第五讲防火墙技术与应用

回顾上章内容上次课我们讲了数字签名及CA认证技术，它们是用于电子商务安全中心内容六个要求中的保密性、完整性、认证性、不可否认性。机密性完整性认证性不可否认性不可拒绝性访问控制性电子商务安全的中心内容1/15/20231回顾上章内容另外我们通过两个实训内容了解如何进行个人数字签名及数字证书申请、颁发及使用。1/15/20232回顾上章内容通过这些手段保证了电子商务中交易的真实性和不可抵赖性。但无法保证电子商务中交易所使用的计算机网络安全。交易安全技术安全认证手段数字签名、CA体系基本加密算法对称和非对称密算法安全应用协议SET、SSL安全管理体系网络安全技术防火墙技术病毒防范黑客的攻击和防范WEB服务的安全法律、法规、政策1/15/20233第5章 防火墙技术与应用本章重点：

包过滤型防火墙代理服务器型防火墙防火墙的设计与创建基于防火墙的安全网络结构费尔个人防火墙管理与配置

1/15/20234第5章 防火墙技术与应用

包过滤防火墙规则的建立本章难点：

1/15/20235第5章 防火墙技术与应用学习目标：

了解网络防火墙是什么，有什么用？掌握包过滤防火墙的规则怎么建立的，有什么需要注意的地方？掌握代理服务器型防火墙工作的原理及步骤。1/15/20236第五章 防火墙技术与应用5.1网络防火墙概述5.2防火墙的类型5.3防火墙设计的安全要求与准则5.4防火墙安全体系结构5.5创建防火墙步骤5.6防火墙配置实验1/15/202375.1网络防火墙概述防火墙：防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。

1/15/202385.1网络防火墙概述网络防火墙：在可信和不可信网络间设置的保护装置，用于保护内部资源免遭非法入侵。服务器内部网可信网络Internet不可信网络1/15/202395.1.1网络防火墙基本概念主机：与网络系统相连的计算机系统。堡垒主机：指一个计算机系统，它对外部网络暴露，同时又是内部网络用户的主要连接点。双宿主主机：又称双宿主机或双穴主机，是具有两个网络接口的计算机系统。包：在互联网上进行通信的基本上信息单位。

1/15/202310包过滤：设备对进出网络的数据流（包）进行有选择的控制与操作。通常是对从外部网络到内部网络的包进行过滤。参数网络：为了增加一层安全控制，在内部网与外部网之间增加的一个网络，有时也称为非军事区，即DMZ（DemilitarizedZone）。

代理服务器：代表内部网络用户与外部服务器进行信息交换的计算机（软件）系统。

5.1.1网络防火墙基本概念1/15/202311为什么需要防火墙？1/15/202312防火墙5.1.2网络防火墙的目的与作用

1.构建网络防火墙的主要目的限制某些访问者进入一个被严格控制的点。防止进攻者接近防御设备。限制某些访问者离开一个被严格控制的点。检查、筛选、过滤和屏蔽信息流中的有害服务，防止对计算机系统进行蓄意破坏。

卫星发射中心1/15/2023132.网络防火墙的主要作用有效地收集和记录internet上活动和网络误用情况。

能有效隔离网络中的多个网段，防止一个网段的问题传播到另外网段。

防火墙作为一个防止不良现象发生的警察，能执行和强化网络的安全策略。

5.1.2网络防火墙的目的与作用1/15/202314防火墙的局限性没有万能的网络安全技术，防火墙也不例外。防火墙有以下三方面的局限：防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。1/15/2023155.2

防火墙的类型

防火墙的演变：第一代防火墙：包过滤，路由器；第二代防火墙：（电路层）代理防火墙，NEC公司，1989年；第三代防火墙：TIS防火墙套件，美国防部；第四代防火墙：状态检测技术，USC信息科学院，1992年；第五代防火墙：自适应代理技术，NAI公司，1998年。1/15/2023165.2防火墙的类型尽管防火墙的发展经过了将近20年，但是按照防火墙对内外来往数据的处理方法，大致可以将防火墙分为两大体系：

