网络信息安全基础（AIGC版） 教学课件 项目 二防火墙技术的应用 任务1 防火墙IP地址转发策略配置

任务1防火墙IP地址转发策略配置——项目二防火墙技术的应用课程设计和制作：

蓝永健电子工业出版社《网络信息安全基础》教材配套资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02防火墙简介防火墙的发展历程防火墙功能防火墙的应用场景防火墙访问控制方式分类子任务1防火墙基本配置03子任务2防火墙登录认证配置04子任务2防火墙IP地址转发策略配置0501任务规划任务规划企业内部一般都有多个不同的部门，有些部门需要实时通过互联网进行业务数据交换，如业务部门需要经常通过互联网与客户等进行联系，而有些部门不需要访问互联网。现在企业网络管理部门需要根据企业的实际需求，在防火墙配置IP转发策略，允许内部有访问互联网需求的部门（IP段为10.1.2.0/24）可以访问外网，没有访问互联网需求的部门（IP段为10.1.1.0/24）则不允许访问外网。本任务采用华为模拟器eNSP实施，网络拓扑如图所示,，防火墙型号为USG6000V。。任务规划网络拓扑图任务规划设备接口IP地址安全区域FWGE1/0/010.1.1.1/24guestGE1/0/110.1.2.1/24trustGE1/0/220.1.1.1/24untrustGE0/0/0192.168.100.10/24

PC1Ethernet0/0/110.1.1.2/24guestPC2Ethernet0/0/110.1.2.2/24trustPC3Ethernet0/0/120.1.1.2/24untrustCloud1Ethernet0/0/1

端口地址和区域划分本任务的环境华为模拟器eNSP实施，防火墙型号为USG6000V“02相关知识相关知识——2.1防火墙简介相关知识——2.1防火墙简介古代的防火墙防火墙原指古人在建筑群中修筑的一道砖墙，这道墙可以阻止火灾发生时蔓延到别的房屋。古代的建筑主要以木结构为主，当火灾发生时，火势会迅速蔓延至相邻的建筑，往往导致整片的建筑群遭殃，甚至整座城镇都化为灰烬。在徽派建筑中，有一种建在房屋四周的高墙叫“马头墙”，又称封火墙、防火墙相关知识——2.1防火墙简介网络防火墙如今人们借鉴古人的智慧，在现代的互联网系统里，在内部网络与外部网络之间构筑一道技术屏障，对内部网络与外部网络之间的通信进行管控，该屏障就是“防火墙”（英文名为firewall，本教材后面简写为FW）。相关知识——2.1防火墙简介网络防火墙防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为，常部署于网络边界、网络内部子网隔离、数据中心边界等防火墙部署位置中国网络防火墙的进步与贡献中国网络防火墙的进步与贡献构建国家网络主权屏障：有效防御外部网络攻击与渗透，保障关键信息基础设施安全，维护国家网络空间主权。提升网络安全防护能力：通过深度包检测、入侵防御等技术，主动识别并阻断恶意流量，大幅降低国内网络遭受大规模攻击的风险。净化网络空间环境：过滤违法不良信息、打击网络犯罪，营造清朗有序的网络生态，保护公众特别是青少年免受有害内容侵害。相关知识——2.2防火墙的发展历程相关知识——2.2防火墙的发展历程防火墙的发展历程可以划分为如下几个阶段相关知识——2.2防火墙的发展历程防火墙的发展历程可以划分为如下几个阶段（1）第一阶段（20世纪80年代）。第一阶段初始阶段，主要利用路由器的包过滤功能来实现简单的安全防护。（2）第二阶段（1989年-1994年）。1989年，基于访问控制列表（包过滤）的防火墙诞生了。包过滤防火墙阶段，是真正意义上的第一代防火墙。（3）第三阶段（20世纪90年代初-1994年）。20世纪90年代初，出现了基于应用层的防火墙（也称为代理防火墙），属于第二代代理防火墙阶段。