网络安全防火墙及拓扑图

银行网络安全防火墙技术一、防火墙概述防火墙这个词来源于建筑词汇，用于限制（潜在的）火灾在建筑内部的蔓延，后被引申至信息安全领域中访问控制、边界整合类的产品，防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。

图15-1 典型的银行网络安全设计拓扑图Internet的发展给政府结构、企事业单位带来了革命性的改革和开放。

他们正努力通过利用Internet来提高办事效率和市场反应速度，以便更具竞争力。

通过Internet，企业可以从异地取回重要数据，同时又要面对Internet开放带来的数据安全的新挑战和新危险，即客户、销售商、移动用户、异地员工和内部员工的安全访问；以及保护企业的机密信息不受黑客和工业间谍的入侵。

因此企业必须加筑安全的“战壕”，而这个“战壕”就是防火墙。

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入In-ternet网络为最甚。

二、防火墙的作用防火墙的作用通常包括以下几个方面。

1.防火墙是网络安全的屏障一个防火墙（作为阻塞点、控制点）能极大地提高内部网络的安全性，并通过过滤不安全的服务而降低风险。

同时，防火墙可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。

防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

2.防火墙可以强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。

与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。

如在网络访问时，一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上，而可以集中在防火墙一身上。

3.对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。

2.1.2.1.2.1.3 3 3 3 防火墙的功能防火墙的功能防火墙的功能防火墙的功能防火墙有如下几个功能。

1．访问控制防火墙是网络安全的一个屏障，通过设置防火墙的过滤规则，实现对防火墙的数据流的访问控制，例如，允许内部网的用户只能够访问外网的Web服务器。

一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。

由于只有精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。

2．对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就记录下这些访问，并做出日志记录，同时也能提供网络使用情况的统计数据。

3．防止内部信息的外泄利用防火墙对内部网络进行划分，可实现内部网重点网段的隔离。

4．支持VPN功能
5支持网络地址转换。

校园网络安全设计方案10网工2班组员：张婵、张茜、张越、张喻博、赵子龙、祝美意、杨越峦、张力随着因特网的迅速发展，校园网的建设日益普遍。

而在高校中，如何能够保证校园网络的安全运行，同时又能提供丰富的网络资源，达到办公、教学及学生上网的多种需求已成为了一个难题。

校园网络的安全不仅有来自外部的攻击，还有内部的攻击。

所以，在校园网建设中使用安全技术是刻不容缓的。

现从防火墙、VPN、防病毒、入侵检测和防御系统、上网行为管理和用户审计系统、数据备份系统、主页防篡改、网络安全管理制度几个方面，设计我校的网络安全方案。

防火墙:防火墙是一种将内部网和公众网分开的方法。

它能限制被保护的网络与与其他网络之间进行的信息存取、传递操作。

防火墙的概念：通常防火墙是指部署在不同网络或网络安全域之间的一系列部件组合，是一种有效的网络安全策略。

防火墙提供信息安全服务，设置在被保护内部网络的安全与不安全的外部网络之间，其作用是阻断来自外部的、针对内部网络的入侵和威胁，保护内部网络的安全。

它是不同网络或网络安全域之间信息的唯一出入口，根据安全策略控制出入网络的信息流，并且本身具有较强的抗攻击能力。

防火墙的分类：按软件与硬件的形式，防火墙分为软件防火墙、硬件防火墙和芯片防火墙；按防火墙的技术，总体分为包过滤型和应用代理型两大类；按防火墙的结构分为单一主机防火墙、路由器集成式防火墙、分布式防火墙；按防火墙的部署位置分为边界防火墙、个人防火墙、混合防火墙。

防火墙的安全策略：（1）所有从内到外和从外到内的数据包都必须经过防火墙（2）只有被安全策略允许的数据包才能通过防火墙（3）防火墙本身要有预防入侵的功能（4）默认禁止所有服务，除非是必须的服务才被允许防火墙的设计：（1）保障校园内部网主机的安全，屏蔽内部网络，禁止外部网用户连接到内部网（2）只向外部用户提供HTTP、SMTP和POP等有限的服务（3）向内部记账用户提供所有Internet服务，但一律通过代理服务器(4)禁止访问黄色、反动网站(5)要求具备防IP 地址欺骗和IP地址盗用功能(6)要求具备记账和审计功能，能有效记录校园网的一切活动。

