网络系统建设与运维 课件 P03-12. 防火墙配置基础.pptx

;

在现代计算机网络的运维过程中，网络安全问题正在变得日益紧要和关键，在各种各样的网络安全事故中，轻则网络瘫痪，重则关键数据丢失，对业务的开展影响巨大（当下企业的业务流正在不断向互联网上转移），然而，绝大多数人并不了解网络安全，也不懂得如何防范，怎么才能保证网络的安全呢？防火墙就是这样的一种设备，他内置了很多安全策略，并且允许用户自行定制各种安全策略，通常他工作在园区网络的出口处，是内部网络和外部网络的连接点，本项目介绍防火墙的入门知识和常用配置。;一、学习目标

1、掌握防火墙的工作原理；

2、掌握防火墙的配置方法。

二、网络拓扑图

;三、环境与设备要求

1、按下列清单准备好网络设备，并依图示搭建网络拓扑图；

;2、为计算机和相关接口配置IP地址；

3、Trust区域和Untrust区域之间能够自由互通；

4、Trust区域能够访问DMZ区域的所有Web服务，不能进行其他通信；

5、Untrust区域只能访问DMZ区域的特定Web服务，不能进行其他通信。

;四、认知与配置过程

1、配置所有设备的接口IP地址

略

2、配置R1和FW1上的默认路由

;3、配置FW1的接口所属区域

注：为方便用户使用，防火墙的G0/0/0口在出厂时已经配置了IP地址，并且被分配至了Trust区域，用户可按需自行修改。

不同区域之间是不能通信的，此时PC1和其他区域的计算机之间不能ping通。

;4、配置Trust和Untrust区域之间的自由互通

;接下来测试Trust区域和Untrust、DMZ区域之间的连通性：

可以看到Trust区域和Untrust区域之间可以正常通信，但和DMZ区域之间不能通信。

5、配置Trust和DMZ区域之间的Web访问

;接下来测试在Trust区域的Web访问：

可以看到在Client2上可以正常地浏览DMZ区域的所有Web服务器。

;接下来测试P1和DMZ区域的ping连通性：

可以看到PC1仍然不能ping通DMZ区域的Web服务器，因为我们的安全策略是仅仅放行http流量。

6、配置Untrust和DMZ区域之间的特定Web访问

;接下来测试在Untrust区域的Web访问：

可以看到在Client1上可以浏览DMZ区域的Server1服务器，但不能浏览Server2服务器，因为我们的安全策略是放行的http流量。;五、测试并验证结果

1、Trust区域和Untrust区域之间的访问控制与预期结果相符。

2、Trust区域和DMZ区域之间的访问控制与预期结果相符。

3、Untrust区域和DMZ区域之间的访问控制与预期结果相符。;六、项目小结与知识拓展

1、防火墙上默认有四个区域，分别是local、trust、untrust、dmz（DemilitarizedZone，隔离区），默认的区域优先级分别为100、85、5、50，本实训用到了trust、untrust、dmz三个区域。默认情况下不同区域间是不可互通的，需要配置区域间的安全策略放行允许通过的流量。

2、任何两个安全区域都构成一个安全域间（Interzone），并具有单独的安全域间视图，大部分的防火墙配置都在安全域间视图下配置。配置了防火墙的功能后，设备对这两个安全区域之间发生流动的数据进行检查。安全域间的数据流动具有方向性，包括入方向（inbound）和出方向（outbound）。

入方向：数据由低优先级的安全区域向高优先级的安全区域传输。

出方向：数据由高优先级的安全区域向低优先级的安全区域传输。;3、防火墙也可充当出口路由设备使用，执行NAT等出口路由相关的操作，下面的配置完成了从trust到untrust区域的NAT配置：;谢谢