防火墙技术与应用 教学课件 ppt 作者 陈波 第11章 商业防火墙应用

《防火墙技术与应用 教学课件 ppt 作者 陈波 第11章 商业防火墙应用》由会员分享，可在线阅读，更多相关《防火墙技术与应用 教学课件 ppt 作者 陈波 第11章 商业防火墙应用（58页珍藏版）》请在金锄头文库上搜索。

1、第四篇 防火墙应用,防火墙技术与应用,1,第四篇 防火墙应用,第8章介绍了个人防火墙的使用。包括Windows 7系统自带的Windows防火墙和高级安全Windows防火墙，以及著名的第三方防火墙软件ZoneAlarm Pro Firewall；并分析了几种类型防火墙的特点及适用范围。 第9章介绍了Linux 2.4内核中一个具有包过滤、数据包处理、网络地址转换等防火墙功能框架的netfilter/iptables，并给出了一个iptables综合应用实例。,防火墙技术与应用,2,第四篇 防火墙应用,第10章对国内外一些主要的防火墙产品做了简单介绍，帮助读者对主流防火墙产品有基本的了解，给出

2、了防火墙产品选型的一些基本原则。 第11章介绍了三种工具进行商用防火墙应用的实验。三种工具分别是：Cisco公司发布的网络模拟环境Packet Tracer，自由软件以及Microsoft Forefront系列中的产品Forefront TMG。,防火墙技术与应用,3,4,第11章 商业防火墙应用,介绍三种工具，并使用这三种工具进行商业防火墙应用的实验： Packet Tracer GNS3 Forefront TMG,5,11.1.1 防火墙部署的位置,从如图所示典型网络体系结构中，可以看出防火墙的部署位置： 屏蔽路由 屏蔽主机 屏蔽子网,一个典型的网络体系结构及防火墙的应用,6,11.1

3、.2 防火墙部署的模式,1.路由模式。 防火墙需要配置相应的路由规则，并参与所接入网络的路由。 因为需要更多的网络路由功能，可能涉及到现有网络结构的调整，一定程度上会考虑防火墙的冗余部署。,7,11.1.2 防火墙部署的模式,2.透明模式。 防火墙对用户是透明的（Transparent），没有任何路由问题。 3.混合模式。 混合模式可以理解为透明模式和路由模式同时采用的部署方式。,8,11.2.1 Cisco Packet Tracer简介,Packet Tracer是由Cisco公司发布的一个辅助学习工具，为学习思科网络课程的初学者设计、配置、排除网络故障提供了网络模拟环境。 1.功能介绍。

4、 支持多协议模型。 支持大量的设备仿真。 支持逻辑空间和物理空间的设计模式。 可视化的数据报表工具。 数据报传输采用实时模式和模拟模式。,9,11.2.1 Cisco Packet Tracer简介,2.下载与安装。 读者可在网上免费下载，下载网址： http:/ course_catalog/PacketTracer.html。 安装后，可以对软件进行汉化。 汉化基本设置：把安装包中的Chinese.ptl文件复制到Packet Tracer 安装目录的languages文件夹，启动Packet Tracer，选择 “Options”“Preferences”，在弹出的“Interface”

5、页框中，找到“Select Language”文本框，选择“chinese.ptl”后点击“Change Language”。重新运行软件，将显示中文界面。,10,11.2.1 Cisco Packet Tracer简介,2.下载与安装。,Cisco Packet Tracer运行主界面,11,11.2.1 Cisco Packet Tracer简介,3.设备的选择、连接与配置。 （1）选择需要的设备。 （2）设备连接,线缆设置,12,11.2.1 Cisco Packet Tracer简介,3.设备的选择、连接与配置。 （3）设备配置。 1）PC设置 2）路由器设置,主机“物理”选项卡,路由

