防火墙理论与实例讲解优秀PPT.ppt

《防火墙理论与实例讲解优秀PPT.ppt》由会员分享，可在线阅读，更多相关《防火墙理论与实例讲解优秀PPT.ppt（65页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、防火墙理论与实例讲解第一页，本课件共有65页防火墙的工作原理防火墙的工作原理防火墙的工作原理防火墙的工作原理 根根据据防防范范的的方方式式和和侧侧重重点点的的不不同同,防防火火墙墙可可分分为为三三大大类类:1.1.数据包过滤数据包过滤数据包过滤数据包过滤 数数据据包包过过滤滤(Packet(Packet Filtering)Filtering)技技术术是是在在网网络络层层对对数数据据包包进进行行选选择择,选选择择的的依依据据是是系系统统内内设设置置的的过过滤滤逻逻辑辑,被被称称为为访访问问控控制制表表(Access(Access Control Control Table)Table)。通通过

2、过检检查查数数据据流流中中每每个个数数据据包包的的源源地地址址、目目的的地地址址、所所用用的端口号、协议状态等因素的端口号、协议状态等因素,或它们的组合来确或它们的组合来确定是否允许该数据包通过。定是否允许该数据包通过。网络安全培训中心第二页，本课件共有65页内部网络外部网络应用层表示层会话层传输层网络层链路层物理层数据包过滤防火墙实现原理图数据包过滤防火墙实现原理图数据包过滤防火墙实现原理图数据包过滤防火墙实现原理图网络安全培训中心第三页，本课件共有65页蓝盾防火墙过滤规则蓝盾防火墙过滤规则蓝盾防火墙过滤规则蓝盾防火墙过滤规则网络安全培训中心第四页，本课件共有65页2.2.应用级网关应用级网

3、关应用级网关应用级网关 应用级网关应用级网关(Application Level Gateways)(Application Level Gateways)是在网是在网络应用层上建立协议过滤和转发功能。它针对特定的络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑网络应用服务协议使用指定的数据过滤逻辑,并在过滤并在过滤的同时的同时,对数据包进行必要的分析、登记和统计对数据包进行必要的分析、登记和统计,形成形成报告。实际中的应用网关通常安装在专用工作站系统报告。实际中的应用网关通常安装在专用工作站系统上。上。内部网络外部网络应用层表示层会话层转输层网络层链路层物

4、理层应用网防火墙实现原理图第五页，本课件共有65页3.3.3.3.代理服务代理服务代理服务代理服务 代理服务代理服务(Proxy Service)(Proxy Service)也称链路级网关或也称链路级网关或TCPTCP通道通道(Circuit Level Gateways orTCP(Circuit Level Gateways orTCP Tunnels),Tunnels),也有人将它归于应用级网关一类。它也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术引入的防火墙技术,其特点是将所有跨越防火墙其特点是将所

5、有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系的网络通信链路分为两段。防火墙内外计算机系统间应用层的统间应用层的“链接链接”,由两个终止代理服务器上由两个终止代理服务器上的的“链接链接”来实现来实现,外部计算机的网络链路只能到外部计算机的网络链路只能到达代理服务器达代理服务器,从而起到了隔离防火墙内外从而起到了隔离防火墙内外网络安全培训中心第六页，本课件共有65页计算机系统的作用。此外计算机系统的作用。此外,代理服务也对过往的代理服务也对过往的数据包进行分析、注册登记数据包进行分析、注册登记,形成报告形成报告,同时当同时当发现被攻击迹象时会向网络管理员发出警报发现被攻击迹象时会向网络管

6、理员发出警报,并并保留攻击痕迹。保留攻击痕迹。防火墙代理客户代理访问控制服务器代理客户服务器请求转发应答请求转发应答代理服务防火墙应用数据控制及传输过程图网络安全培训中心第七页，本课件共有65页一、一般防火墙的极限性一、一般防火墙的极限性一、一般防火墙的极限性一、一般防火墙的极限性 我国几大知名网站先后被黑客攻破，充我国几大知名网站先后被黑客攻破，充分暴露了一般防火墙存在的极限性分暴露了一般防火墙存在的极限性-就是就是“治治标不治本标不治本”，对新型攻击和变种攻击无法防御，黑，对新型攻击和变种攻击无法防御，黑客只要改变攻击方式或拥有了新的工具，就有一批客只要改变攻击方式或拥有了新的工具，就有一

