包过滤防火墙和灵巧网关设置

《包过滤防火墙和灵巧网关设置》由会员分享，可在线阅读，更多相关《包过滤防火墙和灵巧网关设置（60页珍藏版）》请在装配图网上搜索。

1、包过滤防火墙和灵巧网关设置包过滤防火墙和灵巧网关设置张焕杰安徽中科大讯飞信息科技有限公司http:/202.38.64.2/james/Tel:3601897(O)1主要内容主要内容防火墙技术包过滤防火墙灵巧网关设置l参考资料：计算机网络安全基础，袁津生等，人民邮电出版社2网络隔离与防火墙技术网络隔离与防火墙技术l根据安全等级不同将网络划分不同的部分l各个部分之间采用物理、逻辑隔离或受限访问方式互连l物理隔离网络间禁止有物理通信线路连接l逻辑隔离协议转换l受限访问防火墙3防火墙技术防火墙技术lFirewalll来源于建筑业，用墙来分隔建筑物的各个部分，并具有防火功能。l万一某一部分或单元失火时

2、，火灾被限制在一个局部范围内，其它部分不会受到损害。4防火墙技术防火墙技术 主要介绍：1.防火墙基本概念2.防火墙的分类3.包过滤4.代理服务5防火墙基本概念防火墙基本概念 l防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。l本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。l网络边界上访问控制设施。根据预先定义的策略控制穿过防火墙的信息流通。6防火墙基本概念防火墙基本概念l由软件和硬件组成的防火墙应该具有以下功能：所有进出网络的通信流都应该通过防火墙。所有穿过防火墙的通信流都必须有安

3、全策略和计划的确认和授权。理论上说，防火墙是穿不透的。被策略禁止的通信不能通过被防火墙。7防火墙基本概念防火墙基本概念 防火墙在因特网与内部网中的位置 从逻辑上讲，防火墙是一个控制器，控制内外网之间的通信。从物理角度看，防火墙物理实现的方式有所不同。通常防火墙是一组硬件设备，即路由器、计算机或者是路由器、计算机和配有适当软件的网络的多种组合。8防火墙基本概念防火墙基本概念l防火墙的基本功能防火墙能够强化安全策略防火墙能有效地记录因特网上的活动防火墙限制暴露用户点防火墙是一个安全策略的检查站l防火墙的不足之处不能防范恶意的知情者防火墙不能防范不通过它的连接防火墙不能防备全部的威胁防火墙不能防范病

4、毒9防火墙分类防火墙分类l 包过滤型根据数据包的源地址、目的地址、协议、端口、协议内部数据、时间、物理接口来判断是否允许数据包通过。外在表现：路由型、透明网桥型、混合型优点：性能高，对应用透明，使用方便缺点：安全控制粒度不够细10防火墙分类防火墙分类 l应用层代理对不同的应用进行相关的特殊处理，一般具有身份认证、访问控制、日志等功能。不同的应用需要不同的代理：HTTP、FTP、TELNET、SMTP、POP3l优点：安全控制粒度细，可以实现基于用户的控制l缺点：每种应用要设置，对用户不透明，不是所有应用都支持代理使用复杂性能低11防火墙分类防火墙分类代理的实现过程 12防火墙分类防火墙分类l链

5、路级代理类似于应用层代理，区别是不针对专门应用协议，而是针对TCP、UDP连接进行中继服务，一般具有身份认证、访问控制、日志等功能，最典型的是socks代理。l优点：安全控制粒度适中，可以实现基于用户的控制在Windows环境下，通过截获winsock调用，基本上可以做到对应用透明，使用方便l缺点：性能低 13包过滤防火墙包过滤防火墙l包过滤型防火墙是应用最普遍的防火墙。l包是网络上信息流动的单位。l包过滤型防火墙对经过它的数据包进行处理，仅仅允许安全策略允许的数据包通过。其他的数据包全部丢弃。l在处理过程中可以进行日志记录。l包过滤一直是一种简单而有效的方法。通过拦截安全策略不允许的数据包，

6、保护内部网络的安全。14防火墙产品防火墙产品l基于通用平台的软件系统 软件型l基于专用平台的集成产品ASIC芯片实现包处理通用CPU实现包处理15基于通用平台的软件产品基于通用平台的软件产品l基于通用的硬件、软件平台如基于Windows NT系统、Solaris系统l价格相对较低l功能丰富l强调认证的较多l安全性依赖于底层的操作系统l在国内商用的不多lCheck-Point16专用专用ASIC芯片实现的芯片实现的l典型产品为Netscreen公司产品l利用ASIC芯片实现包过滤、地址转换、加密处理l可以得到极高的性能Netscreen 5400 l12Gbps 3DES加密到6Gbps17大部

7、分的防火墙大部分的防火墙l基于IA架构CPU:PII PIIIl专用的软件Cisco PIX，专门开发的操作系统在Linux或Free BSD的基础上加固得到的操作系统l减少不必要的模块l增强一些安全性l国内的产品90%多属于这类18包过滤防火墙包过滤防火墙包过滤防火墙一般放置在不同安全等级的网络之间19包过滤防火墙包过滤防火墙l每个数据包有两个部分：数据部分和包头。l每个数据包都包含有特定信息的一组报头，其主要信息是：IP协议类型（TCP、UDP，ICMP等）IP源地址IP目标地址IP选择域的内容TCP或UDP源端口号TCP或UDP目标端口号ICMP消息类型l包过滤器主要根据以上信息决定一个

