-拓展任务3.6-1H3C防火墙技术专题培训 课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《-拓展任务3.6-1H3C防火墙技术专题培训 课件.ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- -拓展任务3.6-1H3C防火墙技术专题培训 课件 拓展 任务 3.6 H3C 防火墙 技术 专题 培训
- 资源描述:
-
1、0专 业 务 实 学 以 致 用学习情境学习情境3 3:拓展任务:拓展任务H3CH3C防火墙技术专题培训防火墙技术专题培训1专 业 务 实 学 以 致 用n 防火墙作为维护网络安全的关键设备,在当今网络防火墙作为维护网络安全的关键设备,在当今网络安全防范体系架构中发挥着极其重要的作用。安全防范体系架构中发挥着极其重要的作用。n 本课程系统地介绍了防火墙技术的应用背景、发展本课程系统地介绍了防火墙技术的应用背景、发展历程、应具备的重要功能以及工作模式等。历程、应具备的重要功能以及工作模式等。引入引入2专 业 务 实 学 以 致 用n 了解为什么需要防火墙了解为什么需要防火墙n 了解什么是防火墙了
2、解什么是防火墙n 掌握防火墙技术的演进掌握防火墙技术的演进n 重点掌握防火墙应具备的重要功能重点掌握防火墙应具备的重要功能n 掌握防火墙的三种工作模式掌握防火墙的三种工作模式课程目标课程目标学习完本课程,您应该能够:学习完本课程,您应该能够:3专 业 务 实 学 以 致 用n 防火墙的发展背景及技术演进防火墙的发展背景及技术演进n 防火墙应具备的重要功能防火墙应具备的重要功能n 防火墙的工作模式防火墙的工作模式目录目录4专 业 务 实 学 以 致 用Internet为什么需要防火墙为什么需要防火墙Internet的开放性导致网络安全威胁无处不在的开放性导致网络安全威胁无处不在拒绝服务攻击拒绝服
3、务攻击ARP攻击泛滥攻击泛滥未授权资源访问未授权资源访问非法资源访问非法资源访问各种协议漏洞攻击各种协议漏洞攻击没有防火墙的没有防火墙的Internet千疮百孔千疮百孔5专 业 务 实 学 以 致 用什么是防火墙什么是防火墙l一种放置于本地网络和外部网络之间的防御系统,一种放置于本地网络和外部网络之间的防御系统,外部网络和本地网络之间交互的所有数据流都需要外部网络和本地网络之间交互的所有数据流都需要经过防火墙的处理之后,才能决定能否将这些数据经过防火墙的处理之后,才能决定能否将这些数据放行,一旦发现异常数据流,防火墙就将其拦截下放行,一旦发现异常数据流,防火墙就将其拦截下来,实现对本地网络的保
4、护功能。来,实现对本地网络的保护功能。l外网访问内网、内网访问外网的所有通信过程都必外网访问内网、内网访问外网的所有通信过程都必须经过防火墙。须经过防火墙。l只有防火墙安全策略允许的通信才允许通过。只有防火墙安全策略允许的通信才允许通过。本地网络本地网络可信任的网络,如受保护的公司或企业内部网络外部网络外部网络不可信任的网络,如开放式的因特网6专 业 务 实 学 以 致 用防火墙技术演进防火墙技术演进根据配置的根据配置的ACL规则规则,允许一些数据包通,允许一些数据包通过,同时阻塞其它数过,同时阻塞其它数据包。据包。ACL规则可以规则可以根据网络层协议(如根据网络层协议(如源源/目的目的IP)
5、中的地址)中的地址信息或者传输层(如信息或者传输层(如源源/目的端口等)信息目的端口等)信息制定。制定。包过滤包过滤防火墙防火墙应用代理应用代理防火墙防火墙状态检测状态检测防火墙防火墙部署在受信网络与非部署在受信网络与非受信网络之间,代替受信网络之间,代替各种网络客户端执行各种网络客户端执行应用层连接,即提供应用层连接,即提供代理服务。与包过滤代理服务。与包过滤防火墙不同的是,其防火墙不同的是,其所有访问都在应用层所有访问都在应用层中进行控制。中进行控制。比包过滤防火墙具有比包过滤防火墙具有更高的智能性和安全更高的智能性和安全性。会话成功建立连性。会话成功建立连接以后,记录状态信接以后,记录状
6、态信息并实时更新,所有息并实时更新,所有会话数据都要与状态会话数据都要与状态表信息相匹配,否则表信息相匹配,否则会话将被阻断。会话将被阻断。现代防火墙基本为上述三种类型防火墙的综合体,现代防火墙基本为上述三种类型防火墙的综合体,即采用状态检测型包过滤技术,同时提供透明应用代理功能。即采用状态检测型包过滤技术,同时提供透明应用代理功能。7专 业 务 实 学 以 致 用n 防火墙的发展背景及技术演进防火墙的发展背景及技术演进n 防火墙应具备的重要功能防火墙应具备的重要功能n 防火墙的工作模式防火墙的工作模式目录目录8专 业 务 实 学 以 致 用防火墙应具备的重要功能防火墙应具备的重要功能防火墙防
