HC110310003-HCNA-Security-CBSN-第三章-防火墙包过滤技术V1.0.ppt

修订记录 本页不打印 第三章防火墙包过滤技术 目标 学完本课程后 您将能够 理解访问控制列表原理了解访问控制列表作用及分类掌握接口包过滤应用场景及配置方法掌握域间包过滤应用场景及配置方法 目录 访问控制列表介绍接口包过滤技术域间包过滤技术包过滤应用分析 IP包过滤技术介绍 对防火墙需要转发的数据包 先获取包头信息 然后和设定的规则进行比较 根据比较的结果对数据包进行转发或者丢弃 而实现包过滤的核心技术是访问控制列表 访问控制列表是什么 TCP IP数据包如下图所示 图中IP所承载的上层协议为TCP UDP 访问控制列表原理 BBAABBBAAAA AAAAAA 允许A后续操作 拒绝B后续操作 访问控制列表 访问控制列表作用 根据定义的规则对经过防火墙的流量进行筛选 由关键字确定筛选出的流量如何下一步操作 步骤1 入数据流经过防火墙 步骤2 查找访问控制列表判断是否允许下一步操作 步骤 防火墙根据访问控制列表定义规则对数据包进行处理 默认策略操作 包过滤分类 接口包过滤域间包过滤 Trust区域 Untrust区域 G0 0 0 G0 0 1 Outbount Inbount Inbount Outbount 目录 访问控制列表介绍接口包过滤技术域间包过滤技术包过滤应用分析 接口包过滤技术简述 应用于接口未加入安全区域场景 访问控制列表分类 利用数字标识访问控制列表利用数字范围标识访问控制列表的种类 基本访问控制列表 基本访问控制列表只使用源地址描述数据 表明是否进行下一步操作 防火墙 基本访问控制列表的配置 在系统视图下 创建基本ACL 并进入ACL视图应用基本ACL 并进入接口视图 acl number acl number vpn instancevpn instance name rule rule id permit deny source source addresssource wildcard any address setaddress set name time rangetime name logging 怎样利用IP地址和反掩码wildcard mask来表示一个网段 firewallpacket filteracl number inbound outbound 如何使用反掩码 反掩码和子网掩码格式相似 但取值含义不同0表示对应的IP地址位需要比较1表示对应的IP地址位忽略比较反掩码和IP地址结合使用 可以描述一个地址范围 0 255 0 255反掩码有何作用 基于时间段访问控制列表 time rangework policy108 00to18 00working daytime rangework policy2from08 002009 01 01to18 002009 12 31 rulepermitipsource192 168 11 00 0 0 255time rangework policy1rulepermitipsource192 168 12 00 0 0 255time rangework policy2 2009 07 1514 15 时间范围操作符的含义 高级访问控制列表 高级访问控制列表使用除源地址外更多的信息描述数据包 表明是否进行下一步操作 防火墙 基于状态检测防火墙主要检测哪些信息 高级访问控制列表的配置命令 在系统视图下 创建高级ACL 并进入ACL视图应用高级ACL 并进入接口视图 acl number acl number vpn instancevpn instance name rule rule id deny permit protocol destination destination addressdestination wildcard any address setaddress set name destination port operatorport1 port2 port setport set name precedenceprecedence source source addresssource wildcard any address setaddress set name source port operatorport1 port2 port setport set name time rangetime name tostos icmp typeicmp typeicmp code logging firewallpacket filteracl number inbound outbound 高级访问控制列表端口号操作符的含义 地址集与服务集的作用 Address set地址集 Service set端口集 ipaddress setguesttypeobjectaddress0192 168 12 00 0 0 15address1192 168 15 00 0 0 63address2192 168 30 00 0 0 127 ipservice setInternettypeobjectserviceprotocoltcpdestination port80serviceprotocoltcpdestination port8080serviceprotocoltcpdestination port8443serviceprotocoludpdestination port53 ipaddress setERPtypeobjectaddress010 10 0 00 0 0 127address110 16 15 00 0 0 255address210 100 10 00 0 0 255 ipservice setERPtypeobjectserviceprotocoltcpdestination