返回
网络安全与防护全套配套课件迟恩宇实训指导3.3-1基于思科路由器的IOS防火墙防护功能配置(IOS_FW).ppt

网络安全与防护全套配套课件迟恩宇实训指导3.3-1基于思科路由器的IOS防火墙防护功能配置(IOS_FW).ppt

ID:51449895

大小:1.85 MB

页数:25页

时间:2020-03-23

网络安全与防护全套配套课件迟恩宇实训指导3.3-1基于思科路由器的IOS防火墙防护功能配置(IOS_FW).ppt_第1页
网络安全与防护全套配套课件迟恩宇实训指导3.3-1基于思科路由器的IOS防火墙防护功能配置(IOS_FW).ppt_第2页
网络安全与防护全套配套课件迟恩宇实训指导3.3-1基于思科路由器的IOS防火墙防护功能配置(IOS_FW).ppt_第3页
网络安全与防护全套配套课件迟恩宇实训指导3.3-1基于思科路由器的IOS防火墙防护功能配置(IOS_FW).ppt_第4页
网络安全与防护全套配套课件迟恩宇实训指导3.3-1基于思科路由器的IOS防火墙防护功能配置(IOS_FW).ppt_第5页
资源描述:

《网络安全与防护全套配套课件迟恩宇实训指导3.3-1基于思科路由器的IOS防火墙防护功能配置(IOS_FW).ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、国家高等职业教育网络技术专业教学资源库计算机网络安全技术与实施学习情境3:实训任务3.3基于思科路由器的IOS防火墙防护功能配置(思科IOS的CBAC+ZPF特性集)内容介绍任务场景1任务相关工具软件介绍2任务设计、规划3任务实施及方法技巧4任务检查与评价5任务总结6任务场景任务相关工具软件介绍任务设计、规划对于一些采用思科路由器接入外网中小型企业网络的接入控制,可以采用基于思科路由器IOS系统特性集的CBAC和ZONE-BASEFIREWALL功能实现对网络的防护与访问控制。任务实施及方法技巧CISCOIOS防火墙技术相关知识与原理CiscoIOS防火墙的功能包括:加密、故障备份服务、认证、

2、实时入侵检测和通过CBAC所实现的基于应用程序的过滤功能。由于标准和扩展访问列表工作于OSI模型的网络层或传输层,因此,他们处理一些应用程序的能力是有限的,基于状态的动态过滤技术可基于OSI模型的应用层来过滤数据包,从而增强其处理能力。思科的IOS路由器防火墙技术大体分三类:包过滤:在思科路由器上的典型应用就是ACLALG应用层代理:一般需要第三方服务器实现状态监测包过滤:可基于CBAC或和ZPF实现(本任务重点针对此项技术实施)凡是使用IOS系统的路由器大体可以实现第一种和第三种防火墙,包过滤防火墙就是传统意义上的ACL列表;状态监测包过滤防火墙就是IOS的CBAC防火墙或者ZBF防火墙。任

3、务实施及方法技巧CISCOIOS防火墙技术相关知识与原理包过滤防火墙:在思科路由器上的典型应用就是ACL无论是标准或扩展的ACL或命令ACL都是属于包过滤技术。ACL对于TCP流量有一个功能是叫做established,理解为记忆放过的包,自动放行回来的流量,这个其实在Linux的IPTables里面也有相应的功能,这个功能算是包过滤防火墙的延伸,这个功能是路由器自动把返回的流量也放过了,是一个方便用户的方式,不用用户在考虑返回的流量了。但这并不能说是真正意义上的状态监测包过滤技术。任务实施及方法技巧CISCOIOS防火墙技术相关知识与原理状态监测包过滤防火墙:可基于CBAC和或ZBF实现状态

4、监测包过滤是监测四层或更高的层的工作过程,因为有些协议会动态的协商出新的端口,状态监测包过滤可监测这种新端口,这种端口ACL是无法感知到的。状态监测包过滤可以通过两种技术实现:CiscoIOS的CBAC(Context-basedAccessControl)技术提供了基于接口的流量保护,可以在任意的接口上针对流量进行保护。CiscoIOS的ZPF(Zone-BasedPolicyFirewall)技术对原有的CBAC功能进行了增强,ZPF策略防火墙改变了老式的基于接口的配置模式,并且提供了更容易理解和更灵活的配置方法。接口需要加入区域,针对流量的审查策略在区域间内部生效。任务实施及方法技巧CI

5、SCOIOS防火墙技术相关知识与原理基于环境或上下文的访问控制CBAC(Context-basedAccessControl)CiscoIOS防火墙是CiscoIOS的一个组件,它可以提供CiscoPIX防火墙上的类似功能。它可以允许管理员在不购买单独防火墙的情况下,有效地对网络提供安全防护。以前使用比较多的是标准访问列表和扩展访问列表,但这两种形式的列表都是静态的,即不在人为参与的情况下,系统不能根据实际情况的变化动态调整列表中的条目。但在实际工作中我们需要更灵活的方式,来提高系统的安全性,Cisco向提供了高级访问列表来满足这种需求。高级访问列表的基本要素是:它可以在不需要管理员介入的情况

6、下自动对访问列表中的条目进行创建和删除。例如反射访问列表、动态访问列表、基于环境的访问控制CBAC(Context-basedAccessControl)等,都是在不对任何配置进行修改的情况下实时创建通道来提供访问机制,这些通道通常是作为对内网到外部所发出的访问请求进行响应而创建的。当启动通道的会话终止后,或当该通道闲置时间超过一个设定值后,则通道被关闭。CiscoIOS防火墙(CBAC)提供了基于接口的流量保护,可以在任意的接口上针对流量进行保护。所有穿过这个接口的流量受到相同的审查策略的保护。这样就降低了防火墙策略实施的颗粒度,同时也给合理的实施防火墙策略造成了困难。任务实施及方法技巧CI

7、SCOIOS防火墙技术相关知识与原理CiscoIOS的ZPF(Zone-BasedPolicyFirewall)技术CiscoIOS的ZPF技术对原有的CBAC功能进行了增强,ZPF策略防火墙改变了老式的基于接口的配置模式,并且提供了更容易理解和更灵活的配置方法。接口需要加入区域,针对流量的审查策略在区域间内部生效。区域内部策略提供了更灵活和更细致的流量审查,不同的审查策略可以应用在与路由器相同接

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。