实验4 防火墙技术.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,实验,4,防火墙技术,熟悉防火墙的工作机制，了解防火墙的配置方法,。,掌握防火墙的管理配置和网络配置,了解防火墙的对象定义方法。,掌握防火墙的安全规则定义方法。,实验目的,RG wall 60,防火墙,登录防火墙,web,界面,使用数字证书登录,web,https:/192.168.1.110:6666,防火墙,1,的,IP,地址：,192.168.1.110,管理主机,IP,地址,192.168.1.111192.168.1.115,防火墙,2,的,IP,地址：,192.168.1.210,管理主机,IP,地址,192.168.1.211192.168.1.215,防火墙,3,的,IP,地址：,192.168.1.150,管理主机,IP,地址,192.168.1.151192.168.1.155,使用电子钥匙登录,https:/192.168.1.110:6667,注：,只能使用管理主机管理防火墙,每次只能使用一台管理主机对防火墙进行管理。,Web,登录界面,用户名：,admin,密码：,firewall,管理主界面,当管理员完成管理任务或者离开管理界面时，应点击退出正确推出,WEB,管理界面。防火墙,WEB,界面有超时机制，默认超时时间为,600,秒。,管理配置,防火墙默认提供,WEB,管理方式和,CLI,命令行管理方式管理防火墙。分别通过网口、串口连接防火墙。上述二种管理方式是默认开启状态，管理员不能删除其中任一管理方式。另外，防火墙还提供通过,SSH,对防火墙以命令行方式进行远程管理的功能，此管理方式管理员有权进行添加和删除。,管理主机的配置,管理员要想管理防火墙，必须增加管理主机，即通过此菜单添加管理主机的,IP,，然后通过网口连接防火墙即可进行管理。防火墙最多支持,256,个管理主机对其进行管理。,网络接口,IP,的,配置,提供,4,个网口：,4,个,10/100M,自适应以太网接口（,dmz,、,lan,、,wan(192.168.10.100/24),、,wan1,）。提供,1,个虚网口设备,br,对象定义,为简化防火墙安全规则的维护工作，引入了对象定义，可以定义以下对象：,（,1,）地址：地址列表、地址组、服务器地址、,NAT,地址池,（,2,）服务：服务列表、服务组,（,3,）时间：时间列表、时间组,（,4,）连接限制：保护主机、保护服务、限制主机、限制服务,（,5,）带宽：带宽列表,（,6,）,URL,列表：黑名单、白名单,注意事项,（,1,）定义规则前需先定义该规则所要引用的对象。,（,2,）定义的对象只有被引用时才真正使用。,（,3,）被引用的对象编辑后，在“安全策略,安全规则”界面中点击“刷新”后生效。,地址,在定义安全规则之前，最好按照一定的原则（比如：按部门、按人员等）定义一些地址，这样，当部门或者人员的,IP,地址发生变化时，只需在本列表中更新即可，无需再修改安全规则了。,在“对象定义,地址”中，定义了三种不同用途的地址：,1,地址列表、地址组：用于“安全策略,安全规则”中的源地址和目的地址，“用户认证,用户列表”和“用户认证,用户组”中的安全策略。,2,服务器地址：用于“安全策略,安全规则”中的内部地址。,3,NAT,地址池：用于“安全策略,安全规则”中的源地址转换。,地址,地址列表,地址用于“安全策略,安全规则”、“用户认证,用户列表”和“用户认证,用户组”。,可以按两种方式来定义地址：（,1,）,IP,地址,/,掩码；（,2,）地址范围,IP1,IP2,地址,地址组,地址组用于“安全策略,安全规则”、“用户认证,用户列表”和“用户认证,用户组”。地址组的成员只能为“对象定义,地址,地址列表”中已经定义过的地址。,服务,服务用于：,（,1,）“安全策略”下的：包过滤规则、,NAT,规则、端口映射规则,（,2,）“用户认证”下的：用户、用户组,在“对象定义,服务”中，定义了三种服务：,（,a,）基本服务：可以“协议,+,源端口,+,目的端口”。,（,b,）,ICMP,服务：可指定,type,和,code,。,（,c,）动态服务：目前支持,H323,、,FTP,、,SQLNET,三种动态协议。,（,d,）服务组：上述三种服务的任意组合。,服务,服务列表,连接限制,连接限制是为了保护服务器，限制对服务器过于频繁的访问。在规定的时间内，如果某台主机访问服务器超过了所限制的次数，则会对该主机实行阻断，在阻断时间段内，拒绝其对服务器的所有访问。