防火墙讲义概览.ppt

防火墙技术、NAT、ASPF技术介绍 学习目标 掌握防火墙的基本概念和核心技术 掌握NAT的实现原理 掌握ALG(Application Level Gataway) 掌握ASPF(Application Special Packet Filter) 课程内容 第一章防火墙概述 第二章防火墙核心技术 课程内容 第三章 NAT技术原理 NAT的基本原理 NAT的四种实现方式 NAT实施中的一些注意事项 第三章 NAT技术原理 基本原理 修改数据包的源地址/端口和目的地址/端口 第三章 NAT技术原理 四种实现方式 1.静态地址转换(Static NAT ) 2.动态地址转换(Dynamic NAT) 3.复用地址转换(Overloading NAT) 4.重叠地址转换(Overlapping NAT) 第三章 NAT技术原理 静态地址转换(Static NAT ) 1.一对一地址转换 2.手工配置私有地址和公有地址的对应关系，一经配置，地址转换表永久存在。 3.NAT转换表： --- 第三章 NAT技术原理 动态地址转换(Dynamic NAT) 1.多对多地址转换 2.配置一个地址池，当需要地址转换的时候随机从地址池中选取一个地址。 3.NAT转换表： --- --- 。。。。。。。 第三章 NAT技术原理 复用地址转换(Overloading NAT) 1.一对多地址转换 ，PAT，EasyIP 2.多个私有地址使用同一个公有地址进行地址转换，在tcp和udp中使用(ip,port) 实现复用，在icmp中可以使用(ip,id)实现复用。 3.NAT转换表： ，1024 --- ，32768 ，1025 --- ，32769 。。。。。。。 第三章 NAT技术原理 重叠地址转换(Overlapping NAT ) 1。两个企业网合并的时候有可能出现两个企业使用相同私有地址的情况，这时需要把重叠的IP地址进行变换。 第三章 NAT技术原理 具有NAT功能时数据包的转发流程 第三章 NAT技术原理 NAT使用中的一些注意事项 1。当因为对数据包进行了修改，所以必须重新进行校验和计算。 2。数据包被分片后，只有第一个数据包带有端口号的信息，后续的碎片包只含有ip头的信息，所以后续的数据包无法进行地址转换，解决办法；先重组数据包，再做NAT，最后分片；或者根据ip头中的ID字段和M字段，建立碎片报文的状态表项，根据表项对后续的报文做NAT。 第三章 NAT技术原理 NAT使用中的一些注意事项 3。有些服务会根据cookie对数据包的源地址进行认证，所以在使用pool的时候会有问题。 4。当DNS服务器在内部时，外网用户解析到的地址将是私有地址，此时外网用户无法访问服务器，当DNS服务器在外部时，内网用户解析到的地址将是公有地址，此时内网用户无法访问服务器，需要对dns的报文进行相应的修改。 第三章 NAT技术原理 NAT使用中的一些注意事项 5。当pool中的地址和外网口的地址在同一段时，回应数据包的时候对端设备会请求pool中地址的mac地址，此时需要对arp模块进行相应的修改，使他以外网接口的mac地址回应这个arp请求；pool中的地址不是和外网口一个网段的时候可以指一条路由。 6。使用pool的时候，最好把pool的路由指向null接口防止nat表项丢失的时候产生路由环。 第三章 NAT技术原理 NAT使用中的一些注意事项 7。遇到pptp数据包穿越pat设备的时候，因为pptp数据包使用的是扩展的GRE封装，没有端口号，因此无法做地址转换，解决办法：使用一对一的地址转换。 8。在使用ipsec的时候，AH头要对数据包进行MD5摘要，而在传输的过程中nat对数据包进行了修改，因此对端会认为数据包被破坏，而丢弃此数据包，解决办法pudp，nat-t，即把认证和加密 过的数据包封装到新的udp数据包中，对 udp数据包做nat，此时要注意MTU 值的问题。 课程内容 第四章 ALG(Application Level Gataway) ALG(Application Level Gateway) NAT主要是通过对数据包的ip头中的ip地址和tcp(udp)头端口号进行修改，但是当一些应用协议的payload位中包含端口号或者ip地址的时候，常规的na