防火墙技术的研究.pdf

《防火墙技术的研究.pdf》由会员分享，可在线阅读，更多相关《防火墙技术的研究.pdf（42页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 毕业论文 （防火墙技术研究）概括：随着计算机和网络技术的不断普及和应用，人们越来越重视网络安全。防火墙作为一种隔离网络部门安全和外部不可信网络的防御技术，已经成为一种计算机技术。网络安全机构的重要组成部分。笔者在研究防火墙技术和使用一些防火墙产品的过程中，发现防火墙在抵抗一些网络攻击方面还存在缺陷，所以在本文中提出了自己的观点并进行了技术改进，让防火墙能够更好保护部门网络。安全。首先通过数据和案例分析说明网络安全的重要性，介绍几种常用的网络安全技术。然后详细介绍了防火墙的概念、内涵、技术原理、架构和主要类型。查阅大量书籍、网络文章、具体防火墙操作和核分析，找出防火墙本身在应对各种攻击时的缺陷

2、。确保网络不被非法入侵，重要数据不被窃取和破坏。目录 第 1 章介绍 第 2 章防火墙的概念 第一部分防火墙的概念 第二节 防火墙的优缺点 第三节 防火墙功能概述 第四节 防火墙工作原理分析 第三章几种典型的防火墙 第一节 天网防火墙系统 第 2 节 FortiGate 病毒防火墙 第三节 CISCO PIX 防火墙 方正数码方御防火墙系列产品之四 第 4 章 防火墙配置示例 第 5 章 防火墙的基本类型 第 1 节 包过滤 第 2 节 网络地址转换-NAT 第三节申请代理 第四节状态检测 第六章防火墙未来发展方向 第 7 章概要 评论 参考 第一章 简介 随着社会信息传播进程的深入和互联网的

3、快速发展，人们的工作、学习和生活方式通过与互联网的紧密联系发生了巨大的变化，信息资源得到了最大程度的共享。但同时也要看到，随着信息化语音的发展，网络安全问题日益突出，成为全社会关注的焦点。互联网上的病毒、黑客、网络犯罪等给网络安全带来了巨大的威胁，随着网络规模的不断扩大，网络安全事件的数量及其造成的损失也呈指数级增长。方法也是无穷无尽的。如果不能很好地解决这个问题，就会阻碍信息技术的发展。现在网络威胁种类繁多，如病毒、垃圾邮件、间谍软件、广告软件、网络钓鱼、拒绝服务、网络劫持等。从发现漏洞到漏洞病毒出现的时间间隔越来越短：病毒传播方式越来越隐蔽和多样化。第二章防火墙概述 第一节 防火墙概念 所

4、谓防火墙，是一种将部门与公共访问分开的方法，它实际上是一种隔离技术。防火墙是在两次通信期间实现的访问控制规模。它允许您同意的人和数据进入您的网络，同时将您不同意的人和数据拒之门外，最大程度地防止网络中的黑客入侵。访问您的网络。也就是说，公司部门的人不通过防火墙就不能上网，上网的人也不能和公司部门的人交流。防火墙的优缺点 1.包过滤防火墙 使用包过滤防火墙的优点包括：防火墙对进出网络的每个数据包进行低级别控制 检查每个 IP 数据包的字段，例如源地址、目标地址、协议、端口等。防火墙将根据这些应用过滤规则。防火墙可以识别并丢弃带有欺骗源 IP 地址的数据包。包过滤防火墙是两个网络之间的唯一来源。因

5、为所有的通信都必须通过防火墙，绕过是困难的。包过滤通常包含在路由器包中，因此不需要额外的系统来处理此功能。使用包过滤防火墙的缺点包括：难以配置。由于包过滤防火墙比较复杂，人们常常忽略了一些必要的规则的建立，或者错误地配置了已有的规则，从而在防火墙中留下了漏洞。然而，市场上许多较新版本的防火墙正在改进这一缺点，因为开发人员实施了基于图形用户界面(GUI)的配置和更直接的规则定义。为特定服务开立的交易对手存在风险，可能会被用于其他传输。比如 web 服务器的端口是 80，而电脑上安装了RealPlayer，那 么 它 会 搜 索 一 个 可 以 允 许 连 接RealPlayer 服务器的端口，不

