您好,欢迎访问三七文档
防火墙配置与应用第12章9-1防火墙简介9-1-1防火墙的概念•防火墙(Firewall)的本义•网络中的防火墙是指隔离内部网络与外部网络之间的一道防御系统,是目前一种最重要网络防护硬件或软件。•防火墙的图标如图9-1所示。9-1防火墙简介•9-1-2防火墙的功能•创建一个阻塞点。•隔离不同网络,防止内部信息泄漏。•强化网络安全策略。•有效地审计和记录内、外部网络上的活动。•有效地审计和记录内、外部网络上的活动。9-1防火墙简介•9-1-3防火墙的分类•1.按防火墙的软、硬件形式分•软件防火墙•硬件防火墙•芯片级防火墙•2.按防火墙技术分•包过滤型•应用代理型9-1防火墙简介•9-1-3防火墙的分类•3.防火墙结构分•单一主机防火墙•路由器集成式防火墙•分布式防火墙•4.按防火墙的应用部署位置分•边界防火墙•个人防火墙•混合防火墙9-1防火墙简介•9-1-3防火墙的分类•5.按防火墙性能分•百兆级防火墙•千兆级防火墙9-2防火墙技术•9-2-1包过滤技术•优点:包过滤技术的优点在于一个过滤路由器能协助保护整个网络;数据包过滤对用户透明;过滤路由器速度快、效率高。•包过滤技术的缺点则是不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些安全策略。9-2防火墙技术•9-2-1包过滤技术•在包过滤技术的发展中,出现过两种不同的技术,即:静态包过滤和动态过滤。•包过滤防火墙的典型网络拓扑图如图9-4所示。外部网络防火墙内部网络图9-4包过滤防火墙的典型网络拓扑图9-2防火墙技术•9-2-2网络地址转换(NAT)•在防火墙上部署NAT的方式可以有几种:•M-1:多个内部网络地址转换到1个IP地址。•1-1:简单的一对一地址转换。•M-N:多个内部网地址转换到N个IP地址池。9-2防火墙技术•9-2-3应用级网关•应用级网关技术的主要优点:可以提供用户级的身份认证、日志记录和帐号管理。•应用级网关技术的缺点灵活性不够,严重制约了新应用的采纳。9-2防火墙技术•9-2-4其他防火墙技术•电路级网关•堡垒主机•非军事化区•透明模式/透明代理•屏蔽路由器•阻塞路由器•隔离域名服务器•邮件转发技术•状态监视器9-3防火墙主流产品介绍•CiscoSecurePIX防火墙•华为3ComQuidway®SecPath系列防火墙•天融信NGFW4000系列防火墙9-4防火墙配置基础•9-4-1防火墙基本配置原则•默认情况下,所有的防火墙都是按以下两种情况配置的:•拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。•允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。9-4防火墙配置基础•9-4-1防火墙基本配置原则•防火墙的配置过程中的三个基本原则:•简单实用•全面深入•内外兼顾9-4防火墙配置基础•9-4-2天融信NGFW4000的应用与配置•对天融信防火墙进行配置与管理可以通•过三种方式:•本地控制台端口•远程Telnet•SSH(SecureShell)9-4防火墙配置基础•9-4-2天融信NGFW4000的应用与配置•(1)本地控制台端口•用一根CONSOLE线缆连接防火墙的CONSOLE接口与PC(或笔记本)的串口。•在Windows操作系统中,选择开始-程序-附件-通讯-超级终端。打开超级终端见面,系统提示输入新建连接的名称,用户可以输入任何(NGFW4000)。如图9-7所示。9-4防火墙配置基础•9-4-2天融信NGFW4000的应用与配置图9-7新建连接的对话框9-4防火墙配置基础•输入名称确定后,提示选择PC连接的端口。一般选择COM1。如图9-8所示。图9-8使用计算机的COM1接口与防火墙连接9-4防火墙配置基础•然后就要对COM1接口进行属性设置。具体参数设置如图9-9所示。9-4防火墙配置基础图9-9接口属性设置对话框9-4防火墙配置基础•(2)Telnet远程管理•Telnet远程管理的的前提条件是要用一根双绞线(交叉线)连接管理PC的网卡接口和防火墙的物理接口,或者将管理PC连接到防火墙的物理接口所在的网络。