(防火墙技术教学课件)项目4基于防火墙的信息过滤控制与实现.ppt

1、项目4 基于防火墙的信息过滤控制与实现 项目4 基于防火墙的信息过滤控制与实现 任务4-1 网络通信访问控制与实现 任务4-2 局域网带宽及应用访问控制与实现 任务4-3 Web安全认证控制与实现 任务4-4 网络通信软件访问控制与实现 任务4-5 网页地址过滤控制与实现 任务4-6 网页内容过滤控制与实现 项目实训四 防火墙过滤功能配置 项目4 基于防火墙的信息过滤控制与实现 任务任务4-1 网络通信访问控制与实现网络通信访问控制与实现 知识导入知识导入1.什么是会话限制什么是会话限制基于源的会话限制，将限制来自相同源地址的并发会话数目，可以阻止像Nimda、冲击波这样的病毒和蠕虫的DoS攻

2、击。这类病毒会感染服务器，然后从服务器产生大量的信息流。由于所有由病毒产生的信息流都始发于相同的IP地址，因此基于源的会话限制可以保证防火墙能抑制这类巨量的信息流的传输。当来自某个IP 地址的并发会话数达到最大限制值后，防火墙开始封锁来自该IP地址的所有其他连接尝试。项目4 基于防火墙的信息过滤控制与实现 2.什么是什么是IP-MAC绑定绑定MAC相当于每片网卡的身份证，IP最终需要解析到MAC上，一般只在本IP段中有效。ARP攻击也就是利用伪造的MAC来扰乱正常的网络通信，IP和MAC绑定可以在一定程度上防止ARP欺骗。项目4 基于防火墙的信息过滤控制与实现 案例及分析案例及分析某企业内网为

3、192.168.2.0/24，为防止企业电脑被病毒或黑客破坏，要求在防火墙设置会话限制并与IP-MAC绑定。具体如下：1.要求针对内网每个IP限制会话数到300条。2.手工将内网某个IP和MAC绑定在防火墙上。3.设置防火墙自动扫描内网某个IP网段，然后将扫描的ARP信息全部绑定。一、网络拓扑一、网络拓扑网络拓扑如图S4-1所示。项目4 基于防火墙的信息过滤控制与实现 图S4-1 网络拓扑 项目4 基于防火墙的信息过滤控制与实现 二、操作流程二、操作流程第一步：配置会话限制。登录防火墙配置界面，选择防火墙选项卡中的会话限制选项，进入到会话限制配置。选择安全域 trust 及限制条件。案例中要求

4、内网每个IP限制会话数到300条，因此选中“IP限制”复选框，选择IP中的Any选项，会话数中输入指定条目数300，配置会话限制如图S4-2所示。项目4 基于防火墙的信息过滤控制与实现 图S4-2 配置会话限制 项目4 基于防火墙的信息过滤控制与实现 第二步：手工绑定IP-MAC信息。在防火墙选项卡中选择二层防护选项，选择其中的静态绑定子菜单。在右边的ARP列表中可以看到防火墙自动学习的ARP信息，我们将192.168.1.13的ARP信息手工绑定在防火墙上，复选框选中后，点击操作中对应的图标即可，自动学习环境下的IP-MAC绑定如图S4-3所示。如果防火墙并非自动学习到该IP的ARP信息，我

5、们可以使用手工输入IP和MAC的方式来绑定，如图S4-4所示。项目4 基于防火墙的信息过滤控制与实现 图S4-3 自动学习环境下的IP-MAC绑定 项目4 基于防火墙的信息过滤控制与实现 图S4-4 手工输入环境下的IP-MAC绑定 项目4 基于防火墙的信息过滤控制与实现 第三步：在防火墙上自动扫描地址范围。在防火墙选项卡中选择二层防护选项，选择其中的静态绑定子菜单，输入要扫描的地址范围，起始IP地址为192.168.1.1，终止IP地址为192.168.1.254，点击确认，开始扫描，如图S4-5所示。项目4 基于防火墙的信息过滤控制与实现 图S4-5 设置自动扫描地址范围 项目4 基于防火

6、墙的信息过滤控制与实现 第四步：将扫描后的ARP信息全部绑定。防火墙扫描完后将学习到的ARP信息显示在ARP列表中，此时点击绑定所有，防火墙就会将扫描的ARP信息全部绑定在防火墙上，如图S4-6所示。项目4 基于防火墙的信息过滤控制与实现 图S4-6 ARP信息绑定 项目4 基于防火墙的信息过滤控制与实现 任务任务4-2 局域网带宽及应用访问控制与实现局域网带宽及应用访问控制与实现 知识导入知识导入1.什么是什么是IP QoSIP QoS是指IP的服务质量，也是指IP数据流通过网络时的性能。它的目的就是向用户提供端到端的服务质量保证。它有一套质量指标，包括业务可用性、延迟、抖动、吞吐量和丢包率

