網(wǎng)絡(luò)安全員培訓(xùn)-6防火墻技術(shù)

1、第六章 防火墻技術(shù) 什么是防火墻什么是防火墻古代人們?cè)诜课葜g修建的一道防止火災(zāi)發(fā)生時(shí)火勢(shì)蔓延的磚墻 防火墻作為安全防護(hù)體系中的一個(gè)重要組成部分，一般配置于網(wǎng)關(guān)的防火墻作為安全防護(hù)體系中的一個(gè)重要組成部分，一般配置于網(wǎng)關(guān)的位置，主要防范圍網(wǎng)絡(luò)層的威脅（掃描攻擊、漏洞溢出攻擊、拒絕服位置，主要防范圍網(wǎng)絡(luò)層的威脅（掃描攻擊、漏洞溢出攻擊、拒絕服務(wù)攻擊等）務(wù)攻擊等） 。什么是防火墻什么是防火墻防火墻的定義防火墻的定義l隔離內(nèi)部網(wǎng)絡(luò)與外界網(wǎng)絡(luò)的一道安全防御系統(tǒng)隔離內(nèi)部網(wǎng)絡(luò)與外界網(wǎng)絡(luò)的一道安全防御系統(tǒng)l網(wǎng)絡(luò)安全最主要和最基本的基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全最主要和最基本的基礎(chǔ)設(shè)施l不會(huì)妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問(wèn)不會(huì)妨礙

2、人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問(wèn)內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)什么是防火墻什么是防火墻防火墻的基本概念防火墻的基本概念l 數(shù)據(jù)包過(guò)濾：檢查數(shù)據(jù)包過(guò)濾：檢查IP數(shù)據(jù)包決定允許和拒絕。數(shù)據(jù)包決定允許和拒絕。l 代理服務(wù)器：負(fù)責(zé)數(shù)據(jù)的轉(zhuǎn)發(fā)。代理服務(wù)器：負(fù)責(zé)數(shù)據(jù)的轉(zhuǎn)發(fā)。l 狀態(tài)檢測(cè)：根據(jù)事先確定合法過(guò)程模式，判斷非法與合法。狀態(tài)檢測(cè)：根據(jù)事先確定合法過(guò)程模式，判斷非法與合法。l DMZ區(qū)：隔離區(qū)或非軍事區(qū)。區(qū)：隔離區(qū)或非軍事區(qū)。l 隧道路由器：通過(guò)加密實(shí)現(xiàn)安全通過(guò)非安全網(wǎng)絡(luò)。隧道路由器：通過(guò)加密實(shí)現(xiàn)安全通過(guò)非安全網(wǎng)絡(luò)。l 虛擬專用網(wǎng)：使用隧道路由器連接的網(wǎng)絡(luò)。虛擬專用網(wǎng)：使用隧道路由器連接的網(wǎng)絡(luò)。l IP地址欺騙地址欺騙/ D

3、NS欺騙欺騙防火墻的主要作用防火墻的主要作用1 1、過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包、過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包2 2、管理進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為、管理進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為3 3、封堵某些禁止的訪問(wèn)行為、封堵某些禁止的訪問(wèn)行為4 4、記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)、記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)5 5、對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警、對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警防火墻的局限性防火墻的局限性1 1、不能防范不經(jīng)過(guò)防火墻的攻擊、不能防范不經(jīng)過(guò)防火墻的攻擊2 2、不能解決來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問(wèn)題、不能解決來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問(wèn)題3 3、不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅、不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅

4、4 4、不能防止可接觸的人為或自然的破壞、不能防止可接觸的人為或自然的破壞5 5、不能防止利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議設(shè)計(jì)缺陷的攻擊、不能防止利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議設(shè)計(jì)缺陷的攻擊6 6、不能防止利用服務(wù)器漏洞進(jìn)行的攻擊、不能防止利用服務(wù)器漏洞進(jìn)行的攻擊7 7、不能防止受病毒感染的文件的傳輸、不能防止受病毒感染的文件的傳輸8 8、不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊、不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊9 9、不能防止內(nèi)部的泄密行為、不能防止內(nèi)部的泄密行為1010、不能防止本身的安全漏洞和威脅、不能防止本身的安全漏洞和威脅主機(jī)主機(jī)A主機(jī)主機(jī)B人力資源網(wǎng)絡(luò)人力資源網(wǎng)絡(luò)研發(fā)網(wǎng)絡(luò)研發(fā)網(wǎng)絡(luò)使用使用ACL阻止某指定網(wǎng)絡(luò)訪問(wèn)另一指定網(wǎng)絡(luò)阻止某指定網(wǎng)絡(luò)訪

