ch4 防火墻技術(shù)

1、第4章 防火墻技術(shù),內(nèi)容提要： 概述 防火墻體系結(jié)構(gòu) 防火墻技術(shù) 防火墻的安全防護(hù)技術(shù) 防火墻應(yīng)用示例 個(gè)人防火墻 防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢 小結(jié),4.1 概述,防火墻的定義 防火墻是位于被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個(gè)或一組系統(tǒng)，包括硬件和軟件，構(gòu)成一道屏障，以防止發(fā)生對被保護(hù)網(wǎng)絡(luò)的不可預(yù)測的、潛在破壞性的侵?jǐn)_。,防火墻的五大基本功能,過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)； 管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；

2、封堵某些禁止的業(yè)務(wù)； 記錄通過防火墻的信息內(nèi)容和活動(dòng)； 對網(wǎng)絡(luò)攻擊的檢測和告警。,防火墻的局限性,網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性和靈活性為代價(jià) 防火墻只是整個(gè)網(wǎng)絡(luò)安全防護(hù)體系的一部分，而且防火墻并非萬無一失,4.2 防火墻體系結(jié)構(gòu),防火墻可以在OSI七層中的五層設(shè)置。             &

3、#160;                                    

4、;                                    

5、       防火墻組成結(jié)構(gòu)圖,防火墻的體系結(jié)構(gòu),目前，防火墻的體系結(jié)構(gòu)一般有以下幾種：（1）雙重宿主主機(jī)體系結(jié)構(gòu)；（2）屏蔽主機(jī)體系結(jié)構(gòu)；（3）屏蔽子網(wǎng)體系結(jié)構(gòu)。,雙重宿主主機(jī)體系結(jié)構(gòu),4.2.1 雙重宿主主機(jī)體系結(jié)構(gòu),圍繞具有雙重宿主的主機(jī)計(jì)算機(jī)而構(gòu)筑； 計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口； 計(jì)算機(jī)充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器； 防火墻內(nèi)部的系統(tǒng)能

6、與雙重宿主主機(jī)通信； 防火墻外部的系統(tǒng)（在因特網(wǎng)上）能與雙重宿主主機(jī)通信。,屏蔽主機(jī)體系結(jié)構(gòu),4.2.2 屏蔽主機(jī)體系結(jié)構(gòu),提供安全保護(hù)的堡壘主機(jī)僅僅與被保護(hù)的內(nèi)部網(wǎng)絡(luò)相連； 是外部網(wǎng)絡(luò)上的主機(jī)連接內(nèi)部網(wǎng)絡(luò)的橋梁； 堡壘主機(jī)需要擁有高等級(jí)的安全； 還使用一個(gè)單獨(dú)的過濾路由器來提供主要安全； 路由器中有數(shù)據(jù)包過濾策略。,4.2.3 屏蔽子網(wǎng)體系結(jié)構(gòu),1．周邊網(wǎng)絡(luò) 周邊網(wǎng)絡(luò)是另一個(gè)安全層,是在外部網(wǎng)絡(luò)與被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間

7、的附加網(wǎng)絡(luò),提供一個(gè)附加的保護(hù)層防止內(nèi)部信息流的暴露 .2．堡壘主機(jī) 堡壘主機(jī)為內(nèi)部網(wǎng)絡(luò)服務(wù)的功能有：（1）接收外來的電子郵件（SMTP），再分發(fā)給相應(yīng)的站點(diǎn)；（2）接收外來的FTP連接，再轉(zhuǎn)接到內(nèi)部網(wǎng)的匿名FTP服務(wù)器；（3）接收外來的對有關(guān)內(nèi)部網(wǎng)站點(diǎn)的域名服務(wù)（DNS）查詢。,堡壘主機(jī)向外的服務(wù)功能按以下方法實(shí)施：（1）在路由器上設(shè)置數(shù)據(jù)包過濾來允許內(nèi)部的客戶端直接訪問外部的服務(wù)器。（2）設(shè)置代理服務(wù)器在堡壘主機(jī)