公司网络防火墙拓扑图导语：在公司里，网络防火墙的重要性是不言而喻的，而在防火墙配置之前，需要画出网络防火墙的拓扑图。

那么有什么软件能够帮助我们画出专业的网络防火墙拓扑图呢？一起来看看下面这款软件吧。

免费获取网络拓扑图软件：/network/公司网络防火墙拓扑图怎么制作？亿图图示是一款适合新手的入门级拓扑图绘制软件，软件界面简单，包含丰富的图表符号，中文界面，以及各类图表模板。

软件智能排版布局，拖曳式操作，极易上手。

与MS Visio等兼容，方便绘制各种网络拓扑图、电子电路图，系统图，工业控制图，布线图等，并且与他人分享您的文件。

软件支持图文混排和所见即所得的图形打印，并且能一键导出PDF, Word, Visio, PNG, SVG 等17种格式。

目前软件有Mac, Windows和Linux三个版本，满足各种系统需要。

亿图图示绘制“思科网络图”的特点1.专业的教程：亿图图示的软件为用户制作了使用教程的pdf以及视频。

2.可导出多种格式：导出的文件Html，PDF，SVG，Microsoft Word, PowerPoint，Excel等多种格式。

3.支持多系统：支持Windows，Mac 和 Linux的电脑系统，版本同步更新。

4.软件特色：智能排版布局，拖曳式操作，兼容Office。

5.云存储技术：可以保存在云端，不用担心重要的数据图表丢失。

6.丰富的图形符号库助你轻松设计思科网络图如何绘制一个网络拓扑图呢？步骤一：打开绘制网络拓扑图的新页面双击打开网络拓扑图制作软件点击‘可用模板’下标题类别里的‘网络图’。

双击打开一个绘制网络拓扑图的新页面，进入编辑状态。

步骤二：从库里拖放添加从界面左边的符号库里拖动网络符号到画布。

步骤三：放大或缩小图形为了让图形更加的美观，我们还可以对编辑好的图形做一定的放大缩小改动，点击图形四周的绿色小方块拉动鼠标方向键进行相应的调整。

步骤四：添加连接线点击开始菜单里的连接线功能，将光标放在图形的连接点上。

实验七防火墙【实验题目】防火墙【实验目的与要求】（1）理解防火墙的工作原理；（2）掌握基于防火墙的网络安全设计；【实验需求】（1）提供H3C SecPath防火墙一台、交换机一台、计算机5台；（2）掌握防火墙的不同工作模式，并能通过命令行或Web界面配置防火墙的主要功能；【实验步骤】第一部分：防火墙的初级应用（防火墙当作路由器用）第1步：正确连线按图1-1所示的网络拓扑图正确连线，其中一台电脑的串口（COM1）与防火墙的CONSOLE口相连。

