任務(wù)4 部署硬件防火墻

工作任務(wù)

問題探究

知識拓展

檢查評價

學(xué)習(xí)目標(biāo)部署硬件防火墻

實踐操作

學(xué)習(xí)目標(biāo)1.知識目標(biāo)2.能力目標(biāo)學(xué)習(xí)目標(biāo)返回下頁上頁學(xué)習(xí)目標(biāo)1.知識目標(biāo)理解防火墻的基本特性1理解防火墻的運(yùn)行機(jī)制2掌握防火墻的功能和作用3掌握防火墻的管理特性4掌握防火墻的對象管理5返回下頁上頁掌握防火墻的策略配置6了解防火墻的局限性7學(xué)習(xí)目標(biāo)2.能力目標(biāo)返回下頁上頁安裝RG-WALL60防火墻1導(dǎo)入RG-WALL60防火墻的數(shù)字證書2使用WEB方式登錄防火墻3管理RG-WALL60防火墻賬號4定義RG-WALL60防火墻對象5配置安全規(guī)則6配置抗攻擊選項7工作任務(wù)

工作任務(wù)2.工作任務(wù)背景4.條件準(zhǔn)備1.工作名稱3.工作任務(wù)分析返回下頁上頁任務(wù)背景：校園網(wǎng)對于當(dāng)今學(xué)校的管理和運(yùn)行已經(jīng)成為最基本的條件，學(xué)校的日常辦公，學(xué)生信息的管理，學(xué)生選課、成績的管理，等等。如果沒有校園網(wǎng)，學(xué)校的日?；顒涌赡芫碗y以開展下去。但是，近來校園網(wǎng)的安全和性能問題越來越嚴(yán)重，特別是近來發(fā)現(xiàn)了對學(xué)校服務(wù)器的攻擊行為，更是對校園網(wǎng)的安全構(gòu)成了嚴(yán)重的威脅，對校園網(wǎng)的日常運(yùn)行存在非常大的安全隱患。工作任務(wù)

任務(wù)名稱：安裝配置硬件防火墻任務(wù)名稱與背景返回下頁上頁從校園網(wǎng)當(dāng)前存在的問題來看，這是典型的網(wǎng)絡(luò)安全管理問題。一是對網(wǎng)絡(luò)服務(wù)器的攻擊和破壞是網(wǎng)絡(luò)安全的最大威脅，服務(wù)器的安全是校園網(wǎng)正常運(yùn)行的必要條件；二是病毒和木馬的傳播，給正常的學(xué)校業(yè)務(wù)運(yùn)行構(gòu)成了極大的隱患；在當(dāng)前校園網(wǎng)中，缺少一個對網(wǎng)絡(luò)信息流動進(jìn)行嚴(yán)格控制的機(jī)制。如果我們在校園網(wǎng)中加入一臺硬件防火墻，對校園網(wǎng)中的網(wǎng)絡(luò)活動進(jìn)行篩選和控制，對日常的業(yè)務(wù)活動保證其網(wǎng)絡(luò)活動的正常進(jìn)行，對非正常的網(wǎng)絡(luò)活動如病毒木馬的傳播和網(wǎng)絡(luò)攻擊進(jìn)行限制，對網(wǎng)絡(luò)安全構(gòu)成威脅的嚴(yán)格禁止。對于這樣的網(wǎng)絡(luò)管理，防火墻是最合適的，如果能夠進(jìn)行合理的配置，我們現(xiàn)在所涉及的安全問題都可以很好的得到解決。任務(wù)分析工作任務(wù)

返回下頁上頁工作任務(wù)