7、。通常IP QoS只对网络中的IP流量进行控制。2.什么是应用什么是应用QoS应用QoS的目的是限制某些应用的上行和下行带宽，保证上网速度。项目4 基于防火墙的信息过滤控制与实现 案例及分析案例及分析某企业内网默认网段为192.168.2.0/24，外网网关为222.1.1.1，要求限制内网用户的带宽，并保证HTTP、SMTP的使用。企业内网环境如下：出口带宽为50Mbps，外网为ethernet 0/2接口。为实现不同部门用户带宽需求，将内网网段划分为两个网段：172.168.1.0/24和192.168.2.0/24，其中192.168.2.0/24网段为默认网段。要求：(1)172.16

8、8.1.1172.168.1.100需限制其上行带宽为500Kbps/IP，下行带宽为5Mbps/IP，允许出口带宽空闲时突破500Kbps/IP。192.168.2.0/24网段中每个IP下载300Kbps，上传整个网段共享10Mbps。项目4 基于防火墙的信息过滤控制与实现(2)P2P应用需限制其下行带宽为10Mbps，上行带宽最大为5Mbps。HTTP和SMTP应用下载保障为20Mbps，上传保障为10Mbps。分析内容分析内容企业内网分为两个网段，两个网段都对各自的每个IP提出了上传、下载的数据流量的限定要求，这种要求需要通过对各个网段设置IP QoS策略。而在外网访问过程中对其中的P

9、2P应用行为进行上行带宽和下行带宽的设置是典型的QoS应用策略部署。一、网络拓扑一、网络拓扑网络拓扑如图S4-7所示。项目4 基于防火墙的信息过滤控制与实现 图S4-7 网络拓扑 项目4 基于防火墙的信息过滤控制与实现 二、操作流程二、操作流程1.案例要求一案例要求一对局域网中的两个不同内网段的PC机下载带宽做了限制，因此需要对局域网内网中的不同网段PC做IP QoS控制。具体实现步骤如下：第一步：划分接口。结合网络拓扑结构，设置内网口为ethernet0/1接口，接口IP为192.168.2.1/24。第二步：指定接口带宽。在QoS选项卡中选择接口带宽菜单选项进行配置，默认带宽为物理上承载的

10、最高支持带宽。用户可以根据实际带宽值指定接口的上行带宽、下行带宽，指定接口出口ISP承诺带宽值。如果需要使用弹性QoS功能，只需要点击开启弹性QoS全局配置即可，接口带宽配置如图S4-8所示。项目4 基于防火墙的信息过滤控制与实现 图S4-8 接口带宽配置 项目4 基于防火墙的信息过滤控制与实现 当启用弹性QoS功能时，用户可以为全局弹性QoS设置最大和最小两个门限制，缺省最小门限值为75%，缺省最大门限值为85%。默认情况下，开启弹性QoS功能后，当出口带宽利用率小于75%时，用户可以使用的实际带宽缓慢的呈线性增长(用户可配置该增长速率)；当带宽利用率达到85%时，用户可以使用的实际带宽呈指

11、数减少，直到实际限定的带宽；当接口带宽使用率在最小门限和最大门限之间的时候，弹性QoS处于稳定状态，即用户带宽不会增加也不会减少。项目4 基于防火墙的信息过滤控制与实现 第三步：配置IP QoS策略。(1)在防火墙QoS选项卡选择IP QoS菜单选项进行IP QoS策略配置。为达到限定 172.168.1.1-172.168.1.100中每个IP的上行带宽为500Kbps，下行带宽为5Mbps/IP，在出口带宽空闲时允许突破500Kbps/IP的要求，需要在接口绑定中选择外网口ethernet 0/2，在IP地址中输入IP范围172.168.1.1-172.168.1.100，由于系统默认的带

12、宽单位为Kbps，因此上行中最大带宽输入500，下行中最大带宽输入5000即可。由于允许出口带宽空闲时突破500Kbps/IP，因此在弹性QoS中选中下行复选框，输入500即可，操作结果如图S4-9所示。项目4 基于防火墙的信息过滤控制与实现 图S4-9 IP QoS策略配置上行、下行带宽 项目4 基于防火墙的信息过滤控制与实现(2)在防火墙QoS选项卡中选择IP QoS菜单选项，设置IPQoS策略。为新设置的策略制定规则名称为IPQ2，接口绑定为外网接口ethernet0/2，要实现下载带宽限定为192.168.2.0/24网段则IP范围设定为192.168.2.1-192.168.2.25