7、火墙包过滤包过滤安全区域安全区域黑名单黑名单ASPFNATALGARP防攻击防攻击攻击防范攻击防范Web过滤过滤双机热备双机热备会话管理会话管理域间策略域间策略9专 业 务 实 学 以 致 用安全域安全域为什么需要安全域?为什么需要安全域?l传统防火墙通常都基于接口进行策略配置,网络管理员需要传统防火墙通常都基于接口进行策略配置,网络管理员需要为每一个接口配置安全策略。为每一个接口配置安全策略。l防火墙的端口朝高密度方向发展,基于接口的策略配置方式防火墙的端口朝高密度方向发展,基于接口的策略配置方式给网络管理员带来了极大的负担,安全策略的维护工作量成给网络管理员带来了极大的负担,安全策略的维护
8、工作量成倍增加,从而也增加了因为配置引入安全风险的概率。倍增加,从而也增加了因为配置引入安全风险的概率。教学楼#1教学楼#2教学楼#3服务器群办公楼#1办公楼#2实验楼#1实验楼#2宿舍楼 Internet配置维护配置维护太复杂了太复杂了!10专 业 务 实 学 以 致 用安全域安全域什么是安全域?什么是安全域?l将安全需求相同的接口划分到不同的域,实现将安全需求相同的接口划分到不同的域,实现策略的分层管理。策略的分层管理。SecPath系列防火墙系列防火墙TrustUntrustInternet教学楼教学楼办公楼办公楼实验楼实验楼宿舍楼宿舍楼DMZWeb服务器服务器FTP服务器服务器邮件服务
9、器邮件服务器打印服务器打印服务器配置维护配置维护简单多了简单多了!11专 业 务 实 学 以 致 用Trust安全域安全域域间策略域间策略市场部门市场部门129.111.0.0/16SecPath系列防火墙系列防火墙研发部门研发部门129.112.0.0/16域间策略域间策略Source ZoneDestination ZoneSource IP/MaskDestination IP/MaskServiceTime RangeActionTrustUntrust129.111.0.0/16anyany每周一到周五的8:30到18:00permitTrustUntrustanyanyanyany
10、denyUntrustDMZanymail.h3cMAILanydenyTrustDMZ129.112.0.0/16h3cHTTP/HTTPSanypermitUntrustInternetDMZWeb Serverh3cMail Servermail.h3cl Trust区域的市场部门员工在上班时区域的市场部门员工在上班时间可以访问间可以访问Internetl Untrust区域在任何时候都不允许访区域在任何时候都不允许访问问DMZ区域的邮件服务器区域的邮件服务器l Trust区域的研发部门员工在任何时区域的研发部门员工在任何时候都可以访问候都可以访问DMZ区域的区域的Web服务器服务器12
11、专 业 务 实 学 以 致 用安全域安全域流与会话流与会话l流(流(Flow),是一个单方向的概念,根据报文所携),是一个单方向的概念,根据报文所携带的三元组或者五元组唯一标识。带的三元组或者五元组唯一标识。l根据根据IP层协议的不同,流分为四大类:层协议的不同,流分为四大类:TCP流:通过五元组唯一标识流:通过五元组唯一标识UDP流:通过五元组唯一标识流:通过五元组唯一标识ICMP流:通过三元组流:通过三元组+ICMP type+ICMP code唯一标识唯一标识RAW IP流:不属于上述协议的,通过三元组标识流:不属于上述协议的,通过三元组标识l会话(会话(Session),是一个双向的概
12、念,一个会话),是一个双向的概念,一个会话通常关联两个方向的流,一个为会话发起方(通常关联两个方向的流,一个为会话发起方(Initiator),另外一个为会话响应方(),另外一个为会话响应方(Responder)。通过会话所属的任一方向的流特征都可以唯一)。通过会话所属的任一方向的流特征都可以唯一确定该会话以及方向。确定该会话以及方向。13专 业 务 实 学 以 致 用安全域安全域会话的创建会话的创建SecPath系列防火墙系列防火墙TrustUntrustRequestSNY ACKACKTCP SessionSessionl对于对于TCP流,发起方和响应方三次握手后建立稳流,发起方和响应方
