《2022年2022年交换机、防火墙、网闸等》由会员分享,可在线阅读,更多相关《2022年2022年交换机、防火墙、网闸等(7页珍藏版)》请在金锄头文库上搜索。
1、进入正题, 今天说说硬件防火墙的端口映射配置,以及端口映射的应用。所谓端口映射,就是把“某个IP 地址的某个端口 (也叫套接字) 映射到另一个IP 地址的某个端口”,其实和NAT一样,本来都是路由器的专利。但出于加强安全性的考虑,一般现在在内网出口布置的都是硬件防火墙,路由器的大部分功能也能实现。当然了,现在的新趋势是IPS。时下 IPv4 地址短缺, 一个单位有一两个固定IP 就算不错了, 要实现内部网多台主机上公网,不用说需要作NAT ,把内部私有IP 转换成公网IP 就搞定了。但如果需要对外发布一个以上的网站或其他服务,或是没有VPN但需要作多台主机(服务器)远程控制,一两个IP 怎么说
2、也是不够的,这种时候就需要用到端口映射了(莫急,这就开始说了)。一般来讲, 防火墙的默认包过滤规则是禁止,如果不做端口映射,外网地址的所有端口都是关闭(隐藏,检测不到)的,不允许从外网主动发起的任何连接(这就是在内网使用某些P2P软件显示“您的外网端口无法被连接”之类信息的原因)。下面结合实际讲讲配置。俺公司两台防火墙,一台天融信一台联想网御,联想网御作外网应用。比如,现有如下需求:外网地址123.123.123.123,需要将内部网192.168.1.10和 192.168.1.11两台服务器上的 HTTP服务对外发布。外网地址只有1 个, 外网地址的80 端口也只有1 个,既然要发布两个H
3、TTP , 也就不必(也没办法)拘泥于80 端口。我们可以随便选择外网的端口号,比如,指定外网地址123.123.123.123的 8080 端口映射至内网192.168.1.10的 80 端口,指定外网地址123.123.123.123的 8081 端口映射至内网192.168.1.11的 80 端口。这里,如果没有特殊要求,外网端口的选择是任意的,外网用户只要在IE 的地址栏输入“ 123.123.123.123: 端口号”就可以访问相应服务。当然,也可以指定外网地址123.123.123.123的 80 端口映射至内网 192.168.1.10的 80 端口,这样用浏览器访问时就不用加端
4、口号。添加端口映射配置的步骤,各品牌的防火墙不太一样,但大同小异。比如, 天融信没有专门的端口映射配置,直接在 NAT中配置即可。 进入防火墙引擎地址转换添加配置,源area 选择接外网的以太网口,源地址选any(有特殊需要的可以做源地址限制) ,源端口为空即可 (即允许源端口为任何端口);目的 area 为空(空即任意) ,目的地址选择外网地址123.123.123.123(需预先定义),服务选择TCP8081(或 TCP8082,服务也需要预先定义) ,下面目的地址转换为192.168.1.10(192.168.1.11),目的端口转换为 80(HTTP ),启用规则即可。网御直接有专门的
5、端口映射配置,比较好理解, 添加规则, 选择源地址 (any,或自定) ,对外服务( 8080 或 8081),源地址不转换,公开地址选外网地址(123.123.123.123),内部地址选择内网服务器地址(192.168.1.10或 192.168.1.11),内部服务选80,启用规则即可。至此,我们实现了两条端口映射规则:123.123.123.123:8080-192.168.1.10:80和123.123.123.123:8081-192.168.1.11:80。同理, 我们如果想让p2p 软件在内网能正常工作的话,即让外网用户能连接p2p 软件的监听端口,也需要作端口映射。 比如,如
6、果内网192.168.1.13运行 Bitcomet监听 22345 端口,名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 7 页 - - - - - - - - - 显示黄灯阻塞,我们作一条端口映射规则123.123.123.123:22345-192.168.1.13:22345,就可以变绿灯了,电驴也是一样。下面谈谈端口映射配合远程桌面的应用。以前公司没有VPN ,为了能在家远程办公通过远程桌面访问我的机器192.168.1.15,于是通过端口映射作123.123.
