收藏
下载资源

{企业通用培训}防火墙技术培训讲义

上传人:精****库 文档编号:140958771 上传时间:2020-08-03 格式:PPTX 页数:86 大小:7.98MB
返回 下载 相关 举报
{企业通用培训}防火墙技术培训讲义_第1页
第1页 / 共86页
{企业通用培训}防火墙技术培训讲义_第2页
第2页 / 共86页
{企业通用培训}防火墙技术培训讲义_第3页
第3页 / 共86页
{企业通用培训}防火墙技术培训讲义_第4页
第4页 / 共86页
{企业通用培训}防火墙技术培训讲义_第5页
第5页 / 共86页
点击查看更多>>
资源描述

《{企业通用培训}防火墙技术培训讲义》由会员分享,可在线阅读,更多相关《{企业通用培训}防火墙技术培训讲义(86页珍藏版)》请在金锄头文库上搜索。

1、联想网御Power V 防火墙技术培训,2011年4月,1,目录,一、联想网御防火墙技术原理培训,二、联想网御Power V 防火墙案例培训,2,防火墙是指设置在不同网络或网络信任域与非信任域之间的一系列功能部件的组合。 通过制订安全策略,它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。 通常是网络安全防护体系的最外一层。,防火墙概念介绍 什么是防火墙?,3,防火墙概念介绍 什么是防火墙?,防火墙能做什么,保障授权合法用户的通信与访问,禁止未经授权的非法通信与访问,记录经过防火墙的通信活动,防火墙不能做什么,不能主动防范新

2、的安全威胁,不能防范来自网络内部的攻击,不能控制不经防火墙的通信与访问,4,防火墙概念介绍 什么是防火墙?,5,防火墙概念介绍 什么是防火墙?,6,透明模式,7,路由模式,8,混合模式,9,数据包的形式: 防火墙能利用包头的信息进行过滤,仅允许符合规则的数据包通过防火墙 规则可细分为源地址/目的地址、源端口/目的端口、协议、连接方向等项目,包过滤技术,10,包过滤技术 什么是状态检测?,每个网络连接包括以下信息:源地址、目的地址;源端口和目的端口;协议类型;连接(会话)状态(如超时时间,TCP连接的状态)等; 防火墙把这些信息统称为状态,能够检测这些状态的防火墙叫做状态检测防火墙。,11,包过

3、滤技术 状态检测的优点?,(与包过滤防火墙相比) 更安全:检查内容 = 包过滤检查内容 + 连接状态 更高效:包过滤收到一个包,检查一遍规则集状态检测先查状态表,再查规则集,12,目录,二、联想网御Power V 防火墙案例培训,13,电子钥匙、证书、串口登录 透明接入 路由/NAT模式 静态路由 IP映射、端口映射 包过滤策略 DHCP,目录,14,案例一 电子钥匙、证书、串口登录,15,联想网御防火墙Web登陆 认证,数字证书,电子钥匙,案例1.电子钥匙、证书、串口登录,16,1.双击随机光盘ikey driver目录下的 INSTDRV.EXE,自动安装电子钥匙驱动。 切记:安装驱动前不

4、要插入USB 电子钥匙。,电子钥匙认证,2.随机光盘administrator目录下的ikeyc程序, 程序 将提示用户输入PIN口令,首次使用默认PIN为“12345678”。,案例1.电子钥匙、证书、串口登录,17,在IE地址栏输入https:/10.1.5.254:8888,等待约十秒 左右, 弹出一个一个对话框提示接受证书,选择接受即可 出现联想网御防火墙登录画面。,案例1.电子钥匙、证书、串口登录,电子钥匙登录,18,数字证书认证,1、把防火墙证书导入防火墙并启用。 2、管理主机上导入IE浏览器证书。,案例1.电子钥匙、证书、串口登录,19,数字证书认证证书页面导入,导入证书后选择生

5、效选项,第一步,第二步,案例1.电子钥匙、证书、串口登录,20,数字证书认证证书导入,导入防火墙证书要导入相对应的IE浏览器证书.在管理主机 本地双击IE浏览器证书,按照提示进行安装,需要输入密 码时输入“hhhhhh”,当出现导入成功后点击确定完成。,案例1.电子钥匙、证书、串口登录,21,数字证书认证,当防火墙与IE证书均导入成功后,我们在管理主机打开IE 浏览器并输入https:/ 10.1.5.254:8889,出现选择证书提示后点击“确定”画面。,案例1.电子钥匙、证书、串口登录,22,管理主机,防火墙出厂时默认的管理主机地址10.1.5.200,当接入一个新的网络环境中时,首先要进

