网络设备配置与管理 09

第9章防火墙及其基本配置9.1防火墙概述9.1.1防火墙概述防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。典型的防火墙建立在一个服务器或主机的机器上，也称为“堡垒主机”，它是一个多边协议路由器。这个堡垒主机连接两个网络，一边与内部网相连，另一边与因特网相连。1.防火墙的发展2.防火墙的功能防火墙通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理，防止外部网络不安全的信息流入内部网络和限制内部网络的重要信息流到外部网络。（1）保护网络的安全性功能（2）网络监控审计功能（3）屏蔽内网信息外泄功能（4）NAT和VPN3.防火墙的缺陷9.1.2防火墙的分类1.按组成结构分类（1）软件防火墙（2）硬件防火墙（3）芯片级防火墙2.按防火墙的技术原理分类（1）包过滤防火墙（2）代理防火墙①应用层网关防火墙②电路层网关（3）状态监视防火墙9.1.3防火墙的体系结构1.屏蔽路由器(Screeningrouter)结构2.双穴主机网关(DualHomedGateway)结构3.屏蔽主机网关(ScreenedHostGateway)结构4.屏蔽子网(ScreenedSubnet)结构9.2防火墙的相关产品及其选购9.2.1防火墙相关产品1.软件防火墙—CheckPointFirewallSoftwareBlade2.硬件防火墙—CiscoPIXFirewall5203.芯片级硬件防火墙——方正方通防火墙9.2.2防火墙的选购策略1.安全性2.性能3.管理4.适用性5.售后服务9.2.3防火墙的发展趋势（1）多功能（2）防病毒（3）灵活的代理系统（4）简化的安装与管理（5）多级的过滤技术（6）Internet网关技术（7）安全服务器网络(SSN)（8）审计和告警9.3IP访问列表的配置9.3.1访问列表概述（1）IP访问控制列表(IPaccesslists)IP访问控制列表用于过滤IP报文，包括TCP和UDP。它可细分为标准IP访问控制列表和扩展IP访问控制列表。标准IP访问控制列表（StandardIPaccesslists）只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。扩展IP访问控制列表（ExtendedIPaccesslists）不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。（2）现代访问控制列表现代访问控制列表是在IP访问控制列表的基础上实现的灵活性更大的ACL列表方式。它包括动态访问控制列表、基于时间的访问控制列表、自反的访问控制列表和基于命名的访问控制列表。9.3.2标准IP访问列表的配置1.标准IP访问列表的配置命令（1）定义标准ACL命令Firewall(config)#access-list[listnumber]{permit|deny}{host/any}[sourceaddress][wildcard-mask][log]下面对标准IP访问表基本格式中的各项参数进行解释：①listnumber：即表号范围，标准IP访问表的表号标识范围是1～99。②permit/deny：允许或拒绝，关键字permit和deny用来表示满足访问表项的报文是允许通过接口，还是要过滤。permit表示允许报文通过接口，而deny表示匹配标准IP访问表源地址的报文要被丢弃。③sourceaddress：源地址，对于标准的IP访问列表，源地址是主机或一组主机的点分十进制表示，如：210.43.32.10。④host/any：主机匹配，host和any分别用于指定单个主机和所有主机，其中host表示一种精确的匹配，其屏蔽码为0.0.0.0。any是源地证/目标地址0.0.0.0/255.255.255.255的简写。⑤wildcardmask：通配符屏蔽码，Cisco访问表功能所支持的通配符屏蔽码与子网掩码的方式是刚好相反的，也就是说，二进制的0表示一个“匹配”条件，二进制的1表示一个“不匹配”条件。（2）应用访问列表到接口命令应用访问列表到接口命令：Firewall(config-if)#ipaccess-group[access-list-number]{in|out}参数注意：access-list-number:标准ACL的表号范围为1～99。In：通过接口进入路由器的报文。Out：通过接口离开路由器的报文。（3）显示所有协议的访问列表配置细节显示所有协议的访问列表配置细节的配置命令：Firewall(config)#showaccess-list[access-list-number]。（4）显示IP访问列表显示IP访问列表的配置命令：Firewall(config)#showipaccess-list[access-list-number]。2.标准ACL配置举例（1）只允许网络192.168.0.0的数据通过，而阻塞其他所有的数据，配置命令如下：Firewall(config)#access-list1permit192.168.0.00.0.0.255Firewall(config)#interfacefa0/0Firewall(config-if)#ipaccess-group1outFirewall(config)#interfacefa0/1Firewall(config-if)#ipaccess-group1out（2）阻塞来自一个特定主机192.168.0.1的通信流量，而把所有的其他的通信流量从fa0/0接口转发出去，配置命令如下：Firewall(config)#access-list1denyhost192.168.0.1Firewall(config)#access-list1permitanyFirewall(config)#intf0/0Firewall(config-if)#ipaccess-group1out（3）阻塞来自一个特定子网10.0.0.0的通信流量，而允许所有其他的通信流量，并把它们转发出去，配置命令如下：Firewall(config)#access-list1deny10.0.0.00.255.255.255Firewall(config)#access-list1permitanyFirewall(config)#interfacefa0/0Firewall(config-if)#ipaccess-group1out9.3.3扩展IP访问列表的配置1.