（中職）中小型網(wǎng)絡(luò)構(gòu)建與管理綜合實(shí)訓(xùn)教程項(xiàng)目六　構(gòu)建安全的網(wǎng)絡(luò)教學(xué)課件

1、YCF正版可修改PPT（中職）中小型網(wǎng)絡(luò)構(gòu)建與管理綜合實(shí)訓(xùn)教程項(xiàng)目六構(gòu)建安全的網(wǎng)絡(luò)教學(xué)課件項(xiàng)目六構(gòu)建安全的網(wǎng)絡(luò)任務(wù)一保障網(wǎng)絡(luò)設(shè)備的安全任務(wù)二保障網(wǎng)絡(luò)區(qū)域的安全任務(wù)三提高整個(gè)網(wǎng)絡(luò)的安全返回任務(wù)一保障網(wǎng)絡(luò)設(shè)備的安全.任務(wù)分析為了保證網(wǎng)絡(luò)接入設(shè)備安全,可以在接入交換機(jī)端口上對(duì)網(wǎng)絡(luò)中所有接入用戶(hù)認(rèn)證,保證網(wǎng)絡(luò)中只有合法用戶(hù)才可以接入內(nèi)部網(wǎng)絡(luò).在接入設(shè)備上啟動(dòng)端口安全功能,將特定主機(jī)MAC地址和IP綁定在端口上,并配置交換機(jī)端口最大連接數(shù),限制在交換機(jī)端口下主機(jī)的接入臺(tái)數(shù).另外,在每臺(tái)設(shè)備上設(shè)置管理員登錄口令,防止非管理員用戶(hù)登錄到網(wǎng)絡(luò)查看設(shè)備配置信息.下一頁(yè)返回任務(wù)一保障網(wǎng)絡(luò)設(shè)備的安全.知識(shí)準(zhǔn)備.交換

2、機(jī)端口安全知識(shí)二層交換機(jī)安全主要表現(xiàn)在端口安全上,在交換機(jī)端口上檢查所有接入計(jì)算機(jī)的合法性,如圖所示.利用交換機(jī)端口安全功能,防止局域網(wǎng)內(nèi)部攻擊,如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等.另外,還可以實(shí)施交換機(jī)其他安全,例如病毒防護(hù)、入侵檢測(cè)等.通過(guò)交換機(jī)某個(gè)端口上限制接入設(shè)備的MAC地址或IP地址,將MAC和IP地址與交換機(jī)端口綁定,設(shè)置安全接入地址,控制對(duì)該端口的接入訪問(wèn).交換機(jī)配置安全端口功能,并配置安全地址,如果該端口發(fā)現(xiàn)主機(jī)MAC地址與交換機(jī)上指定的MAC地址不同,交換機(jī)產(chǎn)生一個(gè)安全違例,相應(yīng)端口將關(guān)閉,不轉(zhuǎn)發(fā)該數(shù)據(jù)包.上一頁(yè)下一頁(yè)返回任務(wù)一保障網(wǎng)絡(luò)設(shè)備的安全.配置交換機(jī)

3、端口安全. 端口安全最大連接數(shù)配置(1)interface interface- id/進(jìn)入接口配置模式(2)switchport port- security/打開(kāi)該接口的端口安全功能(3)switchport port- security maximum value/設(shè)置接口上安全地址的最大個(gè)數(shù),范圍是1128,缺省值為128(4)switchport port- security violationprotect|restrict |shutdown/設(shè)置處理違例的方式上一頁(yè)下一頁(yè)返回任務(wù)一保障網(wǎng)絡(luò)設(shè)備的安全注意:端口安全功能只能在Access端口上進(jìn)行配置.當(dāng)端口因?yàn)檫`例而被關(guān)閉后,在

