7-防火墙配置与NAT配置ppt课件

1、第七讲 防火墙配置与NAT配置n防火墙技术n访问控制列表nAR18防火墙配置nAR28防火墙配置nNAT技术nAR18 NAT配置nAR28 NAT配置1;.防火墙技术 概念n防火墙（Firewall）的本义是一种建筑结构，它用来防止大火从建筑物的一部分蔓延到另一部分。n在计算机网络中，防火墙是指用于完成下述功能的软件或硬件：q对单个主机或整个计算机网络进行保护，使之能够抵抗来自外部网络的不正当访问。2;.防火墙技术 分类n包过滤防火墙（Packet Filter Firewall）：对IP包进行过滤，先获取包头信息，包括IP 层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的

2、端口等，然后和设定的规则进行比较，根据比较的结果决定数据包是否被允许通过。n应用层报文过滤（Application Specific Packet Filter）：也称为状态防火墙，它维护每一个连接的状态，并且检查应用层协议的数据，以此决定数据包是否被允许通过。3;.防火墙技术 示意图RInternet公司总部内部网络未授权用户办事处n防火墙一般被放置在内部网和Internet之间4;.防火墙技术 路由器实现包过滤防火墙路由器上的路由器上的IP包包转发机制转发机制IP PacketIP Packet网络层数据链路层输入IP包规则库输出IP包规则库由规则决定对IP包的处理: 丢弃或通过由规则决定

3、对IP包的处理: 丢弃或通过路由器可以在输入和输出两个方向上对IP包进行过滤接口1接口25;.访问控制列表 概念n访问控制列表（Access Control List, ACL）是实现包过滤规则库的一般方法，它由一系列“permit”或“deny”的规则组成。n除安全之外，访问控制列表还有以下两种应用：qQoS（Quality of Service）qNAT（Network Address Translation）6;.访问控制列表 分类（AR18）n标准访问控制列表q只使用源IP地址来描述IP包q数字标识：2000 2999n扩展访问控制列表q使用源和目的IP地址，协议号，源和目的端口号来描

4、述IP包q数字表示：3000 39997;.访问控制列表 标准ACLnQuidway acl acl-number match-order config | auto qacl-number：2000 2999qconfig：配置顺序 /缺省值qauto：深度优先nQuidway-acl-2000 rule normal | special permit | deny source source-addr source-wildcard | any qnormal：该规则在所有时间段内起作用； /缺省值qspecial：该规则在指定时间段内起作用，使用special 时用户需另外设定时间段qs

5、ource-wildcard：反掩码8;.访问控制列表 反掩码例如：Quidway-acl-2000 rule normal permit source 55n反掩码和子网掩码功能相似，但写法不同：q0表示需要比较q1表示忽略比较n反掩码和IP地址结合使用，可以描述一个地址范围。000255只比较前24位003255只比较前22位0255255255只比较前8位9;.访问控制列表 扩展ACLn配置TCP/UDP协议的扩展ACLn配置ICMP协议的扩展ACLn配置其他协议的扩展ACL10;.访问控制列表 扩展ACL（续）n配置TCP/UDP协议的扩展ACL：

6、 rule normal | special permit | deny tcp | udp source source-addr source-wildcard | any source-port operator port1 port2 destination dest-addr dest-wildcard | any destination-port operator port1 port2 Operator的语法的语法意义意义equal portnumber等于端口号等于端口号 portnumbergreater-than portnumber大于端口号大于端口号portnumberl

7、ess-than portnumber小于端口号小于端口号portnumbernot-equal portnumber不等于端口号不等于端口号portnumber range portnumber1 portnumber2介于端口号介于端口号portnumber1 和和portnumber2之间之间11;.访问控制列表 扩展ACL（续）n配置TCP/UDP协议的扩展ACL举例： rule normal deny tcp source destination 6 destination-port equal 80 n

8、配置ICMP协议的扩展ACL ： rule normal | special permit | deny icmp source source-addr source-wildcard | any destination dest-addr dest- wildcard | any icmp-type icmp-type icmp-code 注：缺省为全部ICMP消息类型n配置ICMP协议的扩展ACL举例 ： rule normal deny icmp source any destination 55 icmp-type echo 12;.访问控制列表

