南车集团防火墙与vpn培训(ppt 129)

1南车集团NetScreen安装培训产品工程师俞加鸣Email:yujm@antai-genecon.comTel:010-62629068/69/702目录•第一章：防火墙概念•第二章：NetScreen防火墙功能介绍•第三章：NetScreen防火墙管理•第四章:Netscreen接口配置•第五章：路由配置•第六章：访问控制策略•第七章：NetScreen日志管理•第八章：NetScreenVPN配置•测试配置结果•注意事项3NetScreen图标:NetScreen-5NetScreen-10NetScreen-100PCw/NSRemotePCGenericLaptopw/NSRemoteHubLayer2Switch(Bridge)Layer3Switch(Router)ServerTheInternet4实验设计网络拓扑及IP地址分配192.168.1.1*AllSubnetMasksare/2410.1.1.1NetScreen25192.168.1.2192.168.2.110.1.1.210.1.1.310.1.1.410.1.1.510.1.1.610.1.1.710.1.1.810.1.1.910.1.1.10192.168.2.2192.168.3.2192.168.3.1192.168.4.1192.168.4.2192.168.5.2192.168.5.1192.168.6.2192.168.6.1192.168.7.2192.168.7.1192.168.8.1192.168.9.1192.168.10.1192.168.8.2192.168.9.2192.168.10.25第一章:防火墙概念•了解防火墙的基本概念•防火墙的网络配置•防火墙的工作流程6Firewall概述什么是防火墙防火墙产品的发展历程防火墙种类防火墙技术介绍Netscreen产品介绍7传统的防火墙概念概念：防火墙被设计用来防止火从大厦的一部分传播到另一部分8IT领域使用的防火墙概念一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。两个安全域之间通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为9防火墙的发展历程基于路由器的防火墙将过滤功能从路由器中独立出来，并加上审计和告警功能针对用户需求，提供模块化的软件包软件可通过网络发送，用户可根据需要构造防火墙与第一代防火墙相比，安全性提高了，价格降低了•利用路由器本身对分组的解析,进行分组过滤•过滤判断依据：地址、端口号、IP旗标及其它网络特征•防火墙与路由器合为一体，只有过滤功能•适用于对安全性要求不高的网络环境防火墙厂商具有操作系统的源代码，并可实现安全内核去掉了不必要的系统特性，加固内核，强化安全保护在功能上包括了分组过滤、电路级网关,状态检测技术增加了许多附加功能：加密、鉴别、审计、NAT转换透明性好，易于使用基于安全操作系统的防火墙软件防火墙10防火墙的种类1.分组过滤（Packetfiltering）：作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。2.应用代理（ApplicationProxy）：也叫应用网关（ApplicationGateway）,它作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。3.状态检测：直接对分组里的数据进行处理，并且结合前后分组里的数据进行综合判断决定是否允许该数据包通过。11IP报头分组过滤原理安全网域HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包控制策略数据包数据TCP报头分组过滤判断信息12应用代理原理安全网域HostCHostD数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据包应用代理可以对数据包的数据区进行分析，并以此判断数据是否允许通过控制策略数据TCP报头IP报头分组过滤判断信息应用代理判断信息13状态检测原理安全网域HostCHostD数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据包状态检测可以结合前后数据包里的数据信息进行综合分析决定是否允许该包通过控制策略数据3TCP报头IP报头分组过滤判断信息应用代理判断信息数据2TCP报头IP报头数据1TCP报头IP报头数据1TCP报头IP报头数据状态检测14防火墙功能安全内核访问控制内容安全安全远程管理多种管理方式授权认证双机热备安全审计加密端口映射流量控制入侵检测本地&远程管理NAT转换&IP复用安全联动网络管理基于源地址、目的地址基于源端口、目的端口基于用户基于时间基于流量基于时间的控制用户级权限控制防火墙15灵活的访问控制HostCHostD数据包数据包数据包查找对应的控制策略拆开数据包进行分析根据策略决定如何处理该数据包数据包控制策略基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于IP旗标基于用户基于流量可以灵活的制定的控制策略16基于时间的控制HostCHostD在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet上班时间可以访问公司的网络Internet17用户级权限控制