防火墻配置步驟講解課件

1、防 火 墻 制作人：袁清國 防火墻概述1、網(wǎng)絡(luò)設(shè)備（系統(tǒng)）簡介 路由器、（二/三）層交換機、防火墻、VPN、IDS/IPS、UTM、計費網(wǎng)關(guān)、AAA設(shè)備、流控（流量整形）系統(tǒng)、上網(wǎng)行為管理系統(tǒng)、日志系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、桌面管理系統(tǒng)、物理網(wǎng)閘、負載均衡等。2、防火墻定義 防火墻是位于兩個或多個網(wǎng)絡(luò)之間，執(zhí)行訪問控制策略的一個設(shè)備或一組系統(tǒng)的總稱。3、防火墻的功能及作用 它可以有效地保護本地系統(tǒng)或網(wǎng)絡(luò)，抵制外部網(wǎng)絡(luò)安全威脅，同時支持受限的通過WAN或Internet對外界進行訪問。 基本功能： （1）限定內(nèi)部用戶訪問外部網(wǎng)絡(luò)（內(nèi)網(wǎng)對外網(wǎng)訪問的控制）。 （2）防止未授權(quán)用戶訪問內(nèi)部網(wǎng)絡(luò)（外部對內(nèi)部的

2、訪問控制）。 （3）允許內(nèi)部網(wǎng)絡(luò)中的用戶訪問外部網(wǎng)絡(luò)而不泄漏自身的數(shù)據(jù)和資源（例如通過NAT后對外網(wǎng)不可見，單向PING）。 （4）記錄通過防火墻的信息內(nèi)容和活動（日志功能）。（5）對網(wǎng)絡(luò)攻擊進行監(jiān)測報警及防御（基本的網(wǎng)絡(luò)安全檢測防御能力）。（6）使用互連/NAT方式進行網(wǎng)絡(luò)組建擴展功能：（1）路由和網(wǎng)橋模式的安全防御。（2）實現(xiàn)VPN的功能。（3）和IDS聯(lián)動或集成IDS/IPS功能。（4）集成流量控制的功能,實現(xiàn)負載均衡功能。（5）集成網(wǎng)絡(luò)計費,防范垃圾郵件，網(wǎng)頁內(nèi)容過濾，防范病毒/木馬。3、防火墻的分類軟/硬件類型軟件防火墻：ISA,m0n0,Checkpoint,Iptables,pf

3、sense，硬件防火墻:Netscreen,Cisco pix/ASA,H3C secpath,天融信，神碼DCFW,銳捷 RG-wall,中軟，聯(lián)想網(wǎng)御等 按照用途網(wǎng)間防火墻：服務(wù)器防火墻：Blackice,諾頓、Checkpoint服務(wù)防火墻：SecureIISWeb、Anti-ARP、抗DDos防火墻等、個人防火墻：瑞星、天網(wǎng)、費爾、ZoneAlarm 電信級：華為Eudemon 100E、 DCFW-1800E企業(yè)級：ISA,DCFW-1800S,PIX 515/525/525SOHO級：Cisco 501/506, SONICWALL按硬件體系結(jié)構(gòu)X86架構(gòu)(PC架構(gòu)工控機) ：國內(nèi)

4、大部分的SOHO防火墻NP架構(gòu)(網(wǎng)絡(luò)處理器) :天融信，聯(lián)想網(wǎng)御AISC架構(gòu)(專用集成電路) :Netscreen,Cicso,按工作原理狀態(tài)監(jiān)測防火墻：ISA,m0n0,大部分的硬件防火墻包過濾防火墻:Winroute,ROS,大部分的硬件路由器應(yīng)用級代理防火墻:Wingate,Cgate,Ccproxy4、防火墻的工作原理（1）包過濾防火墻（靜態(tài)包過濾） 包過濾防火墻工作在網(wǎng)絡(luò)層，對數(shù)據(jù)包的源及目地 IP 具有識別和控制作用，對于傳輸層，也只能識別數(shù)據(jù)包是TCP還是UDP及所用的端口信息?，F(xiàn)在的路由器、三層交換機以及某些操作系統(tǒng)已經(jīng)具有包過濾的控制能力。 優(yōu)點：由于只對數(shù)據(jù)包的 IP 地址

5、、 TCP/UDP 協(xié)議和端口進行分析，包過濾防火墻的處理速度較快，并且易于配置。 缺點：不能有效防范黑客入侵，不支持應(yīng)用層協(xié)議，不能處理新的安全威脅。 （2）應(yīng)用代理技術(shù)防火墻： 應(yīng)用代理網(wǎng)關(guān)防火墻徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信，內(nèi)網(wǎng)用戶對外網(wǎng)的訪問變成防火墻對外網(wǎng)的訪問，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。所有通信都必須經(jīng)應(yīng)用層代理軟件轉(zhuǎn)發(fā)，訪問者任何時候都不能與服務(wù)器建立直接的 TCP 連接，應(yīng)用層的協(xié)議會話過程必須符合代理的安全策略要求。 優(yōu)點：可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對數(shù)據(jù)包的檢測能力比較強，網(wǎng)絡(luò)安全級別高。 缺點，難于配置，處理速度非常慢，需配置各種代理。（3）狀態(tài)檢測防

