网络安全员培训-防火墙技术精要-推荐课件

第六章防火墙技术

第六章防火墙技术什么是防火墙古代人们在房屋之间修建的一道防止火灾发生时火势蔓延的砖墙

防火墙作为安全防护体系中的一个重要组成部分，一般配置于网关的位置，主要防范围网络层的威胁（扫描攻击、漏洞溢出攻击、拒绝服务攻击等）。什么是防火墙古代人们在房屋之间修建的一道防止火灾发生时火势蔓什么是防火墙防火墙的定义隔离内部网络与外界网络的一道安全防御系统网络安全最主要和最基本的基础设施不会妨碍人们对风险区域的访问内部网络Internet什么是防火墙防火墙的定义内部网络Internet什么是防火墙什么是防火墙防火墙的基本概念数据包过滤：检查IP数据包决定允许和拒绝。代理服务器：负责数据的转发。状态检测：根据事先确定合法过程模式，判断非法与合法。DMZ区：隔离区或非军事区。

隧道路由器：通过加密实现安全通过非安全网络。虚拟专用网：使用隧道路由器连接的网络。IP地址欺骗/DNS欺骗防火墙的基本概念数据包过滤：检查IP数据包决定允许和拒绝。防火墙的主要作用1、过滤进出网络的数据包2、管理进出网络的访问行为3、封堵某些禁止的访问行为4、记录通过防火墙的信息内容和活动5、对网络攻击进行检测和告警防火墙的主要作用1、过滤进出网络的数据包防火墙的局限性1、不能防范不经过防火墙的攻击2、不能解决来自内部网络的攻击和安全问题3、不能防止策略配置不当或错误配置引起的安全威胁4、不能防止可接触的人为或自然的破坏5、不能防止利用标准网络协议设计缺陷的攻击6、不能防止利用服务器漏洞进行的攻击7、不能防止受病毒感染的文件的传输8、不能防止数据驱动式攻击9、不能防止内部的泄密行为10、不能防止本身的安全漏洞和威胁防火墙的局限性1、不能防范不经过防火墙的攻击主机A主机B人力资源网络研发网络使用ACL阻止某指定网络访问另一指定网络

基于路由器的防火墙其实防火墙的完成主要是靠访问控制列表(ACL)的控制策略。那么什么是访问控制列表呢？主机A主机B人力资源网络研发网络使用ACL阻止某指定网络访问基于路由器的防火墙特点：

利用路由器本身对分组的解析，以访问控制表方式实现对分组的过滤

过滤依据：IP地址，端口号，ICMP报文类型等

只有分组过滤的功能，路由器与防火墙一体（安全要求较低环境）缺陷：

路由器本身具有安全漏洞

配置复杂

伪造IP欺骗防火墙

降低路由器的性能基于路由器的防火墙特点：用户化的防火墙特点：

过滤功能独立，并加上审计和告警的功能

根据用户需求，提供模块化设计软件可通过网络发送，用户可以自己手动构造防火墙缺陷：配置和维护复杂用户技术要求高全软件实现，安全性和处理速度有局限

实践表明，使用中出现差错的情况很多用户化的防火墙特点：通用操作系统的防火墙特点：批量上市的防火墙专用产品包括分组过滤或者借用路由器的分组过滤功能有专用的代理系统，监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全性和速度大为提高缺陷：

因操作系统缘故，安全性和保密性无从保护通用操作系统的厂商不会对操作系统的安全负责即要防止外部攻击，还要防止通用操作系统厂商的攻击安全支持需要操作系统厂商和防火墙厂商同时提供通用操作系统的防火墙特点：安全操作系统的防火墙特点：

