工作任務

問題探究

知識拓展

檢查評價

學習目標部署硬件防火墻

實踐操作

學習目標1.知識目標2.能力目標學習目標返回下頁上頁學習目標1.知識目標理解防火墻的基本特性1理解防火墻的運行機制2掌握防火墻的功能和作用3掌握防火墻的管理特性4掌握防火墻的對象管理5返回下頁上頁掌握防火墻的策略配置6了解防火墻的局限性7學習目標2.能力目標返回下頁上頁安裝RG-WALL60防火墻1導入RG-WALL60防火墻的數字證書2使用WEB方式登錄防火墻3管理RG-WALL60防火墻賬號4定義RG-WALL60防火墻對象5配置安全規則6配置抗攻擊選項7工作任務

工作任務2.工作任務背景4.條件準備1.工作名稱3.工作任務分析返回下頁上頁任務背景：校園網對于當今學校的管理和運行已經成為最基本的條件，學校的日常辦公，學生信息的管理，學生選課、成績的管理，等等。如果沒有校園網，學校的日常活動可能就難以開展下去。但是，近來校園網的安全和性能問題越來越嚴重，特別是近來發現了對學校服務器的攻擊行為，更是對校園網的安全構成了嚴重的威脅，對校園網的日常運行存在非常大的安全隱患。工作任務

任務名稱：安裝配置硬件防火墻任務名稱與背景返回下頁上頁從校園網當前存在的問題來看，這是典型的網絡安全管理問題。一是對網絡服務器的攻擊和破壞是網絡安全的最大威脅，服務器的安全是校園網正常運行的必要條件；二是病毒和木馬的傳播，給正常的學校業務運行構成了極大的隱患；在當前校園網中，缺少一個對網絡信息流動進行嚴格控制的機制。如果我們在校園網中加入一臺硬件防火墻，對校園網中的網絡活動進行篩選和控制，對日常的業務活動保證其網絡活動的正常進行，對非正常的網絡活動如病毒木馬的傳播和網絡攻擊進行限制，對網絡安全構成威脅的嚴格禁止。對于這樣的網絡管理，防火墻是最合適的，如果能夠進行合理的配置，我們現在所涉及的安全問題都可以很好的得到解決。任務分析工作任務

返回下頁上頁工作任務

條件準備對于校園網的安全防護，我們準備了RG-WALL60防火墻。RG-WALL系列采用銳捷網絡獨創的分類算法（ClassificationAlgorithm）設計的新一代安全產品——第三代防火墻，支持擴展的狀態檢測（StatefulInspection）技術，具備高性能的網絡傳輸功能；同時在啟用動態端口應用程序(如VoIP、H.323等)時，可提供強有力的安全信道。采用銳捷獨創的分類算法使得RG-WALL產品的高速性能不受策略數和會話數多少的影響，產品安裝前后絲毫不會影響網絡速度；同時，RG-WALL在內核層處理所有數據包的接收、分類、轉發工作，因此不會成為網絡流量的瓶頸。另外，RG-WALL具有入侵監測功能，可判斷返回下頁上頁工作任務

條件準備攻擊并且提供解決措施，且入侵監測功能不會影響防火墻的性能。RG-WALL的主要功能包括：擴展的狀態檢測功能、防范入侵及其它（如URL過濾、HTTP透明代理、SMTP代理、分離DNS、NAT功能和審計/報告等）附加功能。RG-WALL60防火墻前面板示意圖如圖3.14所示，RG-WALL60從左到右依次排列有公司標識、CONSOLE口、7個百兆網口（其中4個百兆交換網口）、電源指示燈、狀態指示燈、網卡指示燈。后面板示意圖如圖所示。返回下頁上頁RG-WALL60前面板

RG-WALL60后面板實踐操作

學習目標返回下頁上頁1.硬件防火墻的安裝7．定義地址資源2．連接管理主機與防火墻3.在管理機中導入數字證書4．登錄防火墻WEB界面8．定義服務資源6．防火墻接口啟用混合模式5．管理系統賬號9．添加包過濾規則1.硬件防火墻的安裝考慮到現有校園網的特點，防火墻接入采用“純透明”的拓撲結構，如圖所示。這樣的拓撲結構有如下特點：接入防火墻后無需改變原來拓撲結構；防火墻無需啟用NAT功能；可以禁止外網到內網的連接，限制內網到外網的連接，即只開放有限的服務，比如瀏覽網頁、收發郵件、下載文件等；使用DMZ區對內外網提供服務，比如WWW服務、郵件服務等；實踐操作

