天融信防火墙配置手册.ppt

资源描述

《天融信防火墙配置手册.ppt》由会员分享，可在线阅读，更多相关《天融信防火墙配置手册.ppt（84页珍藏版）》请在三一文库上搜索。

1、天融信防火墙配置防火墙配置实训手册实训手册 Http:/ 华迪信息.网络工程中心防火墙形态防火墙形态类似于一台路由器设备，是一台特殊的计算机。以天融信防火墙(TOPSEC FireWall ARESM)为实例，来测试防火墙各区域的访问控制机制：目标一：了解访问策略的原理与作用。通过设置访问策略，测试Intranet（企业内联网）,SSN（安全服务区，即DMZ（非军事区）,Internet（互联网）区域之间访问控制机制。目标二：了解NAT原理与作用。测试内网通过NAT方式相互访问。并通过 NAT访问因特网，过滤特定网站和特定网页。目标三：了解MAP原理与作用。测试外网通

2、过MAP访问企业内部服务器。了解防火墙三种接入模式。配置目标配置目标 n防火墙 n n 为为网网络络用用户户提提供供安安全全的的 Internet Internet 接接入入 InternetInternet DMZ WEB服务层 Intranet 内部网络 Web e-mail FTP 防火墙 FireWall Web Site FilterWeb Site Filter Web 站点访问过滤限限制制对对非非本本企企业业业业务务目目的的的的 Internet Internet 资资源源的的访访问问 Connection t

3、o outside network Connection to inside network Connection to www network 防火墙在企业网的接入 Intranet区域 SSN区域 Internet区域大门实实验验室室分分布布情情况况 Internet 实验网络结构图实验网络结构图 192.168.6.50/60 网关：192.168.6.250 DMZ 区 Intranet 内网 Web e-mail FTP Internet 外网 192.168.2.50/60/70/80/90 网关：192.168.2.250 192.168.1.50/60/70/8

4、0/90 网关：192.168.1.250 2.2506.250 1.250 防火墙路由模式访问控制测试结构一、通过防火墙的路由功能实现访问控制，操作步骤如下： STEP1:线路连接根据图示设置主机IP地址(注意主机IP与连接的防火墙端口地址为同一网段，不能与连接的防火墙端口地址冲突)，设置防火墙本区域端口IP地址为主机网关地址。测试能否PING通防火墙端口IP地址。上半部份上半部份 STEP2:通过软件登陆Firewall 打开防火墙配置软件“TOPSEC集中管理器”，新建项目，输入防火墙本区域端口IP地址，登陆到防火墙。查看防火墙 “基本信息” 和“实时监控”，了解

5、其他各菜单功能。说明：登陆下列其中一个用户：user1/2/3/4/5/6/7/8/9/10, 口令为：123456 防火墙配置一般有三种方式： B/S配置 ,C/S配置,Console口配置. 本实验防火墙采用C/S方式。区域之间缺省权限的设置区域之间缺省权限的设置 STEP3: 防火墙区域缺省权限设置网络区域防火墙三个区域缺省访问权限设为允许访问。操作说明：选择“可读、可写、可执行”选项，表示为允许访问。本机PING其他区域内主机，测试连通性。网络区域防火墙三个区域缺省访问权限设为禁止访问。操作说明：不选择“可读、可写、可执行”选项，表示为禁止访问。本机PING其他

6、区域内主机，测试连通性。第四个区域area_4为该软件上带的区域名，可不管,实际硬件上没有。缺省访问权限是指区域之间主机的默认权限。如果是PING本区域内主机，由于是通过交换机进行通信，防火墙不能控制同一区域主机之间的权限，本区域内主机是能够连通的。主机节点对象的建立主机节点对象的建立接下来在防火墙三个区域缺省权限设为禁止访问的情况下，做以下步骤： STEP4: 主机节点对象建立高级管理网络对象本主机所在区域定义新对象定义节点把本主机IP地址定义为一个节点。定义名称可任意，物理地址可不填。说明：定义对象应在该对象所在区域内设置。本机在哪个区域，则在那个区域内设置。定义节

