《計算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)（第二版）》 課件 第2章-任務(wù)2.4 安全區(qū)域間通過NAT訪問

第2章

防火墻技術(shù)與入侵防御技術(shù)任務(wù)2.4安全區(qū)域間通過NAT訪問編著：

秦?zé)鰟诖浣?/p>

計算機(jī)網(wǎng)絡(luò)中的防火墻可以將不安全的網(wǎng)絡(luò)與需要保護(hù)的網(wǎng)絡(luò)隔離開，并根據(jù)安全策略控制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)和信息。如果把防火墻看作門衛(wèi)，入侵檢測或入侵防御系統(tǒng)（IDS或IPS）則可看作監(jiān)視器，它可以時刻監(jiān)視網(wǎng)絡(luò)中是否有異常流量并及時阻斷，進(jìn)一步保護(hù)網(wǎng)絡(luò)的安全。

本章以思科ASAv為例，介紹防火墻的基本操作與應(yīng)用，以及簡單IDS功能。本章案例拓?fù)淙鐖D2-0-1所示。圖2-0-1防火墻技術(shù)實(shí)驗(yàn)拓?fù)鋱D

為了提高企業(yè)網(wǎng)絡(luò)的安全性，引入了ASAv，并將網(wǎng)絡(luò)劃分成受信任的內(nèi)網(wǎng)區(qū)域、對外提供服務(wù)的DMZ區(qū)域，不受信任的外網(wǎng)區(qū)域。其中OA、ERP、財務(wù)系統(tǒng)等僅供內(nèi)部用戶使用的服務(wù)器放在受信息的企業(yè)內(nèi)網(wǎng)中，對外提供服務(wù)的WEB服務(wù)器放在?；饏^(qū)（DMZ區(qū)域）中，內(nèi)網(wǎng)用戶通過PAT動態(tài)地址轉(zhuǎn)換隱藏內(nèi)部地址、訪問DMZ區(qū)域中的服務(wù)器和外網(wǎng)的服務(wù)器，DMZ區(qū)域的服務(wù)器通過NAT靜態(tài)地址轉(zhuǎn)換供外網(wǎng)訪問。內(nèi)網(wǎng)用戶使用外網(wǎng)ISP提供的DNS服務(wù)。通過開啟IDS功能監(jiān)控和阻斷網(wǎng)絡(luò)中的異常流量。為實(shí)現(xiàn)這些功能，需要對ASAv進(jìn)行以下基本配置：1.配置接口，ping通ASAv。ping能到達(dá)防火墻，但不能穿越防火墻。2.配置圖形界面配置管理ASAv、配置遠(yuǎn)程管理接入、配置主機(jī)名、域名、密碼。3.配置各設(shè)備的路由表。4.配置NAT。（1）使內(nèi)網(wǎng)用戶能訪問外網(wǎng)的網(wǎng)站；（2）使內(nèi)網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站；（3）使外網(wǎng)用戶能訪問DMZ區(qū)域的網(wǎng)站。5.配置ACL和Policy-map。（1）控制內(nèi)網(wǎng)-的主機(jī)只能訪問域名末尾是的網(wǎng)站；（2）禁止內(nèi)網(wǎng)的所有主機(jī)訪問域名末尾是的網(wǎng)站。6.配置ASAv的入侵檢測功能。任務(wù)2.4安全區(qū)域間通過NAT訪問

