2024年4月25日发(作者:)
进入正题,今天说说硬件防火墙的端口映射配置,以及端口映射的应用。所谓端口映射,就
是把“某个IP地址的某个端口(也叫套接字)映射到另一个IP地址的某个端口”,其实和
NAT一样,本来都是路由器的专利。但出于加强安全性的考虑,一般现在在内网出口布置的
都是硬件防火墙,路由器的大部分功能也能实现。当然了,现在的新趋势是IPS。。。
时下IPv4地址短缺,一个单位有一两个固定IP就算不错了,要实现内部网多台主
机上公网,不用说需要作NAT,把内部私有IP转换成公网IP就搞定了。但如果需要对外发
布一个以上的网站或其他服务,或是没有VPN但需要作多台主机(服务器)远程控制,一两
个IP怎么说也是不够的,这种时候就需要用到端口映射了(莫急,这就开始说了)。
一般来讲,防火墙的默认包过滤规则是禁止,如果不做端口映射,外网地址的所有端口都
是关闭(隐藏,检测不到)的,不允许从外网主动发起的任何连接(这就是在内网使用某些
P2P软件显示“您的外网端口无法被连接”之类信息的原因)。下面结合实际讲讲配置。俺
公司两台防火墙,一台天融信一台联想网御,联想网御作外网应用。比如,现有如下需求:
外网IP地址123.123.123.123,需要将内部网192.168.1.10和192.168.1.11两台服务器
上的HTTP服务对外发布。
外网地址只有1个,外网地址的80端口也只有1个,既然要发布两个HTTP,也就不必(也
没办法)拘泥于80端口。我们可以随便选择外网的端口号,比如,指定外网地址
123.123.123.123的8080端口映射至内网192.168.1.10的80端口,指定外网地址
123.123.123.123的8081端口映射至内网192.168.1.11的80端口。这里,如果没有特殊
要求,外网端口的选择是任意的,外网用户只要在IE的地址栏输入“123.123.123.123:端
口号”就可以访问相应服务。当然,也可以指定外网地址123.123.123.123的80端口映射
至内网192.168.1.10的80端口,这样用浏览器访问时就不用加端口号。
添加端口映射配置的步骤,各品牌的防火墙不太一样,但大同小异。
比如,天融信没有专门的端口映射配置,直接在NAT中配置即可。进入防火墙引擎-地址
转换-添加配置,源area选择接外网的以太网口,源地址选any(有特殊需要的可以做源
地址限制),源端口为空即可(即允许源端口为任何端口);目的area为空(空即任意),
目的地址选择外网地址123.123.123.123(需预先定义),服务选择TCP8081(或TCP8082,
服务也需要预先定义),下面目的地址转换为192.168.1.10(192.168.1.11),目的端口转换
为80(HTTP),启用规则即可。
网御直接有专门的端口映射配置,比较好理解,添加规则,选择源地址(any,或自定),
对外服务(8080或8081),源地址不转换,公开地址选外网地址(123.123.123.123),内
部地址选择内网服务器地址(192.168.1.10或192.168.1.11),内部服务选80,启用规则
即可。
至此,我们实现了两条端口映射规则:123.123.123.123:8080--192.168.1.10:80和
123.123.123.123:8081--192.168.1.11:80。
同理,我们如果想让p2p软件在内网能正常工作的话,即让外网用户能连接p2p软件的监
听端口,也需要作端口映射。比如,如果内网192.168.1.13运行Bitcomet监听22345端口,
显示黄灯阻塞,我们作一条端口映射规则123.123.123.123:22345--192.168.1.13:22345,
就可以变绿灯了,电驴也是一样。
下面谈谈端口映射配合远程桌面的应用。以前公司没有VPN,为了能在家远程办公通过远
程桌面访问我的机器192.168.1.15,于是通过端口映射作
123.123.123.123:3389--192.168.1.15:3389来实现,这样在家里运行Windows自带的远程
桌面(其实远程控制软件很多,但为了能在紧急情况时随便找一台能上网的机器就能用,所
以还是选用系统自带的),输入地址123.123.123.123就可以远程登陆到我公司内网的机器。
但3389端口只有一个,这样就只能我自己用。后来发现,在远程桌面中输入IP地址加端口
号也可以。这样就好办了,作123.123.123.123:9991--192.168.1.15,然后在家运行远程
桌面,输入123.123.123.123:9991,就可以登陆我的机器;再作
123.123.123.123:9992--192.168.1.16等等,就可以实现多人通过一个公网IP远程桌面访
问自己的机器,没有VPN远程办公也很方便。但要注意这样有一定的危险性,因为家里一般
用ADSL,IP地址不是固定的,所以作规则时源地址一般支能选any,即允许任何人连接9991
端口,不过问题一般不大。
综上,端口映射可以将内网的任何服务发布到外网地址的任何端口,非常方便,灵活运用
的话对网管工作很有帮助。但切记,这种方法有一定的安全隐患,需慎用,最好在地址、端
口、连接数、带宽等各方面做好限制,以将危险减至最低。累死我了,下班了,回家吃饭。。。
网关、网桥、网闸、路由器、交换机等
2008-02-29 07:41
网关:打个比方,网关就象两个房间当中的那扇门,两个房间之间要走动就必须
要通过这扇门才行,所以说网关起的作用就是让两个不在同一网段之内的机子能
够互访~网关就是用于不同子网之间的,使不同子网之间能相互通信!