5、問(wèn)另一指定網(wǎng)絡(luò) 基于路由器的防火墻基于路由器的防火墻其實(shí)防火墻的完成主要是靠訪問(wèn)控制列表其實(shí)防火墻的完成主要是靠訪問(wèn)控制列表(ACL)(ACL)的控制策的控制策略。那么什么是訪問(wèn)控制列表呢？略。那么什么是訪問(wèn)控制列表呢？基于路由器的防火墻基于路由器的防火墻特點(diǎn)：特點(diǎn)：l 利用路由器本身對(duì)分組的解析，以訪問(wèn)控制表方式實(shí)現(xiàn)對(duì)分組的過(guò)濾利用路由器本身對(duì)分組的解析，以訪問(wèn)控制表方式實(shí)現(xiàn)對(duì)分組的過(guò)濾l 過(guò)濾依據(jù)：過(guò)濾依據(jù)：IPIP地址，端口號(hào)，地址，端口號(hào)，ICMPICMP報(bào)文類型等報(bào)文類型等l 只有分組過(guò)濾的功能，路由器與防火墻一體（安全要求較低環(huán)境）只有分組過(guò)濾的功能，路由器與防火墻一體（安全要求較

6、低環(huán)境）缺陷：缺陷：l 路由器本身具有安全漏洞路由器本身具有安全漏洞l 配置復(fù)雜配置復(fù)雜l 偽造偽造IPIP欺騙防火墻欺騙防火墻l 降低路由器的性能降低路由器的性能用戶化的防火墻用戶化的防火墻特點(diǎn)：特點(diǎn)：l 過(guò)濾功能獨(dú)立，并加上審計(jì)和告警的功能過(guò)濾功能獨(dú)立，并加上審計(jì)和告警的功能l 根據(jù)用戶需求，提供模塊化設(shè)計(jì)根據(jù)用戶需求，提供模塊化設(shè)計(jì)l 軟件可通過(guò)網(wǎng)絡(luò)發(fā)送，用戶可以自己手動(dòng)構(gòu)造防火墻軟件可通過(guò)網(wǎng)絡(luò)發(fā)送，用戶可以自己手動(dòng)構(gòu)造防火墻缺陷：缺陷：l 配置和維護(hù)復(fù)雜配置和維護(hù)復(fù)雜l 用戶技術(shù)要求高用戶技術(shù)要求高l 全軟件實(shí)現(xiàn)，安全性和處理速度有局限全軟件實(shí)現(xiàn)，安全性和處理速度有局限l 實(shí)踐表明，使

7、用中出現(xiàn)差錯(cuò)的情況很多實(shí)踐表明，使用中出現(xiàn)差錯(cuò)的情況很多通用操作系統(tǒng)的防火墻通用操作系統(tǒng)的防火墻特點(diǎn)：特點(diǎn)：l 批量上市的防火墻專用產(chǎn)品批量上市的防火墻專用產(chǎn)品l 包括分組過(guò)濾或者借用路由器的分組過(guò)濾功能包括分組過(guò)濾或者借用路由器的分組過(guò)濾功能l 有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令l 保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置l 安全性和速度大為提高安全性和速度大為提高缺陷：缺陷：l 因操作系統(tǒng)緣故，安全性和保密性無(wú)從保護(hù)因操作系統(tǒng)緣故，安全性和保密性無(wú)從保護(hù)l 通用操作系統(tǒng)的廠商不會(huì)對(duì)操作系統(tǒng)的安全負(fù)

