首页 > 代码库 > 防火墙
防火墙
防火墙分类:
包过滤防火墙
代理防火墙
应用网关防火墙
状态检测防火墙
内外网络隔离
截取IP包,根据安全策略控制其进/出
双向网络地址转换(NAT)
基于一次性口令对移动访问进行身份识别和控制
IPMAC捆绑,防止IP地址的滥用。
安全记录
通信事件
操作事件
违规事件
异常事件
内部专用网 、DMZ 、Internet
分支机构防火墙
双机热备(防火墙)
安全公理、定理、推理
公理:所有的程序都有缺陷(摩菲定理)
大程序定律:大程序的缺陷甚至比它包含的内容还多
推理:一个安全相关程序有安全性缺陷
定理:只要不运行这个程序,那么这个程序有也无关紧要
包过滤防火墙
对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包,配置成双向的
优点
实现简单
对用户透明
效率高
缺点
正确制定规则并不容易
不可能引入认证机制
访问控制列表
应用在路由器接口的指令列表
指定哪些数据包可以接收,哪一些拒绝。
ACL
限制网络流量、提高网络性能;
提供对通信流量的控制手段
提供网络访问的基本安全手段
在路由器(交换机)接口处,决定哪种类型的通信流量被转发、哪种被阻塞。
IP standard 1-99
extended 100-199,1300-1999,2000-2699
access-list 101 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
ip access group 101 out
no ip access-list 101
在靠近源地址的网络接口上设置扩展ACL
在靠近目的地址的网络接口上设置标准ACL
show ip interface eth0/0
show access-lists
VTY访问控制示例(只能用标准访问列表)
access-list 12 permit 192.89.55.0 0.0.0.255
line vty 0 4
ip access-class 12 in
config t
host R6
no ip domain-lookup
int fa2/0
ip addr 61.0.0.100 255.255.255.0
no shut
int s1/2
ip addr 211.0.0.2 255.255.255.0
no shut
exit
router rip
version 2
network 61.0.0.0
network 211.0.0.0
end
show ip route
config t
ip access-list extended wan21lan
permit tcp any any eq 20 21 22 25 53 80 110 143 554 1755
permit tcp any any eq 7070
permit udp any any eq 20 21 22 25 53 80 110 143 554 1755
permit udp any any eq 7070
exit
end
config t
int s1/2
ip access-group wan21lan in
end
show ip access-lists
no ip access-list extended wan2lan
特殊ACL使用
int s0
ip access-group 107
access-list 107 remark allow traffic to tom‘s pc
access-list 107 ip any host 198.78.46.8
access-list 107 remark allow only web traffic to webserver
access-list 107 tcp any host 198.78.46.12 eq 80
access-list 107 remark block everthing else
access-list 107 deny any any
access-list 101 permit tcp any host 198.78.46.8 established
只用于TCP建立,判断TCP连接是否建立。
time-range softer 定义时间段名称为softer
periodic weekend 00:00 to 23:59 定义具体时间范围,为每周周末(六、日的0点到23:59分。当然可以使用periodic weekdays 定义工作日或跟星期几定义具体的周几)
access-list 101 deny tcp any 172.16.4.13 0.0.0.0 eq ftp time-range softer
设置ACL禁止在时间段softer范围内访问172.16.4.13的FTP服务。
access-list 101 permit ip any any
设置ACL允许其它时间段和其他条件下的正常访问。
int e1 进入E1端口。
ip access-group 101 out
用于控制blaster蠕虫的扫描和攻击
access-list 110 deny udp any any eq 1434
access-list 110 deny tcp any any eq 135
access-list 110 deny udp any any eq 135
access-list 110 deny tcp any any eq 139
access-list 110 deny udp any any eq 139
access-list 110 deny tcp any any eq 445
access-list 110 deny udp any any eq 445
access-list 110 deny tcp any any eq 593
access-list 110 deny udp any any eq 593
防火墙