防火墙安全技术、安全区域及运行模式
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全技术的完善和更新
By 我非黑客
网络安全关注的范围
网络安全关注的范围
▪ 保护网络物理线路不会轻易遭受攻击 ▪ 有效识别合法的和非法的用户 ▪ 实现有效的访问控制 ▪ 保证内部网络的隐蔽性 ▪ 有效的防伪手段,重要的数据重点保护 ▪ 对网络设备、网络拓扑的安全管理 ▪ 病毒防范 ▪ 提高安全防范意识
inbound
outbound 服务器
outbound
untrust
inbound
DMZ
服务器
By 我非黑客
目录
安全区域介绍 安全区域基本配置
By 我非黑客
安全区域本配置
安全区域配置包括
创建安全区域 进入安全区域视图 进入区域间视图 为安全区域添加接口 设置安全区域的优先级
By 我非黑客
安全区域基本配置
不受信区域
✓受信区域->DMZ区,可以访 问POP3和SMTP服务 ✓DMZ->受信区域,不可访问 任何服务
Baidu NhomakorabeaDMZ区 交换机
✓不受信区域->DMZ区,可 以访问POP3和SMTP服务 ✓DMZ->不受信区域,可以 访问任何服务
EMAIL服务器
By 我非黑客
攻击防范
阻止
防火墙 受信区域
DoS攻击
黑客
网络安全设备的分类
By 我非黑客
防火墙的必备技术
针对网络存在的各种安全隐患,防火墙必须具有如下安全特性:
▪ 网络隔离及访问控制 ▪ 攻击防范 ▪ 地址转换 ▪ 应用层状态检测 ▪ 身份认证 ▪ 内容过滤 ▪ 安全管理
By 我非黑客
网络隔离及访问控制
不受信区域和受信区域之 间不能互访
受信区域
防火墙
创建安全区域
操作
命令
创建安全区域 firewall zone name zonename
删除安全区域 undo firewall zone name zonename
By 我非黑客
安全区域基本配置
进入安全区域视图
操作 进入安全区域视图
命令 firewall zone zonename
By 我非黑客
动态创建和删除过滤规则
By 我非黑客
身份认证
防火墙
用户上网 用户名、密码 ? 输入用户名、密码
认证通过
正常上网
By 我非黑客
内容过滤
健康 内容
有害网站过滤 网页恶意内容摘除
正常网站 有害网站 有害 内容
By 我非黑客
安全管理
监控终端
控制台
SecPath
日志主机
日志缓冲
Internet
By 我非黑客
防火墙技术介绍
概述及安全区域介绍
课程目标
学习完本课程,您应该能够:
了解网络安全基本概念 掌握防火墙必备的技术范围
By 我非黑客
网络安全概述
网络安全是Internet必须面对的一个实际问题 网络安全是一个综合性的技术 网络安全具有两层含义:
▪ 保证内部局域网的安全(不被非法侵入) ▪ 保护和外部进行数据交换的安全
课程目标
学习完本课程,您应该能够:
了解安全区域基本概念 掌握安全区域配置方法
By 我非黑客
目录
安全区域介绍 安全区域基本配置
By 我非黑客
安全区域概念
内部网络 trust
防火墙 (local)
服务器
DMZ
服务器
untrust
By 我非黑客
安全区域划分
内部网络 trust
防火墙 (local)
安全区域基本配置
进入区域间视图
操作
命令
进入区域间视图 firewall interzone zone1 zone2
By 我非黑客
安全区域基本配置
为安全区域添加接口
操作
将接口添加到安全 区域
将接口从安全区域 中删除
命令
add interface interface-type interface-number
undo add interface interface-type interface-number
By 我非黑客
安全区域基本配置
设置安全区域的优先级
操作
命令
设置安全的优先级 set priority number
By 我非黑客
本章小结
介绍了安全区域基本概念 如何完成安全区域的基本配置
By 我非黑客
不受信区域
正常用户
By 我非黑客
地址转换(NAT)
10.1.1.0/24
10.1.1.100 → 210.190.100.23 防火墙
10.1.1.1
210.190.100.23
10.1.1.100 ← 210.190.100.23
WEB服务器
By 我非黑客
应用层状态检测包过滤(ASPF)
监视通信过程中的报文
服务器
DMZ
服务器
untrust
By 我非黑客
接口、网络、安全区域
Ethernet1/0
内部网络 trust
防火墙 (local)
Ethernet1/1
Ethernet2/0
untrust
服务器
DMZ
服务器
By 我非黑客
入方向与出方向
