項(xiàng)目五

網(wǎng)絡(luò)安全技術(shù)任務(wù)一：配置訪問控制列表任務(wù)二：部署路由器中防火墻功能任務(wù)三：配置NAT實(shí)現(xiàn)內(nèi)網(wǎng)用戶訪問internet目錄任務(wù)四：使用NAT技術(shù)發(fā)布內(nèi)網(wǎng)服務(wù)器任務(wù)五：配置硬件防火墻任務(wù)六：配置防火墻實(shí)現(xiàn)域名過濾訪問控制列表概述

ACLs(AccessControlLists，接入控制列表)：也稱為訪問列表，ACLs通過定義一些規(guī)則對(duì)通過網(wǎng)絡(luò)設(shè)備接口上的數(shù)據(jù)報(bào)文進(jìn)行控制：允許通過或丟棄。訪問控制列表應(yīng)用概述安全控制（限制路由更新、限制網(wǎng)絡(luò)訪問等）流量過濾數(shù)據(jù)流量標(biāo)識(shí)ACL的種類

兩種基本的ACL：標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。標(biāo)準(zhǔn)IPACL只能過濾IP數(shù)據(jù)包頭中的源IP地址，（編號(hào)為1-99，1300-1999）。擴(kuò)展IPACL可以過濾源IP地址、目的IP地址、協(xié)議（TCP/IP）、協(xié)議信息（端口號(hào)、標(biāo)志代碼）等，（編號(hào)為100–199，2000-2699）。ACL工作原理及規(guī)則

ACL語句有兩個(gè)組件：一個(gè)是條件，一個(gè)是操作。 條件：條件基本上一個(gè)組規(guī)則 操作：當(dāng)ACL語句條件與比較的數(shù)據(jù)包內(nèi)容匹配時(shí)，可以采取允許和拒絕兩個(gè)操作。ACL工作原理及規(guī)則

基本規(guī)則、準(zhǔn)則和限制ACL語句按名稱或編號(hào)分組；每條ACL語句都只有一組條件和操作，如果需要多個(gè)條件或多個(gè)行動(dòng)，則必須生成多個(gè)ACL語句；如果一條語句的條件中沒有找到匹配，則處理列表中的下一條語句；如果在ACL組的一條語句中找到匹配，則不再處理后面的語句；如果處理了列表中的所有語句而沒有指定匹配，不可見到的隱式拒絕語句拒絕該數(shù)據(jù)包；由于在ACL語句組的最后隱式拒絕，所以至少要有一個(gè)允許操作，否則，所有數(shù)據(jù)包都會(huì)被拒絕；語句的順序很重要，約束性最強(qiáng)的語句應(yīng)該放在列表的頂部，約束性最弱的語句應(yīng)該放在列表的底部；標(biāo)準(zhǔn)ACL 通過兩種方式創(chuàng)建標(biāo)準(zhǔn)ACL：編號(hào)或名稱使用編號(hào)Router(config)#access-list

listnumber{permit|deny}address[wildcard–mask]使用名稱：Router(config)#(config)#ipaccess-list{standard|extended}{id|name}Router(config-xxx-nacl)#[sn]{permit|deny}{src

src-wildcard|hostsrc|any|interfaceidx}[time-rangetm-rng-name]在接口上應(yīng)用

Router(config-if)#ipaccess-group{id|name}{in|out} In方向：當(dāng)流量從網(wǎng)絡(luò)網(wǎng)段進(jìn)入路由器接口時(shí)。 Out方向：當(dāng)流量離開接口到網(wǎng)絡(luò)網(wǎng)段時(shí)。任務(wù)一：配置訪問控制列表任務(wù)二：部署路由器中防火墻功能任務(wù)三：配置NAT實(shí)現(xiàn)內(nèi)網(wǎng)用戶訪問internet目錄任務(wù)四：使用NAT技術(shù)發(fā)布內(nèi)網(wǎng)服務(wù)器任務(wù)五：配置硬件防火墻任務(wù)六：配置防火墻實(shí)現(xiàn)域名過濾什么是URL過濾

是指在HTTP通信中、限制可訪問URL的功能。內(nèi)部數(shù)據(jù)庫查看型URL過濾功能中，能夠?qū)RL的全部或者部分作為關(guān)鍵字在路由器中注冊，限制訪問包含符合該關(guān)鍵字的字符串的URL。并且，也能夠通過在過濾設(shè)置時(shí)指定起始IP地址而限制來自特定的主機(jī)或者網(wǎng)絡(luò)的連接。URL過濾概述