(1)包过滤型；

(2)代理服务器型；1/15/2023175.2.1包过滤型防火墙

1.工作原理包过滤器一般安装在路由器上，工作在网络层（IP）。

基于单个包实施网络控制，根据所收到的数据包的源地址、目的地址等参数与访问控制表比较来实施信息过滤。一般容许内网主机直接访问外网，而外网主机对内网的访问则要受到限制。网络层是OSI参考模型的第几层？学习重点1/15/2023182.优缺点 优点：简单、方便、速度快、透明性好，对网络性能影响不大。 缺点：缺乏用户日志和审计信息,缺乏用户论证机制，不具备审核管理，且过滤规则的完备性难以得到检验，复杂过滤规则的管理也比较困难。 包过滤型防火墙的安全性较差！5.2.1包过滤型防火墙1/15/2023195.2.2IP级包过滤型防火墙

1.概述

IP级包过滤又称为动态包过滤，它工作在传输层，对每一报文根据报头进行过滤，通过预定义规则对报文进行操作。 规则定义在转发控制表中，因产品不同控制表格式不同，这里讨论抽象的过滤规则。 1/15/2023205.2.2IP级包过滤型防火墙报文遵循自上至下的次序运用每一条规则，直到遇到与其相匹配的规则为止。操作方式有：转发、丢弃、报错、备忘等。根据不同实现方式，报文过滤可在进入或者离开防火墙时进行。1/15/202321访问要求：

1）网络/16不愿其他Internet主机访问其站点；

2）但它的一个子网/24和某大学/16有合作项目，因此允许该大学访问该子网；

3）然而大学中有一子网/24是黑客天堂，需要禁止。

学习难点防火墙规则制订实例1/15/202322大学内网子网进来出去注意这些规则之间并不是互斥的，因此要考虑顺序。123规则顺序安排原则：先特殊，后普遍学习难点进来出去内网 大学黑客天堂防火墙规则制订实例1/15/2023232.基于协议、端口的规则制定

HTTP是一个基于TCP的服务，一般使用端口80，也可使用其他非标准端口，客户机使用任何大于1023的端口。如果防火墙允许WWW穿越网络边界，则可定义如下规则。

规则1、规则2允许外部主机访问本站点的WWW服务器，规则3、规则4允许内部主机访问外部的WWW服务器。

防火墙规则制订实例1/15/202324问题编写防火墙规则，要求如下： 禁止除管理员（IP为0）外任何一台计算机访问某主机（IP为00）的终端服务（TCP端口3389）。1/15/2023255.2.3代理服务器型防火墙

1.工作原理在防火墙主机上运行代理服务进程，通过该进程代理用户完成TCP/IP功能。针对不同的应用均有相应的代理服务。外网和内网连接必须通过代理服务器中转。代理服务可以实施用户论证、详细日志等功能和对具体协议及应用的过滤。学习重点1/15/202326代理服务器有两个部件：一个代理服务器和一个代理客户。

代理服务器HTTPFTPTelnet…代理客户外部网络服务器发送请求转发请求响应请求转发响应5.2.3代理服务器型防火墙1/15/202327访问湖南科大管理学院院网代理服务器Internet步骤（1）（1）主机A发出访问Web站点的请求；步骤（2）（2）请求到达代理服务器，代理服务器检查防火墙规则集，检查数据包报头信息和数据；主机AIP地址：代理服务器IP地址：1/15/202328访问湖南科大管理学院院网步骤（3）步骤（4）代理服务器Internet步骤（1）步骤（2）（3）如果不允许该请求发出，代理服务器拒绝请求，发送ICMP消息给源主机；（4）如果允许该请求发出，代理服务器修改源IP地址，创建数据包；主机AIP地址：那么数据包源IP地址由改成1/15/202329访问湖南科大管理学院院网步骤（3）步骤（4）步骤（5）代理服务器Internet步骤（1）（5）代理服务器将数据包发给目的计算机，数据包显示源IP地址来自代理服务器；步骤（2）（6）返回的数据包又被发送到代理服务器。服务器再次根据防火墙规则集检查数据包报头信息和数据；步骤（6）1/15/202330访问湖南科大管理学院院网步骤（3）步骤（4）步骤（5）步骤（8）步骤（6）步骤（7）代理服务器Internet步骤（1）步骤（2）（7）如果不允许该数据包进入内部网，代理服务器丢弃该数据包，发送ICMP消息；（8）如果允许该数据包进入内部网，代理服务器将它发给最先发出请求的计算机；1/15/202331访问湖南科大管理学院院网步骤（3）步骤（9）步骤（4）步骤（5）步骤（8）步骤（6）步骤（7）代理服务器Internet步骤（1）步骤（2）（9）数据包到达最先发出请求的计算机，此时数据包显示来自外部主机而不是代理服务器。1/15/2023322.优缺点

