下载文档原格式
网络防火墙配置实践与入侵检测系统部署指南在企业网络安全和边界防护中的配置与运维指导随着互联网的迅速发展和全球化商务的普及,企业网络安全面临着越来越严峻的挑战。
为了保护企业的敏感数据和业务系统,网络防火墙和入侵检测系统成为了企业边界防护的重要组成部分。
本文旨在提供网络防火墙配置实践和入侵检测系统的部署指南,帮助企业进行有效的网络安全防护。
一、网络防火墙配置实践1. 安全策略的制定与实施企业在配置网络防火墙时,首先需要制定合理的安全策略。
安全策略应根据企业的业务需求和安全要求来定义。
通过限制特定端口的访问、阻止恶意流量和非授权访问等方法,网络防火墙能够有效地保护企业网络免受攻击。
2. 网络防火墙的规则配置规则配置是网络防火墙的核心工作之一。
在配置规则时,需考虑企业内外网络的通信需求,禁止未经授权的访问和协议,限制特定IP地址或端口的访问,以及禁用不安全的服务等。
同时,规则需定期审查和更新,确保网络安全策略的实施和有效性。
3. 漏洞管理和补丁更新网络防火墙不能保证百分之百的安全,因此及时管理和修补系统漏洞是至关重要的。
企业应定期检查系统漏洞,及时修复已知的漏洞,并合理分配资源,以降低安全风险。
此外,定期升级防火墙软件和固件也是必要的措施。
二、入侵检测系统的部署指南1. 选择适合的入侵检测系统入侵检测系统分为主机入侵检测系统(HIDS)和网络入侵检测系统(NIDS)。
企业应根据自身情况选择合适的入侵检测系统。
HIDS能够监测主机上的异常行为和恶意软件,而NIDS则能够监测整个网络中的异常活动和入侵行为。
2. 部署入侵检测系统入侵检测系统应部署在企业网络的关键节点上,以实时监测和检测潜在的威胁。
通过与网络交换机或路由器相连,并设置合适的监测规则,入侵检测系统能够识别和报警各种入侵行为,帮助企业及时应对网络安全威胁。
3. 日志记录和分析入侵检测系统应能够记录和保存事件日志,以便后续的分析和调查。
通过对日志进行分析,企业可以及时发现并处理潜在的威胁。
网络防火墙的基本原则和策略配置方法随着互联网的快速发展,网络安全问题也日益突出。
作为网络安全的第一道防线,网络防火墙扮演了重要的角色。
本文将介绍网络防火墙的基本原则和策略配置方法,以帮助读者更好地保护网络安全。
一、网络防火墙的基本原则网络防火墙的基本原则是指在配置防火墙策略时需要遵守的基本规则。
首先是需求分析,即根据网络的具体需求来制定防火墙策略。
不同企业或组织对网络安全的需求有所差异,因此需要根据具体情况来配置防火墙。
其次是策略层次,即根据网络安全的重要性和敏感性确定防火墙策略的层次。
对于重要和敏感的网络区域,需要设置更严格的策略。
此外,还需要注意防火墙规则的最小化原则,即只设置必要的规则,避免冗余和重复。
二、网络防火墙的策略配置方法1. 边界控制策略边界控制策略是防火墙策略中最基本的一环,用于控制企业内外网络之间的流量。
一般情况下,企业内部网络对外部网络的出口流量要严格限制,只允许必要的服务和端口通过。
此外,还需要根据不同的业务需求对入口流量进行特定管控,例如限制某些应用的带宽使用率或对特定IP进行访问控制。
2. 内部隔离策略内部隔离策略是为了防止内部网络中的攻击从一个区域传播到另一个区域。
可以通过将企业内部网络划分为多个安全域来实现隔离。
每个安全域内可以设置不同的安全级别和访问控制规则,从而确保内部网络的安全性。
此外,隔离还可以通过虚拟局域网(VLAN)来实现,将不同部门或用户隔离在不同的虚拟网段中。
3. 应用级过滤策略应用级过滤策略是指对网络流量中的应用层协议进行过滤和识别。
通过识别协议和应用层数据,可以实现对特定应用的控制和管理。
例如,可以根据需要允许或禁止某些特定网站的访问,或根据协议限制某些应用的带宽使用率。
4. 内容过滤策略内容过滤策略是对网络流量中的内容进行检查和过滤。
