h第九周 防火墙技术（第8章）.pptVIP

* 屏蔽子网防火墙 添加额外的安全层：周边网，将内部网与因特网进一 步隔开。 周边网即：非军事化区，提供附加的保护层，入侵者如侵入周边网，可防止监听（sniffer）内部网的通信（窃取密码），不会损伤内部网的完整性。周边网上的主机主要通过主机安全来保证其安全性。 屏蔽子网防火墙使用了两个屏蔽路由器，消除了内部网络的单一侵入点，增强了安全性。 两个屏蔽路由器的规则设置的侧重点不同。 外部路由器只允许外部流量进入，内部路由器只允许内部流量进入。 * 屏蔽子网防火墙 * 三种防火墙拓扑结构的区别 三者的区别在于：内网与外网的数据连接“鸿沟” 双宿主主机：在一台主机上 屏蔽主机：一层屏蔽路由器 屏蔽子网：两层屏蔽路由器 * 防火墙体系结构的种种变化和组合 1）使用多堡垒主机 * 2）合并内外部由器 防火墙体系结构的种种变化和组合 * 3）合并堡垒主机和外部路由器 防火墙体系结构的种种变化和组合 * 4）将堡垒主机与内部路由器合并 防火墙体系结构的种种变化和组合 * 5）采用多内部路由器结构 防火墙体系结构的种种变化和组合 * 5）采用多内部路由器结构 －多个内部网 防火墙体系结构的种种变化和组合 * 6）使用多外部路由器 防火墙体系结构的种种变化和组合 * 内部防火墙 试验网络 * 防火墙核心技术－－网络地址转换（NAT） 作用：按内部定义，将原包中的IP地址“翻译”成内部使用地址 目的： 解决IP地址空间不够问题； 向外界隐藏内部网结构 实现真正的动态均衡（通常会缓存IP） 方式： 静态NAT，简单的地址翻译（一一对应） 端口NAT，多个内部网地址翻译到一个IP地址 多对一翻译，不同的内部网地址在外部用“公用IP：端口”的形式表示 NAT池 ，M个内部地址翻译到N个外部IP地址池 * 网络地址转换原理 * 利用NAT实现负载均衡（附加功能） * 其他防火墙 分布式防火墙 打破物理拓扑结构 集中定义策略（划分内外网），分布执行 练习：Windows 防火墙 1、可以从安全中心中打开，安全中心位于控制面板。 2、也可以直接从控制面板中打开Windows 防火墙控制台 3、可以从网络连接的高级选项卡中进入防火墙控制台。 Windows 防火墙安全策略：除非在例外中明确允许，否则默认全部禁止。 在主选项卡中有3个选项：常规、例外、高级 1.启用或禁用Internet连接防火墙 打开“网络连接”，（桌面网络邻居的属性） 单击要保护的拨号、LAN或高速Internet连接，然后在“网络任务”→“更改该连接的设置”→“高级”→“Internet 连接防火墙”下，选择下面的一项： 若要启用Internet连接防火墙，选中“通过启用或关闭来自Internet的对此计算机的访问来保护我的计算机和网络”复选框。若要禁用Internet连接防火墙，请清除此复选框。 常规选项卡 当选择了不允许例外，Windows 防火墙将拦截所有的连接你的计算机的网络请求, 包括在例外选项卡中列表的应用程序和系统服务。另外，防火墙也将拦截文件和打印机共享，还有网络设备的侦测。使用不允许例外选项的windows 防火墙比较适用于连接在公共网络上个人计算机，比如在宾馆和机场公共使用的计算机。即使使用了不允许例外选项的windows 防火墙，仍然可以浏览网页，发送接受电子邮件，或者使用即使通讯软件。 例外选项卡 例外选项卡中允许添加阻止规则例外的程序和端口来允许特定的进站通讯。对于每一个例外项，都可以相应的设置一个作用域。对于家用和小型办公室应用网络，推荐设置作用域为可能的本地网络。当然，也可以手工设置作用域中IP的范围。这样，只有来自特定的IP地址范围的网络请求才能被接受。 例如，针对WWW服务器，可以开放80端口，FTP可以开放20，21端口。 例外选项卡 在例外选项卡中还有一个添加程序的按钮。如果希望网络中（防火墙外）的其他客户端能够访问本地的某个特定的程序或服务，而又不知道这个程序或服务将使用哪一个端口和哪一类型端口，这种情况下可以将这个程序或者服务添加到Windows 防火墙的例外项中以保证它能被外部访问。例如学校的办公系统。 例外选项卡 在高级选项卡中可以配置以下设定： 　　应用在每个网络界面上的连接特定规则 　　安全记录配置 　　全局ICMP规则，通过Internet控制消息协议(ICMP)允许网络上的计算机共享和传递 错误和状态信息。 　　默认设置，可以将所有Windows防火墙设置还原为默认状态。 高级选项卡 启用或禁用Internet控制消息协议（ICMP） ：打开“网络连接”。 单击已启用Internet连接防火墙的连接，然后在“网络任务”→“更改该连接的设置”→单击“高级”→“设置”→“I