首页 > 代码库 > 防火墙

防火墙

防火墙分类:

  1. 包过滤防火墙

  2. 代理防火墙

  3. 应用网关防火墙

  4. 状态检测防火墙

内外网络隔离

截取IP包,根据安全策略控制其进/出

双向网络地址转换(NAT)

基于一次性口令对移动访问进行身份识别和控制

IPMAC捆绑,防止IP地址的滥用。


安全记录

通信事件

操作事件

违规事件

异常事件


内部专用网 、DMZ 、Internet

技术分享

分支机构防火墙

技术分享

双机热备(防火墙)

技术分享

安全公理、定理、推理

公理:所有的程序都有缺陷(摩菲定理)

大程序定律:大程序的缺陷甚至比它包含的内容还多

推理:一个安全相关程序有安全性缺陷

定理:只要不运行这个程序,那么这个程序有也无关紧要


包过滤防火墙

对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包,配置成双向的

优点

实现简单

对用户透明

效率高

缺点

正确制定规则并不容易

不可能引入认证机制


访问控制列表

应用在路由器接口的指令列表

指定哪些数据包可以接收,哪一些拒绝。


ACL

  1. 限制网络流量、提高网络性能;

  2. 提供对通信流量的控制手段

  3. 提供网络访问的基本安全手段

  4. 在路由器(交换机)接口处,决定哪种类型的通信流量被转发、哪种被阻塞。

IP  standard 1-99

    extended 100-199,1300-1999,2000-2699

access-list 101 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

ip access group 101 out

no ip access-list 101


在靠近源地址的网络接口上设置扩展ACL

在靠近目的地址的网络接口上设置标准ACL

show ip interface eth0/0

show access-lists


VTY访问控制示例(只能用标准访问列表)

access-list 12 permit 192.89.55.0 0.0.0.255

line vty 0 4

ip access-class 12 in


config t

host R6

no ip domain-lookup

int fa2/0

ip addr 61.0.0.100 255.255.255.0

no shut

int s1/2

ip addr 211.0.0.2 255.255.255.0

no shut

exit

router rip

version 2

network 61.0.0.0

network 211.0.0.0

end

show ip route


config t

ip access-list extended wan21lan

permit tcp any any eq 20 21 22 25 53 80 110 143 554 1755

permit tcp any any eq 7070

permit udp any any eq 20 21 22 25 53 80 110 143 554 1755

permit udp any any eq 7070

exit

end

config t

int s1/2

ip access-group wan21lan in

end

show ip access-lists


no ip access-list extended wan2lan


特殊ACL使用

int s0

ip access-group 107

access-list 107 remark allow traffic to tom‘s pc

access-list 107 ip any host 198.78.46.8

access-list 107 remark allow only web traffic to webserver

access-list 107 tcp any host 198.78.46.12 eq 80

access-list 107 remark block everthing else

access-list 107 deny any any


access-list 101 permit tcp any host 198.78.46.8 established

只用于TCP建立,判断TCP连接是否建立。


time-range softer 定义时间段名称为softer

periodic weekend 00:00 to 23:59 定义具体时间范围,为每周周末(六、日的0点到23:59分。当然可以使用periodic weekdays 定义工作日或跟星期几定义具体的周几)

access-list 101 deny tcp any 172.16.4.13 0.0.0.0 eq ftp time-range softer

设置ACL禁止在时间段softer范围内访问172.16.4.13的FTP服务。

access-list 101 permit ip any any

设置ACL允许其它时间段和其他条件下的正常访问。

int e1 进入E1端口。

ip access-group 101 out


用于控制blaster蠕虫的扫描和攻击

access-list 110 deny udp any any eq 1434

access-list 110 deny tcp any any eq 135

access-list 110 deny udp any any eq 135

access-list 110 deny tcp any any eq 139

access-list 110 deny udp any any eq 139

access-list 110 deny tcp any any eq 445

access-list 110 deny udp any any eq 445

access-list 110 deny tcp any any eq 593

access-list 110 deny udp any any eq 593



防火墙