可以通过内容过滤来防止恶意软件的传播、限制非法内容的访问等。
此外,还可以使用黑名单和白名单的方式对特定网站或内容进行限制或允许。
飞塔防火墙边界实施方案一、背景介绍随着网络安全威胁日益增多,企业面临着越来越复杂的网络安全挑战。
作为企业网络安全的重要组成部分,防火墙在网络边界起着至关重要的作用。
飞塔防火墙作为一种新型的网络安全设备,具有高性能、高可靠性和高安全性的特点,已经成为企业网络安全的首选之一。
本文将针对飞塔防火墙在企业网络边界的实施方案进行详细介绍。
二、飞塔防火墙边界实施方案1. 网络边界划分在实施飞塔防火墙之前,首先需要对企业网络边界进行合理的划分。
根据企业的实际情况,将内部网络和外部网络进行明确的划分,确定好边界的位置和范围。
2. 防火墙规划根据网络边界的划分,对飞塔防火墙进行规划,确定好防火墙的部署位置和数量。
同时,需要根据企业的实际需求,配置相应的防火墙策略,包括访问控制、流量管理、安全审计等。
3. 防火墙部署在规划完成后,需要进行飞塔防火墙的部署工作。
根据规划确定的部署位置,对防火墙进行安装和配置,确保防火墙能够有效地对网络流量进行过滤和检测。
4. 安全策略制定针对企业的实际需求,制定相应的安全策略,包括入侵检测、应用识别、反病毒、反垃圾邮件等。
同时,需要对安全策略进行定期的审计和更新,确保防火墙能够及时应对新的安全威胁。
5. 监控和管理在飞塔防火墙实施完成后,需要建立相应的监控和管理机制,对防火墙的运行状态进行实时监测,及时发现和处理安全事件。
同时,需要对防火墙进行定期的维护和管理,确保防火墙能够持续稳定地运行。
三、总结飞塔防火墙作为企业网络安全的重要组成部分,其边界实施方案需要充分考虑企业的实际需求,合理规划防火墙的部署位置和安全策略,确保防火墙能够有效地保护企业网络安全。
同时,需要建立完善的监控和管理机制,对防火墙的运行状态进行实时监测和管理,及时发现和处理安全事件,确保企业网络的安全稳定运行。
以上就是飞塔防火墙边界实施方案的详细介绍,希望能够对企业网络安全的实施工作有所帮助。
企业防火墙的实施方案企业防火墙是保护企业网络安全的重要设备之一,其实施方案应该充分考虑到企业的实际情况和需求。
下面是一种典型的企业防火墙实施方案,共分为四个阶段。
第一阶段:需求分析和规划1. 收集企业网络环境和需求的相关信息,包括网络拓扑、业务类型、安全需求等。
2. 评估当前网络安全风险,分析可能存在的威胁和漏洞。
3. 制定防火墙的实施目标和计划,明确防火墙的功能和工作原理。
第二阶段:设备选择和部署1. 根据需求分析的结果,选择合适的防火墙设备。
考虑到企业规模、带宽需求和安全要求,可以选择硬件防火墙、虚拟防火墙或云防火墙等。
2. 根据网络拓扑和需求,规划防火墙的部署位置和配置方式。
通常将防火墙部署在企业内部网络和外部网络之间的边界位置,以过滤进出的网络流量。
3. 部署防火墙设备,并进行必要的配置和优化,如设置访问控制策略、策略路由、安全事件日志记录等。
第三阶段:策略配置和测试1. 根据实际需求,制定合理的访问控制策略。
包括分析网络中的安全漏洞和风险,设置适当的网络访问控制规则,管理网络服务的流量和访问权限。
2. 配置防火墙的网络地址转换(NAT)功能,实现内部私网与外部公网的映射和保护。
3. 进行网络流量监测和日志分析,验证防火墙的性能和安全功能。
测试防火墙是否能够准确识别和过滤恶意流量,防止DDoS攻击、入侵和数据泄露等。
第四阶段:维护和更新1. 建立合理的防火墙运维机制,包括定期备份和恢复防火墙配置,监测设备状态和流量统计。
2. 定期更新防火墙设备的操作系统和安全补丁,以修复已知的漏洞和提升设备性能。
3. 注意关注新的安全威胁和攻击技术,及时调整和优化防火墙设置。
定期进行安全审计和风险评估,不断提升企业网络的安全性。
