实现防火墙配置.ppt-道客多多_道客多多docduoduo.com

资源描述

1、能力单元4 实现防火墙的配置,重庆城市管理职业学院信息工程学院张文科杨莉程书红,主要内容,重庆城市管理职业学院信息工程学院张文科杨莉程书红,重点内容,1、防火墙的定义2、防火墙的工作原理3、防火墙的作用与功能4、防火墙的分类5、防火墙的布署6、pix防火墙的配置7、三星防火墙的配置,重庆城市管理职业学院信息工程学院张文科杨莉程书红,难点,1、防火墙的工作原理2、防火墙的作用与功能3、防火墙的配置,重庆城市管理职业学院信息工程学院张文科杨莉程书红,一.实现防火墙的布署,1.项目背景随着互联网和电子商务应用的不断普及，企业网络的安全日益成为大家关注的问题，从而导致

2、防火墙等安全设备应运而生，防火墙的应用成为广大用户实现网络安全的一个基本手段。而互联网上存在的大量的攻击、入侵等，都严重地危害到企业内部网络的安全。可是，在网络之中要如何来布署防火墙，使网络的安全达到最大化呢？如何保证内部网络不被入侵？2.实现步骤步骤1：确定要保护的对象；步骤2：防火墙的接口类型；步骤3：确定要保护的对象。,重庆城市管理职业学院信息工程学院张文科杨莉程书红,3.实现过程步骤1：确定保护对象在布署防火墙时，首先要对要保护的对象进行确认。常见的保护对象为保证内网不被外网攻击、内网服务器不被内部网的用户攻击。步骤2：识别防火墙的接口一般来说，防火墙最少要有二个接口

3、，最常见的防火墙具有3个以上的接口，它们分别是接外网、接内网、接DMZ区。防火墙的接口示意图如图4-1所示。,一.实现防火墙的布署,重庆城市管理职业学院信息工程学院张文科杨莉程书红,一.实现防火墙的布署,重庆城市管理职业学院信息工程学院张文科杨莉程书红,步骤3：按不同保护对象确定网络拓扑图（1）防外网攻击保证内网安全的基本思路是，内部用户都是可信的，他们不会对内部的服务进行攻击，只有外部网存在攻击。本思路的防火墙布署如图4-2所示。在图4-2中，如果网络与互联网是使用光纤接入的情况下，可以不用路由器，直接把互联网的线路接到防火墙的外网口上。如果按图4-2所示的拓扑来说，防火墙

4、要工作在桥模式；如果在图4-2中，不存在路由器这个设备，则防火墙应工作在路由模式。,一.实现防火墙的布署,重庆城市管理职业学院信息工程学院张文科杨莉程书红,（2）保护内网服务器保证内网服务器安全的基本思路是，内部用户也存在攻击本地服务器的可能。本思路的防火墙布署如图4-3所示。在图4-3中，二台三层交换机之间的防火墙建议配置成桥模式，当然，防火墙工作在路由模式也是可行的，只是在配置与规划上增加了复杂程度。,一.实现防火墙的布署,重庆城市管理职业学院信息工程学院张文科杨莉程书红,1.什么是防火墙？,1.1 防火墙的定义1)防火墙一词来源于建筑学。在建筑物中，防火墙是使用抗热材料

5、建成的一堵墙，用来阻止火在建筑物里面蔓延。2)把这个概念引申后，就是我们现在所使用的网络防火墙，他的作用就不是防火，而是防数据在未授权的情况下被传播。3)在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。,二.实现防火墙的配置,重庆城市管理职业学院信息工程学院张文科杨莉程书红,1.2 网络与防火墙,企业网络边缘设备置于可信区和不可信区之间保护可信区（内部网）监控穿越防火墙的数据流（日志）Allow or Deny（规则）,Internet,Unauthorized Service(http, ftp, t