6、器“物理”选项卡,13,11.2.1 Cisco Packet Tracer简介,4.对设备进行编辑。 在主界面的右边区域，从上到下依次为“选择/取消”、“移动布局”、标签、“删除”、“查看” 以及“调整图形大小”等设置按钮。 5.对设备进行连通性测试。 1）建立如图网络结构， 按照前述的步骤进行设置。,一个简单的网络结构,14,11.2.1 Cisco Packet Tracer简介,5.对设备进行连通性测试 2）单击PC0，选择“桌面”选项卡，单击第4个图标“命令提示符”，打开命令行窗口，执行连通性测试命令“ping 192.168.0.2”，结果如图11-10所示，说明PC0和PC1是连

7、通的。,PC0的“桌面”选项卡,ping测试,15,11.2.1 Cisco Packet Tracer简介,6.实时模式和模拟模式 实时模式即真实模式。在连通性测试中，在主机的命令提示符窗口中执行ping 命令时，瞬间可以完成，命令提示符窗口显示ping的结果。 模拟模式：执行ping命令时，将不会立即显示ping的结果信息，而是软件模拟整个工作过程，并可以通过列表的形式展现出来。,“模拟”模式下“事件列表”对话框,了解详细的OSI模型信息和各层PDU,16,11.2.2 访问控制列表ACL,1.ACL基本概念。 （1）ACL的功能 （2）ACL的种类 （3）定义ACL的主要步骤 1）定义规

8、则，即规定哪些数据允许通过，哪些数据不允许通过。 一个ACL一般由多条语句组成，每条ACL语句的形式为： access-list 表号 处理方式 条件 例如，access-list 1 permit 10.0.0.0 0.255.255.255，表示允许源地址为10.*.*.*的数据包通过。,17,11.2.2 访问控制列表ACL,1.ACL基本概念。 （3）定义ACL的主要步骤 2）将规则应用在路由器（或交换机、防火墙）的接口上。 应用ACL的语句格式为： interface 接口号 ip access-group 表号 in | out 例如， interface e0 ip access

9、-group 1 out 表示在e0接口上使用标号为1的ACL规则对出站数据包进行过滤。,18,11.2.2 访问控制列表ACL,2.IP标准ACL配置。 标准IP访问控制列表ACL编号范围为199，其作用为根据数据包的源地址对数据进行过滤。 标准ACL格式：access-listlist numberpermit|deny host|anysourceaddresswildcard-masklog 例如：access-list 1 deny 192.168.10.0 0.0.0.255,19,11.2.2 访问控制列表ACL,3.IP扩展ACL配置。 扩展IP访问控制列表ACL编号范围为10

10、0199，可以处理更多的匹配项，根据这些匹配项对数据包进行过滤，采取拒绝或允许两种操作。 扩展ACL格式：access-listlist numberpermit|deny protocol源主机范围运算符 源端口目的主机范围运算符 目的端口其他选项 例如，access-list 100 permit tcp 192.168.0.0 0.0.255.255 10.0.0.0 0.255.255.255 eq 80 表示允许来自192.168.*.*的用户访问位于10.*.*.*的Web站点。,20,11.2.3路由器充当防火墙的应用模拟,本实验利用Packet Tracer，仿真建立一个网络环

11、境，对其中的路由器进行标准ACL和扩展ACL配置，根据第三层或第四层包头中的信息、如源地址、目的地址、源端口以及上层协议等对数据包进行过滤控制。 1.搭建网络环境 硬件设备,各设备接口地址及名称,21,11.2.3路由器充当防火墙的应用模拟,1.搭建网络环境 配置要求： 开启Web服务器的HTTP服务； 内网主机能访问外网主机； 内网主机可以利用内网地址访问Web服务器； 外网主机通过公网地址访问Web服务器； 禁止内网主机PC1与外网主机进行ICMP通信（ping），但是允许除PC1以外的内部主机进行IP通信。,22,11.2.3路由器充当防火墙的应用模拟,1.搭建网络环境 设置步骤： （1