综上所述,企业防火墙的实施方案需要根据企业的实际需求进行规划和部署。
通过对网络环境的评估和分析,选择合适的设备和配置方式,建立完善的访问控制策略,定期测试和维护防火墙设备,可以提高企业网络的安全性,有效防止潜在的安全威胁。
边界防控措施简介边界防控措施是指为了防止非授权的数据访问和保护系统免受恶意攻击,采取的一系列安全措施和技术手段。
边界防控措施通常用于限制和监控网络流量,确保只有授权用户才能访问系统资源,并遏制潜在的安全风险。
在当今互联网环境下,网络攻击变得越来越常见和复杂,因此,边界防控措施成为保护企业网络安全的重要组成部分。
本文将介绍一些常见的边界防控措施,为企业提供参考。
防火墙防火墙是最常见的边界防控措施之一。
它可以设置在网络边界,监控并控制进出网络的流量。
防火墙根据预设的策略,对流量进行过滤和检查,以屏蔽潜在的威胁和攻击,保护内部网络安全。
防火墙一般有软件和硬件两种类型,企业可以根据自身需求选择合适的防火墙设备。
网络隔离网络隔离是一种常见的边界防控措施,通过将网络划分为多个独立的子网络,实现对不同网络资源的隔离和访问控制。
网络隔离可以在物理层和逻辑层实现,物理隔离使用物理设备将不同网络分离,逻辑隔离则使用虚拟化技术将不同网络划分为独立的虚拟子网络。
通过网络隔离,即使某个网络受到攻击或遭受损害,也不会影响其他网络的安全。
入侵检测与防御系统入侵检测与防御系统(Intrusion Detection and Prevention System,简称IDS/IPS)是一种集预防、检测和响应于一体的边界防控系统。
IDS/IPS通过监控网络流量和系统事件,识别潜在的入侵行为,并采取相应措施进行阻止和报警。
IDS/IPS可以通过签名检测、行为分析、异常监测等技术手段实现。
虚拟专用网络虚拟专用网络(Virtual Private Network,简称VPN)是一种通过公共网络建立私人安全网络的技术。
VPN通过加密技术和隧道协议,将用户的数据包封装起来,实现安全传输。
通过使用VPN,企业可以在公共网络上建立加密的隧道,实现远程用户的安全连接和数据传输。
VPN不仅提供了数据的安全性,还可以保护用户的隐私。
网络访问控制网络访问控制是指限制和控制用户对网络资源的访问权限。
企业边界防火墙策略使用Window、Linux及防火墙。
参照图27-3-1构建实验环境。
图27-3-1 实验总图防火墙的内部IP地址(eth1的IP地址)按照其组别依次为:172.16.0.201、172.16.0.202…172.16.0.206……。
此IP地址为防火墙默认设置,实验过程中不能更改。
为了清除先前实验操作遗留下的痕迹,需要恢复防火墙为安装后的缺省状态,首先要确定主机A与防火墙的eth1网络接口在同一网段。
主机A打开IE浏览器,在地址栏中输入“https://防火墙的内部IP:8080”,在稍候弹出的“安全警报”对话框中单击“是”按钮继续操作。
在接下来弹出的用户登录对话框中输入admin 的密码“jlcssadmin”。
登录后防火墙的Web管理页面如图27-3-2示。
图27-3-2 防火墙WEB界面在左侧的项目列表中选择“系统” “恢复映像”,进入“恢复映像”页面。
浏览本地映像及输入加密密钥进行恢复。
点击“确定”重新启动设备。
待防火墙重新启动后即可进行实验操作。
在防火墙重启过程中主机A可通过在控制台中输入命令“ping 防火墙的IP -t”判断防火墙是否已经启动完毕。
一.主机角色配置(1)设置主机E为Internet中的一台Web服务器。
主机E的IP地址218.198.50.50,子网掩码255.255.255.0。
为了使主机A、主机B能够访问主机E提供的Web服务,配置主机E成为一台Web服务器,缺省状态下Windows系统已启动Web服务,可在本机IE地址栏中输入http://localhost确定Web服务是否工作正常。
