《網(wǎng)絡(luò)管理與維護(hù)技術(shù)》課件04第4章-防火墻配置

【本章要點(diǎn)】接口的安全級別、接口間互訪規(guī)則動(dòng)、靜態(tài)NAT與PATNAT與DNS記錄重寫應(yīng)用層協(xié)議檢測ICMP檢測與控制TCP報(bào)文規(guī)范化、攔截、連接數(shù)限制預(yù)防IP欺騙第4章防火墻配置4.1基本概念與命令4.2應(yīng)用舉例4.3抵御網(wǎng)絡(luò)攻擊4.4綜合舉例之一──WWW服務(wù)器虛擬鏡像與url重定向4.5綜合舉例之二──網(wǎng)間“短接”技術(shù)方案設(shè)計(jì)第4章防火墻配置防火墻的主要功能是控制（允許或拒絕）網(wǎng)絡(luò)間的流量，以保護(hù)敏感資源，使其免遭攻擊或窺探。用于連接不同的網(wǎng)絡(luò)。主要體現(xiàn)在兩個(gè)方面：控制內(nèi)部用戶主動(dòng)發(fā)起的向外連接，為網(wǎng)管提供靈活性；允許外部用戶主動(dòng)取用對外發(fā)布的資源，為外網(wǎng)提供服務(wù)等。目前的防火墻產(chǎn)品一般都提供多個(gè)物理接口。一般用一個(gè)接口連接內(nèi)部網(wǎng)絡(luò)、一個(gè)接口連接外部網(wǎng)絡(luò)，一個(gè)或多個(gè)接口用于連接運(yùn)行對外服務(wù)的服務(wù)器，這些服務(wù)器所在的區(qū)域一般稱為DMZ。4.1.1接口的安全等級4.1.2核心安全策略4.1.3NAT4.1.4ACL與網(wǎng)絡(luò)訪問控制4.1.5靜態(tài)路由、路由表4.1.6應(yīng)用層協(xié)議檢測

4.1基本概念與命令4.1.1接口的安全等級

圖4-1接口的安全等級interfaceGigabitEthernet0/0speed1000duplexfullnameifoutside

security-level0interfaceGigabitEthernet0/1nameifinsidesecurity-level100interfaceGigabitEthernet0/2nameifdmzsecurity-level504.1.2核心安全策略在默認(rèn)情況下，防火墻的核心安全策略：允許高安全級別主機(jī)主動(dòng)發(fā)起與低安全等級主機(jī)的連接，并放行返回報(bào)文；不允許低安全等級主機(jī)主動(dòng)發(fā)送連接請求給高安全級別的主機(jī)。圖4-2核心安全策略通常，防火墻都運(yùn)行NAT。主要原因是：公網(wǎng)地址不敷使用；隱藏內(nèi)部IP地址，增加安全性；允許外網(wǎng)主機(jī)訪問DMZ。4.1.3NAT圖4-3多口NAT1．動(dòng)態(tài)NAT和PATFW(config)#nat(inside)1FW(config)#global(outside)10-0FW(config)#global(dmz)102．靜態(tài)NAT為使外部用戶可訪問DMZ中的服務(wù)器，除適當(dāng)應(yīng)用ACL外，還需將服務(wù)器的IP地址映射（靜態(tài)轉(zhuǎn)換）為公網(wǎng)地址。FW(config)#static(dmz,outside)netmask

553．靜態(tài)PAT完成:8080到:80的靜態(tài)映射：FW(config)#static(dmz,outside)tcp:80:8080netmask55訪問控制表通常用于處理默認(rèn)安全的例外情況。在圖4-4中，訪問控制表允許了外網(wǎng)對DMZ中特定的WWW服務(wù)的訪問；拒絕了內(nèi)網(wǎng)主機(jī)對外網(wǎng)特定WWW服務(wù)的訪問。

