防火墙讲义

null防火墙技术、NAT、ASPF技术介绍防火墙技术、NAT、ASPF技术介绍学习目标学习目标掌握防火墙的基本概念和核心技术 掌握NAT的实现原理 掌握ALG(Application Level Gataway) 掌握ASPF(Application Special Packet Filter)学习完本课程，您应该能够：课程内容课程内容 NAT技术原理ALG(Application Level Gataway)ASPF(Application Special Packet Filter)防火墙概述和核心技术第一章防火墙概述第一章防火墙概述一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。根据访问控制规则决定进出网络的行为防火墙的定义内部网两个安全域之间的通信流的唯一通道第一章防火墙概述Eudemon 1000Eudemon 200Eudemon 100第一章防火墙概述公司产品第一章防火墙概述第一章防火墙概述 定位于中小规模网络 吞吐率：100Mbps 并发连接数：200,000条 新建连接率：5,000条/秒 3DES加密：80Mbps 支持4个FE接口Eudemon 100第一章防火墙概述第一章防火墙概述 定位于中等规模网络 吞吐率：400Mbps 并发连接数：500,000条 新建连接率：10,000条/秒 3DES加密：100MbpsEudemon 200第一章防火墙概述第一章防火墙概述 定位于中小规模网络 吞吐率：3Gbps 并发连接数：800,000条 新建连接率：100,000条/秒 3DES加密：300MbpsEudemon 1000第二章防火墙核心技术第二章防火墙核心技术简单包过滤防火墙 状态检测包过滤防火墙 应用代理防火墙第二章防火墙核心技术应用层示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层链路层物理层优点： 速度快，性能高 对应用程序透明缺点： 不能根据状态信息进行控制 不能处理网络层以上的信息网络层简单包过滤技术第二章防火墙核心技术第二章防火墙核心技术应用层TCP 层IP 层网络接口层IP101010101TCPETH101010101应用层TCP 层IP 层网络接口层101010101只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011简单包过滤防火墙的工作原理简单包过滤防火墙不检查数据区 简单包过滤防火墙不建立连接状态表 前后报文无关 应用层控制很弱第二章防火墙核心技术第二章防火墙核心技术应用层表示层会话层传输层链路层物理层应用层表示层会话层传输层链路层物理层状态检测技术介绍应用层表示层会话层传输层链路层物理层根据通信和应用程序状态确定是否允许包的通行 在数据包进入防火墙时就根据状态表进行识别和判断，无需重复查找ACL 可以识别不同的数据包，用户可方便添加新应用抽取各层的状态信息建立动态状态表网络层网络层网络层第二章防火墙核心技术第二章防火墙核心技术应用层TCP 层IP 层网络接口层IP101010101TCPETH101010101应用层TCP 层IP 层网络接口层101010101只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011状态检测包过滤防火墙的工作原理不检查数据区 建立连接状态表 前后报文相关 应用层控制很弱建立连接状态表第二章防火墙核心技术第二章防火墙核心技术应用层表示层会话层传输层链路层物理层应用层表示层会话层传输层链路层物理层应用代理技术介绍应用层表示层会话层传输层链路层物理层优点： 安全性高 提供应用层的安全 缺点： 性能差 只支持有限的应用 对用户不透明FTPHTTPSMTP网络层网络层网络层第二章防火墙核心技术第二章防火墙核心技术应用层TCP 层IP 层网络接口层IP101010101TCPETH101010101应用层TCP 层IP 层网络接口层101010101只检查数据101001001001010010000011100111101111011001001001010010000011100111101111011应用代理防火墙的工作原理不检查IP、TCP报头 不建立连接状态表 网络层保护比较弱第二章防火墙核心技术课程内容课程内容 NAT技术原理ALG(Application Level Gataway)ASPF(Application Special Packet Filter)防火墙概述和核心技术第三章 NAT技术原理第三章 NAT技术原理NAT的基本原理 NAT的四种实现方式 NAT实施中的一些注意事项第三章 NAT技术原理第三章 NAT技术原理基本原理 修改数据包的源地址/端口和目的地址/端口第三章 NAT技术原理第三章 NAT技术原理四种实现方式 1.