安全网管技术 .pptxVIP

安全网管技术张焕杰中国科学技术大学网络信息中心james@0/~james/nmsTel: 3601897(O)第3章 网络隔离与防火墙技术(2)本章主要内容物理隔离技术与双网隔离计算机协议隔离技术防火墙技术包过滤防火墙Socks协议参考资料：计算机网络安全基础，袁津生等，人民邮电出版社包过滤防火墙状态包过滤 Stateful Firewall记录数据包的连接状态TCP: SYN_SENT, SYN_RECV, ESTABLISHED, TIME_OUT等，根据数据包的内容动态修改UDP: 无状态，第一个数据包触发创建一个新连接，后续的数据包刷新该连接，直到超时后连接信息被删除ICMP: 状态包过滤防火墙状态表连接，并发连接数超时协议SRCSportDSTDportstate状态的维护对于TCP，跟踪所有的数据包，依据TCP 有限状态机动态修改状态对于UDP等无连接协议，一定时间内没有数据就认为连接结束，实现时设置超时时间TCP也有超时处理包过滤防火墙状态过滤对所有已经建立的连接的数据包都允许（包括相关的连接的数据包）非法的数据包禁止管理员只要定义规则，判断新连接的数据包是否需要允许即可控制信息流简化了配置，方便了管理，提高了安全性地址转换NAT Network Address Translation对通过防火墙的数据包IP地址进行改变隐藏内部网络结构，提高安全性解决IPv4地址不足将正式地址和内部保留地址进行互相翻译10.*.*.*172.16.*.* – 172.31.*.*192.168.*.*比代理效率高地址转换NAT Network Address Translation适应所有IP通信重写IP地址1：1的映射类似直拨电话NAPT Network Address Port Translation只能处理TCP、UDP、ICMP通信重写IP地址和端口信息1:M的映射类似电话分机概念20NAT NAPT尽量使用NAT，基本上各种协议都可用解决IP地址不足时，往往要用到NAPT数据包内数据的处理NAT仅仅处理数据包头的信息有时不能有效工作数据包中包含的IP地址、端口信息需要同时修改DNS中的A和PTR查询/应答Netmeeting中的IP地址信息FTP PORT命令SIP协议等只有完全处理了这些信息，应用才能正确工作NAT的分类不同的产品的术语不同Linux下的NAT有两种实现在路由处理时修改IP地址，只能实现1:1的翻译，不处理任何其他数据，这种NAT工作方式不在本课程中讨论Netfilter/iptables下的地址转换，是一种NAPT实现，是重点NAT的分类对每个连接的第一个数据包的处理分类SNAT修改第一个连接包的源地址常用于把内部的IP地址转换成正式IP地址对外通信DNAT修改第一个连接包的目的地址常用于从外面访问内部的服务器地址换换 SNAT:1024 - :80:8133 -:80NAT设备客户机服务器:8133 - :80:1024 - :80内部网络外部网络源地址转换 SNAT地址换换 DNAT:80 - :1024:80 - :1024NAT设备服务器客户机:80 - :1024:80 - :1024内部网络外部网络目的地址转换 DNATNAT的分类CiscoInside source / Inside destinationOutside source / Outide destinationCisco更具体信息Deploying and Troubleshooting Network Address Translation: /~james/cw2003/NMS-2102.pdfnat 中的内定规则链进来的数据包发出的数据包PREROUTINGPOSTROUTING路由PREROUTING 处理DNAT规则POSTROUTING 处理SNAT规则本机例子Linux 配置echo 1 /proc/sys/net/ipv4/ip_forwardip add add /24 dev eth0ip addr add /24 dev eth1ip link set eth0 upip link set eth1 upip route add 0/0 via iptables –t nat –A POSTROUTING –j SNAT –to –o eth0复杂的设置#1增加一个IP地址, 含义是让Linux能接收到发送给的数据包，以便进行地址转换ip addr add dev eth0?#2将所有发送给的数据包，转换成发送给iptables -t nat -A PREROUTING -j DNAT –d --to #3将所有由发出的数据包，转换成由发出iptables -t nat