防火墙厂商具有操作系统源码，可实现安全内核

可以从内核来定制操作系统并实现加固

对每个服务器和子系统都作了安全处理

有分组过滤，应用网关，电路级网关，加密和鉴别功能透明性好，易于使用安全操作系统的防火墙特点：包过滤型防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配过滤规则是根据数据包的报头信息进行定义的“没有明确允许的都被禁止”7应用层6表示层3网络层防火墙检查模块4传输层5会话层2数据链路层1物理层IPTCPSessionApplicationData与过滤规则匹配吗审计/报警还有另外的规则吗转发包吗发送NACK丢弃包结束包过滤型防火墙根据定义好的过滤规则审查每个数据包，以便确定通过分析IP数据包包头信息，进行判断（这里IP所承载的上层协议为TCP）IP报头TCP报头数据源地址目的地址源端口目的端口访问控制列表利用这4个或更多元素定义的规则访问控制列表的工作原理通过分析IP数据包包头信息，进行判断（这里IP所承载的上层协匹配下一步拒绝允许允许允许到达访问控制组接口的数据包匹配第一步目的接口隐含的拒绝丢弃YYYYYYNNN匹配下一步拒绝拒绝拒绝防火墙对访问控制列表的处理过程匹配拒绝允许允许允许到达访问控制组接口的数据包匹配目的接口隐进入数据包源地址匹配吗？有更多条目吗？应用条件拒绝允许是是否是否Icmp消息转发数据包接口上有访问控制列表吗？列表中的下一个条目否访问控制列表的入与出进入数据包源地址有更多应用条件拒绝允许是是否是否Icmp消息外出数据包查找路由表接口上有访问控制列表吗？源地址匹配吗？拒绝允许列表中的下一个条目是是转发数据包Icmp消息否否否

有更多条目吗？应用条件是访问控制列表的入与出外出数据包查找路由表接口上有访问源地址匹配吗？拒绝允许列表中标准访问控制列表3-1标准访问控制列表根据数据包的源IP地址来允许或拒绝数据包访问控制列表号从1到99标准访问控制列表3-1标准访问控制列表标准访问控制列表3-2标准访问控制列表只使用源地址进行过滤，表明是允许还是拒绝从/24来的数据包可以通过！从/24来的数据包不能通过！路由器标准访问控制列表3-2标准访问控制列表只使用源地址进行过滤，如果在访问控制列表中有的话应用条件拒绝允许更多条目？列表中的下一个条目否

有访问控制列表吗？源地址不匹配是匹配是否Icmp消息转发数据包标准访问控制列表3-3如果在访问控制列表中有的话应用条件拒绝允许更多条目？列表中的标准访问控制列表的配置第一步，使用access-list命令创建访问控制列表第二步，使用ipaccess-group命令把访问控制列表应用到某接口Router(config)#access-listaccess-list-number{permit|deny}source[

source-wildcard][log]Router(config-if)#ipaccess-groupaccess-list-number

{in|out}标准访问控制列表的配置第一步，使用access-list命令标准ACL应用：允许特定源的流量2-1Non-E0E1S03标准ACL应用：允许特定源的流量2-11标准ACL应用：允许特定源的流量2-2第一步，创建允许来自的流量的ACL第二步，应用到接口E0和E1的出方向上Router(config)#access-list1permit55Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1outRouter(config)#interfacefastethernet0/1Router(config-if)#ipaccess-group1out标准ACL应用：允许特定源的流量2-2第一步，创建允许来自1标准ACL应用：拒绝特定主机的通信流量第一步，创建拒绝来自3的流量的ACL第二步，应用到接口E0的出方向Router(config)#access-list1denyhost3Router(config)#access-list1permit55Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1outany标准ACL应用：拒绝特定主机的通信流量第一步，创建拒绝来自1标准ACL应用：拒绝特定子网的流量第一步，创建拒绝来自子网的流量的ACL第二步，应用到接口E0的出方向Router(config)#access-list1deny55Router(config)#access—list1permitanyRouter(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group1out55标准ACL应用：拒绝特定子网的流量第一步，创建拒绝来自子网1扩展访问控制列表4-1扩展访问控制列表基于源和目的地址、传输层协议和应用端口号进行过滤每个条件都必须匹配，才会施加允许或拒绝条件使用扩展ACL可以实现更加精确的流量控制访问控制列表号从100到199扩展访问控制列表4-1扩展访问控制列表扩展访问控制列表4-2扩展访问控制列表使用更多的信息描述数据包，表明是允许还是拒绝从/24来的,到3的，使用TCP协议，利用HTTP访问的数据包可以通过！路由器扩展访问控制列表4-2扩展访问控制列表使用更多的信息描述数据

有访问控制列表吗？源地址目的地址协议协议任选项应用条件拒绝允许更多条目？列表中的下一个条目不匹配否是匹配匹配匹配匹配是否Icmp消息转发数据包如果在访问控制列表中有的话扩展访问控制列表4-3不匹配不匹配不匹配有访问控制列表吗？源地址目的地址协议协议任选项应用条件拒端口号关键字描述TCP/UDP20FTP-DATA（文件传输协议）FTP（数据）TCP21FTP（文件传输协议）FTPTCP23TELNET终端连接TCP25SMTP简单邮件传输协议TCP42NAMESERVER主机名字服务器UDP53DOMAIN域名服务器（DNS)TCP/UDP69TFTP普通文件传输协议（TFTP)UDP80WWW万维网TCP扩展访问控制列表4-4端口号关键字描述TCP/UDP20FTP-DATA（文件传输扩展访问控制列表的配置3-1第一步，使用access-list命令创建扩展访问控制列表Router(config)#access-listaccess-list-number{permit|deny}protocol

