软件防火墙配置保护主机与内部网络RouterOSVIP

国家高等职业教育网络技术专业教学资源库,计算机网络安全技术与实施,学习情境3：实训任务3.2,软件防火墙配置保护主机与内部网络RouterOS,内容介绍,任务场景,1,任务相关工具软件介绍,2,任务设计、规划,3,任务实施及方法技巧,4,任务检查与评价,5,任务总结,6,任务场景,任务相关工具软件介绍,防火墙系统软硬件实现的三种方式：（1）基于通用操作系统和通用硬件的防火墙通用操作系统如Windows、linux；通用硬件如X86计算机等。这类防火墙优点是配置操作易于理解，实现起来不需要新的硬件投入，如ISA、IPTables、瑞星和天网等防火墙；缺点是由于通用操作系统所开启服务的复杂性，使其容易存在更多的安全漏洞，整体实现安全策略需要更为专业化的配置，这类防火墙的功能与千差万别。（2）基于专用操作系统和通用硬件的防火墙专用操作系统是专门用于防火墙功能而设计的操作系统，或经过对通用操作系统进行剪裁之后的服务最小化系统，如RouterOS、SmoothWall等；通用硬件如X86计算机等。这类防火墙优点操作系统是专用的，开放的服务是最小化的，实现起来不需要新的硬件投入；缺点是配置与管理相对复杂，系统性能适合于中小企业网络应用。（3）基于专用操作系统和专用硬件的防火墙专用操作系统是专门用于防火墙功能而设计的操作系统，或经过对通用操作系统进行剪裁之后的服务最小化系统，如很多硬件防火墙的系统是专用的操作系统；专用硬件是指不同厂商的防火墙硬件是不同的，彼此间操作系统也是不能通用的。这类防火墙优点操作系统与硬件者是专用的，互相配合能发挥更高的性能，是目前国内大中企业网络中所普遍应用的方式；缺点是配置与管理相对复杂，经济投入比较大。但目前硬件防火墙多采用WEB配置方式，使用配置与管理相对简单了很多。,任务相关工具软件介绍,MikroTikRouterOS是一种路由操作系统，并通过该软件将标准的PC电脑变成专业路由器，在软件RouterOS软路由图的开发和应用上不断的更新和发展，软件经历了多次更新和改进，使其功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能，其极高的性价比，受到许多网络人士的青睐。RouterOS在具备现有路由系统的大部分功能，能针对网吧、企业、小型ISP接入商、社区等网络设备的接入，Mikrotik厂家提供带有RouterOS的硬件路由器，同时支持标准的x86构架PC。一台586PC机就可以实现路由功能，提高硬件性能同样也能提高网络的访问速度和吞吐量。完全是一套低成本，高性能的路由器系统。,任务设计、规划,任务实施及方法技巧,MikrotikRouterOS安装,刻录好相应版本的RouterOS安装光碟;机器硬盘设置为IDE0,即第一个IDE通道的主盘;BIOS中设置光盘引导系统,自动进入到如下安装界面:,RouterOS常见安装包说明,System:主要是包的基本服务和驱动程序;Ppp:提供PPP,PPTP,L2TP,PPPoE和ISDNPPPDhcp:DHCP客户端和服务器advanced-tools:邮件客户端,pingers,netwatch和其他的工具Gps:支持GPS装置Hotspot:允许给无线客户或非安全客户提供公共网络访问Routerboard:支持路由主板的一些函数和工具Routing:支持RIP,OSPF和BGP4协议Security:支持IPSEC,SSH和安全的WinBox连接user-manager:用户管理服务web-proxy:HTTPweb代理支持Wireless:提供支持Cisco的Aironet卡，prismii和Atheros的无线站和接入点,安装步骤:使用方向键和空格键选择需要的模组功能,按空格键进行选定,按“a”键全部选择,“m”键选择最小选择.按“i”键确定安装；接着询问：Doyouwanttokeepoldconfiguraton?（你需要保留旧的结构）选择“n”，Coutinue？选择“y”；然后开始自动的格式化磁盘、安装核心、安装模组，最后提示：PressENTERtoReboot，按回车重新启动机器。,MikrotikRouterOS安装,RouterOS基本设置,重新启动后开始登陆。初始用户名admin，初始密码为空。,一个基本的单线路由配置过程如下：第一步：查看网卡信息第二步：配置IP地址；第三步：配置网关地址，检查是否到外网默认网关正常；第四步：配置当地DNS地址；第五步：配置NAT伪装，实现共享上网。