《(中职)中小型网络构建与管理综合实训教程项目六 构建安全的网络教学课件.ppt》由会员分享,可在线阅读,更多相关《(中职)中小型网络构建与管理综合实训教程项目六 构建安全的网络教学课件.ppt(66页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、YCF正版可修改PPT(中职)中小型网络构建与管理综合实训教程项目六构建安全的网络教学课件项目六构建安全的网络项目六构建安全的网络任务一保障网络设备的安全任务一保障网络设备的安全任务二保障网络区域的安全任务二保障网络区域的安全任务三提高整个网络的安全任务三提高整个网络的安全返回任务一保障网络设备的安全任务一保障网络设备的安全.任务分析任务分析为了保证网络接入设备安全为了保证网络接入设备安全,可以在接入交换机端口上对网络中所有接可以在接入交换机端口上对网络中所有接入用户认证入用户认证,保证网络中只有合法用户才可以接入内部网络保证网络中只有合法用户才可以接入内部网络.在接入设在接入设备上启动端口安
2、全功能备上启动端口安全功能,将特定主机将特定主机MAC地址和地址和IP绑定在端口上绑定在端口上,并配并配置交换机端口最大连接数置交换机端口最大连接数,限制在交换机端口下主机的接入台数限制在交换机端口下主机的接入台数.另外另外,在每台设备上设置管理员登录口令在每台设备上设置管理员登录口令,防止非管理员用户登录到网络查看防止非管理员用户登录到网络查看设备配置信息设备配置信息.下一页返回任务一保障网络设备的安全任务一保障网络设备的安全.知识准备知识准备.交换机端口安全知识交换机端口安全知识二层交换机安全主要表现在端口安全上二层交换机安全主要表现在端口安全上,在交换机端口上检查所有接入在交换机端口上检
3、查所有接入计算机的合法性计算机的合法性,如如图所示图所示.利用交换机端口安全功能利用交换机端口安全功能,防止局域防止局域网内部攻击网内部攻击,如如MAC地址攻击、地址攻击、ARP攻击、攻击、IP/MAC地址欺骗等地址欺骗等.另外另外,还可以实施交换机其他安全还可以实施交换机其他安全,例如病毒防护、入侵检测等例如病毒防护、入侵检测等.通过交换机某个端口上限制接入设备的通过交换机某个端口上限制接入设备的MAC地址或地址或IP地址地址,将将MAC和和IP地址与交换机端口绑定地址与交换机端口绑定,设置安全接入地址设置安全接入地址,控制对该端口的接入访控制对该端口的接入访问问.交换机配置安全端口功能交换
4、机配置安全端口功能,并配置安全地址并配置安全地址,如果该端口发现主机如果该端口发现主机MAC地址与交换机上指定的地址与交换机上指定的MAC地址不同地址不同,交换机产生一个安全违例交换机产生一个安全违例,相应端口将关闭相应端口将关闭,不转发该数据包不转发该数据包.上一页 下一页返回任务一保障网络设备的安全任务一保障网络设备的安全.配置交换机端口安全配置交换机端口安全.端口安全最大连接数配置端口安全最大连接数配置(1)interface interface-id/进入接口配置模式进入接口配置模式(2)switchport port-security/打开该接口的端口安全功打开该接口的端口安全功能能
5、(3)switchport port-security maximum value/设置接口上安全地址的最大个数设置接口上安全地址的最大个数,范围是范围是1128,缺省值为缺省值为128(4)switchport port-security violationprotect|restrict|shutdown/设置处理违例的方式设置处理违例的方式上一页 下一页返回任务一保障网络设备的安全任务一保障网络设备的安全注意注意:端口安全功能只能在端口安全功能只能在Access端口上进行配置端口上进行配置.当端口因为违例而被关闭后当端口因为违例而被关闭后,在全局配置模式下使用命令在全局配置模式下使用命令
