第10章_防火墙1(免费阅读).pptVIP

本课内容 入侵检测系统概念 关于防火墙的几个概念 堡垒主机： 一种被强化的可以防御进攻的计算机 被暴露于因特网之上，作为进入内部网络的一个检查点 把整个网络的安全问题集中在堡垒主机上解决，从而省时省力 堡垒主机是网络中最容易受侵害的计算机 通常有两块网卡：分别连接内网和外网 通常配置网关服务 筛选路由器模型 筛选路由器模型实施包过滤。 优点：速度快、实现方便 缺点：不能够隐藏内部网络的信息、不具备监视和日志记录功能。 单宿主堡垒主机模型 由包过滤路由器和堡垒主机组成。把屏蔽路由器加到内部网络上并使主机远离Internet 实现网络层安全（包过滤）和应用层安全（代理服务） 优点：安全等级比包过滤防火墙系统要高 缺点：增加成本和降低了性能 双宿主堡垒主机模型 双宿主堡垒主机有两种网络接口，但是主机在两个端口之间直接转发信息的功能被关掉了。 在物理结构上强行将所有去往内部网络的信息经过堡垒主机。 屏蔽子网模型 由两个包过滤路由器和一个堡垒主机组成 定义了“中立区”(DMZ，Demilitarized Zone)网络后，它支持网络层和应用层安全功能 将堡垒主机、信息服务器、Modem组，以及其它公用服务器放在DMZ网络 创建防火墙的步骤 第一步：制定安全策略 内部员工访问互联网的限制 外网访问内部网的策略 进入公网的数据加密策略 创建防火墙的步骤 第二步：搭建安全体系结构 安全策略转化为安全体系结构 对外服务器的配置 DMZ的设置 创建防火墙的步骤 第三步：制定规则次序 规则先后的次序决定防火墙的功能 防火墙顺序检查规则，一旦匹配，则停止检查并执行这条规则。 创建防火墙的步骤 第四步：落实规则集（12方面） 切断默认 允许内部出网 添加锁定 丢弃不匹配的信息包 丢弃并不记录 允许DNS访问 允许邮件访问 允许WEB访问 阻塞DMZ 允许内部的POP访问 强化DMZ的规则 允许管理员访问 创建防火墙的步骤 第五步：注意更换控制 规则变动是注释中记录信息 规则更改者的名字 规则变更的日期和时间 规则变更的原因 第六步：审计工作 创建防火墙的步骤 规则变动是注释中记录信息 规则更改者的名字 规则变更的日期和时间 规则变更的原因 路由器使用ACL处理数据包的过程 访问控制列表（ACL）分类 标准IP ACL ： 只对数据包的源IP地址进行检查 其列表号1-90或1300-1999。 扩展IP ACL ： 对数据包的源和目标IP地址进行检查 源和目标端口号 其列表号100-199或2000-2699 访问控制列表命令格式 标准IP ACL Access-list Access-list-number (deny/permit) source-address [source-wildcard] 扩展IP ACL Access-list Access-list-number (deny/permit) protocol source-address source-wildcard [operator port] destination-address destination-wildcard [operator port] [established] [log] ACL配置实例：允许一个源通信量通过 Permitting Traffic from Source Network access-list 1 permit 55 interface ethernet 0 ip access-group 1 out interface ethernet 1 ip access-group 1 out ACL配置：外网只能访问WEB不能访问FTP access-list 110 permit 55 host 3 eq 21 access-list 110 permit 55 host 3 eq 20 access-list 110 deny any host 3 eq 21 access-list 110 deny any host 3 eq 20 access-list 110 permit any host 3 eq 80 interface ethernet 1 ip access-group 110 out PIX防火墙的配置 1、基本配置 1）连接到PIX (1) 用串行电缆PC连到CONSOL口 (2) 仿真终端连到PC的COM (3) 打开PIX，显示非特权模式 Pixfirewall (4) 键入enable，输入密码（最初无密码）进入特权模式 Pixfirewall# PIX防火墙的配置 （5）进入配置模式，设置启动密码； Pixfirewall#configure terminal Pixfirewa