计算机网络安全技术与实训第章

1、第 6 章 防火墙技术学习目标1。理解防火墙基本概念和防火墙工作原理2. 掌握防火墙的体系结构和基于防火墙的安全网络结构3. 学会防火墙产品的购买方案选择4。学会配置防火墙本章要点防火墙的概念、类型、目的与作用 防火墙的设计与创建 基于防火墙的安全网络结构 硬件防火墙配置与管理 个人防火墙的配置6.1 防火墙的基本概念6。 1。 1 网络防火墙基本概念什么是防火墙？建筑在山林中的房子大部分是土木结构 ,防火性能较差。 为了防止林中 的山火把房子烧毁，每座房子在其周围用石头砌一座墙作为隔离带 ,这就是本意上的防火 墙。防火墙的原意是指在容易发生火灾的区域与拟保护的区域之间设置的一堵墙,将火灾隔离

2、在保护区之外，保证拟保护区内的安全。网络防火墙是指在两个网络之间加强访问控制的一整套装置，即防火墙是构造在一个 可信网络 （一般指内部网 ）和不可信网络 （一般指外部网 ）之间的保护装置 ,强制所有的访问和 连接都必须经过这个保护层， 并在此进行连接和安全检查 .只有合法的数据包才能通过此保 护层，从而保护内部网资源免遭非法入侵 .下面说明与防火墙有关的概念。（1）主机 :与网络系统相连的计算机系统 .（ 2） 堡垒主机： 指一个计算机系统， 它对外部网络暴露， 同时又是内部网络用户的主 要连接点，所以很容易被侵入，因此必须严密保护保垒主机。（ 3） 双宿主主机：又称双宿主机或双穴主机，是具有

3、两个网络接口的计算机系统。（4） 包 :在互联网上进行通信的基本数据单位。（ 5） 包过滤 :设备对进出网络的数据流 （包）进行有选择的控制与操作。通常是对从外 部网络到内部网络的包进行过滤。 用户可设定一系列的规则， 指定允许 （或拒绝 ）哪些类型 的数据包流入 （或流出）内部网络。（ 6） 参数网络： 为了增加一层安全控制， 在内部网与外部网之间增加的一个网络， 有 时也称为中立区 （非军事区），即 DMZ （ Demilitarized Zone ）。（7） 代理服务器：代表内部网络用户与外部服务器进行数据交换的计算机（ 软件）系统， 它将已认可的内部用户的请求送达外部服务器， 同时将外

4、部网络服务器的响应再回 送给用户。6。 1。 2 网络防火墙的目的与作用构建网络防火墙的主要目的如下所述。（ 1） 限制访问者进入一个被严格控制的点。（2）防止进攻者接近防御设备。（3）限制访问者离开一个被严格控制的点。（ 4） 检查、筛选、过滤和屏蔽信息流中的有害服务， 防止对计算机系统进行蓄意破坏。 网络防火墙的主要作用如下所述 .（1） 有效地收集和记录互联网上的活动和网络误用情况。（ 2） 能有效隔离网络中的多个网段，防止一个网段的问题传播到另外网段。（3） 防火墙作为一个安全检查站 ,能有效地过滤、筛选和屏蔽有害的信息和服务。（4）防火墙作为一个防止不良现象发生的“警察"

5、，能执行和强化网络的安全策略。6。 2 防火墙工作原理防火墙按其工作原理来看可分为两大类:包过滤型、 代理服务型。 也可从所采用的技术上看详细分为6种类型：包过滤型；代理服务器型；电路层网关；混合型；应用层网关；自适应代理技术。6.2 。1 包过滤型防火墙包过滤型防火墙 （Packet Filter Firewall ）中的包过滤器一般安装在路由器上，工作在网络层（IP ）。它基于单个包实施网络控制，根据所收到的数据包的源地址、目的地址、TCP/UDP 、源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参 数，与用户预定的访问控制表进行比较 ,决定数据是否符合预先制定的安全策

6、略，决定数据包的转发或丢弃， 即实施信息过滤 .实际上， 它一般允许网络内部的主机直接访问外部网络 , 而外部网络上的主机对内部网络的访问则要受到限制。在互联网上提供某些特定服务器一般都使用相对固定的端口号。因此路由器在设置包过滤规则时指定 :对于某些端口号允许数据包与该端口交换，或者阻断数据包与它们的 连接。这种防火墙的优点是简单、方便、速度快、透明性好，对网络性能影响不大，但缺乏用户日志(Log)和审计信息(Audit)，缺乏用户认证(CA)机制，不具备审核管理，且过滤规则的 完备性难以得到检验，复杂过滤规则的管理也比较困难因此，包过滤型防火墙的安全性较差6.2。2 IP级包过滤型防火墙1

