防火墻配置與應(yīng)用

1、防火墻配置與應(yīng)用第1頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-1 防火墻簡介9-1-1 防火墻的概念防火墻（Firewall）的本義網(wǎng)絡(luò)中的防火墻是指隔離內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是目前一種最重要網(wǎng)絡(luò)防護(hù)硬件或軟件。防火墻的圖標(biāo)如圖9-1所示。第2頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-1 防火墻簡介9-1-2 防火墻的功能創(chuàng)建一個(gè)阻塞點(diǎn)。隔離不同網(wǎng)絡(luò)，防止內(nèi)部信息泄漏。強(qiáng)化網(wǎng)絡(luò)安全策略。有效地審計(jì)和記錄內(nèi)、外部網(wǎng)絡(luò)上的活動。第3頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-1 防火墻簡介9-1-3 防火墻的分類1. 按防火墻的軟

2、、硬件形式分軟件防火墻硬件防火墻芯片級防火墻2. 按防火墻技術(shù)分包過濾型應(yīng)用代理型第4頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-1 防火墻簡介9-1-3 防火墻的分類3. 按防火墻結(jié)構(gòu)分單一主機(jī)防火墻路由器集成式防火墻分布式防火墻4. 按防火墻的應(yīng)用部署位置分邊界防火墻個(gè)人防火墻混合防火墻第5頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-1 防火墻簡介9-1-3 防火墻的分類5. 按防火墻性能分百兆級防火墻千兆級防火墻第6頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-2 防火墻技術(shù)9-2-1 包過濾技術(shù)優(yōu)點(diǎn)：包過濾技術(shù)的優(yōu)點(diǎn)在于一個(gè)過濾路由器能協(xié)助

3、保護(hù)整個(gè)網(wǎng)絡(luò)；數(shù)據(jù)包過濾對用戶透明；過濾路由器速度快、效率高。 包過濾技術(shù)的缺點(diǎn)則是不能徹底防止地址欺騙；一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾；正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略。 第7頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-2 防火墻技術(shù)9-2-1 包過濾技術(shù)在包過濾技術(shù)的發(fā)展中，出現(xiàn)過兩種不同的技術(shù)，即：靜態(tài)包過濾和動態(tài)過濾。包過濾防火墻的典型網(wǎng)絡(luò)拓?fù)鋱D如圖9-4所示。 外部網(wǎng)絡(luò)防火墻內(nèi)部網(wǎng)絡(luò)圖 9-4 包過濾防火墻的典型網(wǎng)絡(luò)拓?fù)鋱D第8頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-2 防火墻技術(shù)9-2-2 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）在防火墻上部署NAT的方式

4、可以有幾種：M-1：多個(gè)內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換到1個(gè)IP地址。1-1：簡單的一對一地址轉(zhuǎn)換。M-N：多個(gè)內(nèi)部網(wǎng)地址轉(zhuǎn)換到N個(gè)IP地址池。第9頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-2 防火墻技術(shù)9-2-3 應(yīng)用級網(wǎng)關(guān)應(yīng)用級網(wǎng)關(guān)技術(shù)的主要優(yōu)點(diǎn)：可以提供用戶級的身份認(rèn)證、日志記錄和帳號管理。 應(yīng)用級網(wǎng)關(guān)技術(shù)的缺點(diǎn)靈活性不夠，嚴(yán)重制約了新應(yīng)用的采納。 第10頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-2 防火墻技術(shù)9-2-4 其他防火墻技術(shù)電路級網(wǎng)關(guān)堡壘主機(jī)非軍事化區(qū)透明模式/透明代理屏蔽路由器阻塞路由器隔離域名服務(wù)器郵件轉(zhuǎn)發(fā)技術(shù)狀態(tài)監(jiān)視器第11頁，共35頁，2022年

5、，5月20日，0點(diǎn)32分，星期四9-3 防火墻主流產(chǎn)品介紹Cisco Secure PIX防火墻華為3Com Quidway SecPath系列防火墻天融信NGFW4000 系列防火墻 第12頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-4 防火墻配置基礎(chǔ)9-4-1 防火墻基本配置原則 默認(rèn)情況下，所有的防火墻都是按以下兩種情況配置的： 拒絕所有的流量，這需要在你的網(wǎng)絡(luò)中特殊指定能夠進(jìn)入和出去的流量的一些類型。 允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類型。第13頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-4 防火墻配置基礎(chǔ)9-4-1 防火墻基本配置原

6、則 防火墻的配置過程中的三個(gè)基本原則：簡單實(shí)用全面深入內(nèi)外兼顧 第14頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-4 防火墻配置基礎(chǔ)9-4-2 天融信NGFW4000的應(yīng)用與配置 對天融信防火墻進(jìn)行配置與管理可以通過三種方式：本地控制臺端口遠(yuǎn)程TelnetSSH（Secure Shell）第15頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-4 防火墻配置基礎(chǔ)9-4-2 天融信NGFW4000的應(yīng)用與配置（1）本地控制臺端口用一根CONSOLE線纜連接防火墻的CONSOLE接口與PC（或筆記本）的串口。在Windows操作系統(tǒng)中，選擇開始 - 程序 - 附件 - 通

7、訊 - 超級終端。打開超級終端界面，系統(tǒng)提示輸入新建連接的名稱，用戶可以輸入任何（NGFW4000）。如圖9-7所示。 第16頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-4 防火墻配置基礎(chǔ)9-4-2 天融信NGFW4000的應(yīng)用與配置圖9-7 新建連接的對話框 第17頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-4 防火墻配置基礎(chǔ)輸入名稱確定后，提示選擇PC連接的端口。一般選擇COM1。如圖9-8所示。 圖9-8 使用計(jì)算機(jī)的COM1接口與防火墻連接 第18頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-4 防火墻配置基礎(chǔ)然后就要對COM1接口進(jìn)行屬性

