《中职 网络安全技术应用单元5电子教案.pptx》由会员分享,可在线阅读,更多相关《中职 网络安全技术应用单元5电子教案.pptx(93页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、中职 网络安全技术应用单元5电子教案 高教版单元5网络边界安全与入侵检测单元学习目标 知识目标1了解防火墙的作用及发展历史2了解防火墙的分类及区别3了解个人软件防火墙的工作原理4了解硬件防火墙的工作原理5掌握硬件防火墙的部署位置及区域划分6掌握防火墙的工作模式7掌握防火墙中源NAT和目的NAT的工作原理及配置方法8了解防火墙流量控制的原理9掌握防火墙流量控制配置的方法10掌握防火墙应用层控制的配置方法11了解入侵检测系统的工作原理12掌握入侵检测系统的安装和部署单元学习目标能力目标1具备安装软件防火墙的能力2具备选购硬件防火墙的能力3具备根据网络实际情况部署硬件防火墙的能力4具备防火墙的路由模
2、式配置的能力5具备防火墙源NAT和目的NAT配置的能力6具备入侵检测系统安装和调试的能力情感态度价值观1培养认真细致的工作态度2逐步形成网络安全的主动防御意识单元学习内容当今,计算机网络系统面临着很多来自外部的威胁,对于这种威胁最好的方法就是对来自外部的访问请求进行严格的限制。在信息安全防御技术中,能够拒敌于系统之外的铜墙铁壁就是防火墙,它是保证系统安全的第一道防线。在网络中,为了保证个人计算机系统的安全,需要在每台计算机中配置个人防火墙。为了整个局域网的访问和控制的安全,需要在外网和内网之间安装硬件防火墙。为了实时监控网络的安全状况,发现并记录网络的入侵行为,要在网络中安装部署入侵检测系统。
3、任务1 配置和应用个人防火墙【任务描述】网管小齐家里的计算机最近总受到黑客和木马的攻击,让他痛苦不堪,他准备安装一个个人版防火墙。【任务分析】个人版防火墙是防止计算机中的信息被外部侵袭的一项技术,它能在系统中监控、阻止任何未授权允许的数据进入或发送到互联网及其他网络系统。个人版防火墙能帮助用户对系统进行监控及管理。任务1 配置和应用个人防火墙【任务实战】步骤1 安装天网防火墙个人版。天网的安装非常简单,只需要按照安装向导进行安装即可,但是有两点需要注意。(1)在天网防火墙设置向导的安全级别设置中,可以选择使用由天网防火墙预先配置好的3个安全方案:低、中、高。一般情况下,使用方案“中”就可以满足
4、需要了。(2)选择完全级别后,单击“下一步”按钮直到向导设置完成。步骤2 配置安全策略。对于天网防火墙的使用,可以不修改默认配置而直接使用,但是有时也根据需要进行配置。天网防火墙的管理界面如图所示。在管理界面,可以设置应用程序规则、IP规则、系统设置,也可以查看当前应用程序网络使用情况、日志,还可以做在线升级。任务1 配置和应用个人防火墙(1)系统设置。在防火墙的控制面板中单击“系统设置”按钮即可展开防火墙系统设置界面。在系统设置界面中,包括基本设置、管理权限设置、在线升级设置、日志管理和入侵检测设置等。在基本设置页面中,首先,选中“开机后自动启动防火墙”复选框,让防火墙开机自动运行,以保证系
5、统始终处于监视状态。其次,单击“刷新”按钮或输入局域网地址,使配置的局域网地址确保是本机地址。任务1 配置和应用个人防火墙 在管理权限设置中,设置管理员密码,以保护天网防火墙本身,并且不选中,以防止除管理员外其他人随意添加应用程序访问网络权限。在在线升级设置中,选中“有新的升级包就提示”复选框,以保证能够即时升级到最新的天网防火墙版本。在入侵检测设置中,选中“启动入侵检测功能”复选框,用来检测并阻止非法入侵和破坏。设置完成后,单击“确定”按钮,保存并退出系统设置,返回到管理主界面。任务1 配置和应用个人防火墙(2)应用程序规则。天网防火墙可以对应用程序数据传输封包进行底层分析拦截。通过天网防火
6、墙可以控制应用程序发送和接收数据传输包的类型、通信端口,并且决定拦截还是通过。基于应用程序规则,可以随意控制应用程序访问网络的权限,例如,允许一般应用程序正常访问网络,而禁止网络游戏、BT下载工具、QQ即时聊天工具等访问网络。在天网防火墙运行的情况下,任何应用程序只要有通信传输数据包发送和接收动作,都会被天网防火墙先截获分析,并弹出窗口,询问是“允许”还是“禁止”,让用户可以根据需要来决定是否允许应用程序访问网络。在安装完天网防火墙后第一次启动时,被天网防火墙拦截并询问是否允许Microsoft Baseline Security Analyzer(微软安全基线分析器)访问网络。任务1 配置和
