防火墙技术.ppt
《防火墙技术.ppt》由会员分享,可在线阅读,更多相关《防火墙技术.ppt(52页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、网络安全体系结构(防火墙技术)防火墙技术 防火墙的配置方式防火墙的工作模式访问控制技术透明桥模式路由接入网络地址转换防火墙的配置方式图形配置方式管理软件命令行配置方式telnetssh两种方式的对比防火墙管理通过超级终端登录防火墙在超级终端添加管理员用户和密码,并设置登录区间 angellpro(config)#user test type admin angellpro(config)#password test angellpro(config)#user test host 172.16.100.1-172.16.100.254 angellpro(config)#user test l
2、ogintype ssh angellpro(config)#user test logintype GUI angellpro(config)#enable shh angellpro(config)#enable telnet angellpro(config)#enable ping 在管理机通过GUI界面或PUTTY软件以SSH方式登录防火墙用户权限系统操作员只读权限系统管理员只读权限配置权限超级管理员只读权限配置权限增删用户-命令体系结构 Console下使用命令行进行调试诊断或配置!特权模式配置模式Conf tConf texitexitXXXXXXexitexit诊断操作重起操作
3、查看操作接口配置区域配置PPTP配置DHCP配置认证配置访问策略日志配置路由配置地址翻译login恢复出厂设置在出现Default(d)/LastSuccess(l)/LastSaved(s)时 输入选项【d】Default(d):防火墙的出厂默认配置 LastSuccess(d):最近一次成功启动时的配置 LastSaved(s):最后保存的配置信息 ConsoleConsole Starting Firewall Self Testing.OKStarting Firewall Self Testing.OKPreparing for Firewall Starting.OKPrepari
4、ng for Firewall Starting.OKPlease select which Please select which configconfig to load in 6 seconds.to load in 6 seconds.Default(Default(d)/LastSuccessd)/LastSuccess(l)/LastSaved(s)(sl)/LastSaved(s)(s):):*Welcome to Firewall!*防火墙的配置流程配置步骤:接口设置区域设置路由设置访问策略NAT设置配置接口参数将接口加入定义的区域添加网络中需要的路由表配置所需要的不同NAT配
5、置策略并应用到区域之间适合于地址混合的网络环境中工作适合于地址混合的网络环境中工作地址参数表示IP地址使用标准的表示方法,用于接口地址和地址池等如:192.168.0.1,掩码为255.255.255.0或/24表示一台主机使用全部为255.255.255.255的掩码,用于功能模块如:192.168.0.2,掩码为255.255.255.255或/32表示一个网络使用地址和掩码的尾数为零,用于路由、策略规则中如:192.168.0.0,掩码为255.255.255.0或/24表示所有的网络,全部地址和掩码全部为零,用于路由、策略规则中如:0.0.0.0,掩码为0.0.0.0或/0地址配置为不
6、同的网络接口分配相应的地址A网段B网段IP_AIP_BIP_CC网段B网段网络地址规划为防火墙的安装做好准备工作网络地址规划为防火墙的安装做好准备工作网络区域 通过设置防火墙控制不同网络之间的访问关系 形成了彼此之间安全等级的差异区域区域 A A区域区域 B B区域区域 C C防火墙防火墙防火墙区域区域 D D安全等级区域划分OutsideOutsideInsideInsideDmzDmz典型安全区域传统安全设备对安全区域的划分方式传统安全设备对安全区域的划分方式防火墙的工作模式根据网络拓扑结构划分防火墙能够接入各种网络环境中工作防火墙能够接入各种网络环境中工作路由模式NAT模式网桥模式混合模
