《中小型网络组建与管理》课件-项目五 网络安全技术

项目五

网络安全技术任务一：配置访问控制列表任务二：部署路由器中防火墙功能任务三：配置NAT实现内网用户访问internet目录任务四：使用NAT技术发布内网服务器任务五：配置硬件防火墙任务六：配置防火墙实现域名过滤访问控制列表概述

ACLs(AccessControlLists，接入控制列表)：也称为访问列表，ACLs通过定义一些规则对通过网络设备接口上的数据报文进行控制：允许通过或丢弃。访问控制列表应用概述安全控制（限制路由更新、限制网络访问等）流量过滤数据流量标识ACL的种类

两种基本的ACL：标准ACL和扩展ACL。标准IPACL只能过滤IP数据包头中的源IP地址，（编号为1-99，1300-1999）。扩展IPACL可以过滤源IP地址、目的IP地址、协议（TCP/IP）、协议信息（端口号、标志代码）等，（编号为100–199，2000-2699）。ACL工作原理及规则

ACL语句有两个组件：一个是条件，一个是操作。 条件：条件基本上一个组规则 操作：当ACL语句条件与比较的数据包内容匹配时，可以采取允许和拒绝两个操作。ACL工作原理及规则

基本规则、准则和限制ACL语句按名称或编号分组；每条ACL语句都只有一组条件和操作，如果需要多个条件或多个行动，则必须生成多个ACL语句；如果一条语句的条件中没有找到匹配，则处理列表中的下一条语句；如果在ACL组的一条语句中找到匹配，则不再处理后面的语句；如果处理了列表中的所有语句而没有指定匹配，不可见到的隐式拒绝语句拒绝该数据包；由于在ACL语句组的最后隐式拒绝，所以至少要有一个允许操作，否则，所有数据包都会被拒绝；语句的顺序很重要，约束性最强的语句应该放在列表的顶部，约束性最弱的语句应该放在列表的底部；标准ACL 通过两种方式创建标准ACL：编号或名称使用编号Router(config)#access-list

listnumber{permit|deny}address[wildcard–mask]使用名称：Router(config)#(config)#ipaccess-list{standard|extended}{id|name}Router(config-xxx-nacl)#[sn]{permit|deny}{src

src-wildcard|hostsrc|any|interfaceidx}[time-rangetm-rng-name]在接口上应用

Router(config-if)#ipaccess-group{id|name}{in|out} In方向：当流量从网络网段进入路由器接口时。 Out方向：当流量离开接口到网络网段时。任务一：配置访问控制列表任务二：部署路由器中防火墙功能任务三：配置NAT实现内网用户访问internet目录任务四：使用NAT技术发布内网服务器任务五：配置硬件防火墙任务六：配置防火墙实现域名过滤什么是URL过滤

是指在HTTP通信中、限制可访问URL的功能。内部数据库查看型URL过滤功能中，能够将URL的全部或者部分作为关键字在路由器中注册，限制访问包含符合该关键字的字符串的URL。并且，也能够通过在过滤设置时指定起始IP地址而限制来自特定的主机或者网络的连接。URL过滤概述

URL过滤是包过滤的扩展，是更深层次的访问控制，属于内容过滤的一种。URL过滤的目的通常是为了限制内部网络用户对某些非法的、内容不健康的网站的访问。

URL过滤的工作过程是：1、防火墙对客户端发出的HTTP请求进行解析，得到请求的URL地址。2、将请求的URL地址与防火墙本地预先定义好的URL过滤规则进行匹配检查。3、如果匹配发生，根据检查的结果决定是允许访问还是拒绝。4、如果在本地URL过滤规则中匹配失败，将该URL请求发送到第三方的内容过滤服务器，同时将该HTTP会话挂起，直到收到服务器返回检查结果，并根据结果决定允许还是拒绝该HTTP请求。URL过滤配置流程

1、先指定需要过滤的地址，并将这些规则加入到一个过滤类别里面。2、配置过滤规则，并将先前定义的过滤类别加入到这些规则里。3、在接口上应用这些规则。URL过滤命令

命令命令含义Ruijie(config)#ip

urlfilter

rulerule-nameurl-address登记的URL地址。添加的url

地址，无论是什么格式的，它的第一个字符必须是“.”。配置地址时，我们支持通配符“*”的配置，但是对于通配符的位置有严格的要求，它的位置只能在字符串最后一位或者是除去字符“.”的第一位。例如：

