實驗6封包過濾功能設定與操作.pptVIP

架設防火牆監控與管理網路封包 國立雲林科技大學 自由軟體研發中心 國立雲林科技大學 自由軟體研發中心 國立雲林科技大學 自由軟體研發中心 交換器/路由器/防火牆 之封包過濾功能設定與操作 國立雲林科技大學 自由軟體研發中心 交換器/路由器/防火牆 之封包過濾功能設定與操作 國立雲林科技大學 自由軟體研發中心 交換器/路由器/防火牆 之封包過濾功能設定與操作 實驗 6：交換器/路由器/防火牆之封包過濾功能設定與操作 實驗 6：交換器/路由器/防火牆 之封包過濾功能設定與操作 * 前言 前言 確保中小型的區域網路的安全性，可以利用交換器、路由器、防火牆等設備來達到，本章將介紹如何設定交換器/防火牆上相關的過濾機制，以下為本實驗主要的網路架構。 Web Server Public IP : 9 Outside 9 Inside Cisco Switch 3560 DMZ VLAN 2 VLAN 3 Cisco ASA 5520 VLAN 4 Internet * scenario Scenario 本實驗的網路架構模擬一個中小型的區域網路，對中小型的企業而言，我們可以使用交換器劃分出VLAN2、3、4，將VLAN2、3、4做為每個部門的區隔，企業對外的網頁伺服器置放於DMZ的區域中。網路管理者可以針對交換器及防火牆來阻隔網路攻擊並且管理使用者的網路行為。 Web Server Private IP：0 Public IP : 9 Outside 9 Inside Cisco Switch 3560 DMZ 會計部門 VLAN 2 研發部門 VLAN 3 Cisco ASA 5520 管理部門 VLAN 4 Internet 實驗 6：交換器/路由器/防火牆 之封包過濾功能設定與操作 Firewall Interfaces Firewall Interfaces 設定 防火牆基本可以劃分為三種區域。網路管理者規劃網路時可以依據這三種介面來區分安全性。 Outside 防火牆唯一對外的出口。本範例中將此介面ip設為9。DMZ與Inside都必須經由此介面進出。 DMZ 企業對外公開的資訊規劃在此區域，例如，Web Server或是Mail Server 等等。Ip設為0 Inside 為防火牆三種介面中，安全性最高的位置，防火牆將嚴格檢視要進入Inside區域的封包。Ip設為。 Security level level數值越高，表示安全性越高，Security level另一個代表的意義是當封包由level高的地方流向低的level，防火牆會允許通過，反之當封包由level低的流向level高的地方時，防火牆將會deny掉其封包。 通常Outside設為0、DMZ為50、Inside為100，本實作遵循此設定。 * Inside IP address： Security level ：100 DMZ IP address ：0 Security level ：50 Outside IP address：9 Security level：0 Firewall 介面設定 實驗 6：交換器/路由器/防火牆 之封包過濾功能設定與操作 Firewall Interfaces 設定 Firewall 介面設定 在此實驗中，防火牆設定的部分將採用ASDM來做設定。在使用ASDM之前，建議使用Command Line Interface (CLI) 的方式先將介面的IP位址設定好。其餘設定皆可使用ASDM完成。 CLI設定 使用CLI設定IP位址方式如下： 進入欲設定的界面 ciscoasa(config)#interface int_num 設定介面名稱 ciscoasa(config-if)#nameif name 設定介面位址 ciscoasa(config-if)#ip add ip_add netmask 設定security-level ciscoasa(config-if)# security-level value * 設定防火牆介面 實驗 6：交換器/路由器/防火牆 之封包過濾功能設定與操作 Firewall Interfaces 設定 Firewall 介面設定 ASDM對於指令不熟的管理者實為一大福音，圖形化的介面確實讓管理者感覺相當親切，但是對於初學者而言，還是要從指令入門會好些，否則依然會對這複雜的功能弄得眼花撩亂。 使用ASDM設定介面 1.先進入Configuration模式下 2.選擇Device Setup 3.選擇Interfaces 以上步驟達成之後，就可以看到主畫面窗格出現目前的介面選項，接著在主窗格的右邊