7、式网桥工作模式网桥方式:将二个或二个以上的物理接口绑定成一台虚拟设备,此时连接在网桥内网与外网之间的防火墙对于用户是透明的(即网桥网桥模式模式)。优势:对连接网桥的网络和用户无需做任何设置的改动,如网络设备(包括主机和路由器)的设置(IP和网关、DNS、路由表等)无需改变,也根本意识不到防火墙的存在而完成对访问的控制。实训一:透明网桥功能设置路由典型的路由选择方式有两种:静态路由动态路由防火墙可实现的路由普通静态路由策略路由路由10.120.2.0172.16.1.0要实现路由,路由器必须知道:目的地址源地址所有可能的路由路径最佳路由路径静态路由这是一条单向的路径,必须配置一条相反的路径这是一
8、条单向的路径,必须配置一条相反的路径这是一条单向的路径,必须配置一条相反的路径这是一条单向的路径,必须配置一条相反的路径添加添加添加添加A A路由配置路由配置路由配置路由配置IP Route 172.16.1.0/24 172.16.2.1网络B172.16.1.0网络A172.16.2.2172.16.2.1AB缺省路由使用缺省,网络使用缺省,网络使用缺省,网络使用缺省,网络B B可以到达路由器可以到达路由器可以到达路由器可以到达路由器A A以外的网络以外的网络以外的网络以外的网络添加添加添加添加B B路由配置路由配置路由配置路由配置IP Route 0.0.0.0/0 172.16.2.2
9、网络B172.16.1.0172.16.2.2172.16.2.1B网络AA策略路由防火墙A路由表来源目的下一跳主机A互联网铁通网关主机B互联网电信网关策略路由用于多出口的网络环境,实现流量分流策略路由用于多出口的网络环境,实现流量分流策略路由用于多出口的网络环境,实现流量分流策略路由用于多出口的网络环境,实现流量分流路由实例 实现目标:内部网络访问任意外网地址分配:防火墙地址信息表接口Eth0Eth1地址10.10.10.210.10.20.1掩码255.255.255.0255.255.255.0区域OutsideInside网关10.10.10.1外部网络外部网络内部网络内部网络Outs
10、ideOutsideFa 0:61.90.80.2/24Fa 1:10.10.10.1/24Eth0:10.10.10.2/24Eth1:10.10.20.1/24NET:10.10.20.0/24 InsideInside配置流程路由模式配置流程配置流程界面路径界面路径 一、设置网络接口一、设置网络接口 网络管理网络管理网络接口网络接口 二、设置网络区域二、设置网络区域 网络管理网络管理网络区域网络区域 三、设置路由表三、设置路由表 网络管理网络管理路由表路由表 四、设置策略四、设置策略 策略管理策略管理访问策略访问策略 五、策略应用五、策略应用 策略管理策略管理访问策略访问策略结结 束束访
11、问策略访问策略:防火墙的访问控制规则。访问控制是防火墙最基础的功能,通过规则的配置,可以将不允许的信息拒之门外。送出数据送出数据Eth0Eth1访问策略访问策略通讯协议通讯协议Permit?网络网络网络网络 A A网络网络网络网络 B B进入数据进入数据YNDROP访问策略访问方向内部内部内部内部服务器服务器服务器服务器外部外部外部外部来源目的区域间访问通过各自的规则进行单独控制!区域间访问通过各自的规则进行单独控制!区域间访问通过各自的规则进行单独控制!区域间访问通过各自的规则进行单独控制!IP数据包结构数据包的判断参数包括数据包中的地址、源地址、目的地址、协议、协议端口号、时间物理层物理层
12、数据链路层数据链路层网络层网络层传输层传输层会话层会话层表示层表示层应用层应用层服务、端口号服务、端口号TCP/IP协议协议IP地址地址MAC地址地址数据包格式TCP/IP数据包Osi模型模型物理层物理层数据链路层数据链路层网络层网络层传输层传输层会话层会话层表示层表示层应用层应用层来源 I P地 址目的 I P地 址协 议来源端口协 议目的端口数 据。来源MAC地 址目的MAC地 址访问规则访问控制的执行动作A、通过通讯会话可以正常通行B、丢弃直接丢弃通讯会话C、拒绝直接丢弃通讯会话,向发起者返回处理结果D、空动作该规则忽略访问规则顺序调整移动值移动值通过调整使访问控制规则符合预期效果!通过
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 技术
限制150内