防火墙培训20160512终稿.pptx

防火墙基本概念及营业部常用配置 网络安全组 2016.05 一、什么是防火墙 二、防火墙的分类 三、营业部防火墙常用配置介绍 一、什么是防火墙 防火墙作为一种访问控制技术，通过严格控制进出网络边界的分组，禁止任何不必要的通信，从而减少潜在入侵的发生，尽可能降低这类安全威胁所带来的安全风险。它是一种位于内部网络与外部网络之间的网络安全系统，依照特定的规则，允许或是限制传输的数据通过。 作为网络边界设备，防火墙是阻止入侵行为的第一道防线，但是防火墙并不能防病毒，与防病毒类产品有本质上的区别。 二、防火墙的分类 1.从物理形态上，防火墙分为硬件防火墙和软件防火墙。 硬件防火墙是通过硬件和软件的组合来达到隔离内外部网络的目的。软件防火墙一般寄生在操作系统平台，是通过纯软件的的方式实现隔离内外部网络的目的。 目前硬件防火墙比较主流的厂商是cisco、Juniper、H3C等；绝大部分杀毒软件都带有防火墙功能，国内如天网、瑞星、江民等，国外如ZoneAlarm、pc tools firewall plus等。 硬件防火墙是流行趋势，相比软件防火墙除成本外很有优势。 性能优势。 CPU占用率的优势。 售后支持。 2.从技术上防火墙分为数据包过滤型防火墙和应用网关（代理服务型）防火墙。 数据包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。应用网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。 三、营业部防火墙常用功能及配置介绍 1、基本概念： ①区域划分： 将私有地址转换为公有地址使数据包能够发到因特网上，同时从因特网上接收数据包时，将公用地址转换为私有地址。 静态NAT：一对一 NAT池：多对多 PAT：多对一 主要用途：1、扩充地址；2保护内部主机，避免外部攻击。 ②地址转换（NAT）： 访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。这些指令列表用来告诉防火墙哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。 办公网禁止交易ACL ③访问控制列表（Access Control Lists,ACL）： 静态路由是由管理员在路由器中手动配置的固定路由，路由明确地指定了包到达目的地必须经过的路径，除非网络管理员干预，否则静态路由不会发生变化。静态路由不能对网络的改变作出反应，所以一般说静态路由用于网络规模不大、拓扑结构相对固定的网络。 静态路由特点 1、它允许对路由的行为进行精确的控制； 2、减少了网络流量； 3、是单向的； 4、配置简单。 ④静态路由和动态路由： 动态路由是网络中的路由器之间相互通信，传递路由信息，利用收到的路由信息更新路由器表的过程。是基于某种路由协议来实现的。常见的路由协议类型有：距离向量路由协议（如RIP）和链路状态路由协议（如OSPF）。 动态路由特点： 1、无需管理员手工维护，减轻了管理员的工作负担。 2、占用了网络带宽。 3、在路由器上运行路由协议，使路由器可以自动根据网络拓朴结构的变化调整路由条目。 2、通用配置 enable //进入特权模式 configure terminal //进入全局配置模式 write earse?startup-config //清除交换机配置 Write //保存配置 reload //重启 show running-config //查看当前配置 show?int?g0/1? //查看接口信息 show version //查看IOS版本信息 show flash //查看闪存中的文件 ciscoasa(config)#?hostname?asa5505