信息安全技術(shù)（HCIA-Security）（微課版）（第2版） 教案 項目6 防火墻基礎(chǔ)介紹

教案《信息安全技術(shù)》第頁ADDINCNKISM.UserStyle授課周次與課時：第6周第21-24課時累計24課時課程名稱：信息安全技術(shù)授課課題：防火墻介紹教學(xué)目標：了解防火墻基本概念了解防火墻轉(zhuǎn)發(fā)原理了解防火墻安全策略掌握防火墻安全策略和配置教學(xué)要點：1.教學(xué)重點：掌握防火墻轉(zhuǎn)發(fā)原理2.教學(xué)難點：學(xué)會防火墻安全策略配置思政目標：加強學(xué)生網(wǎng)絡(luò)安全和人民關(guān)系的認識，共筑網(wǎng)絡(luò)安全防線；愛國主義，通過學(xué)生對中國網(wǎng)信事件的了解，增強學(xué)生的愛國主義意識；網(wǎng)絡(luò)強國，通過學(xué)生對中國數(shù)字基礎(chǔ)設(shè)施的學(xué)習(xí)，增強學(xué)生網(wǎng)絡(luò)強國的意識；課型：理實一體課教學(xué)與學(xué)法（教具）：多媒體教學(xué)過程：【課程思政/溫故知新】網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民，維護網(wǎng)絡(luò)安全是全社會共同的責任，需要政府、企業(yè)、社會組織、廣大網(wǎng)民共同參與，共筑網(wǎng)絡(luò)安全防線。思政主題：網(wǎng)絡(luò)強國、愛國主義習(xí)近平總書記指出“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”“要從國際國內(nèi)大勢出發(fā)，總體布局，統(tǒng)籌各方，創(chuàng)新發(fā)展，努力把我國建設(shè)成為網(wǎng)絡(luò)強國”。主章通過對華為防火墻的學(xué)習(xí)，主要了解防火墻的基本概念、安全策略、轉(zhuǎn)發(fā)原理，以及學(xué)會如何配置防火墻?！拘抡n講授】一、防火墻概述1、防火墻特征硬件防火墻，它是將各種安全技術(shù)融合在一起，采用專用的硬件結(jié)構(gòu)，選用高速的CPU、嵌入式的操作系統(tǒng)，支持各種高速接口（LAN接口），用來保護私有網(wǎng)絡(luò)（計算機）的安全，這樣的設(shè)備我們稱為硬件防火墻。硬件防火墻可以獨立于操作系統(tǒng)（HP-UNIX、SUNOS、AIX、NT等）、計算機設(shè)備（IBM6000、普通PC等）運行。它用來集中解決網(wǎng)絡(luò)安全問題，可以適合各種場合，同時能夠提供高效率的“過濾”。同時它可以提供包括訪問控制、身份驗證、數(shù)據(jù)加密、VPN技術(shù)、地址轉(zhuǎn)換等安全特性，用戶可以根據(jù)自己的網(wǎng)絡(luò)環(huán)境的需要配置復(fù)雜的安全策略，阻止一些非法的訪問，保護自己的網(wǎng)絡(luò)安全。2、防火墻分類防火墻發(fā)展至今已經(jīng)歷經(jīng)三代，分類方法也各色各樣，例如按照形態(tài)劃分可以分為硬件防火墻及軟件防火墻；按照保護對象劃分可以分為單機防火墻及網(wǎng)絡(luò)防火墻等。但總的來說，最主流的劃分方法是按照訪問控制方式進行分類，可以分為以下三種：包過濾防火墻代理防火墻狀態(tài)檢測防火墻3、防火墻組網(wǎng)方式方式一：防火墻只進行報文轉(zhuǎn)發(fā)，不能進行路由尋址，與防火墻相連兩個業(yè)務(wù)網(wǎng)絡(luò)必須在同一個網(wǎng)段中。此時防火墻上下行接口均工作在二層，接口無IP地址。方式二：防火墻位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間時，與內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)相連的上下行業(yè)務(wù)接口均工作在三層，需要分別配置成不同網(wǎng)段的IP地址，防火墻負責在內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)中進行路由尋址，相當于路由器。二、防火墻轉(zhuǎn)發(fā)原理1、包過濾技術(shù)包過濾能夠通過報文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口號、目的端口號、上層協(xié)議等信息組合定義網(wǎng)絡(luò)中的數(shù)據(jù)流，其中源IP地址、目的IP地址、源端口號、目的端口號、上層協(xié)議就是在狀態(tài)檢測防火墻中經(jīng)常所提到的五無組，也是組成TCP/UDP連接非常重要的五個元素。