地址转换的原理.ppt

学习目标 掌握一般防火墙技术 掌握地址转换技术 课程内容 防火墙示意图 路由器实现防火墙功能 ACL的机理 一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）： ACL的分类 利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类 标准访问控制列表的配置 配置标准访问列表的命令格式如下： acl acl-number [ match-order config | auto ] rule { normal | special }{ permit | deny } [source source-addr source-wildcard | any ] 如何使用反掩码 反掩码和子网掩码相似，但写法不同： 0表示需要比较 1表示忽略比较 反掩码和IP地址结合使用，可以描述一个地址范围。 扩展访问控制列表的配置命令 配置TCP/UDP协议的扩展访问列表： rule { normal | special }{ permit | deny } { tcp | udp } [source source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ] [destination-port operator port1 [ port2 ] ] [logging] 配置ICMP协议的扩展访问列表： rule { normal | special }{ permit | deny } icmp [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [icmp-type icmp-type icmp-code] [logging] 配置其它协议的扩展访问列表： rule { normal | special }{ permit | deny } { ip | ospf | igmp | gre } [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [logging] 扩展访问控制列表操作符的含义 扩展访问控制列表举例 rule deny icmp source 55 destination any icmp-type 5 1 访问控制列表配置举例 访问控制列表配置举例 ASPF技术 TCP SYN Flooding攻击图示 课程内容 地址转换的提出背景 地址转换是在IP地址日益短缺的情况下提出的。 一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的IP地址，为了到达所有的内部主机都可以连接Internet网络的目的，可以使用地址转换。 地址转换技术可以有效的隐藏内部局域网中的主机，因此同时是一种有效的网络安全保护技术。 同时地址转换可以按照用户的需要，在内部局域网内部提供给外部FTP、WWW、Telnet服务。 私有地址和公有地址 地址转换的原理 利用ACL控制地址转换 可以使用访问控制列表来决定那些主机可以访问Internet，那些不能。 Easy IP特性 Easy IP：在地址转换的过程中直接使用接口的IP地址作为转换后的源地址。 使用地址池进行地址转换 地址池用来动态、透明的为内部网络的用户分配地址。它是一些连续的IP地址集合，利用不超过32字节的字符串标识。 地址池可以支持更多的局域网用户同时上Internet。 内部服务器的应用 NAT（内网－外网〕实现流程 NAT（外网－内网〕实现流程 地址转换配置举例 地址转换配置举例 小结 防火墙基本概念 访问控制列表(ACL)和ASPF 地址转换技术(NAT) * * Chapter 11 网络安全技术 华为网络技术培训中心 学习完本课程，您应该能够： 第一节 防火墙 第二节 地址转换 Internet 公司总部 内部网络 未授权用户 办事处 IP报文转发机制 IP Packet IP Packet 网络层 数据链路层 规则查找机制 输入报文规则库 手工配置 规则生成机制 手工配置 规则生成机制 规则查找机制 输入报文规则库 由规则报文转发动作:丢弃或转发 由规则报文转发动作:丢弃或转发 IP报头 TCP报头 数据 协议号 源地址 目的地址 源端口 目的端口 对于TCP来说，这5个元素组成了一个TCP相关，访问控制列表就是利用这些元素定义的规则 列表的种类 数字标识的范围 IP standard list