網(wǎng)絡(luò)安全技術(shù)(2)防火墻與地址轉(zhuǎn)換V20

Chapter11網(wǎng)絡(luò)安全技術(shù)ISSUE2.0學(xué)習(xí)目標(biāo)掌握一般防火墻技術(shù)掌握地址轉(zhuǎn)換技術(shù)學(xué)習(xí)完本課程，您應(yīng)該能夠：2課程內(nèi)容

第一節(jié)防火墻第二節(jié)地址轉(zhuǎn)換3IP包過濾技術(shù)介紹(防火墻示意圖)對(duì)路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息，然后和設(shè)定的規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。而實(shí)現(xiàn)包過濾的核心技術(shù)是訪問控制列表。未授權(quán)用戶公司總部?jī)?nèi)部網(wǎng)絡(luò)辦事處4路由器實(shí)現(xiàn)防火墻功能IP報(bào)文轉(zhuǎn)發(fā)機(jī)制IPPacketIPPacket網(wǎng)絡(luò)層數(shù)據(jù)鏈路層規(guī)則查找機(jī)制輸入報(bào)文規(guī)則庫手工配置規(guī)則生成機(jī)制手工配置規(guī)則生成機(jī)制規(guī)則查找機(jī)制輸出報(bào)文規(guī)則庫由規(guī)則決定報(bào)文轉(zhuǎn)發(fā)動(dòng)作：丟棄或轉(zhuǎn)發(fā)由規(guī)則決定報(bào)文轉(zhuǎn)發(fā)動(dòng)作：丟棄或轉(zhuǎn)發(fā)5訪問控制列表的作用訪問控制列表可以用于防火墻；訪問控制列表可用于QoS（QualityofService），對(duì)數(shù)據(jù)流量進(jìn)行控制；在DCC中，訪問控制列表還可用來規(guī)定觸發(fā)撥號(hào)的條件；訪問控制列表還可以用于地址轉(zhuǎn)換；在配置路由策略時(shí)，可以利用訪問控制列表來作路由信息的過濾。6訪問控制列表的定義一個(gè)IP數(shù)據(jù)包如下圖所示（圖中IP所承載的上層協(xié)議為TCP/UDP）：IP報(bào)頭TCP/UDP報(bào)頭數(shù)據(jù)協(xié)議號(hào)源地址目的地址源端口目的端口對(duì)于TCP/UDP來說，這5個(gè)元素組成了一個(gè)TCP/UDP相關(guān)，訪問控制列表就是利用這些元素定義的規(guī)則7訪問控制列表的分類按照訪問控制列表的用途可以分為四類:基本的訪問控制列表（basicacl）高級(jí)的訪問控制列表（advancedacl）基于接口的訪問控制列表（interface-basedacl）基于MAC的訪問控制列表（mac-basedacl）8訪問控制列表的標(biāo)識(shí)利用數(shù)字標(biāo)識(shí)訪問控制列表利用數(shù)字范圍標(biāo)識(shí)訪問控制列表的種類列表的種類數(shù)字標(biāo)識(shí)的范圍基于接口的訪問控制列表1000～1999基本的訪問控制列表2000～2999高級(jí)的訪問控制列表3000～3999基于MAC地址訪問控制列表4000～49999基本訪問控制列表基本訪問控制列表只使用源地址描述數(shù)據(jù)，表明是允許還是拒絕。從/24來的數(shù)據(jù)包可以通過！從/24來的數(shù)據(jù)包不能通過！路由器10基本訪問控制列表的配置配置基本訪問列表的命令格式如下：acl

number

acl-number[match-order{config|auto}]rule[rule-id]{permit|deny}[sourcesour-addrsour-wildcard|any][time-range

time-name][logging][fragment][vpn-instance

vpn-instanc-name]怎樣利用IP地址和

反掩碼wildcard-mask來表示一個(gè)網(wǎng)段?11反掩碼的使用反掩碼和子網(wǎng)掩碼相似，但寫法不同：0表示需要比較1表示忽略比較反掩碼和IP地址結(jié)合使用，可以描述一個(gè)地址范圍。000255只比較前24位003255只比較前22位0255255255只比較前8位12高級(jí)訪問控制列表高級(jí)訪問控制列表使用除源地址外更多的信息描述數(shù)據(jù)包，表明是允許還是拒絕。從/24來的,到0的，使用TCP協(xié)議，利用HTTP訪問的數(shù)據(jù)包可以通過！路由器13高級(jí)訪問控制列表的配置高級(jí)訪問控制列表規(guī)則的配置命令：rule[rule-id]{permit|deny}protocol[source

sour-addrsour-wildcard|any][destination

dest-addrdest-mask|any][soucre-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-message|icmp-type

icmp-code}][precedence

precedence][tos

tos][time-range

time-name][logging][fragment][vpn-instance

vpn-instanc-name]14高級(jí)訪問控制列表操作符操作符及語法意義eqportnumber等于端口號(hào)portnumbergtportnumber