7、批网站要遭其黑手。网站要遭其黑手。蓝盾安全小组第八页，本课件共有65页二、新一代防御技术二、新一代防御技术二、新一代防御技术二、新一代防御技术-蓝盾智能防御蓝盾智能防御蓝盾智能防御蓝盾智能防御 蓝盾防火墙突破了传统的被动防御观念，从底蓝盾防火墙突破了传统的被动防御观念，从底层做起，自行研制开发出了一套全新的智能防御核层做起，自行研制开发出了一套全新的智能防御核心，它不仅能拦截目前的心，它不仅能拦截目前的40004000多种黑客攻击，对各多种黑客攻击，对各种新型攻击和种新型攻击和“变种攻击变种攻击”也能自动制定防御策也能自动制定防御策略进行有效防御，彻底解决了一般防火墙对新略进行有效防御，彻底解

8、决了一般防火墙对新型攻击无法防御的问题。型攻击无法防御的问题。同时蓝盾防火墙还具同时蓝盾防火墙还具备有反端口扫描功能和备有反端口扫描功能和168168位位的高加密技术（美的高加密技术（美国严禁出口）。国严禁出口）。蓝盾安全小组第九页，本课件共有65页蓝盾智能技术主要有以下几点蓝盾智能技术主要有以下几点蓝盾智能技术主要有以下几点蓝盾智能技术主要有以下几点 智能防御核心智能防御核心智能防御核心智能防御核心 自动反扫描自动反扫描自动反扫描自动反扫描 自动告警自动告警自动告警自动告警蓝盾安全小组第十页，本课件共有65页 1 1 1 1、智能防御核心、智能防御核心、智能防御核心、智能防御核心（图（图7

9、7）蓝蓝盾盾防防火火墙墙系系统统有有一一个个独独特特的的智智能能防防御御核核心心，能能自自动动统统计计、分分析析通通过过防防火火墙墙的的各各种种连连接接数数据据，探探测测出出攻攻击击者者，立立即即断断开开与与该该主主机机的的任任何何连连接接，保保护护内内网所有服务器和主机的安全。网所有服务器和主机的安全。智能分析智能分析安全探测器安全探测器防御策略制定防御策略制定网网 络络 核核 心心蓝盾安全小组第十一页，本课件共有65页 2 2 2 2、自动反扫描技术、自动反扫描技术、自动反扫描技术、自动反扫描技术扫描是扫描是“黑客攻击黑客攻击”的前奏，攻击前，的前奏，攻击前，“黑黑客客”一般会先扫描一下目

10、标主机打开的服务端口，一般会先扫描一下目标主机打开的服务端口，然后再进行针对性攻击。蓝盾防火墙在内核设然后再进行针对性攻击。蓝盾防火墙在内核设计中引入自动反扫描机制，当计中引入自动反扫描机制，当“黑客黑客”用扫描器扫用扫描器扫描防火墙或防火墙保护的服务器时，将扫不出描防火墙或防火墙保护的服务器时，将扫不出任何服务端口，使任何服务端口，使“黑客黑客”无从下手。无从下手。蓝盾安全小组第十二页，本课件共有65页（图8）蓝盾安全小组第十三页，本课件共有65页3 3、自动告警、自动告警、自动告警、自动告警当你的服务器遭到扫描、攻击时，防火当你的服务器遭到扫描、攻击时，防火墙系统会自动向你提示告警。墙系统

11、会自动向你提示告警。电子邮件、手机、电子邮件、手机、BpBp机机蓝盾安全小组第十四页，本课件共有65页 七、蓝盾系统构架七、蓝盾系统构架七、蓝盾系统构架七、蓝盾系统构架 软硬一体化设计软硬一体化设计 自行开发的操作平台自行开发的操作平台 美观、易用的美观、易用的 WEB WEB 管理界面管理界面蓝盾安全小组第十五页，本课件共有65页1 1 1 1、软硬一体化设计、软硬一体化设计、软硬一体化设计、软硬一体化设计 充分发挥硬件的性能，运行效率高；系统更充分发挥硬件的性能，运行效率高；系统更加可靠，安装方便。加可靠，安装方便。蓝盾安全小组第十六页，本课件共有65页2 2 2 2、自行开发的操作平台、

12、自行开发的操作平台、自行开发的操作平台、自行开发的操作平台 现在商业操作平台如现在商业操作平台如Win98Win98、NTNT、UNIXUNIX、LINUX LINUX存在着不少漏洞，不断被黑客在互联存在着不少漏洞，不断被黑客在互联 网上公开、传播，作为攻击的目标。网上公开、传播，作为攻击的目标。蓝盾从底层做起，自行开发出一套防火墙蓝盾从底层做起，自行开发出一套防火墙专用平台，对于与流量关系密切的模块进行优化专用平台，对于与流量关系密切的模块进行优化处理，做到了：处理，做到了：高安全性高安全性高稳定性高稳定性高效率高效率 蓝盾安全小组第十七页，本课件共有65页 3 3 3 3、美观、易用的、美