6、errdisable recovery来将接口从错误状态中恢复过来来将接口从错误状态中恢复过来.端口的安全地址绑定端口的安全地址绑定(1)switchport port-security/打开该接口的端口安全打开该接口的端口安全功能功能(2)switchport port-security mac-address mac-addressip-address ip-address/手工配置接口上的安全地址手工配置接口上的安全地址上一页 下一页返回任务一保障网络设备的安全任务一保障网络设备的安全.配置交换机控制台密码安全配置交换机控制台密码安全交换机的控制台是管理交换机的入口交换机的控制台是管理交
7、换机的入口,通过管理交换机的通过管理交换机的console控制控制台端口登录权限台端口登录权限,实现对交换机的安全控制和管理实现对交换机的安全控制和管理.配置交换机控制台配置交换机控制台安全操作如下安全操作如下:()配置交换机的登录密码配置交换机的登录密码.Switch(config)#enable secret level 1 0 sec/表示输入的明文形式的口令表示输入的明文形式的口令,为分配等级为分配等级.()配置交换机的特权密码配置交换机的特权密码.Switch(config)#enable secret level 15 0 SEC/表示输入的明文形式的口令表示输入的明文形式的口令,
8、为分配等级为分配等级.上一页 下一页返回任务一保障网络设备的安全任务一保障网络设备的安全.任务实施任务实施.任务场景任务场景某公司要求对网络进行严格控制某公司要求对网络进行严格控制.为了防止公司内部用户的为了防止公司内部用户的IP地址冲突地址冲突,防止公司内部的网络攻击和破坏行为防止公司内部的网络攻击和破坏行为,为每一位员工分配了固定的为每一位员工分配了固定的IP地址地址,并且限制只允许公司员工主机可以使用网络并且限制只允许公司员工主机可以使用网络,不得随意连接其他不得随意连接其他主机主机.如图所示如图所示.设备与环境设备与环境锐捷交换机锐捷交换机RGS台、计算机台、网线若干台、计算机台、网线
9、若干.上一页 下一页返回任务一保障网络设备的安全任务一保障网络设备的安全.操作步骤操作步骤步骤步骤:配置交换机端口的最大连接数限制配置交换机端口的最大连接数限制.SW(config)#inter rang f0/1 24/进行一组端口的配置模进行一组端口的配置模式式SW(config-if-range)#switchportport-security/开启交换开启交换机的端口安全功能机的端口安全功能步骤步骤:查看查看PC、PC的的IP和和MAC地址信息地址信息.在主机上打开在主机上打开CMD命令提示符窗口命令提示符窗口,执行执行ipconfig/all命令命令.如如图图所示所示.步骤步骤:配置
10、交换机端口的地址绑定配置交换机端口的地址绑定.上一页 下一页返回任务一保障网络设备的安全任务一保障网络设备的安全步骤步骤:在在PC、PC上相互上相互ping对方对方,如图所示如图所示.步骤步骤:在在F/接口上做接口上做MAC地址绑定地址绑定.步骤步骤:把把PC连接到连接到F/接口上接口上.注意事项注意事项交换机端口安全功能只能在交换机端口安全功能只能在Access接口进行配置接口进行配置,不能对于不能对于Trunk接口进行配置接口进行配置.交换机最大连接数限制取值范围是交换机最大连接数限制取值范围是,默认是默认是.交换机最大连接数限制默认的处理方式是交换机最大连接数限制默认的处理方式是prot
