文档介绍:用户至上用心服务追求卓越科技报国
防火墙原理及配置
中国电信股份有限公司广东研究院
学****目标
学****完本课程,您应该能够:
了解防火墙的原理
了解防火墙的特性
了解防火墙的日常维护
内容概要
第一章防火墙原理
第二章防火墙配置
防火墙的初步认识
类似于建筑大厦中用于防止火灾蔓延的隔断墙,防火墙是一个或一组实施访问控制策略的系统,它监控可信任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的危险蔓延到内部网络上。
数据流监控
为什么要有防火墙?
同路由器相比,防火墙:
路由器也有ACL的功能,为何要有防火墙?
防火墙如何实现安全防护?
防火墙的内部划分为多个区域,所有的转发接口都唯一的属于某个区域。
Local区域
Trust区域
DMZ区域
UnTrust区域
接口1
接口2
接口3
接口4
Eudemon防火墙上保留四个安全区域:
非受信区(Untrust):低级的安全区域,其安全优先级为5。
非军事化区(DMZ):中度级别的安全区域,其安全优先级为50。
受信区(Trust):较高级别的安全区域,其安全优先级为85。
本地区域(Local):最高级别的安全区域,其安全优先级为100。
此外,如认为有必要,用户还可以自行设置新的安全区域并定义其安全优先级别。
防火墙区域定义
域间的数据流分两个方向:
入方向(inbound):数据由低级别的安全区域向高级别的安全区域传输的方向;
出方向(outbound):数据由高级别的安全区域向低级别的安全区域传输的方向。
Local区域
Trust区域
DMZ区域
UnTrust区域
接口1
接口2
接口3
接口4
In
Out
In
Out
In
Out
In
Out
防火墙数据流向的定义
S3528G-b
S3528G-a
NE40-a
E500-b
SoftX3000
MRS
SHLR
UMG
SG
CN2
现网区域规划
E500-a
NE40-b
TRUST区域
UNTRUST区域
防火墙安全防护的关键——”ACL”
ACL:访问控制列表
什么是访问控制列表?
五虎将
协议号
源地址
目标地址
源端口
目的端口