7、应用个人防火墙如果执行“允许”,Microsoft Baseline Security Analyzer(微软安全基线分析器)将可以访问网络,但必须提供管理员密码,否则禁止该应用程序访问网络。在执行“允许”或“禁止”操作时,如果不选中“该程序以后都按照这次的操作运行”复选框,天网防火墙个人版在以后会继续截获该应用程序的传输数据包,并且弹出警告窗口;如果选中该复选框,该应用程序将自动加入到“应用程序访问网络权限设置”列表中。管理员也可以通过“应用程序规则”来管理更为详尽的数据传输封包过滤方式。任务1 配置和应用个人防火墙对于每一个请求访问网络的应用程序来说,都可以设置非常具体的网络访问细则。Mi
8、crosoft Baseline Security Analyzer在被允许访问网络后,在该列表中显示“”,即为“允许访问网络”。单击Microsoft Baseline Security Analyzer应用程序的“选项”按钮,可以对Microsoft Baseline Security Analyzer访问网络进行更为详细的设置。在如图所示的应用程序规则高级设置中,管理员可以设置更为详细的包括协议、端口等访问网络参数。任务1 配置和应用个人防火墙 对于一些即时通信工具、游戏软件、BT下载工具等,管理员可以通过工具栏进行增加规则,或者检查失效的路径、导入规则、导出规则、清空所有规则等操作。下
9、面,我们对QQ工具设置禁止访问网络。在天网防火墙应用程序规则管理窗口,单击工具栏“增加规则”按钮,在如图5-7所示的窗口中,设置QQ禁止访问网络。通过“浏览”按钮选择QQ应用程序,并选中“禁止操作”单击按钮,然后单击“确定”按钮即可。其他应用程序和工具软件禁止网络访问的管理操作类似,在此不再赘述。任务1 配置和应用个人防火墙(3)IP规则管理。IP规则是针对整个系统的网络层数据包监控而设置的。利用自定义IP规则,管理员可针对具体的网络状态,设置自己的IP安全规则,使防御手段更周到、更实用。单击“IP规则管理”工具栏按钮或者在“安全级别”中单击“自定义”安全级别进入IP规则设置界面。天网防火墙在
10、安装完成后已经默认设置了相当好的默认规则,一般不需要做IP规则修改,就可以直接使用。对于默认规则各项的具体意义,这里只介绍其中比较重要的几项。任务1 配置和应用个人防火墙 防御ICMP攻击:选择时,即别人无法用ping的方法来确定用户主机的存在。但不影响用户去ping别人。因为ICMP协议现在也被用来作为蓝屏攻击的一种方法,而且该协议对于普通用户来说,是很少使用到的。防御IGMP攻击:IGMP是用于组播的一种协议,对于Windows的用户是没有什么用途的,但现在也被用来作为蓝屏攻击的一种方法,建议选择此设置,不会对用户造成影响。TCP数据包监视:通过这条规则,可以监视机器与外部之间的所有TCP
11、连接请求。注意,这只是一个监视规则,开启后会产生大量的日志,该规则是给熟悉TCPIP协议网络的人使用的,如果不熟悉网络,请不要开启。这条规则一定要是TCP协议规则的第一条。任务1 配置和应用个人防火墙 禁止互联网上的机器使用“我的共享资源”:开启该规则后,别人就不能访问该计算机的共享资源,包括获取该计算机的机器名称。禁止所有人连接低端端口:防止所有的机器和自己的低端端口连接。由于低端端口是TCP/IP协议的各种标准端口,几乎所有的Internet服务都是在这些端口上工作的,所以这是一条非常严厉的规则,有可能会影响使用某些软件。如果需要向外面公开特定的端口,需要在本规则之前添加使该特定端口数据包
12、可通行的规则。允许已经授权程序打开的端口:某些程序,如ICQ、视频电话等软件,都会开放一些端口,这样,同伴才可以连接到用户的机器上。本规则用来保证这些软件可以正常工作。任务1 配置和应用个人防火墙(4)网络访问监控。使用天网防火墙,用户不但可以控制应用程序访问权限,还可以监视该应用程序访问网络所使用的数据传输通信协议、端口等。通过使用“当前系统中所有应用程序的网络使用状况”功能,用户能够监视到所有开放端口连接的应用程序及它们使用的数据传输通信协议,任何不明程序的数据传输通信协议端口,如特洛伊木马等,都可以在应用程序网络状态下一览无遗。到此为止,天网防火墙已经安装完成并能够发挥作用,保护个人计算