7、点针对一个主机定义，定义子网可定义一个网络地址段。定义对象没有任何权限的作用，只有通过访问策略（STEP5 设置）调用这些对象才能设置权限。防火墙访问控制过滤机制包过滤示意图防火墙访问控制过滤机制包过滤示意图源地址过滤目的地址过滤协议过滤协议端口过滤数据包数据包应用层过滤缺省访问权限（允许/禁止）源对象目的对象策略服务 http,ftp,smtp等时间策略访问控制允许/拒绝一条访问策略规则： STEP5 :区域之间主机权限策略设置，测试访问控制 1) 首先明确源主机、目标主机,访问控制是针对源到目的的访问。然后在高级管理访问策略需要访问的目标主机所

8、在区域内增加包过滤策略，策略源为访问端（只选择本机节点），策略目的为被访问端（只选择其他区域某节点），策略服务为PING，访问控制设为允许。注意策略源和目的只选择节点，针对主机进行权限设置。通过PING 对方主机测试连通性。特别注意：访问策略应在被访问对象所在的目标区域设置策略。如：访问SSN区域内主机，则应在SSN区域内设置策略。访问控制测试访问控制测试 2) 在本区域内增加包过滤策略，建立禁止对方主机（策略源）访问本机（策略目的）的访问策略，测试对方区域的主机到本机的连通性。说明：必须针对不同区域设置访问权限，同一区域内的主机防火墙是不能控制权限的，设置的策略也

9、是无用的。 3) 禁止其他区域主机访问本机135-139及445,7626,4006，1027， 6267，8080端口（任选其一设置）。策略服务在都不选择的情况下，为任何服务，包括所有协议所有端口。策略服务在都选择的情况下，表示只对所选择的服务进行访问控制。访问策略优先级高于区域默认权限策略的优先级（STEP3已设置）。每个访问策略都是单向访问，只有策略源对象访问到策略目的对象。两个不同区域主机如需要相互访问，则需要建立两个策略。访问策略可控制源地址，目标地址，策略服务，访问控制时间。访问控制测试访问控制测试 STEP6: 通过策略范围来控制主机访问权限 (1)设置两个策略，

10、一个策略为设置本机访问其他区域某一主机的访问策略，访问策略为允许，另一个策略同样是访问该主机，但访问控制设为禁止，更改两个策略的优先级，通过PING 对方主机测试连通性。说明：鼠标上下拖动所建策略可以更改优先级，排在上面的策略优先级高。 (2) 设置两个策略，一个策略为本机访问其他整个区域的策略，另一个策略为本机禁止访问其他区域内某一个主机的策略，更改两个策略的优先级，通过PING 对方区域内主机测试连通性。 (3) 设置两个策略，一个策略为本机访问其他区域某主机的策略，策略服务为任何服务，另一个策略为本机禁止通过策略服务PING其他区域该主机。更改两个策略的优先级，通过PIN

11、G 对方主机测试连通性。访问控制测试访问控制测试 (4) 设置两个策略，一个策略为本机禁止访问其他区域某主机的策略，策略服务为任何服务，另一个策略为本机允许通过策略服务 PING其他区域该主机。更改两个策略的优先级，通过PING 对方主机测试连通性，访问对方主机其他端口（如共享方式）进行测试。 (5) 设置本区域允许访问其他整个区域，策略服务为任何服务，通过PING 对方所有主机测试连通性。 (6) 在网络区域，设置所有区域缺省权限为允许，再建立一个访问策略，禁止PING对方某一主机的访问策略。测试与对方主机的连通性。 7）根据需要，自行定义策略，设置权限。说明：如果选择整个区域

12、，如选择INTRANET区域”，则指包括连入INTRANET内的所有主机。可以通过策略的优先级，把范围小的策略优先级设置为高于范围大的策略，能够有效控制不同区域之间的访问对象和策略服务。这样先满足范围小的策略，超过这个范围则再受到范围大的策略限制。访问控制测试访问控制测试企业防火墙设置注意要点：企业防火墙设置注意要点：防火墙是企业安全的关键中枢，企业安全管理实施需要通过运用防火墙访问策略来实现。访问策略不只是从技术上考虑，最重要的是安全管理的需要来进行设置。为了安全需要，防火墙最好只能一个管理员进行配置，有其他人设置时要有日志记录便于管理审计。防止无关管理员任意设置。