8、上運(yùn)行，允許內(nèi)部網(wǎng)的用戶間接地訪問外部網(wǎng)的服務(wù)器。也可以設(shè)置數(shù)據(jù)包過濾，允許內(nèi)部網(wǎng)的用戶與堡壘主機(jī)上的代理服務(wù)器進(jìn)行交互，但是禁止內(nèi)部網(wǎng)的用戶直接與外部網(wǎng)進(jìn)行通信。,3．內(nèi)部路由器 保護(hù)內(nèi)部的網(wǎng)絡(luò)使之免受外部網(wǎng)和周邊網(wǎng)的侵犯，內(nèi)部路由器完成防火墻的大部分?jǐn)?shù)據(jù)包過濾工作。 4．外部路由器 保護(hù)周邊網(wǎng)和內(nèi)部網(wǎng)使之免受來自外部網(wǎng)絡(luò)的侵犯，通常只執(zhí)行非常少的數(shù)據(jù)包過濾。 外部路由器一般由外界提供。,4.2.4

9、 防火墻體系結(jié)構(gòu)的組合形式,使用多堡壘主機(jī)；合并內(nèi)部路由器與外部路由器；合并堡壘主機(jī)與外部路由器；合并堡壘主機(jī)與內(nèi)部路由器；使用多臺(tái)內(nèi)部路由器；使用多臺(tái)外部路由器；使用多個(gè)周邊網(wǎng)絡(luò)；使用雙重宿主主機(jī)與屏蔽子網(wǎng)。,4.3 防火墻技術(shù),從工作原理角度看，防火墻主要可以分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻。這兩種類型防火墻的具體實(shí)現(xiàn)技術(shù)主要有:包過濾技術(shù)、代理服務(wù)技術(shù)、狀態(tài)檢測技術(shù)、NAT技術(shù)等。,4.3.1 包過濾技術(shù),包過濾防火

10、墻工作在網(wǎng)絡(luò)層 利用訪問控制列表（ACL）對數(shù)據(jù)包進(jìn)行過濾 過濾依據(jù)是TCP/IP數(shù)據(jù)包： 源地址和目的地址 所用端口號(hào) 協(xié)議狀態(tài) 優(yōu)點(diǎn)是邏輯簡單，價(jià)格便宜，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好 缺點(diǎn)有二，一是非法訪問一旦突破防火墻，即可對主機(jī)上的軟件和配置漏洞進(jìn)行攻擊；二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號(hào)都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。,包過濾模型 ：,包檢查模塊深入到操作系統(tǒng)的核心，在操作系統(tǒng)或路由器

11、轉(zhuǎn)發(fā)包之前攔截所有的數(shù)據(jù)包。當(dāng)包過濾型防火墻安裝在網(wǎng)關(guān)上之后，包過濾檢查模塊深入到系統(tǒng)的網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層之間，即TCP層和IP層之間。搶在操作系統(tǒng)或路由器的TCP層對IP包的所有處理之前對IP包進(jìn)行處理。包過濾型防火墻位于軟件層次的最底層。,,包過濾模型,數(shù)據(jù)包過濾的主要依據(jù)有：,（1）數(shù)據(jù)包的源地址；（2）數(shù)據(jù)包的目的地址；（3）數(shù)據(jù)包的協(xié)議類型（TCP、UDP、ICMP等）；（4）TCP或UDP的源端口；（5）TCP或UD

12、P的目的端口；（6）ICMP消息類型；,大多數(shù)包過濾系統(tǒng)判決是否傳送數(shù)據(jù)包時(shí)都不關(guān)心包的具體內(nèi)容。包過濾系統(tǒng)只能進(jìn)行類似以下情況的操作： 不讓任何用戶從外部網(wǎng)用Telnet登錄； 允許任何用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件； 只允許某臺(tái)機(jī)器通過NNTP往內(nèi)部網(wǎng)發(fā)新聞。 不能進(jìn)行以下情況的操作： 允許某個(gè)用戶從外部網(wǎng)用Telnet登錄而不允許其他用戶進(jìn)行這種操作。 允許用戶傳送一些文件而不允許用戶傳送其他文件。,包過濾方

13、式優(yōu)點(diǎn) 僅用一個(gè)放置在重要位置上的包過濾路由器就可保護(hù)整個(gè)網(wǎng)絡(luò) 包過濾工作對用戶來講是透明的。這種透明就是可在不要求用戶作任何操作的前提下完成包過濾。,在配置包過濾路由器時(shí)，首先要確定哪些服務(wù)允許通過而哪些服務(wù)應(yīng)被拒絕，并將這些規(guī)定翻譯成有關(guān)的包過濾規(guī)則。對包的內(nèi)容一般并不要多加關(guān)心。比如：允許站點(diǎn)接收來自于外部網(wǎng)的郵件，而不關(guān)心該郵件是用什么工具制作的。路由器只關(guān)注包中的一小部分內(nèi)容。,包過濾路由器的配置,有關(guān)服務(wù)翻譯成包過