條件準(zhǔn)備對于校園網(wǎng)的安全防護(hù)，我們準(zhǔn)備了RG-WALL60防火墻。RG-WALL系列采用銳捷網(wǎng)絡(luò)獨創(chuàng)的分類算法（ClassificationAlgorithm）設(shè)計的新一代安全產(chǎn)品——第三代防火墻，支持?jǐn)U展的狀態(tài)檢測（StatefulInspection）技術(shù)，具備高性能的網(wǎng)絡(luò)傳輸功能；同時在啟用動態(tài)端口應(yīng)用程序(如VoIP、H.323等)時，可提供強(qiáng)有力的安全信道。采用銳捷獨創(chuàng)的分類算法使得RG-WALL產(chǎn)品的高速性能不受策略數(shù)和會話數(shù)多少的影響，產(chǎn)品安裝前后絲毫不會影響網(wǎng)絡(luò)速度；同時，RG-WALL在內(nèi)核層處理所有數(shù)據(jù)包的接收、分類、轉(zhuǎn)發(fā)工作，因此不會成為網(wǎng)絡(luò)流量的瓶頸。另外，RG-WALL具有入侵監(jiān)測功能，可判斷返回下頁上頁工作任務(wù)

條件準(zhǔn)備攻擊并且提供解決措施，且入侵監(jiān)測功能不會影響防火墻的性能。RG-WALL的主要功能包括：擴(kuò)展的狀態(tài)檢測功能、防范入侵及其它（如URL過濾、HTTP透明代理、SMTP代理、分離DNS、NAT功能和審計/報告等）附加功能。RG-WALL60防火墻前面板示意圖如圖3.14所示，RG-WALL60從左到右依次排列有公司標(biāo)識、CONSOLE口、7個百兆網(wǎng)口（其中4個百兆交換網(wǎng)口）、電源指示燈、狀態(tài)指示燈、網(wǎng)卡指示燈。后面板示意圖如圖所示。返回下頁上頁RG-WALL60前面板

RG-WALL60后面板實踐操作

學(xué)習(xí)目標(biāo)返回下頁上頁1.硬件防火墻的安裝7．定義地址資源2．連接管理主機(jī)與防火墻3.在管理機(jī)中導(dǎo)入數(shù)字證書4．登錄防火墻WEB界面8．定義服務(wù)資源6．防火墻接口啟用混合模式5．管理系統(tǒng)賬號9．添加包過濾規(guī)則1.硬件防火墻的安裝考慮到現(xiàn)有校園網(wǎng)的特點，防火墻接入采用“純透明”的拓?fù)浣Y(jié)構(gòu)，如圖所示。這樣的拓?fù)浣Y(jié)構(gòu)有如下特點：接入防火墻后無需改變原來拓?fù)浣Y(jié)構(gòu)；防火墻無需啟用NAT功能；可以禁止外網(wǎng)到內(nèi)網(wǎng)的連接，限制內(nèi)網(wǎng)到外網(wǎng)的連接，即只開放有限的服務(wù)，比如瀏覽網(wǎng)頁、收發(fā)郵件、下載文件等；使用DMZ區(qū)對內(nèi)外網(wǎng)提供服務(wù)，比如WWW服務(wù)、郵件服務(wù)等；實踐操作

返回下頁上頁1.硬件防火墻的安裝接入防火墻后，在防火墻的管理界面中只需要將防火墻接口LAN、WAN、DMZ啟用混合模式；通過安全策略禁止外網(wǎng)到內(nèi)網(wǎng)的連接；通過安全策略限制內(nèi)網(wǎng)到外網(wǎng)的連接；通過安全策略限制外網(wǎng)到DMZ區(qū)的連接；實踐操作

返回下頁上頁2．連接管理主機(jī)與防火墻利用隨機(jī)附帶的網(wǎng)線直接連接管理主機(jī)網(wǎng)口和防火墻WAN網(wǎng)口（初始配置，只能將管理主機(jī)連接在防火墻的WAN網(wǎng)口上），把管理主機(jī)IP設(shè)置為00，掩碼為。連接好后，可以在管理主機(jī)運(yùn)行ping00命令，以便驗證是否真正連通，如不能連通，請檢查管理主機(jī)的IP（00）是否設(shè)置在與防火墻相連的網(wǎng)絡(luò)接口上。實踐操作

