网络设备配置与管理与防火墙及其基本配置范例.ppt

6.4 端口NAT配置 端口NAT配置（略） 6.5 TCP负载均衡的配置 TCP负载均衡的配置（略） 防火墙及其基本配置 防火墙概述 1.1 防火墙概述 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。 典型的防火墙建立在一个服务器或主机的机器上，也称为“堡垒主机”，它是一个多边协议路由器。这个堡垒主机连接两个网络，一边与内部网相连，另一边与因特网相连。 1.防火墙的发展 2.防火墙的功能 防火墙通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理，防止外部网络不安全的信息流入内部网络和限制内部网络的重要信息流到外部网络。 （1）保护网络的安全性功能 （2）网络监控审计功能 （3）屏蔽内网信息外泄功能 （4）NAT和VPN 3.防火墙的缺陷 1.2 防火墙的分类 1.按组成结构分类 （1）软件防火墙 （2）硬件防火墙 （3）芯片级防火墙 2.按防火墙的技术原理分类 （1）包过滤防火墙 （2）代理防火墙 ①应用层网关防火墙 ②电路层网关 （3）状态监视防火墙 1.3 防火墙的体系结构 1.屏蔽路由器(Screening router)结构 2.双穴主机网关(Dual Homed Gateway)结构 3.屏蔽主机网关(Screened Host Gateway)结构 4.屏蔽子网(Screened Subnet)结构 2. 防火墙的相关产品及其选购 9.2.1 防火墙相关产品 1.软件防火墙—Check Point Firewall Software Blade 2.硬件防火墙—Cisco PIX Firewall 520 3.芯片级硬件防火墙——方正方通防火墙 2.2 防火墙的选购策略 1.安全性 2.性能 3.管理 4.适用性 5.售后服务 2.3 防火墙的发展趋势 （1）多功能 （2）防病毒 （3）灵活的代理系统 （4）简化的安装与管理 （5）多级的过滤技术 （6）Internet网关技术 （7）安全服务器网络(SSN) （8）审计和告警 3. IP访问列表的配置 9.3.1 访问列表概述 （1）IP访问控制列表(IP access lists) IP访问控制列表用于过滤IP报文，包括TCP和UDP。它可细分为标准IP访问控制列表和扩展IP访问控制列表。 标准IP访问控制列表（Standard IP access lists）只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。 扩展IP访问控制列表（Extended IP access lists）不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。 （2）现代访问控制列表 现代访问控制列表是在IP访问控制列表的基础上实现的灵活性更大的ACL列表方式。它包括动态访问控制列表、基于时间的访问控制列表、自反的访问控制列表和基于命名的访问控制列表。 3.2 标准IP访问列表的配置 1.标准IP访问列表的配置命令 （1）定义标准ACL命令 Firewall(config)#access-list [list number] {permit|deny} {host/any} [source address] [wildcard-mask] [log] 下面对标准IP访问表基本格式中的各项参数进行解释： ①list number：即表号范围，标准IP访问表的表号标识范围是1～99。 ②permit/deny：允许或拒绝，关键字permit和deny用来表示满足访问表项的报文是允许通过接口，还是要过滤。permit表示允许报文通过接口，而deny表示匹 配标准IP访问表源地址的报文要被丢弃。 ③source address：源地址，对于标准的IP访问列表，源地址是主机或一组主机的点分十进制表示，如：0。 ④host/any：主机匹配，host和any分别用于指定单个主机和所有主机，其中host表示一种精确的匹配，其屏蔽码为。any是源地证/目标地址/55的简写。 ⑤wildcardmask：通配符屏蔽码，Cisco访问表功能所支持的通配符屏蔽码与子网掩码的方式是刚好相反的，也就是说，二进制的0表示一个“匹配”条件，二进制的1表示一个“不匹配”条件。