大于端口號(hào)portnumberltportnumber

小于端口號(hào)portnumberneqportnumber不等于端口號(hào)portnumberrangeportnumber1portnumber2介于端口號(hào)portnumber1

和portnumber2之間15高級(jí)訪問控制列表舉例ruledenyicmpsource55destinationanyicmp-typehost-redirect

ruledenytcpsource55destination55destination-porteqwwwlogging

/16ICMP主機(jī)重定向報(bào)文TCP報(bào)文/16/24WWW端口16基于接口的訪問控制列表基于接口的訪問控制列表的配置aclnumberacl-number[match-order{config|auto}]rule{permit|deny}[interface

interface-name][time-range

time-name][logging]undorule

rule-id17訪問控制列表的使用防火墻配置常見步驟：?jiǎn)⒂梅阑饓Χx訪問控制列表將訪問控制列表應(yīng)用到接口上公司總部網(wǎng)絡(luò)啟用防火墻將訪問控制列表應(yīng)用到接口上18防火墻的屬性配置命令打開或者關(guān)閉防火墻firewall{enable|disable}設(shè)置防火墻的缺省過濾模式firewalldefault{permit|deny}顯示防火墻的統(tǒng)計(jì)信息displayfirewall-statistics{all|interface

interface-name|fragments-inspect}

打開防火墻包過濾調(diào)試信息開關(guān)debuggingfirewall

{all|icmp|tcp|udp|others}[interfaceinterface-name

]19訪問控制列表的顯示訪問控制列表的顯示與調(diào)試display

acl{all|acl-number}reset

acl

counter{all|acl-number}20在接口上應(yīng)用訪問控制列表將訪問控制列表應(yīng)用到接口上指明在接口上是OUT還是IN方向在接口視圖下配置：firewall

packet-filter

acl-number{inbound|outbound}[match-fragments{normally|exactly}]Ethernet0/0訪問控制列表3000作用在Ethernet0/0接口在out方向有效Serial0/0訪問控制列表2000作用在Serial0/0接口上在in方向上有效21基于時(shí)間段的包過濾“特殊時(shí)間段內(nèi)應(yīng)用特殊的規(guī)則”上班時(shí)間（上午8：00－下午5：00）只能訪問特定的站點(diǎn)；其余時(shí)間可以訪問其他站點(diǎn)22時(shí)間段的配置命令timerange命令time-rangetime-name[start-timetoend-time][days][

fromtime1date1][totime2date2]顯示timerange命令displaytime-range{all|time-name}23訪問控制列表的匹配規(guī)則一條訪問列表可以由多條規(guī)則組成，對(duì)于這些規(guī)則，有兩種匹配順序：auto和config。規(guī)則沖突時(shí)，若匹配順序?yàn)閍uto（深度優(yōu)先），描述的地址范圍越小的規(guī)則，將會(huì)優(yōu)先考慮。深度的判斷要依靠通配比較位和IP地址結(jié)合比較ruledenysource55rulepermitsource55兩條規(guī)則結(jié)合則表示禁止一個(gè)大網(wǎng)段（）上的主機(jī)但允許其中的一小部分主機(jī)（）的訪問規(guī)則沖突時(shí)，若匹配順序?yàn)閏onfig，先配置的規(guī)則會(huì)被優(yōu)先考慮。24ASPF技術(shù)FTP客戶端內(nèi)部接口ASPF路由器FTP服務(wù)器外部接口25TCPSYNFlooding攻擊圖示攻擊者ASPF路由器服務(wù)器正常用戶bcaS=c,D=a;TCPSYN:dport:ftp,sport:1001S=a,D=c;TCPSYNACK:dport:1001,sport:ftpS=c,D=a;TCPACK:dport:ftp,sport:1001S=X1,D=a;TCPSYN:dport:ftp,sport:1001S=a,D=X1;TCPSYNACK:dport:1001,sport:ftpS=Xn,D=a;TCPSYN:dport:ftp,sport:1001S=a,D=Xn;TCPSYNACK:dport:1001,sport:ftpOK分配資源等待回應(yīng)分配資源等待回應(yīng)、、26防火墻綜合實(shí)驗(yàn)FTP服務(wù)器Telnet服務(wù)器WWW服務(wù)器公司特定用戶FTP服務(wù)器Telnet服務(wù)器WWW服務(wù)器公司內(nèi)部局域網(wǎng)E0/0:外部特定用戶S0/0：S0/0：E0/0:外部網(wǎng)27實(shí)驗(yàn)要求1、首先設(shè)置公司內(nèi)部局域網(wǎng)都禁止訪問外網(wǎng)2、只允許公司特定用戶訪問外部網(wǎng)絡(luò)3、允許公司FTP服務(wù)器訪問外部特定用戶4、外部網(wǎng)絡(luò)只有特定用戶可以訪問內(nèi)部Telnet、FTP服務(wù)器；但允許所有外部主機(jī)訪問WWW服務(wù)器＊請(qǐng)實(shí)驗(yàn)防火墻其他配置命令28課程內(nèi)容

