计算机网络实验第六章说课.ppt

第六章防火墙配置基础 6.1 防火墙的基本概念 6.2 防火墙的实现技术与种类 6.3 防火墙的工作模式 防火墙的配置 6.1 防火墙基础 6.1.1防火墙的几个基本概念 内部网络（inside network）：内部网络通常是指企业内部的网络，我们认为内部网络是安全可靠的，一般网络的攻击来自于外部因特网。在思科防火墙上，通常用安全级别来刻画网络的安全程度。安全级别是一个0-100之间的整数，数字越大，安全级别越高。它是防火墙的接口属性，防火墙的一个接口的安全级别被配置为100时，该接口所对应的网络就是内部网络。在主流网络厂商中，思科使用内部网络的概念。 可信任区域（trust zone）：可信任区域相当于思科的内部网络的概念，神州数码、华为等网络厂商使用可信任区域的概念。在这些厂家的防火墙上，可信任区域接口是固定的，不可改变的。 外部网络（outside network）：外部网络通常是指因特网等公共网络，对企业而言，它是外部的，不可信赖的。在思科防火墙上，一个接口的安全级别被配置为0时，该接口所对应的网络就是外部网络。在主流网络厂商中，思科使用外部网络的概念。 不可信任区域（untrust zone）：不可信任区域相当于思科的外部网络的概念，神州数码、华为等网络厂商使用不可信任区域的概念。在这些厂家的防火墙上，不可信任区域接口是固定的，不可改变的。 DMZ（demilitarized zone）：隔离区或非军事化区，该区域的划分主要是为了解决安装防火墙之后外部网络不能访问局域网服务器的问题，比如WEB服务器、EMAIL服务器、视频会议、网络游戏等。通常将允许外部网络访问的服务器放在一个被称为DMZ的区域。在思科防火墙上，设置该区域的优先级在内部网络优先级（100）和外部网络优先级（0）之间。在神州数码、华为等网络厂商防火墙的DMZ接口是固定的，不可改变的。 6.1.2防火墙的初始配置 防火墙的初始配置也是通过控制台端口（Console）与PC机的串口连接，再通过Windows系统自带的超级终端（HyperTerminal）程序进行选项配置。 基于命令行的配置以及基于web方式的配置 6.2防火墙的实现技术与种类 6.2.1 防火墙的实现技术 分组过滤（Packet filtering） 应用代理（Application Proxy） 状态检测（Stateful Inspection） 6.2.2 防火墙的分类 软件防火墙 工作于系统接口与网络驱动程序接口（Network Driver Interface Specification，NDIS）之间，用于检查过滤由NDIS发送过来的数据，在无需改动硬件的前提下便能实现一定强度的安全保障 硬件防火墙 是一种以物理形式存在的专用设备，通常架设于两个网络的分界处，直接从网络设备上检查过滤有害的数据报文，位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据，不必另外分出CPU资源去进行基于软件架构的NDIS数据检测，可以大大提高工作效率。 6.3 防火墙的工作模式 6.3.1防火墙的路由模式 网络中的防火墙可以让处于不同IP网络的计算机通过路由转发的方式相互通信。 6.3.2防火墙的透明模式 透明模式的防火墙就好象是一台透明网桥，网络设备(包括主机、路由器、工作站等)和所有计算机的设置（包括IP地址、网关和DNS等）不需要改变。防火墙解析所有通过它的数据包，既增加了网络的安全性，又降低了用户管理的复杂程度 6.3.3防火墙的混合模式 如果防火墙既存在工作在路由模式的接口（接口具有ip地址），又存在工作在透明模式的接口（接口无ip地址），则称防火墙工作在混合模式下。 防火墙工作在混合透明模式下，配置ip地址的接口所在的安全区域是三层区域，接口上启动vrrp功能，用于双机热备份；而未配置ip地址的接口所在的安全区域是二层区域，和二层区域相关接口连接的用户同属一个子网。 实验四十五防火墙配置 1.进入防火墙的命令行界面 2.配置防火墙LAN接口IP地址 3.配置PC机的ip地址 4.设置管理主机 5.使用管理主机建立与防火墙的安全连接 6.按照实验要求配置LAN、WAN和DMZ接口的IP地址 7.配置网络对象 8.设置安全规则 9.配置静态及缺省路由 10.配置NAT地址转换 11.验证和测试安全策略和地址转换 实验拓扑 配置表 防火墙： LAN口：54/24; DMZ口:54/24; WAN口：/24 PC PC1:/24; PC2:/24; ROUTER ROUTER-2611 fa0/0: