《网络安全与防护教学课件作者迟恩宇实训指导3.4基于天融信硬件防火墙对网络进行防护》由会员分享,可在线阅读,更多相关《网络安全与防护教学课件作者迟恩宇实训指导3.4基于天融信硬件防火墙对网络进行防护(75页珍藏版)》请在金锄头文库上搜索。
1、计算机网络安全技术与实施,学习情境3:实训任务3.4 基于天融信硬件防火墙对网络进行防护,国家高等职业教育 网络技术专业教学资源库,任务场景及描述,基于天融信硬件防火墙对网络进行防护,1任务描述 利用天融信硬件防火墙功能,通过它可以隔离Internet与局域网的连接,并通过监控进出网络的通信量,仅让安全、核准了的信息进入,从而实现对内部网络的保护。 2目标 (1)学习防火墙基础知识及配置案例 (2)熟悉防火墙相关功能及日常维护,实现内网共享上网并发布企业内网的应用服务,保护内网安全。 3评价方法 能够实现内网共享上网并发布企业内网的应用服务。,Internet,一种高级访问控制设备,置于不同网
2、络安全域之间的一系列部件的组合,它是不同网络安全域之间通信流的唯一通道,能根据企业有关的安全策略控制(允许、拒绝、监视、记录)进出网络的访问行为。,两个安全域之间通信流的唯一通道,根据访问控制规则决定进出网络的行为,内部网,防火墙知识介绍防火墙定义(作用),硬件设备 外形:1U/2U标准机箱,接COM口,管理机,防火墙知识介绍线缆连接方式,透明模式(提供桥接功能) 在这种模式下,网络卫士防火墙的所有接口均作为交换接口工作。也就是说,对于同一VLAN 的数据包在转发时不作任何改动,包括IP 和MAC 地址,直接把包转发出去。同时,网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转发。 路
3、由模式(静态路由功能) 在这种模式下,网络卫士防火墙类似于一台路由器转发数据包,将接收到的数据包的源MAC 地址替换为相应接口的MAC 地址,然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样,网络卫士防火墙的每个接口均要根据区域规划配置IP 地址。 综合模式(透明+路由功能) 顾名思义,这种模式是前两种模式的混合。也就是说某些区域(接口)工作在透明模式下,而其他的区域(接口)工作在路由模式下。该模式适用于较复杂的网络环境。 说明:防火墙采用何种通讯方式是由用户的网络环境决定的,用户需要根据自己的网 络情况,合理的确定防火墙的通讯模式;并且防火墙采用何种通讯方式都不会 影响防火
4、墙的访问控制功能。,防火墙知识介绍防火墙提供的通讯模式,防火墙知识介绍透明模式典型应用,Internet,内部网,218.62.14.1,ETH0:218.62.14.2,ETH1:218.62.14.3,ETH2:218.62.14.4,218.62.14.10/24 网段,218.62.14.20/24 网段,外网、SSN、内网在同一个广播域,防火墙做透明设置。此时防火墙为透明模式。,内部网,218.62.14.1,ETH0:218.62.14.2,ETH1:10.1.1.2,ETH2:192.168.7.2,10.1.1.0/24 网段,192.168.7.0/24 网段,外网、SSN区
5、、内网都不在同一网段,防火墙做路由方式。这时,防火墙相当于一个路由器。,防火墙知识介绍路由模式典型应用,Internet,ETH1:192.168.7.102,ETH2:192.168.7.2,192.168.1.100/24 网段,192.168.7.0/24 网段,此时整个防火墙工作于透明+路由模式,我们称之为综合模式或者混合模式,222.168.81.1/24 网段,ETH0:222.168.81.2,两接口在不同网段,防火墙处于路由模式,两接口在不同网段,防火墙处于路由模式,两接口在同一网段,防火墙处于透明模式,防火墙知识介绍混合模式典型应用,防火墙知识介绍防火墙出厂默认配置,串口(c
