點(diǎn)擊查看：軟件水平考試《網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師》學(xué)習(xí)筆記匯總

　　防火墻應(yīng)用配置(P581-620)

　　1、防火墻技術(shù)概述

　　(1)防火墻的定義

　　防火墻是設(shè)置在兩個(gè)或多個(gè)網(wǎng)絡(luò)之間的安全阻隔，用于保證本地網(wǎng)絡(luò)資源的安全，通常是飲食軟件部分和硬件部分的一個(gè)系統(tǒng)或多個(gè)系統(tǒng)的組合。

　　(2)防火墻的分類及技術(shù)

　　A、按防火墻的軟硬件形式分類：基于硬件的防火墻、基于軟件的防火墻、嵌入式防火墻。

　　B、按防火墻采用的技術(shù)分類：包過濾型防火墻、應(yīng)用層網(wǎng)關(guān)防火墻、代理服務(wù)型防火墻。

　　2、防火墻體系結(jié)構(gòu)

　　堡壘主機(jī)：是指可能直接面對(duì)外部用戶攻擊的主機(jī)系統(tǒng)，在防火墻體系結(jié)構(gòu)中特指那些處于內(nèi)部網(wǎng)絡(luò)的邊緣，并且暴露于外部網(wǎng)絡(luò)用戶面前的主機(jī)系統(tǒng)。一般來說，堡壘主機(jī)上提供的服務(wù)越少越好。

　　雙重宿主主機(jī)：是指通過不同網(wǎng)絡(luò)接口連入我個(gè)網(wǎng)絡(luò)的主機(jī)系統(tǒng)，又稱為多穴主機(jī)系統(tǒng)。網(wǎng)橋是在數(shù)據(jù)鏈路層實(shí)現(xiàn)互連的雙重宿主主機(jī)，路由器是在網(wǎng)絡(luò)層實(shí)現(xiàn)互連的雙重宿主主機(jī)，應(yīng)用層網(wǎng)關(guān)是在應(yīng)用層實(shí)現(xiàn)互連。

　　周邊網(wǎng)絡(luò)：是指在內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)之間增加的一個(gè)網(wǎng)絡(luò)，也被稱為非武裝區(qū)域(DMZ)。

　　(1)雙生宿主主機(jī)體系結(jié)構(gòu)

　　是指以一臺(tái)雙重宿主主機(jī)作為防火墻系統(tǒng)的主體執(zhí)行分離外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的任務(wù)。

　　優(yōu)點(diǎn)：網(wǎng)絡(luò)結(jié)構(gòu)簡單、安全。

　　缺點(diǎn)：用戶訪問外部資源較為復(fù)雜、外部用戶入侵了雙重宿主主機(jī)，則內(nèi)部網(wǎng)絡(luò)處于不安全狀態(tài)。

　　(2)被屏蔽主機(jī)體系結(jié)構(gòu)

　　是指通過一個(gè)單獨(dú)的路由器和內(nèi)部網(wǎng)絡(luò)上的堡壘主機(jī)共同構(gòu)成防火墻，主要通過數(shù)據(jù)包過濾實(shí)現(xiàn)內(nèi)部、外部網(wǎng)絡(luò)的隔離和對(duì)內(nèi)網(wǎng)的保護(hù)。

　　此結(jié)構(gòu)中，有兩道屏障，一是屏蔽路由器，二是堡壘主機(jī)。

　　優(yōu)點(diǎn)：具有更高的安全性、訪問外部網(wǎng)絡(luò)較為方便和靈活、堡壘主機(jī)可以以更高的效率提供數(shù)據(jù)包過濾或代理服務(wù)。

　　缺點(diǎn)：外部用戶在被允許的情況下可以訪問內(nèi)部網(wǎng)絡(luò)、用戶入侵堡壘主機(jī)則內(nèi)部網(wǎng)絡(luò)不安全、配置較為復(fù)雜較容易形成錯(cuò)誤和漏洞。

　　(3)被屏蔽子網(wǎng)體系結(jié)構(gòu)

　　主要由4個(gè)部件組成，分別為周邊網(wǎng)絡(luò)、外部路由器、內(nèi)部路由器、堡壘主機(jī)。

　　優(yōu)越性：雙層防護(hù)、提高了內(nèi)部安全性、避免了路由器失效產(chǎn)生的安全隱患、用戶只能訪問堡壘主機(jī)提供的服務(wù)、即使入侵堡壘機(jī)也無法進(jìn)入內(nèi)部網(wǎng)絡(luò)。