13、策略规则应尽量简化，策略太多容易杂乱，不便管理，影响防火墙效率。常见的木马、病毒使用的端口尽量关闭，如445,7626，4006， 1027，6267等，对高发及最新病毒、木马端口要及时做出处理。防止反向连接,对由内到外的连接也要注意端口防护。与另一区域的一主机配合操作。在目标主机无网关（路由）的情况下，通过NAT方式进行访问。访问端需要有网关（路由）。 1）把需要测试的目标主机操作系统中网关地址 (在网络属性中设置) 删除。 2）在目标主机无网关情况下，增加一个访问策略，允许本机（策略源）访问该目标主机（策略目的），测试与该主机连接情况。 3) 进入高级管理通信策略增加本

14、机（策略源）到该目标主机（策略目的）的通讯策略，通信方式选择NAT方式。 4）测试与该主机连通情况以及对方主机访问本机的连通情况。 5）本机删除网关后，让对方主机增加网关，反过来再增加访问策略和 NAT进行测试。说明：访问策略是权限的问题，通讯策略是路径的问题。 NAT都是单向访问，内网需要网关路由到外网，而外网不需路由到内网。保护了内网的安全。思考: NAT是作为源IP地址转换，NAT在整个转换过程中所起到的作用? 通信策略通信策略 STEP7: 设置NAT（网络地址转换）方式 NAT 在互联网的应用隐藏了内部网络结构内部网络可以使用私有IP地址 NATNAT原理源地址转换原

15、理源地址转换 192.168.1.50 网关：192.168.1.250 192.168.8.50 Intranet:192.168.1.250 Internet:192.168.8.250 报头数据源地址：192.168.1.50 目的地址：192.168.8.50 报头数据源地址：192.168.8.250 目的地址：192.168.8.50 NAT转换 192.168.1.50发送的数据包经过NAT 转换后，源地址成为192.168.8.250 DMZ 区 Intranet 内网 Web e-mail FTP Internet 互联网 192.168.2.50/60/70/8

16、0/90 网关：192.168.2.250 192.168.1.50/60/70/80/90 网关：192.168.1.250 2.250 6.250 1.250 互联网过滤互联网过滤 1）首先把防火墙INTERNET区域端口接入到华迪实训公司INTERNET网络线路。 2) 建立一个访问策略（包过滤策略），以本机作为策略源，以INTERNET 区域做为策略目的，策略服务选择任何服务。 3）再建立一个通信策略（NAT方式），本机做为策略源，INTERNET区域作为策略目的。然后本机DNS（在网络属性中设置）指向到互联网DNS服务器IP地址, 检查能否PING通DNS服务器IP，测试能否

17、连入互联网。 DNS服务器IP：211.95.129.161 61.139.2.69 STEP8: 通过HTTP过滤策略, 过滤网站和过滤网页. 4) 在高级管理特殊对象URL 定义新对象，输入任一网址，注意格式要求。注意：定义URL时前后应加 * , 如格式： ** 。 5）访问策略 INTERNET区域增加HTTP策略，禁止某一网站。把过滤策略优先级提到最前面，测试该网站能否打开。（不需选择关键字） 6）在高级管理特殊对象关键字定义关键字 7）访问策略INTERNET区域增加 HTTP策略，允许某一网站访问，但禁止关键字访问。把过滤策略优先级提到最前面，测试含有该关键字

18、的网页能否打开。注意：定义关键字不需要加 * ，过滤关键字即过滤含有关键字的网页。选择关键字则访问策略的访问控制只能选择“允许”,不能选择禁止。 8）通过包过滤策略，禁止本机访问INTERNET,策略服务为 TCP:80(HTTP服务)，测试能否连入互联网。 9) PING 某一网站域名(网址），记住其IP地址，通过访问策略禁止本机 PING此IP地址。下半部份二、通过防火墙透明模式测试区域网络的访问控制：说明：防火墙透明模式可以让同一网段在不同区域的主机进行通信。（相当于二层交换）而路由模式可以让不同网段在不同区域通过防火墙端口IP地址路由进行通信。（三层交换作用）

