防火墙技术培训课件.pptx

《防火墙技术培训课件.pptx》由会员分享，可在线阅读，更多相关《防火墙技术培训课件.pptx（86页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、联想网御联想网御Power V Power V 防火墙防火墙技术培训技术培训2011年4月1目录一、联想网御防火墙技术原理培训一、联想网御防火墙技术原理培训二、联想网御二、联想网御Power V Power V 防火墙案例培训防火墙案例培训2防火墙是指设置在不同网络或网络信任域与非防火墙是指设置在不同网络或网络信任域与非信任域之间的一系列功能部件的组合。信任域之间的一系列功能部件的组合。通过制订安全策略，它可通过监测、限制、更通过制订安全策略，它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实网络内部的

2、信息、结构和运行状况，以此来实现网络的安全保护。现网络的安全保护。通常是网络安全防护体系的最外一层。通常是网络安全防护体系的最外一层。防火墙概念介绍 什么是防火墙？3防火墙概念介绍 什么是防火墙？防火墙能做什么防火墙能做什么保障授权合法用户的通信与访问保障授权合法用户的通信与访问禁止未经授权的非法通信与访问禁止未经授权的非法通信与访问记录经过防火墙的通信活动记录经过防火墙的通信活动防火墙不能做什么防火墙不能做什么不能主动防范新的安全威胁不能主动防范新的安全威胁不能防范来自网络内部的攻击不能防范来自网络内部的攻击不能控制不经防火墙的通信与访问不能控制不经防火墙的通信与访问4SourceDesti

3、nationNetwork Address Translation192.168.10.10.0.0.0131.107.2.200Firewall192.168.10.1192.168.10.2192.168.10.3131.107.2.200InternetInternet 防火墙概念介绍 什么是防火墙？5防火墙概念介绍 什么是防火墙？6 透明模式7 路由模式8 混合模式9数据包的形式数据包的形式:防火墙能利用包头的信息进行过滤，仅允许符防火墙能利用包头的信息进行过滤，仅允许符合规则的数据包通过防火墙合规则的数据包通过防火墙 规则可细分为源地址规则可细分为源地址/目的地址、源端口目的地址、源

4、端口/目的目的端口、协议、连接方向等项目端口、协议、连接方向等项目 包过滤技术10包过滤技术 什么是状态检测？每个网络连接包括以下信息：每个网络连接包括以下信息：源地址、目的地址；源地址、目的地址；源端口和目的端口；源端口和目的端口；协议类型；协议类型；连接（会话）状态（如超时时间，连接（会话）状态（如超时时间，TCPTCP连接的状连接的状态）等；态）等；防火墙把这些信息统称为状态，能够检测这些防火墙把这些信息统称为状态，能够检测这些状态的防火墙叫做状态检测防火墙。状态的防火墙叫做状态检测防火墙。11包过滤技术 状态检测的优点？（与包过滤防火墙相比）（与包过滤防火墙相比）更安全：更安全：检查内

5、容检查内容=包过滤检查内容包过滤检查内容+连接状态连接状态更高效：更高效：包过滤包过滤收到一个包，检查一遍规则集收到一个包，检查一遍规则集状态检测状态检测先查状态表，再查规则集先查状态表，再查规则集12目录二、联想网御二、联想网御Power V Power V 防火墙案例培训防火墙案例培训131.1.电子钥匙、证书、串口登录电子钥匙、证书、串口登录2.2.透明接入透明接入3.3.路由路由/NAT/NAT模式模式4.4.静态路由静态路由5.5.IP IP映射、端口映射映射、端口映射6.6.包过滤策略包过滤策略7.7.DHCPDHCP目录目录14案例一案例一 电子钥电子钥匙、证匙、证书、串书、串口

6、登录口登录15 联想网御防火联想网御防火墙墙WebWeb登陆登陆认证认证数字证书数字证书数字证书数字证书电子钥匙电子钥匙电子钥匙电子钥匙案例案例1.电子钥匙、证书、串口登录电子钥匙、证书、串口登录161.双击随机光盘ikey driver目录下的INSTDRV.EXE，自动安装电子钥匙驱动。切记：安装驱动前不要插入切记：安装驱动前不要插入USBUSB电子钥匙。电子钥匙。电子钥匙认证电子钥匙认证电子钥匙认证电子钥匙认证2.随机光盘administrator目录下的ikeyc程序,程序将提示用户输入PIN口令，首次使用默认PIN为“12345678”。案例案例1.电子钥匙、证书、串口登录电子钥匙、

