防火墙的基础知识科普.docx

《防火墙的基础知识科普.docx》由会员分享，可在线阅读，更多相关《防火墙的基础知识科普.docx（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、防火墙的基础知识科普 防火墙主要由四个部分组成：服务访问规则、验证工具、包过滤和应用网关。全部计算机的一切输入输出的网络通信和数据包都要经过防火墙。下面就让我带你去看看防火墙的基础学问科普，希望能帮助到大家! 网络基础学问：TCP协议之探测防火墙 为了平安，主机通常会安装防火墙。防火墙设置的规则可以限制其他主机连接。例如，在防火墙规则中可以设置IP地址，允许或阻挡该IP地址主机对本机的连接;还可以设置监听端口，允许或阻挡其他主机连接到本地监听的端口。 为了清晰地了解目标主机上是否安装防火墙，以及设置了哪些限制，netwo_工具供应了编号为76的模块来实现。它通过发送大量的TCPSYN包，对目标

2、主机进行防火墙探测，并指定端口通过得到的响应包进行推断。 假如目标主机的防火墙处于关闭状态，并且指定的端口没有被监听，将返回RST，ACK包。 假如目标主机上启用了防火墙，在规则中设置了端口，阻挡其他主机连接该端口，那么在探测时将不会返回响应信息。假如设置为允许其他主机连接该端口，将返回SYN，ACK包。 假如在规则中设置了IP地址，并允许该IP地址的主机进行连接，探测时返回SYN，ACK包;当阻挡该IP地址的主机进行连接，探测时将不会返回数据包。 由于它可以发送大量的TCPSYN包，用户还可以利用该模块实施洪水攻击，耗尽目标主机资源。 在主机192.168.59.131上对目标主机192.1

3、68.59.133进行防火墙探测。 1)向目标主机端口2355发送TCPSYN包，探测是否有防火墙。执行吩咐如下： rootda_ueba:# netwo_ 76 -i 192.168.59.133 -p 2355 执行吩咐后没有任何输出信息，但是会不断地向目标主机发送TCPSYN包。 2)为了验证发送探测包状况，可以通过Wireshark抓包进行查看，如图1所示。其中，一部分数据包目标IP地址都为192.168.59.133，源IP地址为随机的IP地址，源端口为随机端口，目标端口为2355。这些数据包是探测防火墙时发送的TCPSYN数据包。另一部分数据包源IP地址为192.168.59.13

4、3，目标IP地址为随机的IP地址，源端口为2355，目标端口为随机端口。这些数据包为对应的响应包。这里的响应包为RST，ACK包，表示目标主机的防火墙没有开启，并且目标主机没有监听2355端口。 3)目标主机没有开启防火墙时，假如监听了端口(如监听了49213端口)，将会得到SYN，ACK响应包，如图2所示。其中，一部分数据包的源IP地址为192.168.59.133，目标IP地址为随机的IP地址，源端口为49213，目标端口为随机端口。这些数据包为对应的响应包。这里的响应包为第2次握手包，表示目标主机监听了49213端口。 4)当目标主机上开启了防火墙，再进行探测时，假如目标主机监听了端口，

5、并且在防火墙规则中允许连接到该端口，那么将会收到SYN，ACK响应包。假如不允许连接到该端口，那么将不会返回任何响应数据包。例如，防火墙规则中不允许连接49213端口，那么在探测时，将只有TCPSYN包，如图3所示。其中，全部的数据包目标IP地址都为192.168.59.133，源IP地址为随机的IP地址，源端口为随机端口，目标端口为49213。这些数据包就是探测时发送的TCPSYN包。 5)目标主机的防火墙规则可能限制了特定IP地址的主机进行连接。那么，在进行探测时，其他IP地址的TCPSYN包会得到对应的SYN，ACK响应包，被限制的IP地址主机将不会收到响应包。捕获到的探测数据包，如图4

6、所示。其中，伪造了大量的IP地址向目标主机发送的TCPSYN包。例如，第45个数据包为伪造主机19.182.220.102向目标主机192.168.59.133发送的探测包。第53个数据包为伪造主机223.145.224.217向目标主机192.168.59.133发送的探测包。 6)通过显示过滤器，过滤主机19.182.220.102的数据包，如图5所示。图中第45个数据包为发送的探测包，第283个数据包为对应的响应包SYN，ACK。这说明目标主机防火墙规则中没有限制主机19.182.220.102的连接。 7)过滤主机223.145.224.217的数据包，如图6所示。该数据包为进行探测发

