局域网配置，03-防火墙配置资源-CSDN文库

需积分: 5 178 浏览量 2023-09-13 17:43:11 上传评论收藏 306KB PDF 举报

资源推荐

资源详情

资源评论

操作手册安全分册防火墙目录

第 1 章防火墙配置..................................................................................................................1-1

1.1 防火墙简介......................................................................................................................... 1-1

1.1.1 包过滤防火墙简介.................................................................................................... 1-2

1.1.2 ASPF简介................................................................................................................ 1-3

1.2 配置包过滤防火墙 .............................................................................................................. 1-6

1.2.1 包过滤防火墙配置任务简介..................................................................................... 1-6

1.2.2 启用防火墙功能 ....................................................................................................... 1-7

1.2.3 配置缺省过滤方式.................................................................................................... 1-7

1.2.4 打开分片报文检测开关 ............................................................................................ 1-7

1.2.5 配置分片报文检测门限 ............................................................................................ 1-8

1.2.6 配置接口的报文过滤功能......................................................................................... 1-9

1.2.7 配置接口的以太网帧过滤功能 ............................................................................... 1-10

1.2.8 包过滤防火墙显示和维护....................................................................................... 1-11

1.2.9 包过滤防火墙典型配置举例................................................................................... 1-11

1.3 配置ASPF ........................................................................................................................ 1-13

1.3.1 ASPF配置任务简介 ............................................................................................... 1-13

1.3.2 启用防火墙功能 ..................................................................................................... 1-14

1.3.3 配置ASPF策略....................................................................................................... 1-14

1.3.4 在接口上应用ASPF策略 ........................................................................................ 1-15

1.3.5 配置ASPF会话日志功能 ........................................................................................ 1-15

1.3.6 配置端口映射......................................................................................................... 1-16

