防火墙系统介绍教学ppt课件

《防火墙系统介绍教学ppt课件》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

防火墙系统介绍 防火墙的基本原理防火墙是在本地网与外部网之间的界面上构筑的保护层，保护内部网不受外部非法用户的攻击，是一个或一组网络设备。外部网络内部网络 防火墙主要技术--包过滤建立在网络层及传输层上，按源IP、目的IP、协议类型、端口号进行过滤。允许符合安全规则的数据包通过，阻止非法数据包。外部合法数据与内部网络近似直接通信。速度快、费用小、对应用层数据安全防范能力低。 防火墙特点内网、外网、DMZ区域灵活的地址转换，静态、动态、网络、端口可以实现负载均衡基于端口的访问策略日志策略灵活灵活的VPN配置方案SSLVPNIPSecVPNL2TP/PPTP 防火墙的缺点无法防止来自网络内部的攻击统计表明，大多数攻击来自网络内部CustomerRelationshipManagement 典型应用环境INTERNET业务楼DCS-3950S3台堆叠办公楼DCS-3950S2台堆叠保管楼DCS-3926S内部服务器对外WEB/EMAIL服务器核心交换机DCFW-1800S-H防火墙 防火墙使用与操作 1、初始维护环境搭建缺省出厂时防火墙Eth0/0接口IP为192.168.1.1/24可将管理主机IP配置为192.168.1.0/24网段IP与防火墙eth0/0接口相连，通过WEB登陆防火墙管理界面在浏览器地址栏中输入以下两种URL均可http://192.168.1.1https://192.168.1.1---经过SSL加密推荐使用缺省登陆用户名：admin密码：admin 2、控制台管理——接口配置DCFW-1800(config-if-eth0/1)#zoneuntrust--将接口添加到安全域中DCFW-1800(config-if-eth0/1)#ipaddress192.168.10.1/24--为接口配置IP地址DCFW-1800(config-if-eth0/1)#managehttp--对该接口启用http管理服务DCFW-1800(config-if-eth0/1)#managehttps--对该接口启用https管理服务DCFW-1800(config-if-eth0/1)#managetelnet--对该接口启用telnet管理服务DCFW-1800(config-if-eth0/1)#managessh--对该接口启用ssh管理服务DCFW-1800(config-if-eth0/1)#manageping--该接口允许pingDCFW-1800(config-if-eth0/1)#manageip192.168.10.2--为接口指定管理IP（可选）建议仅仅开放需要的管理服务，推荐WEBUI采用https，CLI采用SSH 3、添加可信任的管理主机DCFW-1800(config)#adminhost192.168.1.0255.255.255.0https这表示192.168.1.0/24网段的设备都具备对防火墙的https管理权限（完成以上配置就可通过WEBUI方式对防火墙进行安全管理 4、其他具有安全意义的操作修改缺省管理员admin口令DCN(config)#adminuseradminDCN(config-admin)#passwordq!Jiwx$*lc2H64cd#修改缺省的管理服务端口DCN(config)#httpport8088DCN(config)#httpsport1211创建具有不同权限的管理员需要使用admin账户创建新的管理员账户，并可对其修改、删除。使用admin添加的新管理员账户可赋予不同的权限（读、写）使用admin添加的新管理员账户可赋予不同的管理方式（Console、Telnet、SSH、HTTP、HTTPS） 5、恢复出厂设置CLI命令:unsetallWebUI系统>维护>配置>管理>重置硬件开机加电前按住前面板“CLR”，然后加电；加电15秒后松开。 6、防火墙透明模式配置接口配置DCFW-1800(config)#interfaceethernet0/6DCFW-1800(config-if-eth0/6)#zonel2-trustDCFW-1800(config-if-eth0/6)#exitDCFW-1800(config)#interfaceethernet0/7DCFW-1800(config-if-eth0/7)#zonel2-untrust配置虚拟交换机（vswitch）添加对象网络对象服务对象配置安全策略将l2-trust安全域绑定到vswitch1上DCFW-1800(config)#zonel2-trustDCFW-1800(config-zone-l2-tru~)#bindvswitch1配置vswitchif1接口DCFW-1800(config)#interfacevswitchif1DCFW-1800(config-if-vsw1)#zonetrustDCFW-1800(config-if-vsw1)#ipaddress192.168.1.254/24DCFW-1800(config-if-vsw1)#managepingDCFW-1800(config-if-vsw1)#managehttps完成上述配置后即可在192.168.1.0网段通过WEBUI使用vswitchif1接口IP进行管理为即将建立的安全策略定义地址对象和服务对象定义地址对象定义网段A(192.168.1.1–192.168.1.100)定义网段B(192.168.1.101–192.168.1.200)定义服务对象为网段A访问网段B定义服务对象，其中包括ping和http为网段B访问网段A定义服务对象，其中只有TCP9988把地址对象与它所属的vswitch相关联由于对象不是整个网段所以使用IP范围定义 