• 文章分类

  • ADC (1)
  • Hardware&Device (6)
  • Linux (10)
  • Program-Language (8)
  • Switch&Route&Firewall (31)
  • Uncategorized (15)
  • web-develop (18)
• Search for:

• 最近评论

  • SNONE'S BLOG » www.gracecode.com|精于心、简于形 on FollowMe:万网.com国际域名转出实例
  • tanghui on ARM开发板mini2440的按键控制LED小程序
  • Hans Adreaman on PPP,PPPoE,PPTP,L2TP-VPN简介（之三）- PPPoE协议与场景

• 热门标签

  A10 ADC ADSL Android APT ASA cisco CMS Debian DHCP filter Firewall Gartner Godaddy google http java Juniper L2TP Linux NAT NGFW Palo Alto PHP PIX PPP PPPoE PPTP Ubuntu web whitespace 协议 图片 域名 字符串 安装 思科 拨号 无线 服务器 算法 网络 认证 配置 防火墙

• Meta

  • Log in
  • Entries RSS
  • Comments RSS
  • WordPress.org

一般人的头脑中或多或少对NAT都有所了解，但是往往只了解一些表面化的地址转换思路，但是具体到一些NAT转换的细节和具体场景，例如NAT Control、NAT 豁免、等价NAT，内部、外部转换场景，以及各种NAT的区别、特点等等，可能就会发现思路并不那么顺畅，所以，adreaman特意整理了这篇NAT关键概念的解析文档，以思科ASA防火墙的NAT配置为实例，梳理一下相关概念和应用场景。

下一代防火墙——比端口扫描更深入的能识别应用的智能防火墙。关于这种说法，你应该有所耳闻了。虽然大多数供应商已经推迟了防火墙的发布，但是 Gartner 的魔术象限报告认为市场风向正在转变，曾经沉睡的市场开始复苏。根据 Gartner Inc. 研究副总裁 Greg Young 的观点，现在的防火墙供应商面临的越来越大的压力不再只是来自于一个专注智能防火墙的新兴集成商 Palo Alto Networks。因此，他将公司定位为2010年魔术象限中网络防火墙的领导者。那些仍然在吃老本的供应商现在发现他们的客户群已经被第二市场竞争对手所抢夺，这些公司专注于入侵防御系统 (IPS)和防火墙策略管理——这是网络安全人员无法从现有防火墙供应商处获得的技术和功能。

思科ASA防火墙支持作为PPPoE客户端拨号，支持作为L2TP服务器接受拨入，并且，仅支持L2TP over IPsec方式拨入，不支持纯L2TP方式拨入。ASA思科文档中未介绍PPTP，并且命令行中也去掉了PPTP的部分，应该已经取消了对于PPTP的支持。

本文是Adreaman根据思科PIX6.3配置文档手册中的VPDN功能介绍整理出来的，介绍思科PIX（软件版本6.3）防火墙中PPPoE/L2TP/PPTP这三种VPDN特性的配置步骤。思科PIX防火墙支持作为PPPoE客户端拨号，支持作为L2TP和PPTP服务器接受拨入，并且，仅支持L2TP over IPsec方式拨入，不支持纯L2TP方式拨入。

使能fixup时只有在PIX系统才指定协议的端口号，因为在PIX7.0系统中，还不存在MPF框架机制，配置在全局视图下进行，而在ASA和FWSM的MPF框架中，各Inspection（fixup）在定义之时已经在相应的策略和分类视图下（如上面的TFTP），有的协议还可以指定全局配置的策略视图（如上面的HTTP指定了名为http_pmap_name的策略，H323指定了名为h323_pmap_name的策略，这类协议的策略视图下面可以使用parameters命令配置一些高级参数，后面详细介绍），所以就无需在此再指定端口了，并且，MPF的策略和分类机制提供了更加复杂和灵活的流量分类方法。

MPF（Modular Policy Framework, 模块式策略框架）是思科ASA7.0版本引入的一套“对报文按规则分类并针对各分类灵活的应用不同策略”的机制。它由三部分组成，分类（class）、策略（policy）和应用（service），其中分类是将报文分类的机制，定义各种灵活的规则将报文划分为不同的“流”；策略是对“流”采取的“动作”；应用（service）是将策略在可指定的位置启用起来。思科ASA7.0版本之后的各种filter过滤功能和Inspect（即fixup）功能开始切换到这一框架之中实现并且功能上得到很大的强化和丰富（旧版本的fixup和filter过滤命令依然存在，以向后兼容）。Adreaman尝试通过本文对这一框架机制进行概要地基础性分析和总结。

思科的filter过滤可以分为内容过滤和URL地址过滤两个大的方面。内容过滤包括ActiveX和JavaApplet的过滤，功能是阻止用户浏览器获取到HTML标准的网页中的ActiveX控件或JavaApplet小程序，因为这些控件可能会在浏览器客户端运行而带来不可预知的风险。URL过滤是指检查用户的网络客户端访问外网时指定的外网URL地址，例如，用户浏览网页时，浏览器地址栏中输入的URL就是防火墙检查的对象，FTP工具访问FTP服务器时，用户指定的服务器地址（域名或IP）就是防火墙检查的URL。