第2章

防火墻技術與入侵防御技術任務2.4安全區域間通過NAT訪問編著：

秦燊勞翠金

計算機網絡中的防火墻可以將不安全的網絡與需要保護的網絡隔離開，并根據安全策略控制進出網絡的數據和信息。如果把防火墻看作門衛，入侵檢測或入侵防御系統（IDS或IPS）則可看作監視器，它可以時刻監視網絡中是否有異常流量并及時阻斷，進一步保護網絡的安全。

本章以思科ASAv為例，介紹防火墻的基本操作與應用，以及簡單IDS功能。本章案例拓撲如圖2-0-1所示。圖2-0-1防火墻技術實驗拓撲圖

為了提高企業網絡的安全性，引入了ASAv，并將網絡劃分成受信任的內網區域、對外提供服務的DMZ區域，不受信任的外網區域。其中OA、ERP、財務系統等僅供內部用戶使用的服務器放在受信息的企業內網中，對外提供服務的WEB服務器放在停火區（DMZ區域）中，內網用戶通過PAT動態地址轉換隱藏內部地址、訪問DMZ區域中的服務器和外網的服務器，DMZ區域的服務器通過NAT靜態地址轉換供外網訪問。內網用戶使用外網ISP提供的DNS服務。通過開啟IDS功能監控和阻斷網絡中的異常流量。為實現這些功能，需要對ASAv進行以下基本配置：1.配置接口，ping通ASAv。ping能到達防火墻，但不能穿越防火墻。2.配置圖形界面配置管理ASAv、配置遠程管理接入、配置主機名、域名、密碼。3.配置各設備的路由表。4.配置NAT。（1）使內網用戶能訪問外網的網站；（2）使內網用戶能訪問DMZ區域的網站；（3）使外網用戶能訪問DMZ區域的網站。5.配置ACL和Policy-map。（1）控制內網-的主機只能訪問域名末尾是的網站；（2）禁止內網的所有主機訪問域名末尾是的網站。6.配置ASAv的入侵檢測功能。任務2.4安全區域間通過NAT訪問

