防火墙分类与基本配置

防火墙分类与基本配置□通过本项目训练，正确理解防火墙概念及基本原理，掌握防火墙配置技能，具体如下：（1）了解防火墙定义及应用（2）掌握防火墙配置方法2.工作任务□根据客户具体要求，完成防火墙相应配置，实现局域网安全设置。网络防火墙的相关问题•为什么需要网络防火墙？•网络防火墙会长久存在吗？•什么是网络防火墙的基本功能？•网络防火墙是否真正具有安全防范作用？•网络防火墙还有什么不足？1.网络防火墙基本概念•网络防火墙定义•网络防火墙特征•网络防火墙部署结构•网络防火墙分类•网络防火墙自身安全性网络防火墙定义•从理论上定义，防火墙是限制数据在网络之间自由传递的控制系统，它是网络安全系统中一种访问控制系统。•在实际应用中，防火墙是限制数据在企业内部网络、企业外部网络以及公共互联网之间自由传递的安全控制系统。网络防火墙特征•防火墙具有以下特征：（1）所有从外部网到内部网，或者从内部网到外部网的数据流必须经过防火墙；（2）根据本地安全策略定义，只有被授权的数据流才能通过防火墙；（3）防火墙具有抵御网络攻击的能力。网络防火墙分类•防火墙一般可以分成2种类型：网络层防火墙和应用层防火墙。•网络层防火墙也称为“分组过滤器”，它是通过路由器对分组报头的识别，过滤不符合安全策略的分组，实现对进入或者离开企业网的分组进行访问控制。公共互联网企业网过滤分组网络层防火墙网络防火墙分类(续)•应用层防火墙也称为“应用网关”，它强制性在公共互联网与企业网之间中断应用连接，根据安全策略检查这些应用连接，如果这些应用连接符合安全策略的要求，然后再转发应用连接。公共互联网企业网应用层防火墙应用转接网络防火墙部署结构•在因特网环境下防火墙一般设置在公共因特网与企业网之间，而企业网中还可以进一步采用防火墙设置成企业外部网和企业内部网。外部防火墙内部防火墙对外服务器网络设备网络设备对内服务器内部主机内部主机网络设备企业外部网企业内部网公共互联网图5.1防火墙应用的典型结构网络防火墙部署结构(续)•外部防火墙的功能：隔离公共互联网与外部网（企业放置对外服务器，例如对外网站和邮件服务器的网络区域）。•外部防火墙通常是网络层防火墙•内部防火墙的功能：隔离外部网与内部网（企业放置内部服务器和内部网络客户机的网络区域）。•内部防火墙＝网络层防火墙＋应用层防火墙网络防火墙自身安全性•防火墙的一个重要特征是自身具有很强的抵御网络攻击的能力。•从安全角度看，作为防火墙的路由器或者网关都应该尽量少地运行简单的、易于控制的程序，关闭不需要的服务。例如应该关闭路由器或者网关上的远地登录服务。•应用层防火墙也称为“堡垒主机”。为了使得“堡垒主机”真正成为外部网络攻击无法攻破的“堡垒”，它所运行的操作系统、应用软件都是经过严格筛选和简化的系统和软件。2.网络层防火墙•网络层防火墙原理•网络层防火墙功能•网络层防火墙配置•网络层防火墙优点•网络层防火墙缺点网络层防火墙原理•网络层防火墙通常称为“分组过滤器”，它能够在网络层转发分组过程中，根据安全策略对分组进行过滤。•这种防火墙主要在路由器中实现。现在因特网上的路由器都提供一种基于访问控制列表(ACL)的访问控制功能，这种功能就是“分组过滤器”功能。网络层防火墙功能•通过禁止(允许)某类源IP地址或者某类目的IP地址，分组过滤器可以限制(允许)来自公共互联网的某些子网访问企业网，或者限制(允许)企业网内某些子网访问公共互联网；•通过禁止(允许)某类源端口号或者某类目的端口号，分组过滤器可以限制(允许)来自公共互联网的某类服务请求，或者限制(允许)企业网对公共互联网的某些服务请求。网络层防火墙配置•第一步需要了解被保护网络的安全策略，即需要知道什么应该被“允许”，什么应该被“禁止”，以及缺省情况。