防火墙的定义;
防火墙是一个系统或者是一个系统里面的一个组用于在两个或者更多网络之间的访问.
防火墙的三大功能;
一; 数据包的过滤. 基于静态包头信息, 限制进入网络内部的数据包.
二; 代理. 在防火墙内侧的客户端和internet之间发起请求.
三; 状态化的数据包过滤. 包过滤和代理服务器技术的最佳结合.
包过滤(packet-fileering)防火墙分析网络流量,通常是针对开放系统互连(OSI)模型中的网络层和传输层信息进行分析,基于既定的策略,限制进入或离开一个网络的信息,或者限制信息在同一网络的不同网段(segment)之间的传递。采用包过虑技术的防火墙,依靠访问列表(ACL),根据包的类型或其它变量,允许或者拒绝数据包的访问。
包过滤的防火墙工作在OSI模型的第3层和第4层(网络层和传输层),而代理服务器在OSI模型的更高层对包进行检查,通常是第4到第7层。因为可对更高层的信息进行分析,代理服务器能更好地保护网络,量与包过滤设备相比,需要更高的开销。
第三种防火墙技术,基于状态的包过滤,结合了代理服务器和包过滤设备的优点,避免了它们的很多缺点。这种防火墙保持完整的会话状态。每当一个TCP或UDP连接建立的时候,不管是出去的连接,还是进来的连接,这些信息都被记录在一个基于状态的会话流表中。
CISCO PIX防火墙采用的就是这种技术。
数据包过滤; 过滤是基于源地址或者目的地址.
注; 大部分目前的防火墙,包括pix,都不是基于包过滤技术的, 配置了ACL的cisco路由器,则是一个包过滤的防火墙.
代理服务式的防火墙要求用户通过代理和安全系统进行通信,从而隐藏有价值的数据。用户经过建立会话状态,通过认证及授权以后,才能访问受保护的网络。用户通过运行在网关上的应用程序(代理)连接到外部的服务,网关与外部不受保护的区域相连。通常说来,代理服务器式的防火墙比包过滤设备能提供更好的安全保证。但是,代理防火墙也有不足之处:
代理服务器防火墙是个单点故障点,也就是说如果网络的入口出现问题,整个网络就瘫痪了
在防火墙上增加一个新的服务很困难
在压力较大的情况下,代理服务器式的防火墙工作很慢
针对每一个TCP和UDP连接,基于状态的会话流表包含该连接中特定会话的源、目的、地址、端口号、TCP序列号信息,以及与该会话查相关的其他标志信息。基于这些信息建立一个连接对象,而后,进来或出去的包就和基于状态的会话流表中的会话流相比较,只有当连接已经存在时,数据才允许通过防火墙。
这处方式比较好的原因是:
基于数据包和连接进行工作
比包过滤或代理服务器的性能高
把每个连接或无连接的事务(Transacion)的数据记录在表中,参照这张表可以 确定数据包是否属于已有的连接,还是来自一个未授权的连接
防火墙的基本配置;
首先进入接口; int e0
Nameif outside/inside 定义接口名称
Security-level 0-100 定义接口级别 内网接口级别; 100 外网接口级别 0
Ip add 1.1.1.1 255.255.255.0 设置接口IP
两个基本ACL列表;
Access-list 100 permit icmp 1.1.1.0 255.255.255.0 2.2.2.0 255.255.255.0
Access-list 100 permit tcp 2.2.2.0 255.255.255.0 1.1.1.0 255.255.255.0 eq 23
Access-group 100 in interface ouside 应用列表.
总结;
有状态; TCP, UDP是有状态的, 意味着从inside 到outside 的流量是不受限制的,并且在防火墙上也不需要做列表;
无状态; ICMP是无状态的可以inside 到outside 的流量必须要在防火墙的outside方向做从外到内部的流量列表.
级别的图示;
定义时间访问控制列表;
Time-range yyp
Absolute start “定义一个绝对的时间” 如; 00:00 1 apri 2009 end 00:00 30 april 2009
Perioadic weekdays 8:30 to 17:00 “定义一个绝对的周期时间”
定义列表
Access-list 100 permit tcp 1.1.1.0 255.255.255.0 host 2.2.2.0 255.255.255.0 eq www time-rang yyp 关联定义的时间访问控制列表.
