防火墙配置规范.ppt

《防火墙配置规范.ppt》由会员分享，可在线阅读，更多相关《防火墙配置规范.ppt（13页珍藏版）》请在三一办公上搜索。

1、2012年4月19日,防火墙配置规范,1.防火墙端口使用2.防火墙路由配置3.防火墙策略配置4.防火墙地址转换5.防火墙本身安全6.外联区网络部署规范,总体结构,1.主备防火墙连接端口 防火墙在主备模式时，互联端口使用最后一个可用端口；2.不同安全域使用端口 防火墙业务使用端口，按照安全域由高到底，防火墙端口由前往后顺序使用；3.与其他网络设备连接方式 防火墙与其他网络设备采用口字形连接。,防火墙端口使用,防火墙路由配置,1.与相邻网络设备之间的路由 防火墙与其他网络设备之间一般采用静态路由；2.防火墙内部路由配置清晰 配置防火墙的路由时，路由配置清晰明了，不能出现重复的路由。,防火墙策略配置

2、,1.基本安全策略 一切没有允许的服务都是禁止的，策略只允许通过 必要的数据，控制双向数据流，同时建议在防火墙最后增加一条拒绝所有数据经过的策略；,防火墙策略配置,2.规则尽量简单清晰 规则力求简单清晰，在满足业务需求的情况下，规则尽量简单，避免出现策略互相重叠、包容甚至冲突的情况，同时可以通过增加注释、使用策略组等方式增加清晰度；3.策略次序安排 按照业务的重要性，策略由前往后。,防火墙地址转换,1.地址转换通过防火墙进行不同安全区域的隔离，数据在经过防火墙后必须进行地址转换。2.地址转换方式 防火墙映射地址建议采用DIP的转换方式而非MIP的转换方式。,防火墙地址转换,2.地址转换方式防火

3、墙地址转换采用一一对应的方式，区域一的同一IP地址映射到另一区域时的映射地址保持不变，例如Trust域的地址A经过防火墙映射到Untrust域为A1，Untrust 域的B经过防火墙映射到Trust域为B1 A访问B时：在防火墙Trust域A访问B1，经过防火墙映射后在Untrust域变为A1访问B；B同时需要访问A时：在防火墙Untrust域B访问A1，经过防火墙映射后在Untrust域为B1访问A，此时的A1和B1需与A访问B时防火墙转换的A1和B1地址相同,防火墙地址转换,2.地址转换方式,防火墙本身安全,1.拒绝非安全域访问 不允许非安全域主机访问防火墙2.设置授信地址 允许哪些位于安全域的主机来访问防火墙，对防火墙进行操作,外联区网络部署规范,1.外联第三方2.外联交换机及路由器配置思路3.外联防火墙配置4.DMZ交换机5.内联防火墙6.生产/管理接入7.测试接入,外联区网络部署规范,谢谢！,