8、数据是否符合安全策略要求20包过滤防火墙包过滤防火墙l包过滤系统只能让我们进行类似以下情况的操作：外部用户仅仅能访问服务器上的www服务允许任何用户使用SMTP往内部网发电子邮件；只允许某台机器使用QQ21包过滤防火墙包过滤防火墙l包过滤不能允许我们进行如下的操作：禁止用户发送垃圾邮件用户只能发送QQ信息，不能接收QQ信息用户只能看文本的www，不能看图片 22包过滤防火墙包过滤防火墙l包过滤器规则包过滤器工作时依靠预先设定的规则来对数据包进行判断l没有被明确允许的都被拒绝l规则有先后顺序关系l规则的例子Allow proto=icmp srcReject proto=tcp src=202.

9、38.64.40 dst=202.38.64.2 dport=80Allow proto=tcp dst=202.38.64.2 dport=8023包过滤操作流程图包过滤操作流程图 24包过滤防火墙包过滤防火墙l仅仅根据单个数据包判断的包过滤防火墙有很多弊端l如：仅仅允许内部机器访问DNS 服务(UDP 53)25包过滤防火墙包过滤防火墙序号动作协议SRCSportDSTDportSYN1Allow UDP内网1024any532Allow UDPany53内网1024所有内网UDP 1024端口都开放了！26包过滤防火墙包过滤防火墙l状态包过滤 Stateful Firewalll记录数据

10、包的连接状态TCP:SYN_SENT,SYN_RECV,ESTABLISHED,TIME_OUT等，根据数据包的内容动态修改UDP:无状态，第一个数据包触发创建一个新连接，后续的数据包刷新该连接，直到超时后连接信息被删除ICMP:状态27包过滤防火墙包过滤防火墙l状态表l连接，并发连接数超时 协议 SRC Sport DST Dport state28状态的维护状态的维护l对于TCP，跟踪所有的数据包，依据TCP 有限状态机动态修改状态l对于UDP等无连接协议，一定时间内没有数据就认为连接结束，实现时设置超时时间lTCP也有超时处理29SYNSYN ACKACKClientServer状态SY

11、N_SENTESTABLISHED30包过滤防火墙包过滤防火墙l状态过滤一个数据包经过防火墙时，首先被分成如下某个状态：lESTABLISHED 已经建立的连接的数据包lRELATED已经建立的连接相关连接的数据包，如ftp的data连接lNEW新连接lINVALID不属于任何连接的无效数据包，一般情况下，这种数据包应该丢弃31包过滤防火墙包过滤防火墙l状态过滤l对所有已经建立的连接的数据包都允许（包括相关的连接的数据包）l非法的数据包禁止l管理员只要定义规则，判断新连接的数据包是否需要允许即可控制信息流l简化了配置，方便了管理，提高了安全性32UDP的例子的例子序号动作协议SRCSportD

12、ST DportSTATE1AllowAnyanyanyanyanyESTABLISHED,RELATED2AllowUDP内网1024any53NEW33地址转换地址转换lNAT Network Address Translationl对通过防火墙的数据包IP地址进行改变l隐藏内部网络结构，提高安全性l解决IPv4地址不足将正式地址和内部保留地址进行互相翻译10.*.*.*172.16.*.*172.31.*.*192.168.*.*l比代理效率高34地址转换地址转换lNAT Network Address Translation适应所有IP通信重写IP地址1：1的映射类似直拨电话lNAPT

13、 Network Address Port Translation只能处理TCP、UDP、ICMP通信重写IP地址和端口信息1:M的映射类似电话分机概念35362037NAT&NAPTl地址足够多时，使用NATlIP地址不足时，往往要用到NAPT38数据包内数据的处理数据包内数据的处理lNAT仅仅处理数据包头的信息有时不能有效工作l数据包中包含的IP地址、端口信息需要同时修改DNS中的A和PTR查询/应答Netmeeting中的IP地址信息FTP PORT命令SIP协议等l只有完全处理了这些信息，应用才能正确工作39NAT的分类的分类l不同的产品的术语不同lLinux下的NAT有两种实现在路由

14、处理时修改IP地址，只能实现1:1的翻译，不处理任何其他数据，这种NAT工作方式不在本课程中讨论Netfilter/iptables下的地址转换，是一种NAPT实现，是重点40NAT的分类的分类l对每个连接的第一个数据包的处理分类SNATl修改第一个连接包的源地址l常用于把内部的IP地址转换成正式IP地址对外通信DNATl修改第一个连接包的目的地址l常用于从外面访问内部的服务器41地址换换地址换换 SNATNAT设备客户机服务器10.0.0.1:1024-202.38.64.2:8061.132.182.2:8133-202.38.64.2:8061.132.182.2:8133 -202.3