HostCHostDHostBHostA受保护网络Internet·····················PermitPasswordUsername预先可在防火墙上设定用户Chenaf123Chenaf123YesLiwy883No不管那台电脑都可以用相同的用户名来登陆防火墙只需在防火墙设置该用户的规则即可18安全远程管理安全网域HostCHostDInternet202.102.14.5Superman******黑客如何实现安全管理呢采用一次性口令认证/数据加密来实现安全管理用户名，口令19透明接入Internet受保护网络如果防火墙支持透明模式，则内部网络主机的配置不用调整HostA199.168.1.2HostC199.168.1.4HostD199.168.1.5HostB199.168.1.3199.168.1.8同一网段透明模式下，这里不用配置IP地址透明模式下，这里不用配置IP地址DefaultGateway=199.168.1.8防火墙相当于网桥，原网络结构没有改变20身份认证Internet·····················PermitPasswordUsername预先可在防火墙上设定用户Chenaf123HostCHostDHostBHostA受保护网络验证通过则允许访问Chenaf123YesLiwy883No用户身份认证根据用户控制访问21双机热备外网或者不信任域Eth0Eth0Eth1Eth1Eth2Eth2心跳线ActiveFirewallStandbyFirewall检测ActiveFirewall的状态发现出故障，立即接管其工作正常情况下由主防火墙工作主防火墙出故障以后，接管它的工作22信息审计&日志InternetHostA199.168.1.2HostB199.168.1.3HostC199.168.1.4HostD199.168.1.5···TCP202.102.1.2199.168.1.28：302001-02-07202.102.1.2···TCP202.102.1.3199.168.1.59：102001-02-07写入日志写入日志一旦出现安全事故可以查询此日志23VPN功能HostCHostDHostBHostA受保护网络HostCHostDHostBHostA受保护网络Internet先判断是否允许包通过然后根据策略决定是否使用安全协议是交给IPSec核心处理对数据加密或认证得到新的数据包将新的数据包转发到相应的端口收到的数据包经过IPSec处理了吗交给IPSec核心处理去掉AHESP头根据策略决定如何处理数据包是转发到内部接口允许24端口映射Internet公开服务器可以使用私有地址隐藏内部网络的结构：80TO202.102.1.3：80MAP199.168.1.3：21TO202.102.1.3：21MAP199.168.1.4：25TO202.102.1.3：25MAP199.168.1.5：53TO202.102.1.3：53流量控制HostCHostDHostBHostA受保护网络HostA的流量已达到10MHostA的流量已达到极限值30M阻断HostA的连接Internet26入侵检测HostCHostDHostBHostA受保护网络Internet同一台主机对受保护网络内的主机频繁扫描同一主机对受保护网内的主机建立多个连接其他对网内主机的攻击行为将根据用户策略采取措施执行用户自定义的策略27NAT地址转换Internet202.102.93.54HostA受保护网络HostCHostD192.168.1.21192.168.1.25Eth2：192.168.1.23防火墙Eth0：101.211.23.1数据IP报头数据IP报头源地址：192.168.1.21目地址：202.102.93.54源地址：101.211.23.1目地址：202.102.93.54101.211.23.2隐藏了内部网络的结构内部网络可以使用私有IP地址公开地址不足的网络可以使用这种方式提供IP复用功能28第二章NetScreen25&5XP本章技术目的将介绍：NetScreen25&5XP防火墙性能指标和功能29NetScreen-25•性能和处理能力–100Mbps防火墙–4,000同时的会话–20MbpsVPN–25IPSecVPN通道•4个10/100自适应以太网口–目前支持3ports–第4口将用于第2个DMZ–不支持HA•AC电源•集成的防火墙，VPN和流量管理.–状态监控防火墙–NAT,PPPoE和DHCPclient,server&relay–VPN•SitetoSite&ClienttoSite•SupportsIPSec3DES,DES&AESencryptionstandards•支持L2TPforWindows–带宽管理和DiffServ标记•支持ScreenOS3.030NetScreen-5XP安全产品简介•优化用于宽带网络远程和拨号用户–10MbpsASIC-basedIPSecVPNs–10tunnels–IPSec,DES/3DES,MD5,SHA-1,IKE密钥管理–状态监测防火墙-DoS侦测–NAT(mappedIP,VirtualIP),URL过滤–DHCP客户机和服务器•流量控制:确保和最大带宽•WebUI,CLI,集中管理–易于实施的QuickStart31第三章:NetScreen管理•理解和掌握Netscreen防火墙的管理和配置32目标本章技术目的将掌握以下知识点：•连接Netscreen接口到网络•配置conso