11、ect.上一页返回任务二保障网络区域的安全任务二保障网络区域的安全.任务分析任务分析为了解决上述网络问题为了解决上述网络问题,可以在路由器上作适当设置可以在路由器上作适当设置,通过配置通过配置ACL,过过滤掉非法访问的数据包滤掉非法访问的数据包.知识准备知识准备.访问控制列表技术访问控制列表技术.ACL概述概述访问控制列表访问控制列表(Access Control Lists,ACL)是控制流入、流出路由器是控制流入、流出路由器数据包的一种方法数据包的一种方法,它通过在数据包流出或流入路由器时读取包头中的它通过在数据包流出或流入路由器时读取包头中的信息信息,如源地址、目的地址、源端口、目的端口
12、及上层协议等如源地址、目的地址、源端口、目的端口及上层协议等,根据预根据预先定义的规则决定哪些数据包可以接收、哪些数据包需要拒绝先定义的规则决定哪些数据包可以接收、哪些数据包需要拒绝,从而实从而实现控制网络数据流量、流向的作用现控制网络数据流量、流向的作用.下一页返回任务二保障网络区域的安全任务二保障网络区域的安全早期仅在路由器上支持早期仅在路由器上支持ACL技术技术,近年来已经扩展到三层交换机近年来已经扩展到三层交换机,现在现在有些最新的二层交换机也开始支持有些最新的二层交换机也开始支持ACL技术技术.当数据包经过路由器时当数据包经过路由器时,都可以利用都可以利用ACL来允许或拒绝对某一个网
13、络或子网的访问来允许或拒绝对某一个网络或子网的访问.ACL在网在网络中的使用如络中的使用如图所示图所示.ACL的工作原理的工作原理ACL由一系列的表项组成由一系列的表项组成,我们称之为接入控制列表表表项我们称之为接入控制列表表表项(Access Control Entry,ACE).这些表项主要定义了数据包进入路由器接口或通这些表项主要定义了数据包进入路由器接口或通过路由器转发和流出路由器接口的行为过路由器转发和流出路由器接口的行为,过滤流入或流出路由器上的数过滤流入或流出路由器上的数据包据包.如如图图所示所示.无论是否使用了无论是否使用了ACL,处理过程的开始都是一样处理过程的开始都是一样的
14、的.当一个数据包进入路由器的某一个接口当一个数据包进入路由器的某一个接口,路由器首先检查该数据包路由器首先检查该数据包是否可路由或可桥接是否可路由或可桥接.上一页 下一页返回任务二保障网络区域的安全任务二保障网络区域的安全.ACL的作用的作用ACL的主要作用有的主要作用有:一是保护资源节点一是保护资源节点,阻止非法用户对资源节点的访阻止非法用户对资源节点的访问问,例如限制一些用户只能访问万维网和电子邮件服务例如限制一些用户只能访问万维网和电子邮件服务,其他的服务如其他的服务如Telnet则禁止则禁止;二是限制特定的用户结点所具备的访问权限二是限制特定的用户结点所具备的访问权限.如如图图所示所示
15、,只允许主机只允许主机A 访问财务部访问财务部,而禁止主机而禁止主机B访问访问.访问控制列表分类访问控制列表分类根据控制网络的程度的不同根据控制网络的程度的不同,ACL技术分为标准技术分为标准ACL(Standard IP ACL)和扩展和扩展ACL(Extended IP ACL)两种两种.标准标准ACL标准标准ACL只检查可以被路由的数据包的源地址只检查可以被路由的数据包的源地址,从而允许或拒绝基于网从而允许或拒绝基于网络、子网或主机络、子网或主机IP地址的某一协议通过路由器地址的某一协议通过路由器.其工作过程其工作过程如图如图所示所示.上一页 下一页返回任务二保障网络区域的安全任务二保障
16、网络区域的安全.扩展扩展ACL扩展扩展ACL更具灵活性更具灵活性,安全控制范围更为广阔安全控制范围更为广阔,处理方式更为多样化处理方式更为多样化,控控制功能也更强制功能也更强,使用更为广泛使用更为广泛.它基于分组的源地址、目的地址、协议它基于分组的源地址、目的地址、协议类型、端口号和应用来决定允许或拒绝访问类型、端口号和应用来决定允许或拒绝访问.其工作流程如其工作流程如图图所示所示.命名命名ACL标准标准ACL和扩展和扩展ACL使用数字编号来标识使用数字编号来标识,命名命名ACL一般使用字符串一般使用字符串来代替数字来代替数字,方便用户识别其功能和记忆方便用户识别其功能和记忆.与编号与编号AC