只过滤、、等网址，对于类如

则无法生效。

.*

则过滤url

请求的地址最后为

的所有地址。Ruijie(config)#ip

urlfiltercategory1name配置过滤的规则。每个规则最后可同时添加15个类别。Ruijie(config-if)#

ip

urlfilterexclusive-domainrule-nameacl-number[permit|deny]inlog接口上应用URL规则Ruijie(config)#show

ip

urlfilter

configaddress查看并对配置的地址进行归类Ruijie(config)#show

ip

urlfilter

configrule查看URL过滤规则包含哪些地址类别Ruijie(config-if)#show

ip

urlfilter

configsetting查看URL过滤设置Ruijie(config)#show

ip

urlfilterstatistics查看URL统计信息任务一：配置访问控制列表任务二：部署路由器中防火墙功能任务三：配置NAT实现内网用户访问internet目录任务四：使用NAT技术发布内网服务器任务五：配置硬件防火墙任务六：配置防火墙实现域名过滤NAT概念 NAT（NetworkAddressTranslation：是“网络地址转换”，它是一个IETF(Internet工程任务组)标准，允许一个整体机构以一个公用IP地址出现在Internet上。 它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。它被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT的用途解决地址空间不足的问题；IPv4的空间已经严重不足私有IP地址网络与公网互联；/8，/12，/16非注册IP地址网络与公网互联；建网时分配了全局IP地址－但没注册网络改造中，避免更改地址带来的风险NAT术语术语定义内部本地IP地址分配给内部网络中的主机的IP地址，一般为私有地址。内部全局IP地址内部全局IP地址，对外代表一个或多个内部本地IP地址，通常这种地址来自全局惟一的地址空间，通常是ISP提供的。外部全局IP地址外部网络中的主机的IP地址，通常来自全局可路由的地址空间。外部本地IP地址在内部网络中看到的外部主机的IP地址，通常来自RFC1918定义的私有地址空间。NAT实现方式 NAT的实现方式有四种，即静态转换、动态转换、端口多路复用和EASYIP。静态转换（StaticNat）：是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，某个私有IP地址只转换为某个公有IP地址。动态转换（DynamicNat）：是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是路由器合法外部地址集中随机分配地址，所有被授权访问Internet的私有IP地址可随机转换为任何指定的合法IP地址。端口多路复用（NetworkaddressPortTranslation,NAPT)：即端口地址转换，是指改变外出数据包的源端口和IP地址并进行端口转换。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。目前网络中应用最多的就是端口多路复用方式。EASYIP：NAT设备直接使用出接口的IP地址作为转换后的源地址，不用预先配置地址池，工作原理与普通NAPT相同，是NAPT的一种特例，适用于拨号接入Internet或动态获得IP地址的场合。NAT转化原理NAPT转化原理配置NAT1命令命令含义Ruijie（config-if-FastEthernet0/1）#ip

nat{inside|outside}一个内部或一个外部接口上启用NAT。Ruijie（config）#ip

natinsidesourcestaticlocal-ipglobal-ip在对内部局部地址使用静态地址转换时，用该命令进行地址定义。Ruijie（config）#ip

nat

poolpool-namestart-ipend-ip

netmask

netmask[typerotary]使用该命令为内部网络定义一个NAT地址池。Ruijie（config）#ipaccess-listaccess-list-number使用该命令为内部网络定义一个标准的IP访问控制列表。Ruijie（config-std-nacl）#{permit|deny}{any

|local-ip-address}定义访问控制列表中允许或拒绝的IP地址。配置NAT2Ruijie（config）#ip

natinsidesourcelistaccess-list-numberinterfaceinterfacename[overload]使用该命令定义访问控制列表与路由器外部接口IP地址之间的映射。Ruijie（config）#ip

natinsidesourcestatic{UDP|TCP}local-ipportglobal-ipport[permit-inside]在对内部局部地址和端口号使用静态地址转换时，用该命令进行地址定义。Ruijie（config）#ip

natinsidesourcelistaccess-list-numberpoolpool-name[overload]使用该命令定义访问控制列表与NAT内部全局地址池之间的映射。Ruijie（config）#showip

nattranslations显示当前存在的NAT转换信息。Ruijie（config）#showip

natstatistics查看NAT的统计信息。Ruijie（config）#Clearip

nattranslations*删除NAT映射表中的所有内容。任务一：配置访问控制列表任务二：部署路由器中防火墙功能任务三：配置NAT实现内网用户访问internet目录任务四：使用NAT技术发布内网服务器任务五：配置硬件防火墙任务六：配置防火墙实现域名过滤NATServer转换原理

