任务4 部署硬件防火墙

工作任务

问题探究

知识拓展

检查评价

学习目标部署硬件防火墙

实践操作

学习目标1.知识目标2.能力目标学习目标返回下页上页学习目标1.知识目标理解防火墙的基本特性1理解防火墙的运行机制2掌握防火墙的功能和作用3掌握防火墙的管理特性4掌握防火墙的对象管理5返回下页上页掌握防火墙的策略配置6了解防火墙的局限性7学习目标2.能力目标返回下页上页安装RG-WALL60防火墙1导入RG-WALL60防火墙的数字证书2使用WEB方式登录防火墙3管理RG-WALL60防火墙账号4定义RG-WALL60防火墙对象5配置安全规则6配置抗攻击选项7工作任务

工作任务2.工作任务背景4.条件准备1.工作名称3.工作任务分析返回下页上页任务背景：校园网对于当今学校的管理和运行已经成为最基本的条件，学校的日常办公，学生信息的管理，学生选课、成绩的管理，等等。如果没有校园网，学校的日常活动可能就难以开展下去。但是，近来校园网的安全和性能问题越来越严重，特别是近来发现了对学校服务器的攻击行为，更是对校园网的安全构成了严重的威胁，对校园网的日常运行存在非常大的安全隐患。工作任务

任务名称：安装配置硬件防火墙任务名称与背景返回下页上页从校园网当前存在的问题来看，这是典型的网络安全管理问题。一是对网络服务器的攻击和破坏是网络安全的最大威胁，服务器的安全是校园网正常运行的必要条件；二是病毒和木马的传播，给正常的学校业务运行构成了极大的隐患；在当前校园网中，缺少一个对网络信息流动进行严格控制的机制。如果我们在校园网中加入一台硬件防火墙，对校园网中的网络活动进行筛选和控制，对日常的业务活动保证其网络活动的正常进行，对非正常的网络活动如病毒木马的传播和网络攻击进行限制，对网络安全构成威胁的严格禁止。对于这样的网络管理，防火墙是最合适的，如果能够进行合理的配置，我们现在所涉及的安全问题都可以很好的得到解决。任务分析工作任务

返回下页上页工作任务

条件准备对于校园网的安全防护，我们准备了RG-WALL60防火墙。RG-WALL系列采用锐捷网络独创的分类算法（ClassificationAlgorithm）设计的新一代安全产品——第三代防火墙，支持扩展的状态检测（StatefulInspection）技术，具备高性能的网络传输功能；同时在启用动态端口应用程序(如VoIP、H.323等)时，可提供强有力的安全信道。采用锐捷独创的分类算法使得RG-WALL产品的高速性能不受策略数和会话数多少的影响，产品安装前后丝毫不会影响网络速度；同时，RG-WALL在内核层处理所有数据包的接收、分类、转发工作，因此不会成为网络流量的瓶颈。另外，RG-WALL具有入侵监测功能，可判断返回下页上页工作任务

条件准备攻击并且提供解决措施，且入侵监测功能不会影响防火墙的性能。RG-WALL的主要功能包括：扩展的状态检测功能、防范入侵及其它（如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等）附加功能。RG-WALL60防火墙前面板示意图如图3.14所示，RG-WALL60从左到右依次排列有公司标识、CONSOLE口、7个百兆网口（其中4个百兆交换网口）、电源指示灯、状态指示灯、网卡指示灯。后面板示意图如图所示。返回下页上页RG-WALL60前面板

RG-WALL60后面板实践操作

学习目标返回下页上页1.硬件防火墙的安装7．定义地址资源2．连接管理主机与防火墙3.在管理机中导入数字证书4．登录防火墙WEB界面8．定义服务资源6．防火墙接口启用混合模式5．管理系统账号9．添加包过滤规则1.硬件防火墙的安装考虑到现有校园网的特点，防火墙接入采用“纯透明”的拓扑结构，如图所示。这样的拓扑结构有如下特点：接入防火墙后无需改变原来拓扑结构；防火墙无需启用NAT功能；可以禁止外网到内网的连接，限制内网到外网的连接，即只开放有限的服务，比如浏览网页、收发邮件、下载文件等；使用DMZ区对内外网提供服务，比如WWW服务、邮件服务等；实践操作

