《网络管理与维护技术》课件04第4章-防火墙配置.ppt

1、【本章要点本章要点】v接口的安全级别、接口间互访规则接口的安全级别、接口间互访规则v动、静态动、静态NAT与与PATvNAT与与DNS记录重写记录重写v应用层协议检测应用层协议检测vICMP检测与控制检测与控制vTCP报文规范化、拦截、连接数限制报文规范化、拦截、连接数限制v预防预防IP欺骗欺骗4.1 基本概念与命令基本概念与命令4.2 应用举例应用举例4.3 抵御网络攻击抵御网络攻击4.4 综合举例之一综合举例之一WWW服务器虚拟镜像与服务器虚拟镜像与url重定向重定向4.5 综合举例之二综合举例之二网间网间“短接短接”技术方案设计技术方案设计防火墙的主要功能是控制（允许或拒绝）网络间的流量

2、，以保护敏感资源，使其防火墙的主要功能是控制（允许或拒绝）网络间的流量，以保护敏感资源，使其免遭攻击或窥探。用于连接不同的网络免遭攻击或窥探。用于连接不同的网络。主要体现在两个方面：控制内部用户主动发起的向外连接，为网管提供灵活性；主要体现在两个方面：控制内部用户主动发起的向外连接，为网管提供灵活性；允许外部用户主动取用对外发布的资源，为外网提供服务等。允许外部用户主动取用对外发布的资源，为外网提供服务等。目前的防火墙产品一般都提供多个物理接口。一般用一个接口连接内部网络、一目前的防火墙产品一般都提供多个物理接口。一般用一个接口连接内部网络、一个接口连接外部网络，一个或多个接口用于连接运行对外

3、服务的服务器，这些服个接口连接外部网络，一个或多个接口用于连接运行对外服务的服务器，这些服务器所在的区域一般称为务器所在的区域一般称为DMZ。4.1.1 接口的安全等级接口的安全等级4.1.2 核心安全策略核心安全策略4.1.3 NAT4.1.4 ACL与网络访问控制与网络访问控制4.1.5 静态路由、路由表静态路由、路由表4.1.6 应用层协议检测应用层协议检测 4.1 基本概念与命令基本概念与命令4.1.1 接口的安全等级接口的安全等级 图图4-1 接口的安全等级接口的安全等级interface GigabitEthernet0/0 speed 1000 duplex full namei

4、f outside security-level 0interface GigabitEthernet0/1 nameif inside security-level 100interface GigabitEthernet0/2 nameif dmz security-level 504.1.2 核心安全策略核心安全策略在默认情况下，防火墙的核心安全策略：在默认情况下，防火墙的核心安全策略：允许允许高高安全级别主机安全级别主机主动主动发起与发起与低低安全等级主机的连接，并放行返回报文；安全等级主机的连接，并放行返回报文；不允许低不允许低安全等级主机主动发送连接请求给安全等级主机主动发送连接请

5、求给高高安全级别的主机。安全级别的主机。图图4-2 核心安全策略核心安全策略通常，防火墙都运行通常，防火墙都运行NAT。主要原因是：公网地址不敷使用；隐。主要原因是：公网地址不敷使用；隐藏内部藏内部IP地址，增加安全性；允许外网主机访问地址，增加安全性；允许外网主机访问DMZ。4.1.3 NAT图图4-3 多口多口NAT1动态动态NAT和和PATFW(config)#nat(inside)1 10.0.1.0 255.255.255.0 FW(config)#global(outside)1 118.230.160.10-118.230.160.20FW(config)#global(dmz)

6、1 10.0.2.20 2静态静态NAT为使外部用户可访问为使外部用户可访问DMZ中的服务器，除适当应用中的服务器，除适当应用ACL外，还需将服务外，还需将服务器的器的IP地址映射（静态转换）为公网地址。地址映射（静态转换）为公网地址。FW(config)#static(dmz,outside)118.230.161.1 10.0.2.1 netmask 255.255.255.255 3静态静态PAT完成完成10.0.2.1:8080到到118.230.162.1:80的静态映射：的静态映射：FW(config)#static(dmz,outside)tcp 118.230.162.1:80

