防火墙技术剖析.ppt

* * （1）双机热备： 在保证主机正常工作、从机处于待机正常待机状态的情况下，断开防火墙 主机和测试机之间的连接，验证从机能否接替主机正常工作，即在较短时 间内恢复连接。 (2) 负载平衡功能： A.提供多台防火墙之间的负载均衡,以解决防火墙在网络中造成的瓶颈问题。 B.在提供相同服务的多个应用服务器之间实现负载分担，应用服务器不要 求都放在防火墙后面，用户可选用不同的负载均衡算法。 * * 设置联动规则，验证联动功能。 问题：对于伪造源IP地址的处理。 * * 在以往的网络安全产品中VPN是作为一个单独一个产品出现的，现在更多的厂家把两者捆绑到一起，这似乎体现了一种产品整合的趋势。 * * * * * * aaa new-model (启动AAA认证功能) aaa-server HBCMCC_Auth protocol radius (为HBCMCC_Auth组定义AAA认证所使用的协议为RADIUS) aaa-server HBCMCC_Auth max-failed-attempts 3 (为HBCMCC_Auth组定义AAA认证请求重传次数为3) aaa-server HBCMCC_Auth deadtime 10 (identifies the minutes to declare the AAA server group as unresponsive ) aaa-server HBCMCC_Auth (inside) host xx.xx.xx.xx (The IP address of the TACACS+ or RADIUS server. ) aaa authentication telnet console HBCMCC_Auth LOCAL (telnet时认证使用RADIUS方式) * * 首先定义访问控制列表,访问控制列表的名称可以是数字也可以是一个名字, access-list id/name permit ip host any log 7 (允许到any的数据包通过,并进行日志记录,日志类别为7) access-list id/name permit ip host any (允许到any的数据包通过) access-list id/name deny ip any any log 2 (禁止所有IP数据包通过,并进行日志记录,日志类别为2) access-group id/name in interface interface (把上面定义的访问控制列表绑定在某个PIX的端口上) 如果有必要，可以对某些拒绝服务攻击的包进行log。 其它类型的拒绝服务，都可以使用相应的访问控制列表进行过滤，但对系统性能可能会有一些影响。其中一些拒绝服务现在操作系统已基本都能防范，不需要特别设置。 * * 在PIX上做一个NAT需要同时调用NAT和GLOBAL两个命令，其中NAT（inside）定义了内部需要被转换的地址或地址段，global(outside)定义了被转换后的地址或地址池。 Static (inside,outside) 把外口地址映射成内部主机上。 Static (inside,outside) tcp 8080 80 把外口地址的8080端口映射到内部主机的的80端口上。 NAT 0的作用，nat (inside) 0 （不需要配合使用nat (global)命令），当有这个命令的时候表示这个网段自己NAT成自己，当使用show xlate的时候可以看到这个转换项。 * * crypto ipsec transform-set myset esp-des esp-md5-hmac (定义一个名称为myset的交换集) crypto dynamic-map dynmap 10 set transform-set myset (根据myset交换集产生名称为dynmap的动态加密图集（可选） crypto map vpn 10 ipsec-isakmp dynamic dynmap (将dynmap动态加密图集应用为IPSEC的策略模板（可选）) crypto map vpn 20 ipsec