防火墙配置与应用

1、防火墙配置与应用,第12章,9-1 防火墙简介,9-1-1 防火墙的概念 防火墙（Firewall）的本义 网络中的防火墙是指隔离内部网络与外部网络之间的一道防御系统，是目前一种最重要网络防护硬件或软件。 防火墙的图标如图9-1所示。,9-1 防火墙简介,9-1-2 防火墙的功能 创建一个阻塞点。 隔离不同网络，防止内部信息泄漏。 强化网络安全策略。 有效地审计和记录内、外部网络上的活动。 有效地审计和记录内、外部网络上的活动。,9-1 防火墙简介,9-1-3 防火墙的分类 1. 按防火墙的软、硬件形式分 软件防火墙 硬件防火墙 芯片级防火墙 2. 按防火墙技术分 包过滤型 应用代理型,9-1

2、 防火墙简介,9-1-3 防火墙的分类 3. 防火墙结构分 单一主机防火墙 路由器集成式防火墙 分布式防火墙 4. 按防火墙的应用部署位置分 边界防火墙 个人防火墙 混合防火墙,9-1 防火墙简介,9-1-3 防火墙的分类 5. 按防火墙性能分 百兆级防火墙 千兆级防火墙,9-2 防火墙技术,9-2-1 包过滤技术 优点：包过滤技术的优点在于一个过滤路由器能协助保护整个网络；数据包过滤对用户透明；过滤路由器速度快、效率高。 包过滤技术的缺点则是不能彻底防止地址欺骗；一些应用协议不适合于数据包过滤；正常的数据包过滤路由器无法执行某些安全策略。,9-2 防火墙技术,9-2-1 包过滤技术 在包过滤

3、技术的发展中，出现过两种不同的技术，即：静态包过滤和动态过滤。 包过滤防火墙的典型网络拓扑图如图9-4所示。,图 9-4 包过滤防火墙的典型网络拓扑图,9-2 防火墙技术,9-2-2 网络地址转换（NAT） 在防火墙上部署NAT的方式可以有几种： M-1：多个内部网络地址转换到1个IP地址。 1-1：简单的一对一地址转换。 M-N：多个内部网地址转换到N个IP地址池。,9-2 防火墙技术,9-2-3 应用级网关 应用级网关技术的主要优点：可以提供用户级的身份认证、日志记录和帐号管理。 应用级网关技术的缺点灵活性不够，严重制约了新应用的采纳。,9-2 防火墙技术,9-2-4 其他防火墙技术 电路

4、级网关 堡垒主机 非军事化区 透明模式/透明代理 屏蔽路由器 阻塞路由器 隔离域名服务器 邮件转发技术 状态监视器,9-3 防火墙主流产品介绍,Cisco Secure PIX防火墙 华为3Com Quidway SecPath系列防火墙 天融信NGFW4000 系列防火墙,9-4 防火墙配置基础,9-4-1 防火墙基本配置原则 默认情况下，所有的防火墙都是按以下 两种情况配置的： 拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。,9-4 防火墙配置基础,9-4-1 防火墙基本配置原则 防火墙的配置过程中的三

5、个基本原则： 简单实用 全面深入 内外兼顾,9-4 防火墙配置基础,9-4-2 天融信NGFW4000的应用与配置 对天融信防火墙进行配置与管理可以通 过三种方式： 本地控制台端口 远程Telnet SSH（Secure Shell）,9-4 防火墙配置基础,9-4-2 天融信NGFW4000的应用与配置 （1）本地控制台端口 用一根CONSOLE线缆连接防火墙的CONSOLE接口与PC（或笔记本）的串口。 在Windows操作系统中，选择开始 - 程序 - 附件 - 通讯 - 超级终端。打开超级终端见面，系统提示输入新建连接的名称，用户可以输入任何（NGFW4000）。如图9-7所示。,9-