14、濾規(guī)則時(shí)幾個(gè)重要概念：,協(xié)議的雙向性。 “往內(nèi)”與“往外”的含義。 “默認(rèn)允許”與“默認(rèn)拒絕”。,包過濾標(biāo)準(zhǔn)必須由包過濾設(shè)備端口存儲(chǔ)起來，這些包過濾標(biāo)準(zhǔn)叫包過濾規(guī)則。 當(dāng)包到達(dá)端口時(shí)，對包的報(bào)頭進(jìn)行語法分析，大部分的包過濾設(shè)備只檢查IP、TCP或UDP報(bào)頭中的字段，不檢查數(shù)據(jù)的內(nèi)容。 包過濾器規(guī)則以特殊的方式存儲(chǔ)。 如果一條規(guī)則阻止包傳輸或接收，此包便不允許通過。 如果一條規(guī)則允許包傳輸或接收，該包可以繼續(xù)處理。 如果

15、一個(gè)包不滿足任何一條規(guī)則，該包被丟棄。,包過濾器操作流程,包過濾器操作流程圖,,包過濾防火墻的缺陷,不能徹底防止地址欺騙。 無法執(zhí)行某些安全策略 安全性較差 一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾 管理功能弱,4.3.2 代理服務(wù)技術(shù),代理防火墻（Proxy）是一種較新型的防火墻技術(shù)，它分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。 所謂代理服務(wù)器，是指代表客戶處理連接請求的程序。當(dāng)代理服務(wù)器得到一個(gè)客戶的連接意圖時(shí)，它將核實(shí)客戶請求，并

16、用特定的安全化的Proxy應(yīng)用程序來處理連接請求，將處理后的請求傳遞到真實(shí)的服務(wù)器上，然后接受服務(wù)器應(yīng)答，并做進(jìn)一步處理后，將答復(fù)交給發(fā)出請求的最終客戶。,代理的工作方式,代理防火墻工作于應(yīng)用層； 針對特定的應(yīng)用層協(xié)議； 代理服務(wù)器（Proxy Server）作為內(nèi)部網(wǎng)絡(luò)客戶端的服務(wù)器，攔截住所有請求，也向客戶端轉(zhuǎn)發(fā)響應(yīng)； 代理客戶機(jī)（Proxy Client）負(fù)責(zé)代表內(nèi)部客戶端向外部服務(wù)器發(fā)出請求，當(dāng)然也向代理服務(wù)器轉(zhuǎn)發(fā)響應(yīng)；,

17、應(yīng)用層網(wǎng)關(guān)型防火墻,應(yīng)用層網(wǎng)關(guān)防火墻,傳統(tǒng)代理型防火墻； 核心技術(shù)就是代理服務(wù)器技術(shù)； 基于軟件實(shí)現(xiàn)，通常安裝在專用工作站系統(tǒng)上； 參與到一個(gè)TCP連接的全過程； 在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能； 優(yōu)點(diǎn)就是安全，是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)； 最大缺點(diǎn)就是速度相對比較慢。,應(yīng)用層網(wǎng)關(guān)型防火墻,電路層網(wǎng)關(guān),,電路層網(wǎng)關(guān)防火墻,通過電路層網(wǎng)關(guān)中繼TCP連接 一般采用自適應(yīng)代理技術(shù) 有兩個(gè)基本要素： 自適應(yīng)代理服務(wù)器（Ad

18、aptive Proxy Server） 動(dòng)態(tài)包過濾器（Dynamic Packet Filter）,電路層網(wǎng)關(guān)防火墻,代理技術(shù)的優(yōu)點(diǎn),代理易于配置 代理能生成各項(xiàng)記錄 代理能靈活、完全地控制進(jìn)出流量、內(nèi)容 代理能過濾數(shù)據(jù)內(nèi)容 代理能為用戶提供透明的加密機(jī)制 代理可以方便地與其他安全手段集成,代理技術(shù)的缺點(diǎn):,代理速度較路由器慢； 代理對用戶不透明； 對于每項(xiàng)服務(wù)代理可能要求不同的服務(wù)器； 代理服務(wù)不能

