1、防火墻技術(shù)、NAT、ASPF技術(shù)介紹,學(xué)習(xí)目標(biāo),掌握防火墻的基本概念和核心技術(shù) 掌握NAT的實(shí)現(xiàn)原理 掌握ALG(Application Level Gataway) 掌握ASPF(Application Special Packet Filter),學(xué)習(xí)完本課程，您應(yīng)該能夠：,課程內(nèi)容,NAT技術(shù)原理,ALG(Application Level Gataway),ASPF(Application Special Packet Filter),防火墻概述和核心技術(shù),第一章防火墻概述,Internet,一種高級(jí)訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯

2、一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為。,根據(jù)訪問控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為,防火墻的定義,內(nèi)部網(wǎng),兩個(gè)安全域之間的通信流的唯一通道,Eudemon 1000,Eudemon 200,Eudemon 100,第一章防火墻概述,公司產(chǎn)品,第一章防火墻概述,定位于中小規(guī)模網(wǎng)絡(luò) 吞吐率：100Mbps 并發(fā)連接數(shù)：200,000條 新建連接率：5,000條/秒 3DES加密：80Mbps 支持4個(gè)FE接口,Eudemon 100,第一章防火墻概述,定位于中等規(guī)模網(wǎng)絡(luò) 吞吐率：400Mbps 并發(fā)連接數(shù)：500,000條 新建連接率：10,000條/秒 3DE

3、S加密：100Mbps,Eudemon 200,第一章防火墻概述,定位于中小規(guī)模網(wǎng)絡(luò) 吞吐率：3Gbps 并發(fā)連接數(shù)：800,000條 新建連接率：100,000條/秒 3DES加密：300Mbps,Eudemon 1000,第二章防火墻核心技術(shù),簡(jiǎn)單包過濾防火墻 狀態(tài)檢測(cè)包過濾防火墻 應(yīng)用代理防火墻,應(yīng)用層,表示層,會(huì)話層,傳輸層,網(wǎng)絡(luò)層,鏈路層,物理層,應(yīng)用層,表示層,會(huì)話層,傳輸層,網(wǎng)絡(luò)層,鏈路層,物理層,鏈路層,物理層,優(yōu)點(diǎn)： 速度快，性能高 對(duì)應(yīng)用程序透明,缺點(diǎn)： 不能根據(jù)狀態(tài)信息進(jìn)行控制 不能處理網(wǎng)絡(luò)層以上的信息,網(wǎng)絡(luò)層,簡(jiǎn)單包過濾技術(shù),第二章防火墻核心技術(shù),應(yīng)用層,TCP 層,I

4、P 層,網(wǎng)絡(luò)接口層,IP,101010101,TCP,ETH,101010101,應(yīng)用層,TCP 層,IP 層,網(wǎng)絡(luò)接口層,101010101,只檢查報(bào)頭,101001001001010010000011100111101111011,001001001010010000011100111101111011,簡(jiǎn)單包過濾防火墻的工作原理,簡(jiǎn)單包過濾防火墻不檢查數(shù)據(jù)區(qū) 簡(jiǎn)單包過濾防火墻不建立連接狀態(tài)表 前后報(bào)文無關(guān) 應(yīng)用層控制很弱,第二章防火墻核心技術(shù),應(yīng)用層,表示層,會(huì)話層,傳輸層,鏈路層,物理層,應(yīng)用層,表示層,會(huì)話層,傳輸層,鏈路層,物理層,狀態(tài)檢測(cè)技術(shù)介紹,應(yīng)用層,表示層,會(huì)話層,傳輸層,

5、鏈路層,物理層,根據(jù)通信和應(yīng)用程序狀態(tài)確定是否允許包的通行 在數(shù)據(jù)包進(jìn)入防火墻時(shí)就根據(jù)狀態(tài)表進(jìn)行識(shí)別和判斷，無需重復(fù)查找ACL 可以識(shí)別不同的數(shù)據(jù)包，用戶可方便添加新應(yīng)用,抽取各層的狀態(tài)信息建立動(dòng)態(tài)狀態(tài)表,網(wǎng)絡(luò)層,網(wǎng)絡(luò)層,網(wǎng)絡(luò)層,第二章防火墻核心技術(shù),應(yīng)用層,TCP 層,IP 層,網(wǎng)絡(luò)接口層,IP,101010101,TCP,ETH,101010101,應(yīng)用層,TCP 層,IP 層,網(wǎng)絡(luò)接口層,101010101,只檢查報(bào)頭,101001001001010010000011100111101111011,001001001010010000011100111101111011,狀態(tài)檢測(cè)包過濾防