•9-4防火墙配置基础•①WINDOWS命令提示符下登录•在WindowsXP中,在桌面上选择开始-运行,在“运行”窗口中输入cmd,如图9-10所示。②④⑤图9-10运行“CMD”,进入命令提示符对话框9-4防火墙配置基础•确定后,DOS命令窗口打开,输入telnet(不分大小写)以及防火墙接口的IP地址。如图9-11所示。图9-11打开命令提示符对话框进行telnet远程连接防火墙9-4防火墙配置基础•连接到防火墙后,窗口提示输入密码(默认密码为talent),键入密码后就能成功登录到防火墙了。9-4防火墙配置基础•②使用HyperTerminal(超级终端)登录•如何打开超级终端和输入名称在前面已经介绍过了,这里就不再介绍了。唯一不同的是在选择连接接口是,我们应该选择“TCP/IP(Winsock)”,并且输入连接防火墙的物理接口的IP地址,这里我们的IP地址假设为172.16.1.254,端口号为23(telnet默认端口号)。如图9-12所示。9-4防火墙配置基础图9-12使用基于TCP/IP协议的23端口与防火墙连接确定后,出现登录窗口。然后键入密码(默认密码为talent)就可以成功登录防火墙了。9-4防火墙配置基础•③SSH远程管理•SSH的优点:在SSH连接中,所有的数据都是经过加密后再进行传输的,这样就保证了防火墙的关键信息(如密码等),在传输过程中不会被窃听而导致泄漏。•SSH客户端软件可以在网上搜索下载。UNIX系统,使用OpenSSH;Windows操作系统(32位),则使用PUTTY来登录防火墙。9-4防火墙配置基础•运行PUTTY程序,设置Session的各项参数。具体参数如图9-13所示。图9-13Putty程序的主界面,提供设置各种参数9-4防火墙配置基础•NGFW4000在出厂时就有了一些简单的配置,目的是为了方便用户。这些配置如下:•初始用户名:superman•初始密码:talent•内网(intranet):Eth2接口,IP地址192.168.1.250,该区域可ping到防火墙。•外网(internet):Eth1接口,该接口的缺省访问权限为可读,可写,可执行,该区域可ping到防火墙。•SSN:Eth0接口,该区域可ping到防火墙。9-4防火墙配置基础•防火墙登录控制客户列表,如表9-1所示:表9-1防火墙初始的登录控制客户列表名称类型防火区域地址GuiGUI内网0.0.0.0-255.255.255.255telnetTELNET内网0.0.0.0-255.255.255.255UpgradeUPGRADE(防火墙升级)内网0.0.0.0-255.255.255.2559-4防火墙配置基础•防火墙的一些基本命令(严格区分大小写):•EXIT和QUIT:退出命令行。•HELP/?:获取帮助。•RELOAD:重载上次保存的配置。•REBOOT:重启防火墙。•SHOW:查看基本信息,一些相关命令如表9-2所示。9-4防火墙配置基础•表9-2与SHOW命令相关的命令一览表命令作用SHOWSTAT显示防火墙的基本状态信息SHOWVERSION显示防火墙的版本信息SHOWCONFIG显示防火墙的详细的配置信息(每次显示一页)SHOWCONFIGALL一次全部显示所有基本配置功能SHOWMAC显示防火墙各个接口的MAC地址9-4防火墙配置基础•SYSTEM:防火墙名称,如在命令行中输入“SYSTEM–nname”就是设置防火墙的名称。•TIME:设置和查看防火墙的时间。•WRITE:保存设置。•PASSWD:修改当前登录管理员的密码。•AREA:防火区的基本属性设置,防火区的基本属性包括防火区的名称、日志格式、访问权限、基本访问控制和接口的VLAN。命令AREA的基本用法可以参考书本P177,命令中的相关属性还可以参看表9-3。9-4防火墙配置基础•大家可以按照书本上介绍的实验,体会这些命令的用法,以及天融信防火墙的配置过程。TheEnd
本文标题:防火墙配置与应用
链接地址:https://www.777doc.com/doc-3607002 .html