联想网御L防火墙技术培训.ppt

防火墙概念介绍 什么是防火墙？ 防火墙概念介绍 什么是防火墙？ 防火墙概念介绍 什么是防火墙？ 防火墙概念介绍 什么是防火墙？ 透明模式 路由模式 混合模式 包过滤技术 包过滤技术 什么是状态检测？ 包过滤技术 状态检测的优点？ 案例1.电子钥匙、证书、串口登录 案例1.电子钥匙、证书、串口登录 1.双击随机光盘ikey driver目录下的 INSTDRV.EXE，自动安装电子钥匙驱动。 切记：安装驱动前不要插入USB 电子钥匙。 案例1.电子钥匙、证书、串口登录 在IE地址栏输入54:8888,等待约十秒 左右, 弹出一个一个对话框提示接受证书，选择接受即可 出现联想网御防火墙登录画面。 案例1.电子钥匙、证书、串口登录 案例1.电子钥匙、证书、串口登录 案例1.电子钥匙、证书、串口登录 导入防火墙证书要导入相对应的IE浏览器证书.在管理主机 本地双击IE浏览器证书，按照提示进行安装，需要输入密 码时输入“hhhhhh”，当出现导入成功后点击确定完成。 案例1.电子钥匙、证书、串口登录 当防火墙与IE证书均导入成功后，我们在管理主机打开IE 浏览器并输入https:// 54:8889，出现选择证书提示后点击“确定”画面。 案例1.电子钥匙、证书、串口登录 案例2.透明接入 案例2.透明接入 案例2.透明接入 案例2.透明接入 案例2.透明接入 案例2.透明接入 案例2.透明接入 案例2.透明接入 案例2.透明接入 案例2.透明接入 案例2.透明接入 案例3.路由/NAT模式 案例3.路由/NAT模式 案例3.路由/NAT模式 案例3.路由/NAT模式 案例3.路由/NAT模式 案例3.路由/NAT模式 网络地址转换NAT为IETF定义标准，用于允许专用网络上的多台PC共享单个、全局路由的IPv4地址IPv4地址日益不足是经常部署NAT的一个主要原因。 另外网络地址转换NAT经常作为一种网络安全手段使用，安全域内的机器通过NAT设备后源地址被重新封装，起到一定屏蔽内网作用。 案例3.路由/NAT模式 案例3.路由/NAT模式 案例3.路由/NAT模式 案例3.路由/NAT模式 案例3.路由/NAT模式 案例4.静态路由 案例4.静态路由 案例4.静态路由 案例4.静态路由 案例5.IP映射、端口映射 案例5.IP映射、端口映射 网 络 拓 扑 图 案例5.IP映射、端口映射 案例5.IP映射、端口映射 案例5.IP映射、端口映射 案例5.IP映射、端口映射 案例5.IP映射、端口映射 案例5.IP映射、端口映射 案例6.包过滤策略 案例6.包过滤策略 案例6.包过滤策略 案例6.包过滤策略 案例6.包过滤策略 案例6.包过滤策略 案例6.包过滤策略 案例6.包过滤策略 案例6.包过滤策略 案例6.包过滤策略 案例6.包过滤策略 案例6.包过滤策略 案例6.包过滤策略 案例6.包过滤策略 案例7.DHCP功能 案例7.DHCP功能 案例7.DHCP功能 案例7.DHCP功能 案例7.DHCP功能 案例7.DHCP功能 案例7.DHCP功能 安全策略：过滤规则 会话连接状态缓存表 状态检测包过滤防火墙 符合 不符合 符合 状态检测包过滤检测机制 丢弃 下一步 处理 IP数据包 检测包头 案例8.包过滤策略 包过滤策略 C: S: fe1 fe2 Cilent A Server B 包过滤案例配置需求： 上图为一个只有两个网段的小型局域网 服务器开放http服务。 允许工作站访问服务器的http服务； 禁止工作站访问服务器其它服务。 默认全通 包过滤策略 包过滤策略 包过滤策略 规则按照从上到下的顺序进行匹配。 没有明确允许的数据包都会被禁止。 预先定义地址对象、服务对象，在包过滤规则中引用。 尽量合并同类规则，保持规则数量500以内。 时间调度是让安全规则在指定的时间段内为生效状态，在其它时间段为失效状态。 可选内容包括：“资源时间时间列表”和“资源时间时间组”中定义的所有资源。 包过滤—时间调度 包过滤—时间调度 包过滤—时间调度 至此，时间调度服务已经定义完毕。可根据需要在包过滤规则中引用。 对满足条件的数据包所在的连接进行用户认证检查，如果通过检查让该包通过，如果该连接的发起端，不启动客户端到防火墙上进行认证，或者没有通过认证则丢弃该包。 包过滤—用户认证 包过滤—用户认证 包过滤—用户认证 包过滤—用户认证 至此，用户认证服务已经定义完毕。可根据需要再包过滤规则中引用。 包过滤—用户认证 至此，