19、保證免受所有協(xié)議弱點(diǎn)的限制； 代理不能改進(jìn)底層協(xié)議的安全性。,4.3.3 狀態(tài)檢測技術(shù),狀態(tài)檢測技術(shù)的工作原理 基于狀態(tài)檢測技術(shù)的防火墻是由Check Point軟件技術(shù)有限公司率先提出的，也稱為動(dòng)態(tài)包過濾防火墻?；跔顟B(tài)檢測技術(shù)的防火墻通過一個(gè)在網(wǎng)關(guān)處執(zhí)行網(wǎng)絡(luò)安全策略的檢測引擎而獲得非常好的安全特性。檢測引擎在不影響網(wǎng)絡(luò)正常運(yùn)行的前提下，采用抽取有關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實(shí)施檢測。它將抽取的狀態(tài)信息動(dòng)態(tài)地保存起來

20、作為以后執(zhí)行安全策略的參考。檢測引擎維護(hù)一個(gè)動(dòng)態(tài)的狀態(tài)信息表并對后續(xù)的數(shù)據(jù)包進(jìn)行檢查，一旦發(fā)現(xiàn)某個(gè)連接的參數(shù)有意外變化，則立即將其終止。,狀態(tài)檢測防火墻可提供的額外服務(wù),將某些類型的連接重定向到審核服務(wù)中去。例如，到專用Web服務(wù)器的連接，在Web服務(wù)器連接被允許之前，可能被發(fā)到審核服務(wù)器（用一次性口令來使用）； 拒絕攜帶某些數(shù)據(jù)的網(wǎng)絡(luò)通信，如帶有附加可執(zhí)行程序的傳入電子消息，或包含ActiveX程序的Web頁面。,狀態(tài)檢測技術(shù)跟蹤連

21、接狀態(tài)的方式,狀態(tài)檢測技術(shù)跟蹤連接狀態(tài)的方式取決于數(shù)據(jù)包的協(xié)議類型： TCP包：防火墻丟棄所有外部的連接企圖，除非已經(jīng)建立起某條特定規(guī)則來處理它們。對內(nèi)部主機(jī)試圖連到外部主機(jī)的數(shù)據(jù)包，防火墻標(biāo)記該連接包，允許響應(yīng)及隨后在兩個(gè)系統(tǒng)之間的數(shù)據(jù)包通過，直到連接結(jié)束為止。 UDP包： UDP包比TCP包簡單，因?yàn)樗鼈儾话魏芜B接或序列信息。它們只包含源地址、目的地址、校驗(yàn)和攜帶的數(shù)據(jù)。對傳入的包，若它所使用的地址和UDP包攜帶的協(xié)議與傳出

22、的連接請求匹配，該包就被允許通過。,狀態(tài)檢測技術(shù)的特點(diǎn),狀態(tài)檢測防火墻結(jié)合了包過濾防火墻和代理服務(wù)器防火墻的長處，克服了兩者的不足，能夠根據(jù)協(xié)議、端口，以及源地址、目的地址的具體情況決定數(shù)據(jù)包是否允許通過。,狀態(tài)檢測技術(shù)的特點(diǎn),優(yōu)點(diǎn) ： 高安全性 高效性 可伸縮性和易擴(kuò)展性 不足： 主要體現(xiàn)在對大量狀態(tài)信息的處理過程可能會(huì)造成網(wǎng)絡(luò)連接的某種遲滯，特別是在同時(shí)有許多連接激活的時(shí)候，或者是有大量的過濾網(wǎng)絡(luò)通信的規(guī)則存在時(shí)。,4

23、.3.4 NAT技術(shù),NAT技術(shù)的工作原理 它是一個(gè)IETF（Internet Engineering Task Force, Internet工程任務(wù)組）的標(biāo)準(zhǔn)，允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP地址出現(xiàn)在互聯(lián)網(wǎng)上。顧名思義，它是一種把內(nèi)部私有IP地址翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。,NAT技術(shù)的類型,靜態(tài)NAT（Static NAT）：內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。 動(dòng)態(tài)地址NAT（Poo

