網(wǎng)絡(luò)安全技術(shù)(2)防火墻與地址轉(zhuǎn)換V20_第1頁
網(wǎng)絡(luò)安全技術(shù)(2)防火墻與地址轉(zhuǎn)換V20_第2頁
網(wǎng)絡(luò)安全技術(shù)(2)防火墻與地址轉(zhuǎn)換V20_第3頁
網(wǎng)絡(luò)安全技術(shù)(2)防火墻與地址轉(zhuǎn)換V20_第4頁
網(wǎng)絡(luò)安全技術(shù)(2)防火墻與地址轉(zhuǎn)換V20_第5頁
已閱讀5頁,還剩45頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

Chapter11網(wǎng)絡(luò)安全技術(shù)ISSUE2.0學(xué)習(xí)目標掌握一般防火墻技術(shù)掌握地址轉(zhuǎn)換技術(shù)學(xué)習(xí)完本課程,您應(yīng)該能夠:2課程內(nèi)容

第一節(jié)防火墻第二節(jié)地址轉(zhuǎn)換3IP包過濾技術(shù)介紹(防火墻示意圖)對路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包,先獲取包頭信息,然后和設(shè)定的規(guī)則進行比較,根據(jù)比較的結(jié)果對數(shù)據(jù)包進行轉(zhuǎn)發(fā)或者丟棄。而實現(xiàn)包過濾的核心技術(shù)是訪問控制列表。未授權(quán)用戶公司總部內(nèi)部網(wǎng)絡(luò)辦事處4路由器實現(xiàn)防火墻功能IP報文轉(zhuǎn)發(fā)機制IPPacketIPPacket網(wǎng)絡(luò)層數(shù)據(jù)鏈路層規(guī)則查找機制輸入報文規(guī)則庫手工配置規(guī)則生成機制手工配置規(guī)則生成機制規(guī)則查找機制輸出報文規(guī)則庫由規(guī)則決定報文轉(zhuǎn)發(fā)動作:丟棄或轉(zhuǎn)發(fā)由規(guī)則決定報文轉(zhuǎn)發(fā)動作:丟棄或轉(zhuǎn)發(fā)5訪問控制列表的作用訪問控制列表可以用于防火墻;訪問控制列表可用于QoS(QualityofService),對數(shù)據(jù)流量進行控制;在DCC中,訪問控制列表還可用來規(guī)定觸發(fā)撥號的條件;訪問控制列表還可以用于地址轉(zhuǎn)換;在配置路由策略時,可以利用訪問控制列表來作路由信息的過濾。6訪問控制列表的定義一個IP數(shù)據(jù)包如下圖所示(圖中IP所承載的上層協(xié)議為TCP/UDP):IP報頭TCP/UDP報頭數(shù)據(jù)協(xié)議號源地址目的地址源端口目的端口對于TCP/UDP來說,這5個元素組成了一個TCP/UDP相關(guān),訪問控制列表就是利用這些元素定義的規(guī)則7訪問控制列表的分類按照訪問控制列表的用途可以分為四類:基本的訪問控制列表(basicacl)高級的訪問控制列表(advancedacl)基于接口的訪問控制列表(interface-basedacl)基于MAC的訪問控制列表(mac-basedacl)8訪問控制列表的標識利用數(shù)字標識訪問控制列表利用數(shù)字范圍標識訪問控制列表的種類列表的種類數(shù)字標識的范圍基于接口的訪問控制列表1000~1999基本的訪問控制列表2000~2999高級的訪問控制列表3000~3999基于MAC地址訪問控制列表4000~49999基本訪問控制列表基本訪問控制列表只使用源地址描述數(shù)據(jù),表明是允許還是拒絕。從/24來的數(shù)據(jù)包可以通過!從/24來的數(shù)據(jù)包不能通過!路由器10基本訪問控制列表的配置配置基本訪問列表的命令格式如下:acl

number

acl-number[match-order{config|auto}]rule[rule-id]{permit|deny}[sourcesour-addrsour-wildcard|any][time-range