返回下頁上頁1.硬件防火墻的安裝接入防火墻后，在防火墻的管理界面中只需要將防火墻接口LAN、WAN、DMZ啟用混合模式；通過安全策略禁止外網到內網的連接；通過安全策略限制內網到外網的連接；通過安全策略限制外網到DMZ區的連接；實踐操作

返回下頁上頁2．連接管理主機與防火墻利用隨機附帶的網線直接連接管理主機網口和防火墻WAN網口（初始配置，只能將管理主機連接在防火墻的WAN網口上），把管理主機IP設置為00，掩碼為。連接好后，可以在管理主機運行ping00命令，以便驗證是否真正連通，如不能連通，請檢查管理主機的IP（00）是否設置在與防火墻相連的網絡接口上。實踐操作

返回下頁上頁3.在管理機中導入數字證書在管理主機中，要想對RG-WALL60實施配置，需要數字證書或者客戶端軟件+USBKey進行身份認證。在此，我們使用數字證書來認證身份。數字證書必須導入才能使用，在RG-WALL60隨機附帶的光盤上，我們可以找到數字證書文件admin.p12，如圖所示。實踐操作

返回上頁下頁3.在管理機中導入數字證書首先，雙擊數字證書，即可證書導入向導。證書的導入，必須為私鑰輸入密碼，RG-WALL60證書的初始密碼是123456，如圖所示。實踐操作

返回下頁上頁3.在管理機中導入數字證書其次，根據證書導入向導提示，一步一步操作，直到出現如圖所示的導入成功。實踐操作

返回下頁上頁4．登錄防火墻WEB界面要想實施對防火墻的管理，必須登錄到防火墻。登錄防火墻有2種方式，一種是WEB界面，另一種是超級終端。在此，我們使用WEB界面方式來登錄并管理防火墻。運行IE瀏覽器，在地址欄輸入00:6666（其它型號防火墻的登錄方式參考配套資料），等待約20秒鐘會彈出一個對話框提示接受證書，選擇確認即可。系統提示輸入管理員帳號和口令，如圖3.20所示。初始情況下，管理員帳號是admin，密碼是：firewall。實踐操作

返回下頁上頁4．登錄防火墻WEB界面實踐操作

返回下頁上頁4．登錄防火墻WEB界面登錄成功后，進入防火墻配置管理界面，如圖所示實踐操作

返回下頁上頁4．登錄防火墻WEB界面在成功登陸防火墻管理界面后，為了將防火墻成功應用于校園網，解決校園網的安全問題，我們需要為防火墻：設置管理員帳號；定義內網、WWW服務器、郵件服務器、數據庫服務器等地址資源；定義WWW服務、郵件服務、文件服務等服務資源；設置防火墻接口為混合模式；添加包過濾規則：允許任意地址訪問WWW服務器的WWW服務、郵件服務器的郵件服務；添加包過濾規則：允許內網訪問任意地址的WWW服務、郵件服務、文件服務實踐操作

返回下頁上頁5．管理系統賬號通常，在第一次登錄成功后，管理員需要修改初始管理員帳號、管理主機、防火墻可管理IP、管理方式或導入管理員證書。還可以新建其它管理員賬號和管理主機。首先，我們修改Admin賬號的賬戶名和密碼。在如圖所示的管理員賬號界面中，單擊admin賬號的編輯按鈕，對admin賬號的信息進行修改實踐操作

返回下頁上頁5．管理系統賬號實踐操作

返回下頁上頁其次，我們添加新的管理員賬號。在上頁圖的界面中，單擊按鈕，可以添加防火墻管理賬號，如圖所示，添加一個LiLiGong賬號，權限為配置管理員+策略管理員+日志審核員。6．防火墻接口LAN、WAN、DMZ啟用混合模式實踐操作

返回下頁上頁在“網絡配置”|“網絡接口”中，配置防火墻接口。對應dmz、wan、lan，分別點擊編輯按鈕，設置工作模式為“混合模式”。7．定義地址資源實踐操作

返回下頁上頁在“對象定義”|“地址”|“地址列表”中，單擊按鈕來定義內網、服務地址資源。定義內網interIP為/，如圖所示。8．定義服務資源實踐操作

返回下頁上頁在“對象定義”|“服務”中，可以對當前“服務”對象進行管理，RG-WALL60在出廠時已經建立好了常用的“服務”對象，比如我們要用到的“http”、“ftp”、“pop3”等。在此也可以對現有的對象進行編輯或者使用按鈕來定義新的“服務”對象。我們要用到的www、ftp、郵件服務對象在如圖3.27所示的列表中都能夠找到，通過編輯功能，我們查看這些對象的屬性，已有配置完全能夠滿足我們的需要，不需要再添加新的“服務”對象。8．定義服務資源實踐操作

