1 / 33

第十讲 防火墙

第十讲 防火墙. 信息工程学院 冯建新 2008 年 4 月 18 日. 目录. 目标 Fortinet 防火墙 Fortinet 防火墙配置 课堂小结. 一、目标. 了解防火墙的功能 熟悉 Fortinet-100 防火墙 掌握用防火墙实现 Intranet 的网络结构 熟悉 Fortinet-100 防火墙的配置. 二、 Fortinet 防火墙. www.fortinet.com.cn Fortinet-100 的功能: 应用层服务: 病毒防护 和 内容过滤 。 网络 层 服务: 防火墙 、入侵检测、 VPN ,以及流量控制等。

ivria
Download Presentation

第十讲 防火墙

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第十讲 防火墙 信息工程学院 冯建新 2008年4月18日

  2. 目录 • 目标 • Fortinet防火墙 • Fortinet防火墙配置 • 课堂小结

  3. 一、目标 • 了解防火墙的功能 • 熟悉Fortinet-100防火墙 • 掌握用防火墙实现Intranet的网络结构 • 熟悉Fortinet-100防火墙的配置

  4. 二、 Fortinet防火墙 • www.fortinet.com.cn • Fortinet-100的功能: • 应用层服务:病毒防护和内容过滤。 • 网络层服务:防火墙、入侵检测、VPN,以及流量控制等。 • Fortinet-100的网络结构

  5. 病毒防护 • ICSA认证的Fortigate 防病毒保护,可对穿过Fortigate的web(http)和Email(smtp, pop3, 和imap )内容中被病毒感染的文件进行删除。当fortigate从内容流中检测并删除一个病毒时,它可向系统管理员发送一则报警email。这些web和email 内容可来自普通网络流通或加密ipsec vpn流通。 • ICSA Labs认证了Fortigates 的以下功能: • 100% 检测到the wild list(www.wildlist.org) 中列举的所有病毒 • 检测pkzip格式压缩文件中的病毒。 • 检测以uuencode格式编码的email 中的病毒。 • 检测以mime 格式编码的email中的病毒。 • 在扫描同时对所有动作进行日志记录。

  6. 内容过滤 • Fortinet web内容过滤可设置为扫描url和web网页内容中的全部http 内容协议数据流。如果在url和url封锁列表中找到一个匹配, 或在一个网页中发现含有内容封锁列表中的词或短语, Fortigate 将封锁此页。并用基于web的管理程序编辑的消息来替代该网页。 • 您可以通过设置url 封锁来阻挡网站上所有或部分网页。利用这一特点,可拒绝站点中的部分而不是全部内容。 • 为防止无意封锁到一些合法的网页,可添加urls到一则例外列表中,使之覆盖url封锁及内容封锁列表中部分内容。 • web 内容过滤也包括有程序脚本过滤,它可封锁如下一些非安全web 内容如java applets、cookies、activex。

  7. 防火墙 • 网络地址转换(NAT)/路由模式 • NAT模式策略通过网络地址翻译将地址从较不安全网络隐藏到较安全网络中。 • Route 模式策略在不执行地址翻译下接受或拒绝网络间的连接。 • 透明模式 • 透明模式提供了与NAT模式相同的基本防火墙保护。从Fortigate中接收到的数据包根据防火墙策略可被智能地转送或封锁掉。

  8. fortinet-100的网络结构 外部网络 External(外部) DMZ DMZ区 Internal(内部) DMZ:非军事区,一般放服务器 内部局域网

  9. 三、 Fortinet防火墙配置 • 防火墙的出厂设置 • 防火墙的基本设置 • 实验环境 • 实例1 • 实现内外网络的隔离,内部网络可以访问Internet。 • 实例2 • 实现内外网络的隔离,内部网络可以访问Internet,允许外部网络访问内部的某个服务器。 • 实例3 • 设置DMZ区,将对外的服务器放入DMZ区。

  10. 防火墙的出厂设置

  11. 防火墙的出厂设置(续) • 防火墙模式 • NAT/Route模式 • 策略

  12. 防火墙的基本设置 • 时间设置 • 语言 • 管理员帐号 • SNMP • 报警邮件

  13. 时间设置

  14. 语言

  15. 管理员设置

  16. 实验环境 EMail Server FTP Server 202.107.212.10 — 202.107.212.14 DMZ Web Server 外部网络 10.10.10.12 10.10.10.1 Web Server 202.107.212.10 内部局域网 192.168.1.10 202.107.212.12 202.107.212.11 Web Server 192.168.1.14

  17. 实例1 • Internet地址范围:202.107.212.10—202.107.212.14 • 内部(专用)地址:192.168.1.x • 内部Web Server的地址:192.168.1.14 • 设置过程图解

  18. 图1-配置接口

  19. 图2

  20. 图3

  21. 图4

  22. 图5 ACCEPT、DENY、AUTH

  23. 实例2 • 设置一个虚拟的IP地址 • 在外部IP和内部IP建立一个映射 • 建立一条“外部->内部”的策略 • 图解

  24. 实例3 • 设置DMZ接口 • 设置相关的虚拟IP地址 • 在外部IP与DMZ的IP建立映射 • 设置相关的DMZ地址 • 建立策略两条: • 内部->DMZ • 外部->DMZ

  25. 课堂小结 • 虚拟IP的概念 • 在两个地址之间建立映射关系

  26. 作业

More Related