1 / 108

防火墙使用及功能配置

科技网用户培训. 防火墙使用及功能配置. 荆 涛. 2005-9-27. 提纲. 防火墙相关知识 Cisco PIX 515E Netscreen 500. 防火墙介绍. 防火墙的概念. 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合 。. 防火墙术语. 网关 :在两个设备之间提供转发服务的系统。网关是互联网应用程序在两台主机之间处理流量的防火墙。这个术语是非常常见的。

palti
Download Presentation

防火墙使用及功能配置

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 科技网用户培训 防火墙使用及功能配置 荆 涛 2005-9-27

  2. 提纲 • 防火墙相关知识 • Cisco PIX 515E • Netscreen 500

  3. 防火墙介绍

  4. 防火墙的概念 • 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。

  5. 防火墙术语 • 网关:在两个设备之间提供转发服务的系统。网关是互联网应用程序在两台主机之间处理流量的防火墙。这个术语是非常常见的。 • DMZ非军事化区:为了配置管理方便,内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。防火墙一般配备三块网卡,在配置时一般分别分别连接内部网,internet和DMZ。 • 吞吐量:网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。 • 最大连接数:和吞吐量一样,数字越大越好。但是最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。 • 数据包转发率:是指在所有安全规则配置正确的情况下,防火墙对数据流量的处理速度。 • 并发连接数目:由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。

  6. 对防火墙的需求 • 网络规模/流量增长的需求 • 可靠性的需求 • DOS攻击防范的需求 • 蠕虫病毒防范的需求 • 日志性能需求 Regional Office Business Partner Compromised PC, U turn attacks Telecommuter Intrusion over WLAN, Hijacked remote session Worms, Trojan attacks DMZ Wireless Network HR Finance Internal attacks, malicious users

  7. 安全产品市场分析 数据来源:CNCERT/CC 2004年全国网络安全状况调查报告

  8. 各行业对网络安全技术最高使用率对比 数据来源:CNCERT/CC 2004年全国网络安全状况调查报告

  9. Speed 软硬结合 软件 防火墙的发展 硬件 1st Generation 2nd Generation 3rd Generation

  10. PC硬件系统 NetScreen 先进的硬件结构 应用 集成的安全应用 安全实时的操作系统 操作系统 High Speed Backplane CPU GigaScreenASIC CPU VPN Co-Processor RAM In Out RAM I/O I/O In Out Bus • 安全的特定处理进程 • 新的线速包处理进程 • 被优化的每个进程模块 • 为安全进程和性能优化的应用和硬件 • 通用的处理进程 • 数据必须通过几个非优化的接口 • 每个 “API”都会引入安全风险、解释和厂商独立性 • 进程延迟可能造成“不可预知的行为” • 无法优化数据路径 Netscreen与一般硬件防火墙比较

  11. Cisco PIX 520防火墙图片

  12. CPU,RAM

  13. Intel EtherExpress Pro/100+

  14. Cisco PIX Firewall 515E

  15. Cisco PIX515E 防火墙 • 为中小企业而设计 • 并发吞吐量188Mbps • 168位3DES IPSec VPN吞吐量63Mbps • Intel 赛扬 433 MHz 处理器 • 64 MB RAM • 支持6 interfaces PIX:Private Internet eXchange

  16. PIX 515 基本配件 • PIX 515主机 • 接口转换头 • 链接线 • 固定角架 • 电源线 • 资料

  17. The PIX Firewall 515 前面版 Power LED Network LED Active Failover Unit

  18. PIX Firewall 515 模块 Using the quad card requires the PIX Firewall 515-UR license.

  19. PIX Firewall 515双单口连接器 Using two single-port connectors requires the PIX Firewall 515-UR license.

  20. The PIX Firewall 515 100 MbpsLED 100 MbpsLED Failoverconnector LINKLED FDXLED LINKLED FDXLED LINK LED 10/100BaseTXEthernet 1(RJ-45) 10/100BaseTXEthernet 0(RJ-45) Consoleport (RJ-45) Power switch

  21. 通常的连接方案

  22. PIX防火墙通用维护命令

  23. 访问模式 • PIX Firewall 有4种访问模式: • 非特权模式:PIX防火墙开机自检后,就处于该模式,系统提示为:pixfirewall> • 特权模式:enable进入特权模式,可改变当前配置,显示为:pixfirewall# • 配置模式:输入configure terminal进入,绝大部分系统配置都在这里进行,显示为:pixfirewall(config)# • 监视模式:PIX开机或重启过程中,按住esc键或发送一个break字符进入监视模式,可以在此更新操作系统镜像和口令回复,显示为:monitor>

