò)（如Internet）和DMZ（如放置公共服務(wù)器）。（1）外部網(wǎng)絡(luò)（2）DMZ（3）內(nèi)部網(wǎng)絡(luò)4.4.2防火墻的區(qū)域劃分

防火墻采用何種工作模式是由組織的網(wǎng)絡(luò)環(huán)境決定的，組織需要根據(jù)自己的網(wǎng)絡(luò)情況，合理地確定防火墻的工作模式，并且防火墻采用何種工作模式都不會(huì)影響防火墻的訪問(wèn)控制功能。通常防火墻有三種工作模式：路由模式、透明模式、混合模?式。（1）路由模式（2）透明模式（3）混合模式4.4.3防火墻的工作模式

防火墻采用何種工作模式是由組織的網(wǎng)絡(luò)環(huán)境決定的，組織需要根據(jù)自己的網(wǎng)絡(luò)情況，合理地確定防火墻的工作模式，并且防火墻采用何種工作模式都不會(huì)影響防火墻的訪問(wèn)控制功能。通常防火墻有三種工作模式：路由模式、透明模式、混合模?式。（1）路由模式（2）透明模式（3）混合模式4.4.3防火墻的工作模式

防火墻采用何種工作模式是由組織的網(wǎng)絡(luò)環(huán)境決定的，組織需要根據(jù)自己的網(wǎng)絡(luò)情況，合理地確定防火墻的工作模式，并且防火墻采用何種工作模式都不會(huì)影響防火墻的訪問(wèn)控制功能。通常防火墻有三種工作模式：路由模式、透明模式、混合模?式。（1）路由模式（2）透明模式（3）混合模式4.4.3防火墻的工作模式

防火墻的主要性能參數(shù)是指影響網(wǎng)絡(luò)防火墻包處理能力的參數(shù)。（1）系統(tǒng)性?能。（2）接?口。（3）并發(fā)連接?數(shù)。（4）吞吐?量。（5）安全過(guò)濾帶?寬。（6）支持用戶?數(shù)。4.4.4防火墻產(chǎn)品選型

防火墻的主要性能參數(shù)是指影響網(wǎng)絡(luò)防火墻包處理能力的參數(shù)。（1）系統(tǒng)性?能。（2）接?口。（3）并發(fā)連接?數(shù)。（4）吞吐?量。（5）安全過(guò)濾帶?寬。（6）支持用戶?數(shù)。4.4.4防火墻產(chǎn)品選型

1．單防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu)設(shè)?計(jì)單防火墻DMZ結(jié)構(gòu)將網(wǎng)絡(luò)劃分為?3?個(gè)區(qū)域，內(nèi)網(wǎng)（LAN）、外網(wǎng)（Internet）和DMZ。DMZ是外網(wǎng)與內(nèi)網(wǎng)之間附加的一個(gè)安全區(qū)域，這個(gè)安全區(qū)域也稱為屏蔽子網(wǎng)、過(guò)濾子網(wǎng)等。4.4.5防火墻的應(yīng)用場(chǎng)景

2．雙防火墻DMZ網(wǎng)絡(luò)結(jié)構(gòu)設(shè)?計(jì)如圖所示，防火墻通常與邊界路由器協(xié)同工作，邊界路由器是網(wǎng)絡(luò)安全的第一道屏障。通常的方法是在路由器中設(shè)置數(shù)據(jù)包過(guò)濾和NAT功能，讓防火墻完成特定的端口阻塞和數(shù)據(jù)包檢查，這樣在整體上提高了網(wǎng)絡(luò)性?能。4.4.5防火墻的應(yīng)用場(chǎng)景

3．基于區(qū)域的策略防火?墻區(qū)域是具有類(lèi)似功能或特性的一個(gè)或多個(gè)接口的組，是應(yīng)用防火墻策略的最小單位。ZFW（Zone-BasedPolicyFirewall）是一種基于區(qū)域的防火墻。如果要實(shí)現(xiàn)不同接口之間的通信，只需要把這些接口劃入同一個(gè)區(qū)域，它們之間就可以任意互訪了。4.4.5防火墻的應(yīng)用場(chǎng)景

1.網(wǎng)絡(luò)安全需求分析。2.基本網(wǎng)絡(luò)配置。3.防火墻基本配?置。4.路由配?置。5.NAT配?置。6.防火墻安全策略配?置。7.參加