防火墙安全规则.ppt

上传人：小飞机

文档编号：6148286

上传时间：2023-09-29

格式：PPT

页数：26

大小：442KB

《防火墙安全规则.ppt》由会员分享，可在线阅读，更多相关《防火墙安全规则.ppt（26页珍藏版）》请在三一办公上搜索。

1、防火墙安全规则,网御神州科技（北京）有限公司客服中心,防火墙安全规则,学习目标学习完本课程，您应该能够了解防火墙的安全规则熟悉防火墙包过滤功能工作原理熟悉防火墙NAT功能工作原理熟悉防火墙映射功能工作原理,防火墙安全规则,内容导读安全规则概述包过滤规则NAT规则IP映射规则端口映射规则,防火墙安全规则,数据包结构,源IP,目的IP,源端口,1、网路设备是按照数据包中的目地IP进行路由查找的2、主机是查找数据包的目地IP，才能知道是发给自己的数据包3、目地主机通过检查源IP，才能知道谁在访问自己，回包的时候可以回给相应的主机,目地端口,数据,防火墙安全规则,安全规则概述防火墙作为边界设备，部署后

2、需要通过安全规则来控制经过防火墙的流量1、防火墙根据网络环境应用的不同，分为：包过滤规则 NAT规则端口映射规则 IP映射规则2.防火墙安全规则默认下是禁止所有通信3.网络所有通信都要通过安全规则来控制4.防火墙安全规则匹配顺序为自上而下逐一匹配,防火墙安全规则,包过滤规则简述包过滤规则的目地是在多种数据流量中，保证合法允许的流量穿过防火墙过滤掉不合法的流量，从而保证网络的安全性,防火墙安全规则,包过滤规则1、什么叫包过滤通过人为添加的一些访问列表，来过滤穿过设备的数据包2、包过滤规则工作原理包过滤规则检查经过防火墙的数据包，将数据包中的源地址，目地地址，目地端口（协议+端口）、和所定义

3、的规则进行匹配，如果匹配，则执行该规则的动作允许或者丢弃3、防火墙的包过滤规则不会修改数据包里面任何一个字段的内容,防火墙安全规则,包过滤规则界面,规则匹配后，执行对数据包的处理动作：允许或者丢弃,防火墙安全规则,包过滤规则界面,服务里面的内容,防火墙安全规则,包过滤规则处理过程,包过滤规则,SP:22308,DP:80,DP:80,动作允许or拒绝,全部匹配,防火墙安全规则,包过滤规则应用环境安全规则按照网络环境分为包过滤、NAT、映射规则1、包过滤规则的应用环境必须保证防火墙两端的路由是可达的（网络是通的）2、一般使用包过滤规则的应用环境是内网访问内网,防火墙安全规则,NAT规则简述N

4、AT规则是将数据包的源地址替换成另外的ip保证数据包能够在网络上进行传递,源IP,目的IP,源端口,目地端口,数据,NAT规则修改,NAT规则修改,防火墙安全规则,NAT规则1、什么叫NAT规则经过防火墙的数据包如果只发生源地址和源端口被替换的情况，称为NAT规则2、安全规则工作原理 NAT规则检查经过防火墙的数据包，将数据包中的源地址，目地地址，目地端口、和所定义的规则进行匹配，如果匹配，则执行该规则的动作做NAT转换3、防火墙的NAT规则会修改数据包里面源IP字段的内容,防火墙安全规则,NAT规则界面,规则匹配后，执行对数据包的处理动作：源地址转换,防火墙安全规则,NAT规则处理过程,

5、NAT规则,SP:22308,DP:80,DP:80,动作源地址转换,全部匹配,SP:22308,DP:80,防火墙安全规则,NAT规则的配置 1、定义NAT地址池当进行数据包的转换时，会调用NAT地址池中的地址，实现地址转换 2、定义转换源(感兴趣流)并不是所有经过防火墙的数据包都会进行地址转换的，所以要求定义某些特定的流量3、调用NAT地址池,防火墙安全规则,NAT规则应用环境安全规则按照网络环境分为包过滤、NAT、映射规则1、NAT规则应用的网络是一般是防火墙两边的路由不能直接通信，防火墙作为通信的边界路由设备2、防火墙一般部署在互联网出口的时候，可能会使用NAT规则，因为互联网和内

6、网是没有办法直接通信的，防火墙做为边界设备需要进行NAT转换3、由于做了NAT之后，数据包的原来的源IP会被有效的隐藏起来4、通过防火墙访问外网的时候，由于外网的IP不固定，所以目地地址一般为ANY,防火墙安全规则,映射规则简述映射规则是将数据包的目地地址替换成另外的IP地址，或者将数据包的目地IP和目地端口同时进行替换,源IP,目的IP,源端口,目地端口,数据,IP映射规则修改,端口映射规则修改,防火墙安全规则,映射规则1、什么叫ip映射规则？通过访问一个公开IP地址，经过防火墙可以将公开的IP地址映射成所保护的真正的IP地址，从而能够访问到真正的主机的所有服务2、什么叫端口映射规则？通过访

7、问一个公开的IP地址和一个公开的端口，经过防火墙可以将公开的IP地址和端口映射成所保护主机的真正的IP地址和端口3、映射规则工作原理映射规则检查经过防火墙的数据包，将数据包中的源地址，目地地址，目地端口、和所定义的规则进行匹配，如果匹配，则执行该规则的动作，替换目地地址4、IP映射和端口映射区别 IP映射规则只进行目地地址的转换，端口映射规则进行目地地址和目地端口的替换,防火墙安全规则,端口映射规则界面,规则匹配后，执行对数据包的处理动作：转换数据包的目地地址和目地端口,防火墙安全规则,IP映射规则处理过程,IP映射规则,SP:22308,DP:80,DP:80,动作IP映射,全部匹配,SP

8、:22308,DP:80,防火墙安全规则,端口映射规则处理过程,端口映射规则,SP:22308,DP:80,DP:80,动作端口映射,全部匹配,SP:22308,DP:90,防火墙安全规则,映射规则的配置 1、定义公开地址和端口当进行数据包的到防火墙时，会将数据包的目地地址和定义的公开的地址进行匹配，实现地址转换 2、定义转换后的IP,防火墙安全规则,映射规则应用环境安全规则按照网络环境分为包过滤、NAT、映射规则1、映射规则应用的网络环境一般是外网的用户直接向访问内网的服务器的地址2、如果允许外网的用户访问内网服务器的所有的服务，则使用IP映射规则3、如果允许外网的用户访问内网服务器的某些服务，则使用端口映射规则4、做了映射规则后，内网的服务器的可以得到有效的保护,防火墙安全规则,问题 1、请简要的描述数据包的格式；2、防火墙允许数据包经过需要检查数据包中的哪些部分；3、请分别描述包过滤规则、映射规则、NAT规则的工作过程；4、试举例各种规则的应用环境。,您的建议是我们宝贵的财富！,