第09章节防火墙配置与应用.pptVIP

第9章 防火墙配置与应用 9-1 防火墙简介 9-1-1 防火墙的概念 防火墙（Firewall）的本义 网络中的防火墙是指隔离内部网络与外部网络之间的一道防御系统，是目前一种最重要网络防护硬件或软件。 防火墙的图标如图9-1所示。 9-1 防火墙简介 9-1-2 防火墙的功能 创建一个阻塞点。 隔离不同网络，防止内部信息泄漏。 强化网络安全策略。 有效地审计和记录内、外部网络上的活动。 9-1 防火墙简介 9-1-3 防火墙的分类 1. 按防火墙的软、硬件形式分 软件防火墙 硬件防火墙 芯片级防火墙 2. 按防火墙技术分 包过滤型 应用代理型 9-1 防火墙简介 9-1-3 防火墙的分类 3. 按防火墙结构分 单一主机防火墙 路由器集成式防火墙 分布式防火墙 4. 按防火墙的应用部署位置分 边界防火墙 个人防火墙 混合防火墙 9-1 防火墙简介 9-1-3 防火墙的分类 5. 按防火墙性能分 百兆级防火墙 千兆级防火墙 9-2 防火墙技术 9-2-1 包过滤技术 优点：包过滤技术的优点在于一个过滤路由器能协助保护整个网络；数据包过滤对用户透明；过滤路由器速度快、效率高。 包过滤技术的缺点则是不能彻底防止地址欺骗；一些应用协议不适合于数据包过滤；正常的数据包过滤路由器无法执行某些安全策略。 9-2 防火墙技术 9-2-1 包过滤技术 在包过滤技术的发展中，出现过两种不同的技术，即：静态包过滤和动态过滤。 包过滤防火墙的典型网络拓扑图如图9-4所示。 9-2 防火墙技术 9-2-2 网络地址转换（NAT） 在防火墙上部署NAT的方式可以有几种： M-1：多个内部网络地址转换到1个IP地址。 1-1：简单的一对一地址转换。 M-N：多个内部网地址转换到N个IP地址池。 9-2 防火墙技术 9-2-3 应用级网关 应用级网关技术的主要优点：可以提供用户级的身份认证、日志记录和帐号管理。 应用级网关技术的缺点灵活性不够，严重制约了新应用的采纳。 9-2 防火墙技术 9-2-4 其他防火墙技术 电路级网关 堡垒主机 非军事化区 透明模式/透明代理 屏蔽路由器 阻塞路由器 隔离域名服务器 邮件转发技术 状态监视器 9-3 防火墙主流产品介绍 Cisco Secure PIX防火墙 华为3Com Quidway? SecPath系列防火墙 天融信NGFW4000 系列防火墙 9-4 防火墙配置基础 9-4-1 防火墙基本配置原则 默认情况下，所有的防火墙都是按以下 两种情况配置的： 拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。 9-4 防火墙配置基础 9-4-1 防火墙基本配置原则 防火墙的配置过程中的三个基本原则： 简单实用 全面深入 内外兼顾 9-4 防火墙配置基础 9-4-2 天融信NGFW4000的应用与配置 对天融信防火墙进行配置与管理可以通 过三种方式： 本地控制台端口 远程Telnet SSH（Secure Shell） 9-4 防火墙配置基础 9-4-2 天融信NGFW4000的应用与配置 （1）本地控制台端口 用一根CONSOLE线缆连接防火墙的CONSOLE接口与PC（或笔记本）的串口。 在Windows操作系统中，选择开始 - 程序 - 附件 - 通讯 - 超级终端。打开超级终端界面，系统提示输入新建连接的名称，用户可以输入任何（NGFW4000）。如图9-7所示。 9-4 防火墙配置基础 9-4-2 天融信NGFW4000的应用与配置 9-4 防火墙配置基础 输入名称确定后，提示选择PC连接的端口。一般选择COM1。如图9-8所示。 9-4 防火墙配置基础 然后就要对COM1接口进行属性设置。具体参数设置如图9-9所示。 9-4 防火墙配置基础 9-4 防火墙配置基础 （2）Telnet远程管理 Telnet远程管理的的前提条件是要用一根双绞线（交叉线）连接管理PC的网卡接口和防火墙的物理接口，或者将管理PC连接到防火墙的物理接口所在的网络。 9-4 防火墙配置基础 ①WINDOWS命令提示符下登录 在Windows XP中，在桌面上选择开始 - 运行，在“运行”窗口中输入cmd，如图9-10所示。 9-4 防火墙配置基础 确定后，DOS命令窗口打开，输入telnet（不分大小写）以及防火墙接口的IP地址。如图9-11所示。 9-4 防火墙配置基础 连接到防火墙后，窗口提示输入密码（默认密码为talent），键入密码后就能成功登录到防火墙了。 9-4 防火墙配置基础 ②使用HyperTerminal（超级终端）登录 如何打开超级终端和输入名称在前