13、机的安全,免受外来攻击和内部信息的泄露。任务1 配置和应用个人防火墙【任务拓展】一、理论题1个人防火墙的功能有哪些?2何时使用个人防火墙?3如何选择合适的个人防火墙?二、实训安装并配置个人防火墙。任务2 配置和应用硬件防火墙活动1 认识硬件防火墙【任务描述】公司购买的神州数码DCFW-1800E-V2防火墙已经到货,现在需要网管员小齐去安装调试设备。【任务分析】小齐决定先看看产品手册和用户手册,熟悉一下防火墙各个接口和指示灯的作用。【任务准备】DCFW-1800E-V2防火墙一台、Console线一条、网络线两条、PC一台。任务2 配置和应用硬件防火墙活动1 认识硬件防火墙【任务实战】本书使用
14、DCFW-1800E-V2防火墙,如图5-10和图5-11所示。软件版本为DCFOS-2.0R4,如实训室环境与此不同,请参照相关版本用户手册进行操作。步骤1 认识防火墙各接口,理解防火墙各接口的作用。清空按键可以清空系统的配置,恢复出厂设置。控制台接口类似于交换机的Console口,千兆以太网接口用来连接内外网,千兆以太网口的编号从左向右依次为Ethernet0/0Etherneth0/7。防火墙的后面板有两个电源接口,这是双冗余电源的设计,提高了设备的安全性。任务2 配置和应用硬件防火墙活动1 认识硬件防火墙步骤2 使用控制电缆将防火墙与PC的串行接口连接。步骤3 在PC上启动超级终端建立
15、与防火墙的连接,具体参数设置如下:任务2 配置和应用硬件防火墙活动1 认识硬件防火墙步骤4 登录防火墙并熟悉各配置模式。给DCFW-1800系列防火墙上电。防火墙会进行自检,并且自动进行系统初始化配置。如果系统启动成功,会出现登录提示“login:”。在登录提示后输入默认管理员名“admin”并按Enter键,界面出现密码提示“password”,输入默认密码“admin”并按Enter键,屏幕显示“DCFW-1800#”。在执行模式下,输入configure 命令,可进入全局配置模式。提示符如下:DCFW-1800(config)#防火墙的不同模块功能需要在其对应的命令行子模块模式下进行配置
16、。在全局配置模式输入特定的命令可以进入相应的子模块配置模式。例如,运行interface Ethernet0/0 命令进入Ethernet0/0 接口配置模式,此时的提示符变更为“DCFW-1800(config-if-eth0/0)#”。任务2 配置和应用硬件防火墙活动1 认识硬件防火墙【任务拓展】一、理论题1什么是防火墙?2防火墙的作用是什么?二、实训1防火墙的初始状态配置信息如何?2怎样通过命令行查看初始配置信息?任务2 配置和应用硬件防火墙活动2 搭建防火墙的管理环境【任务描述】小齐已经认识了防火墙各个接口的作用及用Console口登录防火墙了,那么如何对防火墙进行管理呢,毕竟如果在其
17、他办公区就没有办法用Console线进行配置了。【任务分析】虽然小齐已经有了配置和管理交换机和路由器的经验,但是对防火墙的管理环境搭建还是丝毫不敢大意,毕竟这个是非常重要的安全设备。【任务准备】任务2 配置和应用硬件防火墙活动2 搭建防火墙的管理环境【任务实战】方法1 搭建Telnet的管理环境。对于网络设备的Telnet的管理,因为我们接触过交换机已经不陌生了,它方便了管理员可以在网络内部任意位置对网络设备进行命令行的配置。防火墙可以搭建这样的配置环境。步骤1 输入用户名和密码登录防火墙。步骤2 运行manage telnet 命令开启被连接接口的Telnet管理功能:DCFW-1800#c
18、onfigDCFW-1800(config)#interface Ethernet 0/0DCFW-1800(config-if-eth0/0)#manage telnet任务2 配置和应用硬件防火墙活动2 搭建防火墙的管理环境步骤3 配置PC的IP地址为192.168.1.*,从PC尝试与防火墙的Telnet连接,本任务管理主机配置的IP地址为192.169.1.2。步骤4 在管理主机运行telnet命令登录。选择“开始”“运行”,输入CMD进入Dos窗口,输入telnet命令进行远程登录。任务2 配置和应用硬件防火墙活动2 搭建防火墙的管理环境方法2 搭建WebUI管理环境。防火墙是十分重
19、要的安全设备,因此提供了命令行和图形界面两种配置方式,一般推荐使用图形界面,图形界面直观清晰,不容易配置出错。初次使用防火墙时,用户可以通过该Ethernet0/0接口访问防火墙的WebUI页面,登录方法如下:步骤1 配置PC的IP地址为192.168.1.*(不能是192.168.1.1)。步骤2 在浏览器地址栏输入https:/192.168.1.1并按Enter键,系统WebUI的登录界面如图所示。任务2 配置和应用硬件防火墙活动2 搭建防火墙的管理环境登录后的主界面如图。最初研发由网景公司进行,提供了身份验证与加密通信方法,现在它被广泛用于万维网上安全敏感的通信,如交易支付方面和安全设