13、观、易用的、美观、易用的、美观、易用的WEBWEBWEBWEB界面界面界面界面 基于基于基于基于 WWW WWW WWW WWW 管理界面的系统设置，管理员可管理界面的系统设置，管理员可管理界面的系统设置，管理员可管理界面的系统设置，管理员可以通过由以通过由以通过由以通过由HTMLHTMLHTMLHTML、组成的图形界面对系统进行管、组成的图形界面对系统进行管、组成的图形界面对系统进行管、组成的图形界面对系统进行管理。把复杂繁多的系统功能设置变为直观易用理。把复杂繁多的系统功能设置变为直观易用理。把复杂繁多的系统功能设置变为直观易用理。把复杂繁多的系统功能设置变为直观易用的的的的 WWW WW

14、W WWW WWW 界面，提高了系统的可用性。界面，提高了系统的可用性。界面，提高了系统的可用性。界面，提高了系统的可用性。蓝盾安全小组第十八页，本课件共有65页 三、三、三、三、蓝盾防火墙系统功能特点蓝盾防火墙系统功能特点蓝盾防火墙系统功能特点蓝盾防火墙系统功能特点 (一一一一)、技术先进、技术先进、技术先进、技术先进 智能防御智能防御 端口反扫描端口反扫描 高保密度高保密度VPN(168bit)VPN(168bit)防外又防内的解决方案防外又防内的解决方案蓝盾安全小组第十九页，本课件共有65页 （二）、实用性强（二）、实用性强（二）、实用性强（二）、实用性强 分组代理计费功能分组代理计费功

15、能 URL URL过滤功能过滤功能 地址转换功能地址转换功能(NAT)(NAT)MAC MAC绑定功能绑定功能 物理断开功能物理断开功能 蓝盾安全小组第二十页，本课件共有65页 （一）、技术先进（一）、技术先进（一）、技术先进（一）、技术先进 智能防御智能防御 端口反扫描端口反扫描 高保密度高保密度VPN(168bit)VPN(168bit)虚拟专网技术是指在公共网络中建立专用网络，数据虚拟专网技术是指在公共网络中建立专用网络，数据通过安全的通过安全的“加密通道加密通道”在公共网络中传播。企业只需在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，那要租用本地的数据专线，连

16、接上本地的公众信息网，那么各地的机构就可以互相传递信息。这样使用么各地的机构就可以互相传递信息。这样使用VPNVPN可以可以节约成本、提供远程访问、扩展性强、便于管理和实节约成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处。现全面控制等好处。蓝盾的加密技术高达蓝盾的加密技术高达168 168 bitbit(3DES)(3DES)，该加密技术美国禁止出口。，该加密技术美国禁止出口。蓝盾安全小组第二十一页，本课件共有65页蓝盾安全小组第二十二页，本课件共有65页某集团公司VPN整体解决方案图 第二十三页，本课件共有65页 防外又防内的解决方案防外又防内的解决方案蓝盾安全小组第二十四页，本

17、课件共有65页（二）、实用性强（二）、实用性强（二）、实用性强（二）、实用性强 1 1 1 1 分组代理计费功能分组代理计费功能 网管员可以根据企业内部网的实际情况，网管员可以根据企业内部网的实际情况，将用户划分成不同的组，如将用户划分成不同的组，如“财务组财务组”、“市市场组场组”，再给组中的每一个用户一个独立的，再给组中的每一个用户一个独立的帐号（用户帐号（用户/密码）。防火墙对每一帐号的密码）。防火墙对每一帐号的上网情况都做了详细记录，并根据设定的上网情况都做了详细记录，并根据设定的单价表进行记费。单价表进行记费。蓝盾安全小组第二十五页，本课件共有65页蓝盾安全小组第二十六页，本课件共有

18、65页2 2 2 2、URL URL URL URL过滤功能过滤功能过滤功能过滤功能 对一些黄色站点、反动站点，通过对一些黄色站点、反动站点，通过对一些黄色站点、反动站点，通过对一些黄色站点、反动站点，通过URLURLURLURL过过过过滤功能，可进行访问限制，不给内网人员浏滤功能，可进行访问限制，不给内网人员浏滤功能，可进行访问限制，不给内网人员浏滤功能，可进行访问限制，不给内网人员浏览那些网站或特定页面。览那些网站或特定页面。览那些网站或特定页面。览那些网站或特定页面。（如（如（如（如WWW.SEX.COMWWW.SEX.COMWWW.SEX.COMWWW.SEX.COM）还可指定到具体某