17、L相比相比,命名命名ACL没没有有ACL编号范围限制编号范围限制,同时可以自由删除同时可以自由删除ACL中一条语句中一条语句,而不必删除而不必删除整个整个ACL.命名命名ACL也分为标准也分为标准ACL和扩展和扩展ACL两种两种.上一页 下一页返回任务二保障网络区域的安全任务二保障网络区域的安全.配置访问控制列表配置访问控制列表.配置配置ACL的步骤的步骤配置配置ACL的过程可以分为两步的过程可以分为两步:第一步第一步:在全局配置模式下在全局配置模式下,使用使用accesslist命令创建命令创建ACL过滤规则过滤规则;第二部第二部:在接口配置模式下在接口配置模式下,使用使用accessgro
18、up命令命令,把配置好的把配置好的ACL规则应用到某一端口上规则应用到某一端口上.该端口将检查指定方向上通过的数据包该端口将检查指定方向上通过的数据包.配置标准配置标准ACL标准标准ACL对对IP数据包中的源数据包中的源IP地址进行控制地址进行控制,所有标准所有标准ACL规则的编制规则的编制都是在全局模式下生成的都是在全局模式下生成的.上一页 下一页返回任务二保障网络区域的安全任务二保障网络区域的安全()生成标准生成标准ACL规则的格式规则的格式.access-list list numberpermit|deny address wildcard-mask其中其中:Listnumber是标准
19、是标准ACL的数字编号的数字编号,范围为范围为;Permit和和deny表示允许或禁止满足该规则的数据包通过表示允许或禁止满足该规则的数据包通过;Address是源地址是源地址,wildcardmask为反掩码为反掩码.()在接口上应用编制好的访问控制规则在接口上应用编制好的访问控制规则.Router(config-if)#ip access-group access-list-numberin|out其中其中,in和和out参数可以控制接口中不同方向的数据包参数可以控制接口中不同方向的数据包,缺省为缺省为out.上一页 下一页返回任务二保障网络区域的安全任务二保障网络区域的安全.配置扩展配置
20、扩展ACL扩展扩展ACL不仅可以对数据包中的源不仅可以对数据包中的源IP地址进行控制地址进行控制,还可以对目的地址、还可以对目的地址、协议及端口号进行控制协议及端口号进行控制.()编制扩展编制扩展ACL的检查规则的检查规则.Access-list listnumber permit|deny protocol source source-wild-card-mask destination destination-wildcard-maskoperator operand其中其中:listnumber为为;protocol是指定的协议是指定的协议,如如TCP、UDP、IP等等;operator
21、和和operand用于指定端口号范围用于指定端口号范围,默认为全部端口号默认为全部端口号,只有只有TCP和和UDP协议需要指定端口范围协议需要指定端口范围.上一页 下一页返回任务二保障网络区域的安全任务二保障网络区域的安全()在接口上应用编制好的访问控制规则在接口上应用编制好的访问控制规则.与标准与标准ACL相同相同,例如把上述配置好的例如把上述配置好的ACL应用在接口应用在接口Fa/上上,配置配置命令为命令为:Router#configureRouter(config)#interface Fastethernet 0/1Router(config-if)#ip access-group1