20、备的配置等。任务2 配置和应用硬件防火墙活动2 搭建防火墙的管理环境【任务拓展】一、理论题神州数码1800系列防火墙的Ethernet0/0接口的作用是什么?二、实训如果需要在某公司的内部办公环境对防火墙设备进行管理,这种情况下不可能是用Console直接连接,可以使用什么方式进行管理?任务2 配置和应用硬件防火墙活动3 企业内网安全接入互联网【任务描述】齐威公司由于业务规模的不断扩大和对安全要求越来越高,已经购买了神州数码防火墙且和网络运行商联系购买了一个固定的IP地址222.1.1.2/24,现在公司要求小齐配置防火墙使内网用户能访问外网,并且保证公司内部网络的安全。【任务分析】为了完成这
21、个任务需使防火墙工作在路由模式,并且正确配置内外网口的地址、配置NAT来保证所有用户都可以通过一个公网IP上网,最后还要配置安全策略。【任务准备】任务2 配置和应用硬件防火墙活动3 企业内网安全接入互联网【任务实战】步骤1 搭建网络环境。按照网络拓扑结构图搭建任务实施环境。步骤2 配置接口。(1)首先通过防火墙默认Eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置,通过WebUI登录防火墙界面,输入默认用户名admin、密码admin后单击“登录”按钮,配置外网接口地址。任务2 配置和应用硬件防火墙活动3 企业内网安全接入互联网(2)配置外网口Ethernet0/1地址,选择
22、右侧菜单“网络”“接口”,对Ethernet0/1接口进行如下配置。安全域类型选择“第三层安全域”,安全域选择“untrust”,选择“静态IP”,配置IP地址为222.1.1.2/24。(3)配置内网口Ethernet0/0地址,内网口地址使用默认地址192.168.1.1,所以内网口不用做任何的配置。任务2 配置和应用硬件防火墙活动3 企业内网安全接入互联网步骤3 添加路由。添加到外网的默认路由,在目的路由中新建路由条目添加“下一跳”地址,网关输入222.1.1.1。步骤4 添加源NAT策略。选择“网络”“NAT”“源NAT”“新建”,添加源NAT策略,源地址设置选择“Any”,出接口设置
23、选择连接外网的“Ethernet0/1”,行为设置选择“NAT(出接口IP)”。任务2 配置和应用硬件防火墙活动3 企业内网安全接入互联网步骤5 添加安全策略。在安全/策略设置中,选择好源安全域和目的安全域后,新建策略,源地址选择“Any”,目的地址选择“Any”,行为选择“允许”。任务2 配置和应用硬件防火墙活动3 企业内网安全接入互联网步骤6 任务测试。至此,任务已经配置完成。需要进行项目的测试。内网任意主机到防火墙内网口Ethernet0/0的连通性测试,可以ping通内网口。注意:内网口中ping的管理应该选上的才能ping通。内网主机防火墙到外网口Ethernet0/1的连通性测试,
24、可以通过内网口ping通外网口。可以用一台主机配置好IP地址模拟外网,内网到这台主机可以ping通,而这台主机到内网口和内网主机则不能ping通。任务2 配置和应用硬件防火墙活动3 企业内网安全接入互联网【任务拓展】一、理论题1什么是安全域?2防火墙中默认的安全域有几个,分别是什么,各自的作用是什么?3防火墙的接口为什么要选择第三层安全域?4防火墙工作在路由模式如何设置?二、实训1如果是配置SNAT后,只允许内网用户9:0018:00浏览网页,其他时间不做任何限制,如何来实现?2防火墙内网口处接一台神州数码三层交换机5950,三层交换机上设置了几个网段都可以通过防火墙来访问外网?任务2 配置和
25、应用硬件防火墙活动4 发布企业内部服务器【任务描述】小齐经过不断尝试和努力终于把公司新买的防火墙配置成功,并放置到网络中了,自从防火墙放入后,公司内部很少受到黑客的入侵和蠕虫病毒的骚扰,受到了公司领导的好评。由于公司业务不断扩大的需要,公司决定制作公司自己的网站,并让小齐搭建网站服务器并放置在公司的网络中,小齐又接受了新的任务。【任务分析】防火墙上配置了源NAT后,内部用户在访问外网时都隐藏了私网地址,如果防火墙内部有一台服务器需要对外网用户开放,此时就必须在防火墙上配置目的NAT,将数据包在防火墙做目的地址转换,让外网用户访问到该服务器。而且为了保证公司内网的绝对安全,服务器和内网不应放置在
