10 元
下载资源

防火墙使用及功能配置课件

上传人:沈*** 文档编号:241840358 上传时间:2024-07-29 格式:PPTX 页数:51 大小:828.29KB
返回 下载 相关 举报
防火墙使用及功能配置课件_第1页
第1页 / 共51页
防火墙使用及功能配置课件_第2页
第2页 / 共51页
防火墙使用及功能配置课件_第3页
第3页 / 共51页
点击查看更多>>
资源描述
防火防火墙使用及功能配置使用及功能配置防火防火墙介介绍防火墙的概念 防火防火墙墙是指是指设设置在不同网置在不同网络络(如可信任的企(如可信任的企业业内部网和不内部网和不可信的公共网)或网可信的公共网)或网络络安全域之安全域之间间的一系列部件的的一系列部件的组组合合。防火墙术语 网关网关网关网关:在两个:在两个设备设备之之间间提供提供转发转发服服务务的系的系统统。网关是互。网关是互联联网网应应用程序在两台主机之用程序在两台主机之间处间处理理流量的防火流量的防火墙墙。这这个个术语术语是非常常是非常常见见的。的。DMZDMZ非非非非军军事化区事化区事化区事化区:为为了配置管理方便,内部网中需要向外提供服了配置管理方便,内部网中需要向外提供服务务的服的服务务器往往放在一个器往往放在一个单单独的网段,独的网段,这这个网段便是非个网段便是非军军事化区。防火事化区。防火墙墙一般配一般配备备三三块块网卡,在配置网卡,在配置时时一般分一般分别别分分别连别连接内部网,接内部网,internetinternet和和DMZDMZ。吞吐量吞吐量吞吐量吞吐量:网:网络络中的数据是由一个个数据包中的数据是由一个个数据包组组成,防火成,防火墙对墙对每个数据包的每个数据包的处处理要耗理要耗费资费资源。源。吞吐量是指在不吞吐量是指在不丢丢包的情况下包的情况下单单位位时间时间内通内通过过防火防火墙墙的数据包数量。的数据包数量。这这是是测测量防火量防火墙墙性能性能的重要指的重要指标标。最大最大最大最大连连接数接数接数接数:和吞吐量一:和吞吐量一样样,数字越大越好。但是最大,数字越大越好。但是最大连连接数更接数更贴贴近近实际实际网网络络情况,网情况,网络络中大多数中大多数连连接是指所建立的一个虚接是指所建立的一个虚拟拟通道。防火通道。防火墙对墙对每个每个连连接的接的处处理也好耗理也好耗费资费资源,因此源,因此最大最大连连接数成接数成为为考考验验防火防火墙这墙这方面能力的指方面能力的指标标。数据包数据包数据包数据包转发转发率率率率:是指在所有安全:是指在所有安全规则规则配置正确的情况下,防火配置正确的情况下,防火墙对墙对数据流量的数据流量的处处理速度。理速度。并并并并发连发连接数目接数目接数目接数目:由于防火由于防火墙墙是是针对连针对连接接进进行行处处理理报报文的,并文的,并发连发连接数目是指的防火接数目是指的防火墙墙可以同可以同时时容容纳纳的最大的的最大的连连接数目,一个接数目,一个连连接就是一个接就是一个TCP/UDPTCP/UDP的的访问访问。对防火墙的需求 网网络规络规模模/流量增流量增长长的的需求需求 可靠性的需求可靠性的需求 DOSDOS攻攻击击防范的需求防范的需求 蠕虫病毒防范的需求蠕虫病毒防范的需求 日志性能需求日志性能需求FinanceBusiness PartnerRegional OfficeTelecommuterDMZHRWireless NetworkInternal attacks,malicious usersIntrusion over WLAN,Hijacked remote sessionCompromised PC,U turn attacksWorms,Trojan attacksCiscoPIXFirewall515CiscoPIX515防火墙 为为中小企中小企业业而而设计设计 并并发发吞吐量吞吐量188Mbps188Mbps 168168位位3DESIPSecVPN3DESIPSecVPN吞吐量吞吐量63Mbps63Mbps IntelIntel赛扬赛扬 433433MHzMHz处处理器理器 6464MBRAMMBRAM 支持支持 6interfaces6interfacesPIX:PrivateInterneteXchangePIX:PrivateInterneteXchange PIX515基本配件 PIX515PIX515主机主机 接口接口转换头转换头 链链接接线线 固定角架固定角架 电电源源线线 资资料料Power LEDThePIXFirewall515前面版Network LEDActive Failover UnitPIXFirewall515模块Using the quad card requires the PIX Firewall 515-UR license.PIXFirewall515双单口连接器Using two single-port connectors requires the PIX Firewall 515-UR license.ThePIXFirewall515FailoverconnectorFDXLEDLINKLED100 MbpsLEDFDXLEDConsoleport(RJ-45)10/100BaseTXEthernet 1(RJ-45)Power switchLINKLED100 MbpsLED10/100BaseTXEthernet 0(RJ-45)LINK LED通常的连接方案PIX防火墙通用维护命令访问模式 PIXFirewallPIXFirewall有有4 4种种访问访问模式模式:非特非特权权模式模式:PIX:PIX防火防火墙墙开机自开机自检检后后,就就处处于于该该模式模式,系系统统提示提示为为:pixfirewall:pixfirewall 