防火墙培训课件20160512

1、防火墙基本概念及营业部常用配置网络安全组2016.05一、什么是防火墙二、防火墙的分类三、营业部防火墙常用配置介绍一、什么是防火墙防火墙作为一种访问控制技术，通过严格控制进出网络边界的分组，禁止任何不必要的通信，从而减少潜在入侵的发生，尽可能降低这类安全威胁所带来的安全风险。它是一种位于内部网络与外部网络之间的网络安全系统，依照特定的规则，允许或是限制传输的数据通过。作为网络边界设备，防火墙是阻止入侵行为的第一道防线，但是防火墙并不能防病毒，与防病毒类产品有本质上的区别。二、防火墙的分类1.从物理形态上，防火墙分为硬件防火墙和软件防火墙。硬件防火墙是通过硬件和软件的组合来达到隔离内外部网络的目

2、的。软件防火墙一般寄生在操作系统平台，是通过纯软件的的方式实现隔离内外部网络的目的。目前硬件防火墙比较主流的厂商是cisco、Juniper、H3C等；绝大部分杀毒软件都带有防火墙功能，国内如天网、瑞星、江民等，国外如ZoneAlarm、pc tools firewall plus等。硬件防火墙是流行趋势，相比软件防火墙除成本外很有优势。性能优势。CPU占用率的优势。售后支持。2.从技术上防火墙分为数据包过滤型防火墙和应用网关（代理服务型）防火墙。数据包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问访问控制列表控制列表。通过检查数据流中每个数据包的源地址、目的

3、地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。应用网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。 三、营业部防火墙常用功能及配置介绍1、基本概念：区域划分：区域划分：将私有地址转换为公有地址使数据包能够发到因特网上，同时从因特网上接收数据包时，将公用地址转换为私有地址。静态NAT：一对一NAT池：多对多PAT：多对一主要用途：1、扩充地址；2保护内部主机，避免外部攻击。地址转换（地址转换（NAT）：）：访问控制

4、是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。这些指令列表用来告诉防火墙哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。办公网禁止交易ACL访问控制列表（访问控制列表（Access Control Lists,ACL）：）：静态路由是由管理员在路由器中手动配置的固定路由，路由明确地指定了包到达目的地必须经过的路径，除非网络管理员干预，否则静态路由不会发生变化。静态路由不能对网络的改变作出反应，所以一般说静态路由用于网络规模不大、拓扑结构相对固定的网

5、络。 静态路由特点 1、它允许对路由的行为进行精确的控制； 2、减少了网络流量； 3、是单向的； 4、配置简单。 静态路由和动态路由：静态路由和动态路由：动态路由是网络中的路由器之间相互通信，传递路由信息，利用收到的路由信息更新路由器表的过程。是基于某种路由协议来实现的。常见的路由协议类型有：距离向量路由协议（如RIP）和链路状态路由协议（如OSPF）。动态路由特点： 1、无需管理员手工维护，减轻了管理员的工作负担。 2、占用了网络带宽。 3、在路由器上运行路由协议，使路由器可以自动根据网络拓朴结构的变化调整路由条目。2、通用配置enable /进入特权模式configure terminal

6、 /进入全局配置模式write earse startup-config /清除交换机配置Write /保存配置reload /重启show running-config /查看当前配置show int g0/1 /查看接口信息show version /查看IOS版本信息show flash /查看闪存中的文件ciscoasa(config)# hostname asa5505 /配置防火墙名asa5505(config)#telnet inside /允许内部接口网段telnet防火墙asa5505(config)#

7、 password cisco /设置密码asa5505(config)# enable password cisco /设置enable密码asa5505(config)# interface vlan 2 /进入vlan2 asa5505(config-if)# ip address 218.xxx.37.222 92 /vlan2配置IPasa5505(config-if)# switchport access vlan 3 /接口加入vlan3 访问控制列表访问控制列表access-list acl_out extended permit tcp any an

8、y eq www /允许tcp协议80端口入站 access-list acl_out extended permit tcp any any eq https /允许tcp协议443端口入站 access-list acl_out extended permit tcp any host 218.xxx.37.224 eq 3389 /允许任何主机使用tcp协议访问到218.xxx.37.224主机的3389端口 access-list acl_out extended permit udp any host 218.xxx.37.225 eq 1433 /允许任何主机使用udp协议访问到2

9、18.xxx.37.224主机的1433端口 asa5505(config)#show access-list /查看现有访问列表设置路由设置路由asa5505(config)#route outside 93 1 /默认路由到所有网段经过218.xxx.37.193网关跳数为1 asa5505# show route /显示路由信息静态静态NAT asa5505(config)# static (inside,outside) 218.xxx.37.223 netmask 55 /内网19

10、映射为外网218.xxx.37.223动态动态NAT asa5505(config)#global(outside) 1 24-26 /定义全局地址池asa5505(config)#nat(inside) 1 0-0/内部转换地址池基于端口基于端口NAT（PAT） asa5505(config)#global (outside) 2 interface /定义全局地址即outside地址asa5505(config)#nat (inside) 2 255.255

11、.255.0 /内部转换地址池 ADSL配置配置asa5505(config)#interface vlan2asa5505(config-if)#nameif ADSL/定义接口的名字 asa5505(config-if)# security-level 0/定义接口的安全级别 asa5505(config-if)# pppoe client vpdn group adsl/定义pppoe客户端的组的名字 asa5505(config-if)# ip address pppoe setroute/定义IP地址的类型 asa5505(config)# global (ADSL) 1 interface/定义全局转换地址 nat (inside) 1 /定义内部转换地址 vpdn group adsl request dialout pppoe vpdn group adsl localname 123456789adslavpdn group adsl ppp authentication pap vpdn usern