网桥:网桥工作在数据链路层,将两个局域网(LAN)连起来,根据MAC地址(物
理地址)来转发帧,可以看作一个“低层的路由器”(路由器工作在网络层,根
据网络地址如IP地址进行转发)。它可以有效地联接两个LAN,使本地通信限
制在本网段内,并转发相应的信号至另一网段,网桥通常用于联接数量不多的、
同一类型的网段。
网闸:网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统
的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通
信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信
息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两
个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连
接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。安全隔离与
信息交换系统,即网闸,是新一代高安全度的企业级信息安全防护设备,它依托
安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的
抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。第一代网闸的技
术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完
成数据交换的,实现了在空气缝隙隔离(Air Gap)情况下的数据交换,安全原理是
通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全
的效果。第二代网闸正是在吸取了第一代网闸优点的基础上,创造性地利用全新
理念的专用交换通道PET(Private Exchange Tunnel)技术,在不降低安全性的前
提下能够完成内外网之间高速的数据交换,有效地克服了第一代网闸的弊端,第
二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名
机制来实现的,虽然仍是通过应用层数据提取与安全审查达到杜绝基于协议层的
攻击和增强应用层安全效果的,但却提供了比第一代网闸更多的网络应用支持,
并且由于其采用的是专用高速硬件通信卡,使得处理能力大大提高,达到第一代
网闸的几十倍之多,而私有通信协议和加密签名机制保证了内外处理单元之间数
据交换的机密性、完整性和可信性,从而在保证安全性的同时,提供更好的处理
性能,能够适应复杂网络对隔离应用的需求。
网闸(SGAP)与传统防火墙的技术特点对比如下表所示:
对比项目 传统防火墙 网闸( SGAP )
采用包过滤、代理服务在 GAP技术的基础上,综合了访问控
安全机制 等安全机制,安全功能制、 内容过滤、病毒查杀等技术,具
相对单一 有全面的安全防护功能。
防火墙硬件设计可能存
硬件设计采用基于 GAP技术的体系结
硬件设计 在安全漏洞,遭受攻击
构,运行稳定,不会因网络攻击而瘫痪。
后导致网络瘫痪。
采用 专用安全操作系统 作为软件支
防火墙操作系统可能存
操作系统设计 撑系统,实行强制访问控制,从根本上
在安全漏洞。
杜绝可被黑客利用的安全漏洞。
缺乏对未知网络协议漏采用专用映射协议代替原网络协议实
网络协议处理 洞造成的安全问题的有现 SGAP 系统内部的纯数据传输,消除
效解决办法。 了一般网络协议可被利用的安全漏洞。
被攻破的防火墙只是个
即使系统的外网处理单元瘫痪,网络攻
遭攻击后果 简单的路由器,将危及
击也无法触及内网处理单元。
内网安全
可管理性 管理配置有一定复杂性 管理配置简易
与其它安全设备可结合防火墙、 IDS 、 VPN 等安全设
缺乏
联动性 备运行,形成综合网络安全防护平台。
交换机:交换机(Switch)也叫交换式集线器,是一种工作在OSI第二层(数据链
路层,参见“广域网”定义)上的、基于MAC (网卡的介质访问控制地址)识别、
能完成封装转发数据包功能的网络设备。它通过对信息进行重新生成,并经过内
部处理后转发至指定端口,具备自动寻址能力和交换作用。交换机不懂得IP地
址,但它可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的