9、 扩展ACL（续）nICMP协议消息类型的助记符 ：echoecho-replyhost-unreachablenet-redirectnet-unreachableparameter-problemport-unreachableprotocol-unreachablettl-exceededType=8, Code=0Type=0, Code=0Type=3, Code=1Type=5, Code=0Type=3, Code=0Type=12,Code=0Type=3, Code=3Type=3, Code=2Type=11,Code=013;.访问控制列表 扩展ACL（续）n配置其它协议

10、的扩展ACL ： rule normal | special permit | deny ip | ospf | igmp | gre source source-addr source-wildcard | any destination dest-addr dest-wildcard | any n配置其它协议的扩展ACL 举例： rule normal permit ip source 55 destination any14;.访问控制列表 分类（AR28）n基于接口的访问控制列表（Interface-based ACL）q使用接口来控制网络包q数

11、字标识：1000 1999n基本的访问控制列表（Basic ACL）q只使用源IP地址来控制IP包q数字标识：2000 2999n高级的访问控制列表（Advanced ACL）q使用源和目的IP地址，协议号，源和目的端口号来控制IP包q数字表示：3000 3999n基于MAC 的访问控制列表（MAC-based ACL）q使用MAC地址来控制网络包q数字表示：4000 499915;.访问控制列表 创建ACL（AR28）nQuidway acl number acl-number match-order config | auto qconfig：匹配规则时按用户的配置顺序。 /缺省值qaut

12、o：匹配规则时按“深度优先”的顺序。n创建ACL后，将进入ACL视图：qQuidway-acl-adv-3000q进入ACL 视图之后，就可以配置ACL的规则了。16;.访问控制列表 Basic ACLnQuidway-acl-basic-2000 rule rule-id permit | deny source sour-addr sour-wildcard | any time-range time-name qrule-id：可选参数，规则编号，范围为065534。q少了 normal | special qtime-range：可选参数，指定访问控制列表的生效时间。q其余与AR18同

13、n举例： Quidway-acl-basic-2000 rule permit source 17;.访问控制列表 Advanced ACLnQuidway-acl-adv-3000 rule rule-id permit | deny protocol source sour-addr sour-wildcard | any destination dest-addr dest-mask | any source-port operator port1 port2 destination-port operator port1 port2 icmp-ty

14、pe icmp-message | icmp-type icmp-code time-range time-name n格式与AR18中的三种扩展ACL基本相同：qprotocol : ip, ospf, igmp, gre, icmp, tcp, udp, etc. q少了 normal | special q多了 rule-id 和 time-rangeqoperator 被简化: “eq” -等于端口号， “gt” 大于端口号， “lt” 小于端口号， “neq” 不等于端口号， “range” 介于两端口号之间18;.AR18防火墙配置 启动/禁止n启动防火墙qQuidway fire

15、wall enablen禁止防火墙qQuidway firewall disablen缺省情况下，防火墙处于“启动”状态19;.AR18防火墙配置 缺省过滤方式n缺省过滤方式：当访问规则中没有找到一条匹配的规则来判定网络包是否可以通过的时候，将根据缺省过滤方式来决定“允许”还是“禁止”网络包通过。n设置缺省过滤方式为“允许”：qQuidway firewall default permitn设置缺省过滤方式为“禁止”：qQuidway firewall default denyn缺省情况下，缺省过滤方式为“允许”20;.AR18防火墙配置 在接口上应用ACLn要实现接口对报文的过滤功能，就必须

16、先将相应ACL应用到接口上n用户可在一个接口上对“入”和“出”两个方向的报文分别定义不同的ACLn在接口上应用ACL的命令为：Quidway-Serial0 firewall packet-filter acl-number inbound | outbound qinbound：入方向qoutbound：出方向n在一个接口的一个方向上，可以配置多个ACL，匹配时从acl-number 大的ACL开始，若匹配则停止21;.AR18防火墙配置 显示配置信息n显示ACL及在接口上的应用 任意视图 display acl all | acl-number n显示防火墙状态 任意视图 display

17、firewall22;.AR18防火墙配置 举例n只有外部特定PC可以访问内部服务器n只有内部特定PC可以访问外部网络防火墙配置要求：Ethernet0Serial023;.AR18防火墙配置 举例（续）# 打开防火墙功能。Router firewall enable# 设置防火墙缺省过滤方式为允许包通过。Router firewall default permit# 配置Ethernet0入方向访问规则禁止所有包通过。Router acl 3001 match-order autoRouter-acl-3001 rule deny ip source any destin

18、ation any# 允许内部特定PC访问外部网，允许内部服务器与外部特定PC通讯。Router-acl-3001 rule permit ip source 0 destination anyRouter-acl-3001 rule permit ip source 0 destination 0Router-acl-3001 rule permit ip source 0 destination 0Router-acl-3001 rule permit ip source 129.

