第10天 1防火墙 OK

第10课防火墙技术浙江工业职业技术学院本章内容快速配置防火墙防火墙的工作模式防火墙的策略路由配置防火墙的安全规则带宽管理和连接限制防火墙上配置DHCP服务防火墙的用户认证功能防火墙概述防火墙是一种控制隔离技术，采用综合的网络技术设置在被保护网络和外部网络之间的一道屏障，用以分隔被保护网络与外部网络系统，防止发生不可预测、潜在的破坏性侵入。防火墙设备像在两个网络之间设置了一道关卡，能根据用户的安全策略控制出入网络的信息流，防止非法信息流入被保护的网络内，且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施。国内外防火墙的主流品牌目前国内的防火墙几乎被国外的品牌占据了一半的市场，国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻，价格上也更具有优势。防火墙产品中，国外主流厂商为思科（Cisco）、CheckPoint、NetScreen等，国内主流厂商为东软、天融信等，它们都提供不同级别的防火墙产品。防火墙的基本配置方法锐捷防火墙的默认配置正确管理防火墙前，需要配置防火墙的管理主机、管理员帐号和权限、网口上可管理IP、防火墙管理方式。􀁺默认管理员帐号为admin，密码为firewall􀁺默认管理口：防火墙WAN口􀁺可管理IP：WAN口上的默认IP地址为192.168.10.100/24􀁺管理主机：默认为192.168.10.200/24􀁺默认管理方式：（1）管理主机用交叉线与WAN口连接（2）用电子钥匙进行身份认证（3）访问https://防火墙可管理IP地址:6667（注：若用证书进行认证，则访问https://防火墙可管理IP地址:6666）。登录帐号为默认管理员帐号与密码，访问WEB界面。此方式下的配置通信是加密的。通过CONSOLE口进行配置通过WEB方式进行配置通过WEB方式进行配置防火墙的接口类型网络接口区域显示防火墙的三类网络接口：LANWANWAN1DMZ局域网外网停火区DMZ解析DMZ是英文“demilitarizedzone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。防火墙的工作模式防火墙工作模式常见有三种：•路由模式•透明模式•混合模式。一、路由模式内外网通过地址转换（NAT）实现互访二、透明模式内网之间实现数据包过滤三、混合模式所谓混合模式是指将一台防火墙当作两台来用，这样的防火墙存在着路由和透明两种工作模式。防火墙的策略路由配置策略路由分类一、目的路由二、源地址路由三、路由负载均衡防火墙的安全规则NAT包过滤IP映射端口映射代理一、NAT二、包过滤三、IP映射(静态NAT)四、端口映射(NAT/NAPT)五、代理规则带宽管理和连接限制带宽管理案例一带宽管理案例二：BT下载限制连接限制案例一：限制主机的连接数连接限制案例二：限制服务器的连接数防火墙上设置DHCP服务一、配置DHCP服务器防火墙自己做DHCP服务器二、配置DHPC中继（Relay）DHCP服务器用户认证一、防火墙本地用户认证二、Radius认证的应用锐捷防火墙配置界面路由负载均衡配置端口映射配置