1.3.7 ASPF显示和维护................................................................................................... 1-16

1.3.8 ASPF典型配置举例 ............................................................................................... 1-17

操作手册安全分册防火墙第 1 章防火墙配置

1-2

防火墙不单用于控制因特网连接，也可以用来在组织网络内部保护大型机和重要的

资源（如数据）。对受保护数据的访问都必须经过防火墙的过滤，即使网络内部用

户要访问受保护的数据，也要经过防火墙。

目前设备中的防火墙主要指以下三种：

z 包过滤防火墙，即基于 ACL（Access Control List，访问控制列表）的包过滤

z 状态防火墙，即 ASPF（Application Specific Packet Filter，基于应用层状态

的包过滤）

z 地址转换

 说明：

关于地址转换的详细介绍，请参见“安全分册”中的“NAT 配置”，本章主要介绍

包过滤防火墙和状态防火墙。

1.1.1 包过滤防火墙简介

1. 包过滤概述

包过滤实现了对 IP 数据包的过滤。对设备需要转发的数据包，先获取其包头信息（包

括 IP 层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端

口等），然后与设定的 ACL 规则进行比较，根据比较的结果对数据包进行相应的处

理。

2. 对分片报文过滤的支持

目前的包过滤提供了对分片报文检测过滤的支持，检测的内容有：

z 报文类型（非分片报文、首片分片报文和非首片分片报文）

z 获得报文的三层信息（基本 ACL 规则和不含三层以上信息的高级 ACL 规则）

z 三层以上的信息（包含三层以上信息的高级 ACL 规则）

对于配置了精确匹配过滤方式的高级 ACL 规则，包过滤防火墙需要记录每一个首片

分片的三层以上的信息，当后续分片到达时，使用这些保存的信息对 ACL 规则的每

一个匹配条件进行精确匹配。

应用精确匹配过滤后，包过滤防火墙的执行效率会略微降低，配置的匹配项目越多，

效率降低越多，可以配置门限值来限制防火墙最大处理的数目。

 说明：

关于 ACL 的详细介绍，请参见“安全分册”中的“ACL 配置”。

操作手册安全分册防火墙第 1 章防火墙配置

1-3

1.1.2 ASPF 简介

包过滤防火墙属于静态防火墙，目前存在的问题如下：

z 对于多通道的应用层协议（如 FTP、H.323 等），部分安全策略配置无法预知。

z 无法检测某些来自传输层和应用层的攻击行为（如 TCP SYN、Java Applets

等）。

z 无法识别来自网络中伪造的 ICMP 差错报文，从而无法避免 ICMP 的恶意攻击。

z 对于 TCP 连接均要求其首报文为 SYN 报文，非 SYN 报文的 TCP 首包将被丢

弃。在这种处理方式下，当设备首次加入网络时，网络中原有 TCP 连接的非

首包在经过新加入的防火墙设备时均被丢弃，这会对中断已有的连接。

因此，提出了状态防火墙——ASPF 的概念。ASPF 能够实现的检测有：

z 应用层协议检测，包括 FTP、HTTP、SMTP、RTSP、H.323（Q.931、H.245、

RTP/RTCP）检测；

z 传输层协议检测，包括 TCP 和 UDP 检测，即通用 TCP/UDP 检测。

1. ASPF 的功能

ASPF 的主要功能如下：

z 能够检查应用层协议信息，如报文的协议类型和端口号等信息，并且监控基于

连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被 ASPF 维

护，并用于动态地决定数据包是否被允许通过防火墙进入内部网络，以阻止恶

意的入侵。

z 能够检测传输层协议信息（即通用 TCP/UDP 检测），能够根据源、目的地址

及端口号决定 TCP 或 UDP 报文是否可以通过防火墙进入内部网络。

ASPF 的其它功能有：

z ASPF 不仅能够根据连接的状态对报文进行过滤，还能够对应用层报文的内容

加以检测，提供对不可信站点的 Java Blocking 功能，用于保护网络不受有害

的 Java Applets 的破坏。

z 增强的会话日志功能。可以对所有的连接进行记录，包括：连接的时间、源地

址、目的地址、使用的端口和传输的字节数。

z 支持 PAM（Port to Application Map，应用协议端口映射），允许用户自定义

应用层协议使用非通用端口。

z 支持 ICMP 差错报文检测。正常 ICMP 差错报文中均携带有本报文对应连接的

相关信息，根据这些信息可以匹配到相应的连接。如果匹配失败，则根据当前

配置决定是否丢弃该 ICMP 报文。

剩余18页未读，继续阅读

评论收藏

内容反馈

xiaoli8748_软件开发

粉丝: 3407
资源: 1341

局域网配置，03-防火墙配置

公司局域网如何组建-公司局域网搭建方法.docx

公司局域网如何组建-公司局域网搭建方法.doc

2021年公司局域网如何组建-公司局域网搭建方法.doc

局域网设计方案-可靠安全实验室设计.doc

网络安全实验---Windows防火墙应用.docx

集群、2003服务器、防火墙配置、局域网等等实用技巧

天融信防火墙策略配置方法

2021年计算机三级网络技术考试精讲班视频.rar

计算机网络实验讲义包含实验报告模板

局域网共享设置工具+超简单设置+功能实用

CSCIO局域网基础设计概述

网络工程实施方案

防火墙在企业局域网中的架设及配置方法.pdf

防火墙在企业局域网中的架设和配置方法.doc

防火墙在企业局域网中的架设及配置方法.doc

ISA server 2006 排错实战技巧

go2lan P2P 虚拟局域网

飞塔防火墙配置局域网内主机网络唤醒

企业局域网规划与设计

相关实用应用程序（Windows可用）

免费可用的ChatGPT网页版.zip

ChatGPT使用总结：150个ChatGPT提示词模板（完整版）

chromedriver-win64.zip

全国计算机二级WPSoffice精选350道选择题题库（含答案）.pdf

哈尔滨工业大学-ChatGPT调研报告-2023.3.6-94页.pdf

2023泛娱乐社交出海手册-ZEGO即构科技

4个亲测好用的ChatGPT4渠道

yolo学习导航.txt

SAP PI/PO rest发送x-www-data-urlencoded类型数据

最新资源