防火墙在防范局域网内外部攻击中的应用

1、防火墙在防范局域网内外部攻击中的应用                 摘要：对防火墙防范来自外部攻击和病毒，以及来自局域网内部攻击2个方面的应用进行了论述。并以华为公司的防火墙产品为例介绍了防火墙的配置以及防火墙在安全防护中存在的问题。关键词：防火墙;网络安全;局域网安全防火墙是目前网络中用来保证内部网路安全的主要技术。防火墙类似于建筑大厦中用于防止火灾蔓延的隔断墙， Internet防火墙是一个或一组实施访问控制策略的系统，它监控可信

2、任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道，以防止外部网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处，基于访问控制策略提供安全防护。1、防火墙保护局域网络防范外部攻击的配置与应用1. 1网络中常见的攻击种类随着网络技术的普及，网络攻击行为出现得越来越频繁。通过各种攻击软件，只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥，也加剧了网络被攻击的危险。网络攻击，一般是侵入或破坏网上的服务器(主机) ,盗取服务器的敏感数据或干扰破坏服务器对外提供的服务;也有直接破坏网络设备的网络攻击，这种破坏影响较大，会导致网络服务异常，甚至中断。防火墙

3、的攻击防范功能能够检测出多种类型的网络攻击，并能采取相应的措施保护局域网络免受恶意攻击，保证内部局域网络及系统的正常运行。在网络中常见网络攻击行为有：IP地址欺骗攻击;Land攻击;Smurf攻击;Fraggle攻击;Teardrop攻击;W inNuke攻击;SYN Flood攻击;ICMP和UDP F lood攻击;地址扫描与端口扫描攻击;Ping ofDea th攻击。1. 2防火墙的典型组网配置和攻击防范目前网络中主要使用防火墙来保证局域网络的安全。例如：当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的局域网络和数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击

4、;当防火墙位于组织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时， 可以根据需要过滤对敏感数据的访问(即使该访问来自组织内部) 。如图1所示，是一个典型的防范外部攻击的防火墙应用网络模型，分别接入互联网和远端分支机构，并使用不同级别的安全策略保护内部网络。其中防火墙位于内部网络、外部网络和DMZ区域中间，主要防止来自外部网络的攻击和病毒，同时允许内部网络访问外部网络和DMZ区域。下面以华为公司的防火墙为例，防范以上各种攻击，配置如下：#firewa ll defend ip - spoofing enablefirewa ll defend land enabl

5、efirewa ll defend smurf enablefirewa ll defend fraggle enablefirewa ll defend winnuke enablefirewa ll defend syn - flood enablefirewa ll defend udp - flood enablefirewa ll defend icmp - flood enablefirewa ll defend icmp - redirect enablefirewa ll defend icmp - unreachable enablefirewa ll defend ip -

6、 sweep enablefirewa ll defend port - scan enablefirewa ll defend source - route enablefirewa ll defend route - record enablefirewa ll defend tracert enablefirewa ll defend time - stamp enablefirewa ll defend ping - of - death enablefirewa ll defend teardrop enablefirewa ll defend tcp - flag enablefi

7、rewa ll defend ip - fragment enablefirewa ll defend large - icmp enable#1. 3防火墙在防病毒攻击上的应用对于互联网上的各种蠕虫病毒、震荡波病毒等，必须能够判断出网络蠕虫病毒、震荡波病毒的特征，把网络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的防护。因此我们启用防火墙的实时网络流量分析功能，及时发现各种攻击和网络蠕虫病毒产生的异常流量。可以使用防火墙预先定义的流量分析模型，也可以自己定义各种协议流量的比例，连接速率阈值等参数，形成适合当前网络的分析模型。比如， 用户可以指定系统的TCP连接和UD

8、P连接总数的上限阈值和下限阈值。当防火墙系统的TCP或UDP连接个数超过设定的阈值上限后，防火墙将输出日志进行告警，而当TCP、UDP 连接个数降到设定的阈值下限时，防火墙输出日志，表示连接数恢复到正常。另外，也可以指定配置不同类型的报文在正常情况下一定时间内所占的百分比以及允许的变动范围，系统定时检测收到的各类报文百分比，并和配置进行比较，如果某类型( T 、UD 、I M 或其它) 报文百分比超过配置的上限阈值(加波动范围) ,则系统输出日志告警;如果某类型报文百分比低于配置的下限阈值(加波动范围) ,则系统输出日志告警。配置如下：3、使能系统统计功能firewall statistics

9、 system enable3 使能系统连接数量监控firewall sta tistics system connect - numbe r tcp |udp high 500 000 low 1 3 使能系统报文比率异常告警检测firewall sta tistics system flow - percent tcp tcp- percent udp udp - percent icmp icmp - percent al2teration a ltera tion - pe rcent time time - value 在网络中，通过测试其中TCP、UDP、ICMP 报文分别所占的百