7、。概述IP级过滤型防火墙(IP Packet Filter)可看做是一个多端口的交换设备，它对每一个到 来的报文根据其报头进行过滤，按一组预定义的规则来判断该报文是否可以继续转发，不考虑报文之间的前后关系.这些过滤规则称为Packet Profile.在具体的产品中，过滤规则定义在转发控制表中，报文遵循自上向下的次序依次运用每一条规则，直到遇到与其相匹配的规则为止。对报文可采取的操作有转发(Forwardi ng )、丢弃(Droppi ng)、报错(Sen di ng a FailureRespo nse和备忘(Loggi ng For Exception Track in g)等。根据不同

8、的实现方式，报文过滤可 以在进入防火墙时进行，也可以在离开防火墙时进行。不同的IP级防火墙产品采用不同的传输控制表格式。为便于陈述，这里只讨论抽象 的过滤规则，并采用表6-1所示格式.表6 1 格式DirectionTypeSrcPortDestPortAction传输方向协议类型源地址源主机端口宿地址宿主机端口控制操作设网络123。45.0。0/16不愿其他因特网主机访问其站点；但它的一个子网123.45。6。0/24和某大学135。有合作项目，因此允许该大学访问该子网；然而 135。79。99。 0/24是黑客天堂，需要禁止，为此在网络防火墙上设置表6-2所示规则。表62 规则一Direc

9、tionTypeSrcPortDestPortAction1In*135.79。99.0/24*123.45o 0.0/16*Deny2Out*123o45 o 0.0/16*135.79.99。0/24*Deny3In*135。*123.45.6o 0/24*Allow4Out*123.45o 6.0/24*135.79.0o 0/16*Allow5Both*Deny注：*指任何任意(如所指的表示为任意的协议类型)其他的类推。注意这些规则之间并不是互斥的 ，因此要考虑顺序。另外这里建议的规则只用于讨论原理，因此在形式上并非是最佳的。2。SMTP处理SMTP是一个基于TCP的服务，服务器使用端

10、口 25,客户机使用任何大于 1023的端口. 如果防火墙允许电子邮件穿越网络边界，则可定义表6 3所示规则.表63 规则二DirectionTypeSrcPortDestPortAction1InTCP外部>1023内部25Allow2OutTCP内部25外部>1023Allow3OutTCP内部1023外部25Allow4InTCP外部25内部1023Allow5Both*Deny表63的规则1、规则2允许内部主机接受来自外部的邮件，规则3、规则4允许内部主机向外部发送邮件，规则 5禁止使用其他端口的协议数据包通过。3。HTTP处理HTTP是一个基于TCP的服务，大多数服务器使

11、用端口 80,也可使用其他非标准端口， 客户机使用任何大于 1023的端口。如果防火墙允许 WWW穿越网络边界，则可定义表6-4 所示规则。表64 规则二DirectionTypeSrcPortDestPortAction1InTCP外部1023内部80Allow2OutTCP内部80外部>1023Allow3OutTCP内部>1023外部80Allow4InTCP外部80内部1023Allow5both*Deny表64的规则1、规则2允许外部主机访问本站点的WWW服务器，规则3、规则4允许内部主机访问外部的 WWW服务器。由于服务器可能使用非标准端口，给防火墙允许的配置带来一些麻

12、烦。一般实际使用的IP防火墙都直接对应用协议进行过滤，即管理员可在规则中指明是否允许 HTTP通过，而不是只关注 80端口。其他如POP、FTP、Tel net、RPC、UDP、ICMP等协议的处理过程也类似，限于篇幅 这里不再赘述。6.2.3代理服务器型防火墙代理服务器型防火墙(Proxy Service Firewall )通过在主机上运行服务程序，直接面对特定的应用层服务，因此也称为应用型防火墙。其核心是运行于防火墙主机上的代理服务 进程，该进程代理用户完成TCP/IP功能，实际上是为特定网络应用而连接两个网络的网 关.对每种不同的应用( E mail 、 FTP、 Telnet、 WW

13、W 等)都应用一个相应的代理服务 .外 部网络与内部网络之间要建立连接，首先必须通过代理服务器的中间转换，内部网络只接 受代理服务器提出的要求 ,拒绝外部网络的直接请求。 代理服务可以实施用户论证、 详细日 志、审计跟踪和数据加密等功能和对具体协议及应用的过滤，如阻塞 Java 或 Java Script 等。代理服务器有两个部件：一个代理服务器和一个代理客户。代理服务器是一个运行代 理服务程序的双宿主主机；而代理客户是普通客户程序(如一个 Telnet 或 FTP 客户)的特别版本， 它与代理服务器交互而并不与真正地与外部服务器相连.普通客户按照一定的步骤提出服务请求，代理服务器依据一定的安

14、全规则来评测代理客户的网络服务请求，然后决 定是受理还是拒绝该请求。如果代理服务器受理该请求，代理服务器就代表客户与真正的 服务器相连 ,并将服务器的相应响应传送给代理客户.更精细的代理服务可以对不同的主机执行不同的安全规则，而不对所有主机执行同一个标准。目前，市场上已经有一些优秀的代理服务软件。 SOCKS 就是一个可以建立代理的工 具，这个软件可以很方便地将现存的客户 /服务器应用系统转换成代理方式下的具有相同结 构的应用系统。而在 TIS FWTK ( Trusted Information System Internet Firewall Toolkit) 里包 括了能满足一般常用的互

