网络安全员培训防火墙技术精要推荐课件.ppt

第六章 防火墙技术 什么是防火墙什么是防火墙古代人们在房屋之间修建的一道防止火灾发生时火势蔓延的砖墙 防火墙作为安全防护体系中的一个重要组成部分，一般配置于网关的防火墙作为安全防护体系中的一个重要组成部分，一般配置于网关的位置，主要防范围网络层的威胁（扫描攻击、漏洞溢出攻击、拒绝服位置，主要防范围网络层的威胁（扫描攻击、漏洞溢出攻击、拒绝服务攻击等）务攻击等）。什么是防火墙什么是防火墙防火墙的定义防火墙的定义l隔离内部网络与外界网络的一道安全防御系统隔离内部网络与外界网络的一道安全防御系统l网络安全最主要和最基本的基础设施网络安全最主要和最基本的基础设施l不会妨碍人们对风险区域的访问不会妨碍人们对风险区域的访问内部网络内部网络InternetInternetInternet什么是防火墙什么是防火墙防火墙的基本概念防火墙的基本概念l 数据包过滤：检查数据包过滤：检查IP数据包决定允许和拒绝。数据包决定允许和拒绝。l 代理服务器：负责数据的转发。代理服务器：负责数据的转发。l 状态检测：根据事先确定合法过程模式，判断非法与合法。状态检测：根据事先确定合法过程模式，判断非法与合法。l DMZ区：隔离区或非军事区。区：隔离区或非军事区。l 隧道路由器：通过加密实现安全通过非安全网络。隧道路由器：通过加密实现安全通过非安全网络。l 虚拟专用网：使用隧道路由器连接的网络。虚拟专用网：使用隧道路由器连接的网络。l IP地址欺骗地址欺骗/DNS欺骗欺骗防火墙的主要作用防火墙的主要作用1 1、过滤进出网络的数据包、过滤进出网络的数据包2 2、管理进出网络的访问行为、管理进出网络的访问行为3 3、封堵某些禁止的访问行为、封堵某些禁止的访问行为4 4、记录通过防火墙的信息内容和活动、记录通过防火墙的信息内容和活动5 5、对网络攻击进行检测和告警、对网络攻击进行检测和告警防火墙的局限性防火墙的局限性1 1、不能防范不经过防火墙的攻击、不能防范不经过防火墙的攻击2 2、不能解决来自内部网络的攻击和安全问题、不能解决来自内部网络的攻击和安全问题3 3、不能防止策略配置不当或错误配置引起的安全威胁、不能防止策略配置不当或错误配置引起的安全威胁4 4、不能防止可接触的人为或自然的破坏、不能防止可接触的人为或自然的破坏5 5、不能防止利用标准网络协议设计缺陷的攻击、不能防止利用标准网络协议设计缺陷的攻击6 6、不能防止利用服务器漏洞进行的攻击、不能防止利用服务器漏洞进行的攻击7 7、不能防止受病毒感染的文件的传输、不能防止受病毒感染的文件的传输8 8、不能防止数据驱动式攻击、不能防止数据驱动式攻击9 9、不能防止内部的泄密行为、不能防止内部的泄密行为1010、不能防止本身的安全漏洞和威胁、不能防止本身的安全漏洞和威胁主机主机A主机主机B人力资源网络人力资源网络研发网络研发网络使用使用ACL阻止某指定网络访问另一指定网络阻止某指定网络访问另一指定网络 基于路由器的防火墙基于路由器的防火墙其实防火墙的完成主要是靠访问控制列表其实防火墙的完成主要是靠访问控制列表(ACL)(ACL)的控制策的控制策略。那么什么是访问控制列表呢？略。那么什么是访问控制列表呢？基于路由器的防火墙基于路由器的防火墙特点：特点：l 利用路由器本身对分组的解析，以访问控制表方式实现对分组的过滤利用路由器本身对分组的解析，以访问控制表方式实现对分组的过滤l 过滤依据：过滤依据：IPIP地址，端口号，地址，端口号，ICMPICMP报文类型等报文类型等l 只有分组过滤的功能，路由器与防火墙一体（安全要求较低环境）只有分组过滤的功能，路由器与防火墙一体（安全要求较低环境）缺陷：缺陷：l 路由器本身具有安全漏洞路由器本身具有安全漏洞l 配置复杂配置复杂l 伪造伪造IPIP欺骗防火墙欺骗防火墙l 降低路由器的性能降低路由器的性能用户化的防火墙用户化的防火墙特点：特点：l 过滤功能独立，并加上审计和告警的功能过滤功能独立，并加上审计和告警的功能l 根据用户需求，提供模块化设计根据用户需求，提供模块化设计l 软件可通过网络发送，用户可以自己手动构造防火墙软件可通过网络发送，用户可以自己手动构造防火墙缺陷：缺陷：l 配置和维护复杂配置和维护复杂l 用户技术要求高用户技术要求高l 