网络安全技术(2)防火墙与地址转换V20

Chapter11网络安全技术ISSUE2.0学习目标掌握一般防火墙技术掌握地址转换技术学习完本课程，您应该能够：2课程内容

第一节防火墙第二节地址转换3IP包过滤技术介绍(防火墙示意图)对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。未授权用户公司总部内部网络办事处4路由器实现防火墙功能IP报文转发机制IPPacketIPPacket网络层数据链路层规则查找机制输入报文规则库手工配置规则生成机制手工配置规则生成机制规则查找机制输出报文规则库由规则决定报文转发动作：丢弃或转发由规则决定报文转发动作：丢弃或转发5访问控制列表的作用访问控制列表可以用于防火墙；访问控制列表可用于QoS（QualityofService），对数据流量进行控制；在DCC中，访问控制列表还可用来规定触发拨号的条件；访问控制列表还可以用于地址转换；在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。6访问控制列表的定义一个IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）：IP报头TCP/UDP报头数据协议号源地址目的地址源端口目的端口对于TCP/UDP来说，这5个元素组成了一个TCP/UDP相关，访问控制列表就是利用这些元素定义的规则7访问控制列表的分类按照访问控制列表的用途可以分为四类:基本的访问控制列表（basicacl）高级的访问控制列表（advancedacl）基于接口的访问控制列表（interface-basedacl）基于MAC的访问控制列表（mac-basedacl）8访问控制列表的标识利用数字标识访问控制列表利用数字范围标识访问控制列表的种类列表的种类数字标识的范围基于接口的访问控制列表1000～1999基本的访问控制列表2000～2999高级的访问控制列表3000～3999基于MAC地址访问控制列表4000～49999基本访问控制列表基本访问控制列表只使用源地址描述数据，表明是允许还是拒绝。从/24来的数据包可以通过！从/24来的数据包不能通过！路由器10基本访问控制列表的配置配置基本访问列表的命令格式如下：acl

number

acl-number[match-order{config|auto}]rule[rule-id]{permit|deny}[sourcesour-addrsour-wildcard|any][time-range

time-name][logging][fragment][vpn-instance

vpn-instanc-name]怎样利用IP地址和

反掩码wildcard-mask来表示一个网段?11反掩码的使用反掩码和子网掩码相似，但写法不同：0表示需要比较1表示忽略比较反掩码和IP地址结合使用，可以描述一个地址范围。000255只比较前24位003255只比较前22位0255255255只比较前8位12高级访问控制列表高级访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。从/24来的,到0的，使用TCP协议，利用HTTP访问的数据包可以通过！路由器13高级访问控制列表的配置高级访问控制列表规则的配置命令：rule[rule-id]{permit|deny}protocol[source

sour-addrsour-wildcard|any][destination

dest-addrdest-mask|any][soucre-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-message|icmp-type

icmp-code}][precedence

precedence][tos

tos][time-range

time-name][logging][fragment][vpn-instance

vpn-instanc-name]14高级访问控制列表操作符操作符及语法意义eqportnumber等于端口号portnumbergtportnumber

大于端口号portnumberltportnumber

小于端口号portnumberneqportnumber不等于端口号portnumberrangeportnumber1portnumber2介于端口号portnumber1

和portnumber2之间15高级访问控制列表举例ruledenyicmpsource55destinationanyicmp-typehost-redirect

ruledenytcpsource55destination55destination-porteqwwwlogging

/16ICMP主机重定向报文TCP报文/16/24WWW端口16基于接口的访问控制列表基于接口的访问控制列表的配置aclnumberacl-number[match-order{config|auto}]rule{permit|deny}[interface

interface-name][time-range

time-name][logging]undorule

rule-id17访问控制列表的使用防火墙配置常见步骤：启用防火墙定义访问控制列表将访问控制列表应用到接口上公司总部网络启用防火墙将访问控制列表应用到接口上18防火墙的属性配置命令打开或者关闭防火墙firewall{enable|disable}设置防火墙的缺省过滤模式firewalldefault{permit|deny}显示防火墙的统计信息displayfirewall-statistics{all|interface