12、）绘制拓扑结构图 （2）完成各设备的配置,实验拓扑结构图,在“配置”选项卡启用HTTP服务,23,11.2.3路由器充当防火墙的应用模拟,1.搭建网络环境 设置步骤： （3）连通性测试,ping测试,Web服务器测试,24,11.2.3路由器充当防火墙的应用模拟,2.路由器配置,25,11.2.3路由器充当防火墙的应用模拟,3.访问控制效果测试 1）主机PC3访问Web服务器，URL中输入“http:/214.1.1.3”，结果如图所示，能够正常访问。 2）分别在PC1和PC2上使用ping命令对PC3进行连通性测试。结果PC1与PC3无法连通，而PC2与PC3能够连通，说明ACL设置正确。,

13、Web Browser测试,26,11.3.1 GNS3简介,GNS3是基于Dynamips一个开源的自由软件，它在设备选择和配置网络拓扑等功能上都使用了图形界面，更方便人机交互，更具有可操作性，同时具备了Packet Tracer和Dynamips的优点。 1.功能介绍： 设计网络拓扑结构。 模拟Cisco路由设备和PIX、ASA防火墙。 仿真简单的Ethernet、ATM和帧中继交换机。 能够装载和保存为Dynamips的配置格式。 支持一些文件格式（JPEG、PNG、BMP and XPM）的导出。,27,11.3.1 GNS3简介,2.下载与安装： 从官网http:/ GNS3简介,3

14、.首选项配置 （1）中文语言设置。 （2）配置和测试Dynamips的路径,在首选项对话框中进行语言设置,配置和测试Dynamips的路径,29,11.3.1 GNS3简介,3.首选项配置 （3）PIX和ASA防火墙配置,PIX防火墙配置,ASA防火墙配置,30,11.3.1 GNS3简介,4. 配置IOS （1）配置IOS步骤 1）依次选择“编辑”“IOS和Hypervisors” 2）在“设置”组合框中，单击“浏览”按钮，选择一个合适的bin文件 3）单击“保存”按钮 （2）计算路由器的IDLE PC值,IOS配置,选择IDLE PC值,31,11.3.1 GNS3简介,5. 拓扑图绘制和

15、显示,32,11.3.2配置桥接主机和虚拟机的拓扑,通过一个简单的拓扑介绍GNS3的基本使用方法。 实验设备 一台主机 一台虚拟机 一台路由器 最终完成的实验拓扑如图所示,实验拓扑图,33,11.3.2配置桥接主机和虚拟机的拓扑,1.拓扑图绘制及设备配置,放置3个设备,节点配置对话框,34,11.3.2配置桥接主机和虚拟机的拓扑,1.拓扑图绘制及设备配置,选择网卡,添加网卡,35,11.3.2配置桥接主机和虚拟机的拓扑,1.拓扑图绘制及设备配置,设置连线,在控制台查看路由器基本信息,配置路由器,36,11.3.2配置桥接主机和虚拟机的拓扑,1.拓扑图绘制及设备配置,配置f0/0接口,配置f1/

16、0接口,37,11.3.2配置桥接主机和虚拟机的拓扑,1.拓扑图绘制及设备配置,C1主机的IP地址设置,C1主机的IP地址设置,38,11.3.2配置桥接主机和虚拟机的拓扑,2.实验结果测试,C1和C2连通性测试,39,11.3.3 PIX防火墙模拟,1.网络环境搭建及拓扑图绘制 PIX防火墙需要实现的功能如下： 内部网络用户可以访问Internet上端口为80的任何目的地址。 内部网络用户只能连接到DMZ的FTP服务器。 内部网络用户只能使用DNS服务器。 Internet的用户能够访问DMZ的WEB服务器。 Internet的用户能够访问DMZ的FTP服务器。 Internet的用户能够向DMZ的DNS服务器提出查询。 DMZ的DNS服务器能够向In