第8章 防火墙技术与应用.ppt

2023/7/16网络安全技术1第第8章章 防火防火墙墙技技术术与与应应用用8.1 网络防火墙概述网络防火墙概述8.2 防火墙的基本类型防火墙的基本类型8.3 防火墙设计的准则防火墙设计的准则8.4 防火墙安全体系结构防火墙安全体系结构8.5 创建防火墙的步骤创建防火墙的步骤8.6 网络地址翻译网络地址翻译2023/7/16网络安全技术28.1 网网络络防火防火墙墙概述概述 v防火墙：防火墙：防火墙的本义原是指古代人们房屋之间修建防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋屋。2023/7/16网络安全技术38.1 网网络络防火防火墙墙概述概述v网络防火墙：网络防火墙：在可信和不可信网络间设置的保护装置，在可信和不可信网络间设置的保护装置，用于保护内部资源免用于保护内部资源免遭非法入侵遭非法入侵。服务器服务器内部网内部网可信网络可信网络Internet不可信网络不可信网络2023/7/16网络安全技术42023/7/16网络安全技术58.1.1 网网络络防火防火墙墙基本概念基本概念 v堡垒主机：堡垒主机：指一个计算机系统，它对外部网络暴露，同时又是内指一个计算机系统，它对外部网络暴露，同时又是内部网络用户的主要连接点。部网络用户的主要连接点。v双宿主主机：双宿主主机：又称双宿主机或双穴主机，是具有两个网络接口的又称双宿主机或双穴主机，是具有两个网络接口的计算机系统。计算机系统。2023/7/16网络安全技术6v包过滤：包过滤：设备对进出网络的数据流（包）进行有选择的控制与操设备对进出网络的数据流（包）进行有选择的控制与操作。通常是对从外部网络到内部网络的包进行过滤。作。通常是对从外部网络到内部网络的包进行过滤。v参数网络：参数网络：为了增加一层安全控制，在内部网与外部网之间增加为了增加一层安全控制，在内部网与外部网之间增加的一个网络，中立区，有时也称非军事区，即的一个网络，中立区，有时也称非军事区，即DMZ（Demilitarized Zone）。）。v代理服务器：代理服务器：代表内部网络用户与外部服务器进行信息交换的计代表内部网络用户与外部服务器进行信息交换的计算机（软件）系统。算机（软件）系统。2023/7/16网络安全技术7对于防火墙的发展历史，基于功能划分可分为五个阶段对于防火墙的发展历史，基于功能划分可分为五个阶段 第一代防火墙第一代防火墙几乎与路由器同时出现，采用了几乎与路由器同时出现，采用了包过滤（包过滤（Packet filter）技术）技术。第二、三代防火墙第二、三代防火墙1989年，贝尔实验室的年，贝尔实验室的Dave Presotto和和Howard Trickey推出了第二推出了第二代防火墙，即代防火墙，即电路层防火墙电路层防火墙，同时提出了第三代防火墙，同时提出了第三代防火墙应用层防火墙应用层防火墙（代理防火墙）的初步结构。（代理防火墙）的初步结构。第四代防火墙第四代防火墙1992年，年，USC信息科学院的信息科学院的BobBraden开发出了开发出了基于动态包过滤技基于动态包过滤技术术的第四代防火墙，后来演变为目前所说的状态监视技术。的第四代防火墙，后来演变为目前所说的状态监视技术。1994年，以色年，以色列的列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙第五代防火墙1998年，年，NAI公司推出了一种公司推出了一种自适应代理技术自适应代理技术，并在其产品，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。以称之为第五代防火墙。防火防火墙墙技技术术的的发发展展简简史史防火墙技术的简单发展历史防火墙技术的简单发展历史 返回本节防火防火墙墙技技术术的的发发展展简简史史2023/7/16网络安全技术98.1.2 网网络络防火防火墙墙的目的与作用的目的与作用 1.