  24. PIX 防火墙基本命令 • enable, enable password, passwd • write erase, write memory, write terminal • show interface, show ip address, show memory, show version, show xlate • exit reload • hostname, ping, telnet

  25. enable命令 pixfirewall> • Enables you to enter different access modes enable pixfirewall> enable password: pixfirewall# configure terminal pixfirewall(config)# pixfirewall(config)# exit pixfirewall#

  26. enable password 和passwd 命令 • 设置进入特权模式的访问密码. pixfirewall# enable password password pixfirewall# passwd password • passwd设置telnet访问控制台口令

  27. write命令 • The following are the write commands: • write net:将存储当前配置的文件写入到TFTP服务器上 • write erase:清除Flash中的配置 • write floppy:将配置文件写入软盘 • write memory:将配置文件写入到Flash • write terminal:显示存储在Flash中的配置信息

  28. show 命令 show history show memory-显示系统内存的使用情况 show memory16777216 bytes total, 5595136 bytes free • show version-浏览PIX防火墙操作信息 • show xlate-查看地址转换信息 • show cpu usage

  29. show interface 命令 pixfirewall# show interface interface ethernet0 “outside” is up, line protocol is up hardware is i82557 ethernet, address is 0060.7380.2f16 ip address 192.168.0.2, subnet mask 255.255.255.0 MTU 1500 bytes, BW 1000000 Kbit half duplex 1184342 packets input, 1222298001 bytes, 0 no buffer received 26 broadcasts, 27 runts, 0 giants 4 input errors, 0 crc, 4 frame, 0 overrun, 0 ignored, 0 abort 1310091 packets output, 547097270 bytes, 0 underruns 0 unicast rpf drops 0 output errors, 28075 collisions, 0 interface resets 0 babbles, 0 late collisions, 117573 deferred 0 lost carrier, 0 no carrier input queue (curr/max blocks): hardware (128/128) software (0/1) output queue (curr/max blocks): hardware (0/2) software (0/1)

  30. show ip address 命令 pixfirewall# show ip address Building configuration…… System IP Addresses: ip address outside 192.168.0.2 255.255.255.0 ip address inside 10.0.0.1 255.255.255.0 ip address dmz 172.16.0.1 255.255.255.0 Current IP Addresses: ip address outside 192.168.0.2 255.255.255.0 ip address inside 10.0.0.1 255.255.255.0 ip address dmz 172.16.0.1 255.255.255.0

  31. hostname andping 命令 pixfirewall(config)# hostname newname • hostname pixfirewall (config)# hostname proteusproteus(config)# hostname pixfirewall pixfirewall(config)# ping [if_name] ip_address • ping pixfirewall(config)# ping 10.0.0.3 10.0.0.3 response received -- 0Ms 10.0.0.3 response received -- 0Ms 10.0.0.3 response received -- 0Ms

  32. DMZ 192.168.0.0/24 .2 e0 e2 .2 .1 .1 e1 172.16.0.0/24 10.0.0.0/24 name命令 pixfirewall(config)# name ip_address name • 关联一个名称和一个IP地址 Bastion host pixfirewall(config)# name 172.16.0.2 bastionhost

  33. telnet命令 • 指定可以telnet连接到控制台的主机地址 pixfirewall(config)# telnet ip_address [netmask] [if_name] pixfirewall(config)# pixfirewall(config)#show who 2: From 10.10.54.0 pixfirewall(config)#kill 2 kill telnet_id • 中止一个Telnet 会话 pixfirewall(config)# who [local_ip] • 当前通过telnet访问控制台的主机地址

  34. PIX防火墙的6个常用命令

  35. PIX防火墙常用命令 • nameif • interface • ip address • nat • global • route

  36. nameif • nameif命令用来命名接口并分配安全等级 pixfirewall(config)# nameif hardware_id if_name security_level pixfirewall(config)# nameif ethernet2dmz sec50

  37. interface • Interface命令用来标示网络接口的速度和双工属性 pixfirewall(config)# interface hardware_id hardware_speed pixfirewall(config)# interface ethernet0 100full pixfirewall(config)# interface ethernet1 100full • 将outside 和inside 接口设置为100兆全双工

