防火墙系统概览.ppt

防火墙系统介绍 CCM-16：设备调试控制器，1U机架式。16个RJ45串行通信口， 2个10/100M以太网口，其中每个网口和串口都有独立的数据收发指示灯。 CCM-16的每个串口通过连接线与各个网络设备的console口相连。CCM再通过网口和中心交换机相连。如下图： 这样学生在通过console口调试网络设备的时候不必手动插拔控制线。只需要通过CCM-16即可登录到每台设备。登录方式：TELNET “CCM的IP地址” “CCM的端口号”。 CCM地址分配及对应端口： 例如登陆第一实验组的第一台设备：telnet 4 1001。每组的设备与CCM的对应关系（以第一组为例）： 学生实践 学生了解机房的网络构架，通过CCM登录本组各种设备，画出机房网络拓扑，并记录登录设备情况。 * * LOGO 防火墙的基本原理 防火墙是在本地网与外部网之间的界面上构筑的保护层，保护内部网不受外部非法用户的攻击，是一个或一组网络设备。 外部网络 内部网络 防火墙主要技术--包过滤 建立在网络层及传输层上，按源IP、目的IP、协议类型、端口号进行过滤。 允许符合安全规则的数据包通过，阻止非法数据包。 外部合法数据与内部网络近似直接通信。 速度快、费用小、对应用层数据安全防范能力低。 防火墙特点 内网、外网、DMZ区域 灵活的地址转换，静态、动态、网络、端口 可以实现负载均衡 基于端口的访问策略 日志策略灵活 灵活的VPN配置方案 SSL VPN IPSec VPN L2TP/PPTP 防火墙的缺点 无法防止来自网络内部的攻击 统计表明，大多数攻击来自网络内部 典型应用环境 INTERNET 业务楼 DCS-3950S 3台堆叠 办公楼 DCS-3950S 2台堆叠 保管楼 DCS-3926S 内部服务器 对外WEB/EMAIL服务器 核心交换机 DCFW-1800S-H防火墙 实验环境--C502机房设备操作 名称 IP地址 端口号 第一组CCM 4 1001-1010 第二组CCM 4 2001-2010 第三组CCM 04 3001-3010 第四组CCM 44 4001-4010 第五组CCM 84 5001-5010 第六组CCM 24 6001-6010 名称 型号 对应端口 防火墙1 DCFW-1800S-H-V2 1001 防火墙2 DCFW-1800S-H-V2 1002 防火墙3 RG-WALL-50 1003 路由器1 DCR-2659 1004 交换机1 DCRS-5950-28T 1005 交换机2 DCS-3950-28C 1006 交换机3 DCS-3950-28C 1007 统一威胁管理系统1 DCFW-1800S-H-UTM 1008 网络入侵检测系统1 DCNIDS-1800-M3 1009 无线控制器 DCWL-ZD-1006 1010 防火墙使用与操作 1、初始维护环境搭建 缺省出厂时防火墙Eth0/0接口IP为/24 可将管理主机IP配置为/24网段IP与防火墙eth0/0接口相连，通过WEB登陆防火墙管理界面 在浏览器地址栏中输入以下两种URL均可 --- 经过SSL加密推荐使用 缺省登陆 用户名：admin 密 码：admin 2、控制台管理——接口配置 DCFW-1800(config-if-eth0/1)# zone untrust --将接口添加到安全域中 DCFW-1800(config-if-eth0/1)# ip address /24 --为接口配置IP地址 DCFW-1800(config-if-eth0/1)# manage http --对该接口启用http管理服务 DCFW-1800(config-if-eth0/1)# manage https --对该接口启用https管理服务 DCFW-1800(config-if-eth0/1)# manage telnet --对该接口启用telnet管理服务 DCFW-1800(config-if-eth0/1)# manage ssh --对该接口启用ssh管理服务 DCFW-1800(config-if-eth0/1)# manage ping --该接口允许ping DCFW-1800(config-if-eth0/1)# manage ip --为接口指定管理IP （可选） 建议仅仅开放需要的管理服务，推荐WEBUI采用https，CLI采用SSH * * *