路由器防火墙基本原理及典型配置讲解

1、路由器防火墙典型配置讲解路由和路由协议简介第二章 NAT第三章 防火墙简介第四章 课后作业什么是路由器简单的说就是在IP网络上连接不同子网，实现IP报文转发功能的设备每台路由器都有一张路由表，路由器就是根据路由表来进行IP报文转发的。Routing Tables: Destination/Mask Proto Pref Metric Nexthop Interface/0 Static 60 0 Tunnel6/30 Direct 0 0 Tunnel6/32 Direct 0 0 LoopBack0/8 Static 60 0 Ethernet0/23 Direct 0 0 4 Ethern

2、et04/32 Direct 0 0 LoopBack0/8 Direct 0 0 LoopBack0/32 Direct 0 0 LoopBack0 28/27 Direct 0 0 37 Ethernet1 37/32 Direct 0 0 LoopBack0主机的处理过程每台主机都有自己的路由表Active Routes:Network Destination Netmask Gateway Interface Metric 8 20 8 8 208 55 2055 55 8 8 20 1 8 8 2055 55 8 8 1 54 8 20Default Gateway: =问题：上图中

3、主机访问00、2、00时分别会把报文转发给那个网关设备。静态路由协议路由器上配置ip route-static Tunnel 6 preference 60ip route-static preference 60orip route 3ip route Windowsroute ADD MASK 动态路由协议路由协议也叫做动态选路协议，就是路由器获得路由表的过程。RIP IGRP EIGRP OSPF等等都是路由协议Distance Vector Protocols RIP IGRP EIGRPLink State Protocols OSPFIS-IS第一章 路由和路由协议简介第二章 NA

4、T第三章 防火墙简介第四章 课后作业什么是NAT随着IP网络的普及，目前广泛应用的IPv4版本的ip地址出现严重不足，运行TCP/IP协议的设备原来越多，无法满足每个设备拥有一个IP地址的需求NAT(Network Address Translation)网络地址转换，又称地址代理，用来实现私有网络地址与 公有网络地址之间的转换。 私有地址是指内部网络(局域网内部)的主机地址， 而公有地址是局域网的外部地址（在因特网上的全球唯一的IP地址）。 因特网地址分配组织规定以下的三个网络地址保留用做私有地址： - 55 - 55 - 55 也就是说这三个网络的地址不会在因特网上被分配，但可以在一个企业

5、（局域网）内部使用。典型NAT组网NAT的几种实现方式Static NAT （静态地址映射）Dynamic NAT（动态地址映射）NAPT（Port Address Translation）（端口映射）Static NAT把私网地址转化为互联网地址，而且是一对一的，私网内的一个地址总会被转换成一个固定的互联网地址。Static NAT（续）Static NAT（续）在上例中client 和分别被转换为和。注意源地址发生了变化，而源端口并没有变化。而且这种转换关系是固定的。Dynamic NAT多个私网地址会被转换成多个公网地址，但这种转换关系是不确定的，并不能保证某个私网地址一定会被转换成某个

6、公网地址。一般我们把这些公网地址成为地址池（nat pool）。Dynamic NAT（续）Dynamic NAT（续）在上例中client 和分别被转换为和注意源地址发生了变化，而源端口并没有变化。需要注意的是在动态NAT的情况下，这种地址映射的关系是会发生变化的NAPT（Port Address Translation）有时也称为Overloading，多个私网地址会被转换成一个个公网地址，同时端口也会转换成，以便区别不同的连接。 NAPT（续）NAPT（续）在上例中client 和都被映射为地址，用于区别各通信连接的是端口号。注意源地址和源端口在NAT后都发生的变化。需要注意的是在NAP

7、T的情况下，这种地址和端口的映射关系是会发生变化的。关于NAT 更多RFC 1631: The IP Network Address Translator (NAT)RFC 1918: Address Allocation for Private InternetsHow nat worksCiscoIPJ 2000 Volume 3 number 4典型的NAT应用(1)Cisco PIXnameif ethernet0 outside security0nameif ethernet1 inside security100interface ethernet0 autointerface

8、ethernet1 autoip address outside 42 24ip address inside 54 global (outside) 1 42nat (inside) 1 0 0route outside 37 1Eudemon#interface Ethernet0/0 ip address 54 #interface Ethernet1/0 ip address 42 24#acl number 2001rule 0 permit source 55#firewall zone localset priority 100#firewall zone trust add i

9、nterface Ethernet0/0 set priority 85#firewall zone untrust add interface Ethernet1/0 set priority 5#firewall interzone local trust#firewall interzone trust untrust nat outbound 2001 interface Ethernet0/0/0#ip route-static 37配置NAT和NAPTnat outbound 2001 interface Ethernet0/0/0nat outbound 2001 address