7、 10.0.2.1:8080 netmask 255.255.255.255访问控制表通常用于处理默认安全的访问控制表通常用于处理默认安全的例外情况例外情况。在图在图4-4中，访问控制表允许了外网对中，访问控制表允许了外网对DMZ中特定的中特定的WWW服务的访服务的访问；拒绝了内网主机问；拒绝了内网主机10.0.1.3对外网特定对外网特定WWW服务的访问。服务的访问。4.1.4 ACL与网络访问控制与网络访问控制图图4-4 ACL与网络访问控制与网络访问控制FW(config)#access-list outside extended permit tcp any host 118.230.1

8、61.1 eq www FW(config)#access-list inside extended deny tcp host 10.0.1.3 118.230.163.1 eq wwwFW(config)#access-list inside extended permit ip any anyFW(config)#access-group outside in interface outsideFW(config)#access-group inside in interface inside使用扩展ACL时，对TCP、UDP协议，可以使用下列操作符指定端口号：lt小于，gt大于，eq等

9、于，neq不等于，range指定一个数值区间，如“range 100 200”。低版本的防火墙，只允许在接口的in方向上应用ACL，高版本的防火墙则无此限制。4.1.4 ACL与网络访问控制与网络访问控制4.1.5 静态路由、路由表静态路由、路由表1路由处理过程路由处理过程防火墙可工作在防火墙可工作在路由路由（Routed）或）或透明透明（Transparent）模式下。工）模式下。工程中，一般选择路由模式。程中，一般选择路由模式。在路由模式下：在路由模式下：外部网络可将防火墙理解为外部网络可将防火墙理解为“router hop”；在防火墙内部，根据地址转换表（在防火墙内部，根据地址转换表（X

10、LATE、静态映射、静态映射)和路由表来路和路由表来路由数据包的。由数据包的。路由处理包括两个步骤：路由处理包括两个步骤：确定包应该送哪个接口；确定包应该送哪个接口；根据该接口的路由表（而不是其他接口的路由表）发送数据包。根据该接口的路由表（而不是其他接口的路由表）发送数据包。1路由处理过程路由处理过程图图4-5 路由处理过程路由处理过程2静态路由设置静态路由设置在图在图4-6中，假设防火墙未运行动态路由协议。欲使内网与中，假设防火墙未运行动态路由协议。欲使内网与Internet连通，连通，应在防火墙上怎样设置？应在防火墙上怎样设置？图图4-6 静态路由设置静态路由设置设置静态路由如下：设置静

11、态路由如下：FW(config)#route outside 0.0.0.0 0.0.0.0 118.230.160.1 1FW(config)#route inside 192.168.1.0 255.255.255.0 10.10.10.1 1 FW(config)#route inside 10.0.1.0 255.255.255.0 10.10.10.1 1 3路由表路由表查看一台运行中的防火墙的路由表。查看一台运行中的防火墙的路由表。FW#sh route Codes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGP D-EIGRP,E

12、X-EIGRP external,O-OSPF,IA-OSPF inter area N1-OSPF NSSA external type 1,N2-OSPF NSSA external type 2 E1-OSPF external type 1,E2-OSPF external type 2,E-EGP i-IS-IS,L1-IS-IS level-1,L2-IS-IS level-2,ia-IS-IS inter area *-candidate default,U-per-user static route,o-ODR P-periodic downloaded static rout

13、eGateway of last resort is 118.230.160.1 to network 0.0.0.0C 10.9.9.0 255.255.255.252 is directly connected,dmzC 118.230.160.0 255.255.255.252 is directly connected,outsideC 10.10.10.0 255.255.255.252 is directly connected,insideS 192.168.1.0 255.255.248.0 1/0 via 10.10.10.1,insideS 10.0.1.0 255.255

14、.255.0 1/0 via 10.10.10.1,insideS*0.0.0.0 0.0.0.0 1/0 via 118.230.160.1,outside4.1.6 应用层协议检测应用层协议检测检测应用层协议（传输层报文的载荷）的能力是衡量防火墙性能的重检测应用层协议（传输层报文的载荷）的能力是衡量防火墙性能的重要指标。要指标。防火墙能自动允许内向的返回报文，是因为其记录了相关会话的状态。防火墙能自动允许内向的返回报文，是因为其记录了相关会话的状态。例如，例如，FTP在标准模式下工作时，需要使用控制和数据在标准模式下工作时，需要使用控制和数据2个通道个通道，其，其中，控制通道首先开通，之后