全软件实现，安全性和处理速度有局限全软件实现，安全性和处理速度有局限l 实践表明，使用中出现差错的情况很多实践表明，使用中出现差错的情况很多通用操作系统的防火墙通用操作系统的防火墙特点：特点：l 批量上市的防火墙专用产品批量上市的防火墙专用产品l 包括分组过滤或者借用路由器的分组过滤功能包括分组过滤或者借用路由器的分组过滤功能l 有专用的代理系统，监控所有协议的数据和指令有专用的代理系统，监控所有协议的数据和指令l 保护用户编程空间和用户可配置内核参数的设置保护用户编程空间和用户可配置内核参数的设置l 安全性和速度大为提高安全性和速度大为提高缺陷：缺陷：l 因操作系统缘故，安全性和保密性无从保护因操作系统缘故，安全性和保密性无从保护l 通用操作系统的厂商不会对操作系统的安全负责通用操作系统的厂商不会对操作系统的安全负责l 即要防止外部攻击，还要防止通用操作系统厂商的攻击即要防止外部攻击，还要防止通用操作系统厂商的攻击l 安全支持需要操作系统厂商和防火墙厂商同时提供安全支持需要操作系统厂商和防火墙厂商同时提供安全操作系统的防火墙安全操作系统的防火墙特点：特点：l 防火墙厂商具有操作系统源码，可实现安全内核防火墙厂商具有操作系统源码，可实现安全内核l 可以从内核来定制操作系统并实现加固可以从内核来定制操作系统并实现加固l 对每个服务器和子系统都作了安全处理对每个服务器和子系统都作了安全处理l 有分组过滤，应用网关，电路级网关，加密和鉴别功能有分组过滤，应用网关，电路级网关，加密和鉴别功能l 透明性好，易于使用透明性好，易于使用包过滤型防火墙包过滤型防火墙 根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配滤规则匹配过滤规则是根据数据包的报头信息进行定义的过滤规则是根据数据包的报头信息进行定义的“没有明确允许的都被禁止没有明确允许的都被禁止”7 应用层6 表示层3 网络层防火墙检查模块4 传输层5 会话层2 数据链路层1 物理层IPTCPSessionApplication Data与过滤规则匹配吗审计/报警还有另外的规则吗转发包吗发送NACK丢弃包结束通过分析通过分析IPIP数据包包头信息，进行判断（这里数据包包头信息，进行判断（这里IPIP所承载的上所承载的上层协议为层协议为TCPTCP）IPIP报头报头报头报头TCPTCP报头报头报头报头数据数据数据数据源地址源地址源地址源地址目的地址目的地址目的地址目的地址源源源源端口端口端口端口目的端口目的端口目的端口目的端口访问控制列表利用这访问控制列表利用这访问控制列表利用这访问控制列表利用这4 4个或更个或更个或更个或更多元素定义的规则多元素定义的规则多元素定义的规则多元素定义的规则访问控制列表的工作原理访问控制列表的工作原理匹配匹配匹配匹配下一步下一步下一步下一步拒绝拒绝拒绝拒绝允许允许允许允许允许允许允许允许允许允许允许允许到达访问控制组接口的数据包到达访问控制组接口的数据包到达访问控制组接口的数据包到达访问控制组接口的数据包匹配匹配匹配匹配第一步第一步第一步第一步目的接口目的接口目的接口目的接口隐含的隐含的隐含的隐含的拒绝拒绝拒绝拒绝丢弃丢弃丢弃丢弃丢弃丢弃Y YY YY YY YYY YY YN NN NNN N匹配匹配匹配匹配下一步下一步下一步下一步拒绝拒绝拒绝拒绝拒绝拒绝拒绝拒绝拒绝拒绝拒绝拒绝防火墙对访问控制列表的处理过程防火墙对访问控制列表的处理过程进入数据包进入数据包进入数据包进入数据包源地址源地址源地址源地址匹配吗？匹配吗？匹配吗？匹配吗？有更多有更多有更多有更多 条目吗？条目吗？条目吗？条目吗？应用条件应用条件应用条件应用条件拒绝拒绝拒绝拒绝允许允许允许允许是是是是是是是是否否否否是是是是否否否否IcmpIcmp消息消息消息消息转发数据包转发数据包转发数据包转发数据包接口上有访问接口上有访问接口上有访问接口上有访问控制列表吗？控制列表吗？控制列表吗？控制列表吗？列表中的列表中的列表中的列表中的下一个条目下一个条目下一个条目下一个条目否否否否访问控制列表的入与出访问控制列表的入与出外出数据包外出数据包外出数据包外出数据包查找路由表查找路由表查找路由表查找路由表接口上有访问接口上有访问接口上有访问接口上有访问控制列表吗？控制列表吗？控制列表吗？控制列表吗？