优点：能完全控制网络信息的交换，控制会话过程，具有灵活性和安全性。

缺点：可能影响网络的性能，对用户不透明，且对每一种服务器都要设计一个代理模块，建立对应的网关层，实现起来比较复杂。

5.2.3代理服务器型防火墙1/15/2023335.2.4其他类型的防火墙

1．电路层网关

在网络的传输层上实施访问控制策略，是在内、外网络主机之间建立一个虚拟电路进行通信。 相当于在防火墙在直接开了个口子进行传输，不像应用层防火墙那样能严密的控制应用层的信息。

1/15/2023342．混合型防火墙

把包过滤和代理服务等功能结合起来，形成新的防火墙结构，所用主机称堡垒主机，负责代理服务。 混合采用以下几种技术：①动态包过滤；②内核透明技术；③用户认证机制；④内容和策略感知能力；⑤内部信息隐藏；⑥智能日志、审计和实时报警；⑦防火墙的交互操作性；⑧将各种安全技术结合等。

5.2.4其他类型的防火墙1/15/2023353．应用层网关

使用专用软件转发和过滤特定的应用服务，是一种代理服务。 它只允许代理的服务通过，即只有那些被认为“可依赖的”服务才允许通过防火墙。 有登记、日志、统计和报告等功能，并有很好的审计功能和严格的用户认证功能。安全性高，但它要为每种应用提供专门的代理服务程序。5.2.4其他类型的防火墙1/15/2023364．自适应代理技术

可以根据用户定义的安全策略，动态适应传送中的分组流量。

如果安全要求较高，则安全检查应在应用层完成，以保证代理防火墙的最大安全性；一旦代理明确了会话的所有细节，其后的数据包就直接到达速度快得多的网络层。该技术兼备了代理技术的安全性和其他技术的高效率。

5.2.4其他类型的防火墙1/15/202337各种防火墙的性能比较

1/15/2023385.3防火墙设计的安全要求与准则

1.安全要求1）应有一定冗余度，避免成为单失效点。2）能抵抗网络攻击，对网络通信进行监控和审计。3）一旦失效，应完全阻断内外网连接。4）应提供强制认证服务。5）对内网应屏蔽地址和拓扑结构。1/15/2023392.基本准则

1）一切未被允许的访问就是禁止的。 防火墙要封锁所有的信息流，然后对希望开放的服务逐步开放。具有较高安全性，但牺牲了用户使用方便性。

2）一切未被禁止的访问就是允许的。

防火墙开放所有的信息流，然后逐项屏蔽有害的服务。具有灵活性，但难提供可靠安全保护。5.3防火墙设计的安全要求与准则1/15/2023405.4防火墙安全体系结构

网络防火墙的安全体系结构基本上分5种：

（1）过滤路由器结构；（2）双宿主主机结构；（3）主机过滤结构；（4）过滤子网结构；（5）吊带式结构等。

1/15/2023415.4.1过滤路由器防火墙结构

在传统的路由器中增加分组过滤功能。由于单机实现，形成了网络中的“单失效点”。不是“失效—安全”型，也违反了阻塞点原理，尚不能提供有效的安全功能。1/15/2023425.4.2双宿主主机防火墙结构

它至少是具有两个接口(即两块网卡)的双宿主主机而构成。

双宿主主机可以提供很高程度的网络控制。双宿主主机只有用代理服务的方式或者用让用户每次都直接注册到双宿主主机上的方式，才能提供安全控制服务。

1/15/202343一般要求用户先注册，再通过双宿主主机访问另一边的网络，但由于代理服务器简化了用户的访问过程，可以做到对用户透明，属“失效—安全”型。由单机组成的，没有安全冗余机制仍是网络的“单失效点”。5.4.2双宿主主机防火墙结构1/15/2023445.4.3主机过滤型防火墙结构