7、123.123:3389-192.168.1.15:3389来实现, 这样在家里运行Windows自带的远程桌面(其实远程控制软件很多,但为了能在紧急情况时随便找一台能上网的机器就能用,所以还是选用系统自带的), 输入地址 123.123.123.123就可以远程登陆到我公司内网的机器。但 3389 端口只有一个, 这样就只能我自己用。后来发现, 在远程桌面中输入IP 地址加端口号也可以。这样就好办了,作123.123.123.123:9991-192.168.1.15,然后在家运行远程桌面,输入123.123.123.123:9991,就可以登陆我的机器;再作123.123.123.123:
8、9992-192.168.1.16等等, 就可以实现多人通过一个公网IP 远程桌面访问自己的机器, 没有 VPN远程办公也很方便。但要注意这样有一定的危险性,因为家里一般用 ADSL , IP 地址不是固定的, 所以作规则时源地址一般支能选any, 即允许任何人连接9991端口,不过问题一般不大。综上, 端口映射可以将内网的任何服务发布到外网地址的任何端口,非常方便, 灵活运用的话对网管工作很有帮助。但切记,这种方法有一定的安全隐患,需慎用,最好在地址、端口、连接数、 带宽等各方面做好限制,以将危险减至最低。累死我了, 下班了,回家吃饭。 。 。名师资料总结 - - -精品资料欢迎下载 - -
9、 - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 7 页 - - - - - - - - - 网关、网桥、网闸、路由器、交换机等2008-02-29 07:41 网关:打个比方, 网关就象两个房间当中的那扇门,两个房间之间要走动就必须要通过这扇门才行, 所以说网关起的作用就是让两个不在同一网段之内的机子能够互访 网关就是用于不同子网之间的,使不同子网之间能相互通信!网桥:网桥工作在数据链路层, 将两个局域网 (LAN )连起来,根据 MAC 地址(物理地址)来转发帧,可以看作一个“低层的路由器”(路由器工作在网络层,根据
10、网络地址如 IP 地址进行转发)。它可以有效地联接两个LAN ,使本地通信限制在本网段内,并转发相应的信号至另一网段,网桥通常用于联接数量不多的、同一类型的网段。网闸: 网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。 由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议摆渡,且对固态存储介质只有 读和写两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使黑客无法入侵、无法攻击、无法破坏,实现了真正的安全。安全隔离与信息交换系统, 即网
11、闸,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强, 而且有效地防范了信息外泄事件的发生。第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的,实现了在空气缝隙隔离(Air Gap)情况下的数据交换,安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。第二代网闸正是在吸取了第一代网闸优点的基础上,创造性地利用全新理念的专用交换通道PET (Private Exchange Tunnel )技术,在不降低安全性的前提下能够完成内外网
12、之间高速的数据交换,有效地克服了第一代网闸的弊端,第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现的,虽然仍是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全效果的,但却提供了比第一代网闸更多的网络应用支持,并且由于其采用的是专用高速硬件通信卡,使得处理能力大大提高, 达到第一代网闸的几十倍之多, 而私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、 完整性和可信性, 从而在保证安全性的同时, 提供更好的处理性能,能够适应复杂网络对隔离应用的需求。网闸(SGAP) 与传统防火墙的技术特点对比如下表所示:对比项目传统防火墙网闸
13、( SGAP )安全机制采用包过滤、代理服务等安全机制,安全功能相对单一在 GAP技术的基础上,综合了访问控制、内容过滤、病毒查杀等技术,具有全面的安全防护功能。硬件设计防火墙硬件设计可能存在安全漏洞,遭受攻击后导致网络瘫痪。硬件设计采用基于GAP技术的体系结构, 运行稳定,不会因网络攻击而瘫痪。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 7 页 - - - - - - - - - 操作系统设计防火墙操作系统可能存在安全漏洞。采用专用安全操作系统作为软件支撑系统,实行
