网络管理与维护技术苏英如04第4章防火墙配置.pptVIP

网络管理与维护技术 主编 苏英如 第4章 防火墙配置 【本章要点】 接口的安全级别、接口间互访规则 动、静态NAT与PAT NAT与DNS记录重写 应用层协议检测 ICMP检测与控制 TCP报文规范化、拦截、连接数限制 预防IP欺骗 第4章 防火墙配置 4.1 基本概念与命令 4.2 应用举例 4.3 抵御网络攻击 4.4 综合举例之一──WWW服务器虚拟镜像与url重定向 4.5 综合举例之二──网间“短接”技术方案设计 4.1 基本概念与命令 4.1.1 接口的安全等级 4.1.2 核心安全策略 4.1.3 NAT 4.1.4 ACL与网络访问控制 4.1.5 静态路由、路由表 4.1.6 应用层协议检测 4.1.1 接口的安全等级 4.1.2 核心安全策略 在默认情况下，防火墙的核心安全策略： 允许高安全级别主机主动发起与低安全等级主机的连接，并放行返回报文； 不允许低安全等级主机主动发送连接请求给高安全级别的主机。 图4-2 核心安全策略 4.1.3 NAT 通常，防火墙都运行NAT。主要原因是：公网地址不敷使用；隐藏内部IP地址，增加安全性；允许外网主机访问DMZ。 4.1.4 ACL与网络访问控制 4.1.4 ACL与网络访问控制 使用扩展ACL时，对TCP、UDP协议，可以使用下列操作符指定端口号：lt──小于，gt──大于，eq──等于，neq──不等于，range──指定一个数值区间，如“range 100 200”。 低版本的防火墙，只允许在接口的in方向上应用ACL，高版本的防火墙则无此限制。 4.1.5 静态路由、路由表 1．路由处理过程 防火墙可工作在路由（Routed）或透明（Transparent）模式下。工程中，一般选择路由模式。 在路由模式下： 外部网络可将防火墙理解为“router hop”； 在防火墙内部，根据地址转换表（XLATE、静态映射)和路由表来路由数据包的。 路由处理包括两个步骤： 确定包应该送哪个接口； 根据该接口的路由表（而不是其他接口的路由表）发送数据包。 1．路由处理过程 2．静态路由设置 在图4-6中，假设防火墙未运行动态路由协议。欲使内网与Internet连通，应在防火墙上怎样设置？ 图4-6 静态路由设置 3．路由表 查看一台运行中的防火墙的路由表。 FW# sh route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is to network C 52 is directly connected, dmz C 52 is directly connected, outside C 52 is directly connected, inside S [1/0] via , inside S [1/0] via , inside S* [1/0] via , outside 4.1.6 应用层协议检测 检测应用层协议（传输层报文的载荷）的能力是衡量防火墙性能的重要指标。 防火墙能自动允许内向的返回报文，是因为其记录了相关会话的状态。 例如，FTP在标准模式下工作时，需要使用控制和数据2个通道，其中，控制通道首先开通，之后，通过该通道为数据通道协商、开通一对新的端口。如果不检测这个协商过程，防火墙就无法自动为数据传输开通通道。 再如，某些协议在工作时，将IP地址封装在应用层协议中，在接收方，再将这个地址