6、火墻的工作原理,不檢查數(shù)據(jù)區(qū) 建立連接狀態(tài)表 前后報(bào)文相關(guān) 應(yīng)用層控制很弱,建立連接狀態(tài)表,第二章防火墻核心技術(shù),應(yīng)用層,表示層,會(huì)話層,傳輸層,鏈路層,物理層,應(yīng)用層,表示層,會(huì)話層,傳輸層,鏈路層,物理層,應(yīng)用代理技術(shù)介紹,應(yīng)用層,表示層,會(huì)話層,傳輸層,鏈路層,物理層,優(yōu)點(diǎn)： 安全性高 提供應(yīng)用層的安全,缺點(diǎn)： 性能差 只支持有限的應(yīng)用 對(duì)用戶不透明,FTP,HTTP,SMTP,網(wǎng)絡(luò)層,網(wǎng)絡(luò)層,網(wǎng)絡(luò)層,第二章防火墻核心技術(shù),應(yīng)用層,TCP 層,IP 層,網(wǎng)絡(luò)接口層,IP,101010101,TCP,ETH,101010101,應(yīng)用層,TCP 層,IP 層,網(wǎng)絡(luò)接口層,101010101,

7、只檢查數(shù)據(jù),101001001001010010000011100111101111011,001001001010010000011100111101111011,應(yīng)用代理防火墻的工作原理,不檢查IP、TCP報(bào)頭 不建立連接狀態(tài)表 網(wǎng)絡(luò)層保護(hù)比較弱,第二章防火墻核心技術(shù),課程內(nèi)容,NAT技術(shù)原理,ALG(Application Level Gataway),ASPF(Application Special Packet Filter),防火墻概述和核心技術(shù),第三章 NAT技術(shù)原理,NAT的基本原理 NAT的四種實(shí)現(xiàn)方式 NAT實(shí)施中的一些注意事項(xiàng),第三章 NAT技術(shù)原理,基本原理 修改數(shù)據(jù)包

8、的源地址/端口和目的地址/端口,第三章 NAT技術(shù)原理,四種實(shí)現(xiàn)方式 1.靜態(tài)地址轉(zhuǎn)換(Static NAT ) 2.動(dòng)態(tài)地址轉(zhuǎn)換(Dynamic NAT) 3.復(fù)用地址轉(zhuǎn)換(Overloading NAT) 4.重疊地址轉(zhuǎn)換(Overlapping NAT),第三章 NAT技術(shù)原理,靜態(tài)地址轉(zhuǎn)換(Static NAT ) 1.一對(duì)一地址轉(zhuǎn)換 2.手工配置私有地址和公有地址的對(duì)應(yīng)關(guān)系，一經(jīng)配置，地址轉(zhuǎn)換表永久存在。 3.NAT轉(zhuǎn)換表： - ,第三章 NAT技術(shù)原理,動(dòng)態(tài)地址轉(zhuǎn)換(Dynamic NAT) 1.多對(duì)多地址轉(zhuǎn)換 2.配置一個(gè)地址池，當(dāng)需

9、要地址轉(zhuǎn)換的時(shí)候隨機(jī)從地址池中選取一個(gè)地址。 3.NAT轉(zhuǎn)換表： - - 。,第三章 NAT技術(shù)原理,復(fù)用地址轉(zhuǎn)換(Overloading NAT) 1.一對(duì)多地址轉(zhuǎn)換 ，PAT，EasyIP 2.多個(gè)私有地址使用同一個(gè)公有地址進(jìn)行地址轉(zhuǎn)換，在tcp和udp中使用(ip,port) 實(shí)現(xiàn)復(fù)用，在icmp中可以使用(ip,id)實(shí)現(xiàn)復(fù)用。 3.NAT轉(zhuǎn)換表： ，1024 - ，32768 ，1025 - ，3276

