Chapter 11 网络安全技术.ppt

1、Chapter 11 网络安全技术,华为网络技术培训中心,学习目标,掌握一般防火墙技术 掌握地址转换技术,学习完本课程，您应该能够：,课程内容,第一节 防火墙 第二节 地址转换,防火墙示意图,Internet,公司总部,内部网络,未授权用户,办事处,路由器实现防火墙功能,IP报文转发机制,IP Packet,IP Packet,网络层,数据链路层,规则查找机制,输入报文规则库,手工配置,规则生成机制,手工配置,规则生成机制,规则查找机制,输入报文规则库,由规则报文转发动作:丢弃或转发,由规则报文转发动作:丢弃或转发,ACL的机理,一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）：,

2、ACL的分类,利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类,标准访问控制列表的配置,配置标准访问列表的命令格式如下： acl acl-number match-order config | auto rule normal | special permit | deny source source-addr source-wildcard | any ,怎样利用 IP 地址 和 反掩码wildcard-mask 来表示 一个网段?,如何使用反掩码,反掩码和子网掩码相似，但写法不同： 0表示需要比较 1表示忽略比较 反掩码和IP地址结合使用，可以描述一个地址范围。,扩展访问控制列

3、表的配置命令,配置TCP/UDP协议的扩展访问列表： rule normal | special permit | deny tcp | udp source source-addr source-wildcard | any source-port operator port1 port2 destination dest-addr dest- wildcard | any destination-port operator port1 port2 logging 配置ICMP协议的扩展访问列表： rule normal | special permit | deny icmp source

4、 source-addr source-wildcard | any destination dest-addr dest- wildcard | any icmp-type icmp-type icmp-code logging 配置其它协议的扩展访问列表： rule normal | special permit | deny ip | ospf | igmp | gre source source-addr source-wildcard | any destination dest-addr dest- wildcard | any logging,扩展访问控制列表操作符的含义,扩展访

5、问控制列表举例,rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type 5 1,rule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 equal www log,129.9.0.0/16,TCP报文,202.38.160.0/24,WWW 端口,问题: 下面这条访问控制列表表示什么意思? rule deny udp source 129.9.8.0 0.0.0.255 destination 202.38.160

6、.0 0.0.0.255 greater-than 128,访问控制列表配置举例,Internet,FTP 服务器 129.38.1.1,Telnet 服务器 129.38.1.2,WWW 服务器 129.38.1.3,公司内部局域网,129.38.1.5,129.38.1.4,202.38.160.1,特定的外部用户,访问控制列表配置举例,Quidwayfirewall enable Quidwayfirewall default permit Quidwayacl 101 Quidway-acl-101rule deny ip source any destination any Quid

7、way-acl-101rule permit ip source 129.38.1.4 0 destination any Quidway-acl-101rule permit ip source 129.38.1.1 0 destination any Quidway-acl-101rule permit ip source 129.38.1.2 0 destination any Quidway-acl-101rule permit ip source 129.38.1.3 0 destination any Quidwayacl 102 Quidway-acl-102rule permi

8、t tcp source 202.39.2.3 0 destination 202.38.160.1 0 Quidway-acl-102rule permit tcp source any destination 202.38.160.1 0 destination-port great-than 1024 Quidway-Ethernet0firewall packet-filter 101 inbound Quidway-Serial0firewall packet-filter 102 inbound,ASPF技术,FTP 客户端,内部接口,ASPF路由器,FTP 服务器,外部接口,TC

9、P SYN Flooding攻击图示,攻击者,ASPF路由器,服务器,正常用户,b,C,a,S=c, d=a; TCP SYN: dport:ftp,sport:1001,S=a, d=c; TCP SYN ACK: dport:1001,sport:ftp,S=c, d=a; TCP ACK: dport:ftp,sport:1001,S=X1, d=a; TCP SYN: dport:ftp,sport:1001,S=a, d=X1; TCP SYN ACK: dport:1001,sport:ftp,S=Xn, d=a; TCP SYN: dport:ftp,sport:1001,S=a