19、种类型文件。还可指定到具体某种类型文件。还可指定到具体某种类型文件。还可指定到具体某种类型文件。蓝盾安全小组第二十七页，本课件共有65页 3 3 3 3、地址转换功能、地址转换功能、地址转换功能、地址转换功能 NATNAT功能不仅可以隐藏内部网络地址信息，功能不仅可以隐藏内部网络地址信息，功能不仅可以隐藏内部网络地址信息，功能不仅可以隐藏内部网络地址信息，使外界无法直接访问内部网络设备，同时，它还使外界无法直接访问内部网络设备，同时，它还使外界无法直接访问内部网络设备，同时，它还使外界无法直接访问内部网络设备，同时，它还帮助网络可以超越地址的限制，合理地安排网络帮助网络可以超越地址的限制，合理

20、地安排网络帮助网络可以超越地址的限制，合理地安排网络帮助网络可以超越地址的限制，合理地安排网络中的公有中的公有中的公有中的公有InternetInternet地址和私有地址和私有地址和私有地址和私有IPIP地址的使用。地址的使用。地址的使用。地址的使用。主要包括：主要包括：主要包括：主要包括：A:A:地址（端口）映射。出去地址（端口）映射。出去地址（端口）映射。出去地址（端口）映射。出去B:B:重定向。进来重定向。进来重定向。进来重定向。进来 蓝盾安全小组第二十八页，本课件共有65页蓝盾安全小组第二十九页，本课件共有65页蓝盾安全小组第三十页，本课件共有65页 4 4 4 4、MACMACMA

21、CMAC绑定功能绑定功能绑定功能绑定功能MACMAC绑定技术是将绑定技术是将IPIP地址和网卡的硬件地地址和网卡的硬件地址绑定起来，目的是为了防止址绑定起来，目的是为了防止IPIP欺骗、地址伪装，欺骗、地址伪装，主要用于绑定一些重要的系统管理员主要用于绑定一些重要的系统管理员IPIP和特权和特权IPIP。比如：比如：IPMACIPMAC10.10.10.2AC:10:5A:63:7C:3F10.10.10.2AC:10:5A:63:7C:3F 蓝盾安全小组第三十一页，本课件共有65页 5 5 5 5、物理断开功能、物理断开功能、物理断开功能、物理断开功能 本系统的三个网络硬件接口中，都内置一个

22、本系统的三个网络硬件接口中，都内置一个本系统的三个网络硬件接口中，都内置一个本系统的三个网络硬件接口中，都内置一个物理开关模块，通过设置，可断开任一网络接物理开关模块，通过设置，可断开任一网络接物理开关模块，通过设置，可断开任一网络接物理开关模块，通过设置，可断开任一网络接口的联接，即时中止该网络接口的任何通信，口的联接，即时中止该网络接口的任何通信，口的联接，即时中止该网络接口的任何通信，口的联接，即时中止该网络接口的任何通信，这样，在某些特殊环境下，可进一步提高系统这样，在某些特殊环境下，可进一步提高系统这样，在某些特殊环境下，可进一步提高系统这样，在某些特殊环境下，可进一步提高系统的安全

23、性。的安全性。的安全性。的安全性。蓝盾安全小组第三十二页，本课件共有65页四、蓝盾防火墙典型方案：四、蓝盾防火墙典型方案：四、蓝盾防火墙典型方案：四、蓝盾防火墙典型方案：方案一：方案一：方案一：方案一：内内网网10.10.0.1-25510.10.0.1-255（掩（掩码为码为255.255.255.0255.255.255.0）通通过蓝过蓝盾防火盾防火墙墙透明代理上互透明代理上互联联网。防火网。防火墙墙地地址址（内网内网10.10.0.110.10.0.1别别名名10.10.0.210.10.0.2，DMZDMZ区区168.96.0.1168.96.0.1（掩（掩码为码为255.255.25

24、5.0255.255.255.0），第三十三页，本课件共有65页外网外网202.104.1.1202.104.1.1（WWWWWW）别别名名202.104.1.2(202.104.1.2(DNSDNS)别别名名202.104.1.3(EMAIL)202.104.1.3(EMAIL)（掩（掩码码均均为为255.255.255.248255.255.255.248），），DMZDMZ区（掩区（掩码码均均为为255.255.255.0255.255.255.0），），WWWWWW与与FTPFTP服服务务器器IPIP地址地址为为168.96.0.8168.96.0.8，EMAILEMAIL服服务务器器