15、联网协议的代理服务器(如Tel net、FTP、HTTP、rlogi n、X。11),这些代理服务器是为与客户端的用户程序相连而设计的。许多标准的客户与服务器程序 ,不管它们是商品软件还是免费软件，本身都具有代理功能，或者支持使用像 SOCKS 这样的系统。这种防火墙能完全控制网络信息的交换， 控制会话过程， 具有灵活性和安全性 ,但可能 影响网络的性能，对用户不透明，且对每一种服务器都要设计一个代理模块，建立对应的 网关层，实现起来比较复杂 .6。 2。 4 其他类型的防火墙1 。 电路层网关电路层网关 (Circuit Gateway) 在网络的传输层上实施访问控制策略,是在内、 外网络主

16、机之间建立一个虚拟电路进行通信，相当于在防火墙上直接开了个口子进行传输，不像应 用层防火墙那样能严密地控制应用层的信息。2。 混合型防火墙混合型防火墙( Hybrid Firewall )把包过滤和代理服务等功能结合起来，形成新的防 火墙结构 ,所用主机称堡垒主机，负责代理服务。各种类型的防火墙，各有其优缺点。当前 的防火墙产品，已不是单一的包过滤型或代理服务型防火墙，而是将各种安全技术结合起 来，形成一个混合的多级的防火墙系统，以提高防火墙的灵活型和安全性。如混合采用以 下几种技术： 动态包过滤； 内核透明技术； 用户认证机制； 内容和策略感知能力 ;内部信息隐藏；智能日志、审计和实时报警；

17、防火墙的交互操作性；将各种安全技术 结合等 .3。应用层网关应用层网关（Applicati on Gateway）使用专用软件转发和过滤特定的应用服务，如Tel net和FTP等服务连接。这是一种代理服务，代理服务技术适应于应用层，它由一个高层的应用网关作为代理器，通常由专门的硬件来承担代理服务器在接受外来的应用控制的前提下 使用内部网络提供的服务。也就是说，它只允许代理的服务通过，即只有那些被认为“可 依赖的”服务才允许通过防火墙。应用层网关有登记、日志、统计和报告等功能，并有很 好的审计功能和严格的用户认证功能，应用层网关的安全性高，但它要为每种应用提供专 门的代理服务程序4。自适应代理技

18、术自适应代理技术（Self-Adaptive Age nt Techno logy ）是一种新颖的防火墙技术，在一定程序上反映了防火墙目前的发展动态。该技术可以根据用户定义的安全策略，动态适应传 送中的分组流量。如果安全要求较高，则安全检查应在应用层完成，以保证代理防火墙的最 大安全性；一旦代理明确了会话的所有细节，其后的数据包就直接到达速度快得多的网络 层。该技术兼备了代理技术的安全性和其他技术的高效率。各种防火墙的性能比较见表6- 5.表6-5各种防火墙性能比较、一.型包过滤应用网关代理服务电路层网关自适应代理技术工作层次网络层应用层应用层网络层网络层或应用层效率最高低最低高自适应安全最低

19、高最高低自适应根本机制过滤过滤代理代理过滤成代理内部信息无无有有有高层数据理解无有有无有支持应用所有标准应用（易扩展）标准应用（易扩展）所有标准应用（易扩展）UDP支持无有有无有6。3防火墙体系结构5种：过滤路由器结构；双宿主主机结构；主机过网络防火墙的安全体系结构基本上分 滤结构；过滤子网结构；吊带式结构.6.3。1过滤路由器防火墙结构在传统的路由器中增加分组过滤功能就能形成这种最简单的防火墙。这种防火墙的好处是完全透明，但由于是在单机上实现，形成了网络中的“单失效点”由于路由器的基石功能是转发分组，一旦过滤机能失效，被入侵都就会形成网络直通状态，任何非法访问都 可以进入内部网络因此这种防火

20、墙的失效模式不是“失效一安全”型，也违反了阻塞点原理因此，我们认为这种防火墙尚不能提供有效的安全功能，仅在早期的因特网中应用过滤防火墙的基本结构如图6.1所示.内部网络内部网络图6.1包过滤路由器防火墙结构6.3。2双宿主主机防火墙结构该结构至少是具有两个接口 （即两块网卡）的双宿主主机而构成。双宿主主机的一个接 口接内部网络，另一个接口接外部网络，这种主机还可以充当与这台主机相连的网络之间 的路由器，它能将一个网络的IP数据包在无安全控制的情况下传递给另外一个网络。但是 在将一台主机安装到防火墙结构中时，首先要使双宿主主机的这种路由功能失效。从一个 外部网络（如互联网络）来的IP数据包不能无