,第一步：查看网卡信息进入菜单：interfaceadminMikroTik/interfaceprintFlags:D-dynamic,X-disabled,R-running,S-slave#NAMETYPEMTUL2MTU0Rether1ether15001Rether2ether1500从print命令显示的信息来看，两张网卡都已被ROS正常识别出来，如果显示的“X”，则表明网卡是禁用状态,如网卡ether1前面显示“X”，则可以使用enableether1命令启用.如:,RouterOS基本设置,adminMikroTik/interfaceprintFlags:D-dynamic,X-disabled,R-running,S-slave#NAMETYPEMTUL2MTU0Xether1ether15001Rether2ether1500网卡“ether1”处于禁用状态,可通过enableether1命令启用adminMikroTik/interfaceenableether1,RouterOS基本设置,设定“ether1”为外网网卡命名为wan，“ether2”为内网网卡命名lanadminMikroTik/interfacesetether1name=wanadminMikroTik/interfacesetether2name=lanadminMikroTik/interfaceprintFlags:D-dynamic,X-disabled,R-running,S-slave#NAMETYPEMTUL2MTU0Rwanether15001Rlanether1500,RouterOS基本设置,第二步：配置IP地址1）如果是具备固定外网IP地址时：假定外网IP地址为/28，网关是，内网为/24接上面：adminMikroTik/interface/ipaddressadminMikroTik/ipaddressaddaddress=/28interface=wanadminMikroTik/ipaddressaddaddress=/24interface=lanadminMikroTik/ipaddressprintFlags:X-disabled,I-invalid,D-dynamic#ADDRESSNETWORKBROADCASTINTERFACE0/285wan1/2455lan,RouterOS基本设置,2）ADSL拨号共享上网:假定ADSL的用户名：111和密码：111，内网：/24adminMikroTik/interfacepppoe-clientadminMikroTik/interfacepppoe-clientadduser=111password=111interface=wanadd-default-route=yesadminMikroTik/interfacepppoe-clientprintFlags:X-disabled,R-running0Xname=pppoe-out1max-mtu=1480max-mru=1480mrru=disabledinterface=wanuser=111password=111profile=defaultservice-name=ac-name=add-default-route=yesdial-on-demand=nouse-peer-dns=noallow=pap,chap,mschap1,mschap2,RouterOS基本设置,接着设置adsl的内网:adminMikroTik/interfacepppoe-client/ipaddressadminMikroTik/ipaddressaddaddress=/24interface=lanadminMikroTik/ipaddressprintFlags:X-disabled,I-invalid,D-dynamic#ADDRESSNETWORKBROADCASTINTERFACE0/2455lan,RouterOS基本设置,第三步：配置网关1）固定IP：adminMikroTik/ipaddress/iprouteadminMikroTik/iprouteaddgateway=adminMikroTik/iprouteprintFlags:X-disabled,A-active,D-dynamic,C-connect,S-static,r-rip,b-bgp,o-ospf,m-mme,B-blackhole,U-unreachable,Pprohibit#DST-ADDRESSPREF-SRCGGATEWAYDISTANCEIN.0AS/0r1wan1ADC/280wan2ADC/240lan2）如果是ADSL，不需要配置，因为在上面配置IP地址是，选择参数：add-default-route