8、設(shè)置。具體參數(shù)設(shè)置如圖9-9所示。第19頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-4 防火墻配置基礎(chǔ)圖9-9 接口屬性設(shè)置對話框 第20頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-4 防火墻配置基礎(chǔ)（2）Telnet遠(yuǎn)程管理 Telnet遠(yuǎn)程管理的的前提條件是要用一根雙絞線（交叉線）連接管理PC的網(wǎng)卡接口和防火墻的物理接口，或者將管理PC連接到防火墻的物理接口所在的網(wǎng)絡(luò)。 第21頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-4 防火墻配置基礎(chǔ)WINDOWS命令提示符下登錄 在Windows XP中，在桌面上選擇開始 - 運(yùn)行，在“運(yùn)行”窗口中輸入

9、cmd，如圖9-10所示。圖9-10 運(yùn)行“CMD”，進(jìn)入命令提示符對話框 第22頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-4 防火墻配置基礎(chǔ)確定后，DOS命令窗口打開，輸入telnet（不分大小寫）以及防火墻接口的IP地址。如圖9-11所示。圖9-11 打開命令提示符對話框進(jìn)行telnet遠(yuǎn)程連接防火墻 第23頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-4 防火墻配置基礎(chǔ)連接到防火墻后，窗口提示輸入密碼（默認(rèn)密碼為talent），鍵入密碼后就能成功登錄到防火墻了。 第24頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-4 防火墻配置基礎(chǔ)使用Hyp

10、erTerminal（超級終端）登錄 如何打開超級終端和輸入名稱在前面已經(jīng)介紹過了，這里就不再介紹了。唯一不同的是在選擇連接接口時(shí)，我們應(yīng)該選擇“TCP/IP(Winsock)”,并且輸入連接防火墻的物理接口的IP地址，這里我們的IP地址假設(shè)為，端口號為23（telnet默認(rèn)端口號）。如圖9-12所示。 第25頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-4 防火墻配置基礎(chǔ)圖9-12 使用基于TCP/IP協(xié)議的23端口與防火墻連接 確定后，出現(xiàn)登錄窗口。然后鍵入密碼（默認(rèn)密碼為talent）就可以成功登錄防火墻了。 第26頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9

11、-4 防火墻配置基礎(chǔ)SSH遠(yuǎn)程管理 SSH的優(yōu)點(diǎn)：在SSH連接中，所有的數(shù)據(jù)都是經(jīng)過加密后再進(jìn)行傳輸?shù)?，這樣就保證了防火墻的關(guān)鍵信息（如密碼等），在傳輸過程中不會被竊聽而導(dǎo)致泄漏。SSH客戶端軟件可以在網(wǎng)上搜索下載。UNIX系統(tǒng)，使用OpenSSH；Windows操作系統(tǒng)（32位），則使用PUTTY來登錄防火墻。第27頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-4 防火墻配置基礎(chǔ)運(yùn)行PUTTY程序，設(shè)置Session的各項(xiàng)參數(shù)。具體參數(shù)如圖9-13所示。 第28頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四圖9-13 Putty程序的主界面，提供設(shè)置各種參數(shù) 第29頁

12、，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-4 防火墻配置基礎(chǔ) NGFW4000在出廠時(shí)就有了一些簡單的配置，目的是為了方便用戶。這些配置如下：初始用戶名：superman初始密碼：talent內(nèi)網(wǎng)（intranet）：Eth2 接口，IP 地址，該區(qū)域可ping 到防火墻。外網(wǎng)（internet）：Eth1 接口，該接口的缺省訪問權(quán)限為可讀，可寫，可執(zhí)行，該區(qū)域可ping 到防火墻。SSN：Eth0 接口，該區(qū)域可ping 到防火墻。 第30頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-4 防火墻配置基礎(chǔ)防火墻登錄控制客戶列表，如表9-1所示：表9-1 防火墻初始

13、的登錄控制客戶列表 名稱類型防火區(qū)域地址GuiGUI內(nèi)網(wǎng)0.0.0.0255.255.255.255telnetTELNET內(nèi)網(wǎng)0.0.0.0255.255.255.255UpgradeUPGRADE(防火墻升級)內(nèi)網(wǎng)0.0.0.0255.255.255.255第31頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-4 防火墻配置基礎(chǔ)防火墻的一些基本命令 （嚴(yán)格區(qū)分大小寫）：EXIT和QUIT：退出命令行。HELP/? :獲取幫助。RELOAD：重載上次保存的配置。REBOOT：重啟防火墻。SHOW：查看基本信息，一些相關(guān)命令如表9-2所示。 第32頁，共35頁，2022年，5月20

14、日，0點(diǎn)32分，星期四9-4 防火墻配置基礎(chǔ)表9-2 與SHOW命令相關(guān)的命令一覽表命 令作 用SHOW STAT顯示防火墻的基本狀態(tài)信息SHOW VERSION顯示防火墻的版本信息SHOW CONFIG顯示防火墻的詳細(xì)的配置信息（每次顯示一頁）SHOW CONFIGALL一次全部顯示所有基本配置功能SHOW MAC顯示防火墻各個(gè)接口的MAC地址第33頁，共35頁，2022年，5月20日，0點(diǎn)32分，星期四9-4 防火墻配置基礎(chǔ) SYSTEM:防火墻名稱，如在命令行中輸入“SYSTEM n name”就是設(shè)置防火墻的名稱。 TIME：設(shè)置和查看防火墻的時(shí)間。 WRITE：保存設(shè)置。 PASSWD：修改當(dāng)前登