网络工程师培训基础教程-第十章防火墙配置.pdf

“网络工程师培训”基础教程第十章防火墙配置

第十章防火墙及配置
.1 防火墙介绍


防防火火墙的概墙的概念念
简单的说,防火墙的作用是在保护一个网络
免受“不信任”网络的攻击的同时,保证两
个网络之间可以进行合法的通信。防火墙应
该具有如下基本特征:
经过防火墙保护的网络之间的通信必须都经过防火
墙。
只有经过各种配置的策略验证过的合法数据包才可以
通过防火墙。
防火墙本身必须具有很强的抗攻击、渗透能力。


现代的防火墙体系不应该只是一个“入口的屏障”,防火墙应该是几个网
络的接入控制点,所有经过被防火墙保护的网络的数据流都应该首先
经过防火墙,形成一个信息进入的关口。
因此防火墙不但可以保护内部网络在 中的安全,同时还可以保
护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络
中,所有的计算机之间是被认为“可信任的”,它们之间的通信不受防火
墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定
的“策略”进行互相的访问。
1
“网络工程师培训”基础教程第十章防火墙配置

.2 网络安全技术
. 网络安全技术介绍

网络网络安安全介全介绍绍
Quidway 系列路由器提供一个全面的网络安全解决
方案,包括用户验证、授权、数据保护等。
Quidway系列路由器所采用的安全技术主要包括:
包过滤技术-针对IP地址的一种访问控制
AAA验证-对用户进行验证、授权、计费的技术
地址转换-屏蔽内部网络地址的一种技术
VPN技术-提供一种安全“私有连接”的技术
智能防火墙-可以针对内容等进行访问控制的技术
加密和密钥管理技术
在路由器中,包过滤技术是实现防火墙的最重要的
手段。


2
“网络工程师培训”基础教程第十章防火墙配置

. IP 包过滤技术介绍

IP包包过过滤介滤介绍绍
对路由器需要转发的数据包,先获取包头信息,然
后和设定的规则进行比较,根据比较的结果对数据
包进行转发或者丢弃。而实现包过滤的核心技术是
访问控制列表。
OK
WAN
规则数据库


包过滤技术主要是设定一定的规则,控制数据包。路由器会根据设定
的规则和数据包的包头信息比较,来决定是否允许这个数据包通过。
实现包过滤技术最核心内容就是访问控制列表。
3
“网络工程师培训”基础教程第十章防火墙配置

. 访问控制列表

为为什什么要么要用用访问访问控控制列制列表表?
拒绝某些不希望的访问。
访问控制列表具有区分数据包的能力。
内部网
络
et
办事处
公司总部
DMZ
内部服务
器


用户可以通过 和外部网络进行联系,网络管理员都面临着一个
问题,就是如何拒绝一些不希望的连接,同时又要保证合法用户进行
的访问。
为了达到这样的效果,我们需要有一定的规则来定义哪些数据包是“合
法”的(或者是可以允许访问),哪些是“非法”的(或者是禁止访问)。
这些规则就是访问控制列表。
4
“网络工程师培训”基础教程第十章防火墙配置

访问控制列表(续)

为为什什么要么要用用访问访问控制列表?表?(续(续))
访问控制列表按照数据包的特点,规定了一
些规则。
这些规则描述了具有一定特点的数据包,并且规定它
们是被“允许”的还是“禁止”的。
这些规则的定义是按照数据包包头的特点定义的,例
如可以这样定义:

HTTP 。
。



访问控制列表就可以提供这样的功能,它按照数据包的特点,规定了
一些规则。
这些规则描述了具有一定特点的数据包,(例如所有源地址是
地址段的数据包、所有使用 访问的数据包等等)并且
规定它们是被“允许”的还是“禁止”的。
这样可以将访问控制列表规则应用到路由器的接口,阻止一些非法的
访问,同时并不影响合法用户的访问。访问控制列表提供了一种区分
数据包种类的手段,它把各种数据包按照各自的特点区分成各种不同
的种类,达到控制用户访问的目的。
5
“网络工程师培训”基础教程第十章防火墙配置

. 地址列表的其他用途

地地址址列表列表的另的另一个一个用途用途
控制什么样的数据包可以触发拨号
控制“这些数据包”做“这些