实验4防火墙的技术.ppt

实验4 防火墙技术 熟悉防火墙的工作机制，了解防火墙的配置方法。 掌握防火墙的管理配置和网络配置? 了解防火墙的对象定义方法。 掌握防火墙的安全规则定义方法。 RG wall 60 防火墙 登录防火墙web界面 使用数字证书登录web 10:6666 防火墙1的IP地址：10 管理主机IP地址11——15 防火墙2的IP地址：10 管理主机IP地址11——15 防火墙3的IP地址：50 管理主机IP地址51——55 使用电子钥匙登录 10:6667 Web登录界面  用户名：admin 密码：firewall 管理主界面 管理配置 防火墙默认提供WEB 管理方式和CLI 命令行管理方式管理防火墙。分别通过网口、串口连接防火墙。上述二种管理方式是默认开启状态，管理员不能删除其中任一管理方式。另外，防火墙还提供通过SSH 对防火墙以命令行方式进行远程管理的功能，此管理方式管理员有权进行添加和删除。 管理主机的配置 管理员要想管理防火墙，必须增加管理主机，即通过此菜单添加管理主机的IP，然后通过网口连接防火墙即可进行管理。防火墙最多支持256 个管理主机对其进行管理。 网络接口IP的配置 提供4 个网口：4 个10/100M 自适应以太网接口（dmz、lan、wan(00/24)、wan1）。提供1 个虚网口设备br 对象定义 为简化防火墙安全规则的维护工作，引入了对象定义，可以定义以下对象： （1）地址：地址列表、地址组、服务器地址、NAT 地址池 （2）服务：服务列表、服务组 （3）时间：时间列表、时间组 （4）连接限制：保护主机、保护服务、限制主机、限制服务 （5）带宽：带宽列表 （6）URL 列表：黑名单、白名单 注意事项 （1）定义规则前需先定义该规则所要引用的对象。 （2）定义的对象只有被引用时才真正使用。 （3）被引用的对象编辑后，在“安全策略安全规则”界面中点击“刷新”后生效。 地址 在定义安全规则之前，最好按照一定的原则（比如：按部门、按人员等）定义一些地址，这样，当部门或者人员的IP 地址发生变化时，只需在本列表中更新即可，无需再修改安全规则了。 在“对象定义地址”中，定义了三种不同用途的地址： 1．地址列表、地址组：用于“安全策略安全规则”中的源地址和目的地址，“用户认证用户列表”和“用户认证用户组”中的安全策略。 2．服务器地址：用于“安全策略安全规则”中的内部地址。 3．NAT 地址池：用于“安全策略安全规则”中的源地址转换。 地址地址列表 地址用于“安全策略安全规则”、“用户认证用户列表”和“用户认证用户组”。 可以按两种方式来定义地址：（1）IP 地址/掩码；（2）地址范围IP1－IP2 地址地址组 地址组用于“安全策略安全规则”、“用户认证用户列表”和“用户认证用户组”。地址组的成员只能为“对象定义地址地址列表”中已经定义过的地址。 服务 服务用于： （1）“安全策略”下的：包过滤规则、NAT 规则、端口映射规则 （2）“用户认证”下的：用户、用户组 在“对象定义服务”中，定义了三种服务： （a）基本服务：可以“协议 + 源端口 + 目的端口”。 （b）ICMP 服务：可指定type 和code。 （c）动态服务：目前支持H323、FTP、SQLNET 三种动态协议。 （d）服务组：上述三种服务的任意组合。 服务服务列表 连接限制 连接限制是为了保护服务器，限制对服务器过于频繁的访问。在规定的时间内，如果某台主机访问服务器超过了所限制的次数，则会对该主机实行阻断，在阻断时间段内，拒绝其对服务器的所有访问。在“对象定义连接限制”中，提供了四种连接限制：保护主机、保护服务、限制主机、限制服务。 保护服务 保护服务是指被访问服务器提供的某类服务进行保护，限制对此服务器的这类服务进行过于频繁的访问。 安全策略 安全策略是防火墙的核心功能。防火墙所有的访问控制均根据安全规则的设置完成。 安全规则包括： （1）包过滤规则 （2）NAT 规则（网络地址转换） （3）IP 映射规则 （4）端口映射规则 安全策略安全规则 防火墙的基本策略：没有明确被允许的行为都是被禁止的。 根据管理员定义的安全规则完成数据帧的访问控制，规则策略包括：“允许通过”、“禁止通过”、“NAT方式通过”、“IP 映射方式通过”、“端口映射方式通过”。支持对源IP 地址、目的IP 地址、源端口、目的端口、服务、流入网口、流出网口等控制。