返回下頁上頁9．添加包過濾規則實踐操作

返回下頁上頁策略管理是防火墻管理的核心，只有根據實際需要配置合理的防火墻策略，防火墻才能發揮真正的作用。防火墻按順序匹配規則列表：按順序進行規則匹配，按第一條匹配的規則執行，不再匹配該條規則以下的規則。校園網的防火墻是為保證校園網的正常運行而服務的，必須保證校園網日常運行的性能和安全。根據需要，可以添加包過濾規則：以允許任意地址訪問WWW服務器的WWW服務、郵件服務器的郵件服務；添加包過濾規則：以允許內網訪問任意地址的WWW服務、郵件服務、文件服務、數據庫服務；9．添加包過濾規則實踐操作

返回下頁上頁第一步，我們來設置“允許內網訪問ftp服務”策略第二步，參照pf1規則，來定義內網訪問www服務、內網訪問郵件服務、數據庫服務的規則。第三步，定義外網訪問www服務、郵件服務的規則。問題探究防火墻的本義原是指古代人們房屋之間修建的那道墻，這道墻在火災發生時可以阻止蔓延到別的房屋。而這里所說的防火墻當然不是指物理上的防火墻，而是指隔離在本地網絡與外界網絡之間的一道防御系統。應該說，在互聯網上防火墻是一種非常有效的網絡安全模型，通過它可以隔離風險區域(即Internet或有一定風險的網站)與安全區域(局域網或PC)的連接。同時可以監控進出網絡的通信，讓安全的信息進入。防火墻是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監返回問題探究

下頁上頁問題探究測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的安全。防火墻可以是硬件型的，所有數據都首先通過硬件芯片監測；也可以是軟件類型，軟件在電腦上運行并監控。其實硬件型也就是芯片里固化了的軟件，它不占用計算機CPU處理時間，可以功能作的非常強大處理速度很快，對于個人用戶來說軟件型更加方便實用。返回問題探究

下頁上頁問題探究返回問題探究

下頁上頁⑴防火墻的功能1）防火墻是網絡安全的屏障2）防火墻可以強化網絡安全策略3）對網絡存取和訪問進行監控審計4）防止內部信息的外泄⑵防火墻的種類1）網絡級防火墻2）應用級網關3）電路級網關4）規則檢查防火墻知識拓展

知識拓展返回下頁上頁1.NAT規則2.IP映射規則3.端口映射規則4.地址綁定5.抗攻擊知識拓展

1.NAT規則NAT（NetworkAddressTranslation）是在IPv4地址日漸枯竭的情況下出現的一種技術，可將整個組織的內部IP都映射到一個合法IP上來進行Internet的訪問，NAT中轉換前源IP地址和轉換后源IP地址不同，數據進入防火墻后，防火墻將其源地址進行了轉換后再將其發出，使外部看不到數據包原來的源地址。一般來說，NAT多用于從內部網絡到外部網絡的訪問，內部網絡地址可以是保留IP地址。RG-WALL60防火墻支持源地址一對一的轉換，也支持源地址轉換為地址池中的某一個地址。用戶可通過安全規則設定需要轉換的源地址（支持網絡地址范圍）、源端口。此處的NAT指正向NAT，正向NAT也是動態NAT，通過系統提供的NAT地址池，支持多對多，多對一，一對多，一對一的轉換關系。返回下頁上頁知識拓展

2.IP映射規則IP映射規則是將訪問的目的IP轉換為內部服務器的IP。一般用于外部網絡到內部服務器的訪問，內部服務器可使用保留IP地址。當管理員配置多個服務器時，就可以通過IP映射規則，實現對服務器訪問的負載均衡。一般的應用為：假設防火墻外網卡上有一個合法IP，內部有多個服務器同時提供服務，當將訪問防火墻外網卡IP的訪問請求轉換為這一組內部服務器的IP地址時，訪問請求就可以在這一組服務器進行均衡。返回下頁上頁知識拓展

3.端口映射規則端口映射規則是將訪問的目的IP和目的端口轉換為內部服務器的IP和服務端口。一般用于外部網絡到內部服務器的訪問，內部服務器可使用保留IP地址。當管理員配置多個服務器時，都提供某一端口的服務，就可以通過配置端口映射規則，實現對服務器此端口訪問的負載均衡。一般的應用為：假設防火墻外網卡上有一個合法IP，內部有多個服務器同時提供服務，當將訪問防火墻外網卡IP的訪問請求轉換為這一組內部服務器的IP地址時，訪問請求就可以在這一組服務器進行均衡。返回下頁上頁知識拓展

4.地址綁定地