实验4 防火墙技术.ppt

《实验4 防火墙技术.ppt》由会员分享，可在线阅读，更多相关《实验4 防火墙技术.ppt（39页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、实验实验4 4 防火墙技术防火墙技术1.熟悉防火墙的工作机制，了解防火墙的配置方法熟悉防火墙的工作机制，了解防火墙的配置方法。2.掌握防火墙的管理配置和网络配置掌握防火墙的管理配置和网络配置 3.了解防火墙的对象定义方法。了解防火墙的对象定义方法。4.掌握防火墙的安全规则定义方法。掌握防火墙的安全规则定义方法。实验目的实验目的RG wall 60 防火墙防火墙登录防火墙登录防火墙web界面界面使用数字证书登录使用数字证书登录web web https:/192.168.1.110:6666https:/192.168.1.110:6666 防火墙防火墙1 1的的IPIP地址：地址：192.16

2、8.1.110192.168.1.110 管理主机管理主机IPIP地址地址192.168.1.111192.168.1.115192.168.1.111192.168.1.115 防火墙防火墙2 2的的IPIP地址：地址：192.168.1.210192.168.1.210 管理主机管理主机IPIP地址地址192.168.1.211192.168.1.215192.168.1.211192.168.1.215 防火墙防火墙3 3的的IPIP地址：地址：192.168.1.150192.168.1.150 管理主机管理主机IPIP地址地址192.168.1.151192.168.1.155192

3、.168.1.151192.168.1.155使用电子钥匙登录使用电子钥匙登录 https:/192.168.1.110:6667https:/192.168.1.110:6667注：注：只能只能使用使用管理管理主机主机管理管理防火防火墙墙每次每次只能只能使用使用一台一台管理管理主机主机对防对防火墙火墙进行进行管理。管理。Web登录界面登录界面 用户名：用户名：adminadmin 密码：密码：firewallfirewall管理主界面管理主界面当管理员完成管理任务或者离开管理界面时，应点击退出正确推出WEB 管理界面。防火墙WEB界面有超时机制，默认超时时间为600 秒。管理配置管理配置防火

4、墙默认提供防火墙默认提供WEB WEB 管理方式和管理方式和CLI CLI 命令行管理方式命令行管理方式管理防火墙。分别通过网口、串口连接防火墙。上述管理防火墙。分别通过网口、串口连接防火墙。上述二种管理方式是默认开启状态，管理员不能删除其中二种管理方式是默认开启状态，管理员不能删除其中任一管理方式。另外，防火墙还提供通过任一管理方式。另外，防火墙还提供通过SSH SSH 对防火对防火墙以命令行方式进行远程管理的功能，此管理方式管墙以命令行方式进行远程管理的功能，此管理方式管理员有权进行添加和删除。理员有权进行添加和删除。管理主机的配置管理主机的配置管理员要想管理防火墙，必须增加管理主机，即通

5、过管理员要想管理防火墙，必须增加管理主机，即通过此菜单添加管理主机的此菜单添加管理主机的IPIP，然后通过网口连接防火墙，然后通过网口连接防火墙即可进行管理。防火墙最多支持即可进行管理。防火墙最多支持256 256 个管理主机对其个管理主机对其进行管理。进行管理。网络接口IP的的配置提供提供4 个网口：个网口：4 4 个个10/100M 10/100M 自适应以太网接口自适应以太网接口（dmzdmz、lanlan、wan(192.168.10.100/24)wan(192.168.10.100/24)、wan1wan1）。）。提供提供1 个虚网口设备个虚网口设备br对象定义为简化防火墙安全规则

6、的维护工作，引入了对象定义，为简化防火墙安全规则的维护工作，引入了对象定义，可以定义以下对象：可以定义以下对象：（1）地址：地址列表、地址组、服务器地址、NAT 地址池 （2）服务：服务列表、服务组 （3）时间：时间列表、时间组 （4）连接限制：保护主机、保护服务、限制主机、限制服务 （5）带宽：带宽列表 （6）URL 列表：黑名单、白名单注意事项注意事项（1 1）定义规则前需先定义该规则所要引用的对象。）定义规则前需先定义该规则所要引用的对象。（2 2）定义的对象只有被引用时才真正使用。）定义的对象只有被引用时才真正使用。（3 3）被引用的对象编辑后，在）被引用的对象编辑后，在“安全策略安全

