单选练习题:1、路由功能一般在OSI参考模型的()层实现。
A、物理层B、数据链路层C、网络层D、传输层2、企业级路由器上的console口,缺省的波特率为()A、1200B、4800C、 6400D、96003、路由器上的指示灯,以下()是电源指示灯A、LANB、WANC、WPSD、POWER4、无线WIFI外网的传输速率取决于()A、LAN的速率B、WAN的速率C、天线的数量多少D、WIFI信号的强弱5、路由器上reset键的作用是()A、还原到上一次配置B、恢复到出厂设置C、恢复到第三次保存的配置D、重启路由器6、企业级路由器的命令控制台,通过()接口连接配置线后可进入。
A、LANB、WANC、consoleD、WPS7、无线AP的作用相当于一个()A、蓝牙设备B、卫星设备C、无线交换机D、无线路由器请大家花2分钟完成主讲:陈永川深圳1、路由功能一般在OSI 参考模型的()层实现。
A 、物理层 B 、数据链路层 C 、网络层 D 、传输层2、企业级路由器上的console 口,缺省的波特率为() A 、1200 B 、4800 C 、 6400 D 、96003、路由器上的指示灯,以下()是电源指示灯 A 、LAN B 、WAN C 、WPS D 、POWER4、无线WIFI 外网的传输速率取决于() A 、LAN 的速率 B 、WAN 的速率 C 、天线的数量多少 D 、WIFI 信号的强弱5、路由器上reset 键的作用是() A 、还原到上一次配置 B 、恢复到出厂设置 C 、恢复到第三次保存的配置 D 、重启路由器 6、企业级路由器的命令控制台,通过( )接口连接配置线后可进入。
A 、LAN B 、WAN C 、console D 、WPS7、无线AP 的作用相当于一个() A 、蓝牙设备 B 、卫星设备 C 、无线交换机 D 、无线路由器单选练习题(参考答案):你答对了吗?C C CD D B BFirewall熟悉防火墙的基本功能,每项功能的作用,理解专业术语。
知识目标 通过华为模拟器,能完成防火墙的基本配置技能目标 培养接受新事物、新技能的能力,踏实严谨的工作作风情感目标 通过华为USG6308的实际物理设备,进行实操训练讲解实战教学目标教学重点防火墙功能防火墙的基本功能,每项功能的作用华为模拟器防火墙的基本配置华为USG6308企业级防火墙华为USG6308企业级防火墙实操训练讲解案例分析,华为典型配置NAT server 的理解与配置相关的指令防火墙的基本配置理解USG6308中配置项目的顺序与功能实战防火墙如何加载usg6000防火墙的系统模拟包,访问模拟防火墙华为模拟器NAT 、策略、域、VPN 、包过滤、防火墙的局限性防火墙的功能教学难点引入随着Internet的日益普及,开放式的网络带来了许多不安全的隐患。
在开放网络式的网络上,我们的周围存在着许多不能信任的计算机(包括在一个LAN之间),这种这些计算机对我们私有的一些敏感信息造成了很大的威胁。
在大厦的构造中,防火墙被设计用来防止火灾从大厦的一部分传播到大厦的另一部分。
我们所涉及的“防火墙”具有类似的目的:“防止Internet的危险传播到你的内部网络”。
一、什么叫防火墙1、内部和外部之间的所有网络数据流必须经过防火墙。
2、只有被安全政策允许的数据包才能通过防火墙。
3、防火墙本身要具有很强的抗攻击、渗透能力。
防火墙的特性防火墙(Fire Wall):简单的说,网络安全的第一道防线,是位于两个信任程度不同的网络之间(如企业内部网络和Internet 之间)的设备,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。
防火墙 = 硬件 + 软件 + 控制策略概念1、宽松控制策略:除非明确禁止,否则允许。
2、限制控制策略:除非明确允许,否则禁止。
策略二、防火墙在安全体系中的位置门防火墙监视器入侵检测系统加固的房间系统加固、免疫安全传输加密、VPN监控室安全管理中心门禁系统身份认证、访问控制保安员扫描器、漏洞查找攻击防范,扫描检测防攻击、检测Text HereA BCDE监控和审计监控和审计网络的存取和访问:防病毒、入侵检测、认证、加密、远程管理、代理 ……防御兼备提供网络地址翻译(NAT)、虚拟专用网(VPN)等功能部署于网络边界三、防火墙的基本功能过滤进出网络的数据,管理进出网络的访问行为,封堵某些禁止的业务,记录通过防火墙的信息内容和活动,对网络攻击进行检测和告警。
深度检测对某些协议进行相关控制三、防火墙的基本功能——功能模块应用程序代理包过滤&状态检测用户认证NATVPN日志IDS 与报警内容过滤四、防火墙的局限性•防火墙不是解决所有网络安全问题的万能药方,只是网络安全政策和策略中的一个组成部分。
