CCSP-CSPFA自学指南学习笔记
3-1-1 访问模式
注意:和Cisco IOS路由器相比,PIX防火墙CLI环境的一个突出优点就是,在配置模式下可以执行所有功能,不必从配置模式退出来,就可以列出正在运行的和当前保存的配置,可以在配置模式下使用所有的Show 和Debug命令。
3-1-2基本命令:
pixfirewall> enable //进入特权模式
password: //输入密码
pixfirewall# //特权模式已经已进入
pixfirewall# configure terminal //进入配置模式
pixfirewall(config)# exit //返回上一层的模式
pixfirewall# exit //同上
命令Help
20 欢迎光临大家一起来学习网络!
CCSP-CSPFA自学指南学习笔记
如果在一个命令的前面输入Help(例如help nameif),会列出这个命令的说明和语法。访问模式不同,使用Help列出的命令数量也不同。另外,在命令行中可以只输入命令本身,然后按回车,就可以查看这个命令的语法。
命令
Hostname
Hostname命令可以改变提示符的主机名称标签,主机名最多不超过16个数字或字符,大小写均可。默认的主机名是pixfirewall.
语法格式:
Hostname newname
3-1-3文件管理
当没有配置的PIX防火墙启动时,它会提示你通过交互的方式进行预先配置。如果按回车,接受了缺省的答案yes,你会看到一系列的提示信息,帮助你一步一步地完成配置。如下图
欢迎光临大家一起来学习网络! 21
CCSP-CSPFA自学指南学习笔记
Setup配置对话
命令Show running-config 可以把PIX防火墙RAM中当前的配置显示在终端屏幕上,也可以使用命令 Write Terminal 来显示当前配置。
注意:PIX防火墙软件版本6.2或更高才支持Show run 和 Show start命令
命令write Memory把当前正在运行的配置保存到闪存中时。
命令clear configure all 会把running-config 的内容清空。
命令 write erase 可以清除Flash闪存中的配置(即Start-config)。
命令relaod 可以重启设备
命令reload noconfirm可以让PIX重新加载而不需要用户确认。PIX不支持noconfirm的缩写形式。
22 欢迎光临 https://www.doczj.com/doc/a812451855.html, 大家一起来学习网络!
CCSP-CSPFA自学指南学习笔记
命令Dir显示存储的文件
命令Boot
Flash中可以存储多个系统镜像和配置文件,boot命令可以选择那个文件启动。格式如下: Boot
[system | config]
命令Show bootvar用来显示系统的启动镜像
命令tftp-server
如果没有指定接口名,则默认使用内部接口。如果指定了外部接口,一个告警信息会提示你外部接口不安全。
如果在tftp-server命令中指定了完整的路径名和文件名,configure net和write net 命令中的IP地址可用“:”来替代。
命令no tftp-server用来禁止访问服务器,而命令Clear tftp-sever则把tftp-server命令从配置文件中删除。
命令Show tftp-server显示当前配置文件中tftp-server命令语句。
注意:PIX防火墙只支持一台TFTP服务器。
欢迎光临大家一起来学习网络! 23
CCSP-CSPFA自学指南学习笔记
Write net 和 Configure net命令
例子:
命令configure net告诉PIX读取名为test_config的文件,并把它和当前的runing-config文件进行合并。
命令write net告诉PIX把合并后的配置存成test_config文件(在这种情况下,文件会被覆盖)
命令name 建立一个名字到IP地址列表的映射
Name ip_address name
例如,要把名字mailserver分配给主机172.16.0.2,可以使用下面的命令:Name 172.16.0.2 mailserver
可以用no name 禁止名字到IP映射的使用。使用clear name 命令即会把所有已经存在映射清除
3-1-4 检查防火墙的状态的命令
【1】命令show memory
Show memory可以显示最大的物理内存的总和,显示PIX防火墙操作系统当前可用的空闲内存。
【2】命令show version
Show version 可以用来显示PIX防火墙的软件版本,自上次重启以后的运行时间,处理器类型,闪存类型,接口板,序列号,激活密钥值。
【3】命令show ip address
命令show ip address 用来查看每个网络接口上分配的IP地址。当前的IP地址和故障倒换活动防火墙的系统IP地址相同。当活动防火墙出现故障后,当前的IP 地址变成备用防火墙的地址。
24 欢迎光临大家一起来学习网络!
CCSP-CSPFA自学指南学习笔记
如图:
【4】命令show interface
命令show interface 可以查看网络接口信息,用于确定类似于双工不匹配这类物理连接问题。
【5】命令show cpu usage
命令show cpu usage 显示cpu
的使用情况,在下面的输出例子中,表示的是CPU5秒钟内的利用率为10%;平均1分钟的利用率为20%;平均5分钟的利用率为30%.
25 欢迎光临大家一起来学习网络!