24、led NAT）：在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。 網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Port－Level NAT）：把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。,NAT技術(shù)的優(yōu)點(diǎn),所有內(nèi)部的IP地址對外面的人來說是隱蔽的。因?yàn)檫@個(gè)原因，網(wǎng)絡(luò)之外沒有人可以通過指定IP地址的方式直接對網(wǎng)絡(luò)內(nèi)的任何一臺(tái)特定的計(jì)算機(jī)發(fā)起攻擊。 如果因?yàn)槟撤N原因公共IP地址資源比較短缺的話，NAT技術(shù)可以使整個(gè)內(nèi)部網(wǎng)

25、絡(luò)共享一個(gè)IP地址。 可以啟用基本的包過濾防火墻安全機(jī)制，因?yàn)樗袀魅氲臄?shù)據(jù)包如果沒有專門指定配置到NAT，那么就會(huì)被丟棄。內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)就不可能直接訪問外部網(wǎng)絡(luò)。,NAT技術(shù)的缺點(diǎn),NAT技術(shù)的缺點(diǎn)和包過濾防火墻的缺點(diǎn)類似，雖然可以保障內(nèi)部網(wǎng)絡(luò)的安全，但也存在一些類似的局限。此外，內(nèi)部網(wǎng)絡(luò)利用現(xiàn)流傳比較廣泛的木馬程序可以通過NAT進(jìn)行外部連接，就像它可以穿過包過濾防火墻一樣的容易。,4.4 防火墻的安全防護(hù)技術(shù),防火墻自開始部署

26、以來，已保護(hù)無數(shù)的網(wǎng)絡(luò)躲過窺探的眼睛和惡意的攻擊者，然而它們還遠(yuǎn)遠(yuǎn)不是確保網(wǎng)絡(luò)安全的靈丹妙藥。每種防火墻產(chǎn)品幾乎每年都有安全脆弱點(diǎn)被發(fā)現(xiàn)。更糟糕的是，大多數(shù)防火墻往往配置不當(dāng)且無人維護(hù)和監(jiān)視。 攻擊者往往通過發(fā)掘信任關(guān)系和最薄弱環(huán)節(jié)上的安全脆弱點(diǎn)來繞過防火墻，或者經(jīng)由撥號(hào)賬號(hào)實(shí)施攻擊來避開防火墻。,4.4.1 防止防火墻標(biāo)識(shí)被獲取,幾乎每種防火墻都會(huì)有其獨(dú)特的電子特征。也就是說，憑借端口掃描和標(biāo)識(shí)獲取等技巧，攻擊者能夠有效

27、地確定目標(biāo)網(wǎng)絡(luò)上幾乎每個(gè)防火墻的類型、版本和規(guī)則。這種標(biāo)識(shí)之所以重要，是因?yàn)橐坏?biāo)識(shí)出目標(biāo)網(wǎng)絡(luò)的防火墻，攻擊者就能確定它們的脆弱點(diǎn)所在，從而嘗試攻擊它們。 防止通過直接掃描獲取防火墻標(biāo)識(shí)的對策 防止防火墻標(biāo)志被獲取的對策 防止利用nmap進(jìn)行簡單推斷獲取防火墻標(biāo)志的對策,4.4.2 防止穿透防火墻進(jìn)行掃描,透過防火墻從而發(fā)現(xiàn)隱藏在防火墻后面的目標(biāo)，這是網(wǎng)絡(luò)黑客和網(wǎng)絡(luò)入侵者夢寐以求的事情。下面討論一些黑客在防火墻附近徘徊的技巧，

28、并匯集關(guān)于穿透和繞過防火墻的各種途徑的一些關(guān)鍵信息。 防止利用原始分組傳送進(jìn)行穿透防火墻掃描的對策 防止利用源端口掃描進(jìn)行穿透防火墻掃描的對策,4.4.3克服分組過濾脆的弱點(diǎn),大多數(shù)情況下，這些ACL規(guī)則是精心設(shè)計(jì)的，難以繞過。然而有些情況下會(huì)碰到ACL規(guī)則設(shè)計(jì)不完善的防火墻，允許某些分組不受約束地通過。 針對不嚴(yán)格的ACL規(guī)則的對策 針對ICMP和UDP隧道的對策,4.4.4克服分組過濾脆的弱點(diǎn),針對主機(jī)名：localh