6、行管理主机的配置。,案例1.电子钥匙、证书、串口登录,一定不要添加0.0.0.0的管理主机,23,案例二、透明接入,24,透明接入多部署于拓扑相对固定网络,为了不改变原有网络拓扑,常采用此部署方式(防火墙本身作为网桥接入网络)。 按照此方式部署后的防火墙如出现软硬件故障,可以紧急将防火墙撤离网络,不必更改其他路由、交换设备的配置。,案例2.透明接入,透明接入概述,25,C:192.168.1.100,S:192.168.1.200,Brg:192.168.1.254,fe2,fe3,透明接入模式防火墙配置需求: 防火墙配置的FE2FE3口配置为透明模式。 允许工作站C192.168.1.100

7、访问服务器S192.168.1.200的HTTP服务。 工作站C192.168.1.100不能访问服务器S192.168.1.200的其它服务。,透明接入拓扑图,案例2.透明接入,26,透明接入,案例2.透明接入,27,STP未开启,未绑定设备,已启用,透明接入,案例2.透明接入,28,透明接入,案例2.透明接入,29,透明接入,案例2.透明接入,30,已启用,已变成透明模式,透明接入,案例2.透明接入,31,透明接入,变成透明模式的端口自动添加到绑定列表里面,网络接口配置完成后,仍然需要添加相应的包过滤规则,案例2.透明接入,32,透明接入,案例2.透明接入,33,透明接入,案例2.透明接入

8、,34,至此,工作站192.168.1.100可以访问服务器192.168.200的HTTP服务,透明接入,案例2.透明接入,35,案例三、路由/NAT模式,36,配置路由/NAT模式的防火墙多部署于网络边界,或者是连接多个不同网络,起到保护内网主机安全,屏蔽内网网络拓扑等作用。,案例3.路由/NAT模式,路由/NAT模式概述,37,C:192.168.1.2/24,S:192.168.2.2/24,192.168.1.1/24,fe1,fe2,工作在路由/NAT模式下防火墙配置需求: 本案例拓扑为一个只有两个网段的小型局域网。 服务器192.168.2.2开放http服务。 允许工作站192

9、.168.1.2访问服务器192.168.2.2的http服务 禁止工作站192.168.1.2访问服务器其它服务。,192.168.2.1/24,Cilent A,Server B,路由/NAT模式(不做NAT转换),案例3.路由/NAT模式,38,案例3.路由/NAT模式,路由/NAT模式(不做NAT转换),39,案例3.路由/NAT模式,路由/NAT模式(不做NAT转换),40,网络接口配置完成后,仍然需要添加相应的包过滤规则,这样防火墙允许工作站192.168.1.2访问服务器192.168.2.2的http服务。,案例3.路由/NAT模式,路由/NAT模式(不做NAT转换),41,网

10、络地址转换NAT为IETF定义标准,用于允许专用网络上的多台PC共享单个、全局路由的IPv4地址IPv4地址日益不足是经常部署NAT的一个主要原因。 另外网络地址转换NAT经常作为一种网络安全手段使用,安全域内的机器通过NAT设备后源地址被重新封装,起到一定屏蔽内网作用。,NAT概述,案例3.路由/NAT模式,42,内网,外网,C:10.1.5.200,fe3,fe4,internet,10.1.5.254,211.100.100.1,S:211.100.100.2,防火墙工作路由/NAT模式。 内部客户PC需要通过防火墙访问internet上服务。 从防火墙外无法看到内部客户端的真实IP。,

11、案例3.路由/NAT模式,路由/NAT模式(NAT转换),43,路由/NAT模式(NAT转换),案例3.路由/NAT模式,44,路由/NAT模式(NAT转换),案例3.路由/NAT模式,45,路由/NAT模式(NAT转换),案例3.路由/NAT模式,46,案例3.路由/NAT模式,网络接口、NAT规则配置完成后,仍然需要添加相应的包过滤规则,这样防火墙允许内部客户机10.1.5.200访问internet上的服务器。,路由/NAT模式(NAT转换),47,案例四、静态路由,48,静态路由,案例4.静态路由,内网,外网,222.111.1.1 /24,fe3,fe4,internet,192.1