静态地址转换(Static NAT ) 2.动态地址转换(Dynamic NAT) 3.复用地址转换(Overloading NAT) 4.重叠地址转换(Overlapping NAT) 第三章 NAT技术原理第三章 NAT技术原理静态地址转换(Static NAT ) 1.一对一地址转换 2.手工配置私有地址和公有地址的对应关系，一经配置，地址转换表永久存在。 3.NAT转换表： 192.168.1.1 ---> 202.106.1.1 第三章 NAT技术原理第三章 NAT技术原理动态地址转换(Dynamic NAT) 1.多对多地址转换 2.配置一个地址池，当需要地址转换的时候随机从地址池中选取一个地址。 3.NAT转换表： 192.168.1.1 ---> 202.106.1.1 192.168.1.2 ---> 202.106.1.2 。。。。。。。第三章 NAT技术原理第三章 NAT技术原理复用地址转换(Overloading NAT) 1.一对多地址转换 ，PAT，EasyIP 2.多个私有地址使用同一个公有地址进行地址转换，在tcp和udp中使用(ip,port) 实现复用，在icmp中可以使用(ip,id)实现复用。 3.NAT转换表： 192.168.1.1，1024 ---> 202.106.1.1，32768 192.168.1.1，1025 ---> 202.106.1.2，32769 。。。。。。。第三章 NAT技术原理第三章 NAT技术原理重叠地址转换(Overlapping NAT ) 1。两个企业网合并的时候有可能出现两个企业使用相同私有地址的情况，这时需要把重叠的IP地址进行变换。第三章 NAT技术原理第三章 NAT技术原理具有NAT功能时数据包的转发第三章 NAT技术原理第三章 NAT技术原理NAT使用中的一些注意事项 1。当因为对数据包进行了修改，所以必须重新进行校验和计算。 2。数据包被分片后，只有第一个数据包带有端口号的信息，后续的碎片包只含有ip头的信息，所以后续的数据包无法进行地址转换，解决办法；先重组数据包，再做NAT，最后分片；或者根据ip头中的ID字段和M字段，建立碎片报文的状态表项，根据表项对后续的报文做NAT。第三章 NAT技术原理第三章 NAT技术原理NAT使用中的一些注意事项 3。有些服务会根据cookie对数据包的源地址进行认证，所以在使用pool的时候会有问题。 4。当DNS服务器在内部时，外网用户解析到的地址将是私有地址，此时外网用户无法访问服务器，当DNS服务器在外部时，内网用户解析到的地址将是公有地址，此时内网用户无法访问服务器，需要对dns的报文进行相应的修改。 第三章 NAT技术原理第三章 NAT技术原理NAT使用中的一些注意事项 5。当pool中的地址和外网口的地址在同一段时，回应数据包的时候对端设备会请求pool中地址的mac地址，此时需要对arp模块进行相应的修改，使他以外网接口的mac地址回应这个arp请求；pool中的地址不是和外网口一个网段的时候可以指一条路由。 6。使用pool的时候，最好把pool的路由指向null接口防止nat表项丢失的时候产生路由环。 第三章 NAT技术原理第三章 NAT技术原理NAT使用中的一些注意事项 7。遇到p数据包穿越pat设备的时候，因为pptp数据包使用的是扩展的GRE封装，没有端口号，因此无法做地址转换，解决办法：使用一对一的地址转换。 8。在使用ipsec的时候，AH头要对数据包进行MD5摘要，而在传输的过程中nat对数据包进行了修改，因此对端会认为数据包被破坏，而丢弃此数据包，解决办法pudp，nat-t，即把认证和加密 过的数据包封装到新的udp数据包中，对 udp数据包做nat，此时要注意MTU 值的问题。课程内容课程内容 NAT技术原理ALG(Application Level Gataway)ASPF(Application Special Packet Filter)防火墙概述和核心技术第四章 ALG(Application Level Gataway)第四章 ALG(Application Level Gataway)ALG(Application Level Gateway) NAT主要是通过对数据包的ip头中的ip地址和tcp(udp)头端口号进行修改，但是当一些应用协议的payload位中包含端口号或者ip地址的时候，常规的nat无法实现转换。