2、防火墻安全策略安全策略定義安全策略原理安全策略分類3、防火墻的轉(zhuǎn)發(fā)原理現(xiàn)在的防火墻產(chǎn)品主要采用了“狀態(tài)檢測”機制來進行包過濾?！盃顟B(tài)檢測”機制以流量為單位來對報文進行檢測和轉(zhuǎn)發(fā)，即對一條流量的第一個報文進行包過濾規(guī)則檢查，并將判斷結(jié)果作為該條流量的“狀態(tài)”記錄下來。對于該流量的后續(xù)報文都直接根據(jù)這個“狀態(tài)”來判斷是轉(zhuǎn)發(fā)（或進行內(nèi)容安全檢測）還是丟棄。這個“狀態(tài)”就是我們平常所述的會話表項。這種機制迅速提升了防火墻產(chǎn)品的檢測速率和轉(zhuǎn)發(fā)效率，已經(jīng)成為目前主流的包過濾機制。4、防火墻的查詢和創(chuàng)建會話什么是會話表會話是狀態(tài)檢測防火墻的基礎(chǔ)，每一個通過防火墻的數(shù)據(jù)流都會在防火墻上建立一個會話表項，以五元組為Key值，通過建立動態(tài)的會話表提供域間轉(zhuǎn)發(fā)數(shù)據(jù)流更高的安全性。查看會話表信息① displayfirewallsessiontable命令顯示會話表簡要信息② displayfirewallsessiontableverbose命令顯示會話表詳細信息三、防火墻安全策略及應(yīng)用1、安全策略的工作流程安全策略匹配原則安全策略業(yè)務(wù)流程下一代防火墻的安全策略優(yōu)勢2、安全策略的配置流程3、配置安全策略（SLI）（WEB）四、ASPF技術(shù)1、ASPF概述ASPF（ApplicationSpecificPacketFilter）是一種高級通信過濾技術(shù)，它負責檢查應(yīng)用層協(xié)議信息并且監(jiān)控連接的應(yīng)用層協(xié)議狀態(tài)。對于特定應(yīng)用協(xié)議的所有連接，每一個連接狀態(tài)信息都將被ASPF監(jiān)控并動態(tài)的決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。2、多通道協(xié)議技術(shù)通信過程中需占用兩個或兩個以上端口的協(xié)議。如：FTP被動模式下需占用21端口以及一個隨機端口。3、ASPF對多通道協(xié)議的支持在多通道協(xié)議中，如FTP，控制通道和數(shù)據(jù)通道是分開的。數(shù)據(jù)通道是在控制報文中動態(tài)協(xié)商出來的，為了避免協(xié)商出來的通道不因其他規(guī)則的限制（如ACL）而中斷，需要臨時開啟一個通道，ServerMap就是為了滿足這種應(yīng)用而設(shè)計的一種數(shù)據(jù)結(jié)構(gòu)。4、ServerMap表項5、端口識別對多通道協(xié)議的支持端口識別，也稱端口映射，是防火墻用來識別使用非標準端口的應(yīng)用層協(xié)議報文。端口映射支持的應(yīng)用層協(xié)議包括FTP、HTTP、RTSP、PPTP、MGCP、MMS、SMTP、H323、SIP、SQLNET。6、分片緩存分片緩存配置相關(guān)命令：配置分片緩存老化時間命令Firewallsessionaging-timefragmentinterval(1-40000)；開啟/關(guān)閉分片報文直接轉(zhuǎn)發(fā)功能命令Firewallfragment-forwardenable/disable；7、長連接長連接相關(guān)命令：配置長連接老化時間Firewalllong-linkaging-timetime；開啟長連接功能Firewallinterzonezone-name1zone-name2；lonk-linkacl-number{inbound|outbound}；【學(xué)生練習(xí)】綜合實驗：基于IP地址的轉(zhuǎn)發(fā)策略實驗?zāi)康模赫莆栈贗P地址控制訪問的配置方法實驗拓撲圖，如圖10-37所示：圖10-37實驗拓撲圖實驗步驟（CLI）步驟一：配置各個接口的IP地址并加入相應(yīng)的安全區(qū)域。