防火墻安全配置第1頁，共27頁，2023年，2月20日，星期四學習目標了解防火墻的基本概念、作用、類型、優點、架構和配置；認識RG-WALL160T防火墻的面板，并知道各端口的作用；掌握RG-WALL160T防火墻的端口和路由配置；掌握RG-WALL160T防火墻的地址轉換和訪問控制策略配置；掌握RG-WALL160T防火墻的的客戶端認證配置；掌握RG-WALL160T防火墻的基本安全防范配置。第2頁，共27頁，2023年，2月20日，星期四學習內容6.1防火墻介紹6.2銳捷RG-WALL160防火墻介紹6.3實訓6-1：防火墻基本配置6.4實訓6-2：防火墻的地址轉換6.5實訓6-3：防火墻的訪問控制策略配置6.6實訓6-4：配置客戶端認證6.7實訓6-5：使用防火墻防止“死亡之ping”攻擊6.8實訓6-6：使用防火墻保護服務資源第3頁，共27頁，2023年，2月20日，星期四6.1防火墻介紹第4頁，共27頁，2023年，2月20日，星期四6.1防火墻介紹防火墻的概念防火墻是一種高級訪問控制設備，是置于不同網絡安全域之間的一系列部件的組合，是不同網絡安全域間通信流的唯一通道，能根據企業有關安全政策控制(允許、拒絕、監視、記錄)進出網絡的訪問行為。第5頁，共27頁，2023年，2月20日，星期四6.1防火墻介紹防火墻的作用控制和管理網絡訪問保護網絡和系統資源數據流量的深度檢測身份驗證扮演中間人角色記錄和報告事件第6頁，共27頁，2023年，2月20日，星期四6.1防火墻介紹防火墻的分類

