《計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)教程》第六章 防火墻配置基礎(chǔ)

第六章防火墻配置基礎(chǔ)6.1防火墻的基本概念6.2防火墻的實(shí)現(xiàn)技術(shù)與種類6.3防火墻的工作模式防火墻的配置6.1防火墻基礎(chǔ)6.1.1防火墻的幾個(gè)基本概念內(nèi)部網(wǎng)絡(luò)（insidenetwork）：內(nèi)部網(wǎng)絡(luò)通常是指企業(yè)內(nèi)部的網(wǎng)絡(luò)，我們認(rèn)為內(nèi)部網(wǎng)絡(luò)是安全可靠的，一般網(wǎng)絡(luò)的攻擊來(lái)自于外部因特網(wǎng)。在思科防火墻上，通常用安全級(jí)別來(lái)刻畫網(wǎng)絡(luò)的安全程度。安全級(jí)別是一個(gè)0-100之間的整數(shù)，數(shù)字越大，安全級(jí)別越高。它是防火墻的接口屬性，防火墻的一個(gè)接口的安全級(jí)別被配置為100時(shí)，該接口所對(duì)應(yīng)的網(wǎng)絡(luò)就是內(nèi)部網(wǎng)絡(luò)。在主流網(wǎng)絡(luò)廠商中，思科使用內(nèi)部網(wǎng)絡(luò)的概念?？尚湃螀^(qū)域（trustzone）：可信任區(qū)域相當(dāng)于思科的內(nèi)部網(wǎng)絡(luò)的概念，神州數(shù)碼、華為等網(wǎng)絡(luò)廠商使用可信任區(qū)域的概念。在這些廠家的防火墻上，可信任區(qū)域接口是固定的，不可改變的。外部網(wǎng)絡(luò)（outsidenetwork）：外部網(wǎng)絡(luò)通常是指因特網(wǎng)等公共網(wǎng)絡(luò)，對(duì)企業(yè)而言，它是外部的，不可信賴的。在思科防火墻上，一個(gè)接口的安全級(jí)別被配置為0時(shí)，該接口所對(duì)應(yīng)的網(wǎng)絡(luò)就是外部網(wǎng)絡(luò)。在主流網(wǎng)絡(luò)廠商中，思科使用外部網(wǎng)絡(luò)的概念。不可信任區(qū)域（untrustzone）：不可信任區(qū)域相當(dāng)于思科的外部網(wǎng)絡(luò)的概念，神州數(shù)碼、華為等網(wǎng)絡(luò)廠商使用不可信任區(qū)域的概念。在這些廠家的防火墻上，不可信任區(qū)域接口是固定的，不可改變的。DMZ（demilitarizedzone）：隔離區(qū)或非軍事化區(qū)，該區(qū)域的劃分主要是為了解決安裝防火墻之后外部網(wǎng)絡(luò)不能訪問局域網(wǎng)服務(wù)器的問題，比如WEB服務(wù)器、EMAIL服務(wù)器、視頻會(huì)議、網(wǎng)絡(luò)游戲等。通常將允許外部網(wǎng)絡(luò)訪問的服務(wù)器放在一個(gè)被稱為DMZ的區(qū)域。在思科防火墻上，設(shè)置該區(qū)域的優(yōu)先級(jí)在內(nèi)部網(wǎng)絡(luò)優(yōu)先級(jí)（100）和外部網(wǎng)絡(luò)優(yōu)先級(jí)（0）之間。在神州數(shù)碼、華為等網(wǎng)絡(luò)廠商防火墻的DMZ接口是固定的，不可改變的。6.1.2防火墻的初始配置防火墻的初始配置也是通過控制臺(tái)端口（Console）與PC機(jī)的串口連接，再通過Windows系統(tǒng)自帶的超級(jí)終端（HyperTerminal）程序進(jìn)行選項(xiàng)配置?；诿钚械呐渲靡约盎趙eb方式的配置

6.2防火墻的實(shí)現(xiàn)技術(shù)與種類6.2.1防火墻的實(shí)現(xiàn)技術(shù)分組過濾（Packetfiltering）應(yīng)用代理（ApplicationProxy）狀態(tài)檢測(cè)（StatefulInspection）

6.2.2防火墻的分類軟件防火墻工作于系統(tǒng)接口與網(wǎng)絡(luò)驅(qū)動(dòng)程序接口（NetworkDriverInterfaceSpecification，NDIS）之間，用于檢查過濾由NDIS發(fā)送過來(lái)的數(shù)據(jù)，在無(wú)需改動(dòng)硬件的前提下便能實(shí)現(xiàn)一定強(qiáng)度的安全保障