1.组成结构 由过滤路由器和运行网关软件的堡垒主机构成。提供安全保护的堡垒主机仅与内部网络相连，而过滤路由器位于内部网络和外部网络之间。

1/15/2023452.特点可完成多种代理，还可以完成认证和交互作用，能提供完善的Internet访问控制。

堡垒主机是网络的“单失效点”，也是网络黑客集中攻击的目标，安全保障仍不理想。比双宿主主机结构能提供更好的安全保护区，同时也更具有可操作性。防火墙投资少，安全功能实现和扩充容易，因而目前应用比较广泛。

5.4.3主机过滤型防火墙结构1/15/2023465.4.4子网过滤型防火墙结构

1.组成结构 在主机过滤结构中再增加一层参数网络的安全机制，使得内部网络和外部网络之间有两层隔断。由参数网络的内、外部路由器分别连接内部与外部网络。

1/15/2023472.特点双重保护，内网不易被攻击。堡垒主机作为代理服务器和认证服务置于周边网络中，以维护Internet与内部网络的连接。

把前一种主机的通信功能分散到多个主机组成的网络中，减少了入侵者闯入破坏的机会，是一种比较理想的安全防范模式。

5.4.4子网过滤型防火墙结构1/15/2023485.4.5吊带式防火结构

作为代理服务器和认证服务器的网关主机位于周边网络中。代理服务器和认证服务器是内部网络的第一道防线，而内部路由器是内部网络的第二道防线。1/15/202349防火墙安全体系结构小结实践表明，过滤路由器防火墙是最简单的安全防范措施，双宿主主机防火墙居中，主机过滤型防火墙和子网过滤型防火墙安全措施比较理想，而吊带式防火墙安全防范措施最好，但一般在中小型企业网中应用不广泛。

1/15/2023505.5创建防火墙步骤

成功创建一个防火墙系统一般需要6个步骤：制定安全策略，搭建安全体系结构，制定规则次序，落实规则集，注意更换控制和做好审计工作。建立一个可靠的规则集对于实现一个成功的、安全的防火墙来说是非常关键的。1/15/2023515.5.1制定安全策略

安全策略一般由管理人员制定，包含以下3方面内容：

1）内部员工访问Internet不受限制。

2）Internet用户有权访问公司的Web服务器和E-mail服务器。

3）任何进入公用内部网络的数据必须经过安全认证和加密。

1/15/2023525.5.2搭建安全体系结构

作为一个安全管理员，需要将安全策略转化为安全体系结构。根据策略（2）可知外网用户可访问WEB服务器和邮件服务器。所以这些服务器是不安全的，可将它们放入DMZ区来保证安全。1/15/2023535.5.3制定规则次序

规则的次序对防火墙的运转来说是至关重要的，因为规则间可能有冲突。很多防火墙是依次检查规则的，当发现与规则匹配时，就会停止检查并应用这条规则。 特殊的规则放前，较普通的规则放后。1/15/2023545.5.4落实规则集

选择好素材后就可以建立规则集。一个典型的防火墙的规则集合包括12个方面。

1）切断默认。

2）允许内部出网。

3）添加锁定，阻塞对防火墙的访问。

4）丢弃不匹配的信息包。

5）丢弃并不记录。

6）允许外网访问内网DNS。

1/15/202355

7）允许内外网通过SMTP进行邮件访问。

8）允许内外网通过HTTP进行Web访问。

9）禁止内部用户公开访问DMZ区。

10）允许内网通过POP协议进行邮件访问。

11）DMZ不应与内网连接。

12）允许管理员以加密方式访问内部网络。5.5.4落实规则集1/15/2023565.5.5注意更换控制

规则组织好后，应该写上注释并经常更新，它可以帮助理解每一条规则做什么。建议增加以下信息：

1）规则更改者的名字。

2）规则变更的日期和时间。

3）规则变更的原因。

1/15/2023575.5.6做好审计工作

建立好规则集后，应检测是否可以安全地工作。尽量保持规则集简洁和简短，因为规则越多，就越可能犯错误，规则越少，理解和维护就越容易。一个好的准则是最好不要超过30条。1/15/2023585.6防火墙配置实验

