(防火墙技术教学课件)项目4基于防火墙的信息过滤控制与实现.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《(防火墙技术教学课件)项目4基于防火墙的信息过滤控制与实现.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 技术 教学 课件 项目 基于 信息 过滤 控制 实现
- 资源描述:
-
1、项目4 基于防火墙的信息过滤控制与实现 项目4 基于防火墙的信息过滤控制与实现 任务4-1 网络通信访问控制与实现 任务4-2 局域网带宽及应用访问控制与实现 任务4-3 Web安全认证控制与实现 任务4-4 网络通信软件访问控制与实现 任务4-5 网页地址过滤控制与实现 任务4-6 网页内容过滤控制与实现 项目实训四 防火墙过滤功能配置 项目4 基于防火墙的信息过滤控制与实现 任务任务4-1 网络通信访问控制与实现网络通信访问控制与实现 知识导入知识导入1.什么是会话限制什么是会话限制基于源的会话限制,将限制来自相同源地址的并发会话数目,可以阻止像Nimda、冲击波这样的病毒和蠕虫的DoS攻
2、击。这类病毒会感染服务器,然后从服务器产生大量的信息流。由于所有由病毒产生的信息流都始发于相同的IP地址,因此基于源的会话限制可以保证防火墙能抑制这类巨量的信息流的传输。当来自某个IP 地址的并发会话数达到最大限制值后,防火墙开始封锁来自该IP地址的所有其他连接尝试。项目4 基于防火墙的信息过滤控制与实现 2.什么是什么是IP-MAC绑定绑定MAC相当于每片网卡的身份证,IP最终需要解析到MAC上,一般只在本IP段中有效。ARP攻击也就是利用伪造的MAC来扰乱正常的网络通信,IP和MAC绑定可以在一定程度上防止ARP欺骗。项目4 基于防火墙的信息过滤控制与实现 案例及分析案例及分析某企业内网为
3、192.168.2.0/24,为防止企业电脑被病毒或黑客破坏,要求在防火墙设置会话限制并与IP-MAC绑定。具体如下:1.要求针对内网每个IP限制会话数到300条。2.手工将内网某个IP和MAC绑定在防火墙上。3.设置防火墙自动扫描内网某个IP网段,然后将扫描的ARP信息全部绑定。一、网络拓扑一、网络拓扑网络拓扑如图S4-1所示。项目4 基于防火墙的信息过滤控制与实现 图S4-1 网络拓扑 项目4 基于防火墙的信息过滤控制与实现 二、操作流程二、操作流程第一步:配置会话限制。登录防火墙配置界面,选择防火墙选项卡中的会话限制选项,进入到会话限制配置。选择安全域 trust 及限制条件。案例中要求
4、内网每个IP限制会话数到300条,因此选中“IP限制”复选框,选择IP中的Any选项,会话数中输入指定条目数300,配置会话限制如图S4-2所示。项目4 基于防火墙的信息过滤控制与实现 图S4-2 配置会话限制 项目4 基于防火墙的信息过滤控制与实现 第二步:手工绑定IP-MAC信息。在防火墙选项卡中选择二层防护选项,选择其中的静态绑定子菜单。在右边的ARP列表中可以看到防火墙自动学习的ARP信息,我们将192.168.1.13的ARP信息手工绑定在防火墙上,复选框选中后,点击操作中对应的图标即可,自动学习环境下的IP-MAC绑定如图S4-3所示。如果防火墙并非自动学习到该IP的ARP信息,我