19、38.1.3 0 destination 024;.AR18防火墙配置 举例（续）# 配置Serial0入方向访问规则禁止所有包通过。 Router acl 3002 match-order autoRouter-acl-3002 rule deny ip source any destination any# 允许外部网与内部特定PC通讯。Router-acl-3002 rule permit ip source any destination 0# 允许外部特定PC访问内部服务器。Router-acl-3002 rule permit ip so

20、urce 0 destination 0Router-acl-3002 rule permit ip source 0 destination 0Router-acl-3002 rule permit ip source 0 destination 0# 将规则3001 作用于从接口Ethernet0 进入的包。Router-Ethernet0 firewall packet-filter 3001 inbound# 将规则3002 作用于从接口Serial0 进

21、入的包。Router-Serial0 firewall packet-filter 3002 inbound25;.AR28防火墙配置 启动/禁止n启动防火墙qQuidway firewall enablen禁止防火墙qQuidway undo firewall enablen缺省情况下，防火墙处于“禁止”状态与AR18不同26;.AR28防火墙配置 缺省过滤方式n缺省过滤方式：当访问规则中没有找到一条匹配的规则来判定网络包是否可以通过的时候，将根据缺省过滤方式来决定“允许”还是“禁止”网络包通过。n设置缺省过滤方式为“允许”：qQuidway firewall default permitn

22、设置缺省过滤方式为“禁止”：qQuidway firewall default denyn缺省情况下，缺省过滤方式为“允许”与AR18相同27;.AR28防火墙配置 在接口上应用ACLn在接口上应用ACL的命令为：Quidway-Serial0 firewall packet-filter acl-number inbound | outbound qinbound：入方向qoutbound：出方向n在一个接口的一个方向上，可以配置多个ACL，匹配时从acl-number 大的ACL开始与AR18相同28;.AR28防火墙配置 显示配置信息n显示ACL及在接口上的应用 任意视图 display

23、 acl all | acl-number n显示防火墙状态 任意视图 display firewall-statistics all | interface type number 与AR18不同29;.AR28防火墙配置 举例防火墙配置要求：n只有外部特定PC可以访问内部服务器n只有内部特定PC可以访问外部网络Ethernet0Serial030;.AR28防火墙配置 举例（续）# 打开防火墙功能。Router firewall enable# 设置防火墙缺省过滤方式为允许包通过。Router firewall default permit# 配置Ethernet0入方

24、向访问规则禁止所有包通过。Router acl number 3001 match-order autoRouter-acl-adv-3001 rule deny ip source any destination any# 允许内部特定PC访问外部网，允许内部服务器与外部特定PC通讯。Router-acl-adv-3001 rule permit ip source 0 destination anyRouter-acl-adv-3001 rule permit ip source 0 destination 0Router-

25、acl-adv-3001 rule permit ip source 0 destination 0Router-acl-adv-3001 rule permit ip source 0 destination 031;.AR28防火墙配置 举例（续）# 配置Serial0入方向访问规则禁止所有包通过。 Router acl number 3002 match-order autoRouter-acl-adv-3002 rule deny ip source any destination any# 允许外

26、部网与内部特定PC通讯。Router-acl-adv-3002 rule permit ip source any destination 0# 允许外部特定PC访问内部服务器。Router-acl-adv-3002 rule permit ip source 0 destination 0Router-acl-adv-3002 rule permit ip source 0 destination 0Router-acl-adv-3002 rule permit ip source