防火墙有两大类，分别为硬件防火墙与软件防火墙。实验主要是对这两类防火墙的典型产品进行相应的配置。硬件防火墙选用CiscoPIX防火墙，主要进行防火的配置方式、防火墙的升级、防火墙的基本操作、地址翻译（NAT）、对主机与资源的过滤等实验。软件防火选用费尔个人防火墙。主要对指定的IP地址、应用程序、端口、站点的禁用进行配置。1/15/2023595.6.1CiscoPIX防火墙的升级和初始配置

1.实训目的（1）熟悉CiscoPIX515防火墙的基本组成和功能，了解Console和其他基本端口；（2）了解CiscoPIX515防火墙的启动过程；（3）掌握通过超级终端通过Console口登录到防火墙；（4）掌握CiscoPIX515防火墙的初始化配置；（5）掌握CiscoPIX515防火墙的升级；1/15/2023602.实训内容（1）熟悉CiscoPIX515防火墙的基本组成和功能；（2）观察CiscoPIX515防火墙的启动过程；（3）使用超级终端通过Console口登录到防火墙；（4）CiscoPIX515防火墙的初始化配置；（5）CiscoPIX515防火墙的升级；5.6.1CiscoPIX防火墙的升级和初始配置1/15/2023613.实训理论基础(一)CiscoPIX防火墙的介绍

CiscoPIX的防火墙在业界处于领先的地位，主要有以下5种型号：

CiscoPIX506

最小型号，家庭用

CiscoPIX515

中小型号，中小企业用

CiscoPIX520

大型企业

CiscoPIX525

服务提供商

CiscoPIX535

最大型号，服务提供商5.6.1CiscoPIX防火墙的升级和初始配置1/15/202362(二)CiscoPIX515防火墙带有2个固定的10/100M以太网网卡，并带有两个扩展槽，最大可支持到6个以太网网卡。采用高性能的Intel处理器和嵌入式操作系统，其保护方案基于自适应安全算法（ASA），可以确保最高的安全性。采用了专有的、实时的IOS，采用图形化用户界面配置和管理。

5.6.1CiscoPIX防火墙的升级和初始配置1/15/202363(三)相关命令

(1)nameif命令 命令nameif为PIX防火墙上的每个接口分配一个名字，并指定它的安全级别。 命令语法如下：

nameif

hardware_idif_namesecurity_level

边界接口物理位置物理边界接口名字安全级别（1-99）以太网FDDI令牌环接口5.6.1CiscoPIX防火墙的升级和初始配置1/15/202364

(2)interface命令

interface命令用以确定硬件类型，设置硬件速度，并启用接口。 命令语法如下：

interfacehardware_idhardware_speed[shutdown]

例：interfaceethernet110basetshutdown边界接口物理位置确定连接速度

管理性地关闭这个接口

5.6.1CiscoPIX防火墙的升级和初始配置1/15/202365

(3)ipaddress命令

ipaddress命令用以为每个接口设置IP地址和子网掩码。 命令语法如下：

ipaddressif_nameip_address[netmask]

例：ipaddressethernet1 ethernet1接口名字IP地址子网掩码

5.6.1CiscoPIX防火墙的升级和初始配置1/15/202366(四)管理模式CiscoPIX防火墙要使用一个特定的命令时，必须处于适当的模式。PIX提供了四种管理访问模式：模式提示符进入该模式命令非特权模式pixfirewall>登录后默认模式特权模式pixfirewall#在提示符pixfirewall>下输入enable配置模式pixfirewall(configt)#在提示符pixfirewall#下输入configterminal监视模式monitor>5.6.1CiscoPIX防火墙的升级和初始配置1/15/2023674.实训步骤(一) 观察CiscoPIX515防火墙的组成，了解各个端口的基本功能。(二)通过TFTP下载一个CiscoPIX515映像 （1）在打开CiscoPIX515防火墙电源和启动信息显示后，立刻发送一个BREAK字符或按Esc键。提示：如果使用的是Windows95的超级终端，则可以同时按Ctrl和Break键以发送一个BREAK。5.6.1CiscoPIX防火墙的升级和初始配置1/15/202368（2）显示moniter>prompt。（3）输入一个问号（?）以列表显示可用的命令。（4）使用接口命令以指定哪个接口可以使用Ping传输。如果CiscoPIX515只有两个接口，moniter命令默认使用内部接口。（5）使用address命令指定CiscoPIX515防火墙接口的IP地址。（6）使用server命令指定远程服务器的IP地址。5.6.1CiscoPIX防火墙的升级和初始配置1/15/202369(三)配置CiscoPIX515防火墙（1）启动控制台终端：

