網(wǎng)絡(luò)互聯(lián)及應(yīng)用第7章網(wǎng)絡(luò)防火墻的配置與管理

1、網(wǎng)絡(luò)互聯(lián)及應(yīng)用網(wǎng)絡(luò)防火墻的配置與管理網(wǎng)絡(luò)防火墻的配置與管理網(wǎng)絡(luò)防火墻的配置與管理2022-3-11網(wǎng)絡(luò)互聯(lián)及應(yīng)用2項(xiàng)目背景某校園網(wǎng)硬件防火墻的配置，該防火墻有三個(gè)接口，一個(gè)接口通過(guò)核心路由器連接校園內(nèi)網(wǎng)，一個(gè)接口連接DMZ交換機(jī)，對(duì)外提供DNS、WWW、FTP、Mail等服務(wù),另外一個(gè)和INTERNET相連。所有的包過(guò)濾、路由選擇、網(wǎng)絡(luò)地址的翻譯和訪問(wèn)控制等策略集中在硬件防火墻上統(tǒng)一配置，不需要通過(guò)路由器進(jìn)行處理。 2022-3-11網(wǎng)絡(luò)互聯(lián)及應(yīng)用3校區(qū)拓?fù)鋱D2022-3-11網(wǎng)絡(luò)互聯(lián)及應(yīng)用4項(xiàng)目構(gòu)成單元（1）windows 7 上實(shí)現(xiàn)軟件防火墻配置（2）通過(guò)Web方式對(duì)防火墻進(jìn)行遠(yuǎn)程配置和管

2、理（3）配置防火墻的NAT，驗(yàn)證NAT功能配置（4）防火墻網(wǎng)絡(luò)訪問(wèn)規(guī)則的控制，包括對(duì)數(shù)據(jù)流量的限制2022-3-11網(wǎng)絡(luò)互聯(lián)及應(yīng)用52022-3-11網(wǎng)絡(luò)互聯(lián)及應(yīng)用6windows 7 上實(shí)現(xiàn)軟件防火墻配置上實(shí)現(xiàn)軟件防火墻配置單元目標(biāo)及任務(wù)單元目標(biāo)及任務(wù)了解軟件防火墻的運(yùn)行，理解軟件防火墻的配置和特點(diǎn) 2022-3-11網(wǎng)絡(luò)互聯(lián)及應(yīng)用7Windows7 防火墻的配置打開(kāi)和關(guān)閉Windows防火墻 還原默認(rèn)設(shè)置 高級(jí)安全Windows 防火墻MMC 高級(jí)安全Windows防火墻屬性設(shè)置 專用配置文件IPSec設(shè)置 高級(jí)安全Windows防火墻導(dǎo)航樹(shù) 如何禁用或啟用規(guī)則 入站規(guī)則和出站規(guī)則 連接安

3、全規(guī)則 如何復(fù)制安全規(guī)則 2022-3-11網(wǎng)絡(luò)互聯(lián)及應(yīng)用8防火墻的基本配置防火墻的基本配置 2022-3-11網(wǎng)絡(luò)互聯(lián)及應(yīng)用9單元目標(biāo)及任務(wù)單元目標(biāo)及任務(wù)能夠通過(guò)Web方式對(duì)防火墻進(jìn)行遠(yuǎn)程配置和管理2022-3-11網(wǎng)絡(luò)互聯(lián)及應(yīng)用10任務(wù)描述2022-3-11網(wǎng)絡(luò)互聯(lián)及應(yīng)用11在機(jī)房對(duì)防火墻進(jìn)行初始配置后，以后可以通過(guò)Web方式對(duì)防火墻進(jìn)行遠(yuǎn)程配置和管理本實(shí)驗(yàn)中PC通過(guò)串口COM1用控制線連接到防火墻的控制口（Console）,通過(guò)一根交叉網(wǎng)線連接到防火墻的以太網(wǎng)口F0，并事先在PC上安裝了Java程序（j2re-1_4_0-win-i或更高）。 拓?fù)鋱D2022-3-11網(wǎng)絡(luò)互聯(lián)及應(yīng)用12任

4、務(wù)及操作步驟1、通過(guò)CONSOLE 口命令行進(jìn)行管理(了解！) 1）選用管理主機(jī)，要求該主機(jī)具備： （1）空閑的RS232 串口 （2）有超級(jí)終端軟件。比如Windows 系統(tǒng)中的“超 級(jí)終端”連接程序。 2）連接防火墻 3）登錄CLI 界面2022-3-11網(wǎng)絡(luò)互聯(lián)及應(yīng)用13任務(wù)及操作步驟2、通過(guò)WEB 界面進(jìn)行管理（實(shí)際操作）1）選用管理主機(jī)2）連接管理主機(jī)與防火墻3）認(rèn)證管理員身份 4）登錄防火墻WEB 界面5）WEB 界面配置向?qū)?022-3-11網(wǎng)絡(luò)互聯(lián)及應(yīng)用142022-3-11網(wǎng)絡(luò)互聯(lián)及應(yīng)用15防火墻安全防火墻安全NAT 單元目標(biāo)及任務(wù)實(shí)現(xiàn)對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)地址，提高網(wǎng)絡(luò)安全性，并