构建网络防火墙的主要目的构建网络防火墙的主要目的v限制某些访问者限制某些访问者进入进入一个被严格控制的点。一个被严格控制的点。v防止进攻者防止进攻者接近接近防御设备。防御设备。v限制某些访问者限制某些访问者离开离开一个被严格控制的点。一个被严格控制的点。v检查、筛选、过滤和屏蔽检查、筛选、过滤和屏蔽信息流中的有害服务，防止对计算信息流中的有害服务，防止对计算机系统进行蓄意破坏。机系统进行蓄意破坏。2023/7/16网络安全技术10v过滤进出网络的数据包过滤进出网络的数据包v管理进出网络的访问行为管理进出网络的访问行为v封堵某些禁止的访问行为封堵某些禁止的访问行为v记录通过防火墙的信息内容和活动记录通过防火墙的信息内容和活动v对网络攻击进行检测和告警对网络攻击进行检测和告警2.网络防火墙的作用网络防火墙的作用 2023/7/16网络安全技术11 8.1.3 防火墙的局限性防火墙的局限性 防火墙不能防范未通过自身的网络连接防火墙不能防范未通过自身的网络连接防火墙不能防范未知的威胁防火墙不能防范未知的威胁防火墙不能防范内部用户的恶意破坏防火墙不能防范内部用户的恶意破坏防火墙不能防止感染病毒的软件或文件传输防火墙不能防止感染病毒的软件或文件传输防火墙本身也存在安全问题防火墙本身也存在安全问题2023/7/16网络安全技术12按按对数据包处理方式不同对数据包处理方式不同 包过滤式防火墙包过滤式防火墙包过滤式防火墙包过滤式防火墙 应用代理式防火墙应用代理式防火墙应用代理式防火墙应用代理式防火墙 状态检测防火墙状态检测防火墙状态检测防火墙状态检测防火墙 按按体系结构体系结构硬件防火墙硬件防火墙(基于基于PC架构架构,在在PC架构计算机上运架构计算机上运行一些经过裁剪和简化的行一些经过裁剪和简化的操作系统操作系统)软件防火墙：软件防火墙：Checkpoint,ISA Server芯片级芯片级防火墙防火墙(基于专门的硬件基于专门的硬件平台平台)8.2 防火墙的基本类型防火墙的基本类型 按操作模式按操作模式网桥模式网桥模式路由模式路由模式NAT按按性能性能百兆百兆千兆千兆按部署方式按部署方式边界边界(企业企业)防火墙防火墙个人（主机）防火墙个人（主机）防火墙13n n包过滤路由器模式包过滤路由器模式包过滤路由器模式包过滤路由器模式 往往用一台路由器来实现网络层安全往往用一台路由器来实现网络层安全l基本的思想很简单基本的思想很简单 工作在网络层，对数据包的源及目地工作在网络层，对数据包的源及目地 IP IP 具有识别和控制作用，对于传输层，具有识别和控制作用，对于传输层，也只能识别数据包是也只能识别数据包是 TCP TCP 还是还是 UDP UDP 及所用的端口信息。及所用的端口信息。l往往配置成双向的往往配置成双向的l该防火墙该防火墙不能够不能够隐藏内部隐藏内部网络的信息网络的信息、不具备监视不具备监视和和日志记录日志记录功能。功能。l优点：优点：实现简单、费用低、对用户透明、效率高实现简单、费用低、对用户透明、效率高 缺点缺点：维护困难、不支持用户鉴别维护困难、不支持用户鉴别8.2.1 包包过滤过滤型防火型防火墙墙 2023/7/16网络安全技术14感觉的连接实际的连接代理服务器内部网络Internet真正的服务器客户机8.2.2 代理服务器型防火墙代理服务器型防火墙 1.1.工作原理工作原理工作原理工作原理代理的工作方式代理的工作方式2023/7/16网络安全技术16v代理服务器有两个部件：一个代理服务器和一个代理代理服务器有两个部件：一个代理服务器和一个代理客户。客户。