点击查看：软件水平考试《网络规划设计师》学习笔记汇总

　　防火墙应用配置(P581-620)

　　1、防火墙技术概述

　　(1)防火墙的定义

　　防火墙是设置在两个或多个网络之间的安全阻隔，用于保证本地网络资源的安全，通常是饮食软件部分和硬件部分的一个系统或多个系统的组合。

　　(2)防火墙的分类及技术

　　A、按防火墙的软硬件形式分类：基于硬件的防火墙、基于软件的防火墙、嵌入式防火墙。

　　B、按防火墙采用的技术分类：包过滤型防火墙、应用层网关防火墙、代理服务型防火墙。

　　2、防火墙体系结构

　　堡垒主机：是指可能直接面对外部用户攻击的主机系统，在防火墙体系结构中特指那些处于内部网络的边缘，并且暴露于外部网络用户面前的主机系统。一般来说，堡垒主机上提供的服务越少越好。

　　双重宿主主机：是指通过不同网络接口连入我个网络的主机系统，又称为多穴主机系统。网桥是在数据链路层实现互连的双重宿主主机，路由器是在网络层实现互连的双重宿主主机，应用层网关是在应用层实现互连。

　　周边网络：是指在内部网络、外部网络之间增加的一个网络，也被称为非武装区域(DMZ)。

　　(1)双生宿主主机体系结构

　　是指以一台双重宿主主机作为防火墙系统的主体执行分离外部网络与内部网络的任务。

　　优点：网络结构简单、安全。

　　缺点：用户访问外部资源较为复杂、外部用户入侵了双重宿主主机，则内部网络处于不安全状态。

　　(2)被屏蔽主机体系结构

　　是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙，主要通过数据包过滤实现内部、外部网络的隔离和对内网的保护。

　　此结构中，有两道屏障，一是屏蔽路由器，二是堡垒主机。

　　优点：具有更高的安全性、访问外部网络较为方便和灵活、堡垒主机可以以更高的效率提供数据包过滤或代理服务。

　　缺点：外部用户在被允许的情况下可以访问内部网络、用户入侵堡垒主机则内部网络不安全、配置较为复杂较容易形成错误和漏洞。

　　(3)被屏蔽子网体系结构

　　主要由4个部件组成，分别为周边网络、外部路由器、内部路由器、堡垒主机。

　　优越性：双层防护、提高了内部安全性、避免了路由器失效产生的安全隐患、用户只能访问堡垒主机提供的服务、即使入侵堡垒机也无法进入内部网络。

　　缺点：成本高、配置复杂。

　　(4)其他体系结构

　　3、分布式防火墙技术

　　(1)分布式防火墙技术产生的背景

　　(2)分布式防火墙的结构

　　网络防火墙、主机防火墙、中心管理系统。

　　(3)分布式防火墙的主要特点

　　主机驻留、嵌入OS、安全策略的统一管理与部署。

　　(4)分布式防火墙的主要优势

　　增强了系统安全性、提高了系统性能、系统的扩展性无限制、实话主机策略、应用更为广泛，支持VPN通信。

　　4、防火墙应用规则

　　防火墙具体部署方法要根据实际的应用需求而定，不是统一的。

　　(1)企业网络体系结构

　　A、企业网络体系结构中的三个区域：边界网络、外围网络、内部网络。

　　B、企业组织中的防火墙及其功能：分为外围防火墙和内部防火墙。外围防火墙主要提供对不受信任的外部用户的限制，而内部防火墙主要防止外部用户访问内部网络并且限制内部用户可以执行的操作。