CCSP-CSPFA自学指南学习笔记
【6】命令ping
命令ping 确定PIX防火墙是否已经连接好,或者网络上某台主机是否可达(PIX 防火墙可以看到)。命令输出显示是否收到了响应。如果收到了响应,表明主机在网络上,如果没有收到响应,命令输出显示“no response received ”。默认情况下,ping命令尝试3次到达目的地。如图示:
如果想让内部的主机能够ping外部的主机,必须创建一个针对echo-reply的ICMP审计或者访问列表。
如果正在ping的主机或路由器之间经过了PIX防火墙,并且ping不成功,可以使用命令debug icmp trace来观察ping的故障所在。
当PIX防火墙配置好,运行以后,就不能从外部网络或从外部接口ping通PIX防火墙的内部接口了。如果能从内部接口ping通内部网络,并且能从外部接口ping 通外部网络,PIX防火墙就正常工作了,路由是正确的。
3-1-5时间设置和NTP支持
命令clock可以设置PIX防火墙的时钟,指定时间,月份,日期和年。当防火墙关机时,主板上的电池可以继续维持内存中的时钟配置。
PIX防火墙能够为系统事件产生日志消息,并且把这些消息记录到系统日志服务器上,如果想让系统日志包含时间戳信息,需要输入logging timestamp,该命令前提是必须使用clock set命令来设置时间,以保证系统日志消息时间的正确性。
命令show clock可以查看时间,显示出时间,时区,星期和完整的日期,使用命令clear clock可以删除clock set命令。
命令clock set
命令ntp
命令ntp server让PIX防火墙和指定的网络时间服务器保持同步。可以配置PIX 防火墙要求在与NTP服务器进行同步时进行认证。要启动并支持认证,需要几条其他的ntp命令配合ntp server命令。
ntp server ――指定ntp服务器ip
ntp authentication ――启用ntp 认证
ntp authentication-key ――定义ntp命令使用的认证密钥
ntp trusted-key ――定义一个或多个密钥号码,为了PIX防火墙接收与NTP服务器的同步,NTP服务器在它的NTP数据包中提供密钥号码。如果NTP认证启动了,必须使用这个命令。Show ntp ――显示ntp的配置
Clear ntp ――删除ntp的配置,包括关闭认证,删除所有的认证密钥和所有指定的ntp服务器
下面是ntp命令的格式用法:
欢迎光临大家一起来学习网络! 26
CCSP-CSPFA自学指南学习笔记
ntp server ip_address [key number] source if_name [prefer]
下面的例子是,指定位于内部接口的10.0.0.12的ntp服务器作为PIX防火墙的优选网络时间源。
3-2 ASA安全级别
ASA在PIX防火墙控制的网络之间构成安全边界。ASA在设计上是基于状态的面向连接的,能够创建基于源和目的地址的会话流:在完成连接之前,能够对TCP顺序号、端口号和TCP标记进行随机处理。这个功能始终都在运行,监视着每个返回的数据包,确认它们的正确性。
27 欢迎光临大家一起来学习网络!
CCSP-CSPFA自学指南学习笔记
安全级别的基本规则是:具有较高安全级别的接口可以访问具有较低安全级别的接口。反过来,在没有设置管道(conduit)和访问控制列表(ACL)的情况下,具有较低安全级别的接口不能访问具有较高安全级别的接口。
安全级别100―――这是PIX防火墙内部接口的最高安全级别,是PIX防火墙的缺省设置,且不能改变。因为100是最值得信任的接口安全级别,你应该把公司网络建立在这个接口的后面。这样,除非经过特定的允许,其他接口都不能访问这个接口,而这个接口后面的每台设备都可以访问公司网络外面的接口。
安全级别0―――这是用在PIX防火墙外部接口的最低安全级别,是防火墙的缺省设置,且不能更改。因为0是值得信赖的最低级别,所以应该把最不信任的网络接口接到整个接口后面。这样,除非经过特定的许可,它不能访问其他的接口。这个接口通常用于连接Internet。
安全级别1-99―――这些是分配与PIX防护墙相连的边界接口的安全级别。你可以根据每台设备的访问情况来给它们分配相应的安全级别。
较高安全的接口访问较低安全的接口――-源自PIX防火墙具有安全级别100的内部接口数据流,要访问安全级别为0的外部接口,遵循如下的规则:允许所有基于IP的数据流,除非有ACL、认证或授权的限制。
较低安全的接口访问较高安全的接口―――从PXI防火墙安全级别为0的外部接口访问安全级别为100的内部接口,遵循如下的规则:除非使用命令conduit或access list进行明确的许可,否则丢弃所有的数据包。如果使用认证和授权可以进一步限制数据的通过。
相同安全级别的接口互相访问―――具有相同安全级别的接口之间没有数据流。
28 欢迎光临 https://www.doczj.com/doc/a812451855.html, 大家一起来学习网络!
CCSP-CSPFA自学指南学习笔记
ASA安全级别举例接口对
外部0到DMZ 50
与DMZ接口的相对关系 DMZD是可以信任的
配置指导
必须配置statics和ACL,让源自外部接口的会话可以到达DMZ接口
允许源自内部接口的会话访问DMZ接口,需要配置globals和
nat命令。要让服务主机具有相同的源地址,需要为DMZ接口配置statics命令
内部安全100到DMZ安全50 认为DMZ是不能信任的
3-3-1 PIX防火墙基本配置
Nameif ―――给每个边界接口分配一个名字,并指定安全级别。Interface ―――配置每个边界接口的类型和能力ip address ―――给每个接口分配IP地址
nat ―――对外部网络隐藏内部内网的IP地址
global ―――使用一个IP地址池对外。部网络隐藏内网的IP地址。route ―――为一个接口定义一个静态或缺省路由。
命令nameif
――给PIX防火墙的每个边界物理或逻辑接口分配一个名字,并指定它们的安全级别。范例:
//给接口ethernet2命名为dmz,安全级别50
clear nameif ――清除命名
show nameif ――显示命名接口
命令Interface
――它指明硬件、设置硬件的速率、启动接口。选项shutdown禁用接口。当首次安装PIX防火墙时,所有的接口缺省是关闭的。需要通过interface命令,不加shutdown参数来启动这些接口。
欢迎光临大家一起来学习网络! 29
CCSP-CSPFA自学指南学习笔记
范例:
命令ip address
在对一个接口进行了配置,并使用命令interface和nameif进行了命名以后,还必须使用命令ip address
给这个接口分配一个IP地址。如果输入这个命令时出现了错误,可以重新输入正确的信息。
clear ip命令把所有的接口地址重新设置为127.0.0.1,
并清除每个PIX防火墙接口的配置。
范例:
30 欢迎光临大家一起来学习网络!
CCSP-CSPFA自学指南学习笔记
命令
ip address outside dhcp
它可以给外部接口启用DHCP客户端功能,让其自动获取DHCP服务器分配的IP 地址。 Show ip address dhcp 可以查看当前的DHCP租用的相关信息。
重新输入ip address outside dhcp会释放并重新获得DHCP租用,也可以使用命令clear ip来释放并重新获得DHCP租用,但是它会清除每一个PIX防火墙接口的配置。
命令clear ip address outside dhcp只删除外部接口上通过DHCP租用的IP地址
命令debug dhcp packet | detail |error为DHCP客户端功能提供了诊断工具。
范例:
另外ip address dhcp 还可以加以下参数:
Ip address xxxx dhcp setroute //告诉PIX防火墙使用DHCP服务器分配的默认网关来当作默认路由
Ip address xxxx dhcp retry //启动PIX防火墙再次尝试再次获取DHCP信息的功能xxxx为接口名称
注意:PIX防火墙DHCP客户端不支持配置故障倒换
31 欢迎光临大家一起来学习网络!