4、全局配置模式下使用命令errdisable recovery來(lái)將接口從錯(cuò)誤狀態(tài)中恢復(fù)過(guò)來(lái). 端口的安全地址綁定(1)switchport port- security/打開(kāi)該接口的端口安全功能(2)switchport port- security mac- address mac- addressip- address ip- address/手工配置接口上的安全地址上一頁(yè)下一頁(yè)返回任務(wù)一保障網(wǎng)絡(luò)設(shè)備的安全.配置交換機(jī)控制臺(tái)密碼安全交換機(jī)的控制臺(tái)是管理交換機(jī)的入口,通過(guò)管理交換機(jī)的console控制臺(tái)端口登錄權(quán)限,實(shí)現(xiàn)對(duì)交換機(jī)的安全控制和管理.配置交換機(jī)控制臺(tái)安全操作如下:()配置交換機(jī)的登

5、錄密碼.Switch(config)# enable secret level 1 0 sec/表示輸入的明文形式的口令,為分配等級(jí).()配置交換機(jī)的特權(quán)密碼.Switch(config)# enable secret level 15 0 SEC/表示輸入的明文形式的口令,為分配等級(jí).上一頁(yè)下一頁(yè)返回任務(wù)一保障網(wǎng)絡(luò)設(shè)備的安全.任務(wù)實(shí)施.任務(wù)場(chǎng)景某公司要求對(duì)網(wǎng)絡(luò)進(jìn)行嚴(yán)格控制.為了防止公司內(nèi)部用戶(hù)的IP地址沖突,防止公司內(nèi)部的網(wǎng)絡(luò)攻擊和破壞行為,為每一位員工分配了固定的IP地址,并且限制只允許公司員工主機(jī)可以使用網(wǎng)絡(luò),不得隨意連接其他主機(jī).如圖所示.設(shè)備與環(huán)境銳捷交換機(jī)RGS臺(tái)、計(jì)算機(jī)臺(tái)、網(wǎng)線若

6、干.上一頁(yè)下一頁(yè)返回任務(wù)一保障網(wǎng)絡(luò)設(shè)備的安全.操作步驟步驟:配置交換機(jī)端口的最大連接數(shù)限制.SW(config)# inter rang f0/1 24/進(jìn)行一組端口的配置模式SW(config- if- range)# switchportport- security/開(kāi)啟交換機(jī)的端口安全功能步驟:查看PC、PC的IP和MAC地址信息.在主機(jī)上打開(kāi)CMD命令提示符窗口,執(zhí)行ipconfig/all命令.如圖所示.步驟:配置交換機(jī)端口的地址綁定.上一頁(yè)下一頁(yè)返回任務(wù)一保障網(wǎng)絡(luò)設(shè)備的安全步驟:在PC、PC上相互ping對(duì)方,如圖所示.步驟:在F/接口上做MAC地址綁定.步驟:把PC連接到F/接口

7、上.注意事項(xiàng)交換機(jī)端口安全功能只能在Access接口進(jìn)行配置,不能對(duì)于Trunk接口進(jìn)行配置.交換機(jī)最大連接數(shù)限制取值范圍是,默認(rèn)是.交換機(jī)最大連接數(shù)限制默認(rèn)的處理方式是protect.上一頁(yè)返回任務(wù)二保障網(wǎng)絡(luò)區(qū)域的安全.任務(wù)分析為了解決上述網(wǎng)絡(luò)問(wèn)題,可以在路由器上作適當(dāng)設(shè)置,通過(guò)配置ACL,過(guò)濾掉非法訪問(wèn)的數(shù)據(jù)包.知識(shí)準(zhǔn)備.訪問(wèn)控制列表技術(shù).ACL概述訪問(wèn)控制列表(Access Control Lists,ACL)是控制流入、流出路由器數(shù)據(jù)包的一種方法,它通過(guò)在數(shù)據(jù)包流出或流入路由器時(shí)讀取包頭中的信息,如源地址、目的地址、源端口、目的端口及上層協(xié)議等,根據(jù)預(yù)先定義的規(guī)則決定哪些數(shù)據(jù)包可以接收

