项目六-虚拟防火墙配置课件.ppt

1、1 1 任务1 虚拟防火墙安装2 任务2 在虚拟防火墙上配置SNAT、DNAT策略3任务3 配置IPSec VPN4任务4 配置IPS入侵防御 5任务5 在公有云上部署虚拟防火墙2【学习目标】【任务导入】【知识准备】【任务实施】3 知识目标了解虚拟防火墙的作用理解虚拟防火墙的工作原理技能目标掌握虚拟防火墙的安装4 云计算为信息安全领域带来了巨大的冲击：（1）在云平台中运行的各类云应用没有固定不变的基础设施,没有固定不变的安全边界,难以实现用户数据安全与隐私保护；（2）云服务所涉及的资源由多个管理者所有,存在利益冲突,无法统一规划部署安全防护措施；（3）云平台中数据与计算高度集中,安全措施必须满

2、足海量信息处理需求。5 山石网科公司推出云界虚拟防火墙产品，它是基于下一代防火墙技术虚拟化产品：1.部署于租户边界或网络边界，关键业务或应用前端，2.提供网络边界安全服务，解决不同完全域之间的访问控制，以及网络攻击和入侵防御；3.不仅提供了传统安全控制功能，还为虚拟专用云（VPC）租户提供了更全面，更可靠的安全服务。6 山石云界SG-6000-VM系列是专门为虚拟化环境设计的虚拟化网络安全产品，以纯软件形态部署，适用于虚拟化云平台，为用户提供不同安全等级应用之间的安全隔离和安全防护。其主要特性有：（1）基于软件、适合于虚拟化环境部署；（2）拥有专业 NGFW（下一代防火墙）安全防护功能；（3）

3、结合云平台的安全可视化管理；（4）提供公有云和私有云高性价比部署方案。7 实训任务：在VMware ESXi上安装vFW虚拟机。8 实训环境：9 实训步骤：步骤1:新建虚拟机vFW步骤2:安装云界虚拟防火墙10【学习目标】【任务导入】【知识准备】【任务实施】11 知识目标理解虚拟防火墙的工作原理了解组成虚拟防火墙的基本元素了解安全策略规则了解虚拟防火墙的工作模式了解SNAT和DNAT的工作原理技能目标掌握虚拟防火墙的安装技能目标掌握SNAT策略允许内网用户访问互联网的配置掌握DNAT策略允许互联网用户访问内部服务器的配置12 网络安全的建设目标包含以下内容：（1）保障内部办公网用户安全便捷的访

4、问互联网；（2）保障内部办公网络资源受控合法的使用。13 防火墙作为一种网络安全产品，通过控制进出网络的流量，保护网络的安全。防火墙的基本原理是通过分析数据包，根据已有的策略规则，允许或阻断数据流量。除此之外，防火墙也具有连通网络的功能，实现安全可信区域（内部网络）和不信任区域（外部网络）之间的桥接。14 防火墙的基本功能:作为一个中心“遏制点”，将内部网安全管理集中起来，所有的通信都经过防火墙；只放行经过授权的网络流量，屏蔽非法请求，防止越权访问,并产生安全报警；能经受得起对其自身的攻击。15 防火墙分类方法:根据采用的技术不同，可分为包过滤防火墙和代理服务防火墙；按照应用对象的不同，可分为

5、企业级防火墙与个人防火墙；依据实现的方法不同，又可分为软件防火墙、硬件防火墙和专用防火墙。16 安全域；接口；虚拟交换机虚拟路由器策略虚拟防火墙各个元素之间的绑定关系17 属于同一个安全域的两个接口实现互访；两个二层接口所在的安全域属于同一VSwitch，实现接口互访；两个二层接口所在的安全域属于不同的VSwtich的，实现接口互访；两个三层接口所在的安全域属于同一VRouter，实现接口互访；两个三层接口所在的安全域从属于不同的VRouter的，实现接口互访；同一VRouter下的二层接口和三层接口，实现互访。18 1.透明模式2.路由模式3.混合模式19 配置安全域配置路由20 实训任务：

6、1.配置SNAT策略允许内网用户访问互联网 2.配置DNAT策略允许互联网用户访问内部服务器。21 实训环境：22 实训步骤：步骤1：在vFW-1云界虚拟防火墙中配置SNAT策略允许内网用户 访问互联网步骤2：在vFW-2虚拟防火墙中配置DNAT策略允许互联网用户 访问内部服务器23【学习目标】【任务导入】【知识准备】【任务实施】24 知识目标了解VPN基本概念理解IPSec VPN的工作原理技能目标 掌握虚拟防火墙IPSec VPN的配置25 一般VPN所具备的优点有以下几点：（1）最小成本：无须购买软件和专用线路覆盖所有远程用户；（2）责任共享：通过购买公用网的资源，部分维护责任迁移至更专

