HC110310003-HCNA-HC110310003-HCNA-Security-CBSN-Security-CBSN-第三章第三章- -防火墙包过滤技术防火墙包过滤技术V1.0V1.0www.huawei.comCopyright 2010 Huawei Technologies Co., Ltd. All rights reserved. 第三章防火墙包过滤技术Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 2目标l学完本课程后，您将能够:p理解访问控制列表原理p 了解访问控制列表作用及分类p 掌握接口包过滤应用场景及配置方法p掌握域间包过滤应用场景及配置方法Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 3目录1.访问控制列表介绍访问控制列表介绍2.接口包过滤技术3.域间包过滤技术4.包过滤应用分析Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 4IP包过滤技术介绍l对防火墙需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。Internet公司总部内部网络未授权用户办事处Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 5访问控制列表是什么lTCP/IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）IP报头报头TCP/UDP报头报头数据数据协议号源地址目的地址源端口目的端口对于TCP/UDP来说，这5个元素组成了一个TCP/UDP相关，访问控制列表就是利用这些元素定义的规则MAC报头报头协议号源地址目的地址Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 6入数据流出数据流访问控制列表原理 BBAABBBAAAA AA AAAA允许A后续操作拒绝B后续操作访问控制列表访问控制列表访问控制列表作用：根据定义的规则对经过防火墙的流量进行筛选，由关键字确定筛选出的流量如何下一步操作。 步骤1：入数据流经过防火墙步骤2：查找访问控制列表判断是否允许下一步操作步骤：防火墙根据访问控制列表定义规则对数据包进行处理 默认策略操作Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 7包过滤分类l接口包过滤l域间包过滤Trust区域Untrust区域G0/0/0G0/0/1OutbountInbountInbountOutbountCopyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 8目录1.访问控制列表介绍2.接口包过滤技术接口包过滤技术3.域间包过滤技术4.包过滤应用分析Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 9接口包过滤技术简述应用接口应用接口过滤对象过滤对象包过滤方式包过滤方式普通接口IP报文接口包过滤以太网帧基于MAC地址包过滤特殊接口卡接口IP报文和以太网帧硬件包过滤应用于接口未加入安全区域场景应用于接口未加入安全区域场景Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 10访问控制列表分类l利用数字标识访问控制列表l利用数字范围标识访问控制列表的种类列表的种类列表的种类数字标识的范围数字标识的范围基本ACL2000-2999高级ACL3000-3999基于MAC地址ACL4000-4999硬件包过滤ACL9000-9499Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 11基本访问控制列表l基本访问控制列表只使用源地址描述数据，表明是否进行下一步操作。从202.110.10.0/24来的数据包可以通过！从192.110.10.0/24来的数据包不能通过！防火墙Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 12基本访问控制列表的配置l在系统视图下:l创建基本ACL，并进入ACL视图l应用基本ACL，并进入接口视图acl number acl-number vpn-instancevpn-instance-name rule rule-id permit| deny source source-address source-wildcard | any|address-setaddress-set-name | time-rangetime-name | logging怎样利用 IP 地址 和反掩码wildcard-mask 来表示一个网段?firewallpacket-filteracl-numberinbound|outboundCopyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 13如何使用反掩码l 反掩码和子网掩码格式相似，但取值含义不同p0表示对应的IP地址位需要比较p1表示对应的IP地址位忽略比较l 反掩码和IP地址结合使用，可以描述一个地址范围000255只比较前24位003255只比较前22位0255255255只比较前8位0.255.0.2550.255.0.255反掩码有何作用？反掩码有何作用？Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 14基于时间段访问控制列表time-range work-policy1 08:00 to 18:00 working-daytime-range work-policy2 from 08:00 2009/01/01 to 18:00 2009/12/31rulepermitipsource192.168.11.00.0.0.255time-rangework-policy1rulepermitipsource192.168.12.00.0.0.255time-rangework-policy2服务器组防火墙172.16.0.0/16DMZTrustUntrust192.168.12.0/24192.168.11.0/242009/07/1514:15Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 15时间范围操作符的含义操作符及语法操作符及语法意义意义HH:MMFrom 某时间 To某时间YYYY/MM/DDFrom 某日期 To某日期Mon/Tue/Wed/Thu/Fri/Sat/Sun星期一/二/三/四/五/六/日daily一星期中的每天off-day休息日（星期六/日）Working-day 工作日（星期一 至 星期五）Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 16高级访问控制列表l高级访问控制列表使用除源地址外更多的信息描述数据包，表明是否进行下一步操作。从202.110.10.0/24来的,到179.100.17.10的，使用TCP协议，利用HTTP访问的数据包可以通过！防火墙基于状态检测防火墙基于状态检测防火墙主要检测哪些信息主要检测哪些信息? ?Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 17高级访问控制列表的配置命令l在系统视图下:l创建高级ACL，并进入ACL视图l应用高级ACL，并进入接口视图acl number acl-number vpn-instancevpn-instance-name rule rule-id deny| permit protocol destination destination-addressdestination-wildcard | any| address-setaddress-set-name | destination-port operator port1 port2 | port-setport-set-name | precedenceprecedence | source source-address source-wildcard | any| address-setaddress-set-name | source-port operator port1 port2 | port-setport-set-name | time-rangetime-name | tostos |icmp-typeicmp-type icmp-code | loggingfirewallpacket-filteracl-numberinbound|outboundCopyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 18高级访问控制列表端口号操作符的含义操作符及语法操作符及语法意义意义equal portnumber等于端口号 portnumbergreater-than portnumber大于端口号portnumberless-than portnumber小于端口号portnumbernot-equal portnumber不等于端口号portnumber rangeportnumber1 portnumber2介于端口号portnumber1 和portnumber2之间Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 19地址集与服务集的作用Address-set地址集地址集Service-set端口集端口集ipaddress-setguesttypeobjectaddress 0 192.168.12.0 0.0.0.15address 1 192.168.15.0 0.0.0.63address 2 192.168.30.0 0.0.0.127ipservice-setInternettypeobject service protocol tcp destination-port 80 service protocol tcp destination-port 8080 service protocol tcp destination-port 8443 service protocol udp destination-port 53ipaddress-setERPtypeobjectaddress 0 10.10.0.0 0.0.0.127address 1 10.16.15.0 0.0.0.255address 2 10.100.10.0 0.0.0.255ipservice-setERPtypeobject service protocol tcp destination-port 21 service protocol tcp destination-port 80 service protocol tcp destination-port 1521 service protocol tcp destination-port 8443Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 20高级访问控制列表举例lrule deny ip source address-set guest destination address-set erplrule permit tcp source address-set guest destination any destination-port service-set Internetlrule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port equal www 10.1.0.0/16IP数据报文129.9.0.0/16TCP报文202.38.160.0/24WWW 端口Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 21基于MAC地址访问控制列表l基于MAC地址的ACL能够根据以太网帧头中的源MAC地址、目的MAC地址、类型字段等信息定义数据流，从而达到控制二层数据帧的目的。到DMAC B-B-B来的数据包可以通过！从SMAC A-A-A来的数据包不能通过！防火墙Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 22基于MAC访问控制列表的配置命令l在系统视图下:l创建MAC ACL，并进入ACL视图l应用MAC ACL，并进入接口视图acl number acl-number vpn-instancevpn-instance-name rule rule-id permit | deny type type-code | type-name | cos lcos-code |cos-name source-mac source-address source-mac-wildcard dest-mac destination-address destination-mac-wildcard firewallethernet-frame-filteracl-numberinboundCopyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 23硬件包过滤访问控制列表l硬件包过滤ACL是用于硬件包过滤功能的ACL，可以通过源MAC地址、目的MAC地址、源IP地址、目的IP地址、协议等维度来进行流量匹配。支持硬件包过滤的接口防火墙源MAC地址 目的MAC地址 源IP地址 目的IP址 协议 源端口 目的端口Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 24硬件访问控制列表的配置命令l在系统视图下:l创建硬件ACL，并进入ACL视图l应用硬件ACL，并进入接口视图acl number acl-number vpn-instancevpn-instance-name rule rule-id permit | deny source-mac source-mac-address source-mac-wildcard | destination-mac destination-mac-address destination-mac-wildcard | source-ip source-ip-address source-wildcard | destination-ip destination-ip-address destination-wildcard | protocol icmp icmp-type icmp-type icmp-code | icmp-message | tcp | udp source-port port | protocol-name destination-port port | protocol-name | ip | igmp | gre | ospf | ipinip | ethernet-type type-code | type-name | cos cos-code | cos-name hardware-filteracl-numberinboundCopyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 25步长与匹配模式的配置命令l在系统视图下:l配置ACL步长acl number acl-number vpn-instancevpn-instance-name match-orderauto|configStepstepCopyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 26加速功能和计数器功能lACL加速功能pACL加速查找功能能够显著提高访问控制列表的查找性能。