NAT是一種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，分為靜態(tài)NAT、動態(tài)NAT、PAT等。靜態(tài)NAT可實(shí)現(xiàn)內(nèi)部地址與外部地址的一對一轉(zhuǎn)換，可用于服務(wù)器對外提供服務(wù)，同時對外隱藏內(nèi)部地址。PAT（PortAddressTranslation）也稱為NAPT（NetworkAddressPortTranslation），可實(shí)現(xiàn)內(nèi)網(wǎng)多臺主機(jī)共用一個外部地址訪問其它區(qū)域，不同主機(jī)的區(qū)分通過分配不同的端口號來實(shí)現(xiàn)，對其他區(qū)域隱藏主機(jī)的內(nèi)部地址，避免來自其它區(qū)域的攻擊。下面首先介紹如何在防火墻上配置PAT，實(shí)現(xiàn)內(nèi)網(wǎng)訪問停火區(qū)（DMZ）的WEB服務(wù)、外網(wǎng)的WEB服務(wù)和外網(wǎng)的DNS服務(wù)。然后介紹如何配置靜態(tài)NAT，實(shí)現(xiàn)外網(wǎng)用戶訪問停火區(qū)（DMZ）的WEB服務(wù)。具體任務(wù)如下：1.在DMZ區(qū)域的win2003服務(wù)器上安裝WEB服務(wù)（IIS）。通過配置IIS，創(chuàng)建一個網(wǎng)站，為該網(wǎng)站新建首頁。2.在防火墻上配置PAT，實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)對?；饏^(qū)（DMZ）的WEB服務(wù)的訪問，對?；饏^(qū)隱藏主機(jī)的內(nèi)部地址。3.在外網(wǎng)的win2003服務(wù)器上安裝DNS服務(wù)和WEB服務(wù)（IIS）。通過配置DNS服務(wù)，實(shí)現(xiàn)對域名和的解釋，讓它們都指向外網(wǎng)的WEB服務(wù)器。通過配置IIS，創(chuàng)建兩個網(wǎng)站，分別是和，為這兩個網(wǎng)站新建首頁。4.在防火墻上配置PAT，實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)對外網(wǎng)兩個網(wǎng)站和的訪問，訪問時對外隱藏主機(jī)的內(nèi)部地址。5.在防火墻上配置靜態(tài)NAT，實(shí)現(xiàn)外網(wǎng)對?；饏^(qū)（DMZ）的WEB服務(wù)的訪問，訪問的地址是經(jīng)過NAT轉(zhuǎn)換后的停火區(qū)WEB服務(wù)器的外部地址，對外隱藏WEB服務(wù)器的內(nèi)部地址。具體配置如下：一、在停火區(qū)（DMZ）架設(shè)WEB服務(wù)器1.在DMZ區(qū)域的win2003服務(wù)器上安裝WEB服務(wù)（IIS）。配置IIS，先停用默認(rèn)網(wǎng)站，再創(chuàng)建一個新網(wǎng)站，為該網(wǎng)站新建首頁。2.在服務(wù)器的瀏覽器上輸入“/”測試，網(wǎng)站可正常訪問。二、內(nèi)網(wǎng)通過網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）實(shí)現(xiàn)對DMZ服務(wù)器的訪問在防火墻上配置PAT，實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)對?；饏^(qū)（DMZ）的WEB服務(wù)的訪問，并隱藏主機(jī)的內(nèi)部地址。1.通過圖形界面為防火墻配置PAT的方法如下：（1）如圖2-4-1所示，在網(wǎng)絡(luò)管理員的win7電腦上，登錄進(jìn)入ASAv的ASDM圖形配置界面，找到Configuation>Firewall>NATRules，點(diǎn)擊“Add”按鈕。在彈出的對話框中，OriginalPacket欄的SourceInterface選擇“Inside”，DestinationInterface選擇“DMZ”，TranslatedPacket欄的SourceNATType選“DynamicPAT(Hide)”，SourceAddress選“DMZ”，點(diǎn)擊“OK”按鈕，點(diǎn)擊“Apply”按鈕。圖2-4-1圖形界面中為防火墻配置PAT2.