防火墙技术.ppt

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,网络安全体系结构,（防火墙技术）,zhuguohe,防火墙技术,防火墙的配置方式,防火墙的工作模式,访问控制技术,透明桥模式,路由接入,网络地址转换,防火墙的配置方式,图形配置方式,管理软件,命令行配置方式,telnet,ssh,两种方式的对比,防火墙管理,通过超级终端登录防火墙,在超级终端添加管理员用户和密码，并设置登录区间,angellpro(config,)#user test type admin,angellpro(config,)#password test,angellpro(config,)#user test host 172.16.100.1-172.16.100.254,angellpro(config,)#user test,logintype,ssh,angellpro(config,)#user test,logintype,GUI,angellpro(config,)#enable,shh,angellpro(config,)#enable telnet,angellpro(config,)#enable ping,在管理机通过,GUI,界面或,PUTTY,软件以,SSH,方式登录防火墙,用户权限,系统操作员,只读权限,系统管理员,只读权限,配置权限,超级管理员,只读权限,配置权限,增删用户,-,-,-,命令体系结构,Console,下使用命令行进行调试诊断或配置！,特权模式,配置模式,Conf t,exit,XXX,exit,诊断操作,重起操作,查看操作,接口配置,区域配置,PPTP,配置,DHCP,配置,认证配置,访问策略,日志配置,路由配置,地址翻译,login,恢复出厂设置,在出现,Default(,d)/LastSuccess,(,l)/LastSaved(s,),时 输入选项,【d】,Default,（,d,）,:,防火墙的出厂默认配置,LastSuccess,(d):,最近一次成功启动时的配置,LastSaved,（,s,）,:,最后保存的配置信息,Console,Starting Firewall Self Testing.OK,Preparing for Firewall Starting.OK,Please select which,config,to load in 6 seconds.,Default(,d)/LastSuccess,(,l)/LastSaved(s)(s,):,防火墙的配置流程,配置步骤：,接口设置,区域设置,路由设置,访问策略,NAT,设置,配置接口参数,将接口加入定义的区域,添加网络中需要的路由表,配置所需要的不同,NAT,配置策略并应用到区域之间,适合于地址混合的网络环境中工作,地址参数,表示,IP,地址,使用标准的表示方法，用于接口地址和地址池等,如：,192.168.0.1,，掩码为,255.255.255.0,或,/24,表示一台主机,使用全部为,255.255.255.255,的掩码，用于功能模块,如：,192.168.0.2,，掩码为,255.255.255.255,或,/32,表示一个网络,使用地址和掩码的尾数为零，用于路由、策略规则中,如：,192.168.0.0,，掩码为,255.255.255.0,或,/24,表示所有的网络，,全部地址和掩码全部为零，用于路由、策略规则中,如：,0.0.0.0,，掩码为,0.0.0.0,或,/0,地址配置,为不同的网络接口分配相应的地址,A,网段,B,网段,IP_A,IP_B,IP_C,C,网段,B,网段,网络地址规划为防火墙的安装做好准备工作,网络区域,通过设置防火墙控制不同网络之间的访问关系,形成了彼此之间安全等级的差异,区域,A,区域,B,区域,C,防火墙,区域,D,安全等级,区域划分,Outside,Inside,Dmz,典型安全区域,传统安全设备对安全区域的划分方式,防火墙的工作模式,根据网络拓扑结构划分,防火墙能够接入各种网络环境中工作,路由模式,NAT,模式,网桥模式,混合模式,网桥,工作模式,网桥方式：,将二个或二个以上的物理接口绑定成一台虚拟设备，此时连接在网桥内网与外网之间的防火墙对于用户是透明的（即,网桥模式,）,。,优势：,对连接网桥的网络和用户无需做任何设置的改动，如网络设备（包括主机和路由器）的设置（,IP,和网关、,DNS,、路由表等）无需改变，也根本意识不到防火墙的存在而完成对访问的控制。