4.1.4ACL與網(wǎng)絡(luò)訪問控制圖4-4ACL與網(wǎng)絡(luò)訪問控制FW(config)#access-listoutsideextendedpermittcpanyhosteqwww

FW(config)#access-listinsideextendeddenytcphosteqwwwFW(config)#access-listinsideextendedpermitipanyanyFW(config)#access-groupoutsideininterfaceoutsideFW(config)#access-groupinsideininterfaceinside使用擴(kuò)展ACL時(shí)，對TCP、UDP協(xié)議，可以使用下列操作符指定端口號：lt──小于，gt──大于，eq──等于，neq──不等于，range──指定一個(gè)數(shù)值區(qū)間，如“range100200”。低版本的防火墻，只允許在接口的in方向上應(yīng)用ACL，高版本的防火墻則無此限制。4.1.4ACL與網(wǎng)絡(luò)訪問控制4.1.5靜態(tài)路由、路由表1．路由處理過程防火墻可工作在路由（Routed）或透明（Transparent）模式下。工程中，一般選擇路由模式。在路由模式下：外部網(wǎng)絡(luò)可將防火墻理解為“routerhop”；在防火墻內(nèi)部，根據(jù)地址轉(zhuǎn)換表（XLATE、靜態(tài)映射)和路由表來路由數(shù)據(jù)包的。路由處理包括兩個(gè)步驟：確定包應(yīng)該送哪個(gè)接口；根據(jù)該接口的路由表（而不是其他接口的路由表）發(fā)送數(shù)據(jù)包。1．路由處理過程圖4-5路由處理過程2．靜態(tài)路由設(shè)置在圖4-6中，假設(shè)防火墻未運(yùn)行動(dòng)態(tài)路由協(xié)議。欲使內(nèi)網(wǎng)與Internet連通，應(yīng)在防火墻上怎樣設(shè)置？圖4-6靜態(tài)路由設(shè)置設(shè)置靜態(tài)路由如下：FW(config)#routeoutside1FW(config)#routeinside1FW(config)#routeinside13．路由表查看一臺(tái)運(yùn)行中的防火墻的路由表。FW#shroute

Codes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGPi-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea*-candidatedefault,U-per-userstaticroute,o-ODRP-periodicdownloadedstaticrouteGatewayoflastresortistonetworkC52isdirectlyconnected,dmzC52isdirectlyconnected,outsideC52isdirectlyconnected,insideS[1/0]via,insideS[1/0]via,insideS*[1/0]via,outside4.1.6應(yīng)用層協(xié)議檢測檢測應(yīng)用層協(xié)議（傳輸層報(bào)文的載荷）的能力是衡量防火墻性能的重要指標(biāo)。防火墻能自動(dòng)允許內(nèi)向的返回報(bào)文，是因?yàn)槠溆涗浟讼嚓P(guān)會(huì)話的狀態(tài)。例如，F(xiàn)TP在標(biāo)準(zhǔn)模式下工作時(shí)，需要使用控制和數(shù)據(jù)2個(gè)通道，其中，控制通道首先開通，之后，通過該通道為數(shù)據(jù)通道協(xié)商、開通一對新的端口。如果不檢測這個(gè)協(xié)商過程，防火墻就無法自動(dòng)為數(shù)據(jù)傳輸開通通道。再如，某些協(xié)議在工作時(shí)，將IP地址封裝在應(yīng)用層協(xié)議中，在接收方，再將這個(gè)地址與IP層的源地址進(jìn)行比較，兩者一致，方允許正常通信。這樣，防火墻在進(jìn)行地址轉(zhuǎn)換時(shí)，不僅應(yīng)轉(zhuǎn)換IP層地址，還需要檢測并轉(zhuǎn)換嵌入高層協(xié)議的地址，以保證兩者匹配。