5、们可以使用手工输入IP和MAC的方式来绑定,如图S4-4所示。项目4 基于防火墙的信息过滤控制与实现 图S4-3 自动学习环境下的IP-MAC绑定 项目4 基于防火墙的信息过滤控制与实现 图S4-4 手工输入环境下的IP-MAC绑定 项目4 基于防火墙的信息过滤控制与实现 第三步:在防火墙上自动扫描地址范围。在防火墙选项卡中选择二层防护选项,选择其中的静态绑定子菜单,输入要扫描的地址范围,起始IP地址为192.168.1.1,终止IP地址为192.168.1.254,点击确认,开始扫描,如图S4-5所示。项目4 基于防火墙的信息过滤控制与实现 图S4-5 设置自动扫描地址范围 项目4 基于防火
6、墙的信息过滤控制与实现 第四步:将扫描后的ARP信息全部绑定。防火墙扫描完后将学习到的ARP信息显示在ARP列表中,此时点击绑定所有,防火墙就会将扫描的ARP信息全部绑定在防火墙上,如图S4-6所示。项目4 基于防火墙的信息过滤控制与实现 图S4-6 ARP信息绑定 项目4 基于防火墙的信息过滤控制与实现 任务任务4-2 局域网带宽及应用访问控制与实现局域网带宽及应用访问控制与实现 知识导入知识导入1.什么是什么是IP QoSIP QoS是指IP的服务质量,也是指IP数据流通过网络时的性能。它的目的就是向用户提供端到端的服务质量保证。它有一套质量指标,包括业务可用性、延迟、抖动、吞吐量和丢包率
7、。通常IP QoS只对网络中的IP流量进行控制。2.什么是应用什么是应用QoS应用QoS的目的是限制某些应用的上行和下行带宽,保证上网速度。项目4 基于防火墙的信息过滤控制与实现 案例及分析案例及分析某企业内网默认网段为192.168.2.0/24,外网网关为222.1.1.1,要求限制内网用户的带宽,并保证HTTP、SMTP的使用。企业内网环境如下:出口带宽为50Mbps,外网为ethernet 0/2接口。为实现不同部门用户带宽需求,将内网网段划分为两个网段:172.168.1.0/24和192.168.2.0/24,其中192.168.2.0/24网段为默认网段。要求:(1)172.16
8、8.1.1172.168.1.100需限制其上行带宽为500Kbps/IP,下行带宽为5Mbps/IP,允许出口带宽空闲时突破500Kbps/IP。192.168.2.0/24网段中每个IP下载300Kbps,上传整个网段共享10Mbps。项目4 基于防火墙的信息过滤控制与实现(2)P2P应用需限制其下行带宽为10Mbps,上行带宽最大为5Mbps。HTTP和SMTP应用下载保障为20Mbps,上传保障为10Mbps。分析内容分析内容企业内网分为两个网段,两个网段都对各自的每个IP提出了上传、下载的数据流量的限定要求,这种要求需要通过对各个网段设置IP QoS策略。而在外网访问过程中对其中的P
9、2P应用行为进行上行带宽和下行带宽的设置是典型的QoS应用策略部署。一、网络拓扑一、网络拓扑网络拓扑如图S4-7所示。项目4 基于防火墙的信息过滤控制与实现 图S4-7 网络拓扑 项目4 基于防火墙的信息过滤控制与实现 二、操作流程二、操作流程1.案例要求一案例要求一对局域网中的两个不同内网段的PC机下载带宽做了限制,因此需要对局域网内网中的不同网段PC做IP QoS控制。具体实现步骤如下:第一步:划分接口。结合网络拓扑结构,设置内网口为ethernet0/1接口,接口IP为192.168.2.1/24。第二步:指定接口带宽。在QoS选项卡中选择接口带宽菜单选项进行配置,默认带宽为物理上承载的
10、最高支持带宽。用户可以根据实际带宽值指定接口的上行带宽、下行带宽,指定接口出口ISP承诺带宽值。如果需要使用弹性QoS功能,只需要点击开启弹性QoS全局配置即可,接口带宽配置如图S4-8所示。项目4 基于防火墙的信息过滤控制与实现 图S4-8 接口带宽配置 项目4 基于防火墙的信息过滤控制与实现 当启用弹性QoS功能时,用户可以为全局弹性QoS设置最大和最小两个门限制,缺省最小门限值为75%,缺省最大门限值为85%。默认情况下,开启弹性QoS功能后,当出口带宽利用率小于75%时,用户可以使用的实际带宽缓慢的呈线性增长(用户可配置该增长速率);当带宽利用率达到85%时,用户可以使用的实际带宽呈指
