《路由與交換》課件-第十一章 VLAN技術(shù) 防火墻

防火墻Page2前言路由器設(shè)備主要側(cè)重點(diǎn)在于實(shí)現(xiàn)網(wǎng)絡(luò)中設(shè)備的互聯(lián)互通，關(guān)注的業(yè)務(wù)是IP層次的業(yè)務(wù)，轉(zhuǎn)發(fā)能力比較強(qiáng)，但是隔斷攻擊、提供業(yè)務(wù)過濾的能力相對比較弱。防火墻能夠?qū)崿F(xiàn)對一些非法攻擊的防御，可以保證內(nèi)部網(wǎng)絡(luò)的安全。本章主要介紹了防火墻的基本安全技術(shù)和特性，包括防火墻類型、安全區(qū)域、工作模式等。Page3培訓(xùn)目標(biāo)課堂學(xué)習(xí)目標(biāo)了解防火墻的功能與應(yīng)用概述掌握防火墻的區(qū)域功能了解防火墻的工作模式掌握防火墻NAT的功能Page4目錄防火墻概述防火墻的區(qū)域防火墻的工作模式網(wǎng)絡(luò)地址轉(zhuǎn)換Page5目錄防火墻概述防火墻的區(qū)域防火墻的工作模式網(wǎng)絡(luò)地址轉(zhuǎn)換Page6什么是防火墻防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的設(shè)備，它對兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對重要信息資源的非法存取和訪問以達(dá)到保護(hù)系統(tǒng)安全的目的。防火墻=硬件+軟件+控制策略寬松控制策略：除非明確禁止，否則允許。限制控制策略：除非明確允許，否則禁止。Page7防火墻技術(shù)發(fā)展介紹－防火墻的分類按照防火墻實(shí)現(xiàn)的方式，一般把防火墻分為如下幾類：包過濾防火墻代理型防火墻狀態(tài)檢測防火墻Page8包過濾防火墻Internet公司總部內(nèi)部網(wǎng)絡(luò)未授權(quán)用戶辦事處ACL規(guī)則從/24來的數(shù)據(jù)包能通過從/24來的數(shù)據(jù)包不能通過Page9代理防火墻服務(wù)器客戶機(jī)轉(zhuǎn)發(fā)請求請求響應(yīng)轉(zhuǎn)發(fā)響應(yīng)安全策略、審計(jì)監(jiān)控、報(bào)警WWW、FTP、Email……代理發(fā)送請求Page10狀態(tài)防火墻保護(hù)網(wǎng)絡(luò)用戶A初始化一個(gè)Telnet

會話外部網(wǎng)絡(luò)用戶A目標(biāo)服務(wù)器防火墻創(chuàng)建Session表項(xiàng)其他用戶用戶A的Telnet會話返回報(bào)文可以通過其他的Telnet報(bào)文被阻塞不能通過防火墻匹配Session表項(xiàng)報(bào)文Page11防火墻在安全體系中的作用門防火墻監(jiān)視器入侵檢測系統(tǒng)保安員掃描器、漏洞查找安全傳輸加密、VPN門禁系統(tǒng)身份認(rèn)證、訪問控制監(jiān)控室安全管理中心加固的房間系統(tǒng)加固、免疫Page12防火墻的局限性防火墻不是解決所有網(wǎng)絡(luò)安全問題的萬能藥方，只是網(wǎng)絡(luò)安全策略中的一個(gè)組成部分。防外不防內(nèi)；不能防范全部的威脅，特別是新產(chǎn)生的威脅；在提供深度檢測功能以及防火墻處理轉(zhuǎn)發(fā)性能上需要平衡；當(dāng)使用端-端加密時(shí)，即有加密隧道穿越防火墻的時(shí)候不能處理；防火墻本身可能會存在性能瓶頸，如抗攻擊能力，會話數(shù)限制等。Page13目錄防火墻概述防火墻的區(qū)域防火墻的工作模式網(wǎng)絡(luò)地址轉(zhuǎn)換Page14防火墻的安全區(qū)域Local區(qū)域100Trust區(qū)域85DMZ區(qū)域50UnTrust區(qū)域5接口2接口3接口4接口1