源地址匹配吗？源地址匹配吗？源地址匹配吗？源地址匹配吗？拒绝拒绝拒绝拒绝允许允许允许允许列表中的列表中的列表中的列表中的下一个条目下一个条目下一个条目下一个条目是是是是是是是是转发数据包转发数据包转发数据包转发数据包IcmpIcmp消息消息消息消息否否否否否否否否否否否否 有更多条目吗？有更多条目吗？有更多条目吗？有更多条目吗？应用条件应用条件应用条件应用条件是是是是访问控制列表的入与出访问控制列表的入与出标准访问控制列表标准访问控制列表3-13-1标准访问控制列表标准访问控制列表n根据数据包的源根据数据包的源IPIP地址来允许或拒绝数据包地址来允许或拒绝数据包n访问控制列表号从访问控制列表号从1 1到到9999标准访问控制列表标准访问控制列表3-23-2标准访问控制列表只使用源地址进行过滤，表明是允许还是标准访问控制列表只使用源地址进行过滤，表明是允许还是拒绝拒绝从从从从172.16.4.0/24172.16.4.0/24来的数据包可以来的数据包可以来的数据包可以来的数据包可以通过！通过！通过！通过！从从从从172.16.3.0/24172.16.3.0/24来的数据包不能来的数据包不能来的数据包不能来的数据包不能通过！通过！通过！通过！路由器路由器路由器路由器如果在访问控制列表中有的话如果在访问控制列表中有的话如果在访问控制列表中有的话如果在访问控制列表中有的话应用条件应用条件应用条件应用条件拒绝拒绝拒绝拒绝允许允许允许允许更多条目？更多条目？更多条目？更多条目？列表中的下一个条目列表中的下一个条目列表中的下一个条目列表中的下一个条目否否否否 有访问控制列表吗？有访问控制列表吗？有访问控制列表吗？有访问控制列表吗？源地址源地址源地址源地址不匹配不匹配不匹配不匹配是是是是匹配匹配匹配匹配是是是是否否否否IcmpIcmp消息消息消息消息转发数据包转发数据包转发数据包转发数据包标准访问控制列表标准访问控制列表3-33-3标准访问控制列表的配置标准访问控制列表的配置第一步，使用第一步，使用access-listaccess-list命令创建访问控制列表命令创建访问控制列表第二步，使用第二步，使用ip access-groupip access-group命令把访问控制列表应用到某接命令把访问控制列表应用到某接口口Router(config)#access-list access-list-number permit|deny source source-wildcard logRouter(config-if)#ip access-group access-list-number in|out 标准标准ACLACL应用：允许特定源的流量应用：允许特定源的流量2-12-1172.16.3.0172.16.4.0Non-172.16.0.0E0E1S0172.16.4.13标准标准ACLACL应用：允许特定源的流量应用：允许特定源的流量2-22-2第一步，创建允许来自第一步，创建允许来自172.16.0.0172.16.0.0的流量的的流量的ACLACL第二步，应用到接口第二步，应用到接口E0E0和和E1E1的出方向上的出方向上 Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group 1 outRouter(config)#interface fastethernet 0/1Router(config-if)#ip access-group 1 out标准标准ACLACL应用：拒绝特定主机的通信流量应用：拒绝特定主机的通信流量第一步，创建拒绝来自第一步，创建拒绝来自172.16.4.13172.16.4.13的流量的的流量的ACLACL第二步，应用到接口第二步，应用到接口E0E0的出方向的出方向Router(config)#access-list 1 deny host 172.16.4.13 Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group 1 out anyany标准标准ACLACL应用：拒绝特定子网的流量应用：拒绝特定子网的流量第一步，创建拒绝来自子网第一步，创建拒绝来自子网172.16.4.0172.16.4.0的流量的的流量的ACLACL第二步，应用到接口第二步，应用到接口E0E0的出方向的出方向Router(config)#access-list 