11、数减少,直到实际限定的带宽;当接口带宽使用率在最小门限和最大门限之间的时候,弹性QoS处于稳定状态,即用户带宽不会增加也不会减少。项目4 基于防火墙的信息过滤控制与实现 第三步:配置IP QoS策略。(1)在防火墙QoS选项卡选择IP QoS菜单选项进行IP QoS策略配置。为达到限定 172.168.1.1-172.168.1.100中每个IP的上行带宽为500Kbps,下行带宽为5Mbps/IP,在出口带宽空闲时允许突破500Kbps/IP的要求,需要在接口绑定中选择外网口ethernet 0/2,在IP地址中输入IP范围172.168.1.1-172.168.1.100,由于系统默认的带
12、宽单位为Kbps,因此上行中最大带宽输入500,下行中最大带宽输入5000即可。由于允许出口带宽空闲时突破500Kbps/IP,因此在弹性QoS中选中下行复选框,输入500即可,操作结果如图S4-9所示。项目4 基于防火墙的信息过滤控制与实现 图S4-9 IP QoS策略配置上行、下行带宽 项目4 基于防火墙的信息过滤控制与实现(2)在防火墙QoS选项卡中选择IP QoS菜单选项,设置IPQoS策略。为新设置的策略制定规则名称为IPQ2,接口绑定为外网接口ethernet0/2,要实现下载带宽限定为192.168.2.0/24网段则IP范围设定为192.168.2.1-192.168.2.25
13、5。每个IP下载带宽最大为300Kbps,可以设置每个IP最大下行带宽为300Kbps;为实现整个网段上传最大占用10Mbps带宽的要求,设置每个IP最大上行带宽10000Kbps,操作结果如图S4-10所示。项目4 基于防火墙的信息过滤控制与实现 图S4-10 IP QoS策略配置下载带宽、上传带宽 项目4 基于防火墙的信息过滤控制与实现 匹配IP地址条目可以添加多条,类型支持IP范围和地址簿两种方式。接口绑定可以是内网接口或外网接口,绑定到该接口的QoS策略对流经该接口的所有限定IP地址范围内的流量均有效。绑定到外网接口时上下行控制策略对应内网用户上传/下载,绑定到内网接口时上下行控制策略
14、对应下载/上传。第四步:显示已配置的控制策略。添加后策略会在IP QoS列表显示,如果多条策略的IP地址范围重叠,请点击策略右侧箭头移动策略位置,从上至下第一条匹配到的策略生效。如需修改策略,可点击策略右侧编辑图标编辑。IP QoS列表如图S4-11所示。项目4 基于防火墙的信息过滤控制与实现 图S4-11 IP QoS列表 项目4 基于防火墙的信息过滤控制与实现 2.案例要求二案例要求二对内网配置应用QoS策略。第一步:开启应用识别。防火墙默认不对带“*”号服务做应用层识别,因此如果需要对BT、迅雷等应用做基于应用的 QoS控制,需要开启外网安全域的应用识别功能。进入防火墙,打开网络选项卡,
15、选择“安全域”选项,针对外网口所属安全域untrust启用应用识别、WAN安全域两个应用层识别功能,操作界面如图S4-12所示。项目4 基于防火墙的信息过滤控制与实现 图S4-12 启用安全域 项目4 基于防火墙的信息过滤控制与实现 匹配IP地址条目可以添加多条,类型支持IP范围和地址簿两种方式。接口绑定可以是内网接口或外网接口,绑定到该接口的QoS策略对流经该接口的所有限定IP范围内的流量均有效。绑定到外网接口时上下行控制策略对应内网用户上传/下载,绑定到内网接口时上下行控制策略对应下载/上传。第二步:配置应用QoS策略-限制P2P。在防火墙QoS选项卡中选择应用QoS菜单选项进行应用QoS