8、責(zé)通用操作系統(tǒng)的廠商不會(huì)對(duì)操作系統(tǒng)的安全負(fù)責(zé)l 即要防止外部攻擊，還要防止通用操作系統(tǒng)廠商的攻擊即要防止外部攻擊，還要防止通用操作系統(tǒng)廠商的攻擊l 安全支持需要操作系統(tǒng)廠商和防火墻廠商同時(shí)提供安全支持需要操作系統(tǒng)廠商和防火墻廠商同時(shí)提供安全操作系統(tǒng)的防火墻安全操作系統(tǒng)的防火墻特點(diǎn)：特點(diǎn)：l 防火墻廠商具有操作系統(tǒng)源碼，可實(shí)現(xiàn)安全內(nèi)核防火墻廠商具有操作系統(tǒng)源碼，可實(shí)現(xiàn)安全內(nèi)核l 可以從內(nèi)核來(lái)定制操作系統(tǒng)并實(shí)現(xiàn)加固可以從內(nèi)核來(lái)定制操作系統(tǒng)并實(shí)現(xiàn)加固l 對(duì)每個(gè)服務(wù)器和子系統(tǒng)都作了安全處理對(duì)每個(gè)服務(wù)器和子系統(tǒng)都作了安全處理l 有分組過(guò)濾，應(yīng)用網(wǎng)關(guān)，電路級(jí)網(wǎng)關(guān)，加密和鑒別功能有分組過(guò)濾，應(yīng)用網(wǎng)關(guān)，電路級(jí)

9、網(wǎng)關(guān)，加密和鑒別功能l 透明性好，易于使用透明性好，易于使用包過(guò)濾型防火墻包過(guò)濾型防火墻 根據(jù)定義好的過(guò)濾規(guī)則審查每個(gè)數(shù)據(jù)包，以便確定其是否與某一條包過(guò)根據(jù)定義好的過(guò)濾規(guī)則審查每個(gè)數(shù)據(jù)包，以便確定其是否與某一條包過(guò)濾規(guī)則匹配濾規(guī)則匹配過(guò)濾規(guī)則是根據(jù)數(shù)據(jù)包的報(bào)頭信息進(jìn)行定義的過(guò)濾規(guī)則是根據(jù)數(shù)據(jù)包的報(bào)頭信息進(jìn)行定義的“沒(méi)有明確允許的都被禁止沒(méi)有明確允許的都被禁止”7 應(yīng)用層6 表示層3 網(wǎng)絡(luò)層防火墻檢查模塊4 傳輸層5 會(huì)話層2 數(shù)據(jù)鏈路層1 物理層IPTCPSessionApplication Data與過(guò)濾規(guī)則匹配嗎審計(jì)/報(bào)警還有另外的規(guī)則嗎轉(zhuǎn)發(fā)包嗎發(fā)送NACK丟棄包結(jié)束通過(guò)分析通過(guò)分析IPI

10、P數(shù)據(jù)包包頭信息，進(jìn)行判斷（這里數(shù)據(jù)包包頭信息，進(jìn)行判斷（這里IPIP所承載的上所承載的上層協(xié)議為層協(xié)議為TCPTCP）訪問(wèn)控制列表的工作原理訪問(wèn)控制列表的工作原理防火墻對(duì)訪問(wèn)控制列表的處理過(guò)程防火墻對(duì)訪問(wèn)控制列表的處理過(guò)程訪問(wèn)控制列表的入與出訪問(wèn)控制列表的入與出 訪問(wèn)控制列表的入與出訪問(wèn)控制列表的入與出標(biāo)準(zhǔn)訪問(wèn)控制列表標(biāo)準(zhǔn)訪問(wèn)控制列表3-13-1標(biāo)準(zhǔn)訪問(wèn)控制列表標(biāo)準(zhǔn)訪問(wèn)控制列表n根據(jù)數(shù)據(jù)包的源根據(jù)數(shù)據(jù)包的源IPIP地址來(lái)允許或拒絕數(shù)據(jù)包地址來(lái)允許或拒絕數(shù)據(jù)包n訪問(wèn)控制列表號(hào)從訪問(wèn)控制列表號(hào)從1 1到到9999標(biāo)準(zhǔn)訪問(wèn)控制列表標(biāo)準(zhǔn)訪問(wèn)控制列表3-23-2標(biāo)準(zhǔn)訪問(wèn)控制列表只使用源地址進(jìn)行過(guò)濾，表