1 deny 172.16.4.0 0.0.0.255Router(config)#accesslist 1 permit anyRouter(config)#interface fastethernet 0/0Router（config-if）#ip access-group 1 out0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 扩展访问控制列表扩展访问控制列表4-14-1扩展访问控制列表扩展访问控制列表n基于源和目的地址、传输层协议和应用端口号进行过滤基于源和目的地址、传输层协议和应用端口号进行过滤n每个条件都必须匹配，才会施加允许或拒绝条件每个条件都必须匹配，才会施加允许或拒绝条件n使用扩展使用扩展ACLACL可以实现更加精确的流量控制可以实现更加精确的流量控制 n访问控制列表号从访问控制列表号从100100到到199 199 扩展访问控制列表扩展访问控制列表4-24-2扩展访问控制列表使用更多的信息描述数据包，表明扩展访问控制列表使用更多的信息描述数据包，表明是允许还是拒绝是允许还是拒绝从从172.16.3.0/24来的来的,到到172.16.4.13的，的，使用使用TCP协议，协议，利用利用HTTP访问的访问的数据包可以通过！数据包可以通过！路由器路由器 有访问控制列表吗？有访问控制列表吗？有访问控制列表吗？有访问控制列表吗？源地址源地址源地址源地址目的地址目的地址目的地址目的地址协议协议协议协议协议任选项协议任选项协议任选项协议任选项应用条件应用条件应用条件应用条件拒绝拒绝拒绝拒绝允许允许允许允许更多条目？更多条目？更多条目？更多条目？列表中的下一个条目列表中的下一个条目列表中的下一个条目列表中的下一个条目不匹配不匹配不匹配不匹配否否否否是是是是匹配匹配匹配匹配匹配匹配匹配匹配匹配匹配匹配匹配匹配匹配匹配匹配是是是是否否否否IcmpIcmp消息消息消息消息转发数据包转发数据包转发数据包转发数据包如果在访问控制列表中有的话如果在访问控制列表中有的话如果在访问控制列表中有的话如果在访问控制列表中有的话扩展访问控制列表扩展访问控制列表4-3不匹配不匹配不匹配不匹配不匹配不匹配不匹配不匹配不匹配不匹配不匹配不匹配端口号端口号端口号端口号关键字关键字关键字关键字描述描述描述描述TCP/UDPTCP/UDPTCP/UDPTCP/UDP2020FTP-DATAFTP-DATA（文件传输协议）（文件传输协议）FTPFTP（数据）（数据）TCPTCP2121FTPFTP（文件传输协议）（文件传输协议）FTPFTPTCPTCP2323TELNETTELNET终端连接终端连接TCPTCP2525SMTPSMTP简单邮件传输协议简单邮件传输协议TCPTCP4242NAMESERVERNAMESERVER主机名字服务器主机名字服务器UDPUDP5353DOMAINDOMAIN域名服务器（域名服务器（DNS)DNS)TCP/UDPTCP/UDP6969TFTPTFTP普通文件传输协议（普通文件传输协议（TFTP)TFTP)UDPUDP8080WWWWWW万维网万维网TCPTCP扩展访问控制列表扩展访问控制列表4-4扩展访问控制列表的配置扩展访问控制列表的配置3-13-1第一步，使用第一步，使用access-listaccess-list命令创建扩展访问控制列表命令创建扩展访问控制列表Router(config)#access-list access-list-number permit|deny protocol source source-wildcard destination destination-wildcard operator port established log扩展访问控制列表操作符的含义扩展访问控制列表操作符的含义扩展访问控制列表操作符的含义扩展访问控制列表操作符的含义操作符及语法操作符及语法操作符及语法操作符及语法意义意义意义意义eq portnumbereq portnumber等于端口号等于端口号 portnumberportnumbergt portnumbergt