特特权权模式模式:enable:enable进进入特入特权权模式模式,可改可改变变当前配置当前配置,显显示示为为:pixfirewall#:pixfirewall#配置模式配置模式:输输入入configureterminalconfigureterminal进进入入,绝绝大部分系大部分系统统配置配置都在都在这这里里进进行行,显显示示为为:pixfirewall(config)#:pixfirewall(config)#监视监视模式模式:PIX:PIX开机或重启开机或重启过过程中程中,按住按住escesc键键或或发发送一个送一个breakbreak字符字符进进入入监视监视模式模式,可以在此更新操作系可以在此更新操作系统镜统镜像和像和口令回复口令回复,显显示示为为:monitor:monitorPIX防火墙基本命令enableenable,enable passwordenable password,passwdpasswdwrite erasewrite erase,write memorywrite memory,write termwrite terminalinalshow interfaceshow interface,show ip addressshow ip address,show show memorymemory,show versionshow version,show xlateshow xlateexit exit reloadreloadhostnamehostname,pingping,telnettelnetenable 命令pixfirewallenablepassword:pixfirewall#configureterminalpixfirewall(config)#pixfirewall(config)#exitpixfirewall#enablepixfirewallEnablesyoutoenterdifferentaccessmodesenablepasswordpasswordpasswdpasswordpixfirewall#enable password 和 passwd 命令 设设置置进进入特入特权权模式的模式的访问访问密密码码.passwd设置telnet访问控制台口令pixfirewall#write 命令Thefollowingarethewritecommands:write netwrite net:将存将存储储当前配置的文件写入到当前配置的文件写入到TFTPTFTP服服务务器上器上write erasewrite erase:清除清除FlashFlash中的配置中的配置write floppywrite floppy:将配置文件写入将配置文件写入软盘软盘write memorywrite memory:将配置文件写入到将配置文件写入到FlashFlashwrite terminalwrite terminal:显显示存示存储储在在FlashFlash中的配置信息中的配置信息show 命令showhistoryshowmemory-显示系统内存的使用情况showmemory16777216bytestotal,5595136bytesfreeshowversion-浏览PIX防火墙操作信息showxlate-查看地址转换信息showcpuusagepixfirewall#showinterfaceinterfaceethernet0“outside”isup,lineprotocolisuphardwareisi82557ethernet,addressis0060.7380.2f16ipaddress192.168.0.2,subnetmask255.255.255.0MTU1500bytes,BW1000000Kbithalfduplex1184342packetsinput,1222298001bytes,0nobufferreceived26broadcasts,27runts,0giants4inputerrors,0crc,4frame,0overrun,0ignored,0abort1310091packetsoutput,547097270bytes,0underruns0unicastrpfdrops0outputerrors,28075collisions,0interfaceresets0babbles,0latecollisions,117573deferred0lostcarrier,0nocarrier inputqueue(curr/maxblocks):hardware(128/128)software(0/1)outputqueue(curr/maxblocks):hardware(0/2)software(0/1)show interface 命令pixfirewall#showipaddressBuildingconfigurationSystemIPAddresses:ipaddressoutside192.168.0.2255.255.255.0ipaddressinside10.0.0.1255.255.255.0ipaddressdmz172.16.0.1255.255.255.0CurrentIPAddresses:ipaddressoutside192.168.0.2255.255.255.0ipaddressinside10.0.0.1255.255.255.0ipaddressdmz172.16.0.1255.255.255.0show ip address 命令hostname and ping 命令pixfirewall(config)#hostnameproteusproteus(config)#hostnamepixfirewall hostnamehostname newnamepixfirewall(config)#pixfirewall(config)#ping10.0.0.310.0.0.3responsereceived-0Ms10.0.0.3responsereceived-0Ms10.0.0.3responsereceived-0Ms