7、证书、串口登录17在IE地址栏输入https:/10.1.5.254:88888888,等待约十秒左右,弹出一个一个对话框提示接受证书，选择接受即可出现联想网御防火墙登录画面。案例案例1.电子钥匙、证书、串口登录电子钥匙、证书、串口登录电子钥匙登录电子钥匙登录电子钥匙登录电子钥匙登录18数字证书认证数字证书认证数字证书认证数字证书认证1、把防火墙证书导入防火墙并启用。2、管理主机上导入IE浏览器证书。案例案例1.电子钥匙、证书、串口登录电子钥匙、证书、串口登录19数字证书认证数字证书认证数字证书认证数字证书认证证书页面导入证书页面导入证书页面导入证书页面导入导入入证书后后选择生效生效选项第一步

8、第一步第二步第二步案例案例1.电子钥匙、证书、串口登录电子钥匙、证书、串口登录20数字证书认证数字证书认证数字证书认证数字证书认证证书导入证书导入证书导入证书导入导入防火墙证书要导入相对应的IE浏览器证书.在管理主机本地双击IE浏览器证书，按照提示进行安装，需要输入密码时输入“hhhhhh”，当出现导入成功后点击确定完成。案例案例1.电子钥匙、证书、串口登录电子钥匙、证书、串口登录21数字证书认证数字证书认证数字证书认证数字证书认证当防火墙与当防火墙与IEIE证书均导入成功后，我们在管理主机打开证书均导入成功后，我们在管理主机打开IEIE浏览器并输入浏览器并输入https:/10.1.5.25

9、4:https:/10.1.5.254:88898889，出现选择证书出现选择证书提示后点击提示后点击“确定确定”画面。画面。案例案例1.电子钥匙、证书、串口登录电子钥匙、证书、串口登录22管理主机管理主机 防火墙出厂时默认的管理主机地址10.1.5.200，当接入一个新的网络环境中时，首先要进行管理主机的配置。案例案例1.电子钥匙、证书、串口登录电子钥匙、证书、串口登录一定不要添加一定不要添加0.0.0.00.0.0.0的管理的管理主机主机23案例二、案例二、透明接透明接入入24透明接入多部署于拓扑相对固定网络，为了不改变原有网络拓扑，常采用此部署方式（防火墙本身作为网桥接入网络）。按照此方

10、式部署后的防火墙如出现软硬件故障，可以紧急将防火墙撤离网络，不必更改其他路由、交换设备的配置。案例案例2.透明接入透明接入透明接入透明接入透明接入透明接入概述概述概述概述25C:192.168.1.100S:192.168.1.200Brg：192.168.1.254fe2fe3透明接入模式防火墙配置需求：防火墙配置的FE2FE3口配置为透明模式。允许工作站C192.168.1.100访问服务器S192.168.1.200的HTTP服务。工作站C192.168.1.100不能访问服务器S192.168.1.200的其它服务。透明接入拓扑图透明接入拓扑图透明接入拓扑图透明接入拓扑图案例案例2.透

11、明接入透明接入26透明接入透明接入透明接入透明接入案例案例2.透明接入透明接入27STP未开启未绑定设备已启用透明接入透明接入透明接入透明接入案例案例2.透明接入透明接入28透明接入透明接入透明接入透明接入案例案例2.透明接入透明接入29透明接入透明接入透明接入透明接入案例案例2.透明接入透明接入30已启用已变成透明模式透明接入透明接入透明接入透明接入案例案例2.透明接入透明接入31透明接入透明接入透明接入透明接入变成透明模式的端口自动添加到绑定列表里面网络接口配置完成后，仍然需要添加相应的包过滤规则案例案例2.透明接入透明接入32透明接入透明接入透明接入透明接入案例案例2.透明接入透明接入3

12、3透明接入透明接入透明接入透明接入案例案例2.透明接入透明接入34至此，工作站至此，工作站192.168.1.100192.168.1.100可以访问服可以访问服务器务器192.168.200192.168.200的的HTTPHTTP服务服务透明接入透明接入透明接入透明接入案例案例2.透明接入透明接入35案例三、案例三、路由路由/NAT/NAT模模式式36配置路由/NAT模式的防火墙多部署于网络边界，或者是连接多个不同网络,起到保护内网主机安全，屏蔽内网网络拓扑等作用。案例案例3.路由路由/NAT模式模式路由路由/NAT/NAT模式模式概述概述37 C:192.168.1.2/24C:192.