13、5。每个IP下载带宽最大为300Kbps，可以设置每个IP最大下行带宽为300Kbps；为实现整个网段上传最大占用10Mbps带宽的要求，设置每个IP最大上行带宽10000Kbps，操作结果如图S4-10所示。项目4 基于防火墙的信息过滤控制与实现 图S4-10 IP QoS策略配置下载带宽、上传带宽 项目4 基于防火墙的信息过滤控制与实现 匹配IP地址条目可以添加多条，类型支持IP范围和地址簿两种方式。接口绑定可以是内网接口或外网接口，绑定到该接口的QoS策略对流经该接口的所有限定IP地址范围内的流量均有效。绑定到外网接口时上下行控制策略对应内网用户上传/下载，绑定到内网接口时上下行控制策略

14、对应下载/上传。第四步：显示已配置的控制策略。添加后策略会在IP QoS列表显示，如果多条策略的IP地址范围重叠，请点击策略右侧箭头移动策略位置，从上至下第一条匹配到的策略生效。如需修改策略，可点击策略右侧编辑图标编辑。IP QoS列表如图S4-11所示。项目4 基于防火墙的信息过滤控制与实现 图S4-11 IP QoS列表 项目4 基于防火墙的信息过滤控制与实现 2.案例要求二案例要求二对内网配置应用QoS策略。第一步：开启应用识别。防火墙默认不对带“*”号服务做应用层识别，因此如果需要对BT、迅雷等应用做基于应用的 QoS控制，需要开启外网安全域的应用识别功能。进入防火墙，打开网络选项卡，

15、选择“安全域”选项，针对外网口所属安全域untrust启用应用识别、WAN安全域两个应用层识别功能，操作界面如图S4-12所示。项目4 基于防火墙的信息过滤控制与实现 图S4-12 启用安全域 项目4 基于防火墙的信息过滤控制与实现 匹配IP地址条目可以添加多条，类型支持IP范围和地址簿两种方式。接口绑定可以是内网接口或外网接口，绑定到该接口的QoS策略对流经该接口的所有限定IP范围内的流量均有效。绑定到外网接口时上下行控制策略对应内网用户上传/下载，绑定到内网接口时上下行控制策略对应下载/上传。第二步：配置应用QoS策略-限制P2P。在防火墙QoS选项卡中选择应用QoS菜单选项进行应用QoS

16、策略配置。在基本配置中，对新建的应用策略可以进行规则名称的命名，可命名为app_p2p，对应的接口绑定为ethernet0/2，在应用中选择P2P相关的所有服务，具体有“P2P下载”应用和“P2P视频”应用两个应用。在控制策略部分，对P2P应用上行/下行带宽进行限制设置，设置上行最大带宽为5000Kbps(即要求中的上传最大为5Mbps)，下行最大带宽设置为10000Kbps(即限制下行带宽为10Mbps)，最后点击“添加”按钮即可，操作界面如图S4-13所示。项目4 基于防火墙的信息过滤控制与实现 图S4-13 新建应用QoS安全策略 项目4 基于防火墙的信息过滤控制与实现 应用QoS安全策

17、略全局有效，对流经该绑定接口的所有限制服务的流量均生效。匹配应用条目可以添加多条，类型支持预定义服务(组)或自定义服务(组)。接口绑定可以是内网接口或外网接口，绑定到该接口的QoS策略对流经该接口的所有限定IP范围内的流量均起效。绑定到外网接口时上行/下行控制策略对应内网用户上传/下载，绑定到内网接口时上行/下行控制策略对应下载/上传。项目4 基于防火墙的信息过滤控制与实现 第三步：配置应用QoS策略-保障正常应用。(1)在防火墙QoS选项卡中选择应用QoS菜单选项，设置应用QoS策略。为ethernet0/2接口设置应用QoS策略，新建规则名称为app_ensure1，接口绑定为ethern

18、et0/2，应用中选择“HTTP”应用和“SMTP”应用，在带宽设置中上行带宽选择最小带宽为10000Kbps。细粒度控制中选择IP QoS配置，操作界面如图S4-14所示。项目4 基于防火墙的信息过滤控制与实现 图S4-14 ethernet0/2接口配置HTTP-SMTP上行应用QoS策略 项目4 基于防火墙的信息过滤控制与实现(2)在防火墙 QoS选项卡中选择应用QoS菜单选项，设置应用QoS策略。为ethernet0/1接口设置应用QoS策略，新建规则名称为app_ensure2，接口绑定为ethernet0/1，应用中选择“HTTP”应用和“SMTP”应用，在带宽设置中上行带宽选择最