21、条件地传给另一个网络（如内部网络）。只有双宿主主机支持内、外网络，并与堡垒主机实施通信，而内、外网络之间不能直接通信。双宿主主机可以提供很高程度的网络控制如果安全规则不允许包在内、外部网络之间直传，而发现内部网络的包有一个对应的外部数据源，这就说明系统安全机制出问题了在有些情况下，如果一个申请的数据类型与外部网络提供的某种服务不相符时，双宿主主机否决申 请者要求与外部网的连接同样情况下，用包过滤系统做到这种控制是非常困难的。当然， 要充分地利用双宿主主机其他潜在的许多优点，其开发工作量是很大的。双宿主主机只有用代理服务的方式或者用让用户直接注册到双宿主主机上的方式，才能提供安全控制服务。 另外

22、，这种结构要求用户每次都必须在双宿主主机上注册，这样就会使用户感到不方便。该防火墙安全结构如图 6.2所示.双宿主主机图6.2 双宿主主机防火墙结构使用时，一般要求用户先注册， 再通过双宿主主机访问另一边的网络，但由于代理服务器简化了用户的访问过程，可以做到对用户透明，属于“失效一安全"型。由于该防火墙仍是由单机组成的，没有安全冗余机制，仍是网络的“单失效点”，因此这种防火墙还是 不完善的，在现在的因特网中仍有应用6。3.3主机过滤型防火墙结构这种防火墙由过滤路由器和运行网关软件的堡垒主机构成该结构提供安全保护的堡垒主机仅与内部网络相连，而过滤路由器位于内部网络和外部网络之间，如图6

23、。3所示。防御主机代理服务服务器图6.3 主机过滤型防火墙结构该主机可完成多种代理，如FTP、Telnet和WWW，还可以完成认证和交互作用，能提供完善的因特网访问控制。这种防火墙中的堡垒主机是网络的“单失效点”，也是网络黑客集中攻击的目标， 安全保障仍不理想一般来讲，主机过滤结构能比双宿主主机结构提 供更好的安全保护区，同时也更具有可操作性，而且这种防火墙投资少，安全功能实现和扩 充容易，因而目前应用比较广泛。6.3。4子网过滤型防火墙结构该防火墙是在主机过滤结构中再增加一层参数网络的安全机制，使得内部和外部网络之间有两层隔断。由参数网络的内、外部路由器分别连接内部与外部网络，如图6.4所示

24、.防御防御主机图6.4 子网过滤型防火墙结构用参数网络（DMZ）来隔离堡垒主机与内部网，就能减轻入侵者冲开堡垒主机后给内部 网络带来的破坏力。入侵者即使冲过堡垒主机也不能对内部网络进行任意操作，而只可进 行部分操作。在最简单的子网过滤结构中，有两台与参数网络相连的过滤路由器，一台位于参数网 络与内部网络之间，而另一台位于参数网络与外部网络之间。在这种结构下，入侵者要攻 击到内部网络就必须通过两台路由器的安全控制。即使入侵者通过了堡垒主机，它还必须 通过内部网络路由器才能抵达内部网这样，整个网络安全机制就不会因一点被攻击而全部瘫痪有些站点还可用多层参数网络加以保护，低可靠性的保护由外层参数网络提

25、供，高可 靠性的保护由内部网络提供 这样入侵者撞开外部路由器，到达堡垒主机后必须再破坏更为精致的内部路由器才可以到达内部网络系统但是，如果在多层参数网络结构中的每层之间使用的包过滤系统允许相同的信息可通过任意一层，那么另外的参数网络也就不会起作用了。这种防火墙把前一种主机的通信功能分散到多个主机组成的网络中，有的作为FTP服务器，有的作为 E-mail服务器，有的作为 WWW服务器，有的作为 Tel net服务器，而堡 垒主机则作为代理服务器和认证服务器置于周边网络中，以维护因特网与内部网络的连 接。这种网络防火墙配置减少入侵者闯入破坏的机会，是一种比较理想的安全防范模式。6。3。5吊带式防火

26、墙结构这种防火墙与子网过滤型防火墙结构的区别是，作为代理服务器和认证服务器的网关主机位于周边网络中。 这样，代理服务器和认证服务器是内部网络的第一道防线，内部路由器是内部网络的第二道防线，而把因特网的公共服务（如FTP服务器、TeInet服务器和WWW 服务器及E-mail服务器等）置于周边网络中，也减少了内部网络的安全风险。这种防火墙的结构如图6。5所示。这种结构正符合我们提出的5点要求，应是最安全的防范模式。图6。5吊带式防火墙结构口昔 务 艮n 16 tTe实践表明，过滤路由器防火墙是最简单的安全防范措施，双宿主主机防火墙居中，主 机过滤型防火墙和子网过滤型防火墙安全措施比较理想，而吊带

27、式防火墙安全防范措施最 好，但一般在中小型企业网中应用不广泛。6。3.6 典型的防火墙结构建造防火墙时，一般很少采用单一的技术，通常是使用多种解决不同问题的技术组合。 这种组合取决于网络管理中心向用户提供什么样的服务，以及网管中心能接受什么等级的 风险。采用哪种技术主要取决于经费，制冷的大小或技术人员的技术、时间因素。一般有 以下几种形式。(1) 使用多堡垒主机。(2) 合并内部路由器与外部路由器。(3) 合并堡垒主机与外部路由器。(4) 合并堡垒主机与内部路由器。(5) 使用多台内部路由器。(6) 使用多台外部路由器。(7) 使用多个周边网络。(8) 使用双重宿主主机与屏蔽子网。如图6.6所