25、IPIP地址地址为为168.96.0.9168.96.0.9，DNSDNS服服务务器器IPIP地址地址为为168.96.0.10168.96.0.10。外部路由器外部路由器IPIP地址为地址为202.104.1.5202.104.1.5（掩码为（掩码为255.255.255.248255.255.255.248）。）。第三十四页，本课件共有65页互联网外部路由器蓝盾防火墙内网主机群 www FTP DNS EMALL 168.96.0.8 168.96.0.9 168.96.0.10202.104.1.1202.104.1.2202.104.1.3 10.10.0.1202.104.1.4 1

26、0.10.0.2DNS 10.10.0.510.10.10.X第三十五页，本课件共有65页在内网所有要上互联网的主机的网关设置在内网所有要上互联网的主机的网关设置为蓝盾防火墙内网地址为蓝盾防火墙内网地址10.10.0.110.10.0.1。在内网在内网DNSDNS的辅助的辅助DNSDNS服务器设置为服务器设置为10.10.0.210.10.0.2。蓝蓝盾防火盾防火墙墙中的中的设设置：置：系统设置中设置域名服务器为系统设置中设置域名服务器为ISPISP提供的提供的DNSDNS服务器服务器IPIP地址。地址。安全规则中安全规则中NATNAT规则设置：规则设置：（外网部分访问（外网部分访问DMZDM

27、Z区）区）第三十六页，本课件共有65页重定向重定向重定向重定向 绑定网络设备三绑定网络设备三绑定网络设备三绑定网络设备三 目标地址目标地址目标地址目标地址202.104.1.1202.104.1.1端端端端口口口口8080重定向到重定向到重定向到重定向到168.96.0.8168.96.0.8端口端口端口端口8080协议协议协议协议TCPTCP重定向重定向重定向重定向 绑定网络设备三绑定网络设备三绑定网络设备三绑定网络设备三 目标地址目标地址目标地址目标地址202.104.1.1202.104.1.1端口端口端口端口2121重定向到重定向到重定向到重定向到168.96.0.8168.96.0.

28、8端口端口端口端口2121协议协议协议协议TCPTCP映射映射映射映射 绑定网络设备三绑定网络设备三绑定网络设备三绑定网络设备三 来源来源来源来源 主机主机主机主机168.96.0.8168.96.0.8映射到映射到映射到映射到 主机主机主机主机202.104.1.1202.104.1.1协议协议协议协议TCP/UDPTCP/UDP重定向重定向重定向重定向 绑定网络设备三绑定网络设备三绑定网络设备三绑定网络设备三 目标地址目标地址目标地址目标地址202.104.1.2202.104.1.2端端端端口口口口5353重定向到重定向到重定向到重定向到168.96.0.9168.96.0.9端口端口端

29、口端口5353协议协议协议协议TCP/UDPTCP/UDP第三十七页，本课件共有65页重定向重定向重定向重定向 绑定网络设备三绑定网络设备三绑定网络设备三绑定网络设备三 目标地址目标地址目标地址目标地址202.104.1.3202.104.1.3端口端口端口端口 2525重定向到重定向到重定向到重定向到168.96.0.10168.96.0.10端口端口端口端口2525协议协议协议协议TCPTCP；重定向重定向重定向重定向 绑定网络设备三绑定网络设备三绑定网络设备三绑定网络设备三 目标地址目标地址目标地址目标地址202.104.1.3202.104.1.3端口端口端口端口 110110重定向到

30、重定向到重定向到重定向到168.96.0.10168.96.0.10端口端口端口端口110110协议协议协议协议TCPTCP；（内网部分访问（内网部分访问（内网部分访问（内网部分访问DMZDMZ区）区）区）区）重定向重定向重定向重定向 绑定网络设备一绑定网络设备一绑定网络设备一绑定网络设备一 目标地址目标地址目标地址目标地址10.10.0.210.10.0.2端端端端口口口口8080重定向到重定向到重定向到重定向到168.96.0.8168.96.0.8端口端口端口端口8080协议协议协议协议TCPTCP；重定向重定向重定向重定向 绑绑绑绑定网定网定网定网络设备络设备络设备络设备一一一一 目目

31、目目标标标标地址地址地址地址 10.10.0.2 10.10.0.2 10.10.0.2 10.10.0.2 端口端口端口端口 21 21 21 21 重定向到重定向到重定向到重定向到 168.96.0.8 168.96.0.8 168.96.0.8 168.96.0.8 端口端口端口端口 21 21 21 21 协议协议协议协议 TCP TCP TCP TCP ；第三十八页，本课件共有65页映射映射映射映射 绑定网络设备一绑定网络设备一绑定网络设备一绑定网络设备一 来源来源来源来源 主机主机主机主机168.96.0.8168.96.0.8映射到映射到映射到映射到 主机主机主机主机10.10.