27、 0 destination 0# 将规则3001 作用于从接口Ethernet0 进入的包。Router-Ethernet0 firewall packet-filter 3001 inbound# 将规则3002 作用于从接口Serial0 进入的包。Router-Serial0 firewall packet-filter 3002 inbound32;.NAT技术 概述nNAT (Network Address Translation)是目前用于解决IP地址紧缺问题的主要技术。nNAT的标准文档是RFC 2663，1999年和RFC 3022，

28、2001年（obsolete RFC 1631，1994年）.nNAT是在路由器上实现的，它的主要操作是在私网IP地址和公网IP地址之间作相互转换。n通过这种转换，一个网络能够在其内部使用私网IP地址，而在外部使用一个或少数几个公网IP地址连接到Internet上。33;.NAT技术 私网IP地址Internet/8/16/24PrivateNetwork 1私网私网IP地址范围：地址范围： - 55 - 55 - 192.168

29、.255.255PrivateNetwork 2PrivateNetwork 334;.NAT技术 基本思想n每个NAT路由器都维护一张地址转换表。地址转换表35;.NAT技术 基本思想（NAPT）nNAT的最常见形式 - NAPT (Network Address Port Translation):地址转换表36;.NAT技术 基本思想（内部服务器）InternetR内部服务器外部用户E0S0内部地址:内部端口:80外部地址:外部端口:80IP:配置地址转换:IP地址:端口:8080外部用户

30、访问内部服务器37;.NAT 私网访问公网具体步骤Internet内部网络/8NAT路由器公用地址池 私网地址私网端口公网地址公网端口10011044dstIP:, srcIP:dstPort:21, srcPort:1001dstIP:, srcIP:dstPort:21, srcPort:1044dstIP:, srcIP:dstPort:1001, srcPort:21查找地址转换表，

31、更改目的IP和端口增加地址转换表项，更改源IP和端口12345dstIP:, srcIP:dstPort:1044, srcPort:216外部PC内部PC38;.NAT 公网访问内部服务器具体步骤私网地址私网端口公网地址公网端口2121Internet内部网络/8NAT路由器需预先配置如下静态地址转换表项公用地址池 dstIP:, srcIP:dstPort:21, srcPort:10

32、44dstIP:, srcIP:dstPort:1044, srcPort:21查找地址转换表，更改源IP和端口查找地址转换表，更改目的IP和端口12345FTP客户FTP服务器6dstIP:, srcIP:dstPort:21, srcPort:104dstIP:, srcIP:dstPort:1044, srcPort:2139;.NAT 技术 其它用途 n使易于更换ISPnIP伪装 (IP Masquerading)n服务器前端 (Front End

33、)，在多个服务器之间分配负载40;.NAT技术 服务器前端 地址转换表41;.NAT技术 批评n开销增加qNAT: 重新计算IP Header ChecksumqNAPT: 重新计算TCP/UDP Header Checksumn违反了协议分层的原则。n使在应用层的数据中携带有IP地址或端口号的协议不能正常运行。欲知有关NAT各方面影响的详细讨论，请参见RFC 2993.42;.NAT配置（AR18） 定义地址池n地址池是一串连续IP 地址的集合，当内部IP包通过地址转换到达外部网络时，将会选择地址池中的某个地址作为转换后的源地址n定义地址池命令：qQuidway nat address-gr

34、oup start-addr end-addr pool-namen举例：qQuidway nat address-group pool143;.NAT配置（AR18） 定义地址池与ACL的关联nACL在NAT中的作用是 “描述将被做地址转换的IP包” 。 n当内部网络有数据包要发往外部网络时，首先根据该ACL判定是否是允许的数据包，然后再根据定义的关联找到与之对应的地址池，最后再把源地址转换成这个地址池中的某一个地址。n定义关联命令：qQuidway-Serial0 nat outbound acl-no address-group poo

35、l-namen举例：qQuidway acl 2000 match-order autoqQuidway-acl-2000 rule permit source 55qQuidway-acl-2000 rule deny source anyqQuidway nat address-group pool1qQuidway-Serial0 nat outbound 2000 address-group pool144;.NAT配置（AR18） 定义接口与ACL的关联n接口与ACL的关联又称EASY IP 特

