防火墙技术课件1.ppt

代理技術的優點（1）代理易於配置（2）代理能生成各項記錄（3）代理能靈活、完全地控制進出流量、內容（4）代理能過濾數據內容（5）代理能為用戶提供透明的加密機制（6）代理可以方便地與其他安全手段集成代理技術的缺點:（1）代理速度較路由器慢；（2）代理對用戶不透明；（3）對於每項服務代理可能要求不同的伺服器；（4）代理服務不能保證免受所有協議弱點的限制；（5）代理不能改進底層協議的安全性。4.5防火牆應用示例網路衛士防火牆3000系統組成?一套專用防火牆設備（硬體）：具有3至10個網路介面，標準配置為3個網路介面。管理員通過一次性口令認證，對防火牆進行配置、管理和審計。一次性口令用戶客戶端（軟體）：凡是需要對其身份進行認證的用戶都需使用該軟體，例如，管理者需要通過WWW頁面管理防火牆時，必須先進行一次性口令認證。網路衛士防火牆3000典型應用拓撲圖典型應用的特點防火牆工作於路由和透明混合的綜合模式；網路/24、/24和/24均用邊界路由器作路由；新增的支乾路由器1（網路/24）用防火牆作路由；網路/24和/24透明通過防火牆；採用嚴格安全策略。1．配置防火牆介面地址（1）ifconfigeth0將eth0設置為合法IP地址進行NAT，與路由器內部介面的IP處於同一網段（2）ifconfigeth148將介面E1配上IP地址（3）ifconfigeth2將介面E2配上IP地址（4）ifconfigeth2:0eth2接內部網，此處設置為/24這個網段的目的是為了實現對/24和/24做路由用。2．設置路由表（1）eth0上：routeadd55eth0添加到邊界路由器的單機路由routeadd55eth0添加到防火牆外介面的單機路由（2）eth1上：routeadd48添加到網路的路由（3）eth2上：routeadd添加到網路的路由?（4）eth2:0上routeadd55eth2:0添加到的單機路由routeadd55eth2:0添加到路由器的單機路由routeadd定義到網路/24的路由為內部網路由器routeadd定義到網路/24的路由為內部網路由器（5）eth2:1上routeaddeth2:1添加到的路由（6）routeadddefault默認路由指向邊界路由器。3．指定防火牆介面屬性（1）命令：fwipaddeth0o指定E0為外介面（2）命令：fwipaddeth1s指定E1為SSN介面，公共伺服器所在的網路都是通過此介面出去。（3）命令：fwipaddeth2i指定E2為內部介面，/24的用戶都是通過此介面到達防火牆。（4）命令：fwipaddeth2:0i指定eth2:0為內部介面（5）命令：fwipaddeth2:1I指定eth2:0為內部介面命令：dns按照提示輸入所在的域以及功能變數名稱伺服器。4．配置功能變數名稱伺服器命令：settranseth0eth1onsettranseth0eth2:1on5．透明設置命令為adduser，然後按照提示輸入用戶名，口令，綁定的IP（或子網），用戶屬性（有效用戶或無效用戶），修改用戶口令需先刪掉該用戶，再增加該用戶。6．增加用戶用adm用戶通過otp認證，訪問防火牆的10000端口。7．WWW配置4.6防火牆攻防概述防火牆不能確保網路的絕對安全；每種防火牆產品幾乎每年都有安全脆弱點被發現；大多數防火牆往往配置不當且無人維護和監視；從設計到配置再到維護都做得很好的防火牆幾乎是不可滲透的；要瞭解攻擊者是如何繞過防火牆的。防火牆技術4.1概述防火牆的定義防火牆是位於被保護網路和外部網路之間執行訪問控制策略的一個或一組系統，包括硬體和軟體，構成一道屏障，以防止發生對被保護網路的不可預測的、潛在破壞性的侵擾。防火牆的要點：防火牆配置在不同網路或網路安全域之間,它遵循的是一種允許或阻止業務來往的網路通信安全機制，只允許授權的通信，盡可能地對外部遮罩網路內部的資訊、結構和運行狀況防火牆的發展簡史第一代防火牆——採用了包過濾（Packetfilter）技術。第二代防火牆——電路層防火牆第三代防火牆——應用層防火牆（代理防火牆）的初步結構第四代防火牆——1992年，基於動態包過濾（Dynamicpack