M14控制与防御网络行为安全.doc

M14-2 提高企业网络行为控制与防御 1教学目的与要求 1.1 教学目的 学生通过该能力模块的学习,能够独立完成整个企业网的行为控制内容和基本的防御能力。 1.2 教学要求 1.教学重点 配置防火墙设备：重点讲解防火墙的工作原理和种类。防火墙操作时候与路由器的区别。 配置VPN设备：帮助学生掌握如何配置VPN设备。 2.教学难点 防火墙与路由器的区别：学生往往很难理解两者从工作原理上的区别。 2 本能力单元涉及的知识组织 2.1本能力单元涉及的主要知识点 1、配置防火墙设备 2、配置VPN设备 2.2本能力单元需要解决的问题 1、按照项目的需求，掌握防火墙的配置； 2、按照项目的需求，掌握VPN的配置； 3 核心技术和知识的理解 3.1 防火墙 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成， 3.2 防火墙功能 防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。 防火墙是网络安全的屏障： 一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 防火墙可以强化网络安全策略： 通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。 3.3 VPN VPN可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，在交换机，防火墙设备或Windows 2000等软件里也都支持VPN功能。 4 实施过程指导 4.1 配置防火墙设备 第一步：配置防火墙基本参数 如拓扑图所示添加各接口的ip地址。 图14-1 添加g1ip地址 添加ge2接口的ip地址。如图14-2所示： 图14-2 添加g2ip地址 添加ge3接口的ip地址。如图14-3所示： 图14-3 添加g3ip地址 全部添加完成后的接口ip地址如图14-4所示： 图14-4 ip添加完成结果 第二步：配置访问控制 如图所示，我们希望员工随时都可以访问公司服务器的web服务和ftp服务。但是不能访问服务器上运行的其他服务。员工在工作期间可以自由的访问外网。 首先添加允许公司内网访问服务器的ftp服务。点击【安全策略】-【安全规则】-【添加】。 图14-5 允许访问ftp服务 添加允许公司内网访问服务器的web资源。 图14-6 允许访问web服务 继续添加允许远程内网访问服务器上的ftp资源。 图14-7 允许拨号用户访问ftp服务 添加允许远程内网访问服务器上的web资源。 图14-8 允许拨号用户访问web服务 接着添加拒绝公司内网访问服务器的其他资源。 图14-9 拒绝访问其他资源 添加拒绝远程内网访问服务器上的其他资源。 图14-10 拒绝拨号用户访问其他资源 最后为了统计方便，我们添加一条允许所有的条目，放在列表的最后。 图14-11 允许其它所有访问 全部添加完成后的结果如图14-12所示： 图14-12 最终结果 第三步：配置防火墙URL过滤 配置需要过滤的URL列表。用于禁止员工在工作