防火墙技术.ppt

《防火墙技术.ppt》由会员分享，可在线阅读，更多相关《防火墙技术.ppt（52页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、网络安全体系结构（防火墙技术）防火墙技术 防火墙的配置方式防火墙的工作模式访问控制技术透明桥模式路由接入网络地址转换防火墙的配置方式图形配置方式管理软件命令行配置方式telnetssh两种方式的对比防火墙管理通过超级终端登录防火墙在超级终端添加管理员用户和密码，并设置登录区间 angellpro(config)#user test type admin angellpro(config)#password test angellpro(config)#user test host 172.16.100.1-172.16.100.254 angellpro(config)#user test l

2、ogintype ssh angellpro(config)#user test logintype GUI angellpro(config)#enable shh angellpro(config)#enable telnet angellpro(config)#enable ping 在管理机通过GUI界面或PUTTY软件以SSH方式登录防火墙用户权限系统操作员只读权限系统管理员只读权限配置权限超级管理员只读权限配置权限增删用户-命令体系结构 Console下使用命令行进行调试诊断或配置！特权模式配置模式Conf tConf texitexitXXXXXXexitexit诊断操作重起操作

3、查看操作接口配置区域配置PPTP配置DHCP配置认证配置访问策略日志配置路由配置地址翻译login恢复出厂设置在出现Default(d)/LastSuccess(l)/LastSaved(s)时 输入选项【d】Default（d）:防火墙的出厂默认配置 LastSuccess(d):最近一次成功启动时的配置 LastSaved（s）:最后保存的配置信息 ConsoleConsole Starting Firewall Self Testing.OKStarting Firewall Self Testing.OKPreparing for Firewall Starting.OKPrepari

4、ng for Firewall Starting.OKPlease select which Please select which configconfig to load in 6 seconds.to load in 6 seconds.Default(Default(d)/LastSuccessd)/LastSuccess(l)/LastSaved(s)(sl)/LastSaved(s)(s):):*Welcome to Firewall!*防火墙的配置流程配置步骤：接口设置区域设置路由设置访问策略NAT设置配置接口参数将接口加入定义的区域添加网络中需要的路由表配置所需要的不同NAT配

5、置策略并应用到区域之间适合于地址混合的网络环境中工作适合于地址混合的网络环境中工作地址参数表示IP地址使用标准的表示方法，用于接口地址和地址池等如：192.168.0.1，掩码为255.255.255.0或/24表示一台主机使用全部为255.255.255.255的掩码，用于功能模块如：192.168.0.2，掩码为255.255.255.255或/32表示一个网络使用地址和掩码的尾数为零，用于路由、策略规则中如：192.168.0.0，掩码为255.255.255.0或/24表示所有的网络，全部地址和掩码全部为零，用于路由、策略规则中如：0.0.0.0，掩码为0.0.0.0或/0地址配置为不

6、同的网络接口分配相应的地址A网段B网段IP_AIP_BIP_CC网段B网段网络地址规划为防火墙的安装做好准备工作网络地址规划为防火墙的安装做好准备工作网络区域 通过设置防火墙控制不同网络之间的访问关系 形成了彼此之间安全等级的差异区域区域 A A区域区域 B B区域区域 C C防火墙防火墙防火墙区域区域 D D安全等级区域划分OutsideOutsideInsideInsideDmzDmz典型安全区域传统安全设备对安全区域的划分方式传统安全设备对安全区域的划分方式防火墙的工作模式根据网络拓扑结构划分防火墙能够接入各种网络环境中工作防火墙能够接入各种网络环境中工作路由模式NAT模式网桥模式混合模