1）用CiscoPIX515防火墙附件箱提供的串行电缆将PC机的串口和CiscoPIX515防火的控制台端口连接。

2）单击“开始”—“程序”—“附件”—“通讯”—“超级终端”。

3）双击“Hypertrm.exe”启动超级终端。

4）输入连接名PIX-515，单击“确定”按钮。5.6.1CiscoPIX防火墙的升级和初始配置1/15/202370

5）在“连接到”窗口选择“直接连接到串口COM1”。

6）在COM1属性对话框进行以下设置并单击“确定”按钮。 比特率：9600b/s；数据位：8；奇偶校验：无；停止位：1；流量控制：硬件

7）窗口将显示防火墙启动信息。

8）单击“文件→保存”，保存当前设置。

9）退出当前窗口。5.6.1CiscoPIX防火墙的升级和初始配置1/15/202371（2）进入CiscoPIX515防火墙的配置模式。

1）启动超级终端CiscoPIX515。

2）启动消息出现后，提示正使用非授权模式。

3）输入enable，按回车键。

4）出现password，按回车键。

5）进入授权模式，输入configureterminal，进入配置模式。5.6.1CiscoPIX防火墙的升级和初始配置1/15/202372（3）标识每个接口。可以使用nameif命令给每个接口命名，对于2接口的CiscoPIX515防火墙，可以不必输入任何信息。（4）给内部接口定义IP地址：

ipaddressinside（5）配置以太网接口

interfaceethernet0auto interfaceethernet1auto5.6.1CiscoPIX防火墙的升级和初始配置1/15/2023735.实训思考题（1）观察防火墙的基本结构，描述防火墙的各个接品及功能。（2）简述nameif

、ipaddress、interface等三个命令。（3）简述防火墙的主要功能和几种类型。（4）简述防火墙的几种基本配置方式。

5.6.1CiscoPIX防火墙的升级和初始配置1/15/2023745.6.2CiscoPIX防火墙网络地址翻译配置在PIX防火墙上设置地址翻译（NAT）时,可以有两种选择。

静态地址翻译：内部地址可以被翻译成一个指定的全局地址。

动态地址翻译：在数据穿越PIX防火墙时，将内部地址翻译到一个全局地址池中的某个地址。1/15/2023751.实训目的（1）理解防火墙静态、动态地址翻译原理。（2）掌握相关的配置命令。（3）掌握静态地址翻译与动态地址翻译的配置方法。2.实训内容（1）静态地址翻译配置。（2）动态地址翻译配置。5.6.2CiscoPIX防火墙网络地址翻译配置1/15/2023763.实训理论基础(一).静态地址翻译

如果每次通过PIX防火墙建立一个向外的会话时,要求同一台主机都被翻译成相同的地址,就需要采用静态地址翻译。本地地址：分配给内部主机的地址。全局地址：本地地址将被翻译成的地址。外部地址：一台外部主机上的IP地址。

5.6.2CiscoPIX防火墙网络地址翻译配置1/15/202377static命令的语法，如下所示：

static[(internal_if_name，external_if_name)]global_ip

local_ip[netmasknetwork_mask][max_conns[em_limit]][norandomseq]

内部网络接口名称外部网络接口名称全局IP地址

本地IP地址

网络掩码

保留字

最大连接数

未完成连接限制数

随机化处理TCP/IP数据包的序列号1/15/202378(二).动态地址翻译

用来将一段本地地址范围翻译成一段全局地址范围，或者一个全局地址。 采用NAT的动态地址翻译，必须用NAT命令来定义本地主机，用global命令定义全局地址池。根据用nat命令选择的nat_id，在输出接口上选择用于地址翻译的全局地址池。 用户指定的IP全局地址池的数量可以多达256个。

