《网络运维管理》/实验17:在园区网中部署防火墙 NO-PAT:一对一的地址转换,只做地址转换,不做端口转换; NAPT:网络地址端口转换 Easy IP:自动根据WAN(广域网)接口的公网IP地址实现与私网PP地址之间的映射 Smart NAT:含N个IP,其中一个P被指定为预留地址,另外N-1个地址构成地址池 ( section1),进行NAT地址转换时, Smart nat会优先使用 section进行 NAT NO-PAT方式的转 换。当 sectionl中的IP全被占用后, Smart nat用预留地址进行NAPT方式转换 三元组NAT:是一种转换时同时转换地址和端口,实现多个私网地址共用一个或多个公网地 址的地址转换方式 ②目的NAT 目的NAT是指对报文中的目的地址和端口进行转换。通过目的NAT技术将公网IP地址转换 成私网IP地址,使公网用户可以利用私网地址访问内部 Server. 根据转换后的目的地址是否固定,目的NAT分为静态目的NAT和动态目的NAT 静态目的NAT是一种转换报文目的P地址的方式,且转换前后的地址存在一种固定的映射关 系。动态目的NAT是一种动态转换报文目的P地址的方式,转换前后的地址不存在一种固定的映 射关系 当公网用户访问内部 Server时,防火墙的处理过程如下: 当公网用户访问内网 Server的报文到达防火墙时,防火墙将报文的目的P地址由公网地址转 换为私网地址 当回程报文返回至防火墙时,防火墙再将报文的源地址由私网地址转换为公网地址。 ③双向NAT 双向NAT在转换过程中同时转换报文的源信息和目的信息。双向NAT是源NAT和目的NAT 的组合,针对同一条数据流,在其经过防火墙时同时转换报文的源地址和目的地址 (3)路由模式 当接口工作在路由模式时,防火墙在不同网段之间转发IP数据流时不执行任何NAT操作,除 非有基于策略的NAT规则存在;当IP数据流经过防火墙时,IP数据包包头中的IP地址和端口号 保持不变 (4)混合模式 混合模式即在网络接入中同时用到了路由和网桥模式 3、入侵防御 入侵防御是一种安全机制,通过收集和分析网络行为、安全日志、审计数据等信息,检查网 络或系统中是否存在违反安全策略的行为和被攻击的迹象(包括缓冲区溢出攻击、木马、蠕虫等), 并通过一定的响应方式,实时地中止入侵行为,保护企业信息系统和网络架构免受侵害 (1)单包攻击 扫描类攻击:包括地址扫描和端口扫描 ①地址扫描 攻击者运用ICMP报文(如Ping和 Tracert命令)探测目标地址,或者使用 TCP/UDP报文对 定地址发起连接(如 TCP ping),通过判断是否有应答报文,以确定哪些目标系统确实存活着并 且连接在目标网络上。 ②端口扫描 攻击者通过对端口进行扫描探测网络结构,探寻被攻击对象目前开放的端口,以确定攻击方 式。在端口扫描攻击中,攻击者通常使用 Port scan类的攻击软件,发起一系列TCP/UDP连接, 根据应答报文判断主机是否使用这些端口提供服务。 畸形报文类攻击:包含有P欺骗、IP分片报文、 Teardrop、 Smurf、 Ping of Death、 Fraggle、《网络运维管理》/实验 17：在园区网中部署防火墙 2 NO-PAT：一对一的地址转换，只做地址转换，不做端口转换； NAPT：网络地址端口转换； Easy IP：自动根据 WAN（广域网）接口的公网 IP 地址实现与私网 IP 地址之间的映射； Smart NAT：含 N 个 IP，其中一个 IP 被指定为预留地址，另外 N-1 个地址构成地址池 1 （section1），进行 NAT 地址转换时，Smart NAT 会优先使用 section1 进行 NAT No-PAT 方式的转 换。当 section1 中的 IP 全被占用后，Smart NAT 用预留地址进行 NAPT 方式转换。 三元组 NAT：是一种转换时同时转换地址和端口，实现多个私网地址共用一个或多个公网地 址的地址转换方式。 ②目的 NAT 目的 NAT 是指对报文中的目的地址和端口进行转换。通过目的 NAT 技术将公网 IP 地址转换 成私网 IP 地址，使公网用户可以利用私网地址访问内部 Server。 根据转换后的目的地址是否固定，目的 NAT 分为静态目的 NAT 和动态目的 NAT。 静态目的 NAT 是一种转换报文目的 IP 地址的方式，且转换前后的地址存在一种固定的映射关 系。动态目的 NAT 是一种动态转换报文目的 IP 地址的方式，转换前后的地址不存在一种固定的映 射关系。 当公网用户访问内部 Server 时，防火墙的处理过程如下： 当公网用户访问内网 Server 的报文到达防火墙时，防火墙将报文的目的 IP 地址由公网地址转 换为私网地址； 当回程报文返回至防火墙时，防火墙再将报文的源地址由私网地址转换为公网地址。 ③双向 NAT 双向 NAT 在转换过程中同时转换报文的源信息和目的信息。双向 NAT 是源 NAT 和目的 NAT 的组合，针对同一条数据流，在其经过防火墙时同时转换报文的源地址和目的地址。 （3）路由模式 当接口工作在路由模式时，防火墙在不同网段之间转发 IP 数据流时不执行任何 NAT 操作，除 非有基于策略的 NAT 规则存在；当 IP 数据流经过防火墙时，IP 数据包包头中的 IP 地址和端口号 保持不变。 （4）混合模式 混合模式即在网络接入中同时用到了路由和网桥模式。 3、入侵防御 入侵防御是一种安全机制，通过收集和分析网络行为、安全日志、审计数据等信息，检查网 络或系统中是否存在违反安全策略的行为和被攻击的迹象（包括缓冲区溢出攻击、木马、蠕虫等）， 并通过一定的响应方式，实时地中止入侵行为，保护企业信息系统和网络架构免受侵害。 （1）单包攻击 扫描类攻击：包括地址扫描和端口扫描。 ①地址扫描 攻击者运用 ICMP 报文（如 Ping 和 Tracert 命令）探测目标地址，或者使用 TCP/UDP 报文对 一定地址发起连接（如 TCP ping），通过判断是否有应答报文，以确定哪些目标系统确实存活着并 且连接在目标网络上。 ②端口扫描 攻击者通过对端口进行扫描探测网络结构，探寻被攻击对象目前开放的端口，以确定攻击方 式。在端口扫描攻击中，攻击者通常使用 Port Scan 类的攻击软件，发起一系列 TCP/UDP 连接， 根据应答报文判断主机是否使用这些端口提供服务。 畸形报文类攻击：包含有 IP 欺骗、IP 分片报文、Teardrop、Smurf、Ping of Death、Fraggle