7、式网桥工作模式网桥方式：将二个或二个以上的物理接口绑定成一台虚拟设备，此时连接在网桥内网与外网之间的防火墙对于用户是透明的（即网桥网桥模式模式）。优势：对连接网桥的网络和用户无需做任何设置的改动，如网络设备（包括主机和路由器）的设置（IP和网关、DNS、路由表等）无需改变，也根本意识不到防火墙的存在而完成对访问的控制。实训一:透明网桥功能设置路由典型的路由选择方式有两种：静态路由动态路由防火墙可实现的路由普通静态路由策略路由路由10.120.2.0172.16.1.0要实现路由，路由器必须知道：目的地址源地址所有可能的路由路径最佳路由路径静态路由这是一条单向的路径，必须配置一条相反的路径这是一

8、条单向的路径，必须配置一条相反的路径这是一条单向的路径，必须配置一条相反的路径这是一条单向的路径，必须配置一条相反的路径添加添加添加添加A A路由配置路由配置路由配置路由配置IP Route 172.16.1.0/24 172.16.2.1网络B172.16.1.0网络A172.16.2.2172.16.2.1AB缺省路由使用缺省，网络使用缺省，网络使用缺省，网络使用缺省，网络B B可以到达路由器可以到达路由器可以到达路由器可以到达路由器A A以外的网络以外的网络以外的网络以外的网络添加添加添加添加B B路由配置路由配置路由配置路由配置IP Route 0.0.0.0/0 172.16.2.2

9、网络B172.16.1.0172.16.2.2172.16.2.1B网络AA策略路由防火墙A路由表来源目的下一跳主机A互联网铁通网关主机B互联网电信网关策略路由用于多出口的网络环境，实现流量分流策略路由用于多出口的网络环境，实现流量分流策略路由用于多出口的网络环境，实现流量分流策略路由用于多出口的网络环境，实现流量分流路由实例 实现目标：内部网络访问任意外网地址分配：防火墙地址信息表接口Eth0Eth1地址10.10.10.210.10.20.1掩码255.255.255.0255.255.255.0区域OutsideInside网关10.10.10.1外部网络外部网络内部网络内部网络Outs

10、ideOutsideFa 0：61.90.80.2/24Fa 1：10.10.10.1/24Eth0：10.10.10.2/24Eth1：10.10.20.1/24NET：10.10.20.0/24 InsideInside配置流程路由模式配置流程配置流程界面路径界面路径 一、设置网络接口一、设置网络接口 网络管理网络管理网络接口网络接口 二、设置网络区域二、设置网络区域 网络管理网络管理网络区域网络区域 三、设置路由表三、设置路由表 网络管理网络管理路由表路由表 四、设置策略四、设置策略 策略管理策略管理访问策略访问策略 五、策略应用五、策略应用 策略管理策略管理访问策略访问策略结结 束束访

11、问策略访问策略：防火墙的访问控制规则。访问控制是防火墙最基础的功能，通过规则的配置，可以将不允许的信息拒之门外。送出数据送出数据Eth0Eth1访问策略访问策略通讯协议通讯协议Permit?网络网络网络网络 A A网络网络网络网络 B B进入数据进入数据YNDROP访问策略访问方向内部内部内部内部服务器服务器服务器服务器外部外部外部外部来源目的区域间访问通过各自的规则进行单独控制！区域间访问通过各自的规则进行单独控制！区域间访问通过各自的规则进行单独控制！区域间访问通过各自的规则进行单独控制！IP数据包结构数据包的判断参数包括数据包中的地址、源地址、目的地址、协议、协议端口号、时间物理层物理层

12、数据链路层数据链路层网络层网络层传输层传输层会话层会话层表示层表示层应用层应用层服务、端口号服务、端口号TCP/IP协议协议IP地址地址MAC地址地址数据包格式TCP/IP数据包Osi模型模型物理层物理层数据链路层数据链路层网络层网络层传输层传输层会话层会话层表示层表示层应用层应用层来源 I P地 址目的 I P地 址协 议来源端口协 议目的端口数 据。来源MAC地 址目的MAC地 址访问规则访问控制的执行动作A、通过通讯会话可以正常通行B、丢弃直接丢弃通讯会话C、拒绝直接丢弃通讯会话，向发起者返回处理结果D、空动作该规则忽略访问规则顺序调整移动值移动值通过调整使访问控制规则符合预期效果！通过