　　C、选择防火墙时要考虑的因素：预算方面、现有设备、可用性、冗余部件、备用设备、可扩展性、所需功能。

　　(2)控制因特网用户对内部网络的访问

　　A、网络结构中划分不同的安全级别

　　内部网络：是防火墙重点保护的对象，是可信区域。

　　外部网络：是防火墙要防备的对象，是非可信网络区域。

　　DMZ区域：受保护的的级别较低。

　　B、设置安全策略

　　(3)控制内部网络不同部门之间的访问

　　是指在一个企业内部网络之间，对一些安全造敏感的部门或者特殊主机进行的隔离保护。一种方法是通过配置VLAN实现逻辑隔离，另一种是采用防火墙进行隔离。

　　(4)控制对服务器中心的网络访问

　　两种实施方案：

　　A、为每个企业用户的服务器或服务器群单独配置一个独立的防火墙

　　B、采用虚拟防火墙方式。

　　5、内部防火墙系统应用设计

　　(1)网络上的用户分类

　　网络上的用户可以分为：信任用户、部分信任用户、不信任用户。

　　(2)防火墙的类别选择及考虑事项

　　从功能、设备属性、管理功能要求、吞吐量、可用性要求等方面考虑。

　　(3)内部防火墙规则

　　遵循P599-600的19条规则。

　　(4)内部防火墙的可用性需求

　　在内部防火墙方案中，根据具体实际需求，可以采用不同的防火墙系统配置方案，主要有：

　　A、没有冗余组件的单一防火墙

　　优点：成本低、管理简单、单个记录源

　　缺点：单一故障点、可能的通信瓶颈。

　　B、具有冗余组件的单一防火墙

　　优点：可用性有了一定程序的提高。

　　缺点：与无冗余组件的单一防火墙方案基本一样。

　　C、容错防火墙集--防火墙冗余对

　　优点：容错、集中通信日志、可能的状态共享。

　　缺点：复杂程度增加、配置更复杂、成本增加。

　　(5)内部容错防火墙集配置

　　A、主动/被动内部容错防火墙集

　　一个设备(活动节点)将处理所有通信，而另一个设备(被动节点)即不转发通信也不执行筛选，只是保持活动，监视主动节点的状态。类似于服务器双机容错方案中的“冷备份”。

　　优点：配置简单、可预测故障转移负载。　　缺点：低利用率。

　　B、主动/主动内部容错防火墙集

　　两个或多个节点主动侦听发送到每个节点共享的虚拟Ipfbfhr所有请示，与服务器双机容错方案中的“热备份”类似。

　　优点：效率高、吞吐量大。　　缺点：可能超负荷、复杂程度增加。

　　(6)内部防火墙系统设计的其他因素要求

　　安全性、可伸缩性、整合、标准的支持。

　　6、外围防火墙系统应用设计

　　(1)外围防火墙规则

　　遵循P607-608的11条规则。

　　(2)外围防火墙系统的可用性要求

　　A、单个无冗余组件外围防火墙。　　B、单个带冗余组件外围防火墙。

　　C、外围容错防火墙集。

　　7、防火墙与DoS/DdoS攻击

　　(1)防火墙抵御DoS/DdoS攻击原理

　　A、基于状态的资源控制，保护防火墙资源。　　B、智能TCP代理有效防范SYN Flood。

　　C、利用Netflow对DoS攻击和病毒进行监测。

　　(2)防火墙抵御DoS/DdoS攻击配置示例　　注意了解和记忆P612-613的各命令。

　　(3)使用防火墙防御SYN Flood攻击

　　A、两种主要类型防火墙的防御原理　　应用代理型防火墙、包过滤型防火墙。

　　B、防御SYN Flood攻击的防火墙设置　　SYN网关、被动式SYN网关、SYN中继。

　　8、防火墙应用实例

　　注意掌握6个基本命令：

　　nameif、interface、ip address、nat、global、route。

　　相关推荐：

　　2018年软考报名时间※2018软考考试安排(全年)

　　考试吧特别策划：2018年计算机软考报考指南专题

　　软考各科目模拟试题及答案※各科目复习指导汇总

　　软考报考条件※软考报名方法※考试大纲※科目

　　历年软考真题及答案汇总※软件水平考试简介