返回下页上页1.硬件防火墙的安装接入防火墙后，在防火墙的管理界面中只需要将防火墙接口LAN、WAN、DMZ启用混合模式；通过安全策略禁止外网到内网的连接；通过安全策略限制内网到外网的连接；通过安全策略限制外网到DMZ区的连接；实践操作

返回下页上页2．连接管理主机与防火墙利用随机附带的网线直接连接管理主机网口和防火墙WAN网口（初始配置，只能将管理主机连接在防火墙的WAN网口上），把管理主机IP设置为00，掩码为。连接好后，可以在管理主机运行ping00命令，以便验证是否真正连通，如不能连通，请检查管理主机的IP（00）是否设置在与防火墙相连的网络接口上。实践操作

返回下页上页3.在管理机中导入数字证书在管理主机中，要想对RG-WALL60实施配置，需要数字证书或者客户端软件+USBKey进行身份认证。在此，我们使用数字证书来认证身份。数字证书必须导入才能使用，在RG-WALL60随机附带的光盘上，我们可以找到数字证书文件admin.p12，如图所示。实践操作

返回上页下页3.在管理机中导入数字证书首先，双击数字证书，即可证书导入向导。证书的导入，必须为私钥输入密码，RG-WALL60证书的初始密码是123456，如图所示。实践操作

返回下页上页3.在管理机中导入数字证书其次，根据证书导入向导提示，一步一步操作，直到出现如图所示的导入成功。实践操作

返回下页上页4．登录防火墙WEB界面要想实施对防火墙的管理，必须登录到防火墙。登录防火墙有2种方式，一种是WEB界面，另一种是超级终端。在此，我们使用WEB界面方式来登录并管理防火墙。运行IE浏览器，在地址栏输入00:6666（其它型号防火墙的登录方式参考配套资料），等待约20秒钟会弹出一个对话框提示接受证书，选择确认即可。系统提示输入管理员帐号和口令，如图3.20所示。初始情况下，管理员帐号是admin，密码是：firewall。实践操作

返回下页上页4．登录防火墙WEB界面实践操作

返回下页上页4．登录防火墙WEB界面登录成功后，进入防火墙配置管理界面，如图所示实践操作

返回下页上页4．登录防火墙WEB界面在成功登陆防火墙管理界面后，为了将防火墙成功应用于校园网，解决校园网的安全问题，我们需要为防火墙：设置管理员帐号；定义内网、WWW服务器、邮件服务器、数据库服务器等地址资源；定义WWW服务、邮件服务、文件服务等服务资源；设置防火墙接口为混合模式；添加包过滤规则：允许任意地址访问WWW服务器的WWW服务、邮件服务器的邮件服务；添加包过滤规则：允许内网访问任意地址的WWW服务、邮件服务、文件服务实践操作

返回下页上页5．管理系统账号通常，在第一次登录成功后，管理员需要修改初始管理员帐号、管理主机、防火墙可管理IP、管理方式或导入管理员证书。还可以新建其它管理员账号和管理主机。首先，我们修改Admin账号的账户名和密码。在如图所示的管理员账号界面中，单击admin账号的编辑按钮，对admin账号的信息进行修改实践操作

返回下页上页5．管理系统账号实践操作

返回下页上页其次，我们添加新的管理员账号。在上页图的界面中，单击按钮，可以添加防火墙管理账号，如图所示，添加一个LiLiGong账号，权限为配置管理员+策略管理员+日志审核员。6．防火墙接口LAN、WAN、DMZ启用混合模式实践操作

返回下页上页在“网络配置”|“网络接口”中，配置防火墙接口。对应dmz、wan、lan，分别点击编辑按钮，设置工作模式为“混合模式”。7．定义地址资源实践操作

返回下页上页在“对象定义”|“地址”|“地址列表”中，单击按钮来定义内网、服务地址资源。定义内网interIP为/，如图所示。8．定义服务资源实践操作

返回下页上页在“对象定义”|“服务”中，可以对当前“服务”对象进行管理，RG-WALL60在出厂时已经建立好了常用的“服务”对象，比如我们要用到的“http”、“ftp”、“pop3”等。在此也可以对现有的对象进行编辑或者使用按钮来定义新的“服务”对象。我们要用到的www、ftp、邮件服务对象在如图3.27所示的列表中都能够找到，通过编辑功能，我们查看这些对象的属性，已有配置完全能够满足我们的需要，不需要再添加新的“服务”对象。8．定义服务资源实践操作