10、-group 1nat outbound 2001 address-group 1 no-pat端口映射表disp firewall session tableHTTP: vpn:0,1:253742:36998-9:80HTTP: vpn:0,1:255442:56279-30:80RAS: vpn:0,:171942:1719-17:21298RAS: vpn:0,:171942:17199:80RAS: vpn:0,:171942:1719-9:1719RAS: vpn:0,:171942:1719-17:10308TELNET: vpn:0,:239:80RAS: vpn:0,:171

11、942:171930:80RAS: vpn:0,:171942:1719-2:45224RAS: vpn:0,:171942:1719-2:64470老化时间disp firewall session aging-timetcp protocol timeout:600udp protocol timeout:120icmp protocol timeout:20fragment timeout:5fin-rst protocol timeout:10syn protocol timeout:5h225 timeout:10800h245 timeout:10800h323-rtcp time

12、out:120h323-rtp timeout:120h323-t120 timeout:10800 timeout:240hwcc timeout:120ras timeout:600http timeout:600smtp timeout:600telnet timeout:600典型的NAT应用(2)地址映射和端口映射static (inside, outside) 42static (inside, outside) tcp 42 55 0 0nat server global 42 inside nat server protocol udp global 42 1719 insid

13、e 192.168.0. 1719第一章 路由和路由协议简介第二章 NAT第三章 防火墙简介第四章 课后作业防火墙的基本功能包过滤 （Packet filtering）代理服务 （Proxy service）状态检测 （State inspection）包过滤 （Packet filtering）包过滤是指针对IP包头进行过滤的方法，通过检测IP包头包括TCP或UDP包头的信息来决定是否允许报文通过，你可以定义允许或禁止源地址或目的地址为X的包通过，也可以允许或禁止某些端口的报文通过，或者将这些策略组合。 对于防火墙的配置中，最多的部分就是包过滤部分，各种防火墙的设置方法可能不同，有的是命令行

14、，有的是图形界面。但是内容基本都是一致的，可以表达为：允许/禁止 源地址 目的地址 协议（TCP/UDP） 端口（目的端口） permit host 2 udp 1719 在上例中，一个连接的四个要素（源地址、源端口、目的地址、目的端口）只出现了3个，因为在连接建立时源端口大多是随机的，因此防火墙一般是不会根据源端口进行过滤的。包过滤（续）指的是对IP数据包的过滤。对路由器需要转发的数据包，先获取包头信息，包括IP层所承载的上层协议的协议号，数据包的源地址、目的地址、源端口、目的端口等，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。 代理服务 （Proxy service）

15、防火墙上基本都有代理（NAT）功能，有的实现了应用层代理（类似web proxy），有的仅仅配置成简单的NAT或NAPT。要注意分清应用层Proxy和NAT转换的区别，尤其是和用户交流的时候。NAT中的细节NAT工作在三层，对大多数应用程序而言是透明的，IE无需知道自己是直接在公网上还是经过NAT上公网的。上例中Internet Explorer运行在/24，在整个http通信过程中只有一条TCP连接建立。在经过NAT设备前后源地址和源端口发生了改变。Proxy中的细节应用层的proxy实际上是建立两个连接，一个是client到proxy的连接，一个是从proxy到Server的连接。从TCP

16、层看，是两个不同的TCP连接。H323通信是无法穿越代理服务 （续）虽然大多数防火墙都具备NAT或PAT的功能，但防火墙不一定要实现NAT功能，当我们说XX设备在防火墙后的时候，不一说明是经过NAT转换的。状态检测 （State inspection）状态检测是指防火墙不仅仅根据网络层的信息进行报文过滤，同时根据四层以上的协议进行过滤，各个厂家的叫法可能不同，ASPF（Application Specific Packet Filter）或CBAC（Context-Based Access Control）。目前大多数防火墙都提供了基于状态检测的防火墙，如防火墙内有一个，要对外提供服务，你只需

17、要开放TCP 21端口即可，因为FTP会话过程中使用的其他端口防火墙会动态开放。应用层网关的配置 nat alg enable h323 detect h323 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 Access-list的配置ACL是由permit或deny语句组成的一系列有顺序的规则，这些规则针对数据包的源地址、目的地址、端口号、上层协议或其他信息来描述。 ACL可用于包过滤、NAT、IPSec、QoS、路由等说到底就是选择报文Eudemon上ACL配置acl number 3106rule 5 pe

18、rmit tcp destination 53 0 destination-port eq 22rule 10 permit tcp destination 53 0 destination-port eq wwwrule 15 permit udp destination 0 destination-port eq 1719rule 20 permit udp destination 0 destination-port eq 1729rule 25 permit tcp destination 52 0 destination-port eq wwwrule 30 permit tcp destination 52 0 destination-port eq 3389rule 35 permit icmp destination 0firewall interzone trust untrustpacket-filter 3106 inboundpacket-filter 2001 outboundnat outbound 2001 interface Ethernet0/0/0dete