14、强制访问控制, 从根本上杜绝可被黑客利用的安全漏洞。网络协议处理缺乏对未知网络协议漏洞造成的安全问题的有效解决办法。采用专用映射协议代替原网络协议实现 SGAP 系统内部的纯数据传输, 消除了一般网络协议可被利用的安全漏洞。遭攻击后果被攻破的防火墙只是个简单的路由器,将危及内网安全即使系统的外网处理单元瘫痪, 网络攻击也无法触及内网处理单元。可管理性管理配置有一定复杂性管理配置简易与其它安全设备联动性缺乏可结合防火墙、IDS 、 VPN 等安全设备运行,形成综合网络安全防护平台。交换机:交换机 (Switch) 也叫交换式集线器,是一种工作在OSI第二层 ( 数据链路层,参见“广域网”定义)
15、上的、基于 MAC (网卡的介质访问控制地址 ) 识别、能完成封装转发数据包功能的网络设备。它通过对信息进行重新生成, 并经过内部处理后转发至指定端口,具备自动寻址能力和交换作用。交换机不懂得IP 地址,但它可以“学习” MAC 地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。交换机上的所有端口均有独享的信道带宽,以保证每个端口上数据的快速有效传输。由于交换机根据所传递信息包的目的地址,将每一信息包独立地从源端口送至目的端口, 而不会向所有端口发送, 避免了和其它端口发生冲突, 因此,交换机可以同时互不影响的传送这些信息
16、包,并防止传输冲突, 提高了网络的实际吞吐量。路由器:路由器是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行“翻译”, 以使它们能够相互“读”懂对方的数据,从而构成一个更大的网络。详细请看参考资料网站猫: 我们常将 Modem 称为“猫”,但依据工作的原理和作用, Modem 的全名为“调制解调器”。对于我们而言, Modem 在我们通过电话线拨号上网的过程中是连接计算机和普通电话线的不可缺少的设备;但是计算机处理的数据信息是二进制的数字信号,而电话线上传输的却是载波形式的模拟信号;Modem 就要负责这两种信号的转换调制, 将数字信号转换为模拟信号;解调,将模拟信号
17、转换为数字信号。调制与解调,所以叫调制解调器防火墙:防火墙是位于网关服务器上的一组相关程序,它们保护私人网络的资源不被用户或其它网络访问。 (这个词也指程序使用的安全策略)。拥有内部互联网的企业安装了防火墙就可以在允许其员工访问广域网的时阻止外部用户访问公司的私密数据,还可以控制它自己的用户能对什么样的外部数据进行访问。服务器:服务器是计算机的一种, 它是网络上一种为客户端计算机提供各种服务名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 7 页 - - - - - - -
18、 - - 的高性能的计算机,它在网络操作系统的控制下,将与其相连的硬盘、磁带、打印机、Modem 及昂贵的专用通讯设备提供给网络上的客户站点共享,也能为网络用户提供集中计算、信息发表及数据管理等服务。安全篇 -交换机设置方法介绍L2-L4 层过滤现在的新型交换机大都可以通过建立规则的方式来实现各种过滤需求。规则设置有两种模式, 一种是 MAC 模式,可根据用户需要依据源MAC 或目的 MAC 有效实现数据的隔离,另一种是IP 模式,可以通过源 IP、目的 IP、协议、源应用端口及目的应用端口过滤数据封包; 建立好的规则必须附加到相应的接收或传送端口上,则当交换机此端口接收或转发数据时,根据过滤
19、规则来过滤封包, 决定是转发还是丢弃。另外, 交换机通过硬件“逻辑与非门”对过滤规则进行逻辑运算,实现过滤规则确定,完全不影响数据转发速率。802.1X 基于端口的访问控制为了阻止非法用户对局域网的接入,保障网络的安全性, 基于端口的访问控制协议 802.1X 无论在有线 LAN或 WLAN 中都得到了广泛应用。例如华硕最新的GigaX2024/2048 等新一代交换机产品不仅仅支持802.1X 的 Local 、RADIUS 验证方式,而且支持802.1X 的 Dynamic VLAN 的接入,即在 VLAN 和 802.1X 的基础上,持有某用户账号的用户无论在网络内的何处接入,都会超越原
20、有802.1Q 下基于端口 VLAN 的限制,始终接入与此账号指定的VLAN 组内,这一功能不仅为网络内的移动用户对资源的应用提供了灵活便利,同时又保障了网络资源应用的安全性;另外, GigaX2024/2048 交换机还支持 802.1X 的 Guest VLAN功能,即在 802.1X 的应用中,如果端口指定了Guest VLAN项,此端口下的接入用户如果认证失败或根本无用户账号的话,会成为Guest VLAN 组的成员,可以享用此组内的相应网络资源, 这一种功能同样可为网络应用的某一些群体开放最低限度的资源,并为整个网络提供了一个最外围的接入安全。流量控制( traffic contro
21、l)交换机的流量控制可以预防因为广播数据包、组播数据包及因目的地址错误的单播数据包数据流量过大造成交换机带宽的异常负荷,并可提高系统的整体效能,保持网络安全稳定的运行。SNMP v3 及 SSH 安全网管 SNMP v3 提出全新的体系结构, 将各版本的 SNMP 标准集中到一起,进而加强网管安全性。 SNMP v3 建议的安全模型是基于用户的安全模型,即USM.USM 对网管消息进行加密和认证是基于用户进行的,具体地说就是用什么协议和密钥进行加密和认证均由用户名称 (userNmae ) 权威引擎标识符(EngineID)来决定(推荐加密协议CBCDES,认证协议 HMAC-MD5-96 和