7、策略安全规安全规则”界面中点击“刷新”后生效。地址地址在定义安全规则之前，最好按照一定的原则（比如：按部门、按人员等）定义一些地址，这样，当部门或者人员的IP 地址发生变化时，只需在本列表中更新即可，无需再修改安全规则了。在“对象定义地址”中，定义了三种不同用途的地址：1地址列表、地址组：用于“安全策略安全规则”中的源地址和目的地址，“用户认证用户列表”和“用户认证用户组”中的安全策略。2服务器地址：用于“安全策略安全规则”中的内部地址。3NAT 地址池：用于“安全策略安全规则”中的源地址转换。地址地址列表地址用于地址用于“安全策略安全策略安全规则安全规则”、“用户认证用户认证用用户列表户列表

8、”和和“用户认证用户认证用户组用户组”。可以按两种方式来定义地址：（可以按两种方式来定义地址：（1 1）IP IP 地址地址/掩码；掩码；（2 2）地址范围）地址范围IP1IP1IP2IP2地址地址组地址组用于地址组用于“安全策略安全策略安全规则安全规则”、“用户认证用户认证用户列表用户列表”和和“用户认证用户认证用户组用户组”。地址组的成员。地址组的成员只能为只能为“对象定义对象定义地址地址地址列表地址列表”中已经定义过中已经定义过的地址。服务服务服务用于：（1）“安全策略”下的：包过滤规则、NAT 规则、端口映射规则 （2）“用户认证”下的：用户、用户组在“对象定义服务”中，定义了三种服务

9、：（a）基本服务：可以“协议+源端口+目的端口”。（b）ICMP 服务：可指定type 和code。（c）动态服务：目前支持H323、FTP、SQLNET 三种动态协议。（d）服务组：上述三种服务的任意组合。服务服务列表连接限制连接限制是为了保护服务器，限制对服务器过于频繁连接限制是为了保护服务器，限制对服务器过于频繁的访问。在规定的时间内，如果某台主机访问服务器的访问。在规定的时间内，如果某台主机访问服务器超过了所限制的次数，则会对该主机实行阻断，在阻超过了所限制的次数，则会对该主机实行阻断，在阻断时间段内，拒绝其对服务器的所有访问。在断时间段内，拒绝其对服务器的所有访问。在“对象对象定义定

10、义连接限制连接限制”中，提供了四种连接限制：保护主中，提供了四种连接限制：保护主机、保护服务、限制主机、限制服务。机、保护服务、限制主机、限制服务。保护服务保护服务是指被访问服务器提供的某类服务进行保护，保护服务是指被访问服务器提供的某类服务进行保护，限制对此服务器的这类服务进行过于频繁的访问。限制对此服务器的这类服务进行过于频繁的访问。安全策略安全策略是防火墙的核心功能。防火墙所有的访问控安全策略是防火墙的核心功能。防火墙所有的访问控制均根据安全规则的设置完成。制均根据安全规则的设置完成。安全规则包括：安全规则包括：（1 1）包过滤规则）包过滤规则 （2 2）NAT NAT 规则（网络地址转

11、换）规则（网络地址转换）（3 3）IP IP 映射规则映射规则 （4 4）端口映射规则）端口映射规则安全策略安全规则防火墙的基本策略：没有明确被允许的行为都是被禁止的。根据管理员定义的安全规则完成数据帧的访问控制，规则策略包括：“允许通过”、“禁止通过”、“NAT方式通过”、“IP 映射方式通过”、“端口映射方式通过”。支持对源IP 地址、目的IP 地址、源端口、目的端口、服务、流入网口、流出网口等控制。另外，根据管理员定义的基于角色控制的用户策略，并与安全规则策略配合完成访问控制，包括限制用户在什么时间、什么源IP 地址可以登录防火墙系统，该用户通过认证后能够享有的服务。RG-WALL 60

12、 防火墙提供基于对象定义的安全策略配置。防火墙按顺序匹配规则列表：按顺序进行规则匹配，按第一条匹配的规则执行，不再匹配该条规则以下的规则。包过滤规则基于基于TCP/UDP/ICMP TCP/UDP/ICMP 协议的动态的包过滤。协议的动态的包过滤。包过滤规则可以实现对源地址包过滤规则可以实现对源地址/掩码、目的地址掩码、目的地址/掩码、掩码、服务、流入流出网口的访问控制，可以设置对这类经服务、流入流出网口的访问控制，可以设置对这类经过防火墙的数据包是允许还是禁止。另外，是否启用过防火墙的数据包是允许还是禁止。另外，是否启用用户认证、是否启用带宽控制、是否启用用户认证、是否启用带宽控制、是否启用