10、9 。,第三章 NAT技術(shù)原理,重疊地址轉(zhuǎn)換(Overlapping NAT ) 1。兩個(gè)企業(yè)網(wǎng)合并的時(shí)候有可能出現(xiàn)兩個(gè)企業(yè)使用相同私有地址的情況，這時(shí)需要把重疊的IP地址進(jìn)行變換。,第三章 NAT技術(shù)原理,具有NAT功能時(shí)數(shù)據(jù)包的轉(zhuǎn)發(fā)流程,第三章 NAT技術(shù)原理,NAT使用中的一些注意事項(xiàng) 1。當(dāng)因?yàn)閷?duì)數(shù)據(jù)包進(jìn)行了修改，所以必須重新進(jìn)行校驗(yàn)和計(jì)算。 2。數(shù)據(jù)包被分片后，只有第一個(gè)數(shù)據(jù)包帶有端口號(hào)的信息，后續(xù)的碎片包只含有ip頭的信息，所以后續(xù)的數(shù)據(jù)包無法進(jìn)行地址轉(zhuǎn)換，解決辦法；先重組數(shù)據(jù)包，再做NAT，最后分片；或者根據(jù)ip頭中的ID字段和M字段，建立碎片報(bào)文的狀態(tài)表項(xiàng)，根據(jù)表項(xiàng)對(duì)后續(xù)的報(bào)文

11、做NAT。,第三章 NAT技術(shù)原理,NAT使用中的一些注意事項(xiàng) 3。有些服務(wù)會(huì)根據(jù)cookie對(duì)數(shù)據(jù)包的源地址進(jìn)行認(rèn)證，所以在使用pool的時(shí)候會(huì)有問題。 4。當(dāng)DNS服務(wù)器在內(nèi)部時(shí)，外網(wǎng)用戶解析到的地址將是私有地址，此時(shí)外網(wǎng)用戶無法訪問服務(wù)器，當(dāng)DNS服務(wù)器在外部時(shí)，內(nèi)網(wǎng)用戶解析到的地址將是公有地址，此時(shí)內(nèi)網(wǎng)用戶無法訪問服務(wù)器，需要對(duì)dns的報(bào)文進(jìn)行相應(yīng)的修改。,第三章 NAT技術(shù)原理,NAT使用中的一些注意事項(xiàng) 5。當(dāng)pool中的地址和外網(wǎng)口的地址在同一段時(shí)，回應(yīng)數(shù)據(jù)包的時(shí)候?qū)Χ嗽O(shè)備會(huì)請(qǐng)求pool中地址的mac地址，此時(shí)需要對(duì)arp模塊進(jìn)行相應(yīng)的修改，使他以外網(wǎng)接口的mac地址回應(yīng)這個(gè)ar

12、p請(qǐng)求；pool中的地址不是和外網(wǎng)口一個(gè)網(wǎng)段的時(shí)候可以指一條路由。 6。使用pool的時(shí)候，最好把pool的路由指向null接口防止nat表項(xiàng)丟失的時(shí)候產(chǎn)生路由環(huán)。,第三章 NAT技術(shù)原理,NAT使用中的一些注意事項(xiàng) 7。遇到pptp數(shù)據(jù)包穿越pat設(shè)備的時(shí)候，因?yàn)閜ptp數(shù)據(jù)包使用的是擴(kuò)展的GRE封裝，沒有端口號(hào)，因此無法做地址轉(zhuǎn)換，解決辦法：使用一對(duì)一的地址轉(zhuǎn)換。 8。在使用ipsec的時(shí)候，AH頭要對(duì)數(shù)據(jù)包進(jìn)行MD5摘要，而在傳輸?shù)倪^程中nat對(duì)數(shù)據(jù)包進(jìn)行了修改，因此對(duì)端會(huì)認(rèn)為數(shù)據(jù)包被破壞，而丟棄此數(shù)據(jù)包，解決辦法pudp，nat-t，即把認(rèn)證和加密 過的數(shù)據(jù)包封裝到新的udp數(shù)據(jù)包中，