始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的
地址。交换机上的所有端口均有独享的信道带宽,以保证每个端口上数据的快速
有效传输。由于交换机根据所传递信息包的目的地址,将每一信息包独立地从源
端口送至目的端口,而不会向所有端口发送,避免了和其它端口发生冲突,因此,
交换机可以同时互不影响的传送这些信息包,并防止传输冲突,提高了网络的实
际吞吐量。
路由器:路由器是一种连接多个网络或网段的网络设备,它能将不同网络或网段
之间的数据信息进行“翻译”,以使它们能够相互“读”懂对方的数据,从而构
成一个更大的网络。详细请看参考资料网站
猫:我们常将Modem称为“猫”,但依据工作的原理和作用,Modem的全名为“调
制解调器”。对于我们而言,Modem在我们通过电话线拨号上网的过程中是连接
计算机和普通电话线的不可缺少的设备;但是计算机处理的数据信息是二进制的
数字信号,而电话线上传输的却是载波形式的模拟信号;Modem就要负责这两种
信号的转换——调制,将数字信号转换为模拟信号;解调,将模拟信号转换为数
字信号。调制与解调,所以叫调制解调器
防火墙:防火墙是位于网关服务器上的一组相关程序,它们保护私人网络的资源
不被用户或其它网络访问。(这个词也指程序使用的安全策略)。拥有内部互联
网的企业安装了防火墙就可以在允许其员工访问广域网的时阻止外部用户访问
公司的私密数据,还可以控制它自己的用户能对什么样的外部数据进行访问。
服务器:服务器是计算机的一种,它是网络上一种为客户端计算机提供各种服务
的高性能的计算机,它在网络操作系统的控制下,将与其相连的硬盘、磁带、打
印机、Modem及昂贵的专用通讯设备提供给网络上的客户站点共享,也能为网络
用户提供集中计算、信息发表及数据管理等服务。
安全篇---交换机设置方法介绍
①L2-L4 层过滤
现在的新型交换机大都可以通过建立规则的方式来实现各种过滤需求。规则
设置有两种模式,一种是MAC模式,可根据用户需要依据源MAC或目的MAC有效
实现数据的隔离,另一种是IP模式,可以通过源IP、目的IP、协议、源应用端
口及目的应用端口过滤数据封包;建立好的规则必须附加到相应的接收或传送端
口上,则当交换机此端口接收或转发数据时,根据过滤规则来过滤封包,决定是
转发还是丢弃。另外,交换机通过硬件“逻辑与非门”对过滤规则进行逻辑运算,
实现过滤规则确定,完全不影响数据转发速率。
②802.1X 基于端口的访问控制
为了阻止非法用户对局域网的接入,保障网络的安全性,基于端口的访问控
制协议802.1X无论在有线LAN或WLAN中都得到了广泛应用。例如华硕最新的
GigaX2024/2048等新一代交换机产品不仅仅支持802.1X 的Local、RADIUS 验
证方式,而且支持802.1X 的Dynamic VLAN 的接入,即在VLAN和802.1X 的基
础上,持有某用户账号的用户无论在网络内的何处接入,都会超越原有802.1Q
下基于端口VLAN 的限制,始终接入与此账号指定的VLAN组内,这一功能不仅
为网络内的移动用户对资源的应用提供了灵活便利,同时又保障了网络资源应用
的安全性;另外, GigaX2024/2048 交换机还支持802.1X的Guest VLAN功能,
即在802.1X的应用中,如果端口指定了Guest VLAN项,此端口下的接入用户如
果认证失败或根本无用户账号的话,会成为Guest VLAN 组的成员,可以享用此
组内的相应网络资源,这一种功能同样可为网络应用的某一些群体开放最低限度
的资源,并为整个网络提供了一个最外围的接入安全。
③流量控制(traffic control)
交换机的流量控制可以预防因为广播数据包、组播数据包及因目的地址错误
的单播数据包数据流量过大造成交换机带宽的异常负荷,并可提高系统的整体效
能,保持网络安全稳定的运行。
④SNMP v3 及SSH
安全网管SNMP v3 提出全新的体系结构,将各版本的SNMP 标准集中到一起,
进而加强网管安全性。SNMP v3 建议的安全模型是基于用户的安全模型,即
对网管消息进行加密和认证是基于用户进行的,具体地说就是用什么协
议和密钥进行加密和认证均由用户名称(userNmae)权威引擎标识符(EngineID)
来决定(推荐加密协议CBCDES,认证协议HMAC-MD5-96 和HMAC-SHA-96),通