pingpingif_name ip_addresspixfirewall(config)#pixfirewall(config)#name172.16.0.2bastionhostname命令e0e2e1DMZ.2.1.1.2172.16.0.0/2410.0.0.0/24192.168.0.0/24Bastionhost关联一个名称和一个IP地址name ip_address namepixfirewall(config)#telnet 命令指定可以telnet连接到控制台的主机地址telnetip_address netmaskif_namepixfirewall(config)#killtelnet_idpixfirewall(config)#中止一个Telnet会话当前通过telnet访问控制台的主机地址wholocal_ippixfirewall(config)#pixfirewall(config)#showwhoshowwho2:From10.10.54.02:From10.10.54.0pixfirewall(config)#kill2kill2 PIX防火墙的6个常用命令PIX防火墙常用命令nameifnameifinterfaceinterfaceip addressip addressnatnatglobalglobalrouteroutenameifhardware_id if_name security_levelpixfirewall(config)#pixfirewall(config)#nameifethernet2 dmzsec50nameifnameif 命令用来命名接口并分配安全等级interfacehardware_id hardware_speedpixfirewall(config)#interfaceInterface命令用来标示网络接口的速度和双工属性pixfirewall(config)#interfaceethernet0100fullpixfirewall(config)#interfaceethernet1100full将outside 和 inside 接口 设置为100兆全双工ipaddressif_name ip_addressnetmaskpixfirewall(config)#ip addressip address 用来给每个物理接口分配地址pixfirewall(config)#ipaddressdmz172.16.0.1255.255.255.0nat(if_name)nat_id local_ip netmaskpixfirewall(config)#natnat命令用来联系一个网络和一个全局IP地址池pixfirewall(config)#nat(inside)1 0.0.0.0 0.0.0.023NATExample10.0.0.349090Source portDestination addrSource addrDestination port200.200.200.1049090Source portDestination addrSource addrDestination port192.168.0.20200.200.200.1023InsideOutsideInside LocalIP AddressGlobalIP Pool10.0.0.310.0.0.4192.168.0.20192.168.0.21Internet10.0.0.310.0.0.4Translation table10.0.0.3192.168.0.20global建立一个全局地址池,与nat联合使用pixfirewall(config)#nat(inside)10.0.0.00.0.0.0pixfirewall(config)#global(outside)1192.168.0.20-192.168.0.254pixfirewall(config)#global(if_name)nat_idglobal_ip-global_ipnetmaskglobal_mask|interface当内部主机访问外部网络时,他们所分配的地址范围是:192.168.0.20192.168.0.254 网络地址转换(NAT)配置实例Backbone,web,FTP,and TFTP serverPod perimeter routerPIX Firewall192.168.0.0/24.110.0.0.0/24e0 outside.2security level 0172.26.26.50Internete1 inside.1security level 10010.1.0.0/24pixfirewall(config)#nat(inside)110.0.0.0255.255.255.0pixfirewall(config)#nat(inside)210.1.0.0255.255.255.0pixfirewall(config)#global(outside)1192.168.0.1-192.168.0.14netmask255.255.255.240pixfirewall(config)#global(outside)2192.168.0.17-192.168.0.30netmask255.255.255.240routeif_name ip_address netmask gateway_ip metricpixfirewall(config)#routeroute命令为指定的接口输入一条静态或缺省的路由pixfirewall(config)#routeoutside0.0.0.00.0.0.0192.168.0.11172.30.0.50192.168.0.15PAT