[sourcesource-wildcarddestinationdestination-wildcard][operatorport][established][log]扩展访问控制列表的配置3-1第一步，使用access-lis扩展访问控制列表操作符的含义操作符及语法意义eqportnumber等于端口号portnumbergtportnumber大于端口号portnumberltportnumber小于端口号portnumberneqportnumber不等于端口号portnumber扩展访问控制列表的配置3-2扩展访问控制列表操作符的含义操作符及语法意义eqport扩展访问控制列表的配置3-3第二步，使用ipaccess-group命令将扩展访问控制列表应用到某接口Router（config-if）#ipaccess-groupaccess-list-number{in|out}扩展访问控制列表的配置3-3第二步，使用ipaccess-扩展ACL应用：拒绝ftp流量通过E0第一步，创建拒绝来自、去往、ftp流量的ACL第二步，应用到接口E0的出方向Router(config)#access-list101denytcp5555eq21Router(config)#access-list101permitipanyanyRouter(config)#interfacefastthernet0/0Router（config-if）#ipaccess-group101out扩展ACL应用：拒绝ftp流量通过E0第一步，创建拒绝来自1扩展ACL应用：拒绝telnet流量通过E0第一步，创建拒绝来自、去往、telnet流量的ACL第二步，应用到接口E0的出方向上Router(config)#access-list101denytcp5555eq23Router(config)#access-list101permitipanyanyRouter(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group101out扩展ACL应用：拒绝telnet流量通过E0第一步，创建拒命名的访问控制列表2-1标准ACL和扩展ACL中可以使用一个字母数字组合的字符串（名字）代替来表示ACL的表号命名IP访问列表允许从指定的访问列表删除单个条目如果添加一个条目到列表中，那么该条目被添加到列表末尾不能以同一个名字命名多个ACL在命名的访问控制列表下，permit和deny命令的语法格式与前述有所不同命名的访问控制列表2-1标准ACL和扩展ACL中可以使用一个命名的访问控制列表2-2第一步，创建名为cisco的命名访问控制列表第二步，指定一个或多个permit及deny条件第三步，应用到接口E0的出方向Router（config）#interfacefastethernet0/0Router（config-if）#ipaccess-groupciscooutRouter(config)#ipaccess-listextendedciscoRouter（config-ext-nacl）#denytcp5555eq23Router（config-ext-nacl）#permitipanyany命名的访问控制列表2-2第一步，创建名为cisco的命名访问查看访问控制列表2-1Router#showipinterfacefastethernet0/0FastEthernet0/0isup,lineprotocolisupInternetaddressis/24Broadcastaddressis55AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabledOutgoingaccesslistisciscoInboundaccesslistisnotsetProxyARPisenabledLocalProxyARPisdisabledSecuritylevelisdefaultSplithorizonisenabledICMPredirectsarealwayssentICMPunreachablesarealwayssentICMPmaskrepliesareneversentIPfastswitchingisenabledIPfastswitchingonthesameinterfaceisdisabled……查看访问控制列表2-1Router#showipinte查看访问控制列表2-2Router#showaccess-listExtendedIPaccesslistcisco10denytcp5555eqtelnet20permitipanyany查看访问控制列表2-2Router#showaccess-代理型防火墙代理技术也称为应用层网关技术，针对每一个特定应用都有一个程序。代理技术是在应用层实现防火墙的功能。代理服务器位于客户机与服务器之间,完全阻挡二者间的数据流。可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒十分有效

应用层

表示层

会话层

传输层

网络层

链路层

物理层

应用层

表示层

会话层

传输层

网络层

链路层

物理层

应用层

表示层

会话层

传输层

网络层

链路层

物理层

应用层

表示层

会话层

传输层

网络层

链路层

物理层

代理型防火墙代理技术也称为应用层网关技术，针对每一个特定应状态检测型防火墙状态检测型防火墙检测每一个有效连接的状态，并根据这些信息决定网络数据包是否能够通过防火墙应用层表示层