28、示是目前典型的防火墙结构。Interrternet防防火墙。X192。168。X.XDM区Z 区数嶽据库应用应用工工作作站工工作站 服务器务器月服务器内部网络内部网络图6。6典型防火墙结构6.4防火墙选购6。4.1 防火墙设计的安全要求与准则1 从网络的安全角度看，防火墙必须满足以下要求。(1) 防火墙应由多个构件组成，形成一个有一定冗余度的安全系统，避免成为网络的 单失效点。(2) 防火墙应能抵抗网络黑客的攻击，并可对网络通信进行监控和审计。这样的网络结点称为阻塞点(3) 防火墙一旦失效、重启动或崩溃，则应完全阻断内、外部网络站点的连接，以 免闯入者进入。这种安全模式的控制方法是由防火墙安全

29、机制来控制网络的接口的启动。 称这种防火墙的失效模式是“失效一安全”模式。(4) 防火墙应提供强制认证服务，外部网络对内部网络的访问应经过防火墙的认证检查，包括对网络用户和数据源的认证。应支持Email、FTP、Telnet和WWW等使用。(5) 防火墙对内部网络应起到屏蔽作用，并且隐蔽内部网站的地址和内部网络的拓扑 结构。通常，防火墙采用的安全策略2 .在防火墙的设计中，安全策略是防火墙的灵魂和基础有如下两个基本准则。（ 1） 一切未被允许的访问就是禁止的.基于该原则 ,防火墙要封锁所有的信息流，然后对希望开放的服务逐步开放，这是一种非常实用的方法，可以形成一个十分安全的环境， 但其安全是以

30、牺牲用户使用的方便为代价的，用户所能使用的服务范围受到较大的限制。（2） 一切未被禁止的访问就是允许的。基于该准则，防火墙开放所有的信息流,然后逐项屏蔽有害的服务。 这种方法构成了一种灵活的应用环境 ,但很难提供可靠的安全保护， 特 别是当保护的网络范围增大时。建立防火墙是在对网络的服务功能和拓扑结构仔细分析的基础上，在被保护的网络周 边， 通过专用硬件、 软件及管理措施的综合 ,对跨越网络边界的信息提供监测、 控制甚至修 改的手段。6.4.2 创建防火墙步骤成功创建一个防火墙系统一般需要 6个步骤： 制定安全策略， 搭建安全体系结构 ,制定 规则次序，落实规则集，注意更换控制和做好审计工作。

31、建立一个可靠的规则集对于实现一个成功的、安全的防火墙来说是非常关键的一步。 如果防火墙规则集配置错误， 再好的防火墙也只是摆设 .在安全审计中， 经常能看到一个巨 资购入的防火墙由于某个规则配置的错误而将机构暴露于巨大的危险之中。1制定安全策略 防火墙和防火墙规则集只是安全策略的技术实现。在建立规则集之前，必须首先理解 安全策略。安全策略一般由管理人员制定，假设它包含以下 3 方面内容。（ 1） 内部员工访问因特网不受限制。（2） 因特网用户有权访问公司的 Web 服务器和 Email 服务器 .（ 3） 任何进入公用内部网络的数据必须经过安全认证和加密。 实际的安全策略要远远比这复杂。需要根

32、据公司的实际情况制定详细的安全策略。2搭建安全体系结构 作为一个安全管理员 ,需要将安全策略转化为安全体系结构 . 根据安全策略因特网用户有权访问公司的Web 服务器和 Email 服务器，首先为公司建立 Web 和 Email 服务器 .由于任何人都能访问 Web 和 E-mail 服务器，所以这些服 务器是不安全的，通过把这些服务器放入 DMZ 区来实现该项策略。3制定规则次序在建立规则集时， 需要注意规则的次序， 哪条规则放在哪条之前是非常关键的 .同样的 规则以不同的次序放置，可能会完全改变防火墙的运转情况 .很多防火墙以顺序方法检查信息包 ,当防火墙接收到一个信息包时 ,它先与第 1

33、 条规则 相比较，然后是第 2条、第3条、，当它发现一条匹配规则时，就停止检查并应用这条 规则。 通常的顺序是， 较特殊的规则在前 ,较普通的规则在后， 防止在找到一个特殊规则之 前一个普通规则便被匹配。4落实规则集 选择好素材后就可以建立规则集 .一个典型的防火墙的规则集合包括12 个方面，下面 简单介绍 .（1） 切断默认。第 1 步需要切断数据包的默认设置。（ 2） 允许内部出网。允许内部网络的任何人出网，与安全策略中所规定的一样，所 有的服务都被许可。（ 3） 添加锁定 .添加锁定规则，阻塞对防火墙的访问 ,这是所有规则集都应有的一条标 准规格，除了防火墙管理员 ,任何人都不能访问防火