8、、哪些數(shù)據(jù)包需要拒絕,從而實(shí)現(xiàn)控制網(wǎng)絡(luò)數(shù)據(jù)流量、流向的作用.下一頁(yè)返回任務(wù)二保障網(wǎng)絡(luò)區(qū)域的安全早期僅在路由器上支持ACL技術(shù),近年來(lái)已經(jīng)擴(kuò)展到三層交換機(jī),現(xiàn)在有些最新的二層交換機(jī)也開(kāi)始支持ACL技術(shù).當(dāng)數(shù)據(jù)包經(jīng)過(guò)路由器時(shí),都可以利用ACL來(lái)允許或拒絕對(duì)某一個(gè)網(wǎng)絡(luò)或子網(wǎng)的訪問(wèn).ACL在網(wǎng)絡(luò)中的使用如圖所示.ACL的工作原理ACL由一系列的表項(xiàng)組成,我們稱(chēng)之為接入控制列表表表項(xiàng)(Access Control Entry,ACE).這些表項(xiàng)主要定義了數(shù)據(jù)包進(jìn)入路由器接口或通過(guò)路由器轉(zhuǎn)發(fā)和流出路由器接口的行為,過(guò)濾流入或流出路由器上的數(shù)據(jù)包.如圖所示.無(wú)論是否使用了ACL,處理過(guò)程的開(kāi)始都是一樣的.當(dāng)

9、一個(gè)數(shù)據(jù)包進(jìn)入路由器的某一個(gè)接口,路由器首先檢查該數(shù)據(jù)包是否可路由或可橋接.上一頁(yè)下一頁(yè)返回任務(wù)二保障網(wǎng)絡(luò)區(qū)域的安全.ACL的作用ACL的主要作用有:一是保護(hù)資源節(jié)點(diǎn),阻止非法用戶(hù)對(duì)資源節(jié)點(diǎn)的訪問(wèn),例如限制一些用戶(hù)只能訪問(wèn)萬(wàn)維網(wǎng)和電子郵件服務(wù),其他的服務(wù)如Telnet則禁止;二是限制特定的用戶(hù)結(jié)點(diǎn)所具備的訪問(wèn)權(quán)限.如圖所示,只允許主機(jī)A 訪問(wèn)財(cái)務(wù)部,而禁止主機(jī)B訪問(wèn).訪問(wèn)控制列表分類(lèi)根據(jù)控制網(wǎng)絡(luò)的程度的不同,ACL技術(shù)分為標(biāo)準(zhǔn)ACL (Standard IP ACL)和擴(kuò)展ACL (Extended IP ACL)兩種. 標(biāo)準(zhǔn)ACL標(biāo)準(zhǔn)ACL只檢查可以被路由的數(shù)據(jù)包的源地址,從而允許或拒絕基于

10、網(wǎng)絡(luò)、子網(wǎng)或主機(jī)IP地址的某一協(xié)議通過(guò)路由器.其工作過(guò)程如圖所示.上一頁(yè)下一頁(yè)返回任務(wù)二保障網(wǎng)絡(luò)區(qū)域的安全. 擴(kuò)展ACL擴(kuò)展ACL更具靈活性,安全控制范圍更為廣闊,處理方式更為多樣化,控制功能也更強(qiáng),使用更為廣泛.它基于分組的源地址、目的地址、協(xié)議類(lèi)型、端口號(hào)和應(yīng)用來(lái)決定允許或拒絕訪問(wèn).其工作流程如圖所示. 命名ACL標(biāo)準(zhǔn)ACL和擴(kuò)展ACL使用數(shù)字編號(hào)來(lái)標(biāo)識(shí),命名ACL一般使用字符串來(lái)代替數(shù)字,方便用戶(hù)識(shí)別其功能和記憶.與編號(hào)ACL相比,命名ACL沒(méi)有ACL編號(hào)范圍限制,同時(shí)可以自由刪除ACL中一條語(yǔ)句,而不必刪除整個(gè)ACL.命名ACL也分為標(biāo)準(zhǔn)ACL和擴(kuò)展ACL兩種.上一頁(yè)下一頁(yè)返回任務(wù)二保