15、，通过该通道为数据通道协商、开中，控制通道首先开通，之后，通过该通道为数据通道协商、开通一对新的端口通一对新的端口。如果不检测这个协商过程，防火墙就无法自动。如果不检测这个协商过程，防火墙就无法自动为数据传输开通通道。为数据传输开通通道。再如，某些协议在工作时，将再如，某些协议在工作时，将IP地址封装在应用层协议中，在接收方，地址封装在应用层协议中，在接收方，再将这个地址与再将这个地址与IP层的源地址进行比较，两者一致，方允许正常层的源地址进行比较，两者一致，方允许正常通信。这样，防火墙在进行地址转换时，不仅应转换通信。这样，防火墙在进行地址转换时，不仅应转换IP层地址，层地址，还需要检测并转

16、换嵌入高层协议的地址，以保证两者还需要检测并转换嵌入高层协议的地址，以保证两者匹配匹配。4.2 应用举例应用举例4.2.1 扩展扩展DMZ区接口数量区接口数量4.2.2 限制内网主机与外网的并发连接数限制内网主机与外网的并发连接数4.2.3 NAT前后，源地址不变前后，源地址不变4.2.4 NAT与与DNS记录重写记录重写4.2.5 ICMP检测与控制检测与控制4.2.1 扩展扩展DMZ区接口数量区接口数量通常，通常，DMZ中的服务器需要相互隔离，彼此不进行通信。每一中的服务器需要相互隔离，彼此不进行通信。每一DMZ口只连接一台服务器。口只连接一台服务器。防火墙提供的物理接口是有限的，当接口数

17、不满足要求时，可以加配防火墙提供的物理接口是有限的，当接口数不满足要求时，可以加配接口板接口板以增加接口数量。但这种方法存在两个问题：接口板价格以增加接口数量。但这种方法存在两个问题：接口板价格比较高；受设备扩充槽数的限制，接口板数量受限。比较高；受设备扩充槽数的限制，接口板数量受限。扩展扩展DMZ区接口数量的更好方案？区接口数量的更好方案？因防火墙支持因防火墙支持VLAN并具备路由功能，故可借助并具备路由功能，故可借助Trunk与第与第2层交换层交换机连接，通过机连接，通过VLAN使交换机端口成为防火墙接口，以实现端口使交换机端口成为防火墙接口，以实现端口扩充。扩充。4.2.1 扩展扩展DM

18、Z区接口数量区接口数量防火墙配置了防火墙配置了8个接口，其中，内、外网各占用个接口，其中，内、外网各占用1个，个，DMZ15共占用共占用5个。空闲的物个。空闲的物理口为理口为GigabitEthernet1/3。要求：通过下连交换机要求：通过下连交换机WS-C2960G-24TC-L增加增加6个接口供个接口供DMZ611使用。使用。图图4-7 扩展扩展DMZ区接口区接口将防火墙的将防火墙的GigabitEthernet1/3与交换机的与交换机的GigabitEthernet0/1连接，设置端口为连接，设置端口为Trunk；为便于管理，；为便于管理，将交换机的将交换机的GigabitEthern

19、et0/611用作用作DMZ611接口。接口。4.2.2 限制内网主机与外网的并发连接数限制内网主机与外网的并发连接数要求：在每天的要求：在每天的8:0018:00，内部子网，内部子网10.10.10.0/24中的每中的每台主机，最多允许有台主机，最多允许有20个并发的个并发的TCP或或UDP连接存在于防火墙中。连接存在于防火墙中。相关配置如下：相关配置如下：FW(config)#time-range work-timeFW(config-time-range)#periodic daily 8:00 to 18:00FW(config)#access-list CONNS extended

20、permit ip 10.10.10.0 255.255.255.0 any time-range work-timeFW(config)#class-map CONNSFW(config-cmap)#match access-list CONNSFW(config)#policy-map CONNSFW(config-pmap)#class CONNSFW(config-pmap-c)#set connection per-client-max 20FW(config)#service-policy CONNS interface inside4.2.3 NAT前后源地址不变前后源地址不变启

