網(wǎng)絡(luò)設(shè)備安裝與維護(hù)1+X職業(yè)技能等級證書配套教材數(shù)字化課程推薦精品教材職業(yè)教育新形態(tài)活頁式教材項目7：配置防火墻設(shè)備十二五職業(yè)教育國家規(guī)劃教材《網(wǎng)絡(luò)設(shè)備安裝與調(diào)試》（銳捷版）（V2.0)為保障北京某中心小學(xué)校園網(wǎng)安全，防范來自Internet上攻擊事件，需要網(wǎng)絡(luò)中心安裝一臺防火墻；防范校園網(wǎng)的安全，避免來自Internet網(wǎng)中安全隱患。項目背景7.1.1防火墻概述1.什么是防火墻防火墻（FireWall）是重要網(wǎng)絡(luò)防護(hù)設(shè)備，設(shè)置在不同網(wǎng)絡(luò)（可信任企業(yè)內(nèi)部網(wǎng)絡(luò)和不可信公共網(wǎng)絡(luò)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。目錄Contents任務(wù)1：掌握配置防火墻基礎(chǔ)技術(shù)。任務(wù)2：掌握防火墻設(shè)備配置。任務(wù)3：掌握防火墻安全配置技術(shù)。任務(wù)1配置防火墻技術(shù)7.1.1防火墻概述1.什么是防火墻防火墻如同大樓警衛(wèi)，允許“同意”人進(jìn)入，將“不同意”人拒之門外，阻止破壞者訪問網(wǎng)絡(luò)，防止更改、復(fù)制和毀壞網(wǎng)絡(luò)中重要信息。如圖內(nèi)網(wǎng)和外網(wǎng)之間流量，都經(jīng)過防火墻過濾。7.1.1防火墻概述2.區(qū)分防火墻類型防火墻表現(xiàn)為硬件防火墻和軟件防火墻兩種形態(tài)。（1）硬件防火墻7.1.1防火墻概述（2）軟件防火墻軟件防火墻安裝在Windows上，實現(xiàn)IP數(shù)據(jù)包過濾。軟件防火墻通過軟件檢查，速度比較慢。安全檢測能力遠(yuǎn)不及硬件防火墻。7.1.2開啟電腦上WindowsDefender防火墻軟件1.了解Windows10系統(tǒng)防火墻WindowsDefender防火墻是Windows10自帶軟件防火墻，保護(hù)安全。打開電腦“控制面板->系統(tǒng)和安全”，看到“WindowsDefender防火墻”保護(hù)內(nèi)容。7.1.2開啟電腦上WindowsDefender防火墻軟件2.查看Windows防火墻保護(hù)的網(wǎng)絡(luò)打開控制面板，雙擊“WindowsDefender防火墻”，打開WindowsDefender防火墻軟件。查看WindowsDefender防火墻保護(hù)網(wǎng)絡(luò)類型：專用網(wǎng)絡(luò)、公共網(wǎng)絡(luò)、域網(wǎng)絡(luò)。7.1.2開啟電腦上WindowsDefender防火墻軟件電腦一次只能連接到一種網(wǎng)絡(luò)類型，即選擇一種網(wǎng)絡(luò)類型，顯示當(dāng)前連接網(wǎng)絡(luò)安全狀態(tài)信息。7.1.2開啟電腦上WindowsDefender防火墻軟件選擇窗口“啟用或關(guān)閉WindowsDefender防火墻”按鈕，開啟自定義網(wǎng)絡(luò)設(shè)置，修改網(wǎng)絡(luò)類型。7.1.2開啟電腦上WindowsDefender防火墻軟件3.查看Windows防火墻保護(hù)的應(yīng)用打開“控制面板->系統(tǒng)和安全”，選擇“允許應(yīng)用通過Windows防火墻”7.1.2開啟電腦上WindowsDefender防火墻軟件在“允許應(yīng)用通過Windows防火墻”對話框，顯示電腦日常應(yīng)用，了解各種日常應(yīng)用在上網(wǎng)通信時功能。7.1.2開啟電腦上WindowsDefender防火墻軟件找到電腦日常應(yīng)用，按右上角“更改設(shè)置”，對應(yīng)用進(jìn)行“允許”或“刪除”操作，設(shè)置保護(hù)應(yīng)用狀態(tài)。7.1.2開啟電腦上WindowsDefender防火墻軟件

