路由器防火墙基本原理及典型配置讲解.ppt-道客多多

资源描述

1、,路由器防火墙典型配置讲解,华为公司多媒体技术支援部,路由和路由协议简介第二章 NAT 第三章防火墙简介第四章课后作业,什么是路由器,简单的说就是在IP网络上连接不同子网，实现IP报文转发功能的设备每台路由器都有一张路由表，路由器就是根据路由表来进行IP报文转发的。Routing Tables:Destination/Mask Proto Pref Metric Nexthop Interface 0.0.0.0/0 Static 60 0 1.1.6.2 Tunnel6 1.1.6.0/30 Direct 0 0 1.1.6.2 Tunnel6 1.1.6.2/32 Direct

2、0 0 127.0.0.1 LoopBack0 10.0.0.0/8 Static 60 0 10.78.32.1 Ethernet0 10.78.32.0/23 Direct 0 0 10.78.32.84 Ethernet0 10.78.32.84/32 Direct 0 0 127.0.0.1 LoopBack0 127.0.0.0/8 Direct 0 0 127.0.0.1 LoopBack0 127.0.0.1/32 Direct 0 0 127.0.0.1 LoopBack0219.133.94.128/27 Direct 0 0 219.133.94.137 Ethernet1

3、219.133.94.137/32 Direct 0 0 127.0.0.1 LoopBack0,主机的处理过程,每台主机都有自己的路由表 Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 10.78.32.1 10.78.32.88 20 10.78.32.0 255.255.254.0 10.78.32.88 10.78.32.88 20 10.78.32.88 255.255.255.255 127.0.0.1 127.0.0.1 20 10.255.255.255 25

4、5.255.255.255 10.78.32.88 10.78.32.88 20 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 224.0.0.0 240.0.0.0 10.78.32.88 10.78.32.88 20 255.255.255.255 255.255.255.255 10.78.32.88 10.78.32.88 1 10.78.74.0 255.255.255.0 10.78.32.254 10.78.32.88 20 Default Gateway: 10.78.32.1 = 问题：上图中主机访问10.78.32.100、10.72.

5、58.72、10.78.74.100时分别会把报文转发给那个网关设备。,静态路由协议,路由器上配置 ip route-static 0.0.0.0 0.0.0.0 Tunnel 6 preference 60 ip route-static 10.0.0.0 255.0.0.0 10.78.32.1 preference 60 or ip route 0.0.0.0 0.0.0.0 202.112.0.63 ip route 192.168.0.0 255.255.255.0 172.16.16.1Windows route ADD 157.0.0.0 MASK 255.0.0.0 157.5

6、5.80.1,动态路由协议,路由协议也叫做动态选路协议，就是路由器获得路由表的过程。 RIP IGRP EIGRP OSPF等等都是路由协议,第一章路由和路由协议简介第二章 NAT 第三章防火墙简介第四章课后作业,什么是NAT,随着IP网络的普及，目前广泛应用的IPv4版本的ip地址出现严重不足，运行TCP/IP协议的设备原来越多，无法满足每个设备拥有一个IP地址的需求 NAT(Network Address Translation)网络地址转换，又称地址代理，用来实现私有网络地址与公有网络地址之间的转换。私有地址是指内部网络(局域网内部)的主机地址，而公有地址是局域网的外部地

7、址（在因特网上的全球唯一的IP地址）。因特网地址分配组织规定以下的三个网络地址保留用做私有地址： 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255 也就是说这三个网络的地址不会在因特网上被分配，但可以在一个企业（局域网）内部使用。,典型NAT组网,NAT的几种实现方式,Static NAT （静态地址映射）Dynamic NAT（动态地址映射）NAPT（Port Address Translation）（端口映射）,Static NAT,把私网地址转化为互联网地址，而且是一对

8、一的，私网内的一个地址总会被转换成一个固定的互联网地址。,Static NAT（续）,Static NAT（续）,在上例中client 192.168.0.2和192.168.0.3分别被转换为206.245.160.2和206.245.160.3。注意源地址发生了变化，而源端口并没有变化。而且这种转换关系是固定的。,Dynamic NAT,多个私网地址会被转换成多个公网地址，但这种转换关系是不确定的，并不能保证某个私网地址一定会被转换成某个公网地址。一般我们把这些公网地址成为地址池（nat pool）。,Dynamic NAT（续）,Dynamic NAT（续）,在上例中client