34、墙 .（ 4） 丢弃不匹配的信息包。在默认情况下，丢弃所有不能与任何规则匹配的信息包,但这些信息包并没被记录。把它添加到规则集末尾来改变这种情况，这是每个规则集都应 有的标准规则。（5） 丢弃并不记录。通常网络上大量被防火墙丢弃并记录的通信通话会很快将日志填 满。创立一条规则丢弃或拒绝这种通话但不记录它。（6）允许 DNS 访问。允许因特网用户访问内部的 DNS 服务器。（ 7） 允许邮件访问 .允许因特网用户和内部用户通过SMTP 协议访问邮件服务器。（8） 允许 Web 访问。允许因特网用户和内部用户通过 HTTP 协议访问 Web 服务器 .（9）阻塞 DMZ 。禁止内部用户公开访问 D

35、MZ 区。（10）允许内部的 POP 访问。允许内部用户通过 POP 协议访问邮件服务器 .（ 11） 强化 DMZ 的规则 .DMZ 区域应该从不启动与内部网络的连接 .（12） 允许管理员访问。允许管理员以加密方式访问司令部网络。 5注意更换控制 当规则组织好后，应该写上注释并经常更新，注释可以帮助理解每一条规则做什么。 对规则理解得越好 ,错误配置的可能性越小。 对那些有多重防火墙管理员的大机构来说， 建 议当规则被修改时，把下列信息加入注释中，这可以帮助管理员跟踪谁修改了哪条规则及 修改的原因。 （1）规则更改者的名字。 （2）规则变更的日期和时间。 （3）规则变更的原因 .6做好审计

36、工作 建立好规则集后，检测是否可以安全地工作是关键的一步。防火墙实际上是一种隔离 内外网的工具 .在因特网中 ,很容易犯一些配置上的错误。通过建立一个可靠的、简单的规 则集 ,可以在防火墙之后创建一个更安全的网络环境。需要注意的是：规则越简单越好。网络的头号敌人是错误配置 , 尽量保持规则集简洁 和简短，因为规则越多，就越可能犯错误，规则越少, 理解和维护就越容易。一个好的准则是最好不要超过 30条，一旦规则超过 50 条,应会以失败而告终。6。 4。 3 防火墙选购要点防火墙是主要的网络安全设备 , 一个配置良好的防火墙， 能够有效地防止外来的入侵， 控制进出网络的信息流向和信息包 , 提供

37、使用和流量的日志和审计 , 隐藏内部 IP 地址及网 络结构的细节，以及提供 VPN功能等等。对于企业网络而言，一个没有配备防火墙的网络，安全性无从谈起。那么，如何选择 合适的防火墙呢？从技术角度分析企业级防火墙的选购要点。1防火墙产品种类在选购之前，企业用户首先需要弄清防火墙的种类. 目前，市场有六种基本类型的防火墙，分别是嵌入式防火墙、基于企业软件的防火墙、基于企业硬件的防火墙、SOHO软件防火墙、SOHO!件防火墙和特殊防火墙1）嵌入式防火墙 : 就是内嵌于路由器或交换机的防火墙。嵌入式防火墙是某些路由器的标准配置。用户也可以购买防火墙模块，安装到已有的路由器或交换机中嵌入式防火墙也被称

38、为阻塞点防火墙 由于互联网使用的协议多种多样 , 所以不是所 有的网络服务都能得到嵌入式防火墙的有效处理。嵌入式防火墙工作于IP 层，所以无法保护网络免受病毒、蠕虫和特洛伊木马程序等来自应用层的威胁。就本质而言，嵌入式防 火墙常常是无监控状态的，它在传递信息包时并不考虑以前的连接状态。2）基于软件的防火墙： 指能够安装在操作系统和硬件平台上的防火墙软件包。如果用户的服务器装有企业级操作系统，购买基于软件的防火墙则是合理的选择如果用户是一家小企业，并且想把防火墙与应用服务器（ 如网站服务器）结合起来，添加一个基于软件的防火墙就是合理之举。3）基于硬件的防火墙： 多捆绑于“交钥匙”系统 （Turn

39、key system ）中 ,是一个已经装有软件的硬件设备。基于硬件的防火墙也分为家庭办公型和企业型两种款式4）特殊防火墙 : 侧重于某一应用的防火墙产品 目前，市场上有一类防火墙是专门为过滤内容而设计的， MailMarshal 和 WebMarshal 就是侧重于消息发送与内 容过滤的特殊 防火墙.OKENA的StormWatch虽然没有标明是防火墙，但也具有防火墙类规则和应用防范禁闭功能 5）防火墙“软”与“硬 "的折衷一般说来，软件防火墙具有比硬件防火墙更灵活的性能，但是安装软件防火墙需要用 户选择硬件平台和操作系统。而硬件防火墙经过厂商的预先包装，启动及运作要比软件防 火墙