11、明是允許還是標(biāo)準(zhǔn)訪問(wèn)控制列表只使用源地址進(jìn)行過(guò)濾，表明是允許還是拒絕拒絕 標(biāo)準(zhǔn)訪問(wèn)控制列表標(biāo)準(zhǔn)訪問(wèn)控制列表3-33-3標(biāo)準(zhǔn)訪問(wèn)控制列表的配置標(biāo)準(zhǔn)訪問(wèn)控制列表的配置第一步，使用第一步，使用access-listaccess-list命令創(chuàng)建訪問(wèn)控制列表命令創(chuàng)建訪問(wèn)控制列表第二步，使用第二步，使用ip access-groupip access-group命令把訪問(wèn)控制列表應(yīng)用到某接命令把訪問(wèn)控制列表應(yīng)用到某接口口Router(config)#access-list access-list-number permit | deny source source- wildcard logRouter

12、(config-if)#ip access-group access-list-number in | out 標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACLACL應(yīng)用：允許特定源的流量應(yīng)用：允許特定源的流量2-12-1Non-E0E1S03標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACLACL應(yīng)用：允許特定源的流量應(yīng)用：允許特定源的流量2-22-2第一步，創(chuàng)建允許來(lái)自第一步，創(chuàng)建允許來(lái)自的流量的的流量的ACLACL第二步，應(yīng)用到接口第二步，應(yīng)用到接口E0E0和和E1E1的出方向上的出方向上 Router(config)#access-li

13、st 1 permit 55Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group 1 outRouter(config)#interface fastethernet 0/1Router(config-if)#ip access-group 1 out標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACLACL應(yīng)用：拒絕特定主機(jī)的通信流量應(yīng)用：拒絕特定主機(jī)的通信流量第一步，創(chuàng)建拒絕來(lái)自第一步，創(chuàng)建拒絕來(lái)自33的流量的的流量的ACLACL第二步，應(yīng)用到接口第二步

14、，應(yīng)用到接口E0E0的出方向的出方向Router(config)#access-list 1 deny host 3 Router(config)#access-list 1 permit 55Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group 1 out 標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACLACL應(yīng)用：拒絕特定子網(wǎng)的流量應(yīng)用：拒絕特定子網(wǎng)的流量第一步，創(chuàng)建拒絕來(lái)自子網(wǎng)第一步，創(chuàng)建拒絕來(lái)自子網(wǎng)的流量的的流量的ACLAC

15、L第二步，應(yīng)用到接口第二步，應(yīng)用到接口E0E0的出方向的出方向Router(config)#access-list 1 deny 55Router(config)#accesslist 1 permit anyRouter(config)#interface fastethernet 0/0Router（config-if）#ip access-group 1 out擴(kuò)展訪問(wèn)控制列表擴(kuò)展訪問(wèn)控制列表4-14-1擴(kuò)展訪問(wèn)控制列表擴(kuò)展訪問(wèn)控制列表n基于源和目的地址、傳輸層協(xié)議和應(yīng)用端口號(hào)進(jìn)行過(guò)濾基于源和目的地址、傳輸層協(xié)議和應(yīng)用端口號(hào)進(jìn)行過(guò)濾n每個(gè)條件都必須匹配

16、，才會(huì)施加允許或拒絕條件每個(gè)條件都必須匹配，才會(huì)施加允許或拒絕條件n使用擴(kuò)展使用擴(kuò)展ACLACL可以實(shí)現(xiàn)更加精確的流量控制可以實(shí)現(xiàn)更加精確的流量控制 n訪問(wèn)控制列表號(hào)從訪問(wèn)控制列表號(hào)從100100到到199 199 擴(kuò)展訪問(wèn)控制列表擴(kuò)展訪問(wèn)控制列表4-24-2擴(kuò)展訪問(wèn)控制列表使用更多的信息描述數(shù)據(jù)包，表明擴(kuò)展訪問(wèn)控制列表使用更多的信息描述數(shù)據(jù)包，表明是允許還是拒絕是允許還是拒絕從從/24來(lái)的來(lái)的,到到3的，的，使用使用TCP協(xié)議，協(xié)議，利用利用HTTP訪問(wèn)的訪問(wèn)的數(shù)據(jù)包可以通過(guò)！數(shù)據(jù)包可以通過(guò)！路由器路由器擴(kuò)展訪問(wèn)控制列表擴(kuò)展訪問(wèn)控制列表4-32020F