4.關(guān)閉WindowsDefender防火墻，測試網(wǎng)絡(luò)連通選擇“WindowsDefender防火墻”，打開WindowsDefender防火墻窗口，選擇“啟用或關(guān)閉WindowsDefender防火墻”。7.1.2開啟電腦上WindowsDefender防火墻軟件4.關(guān)閉WindowsDefender防火墻，測試網(wǎng)絡(luò)連通選中“關(guān)閉WindowsDefender防火墻”選項，關(guān)閉WindowsDefender防火墻。【綜合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

網(wǎng)絡(luò)場景勒索軟件（Ransomware）是一種通過郵件、網(wǎng)頁、移動介質(zhì)等多種方式傳播惡意軟件，在受害者電腦上文件中（如：word、excel、圖片等）留下索取一定贖金信息，如所示。需要開啟WindowsDefender防火墻安全策略，保護(hù)電腦的安全?！揪C合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

實施過程打開WindowsDefender防火墻配置窗口，選擇左側(cè)“高級設(shè)置”選項?！揪C合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

實施過程雙擊打開“高級設(shè)置”選項，啟動高級安全WindowsDefender防火墻。點(diǎn)擊左側(cè)“入站規(guī)則”類別；在右邊窗格中，單擊“新建規(guī)則”命令?！揪C合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

實施過程雙擊打開“高級設(shè)置”選項，啟動高級安全WindowsDefender防火墻。點(diǎn)擊左側(cè)“入站規(guī)則”類別；在右邊窗格中，單擊“新建規(guī)則”命令?！揪C合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

實施過程在“規(guī)則類型”，選擇“端口”。然后單擊“下一步”。【綜合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

實施過程選擇“特定本地端口”選項。然后，在提供的字段中鍵入端口號，如本例中“137”端口。

【綜合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

實施過程設(shè)置完成后，單擊“下一步”后，進(jìn)入操作窗口，為該端口配置相應(yīng)的動作。如本例中設(shè)置的“阻止連接”。【綜合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

實施過程接下來，選擇規(guī)則的適用網(wǎng)絡(luò)連接的時間，可以選擇以下一項或全部。然后，點(diǎn)擊“下一步”。

【綜合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

實施過程最后一個窗口為新規(guī)則命名，提供一個可選更詳細(xì)描述。完成后單擊“完成”?！揪C合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

實施過程返回“高級安全WindowsDefender防火墻”主窗口中，看見配置完成的“阻塞端口137”安全規(guī)則?！揪C合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

實施過程如果禁用該規(guī)則，請在“入站或出站規(guī)則”列表中找到它，右鍵菜單，選擇“禁用規(guī)則”或“刪除”即可?！揪C合實訓(xùn)1】：開啟WindowsDefender防火墻安全策略

實施過程如果禁用該規(guī)則，請在“入站或出站規(guī)則”列表中找到它，右鍵菜單，選擇“禁用規(guī)則”或“刪除”即可。目錄Contents任務(wù)1：掌握配置防火墻基礎(chǔ)技術(shù)。任務(wù)2：掌握防火墻設(shè)備配置。任務(wù)3：掌握防火墻安全配置技術(shù)。任務(wù)2配置防火墻設(shè)備7.2.1防火墻登錄方式配置

1．認(rèn)識防火墻設(shè)備保護(hù)系防火墻是一種非常有效的網(wǎng)絡(luò)安全模型如圖所示場景。在邏輯上，防火墻既是一個分離器，一個限制器，也是一個分析器。它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)（TrustZone）和Internet（UntrustZone）之間的任何活動，并將服務(wù)器隔離在DMZ（DemilitarizedZone，非軍事區(qū)）區(qū)域內(nèi)，保證了內(nèi)部網(wǎng)絡(luò)的安全。7.2.1防火墻登錄方式配置

1．認(rèn)識防火墻設(shè)備保護(hù)系7.2.1防火墻登錄方式配置

2．認(rèn)識銳捷防火墻設(shè)備WALL1600-SC是一款常見的防火墻產(chǎn)品，如圖所示W(wǎng)ALL1600-SC示意圖（1）USB接口，可以存放日志信息或者加載版本。（2）Console接口，配置設(shè)備使用的連接口。（3）GE0接口，管理接口，也可以通過該接口發(fā)送數(shù)據(jù)。（4）GE1-5接口，自協(xié)商千兆電口7.2.1防火墻登錄方式配置