portnumber大于端口号大于端口号portnumberportnumberlt portnumberlt portnumber小于端口号小于端口号portnumberportnumberneq portnumberneq portnumber不等于端口号不等于端口号portnumberportnumber扩展访问控制列表的配置扩展访问控制列表的配置3-23-2扩展访问控制列表的配置扩展访问控制列表的配置3-33-3第二步，使用第二步，使用ip access-groupip access-group命令将扩展访问控制列表应用命令将扩展访问控制列表应用到某接口到某接口Router（config-if）#ip access-group access-list-number in|out 扩展扩展ACLACL应用：拒绝应用：拒绝ftpftp流量通过流量通过E0E0第一步，创建拒绝来自第一步，创建拒绝来自172.16.4.0172.16.4.0、去往、去往172.16.3.0172.16.3.0、ftpftp流量的流量的ACLACL第二步，应用到接口第二步，应用到接口E0E0的出方向的出方向Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21Router(config)#access-list 101 permit ip any anyRouter(config)#interface fastthernet 0/0Router（config-if）#ip access-group 101 out扩展扩展ACLACL应用：应用：拒绝拒绝telnettelnet流量通过流量通过E0E0第一步，创建拒绝来自第一步，创建拒绝来自172.16.4.0172.16.4.0、去往、去往172.16.3.0172.16.3.0、telnettelnet流量的流量的ACLACL第二步，应用到接口第二步，应用到接口E0E0的出方向上的出方向上Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23Router(config)#access-list 101 permit ip any anyRouter(config)#interface fastethernet 0/0Router（config-if）#ip access-group 101 out命名的访问控制列表命名的访问控制列表2-12-1标准标准ACLACL和扩展和扩展ACLACL中可以使用一个字母数字组合的字符串中可以使用一个字母数字组合的字符串（名字）代替来表示（名字）代替来表示ACLACL的表号的表号 命名命名IPIP访问列表允许从指定的访问列表删除单个条目访问列表允许从指定的访问列表删除单个条目如果添加一个条目到列表中，那么该条目被添加到列表末尾如果添加一个条目到列表中，那么该条目被添加到列表末尾 不能以同一个名字命名多个不能以同一个名字命名多个ACLACL在命名的访问控制列表下在命名的访问控制列表下 ，permitpermit和和denydeny命令的语法格式与命令的语法格式与前述有所不同前述有所不同 命名的访问控制列表命名的访问控制列表2-22-2第一步，创建名为第一步，创建名为ciscocisco的命名访问控制列表的命名访问控制列表第二步，指定一个或多个第二步，指定一个或多个permitpermit及及denydeny条件条件 第三步，应用到接口第三步，应用到接口E0E0的出方向的出方向Router（config）#interface fastethernet 0/0Router（config-if）#ip access-group cisco outRouter(config)#ip access-list extended ciscoRouter（config-ext-nacl）#deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23Router（config-ext-nacl）#permit ip any any查看访问控制列表查看访问控制列表2-12-1Router#show ip interface fastethernet 