1、路由器防火墻典型配置講解路由和路由協(xié)議簡介第二章 NAT第三章 防火墻簡介第四章 課后作業(yè)什么是路由器簡單的說就是在IP網絡上連接不同子網，實現(xiàn)IP報文轉發(fā)功能的設備每臺路由器都有一張路由表，路由器就是根據路由表來進行IP報文轉發(fā)的。Routing Tables: Destination/Mask Proto Pref Metric Nexthop Interface/0 Static 60 0 Tunnel6/30 Direct 0 0 Tunnel6/32 Direct 0 0 LoopBack0/8 Static 60 0 Ethernet0/23 Direct 0 0 4 Ethern

2、et04/32 Direct 0 0 LoopBack0/8 Direct 0 0 LoopBack0/32 Direct 0 0 LoopBack0 28/27 Direct 0 0 37 Ethernet1 37/32 Direct 0 0 LoopBack0主機的處理過程每臺主機都有自己的路由表Active Routes:Network Destination Netmask Gateway Interface Metric 8 20 8 8 208 55 2055 55 8 8 20 1 8 8 2055 55 8 8 1 54 8 20Default Gateway: =問題：上圖中

3、主機訪問00、2、00時分別會把報文轉發(fā)給那個網關設備。靜態(tài)路由協(xié)議路由器上配置ip route-static Tunnel 6 preference 60ip route-static preference 60orip route 3ip route Windowsroute ADD MASK 動態(tài)路由協(xié)議路由協(xié)議也叫做動態(tài)選路協(xié)議，就是路由器獲得路由表的過程。RIP IGRP EIGRP OSPF等等都是路由協(xié)議Distance Vector Protocols RIP IGRP EIGRPLink State Protocols OSPFIS-IS第一章 路由和路由協(xié)議簡介第二章 NA

4、T第三章 防火墻簡介第四章 課后作業(yè)什么是NAT隨著IP網絡的普及，目前廣泛應用的IPv4版本的ip地址出現(xiàn)嚴重不足，運行TCP/IP協(xié)議的設備原來越多，無法滿足每個設備擁有一個IP地址的需求NAT(Network Address Translation)網絡地址轉換，又稱地址代理，用來實現(xiàn)私有網絡地址與 公有網絡地址之間的轉換。 私有地址是指內部網絡(局域網內部)的主機地址， 而公有地址是局域網的外部地址（在因特網上的全球唯一的IP地址）。 因特網地址分配組織規(guī)定以下的三個網絡地址保留用做私有地址： - 55 - 55 - 55 也就是說這三個網絡的地址不會在因特網上被分配，但可以在一個企業(yè)

5、（局域網）內部使用。典型NAT組網NAT的幾種實現(xiàn)方式Static NAT （靜態(tài)地址映射）Dynamic NAT（動態(tài)地址映射）NAPT（Port Address Translation）（端口映射）Static NAT把私網地址轉化為互聯(lián)網地址，而且是一對一的，私網內的一個地址總會被轉換成一個固定的互聯(lián)網地址。Static NAT（續(xù)）Static NAT（續(xù)）在上例中client 和分別被轉換為和。注意源地址發(fā)生了變化，而源端口并沒有變化。而且這種轉換關系是固定的。Dynamic NAT多個私網地址會被轉換成多個公網地址，但這種轉換關系是不確定的，并不能保證某個私網地址一定會被轉換成某個

6、公網地址。一般我們把這些公網地址成為地址池（nat pool）。Dynamic NAT（續(xù)）Dynamic NAT（續(xù)）在上例中client 和分別被轉換為和注意源地址發(fā)生了變化，而源端口并沒有變化。需要注意的是在動態(tài)NAT的情況下，這種地址映射的關系是會發(fā)生變化的NAPT（Port Address Translation）有時也稱為Overloading，多個私網地址會被轉換成一個個公網地址，同時端口也會轉換成，以便區(qū)別不同的連接。 NAPT（續(xù)）NAPT（續(xù)）在上例中client 和都被映射為地址，用于區(qū)別各通信連接的是端口號。注意源地址和源端口在NAT后都發(fā)生的變化。需要注意的是在NAP

7、T的情況下，這種地址和端口的映射關系是會發(fā)生變化的。關于NAT 更多RFC 1631: The IP Network Address Translator (NAT)RFC 1918: Address Allocation for Private InternetsHow nat worksCiscoIPJ 2000 Volume 3 number 4典型的NAT應用(1)Cisco PIXnameif ethernet0 outside security0nameif ethernet1 inside security100interface ethernet0 autointerface

8、ethernet1 autoip address outside 42 24ip address inside 54 global (outside) 1 42nat (inside) 1 0 0route outside 37 1Eudemon#interface Ethernet0/0 ip address 54 #interface Ethernet1/0 ip address 42 24#acl number 2001rule 0 permit source 55#firewall zone localset priority 100#firewall zone trust add i

9、nterface Ethernet0/0 set priority 85#firewall zone untrust add interface Ethernet1/0 set priority 5#firewall interzone local trust#firewall interzone trust untrust nat outbound 2001 interface Ethernet0/0/0#ip route-static 37配置NAT和NAPTnat outbound 2001 interface Ethernet0/0/0nat outbound 2001 address