代理代理服务器服务器HTTPFTPTelnet代理代理客户客户外部外部网络网络服务器服务器发送请求发送请求转发请求转发请求响应请求响应请求转发响应转发响应源源IP为代为代理客户理客户源源IP为代为代理服务器理服务器源源IP为代为代外部服务器外部服务器源源IP为代为代外部服务器外部服务器2023/7/16网络安全技术172.2.2.2.优缺点优缺点优缺点优缺点优点优点：能完全控制网络信息的交换，控制会话过程，能完全控制网络信息的交换，控制会话过程，具有灵活性和安全性具有灵活性和安全性。缺点缺点：可能影响网络的性能，对用户不透明，且对每可能影响网络的性能，对用户不透明，且对每一种服务器都要设计一个代理模块，建立对应的网关一种服务器都要设计一个代理模块，建立对应的网关层，实现起来比较复杂。层，实现起来比较复杂。2023/7/16网络安全技术188.2.3 状状态检测态检测防火防火墙墙 1.1.概述概述概述概述 状态检测防火墙又称为状态检测防火墙又称为动态包过滤防火墙动态包过滤防火墙，它工作在传输层，它工作在传输层，检查的不仅仅是数据包中的头部信息，而且会跟踪数据包的状态，检查的不仅仅是数据包中的头部信息，而且会跟踪数据包的状态，即不同数据包之间的共性。即不同数据包之间的共性。规则定义在转发控制表中，因产品不同控制表格式不同，这规则定义在转发控制表中，因产品不同控制表格式不同，这里讨论抽象的过滤规则。里讨论抽象的过滤规则。2023/7/16网络安全技术19v防火墙防火墙制订规则集制订规则集制订规则集制订规则集原则：原则：先特殊，后一般。先特殊，后一般。vv操作方式操作方式操作方式操作方式有：转发、丢弃、报错、备忘等。有：转发、丢弃、报错、备忘等。vv关键技术关键技术关键技术关键技术：实现连接的跟踪功能。：实现连接的跟踪功能。2.2.状态检测防火墙的特点状态检测防火墙的特点状态检测防火墙的特点状态检测防火墙的特点2023/7/16网络安全技术203.3.状态检测防火墙的工作过程状态检测防火墙的工作过程状态检测防火墙的工作过程状态检测防火墙的工作过程 1）状态检测表：状态检测表：状态检测表：状态检测表：由由规则表规则表规则表规则表和和连接状态表连接状态表连接状态表连接状态表两部分组成。两部分组成。2）工作过程工作过程工作过程工作过程 首先利用规则表进行数据包的过滤，此过程与静态包过滤防火墙基首先利用规则表进行数据包的过滤，此过程与静态包过滤防火墙基本相同。如果某一个数据包本相同。如果某一个数据包(如如“IP分组分组B1”)在进入防火墙时，规在进入防火墙时，规则表拒绝它通过，则防火墙直接丢弃该数据包，与该数据包相关的则表拒绝它通过，则防火墙直接丢弃该数据包，与该数据包相关的后续数据包后续数据包(如如“IP分组分组B2”、“IP分组分组B3”等等)同样会被拒绝通过。同样会被拒绝通过。2023/7/16网络安全技术21图图8-7 状态检测防火墙的工作示意图状态检测防火墙的工作示意图 2023/7/16网络安全技术22HTTP是一个基于是一个基于TCP的服务，一般使用端口的服务，一般使用端口80，也可使用其他，也可使用其他非标准端口，客户机使用任何大于非标准端口，客户机使用任何大于1023的端口。如果防火墙允许的端口。如果防火墙允许WWW穿越网络边界，则可定义如下规则。穿越网络边界，则可定义如下规则。规则规则1 1、规则、规则2 2允许外部主机访问本站点的允许外部主机访问本站点的WWWWWW服务器，规则服务器，规则3 3、规则、规则4 4允允许内部主机访问外部的许内部主机访问外部的WWWWWW服务器。服务器。防火墙规则制订实例防火墙规则制订实例12023/7/16网络安全技术23v访问要求：访问要求：1）网络网络123.45.0.0/16不愿其他不愿其他Internet 主机访问其站点；主机访问其站点；2）但它的一个子网但它的一个子网123.45.6.0/24和某大学和某大学135.79.0.0/16有合作项有合作项 目，因此允许该大学访问该子网；目，因此允许该大学访问该子网；3）然而然而135.79.99.0/24是黑客天堂，需要禁止。