6、elnet),Firewall,Authorized Service,Internal Resources,重庆城市管理职业学院信息工程学院张文科杨莉程书红,1.3 防火墙的发展与变迁,重庆城市管理职业学院信息工程学院张文科杨莉程书红,1.4 每一代防火墙的侧重点,更加精确的检测基于特征的检测基于行为的检测,目前流行的方式检测应用服务类型创建动态的连接状态表,检测应用程序Proxy，两步连接存在连接限制,数据包的包头（IP / Port）网络层、路由器安全性较低（Seq#）,DeepPacketInspection,4th Generation,StatefulInspect

7、ion,3rd Generation,ApplicationGateway,2nd Generation,PacketFiltering,1st Generation,重庆城市管理职业学院信息工程学院张文科杨莉程书红,1.5 防火墙硬件外观图,控制口,f3,f2,f1,f0,电源,重庆城市管理职业学院信息工程学院张文科杨莉程书红,1.6 防火墙的接口分类,防火墙通常具有至少3个接口；当使用具有3个接口的防火墙时，就至少产生了3个不同的网络： 1、内部区域（内网）：内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它受到了防火墙的保护。 2、外部区域（外网）：外部区域

8、通常指Internet或者非企业内部网络。当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。 3、停火区（DMZ）：停火区是一个隔离的网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器，Mail服务器等。,重庆城市管理职业学院信息工程学院张文科杨莉程书红,2.防火墙工作原理,防火墙是一个或一组系统，它在网络之间执行设定好的访问控制策略。防火墙的实际方式各不相同，但是在原则上，防火墙可以被认为是这样一对机制：一种机制是拦阻传输流通行，另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行，而另一些防火墙则偏重允许传输流通过。

9、,重庆城市管理职业学院信息工程学院张文科杨莉程书红,3.防火墙的功能作用,（1）允许网络管理员定义一个中心点来防止非法用户进入内部网络。（2）可以很方便地监视网络的安全性，并报警。（3）可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。（4）是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。（5）可以连接

10、到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。,重庆城市管理职业学院信息工程学院张文科杨莉程书红,3.1 防火墙能防什么？,能够防止已知的类型攻击。,重庆城市管理职业学院信息工程学院张文科杨莉程书红,3.2 防火墙不能防什么？,1、防火墙不能防范不经过防火墙的攻击。2、防火墙不能防病毒。3、防火墙不能真正保护的另一种危险是你网络内部的叛变者。,重庆城市管理职业学院信息工程学院张文科杨莉程书红,4.防火墙的分类,（1）从软、硬件形式上分为软件防火墙和硬件防火墙以及芯片级防火墙。（2）从防火墙结构分为

11、单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。（3）按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合防火墙三大类。（4）按防火墙性能分为百兆级防火墙和千兆级防火墙等。,重庆城市管理职业学院信息工程学院张文科杨莉程书红,4.防火墙的分类,（5）从实现技术划分 1）网络级防火墙（也叫包过滤型防火墙） 2）应用级网关 3）电路级网关 4）规则检查,重庆城市管理职业学院信息工程学院张文科杨莉程书红,4.1 什么是网络级防火墙,网络级防火墙是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的

12、路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。,重庆城市管理职业学院信息工程学院张文科杨莉程书红,4.2 什么是应用级网关,应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。效率不如网络级防火墙。,重庆城市管理职业学院信息工程学院张文科杨莉程书红,4.3 什么是电路级网关,电路级网关用来监控受信任的客户或

13、服务器与不受信任的主机间的TCP握手信息,这样来决定该会话（Session）是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。电路级网关还提供一个重要的安全功能：代理服务器（Proxy Server）。代理服务技术主要通过专用计算机硬件（如工作站）来承担。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过，一旦判断条件满足，防火墙内部网络的结构和运行状态便“暴露”在外来用户面前。,重庆城市管理职业学院信息工程学院张文科杨莉程书红,4.4 什么是规则检查防火墙,规则检查防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过

14、滤防火墙一样，规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也象电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合企业网络的安全规则。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。,重庆城市管理职业学院信息工程学院张文科杨莉程书红,5.防火墙的工作模式,（1）路由模式（2）桥模式（3）路由与桥模式（混合模式）,重庆城市管理职