4.2應(yīng)用舉例4.2.1擴(kuò)展DMZ區(qū)接口數(shù)量4.2.2限制內(nèi)網(wǎng)主機(jī)與外網(wǎng)的并發(fā)連接數(shù)4.2.3NAT前后，源地址不變4.2.4NAT與DNS記錄重寫4.2.5ICMP檢測與控制4.2.1擴(kuò)展DMZ區(qū)接口數(shù)量通常，DMZ中的服務(wù)器需要相互隔離，彼此不進(jìn)行通信。每一DMZ口只連接一臺(tái)服務(wù)器。防火墻提供的物理接口是有限的，當(dāng)接口數(shù)不滿足要求時(shí)，可以加配接口板以增加接口數(shù)量。但這種方法存在兩個(gè)問題：接口板價(jià)格比較高；受設(shè)備擴(kuò)充槽數(shù)的限制，接口板數(shù)量受限。擴(kuò)展DMZ區(qū)接口數(shù)量的更好方案？因防火墻支持VLAN并具備路由功能，故可借助Trunk與第2層交換機(jī)連接，通過VLAN使交換機(jī)端口成為防火墻接口，以實(shí)現(xiàn)端口擴(kuò)充。4.2.1擴(kuò)展DMZ區(qū)接口數(shù)量防火墻配置了8個(gè)接口，其中，內(nèi)、外網(wǎng)各占用1個(gè)，DMZ1～5共占用5個(gè)?？臻e的物理口為GigabitEthernet1/3。要求：通過下連交換機(jī)WS-C2960G-24TC-L增加6個(gè)接口供DMZ6～11使用。圖4-7擴(kuò)展DMZ區(qū)接口將防火墻的GigabitEthernet1/3與交換機(jī)的GigabitEthernet0/1連接，設(shè)置端口為Trunk；為便于管理，將交換機(jī)的GigabitEthernet0/6～11用作DMZ6～11接口。4.2.2限制內(nèi)網(wǎng)主機(jī)與外網(wǎng)的并發(fā)連接數(shù)要求：在每天的8:00～18:00，內(nèi)部子網(wǎng)/24中的每臺(tái)主機(jī)，最多允許有20個(gè)并發(fā)的TCP或UDP連接存在于防火墻中。相關(guān)配置如下：FW(config)#time-rangework-timeFW(config-time-range)#periodicdaily8:00to18:00FW(config)#access-listCONNSextendedpermitip

anytime-rangework-timeFW(config)#class-mapCONNSFW(config-cmap)#matchaccess-listCONNSFW(config)#policy-mapCONNSFW(config-pmap)#classCONNSFW(config-pmap-c)#setconnectionper-client-max20FW(config)#service-policyCONNSinterfaceinside4.2.3NAT前后源地址不變啟用NAT控制后，內(nèi)部主機(jī)的地址必須經(jīng)過NAT，方可與其他接口所連接的網(wǎng)絡(luò)進(jìn)行通信。要求：內(nèi)部子網(wǎng)/24在NAT后，地址與真實(shí)地址相同。解決方法一：“IdentityNAT”：FW(config)#nat(inside)0特點(diǎn)：支持策略NAT。僅允許內(nèi)部主機(jī)主動(dòng)建立連接，如圖4-8所示。圖4-8單向連接4.2.3NAT前后源地址不變解決方法二：“StaticIdentityNAT”：FW(config)#static(inside,outside)netmask特點(diǎn)：可指定目的接口；內(nèi)、外部主機(jī)均可主動(dòng)建立連接，如圖4-9所示。解決方法三：“NATexemption”：FW(config)#access-listexemptpermitipanyFW(config)#nat(inside)0access-listexempt特點(diǎn)：占用的資源較少。內(nèi)、外部主機(jī)均可主動(dòng)建立連接，如圖4-9所示。

