返回
防火墙安全规则和配置

防火墙安全规则和配置

ID:43470842

大小:19.04 KB

页数:11页

时间:2019-10-04

防火墙安全规则和配置_第1页
防火墙安全规则和配置_第2页
防火墙安全规则和配置_第3页
防火墙安全规则和配置_第4页
防火墙安全规则和配置_第5页
资源描述:

《防火墙安全规则和配置》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。网络安全技术主要有,认证授权、数据加密、访问控制、安全审计等。而提供安全网关服务的类型有:地址转换、包过滤、应用代理、访问控制和DoS防御。本文主要介绍地址转换和访问控制两种安全网关服务,利用cisco路由器对ISDN拨号上网做安全规则设置。试验环境是一台有firewall版本IOS的cisco2621路由器、一台交换机组成的局域网利用ISDN拨号上网。 一、地址转换 我们知道,Internet技术是基于IP协议的技术,所有的信息通信都是通过IP包来实现的,每一个设备需要进行通信都必须有一个唯一的IP地址。因此

2、,当一个网络需要接入Internet的时候,需要在Internet上进行通信的设备就必须有一个在全球Internet网络上唯一的地址。当一个网络需要接入Internet上使用时,网络中的每一台设备都有一个Internet地址,这在实行各种Internet应用上当然是最理想不过的。但是,这样也导致每一个设备都暴露在网络上,任何人都可以对这些设备攻击,同时由于Internet目前采用的IPV4协议在网络发展到现在,所剩下的可用的IP地址已经不多了,网络中的每一台设备都需要一个IP地址,这几乎是不可能的事情。 采用端口地址转换,管理员只需要设定一个可以用作端口地址转换的公有Internet地址,

3、用户的访问将会映射到IP池中IP的一个端口上去,这使每个合法InternetIP可以映射六万多台内部网主机。从而隐藏内部网路地址信息,使外界无法直接访问内部网络设备。 Cisco路由器提供了几种NAT转换的功能: 1、内部地址与出口地址的一一对应 缺点:在出口地址资源稀少的情况下只能使较少主机连到internet。 2、内部地址分享出口地址 路由器利用出口地址和端口号以及外部主机地址和端口号作为接口。其中内部地址的端口号为随机产生的大于1024的号码,而外部主机端口号为公认的标准端口号。这样可以用同一个出口地址来分配不同的端口号连接任意数量的内部主机到外网。 具体配置:由于实验用的是ISD

4、N拨号上网,在internet上只能随机获得出口地址,所以NAT转换的地址池设置为BRI口上拨号所获得的地址。 interfaceFastEthernet0/0 ipaddress172.16.18.200255.255.255.0 ipnatinsidetheinterfaceconnectedtoinsideworld ! interfaceBRI0/0 ipaddressnegotiated ipnatoutsidetheinterfaceconnectedtooutsidenetwork encapsulationppp noipsplit-horizon dialerstring

5、163 dialerload-threshold150inbound dialer-group1 isdnswitch-typebasic-net3 ipnatinsidesourcelist1interfaceBRI0/0overload access-list1permit172.16.18.00.0.0.255 3、内部地址和外部地址出现交叠 当内部和外部用同一个网络段地址时,在地址没有重复的情况下,可以同时对内外接口进行NAT转换使之可以正常通讯。 4、用一个出口地址映射内部多台主机 应用于internet上的大型网站有多台主机对应同一个系统的同一个出口地址。 可以用shipnat

6、translation和debugipnat命令来检查NAT的状态。 二、基于上下文的访问控制(Context-basedaccesscontrol--CBAC) CISCO路由器的access-list只能检查网络层或者传输层的数据包,而CBAC能够智能过滤基于应用层的(如FTP连接信息)TCP和UDP的session;CBAC能够在firewallaccess-list打开一个临时的通道给起源于内部网络向外的连接,同时检查内外两个方向的sessions。 1、工作原理 比如当CBAC配置于连到internet的外部接口上,一个从内部发出的TCP数据包(telnet会话)经过该接口连出,

7、同时CBAC的配置中已经包括了tcpinspection,将会经过以下几步: (1)数据包到达防火墙的外部接口(设为s0); (2)数据包由该接口outboundaccess-list检查是否允许通过(不通过的数据包在此被丢弃,不用经过以下步骤); (3)通过accesslist检查的数据包由CBAC检查来决定和记录包连接状态信息,这个信息被记录于一个新产生的状态列表中为下一个连接提供快速通道; (4)如果CBAC没有定

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。