19、小带宽为20000Kbps。细粒度控制中选择IP QoS配置，操作界面如图S4-15所示。项目4 基于防火墙的信息过滤控制与实现 图S4-15 ethernet0/1接口配置HTTP-SMTP上行应用QoS策略 项目4 基于防火墙的信息过滤控制与实现 第四步：显示已配置应用QoS策略。添加后策略会在应用QoS列表中显示，如果多条策略的应用重叠，请点击策略右侧箭头移动策略位置，从上至下第一条匹配到的策略生效，生成的应用 QoS策略列表如图S4-16所示。如需修改策略，可点击策略右侧编辑图标编辑。图S4-16 新建安全策略列表 项目4 基于防火墙的信息过滤控制与实现 相关知识相关知识防火墙的服务质

20、量保障功能主要体现在传输过程中，能够根据源、目的和协议参数限制不同的速率并保证不同流量，流量的分配是用大量可配置参数通过测量和排列IP包的方式实现的，主要体现在以下几个方面：(1)带宽限制：可以对用户IP地址、服务等通过防火墙的带宽进行限制，即进行不同的带宽限制。例如：限制某个用户对外访问的最大带宽，或者访问某种服务的最大带宽。(2)带宽保证：保证网络中重要服务如ERP、VOIP等，或者重要用户的带宽不被其他服务或者用户占用，从而保证了重要数据优先通过网络。项目4 基于防火墙的信息过滤控制与实现(3)优先级控制：对不同的网络服务设置不同的优先级别，保证优先级别高的数据优先进出网络。例如：设置对

21、时延要求极高的语音和视频服务可以调高其优先级别，保证该类数据优先进出网络，保证服务效果。思考思考企业为了保证内网网络速度流畅，对内网用户上网的BT下载进行限定，要求下载速度限制为5Mbps，如何实现？项目4 基于防火墙的信息过滤控制与实现 任务任务4-3 Web安全认证控制与实现安全认证控制与实现 知识导入知识导入什么是Web安全认证？Web安全认证方案首先需要给用户分配一个地址，用于访问门户网站，在登录窗口上键入用户名与密码，然后通过Radius客户端去Radius服务器认证。如果认证通过，则触发客户端重新发起地址分配请求，给用户分配一个可以访问外网的地址。用户下线时通过客户端发起离线请求。

22、项目4 基于防火墙的信息过滤控制与实现 案例及分析案例及分析某企业内网 192.168.2.0/24，要求通过防火墙的设置实现内网用户访问外网时，需要Web认证。内网用户首次访问 Internet 时需要通过 Web 认证才能上网。且内网用户划分为两个用户组 usergroup1 和 usergroup2，其中 usergroup1 组中的用户在通过认证后仅能浏览 Web 页面，usergroup2 组中的用户通过认证后仅能使用 FTP。一、网络拓扑一、网络拓扑网络拓扑如图S4-17所示。项目4 基于防火墙的信息过滤控制与实现 图S4-17 网络拓扑 项目4 基于防火墙的信息过滤控制与实现 二

23、、操作流程二、操作流程第一步：开启Web认证功能。防火墙Web认证功能默认是处于关闭状态，当需要进行Web认证时，手工在防火墙网络选项卡中的Web认证选项点击Web安全认证配置，开启相关功能。防火墙Web认证有HTTP和HTTPS两种认证模式。HTTP模式更为快捷，而HTTPS模式更为安全，在本案例中选用HTTP模式。其中HTTP服务端口，选择缺省值8181；HTTPS服务端口，选择缺省值44433。本案例中要求用户仅能浏览Web页面和仅能使用FTP功能，因此我们选择普通的HTTP模式即可。超时选项可以根据安全需求设定等待时间，这里选择默认值60，认证成功后，系统会在60秒时间结束前对认证成功

24、页面进行自动刷新，确认登录信息。其他不带“*”符号的选项为可设置项，根据企业安全需求进行设定。其中重定向URL是指用户在认证成功并返回认证页面后，弹出的新页面将会重定向到指定的URL页面。如果没有配置该功能，新弹出的页面将返回用户输入的地址页面。开启Web安全认证功能如图S4-18所示。项目4 基于防火墙的信息过滤控制与实现 图S4-18 开启Web安全认证功能 项目4 基于防火墙的信息过滤控制与实现 第二步：创建AAA认证服务器。在开启防火墙认证功能后，需要在用户选项卡中选择AAA服务器选项，设置一个该服务的AAA认证服务器，该服务器的名称可命名为local_aaa_server。防火墙能够