CCSP-CSPFA自学指南学习笔记
3-3-2 NAT命令
在你的防火墙上启用nat的第一步是输入nat命令。通过nat命令可以指定转换一台主机或一个主机范围。还可以使用nat (inside)1 0.0.0.0 0.0.0.0 命令来转换所有内部主机产生的出站连接,如图示
注意:可以使用一个0来代替0.0.0.0 0.0.0.0来简化nat命令的条目
当防火墙位于另一个nat设备后面时,你可以使用nat 0 命令来配置PIX防火墙,使PIX防火墙不对通过它的数据包进行地址转换。
范例:
该例子把网络10.0.0.0 中主机发起的出站连接进行地址转换,而当网络
192.168.0.0 中的主机发起的出站连接通过PIX防火墙时,则不对其进行地址转换。
3-3-3 Global命令
当某台内部主机通过防火墙访问外部网络时,你可以使用global命令和nat命令来为这台内部主机分配一个注册或者公共的IP地址。如果使用了nat命令,就必须使用global命令来定义用于转换的IP地址池。
使用no global命令删除相应的
global条目
范例:
允许对所有内部主机进行NAT,并将它们的私有地址转换成192.168.0.20到192.168.0.254范围中的公共地址。
32 欢迎光临大家一起来学习网络!
CCSP-CSPFA自学指南学习笔记
3-3-3 Route命令
在任何的PIX防火墙基础配置中都需要route命令,该命令为一个接口定义一条静态默认路由。
如果想通过一台IP地址为192.168.0.1的路由器路由所有的出站数据包(外部接口),请使用如下命令:
在PIX上防火墙为了配置可达所有的网络的路由,需要配置多条route命令语句。例如:如果10.0.1.11和10.0.2.4这两个网络连接到一台路由器上,并且这台路由器与PIX防火墙DMZ接口的连接地址为10.0.0.102 。如上图,在PIX防火墙上配置到达这两个网络所需的静态路由是:
你可以使用PIX防火墙上一个接口的IP地址作为网关地址。如果这样做了,PIX 防火墙在广播一个地址解析协议ARP请求时,所有咨询的MAC地址是数据包中的目的地址所对应的MAC地址,而不是缺省网关IP地址所对应的MAC地址。欢迎光临大家一起来学习网络! 33
CCSP-CSPFA自学指南学习笔记
3-3-4 Syslog日志配置
PIX能够发送系统日志消息到任何一台系统日志服务器(syslog server)。在系统日志服务器或主机处与于离线状态时,PIX防火墙能够最多存储100条消息到它的内存中。后续到达的消息将从缓存的第一行开始覆盖。
PIX防火墙发送的系统日志消息将记录以下的事件:
安全――丢弃的UDP数据包和拒绝的TCP连接
资源――连接通告和转换槽消耗
系统――通过console和telnet的登陆和退出,以及重启PIX防火墙
统计――每个连接传输的字节数
Logging 选项
欢迎光临大家一起来学习网络! 34
CCSP-CSPFA自学指南学习笔记
要想产生系统日志消息,第一步是在PIX防火墙上使用logging on命令启用日志功能Logging console ―― 输出到console上,使用logging console会让系统性能下降
Logging buffered ――将系统日志消息发送到内部缓存中,最多可以存储100条系统日志消息。使用show logging 显示buffered内容和clear logging清除buffered内容。
Logging monitor ―― 指定在PIX防火墙的telnet会话上显示系统日志消息。Logging host ――指定一台系统日志服务器,用来接收PIX防火墙发送的消息。Logging snmp ――指定一台Snmp服务器接收PIX系统日志消息
范例:
3-3-4 DHCP配置
DHCP基础知识
DHCP数据流传输主要是以广播形式发送,而路由器配置的一个主要目的就是抑制不必要的广播数据包,所以有必要在DHCP服务器和客户端之间的路由器上允许转发DHCP广播数据包。可以通过ip helper-address接口配置命令让cisco ios 转发这些广播信息。命令里的
地址应该是DHCP服务器的地址。
DHCP服务过程:
欢迎光临大家一起来学习网络! 35
CCSP-CSPFA自学指南学习笔记
1. 客户端在自己的本地物理子网内广播一个DHCPDiscover消息,来寻找可用的DHCP服
务器
2. 任何一台可达的DHCP服务器都将回应一个DHCPDiscover消息,其中包括一个可用的
网络地址和其他配置参数。
3. 根据DHCPOffer消息中提供配置参数,DHCP客户端选择一台用来请求配置参数的服务
器,并向该服务器广播一个DHCPRequest消息,请求这台服务器所能提供的参数,同时它将隐含地址拒绝来自其他服务器的参数。
4. 被选中的DHCP服务器接收到DHCPRequest后将回应一个DHCPAck消息,其中包含客
户请求的配置参数。如果这台服务器不能满足DHCPRequest,将回应一个DHCPNak消息。
DHCP配置步骤:
【1】使用ip address 命令为内部接口分配一个静态的IP地址
【2】使用dhcpd address命令为DHCP服务器指定一个可分发的地址范围
【3】使用dhcpd dns命令指定客户端使用的dns服务器的ip地址,这步是可选的【4】使用dhcpd wins命令指定客户端使用的wins服务器的ip地址,这步是可选的
【5】指定 TFTP服务器的IP地址,这步是可选的
【6】使用dhcpd lease命令指定准许客户端使用地址的时间租期
【7】使用dhcpd ping timeout命令指定ping的timeout值,这步是可选的
【8】使用dhcpd domain 命令配置客户端使用的域名。这步是可选的
【9】使用dhcpd enable 命令在PIX防火墙上启动DHCP的后台程序,并在相应的接口
上监听来自客户端的请求。
范例:
DHCP调试命令
debug dhcpd event //显示与DHCP服务器相关的事件信息
debug dhcpd packet //显示与DHCP服务器相关的数据包信息
clear dhcp //删除所有的DHCP命令语句
clear dhcp bindings //删除给定服务器的IP地址,与之关联的客户端硬件地址以及地址的租期三者之间的绑定信息
clear dhcp statistics //删除统计信息。例如:地址池,绑定的数量,不完整的消息、发送的消息以及接收的消息
PIX防火墙可以充当DHCP服务器,也可以充当DHCP客户端,还可以同时充当服务器客户端。当PIX防火墙既是DHCP服务器又是DHCP客户端时,可以用客户端的身份获取DNS,WINS和域名,并自动地以服务器的身份为其客户端主机提供这些参数。
36 欢迎光临大家一起来学习网络!