　　缺點(diǎn)：成本高、配置復(fù)雜。

　　(4)其他體系結(jié)構(gòu)

　　3、分布式防火墻技術(shù)

　　(1)分布式防火墻技術(shù)產(chǎn)生的背景

　　(2)分布式防火墻的結(jié)構(gòu)

　　網(wǎng)絡(luò)防火墻、主機(jī)防火墻、中心管理系統(tǒng)。

　　(3)分布式防火墻的主要特點(diǎn)

　　主機(jī)駐留、嵌入OS、安全策略的統(tǒng)一管理與部署。

　　(4)分布式防火墻的主要優(yōu)勢(shì)

　　增強(qiáng)了系統(tǒng)安全性、提高了系統(tǒng)性能、系統(tǒng)的擴(kuò)展性無限制、實(shí)話主機(jī)策略、應(yīng)用更為廣泛，支持VPN通信。

　　4、防火墻應(yīng)用規(guī)則

　　防火墻具體部署方法要根據(jù)實(shí)際的應(yīng)用需求而定，不是統(tǒng)一的。

　　(1)企業(yè)網(wǎng)絡(luò)體系結(jié)構(gòu)

　　A、企業(yè)網(wǎng)絡(luò)體系結(jié)構(gòu)中的三個(gè)區(qū)域：邊界網(wǎng)絡(luò)、外圍網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)。

　　B、企業(yè)組織中的防火墻及其功能：分為外圍防火墻和內(nèi)部防火墻。外圍防火墻主要提供對(duì)不受信任的外部用戶的限制，而內(nèi)部防火墻主要防止外部用戶訪問內(nèi)部網(wǎng)絡(luò)并且限制內(nèi)部用戶可以執(zhí)行的操作。

　　C、選擇防火墻時(shí)要考慮的因素：預(yù)算方面、現(xiàn)有設(shè)備、可用性、冗余部件、備用設(shè)備、可擴(kuò)展性、所需功能。

　　(2)控制因特網(wǎng)用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問

　　A、網(wǎng)絡(luò)結(jié)構(gòu)中劃分不同的安全級(jí)別

　　內(nèi)部網(wǎng)絡(luò)：是防火墻重點(diǎn)保護(hù)的對(duì)象，是可信區(qū)域。

　　外部網(wǎng)絡(luò)：是防火墻要防備的對(duì)象，是非可信網(wǎng)絡(luò)區(qū)域。

　　DMZ區(qū)域：受保護(hù)的的級(jí)別較低。

　　B、設(shè)置安全策略

　　(3)控制內(nèi)部網(wǎng)絡(luò)不同部門之間的訪問

　　是指在一個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)之間，對(duì)一些安全造敏感的部門或者特殊主機(jī)進(jìn)行的隔離保護(hù)。一種方法是通過配置VLAN實(shí)現(xiàn)邏輯隔離，另一種是采用防火墻進(jìn)行隔離。

　　(4)控制對(duì)服務(wù)器中心的網(wǎng)絡(luò)訪問

　　兩種實(shí)施方案：

　　A、為每個(gè)企業(yè)用戶的服務(wù)器或服務(wù)器群單獨(dú)配置一個(gè)獨(dú)立的防火墻

　　B、采用虛擬防火墻方式。

　　5、內(nèi)部防火墻系統(tǒng)應(yīng)用設(shè)計(jì)

　　(1)網(wǎng)絡(luò)上的用戶分類

　　網(wǎng)絡(luò)上的用戶可以分為：信任用戶、部分信任用戶、不信任用戶。

　　(2)防火墻的類別選擇及考慮事項(xiàng)