IP：192.168.0.XGW：192.168.0.254图1-1 网络拓扑图第2步：清除防火墙内部的配置信息，恢复到出厂状态eset saved-configurationThe saved configuration will be erased.Are you sure?[Y/N]yConfiguration in the device is being cleared.Please wait ...The configuration file does not exist!rebootThis command will reboot the system. Since the current configuration may have been changed, all changes may be lost if you continue. Continue? [Y/N] y#Aug 14 05:29:27:499 2014 H3C DRTMIB/4/REBOOT:Reboot device by command.*********************************************************** ** H3C SecPath Series Gateway BOOTROM, Version 1.14 ** ***********************************************************Copyright (c) 2004-2007 Hangzhou H3C Technologies Co., Ltd.Compiled at Thu Apr 5 09:01:18 HKT 2007Testing memory...OK!128M bytes SDRAM Memory16M bytes Flash MemoryHardware Version is 2.0CPLD Version is 1.0Press Ctrl-B to enter Boot MenuSystem isself-decompressing.................................................. ............................................................................ .... ...................System is starting...User interface Con 0 is available.Press ENTER to get started.第3步：配置W AN和LAN口的IP地址system-viewSystem View: return to User View with Ctrl+Z.[H3C]interface Ethernet 0/3[H3C-Ethernet0/3]ip address 10.64.129.150 255.255.255.0[H3C-Ethernet0/3]q[H3C]interface Ethernet 0/2[H3C-Ethernet0/2]ip address 192.168.0.254 255.255.255.0[H3C-Ethernet0/2]第4步：配置主机IP地址正确配置主机的IP地址、子网掩码、默认网关和DNS服务器地址，如图1-2所示：图1-2 配置主机IP地址第5步：配置静态路由[H3C]ip route-static 0.0.0.0 0.0.0.0 10.64.129.254第6步：配置访问控制列表（ACL）和网络地址翻译（NA T）[H3C]acl number 3000[H3C-acl-adv-3000]rule 1 permit ip source 192.168.0.1 0.0.0.255 destination any [H3C-acl-adv-3000]q[H3C-Ethernet0/3]firewall packet-filter 3000 outbound[H3C-Ethernet0/3]nat outbound 3000[H3C-Ethernet0/3]第7步：把接口设为信任区域并定义为允许访问[H3C]firewall zone trust[H3C-zone-trust]add interface Ethernet 0/3[H3C-zone-trust]add interface Ethernet 0/2[H3C]firewall packet-filter default permit第8步：配置过程中可以随时在用户视图下保存配置信息saveThe configuration will be written to the device.Are you sure?[Y/N]Before pressing ENTER you must choose 'YES' or 'NO'[Y/N]:yNow saving current configuration to the device.Saving configuration flash:/config.cfg. Please wait................Current configuration has been saved to the device successfully.第二部分：防火墙使用进阶【实验需求】（1）提供H3C SecPath防火墙一台、交换机一台、计算机5台；（2）基于防火墙的网络安全拓扑结构，如图2-1所示，通过Web方式来配置防火墙，并验证防火墙的主要功能；IP：192.168.0.XGW：192.168.0.254图2-1 网络拓扑图【实验步骤】第1步：正确连线按图3所示的网络拓扑图正确连线，其中一台电脑的串口（COM1）与防火墙的CONSOLE口相连。

华为防火墙配置使用手册(自己写)一、网络拓扑一台华为USG6000E防火墙，作为网络边界设备，连接内网、外网和DMZ区域。

一台内网交换机，连接内网PC和防火墙的GE0/0/1接口。

一台外网路由器，连接Internet和防火墙的GE0/0/2接口。

一台DMZ交换机，连接DMZ区域的WWW服务器和FTP服务器，以及防火墙的GE0/0/3接口。

一台内网PC，IP地址为10.1.1.2/24，作为内网用户，需要通过防火墙访问Internet和DMZ区域的服务器。

一台WWW服务器，IP地址为192.168.1.10/24，作为DMZ区域的Web 服务提供者，需要对外提供HTTP服务。

一台FTP服务器，IP地址为192.168.1.20/24，作为DMZ区域的文件服务提供者，需要对外提供FTP服务。

Internet用户，需要通过防火墙访问DMZ区域的WWW服务器和FTP服务器。

图1 网络拓扑二、基本配置本节介绍如何进行防火墙的基本配置，包括初始化配置、登录方式、接口配置、安全区域配置等。

2.1 初始化配置防火墙出厂时，默认的管理接口为GE0/0/0，IP地址为192.168.1. 1/24，开启了DHCP服务。

默认的用户名为admin，密码为Admin123。

首次登录防火墙时，需要修改密码，并选择是否清除出厂配置。

步骤如下：将PC与防火墙的GE0/0/0接口用网线相连，并设置PC的IP地址为19 2.168.1.x/24（x不等于1）。

在PC上打开浏览器，并输入192.168.1.1访问防火墙的Web界面。

输入默认用户名admin和密码Admin123登录防火墙，并根据提示修改密码。

新密码必须包含大小写字母、数字和特殊字符，并且长度在8到32个字符之间。

选择是否清除出厂配置。

如果选择是，则会删除所有出厂配置，并重启防火墙；如果选择否，则会保留出厂配置，并进入Web主界面。

2.2 登录方式2.2.1 Web登录Web登录是通过浏览器访问防火墙的Web界面进行管理和配置的方式。