过认证、加密和时限提供数据完整性、数据源认证、数据保密和消息时限服务,
从而有效防止非授权用户对管理信息的修改、伪装和窃听。
至于通过Telnet 的远程网络管理,由于Telnet 服务有一个致命的弱点
——它以明文的方式传输用户名及口令,所以,很容易被别有用心的人窃取口令,
受到攻击,但采用SSH进行通讯时,用户名及口令均进行了加密,有效防止了对
口令的窃听,便于网管人员进行远程的安全网络管理。
⑤Syslog和Watchdog
交换机的Syslog 日志功能可以将系统错误、系统配置、状态变化、状态定
期报告、系统退出等用户设定的期望信息传送给日志服务器,网管人员依据这些
信息掌握设备的运行状况,及早发现问题,及时进行配置设定和排障,保障网络
安全稳定地运行。
Watchdog 通过设定一个计时器,如果设定的时间间隔内计时器没有重启,
则生成一个内在CPU重启指令,使设备重新启动,这一功能可使交换机在紧急故
障或意外情况下时可智能自动重启,保障网络的运行。
⑥双映像文件
一些最新的交换机, 像A S U SGigaX2024/2048还具备双映像文件。这一
功能保护设备在异常情况下(固件升级失败等)仍然可正常启动运行。文件系统
分majoy和 mirror两部分进行保存,如果一个文件系统损害或中断,另外一个
文件系统会将其重写,如果两个文件系统都损害,则设备会清除两个文件系统并
重写为出厂时默认设置,确保系统安全启动运行。
面我来为大家介绍一下,交换机的配置方法,新手看仔细,老手过:
首先,我们在配置交换机时应该注意到的是在交换机中设置的IP地址,网关,域名等信息
是为用于管理交换机而设置,把这些的配置都配置成功后,就可以为以后的工作途中省了不
少事。
3350配置dhcp,网络上多有讨论,但大都存在错漏,按照网上介绍的配置一句“IP
HELPER-ADDRESS DHCP服务器地址”后,工程当中发现客户机不能从DHCP服务器获取IP地
址。
我最近也刚好配置了3350,作为DHCP服务器中继代理,刚开始也曾困惑很久,后来在
网上查找资料及在论坛上寻求众人帮助,终于在工程当中测试通过,为了避免大家在工程当
中遇到此类情况左调右调,特将配置过程写出来,给大家作为参考。
网络环境:一台3550EMI交换机,划分三个vlan,vlan2 为服务器所在网络,命名为
server,IP地址段为192.168.2.0,子网掩码:255.255.255.0,网关:192.168.2.1,域服务器为windows
2000 advance server。
同时兼作DHCP服务器,DNS服务器,IP地址为192.168.2.10,vlan3为客户机1所在网络,
IP地址段为192.168.3.0,子网掩码:255.255.255.0,网关:192.168.3.1命名为work01, vlan4 为客
户机2所在网络,命名为work02,IP地址段为192.168.4.0,子网掩码:255.255.255.0,网
关:192.168.4.1.
上回跟大家介绍了如何正确连接交换机,今天用一些配置片段给大家介绍一下端口的配
置。鉴于网上大多数配置事例都是show-run出来的结果。不利于新手对命令配置过程的了
解,所以笔者将配置片段和注意的地方都注明了一下,希望能帮助新手尽快了解如何正确配
置交换机。
在IOS输入命令时只要缩写的程度不会引起混淆,使用配置命令的时候都可以使用缩写
的形式。比如:Switch>enable,在用户模式下以en开头的命令就只有enable,所以可以缩
写成Switch>en。也可以用TAB键把命令自动补全,如Switch>en,按键盘TAB后自动补全为
Switch>enable。
配置交换机的端口工作模式一般可以分为三种:Access,Multi,Trunk。trunk模式的端
口用于交换机与交换机,交换机与路由器,大多用于级联网络设备所以也叫干道模式。Access
多用于接入层也叫接入模式。暂时我们先介绍Trunk模式和Access模式,Multi模式等以后
我们介绍VLAN设置的时候再一并介绍。
interface range可以对一组端口进行统一配置,如果已知端口是直接与PC机连接不会接
路由交换机和集线器的情况下可以用spanning-tree portfast 命令设置快速端口,快速端口不
再经历生成树的四个状态,直接进入转发状态,提高接入速度。
发布评论