04第4章-防火墙配置.docxVIP

o o o o °°oF j eV J Ooo 才o % 网络管理与维护技术 主编XXX 中国XXX出版社 O0Q° O 0。 O0Q ° O 0。 O 第4章防火墙配置 【本章要点】 承接口的安全级别、接口间互访规则 动、静态NAT与PAT NAT与DNS记录重写 心应用层协议检测 ICMP检测与控制 ?TCP报文规范化、拦截、连接数限制 预防IP欺骗 第4章防火墙配置 第4 第4章防火墙配置 第4 第4章防火墙配置 第4章防火墙配置 4.1基本概念与命令4-2应用举例4-3抵御网络攻击4.4综合举例之一一 4.1 基本概念与命令 4-2 应用举例 4-3 抵御网络攻击 4.4 综合举例之一一WWW服务器虚拟镜像与u「I重定向 4.5综合举例之二一网间“短接”技术方案设计 防火墙的主要功能是控制（允许或拒绝）网络间的流量，以保护敏感资源，使其 免遭攻击或窥探。用于连接不同的网络。 主要体现在两个方面：控制内部用户主动发起的向外连接，为网管提供灵活性； 允许外部用户主动取用对外发布的资源，为外网提供服务等。 目前的防火墙产品一般都提供多个物理接口。一般用一个接口连接内部网络、一 个接口连接外部网络，一个或多个接口用于连接运行对外服务的服务器，这些服 务器所在的区域一般称为DM乙 4-1 4-1基本概念与命令 4-1 4-1基本概念与命令 4.1.1接口的安全等级 4.1.2核心安全策略 4.1.3 NAT 4.1.4 4.1.5 4.1.6 ACL与网 络访问控制 静态路由、路由表 应用层协议检测 第4章防火墙配置 4-1.1 4-1.1接口的安全等级 第4 第4章防火墙配置 4-1.1 4-1.1接口的安全等级 第4 第4章防火墙配置 in terface GigabitEthernetO/O speed 1000 duplex full nameif outside security-level 0 interface GigabitEthernetO/1 nameif inside security-level 100 interface GigabitEthernetO/2 nameif dmz security-level 50 图4?1接口的安全等级 4-1-2 4-1-2核心安全策略 第4 第4章防火墙配置 4-1-2 4-1-2核心安全策略 第4 第4章防火墙配置 outside 响应 inside 外部主机 安全等级：低 默认情况下，防火墙的核心安全策略： 允许高安全级别主机主动发起与低安全等级主机的连接，并放行返回报文; k不允许低安全等级主机主动发送连接请求给高安全级别的主机。 请求 图4?2核心安全策略 对外服务器群 安全等级：中 STOP 请求 内部主机 安全等级：鬲 第4 第4章防火墙配置 第4 第4章防火墙配置 3.静态PAT 完成 10.021:8080到:80的静态映射: FW(config)# static (dmz,outside) tcp :80 图4?3多口 NAT FW(config)# access-list outside extended permit tcp any host eq www FW(config)# access-list inside extended deny tcp host eq www FW(config)# access-list inside extended permit ip any any FW(config)# access-group outside in interface outside FW(config)# access-group inside in interface inside  使用扩展ACL时，对TCP、UDP协议，可以使用下列操作符指定端口 号：It—小于，gt—大于，eq——等于，neq—不等于， range—指定一个数值区间，如“range 100 200。 低版本的防火墙，只允许在接口的in方向上应用ACL,高版本的防火 墙则无此限制。 第4章防火墙配置 第4章防火墙配置 4-1.5 4-1.5静态路由、路由表 第4 第4章防火墙配置 4-1.5 4-1.5静态路由、路由表 第4 第4章防火墙配置 路由处理过程 防火墙可工作在路由(Routed)或透明(Transparent)模式下。工 程中，一般选择路由模式。 在路由模式下: ＞外部网络可将防火墙理解为“router hop； 在防火墙内部，根据地址转换表(XLATE、静态映射)和路由表来路 由数据包的。 路由处理包括两个步骤: ＞根据该接口的路由表(而不是其他接口的路由表)发送数据包。 确定包应该送哪个接口 确定包应该送哪个接口 第4 第4章防火