ImageVerifierCode 换一换
格式:PPT , 页数:30 ,大小:1.38MB ,
资源ID:379536      下载积分:2000 积分
快捷下载
登录下载
邮箱/手机:
温馨提示:
如需开发票,请勿充值!快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝扫码支付 微信扫码支付   
注意:如需开发票,请勿充值!
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【http://www.mydoc123.com/d-379536.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(Chapter 11 网络安全技术.ppt)为本站会员(刘芸)主动上传,麦多课文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知麦多课文库(发送邮件至master@mydoc123.com或直接QQ联系客服),我们立即给予删除!

Chapter 11 网络安全技术.ppt

1、Chapter 11 网络安全技术,华为网络技术培训中心,学习目标,掌握一般防火墙技术 掌握地址转换技术,学习完本课程,您应该能够:,课程内容,第一节 防火墙 第二节 地址转换,防火墙示意图,Internet,公司总部,内部网络,未授权用户,办事处,路由器实现防火墙功能,IP报文转发机制,IP Packet,IP Packet,网络层,数据链路层,规则查找机制,输入报文规则库,手工配置,规则生成机制,手工配置,规则生成机制,规则查找机制,输入报文规则库,由规则报文转发动作:丢弃或转发,由规则报文转发动作:丢弃或转发,ACL的机理,一个IP数据包如下图所示(图中IP所承载的上层协议为TCP):,

2、ACL的分类,利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类,标准访问控制列表的配置,配置标准访问列表的命令格式如下: acl acl-number match-order config | auto rule normal | special permit | deny source source-addr source-wildcard | any ,怎样利用 IP 地址 和 反掩码wildcard-mask 来表示 一个网段?,如何使用反掩码,反掩码和子网掩码相似,但写法不同: 0表示需要比较 1表示忽略比较 反掩码和IP地址结合使用,可以描述一个地址范围。,扩展访问控制列

3、表的配置命令,配置TCP/UDP协议的扩展访问列表: rule normal | special permit | deny tcp | udp source source-addr source-wildcard | any source-port operator port1 port2 destination dest-addr dest- wildcard | any destination-port operator port1 port2 logging 配置ICMP协议的扩展访问列表: rule normal | special permit | deny icmp source

4、 source-addr source-wildcard | any destination dest-addr dest- wildcard | any icmp-type icmp-type icmp-code logging 配置其它协议的扩展访问列表: rule normal | special permit | deny ip | ospf | igmp | gre source source-addr source-wildcard | any destination dest-addr dest- wildcard | any logging,扩展访问控制列表操作符的含义,扩展访

5、问控制列表举例,rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type 5 1,rule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 equal www log,129.9.0.0/16,TCP报文,202.38.160.0/24,WWW 端口,问题: 下面这条访问控制列表表示什么意思? rule deny udp source 129.9.8.0 0.0.0.255 destination 202.38.160

6、.0 0.0.0.255 greater-than 128,访问控制列表配置举例,Internet,FTP 服务器 129.38.1.1,Telnet 服务器 129.38.1.2,WWW 服务器 129.38.1.3,公司内部局域网,129.38.1.5,129.38.1.4,202.38.160.1,特定的外部用户,访问控制列表配置举例,Quidwayfirewall enable Quidwayfirewall default permit Quidwayacl 101 Quidway-acl-101rule deny ip source any destination any Quid

7、way-acl-101rule permit ip source 129.38.1.4 0 destination any Quidway-acl-101rule permit ip source 129.38.1.1 0 destination any Quidway-acl-101rule permit ip source 129.38.1.2 0 destination any Quidway-acl-101rule permit ip source 129.38.1.3 0 destination any Quidwayacl 102 Quidway-acl-102rule permi

8、t tcp source 202.39.2.3 0 destination 202.38.160.1 0 Quidway-acl-102rule permit tcp source any destination 202.38.160.1 0 destination-port great-than 1024 Quidway-Ethernet0firewall packet-filter 101 inbound Quidway-Serial0firewall packet-filter 102 inbound,ASPF技术,FTP 客户端,内部接口,ASPF路由器,FTP 服务器,外部接口,TC

9、P SYN Flooding攻击图示,攻击者,ASPF路由器,服务器,正常用户,b,C,a,S=c, d=a; TCP SYN: dport:ftp,sport:1001,S=a, d=c; TCP SYN ACK: dport:1001,sport:ftp,S=c, d=a; TCP ACK: dport:ftp,sport:1001,S=X1, d=a; TCP SYN: dport:ftp,sport:1001,S=a, d=X1; TCP SYN ACK: dport:1001,sport:ftp,S=Xn, d=a; TCP SYN: dport:ftp,sport:1001,S=a