Global端口地址转换(PAT)172.30.0.5010.0.0.2490902310.0.0.3172.30.0.50200023192.168.0.15172.30.0.50200123192.168.0.15Source portDestination addrSource addrDestination portSource portDestinationaddrSource addrDestinationport10.0.0.349090Source portDestination addrSource addrDestination port23 10.0.0.2Source portDestination addrSource addrDestination portInternetPAT配置实例pixfirewall(config)#ipaddress(inside)10.0.0.1255.255.255.0pixfirewall(config)#ipaddress(outside)192.168.0.2255.255.255.0pixfirewall(config)#global(outside)1192.168.0.9netmask255.255.255.0pixfirewall(config)#nat(inside)110.0.0.0255.255.255.0分配一个分配一个 IPIP地址地址 (192.168.0.9)(192.168.0.9)到全局到全局地址池地址池源地址网络源地址网络10.0.0.0 被转换到被转换到 192.168.0.9SalesEngineering10.0.1.010.0.2.0 Information systems192.168.0.1192.168.0.2172.16.0.2Bastion hostPIX FirewallPerimeter router10.0.0.1多个网络的PAT转换pixfirewall(config)#ipaddress(inside)10.0.0.1255.255.255.0pixfirewall(config)#ipaddress(outside)192.168.0.2255.255.255.0pixfirewall(config)#global(outside)1192.168.0.8netmask255.255.255.0pixfirewall(config)#global(outside)2192.168.0.9netmask255.255.255.0pixfirewall(config)#nat(inside)110.0.1.0255.255.255.0pixfirewall(config)#nat(inside)210.0.2.0255.255.255.0SalesEngineering10.0.1.010.0.2.0 Information systems192.168.0.1192.168.0.2172.16.0.2Bastion hostPIX FirewallPerimeter router10.0.0.1将不同的内部网络转换到不同的地址上将不同的内部网络转换到不同的地址上10.0.1.010.0.1.0 的网络被转换到的网络被转换到192.168.0.8192.168.0.8.10.0.10.0.2 2.0.0 的网络被转换到的网络被转换到192.168.0.192.168.0.9 9PIX防火墙的访问控制访问控制列表(ACL)ACLACL能能够够允允许许可靠的可靠的传输传输,拒拒绝绝非非认认可的可的传输传输.ACLACL 可可针对针对每一个每一个interfaceinterface进进行配置行配置ACLACL的配置命令的配置命令:access-list,access-list,access-groupaccess-groupaccess-listaccess-list acl_name deny|permit protocol src_addr|local_addr src_mask|local_mask operator port destination_addr|remote_addr destination_mask|remote_mask operator portpixfirewall(config)#创建一个ACLACL“dmz1”拒绝从192.168.1.0网络向主机192.168.0.1的小于1025端口的TCP连接pixfirewall(config)#access-listdmz1denytcp192.168.1.0255.255.255.0host192.168.0.1lt1025附:比较运算符不指定运算符和端口就相当于指定了所有的端口Eq和一个端口号表示只对当前端口操作It(lessthan)和一个端口号表示对小于指定端口的所有端口操作Gt(greaterthan)和一个端口号表示对大于指定端口的所有端口进行操作Neq(non-eq)和一个端口号表示对除了指定端口之外的所有端口进行操作Range和一个端口范围表示只对在指定端口范围内的端口进行操作access-grouppixfirewall(config)#access-group acl_name in interface interface_name将访问列表名绑定到接口名以允许或拒绝IP信息包进入接口ACL“dmz1”绑定到interface“dmz”pixfirewall(config)#access-groupdmz1ininterfacedmzACL实例static(inside,outside)209.165.201.3 10.1.1.3access-list acl_out permit tcp any host 209.165.201.3 eq 80access-group acl_out in interface