第一節(jié)防火墻第二節(jié)地址轉(zhuǎn)換29地址轉(zhuǎn)換的提出背景地址轉(zhuǎn)換（NAT）是在IP地址日益短缺的情況下提出的。一個(gè)局域網(wǎng)內(nèi)部有很多臺(tái)主機(jī)，可是不能保證每臺(tái)主機(jī)都擁有合法的IP地址，為了達(dá)到所有的內(nèi)部主機(jī)都可以連接Internet網(wǎng)絡(luò)的目的，可以使用地址轉(zhuǎn)換。地址轉(zhuǎn)換（NAT）技術(shù)可以有效的隱藏內(nèi)部局域網(wǎng)中的主機(jī)，因此同時(shí)是一種有效的網(wǎng)絡(luò)安全保護(hù)技術(shù)。地址轉(zhuǎn)換（NAT）可以按照用戶的需要，在局域網(wǎng)內(nèi)部提供給外部FTP、WWW、Telnet等服務(wù)。30私有地址和公有地址LAN1LAN2LAN3私有地址范圍：-55-55-5531地址轉(zhuǎn)換的原理局域網(wǎng)PC2PC1IP:Port:3000IP報(bào)文IP:Port:4000IP:Port:3010IP:Port:4001地址轉(zhuǎn)換32利用ACL控制地址轉(zhuǎn)換可以使用訪問控制列表來決定哪些主機(jī)可以訪問Internet，哪些不能。PC1局域網(wǎng)PC2設(shè)置訪問控制列表控制PC1可以通過地址轉(zhuǎn)換訪問Internet,而PC2則不行。33地址轉(zhuǎn)換的配置任務(wù)列表定義一個(gè)訪問控制列表，規(guī)定什么樣的主機(jī)可以訪問Internet。采用EASYIP或地址池方式提供公有地址。根據(jù)選擇的方式（EASYIP方式還是地址池方式），在連接Internet接口上允許地址轉(zhuǎn)換。根據(jù)局域網(wǎng)的需要，定義合適的內(nèi)部服務(wù)器。34EasyIP配置EasyIP：在地址轉(zhuǎn)換的過程中直接使用接口的IP地址作為轉(zhuǎn)換后的源地址。在接口視圖下直接配置：natoutboundacl-number

局域網(wǎng)PC2PC1PC1和PC2可以直接使用S0/0接口的IP地址作為地址轉(zhuǎn)換后的公用IP地址S0/0:35使用地址池進(jìn)行地址轉(zhuǎn)換地址池用來動(dòng)態(tài)、透明的為內(nèi)部網(wǎng)絡(luò)的用戶分配地址。它是一些連續(xù)的IP地址集合，利用不超過32字節(jié)的字符串標(biāo)識(shí)。地址池可以支持更多的局域網(wǎng)用戶同時(shí)上Internet。PC1局域網(wǎng)PC2地址池36使用地址池進(jìn)行地址轉(zhuǎn)換定義地址池nataddress-groupgroup-number

start-addrend-addr

在接口上使用地址池進(jìn)行地址轉(zhuǎn)換natoutboundacl-number

address-group

group-number[no-pat]37一對(duì)一的地址轉(zhuǎn)換配置從內(nèi)部地址到外部地址的一對(duì)一轉(zhuǎn)換natstatic

