网络安全解决方案-防火墙

网络安全解决方案-防火墙－2－内容提纲防火墙基本概念NAT+ACL运行模式环境模式冗余和负载均衡故障恢复防火墙热备份数据配置示例－3－防火墙-基本概念防火墙功能1、保护内部网络免予外部网络的攻击2、VPN服务(IPsecVPN,SSLVPN)3、NAT防火墙分类(物理实体上分类)：1、软件防火墙2、硬件防火墙－4－防火墙-基本概念保护内部网络的方式1、流量过滤（ACL）2、深度流量检测3、抗病毒保护（入侵保护系统IPS）注释：1、流量过滤的基本原则：许可从高安全级别到低安全级别的任何流量，除非有明确的访问控制拒绝；拒绝从低安全级别到高全级别的任何流量，除非有明确的访问控制许可（不考虑NAT控制的情况下）。2、所谓深度分组检测是指除了检测四元组（源/目IP地址，源/目端口号）外，还检测应用层是否遵从相应标准化组织的标准/规范，比如说RFC相关标准，H.323等ITU-T相关标准。应用检测引擎应用端口是否可被修改为非标准端口默认端口遵从的标准DNS否UDP/53RFC1123FTP是TCP/21RFC-959H.323是TCP/1720UDP/1718ITU-TH.323/H.225.0/Q.931/Q.932HTTP是TCP/80RFC2616SIP是TCP/5060UDP/5060RFC2543－5－防火墙-基本概念安区区域：1、可信的或受保护区域/不可信的或未受保护区域2、DMZ区域（非军事化区域）路由模式下才有这个区域GGSN1可信区域/高安区级区域运营商托管服务器等DMZ区域Internet不可信任区域/低安全级别区域注释：1、DMZ区域：这个区域由于所辖设备的性质需要和其它区域进行隔离；同时这个区域又不允许实行太严格的安全策略－6－防火墙-基本概念安区区域配置简单举例：1、FW1（config）#interfaceEthernet1//进入接口配置模式slot/port2、FW1（config-if）#nameifinside//命名接口3、FW1（config-if）#security-level100//配置接口安全级别4、FW1（config-if）#ipaddress10.1.1.1255.255.255.0//配置接口IP地址5、FW1（config-if）#noshutdown//启用接口深度检测配置简单举例：1、FW1（config）#ipinspectnamemyfirewallhttp//命名一个检测规则名2、FW1（config）#ipinspectnamemyfirewallftp3、FW1（config）#ipinspectnamemyfirewallsmtp4、FW1（config）#interfaceEthernet1//进入接口配置模式5、FW1（config-if）#ipinspectmyfirewallin//对接口入流量做深度检测－7－防火墙-基本概念抗病毒攻击举例：非分布式DOS攻击：为了防止DOS等大量发起会话迫使服务器，防火墙瘫痪的攻击，防火墙采用了检测会话状态统计未完成会话的数量以及设定超时值/阈值来防止攻击对于TCP,统计未完成三次握手的会话数量对于UDP，统计没有检测到返回流量的会话数量。当达到超时值/阈值时，防火墙将删除原有的部分连接以及后续的连接，使得连接数量达到一个合理值。－8－防火墙-基本概念非对称路由防火墙为通过它的分组建立状态连接信息表，使用这些信息可以保证只有属于合法的分组才能进入高安区区域，因此常规情况下，来自或者到达专用网络的所有流量的出口点和入口点必须经过同一个防火墙，这叫做对称路由，如果不是这样，防火墙就有可能拦截属于合法连接的分组，这种合法连接开始于内部网络，原因是防火墙没有这个分组的状态信息，这种情形叫做非对称路由非对称路由选择的支持：如果防火墙没有返回流量的连接状态信息，但它可以把此流量转发到有此连接信息的单元，这种我们叫做防火墙支持非对称路由选择。－9－防火墙-NATNAT控制1、当禁用NAT控制时，在没有配置NAT规则的情况下，防火墙把所有分组从安全等级较高的接口转发至安全等级较低的接口。从安全等级较低的接口到安全等级较高的接口流量需要经过访问列表的许可。2、当启用NAT控制时，必须使用NAT，接口流量必须和NAT规则匹配，否则拒绝分组。3、启用NAT控制命令FW（config）#nat-contral4、禁用NAT控制命令FW（config）#nonat-contral－10－防火墙-NATNAT设备执行以下2个操作：1、用目的网络可路由的映射地址代替一个真实地址2、对返回流量不做转换//查寻已经建立的SessionNAT分类：1、动态NAT，地址池，单向发起通信(nat+global)动态NAT把一组真正主机地址转换为注册地址池内的地址，转换地址在会话连接时间内一直有效，直到会话终止，只能用于单向发起通信2、动态PAT，单向发起通信(nat+global)动态NAT把一组原IP地址结合他们的应用端口号映射到一个单一IP地址和一个1024以上的独特端口号动态NAT/PAT应用：分组网GiINTERNETMS地址转换：FW1（config）#nat(inside)1172.16.0.0255.255.255.0//内部地址配置FW1（config）#global(outside)1220.206.229.1-220.206.229.6//NAT外部映射地址配置FW1（config）#global(outside)1220.206.229.7//PAT配置－11－防火墙-NATNAT分类：3、静态NAT静态NAT创造了一个真实地址到映射地址的一对一转换，可以双向发起通信4、静态PAT静态PAT与静态NAT类似，不同的是静态PAT转换时结合了第4层端口信息，允许双向发起通信静态NAT配置举例：FW1(config)#interfaceEthernet0FW1(config-if)#