《網絡組建與維護技術》項目19保護辦公網出口安全核心技術

配置辦公網防火墻設備，保護辦公網安全學習目標

了解辦公網接入互聯網安全

了解防火墻安全基礎

區別不同類型的防火墻設備

會設置防火墻的工作環境

配置防火墻的基礎技術

【項目背景】綠豐公司是家消費品銷售公司，公司為適應電子商務時代發展需要，組建互聯互通辦公網絡，搭建客戶銷售數據服務器，實現資源共享。公司的網絡在運行的過程中，信息中心發現經常有來自外部互聯網上攻擊事件發生，有人在公司的內網服務器上安裝上廣告木馬；有試探性數據包頻頻測試服務的FTP端口……為了保護公司內部網絡的安全，公司通過決定在辦公網的出口地方，安裝一臺防火墻設備，禁止來自互聯網上的敏感數據進入公司內部網絡，保護公司內網安全?！卷椖糠治觥繛榱吮Ｗo公司內部網絡的安全，防范來自互聯網上的攻擊事件發生，需要在企業網的出口地方安裝硬件防火墻設備。硬件防火墻能有效防范來自互聯網上的攻擊事件發生，通過檢查進入辦公網的所有數據包，禁止通過篩選出的、被禁止的、可疑數據包通過防火墻進入公司內網，從而保護公司內部網絡的安全?！卷椖磕繕恕勘卷椖恐饕獜木W絡管理員日常安全管理角度出發，講解辦公網出口安全控制技術：防火墻設備基礎知識。通過本單元的學習，了解防火墻的基礎知識，會區別硬件防火墻和軟件防火墻的異同點，會登錄防火墻設備，配置防火墻的基礎工作環境，能通過防火墻進行辦公網簡單的安全控制。19.1什么是防火墻防火墻是一套位于企業內部網絡與Internet網絡之間的網絡安全系統，能按照一定的安全策略建立起來的硬件和軟件的有機組成體，把一家企業的公共網絡服務器和企業內部網絡隔開，能有效防止來自互聯網上的黑客的攻擊，保護企業內部網絡的安全運行。網絡安全上實施的防火墻，通常是由軟件和硬件設備組合而成，能在公司的內部網和外部網之間構造的一個保護屏障，使Internet與Intranet之間建立起一個安全網關（SecurityGateway），從而保護內部網免受來自外部網絡非法用戶的侵入，如圖19-1所示。19.2防火墻類型按照保護網絡功能的程度高低的不同，辦公網中安裝的防火墻通?？梢苑謩e硬件防火墻和軟件防火墻二種類型。軟件防火墻軟件防火墻單獨使用一套軟件系統來完成防火墻功能，通常將防火墻軟件部署在系統主機上，通過配置該軟件，完成放行那個端口、禁止哪個IP段之類的安全控制。硬件防火墻硬件防火墻是指把防火墻程序做到芯片里面，由硬件執行這些功能，能減少CPU的負擔，使路由更穩定。19.3防火墻的安全特性1、內部網絡和外部網絡之間所有網絡數據流都必須經過防火墻2、只有符合安全策略的數據流才能通過防火墻防火墻最基本的功能是確保網絡流量的合法性，并在此前提下，將網絡的流量快速從一條鏈路轉發到另外的鏈路上去。最原始的防火墻就是一臺“雙穴主機”，即具備兩個網絡接口，同時擁有兩個網絡層地址。3、防火墻自身應具有非常強的抗攻擊免疫力這是防火墻之所以能擔當企業內部網絡安全防護重任的先決條件。防火墻處于網絡邊緣，它就像一個邊界衛士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火墻操作系統本身是關鍵，只有自身具有完整信任關系的操作系統才可以談論系統的安全性。19.4防火墻工作原理防火墻的本義是指古代構筑和使用木制結構房屋的時候，為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構筑物就被稱之為“防火墻”。包過濾防火墻應用網關防火墻狀態檢測防火墻復合型防火墻19.5防火墻性能技術指標1、吞吐量2、

時延3、

并發連接數4、

每秒新建連接數5、

丟包率6、

背靠背項目實施19.6項目實施：保護辦公網出口安全【任務描述】綠豐公司的辦公網在運行的過程中，信息中心發現經常有來自外部互聯網上攻擊事件發生，有人在公司的內網服務器上安裝上廣告木馬；有試探性數據包頻頻測試服務的FTP端口……為了保護公司內部網絡的安