在“对象定义,连接限制”中，提供了四种连接限制：保护主机、保护服务、限制主机、限制服务。,保护服务,保护服务是指被访问服务器提供的某类服务进行保护，限制对此服务器的这类服务进行过于频繁的访问。,安全策略,安全策略是防火墙的核心功能。防火墙所有的访问控制均根据安全规则的设置完成。,安全规则包括：,（,1,）包过滤规则,（,2,）,NAT,规则（网络地址转换）,（,3,）,IP,映射规则,（,4,）端口映射规则,安全策略,安全规则,防火墙的基本策略：没有明确被允许的行为都是被禁止的。,根据管理员定义的安全规则完成数据帧的访问控制，规则策略包括：“允许通过”、“禁止通过”、“,NAT,方式通过”、“,IP,映射方式通过”、“端口映射方式通过”。支持对源,IP,地址、目的,IP,地址、源端口、目的端口、服务、流入网口、流出网口等控制。,另外，根据管理员定义的基于角色控制的用户策略，并与安全规则策略配合完成访问控制，包括限制用户在什么时间、什么源,IP,地址可以登录防火墙系统，该用户通过认证后能够享有的服务。,RG-WALL 60,防火墙提供基于对象定义的安全策略配置。,防火墙按顺序匹配规则列表：按顺序进行规则匹配，按第一条匹配的规则执行，不再匹配该条规则以下的规则。,包过滤规则,基于,TCP/UDP/ICMP,协议的动态的包过滤。,包过滤规则可以实现对源地址,/,掩码、目的地址,/,掩码、服务、流入流出网口的访问控制，可以设置对这类经过防火墙的数据包是允许还是禁止。另外，是否启用用户认证、是否启用带宽控制、是否启用,URL,过滤、是否启用连接限制功能以及是否记录日志，是否走,VPN,隧道都在包过滤规则中设置。包过滤规则是管理员应用最多的安全规则。,RG-WALL 60,防火墙的包过滤规则功能十分灵活、强大。,NAT,规则,NAT,（,Network Address Translation,）是在,IPv4,地址日渐枯竭的情况下出现的一种技术，可将整个组织的内部,IP,都映射到一个合法,IP,上来进行,Internet,的访问，,NAT,中转换前源,IP,地址和转换后源,IP,地址不同，数据进入防火墙后，防火墙将其源地址进行了转换后再将其发出，使外部看不到数据包原来的源地址。一般来说，,NAT,多用于从内部网络到外部网络的访问，内部网络地址可以是保留,IP,地址。,IP,映射规则,IP,映射规则是将访问的目的,IP,转换为内部服务器的,IP,。一般用于外部网络到内部服务器的访问，内部服务器可使用保留,IP,地址。当管理员配置多个服务器时，就可以通过,IP,映射规则，实现对服务器访问的负载均衡。一般的应用为：假设防火墙外网卡上有一个合法,IP,，内部有多个服务器同时提供服务，当将访问防火墙外网卡,IP,的访问请求转换为这一组内部服务器的,IP,地址时，访问请求就可以在这一组服务器进行均衡。,端口映射规则,端口映射规则是将访问的目的,IP,和目的端口转换为内部服务器的,IP,和服务端口。一般用于外部网络到内部服务器的访问，内部服务器可使用保留,IP,地址。当管理员配置多个服务器时，都提供某一端口的服务，就可以通过配置端口映射规则，实现对服务器此端口访问的负载均衡。一般的应用为：假设防火墙外网卡上有一个合法,IP,，内部有多个服务器同时提供服务，当将访问防火墙外网卡,IP,的访问请求转换为这一组内部服务器的,IP,地址时，访问请求就可以在这一组服务器进行均衡。,配置实例,网络结构，这个网络假设内部网有有效的,internet,地址，为了将内部网段,192.168.80.0/24,与,internet,隔离，在内部网络和,internet,之间使用了包过滤防火墙。,防火墙的内网接口是,eth1,（,198.168.80.254,），防火墙的,internet,接口是,192.168.10.100.,另外，内网中有,3,台服务器对外提供服务。,www,服务器：,ip,地址是：,198.168.80.251ftp,服务器：,ip,地址是：,198.168.80.252,e_mail,服务器：,ip,地址为：,198.168.80.253,实验要求,配置防火墙的管理主机，并验证该管理主机能够对防火墙进行管理。,给,wan1,接口配置另一个,IP,地址。,根据上述实例,根据,IP,地址定义地址列表和地址组，定义自己的服务，定义主机保护和服务保护,定义一条包过滤规则。限制服务，限制网口，保护主机，保护服务。,附加题,假设上述实例三种服务器均为,FTP,服务，定义,IP,映射规则，其他条件自定义。,