21、用启用NAT控制后，内部主机的地址必须经过控制后，内部主机的地址必须经过NAT，方可与其他接口所连接的网络进，方可与其他接口所连接的网络进行通信。行通信。要求：内部子网要求：内部子网210.31.227.0/24在在NAT后，地址与真实地址相同。后，地址与真实地址相同。解决方法一：解决方法一：“Identity NAT”：FW(config)#nat(inside)0 210.31.227.0 255.255.255.0特点：特点：支持策略支持策略NAT。仅允许内部主机主动建立连接仅允许内部主机主动建立连接，如图，如图4-8所示。所示。图图4-8 单向连接单向连接4.2.3 NAT前后源地址不

22、变前后源地址不变解决方法二：解决方法二：“Static Identity NAT”：FW(config)#static(inside,outside)210.31.227.0 210.31.227.0 netmask 255.255.255.0特点：可指定目的接口；内、外部主机均可主动建立连接，如图特点：可指定目的接口；内、外部主机均可主动建立连接，如图4-9所示。所示。解决方法三：解决方法三：“NAT exemption”：FW(config)#access-list exempt permit ip 210.31.227.0 255.255.255.0 any FW(config)#nat

23、(inside)0 access-list exempt特点：占用的资源较少。内、外部主机均可主动建立连接，如图特点：占用的资源较少。内、外部主机均可主动建立连接，如图4-9所示所示。图图4-2-3 双向连接双向连接4.2.4 NAT与与DNS记录重写记录重写启用防火墙的启用防火墙的DNS检测功能后，怎样实现检测功能后，怎样实现DNS记录重写？记录重写？图图4-10 NAT与与DNS记录重写记录重写FW(config)#static(dmz,outside)118.230.161.1 10.0.2.1 dns4.2.4 NAT与与DNS记录重写记录重写在图在图4-10所示场景中，所示场景中，D

24、MZ中服务器的中服务器的真实地址真实地址（10.0.2.1）已）已映射为映射为外部地址外部地址（118.230.161.1）。）。DNS服务器位于外网，服务器位于外网，其中包含可将其中包含可将解析为外部地址解析为外部地址118.230.161.1的的A记录记录。外网用户可通过域名或外部地址正常访问外网用户可通过域名或外部地址正常访问WWW服务器。内部用户服务器。内部用户可通过可通过真实地址真实地址（10.0.2.1）访问）访问WWW服务器，但是，如果内服务器，但是，如果内部用户需要通过域名访问部用户需要通过域名访问WWW服务器，则需要将服务器，则需要将域名解析为真域名解析为真实地址实地址10.

25、0.2.1。4.2.5 ICMP检测与控制检测与控制1ICMP检测检测默认情况下，防火墙未启用默认情况下，防火墙未启用ICMP报文检测。当内网主机主动向外网报文检测。当内网主机主动向外网发送发送ICMP报文后，防火墙不会自动允许其回应报文通过。报文后，防火墙不会自动允许其回应报文通过。启用启用ICMP检测：检测：FW(config-pmap-c)#inspect icmp2ICMP控制控制ICMP是一把双刃剑。一方面，网管人员藉此测试路由、连通性等，是一把双刃剑。一方面，网管人员藉此测试路由、连通性等，另一方面，不怀好意者也可藉此窥探网络结构。另一方面，不怀好意者也可藉此窥探网络结构。对以防火

26、墙为源或目的的对以防火墙为源或目的的ICMP报文，可以用报文，可以用ACL或或ICMP命令加以命令加以控制（两者同时存在时，控制（两者同时存在时，ACL优先）；对穿越防火墙的优先）；对穿越防火墙的ICMP报报文，则只能用文，则只能用ACL控制。控制。4.3 抵御网络攻击抵御网络攻击防火墙提供防火墙提供TCP报文规范化、并发连接数限制等功能，以抵御网络攻报文规范化、并发连接数限制等功能，以抵御网络攻击。击。4.3.1 TCP报文规范化报文规范化4.3.2 连接数限制及其定时器设置连接数限制及其定时器设置4.3.3 预防预防IP欺骗欺骗4.3.4 阻止特定的连接阻止特定的连接4.3.1 TCP报文