lACL计数器displayacl2001 17:18:07 2009/07/21 Basic ACL 2001, 2 rules,not binding with vpn-instance Acls step is 5 rule 0 permit source 10.32.255.0 0.0.0.255 (27timesmatched) rule 10 permit source 192.168.10.0 0.0.0.255 (1timesmatched)acl 2001 rule 0 permit source 10.32.255.0 0.0.0.255 rule 10 permit source 192.168.10.0 0.0.0.255ACL计数器计数器Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 27目录1.访问控制列表介绍2.接口包过滤技术3.域间包过滤技术域间包过滤技术4.包过滤应用分析Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 28域间包过滤技术概述防火墙Trust区域Untrust区域客户端服务器查路由表,基于接口所属域间及方向,查域间包过滤规则Policy0：permit源为192.168.168.0Policy1：deny源为192.168.100.0缺省域间包过滤规则为禁止首包命中首包命中非首包，查找会话表非首包，查找会话表Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 29域间包过滤应用禁止Untrust至Trust数据包进来允许Trust至Untrust数据包通过防火墙Trust区域Untrust区域policyinterzonetrustuntrustoutboundpolicy0actionpermitpolicysource192.168.168.00.255.0.255policyserviceservice-set service-set-name Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 30policy间优先级关系Address-set地址集地址集Service-set端口集端口集policy0action permitpolicy source address-set guestpolicy destination address-set Internetpolicy service service-set Internetpolicy1action denypolicy source address-set guestpolicy destination address-set intranetpolicy service service-set intranetpolicy1action denypolicy source address-set guestpolicy destination address-set intranetpolicy service service-set intranetpolicy0action permitpolicy source address-set guestpolicy destination address-set Internetpolicy service service-set InternetCopyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 31多通道协议技术l单通道协议：通信过程中只需占用一个端口的协议。如：WWW只需占用80端口l多通道协议：通信过程中需占用两个或两个以上端口的协议。如FTP被动模式下需占用21号端口以及一个随机端口使用单纯的包过滤方法，如何精确定义（端口级别）多通道协议所使用的端口呢？遇到使用随机协商端口的协议，单纯的包过滤方法无法进行数据流定义。Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 32ASPF概述lASPF ( Application Specific Packet Filter) 是一种高级通信过滤，它检查应用层协议信息并且监控连接的应用层协议状态。对于特定应用协议的所有连接，每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃。动态创建和删除过滤规则动态创建和删除过滤规则监视通信过程中的报文监视通信过程中的报文丰富的丰富的ASPF功能保证开展业务时安全性得到保证功能保证开展业务时安全性得到保证Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 33ASPF对多通道协议的支持Host10.0.0.1FTPServer20.0.0.1控 制 通 道Session表 FTP:10.0.0.1:4927 - 20.0.0.1:21数 据 通 道ServerMap 表-Inside-Address :Port Global-Address :Port Pro AppType TTL Left- 20.0.0.1 : 4952 - tcp FTP DATA 00:01:00 00:00:47 lASPF（Application Specific Packet Filter）是针对应用层的包过滤我使用4952端口与你建立数据通道 FTP:10.0.0.1:4926 - 20.0.0.1:4952Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 34端口识别对多通道协议的支持Host10.0.0.1FTPServer20.0.0.1:31控 制 通 道数 据 通 道l端口识别是把非标准协议端口映射成可识别的应用协议端口3131端口是什么应用协议端口是什么应用协议? ?我不清楚怎么办我不清楚怎么办? ?l配置基本ACLl配置端口识别（或端口映射）ACL 2000-2099Rule permit source 非标准协议端口服务器IP地址 WildcardPort-mapping protocol-name port port-number acl acl-numberCopyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 35分片缓存和长连接功能长连接功能长连接功能l配置长连接老化时间l开启长连接功能Firewalllong-linkaging-timetimeFirewallinterzonezone-name1 zone-name2lonk-linkacl-number inbound|outbound 分片缓存功能分片缓存功能配置分片缓存老化时间配置分片缓存老化时间 Firewall session aging-time fragment interval (1-40000) 关闭分片报文直接转发功能关闭分片报文直接转发功能Firewall fragment-forward disable 开启分片报文直接转发功能开启分片报文直接转发功能Firewall fragment-forward enableCopyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 36目录1.