  38. ip address • ip address 用来给每个物理接口分配地址 pixfirewall(config)# ip address if_name ip_address [netmask] pixfirewall(config)# ip address dmz 172.16.0.1 255.255.255.0

  39. nat • nat命令用来联系一个网络和一个全局IP地址池 pixfirewall(config)# nat [(if_name)] nat_id local_ip [netmask] pixfirewall(config)# nat (inside) 1 0.0.0.0 0.0.0.0

  40. Inside LocalIP Address GlobalIP Pool 10.0.0.3 10.0.0.4 192.168.0.20 192.168.0.21 NAT Example Inside Outside Source addr Source addr 10.0.0.3 192.168.0.20 200.200.200.10 Destination addr Destination addr 200.200.200.10 49090 49090 Source port Source port 23 Destination port Destination port 23 10.0.0.3 192.168.0.20 Internet 10.0.0.3 10.0.0.4 Translation table

  41. global 建立一个全局地址池,与nat联合使用 pixfirewall(config)# • global[(if_name)] nat_id {global_ip[-global_ip][netmask global_mask]} | interface pixfirewall(config)# nat (inside) 1 0.0.0.0 0.0.0.0 pixfirewall(config)# global (outside) 1 192.168.0.20-192.168.0.254 • 当内部主机访问外部网络时,他们所分配的地址范围是:192.168.0.20–192.168.0.254

  42. 网络地址转换(NAT)配置实例 Internet Pod perimeter router .1 192.168.0.0/24 e0 outside .2 security level 0 PIX Firewall e1 inside .1 security level 100 10.0.0.0 /24 172.26.26.50 10.1.0.0 /24 Backbone, web, FTP, and TFTP server pixfirewall(config)# nat(inside) 1 10.0.0.0 255.255.255.0 pixfirewall(config)# nat (inside) 2 10.1.0.0 255.255.255.0 pixfirewall(config)# global(outside) 1 192.168.0.1-192.168.0.14 netmask 255.255.255.240 pixfirewall(config)# global(outside) 2 192.168.0.17-192.168.0.30 netmask 255.255.255.240

  43. route • route命令为指定的接口输入一条静态或缺省的路由 pixfirewall(config)# route if_name ip_address netmask gateway_ip [metric] pixfirewall(config)# route outside 0.0.0.0 0.0.0.0 192.168.0.1 1

  44. 端口地址转换(PAT) PAT Global 192.168.0.15 Source addr Source addr 10.0.0.2 192.168.0.15 Destination addr 10.0.0.2 Destination addr 172.30.0.50 172.30.0.50 Source port 49090 Source port 2000 Destination port Destination port 23 23 Internet 10.0.0.3 Source addr Source addr 192.168.0.15 Destination addr Destination addr 172.30.0.50 172.30.0.50 Source port 49090 Source port 2001 10.0.0.3 Destination port 23 Destination port 23

  45. Perimeter router 192.168.0.1 192.168.0.2 PIX Firewall Bastion host 10.0.0.1 172.16.0.2 Engineering Sales 10.0.2.0 10.0.1.0 Information systems PAT 配置实例 pixfirewall(config)#ip address (inside) 10.0.0.1 255.255.255.0 pixfirewall(config)#ip address (outside) 192.168.0.2 255.255.255.0 pixfirewall(config)#global (outside) 1 192.168.0.9 netmask 255.255.255.0 pixfirewall(config)#nat (inside) 1 10.0.0.0 255.255.255.0 • 分配一个IP地址(192.168.0.9) 到全局地址池 • 源地址网络10.0.0.0 被转换到192.168.0.9

  46. Perimeter router 192.168.0.1 192.168.0.2 PIX Firewall Bastion host 10.0.0.1 172.16.0.2 Engineering Sales 10.0.2.0 10.0.1.0 Information systems 多个网络的PAT转换 pixfirewall(config)#ip address (inside) 10.0.0.1 255.255.255.0 pixfirewall(config)#ip address (outside) 192.168.0.2 255.255.255.0 pixfirewall(config)#global (outside) 1 192.168.0.8 netmask 255.255.255.0 pixfirewall(config)# global (outside) 2 192.168.0.9 netmask 255.255.255.0 pixfirewall(config)#nat (inside) 1 10.0.1.0 255.255.255.0 pixfirewall(config)# nat (inside) 2 10.0.2.0 255.255.255.0 • 将不同的内部网络转换到不同的地址上 • 10.0.1.0的网络被转换到192.168.0.8. • 10.0.2.0的网络被转换到192.168.0.9

More Related