25、支持本地认证、Radius认证、LDAP和Active-Directory认证。在本案例中我们选择使用防火墙的本地认证类型，如图S4-19所示。项目4 基于防火墙的信息过滤控制与实现 图S4-19 创建本地AAA服务器 项目4 基于防火墙的信息过滤控制与实现 第三步：创建用户及用户组，并将用户划归不同用户组。既然要做认证，就需要在防火墙的用户选项卡中选择用户组选项来设置用户组，在本案例中，由于两类用户的访问权限不同，要求用户仅能浏览Web页面和仅能使用FTP功能，因此需要为两类用户分别创建一个用户组：用户组usergroup1和用户组usergroup2。在AAA服务器中选择之前创建好的loc

26、al_aaa_server认证服务器，分级创建用户组和用户，在AAA服务器中选中新建的服务器，选择用户组，如图S4-20所示。项目4 基于防火墙的信息过滤控制与实现 图S4-20 创建用户组 项目4 基于防火墙的信息过滤控制与实现 在用户选项卡中选择用户选项，创建用户。首先在AAA服务器中选择之前创建好的local-_aaa_server 认证服务器，在该服务器下创建user1和user2 两个用户，如图S4-21所示。创建完user1和user2以及usergroup1和usergroup2后，点击编辑用户按钮，选择user1用户，在组一栏中点击右边多个选项，将user1用户归属到userg

27、roup1组中。同样操作将user2用户归属到usergroup2组中，如图S4-22所示。项目4 基于防火墙的信息过滤控制与实现 图S4-21 创建用户和密码 项目4 基于防火墙的信息过滤控制与实现 图S4-22 绑定用户与用户组 项目4 基于防火墙的信息过滤控制与实现 最后在形成的local_aaa_server服务器下，有两个用户组usergroup1和usergroup2，每个用户组下各有一个用户，分别为user1用户和user2用户，如图S4-23所示。图S4-23 生成的用户组和用户列表 项目4 基于防火墙的信息过滤控制与实现 第四步：创建角色。创建好用户和用户组后，在用户选项卡中

28、选择角色选项，新建角色，设置两个新角色，分别为role_permit_web角色和role_permit_ftp角色。为角色命名的时候，一般将角色的功能体现出来，如允许访问Web界面，可以命名为role_permit_web，如图S4-24所示。在角色创建过程中也可以增加对角色的描述。当然角色命名清晰的话，也可以不描述，建好的角色在角色列表中显示，如图S4-25所示。项目4 基于防火墙的信息过滤控制与实现 图S4-24 创建角色 项目4 基于防火墙的信息过滤控制与实现 图S4-25 生成角色列表 项目4 基于防火墙的信息过滤控制与实现 第五步：创建角色映射规则，将用户组与角色相对应。角色创建好

29、后，需要将角色、用户、用户名相对应，这就需要创建角色映射规则。在用户选项卡中选择角色选项，在角色列表中选择新角色映射按钮，创建一个新角色映射 role_map1，将usergroup1用户组和角色role_permit_web做对应；创建一个新角色映射role_map2，将用户组usergroup2和角色role_permit_ftp做对应，如图S4-26所示。点击上图中创建好的role_map1可以看到在其下面有两组对应关系，如图S4-27所示。项目4 基于防火墙的信息过滤控制与实现 图S4-26 创建角色映射role_map1 项目4 基于防火墙的信息过滤控制与实现 图S4-27 用户组与

30、角色对应 项目4 基于防火墙的信息过滤控制与实现 第六步：将角色映射规则与 AAA 服务器绑定。在用户选项卡中选择AAA服务器，将角色映射role_map1绑定到创建的AAA服务器 loca_aaa_Server上，如图S4-28所示。图S4-28 绑定角色映射到AAA服务器 项目4 基于防火墙的信息过滤控制与实现 第七步：创建安全策略针对不同角色的用户放行不同服务。在安全选项卡中选择策略，设置内网到外网的安全策略。首先在该安全策略的第一条设置一个放行 DNS 服务的策略，放行该策略的目的是当我们在IE栏中输入某个网站名后，客户端PC 能够正常对该网站做出解析，然后可以重定向到认证页面上。由于

31、是内网到外网的访问，因此源安全域为trust，目的安全域为untrust；由于对地址没有做限定要求，因此源地址和目的地址均为Any；服务簿中选择DNS服务；行为中选择允许，如图S4-29所示。项目4 基于防火墙的信息过滤控制与实现 图S4-29 制定DNS策略 项目4 基于防火墙的信息过滤控制与实现 在内网到外网的安全策略的第二条我们针对未通过认证的用户UNKNOWN设置Web认证的策略，认证服务器选择创建的local-aaa-server。源安全域为trust，目的安全域为untrust；源地址和目的地址不确定，因此也选择Any类型。对这部分UNKNOWN用户，上网行为不确定，服务簿中选择A

