防火墙配置手册.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,防火墙配置 实训手册,Http:/,华迪信息,.,网络工程中心,防火墙形态,类似于一台路由器设备，是一台特殊的计算机。,以,天融信,防火墙,(TOPSEC FireWall,ARES,M),为实例，来测试防火墙各区域的访问控制机制：,目标一,：,了解,访问策略,的,原理,与,作用,。通过设置访问策略，测试,Intranet,（企业内联网）,SSN,（安全服务区，即,DMZ,（,非军事区,）,Internet,（互联网）区域之间访问控制机制。,目标二,：,了解,NAT,原理与作用。测试内网通过,NAT,方式相互访问。并通过,NAT,访问因特网，过滤特定网站和特定网页。,目标三,：,了解,MAP,原理与作用。测试外网通过,MAP,访问企业内部服务器。,了解防火墙三种接入模式。,配置目标,防 火 墙,为 网 络 用 户 提 供 安 全 的,Internet,接 入,Internet,DMZ WEB,服务层,Intranet,内部网络,Web e-mail FTP,防火墙,FireWall,Web Site Filter,Web,站 点 访 问 过 滤,限 制 对 非 本 企 业 业 务 目 的 的,Internet,资 源 的 访 问,Connection to outside network,Connection to inside network,Connection to www network,防火墙在企业网的接入,Intranet,区域,SSN,区域,Internet,区域,大门,实验室分布情况,Internet,实验网络结构图,192.168.6.50/60,网关：,192.168.6.250,DMZ,区,Intranet,内网,Web e-mail FTP,Internet,外网,192.168.2.50/60/70/80/90,网关：,192.168.2.250,192.168.1.50/60/70/80/90,网关：,192.168.1.250,2.250,6.250,1.250,防火墙,路由模式访问控制测试结构,一、通过防火墙的,路由功能,实现访问控制，操作步骤如下：,STEP1:,线路连接,根据图示设置主机,IP,地址,(,注意主机,IP,与连接的防火墙端口地址为同一网段，不能与连接的防火墙端口地址冲突,),，设置防火墙本区域端口,IP,地址为主机网关地址。,测试能否,PING,通防火墙端口,IP,地址。,上半部份,STEP2:,通过软件登陆,Firewall,打开防火墙配置软件“,TOPSEC,集中管理器”，新建项目，输入防火墙,本区域端口,IP,地址,，登陆到防火墙。查看防火墙“,基本信息,”和“,实时监控,”，了解其他各菜单功能。,说明：,登陆下列其中一个用户：,user1/2/3/4/5/6/7/8/9/10,口令为：,123456,防火墙配置一般有三种方式：,B/S,配置,C/S,配置,Console,口配置,.,本实验防火墙采用,C/S,方式。,区域之间缺省权限的设置,STEP3:,防火墙区域缺省权限设置,网络,区域,防火墙三个区域,缺省访问权限设为允许访问。,操作说明,：,选择“可读、可写、可执行”选项,，表示为,允许访问,。,本机,PING,其他区域内主机，测试连通性。,网络,区域,防火墙三个区域,缺省访问权限设为禁止访问。,操作说明,：,不选择,“可读、可写、可执行”选项，表示为,禁止访问,。,本机,PING,其他区域内主机，测试连通性。,第四个区域,area_4,为该软件上带的区域名，可不管,实际硬件上没有。,缺省访问权限是指区域之间主机的默认权限。,如果是,PING,本区域内主机，由于是通过交换机进行通信，防火墙,不能控制,同一区域主机之间的权限，本区域内主机是能够连通的。,主机节点对象的建立,接下来在防火墙三个区域缺省权限设为禁止访问的情况下，,做以下步骤：,STEP4:,主机节点对象建立,高级管理,网络对象,本主机所在区域,定义新对象,定义节点,把本主机,IP,地址定义为一个节点。定义名称可任意，物理地址可不填。,说明：,定义对象应在该对象所在区域内设置。本机在哪个区域，则在,那个区域,内设置。定义节点针对一个,主机,定义，定义子网可定义一个网络地址段。定义对象没有任何,权限,的作用，只有通过访问策略（,STEP5,设置）调用这些对象才能设置权限。