interface-name|fragments-inspect}

打开防火墙包过滤调试信息开关debuggingfirewall

{all|icmp|tcp|udp|others}[interfaceinterface-name

]19访问控制列表的显示访问控制列表的显示与调试display

acl{all|acl-number}reset

acl

counter{all|acl-number}20在接口上应用访问控制列表将访问控制列表应用到接口上指明在接口上是OUT还是IN方向在接口视图下配置：firewall

packet-filter

acl-number{inbound|outbound}[match-fragments{normally|exactly}]Ethernet0/0访问控制列表3000作用在Ethernet0/0接口在out方向有效Serial0/0访问控制列表2000作用在Serial0/0接口上在in方向上有效21基于时间段的包过滤“特殊时间段内应用特殊的规则”上班时间（上午8：00－下午5：00）只能访问特定的站点；其余时间可以访问其他站点22时间段的配置命令timerange命令time-rangetime-name[start-timetoend-time][days][

fromtime1date1][totime2date2]显示timerange命令displaytime-range{all|time-name}23访问控制列表的匹配规则一条访问列表可以由多条规则组成，对于这些规则，有两种匹配顺序：auto和config。规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较ruledenysource55rulepermitsource55两条规则结合则表示禁止一个大网段（）上的主机但允许其中的一小部分主机（）的访问规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。24ASPF技术FTP客户端内部接口ASPF路由器FTP服务器外部接口25TCPSYNFlooding攻击图示攻击者ASPF路由器服务器正常用户bcaS=c,D=a;TCPSYN:dport:ftp,sport:1001S=a,D=c;TCPSYNACK:dport:1001,sport:ftpS=c,D=a;TCPACK:dport:ftp,sport:1001S=X1,D=a;TCPSYN:dport:ftp,sport:1001S=a,D=X1;TCPSYNACK:dport:1001,sport:ftpS=Xn,D=a;TCPSYN:dport:ftp,sport:1001S=a,D=Xn;TCPSYNACK:dport:1001,sport:ftpOK分配资源等待回应分配资源等待回应、、26防火墙综合实验FTP服务器Telnet服务器WWW服务器公司特定用户FTP服务器Telnet服务器WWW服务器公司内部局域网E0/0:外部特定用户S0/0：S0/0：E0/0:外部网27实验要求1、首先设置公司内部局域网都禁止访问外网2、只允许公司特定用户访问外部网络3、允许公司FTP服务器访问外部特定用户4、外部网络只有特定用户可以访问内部Telnet、FTP服务器；但允许所有外部主机访问WWW服务器＊请实验防火墙其他配置命令28课程内容

第一节防火墙第二节地址转换29地址转换的提出背景地址转换（NAT）是在IP地址日益短缺的情况下提出的。一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的IP地址，为了达到所有的内部主机都可以连接Internet网络的目的，可以使用地址转换。地址转换（NAT）技术可以有效的隐藏内部局域网中的主机，因此同时是一种有效的网络安全保护技术。地址转换（NAT）可以按照用户的需要，在局域网内部提供给外部FTP、WWW、Telnet等服务。30私有地址和公有地址LAN1LAN2LAN3私有地址范围：-55-55-5531地址转换的原理局域网PC2PC1IP:Port:3000IP报文IP:Port:4000IP:Port:3010IP:Port:4001地址转换32利用ACL控制地址转换可以使用访问控制列表来决定哪些主机可以访问Internet，哪些不能。PC1局域网PC2设置访问控制列表控制PC1可以通过地址转换访问Internet,而PC2则不行。33地址转换的配置任务列表定义一个访问控制列表，规定什么样的主机可以访问Internet。采用EASYIP或地址池方式提供公有地址。根据选择的方式（EASYIP方式还是地址池方式），在连接Internet接口上允许地址转换。根据局域网的需要，定义合适的内部服务器。34EasyIP配置EasyIP：在地址转换的过程中直接使用接口的IP地址作为转换后的源地址。在接口视图下直接配置：natoutboundacl-number