15、业学院信息工程学院张文科杨莉程书红,6.防火墙的布署,内网,internet,内网,服务器群,internet,DMZ,服务器群,混合模式或路由模式,桥模式,桥模式,可以是桥也可以是路由模式,重庆城市管理职业学院信息工程学院张文科杨莉程书红,7.防火墙的应用,7.1 中小企事业、学校,Internet,重庆城市管理职业学院信息工程学院张文科杨莉程书红,7.2 教育城域网,1、教育局、学校均通过私有地址访问互联网2、各学校间的互访通过教育局中心设备连接3、移动用户通过拨入VPN网关访问内部资源,重庆城市管理职业学院信息工程学院张文科杨莉程书红,8.防火墙配置的步骤

16、,（1）为区域分配网卡为内部网、外部网、DMZ区分配网卡。（2）设置网卡参数设置各网卡的IP、掩码、MTU等。（3）配置路由配置到内、外的路由（常用静态路由）（4）启用NAT功能内到外的源地址变换、外到内的端口映射等（5）启动安全策略允许、拒绝某些数据包,重庆城市管理职业学院信息工程学院张文科杨莉程书红,三.拓展学习资料,1. 防火墙的工作原理（1）什么是防火墙？防火墙一词来源于建筑学。在建筑物中，防火墙是用抗热防火材料建成的一堵墙，用于阻止或减弱火在建筑物内直接蔓延。同样的道理，网络防火墙用来阻止末经授权的信息从一个网络传到另一个网络。尤其是在因特网之间传播。过去，通过

17、因特网连接起来的机构之间实际上没有防火墙，主要是通过主机系统的安全性来简单地保护数据。但当因特网大到一定程度的时候，仍采用这种办法就显得笨拙了，尤其要面对赿来赿多的电脑黑客的威胁，再使用这种安全保护就显得很危险了。,重庆城市管理职业学院信息工程学院张文科杨莉程书红,（2）防火墙的功能：不管使用的是哪种类型、厂商的防火墙，它们都要提供如下的功能： 1）IP地址的保存和数据流的转发。许多防火墙具有路由器的功能，因而，不同网络（如192.168.1.0/24和10.0.0.0/24）之间可以交换信息。许多网络管理员使用这种功能来添加子网。许多防火墙是使用Ipchain和Iptable程序来

18、完成相应工作的，所以包括这种简单的功能。 2）网络分割。防火墙是在局域网和其它网络之间设置的一道分界线来实现其功能的。防火墙在网络之间设置了一道清晰的界线，帮助管理信息的传输。在相互信任的专用网络或因特网之间是没有必要部署防火墙的，但多数情况下，公司的特殊部门需要和其它部门的网络分开，这时就需要部署防火了。,三.拓展学习资料,重庆城市管理职业学院信息工程学院张文科杨莉程书红,三.拓展学习资料,3）防护DoS、扫描、Sniff攻击。防火墙在数据的输入和输出节点处设置了一个监视器，可以通过防火墙限制任何选定的数据通过。 4）IP地址和端口过滤。防火墙具有根据某些IP地址和端口进行连接或都拒

19、绝连接的功能，就像通常所说的防火墙的过滤功能一样。一般情况下，过滤使用数据包过滤器来完成（如使用Linux的Iptables）。数据包过滤可能变得很复杂，用户必须根据需要来定义数据包的源和数据包的目的可以通过和不能通过防火墙。 5）内容过滤。代理服务器通过检测URL和页面的内容来控制数据信息的传输，它是唯一采用这种方式的防火墙。如能准确配置，面向代理的防火墙可以鉴别并且阻止有害的内容通过。如限制某些不健康的网站的访问等。,重庆城市管理职业学院信息工程学院张文科杨莉程书红,三.拓展学习资料,6）补充日志。防火墙最重要的功能之一是允许用户检查所有网络数据包的详细内容。比如，用户可以得到端口

