路由器防火墙基本原理及典型配置讲解.ppt

包过滤（续） 指的是对IP数据包的过滤。对路由器需要转发的数据包，先获取包头信息，包括IP层所承载的上层协议的协议号，数据包的源地址、目的地址、源端口、目的端口等，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。 代理服务 （Proxy service） 防火墙上基本都有代理（NAT）功能，有的实现了应用层代理（类似web proxy），有的仅仅配置成简单的NAT或NAPT。 要注意分清应用层Proxy和NAT转换的区别，尤其是和用户交流的时候。 NAT中的细节 NAT工作在三层，对大多数应用程序而言是透明的，IE无需知道自己是直接在公网上还是经过NAT上公网的。 上例中Internet Explorer运行在/24，在整个http通信过程中只有一条TCP连接建立。在经过NAT设备前后源地址和源端口发生了改变。 Proxy中的细节 应用层的proxy实际上是建立两个连接，一个是client到proxy的连接，一个是从proxy到Server的连接。 从TCP层看，是两个不同的TCP连接。 H323通信是无法穿越 代理服务 （续） 虽然大多数防火墙都具备NAT或PAT的功能，但防火墙不一定要实现NAT功能，当我们说XX设备在防火墙后的时候，不一说明是经过NAT转换的。 状态检测 （State inspection） 状态检测是指防火墙不仅仅根据网络层的信息进行报文过滤，同时根据四层以上的协议进行过滤，各个厂家的叫法可能不同，ASPF（Application Specific Packet Filter）或CBAC（Context-Based Access Control）。 目前大多数防火墙都提供了基于状态检测的防火墙，如防火墙内有一个FTP Server，要对外提供服务，你只需要开放TCP 21端口即可，因为FTP会话过程中使用的其他端口防火墙会动态开放。 应用层网关的配置 nat alg enable h323 detect h323 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 Access-list的配置 ACL是由permit或deny语句组成的一系列有顺序的规则，这些规则针对数据包的源地址、目的地址、端口号、上层协议或其他信息来描述。 ACL可用于包过滤、NAT、IPSec、QoS、路由等 说到底就是选择报文 Eudemon上ACL配置 acl number 3106 rule 5 permit tcp destination 53 0 destination-port eq 22 rule 10 permit tcp destination 53 0 destination-port eq www rule 15 permit udp destination 0 destination-port eq 1719 rule 20 permit udp destination 0 destination-port eq 1729 rule 25 permit tcp destination 52 0 destination-port eq www rule 30 permit tcp destination 52 0 destination-port eq 3389 rule 35 permit icmp destination 0 firewall interzone trust untrust packet-filter 3106 inbound packet-filter 2001 outbound nat outbound 2001 interface Ethernet0/0/0 detect ftp detect h323 detect msn 问题：什么是inbound 什么是outbound？ 内部Web服务器的配置 nat server protocol tcp global 42 www inside www # interface Ethernet0/0 ip address 54 # interface Ethernet1/0 ip address 42 24 # acl number 2001 rule 0 permit source 55 # acl number 3100 rule 0 permit destination destination-port www # firewall zone trust add interface Ethernet0/0 set priority 85 # firewall zone untrust