•第二步需要根据网络安全策略，寻找对应的可控制的分组报头字段，并且需要明确罗列具体的安全控制规则。•第三步按照分组过滤器中ACL要求的格式，配置具体罗列的安全控制规则。网络层防火墙配置(续1)•假定设置的分组过滤器公共互联网与企业外部网之间的网络层防火墙。其安全策略是(1)只允许公共互联网访问企业外部网中的邮件服务器(10.10.10.36)；(2)不允许spam.com域名的子网(10.10.160.0)中的站点访问该邮件服务(端口号为25)。•要求设置相应的访问控制列表。网络层防火墙配置(续2)•访问内部邮件服务器的访问控制列表动作源IP地址源端口号目的IP地址目的端口号说明禁止10.10.160.0***禁止spam.com访问允许**10.10.10.3625允许访问邮件服务器禁止****缺省规则网络层防火墙优点与缺点•网络层防火墙优点–成本较低，容易在企业网的边界和内部大范围部署。•网络层防火墙缺点–配置较为复杂，需要较为系统的网络知识。–分组过滤器对网络服务的控制能力较弱，设计对网络服务的控制也比较复杂。–缺乏严格的身份验证机制，网络攻击者可以假冒IP地址和端口号，攻破网络层防火墙。应用层防火墙•又叫应用级网关，信息的处理是在应用层进行的。•防火墙要支持应用程序，需要提供一个惟一的程序接受客户端应用程序的数据，并且作为中转站将数据发往目标服务器。•应用级网关对客户来说是一个服务器，对目标服务器来说是一个客户端。•防火墙会对应用程序的数据进行校验以保证其格式可以接受，能够过滤协议、进行身份验证和记录信息。模块1配置透明模式防火墙1.工作任务你是某公司的网管，为了保证公司的网络安全，公司新购进一台防火墙，要求局域网可以访问Wan网络，局域网可以访问dmz区，Wan网区可以访问服务器区（DMZ）Webserver（TCP80端口）Mailserver（TCP110端口和25端口），其他全部拒绝。3.相关实践知识DMZwebserverip:192.168.1.7/255.255.255.0名称参数要求桥brg0：192.168.1.1控制区ip:192.168.1.2/255.255.255.0LAN区ip:192.168.1.X/255.255.255.0（非军事化）区mailserverip:192.168.1.9/255.255.255.0非安全区局端ip:192.168.1.1/255.255.255.0第1步：服务器配置接口定义，分配地址：eth0ip:127.0.0.50/255.255.255.0eth1ip:127.0.0.51/255.255.255.0eth2ip:127.0.0.52/255.255.255.0eth3ip:127.0.0.53/255.255.255.0第2步：包过滤1．定义资源对象：在【安全策略】标签中单击其中【包过滤】图标，在打开的下拉菜单中选择并单击其中的【资源对象】选项，定义各区的对象。说明对象名称IP地址掩码局域网对象（表示任意对象）Lan192.168.1.0255.255.255.0服务器区对象WebServer192.168.1.7255.255.255.255MailServer192.168.1.9255.255.255.255公网对象（表示任意对象）Internet0.0.0.00.0.0.02．定义过滤规则在【安全策略】标签中单击其中【包过滤】图标，从打开的下拉菜单中选择并单击其中的【定义过滤规则】选项。（1）定义安全通道定义三条安全通道，分别是从Eth1到Eth3，从Eth1到Eth2以及从Eth3到Eth2。（2）定义安全策略□局域网访问外网安全策略□局域网访问服务器区安全策略□外部网需要访问服务器区的安全策略第3步：加载保存配置