防火墻培訓(xùn)課件20160512_第1頁(yè)
防火墻培訓(xùn)課件20160512_第2頁(yè)
防火墻培訓(xùn)課件20160512_第3頁(yè)
防火墻培訓(xùn)課件20160512_第4頁(yè)
防火墻培訓(xùn)課件20160512_第5頁(yè)
已閱讀5頁(yè),還剩14頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、防火墻基本概念及營(yíng)業(yè)部常用配置網(wǎng)絡(luò)安全組2016.05一、什么是防火墻二、防火墻的分類(lèi)三、營(yíng)業(yè)部防火墻常用配置介紹一、什么是防火墻防火墻作為一種訪問(wèn)控制技術(shù),通過(guò)嚴(yán)格控制進(jìn)出網(wǎng)絡(luò)邊界的分組,禁止任何不必要的通信,從而減少潛在入侵的發(fā)生,盡可能降低這類(lèi)安全威脅所帶來(lái)的安全風(fēng)險(xiǎn)。它是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng),依照特定的規(guī)則,允許或是限制傳輸?shù)臄?shù)據(jù)通過(guò)。作為網(wǎng)絡(luò)邊界設(shè)備,防火墻是阻止入侵行為的第一道防線(xiàn),但是防火墻并不能防病毒,與防病毒類(lèi)產(chǎn)品有本質(zhì)上的區(qū)別。二、防火墻的分類(lèi)1.從物理形態(tài)上,防火墻分為硬件防火墻和軟件防火墻。硬件防火墻是通過(guò)硬件和軟件的組合來(lái)達(dá)到隔離內(nèi)外部網(wǎng)絡(luò)的目

2、的。軟件防火墻一般寄生在操作系統(tǒng)平臺(tái),是通過(guò)純軟件的的方式實(shí)現(xiàn)隔離內(nèi)外部網(wǎng)絡(luò)的目的。目前硬件防火墻比較主流的廠商是cisco、Juniper、H3C等;絕大部分殺毒軟件都帶有防火墻功能,國(guó)內(nèi)如天網(wǎng)、瑞星、江民等,國(guó)外如ZoneAlarm、pc tools firewall plus等。硬件防火墻是流行趨勢(shì),相比軟件防火墻除成本外很有優(yōu)勢(shì)。性能優(yōu)勢(shì)。CPU占用率的優(yōu)勢(shì)。售后支持。2.從技術(shù)上防火墻分為數(shù)據(jù)包過(guò)濾型防火墻和應(yīng)用網(wǎng)關(guān)(代理服務(wù)型)防火墻。數(shù)據(jù)包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇,選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯,被稱(chēng)為訪問(wèn)訪問(wèn)控制列表控制列表。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的

3、地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素,或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。應(yīng)用網(wǎng)關(guān)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過(guò)濾邏輯,并在過(guò)濾的同時(shí),對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì),形成報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專(zhuān)用工作站系統(tǒng)上。 三、營(yíng)業(yè)部防火墻常用功能及配置介紹1、基本概念:區(qū)域劃分:區(qū)域劃分:將私有地址轉(zhuǎn)換為公有地址使數(shù)據(jù)包能夠發(fā)到因特網(wǎng)上,同時(shí)從因特網(wǎng)上接收數(shù)據(jù)包時(shí),將公用地址轉(zhuǎn)換為私有地址。靜態(tài)NAT:一對(duì)一NAT池:多對(duì)多PAT:多對(duì)一主要用途:1、擴(kuò)充地址;2保護(hù)內(nèi)部主機(jī),避免外部攻擊。地址轉(zhuǎn)換(地址轉(zhuǎn)換(NAT):):訪問(wèn)控制

4、是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。這些指令列表用來(lái)告訴防火墻哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕,可以由類(lèi)似于源地址、目的地址、端口號(hào)等的特定指示條件來(lái)決定。辦公網(wǎng)禁止交易ACL訪問(wèn)控制列表(訪問(wèn)控制列表(Access Control Lists,ACL):):靜態(tài)路由是由管理員在路由器中手動(dòng)配置的固定路由,路由明確地指定了包到達(dá)目的地必須經(jīng)過(guò)的路徑,除非網(wǎng)絡(luò)管理員干預(yù),否則靜態(tài)路由不會(huì)發(fā)生變化。靜態(tài)路由不能對(duì)網(wǎng)絡(luò)的改變作出反應(yīng),所以一般說(shuō)靜態(tài)路由用于網(wǎng)絡(luò)規(guī)模不大、拓?fù)浣Y(jié)構(gòu)相對(duì)固定的網(wǎng)