11、障網(wǎng)絡(luò)區(qū)域的安全.配置訪問(wèn)控制列表. 配置ACL的步驟配置ACL的過(guò)程可以分為兩步:第一步:在全局配置模式下,使用accesslist命令創(chuàng)建ACL過(guò)濾規(guī)則;第二部:在接口配置模式下,使用accessgroup命令,把配置好的ACL規(guī)則應(yīng)用到某一端口上.該端口將檢查指定方向上通過(guò)的數(shù)據(jù)包. 配置標(biāo)準(zhǔn)ACL標(biāo)準(zhǔn)ACL對(duì)IP數(shù)據(jù)包中的源IP地址進(jìn)行控制,所有標(biāo)準(zhǔn)ACL規(guī)則的編制都是在全局模式下生成的.上一頁(yè)下一頁(yè)返回任務(wù)二保障網(wǎng)絡(luò)區(qū)域的安全()生成標(biāo)準(zhǔn)ACL規(guī)則的格式.access- list list numberpermit|deny address wildcard- mask其中:List

12、number是標(biāo)準(zhǔn)ACL的數(shù)字編號(hào),范圍為;Permit和deny表示允許或禁止?jié)M足該規(guī)則的數(shù)據(jù)包通過(guò);Address是源地址,wildcardmask為反掩碼.()在接口上應(yīng)用編制好的訪問(wèn)控制規(guī)則.Router(config- if)# ip access- group access- list- numberin|out其中,in和out參數(shù)可以控制接口中不同方向的數(shù)據(jù)包,缺省為out.上一頁(yè)下一頁(yè)返回任務(wù)二保障網(wǎng)絡(luò)區(qū)域的安全. 配置擴(kuò)展ACL擴(kuò)展ACL不僅可以對(duì)數(shù)據(jù)包中的源IP地址進(jìn)行控制,還可以對(duì)目的地址、協(xié)議及端口號(hào)進(jìn)行控制.()編制擴(kuò)展ACL的檢查規(guī)則.Access- list l

13、istnumber permit|deny protocol source source- wild-card- mask destination destination- wildcard- maskoperator operand其中:listnumber為;protocol是指定的協(xié)議,如TCP、UDP、IP等;operator和operand用于指定端口號(hào)范圍,默認(rèn)為全部端口號(hào),只有TCP和UDP協(xié)議需要指定端口范圍.上一頁(yè)下一頁(yè)返回任務(wù)二保障網(wǎng)絡(luò)區(qū)域的安全()在接口上應(yīng)用編制好的訪問(wèn)控制規(guī)則.與標(biāo)準(zhǔn)ACL相同,例如把上述配置好的ACL應(yīng)用在接口Fa/上,配置命令為:Router# c

14、onfigureRouter(config)# interface Fastethernet 0/1Router(config- if)# ip access- group1 in/在Fa0/1 上應(yīng)該改規(guī)則Router(config- if)# no shutdown. 配置命名ACL()創(chuàng)建標(biāo)準(zhǔn)命名ACL.在全局配置模式下,通過(guò)如下命令,創(chuàng)建一個(gè)標(biāo)準(zhǔn)命名ACL.上一頁(yè)下一頁(yè)返回任務(wù)二保障網(wǎng)絡(luò)區(qū)域的安全()創(chuàng)建擴(kuò)展命名ACL.在全局配置模式下,通過(guò)如下命令創(chuàng)建一個(gè)擴(kuò)展的命名ACL,其配置命令如下:ip access- list extended namedeny |permit protoc