29、ost的對策 ，可以提供一個(gè)只允許從某個(gè)特定站點(diǎn)訪問的限制規(guī)則。理想的對策是不允許本地主機(jī)（localhost）登錄。如果需要本地主機(jī)登錄就需要根據(jù)IP地址限制允許連接的主機(jī)。 針對未加認(rèn)證的外部代理訪問的對策 ，通過把瀏覽器的代理設(shè)置改為指向有嫌疑的代理防火墻，就能檢查它是否存在這種脆弱點(diǎn)。,4.5 防火墻應(yīng)用示例,網(wǎng)絡(luò)衛(wèi)士防火墻3000系統(tǒng)組成 一套專用防火墻設(shè)備（硬件）：具有3至10個(gè)網(wǎng)絡(luò)接口，標(biāo)準(zhǔn)配置為3個(gè)網(wǎng)絡(luò)接口

30、。管理員通過一次性口令認(rèn)證，對防火墻進(jìn)行配置、管理和審計(jì)。 一次性口令用戶客戶端（軟件）：凡是需要對其身份進(jìn)行認(rèn)證的用戶都需使用該軟件，例如，管理者需要通過WWW頁面管理防火墻時(shí)，必須先進(jìn)行一次性口令認(rèn)證。,網(wǎng)絡(luò)衛(wèi)士防火墻3000典型應(yīng)用拓?fù)鋱D,典型應(yīng)用的特點(diǎn),防火墻工作于路由和透明混合的綜合模式； 網(wǎng)絡(luò)192.168.1.0/24、202.99.88.0/24和202.99.99.0/24均用邊界路由器作路由； 新增的支干路由器

31、1（網(wǎng)絡(luò)202.99.99.0/24）用防火墻作路由； 網(wǎng)絡(luò)192.168.1.0/24和202.99.88.0/24透明通過防火墻； 采用嚴(yán)格安全策略。,1．配置防火墻接口地址,（1）ifconfig eth0 202.99.88.2 255.255.255.0 將eth0設(shè)置為合法IP地址進(jìn)行NAT，與路由器內(nèi)部接口的IP處于同一網(wǎng)段（2）ifconfig eth1 202.99.88.9 255.255.255.248

32、 將接口E1配上IP地址202.99.88.9（3）ifconfig eth2 192.168.1.1 255.255.255.0將接口E2配上IP地址192.168.1.1（4）ifconfig eth2:0 202.99.99.1 255.255.255.0 eth2接內(nèi)部網(wǎng)，此處設(shè)置為202.99.99.0/24這個(gè)網(wǎng)段的目的是為了實(shí)現(xiàn)對202.99.97.0/24和202.99.98.0/24做路由用。,

33、2．設(shè)置路由表,（1）eth0上：route add 202.99.88.1 255.255.255.255 eth0添加到邊界路由器202.99.88.1的單機(jī)路由route add 202.99.88.2 255.255.255.255 eth0添加到防火墻外接口的單機(jī)路由（2）eth1上：route add 202.99.88.8 255.255.255.248添加到網(wǎng)絡(luò)202.99.88.8的路由,（3）eth2上

34、：route add 192.168.1.0 255.255.255.0添加到網(wǎng)絡(luò)192.168.1.0的路由 （4）eth2:0上route add 202.99.99.1 255.255.255.255 eth2:0添加到202.99.99.1的單機(jī)路由route add 202.99.99.2 255.255.255.255 eth2:0添加到路由器202.99.99.2的單機(jī)路由route add 20

35、2.99.97.0 255.255.255.0 202.99.99.2 定義到網(wǎng)絡(luò)202.99.97.0/24的路由為內(nèi)部網(wǎng)路由器202.99.99.2,route add 202.99.98.0 255.255.255.0 202.99.99.2定義到網(wǎng)絡(luò)202.99.98.0/24的路由為內(nèi)部網(wǎng)路由器202.99.99.2（5）eth2:1上route add 202.99.88.0 255.255.255.0 eth2

36、:1添加到202.99.88.0的路由（6） route add default 202.99.88.1默認(rèn)路由指向邊界路由器。,3．指定防火墻接口屬性,（1）命令：fwip add eth0 202.99.88.2 o指定E0為外接口（2）命令：fwip add eth1 202.99.88.9 s指定E1為SSN接口，公共服務(wù)器所在的網(wǎng)絡(luò)都是通過此接口出去。（3）命令：fwip add eth2 192.168.1.