圖4-2-3雙向連接4.2.4NAT與DNS記錄重寫啟用防火墻的DNS檢測功能后，怎樣實(shí)現(xiàn)DNS記錄重寫？圖4-10NAT與DNS記錄重寫FW(config)#static(dmz,outside)dns4.2.4NAT與DNS記錄重寫在圖4-10所示場景中，DMZ中服務(wù)器的真實(shí)地址（）已映射為外部地址（）。DNS服務(wù)器位于外網(wǎng)，其中包含可將解析為外部地址的A記錄。外網(wǎng)用戶可通過域名或外部地址正常訪問WWW服務(wù)器。內(nèi)部用戶可通過真實(shí)地址（）訪問WWW服務(wù)器，但是，如果內(nèi)部用戶需要通過域名訪問WWW服務(wù)器，則需要將域名解析為真實(shí)地址。4.2.5ICMP檢測與控制1．ICMP檢測默認(rèn)情況下，防火墻未啟用ICMP報(bào)文檢測。當(dāng)內(nèi)網(wǎng)主機(jī)主動(dòng)向外網(wǎng)發(fā)送ICMP報(bào)文后，防火墻不會(huì)自動(dòng)允許其回應(yīng)報(bào)文通過。啟用ICMP檢測：FW(config-pmap-c)#inspecticmp2．ICMP控制ICMP是一把雙刃劍。一方面，網(wǎng)管人員藉此測試路由、連通性等，另一方面，不懷好意者也可藉此窺探網(wǎng)絡(luò)結(jié)構(gòu)。對以防火墻為源或目的的ICMP報(bào)文，可以用ACL或ICMP命令加以控制（兩者同時(shí)存在時(shí)，ACL優(yōu)先）；對穿越防火墻的ICMP報(bào)文，則只能用ACL控制。4.3抵御網(wǎng)絡(luò)攻擊防火墻提供TCP報(bào)文規(guī)范化、并發(fā)連接數(shù)限制等功能，以抵御網(wǎng)絡(luò)攻擊。

4.3.1TCP報(bào)文規(guī)范化4.3.2連接數(shù)限制及其定時(shí)器設(shè)置4.3.3預(yù)防IP欺騙4.3.4阻止特定的連接4.3.1TCP報(bào)文規(guī)范化啟用該功能后，防火墻可辨認(rèn)不規(guī)范的TCP報(bào)文，并根據(jù)用戶設(shè)置進(jìn)行相應(yīng)處理──放行（allow）、丟棄（drop）、改寫報(bào)文中的不規(guī)范比特后放行（clear）。配置方法如下：FW(config)#accesslisttcpnormextendedpermitipanyFW(config)#class-maptcp_norm_classFW(config-cmap)#matchaccess-listtcpnormFW(config)#tcp-mapsyr_tcpFW(config-cmap)#policy-mapsyrFW(config-pmap)#classtcp_norm_classFW(config-pmap-c)#setconnectionadvanced-optionssyr_tcpFW(config-pmap-c)#service-policysyrinterfaceintside4.3.2連接數(shù)限制及其定時(shí)器設(shè)置1．TCP攔截DoS攻擊過程如下：惡意主機(jī)偽造源IP地址發(fā)送TCP連接請求給服務(wù)器，服務(wù)器向這個(gè)偽造的地址發(fā)送確認(rèn)報(bào)文，之后，等待對這個(gè)報(bào)文的確認(rèn)。這個(gè)徒勞地等待確認(rèn)信息的連接即所謂的初始或半開連接。將大量的惡意請求發(fā)往服務(wù)器，會(huì)使服務(wù)器端口緩沖區(qū)溢出，從而不再響應(yīng)任何TCP連接請求──拒絕服務(wù)。怎樣抵御DoS攻擊？利用防火墻限制半開連接數(shù)。其工作機(jī)制是，當(dāng)半開連接數(shù)到達(dá)所設(shè)定的閾值后，防火墻開始接管連接過程，代替服務(wù)器向客戶發(fā)送確認(rèn)報(bào)文，并等待來自客戶響應(yīng)，在收到來自客戶的合法響應(yīng)后，防火墻方將連接權(quán)授予客戶。怎樣抵御基于猜測連接序號的攻擊？可啟用防火墻的TCP連接序號隨機(jī)化功能。4.3.2連接數(shù)限制及其定時(shí)器設(shè)置2．配置舉例FW(config)#class-mapCONNSFW(config-cmap)#matchanyFW(config-cmap)#policy-mapCONNSFW(config-pmap)#classCONNSFW(config-pmap-c)#setconnectionconn-max1000

embryonic-conn-max2000FW(config-pmap-c)#setconnectiontimeouttcp3:0:0embryonic0:40:0half-closed0:20:0FW(config-pmap-c)#service-policyCONNSinterfaceoutside