,防火墙访问控制过滤机制包过滤示意图,源地址,过滤,目的,地址,过滤,协议,过滤,协议,端口,过滤,数据包,数据包,应用层过滤,缺省访问权限（允许,/,禁止）,源对象,目的对象,策略服务,http,ftp,smtp,等,时间策略,访问控制,允许,/,拒绝,一条访问策略规则：,STEP5:,区域之间主机权限策略设置，测试访问控制,1),首先明确,源主机、目标主机,访问控制是针对,源,到,目的,的访问。,然后在,高级管理,访问策略,需要访问的目标主机所在区域,内,增加,包过滤策略,，策略源为访问端（只选择本机节点），策略目的为被访问端（只选择其他区域某节点），策略服务为,PING,，访问控制设为,允许,。注意策略源和目的只选择节点，针对主机进行权限设置。通过,PING,对方主机测试连通性。,特别注意：,访问策略应在,被访问对象所在的目标区域,设置策略。如：访问,SSN,区域内主机，则应在,SSN,区域内设置策略。,访问控制测试,2),在,本区域,内增加包过滤策略，建立,禁止,对方主机（策略源）访问本机（策略目的）的访问策略，测试对方区域的主机到本机的连通性。,说明：,必须针对,不同区域,设置访问权限，同一区域内的主机防火墙是不能控制权限的，设置的策略也是无用的。,3),禁止其他区域主机访问本机,135-139,及,445,7626,4006,，,1027,，,6267,，,8080,端口（任选其一设置）。,策略服务,在都不选择的情况下，为,任何服务,，包括所有协议所有端口。,策略服务在都选择的情况下，表示只对所,选择的服务,进行访问控制。,访问策略优先级高于,区域,默认权限策略的优先级（,STEP3,已设置）。,每个访问策略都是,单向访问,，只有策略源对象访问到策略目的对象。两个不同区域主机如需要相互访问，则需要建立两个策略。,访问策略可控制源地址，目标地址，策略服务，访问控制时间。,访问控制测试,STEP6:,通过策略范围来控制主机访问权限,(1),设置两个策略，一个策略为设置本机访问其他区域某一主机的访问策略，访问策略为允许，另一个策略同样是访问该主机，但访问控制设为禁止，更改两个策略的优先级，通过,PING,对方主机测试连通性。,说明,：鼠标上下拖动所建策略可以更改优先级，排在上面的策略优先级高。,(2),设置两个策略，一个策略为本机访问其他,整个区域,的策略，另一个策略为本机禁止访问,其他区域内某一个主机,的策略，更改两个策略的优先级，通过,PING,对方区域内主机测试连通性。,(3),设置两个策略，一个策略为本机访问其他区域某主机的策略，,策略服务为任何服务,，另一个策略为本机禁止通过,策略服务,PING,其他区域该主机。更改两个策略的优先级，通过,PING,对方主机测试连通性。,访问控制测试,(4),设置两个策略，一个策略为本机禁止访问其他区域某主机的策略，,策略服务为任何服务,，另一个策略为本机允许通过,策略服务,PING,其他区域该主机。更改两个策略的优先级，通过,PING,对方主机测试连通性，访问对方主机其他端口（如共享方式）进行测试。,(5),设置本区域允许访问其他整个区域，策略服务为任何服务，通过,PING,对方所有主机测试连通性。,(6),在网络,区域，设置所有区域缺省权限为允许，再建立一个访问策略，禁止,PING,对方某一主机的访问策略。测试与对方主机的连通性。,7,）根据需要，,自行定义,策略，设置权限。,说明：,如果选择整个区域，如选择,INTRANET,区域”，则指包括连入,INTRANET,内的,所有,主机。,可以通过策略的优先级，把范围小的策略优先级设置为高于范围大的策略，能够有效控制不同区域之间的访问对象和策略服务。这样先满足范围小的策略，超过这个范围则再受到范围大的策略限制。,访问控制测试,企业防火墙设置注意要点：,防火墙是企业安全的关键中枢，企业安全管理实施需要通过运用防火墙,访问策略,来实现。,访问策略不只是从技术上考虑，最重要的是安全管理的需要来进行设置。,为了安全需要，防火墙最好只能一个管理员进行配置，有其他人设置时要有日志记录便于管理审计。防止无关管理员任意设置。,策略规则应尽量,简化,，策略太多容易杂乱，不便管理，影响防火墙效率。,常见的木马、病毒使用的端口尽量关闭，如,445,7626,，,4006,，,1027,，,6267,等，对,高发,及,最新,病毒、木马端口要及时做出处理。,防止反向连接,对由内到外的连接也要注意端口防护。,与另一区域的一主机配合操作。在目标主机无网关（路由）的情况下，通过,NAT,方式进行访问。访问端需要有网关（路由）。