今天主要帶來的是網(wǎng)絡(luò)安全必不可少的保護神,那就是防火墻��,談起防火墻�����,相信搞網(wǎng)絡(luò)的各位同胞們都知道他是做什么的���,顧名思義,防火墻嗎�����,不就是防火的嗎����,對,是防火的�,他防的就是網(wǎng)絡(luò)中那些威脅我們網(wǎng)絡(luò)安全的惡意流量,先帶大家簡單認識一下����。
創(chuàng)新互聯(lián)公司是一家專注于成都網(wǎng)站制作���、成都網(wǎng)站設(shè)計、外貿(mào)營銷網(wǎng)站建設(shè)與策劃設(shè)計,華寧網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)公司做網(wǎng)站,專注于網(wǎng)站建設(shè)十載,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:華寧等地區(qū)����。華寧做網(wǎng)站價格咨詢:028-86922220
防火墻概述及定義:
1.所謂防火墻指的是一個有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間���、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障��。
2.防火墻是一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施�����,它通過在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)���,以阻擋來自外部的網(wǎng)絡(luò)***。
3.防火墻是汽車中一個部件的名稱���。在汽車中���,利用防火墻把乘客和引擎隔開�����,以便汽車引擎一旦著火�,防火墻不但能保護乘客安全�����,而同時還能讓司機繼續(xù)控制引擎�。在電腦術(shù)語中,當然就不是這個意思了�,我們可以類比來理解,在網(wǎng)絡(luò)中����,所謂“防火墻”,是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法�����,它實際上是一種隔離技術(shù)�。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度�����,它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò),同時將你“不同意”的人和數(shù)據(jù)拒之門外����,最大限度地阻止網(wǎng)絡(luò)中的***來訪問你的網(wǎng)絡(luò)。換句話說���,如果不通過防火墻����,公司內(nèi)部的人就無法訪問Internet����,Internet上的人也無法和公司內(nèi)部的人進行通信。
防火墻的主要優(yōu)點:
(1)防火墻能強化安全策略��。
(2)防火墻能有效地記錄Internet上的活動���。
(3)防火墻限制暴露用戶點��。防火墻能夠用來隔開網(wǎng)絡(luò)中一個網(wǎng)段與另一個網(wǎng)段�����。這樣���,能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播�����。
(4)防火墻是一個安全策略的檢查站��。所有進出的信息都必須通過防火墻�����,防火墻便成為安全問題的檢查點����,使可疑的訪問被拒絕于門外����。
這里我用的思科的ASA5500防火墻,先做一個簡單介紹:
ASA安全設(shè)備(也叫ASA防火墻)
ASA5500系列
具備功能:
1防火墻技術(shù)(cisco PIX)
2IPS技術(shù)(cisco IPS)
3NW-AV(cisco IPS,AV)
4×××(cisco ××× 3000)
5網(wǎng)絡(luò)智能(思科網(wǎng)絡(luò)服務(wù))
6應(yīng)用檢測�����,使用實施���,WEB控制(應(yīng)用安全)
7而已軟件�,內(nèi)容防御����,異常流量檢測(Anti-X防御)
8流量,準入控制����,主動相應(yīng)(網(wǎng)絡(luò)抑制和控制)
9安全連接(IPSec & SSL ×××)
防火墻的接口名稱
1物理名稱 G0/0/1
2邏輯名稱 用來描述安全區(qū)域 例如inside outside
接口安全級別
范圍:0-100 數(shù)字越大安全級別高,反之越小
inside(內(nèi)網(wǎng)) 安全級別100
outside(外網(wǎng)) 安全級別0
inside---------防火墻---------outside
實驗拓撲:
實驗需求:
- DMZ發(fā)布Web服務(wù)器�,Client2可以訪問
- 配置ACL禁止Client3訪問Server2
- Server3 使用命令show conn detail查看Conn表分別查看ASA和AR的路由表
地址規(guī)劃:
| 設(shè)備 | 端口 | IP地址及掩碼 |
| Server1 |
|
10.1.1.1/24 |
| Client1 |
|
10.2.2.2/24 |
| Server2 |
|
192.168.8.100/24 |
| Client2 |
|
192.168.8.1/24 |
| Server3 |
|
192.168.3.100/24 |
| Client3 |
|
192.168.3.1/24 |
| 路由器 |
Gi0/0/0 |
10.1.1.254/24 |
| 路由器 |
Gi0/0/1 |
10.2.2.254/24 |
| 路由器 |
Gi0/0/2 |
192.168.1.1/24 |
| 防火墻 |
G0 |
192.168.1.254/24 |
| 防火墻 |
G1 |
192.168.8.254/24 |
| 防火墻 |
G2 |
192.168.3.254/24 |
實驗思路及步驟:
一、根據(jù)地址規(guī)劃配置IP地址
1.根據(jù)地址規(guī)劃配置路由器及終端設(shè)備的IP地址�����,過程比較簡單�����,這里我就不做詳細說明了
2.配置ASA防火墻的接口:
ciscoasa(config)# int g0
ciscoasa(config-if)# nameif inside 給邏輯接口命名
INFO: Security level for "inside" set to 100 by default. inside區(qū)域的安全級別默認是100
ciscoasa(config-if)# ip address 192.168.1.254 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# int g1
ciscoasa(config-if)# nameif outside 給邏輯接口命名
INFO: Security level for "outside" set to 0 by default. outside區(qū)域的安全級別默認是0
ciscoasa(config-if)# ip address 192.168.8.254 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# int g2
ciscoasa(config-if)# nameif DMZ 給邏輯接口命名
INFO: Security level for "DMZ" set to 0 by default.