4.3.3預(yù)防IP欺騙在接口上啟用單播RPF（ReversePathForwarding），可過濾源地址不在接口路由表中的IP包。例如，接口DMZ只有指向/24的路由，則啟用單播RPF后，該接口將拒絕所有源地址不屬于子網(wǎng)/24（如）的IP包進(jìn)入。例如，欲在inside接口上啟用單播RPF，可鍵入下列命令：FW(config)#ipverifyreverse-pathinterfaceinside

4.3.4阻止特定的連接可以通過shun命令阻止特定的連接（這些連接可能正被用于網(wǎng)絡(luò)攻擊），命令格式如下：shunsrc_ip[dst_ipsrc_portdest_port[protocol]][vlanvlan_id]僅指定源IP地址時(shí)，所有新建連接將被拒絕，但已存在的連接不影響。欲阻止已存在的連接，需指定全部參數(shù)。4.4綜合舉例之一──WWW服務(wù)器虛擬鏡像與url重定向4.4.1網(wǎng)絡(luò)環(huán)境及具體需求4.4.2實(shí)現(xiàn)方法1．防火墻設(shè)置2．路由器配置3．重定向邏輯4.4.3測試結(jié)果、結(jié)論與創(chuàng)新點(diǎn)為解決網(wǎng)間通信不暢，開通多條外連信道，對外WWW服務(wù)器被映射為多個(gè)外部IP地址并對應(yīng)多個(gè)域名，以提高與外網(wǎng)客戶間的通信速度。但是，用戶訪問WWW服務(wù)器時(shí)，其使用的域名或IP地址不具備可控性。怎樣使WWW服務(wù)器能夠根據(jù)客戶IP地址，智能地將其重定向至適合其訪問的域名或IP地址？本節(jié)將以雙出口環(huán)境為例給出其實(shí)現(xiàn)方法。4.4.1網(wǎng)絡(luò)環(huán)境及具體需求圖4-11網(wǎng)絡(luò)環(huán)境及轉(zhuǎn)換過程在WWW服務(wù)器上運(yùn)行的各網(wǎng)站，其主目錄均啟用“默認(rèn)內(nèi)容文檔”，在該文檔中加入基于客戶IP地址的url重定向邏輯，以將用戶引導(dǎo)至合適的域名（IP地址）。4.4.2實(shí)現(xiàn)方法1．防火墻設(shè)置在防火墻上進(jìn)行“StaticIdentityNAT”圖4-12網(wǎng)絡(luò)環(huán)境及轉(zhuǎn)換過程2．路由器配置為實(shí)現(xiàn)虛擬鏡像，配置“地址：端口←→地址：端口”形式的靜態(tài)映射；配置策略路由；在內(nèi)口上啟用策略路由。順便指出，當(dāng)WWW服務(wù)器主動(dòng)訪問外網(wǎng)資源時(shí)，其源地址轉(zhuǎn)換過程與內(nèi)網(wǎng)絡(luò)一般主機(jī)類似，此時(shí)，其對外呈現(xiàn)的地址可不同于為外網(wǎng)提供WWW服務(wù)時(shí)的地址，可在某種程度上增強(qiáng)安全性。

route-mapsaddrpermit10matchipaddresssyrsetipnext-hopISP1接口地址route-mapsaddrpermit20matchipaddresssyr_jyandDNSsetipnext-hopISP2接口地址ipaccess-listextendedsyrpermitiphost0anyipaccess-listextendedsyr_jyandDNSpermitiphostanypermitiphost9anyipnatinsidesourcestatictcp0800080extendableipnatinsidesourcestatictcp980980extendableippolicyroute-mapsaddr3．重定向邏輯