5、絡(luò)。 靜態(tài)路由特點(diǎn) 1、它允許對(duì)路由的行為進(jìn)行精確的控制; 2、減少了網(wǎng)絡(luò)流量; 3、是單向的; 4、配置簡(jiǎn)單。 靜態(tài)路由和動(dòng)態(tài)路由:靜態(tài)路由和動(dòng)態(tài)路由:動(dòng)態(tài)路由是網(wǎng)絡(luò)中的路由器之間相互通信,傳遞路由信息,利用收到的路由信息更新路由器表的過(guò)程。是基于某種路由協(xié)議來(lái)實(shí)現(xiàn)的。常見(jiàn)的路由協(xié)議類(lèi)型有:距離向量路由協(xié)議(如RIP)和鏈路狀態(tài)路由協(xié)議(如OSPF)。動(dòng)態(tài)路由特點(diǎn): 1、無(wú)需管理員手工維護(hù),減輕了管理員的工作負(fù)擔(dān)。 2、占用了網(wǎng)絡(luò)帶寬。 3、在路由器上運(yùn)行路由協(xié)議,使路由器可以自動(dòng)根據(jù)網(wǎng)絡(luò)拓樸結(jié)構(gòu)的變化調(diào)整路由條目。2、通用配置enable /進(jìn)入特權(quán)模式configure terminal

6、 /進(jìn)入全局配置模式write earse startup-config /清除交換機(jī)配置Write /保存配置reload /重啟show running-config /查看當(dāng)前配置show int g0/1 /查看接口信息show version /查看IOS版本信息show flash /查看閃存中的文件ciscoasa(config)# hostname asa5505 /配置防火墻名asa5505(config)#telnet inside /允許內(nèi)部接口網(wǎng)段telnet防火墻asa5505(config)#

7、 password cisco /設(shè)置密碼asa5505(config)# enable password cisco /設(shè)置enable密碼asa5505(config)# interface vlan 2 /進(jìn)入vlan2 asa5505(config-if)# ip address 218.xxx.37.222 92 /vlan2配置IPasa5505(config-if)# switchport access vlan 3 /接口加入vlan3 訪問(wèn)控制列表訪問(wèn)控制列表access-list acl_out extended permit tcp any an

8、y eq www /允許tcp協(xié)議80端口入站 access-list acl_out extended permit tcp any any eq https /允許tcp協(xié)議443端口入站 access-list acl_out extended permit tcp any host 218.xxx.37.224 eq 3389 /允許任何主機(jī)使用tcp協(xié)議訪問(wèn)到218.xxx.37.224主機(jī)的3389端口 access-list acl_out extended permit udp any host 218.xxx.37.225 eq 1433 /允許任何主機(jī)使用udp協(xié)議訪問(wèn)到2

9、18.xxx.37.224主機(jī)的1433端口 asa5505(config)#show access-list /查看現(xiàn)有訪問(wèn)列表設(shè)置路由設(shè)置路由asa5505(config)#route outside 93 1 /默認(rèn)路由到所有網(wǎng)段經(jīng)過(guò)218.xxx.37.193網(wǎng)關(guān)跳數(shù)為1 asa5505# show route /顯示路由信息靜態(tài)靜態(tài)NAT asa5505(config)# static (inside,outside) 218.xxx.37.223 netmask 55 /內(nèi)網(wǎng)19

10、映射為外網(wǎng)218.xxx.37.223動(dòng)態(tài)動(dòng)態(tài)NAT asa5505(config)#global(outside) 1 24-26 /定義全局地址池asa5505(config)#nat(inside) 1 0-0/內(nèi)部轉(zhuǎn)換地址池基于端口基于端口NAT(PAT) asa5505(config)#global (outside) 2 interface /定義全局地址即outside地址asa5505(config)#nat (inside) 2 255.255

11、.255.0 /內(nèi)部轉(zhuǎn)換地址池 ADSL配置配置asa5505(config)#interface vlan2asa5505(config-if)#nameif ADSL/定義接口的名字 asa5505(config-if)# security-level 0/定義接口的安全級(jí)別 asa5505(config-if)# pppoe client vpdn group adsl/定義pppoe客戶(hù)端的組的名字 asa5505(config-if)# ip address pppoe setroute/定義IP地址的類(lèi)型 asa5505(config)# global (ADSL) 1 interface/定義全局轉(zhuǎn)換地址 nat (inside) 1 /定義內(nèi)部轉(zhuǎn)換地址 vpdn group adsl request dialout pppoe vpdn group adsl localname 123456789adslavpdn group adsl ppp authentication pap vpdn usern

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論