22、in/在在Fa0/1 上应该改规则上应该改规则Router(config-if)#no shutdown.配置命名配置命名ACL()创建标准命名创建标准命名ACL.在全局配置模式下在全局配置模式下,通过如下命令通过如下命令,创建一个标准命名创建一个标准命名ACL.上一页 下一页返回任务二保障网络区域的安全任务二保障网络区域的安全()创建扩展命名创建扩展命名ACL.在全局配置模式下在全局配置模式下,通过如下命令创建一个扩展的命名通过如下命令创建一个扩展的命名ACL,其配置命其配置命令如下令如下:ip access-list extended namedeny|permit protocol so
23、urce source-wildcard|host source|any operator port()将编制好的规则应用于指定端口将编制好的规则应用于指定端口.ip access-group namein|out上一页 下一页返回任务二保障网络区域的安全任务二保障网络区域的安全.任务实施任务实施.任务场景一任务场景一如图如图所示为公司财务部与销售部网络连接场景图所示为公司财务部与销售部网络连接场景图,运用标准运用标准ACL技术技术,禁止销售部访问财务部网络禁止销售部访问财务部网络;某些安全性要求比较高的主机某些安全性要求比较高的主机或网络需要进行访问控制或网络需要进行访问控制,其他的很多应用
24、都可以使用访问控制列表提其他的很多应用都可以使用访问控制列表提供操作条件供操作条件,在本例中禁止在本例中禁止./(销售销售)对对PC(财财务务)的访问的访问.设备与环境设备与环境锐捷路由器台、计算机台、网线根、串口线根锐捷路由器台、计算机台、网线根、串口线根.上一页 下一页返回任务二保障网络区域的安全任务二保障网络区域的安全.操作步骤操作步骤步骤步骤:基本配置基本配置.步骤步骤:路由配置路由配置,保证网络的连通性保证网络的连通性.步骤步骤:PC能与能与PC连通连通.如图所示如图所示.步骤步骤:配置访问控制列表禁止配置访问控制列表禁止PC所在网段对所在网段对PC的访问的访问.步骤步骤:将访问控制
25、列表应用在相应的接口将访问控制列表应用在相应的接口.步骤步骤:验证验证.步骤步骤:测试测试.如图所示如图所示.上一页 下一页返回任务二保障网络区域的安全任务二保障网络区域的安全.任务场景二任务场景二实验拓扑图如图所示实验拓扑图如图所示,应用扩展应用扩展ACL禁止销售部主机访问财务禁止销售部主机访问财务部网络部网络;可以针对目标可以针对目标IP地址进行控制地址进行控制,针对某些服务进行控制针对某些服务进行控制,可以针可以针对某些协议进行控制对某些协议进行控制,本例中禁止本例中禁止PC(销售销售)telnet到到PC(财务财务),但但能能Ping.设备与环境设备与环境锐捷路由器台、计算机台、网线根
26、、串口线根锐捷路由器台、计算机台、网线根、串口线根.操作步骤操作步骤步骤步骤:对路由器进行基本配置对路由器进行基本配置,并加路由保证网络是连通的并加路由保证网络是连通的,此配置请此配置请参照标准访问控制列表参照标准访问控制列表.步骤步骤:在在R上设置扩展访问控制列表上设置扩展访问控制列表.上一页 下一页返回任务二保障网络区域的安全任务二保障网络区域的安全步骤步骤:查看访问列表查看访问列表.步骤步骤:验证验证.如如图所示图所示.注意事项注意事项:扩展访问控制列表通常放在离源比较近的地方扩展访问控制列表通常放在离源比较近的地方.扩展访问控制列表可以基于源、目标扩展访问控制列表可以基于源、目标IP、
27、协议、端口等条件过滤、协议、端口等条件过滤.上一页返回任务三提高整个网络的安全任务三提高整个网络的安全.任务分析任务分析为了限制外部网络非法对企业网内部资源的访问为了限制外部网络非法对企业网内部资源的访问,在网络接入在网络接入Internet接口处安装防火墙接口处安装防火墙.知识准备知识准备.认识防火墙认识防火墙.防火墙概述防火墙概述防火墙防火墙(Firewall)是指设置在不同网络是指设置在不同网络(如可信任的企业内部网和不可如可信任的企业内部网和不可信的公共网信的公共网)或网络安全域之间实现访问控制的一个或一组硬件或软件或网络安全域之间实现访问控制的一个或一组硬件或软件系统系统,英文名字为