Access-group 100 in interface inside/outside 就用此访问控制列表
NAT地址转换;
动态NAT. fw1(config)# nat (inside) 1 10.0.0.0 255.255.255.0
fw1(config)# global (outside) 1 192.168.0.20-192.168.0.254 netmask 255.255.255.0
多接口的NAT动态指定.
fw1(config)# nat (inside) 1 10.0.0.0 255.255.255.0
fw1(config)# nat (inside) 2 10.2.0.0 255.255.255.0
fw1(config)# global (outside) 1 192.168.0.3-192.168.0.16 netmask 255.255.255.0
fw1(config)# global (outside) 2 192.168.0.17-192.168.0.32 netmask 255.255.255.0
PAT 网络地址转换;
PAT技术结合了IP地址和端口号, 多个不同的会话可以通过一个单一的全局地址与外部网络进行通信,不同会话会标识不同的端口号.
PAT举例;
Fw1(config)# nat (inside) 1 123.1.1.0 255.255.255.0
Fw1(config)# nat (outside) 1 192.168.1.3 netmask 255.255.255.255 / interface
映射子网到PAT;
fw1(config)# nat (inside) 1 10.0.1.0 255.255.255.0
fw1(config)# nat (inside) 2 10.0.2.0 255.255.255.0
fw1(config)# global (outside) 1 192.168.0.8 netmask 255.255.255.255
fw1(config)# global (outside) 2 192.168.0.9 netmask 255.255.255.255
PAT的一个备份;
fw1(config)# nat (inside) 1 10.0.0.0 255.255.252.0
fw1(config)# global (outside) 1 192.168.0.8 netmask 255.255.255.255
fw1(config)# global (outside) 1 192.168.0.9 netmask 255.255.255.255
利用PAT对NAT增强;
fw1(config)# nat (inside) 1 10.0.0.0 255.255.0.0
fw1(config)# global (outside) 1 192.168.0.20-192.168.0.253 netmask 255.255.255.0
fw1(config)# global (outside) 1 192.168.0.254 netmask 255.255.255.255
NAT的高级特性;
NAT标识;
在现在的500系列的PIX防火墙上, 默认情况下是没有敲上; nat-control , 如果开启了nat-control这个命令的话; 所有的数据穿越防火墙都需要进行地址转换.
标识NAT它创建了一个透明的映射,它可以实现让自己的地址进行自身的翻译.
配置命令;
首先敲入 nat-control
Nat (inside) 0 “需要转换的内网IP地址” 123.1.1.1 255.255.255.255
故障倒换;
理解状态和非状态的切换;
- 非状态切换
• 设备之间的连接会丢失.
• 客户端应用必须重新连接.
• 提供硬件级的冗余
• 提供串口和以太网的故障切换
- 状态化切切换
• 能保持TCP 的正常连接
• 客户端的应用不必重新连接
• 提供状态化的冗余
• 提供一个状态化的链路
实现Failover的主要条件;
• 主设备和备用设备必须具备下列条件:
- 硬件型号必须相同
- 同一软件版本*
- 同一特性 (DES or 3DES)
- 内存和FLASH容量必须一样
- 适合的 licensing
l 从7.0版本开始,软件版本可以不一致
配置命令;
Faiover lan interface cisco e2
Failover interface cisco ip 1.1.1.1 255.255.255.255 standby 1.1.1.2
Failover lan enable
Failover lan unit permity
Failover key cisco
Failover
设置抢占; failover active
状态化failover ; failove link cisco 在上面的基础上加一条这个命令.
防火墙的多模式;
Virtualization ;
可以把一个物理防火墙逻辑上划分出多个虚拟防火墙.
每个虚拟防火墙都有自己独子的配置,和操作,实际的物理防火墙是一样
Context 的应用环境;
服务提供商可以把多个虚拟防火墙卖给不同的客户,
大企业或者大学想要保持部门之间匠隔离,
一个网络需求多个防火时.
Context 的配置;
Mod multiple 配置为多模式.
Admin-context admin
Context admin
Config-url admin.cfg
Context c1
Config-url c1.cfg
Allocate-interface e1
Allocate-interfac e0
Changeto context c1 进入真正的虚拟C1
Changeto system 回到物理防火墙下.
防火墙的透明模式;
防火墙可以运行两种模式 ;
第一种; 路由模式. 基于IP
第二种; 透明模式. 基于MAC地址.
透明防火墙定义;
不需要IP地址,不需要NAT, 不需要路由协议.
默认情况下,不管接口有没有安全级别,流量都是不可以穿越防火墙的,所有我们要明确放行inside和outside的流量。
开启防火墙的透明模式;
Firewall transparent
查看模式; show firewall
透明防火墙的概述;
- 三层流量必需明确指定是允许还是拒绝
- 每个方向的连接必须在同一网段
- 如果你需要telnet到这台设备上,那么还需要配置一个管理地址
- 管理IP地址必须在同一子网
- 每个接口必须在不同的VLAN
阅读(563) | 评论(0) | 转发(0) |