网络安全3-6综合实训.doc

教学项目三 防火墙技术应用 项目引入 防火墙（firewall）是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。 防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成， 项目要求 1．会防火墙网桥模式下的配置； 2．会防火墙路由模式下的配置； 3．会配置防火墙的NAT； 4．会配置防火墙的规则。 项目内容 1. 防火墙系统管理。 2. 防火墙工作模式配置。 3. 防火墙网际互联 4. 双机热备份 5. 防火墙应用案例的规划与配置 项目实施 围绕虚拟专用网技术这个教学项目的完成，设置了五个教学任务。通过对防火墙应用技术的介绍，结合防火墙项目配置实例，从而掌握防火墙技术。 任务1 防火墙系统管理 为了配置、监控和维护USG，需要搭建配置环境。建立配置终端（通常是PC机）与USG之间的连接后，用户便可以在配置终端上对USG下发操作指令。对USG进行配置的方式有如下四种：Console口、Telnet、SSH、Web。通过USG的LAN以太网接口进行配置前，无需进行额外配置，可完全基于USG的出厂缺省配置。 一、任务准备 知识与技能准备 通过Telnet方式搭建配置环境 3）通过SSH方式搭建配置环境 SSH是Secure Shell（安全外壳）的简称，用户通过一个不能保证安全的网络环境远程登录到USG时，SSH特性可以提供安全的信息保障和强大的认证功能，以保护USG不受诸如IP地址欺诈、明文密码截取等攻击。 4）通过Web方式搭建配置环境 USG为用户提供了简单、易用的Web管理功能，使用户能够方便地使用图形化界面对USG进行操作和维护。 2．命令级别 系统命令采用分级保护方式，命令级别按照由低到高划分为参观级（0）、监控级（1）、配置级（2）、管理级（3）。 3．操作用户规划 网络管理者根据需要规划和创建USG的操作用户，并且至少创建一个超级终端用户。 网络管理者根据需要可创建以下用户： 终端用户，用于管理USG。 Telnet用户，用于Telnet登录并管理USG。 SSH用户，用于SSH登录并管理USG。 FTP用户，用于向USG上传或下载文件。 PPP用户，用于与USG建立PPP连接访问网络。 Web用户，用于HTTP登录并管理USG。 4．文件系统 文件系统的主要功能是管理存储设备，把文件保存在存储设备中。 文件系统可以对USG存储设备中的目录进行创建、删除、修改，对文件进行拷贝、移动、删除，以及文件名更改，文件全名最多支持64字节，超长文件名将导致您不能正常进行文件系统操作。 USG提供两种文件传输方式，具体如下： FTP（File Transfer Protocol） TFTP（Trivial File Transfer Protocol） 设备与材料准备 2）通过Telnet方式搭建配置环境 在PC上运行Web浏览器，键入USG以太网口的IP地址，建立连接。 缺省情况下，USG上Web服务器处于启动状态。 （二）配置文件管理 1）配置FTP 启动FTP服务器。缺省情况下，系统没有启动FTP服务器。 USGsystem-view //进入系统视图。 USGftp server enable //启动FTP服务器。 使用FTP下载、上传文件。USG作为FTP服务器；USG作为FTP客户端。 2）配置TFTP 使用TFTP下载、上传文件。USG作为TFTP客户端。 任务检查 抽选部分组代表介绍本任务学习心得。 任务2 防火墙工作模式配置 USG有三种工作模式，分别为：路由模式、透明模式、混合模式。缺省情况下，USG采用路由模式。 一、任务准备 知识与技能准备 路由模式 透明模式 内部网络和外部网络属于不同的子网 内部网络和外部网络属于相同的子网 需要重新规划原有的网络拓扑 无需改变原有的网络拓扑 接口需要配置IP地址 接口不能直接配置IP地址，工作在数据链路层，相当于二层交换机 设备与材料准备 USG路由透明模式组网图 USG A：路由模式，Trust区域接口与公司内部网络相连，Untrust区域接口与外部网络相连。值得注意的是，Trust区域接口和Untrust区域接口分别处于不同的子网中。 USG B：透明模式（网桥），Trust区域接口与公司内部网络相连，Untrust区域接口