单元4---防火墙与入侵检测技术的应用

项目4防火墙与入侵检测技术的应用检查项目5课后拓展任务在信息化建设不断加强和深化的今天，网络是一把双刃剑，利用得好会给人们提供巨大的帮助，但如果使用不当，就会造成不可弥补的损失。因此网络管理员需要强有力的工具和耐心、细心来保障网络的正常有效运行。课前导入了解防火墙、入侵检测的主要应用掌握防火墙、入侵检测技术的工作原理、作用、体系结构、主要技术掌握防火墙、入侵检测技术应用的位置掌握防火墙的基本、简单配置知识目标技能目标认识防火墙和入侵检测产品能完成防火墙的基本配置至少掌握一种防火墙、入侵检测软件的配置和使用学会防火墙和入侵检测技术在实际网络中的应用掌握网络访问控制的配置【项目描述】在通用的网络安全防护手段中，大部分的用户和管理员都比较注意服务器和用户端病毒、木马、恶意软件的防护，条件允许的企业还安装了防火墙来提高网络安全性。星星有限公司为了保障公司网络安全，购买了一台硬件防火墙，用于防范外部网络的攻击并对内部网络用户的访问进行控制，此外还做了以下规定。上班时间不能聊QQ或MSN，不能上网玩“种菜”或观看在线电影。上班时不能下载大容量文件。另一家杜危软件公司由于条件有限，没有购买防火墙，网络管理员王兴为了网络安全运行，通过配置路由器来执行防火墙的功能。项目分解任务一：配置和应用防火墙任务1-1防火墙的基本配置任务1-2防火墙的应用任务1-3防火墙的安放位置任务二：应用入侵检测技术任务2-1认识入侵检测系统任务2-2基于SessionWall的入侵检测任务实施过程任务一：配置和应用防火墙任务1-1防火墙的基本配置防火墙设备初始化配置路由器充当防火墙的基本配置模拟软件的下载与安装通过模拟软件实现基本配置软件防火墙的基本配置任务实施过程任务一：配置和应用防火墙任务1-1防火墙的基本配置防火墙设备初始化配置PIX防火墙的接口分类PIX防火墙使用的算法及规定内部接口：外部接口：通常连接专用网络通常连接公共网络算法：规定：自适应安全算法（ASA)如果没有规则许可，任何流量都不得从低等级接口流向高等级接口。任务实施过程任务一：配置和应用防火墙任务1-1防火墙的基本配置防火墙设备初始化配置网络设备环境设备：要求：PIX防火墙内部网络IP：192.168.1.0子网掩码：255.255.255.0防火墙IP：192.168.1.1外部网络IP：1.1.1.0子网掩码：255.255.255.0防火墙地址：1.1.1.1任务实施过程任务一：配置和应用防火墙任务1-1防火墙的基本配置防火墙设备初始化配置网络设备设置连接任务实施过程任务一：配置和应用防火墙任务1-1防火墙的基本配置防火墙设备初始化配置网络设备设置基本设置任务实施过程任务一：配置和应用防火墙任务1-1防火墙的基本配置防火墙设备初始化配置网络设备设置基本设置任务实施过程任务一：配置和应用防火墙任务1-1防火墙的基本配置防火墙设备初始化配置网络设备设置基本设置cisco#configterminal//进入全局配置模式Cisco(config)#interfaceinterface0/0//进入接口Cisco(config-if)#ipIP地址IP子网掩码//为接口配置ip地址和子网掩码Cisco(config-if)#nameifoutside//将该接口指定为外部接口Cisco(config-if)#noshutdown//激活该接口Cisco(config-if)#exit//返回全局配置模式Cisco(config)#interface接口//进入接口模式Cisco(config-if)#ipIP地址IP子网掩码//为接口配置ip地址和子网掩码Cisco(config-if)#nameifinside//将该接口指定为内部接口Cisco(config-if)#noshutdown//激活该接口Cisco(config-if)#exit//返回全局配置模式任务实施过程任务一：配置和应用防火墙任务1-1防火墙的基本配置防火墙设备初始化配置网络设备设置基本设置Cisco(config)#webvpn//启动webvpn功能Cisco(config-webvpn)#enableoutside//允许vpn对外访问Cisco(config-webvpn)#svcdisk0:/********.pkg//指定SSLVPN客户端Cisco(config-webvpn)#svcenable//使安全设备能够将SVC文件下载到远程计算机中。任务实施过程任务一：配置和应用防火墙任务1-1防火墙的基本配置防火墙设备初始化配置路由器充当防火墙的基本配置模拟软件的下载与安装通过模拟软件实现基本配置软件防火墙的基本配置任务实施过程通过模拟软件实现基本配置网络环境硬件设备：路由器1台、交换机1台、内网主机3台，外网主机2台，内网web服务器1台。