7、送的SYN包，主机IP地址为223.145.224.217，但是该数据包没有对应的响应包。这说明目标主机防火墙规则中限制了主机223.145.224.217的连接。 8)对目标主机实施洪水攻击，在攻击之前，在目标主机上查看全部端口的相关状态信息，如图7所示。其中，192.168.59.133：49213表示主机192.168.59.133开启了49213端口。状态列中的LISTENING表示该端口处于监听状态。 9)对目标主机进行洪水攻击，执行吩咐如下： rootda_ueba:# netwo_ 76 -i 192.168.59.133 -p 49213 10)再次在目标主机上查看全部端口的相

8、关状态信息，如图8所示。图中显示了大量的地址192.168.59.133：49213，表示有大量的主机连接了主机的49213端口。其中，1.11.56.194：49356表示，主机1.11.56.194的49356端口连接了主机192.168.59.133的49213端口。 科普 l 防火墙的基础学问整理 一、基本特征 1、内外部网络之间的一切网络数据流都必需经过防火墙 2、只有符合平安策略的数据流的数据才能通过防火墙 3、防火墙本身就应当具备特别强的抗攻击和免疫力 4、应用层防火墙应当具备更精细的防护实力 5、数据库防火墙应当具备针对数据库恶意攻击的阻断实力 二、主要优点 1、防火墙具有强化

9、平安策略的实力。 2、防火墙可以有效对Internet上的活动进行记录。 3、防火墙具有限制暴露用户点的实力，可以用来隔开网络中的网段，有效防止其中某一网段的出现问题时影响其他网段。 4、防火墙是一个检查站。全部输入输出的信息都必需通过防火墙的检查，确认平安才能通过，可疑的访问全都会被拒绝于门外。 三、基本功能 1.对进出网络的数据进行过滤 2.管理用户进出访问网络的行为 3.封堵禁止的业务 4.记录全部通过防火墙信息内容和活动 5.对网络攻击行为进行检测和告警 四、防火墙的分类 根据防火墙的实现方式可将防火墙分为下列几种： 1、包过滤防火墙：包过滤防火墙比较简洁，但缺乏敏捷性。而且包过滤防火

10、墙每个包通过时都须要进行策略检查，一旦策略过多会导致性能的急剧下降。 2、代理型防火墙：平安性高，但开发成本也很高，假如每个应用都开发一个的代理服务的话是很难做到的。所以代理型防火墙须要针对某些业务应用，不适合很丰富的业务。 3、状态检测防火墙：属于高级通信过滤，在状态检测防火墙中，会维护着一个会话表项，通过Session表项就能推断连接是否合法访问，现在主流的防火墙产品多为状态检测防火墙。 论防火墙之基础学问 1.防火墙原理 通过匹配数据包中的源目IP地址及源目端口或者协议，地址转换及隐藏端口等，定义相应策略，从而实现需求及效果。 2.作用 2.1防止外部攻击，爱护内网; 2.2在防火墙上做

11、NAT地址转换(源和目的); 2.3基于源地址及目的地址应用协议及端口做策略规则，限制访问关系; 2.4限定用户访问特别站点 2.5管理访问网络的行为 2.6做监管认证 3.部署位置(以Hillstone SG6000为例) 一般部署在出口位置，如出口路由器等，或者区域出口 4.接入方式 三层接入(须要做NAT转换，常用) 二层透亮接入(透亮接入不影响网络架构) 混合接入(一般有接口须要配置成透亮模式，可以支持此模式) 5.平安域划分 5.1一般正常三个平安域untrust(外网)、trust(内网)、DMZ 5.2服务器网段也可自定义多个，外网接口ip地址：客户供应 5.3内网口ip地址：假

12、如内网有多个网段，建议在中心交换机配置独立的VLAN网段，不要与内网网段相同。 5.4假如客户内网只有一个网段，没有中心交换机，则把防火墙内网口地址设置为客户内网地址段，并作为客户内网网关(运用于中小型网络) 5.5 DMZ口ip地址：建议配置成服务器网段的网关 配置基本思路： 配置平安域(默认三个平安域) 配置接口地址 配置路由 默认路由：其中指定的接口：untrust(外网)接口，假如有多个出口，可以在这选择不同的接口，其中网关为跟FW互联设备接口的地址，比如59.60.12.33是给电信给的出口网关地址。 静态路由：网关地址为下一跳地址，客户内部有多个VLAN，须要配置静态路由，比如客户

13、内部有172.16.2.0/24,172.16.3.0/24等多网段，可以指定一条静态路由。 6.配置策略 Rule id 4 Action permit /动作允许 log session-start log session-end src-zone "untrust" /源平安域为untrust dst-zone "trust" /目的平安域为trust src-addr "_广场_10.126.242.3" dst-addr "_系统_144.160.31.139" service "Any&quo