会话层

传输层

网络层

链路层

物理层

应用层表示层会话层传输层

网络层

链路层

物理层

应用层

表示层

会话层

传输层

网络层

链路层

物理层

应用层

表示层

会话层

传输层

网络层

链路层

物理层

连接状态表状态检测型防火墙状态检测型防火墙检测每一个有效连接的状态，并防火墙三种类型的比较包过滤型代理型状态检测型优点速度快防火墙是透明的，用户端不需要进行设置针对应用层数据进行过滤，增强了可控性日志功能加强了对不安全因素的追踪与排查屏蔽了内网细节减少了传统的包过滤防火墙的大量开放端口等一些安全问题降低了管理员配置访问规则的难度缺点无法过滤审核数据包的内容无法详细记录细致的日志速度较慢新的网络协议和应用都需要一套代理程序无法过滤审核数据包的内容无法详细记录细致的日志防火墙三种类型的比较包过滤型代理型状态检测型优点速度快针对应网络地址转换概述2-1地址转换的提出背景合法的IP地址资源日益短缺一个局域网内部有很多台主机，但不是每台主机都有合法的IP地址，为了使所有内部主机都可以连接因特网，需要使用地址转换地址转换技术可以有效地隐藏内部局域网中的主机，具有一定的网络安全保护作用地址转换可以在局域网内部提供给外部FTP、WWW、Telnet服务网络地址转换概述2-1地址转换的提出背景网络地址转换概述2-2NAT的原理改变IP包头，使目的地址、源地址或两个地址在包头中被不同地址替换NAT的3种实现方式静态转换动态转换端口多路复用网络地址转换概述2-2NAT的原理NAT的术语2-2外部主机B外部主机CinternetNAT主机A1234SA=DA＝1内部局部地址外部局部地址主机A发出的包SA=DA=经过路由器转换的包2内部全局地址外部全局地址经过路由器转换的包SA=DA=4外部局部地址内部局部地址SA=DA=外部主机B返回的包3外部全局地址内部全局地址NAT的术语2-interNAT的优缺点NAT的优点节省公有合法IP地址处理地址交叉增强灵活性安全性NAT的缺点延迟增大配置和维护的复杂性不支持某些应用NAT的优缺点NAT的优点什么是VPNVPN（VirtualPrivateNetwork）在公用网络中,按照相同的策略和安全规则,建立的私有网络连接Internet北京总部广州分公司虚拟专用网络什么是VPNVPN（VirtualPrivateNetwVPN的结构和分类总部分支机构远程办公室家庭办公PSTN安装了VPN客户端软件的移动用户Internet远程访问的VPN（安装了VPN客户）内部网VPN（站点到站点的VPN）外联网VPN（提供给合伙人使用）VPN的结构和分类总部分支机构远程办公室家庭办公PSTN安装远程访问的VPN总部家庭办公PSTN安装了VPN客户端软件的移动用户Internet移动用户或远程小办公室通过Internet访问网络中心连接单一的网络设备客户通常需要安装VPN客户端软件远程访问的VPN总部家庭办公PSTN安装了VPN客户Inte站点到站点的VPN公司总部和其分支机构、办公室之间建立的VPN替代了传统的专线或分组交换WAN连接它们形成了一个企业的内部互联网络总部分支机构远程办公室Internet站点到站点的VPN公司总部和其分支机构、办公室之间建立的VPVPN的工作原理VPN=加密＋隧道明文明文访问控制报文加密报文认证IP封装IP解封报文认证报文解密访问控制IP隧道公共IP网络VPN的工作原理VPN=加密＋隧道明文明文访问控制报文加密报VPN的关键技术安全隧道技术信息加密技术用户认证技术访问控制技术VPN的关键技术安全隧道技术防火墙应具备的基本功能支持“除非明确允许，否则就禁止”的设计策略，即使这种策略不是最初使用的策略本身支持安全策略策略改变，可增加新的服务有或可以安装先进的认证手段可运行过滤技术允许和禁止服务可以使用服务代理界面友好，易于编程的IP过滤语言，并可进行IP过滤防火墙应具备的基本功能支持“除非明确允许，否则就禁止”的设计防火墙选购的标准成本自身的安全性稳定性功能灵活多样性安装与管理的简易性配置方便性抗攻击可身份验证可扩展，可升级防火墙选购的标准成本防火墙技术展望包过滤技术发展趋势

