防火墙技术及应用实验指导/网络空间安全重点规划丛书

作者简介

内容简介

第3章防火墙基本应用 本章主要通过对实践案例的学习，完成下一代防火墙 常见网络安全功能的学习，包括防火墙服务和应用管理策 略设置，内容安全管理策略设置，安全防护策略设置和防 火墙常见网络应用技术（VPN和QOS技术）的部署。通过实 验加深对以上技术的理解，掌握技术的实际应用场景，提 升实践能力。 3.1服务及应用管理【实验目的】 管理员通过引用预定义服务或添加自定义服务来为防 火墙安全策略、NAT等规则提供基础配置。 【知识点】 服务管理、目的NAT、安全策略。 【实验场景】 一年前A公司采购了一台防火墙，体验非常好，对常见 的应用和服务的控制体验都不错。近日，安全运维工程师 遇到了一个棘手的问题，公司最近新开发了一项服务，公 司领导要求对这项服务的访问进行控制，但是由于该服务 是公司自己开发的，防火墙的预置对象中没有这项服务， 请思考应如何通过配置防火墙解决这个问题。 【实验原理】 传统防火墙的访问控制或流量管理粒度粗放，只能基 于IP/端口号（服务）对数据流量进行全面允许或禁止。下 一代防火墙可以对数据流量和访问来源进行精细化的识别 和分类（应用），对识别出的应用和用户施加细粒度、有 区别的访问控制策略、流量管理策略和安全扫描策略。 精细化识别与分类的实现方法: (1) 可从同一个端口协议的数据流量中辨识出任意不 同的应用。 (2) 从无序的IP地址中辨识出有意义的用户身份信息 ，从而对数据访问进行精确控制。 【实验设备】  安全设备: 防火墙设备1台。  主机终端: Windows XP SP3主机1台，Windows Server 2003 SP1主机1台,Windows 7主机1台。 【实验拓扑】 实验拓扑如图31所示。 图31防火墙服务管理实验拓扑 【实验思路】 (1) 添加自定义服务。 (2) 配置自定义服务对象及其参数。 (3) 添加安全策略并引用服务对象。 (4) 虚拟机访问Web服务器。 防火墙技术及应用实验指导第3章防火墙基本应用【实 验要点】 理解下一代防火墙服务定义和应用定义的区别。 下一代防火墙管理员可单击“对象配置”→“服务” ，添加自定义服务，之后单击“策略配置”→“安全策略 ”，添加安全规则来引用服务对象，使用户能够正常访问 服务。 【实验步骤】 本书是“防火墙技术及应用”课程的配套实验指导教材。通过实践教学，理解和掌握防火墙的基本配置、网络管理、基本应用和高级应用，从而培养学生对防火墙设备的部署、应用和日常运维能力。本书适合作为网络空间安全、信息安全等相关专业的学生课程的教材和参考资料。