文档介绍:9网络安全
防火墙技术
包过滤防火墙
代理防火墙
Firewall
Mail �Server
WWW�Server
Internet
防火墙的两大分类
包过滤防火墙:以色列的Checkpoint防火墙和Cisco公司e),~99,数字越大安全级别越高。
若添加新的接口,语句可以这样写: Pix525(config)#nameif pix/intf3 security40 (安全级别任取)
2. 配置以太口参数(interface)
Pix525(config)#interface ethernet0 auto
(auto选项表明系统自适应网卡类型 )
�Pix525(config)#interface ethernet1 100full(100full选项表示100Mbit/s以太网全双工通信 )
�Pix525(config)#interface ethernet1 100full shutdown
(shutdown选项表示关闭这个接口,若启用接口去shutdown )
3. 配置内外网卡的IP地址
Pix525(config)#ip address outside �Pix525(config)#ip address inside �
很明显,,
4. 指定要进行转换的内部地址
nat命令配置语法:
nat (if_name) nat_id local_ip [netmark]
其中(if_name)表示内网接口名字,例如inside.
Nat_id用来标识全局地址池,使它与其相应的global命令相匹配,
local_ip表示内网被分配的ip地址。
例1.Pix525(config)#nat (inside) 1 0 0
表示启用nat,内网的所有主机都可以访问外网,
Pix525(config)#nat (inside) 1
。
6. 设置指向内网和外网的静态路由
例1. Pix525(config)#route outside 0 0 1 �表示一条指向边界路由器()的缺省路由。
例2. Pix525(config)#route inside 1 �Pix525(config)#route inside 1
如果内部网络只有一个网段,按照例1那样设置一条缺省路由即可;如果内部存在多个网络,需要配置一条以上的静态路由。,
5. 指定外部地址范围(global)
例1. Pix525(config)#global (outside) 1 - �表示内网的主机通过pix防火墙要访问外网时,-。
例2. Pix525(config)#global (outside) 1 �表示内网要访问外网时,。
VPN技术
VPN连接
VPN -Virtual Private Network
IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”。通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。
所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。
所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
VPN的安全性
VPN的主要目的是保护传输数据
必须具备4个关键功能
认证:数据传输的来源确如其声明所言,目的地确实是数据期望到达的位置
访问控制:限制对网络未经授权的访问
机密性:防止数据在通过网络时被察看
数据完整性:防止传输中对数据的