文档介绍:网络安全解决方案-防火墙内容提纲防火墙基本概念NAT+ACL运行模式环境模式冗余和负载均衡故障恢复防火墙热备份数据配置示例2防火墙-基本概念防火墙功能1、保护内部网络免予外部网络的攻击2、VPN服务(IPsecVPN,SSLVPN)3、NAT防火墙分类(物理实体上分类):1、软件防火墙2、硬件防火墙3防火墙-基本概念保护内部网络的方式1、流量过滤(ACL)2、深度流量检测3、抗病毒保护(入侵保护系统IPS)注释:1、流量过滤的基本原则:许可从高安全级别到低安全级别的任何流量,除非有明确的访问控制拒绝;拒绝从低安全级别到高全级别的任何流量,除非有明确的访问控制许可(不考虑NAT控制的情况下)。2、所谓深度分组检测是指除了检测四元组(源/目IP地址,源/目端口号)外,还检测应用层是否遵从相应标准化组织的标准/规范,比如说RFC相关标准,-T相关标准。应用检测引擎应用端口是否可被修改为非标准端口默认端口遵从的标准DNS否UDP/53RFC1123FTP是TCP/21RFC--.0//80RFC2616SIP是TCP/5060UDP/5060RFC25434防火墙-基本概念安区区域:1、可信的或受保护区域/不可信的或未受保护区域2、DMZ区域(非军事化区域)路由模式下才有这个区域注释:1、DMZ区域:这个区域由于所辖设备的性质需要和其它区域进行隔离;同时这个区域又不允许实行太严格的安全策略5防火墙-基本概念安区区域配置简单举例:1、FW1(config)#1//进入接口配置模式slot/port2、FW1(config-if)#nameifinside//命名接口3、FW1(config-if)#security-level100//配置接口安全级别4、FW1(config-if)#//配置接口IP地址5、FW1(config-if)#noshutdown//启用接口深度检测配置简单举例:1、FW1(config)#ipinspectnamemyfirewallhttp//命名一个检测规则名2、FW1(config)#ipinspectnamemyfirewallftp3、FW1(config)#ipinspectnamemyfirewallsmtp4、FW1(config)#1//进入接口配置模式5、FW1(config-if)#ipinspectmyfirewallin//对接口入流量做深度检测6防火墙-基本概念抗病毒攻击举例:非分布式DOS攻击:为了防止DOS等大量发起会话迫使服务器,防火墙瘫痪的攻击,防火墙采用了检测会话状态统计未完成会话的数量以及设定超时值/阈值来防止攻击对于TCP,统计未完成三次握手的会话数量对于UDP,统计没有检测到返回流量的会话数量。当达到超时值/阈值时,防火墙将删除原有的部分连接以及后续的连接,使得连接数量达到一个合理值。7防火墙-基本概念非对称路由防火墙为通过它的分组建立状态连接信息表,使用这些信息可以保证只有属于合法的分组才能进入高安区区域,因此常规情况下,来自或者到达专用网络的所有流量的出口点和入口点必须经过同一个防火墙,这叫做对称路由,如果不是这样,防火墙就有可能拦截属于合法连接的分组,这种合法连接开始于内部网络,原因是防火墙没有这个分组的状态信息,这种情形叫做非对称路由非对称路由选择的支持:如果防火墙没有返回流量的连接状态信息,但它可以把此流量转发到有此连接信息的单元,这种我们叫做防火墙支持非对称路由选择。8防火墙-NATNAT控制1、当禁用NAT控制时,在没有配置NAT规则的情况下,防火墙把所有分组从安全等级较高的接口转发至安全等级较低的接口。从安全等级较低的接口到安全等级较高的接口流量需要经过访问列表的许可。2、当启用NAT控制时,必须使用NAT,接口流量必须和NAT规则匹配,否则拒绝分组。3、启用NAT控制命令FW(config)#nat-contral4、禁用NAT控制命令FW(config)#nonat-contral9防火墙-NATNAT设备执行以下2个操作:1、用目的网络可路由的映射地址代替一个真实地址2、对返回流量不做转换//查寻已经建立的SessionNAT分类:1、动态NAT,地址池,单向发起通信(nat+global)动态NAT把一组真正主机地址转换为注册地址池内的地址,转换地址在会话连接时间内一直有效,直到会话终止,只能用于单向发起通信2、动态PAT,单向发起通信(nat+global)动态NAT把一组原IP地址结合他们的应用端口号映射到一个单一IP地址和一个1024以上的独