NAT是一種網絡地址轉換技術，分為靜態NAT、動態NAT、PAT等。靜態NAT可實現內部地址與外部地址的一對一轉換，可用于服務器對外提供服務，同時對外隱藏內部地址。PAT（PortAddressTranslation）也稱為NAPT（NetworkAddressPortTranslation），可實現內網多臺主機共用一個外部地址訪問其它區域，不同主機的區分通過分配不同的端口號來實現，對其他區域隱藏主機的內部地址，避免來自其它區域的攻擊。下面首先介紹如何在防火墻上配置PAT，實現內網訪問停火區（DMZ）的WEB服務、外網的WEB服務和外網的DNS服務。然后介紹如何配置靜態NAT，實現外網用戶訪問停火區（DMZ）的WEB服務。具體任務如下：1.在DMZ區域的win2003服務器上安裝WEB服務（IIS）。通過配置IIS，創建一個網站，為該網站新建首頁。2.在防火墻上配置PAT，實現內網主機對停火區（DMZ）的WEB服務的訪問，對停火區隱藏主機的內部地址。3.在外網的win2003服務器上安裝DNS服務和WEB服務（IIS）。通過配置DNS服務，實現對域名和的解釋，讓它們都指向外網的WEB服務器。通過配置IIS，創建兩個網站，分別是和，為這兩個網站新建首頁。4.在防火墻上配置PAT，實現內網主機對外網兩個網站和的訪問，訪問時對外隱藏主機的內部地址。5.在防火墻上配置靜態NAT，實現外網對停火區（DMZ）的WEB服務的訪問，訪問的地址是經過NAT轉換后的停火區WEB服務器的外部地址，對外隱藏WEB服務器的內部地址。具體配置如下：一、在停火區（DMZ）架設WEB服務器1.在DMZ區域的win2003服務器上安裝WEB服務（IIS）。配置IIS，先停用默認網站，再創建一個新網站，為該網站新建首頁。2.在服務器的瀏覽器上輸入“/”測試，網站可正常訪問。二、內網通過網絡地址轉換（NAT）實現對DMZ服務器的訪問在防火墻上配置PAT，實現內網主機對停火區（DMZ）的WEB服務的訪問，并隱藏主機的內部地址。1.通過圖形界面為防火墻配置PAT的方法如下：（1）如圖2-4-1所示，在網絡管理員的win7電腦上，登錄進入ASAv的ASDM圖形配置界面，找到Configuation>Firewall>NATRules，點擊“Add”按鈕。在彈出的對話框中，OriginalPacket欄的SourceInterface選擇“Inside”，DestinationInterface選擇“DMZ”，TranslatedPacket欄的SourceNATType選“DynamicPAT(Hide)”，SourceAddress選“DMZ”，點擊“OK”按鈕，點擊“Apply”按鈕。圖2-4-1圖形界面中為防火墻配置PAT2.與圖形界面配置PAT相同功能的命令如下：objectnetworkinside_dmzrange0010objectnetworkinside_1subnetnat(Inside,DMZ)dynamicpat-poolinside_dmz3.內網訪問停火區（DMZ）所需的路由配置（1）內網路由器的路由表中沒有DMZ的網段信息，可通過給內網路由器配置默認路由，下一跳指向防火墻，由防火墻負責進一步的轉發。命令如下：R_Inside(config)#iproute54（2）之前的配置已經使防火墻的路由表認識了內網、外網和停火區（DMZ）的所有網段，防火墻無需再作路由配置。（3）內網電腦的地址到達停火區時，已經被轉換成停火區網段的地址，所以停火區路由器的路由表無需認識內網地址，也無需再作路由配置。4.在內網電腦的瀏覽器中，輸入進行測試，結果是內網可以訪問DMZ區域的網站。三、在外網的win2003服務器上安裝DNS服務和WEB服務（IIS）。通過配置DNS服務，實現對域名和的解釋，讓它們都指向外網的WEB服務器。通過配置IIS，創建兩個網站，分別是和，為這兩個網站新建首頁。在服務器自身的瀏覽器中，輸入進行測試，結果是可以訪問網站。輸入進行測試，結果是可以訪問網站。四、在防火墻上配置PAT，實現內網主機對外網兩個網站和的訪問，訪問時對外隱藏主機的內部地址。方法可參看圖2-4-1所示用PAT實現的對DMZ服務器的訪問。同樣也可以通過命令實現，具體命令如下：objectnetworkinside_dmzrange0010objectnetworkinside_2subnetnat(Inside,Outside)dynamicinterface因為沿途設備的路由表已經具備所需路由條目，所以在內網電腦的瀏覽器中，輸入進行測試，結果是內網可以訪問外網的網站。在內網電腦的瀏覽器中，輸入進行測試，結果是內網可以訪問外網的網站。五、在防火墻上配置靜態NAT，實現外網對停火區（DMZ）的WEB服務的訪問，訪問時訪問的是停火區（DMZ）的WEB服務器經過NAT轉換后的外部地址，而隱藏了WEB服務器的內部地址。1.通過圖形界面為防火墻配置靜態NAT的方法，請讀者參考前例實現。2.通過命令配置的方法，可在ASAv防火墻上，輸入以下命令實現：objectnetworkDMZ_Serverhostnat(DMZ,Outside)static3.通過在ASAv防火墻上配置ACL，允許外網訪問停火區的WEB服務，命令如下：access-listOutside_DMZextendedpermittcpanyobjectDMZ_Servereqwwwaccess-groupOutside_DMZininterfaceOutside4.沿途設備所需的路由配置，思路如下：（1）停火區（DMZ）路由器的路由表中沒有外網的網段信息，可通過給停火區（DMZ）路由器配置默認路由，下一跳指向防火墻，由防火墻負責進一步的轉發。命令如下：R_DMZ(config)#iproute54