用戶自定義區(qū)域Vzone0Page15接口、網(wǎng)絡(luò)和安全區(qū)域關(guān)系Eth1/0/0Eth2/0/0inboundoutboundinboundoutboundEth0/0/0USGLocalinboundoutboundinboundoutboundinboundoutboundVzoneTrust內(nèi)部網(wǎng)絡(luò)UntrustServerServerDMZ外部網(wǎng)絡(luò)inboundoutboundPage16目錄防火墻概述防火墻的區(qū)域防火墻的工作模式網(wǎng)絡(luò)地址轉(zhuǎn)換Page17防火墻的三種工作模式

路由模式透明模式混合模式Page18路由模式外部網(wǎng)絡(luò)服務(wù)器PCPC/24Trust區(qū)服務(wù)器USGPC/2454內(nèi)部網(wǎng)絡(luò)Untrust區(qū)Page19透明模式服務(wù)器PCPCTrust區(qū)服務(wù)器USGPCUntrust區(qū)/24Page20混合模式USG（主）/24內(nèi)部網(wǎng)絡(luò)USG（備）VRRP/24Trust區(qū)服務(wù)器PC服務(wù)器PCPCUntrust區(qū)外部網(wǎng)絡(luò)Page21目錄防火墻概述防火墻的區(qū)域防火墻的工作模式網(wǎng)絡(luò)地址轉(zhuǎn)換Page22為什么需要NAT技術(shù)隨著因特網(wǎng)的快速發(fā)展，它所面臨的兩個(gè)最迫切的問題就是IP地址的匱乏和路由規(guī)模的擴(kuò)大。對此，長期的和短期的解決方案都有所發(fā)展，那就是網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）和IPV6（下一代因特網(wǎng)協(xié)議）技術(shù)。在IPV6技術(shù)尚在研究中且還未完全取代現(xiàn)有的IPV4網(wǎng)絡(luò)的情況下，短期解決方案——NAT技術(shù)對于緩解目前的地址缺乏問題顯得尤為重要。私有IP地址~55、～55、～55。Page23Page24NAT基本原理PCServerServerPCUSGEth0/0/1Eth0/0/0TrustUntrust數(shù)據(jù)報(bào)1源：目的：數(shù)據(jù)報(bào)2源：目的：數(shù)據(jù)報(bào)1源：.目的：數(shù)據(jù)報(bào)2源：目的：InternetNAT（NetworkAddressTranslation，地址轉(zhuǎn)換）是將IP數(shù)據(jù)報(bào)報(bào)頭中的IP地址轉(zhuǎn)換為另一個(gè)IP地址的過程地址轉(zhuǎn)換方式NO_PAT方式：私網(wǎng)地址和公網(wǎng)地址一一對應(yīng)，不轉(zhuǎn)換端口。PAT方式

：允許多個(gè)私有地址映射到同一個(gè)公有地址上Page25PAT方式Page26內(nèi)部服務(wù)器NATPage27Page28NATALG功能（1）NAT和NAPT只能對IP報(bào)文的頭部地址和TCP/UDP頭部的端口信息進(jìn)行轉(zhuǎn)換。對于一些特殊協(xié)議，例如ICMP、FTP等，它們報(bào)文的數(shù)據(jù)部分可能包含IP地址或端口信息，這些內(nèi)容不能被NAT有效的轉(zhuǎn)換，就可能導(dǎo)致問題。例如，一個(gè)使用內(nèi)部IP地址的FTP服務(wù)器可能在和外部網(wǎng)絡(luò)主機(jī)建立會話的過程中需要將自己的IP地址發(fā)送給對方。而這個(gè)地址信息是放到IP報(bào)文的數(shù)據(jù)部分，NAT無法對它進(jìn)行轉(zhuǎn)換。當(dāng)外部網(wǎng)絡(luò)主機(jī)接收了這個(gè)私有地址并使用它，這時(shí)FTP服務(wù)器將表現(xiàn)為不可達(dá)。Page29NATALG功能（2）解決這些特殊協(xié)議的NAT轉(zhuǎn)換問題的方法是，在NAT實(shí)現(xiàn)中使用應(yīng)用級網(wǎng)關(guān)（ApplicationLevelGateway，ALG）功能。ALG是特定的應(yīng)用協(xié)議的轉(zhuǎn)換代理。它和NAT建立交互關(guān)系，依據(jù)NAT的狀態(tài)信息來改變封裝在IP報(bào)文數(shù)據(jù)部分中的特定數(shù)據(jù)，并完成其他必需的工