CCSP-CSPFA自学指南学习笔记
DHCP中继
在版本为6.3的PIX上引入了dhcprelay 命令。通过该命令你可以配置PIX防火墙为一台DHCP中继代理。在PIX防火墙上启用该功能可以帮助处于任意接口上的IP主机进行动态配置。当启用这个功能时,在一个特定的接口上接收到来自主机的DHCP请求将被转发到用户配置的位于其他接口的DHCP服务器。在site-to-
site VPN或Easy VPN中可以使用DHCP中继选项,这样公司能够集中管理他们的IP地址。
DHCP中继命令
dhcprelay enable 接口名 //为接收客户端请求的接口名
dhcprelay server 服务器IP 相连接口名
dhcprelay setroute 接口名 //为接收客户端请求的接口名,可将来自DHCP服务器数据包中缺省默认路由地址改为PIX防火墙接口上的地址,即客户端直连的接口。
dhcprelay timeout 妙 //默认为60妙后超时
clear dhcprelay //删除所有的dhcprelay配置
show dhcprelay //显示当前的DHCP中继的配置
范例:
3-3-5 PPPoE和PIX防火墙
欢迎光临大家一起来学习网络! 37
CCSP-CSPFA自学指南学习笔记
本文由no1moonboy贡献 doc1。 双 CheckPoint 防火墙实施方案 目 录 第一章 客户环境概述…… 4 1.1 概述 …… 4 1.2 网络拓扑与地址分配表 …… 4 1.3 安装前准备事宜 …… 6 第二章 Nokia IP380 安装与配置 …… 7 2.1 概述 …… 7 2.2 初始化 nokia380 …… 7 2.3 设置 nokia 基本信息 …… 8 2.3.1 Nokia 端口 IP 地址设定 …… 8 2.3.2 设置网关路由 …… 8 2.3.3 设置 Nokia 平台时间 …… 9 2.3.4 设定 Nokia 高可用 VRRP 参数 …… 9 2.4 初始化 checkpoint …… 14 2.4.1 在 nokia 平台上 checkpoint 的安装与卸载 …… 14 2.4.2 初始化 checkpoint …… 16 第三章 管理服务器的安装与配置…… 17 3.1checkpoint smartcenter 的安装…… 18 3.1.1 安装前的准备 …… 18 3.1.2 安装步骤 …… 18 3.2 配置 checkpoint 对象和参数 …… 20 3.2.1 建立 sic …… 20 3.2.2 定义防火墙对象拓扑结构 …… 21 3.2.3 使用同样的步骤按照表 1 的参数建立 IP380B checkpoint gateway 对象。 …… 21 3.3 基于 nokia vrrp 或者 cluster 的设置…… 22 3.3.1 基于 Nokia VRRP 的设置 …… 22 3.3.2 为 nokia vrrp 定义策略 …… 22 3.3.3 高可用性的检查 …… 23 3.4nokia cluster 的设置 …… 23 3.5 暂时没有 …… 23 第四章 策略设定…… 24 4.1 概述 …… 24 4.2 netscreen 的策略 …… 24 4.3 经过整理后转换成 checkpoint 的策略 …… 24 4.4 设定策略 …… 24 4.4.1 定义主机对象 …… 24 4.4.2 定义网络对象 …… 25 4.4.3 定义组 …… 26 4.4.4 定义服务 …… 26 4.4.5 添加标准策略 …… 27 4.4.6 添加 NAT 策略…… 27 第五章 切换与测试…… 29 5.1 切换 …… 29 5.2 测试 …… 29 5.3 回退 …… 30 第六章 日常维护…… 31 6.1 防火墙的备份与恢复 …… 31 6.1.1 nokia 防火墙的备份与恢复方法 …… 31 6.1.2 checkpoint management 上的备份与恢复 …… 33 第一章 客户环境概述 1.1 概述 XXXXXX 公司因应企业内部的网络需求,对总部网络进行扩容改动,中心 防火墙从原来的 netscreen 换成两台 Nokia IP380,两台 nokia 互为热备。维持原 有的服务不变。 由于这次网络改动比较大,所以先离线进行安装和测试,最后再进行切换 1.2 网络拓扑与地址分配表 XXXXXX 改造前网络拓扑如下 改动后,XXX 将按照以下图进行实施 改动后, 给个设备及端口的地址分配入下表所示 IP 地址分配表(表 1) 管理服务器参数 IP 地址 防火墙各端口参数 端口 Eth1 用途 外网 口 Eth2 Eth3 Eth4 ? DMZ 内网 同步 口 gateway 静态路 由 172.16.100.5/30 172.16.100.6/30 172.16.100.1/30 10.101.1.101/24 10.101.1.102/24 10.101.1.1/24 192.168.11.1/24 192.168.11.2/24 Nokia380A Nokia380B 虚拟地址 1.3 安装前准备事宜 1.管理服务器硬件平台 CPU 奔腾 3 500 以上 内存 128 以上 硬盘 60M 以上 操作系统,windows 2000 server +SP4 补丁 2.网络连线 3.Checkpoint 及 nokia 管理软件 Checkpoint NG AI R55 安装包 for windows hotfix09 或以上 4.Nokia IP380 设备两台 内置 IPSO3.8 build 39 内置 checkpoint NG AI R55 安装包 第二章 Nokia IP380 安装与配置 2.1 概述 首先我们可以对两台 Nokia IP380 进行安装与配置,由于 Nokia 防火墙将会 替代 Netscreen,所以 Nokia 防火墙可以进行离线配置。配置步骤如下。 2.2 初始化 nokia380 1. 使用 nokia console 线,连接 nokia console 口和管理 pc 的串行端口,
前言 3 一、防火墙的概况、应用及功能 3 1.1 防火墙的定义 3 1.2防火墙的种类 4 1.2.2网络层防火墙 4 1.2.2应用层防火墙 4 1.2.3数据库防火墙 5 1.3 防火墙的功能 5 二、使用设置 5 2.1使用习惯 6 2.1.1所有防火墙文件规则必须更改 6 2.1 .2以最小的权限安装所有的访问规则 6 2.1.3 根据法规协议和更改需求来校验每项防火墙的更改 6 2.1.4当服务过期后从防火墙规则中删除无用的规则 7 2.2配置 7 2.3工作模式 8 2.3.1 透明网桥模式 8 2.3.1.1适用环境 9 2.3.1.2组网实例 9 2.3.2 路由模式 10 2.3.2.1适用环境 11 2.3.2.2NAT(网络地址转换) 11 2.3.2.3组网实例 12 三、总结 13
一、前言 随着计算机的日益发展,计算机早已深入到各个领域,计算机网络已无处不在。而internet的飞速发展,使计算机网络资源共享进一步加强。随之而来的安全问题也日益突出。在人们对网络的优越性还没有完全接受的时候,黑客攻击开始肆虐全球的各大网站;而病毒制造者们也在各显其能,从CIH到爱虫.中毒者不计其数。一般认为,计算机网络系统的安全威胁主要来自黑客的攻击、计算机病毒和拒绝服务攻击三个方面。目前,人们也开始重视来自网络内部的安全威胁。我们可以通过很多网络工具、设备和策略来为我们的网络提供安全防护。其中防火墙是运用非常广泛和效果最好的选择。然而购买了防火墙设备,却不是仅仅装上了硬件就能发挥作用的,而是需要根据你的网络结构和需求在合适的工作模式下配置相应的安全策略,才能满足你的安全需求。由此引出的问题和解决办法就是本文的主要研究对象。 一、防火墙的概况、应用及功能 1、防火墙的定义 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。 在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)