27、规范化报文规范化启用该功能后，防火墙可辨认不规范的启用该功能后，防火墙可辨认不规范的TCP报文，并根据用户设置进报文，并根据用户设置进行相应处理行相应处理放行（放行（allow）、丢弃（）、丢弃（drop）、改写报文中的不）、改写报文中的不规范比特后放行（规范比特后放行（clear）。）。配置方法如下：配置方法如下：FW(config)#access list tcpnorm extended permit ip any 10.0.2.0 255.255.255.0FW(config)#class-map tcp_norm_classFW(config-cmap)#match access-l

28、ist tcpnormFW(config)#tcp-map syr_tcpFW(config-cmap)#policy-map syrFW(config-pmap)#class tcp_norm_classFW(config-pmap-c)#set connection advanced-options syr_tcpFW(config-pmap-c)#service-policy syr interface intside4.3.2 连接数限制及其定时器设置连接数限制及其定时器设置1TCP拦截拦截DoS攻击过程如下：恶意主机伪造源攻击过程如下：恶意主机伪造源IP地址发送地址发送TCP连接请求

29、给服务器，服连接请求给服务器，服务器向这个伪造的地址发送确认报文，之后，等待对这个报文的确认。务器向这个伪造的地址发送确认报文，之后，等待对这个报文的确认。这这个徒劳地等待确认信息的连接即所谓的初始或半开连接。个徒劳地等待确认信息的连接即所谓的初始或半开连接。将大量的恶意请将大量的恶意请求发往服务器，会使服务器端口缓冲区溢出，从而不再响应任何求发往服务器，会使服务器端口缓冲区溢出，从而不再响应任何TCP连接连接请求请求拒绝服务。拒绝服务。怎样抵御怎样抵御DoS攻击？攻击？利用防火墙限制半开连接数。利用防火墙限制半开连接数。其工作机制是，当半开连接数到达所设定的阈值后，防火墙开始接管连接过其工作

30、机制是，当半开连接数到达所设定的阈值后，防火墙开始接管连接过程，代替服务器向客户发送确认报文，并等待来自客户响应，在收到来自程，代替服务器向客户发送确认报文，并等待来自客户响应，在收到来自客户的合法响应后，防火墙方将连接权授予客户。客户的合法响应后，防火墙方将连接权授予客户。怎样抵御基于猜测连接序号的攻击？怎样抵御基于猜测连接序号的攻击？可启用防火墙的可启用防火墙的TCP连接序号随机化功能。连接序号随机化功能。4.3.2 连接数限制及其定时器设置连接数限制及其定时器设置2配置举例配置举例FW(config)#class-map CONNSFW(config-cmap)#match anyFW(

31、config-cmap)#policy-map CONNSFW(config-pmap)#class CONNSFW(config-pmap-c)#set connection conn-max 1000 embryonic-conn-max 2000FW(config-pmap-c)#set connection timeout tcp 3:0:0 embryonic 0:40:0 half-closed 0:20:0 FW(config-pmap-c)#service-policy CONNS interface outside 4.3.3 预防预防IP欺骗欺骗在接口上启用单播在接口上启用

32、单播RPF（Reverse Path Forwarding），可过滤），可过滤源地址不在接口路由表中的源地址不在接口路由表中的IP包。例如，接口包。例如，接口DMZ只有指向只有指向10.10.10.0/24的路由，则启用单播的路由，则启用单播RPF后，该接口将拒绝所后，该接口将拒绝所有源地址不属于子网有源地址不属于子网10.10.10.0/24（如（如10.10.9.1）的）的IP包包进入。进入。例如，欲在例如，欲在inside接口上启用单播接口上启用单播RPF，可键入下列命令：，可键入下列命令：FW(config)#ip verify reverse-path interface insid

33、e 4.3.4 阻止特定的连接阻止特定的连接可以通过可以通过shun命令阻止特定的连接（这些连接可能正被用于网络攻命令阻止特定的连接（这些连接可能正被用于网络攻击），命令格式如下：击），命令格式如下：shun src_ip dst_ip src_port dest_port protocol vlan vlan_id仅指定源仅指定源IP地址时，所有新建连接将被拒绝，但已存在的连接不影响。地址时，所有新建连接将被拒绝，但已存在的连接不影响。欲阻止已存在的连接，需指定全部参数。欲阻止已存在的连接，需指定全部参数。4.4 综合举例之一综合举例之一WWW服务器虚拟镜像与服务器虚拟镜像与url重定向重定