37、1 i指定E2為內(nèi)部接口，192.168.1.0/24的用戶都是通過此接口到達(dá)防火墻。（4）命令：fwip add eth2:0 202.99.99.1 i指定eth2:0為內(nèi)部接口（5）命令：fwip add eth2:1 202.99.88.3 I指定eth2:0為內(nèi)部接口,命令：dns按照提示輸入所在的域以及域名服務(wù)器。,4．配置域名服務(wù)器,命令：settrans eth0 eth1 on settrans

38、 eth0 eth2:1 on,5．透明設(shè)置,命令為adduser，然后按照提示輸入用戶名，口令，綁定的IP（或子網(wǎng)），用戶屬性（有效用戶或無效用戶），修改用戶口令需先刪掉該用戶，再增加該用戶。,6．增加用戶,打開防火墻的WWW頁面，進(jìn)入對象管理?IP對象，添加in對象 。,7．NAT配置,然后在訪問規(guī)則中添加一條內(nèi)網(wǎng)到any的NAT 規(guī)則,規(guī)則政策中的地址轉(zhuǎn)換，在靜態(tài)地址轉(zhuǎn)換中添加一條,將主機(jī)192.168.1.144的80端口和21

39、端口映射到202.99.88.2上。,8．反向NAT配置,,（1）進(jìn)入規(guī)則政策?地址轉(zhuǎn)換?反向端口映射，添加相關(guān)內(nèi)容,,（2）在對象管理?IP對象中添加FWIP對象，地址為202.99.88.2，掩碼為255.255.255.255。,8．反向NAT配置,,（3）在對象管理?In服務(wù)對象中添加renat對象，見圖4-18。,,,（4）在訪問規(guī)則中，需添加目的為防火墻IP的In規(guī)則，方式為反向NAT 。,8．反向NAT配置,,,,,（1）

40、允許分支網(wǎng)到外部網(wǎng)的所有訪問，添加IP對象“分支網(wǎng)”,9．訪問規(guī)則配置,,,,,,添加Out服務(wù)對象none，見圖4-21。,,添加一條Out規(guī)則，允許從分支對外部網(wǎng)的所有訪問,9．訪問規(guī)則配置,,,,,,,（2）有限訪問SSN,只允許訪問202.99.88.10的WWW服務(wù)，202.99.88.11的ftp服務(wù)，202.99.88.12的email服務(wù)（smtp和pop3）。首先增加三個(gè)IP對象：WWW_server：IP為202

41、.99.88.10，掩碼為255.255.255.255ftp_server：IP為202.99.88.11，掩碼為255.255.255.255email_server：IP為202.99.88.12，掩碼為255.255.255.255增加三個(gè)IN服務(wù)對象：http對象,9．訪問規(guī)則配置,,,,,,,9．訪問規(guī)則配置,,,,,,,ftp對象,,,9．訪問規(guī)則配置,,,,,,,email對象,,,,9．訪問規(guī)則配置,,,,,,

42、,添加三條IN規(guī)則,,,,,9．訪問規(guī)則配置,,,,,,,（3）禁止SSN訪問其余部分，添加一個(gè)IP對象：ssn_ip，,,,,,9．訪問規(guī)則配置,,,,,,,插入一條規(guī)則,,,,,,4.6 個(gè)人防火墻,個(gè)人防火墻其本身是在單臺(tái)計(jì)算機(jī)使用的防火墻軟件，它不但可以監(jiān)視計(jì)算機(jī)在網(wǎng)絡(luò)上的通信狀況，而且同時(shí)注重發(fā)現(xiàn)網(wǎng)絡(luò)中存在的威脅，以做出相應(yīng)的判斷，并根據(jù)其所設(shè)計(jì)的安全規(guī)則加以匹配，以防止網(wǎng)絡(luò)有害數(shù)據(jù)的攻擊和破壞。,4.6.1 個(gè)人防火墻概述,