13、URLURL过滤、过滤、是否启用连接限制功能以及是否记录日志，是否走是否启用连接限制功能以及是否记录日志，是否走VPN VPN 隧道都在包过滤规则中设置。包过滤规则是管理隧道都在包过滤规则中设置。包过滤规则是管理员应用最多的安全规则。员应用最多的安全规则。RG-WALL 60 RG-WALL 60 防火墙的包过防火墙的包过滤规则功能十分灵活、强大。NAT 规则NATNAT（Network Address TranslationNetwork Address Translation）是在）是在IPv4 IPv4 地址地址日渐枯竭的情况下出现的一种技术，可将整个组织的日渐枯竭的情况下出现的一种技术

14、，可将整个组织的内部内部IP IP 都映射到一个合法都映射到一个合法IP IP 上来进行上来进行Internet Internet 的访问，的访问，NAT NAT 中转换前源中转换前源IP IP 地址和转换后源地址和转换后源IP IP 地址不同，数地址不同，数据进入防火墙后，防火墙将其源地址进行了转换后再据进入防火墙后，防火墙将其源地址进行了转换后再将其发出，使外部看不到数据包原来的源地址。一般将其发出，使外部看不到数据包原来的源地址。一般来说，来说，NAT NAT 多用于从内部网络到外部网络的访问，内多用于从内部网络到外部网络的访问，内部网络地址可以是保留部网络地址可以是保留IP IP 地址

15、。地址。IP 映射规则IP IP 映射规则是将访问的目的映射规则是将访问的目的IP IP 转换为内部服务器的转换为内部服务器的IPIP。一般用于外部网络到内部服务器的访问，内部服。一般用于外部网络到内部服务器的访问，内部服务器可使用保留务器可使用保留IP IP 地址。当管理员配置多个服务器时，地址。当管理员配置多个服务器时，就可以通过就可以通过IP IP 映射规则，实现对服务器访问的负载均映射规则，实现对服务器访问的负载均衡。一般的应用为：假设防火墙外网卡上有一个合法衡。一般的应用为：假设防火墙外网卡上有一个合法IPIP，内部有多个服务器同时提供服务，当将访问防火，内部有多个服务器同时提供服务

16、，当将访问防火墙外网卡墙外网卡IP IP 的访问请求转换为这一组内部服务器的的访问请求转换为这一组内部服务器的IP IP 地址时，访问请求就可以在这一组服务器进行均衡。端口映射规则端口映射规则是将访问的目的IP 和目的端口转换为内部服务器的IP 和服务端口。一般用于外部网络到内部服务器的访问，内部服务器可使用保留IP 地址。当管理员配置多个服务器时，都提供某一端口的服务，就可以通过配置端口映射规则，实现对服务器此端口访问的负载均衡。一般的应用为：假设防火墙外网卡上有一个合法IP，内部有多个服务器同时提供服务，当将访问防火墙外网卡IP 的访问请求转换为这一组内部服务器的IP 地址时，访问请求就可

17、以在这一组服务器进行均衡。配置实例配置实例网络结构，这个网络假设内部网有有效的网络结构，这个网络假设内部网有有效的internetinternet地址，地址，为了将内部网段为了将内部网段192.168.80.0/24192.168.80.0/24与与internetinternet隔离，在隔离，在内部网络和内部网络和internetinternet之间使用了包过滤防火墙。之间使用了包过滤防火墙。防火墙的内网接口是防火墙的内网接口是eth1eth1（198.168.80.254198.168.80.254），防火），防火墙的墙的internetinternet接口是接口是192.168.10.1

18、00.192.168.10.100.另外，内网中有另外，内网中有3 3台服务器对外提供服务。台服务器对外提供服务。wwwwww服务器：服务器：ipip地址是：地址是：198.168.80.251198.168.80.251ftpftp服务器：服务器：ipip地址是：地址是：198.168.80.252198.168.80.252e_maile_mail服务器：服务器：ipip地址为：地址为：198.168.80.253198.168.80.253实验要求实验要求配置防火墙的管理主机，并验证该管理主机能够对防配置防火墙的管理主机，并验证该管理主机能够对防火墙进行管理。火墙进行管理。给给wan1wan1接口配置另一个接口配置另一个IPIP地址。地址。根据上述实例根据根据IPIP地址定义地址列表和地址组，定义自己的服务，地址定义地址列表和地址组，定义自己的服务，定义主机保护和服务保护定义主机保护和服务保护定义一条包过滤规则。限制服务，限制网口，保护主机，保护服务。附加题附加题假设上述实例三种服务器均为假设上述实例三种服务器均为FTPFTP服务，定义服务，定义IPIP映射映射规则，其他条件自定义。规则，其他条件自定义。