用户认证技术：AAA系统运用于防火墙

多级过滤技术：包、应用、状态

病毒防护技术：病毒库

入侵防御技术：网络行为特征

web过滤技术：过滤http请求与响应

SMTP过滤技术

反拉圾邮件

NetFlow技术防火墙技术展望包过滤技术发展趋势

用户认证技术：AAA系统运防火墙技术展望体系结构

硬件架构

软件架松系统管理

集中管理，分布式，分层式

审计、自动日志分析功能

网络安全产品的系统化防火墙技术展望体系结构

硬件架构

软件架松5.一个平凡而普通的人，时时都会感到被生活的波涛巨浪所淹没。你会被淹没吗?除非你甘心就此而沉沦!!17.成功与失败的分水岭，可以用这五个字来表达----我没有时间。13.与其说是别人让你痛苦，不如说是自己的修养不够。1.当我的巴特农神庙建立起来的时候，我从这遥远的地方也能感受到他的辉煌。14.真正的坚强是当所有的人都希望你崩溃的时候，你还可以振作。13.有志者事竟成。4.靠山山会倒，靠水水会流，靠自己永远不倒。7.没有哪种教育能及得上逆境。3.相见时难别亦难，东风无力百花残!8.一个能从别人的观念来看事情，能了解别人心灵活动的人，永远不必为自己的前途担心。9.也许我的点评有点苛刻，但是说的都是真话。8.当你用烦恼心来面对事物时，你会觉得一切都是业障，世界也会变得丑陋可恨。8.温暖是飘飘洒洒的春雨;温暖是写在脸上的笑影;温暖是义无反顾的响应;温暖是一丝不苟的配合。8.一个人除非自己有信心，否则带给别人信心。2.很多时候，生活不会是一副完美的样子，能完美的不是人生，想完美的是人心。但平凡的人有平凡的心，拥有平凡的渴望和平凡的心情，用平凡淡然拼凑永恒的日子。真实而简单的活着，才是最真，最美，最快乐的事情。5、拥有梦想只是一种智力，实现梦想才是一种能力。6.穷则思变，差则思勤!没有比人更高的山没有比脚更长的路。4.信念的力量在于即使身处逆境，亦能帮助你鼓起前进的船帆;信念的魅力在于即使遇到险运，亦能召唤你鼓起生活的勇气;信念的伟大在于即使遭遇不幸，亦能促使你保持崇高的心灵。5、拥有梦想只是一种智力，实现梦想才是一种能力。2.高峰只对攀登它而不是仰望它的人来说才有真正意义。17.我相信我没偷过半小时的懒。3.你改变不了明天，但如果你过于忧虑明天，你将会毁了今天。5.一个平凡而普通的人，时时都会感到被生活的波涛巨浪所淹没56第六章防火墙技术

第六章防火墙技术什么是防火墙古代人们在房屋之间修建的一道防止火灾发生时火势蔓延的砖墙

防火墙作为安全防护体系中的一个重要组成部分，一般配置于网关的位置，主要防范围网络层的威胁（扫描攻击、漏洞溢出攻击、拒绝服务攻击等）。什么是防火墙古代人们在房屋之间修建的一道防止火灾发生时火势蔓什么是防火墙防火墙的定义隔离内部网络与外界网络的一道安全防御系统网络安全最主要和最基本的基础设施不会妨碍人们对风险区域的访问内部网络Internet什么是防火墙防火墙的定义内部网络Internet什么是防火墙什么是防火墙防火墙的基本概念数据包过滤：检查IP数据包决定允许和拒绝。代理服务器：负责数据的转发。状态检测：根据事先确定合法过程模式，判断非法与合法。DMZ区：隔离区或非军事区。

隧道路由器：通过加密实现安全通过非安全网络。虚拟专用网：使用隧道路由器连接的网络。IP地址欺骗/DNS欺骗防火墙的基本概念数据包过滤：检查IP数据包决定允许和拒绝。防火墙的主要作用1、过滤进出网络的数据包2、管理进出网络的访问行为3、封堵某些禁止的访问行为4、记录通过防火墙的信息内容和活动5、对网络攻击进行检测和告警防火墙的主要作用1、过滤进出网络的数据包防火墙的局限性1、不能防范不经过防火墙的攻击2、不能解决来自内部网络的攻击和安全问题3、不能防止策略配置不当或错误配置引起的安全威胁4、不能防止可接触的人为或自然的破坏5、不能防止利用标准网络协议设计缺陷的攻击6、不能防止利用服务器漏洞进行的攻击7、不能防止受病毒感染的文件的传输8、不能防止数据驱动式攻击9、不能防止内部的泄密行为10、不能防止本身的安全漏洞和威胁防火墙的局限性1、不能防范不经过防火墙的攻击主机A主机B人力资源网络研发网络使用ACL阻止某指定网络访问另一指定网络