time-name][logging][fragment][vpn-instance

vpn-instanc-name]怎樣利用IP地址和

反掩碼wildcard-mask來表示一個網(wǎng)段?11反掩碼的使用反掩碼和子網(wǎng)掩碼相似,但寫法不同:0表示需要比較1表示忽略比較反掩碼和IP地址結(jié)合使用,可以描述一個地址范圍。000255只比較前24位003255只比較前22位0255255255只比較前8位12高級訪問控制列表高級訪問控制列表使用除源地址外更多的信息描述數(shù)據(jù)包,表明是允許還是拒絕。從/24來的,到0的,使用TCP協(xié)議,利用HTTP訪問的數(shù)據(jù)包可以通過!路由器13高級訪問控制列表的配置高級訪問控制列表規(guī)則的配置命令:rule[rule-id]{permit|deny}protocol[source

sour-addrsour-wildcard|any][destination

dest-addrdest-mask|any][soucre-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-message|icmp-type

icmp-code}][precedence

precedence][tos

tos][time-range

time-name][logging][fragment][vpn-instance

vpn-instanc-name]14高級訪問控制列表操作符操作符及語法意義eqportnumber等于端口號portnumbergtportnumber

大于端口號portnumberltportnumber

小于端口號portnumberneqportnumber不等于端口號portnumberrangeportnumber1portnumber2介于端口號portnumber1

和portnumber2之間15高級訪問控制列表舉例ruledenyicmpsource55destinationanyicmp-typehost-redirect

ruledenytcpsource55destination55destination-porteqwwwlogging

/16ICMP主機重定向報文TCP報文/16/24WWW端口16基于接口的訪問控制列表基于接口的訪問控制列表的配置aclnumberacl-number[match-order{config|auto}]rule{permit|deny}[interface

interface-name][time-range

time-name][logging]undorule

rule-id17訪問控制列表的使用防火墻配置常見步驟:啟用防火墻定義訪問控制列表將訪問控制列表應(yīng)用到接口上公司總部網(wǎng)絡(luò)啟用防火墻將訪問控制列表應(yīng)用到接口上18防火墻的屬性配置命令打開或者關(guān)閉防火墻firewall{enable|disable}設(shè)置防火墻的缺省過濾模式firewalldefault{permit|deny}顯示防火墻的統(tǒng)計信息displayfirewall-statistics{all|interface

interface-name|fragments-inspect}

打開防火墻包過濾調(diào)試信息開關(guān)debuggingfirewall

{all|icmp|tcp|udp|others}[interfaceinterface-name

]19訪問控制列表的顯示訪問控制列表的顯示與調(diào)試display

acl{all|acl-number}reset

acl

counter{all|acl-number}20在接口上應(yīng)用訪問控制列表將訪問控制列表應(yīng)用到接口上指明在接口上是OUT還是IN方向在接口視圖下配置:firewall

packet-filter

acl-number{inbound|outbound}[match-fragments{normally|exactly}]Ethernet0/0訪問控制列表3000作用在Ethernet0/0接口在out方向有效Serial0/0訪問控制列表2000作用在Serial0/0接口上在in方向上有效21基于時間段的包過濾“特殊時間段內(nèi)應(yīng)用特殊的規(guī)則”上班時間(上午8:00-下午5:00)只能訪問特定的站點;其余時間可以訪問其他站點22時間段的配置命令timerange命令time-rangetime-name[start-timetoend-time][days][