ip-addr1ip-addr2

使已經(jīng)配置的NAT一對(duì)一轉(zhuǎn)換在接口上生效natoutboundstatic

38內(nèi)部服務(wù)器的應(yīng)用內(nèi)部服務(wù)器外部用戶E0/0Serial0/0內(nèi)部地址:內(nèi)部端口:80外部地址:外部端口:80IP:配置地址轉(zhuǎn)換:IP地址:←→端口:80←→80允許外部用戶訪問內(nèi)部服務(wù)器39內(nèi)部服務(wù)器的配置內(nèi)部服務(wù)器配置命令natserver[vpn-instancevpn-instance-name]protocolpro-typeglobalglobal-addr[global-port]

insidehost-addr[host-port]natserver[vpn-instancevpn-instance-name]protocolpro-typeglobalglobal-addrglobal-port1global-port2insidehost-addr1host-addr2host-port

此例的配置natserverprotocoltcpglobal80inside80

40NAT的監(jiān)控與維護(hù)顯示地址轉(zhuǎn)換配置displaynat{address-group|aging-time|all|outbound|server|statistics|session[vpn-instance

vpn-instance-name][slotslot-number][destinationip-addr

][sourceglobalglobal-addr|sourceinsideinside-addr

]}

設(shè)置地址轉(zhuǎn)換連接有效時(shí)間nataging-time{default|{dns|ftp-ctrl|ftp-data|icmp|pptp|tcp|tcp-fin|tcp-syn|udp}seconds}

清除地址轉(zhuǎn)換連接resetnat{log-entry|sessionslotslot-number}

打開nat調(diào)試開關(guān)debuggingnat{alg|event|packet[interfaceinterface-typeinterface-number]}

41地址轉(zhuǎn)換的缺點(diǎn)地址轉(zhuǎn)換對(duì)于報(bào)文內(nèi)容中含有有用的地址信息的情況很難處理。地址轉(zhuǎn)換不能處理IP報(bào)頭加密的情況。地址轉(zhuǎn)換由于隱藏了內(nèi)部主機(jī)地址，有時(shí)候會(huì)使網(wǎng)絡(luò)調(diào)試變得復(fù)雜。42NAT（內(nèi)網(wǎng)－外網(wǎng)〕實(shí)現(xiàn)流程公網(wǎng)地址私網(wǎng)地址私網(wǎng)端口公網(wǎng)端口10011044內(nèi)部網(wǎng)絡(luò)/8NAT路由器公用地址池

DI:,SI:DP:21,SP:1001DI:,SI:DP:21,SP:1044DI:,SI:DP:1001,SP:21NAT路由器查找地址表NAT路由器增加地址轉(zhuǎn)換表項(xiàng)12345DI:,SI:DP:1044,SP:2143NAT（外網(wǎng)－內(nèi)網(wǎng)〕實(shí)現(xiàn)流程公網(wǎng)地址私網(wǎng)地址私網(wǎng)端口公網(wǎng)端口2121內(nèi)部網(wǎng)絡(luò)/8NAT路由器公用地址池

DI:,SI:DP:21,SP:1044DI:,SI:DP:1044,SP:21DI:,SI:DP:1044,SP:21路由器查找地址轉(zhuǎn)換表并實(shí)施地址轉(zhuǎn)換路由器查找地址轉(zhuǎn)換表并實(shí)施地址轉(zhuǎn)換12345FTP客戶FTP服務(wù)器6靜態(tài)配置地址轉(zhuǎn)換表項(xiàng)DI:,SI:DP:21,SP:104444訪問列表和地址轉(zhuǎn)換應(yīng)用實(shí)例FTP服務(wù)器Telnet服務(wù)器WWW服務(wù)器公司內(nèi)部局域網(wǎng)特定的外部用戶45配置步驟按照實(shí)際情況需要以下幾個(gè)步驟：允許防火墻定義擴(kuò)展的訪問控制列表在接口上應(yīng)用訪問控制列表在接口上利用訪問控制列表定義地址轉(zhuǎn)換配置內(nèi)部服務(wù)器的地址映射關(guān)系46配置命令[Quidway]firewallenable [Quidway]firewalldefaultpermit[Quidway]aclnumber3000match-orderauto[Quidway-acl-adv-3000]ruledenyipsourceanydestinationany[Quidway-acl-adv-3000]rulepermitipsource0destinationany[Quidway-acl-adv-3000]rule