基于路由器的防火墙其实防火墙的完成主要是靠访问控制列表(ACL)的控制策略。那么什么是访问控制列表呢？主机A主机B人力资源网络研发网络使用ACL阻止某指定网络访问基于路由器的防火墙特点：

利用路由器本身对分组的解析，以访问控制表方式实现对分组的过滤

过滤依据：IP地址，端口号，ICMP报文类型等

只有分组过滤的功能，路由器与防火墙一体（安全要求较低环境）缺陷：

路由器本身具有安全漏洞

配置复杂

伪造IP欺骗防火墙

降低路由器的性能基于路由器的防火墙特点：用户化的防火墙特点：

过滤功能独立，并加上审计和告警的功能

根据用户需求，提供模块化设计软件可通过网络发送，用户可以自己手动构造防火墙缺陷：配置和维护复杂用户技术要求高全软件实现，安全性和处理速度有局限

实践表明，使用中出现差错的情况很多用户化的防火墙特点：通用操作系统的防火墙特点：批量上市的防火墙专用产品包括分组过滤或者借用路由器的分组过滤功能有专用的代理系统，监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全性和速度大为提高缺陷：

因操作系统缘故，安全性和保密性无从保护通用操作系统的厂商不会对操作系统的安全负责即要防止外部攻击，还要防止通用操作系统厂商的攻击安全支持需要操作系统厂商和防火墙厂商同时提供通用操作系统的防火墙特点：安全操作系统的防火墙特点：

防火墙厂商具有操作系统源码，可实现安全内核

可以从内核来定制操作系统并实现加固

对每个服务器和子系统都作了安全处理

有分组过滤，应用网关，电路级网关，加密和鉴别功能透明性好，易于使用安全操作系统的防火墙特点：包过滤型防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配过滤规则是根据数据包的报头信息进行定义的“没有明确允许的都被禁止”7应用层6表示层3网络层防火墙检查模块4传输层5会话层2数据链路层1物理层IPTCPSessionApplicationData与过滤规则匹配吗审计/报警还有另外的规则吗转发包吗发送NACK丢弃包结束包过滤型防火墙根据定义好的过滤规则审查每个数据包，以便确定通过分析IP数据包包头信息，进行判断（这里IP所承载的上层协议为TCP）IP报头TCP报头数据源地址目的地址源端口目的端口访问控制列表利用这4个或更多元素定义的规则访问控制列表的工作原理通过分析IP数据包包头信息，进行判断（这里IP所承载的上层协匹配下一步拒绝允许允许允许到达访问控制组接口的数据包匹配第一步目的接口隐含的拒绝丢弃YYYYYYNNN匹配下一步拒绝拒绝拒绝防火墙对访问控制列表的处理过程匹配拒绝允许允许允许到达访问控制组接口的数据包匹配目的接口隐进入数据包源地址匹配吗？有更多条目吗？应用条件拒绝允许是是否是否Icmp消息转发数据包接口上有访问控制列表吗？列表中的下一个条目否访问控制列表的入与出进入数据包源地址有更多应用条件拒绝允许是是否是否Icmp消息外出数据包查找路由表接口上有访问控制列表吗？源地址匹配吗？拒绝允许列表中的下一个条目是是转发数据包Icmp消息否否否

有更多条目吗？应用条件是访问控制列表的入与出外出数据包查找路由表接口上有访问源地址匹配吗？拒绝允许列表中标准访问控制列表3-1标准访问控制列表根据数据包的源IP地址来允许或拒绝数据包访问控制列表号从1到99标准访问控制列表3-1标准访问控制列表标准访问控制列表3-2标准访问控制列表只使用源地址进行过滤，表明是允许还是拒绝从/24来的数据包可以通过！从/24来的数据包不能通过！路由器标准访问控制列表3-2标准访问控制列表只使用源地址进行过滤，如果在访问控制列表中有的话应用条件拒绝允许更多条目？列表中的下一个条目否