inbound
防火墙 (local)
outbound
内部网络 trust
By 我非黑客
网络安全关注的范围
网络安全关注的范围
▪ 保护网络物理线路不会轻易遭受攻击 ▪ 有效识别合法的和非法的用户 ▪ 实现有效的访问控制 ▪ 保证内部网络的隐蔽性 ▪ 有效的防伪手段,重要的数据重点保护 ▪ 对网络设备、网络拓扑的安全管理 ▪ 病毒防范 ▪ 提高安全防范意识
inbound
outbound 服务器
outbound
untrust
inbound
DMZ
服务器
By 我非黑客
目录
安全区域介绍 安全区域基本配置
By 我非黑客
安全区域本配置
安全区域配置包括
创建安全区域 进入安全区域视图 进入区域间视图 为安全区域添加接口 设置安全区域的优先级
By 我非黑客
安全区域基本配置
不受信区域
✓受信区域->DMZ区,可以访 问POP3和SMTP服务 ✓DMZ->受信区域,不可访问 任何服务
Baidu NhomakorabeaDMZ区 交换机
✓不受信区域->DMZ区,可 以访问POP3和SMTP服务 ✓DMZ->不受信区域,可以 访问任何服务
EMAIL服务器
By 我非黑客
攻击防范
阻止
防火墙 受信区域
DoS攻击
黑客
网络安全设备的分类
By 我非黑客
防火墙的必备技术
针对网络存在的各种安全隐患,防火墙必须具有如下安全特性:
▪ 网络隔离及访问控制 ▪ 攻击防范 ▪ 地址转换 ▪ 应用层状态检测 ▪ 身份认证 ▪ 内容过滤 ▪ 安全管理
By 我非黑客
网络隔离及访问控制
不受信区域和受信区域之 间不能互访
受信区域
防火墙
创建安全区域
操作
命令
创建安全区域 firewall zone name zonename
删除安全区域 undo firewall zone name zonename
By 我非黑客
安全区域基本配置
进入安全区域视图
操作 进入安全区域视图
命令 firewall zone zonename
By 我非黑客
动态创建和删除过滤规则
By 我非黑客
身份认证
防火墙
用户上网 用户名、密码 ? 输入用户名、密码
认证通过
正常上网
By 我非黑客
内容过滤
健康 内容
有害网站过滤 网页恶意内容摘除
正常网站 有害网站 有害 内容
By 我非黑客
安全管理
监控终端
控制台
SecPath
日志主机
日志缓冲
Internet
By 我非黑客
防火墙技术介绍
概述及安全区域介绍
课程目标
学习完本课程,您应该能够:
了解网络安全基本概念 掌握防火墙必备的技术范围
By 我非黑客
网络安全概述
网络安全是Internet必须面对的一个实际问题 网络安全是一个综合性的技术 网络安全具有两层含义:
▪ 保证内部局域网的安全(不被非法侵入) ▪ 保护和外部进行数据交换的安全
课程目标
学习完本课程,您应该能够:
了解安全区域基本概念 掌握安全区域配置方法
By 我非黑客
目录
安全区域介绍 安全区域基本配置
By 我非黑客
安全区域概念
内部网络 trust
防火墙 (local)
服务器
DMZ
服务器
untrust
By 我非黑客
安全区域划分
内部网络 trust
防火墙 (local)
安全区域基本配置
进入区域间视图
操作
命令
进入区域间视图 firewall interzone zone1 zone2
By 我非黑客
安全区域基本配置
为安全区域添加接口
操作
将接口添加到安全 区域
将接口从安全区域 中删除
命令
add interface interface-type interface-number
undo add interface interface-type interface-number
By 我非黑客
安全区域基本配置
设置安全区域的优先级
操作
命令
设置安全的优先级 set priority number
By 我非黑客
本章小结
介绍了安全区域基本概念 如何完成安全区域的基本配置
By 我非黑客
不受信区域
正常用户
By 我非黑客
地址转换(NAT)
10.1.1.0/24
10.1.1.100 → 210.190.100.23 防火墙
10.1.1.1
210.190.100.23
10.1.1.100 ← 210.190.100.23
WEB服务器
By 我非黑客
应用层状态检测包过滤(ASPF)
监视通信过程中的报文
服务器
DMZ
服务器
untrust
By 我非黑客
接口、网络、安全区域
Ethernet1/0
内部网络 trust
防火墙 (local)
Ethernet1/1
Ethernet2/0
untrust
服务器
DMZ
服务器
By 我非黑客
入方向与出方向
inbound
防火墙 (local)
outbound
内部网络 trust