防火墙使用及功能配置.ppt

防火墙使用及功能配置 提纲 防火墙相关知识 Cisco PIX 515E Netscreen 500 防火墙介绍 防火墙的概念 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。 防火墙术语 网关：在两个设备之间提供转发服务的系统。网关是互联网应用程序在两台主机之间处理流量的防火墙。这个术语是非常常见的。 DMZ非军事化区：为了配置管理方便，内部网中需要向外提供服务的服务器往往放在一个单独的网段，这个网段便是非军事化区。防火墙一般配备三块网卡，在配置时一般分别分别连接内部网，internet和DMZ。 吞吐量：网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。 最大连接数：和吞吐量一样，数字越大越好。但是最大连接数更贴近实际网络情况，网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源，因此最大连接数成为考验防火墙这方面能力的指标。 数据包转发率：是指在所有安全规则配置正确的情况下，防火墙对数据流量的处理速度。 并发连接数目:由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。 对防火墙的需求 网络规模/流量增长的需求 可靠性的需求 DOS攻击防范的需求 蠕虫病毒防范的需求 日志性能需求 安全产品市场分析 各行业对网络安全技术最高使用率对比 防火墙的发展 Netscreen与一般硬件防火墙比较 Cisco PIX 520防火墙图片 CPU,RAM Intel EtherExpress Pro/100+ Cisco PIX Firewall 515E Cisco PIX515E 防火墙 为中小企业而设计 并发吞吐量188Mbps 168位3DES IPSec VPN吞吐量63Mbps Intel 赛扬 433 MHz 处理器 64 MB RAM 支持 6 interfaces PIX 515 基本配件 PIX 515主机 接口转换头 链接线 固定角架 电源线 资料 The PIX Firewall 515 前面版 PIX Firewall 515 模块 PIX Firewall 515双单口连接器 The PIX Firewall 515 通常的连接方案 PIX防火墙通用维护命令 访问模式 PIX Firewall 有4种访问模式: 非特权模式:PIX防火墙开机自检后,就处于该模式,系统提示为:pixfirewall 特权模式:enable进入特权模式,可改变当前配置,显示为:pixfirewall# 配置模式:输入configure terminal进入,绝大部分系统配置都在这里进行,显示为:pixfirewall(config)# 监视模式:PIX开机或重启过程中,按住esc键或发送一个break字符进入监视模式,可以在此更新操作系统镜像和口令回复,显示为:monitor PIX 防火墙基本命令 enable, enable password, passwd write erase, write memory, write terminal show interface, show ip address, show memory, show version, show xlate exit reload hostname, ping, telnet enable 命令 Enables you to enter different access modes enable password 和 passwd 命令 设置进入特权模式的访问密码. write 命令 The following are the write commands: write net:将存储当前配置的文件写入到TFTP服务器上 write erase:清除Flash中的配置 write floppy:将配置文件写入软盘 write memory:将配置文件写入到Flash write terminal:显示存储在Flash中的配置信息 show 命令 show history show memory-显示系统内存的使用情况 show interface 命令 show ip address 命令 hostname and ping 命令 name 命令 telnet 命令 指定可以telnet连接到控制台的主机地址 http 命令 设定允许以http访问防火墙的地址范围 PIX防火墙的6个常用命令 PIX防火墙常用命令 nameif interface ip addre