40、快得多 购买硬件设备防火墙 , 往往意味着获得了一个捆绑在硬盒子里的“交钥匙”系统。如 果用户对防火墙运行的硬件平台没有特殊要求，硬件防火墙则是这类用户理想的选择。另 一个适用硬件防火墙的场合是， 用户希望隔离防火墙服务， 不把防火墙安装在其他应用中。6。 5 防火墙配置实例硬件防火墙配置实例下面介绍一些实用的知识，那就是如何配置防火中的安全策略。但要注意的是，防火 墙的具体配置方法也不是千篇一律的，不要说不同品牌，就是同一品牌的不同型号也不完 全一样，所以在此也只能对一些通用防火墙配置方法作一基本介绍. 同时，具体的防火墙策略配置会因具体的应用环境不同而有较大区别。 首先介绍一些基本的配置原

41、则。1。防火墙的基本配置原则默认情况下，所有的防火墙都是按以下两种情况配置的：1）拒绝所有的流量。这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。2) 允许所有的流量 . 这种情况需要你特殊指定要拒绝的流量的类型。可论证地，大多 数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些 必要的端口来使防火墙内的用户在通过验证之后可以访问系统 . 换句话说 , 如果你想让你 的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP勺进程。在防火墙的配置中 , 我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火 墙的配置过程

42、中需坚持以下三个基本原则 :(1) 简单实用 : 对防火墙环境设计来讲 , 首要的就是越简单越好。其实这也是任何事 物的基本原则。越简单的实现方式，越容易理解和使用。而且是设计越简单，越不容易出 错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。每种产品在开发前都会有其主要功能定位, 比如防火墙产品的初衷就是实现网络之间的安全控制 , 入侵检测产品主要针对网络非法行为进行监控 . 但是随着技术的 成熟和发展 , 这些产品在原来的主要功能之外或多或少地增加了一些增值功能，比如在防火墙上增加了 查杀病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。但是这些增值功能并不 是所有应用环境都需

43、要，在配置时我们也可针对具体应用环境进行配置，不必要对每一功 能都详细配置 , 这样一则会大大增强配置难度，同时还可能因各方面配置不协调，引起新 的安全漏洞 , 得不偿失 .(2) 全面深入：单一的防御措施是难以保障系统的安全的，只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中, 我们不要停留在几个表面的防火墙语句上 , 而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强，从深层次上防护整个系统。这方面可以体现在两个方面：一方面体现在防火墙系统的部署上 , 多层次的防火墙部署体系 ,即采用集互联网边界防火墙、部门边界防火墙和主 机防火墙于一体的层次防

44、御 ;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施 结合在一起的多层安全体系 .(3) 内外兼顾：防火墙的一个特点是防外不防内, 其实在现实的网络环境中，80%以上的威胁都来自内部，所以我们要改变过去那种防外不防内的传统观念. 对内部威胁可以采取其它安全措施 ,比如入侵检测、主机防护、漏洞扫描、病毒查杀 . 这方面体现在防火墙配 置方面就是要引入全面防护的观念，最好能部署与上述内部防护手段一起联动的机制. 目前来说，要做到这一点比较困难。2、防火墙的初始配置像路由器一样，在使用之前 , 防火墙也需要经过基本的初始配置。但因各种防火墙的 初始配置基本类似，所以在此仅以 Cisco PIX

45、 防火墙为例进行介绍。防火墙的初始配置也是通过控制端口(Console )与PC机的串口连接，再通过 Windows系统自带的超级终端 ( HyperTerminal) 程序进行选项配置。防火墙的初始配置物理连接 与前面介绍的交换机初始配置连接方法一样 , 参见图 6.7 所示。图6。7防火墙初始配置的物理连接防火墙除了以上所说的通过控制端口（Console ）进行初始配置外，也可以通过telnet和Tffp配置方式进行高级配置，但Telnet配置方式都是在命令方式中配置，难度较大，而Tffp方式需要专用的Tffp服务器软件，但配置界面比较友好。防火墙与路由器一样也有四种用户配置模式，即：普通

46、模式（Un privileged mode ）、特权模式（Privileged Mode）、配置模式（Configuration Mode） 和端口模式（InterfaceMode），进入这四种用户模式的命令也与路由器一样：普通用户模式无需特别命令，启动后即进入；进入特权用户模式的命令为"enable ” ;进入配置模式的命令为"config terminal”；而进入端口模式的命令为"interface ethernet（）"。不过因为防火墙的端口没有路由器那么复杂，所以通常把端口模式归为配置模式，统称为”全局配置模式”。防火墙的具体配置步骤如下：1）

47、将防火墙的 Con sole端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个 空余串口上，参见图 1。2） 打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机3） 运行 Windows系统中的超级终端 （HyperTerminal ）程序（通常在"附件"程序组中） 对超级终端的配置与交换机或路由器的配置一样。4） 当PIX防火墙进入系统后即显示"pixfirewall>”的提示符，这就证明防火墙已启 动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。5） 输入命令：enable,进入特权用户模式，此时系统提示为:pixfirewal