13、三次握手后建立稳定会话。定会话。l对于对于UDP/ICMP/Raw IP流,发起方和响应方完整流,发起方和响应方完整交互一次报文后建立稳定会话。交互一次报文后建立稳定会话。ReplyUDP/ICMP/Raw IP SessionSessionSYN14专 业 务 实 学 以 致 用包过滤技术基础包过滤技术基础l什么是包过滤?什么是包过滤?包过滤是访问控制技术的一种,对于需要转发的数据包过滤是访问控制技术的一种,对于需要转发的数据包,首先获取包头信息(包括源地址、目的地址、源包,首先获取包头信息(包括源地址、目的地址、源端口和目的端口等),然后与设定的策略进行比较,端口和目的端口等),然后与设定
14、的策略进行比较,根据比较的结果对数据包进行相应的处理(允许通过根据比较的结果对数据包进行相应的处理(允许通过或直接丢弃)。或直接丢弃)。l包过滤技术基础包过滤技术基础ACL(Access List Control:访问控制列表)是实现:访问控制列表)是实现包过滤的基础技术,其作用是定义报文匹配规则。包过滤的基础技术,其作用是定义报文匹配规则。当防火墙端口接收到报文后,即根据当前端口上应用当防火墙端口接收到报文后,即根据当前端口上应用的的ACL规则对报文字段进行分析,在识别出特定的报规则对报文字段进行分析,在识别出特定的报文之后,根据预先设定的策略允许或禁止该报文通过文之后,根据预先设定的策略允
15、许或禁止该报文通过。15专 业 务 实 学 以 致 用包过滤包过滤基本基本ACLACLl基本基本ACL:只根据源:只根据源IP地址信息制定匹配规则。地址信息制定匹配规则。办公楼办公楼10.1.0.0/16访问控制列表访问控制列表Source IP/MaskAction10.1.0.0/16permit10.2.0.0/16permit10.3.0.0/16denySecPath系列防火墙系列防火墙Internet实验楼实验楼10.3.0.0/16宿舍楼宿舍楼10.2.0.0/16l 办公楼用户可以访问办公楼用户可以访问Internetl 宿舍楼用户可以访问宿舍楼用户可以访问Internetl
16、实验楼用户不允许访问实验楼用户不允许访问I16专 业 务 实 学 以 致 用包过滤包过滤高级高级ACLACLl高级高级ACL根据报文的源/目的IP地址、协议类型、协议的特性(如TCP或UDP的源端口、目的端口、TCP标记、ICMP协议的消息类型、消息码等)等来制定匹配规则。财务部门财务部门129.111.1.2/24SecPath系列防火墙系列防火墙市场部门市场部门研发部门研发部门工资查询服务器工资查询服务器129.110.1.2/24访问控制列表访问控制列表Source IP/MaskDestination IP/MaskAction129.111.1.2/24129.110.1.2/24p
17、ermitany129.110.1.2/24denyl 财务部门可以访问工资服务器财务部门可以访问工资服务器l 其它所有部门都不允许访问其它所有部门都不允许访问17专 业 务 实 学 以 致 用包过滤包过滤二层二层ACLACLl二层二层ACL根据报文的源根据报文的源MAC地址、目的地址、目的MAC地址、地址、802.1p优先级、二层协议类型等制定匹配规则。优先级、二层协议类型等制定匹配规则。网络实验室主管网络实验室主管192.168.1.20002-6779-0F4C网络实验室职员网络实验室职员192.168.1.300A0-2470-FEBD访问控制列表访问控制列表Source MACDes
18、tination MACAction0002-6779-0F4C00F0-1236-5383permitany00F0-1236-5383denyl 网络实验室主管可以访问防火墙网络实验室主管可以访问防火墙l 其它职员都不允许访问其它职员都不允许访问InternetSecPath系列防火墙系列防火墙192.168.1.100F0-1236-18专 业 务 实 学 以 致 用包过滤包过滤基于时间段的包过滤基于时间段的包过滤l时间段用于描述一个特殊的时间范围。通过在时间段用于描述一个特殊的时间范围。通过在ACL规则下规则下引用时间段,使引用时间段,使ACL规则在指定的时间段内生效,从而实规则在指定
19、的时间段内生效,从而实现基于时间段的现基于时间段的ACL过滤。过滤。l包括周期时间段和绝对时间段两种。包括周期时间段和绝对时间段两种。财务部门财务部门129.111.1.2/24SecPath系列防火墙系列防火墙市场部门市场部门研发部门研发部门工资查询服务器工资查询服务器129.110.1.2/24访问控制列表访问控制列表Source IP/MaskDestination IP/MaskTime RangeAction129.111.1.2/24129.110.1.2/24-permitany129.110.1.2/24每周一到周五的8:30到18:00denyl 财务部门任何时候都可以访问工
