防火墙安全规则.ppt

防火墙安全规则,网御神州科技（北京）有限公司 客服中心,防火墙安全规则,学习目标 学习完本课程，您应该能够 了解防火墙的安全规则 熟悉防火墙包过滤功能工作原理 熟悉防火墙NAT功能工作原理 熟悉防火墙映射功能工作原理,防火墙安全规则,内容导读 安全规则概述 包过滤规则 NAT规则 IP映射规则 端口映射规则,防火墙安全规则,数据包结构,源IP,目的IP,源端口,1、网路设备是按照数据包中的目地IP进行路由查找的 2、主机是查找数据包的目地IP，才能知道是发给自己的数据包 3、目地主机通过检查源IP，才能知道谁在访问自己，回包的时候可以回给相应的主机,目地端口,数据,防火墙安全规则,安全规则概述 防火墙作为边界设备，部署后需要通过安全规则来控制经过防火墙的流量 1、防火墙根据网络环境应用的不同，分为： 包过滤规则 NAT规则 端口映射规则 IP映射规则 2. 防火墙安全规则默认下是禁止所有通信 3. 网络所有通信都要通过安全规则来控制 4. 防火墙安全规则匹配顺序为自上而下逐一匹配,防火墙安全规则,包过滤规则简述 包过滤规则的目地是在多种数据流量中，保证合法允许的流量穿过防火墙 过滤掉不合法的流量，从而保证网络的安全性,防火墙安全规则,包过滤规则 1、什么叫包过滤 通过人为添加的一些访问列表，来过滤穿过设备的数据包 2、包过滤规则工作原理 包过滤规则检查经过防火墙的数据包，将数据包中的源地址，目地地址，目地端口（协议+端口）、和所定义的规则进行匹配，如果匹配，则执行该规则的动作 允许或者丢弃 3、防火墙的包过滤规则不会修改数据包里面任何一个字段的内容,防火墙安全规则,包过滤规则界面,规则匹配后，执行对数据包的处理动作：允许或者丢弃,防火墙安全规则,包过滤规则界面,服务里面的内容,防火墙安全规则,包过滤规则处理过程,包过滤规则,S:1.1.1.1,D:2.2.2.2,SP:22308,DP:80,S:1.1.1.1,D:2.2.2.2,DP:80,动作 允许or拒绝,全部匹配,防火墙安全规则,包过滤规则应用环境 安全规则按照网络环境分为包过滤、NAT、映射规则 1、包过滤规则的应用环境必须保证防火墙两端的路由是可达的（网络是通的） 2、一般使用包过滤规则的应用环境是内网访问内网,防火墙安全规则,NAT规则简述 NAT规则是将数据包的源地址替换成另外的ip保证数据包能够在网络上进行 传递,源IP,目的IP,源端口,目地端口,数据,NAT规则修改,NAT规则修改,防火墙安全规则,NAT规则 1、什么叫NAT规则 经过防火墙的数据包如果只发生源地址和源端口被替换的情况，称为NAT规则 2、安全规则工作原理 NAT规则检查经过防火墙的数据包，将数据包中的源地址，目地地址，目地端口、和所定义的规则进行匹配，如果匹配，则执行该规则的动作 做NAT转换 3、防火墙的NAT规则会修改数据包里面源IP字段的内容,防火墙安全规则,NAT规则界面,规则匹配后，执行对数据包的处理动作：源地址转换,防火墙安全规则,NAT规则处理过程,NAT规则,S:1.1.1.1,D:2.2.2.2,SP:22308,DP:80,S:1.1.1.1,D:2.2.2.2,DP:80,动作 源地址转换,全部匹配,S:3.3.3.3,D:2.2.2.2,SP:22308,DP:80,防火墙安全规则,NAT规则的配置 1、定义NAT地址池 当进行数据包的转换时，会调用NAT地址池中的地址，实现地址转换 2、定义转换源 (感兴趣流) 并不是所有经过防火墙的数据包都会进行地址转换的，所以要求定义某些特定的流量 3、调用NAT地址池,防火墙安全规则,NAT规则应用环境 安全规则按照网络环境分为包过滤、NAT、映射规则 1、NAT规则应用的网络是一般是防火墙两边的路由不能直接通信，防火墙作为通信的边界路由设备 2、防火墙一般部署在互联网出口的时候，可能会使用NAT规则，因为互联网和内网是没有办法直接通信的，防火墙做为边界设备需要进行NAT转换 3、由于做了NAT之后，数据包的原来的源IP会被有效的隐藏起来 4、通过防火墙访问外网的时候，由于外网的IP不固定，所以目地地址一般为ANY,防火墙安全规则,映射规则简述 映射规则是将数据包的目地地址替换成另外的IP地址，或者将数据包的目地 IP和目地端口同时进行替换,源IP,目的IP,源端口,目地端口,数据,IP映射规则修改,端口映射规则修改,防火墙安全规则,映射规则 1、什么叫ip映射规则？ 通过访问一个公开IP地址，经过防火墙可以将公开的IP地址映射成所保护的真正的IP地址，从而能够访问到真正的主机的所有服务 2、什么叫端口映射规则？ 通过访问一个公开的IP地址和一个公开的端口，经过防火墙可以将公开的IP地址和端口映射成所保护主机的真正的IP地址和端口 3、映射规则工作原理 映射规则检查经过防火墙的数据包，将数据包中的源地址，目地地址，目地端口、和所定义的规则进行匹配，如果匹配，则执行该规则的动作，替换目地地址 4、IP映射和端口映射区别 IP映射规则只进行目地地址的转换，端口映射规则进行目地地址和目地端口的替换,防火墙安全规则,端口映射规则界面,规则匹配后，执行对数据包的处理动作：转换数据包的目地地址和目地端口,防火墙安全规则,IP映射规则处理过程,IP映射规则,S:1.1.1.1,D:2.2.2.2,SP:22308,DP:80,S:1.1.1.1,D:2.2.2.2,DP:80,动作 IP映射,全部匹配,S:3.3.3.3,SP:22308,DP:80,S:1.1.1.1,防火墙安全规则,端口映射规则处理过程,端口映射规则,S:1.1.1.1,D:2.2.2.2,SP:22308,DP:80,S:1.1.1.1,D:2.2.2.2,DP:80,动作 端口映射,全部匹配,S:3.3.3.3,SP:22308,S:1.1.1.1,DP:90,防火墙安全规则,映射规则的配置 1、定义公开地址和端口 当进行数据包的到防火墙时，会将数据包的目地地址和定义的公开的地址进行匹配，实现地址转换 2、定义转换后的IP,防火墙安全规则,映射规则应用环境 安全规则按照网络环境分为包过滤、NAT、映射规则 1、映射规则应用的网络环境一般是外网的用户直接向访问内网的服务器的地址 2、如果允许外网的用户访问内网服务器的所有的服务，则使用IP映射规则 3、如果允许外网的用户访问内网服务器的某些服务，则使用端口映射规则 4、做了映射规则后，内网的服务器的可以得到有效的保护,防火墙安全规则,问题 1、请简要的描述数据包的格式； 2、防火墙允许数据包经过需要检查数据包中的哪些部分； 3、请分别描述包过滤规则、映射规则、NAT规则的工作过程； 4、试举例各种规则的应用环境。,您的建议是我们宝贵的财富！,