是黑客天堂，需要禁止。防火墙规则制订实例防火墙规则制订实例2 22023/7/16网络安全技术24v注意这些规则之间并不是互斥的，因此要考虑顺序。注意这些规则之间并不是互斥的，因此要考虑顺序。123规则顺序安排原则：规则顺序安排原则：先特殊，后普遍先特殊，后普遍内网内网大学大学进来进来出去出去内网内网黑客天堂黑客天堂进来进来出去出去2023/7/16网络安全技术251 1）一切未被允许的访问就是禁止的一切未被允许的访问就是禁止的一切未被允许的访问就是禁止的一切未被允许的访问就是禁止的防火墙要封锁所有的信息流，然后对希望开放的服务逐步开防火墙要封锁所有的信息流，然后对希望开放的服务逐步开放。具有较高安全性，但牺牲了用户使用方便性。放。具有较高安全性，但牺牲了用户使用方便性。2 2）一切未被禁止的访问就是允许的一切未被禁止的访问就是允许的一切未被禁止的访问就是允许的一切未被禁止的访问就是允许的防火墙开放所有的信息流，然后逐项屏蔽有害的服务。防火墙开放所有的信息流，然后逐项屏蔽有害的服务。具有具有灵活性，但难提供可靠安全保护。灵活性，但难提供可靠安全保护。8.3 防火墙设计的准则防火墙设计的准则 2023/7/16网络安全技术268.4 防火防火墙墙安全体系安全体系结结构构 v防火墙按体系结构可以分为防火墙按体系结构可以分为：（1）包过滤包过滤型型防火墙结构防火墙结构 （2）双宿主主机型）双宿主主机型结构结构 （3 3）屏蔽主机屏蔽主机型型防火墙结构防火墙结构 （4 4）屏蔽子网屏蔽子网型型防火墙结构防火墙结构 (5)(5)通过混合组合而衍生的其他结构的防火墙通过混合组合而衍生的其他结构的防火墙2023/7/16网络安全技术278.4.1 包包过滤过滤防火防火墙结墙结构构 v在传统的路由器中增加分组过滤功能在传统的路由器中增加分组过滤功能。v包过滤型防火墙的包过滤型防火墙的核心技术核心技术就是安全策略设计即包过滤算法的设计。就是安全策略设计即包过滤算法的设计。2023/7/16网络安全技术28包过滤型防火墙具有以下包过滤型防火墙具有以下优点优点优点优点。（1 1）处处理理包包的的速速度度比比代代理理服服务务器器快快，过过滤滤路路由由器器为为用用户户提提供供了了一种透明的服务，用户不用改变客户端程序或改变自己的行为。一种透明的服务，用户不用改变客户端程序或改变自己的行为。（2 2）实实现现包包过过滤滤几几乎乎不不再再需需要要费费用用（或或极极少少的的费费用用），因因为为这这些特点都包含在标准的路由器软件中。些特点都包含在标准的路由器软件中。（3 3）包过滤路由器对用户和应用来讲是）包过滤路由器对用户和应用来讲是透明透明的。的。2023/7/16网络安全技术29包过滤型防火墙存在以下的包过滤型防火墙存在以下的缺点缺点缺点缺点。（1 1）防火墙的）防火墙的维护比较困难维护比较困难，定义数据包过滤器会比较复杂，因为网络，定义数据包过滤器会比较复杂，因为网络管理员需要对各种管理员需要对各种InternetInternet服务、包头格式以及每个域的意义有非常深入服务、包头格式以及每个域的意义有非常深入的理解，才能将过滤规则集尽量定义得完善。的理解，才能将过滤规则集尽量定义得完善。（2 2）只能阻止一种类型的）只能阻止一种类型的IPIP欺骗欺骗，即外部主机伪装内部主机的，即外部主机伪装内部主机的IPIP，对于，对于外部主机伪装其他可信任的外部主机的外部主机伪装其他可信任的外部主机的IPIP却不可阻止。却不可阻止。（3 3）任何直接经路由器的数据包都有被用做数据驱动攻击的）任何直接经路由器的数据包都有被用做数据驱动攻击的潜在危险潜在危险。2023/7/16网络安全技术30（4 4）一些包过滤网关）一些包过滤网关不支持有效的用户认证不支持有效的用户认证。