12、68.1.1 /30,C:172.16.1.2 /24,192.168.1.2 /30,172.16.1.1 /24,防火墙工作路由/NAT模式。 内部客PC172.16.1.2需要通过防火墙访问internet上服务。 防火墙和客户机之间有一台路由器。 在防火墙上需要做回指路由保证客户机能访问internet。,49,案例4.静态路由,静态路由,50,案例4.静态路由,静态路由,添加目的地址是172.16.1.0网段的静态路由,51,案例4.静态路由,静态路由,在本案例中,当客户机向外网发起连接时,数据包通过客户机的默认网关经交换机发送到防火墙,继续通过防火墙的默认网关发送到外网某台服务器。

13、 服务器回应的数据包通过一系列路由到达防火墙。防火墙上图配置静态路由作用是将数据包的回送到交换机最终到达客户端机器,保证该连接的通畅。,52,案例五 IP映射、端口映射,53,案例5.IP映射、端口映射,IP映射、端口映射-概述,作用:当外网主机主动发起连接访问防火墙的一个公网地址时,防火墙通过IP映射规则或者端口映射规则将访问请求映射到对应防火墙内部局域网服务器。,位于外网的主机发送的请求数据包到达防火墙后,防火墙在匹配包过滤规则之前,对数据包重新封装,用指定的目的地址替代原数据包包头中目的地址即为IP映射;用指定的目的地址和目的端口替代原数据包包头中的目的地址目的端口为端口映射。,54,内

14、网,外网,10.1.5.200,fe1,internet,10.1.5.254,fe3 211.100.100.1,211.100.100.2,Server:192.168.1.100,fe2 192.168.1.1,DMZ区,防火墙作IP、端口映射: 局域网内部服务器192.168.1.100提供ftp服务,唯一的公网IP已被防火墙外网口使用,防火墙启用端口映射功能,将局域网内部ftp服务映射到外网,向外网客户机提供ftp服务。 禁止外网客户机访问服务器192.168.1.100的其它服务。,案例5.IP映射、端口映射,网 络 拓 扑 图,55,IP映射、端口映射,案例5.IP映射、端口映射

15、,56,案例5.IP映射、端口映射,IP映射、端口映射,若此栏填写多个服务器地址则可以进行负载均衡,57,案例5.IP映射、端口映射,IP映射、端口映射,IP映射、端口映射2选1,58,IP映射、端口映射,案例5.IP映射、端口映射,59,案例5.IP映射、端口映射,IP映射、端口映射,IP映射,端口映射完成后,仍然需要添加相应的包过滤规则。,60,IP映射、端口映射,案例5.IP映射、端口映射,至此,案例中的外网客户机可以访问服务器的ftp服务。,61,案例六、包过滤策略,62,案例6.包过滤策略,包过滤策略-概述,包过滤是防火墙最基本最核心的功能,Power V防火墙提供基于状态检测技术的

16、动态包过滤。它为防火墙提供功能强大准确高效的访问控制引擎,并且为防火墙内安全域提供信息安全保证。包过滤除支持全部的TCP/IP协议簇外还通过在“安全选项”页面对一些非IP协议进行控制。,63,安全策略:过滤规则,会话连接状态缓存表,状态检测包过滤防火墙,符合,不符合,符合,状态检测包过滤检测机制,丢弃,下一步 处理,IP数据包,检测包头,案例8.包过滤策略,64,包过滤策略,C:192.168.1.2,S:192.168.2.2,192.168.1.1,fe1,fe2,192.168.2.1,Cilent A,Server B,包过滤案例配置需求: 上图为一个只有两个网段的小型局域网 服务器192.168.2.2开放http服务。 允许工作站192.168.1.2访问服务器的http服务; 禁止工作站192.168.1.2访问服务器其它服务。,案例6.包过滤策略,65,默认全通,包过滤策略,案例6.包过滤策略,66,包过滤策略,案例6.包过滤策略,67,包过滤策略,规则按照从上到下的顺序进行匹配。 没有明确允许的数据包都会被

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 企业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号