0/0Router#show ip interface fastethernet 0/0 FastEthernet0/0 is up,line protocol is up FastEthernet0/0 is up,line protocol is up Internet address is 172.16.3.1/24 Internet address is 172.16.3.1/24 Broadcast address is 255.255.255.255 Broadcast address is 255.255.255.255 Address determined by setup command Address determined by setup command MTU is 1500 bytes MTU is 1500 bytes Helper address is not set Helper address is not set Directed broadcast forwarding is disabled Directed broadcast forwarding is disabled Outgoing access list is cisco Outgoing access list is cisco Inbound access list is not set Inbound access list is not set Proxy ARP is enabled Proxy ARP is enabled Local Proxy ARP is disabled Local Proxy ARP is disabled Security level is default Security level is default Split horizon is enabled Split horizon is enabled ICMP redirects are always sent ICMP redirects are always sent ICMP unreachables are always sent ICMP unreachables are always sent ICMP mask replies are never sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching is enabled IP fast switching on the same interface is disabled IP fast switching on the same interface is disabled 查看访问控制列表查看访问控制列表2-22-2Router#show access-listRouter#show access-list Extended IP access list cisco Extended IP access list cisco 10 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 10 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq telnettelnet 20 permit ip any any 20 permit ip any any代理型防火墙代理型防火墙 代理技术也称为应用层网关技术，代理技术也称为应用层网关技术，针对每一个特定应用都有一个程针对每一个特定应用都有一个程序。代理技术是在应用层实现防序。代理技术是在应用层实现防火墙的功能。代理服务器位于客火墙的功能。代理服务器位于客户机与服务器之间户机与服务器之间,完全阻挡二者完全阻挡二者间的数据流间的数据流 。可以针对应用层进。