28、英文名字为“Firewall”.它是一道它是一道“门槛门槛”,能有效地把互联网能有效地把互联网与内部网隔开与内部网隔开,如如图所示图所示,从而保护内部网免受非法用户的入从而保护内部网免受非法用户的入侵侵.在某种意义上在某种意义上,防火墙就像一个私人俱乐部的看门人防火墙就像一个私人俱乐部的看门人,他检查每个人他检查每个人的的ID,并确保只有俱乐部会员才能通过该门进入并确保只有俱乐部会员才能通过该门进入,如图所示如图所示.下一页返回任务三提高整个网络的安全任务三提高整个网络的安全一般来说一般来说,防火墙包括几个不同的组成部分防火墙包括几个不同的组成部分(如图所示如图所示).过滤器过滤器(filte
29、r)(有时也称屏蔽有时也称屏蔽)用于阻断一定类型的通信传输用于阻断一定类型的通信传输.网关是一台或一网关是一台或一组机器组机器,它提供中继服务它提供中继服务,以补偿过滤器的影响以补偿过滤器的影响.驻有网关的网络常被叫驻有网关的网络常被叫作非军事区作非军事区(Demilitarized Zone,DMZ).DMZ中的网关有时还由一个中的网关有时还由一个内部网关内部网关(internal gateway)协助工作协助工作.防火墙功能防火墙功能无论什么类型的防火墙无论什么类型的防火墙,都有一些基本功能都有一些基本功能.防火墙主要的功能如下防火墙主要的功能如下:()管理和控制网络流量管理和控制网络流量
30、:通过检查报文监控已经存在的连接通过检查报文监控已经存在的连接,根据报文根据报文检查结果和检测到的连接来过滤以达到该目的检查结果和检测到的连接来过滤以达到该目的.上一页 下一页返回任务三提高整个网络的安全任务三提高整个网络的安全()认证连接认证连接:防火墙用一系列机制执行认证防火墙用一系列机制执行认证,首先首先,尝试初始化一个连尝试初始化一个连接的用户在防火墙允许建立连接之前可以被提示需要一个用户名和密接的用户在防火墙允许建立连接之前可以被提示需要一个用户名和密码码;其次其次,可以使用证书和公共密钥实现认证机制可以使用证书和公共密钥实现认证机制.通过实施认证通过实施认证,确保连确保连接是否被允
31、许接是否被允许.()担当中间媒介担当中间媒介:防火墙可以通过配置担当两条主机进行通信的媒介防火墙可以通过配置担当两条主机进行通信的媒介,可以称之为代理可以称之为代理.代理的职能就是伪装成需要被保护的主机代理的职能就是伪装成需要被保护的主机,发送或接发送或接收报文收报文,确保外部主机不能直接和被保护的主机通信来隔离被保护的主确保外部主机不能直接和被保护的主机通信来隔离被保护的主机机,以免其遭受威胁以免其遭受威胁.()保护资源保护资源:通过使用接入访问控制规则、状态化报文检查、应用代通过使用接入访问控制规则、状态化报文检查、应用代理或结合以上所有方法去阻止被保护的主机被恶意访问或者恶意流量理或结合
32、以上所有方法去阻止被保护的主机被恶意访问或者恶意流量感染感染.上一页 下一页返回任务三提高整个网络的安全任务三提高整个网络的安全()记录和报告事件记录和报告事件:防火墙日志可以被查询以用来确定在一个安全时防火墙日志可以被查询以用来确定在一个安全时间中发生了什么间中发生了什么,也可以被用于防火墙排错也可以被用于防火墙排错,来帮助确定导致问题发生来帮助确定导致问题发生的原因的原因.它还有一种报警机制它还有一种报警机制,当策略被违反的时候通知管理员以便做当策略被违反的时候通知管理员以便做出相应的决定出相应的决定.防火墙种类防火墙种类按照形态来分按照形态来分,防火墙分成两种防火墙分成两种:软件防火墙和
