IE-Sec笔记1

1.状态检测机制

同一个数据流的系列报文不是独立的个体,而是存在联系的, 比如SYN后面只认SYN ACK;

状态检测机制开启的状态下,只有首包通过设备才能建立会话表项。会话表匹配上之后, 就不需要再去做安全策略的检测。

通过会话中的五元组信息可以唯一确定通信双方的一条连接;
防火墙将要删除会话的时间称为会话的老化时间(一般为20s;像FTP这种可以配置长连接,延长时间);
一条会话表示通信双方的一个连接,多条会话的集合叫做会话表。
 

查看会话表
display firewall session table
display firewall session table verbose

2.ASPF技术(application specific packet filter)

为了解决多通道应用层协议访问控制的不足。
比如FTP的主动模式和被动模式,
FTP主动模式:服务器21口建立控制,再主动启用自身20口进行数据传输;
FTP被动模式:服务器21口建立控制,被客户端临时扒拉一个高口(1024以上)进行数据传输

客户端在被动模式扒拉服务器被动口,被ASPF捕获(主动模式一样可以被捕获),生成Server-map表(可看成临时的安全策略, 命中Server-map表就不再走安全策略, 但它不做转发, 转发操作是由会话表来操作的)

在trust和dmz之间配置ASPF
firewall interzone trust dmz
detect ftp

查看Server-map表
display firewall server-map

 

3.防火墙上的NAT


源NAT
NAT
No-PAT "一一对应,无法使用端口"

会生成双向server-map表,实现双向访问

NAPT "用端口号区分私网用户,一个IP用多次"

不会生成server-map表

Easy IP "不固定出口IP,无池"

不生成server-map表, 靠会话表跟踪连接状态

三元组NAT "在No-PAT基础上实现了同时转换IP和端口"

三元组NAT和NAPT的区别

  • 端口复用情况
    • 三元组 NAT:端口不能复用,内部 PC 对外呈现的端口具有一致性,不会动态变化,这在某些对端口稳定性要求高的场景很重要。
    • NAPT:可以复用端口,通过将不同私网地址的不同端口转换到同一个公网地址的不同端口,实现多个私网用户共用一个或多个公网 IP 地址,提高了公网地址的利用率。例如,多个内部主机可以通过同一个公网 IP 地址的不同端口与外部通信,NAPT 根据端口号来区分不同的内部主机。
  • 公网地址利用率
    • 三元组 NAT:由于端口不能复用,相对来说公网地址利用率较低。每一个内部主机的特定端口对应一个公网地址和端口组合,即使在某个时刻该端口没有数据传输,这个公网地址和端口也不能被其他内部主机使用。
    • NAPT:能通过端口复用让多个私网用户共享公网 IP 地址,公网地址利用率高,在公网地址数量少而私网用户数量大的场景中优势明显。
  • 外部访问支持方式
    • 三元组 NAT:明确支持外部设备通过转换后的地址和端口主动访问内部 PC。开启端点无关过滤功能后,当 Internet 上的用户主动访问位于内部网络的用户时,将会匹配目的 Server - map 表,设备根据目的 Server - map 表中的转换关系进行地址转换,然后不进行安全策略处理,直接转发报文。
    • NAPT:主要用于实现私网用户访问公网资源,对于外部主动访问内部通常不是其主要设计目的,若要实现需额外配置等操作。
  • 应用场景针对性
    • 三元组 NAT:主要应用于外部用户访问局域网的一些 P2P 应用,如基于 P2P 技术的文件共享、语音通信、视频传输等业务,能很好地支持这些需要端口固定且外部可主动访问内部的应用场景。
    • NAPT:适用于大量私网用户需要访问公网的场景,如企业内部员工使用少量公网 IP 地址访问互联网资源等。

配置

将接口加入相应的安全区域
firewall zone trust
add interface GigabitEthernet 0/0/1
quit

firewall zone untrust
add interface GigabitEthernet 0/0/2
quit
 

配防火墙策略,指定私网网段与外网交互
security policy
rule name policy1
source-zone trust
destination-zone untrust
source-address 192.168.10.0 24
action permit
quit
 

配NAT模式,这里我用NAPT
nat address-group group1
mode pat
section 0 1.1.1.10 1.1.1.15
route enable

配NAT策略
nat-policy
rule name policy1
source-zone trust
destination-zone untrust
source-address 192.168.10.0 24
action source-nat address-group group1

4.目的NAT 


静态目的NAT "固定的映射关系"

动态目的NAT "不固定; 常见如移动终端访问无线网络"

5.双向NAT 
 


"同时给你穿上出门的衣服和指明出门的方向"

6.NAT ALG 与 NAT Server


NAT ALG "一般和ASPF同时开启"


NAT Server

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值