26、一个区域,而应重新规划到dmz区域。任务2 配置和应用硬件防火墙活动4 发布企业内部服务器【任务实战】步骤1 搭建任务实施环境。步骤2 配置接口地址。(1)配置防火墙的外网口Ethernet0/1为第三层安全域,属于untrust区域,IP地址为218.240.143.221/24。(2)配置防火墙连接服务器的接口Ethernet0/1为第三层安全域,属于dmz区域,IP地址为192.168.10.1/24。步骤3 添加路由(参见上一节)。步骤4 添加源NAT策略(参见上一节)。任务2 配置和应用硬件防火墙活动4 发布企业内部服务器步骤5 创建地址簿对象。(1)选择左侧菜单“对象”“地址簿”“
27、新建”,在新建的页面中,填写名称为“Web_serverA”(注意:此处名称的填写没有规定,只是便于记忆和管理,建议填写服务器在网络中的名字),“IP成员”选项填写dmz区域的Web服务器的地址,实际上就建立了名字和服务器IP地址的一种对应关系,便于管理和配置,注意子网掩码为32位。(2)将服务器的公网地址使用IP_218.240.143.220来命名。任务2 配置和应用硬件防火墙活动4 发布企业内部服务器步骤6 配置目的NAT。选择“网络”“目的NAT”“新建”,在“目的地址”中选择地址簿新建的“IP_218.240.143.220”,映射目的地址选择地址簿中新建的“web_serverA”
28、。步骤7 放行安全策略。(1)放行untrust区域到dmz区域的安全策略,使外网可以访问dmz区域服务器。选择左侧树形菜单中的“安全”菜单中的“策略”,源安全域选择“untrust”,目的安全域选择“dmz”,目的地址选择地址簿中建立的转换前的公网IP地址,服务选择“HTTP”,行为选择“允许”。任务2 配置和应用硬件防火墙活动4 发布企业内部服务器(2)放行trust区域到dmz区域的安全策略,使内网机器可以公网地址访问dmz区域内的服务器。放行trust区域到dmz区域的安全策略,使外网可以访问dmz区域服务器。选择左侧树形菜单中的“安全”菜单中的“策略”,源安全域选择“trust”,目
29、的安全域选择“dmz”,目的地址选择地址簿中建立的转换前的公网IP地址,服务选择“HTTP”,行为选择“允许”。(3)放行trust区域到untrust区域的安全策略(具体配置参见以上两步)。任务2 配置和应用硬件防火墙活动4 发布企业内部服务器步骤8 任务测试。至此,任务已经配置完成。需要进行项目的测试。内网任意主机到防火墙内网口Ethernet0/0的连通性测试,可以ping通内网口,注意:内网口中ping的管理应该是选中的,才能ping通。内网主机防火墙到外网口Ethernet0/1的连通性测试,可以通过内网口ping通外网口。可以用一台主机配置好IP地址模拟外网,内网到这台主机可以pi
30、ng通,而这台主机到内网口和内网主机是不能ping通的。内网主机输入网址http:/218.240.143.220/即可实现对公司网站的访问。外网主机输入网址http:/218.240.143.220/即可实现对公司网站的访问。任务2 配置和应用硬件防火墙活动4 发布企业内部服务器【任务拓展】一、理论题1什么是地址簿,它的作用是什么?2什么是目的NAT,有几种类型,各自的作用是什么?3本任务中的目的NAT类型是什么?二、实训1自行搭建dmz区域的Web服务器,并完成整个任务的测试。2小王和小齐是好朋友,小王所在的公司也购买了一台神州数码DCFW-1800E-V2防火墙,配置要求如下:外网口IP
31、为内网FTP Server及Web ServerB做端口映射并允许外网用户访问该Server的FTP和Web服务,服务端口采用默认端口。任务2 配置和应用硬件防火墙活动4 发布企业内部服务器【任务提示】1端口映射为一对多的映射,将公网某一IP的不同端口,映射到内网不同IP的不同端口,解决公网IP有限时多个服务器需对外发布的需求。2需要建立一个地址对象,用于地址映射,注意子网掩码是32位的。3创建目的NAT,这里目的NAT和本节任务不同,应选择端口映射。这里仅以创建FTP服务的端口映射为例,Web服务的端口映射配置方法大致相同。任务2 配置和应用硬件防火墙活动5 利用防火墙进行流量控制【任务描述