10、, d=Xn; TCP SYN ACK: dport:1001,sport:ftp,OK,分配资源,等待回应、,分配资源、,等待回应,、,课程内容,第一节 防火墙 第二节 地址转换,地址转换的提出背景,地址转换是在IP地址日益短缺的情况下提出的。 一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的IP地址，为了到达所有的内部主机都可以连接Internet网络的目的，可以使用地址转换。 地址转换技术可以有效的隐藏内部局域网中的主机，因此同时是一种有效的网络安全保护技术。 同时地址转换可以按照用户的需要，在内部局域网内部提供给外部FTP、WWW、Telnet服务。,私有地址和公有地址,I

11、nternet,192.168.0.1,192.168.0.2,192.168.0.1,LAN1,LAN2,LAN3,私有地址范围： 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255,地址转换的原理,Internet,局域网,PC2,PC1,IP:10.0.0.1 Port:3000,IP 报文,IP:202.0.0.1 Port:4000,IP:10.0.0.2 Port:3010,IP:202.0.0.1 Port:4001,地址转换,利用ACL控制地址转换,可以使用访问控

12、制列表来决定那些主机可以访问Internet，那些不能。,Internet,局域网,PC2,PC1,设置访问控制列表控制pc1可以通过地址转换访问Internet,而pc2则不行。,Easy IP特性,Easy IP：在地址转换的过程中直接使用接口的IP地址作为转换后的源地址。,Internet,局域网,PC2,PC1,PC1 和 PC2 可以直接使用 S0接口的IP 地址作为地址转换后的公用IP地址,S0:202.0.0.1,使用地址池进行地址转换,地址池用来动态、透明的为内部网络的用户分配地址。它是一些连续的IP地址集合，利用不超过32字节的字符串标识。 地址池可以支持更多的局域网用户同时

13、上Internet。,Internet,局域网,PC2,PC1,202.38.160.1 202.38.160.2 202.38.160.3 202.38.160.4,地址池,内部服务器的应用,Internet,内部服务器,外部用户,E0,Serial 0,内部地址:10.0.1.1 内部端口:80,外部地址:202.38.160.1 外部端口:80,IP:202.39.2.3,配置地址转换: IP地址: 10.0.1.1202.38.160.1 端口: 8080,NAT（内网外网实现流程,Internet,内部网络,10.0.0.0/8,10.0.0.1,NAT路由器,公用地址池,202.0

14、.0.1 202.0.0.2,202.0.0.1,DI:6.1.128.1,SI:10.0.1.1 DP:21,SP:1001,DI:6.1.128.1,SI:202.0.0.1 DP:21,SP:1001,DI:10.0.1.1,SI:6.1.128.1 DP:1001,SP:21,NAT路由器查找地址表,NAT路由器增加地址转换表项,1,2,3,4,5,NAT（外网内网实现流程,Internet,内部网络,10.0.0.0/8,10.0.0.1,NAT路由器,公用地址池,202.0.0.1 202.0.0.2,202.0.0.1,DI:202.0.0.1,SI:6.1.128.1 DP:2

15、1,SP:1044,DI:6.1.128.1,SI:10.0.0.1 DP:1044,SP:21,DI:10.0.1.1,SI:6.1.128.1 DP:1001,SP:21,路由器查找地址转换表并实施地址转换,路由器查找地址转换表并实施地址转换,1,2,3,4,5,FTP客户,FTP服务器,6,静态配置地址转换表项,DI:10.0.1.1,SI:6.1.128.1 DP:21,SP:1044,地址转换配置举例,Internet,FTP 服务器,WWW 服务器1,WWW 服务器2,内部PC,10.110.10.100,S0,外部PC,内部PC,10.110.12.100,SNMP 服务器,10

16、.110.10.1,10.110.10.2,10.110.10.3,10.110.10.4,地址转换配置举例,Quidway nat address-group 202.38.160.101 202.38.160.103 pool1 Quidway acl 1 Quidway-acl-1rule permit source 10.110.10.0 0.0.0.255 Quidway-acl-1rule deny source any Quidway-acl-1int serial 0 Quidway-Serial0 nat outbound 1 address-group pool1 Quid

17、way-Serial0 nat server global 202.38.160.101inside 10.110.10.1 ftp tcp Quidway-Serial0 nat server global 202.38.160.102inside 10.110.10.2 www tcp Quidway-Serial0 nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp Quidway-Serial0 nat server global 202.38.160.103 inside 10.110.10.4 smtp udp,小结,防火墙基本概念 访问控制列表(ACL)和ASPF 地址转换技术(NAT),