NATServer命令NATServer命令如下:Ruijie(config)#ip

natinsidesourcestaticstatic{UDP|TCP}local-ipportglobal-ipport[permit-inside]任务一：配置访问控制列表任务二：部署路由器中防火墙功能任务三：配置NAT实现内网用户访问internet目录任务四：使用NAT技术发布内网服务器任务五：配置硬件防火墙任务六：配置防火墙实现域名过滤DCFOS系统结构图DCFOS系统简介1

DCFOS是安全网关运行的系统固件。DCFOS系统中的基本组成部分包括：接口、安全域、VSwitch、VRouter、策略以及VPN等。1、接口: 接口允许流量进出安全域。因此，为使流量能够流入和流出某个安全域，必须将接口绑定到该安全域，如果是三层安全域，还需要为接口配置IP地址。然后，必须配置相应的策略规则，允许流量在不同安全域中的接口之间传输。多个接口可以被绑定到一个安全域，但是一个接口不能被绑定到多个安全域。DCFOS支持多种类型接口，实现不同功能。2、安全域: 安全域将网络划分为不同部分，例如trust（通常为内网等可信任部分）、untrust（通常为因特网等存在安全威胁的不可信任部分）等。将配置的策略规则应用到安全域上后，安全网关就能够对出入安全域的流量进行管理和控制。DCFOS提供8个预定义安全域，分别是：trust、untrust、dmz、L2-trust、L2-untrust、L2-dmz、VPNHub

和HA。DCFOS系统简介23、VSwitch:

VSwitch（VirtualSwitch）即虚拟交换机，具有交换机功能。VSwitch工作在二层，将二层安全域绑定到的VSwitch

上后，绑定到安全域的接口也被绑定到该VSwitch

上。DCFOS有一个默认的VSwitch，名为VSwitch1，默认情况下，二层安全域都会被绑定到VSwtich1中。用户可以根据需要创建其它VSwitch，绑定二层安全域到不同VSwitch

中。 一个VSwitch就是一个二层转发域，每个VSwitch都有自己独立的MAC地址表，因此设备的二层转发在VSwitch中实现。并且，流量可以通过VSwitch接口，实现二层与三层之间的转发。4、VRouter:

VRouter（VirtualRouter）即虚拟路由器，在DCFOS系统中简称为VR。VRouter

具有路由器功能，不同VR拥有各自独立的路由表。系统中有一个默认VR，名为trust-vr，默认情况下，所有三层安全域都将会自动绑定到trust-vr上。系统支持多VR功能且不同硬件平台支持的最大VR数不同。多VR将设备划分成多个虚拟路由器，每个虚拟路由器使用和维护各自完全独立的路由表，此时一台设备可以充当多台路由器使用。多VR使设备能够实现不同路由域的地址隔离与不同VR间的地址重叠，同时能够在一定程度上避免路由泄露，增加网络的路由安全。5、策略：策略实现安全网关保证网络安全的功能。策略通过策略规则决定从一个安全域到另一个安全域的哪些流量该被允许，哪些流量该被拒绝。默认情况下，所有通过安全网关的流量都是被拒绝的，用户可以根据需要，创建策略规则，允许特定的流量在不同安全域之间或者安全域内通过，例如，允许从trust域发起到untrust域的所有类型流量通过，或者只允许从untrust域发起到DMZ域的某种特定应用类型的流量在指定的时间内（时间表功能）通过连接神州数码防火墙 客户端通过以太网线连接到防火墙的eth0/0接口，把本机的IP地址设置为网段IP地址，并通过浏览器访问防火墙管理IP地址。神州数码防火墙任务一：配置访问控制列表任务二：部署路由器中防火墙功能任务三：配置NAT实现内网用户访问internet目录任务四：使用NAT技术发布内网服务器任务五：配置硬件防火墙任务六：配置防火墙实现域名过滤Profile介绍