有访问控制列表吗？源地址不匹配是匹配是否Icmp消息转发数据包标准访问控制列表3-3如果在访问控制列表中有的话应用条件拒绝允许更多条目？列表中的标准访问控制列表的配置第一步，使用access-list命令创建访问控制列表第二步，使用ipaccess-group命令把访问控制列表应用到某接口Router(config)#access-listaccess-list-number{permit|deny}source[

source-wildcard][log]Router(config-if)#ipaccess-groupaccess-list-number

{in|out}标准访问控制列表的配置第一步，使用access-list命令标准ACL应用：允许特定源的流量2-1Non-E0E1S03标准ACL应用：允许特定源的流量2-11标准ACL应用：允许特定源的流量2-2第一步，创建允许来自的流量的ACL第二步，应用到接口E0和E1的出方向上Router(config)#access-list1permit55Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1outRouter(config)#interfacefastethernet0/1Router(config-if)#ipaccess-group1out标准ACL应用：允许特定源的流量2-2第一步，创建允许来自1标准ACL应用：拒绝特定主机的通信流量第一步，创建拒绝来自3的流量的ACL第二步，应用到接口E0的出方向Router(config)#access-list1denyhost3Router(config)#access-list1permit55Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1outany标准ACL应用：拒绝特定主机的通信流量第一步，创建拒绝来自1标准ACL应用：拒绝特定子网的流量第一步，创建拒绝来自子网的流量的ACL第二步，应用到接口E0的出方向Router(config)#access-list1deny55Router(config)#access—list1permitanyRouter(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group1out55标准ACL应用：拒绝特定子网的流量第一步，创建拒绝来自子网1扩展访问控制列表4-1扩展访问控制列表基于源和目的地址、传输层协议和应用端口号进行过滤每个条件都必须匹配，才会施加允许或拒绝条件使用扩展ACL可以实现更加精确的流量控制访问控制列表号从100到199扩展访问控制列表4-1扩展访问控制列表扩展访问控制列表4-2扩展访问控制列表使用更多的信息描述数据包，表明是允许还是拒绝从/24来的,到3的，使用TCP协议，利用HTTP访问的数据包可以通过！路由器扩展访问控制列表4-2扩展访问控制列表使用更多的信息描述数据

有访问控制列表吗？源地址目的地址协议协议任选项应用条件拒绝允许更多条目？列表中的下一个条目不匹配否是匹配匹配匹配匹配是否Icmp消息转发数据包如果在访问控制列表中有的话扩展访问控制列表4-3不匹配不匹配不匹配有访问控制列表吗？源地址目的地址协议协议任选项应用条件拒端口号关键字描述TCP/UDP20FTP-DATA（文件传输协议）FTP（数据）TCP21FTP（文件传输协议）FTPTCP23TELNET终端连接TCP25SMTP简单邮件传输协议TCP42NAMESERVER主机名字服务器UDP53DOMAIN域名服务器（DNS)TCP/UDP69TFTP普通文件传输协议（TFTP)UDP80WWW万维网TCP扩展访问控制列表4-4端口号关键字描述TCP/UDP20FTP-DATA（文件传输扩展访问控制列表的配置3-1第一步，使用access-list命令创建扩展访问控制列表Router(config)#access-listaccess-list-number{permit|deny}protocol

