防火墙
- 定义
- 在安全需求不同的网络区域之间,通过即定原则对网络通信强度实施访问控制的安全设备
- 目的
- 隔离外网和内网,以保护网络的安全性
- 功能
- 路由,交换
- 与路由器,交换机区别
- 防火墙本质:控制,部署在网络边界,对进出的网络进行控制,核心特性:安全防护
- 交换机本质:转发。交换机通过二层/三层交换机快速转发报文
- 路由器本质:转发。连接不同的网络,保障互联互通,确保将报文发到目的地
- 与路由器,交换机区别
- 基本功能
- 隔离
- 访问控制
- 其他功能
- 基础组网和防护功能
- 记录监控网络存取和访问
- 限定内部用户访问特殊站点
- 限制暴露用户点
- 网络地址转换(nat技术)
- 产生原因
- ipv4地址逐渐枯竭
- ipv6技术不能立即大面积替换
- 各种延长IPv4寿命的技术不断出现,NAT就是其中之一
- 目的
- 实现大量私网地址对少量公网地址的转换,保障通信在基础上节约IP地址资源
- 私网地址不能在公网中路由,否则将导致通信混乱
- 对IP报文头中的源地址或目的地址进行转换,使大量私网IP地址通过共享少量的公网IP来访问公网
- 实现大量私网地址对少量公网地址的转换,保障通信在基础上节约IP地址资源
- 分类
- 基于源IP地址
- 转换的方向
- Inbound (低到高) Outbound(高到低)
- 端口是否转换
- No-Pat
- 用于一对一的IP地址转换,端口不进行转换
- 局限性
- 如果地址池中的地址已经全部分配出去,则剩余内网主机访问外网时不会进行NAT转换,直到地址池中有空闲地址时才会进行NAT转换。
- No-Pat
- NAPT
- 源端口和源IP都转换,不同的内部地址映射到同一共有地址的不同端口上,多对一转换
- 转换的方向
- 基于源IP地址
- 内网→外网,放行T到U的流量
- EASY-IP
- 利用出接口的公网地址作为nat转换后的地址
- 产生原因
- 基于目的IP地址
- NAT sever
- 使用一个公网地址来代表内部服务器对外地址
- 外网→内网,放行U到T的HTTP流量
- 使用一个公网地址来代表内部服务器对外地址
- 目的NAT
- 使设备自动将终端发往错误wap网关地址的报文自动转发给正确的wap网关
- no-reverse参数
- 配置参数no-reverse后,设备只将公网地址转换成私网地址,不能将私网地址转换成公网地址。当内部服务器主动访问外部网络时需要执行outbound的nat策略。
- 不带no-reverse参数的nat server后,当公网用户访问服务器时,设备能将服务器的公网地址转换成私网地址;同时,当服务器主动访问公网时,设备也能将服务器的私网地址转换成公网地址。
- NAT sever
- 双向NAT技术
- 分类
- NAT server+NAT Inbound(域间双向nat)
- U到T
- NAT server+域内NAT
- U到T NAT Server的流量,T到T的NAT流量
- 防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址,源地址转换成用户对外公布的IP地址
- 防火墙将FTP服务器回应报文的源地址转换成对外公布的地址,目的地址转换成用户的内网IP地址。
- NAT server+NAT Inbound(域间双向nat)
- 分类
- 优点
- 实现IP复用,节约宝贵的地址资源
- 地址转换过程对用户透明
- 对内网用户提供隐私保护
- 可实现内部服务器的负载均衡
- 缺点
- 网络监控难度加大
- 限制某些具体应用
- nat地址池
- 连续IP地址的集合,当来自私网的报文通过地址转换到公网IP时,将会选择地址池的某个地址作为转换后的地址
- NAT ALG(应用级网关)
- 特定应用协议的转换代理,可完成应用层数据携带的地址号及端口号信息的转换
- 生成server map表
- 配置nat server
- 自动生成,用于存放global地址与Internet地址的映射关系
- 配置nat no pat
- 设备为已配置多通道协议产生的有实际流量的数据流建立server-map表
- 配置nat server
- 路由,交换
- 虚拟专用网(VPN)
- 定义:vpn是指依靠Internet服务提供商ISP和网络服务提供商NSP在公共网络中建立的虚拟专用通信网络
- 特点
- 专用
- 虚拟
- 用户获得逻辑意义上的专网,这个公共网络称为:VPN骨干网
- 优点
- 安全
- 廉价
- 支持移动业务
- 支持随时随地可办公
- 服务质量保证
-
- VPN网关通过对数据包加密和目标地址转换实现远程访问
- 分类
- 组网类型分类
- 网关与网关之间的VPN链路
- 数据流在公网VPN节点之间转发,数据包转发在网络层实现,公网每个节点需为每个VPN建立专用的路由转发表
- 为实现局域网之间的互通而产生
- 包括ATM, Frame Relay, GRE, MPLS VPN, IPSec VPN
- 主机与网关之间的VPN链路
- 家庭或远程办公室通过拨号技术实现访问企业内部服务器,建立私有的网络连接
- 包括;IPSec, PPTP, L2TP over IPSec, SSL VPN
- 网关与网关之间的VPN链路
- 业务用途划分
- 远程访问虚拟网
- 企业内部或远程办公需要,或商家提供B2C的安全访问服务
- 企业内部虚拟网络
- 总部与分支机构
- 企业扩展虚拟网
- 同行业进行访问
- 远程访问虚拟网
- 实现层次分类
- Layer 2 VPN数据链路层
- Layer 2 VPN数据链路层
- 组网类型分类