,1,）把需要测试的目标主机操作系统中,网关地址,(,在网络属性中设置,),删除。,2,）在目标主机无网关情况下，增加一个访问策略，允许本机（策略源）访问该目标主机（策略目的），测试与该主机连接情况。,3),进入高级管理,通信策略,增加本机（策略源）到该目标主机（策略目的）的通讯策略，通信方式选择,NAT,方式。,4,）测试与该主机连通情况以及对方主机访问本机的连通情况。,5,）本机删除网关后，让对方主机增加网关，反过来再增加访问策略和,NAT,进行测试。,说明：,访问策略是权限的问题，通讯策略是路径的问题。,NAT,都是,单向访问,，内网需要网关路由到外网，而外网不需路由到内网。保护了内网的安全。,思考,:NAT,是作为,源,IP,地址转换,，,NAT,在整个转换过程中所起到的作用,?,通信策略,STEP7:,设置,NAT,（网络地址转换）方式,NAT,在互联网的应用,隐藏了内部网络结构,内部网络可以使用私有,IP,地址,NAT,原理源地址转换,192.168.1.50,网关：,192.168.1.250,192.168.8.50,Intranet:192.168.1.250,Internet:192.168.8.250,报头 数据,源地址：,192.168.1.50,目的地址：,192.168.8.50,报头 数据,源地址：,192.168.8.250,目的地址：,192.168.8.50,NAT,转换,192.168.1.50,发送的数据包经过,NAT,转换后，源地址成为,192.168.8.250,DMZ,区,Intranet,内网,Web e-mail FTP,Internet,互联网,192.168.2.50/60/70/80/90,网关：,192.168.2.250,192.168.1.50/60/70/80/90,网关：,192.168.1.250,2.250,6.250,1.250,互联网过滤,互联网过滤,1,）首先把防火墙,INTERNET,区域端口接入到华迪实训公司,INTERNET,网络线路。,2),建立一个访问策略（,包过滤策略,），以本机作为策略源，以,INTERNET,区域,做为策略目的，策略服务选择任何服务。,3,）再建立一个通信策略（,NAT,方式,），本机做为策略源，,INTERNET,区域,作为策略目的。然后本机,DNS,（在网络属性中设置）指向到互联网,DNS,服务器,IP,地址,检查能否,PING,通,DNS,服务器,IP,，测试能否连入互联网。,DNS,服务器,IP,：,211.95.129.161,61.139.2.69,STEP8:,通过,HTTP,过滤策略,过滤网站和过滤网页,.,4),在高级管理,特殊对象,URL,定义新对象，输入任一网址，注意格式要求。,注意,：定义,URL,时前后应加,*,如格式：,*,*,。,5,）访问策略,INTERNET,区域,增加,HTTP,策略,，禁止某一网站。把过滤策略优先级提到最前面，测试该网站能否打开。（不需选择关键字）,6,）在高级管理,特殊对象,关键字,定义关键字,7,）访问策略,INTERNET,区域,增加,HTTP,策略，,允许,某一网站访问，但禁止关键字访问。把过滤策略优先级提到最前面，测试含有该关键字的网页能否打开。,注意：,定义关键字不需要加,*,，过滤关键字即,过滤含有关键字的网页,。,选择关键字则访问策略的访问控制只能选择“允许”,不能选择禁止。,8,）通过包过滤策略，禁止本机访问,INTERNET,策略服务为,TCP:80(HTTP,服务,),，测试能否连入互联网。,9)PING,某一网站域名,(,网址），记住其,IP,地址，通过访问策略禁止本机,PING,此,IP,地址。,下半部份,二、通过防火墙透明模式测试区域网络的访问控制：,说明：,防火墙,透明模式,可以让,同一网段,在,不同区域,的主机进行通信。,（相当于,二层交换,）,而,路由模式,可以让,不同网段,在,不同区域,通过防火墙端口,IP,地址路由进行通信。（,三层交换,作用）,了解防火墙的三种接入模式,1.,透明,模式（网络）,2.,路由模式,路由模式,3.,透明及路由的混合模式,透明网络结构,DMZ,区,Intranet,内网,Web e-mail FTP,192.168.1.110/120/130/140/150,192.168.1.50/60/70/80/90,192.168.1.200/210,Internet,外网,1.240,1.230,1.250,防火墙,透明网络测试结构,STEP1:,按上图设置主机,IP(,注意,可不设网关,),，用,TOPSEC,集中管理器重新登陆到本区域端口地址。