19、了解防火墙的三种接入模式了解防火墙的三种接入模式 1.透明模式（网络） 2.路由模式路由模式路由模式 3.透明及路由的混合模式透明网络结构透明网络结构 DMZ 区 Intranet 内网 Web e-mail FTP 192.168.1.110/120/130/140/150 192.168.1.50/60/70/80/90 192.168.1.200/210 Internet 外网 1.2401.230 1.250 防火墙透明网络测试结构 STEP1: 按上图设置主机IP (注意可不设网关)，用TOPSEC集中管理器重新登陆到本区域端口地址。在高级管理特殊对象透明网络增加透明网络

20、，选择“INTERNET区域” “INTRANET“,“SSN“ 。说明：增加本区域和要进行透明网络测试的区域。 STEP2: 在网络区域设置三个区域为禁止访问。在网络对象中重新按以上IP在本区域建立本机节点，在访问策略中，增加本机（策略源）可以访问其他区域内某一主机（策略目的）的权限。 STEP3:测试能否PING通其他区域的主机。 STEP4: 删除所有建立的透明网络，测试能否连通其他区域主机。 STEP5: 在网络区域设置三个区域为允许访问，建立禁止访问其他区域主机的访问策略，测试连通性。透明网络测试透明网络测试不同区域任意两个主机之间都可配合按以下步骤操作。三、三、MA

21、PMAP映射操作步骤映射操作步骤 DMZ 区 Intranet 内网 Web e-mail FTP Internet 外网 192.168.2.50/60/70/80/90 网关：192.168.2.250 192.168.1.50/60/70/80/90 网关：192.168.1.250 192.168.6.50/60 网关：192.168.6.250 2.2506.250 1.250 （本实验可选） MAP端口（地址）映射在互联网的应用 MAP也称为反向NAT STEP1:在网络区域本主机所在区域虚口设置设置虚口IP地址增加本区域同一网段的虚口IP地址，注意不要跟其他地址冲突。说明：

22、增加一个虚口地址做映射地址。建立MAP映射后，IP地址将会完全代替被映射的主机IP,为了使MAP后“TOPSEC集中管理器”能连到防火墙原防火墙IP地址，所以增加一个虚口地址来做为MAP映射的IP地址。 STEP2: 在高级管理网络对象本区域内增加STEP1所做的虚口地址为一个节点A。在高级管理网络对象对方区域内增加对方主机为一个节点B。 Ping 虚口IP地址, 检查能否连接该地址。 STEP3: 在高级管理访问策略对方区域内增加本机访问对方主机的访问策略, 策略服务设为任何服务。 STEP4: 在高级管理通信策略增加MAP映射。策略源为本机所在区域名，策略目的为节点A(即虚口地

23、址）,通信方式： MAP,目标机器为对方主机节点B，访问目标的源为节点A(即虚口地址）。认真按以下步骤操作，可参照后面参考案例 MAPMAP测试过程测试过程 STEP5: 进行MAP测试，本机访问虚口地址。可以通过 PING a 虚口IP 的方式查找计算机名，如能解析出对方计算机名。则可以说虚口地址已映射为对方计算机IP. 通过地址映射后，访问虚口地址即实际转向访问到节点B. 如访问虚口地址上的网站即访问节点B的WEB. STEP6: 高级管理通信策略把刚才做的MAP策略，指定协议改为TCP , 映射方式改为端口映射： 80 端口80端口。（如果是WEB,为80，如为FTP,端口为

24、21) 对方的IIS配置好，访问对方WEB。原理说明：只能针对节点（主机）对节点（主机）进行MAP 。通过这种方式，互联网上主机可不需路由（网关）到企业内网。当具体应用时，因外网不能直接访问到内网私有地址的服务器，在外网主机访问内网服务器时就需先访问外网IP地址，再通过MAP访问内网服务器。 MAP是目的地址转换，经MAP转换后IP转换为防火墙另一区域的目标主机IP . MAPMAP映射参考案例映射参考案例从Internet 区域向SSN 区域做映射。目的：192.168.6.251 MAP= 192.168.2.50 DMZ 区 Intranet 内网 Web e-mail F

25、TP 192.168.2.50(节点B) 192.168.1.50/60/70/80 192.168.6.50 虚口地址（节点A)： 192.168.6.251 Internet 外网防火墙 MAP映射测试结构 2.2506.250 1.250 STEP1:按如图所示，以192.168.6.50模拟互联网上某主机。在网络区域INTERNET区域虚口设置设置虚口地址192.168.6.251. STEP2: 在高级管理网络对象INTERNET增加虚口地址为一个节点A 。在高级管理网络对象SSN192.168.2.50为一个节点B。 STEP3: 在高级管理访问策略SSN增加INTERNE