13、對(duì) udp數(shù)據(jù)包做nat，此時(shí)要注意MTU 值的問題。,課程內(nèi)容,NAT技術(shù)原理,ALG(Application Level Gataway),ASPF(Application Special Packet Filter),防火墻概述和核心技術(shù),第四章 ALG(Application Level Gataway),ALG(Application Level Gateway) NAT主要是通過對(duì)數(shù)據(jù)包的ip頭中的ip地址和tcp(udp)頭端口號(hào)進(jìn)行修改，但是當(dāng)一些應(yīng)用協(xié)議的payload位中包含端口號(hào)或者ip地址的時(shí)候，常規(guī)的nat無法實(shí)現(xiàn)轉(zhuǎn)換。因此需要有一種方法能讀取到payload中的地址

14、和端口，ALG是解決這種特殊應(yīng)用穿越NAT的一種常用方式，該方法按照地址轉(zhuǎn)換規(guī)則，對(duì)載荷中的IP地址和端口號(hào)進(jìn)行替換，從而實(shí)現(xiàn)對(duì)該應(yīng)用的透明中繼。,普通NAT時(shí)，ftp的數(shù)據(jù)通信無法建立,FTP Client ,NAT,FTP Server 0,,控制連接三次握手,控制連接三次握手,Port ,10,3,RETR test.txt,RETR test.txt,syn 0,2563,Port ,10,3,X,第四章 ALG(Application Level Gat

15、away),使用了ALG后，可以對(duì)port命令修改，并產(chǎn)生相應(yīng)的NAT表項(xiàng),FTP Client ,NAT,FTP Server 0,,控制連接三次握手,控制連接三次握手,Port ,10,3,Port ,20,4,,2563-,5124,RETR test.txt,RETR test.txt,syn ,5124,syn ,5124,數(shù)據(jù)傳送,第四章 ALG(Application Level Ga

16、taway),其他的一些ALG應(yīng)用 ICMP DNS H323,第四章 ALG(Application Level Gataway),課程內(nèi)容,NAT技術(shù)原理,ALG(Application Level Gataway),ASPF(Application Special Packet Filter),防火墻概述和核心技術(shù),第五章 ASPF(Application Special Packet Filter),ASPF(Application Special Packet Filter)概述 1.基于應(yīng)用層連接狀態(tài)的動(dòng)態(tài)報(bào)文過濾，它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。對(duì)于所有連接

17、，每一個(gè)連接狀態(tài)信息都將被ASPF維護(hù)并用于動(dòng)態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。 2.能夠?qū)δ承┕暨M(jìn)行過濾 3.不能對(duì)所有的應(yīng)用進(jìn)行智能的報(bào)文過濾,第五章 ASPF(Application Special Packet Filter),ASPF的工作原理 針對(duì)單通道連接時(shí)： 對(duì)于TCP數(shù)據(jù)包，因?yàn)門CP有狀態(tài)機(jī)的概念，因此其工作過程為： 1.收到syn報(bào)文時(shí)建立一條相應(yīng)的session表項(xiàng) 2.收到后續(xù)的報(bào)文時(shí)檢測(cè)acl，并更新session狀態(tài) 3.收到fin，rst報(bào)文后刪除session表項(xiàng) 對(duì)于udp數(shù)據(jù)包，因?yàn)閡dp沒有狀態(tài)機(jī)的概念，因此收到第一個(gè)報(bào)文認(rèn)為發(fā)起連接，收到第一個(gè)返回報(bào)文認(rèn)為連接建立,Session表項(xiàng)和ACL的刪除取決于空閑超時(shí),第五章 ASPF(Application Special Packet Filter),ASPF的工作原理 針對(duì)多通道連接時(shí)： 1.主控制通道的處理和單通道的tcp一致 2.其他控制通道或者數(shù)據(jù)通道的session和acl則需要檢測(cè)主控制通道在應(yīng)用層中的信息來建立 3.典型的應(yīng)用有ftp、h323、rstp、rpc、msn、 SQL.net,第五章 ASPF(Applic