(2)主机F(Linux)—Internet中的一台FTP服务器。
主机F的IP地址218.198.50.60,子网掩码255.255.255.0。
为了使主机A、主机B能够访问主机F提供的FTP服务,配置主机F成为一台FTP服务器,具体设置如下:以root身份登录Fecora core5,在控制台中输入命令:service vsftpd start打开FTP服务,为使下次开机自启动FTP服务输入命令:chkconfig vsftpd on。
企业网络安全防护的内外网隔离在当今数字化时代,企业越来越依赖互联网来进行商业活动,同时也面临着日益复杂和频繁的网络安全威胁。
为了保护企业的数据和系统免受黑客、病毒和其他恶意攻击的侵害,企业需要采取一系列的网络安全防护措施,其中包括内外网隔离。
内外网隔离是指将企业网络划分为内部网络和外部网络,并通过合适的安全机制和策略来分隔它们,以确保内部网络不会受到来自外部网络的安全威胁。
下面将探讨内外网隔离的意义、方法和具体实施措施。
一、内外网隔离的意义1. 提供安全屏障:内外网隔离可以在网络边界上建立安全屏障,阻止来自互联网的恶意攻击和入侵。
这有助于减少外部网络中的威胁对内部网络和关键系统的影响。
2. 降低内部网络受到外部威胁的风险:在网络隔离下,即使外部网络受到入侵或受到病毒感染,内部网络也能保持安全。
这样,即使企业外部网络遭受攻击,企业的敏感数据和关键资产也不会直接受到威胁。
3. 优化网络性能:内外网隔离可以帮助企业分配网络带宽和资源,优化网络性能。
通过控制互联网和内部网络之间的流量,可以减少网络拥堵和延迟,提高整体网络效率。
4. 符合合规要求:许多行业对于企业的网络安全保护提出了严格的要求,如金融、医疗保健等行业。
内外网隔离是实现这些合规要求的有效方式之一,可以帮助企业确保在法规和法律框架下的网络安全合规性。
二、内外网隔离的方法和措施1. 虚拟专用网络(VPN):通过设置VPN,企业可以在公共网络上创建一个加密通道,实现内外网之间的安全通信。
这样,即使员工在外部网络中使用互联网访问企业内部资源,也能够确保数据的安全性。
2. 防火墙:防火墙是一种常用的网络安全设备,可以通过基于规则的访问控制和包过滤来阻止未经授权的网络流量进入企业内部网络。
通过配置防火墙规则,企业可以限制访问企业内部网络的IP地址和端口。
3. 网络隔离区域(DMZ):通过在企业网络中设置DMZ,可以建立内外网之间的中间区域,该区域允许一部分外部网络流量进入企业网络,同时限制访问内部网络的权限。
边界防护解决方案引言概述:边界防护解决方案是指通过建立网络边界来保护企业的信息系统免受外部威胁的一种安全策略。
在当今信息化时代,企业面临着越来越多的网络安全威胁,如黑客攻击、病毒传播、网络钓鱼等。
因此,采取有效的边界防护措施,保障企业网络安全已成为一项重要任务。
一、网络隔离1.1 物理隔离物理隔离是指通过物理设备将企业内部网络与外部网络进行隔离,防止外部攻击对内部网络的侵入。
常见的物理隔离设备包括防火墙、路由器和交换机等。
这些设备能够对网络流量进行监控和过滤,确保惟独经过授权的流量才干进入内部网络,从而提高网络安全性。
1.2 逻辑隔离逻辑隔离是指通过虚拟化技术将企业内部网络划分为多个逻辑区域,每一个区域之间相互隔离,提供更加细粒度的访问控制。
逻辑隔离可以通过虚拟局域网(VLAN)和虚拟专用网络(VPN)等技术实现。
通过逻辑隔离,企业可以根据不同的安全级别对网络资源进行分类管理,提高网络的可用性和安全性。
1.3 安全策略管理安全策略管理是指制定和执行一系列安全策略来保护企业的网络边界。
安全策略包括访问控制、身份认证、加密通信等措施。
企业可以通过建立安全策略管理系统,对网络流量进行实时监控和分析,及时发现和应对潜在的安全威胁,保障网络安全。