outside允许内网的所有主机访问209.165.201.3的80端口关于static和conduitstatic(local_ifc,global_ifc)global_ip|interfacelocal_ipnetmaskmask|access-listacl_namednsnorandomseqmax_connsemb_limitstatic的作用是:将局部地址映射为全局地址通常也与conduit合用 Conduitpermit|denyprotocol global_ip global_mask operator portport foreign_ip foreign_mask operator portportconduit:为向内连接添加、删除或显示通过防火墙的管道Static(inside,outside)tcp172.18.124.99telnet10.1.1.6Static(inside,outside)tcp172.18.124.99telnet10.1.1.6telnetnetmask255.255.255.25500telnetnetmask255.255.255.25500实例*外部用户向172.18.124.99的主机发出Telnet请求时,重定向到10.1.1.6。*外部用户向172.18.124.99的主机发出FTP请求时,重定向到10.1.1.3。*外部用户向172.18.124.208的端口发出Telnet请求时,重定向到10.1.1.4。*外部用户向防火墙的外部地址172.18.124.216发出Telnet请求时,重定向到10.1.1.5。*外部用户向防火墙的外部地址172.18.124.216发出HTTP请求时,重定向到10.1.1.5。*外部用户向防火墙的外部地址172.18.124.208的8080端口发出HTTP请求时,重定向到10.1.1.7的80号端口。static(inside,outside)tcp172.18.124.99telnet10.1.1.6telnetnetmask255.255.255.25500static(inside,outside)tcp172.18.124.99ftp10.1.1.3ftpnetmask255.255.255.25500static(inside,outside)tcp172.18.124.208telnet10.1.1.4telnetnetmask255.255.255.25500static(inside,outside)tcpinterfacetelnet10.1.1.5telnetnetmask255.255.255.25500static(inside,outside)tcpinterfacewww10.1.1.5wwwnetmask255.255.255.25500static(inside,outside)tcp172.18.124.208808010.1.1.7wwwnetmask255.255.255.25500conduitpermittcphost172.18.124.99eqtelnetanyconduitpermittcphost172.18.124.99eqftpanyconduitpermittcphost172.18.124.208telnetanyconduitpermittcpinterfacetelnetanyconduitpermittcpinterfacewwwanyconduitpermittcphost172.18.124.208eq8080anypixfirewall(config)#writeterminal.nameifethernet0outsidesec0nameifethernet1insidesec100access-listacl_outdenytcpanyanyeqwwwaccess-listacl_outpermitipanyanyaccess-groupacl_outininterfaceinsidenat(inside)110.0.0.0255.255.255.0global(outside)1192.168.0.20-192.168.0.254netmask255.255.255.0.拒绝Web访问拒绝内部网络对外部网络的80端口访问允许其他IP协议的数据传送www InternetIPInternet允许DMZ中的web主机访问pixfirewall(config)#writeterminal.nameifethernet0outsidesec0nameifethernet1insidesec100nameifethernet2dmzsec50ipaddressoutside192.168.0.2255.255.255.0ipaddressinside10.0.0.1255.255.255.0ipaddressdmz172.16.0.1255.255.255.0static(dmz,outside)192.168.0.11172.16.0.2access-listacl_in_dmzpermittcpanyhost192.168.0.11eqwwwaccess-listacl_in_dmzdenyipanyanyaccess-groupacl_in_dmzininterfaceoutside.Web server.2.1.1.2172.16.0.0/2410.0.0.0/24192.168.0.0/24InternetACLacl_in_dmz允许internet主机访问非军事区的web主机ACLacl_in_dmz禁止该web主机与外部主机间其他任何协议的通信注意:access-list和conduit的区别,前者是主机间直接的通信,后者是通过防火墙做中间的代理谢谢
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 管理文书 > 施工组织


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!