,在高级管理,特殊对象,透明网络,增加,透明网络,，选择“,INTERNET,区域”“,INTRANET,SSN,。,说明,：增加本区域和要进行透明网络测试的区域。,STEP2:,在网络,区域,设置三个区域为,禁止访问,。,在网络对象中重新按以上,IP,在本区域建立本机节点，在访问策略中，增加本机（策略源）可以,访问,其他区域内某一主机（策略目的）的权限。,STEP3:,测试能否,PING,通其他区域的主机。,STEP4,:,删除所有建立的透明网络，测试能否连通其他区域主机。,STEP5:,在网络,区域,设置三个区域为,允许访问,，建立,禁止,访问其他区域主机的访问策略，测试连通性。,透明网络测试,不同区域任意两个主机之间都可配合按以下步骤操作。,三、,MAP,映射操作步骤,DMZ,区,Intranet,内网,Web e-mail FTP,Internet,外网,192.168.2.50/60/70/80/90,网关：,192.168.2.250,192.168.1.50/60/70/80/90,网关：,192.168.1.250,192.168.6.50/60,网关：,192.168.6.250,2.250,6.250,1.250,（本实验可选）,MAP,端口（地址）映射 在互联网的应用,MAP,也称为反向,NAT,STEP1:,在网络,区域,本主机所在区域,虚口设置,设置虚口,IP,地址 增加本区域同一网段的虚口,IP,地址，注意不要跟其他地址冲突。,说明,：增加一个虚口地址做映射地址。建立,MAP,映射后，,IP,地址将会完全代替被映射的主机,IP,为了使,MAP,后“,TOPSEC,集中管理器”能连到防火墙原防火墙,IP,地址，所以增加一个虚口地址来做为,MAP,映射的,IP,地址。,STEP2:,在高级管理,网络对象,本区域内,增加,STEP1,所做的虚口地址为一个节点,A,。,在高级管理,网络对象,对方区域内,增加对方主机为一个节点,B,。,Ping,虚口,IP,地址,检查能否连接该地址。,STEP3:,在高级管理,访问策略,对方区域内,增加本机访问对方主机的访问策略,策略服务设为任何服务。,STEP4:,在高级管理,通信策略,增加,MAP,映射。,策略源,为本机所在区域名，,策略目的,为节点,A(,即虚口地址）,通信方式：,MAP,目标机器,为对方主机节点,B,，,访问目标的源,为节点,A(,即虚口地址）。,认真按以下步骤操作，可参照后面参考案例,MAP,测试过程,STEP5:,进行,MAP,测试,，,本机访问虚口地址。,可以通过,PING,a,虚口,IP ,的方式查找计算机名，如能解析出对方计算机名。则可以说虚口地址已映射为对方计算机,IP.,通过地址映射后，访问虚口地址即实际,转向访问,到节点,B.,如访问虚口地址上的网站即访问节点,B,的,WEB.,STEP6,:,高级管理,通信策略,把刚才做的,MAP,策略，指定协议改为,TCP,映射方式改为,端口映射,：,80,端口,80,端口。（如果是,WEB,为,80,，如为,FTP,端口为,21),对方的,IIS,配置好，访问对方,WEB,。,原理说明,：只能针对,节点,（主机）对,节点,（主机）进行,MAP,。通过这种方式，互联网上主机可不需路由（网关）到企业内网。当,具体应用,时，因外网不能直接访问到内网私有地址的服务器，在外网主机访问内网服务器时就需先访问外网,IP,地址，再通过,MAP,访问内网服务器。,MAP,是目的地址转换，经,MAP,转换后,IP,转换为防火墙另一区域的目标主机,IP.,MAP,映射参考案例,从,Internet,区域向,SSN,区域做映射。,目的：,192.168.6.251,MAP=,192.168.2.50,DMZ,区,Intranet,内网,Web e-mail FTP,192.168.2.50(,节点,B),192.168.1.50/60/70/80,192.168.6.50,虚口地址（节点,A),：,192.168.6.251,Internet,外网,防火墙,MAP,映射测试结构,2.250,6.250,1.250,STEP1:,按如图所示，以,192.168.6.50,模拟互联网上某主机。,在网络,区域,INTERNET,区域,虚口设置,设置虚口地址,192.168.6.251.,STEP2:,在高级管理,网络对象,INTERNET,增加虚口地址为一个节点,A,。,在高级管理,网络对象,SSN192.168.2.50,为一个节点,B,。