URL過濾是包過濾的擴(kuò)展，是更深層次的訪問控制，屬于內(nèi)容過濾的一種。URL過濾的目的通常是為了限制內(nèi)部網(wǎng)絡(luò)用戶對(duì)某些非法的、內(nèi)容不健康的網(wǎng)站的訪問。

URL過濾的工作過程是：1、防火墻對(duì)客戶端發(fā)出的HTTP請(qǐng)求進(jìn)行解析，得到請(qǐng)求的URL地址。2、將請(qǐng)求的URL地址與防火墻本地預(yù)先定義好的URL過濾規(guī)則進(jìn)行匹配檢查。3、如果匹配發(fā)生，根據(jù)檢查的結(jié)果決定是允許訪問還是拒絕。4、如果在本地URL過濾規(guī)則中匹配失敗，將該URL請(qǐng)求發(fā)送到第三方的內(nèi)容過濾服務(wù)器，同時(shí)將該HTTP會(huì)話掛起，直到收到服務(wù)器返回檢查結(jié)果，并根據(jù)結(jié)果決定允許還是拒絕該HTTP請(qǐng)求。URL過濾配置流程

1、先指定需要過濾的地址，并將這些規(guī)則加入到一個(gè)過濾類別里面。2、配置過濾規(guī)則，并將先前定義的過濾類別加入到這些規(guī)則里。3、在接口上應(yīng)用這些規(guī)則。URL過濾命令

命令命令含義Ruijie(config)#ip

urlfilter

rulerule-nameurl-address登記的URL地址。添加的url

地址，無論是什么格式的，它的第一個(gè)字符必須是“.”。配置地址時(shí)，我們支持通配符“*”的配置，但是對(duì)于通配符的位置有嚴(yán)格的要求，它的位置只能在字符串最后一位或者是除去字符“.”的第一位。例如：

只過濾、、等網(wǎng)址，對(duì)于類如

則無法生效。

.*

則過濾url

請(qǐng)求的地址最后為

的所有地址。Ruijie(config)#ip

urlfiltercategory1name配置過濾的規(guī)則。每個(gè)規(guī)則最后可同時(shí)添加15個(gè)類別。Ruijie(config-if)#

ip

urlfilterexclusive-domainrule-nameacl-number[permit|deny]inlog接口上應(yīng)用URL規(guī)則Ruijie(config)#show

ip

urlfilter

configaddress查看并對(duì)配置的地址進(jìn)行歸類Ruijie(config)#show

ip

urlfilter

configrule查看URL過濾規(guī)則包含哪些地址類別Ruijie(config-if)#show

ip

urlfilter

configsetting查看URL過濾設(shè)置Ruijie(config)#show

ip

urlfilterstatistics查看URL統(tǒng)計(jì)信息任務(wù)一：配置訪問控制列表任務(wù)二：部署路由器中防火墻功能任務(wù)三：配置NAT實(shí)現(xiàn)內(nèi)網(wǎng)用戶訪問internet目錄任務(wù)四：使用NAT技術(shù)發(fā)布內(nèi)網(wǎng)服務(wù)器任務(wù)五：配置硬件防火墻任務(wù)六：配置防火墻實(shí)現(xiàn)域名過濾NAT概念 NAT（NetworkAddressTranslation：是“網(wǎng)絡(luò)地址轉(zhuǎn)換”，它是一個(gè)IETF(Internet工程任務(wù)組)標(biāo)準(zhǔn)，允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP地址出現(xiàn)在Internet上。 它是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。NAT的用途解決地址空間不足的問題；IPv4的空間已經(jīng)嚴(yán)重不足私有IP地址網(wǎng)絡(luò)與公網(wǎng)互聯(lián)；/8，/12，/16非注冊IP地址網(wǎng)絡(luò)與公網(wǎng)互聯(lián)；建網(wǎng)時(shí)分配了全局IP地址－但沒注冊網(wǎng)絡(luò)改造中，避免更改地址帶來的風(fēng)險(xiǎn)NAT術(shù)語術(shù)語定義內(nèi)部本地IP地址分配給內(nèi)部網(wǎng)絡(luò)中的主機(jī)的IP地址，一般為私有地址。內(nèi)部全局IP地址內(nèi)部全局IP地址，對(duì)外代表一個(gè)或多個(gè)內(nèi)部本地IP地址，通常這種地址來自全局惟一的地址空間，通常是ISP提供的。外部全局IP地址外部網(wǎng)絡(luò)中的主機(jī)的IP地址，通常來自全局可路由的地址空間。外部本地IP地址在內(nèi)部網(wǎng)絡(luò)中看到的外部主機(jī)的IP地址，通常來自RFC1918定義的私有地址空間。NAT實(shí)現(xiàn)方式 NAT的實(shí)現(xiàn)方式有四種，即靜態(tài)轉(zhuǎn)換、動(dòng)態(tài)轉(zhuǎn)換、端口多路復(fù)用和EASYIP。靜態(tài)轉(zhuǎn)換（StaticNat）：是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對(duì)是一對(duì)一的，某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。動(dòng)態(tài)轉(zhuǎn)換（DynamicNat）：是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址是路由器合法外部地址集中隨機(jī)分配地址，所有被授權(quán)訪問Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。端口多路復(fù)用（NetworkaddressPortTranslation,NAPT)：即端口地址轉(zhuǎn)換，是指改變外出數(shù)據(jù)包的源端口和IP地址并進(jìn)行端口轉(zhuǎn)換。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。EASYIP：NAT設(shè)備直接使用出接口的IP地址作為轉(zhuǎn)換后的源地址，不用預(yù)先配置地址池，工作原理與普通NAPT相同，是NAPT的一種特例，適用于撥號(hào)接入Internet或動(dòng)態(tài)獲得IP地址的場合。NAT轉(zhuǎn)化原理NAPT轉(zhuǎn)化原理配置NAT1命令命令含義Ruijie（config-if-FastEthernet0/1）#ip

