网络设备配置与管理09.ppt

第9章防火墙及其基本配置,9.1防火墙概述,9.1.1防火墙概述防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。典型的防火墙建立在一个服务器或主机的机器上，也称为“堡垒主机”，它是一个多边协议路由器。这个堡垒主机连接两个网络，一边与内部网相连，另一边与因特网相连。,1.防火墙的发展2.防火墙的功能防火墙通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理，防止外部网络不安全的信息流入内部网络和限制内部网络的重要信息流到外部网络。（1）保护网络的安全性功能（2）网络监控审计功能（3）屏蔽内网信息外泄功能（4）NAT和VPN3.防火墙的缺陷,9.1.2防火墙的分类,1.按组成结构分类（1）软件防火墙（2）硬件防火墙（3）芯片级防火墙2.按防火墙的技术原理分类（1）包过滤防火墙（2）代理防火墙应用层网关防火墙电路层网关（3）状态监视防火墙,9.1.3防火墙的体系结构,1.屏蔽路由器(Screeningrouter)结构2.双穴主机网关(DualHomedGateway)结构3.屏蔽主机网关(ScreenedHostGateway)结构4.屏蔽子网(ScreenedSubnet)结构,9.2防火墙的相关产品及其选购,9.2.1防火墙相关产品1.软件防火墙CheckPointFirewallSoftwareBlade2.硬件防火墙CiscoPIXFirewall5203.芯片级硬件防火墙方正方通防火墙,9.2.2防火墙的选购策略,1.安全性2.性能3.管理4.适用性5.售后服务,9.2.3防火墙的发展趋势,（1）多功能（2）防病毒（3）灵活的代理系统（4）简化的安装与管理（5）多级的过滤技术（6）Internet网关技术（7）安全服务器网络(SSN)（8）审计和告警,9.3IP访问列表的配置,9.3.1访问列表概述（1）IP访问控制列表(IPaccesslists)IP访问控制列表用于过滤IP报文，包括TCP和UDP。它可细分为标准IP访问控制列表和扩展IP访问控制列表。标准IP访问控制列表（StandardIPaccesslists）只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。扩展IP访问控制列表（ExtendedIPaccesslists）不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。（2）现代访问控制列表现代访问控制列表是在IP访问控制列表的基础上实现的灵活性更大的ACL列表方式。它包括动态访问控制列表、基于时间的访问控制列表、自反的访问控制列表和基于命名的访问控制列表。,9.3.2标准IP访问列表的配置,1.标准IP访问列表的配置命令（1）定义标准ACL命令Firewall(config)#access-listlistnumberpermit|denyhost/anysourceaddresswildcard-masklog下面对标准IP访问表基本格式中的各项参数进行解释：listnumber：即表号范围，标准IP访问表的表号标识范围是199。permit/deny：允许或拒绝，关键字permit和deny用来表示满足访问表项的报文是允许通过接口，还是要过滤。permit表示允许报文通过接口，而deny表示匹配标准IP访问表源地址的报文要被丢弃。sourceaddress：源地址，对于标准的IP访问列表，源地址是主机或一组主机的点分十进制表示，如：0。host/any：主机匹配，host和any分别用于指定单个主机和所有主机，其中host表示一种精确的匹配，其屏蔽码为。any是源地证/目标地址/55的简写。wildcardmask：通配符屏蔽码，Cisco访问表功能所支持的通配符屏蔽码与子网掩码的方式是刚好相反的，也就是说，二进制的0表示一个“匹配”条件，二进制的1表示一个“不匹配”条件。,（2）应用访问列表到接口命令应用访问列表到接口命令：Firewall(config-if)#ipaccess-groupaccess-list-numberin|out参数注意：access-list-number:标准ACL的表号范围为199。In：通过接口进入路由器的报文。Out：通过接口离开路由器的报文。（3）显示所有协议的访问列表配置细节显示所有协议的访问列表配置细节的配置命令：Firewall(config)#showaccess-listaccess-list-number。（4）显示IP访问列表显示IP访问列表的配置命令：Firewall(config)#showipaccess-listaccess-list-number。,2.标准ACL配置举例（1）只允许网络的数据通过，而阻塞其他所有的数据，配置命令如下：Firewall(config)#access-list1permit55Firewall(config)#interfacefa0/0Firewall(config-if)#ipaccess-group1outFirewall(config)#interfacefa0/1Firewall(config-if)#ipaccess-group1out（2）阻塞来自一个特定主机的通信流量，而把所有的其他的通信流量从fa0/0接口转发出去，配置命令如下：Firewall(config)#access-list1denyhostFirewall(config)#access-list1permitanyFirewall(config)#intf0/0Firewall(config-if)#ipaccess-group1out（3）阻塞来自一个特定子网的通信流量，而允许所有其他的通信流量，并把它们转发出去，配置命令如下：Firewall(config)#access-list1deny55Firewall(config)#access-list1permitanyFirewall(config)#interfacefa0/0Firewall(config-if)#ipaccess-group1out,9.3.3扩展IP访问列表的配置,1.