6、onsole)管理方式: 管理员为空,回车后直接输入口令即可,初始口令talent,用passwd修改管理员密码,请牢记修改后的密码。 WEBUI(浏览器)管理方式: 超级管理员:superman,口令:talent TELNET管理方式: 模拟console管理方式,用户名superman,口令:talent SSH管理方式: 模拟console管理方式,用户名superman,口令:talent 如果密码管理不善而丢失,只能返回厂家维修,防火墙知识介绍防火墙提供的管理方式,超级终端参数设置:,防火墙知识介绍CONSOLE口管理,防火墙的命令菜单:,防火墙知识介绍CONSOLE口管理,输入h
7、elpmode chinese命令 可以看到中文化菜单,防火墙知识介绍CONSOLE口管理,在浏览器输入:HTTPS:/192.168.1.254,看到下列提示,选择“是”,防火墙知识介绍浏览器管理方式,输入用户名和密码后,按“提交”按钮,防火墙知识介绍浏览器管理方式,防火墙知识介绍浏览器管理方式,通过TELNET方式管理防火墙:,防火墙知识介绍telnet管理方式,注意:要想通过TELNET、SSH方式管理防火墙,必须首先打开防火墙 的服务端口,系统默认打开“HTTP”方式。,在“系统”“系统服务”中选择“启动”即可,防火墙知识介绍启动防火墙管理服务,对象的概念: 防火墙大多数的功能配置都是
8、基于资源对象的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说,定义各种类型的资源对象是管理员在对网络卫士防火墙进行配置前首先要做的工作之一。 使用对象好处: 资源对象概念的使用大大简化了管理员对网络卫士防火墙的管理工作。当某个资源对象发生变化时,管理员只需要修改对象本身属性即可,而无需逐一的修改所有涉及到这个对象的策略或规则。 对象的类型: 在网络卫士防火墙中,用户可定义的资源对象的类型包括: 地址对象:包括 IP地址对象、MAC地址对象、地址范围对象、子网对象和地址组等。 属性对象:包括属性对象和属性组。属性对象需要与其他对象绑定方能生效(如与接口、子接口、区域对象等
9、绑定)。 区域对象:通过与属性对象绑定,定义区域的访问权限。 时间对象:包括多次循环的时间对象和单次时间对象。,防火墙知识介绍资源对象的概念,接口和区域是两个不同的概念 接口:和网络卫士防火墙的物理端口一一对应,如Eth0、Eth1 等。 区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上,网络卫士防火墙的区域和接口并不是一一对应的,也就是说一个区域可以包括多个接口。在安装网络卫士防火墙前,首先要对整个受控网络进行分析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。,防火墙中对象的概念 防火墙设置策略时,首先要有已定义好的可操作对象 地址对象、服务对象、时间
10、对象、区域对象等,防火墙知识介绍区域对象和区域权限,Internet,防火墙知识介绍定义区域,Internet,办公_eth1 拒绝,SSN区_eth2 拒绝,互联网区_eth3 允许,外网区域权限:允许 其它区域发起的对互联网区域的访问都被允许通过 办公区、ssn区权限:拒绝 其它区域内发起的对内网办公和SSN的访问都被拒绝, 这时候需要添加访问控制规则,允许互联网和办公区访 问SSN区的服务器,允许,允许,拒绝,拒绝,防火墙知识介绍定义区域权限,规则列表需要注意的问题: 1、规则作用有顺序:阻断策略访问控制策略区域权限 2、访问控制列表遵循第一匹配规则:先后顺序匹配 3、规则的一致性和逻辑