,STEP3:,在高级管理,访问策略,SSN,增加,INTERNET,访问,192.168.2.50,的访问策略。,STEP4:,在高级管理,通信策略,增加,MAP,映射。,策略源为,INTERNET,区域，策略目的为节点,A(,即虚口地址）,通信方式：,MAP,目标机器为节点,B,，访问目标的源为节点,A(,即虚口地址）。,说明,：本区域虚口地址映射到目标区域内主机。,STEP5:,Internet,内一主机访问虚口地址。,通过地址映射后，访问虚口地址即实际转向访问到节点,B.,如访问虚口地址上的,Web,即访问节点,B,的,Web.,192.168.1.50,网关：,192.168.1.250,192.168.6.50,Intranet:192.168.1.250,Internet:192.168.6.250,报头 数据,源地址：,192.168.6.50,目的地址：,192.168.1.50,报头 数据,源地址：,192.168.6.50,目的地址：,192.168.6.250,MAP,映射,MAP,映射原理目的地址转换,192.168.6.50,发送的数据包经过,MAP,映射后，目的地址成为,192.168.1.50,案例应用综合测试：,某公司根据网络安全需要，要求做到以下几点：,1,、允许内网所有主机访问互联网,但不能访问,不能访问有“游戏”关键字的网页。,2,、禁止,SSN,主机访问互联网。,3,、禁止内网访问除,192.168.2.60,外,SSN,区域的主机。,4,、外网建立虚口地址,192.168.6.251,，并使此,IP,的,TCP:80,端口映射到,192.168.2.60,主机,tcp:80,端口。,5,、允许,Intranet,主机,192.168.1.60,主机访问,SSN,网,192.168.1.20,主机。,请根据这些安全要求设置防火墙策略！,Internet,DMZ WEB,服务层,Intranet,内部网络,Web e-mail FTP,防火墙,FireWall,Trust,区,Untrust,区,1.50 1.60,1.20 2.60,6.251,135-139,445,7626,案例应用综合测试图：,实验完,附：,Firewall,讲义,词汇表,本讲义所用的词汇解释,Intranet,内联网（企业网）,DMZ,非军事区（停火区）,SSN,安全服务区,防 火 墙,为 网 络 用 户 提 供 安 全 的,Internet,接 入,Internet,DMZ WEB,服务层,Intranet,内部网络,Web e-mail FTP,防火墙,FireWall,Web Site Filter,Web,站 点 访 问 过 滤,限 制 对 非 本 企 业 业 务 目 的 的,Internet,资 源 的 访 问,Connection to outside network,Connection to inside network,Connection to www network,1.3,带防火墙的,Web,服务层,1.4,防火墙的接口,交换机,Internet,核心交换机,交换机,交换机,PC,PC,PC,PC,PC,PC,防火墙,需要了解的内容：,1,、防火墙的区域端口,SERVER,DMZ,SERVER,SERVER,INTRANET,192.168.1.250,INTERNET,211.95.180.1,192.168.1.3,192.168.2.250,1.5 IT,领域防火墙的概念,一种高级访问控制设备，置于不同安全域之间，是不同安全域之间的唯一通道，能根据企业有关的安全政策执行允许，拒绝，监视，记录进出网络的行为。,1.6,防火墙,防火墙是一个或一组系统，用于管理两个网络直接的访问控制及策略,所有从内部访问外部的数据流和外部访问内部的数据流均必须通过防火墙；只有在被定义的数据流才可以通过防火墙,(,如果通过其他方式带出信息，则无法防备）,防火墙本身必须有很强的免疫力,TCP/IP,协议协议层次,OSI/RM,模型,TCP/IP,协议栈,物理层,数据链接层,网络层,传输层,会话层,表示层,应用层,网络接口层,IP,层,传输层,HTTP FTP SMTP ,TCP UDP,IP ICMP ARP,以太网，,ATM,，,FDDI,需要了解的内容：,2,、,TCP/IP,应用层,TCP/IP,协议簇数据包各层协议结构,MAC,帧,首部,尾部,首部,IP,数据报,首部,传输层,MAC,地址,源,IP,目的,IP,、协议类型,数据部份,数据部份,数据部份,ICMP IGMP EGP OSPF ARP,TCP UDP,应用层,源端口,目的端口,TELNET,SMTP,FTP,HTTP,DNS,SNMP,DHCP RIP.,链路层,IP,层,各层首部长度：,MAC,帧首部,14B,尾部,4B,IP,数据报首部,20B,TCP:20B,UDP:8B,ICMP:8B,TCP/IP,协议簇,IP,层协议：,IP:,网际协议,ICMP:,网际控制报文协议,ARP,地址解析协议,传输层协议：,TCP:,传输控制协议 特点：面向连接，较可靠。