相关知识——2.2防火墙的发展历程防火墙的发展历程可以划分为如下几个阶段（4）第四阶段（1994年-1998年）。1994年，基于状态化检测的防火墙产生了，状态检测防火墙阶段，属于第三代防火墙。（5）第五阶段（1998年至今），属于第四代多功能防火墙阶段，防火墙的功能越来越强大。在前几代基础上，又增加了网络地址转换（NAT）、虚拟私人网络（VPN）、入侵检测和预防系统（IDS/IPS）等多种功能。相关知识——2.2防火墙的发展历程新版国标发布：防火墙产品发展历程回顾由公安部第三研究所牵头制定的新版防火墙国家标准GB/T20281-2020《信息安全技术防火墙安全技术要求和测试评价方法》正式发布，该国家标准将于2020年11月1日起正式实施。中国网络防火墙的进步与贡献中国网络防火墙的进步与贡献支撑数字经济发展：为电子商务、互联网金融等提供可信网络环境，增强数据安全与用户信任，助力数字化转型。推动安全技术自主创新：促进国内网络安全产业链发展，在防火墙、态势感知等领域实现技术突破与产品国产化。相关知识——2.3防火墙功能相关知识——2.3防火墙功能防火墙功能防火墙（Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络与其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。防火墙的功能多样且重要。相关知识——2.3防火墙功能防火墙功能防火墙的功能多样且重要。相关知识——2.3防火墙功能防火墙功能（1）访问控制。防火墙能够控制进出网络的数据流，根据预定义的规则允许或拒绝数据包的通过，这是防火墙最基础也是最重要的功能之一，是通过检查数据包的源地址、目的地址、端口号等信息，结合安全策略来决定是否允许数据包通过。相关知识——2.3防火墙功能防火墙功能2）安全策略的执行。防火墙是网络安全策略的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。防火墙遵循允许或禁止业务来往的网络通信安全机制，提供可控的过滤网络通信，只允许授权的通信。相关知识——2.3防火墙功能防火墙功能（3）网络监控与日志记录。防火墙可以记录所有通过它的网络活动，包括进出网络的数据包、访问尝试等，并生成日志记录。这些日志记录对于后续的安全审计、入侵检测等具有重要意义，能够帮助管理员及时发现并处理潜在的安全威胁。相关知识——2.3防火墙功能防火墙功能（4）攻击防护与威胁检测。防火墙能够检测和防御多种网络攻击，如DDoS攻击、端口扫描、恶意软件传播等。它是通过模式匹配、协议分析、行为分析等技术手段，识别并阻止潜在的恶意流量。相关知识——2.3防火墙功能防火墙功能（5）网络隔离与区域划分。防火墙可以将网络划分为不同的安全区域（如信任区域、非信任区域、隔离区域等），并对不同区域之间的访问进行严格控制。这种划分有助于限制潜在的安全威胁在网络中的传播范围，降低安全风险。相关知识——2.3防火墙功能防火墙功能（6）用户身份认证与授权。防火墙可以与用户身份认证系统结合，对访问网络的用户进行身份认证和授权。只有经过认证和授权的用户才能访问网络中的特定资源。相关知识——2.3防火墙功能防火墙功能（7）NAT（网络地址转换）。防火墙可以作为NAT的逻辑地址，缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。在私有网络和公共网络之间提供地址转换服务，保护私有网络地址不被泄露。相关知识——2.3防火墙功能防火墙功能（8）VPN（虚拟专用网）支持。防火墙支持具有Internet服务特性的企业内部网络技术体系VPN，通过将企事业单位在地域上分布在全世界各地的LAN或专用子网联成一个整体，不仅省去了专用通信线路，而且为信息共享提供了技术保障。中国网络防火墙的进步与贡献中国网络防火墙的进步与贡献