13、调整使访问控制规则符合预期效果！通过调整使访问控制规则符合预期效果！通过调整使访问控制规则符合预期效果！访问规则配置原则访问策略的控制顺序 将控制条件严格的语句放在访问规则的最上面在访问规则的最后有一条隐含声明：deny any一组正确的访问规则至少应该有一条允许语句先创建访问策略，然后应用到访问区域上默认安全策略设置原则：设置原则：宽松原则没有明确禁止的行为都是允许的严谨原则没有明确允许的行为都是禁止的设置要求设置要求:策略组中的访问规则具有顺序性控制的粒度范围遵循从小到大控制粒度控制粒度地地 址址协协 议议主 机端 口 号网 段TCP/UDP/ICMP所有网络IP 协议从从细细到到粗粗访问

14、规则设置原则宽松原则*没有明确禁止的行为都是允许的首先禁止明确的访问最后允许所有访问访问规则组（访问规则组（test_1）序号序号源地址源地址目的地址目的地址协议协议源端口源端口目的端口目的端口访问策略访问策略010.0.0.0/00.0.0.0/0TCPAny135拒绝拒绝020.0.0.0/00.0.0.0/0UDPAny8000拒绝拒绝030.0.0.0/00.0.0.0/0IPAnyAny允许允许宽松原则多用于控制内网用户到公网的访问宽松原则多用于控制内网用户到公网的访问宽松原则多用于控制内网用户到公网的访问宽松原则多用于控制内网用户到公网的访问访问规则设置原则严谨原则*没有明确允许的

15、行为都是禁止的首先允许明确的访问最后禁止所有访问（最后默认为拒绝）访问规则组（访问规则组（test_2）序号序号源地址源地址目的地址目的地址协议协议源端口源端口目的端口目的端口访问策略访问策略010.0.0.0/00.0.0.0/0UDPAny53允许允许020.0.0.0/00.0.0.0/0TCPAny80允许允许030.0.0.0/00.0.0.0/0IPAnyAny拒绝拒绝严谨原则多用于控制公网用户到服务器的访问严谨原则多用于控制公网用户到服务器的访问严谨原则多用于控制公网用户到服务器的访问严谨原则多用于控制公网用户到服务器的访问访问控制实训NAT网络地址转换网络地址转换Network

16、 Address Translation提供三种工作方式源地址转换 （SNAT）目的地址转换（DNAT）静态地址映射（NATMAP）NAT的主要用途NAT使用的几种情况：A、IP地址短缺。B、隐藏内部主机地址和网络结构C、网络地址交迭D、网络负载均衡相关概念内部局部地址内部全局地址外部局部地址外部全局地址SNAT源地址转换 内部使用保留IP地址的主机可以通过一个或一组外部有效地址访问外部网络。提供外部地址和内部地址的一对一(静态静态NAT)、一对多（PAT）或多对多转换(动态动态NAT)，包括端口的转换。使用环境：用于局域网络通过少量由ISP分配的地址访问互联网例如：公司局域网络访问互联网的服

17、务SNATSNAT工作原理202.33.19.29202.33.19.29192.168.0.10192.168.0.1080 102580 102561.18.20.10061.18.20.100202.33.19.29202.33.19.2980 102580 10251025192.168.0.10192.168.0.10202.33.19.29202.33.19.2980 102580 801025 80192.168.0.10202.33.19.291025 801025 8061.18.20.10061.18.20.100202.33.19.29202.33.19.291025 8

18、01025 801025 80Sou IPSou IPDes IPDes IPPortPortDNAT合法合法 IP AddressIP Address61.18.20.10061.18.20.100对外提供对外提供WEBWEBIP harderTCP harder202.33.19.29202.33.19.29.192.168.0.10192.168.0.102143InsideInsideOutsideOutside防火墙提供基于策略的防火墙提供基于策略的DNATDNAT功能！功能！实训二:目的地址转换实训负载均衡负载均衡工作原理1负载均衡原理负载均衡原理多台主机使用多台主机使用合法合法