[sourcesource-wildcarddestinationdestination-wildcard][operatorport][established][log]扩展访问控制列表的配置3-1第一步，使用access-lis扩展访问控制列表操作符的含义操作符及语法意义eqportnumber等于端口号portnumbergtportnumber大于端口号portnumberltportnumber小于端口号portnumberneqportnumber不等于端口号portnumber扩展访问控制列表的配置3-2扩展访问控制列表操作符的含义操作符及语法意义eqport扩展访问控制列表的配置3-3第二步，使用ipaccess-group命令将扩展访问控制列表应用到某接口Router（config-if）#ipaccess-groupaccess-list-number{in|out}扩展访问控制列表的配置3-3第二步，使用ipaccess-扩展ACL应用：拒绝ftp流量通过E0第一步，创建拒绝来自、去往、ftp流量的ACL第二步，应用到接口E0的出方向Router(config)#access-list101denytcp5555eq21Router(config)#access-list101permitipanyanyRouter(config)#interfacefastthernet0/0Router（config-if）#ipaccess-group101out扩展ACL应用：拒绝ftp流量通过E0第一步，创建拒绝来自1扩展ACL应用：拒绝telnet流量通过E0第一步，创建拒绝来自、去往、telnet流量的ACL第二步，应用到接口E0的出方向上Router(config)#access-list101denytcp5555eq23Router(config)#access-list101permitipanyanyRouter(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group101out扩展ACL应用：拒绝telnet流量通过E0第一步，创建拒命名的访问控制列表2-1标准ACL和扩展ACL中可以使用一个字母数字组合的字符串（名字）代替来表示ACL的表号命名IP访问列表允许从指定的访问列表删除单个条目如果添加一个条目到列表中，那么该条目被添加到列表末尾不能以同一个名字命名多个ACL在命名的访问控制列表下，permit和deny命令的语法格式与前述有所不同命名的访问控制列表2-1标准ACL和扩展ACL中可以使用一个命名的访问控制列表2-2第一步，创建名为cisco的命名访问控制列表第二步，指定一个或多个permit及deny条件第三步，应用到接口E0的出方向Router（config）#interfacefastethernet0/0Router（config-if）#ipaccess-groupciscooutRouter(config)#ipaccess-listextendedciscoRouter（config-ext-nacl）#denytcp5555eq23Router（config-ext-nacl）#permitipanyany命名的访问控制列表2-2第一步，创建名为cisco的命名访问查看访问控制列表2-1Router#showipinterfacefastethernet0/0FastEthernet0/0isup,lineprotocolisupInternetaddressis/24Broadcastaddressis55AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabledOutgoingaccesslistisciscoInboundaccesslistisnotsetProxyARPisenabledLocalProxyARPisdisabledSecuritylevelisdefaultSplithorizonisenabledICMPredirectsarealwayssentICMPunreachablesarealwayssentICMPmaskrepliesareneversentIPfastswitchingisenabledIPfastswitchingonthesameinterfaceisdisabled……查看访问控制列表2-1Router#showipinte查看访问控制列表2-2Router#showaccess-listExtendedIPaccesslistcisco10denytcp5555eqtelnet20permitipanyany查看访问控制列表2-2Router#showaccess-代理型防火墙代理技术也称为应用层网关技术，针对每一个特定应用都有一个程序。代理技术是在应用层实现防火墙的功能。代理服务器位于客户机与服务器之间,完全阻挡二者间的数据流。可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒十分有效

应用层

表示层

会话层

传输层

网络层

链路层

物理层

应用层

表示层

会话层

传输层

网络层

链路层

物理层

应用层

表示层

会话层

传输层

网络层

链路层

物理层

应用层

表示层

会话层

传输层

网络层

链路层

物理层

代理型防火墙代理技术也称为应用层网关技术，针对每一个特定应状态检测型防火墙状态检测型防火墙检测每一个有效连接的状态，并根据这些信息决定网络数据包是否能够通过防火墙应用层表示层

会话层

传输层

网络层

链路层

物理层

应用层表示层会话层传输层

网络层

链路层

物理层

应用层

表示层

会话层

传输层

网络层

链路层

物理层

应用层

表示层

会话层

传输层

网络层

链路层

物理层

连接状态表状态检测型防火墙状态检测型防火墙检测每一个有效连接的状态，并防火墙三种类型的比较包过滤型代理型状态检测型优点速度快防火墙是透明的，用户端不需要进行设置针对应用层数据进行过滤，增强了可控性日志功能加强了对不安全因素的追踪与排查屏蔽了内网细节减少了传统的包过滤防火墙的大量开放端口等一些安全问题降低了管理员配置访问规则的难度缺点无法过滤审核数据包的内容无法详细记录细致的日志速度较慢新的网络协议和应用都需要一套代理程序无法过滤审核数据包的内容无法详细记录细致的日志防火墙三种类型的比较包过滤型代理型状态检测型优点速度快针对应网络地址转换概述2-1地址转换的提出背景合法的IP地址资源日益短缺一个局域网内部有很多台主机，但不是每台主机都有合法的IP地址，为了使所有内部主机都可以连接因特网，需要使用地址转换地址转换技术可以有效地隐藏内部局域网中的主机，具有一定的网络安全保护作用地址转换可以在局域网内部提供给外部FTP、WWW、Telnet服务网络地址转换概述2-1地址转换的提出背景网络地址转换概述2-2NAT的原理改变IP包头，使目的地址、源地址或两个地址在包头中被不同地址替换NAT的3种实现方式静态转换动态转换端口多路复用网络地址转换概述2-2NAT的原理NAT的术语2-2外部主机B外部主机CinternetNAT主机A1234SA=DA＝1内部局部地址外部局部地址主机A发出的包SA=DA=经过路由器转换的包2内部全局地址外部全局地址经过路由器转换的包SA=DA=4外部局部地址内部局部地址SA=DA=外部主机B返回的包3外部全局地址内部