port21serviceprotocoltcpdestination port80serviceprotocoltcpdestination port1521serviceprotocoltcpdestination port8443 高级访问控制列表举例 ruledenyipsourceaddress setguestdestinationaddress seterprulepermittcpsourceaddress setguestdestinationanydestination portservice setInternetruledenytcpsource129 9 0 00 0 255 255destination202 38 160 00 0 0 255destination portequalwww 10 1 0 0 16 IP数据报文 129 9 0 0 16 TCP报文 202 38 160 0 24 WWW端口 基于MAC地址访问控制列表 基于MAC地址的ACL能够根据以太网帧头中的源MAC地址 目的MAC地址 类型字段等信息定义数据流 从而达到控制二层数据帧的目的 防火墙 基于MAC访问控制列表的配置命令 在系统视图下 创建MACACL 并进入ACL视图应用MACACL 并进入接口视图 acl number acl number vpn instancevpn instance name rule rule id permit deny type type code type name coslcos code cos name source macsource addresssource mac wildcard dest macdestination addressdestination mac wildcard firewallethernet frame filteracl numberinbound 硬件包过滤访问控制列表 硬件包过滤ACL是用于硬件包过滤功能的ACL 可以通过源MAC地址 目的MAC地址 源IP地址 目的IP地址 协议等维度来进行流量匹配 防火墙 源MAC地址目的MAC地址源IP地址目的IP址协议源端口目的端口 硬件访问控制列表的配置命令 在系统视图下 创建硬件ACL 并进入ACL视图应用硬件ACL 并进入接口视图 acl number acl number vpn instancevpn instance name rule rule id permit deny source macsource mac addresssource mac wildcard destination macdestination mac addressdestination mac wildcard source ipsource ip addresssource wildcard destination ipdestination ip addressdestination wildcard protocol icmp icmp type icmp typeicmp code icmp message tcp udp source port port protocol name destination port port protocol name ip igmp gre ospf ipinip ethernet type type code type name cos cos code cos name hardware filteracl numberinbound 步长与匹配模式的配置命令 在系统视图下 配置ACL步长 acl number acl number vpn instancevpn instance name match order auto config Stepstep 加速功能和计数器功能 ACL加速功能ACL加速查找功能能够显著提高访问控制列表的查找性能 ACL计数器 displayacl200117 18 072009 07 21BasicACL2001 2rules notbindingwithvpn instanceAcl sstepis5rule0permitsource10 32 255 00 0 0 255 27timesmatched rule10permitsource192 168 10 00 0 0 255 1timesmatched acl2001rule0permitsource10 32 255 00 0 0 255rule10permitsource192 168 10 00 0 0 255 目录 访问控制列表介绍接口包过滤技术域间包过滤技术包过滤应用分析 域间包过滤技术概述 防火墙 Trust区域 Untrust区域 客户端 服务器 查路由表 基于接口所属域间及方向 查域间包过滤规则 Policy0 permit源为192 168 168 0 Policy1 deny源为192 168 100 0 缺省域间包过滤规则为禁止 首包命中 非首包 查找会话表 域间包过滤应用 防火墙 Trust区域 Untrust区域 policyinterzonetrustuntrustoutboundpolicy0actionpermitpolicysource192 168 168 00 255 0 255policyserviceservice set service set name policy间优先级关系 Address set地址集 Service set端口集 policy0actionpermitpolicysourceaddress setguestpolicydestinationaddress setInternetpolicyserviceservice