防火墙原理及其配置.ppt

第六章 防火墙原理及其配置; 引例 ：亚东制药防火墙防御体系 北京亚东生物制药成立于1991 年，为股份制企业，拥有员工300 余人，是以一大批教授、 高级工程师、主任药师为核心的高新技术企业。其科研生产基地坐落于北京昌平科技园区，拥有国内先进 制药生产设备，生产有胶囊、颗粒、丸剂、口服液等剂型，分装车间共16000m，并具有国内先进水平 的年处理中药材6000t 的中药提取车间及配套的生产设备。该公司以科研生产生物制品、中成药为主，全厂已通过国家药品监督管理局认证中心组织的GMP 认证。 ; 1．现状概述 亚东药业现今在大兴有一个制药厂，在海淀区有一个公司，网络中心在海淀公司之内。公司内有近 200 台普通客户端和数台效劳器(主要是OA、VPN、财务)，公司同大兴厂通过VPN 专线进行互联。由于专线在和工厂互联的同时也承担公司日常办公任务，所以经常会遭到来自互联网络的攻击或入侵。 ;2．需求分析 如果办公网络遭受入侵，将很有可能导致各部门的机密资料外泄，甚至泄露重要的商业机密。防火墙是抵御黑客的第一道防线，可检查进出的数据包，透视应用层协议，与既定的平安策略进行比较。防火墙 可以提供用户认证、负载均衡、网络地址翻译(NAT)等功能，是保证网络初步平安必不可少的设备。如果第一道防线没有经过平安的配置，这道防线就形同虚设，那么这个网络就没有平安性可言了。 ;3．系统平安目标 基于以上的分析，瑞星公司认为亚东制药的网络系统平安应该实现以下目标。 ①建立一套完整可行的网络平安与网络管理策略。 ②将亚东制药局域网、公司效劳器组和公司办公网进行有效隔离，防止公司局域网、公司效劳器组和公司办公网络的直接通信。 ③建立办公网络各主机和效劳器的平安保护措施，保证系统平安。; ④对网上效劳请求内容进行控制，使非法访问在到达主机前被拒绝。 ⑤加强合法用户的访问认证，同时将用户的访问权限控制在最低限度。 ⑥加强对各种访问的审计工作，详细记录对网络、公开效劳器的访问行为，形成完整的系统日志。 ⑦加强网络平安管理，提高系统全体人员的网络平安意识和防范技术。 ;4．方案设计概述 根据需求，在方案中将防火墙系统保护的平安区域定义为亚东制药公司及大兴制药厂；防火墙部署在 亚东制药公司边界网关处，即公司局域网及外连路由器之间；防火墙部署采用“路由〞模式加NAT 的模式。通过对网络系统的平安风险、平安需求以及平安目标的分析，结合亚东制药网络的实际情况，在亚东制药局域网系统中，应该着重考虑对公司效劳器组区域和公司内部办公网络区域进行平安防护；同时对于亚东制药局域网各部门机构效劳器组网络要考虑数据的必威体育官网网址性和完整性；对于亚东制药办公网络要考虑效劳器的平安性。建议在总部和制药厂之间使用防火墙系统进行平安保护，做到万无一失。 ;6.1 防火墙的概述6.1.1 防火墙的定义;防火墙根本要求：;防火墙实际上是一种访问控制技术，它在一个被认为是平安、可信的内部网络和一个 不平安、可信的外部网络之间设置障碍，阻止对信息资源的非法访问，也可以阻止必威体育官网网址信息从受保护网络上被非法输出。它能允许用户“同意〞的人和数据进入用户的网络，同时将用户“不同意〞的人和数据拒之网外。防火墙是一类防范措施的总称，不是一个单独的计算机程序或设备。在物理上，它通常是一组硬件设备和软件的多种组合；在逻辑上，它是别离器、限制器和分析器的组合，它有效地监控了内部网和公众网之间的任何活动。 ; 在Internet 上应用防火墙可以构造一种非常平安的网络拓扑，如图 6.1 所示。它安装在信任网络和非信任网络之间，通过它可以隔离非信任网络(即Internet 或局域网的一局部)与信任网络(局域网)的连接，同时不会阻碍人们对非信任网络的访问。 ;内部可信任网络;6.1.2 防火墙的功能 防火墙具有如下几个根本功能 1．访问控制 防火墙是网络平安的屏障，通过设置防火墙的过滤规那么，可以实现对数据流的访问控制。例如，允许内部网的用户只能够访问外部网的Web 效劳器。 2．防火墙可以强化网络平安策略 通过以防火墙为中心的平安方案配置，可以将所有平安软件(如口令、加密、身份认证、审计等)配置在防火墙上。 ;3．对网络存取和访问进行监控审计 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集网络的使用和误用情况也是非常重要的，首先可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足；另外，网