32、0.210.10.0.2协议协议协议协议TCP/UDPTCP/UDP重定向重定向重定向重定向 绑定网络设备一绑定网络设备一绑定网络设备一绑定网络设备一 目标地址目标地址目标地址目标地址10.10.0.210.10.0.2端口端口端口端口5353重定向到重定向到重定向到重定向到168.96.0.9168.96.0.9端口端口端口端口5353协议协议协议协议TCP/UDPTCP/UDP重定向重定向重定向重定向 绑定网络设备一绑定网络设备一绑定网络设备一绑定网络设备一 目标地址目标地址目标地址目标地址10.10.0.210.10.0.2端口端口端口端口 2525重定向到重定向到重定向到重定向到168

33、.96.0.10168.96.0.10端口端口端口端口2525协议协议协议协议TCPTCP重定向重定向重定向重定向 绑定网络设备一绑定网络设备一绑定网络设备一绑定网络设备一 目标地址目标地址目标地址目标地址10.10.0.210.10.0.2端口端口端口端口 110110重定向到重定向到重定向到重定向到168.96.0.10168.96.0.10端口端口端口端口110110协议协议协议协议TCPTCP（内网部分访问外网）（内网部分访问外网）（内网部分访问外网）（内网部分访问外网）第三十九页，本课件共有65页 重定向重定向 绑定网络设备一绑定网络设备一 目标地址目标地址0.0.0.00.0.0.

34、0端端口口8080重定向到重定向到127.0.0.1127.0.0.1端口端口8080协议协议TCPTCP映射映射 绑定网络设备三绑定网络设备三 来源来源 网络网络10.10.0.110.10.0.1子网子网掩码掩码255.255.255.0255.255.255.0映射到映射到 主机主机202.104.1.4202.104.1.4协议协议 TCP/UDPTCP/UDP端口映射端口映射5000-650005000-65000 第四十页，本课件共有65页方案二：方案二：内网内网10.10.0.1-25510.10.0.1-255（掩掩码为码为255.255.255.0255.255.255.0）

35、通通过过了内网中的代理服了内网中的代理服务务器器10.10.0.810.10.0.8代代理上网（内网理上网（内网DNSDNS为为10.10.0.5)10.10.0.5)，最后通，最后通过蓝过蓝盾防火盾防火墙墙出互出互联联网。防火网。防火墙墙地址（内网地址（内网10.10.0.110.10.0.1别别名名10.10.0.210.10.0.2，DMZDMZ区区168.96.0.1168.96.0.1（掩（掩码为码为255.255.255.0255.255.255.0），外网），外网202.104.1.1202.104.1.1（WWWWWW）别别名名202.104.1.2(DNS)202.104.1

36、.2(DNS)别别名名202.104.1.3(EMAIL)202.104.1.4(202.104.1.3(EMAIL)202.104.1.4(代理上网）代理上网）第四十一页，本课件共有65页互联网外部路由器蓝盾防火墙202.104.1.1202.104.1.2202.104.1.3 10.10.0.1202.104.1.4 10.10.0.2DNS 10.10.0.5 www FTP DNS EMALL 168.96.0.8 168.96.0.9 168.96.0.10代理服务器内部主机群168.96.0.1第四十二页，本课件共有65页在代理服务器上的网关设置为蓝盾防火墙在代理服务器上的网关设

37、置为蓝盾防火墙内网地址内网地址10.10.0.110.10.0.1，内网中上互联网的主机，内网中上互联网的主机的设置具体与代理服务器相应。的设置具体与代理服务器相应。在内网在内网DNSDNS的辅助的辅助DNSDNS服务器设置为服务器设置为10.10.0.210.10.0.2。蓝盾防火墙中的设置：蓝盾防火墙中的设置：系统设置中设置域名服务器为系统设置中设置域名服务器为ISPISP提供的提供的DNSDNS服务器服务器IPIP地址。地址。第四十三页，本课件共有65页重定向重定向重定向重定向 绑定网络设备三绑定网络设备三绑定网络设备三绑定网络设备三 目标地址目标地址目标地址目标地址202.104.1.