访问控制列表介绍2.接口包过滤技术3.域间包过滤技术4.包过滤应用分析包过滤应用分析Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 37防火墙包过滤业务流程 查找路由表以匹配域间包过滤查找域间ACL规则查找会话表查找路由表报文入站报文出站命中未命中丢弃报文允许拒绝规则更新 会话表项查找黑名单丢弃报文命中未命中查找域间默认规则未匹配允许拒绝或未匹配规则Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 38访问控制列表应用场景分析 l应用场景分析应用场景分析pTrust区域内ACLp地址集与端口集应用pTrust与DMZ域间长连接pTrust与Internet域间基于时间控制pInternet与DMZ域间ASPF应用pInternet与DMZ域间端口识别pInternet与DMZ域间分片缓存p作用:NAT/QOS/IPSEC/路由策略等DMZ 区域Internet 区域Trust区域192.168.168.1/24192.168.100.1/24192.168.150.1/24Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 39访问控制列表作用 1 l包过滤从202.110.10.0/24来，到172.16.17.10，使用TCP协议，利用Http访问的数据包可以通过！从192.110.10.0/24来，到172.16.160.23，使用TCP协议，利用Telnet访问的的数据包不能通过！防火墙Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 4058.241.12.253/30Internet10.32.255.50/24B用户组用户组172.16.160.0/24A用户组用户组192.168.10.0/24访问控制列表作用 2l地址转换lQoSl策略路由lIPSec只允许A用户组进行地址转换访问控制列表访问控制列表思考：思考：ACLACL为何对这些应用会起作用？为何对这些应用会起作用？Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 41访问控制列表命令lacl number acl-number vpn-instance vpn-instance-name pacl-number：定义一个数字型的ACL（访问控制列表）其中序号20002999 范围的ACL 是基本的访问控制列表序号30003999 范围的ACL 是高级的访问控制列表vpn-instance vpn-instance-name：用于定义VPN 实例的ACL其中，vpn-instance-name为VPN 实例的名称，字符串形式，长度为119lundo acl number acl-number | all p命令acl 用于创建一个访问控制列表并进入ACL 视图pundo acl 用于删除访问控制列表。Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 42访问控制列表配置方法l ACL步长l编辑ACLacl3000ruledenysource1.1.1.10rulepermittcpdestination-portequalwwwrulepermitipsource172.16.12.310displayacl3000acl 3000 Acls step is 5 rule 0 deny source 1.1.1.1 0 logging rule 3 permit ip source 192.168.10.0 24 rule 5 deny logging rule 10 permit ip source 172.16.12.31 0 acl3000 rule3permitipsource192.168.10.024rule5denyloggingCopyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 43ACL匹配顺序l同一ACL内rule的匹配顺序pconfig模式：先配置的规则被优先匹配，也就是rule序列号越小越优先。pauto模式：规则匹配原则为深度优先，即：地址范围越小的规则优先级越高。l不同类型ACL的匹配顺序p基于MAC地址的ACL高级ACL基本ACL；l同类型ACL的匹配顺序p在同类型的ACL中，匹配顺序为：ACL-number小的比ACL-number大的优先匹配。Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 44基于接口访问控制列表配置举例(命令行)l实验目的：实现内外网的访问控制p1、允许trust区域主机192.168.1.4访问untrust区域；p2、允许untrust区域主机202.39.2.3访问trust区域服务器192.168.1.1、192.168.1.2和192.168.1.3；p3、允许unturst区域和untrust区域所有设备相互ping通。l组网设备： PC、防火墙、服务器、路由器海外FTP Server192.168.1.1Telnet Server192.168.1.2WWW Server 192.168.1.3192.168.1.4192.168.1.5公司内接口公司外接口202.38.160.1202.39.2.3Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 45基于接口访问控制列表配置举例(Web)Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 46基于域间访问控制列表配置举例(命令行)l实验目的：实现跨越防火墙DMZ和untrust区域的两设备互相ping通l组网设备：PC、防火墙、服务器DMZ 区Local 区Untrust 区 E2/0/0192.168.2.1192.168.2.2 E1/0/0192.168.1.1192.168.1.2Console 口Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 47基于域间访问控制列表配置举例(Web)Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 48思考题l包过滤与状态检测机制、会话表之间有哪些关联关系？l分片缓存功能：首报分片和其它分片在报文格式上有何区别？首包分片先到如何处理？首包分片晚到如何处理？l端口识别（端口映射）主要应用于什么场景下？l域间包过滤与接口包过滤应用场景有何不同？l域间包过滤Inbound和Outbound与接口包过滤Inbound和Outbound有何区别？Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 49总结l访问控制列表原理l访问控制列表作用及分类l接口包过滤应用场景及配置方法l域间包过滤应用场景及配置方法Thank youwww.huawei.com结束语结束语谢谢大家聆听！谢谢大家聆听！51