34、向4.4.1 网络环境及具体需求网络环境及具体需求4.4.2 实现方法实现方法 1防火墙设置防火墙设置 2路由器配置路由器配置 3重定向逻辑重定向逻辑4.4.3 测试结果、结论与创新点测试结果、结论与创新点为解决网间通信不畅，开通为解决网间通信不畅，开通多条外连信道多条外连信道，对外，对外WWW服务器被映射服务器被映射为为多个外部多个外部IP地址并对应多个域名地址并对应多个域名，以提高与外网客户间的通信速度。，以提高与外网客户间的通信速度。但是，用户访问但是，用户访问WWW服务器时，其使用的域名或服务器时，其使用的域名或IP地址不具备可控性。地址不具备可控性。怎样使怎样使WWW服务器能够根据客

35、户服务器能够根据客户IP地址，智能地将其地址，智能地将其重定向重定向至适合其至适合其访问的域名或访问的域名或IP地址？地址？本节将以双出口环境为例给出其实现方法。本节将以双出口环境为例给出其实现方法。4.4.1 网络环境及具体需求网络环境及具体需求图图4-11 网络环境及转换过程网络环境及转换过程在在WWW服务器上运行的各网站，其主目录均启用服务器上运行的各网站，其主目录均启用“默认内容文档默认内容文档”，在该文档中加入基于客户，在该文档中加入基于客户IP地地址的址的url重定向逻辑，以将用户引导至合适的域名（重定向逻辑，以将用户引导至合适的域名（IP地址）。地址）。4.4.2 实现方法实现方

36、法1防火墙设置防火墙设置在防火墙上进行在防火墙上进行“Static Identity NAT”图图4-12 网络环境及转换过程网络环境及转换过程2路由器配置路由器配置 为实现虚拟镜像，配置为实现虚拟镜像，配置“地址：端口地址：端口地址：端口地址：端口”形式的静态映射；形式的静态映射；配置策略路由；配置策略路由；在内口上启用策略路由。在内口上启用策略路由。顺便指出，当顺便指出，当WWW服务器主动访问外网资源时，其源地址转换过程与内网服务器主动访问外网资源时，其源地址转换过程与内网络一般主机类似，此时，其对外呈现的地址可不同于为外网提供络一般主机类似，此时，其对外呈现的地址可不同于为外网提供WWW

37、服务时的地址，可在某种程度上增强安全性。服务时的地址，可在某种程度上增强安全性。route-map saddr permit 10 match ip address syr set ip next-hop ISP1接口地址接口地址route-map saddr permit 20 match ip address syr_jyandDNS set ip next-hop ISP2接口地址接口地址ip access-list extended syr permit ip host 118.230.161.50 anyip access-list extended syr_jyandDNS per

38、mit ip host 118.230.161.1 any permit ip host 118.230.161.49 anyip nat inside source static tcp 118.230.161.50 80 60.10.135.100 80 extendableip nat inside source static tcp 118.230.161.49 80 118.230.161.49 80 extendableip policy route-map saddr3重定向逻辑重定向逻辑 假定原网站的假定原网站的“默认内容文档默认内容文档”依次为依次为A1.B1、A2.B2，删

39、除这些，删除这些设置，指定设置，指定“默认内容文档默认内容文档”为为A3.B3，在，在A3.B3中加入如图中加入如图4-13所示的重定向逻辑。所示的重定向逻辑。图图4-13 重定向逻辑重定向逻辑4.4.3 测试结果、结论与创新点测试结果、结论与创新点上述设置方案具体应用于某校园网，上述设置方案具体应用于某校园网，ISP1为中国联通，为中国联通，ISP2为为CERNET。测试结果：测试结果：v 公网用户用公网用户用或或访问访问WWW服服务时，网站自动重定向至务时，网站自动重定向至；v CERNET用户用用户用或或访问访问WWW服务时，网站自动重定向至服务时，网站自动重定向至。结论：结论：采用本方