32、ny；行为中选择必须通过Web认证，而Web认证服务器选择我们案例中自定义的local_aaa_server，如图S4-30所示。重新编辑该条策略，将UNKNOWN用户添加到刚才的策略中，在角色/用户/用户组选项中选择UNKNOWN，这里的UNKNOWN代表了所有未通过认证的用户。选择“Web认证”行为会将未通过认证的用户重定向到Web认证页面上，如图S4-31所示。项目4 基于防火墙的信息过滤控制与实现 图S4-30 制定UNKNOWN用户策略 项目4 基于防火墙的信息过滤控制与实现 图S4-31 编辑UNKNOWN用户的策略 项目4 基于防火墙的信息过滤控制与实现 制定内网到外网的第三条安

33、全策略。针对认证过的用户放行相应的服务，针对角色role_permit_web我们只放行HTTP服务。同理内网到外网的访问，源安全域为trust，目的安全域为untrust，源地址和目的地址均为Any，服务簿中选择HTTP服务，角色/用户/用户组中将对应的角色选中role_permit_web，行为为允许，如图S4-32所示。制定内网到外网的第四条安全策略。针对通过认证后的用户，属于role_permit_ftp角色的只放行 IP 服务。操作与第三条策略类似。不同的是服务簿中选择FTP服务，在角色/用户/用户组中将对应的角色选中role_permit_ftp，如图S4-33所示。项目4 基于防

34、火墙的信息过滤控制与实现 图S4-32 放行HTTP服务 项目4 基于防火墙的信息过滤控制与实现 图S4-33 放行FTP策略 项目4 基于防火墙的信息过滤控制与实现 在防火墙选项卡中选择策略选项查看策略列表。在这里我们设置了四条策略，第一条策略我们只放行DNS服务，第二条策略我们针对未通过认证的用户设置认证的安全策略，第三条策略和第四条策略我们针对不同角色用户放行不同的服务，如图S4-34所示。图S4-34 Web认证策略列表 项目4 基于防火墙的信息过滤控制与实现 第八步：用户验证。内网用户打开IE输入某网站地址后可以看到页面马上被重定向到认证页面，输入user1用户名和密码，如图S4-3

35、5所示。该用户名和密码认证通过后，访问某Web页面获得成功，如图S4-36所示。而通过FTP地址访问同一页面时却未能打开，如图S4-37所示。项目4 基于防火墙的信息过滤控制与实现 图 S4-35 Web认证验证测试用户user1 项目4 基于防火墙的信息过滤控制与实现 图S4-36 进入到Web认证界面 项目4 基于防火墙的信息过滤控制与实现 图S4-37 Web认证功能测试 项目4 基于防火墙的信息过滤控制与实现 相关知识相关知识(1)Web安全认证中的用户组必须建立在当前的AAA服务器下，并在此基础上创建用户，否则会出现用户密码登录错误。(2)对于不同的用户组可以赋予不同的权限，制定不同

36、的安全策略。思考思考为什么在内网访问外网的过程中要设置Web安全认证？项目4 基于防火墙的信息过滤控制与实现 任务任务4-4 网络通信软件访问控制与实现网络通信软件访问控制与实现 知识导入知识导入什么是禁用IM(Instant Messaging)IM是Instant Messaging(即时通讯、实时传讯)的缩写，是一种可以让使用者在网络上建立某种私人聊天室(chatroom)的实时通讯服务。目前在互联网上受欢迎的即时通讯软件包括腾讯QQ、百度HI、飞信、易信、阿里旺旺、yy、Skype、Google Talk、icq、FastMsg等。禁用IM操作就是通过防火墙禁用网络通信软件的使用，禁止

37、内网用户使用QQ、MSN等聊天软件，从而提高员工的工作效率。项目4 基于防火墙的信息过滤控制与实现 案例及分析案例及分析某企业内网192.168.2.0/24，要求在防火墙上禁止网络通信软件的使用，限制使用QQ、MSN。要求内网用户不能登录腾讯QQ和微软MSN。一、网络拓扑一、网络拓扑网络拓扑如图S4-38所示。项目4 基于防火墙的信息过滤控制与实现 图S4-38 网络拓扑 项目4 基于防火墙的信息过滤控制与实现 二、配置步骤二、配置步骤第一步：启用外网口安全域的应用程序识别。登录到防火墙配置界面，选择网络选项卡中的安全域，进入外网口安全域 untrust的配置界面，勾选应用程序识别，设置该项