7、业和有经验的服务提供商，从而降低维护成本；（3）安全性。这是VPN最基本的功能；（4）网络服务质量保障（QoS）；（5）可靠性：如果一个VPN节点坏了，不影响其它分点的VPN连接；（6）可扩展性：可以通过从互联网申请更多的资源达到非常容易的扩展VPN,或者协商重构VPN。云界虚拟防火墙支持以下VPN功能：IPSec VPN、SSL VPN、L2TP VPN。本节重点介绍IPSEC VPN基本原理和配置。26 VPN即虚拟专用网，是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司

8、分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。目前VPN最常用到的协议有PPTP，L2TP和IPSec。27 IPSec是为实现VPN功能而使用的协议。IPSec给出了应用于IP层上网络数据安全的一整套体系结构。该体系结构包括认证头协议（Authentication Header，简称为AH）、封装安全负载协议（Encapsulating Security Payload，简称为ESP）、密钥管理协议（Internet Key Exchange，简称为IKE）和用于网络认证及加密的一些算法等。IPSec VPN基础概念（1）安全联盟（2）封装方式（3）协商方

9、式（4）引用IPSec VPN（5）配置IKE VPN28 实训任务：在vFW-1和vFW-2虚拟防火墙之间建立一个IPSec VPN。29 实训环境：30 实训步骤：步骤1：在vFW-1虚拟防火墙中配置IPSec VPN步骤2:在vFW-2虚拟防火墙中配置IPSec VPN31【学习目标】【任务导入】【知识准备】【任务实施】32 知识目标了解入侵防御系统工作原理了解入侵防御特征库技能目标掌握入侵防御系统配置33 入侵防御系统（Intrusion Prevention System）简称IPS，能够实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作,对那些被明确判断为攻击行为，会对网络、数

10、据造成危害的恶意行为进行检测和防御，降低或是减免使用者对异常状况的处理资源开销，是一种侧重于风险控制的安全产品。应用入侵防御系统的目的在于及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，先期阻止入侵，防患于未然。34 入侵防御系统（简称IPS）实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器，能够防止各种攻击。当新的攻击手段被发现之后，IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路，可以深层检查数据包的内容。如果有攻击者利用Layer 2(介质访问控制层)至Layer 7(应用层)的漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以阻止。35 入

11、侵防御特征库包含多种攻击特征，当前版本的特征库包含的特征约有3000多条。特征根据协议进行分类，以特征ID作为特征的唯一标识。特征ID由两部分构成，分别为协议ID（第1位或者第1和第2位）和攻击特征ID（后5位），例如ID“605001”中，“6”表示Telnet协议，“05001”表示攻击特征ID。攻击特征ID的第1位是“6”的为协议异常特征，其余为攻击特征。协议协议ID协议协议协议协议ID协议协议协议协议ID协议协议协议协议ID协议协议1DNS7Other-TCP13TFTP19NetBIOS2FTP8Other-UDP14SNMP20DHCP3HTTP9IMAP15MySQL21LDAP

12、4POP310Finger16MSSQL22VoIP5SMTP11SUNRPC17Oracle-6Telnet12NNTP18MSRPC-协议ID与协议的对应关系36 实训任务：在vFW-1防火墙中配置入侵防御系统。37 实训环境：38 实训步骤：步骤1:IPS特征库升级步骤2:IPS配置步骤3:基于安全域绑定步骤4:基于策略绑定IPS39【学习目标】【任务导入】【知识准备】【任务实施】40 知识目标了解企业公有云的应用理解虚拟专有云技能目标掌握虚拟防火墙在公有云上的部署41 企业应用公有云的优势：（1）企业可以按需从公有云租用和获得相应的计算资源与应用服务；（2）企业通过互联网方便快捷访问公

13、有云服务，不受地域限制；（3）资源快速部署，实现业务快速上线；（4）企业可根据业务规模，动态调整公有云租用资源规模；（5）按时长收费，节省成本。42 山石云界是基于下一代防火墙技术虚拟化产品:提供网络边界安全服务，解决不同完全域之间的访问控制，以及网络攻击和入侵防御，提供租户级的南北向安全防护。可运行于EXSi,KVM,OpenStack,AWS,阿里云之上，部署于租户边界或网络边界，关键业务/应用前端，适合公有云和企业虚拟化场景部署。43 阿里公有云平台，主要为租户提供了VPC（Virtual Private Cloud）环境。租户可自定义的建立虚拟网络服务，利用公有云平台的计算资源搭建自己的网络及安全环境。其主要功能：（1）网段划分；（2）自定义路由规则；（3）安全组；（4）专线/VPN；（5）弹性公网IP。44 实训任务：在阿里云上部署虚拟防火墙。45 实训环境：登陆网址：http:/ 实训步骤：步骤1:创建VPC环境步骤2:创建专有网络步骤3:创建路由器步骤4:创建交换机步骤5:创建ECS实例步骤6:创建的ECS实例步骤7:启动和配置vFW步骤8:申请弹性公网IP步骤9:绑定购买的公网IP本章结束，下次再见！