1、任务23 配置防火墙设备,实现安全网站访问过滤,网络设备安装与调试技术,目录,一、任务描述 二、任务分析 三、知识准备 23.1 防火墙的包过滤功能 23.2 防火墙的包过滤优点 23.3 在网络中部署防火墙 23.3 防火墙选购注意事项 四、任务实施 23.4 综合实训:配置防火墙设备,实现URL访问过滤 知识拓展 认证测试,任务描述,浙江科技工程学校需要改造网络中心的网络,为了实现学校内部网络接入外部互联网,使用高功效的路由器设备充当外网接入设备,实现校园网中接入互联网,实现不同网络之间互相通讯。 但学校在校园网络管理的过程中发现,经常有来自互联网上的未名攻击数据,侵入学校网络。为了防范来
2、自互联网的攻击事件发生,保护学校校园网络安全,学校决定购买一台防火墙设备,安装在校园网的出口处,保障校园网络安全。 。,任务分析,防火墙是一个位于内部网络与Internet之间的网络安全系统,防火墙最基本形式是检查每一个通过的网络包,或者丢弃,或者放行包过滤防火墙检查每一个传入包,查看包中可用的基本信息(源地址和目的地址、端口号、协议等),然后,将这些信息与设立的规则相比较,如果规则允许通过,则放行,如果规则拒绝通过,则阻断。,知识准备,23.1 防火墙的包过滤功能 。,本质上,包过滤防火墙是多址的,表明它有两个或两个以上网络适配器或接口。例如,作为防火墙的设备可能有两块网卡(NIC),一块连
3、到内部网络,一块连到公共的Internet。防火墙的任务,就是作为“通信警察”,指引包的正确走向和截住那些有危害的包。 包过滤防火墙检查每一个传入包,查看包中可用的基本信息(源地址和目的地址、端口号、协议等),然后,将这些信息与设立的规则相比较,如果规则允许通过,则放行,如果规则拒绝通过,则阻断。例如,已经设立了阻断telnet连接的规则,而包的目的端口是23的话,那么该包就会被丢弃。如果允许传入Web连接,而目的端口为80,则包就会被放行。,知识准备,23.1 防火墙的包过滤功能 。,知识准备,23.2 防火墙的包过滤优点 。,防火墙的包过滤技术的优点包括:防火墙对每个进入和离开网络的包实行
4、低水平控制。 每个IP包的字段都被检查,例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。 防火墙可以识别和丢弃带欺骗性源IP地址的包。 包过滤防火墙是两个网络之间访问的唯一通道。因为所有的通信必须通过防火墙,绕过是困难的。,知识准备,23.3 在网络中部署防火墙 。,在构筑防火墙保护网络之前,需要制定一套完整有效的安全策略。安全策略也称为访问上的控制策略。它包含访问上的控制以及组织内其他资源使用规定。访问控制包含哪些资源可以被访问,如读取、删除、下载等行为的规范,以及哪些人拥有这些权力等信息。一般这种安全策略分为两个层次: 网络服务访问策略 防火墙设计策略。,知识准备,2
5、3.3 防火墙选购注意事项 。,防火墙选型时的基本原则有如下几点: 明确自己的安全和功能需求,从而决定所期望的防火墙产品的安全性、功能和性能; 明确在防火墙上的投资范围和标准,以此来衡量防火墙的性价比; 在相同的基准和条件下,比较不同防火墙的各项指标和参数; 综合考虑网络管理人员的经验、能力和技术素质,考察防火墙产品的管理和维护的手段和方式; 根据实际应用的需求,了解防火墙的附加功能,以及日常维护的手段和策略。,任务实施,【网络场景】如图所示的网络场景,是浙江科技工程学校购买了锐捷的一台RG-WALL 60防火墙,保障校园网络安全场景。安装完成的防火墙设备运行一段时间后,最近网络中心管理员发现
6、,一些多媒体机房的学生,在上课时间期间,经常访问一些娱乐网站(例如)、视频网站、游戏网站,影响了正常教学。现在学校希望学校教师,可以使用互联网实现全部访问功能。但学生在上课期间,只能实现部分访问互联网功能,如QQ通讯,但在上课时间不能访问娱乐、游戏、股票、视频等网站,以下以在防火墙上禁止搜狐网站()为例,配置防火墙禁止学生在多媒体机房上访问这些网络,实现URL过滤功能。,任务实施,【网络场景】,任务实施,【设备清单】:防火墙(1台);网线(若干根);配置、测试PC(2台)。【实施过程】第一步:配置防火墙接口的IP地址 第二步:配置默认路由 第三步:配置广告部的NAT规则 第四步:配置URL列表 第五步:配置普通员工的NAT规则 第六步:验证测试,知识拓展,本单元模块主要介绍防火墙产品基本的配置技术。不同厂商生产出来的防火墙产品,配置上有很大不同,在网络上使用“思科防火墙”、“思科防火墙配置”等不同关键字,寻找思科防火墙产品知识和技术,了解产品区别。,认证测试,省略,见教材。,谢 谢,