16、策略配置。在基本配置中,对新建的应用策略可以进行规则名称的命名,可命名为app_p2p,对应的接口绑定为ethernet0/2,在应用中选择P2P相关的所有服务,具体有“P2P下载”应用和“P2P视频”应用两个应用。在控制策略部分,对P2P应用上行/下行带宽进行限制设置,设置上行最大带宽为5000Kbps(即要求中的上传最大为5Mbps),下行最大带宽设置为10000Kbps(即限制下行带宽为10Mbps),最后点击“添加”按钮即可,操作界面如图S4-13所示。项目4 基于防火墙的信息过滤控制与实现 图S4-13 新建应用QoS安全策略 项目4 基于防火墙的信息过滤控制与实现 应用QoS安全策
17、略全局有效,对流经该绑定接口的所有限制服务的流量均生效。匹配应用条目可以添加多条,类型支持预定义服务(组)或自定义服务(组)。接口绑定可以是内网接口或外网接口,绑定到该接口的QoS策略对流经该接口的所有限定IP范围内的流量均起效。绑定到外网接口时上行/下行控制策略对应内网用户上传/下载,绑定到内网接口时上行/下行控制策略对应下载/上传。项目4 基于防火墙的信息过滤控制与实现 第三步:配置应用QoS策略-保障正常应用。(1)在防火墙QoS选项卡中选择应用QoS菜单选项,设置应用QoS策略。为ethernet0/2接口设置应用QoS策略,新建规则名称为app_ensure1,接口绑定为ethern
18、et0/2,应用中选择“HTTP”应用和“SMTP”应用,在带宽设置中上行带宽选择最小带宽为10000Kbps。细粒度控制中选择IP QoS配置,操作界面如图S4-14所示。项目4 基于防火墙的信息过滤控制与实现 图S4-14 ethernet0/2接口配置HTTP-SMTP上行应用QoS策略 项目4 基于防火墙的信息过滤控制与实现(2)在防火墙 QoS选项卡中选择应用QoS菜单选项,设置应用QoS策略。为ethernet0/1接口设置应用QoS策略,新建规则名称为app_ensure2,接口绑定为ethernet0/1,应用中选择“HTTP”应用和“SMTP”应用,在带宽设置中上行带宽选择最
19、小带宽为20000Kbps。细粒度控制中选择IP QoS配置,操作界面如图S4-15所示。项目4 基于防火墙的信息过滤控制与实现 图S4-15 ethernet0/1接口配置HTTP-SMTP上行应用QoS策略 项目4 基于防火墙的信息过滤控制与实现 第四步:显示已配置应用QoS策略。添加后策略会在应用QoS列表中显示,如果多条策略的应用重叠,请点击策略右侧箭头移动策略位置,从上至下第一条匹配到的策略生效,生成的应用 QoS策略列表如图S4-16所示。如需修改策略,可点击策略右侧编辑图标编辑。图S4-16 新建安全策略列表 项目4 基于防火墙的信息过滤控制与实现 相关知识相关知识防火墙的服务质
20、量保障功能主要体现在传输过程中,能够根据源、目的和协议参数限制不同的速率并保证不同流量,流量的分配是用大量可配置参数通过测量和排列IP包的方式实现的,主要体现在以下几个方面:(1)带宽限制:可以对用户IP地址、服务等通过防火墙的带宽进行限制,即进行不同的带宽限制。例如:限制某个用户对外访问的最大带宽,或者访问某种服务的最大带宽。(2)带宽保证:保证网络中重要服务如ERP、VOIP等,或者重要用户的带宽不被其他服务或者用户占用,从而保证了重要数据优先通过网络。项目4 基于防火墙的信息过滤控制与实现(3)优先级控制:对不同的网络服务设置不同的优先级别,保证优先级别高的数据优先进出网络。例如:设置对