局域网PC2PC1PC1和PC2可以直接使用S0/0接口的IP地址作为地址转换后的公用IP地址S0/0:35使用地址池进行地址转换地址池用来动态、透明的为内部网络的用户分配地址。它是一些连续的IP地址集合，利用不超过32字节的字符串标识。地址池可以支持更多的局域网用户同时上Internet。PC1局域网PC2地址池36使用地址池进行地址转换定义地址池nataddress-groupgroup-number

start-addrend-addr

在接口上使用地址池进行地址转换natoutboundacl-number

address-group

group-number[no-pat]37一对一的地址转换配置从内部地址到外部地址的一对一转换natstatic

ip-addr1ip-addr2

使已经配置的NAT一对一转换在接口上生效natoutboundstatic

38内部服务器的应用内部服务器外部用户E0/0Serial0/0内部地址:内部端口:80外部地址:外部端口:80IP:配置地址转换:IP地址:←→端口:80←→80允许外部用户访问内部服务器39内部服务器的配置内部服务器配置命令natserver[vpn-instancevpn-instance-name]protocolpro-typeglobalglobal-addr[global-port]

insidehost-addr[host-port]natserver[vpn-instancevpn-instance-name]protocolpro-typeglobalglobal-addrglobal-port1global-port2insidehost-addr1host-addr2host-port

此例的配置natserverprotocoltcpglobal80inside80

40NAT的监控与维护显示地址转换配置displaynat{address-group|aging-time|all|outbound|server|statistics|session[vpn-instance

vpn-instance-name][slotslot-number][destinationip-addr

][sourceglobalglobal-addr|sourceinsideinside-addr

]}

设置地址转换连接有效时间nataging-time{default|{dns|ftp-ctrl|ftp-data|icmp|pptp|tcp|tcp-fin|tcp-syn|udp}seconds}

清除地址转换连接resetnat{log-entry|sessionslotslot-number}

打开nat调试开关debuggingnat{alg|event|packet[interfaceinterface-typeinterface-number]}

41地址转换的缺点地址转换对于报文内容中含有有用的地址信息的情况很难处理。地址转换不能处理IP报头加密的情况。地址转换由于隐藏了内部主机地址，有时候会使网络调试变得复杂。42NAT（内网－外网〕实现流程公网地址私网地址私网端口公网端口10011044内部网络/8NAT路由器公用地址池

DI:,SI:DP:21,SP:1001DI:,SI:DP:21,SP:1044DI:,SI:DP:1001,SP:21NAT路由器查找地址表NAT路由器增加地址转换表项12345DI:,SI:DP:1044,SP:2143NAT（外网－内网〕实现流程公网地址私网地址私网端口公网端口2121内部网络/8NAT路由器公用地址池

DI:,SI:DP:21,SP:1044DI:,SI:DP:1044,SP:21DI:,SI:DP:1044,SP:21路由器查找地址转换表并实施地址转换路由器查找地址转换表并实施地址转换12345FTP客户FTP服务器6静态配置地址转换表项DI:,SI:DP:21,SP:104444访问列表和地址转换应用实例FTP服务器Telnet服务器WWW服务器公司内部局域网特定的外部用户45配置步骤按照实际情况需要以下几个步骤：允许防火墙定义扩展的访问控制列表在接口上应用访问控制列表在接口上利用访问控制列表定义地址转换配置内部服务器的地址映射关系46配置命令[Quidway]firewallenable [Quidway]firewalldefaultpermit[Quidway]aclnumber3000match-orderauto[Quidway-acl-adv-3000]ruledenyipsourceanydestinationany[Quidway-acl-adv-3000]rulepermitipsource0destinationany[Quidway-acl-adv-3000]rule