-拓展任务3.6-1H3C防火墙技术专题培训.ppt

DMZ Untrust Trust 路由模式 目的网段/掩码 出接口 下一跳 路由来源 /0 Ethernet 8 54 Static /24 Ethernet 7 --- Direct /24 Ethernet 8 --- Direct /24 Ethernet 1 54 Static /24 Ethernet 2 54 RIP 转发信息表 /24 .254 .1 /24 /24 /24 /24 .254 .1 /24 .254 .1 .254 /24 50 Internet SecPath系列防火墙 Ethernet 7 Ethernet 8 Ethernet 2 Ethernet 1 透明模式—什么是透明模式？ MAC地址表 目的MAC地址 端口 00E0-FCAA-AAAA Ethernet 1 …… …… Ethernet 1 Ethernet 2 SecPath系列防火墙 主机A 00E0-FCAA-AAAA 主机B 00E0-FCBB-BBBB 主机C 00E0-FCCC-CCCC 主机D 00E0-FCDD-DDDD 如同网桥一样部署在网络中，防火墙接口上不需要配置IP地址，依据MAC地址表进行转发，同时可以对接收到的IP报文进行ACL规则匹配、ASPF状态过滤、防攻击检查等。 透明模式—MAC地址学习 MAC地址表 目的MAC地址 端口 00E0-FCAA-AAAA Ethernet 1 00E0-FCBB-BBBB Ethernet 1 Ethernet 1 Ethernet 2 SecPath系列防火墙 主机A 00E0-FCAA-AAAA 主机B 00E0-FCBB-BBBB 主机C 00E0-FCCC-CCCC 主机D 00E0-FCDD-DDDD 主机A向主机B发送以太网帧 主机B响应主机A的以太网帧 透明模式—未知单播报文的转发 MAC地址表 目的MAC地址 端口 00E0-FCAA-AAAA Ethernet 1 00E0-FCBB-BBBB Ethernet 1 00E0-FCCC-CCCC Ethernet 2 Ethernet 1 Ethernet 2 SecPath系列防火墙 主机A 00E0-FCAA-AAAA 主机B 00E0-FCBB-BBBB 主机C 00E0-FCCC-CCCC 主机D 00E0-FCDD-DDDD 主机A向主机C发送以太网帧 广播ARP请求 主机C响应防火墙的ARP应答 防火墙转发主机A到主机C的以太网帧 混合模式 DMZ Untrust Trust Internet 19 50 19 50 51 Trust区域与Untrust区域和DMZ区域属于不同网段，它们之间通过路由模式通信，实现IP报文的路由转发和安全状态检查。 连接DMZ区域和Untrust区域的防火墙接口属于同一个网段，两个区域之间通过透明模式通信，实现同一网段内的包转发和安全状态检查。 路由模式数据流 透明模式数据流 讲解了防火墙的发展背景及技术演进。 阐述了防火墙应该具备的重要功能，对每一种防火墙技术的应用背景与技术原理做了详细分析。 描述了防火墙的三种工作模式（透明模式、路由模式和混合模式）。 本章总结 ALG—为什么需要ALG？ ALG（Application Layer Gateway：应用层网关） 虽然NAT的应用解决了内网访问外网的问题，但很多应用层协议都包含多通道的信息，比如多媒体协议、FTP、DNS等，这种多通道协议的应用首先需要在控制通道中对后续数据通道的地址和端口进行协商，然后根据协商结果创建数据通道连接。NAT仅对报文头中的IP地址和端口进行转换，对数据载荷中携带的地址信息无法进行识别和转换，导致应用失效。 穿越防火墙时需要做ALG处理的应用层协议包括：FTP、DNS、H.323（包括RAS、H.225、H.245）、HTTP、ICMP、ILS、MSN/QQ、NBT、RTSP、SIP、SQLNET、TFTP等。 ALG—FTP的ALG应用 0 SecPath系列防火墙 内网主机 FTP服务器 NAT (0 - 0) 内网主机与FTP服务器之间建立控制通道 发送Port报文 （Port 0, 1024） ALG处理 Port报文载荷已被转换 （Port 0, 5000） FTP服务器向内网主机发起数据连接 （:20 - 0, 5000） FTP服务器向内网主机发起数据连接 （:20 - 0:1024） ALG处理 在已经建立的数据连接上进行数据传输 ALG—DNS的ALG应用 - 0 SecPath系列防火墙 DNS服务器 NAT (0 - 0) DNS Query 的IP地址是多少？ DNS Answer 的IP地址是0 DNS Answer 的IP地