26、T访问192.168.2.50 的访问策略。 STEP4:在高级管理通信策略增加MAP映射。策略源为INTERNET区域，策略目的为节点A(即虚口地址）,通信方式： MAP,目标机器为节点B，访问目标的源为节点A(即虚口地址）。说明：本区域虚口地址映射到目标区域内主机。 STEP5:Internet内一主机访问虚口地址。通过地址映射后，访问虚口地址即实际转向访问到节点B. 如访问虚口地址上的Web即访问节点B的Web. 192.168.1.50 网关：192.168.1.250 192.168.6.50 Intranet:192.168.1.250 Internet:192.168.6

27、.250 报头数据源地址：192.168.6.50 目的地址：192.168.1.50 报头数据源地址：192.168.6.50 目的地址：192.168.6.250 MAP映射 MAPMAP映射原理目的地址转换映射原理目的地址转换 192.168.6.50发送的数据包经过MAP 映射后，目的地址成为192.168.1.50 案例应用综合测试：案例应用综合测试：某公司根据网络安全需要，要求做到以下几点： 1、允许内网所有主机访问互联网,但不能访问, 不能访问有“游戏”关键字的网页。 2、禁止SSN主机访问互联网。 3、禁止内网访问除192.168.2.60外SSN区域的主机。

28、 4、外网建立虚口地址192.168.6.251，并使此IP的 TCP:80端口映射到192.168.2.60主机tcp:80端口。 5、允许Intranet 主机192.168.1.60主机访问SSN网 192.168.1.20主机。请根据这些安全要求设置防火墙策略！ InternetInternet DMZ WEB服务层 Intranet 内部网络 Web e-mail FTP 防火墙 FireWall Trust 区 Untrust 区 1.50 1.60 1.20 2.60 6.251 135-139,445,7626 案例应用综合测试图：案例应用综合测试图：实验完附： Fi

29、rewallFirewall讲义讲义词汇表本讲义所用的词汇解释 Intranet 内联网（企业网） DMZ 非军事区（停火区） SSN 安全服务区 n防火墙 n n 为为网网络络用用户户提提供供安安全全的的 Internet Internet 接接入入 InternetInternet DMZ WEB服务层 Intranet 内部网络 Web e-mail FTP 防火墙 FireWall Web Site FilterWeb Site Filter Web 站点访问过滤限限制制对对非非本本企企业业业业务务目目的的的的 Intern

30、et Internet 资资源源的的访访问问 Connection to outside network Connection to inside network Connection to www network 1.3带防火墙的Web服务层 1.4防火墙的接口交换机 Internet 核心交换机交换机交换机 PCPCPCPCPCPC 防火墙防火墙需要了解的内容： 1、防火墙的区域端口 SERVER DMZ SERVER SERVER INTRANET 192.168.1.250 INTERNET 211.95.180.1 192.168.1.3 192.168.2.250

31、1.5 IT领域防火墙的概念一种高级访问控制设备，置于不同安全域之间，是不同安全域之间的唯一通道，能根据企业有关的安全政策执行允许，拒绝，监视，记录进出网络的行为。 1.6 1.6 防火墙防火墙防火墙是一个或一组系统，用于管理两个网络直接防火墙是一个或一组系统，用于管理两个网络直接的访问控制及策略的访问控制及策略所有从内部访问外部的数据流和外部访问内部的数所有从内部访问外部的数据流和外部访问内部的数据流均必须通过防火墙；只有在被定义的数据流才据流均必须通过防火墙；只有在被定义的数据流才可以通过防火墙可以通过防火墙( (如果通过其他方式带出信息，则无如果通过其他方式带出信息，则无