可以针对应用层进行侦测和扫描行侦测和扫描,对付基于应用层的对付基于应用层的侵入和病毒十分有效侵入和病毒十分有效 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 状态检测型防火墙状态检测型防火墙状态检测型防火墙检测每一状态检测型防火墙检测每一个有效连接的状态，并根据个有效连接的状态，并根据这些信息决定网络数据包是这些信息决定网络数据包是否能够通过防火墙否能够通过防火墙 应用层表示层 会话层 传输层 网络层 链路层 物理层 应用层表示层会话层传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 连接状态表防火墙三种类型的比较防火墙三种类型的比较包过滤型包过滤型代理型代理型状态检测型状态检测型优点优点l速度快l防火墙是透明的，用户端不需要进行设置l针对应用层数据进行过滤，增强了可控性l日志功能加强了对不安全因素的追踪与排查l屏蔽了内网细节l减少了传统的包过滤防火墙的大量开放端口等一些安全问题l降低了管理员配置访问规则的难度缺点缺点l无法过滤审核数据包的内容l无法详细记录细致的日志l速度较慢l新的网络协议和应用都需要一套代理程序l无法过滤审核数据包的内容l无法详细记录细致的日志网络地址转换概述网络地址转换概述2-12-1地址转换的提出背景地址转换的提出背景l合法的合法的IPIP地址资源日益短缺地址资源日益短缺l一个局域网内部有很多台主机，但不是每台主机都有合法的一个局域网内部有很多台主机，但不是每台主机都有合法的IPIP地址，为了地址，为了使所有内部主机都可以连接因特网，需要使用地址转换使所有内部主机都可以连接因特网，需要使用地址转换l地址转换技术可以有效地隐藏内部局域网中的主机，具有一定的网络安全地址转换技术可以有效地隐藏内部局域网中的主机，具有一定的网络安全保护作用保护作用l地址转换可以在局域网内部提供给外部地址转换可以在局域网内部提供给外部FTPFTP、WWWWWW、TelnetTelnet服务服务网络地址转换概述网络地址转换概述2-22-2NATNAT的原理的原理改变改变IPIP包头，使目的地址、源地址或两个地址在包头中被不同地址替换包头，使目的地址、源地址或两个地址在包头中被不同地址替换NATNAT的的3 3种实现方式种实现方式l静态转换静态转换l动态转换动态转换l端口多路复用端口多路复用NATNAT的术语的术语2-22-210.1.1.1外部主机外部主机B10.1.1.2外部主机外部主机Cinternet10.1.1.1NAT主机主机A1234SA=10.1.1.1DA193.3.3.11内部局部地址内部局部地址外部局部地址外部局部地址主机主机A发出的包发出的包SA=192.2.2.1DA=10.1.1.1经过路由器转换的包经过路由器转换的包2内部全局地址内部全局地址外部全局地址外部全局地址经过路由器转换的包经过路由器转换的包SA=193.3.3.1DA=10.1.1.14外部局部地址外部局部地址内部局部地址内部局部地址SA=10.1.1.1DA=192.2.2.1外部主机外部主机B返回的包返回的包3外部全局地址外部全局地址内部全局地址内部全局地址NATNAT的优缺点的优缺点NATNAT的优点的优点l节省公有合法节省公有合法IPIP地址地址l处理地址交叉处理地址交叉l增强灵活性增强灵活性l安全性安全性NATNAT的缺点的缺点l延迟增大延迟增大l配置和维护的复杂性配置和维护的复杂性l不支持某些应用不支持某些应用什么是什么是VPNVPNVPNVPN（Virtual Private NetworkVirtual Private Network）n在在公用公用网络中网络中,按照相同的策略和安全规则按照相同的策略和安全规则,建立的私有网络连接建立的私有网络连接Internet北京总部北京总部广州分公司广州分公司虚拟专用网络虚拟专用网络VPNVPN的结构和分类的结构和分类总部总部分支机构分支机构远程办公室远程办公室家庭办公家庭办公PSTN安装了安装了VPN客户客户端软件的移动用户端软件的移动用户Internet远程访问的远程访问的VPNVPN（安装了安装了VPN客户客户）内部网内部网VPNVPN（站点到站点的（站点到站点的VPNVPN）外联网外联网VPNVPN（提供给合伙人使用）（提供给合伙人使用）远程访问的远程访问的VPNVPN总部总部家庭办公家庭办公PSTN安装了安装了VPN客户客户端软件的移动用户端软件的移动用户Internet移动用户或远程小办公室通过移动用户或远程小办公室通过InternetInternet访问网络中心访问网络中心连接单一的网络设备连接单一的网络设备客户通常需要安装客户通常需要安装VPNVPN客户端软件客户端软件站点到站点的站点到站点的VPNVPN公司总部和其分支机构、办公室之间建立的公司总部和其分支机构、办公室之间建立的VPNVPN替代了传统的专线或分组交换替代了传统的专线或分组交换WANWAN连接连接它们形成了一个企业的内部互联网络它们形成了一个企业的内部互联网络 