安全网管技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
– SNAT
l 修改第一个连接包的源地址 l 常用于把内部的IP地址转换成正式IP地址对外通
信
– DNAT
l 修改第一个连接包的目的地址 l 常用于从外面访问内部的服务器
PPT文档演模板
安全网管技术
地址换换 SNAT
10.0.0.1:1024 -> 202.38.64.2:80 61.132.182.2:8133 ->202.38.64.2:80
服务器
NAT设备
客户机
10.0.0.1:80 -> 202.38.64.2:1024 61.132.182.2:80 -> 202.38.64.2:1024
内部网络
PPT文档演ห้องสมุดไป่ตู้板
外部网络
目的地址转换 DNAT
安全网管技术
NAT的分类
l Cisco
– Inside source / Inside destination – Outside source / Outide destination
地址转换
l NAT Network Address Translation l 对通过防火墙的数据包IP地址进行改变 l 隐藏内部网络结构,提高安全性 l 解决IPv4地址不足
– 将正式地址和内部保留地址进行互相翻译 – 10.*.*.* – 172.16.*.* – 172.31.*.* – 192.168.*.*
客户机
NAT设备
服务器
10.0.0.1:1024 <- 202.38.64.2:80 61.132.182.2:8133 <- 202.38.64.2:80
内部网络
PPT文档演模板
外部网络
源地址转换 SNAT
安全网管技术
地址换换 DNAT
10.0.0.1:80 <- 202.38.64.2:1024 61.132.182.2:80 <- 202.38.64.2:102
ip add add 218.22.10.4/24 dev eth0 ip addr add 192.168.0.1/24 dev eth1 ip link set eth0 up ip link set eth1 up ip route add 0/0 via 218.22.10.1
l 不同的产品的术语不同 l Linux下的NAT有两种实现
– 在路由处理时修改IP地址,只能实现1:1的翻 译,不处理任何其他数据,这种NAT工作方 式不在本课程中讨论
– Netfilter/iptables下的地址转换,是一种NAPT 实现,是重点
PPT文档演模板
安全网管技术
NAT的分类
l 对每个连接的第一个数据包的处理分类
安全网管技术
PPT文档演模板
2020/11/17
安全网管技术
第3章 网络隔离与防火墙技术(2)
l 本章主要内容 – 物理隔离技术与双网隔离计算机 – 协议隔离技术 – 防火墙技术 – 包过滤防火墙 – Socks协议
l 参考资料:
– 计算机网络安全基础,袁津生等,人民邮电 出版社
PPT文档演模板
安全网管技术
PPT文档演模板
安全网管技术
PPT文档演模板
安全网管技术
PPT文档演模板
安全网管技术
PPT文档演模板
安全网管技术
Cisco更具体信息
l Deploying and Troubleshooting Network Address Translation: http://210.45.224.8/~james/cw2003/NMS2102.pdf
– ICMP: 状态
PPT文档演模板
安全网管技术
包过滤防火墙
l 状态表 l 连接,并发连接数
超时 协议 SRC Sport DST Dport state
PPT文档演模板
安全网管技术
状态的维护
l 对于TCP,跟踪所有的数据包,依据TCP 有限状态机动态修改状态
l 对于UDP等无连接协议,一定时间内没有 数据就认为连接结束,实现时设置超时时 间
l NAT仅仅处理数据包头的信息有时不能有效工 作
l 数据包中包含的IP地址、端口信息需要同时修 改
– DNS中的A和PTR查询/应答 – Netmeeting中的IP地址信息 – FTP PORT命令 – SIP协议等
l 只有完全处理了这些信息,应用才能正确工作
PPT文档演模板
安全网管技术
NAT的分类
PPT文档演模板
安全网管技术
nat 中的内定规则链
进来的数据包 PRE ROUTING
路由
PREROUTING 处理DNAT规则 POSTROUTING 处理SNAT规则
POST 发出的数据包 ROUTING
PPT文档演模板
本机
安全网管技术
例子
PPT文档演模板
安全网管技术
Linux 配置
echo 1 > /proc/sys/net/ipv4/ip_forward
PPT文档演模板
安全网管技术
PPT文档演模板
安全网管技术
20
PPT文档演模板
安全网管技术
NAT & NAPT
l 尽量使用NAT,基本上各种协议都可用 l 解决IP地址不足时,往往要用到NAPT
PPT文档演模板
安全网管技术
PPT文档演模板
安全网管技术
PPT文档演模板
安全网管技术
数据包内数据的处理
l 比代理效率高
PPT文档演模板
安全网管技术
地址转换
l NAT Network Address Translation
– 适应所有IP通信 – 重写IP地址 – 1:1的映射 – 类似直拨电话
l NAPT Network Address Port Translation
– 只能处理TCP、UDP、ICMP通信 – 重写IP地址和端口信息 – 1:M的映射 – 类似电话分机概念
包过滤防火墙
l 状态包过滤 Stateful Firewall
l 记录数据包的连接状态
– TCP: SYN_SENT, SYN_RECV, ESTABLISHED, TIME_OUT等,根据数据包 的内容动态修改
– UDP: 无状态,第一个数据包触发创建一个 新连接,后续的数据包刷新该连接,直到超 时后连接信息被删除
l TCP也有超时处理
PPT文档演模板
安全网管技术
包过滤防火墙
l 状态过滤 l 对所有已经建立的连接的数据包都允许
(包括相关的连接的数据包) l 非法的数据包禁止 l 管理员只要定义规则,判断新连接的数据
包是否需要允许即可控制信息流 l 简化了配置,方便了管理,提高了安全性