,实训一,:,透明网桥功能设置,路由,典型的路由选择方式有两种：,静态路由,动态路由,防火墙可实现的路由,普通静态路由,策略路由,路由,10.120.2.0,172.16.1.0,要实现路由，路由器必须知道：,目的地址,源地址,所有可能的路由路径,最佳路由路径,静态路由,这是一条单向的路径，必须配置一条相反的路径,添加,A,路由配置,IP Route 172.16.1.0/24 172.16.2.1,网络,B,172.16.1.0,网络,A,172.16.2.2,1,72.16.2.1,A,B,缺省路由,使用缺省，网络,B,可以到达路由器,A,以外的网络,添加,B,路由配置,IP Route 0.0.0.0/0 172.16.2.2,网络,B,172.16.1.0,172.16.2.2,1,72.16.2.1,B,网络,A,A,策略路由,防火墙,A,路由表,来源,目的,下一跳,主机,A,互联网,铁通网关,主机,B,互联网,电信网关,策略路由用于多出口的网络环境，实现流量分流,路由实例,实现目标：,内部网络访问任意外网,地址分配：,防火墙地址信息表,接口,Eth0,Eth1,地址,10.10.10.2,10.10.20.1,掩码,255.255.255.0,255.255.255.0,区域,Outside,Inside,网关,10.10.10.1,外部网络,内部网络,Outside,Fa,0,：,61.90.80.2/24,Fa,1,：,10.10.10.1/24,Eth0,：,10.10.10.2/24,Eth1,：,10.10.20.1/24,NET,：,10.10.20.0/24,Inside,配置流程,路由模式,配置流程,界面路径,一、设置网络接口,网络管理,网络接口,二、设置网络区域,网络管理,网络区域,三、设置路由表,网络管理,路由表,四、设置策略,策略管理,访问策略,五、策略应用,策略管理,访问策略,结 束,访问策略,访问策略：,防火墙的访问控制规则。,访问控制是防火墙最基础的功能，通过规则的配置，可以将不允许的信息拒之门外。,送出数据,Eth0,Eth1,访问策略,通讯协议,Permit?,网络,A,网络,B,进入数据,Y,N,DROP,访问策略,访问方向,内部,服务器,外部,来源,目的,区域间访问通过各自的规则进行单独控制！,IP,数据包结构,数据包的判断参数,包括数据包中的地址、源地址、目的地址、协议、协议端口号、时间,物理层,数据链路层,网络层,传输层,会话层,表示层,应用层,服务、端口号,TCP/IP,协议,IP,地址,MAC,地址,数据包格式,TCP/IP,数据包,Osi,模型,物理层,数据链路层,网络层,传输层,会话层,表示层,应用层,来源,I P,地 址,目的,I P,地 址,协 议,来源端口,协 议,目的端口,数 据,。,来源,MAC,地 址,目的,MAC,地 址,访问规则,访问控制的执行动作,A,、通过,通讯会话可以正常通行,B,、丢弃,直接丢弃通讯会话,C,、拒绝,直接丢弃通讯会话，向发起者返回处理结果,D,、空动作,该规则忽略,访问规则,顺序调整,移动值,通过调整使访问控制规则符合预期效果！,访问规则配置原则,访问策略的控制顺序,将控制条件严格的语句放在访问规则的最上面,在访问规则的最后有一条隐含声明：,deny any,一组正确的访问规则至少应该有一条允许语句,先创建访问策略，然后应用到访问区域上,默认安全策略,设置原则：,宽松原则,没有明确禁止的行为都是允许的,严谨原则,没有明确允许的行为都是禁止的,设置要求,:,策略组中的访问规则具有顺序性,控制的粒度范围遵循从小到大,控制粒度,地 址,协 议,主 机,端 口 号,网 段,TCP/UDP/ICMP,所有网络,IP,协议,从细到粗,访问规则设置原则,宽松原则,*没有明确禁止的行为都是允许的,首先禁止明确的访问,最后允许所有访问,访问规则组（,test_1,）,序号,源地址,目的地址,协议,源端口,目的端口,访问策略,01,0.0.0.0/0,0.0.0.0/0,TCP,Any,135,拒绝,02,0.0.0.0/0,0.0.0.0/0,UDP,Any,8000,拒绝,03,0.0.0.0/0,0.0.0.0/0,IP,Any,Any,允许,宽松原则多用于控制内网用户到公网的访问,访问规则设置原则,严谨原则,*没有明确允许的行为都是禁止的,首先允许明确的访问,最后禁止所有访问,（最后默认为拒绝）,访问规则组（,test_2,）,序号,源地址,目的地址,协议,源端口,目的端口,访问策略,01,0.0.0.0/0,0.0.0.0/0,UDP,Any,53,允许,02,0.0.0.0/0,0.0.0.0/0,TCP,Any,80,允许,03,0.0.0.0/0,0.0.0.0/0,IP,Any,Any,拒绝,严谨原则多用于控制公网用户到服务器的访问,访问控制实训,NAT,网络地址转换,网络地址转换,Network Address Translation,提供三种工作方式,源地址转换,（,SNAT,）,目的地址转换（,DNAT,）,静态地址映射（,NATMAP,）,NAT,的主要用途,NAT,使用的几种情况：,A,、,IP,地址短缺。,B,、隐藏内部主机地址和网络结构,C,、网络地址交迭,D,、网络负载均衡,相关概念,内部局部地址,内部全局地址,外部局部地址,外部全局地址,SNAT,源地址转换,内部使用保留,IP,地址的主机可以通过一个或一组外部有效地址访问外部网络。,提供外部地址和内部地址的一对一,(,静态,NAT),、一对多,（,PAT,）,或多对多转换,(,动态,NAT),，包括端口的转换。