win7防火墙设置指南、多重作用防火墙策略以及设置方法 214小游戏https://www.doczj.com/doc/a812451855.html,/ windows XP集成防火强常被视为鸡肋,不过随着vista和WIN7的发布,微软对于防火墙的两次升级让windows的firewall不再是系统的累赘,特别是win7的firewall,强悍的功能让微软的防火墙也有了“专业”的味道。 本文就教大家来了解一下windows7下的 firewall设置以及向你展示怎样对多重作用防火墙策略下对Firewall进行配置。Windows Firewall的演变过程。 一、windows防火墙的演变 Windows XP中的防火墙是一款简单、初级仅保护流入信息,拦截任何不是由你主动发启入站连接的软件--它是默认关闭的。SP2后它才被默认启动并可以通过组策略的方式由管理员进行配置。而 Vista Firewall 是建立在一个新的Windows Filtering Platform (WFP、Windows过滤平台)上、并通过Advanced Security MMC嵌入式管理单元添加了新的过滤外发信息的能力。在Windows 7中MS对firewall做了进一步的微调,使其更具可用性,尤其针对移动计算机,更是舔加了对多重作用防火墙策略的支持。 二、windows 7 firewall(防火墙)设置方法 与Vista相同的是,可以通过访问控制面板程序对Windows 7 firewall进行基础配置。与Vista不同的是,你还可以通过访问控制面板的方式对其进行高级配置(包括对出站连接过滤器的配置),而不是一定要创建空白MMC并加入嵌入式管理单元来实现。只是点击一下左侧面板里的高级配置选项。 更多的网络配置 Vista firewall允许你去选择是在公共网格上还是在专用网络中,而在Windows 7中你有三个选择--公用网络、家庭网络、办公网络。后两个选项是专用网络的细化。 如果你选择了“家庭网络”选项,你将可以建立一个“家庭组”。在这种环境中,“网路发现”会自动启动,你将可以看到网络中其它的计算机和设备,同时他们也将可以看到你的计算机。隶属于“家庭组”的计算机能够共享图片、音乐、视频、文档库以及如打印机这样的硬件设备。如果有你不想共享的文件夹在文档库中,你还可以排除它们。 如果你选择的是“工作网络”,“网路发现”同样会自动启动,但是你将不能创建或是加入“家庭组”。如果你的计算机加入了Windows域(通过控制面板--系统和安全--系统--高级系统配置--计算机名选项卡)并通过DC验证,那么防火墙将自动识别网络类型为域环境网络。 而“公用网络”类型是当你在机场、宾馆、咖啡馆或使用移动宽带网络联通公共wi-fi 网络时的适当选择,“网路发现”将默认关闭,这样其它网络中的计算机就不会发现你的共享而你也将不能创建或加入“家庭组”。 在全部的网络模式中,Windows 7 firewall都将在默认情况下拦截任何发送到不属于白名单中应用程序的连接。Windows 7允许你对不同网络类型分别配置。 多重作用防火墙策略 在Vista中,尽管你有公用网络和私用网络两个配置文件,但是只会有一个在指定的时间内起作用。所以如果你的计算机发生要同时连接两个不同网络的情况,那你就要倒霉啦。最严格的那条配置文件会被用户到所有的连接上,这意味着你可能无法在本地(私用)网络中做你想做的事,因为你是在公用网络在规则下操作。而在Windows 7 (和 Server 2008 R2)中,不同网络适配器上可以使用不同的配置文件。也就是说专用网络之间的网络连接受专用网络规则支配,而与公用网络之间的流量则应用公用网络规则。 起作用的是那些不显眼的小事 在很多事例中,更好的可用性往往取决于小的改变,MS听取了用户的意见并将一些“不
防火墙基本操作及应急措施陈世雄安全工程师 CCSE
议程 ?智能边界安全解决方案?CheckPoint 配置基础?常见问题及应急措施
Check Point 简介 ?最受信赖、最可依靠的互联网安全厂商 –我们致力发展安全领域——并且比任何厂商更优秀! –全球财富100企业中,100%企业使用我们的产品 –在防火墙和虚拟专用网络(VPN)市场中占有领导 地位 ?在全球 VPN/防火墙软件市场销售额中占70%份额 (Infonetics提供数据) ?VPN/防火墙软件市场占有率超过 54% (IDC提供数据) ?安全硬件设备市场份额中有 36% 为 Check Point 产品(由 Infonetics 提供) ?以客为本的企业原则 –业界领先的技术合作伙伴关系 –强大且广泛的渠道合作伙伴关系
状态检测 / FireWall-1 1993 OPSEC 1997 VPN-1 1998 Next Generation 2001 SmartDefense 2002 应用智能 2003 Check Point: 一直走在客户现实需求的前面 创新历程 1994 1995 1996 1999 2000 Web 智能 2004
我们的策略 2004上半年提供! ? 安全远程访问 ? Web 服务器保护 ? 统一认证 ? 一致性策略管理 ? 市场领先 ? 十年的成功史 ? 最新发布 - InterSpect 2.0 - Connectra 2.0 - Intergrity 6.0 ? Check Point InterSpect ? Zone Labs SMART 管理 无忧保护 边界 深入检查 智能 安全解决方案
本篇要为大家介绍一些实用的知识,那就是如何配置防火中的安全策略。但要注意的是,防火墙的具体配置方法也不是千篇一律的,不要说不同品牌,就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。 一. 防火墙的基本配置原则 默认情况下,所有的防火墙都是按以下两种情况配置的: ?拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 ?允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3 和SMTP 的进程。 在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则:(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。 (2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。 3). 内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境
(一)初始化设备 1)初始化配置步骤: 1.用超级终端通过串口控制台连接(RJ-45 null-modem 线缆)来完成初始配置。完成初始配置后,可不再使用控制台。 2.打开NetEye 设备的电源开关。 3.终端控制台将显示如下提示: LILO 2 bootmgr Press key '2' to enter BOOTMGR command mode 该提示信息将显示约5 秒钟,在此期间输入1 并按回车。 4.配置设备。 Config the firewall or quit (y/n)(n)y 5.修改主机名。 Please input the host name for this system Host name:
(2) Chinese Please input a choice[1-2,q](2) <1、2 或q> 选择2,中文,回车 8.更改根管理员口令。(此步骤可选,但东软强烈建议首次登录后修改口令。) Changing default password of root(y/n)(y): Old password(6-128): neteye Password(6-128): < 新密码> Repeat Password(6-128): < 新密码> 这里我们不更改它的默认密码,选择n 9.添加根系统管理员及选择登录方式。 Creating an administrator(y/n)(y): Username: < 用户名> Please select a login type (1) Web (2) Telnet (3) SSH (4) SCM Please input a choice[1-4](1)(example: 1,2,3):1,2,3,4 Password(6-128): < 密码> Repeat Password(6-128): < 密码> 选择y,添加ycz用户,设备相应密码,Web管理,Telnet。
Checkpoint R65 Test Plan Revision 0.1 2009-10-14 Author: Peng Gong
Revision History