2．產(chǎn)品部署模式NGFW有四種工作模式：路由模式、透明模式、旁路模式及混合模式。7.2.1防火墻登錄方式配置

3．管理方式（1）使用Web方式管理。WALL1600出廠配置下可以通過接口ge0的默認(rèn)地址00，進(jìn)行web管理。將計算機(jī)IP地址設(shè)置為/24，并連接到ge0口。打開IE瀏覽器，輸入00，登錄NGFW的管理頁面，輸入用戶名admin、默認(rèn)密碼firewall和驗證碼，進(jìn)入NGFW設(shè)備首頁。7.2.1防火墻登錄方式配置

3．管理方式（1）使用Web方式管理。在瀏覽器里輸入00，輸入用戶名admin，密碼firewall及隨機(jī)驗證碼即可進(jìn)入防火墻首頁，如圖所示。7.2.1防火墻登錄方式配置

3．管理方式（1）使用Web方式管理。在瀏覽器里輸入00，輸入用戶名admin，密碼firewall及隨機(jī)驗證碼即可進(jìn)入防火墻首頁，如圖所示。7.2.1防火墻登錄方式配置

3．管理方式③

配置ge1的管理地址為1/24，并開啟ge1的管理功能。選擇“菜單”→“網(wǎng)絡(luò)管理”→“接口”命令編輯ge1，如圖所示。7.2.1防火墻登錄方式配置

3．管理方式④

配置ge1接口IP地址為1/24，在“管理訪問”選項組中勾選需開啟的功能。7.2.1防火墻登錄方式配置

3．管理方式驗證效果。在瀏覽器輸入1，即可登錄管理，如圖所示。7.2.1防火墻登錄方式配置2．使用Console進(jìn)行管理若需要進(jìn)入命令行進(jìn)行配置管理，則可通過Console線使用超級終端或CRT等軟件進(jìn)入命令行，NGFW默認(rèn)允許console管理。NGFW命令行的命令與銳捷交換機(jī)路由器的命令基本類似起來。7.2.1防火墻登錄方式配置

2．使用Console進(jìn)行管理具體操作方式如下。（1）準(zhǔn)備配置線及可連接配置線的計算機(jī)。（2）連接配置線，配置線的水晶頭端連接到設(shè)備的Console口上，另一端連接計算機(jī)的COM口。（3）配置Windows系統(tǒng)的超級終端（或CRT超級終端程序）。7.2.1防火墻登錄方式配置

