防火墙安全配置

防火墙安全配置第1页，共27页，2023年，2月20日，星期四学习目标了解防火墙的基本概念、作用、类型、优点、架构和配置；认识RG-WALL160T防火墙的面板，并知道各端口的作用；掌握RG-WALL160T防火墙的端口和路由配置；掌握RG-WALL160T防火墙的地址转换和访问控制策略配置；掌握RG-WALL160T防火墙的的客户端认证配置；掌握RG-WALL160T防火墙的基本安全防范配置。第2页，共27页，2023年，2月20日，星期四学习内容6.1防火墙介绍6.2锐捷RG-WALL160防火墙介绍6.3实训6-1：防火墙基本配置6.4实训6-2：防火墙的地址转换6.5实训6-3：防火墙的访问控制策略配置6.6实训6-4：配置客户端认证6.7实训6-5：使用防火墙防止“死亡之ping”攻击6.8实训6-6：使用防火墙保护服务资源第3页，共27页，2023年，2月20日，星期四6.1防火墙介绍第4页，共27页，2023年，2月20日，星期四6.1防火墙介绍防火墙的概念防火墙是一种高级访问控制设备，是置于不同网络安全域之间的一系列部件的组合，是不同网络安全域间通信流的唯一通道，能根据企业有关安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。第5页，共27页，2023年，2月20日，星期四6.1防火墙介绍防火墙的作用控制和管理网络访问保护网络和系统资源数据流量的深度检测身份验证扮演中间人角色记录和报告事件第6页，共27页，2023年，2月20日，星期四6.1防火墙介绍防火墙的分类