9、192.168.0.2和192.168.0.3分别被转换为206.245.160.5和206.245.160.6 注意源地址发生了变化，而源端口并没有变化。需要注意的是在动态NAT的情况下，这种地址映射的关系是会发生变化的,NAPT（Port Address Translation）,有时也称为Overloading，多个私网地址会被转换成一个个公网地址，同时端口也会转换成，以便区别不同的连接。,NAPT（续）,NAPT（续）,在上例中client 192.168.0.2和192.168.0.3都被映射为地址206.245.160.1，用于区别各通信连接的是端口号。注意源地址和源端口在NA

10、T后都发生的变化。需要注意的是在NAPT的情况下，这种地址和端口的映射关系是会发生变化的。,关于NAT 更多,RFC 1631: The IP Network Address Translator (NAT) RFC 1918: Address Allocation for Private Internets How nat works Cisco IPJ 2000 Volume 3 number 4,典型的NAT应用(1),Cisco PIX,nameif ethernet0 outside security0 nameif ethernet1 inside security100inte

11、rface ethernet0 auto interface ethernet1 autoip address outside 219.133.94.142 255.255.255.224 ip address inside 192.168.0.254 255.255.255.0global (outside) 1 219.133.94.142 nat (inside) 1 192.168.0.0 255.255.255.0 0 0route outside 0.0.0.0 0.0.0.0 219.133.94.137 1,Eudemon,# interface Ethernet0/0ip a

12、ddress 192.168.0.254 255.255.255.0 # interface Ethernet1/0ip address 219.133.94.142 255.255.255.224 # acl number 2001 rule 0 permit source 192.168.0.0 0.0.0.255 # firewall zone local set priority 100 # firewall zone trustadd interface Ethernet0/0set priority 85 # firewall zone untrustadd interface E

13、thernet1/0set priority 5 # firewall interzone local trust # firewall interzone trust untrustnat outbound 2001 interface Ethernet0/0/0 # ip route-static 0.0.0.0 0.0.0.0 219.133.94.137,配置NAT和NAPT,nat outbound 2001 interface Ethernet0/0/0nat outbound 2001 address-group 1nat outbound 2001 address-group

14、1 no-pat,端口映射表,disp firewall session table HTTP: vpn:0,192.168.0.11:2537219.133.94.142:36998218.30.66.49:80 HTTP: vpn:0,192.168.0.11:2554219.133.94.142:5627961.172.201.130:80 RAS: vpn:0,192.168.0.5:1719219.133.94.142:1719216.239.53.99:80 RAS: vpn:0,192.168.0.5:1719219.133.94.142:1719218.30.66.49:80

15、RAS: vpn:0,192.168.0.5:1719219.133.94.142:171961.172.201.130:80 RAS: vpn:0,192.168.0.5:1719219.133.94.142:1719-210.82.32.42:45224 RAS: vpn:0,192.168.0.5:1719219.133.94.142:1719-218.75.227.62:64470,老化时间,disp firewall session aging-time tcp protocol timeout:600 udp protocol timeout:120 icmp protocol t

16、imeout:20 fragment timeout:5 fin-rst protocol timeout:10 syn protocol timeout:5 h225 timeout:10800 h245 timeout:10800 h323-rtcp timeout:120 h323-rtp timeout:120 h323-t120 timeout:10800 ftp timeout:600 ftp-data timeout:240 hwcc timeout:120 ras timeout:600 http timeout:600 smtp timeout:600 telnet time

17、out:600 ,典型的NAT应用(2),地址映射和端口映射,static (inside, outside) 192.168.0.2 219.133.94.142 static (inside, outside) tcp 219.133.94.142 ftp 192.168.0.3 ftp netmask 255.255.255.255 0 0nat server global 219.133.94.142 inside 192.168.0.5 nat server protocol udp global 219.133.94.142 1719 inside 192.168.0. 1719,

18、第一章路由和路由协议简介第二章 NAT 第三章防火墙简介第四章课后作业,防火墙的基本功能,包过滤（Packet filtering）代理服务（Proxy service）状态检测（State inspection）,包过滤（Packet filtering）,包过滤是指针对IP包头进行过滤的方法，通过检测IP包头包括TCP或UDP包头的信息来决定是否允许报文通过，你可以定义允许或禁止源地址或目的地址为X的包通过，也可以允许或禁止某些端口的报文通过，或者将这些策略组合。对于防火墙的配置中，最多的部分就是包过滤部分，各种防火墙的设置方法可能不同，有的是命令行，有的是图形界面。但