48、l# 。6）输入命令：con figure termi nal，进入全局配置模式，对系统进行初始化设置。（a）首先配置防火墙的网卡参数（以只有 1个LAN和1个WAf接口的防火墙为例）In terfaceethernetO auto # 0号网卡系统自动分配为WAh网卡，” auto ”选项为系统自适应网卡类型In terface ether net1 auto（b） 配置防火墙内、外部网卡的IP地址IP address in side ip_address n etmask# In side 代表内部网卡IP address outside ip_address n etmask# outs

49、ide代表外部网卡（c）。指定外部网卡的IP地址范围：global 1 ip_address ip_address（d）.指定要进行转换的内部地址nat 1 ip_address n etmask（e）. 配置某些控制选项：conduit global_ip port-port protocol foreign_ip netmask其中， global_ip ：指的是要控制的地址； port ：指的是所作用的端口 ,0 代表所有端 口； protocol :指的是连接协议,比如：TCP UDP等;foreign_ip :表示可访问的globalp 外部 IP 地址； netmask: 为可选项

50、，代表要控制的子网掩码。7）配置保存： wr mem8）退出当前模式此命令为 exit ，可以任何用户模式下执行，执行的方法也相当简单 , 只输入命令本身 即可。它与 Quit 命令一样。下面三条语句表示了用户从配置模式退到特权模式，再退到 普通模式下的操作步骤 .pixfirewall（config） # exitpixfirewall exitpixfirewall 9） 查看当前用户模式下的所有可用命令：show,在相应用户模式下键入这个命令后， 即显示出当前所有可用的命令及简单功能描述。10）查看端口状态： show interface ，这个命令需在特权用户模式下执行，执行后即 显示

51、出防火墙所有接口配置情况。11） 查看静态地址映射：show static, 这个命令也须在特权用户模式下执行，执行后 显示防火墙的当前静态地址映射情况 .3。Cisco PIX 防火墙的基本配置1） 同样是用一条串行电缆从电脑的COM口连到Cisco PIX 525防火墙的con sole 口;2）开启所连电脑和防火墙的电源 , 进入 Windows 系统自带的 "超级终端 "，通讯参数可按系统默然。进入防火墙初始化配置，在其中主要设置有 :Date（ 日 期）、 time（ 时间 ）、 host name（主机名称）、in side ip address（内部网卡 IP

52、 地址）、doma in （主域）等，完成后也就建立了一个初始化设置了 . 此时的提示符为 :pix255> 。3）输入 enable 命令，进入 Pix 525 特权用户模式 ,默然密码为空 . 如果要修改此特权用户模式密码， 则可用 enable password 命令，命令格式为： enablepassword password encrypted ，这个密码必须大于 16 位。 Encrypted 选项是确定所加 密码是否需要加密。4）定义以太端口：先必须用 enable 命令进入特权用户模式，然后输入 configure terminal （可简称为 config t ） ,

53、进入全局配置模式模式 . 具体配置pix525 enablePassword ：pix525 config tpix525 （config） interface ethernet0 autopix525 （ config） interface ethernet1 auto在默然情况下 ethernet0 是属外部网卡 outside, ethernet1 是属内部网卡 inside ， inside 在初始化配置成功的情况下已经被激活生效了，但是 outside 必须命令配置激活。5) clock配置时钟 , 这也非常重要，这主要是为防火墙的日志记录而资金积累的，如果日志记 录时间和日期都不准

54、确，也就无法正确分析记录中的信息。这须在全局配置模式下进行。时钟设置命令格式有两种，主要是日期格式不同 , 分别为：clock set hh： mm:ss month day month year 和 clock set hh： mm:ss day month year 前一种格式为：小时：分钟：秒 月 日 年；而后一种格式为：小时：分钟 : 秒 日 月 年,主要在日、月份的前后顺序不同. 在时间上如果为 0,可以为一位，如 :21：0：0。6) 指定接口的安全级别 指定接口安全级别的命令为 nameif ，分别为内、 外部网络接口指定一个适当的安全级 别。在此要注 意 , 防火墙是用来保护内

55、部网络的，外部网络是通过外部接口对内部网络构 成威胁的，所以要从根本上保障内部网络的安全，需要对外部网络接口指定较高的安全级 别,而内部网络接口的安全级别稍低， 这主要是因为内部网络通信频繁、 可信度高。在 Cisco PIX 系列防火墙中，安全级别的定义是由 security ()这个参数决定的，数字越小安全级 别越高， 所以 security0 是最高的， 随后通常是以 10 的倍数递增， 安全级别也相应降低。 如下例：pix525(config)#nameif ethernet0 outside security0 # outside 是指外部接口 pix525(config ) nameif ethernet1 inside security100 # inside 是指内部接口7) 配置以太网接口 IP 地址所用命令为： ip address ，如要配置防火墙上的内部网接口 IP 地址为： 192.168.1 。 0 255 。255.255.0 ；外部网接口 IP 地址为： 220。154。20.0 255 。255.25