17、TP-DATAFTP-DATA（文件傳輸協(xié)議）（文件傳輸協(xié)議）FTPFTP（數(shù)據(jù)）（數(shù)據(jù)）TCPTCP2121FTPFTP（文件傳輸協(xié)議）（文件傳輸協(xié)議）FTPFTPTCPTCP2323TELNETTELNET終端連接終端連接TCPTCP2525SMTPSMTP簡(jiǎn)單郵件傳輸協(xié)議簡(jiǎn)單郵件傳輸協(xié)議TCPTCP4242NAMESERVERNAMESERVER主機(jī)名字服務(wù)器主機(jī)名字服務(wù)器UDPUDP5353DOMAINDOMAIN域名服務(wù)器（域名服務(wù)器（DNS)DNS)TCP/UDPTCP/UDP6969TFTPTFTP普通文件傳輸協(xié)議（普通文件傳輸協(xié)議（TFTP)TFTP)UDPUDP8080WWW

18、WWW萬(wàn)維網(wǎng)萬(wàn)維網(wǎng)TCPTCP擴(kuò)展訪問(wèn)控制列表擴(kuò)展訪問(wèn)控制列表4-4擴(kuò)展訪問(wèn)控制列表的配置擴(kuò)展訪問(wèn)控制列表的配置3-13-1第一步，使用第一步，使用access-listaccess-list命令創(chuàng)建擴(kuò)展訪問(wèn)控制列表命令創(chuàng)建擴(kuò)展訪問(wèn)控制列表Router(config)#access-list access-list-number permit | deny protocol source source-wildcard destination destination-wildcard operator port established logeq portnumbereq portnumber

19、等于端口號(hào)等于端口號(hào) portnumberportnumbergt portnumbergt portnumber大于端口號(hào)大于端口號(hào)portnumberportnumberlt portnumberlt portnumber小于端口號(hào)小于端口號(hào)portnumberportnumberneq portnumberneq portnumber不等于端口號(hào)不等于端口號(hào)portnumberportnumber擴(kuò)展訪問(wèn)控制列表的配置擴(kuò)展訪問(wèn)控制列表的配置3-23-2擴(kuò)展訪問(wèn)控制列表的配置擴(kuò)展訪問(wèn)控制列表的配置3-33-3第二步，使用第二步，使用ip access-groupip access-grou

20、p命令將擴(kuò)展訪問(wèn)控制列表應(yīng)命令將擴(kuò)展訪問(wèn)控制列表應(yīng)用到某接口用到某接口Router（config-if）#ip access-group access-list-number in | out 擴(kuò)展擴(kuò)展ACLACL應(yīng)用：拒絕應(yīng)用：拒絕ftpftp流量通過(guò)流量通過(guò)E0E0第一步，創(chuàng)建拒絕來(lái)自第一步，創(chuàng)建拒絕來(lái)自、去往、去往、ftpftp流量的流量的ACLACL第二步，應(yīng)用到接口第二步，應(yīng)用到接口E0E0的出方向的出方向Router(config)#access-list 101 deny tcp

21、 55 55 eq 21Router(config)#access-list 101 permit ip any anyRouter(config)#interface fastthernet 0/0Router（config-if）#ip access-group 101 out擴(kuò)展擴(kuò)展ACLACL應(yīng)用：應(yīng)用： 拒絕拒絕telnettelnet流量通過(guò)流量通過(guò)E0E0第一步，創(chuàng)建拒絕來(lái)自第一步，創(chuàng)建拒絕來(lái)自、去往、去往、telnettelnet流量的流量的ACLA

