防火墙相关配置及安全策略VPN+NAT+ACL.docx
《防火墙相关配置及安全策略VPN+NAT+ACL.docx》由会员分享,可在线阅读,更多相关《防火墙相关配置及安全策略VPN+NAT+ACL.docx(14页珍藏版)》请在冰豆网上搜索。
防火墙相关配置及安全策略VPN+NAT+ACL
防火墙的体系及种类:
DMZ区的安全级别低于内部区域,DMZ区部署外部需要访问的WEB,MAIL,FTP等,而应用服务器和数据库及重要的机密数据必须部署在内部区域。
防火墙的功能:
(ROUTER支持多种的网络协议,所以它部署在最外面进行路由功能)
安装方式:
二图可以建立企业部门之间的VPN,三图考虑到现实中的双机热备.
包过滤防火墙可以是一种硬件设备,也可以在路由器上配置过滤机制(ACL)来构造包过滤防火墙(第一道网络安全的机制).特点如下:
ACL(访问控制列表)的相应特点:
ACL的工作过程及原理:
一、最后一条必须是完全拒绝规则.
ACL的分类:
标准ACL,扩展的ACL,命名的ACL
ACL的配置实施过程:
一、创建列表,二、绑定到提定接口(in,out是相对路由器本身而言的。
).
标准列表的配置:
(一条命令:
no可以删除所以的列表)
扩展列表的配置:
命令列表的配置:
(名字要写清楚,它是标准列表的扩展列表基础上)
设备ACL的位置:
控制内部的主机对外部其它网络的访问,则使用扩展列表来说明是哪一些外部网络;控制外部的一些网络对自已内部主机的访问,则使用标准列表来控制哪些源头是否可访问。
查看ACL列表。
配置VTY来控制远程对路由器或者三层交换机的访问,使用标准列表.
扩展的命名ACL可以一条规则匹配十个端口,而扩展的ACL一条规则只能匹配一个端口。
扩展的命名ACL在规则数量上少多了,实质没有改变.
Remark对规则进行注释和说明:
基于时间范围的访问控制列表ACL:
(拒绝的列表在前面,充许的列表在后面)
蠕虫病毒的扫描和攻击都是针对具体的端口进行发生的。
攻击是不断更新变化,所以ACL也需要不断更新.所以在随时了解和掌握攻击的端口,同是更新ACL。
控制内部主机访问外网,并且指定时间段:
一个端口上可以配多条ACL,有in、out两类。
可以对内网用户的上网行为进行控制,比如只能访问规定服务和站点。
在包过滤防火墙上进行NAT配置:
NAT的优势:
节省了公网的IP地址,延长了IPV4的使用寿命;实了隐藏内部的真实IP地址,让内部的网络结构不被他人识破。
但它是以牺牲网络性能来实现这些功能。
NAT实现的基本原理:
201。
0.0。
1,2,3三个外网地址供内部网络使用。
NAT的几种类型:
(源地址转换和目地地址转换)
一、静态NAT.NAT映射表中可以实现外网IP与内网IP的一一对映关系。
将内部主机进行映射,使之能够访问外总网络。
也可以进行安全控制.基于源地址转换
二、动态NAT.(地址池中的外网地址用完了,其他内网用户就不能使用外网地址了.基于源地址转换)
三、动态NAT实现超载(与二差别不大,内网多个主机可以用同一个外网地址,通过不同的端口进行转换。
基于源地址转换)
四、PAT基于端的NAT。
多个内网IP通过不同端口与一个外网IP的不同端口进行对映。
基于源地址转换
五、以NAT实现的TCP负载均衡。
用路由器来应答大量的外部请求,再由路由器分配到内部的多台服务器上.把服务器当作一个整体并对外虚拟成一个服务器,外部请求都是请求虚拟服务器。
基于目地地址转换。
如下图:
配置在内部有WEB服务器或者其它服务器需要对外公布的一端.先定义一个针对虚拟服务器的标准列表.NAT地址池中的都是真实的服务器的地址池,必须加上“typerotary”轮询服务器。