因此需要有一种方法能读取到payload中的地址和端口，ALG是解决这种特殊应用穿越NAT的一种常用方式，该方法按照地址转换规则，对载荷中的IP地址和端口号进行替换，从而实现对该应用的透明中继。 第四章 ALG(Application Level Gataway)第四章 ALG(Application Level Gataway)普通NAT时，ftp的数据通信无法建立FTP Client 192.168.0.1 NATFTP Server 202.106.0.10202.106.0.1控制连接三次握手控制连接三次握手Port 192.168.0.1,10,3RETR test.txtRETR test.txtsyn 192.168.0.10,2563Port 192.168.0.1,10,3X第四章 ALG(Application Level Gataway)第四章 ALG(Application Level Gataway)使用了ALG后，可以对port命令修改，并产生相应的NAT表项FTP Client 192.168.0.1 NATFTP Server 202.106.0.10202.106.0.1控制连接三次握手控制连接三次握手Port 192.168.0.1,10,3Port 202.106.0.1,20,4192.168.0.1,2563-->202.106.0.1,5124RETR test.txtRETR test.txtsyn 202.106.0.1,5124syn 192.168.0.1,5124数据传送第四章 ALG(Application Level Gataway)第四章 ALG(Application Level Gataway)其他的一些ALG应用 ICMP DNS H323课程内容课程内容 NAT技术原理ALG(Application Level Gataway)ASPF(Application Special Packet Filter)防火墙概述和核心技术第五章 ASPF(Application Special Packet Filter)第五章 ASPF(Application Special Packet Filter)ASPF(Application Special Packet Filter)概述 1.基于应用层连接状态的动态报文过滤，它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。 2.能够对某些攻击进行过滤 3.不能对所有的应用进行智能的报文过滤 第五章 ASPF(Application Special Packet Filter)第五章 ASPF(Application Special Packet Filter)ASPF的工作原理 针对单通道连接时： 对于TCP数据包，因为TCP有状态机的概念，因此其工作过程为： 1.收到syn报文时建立一条相应的session表项 2.收到后续的报文时检测acl，并更新session状态 3.收到fin，rst报文后删除session表项 对于udp数据包，因为udp没有状态机的概念，因此收到第一个报文认为发起连接，收到第一个返回报文认为连接建立,Session表项和ACL的删除取决于空闲超时 第五章 ASPF(Application Special Packet Filter)第五章 ASPF(Application Special Packet Filter)ASPF的工作原理 针对多通道连接时： 1.主控制通道的处理和单通道的tcp一致 2.其他控制通道或者数据通道的session和acl则需要检测主控制通道在应用层中的信息来建立 3.典型的应用有ftp、h323、rstp、rpc、msn、 SQL.net 第五章 ASPF(Application Special Packet Filter)第五章 ASPF(Application Special Packet Filter)ASPF的一些注意事项 1.有些网络质量不是很好，数据包的响应时间比较长，有可能超过session表项的超时时间，导致数据包被丢弃 2.必须保证状态表项的完整性和及时更新，数据包出去和返回的通路必须一致 3.一些特殊应用需要连接被长时间保持或者永久保持，此时需要注意，尤其在金融行业 4.删除session表项的时间，尤其是对fin包，是在收到服务器的fin包删除,还在收到服务器和客户端的fin后再删除 5.有时候数据包在传输的过程中序列号可能会改变，此时防火墙收到后可能会匹配不到状态而丢弃数据包null