22、CL第二步，應(yīng)用到接口第二步，應(yīng)用到接口E0E0的出方向上的出方向上Router(config)#access-list 101 deny tcp 55 55 eq 23Router(config)#access-list 101 permit ip any anyRouter(config)#interface fastethernet 0/0Router（config-if）#ip access-group 101 out命名的訪問(wèn)控制列表命名的訪問(wèn)控制列表2-12-1標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACLACL和擴(kuò)展和擴(kuò)展ACLACL中可以

23、使用一個(gè)字母數(shù)字組合的字符串（中可以使用一個(gè)字母數(shù)字組合的字符串（名字）代替來(lái)表示名字）代替來(lái)表示ACLACL的表號(hào)的表號(hào) 命名命名IPIP訪問(wèn)列表允許從指定的訪問(wèn)列表刪除單個(gè)條目訪問(wèn)列表允許從指定的訪問(wèn)列表刪除單個(gè)條目如果添加一個(gè)條目到列表中，那么該條目被添加到列表末尾如果添加一個(gè)條目到列表中，那么該條目被添加到列表末尾 不能以同一個(gè)名字命名多個(gè)不能以同一個(gè)名字命名多個(gè)ACLACL在命名的訪問(wèn)控制列表下在命名的訪問(wèn)控制列表下 ，permitpermit和和denydeny命令的語(yǔ)法格式命令的語(yǔ)法格式與前述有所不同與前述有所不同 命名的訪問(wèn)控制列表命名的訪問(wèn)控制列表2-22-2第一步，創(chuàng)建名為

24、第一步，創(chuàng)建名為ciscocisco的命名訪問(wèn)控制列表的命名訪問(wèn)控制列表第二步，指定一個(gè)或多個(gè)第二步，指定一個(gè)或多個(gè)permitpermit及及denydeny條件條件 第三步，應(yīng)用到接口第三步，應(yīng)用到接口E0E0的出方向的出方向Router（config）#interface fastethernet 0/0Router（config-if）#ip access-group cisco outRouter(config)#ip access-list extended ciscoRouter（config-ext-nacl）# deny tcp 55 17

25、 55 eq 23Router（config-ext-nacl）# permit ip any any查看訪問(wèn)控制列表查看訪問(wèn)控制列表2-12-1Router#show ip interface fastethernet 0/0Router#show ip interface fastethernet 0/0 FastEthernet0/0 is up, line protocol is up FastEthernet0/0 is up, line protocol is up Internet address is /24 Internet

26、address is /24 Broadcast address is 55 Broadcast address is 55 Address determined by setup command Address determined by setup command MTU is 1500 bytes MTU is 1500 bytes Helper address is not set Helper address is not set Directed broadcast forwarding is disabled

27、 Directed broadcast forwarding is disabled Outgoing access list is cisco Outgoing access list is cisco Inbound access list is not set Inbound access list is not set Proxy ARP is enabled Proxy ARP is enabled Local Proxy ARP is disabled Local Proxy ARP is disabled Security level is default Security le

28、vel is default Split horizon is enabled Split horizon is enabled ICMP redirects are always sent ICMP redirects are always sent ICMP unreachables are always sent ICMP unreachables are always sent ICMP mask replies are never sent ICMP mask replies are never sent IP fast switching is enabled IP fast sw

29、itching is enabled IP fast switching on the same interface is disabled IP fast switching on the same interface is disabled 查看訪問(wèn)控制列表查看訪問(wèn)控制列表2-22-2Router#show access-listRouter#show access-list Extended IP access list cisco Extended IP access list cisco 10 deny tcp 55 0.0.

30、0.255 eq 10 deny tcp 55 55 eq telnettelnet 20 permit ip any any 20 permit ip any any代理型防火墻代理型防火墻 代理技術(shù)也稱為應(yīng)用層網(wǎng)關(guān)技術(shù)代理技術(shù)也稱為應(yīng)用層網(wǎng)關(guān)技術(shù)，針對(duì)每一個(gè)特定應(yīng)用都有一個(gè)，針對(duì)每一個(gè)特定應(yīng)用都有一個(gè)程序。代理技術(shù)是在應(yīng)用層實(shí)現(xiàn)程序。代理技術(shù)是在應(yīng)用層實(shí)現(xiàn)防火墻的功能。代理服務(wù)器位于防火墻的功能。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間客戶機(jī)與服務(wù)器之間, ,完全阻擋二完全阻擋二者間的數(shù)據(jù)流者間的數(shù)據(jù)流 ?？梢葬槍?duì)應(yīng)用層。可以