10、分比为75%、15%、5%;变动的范围为25%;检测周期为60min。此命令TCP、UDP、ICMP3种报文所占百分比需要同时被配置，并且3种报文所占百分比之和不能超过100%;如果TCP、UDP、ICMP3种报文百分比之和超过100%,则命令不会生效此外，病毒攻击产生大量的未知单播报文冲击，造成网络振荡和设备故障，所以必须在所有交换机配置防病毒ACL规则对病毒报文进行过滤。例如对震荡波病毒的防范如下：rule 47 deny tcp de stination - port eq 445 (防震荡波病毒)rule 50 deny udp destination - port eq 445 (防

11、震荡波病毒)rule 55 deny tcp destina tion - port eq 5554 (防震荡波病毒)rule 57 deny tcp destina tion - port eq 9996 (防震荡波病毒)2内部隔离造成当前网络“安全危机”的另外一个因素是忽视对内网安全的监控管理。防火墙防范了来自网络外部的攻击，对于潜伏于网络内部的“黑手”却置之不理，事实上很多攻击的源头来自局域网内部，出现网络内部数据泄密，通过NAT的网络内部的攻击行为无法进行审计。由于对网络内部缺乏防范，当网络内部主机感染蠕虫病毒时，会形成可以感染整个互联网的污染源头，导致整个互联网络环境低劣。所以，对于

12、网络管理者，不但要关注来自局域网络外部的威胁，而且要防范来自网络内部的恶意行为。防火墙可以提供对网络内部安全保障的支持，形成全面的安全防护体系。如果企业内部网络规模较大，并且设置有虚拟局域网(VL N) ,则应该在各个VLAN之间设置防火墙;因此，在企业、机构等重要部门或者关键数据中心应部署防火墙， 保证重要数据的安全。通过防火墙强大的访问控制以及内网的安全特性，在高安全性的内部网络保证机密数据的合法访问，并且通过分级的策略控制，实现网络内部的分级安全保障。在受保护的内部网络，如何防范来自网络内部的攻击将是网络安全领域面临的一个十分重要的问题。在IP协议栈中，ARP是以太网上非常重要的一个协议

13、。以太网网络中的主机，在互相进行IP访问之前，都必须先通过ARP协议来获取目的IP 地址对应的MAC地址。在通过路由器、三层交换机作为网关时， PC机为了把数据发送到网关，同样需要通过ARP 协议来获取网关的MAC地址。由于ARP协议本身不具备任何安全性，所以留下了很多的安全漏洞。主机欺骗：恶意的网络客户可以伪造出别的客户的ARP报文，使被攻击的客户不能正常进行网络通讯。网关伪造：恶意的网络客户可以伪造网关的ARP应答，在ARP应答报文中把网关的IP地址对应的MAC地址设置为自己的MAC地址，那么，网络中所有的客户都会把数据发送到恶意网络客户的主机上。ARP“轰炸”：恶意客户主机发出大量的不同

14、IP对应不同的MAC的ARP 报文， 让网络中的设备ARP表都加入最大数量的ARP 表项，导致正常的ARP不能加入，从而中断网络流量。防火墙通过以下几种方式来解决上述内部网络的地址安全性：( )M 地址和I 地址绑定配置如下配置客户机I 地址和M 地址到地址绑定关系中。Quidway firewall mac - binding202. 169. 168. 1 00e0 - fc00 - 0100使能地址绑定功能。Quidway firewall mac - bindingenable( 2) ARP欺骗检查：firewall defend arp - reve rse - query( 3)

15、ARP反向查询firewall defend arp - spoofing3防火墙的性能测试通过上述方法可以解决网络中的攻击问题以及内网的安全问题，但是防火墙在使用中，通过测试存在以下几个问题。3. 1防火墙无法检测加密的Web流量由于网络防火墙对于加密的SSL流中的数据是不可见的，防火墙无法迅速截获SSL 数据流并对其解密，因此无法阻止应用程序的攻击，甚至有些网络防火墙，根本就不提供数据解密的功能。3. 2 普通应用程序加密就能轻易躲过防火墙的检测大多数网络防火墙中，依赖的是静态的特征库，只有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完全匹配时，防火墙才能识别和截获攻击数据。如果采

16、用常见的编码技术，将恶意代码和其它攻击命令隐藏起来，转换成某种形式，只要与防火墙规则库中的规则不一样，就能够躲过网络防火墙，成功避开特征匹配。3 3对于W 应用程序，防范能力不足据年趋势科技公司统计， 网络攻击中70%来自于Web应用程序的攻击，由于体系结构的原因，即使是最先进的网络防火墙，在防范Web应用程序时，由于无法全面控制网络、应用程序和数据流，也无法截获应用层的攻击。由于对于整体的应用数据流，缺乏完整的、基于会话( Se ssion)级别的监控能力，因此很难预防新的、未知的攻击。以上防火墙的不足可以通过其它安全工具来解决。因此在网络中， 需要防火墙和病毒网关结合使用。4、结语作为内部网络与外部公共网络