HCNA-安全笔记.pdf

HCNA-RS笔记 安全基础 2014年4月12 日 9:27 一，防火墙产品基础 防火墙在网络环境中的位置，一般部署在内网和外网隔离的位置，主要防止外部网络对内部网络 的非法访问和攻击行为的防护，通过软件的访问策略来实现。 1。防火墙的三种类型： 包过滤防火墙——只检查数据包上的IP地址信息，根据设置好的访问规则来进行过滤。 代理型防火墙——具备代理服务器功能，可以对应用层协议（如http、ftp 、smtp ）进行过滤和控 制，并记录日志。 状态检测型防火墙——检查每条会话连接的状态，是否与会话列表匹配，否则进行控制管理。 2.防火墙的安全区域概念 华为防火墙出厂默认有5个区域：Local区域、Trust 区域、Untrust区域、DMZ区域、Vzone 区域 安全区域的优先级（安全级别）：优先级值越大安全级别越高，不同区域的安全级别值不能相 同。 防火墙的访问规则和策略（如ACL ）不是应用在端口上，而是在区域间之间，通过区域的优先级值 来表示inbound或outbound 的方向。 安全级别高的区域向级别低的区域访问是出站方向 安全级别低的区域向级别高的区域访问是入站方向 防火墙的同一安全区域内的端口之间访问不需要安全策略检查，不同安全区域的端口之间进行访 问，需要有安全策略的检查和控制管理。 3.防火墙的工作模式 路由模式——相当于路由器的位置个功能，放在网络中是以三层设备的角色，接口都必须配置IP地 址。 透明模式——在原有的网段中放置防火墙进行过滤工作，但是不改变原有的网段配置，防火墙仅 作为一个二层设备连接，相当于一个二层交换机，接口不能配置IP地址。 混合模式——有两个防火墙，主要为了实现备份和冗余，一个是路由模式，一个是透明模式，不 推荐。 二，防火墙的基本功能-ACL应用 ACL——访问控制列表 主要功能：1.可以对网络进行分类或者IP范围的制定。 2.可以进行数据包过滤，同时也可以应用到过滤路由信息。 实现在路由器上基于端口应用ACL ，进行基本的包过滤功能。 ACL 的动作：Permit允许和Deny拒绝 ACL通过匹配预先指定的规则，进行相关的动作，实现过滤数据包的功能。 基于端口上应用ACL进行过滤： ACL应用到路由器的端口上，需要指定数据的方向，出站还是入站方向。 inbound表示接口收到的数据进行过滤 outbound表示接口发出的数据进行过滤 分区HCNA-4 的第1 页 outbound表示接口发出的数据进行过滤 ACL规则的匹配原则： 按照规则顺序号进行匹配，一旦匹配条件，将不再继续向下检查ACL 的规则语句。 如果没有一条规则匹配，默认全部拒绝。 ACL尾部有一条隐含拒绝策略，此规则不显示。 常见的IPv4 ACL分类： 1.基本ACL ，华为设备编号2000-2999，只能指定源地址作为匹配条件。 2.高级ACL ，华为设备编号3000-3999，可以指定源地址、源端口、目标地址、目标端口和协议号 3.二层ACL ，华为编号4000-4999 ，指定MAC地址作为匹配条件。 本地设备上可以创建多个ACL ，用编号来区分，同一个ACL下可以配置多条访问规则。 但是同一接口、同一方向上只能使用一个ACL 。 ACL配置举例—基于端口应用ACL实现包过滤 1.基本ACL配置方式： 配置要求：不允许网段的主机访问外网，允许其他网段的主机访问外网。 R1的配置： acl number 2000 #创建一个编号2000的基本ACL rule 5 deny source 55 #建立规则，拒绝源地址，使用通配符 （反掩码） rule 10 permit #允许所有（不指定范围表示任何条件） 通配符掩码（反掩码）：二进制数0表示严格匹配，1表示忽略不检查 查看ACL配置信息： Step表示规则的步进号，默认为5 # interface Serial2/0/0 link-protocol ppp ip address traffic-filter outbound acl 2000 #把ACL2000应用到接口的出站方向 分区HCNA-4 的第2 页 规则语句后面的matches表示匹配此规则的数据包的数量 [R1-Serial2/0/0]undo traffic-filter outbound #删除接口上出站方向的ACL 2.高级ACL配置方式 配置要求：网段的主机可以访问任何网络HTT