配置扩展访问列表相关命令（1）命令及格式Firewall(config)#access-listaccess-list-numberpermit|denyprotocolsource-addresssource-wildcardsource-portdestinaitonaddressdestination-wildcarddestination-portoptions参数注意：access-list-number：编号范围为100199。Permit：通过；deny：禁止通过。protocol：需要被过滤的协议，如IP、TCP、UDP、ICMP、EIGRP、GRE等。source-address：源IP地址。source-wildcard：源通配符掩码。source-port：源端口号，可以是单一的某个端口，也可以是一个端口范围。端口号可以使用一个数字或一个可识别的助记符显式地指定。例如，可以使用80或http来指定Web的超文本传输协议。端口的相关运算符如表9-3所示。,（2）将访问列表应用到接口的命令访问列表应用到接口的命令：Firewall(config-if)#ipaccess-groupaccess-list-numberin|out。参数注意：access-list-number:扩展ACL的表号范围为100199。In：通过接口进入路由器的报文。Out：通过接口离开路由器的报文。（3）显示所有协议的访问列表配置细节显示所有协议的访问列表配置细节的配置命令：Firewall(config)#showaccess-listaccess-list-number。（4）显示IP访问列表显示IP访问列表的配置命令：Firewall(config)#showipaccess-listaccess-list-number。,2.扩展ACL配置举例（1）只允许网络的WWW数据到达网络，其他数据全部拒绝，配置命令如下：Firewall(config)#access-list101permittcp5555eq80Firewall(config)#interfacefa0/0Firewall(config-if)#ipaccess-group101out（2）拒绝网络的FTP数据通过fa0/0到达网络，其他信息流均可通过，配置命令如下：Firewall(config)#access-list101denytcp5555eq21Firewall(config)#access-list101permitip55anyFirewall(config)#interfacefa0/0Firewall(config-if)#ipaccess-group101out（3）仅拒绝从通过fa0/0发往别处的Telnet数据，而允许所有其他来源的数据，配置命令如下：Firewall(config)#access-list101denytcp55anyeq23Firewall(config)#access-lisst101permitipanyanyFirewall(config)#interfacefa0/0Firewall(config-if)#ipaccess-group101out,9.4现代访问控制列表的配置,9.4.1命名访问列表配置1.标准命名ACL命名ACL允许使用一个字母、数字组合的字符串来表示ACL表号。（1）配置标准命名ACL的命令：Firewall(config)#ipaccess-liststandardnameFirewall(config)#Deny|permitsourceaddresswildcardFirewall(config-if)#ipaccess-groupnamein|out（2）设计一个标准命名ACL，以用于阻塞来自一个特定子网的通信流量，而允许所有其他通信流量，并把它们转发出去，配置命令如下：Firewall(config)#ipaccess-liststandardtask1Firewall(config-std-nacl)#deny55Firewall(config-std-nacl)#permitanyFirewall(config)#interfacefa0/0Firewall(config-if)#ipaccess-grouptask1in,2.扩展命名ACL(1)配置扩展命名ACL的命令：Firewall(config)#ipaccess-listextendednameFirewall(config)#Deny|permitsourceaddresswildcardFirewall(config-if)#ipaccess-groupnamein|out（2）设计一个命名ALC，只拒绝来自特定子网的FTP和Telnet通信流量通过fa0/0，配置命令如下：Firewall(config)#ipaccess-listextendedtask2Firewall(config-ext-nacl)#denytcp55anyeq21Firewall(config-ext-nacl)#denytcp55anyeq23Firewall(config-ext-nacl)#permitipanyanyFirewall(config-ext-nacl)#exitFirewall(config)#interfacefa0/0Firewall(config-if)#ipaccess-grouptask2in,3.命名访问列表删除语句下面的例子显示的是对命名访问列表的删除过程。Firewall#showipaccess-listsexample/显示example的内容Firewall#configureterminalFirewall(config)#ipaccess-listextendedexampleFirewall(config-ext-nacl)#nopermittcphostany/删除语句Firewall(config-ext-nacl)#ZFirewall#showipaccess-listsexample/显示删除语句后example的内容4.命名访问列表加入语句下面的例子显示的是对命名访问列表的加入过程。