返回下頁上頁3.在管理機(jī)中導(dǎo)入數(shù)字證書在管理主機(jī)中，要想對RG-WALL60實施配置，需要數(shù)字證書或者客戶端軟件+USBKey進(jìn)行身份認(rèn)證。在此，我們使用數(shù)字證書來認(rèn)證身份。數(shù)字證書必須導(dǎo)入才能使用，在RG-WALL60隨機(jī)附帶的光盤上，我們可以找到數(shù)字證書文件admin.p12，如圖所示。實踐操作

返回上頁下頁3.在管理機(jī)中導(dǎo)入數(shù)字證書首先，雙擊數(shù)字證書，即可證書導(dǎo)入向?qū)АＷC書的導(dǎo)入，必須為私鑰輸入密碼，RG-WALL60證書的初始密碼是123456，如圖所示。實踐操作

返回下頁上頁3.在管理機(jī)中導(dǎo)入數(shù)字證書其次，根據(jù)證書導(dǎo)入向?qū)崾?，一步一步操作，直到出現(xiàn)如圖所示的導(dǎo)入成功。實踐操作

返回下頁上頁4．登錄防火墻WEB界面要想實施對防火墻的管理，必須登錄到防火墻。登錄防火墻有2種方式，一種是WEB界面，另一種是超級終端。在此，我們使用WEB界面方式來登錄并管理防火墻。運(yùn)行IE瀏覽器，在地址欄輸入00:6666（其它型號防火墻的登錄方式參考配套資料），等待約20秒鐘會彈出一個對話框提示接受證書，選擇確認(rèn)即可。系統(tǒng)提示輸入管理員帳號和口令，如圖3.20所示。初始情況下，管理員帳號是admin，密碼是：firewall。實踐操作

返回下頁上頁4．登錄防火墻WEB界面實踐操作

返回下頁上頁4．登錄防火墻WEB界面登錄成功后，進(jìn)入防火墻配置管理界面，如圖所示實踐操作

返回下頁上頁4．登錄防火墻WEB界面在成功登陸防火墻管理界面后，為了將防火墻成功應(yīng)用于校園網(wǎng)，解決校園網(wǎng)的安全問題，我們需要為防火墻：設(shè)置管理員帳號；定義內(nèi)網(wǎng)、WWW服務(wù)器、郵件服務(wù)器、數(shù)據(jù)庫服務(wù)器等地址資源；定義WWW服務(wù)、郵件服務(wù)、文件服務(wù)等服務(wù)資源；設(shè)置防火墻接口為混合模式；添加包過濾規(guī)則：允許任意地址訪問WWW服務(wù)器的WWW服務(wù)、郵件服務(wù)器的郵件服務(wù)；添加包過濾規(guī)則：允許內(nèi)網(wǎng)訪問任意地址的WWW服務(wù)、郵件服務(wù)、文件服務(wù)實踐操作

返回下頁上頁5．管理系統(tǒng)賬號通常，在第一次登錄成功后，管理員需要修改初始管理員帳號、管理主機(jī)、防火墻可管理IP、管理方式或?qū)牍芾韱T證書。還可以新建其它管理員賬號和管理主機(jī)。首先，我們修改Admin賬號的賬戶名和密碼。在如圖所示的管理員賬號界面中，單擊admin賬號的編輯按鈕，對admin賬號的信息進(jìn)行修改實踐操作

返回下頁上頁5．管理系統(tǒng)賬號實踐操作

返回下頁上頁其次，我們添加新的管理員賬號。在上頁圖的界面中，單擊按鈕，可以添加防火墻管理賬號，如圖所示，添加一個LiLiGong賬號，權(quán)限為配置管理員+策略管理員+日志審核員。6．防火墻接口LAN、WAN、DMZ啟用混合模式實踐操作