32、】齐威公司的网络在小齐配置完防火墙后,公司的网络健康高效地运行了。公司的出口带宽为100Mbps,公司内部有200台PC,但是公司的员工频繁反映上网速度很慢,小齐通过科来网络分析系统发现,网络中有很多用户使用BT、迅雷等P2P下载软件,而有些用户在线观看视频资源等占用了大量的系统带宽。【任务分析】神州数码DCFW-1800E-V2防火墙提供了QoS功能,控制整个网络的流量和带宽。防火墙出口带宽为100Mbps,内网最多有200台PC。1要求P2P的总流量不能超过50Mbps。2每个用户的上、下行最大带宽均不能超过400kbps。任务2 配置和应用硬件防火墙活动5 利用防火墙进行流量控制【任务实
33、战】步骤1 设置P2P的总流量不能超过50Mbps。(1)在QoS中创建一个Class,将P2P协议加入到该Class中。选择“网络”“QoS”“类别”,将P2P的协议类型加入到一个分组中,分组名称为“p2p”。(2)创建QoS Profile,在Profile里做出对P2P流量的限制。选择“网络”“QoS”“Profile”,设置Profile名称为“limit-p2p-50M”,单击“添加Class”按钮,然后将之前创建好的“p2p”Class加入到右边成员中单击“确定”按钮。任务2 配置和应用硬件防火墙活动5 利用防火墙进行流量控制然后重新编辑该Profile分组,在针对“p2p”Cla
34、ss设置带宽限制。在列出的表中单击右侧的“编辑”按钮,在高级配置中最大带宽配置为50 000,这表示传输速率的上限为50Mbps。(3)将P2P限流Profile绑定到广域网入接口Eth0/1上。将之前创建的“limit-p2p-50M”Profile绑定到外网接口的入方向上,就可以实现限制内网下载P2P到50M的流量。任务2 配置和应用硬件防火墙活动5 利用防火墙进行流量控制选择“QoS”“绑定接口”,选择其中的Ethernet0/1,单击后面的“编辑”按钮,进行编辑。步骤2 设置每个用户的上、下行最大带宽均不能超过400kbps。(1)使用内网IP地址范围创建QoS Class,选择“网络
35、”“QoS”“类别”“新建”,首先将限制带宽的内网地址设置一个Class,名称为“ip-range”。地址范围为192.168.1.1192.168.1.200。任务2 配置和应用硬件防火墙活动5 利用防火墙进行流量控制(2)创建QoS Profile,并将创建好的IP范围Class加入其中,创建一个名称为“per-ip-bw-limit”的Profile,创建Profile时选择“ip-qos-profile”,然后将之前创建的“ip-range”Class拉到右边的“组成员”栏中单击“确定”按钮。任务2 配置和应用硬件防火墙活动5 利用防火墙进行流量控制(3)编辑QoS Class,对每个
36、IP的带宽做出限制。重新编辑profile“per-ip-bw-limit”。然后针对“ip-range”的Class做限速,限制每个IP的带宽为400kbps,开启弹性QoS后能达到的最大带宽为800 kbps。任务2 配置和应用硬件防火墙活动5 利用防火墙进行流量控制(4)将QoS Profile绑定到外网接口。将创建的“per-ip-bw-limit”的Profile绑定到接口上,一般来说,“ip-qos”要绑定在接口的第二级别上,我们在外网上出入方向上都绑定该Profile,即针对“ip-range”内的PC上、下行都限制到400kbps。选择“网络”“QoS”“绑定接口”。任务2 配
37、置和应用硬件防火墙活动5 利用防火墙进行流量控制【任务拓展】一、理论题1什么是QoS?2当配置QoS功能后,不同的IP地址可获得的最大带宽通常会被限制在一个数值之内,此时,即使接口有闲置带宽,被限制的IP也不可以使用,造成资源的浪费。针对这一现象应该如何避免?请参考产品手册弹性QoS。二、实训1限制内网所有用户下载外网FTP总流量不超过10Mbps。2将内网IP分成两个网段,针对网段一设置每IP限速512kbps,针对网段二设置每IP限速1M,如何设置?任务2 配置和应用硬件防火墙活动6 即时通信软件的控制【任务描述】经理发现公司员工上班后就把QQ启动,和朋友家人在工作时间聊天,严重影响了办公