32、法防备）法防备）防火墙本身必须有很强的免疫力防火墙本身必须有很强的免疫力 TCP/IP协议协议层次 OSI/RM模型TCP/IP协议栈物理层数据链接层网络层传输层会话层表示层应用层网络接口层 IP层传输层 HTTP FTP SMTP TCP UDP IP ICMP ARP 以太网，ATM，FDDI 需要了解的内容： 2、TCP/IP 应用层 TCP/IP协议簇数据包各层协议结构 MAC帧首部尾部首部IP数据报首部传输层 MAC地址源 IP,目的 IP、协议类型数据部份数据部份数据部份 ICMP IGMP EGP OSPF ARP TCP UDP 应用层源端口

33、,目的端口 TELNET,SMTP,FTP, HTTP,DNS,SNMP,DHCP RIP. 链路层 IP层各层首部长度： MAC帧首部14B,尾部4B,IP数据报首部20B, TCP: 20B,UDP:8B,ICMP:8B TCP/IP协议簇 IP层协议： IP : 网际协议 ICMP: 网际控制报文协议 ARP 地址解析协议传输层协议： TCP: 传输控制协议特点：面向连接，较可靠。需先建立连接，开销较大。 UDP:用户数据报协议特点：无连接，不可靠，尽最大努力交付。应用层协议： FTP TCP:21 SMTP TCP:25 TELNET TCP:23 HTTP TCP:80 P

34、OP3 TCP:110 SNMP UDP: 161/162 DNS TCP:53/UDP:53 PPTP TCP:1723 L2TP TCP:1701 MSTerminal TCP:3389 WINS TCP :1512 HTTPS TCP:443 DHCP UDP:67/68 QQ UDP:8000 SSH TCP:22 PCANYWHERE TCP:5631 MSN TCP:1863 RIP UDP:520 TCP/IP协议簇各层之间的数据传递过程二、防火墙的发展历程防火墙和路由器合为一体，只有过滤功能，适合安全要求不同的网络模块化软件包，用户可根据需要构建防火墙。安全性提高了。

35、包括分组过滤; 装有专用的代理系统，监控所有协议的数据和指令。用户可配置参数，安全性和速度大为提高。包括分组过滤，应用网关，电路级网关。增加了加密，鉴别，审计， NAT. 透明性好。三、防火墙核心技术简单包过滤防火墙简单包过滤防火墙状态检测包过滤防火墙状态检测包过滤防火墙应有代理防火墙应有代理防火墙包过滤和应有代理复合性防火墙包过滤和应有代理复合性防火墙核检测防火墙核检测防火墙 3.13.1 简单包过滤简单包过滤防火墙工作原理 3.23.2 状态检测包过滤状态检测包过滤防火墙工作原理 3.33.3 应用代理应用代理防火墙工作原理在应用层上进行检查网络层上不检查 3.

36、4 3.4 复合型复合型防火墙工作原理 3.53.5 核检测核检测防火墙工作原理防火墙核心技术比较四、防火墙体系结构基于内核的会话检测技术五、防火墙构造体系筛选路由器多宿主主机被屏蔽主机被屏蔽子网六、防火墙功能与原理基于访问控制技术常用访问控制对象：协议（TCP,UDP,ICMP) 源IP地址，目的IP地址，源端口，目的端口时间，用户，流量，文件，网址， MAC地址防止DoS和DDoS攻击 DoS ( Denial of Service ) 拒绝服务攻击攻击者利用系统自身陋洞或者协议陋洞，耗尽可用资源乃至系统崩溃，而无法对合法用户作出响应。 DDo

37、S ( Distributed Denial of Service ) 分布式拒绝服务攻击拒绝服务攻击通常是以消耗服务器端资源为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，实现攻击目的。 DDoS的表现形式主要有两种，一种是流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法的网络数据包被虚假的网络数据包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机进行的攻击，即通过大量的攻击包导致主机的内存被耗尽，或是CPU被内核及应用程序占完而造成无法提供网络服务。与MAC地址绑定时间策略在访问中配

38、置某条规则起作用的时间。如配置了时间策略，防火墙在规则匹配时将跳过那些当前时间不在策略时间段内的规则注：这个时间段不是允许访问的时间段，而是规则起作用的时间段。 NAT 网络地址转换隐藏了内部网络结构内部网络可以使用私有IP地址 NAT原理源地址转换 192.168.1.50 网关：192.168.1.250 192.168.8.50 Intranet:192.168.1.250 Internet:192.168.8.250 报头数据源地址：192.168.1.50 目的地址：192.168.8.50 报头数据源地址：192.168.8.250 目的地址：192.168.8.