假定原網(wǎng)站的“默認(rèn)內(nèi)容文檔”依次為A1.B1、A2.B2，刪除這些設(shè)置，指定“默認(rèn)內(nèi)容文檔”為A3.B3，在A3.B3中加入如圖4-13所示的重定向邏輯。圖4-13重定向邏輯4.4.3測試結(jié)果、結(jié)論與創(chuàng)新點(diǎn)上述設(shè)置方案具體應(yīng)用于某校園網(wǎng)，ISP1為中國聯(lián)通，ISP2為CERNET。測試結(jié)果：公網(wǎng)用戶用或訪問WWW服務(wù)時(shí)，網(wǎng)站自動(dòng)重定向至；CERNET用戶用或訪問WWW服務(wù)時(shí)，網(wǎng)站自動(dòng)重定向至。結(jié)論：采用本方案，在不購置新設(shè)備（如負(fù)載均衡器）、不增加網(wǎng)站維護(hù)工作量的前提下，大幅度減少了公網(wǎng)與CERNET間的流量，網(wǎng)站訪問速度顯著提高。創(chuàng)新點(diǎn)：本解決方案的實(shí)用、創(chuàng)新之處在于，用虛擬鏡像代替實(shí)體鏡像；用具有普適性的軟件實(shí)現(xiàn)智能重定向。

4.5綜合舉例之二──網(wǎng)間“短接”技術(shù)方案設(shè)計(jì)4.5.1網(wǎng)絡(luò)環(huán)境及解決方案要點(diǎn)4.5.2訪問控制、網(wǎng)絡(luò)安全和域名解析1．訪問控制與網(wǎng)絡(luò)安全2．域名解析4.5.3結(jié)論在某些高校，教學(xué)、辦公網(wǎng)與學(xué)生宿舍區(qū)網(wǎng)相對獨(dú)立，彼此出口不同，通過Internet互聯(lián)。這種架構(gòu)會(huì)引發(fā)兩個(gè)嚴(yán)重問題：（1）學(xué)生宿舍區(qū)用戶訪問學(xué)校網(wǎng)絡(luò)資源或與教學(xué)、辦公網(wǎng)中的普通主機(jī)通信時(shí)，需繞行Internet，速度不夠理想，并且會(huì)消耗教學(xué)、辦公網(wǎng)出口信道一定數(shù)量的付費(fèi)帶寬；（2）在未建立有效的單點(diǎn)登錄機(jī)制的情況下，為使學(xué)生宿舍區(qū)用戶能夠訪問學(xué)校內(nèi)部網(wǎng)絡(luò)資源，需要構(gòu)建比較復(fù)雜的映射、控制環(huán)節(jié)。用專用信道“短接”兩網(wǎng)，可以較低的成本解決上述問題。本節(jié)給出了基于Cisco設(shè)備的技術(shù)方案。4.5.1網(wǎng)絡(luò)環(huán)境及解決方案要點(diǎn)圖4-13網(wǎng)絡(luò)環(huán)境4.5.1網(wǎng)絡(luò)環(huán)境及解決方案要點(diǎn)解決方案要點(diǎn)：（1）用光纜將教學(xué)、辦公網(wǎng)核心交換機(jī)與學(xué)生宿舍區(qū)網(wǎng)絡(luò)出口設(shè)備直接相連；（2）將學(xué)生宿舍區(qū)IP地址視為內(nèi)網(wǎng)地址，在教學(xué)、辦公網(wǎng)的核心交換機(jī)、防火墻上增加指向這些地址的路由；（3）在學(xué)生宿舍區(qū)網(wǎng)絡(luò)出口設(shè)備上增加指向教學(xué)、辦公網(wǎng)的路由，如果該設(shè)備還下連有學(xué)生宿舍區(qū)之外的其他網(wǎng)絡(luò)，則應(yīng)部署策略路由，允許且只允許學(xué)生宿舍區(qū)用戶通過“短接信道”訪問學(xué)校網(wǎng)絡(luò)資源。