21、时延要求极高的语音和视频服务可以调高其优先级别,保证该类数据优先进出网络,保证服务效果。思考思考企业为了保证内网网络速度流畅,对内网用户上网的BT下载进行限定,要求下载速度限制为5Mbps,如何实现?项目4 基于防火墙的信息过滤控制与实现 任务任务4-3 Web安全认证控制与实现安全认证控制与实现 知识导入知识导入什么是Web安全认证?Web安全认证方案首先需要给用户分配一个地址,用于访问门户网站,在登录窗口上键入用户名与密码,然后通过Radius客户端去Radius服务器认证。如果认证通过,则触发客户端重新发起地址分配请求,给用户分配一个可以访问外网的地址。用户下线时通过客户端发起离线请求。
22、项目4 基于防火墙的信息过滤控制与实现 案例及分析案例及分析某企业内网 192.168.2.0/24,要求通过防火墙的设置实现内网用户访问外网时,需要Web认证。内网用户首次访问 Internet 时需要通过 Web 认证才能上网。且内网用户划分为两个用户组 usergroup1 和 usergroup2,其中 usergroup1 组中的用户在通过认证后仅能浏览 Web 页面,usergroup2 组中的用户通过认证后仅能使用 FTP。一、网络拓扑一、网络拓扑网络拓扑如图S4-17所示。项目4 基于防火墙的信息过滤控制与实现 图S4-17 网络拓扑 项目4 基于防火墙的信息过滤控制与实现 二
23、、操作流程二、操作流程第一步:开启Web认证功能。防火墙Web认证功能默认是处于关闭状态,当需要进行Web认证时,手工在防火墙网络选项卡中的Web认证选项点击Web安全认证配置,开启相关功能。防火墙Web认证有HTTP和HTTPS两种认证模式。HTTP模式更为快捷,而HTTPS模式更为安全,在本案例中选用HTTP模式。其中HTTP服务端口,选择缺省值8181;HTTPS服务端口,选择缺省值44433。本案例中要求用户仅能浏览Web页面和仅能使用FTP功能,因此我们选择普通的HTTP模式即可。超时选项可以根据安全需求设定等待时间,这里选择默认值60,认证成功后,系统会在60秒时间结束前对认证成功
24、页面进行自动刷新,确认登录信息。其他不带“*”符号的选项为可设置项,根据企业安全需求进行设定。其中重定向URL是指用户在认证成功并返回认证页面后,弹出的新页面将会重定向到指定的URL页面。如果没有配置该功能,新弹出的页面将返回用户输入的地址页面。开启Web安全认证功能如图S4-18所示。项目4 基于防火墙的信息过滤控制与实现 图S4-18 开启Web安全认证功能 项目4 基于防火墙的信息过滤控制与实现 第二步:创建AAA认证服务器。在开启防火墙认证功能后,需要在用户选项卡中选择AAA服务器选项,设置一个该服务的AAA认证服务器,该服务器的名称可命名为local_aaa_server。防火墙能够
25、支持本地认证、Radius认证、LDAP和Active-Directory认证。在本案例中我们选择使用防火墙的本地认证类型,如图S4-19所示。项目4 基于防火墙的信息过滤控制与实现 图S4-19 创建本地AAA服务器 项目4 基于防火墙的信息过滤控制与实现 第三步:创建用户及用户组,并将用户划归不同用户组。既然要做认证,就需要在防火墙的用户选项卡中选择用户组选项来设置用户组,在本案例中,由于两类用户的访问权限不同,要求用户仅能浏览Web页面和仅能使用FTP功能,因此需要为两类用户分别创建一个用户组:用户组usergroup1和用户组usergroup2。在AAA服务器中选择之前创建好的loc
展开阅读全文