防火墙在防范局域网内外部攻击中的应用

1、防火墙在防范局域网内外部攻击中的应摘 要：对防火墙防范来自外部攻击和病毒，以及来自局域网内部攻击 2个方面的应用进行了论述。并以华为公司的防火墙产品为例介绍了防火墙的配 置以及防火墙在安全防护中存在的问题。关键词：防火墙;网络安全;局域网安全防火墙是目前网络中用来保证内部网路安全的主要技术。防火墙类似于建筑大厦中用于防止火灾蔓延的隔断墙Internet防火墙是一个或一组实施访问控制策略的系统，它监控可信任网络（相当于内部网络）和不可信任网络（相 当于外部网络）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。防 火墙作用于被保护区域的入口处，基于访问控制策略提供安全防护。K防火墙保护局域网

2、络防范外部攻击的配置与应用1. 1网络中常见的攻击种类随着网络技术的普及，网络攻击行为出现得越来越频通过各种攻击软件，只要具有一般计算机常识的初学者也能完成得越来越频通过各种攻击软件，只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥，也加剧了网络被攻击的危险。网络攻击，一般是侵入或破坏网上的服务器（主机），盗取服务器的敏感数据或干扰破坏服务器对外提供的服务;也有直接破坏网络设备的网络攻击，这种 破坏影响较大，会导致网络服务异常，甚至中断。防火墙的攻击防范功能能够检 测出多种类型的网络攻击，并能采取相应的措施保护局域网络免受恶意攻击，保 证内部局域网络及系统的正常运行。在网

3、络中常见网络攻击行为有：IP地址欺骗攻击:Land攻击;Smurf攻击:Fraggle攻击:Teardrop攻击;WinNuke攻击;SYN Flood攻击;ICMP和UDP F lood攻击;地址扫描与端口扫描攻击;Ping ofDea th 攻击。1. 2防火墙的典型组网配置和攻击防范目前网络中主要使用防火墙来 保证局域网络的安全。例如：当防火墙位于内部网络和外部网络的连接处时，可 以保护组织内的局域网络和数据免遭来自外部网络的非法访问（未授权或未验证 的访问）或恶意攻击;当防火墙位于组织内部相对开放的网段或比较敏感的网段 （如保存敏感或专有数据的网络部分）的连接处时，可以根据需要过滤对敏

4、感数 据的访问（即使该访问来自组织内部）。如图1所示，是一个典型的防范外部攻击的防火墙应用网络模型，分别 接入互联网和远端分支机构，并使用不同级别的安全策略保护内部网络。其中防 火墙位于内部网络、外部网络和DMZ区域中间，主要防止来自外部网络的攻击 和病毒，同时允许内部网络访问外部网络和DMZ区域。下面以华为公司的防火墙为例，防范以上各种攻击，配置如下：#firewa II defend ip - spoofing enablefirewa II defend land enablefirewa II defend smurf enablefirewa II defend fraggle en

5、ablefirewa II defend winnuke enablefirewa II defend syn flood enablefirewa II defend udp - flood enablefirewa II defend icmp flood enablefirewa II defend icmp - redirect enablefirewa II defend icmp - unreachable enablefirewa II defend ip sweep enablefirewa II defend port - sean enablefirewa II defen

6、d source - route enablefirewa II defend route - record enablefirewa II defend tracert enablefirewa II defend time - stamp enablefirewa II defend ping - of death enablefirewa II defend teardrop enablefirewa II defend tep - flag en ablefirewa II defe nd ip - frag me nt en ablefirewa II defe ndlarge -

7、icmp enable#1. 3防火墙在防病毒攻击上的应用对于互联网上的各种 蠕虫病毒、震荡波病毒等，必须能够判断出网络蠕虫病毒、震荡波病毒的特征, 把网络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的防护。因此我们启用防火墙的实 时网络流量分析功能，及时发现各种攻击和网络蠕虫病毒产生的异常流量。可以 使用防火墙预先定义的流量分析模型，也可以自己定义各种协议流量的比例，连 接速率阈值等参数，形成适合当前网络的分析模型。比如，用户可以指定系统 的TCP连接和UDP连接总数的上限阈值和下限阈值。当防火墙系统的TCP或UDP连接个数超过设定的阈值上限后，防火墙将输出日志进行

8、告警，而当TCP、UDP连接个数降到设定的阈值下限时，防火墙输出日志，表示连接数恢复到正常。另外，也可以指定配置不同类型的报文在正常情况下一定时间内所占的百分 比以及允许的变动范围，系统定时检测收到的各类报文百分比，并和配置进行比 较，如果某类型（T、UD、IM或其它）报文百分比超过配置的上限阈值（加波动范围），则系统输出日志告警;如果某类型报文百分比低于配置的下限阈值（加波动范围），则系统输出日志告警。!1!己置如下:!1!己置如下:3、使能系统统计功能firewall statistics system enable3使能系统连接 数量监控 firewall sta tistics sys

9、tem connect - numbe r tcp |udp high 500 000 low 1 3使能系统报文比率异常告警检测firewall sta tistics system flow -percent tcp tcp percent udp udp - percent icmp icmp percent al2teration a Itera tion pe rcent time time - value 在网络中，通过测试其中TCP、UDP、ICMP报文分别所占的百分比 为75%、15%. 5%;变动的范围为25%;检测周期为60mino此命令TCP、UDP、ICMP3种报文所占