6、火墻（動態(tài)包過濾） 狀態(tài)檢測防火墻摒棄了包過濾防火墻僅考查數(shù)據(jù)包的 IP 地址端口等幾個參數(shù)，而不關(guān)心數(shù)據(jù)包連接狀態(tài)變化的缺點，在防火墻的核心部分建立狀態(tài)連接表，并將進出網(wǎng)絡(luò)的數(shù)據(jù)當成一個個的會話，利用狀態(tài)表跟蹤每一個會話狀態(tài)。狀態(tài)監(jiān)測對每一個包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)，因此提供了完整的對傳輸層的控制能力。優(yōu)缺點：包轉(zhuǎn)發(fā)效率和網(wǎng)絡(luò)安全性高，但對應(yīng)用層的控制較差。5、防火墻的工作模式 防火墻的工作模式有路由模式、透明橋模式和混合模式三大類。防火墻缺省工作模式，防火墻可以充當路由器，提供路由功能內(nèi)部網(wǎng)絡(luò)防火墻的各個接口處于不同的網(wǎng)段Internet（1）路由模式：

7、防火墻可以充當路由器，提供路由功能。L3 SwitchRouter防火墻可以方便的接入到網(wǎng)絡(luò)，而且保持所有的網(wǎng)絡(luò)設(shè)備配置完全不變此時防火墻類似網(wǎng)橋的工作方式，降低網(wǎng)絡(luò)管理的復(fù)雜度Internet內(nèi)部網(wǎng)絡(luò)（2）網(wǎng)橋模式：防火墻可以方便的接入到網(wǎng)絡(luò)(類似于交換機)，而且保持所有的網(wǎng)絡(luò)設(shè)備配置完全不變。（3）混合模式：防火墻同時工作在路由模式和橋模式（NAT基于路由模式）。橋防火墻同時工作在路由模式和橋模式FTPwwwDMZ區(qū)內(nèi)部網(wǎng)絡(luò)Internet路由NAT防火墻的網(wǎng)橋接口啟用NAT轉(zhuǎn)換外部接口和DMZ接口組成透明方式（4）混合模式配置實例：6、防火墻系統(tǒng)組網(wǎng)模型 （1）屏蔽路由器結(jié)構(gòu)：屏蔽路由器

8、結(jié)構(gòu)是防火墻最基本的結(jié)構(gòu)。屏蔽路由器作為內(nèi)外連接的惟一通道，要求所有的報文都必須在此通過IP地址或端口檢查，屏蔽路由器一般為具備包過濾（靜態(tài)或動態(tài)包過濾）功能的防火墻承擔。優(yōu)點為實現(xiàn)比較簡單，屏蔽路由器對用戶透明，而且設(shè)置靈活，所以應(yīng)用比較廣泛。這種體系結(jié)構(gòu)存在以下缺點： (a) 無法對應(yīng)用層的網(wǎng)絡(luò)攻擊和入侵進行有效防御和保護。 (b) 規(guī)則表隨著應(yīng)用的深化會變得很大而且很復(fù)雜。 (c) 依靠單一的防火墻來保護網(wǎng)絡(luò)，一旦防火墻出現(xiàn)問題會完全失去對內(nèi)網(wǎng)保護（2）雙穴主機網(wǎng)關(guān)結(jié)構(gòu) 這種配置是用一臺裝有兩塊網(wǎng)卡的堡壘主機做防火墻。兩塊網(wǎng)卡各自與受保護網(wǎng)和外部網(wǎng)相連，每塊網(wǎng)卡都有獨立的IP地址。堡壘主

9、機上運行著防火墻軟件(應(yīng)用層代理防火墻)，可以轉(zhuǎn)發(fā)應(yīng)用程序，也可提供服務(wù)等功能。 雙穴主機網(wǎng)關(guān)優(yōu)于屏蔽路由器的地方是內(nèi)網(wǎng)用戶都通過代理上網(wǎng)，而沒有發(fā)生和外網(wǎng)的真正鏈接，對網(wǎng)絡(luò)的保護較好，而且資金投入較少。 雙穴主機網(wǎng)關(guān)的缺點是內(nèi)網(wǎng)的安全性完全依賴于堡壘主機的安全性，而堡壘主機一旦遭受入侵，則內(nèi)部網(wǎng)絡(luò)將暴露無遺。另一個問題是使用應(yīng)用層代理防火墻的上網(wǎng)數(shù)度慢，網(wǎng)絡(luò)配置復(fù)雜，代理技術(shù)對某些網(wǎng)絡(luò)應(yīng)用有限制。此外（3）屏蔽主機網(wǎng)關(guān)結(jié)構(gòu) 屏蔽主機網(wǎng)關(guān)易于實現(xiàn)也很安全，因此應(yīng)用廣泛。屏蔽主機網(wǎng)關(guān)包括一個包過濾路由器連接外部網(wǎng)絡(luò)，同時一個堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)則，并使這個堡壘主機（

10、應(yīng)用層代理防火墻)成為從外部網(wǎng)絡(luò)惟一可直接到達的主機，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。進出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)只能沿圖中的虛線流動。 網(wǎng)絡(luò)的安全性有極大的提高，可以實現(xiàn)網(wǎng)絡(luò)底層和高層的立體防護，但由于應(yīng)用層代理的加入會對網(wǎng)絡(luò)的速度造成影響，而且設(shè)備投入較大，網(wǎng)絡(luò)管理和實現(xiàn)復(fù)雜。（4） 屏蔽子網(wǎng)結(jié)構(gòu) 在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實現(xiàn)過程中由兩個包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個“非軍事區(qū) (DMZ區(qū))” ，在該區(qū)可以放置供外網(wǎng)訪問的Internet公共服務(wù)器，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng)，但禁止它們穿過被屏蔽子網(wǎng)通信，像WWW和FTP服務(wù)器可放在DMZ中。有的屏蔽子網(wǎng)中還設(shè)有一臺堡壘主機作為惟一可訪問結(jié)點， 該方法網(wǎng)絡(luò)安全性高，而且網(wǎng)路的訪問速度較快，由于Intern