返回下頁上頁在“網(wǎng)絡(luò)配置”|“網(wǎng)絡(luò)接口”中，配置防火墻接口。對應(yīng)dmz、wan、lan，分別點擊編輯按鈕，設(shè)置工作模式為“混合模式”。7．定義地址資源實踐操作

返回下頁上頁在“對象定義”|“地址”|“地址列表”中，單擊按鈕來定義內(nèi)網(wǎng)、服務(wù)地址資源。定義內(nèi)網(wǎng)interIP為/，如圖所示。8．定義服務(wù)資源實踐操作

返回下頁上頁在“對象定義”|“服務(wù)”中，可以對當(dāng)前“服務(wù)”對象進(jìn)行管理，RG-WALL60在出廠時已經(jīng)建立好了常用的“服務(wù)”對象，比如我們要用到的“http”、“ftp”、“pop3”等。在此也可以對現(xiàn)有的對象進(jìn)行編輯或者使用按鈕來定義新的“服務(wù)”對象。我們要用到的www、ftp、郵件服務(wù)對象在如圖3.27所示的列表中都能夠找到，通過編輯功能，我們查看這些對象的屬性，已有配置完全能夠滿足我們的需要，不需要再添加新的“服務(wù)”對象。8．定義服務(wù)資源實踐操作

返回下頁上頁9．添加包過濾規(guī)則實踐操作

返回下頁上頁策略管理是防火墻管理的核心，只有根據(jù)實際需要配置合理的防火墻策略，防火墻才能發(fā)揮真正的作用。防火墻按順序匹配規(guī)則列表：按順序進(jìn)行規(guī)則匹配，按第一條匹配的規(guī)則執(zhí)行，不再匹配該條規(guī)則以下的規(guī)則。校園網(wǎng)的防火墻是為保證校園網(wǎng)的正常運(yùn)行而服務(wù)的，必須保證校園網(wǎng)日常運(yùn)行的性能和安全。根據(jù)需要，可以添加包過濾規(guī)則：以允許任意地址訪問WWW服務(wù)器的WWW服務(wù)、郵件服務(wù)器的郵件服務(wù)；添加包過濾規(guī)則：以允許內(nèi)網(wǎng)訪問任意地址的WWW服務(wù)、郵件服務(wù)、文件服務(wù)、數(shù)據(jù)庫服務(wù)；9．添加包過濾規(guī)則實踐操作

返回下頁上頁第一步，我們來設(shè)置“允許內(nèi)網(wǎng)訪問ftp服務(wù)”策略第二步，參照pf1規(guī)則，來定義內(nèi)網(wǎng)訪問www服務(wù)、內(nèi)網(wǎng)訪問郵件服務(wù)、數(shù)據(jù)庫服務(wù)的規(guī)則。第三步，定義外網(wǎng)訪問www服務(wù)、郵件服務(wù)的規(guī)則。問題探究防火墻的本義原是指古代人們房屋之間修建的那道墻，這道墻在火災(zāi)發(fā)生時可以阻止蔓延到別的房屋。而這里所說的防火墻當(dāng)然不是指物理上的防火墻，而是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。應(yīng)該說，在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以隔離風(fēng)險區(qū)域(即Internet或有一定風(fēng)險的網(wǎng)站)與安全區(qū)域(局域網(wǎng)或PC)的連接。同時可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信，讓安全的信息進(jìn)入。防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)返回問題探究

下頁上頁問題探究測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻可以是硬件型的，所有數(shù)據(jù)都首先通過硬件芯片監(jiān)測；也可以是軟件類型，軟件在電腦上運(yùn)行并監(jiān)控。其實硬件型也就是芯片里固化了的軟件，它不占用計算機(jī)CPU處理時間，可以功能作的非常強(qiáng)大處理速度很快，對于個人用戶來說軟件型更加方便實用。返回問題探究