20、资财务部门任何时候都可以访问工资查询服务器查询服务器l 其它所有部门在上班时间不允许访其它所有部门在上班时间不允许访问问19专 业 务 实 学 以 致 用黑名单黑名单基本概念基本概念l什么是黑名单?什么是黑名单?根据报文的源根据报文的源IP地址进行过滤的一种方式,同包过滤功能地址进行过滤的一种方式,同包过滤功能相比,黑名单进行匹配的参数非常简单,可以实现高效率相比,黑名单进行匹配的参数非常简单,可以实现高效率的报文过滤,从而有效地屏蔽特定的报文过滤,从而有效地屏蔽特定IP地址发送来的报文。地址发送来的报文。10.1.1.10010.1.1.200黑名单黑名单Source IP10.1.1.20
21、0SecPath系列防火墙系列防火墙I20专 业 务 实 学 以 致 用黑名单黑名单两种方式两种方式l静态添加静态添加:由网络管理员手工添加到黑名单。:由网络管理员手工添加到黑名单。l动态添加动态添加:当防火墙中根据报文的行为特征察觉到特定:当防火墙中根据报文的行为特征察觉到特定IP地址的攻击企图之后,通过主动修改黑名单列表将该地址的攻击企图之后,通过主动修改黑名单列表将该IP地地址发送的报文过滤掉。址发送的报文过滤掉。10.1.1.10010.1.1.200SecPath系列防火墙系列防火墙Internet!l 用户用户10.1.1.200正在进行正在进行端口扫描端口扫描,自动将其加入,自动
22、将其加入黑名单。黑名单。l 用户用户10.1.1.210正在进行正在进行地址扫描地址扫描,自动将其加入,自动将其加入黑名单。黑名单。l 用户用户10.1.1.220试图以暴力猜测方式登录防火墙试图以暴力猜测方式登录防火墙,自动将其加入黑名单。自动将其加入黑名单。l 21专 业 务 实 学 以 致 用黑名单黑名单表项的老化表项的老化l永久老化永久老化:永久黑名单表项建立后一直存在,除非用:永久黑名单表项建立后一直存在,除非用户手工删除该表项。户手工删除该表项。l非永久老化非永久老化:用户可以指定一个生存时间,超出生存:用户可以指定一个生存时间,超出生存时间后,防火墙自动将该黑名单表项删除,黑名单
23、表时间后,防火墙自动将该黑名单表项删除,黑名单表项对应的项对应的IP地址发送的报文可正常通过。地址发送的报文可正常通过。10分钟之后分钟之后10.1.1.200黑名单黑名单Source IPLifetime10.1.1.20010min.10.1.1.21060min.Internet10.1.1.200黑名单黑名单Source IPLifetime10.1.1.21060min.InternetSecPath系列防火墙系列防火墙SecPath系列防火墙系列防火墙22专 业 务 实 学 以 致 用ASPFASPF为什么需要为什么需要ASPFASPF?l传统的包过滤技术只能根据传统的包过滤技术只
24、能根据IP报文中的源报文中的源/目目的的IP、源、源/目的端口来制定防火墙规则,对于目的端口来制定防火墙规则,对于多通道协议,其数据通道是动态协商的,无法多通道协议,其数据通道是动态协商的,无法预先知道数据通道的地址和端口,所以也无法预先知道数据通道的地址和端口,所以也无法制定完善的安全策略。制定完善的安全策略。lASPF(Application Specific Packet Filter:基于应用层的包过滤)与:基于应用层的包过滤)与ALG配合,可以实配合,可以实现现动态通道检测动态通道检测和和应用状态检测应用状态检测两大功能,是两大功能,是比传统包过滤技术更高级的一种防火墙技术。比传统包
25、过滤技术更高级的一种防火墙技术。23专 业 务 实 学 以 致 用ASPFASPF动态通道检测动态通道检测l多通道协议的报文交互过程中需要协商动态通道的地址多通道协议的报文交互过程中需要协商动态通道的地址和端口,和端口,ALG通过记录报文交互过程中的动态通道地通过记录报文交互过程中的动态通道地址和端口,与址和端口,与ASPF一起配合决定哪些报文允许通过。一起配合决定哪些报文允许通过。内网主机内网主机FTP服务器服务器SecPath系列防火墙系列防火墙内网主机与内网主机与FTP服务器之间建立控制通道服务器之间建立控制通道发送Port报文PORT(IP,Port)ALG处理处理记录记录IP和和Po
展开阅读全文