配置扩展访问列表相关命令（1）命令及格式Firewall(config)#access-list[access-list-number]{permit|deny}[protocol][source-address][source-wildcard][source-port][destinaitonaddress][destination-wildcard][destination-port][options]参数注意：access-list-number：编号范围为100～199。Permit：通过；deny：禁止通过。protocol：需要被过滤的协议，如IP、TCP、UDP、ICMP、EIGRP、GRE等。source-address：源IP地址。source-wildcard：源通配符掩码。source-port：源端口号，可以是单一的某个端口，也可以是一个端口范围。端口号可以使用一个数字或一个可识别的助记符显式地指定。例如，可以使用80或http来指定Web的超文本传输协议。端口的相关运算符如表9-3所示。（2）将访问列表应用到接口的命令访问列表应用到接口的命令：Firewall(config-if)#ip[access-group][access-list-number][in|out]。参数注意：access-list-number:扩展ACL的表号范围为100～199。In：通过接口进入路由器的报文。Out：通过接口离开路由器的报文。（3）显示所有协议的访问列表配置细节显示所有协议的访问列表配置细节的配置命令：Firewall(config)#showaccess-list[access-list-number]。（4）显示IP访问列表显示IP访问列表的配置命令：Firewall(config)#showipaccess-list[access-list-number]。2.扩展ACL配置举例（1）只允许210.43.32.0网络的，其他数据全部拒绝，配置命令如下：Firewall(config)#access-list101permittcp210.43.32.00.0.0.255192.168.0.00.0.0.255eq80Firewall(config)#interfacefa0/0Firewall(config-if)#ipaccess-group101out（2）拒绝210.43.32.0网络的FTP数据通过fa0/0到达网络192.168.0.0，其他信息流均可通过，配置命令如下：Firewall(config)#access-list101denytcp210.43.32.00.0.0.255192.168.0.00.0.0.255eq21Firewall(config)#access-list101permitip210.43.32.00.0.0.255anyFirewall(config)#interfacefa0/0Firewall(config-if)#ipaccess-group101out（3）仅拒绝从210.43.32.0通过fa0/0发往别处的Telnet数据，而允许所有其他来源的数据，配置命令如下：Firewall(config)#access-list101denytcp210.43.32.00.0.0.255anyeq23Firewall(config)#access-lisst101permitipanyanyFirewall(config)#interfacefa0/0Firewall(config-if)#ipaccess-group101out9.4现代访问控制列表的配置9.4.1命名访问列表配置1.标准命名ACL命名ACL允许使用一个字母、数字组合的字符串来表示ACL表号。（1）配置标准命名ACL的命令：Firewall(config)#ipaccess-liststandard[name]Firewall(config)#{Deny|permit}[sourceaddress][wildcard]Firewall(config-if)#ipaccess-groupname{in|out}（2）设计一个标准命名ACL，以用于阻塞来自一个特定子网192.168.0.0的通信流量，而允许所有其他通信流量，并把它们转发出去，配置命令如下：Firewall(config)#ipaccess-liststandardtask1Firewall(config-std-nacl)#deny192.168.0.00.0.0.255Firewall(config-std-nacl)#permitanyFirewall(config)#interfacefa0/0Firewall(config-if)#ipaccess-grouptask1in2.扩展命名ACL(1)配置扩展命名ACL的命令：Firewall(config)#ipaccess-listextended[name]Firewall(config)