5 防火墙策略

1防火墙策略2内容与要求•理解网络服务访问策略•理解防火墙设计策略•了解防火墙的安全策略•掌握防火墙的不同工作模式•能力目标•学会设计防火墙策略并配置防火墙不同的工作模式3时间控制策略HostCHostD在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet上班时间可以访问公司的网络Internet4防火墙策略•网络服务访问策略•防火墙设计策略5网络服务访问策略•允许从网站访问因特网，而不允许从因特网访问网站；•允许来自因特网的某种访问，但这种访问只限于特定的系统，例如，信息服务器或电子邮件服务器；•有时会允许来自因特网的某些用户访问某些内部主机，但这种访问策略只有在必要的时候，而且只有在进行高级授权的情况下才使用。6网络服务访问策略•在最高层次，总的组织策略可以叙述为如下原则：•·信息对于组织的良好运营是至关重要的•·为了保证组织信息的机密性、完整性、真实性、有效性和可用性，要尽力采用低价高效的措施。•·对于公司中各个层次的雇员来讲，保护这些信息资源的机密性、完整性和有效性都是需要优先考虑的，是工作责任。•·属于组织的所有信息处理设备只能用于得到批准的目的。7防火墙设计策略•两种基本设计策略：•除非明确不准许，否则准许某种服务—宽松策略除非明确准许，否则将禁止某种服务—限制策略•一道防火墙既可以实施允许式的设计策略。也可以实施限制性的设计策略。8策略举例9需要考虑的问题•为了确定防火墙设计策略，进而构建实现策略的防火墙。应当首先考虑以下几个问题：•需要什么网络服务，如：，E—mail，Telnet等……；•在那里使用这些（或部分）服务，如本地，穿越因特网，从家里或远方的分支机构等……；•是否应当支持拨号入网和加密等服务；•提供这些服务的风险是什么，比如拨号：是本单位的电话交换机，还是市话；•若提供这种保护，可能导致网络上使用的不方便等负面影响，这些影响会有多大，是否值得付出这种代价。•和可用性，灵活性相比单位上把安全性放在什么位置。两种那一个更重要。10注意•许多防火墙策略的排列顺序决定了优先级，排在前面的策略优先执行，根据这个原则，我们要好好设计一下防火墙策略的顺序。•例如，我们写了两条防火墙策略，一条是允许内网用户任意访问，另外一条是拒绝内网用户访问联众游戏网站。如果排列顺序如下图所示，允许策略排在拒绝策略之前，那就是个错误的决定。拒绝访问联众的策略永远不会被执行，因为当用户访问联众时，访问请求匹配第一条防火墙策略，用户就被防火墙放行了，第二条策略根本没有执行的机会。正确的做法是将拒绝策略放到允许策略之前！11防火墙的安全策略•用户账号策略•用户权限策略•信任关系策略•包过滤策略•认证策略•签名策略•数据加密策略•密钥分配策略•审计策略12用户账号策略•用户账号包含的重要信息：用户名、口令、所属组、用户在系统中的权限和资源存取许可。•口令是访问控制的简单而有效的方法。•口令选择原则：13用户账号策略•口令最小长度•口令最长有效期•口令历史•口令存储方式•用户账号锁定方式–在若干次口令错误之后14用户权限策略•用户权限两类：•对执行特定任务用户的授权可应用于整个系统•对特定对象的规定，这些规定限制用户能否或以何种方式存取对象15用户权限策略•备份文件权限•远程/本地登录访问权限•远程/本地关机权限•更改系统时间权限•管理日志权限•删除/还原文件权限•设置信任关系权限•卷管理权限•安装/卸载设备驱动程序权限16信任关系策略•信任关系是两个域中一个域信任另一个域，包含：信任域和被信任域。•信任域可允许被信任域中的用户访问其网络中的资源。17包过滤策略•1.包过滤控制点的设置：OSI模型的2-7层•2.包过滤操作过程•a.定义包过滤规则•b.将规则存储在设备端口•c.设备提取接收到的数据包的头部信息•d.规则以特定的顺序存放•3.包过滤规则•规则的先后顺序对数据包的过滤起着重要的作用，一般先放置在前面。18包过滤策略•如，要求在防火墙上阻止hostA发给hostC的UDP数据包，按照下面的规则顺序是不能实现的。UDPBlockHostCHostAUDPPassHostCHostADestinationProtocolPermitSource19包过滤策略•4.防止两类不安全设计•第一种，地址欺骗；•第二种，在输入输出接口两个方向的过滤。源接口目的接口服务模式wan1wan2ping允许wan2wan1ping允许5.特定协议数据包的过滤20审计策略•成功或者不成功的登录事件•成功或者不成功的对象访问•成功或者不成功的目录服务访问•成功或者不成功的特权使用•成功或者不成功的系统事件•成功或者不成功的账户管理事件21受保护网络Internet如果防火墙支持透明模式，则内部网络主机的配置不用调整HostA199.168.1.2HostC199.168.1.4HostD199.168.1.5HostB199.168.1.3199.168.1.8同一网段透明模式下，这里不用配置IP地址透明模式下，这里不用配置IP地址DefaultGateway=199.168.1.8防火墙相当于网桥，原网络结构没有改变透明接入22受保护网络InternetHostA199.168.1.2HostC199.168.1.4HostD199.168.1.5HostB199.168.1.3199.168.1.8DefaultGateway=199.168.1.8防火墙相当于一个简单的路由器203.12.34.56203.12.34.57提供简单的路由功能199.168.1.8路由接入23实验•防火墙策略的设置