15、ol source source- wildcard | host source | any operator port ()將編制好的規(guī)則應(yīng)用于指定端口.ip access- group namein | out上一頁(yè)下一頁(yè)返回任務(wù)二保障網(wǎng)絡(luò)區(qū)域的安全.任務(wù)實(shí)施.任務(wù)場(chǎng)景一如圖所示為公司財(cái)務(wù)部與銷(xiāo)售部網(wǎng)絡(luò)連接場(chǎng)景圖,運(yùn)用標(biāo)準(zhǔn)ACL技術(shù),禁止銷(xiāo)售部訪問(wèn)財(cái)務(wù)部網(wǎng)絡(luò);某些安全性要求比較高的主機(jī)或網(wǎng)絡(luò)需要進(jìn)行訪問(wèn)控制,其他的很多應(yīng)用都可以使用訪問(wèn)控制列表提供操作條件,在本例中禁止./ (銷(xiāo)售)對(duì)PC (財(cái)務(wù))的訪問(wèn).設(shè)備與環(huán)境銳捷路由器臺(tái)、計(jì)算機(jī)臺(tái)、網(wǎng)線根、串口線根.上一頁(yè)下一頁(yè)返回任務(wù)二保障網(wǎng)絡(luò)區(qū)

16、域的安全.操作步驟步驟:基本配置.步驟:路由配置,保證網(wǎng)絡(luò)的連通性.步驟:PC能與PC連通.如圖所示.步驟:配置訪問(wèn)控制列表禁止PC所在網(wǎng)段對(duì)PC的訪問(wèn).步驟:將訪問(wèn)控制列表應(yīng)用在相應(yīng)的接口.步驟:驗(yàn)證.步驟:測(cè)試.如圖所示.上一頁(yè)下一頁(yè)返回任務(wù)二保障網(wǎng)絡(luò)區(qū)域的安全.任務(wù)場(chǎng)景二實(shí)驗(yàn)拓?fù)鋱D如圖所示,應(yīng)用擴(kuò)展ACL禁止銷(xiāo)售部主機(jī)訪問(wèn)財(cái)務(wù)部網(wǎng)絡(luò);可以針對(duì)目標(biāo)IP地址進(jìn)行控制,針對(duì)某些服務(wù)進(jìn)行控制,可以針對(duì)某些協(xié)議進(jìn)行控制,本例中禁止PC (銷(xiāo)售)telnet到PC (財(cái)務(wù)),但能Ping.設(shè)備與環(huán)境銳捷路由器臺(tái)、計(jì)算機(jī)臺(tái)、網(wǎng)線根、串口線根.操作步驟步驟:對(duì)路由器進(jìn)行基本配置,并加路由保證網(wǎng)絡(luò)是連通的

17、,此配置請(qǐng)參照標(biāo)準(zhǔn)訪問(wèn)控制列表.步驟:在R上設(shè)置擴(kuò)展訪問(wèn)控制列表.上一頁(yè)下一頁(yè)返回任務(wù)二保障網(wǎng)絡(luò)區(qū)域的安全步驟:查看訪問(wèn)列表.步驟:驗(yàn)證.如圖所示.注意事項(xiàng):擴(kuò)展訪問(wèn)控制列表通常放在離源比較近的地方.擴(kuò)展訪問(wèn)控制列表可以基于源、目標(biāo)IP、協(xié)議、端口等條件過(guò)濾.上一頁(yè)返回任務(wù)三提高整個(gè)網(wǎng)絡(luò)的安全.任務(wù)分析為了限制外部網(wǎng)絡(luò)非法對(duì)企業(yè)網(wǎng)內(nèi)部資源的訪問(wèn),在網(wǎng)絡(luò)接入Internet接口處安裝防火墻.知識(shí)準(zhǔn)備.認(rèn)識(shí)防火墻. 防火墻概述防火墻(Firewall)是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間實(shí)現(xiàn)訪問(wèn)控制的一個(gè)或一組硬件或軟件系統(tǒng),英文名字為“Firewall”.它

