12防火墙配置介绍分析.ppt

学习目标 了解防火墙的原理 了解防火墙的特性 了解防火墙的日常维护 防火墙的初步认识 类似于建筑大厦中用于防止火灾蔓延的隔断墙，防火墙是一个或一组实施访问控制策略的系统，它监控可信任网络（相当于内部网络）和不可信任网络（相当于外部网络）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。 为什么要有防火墙？ 同路由器相比,防火墙: 1.提供了更丰富的安全防御策略 2.提高了安全策略下数据报转发速率 3.提供了更加丰富的安全日志功能 Eudemon防火墙上保留四个安全区域： 非受信区（Untrust）：低级的安全区域，其安全优先级为5。 非军事化区（DMZ）：中度级别的安全区域，其安全优先级为50。 受信区（Trust）：较高级别的安全区域，其安全优先级为85。 本地区域（Local）：最高级别的安全区域，其安全优先级为100。 此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。 根据访问控制列表的用途，E500常用ACL有两类： 基本ACL，ACL NUMBER位于2000-2999之间。 高级ACL，ACL NUMBER位于3000-3999之间。 基本访问控制列表的ACL NUMBER位于2000-2999之间。 基本访问控制列表只使用源地址描述数据，表明是允许还是拒绝。 高级访问控制列表的ACL NUMBER位于3000-3999之间。 高级访问控制列表使用协议号、源地址、目的地址、源端口、目的端口描述数据，表明是允许还是拒绝。 一个例子： Acl 3001 rule 0 deny source 1.1.0.0 0.0.255.255 rule 5 deny source 1.1.1.0 0.0.0.255 ACL 3001 [AUTO/CONFIG] 一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：auto和config指定匹配该规则时按用户的配置顺序 。 规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。 rule 0 deny source 1.1.0.0 0.0.255.255 rule 5 deny source 1.1.1.0 0.0.0.255 两条规则结合则表示禁止一个大网段（1.1.0.0）上的主机但允许其中的一小部分主机（1.1.1.0）的访问 规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。 firewall packet-filter default { permit | deny } { { all | interzone zone1 zone2 } [ direction { inbound | outbound } ] } 小结 防火墙在网络中的地位无可替代。 防火墙逻辑上将网络进行区域划分，每个接口必然属于某一个区域。 防火墙的安全防护主要依靠ACL 。 针对目前各种网络攻击及病毒的特性，防火墙具有网络攻击防护功能，并且需要厂家不断完善。 * 中国电信股份有限公司广东研究院 用户至上 用心服务 追求卓越 科技报国 防火墙原理及配置 中国电信股份有限公司广东研究院 学习完本课程，您应该能够： 内容概要 第一章 防火墙原理 第二章 防火墙配置 Internet Intranet 数据流监控 路由器也有ACL的功能，为何要有防火墙？ 防火墙如何实现安全防护？ 防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域。 Local区域 Trust区域 DMZ区域 UnTrust区域 接口1 接口2 接口3 接口4 防火墙区域定义 域间的数据流分两个方向： 入方向（inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向； 出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。 Local区域 Trust区域 DMZ区域 UnTrust区域 接口1 接口2 接口3 接口4 In Out In Out In Out In Out 防火墙数据流向的定义 S3528G-b S3528G-a NE40-a E500-b SoftX3000 MRS SHLR UMG SG CN2 现网区域规划 E500-a NE40-b TRUST区域 UNTRUST区域 防火墙安全防护的关键——”ACL” ACL：访问控制列表 什么是访问控制列表？ 五虎将 协议号 源地址 目标地址 源端口 目的端口 如何定义ACL？ 创建ACL的两个基本步骤： 进入ACL视图：acl [ number ] 配置ACL规则：rule [ rule-id ] { permit | deny } [ source { sour-address sour-wildcard | any }