19、是内容基本都是一致的，可以表达为：允许/禁止源地址目的地址协议（TCP/UDP）端口（目的端口） permit host 10.11.15.1 210.51.10.52 udp 1719 在上例中，一个连接的四个要素（源地址、源端口、目的地址、目的端口）只出现了3个，因为在连接建立时源端口大多是随机的，因此防火墙一般是不会根据源端口进行过滤的。,包过滤（续）,指的是对IP数据包的过滤。对路由器需要转发的数据包，先获取包头信息，包括IP层所承载的上层协议的协议号，数据包的源地址、目的地址、源端口、目的端口等，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。,代理服务

20、（Proxy service）,防火墙上基本都有代理（NAT）功能，有的实现了应用层代理（类似web proxy），有的仅仅配置成简单的NAT或NAPT。要注意分清应用层Proxy和NAT转换的区别，尤其是和用户交流的时候。,NAT中的细节,NAT工作在三层，对大多数应用程序而言是透明的，IE无需知道自己是直接在公网上还是经过NAT上公网的。上例中Internet Explorer运行在192.168.0.2/24，在整个http通信过程中只有一条TCP连接建立。在经过NAT设备前后源地址和源端口发生了改变。,Proxy中的细节,应用层的proxy实际上是建立两个连接，一个是client到pr

21、oxy的连接，一个是从proxy到Server的连接。从TCP层看，是两个不同的TCP连接。H323通信是无法穿越,代理服务（续）,虽然大多数防火墙都具备NAT或PAT的功能，但防火墙不一定要实现NAT功能，当我们说XX设备在防火墙后的时候，不一说明是经过NAT转换的。,状态检测（State inspection）,状态检测是指防火墙不仅仅根据网络层的信息进行报文过滤，同时根据四层以上的协议进行过滤，各个厂家的叫法可能不同，ASPF（Application Specific Packet Filter）或CBAC（Context-Based Access Control）。目前大多数防

22、火墙都提供了基于状态检测的防火墙，如防火墙内有一个FTP Server，要对外提供服务，你只需要开放TCP 21端口即可，因为FTP会话过程中使用的其他端口防火墙会动态开放。,应用层网关的配置,nat alg enable h323detect h323fixup protocol h323 h225 1720fixup protocol h323 ras 1718-1719,Access-list的配置,ACL是由permit或deny语句组成的一系列有顺序的规则，这些规则针对数据包的源地址、目的地址、端口号、上层协议或其他信息来描述。 ACL可用于包过滤、NAT、IPSec、QoS、路由等

23、说到底就是选择报文,Eudemon上ACL配置,acl number 3106 rule 5 permit tcp destination 192.168.0.253 0 destination-port eq 22 rule 10 permit tcp destination 192.168.0.253 0 destination-port eq www rule 15 permit udp destination 192.168.0.5 0 destination-port eq 1719 rule 20 permit udp destination 192.168.0.5 0 dest

24、ination-port eq 1729 rule 25 permit tcp destination 192.168.0.252 0 destination-port eq www rule 30 permit tcp destination 192.168.0.252 0 destination-port eq 3389 rule 35 permit icmp destination 192.168.0.5 0firewall interzone trust untrust packet-filter 3106 inbound packet-filter 2001 outbound nat

25、 outbound 2001 interface Ethernet0/0/0 detect ftp detect h323 detect msn问题：什么是inbound 什么是outbound？,内部Web服务器的配置,nat server protocol tcp global 219.133.94.142 www inside 192.168.0.5 www # interface Ethernet0/0ip address 192.168.0.254 255.255.255.0 # interface Ethernet1/0ip address 219.133.94.142 255.2

26、55.255.224 # acl number 2001 rule 0 permit source 192.168.0.0 0.0.0.255 # acl number 3100 rule 0 permit destination 192.168.0.5 destination-port www # firewall zone trustadd interface Ethernet0/0set priority 85 # firewall zone untrustadd interface Ethernet1/0set priority 5 # firewall interzone local trust # firewall interzone trust untrustpacket-filter 3100 inboundnat outbound 2001 interface Ethernet0/0/0 # ip route-static 0.0.0.0 0.0.0.0 219.133.94.137,第一章路由和路由协议简介第二章 NAT 第三章防火墙简介第四章课后作业,两种典型配置三种防火墙,PIXEudemonNetscreen,

展开阅读全文