38、效率,经理找到小齐让他解决一下。【任务分析】公司要求上班期间禁止内网用户登录腾讯QQ;允许内网用户登录MSN,但禁止使用MSN进行文件传输;诸如此类对即时通信(IM)的控制可以在神州数码多核防火墙上来实现。任务2 配置和应用硬件防火墙活动6 即时通信软件的控制【任务实战】步骤1 按照拓扑图搭建实施环境。步骤2 配置防火墙的Eth0口连接trust区域,Eth1口连接untrust区域。步骤3 启用外网口安全域的应用程序识别。选择“网络”“安全域”,在外网口安全域untrust下选中“应用程序识别”,设置该项的目的是可以识别应用层QQ、MSN等协议。任务2 配置和应用硬件防火墙活动6 即时通信软
39、件的控制步骤4 创建行为Profile,对IM做相应动态限制。选择“安全”“行为Profile”“新建”,文件命名为“IM-profile”。MSN选项中登录行为设置为“允许”,文件传输行为设置为“拒绝”;腾讯QQ登录行为设置为“拒绝”,文件传输行为设置为“拒绝”。步骤5 创建一个Profile组。选择“安全”“Profile组”,新建一个Profile组名称为“行为profile”,并将之前创建的IM-profile加到该Profile组中单击“确定”按钮。任务2 配置和应用硬件防火墙活动6 即时通信软件的控制步骤6 将Profile组引用到安全策略中。新建从trust区域到untrust区
40、域的安全策略,其他默认设置不用修改,行为选择“允许”,选中下面的Profile组,并选择“行为profile”。策略设置完成后效果如图所示,特征区域出现了两个折叠的小方框,表示本安全策略有应用层的特征识别。步骤7 验证测试。按照以上步骤设置完成后,我们可以登录QQ,可以看到QQ已经不能登录到服务器,MSN可以连接到服务器但不能传输文件。任务2 配置和应用硬件防火墙活动6 即时通信软件的控制【任务拓展】一、理论题1神州数码防火墙可以针对哪几种IM做限制?2如果针对untrust区域没有设置应用程序识别,是否可以成功限制IM登录?二、实训搭建实验环境,拒绝内网登录QQ和MSN通信工具。任务2 配置
41、和应用硬件防火墙活动7 URL过滤配置【任务描述】公司已经成功限制了利用QQ上网聊天的行为,但是开心网等娱乐网站风靡全社会,公司员工也玩得不亦乐乎,严重影响公司业务,作为网管的小齐该怎么办呢?【任务分析】防火墙可实现URL过滤功能,设备可以控制用户的PC对某些网址的访问,针对内网不同权限的用户我们可以设置不同的过滤规则。任务2 配置和应用硬件防火墙活动7 URL过滤配置【任务实战】步骤1 按照拓扑图搭建实施环境。步骤2 配置防火墙的Eth0口连接trust区域,Eth1口连接untrust区域。步骤3 创建HTTP Profile,启用URL过滤功能。在“安全”“HTTP Profile”中新
42、建一个HTTP Profile,名称为“http-profile”,将URL过滤设置成“启用”状态单击“确定”按钮即可。任务2 配置和应用硬件防火墙活动7 URL过滤配置步骤4 创建Profile组,添加“http-profile”。选择“安全”“Profile组”,新建一个名为“URL过滤”的Profile组,并将之前创建好的HTTP Profile加入到该Profile组中单击“确定”按钮。步骤5 设置URL过滤。选择“安全”“URL过滤”,设置URL过滤规则,实验中要求只是限制访问Baidu首页,在黑名单URL中输入,单击“添加”按钮将其添加到黑名单列表中。单击“确定”按钮即可。任务2
43、配置和应用硬件防火墙活动7 URL过滤配置步骤6 在安全策略中引用Profile组。选中“Profile组”复选框,并选择“URL过滤”。步骤7 测试验证。内网用户在访问baidu首页时便会提示“访问被拒绝”。任务2 配置和应用硬件防火墙活动7 URL过滤配置【任务拓展】一、理论题1要求内网用户只能访问规定的几个网站,如何实现?2要求内网用户不能访问带有baidu关键字的网站,如何实现?二、实训要求内网用户只能访问和,请搭建实验环境实现。任务2 配置和应用硬件防火墙活动8 公司内部Web接入认证配置【任务描述】公司员工数量的增加给网络管理带来诸多不便,小齐报请公司决定公司员工登录互联网采取授权
44、的方式。按照公司部门进行划分组别,每个人一个账号,以后可以对每个部门进行控制。例如,不想让研发部的员工上外网,我们就可以利用Web认证进行控制。公司同意了小齐的想法。【任务分析】在执行本任务之前,小齐决定搭建一个简单的模拟环境测试一下。内网用户首次访问Internet时需要通过Web认证才能上网,且内网用户划分为两个用户组usergroup1和usergroup2,其中usergroup1组中的用户在通过认证后仅能浏览Web页面,usergroup2组中的用户通过认证后仅能使用FTP。任务2 配置和应用硬件防火墙活动8 公司内部Web接入认证配置【任务准备】步骤1 开启Web认证功能。防火墙W