•防外不防内(内网用户和内外串通);•不能防备全部的威胁,特别是新产生的威胁;•在提供深度检测功能以及防火墙处理转发性能上需要平衡;•当使用端-端加密时,即有加密隧道穿越防火墙的时候不能处理;•目前的防火墙,在网络层可靠性组网中解决单点故障的组网不够灵活并且存在应用限制;•防火墙本身可能会存在性能瓶颈,如抗攻击能力,会话数限制等;五、防火墙的分类与工作原理包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的IP 源地址、目的地址、TCP/ UDP 的源端口、和TCP/UDP 的目的端口。
这是一种基于网络层的安全技术,对于应用层的黑客行为无能为力。
包过滤防火墙每包需要都进行策略检查,策略过多会导致性能急剧下降。
该firewall 对任何应用需配置双方向的ACL 规则包过滤防火墙代理型防火墙使得防火墙做为一个访问的中间节点,对Client 来说防火墙是一个Server ,对Server 来说防火墙是一个Client 。
代理型防火墙安全性较高,但是开发代价很大。
对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。
代理防火墙状态检测是一种高级通信过滤。
它检查应用层协议信息并且监控基于连接的应用层协议状态。
状态防火墙中会动态维护着一个Session 表项,通过Session 表项来检测基于TCP/UDP 连接的连接状态,动态地判断报文是否可以通过,从而决定哪些连接是合法访问,哪些是非法访问。
状态检测防火墙IP 报头TCP/UDP 报头数据协议号 源地址 目的地址源端口 目的端口访问控制列表由这5个元素来组成定义的规则五、防火墙的关键技术防火墙的关键技术主要包含有:•包过滤技术(原理见上页)•代理技术(原理见上页)•状态检测技术(原理见上页)•网络地址翻译 NAT(如:多用户使用一条外网线路上网时,将LAN地址转换为统一的外网地址)•虚拟专用网 VPN(虚拟专用网,如:总公司与分公司通过外网线路建立安全通信,相当于形成远距离的LAN网传输)•应用协议特定的包过滤技术ASPF(aspf能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。
)•双机热备技术(如:主备式防火墙,其中一个坏了,另一个马上启用,不中断业务)•QOS技术(根据业务需求,解决上下行带宽流量控制问题)•应用层流控技术包括P2P限流(针对P2P视频流量与下载流量进行控制)•防攻击技术,DPI技术(深度包检测DPI技术可使用其三大类的检测手段:基于应用数据的“特征值”检测、基于应用层协议的识别检测、基于行为模式的数据检测)六、防火墙基本概念——安全区域(Zone )域(Zone )域是防火墙上引入的一个重要的逻辑概念;通过将接口加入域并在安全区域之间启动安全检查(称为安全策略),从而对流经不同安全区域的信息流进行安全过滤。
常用的安全检查主要包括基于ACL 和应用层状态的检查接口1接口接口3Untrust 区域DMZ 区域Trust 区域Local 区域接口5防火墙的内部划分为多个区域,所有的转发接口都唯一的属于某个区域非信任区,优先级5 如:外网线路 internet非军事区,优先级50 常用于接服务器server信任区,优先级85 如:LAN 内网范围 本地区域,优先级100 如:防火墙管理端口六、防火墙基本概念——安全区域(Zone)配置[huawei ] firewall zone trust #进入防火墙的trust域[huawei ] -zone-trust]add Gigabit-ethernet 0/1/3 #将端口0/1/3加入到该区域[huawei ] firewall zone dmz #进入防火墙的dmz域[huawei -zone-dmz] add interface ethernet 0/1/2 #将端口0/1/2加入到该区域[huawei -zone-dmz]quit #返回到上一级操作提示符[huawei ] firewall zone untrust #进入防火墙的untrust域[huawei -zone-untrust] add interface ethernet 0/1/1 #将端口0/1/1加入到该区域[huawei -zone-untrust] add interface ethernet 0/1/4 #将端口0/1/4加入到该区域注:如果接口没有加入域的话该接口将不能转发不报文,同样对于虚接口、虚模板、子接口也是如此六、防火墙基本概念——域间(interZone)配置(一)•域间(InterZone):•防火墙在引入域概念的同时也引入了域间概念;任何不同的安全域之间形成域间关系,SecPath 防火墙上大部分规则都是配置在域间上,为了便于描述同时引入了域间方向的概念:•inbound :•报文从低优先级区域进入高优先级区域为入方向;•outbound :•报文从高优先级区域进入低优先级区域为出方向;• 说明:•安全策略只能应用在安全区域之间(即配置在域间),从而对分属不同安全区域的接口之间的信息流根据配置的安全策略进行安全检查。