二、入侵检测与谨防2.1 入侵检测系统(IDS)入侵检测系统是一种用于监测和识别网络入侵行为的安全设备。
IDS可以通过监控网络流量和系统日志等方式,检测到潜在的入侵行为,并及时发出警报。
IDS 可以分为主机型IDS和网络型IDS两种类型,主机型IDS主要监测主机上的入侵行为,网络型IDS则监测整个网络的入侵行为。
2.2 入侵谨防系统(IPS)入侵谨防系统是在入侵检测系统的基础上,增加了阻断入侵行为的功能。
IPS 可以根据入侵检测到的行为,自动采取相应的谨防措施,如封锁攻击源IP、断开与攻击者的连接等,从而保护企业网络免受入侵的威胁。
2.3 威胁情报与漏洞管理威胁情报与漏洞管理是指通过获取和分析最新的威胁情报和漏洞信息,及时采取相应的防护措施。
边界防护解决方案一、引言边界防护是指在网络安全领域中,通过建立防火墙、入侵检测系统(IDS)、入侵谨防系统(IPS)等技术手段,保护网络边界免受未经授权的访问、恶意攻击和数据泄露等威胁。
本文将介绍边界防护的重要性,并提供一种综合性的边界防护解决方案。
二、背景随着互联网的快速发展,网络安全问题日益突出。
黑客攻击、恶意软件、数据泄露等威胁不断增加,给企业和个人的信息安全带来了巨大风险。
因此,建立一套有效的边界防护解决方案对于保护网络安全至关重要。
三、边界防护解决方案的重要性1. 保护网络边界:边界防护解决方案可以有效保护网络边界,阻挠未经授权的访问和恶意攻击。
通过设置防火墙、入侵检测系统和入侵谨防系统等技术手段,可以及时发现并阻挠潜在的网络威胁。
2. 防止数据泄露:边界防护解决方案可以监控网络流量,防止敏感数据的泄露。
通过设置数据包过滤规则和数据加密技术,可以有效保护企业和个人的隐私信息。
3. 提高网络性能:边界防护解决方案可以优化网络流量,提高网络性能。
通过流量分析和优化算法,可以降低网络延迟,提升用户体验。
4. 符合法规要求:边界防护解决方案可以匡助企业和个人符合法规要求。
例如,根据个人信息保护法和网络安全法等相关法规,设置合规的网络安全策略,保护用户隐私和数据安全。
四、综合性边界防护解决方案综合性边界防护解决方案包括以下几个关键组成部份:1. 防火墙:建立一套强大的防火墙系统,对网络流量进行过滤和管理。
防火墙可以根据预设的规则,阻挠未经授权的访问和恶意攻击。
同时,防火墙还可以提供虚拟专用网络(VPN)功能,保护远程访问的安全性。
2. 入侵检测系统(IDS):通过监控网络流量和系统日志,及时发现潜在的入侵行为。
IDS可以根据已知的攻击特征和行为模式,进行实时的威胁检测和告警。
同时,IDS还可以提供实时的入侵事件分析和报告,匡助管理员及时采取相应的应对措施。
3. 入侵谨防系统(IPS):在IDS的基础上,进一步加强谨防能力。
边界防护解决方案引言概述:边界防护是网络安全的重要组成部份,它通过建立一道安全的边界来保护网络免受外部威胁。
边界防护解决方案是指一系列技术和策略的组合,旨在提供全面的保护,确保网络的安全性和可靠性。
本文将介绍边界防护解决方案的五个关键部份,并详细阐述每一个部份的重要性和实施方法。
一、边界防火墙1.1 网络边界设备的选择:选择适合企业规模和需求的防火墙设备,如硬件防火墙、软件防火墙或者虚拟防火墙。
同时考虑设备的性能、可扩展性和可管理性。
1.2 配置策略:根据企业的安全需求,制定适当的防火墙策略,包括访问控制规则、应用程序过滤和入侵检测系统等,以阻挠未经授权的访问和恶意攻击。
1.3 定期更新和维护:及时更新防火墙设备的固件和软件,修复已知漏洞,并进行定期的安全审计和漏洞扫描,以确保防火墙的有效性和可靠性。
二、入侵检测和谨防系统2.1 入侵检测系统(IDS):部署IDS以监测网络流量和系统日志,及时发现异常行为和潜在威胁。
IDS可分为网络IDS和主机IDS,分别监测网络和主机上的活动。