ipnatinsideFW1(config)#interfaceEthernet1FW1(config-if)#ipnatoutsideFW1(config)#static（inside，outside）192.168.0.1209.165.200.225netmask255.255.255.255静态PAT配置举例：FW1(config)#static（inside，outside）tcp192.168.0.1http209.165.200.225netmask255.255.255.255FW1(config)#static（inside，outside）tcp192.168.0.2smtp209.165.200.225netmask255.255.255.255－12－防火墙-NAT启用NAT控制时绕过NAT：1、身份NAT（nat0,单向发起通信）身份NAT把真实地址转换为相同的映射IP地址，单向通信2、静态身份NAT（双向发起通信）静态身份NAT与身份NAT类似，只不过允许双向发起通信3、NAT豁免（带ACL的nat0，双向发起通信）4、配置举例：4.1身份NAT:FW1(config)#nat(inside)0192.168.1.0255.255.255.04.2静态身份NAT：FW1(config)#static(inside,outside)192.168.1.1192.168.1.1netmask255.255.255.2554.3NAT豁免：FW1(config)#access-listnoNatpermitip192.168.1.0255.255.255.0anyFW1(config)#nat(inside)0access-listnoNat－13－防火墙-NAT策略NAT（根据原地址+目的地址制定NAT）：1、使用访问控制列表制定策略NAT2、配置举例：FW(config)#ipaccess-listextendedpolicy1permitip10.1.1.0255.255.255.0172.16.1.0255.255.255.0FW(config)#ipaccess-listextendedpolicy2permitip10.1.1.0255.255.255.0192.168.1.0255.255.255.0FW(config)#nat(inside)1access-listpolicy1FW(config)#global(outside)1209.165.201.1FW(config)#nat(inside)2access-listpolicy2FW(config)#global(outside)2209.165.201.2－14－防火墙-ACLACL主要功能：1、控制流量和网络访问2、提供一些控制策略：常用ACL分类：1、标准ACL：标准ACL对比分组源地址和ACL中配置的地址检查流量（1-99.1300-1999）access-listaccess-list-number（deny|permit）sourcesource-wildcard2、扩展ACL：扩展ACL根据原/目的地址，制定协议，端口号和标志过滤更具体的流量（100-199，2000-2699）access-listaccess-list-number（deny|permit）protocolsourcesource-wildcarddestinationdestination-wildcard3、IP命名ACL:给ACL命名ipaccess-list（standard|extended）access-list-nameACL配置步骤：1、创建一个ACL2、将ACL应用到接口－15－防火墙-ACLACL配置示例：1、命名扩展ACL配置FW1(config)#ipaccess-listextendedsong-aclpermittcpanyhost172.16.1.1eqsmtppermittcpanyanyeqdomainpermitudpanyanyeqdomainpermiticmpanyany//定义扩展命名ACLFW1(config)#intefaceSerial0FW1(config-if)#ipaccess-groupsong-aclin//将ACL应用到接口并配置方向2、利用对象组简化ACL(协议，网络，服务对象组)FW1(config)#object-groupnetworkdenyhostsFW1(config-network)#network-objecthost10.1.1.13FW1(config-network)#network-object10.1.2.0255.255.255.0FW1(config-network)#network-object10.1.3.0255.255.255.0FW1(config-network)#object-groupnetworkwebsererFW1(config-network)#nerwork-objecthost209.165.201.1FW1(config-network)#nerwork-objecthost209.165.201.2FW1(config)#access-list101denytcpobject-groupdenyhostsobjectwebservereq(config)#access-list101permitipanyany//应用到接口略－16－防火墙-运行模式防火墙路由模式路由模式下，防火墙可以作为网络中路由器的下一跳，在单环境模式下可以启用OSPF等动态路由协议，在路由模式下可以使用多个接口，每个接口位于不同的子网。路由模式一般是防火墙的默认模式InternetUpstreamRouter10.1.2.2/2410.1.1.3客户端A10.1.1.4客户端B10.1.1.5客户端C10.1.1