智慧HW数通基础第十章防火墙配置.docx

PAGE

PAGE10

第十章 防火墙及配置

.1 防火墙介绍

防火墙的概念

简单的说，防火墙的作用是在保护一个网络免受“不信任”网络的攻击的同时，保证两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征：

经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。

现代的防火墙体系不应该只是一个“入口的屏障”，防火墙应该是几个网络的接入控制点，所有经过被防火墙保护的网络的数据流都应该首先经过防火墙，形成一个信息进入的关口。因此防火墙不但可以保护内部网络在Internet中的安全，同时还可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络中，所有的计算机之间是被认为“可信任的”，它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间，必须按照防火墙规定的“策略”进行互相的访问。

.2 网络安全技术

.2.1 网络安全技术介绍

网络安全介绍

Quidway系列路由器提供一个全面的网络安全解决方案，包括用户验证、授权、数据保护等。

Quidway系列路由器所采用的安全技术主要包括：包过滤技术－针对IP地址的一种访问控制AAA验证－对用户进行验证、授权、计费的技术地址转换－屏蔽内部网络地址的一种技术VPN技术－提供一种安全“私有连接”的技术智能防火墙－可以针对内容等进行访问控制的技术加密和密钥管理技术

在路由器中，包过滤技术是实现防火墙的最重要的手段。

.2.2 IP包过滤技术介绍

IP包过滤介绍

对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。

OK

WAN

规则数据库

包过滤技术主要是设定一定的规则，控制数据包。路由器会根据设定的规则和数据包的包头信息比较，来决定是否允许这个数据包通过。实现包过滤技术最核心内容就是访问控制列表。

“网络工程师培训”

“网络工程师培训”基础教程

第十章防火墙配置

.2.3 访问控制列表

为什么要用访问控制列表?

拒绝某些不希望的访问。访问控制列表具有区分数据包的能力。

内部网络

Internet

公司总部DMZ

办事处

内部服务器

202.10.10.0的用户

用户可以通过Internet和外部网络进行联系，网络管理员都面临着一个问题，就是如何拒绝一些不希望的连接，同时又要保证合法用户进行的访问。为了达到这样的效果，我们需要有一定的规则来定义哪些数据包是“合法”的（或者是可以允许访问），哪些是“非法”的（或者是禁止访问）。这些规则就是访问控制列表。

访问控制列表（续）

为什么要用访问控制列表？（续）

访问控制列表按照数据包的特点，规定了一些规则。这些规则描述了具有一定特点的数据包，并且规定它们是被“允许”的还是“禁止”的。这些规则的定义是按照数据包包头的特点定义的，例如可以这样定义：

允许202.38.0.0/16网段的主机可以使用协议

HTTP访问129.10.10.1。

禁止从202.110.0.0/16网段的所有访问。

访问控制列表就可以提供这样的功能，它按照数据包的特点，规定了一些规则。

这些规则描述了具有一定特点的数据包，（例如所有源地址是地址段的数据包、所有使用Telnet访问的数据包等等）并且规定它们是被“允许”的还是“禁止”的。这样可以将访问控制列表规则应用到路由器的接口，阻止一些非法的访问，同时并不影响合法用户的访问。访问控制列表提供了一种区分数据包种类的手段，它把各种数据包按照各自的特点区分成各种不同的种类，达到控制用户访问的目的。

.2.4 地址列表的其他用途

地址列表的另一个用途

控制什么样的数据包可以触发拨号控制“这些数据包”做“这些事”

确定什么样的数据包可以触发拨号

PSTN

办事处

由于访问控制列表具有区分数据包的功能，因此，访问控制列表可以控制“什么样的数据包”，可以做什么样的事情。例如，当企业内部网通过拨号方式访问Internet，如果不希望所有的用户都可以拨号上网，就可以利用控制列表决定哪些主机可以触发拨号，以达到访问Internet的目的。利用访问控制列表可以控制数据包的触发拨号，同样在IPSec、地址转换等应用中，可以利用控制列表描述什么样的数据包可以加密，什么样的数据包可以地址转换等。

.2.5 访问控制列表原理

访问控制列表是什么？

一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）：

IP报头 TCP报头 数据

协议号源地址目