部署安全防火墙系统（新编）.docVIP

目 录 第一章 防火墙技术介绍 2 第二章 SecPath防火墙体系结构 9 第三章 安全区域 21 第四章 访问控制列表ACL 26 第五章 包过滤技术 33 第六章 地址转换（NAT） 44 第七章 报文统计与攻击防范 50 第八章 运行模式 68 第九章 防火墙典型组网及常见故障诊断 79 第十章 SecPath防火墙特性测试实验指导 85 第一章 防火墙技术介绍 1.1课程目标： 学习完本课程，您应该能够： 了解网络安全基本概念 掌握防火墙必备的技术范围 1.2 网络安全概述 随着网络技术的普及，网络攻击行为出现的越来越频繁。通过各种攻击软件，只要具有一般计算机知识的初学者也能完成对网络的攻击。各种网络病毒的泛滥，也加剧了网络被攻击的危险。目前，Internet网络上常见的安全威胁分为一下几类。 非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。例如：攻击者通过猜测帐户和密码的组合，从而进入计算机系统以非法使用资源。 拒绝服务：服务器拒绝合法永福正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向服务器发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。 信息盗窃：攻击者不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。 数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作，而使数据的一致性被破坏。 因此： 网络安全是Internet必须面对的一个实际问题 网络安全是一个综合性的技术 网络安全具有两层含义： 保证内部局域网的安全（不被非法侵入） 保护和外部进行数据交换的安全 网络安全技术需要不断地完善和更新 1.3网络安全关注的范围 1.3.1网络安全关注点 作为负责网络安全的管理人员主要关注（并不局限于）以下8个方面： 保护网络物理线路不会轻易遭受攻击 有效识别合法的和非法的用户（AAA） 实现有效的访问控制（ACL） 保证内部网络的隐蔽性（NAT） 有效的防伪手段，重要的数据重点保护（VPN） 对网络设备、网络拓扑的安全管理（防火墙集中管理） 病毒防范（蠕虫病毒智能防范） 提高安全防范意识 1.3.2网络安全设备的分类 为了有效地实现网络安全的目的，致力于网络安全的厂家已经生产了如下安全设备： 防火墙 VPN私有安全通道设备 IPS/IDS入侵防御统一威胁管理(Unified Threat Management 应用网管 内容过滤垃圾邮件过滤网页过滤 网络隔离及访问控制：能够有效防止对外公开的服务器被黑客用于控制内网的一个跳板。 攻击防范：能够保护网络免受黑客对服务器、内部网络的攻击。 地址转换：在解决网络地址不足的前提下实现对外的网络访问，同时能够实现对外隐藏内部网络地址和专用服务器。 应用层状态监测：可以实现单向访问。 身份认证：可以确保资源不会被未授权的用户（也可以称为非法用户）或以授权方式（非法权限）使用。例如，攻击者通过猜测帐号和密码的组合，进入计算机系统非法使用资源的行为。 内容过滤：能够过滤掉内部网络对非法网站/色情网站的访问，以及阻止通过邮件发送机密文件所造成的泄密行为。 安全管理：主要指日志审计和防火墙的集中管理。 1.4.1网络隔离与访问控制 防火墙的主要作用是实现网络隔离和访问控制。 防火墙从安全管理的角度出发，一般将设备本身划分为不同的安全区域，通过将端口和网络设备接到不同的区域里，从而达到网络隔离的目的： 不受信区域：一般指的是Internet，主要攻击都来自于这个区域。 受信区域：一般指的是内网区域，这个区域是可控的。 DMZ区域：放置公共服务器的区域，一般情况下，这个区域接受外部的访问，但不会主动去访问外部资源。 防火墙通常使用ACL访问控制列表、ASPF应用层状态检测包过滤的方法来实现访问控制的目的。 图1-1通过一个实际网络典型案例表示了局域网通过防火墙与互联网的连接，电子邮件服务器接在DMZ区域接受内外部的访问。图中用语言描述了防火墙所实现的网络隔离和访问控制的功能。 图1-1 1.4.2攻击防范 防火墙主要关注边界安全，因此一般防火墙提供比较丰富的安全攻击防范的特性： 图1-2 DOS拒绝服务攻击防范功能 包括对诸如ICMP Flood、UDP Flood、SYS Flood、分片攻击等Dos拒绝服务攻击方式进行检测，丢弃攻击报文，保护网络内部的主机不受侵害。 防止常见网络层攻击行为 防火墙一般应该支持对IP地址欺骗、WinNuke、Land攻击、Tear Drop等常见的网络攻击行为，主动发现丢弃报文。 WinNuke也称为“蓝色炸弹”,它是导致你所与之交流用户的 Windows 操作系统突然的崩溃或终止。“蓝色炸弹”实际上是一个带外传输网络数据包,其中