fromtime1date1][totime2date2]顯示timerange命令displaytime-range{all|time-name}23訪問控制列表的匹配規(guī)則一條訪問列表可以由多條規(guī)則組成,對于這些規(guī)則,有兩種匹配順序:auto和config。規(guī)則沖突時,若匹配順序為auto(深度優(yōu)先),描述的地址范圍越小的規(guī)則,將會優(yōu)先考慮。深度的判斷要依靠通配比較位和IP地址結(jié)合比較ruledenysource55rulepermitsource55兩條規(guī)則結(jié)合則表示禁止一個大網(wǎng)段()上的主機但允許其中的一小部分主機()的訪問規(guī)則沖突時,若匹配順序為config,先配置的規(guī)則會被優(yōu)先考慮。24ASPF技術(shù)FTP客戶端內(nèi)部接口ASPF路由器FTP服務(wù)器外部接口25TCPSYNFlooding攻擊圖示攻擊者ASPF路由器服務(wù)器正常用戶bcaS=c,D=a;TCPSYN:dport:ftp,sport:1001S=a,D=c;TCPSYNACK:dport:1001,sport:ftpS=c,D=a;TCPACK:dport:ftp,sport:1001S=X1,D=a;TCPSYN:dport:ftp,sport:1001S=a,D=X1;TCPSYNACK:dport:1001,sport:ftpS=Xn,D=a;TCPSYN:dport:ftp,sport:1001S=a,D=Xn;TCPSYNACK:dport:1001,sport:ftpOK分配資源等待回應(yīng)分配資源等待回應(yīng)、、26防火墻綜合實驗FTP服務(wù)器Telnet服務(wù)器WWW服務(wù)器公司特定用戶FTP服務(wù)器Telnet服務(wù)器WWW服務(wù)器公司內(nèi)部局域網(wǎng)E0/0:外部特定用戶S0/0:S0/0:E0/0:外部網(wǎng)27實驗要求1、首先設(shè)置公司內(nèi)部局域網(wǎng)都禁止訪問外網(wǎng)2、只允許公司特定用戶訪問外部網(wǎng)絡(luò)3、允許公司FTP服務(wù)器訪問外部特定用戶4、外部網(wǎng)絡(luò)只有特定用戶可以訪問內(nèi)部Telnet、FTP服務(wù)器;但允許所有外部主機訪問WWW服務(wù)器*請實驗防火墻其他配置命令28課程內(nèi)容

第一節(jié)防火墻第二節(jié)地址轉(zhuǎn)換29地址轉(zhuǎn)換的提出背景地址轉(zhuǎn)換(NAT)是在IP地址日益短缺的情況下提出的。一個局域網(wǎng)內(nèi)部有很多臺主機,可是不能保證每臺主機都擁有合法的IP地址,為了達到所有的內(nèi)部主機都可以連接Internet網(wǎng)絡(luò)的目的,可以使用地址轉(zhuǎn)換。地址轉(zhuǎn)換(NAT)技術(shù)可以有效的隱藏內(nèi)部局域網(wǎng)中的主機,因此同時是一種有效的網(wǎng)絡(luò)安全保護技術(shù)。地址轉(zhuǎn)換(NAT)可以按照用戶的需要,在局域網(wǎng)內(nèi)部提供給外部FTP、WWW、Telnet等服務(wù)。30私有地址和公有地址LAN1LAN2LAN3私有地址范圍:-55-55-5531地址轉(zhuǎn)換的原理局域網(wǎng)PC2PC1IP:Port:3000IP報文IP:Port:4000IP:Port:3010IP:Port:4001地址轉(zhuǎn)換32利用ACL控制地址轉(zhuǎn)換可以使用訪問控制列表來決定哪些主機可以訪問Internet,哪些不能。PC1局域網(wǎng)PC2設(shè)置訪問控制列表控制PC1可以通過地址轉(zhuǎn)換訪問Internet,而PC2則不行。33地址轉(zhuǎn)換的配置任務(wù)列表定義一個訪問控制列表,規(guī)定什么樣的主機可以訪問Internet。采用EASYIP或地址池方式提供公有地址。根據(jù)選擇的方式(EASYIP方式還是地址池方式),在連接Internet接口上允許地址轉(zhuǎn)換。根據(jù)局域網(wǎng)的需要,定義合適的內(nèi)部服務(wù)器。34EasyIP配置EasyIP:在地址轉(zhuǎn)換的過程中直接使用接口的IP地址作為轉(zhuǎn)換后的源地址。在接口視圖下直接配置:natoutboundacl-number

局域網(wǎng)PC2PC1PC1和PC2可以直接使用S0/0接口的IP地址作為地址轉(zhuǎn)換后的公用IP地址S0/0:35使用地址池進行地址轉(zhuǎn)換地址池用來動態(tài)、透明的為內(nèi)部網(wǎng)絡(luò)的用戶分配地址。它是一些連續(xù)的IP地址集合,利用不超過32字節(jié)的字符串標識。地址池可以支持更多的局域網(wǎng)用戶同時上Internet。PC1局域網(wǎng)PC2地址池36使用地址池進行地址轉(zhuǎn)換定義地址池nataddress-groupgroup-number