IP地址：内网地址为192.168.1.0/24，外网地址为214.1.1.1/29各接口地址及名称任务实施过程通过模拟软件实现基本配置各接口地址及名称设备接口IP地址用途路由器f0/0192.168.1.1连接内网f1/0192.168.2.1连接WEB服务器f2/0214.1.1.1连接外网内部主机0FA192.168.1.20连接交换机内部主机1FA192.168.1.21连接交换机内部主机2FA192.168.1.22连接交换机外部主机0FA214.1.1.2连接路由器任务实施过程通过模拟软件实现基本配置各接口地址及名称配置要求开启web服务器的HTTP服务内网主机能访问外网主机内网主机可以利用内网地址访问web服务器允许内网主机与外网主机进行ICMP通信任务实施过程通过模拟软件实现基本配置各接口地址及名称设置利用packettracer5绘制拓扑结构图任务实施过程通过模拟软件实现基本配置各接口地址及名称设置配置各接口IP地址主机0的配置任务实施过程通过模拟软件实现基本配置各接口地址及名称设置配置各接口IP地址主机0的配置任务实施过程通过模拟软件实现基本配置各接口地址及名称设置配置各接口IP地址主机1的配置任务实施过程通过模拟软件实现基本配置各接口地址及名称设置配置各接口IP地址主机1的配置任务实施过程通过模拟软件实现基本配置各接口地址及名称设置配置各接口IP地址主机2的配置任务实施过程通过模拟软件实现基本配置各接口地址及名称设置配置各接口IP地址主机2的配置任务实施过程通过模拟软件实现基本配置各接口地址及名称设置配置各接口IP地址外部主机的配置任务实施过程通过模拟软件实现基本配置各接口地址及名称设置配置各接口IP地址外部主机的配置任务实施过程通过模拟软件实现基本配置各接口地址及名称设置配置各接口IP地址服务器的配置任务实施过程通过模拟软件实现基本配置各接口地址及名称设置配置各接口IP地址服务器的配置任务实施过程通过模拟软件实现基本配置各接口地址及名称设置配置各接口IP地址路由器的IP配置任务实施过程通过模拟软件实现基本配置各接口地址及名称设置配置各接口IP地址路由器的IP配置任务实施过程通过模拟软件实现基本配置各接口地址及名称设置配置各接口IP地址路由器的IP配置任务实施过程通过模拟软件实现基本配置各接口地址及名称设置配置HTTPHTTP配置任务实施过程通过模拟软件实现基本配置各接口地址及名称设置设置NAT和ACLrouterEn//进入特权模式router#ConfigtRouter(config)#Intf0/0//进入路由器的F0/0接口Router(config-if)#Ipaccess-group110in\\配置访问控制列表Router(config-if)#Ipnatinside//F0/0为NAT地址转换的内部接口Router(config-if)#Intf1/0//进入路由器的F1/0接口Router(config-if)#Ipnatinside//F1/0为NAT地址转换的内部接口Router(config-if)#Intf5/0Router(config-if)#Ipnatoutside//F5/0为NAT地址转换的外部接口任务实施过程通过模拟软件实现基本配置各接口地址及名称设置设置NAT和ACLRouter(config-if)#Ipnatinsidesourcelist110interfacef2/0overload//对列表110定义的源地址进行动态地址转换，都转化为F2/0的公网地址Router(config)#ipnatinsidesourcestatic192.168.2.2214.1.1.1Router(config)#access-list110denyicmphost192.168.1.21host192.168.2.2Router(config)#access-list110denyicmphost192.168.1.21host214.1.1.2Router(config)#access-list110permitipanyany任务实施过程任务一：配置和应用防火墙任务1-1防火墙的基本配置防火墙设备初始化配置路由器充当防火墙的基本配置模拟软件的下载与安装通过模拟软件实现基本配置软件防火墙的基本配置任务实施过程任务一：配置和应用防火墙软件防火墙的基本配置应用于小企业或很少向外网提供服务的企业。本次使用科摩多网络安全套装(COMODOInternetSecurity)下载地址：安装方法：按提示进行安装，安装后重新启动计算机，进行配置。任务实施过程任务一：配置和应用防火墙软件防火墙的基本配置应用于小企业或很少向外网提供服务的企业。科摩多网络安全套装中防火墙的配置先设置“防火墙行为设置”任务实施过程任务一：配置和应用防火墙软件防火墙的基本配置应用于小企业或很少向外网提供服务的企业。科摩多网络安全套装中防火墙的配置防火墙行为设置：如图任务实施过程任务一：配置和应用防火墙软件防火墙的基本配置应用于小企业或很少向外网提供服务的企业。科摩多网络安全套装中防火墙的配置防火墙行为设置：如图任务实施过程任务一：配置和应用防火墙软件防火墙的基本配置应用于小企业或很少向外网提供服务的企业。科摩多网络安全套装中防火墙的配置防火墙行为设置：如图任务实施过程任务一：配置和应用防火墙软件防火墙的基本配置应用于小企业或很少向外网提供服务的企业。科摩多网络安全套装中防火墙的配置防火墙的网络安全规则设置：如图任务实施过程任务一：配置和应用防火墙软件防火墙的基本配置应用于小企业或很少向外网提供服务的企业。科摩多网络安全套装中防火墙的配置防火墙的网络安全规则设置：如图选中规则中的任一规则，可以对其进行“编辑”设置，如任务实施过程任务1-3防火墙的安放位置1．防御主机2．屏蔽子网3．双重防火墙任务实施过程任务1-3防火墙的安放位置1．防御主机这是一种最基本的防御方法，也是常用的防御方法。位置：Internet和受保护网络之间，用防火墙来过滤所有人进入和离开受保护网络的流量。防御主机是内部网络和外部网络之间的一个网关，它用来防御针对内部网络的攻击。防御主机适合于结构简单的网络，或不提供任何公共互联网服务的网络。受保护网络Internet防火墙任务实施过程任务1-3防火墙的安放位置1．防御主机2．屏蔽子网3．双重防火墙任务实施过程任务1-3防火墙的安放位置2．屏蔽子网该方式使用带有3个网卡的单一防火墙。屏蔽子网是在内部网络