5.6.2CiscoPIX防火墙网络地址翻译配置1/15/202379(三).相关命令

(1)nat命令 网络地址翻译让用户能够保持内部IP地址对于外部网络是未知的。 除了nat0以外，nat

命令总是与global命令一起使用。

nat命令的语法如下：

nat(if_name)nat_id

local_ip[netmask]

全局地址池

内部网络接口名5.6.2CiscoPIX防火墙网络地址翻译配置1/15/202380 刚开始配置PIX防火墙时，可以用nat

命令，允许所有的内部主机向外进行连接访问。可以用0代替。

(2)global命令 用来定义源地址将要翻译成的地址或地址范围。命令语法如下：

global(if_name)nat_idinterface|global_ip[-global_ip][netmaskglobal_mask]

5.6.2CiscoPIX防火墙网络地址翻译配置1/15/202381NAT翻译过程：源地址翻译表增加表项删除表项5.6.2CiscoPIX防火墙网络地址翻译配置1/15/202382 如果使用nat命令，必须对伴随的global命令进行配置，来定义翻译IP地址池。为了删除一个全局表项，可用使用命令noglobal。

例：noglobal[outside]10 -54netmask

注意：PIX防火墙从全局地址池中分配地址的方式是，从由global命令所指定范围的低端向高端进行分配。 在增加、改变或删除一条global命令语句后，应使用clearxlate命令来清除所有的翻译槽位，并使全局IP地址在翻译表中可用。5.6.2CiscoPIX防火墙网络地址翻译配置1/15/202383

(3)route命令

route命令为接口定义一条静态路由。Route命令语句可以具有一个具体的目的地，或者可以产生一条缺省的静态路由。其具体命令语法如下：

routeif_nameip_address

metmask

gateway_ip[metric]

如果在内部存在多个网络，那么将需要配置一条以上的route命令。内部网络接口名

网关路由器IP

跳数

5.6.2CiscoPIX防火墙网络地址翻译配置1/15/2023844.实训步骤(一).静态地址翻译

(1) 根据图示连接网络设置。为全局地址，内部主机地址为0。5.6.2CiscoPIX防火墙网络地址翻译配置1/15/202385(2)按照下面信息配置防火墙nameifethernet0outsidesecutity0nameifethernet1outsidesecutity1000interfaceethernet0autointerfaceethernet1autoipaddressoutsideipaddressinside

static(inside,outside)010

防火墙初始配置静态翻译设置5.6.2CiscoPIX防火墙网络地址翻译配置1/15/202386(二).动态地址翻译

(1)

首先，根据图示连接网络设置。它有外部IP地址范围6-5，PIXFirewall的内部IP范围为：~0，5.6.2CiscoPIX防火墙网络地址翻译配置1/15/202387(2)按照下面信息配置防火墙nameifethernet0outsidesecurity0nameifethernet1outsidesecurity1000interfaceethernet0autointerfaceethernet1autoipaddressoutsideipaddressinside防火墙初始配置5.6.2CiscoPIX防火墙网络地址翻译配置1/15/202388arptimeout14400nat(inside)100global(outside)16-5global(outside)15noripinsidedefaultnoripinsidepassivenoripoutsidedefaultnoripoutsidepassive

网络地址翻译翻译成的外部地址范围5.6.2CiscoPIX防火墙网络地址翻译配置1/15/202389routeoutside1timeoutxlate3:00:00conn1:00:00halfclosed0:10:00udp0:02:00timeoutrpc0:10:00h3230:05:00timeoutuauth0:05:00absoluteconduitpermiticmpanyanynosnmp-serverlocationnosnmp-servercontact为所有内部IP指定静态路由超时限制5.6.2CiscoPIX防火墙网络地址翻译配置1/15/202390snmp-servercommunitypublictelnet0055telnettimeout15mtuoutside1500mtuinside15005.6.2CiscoPIX防火墙网络地址翻译配置1/15/2023915.实训思考题（1）简述静态、动态地址翻译的原理。（2）比较静态地址翻译与动态地址翻译的区别。（3）采用地址翻译的有什么优点？5.6.2CiscoPIX防火墙网络地址翻译配置1/15/2023925.6.3CiscoPIX防火墙外部访问内部配置