2.2 入侵谨防系统(IPS):在IDS的基础上,部署IPS以主动阻断恶意流量和攻击,提供更加主动的谨防机制。
IPS可以根据预定的规则集,自动阻断攻击尝试,并向管理员发送警报。
2.3 定期更新和优化:IDS和IPS的规则集需要定期更新,以适应新的威胁和攻击技术。
同时,对IDS和IPS进行性能优化,减少误报和漏报,提高检测和谨防的准确性和效率。
三、虚拟专用网络(VPN)3.1 VPN的部署:使用VPN技术建立安全的远程连接,通过加密和隧道技术保护数据在公共网络中的传输安全。
部署VPN可以提供远程办公、分支机构连接和供应链安全等功能。
3.2 认证和访问控制:通过使用身份验证和访问控制策略,确保惟独经过授权的用户能够访问VPN。
采用多因素认证和强密码策略可以增强VPN的安全性。
3.3 监控和审计:对VPN的使用进行实时监控和审计,及时发现异常活动和未经授权的访问。
一.实验网络拓扑结构如图21-3-1所示,实验网络结构由6台主机和一台防火墙组成。
其中,防火墙有3块网卡,分别与Internet、DMZ和内部网络相连接。
图21-3-1 实验网络拓扑结构对上图中的各主机模拟的角色定义如下:主机A、主机B——内部网络客户主机,它们是企业网络要积极保护的对象,它们有权访问DMZ区各服务器,也可以访问外网(Internet)。
主机C——DMZ区Web服务器,向内网主机和Internet提供Web服务。
主机D——DMZ区FTP服务器,向内网主机和Internet提供FTP服务。
主机E——Internet中的一台Web服务器兼客户机,提供Http服务。
主机F——Internet中的一台FTP服务器兼客户机,提供FTP服务。
防火墙——外网(Internet)、内网和DMZ区主机连接的唯一通道,防火墙规则几乎决定了企业网络的一切访问权;另外,它又是一个Web缓存代理服务器,代理内网主机对外部http的访问。
二.访问控制策略防火墙只有一个网络接口与外网进行通信,即防火墙仅有一个网络接口对于外网来说是可见的。
图21-3-2描述了防火墙设置的网络访问策略。
图21-3-2 访问控制策略上图中的虚线箭头表示允许被动连接,虽然DMZ中的主机不允许访问内部网络,但其对内部网络的应答是允许通过的。
由图21-3-2可以得到防火墙设置的企业网络访问策略如下:(1)内网可以访问外网。
主机A、主机B可以访问Internet,上述网络结构中主机A、主机B可以访问主机E与主机F。
(2)内网可以访问DMZ。
主机A、主机B可以访问主机C、D,便于对主机C、D的访问与管理。
(3)外网不能访问内网。
由于内网主机正是企业所要保护的对象,所以不允许主机E、F访问内网主机A、主机B。
(4)外网可以访问DMZ。
企业通过DMZ中的服务器(主机C、D)向外网用户(主机E、F)提供服务。
(5)DMZ不能访问内网。
为了防止DMZ中的服务器被攻陷后,入侵者以其做为跳板(主机C、D没有重要的资料与信息)攻击内部网络,所以通常情况下不允许DMZ区中的主机(主机C、D)访问内网主机(主机A、主机B)。
(6)DMZ允许访问外网。
主机C、D能够访问Internet(主机E、F)。
一、实验步骤本练习由6台主分别使用Window、Linux及防火墙。
参照图21-3-1构建实验环境。
图21-3-1 实验总图防火墙的内部IP地址(eth0的IP地址)按照其组别依次为:172.16.0.201、172.16.0.202…172.16.0.206……。
此IP地址为防火墙默认设置,实验过程中不能更改。
为了清除先前实验操作遗留下的痕迹,需要恢复防火墙为安装后的缺省状态,首先要确定主机A与防火墙的eth0网络接口在同一网段。
主机A打开IE浏览器,在地址栏中输入“http://防火墙的内部IP”,在稍候弹出的“安全警报”对话框中单击“是”按钮继续操作。