PPT文档演模板
安全网管技术
l 修改第一个连接包的源地址 l 常用于把内部的IP地址转换成正式IP地址对外通
信
– DNAT
l 修改第一个连接包的目的地址 l 常用于从外面访问内部的服务器
PPT文档演模板
安全网管技术
地址换换 SNAT
10.0.0.1:1024 -> 202.38.64.2:80 61.132.182.2:8133 ->202.38.64.2:80
服务器
NAT设备
客户机
10.0.0.1:80 -> 202.38.64.2:1024 61.132.182.2:80 -> 202.38.64.2:1024
内部网络
PPT文档演ห้องสมุดไป่ตู้板
外部网络
目的地址转换 DNAT
安全网管技术
NAT的分类
l Cisco
– Inside source / Inside destination – Outside source / Outide destination
地址转换
l NAT Network Address Translation l 对通过防火墙的数据包IP地址进行改变 l 隐藏内部网络结构,提高安全性 l 解决IPv4地址不足
– 将正式地址和内部保留地址进行互相翻译 – 10.*.*.* – 172.16.*.* – 172.31.*.* – 192.168.*.*
客户机
NAT设备
服务器
10.0.0.1:1024 <- 202.38.64.2:80 61.132.182.2:8133 <- 202.38.64.2:80
内部网络
PPT文档演模板
外部网络
源地址转换 SNAT
安全网管技术
地址换换 DNAT
10.0.0.1:80 <- 202.38.64.2:1024 61.132.182.2:80 <- 202.38.64.2:102
ip add add 218.22.10.4/24 dev eth0 ip addr add 192.168.0.1/24 dev eth1 ip link set eth0 up ip link set eth1 up ip route add 0/0 via 218.22.10.1
l 不同的产品的术语不同 l Linux下的NAT有两种实现
– 在路由处理时修改IP地址,只能实现1:1的翻 译,不处理任何其他数据,这种NAT工作方 式不在本课程中讨论
– Netfilter/iptables下的地址转换,是一种NAPT 实现,是重点
PPT文档演模板
安全网管技术
NAT的分类
l 对每个连接的第一个数据包的处理分类
安全网管技术
PPT文档演模板
2020/11/17
安全网管技术
第3章 网络隔离与防火墙技术(2)
l 本章主要内容 – 物理隔离技术与双网隔离计算机 – 协议隔离技术 – 防火墙技术 – 包过滤防火墙 – Socks协议
l 参考资料:
– 计算机网络安全基础,袁津生等,人民邮电 出版社
PPT文档演模板
安全网管技术
PPT文档演模板
安全网管技术
PPT文档演模板
安全网管技术
PPT文档演模板
安全网管技术
PPT文档演模板
安全网管技术
Cisco更具体信息
l Deploying and Troubleshooting Network Address Translation: http://210.45.224.8/~james/cw2003/NMS2102.pdf
– ICMP: 状态
PPT文档演模板
安全网管技术
包过滤防火墙
l 状态表 l 连接,并发连接数
超时 协议 SRC Sport DST Dport state
PPT文档演模板
安全网管技术
状态的维护
l 对于TCP,跟踪所有的数据包,依据TCP 有限状态机动态修改状态
l 对于UDP等无连接协议,一定时间内没有 数据就认为连接结束,实现时设置超时时 间
l NAT仅仅处理数据包头的信息有时不能有效工 作
l 数据包中包含的IP地址、端口信息需要同时修 改
– DNS中的A和PTR查询/应答 – Netmeeting中的IP地址信息 – FTP PORT命令 – SIP协议等
l 只有完全处理了这些信息,应用才能正确工作
PPT文档演模板
安全网管技术
NAT的分类
PPT文档演模板
安全网管技术
nat 中的内定规则链
进来的数据包 PRE ROUTING
路由
PREROUTING 处理DNAT规则 POSTROUTING 处理SNAT规则
POST 发出的数据包 ROUTING
PPT文档演模板
本机
安全网管技术
例子
PPT文档演模板
安全网管技术
Linux 配置
echo 1 > /proc/sys/net/ipv4/ip_forward
PPT文档演模板
安全网管技术
PPT文档演模板
安全网管技术
20
PPT文档演模板
安全网管技术
NAT & NAPT
l 尽量使用NAT,基本上各种协议都可用 l 解决IP地址不足时,往往要用到NAPT
PPT文档演模板
安全网管技术
PPT文档演模板
安全网管技术
PPT文档演模板
安全网管技术
数据包内数据的处理
l 比代理效率高
PPT文档演模板
安全网管技术
地址转换
l NAT Network Address Translation
– 适应所有IP通信 – 重写IP地址 – 1:1的映射 – 类似直拨电话
l NAPT Network Address Port Translation
– 只能处理TCP、UDP、ICMP通信 – 重写IP地址和端口信息 – 1:M的映射 – 类似电话分机概念
包过滤防火墙
l 状态包过滤 Stateful Firewall
l 记录数据包的连接状态
– TCP: SYN_SENT, SYN_RECV, ESTABLISHED, TIME_OUT等,根据数据包 的内容动态修改
– UDP: 无状态,第一个数据包触发创建一个 新连接,后续的数据包刷新该连接,直到超 时后连接信息被删除
l TCP也有超时处理
PPT文档演模板
安全网管技术
包过滤防火墙
l 状态过滤 l 对所有已经建立的连接的数据包都允许
(包括相关的连接的数据包) l 非法的数据包禁止 l 管理员只要定义规则,判断新连接的数据
包是否需要允许即可控制信息流 l 简化了配置,方便了管理,提高了安全性
PPT文档演模板
安全网管技术