Firewall#showipaccess-listsexampleFirewall#configureterminalFirewall(config)#ipaccess-listextendedexampleFirewall(config-ext-nacl)#permitudphost/增加语句permitudphostFirewall(config-ext-nacl)#ZFirewall#showipaccess-listsexample/显示增加语句后example的内容,9.4.2基于时间访问列表的配置,1.命令格式Firewall(config)#time-rangetime-range-nameabsolutestartstart-timestart-dateendend-timeend-dateperiodicdays-of-theweekhh:mmtodays-of-theweekhh:mm参数注意：（1）time-range：用来定义时间范围。（2）time-range-name：时间范围名称，用来标识时间范围，以用于在后面的访问列表中引用。（3）absolutestartstart-timestart-dateendend-timeend-date：定义绝对时间范围，start-time和end-time分别用于指定开始和结束时间，使用24小时制表示，其格式为“小时：分钟”；start-date和end-date分别用于指定开始的日期和结束的日期，使用日/月/年的格式。（4）absolute：此命令用来指定绝对时间范围，其后为关键字start和end，在这两个关键字后面的时间要以24小时制的hh:mm（小时：分钟）表示，日期要按照日/月/年的格式来表示。,2.配置实例通过在路由器设置基于时间的访问控制列表ACL，设置从2009年1月1日0点到2009年3月31日晚23点这个时间段中，只有在星期六早7点到星期日晚10点才可以通过网络访问Internet。Firewall#configtFirewall(config)#interfaceethernet0Firewall(config-if)#ipaccess-group101inFirewall(config-if)#time-rangehttpFirewall(config-if)#absolutestart0:001january2009end23:0031march2009Firewall(config-if)#periodicSaturday7:00toSunday22:00Firewall(config-if)#ipaccess-list101permittcpanyanyeq80http注意：为了控制Web访问的协议，必须要用扩展列表。定义了这个时间范围的名称是http，以便引用。20,9.5TCP拦截,9.5.1TCP拦截概述TCP拦截即TCPIntercept，在TCP连接请求到达目标主机之前，TCP拦截通过拦截和验证来阻止SYN泛洪攻击。SYN攻击利用TCP的三次握手机制，攻击端利用伪造的IP地址向被攻击端发出请求，使被攻击端发出的响应报文将永远发送不到目的地，导致被攻击端在等待关闭这个连接的过程中消耗了资源，如果有成千上万的这种连接，主机资源将被耗尽，从而达到攻击的目的。可以利用路由器的TCP拦截功能，使网络上的主机受到保护。TCP拦截在拦截和监视两种模式下工作。在拦截模式下，路由器拦截到达的TCPSYN请求时，先代表服务器建立与客户机的连接，如果连接成功，则代表客户机建立与服务器的连接，并将两个连接进行透明合并。在整个连接期间，路由器会一直拦截和发送数据包。对于非法的连接请求，路由器提供更为严格的半连接（half-open）超时限制，以防止自身的资源被SYN攻击耗尽。在监视模式下，路由器被动地观察流经路由器的连接请求，如果连接超过了所配置的建立时间，路由器就会关闭此连接。,9.5.2TCP拦截的配置,（1）开启TCP拦截开启TCP拦截的配置命令：Firewall(config)#iptcpinterceptlistaccess-list-number注意：access-list-number是已经设置好的IP访问列表的编号或名称。（2）设置TCP拦截模式设置TCP拦截模式的配置命令：Firewall(config)#iptcpinterceptmodeintercept|watch注意：intercept是指拦截模式，watch是指监视模式。（3）配置路由器等待时间配置路由器等待时间的配置命令：Firewall(config)#iptcpinterceptwatch-timeoutseconds,（4）配置删除TCP半连接的阀值路由器开始删除连接之前能够存在的最大半连接数：Firewall(config)#iptcpinterceptmax-incompletehighnumber路由器停止删除连接之前能够存在的最大半连接数：Firewall(config)#iptcpinerceptmax-incompletelownumber路由器开始删除连接之前每分钟内能存在的最大半连接数目：Firewall(config)#iptcpinterceptone-minutehighnumber路由器停止删除连接之前每分钟内能存在的最大半连接数目：Firewall(config)#iptcpinterceptone-minutelownumber设置路由器删除半连接的方式：Firewall(config)#iptcpinterceptdrop-modeoldest|random注意:Oldest是指删除建立时间最早的连接，random是指随机删除已经建立的连接。（5）查看TCP拦截信息查看TCP拦截信息的配置命令如下：Firewall#showtcpinterceptconnectionsFirewall#showtcpinterceptstatistics,9.6网络地址转换,9.6.1NAT概述1.保留的IP地址对于A、B、C3类网络地址都有一个网络号作为保留IP范围，它一般用在私有网络内部，并且不需申请。表9-4显示的是此保留IP地址。,2.NAT中的地址配置NAT把整个网络分成内部网络和外部网络两部分，对应出现相关的四个地址：（1）内部本地地址：局域网内部主机拥有的一个真实地址，一般来说是一个私有地址。（2）内部全局地址：对于外部网络来说，局域网内部主机所表现的IP地址。（3）外部本地地址：外部网络主机的真实地址。（4）外部全局地址：对于内部网络来说，外部网络主机所表现的IP地址。,3.NAT的类型（1）静态N