13、168.1.2/24S:192.168.2.2/24S:192.168.2.2/24192.168.1.1/24192.168.1.1/24fe1fe2工作在路由工作在路由/NAT/NAT模式下防火墙配置需求：模式下防火墙配置需求：本案例拓扑为一个只有两个网段的小型局域网。本案例拓扑为一个只有两个网段的小型局域网。服务器服务器192.168.2.2192.168.2.2开放开放httphttp服务。服务。允许工作站允许工作站192.168.1.2192.168.1.2访问服务器访问服务器192.168.2.2192.168.2.2的的httphttp服务服务禁止工作站禁止工作站192.168.

14、1.2192.168.1.2访问服务器其它服务。访问服务器其它服务。192.168.2.1/24192.168.2.1/24Cilent ACilent AServer BServer B路由路由路由路由/NAT/NAT/NAT/NAT模式模式模式模式(不做不做不做不做NATNATNATNAT转换转换转换转换)案例案例3.路由路由/NAT模式模式38案例案例3.路由路由/NAT模式模式路由路由路由路由/NAT/NAT/NAT/NAT模式模式模式模式(不做不做不做不做NATNATNATNAT转换转换转换转换)39案例案例3.路由路由/NAT模式模式路由路由路由路由/NAT/NAT/NAT/NAT

15、模式模式模式模式(不做不做不做不做NATNATNATNAT转换转换转换转换)40网络接口配置完成后，仍然需要添加相网络接口配置完成后，仍然需要添加相应的包过滤规则，这样防火墙允许工作应的包过滤规则，这样防火墙允许工作站站192.168.1.2192.168.1.2访问服务器访问服务器192.168.2.2192.168.2.2的的httphttp服务。服务。案例案例3.路由路由/NAT模式模式路由路由路由路由/NAT/NAT/NAT/NAT模式模式模式模式(不做不做不做不做NATNATNATNAT转换转换转换转换)41 网络地址转换NAT为IETF定义标准，用于允许专用网络上的多台PC共享单个

16、、全局路由的IPv4地址IPv4地址日益不足是经常部署NAT的一个主要原因。另外网络地址转换NAT经常作为一种网络安全手段使用，安全域内的机器通过NAT设备后源地址被重新封装，起到一定屏蔽内网作用。NATNAT概述概述案例案例3.路由路由/NAT模式模式42 内网内网外网外网C:10.1.5.200C:10.1.5.200fe3fe4internet10.1.5.25410.1.5.254211.100.100.1211.100.100.1S:211.100.100.2S:211.100.100.2防火墙工作路由/NAT模式。内部客户PC需要通过防火墙访问internet上服务。从防火墙外无法

17、看到内部客户端的真实IP。案例案例3.路由路由/NAT模式模式路由路由路由路由/NAT/NAT/NAT/NAT模式模式模式模式(NAT(NAT(NAT(NAT转换转换转换转换)43路由路由路由路由/NAT/NAT/NAT/NAT模式模式模式模式(NAT(NAT(NAT(NAT转换转换转换转换)案例案例3.路由路由/NAT模式模式44路由路由路由路由/NAT/NAT/NAT/NAT模式模式模式模式(NAT(NAT(NAT(NAT转换转换转换转换)案例案例3.路由路由/NAT模式模式45路由路由路由路由/NAT/NAT/NAT/NAT模式模式模式模式(NAT(NAT(NAT(NAT转换转换转换转换

18、)案例案例3.路由路由/NAT模式模式46案例案例3.路由路由/NAT模式模式网络接口、网络接口、NATNAT规则配置完成后，仍然需要添加规则配置完成后，仍然需要添加相应的包过滤规则，这样防火墙允许内部客户相应的包过滤规则，这样防火墙允许内部客户机机10.1.5.20010.1.5.200访问访问internetinternet上的服务器。上的服务器。路由路由路由路由/NAT/NAT/NAT/NAT模式模式模式模式(NAT(NAT(NAT(NAT转换转换转换转换)47案例四、案例四、静态路静态路由由48静态路由静态路由静态路由静态路由案例案例4.静态路由静态路由内网内网外网外网222.111.

19、1.1222.111.1.1/24/24fe3fe3fe4fe4internet192.168.1.1192.168.1.1/30/30C:172.16.1.2C:172.16.1.2/24/24192.168.1.2192.168.1.2/30/30172.16.1.1172.16.1.1/24/24防火墙工作路由/NAT模式。内部客PC172.16.1.2需要通过防火墙访问internet上服务。防火墙和客户机之间有一台路由器。在防火墙上需要做回指路由保证客户机能访问internet。49案例案例4.静态路由静态路由静态路由静态路由静态路由静态路由50案例案例4.静态路由静态路由静态路由静