6、管这个端口是否被其他协议使用，而 RealPlayer 恰好使用 80.端口 2 搜索。所以不经意间，RealPlayer 使用了 Web 服务器的端口。可能还有其他方法可以绕过防火墙进入网络，例如拨号连接，但这并不是防火墙本身的缺点，而是您不应仅仅依靠防火墙来确保网络安全的原因。2.状态/动态检查防火墙 状态/动态检测防火墙的优点是：能够检查 IP 数据包的每个字段并遵循基于数据包的过滤规则。能够识别具有欺骗性源 IP 地址的数据包。包过滤防火墙是两个瞭望塔之间的唯一访问源。因为所有的通信都必须通过防火墙，绕过是困难的。基于应用程序验证数据包状态的能力，例如基于已建立的 FIP 连接，允许返

7、回的 FTP 数据包通过。应用程序验证数据包状态的能力，例如，允许先前经过身份验证的连接继续与授权服务通信。能够记录通过的每份报纸的详细信息。基本上，防火墙用来确定数据包状态的所有信息都可以记录下来，包括应用程序对数据包的请求、连接持续时间、外部和外部系统发出的连接请求等。状态/动态检测防火墙的缺点：状态/动态检查防火墙的唯一缺点是所有这些日志记录、测试和分析都可能导致网络连接出现某种延迟，尤其是当有许多连接同时处于活动状态时，或者当有很多规则过滤网络流量。然而，硬件越快，这个问题就越不明显，防火墙制造商一直在努力提高其产品的速度。3.应用代理防火墙 使用应用程序代理防火墙的优点是：指定对连接

8、的控制，例如根据服务器的 IP 地址允许或拒绝访问，或者根据用户请求连接的 IP 地址允许或拒绝访问。通过限制对某些协议的传出请求，减少网络中不必要的服务。大多数代理防火墙都能够记录所有连接，包括地址和持续时间。写入信息对于跟踪发生的攻击和未经授权的访问事件很有用。使用应用代理防火墙的缺点是：用户的系统必须在一定程度上进行定制，这取决于所使用的应用程序。某些应用程序可能根本不支持代理连接。4.NAT 使用 NAT 的优点是：所有 IP 地址都对外人隐藏。因此，网络之外的任何人都不能通过指定其 IP 地址直接攻击网络上的任何特定计算机。如果由于某个公网 IP 地址资源不足，NAT 可以让整个网络

9、共享一个 IP 地址。可以启用基本数据包过滤防火墙安全性，因为所有未专门配置为 NAT 的传入数据包都将被丢弃。外网的计算机是不可能直接访问外网的。使用 NAT 的缺点：NAT 的缺点与包过滤防火墙相同。虽然它可以保护该部的网络，但它也有一些类似的限制。而且，网络可以利用广为流传的木马通过 NAT 进行对外连接，就像通过包过滤防火墙一样容易。注意：有很多厂商开发的防火墙，尤其是状态/动态检测防火墙，除了应有的功能外，还提供了 NAT 功能。5.个人防火墙 个人防火墙的优点是：更高的保护级别，无需额外的硬件资源。个人防火墙可以抵抗攻击，也可以抵抗部的攻击。个人防火墙为公共网络中的单个系统提供保护