（5 5）不不可可能能提提供供有有用用的的日日志志，或或根根本本就就不不提提供供，这这使使用用户户发发觉觉网网络络受受攻攻击击的的难难度度加加大大，也也就就谈谈不不上上根根据据日日志志来来进进行行网网络络的的优优化化、完完善善以及追查责任。以及追查责任。（6 6）随着过滤器数目的增加，路由器的）随着过滤器数目的增加，路由器的吞吐量会下降吞吐量会下降。（7 7）IPIP包过滤器包过滤器无法无法对网络上流动的信息对网络上流动的信息提供全面的控制提供全面的控制。（8 8）允允许许外外部部网网络络直直接接连连接接到到内内部部网网络络的的主主机机上上，易易造造成成敏敏感感数数据的泄漏据的泄漏。2023/7/16网络安全技术318.4.2 双宿主主机防火双宿主主机防火墙结墙结构构 v双宿主主机防火墙双宿主主机防火墙采用主机取代路由器采用主机取代路由器采用主机取代路由器采用主机取代路由器执行安全控制功能，故类执行安全控制功能，故类似于包过滤防火墙，双宿主主机可以在内部网络和外部网络之间似于包过滤防火墙，双宿主主机可以在内部网络和外部网络之间进行寻径。进行寻径。v 双宿主主机防火墙的最大特点是双宿主主机防火墙的最大特点是IP层的通信被阻止，两个网络层的通信被阻止，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成，而之间的通信可通过应用层数据共享或应用层代理服务来完成，而不能直接通信。不能直接通信。2023/7/16网络安全技术32v一般要求用户先注册，再通过双宿主主机访问另一边的网络，但一般要求用户先注册，再通过双宿主主机访问另一边的网络，但由于代理服务器简化了用户的访问过程，可以做到对用户透明。由于代理服务器简化了用户的访问过程，可以做到对用户透明。2023/7/16网络安全技术33双宿主主机防火双宿主主机防火墙墙优缺点优缺点v双宿主主机体系结构优于屏蔽路由器的地方是：堡垒主机的系统软双宿主主机体系结构优于屏蔽路由器的地方是：堡垒主机的系统软件件可用于维护系统日志可用于维护系统日志、硬件拷贝日志或远程管理日志。这对于日、硬件拷贝日志或远程管理日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内部网中哪些主机后的检查很有用。但这不能帮助网络管理者确认内部网中哪些主机可能已被黑客入侵。可能已被黑客入侵。v双宿主主机体系结构的一个致命弱点是：双宿主主机体系结构的一个致命弱点是：一旦入侵者侵入堡垒主机一旦入侵者侵入堡垒主机并使其只具有路由功能并使其只具有路由功能，则任何网上用户均可以随便访问内部网。，则任何网上用户均可以随便访问内部网。2023/7/16网络安全技术348.4.3 主机主机过滤过滤型防火型防火墙结墙结构构 1.1.组成结构组成结构由过滤由过滤路由器路由器和运行网关软件的和运行网关软件的堡垒主机堡垒主机构成。提供安全保构成。提供安全保护的堡垒主机仅与内部网络相连，而过滤路由器位于内部网络和护的堡垒主机仅与内部网络相连，而过滤路由器位于内部网络和外部网络之间。外部网络之间。内部网内部网Internet路由器路由器堡垒堡垒主机主机2023/7/16网络安全技术352.2.特点特点v可完成多种代理可完成多种代理，还可以完成还可以完成认证和交互认证和交互作用，能提供完善的作用，能提供完善的Internet访问控制。访问控制。v堡垒主机是网络黑客集中攻击的目标，堡垒主机是网络黑客集中攻击的目标，安全保障仍不理想安全保障仍不理想。v比双宿主主机结构能提供更好的安全保护区比双宿主主机结构能提供更好的安全保护区，同时也更具有可操作，同时也更具有可操作性。性。v防火墙投资少防火墙投资少，安全功能实现和扩充容易，因而目前应用比较广泛。，安全功能实现和扩充容易，因而目前应用比较广泛。