在接下来弹出的用户登录对话框中输入用户名“admin”,密码“jlcssadmin”。
登入后防火墙的Web操作页面如图21-3-2示。
图21-3-2在左侧的项目列表中选择“备份”项,进入“备份/恢复&重启”页面。
单击“出厂设置”按钮即可将系统恢复至缺省状态,待防火墙重新启动后即可进行实验操作。
在防火墙重启过程中主机A可通过在控制台中输入命令“ping 防火墙的IP-t”判断防火墙是否已经启动完毕。
一.主机角色配置(1)设置主机E为Internet中的一台Web服务器。
主机E的IP地址218.198.50.50,子网掩码255.255.255.0。
为了使主机A、主机B能够访问主机E提供的Web服务,配置主机E成为一台Web服务器,缺省状态下Windows系统已启动Web服务,可在本机IE地址栏中输入http://localhost确定Web服务是否工作正常。
(2)主机F(Linux)—Internet中的一台FTP服务器。
主机F的IP地址218.198.50.60,子网掩码255.255.255.0。
为了使主机A、主机B能够访问主机F提供的FTP服务,配置主机F成为一台FTP服务器,具体设置如下:以root身份登录Fecora core5,在控制台中输入命令:service vsftpd start 打开FTP服务,为使下次开机自启动FTP服务输入命令:chkconfig vsftpd on。
如图21-3-3所示。
图21-3-3 FC5启动FTP服务(3)主机C(Linux)—DMZ区Web服务器。
主机C的IP地址192.168.1.50,子网掩码255.255.255.0,它属于私有IP地址,默认网关192.168.1.150(防火墙)。
以root身份登录Fecora core5,在控制台中输入命令“service httpd start”打开http服务,为使下次开机自启动http服务输入命令“chkconfig httpd on”。
(4)主机D(Windows)—DMZ区FTP服务器。
主机D的IP地址192.168.1.60,子网掩码255.255.255.0,它属于私有IP地址,默认网关192.168.1.150(防火墙),缺省状态下Windows系统已启动FTP服务,可在本机IE地址栏中输入ftp://localhost确定FTP服务是否工作正常。
(5)主机A、主机B(Windows)—内网主机。
内网主机A、主机B的IP地址分别为172.16.0.50和172.16.0.60,子网掩码均为255.255.255.0,默认网关172.16.0.150(防火墙)。
二.防火墙设置1.企业网络区域划分主机A进入防火墙主页面,在“系统”标签页左侧选择“网络配置”项,进入网络设置页面,如图21-3-4示。
图21-3-4 防火墙网络设置页面“红色”代表了非受信区域Internet,实验中防火墙是通过eth2网络接口与非受信区域相连的,所以“红色”接口应被指定为“静态以太网”,单击“下一步”按钮。
进入“选择网络区域”页面,该页面提供的功能是通知防火墙欲组建的网络中存在DMZ区域,选择“橙色”(网络中存在DMZ区),单击“下一步”按钮。
进入“网络参数设置”页面,该页面提供的功能是为信任网络接口eth0与DMZ 网络接口eth1设置IP地址及重定义主机名及域名。
为橙色网络接口填写IP地址192.168.1.150及子网掩码255.255.255.0,其它保持不变,单击“下一步”按钮。
进入“互联网参数设置”页面,该页面提供的功能是为红色网络接口eth2设置IP地址,(注意eth2接口对应的网卡序号为3),单击“下一步”按钮。
进入“配置DNS服务器”页面,该页面提供的功能是为防火墙指定DNS服务器,此处添加的是一个DNS服务器IP地址,自定义填写,单击“下一步”按钮。