7、配置安全策略添加网段A到网段B的策略在“安全”->“策略”中选择好“源安全域”和“目的安全域”后，新建策略源地址选择网段A的地址对象目的地址选择网段B的地址对象选择网段A访问网段B的服务对象 8-1、地址转换配置将接口加入安全域并配置IP地址添加路由配置源NAT添加安全策略这里的子网掩码既可以写成0也可以写成0.0.0.0，防火墙会自动识别 8-2、配置NAT在“源NAT”中“新建”源NAT条目出接口选择外网口内网访问Internet时转换为外网接口ip 8-3、安全策略高级配置模式安全策略的高级配置模式可以对各选项做出更多编辑添加多个源地址添加多个目的地址添加多个服务对象可以添加时间对象以限制该策略仅在某个时段有效激活高级配置模式 9、VPN配置SCVPN地址池配置SCVPN实例配置创建SCVPN要赋予的安全域绑定SCVPN实例到隧道接口将绑定SCVPN实例的隧道接口分配到指定的安全域添加安全策略用于SCVPN用户访问内网添加SCVPN用户帐号远程客户端登陆使用SCVPN演示 9-1、配置SCVPN地址池创建SCVPN地址池，当SCVPN客户端验证成功后，防火墙会从地址池中取出一个地址分配给客户端注意地址池使用的网段不能与内网网段冲突 9-2、配置SCVPN实例–创建实例创建一个SCVPN实例，定义SCVPN接入使用的各种参数此处为0表示多个客户端可以使用同一个用户名同时登陆，如果一个账户要限制只能一个客户端登陆，则此处填写1SCVPN登陆验证使用的端口号空闲时间指客户端与设备端在无流量状态下能够保持连接状态的最长时间，超出空闲时间后，设备端将断开与客户端的连接SCVPN客户端通过防火墙的eth0/7接口接入该实例使用定义好的地址池为SCVPN客户端分配地址客户端与防火墙创建VPN隧道时使用的算法，可以是任意组合。客户端会自动与防火墙协商匹配。 9-3、配置SCVPN实例–添加隧道路由此处添加的隧道路由条目，在客户端与防火墙的SCVPN创建成功后会下发到客户端的路由表中。添加的网段就是客户端要通过VPN隧道访问的位于防火墙内网的网段。需要注意的是此处添加的路由条目的“度量”值比客户端上缺省路由的度量值要小。度量值越小的路由条目优先级越高。12添加要下发的FTPServer的路由添加要下发的WEBServer的路由1这里我们只添加针对两个Server的主机路由， 9-4、配置SCVPN实例–添加AAA服务器这里添加的AAA服务器是用来验证客户端登陆的用户名、密码。本案例采用防火墙本地验证，所以这里就选择了防火墙缺省自带的AAA服务器“local”。如果要采用Radius等其他的验证方式，需要在首先在“对象”中创建AAA服务器对象，然后在此调用。 9-5、创建SCVPN专属的安全域为创建的SCVPN新建一个安全域，安全域类型为“第三层安全域”定义一个三层类型的安全域 9-6、SCVPN实例与隧道接口的绑定为了SCVPN客户端能与防火墙上其他接口所属区域之间正常路由转发，需要为他们配置一个网关接口，这在防火墙上通过创建一个隧道接口，并将创建好的SCVPN实例绑定到该接口上来实现。只能是1-128的数字将tunnel1接口加入创建好的安全域给接口配置一个IP地址，该IP地址须与SCVPN地址池中的IP位于同一网段将创建好的SCVPN实例绑定到该接口 9-7、添加安全策略添加安全策略，以允许SCVPN用户访问内网资源添加策略1允许SCVPN用户访问内网FTPServer仅开放FTP服务添加策略2允许SCVPN用户访问内网WEBServer仅开发HTTP服务 9-8、添加SCVPN用户账号创建属于”local“server中的用户帐号，以分配给SCVPN登陆验证使用创建完用户名后对该帐号进行编辑为该帐号配置密码并确认一次 SCVPN登陆演示在客户端上打开浏览器，在地址栏中键入：https://222.1.1.2:4433在登陆界面中填入用户帐号和密码点击登陆 登陆演示在初次登陆时，会要求安装SCVPN客户端插件，此插件以ActiveX插件方式推送下载，并有可能被浏览器拦截，这时需要手动允许安装这个插件。点击如无法通过下载ActiveX插件安装，请点击此处下载安装 登陆演示SCVPN客户端的安装对下载完成的客户端安装程序手动安装 登陆演示SCVPN客户端安装成功后会登陆防火墙，在对用户名和密码验证成功后，任务栏右下角的客户端程序图标会变成绿色。并在web界面中显示“连接成功”。登陆成功后任务栏中客户端图标变为绿色 查看客户端网络信息鼠标点击任务栏中客户端程序图标，在弹出的菜单中选择“NetworkInformation”,即可查看连接信息。SCVPN实例分配给客户端的IPSCVPN客户端到的DNS及WINS地址 查看路由表在客户端的“Route”信息中查看下发给客户端的路由信息这里可看到下发都客户端的隧道路由，度量值为1 查看路由表查看客户端操作系统的路由表，使用routeprint命令