需先建立连接，开销较大。,UDP:,用户数据报协议 特点：无连接，不可靠，尽最大努力交付。,应用层协议：,FTP TCP:21 SMTP TCP:25 TELNET TCP:23,HTTP TCP:80 POP3 TCP:110 SNMP UDP:161/162,DNS TCP:53/UDP:53 PPTP TCP:1723 L2TP TCP:1701,MSTerminal,TCP:3389 WINS TCP:1512 HTTPS TCP:443,DHCP UDP:67/68,QQ UDP:8000,SSH TCP:22,PCANYWHERE TCP:5631,MSN TCP:1863 RIP UDP:520,TCP/IP,协议簇各层之间的数据传递过程,二、防火墙的发展历程,防火墙和路由器合为一体，只有过滤功能，适合安全要求不同的网络,模块化软件包，用户可根据需要构建防火墙。安全性提高了。,包括分组过滤,;,装有专用的代理系统，监控所有协议的数据和指令。用户可配置参数，安全性和速度大为提高。,包括分组过滤，应用网关，电路级网关。增加了加密，鉴别，审计，,NAT.,透明性好。,三、防火墙核心技术,简单包过滤防火墙,状态检测包过滤防火墙,应有代理防火墙,包过滤和应有代理复合性防火墙,核检测防火墙,3.1,简单包过滤,防火墙工作原理,3.2,状态检测包过滤,防火墙工作原理,3.3,应用代理,防火墙工作原理,在应用层上进行检查,网络层上不检查,3.4,复合型,防火墙工作原理,3.5,核检测,防火墙工作原理,防火墙核心技术比较,四、防火墙体系结构,基于内核的会话检测技术,五、防火墙构造体系,筛选路由器,多宿主主机,被屏蔽主机,被屏蔽子网,六、防火墙功能与原理,基于访问控制技术,常用访问控制对象：,协议,（,TCP,UDP,ICMP),源,IP,地址，目的,IP,地址，源端口，目的,端口,时间，用户，流量，文件，网址，,MAC,地址,防止,DoS,和,DDoS,攻击,DoS,(Denial of Service),拒绝服务攻击,攻击者利用系统自身陋洞或者协议陋洞，耗尽可用资源乃至系统崩溃，而无法对合法用户作出响应。,DDoS,(Distributed Denial of Service),分布式拒绝服务攻击,拒绝服务攻击通常是以消耗服务器端资源为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，实现攻击目的。,DDoS,的表现形式主要有两种，一种是流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法的网络数据包被虚假的网络数据包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机进行的攻击，即通过大量的攻击包导致主机的内存被耗尽，或是,CPU,被内核及应用程序占完而造成无法提供网络服务。,与,MAC,地址绑定,时间策略,在访问中配置某条规则起作用的时间。,如配置了时间策略，防火墙在规则匹配时将跳过那些当前时间不在策略时间段内的规则,注：这个时间段不是允许访问的时间段，而是规则起作用的时间段。,NAT,网络地址转换,隐藏了内部网络结构,内部网络可以使用私有,IP,地址,NAT,原理源地址转换,192.168.1.50,网关：,192.168.1.250,192.168.8.50,Intranet:192.168.1.250,Internet:192.168.8.250,报头 数据,源地址：,192.168.1.50,目的地址：,192.168.8.50,报头 数据,源地址：,192.168.8.250,目的地址：,192.168.8.50,NAT,转换,192.168.1.50,发送的数据包经过,NAT,转换后，源地址成为,192.168.8.250,MAP,端口（地址）映射,MAP,也称为反向,NAT,192.168.1.50,网关：,192.168.1.250,192.168.8.50,Intranet:192.168.1.250,Internet:192.168.8.250,报头 