19、IP AddressIP Address61.18.20.10061.18.20.100共同对外提供共同对外提供WEBWEBIP harderTCP harder202.33.19.29202.33.19.29.192.168.0.10192.168.0.10202.33.19.30202.33.19.30.192.168.0.11192.168.0.11202.33.19.29202.33.19.2961.18.20.10061.18.20.1001025 801025 80Sou IPSou IPDes IPDes IPPortPort202.33.19.29192.168.0.10102

20、5 801025 80202.33.19.30202.33.19.3061.18.20.10061.18.20.1001025 801025 80202.33.19.30192.168.0.111025 801025 8023InsideInsideOutsideOutside静态地址映射静态地址映射将内部地址和外部地址实现一对一的映射包括Snat Netmap，Dnat Netmap使用环境：多用于必须使用真实地址完成访问与被访问例如：邮件服务器在工作时使用相同的外部地址静态地址映射静态地址映射工作原理InsideInsideNetworkNetworkOutsideOutside静态地址映

21、射合法 IP Address61.185.204.103合法 IP Address61.185.204.103保留 IP Address192.168.0.100保留 IP Address192.168.0.100静态地址映射静态地址映射配置外部地址必须配置到防火墙的接口上！外部地址必须配置到防火墙的接口上！内部主机地址内部主机地址外部主机地址外部主机地址InsideInside内部地址OutsideOutside外部地址来源目的外部地址内部地址Dnat natmapSnat natmap外部地址内部地址静态地址映射 Snat natmapSnat natmap+Dnat natmapDnat

22、 natmap=静态地址映射静态地址映射Dnat natmapSnat natmap静态地址映射内部主机地址内部主机地址外部主机地址外部主机地址InsideInsideOutsideOutside混合模式实例 实现目标：内部网络访问任意外网服务器可被内、外部访问地址分配：防火墙地址信息表防火墙地址信息表接口Eth0Eth1Eth2地址61.90.80.210.10.20.110.10.10.1掩码255.255.255.248255.255.255.0255.255.255.0区域OutsideInsideDMZ网关61.90.80.1服务器网服务器网外部网络外部网络内部网络内部网络Outsi

23、deOutside InsideInsideEth0 DmzDmzEth110.10.10.0/2410.10.20.0/24Eth2混合模式实例 合法地址合法地址使用61.90.80.0/29网段61.90.80.2/29（内部上网地址）61.90.80.3/29（提供Web服务）61.90.80.4/29（提供Mail服务）61.90.80.5/29（提供Ftp服务）内部网络内部网络使用10.10.20.0网段服务器网服务器网使用10.10.10.0网段Web服务器10.10.10.3/24Mail 服务器10.10.10.4/24Ftp1服务器10.10.10.5/24Ftp2服务器10

24、.10.10.6/24服务器网服务器网外部网络外部网络内部网络内部网络OutsideOutside InsideInsideEth0 DmzDmzEth110.10.10.0/2410.10.20.0/24Eth2配置流程混合模式配置流程配置流程界面路径界面路径 一、设置网络接口一、设置网络接口 网络管理网络管理网络接口网络接口 二、设置网络区域二、设置网络区域 网络管理网络管理网络区域网络区域 三、设置路由表三、设置路由表 网络管理网络管理路由表路由表 四、设置四、设置NAT 网络管理网络管理NAT配置配置 五、设置策略五、设置策略 策略管理策略管理访问策略访问策略 六、策略应用六、策略应用 策略管理策略管理访问策略访问策略结结 束束防火墙试验试验拓扑结构说明使用防火墙连接交换机网络A交换机接Eth0口网络B交换机接Eth1口网络A交换机网络A内主机接交换机，可以提供WWW，FTP服务网络B交换机网络B内主机接交换机可以提供WWW，FTP服务网络网络AEth0网络网络BEth1问问 题题