路由器_交换机应用案例教程 教学课件 ppt 作者 张文科 能力单元4 实现防火墙配置

《路由器_交换机应用案例教程 教学课件 ppt 作者 张文科 能力单元4 实现防火墙配置》由会员分享，可在线阅读，更多相关《路由器_交换机应用案例教程 教学课件 ppt 作者 张文科 能力单元4 实现防火墙配置（67页珍藏版）》请在金锄头文库上搜索。

1、能力单元4 实现防火墙的配置,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,主要内容,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,重点内容,1、防火墙的定义 2、防火墙的工作原理 3、防火墙的作用与功能 4、防火墙的分类 5、防火墙的布署 6、pix防火墙的配置 7、三星防火墙的配置,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,难点,1、防火墙的工作原理 2、防火墙的作用与功能 3、防火墙的配置,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,一.实现防火墙的布署,1.项目背景 随着互联网和电子商务应用的不断普及，企业网络的安全日益成为大家关注

2、的问题，从而导致防火墙等安全设备应运而生，防火墙的应用成为广大用户实现网络安全的一个基本手段。而互联网上存在的大量的攻击、入侵等，都严重地危害到企业内部网络的安全。可是，在网络之中要如何来布署防火墙，使网络的安全达到最大化呢？如何保证内部网络不被入侵？ 2.实现步骤 步骤1：确定要保护的对象； 步骤2：防火墙的接口类型； 步骤3：确定要保护的对象。,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,3.实现过程 步骤1：确定保护对象 在布署防火墙时，首先要对要保护的对象进行确认。常见的保护对象为保证内网不被外网攻击、内网服务器不被内部网的用户攻击。 步骤2：识别防火墙的接口 一般来说，

3、防火墙最少要有二个接口，最常见的防火墙具有3个以上的接口，它们分别是接外网、接内网、接DMZ区。防火墙的接口示意图如图4-1所示。,一.实现防火墙的布署,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,一.实现防火墙的布署,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,步骤3：按不同保护对象确定网络拓扑图 （1）防外网攻击 保证内网安全的基本思路是，内部用户都是可信的，他们不会对内部的服务进行攻击，只有外部网存在攻击。本思路的防火墙布署如图4-2所示。在图4-2中，如果网络与互联网是使用光纤接入的情况下，可以不用路由器，直接把互联网的线路接到防火墙的外网口上。如果按图4-

4、2所示的拓扑来说，防火墙要工作在桥模式；如果在图4-2中，不存在路由器这个设备，则防火墙应工作在路由模式。,一.实现防火墙的布署,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,（2）保护内网服务器 保证内网服务器安全的基本思路是，内部用户也存在攻击本地服务器的可能。本思路的防火墙布署如图4-3所示。在图4-3中，二台三层交换机之间的防火墙建议配置成桥模式，当然，防火墙工作在路由模式也是可行的，只是在配置与规划上增加了复杂程度。,一.实现防火墙的布署,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,1.什么是防火墙？,1.1 防火墙的定义 1)防火墙一词来源于建筑学。在建筑

5、物中，防火墙是使用抗热材料建成的一堵墙，用来阻止火在建筑物里面蔓延。 2)把这个概念引申后，就是我们现在所使用的网络防火墙，他的作用就不是防火，而是防数据在未授权的情况下被传播。 3)在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。,二.实现防火墙的配置,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,1.2 网络与防火墙,企业网络边缘设备 置于可信区和不可信区之间 保护可信区（内部网） 监控穿越防火墙的数据流（日志） Allow or Deny（规则）,Internet,Unauthorized S

6、ervice (http, ftp, telnet),Firewall,Authorized Service,Internal Resources,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,1.3 防火墙的发展与变迁,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,1.4 每一代防火墙的侧重点,更加精确的检测 基于特征的检测 基于行为的检测,目前流行的方式 检测应用服务类型 创建动态的连接状态表,检测应用程序 Proxy，两步连接 存在连接限制,数据包的包头（IP / Port） 网络层、路由器 安全性较低（Seq#）,Deep Packet Inspection,4

7、th Generation,Stateful Inspection,3rd Generation,Application Gateway,2nd Generation,Packet Filtering,1st Generation,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,1.5 防火墙硬件外观图,控制口,f3,f2,f1,f0,电源,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,1.6 防火墙的接口分类,防火墙通常具有至少3个接口；当使用具有3个接口的防火墙时，就至少产生了3个不同的网络： 1、内部区域（内网）： 内部区域通常就是指企业内部网络或者是企业内部网络的

8、一部分。它受到了防火墙的保护。 2、外部区域（外网）： 外部区域通常指Internet或者非企业内部网络。当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。 3、停火区（DMZ）： 停火区是一个隔离的网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器，Mail服务器等。,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,2.防火墙工作原理,防火墙是一个或一组系统，它在网络之间执行设定好的访问控制策略。防火墙的实际方式各不相同，但是在原则上，防火墙可以被认为是这样一对机制：一种机制是拦阻传输流通行，另一种机制是允许传输流通过。一些

9、防火墙偏重拦阻传输流的通行，而另一些防火墙则偏重允许传输流通过。,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,3.防火墙的功能作用,（1）允许网络管理员定义一个中心点来防止非法用户进入内部网络。 （2）可以很方便地监视网络的安全性，并报警。 （3）可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。 （4）是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈

10、位置，并能够依据本机构的核算模式提供部门级的计费。 （5）可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,3.1 防火墙能防什么？,能够防止已知的类型攻击。,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,3.2 防火墙不能防什么？,1、防火墙不能防范不经过防火墙的攻击。 2、防火墙不能防病毒。 3、防火墙不能真正保护的另一种危险是你网络内部的叛变者。,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,4.防火墙的分类,（1）从软、硬件形式上

11、分为 软件防火墙和硬件防火墙以及芯片级防火墙。 （2）从防火墙结构分为 单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 （3）按防火墙的应用部署位置分为 边界防火墙、个人防火墙和混合防火墙三大类。 （4）按防火墙性能分为 百兆级防火墙和千兆级防火墙等。,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,4.防火墙的分类,（5）从实现技术划分 1）网络级防火墙（也叫包过滤型防火墙） 2）应用级网关 3）电路级网关 4）规则检查,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,4.1 什么是网络级防火墙,网络级防火墙是基于源地址和目的地址、应用或协议以及每个IP包的端口来

12、作出通过与否的判断。 一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,4.2 什么是应用级网关,应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。效率不如网络级防火墙。,重庆城市管理职业学院 信息工程学院 张文科

13、杨莉 程书红,4.3 什么是电路级网关,电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话（Session）是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。电路级网关还提供一个重要的安全功能：代理服务器（Proxy Server）。代理服务技术主要通过专用计算机硬件（如工作站）来承担。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过，一旦判断条件满足，防火墙内部网络的结构和运行状态便“暴露”在外来用户面前。,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,4.4 什么是规则检查防火墙,

14、规则检查防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样，规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也象电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合企业网络的安全规则。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,5.防火墙的工作模式,（1）路由模式 （2）桥模式 （3）路由与桥模式（混合模式）,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,6.防火墙的布署,内网,internet,内网,服务器群,internet,DMZ,服务器群,混合模式或路由模式,桥模式,桥模式,可以是桥也可以是路由模式,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,7.防火墙的应用,7.1 中小企事业、学校,Internet,重庆城市管理职业学院 信息工程学院 张文科 杨莉 程书红,7.2 教育城域网,1、教育局、学校均通过私有地址访问互联网 2、各学校间的互访通过教育局中心设备连接 3、移动用户通过拨入VPN网关访