返回
防火墙+ips解决方案

防火墙+ips解决方案

ID:10079535

大小:836.00 KB

页数:17页

时间:2018-05-24

防火墙+ips解决方案_第1页
防火墙+ips解决方案_第2页
防火墙+ips解决方案_第3页
防火墙+ips解决方案_第4页
防火墙+ips解决方案_第5页
资源描述:

《防火墙+ips解决方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、XX客户网络出口安全建议书2007-4-7XX客户网络出口安全建议书XX客户网络现状及建议1.XX客户网络出口现状XX客户网络拓扑如下图所示:xx客户网络平台已经搭建完毕,内部终端通过Internet出口连接外部网络,实时获取外部信息,企业业务通过网络出口进行,因此保证网络出口的安全至关重要,而现在网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性,决定了网络安全威胁的客观存在。目前安全设施的空缺导致网络缺乏足够的安全防护。2.XX客户网络出口安全建议建立公网出口完善的网络安全层次:杭州华三通信技术有限公司http://www.huawei-3com.

2、com第17页XX客户网络出口安全建议书图INTERNET出口完善的安全层次根据国际标准化组织ISO的OSI模型,网络通讯过程被分为7各层次,如果希望完善网络出口的安全层次,必须要对OSI网络通信模型的每一层进行覆盖,目前部署的防火墙其软硬件设计为工作在OSI模型的2-4层,为了完善网络出口安全层次,还需要部署入侵防御系统覆盖OSI网络通信模型的4-7层。l防火墙防火墙的作用是防止外部网络上的非授权用户访问内部网络,多数防火墙都可以有选择地保护一个或多个周边网络(也称为非军管区,DMZ)。防火墙对访问外部网络的限制最低,对访问周边网络非军管区的限制次之,对访问内部网

3、络的限制最高,可提供三个不同层次的安全组网模式。只有有效充分的利用防火墙和安全政策才能保证受保护网络(信任网络)和非保护网络(不可信任网络)之间所有流量的安全有效控制,这样防火墙在抵御外部网络对内部网络的攻击窃取的同时,还可控制内部网络用户是否可以合法的访问外部Internet,以及怎样借助防火墙提供的特性实施安全政策等。防火墙保护网络的方法如下图所示,这种方法允许实施带外连接并安全接入互联网。杭州华三通信技术有限公司http://www.huawei-3com.com第17页XX客户网络出口安全建议书网络中的防火墙应用在这种体系结构中,防火墙将形成受保护网络和不受

4、保护网络之间的边界。受保护网络和不受保护网络之间的所有流量都通过防火墙实现安全性。防火墙允许用户在受保护网络内确定服务器的位置,例如用于WWW接入、SNMP、电子邮件(SMTP)的服务器,然后控制外部的哪些用户可以访问这些服务器,这些对服务器系统的访问可以由防火墙进行控制和监视。防火墙一方面用于阻止来自Internet的对受保护网络的未授权或未验证的访问,另一方面允许内部网络用户对Internet在授权范围内的访问,如WWW服务、E-mail服务。现代的许多防火墙还具有其他的一些特性,包括身份鉴别、信息安全处理等。IP层的包过滤通常使用到IP报文的源、目的地址、协议

5、域及相应的源、目的端口、标志域等属性进行组合形成不同的包过滤规则,对IP报文进行过滤,从而决定某类报文能否被转发(通过防火墙)或被丢弃。同样,在NovellIPX和AppleAppleTalk协议中,也可相应地设置各自的包过滤规则。H3C系列防火墙提供了基于接口的包过滤,即可以在一个接口的进出两个方向上对报文进行过滤。同时还提供了基于时间段的包过滤,可以规定过滤规则发生作用的时间范围,比如可设置每周一的8:00至20:00允许FTP报文进入以完成必要的服务,而其余时间则禁止FTP连接。在时间段的设置上,可以采用绝对时间段和周期时间段以及连续时间段和离散时间段配合使用

6、,在应用上具有极大的灵活性。并且这样的时间段可以方便地提供给其他的功能模块使用,如地址转换、IPSec等。地址转换,用来实现私有网络地址与公有网络地址之间的转换。地址转换的优点在于屏蔽了内部网络的实际地址;外部网络基本上不可能穿过地址代理来直接访问内部网络。杭州华三通信技术有限公司http://www.huawei-3com.com第17页XX客户网络出口安全建议书H3C系列防火墙实现的地址转换能够将网内用户发出的报文的源地址全部映射成一个接口的地址,与按需拨号相结合,使局域网内用户通过一台路由器即可轻松上网。H3C系列防火墙支持带访问控制列表的地址转换。通过配置,

7、用户可以指定能够通过地址转换的主机,以有效地控制内部网络对外部网络的访问。结合地址池,还可以支持多对多的地址转换,更有效地利用用户的合法IP地址资源。H3C系列防火墙提供基于报文内容的访问控制,即智能防火墙,能够对应用层的一部分攻击加以检测和防范,包括对于SMTP命令的检测、SYNflooding、PacketInjection的检测。智能防火墙不但对报文的网络层的信息进行检测,还对应用层的协议信息(如FTP)进行检测。当报文通过路由器时,智能防火墙将报文与指定的访问规则进行比较,如果规则允许,报文将接受检查,否则报文直接被丢弃。如果该报文是用于打开一个新的控制

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。