33、硬件防火墙软件防火墙和硬件防火墙.软件防火墙软件防火墙仅获得仅获得Firewall软件软件,需要准备额外的需要准备额外的OS平台平台,其安全性依赖底层的其安全性依赖底层的OS.另外另外,软件防火墙的网络适应性较差软件防火墙的网络适应性较差,主要以路由模式工作主要以路由模式工作.但它的但它的网络稳定性高网络稳定性高,软件分发、升级比较方便软件分发、升级比较方便.硬件防火墙包括硬件设备和硬件防火墙包括硬件设备和防火墙软件防火墙软件,使用专用的使用专用的OS平台平台,其安全性完全取决于专用的其安全性完全取决于专用的OS.硬件硬件防火墙的网络适应性强防火墙的网络适应性强,支持多种接入模式支持多种接入模
34、式,稳定性较高稳定性较高,但升级、更新但升级、更新不够灵活不够灵活.上一页 下一页返回任务三提高整个网络的安全任务三提高整个网络的安全按照保护对象来分按照保护对象来分,防火墙又分为防火墙又分为:网络防火墙和单机防火墙网络防火墙和单机防火墙,如如图图、图图所示所示.单机防火墙只能保护单台主机单机防火墙只能保护单台主机,安全策略相对安全策略相对分散分散,安全功能也比较简单安全功能也比较简单,普通用户就可以维护普通用户就可以维护,安全隐患较大安全隐患较大,但策略但策略设置灵活设置灵活;网络防火墙保护的是整个网络网络防火墙保护的是整个网络,其安全策略集中其安全策略集中,安全功能复安全功能复杂多样杂多样
35、,专业管理员进行维护专业管理员进行维护,安全隐患小安全隐患小,策略设置较为复杂策略设置较为复杂.单机防火单机防火墙是网络防火墙的有益补充墙是网络防火墙的有益补充,但不能代替网络防火墙为内部网络提供强但不能代替网络防火墙为内部网络提供强大的保护功能大的保护功能.根据防火墙实现技术不同根据防火墙实现技术不同,又可以分为包过滤防火墙、应用代理防火墙又可以分为包过滤防火墙、应用代理防火墙和复合型防火墙等几种和复合型防火墙等几种.)包过滤防火墙包过滤防火墙.包过滤型防火墙是第一代的防火墙包过滤型防火墙是第一代的防火墙,作用于网络层和传输层之间作用于网络层和传输层之间,基于基于路由器并提供数据包过滤的功能
36、路由器并提供数据包过滤的功能,所以路由器一般都有集成第一代的防所以路由器一般都有集成第一代的防火墙火墙.上一页 下一页返回任务三提高整个网络的安全任务三提高整个网络的安全)应用代理防火墙应用代理防火墙.应用代理型防火墙也被称为代理服务器应用代理型防火墙也被称为代理服务器,工作在应用层工作在应用层,其关键技术是其关键技术是应用代理技术应用代理技术.代理型防火墙分为两代代理型防火墙分为两代,第一代是应用网关型代理防火第一代是应用网关型代理防火墙墙.)复合型防火墙复合型防火墙.第二代代理型防火墙称为自适应代理防火墙第二代代理型防火墙称为自适应代理防火墙,它结合了代理型防火墙的它结合了代理型防火墙的安
37、全性和包过滤防火墙的高性能特点安全性和包过滤防火墙的高性能特点,可以在毫不影响安全性的前提下可以在毫不影响安全性的前提下将代理型防火墙的性能提高倍以上将代理型防火墙的性能提高倍以上.由于它结合了代理型和包过滤由于它结合了代理型和包过滤型防火墙的两样技术型防火墙的两样技术,因此称为自适应代理服务器和动态包过滤器因此称为自适应代理服务器和动态包过滤器.上一页 下一页返回任务三提高整个网络的安全任务三提高整个网络的安全.任务实施任务实施.任务场景任务场景根据公司网络的安全要求在混合模式下配置防火墙根据公司网络的安全要求在混合模式下配置防火墙,公司的安全要求公司的安全要求:仅有少量公网地址仅有少量公网
38、地址.LAN、WAN和和DMZ为私有地址为私有地址,且在同一子网且在同一子网.禁止外网到内网和禁止外网到内网和WAN的连接的连接.限制内网到外网的连接限制内网到外网的连接,即只开放有限的服务即只开放有限的服务,比如浏览网页、收发比如浏览网页、收发邮件、下载文件、邮件、下载文件、DNS、ping等等.限制内网到限制内网到WAN的连接的连接,只允许访问只允许访问FTPSer的的FTP服务服务.上一页 下一页返回任务三提高整个网络的安全任务三提高整个网络的安全限制限制DMZ到到WAN的连接的连接,只允许只允许Mail Ser访问访问Data Ser的的SQL(TCP)服务服务.DMZ区对内外网提供服