38、的目的是可以识别动态端口的应用层协议，如图S4-39所示。第二步：创建禁用QQ和MSN的策略。在防火墙选项卡中选择策略选项，创建从内网到外网的拒绝QQ和MSN的策略。制订策略时分别在服务中选择QQ服务和MSN服务，行为中选择拒绝。如果该方向有从内网到外网的放行策略，一定要将拒绝QQ和拒绝MSN的策略放到该策略的上面，如图S4-40所示。项目4 基于防火墙的信息过滤控制与实现 图S4-39 启用安全域应用识别 项目4 基于防火墙的信息过滤控制与实现 图S4-40 制订拒绝QQ/MSN策略 项目4 基于防火墙的信息过滤控制与实现 第三步：验证测试。我们可以登录QQ、MSN，测试以上网络通信软件不能

39、再登录使用，如图S4-41所示。图S4-41 验证禁用IM策略 项目4 基于防火墙的信息过滤控制与实现 相关知识相关知识禁用及时通信软件的常见现象：第1种现象：用户不能使用QQ等工具聊天；不能访问某些网络；不能玩某些网络游戏(如联众)。第2种现象：上网冲浪的过程中，出于单位网络安全的考虑，管理员会限制某些网络协议，这就导致用户不能使用FTP等资源；管理员限制了一些网络游戏的服务器端IP地址，而这些游戏又不支持普通HTTP代理导致游戏无法运行。现在也有一些软件专门用于禁用通信软件的网络通信恢复的，有兴趣的人员可以上网搜索相关技术，这里不再描述。项目4 基于防火墙的信息过滤控制与实现 思考思考防火

40、墙禁用QQ等通信软件后，如何恢复该功能？项目4 基于防火墙的信息过滤控制与实现 任务任务4-5 网页地址过滤控制与实现网页地址过滤控制与实现 知识导入知识导入1.什么是什么是URLURL(Uniform Resource Locator)称为统一资源定位符，是对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示，是互联网上标准资源的地址。互联网上的每个文件都有一个唯一的URL，它包含的信息可以指出文件的位置以及浏览器应该怎么处理它。项目4 基于防火墙的信息过滤控制与实现 2.什么是什么是URL过滤过滤URL过滤通过将用户的Web请求发送到URL过滤服务器来工作，过滤服务器对照容许站点数据

41、库来检查每个请求。容许的请求容许用户直接访问该站点，禁止的请求要么向用户发送一个禁止访问信息，要么将用户重定向到另一个站点。3.URL过滤的用途过滤的用途URL过滤的典型用途是确保用户只能访问合适的站点。案例及分析案例及分析某企业内网192.168.2.0/24，要求通过防火墙的设置禁止内网用户访问某些网站。这里限制内网用户访问百度首页。项目4 基于防火墙的信息过滤控制与实现 一、网络拓扑一、网络拓扑网络拓扑如图S4-42所示。图S4-42 网络拓扑 项目4 基于防火墙的信息过滤控制与实现 二、操作流程二、操作流程第一步：创建HTTP profile，启用URL过滤功能。登录防火墙配置界面，在

42、应用选项卡中选择HTTP控制选项，进行HTTP Profile配置。在Profile名称中输入新建的HTTP profile，名称为 http_profile，将 URL 过滤设置成启用状态点击确定即可，如图S4-43所示。项目4 基于防火墙的信息过滤控制与实现 图S4-43 创建HTTP Profile文件http_profile 项目4 基于防火墙的信息过滤控制与实现 第二步：创建profile 组，添加http_profile。在对象选项卡中选择Profile组，新建一个名为“profile_group”的profile组，并将之前创建好的http_profile加入到该profile组

43、中点击确定，如图S4-44所示。项目4 基于防火墙的信息过滤控制与实现 图S4-44 创建profile组 项目4 基于防火墙的信息过滤控制与实现 第三步：设置URL过滤规则。在安全选项卡中选择URL过滤选项，设置URL过滤规则。案例中要求只是限制访问百度首页，我们在黑名单URL中输入百度网站的地址，点击添加，将其添加到黑名单列表中，如图S4-45所示。项目4 基于防火墙的信息过滤控制与实现 图S4-45 设置URL过滤 项目4 基于防火墙的信息过滤控制与实现 第四步：在安全策略中引用profile组。在安全选项卡中选择策略，制定内网到外网的安全策略，其中在profile组中引用URL过滤的p

44、rofile组profile_group，点击确认即可，如图S4-46所示。第五步：测试验证。内网用户在访问百度首页时便会提示访问被拒绝，如图S4-47所示。项目4 基于防火墙的信息过滤控制与实现 图S4-46 制定URL安全策略 项目4 基于防火墙的信息过滤控制与实现 图S4-47 URL过滤验证 项目4 基于防火墙的信息过滤控制与实现 相关知识相关知识URL过滤能够增强网络安全，并强化用户资源的使用策略，对于多数工作场合是一项必需的措施。这种方法已成为企业网络上的一种基本方法，其目标是阻止雇员访问可能损害工作效率或公司利益的内容。被阻止的网站可能是那些威胁到企业安全或包含恶意内容的网站，也

