ITPub博客

首页 > IT基础架构 > 网络安全 > 安全课程[二]

安全课程[二]

原创 网络安全 作者:wodemingzizhen 时间:2005-03-01 12:14:49 0 删除 编辑
在安装说明文件中有checkpoint所适合的版本 [@more@]

基本命令:

echo $FWDIR: CP可执行文件目录

echo $CPDIR: CP的程序所在位置

echo $PATH: LINUX系统的可执行文件路径

fw stat: 查看CP默认规则

fw unloadlocal: 卸载默认规则

在/opt/cpfw1-R55/bin中,存放CP的可执行命令,如fwstart、fwstop、cpconfig。

cpconfig进入cp配置模式。

linux中各变量可直接引用,例:cd $FWDIR。

从客户端访问防火墙,需要在linux下的cpconfig与windows下的checkpoint config中设置client端,并去掉CP默认规则,就可从client端远程访问防火墙了。

实验:

允许外网访问内网并为内网主机加NAT:[前提:防火墙主机有两块网卡,一块内网卡,一块外网卡]

1、加防火墙

2、加内网主机节点(node)

3、为内网主机分配IP,做NAT(静态)

4、在规则中添加协议源ANY通过NAT地址可访问内网主机,但只能通过80[http]端口(在SERVICE中指定HTTP协议)

5、拒绝所有源主机访问目的主机ANY-ANY[DORP]

RAIUS

RADIUS协议最初的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议。RADIUS是一种C/S结构的协议,它的客户端最初就是NAS服务器,现在任何运行RADIUS客户端软件的计算机都可以成为 RADIUS的客户端。RADIUS协议认证机制灵活,可以采用PAP、CHAP或者 Unix登录认证等多种方式。

 AAA

用AAA可以提高网络访问控制的可扩展性,在网络中被广泛应用。AAA的三个部分定义如下:
认证(Authentication):认证用以确定用户的身份,以及是否允许他们访问网络。认证使网络管理员可以阻止入侵者进入网络。
授权(Authorization):授权使网络管理员可以限制每个用户可获得的网络服务。授权也有助于限制内部网络对外部访问者的暴露。授权可以使移动用户只需连接到离他最近的本地连接,就能够享有同样的访问特权。我们也可以用授权来规定在某些具体的网络设备上,一名新的系统管理员可以发出哪些命令。
统计(Accounting):系统管理员也许需要对部门或客户根据网络连接时间或使用的资源(例如所传输的字节)进行收费。统计可以跟踪并记录这类信息。我们也可以使用统计的系统日志(syslog)来跟踪试图进入网络的可疑连接以及跟踪恶意的活动。

AAA包括RADIUS。

从内网出去的NAT地址必须在与外网交界的主机地址上加静态ARP协议(由于通过此主机出去),来映射此主机的MAC地址,以便识别此NAT地址。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/183680/viewspace-791405/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2010-01-31

  • 博文量
    178
  • 访问量
    5549702