2．使用Console進(jìn)行管理（4）驗證配置。如圖所示，提示輸入用戶名admin及密碼firewall。7.1.2防火墻初始化配置1．頁面介紹如圖所示，菜單提供了NGFW設(shè)備的主要配置選項。其主要有以下功能。7.1.2防火墻初始化配置1．頁面介紹需要注意的是，很多管理配置頁面是列表的形式，如管理員、接口、安全策略等。以安全策略為例，如圖所示。7.1.2防火墻初始化配置2．默認(rèn)配置（1）接口0的默認(rèn)配置：接口0的默認(rèn)地址配置為00/24。允許對該接口進(jìn)行Ping、HTTPS操作。（2）默認(rèn)管理員用戶：系統(tǒng)默認(rèn)的管理員用戶為admin，密碼為firewall。用戶可以使用這個管理員賬號從任何地址登錄設(shè)備，并且使用設(shè)備的所有功能。系統(tǒng)默認(rèn)的審計員用戶為audit，密碼為audit123。用戶可以使用這個賬號對安全策略和日志系統(tǒng)進(jìn)行審計。系統(tǒng)默認(rèn)的用戶管理員用戶為useradmin，密碼為useradmin。用戶可以使用這個賬號配置系統(tǒng)管理員?！揪C合實訓(xùn)2】：配置防火墻的管理員權(quán)限網(wǎng)絡(luò)場景如圖所示，頂新理工學(xué)院有防火墻，需要登錄到防火墻上通過修改管理員權(quán)限、管理員用戶名和密碼、管理主機(jī)IP地址來加強(qiáng)設(shè)備管理的安全性?！揪C合實訓(xùn)2】：配置防火墻的管理員權(quán)限實施過程1．修改amin管理員密碼選擇“系統(tǒng)管理”→“管理員”→“管理員”命令，編輯用戶名“admin”，如圖所示，輸入新密碼ruijie@123，選擇“高級”選項，填寫管理IP地址為172.18.10.108/32。【綜合實訓(xùn)2】：配置防火墻的管理員權(quán)限實施過程如果配置為/0，則管理IP不受限制，任何地址都可以用此賬號登錄并進(jìn)行管理，其安全性不高，不建議如此配置。【綜合實訓(xùn)2】：配置防火墻的管理員權(quán)限2．配置權(quán)限添加權(quán)限類型test只有查看和配置日志的權(quán)限。選擇“系統(tǒng)管理”→“管理員”→“管理員權(quán)限表”→“新建”命令進(jìn)行操作?！揪C合實訓(xùn)2】：配置防火墻的管理員權(quán)限3．設(shè)置管理IP并添加管理員賬號選擇“系統(tǒng)管理”→“管理員”→“新建”命令，在“高級”選項處，配置管理IP為任意，即/0?！揪C合實訓(xùn)2】：配置防火墻的管理員權(quán)限4．配置管理員其他選項進(jìn)入“系統(tǒng)配置”→“維護(hù)”→“系統(tǒng)配置”頁面，設(shè)置頁面超時時間為10分鐘，在線管理員為10，管理員最大登錄重試次數(shù)為5，管理員登錄失敗阻斷間隔為60秒?！揪C合實訓(xùn)2】：配置防火墻的管理員權(quán)限5．驗證效果（1）使用test賬號登錄設(shè)備?！揪C合實訓(xùn)2】：配置防火墻的管理員權(quán)限（2）單擊除“日志管理”模塊的其他功能會提示“登錄用戶沒有操作權(quán)限”，且右上角會提示當(dāng)前使用了哪個賬號登?！揪C合實訓(xùn)3】：配置防火墻路由工作模式網(wǎng)絡(luò)場景NGFW作為網(wǎng)絡(luò)出口，使用靜態(tài)地址上網(wǎng)。內(nèi)網(wǎng)網(wǎng)段為/24，內(nèi)網(wǎng)口ge0的IP地址設(shè)置為54/24，作為內(nèi)網(wǎng)網(wǎng)關(guān)；外網(wǎng)接口ge1的IP地址為1/24，網(wǎng)關(guān)為。【綜合實訓(xùn)3】：配置防火墻路由工作模式實施過程1．配置接口地址（1）進(jìn)入“菜單”→“網(wǎng)絡(luò)管理”→“接口”→“ge0”頁面進(jìn)行編輯。設(shè)置ge0為54/24?！揪C合實訓(xùn)3】：配置防火墻路由工作模式（2）進(jìn)入“菜單”→“網(wǎng)絡(luò)管理”→“接口”→“ge1”頁面進(jìn)行編輯，如圖所示。配置ge1為1/24。（3）配置后查看兩個接口的地址?！揪C合實訓(xùn)3】：配置防火墻路由工作模式（2）進(jìn)入“菜單”→“網(wǎng)絡(luò)管理”→“接口”→“ge1”頁面進(jìn)行編輯，如圖所示。配置ge1為1/24。（3）配置后查看兩個接口的地址。【綜合實訓(xùn)3】：配置防火墻路由工作模式（2）進(jìn)入“菜單”→“網(wǎng)絡(luò)管理”→“接口”→“ge1”頁面進(jìn)行編輯，如圖所示。配置ge1為1/24。（3）配置后查看兩個接口的地址?！