38、1202.104.1.1端端端端口口口口8080重定向到重定向到重定向到重定向到168.96.0.8168.96.0.8端口端口端口端口8080协议协议协议协议TCPTCP重定向重定向重定向重定向 绑定网络设备三绑定网络设备三绑定网络设备三绑定网络设备三 目标地址目标地址目标地址目标地址202.104.1.1202.104.1.1端口端口端口端口 2121重定向到重定向到重定向到重定向到168.96.0.8168.96.0.8端口端口端口端口2121协议协议协议协议TCPTCP映射映射映射映射 绑定网络设备三绑定网络设备三绑定网络设备三绑定网络设备三 来源来源来源来源 主机主机主机主机168.

39、96.0.8168.96.0.8映射到映射到映射到映射到 主机主机主机主机202.104.1.1202.104.1.1协议协议协议协议TCP/UDPTCP/UDP重定向重定向重定向重定向 绑定网络设备三绑定网络设备三绑定网络设备三绑定网络设备三 目标地址目标地址目标地址目标地址202.104.1.2202.104.1.2端端端端安全规则中安全规则中NATNAT规则设置：规则设置：（外网部分访问（外网部分访问DMZDMZ区）区）第四十四页，本课件共有65页口口口口5353重定向到重定向到重定向到重定向到168.96.0.9168.96.0.9端口端口端口端口5353协议协议协议协议TCP/UDP

40、TCP/UDP重定向重定向重定向重定向 绑定网络设备三绑定网络设备三绑定网络设备三绑定网络设备三 目标地址目标地址目标地址目标地址202.104.1.3202.104.1.3端口端口端口端口 2525重定向到重定向到重定向到重定向到168.96.0.10168.96.0.10端口端口端口端口2525协议协议协议协议TCPTCP重定向重定向重定向重定向 绑定网络设备三绑定网络设备三绑定网络设备三绑定网络设备三 目标地址目标地址目标地址目标地址202.104.1.3202.104.1.3端端端端口口口口110110重定向到重定向到重定向到重定向到168.96.0.10168.96.0.10端口端口

41、端口端口110110协议协议协议协议TCPTCP（内网部分访问（内网部分访问（内网部分访问（内网部分访问DMZDMZ区）区）区）区）重定向重定向重定向重定向 绑定网络设备一绑定网络设备一绑定网络设备一绑定网络设备一 目标地址目标地址目标地址目标地址10.10.0.210.10.0.2端口端口端口端口 8080重定向到重定向到重定向到重定向到168.96.0.8168.96.0.8端口端口端口端口8080协议协议协议协议TCPTCP重定向重定向重定向重定向 绑定网络设备一绑定网络设备一绑定网络设备一绑定网络设备一 目标地址目标地址目标地址目标地址10.10.0.210.10.0.2端端端端口口口

42、口2121重定向到重定向到重定向到重定向到168.96.0.8168.96.0.8端口端口端口端口2121协议协议协议协议TCPTCP第四十五页，本课件共有65页映射映射映射映射 绑定网络设备一绑定网络设备一绑定网络设备一绑定网络设备一 来源来源来源来源 主机主机主机主机168.96.0.8168.96.0.8映射到映射到映射到映射到 主机主机主机主机 10.10.0.210.10.0.2协议协议协议协议 TCP/UDPTCP/UDP重定向重定向重定向重定向 绑定网络设备一绑定网络设备一绑定网络设备一绑定网络设备一 目标地址目标地址目标地址目标地址10.10.0.210.10.0.2端口端口端

43、口端口5353重重重重定向到定向到定向到定向到168.96.0.9168.96.0.9端口端口端口端口5353协议协议协议协议TCP/UDPTCP/UDP重定向重定向重定向重定向 绑定网络设备一绑定网络设备一绑定网络设备一绑定网络设备一 目标地址目标地址目标地址目标地址10.10.0.210.10.0.2端口端口端口端口2525重重重重定向到定向到定向到定向到168.96.0.10168.96.0.10端口端口端口端口2525协议协议协议协议TCPTCP重定向重定向重定向重定向 绑定网络设备一绑定网络设备一绑定网络设备一绑定网络设备一 目标地址目标地址目标地址目标地址10.10.0.210.1