20、扫描及连接到主机系统的资料。根据防火墙的定义，防火墙是不可能提供所有的网络安全功能。其它系统会提供一些安全认证机制，入侵检测，远程访问等功能。（3）防火墙工作原理防火墙（FireWall）是一种隔离控制技术，可以在某个机构的企业内部网络和不安全的外部网络（如Internet）之间设置屏障，阻止对信息资源的非法访问，也能阻止专利信息从企业的网络上被非法输出。防火墙是一种被动防卫技术，它假设了网络的边界和服务，因此对内部的非法访问难以有效地控制。因此，防火墙最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络。,重庆城市管理职业学院信息工程学院张文科杨莉程书红,三.

21、拓展学习资料,2. 防火墙分类方法真正意义上的防火墙有两类：一类被称为标准防火墙；一类叫双家网关。标准防火墙系统包括一个Unix工作站，该工作站的两端各按一个路由器进行缓冲。其中一个路由器的接口是外部世界，即公用网；而另一个则联接内部网。标准防火墙使用专门的软件，并要求较高的管理水平，而且在信息传输上有一定的延迟。随着防火墙技术的进步，在双家网关的基础上又演化出两种防火墙配置：一种是隐蔽主机网关；另一种是隐蔽智能网关（隐蔽子网）。隐蔽主机网关当前是一种常见的防火墙配置。顾名思义，这种配置一方面将路由器进行隐蔽，另一方面在互联网和内部网之间安装堡垒主机。从实现原理上分，防火墙的技术包括四大类

22、：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。它们各有所长，具体使用哪一种或是否混合使用，要看具体需要。,重庆城市管理职业学院信息工程学院张文科杨莉程书红,三.拓展学习资料,3. IDS简介（1）入侵检测的定义 “入侵”（Intrusion）是个广义的概念，不仅包括被发起攻击的人（如恶意的黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问（Denial of Service）等对计算机系统造成危害的行为。入侵检测（Intrusion Detection），顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集

23、信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System,简称IDS）。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。,重庆城市管理职业学院信息工程学院张文科杨莉程书红,三.拓展学习资料,具体说来，入侵检测系统的主要功能有：（1）监测并分析用户和系统的活动；（2）核查系统配置和漏洞；（3）评估系统关键资源和数据文件的完整性；（4）识别

24、已知的攻击行为；（5）统计分析异常行为；（6）操作系统日志管理，并识别违反安全策略的用户活动。由于入侵检测系统在近几年中飞速发展，许多公司都投入到这一领域上来。除了国外的ISS、axent、NFR、cisco等公司外，国内也有数家公司（如中联绿盟，中科网威等）推出了自己相应的产品。,重庆城市管理职业学院信息工程学院张文科杨莉程书红,三.拓展学习资料,（2）入侵检测系统模型 1） CIDF模型 Common Intrusion Detection Framework (CIDF)阐述了一个入侵检测系统（IDS）的通用模型。它将一个入侵检测系统分为以下组件：事件产生器（Event

25、generators）事件分析器（Event analyzers 响应单元（Response units ）事件数据库（Event databases ） CIDF将IDS需要分析的数据统称为事件（event）,它可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。,重庆城市管理职业学院信息工程学院张文科杨莉程书红,2） IDS分类一般来说，入侵检测系统可分为主机型和网络型。主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数

26、据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式（promisc mode）,监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。,三.拓展学习资料,重庆城市管理职业学院信息工程学院张文科杨莉程书红,3.入侵检测技术对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类：一种基于标志（signature-based），另一种基于异常情况(anomaly-based)。对于基于标识的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。而基于异常的检测技术则是先定义一组系统“正常

27、”情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。,重庆城市管理职业学院信息工程学院张文科杨莉程书红,小结,防火墙的定义防火墙接口的分类防火墙的工作原理防火墙的作用与功能防火墙的分类防火墙的布署方式防火墙配置的5大步骤,重庆城市管理职业学院信息工程学院张文科杨莉程书红,重庆城市管理职业学院信息工程学院张文科杨莉程书红,1、 WEB配置界面2、 CLI配置界面,防火墙配置技术,重庆