nat{inside|outside}一個(gè)內(nèi)部或一個(gè)外部接口上啟用NAT。Ruijie（config）#ip

natinsidesourcestaticlocal-ipglobal-ip在對(duì)內(nèi)部局部地址使用靜態(tài)地址轉(zhuǎn)換時(shí)，用該命令進(jìn)行地址定義。Ruijie（config）#ip

nat

poolpool-namestart-ipend-ip

netmask

netmask[typerotary]使用該命令為內(nèi)部網(wǎng)絡(luò)定義一個(gè)NAT地址池。Ruijie（config）#ipaccess-listaccess-list-number使用該命令為內(nèi)部網(wǎng)絡(luò)定義一個(gè)標(biāo)準(zhǔn)的IP訪問控制列表。Ruijie（config-std-nacl）#{permit|deny}{any

|local-ip-address}定義訪問控制列表中允許或拒絕的IP地址。配置NAT2Ruijie（config）#ip

natinsidesourcelistaccess-list-numberinterfaceinterfacename[overload]使用該命令定義訪問控制列表與路由器外部接口IP地址之間的映射。Ruijie（config）#ip

natinsidesourcestatic{UDP|TCP}local-ipportglobal-ipport[permit-inside]在對(duì)內(nèi)部局部地址和端口號(hào)使用靜態(tài)地址轉(zhuǎn)換時(shí)，用該命令進(jìn)行地址定義。Ruijie（config）#ip

natinsidesourcelistaccess-list-numberpoolpool-name[overload]使用該命令定義訪問控制列表與NAT內(nèi)部全局地址池之間的映射。Ruijie（config）#showip

nattranslations顯示當(dāng)前存在的NAT轉(zhuǎn)換信息。Ruijie（config）#showip

natstatistics查看NAT的統(tǒng)計(jì)信息。Ruijie（config）#Clearip

nattranslations*刪除NAT映射表中的所有內(nèi)容。任務(wù)一：配置訪問控制列表任務(wù)二：部署路由器中防火墻功能任務(wù)三：配置NAT實(shí)現(xiàn)內(nèi)網(wǎng)用戶訪問internet目錄任務(wù)四：使用NAT技術(shù)發(fā)布內(nèi)網(wǎng)服務(wù)器任務(wù)五：配置硬件防火墻任務(wù)六：配置防火墻實(shí)現(xiàn)域名過濾NATServer轉(zhuǎn)換原理

NATServer命令NATServer命令如下:Ruijie(config)#ip

natinsidesourcestaticstatic{UDP|TCP}local-ipportglobal-ipport[permit-inside]任務(wù)一：配置訪問控制列表任務(wù)二：部署路由器中防火墻功能任務(wù)三：配置NAT實(shí)現(xiàn)內(nèi)網(wǎng)用戶訪問internet目錄任務(wù)四：使用NAT技術(shù)發(fā)布內(nèi)網(wǎng)服務(wù)器任務(wù)五：配置硬件防火墻任務(wù)六：配置防火墻實(shí)現(xiàn)域名過濾DCFOS系統(tǒng)結(jié)構(gòu)圖DCFOS系統(tǒng)簡介1