1‘FW MONITOR’ USAGE (7) 2TEST SUITES (7) 2.1R65I NSTALL &U NINSTALL (7) 2.1.1Create a v3 vap-group with vap-count/max-load-count set >1, Confirm R65 and related HFA could be installed on all vap within vap-group successfully (7) 2.1.2Create a v4 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (9) 2.1.3Create a v5 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (10) 2.1.4Create a v5_64 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (11) 2.1.5Try to install R65 on a v3 vap-group and abort the install process, confirm nothing is left afterwards12 2.1.6Reduce max-load-count down to 1, confirm only one Vap is allowed to run R65 accordingly (13) 2.1.7Increase vap-count and max-load-count to maximum vap count and executing "application-update", confirm all the Vap are running R65 properly (14) 2.1.8Reduce vap-count to 3, Confirm the surplus Vap is stopped from running R65 and related partitions are removed from CPM (15) 2.1.9Enable/Disable IPv6 in vap-group and w/o ipv6-forwarding, confirm R65 wouldn't be affected. (16) 2.1.10Confirm the installed R65 could be stopped through CLI (17) 2.1.11Confirm the installed R65 could be started through CLI (18) 2.1.12Confirm the installed R65 could be restarted through CLI (18) 2.1.13Confirm the installed R65 could be reconfigured through CLI (19) 2.1.14Confirm checkpoint could be upgraded to R70 by CLI: application-upgrade (19) 2.1.15Confirm R65 could run properly while reload vap-group totally (20) 2.1.16Confirm R65 could run properly while reload all chassis totally (20) 2.1.17Create 2 vap groups, install R65 on both. Confirm R65 are running on both vap-groups without any mutual impact. (21) 2.1.18Confirm configure operation couldn't be allowed if some Vap don't run R65 properly. (23) 2.1.19Confirm uninstall/Configure operation couldn't be allowed if some Vap don't run properly. (24) 2.1.20Confirm start/stop/restart operation could works prope rly if R65 doesn’t run properly on some Vaps.25 2.1.21Confirm configure operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (26) 2.1.22Confirm uninstall operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (27) 2.1.23Confirm start/stop/restart operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (28) 2.1.24Confirm R65 could be uninstalled from vap-group (29) 2.1.25Confirm R65 installation package could be remove from XOS by CLI: application-remove (30) 2.2C HECKPOINT F EATURES (31) 2.2.1Create GW and Set SIC, get topology from Smart Dashboard (31) 2.2.2Configure Policy and push policy (31) 2.2.3Confirm R65 could be started/stoped/restarted by cp-command (32) 2.2.4Confirm different kinds of rule actions could work - allow/drop/reject (33) 2.2.5Verify different kinds of tracking actions could work properly - log/alert/account (33) 2.2.6Verify static NAT and hide NAT work properly (34) 2.2.7Verify default license is installed automatically (34) 2.2.8Verify some usual fw commands output - fw ver -k/ fw ctl pstat/ fw tab/ fw stat/ cphaprob stat /fw fetch /fw unloadlocal / fwaccel stat (34) 2.2.9Verify SXL status if enable/disable it (36) 2.2.10Verify the log information in SmartViewer are displayed correctly. (37) 2.2.11Verify the GW and its member information in SmartViewer are displayed correctly (37) 2.2.12Define a VPN Community between two GW; Confirm traffic can pass (37) 2.2.13Create a VPN client tunnel, make sure client can login and traffic is encrypted as it should (38) 2.2.14Enabling/Disabling SXL during connections (39) 2.2.15Fail over the active member during connections (39) 2.3I NTERFACE T EST-T RAFFIC MIXED WITH IPV6 AND IPV4 (39) 2.3.1Verify traffic pass through the interface without SXL - non vlan<--->vlan (tcp+udp+icmp) (39)