31、針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描進(jìn)行偵測(cè)和掃描, ,對(duì)付基于應(yīng)用層對(duì)付基于應(yīng)用層的侵入和病毒十分有效的侵入和病毒十分有效 應(yīng)用層 表示層 會(huì)話層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 應(yīng)用層 表示層 會(huì)話層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 應(yīng)用層 表示層 會(huì)話層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 應(yīng)用層 表示層 會(huì)話層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 狀態(tài)檢測(cè)型防火墻狀態(tài)檢測(cè)型防火墻狀態(tài)檢測(cè)型防火墻檢測(cè)每一狀態(tài)檢測(cè)型防火墻檢測(cè)每一個(gè)有效連接的狀態(tài)，并根據(jù)個(gè)有效連接的狀態(tài)，并根據(jù)這些信息決定網(wǎng)絡(luò)數(shù)據(jù)包是這些信息決定網(wǎng)絡(luò)數(shù)據(jù)包是否能夠通過(guò)防火墻否能夠通過(guò)防火墻 應(yīng)用層表示層 會(huì)話層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層

32、 應(yīng)用層表示層會(huì)話層傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 應(yīng)用層 表示層 會(huì)話層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 應(yīng)用層 表示層 會(huì)話層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 連接狀態(tài)表防火墻三種類型的比較防火墻三種類型的比較包過(guò)濾型代理型狀態(tài)檢測(cè)型優(yōu)點(diǎn)l速度快l防火墻是透明的，用戶端不需要進(jìn)行設(shè)置l針對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行過(guò)濾，增強(qiáng)了可控性l日志功能加強(qiáng)了對(duì)不安全因素的追蹤與排查l屏蔽了內(nèi)網(wǎng)細(xì)節(jié)l減少了傳統(tǒng)的包過(guò)濾防火墻的大量開(kāi)放端口等一些安全問(wèn)題l降低了管理員配置訪問(wèn)規(guī)則的難度缺點(diǎn)l無(wú)法過(guò)濾審核數(shù)據(jù)包的內(nèi)容l無(wú)法詳細(xì)記錄細(xì)致的日志l速度較慢l新的網(wǎng)絡(luò)協(xié)議和應(yīng)用都需要一套代理程序l無(wú)法過(guò)濾審核數(shù)據(jù)包的內(nèi)容l無(wú)

33、法詳細(xì)記錄細(xì)致的日志網(wǎng)絡(luò)地址轉(zhuǎn)換概述網(wǎng)絡(luò)地址轉(zhuǎn)換概述2-12-1地址轉(zhuǎn)換的提出背景地址轉(zhuǎn)換的提出背景l(fā)合法的合法的IPIP地址資源日益短缺地址資源日益短缺l一個(gè)局域網(wǎng)內(nèi)部有很多臺(tái)主機(jī)，但不是每臺(tái)主機(jī)都有合法的一個(gè)局域網(wǎng)內(nèi)部有很多臺(tái)主機(jī)，但不是每臺(tái)主機(jī)都有合法的IPIP地址，為了地址，為了使所有內(nèi)部主機(jī)都可以連接因特網(wǎng)，需要使用地址轉(zhuǎn)換使所有內(nèi)部主機(jī)都可以連接因特網(wǎng)，需要使用地址轉(zhuǎn)換l地址轉(zhuǎn)換技術(shù)可以有效地隱藏內(nèi)部局域網(wǎng)中的主機(jī)，具有一定的網(wǎng)絡(luò)安全地址轉(zhuǎn)換技術(shù)可以有效地隱藏內(nèi)部局域網(wǎng)中的主機(jī)，具有一定的網(wǎng)絡(luò)安全保護(hù)作用保護(hù)作用l地址轉(zhuǎn)換可以在局域網(wǎng)內(nèi)部提供給外部地址轉(zhuǎn)換可以在局域網(wǎng)內(nèi)部提供給外部

