计算机网络实验教程第六章

1、第六章防火墙配置基础 n6.1 防火墙的基本概念n6.2 防火墙的实现技术与种类n6.3 防火墙的工作模式n防火墙的配置6.1 防火墙基础n6.1.1防火墙的几个基本概念 内部网络内部网络（inside network）：内部网络通常是指企业内部的网络，我们认为内部网络是安全可靠的，一般网络的攻击来自于外部因特网。在思科防火墙上，通常用安全级别来刻画网络的安全程度。安全级别是一个0-100之间的整数，数字越大，安全级别越高。它是防火墙的接口属性，防火墙的一个接口的安全级别被配置为100时，该接口所对应的网络就是内部网络。在主流网络厂商中，思科使用内部网络的概念。 n可信任区域可信任区域（tru

2、st zone）：可信任区域相当于思科的内部网络的概念，神州数码、华为等网络厂商使用可信任区域的概念。在这些厂家的防火墙上，可信任区域接口是固定的，不可改变的。 n外部网络外部网络（outside network）：外部网络通常是指因特网等公共网络，对企业而言，它是外部的，不可信赖的。在思科防火墙上，一个接口的安全级别被配置为0时，该接口所对应的网络就是外部网络。在主流网络厂商中，思科使用外部网络的概念。 n不可信任区域不可信任区域（untrust zone）：不可信任区域相当于思科的外部网络的概念，神州数码、华为等网络厂商使用不可信任区域的概念。在这些厂家的防火墙上，不可信任区域接口是固定的

3、，不可改变的。 nDMZ（demilitarized zone）：隔离区或非军事化区，该区域的划分主要是为了解决安装防火墙之后外部网络不能访问局域网服务器的问题，比如WEB服务器、EMAIL服务器、视频会议、网络游戏等。通常将允许外部网络访问的服务器放在一个被称为DMZ的区域。在思科防火墙上，设置该区域的优先级在内部网络优先级（100）和外部网络优先级（0）之间。在神州数码、华为等网络厂商防火墙的DMZ接口是固定的，不可改变的。 6.1.2防火墙的初始配置防火墙的初始配置n防火墙的初始配置也是通过控制台端口（Console）与PC机的串口连接，再通过Windows系统自带的超级终端（Hyper

4、Terminal）程序进行选项配置。n基于命令行的配置以及基于web方式的配置 6.2防火墙的实现技术与种类 n6.2.1 防火墙的实现技术 分组过滤分组过滤（Packet filtering）应用代理应用代理（Application Proxy） 状态检测状态检测（Stateful Inspection） 6.2.2 防火墙的分类 n软件防火墙 工作于系统接口与网络驱动程序接口（Network Driver Interface Specification，NDIS）之间，用于检查过滤由NDIS发送过来的数据，在无需改动硬件的前提下便能实现一定强度的安全保障 n硬件防火墙 是一种以物理形式存在

5、的专用设备，通常架设于两个网络的分界处，直接从网络设备上检查过滤有害的数据报文，位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据，不必另外分出CPU资源去进行基于软件架构的NDIS数据检测，可以大大提高工作效率。 6.3 防火墙的工作模式防火墙的工作模式n6.3.1防火墙的路由模式 网络中的防火墙可以让处于不同IP网络的计算机通过路由转发的方式相互通信。n6.3.2防火墙的透明模式 透明模式的防火墙就好象是一台透明网桥，网络设备(包括主机、路由器、工作站等)和所有计算机的设置（包括IP地址、网关和DNS等）不需要改变。防火墙解析所有通过它的数据包，既增加了网络的安全性

6、，又降低了用户管理的复杂程度 n6.3.3防火墙的混合模式 如果防火墙既存在工作在路由模式的接口（接口具有ip地址），又存在工作在透明模式的接口（接口无ip地址），则称防火墙工作在混合模式下。 防火墙工作在混合透明模式下，配置ip地址的接口所在的安全区域是三层区域，接口上启动vrrp功能，用于双机热备份；而未配置ip地址的接口所在的安全区域是二层区域，和二层区域相关接口连接的用户同属一个子网。 实验四十五防火墙配置 n1.进入防火墙的命令行界面进入防火墙的命令行界面 n2.配置防火墙配置防火墙LAN接口接口IP地址地址 n3.配置配置PC机的机的ip地址地址 n4.设置管理主机设置管理主机 n

7、5.使用管理主机建立与防火墙的安全连接使用管理主机建立与防火墙的安全连接 n6.按照实验要求配置按照实验要求配置LAN、WAN和和DMZ接口的接口的IP地址地址 n7.配置网络对象配置网络对象 n8.设置安全规则设置安全规则 n9.配置静态及缺省路由配置静态及缺省路由 n10.配置配置NAT地址转换地址转换n11.验证和测试安全策略和地址转换验证和测试安全策略和地址转换 n实验拓扑n配置表防火墙： LAN口：54/24;DMZ口:54/24;WAN口：/24PCPC1:/24; PC2:/24

8、;ROUTER ROUTER-2611 fa0/0:/241. 进入防火墙的命令行界面进入防火墙的命令行界面1.类似于路由器和交换机的的初始配置，将PC机的串口与防火墙的CONSOLE口连接，通过超级终端，进入防火墙。 2.缺省的管理员用户名和密码是： Login:admin Password:admin 2. 配置防火墙配置防火墙LAN接口接口IP地址地址nifconfig if1 54/24n#apply/将此配置应用在接口上n#save /将此配置保存到防火墙的配置文件中 “if1”表示LAN接口，“if0”表示WAN接口，“if2”表示DM

9、Z接口，此对应关系可以从设备的面板上看到。 3. 配置配置PC机的机的ip地址地址n在WINDOWS XP等PC上配置ip地址需要和防火墙LAN口在一个ip网络上4. 设置管理主机设置管理主机n管理员地址是可以安全登录防火墙的WEB页面进行图形化配置的主机地址。 nadminhost add /24/为防火墙配置一台管理员地址n#apply /将此配置应用在接口上n#save/将此配置保存到防火墙的配置文件中5. 使用管理主机建立与防火墙的安全连接使用管理主机建立与防火墙的安全连接n打开PC机的浏览器，在URL栏键入：54:1211,进入WEB配置界面，键入用户名admin，密码admin。就进入了防火墙图形化管理界面 防火墙图形化管理界面 6. 配置配置LAN、WAN和和DMZ接口的接口的IP地址地址 7. 配置网络对象配置网络对象8. 防火墙策略的配置 9