11、性:策略相互包含关系、冗余重复,防火墙知识介绍访问控制规则说明,路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式:路由、透明、综合。 IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型) 要达到的安全目的(即要做什么样的访问控制),在安装防火墙之前必须弄清楚的几个问题:,防火墙配置配置前的准备,网络卫士防火墙的基本配置过程:,1、配置接口的通讯模式:路由模式、交换模式 2、配置接口IP地址:可以再串口下配置IP及管理权限, 串口下用命令save保
12、存配置 3、配置路由策略:静态路由、策略路由 4、定义资源对象:区域、地址、服务、时间 5、开放对应区域的防火墙管理权限 6、定义地址转换策略:源、目的、双向转换 7、定义访问控制策略:基于各种资源对象灵活的控制 8、系统参数调整及辅助功能配置:管理用户参数、日志等 9、保存和导出配置:备份配置文件需要时导入,防火墙配置配置流程简述,配置案例1(路由模式):,INTERNET,202.99.27.193,202.99.27.250,192.168.1.254,172.16.1.100,172.16.1.1,192.168.1.0/24,应用需求: 内网可以访问互联网 服务器对外网做映射 映射地
13、址为202.99.27.249 外网禁止访问内网,WEB服务器,防火墙接口分配如下: ETH0接INTERNET ETH1接内网 ETH2接服务器区,防火墙配置路由模式配置案例,网络管理接口物理接口eth0设置,接口为路由模式(缺省) 定义防火墙每个接口的IP地址,注意子网掩码不要输错,防火墙配置配置网络接口,网络管理接口物理接口eth1设置,防火墙配置接口配置,网络管理接口物理接口eth2设置,防火墙配置接口配置,进入防火墙管理界面,点击“网络管理” “接口”可以看到物理接口定义结果:,可以设置每个接口的描述进行区分,注:防火墙每个接口的默认状态均为“路由”模式,防火墙配置接口模式配置,设置
14、缺省网关时, 目的地址和掩码为全“0” 防火墙的缺省网关在静态路由时,必须放到最后一条路由,设备会根据子网掩码大小自动排序,防火墙配置路由配置,在“网络”“静态路由”添加缺省路由,防火墙配置路由配置,在“对象”“区域对象”中定义防火墙区域(接口)的默认权限,防火墙配置定义区域缺省权限,系统默认只能从ETH0接口(区域)对防火墙进行管理,添加ETH1接口为“AREA_ETH1”区域; ETH2接口为“AREA_ETH2”区域,对“AREA_ETH1”区域添加对防火墙的管理权限(当然也可以对“AREA_ETH2”区域添加),定义你希望从哪个接口(区域)管理防火墙,防火墙配置定义设备管理权限,主机对
15、象中可以定义多个IP地址,防火墙配置资源管理地址定义主机,防火墙配置资源管理地址定义子网,根据前面的需求如果内网要访问外网,则必须定义NAT策略;同样外网 要访问WEB服务器的映射地址,也要定义MAP策略,定义NAT策略,选择源为已定义的内部子网,目的为“AERA_ETH0”区域,防火墙配置定义地址转换(通信策略),转换地址要选择”源地址转换为“ETH0”,也就是防火墙外网接口IP地址; 也可以选择定义好的“NAT地址池”(在“对象”“地址范围中定义”),使用地址池,使用防火墙接口,防火墙配置定义地址转换(通信策略),配置MAP(映射)策略,源地址可以选择区域 “AERA_ETH0”;也可以
16、选择“ANY”,目的选择服务器映射后的IP(合法IP) 选择已定义的“WEB服务器MAP”,防火墙配置定义地址转换(通信策略),目的地址转换为必须选择服务器映射前的IP(也就是WEB服务器的真实 IP地址),选择“WEB服务器”主机对象即可。,防火墙配置定义地址转换(通信策略),设置好的地址转换策略(通信策略) 第一条为内网访问外网做NAT; 第二条为外网访问WEB服务器的映射地址,防火墙把包转发给服 务器的真实IP,防火墙配置定义地址转换(通信策略),点击防火墙管理页面右上角“保存”按钮,然后选择弹出对话框“确定” 即可保存当前配置,防火墙配置配置保存,第一条规则定义“内网”可以访问互联网。源选择“内部子网_1