34、FTPFTP、WWWWWW、TelnetTelnet服務(wù)服務(wù)網(wǎng)絡(luò)地址轉(zhuǎn)換概述網(wǎng)絡(luò)地址轉(zhuǎn)換概述2-22-2NATNAT的原理的原理改變改變IPIP包頭，使目的地址、源地址或兩個(gè)地址在包頭中被不同地址替換包頭，使目的地址、源地址或兩個(gè)地址在包頭中被不同地址替換NATNAT的的3 3種實(shí)現(xiàn)方式種實(shí)現(xiàn)方式l 靜態(tài)轉(zhuǎn)換靜態(tài)轉(zhuǎn)換l 動(dòng)態(tài)轉(zhuǎn)換動(dòng)態(tài)轉(zhuǎn)換l 端口多路復(fù)用端口多路復(fù)用NATNAT的術(shù)語(yǔ)的術(shù)語(yǔ)2-22-外部主機(jī)外部主機(jī)B外部主機(jī)外部主機(jī)CinternetNAT主機(jī)主機(jī)A1234SA=DA1內(nèi)部局部地址內(nèi)部局部地址外部

35、局部地址外部局部地址主機(jī)主機(jī)A發(fā)出的包發(fā)出的包SA=DA=經(jīng)過(guò)路由器轉(zhuǎn)換的包經(jīng)過(guò)路由器轉(zhuǎn)換的包2內(nèi)部全局地址內(nèi)部全局地址外部全局地址外部全局地址經(jīng)過(guò)路由器轉(zhuǎn)換的包經(jīng)過(guò)路由器轉(zhuǎn)換的包SA=DA=4外部局部地址外部局部地址內(nèi)部局部地址內(nèi)部局部地址SA=DA=外部主機(jī)外部主機(jī)B返回的包返回的包3外部全局地址外部全局地址內(nèi)部全局地址內(nèi)部全局地址NATNAT的優(yōu)缺點(diǎn)的優(yōu)缺點(diǎn)NATNAT的優(yōu)點(diǎn)的優(yōu)點(diǎn)l節(jié)省公有合法節(jié)省公有合法IPIP地址地址l處理地址交叉處理地址交叉l增強(qiáng)靈活性增強(qiáng)靈活性l安全性安全性NA

36、TNAT的缺點(diǎn)的缺點(diǎn)l延遲增大延遲增大l配置和維護(hù)的復(fù)雜性配置和維護(hù)的復(fù)雜性l不支持某些應(yīng)用不支持某些應(yīng)用什么是什么是VPNVPNVPNVPN（Virtual Private NetworkVirtual Private Network）n在在公用公用網(wǎng)絡(luò)中網(wǎng)絡(luò)中, ,按照相同的策略和安全規(guī)則按照相同的策略和安全規(guī)則, , 建立的私有網(wǎng)絡(luò)連接建立的私有網(wǎng)絡(luò)連接Internet北京總部北京總部廣州分公司廣州分公司虛擬專用網(wǎng)絡(luò)虛擬專用網(wǎng)絡(luò)VPNVPN的結(jié)構(gòu)和分類的結(jié)構(gòu)和分類總部總部分支機(jī)構(gòu)分支機(jī)構(gòu)遠(yuǎn)程辦公室遠(yuǎn)程辦公室家庭辦公家庭辦公PSTN安裝了安裝了VPN客戶客戶端軟件的移動(dòng)用戶端軟件的移動(dòng)用戶Internet遠(yuǎn)程訪問(wèn)的遠(yuǎn)程訪問(wèn)的VPNVPN（安裝了安裝了VPN客戶客戶）內(nèi)部網(wǎng)內(nèi)部網(wǎng)VPNVPN（站點(diǎn)到站點(diǎn)的（站點(diǎn)到站點(diǎn)的VPNVPN）外聯(lián)網(wǎng)外聯(lián)網(wǎng)VPNVPN（提供給合伙人使用）（提供給合伙人使用）遠(yuǎn)程訪問(wèn)的遠(yuǎn)程訪問(wèn)的VPNVPN總部總部家庭辦公家庭辦公PSTN安裝了安裝