<SRG>system-view配置防火墻各接口的IP地址，命令如下：[USG]interfaceGigabitEthernet0/0/0[USG-GigabitEthernet0/0/0]ipaddress24[USG-GigabitEthernet0/0/0]interfaceGigabitEthernet0/0/1[USG-GigabitEthernet0/0/1]ipaddress24[USG-GigabitEthernet0/0/1]quit將防火墻的G0/0/0接口加入trust區(qū)域[SRG]firewallzonetrust[USG-zone-trust]addinterfaceGigabitEthernet0/0/0[USG-zone-trust]quit將防火墻的0/0/1接口加入untrust區(qū)域[USG]firewallzoneuntrust[USG-zone-untrust]addinterfaceGigabitEthernet0/0/1[USG-zone-untrust]quit步驟二：配置名稱為ip_deny的地址集，將幾個不允許通過防火墻的IP地址加入地址集。創(chuàng)建名稱為ip_deny的地址集[USG]ipaddress-setip_denytypeobject將不允許通過防火墻的IP地址加入ip_deny地址集[USG-object-address-set-ip_deny]address0[USG-object-address-set-ip_deny]address0[USG-object-address-set-ip_deny]address0[USG-object-address-set-ip_deny]quit步驟三：創(chuàng)建不允許通過防火墻IP地址的轉(zhuǎn)發(fā)策略。[USG]security-policy[USG-policy-security]rulenamepolicy_deny[USG-policy-security-rule-policy_deny]source-addressaddress-setip_deny[USG-policy-security-rule-policy_deny]actiondeny[USG-policy-security-rule-policy_deny]quit步驟四：創(chuàng)建允許其他屬于/24這個網(wǎng)段的IP地址通過防火墻的轉(zhuǎn)發(fā)策略。[USG]security-policy[USG-policy-security]rulenamepolicy_permit[USG-policy-security-rule-policy_permit]source-address24[USG-policy-security-rule-policy_permit]actionpermit[USG-policy-security-rule-policy_permit]quit步驟五：測試不同IP地址通過防火墻的情況。Trust區(qū)域三臺PC分別用ping命令測試與untrust區(qū)域的www服務(wù)器的連通情況，應(yīng)該只有PC3的可以ping通服務(wù)器。實驗步驟（Web）步驟一：配置各個接口的IP地址，并加入相應(yīng)的安全區(qū)域，如圖10-38所示。選擇“網(wǎng)絡(luò)>接口>GE1/0/0”，配置接口IP地址，并加入到Trust區(qū)域。圖10-38接口加入安全區(qū)域重復(fù)上述步驟配置接口GE1/0/1的IP地址并加入Untrust區(qū)域。步驟二：配置地址集，如圖10-39所示。配置名稱為ip_deny的地址集，將幾個不允許上網(wǎng)的IP地址加入地址集。選擇“對象>地址>地址”，單擊“新建”，配置地址的各項參數(shù)。圖10-39配置地址集重復(fù)上述步驟配置名稱為ip_permit的地址集，將/24的網(wǎng)段加入地址集。步驟3：創(chuàng)建拒絕特殊的幾個IP地址訪問Internet的轉(zhuǎn)發(fā)策略。選擇“策略>安全策略>安全策略”，單擊“新建”，并輸入各項參數(shù)，如圖10-40所示。圖10-40配置拒絕轉(zhuǎn)發(fā)策略步驟四：創(chuàng)建允許/24這個網(wǎng)段訪問Internet的轉(zhuǎn)發(fā)策略，如圖10-41所示。圖10-41配置允許轉(zhuǎn)發(fā)策略步驟五：驗證結(jié)果，如圖10-42所示。配置好各PC的IP地址和網(wǎng)關(guān)。經(jīng)過驗證，發(fā)現(xiàn)、和這3臺PC無法訪問Internet；而/24中的其他IP地址均可以正常訪問Internet。圖10-42驗證實驗結(jié)果【學(xué)生練習(xí)】Windows防火墻和linux防火墻配置實驗?！军c評】【總結(jié)提煉】本章主要講解防火墻包過濾技術(shù)原理、防火墻轉(zhuǎn)發(fā)原理、防火墻安全策略應(yīng)用場景及配置方法