网络安全讲义第7章教案

第七章防火墙授课时数：2类型：理论课教学目的、要求：1、了解防火墙功能2、掌握防火墙技术手段3、理解一种防火墙配置方法和过程教学重点：防火墙的三种结构体系教学难点：实现技术分类防火墙的基本的三种技术类型教学方法和手段：讲授法、案例分析法、分组讨论法教学环境要求：多媒体教室参考书：计算机网络安全技术（第3版）石淑华，池瑞楠人民邮电出版社教学内容及过程[教学引入]（5min）：（提问）同学们你们有没有注意到windows系统一直有个软件叫防火墙？有时候它会主动弹出来提示上网风险，它是什么呢？其实在我们内网访问外网的关节处一样有个类似的东西叫防火墙，它又是什么呢？[教学内容与教学设计]：第七章防火墙7.1防火墙概述7.1.1什么是防火墙（5min）在计算机网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制策略，它能允许“可以访问”的人和数据进入网络，同时将“不允许访问”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问网络。如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。7.1.2防火墙的功能（10min）1．防火墙的访问控制功能访问控制功能就是对经过防火墙的所有通信进行连通或阻断的安全控制。2.防火墙的防止外部攻击防火墙的内置黑客入侵检测与防范机制可以通过检查TCP连接中的数据包的序号来保护网络免受黑客攻击。3.防火墙的地址转换同时支持正向、反向地址转换。4.防火墙的日志与报警5.防火墙的身份认证防火墙可以根据用户认证的情况动态地调整安全策略，实现用户对网络的授权访问7.2防火墙技术按照实现技术分类防火墙的基本类型有：包过滤型、代理服务型和状态包过滤型。7.2.1防火墙的包过滤技术（5min）包过滤(PacketFilter)通常安装在路由器上，并且大多数商用路由器都提供了包过滤的功能。包过滤是一种安全筛选机制，它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。7.2.2防火墙的应用代理技术（10min）代理服务(ProxyService)系统一般安装并运行在双宿主机上。双宿主机是一个被取消路由功能的主机，与双宿主机相连的外部网络与内部网络之间在网络层是被断开的。这样做的目的是使外部网络无法了解内部网络的拓扑。这与包过滤防火墙明显不同，就逻辑拓扑而言，代理服务型防火墙要比包过滤型更安全。7.2.3防火墙的状态检测技术（5min）状态检测防火墙在网络层由一个检测模块截获数据包，并抽取与应用层状态有关的信息，并以此作为依据决定对该连接是接受还是拒绝。会话层传输层网络层数据链路层物理层包过滤防火墙表示层应用层会话层传输层网络层数据链路层物理层表示层应用层会话层传输层网络层数据链路层物理层代理服务器表示层应用层会话层传输层网络层数据链路层物理层表示层应用层会话层传输层网络层数据链路层物理层状态检测防火墙表示层应用层会话层传输层网络层数据链路层物理层表示层应用层7.2.4防火墙系统体系结构（10min）在实际应用中，构筑防火墙的“真正的解决方案”很少采用单一的技术，通常是多种解决不同问题的技术的有机组合。也就是说可以采用多种体系结构来构建防火墙系统。3种常见的体系结构是：双重宿主主机体系结构、屏蔽主机体系结构和屏蔽子网体系结构。7.3防火墙应用典型案例（25min）1、背景描述某公司的网络环境如下：（1）拥有外部的internet的合法地址：202.205.113.65，外部网关地址：202.205.113.1（2）公司向外部提供服务，但要防止被DOS攻击。（3）公司内部网可以访问外部internet和DMZ服务器。（4）从内部向外部的访问要求是：进行用户认证，只有合法用户才能访问外部internet和DMZ服务器。内部网的用户只允许使用TCP访问服务。2、系统规则：内部网络使用保留IP地址，通过NAT方式访问外部internet，网络地址段为：192.168.1.0/24（内网），内部，DMZ网段：10.10.10.0/24，服务器：10.10.10.10。防火墙各网卡地址设计为：External:202.205.113.65Internal:192.168.1.1DMZ:10.10.10.1（本例中使用ST防火墙）1、功能配置1）安装ST防火墙2）配置ST防火墙3）配置NAT规则4）配置过滤规则小结：（5min）本章讲述了防火墙这种网络安全最基本的防护技术，概括了防火墙的主要功能、几种主流技术类型。通过典型案例分析介绍了防火墙在网络安全防护体系中的部属方法以及配置要点。作业布置：尝试完成在原有试验基础上添加DMZ相关规则：1．外网也可以访问DMZ区域的服务课后反馈：1.路由器，防火墙，NAT关系有点混淆。2.学生反映理论理解容易，但是实施较困难，其中要涉及到网络架构知识。