防火墙相关配置及安全策略VPN+NAT+ACL.doc

《防火墙相关配置及安全策略VPN+NAT+ACL.doc》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、防火墙的体系及种类：DMZ区的安全级别低于内部区域，DMZ区部署外部需要访问的WEB，MAIL，FTP等，而应用服务器和数据库及重要的机密数据必须部署在内部区域。防火墙的功能：（ROUTER支持多种的网络协议，所以它部署在最外面进行路由功能）安装方式：二图可以建立企业部门之间的VPN，三图考虑到现实中的双机热备。包过滤防火墙可以是一种硬件设备，也可以在路由器上配置过滤机制（ACL）来构造包过滤防火墙（第一道网络安全的机制）。特点如下：ACL（访问控制列表）的相应特点：ACL的工作过程及原理：一、最后一条必须是完全拒绝规则。ACL的分类：

2、标准ACL，扩展的ACL，命名的ACLACL的配置实施过程：一、创建列表，二、绑定到提定接口(in,out是相对路由器本身而言的。)。标准列表的配置：（一条命令：no可以删除所以的列表）扩展列表的配置：命令列表的配置：（名字要写清楚，它是标准列表的扩展列表基础上）设备ACL的位置：控制内部的主机对外部其它网络的访问，则使用扩展列表来说明是哪一些外部网络；控制外部的一些网络对自已内部主机的访问，则使用标准列表来控制哪些源头是否可访问。查看ACL列表。配置VTY来控制远程对路由器或者三层交换机的访问，使用标准列表。扩展的命名ACL可以一条规

3、则匹配十个端口，而扩展的ACL一条规则只能匹配一个端口。扩展的命名ACL在规则数量上少多了，实质没有改变。Remark对规则进行注释和说明：基于时间范围的访问控制列表ACL：（拒绝的列表在前面，充许的列表在后面）蠕虫病毒的扫描和攻击都是针对具体的端口进行发生的。攻击是不断更新变化，所以ACL也需要不断更新。所以在随时了解和掌握攻击的端口，同是更新ACL。控制内部主机访问外网，并且指定时间段：一个端口上可以配多条ACL，有in、out两类。可以对内网用户的上网行为进行控制，比如只能访问规定服务和站点。在包过滤防火墙上进行NAT配置：NAT

4、的优势：节省了公网的IP地址，延长了IPV4的使用寿命；实了隐藏内部的真实IP地址，让内部的网络结构不被他人识破。但它是以牺牲网络性能来实现这些功能。NAT实现的基本原理：201.0.0.1,2,3三个外网地址供内部网络使用。NAT的几种类型：（源地址转换和目地地址转换）一、静态NAT。NAT映射表中可以实现外网IP与内网IP的一一对映关系。将内部主机进行映射，使之能够访问外总网络。也可以进行安全控制。基于源地址转换一、动态NAT。(地址池中的外网地址用完了，其他内网用户就不能使用外网地址了。基于源地址转换)二、动态NAT实现超载（与二

5、差别不大，内网多个主机可以用同一个外网地址，通过不同的端口进行转换。基于源地址转换）三、PAT基于端的NAT。多个内网IP通过不同端口与一个外网IP的不同端口进行对映。基于源地址转换四、以NAT实现的TCP负载均衡。用路由器来应答大量的外部请求，再由路由器分配到内部的多台服务器上。把服务器当作一个整体并对外虚拟成一个服务器，外部请求都是请求虚拟服务器。基于目地地址转换。如下图：配置在内部有WEB服务器或者其它服务器需要对外公布的一端。先定义一个针对虚拟服务器的标准列表。NAT地址池中的都是真实的服务器的地址池，必须加上“typerota

6、ry”轮询服务器。