5、利用少數(shù)公有IP地址使員工都能訪問(wèn)外部網(wǎng)絡(luò)。2022-3-11網(wǎng)絡(luò)互聯(lián)及應(yīng)用16任務(wù)描述某學(xué)院網(wǎng)絡(luò)的出口使用了一臺(tái)防火墻作為接入Internet的設(shè)備，并且內(nèi)部網(wǎng)絡(luò)使用私有的IP地址（RFC1918）?，F(xiàn)在需要使用防火墻的安全NAT功能使內(nèi)部網(wǎng)絡(luò)中使用私有地址的主機(jī)訪問(wèn)Internet資源，并且還需要進(jìn)行訪問(wèn)控制，只允許必要的流量通過(guò)防火墻。學(xué)院內(nèi)部網(wǎng)絡(luò)使用的私有地址段為 /24、/24、/24。學(xué)院領(lǐng)導(dǎo)使用的子網(wǎng)為/24，信息管理部使用的子網(wǎng)為/24、其他員工使用的子網(wǎng)為/24。.并且學(xué)院在公網(wǎng)上

6、有一臺(tái)IP地址為的外部FTP服務(wù)器?，F(xiàn)需要在防火墻上進(jìn)行訪問(wèn)控制，使學(xué)院領(lǐng)導(dǎo)的主機(jī)可以訪問(wèn)Internet中的WEB服務(wù)器和公司外部的FTP服務(wù)器，并能夠使用郵件客戶端（SMTP/POP3）收發(fā)郵件；信息管理部的主機(jī)可以訪問(wèn)Internet中的WEB服務(wù)器何公司的外部的FTP服務(wù)器，其他員工的主機(jī)只能訪問(wèn)公司的外部的FTP服務(wù)器。 2022-3-11網(wǎng)絡(luò)互聯(lián)及應(yīng)用17拓?fù)鋱D2022-3-11網(wǎng)絡(luò)互聯(lián)及應(yīng)用18任務(wù)及操作步驟第一步：配置防火墻接口IP地址第二步：配置針對(duì)領(lǐng)導(dǎo)的主機(jī)的訪問(wèn)控制規(guī)則第三步：配置針對(duì)信息管理部的主機(jī)的訪問(wèn)控制規(guī)則第四步：配置針對(duì)其他員工的主機(jī)的訪問(wèn)控制

7、規(guī)則 第五步：查看配置的訪問(wèn)規(guī)則第六步：驗(yàn)證測(cè)試2022-3-11網(wǎng)絡(luò)互聯(lián)及應(yīng)用19防火墻實(shí)現(xiàn)服務(wù)保護(hù)防火墻實(shí)現(xiàn)服務(wù)保護(hù) 2022-3-11網(wǎng)絡(luò)互聯(lián)及應(yīng)用20單元目標(biāo)及任務(wù)單元目標(biāo)及任務(wù)在允許必要的網(wǎng)絡(luò)訪問(wèn)的同時(shí)加強(qiáng)網(wǎng)絡(luò)的安全防護(hù) 。2022-3-11網(wǎng)絡(luò)互聯(lián)及應(yīng)用21任務(wù)描述某學(xué)院使用防火墻作為網(wǎng)絡(luò)出口設(shè)備，并且在防火墻的DMZ區(qū)域中部署了一臺(tái)提供對(duì)外服務(wù)的WEB服務(wù)器，但網(wǎng)絡(luò)管理員經(jīng)常發(fā)現(xiàn)有大量的到達(dá)服務(wù)器的連接，致使消耗了服務(wù)器的大量系統(tǒng)資源，使其不能提供良好的服務(wù)。為了使WEB服務(wù)器正常提供服務(wù)，需要保護(hù)服務(wù)器的系統(tǒng)資源，限制達(dá)到服務(wù)器的連接數(shù) 。2022-3-11網(wǎng)絡(luò)互聯(lián)及應(yīng)用22拓?fù)鋱D2022-3-11網(wǎng)絡(luò)互聯(lián)及應(yīng)用23任務(wù)及操作步驟任務(wù)及操作步驟 第一步：按照拓?fù)鋱D正確配置防火墻以及WEB服務(wù)器的IP地址。第二步：配置連接限制。第三步：定義端口映射規(guī)則，使防火墻將DMZ中的WEB服務(wù)器發(fā)布到公網(wǎng)中