防火墙基础
- 格式:ppt
- 大小:1.23 MB
- 文档页数:27


网络基础 防火墙主要应用
网络中,防火墙的部署并不只是将它的LAN端口和WAN端口分别与局域网线路连接和外部网络线路连接这么简单,而是要根据实际的应用需求而定,并不是统一的。在此,主要介绍企业网络使用的硬件防火墙在几种典型应用中的部署方法。
1.企业网络体系结构
对于企业网络体系结构,可划分为边界网络、外围网络和内部网络三个区域。
边界网络
边界网络通过路由器直接面向Internet,以基本网络通信筛选的方式提供简单的保护。它通过外围防火墙将数据传送到外围网络。
外围网络
该网络通常被称为DMZ(非军事区)或边缘网络,将用户链接到Web服务器或其它服务器,然后服务器将通过内部防火墙链接到内部网络。
内部网络
该网络连接所有内部服务器(如FTP)和内部用户。
2.企业网络中防火墙及功能
在企业网络中,通常有外围防火墙和内部防火墙两种。虽然这些防火墙有相同的功能,但它们也存在着不同的侧重点,因为外围防火墙主要提供对不受信任的外部用户的限制,而内部防火墙则主要防止外部用户访问内部网络及限制内部网络用户可执行的操作。
防火墙检查并阻止那些检测为入侵性质的数据包。可通过在默认情况下,将某些数据包标识为非法的来完成某些阻止任务,或者将防火墙配置为阻止某些数据包。
3.硬件防火墙在企业网络中的应用
虽然防火墙主要用于网络边界,但同样可应用于内网之中,起到隔离内网重要部门、子网或用户的目的。总体概述,硬件防火墙在企业网络中主要应用有,控制来自互联网对内部、第三方局域网对内部网络、局域网内部不同部门间的网络访问几个方面。
控制来自互联网对内部网络的访问
这是防火墙的一种最基本应用,也是应用最广的一项。在这种应用环境下,防火墙位于企业内部局域网与互联网之间,主要保护内部网络不遭受互联网用户的攻击,这也是目前大多数企业、特别是中小型企业采用防火墙的目的。
网络结构中划分有不同的安全级别,在这种应用中,整个网络结构分为三个不同级别的安全区域,它们均属于防火墙要保护的对象。
第七章 防火墙技术
防火墙的本义是指古代构筑和使用木制构造房屋的时候,为防止火灾的发生和蔓延,人们将巩固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙〞。与防火墙一起起作用的就是“门〞。如果没有门,各房间的人将无法沟通。当火灾发生时,这些人还须从门逃离现场。这个门就相当于我们这里所讲的防火墙的“平安策略〞,所以在此我们所说的防火墙实际并不是一堵实心墙,而是带有一些小门的墙。这些小门就是用来留给那些允许进展的通信,在这些小门中安装了过滤机制。
网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使企业内部局域网〔LAN〕网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络,防止发生不可预测的、潜在破坏性的侵入。
典型的防火墙具有以下三个方面的根本特性:
〔1〕内部网络和外部网络之间的所有网络数据流都必须经过防火墙
这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业内部网络不受侵害。
根据美国国家平安局制定的?信息保障技术框架?,防火墙适用于用户网络系统的边界,属于用户网络边界的平安保护设备。所谓网络边界即是采用不同平安策略的两个网络的连接处,比方用户网络和Internet之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个平安控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的效劳和访问的审计和控制。
〔2〕只有符合平安策略的数据流才能通过防火墙
防火墙最根本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速地从一条链路转发到另外的链路上去。从最早的防火墙模型开场谈起,原始的防火墙是一台“双穴主机〞,即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络流量通过相应的网络接口接收上来,按照协议栈的层次构造顺序上传,在适当的协议层进展访问规那么和平安审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文那么予以阻断。因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的〔网络接口>=2〕转发设备,它跨接于多个别离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。
网络基础 设置天网防火墙
安装完成天网防火墙之后,如果用户需要改变防火墙的外观或者想要设置管理员密码;又或者想要设置防火墙升级提示,这些都需要用户对防火墙进行一系列的设置。下面介绍如何设置天网防火墙,步骤如下:
(1)单击【开始】按钮,执行【程序】|【天网防火墙试用版V3.0.0.1015】|【天网防火墙试用版】命令,弹出【天网防火墙个人版】对话框,如图10-26所示。
(2)单击【天网防火墙个人版】对话框中的【系统设置】按钮,并单击【基本设置】选项卡。然后,在该面板中,启用【开机后自动启动防火墙】复选框,如图10-27所示。
图10-26 启用天网防火墙 图10-27 开机启用防火墙
(3)选择【管理权限设置】选项卡,启用【应用程序权限】栏下方的【允许所有的应用程序访问网络,并在规则中记录这些程序】复选框,如图10-28所示。
(4)单击【设置密码】框下方的【设置密码】按钮,弹出【天网防火墙个人版密码保护】对话框。然后,在【请输入密码】栏右侧的文本框中,输入密码为skynet,如图10-29所示。 在【基本设置】选项卡中,用户可以单击【皮肤】下方的下拉按钮,选择防火墙界面的颜色;还可以启用【其他设置】栏下方的【报警声音】复选框,并可通过单击【浏览】按钮,在电脑中选择一种声音作为报警声音。
图10-28 设置应用程序权限 图10-29 设置密码
(5)选择【在线升级设置】选项卡,选择【升级提示】栏下方的【有新的升级包就提示】单选按钮,如图10-30所示。
(6)选择【日志管理】选项卡,启用【自动保存日志】复选框,如图10-31所示。
图10-30 设置升级提示 图10-31 自动保存日志
(7)选择【入侵检测设置】选项卡,启用【启动入侵检测功能】复选框,如图10-32所示。 由于用户使用的天网防火墙为试用版本,管理员密码统一设置为skynet,若需设置密码,只能设置为该密码。
PIX防火墙配置基础
一、在使用PIX防火墙的环境下,通常按各个功能分为三个区域部分:
1、内部区域(内网)。 内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。
2、外部区域(外网)。 外部区域通常指Internet 或者非企业内部网络。它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。
3、 停火区(DMZ)。 停火区是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器,Mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。注意:2个接口的防火墙是没有停火区的。
PIX通常包含多个接口,
二、PIX防火墙提供4种管理访问模式:
1、 非特权模式。 PIX防火墙开机自检后,就是处于这种模式。系统显示为pixfirewall>
2、 特权模式。 输入enable 进入特权模式,可以改变当前配置。显示为pixfirewall#
3、 配置模式。 输入configure terminal 进入此模式,绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#
4、监视模式。 PIX防火墙在开机或重启过程中,按住Escape键或发送一个“Break”字符,进入监视模式。这里可以更新*作系统映象和口令恢复。显示为monitor>
三、配置PIX防火墙有6个基本命令:nameif,interface,ip address,nat,global,
route。这些命令在配置PIX是必须的。以下是配置的基本步骤:
1. 配置防火墙接口的名字,并指定安全级别(nameif)。
Pix535(config)#nameif ethernet0 outside security0