28、城市管理职业学院信息工程学院张文科杨莉程书红,一、WEB界面防火墙配置,WEB界面防火墙以三星的防火墙为蓝本，其它WEB界面的防火墙配置请查阅相应的产品说明书。先安装java小程序，再使用IE浏览器，在地址栏内输入： http:/fw-IP-address,重庆城市管理职业学院信息工程学院张文科杨莉程书红,1.1 防火墙主菜单,重庆城市管理职业学院信息工程学院张文科杨莉程书红,1.2 防火墙子菜单,网卡菜单项,路由菜单项,NAT,策略,重庆城市管理职业学院信息工程学院张文科杨莉程书红,1.3 配置网卡参数,点这里分配网卡给区域,点这里写网卡的IP地址,点这里写网

29、卡的掩码,完成后点应用,再点确定退出,重庆城市管理职业学院信息工程学院张文科杨莉程书红,1.4 配置路由,点+号键增加路由条目,点-号键删除路由条目,重庆城市管理职业学院信息工程学院张文科杨莉程书红,1.5 配置NAT,点+号键增加变换条目,点-号键删除变换条目,外网口,启动NAT,重庆城市管理职业学院信息工程学院张文科杨莉程书红,端口映射,点+号键增加变换条目,点-号键删除变换条目,内部服务器及端口号,1.6 配置端口映射,重庆城市管理职业学院信息工程学院张文科杨莉程书红,1.8 配置策略,重庆城市管理职业学院信息工程学院张文科杨莉程书红,二、CLI界

30、面防火墙配置,CLI界面防火墙的配置主要以cisco的防火墙为蓝本进行介绍，其它厂商的防火墙配置指令请查找相应的说明书。但是配置的方法与步骤是一样的。,重庆城市管理职业学院信息工程学院张文科杨莉程书红,2.1 CLI防火墙的各工作模式,普通用户模式： PIX防火墙开机自检后，就是处于这种模式。系统显示为pixfirewall 特权模式。：输入enable进入特权模式，可以改变当前配置。显示为pixfirewall# 配置模式：输入configure terminal进入此模式，绝大部分的系统配置都在这里进行。显示为pixfirewall(config)# 监视模式：PIX防火墙在开机

31、或重启过程中，按住Escape键或发送一个“Break”字符，进入监视模式。这里可以更新操作系统映象和口令恢复。显示为monitor,重庆城市管理职业学院信息工程学院张文科杨莉程书红,2.2 配置网卡参数,1、为区域分配网卡（nameif）进入全局配置层，使用nameif指令分配接口到相应的区域内。如分配到outside/inside/dmz。nameif ethernet0 outside security 0 nameif ethernet1 inside security 100nameif ethernet2 dmz security 50 提示：在缺省配置中，以太网0被命名

32、为外部接口(outside)，安全级别是0；以太网1被命名为内部接口（inside），安全级别是100.安全级别取值范围为199，数字越大安全级别越高，也就是说越安全。,重庆城市管理职业学院信息工程学院张文科杨莉程书红,2.2 配置网卡参数,2、定义区域内的网卡双工模式（interface）interface ethernet0 autointerface ethernet1 autointerface ethernet1 auto shutdown,重庆城市管理职业学院信息工程学院张文科杨莉程书红,2.2 配置网卡参数,3、给相应的区域分配IP （ip address）ip

33、address outside 61.1.1.2 255.255.255.252ip address inside 10.1.1.1 255.255.255.252 ip address DMZ 172.16.0.1 255.255.255.0以上三步的配置都是在全局配置层完成。,重庆城市管理职业学院信息工程学院张文科杨莉程书红,2.3 配置路由,注意：cisco pix不支持OSPF动态路由协议，只支持rip路由协议。route命令配置语法： route 接口名字目的地址段掩码下一跳IP地址跳数参数说明：接口名：inside、outside、DMZ等。下一跳IP地址：p表