10、百分比需要同时被配置，并且 3种报文所占百分比之和不能超过100%;如果TCP、UDP、ICMP3种报文百分 比之和超过100%,则命令不会生效此外，病毒攻击产生大量的未知单播报文冲 击，造成网络振荡和设备故障，所以必须在所有交换机配置防病毒ACL规则对 病毒报文进行过滤。例如对震荡波病毒的防范如下：rule 47 deny tcp de stination - port eq 445 （防震荡波病毒）rule 50 deny udp destination - port eq 445 （防震荡波病毒）rule 55 deny tcp destina tion - port eq 5554 （

11、防震荡波病毒）rule 57 deny tcp destina tion - port eq 9996 （防震荡波0Q病毒）2内部隔离造成当前网络安全危机的另外一个因素是忽视对内网安全的 监控管理。防火墙防范了来自网络外部的攻击，对于潜伏于网络内部的黑手却置 之不理，事实上很多攻击的源头来自局域网内部，出现网络内部数据泄密，通过0QNAT的网络内部的攻击行为无法进行审计。由于对网络内部缺乏防范，当网络内部主机感染蠕虫病毒时，会形成可以感染整个互联网的污染源头，导致整个互联网络环境低劣。所以，对于网络管理者，不但要关注来自局域网络外部的威胁，而且要 防范来自网络内部的恶意行为。防火墙可以提供对网

12、络内部安全保障的支持，形 成全面的安全防护体系。如果企业内部网络规模较大，并且设置有虚拟局域网(VL N)，则应该在各个VLAN之间设置防火墙;因此，在企业、机构等重要部门或者关 键数据中心应部署防火墙，保证重要数据的安全。通过防火墙强大的访问控制以及内网的安全特性，在高安全性的内部网络保证机密数据的合法访问，并且通过分级的策略控制，实现网络内部的分级安 全保障。在受保护的内部网络，如何防范来自网络内部的攻击将是网络安全领域 面临的一个十分重要的问题。在IP协议栈中，ARP是以太网上非常重要的一个 协议。以太网网络中的主机，在互相进行IP访问之前，都必须先通过ARP协议 来获取目的IP地址对应

13、的MAC地址。在通过路由器、三层交换机作为网关时， PC机为了把数据发送到网关，同样需要通过ARP协议来获取网关的MAC地 址。由于ARP协议本身不具备任何安全性，所以留下了很多的安全漏洞。主机欺骗：恶意的网络客户可以伪造出别的客户的ARP报文，使被攻击的客户不能正常进行网络通讯。网关伪造：恶意的网络客户可以伪造网关的ARP应答，在ARP应答报 文中把网关的IP地址对应的MAC地址设置为自己的MAC地址，那么，网络中 所有的客户都会把数据发送到恶意网络客户的主机上。ARP轰炸：恶意客户主机发出大量的不同IP对应不同的MAC的ARP 报文，让网络中的设备ARP表都加入最大数量的ARP表项，导致正

14、常的ARP 不能加入，从而中断网络流量。防火墙通过以下几种方式来解决上述内部网络的地址安全性：()M地址和I地址绑定配置如下配置客户机I地址和M地址到地址绑 定关系中。Quidway firewall mac - binding202. 169. 168. 1 OOeO -fcOO - 0100 使 能地址绑定功能。Quidway firewall mac - bindingenable( 2) ARP 欺骗检查：firewall defend arp - reve rse - query( 3)ARP 反向查询 firewall defend arpspoofing3防火墙的性能测试通过上述

15、方法可以解决网络中的攻击问题以及内网的安全问题，但是防火墙在使用中，通过测试存在以下几个问题。3. 1防火墙无法检测加密的Web流量由于网络防火墙对于加密的SSL流中的数据是不可见的，防火墙无法迅速截获SSL数据流并对其解密，因此无法阻止应用程序的攻击，甚至有些网络防火墙，根本就不提供数据解密的功 能。3. 2 普通应用程序加密就能轻易躲过防火墙的检测大多数网络防火 墙中，依赖的是静态的特征库，只有当应用层攻击行为的特征与防火墙中的数据 库中已有的特征完全匹配时，防火墙才能识别和截获攻击数据。如果采用常见的 编码技术，将恶意代码和其它攻击命令隐藏起来，转换成某种形式，只要与防火 墙规则库中的规则不一样，就能够躲过网络防火墙，成功避开特征匹配。3 3对于W应用程序，防范能力不足据年趋势科技公司统计，网络攻击中70%来自于Web应用程序的攻击，由于体系结构的原因，即使是最先进 的网络防火墙，在防范Web应用程序时，由于无法全面控制网络、应用程序和 数据流，也无法截获应用层的攻击。由于对于整体的应用数据流，缺乏完整的、 基于会话(Se ssion)级别的监控能力，因此很难预防新的、未知的攻击。以上防火墙的不足可以通过其它安全工具来解决。因此在网络中，需要防火墙和病毒网关结合使用。4、结语作为内部网络与外部公