网络安全技术及应用 作者 刘京菊 ch4 防火墙技术.pptVIP

* 4.2.3 状态检测技术 基于状态检测技术的防火墙是由Check Point软件技术有限公司率先提出的，也称为动态包过滤防火墙。 状态检测防火墙监视和跟踪每一个有效连接的状态，并根据这些信息决定是否允许网络数据包通过防火墙。 状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待。 返回本章首页 状态检测技术跟踪连接状态的方式 （1）TCP包 当建立起一个TCP连接时，通过的第一个包被标有SYN标志。 （2）UDP包 对传入的包，若它所使用的地址和UDP包携带的协议与传出的连接请求匹配，该包就被允许通过。 返回本章首页 状态检测技术的特点 状态检测防火墙具有如下优点： （1）高安全性 （2）高效性 （3）可伸缩性和易扩展性 （4）应用范围广 状态检测防火墙的不足主要体现在对大量状态信息的处理过程可能造成网络连接的某种迟滞。 返回本章首页 4.2.4 NAT技术 NAT允许一个整体机构以一个公用IP地址出现在互联网上。它是一种把内部私有IP地址翻译成合法网络IP地址的技术。 NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。 NAT有三种类型：静态NAT（Static NAT）、动态地址NAT（Pooled NAT）和网络地址端口转换NAPT（Port－Level NAT）。 返回本章首页 NAT技术的特点 （1）NAT技术的优点 所有内部的IP地址对外是隐蔽的。 使整个内部网络共享一个IP地址 可以启用基本的包过滤防火墙安全机制 （2）NAT技术的缺点 NAT技术的缺点和包过滤防火墙的缺点类似 返回本章首页 4.3 防火墙的部署及应用 4.3.1 防火墙的典型应用部署 返回本章首页 4.3.2 网络卫士防火墙4000系统典型应用配置 网络卫士防火墙4000系统组成： 一套专用防火墙设备（硬件）：具有3至10个网络接口，标准配置为3个网络接口。管理员通过一次性口令认证，对防火墙进行配置、管理和审计。 一次性口令用户客户端（软件）：凡是需要对其身份进行认证的用户都需使用该软件，例如，管理者需要通过WWW页面管理防火墙时，必须先进行一次性口令认证。 返回本章首页 网络卫士防火墙4000典型应用拓扑图 返回本章首页 典型应用的配置要求 防火墙工作于路由和透明混合的综合模式； 网络/24、/24和/24均用边界路由器作路由； 新增的支干路由器1（网络/24）用防火墙作路由； 网络/24和/24透明通过防火墙； 采用严格安全策略。 返回本章首页 1．配置防火墙接口地址 （1）ifconfig eth0 将eth0设置为合法IP地址进行NAT，与路由器内部接口的IP处于同一网段 （2）ifconfig eth1 48 将接口E1配上IP地址 （3）ifconfig eth2 将接口E2配上IP地址 （4）ifconfig eth2:0 eth2接内部网，此处设置为/24这个网段的目的是为了实现对/24和/24做路由用。 返回本章首页 2．设置路由表 （1）eth0上： route add 55 eth0 添加到边界路由器的单机路由 route add 55 eth0 添加到防火墙外接口的单机路由 （2）eth1上： route add 48 添加到网络的路由 返回本章首页 （3）eth2上： route add 添加到网络的路由 ?（4）eth2:0上 route add 55 eth2:0 添加到的单机路由 route add 55 eth2:0 添加到路由器的单机路由 route add 定义到网络/24的路由为内部网路由器 返回本章首页 route add 定义到网络/24的路由为内部网路由器 （5）eth2:1上 route add eth2:1 添加到的路由 （6） route add default 默认路由指向边界路由器。 返回本章首页 3．指定防火墙接口属性 （1）命令：fwip add eth0 o 指定E0为外接口 （2）命令：fwip add eth1 s 指定E1为SSN接口，公共服务器所在的网络都是通过此接口出去。 （3）命令：fwip add eth2 i 指定E2为内部接口，/24的用户都是通过此接口到达防火墙。 （4）命令：fwip add eth2:0 i 指定eth2:0为内部接口 （5）命令：fwip add eth2:1 I 指定eth2:0为内部接口 返回本章首页 命令：dns 按照提示输入所在的域以及域名服务器。 4．配置域名服务器 命令：set