1.实训目的（1）掌握防火墙的管道功能。（2）掌握防火墙的访问的过滤功能。（3）掌握防火墙的IP绑定功能。2.实训内容

（1）通过管道外部主机对内部指定主机的访问。（2）对内部主机访问Internet上的敏感主机和资源的控制。（3）防火墙IP的绑定的实现。1/15/2023933.实训理论基础(一).静态翻译和管道命令

目前大多数连接均是从内部到外部的访问，然后还是有一些需求要从外部到内部的访问的。

怎么办？可以采用conduit命令来建立这样的通道。另外还需要用static命令来建立本地IP和全局IP之间的永久的静态链接。

5.6.3CiscoPIX防火墙外部访问内部配置1/15/202394(二)static命令

在一个本地IP地址和一个全局IP地址之间，创建一个永久映射。Static命令语句优先于nat和global命令组。 可以使用showstatic命令来显示PIX防火墙配置中的static命令语句。(三).conduit命令

conduit命令可以以一种通用或者具体的方式使用。如：按HTTP协议访问。5.6.3CiscoPIX防火墙外部访问内部配置1/15/202395conduit命令的语法如下：conduitpermit|denyprotocolglobal_ipglobal_mask[operatorport[port]]foreign_ipforeign_mask[operatorport[port]]

允许|不允许传输协议外部IP地址比较运算符端口或者端口范围5.6.3CiscoPIX防火墙外部访问内部配置1/15/2023964.实训步骤

首先，根据图示连接网络设置。它有IP地址范围28~91，有E—mail、WWW、FTP等服务器，PIXFirewall的内部虚IP范围为：~55.6.3CiscoPIX防火墙外部访问内部配置1/15/202397（1）对资源主机的访问控制 对于内部的服务器可利用管道使外部可访问它们，但必须限制对它们的访问，以获得最大的安全性。可配置如下：static(inside,outside)29conduitpermittcphost29eq

wwwany static(inside,outside)295.6.3CiscoPIX防火墙外部访问内部配置1/15/202398conduitpermittcphost29eq

smtpanystatic(inside,outside)29 conduitpermittcphost29eq

ftpany（2）对Internet上的的主机和资源的控制 对Internet上敏感资源，可以控制内网对其的访问。5.6.3CiscoPIX防火墙外部访问内部配置1/15/202399例1：控制内部网络对外部主机1的访问。配置如下：outbound10deny155wwwtcpapply(inside)10outgoing_dest

例2：对内部主机

，可以禁止它使用WWW方式访问外部网络，配置如下：outbound10deny55wwwtcpapply(inside)20outgoing_src

5.6.3CiscoPIX防火墙外部访问内部配置1/15/2023100（3）防范内部网络的非法IP和MAC地址 由于IP地址可被随意篡改，易造成非法的访问。可使用ARP命令将IP地址和MAC地址绑定，防止IP地址盗用。

例：将主机IP地址与其MAC地址00e0.1e40.2a7c绑定，配置如下：

arpinside 00e0.1e40.2a7calias

wrm5.6.3CiscoPIX防火墙外部访问内部配置1/15/20231015.实训思考题（1）什么是管道，它有什么功能？（2）如何实现对内部主机访问外部资源的控制？（3）IP地址绑定有什么作用？如何绑定？5.6.3CiscoPIX防火墙外部访问内部配置1/15/20231025.6.4费尔个人防火配置与管理

费尔个人防火墙具有专业级的强大功能、个性化的设计理念、个人网络安全工具的首选。可对指定应用程序、系统开放端口进行监听和控制。还可对一些站点进行过滤，对指定IP进行屏蔽。1/15/20231031.实训目的（1）掌握软件防火的使用与管理。（2）掌握对指定站点、应用程序、指定地址、指定端口的禁用实现。（3）掌握防火墙的各个模块的功能以及实现。2.实训内容

（1）费尔防火墙的各个