10、, d=Xn; TCP SYN ACK: dport:1001,sport:ftp,OK,分配资源,等待回应、,分配资源、,等待回应,、,课程内容,第一节 防火墙 第二节 地址转换,地址转换的提出背景,地址转换是在IP地址日益短缺的情况下提出的。 一个局域网内部有很多台主机,可是不能保证每台主机都拥有合法的IP地址,为了到达所有的内部主机都可以连接Internet网络的目的,可以使用地址转换。 地址转换技术可以有效的隐藏内部局域网中的主机,因此同时是一种有效的网络安全保护技术。 同时地址转换可以按照用户的需要,在内部局域网内部提供给外部FTP、WWW、Telnet服务。,私有地址和公有地址,I

11、nternet,192.168.0.1,192.168.0.2,192.168.0.1,LAN1,LAN2,LAN3,私有地址范围: 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255,地址转换的原理,Internet,局域网,PC2,PC1,IP:10.0.0.1 Port:3000,IP 报文,IP:202.0.0.1 Port:4000,IP:10.0.0.2 Port:3010,IP:202.0.0.1 Port:4001,地址转换,利用ACL控制地址转换,可以使用访问控

12、制列表来决定那些主机可以访问Internet,那些不能。,Internet,局域网,PC2,PC1,设置访问控制列表控制pc1可以通过地址转换访问Internet,而pc2则不行。,Easy IP特性,Easy IP:在地址转换的过程中直接使用接口的IP地址作为转换后的源地址。,Internet,局域网,PC2,PC1,PC1 和 PC2 可以直接使用 S0接口的IP 地址作为地址转换后的公用IP地址,S0:202.0.0.1,使用地址池进行地址转换,地址池用来动态、透明的为内部网络的用户分配地址。它是一些连续的IP地址集合,利用不超过32字节的字符串标识。 地址池可以支持更多的局域网用户同时

13、上Internet。,Internet,局域网,PC2,PC1,202.38.160.1 202.38.160.2 202.38.160.3 202.38.160.4,地址池,内部服务器的应用,Internet,内部服务器,外部用户,E0,Serial 0,内部地址:10.0.1.1 内部端口:80,外部地址:202.38.160.1 外部端口:80,IP:202.39.2.3,配置地址转换: IP地址: 10.0.1.1202.38.160.1 端口: 8080,NAT(内网外网实现流程,Internet,内部网络,10.0.0.0/8,10.0.0.1,NAT路由器,公用地址池,202.0

14、.0.1 202.0.0.2,202.0.0.1,DI:6.1.128.1,SI:10.0.1.1 DP:21,SP:1001,DI:6.1.128.1,SI:202.0.0.1 DP:21,SP:1001,DI:10.0.1.1,SI:6.1.128.1 DP:1001,SP:21,NAT路由器查找地址表,NAT路由器增加地址转换表项,1,2,3,4,5,NAT(外网内网实现流程,Internet,内部网络,10.0.0.0/8,10.0.0.1,NAT路由器,公用地址池,202.0.0.1 202.0.0.2,202.0.0.1,DI:202.0.0.1,SI:6.1.128.1 DP:2

15、1,SP:1044,DI:6.1.128.1,SI:10.0.0.1 DP:1044,SP:21,DI:10.0.1.1,SI:6.1.128.1 DP:1001,SP:21,路由器查找地址转换表并实施地址转换,路由器查找地址转换表并实施地址转换,1,2,3,4,5,FTP客户,FTP服务器,6,静态配置地址转换表项,DI:10.0.1.1,SI:6.1.128.1 DP:21,SP:1044,地址转换配置举例,Internet,FTP 服务器,WWW 服务器1,WWW 服务器2,内部PC,10.110.10.100,S0,外部PC,内部PC,10.110.12.100,SNMP 服务器,10

16、.110.10.1,10.110.10.2,10.110.10.3,10.110.10.4,地址转换配置举例,Quidway nat address-group 202.38.160.101 202.38.160.103 pool1 Quidway acl 1 Quidway-acl-1rule permit source 10.110.10.0 0.0.0.255 Quidway-acl-1rule deny source any Quidway-acl-1int serial 0 Quidway-Serial0 nat outbound 1 address-group pool1 Quid

17、way-Serial0 nat server global 202.38.160.101inside 10.110.10.1 ftp tcp Quidway-Serial0 nat server global 202.38.160.102inside 10.110.10.2 www tcp Quidway-Serial0 nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp Quidway-Serial0 nat server global 202.38.160.103 inside 10.110.10.4 smtp udp,小结,防火墙基本概念 访问控制列表(ACL)和ASPF 地址转换技术(NAT),

copyright@ 2008-2019 麦多课文库(www.mydoc123.com)网站版权所有
备案/许可证编号:苏ICP备17064731号-1