•一个安全域间的某个方向上只能配置一条域间包过滤规则。
六、防火墙基本概念——域间(interZone )配置(二)接口3接口1Local 区域Trust 区域DMZ 区域Untrust 区域Eudemon外部网络接口2123456781091112内部网络# 在Trust 和Untrust 区域间出方向(上图中箭头3所示)上应用安全策略(例如ACL3101规则)。
[huawei ] firewall interzone trust untrust[huawei -interzone-trust-untrust] packet-filter 3101 outbound 注:在防火墙上包过滤规则,Nat outbound 等只能配置在域间NAT (Network Address Translation ,地址转换)是将IP 数据报报头中的IP 地址转换为另一个IP 地址的过程,原理如下图:P C202.130.10.3Server 202.120.10.2Server192.168.1.2P C 192.168.1.3E udemon E th0/0/0202.169.10.1E th0/0/0192.168.1.1Trust Untrust数据报1:源:192.168.1.3目的:202.120.10.2数据报2:源:202.120.10.2目的:202.169.10.1数据报1:源:202.169.10.1目的:202.120.10.2数据报2:源:202.120.10.2目的:192.168.1.3Internet七、防火墙基本概念——nat 地址转换八、华为防火墙USG6308实操视频讲解视频主要带领大家一起了解如下内容的配置项在哪,专业的配置非几个课时能完成的:(一)将接口加入到对应的域zone(二)配置外网接口的IP地址或是用户名密码(三)配置内网IP地址(四)配置域间安全策略(五)配置NAT地址转换,使内网用户能上外网(六)配置多WAN出口全局选路,当有多条外网线路时,根据配置选择外网出口(七)配置策略路由,具体指定源地址、源端口、目的地址、目的端口的网段走哪一条外网出口(八)配置静态路由与动太路由,用于三层网络之间的通信九、华为防火墙USG6000模拟器,实操视频讲解(一)如何使用ENSP模拟器(二)加载USG6000.vid,完成模拟防火墙的启动(三)如何进行模拟器,开始实验华为防火墙实物图及接口展示十、练习题(一)选择题1、防火墙中的域zone,local的安全级别是()A、100B、85C、5D、502、server服务器一般放在()安全区域A、trustB、untrustC、localD、dmz3、防火墙的特征是()A、防内也防外B、防内不防外C、防外不防内D、不防外也不防内4、防火墙有以下()几种类型A、包过滤防火墙B、代理防火墙C、状态检测防火墙D、病毒防火墙5、以下()是NAT技术的作用A、安全检测B、带宽流量控制C、网络地址转换D、木马防御(二)模拟器实操题外部网络(Internet)服务器P CP C202.10.0.0/24 Trust区服务器E udemonP C10.110.1.0/24202.10.0.110.110.1.254内部网络Untrust区Router如上图所示,在防火墙中完成相关配置,并写出配置指令十、练习题参考答案:(一)选择题1、防火墙中的域zone ,local 的安全级别是( ) A 、100 B 、85 C 、5 D 、502、server 服务器一般放在()安全区域 A 、trust B 、untrust C 、local D 、dmz 3、防火墙的特征是() A 、防内也防外 B 、防内不防外 C 、防外不防内 D 、不防外也不防内 4、防火墙有以下()几种类型 A 、包过滤防火墙 B 、代理防火墙 C 、状态检测防火墙 D 、病毒防火墙 5、以下()是NAT 技术的作用 A 、安全检测 B 、带宽流量控制 C 、网络地址转换 D 、木马防御A D C ABC C 你答对了吗?全对的话,老师期末给加分喔十一、小结本课主要讲解了如下内容:(一)防火墙的概念(二)防火墙的基本功能(三)防火墙的局限性(四)防火墙的分类与工作原理(五)防火墙的关键技术有哪些(六)防火墙的安全区域及配置(七)防火墙的域间区域及配置(八)防火墙的NAT地址转换(九)华为模拟器上如何使用防火墙(十)华为USG6308设备的配置主要项目所在界面谢谢观赏。