setInternetpolicy1actiondenypolicysourceaddress setguestpolicydestinationaddress setintranetpolicyserviceservice setintranet policy1actiondenypolicysourceaddress setguestpolicydestinationaddress setintranetpolicyserviceservice setintranetpolicy0actionpermitpolicysourceaddress setguestpolicydestinationaddress setInternetpolicyserviceservice setInternet 多通道协议技术 单通道协议 通信过程中只需占用一个端口的协议 如 WWW只需占用80端口多通道协议 通信过程中需占用两个或两个以上端口的协议 如FTP被动模式下需占用21号端口以及一个随机端口 使用单纯的包过滤方法 如何精确定义 端口级别 多通道协议所使用的端口呢 遇到使用随机协商端口的协议 单纯的包过滤方法无法进行数据流定义 ASPF概述 ASPF ApplicationSpecificPacketFilter 是一种高级通信过滤 它检查应用层协议信息并且监控连接的应用层协议状态 对于特定应用协议的所有连接 每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃 丰富的ASPF功能保证开展业务时安全性得到保证 ASPF对多通道协议的支持 Host10 0 0 1 FTPServer20 0 0 1 控制通道 Session表FTP 10 0 0 1 4927 20 0 0 1 21 数据通道 ServerMap表 Inside Address PortGlobal Address PortProAppTypeTTLLeft 20 0 0 1 4952 tcpFTPDATA00 01 0000 00 47 ASPF ApplicationSpecificPacketFilter 是针对应用层的包过滤 我使用4952端口与你建立数据通道 FTP 10 0 0 1 4926 20 0 0 1 4952 端口识别对多通道协议的支持 Host10 0 0 1 FTPServer20 0 0 1 31 控制通道 数据通道 端口识别是把非标准协议端口映射成可识别的应用协议端口 31端口是什么应用协议 我不清楚怎么办 配置基本ACL配置端口识别 或端口映射 ACL2000 2099 Rulepermitsource非标准协议端口服务器IP地址Wildcard Port mappingprotocol nameportport numberaclacl number 分片缓存和长连接功能 长连接功能 配置长连接老化时间开启长连接功能 Firewalllong linkaging timetime Firewallinterzonezone name1zone name2lonk linkacl number inbound outbound 分片缓存功能 配置分片缓存老化时间Firewallsessionaging timefragmentinterval 1 40000 关闭分片报文直接转发功能Firewallfragment forwarddisable开启分片报文直接转发功能Firewallfragment forwardenable 目录 访问控制列表介绍接口包过滤技术域间包过滤技术包过滤应用分析 防火墙包过滤业务流程 查找路由表以匹配域间包过滤 查找域间ACL规则 查找会话表 查找路由表 报文入站 报文出站 命中 未命中 丢弃报文 允许 拒绝规则 更新会话表项 查找黑名单 丢弃报文 命中 未命中 查找域间默认规则 未匹配 允许 拒绝或未匹配规则 访问控制列表应用场景分析 应用场景分析Trust区域内ACL地址集与端口集应用Trust与DMZ域间长连接Trust与Internet域间基于时间控制Internet与DMZ域间ASPF应用Internet与DMZ域间端口识别Internet与DMZ域间分片缓存作用 NAT QOS IPSEC 路由策略等 DMZ区域 Internet区域 Trust区域 192 168 168 1 24 192 168 100 1 24 192 168 150 1 24 访问控制列表作用1 包过滤 防火墙 访问控制列表作用2 地址转换QoS策略路由IPSec 思考 ACL为何对这些应用会起作用 访问控制列表命令 acl number acl number vpn instancevpn instance name acl number 定义一个数字型的ACL 访问控制列表 其中序号2000 2999范围的ACL是基本的访问控制列表序号3000 3999范围的ACL是高级的访问控制列表vpn instancevpn instance name 用于定义VPN实例的ACL其中 vpn instance name为VPN实例的名称 字符串形式 长度为1 19undoacl number acl number all 命令acl用于创建一个访问控制列表并进入ACL视图undoacl用于删除访问控制列表 访问控制列表配置方法 ACL步长编辑ACL acl3000ruledenysource1 1 1 10rulepermittcpdestination portequalwwwrulepermitipsource172 16 12 310 displayacl3000acl3000Acl sstepis5rule0denysource1 1 1 10loggingrule3permitipsource192 168 10