按照操作对象主机防火墙网络防火墙按照实现方式软件防火墙硬件防火墙按照过滤和检测方式包过滤防火墙状态防火墙应用网关防火墙地址转换防火墙透明防火墙混合防火墙第7页，共27页，2023年，2月20日，星期四6.1防火墙介绍防火墙的基本特性内部网络和外部网络之间的所有网络数据流都必须经过防火墙只有符合安全策略的数据流才能通过防火墙防火墙自身应具有非常强的抗攻击免疫力防火墙的代理服务代理服务设备(可能是一台专属的硬件，或只是普通机器上的一套软件)也能像应用程序一样回应输入数据包(例如连接要求)，同时封锁其他的数据包，达到类似于防火墙的效果。代理使得由外部网络窜改一个内部系统更加困难,并且一个内部系统误用不一定会导致一个安全漏洞可开采从防火墙外面(只要应用代理剩下的原封和适当地被配置)。相反地,入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的;代理人然后伪装作为那个系统对其它内部机器。当对内部地址空间的用途加强安全,破坏狂仍然可以使用IP欺骗方法对目标网络进行攻击。防火墙经常有网络地址转换(NAT)的功能,并且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”。第8页，共27页，2023年，2月20日，星期四6.1防火墙介绍防火墙的优点防火墙能强化安全策略。防火墙能有效地记录Internet上的活动。防火墙能隐藏用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。第9页，共27页，2023年，2月20日，星期四6.1防火墙介绍防火墙的功能网络安全的屏障一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件配置在防火墙上。监控网络存取和访问如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。其他功能除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。第10页，共27页，2023年，2月20日，星期四6.1防火墙介绍防火墙的架构通用CPU架构通用CPU架构最常见的是基于IntelX86架构的防火墙，在百兆防火墙中IntelX86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐；由于采用了PCI总线接口，IntelX86架构的硬件虽然理论上能达到2Gbps的吞吐量甚至更高，但是在实际应用中，尤其是在小包情况下，远远达不到标称性能，通用CPU的处理能力也很有限。ASIC架构ASIC（ApplicationSpecificIntegratedCircuit，专用集成电路）技术是国外高端网络设备几年前广泛采用的技术。由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术，ASIC架构防火墙解决了带宽容量和性能不足的问题，稳定性也得到了很好的保证。ASIC技术的性能优势主要体现在网络层转发上，而对于需要强大计算能力的应用层数据的处理则不占优势，而且面对频繁变异的应用安全问题，其灵活性和扩展性也难以满足要求。网络处理器架构由于网络处理器所使用的微码编写有一定技术难度，难以实现产品的最优性能，因此网络处理器架构的防火墙产品难以占有大量的市场份额。第11页，共27页，2023年，2月20日，星期四6.1防火墙介绍防火墙的三种配置双宿主机双宿主机方式最简单。双宿主机网关放置在两个网络之间，这个双宿主机网关又称为堡垒主机。这种结构成本低，但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，而它往往是受“黑客”攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。第12页，共27页，2023年，2月20日，星期四6.1防火墙介绍防火墙的三种配置屏蔽主机屏蔽主机方式中的屏蔽路由器为保护堡垒主机的安全建立了一道屏障。它将所有进入的信息先送往堡垒主机，并且只接受来自堡垒主机的数据作为出去的数据。这种结构依赖屏蔽路由器和堡垒主机，只要有一个失败，整个网络就暴露了。第13页，共27页，2023年，2月20日，星期四6.1防火墙介绍防火墙的三种配置屏蔽子网屏蔽子网包含两个屏蔽路由器和两个堡垒主机。在公共网络和私有网络之间构成了一个隔离网，称之为”停火区”（DMZ，即DemilitarizedZone）,堡垒主机放置在“停火区”内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。第14页，共27页，2023年，2月20日，星期四6.1防火墙介绍防火墙的发展史第一代防火墙第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packetfilter）技术。第二、三代防火墙1989年，贝尔实验室推出了电路层防火墙，同时提出了第三代防火墙-应用层防火墙（代理防火墙）的初步结构。第四代防火墙1992年，USC信息科学院开发出了基于动态包过滤技术的第四代防火墙，后来演变为目前所说的状态监视技术。第五代防火墙1998年，NAI公司推出了一种自适应代理技术，并在其产品中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。一体化安全网关UTMUTM统一威胁管理，在防火墙基础上发展起来的，具备防火墙、IPS、防病毒、防垃圾邮件等综合功能的设备。由于同时开启多项功能会大大降低UTM的处理性能，因此主要用于对性能要求不高的中低端领域。在中低端领域，UTM已经出现了代替防火墙的趋势，因为在不开启附加功能的情况下，UTM本身就是一个防火墙，而附加功能又为用户的应用提供了更多选择。在高端应用领域，比如电信、金融等行业，仍然以专用的高性能防火墙、IPS为主流。第15页，共27页，2023年，2月20日，星期四6.2锐捷RG-WALL160防火墙介绍第16页，共27页，2023年，2月20日，星期四6.2锐捷RG-WALL160防火墙介绍RG-WALL防火墙功能

状态过滤应用层检测NAT防攻击透明防火墙流量控制高可用性VPN第17页，共27页，2023年，2月20日，星期四6.2锐捷RG-WALL160防火墙介绍RG-WALL防火墙管理界面

第18页，共27页，2023年，2月20日，星期四6.2锐捷RG-WALL160防火墙介绍RG-WALL防火墙默认配置WAN接口为管理接口，IP为00默认管理员帐号“admin”，密码“firewall”登录方式证书认证导入管理员证书到浏览器00:6666电子钥匙认证插入电子钥匙并认证00:6667第19页，共27页，2023年，2月20日，星期四6.2锐捷RG-WALL160防火墙介绍防火墙硬件描述

按钮或端口详细说明网络接口防火墙固化4个GE口+2个SFP口+1个FE口；支持Bypass功能CONSOLE接口系统管理串行接口，波特率为9600。管理员可用随机专用串口线连接终端和防火墙来管理系统。电源指示灯面板上标识为POWER，加电以后一直为绿色。电源接口电源接口接220V交流电压。指示灯指示电源模块运行状态，绿色指示灯亮表示电源模块在运行。电源按钮按下电源按钮带“O”的一端关闭电源，反之接通电源。电源按键适用于RG-WALL160T/M系列防火墙第20页，共27页，2023年，2月20日，星期四6.3实训6-1：防火墙基本配置第21页，共27页，2023年，2月20日，星期四6.4

实训6-2：防火墙的地址转换第22页，共27页，2023年，2月20日，星期四6.5