下頁上頁問題探究返回問題探究

下頁上頁⑴防火墻的功能1）防火墻是網(wǎng)絡(luò)安全的屏障2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略3）對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計4）防止內(nèi)部信息的外泄⑵防火墻的種類1）網(wǎng)絡(luò)級防火墻2）應(yīng)用級網(wǎng)關(guān)3）電路級網(wǎng)關(guān)4）規(guī)則檢查防火墻知識拓展

知識拓展返回下頁上頁1.NAT規(guī)則2.IP映射規(guī)則3.端口映射規(guī)則4.地址綁定5.抗攻擊知識拓展

1.NAT規(guī)則NAT（NetworkAddressTranslation）是在IPv4地址日漸枯竭的情況下出現(xiàn)的一種技術(shù)，可將整個組織的內(nèi)部IP都映射到一個合法IP上來進(jìn)行Internet的訪問，NAT中轉(zhuǎn)換前源IP地址和轉(zhuǎn)換后源IP地址不同，數(shù)據(jù)進(jìn)入防火墻后，防火墻將其源地址進(jìn)行了轉(zhuǎn)換后再將其發(fā)出，使外部看不到數(shù)據(jù)包原來的源地址。一般來說，NAT多用于從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的訪問，內(nèi)部網(wǎng)絡(luò)地址可以是保留IP地址。RG-WALL60防火墻支持源地址一對一的轉(zhuǎn)換，也支持源地址轉(zhuǎn)換為地址池中的某一個地址。用戶可通過安全規(guī)則設(shè)定需要轉(zhuǎn)換的源地址（支持網(wǎng)絡(luò)地址范圍）、源端口。此處的NAT指正向NAT，正向NAT也是動態(tài)NAT，通過系統(tǒng)提供的NAT地址池，支持多對多，多對一，一對多，一對一的轉(zhuǎn)換關(guān)系。返回下頁上頁知識拓展

2.IP映射規(guī)則IP映射規(guī)則是將訪問的目的IP轉(zhuǎn)換為內(nèi)部服務(wù)器的IP。一般用于外部網(wǎng)絡(luò)到內(nèi)部服務(wù)器的訪問，內(nèi)部服務(wù)器可使用保留IP地址。當(dāng)管理員配置多個服務(wù)器時，就可以通過IP映射規(guī)則，實現(xiàn)對服務(wù)器訪問的負(fù)載均衡。一般的應(yīng)用為：假設(shè)防火墻外網(wǎng)卡上有一個合法IP，內(nèi)部有多個服務(wù)器同時提供服務(wù)，當(dāng)將訪問防火墻外網(wǎng)卡IP的訪問請求轉(zhuǎn)換為這一組內(nèi)部服務(wù)器的IP地址時，訪問請求就可以在這一組服務(wù)器進(jìn)行均衡。返回下頁上頁知識拓展

3.端口映射規(guī)則端口映射規(guī)則是將訪問的目的IP和目的端口轉(zhuǎn)換為內(nèi)部服務(wù)器的IP和服務(wù)端口。一般用于外部網(wǎng)絡(luò)到內(nèi)部服務(wù)器的訪問，內(nèi)部服務(wù)器可使用保留IP地址。當(dāng)管理員配置多個服務(wù)器時，都提供某一端口的服務(wù)，就可以通過配置端口映射規(guī)則，實現(xiàn)對服務(wù)器此端口訪問的負(fù)載均衡。一般的應(yīng)用為：假設(shè)防火墻外網(wǎng)卡上有一個合法IP，內(nèi)部有多個服務(wù)器同時提供服務(wù)，當(dāng)將訪問防火墻外網(wǎng)卡IP的訪問請求轉(zhuǎn)換為這一組內(nèi)部服務(wù)器的IP地址時，訪問請求就可以在這一組服務(wù)器進(jìn)行均衡。返回下頁上頁知識拓展

4.地址綁定地