,使用环境：,用于局域网络通过少量由,ISP,分配的地址访问互联网,例如：公司局域网络访问互联网的服务,SNAT,SNAT,工作原理,202.33.19.29,192.168.0.10,80 1025,61.18.20.100,202.33.19.29,80,1025,192.168.0.10,202.33.19.29,80 80,192.168.0.10,202.33.19.29,1025 80,61.18.20.100,202.33.19.29,1025 80,Sou IP,Des IP,Port,DNAT,合法,IP Address,61.18.20.100,对外提供,WEB,IP harder,TCP harder,202.33.19.29,.,192.168.0.10,2,1,4,3,Inside,Outside,防火墙提供基于策略的,DNAT,功能！,实训二,:,目的地址转换实训,负载均衡,负载均衡工作原理,1,负载均衡原理,多台主机使用,合法,IP Address,61.18.20.100,共同对外提供,WEB,IP harder,TCP harder,202.33.19.29,.,192.168.0.10,202.33.19.30,.,192.168.0.11,202.33.19.29,61.18.20.100,1025 80,Sou IP,Des IP,Port,202.33.19.29,192.168.0.10,1025 80,202.33.19.30,61.18.20.100,1025 80,202.33.19.30,192.168.0.11,1025 80,2,3,Inside,Outside,静态地址映射,静态地址映射,将内部地址和外部地址实现一对一的映射,包括,Snat,Netmap,，,Dnat,Netmap,使用环境：,多用于必须使用真实地址完成访问与被访问,例如：,邮件服务器在工作时使用相同的外部地址,静态地址映射,静态地址映射工作原理,Inside,Network,Outside,静态地址映射,合法,IP Address,61.185.204.103,合法,IP Address,61.185.204.103,保留,IP Address,192.168.0.100,保留,IP Address,192.168.0.100,静态地址映射,静态地址映射配置,外部地址必须配置到防火墙的接口上！,内部主机地址,外部主机地址,Inside,内部地址,Outside,外部地址,来源,目的,外部地址,内部地址,Dnat natmap,Snat natmap,外部地址,内部地址,静态地址映射,Snat natmap,+,Dnat natmap,=,静态地址映射,静态地址映射,Dnat natmap,Snat natmap,静态地址映射,内部主机地址,外部主机地址,Inside,Outside,混合模式实例,实现目标：,内部网络访问任意外网,服务器可被内、外部访问,地址分配：,防火墙地址信息表,接口,Eth0,Eth1,Eth2,地址,61.90.80.2,10.10.20.1,10.10.10.1,掩码,255.255.255.248,255.255.255.0,255.255.255.0,区域,Outside,Inside,DMZ,网关,61.90.80.1,服务器网,外部网络,内部网络,Outside,Inside,Eth0,Dmz,Eth1,10.10.10.0/24,10.10.20.0/24,Eth2,混合模式实例,合法地址,使用,61.90.80.0/29,网段,61.90.80.2/29,（内部上网地址）,61.90.80.3/29,（提供,Web,服务）,61.90.80.4/29,（提供,Mail,服务）,61.90.80.5/29,（提供,Ftp,服务）,内部网络,使用,10.10.20.0,网段,服务器网,使用,10.10.10.0,网段,Web,服务器,10.10.10.3/24,Mail,服务器,10.10.10.4/24,Ftp1,服务器,10.10.10.5/24,Ftp2,服务器,10.10.10.6/24,服务器网,外部网络,内部网络,Outside,Inside,Eth0,Dmz,Eth1,10.10.10.0/24,10.10.20.0/24,Eth2,配置流程,混合模式,配置流程,界面路径,一、设置网络接口,网络管理,网络接口,二、设置网络区域,网络管理,网络区域,三、设置路由表,网络管理,路由表,四、设置,NAT,网络管理,NAT,配置,五、设置策略,策略管理,访问策略,六、策略应用,策略管理,访问策略,结 束,防火墙试验,试验拓扑结构说明,使用防火墙连接交换机,网络,A,交换机接,Eth0,口,网络,B,交换机接,Eth1,口,网络,A,交换机,网络,A,内主机接交换机，,可以提供,WWW,，,FTP,服务,网络,B,交换机,网络,B,内主机接交换机,可以提供,WWW,，,FTP,服务,网络,A,Eth0,网络,B,Eth1,问 题,