TCSP-防火墙TOS3.3.005培训.pptVIP

在防火墙访问控制模块里配置两条策略，第一条源：内网 目的：any 服务：不选 是内网可以访问互联网的策略， 第二条源：any 目的：web服务器 服务选择HTTP PING 服务这里如果不选择则表示所有端口，如果选择则表示这有这两个端口允许访问，其他禁止。透明模式的案例介绍了安全策略中的区域权限和访问控制如何配置。最后我们需要注意的是此模式下防火墙不参与任何路由转发，因此不需要设置地址转换策略。 * 如例图，防火墙eth0 1 2接口分别和internet区域 内网区域 服务器区域连接 这3个区域分别为3个不通的IP网段，则配置防火墙时所有接口配置为路由模式，eth0接口IP为50，ETH1接口54，ETH2接口，我们来看一下应用需求，内网可以访问互联网，服务器对外网做映射映射地址为49，外网禁止访问内网，我们知道外网禁止访问内网在透明模式下可以通过配置区域的禁止权限来实现，那么路由模式一样，需要先配置所有区域的禁止的权限，，不过在路由模式中，由于内网这个网段是内网地址，在互联网上没有路由，而50是互联网上的地址，有路由，如果要求内网可以访问互联网是，则需要配置源地址转换，把内网这个网段地址转换成eth0口地址50，还要配置一条内网允许访问互联网的访问控制策略，同样当我们从互联网访问WEB服务器时，由于00也是内网地址在互联网没有路由，所以要映射成49这个互联网地址，在防火墙配置条目的地址转换，同时配置一条允许访问WEB服务器的访问控制策略。 * * 这里目的需要配置为web服务器内网地址，为什么这么配置 * 我们回到防火墙对数据包处理流程图，当防火墙接收到数据包后 首先先要进行目的地址转换，转换为了内网地址 然后才匹配地址转换策略，则访问控制这里目的地址需要配置为内网web服务器地址。 * 在防火墙访问控制模块里配置两条策略，第一条源：内部子网 目的：any 服务：不选 是内网允许访问互联网的策略， 第二条源：area_eth0 互联网区域 目的：web服务器 是互联网允许访问web服务器的 服务不选代表全部端口 * * 配置访问控制规则时需要注意两点： 1规则作用有顺序 2访问控制列表遵循第一匹配规则 ， 意思是在访问控制列表中，是按照从上到下的顺序匹配的，如果第一条规则匹配了，则不进行下面规则的匹配，建议把范围较小的规则放在列表上部。 本章节我会通过防火墙web管理页面给大家介绍，在日常运维中需要注意的地方。 * * 当前连接这里所显示的就是防火墙的连接表会话表，我们可以看到源地址，端口 目的地址，端口 协议 是以五元组的形式显示的 * * * 我们首先来看一下包过滤型防火墙的工作原理， 那么我们可以看出包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包包头源地址，目的地址、端口号确定 是否 允许通过。只有满足过 滤条件的数据包才被转发到相应的目的地，那么其余数据包就会被丢弃。  * 通过对数据包处理的过程可以看出应用代理型防火墙是工作在OSI的最高层，即应用层。 其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 * 这种类型的防火墙较大程度上的减少了传统的包过滤防火墙的大量开放端口等一些安全问题， 而且，由于对于已经建立连接的数据包常常不再进行相关策略的内容检查，数据包转发速度大大增加。 此外，对系统管理员而言配置策略时需要考虑的内容相对简单了一些，出错率降低。 目前天融信所有防火墙都是此工作原理。 * 状态检测型防火墙与前两种类型防火墙不同之处在于防火墙建立连接表， 那么连接表又是什么呢？ 当状态检测型防火墙将数据包转发后，在防火墙的连接表中会记录下数据包的相关信息， 这个信息就是连接表的内容，它是以五元组的方式记录的，结构为源IP地址，源端口，目的IP地址，目的端口和传数层协议号。 那么我们知道传输层有TCP、UPD两大协议，像UDP为无连接的，防火墙连接表直接记录连接状态，那么TCP的连接是双向的，防火墙必须遵守TCP三次握手的原则，来建立连接， 如图，A机在访问B机时，首先向B机发送了SYN的包，当B机收到这个SYN包后回复给A机一个SYN+ACK的回包，当A机收到这个SYN+ACK的回包后，再给B机回复一个ACK+1的包，这个过程就叫做TCP三次握手，防火墙记录了这三次握手的信息后，在连接表中建立这次TCP的连接状态。 我们天融信的防火墙都是基于此原理来工作的。 * 当完全内容检测型防火墙收到A机访问B机的数据包时，检查IP、TCP报头和数据包的全部内容，同时防火墙建立连接状态表。 我们天融信的防火墙也支持数据包中含有http、FTP、POP3、SMTP等应用层协议的完全内容检测。