20、态路由静态路由静态路由添加目的地址是172.16.1.0网段的静态路由51案例案例4.静态路由静态路由静态路由静态路由静态路由静态路由 在本案例中，当客户机向外网发起连接时，数据包通过客户机在本案例中，当客户机向外网发起连接时，数据包通过客户机的默认网关经交换机发送到防火墙，继续通过防火墙的默认网关发的默认网关经交换机发送到防火墙，继续通过防火墙的默认网关发送到外网某台服务器。送到外网某台服务器。服务器回应的数据包通过一系列路由到达防火墙。防火墙上图服务器回应的数据包通过一系列路由到达防火墙。防火墙上图配置配置静态路由静态路由作用是将数据包的回送到交换机最终到达客户端机器，作用是将数据包的回送

21、到交换机最终到达客户端机器，保证该连接的通畅。保证该连接的通畅。52案例五案例五IPIP映射、映射、端口映端口映射射53 案例案例5.IP映射、端口映射映射、端口映射 IPIPIPIP映射、端口映射映射、端口映射映射、端口映射映射、端口映射-概述概述概述概述 作用作用：当外网主机主动发起连接访问防火墙的一个公网地址时，防火墙通过IP映射规则或者端口映射规则将访问请求映射到对应防火墙内部局域网服务器。位于外网的主机发送的请求数据包到达防火墙后，防火墙在匹配包过滤规则之前，对数据包重新封装，用指定的目的地址替代原数据包包头中目的地址即为IPIP映射映射；用指定的目的地址和目的端口替代原数据包包头中

22、的目的地址目的端口为端口映射端口映射。54内网外网10.1.5.200fe1internet10.1.5.254fe3 211.100.100.1211.100.100.2Server:192.168.1.100fe2 192.168.1.1DMZ区防火墙作IP、端口映射：局域网内部服务器192.168.1.100提供ftp服务，唯一的公网IP已被防火墙外网口使用，防火墙启用端口映射功能，将局域网内部ftp服务映射到外网，向外网客户机提供ftp服务。禁止外网客户机访问服务器192.168.1.100的其它服务。案例案例5.IP映射、端口映射映射、端口映射网络拓扑图55IPIPIPIP映射、端口

23、映射映射、端口映射映射、端口映射映射、端口映射案例案例5.IP映射、端口映射映射、端口映射56案例案例5.IP映射、端口映射映射、端口映射IPIPIPIP映射、端口映射映射、端口映射映射、端口映射映射、端口映射若此栏填写多个服务器地址则可以进行负载均衡若此栏填写多个服务器地址则可以进行负载均衡57案例案例5.IP映射、端口映射映射、端口映射IPIPIPIP映射、端口映射映射、端口映射映射、端口映射映射、端口映射IPIP映射、端口映射映射、端口映射2 2选选1 158IPIPIPIP映射、端口映射映射、端口映射映射、端口映射映射、端口映射案例案例5.IP映射、端口映射映射、端口映射59案例案例5

24、.IP映射、端口映射映射、端口映射IPIPIPIP映射、端口映射映射、端口映射映射、端口映射映射、端口映射IP映射，端口映射完成后，仍然需要添加相应的包过滤规则。60IPIPIPIP映射、端口映射映射、端口映射映射、端口映射映射、端口映射案例案例5.IP映射、端口映射映射、端口映射至此，案例中的外网客户机可以访问服务器的至此，案例中的外网客户机可以访问服务器的ftp服务。服务。61案例六、案例六、包过滤包过滤策略策略62案例案例6.包过滤策略包过滤策略包过滤策略包过滤策略包过滤策略包过滤策略-概述概述概述概述包过滤是防火墙最基本最核心的功能，Power V防火墙提供基于状态检测技术状态检测技术

25、的动态包过滤。它为防火墙提供功能强大准确高效的访问控制引擎，并且为防火墙内安全域提供信息安全保证。包过滤除支持全部的TCP/IP协议簇外还通过在“安全选项安全选项”页面对一些非IP协议进行控制。63安全策略：过滤规则安全策略：过滤规则会话连接状态缓存表会话连接状态缓存表状态检测包过滤防火墙状态检测包过滤防火墙符合符合不符合不符合符合符合状态检测包过滤检测机制状态检测包过滤检测机制丢弃丢弃下一步下一步处理处理IP数据包数据包检测包头检测包头案例案例8.包过滤策略包过滤策略64包过滤策略包过滤策略包过滤策略包过滤策略C:192.168.1.2C:192.168.1.2S:192.168.2.2S:

26、192.168.2.2192.168.1.1192.168.1.1fe1fe2192.168.2.1192.168.2.1Cilent ACilent AServer BServer B包过滤案例配置需求：包过滤案例配置需求：上图为一个只有两个网段的小型局域网上图为一个只有两个网段的小型局域网服务器服务器192.168.2.2192.168.2.2开放开放httphttp服务。服务。允许工作站允许工作站192.168.1.2192.168.1.2访问服务器的访问服务器的httphttp服务；服务；禁止工作站禁止工作站192.168.1.2192.168.1.2访问服务器其它服务。访问服务器其它

27、服务。案例案例6.包过滤策略包过滤策略65默认全通包过滤策略包过滤策略包过滤策略包过滤策略案例案例6.包过滤策略包过滤策略66包过滤策略包过滤策略包过滤策略包过滤策略案例案例6.包过滤策略包过滤策略67包过滤策略包过滤策略包过滤策略包过滤策略规则按照从上到下的顺序进行匹配。没有明确允许的数据包都会被禁止。预先定义地址对象、服务对象，在包过滤规则中引用。尽量合并同类规则，保持规则数量500以内。案例案例6.包过滤策略包过滤策略68 时间调度是让安全规则在指定的时间段内为生效状态，在其它时间段为失效状态。可选内容包括：“资源时间时间列表”和“资源时间时间组”中定义的所有资源。包过滤包过滤包过滤包过

28、滤时间调度时间调度时间调度时间调度案例案例6.包过滤策略包过滤策略69包过滤包过滤包过滤包过滤时间调度时间调度时间调度时间调度案例案例6.包过滤策略包过滤策略70包过滤包过滤包过滤包过滤时间调度时间调度时间调度时间调度至此，时间调度服务已经定义完毕。至此，时间调度服务已经定义完毕。可根据需要在包过滤规则中可根据需要在包过滤规则中引用引用。案例案例6.包过滤策略包过滤策略71 对满足条件的数据包所在的连接进行用户认证检查，如果通过检查让该包通过，如果该连接的发起端，不启动客户端到防火墙上进行认证，或者没有通过认证则丢弃该包。包过滤包过滤包过滤包过滤用户认证用户认证用户认证用户认证案例案例6.包过

29、滤策略包过滤策略72包过滤包过滤包过滤包过滤用户认证用户认证用户认证用户认证案例案例6.包过滤策略包过滤策略73包过滤包过滤包过滤包过滤用户认证用户认证用户认证用户认证案例案例6.包过滤策略包过滤策略74包过滤包过滤包过滤包过滤用户认证用户认证用户认证用户认证至此，用户认证服务已经定义完毕。至此，用户认证服务已经定义完毕。可根据需要再包过滤规则中引用。可根据需要再包过滤规则中引用。案例案例6.包过滤策略包过滤策略75包过滤包过滤包过滤包过滤用户认证用户认证用户认证用户认证案例案例6.包过滤策略包过滤策略至此，用户认证功能已经配置完毕至此，用户认证功能已经配置完毕,用户可以通过认证访问互联网。用

30、户可以通过认证访问互联网。76 POWER V防火墙采用了增强型抗攻击技术，可有效的防范拒绝服务等攻击，可以防范以下攻击类型：Syn Flood，Ping Flood，Udp Flood 等。包过滤包过滤包过滤包过滤抗攻击选项抗攻击选项抗攻击选项抗攻击选项案例案例6.包过滤策略包过滤策略防火墙上抗SYNFLOOD攻击功能可实现以下两个功能：禁止攻击流穿过防火墙，从而保护防火墙内部的主机。允许正常的访问请求穿过防火墙，从而保证正常的业务的通讯。77案例七、案例七、DHCPDHCP功功能能78DHCPDHCPDHCPDHCP功能功能功能功能概述概述概述概述防火墙本身可以作为DHCP 服务器，通过D

31、HCP协议为局域网其他主机动态分配IP地址。案例案例7.DHCP功能功能79DHCPDHCPDHCPDHCP功能网络拓扑功能网络拓扑功能网络拓扑功能网络拓扑 本案例需求：右图是一个小型网络。需要防火墙作为DHCP服务器为局域网内PC分配192.168.1.0段的IP。案例案例7.DHCP功能功能80DHCPDHCPDHCPDHCP功能功能功能功能案例案例7.DHCP功能功能81DHCPDHCPDHCPDHCP功能功能功能功能案例案例7.DHCP功能功能在地址列表里需要添加连续的地址段82DHCPDHCPDHCPDHCP功能功能功能功能案例案例7.DHCP功能功能83DHCPDHCPDHCPDHCP功能功能功能功能案例案例7.DHCP功能功能84DHCPDHCPDHCPDHCP功能功能功能功能案例案例7.DHCP功能功能8586