返回
网络安全设备最佳部署课件.ppt

网络安全设备最佳部署课件.ppt

ID:57031304

大小:84.00 KB

页数:19页

时间:2020-07-27

网络安全设备最佳部署课件.ppt_第1页
网络安全设备最佳部署课件.ppt_第2页
网络安全设备最佳部署课件.ppt_第3页
网络安全设备最佳部署课件.ppt_第4页
网络安全设备最佳部署课件.ppt_第5页
资源描述:

《网络安全设备最佳部署课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、本节课程掌握那些设备应该被部署以及在那里部署。和设备的相关最佳实践。理解可以部署安全技术的不同平台。了解各种部署方案的优点和缺点。防火墙1,拓扑选项安全性从低到高为:基本的过滤路由器经典的双路由器分武装区DMZ状态防火墙DMZ设计现代三接口防火墙设计多防火墙设计基本过滤路由器最不安全的选项是内部网和外部网之间只有一个过滤点这个设计有很多缺点1,公共服务器位于路由器的内端,意味着如果公共服务器被攻克,它将不经过路由器的过滤而攻击内部系统。2,单过滤路由器是访问控制故障的唯一因素。3,状态过滤的缺乏需要

2、开放大量的端口,才能让大部分应用正常工作。内部网络外部网络基本的ACL经典的双路由器DMZ该设计相对于单路由器的主要好处是:1,公共服务器与内部网络的其余部分分开2,DMZ中一台服务器的陷落并不自动允许攻击内部服务器。攻击者仍然必须经过第二台路由器,该过滤器有比第一台更严格的ACL来设置。3,如果没有状态过滤,内部系统仍然面临攻击。内部网络外部网络详细的ACL基本的ACL公共服务器状态防火墙DMZ设计该设计通过允许内部网络和公共服务器,以及internet之间的强过滤改进了双路由器DMZ设计。部署状

3、态防火墙时,可能会影响网络的连通性,有些防火墙不支持高级路由选择或多播功能,这在某些网络中可能是个问题。该设计中,路由器仍然进行某种过滤,停用不可路由的地址空间并进入入口过滤是两个主要任务。内部网络外部网络基本的ACL状态过滤公共服务器现代三接口防火墙设计该设计提供的最大好处是需要所有的流量都经过防火墙,这包括从外部网络流向公共服务器的流量(前面的设计中,只被带有ACL的路由器保护)如:一名攻击者发现公共服务器的漏洞(在攻击首次通过防火墙后),攻击者仍然必须返回防火墙(使用不同的策略)才能攻击你的内

4、部系统通过向防火墙添加更多的段来修改该设计,使得公共服务器互相隔离。(限制来自公共服务器对内部网络的访问)公共服务器基本的ACL状态过滤内部网络外部网络多防火墙设计该设计主要用于电子商务或其他敏感事务请求。这样的事务通常需要多重信任级别,而不仅是内部,外部和服务器。该设计中,信任服务器组通常支持来自半信任服务器的事务请求。这些半信任服务器为来自非信任服务器的请求提供服务。非信任服务器支持来自internet的请求。Internet用户只能直接访问非信任服务器。从非信任服务器上,他们可以攻击半信任服务

5、器,但是只有很少一部分端口需要支持这两台服务器的交互。如果半信任服务器被攻陷,那么信任服务器就可能从半信任服务器上被攻击。但是同样只有很少的端口。内部网络外部网络公共服务器(非信任)公共服务器(信任)公共服务器(半信任)状态过滤状态过滤基本ACL常规防火墙最佳实践1,明确允许,隐式拒绝部署防火墙的时候,定义必须允许的流量类型远比定义认为应该拒绝的类型安全,任何时间构建ACL的时候,都应尽量遵循这个规则。允许网络需要的流量类型通过,然后否定其他所有流量类型。2,阻止出站公共服务器访问这个最佳实践在三接

6、口防火墙设计中工作的最好,许多攻击要求受害服务器发起到internet的出站访问,达到下列目的完成搜索,感染其他系统,发起DDOS攻击,允许攻击者下载其他工具。使用状态防火墙,很容易就可以阻止此连接。因为服务器通常对来自用户的请求作出响应,通常防火墙中的策略会阻止他们打开新的连接。记住这个规则,web服务器不需要在网络上冲浪客户内部服务器内部用户公共服务器源:内部网络目的:internet端口:任意动作:允许源:internet目的:内部网络端口:80.443.25动作:允许源:公共服务器目的:in

7、ternet端口:任意动作:拒绝代理服务器/内容过滤1,内部用户聚合(基本代理服务器设计)这个拓扑在于对web用户进行认证,聚合用户web流量,并提供一定的高速缓冲功能。代理服务器内部网络外部网络在这个设计中,防火墙访问规则定义了谁能够启动出站web请求,如果让所有用户都必须使用代理,则防火墙上的过滤可以强制执行这个决定。这个设计可以允许某些用户团体直接访问internet,而让其他用户团体通过代理进行访问。该设计好处是通过防火墙的流量小,因为代理服务器上的缓存能够在本地处理某些请求。2,强制执行防

8、火墙的聚合如果由于某些原因希望防火墙强制允许那些设备能够与代理服务器进行通信。。因此可以去掉防火墙第三个接口上的服务器。这样来自用户的流量会流经防火墙到达代理服务器。而后代理服务器就在发出出站请求的时候通过防火墙返回。内部网络外部网络代理服务器3,DMZ代理设计该设计基于SOCKS的代理服务器。该代理服务器可用于不受主防火墙支持的应用程序。请求是使用SOCKS通过状态防火墙,应用程序的特定工作留给SOCKS代理完成。两个重点:1,防火墙不再是internet访问的唯一

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。