ciscoasa(config-if)# ip address 192.168.3.254 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# security-level 50 更改DMZ區(qū)域的安全級別為50
二�、配置默認路由
1.配置路由器的默認路由
[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.254
2.配置防火墻的靜態(tài)路由
ciscoasa(config)# route inside 10.1.1.0 255.255.255.0 192.168.1.1
ciscoasa(config)# route inside 10.2.2.0 255.255.255.0 192.168.1.1
驗證:
通過display Ip routing-table查看路由器路由表:
通過show route 查看防火墻路由表:
三、配置任務(wù)內(nèi)容
**1. DMZ發(fā)布Web服務(wù)器���,Client2可以訪問Server3**
首先在server3開啟HTTP服務(wù)
然后在防火墻上配置ACL
分析:因為client2位于outside區(qū)域�����,安全級別比server3位于的DMZ區(qū)域安全級別低����,所以當client2主動發(fā)起請求時,防火墻默認是不允許通過的�,所以我們要制定ACL允許Client2訪問Server3
命令如下:
ciscoasa(config)# access-list out-to-DMZ permit tcp host 192.168.8.1 host 192.168.3.100 eq www 允許192.168.8.1到192.168.3.100通過端口tcp80 訪問
ciscoasa(config)# access-group out-to-DMZ in interface outside在outside口應(yīng)用ACL
驗證:
此時,client2可以訪問server3.
**2. 配置ACL禁止Client3訪問Server2**
首先配置server2的HTTP服務(wù)以及FTP服務(wù)
其次配置防火墻ASA
分析:因為Client3位于DMZ接口端����,安全級別比server2的接口端安全級別高,所以防火墻ASA默認是允許訪問SERVER2的���,所以為了完成任務(wù)2��,我們需要配置ACL拒絕由Client3訪問Server2的流量
命令如下:
ciscoasa(config)# access-list DMZ-to-out deny ip host 192.168.3.1 host 192.168.8.100 拒絕從192.168.3.1到192.168.8.100的所有IP流量通過�����。
ciscoasa(config)# access-group DMZ-to-out in interface DMZ 在DMZ接口應(yīng)用ACL
驗證調(diào)用情況:
驗證:
此時����,client3已經(jīng)不能訪問server2了�����。
結(jié)果驗證
路由器通過display ip routing-table查看路由表:
防火墻ASA通過show conn detail 查看conn表:
總結(jié):
不同安全級別的接口之間訪問時���,遵從的默認規(guī)則
1允許出站(outbound)連接
2禁止入站(inbound)連接
3禁止相同安全級別的接口之間通信(兩邊的安全級別都為50等等)
高安全級別---->低安全級別(是可以訪問的)
低安全級別---->高安全級別(是不可以訪問的)
例如:公司1樓的保安(防火墻機制)���,公司內(nèi)部人員可以通過員工識別卡來進出,但是陌生人則會被阻攔
如果想實現(xiàn)安全級別低的區(qū)域訪問安全級別高的區(qū)域���,必須通過配置ACL允許流量通過�。
分享名稱:網(wǎng)絡(luò)安全的保護神——防火墻
網(wǎng)頁地址:
http://weahome.cn/article/ghhogs.html
重慶分公司
重慶分公司