45、可能是耗用大量带宽的网站，URL过滤的实施并不难，企业遵循最佳方法就可以使其实施过程容易和高效。URL过滤的实施过程主要有几个法则：将URL过滤作为统一安全方案中的一种特性，简单配置和管理，广泛的URL种类过滤，手工过滤，检查规则，用户响应，综合性策略，合并多种技术的能力，强大的安全措施和避免过度阻止。思考思考在用户访问外网过程中，要求同时过滤和网页，如何实现URL过滤？项目4 基于防火墙的信息过滤控制与实现 任务任务4-6 网页内容过滤控制与实现网页内容过滤控制与实现 知识导入知识导入1.什么是关键词过滤什么是关键词过滤关键词过滤，也称关键字过滤，指网络应用中，对传输信息进行预先的程序过滤、

46、嗅探指定的关键字词，并进行智能识别，检查网络中是否有违反指定策略的行为。2.网页内容过滤的意义网页内容过滤的意义网络内容过滤技术采取适当的技术措施，对互联网不良信息进行过滤，既可阻止不良信息对人们的侵害，适应社会对意识形态方面的要求；同时，通过规范用户的上网行为，提高工作效率，合理利用网络资源，减少病毒对网络的侵害，这就是内容过滤技术的根本内涵。项目4 基于防火墙的信息过滤控制与实现 案例及分析案例及分析某企业内网 192.168.2.0/24，要求通过防火墙的设置实现内网用户访问外网时，对网页内容进行过滤，限制一些敏感词汇。针对要访问的网页，如果包含一次或一次以上的“黄秋生”字样，则将该网页

47、过滤掉，不允许用户访问。一、网络拓扑一、网络拓扑网络拓扑如图S4-48所示。项目4 基于防火墙的信息过滤控制与实现 图S4-48 网络拓扑 项目4 基于防火墙的信息过滤控制与实现 二、操作流程二、操作流程第一步：在内容过滤中创建类别。登录防火墙配置界面，点击应用选项卡中的内容过滤选项，选择类别子菜单，创建一个名为 test 的内容过滤类别，点击添加即可，如图S4-49所示。图S4-49 创建test内容过滤类别 项目4 基于防火墙的信息过滤控制与实现 第二步：指定要过滤的关键字并设置属性。在应用选项卡中，选择内容过滤选项中的子菜单关键字，设置要过滤的关键字为“黄秋生”，匹配类型选择精确匹配，在

48、类别中选择第一步新建的内容过滤类别test，并设置相应的信任值，我们使用默认的 100，点击添加即可，如图S4-50所示。第三步：创建类别组，添加类别成员并设置警戒值。在应用选项卡中选择内容过滤选项，选择其子菜单项类别组进行配置。为前面的内容过滤类别test，创建一个与之对应的类别组名为test类别组，如图S4-51所示。项目4 基于防火墙的信息过滤控制与实现 图S4-50 设置内容过滤关键字 项目4 基于防火墙的信息过滤控制与实现 图S4-51 创建内容过滤类别组 项目4 基于防火墙的信息过滤控制与实现 将之前创建好的test类别添加到该组中，并设置相应的警戒值，实验中我们要求只要包含一次“

49、黄秋生”的关键字就进行过滤，此处我们可以使用默认的“100”，如图S4-52所示。图S4-52 添加类别组成员 项目4 基于防火墙的信息过滤控制与实现 第四步：创建内容过滤 Profile，并添加类别组。在应用选项卡选择内容过滤选项的子菜单Profile进行配置。创建一个名为内容过滤profile的内容Profile，在服务中选择HTTP，类别组中选择test类别组，点击添加，如图S4-53所示。第五步：创建一个profile组，将内容过滤profile加入到该profile组。在对象选项卡中选择Profile 组，创建一个 profile 组名为“内容过滤profile组”，并将上面创建的内

50、容过滤profile加入到该组中，点击确认即可，如图S4-54所示。项目4 基于防火墙的信息过滤控制与实现 图S4-53 创建内容过滤profile 项目4 基于防火墙的信息过滤控制与实现 图S4-54 创建内容过滤profile组 项目4 基于防火墙的信息过滤控制与实现 第六步：在策略中引用profile组。在防火墙选项卡选择策略选项，针对内网到外网的安全策略我们引用创建的内容过滤profile组，点击确认即可，如图S4-55所示。第七步：验证测试。在搜索栏中输入“黄秋生”点击百度一下后出现提示界面，因为我们要访问的网页包含了一次或一次以上的“黄秋生”字样，所以不能访问到该网页，如图S4-5