45、eb认证功能默认是“关闭”状态,需要手工在“系统”“管理”“管理接口”中将其开启,Web认证有HTTP和HTTPS两种模式。步骤2 创建AAA认证服务器。在开启防火墙认证功能后,需要在“对象”“AAA服务器”中设置一个认证服务器,防火墙能够支持本地认证、Radius认证、Active-Directory认证和LDAP认证。在本实验中使用防火墙的本地认证,在此选择认证类型为“本地”。任务2 配置和应用硬件防火墙活动8 公司内部Web接入认证配置步骤3 创建用户及用户组,并将用户划归不同的用户组。既然要做认证,需要在防火墙的“对象”“用户组”中设置用户组,在本任务中设置了usergroup1和us
46、ergroup2两个用户组。然后选择“对象”“用户”,首先在本地服务器中选择之前创建好的local-aaa-server认证服务器,在该服务器下创建user1用户,并将该用户设置到usergroup1用户组中,同样的方法创建user2用户,并将user2用户设置到usergroup2组中。任务2 配置和应用硬件防火墙活动8 公司内部Web接入认证配置步骤4 创建角色。创建好用户和用户组后,下面在“对象”“角色”“管理”中设置两个角色,名称分别为“role-permit-web”和“role-permit-ftp”。步骤5 创建角色映射规则,将用户组与角色相对应。在“对象”“角色”“角色映射”中
47、,将用户组和角色设置角色映射关系名称为“role-map1”,将usergroup1用户组和role-permit-web做好对应关系,同样的方法将usergroup2和role-permit-ftp做好对应关系。任务2 配置和应用硬件防火墙活动8 公司内部Web接入认证配置步骤6 将角色映射规则与AAA服务器绑定。在“对象”“AAA服务器”中,将角色映射关系role-map1绑定到创建的AAA服务器local-aaa-server中。步骤7 创建安全策略不同角色的用户放行不同服务。在“安全”“策略”中设置内网到外网的安全策略,首先在该方向安全策略的第一条设置一个放行DNS服务的策略,放行该策
48、略的目的是当在IE栏中输入某个网站名后,客户端PC能够正常对该网站做出解析,然后可以重定向到认证页面。任务2 配置和应用硬件防火墙活动8 公司内部Web接入认证配置在内网到外网的安全策略的第二条针对未通过认证的用户UNKNOWN,设置认证的策略,认证服务器选择创建的local-aaa-server。在内网到外网的第三条安全策略中,针对认证过的用户放行相应的服务,针对角色role-permit-web只放行HTTP服务。任务2 配置和应用硬件防火墙活动8 公司内部Web接入认证配置针对通过认证后的用户,属于role-permit-ftp角色的只放行FTP服务。最后看一下在“安全”“策略”中设置了
49、几条策略,在这里设置了4条策略,第一条策略只放行DNS服务,第二条策略针对未通过认证的用户设置认证的安全策略,第三条策略和第四条策略针对不同角色用户放行不同的服务项。步骤8 用户验证。内网用户打开IE输入某网站地址后可以看到页面马上重定向到认证页面,输入user2的用户名和密码认证通过后,当访问某FTP时可以访问成功,当访问Web界面时看到未能打开网页。任务2 配置和应用硬件防火墙活动8 公司内部Web接入认证配置【任务拓展】一、理论题1设置防火墙的Web认证功能后,如果从内到外的策略中未放行DNS服务,用户端PC怎样才能重定向到认证界面?2在上述任务中,我们在设置角色映射关系时是针对用户组和
50、角色做了对应,那么是否可以针对用户和角色做对应呢?3上网搜索出Web认证还有哪些认证方法和比较其优缺点。二、实训使用防火墙的Web认证功能,将内网设置成3个用户组,第一个用户组只能访问Web和FTP服务,第二个用户组只能登录QQ、MSN,第三组用户不做限制。任务2 配置和应用硬件防火墙活动9 内容过滤【任务描述】公司想对大家访问网站做一些具体的限制,如购物类、娱乐类网站不能访问等。【任务分析】这个任务涉及内容过滤,可以用关键字的方法,让员工无法访问某些网站本任务针对要访问的网页如果包含一次或一次以上的黄秋生字样,则将该网页过滤掉,不允许用户访问。任务2 配置和应用硬件防火墙活动9 内容过滤【任