防火墙配置与应用.ppt

防火墙配置与应用第一页，共三十五页，2022年，8月28日 9-1 防火墙简介9-1-1 防火墙的概念防火墙（Firewall）的本义网络中的防火墙是指隔离内部网络与外部网络之间的一道防御系统，是目前一种最重要网络防护硬件或软件。防火墙的图标如图9-1所示。第二页，共三十五页，2022年，8月28日 9-1 防火墙简介9-1-2 防火墙的功能创建一个阻塞点。隔离不同网络，防止内部信息泄漏。强化网络安全策略。有效地审计和记录内、外部网络上的活动。第三页，共三十五页，2022年，8月28日 9-1 防火墙简介9-1-3 防火墙的分类1. 按防火墙的软、硬件形式分软件防火墙硬件防火墙芯片级防火墙2. 按防火墙技术分包过滤型应用代理型第四页，共三十五页，2022年，8月28日 9-1 防火墙简介9-1-3 防火墙的分类3. 按防火墙结构分单一主机防火墙路由器集成式防火墙分布式防火墙4. 按防火墙的应用部署位置分边界防火墙个人防火墙混合防火墙第五页，共三十五页，2022年，8月28日 9-1 防火墙简介9-1-3 防火墙的分类5. 按防火墙性能分百兆级防火墙千兆级防火墙第六页，共三十五页，2022年，8月28日 9-2 防火墙技术9-2-1 包过滤技术优点：包过滤技术的优点在于一个过滤路由器能协助保护整个网络；数据包过滤对用户透明；过滤路由器速度快、效率高。 包过滤技术的缺点则是不能彻底防止地址欺骗；一些应用协议不适合于数据包过滤；正常的数据包过滤路由器无法执行某些安全策略。 第七页，共三十五页，2022年，8月28日 9-2 防火墙技术9-2-1 包过滤技术在包过滤技术的发展中，出现过两种不同的技术，即：静态包过滤和动态过滤。包过滤防火墙的典型网络拓扑图如图9-4所示。 外部网络防火墙内部网络图 9-4 包过滤防火墙的典型网络拓扑图第八页，共三十五页，2022年，8月28日 9-2 防火墙技术9-2-2 网络地址转换（NAT）在防火墙上部署NAT的方式可以有几种：M-1：多个内部网络地址转换到1个IP地址。1-1：简单的一对一地址转换。M-N：多个内部网地址转换到N个IP地址池。第九页，共三十五页，2022年，8月28日 9-2 防火墙技术9-2-3 应用级网关应用级网关技术的主要优点：可以提供用户级的身份认证、日志记录和帐号管理。 应用级网关技术的缺点灵活性不够，严重制约了新应用的采纳。 第十页，共三十五页，2022年，8月28日 9-2 防火墙技术9-2-4 其他防火墙技术电路级网关堡垒主机非军事化区透明模式/透明代理屏蔽路由器阻塞路由器隔离域名服务器邮件转发技术状态监视器第十一页，共三十五页，2022年，8月28日 9-3 防火墙主流产品介绍Cisco Secure PIX防火墙华为3Com Quidway? SecPath系列防火墙天融信NGFW4000 系列防火墙 第十二页，共三十五页，2022年，8月28日 9-4 防火墙配置基础9-4-1 防火墙基本配置原则 默认情况下，所有的防火墙都是按以下两种情况配置的： 拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。第十三页，共三十五页，2022年，8月28日 9-4 防火墙配置基础9-4-1 防火墙基本配置原则 防火墙的配置过程中的三个基本原则：简单实用全面深入内外兼顾 第十四页，共三十五页，2022年，8月28日 9-4 防火墙配置基础9-4-2 天融信NGFW4000的应用与配置 对天融信防火墙进行配置与管理可以通过三种方式：本地控制台端口远程TelnetSSH（Secure Shell）第十五页，共三十五页，2022年，8月28日 9-4 防火墙配置基础9-4-2 天融信NGFW4000的应用与配置（1）本地控制台端口用一根CONSOLE线缆连接防火墙的CONSOLE接口与PC（或笔记本）的串口。在Windows操作系统中，选择开始 - 程序 - 附件 - 通讯 - 超级终端。打开超级终端界面，系统提示输入新建连接的名称，用户可以输入任何（NGFW4000）。如图9-7所示。 第十六页，共三十五页，2022年，8月28日 9-4 防火墙配置基础9-4-2 天融信NGFW4000的应用与配置图9-7 新建连接的对话框 第十七页，共三十五页，2022年，8月28日 9-4 防火墙配置基础输入名称确定后，提示选择PC连接的端口。一般选择COM1。如图9-8所示。 图9-8 使用计算机的COM1接口与防火墙连接 第十八页，共三十五页，2022年，8月28日 9-4 防火墙配置基础然后就要对COM1接口进行属性设置。具体参数设置如图9-9所示。第十九页，共三十五页，