路由器_交换机应用案例教程 作者 张文科 能力单元4 实现防火墙配置.pptVIP

能力单元4 实现防火墙的配置 主要内容 重点内容 1、防火墙的定义 2、防火墙的工作原理 3、防火墙的作用与功能 4、防火墙的分类 5、防火墙的布署 6、pix防火墙的配置 7、三星防火墙的配置 难点 1、防火墙的工作原理 2、防火墙的作用与功能 3、防火墙的配置 一.实现防火墙的布署 一.实现防火墙的布署 一.实现防火墙的布署 一.实现防火墙的布署 一.实现防火墙的布署 1.什么是防火墙？ 1.1 防火墙的定义 1)防火墙一词来源于建筑学。在建筑物中，防火墙是使用抗热材料建成的一堵墙，用来阻止火在建筑物里面蔓延。 2)把这个概念引申后，就是我们现在所使用的网络防火墙，他的作用就不是防火，而是防数据在未授权的情况下被传播。 3)在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。 1.2 网络与防火墙 企业网络边缘设备 置于可信区和不可信区之间 保护可信区（内部网） 监控穿越防火墙的数据流（日志） Allow or Deny（规则） 1.3 防火墙的发展与变迁 1.4 每一代防火墙的侧重点 1.5 防火墙硬件外观图 1.6 防火墙的接口分类 防火墙通常具有至少3个接口；当使用具有3个接口的防火墙时，就至少产生了3个不同的网络： 1、内部区域（内网）： 内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它受到了防火墙的保护。 2、外部区域（外网）： 外部区域通常指Internet或者非企业内部网络。当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。 3、停火区（DMZ）： 停火区是一个隔离的网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器，Mail服务器等。 2.防火墙工作原理 3.防火墙的功能作用 （1）允许网络管理员定义一个中心点来防止非法用户进入内部网络。 （2）可以很方便地监视网络的安全性，并报警。 （3）可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。 （4）是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。 （5）可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。 3.1 防火墙能防什么？ 能够防止已知的类型攻击。 3.2 防火墙不能防什么？ 1、防火墙不能防范不经过防火墙的攻击。 2、防火墙不能防病毒。 3、防火墙不能真正保护的另一种危险是你网络内部的叛变者。 4.防火墙的分类 （1）从软、硬件形式上分为 软件防火墙和硬件防火墙以及芯片级防火墙。 （2）从防火墙结构分为 单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 （3）按防火墙的应用部署位置分为 边界防火墙、个人防火墙和混合防火墙三大类。 （4）按防火墙性能分为 百兆级防火墙和千兆级防火墙等。 4.防火墙的分类 （5）从实现技术划分 1）网络级防火墙（也叫包过滤型防火墙） 2）应用级网关 3）电路级网关 4）规则检查 4.1 什么是网络级防火墙 网络级防火墙是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。 一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。 4.2 什么是应用级网关 应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。效率不如网络级防火墙。 4.3 什么是电路级网关 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话（Session）是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。电路级网关还提供一个重要的安全功能：代理服务器（Proxy Server）。代理服务技术主要通过专用计算机硬件（如工作站）来承担。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过，一旦判断条件满足，防火墙内部网络的结