2023/7/16网络安全技术368.4.4 子网子网过滤过滤型防火型防火墙结墙结构构 1.1.组成结构组成结构v子网过滤体系结构也称为子网过滤体系结构也称为被屏蔽子网体系结构被屏蔽子网体系结构或者筛选子网体系结构。或者筛选子网体系结构。它它用两台包过滤路由器建立一个用两台包过滤路由器建立一个DMZ，用这一，用这一DMZ将内部网和外部将内部网和外部网分开，简单的子网过滤体系结构如图所示网分开，简单的子网过滤体系结构如图所示 v在这种体系结构中两个包过滤路由器放在在这种体系结构中两个包过滤路由器放在DMZ的两端，构成一个内部的两端，构成一个内部网和外部网均可访问的被屏蔽子网，但网和外部网均可访问的被屏蔽子网，但禁止信息直接穿过被屏蔽子网禁止信息直接穿过被屏蔽子网进行通信进行通信。在被屏蔽子网中。在被屏蔽子网中堡垒主机作为唯一的可访问点堡垒主机作为唯一的可访问点，该点作为，该点作为应用级网关代理。应用级网关代理。2023/7/16网络安全技术37最简单的子网过滤体系结构最简单的子网过滤体系结构DMZ外部路由器外部路由器内部路由器内部路由器 Internet 内部网内部网堡垒堡垒主机主机2023/7/16网络安全技术382.2.2.2.特点特点特点特点 为了侵入这种类型的网络，黑客必须先攻破外部路由器，即使他设为了侵入这种类型的网络，黑客必须先攻破外部路由器，即使他设法侵入堡垒主机，仍然必须通过内部路由器，才能进入内部网。法侵入堡垒主机，仍然必须通过内部路由器，才能进入内部网。在该体系结构中，因为堡垒主机不直接与内部网的主机交互使用，在该体系结构中，因为堡垒主机不直接与内部网的主机交互使用，所以所以内部网中两个主机间的通信不会通过堡垒主机内部网中两个主机间的通信不会通过堡垒主机，即使黑客侵，即使黑客侵入堡垒主机，他也只能看到从入堡垒主机，他也只能看到从Internet 和一些内部主机到堡垒主和一些内部主机到堡垒主机的通信以及返回的通信，而看不到内部网络主机之间的通信。机的通信以及返回的通信，而看不到内部网络主机之间的通信。所以所以DMZ为内部网为内部网增加了安全级别增加了安全级别。2023/7/16网络安全技术398.4.6 典型防火墙结构典型防火墙结构 建造防火墙时，一般很少采用单一的技术，通常采用解决不同问建造防火墙时，一般很少采用单一的技术，通常采用解决不同问题的多种技术的组合。题的多种技术的组合。1）多堡垒主机）多堡垒主机 2）合并内部路由器与外部路由器）合并内部路由器与外部路由器 3）合并堡垒主机与外部路由器）合并堡垒主机与外部路由器 4）合并堡垒主机与内部路由器）合并堡垒主机与内部路由器 5）使用多台外部路由器）使用多台外部路由器 6）使用多个周边网络）使用多个周边网络2023/7/16网络安全技术40DMZ内路路由器内路路由器外部路由器外部路由器 Internet 内部网内部网有两个堡垒主机的子网过滤体系结构有两个堡垒主机的子网过滤体系结构2023/7/16网络安全技术41DMZ外部路由器外部路由器堡垒主机堡垒主机内部路由器内部路由器 Internet 内部网内部网堡垒主机充当内部路由器堡垒主机充当内部路由器2023/7/16网络安全技术42外部路由器外部路由器外部路由器外部路由器内部路由器内部路由器DMZ 内部网内部网Internet分支机构或分支机构或合作伙伴合作伙伴多台外部路由器的子网过滤体系结构多台外部路由器的子网过滤体系结构2023/7/16网络安全技术438.5 创创建防火建防火墙墙步步骤骤 成功创建一个防火墙系统一般需要成功创建一个防火墙系统一般需要6个步骤：个步骤：l制定安全策略制定安全策略l搭建安全体系结构搭建安全体系结构l制定规则次序制定规则次序l落实规则集落实规则集l注意更换控制：做好注释工作。注意更换控制：做好注释工作。l做好审计工作：一个好的准则是最好不要超过做好审计工作：一个好的准则是最好不要超过30条条。