DCFOS是安全網(wǎng)關(guān)運(yùn)行的系統(tǒng)固件。DCFOS系統(tǒng)中的基本組成部分包括：接口、安全域、VSwitch、VRouter、策略以及VPN等。1、接口: 接口允許流量進(jìn)出安全域。因此，為使流量能夠流入和流出某個(gè)安全域，必須將接口綁定到該安全域，如果是三層安全域，還需要為接口配置IP地址。然后，必須配置相應(yīng)的策略規(guī)則，允許流量在不同安全域中的接口之間傳輸。多個(gè)接口可以被綁定到一個(gè)安全域，但是一個(gè)接口不能被綁定到多個(gè)安全域。DCFOS支持多種類型接口，實(shí)現(xiàn)不同功能。2、安全域: 安全域?qū)⒕W(wǎng)絡(luò)劃分為不同部分，例如trust（通常為內(nèi)網(wǎng)等可信任部分）、untrust（通常為因特網(wǎng)等存在安全威脅的不可信任部分）等。將配置的策略規(guī)則應(yīng)用到安全域上后，安全網(wǎng)關(guān)就能夠?qū)Τ鋈氚踩虻牧髁窟M(jìn)行管理和控制。DCFOS提供8個(gè)預(yù)定義安全域，分別是：trust、untrust、dmz、L2-trust、L2-untrust、L2-dmz、VPNHub

和HA。DCFOS系統(tǒng)簡介23、VSwitch:

VSwitch（VirtualSwitch）即虛擬交換機(jī)，具有交換機(jī)功能。VSwitch工作在二層，將二層安全域綁定到的VSwitch

上后，綁定到安全域的接口也被綁定到該VSwitch

上。DCFOS有一個(gè)默認(rèn)的VSwitch，名為VSwitch1，默認(rèn)情況下，二層安全域都會(huì)被綁定到VSwtich1中。用戶可以根據(jù)需要?jiǎng)?chuàng)建其它VSwitch，綁定二層安全域到不同VSwitch

中。 一個(gè)VSwitch就是一個(gè)二層轉(zhuǎn)發(fā)域，每個(gè)VSwitch都有自己獨(dú)立的MAC地址表，因此設(shè)備的二層轉(zhuǎn)發(fā)在VSwitch中實(shí)現(xiàn)。并且，流量可以通過VSwitch接口，實(shí)現(xiàn)二層與三層之間的轉(zhuǎn)發(fā)。4、VRouter:

VRouter（VirtualRouter）即虛擬路由器，在DCFOS系統(tǒng)中簡稱為VR。VRouter

具有路由器功能，不同VR擁有各自獨(dú)立的路由表。系統(tǒng)中有一個(gè)默認(rèn)VR，名為trust-vr，默認(rèn)情況下，所有三層安全域都將會(huì)自動(dòng)綁定到trust-vr上。系統(tǒng)支持多VR功能且不同硬件平臺(tái)支持的最大VR數(shù)不同。多VR將設(shè)備劃分成多個(gè)虛擬路由器，每個(gè)虛擬路由器使用和維護(hù)各自完全獨(dú)立的路由表，此時(shí)一臺(tái)設(shè)備可以充當(dāng)多臺(tái)路由器使用。多VR使設(shè)備能夠?qū)崿F(xiàn)不同路由域的地址隔離與不同VR間的地址重疊，同時(shí)能夠在一定程度上避免路由泄露，增加網(wǎng)絡(luò)的路由安全。5、策略：策略實(shí)現(xiàn)安全網(wǎng)關(guān)保證網(wǎng)絡(luò)安全的功能。策略通過策略規(guī)則決定從一個(gè)安全域到另一個(gè)安全域的哪些流量該被允許，哪些流量該被拒絕。默認(rèn)情況下，所有通過安全網(wǎng)關(guān)的流量都是被拒絕的，用戶可以根據(jù)需要，創(chuàng)建策略規(guī)則，允許特定的流量在不同安全域之間或者安全域內(nèi)通過，例如，允許從trust域發(fā)起到untrust域的所有類型流量通過，或者只允許從untrust域發(fā)起到DMZ域的某種特定應(yīng)用類型的流量在指定的時(shí)間內(nèi)（時(shí)間表功能）通過連接神州數(shù)碼防火墻 客戶端通過以太網(wǎng)線連接到防火墻的eth0/0接口，把本機(jī)的IP地址設(shè)置為網(wǎng)段IP地址，并通過瀏覽器訪問防火墻管理IP地址。神州數(shù)碼防火墻任務(wù)一：配置訪問控制列表任務(wù)二：部署路由器中防火墻功能任務(wù)三：配置NAT實(shí)現(xiàn)內(nèi)網(wǎng)用戶訪問internet目錄任務(wù)四：使用NAT技術(shù)發(fā)布內(nèi)網(wǎng)服務(wù)器任務(wù)五：配置硬件防火墻任務(wù)六：配置防火墻實(shí)現(xiàn)域名過濾Profile介紹