揪C合實訓(xùn)3】：配置防火墻路由工作模式（2）進(jìn)入“菜單”→“網(wǎng)絡(luò)管理”→“接口”→“ge1”頁面進(jìn)行編輯。配置ge1為1/24。（3）配置后查看兩個接口的地址?！揪C合實訓(xùn)3】：配置防火墻路由工作模式2．配置地址資源（1）選擇“菜單”→“資源管理”→“地址資源”→“地址結(jié)點(diǎn)”→“新建”命令?！揪C合實訓(xùn)3】：配置防火墻路由工作模式（2）名稱為“上網(wǎng)網(wǎng)段”，地址結(jié)點(diǎn)選擇子網(wǎng)“/24”，單擊“提交”按鈕?！揪C合實訓(xùn)3】：配置防火墻路由工作模式3．配置默認(rèn)路由（1）選擇“菜單”→“網(wǎng)絡(luò)管理”→“基本配置”→“缺省網(wǎng)關(guān)”→“新建”命令?！揪C合實訓(xùn)3】：配置防火墻路由工作模式3．配置默認(rèn)路由（2）配置網(wǎng)關(guān)地址為?！揪C合實訓(xùn)3】：配置防火墻路由工作模式4．配置NAT規(guī)則（1）進(jìn)入“菜單”→“網(wǎng)絡(luò)管理”→“NAT”→“NAT規(guī)則”→“新建”頁面?！揪C合實訓(xùn)3】：配置防火墻路由工作模式5．配置安全策略（1）選擇“菜單”→“防火墻”→“安全策略”→“新建”命令?！揪C合實訓(xùn)3】：配置防火墻路由工作模式配置好安全策略后，必須在全局下選擇“菜單”→“防火墻”→“安全策略”命令，將此策略啟用，否則不生效?！揪C合實訓(xùn)3】：配置防火墻路由工作模式6．保存配置保存配置，如圖所示。目錄Contents任務(wù)1：掌握配置防火墻基礎(chǔ)技術(shù)。任務(wù)2：掌握防火墻設(shè)備配置。任務(wù)3：掌握防火墻安全配置技術(shù)。任務(wù)3掌握防火墻安全配置7.3.1使用防火墻實現(xiàn)安全NAT1．配置地址池地址池中存放供動態(tài)NAT使用的地址范圍的集合。地址池的使用支持輪轉(zhuǎn)方式和非輪轉(zhuǎn)方式，也支持地址池分段。在進(jìn)行地址轉(zhuǎn)換后，報文的真實地址將被轉(zhuǎn)換為地址池中的地址。配置步驟如下。（1）進(jìn)入“網(wǎng)絡(luò)管理”→“NAT”→“NAT地址池”頁面，單擊“新建”按鈕。7.3.1使用防火墻實現(xiàn)安全NAT2．配置源地址轉(zhuǎn)換源地址轉(zhuǎn)換是一種單向的針對源地址的映射，主要用于內(nèi)網(wǎng)訪問外網(wǎng)，減少公有地址的數(shù)目，隱藏內(nèi)部地址。具體配置步驟如下。（1）進(jìn)入“網(wǎng)絡(luò)管理”→“NAT”→“NAT規(guī)則”→“源地址轉(zhuǎn)換”頁面，單擊“新建”按鈕。7.3.1使用防火墻實現(xiàn)安全NAT3．配置靜態(tài)地址轉(zhuǎn)換靜態(tài)地址轉(zhuǎn)換是一對一的雙向地址映射。在這種情況下，被映射的內(nèi)部主機(jī)可以主動訪問外部，外部也可以主動訪問這臺內(nèi)部主機(jī)，相當(dāng)于在內(nèi)、外網(wǎng)之間建立了一條雙向通道。具體配置步驟如下。（1）進(jìn)入“網(wǎng)絡(luò)管理”→“NAT”→“NAT規(guī)則”→“靜態(tài)地址轉(zhuǎn)換”界面，單擊“新建”按鈕。7.3.1使用防火墻實現(xiàn)安全NAT4．常見問題分析連接時通時斷，配置了NAT之后，經(jīng)過NAT后Ping其他網(wǎng)絡(luò)的機(jī)器，時通時斷；或剛開始是通的，一會兒又?jǐn)嗔耍换蛞恢辈煌?。這個問題主要有以下兩種情況。（1）轉(zhuǎn)換后的地址有沖突，別人已經(jīng)使用。有些地址可能Ping不通，但不能排除地址已被使用的可能，因為對方可以禁止了Ping包。（2）可以查看被Ping的機(jī)器中的ARP表項，NAT轉(zhuǎn)換后的地址對應(yīng)的MAC是否為設(shè)備的MAC地址，若不是，證明有其他機(jī)器使用了此IP。使用無人使用的地址作為NAT轉(zhuǎn)換后的地址即可。7.3.2使用防火墻防止DoS攻擊和掃描1．概述防DoS（DenialofService）攻擊設(shè)計的目標(biāo)就是使設(shè)備能夠阻止外部的惡意攻擊，同時能使內(nèi)網(wǎng)正常地與外界通信，不僅保護(hù)設(shè)備，更要保護(hù)內(nèi)網(wǎng)。當(dāng)遭受到攻擊時，向用戶進(jìn)行報警提示。常見的DoS攻擊主要包括PINGofDeath、TearDropAttack、Jolt2Attack、SynFlood、ICMPFlood、UDPFlood、ARPF