总部总部分支机构分支机构远程办公室远程办公室InternetVPNVPN的工作原理的工作原理VPN=VPN=加密隧道加密隧道明文明文明文明文访访问问控控制制报报文文加加密密报报文文认认证证IP封封装装IP解解封封报报文文认认证证报报文文解解密密访访问问控控制制IP隧道隧道公共公共IP网络网络VPNVPN的关键技术的关键技术安全隧道技术安全隧道技术信息加密技术信息加密技术用户认证技术用户认证技术访问控制技术访问控制技术防火墙应具备的基本功能防火墙应具备的基本功能l支持支持“除非明确允许，否则就禁止除非明确允许，否则就禁止”的设计策略，即使这种策略不是最初使的设计策略，即使这种策略不是最初使用的策略用的策略l本身支持安全策略本身支持安全策略l策略改变，可增加新的服务策略改变，可增加新的服务l有或可以安装先进的认证手段有或可以安装先进的认证手段l可运行过滤技术允许和禁止服务可运行过滤技术允许和禁止服务l可以使用服务代理可以使用服务代理l界面友好，易于编程的界面友好，易于编程的IPIP过滤语言，并可进行过滤语言，并可进行IPIP过滤过滤防火墙选购的标准防火墙选购的标准l成本成本l自身的安全性自身的安全性l稳定性稳定性l功能灵活多样性功能灵活多样性l安装与管理的简易性安装与管理的简易性l配置方便性配置方便性l抗攻击抗攻击l可身份验证可身份验证l可扩展，可升级可扩展，可升级防火墙技术展望防火墙技术展望l包过滤技术发展趋势包过滤技术发展趋势用户认证技术：用户认证技术：AAAAAA系统运用于防火墙系统运用于防火墙多级过滤技术：包、应用、状态多级过滤技术：包、应用、状态病毒防护技术：病毒库病毒防护技术：病毒库入侵防御技术：网络行为特征入侵防御技术：网络行为特征webweb过滤技术：过滤过滤技术：过滤httphttp请求与响应请求与响应SMTPSMTP过滤技术过滤技术反拉圾邮件反拉圾邮件NetFlowNetFlow技术技术防火墙技术展望防火墙技术展望l体系结构体系结构硬件架构硬件架构软件架松软件架松l系统管理系统管理集中管理，分布式，分层式集中管理，分布式，分层式审计、自动日志分析功能审计、自动日志分析功能网络安全产品的系统化网络安全产品的系统化5.一个平凡而普通的人，时时都会感到被生活的波涛巨浪所淹没。你会被淹没吗?除非你甘心就此而沉沦!17.成功与失败的分水岭，可以用这五个字来表达-我没有时间。13.与其说是别人让你痛苦，不如说是自己的修养不够。1.当我的巴特农神庙建立起来的时候，我从这遥远的地方也能感受到他的辉煌。14.真正的坚强是当所有的人都希望你崩溃的时候，你还可以振作。13.有志者事竟成。4.靠山山会倒，靠水水会流，靠自己永远不倒。7.没有哪种教育能及得上逆境。3.相见时难别亦难，东风无力百花残!8.一个能从别人的观念来看事情，能了解别人心灵活动的人，永远不必为自己的前途担心。9.也许我的点评有点苛刻，但是说的都是真话。8.当你用烦恼心来面对事物时，你会觉得一切都是业障，世界也会变得丑陋可恨。8.温暖是飘飘洒洒的春雨;温暖是写在脸上的笑影;温暖是义无反顾的响应;温暖是一丝不苟的配合。8.一个人除非自己有信心，否则带给别人信心。2.很多时候，生活不会是一副完美的样子，能完美的不是人生，想完美的是人心。但平凡的人有平凡的心，拥有平凡的渴望和平凡的心情，用平凡淡然拼凑永恒的日子。真实而简单的活着，才是最真，最美，最快乐的事情。5、拥有梦想只是一种智力，实现梦想才是一种能力。6.穷则思变，差则思勤!没有比人更高的山没有比脚更长的路。4.信念的力量在于即使身处逆境，亦能帮助你鼓起前进的船帆;信念的魅力在于即使遇到险运，亦能召唤你鼓起生活的勇气;信念的伟大在于即使遭遇不幸，亦能促使你保持崇高的心灵。5、拥有梦想只是一种智力，实现梦想才是一种能力。2.高峰只对攀登它而不是仰望它的人来说才有真正意义。17.我相信我没偷过半小时的懒。3.你改变不了明天，但如果你过于忧虑明天，你将会毁了今天。