一:防火牆部署
防火牆常見的部署有三種:透明模式也叫橋模式、路由模式也叫網關模式或三層模式、NAT模式。
(1)透明模式(橋模式):
最簡單的網絡由客戶端和服務器組成,客戶端和服務器處於同一網段。為了安全方面的考慮,在客戶端和服務器之間增加了防火牆設備,對經過的流量進行安全控制。正常的客戶端請求通過防火牆送達服務器,服務器將響應返回給客戶端,用戶不會感覺到中間設備的存在。工作在橋模式下的防火牆沒有IP地址,當對網絡進行擴容時無需對網絡地址進行重新規划,但犧牲了路由、VPN等功能。
個人理解簡化:防火牆在客戶端和服務器之間相當於連通的線,對所流經的流量進行完全控制(攔截和過濾)。
(2)路由模式(網關模式或三層模式):
適用於內外網不在同一網段的情況,防火牆設置網關地址實現路由器的功能,為不同網段進行路由轉發。網關模式相比橋模式具備更高的安全性,在進行訪問控制的同時實現了安全隔離,具備了一定的私密性。
個人理解簡化:防火牆相當於一個路由器,控制內外網兩個網段的通信流量,同時實現安全隔離。
(3)NAT模式:
NAT(Network Address Translation)地址翻譯技術由防火牆對內部網絡的IP地址進行地址翻譯,使用防火牆的IP地址替換內部網絡的源地址向外部網絡發送數據;當外部網絡的響應數據流量返回到防火牆后,防火牆再將目的地址替換為內部網絡的源地址。NAT模式能夠實現外部網絡不能直接看到內部網絡的IP地址,進一步增強了對內部網絡的安全防護。同時,在NAT模式的網絡中,內部網絡可以使用私網地址,可以解決IP地址數量受限的問題。
個人理解簡化:防火牆相當於中間介質,外網訪問內網時,外網流量到防火牆,然后防火牆再映射到內網主機實現訪問,使外部網絡不能直接看到內部網絡的IP地址增強了對內部網絡的安全防護。
二:防火牆等保三級要求配置:
1、周期性備份
2、重命名
3、修改默認密碼
4、記錄日志(操作日志、運行日志、安全日志)
5、策略不能存在any到any
6、登錄失敗處理(可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施)
7、更新(規則庫和版本更新到最新)
8、用戶權限分離
9、IP限制
10、關閉不必要的服務(盡量能使用https,改端口)