36、性，它是指在地址转换的过程中直接使用接口的IP 地址作为转换后的源地址n定义关联命令：qQuidway-Serial0 nat outbound acl-no interfacen举例：qQuidway acl 2000 match-order autoqQuidway-acl-2000 rule permit source 55qQuidway-acl-2000 rule deny source anyqQuidway-Serial0 nat outbound 2000 interface45;.NAT配置（AR18） 建立内部服务器映射n用户可将内部服

37、务器的IP地址和端口号映射到NAT路由器的外部地址以及端口号上，从而实现由外部网络访问内部服务器的功能。n建立映射命令：qQuidway-Serial0 nat server global global-addr global-port | any | domain | ftp | pop3 | smtp | telnet | www inside inside-addr inside-port | any | domain | ftp | pop3 | smtp | telnet | www protocol-number | ip | icmp | tcp | udp n举例：qQuidw

38、ay-Serial0 nat server global 2 8080 tcp46;.NAT配置（AR18） 配置信息显示n查看地址转换的配置信息：q任意视图 display natn查看地址转换表：q任意视图 display nat translations global ip-address | inside ip-address 47;.NAT配置（AR18） 举例RRRInternetFTP 服务器WWW 服务器1WWW 服务器2内部PC00S0内部PC00RSMTP 服务器10.110.10.

39、地址池：0103网络地址转换配置要求：n内部/24 网段的PC 机可访问Internet，其它网段的PC 机不能访问Internet。n外部PC 机可以访问内部的服务器。48;.NAT配置（AR18） 举例（续）# 配置地址池和ACLRouter nat address-group 01 03 pool1Router acl 2000 match-order autoRouter-acl-2000rule pe

40、rmit source 55Router-acl-2000rule deny source 55# 允许/24 的网段进行地址转换Router-Serial0 nat outbound 2000 address-group pool1# 设置内部FTP 服务器Router-Serial0 nat server global 01 # 设置内部WWW服务器1Router-Serial0 nat server global 02

41、 # 设置内部WWW服务器2Router-Serial0 nat server global 02 8080 inside # 设置内部SMTP 服务器Router-Serial0 nat server global 03 smtp inside smtp tcp49;.NAT配置（AR28） 定义地址池n地址池是一些连续的IP 地址的集合，当内部IP包通过地址转换到达外部网络时，将会选择地址池中的某个地址作为转换后的源地址n定义地址池命令：qQuidway nat addr

42、ess-group group-number start-addr end-addrn举例：qQuidway nat address-group 1 与AR18不同50;.NAT配置（AR28） 定义地址池与ACL的关联n当内部网络有数据包要发往外部网络时，首先根据该ACL判定是否是允许的数据包，然后再根据定义的关联找到与之对应的地址池，最后再把源地址转换成这个地址池中的某一个地址n定义关联命令：qQuidway-Serial0 nat outbound acl-number address-group group-numbern举例：qQu

43、idway acl 2000 match-order autoqQuidway-acl-basic-2000 rule permit source 55qQuidway-acl-basic-2000 rule deny source anyqQuidway nat address-group 1 qQuidway-Serial0 nat outbound 2000 address-group 1与AR18不同51;.NAT配置（AR28） 定义接口与ACL的关联n接口与ACL的关联又称EASY IP 特性，

44、它是指在地址转换的过程中直接使用接口的IP 地址作为转换后的源地址n定义关联命令：qQuidway-Serial0 nat outbound acl-numbern举例：qQuidway acl 2000 match-order autoqQuidway-acl-basic-2000 rule permit source 55qQuidway-acl-basic-2000 rule deny source anyqQuidway-Serial0 nat outbound 2000与AR18不同,省略”interface”52;.NAT配置（AR28） 建立

45、内部服务器映射n用户可将内部服务器的IP地址和端口号映射到NAT路由器的外部地址以及端口号上，从而实现由外部网络访问内部服务器的功能。n建立映射命令：qQuidway-Serial0 nat server protocol protocol-number | ip | icmp | tcp | udp global global-addr global-port | any | domain | ftp | pop3 | smtp | telnet | www inside inside-addr inside-port | any | domain | ftp | pop3 | smtp | telnet | www n举例：qQuidway-Serial0 nat server tcp global 2 8080与AR18不同,位置改变53;.NAT配置（AR28） 配置信息显示n查看地址转换的配置信息：q任意视图 display nat address-g