返回下页上页9．添加包过滤规则实践操作

返回下页上页策略管理是防火墙管理的核心，只有根据实际需要配置合理的防火墙策略，防火墙才能发挥真正的作用。防火墙按顺序匹配规则列表：按顺序进行规则匹配，按第一条匹配的规则执行，不再匹配该条规则以下的规则。校园网的防火墙是为保证校园网的正常运行而服务的，必须保证校园网日常运行的性能和安全。根据需要，可以添加包过滤规则：以允许任意地址访问WWW服务器的WWW服务、邮件服务器的邮件服务；添加包过滤规则：以允许内网访问任意地址的WWW服务、邮件服务、文件服务、数据库服务；9．添加包过滤规则实践操作

返回下页上页第一步，我们来设置“允许内网访问ftp服务”策略第二步，参照pf1规则，来定义内网访问www服务、内网访问邮件服务、数据库服务的规则。第三步，定义外网访问www服务、邮件服务的规则。问题探究防火墙的本义原是指古代人们房屋之间修建的那道墙，这道墙在火灾发生时可以阻止蔓延到别的房屋。而这里所说的防火墙当然不是指物理上的防火墙，而是指隔离在本地网络与外界网络之间的一道防御系统。应该说，在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域(即Internet或有一定风险的网站)与安全区域(局域网或PC)的连接。同时可以监控进出网络的通信，让安全的信息进入。防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监返回问题探究

下页上页问题探究测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙可以是硬件型的，所有数据都首先通过硬件芯片监测；也可以是软件类型，软件在电脑上运行并监控。其实硬件型也就是芯片里固化了的软件，它不占用计算机CPU处理时间，可以功能作的非常强大处理速度很快，对于个人用户来说软件型更加方便实用。返回问题探究

下页上页问题探究返回问题探究

下页上页⑴防火墙的功能1）防火墙是网络安全的屏障2）防火墙可以强化网络安全策略3）对网络存取和访问进行监控审计4）防止内部信息的外泄⑵防火墙的种类1）网络级防火墙2）应用级网关3）电路级网关4）规则检查防火墙知识拓展

知识拓展返回下页上页1.NAT规则2.IP映射规则3.端口映射规则4.地址绑定5.抗攻击知识拓展

1.NAT规则NAT（NetworkAddressTranslation）是在IPv4地址日渐枯竭的情况下出现的一种技术，可将整个组织的内部IP都映射到一个合法IP上来进行Internet的访问，NAT中转换前源IP地址和转换后源IP地址不同，数据进入防火墙后，防火墙将其源地址进行了转换后再将其发出，使外部看不到数据包原来的源地址。一般来说，NAT多用于从内部网络到外部网络的访问，内部网络地址可以是保留IP地址。RG-WALL60防火墙支持源地址一对一的转换，也支持源地址转换为地址池中的某一个地址。用户可通过安全规则设定需要转换的源地址（支持网络地址范围）、源端口。此处的NAT指正向NAT，正向NAT也是动态NAT，通过系统提供的NAT地址池，支持多对多，多对一，一对多，一对一的转换关系。返回下页上页知识拓展

2.IP映射规则IP映射规则是将访问的目的IP转换为内部服务器的IP。一般用于外部网络到内部服务器的访问，内部服务器可使用保留IP地址。当管理员配置多个服务器时，就可以通过IP映射规则，实现对服务器访问的负载均衡。一般的应用为：假设防火墙外网卡上有一个合法IP，内部有多个服务器同时提供服务，当将访问防火墙外网卡IP的访问请求转换为这一组内部服务器的IP地址时，访问请求就可以在这一组服务器进行均衡。返回下页上页知识拓展

3.端口映射规则端口映射规则是将访问的目的IP和目的端口转换为内部服务器的IP和服务端口。一般用于外部网络到内部服务器的访问，内部服务器可使用保留IP地址。当管理员配置多个服务器时，都提供某一端口的服务，就可以通过配置端口映射规则，实现对服务器此端口访问的负载均衡。一般的应用为：假设防火墙外网卡上有一个合法IP，内部有多个服务器同时提供服务，当将访问防火墙外网卡IP的访问请求转换为这一组内部服务器的IP地址时，访问请求就可以在这一组服务器进行均衡。返回下页上页知识拓展

4.地址绑定地