思科防墙.docVIP

基本防火墙功能配置 实验目的： 深入理解防火墙的原理及相关概念，掌握包过滤技术的应用，熟悉包过滤技术的配置过程。 能利用相关的工具及软件正确在路由器上基于包过滤技术的防火墙功能。 对访问控制列表及NAT技术的配置标准且规范。 能够采用正确的方法对ACL与NAT配置结果进行检查，并能说明检查结果。 实验要求： 学习防火墙的基本概念、原理与功能相关的知识。 能在路由器上配置最基本的防火墙功能。 学会包过虑防火墙的原理与配置，能利用企业现有路由器配置ACL与NAT等功能，在尽可能最小的经济投入下实现对企业网络的基本防护。 实验工具与软件： 硬件路由器或PacketTracer5软件（可用路由器模拟软件DynamipsGUI替代）、实际路由器配置中的工具软件； E4_PTAct_7_5_1的PKA文件； VM。 实验原理： 图 1任务分解图 1、防火墙的基本介绍 随着网络应用的快速发展和对网络的依赖，企业网络及个人主机的安全受到挑战。各种企图的网络攻击层出不穷，这可能给企业造成巨大的经济损失，这也就促进了防火墙技术的不断发展。那么，什么是防火墙呢？防火墙的概念源引自建筑业，防火墙是用于防止一侧起火而引起另一侧起火而设置的一道屏障。网络中的防火墙是安放于两个不同信任级别的网络之间的一个策略检查站，一般防火墙安放于企业内部网络和外部网络（互联网）之间，用以实施事先制定好的检查策略与安全防护动作。可以把防火墙比喻成企业或校园的大门入口负责对进出的人员或车辆进行检查并实施有效的拦截的保卫人员。 一般防火墙是由软件和硬件组成的，并能对所有进出网络的通信数据流按规定策略进行检查、放行或拦截。在防火墙的部署上要求将其放置于网络关键入口处以保证进出网络的全部数据流量能够流经防火墙。所有通过防火墙的数据流都必须有安全策略和计划的确认和授权。一般认为防火墙是穿不透的，但是由于其自身的漏洞或缺陷也是可能被攻击的。例如目前多数使用中的防火墙还很难防御DDoS等攻击。下图为企业网络对防火墙的布置，防火墙位于企业内部所有主机通往外部网络的主干上，是必经的检查站，对由内到外或由外到内的访问的检查与控制。 防火墙路由器 防火墙 路由器 LAN WAN 交换机 内部网络 外部网络 互联网 图 2 防火墙是在网络安全管理中较常用的一种高级访问控制设备，它被置于不同信任区域之间，它可以是硬件的防火墙设备、可以是具有防火墙功能的路由器、具有防火墙功能的主机等，不同信任区域间的数据流在设计上要求必须流经防火墙，这样才能利用防火墙进行控制，也就是说防火墙是两个信任区域的唯一数据通道。通过对防火墙的配置及企业网络的访问策略加以控制（允许、拒绝、监视、记录）进出网络或网络之间的互相访问行为。如图所示。最基本的也是最原始防火墙主要是针对网络协议的三层和四层信息加以检查，如对TCP/IP协议来说，可以根据：源IP（主机或网络地址）、目的IP（主机或网络地址）、源端口、目的端口、协议号等进行检查与控制。例如：下表对两个区域的控制。 NET1信任区 NET1 信任区1 NET2 信任区2 S1 P1 A B C S2 P2 D E F 图 3 2、防火墙基本功能 防火墙是在两个网络之间（或主机到网络之间）执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被侵入或攻击，是将内部网和公共网分隔的特殊网络互连设备，能够完成网络用户访问控制、认证服务、数据过滤，限制内部用户访问某些站点等功能。本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。它是网络边界上访问控制设施。根据预先定义的策略控制穿过防火墙的信息流通。 网络防火墙的工作任务主要是设置一个检查站，监视、过滤和检查所有流经的协议数据，并对其执行相应的安全策略，如阻止协议数据通过或禁止非法访问，能有效地过滤攻击流量。另外防火墙应该通过对网络的访问行为进行记录，即进行日志记录，同时也提供审计功能，完成对对网络使用情况的数据惧、统计与监视功能。防火墙通过NAT等技术完成对内部网络信息，如关键主机的IP及开启的服务等信息的隐藏与保护，使内部网络不暴露于外网。防火墙通过设置的DMZ接口，提供企业网络服务的对内外同时开放以发部企业的部分资源与信息，如对外提供的Web、FTP或Email等服务。 DMZ一般称之为非军事化区，对于防火墙的DMZ口所连接的部分，一般称这之为服务器群或服务器区，防火墙也可以进行策略的检查与控制，只允许对特定的服务端口的访问进入，如只开放Web服务则仅对内部服务访问的目的端口为80时才允许。 3、设置防火墙的目的 总体来说防火墙是网络安全的屏障、是一个安全策略的检查站、能强化网络安全策略、能有效地记录因特网