HCNA-RS笔记安全基础2014年4月12日9:27一，防火墙产品基础防火墙在网络环境中的位置，一般部署在内网和外网隔离的位置，主要防止外部网络对内部网络的非法访问和攻击行为的防护，通过软件的访问策略来实现。

1。

防火墙的三种类型：包过滤防火墙——只检查数据包上的IP地址信息，根据设置好的访问规则来进行过滤。

代理型防火墙——具备代理服务器功能，可以对应用层协议（如http、ftp、smtp）进行过滤和控制，并记录日志。

状态检测型防火墙——检查每条会话连接的状态，是否与会话列表匹配，否则进行控制管理。

2.防火墙的安全区域概念华为防火墙出厂默认有5个区域：Local区域、Trust区域、Untrust区域、DMZ区域、Vzone区域安全区域的优先级（安全级别）：优先级值越大安全级别越高，不同区域的安全级别值不能相同。

防火墙的访问规则和策略（如ACL）不是应用在端口上，而是在区域间之间，通过区域的优先级值来表示inbound或outbound的方向。

安全级别高的区域向级别低的区域访问是出站方向安全级别低的区域向级别高的区域访问是入站方向防火墙的同一安全区域内的端口之间访问不需要安全策略检查，不同安全区域的端口之间进行访问，需要有安全策略的检查和控制管理。

3.防火墙的工作模式路由模式——相当于路由器的位置个功能，放在网络中是以三层设备的角色，接口都必须配置IP地址。

透明模式——在原有的网段中放置防火墙进行过滤工作，但是不改变原有的网段配置，防火墙仅作为一个二层设备连接，相当于一个二层交换机，接口不能配置IP地址。

混合模式——有两个防火墙，主要为了实现备份和冗余，一个是路由模式，一个是透明模式，不推荐。

二，防火墙的基本功能-ACL应用ACL——访问控制列表主要功能：1.可以对网络进行分类或者IP范围的制定。

2.可以进行数据包过滤，同时也可以应用到过滤路由信息。

实现在路由器上基于端口应用ACL，进行基本的包过滤功能。

ACL的动作：Permit允许和Deny拒绝ACL通过匹配预先指定的规则，进行相关的动作，实现过滤数据包的功能。

基于端口上应用ACL进行过滤：ACL应用到路由器的端口上，需要指定数据的方向，出站还是入站方向。

inbound表示接口收到的数据进行过滤outbound表示接口发出的数据进行过滤outbound表示接口发出的数据进行过滤ACL规则的匹配原则：按照规则顺序号进行匹配，一旦匹配条件，将不再继续向下检查ACL的规则语句。

如果没有一条规则匹配，默认全部拒绝。

ACL尾部有一条隐含拒绝策略，此规则不显示。

常见的IPv4 ACL分类：1.基本ACL，华为设备编号2000-2999，只能指定源地址作为匹配条件。

2.高级ACL，华为设备编号3000-3999，可以指定源地址、源端口、目标地址、目标端口和协议号3.二层ACL，华为编号4000-4999，指定MAC地址作为匹配条件。

本地设备上可以创建多个ACL，用编号来区分，同一个ACL下可以配置多条访问规则。

但是同一接口、同一方向上只能使用一个ACL。

ACL配置举例—基于端口应用ACL实现包过滤1.基本ACL配置方式：配置要求：不允许192.168.1.0网段的主机访问外网，允许其他网段的主机访问外网。

R1的配置：acl number 2000 #创建一个编号2000的基本ACLrule 5 deny source 192.168.1.0 0.0.0.255 #建立规则，拒绝源地址192.168.1.0，使用通配符（反掩码）rule 10 permit #允许所有（不指定范围表示任何条件）通配符掩码（反掩码）：二进制数0表示严格匹配，1表示忽略不检查查看ACL配置信息：Step表示规则的步进号，默认为5#interface Serial2/0/0link-protocol pppip address 12.1.1.1 255.255.255.0traffic-filter outbound acl 2000 #把ACL2000应用到接口的出站方向规则语句后面的matches表示匹配此规则的数据包的数量[R1-Serial2/0/0]undo traffic-filter outbound #删除接口上出站方向的ACL2.高级ACL配置方式配置要求：192.168.1.0网段的主机可以访问任何网络HTTP服务，不能访问FTP服务192.168.2.0网段的主机可以访问任何网络FTP服务，不能访问HTTP服务创建高级ACL 3000acl number 3000rule 5 deny tcp source 192.168.1.0 0.0.0.255 destination-port eq ftprule 6 deny tcp source 192.168.2.0 0.0.0.255 destination-port eq wwwrule 10 permit ip（规则中未指定目标地址，表示任何目的网络）interface Serial2/0/0ip address 12.1.1.1 255.255.255.0traffic-filter outbound acl 3000 #把ACL 3000应用到接口出站方向三，NAT（网络地址转换）基本概念NAT使用的环境，通常在局域网网关设备上运行NAT，实现私有地址和公网地址之间进行转换，可以节约公网IP地址资源，同时隐藏内部网络细节，有助于安全性。