硬件防火墻

是一種以物理形式存在的專用設(shè)備，通常架設(shè)于兩個(gè)網(wǎng)絡(luò)的分界處，直接從網(wǎng)絡(luò)設(shè)備上檢查過濾有害的數(shù)據(jù)報(bào)文，位于防火墻設(shè)備后端的網(wǎng)絡(luò)或者服務(wù)器接收到的是經(jīng)過防火墻處理的相對(duì)安全的數(shù)據(jù)，不必另外分出CPU資源去進(jìn)行基于軟件架構(gòu)的NDIS數(shù)據(jù)檢測(cè)，可以大大提高工作效率。

6.3防火墻的工作模式6.3.1防火墻的路由模式網(wǎng)絡(luò)中的防火墻可以讓處于不同IP網(wǎng)絡(luò)的計(jì)算機(jī)通過路由轉(zhuǎn)發(fā)的方式相互通信。6.3.2防火墻的透明模式透明模式的防火墻就好象是一臺(tái)透明網(wǎng)橋，網(wǎng)絡(luò)設(shè)備(包括主機(jī)、路由器、工作站等)和所有計(jì)算機(jī)的設(shè)置（包括IP地址、網(wǎng)關(guān)和DNS等）不需要改變。防火墻解析所有通過它的數(shù)據(jù)包，既增加了網(wǎng)絡(luò)的安全性，又降低了用戶管理的復(fù)雜程度

6.3.3防火墻的混合模式

如果防火墻既存在工作在路由模式的接口（接口具有ip地址），又存在工作在透明模式的接口（接口無(wú)ip地址），則稱防火墻工作在混合模式下。防火墻工作在混合透明模式下，配置ip地址的接口所在的安全區(qū)域是三層區(qū)域，接口上啟動(dòng)vrrp功能，用于雙機(jī)熱備份；而未配置ip地址的接口所在的安全區(qū)域是二層區(qū)域，和二層區(qū)域相關(guān)接口連接的用戶同屬一個(gè)子網(wǎng)。

實(shí)驗(yàn)四十五防火墻配置1.進(jìn)入防火墻的命令行界面

2.配置防火墻LAN接口IP地址

3.配置PC機(jī)的ip地址

4.設(shè)置管理主機(jī)

5.使用管理主機(jī)建立與防火墻的安全連接

6.按照實(shí)驗(yàn)要求配置LAN、WAN和DMZ接口的IP地址

7.配置網(wǎng)絡(luò)對(duì)象

8.設(shè)置安全規(guī)則

9.配置靜態(tài)及缺省路由

10.配置NAT地址轉(zhuǎn)換11.驗(yàn)證和測(cè)試安全策略和地址轉(zhuǎn)換

實(shí)驗(yàn)拓?fù)渑渲帽矸阑饓Γ?LAN口：54/24; DMZ口:54/24; WAN口：/24PC PC1:/24;PC2:/24;ROUTER ROUTER-2611 fa0/0:/241.進(jìn)入防火墻的命令行界面1.類似于路由器和交換機(jī)的的初始配置，將PC機(jī)的串口與防火墻的CONSOLE口連接，通過超級(jí)終端，進(jìn)入防火墻。

2.缺省的管理員用戶名和密碼是：

Login:admin

Password:admin

2.配置防火墻LAN接口IP地址＃ifconfigif154/24#apply //將此配置應(yīng)用在接口上#save//將此配置保存到防火墻的配置文件中

“if1”表示LAN接口，“if0”表示W(wǎng)AN接口，“if2”表示DMZ接口，此對(duì)應(yīng)關(guān)系可以從設(shè)備的面板上看到。3.配置PC機(jī)的ip地址在WINDOWSXP等PC上配置ip地址需要和防火墻LAN口在一個(gè)ip網(wǎng)絡(luò)上4.設(shè)置管理主機(jī)管理員地址是可以安全登錄防火墻的WEB頁(yè)面進(jìn)行圖形化配置的主機(jī)地址。＃adminhostadd/24 //為防火墻配置一臺(tái)管理員地址#apply //將此配置應(yīng)用在接口上#save //將此配置保存到防火墻的配置文件中5.使用管理主機(jī)建立與防火墻的安全連接打開PC機(jī)的瀏覽器，在URL欄鍵入：54:1211,進(jìn)入WEB配置界面，鍵入用戶名admin，密碼admin。就進(jìn)入了防火墻圖形化管理界面

防火墻圖形化管理界面6.配置LAN、WAN和DMZ接口的IP地址

7.配置網(wǎng)絡(luò)對(duì)象8.防火墻策略的配置9.防火墻靜態(tài)路由和缺省路