6、4 防火墙配置基础,9-4-2 天融信NGFW4000的应用与配置,图9-7 新建连接的对话框,9-4 防火墙配置基础,输入名称确定后，提示选择PC连接的端口。一般选择COM1。如图9-8所示。,图9-8 使用计算机的COM1接口与防火墙连接,9-4 防火墙配置基础,然后就要对COM1接口进行属性设置。具体参数设置如图9-9所示。,9-4 防火墙配置基础,图9-9 接口属性设置对话框,9-4 防火墙配置基础,（2）Telnet远程管理 Telnet远程管理的的前提条件是要用一根双绞线（交叉线）连接管理PC的网卡接口和防火墙的物理接口，或者将管理PC连接到防火墙的物理接口所在的网络。,9-4 防

7、火墙配置基础,WINDOWS命令提示符下登录 在Windows XP中，在桌面上选择开始 - 运行，在“运行”窗口中输入cmd，如图9-10所示。 ,图9-10 运行“CMD”，进入命令提示符对话框,9-4 防火墙配置基础,确定后，DOS命令窗口打开，输入telnet（不分大小写）以及防火墙接口的IP地址。如图9-11所示。,图9-11 打开命令提示符对话框进行telnet远程连接防火墙,9-4 防火墙配置基础,连接到防火墙后，窗口提示输入密码（默认密码为talent），键入密码后就能成功登录到防火墙了。,9-4 防火墙配置基础,使用HyperTerminal（超级终端）登录 如何打开超级终端

8、和输入名称在前面已经介绍过了，这里就不再介绍了。唯一不同的是在选择连接接口是，我们应该选择“TCP/IP(Winsock)”,并且输入连接防火墙的物理接口的IP地址，这里我们的IP地址假设为172.16.1.254，端口号为23（telnet默认端口号）。如图9-12所示。,9-4 防火墙配置基础,图9-12 使用基于TCP/IP协议的23端口与防火墙连接,确定后，出现登录窗口。然后键入密码（默认密码为talent）就可以成功登录防火墙了。,9-4 防火墙配置基础,SSH远程管理 SSH的优点：在SSH连接中，所有的数据都是经过加密后再进行传输的，这样就保证了防火墙的关键信息（如密码等），在传

9、输过程中不会被窃听而导致泄漏。 SSH客户端软件可以在网上搜索下载。UNIX系统，使用OpenSSH；Windows操作系统（32位），则使用PUTTY来登录防火墙。,9-4 防火墙配置基础,运行PUTTY程序，设置Session的各项参数。具体参数如图9-13所示。,图9-13 Putty程序的主界面，提供设置各种参数,9-4 防火墙配置基础,NGFW4000在出厂时就有了一些简单的配置，目的是为了方便用户。这些配置如下： 初始用户名：superman 初始密码：talent 内网（intranet）：Eth2 接口，IP 地址192.168.1.250，该区域可ping 到防火墙。 外网（

10、internet）：Eth1 接口，该接口的缺省访问权限为可读，可写，可执行，该区域可ping 到防火墙。 SSN：Eth0 接口，该区域可ping 到防火墙。,9-4 防火墙配置基础,防火墙登录控制客户列表，如表9-1所示： 表9-1 防火墙初始的登录控制客户列表,9-4 防火墙配置基础,防火墙的一些基本命令 （严格区分大小写）： EXIT和QUIT：退出命令行。 HELP/? :获取帮助。 RELOAD：重载上次保存的配置。 REBOOT：重启防火墙。 SHOW：查看基本信息，一些相关命令如表9-2所示。,9-4 防火墙配置基础,表9-2 与SHOW命令相关的命令一览表,9-4 防火墙配置基础,SYSTEM:防火墙名称，如在命令行中输入“SYSTEM n name”就是设置防火墙的名称。 TIME：设置和查看防火墙的时间。 WRITE：保存设置。 PASSWD：修改当前登录管理员的