=yes,RouterOS基本设置,第四步：配置DNSadminMikroTik/iproute/ipdnsadminMikroTik/ipdnssetprimary-dns=secondary-dns=allow-remote-requests=yesadminMikroTik/ipdnsprintprimary-dns:secondary-dns:allow-remote-requests:yesmax-udp-packet-size:512cache-size:2048KiBcache-max-ttl:1wcache-used:5KiB参数allow-remote-requests=yes，意思是本地路由启用DNS功能，即：在内网机器上，配置DNS时可以直接使用网关地址作DNS服务器,RouterOS基本设置,第五步：IP伪装，共享上网（NAT）adminMikroTik/ipdns/ipfirewallnatadminMikroTik/ipfirewallnataddchain=srcnataction=masqueradeadminMikroTik/ipfirewallnatprintFlags:X-disabled,I-invalid,D-dynamic0chain=srcnataction=masquerade以上五步即可完成利用ROS实现内网多台机器共享上网的功能。上面的全部操作都可以通过winbox中的“newterminal”直接进行粘贴操作使用，也可以完全通过winbox中的相关功能模块操作来实现。,RouterOS基本设置,Winbox基本操作,Winbox中一些基本名词解释：src-address：源地址（发送数据的ip地址）dst-address：目标地址（接收数据的ip地址）Input：进入路由器，是指发往routeros自己的数据（也就是目的ip是routeros接口中的一个ip地址）output:从路由器出发，是指从routeros发出去的数据（也就是数据包源ip是routeros接口中的一个ip地址）forward:经路由转发中是指通过routeros转发的（比如你内部计算机访问外部网络，数据需要通过你的routeros，进行转发出去Srcnat与dstnat：srcnat（源地址转换）用的最多就是共享上网功能；dstnat（目标地址转换）意思就是针对内网有对外公布的服务器，就是常用的端口地址映射。in-interface:进入的网卡;out-interface:出去的网卡Rx与Tx:RX(receive)接收,TX(transmit)传送,在RouterOS中,我们查看WAN网卡的流量时RX为下行流量、TX为上行流量、查看LAN网卡的流量时，RX为上行流量、TX为下行流量；以ROS为中心，WAN网卡接收的流量，即从ISP进来的流量，则为下行以ROS为中心，LAN网卡接收的流量，即从工作站进来的流量，则为上行。TX同理。,Winbox控制台操作建议：,Winbox基本操作,MikroTikRouterOS内能通过远程配置各种参数,在这里我们将着重介绍怎样使用WinBox:,注:在Winbox中嵌入了通过MAC地址连接路由器的功能，并内置了探测工具.这样可以在刚安装好未配置ip或复位了路由器后，同样可以通过MAC登陆到RouterOS上，进行图形界面操作。,Winbox基本操作,Winbox控制台是用于MikroTikRouterOS的管理和配置，使用图形管理接口(GUI),通过连接到MikroTik路由器的HTTP（TCP80端口）欢迎界面下载Winbox.exe可执行文件，下载并保存在你的Windows中，之后直接在你Windows电脑上运行Winbox.exe文件.,Winbox基本操作,Winbox相关功能键介绍:搜索和显示MNDP(MikroTikNeighborDiscoveryProtocol)或CDP(CiscoDiscoveryProtocol)设备。可以通过该功能键搜索同一子网内MikroTik和Cisco设备。并能通过MAC地址登陆到MikroTikRouterOS进行操作。,Winbox基本操作,通过指定的IP地址（默认端口为80，不许特别指定，如果你修改了端口需要对具体访问端口做自定）或MAC地址（如果路由器在同一子网内）登陆路由器。保存当前连接列表（当需要运行它们时，只需双击）删除从列表中选择的项目删除所有列表中的项目，清除在本地的缓存，从wbx文件导入地址或导出为wbx文件,Winbox基本操作,SecureMode（安全模式）提供保密并在winbox和RouterOS之间使用TLS（TransportLayerSecurity）协议KeepPassword（保存密码）保存密码到本地磁盘的文本文件中Winbox控制台使用TCP/8291端口，在登陆到路由器后可以通过Winbox控制台操作MikroTik路由器的配置并执行与本地控制台同样的任务。