建立一个可靠的规则集对于实现一个成功的、安全的防火墙建立一个可靠的规则集对于实现一个成功的、安全的防火墙来说是非常关键的来说是非常关键的！2023/7/16网络安全技术448.6 防火防火墙墙配置配置实验实验 v防火墙有两大类，分别为硬件防火墙与软件防火墙防火墙有两大类，分别为硬件防火墙与软件防火墙。实验主要是。实验主要是对这两类防火墙的典型产品进行相应的配置对这两类防火墙的典型产品进行相应的配置。vv硬件防火墙硬件防火墙硬件防火墙硬件防火墙选用选用Cisco PIX防火墙，主要进行防火墙的配置方式、防火墙，主要进行防火墙的配置方式、防火墙的升级、防火墙的基本操作、地址翻译（防火墙的升级、防火墙的基本操作、地址翻译（NAT）、对主机）、对主机与资源的过滤等实验。与资源的过滤等实验。vv软件防火墙软件防火墙软件防火墙软件防火墙选用费尔个人防火墙。主要对指定的选用费尔个人防火墙。主要对指定的IP地址、应用程地址、应用程序、端口、站点的禁用进行配置。序、端口、站点的禁用进行配置。2023/7/16网络安全技术458.6.2 Cisco PIX防火墙网络地址翻译配置防火墙网络地址翻译配置 1 1、网络地址翻译、网络地址翻译、网络地址翻译、网络地址翻译 (NAT:Network Address Translation(NAT:Network Address Translation，NAT)NAT)NAT就是在内部专用网络中使用内部地址，而当内部节点要与外就是在内部专用网络中使用内部地址，而当内部节点要与外界网络发生联系时，就在边缘路由器或者防火墙处，将内部地址界网络发生联系时，就在边缘路由器或者防火墙处，将内部地址替换成全局地址即可。替换成全局地址即可。2023/7/16网络安全技术462 2 2 2、网络地址翻译、网络地址翻译、网络地址翻译、网络地址翻译 (NAT)(NAT)(NAT)(NAT)能解决什么问题？能解决什么问题？能解决什么问题？能解决什么问题？1)1)局域网上已有许多现成的资源和应用程序，但其局域网上已有许多现成的资源和应用程序，但其IP地址分配不地址分配不符合符合Internet的国际标准。重新分配局域网的的国际标准。重新分配局域网的IP地址是个复杂的地址是个复杂的问题。问题。2)2)现行标准现行标准IPv4决定的决定的IP地址越来越少，使得要想在地址越来越少，使得要想在ISP处申请一处申请一个新的个新的IP地址已不是很容易的事了。地址已不是很容易的事了。2023/7/16网络安全技术473 3 3 3、网络地址翻译、网络地址翻译、网络地址翻译、网络地址翻译 (NAT)(NAT)(NAT)(NAT)解决问题的办法解决问题的办法解决问题的办法解决问题的办法 在内部网络中使用内部地址，通过在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的把内部地址翻译成合法的IP地址，在地址，在Internet上使用。其具体的做法是把上使用。其具体的做法是把IP包内的地址域用合包内的地址域用合法的法的IP地址来替换。地址来替换。NAT功能通常被集成到路由器、防火墙、功能通常被集成到路由器、防火墙、ISDN路由器或单独的路由器或单独的NAT设备中。设备中。NAT设备维护一个状态表，用来把非法的设备维护一个状态表，用来把非法的IP地址映射到合地址映射到合法的法的IP地址上。地址上。2023/7/16网络安全技术484 4 4 4、网络地址翻译、网络地址翻译、网络地址翻译、网络地址翻译 (NAT)(NAT)(NAT)(NAT)的类型的类型的类型的类型 NAT有静态转换有静态转换NAT(Static NAT)、动态转换、动态转换(Pooled NAT)和端口地址和端口地址转换三种类型。转换三种类型。