数据包在通过网关设备时，启用了NAT的接口，将IP报文中的IP地址字段进行转换，NAT是一个双向转换行为。

NAT的配置类型：1.静态NAT手动配置地址转换条目，通常是一对一的转换（一个私有IP转换一个公网IP）华为设备是在设备的出接口（outbound）方向应用NATinterface GigabitEthernet0/0/1ip address 12.1.1.1 255.255.255.0nat static global 12.1.1.100 inside 192.168.1.101#在出接口上配置静态NAT条目，私有地址192.168.1.101转换成公网地址12.1.1.100查看静态NAT转换信息2.动态NAT通过地址池的方式实现NAT，从运营商获取了一段公网IP地址指定为一个地址池，私有网络主机从NAT端口发出的时候，自动从地址池获取公网IP进行转换。

配置思路：创建地址池，指定一段合法的公网IP地址。

配置ACL，指定需要进行转换的私有网络范围。

在网关设备的出口方向，把地址池和ACL进行绑定。

[R1]nat address-group 1 12.1.1.100 12.1.1.110 #建立地址池1acl number 2000rule 5 permit source 192.168.1.0 0.0.0.255 #创建ACLinterface GigabitEthernet0/0/1ip address 12.1.1.1 255.255.255.0arp-proxy enable #开启ARP代理功能nat outbound 2000 address-group 1 no-pat#在出接口，将ACL和地址池进行绑定，使用no-pat不转换端口方式（可选）查看NAT动态会话信息3.Easy Ip和NAPTNAPT（网路地址端口转换）：多个私有IP映射到同一个公网IP的转换方式。

地址转换的同时，端口号也进行转换。

NAPT通过动态方式进行转换配置：（只有一个公网IP）nat address-group 1 12.1.1.100 12.1.1.100 #创建地址池，仅一个公网IPacl number 2000rule 5 permit source 192.168.1.0 0.0.0.255 #创建ACLinterface GigabitEthernet0/0/1nat outbound 2000 address-group 1#出接口ACL和地址池绑定，不使用no-pat参数，表示进行端口转换Easy IP 适用于没有固定的公网IP的环境，所有的私有地址都映射到网关的外部接口上。

同样是多个私有地址转换为同一个公网地址，因此需要进行端口转换。

Easy IP的配置：acl number 2000rule 5 permit source 192.168.1.0 0.0.0.255 #创建ACLinterface GigabitEthernet0/0/1ip address 12.1.1.1 255.255.255.0arp-proxy enablenat outbound 2000 #出接口上配置NAT，绑定ACL20004.NAT Server处于内部私有网络的服务器，通过NAT Server配置，使外网用户可以通过公网IP访问到这些服务器。

在服务器的网关设备上，配置NAT方式，把内部网络的服务器发布到互联网上，使互联网上的用户可以访问到这些服务器。

interface GigabitEthernet0/0/0ip address 23.1.1.2 255.255.255.0nat server protocol tcp global 23.1.1.10 www inside 10.1.1.100 www#外部地址23.1.1.10 WWW协议（80端口）映射到内部的10.1.1.100的WWW协议（80端口）发布内部网的FTP服务器到外网：interface GigabitEthernet0/0/0nat server protocol tcp global 23.1.1.10 ftp inside 10.1.1.100 ftp#nat alg ftp enable #开启FTP的ALG功能ALG（Application level gateway）：针对于特殊的应用层协议，如FTP，在进行地址转换时，同时把FTP请求报文中的IP地址信息一起转换，否则只转换IP报文中的地址，造成信息不一致。