44、0.0.2端口端口端口端口110110重定向到重定向到重定向到重定向到168.96.0.10168.96.0.10端口端口端口端口110110协议协议协议协议TCPTCP（使内网中的代理服务器提供出口部分）（使内网中的代理服务器提供出口部分）（使内网中的代理服务器提供出口部分）（使内网中的代理服务器提供出口部分）映射映射映射映射 绑定网络设备三绑定网络设备三绑定网络设备三绑定网络设备三 来源来源来源来源 主机主机主机主机10.10.0.810.10.0.8映射到映射到映射到映射到 主机主机主机主机 202.104.1.4202.104.1.4协议协议协议协议TCP/UDPTCP/UDP 第四十

45、六页，本课件共有65页方案三：方案三：方案三：方案三：内网内网10.10.0.1-25510.10.0.1-255（掩（掩码为码为255.255.255.0255.255.255.0）HTTPHTTP使用使用蓝蓝盾防火盾防火墙墙透明代理上网，其它透明代理上网，其它协议协议通通过过了内网中的代理服了内网中的代理服务务器器10.10.0.810.10.0.8代理上网代理上网（内网（内网DNSDNS为为10.10.0.5)10.10.0.5)，最后通，最后通过蓝过蓝盾防火盾防火墙墙出互出互联联网。防火网。防火墙墙地址（内网地址（内网10.10.0.110.10.0.1别别名名10.10.0.210.

46、10.0.2，DMZDMZ区区168.96.0.1168.96.0.1 （掩（掩码为码为255.255.255.0255.255.255.0），外网），外网202.104.1.1202.104.1.1（WWWWWW）别别名名202.104.1.2(DNS)202.104.1.2(DNS)别别名名202.104.1.3 202.104.1.3(EMAIL)202.104.1.4(EMAIL)202.104.1.4 第四十七页，本课件共有65页(代理上网）（掩码均为代理上网）（掩码均为255.255.255.248255.255.255.248），），DMZDMZ区（掩码均为区（掩码均为255.2

47、55.255.0255.255.255.0），），WWWWWW与与FTPFTP服务器服务器IPIP地址为地址为168.96.0.8168.96.0.8，EMAILEMAIL服务服务器器IPIP地址为地址为168.96.0.9168.96.0.9，DNSDNS服务器服务器IPIP地址为地址为168.96.0.10168.96.0.10。外部路由器。外部路由器IPIP地址为地址为202.104.1.5202.104.1.5（掩码为（掩码为255.255.255.248255.255.255.248）。）。第四十八页，本课件共有65页互联网外部路由器蓝盾防火墙202.104.1.1202.104.1

48、.2202.104.1.3 10.10.0.1202.104.1.4 10.10.0.2DNS 10.10.0.5 www FTP DNS EMALL 168.96.0.8 168.96.0.9 168.96.0.10代理服务器内部主机群10.10.0.8168.96.0.110.10.10.X第四十九页，本课件共有65页在代理服务器上的网关设置为蓝盾防火墙在代理服务器上的网关设置为蓝盾防火墙内网地址内网地址10.10.0.110.10.0.1，内网中上互联网的主机，内网中上互联网的主机的设置具体与代理服务器相应。的设置具体与代理服务器相应。在内网在内网DNSDNS的辅助的辅助DNSDNS服务

49、器设置为服务器设置为10.10.0.210.10.0.2。蓝盾防火墙中的设置：蓝盾防火墙中的设置：蓝盾防火墙中的设置：蓝盾防火墙中的设置：系统设置中设置域名服务器为系统设置中设置域名服务器为ISPISP提供的提供的DNSDNS服务器服务器IPIP地址。地址。第五十页，本课件共有65页安全规则中安全规则中NATNAT规则设置：规则设置：（外网部分访问（外网部分访问DMZDMZ区）区）重定向重定向重定向重定向 绑定网络设备三绑定网络设备三绑定网络设备三绑定网络设备三 目标地址目标地址目标地址目标地址 202.104.1.1202.104.1.1端口端口端口端口8080重定向到重定向到重定向到重定向

50、到168.96.0.8168.96.0.8端口端口端口端口8080协议协议协议协议TCPTCP重定向重定向重定向重定向 绑定网络设备三绑定网络设备三绑定网络设备三绑定网络设备三 目标地址目标地址目标地址目标地址 202.104.1.1202.104.1.1端口端口端口端口2121重定向到重定向到重定向到重定向到168.96.0.8168.96.0.8端口端口端口端口2121协议协议协议协议TCPTCP映射映射映射映射 绑定网络设备三绑定网络设备三绑定网络设备三绑定网络设备三 来源来源来源来源 主机主机主机主机168.96.0.8168.96.0.8映射映射映射映射到到到到 主机主机主机主机20