34、示网关路由器的ip地址。跳数：表示到目的地的跳数。通常缺省是1。目的地址段：可以用0表所任意IP地址。例：route outside 0 0 61.144.51.168 1 route inside 10.1.1.0 255.255.255.0 172.16.0.1 1 route inside 10.2.0.0 255.255.0.0 172.16.0.1 1,重庆城市管理职业学院信息工程学院张文科杨莉程书红,2.4 配置NAT,1、配置源地址变换（nat、global）NAT语法：nat (内网接口名字) nat_id 本地地址子网掩码 nat (inside) 1 0 0

35、nat (inside) 1 172.16.5.0 255.255.0.0 Global语法：global (外网接口名字) nat_id 开始IP 结束IP global (outside) 1 61.144.51.42-61.144.51.48 global (outside) 1 61.144.51.42,重庆城市管理职业学院信息工程学院张文科杨莉程书红,2.4 配置NAT,2、对外开放服务器static语法：static (内网接口名，外网接口名) 外网IP地址内网服务器IP地址static (inside, outside) 61.144.51.62 192.168.0.8

36、 static (inside, outside) 192.168.0.2 10.0.1.3 static (dmz, outside) 211.48.16.2 172.16.10.8 Conduit语法：conduit permit | deny 协议全局地址端口外部地址 conduit permit tcp host 61.144.51.62 eq www any,重庆城市管理职业学院信息工程学院张文科杨莉程书红,2.5 状态查看指令,show interface查看端口状态，show static查看静态地址映射，show ip查看接口ip地址。,重庆城市管理职业学院信息

37、工程学院张文科杨莉程书红,2.6 案例,E0,E1:10.1.1.1/30,Internet,内网172.16.1.0/24172.16.2.0/24,61.128.128.0/29,公网地址有多个，使内网的多个网段都能够上互连网。把内网的所有IP地址与外网的一个公网IP地址用端口复用的方式相对应，并且外网能够访问内网的一台服务器172.16.2.100，它对应外网地址61.128.128.3。,重庆城市管理职业学院信息工程学院张文科杨莉程书红,2.6.1 配置过程,1、分配接口及IP地址 nameif e0 outside se 0 nameif e1 inside se 10

38、0 interface outside auto interface inside auto ip add outside 61.128.128.2 255.255.255.248 ip add inside 10.1.1.1 255.255.255.252,重庆城市管理职业学院信息工程学院张文科杨莉程书红,2.6.2配置过程,2、配置地址变换： nat (inside) 1 172.16.1.0 255.255.255.0 nat (inside) 1 172.16.2.0 255.255.255.0 global 1 61.128.128.4 global 1 61.128.128

39、.5-61.128.128.6 static (inside,outside) 61.128.128.3 192.168.2.100 conduit permit tcp host 61.128.128.3 eq www any,重庆城市管理职业学院信息工程学院张文科杨莉程书红,2.6.3配置过程,3、添加路由Route inside 172.16.1.0 255.255.255.0 10.1.1.2Route inside 172.16.2.0 255.255.255.0 10.1.1.2,重庆城市管理职业学院信息工程学院张文科杨莉程书红,三、防火墙故障排查思路,接口配置，确保从防火墙往各个方向都能 ping 通,查看默认网关以及路由配置是否正常,NAT 配置，运行是否正常,是否被规则阻断,是否被 IDS 阻断,查看防火墙启用了哪些功能模块,使用 tcpdump 以及Traceroute 查看，侦听,网络拓扑信息，防火墙配置信息日志信息,接口属性是否正常,前题条件：保证机器设备的硬件是无故障的,重庆城市管理职业学院信息工程学院张文科杨莉程书红,小结,防火墙定义防火墙功能防火墙配置步骤WEB界面防火墙配置技术CLI界面防火墙配置技术防火墙故障排查基本思路,Thank You !,

展开阅读全文