39、务区对内外网提供服务,比如比如WWW 服务、邮件服务等服务、邮件服务等.IP地址分配地址分配.LAN、DMZ、WAN 网段网段:./;防火墙虚拟设防火墙虚拟设备备br 接口接口IP:.;WAN 网段网段:./.通过防火墙划分不同等级的安全区域通过防火墙划分不同等级的安全区域,默认不同安全区域互相不能访问默认不同安全区域互相不能访问,根据安全和访问的需求设置安全策略根据安全和访问的需求设置安全策略,保证只开放最小范围内的访问保证只开放最小范围内的访问.拓扑拓扑如图所示如图所示.上一页 下一页返回任务三提高整个网络的安全任务三提高整个网络的安全.设备与环境设备与环境防火墙台、交换机台、计算机台防火
40、墙台、交换机台、计算机台(其中一个作为管理主机和内网其中一个作为管理主机和内网主机主机,另一台做另一台做DMZ区服务器或外网的机器区服务器或外网的机器).操作步骤操作步骤步骤步骤:防火墙初始配置防火墙初始配置.在在“网络配置网络配置”“网络接口网络接口”下更改各个接口的工作模式下更改各个接口的工作模式,如图如图所示所示.在在“网络配置网络配置”“接口接口IP”下更改设置各个接口的下更改设置各个接口的IP地址地址,如图如图所示所示.在在“管理配置管理配置”“管理主机管理主机”下设置管理主机下设置管理主机,如图所示如图所示.上一页 下一页返回任务三提高整个网络的安全任务三提高整个网络的安全在在“管
41、理配置管理配置”“管理方式管理方式”下设置管理方式下设置管理方式,如图所示如图所示.步骤步骤:定义所有地址资源定义所有地址资源.如图所示如图所示.步骤步骤:定义服务资源和服务组定义服务资源和服务组.如图如图、图所示图所示.步骤步骤:添加包过滤规则添加包过滤规则.如图如图、图所示图所示.步骤步骤:添加添加NAT规则规则.如图所示如图所示.步骤步骤:添加端口映射规则添加端口映射规则.如图如图、图图所示所示.最后状态图最后状态图如图所示如图所示.步骤步骤:测试网络连通性测试网络连通性.从内网从内网PCping互联网的互联网的PC看能否连通看能否连通,如图所示如图所示.上一页返回图交换机端口安全图交换
42、机端口安全返回图配置交换机端口安全图配置交换机端口安全返回图执行图执行ipconfig/all命令命令返回图在图在PC、PC上相互上相互ping对方对方返回图图ACL在网络中的使用在网络中的使用返回图每个接口两个方向数据流图每个接口两个方向数据流返回图使用图使用ACL控制网络访问控制网络访问返回图标准图标准ACL工作过程工作过程返回图扩展图扩展ACL的工作流程的工作流程返回图网络拓扑图图网络拓扑图返回图测试图测试PC能与能与PC连通性连通性返回图测试图测试ACL效果效果返回图测试图测试ACL效果效果返回图防火墙在网络中的位置图防火墙在网络中的位置返回图防火墙的作用图防火墙的作用返回图防火墙组成
43、图图防火墙组成图返回图网络防火墙图网络防火墙返回图单机防火墙图单机防火墙返回图公司网络防火墙连接内外图公司网络防火墙连接内外网拓扑图网拓扑图返回图配置防火墙网络接口图配置防火墙网络接口返回图配置接口图配置接口IP返回图管理主机界面图管理主机界面返回图设置管理方式图设置管理方式返回图配置地址列表图配置地址列表返回图添加、编辑服务组图添加、编辑服务组返回图服务组成员列表图服务组成员列表返回图配置包过滤规则图配置包过滤规则返回图配置包过滤规则图配置包过滤规则返回图配置图配置NAT规则规则返回图配置端口映射图配置端口映射返回图配置端口映射图配置端口映射返回图各规则列表图各规则列表返回图测试图测试PC和和PC连通性连通性返回
黑公网安备:91230400333293403D