按照操作對象主機防火墻網絡防火墻按照實現方式軟件防火墻硬件防火墻按照過濾和檢測方式包過濾防火墻狀態防火墻應用網關防火墻地址轉換防火墻透明防火墻混合防火墻第7頁，共27頁，2023年，2月20日，星期四6.1防火墻介紹防火墻的基本特性內部網絡和外部網絡之間的所有網絡數據流都必須經過防火墻只有符合安全策略的數據流才能通過防火墻防火墻自身應具有非常強的抗攻擊免疫力防火墻的代理服務代理服務設備(可能是一臺專屬的硬件，或只是普通機器上的一套軟件)也能像應用程序一樣回應輸入數據包(例如連接要求)，同時封鎖其他的數據包，達到類似于防火墻的效果。代理使得由外部網絡竄改一個內部系統更加困難,并且一個內部系統誤用不一定會導致一個安全漏洞可開采從防火墻外面(只要應用代理剩下的原封和適當地被配置)。相反地,入侵者也許劫持一個公開可及的系統和使用它作為代理人為他們自己的目的;代理人然后偽裝作為那個系統對其它內部機器。當對內部地址空間的用途加強安全,破壞狂仍然可以使用IP欺騙方法對目標網絡進行攻擊。防火墻經常有網絡地址轉換(NAT)的功能,并且主機被保護在防火墻之后共同地使用所謂的“私人地址空間”。第8頁，共27頁，2023年，2月20日，星期四6.1防火墻介紹防火墻的優點防火墻能強化安全策略。防火墻能有效地記錄Internet上的活動。防火墻能隱藏用戶點。防火墻能夠用來隔開網絡中一個網段與另一個網段。這樣，能夠防止影響一個網段的問題通過整個網絡傳播。防火墻是一個安全策略的檢查站。所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。第9頁，共27頁，2023年，2月20日，星期四6.1防火墻介紹防火墻的功能網絡安全的屏障一個防火墻（作為阻塞點、控制點）能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。強化網絡安全策略通過以防火墻為中心的安全方案配置，能將所有安全軟件配置在防火墻上。監控網絡存取和訪問如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網絡使用情況的統計數據。防止內部信息的外泄通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。其他功能除了安全作用，防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN（虛擬專用網）。第10頁，共27頁，2023年，2月20日，星期四6.1防火墻介紹防火墻的架構通用CPU架構通用CPU架構最常見的是基于IntelX86架構的防火墻，在百兆防火墻中IntelX86架構的硬件以其高靈活性和擴展性一直受到防火墻廠商的青睞；由于采用了PCI總線接口，IntelX86架構的硬件雖然理論上能達到2Gbps的吞吐量甚至更高，但是在實際應用中，尤其是在小包情況下，遠遠達不到標稱性能，通用CPU的處理能力也很有限。ASIC架構ASIC（ApplicationSpecificIntegratedCircuit，專用集成電路）技術是國外高端網絡設備幾年前廣泛采用的技術。由于采用了硬件轉發模式、多總線技術、數據層面與控制層面分離等技術，ASIC架構防火墻解決了帶寬容量和性能不足的問題，穩定性也得到了很好的保證。ASIC技術的性能優勢主要體現在網絡層轉發上，而對于需要強大計算能力的應用層數據的處理則不占優勢，而且面對頻繁變異的應用安全問題，其靈活性和擴展性也難以滿足要求。網絡處理器架構由于網絡處理器所使用的微碼編寫有一定技術難度，難以實現產品的最優性能，因此網絡處理器架構的防火墻產品難以占有大量的市場份額。第11頁，共27頁，2023年，2月20日，星期四6.1防火墻介紹防火墻的三種配置雙宿主機雙宿主機方式最簡單。雙宿主機網關放置在兩個網絡之間，這個雙宿主機網關又稱為堡壘主機。這種結構成本低，但是它有單點失敗的問題。這種結構沒有增加網絡安全的自我防衛能力，而它往往是受“黑客”攻擊的首選目標，它自己一旦被攻破，整個網絡也就暴露了。第12頁，共27頁，2023年，2月20日，星期四6.1防火墻介紹防火墻的三種配置屏蔽主機屏蔽主機方式中的屏蔽路由器為保護堡壘主機的安全建立了一道屏障。它將所有進入的信息先送往堡壘主機，并且只接受來自堡壘主機的數據作為出去的數據。這種結構依賴屏蔽路由器和堡壘主機，只要有一個失敗，整個網絡就暴露了。第13頁，共27頁，2023年，2月20日，星期四6.1防火墻介紹防火墻的三種配置屏蔽子網屏蔽子網包含兩個屏蔽路由器和兩個堡壘主機。在公共網絡和私有網絡之間構成了一個隔離網，稱之為”停火區”（DMZ，即DemilitarizedZone）,堡壘主機放置在“停火區”內。這種結構安全性好，只有當兩個安全單元被破壞后，網絡才被暴露，但是成本也很昂貴。第14頁，共27頁，2023年，2月20日，星期四6.1防火墻介紹防火墻的發展史第一代防火墻第一代防火墻技術幾乎與路由器同時出現，采用了包過濾（Packetfilter）技術。第二、三代防火墻1989年，貝爾實驗室推出了電路層防火墻，同時提出了第三代防火墻-應用層防火墻（代理防火墻）的初步結構。第四代防火墻1992年，USC信息科學院開發出了基于動態包過濾技術的第四代防火墻，后來演變為目前所說的狀態監視技術。第五代防火墻1998年，NAI公司推出了一種自適應代理技術，并在其產品中得以實現，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。一體化安全網關UTMUTM統一威脅管理，在防火墻基礎上發展起來的，具備防火墻、IPS、防病毒、防垃圾郵件等綜合功能的設備。由于同時開啟多項功能會大大降低UTM的處理性能，因此主要用于對性能要求不高的中低端領域。在中低端領域，UTM已經出現了代替防火墻的趨勢，因為在不開啟附加功能的情況下，UTM本身就是一個防火墻，而附加功能又為用戶的應用提供了更多選擇。在高端應用領域，比如電信、金融等行業，仍然以專用的高性能防火墻、IPS為主流。第15頁，共27頁，2023年，2月20日，星期四6.2銳捷RG-WALL160防火墻介紹第16頁，共27頁，2023年，2月20日，星期四6.2銳捷RG-WALL160防火墻介紹RG-WALL防火墻功能

狀態過濾應用層檢測NAT防攻擊透明防火墻流量控制高可用性VPN第17頁，共27頁，2023年，2月20日，星期四6.2銳捷RG-WALL160防火墻介紹RG-WALL防火墻管理界面

第18頁，共27頁，2023年，2月20日，星期四6.2銳捷RG-WALL160防火墻介紹RG-WALL防火墻默認配置WAN接口為管理接口，IP為00默認管理員帳號“admin”，密碼“firewall”登錄方式證書認證導入管理員證書到瀏覽器00:6666電子鑰匙認證插入電子鑰匙并認證00:6667第19頁，共27頁，2023年，2月20日，星期四6.2銳捷RG-WALL160防火墻介紹防火墻硬件描述

按鈕或端口詳細說明網絡接口防火墻固化4個GE口+2個SFP口+1個FE口；支持Bypass功能CONSOLE接口系統管理串行接口，波特率為9600。管理員可用隨機專用串口線連接終端和防火墻來管理系統。電源指示燈面板上標識為POWER，加電以后一直為綠色。電源接口電源接口接220V交流電壓。指示燈指示電源模塊運行狀態，綠色指示燈亮表示電源模塊在運行。電源按鈕按下電源按鈕帶“O”的一端關閉電源，反之接通電源。電源按鍵適用于RG-WALL160T/M系列防火墻第20頁，共27頁，2023年，2月20日，星期四6.3實訓6-1：防火墻基本配置第21頁，共27頁，2023年，2月20日，星期四6.4

實訓6-2：防火墻的地址轉換第22頁，共27頁，2023年，2月20日，星期四6.5