10、-group 1nat outbound 2001 address-group 1 no-pat端口映射表disp firewall session tableHTTP: vpn:0,1:253742:36998-9:80HTTP: vpn:0,1:255442:56279-30:80RAS: vpn:0,:171942:1719-17:21298RAS: vpn:0,:171942:17199:80RAS: vpn:0,:171942:1719-9:1719RAS: vpn:0,:171942:1719-17:10308TELNET: vpn:0,:239:80RAS: vpn:0,:171

11、942:171930:80RAS: vpn:0,:171942:1719-2:45224RAS: vpn:0,:171942:1719-2:64470老化時間disp firewall session aging-timetcp protocol timeout:600udp protocol timeout:120icmp protocol timeout:20fragment timeout:5fin-rst protocol timeout:10syn protocol timeout:5h225 timeout:10800h245 timeout:10800h323-rtcp time

12、out:120h323-rtp timeout:120h323-t120 timeout:10800 timeout:240hwcc timeout:120ras timeout:600http timeout:600smtp timeout:600telnet timeout:600典型的NAT應用(2)地址映射和端口映射static (inside, outside) 42static (inside, outside) tcp 42 55 0 0nat server global 42 inside nat server protocol udp global 42 1719 insid

13、e 192.168.0. 1719第一章 路由和路由協(xié)議簡介第二章 NAT第三章 防火墻簡介第四章 課后作業(yè)防火墻的基本功能包過濾 （Packet filtering）代理服務 （Proxy service）狀態(tài)檢測 （State inspection）包過濾 （Packet filtering）包過濾是指針對IP包頭進行過濾的方法，通過檢測IP包頭包括TCP或UDP包頭的信息來決定是否允許報文通過，你可以定義允許或禁止源地址或目的地址為X的包通過，也可以允許或禁止某些端口的報文通過，或者將這些策略組合。 對于防火墻的配置中，最多的部分就是包過濾部分，各種防火墻的設置方法可能不同，有的是命令行

14、，有的是圖形界面。但是內容基本都是一致的，可以表達為：允許/禁止 源地址 目的地址 協(xié)議（TCP/UDP） 端口（目的端口） permit host 2 udp 1719 在上例中，一個連接的四個要素（源地址、源端口、目的地址、目的端口）只出現(xiàn)了3個，因為在連接建立時源端口大多是隨機的，因此防火墻一般是不會根據源端口進行過濾的。包過濾（續(xù)）指的是對IP數據包的過濾。對路由器需要轉發(fā)的數據包，先獲取包頭信息，包括IP層所承載的上層協(xié)議的協(xié)議號，數據包的源地址、目的地址、源端口、目的端口等，然后和設定的規(guī)則進行比較，根據比較的結果對數據包進行轉發(fā)或者丟棄。 代理服務 （Proxy service）

15、防火墻上基本都有代理（NAT）功能，有的實現(xiàn)了應用層代理（類似web proxy），有的僅僅配置成簡單的NAT或NAPT。要注意分清應用層Proxy和NAT轉換的區(qū)別，尤其是和用戶交流的時候。NAT中的細節(jié)NAT工作在三層，對大多數應用程序而言是透明的，IE無需知道自己是直接在公網上還是經過NAT上公網的。上例中Internet Explorer運行在/24，在整個http通信過程中只有一條TCP連接建立。在經過NAT設備前后源地址和源端口發(fā)生了改變。Proxy中的細節(jié)應用層的proxy實際上是建立兩個連接，一個是client到proxy的連接，一個是從proxy到Server的連接。從TCP

16、層看，是兩個不同的TCP連接。H323通信是無法穿越代理服務 （續(xù)）雖然大多數防火墻都具備NAT或PAT的功能，但防火墻不一定要實現(xiàn)NAT功能，當我們說XX設備在防火墻后的時候，不一說明是經過NAT轉換的。狀態(tài)檢測 （State inspection）狀態(tài)檢測是指防火墻不僅僅根據網絡層的信息進行報文過濾，同時根據四層以上的協(xié)議進行過濾，各個廠家的叫法可能不同，ASPF（Application Specific Packet Filter）或CBAC（Context-Based Access Control）。目前大多數防火墻都提供了基于狀態(tài)檢測的防火墻，如防火墻內有一個，要對外提供服務，你只需

17、要開放TCP 21端口即可，因為FTP會話過程中使用的其他端口防火墻會動態(tài)開放。應用層網關的配置 nat alg enable h323 detect h323 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 Access-list的配置ACL是由permit或deny語句組成的一系列有順序的規(guī)則，這些規(guī)則針對數據包的源地址、目的地址、端口號、上層協(xié)議或其他信息來描述。 ACL可用于包過濾、NAT、IPSec、QoS、路由等說到底就是選擇報文Eudemon上ACL配置acl number 3106rule 5 pe

18、rmit tcp destination 53 0 destination-port eq 22rule 10 permit tcp destination 53 0 destination-port eq wwwrule 15 permit udp destination 0 destination-port eq 1719rule 20 permit udp destination 0 destination-port eq 1729rule 25 permit tcp destination 52 0 destination-port eq wwwrule 30 permit tcp destination 52 0 destination-port eq 3389rule 35 permit icmp destination 0firewall interzone trust untrustpacket-filter 3106 inboundpacket-filter 2001 outboundnat outbound 2001 interface Ethernet0/0/0dete