2014年，中央网络安全与信息化领导小组的成立，标志着我国网络安全和信息化工作的全面启动。信创的自主可控已然上升至国家战略地位。相关知识——2.4防火墙的应用场景相关知识——2.4防火墙的应用场景华为防火墙具有广泛的应用场景，这些场景主要围绕网络安全、访问控制、数据保护以及业务连续性等方面展开。相关知识——2.4防火墙的应用场景华为防火墙应用场景——（1）企业内网边界防护企业内网通常包含大量敏感数据和业务应用，需要通过防火墙进行边界防护，以防止外部攻击者非法访问和入侵。华为防火墙可以部署在企业网络的边缘，通过配置安全策略、访问控制列表（ACL）等规则，限制外部流量进入内网，同时允许合法的内部用户访问外部资源。相关知识——2.4防火墙的应用场景华为防火墙应用场景——（2）互联网出口防护企业互联网出口是连接外部网络的关键节点，也是外部攻击的主要入口。华为防火墙可以部署在互联网出口处，通过NAT（网络地址转换）、流量整形、应用层安全检测等技术手段，保护企业网络免受外部攻击和恶意流量的侵害。相关知识——2.4防火墙的应用场景华为防火墙应用场景——（3)云数据中心边界防护随着云计算技术的发展，越来越多的企业将数据和应用迁移到云数据中心。云数据中心的边界防护成为保障云安全的重要环节。华为防火墙可以支持虚拟化部署，在云数据中心内部署虚拟防火墙实例，通过精细化的安全策略配置，保护云内资源免受外部和内部威胁。相关知识——2.4防火墙的应用场景华为防火墙应用场景——（4）虚拟专用网（VPN）远程互联企业分支机构、远程办公人员等需要通过VPN技术实现远程访问和互联，以保障业务连续性和数据安全。华为防火墙支持多种VPN技术（如IPSecVPN、L2TPVPN、SSLVPN等），可以根据不同场景和需求选择合适的VPN类型进行配置。通过VPN技术，企业可以建立加密的远程访问通道，保障数据传输的安全性和完整性。相关知识——2.4防火墙的应用场景华为防火墙应用场景——（5）物联网（IoT）安全随着物联网技术的发展，越来越多的设备接入网络，形成庞大的物联网系统。物联网设备的安全问题日益凸显，需要通过防火墙等安全设备进行防护。华为防火墙可以支持物联网安全场景下的安全策略配置和流量管理，通过深度包检测（DPI）、行为分析等技术手段，识别并阻止针对物联网设备的恶意攻击和异常流量。相关知识——2.4防火墙的应用场景华为防火墙应用场景——（6）高等级安全需求场景对于金融、政府、军工等高等级安全需求场景，需要更加严格和精细化的安全防护措施。华为防火墙提供了丰富的安全特性和功能（如高级威胁检测、入侵防御系统、URL过滤等），可以满足这些场景下的高等级安全需求。同时，华为防火墙还支持与其他安全设备（如入侵检测系统、安全审计系统等）的联动和集成，形成更加完善的安全防护体系。网络安全等级保护的意义对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。法律合规要求：履行”网络安全法”等法规义务，避免因未落实安全保护措施导致的法律责任与行政处罚。系统风险管控：通过分级防护、动态调整安全措施，识别并控制网络安全风险，提升关键信息基础设施的抗攻击与恢复能力。促进规范建设：推动组织机构建立系统化安全管理体系，统一安全标准，增强整体安全防护水平与应急处置效率。相关知识——2.5防火墙访问控制方式分类相关知识——2.5防火墙访问控制方式分类（1）包过滤防火墙包过滤是指在网络层对每一个数据包进行检查，根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是：通过配置访问控制列表（ACL,AccessControlList）实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP标识和报文传递的方向等信息相关知识——2.5防火墙访问控制方式分类（1）包过滤防火墙优点是包过滤防火墙的设计简单，非常易于实现，而且价格便宜。缺点是随着ACL复杂度和长度的增加，其过滤性能呈指数下降趋势；静态的ACL规则难以适应动态的安全要求；包过滤不检查会话状态也不分析数据，这很容易让黑客蒙混过关。相关知识——2.5防火墙访问控制方式分类（2）代理防火墙代理服务作用于网络的应用层，其实质是把内部网络和外部网络用户之间直接进行的业务由代理接管。代理检查来自用户的请求，用户通过安全策略检查后，该防火墙将代表外部用户与真正的服务器建立连接，转发外部用户请求，并将真正服务器返回的响应回送给外部用户相关知识——2.5防火墙访问控制方式分类（3）状态检测防火墙状态检测是包过滤技术的扩展。基于连接状态的包过滤在进行数据包的检查时，不仅将每个数据包看成独立单元，还要考虑前后报文的历史关联性。所有基于可靠连接的数据流（即基于TCP协议的数据流）的建立都需要经过“客户端同步请求”、“服务器应答”以及“客户端再应答”三个过程（即“三次握手”过程），这说明每个数据包都不是独立存在的，而是前后有着密切的状态联系的。基于这种状态联系，从而发展出状态检测技术。相关知识——2.5防火墙访问控制方式分类（3）状态检测防火墙基本原理：状态检测防火墙使用各种会话表来追踪激活的TCP（TransmissionControlProtocol）会话和UDP（UserDatagramProtocol）伪会话，由访问控制列表决定建立哪些会话，数据包只有与会话相关联时才会被转发。其中UDP伪会话是在处理UDP协议包时为该UDP数据流建立虚拟连接（UDP是面对无连接的协议），以对UDP连接过程进行状态监控的会话。相关知识——2.5防火墙访问控制方式分类（3）状态检测防火墙状态检测防火墙在网络层截获数据包，然后从各应用层提取出安全策略所需要的状态信息，并保存到会话表中，通过分析这些会话表和与该数据包有关的后续连接请求来做出恰当决定。03子任务1子任务1-1防火墙基本配置本任务基于华为eNSP模拟平台开展，拓扑结构、端口地址及区域划分已在前期说明中明确。所用防火墙型号为USG6000V，请依序完成下列配置任务：（1）启动防火墙（2）根据提示，输入用户名、密码进入系统（3）进入防火墙系统视图及管理接口（4）为防火墙配置服务管理模式和管理地址本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-1防火墙基本配置AIGC问答驱动防火墙配置智能化：优势解析与行业趋势前瞻高效准确：AIGC可快速生成标准化配置脚本，避免人工输入错误，提升部署效率。知识赋能：将专家经验转化为提示词模板，降低配置门槛，助力团队能力传承。灵活适配：支持根据网络拓扑与策略需求动态生成代码，适应多样化场景。自动化趋势：行业正向“配置即代码”（CaC）与策略自动化演进，实现版本管控与持续集成。智能运维融合：结合AI实现策略推荐、合规检查与异常感知，推动安全运维向智能化发展。04子任务2子任务1-2防火墙登录认证配置本任务基于华为eNSP模拟平台开展，拓扑结构、端口地址及区域划分已在前期说明中明确。所用防火墙型号为USG6000V，请依序完成下列配置任务：（1）配置Cloud1