浅谈网络安全规划.ppt

网络安全规划 2013.6 主要内容 什么是网络安全 网络防火墙技术 网络防病毒技术 网络加密技术 入侵检测系统 企业防黑五大策略 10.2 网络防火墙技术 10.3 网络防病毒技术 10.6 企业防黑五大策略 10.2.3 防火墙的基本配置 NGFW4000有3个标 准端口，其中一个接外 网（Internet网），一 个接内网，一个接 DMZ区，在DMZ区中 有网络服务器。 网络拓扑结构 1．配置管理端口 ? 天融信网络卫士NGFW4000防火墙是由防火墙和管理器 组成的，管理防火墙都是通过网络中的一台电脑来实现的。 防火墙默认情况下，3个口都不是管理端口，所以我们先要 通过串口把天融信网络卫士NGFW4000防火墙与我们的电 脑连接起来，给防火墙指定一个管理端口，以后对防火墙的 设置就可以通过远程来实现了。 使用一条串口线把电脑的串口（COM1）与NGFW4000防火墙的console口连接起来，启动电脑的“超级终端”，端口选择COM1，通信参数设置为每秒位数9600，数据位8，奇偶校验无，停止位1，数据流控制无。 进入超级终端的界面，输入防火墙的密码进入命令行格式。 ? 定义管理口：if eth1 XXX.XXX.XXX.XXX 修改管理口GUI的登录权限： fire client add topsec -t gui -a 外网 -i -55 2.使用GUI管理软件配置防火墙 （1）定义网络区域 ?Internet（外网）：接在eth0上，缺省访问策略为any（即缺省可读、可写），日志选项为空，禁止ping、GUI、telnet。 Intranet（内网）：接在eth1上，缺省访问策略为none（不可读、不可写），日志选项为记录用户命令，允许ping、GUI、telnet。 DMZ区：接在eth2上， 缺省访问策略为none（不可读、不可写），日志选项为记录用户命令，禁止ping、GUI、telnet。 （2）定义网络对象 ? 一个网络节点表示某个区域中的一台物理机器。它可以作为访问策略中的源和目的，也可以作为通信策略中的源和目的。 FTP_SERVER：FTP服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。 HTTP_SERVER：HTTP服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。 MAIL_SERVER：邮件服务器，区域=DMZ，IP地址= XXX.XXX.XXX.XXX。 V_SERVER：外网访问的虚拟服务器，区域=Internet，IP=防火墙IP地址。 insIDSe：表示内网上的所有机器，区域=Intranet， 起始地址=，结束地址=55。 outsIDSe：表示外网上的所有机器，区域=Internet， 起始地址=，结束地址=55。 （3）配置访问策略 在DMZ区域中增加三条访问策略： A、访问目的=FTP_SERVER，目的端口=TCP 21。源=insIDSe，访问权限=读、写。源=outsIDSe，访问权限=读。这条配置表示内网的用户可以读、写FTP服务器上的文件，而外网的用户只能读文件，不能写文件。 B、访问目的=HTTP_SERVER，目的端口=TCP 80。源=insIDSe+outsIDSe，访问权限=读、写。这条配置表示内网、外网的用户都可以访问HTTP服务器。 C、访问目的=MAIL_SERVER，目的端口=TCP 25，TCP 110。源=insIDSe+outsIDSe，访问权限=读、写。这条配置表示内网、外网的用户都可以访问MAIL服务器。 （4）通信策略 由于内网的机器没有合法的IP地址，它们访问外网需要进 行地址转换。当内部机器访问外部机器时，可以将其地址转 换为防火墙的地址，也可以转换成某个地址池中的地址。 （5）特殊端口 （6）其他配置? ? 148,000RMB 138,000RMB 80,000RMB 142,000RMB 市场报价 串口、Telnet、GUI 串口、Telnet、Web、GUI 串口、Telnet、Web、GUI 串口、CLI、Telnet、Web、GUI 管理方式 专用操作系统 专用操作系统 专用操作系统 Screen OS 操作系统 8个 12个 6个 8个 最大支持网络接口 200M 100M 170M 550M 网络吞吐量 300000 600000 130000 130000 并发连接数 路由模式、桥模式 路由模式、桥模式、 混合模式 路由模式、桥模式 路由模式、桥