(1)静态转换静态转换NAT是最简单的一种转换方式，它在是最简单的一种转换方式，它在NAT表中为每一个需要表中为每一个需要转换的内部地址创建了固定的转换条目，映射了唯一的全局地址。内转换的内部地址创建了固定的转换条目，映射了唯一的全局地址。内部地址与全局地址一一对应。每当内部节点与外界通信时，内部地址部地址与全局地址一一对应。每当内部节点与外界通信时，内部地址就会转化为对应的全局地址。就会转化为对应的全局地址。(2)动态转换动态转换(亦称亦称NAT池池)增加了网络管理的复杂性，但也提供了很大的增加了网络管理的复杂性，但也提供了很大的灵活性。它将可用的全局地址地址集定义成灵活性。它将可用的全局地址地址集定义成NAT池池(NAT Poo1)。对于。对于要与外界进行通信的内部节点，如果还没有建立转换映射，边缘路由要与外界进行通信的内部节点，如果还没有建立转换映射，边缘路由器或者防火墙将会动态地从器或者防火墙将会动态地从NAT池中选择全局地址对内部地址进行转池中选择全局地址对内部地址进行转化。每个转换条目在连接建立时动态建立，而在连接终止时会被回收。化。每个转换条目在连接建立时动态建立，而在连接终止时会被回收。2023/7/16网络安全技术49(3)端口地址转换端口地址转换(NAPT，Network Address Port Translation)是动态是动态转换的一种变形。它可以使多个内部节点共享一个全局转换的一种变形。它可以使多个内部节点共享一个全局IP地址，而使地址，而使用源和目的节点的用源和目的节点的TCPUDP的端口号来区分的端口号来区分NAT表中的转换条目及表中的转换条目及内部地址。这样，就更节省了地址空间。内部地址。这样，就更节省了地址空间。例：内部节点例：内部节点10.1.1.3和和10.1.1.2都用源端口都用源端口1723向外发送数据包，则向外发送数据包，则NAPT路由器把这两个内部地址都转换成全局地址路由器把这两个内部地址都转换成全局地址192.168.2.2，但使，但使用不同的源端口号：用不同的源端口号：1492，1723。当接收方收到的源端口号为当接收方收到的源端口号为1492时，则返回的数据包在边缘网关处，目时，则返回的数据包在边缘网关处，目的地址和端口被转换为的地址和端口被转换为10.1.1.3：1723；当接收到的源端口号为当接收到的源端口号为1723时，则返回的数据包在边缘网关处，目的地时，则返回的数据包在边缘网关处，目的地址被映射到址被映射到10.1.1.2：1723。2023/7/16网络安全技术50网络地址翻译网络地址翻译(NAT)的特点：的特点：(1)NAT并不是一种有安全保证的方案，它不能提供类似防火墙、并不是一种有安全保证的方案，它不能提供类似防火墙、包过滤、隧道等技术的安全性，仅仅在包的最外层改变包过滤、隧道等技术的安全性，仅仅在包的最外层改变IP地址。地址。它对网络应用带来了一定的影响，也给网络管理带来了一定的复它对网络应用带来了一定的影响，也给网络管理带来了一定的复杂性。杂性。(2)NAT技术可以节约地址空间，简化配置，使网络规划更灵活。技术可以节约地址空间，简化配置，使网络规划更灵活。2023/7/16网络安全技术51作作 业业1、简述防火墙的基本功能和缺陷。、简述防火墙的基本功能和缺陷。2、简述包过滤的基本特点和工作原理。、简述包过滤的基本特点和工作原理。3、简述代理服务的作用。、简述代理服务的作用。4、采用网络地址翻译有哪些类型？比较静态地址翻译与、采用网络地址翻译有哪些类型？比较静态地址翻译与动态地址翻译的区别。动态地址翻译的区别。5、编写防火墙规则，要求如下：编写防火墙规则，要求如下：禁止除管理员（禁止除管理员（IP为为192.168.20.10）外任何一台计算）外任何一台计算机访问某主机（机访问某主机（IP为为192.168.20.100）的终端服务）的终端服务（TCP端口端口3389）。）。