实验七交换机基本配置 一、实验目的 (1)使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理,行能根据需要进行简单网络的规划和设计。 实验设备与器材 熟悉交换机开机界面; (2)掌握Quidway S系列中低端交换机几种常用配置方法; (3)掌握Quidway S系列中低端交换机基本配置命令。 二、实验环境 Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。 交换机,标准Console配置线。 三、实验内容 学习使用Quidway R2611模块化路由器的访问控制列表(ACL)进行防火墙实验。 预备知识 1、防火墙 防火墙作为Internet访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃,以拒绝非法用户访问网络并保障合法用户正常工作。 2、包过滤技术 一般情况下,包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。 3、访问控制列表 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL(Access Control List)定义的。
访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。 访问控制列表(Access Control List )的作用 访问控制列表可以用于防火墙; 访问控制列表可用于Qos(Quality of Service),对数据流量进行控制; 访问控制列表还可以用于地址转换; 在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP) ACL示意图 ACL的分类 按照访问控制列表的用途,可以分为四类: ●基本的访问控制列表(basic acl) ●高级的访问控制列表(advanced acl) ●基于接口的访问控制列表(interface-based acl) ●基于MAC的访问控制列表(mac-based acl) 访问控制列表的使用用途是依靠数字的范围来指定的,1000~1999是基于接口的访问控制列表,2000~2999范围的数字型访问控制列表是基本的访问控制列表,3000~3999范围的数字型访问控制列表是高级的访问控制列表,4000~4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 4、防火墙的配置项目 防火墙的配置包括:
防火墙基础知识 3.3 包过滤包过滤技术(Ip Filtering or packet filtering) 的原理在于监视并过滤网络上流入流出的Ip包,拒绝发送可疑的包。由于Internet 与Intranet 的连接多数都要使用路由器,所以Router成为内外通信的必经端口,Router的厂商在Router上加入IP Filtering 功能,这样的Router也就成为Screening Router 或称为Circuit-level gateway. 网络专家Steven.M.Bellovin认为这种Firewall 应该是足够安全的,但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的,因而在安全要求较高的场合,通常还配合使用其它的技术来加强安全性。Router 逐一审查每份数据包以判定它是否与其它包过滤规则相匹配。(注:只检查包头的内容,不理会包内的正文信息内容) 过滤规则以用于IP顺行处理的包头信息为基础。包头信息包括: IP 源地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配,且规则允许这包,这一包则根据路由表中的信息前行。如果找到一个匹配,且规则允许拒绝此包,这一包则被舍弃。如果无匹配规则,一个用户配置的缺省参数将决定此包是前行还是被舍弃。*从属服务的过滤包过滤规则允许Router取舍以一个特殊服务为基
础的信息流,因为大多数服务检测器驻留于众所周知的TCP/UDP端口。例如,Telnet Service 为TCP port 23端口等待远程连接,而SMTP Service为TCP Port 25端口等待输入连接。如要封锁输入Telnet 、SMTP的连接,则Router 舍弃端口值为23,25的所有的数据包。典型的过滤规则有以下几种: .允许特定名单内的内部主机进行Telnet输入对话 .只允许特定名单内的内部主机进行FTP输入对话 .只允许所有Telnet 输出对话 .只允许所有FTP 输出对话 .拒绝来自一些特定外部网络的所有输入信息* 独立于服务的过滤 有些类型的攻击很难用基本包头信息加以鉴别,因为这些独立于服务。一些Router可以用来防止这类攻击,但过滤规则需要增加一些信息,而这些信息只有通过以下方式才能获
防火墙安装操作手册By Shixiong Chen
一、准备安装介质和服务器 安装CheckPoint防火墙基于开放的服务器平台需要准备两点: 如果选用的是Checkpoint的硬件,UTM-1则不需要考虑这些问题。 第一,准备好服务器,服务器最好选择IBM\HP\或者其他大品牌厂商的硬件平台,并且事先确认该品牌和型号的服务器与CheckPoint软件兼容性,将网卡扩展至与真实火墙一致,服务器需要自带光驱。 第二,准备好CheckPoint防火墙安装介质,注意软件的版本号与真实环境火墙一致,同时准备好最新的防火墙补丁。 二、SecurePlatform系统安装过程 硬件服务器初始状态是裸机,将服务器加电后,设置BIOS从光盘启动,将CheckPoint软件介质放入光驱,然后出现如下界面: 敲回车键盘开始安装。出现如下界面,选择OK,跳过硬件检测。
选择安装的操作系统类型,根据自己防火墙操作系统的版本选择。SecurePlatform Pro是带有高级路由和支持Radius的系统版本。 选择键盘支持的语言,默认选择US,按TAB键,继续安装。 配置网络接口,初始我们配置外网接口即可,选择eth0配置IP, 输入IP地址、子网掩码、以及默认网关,然后选择OK,继续。 选择OK.开始格式化磁盘。
格式化完成后开始拷贝文件,最后提示安装完成,按照提示点击OK.系统会自动重新启动。然后出现登陆界面,如下所示。 第一次登陆系统,默认账号和密码都是admin,登陆后需要出入新的密码和管理员账号。 三、CheckPoint防火墙软件安装过程
运行sysconfig 命令,启动安装防火墙包。选择n,继续安装。 打开网络配置页面,选择1,配置主机名,选择3配置DNS服务器,选择4配置网络,选择5配置路由,注意要与生产线设备的配置保持一致,特别是路由要填写完整,主机名、接口IP和子网掩码要填写正确。 配置完成后,选择n,下一步继续配置,如下图所示,选择1配置时区(选择5,9,1),选择2配置日期,选择3配置本地系统时间,选择4查看配置情况。注意配置时间和日期的格式。完成后选择n, 然后会出现提示是否从tftp服务器下载安装软件,选择n.然后出现如下界面,选择N,继续安装。 选择Y,接受安装许可协议。
(一) 防火墙概念 防火墙不只是一种路由器、主系统或一批向网络提供安全性的系统。相反,防火墙是 一种获取安全性的方法;它有助于实施一个比较广泛的安全性政策,用以确定允许提供的服务和访问。就网络配置、一个或多个主系统和路由器以及其他安全性措施(如代替 静态口令的先进验证)来说,防火墙是该政策的具体实施。防火墙系统的主要用途就是 控制对受保护的网络(即网点)的往返访问。它实施网络访问政策的方法就是逼使各连接 点通过能得到检查和评估的防火墙。 ____________ ___________ | | | | | Computer | | Computer | |__________| |___________| ____________ ________ | | |应| |Packet | ______|________________|__________| 用|_____|Filter |___Internet | 网| |Router | 网点系统| 关| |________| |__________| 路由器和应用网关防火墙范例 防火墙系统可以是路由器,也可以是个人主机、主系统和一批主系统,专门把网 络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关如网点与Internet的连接处,但是防火墙系统可以位于等级较低的网关, 以便为某些数量较少的主系统或子网提供保护。 防火墙基本上是一个独立的进程或一组紧密结合的进程,运行于Router or Server 来控制经过防火墙的网络应用程序的通信流量。一般来说,防火墙置于公共网络(如Inter- -net)人口处。它可以看作是交通警察。它的作用是确保一个单位内的网络与Internet之间所有的通信均符合该单位的安全方针。这些系统基本上是基于TCP/IP,并与实现方法有关,它能实施安全路障并为管理人员提供对下列问题的答案: * 谁在使用网络? * 他们在网上做什么? * 他们什么时间使用过网络?