数据,源地址：,192.168.8.50,目的地址：,192.168.1.50,报头 数据,源地址：,192.168.8.50,目的地址：,192.168.8.250,MAP,映射,MAP,映射原理目的地址转换,192.168.8.50,发送的数据包经过,MAP,映射后，目的地址成为,192.168.1.50,服务器负载均衡,负载均衡算法：,顺序选择算法权值,根据,PING,的时间间隔来选择地址权值,根据,CONNET,的时间间隔来选择地址权值,根据,CONNET,来发送请求并得到应答的时间间隔来选择地址权值,根据负载均衡算法将数据重定位到一台,WWW,服务器,减少单个服务器负载,防火墙对,TRUCK,协议的支持,支持第三方认证服务器,1,、支持第三方,RADIUS,服务器认证,2,、支持,OTP,认证服务器,与,IDS,的安全联动,IDS,：入侵检测系统。,是指对入侵行为的发觉，通过对算机网络系统中的若干关键点收集信息并对其进行分析，从中发觉网络系统中是否有违反安全策略的行为或被攻击的迹像。,为什么需要IDS,防范透过防火墙的入侵,利用应用系统漏洞实施的入侵,利用防火墙配置失误实施的入侵,防范来自内部网的入侵,内部网的攻击占总的攻击事件的,70%,没有监测的内部网是内部人员的“自由王国”,对网络行为的审计，防范无法自动识别的恶意破坏,入侵很容易,入侵教程随处可见,各种工具唾手可得,安全漏洞日益暴露,入侵检测系统,(IDS),连接方式,注意事项：,对于交换式,HUB,来说和交换机连接方法类似,硬件安装：入侵检测系统接入方式之,HUB,入侵检测系统连接方式,硬件安装：入侵检测系统接入方式之交换机,注意事项：,镜像多个源端口可能导致镜像端口丢包,应对收发端口同时进行镜像,接到,INTRANET,一般直接连入核心交换机,用来,检测在核心交换机上的服务器等网络服务设备,.,与病毒服务器的安全联动,SNMP,管理,防火墙的不足之处,1,、,无法防护内部用户的攻击,超过,50%,的攻击自来内部，防火墙只能防备外部网络的攻击。,2,、无法防护基于操作系统漏洞的攻击,3,、无法防护端口木马的攻击,4,、无法单独防护病毒的侵袭,5,、无法防护非法通道的出现,6,、无法防护所有新的威协。,人们不断发现利用以前可信赖的服务的新的侵袭方法。,八、防火墙的典型应用,应用一：,防火墙的典型应用,应用二：,九、防火墙的性能,衡量防火墙的五大性能指标：,吞吐量：该指标直接影响网络的性能，吞吐量。,时延：入口处输入帧最后一个最后一个比特到达至出口处输出帧第一个比特输出所用的时间间隔。,丢包率：在稳定负载下，应由网络设备传输，但由于资源缺乏而被丢弃的帧的百分比。,背靠背：比空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。,并发连接数：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的连接数。,吞吐量,定义：在不丢包的情况下，能够达到的最大速率。,衡量标准：吞吐量作为衡量防火墙的重要性能指标之一，吞吐量小就会造成网络新的瓶颈，以后影响整个网络的性能。,时 延,定义：入口处输入帧最后一个最后一个比特到达至出口处输出帧第一个比特输出所用的时间间隔。,衡量标准：防火墙的时延能够体现它处理数据的速度。,丢包率,定义：在稳定负载下，应由网络设备传输，但由于资源缺乏而被丢弃的帧的百分比。,衡量标准：防火墙的丢包率对其稳定性、可靠性有很大影响。,背靠背,定义：比空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。,衡量标准：背对背包的测试结果能体现出防火的缓冲容量，网络上经常有一些应用会产生大量的突发数据包（如：路由更新，备份等），而且这样的数据包的丢失可能会产生更多的数据包，强大缓冲能力可以减少这种突发对网络造成的影响。,并发连接数,定义：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的连接数。,衡量标准：并发连接数的测试主要用来测试被测防火墙建立和维持,TCP,连接的性能，同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的,TCP,连接的响应能力。,