43、個(gè)人防火墻是一個(gè)運(yùn)行在單臺(tái)計(jì)算機(jī)上的軟件，它可以截取進(jìn)出計(jì)算機(jī)的TCP/IP網(wǎng)絡(luò)連接數(shù)據(jù)包，并使用預(yù)先定義的規(guī)則允許或禁止其連接。通常，個(gè)人防火墻安裝在計(jì)算機(jī)網(wǎng)絡(luò)接口的較低級(jí)別上，監(jiān)視傳入傳出網(wǎng)卡的所有網(wǎng)絡(luò)通信。,4.6.2 個(gè)人防火墻的主要功能,IP 數(shù)據(jù)包過濾功能 安全規(guī)則的修訂功能 對特定網(wǎng)絡(luò)攻擊數(shù)據(jù)包的攔截功能 應(yīng)用程序網(wǎng)絡(luò)訪問控制功能 網(wǎng)絡(luò)快速切斷/恢復(fù)功能 日志記錄功能 網(wǎng)絡(luò)攻擊的報(bào)警功能 產(chǎn)品自身

44、安全功能,4.6.3 個(gè)人防火墻的特點(diǎn),,個(gè)人防火墻的優(yōu)點(diǎn) 增加了保護(hù)級(jí)別，不需要額外的硬件資源； 個(gè)人防火墻除了可以抵擋外來攻擊的同時(shí)，還可以抵擋內(nèi)部的攻擊； 個(gè)人防火墻是對公共網(wǎng)絡(luò)中的單個(gè)系統(tǒng)提供了保護(hù)，能夠?yàn)橛脩綦[蔽暴露在網(wǎng)絡(luò)上的信息，比如IP地址之類的信息等。,4.6.3 個(gè)人防火墻的特點(diǎn),,個(gè)人防火墻的缺點(diǎn) 個(gè)人防火墻對公共網(wǎng)絡(luò)只有一個(gè)物理接口，導(dǎo)致個(gè)人防火墻本身容易受到威脅； 個(gè)人防火墻在運(yùn)行時(shí)需要占用個(gè)人計(jì)算機(jī)

45、的內(nèi)存、CPU時(shí)間等資源； 個(gè)人防火墻只能對單機(jī)提供保護(hù)，不能保護(hù)網(wǎng)絡(luò)系統(tǒng)。,4.6.4 主流個(gè)人防火墻簡介,,主流個(gè)人防火墻產(chǎn)品 Zone Alarm Pro 諾頓個(gè)人防火墻 McAfee Desktop Firewall 金山網(wǎng)鏢 瑞星個(gè)人防火墻 天網(wǎng)防火墻個(gè)人版,天網(wǎng)防火墻個(gè)人版使用簡介,,天網(wǎng)防火墻個(gè)人版是國內(nèi)外針對個(gè)人用戶最好的中文軟件防火墻之一，在國內(nèi)擁有眾多的用戶。 天網(wǎng)防火墻個(gè)人版的安裝 天網(wǎng)

46、防火墻個(gè)人版的系統(tǒng)設(shè)置 天網(wǎng)防火墻個(gè)人版的安全級(jí)別設(shè)置 天網(wǎng)防火墻個(gè)人版的IP規(guī)則設(shè)置 天網(wǎng)防火墻個(gè)人版的應(yīng)用程序規(guī)則設(shè)置 天網(wǎng)防火墻個(gè)人版的網(wǎng)絡(luò)狀態(tài)監(jiān)控,4.7 防火墻發(fā)展動(dòng)態(tài)和趨勢,防火墻的缺陷主要表現(xiàn)在： 不能防范不經(jīng)由防火墻的攻擊。 還不能防止感染了病毒的軟件或文件的傳輸。 不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。 在高流量的網(wǎng)絡(luò)中，防火墻還容易成為網(wǎng)絡(luò)的瓶頸。 存在著安裝、管理、配置復(fù)雜的缺點(diǎn),防火墻的發(fā)展趨勢,優(yōu)良的

47、性能 可擴(kuò)展的結(jié)構(gòu)和功能 簡化的安裝與管理 主動(dòng)過濾 防病毒與防黑客 發(fā)展聯(lián)動(dòng)技術(shù),4.8 小結(jié),防火墻是保證網(wǎng)絡(luò)安全的一種重要手段。 防火墻的功能是：過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)，管理進(jìn)、出網(wǎng)絡(luò)的訪問行為，封堵某些禁止的業(yè)務(wù)，記錄通過防火墻的信息內(nèi)容和活動(dòng)，對網(wǎng)絡(luò)攻擊檢測和告警。 目前廣泛采用的防火墻的體系結(jié)構(gòu)是雙重宿主主機(jī)體系結(jié)構(gòu)、屏蔽主機(jī)體系結(jié)構(gòu)和屏蔽子網(wǎng)體系結(jié)構(gòu)。 從工作原理