06防火墙技术与应用【ppt】.ppt

2.天融信某银行金融城域网防火墙方案 目前某银行主要应用业务中，网上银行、电子商务、网上交易系统都是通过因特网公网进行相关操作，由于互联网自身的广泛性、自由性等特点，其系统很可能成为恶意入侵者的攻击目标。银行网络安全的风险来自多个方面。其一，来自互联网的风险。其二，来自外单位的风险。其三，来自不信任域的风险。其四，来自内部网的风险。（详见P162） 鉴于存在以上潜在风险，该银行网络需要防范来自不安全网络或不信任域的非法访问或非授权访问，防范信息在网络传输过程中被非法窃取而造成信息的泄露，并动态地防范各种来自内外网络的恶意攻击，对进入网络或主机的数据实时检测，防范病毒对网络或主机的侵害，针对银行特殊的应用进行特定的应用开发，必须制定完善的安全管理制度，并通过培训等手段来增强员工的安全防范技术及意识。 鉴于以上银行系统可能发生的安全隐患及客户要求，天融信制订出了安全可靠的安全解决方案，首先……其次……再次（详见P163） 除了上述的安全风险外，安全设备本身的稳定性也非常重要。为此天融信安全解决方案中防火墙将采用双机热备的方式，即两台防火墙互为备份，一台是主防火墙，另一台是从防火墙。当主防火墙发送故障时，从防火墙接替主防火墙的工作，从而最大限度地保证用户网络的联通性。 根据该银行的网络结构，天融信把整个网络用防火墙分割成三个物理控制区域，即金融网广域网、独立服务器网络、银行内部网络。以上三个区域分别连接在防火墙的三个以太网接口上，从而通过 防火墙加载访问控制策略，对这三个控制区域间的访问进行限制。主防火墙与从防火墙之间通过Console电缆线相连接，用以进行两台防火墙之间的心跳检测。其拓扑结构如图6－23所示。 1、现状描述 上海某教委教育信息网依托教育信息网络平台，构成了以教委为中心，各学校教学子网、办公子网、宿舍区子网、图书馆子网等组成的网络体系，在在此基础上开展了多样化的教学和科研业务。 目前该网络基础设施已基本建设完成，具有以下几个显著特点：首先是教委信息中心作为校园网的核心面向学生师生，是系统的建设重点；其次各学校校园网数据应用类型比较复杂，主要包括提供网上浏览、电子邮件、远程登录的信息服务系统，提供多媒体网上教学平台的教学应用系统，为各学校综合教务提供服务的办公自动化管理系统，人事信息、教学资源管理应用系统，提供教学科研图书资料的电子图书馆等。 案例实现 2、需求分析 该教委各学校网络的安全建设目前还比较简单，存在着较多的安全隐患，根据各学校的网络和应用特点，从信息安全的角度并结合本学期安全项目建设目标，教委及各学校主要存在以下的安全需 （1）在各学校网络出口处 部署访问控制设备，防止外网非授权数据进入学校内网，实现学校内网和广域网的逻辑隔离。 （2）实现对访问控制设备的集中管理，实现策略统一下发，日志集中存储 （3）建立统一安全管理平台，对全网设备进行有效监控，并对整个安全态势进行感知，实时准确定位安全事件发生源，对信息系统所面临的蠕虫病毒及黑客入侵等网络攻击形成一套监控、预警、发现、响应的机制 （4）建立系统、有效的安全管理制度。 案例实现 3、解决方案 （1）在教委互联网出口处部署两台防火墙，出口处防火墙 采用双机热备方式部署，当一台防火墙崩溃时，另外一台防火墙存有所有会话的备份，从而保证业务的高可用性，如P164图6－24所示。同时，充分发挥防火墙的入侵防御、深度内容过滤、高可用性、管理审计等功能，做到事前可见、事中可控、事后可查。通过设置过滤规则，仅允许外部用户访问特定主机的特定服务端口，有效保护教委教育信息网的内网安全。 （2）在各学校网络边界处部署防火墙，对网络内部的相互访问进行访问控制。确保合法用户正常使用网络资源、防止外部用户非法访问该教委下属各学校的内网，阻止网络攻击和越权访问，确保网络访问在有序和可控的环境下进行。 （3）采用安全管理平台对该网络中的主机设备、网络设备、安全设备等进行集中监控管理，它包括网络拓扑管理、性能管理、故障管理、安全审计、事件和告警管理等功能模块。 案例实现 4.4.1 Web服务器置于防火墙之内 优点 ：将Web服务器装在防火墙内的好处是它得到了 安全保护，不容易被黑客闯入。 缺点 ：这种配置却使得Web服务器不容易被外界所用。 4.4.2 Web服务器置于防火墙之外 为保证内部网络的安全，将Web服务器完全置于防火墙之外是比较合适的。在这种模式中，Web服务器不受保护，但内部网则处于保护之下。 4.4.3 Web服务器置于防火墙之上 优点 ：在防火墙机器上运行Web服务器，可以增强 Web站点的安全性。 缺点 ：一旦服务器出了问题，整个组织和Web站点就 全部处于危险之