與圖形界面配置PAT相同功能的命令如下：objectnetworkinside_dmzrange0010objectnetworkinside_1subnetnat(Inside,DMZ)dynamicpat-poolinside_dmz3.內(nèi)網(wǎng)訪問停火區(qū)（DMZ）所需的路由配置（1）內(nèi)網(wǎng)路由器的路由表中沒有DMZ的網(wǎng)段信息，可通過給內(nèi)網(wǎng)路由器配置默認(rèn)路由，下一跳指向防火墻，由防火墻負(fù)責(zé)進(jìn)一步的轉(zhuǎn)發(fā)。命令如下：R_Inside(config)#iproute54（2）之前的配置已經(jīng)使防火墻的路由表認(rèn)識了內(nèi)網(wǎng)、外網(wǎng)和?；饏^(qū)（DMZ）的所有網(wǎng)段，防火墻無需再作路由配置。（3）內(nèi)網(wǎng)電腦的地址到達(dá)?；饏^(qū)時，已經(jīng)被轉(zhuǎn)換成?；饏^(qū)網(wǎng)段的地址，所以停火區(qū)路由器的路由表無需認(rèn)識內(nèi)網(wǎng)地址，也無需再作路由配置。4.在內(nèi)網(wǎng)電腦的瀏覽器中，輸入進(jìn)行測試，結(jié)果是內(nèi)網(wǎng)可以訪問DMZ區(qū)域的網(wǎng)站。三、在外網(wǎng)的win2003服務(wù)器上安裝DNS服務(wù)和WEB服務(wù)（IIS）。通過配置DNS服務(wù)，實(shí)現(xiàn)對域名和的解釋，讓它們都指向外網(wǎng)的WEB服務(wù)器。通過配置IIS，創(chuàng)建兩個網(wǎng)站，分別是和，為這兩個網(wǎng)站新建首頁。在服務(wù)器自身的瀏覽器中，輸入進(jìn)行測試，結(jié)果是可以訪問網(wǎng)站。輸入進(jìn)行測試，結(jié)果是可以訪問網(wǎng)站。四、在防火墻上配置PAT，實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)對外網(wǎng)兩個網(wǎng)站和的訪問，訪問時對外隱藏主機(jī)的內(nèi)部地址。方法可參看圖2-4-1所示用PAT實(shí)現(xiàn)的對DMZ服務(wù)器的訪問。同樣也可以通過命令實(shí)現(xiàn)，具體命令如下：objectnetworkinside_dmzrange0010objectnetworkinside_2subnetnat(Inside,Outside)dynamicinterface因?yàn)檠赝驹O(shè)備的路由表已經(jīng)具備所需路由條目，所以在內(nèi)網(wǎng)電腦的瀏覽器中，輸入進(jìn)行測試，結(jié)果是內(nèi)網(wǎng)可以訪問外網(wǎng)的網(wǎng)站。在內(nèi)網(wǎng)電腦的瀏覽器中，輸入進(jìn)行測試，結(jié)果是內(nèi)網(wǎng)可以訪問外網(wǎng)的網(wǎng)站。五、在防火墻上配置靜態(tài)NAT，實(shí)現(xiàn)外網(wǎng)對停火區(qū)（DMZ）的WEB服務(wù)的訪問，訪問時訪問的是?；饏^(qū)（DMZ）的WEB服務(wù)器經(jīng)過NAT轉(zhuǎn)換后的外部地址，而隱藏了WEB服務(wù)器的內(nèi)部地址。1.通過圖形界面為防火墻配置靜態(tài)NAT的方法，請讀者參考前例實(shí)現(xiàn)。2.通過命令配置的方法，可在ASAv防火墻上，輸入以下命令實(shí)現(xiàn)：objectnetworkDMZ_Serverhostnat(DMZ,Outside)static3.通過在ASAv防火墻上配置ACL，允許外網(wǎng)訪問?；饏^(qū)的WEB服務(wù)，命令如下：access-listOutside_DMZextendedpermittcpanyobjectDMZ_Servereqwwwaccess-groupOutside_DMZininterfaceOutside4.沿途設(shè)備所需的路由配置，思路如下：（1）?；饏^(qū)（DMZ）路由器的路由表中沒有外網(wǎng)的網(wǎng)段信息，可通過給?；饏^(qū)（DMZ）路由器配置默認(rèn)路由，下一跳指向防火墻，由防火墻負(fù)責(zé)進(jìn)一步的轉(zhuǎn)發(fā)。命令如下：R_DMZ(config)#iproute54