进入“启用配置”页面,该页面提供的功能是使前面的设置生效。
单击“OK,启用配置”按钮。
配置成功生效生后,会弹出“结束”页面。
2.防火墙规则设置单击“防火墙”标签页,进入防火墙规则配置页面,如图21-3-5所示。
图21-3-5 防火墙配置页面(1)允许Internet(RED区)访问DMZ(ORANGE区)。
外网访问DMZ中的服务器是由端口转发服务来实现的。
在“端口转发规则配置”页面中,单击按钮,添加两条新规则,如图21-3-6所示。
图21-3-6 端口转发添加新规则下面就图21-3-6中每个填充域进行说明:协议:目标服务所使用的传输层协议,Web和FTP服务均使用的是TCP(传输控制协议)服务。
IP别名:此填充域允许选择下拉列表中的红区IP(与Internet相连的网络接口),此条端口转发规则将在此网络接口上生效。
当只有一个红区IP时(仅有一个网络接口与Internet相连),DEFAULT IP是默认选项。
源端口:外网主机欲访问的服务端口,通常为标准服务如(21,23,25,80等)。
这里的80也正是DMZ中Web服务器提供服务的端口。
目的IP地址:DMZ中Web服务器的IP地址192.168.1.50。
目标端口:DMZ中Web服务器提供服务的端口80。
源IP或网络:外网主机的IP地址,空格表示接受全部。
单击“添加”按钮,添加上述防火墙规则,并使之生效。
(2)允许内部网络(绿区)访问Internet(红区)和DMZ(橙区)。
内网主机对Internet(外网)和DMZ区的访问是由外出连接完成的。
单击左侧菜单选项中的“外出连接”,进入“外出连接”页面,如图21-3-7所示。
图21-3-7 对外访问添加规则由图21-3-7可知,内网主机(GREEN)被允许访问外网或DMZ中提供80、21等服务的主机(系统默认设置)。
可以根据自己的需求添加新规则。
(3)http代理设置。
单击“代理”标签页,默认进入“HTTP:网页代理配置”页面,选择“启用绿区”,指定“代理端口”为8080,如图21-3-8所示,单击“保存”按钮保存设置。
三.企业网络测试(1)内网—DMZ。
在主机A的IE地址栏中输入“http://192.168.1.50”,测试内网主机与DMZ区主机C的连通状况,以及主机C的工作状况。
反向测试:在主机C中通过ping指令“ping 172.16.0.50”探测内网主机A。
在防火墙规则设置正确的情况下,ping探测失败。
在主机A的IE地址栏中输入“ftp://192.168.1.60”,测试内网主机与DMZ 区主机D的连通状况,以及主机D的工作状况。
反向测试:在主机D中通过ping指令“ping 172.16.0.50”探测内网主机A。
在防火墙规则设置正确的情况下,ping探测失败。
同样,主机B也要按上述步骤进行“内网—DMZ”测试。
(2)内网—外网。
在主机A的IE地址栏中输入“http://218.198.50.50”,测试内网主机A 与Internet 主机E连通状况,以及主机E的Web服务的工作状况。
反向测试:在主机E中通过ping指令“ping 172.16.0.50”探测主机A。
在防火墙规则设置正确的情况下,ping探测失败。
在主机A的IE地址栏中输入“ftp://218.198.50.60”,测试内网主机A与Internet主机F网络连通状况,以及主机F的FTP服务工作状况。
反向测试:在主机F中通过ping指令“ping 172.16.0.50”探测主机A。
在防火墙规则设置正确的情况下,ping探测失败。
同样,主机B也要按上述步骤进行“内网—外网”测试。
(3)外网—DMZ。
在主机E的IE地址栏中输入“http://218.198.50.150/dmz.htm”,测试主机C与外网的连接状况。