14、t; description "_广场访问_系统" e_it /源地址_广场访问目的地址_系统 6.1配置平安域之间的允许策略 6.2配置trust到untrust的允许全部的策略 6.3配置DMZ到untrust的允许全部的策略 6.4配置trust到DMZ的允许全部的策略 6.5配置untrust到DMZ服务器的允许策略 6.6配置untrust到trust服务器的允许策略 (有时候有需求是从untrust访问trust内部地址的需求，同样要先做目的NAT，然后配置从untrust到trust的允许策略) 7.配置具体策略 一般为了使接口流量能够流入或者流出接口，将接口

15、绑定到某个平安域下。 三层平安域，还需为接口配置ip地址，然后规定策略，多个接口可以绑定到一个平安域下，但是一个接口不能被绑定到多个平安域。 策略查询： 系统会依据数据包的源平安域、目的平安域、源ip地址及端口号和目的ip地址及端口号及协议等，查找策略规则，假如找不到策略，则丢弃数据包，假如找到相应的策略，则依据规则所定义的动作来执行，动作为允许、拒绝、隧道。 7.1配置策略规则 Address address1 Ip address 192.168.10.1 255.255.255.0 Policy from l2-trust2 to l2-untrust2 Rule from ipaddr

16、ess1 to any service any permit /从地址1来的全部服务都允许通过 7.2平安域 Trust、untrust、DMZ、l2-trust、l2-untrust、l2-DMZ。 接口绑定到域，并且绑定到vswitch，二层和三层域确定了接口工作在二层模式还是三层模式。 创建vswitch2，创建二层平安域trust1，将trust1绑定到vswitch2中，再将eth0/0绑定到trust1中： 配置示例： Vswitch vswitch2 Zone trust1 l2 Bind vswitch2 Int eth0/0 Zone trust1 配置平安域： Zone +

17、域名称 L2+指定所创建域为二层域 在全局模式下运用no zone+域名称则删除指定域 绑定二层域到vswitch，默认状况下，每一个二层域都被绑定到vswitch1中 7.3接口模式 物理接口：设备上eth0/0、eth0/1等都属于物理接口 逻辑接口：VLAN接口、环回接口、等属于逻辑接口。 二层接口：属于二层域以及VLAN的接口均属于二层接口 三层接口：属于三层域的接口都属于三层接口，只有三层接口在NAT/路由模式下工作。 8.Juniper?SSG-550M防火墙 运用Get system 查看版本信息等 运用Get interface查看接口状态，系统默认的登录用户名和密码都为net

18、screen 几个系统默认的平安区及接口：平安域中如无物理接口存在，则无实际意义。 Trust eth1口 Untrust eth4口 DMZ eth3口 接口模式 NAT模式 当流量从端口流入，再流出端口时，源地址会转换为接口的地址，不管策略中转换池有没有指定源地址转换，接口会进行转换，eth1口默认是NAT默认，运用时修改为router模式。 路由模式 (更加敏捷，常用)当流量从端口流入，再流出端口时，假如在策略中转换池指定源地址转换了，则流出端口时会进行转换，如策略地址池中无源地址转换策略，则不会进行转换。 Juniper防火墙地址转换方式 MIP静态一对一地址转换 VIP虚拟一对多地址

19、转换 DIP动态多对多地址转换 配置MIP和VIP时转换时有要求，转换后的地址必需是与eth1内网口地址所属同一网段，否则无法运用，而DIP不受此规则限制看，所以比较敏捷。 1.QOS流量限制 作用：对流量进行限速，增加链路带宽 实现方式：先对须要限速的报文分类标记，然后进行流量策略匹配，将流策略和流行为进行绑定，然后应用于接口。 2.Ospf 10 area 1 运用OSPF协议 Ospf路由协议，手动配置，路由表自动生成 ospf协议特点： 1.1路由信息传递与路由计算分别 1.2无路由自环收敛速度快 1.3以带宽作为选路条件，更精确 1.4支持无类域间路由 1.5运用ip组播收发协议数据

20、 1.6支持协议报文的认证 OSPF开销： COST=参考带宽/实际带宽(参考带宽缺省100) 3.起子接口连接各支行 在接口下启用子接口，配置IP地址，连接各支行 4.做NQA检测 主要检测地市分行核心路由器到数据中心出口路由器，主备线路，当检测到主链路出现故障时，切换到备用链路上。 5.运用静态路由 静态路由，手动配置，路由表逐条添加 6.NTP时钟服务 设置NTP时钟服务器，同步各设备时间。 7.SSH远程登录 远程登录设备限制 8.静态NAT网络地址转换 可以针对源地址转换，针对目的地址转换。 防火墙的基础学问科普本文来源：网络收集与整理，如有侵权，请联系作者删除，谢谢！第16页 共16页第 16 页 共 16 页第 16 页 共 16 页第 16 页 共 16 页第 16 页 共 16 页第 16 页 共 16 页第 16 页 共 16 页第 16 页 共 16 页第 16 页 共 16 页第 16 页 共 16 页第 16 页 共 16 页