40、案，在不购置新设备（如负载均衡器）、不增加网站维护工作量的采用本方案，在不购置新设备（如负载均衡器）、不增加网站维护工作量的前提下，大幅度减少了公网与前提下，大幅度减少了公网与CERNET间的流量，网站访问速度显著提间的流量，网站访问速度显著提高。高。创新点：创新点：本解决方案的实用、创新之处在于，用虚拟镜像代替实体镜像；用具有普适本解决方案的实用、创新之处在于，用虚拟镜像代替实体镜像；用具有普适性的软件实现智能重定向。性的软件实现智能重定向。4.5 综合举例之二综合举例之二网间网间“短接短接”技术方案设计技术方案设计4.5.1 网络环境及解决方案要点网络环境及解决方案要点 4.5.2 访问控

41、制、网络安全和域名解析访问控制、网络安全和域名解析 1访问控制与网络安全访问控制与网络安全 2域名解析域名解析4.5.3 结论结论在某些高校，教学、办公网与学生宿舍区网相对独立，彼此出口不在某些高校，教学、办公网与学生宿舍区网相对独立，彼此出口不同，通过同，通过Internet互联。这种架构会引发两个严重问题：互联。这种架构会引发两个严重问题：（1）学生宿舍区用户访问学校网络资源或与教学、办公网中的普）学生宿舍区用户访问学校网络资源或与教学、办公网中的普通主机通信时，需通主机通信时，需绕行绕行Internet，速度不够理想速度不够理想，并且会消耗教学、，并且会消耗教学、办公网出口信道一定数量的

42、办公网出口信道一定数量的付费带宽付费带宽；（2）在未建立有效的单点登录机制的情况下，为使学生宿舍区用）在未建立有效的单点登录机制的情况下，为使学生宿舍区用户能够访问学校内部网络资源，需要构建比较户能够访问学校内部网络资源，需要构建比较复杂的映射、控制环复杂的映射、控制环节节。用专用信道用专用信道“短接短接”两网，可以较低的成本解决上述问题。两网，可以较低的成本解决上述问题。本节给出了基于本节给出了基于Cisco设备的技术方案。设备的技术方案。4.5.1 网络环境及解决方案要点网络环境及解决方案要点图图4-13 网络环境网络环境4.5.1 网络环境及解决方案要点网络环境及解决方案要点解决方案要点

43、：解决方案要点：（1）用光缆将教学、办公网核心交换机与学生宿舍区网络出口设备）用光缆将教学、办公网核心交换机与学生宿舍区网络出口设备直接相连直接相连；（2）将学生宿舍区）将学生宿舍区IP地址视为地址视为内网地址内网地址，在教学、办公网的核心交，在教学、办公网的核心交换机、防火墙上增加指向这些地址的换机、防火墙上增加指向这些地址的路由路由；（3）在学生宿舍区网络出口设备上增加指向教学、办公网的路由，）在学生宿舍区网络出口设备上增加指向教学、办公网的路由，如果该设备还下连有学生宿舍区之外的其他网络，则应部署如果该设备还下连有学生宿舍区之外的其他网络，则应部署策略策略路由路由，允许且只允许学生宿舍区

44、用户通过，允许且只允许学生宿舍区用户通过“短接信道短接信道”访问学校访问学校网络资源。网络资源。4.5.2 访问控制、网络安全和域名解析访问控制、网络安全和域名解析 1访问控制与网络安全访问控制与网络安全从访问控制的角度看，为有效拦截来自学生宿舍区用户、指向从访问控制的角度看，为有效拦截来自学生宿舍区用户、指向Internet资源资源的访问请求包进入教学、办公网，应在核心交换机的的访问请求包进入教学、办公网，应在核心交换机的“短接短接”端口上设置端口上设置ACL，只接受指向学校网络资源的请求包只接受指向学校网络资源的请求包。从网络安全的角度看，应从网络安全的角度看，应允许允许教学、办公网中主机

45、主动与学生宿舍区主机教学、办公网中主机主动与学生宿舍区主机建建立连接立连接；拒绝由学生宿舍区主机发起拒绝由学生宿舍区主机发起，指向教学、办公网一般主机或服务，指向教学、办公网一般主机或服务器器大部分端口的连接请求大部分端口的连接请求，但允许对，但允许对特定服务器或服务器特定端口特定服务器或服务器特定端口的的主动主动连接请求。连接请求。适当构造适当构造ACL和和CBAC，可实现上述需求。，可实现上述需求。2域名解析域名解析对学生宿舍区主机的网络参数不用作任何修改，这些主机仍旧通过普通信道对学生宿舍区主机的网络参数不用作任何修改，这些主机仍旧通过普通信道进行域名解析，得到相关服务器映射至外部的进行

