项目6网络安全防护.ppt.ppt

安装数字证书 锐捷防火墙证书默认密码为123456，按要求输入相应的对话框，然后点击“下一步”继续。 安装数字证书 安装数字证书 登录防火墙 将PC终端的IP地址设为00。然后再pc终端的网页浏览器中输入00:6666(数字证书认证方式) 在登陆界面当中输入用户名“admin”，密码默认输入 “firewall”，进入图6-31的防火墙首页面。 设置LAN口的工作模式 将其中的LAN口的工作模式由防火墙接口出厂默认为“路由模式”为“混合模式”。 添加包过滤规则 在“安全策略-安全规则”中添加包过滤规则 添加包过滤规则 包过滤规则生效 添加包过滤规则 通过反复打开与关闭包过滤规则来验证规则是否生效 相关知识与技能 防火墙的工作模式 防火墙连接区域 包过滤技术 应用代理技术 状态监视技术 防火墙的工作模式 网桥模式（透明模式） 网桥模式（又名透明模式），顾名思义，首要的特点就是对用户是透明的(Transparent)，即用户意识不到防火墙的存在。要想实现透明模式，防火墙必须在没有 IP地址的情况下工作，不需要对其设置IP地址，用户也不知道防火墙的IP地址。 路由模式 路由模式的防火墙就像一个路由器，对进入防火墙的数据包进行路由，而且可以基于规则对数据进行过滤。 防火墙连接区域 防火墙连接网络的不同区域，针对不同的区域实施相应的保护策略，连接区域可分为： 内部网络 外部网络 DMZ区域 按实现的技术原理来划分，防火墙技术可以划分为3种类型:包过滤技术、应用代理技术和状态检测技术。 包过滤技术 包过滤是最早使用的一种防火墙技术，它的第一代模型是“静态包过滤”（Static Packet Filtering） ，使用包过滤技术的防火墙通常工作在 OSI 模型中的网络层（Network Layer）上，后来发展更新的“动态包过滤”（Dynamic Packet Filtering）增加了传输层（Transport Layer）简而言之，包过滤技术工作的地方就是各种基于 TCP/IP 协议的数据报文进出的通道，它把这两层作为数据监控的对象，对每个数据包的头部、协议、地址、端口、类型等信息进行分析，并与预先设定好的防火墙过滤规则（Filtering Rule）进行核对，一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候，这个包就会被丢弃。 应用代理技术 “应用代理”是比包过滤技术更完善的防火墙技术。 “应用协议分析”技术工作在 OSI 模型的最高层——应用层 代理型防火墙的最大缺点代理防火墙是以牺牲速度为代价换取更高的安全性能，数据在通过代理防火墙时容易发生数据迟滞现象 状态监视技术 通过一种被称为“状态监视”的模块，在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测，并根据各种过滤规则作出安全决策。 “状态监视”（Stateful Inspection）技术在保留了对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上，进一步发展了“会话过滤”（Session Filtering）功能 由于状态监视技术相当于结合了包过滤技术和应用代理技术，因此是最先进的，但是由于实现技术复杂， 在实际应用中还不能做到真正的完全有效的数据安全检测，而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施 任务三 防火墙路由模式安装与配置 任务描述 任务分析 方法与步骤 相关知识与技能 任务描述 育才中学的出口设备原为路由器，现需要对网络出口设备进行更新，准备使用防火墙。要求对防火墙进行配置，启用NAT功能，使得学校内网所有主机都能够访问Internet。 任务分析 针对需求，需要防火墙运行在“路由模式”下，这样可以利用NAT将内网私有地址映射为外网公有地址，同时，可以实现内网所有主机对Internet的访问。 此任务需要掌握防火墙路由模式下NAT的配置，并且防火墙上设置一些包过滤规则，严格控制非法数据流的通过，只允许合法的数据通过。同时验证路由模式下配置的有效性。理解防火墙路由模式的原理及应用环境。 方法与步骤 实验设备 锐捷RG-WALL60防火墙一台、锐捷S3760三层交换机一台、PC两台。 实验拓扑 方法与步骤 交换机配置步骤见教材 防火墙配置如下 登录防火墙 设置端口IP地址 方法与步骤 完成端口IP地址设置 方法与步骤 配置NAT规则 方法与步骤 NAT规则生效 方法与步骤 添加静态路由 方法与步骤 静态路由生效 相关知识与技能 NAT技术 NAT技术的产生 NAT技术的作用 NAT技术实现方式 NAT的局限性 NAT技术 NAT（Network Address Translation，网络地址转换）是将IP 数据包头中的IP