18、是一道“門(mén)檻”,能有效地把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)隔開(kāi),如圖所示,從而保護(hù)內(nèi)部網(wǎng)免受非法用戶(hù)的入侵.在某種意義上,防火墻就像一個(gè)私人俱樂(lè)部的看門(mén)人,他檢查每個(gè)人的ID,并確保只有俱樂(lè)部會(huì)員才能通過(guò)該門(mén)進(jìn)入,如圖所示.下一頁(yè)返回任務(wù)三提高整個(gè)網(wǎng)絡(luò)的安全一般來(lái)說(shuō),防火墻包括幾個(gè)不同的組成部分(如圖所示).過(guò)濾器(filter)(有時(shí)也稱(chēng)屏蔽)用于阻斷一定類(lèi)型的通信傳輸.網(wǎng)關(guān)是一臺(tái)或一組機(jī)器,它提供中繼服務(wù),以補(bǔ)償過(guò)濾器的影響.駐有網(wǎng)關(guān)的網(wǎng)絡(luò)常被叫作非軍事區(qū)(Demilitarized Zone,DMZ).DMZ中的網(wǎng)關(guān)有時(shí)還由一個(gè)內(nèi)部網(wǎng)關(guān)(internal gateway)協(xié)助工作. 防火墻功能無(wú)論什么類(lèi)型

19、的防火墻,都有一些基本功能.防火墻主要的功能如下:()管理和控制網(wǎng)絡(luò)流量:通過(guò)檢查報(bào)文監(jiān)控已經(jīng)存在的連接,根據(jù)報(bào)文檢查結(jié)果和檢測(cè)到的連接來(lái)過(guò)濾以達(dá)到該目的.上一頁(yè)下一頁(yè)返回任務(wù)三提高整個(gè)網(wǎng)絡(luò)的安全()認(rèn)證連接:防火墻用一系列機(jī)制執(zhí)行認(rèn)證,首先,嘗試初始化一個(gè)連接的用戶(hù)在防火墻允許建立連接之前可以被提示需要一個(gè)用戶(hù)名和密碼;其次,可以使用證書(shū)和公共密鑰實(shí)現(xiàn)認(rèn)證機(jī)制.通過(guò)實(shí)施認(rèn)證,確保連接是否被允許.()擔(dān)當(dāng)中間媒介:防火墻可以通過(guò)配置擔(dān)當(dāng)兩條主機(jī)進(jìn)行通信的媒介,可以稱(chēng)之為代理.代理的職能就是偽裝成需要被保護(hù)的主機(jī),發(fā)送或接收?qǐng)?bào)文,確保外部主機(jī)不能直接和被保護(hù)的主機(jī)通信來(lái)隔離被保護(hù)的主機(jī),以免其遭

20、受威脅.()保護(hù)資源:通過(guò)使用接入訪問(wèn)控制規(guī)則、狀態(tài)化報(bào)文檢查、應(yīng)用代理或結(jié)合以上所有方法去阻止被保護(hù)的主機(jī)被惡意訪問(wèn)或者惡意流量感染.上一頁(yè)下一頁(yè)返回任務(wù)三提高整個(gè)網(wǎng)絡(luò)的安全()記錄和報(bào)告事件:防火墻日志可以被查詢(xún)以用來(lái)確定在一個(gè)安全時(shí)間中發(fā)生了什么,也可以被用于防火墻排錯(cuò),來(lái)幫助確定導(dǎo)致問(wèn)題發(fā)生的原因.它還有一種報(bào)警機(jī)制,當(dāng)策略被違反的時(shí)候通知管理員以便做出相應(yīng)的決定.防火墻種類(lèi)按照形態(tài)來(lái)分,防火墻分成兩種:軟件防火墻和硬件防火墻.軟件防火墻僅獲得Firewall軟件,需要準(zhǔn)備額外的OS平臺(tái),其安全性依賴(lài)底層的OS.另外,軟件防火墻的網(wǎng)絡(luò)適應(yīng)性較差,主要以路由模式工作.但它的網(wǎng)絡(luò)穩(wěn)定性高,