22、 HMAC-SHA-96),通过认证、加密和时限提供数据完整性、数据源认证、数据保密和消息时限服务,从而有效防止非授权用户对管理信息的修改、伪装和窃听。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 7 页 - - - - - - - - - 至于通过 Telnet 的远程网络管理,由于Telnet 服务有一个致命的弱点它以明文的方式传输用户名及口令, 所以,很容易被别有用心的人窃取口令,受到攻击, 但采用 SSH 进行通讯时, 用户名及口令均进行了加密,有效防止了对口令
23、的窃听,便于网管人员进行远程的安全网络管理。Syslog 和 Watchdog 交换机的 Syslog 日志功能可以将系统错误、系统配置、状态变化、状态定期报告、系统退出等用户设定的期望信息传送给日志服务器,网管人员依据这些信息掌握设备的运行状况, 及早发现问题, 及时进行配置设定和排障, 保障网络安全稳定地运行。Watchdog 通过设定一个计时器,如果设定的时间间隔内计时器没有重启,则生成一个内在 CPU 重启指令,使设备重新启动, 这一功能可使交换机在紧急故障或意外情况下时可智能自动重启,保障网络的运行。双映像文件一些最新的交换机,像 A S U SGigaX2024/2048 还具备双
24、映像文件。这一功能保护设备在异常情况下 (固件升级失败等) 仍然可正常启动运行。 文件系统分 majoy 和 mirror两部分进行保存,如果一个文件系统损害或中断,另外一个文件系统会将其重写, 如果两个文件系统都损害, 则设备会清除两个文件系统并重写为出厂时默认设置,确保系统安全启动运行。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 7 页 - - - - - - - - - 面我来为大家介绍一下,交换机的配置方法,新手看仔细 ,老手过 : 首先 ,我们在配置交换机时
25、应该注意到的是在交换机中设置的IP地址,网关,域名等信息是为用于管理交换机而设置,把这些的配置都配置成功后,就可以为以后的工作途中省了不少事。3350 配置dhcp,网络上多有讨论,但大都存在错漏,按照网上介绍的配置一句“IP HELPER-ADDRESS DHCP服务器地址 ” 后,工程当中发现客户机不能从DHCP服务器获取IP 地址。我最近也刚好配置了3350,作为 DHCP服务器中继代理,刚开始也曾困惑很久,后来在网上查找资料及在论坛上寻求众人帮助,终于在工程当中测试通过,为了避免大家在工程当中遇到此类情况左调右调,特将配置过程写出来,给大家作为参考。网络环境:一台3550EMI 交换机
26、,划分三个vlan,vlan2 为服务器所在网络,命名为server,IP地址段为 192.168.2.0,子网掩码 :255.255.255.0,网关 :192.168.2.1,域服务器为windows 2000 advance server。同时兼作 DHCP服务器,DNS服务器,IP地址为 192.168.2.10,vlan3 为客户机 1 所在网络,IP地址段为192.168.3.0,子网掩码 :255.255.255.0,网关 :192.168.3.1 命名为 work01, vlan4 为客户 机 2 所 在 网 络 ,命 名为work02,IP地 址 段为192.168.4.0,
27、 子 网掩 码 :255.255.255.0, 网关:192.168.4.1. 上回跟大家介绍了如何正确连接交换机,今天用一些配置片段给大家介绍一下端口的配置。鉴于网上大多数配置事例都是show-run 出来的结果。不利于新手对命令配置过程的了解,所以笔者将配置片段和注意的地方都注明了一下,希望能帮助新手尽快了解如何正确配置交换机。在 IOS输入命令时只要缩写的程度不会引起混淆,使用配置命令的时候都可以使用缩写的形式。比如:Switchenable,在用户模式下以en 开头的命令就只有enable,所以可以缩写成 Switchen。也可以用TAB键把命令自动补全,如 Switchen,按键盘
28、TAB后自动补全为Switchenable。配置交换机的端口工作模式一般可以分为三种:Access,Multi , Trunk。trunk 模式的端口用于交换机与交换机,交换机与路由器, 大多用于级联网络设备所以也叫干道模式。Access多用于接入层也叫接入模式。暂时我们先介绍Trunk 模式和 Access模式, Multi 模式等以后我们介绍VLAN设置的时候再一并介绍。interface range 可以对一组端口进行统一配置,如果已知端口是直接与PC机连接不会接路由交换机和集线器的情况下可以用spanning-tree portfast命令设置快速端口,快速端口不再经历生成树的四个状态,直接进入转发状态,提高接入速度。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 7 页 - - - - - - - - -
