防火墙相关配置及安全策略VPN+NAT+ACL.docx

防火墙相关配置及安全策略VPN+NAT+ACL.docx

《防火墙相关配置及安全策略VPN+NAT+ACL.docx》由会员分享，可在线阅读，更多相关《防火墙相关配置及安全策略VPN+NAT+ACL.docx（14页珍藏版）》请在冰点文库上搜索。

防火墙相关配置及安全策略VPN+NAT+ACL

防火墙的体系及种类:

DMZ区的安全级别低于内部区域，DMZ区部署外部需要访问的WEB，MAIL，FTP等，而应用服务器和数据库及重要的机密数据必须部署在内部区域。

防火墙的功能：

（ROUTER支持多种的网络协议，所以它部署在最外面进行路由功能）

安装方式:

二图可以建立企业部门之间的VPN,三图考虑到现实中的双机热备.

包过滤防火墙可以是一种硬件设备，也可以在路由器上配置过滤机制（ACL）来构造包过滤防火墙（第一道网络安全的机制）.特点如下：

ACL（访问控制列表）的相应特点：

ACL的工作过程及原理：

一、最后一条必须是完全拒绝规则.

ACL的分类：

标准ACL，扩展的ACL,命名的ACL

ACL的配置实施过程：

一、创建列表，二、绑定到提定接口（in,out是相对路由器本身而言的。

）.

标准列表的配置：

（一条命令：

no可以删除所以的列表）

扩展列表的配置：

命令列表的配置：

（名字要写清楚,它是标准列表的扩展列表基础上）

设备ACL的位置:

控制内部的主机对外部其它网络的访问，则使用扩展列表来说明是哪一些外部网络；控制外部的一些网络对自已内部主机的访问，则使用标准列表来控制哪些源头是否可访问。

查看ACL列表。

配置VTY来控制远程对路由器或者三层交换机的访问，使用标准列表.

扩展的命名ACL可以一条规则匹配十个端口，而扩展的ACL一条规则只能匹配一个端口。

扩展的命名ACL在规则数量上少多了，实质没有改变.

Remark对规则进行注释和说明：

基于时间范围的访问控制列表ACL：

（拒绝的列表在前面,充许的列表在后面）

蠕虫病毒的扫描和攻击都是针对具体的端口进行发生的。

攻击是不断更新变化，所以ACL也需要不断更新.所以在随时了解和掌握攻击的端口，同是更新ACL。

控制内部主机访问外网，并且指定时间段：

一个端口上可以配多条ACL，有in、out两类。

可以对内网用户的上网行为进行控制，比如只能访问规定服务和站点。

在包过滤防火墙上进行NAT配置：

NAT的优势：

节省了公网的IP地址，延长了IPV4的使用寿命；实了隐藏内部的真实IP地址,让内部的网络结构不被他人识破。

但它是以牺牲网络性能来实现这些功能。

NAT实现的基本原理:

201。

0.0。

1,2，3三个外网地址供内部网络使用。

NAT的几种类型：

（源地址转换和目地地址转换）

一、静态NAT.NAT映射表中可以实现外网IP与内网IP的一一对映关系。

将内部主机进行映射,使之能够访问外总网络。

也可以进行安全控制.基于源地址转换

二、动态NAT.（地址池中的外网地址用完了，其他内网用户就不能使用外网地址了.基于源地址转换）

三、动态NAT实现超载（与二差别不大，内网多个主机可以用同一个外网地址,通过不同的端口进行转换。

基于源地址转换）

四、PAT基于端的NAT。

多个内网IP通过不同端口与一个外网IP的不同端口进行对映。

基于源地址转换

五、以NAT实现的TCP负载均衡。

用路由器来应答大量的外部请求，再由路由器分配到内部的多台服务器上.把服务器当作一个整体并对外虚拟成一个服务器,外部请求都是请求虚拟服务器。

基于目地地址转换。

如下图：

配置在内部有WEB服务器或者其它服务器需要对外公布的一端.先定义一个针对虚拟服务器的标准列表.NAT地址池中的都是真实的服务器的地址池，必须加上“typerotary”轮询服务器。