4.5.2訪問控制、網(wǎng)絡(luò)安全和域名解析

1．訪問控制與網(wǎng)絡(luò)安全從訪問控制的角度看，為有效攔截來自學(xué)生宿舍區(qū)用戶、指向Internet資源的訪問請求包進(jìn)入教學(xué)、辦公網(wǎng)，應(yīng)在核心交換機(jī)的“短接”端口上設(shè)置ACL，只接受指向?qū)W校網(wǎng)絡(luò)資源的請求包。從網(wǎng)絡(luò)安全的角度看，應(yīng)允許教學(xué)、辦公網(wǎng)中主機(jī)主動(dòng)與學(xué)生宿舍區(qū)主機(jī)建立連接；拒絕由學(xué)生宿舍區(qū)主機(jī)發(fā)起，指向教學(xué)、辦公網(wǎng)一般主機(jī)或服務(wù)器大部分端口的連接請求，但允許對特定服務(wù)器或服務(wù)器特定端口的主動(dòng)連接請求。適當(dāng)構(gòu)造ACL和CBAC，可實(shí)現(xiàn)上述需求。2．域名解析對學(xué)生宿舍區(qū)主機(jī)的網(wǎng)絡(luò)參數(shù)不用作任何修改，這些主機(jī)仍舊通過普通信道進(jìn)行域名解析，得到相關(guān)服務(wù)器映射至外部的IP地址。訪問這些服務(wù)器時(shí)，學(xué)生宿舍區(qū)主機(jī)以內(nèi)網(wǎng)主機(jī)的身份出現(xiàn)，目的地址為外網(wǎng)地址，通信通過“短接信道”進(jìn)行。教學(xué)、辦公網(wǎng)中的主機(jī)，也應(yīng)通過外部地址訪問這些服務(wù)器。

4.5.3結(jié)論將兩個(gè)通過Internet聯(lián)接的網(wǎng)絡(luò)用專用信道“短接”，在確保教學(xué)、辦公網(wǎng)絡(luò)安全的前提下：可節(jié)省教學(xué)、辦公網(wǎng)絡(luò)出口的信道帶寬；使學(xué)生宿舍區(qū)用戶能夠順利訪問學(xué)校內(nèi)部資源；同時(shí)，教學(xué)、辦公網(wǎng)絡(luò)主機(jī)與學(xué)生宿舍區(qū)主機(jī)（包括服務(wù)器）間的通信速度亦有大幅度提升。本章小結(jié)防火墻的主要功能是控制（允許或拒絕）網(wǎng)間流量，以保護(hù)敏感資源，使其免遭攻擊或窺探。目前的防火墻產(chǎn)品一般都提供多個(gè)物理接口，用戶可任意設(shè)置物理接口的安全等級，以連接適當(dāng)?shù)木W(wǎng)絡(luò)。實(shí)際應(yīng)用中，通常用一個(gè)接口連接內(nèi)網(wǎng)、一個(gè)接口連接外網(wǎng)，一個(gè)或多個(gè)接口用于連接DMZ。一般將外網(wǎng)、DMZ、內(nèi)網(wǎng)接口的安全等級依次設(shè)置為0、50、100。防火墻的核心安全策略是，在默認(rèn)情況下，允許高安全級別主機(jī)主動(dòng)發(fā)起與低安全等級主機(jī)的連接，并放行相應(yīng)的返回報(bào)文；不允許低安全等級主機(jī)主動(dòng)發(fā)送連接請求給高安全級別的主機(jī)。通常，防火墻都運(yùn)行NAT