46、域名解析，得到相关服务器映射至外部的IP地址。访问这些服务器地址。访问这些服务器时，学生宿舍区主机以内网主机的身份出现，目的地址为外网地址，通信时，学生宿舍区主机以内网主机的身份出现，目的地址为外网地址，通信通过通过“短接信道短接信道”进行。进行。教学、办公网中的主机，也应通过外部地址访问这些服务器。教学、办公网中的主机，也应通过外部地址访问这些服务器。4.5.3 结论结论将两个通过将两个通过Internet联接的网络用专用信道联接的网络用专用信道“短接短接”，在确保教学、，在确保教学、办公网络安全的前提下：办公网络安全的前提下：v 可节省教学、办公网络出口的信道带宽；可节省教学、办公网络出口

47、的信道带宽；v 使学生宿舍区用户能够顺利访问学校内部资源；使学生宿舍区用户能够顺利访问学校内部资源；v 同时，教学、办公网络主机与学生宿舍区主机（包括服务器）同时，教学、办公网络主机与学生宿舍区主机（包括服务器）间的通信速度亦有大幅度提升。间的通信速度亦有大幅度提升。本章小结本章小结v 防火墙的主要功能是控制（允许或拒绝）网间流量，以保护敏感资源，使防火墙的主要功能是控制（允许或拒绝）网间流量，以保护敏感资源，使其免遭攻击或窥探。其免遭攻击或窥探。v 目前的防火墙产品一般都提供多个物理接口，用户可任意设置物理接口的目前的防火墙产品一般都提供多个物理接口，用户可任意设置物理接口的安全等级，以连接

48、适当的网络。实际应用中，通常用一个接口连接内网、安全等级，以连接适当的网络。实际应用中，通常用一个接口连接内网、一个接口连接外网，一个或多个接口用于连接一个接口连接外网，一个或多个接口用于连接DMZ。一般将外网、。一般将外网、DMZ、内网接口的安全等级依次设置为内网接口的安全等级依次设置为0、50、100。v 防火墙的核心安全策略是，在默认情况下，允许高安全级别主机主动发起防火墙的核心安全策略是，在默认情况下，允许高安全级别主机主动发起与低安全等级主机的连接，并放行相应的返回报文；不允许低安全等级主与低安全等级主机的连接，并放行相应的返回报文；不允许低安全等级主机主动发送连接请求给高安全级别的

49、主机。机主动发送连接请求给高安全级别的主机。v 通常，防火墙都运行通常，防火墙都运行NAT。主要原因是：公网地址不敷使用；隐藏内部。主要原因是：公网地址不敷使用；隐藏内部IP地址，增加安全性；允许外网主机访问地址，增加安全性；允许外网主机访问DMZ。v 为实现动态为实现动态NAT和和PAT，需要设置两个参数：参与转换的源地址、替代，需要设置两个参数：参与转换的源地址、替代源地址的地址池。这两组地址通过源地址的地址池。这两组地址通过NAT ID建立关联。建立关联。本章小结本章小结v 为使外部用户能够访问为使外部用户能够访问DMZ中的服务器，除需适当应用中的服务器，除需适当应用ACL外，还需将外，

50、还需将服务器的服务器的IP地址映射（静态转换）为外网地址，是为静态地址映射（静态转换）为外网地址，是为静态NAT。类似地，。类似地，静态静态PAT用于实现用于实现IP地址：端口号地址：端口号IP地址：端口号的固定映射关系。地址：端口号的固定映射关系。v 在默认情况下，防火墙允许高安全接口到低安全接口的主动连接，拒绝反在默认情况下，防火墙允许高安全接口到低安全接口的主动连接，拒绝反方向的主动连接（即使已经完成了地址的静态映射，也是如此）。访问控方向的主动连接（即使已经完成了地址的静态映射，也是如此）。访问控制表通常用于处理例外情况。制表通常用于处理例外情况。v 防火墙一般工作在路由模式下，此时外