21、軟件分發(fā)、升級(jí)比較方便.硬件防火墻包括硬件設(shè)備和防火墻軟件,使用專(zhuān)用的OS平臺(tái),其安全性完全取決于專(zhuān)用的OS.硬件防火墻的網(wǎng)絡(luò)適應(yīng)性強(qiáng),支持多種接入模式,穩(wěn)定性較高,但升級(jí)、更新不夠靈活.上一頁(yè)下一頁(yè)返回任務(wù)三提高整個(gè)網(wǎng)絡(luò)的安全按照保護(hù)對(duì)象來(lái)分,防火墻又分為:網(wǎng)絡(luò)防火墻和單機(jī)防火墻,如圖、圖所示.單機(jī)防火墻只能保護(hù)單臺(tái)主機(jī),安全策略相對(duì)分散,安全功能也比較簡(jiǎn)單,普通用戶(hù)就可以維護(hù),安全隱患較大,但策略設(shè)置靈活;網(wǎng)絡(luò)防火墻保護(hù)的是整個(gè)網(wǎng)絡(luò),其安全策略集中,安全功能復(fù)雜多樣,專(zhuān)業(yè)管理員進(jìn)行維護(hù),安全隱患小,策略設(shè)置較為復(fù)雜.單機(jī)防火墻是網(wǎng)絡(luò)防火墻的有益補(bǔ)充,但不能代替網(wǎng)絡(luò)防火墻為內(nèi)部網(wǎng)絡(luò)提供強(qiáng)大的

22、保護(hù)功能.根據(jù)防火墻實(shí)現(xiàn)技術(shù)不同,又可以分為包過(guò)濾防火墻、應(yīng)用代理防火墻和復(fù)合型防火墻等幾種.)包過(guò)濾防火墻.包過(guò)濾型防火墻是第一代的防火墻,作用于網(wǎng)絡(luò)層和傳輸層之間,基于路由器并提供數(shù)據(jù)包過(guò)濾的功能,所以路由器一般都有集成第一代的防火墻.上一頁(yè)下一頁(yè)返回任務(wù)三提高整個(gè)網(wǎng)絡(luò)的安全)應(yīng)用代理防火墻.應(yīng)用代理型防火墻也被稱(chēng)為代理服務(wù)器,工作在應(yīng)用層,其關(guān)鍵技術(shù)是應(yīng)用代理技術(shù).代理型防火墻分為兩代,第一代是應(yīng)用網(wǎng)關(guān)型代理防火墻.)復(fù)合型防火墻.第二代代理型防火墻稱(chēng)為自適應(yīng)代理防火墻,它結(jié)合了代理型防火墻的安全性和包過(guò)濾防火墻的高性能特點(diǎn),可以在毫不影響安全性的前提下將代理型防火墻的性能提高倍以上.由

23、于它結(jié)合了代理型和包過(guò)濾型防火墻的兩樣技術(shù),因此稱(chēng)為自適應(yīng)代理服務(wù)器和動(dòng)態(tài)包過(guò)濾器.上一頁(yè)下一頁(yè)返回任務(wù)三提高整個(gè)網(wǎng)絡(luò)的安全.任務(wù)實(shí)施.任務(wù)場(chǎng)景根據(jù)公司網(wǎng)絡(luò)的安全要求在混合模式下配置防火墻,公司的安全要求:僅有少量公網(wǎng)地址.LAN、WAN和DMZ為私有地址,且在同一子網(wǎng).禁止外網(wǎng)到內(nèi)網(wǎng)和WAN的連接.限制內(nèi)網(wǎng)到外網(wǎng)的連接,即只開(kāi)放有限的服務(wù),比如瀏覽網(wǎng)頁(yè)、收發(fā)郵件、下載文件、DNS、ping等.限制內(nèi)網(wǎng)到WAN的連接,只允許訪問(wèn)FTPSer的FTP服務(wù).上一頁(yè)下一頁(yè)返回任務(wù)三提高整個(gè)網(wǎng)絡(luò)的安全限制DMZ到WAN的連接,只允許Mail Ser訪問(wèn)Data Ser的SQL (TCP)服務(wù).DMZ區(qū)對(duì)內(nèi)外網(wǎng)提供服務(wù),比如WWW 服務(wù)、郵件服務(wù)等.IP地址分配.LAN、DMZ、WAN 網(wǎng)段:./; 防火墻虛擬設(shè)備br 接口IP:.;WAN 網(wǎng)段:./.通過(guò)防火墻劃分不同等級(jí)的安全區(qū)域,默認(rèn)不同安全區(qū)域互相不能訪問(wèn),根據(jù)安