路由器防火墙基本原理及典型配置讲解PPT课件

,路由器防火墙典型配置讲解,华为公司多媒体技术支援部,路由和路由协议简介第二章NAT第三章防火墙简介第四章课后作业,什么是路由器,简单的说就是在IP网络上连接不同子网，实现IP报文转发功能的设备每台路由器都有一张路由表，路由器就是根据路由表来进行IP报文转发的。RoutingTables:Destination/MaskProtoPrefMetricNexthopInterface/0Static600Tunnel/30Direct00Tunnel/32Direct00LoopBack0/8Static600Ethernet0/23Direct004Ethernet04/32Direct00LoopBack0/8Direct00LoopBack0/32Direct00LoopBack028/27Direct0037Ethernet137/32Direct00LoopBack0,主机的处理过程,每台主机都有自己的路由表ActiveRoutes:NetworkDestinationNetmaskGatewayInterfaceMetric820882085520555588201882055558854820DefaultGateway:=问题：上图中主机访问00、2、00时分别会把报文转发给那个网关设备。,静态路由协议,路由器上配置iproute-staticTunnel6preference60iproute-staticpreference60oriproute3iprouteWindowsrouteADDMASK,动态路由协议,路由协议也叫做动态选路协议，就是路由器获得路由表的过程。RIPIGRPEIGRPOSPF等等都是路由协议,第一章路由和路由协议简介第二章NAT第三章防火墙简介第四章课后作业,什么是NAT,随着IP网络的普及，目前广泛应用的IPv4版本的ip地址出现严重不足，运行TCP/IP协议的设备原来越多，无法满足每个设备拥有一个IP地址的需求NAT(NetworkAddressTranslation)网络地址转换，又称地址代理，用来实现私有网络地址与公有网络地址之间的转换。私有地址是指内部网络(局域网内部)的主机地址，而公有地址是局域网的外部地址（在因特网上的全球唯一的IP地址）。因特网地址分配组织规定以下的三个网络地址保留用做私有地址：-55-55-55也就是说这三个网络的地址不会在因特网上被分配，但可以在一个企业（局域网）内部使用。,典型NAT组网,NAT的几种实现方式,StaticNAT（静态地址映射）DynamicNAT（动态地址映射）NAPT（PortAddressTranslation）（端口映射）,StaticNAT,把私网地址转化为互联网地址，而且是一对一的，私网内的一个地址总会被转换成一个固定的互联网地址。,StaticNAT（续）,StaticNAT（续）,在上例中client和分别被转换为和。注意源地址发生了变化，而源端口并没有变化。而且这种转换关系是固定的。,DynamicNAT,多个私网地址会被转换成多个公网地址，但这种转换关系是不确定的，并不能保证某个私网地址一定会被转换成某个公网地址。一般我们把这些公网地址成为地址池（natpool）。,DynamicNAT（续）,DynamicNAT（续）,在上例中client和分别被转换为和注意源地址发生了变化，而源端口并没有变化。需要注意的是在动态NAT的情况下，这种地址映射的关系是会发生变化的,NAPT（PortAddressTranslation）,有时也称为Overloading，多个私网地址会被转换成一个个公网地址，同时端口也会转换成，以便区别不同的连接。,NAPT（续）,NAPT（续）,在上例中client和都被映射为地址，用于区别各通信连接的是端口号。注意源地址和源端口在NAT后都发生的变化。需要注意的是在NAPT的情况下，这种地址和端口的映射关系是会发生变化的。,关于NAT更多,RFC1631:TheIPNetworkAddressTranslator(NAT)RFC1918:AddressAllocationforPrivateInternetsHownatworksCiscoIPJ2000Volume3number4,典型的NAT应用(1),CiscoPIX,nameifethernet0outsidesecurity0nameifethernet1insidesecurity100interfaceethernet0autointerfaceethernet1autoipaddressoutside4224ipaddressinside54global(outside)142nat(inside)100routeoutside371,Eudemon,#interfaceEthernet0/0ipaddress54#interfaceEthernet1/0ipaddress4224#aclnumber2001rule0permitsource55#firewallzonelocalsetpriority100#firewallzonetrustaddinterfaceEthernet0/0setpriority85#firewallzoneuntrustaddinterfaceEthernet1/0setpriority5#firewallinterzonelocaltrust#firewallinterzonetrustuntrustnatoutbound2001interfaceEthernet0/0/0#iproute-static37,配置NAT和NAPT,natoutbound2001interfaceEthernet0/0/0natoutbound2001address-group1natoutbound2001address-group1no-pat,端口映射表,dispfirewallsessiontableHTTP:vpn:0,1:253742:36998-9:80HTTP:vpn:0,1:255442:56279-30:80RAS:vpn:0,:171942:17199:80RAS:vpn:0,:171942:17199:80RAS:vpn:0,:171942:171930:80RAS:vpn:0,:171942:1719-2:45224RAS:vpn:0,:171942:1719-2:64470,老化时间,dispfirewallsessionaging-timetcpprotocoltimeout:600udpprotocoltimeout:120icmpprotocoltimeout:20fragmenttimeout:5fin-rstprotocoltimeout:10synprotocoltimeout:5h225timeout:10800h245timeout:10800h323-rtcptimeout:120h323-rtptimeout:120h323-t120timeout:10800ftptimeout:600ftp-datatimeout:240hwcctimeout:120rastimeout:600httptimeout:600smtptimeout:600telnettimeout:600,典型的NAT应用(2),地址映射和端口映射,static(inside,outside)42static(inside,outside)tcp42ftpftpnetmask5500natserverglobal42insidenatserverprotocoludpglobal421719inside719,第一章路由和路由协议简介第二章NAT第三章防火墙简介第四章课后作业,防火墙的基本功能,包过滤（Packetfiltering）代理服务（Proxyservice）状态检测（Stateinspection）,包过滤（Packetfiltering）,包过滤是指针对IP包头进行过滤的方法，通过检测IP包头包括TCP或UDP包头的信息来决定是否允许报文通过，你可以定义允许或禁止源地址或目的地址为X的包通过，也可以允许或禁止某些端口的报文通过，或者将这些策略组合。对于防火墙的配置中，最多的部分就是包过滤部分，各种防火墙的设置方法可能不同，有的是命令行，有的是图形界面。但是内容基本都是一致的，可以表达为：允许/禁止源地址目的地址协议（TCP/UDP）端口（目的端口）permithost2udp1719在上例中，一个连接的四个要素（源地址、源端口、目的地址、目的端口）只出现了3个，因为在连接建立时源端口大多是随机的，因此防火墙一般是不会根据源端口进行过滤的。,包过滤（续）,指的是对IP数据包的过滤。对路由器需要转发的数据包，先获取包头信息，包括IP层所承载的上层协议的协议号，数据包的源地址、目的地址、源端口、目的端口等，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。,代理服务（Proxyservice）,防火墙上基本都有代理（NAT）功能，有的实现了应用层代理（类似webproxy），有的仅仅配置成简单的NAT或NAPT。要注意分清应用层Proxy和NAT转换的区别，尤其是和用户交流的时候。,NAT中的细节,NAT工作在三层，对大多数应用程序而言是透明的，IE无需知道自己是直接在公网上还是经过NAT上公网的。上例中InternetExplorer运行在/24，在整个http通信过程中只有一条TCP连接建立。在经过NAT设备前后源地址和源端口发生了改变。,Proxy中的细节,应用层的proxy实际上是建立两个连接，一个是client到proxy的连接，一个是从proxy到Server的连接。从TCP层看，是两个不同的TCP连接。H323通信是无法穿越,代理服务（续）,虽然大多数防火墙都具备NAT或PAT的功能，但防火墙不一定要实现NAT功能，当我们说XX设备在防火墙后的时候，不一说明是经过NAT转换的。,状态检测（Stateinspection）,状态检测是指防火墙不仅仅根据网络层的信息进行报文过滤，同时根据四层以上的协议进行过滤，各个厂家的叫法可能不同，ASPF（ApplicationSpecificPacketFilter）或CBAC（Context-BasedAccessControl）。目前大多数防火墙都提供了基于状态检测的防火墙，如防火墙内有一个FTPServer，要对外提供服务，你只需要开放TCP21端口即可，因为FTP会话过程中使用的其他端口防火墙会动态开放。,应用层网关的配置,natalgenableh323detecth323fixupprotocolh323h2251720fixupprotocolh323ras1718-1719,Access-list的配置,ACL是由permit或deny语句组成的一系列有顺序的规则，这些规则针对数据包的源地址、目的地址、端口号、上层协议或其他信息来描述。ACL可用于包过滤、NAT、IPSec、QoS、路由等说到底就是选择报文,Eudemon上ACL配置,aclnumber3106rule5permittcpdestination530destination-porteq22rule10permittcpdestination530destination-porteqwwwrule15permitudpdestination0destination-porteq1719rule20permitudpdestination0destination-porteq1729rule25permittcpdestination520destination-porteqwwwrule30permittcpdestination520destination-porteq3389rule35permiticmpdestination0firewallinterzonetrustuntrustpacket-filter3106inboundpacket-filter2001outboundn