start-addrend-addr

在接口上使用地址池進行地址轉(zhuǎn)換natoutboundacl-number

address-group

group-number[no-pat]37一對一的地址轉(zhuǎn)換配置從內(nèi)部地址到外部地址的一對一轉(zhuǎn)換natstatic

ip-addr1ip-addr2

使已經(jīng)配置的NAT一對一轉(zhuǎn)換在接口上生效natoutboundstatic

38內(nèi)部服務(wù)器的應(yīng)用內(nèi)部服務(wù)器外部用戶E0/0Serial0/0內(nèi)部地址:內(nèi)部端口:80外部地址:外部端口:80IP:配置地址轉(zhuǎn)換:IP地址:←→端口:80←→80允許外部用戶訪問內(nèi)部服務(wù)器39內(nèi)部服務(wù)器的配置內(nèi)部服務(wù)器配置命令natserver[vpn-instancevpn-instance-name]protocolpro-typeglobalglobal-addr[global-port]

insidehost-addr[host-port]natserver[vpn-instancevpn-instance-name]protocolpro-typeglobalglobal-addrglobal-port1global-port2insidehost-addr1host-addr2host-port

此例的配置natserverprotocoltcpglobal80inside80

40NAT的監(jiān)控與維護顯示地址轉(zhuǎn)換配置displaynat{address-group|aging-time|all|outbound|server|statistics|session[vpn-instance

vpn-instance-name][slotslot-number][destinationip-addr

][sourceglobalglobal-addr|sourceinsideinside-addr

]}

設(shè)置地址轉(zhuǎn)換連接有效時間nataging-time{default|{dns|ftp-ctrl|ftp-data|icmp|pptp|tcp|tcp-fin|tcp-syn|udp}seconds}

清除地址轉(zhuǎn)換連接resetnat{log-entry|sessionslotslot-number}

打開nat調(diào)試開關(guān)debuggingnat{alg|event|packet[interfaceinterface-typeinterface-number]}

41地址轉(zhuǎn)換的缺點地址轉(zhuǎn)換對于報文內(nèi)容中含有有用的地址信息的情況很難處理。地址轉(zhuǎn)換不能處理IP報頭加密的情況。地址轉(zhuǎn)換由于隱藏了內(nèi)部主機地址,有時候會使網(wǎng)絡(luò)調(diào)試變得復(fù)雜。42NAT(內(nèi)網(wǎng)-外網(wǎng)〕實現(xiàn)流程公網(wǎng)地址私網(wǎng)地址私網(wǎng)端口公網(wǎng)端口10011044內(nèi)部網(wǎng)絡(luò)/8NAT路由器公用地址池

DI:,SI:DP:21,SP:1001DI:,SI:DP:21,SP:1044DI:,SI:DP:1001,SP:21NAT路由器查找地址表NAT路由器增加地址轉(zhuǎn)換表項12345DI:,SI:DP:1044,SP:2143NAT(外網(wǎng)-內(nèi)網(wǎng)〕實現(xiàn)流程公網(wǎng)地址私網(wǎng)地址私網(wǎng)端口公網(wǎng)端口2121內(nèi)部網(wǎng)絡(luò)/8NAT路由器公用地址池

DI:,SI:DP:21,SP:1044DI:,SI:DP:1044,SP:21DI:,SI:DP:1044,SP:21路由器查找地址轉(zhuǎn)換表并實施地址轉(zhuǎn)換路由器查找地址轉(zhuǎn)換表并實施地址轉(zhuǎn)換12345FTP客戶FTP服務(wù)器6靜態(tài)配置地址轉(zhuǎn)換表項DI:,SI:DP:21,SP:104444訪問列表和地址轉(zhuǎn)換應(yīng)用實例FTP服務(wù)器Telnet服務(wù)器WWW服務(wù)器公司內(nèi)部局域網(wǎng)特定的外部用戶45配置步驟按照實際情況需要以下幾個步驟:允許防火墻定義擴展的訪問控制列表在接口上應(yīng)用訪問控制列表在接口上利用訪問控制列表定義地址轉(zhuǎn)換配置內(nèi)部服務(wù)器的地址映射關(guān)系46配置命令[Quidway]firewallenable [Quidway]firewalldefaultpermit[Quidway]aclnumber3000match-orderauto[Quidway-acl-adv-3000]ruledenyipsourceanydestinationany[Quidway-acl-adv-3000]rulepermitipsource0destinationany[Quidway-acl-adv-3000]rule

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論