　　從功能、設(shè)備屬性、管理功能要求、吞吐量、可用性要求等方面考慮。

　　(3)內(nèi)部防火墻規(guī)則

　　遵循P599-600的19條規(guī)則。

　　(4)內(nèi)部防火墻的可用性需求

　　在內(nèi)部防火墻方案中，根據(jù)具體實(shí)際需求，可以采用不同的防火墻系統(tǒng)配置方案，主要有：

　　A、沒有冗余組件的單一防火墻

　　優(yōu)點(diǎn)：成本低、管理簡單、單個(gè)記錄源

　　缺點(diǎn)：單一故障點(diǎn)、可能的通信瓶頸。

　　B、具有冗余組件的單一防火墻

　　優(yōu)點(diǎn)：可用性有了一定程序的提高。

　　缺點(diǎn)：與無冗余組件的單一防火墻方案基本一樣。

　　C、容錯(cuò)防火墻集--防火墻冗余對(duì)

　　優(yōu)點(diǎn)：容錯(cuò)、集中通信日志、可能的狀態(tài)共享。

　　缺點(diǎn)：復(fù)雜程度增加、配置更復(fù)雜、成本增加。

　　(5)內(nèi)部容錯(cuò)防火墻集配置

　　A、主動(dòng)/被動(dòng)內(nèi)部容錯(cuò)防火墻集

　　一個(gè)設(shè)備(活動(dòng)節(jié)點(diǎn))將處理所有通信，而另一個(gè)設(shè)備(被動(dòng)節(jié)點(diǎn))即不轉(zhuǎn)發(fā)通信也不執(zhí)行篩選，只是保持活動(dòng)，監(jiān)視主動(dòng)節(jié)點(diǎn)的狀態(tài)。類似于服務(wù)器雙機(jī)容錯(cuò)方案中的“冷備份”。

　　優(yōu)點(diǎn)：配置簡單、可預(yù)測故障轉(zhuǎn)移負(fù)載。　　缺點(diǎn)：低利用率。

　　B、主動(dòng)/主動(dòng)內(nèi)部容錯(cuò)防火墻集

　　兩個(gè)或多個(gè)節(jié)點(diǎn)主動(dòng)偵聽發(fā)送到每個(gè)節(jié)點(diǎn)共享的虛擬Ipfbfhr所有請(qǐng)示，與服務(wù)器雙機(jī)容錯(cuò)方案中的“熱備份”類似。

　　優(yōu)點(diǎn)：效率高、吞吐量大�！　∪秉c(diǎn)：可能超負(fù)荷、復(fù)雜程度增加。

　　(6)內(nèi)部防火墻系統(tǒng)設(shè)計(jì)的其他因素要求

　　安全性、可伸縮性、整合、標(biāo)準(zhǔn)的支持。

　　6、外圍防火墻系統(tǒng)應(yīng)用設(shè)計(jì)

　　(1)外圍防火墻規(guī)則

　　遵循P607-608的11條規(guī)則。

　　(2)外圍防火墻系統(tǒng)的可用性要求

　　A、單個(gè)無冗余組件外圍防火墻。　　B、單個(gè)帶冗余組件外圍防火墻。

　　C、外圍容錯(cuò)防火墻集。

　　7、防火墻與DoS/DdoS攻擊

　　(1)防火墻抵御DoS/DdoS攻擊原理

　　A、基于狀態(tài)的資源控制，保護(hù)防火墻資源�！　�B、智能TCP代理有效防范SYN Flood。

　　C、利用Netflow對(duì)DoS攻擊和病毒進(jìn)行監(jiān)測。

　　(2)防火墻抵御DoS/DdoS攻擊配置示例　　注意了解和記憶P612-613的各命令。

　　(3)使用防火墻防御SYN Flood攻擊

　　A、兩種主要類型防火墻的防御原理　　應(yīng)用代理型防火墻、包過濾型防火墻。

　　B、防御SYN Flood攻擊的防火墻設(shè)置　　SYN網(wǎng)關(guān)、被動(dòng)式SYN網(wǎng)關(guān)、SYN中繼。

　　8、防火墻應(yīng)用實(shí)例

　　注意掌握6個(gè)基本命令：

　　nameif、interface、ip address、nat、global、route。

　　相關(guān)推薦：

　　2018年軟考報(bào)名時(shí)間※2018軟考考試安排(全年)

　　考試吧特別策劃：2018年計(jì)算機(jī)軟考報(bào)考指南專題

　　軟考各科目模擬試題及答案※各科目復(fù)習(xí)指導(dǎo)匯總

　　軟考報(bào)考條件※軟考報(bào)名方法※考試大綱※科目

　　歷年軟考真題及答案匯總※軟件水平考試簡介