39、50 NAT转换 192.168.1.50发送的数据包经过NAT 转换后，源地址成为192.168.8.250 MAP端口（地址）映射 MAP也称为反向NAT 192.168.1.50 网关：192.168.1.250 192.168.8.50 Intranet:192.168.1.250 Internet:192.168.8.250 报头数据源地址：192.168.8.50 目的地址：192.168.1.50 报头数据源地址：192.168.8.50 目的地址：192.168.8.250 MAP映射 MAP映射原理目的地址转换 192.168.8.50发送的数据包经过MAP 映

40、射后，目的地址成为192.168.1.50 服务器负载均衡负载均衡算法：顺序选择算法权值根据PING的时间间隔来选择地址权值根据CONNET的时间间隔来选择地址权值根据CONNET来发送请求并得到应答的时间间隔来选择地址权值根据负载均衡算法将数据重定位到一台 WWW服务器减少单个服务器负载防火墙对TRUCK协议的支持支持第三方认证服务器 1、支持第三方RADIUS服务器认证 2、支持OTP认证服务器与IDS的安全联动 IDS：入侵检测系统。是指对入侵行为的发觉，通过对算机网络系统中的若干关键点收集信息并对其进行分析，从中发觉网络系统中是否有违反安全策略的行为或被攻

41、击的迹像。为什么需要IDS 防范透过防火墙的入侵利用应用系统漏洞实施的入侵利用防火墙配置失误实施的入侵防范来自内部网的入侵内部网的攻击占总的攻击事件的70% 没有监测的内部网是内部人员的“自由王国” 对网络行为的审计，防范无法自动识别的恶意破坏入侵很容易入侵教程随处可见各种工具唾手可得安全漏洞日益暴露入侵检测系统(IDS)连接方式 l注意事项：对于交换式HUB来说和交换机连接方法类似硬件安装：入侵检测系统接入方式之HUB 入侵检测系统连接方式硬件安装：入侵检测系统接入方式之交换机注意事项：镜像多个源端口可能导致镜像端口丢包应对收发端口同时进行镜像接到INTR

42、ANET一般直接连入核心交换机,用来检测在核心交换机上的服务器等网络服务设备. 与病毒服务器的安全联动 SNMP管理防火墙的不足之处 1、无法防护内部用户的攻击超过50%的攻击自来内部，防火墙只能防备外部网络的攻击。 2、无法防护基于操作系统漏洞的攻击 3、无法防护端口木马的攻击 4、无法单独防护病毒的侵袭 5、无法防护非法通道的出现 6、无法防护所有新的威协。人们不断发现利用以前可信赖的服务的新的侵袭方法。八、防火墙的典型应用应用一：防火墙的典型应用应用二：九、防火墙的性能衡量防火墙的五大性能指标：吞吐量：该指标直接影响网络的性能，吞吐量。时延：入口处输入帧最后一

43、个最后一个比特到达至出口处输出帧第一个比特输出所用的时间间隔。丢包率：在稳定负载下，应由网络设备传输，但由于资源缺乏而被丢弃的帧的百分比。背靠背：比空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。并发连接数：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的连接数。吞吐量定义：在不丢包的情况下，能够达到的最大速率。衡量标准：吞吐量作为衡量防火墙的重要性能指标之一，吞吐量小就会造成网络新的瓶颈，以后影响整个网络的性能。时延定义：入口处输入帧最后一个最后一个比特到达至出口处输出帧第一个比特输出所用的时间

44、间隔。衡量标准：防火墙的时延能够体现它处理数据的速度。丢包率定义：在稳定负载下，应由网络设备传输，但由于资源缺乏而被丢弃的帧的百分比。衡量标准：防火墙的丢包率对其稳定性、可靠性有很大影响。背靠背定义：比空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。衡量标准：背对背包的测试结果能体现出防火的缓冲容量，网络上经常有一些应用会产生大量的突发数据包（如：路由更新，备份等），而且这样的数据包的丢失可能会产生更多的数据包，强大缓冲能力可以减少这种突发对网络造成的影响。并发连接数定义：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的连接数。衡量标准：并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接的性能，同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的 TCP连接的响应能力。

展开阅读全文