CheckPoint FireWall-1防火墙技术 2007-11-14 18:22:23 随着Internet的迅速发展,如何保证信息和网络自身安全性的问题,尤其是在开放互联环境中进行商务等机密信息的交换中,如何保证信息存取和传输中不被窃取、篡改,已成为企业非常关注的问题。 作为开放安全企业互联联盟(OPSEC)的组织和倡导者之一,CheckPoint公司在企业级安全性产品开发方面占有世界市场的主导地位,其FireWall-1防火墙在市场占有率上已超过44%,世界上许多著名的大公司,如IBM、HP、CISCO、3COM、BAY等,都已成为OPSEC的成员或分销CheckPoint FireWall-1产品。 CheckPoint FireWall-1 V3.0防火墙的主要特点。 从网络安全的需求上来看,可以将FireWall-1的主要特点分为三大类,第一类为安全性类,包括访问控制、授权认证、加密、内容安全等;第二类是管理和记帐,?包括安全策略管理、路由器安全管理、记帐、监控等;第三类为连接控制,包括负载均衡高可靠性等;下面分别进行介绍。 1.访问控制 这是限制未授权用户访问本公司网络和信息资源的措施。评价访问控制的一个重要因素是要看其能否适用于现行的所有服务和应用。第一代包过滤技术,无法实施对应用级协议处理,也无法处理UDP、RPC或动态的协议。第二代应用代理网关防火墙技术,为实现访问控制需要占用大量的CPU资源,对Internet上不断出现的新应用(如多媒体应用),无法快速支持. CheckPoint FireWall-1的状态监测技术,结合强大的面向对象的方法,可以提供全七层应用识别,对新应用很容易支持。目前支持160种以上的预定义应用和协议,包括所有Internet服务,如安全Web浏览器、传统Internet应用(mail、ftp、telnet)、UDP、RPC等,此外,支持重要的商业应用,如OracleSQL*Net、SybaseSQL服务器数据库访问;支持多媒体应用,如RealAudio、CoolTalk、NetMeeting、InternetPhone等,以及Internet广播服务,如BackWeb、PointCast。 另外,FireWall-1还可以提供基于时间为对象的安全策略定制方法。 FireWall-1开放系统具有良好的扩展性,可以方便的定制用户的服务,提供复杂的访问控制。 2.授权认证(Authentication) 由于一般企业网络资源不仅提供给本地用户使用,同时更要面向各种远程用户、移动用户、电信用户的访问,为了保护自身网络和信息的安全,有必要对访问连接的用户采取有效的权限控制和访问者的身份识别。经过认证,FireWall-1能保证一个用户发起的通信连接在允许之前,就其真实性进行确认。FireWall-1提供的认证无须在服务器和客户端的应用进行任何修改。FireWall-1的服务认证是集成在整个企业范围内的安全策略,可以通过防火墙的GUI进行集中管理。同时对在整个企业范围内发生的认证过程进行全程的监控、跟踪和记录。FireWall-1提供三种认证方法: 用户认证(Authentication) 用户认证(UA)是基于每个用户的访问权限的认证,与用户的IP地址无关,FireWall-1提供的认证服务器包括:FTP、TELNET、HTTP、RLOGIN。 UA对移动用户特别有意义,用户的认证是在防火墙系统的网关上实施的。
防火墙基础知识 一、防火墙与路由器的异同: 1、防火墙的登陆管理方式及基本配置是一样,有的防火墙多一个 DMZ端口。 2、路由器只能简单的路由策略,防火墙具备强大的访问控制:分 组对象。 3、路由器是默认的端口是开放的,防火墙的端口默认的常见端口 外都是关闭的。 二、防火墙的登陆方式: 1、console口,路由器的登陆方式一样 2、telnet登陆,需要设置 3、SSH登陆,同telnet登陆一样 三、防火墙的用户模式: 1、用户模式:PIX525> 2、特权模式PIX525# 3、全局配置模式PIX525(config)# 4、局部配置模式PIX525(config-if)# 四、防火墙基本配置 1、接口配置 防火墙PIX525默认的的有3个端口,外网口、内网口、DMZ 端口,主要配置ip地址、工作模式、速度、接口名字、安全级别interface Ethernet0
nameif outside security-level 0 ip address 218.28.202.97 255.255.255.0 duplex full 2、访问控制列表 access-list acl_out extended permit icmp any any access-list acl_out extended permit tcp any host 218.28.202.99 object-group DMZ access-list allownet extended permit ip host 192.168.0.123 object-group msn 3、设置网关地址 route outside 0.0.0.0 0.0.0.0 218.28.202.110 外网口网关 route inside 0.0.0.0 0.0.0.0 192.168.1.1 内网口网关 路由的网关设置 Ip route 0.0.0.0 0.0.0.0 218.28.202.110 4、端口重定向 PIX525(config)# object-group service word TCP PIX525(config-if)port-object eq 8866 先在服务的对象分组中开放一个端口,在全局模式下 static (inside,outside) tcp 218.28.202.100 8866 192.168.2.77 8866 netmask 255.255.255.255