,Winbox基本操作,Winbox常用管理:,Winbox基本操作,单线配置实例:例如下面的拓扑结构，你需要通过RouterOS完成以下的网络配置：,Winbox基本操作,在当前的事例中我们使用到两个网络（外网和内网）：内网使用地址为：子网淹码24-bit（）。路由器的地址在这个网络中为54ISP的网络为子网淹码24-bit（）。路由器的地址是在网络中为17外网DNS为9，6我们的步骤一共分为五步:首先：启动设备后，检查interface接口网口连接是否正常，并定义网口名称第二：将对应网口的IP地址配置好第三：配置网关路由第四：配置nat地址转换规则第五：配置DNS服务器第一步：网络接口配置在/interfaces列表中修改ether1为ether1-wan，定义为外网接口；修改ether2为ether2-lan定义为内网接口，如图：,Winbox基本操作,同样将ether2修改为ether2-lan，指定内网接口：,Winbox基本操作,第二步：添加IP地址在/ipaddress中添加IP地址和选择网卡接口，添加内网和外围的IP地址如图：,Winbox基本操作,第三步：添加默认网关在/iproutes里添加默认网关，开启check-gateway=ping（网关ping监测）如图：,Winbox基本操作,第四步，NAT地址转换:在/ipfirewallnat里点击“+”添加伪装规则：,Winbox基本操作,在NAT里添加新的规则，在chain里选择srcnat链表,Winbox基本操作,在选择action里的action=masquerade规则：,Winbox基本操作,第五步，DNS配置在/ipdns的settings中添加多个DNS服务器地址，根据需要启用DNS缓存（allowremoterequests）：到此，上述的单线上网事例就已经配置完成！,Winbox基本操作,端口映射这里我们需要将内网的http服务器发布到外网，内网的http服务器IP地8这里需要做端口映射规则，进入ipfirewallnat里，选择chain=dstnat，我们的外网IP地址是17配置到dst-address，dst-port为tcp协议80端口，如下图:,Winbox基本操作,在action选择dst-nat操作，to-address设置内网http服务器IP地址，和端口80,Winbox基本操作,Arp地址绑定:打开winbox,定位到ip-arp,如图:,Winbox基本操作,打开arplist列表,地址前面出现“D”的就是动态的，按ctrl+a选择全部的地址列表;右键列表选择MakeStatik，如图：,Winbox基本操作,上面操作后如图，地址前面动态显示字母“D”消失,Winbox基本操作,RouterOS限速功能与限速单位详解:批量动态限速脚本示例:foripfrom1to253do=/queuesimpleaddname=(No.$ip.#“)target-address=(192.168.0.$ip./32)max-limit=160000/3200000burst-limit=3200000/6400000burst-threshold=800000/1600000burst-time=30/30total-queue=defaulttime=8h-23h,sun,mon,tue,wed,thu,fri,satdisabled=no#路由内的限速单位是Kbitp/s(千比特位/秒)/8=Windows下的存储单位KByte(千字节/秒)#K代表的是个数量单位K=1000;#b(bit),bit是网速的基本单位.bps(bitsperSecond):每秒传输多少位数(二进制)#B(Byte),Byte是字节的意思,就是Windows的存储单位,8Kb=1KB.#有时在路由里看到某机器下载速度达到20Mbps,在windows下的速度显示是20Mbps/8=2.5MByte#上面脚本中的max-limit=160000/3200000，在winbox查看的话就是1600k和3200k；WINDOWS下速度显示就是1600kbps/8=200KB和3200kbps/8=400KB。#max-limit:表示正常的速度限制；上传/下载#burst-limit：表示突发速度；上传/下载#burst-threshold：表示突发速度阀值；上传/下载#burst-time：表示突发时间阀值;