15、8.64.2:8010.0.0.1:1024 -202.38.64.2:80内部网络外部网络源地址转换 SNAT42地址换换地址换换 DNATNAT设备服务器客户机10.0.0.1:80 -202.38.64.2:102461.132.182.2:80 202.38.64.2:102410.0.0.1:80-202.38.64.2:1024内部网络外部网络目的地址转换 DNAT43nat 中的内定规则链中的内定规则链PREROUTING进来的数据包路由本机发出的数据包POSTROUTINGPREROUTING 处理DNAT规则POSTROUTING 处理SNAT规则44灵巧网关设置灵巧网关设置

16、l灵巧网关功能静态路由，策略路由基于连接的包过虑地址转换45配置文件配置文件lstartup.rc启动时起作用，修改后重新启动才起作用一般设置不经常改变的参数，如IP地址，路由等lmultirun.rc保存就运行，起作用一般设置地址转换、包过虑ldhcpd.cf设置DHCP服务器l全部是文本文件46设置步骤设置步骤 startup.rc#设置机器名字hostname #加载相关模块，一般都需要modprobe ip_conntrackmodprobe ip_conntrack_ftpmodprobe ip_conntrack_h323modprobe ipt_statemodprobe ipt

17、able_natmodprobe ip_nat_ftpmodprobe ip_nat_h32347设置步骤设置步骤 startup.rc#IP地址设置ip addrip addrip addrip addrip addrip addrip addr48设置步骤设置步骤 startup.rcip addrip addrip addr#启动接口ip link set eth0 upip link set eth1 upip link set eth2 upip link set eth3 up49设置步骤设置步骤 startup.rc#IP路由设置，黑洞路由，避免循环ip#公网路由表ip rout

18、e add 0/0 via 218.104.71.33 table 100#教育网路由表ip route add 0/0 via 210.45.231.138 table 200#普通对外的路由，分流ip route add 202.112.0.0/13 via$gateway table 210ip route add 202.192.0.0/12 via$gateway table 210ip route add 0/0 via 218.104.71.33 table 210 50设置步骤设置步骤 startup.rc#策略路由ip rule add from 0/0 table main

19、 pref 100 ip rule add from 192.168.0.1 table 100 pref 200 ip rule add from 192.168.0.2 table 100 pref 200ip rule add from 0/0 table 210 pref 300#DHCP服务器dhcpd eth351设置步骤设置步骤 multirun.rc#清除以前的设置iptables-t nat-Fiptables F#地址转换#对服务器访问的转换iptables-t nat-A PREROUTING-j DNAT-d 218.104.71.34-p tcp-dportiptab

20、les-t nat52设置步骤设置步骤 multirun.rc#内网对服务器访问的转换成从网关出去iptables-t nat#服务器出去的转换，eth2接网通iptables-t nat-A POSTROUTING-j SNAT-s 192.168.0.4-to 218.104.71.34-o eth253设置步骤设置步骤 multirun.rc#普通机器出去的转换，eth1是教育网接口，eth2是网通接口iptables-t natiptables-t nat54设置步骤设置步骤 multirun.rc#包过虑设置#允许已经建立的连接iptables-A FORWARD-j ACCEPT-

21、m state-state ESTABLISHED,RELATED#禁止113 ident服务，ftp登陆会快一些iptables-A FORWARD-j REJECT-reject-with tcp-reset-p tcp-dport 11355设置步骤设置步骤 multirun.rc#允许内部访问SQL Serveriptables-A FORWARD-j ACCEPT -p tcp-dportiptables-A FORWARD-j ACCEPT-d 192.168.0.1-p icmpiptables-A FORWARD-j ACCEPT-d 192.168.0.1-p tcp-dpo

22、rt56设置步骤设置步骤 multirun.rc#其它访问服务器的被拒绝iptables-A FORWARD-j LOG-o eth0-m limit-limit 100/miniptables-A FORWARD-j REJECT-o eth0#iptables-A FORWARD-j DROP-p icmp#其它内部用户的被拒绝iptables-A FORWARD-j REJECT-o eth357设置步骤设置步骤 multirun.rc#防止病毒扫描iptables-A FORWARD-j DROP-p udp-dport 135:139iptables-A FORWARD-j DROP

23、-p tcp-dport 135:139iptables-A FORWARD-j DROP-p tcp-dport 445iptables-A FORWARD-j ACCEPT-p icmp-m limit-limit 10/sec58设置步骤设置步骤 multirun.rc#网关自己iptables-A INPUT-j ACCEPT-p icmpiptablesiptablesiptablesiptablesiptablesiptablesiptables-A INPUT-j LOG-log-prefix SG -m limit-limit 100/miniptables-A INPUT-j

24、 DROP 59设置步骤设置步骤 dhcpd.cfoption domain-name ;option domain-name-servers 218.104.78.3,202.102.192.68;default-lease-time 60000;option netbios-name-servers 192.168.0.1;option netbios-dd-server 192.168.0.1;option netbios-node-type 8;netmask 255.255.255.0 range 192.168.1.40 192.168.1.200;option subnet-mask 255.255.255.0;option routers 192.168.1.254;60