10、。例如，家庭用户使用调制解调器或 ISDN/ADSL 上网。也许硬件防火墙对他来说太贵了，或者太麻烦了。两个个人防火墙已经能够隐藏在 Internet 上暴露的信息，例如 IP 地址和其他信息。个人防火墙的缺点：个人防火墙的主要缺点是它们对于公共网络只有一个家庭借口。请记住，真正的防火墙应该监视和控制两个或多个网络接口之间的流量。因此，个人防火墙本身可能容易受到攻击，或者具有网络流量可以绕过防火墙规则的弱点。好吧，上面我们已经介绍了累积防火墙并讨论了每种防火墙的优缺点。请记住，任何一种防火墙都只能为网络通信或数据传输提供更有保障的安全性，但我们不能完全依赖防火墙。除了依靠防火墙来保证安全之外，

11、还要加强系统的安全性，提高自身的安全意识。这样，数据和网站将更加安全。第三节 防火墙功能概述 防火墙是网络安全的障碍：防火墙（充当阻塞点、控制点）可以通过过滤不安全的服务来大大提高网络的安全性并降低风险。网络环境变得更加安全，因为只有精心摘 要的应用协议才能通过防火墙。例如，防火墙可以禁止众所周知的不安全的 NFS 等协议进出受保护的网络，使外部攻击者无法利用这些易受攻击的协议攻击内部网络。防火墙还保护网络免受基于路由的攻击，例如源路由攻击和 IP 选项中的 ICMP 重定向路径。防火墙应该能够拒绝上述所有类型的攻击数据包并通知防火墙管理员。防火墙可以强制执行网络安全策略：通过以防火墙为中心的

12、安全方案配置，可以在防火墙上配置所有的安全软件（如密码、加密、身份认证、审计等）。防火墙的集中安全管理比将网络安全网络问题分配给单个主机更经济。例如，在访问网络时，一次性密码系统等身份认证系统不需要分散在每台主机上，而是集中在防火墙上。监控和审计网络访问和访问：如果所有访问都通过防火墙，防火墙可以记录和记录这些访问，并提供网络使用情况的统计信息。当发生可疑行为时，防火墙可以发出适当的警报，并提供有关网络是否受到监视和攻击的详细信息。此外，收集网络的使用和误用非常重要。第一个原因是要知道防火墙是否可以被低级攻击者探索和攻击，防火墙的控制是否足够。并且网络使用统计对于网络需求分析和威胁分析也非常重

13、要。为防止部信息外泄：通过防火墙对局部网络的划分可以实现局部网络关键网段的隔离，从而限制本地关键或敏感网络安全问题对全局网络的影响。此外，隐私是部门网络非常关注的问题，部门网络中不显眼的细节可能包含有关安全的线索，引起外部攻击者的兴趣，甚至暴露部门的一些安全漏洞。使用防火墙可以隐藏 Finger、DNS 等服务的哪些部门。Finger 显示了主机所有用户的注册名、真实姓名、上次登录时间和 shell 类型。但是 Finger 显示的信息很容易被攻击者学习。攻击者可以指示系统的使用频率、系统的用户是否连接到互联网、系统在受到攻击时是否引起注意等等。防火墙还可以阻止相关网络中的 DNS 信息，使主

14、机的域名和 IP 地址不为外界所知。除了安全功能外，防火墙还支持具有互联网服务特性的企业网络技术体系的 VPN。通过 VPN，将分布在世界各地的企事业单位的局域网或私有子网有机地连接成一个整体。不仅节省专用通信线路，还为信息共享提供技术支持 第四节 防火墙工作原理分析 防火墙是一种过滤插件，你可以让你喜欢的东西通过这个插件，而其他的东西都被过滤掉。在网络世界中，被防火墙过滤的是携带通信数据的通信包。世界上的防火墙至少会说两个字：是或否。简单地接受或拒绝。最简单的防火墙是以太网桥。但很少有人会争辩说，这种原始的防火墙可能会有很大用处。大多数防火墙使用多种技术和标准。这些防火墙有多种形式：它们取代

15、了系统上已经配备的 TCP/IP 协议栈；他们在现有的协议栈上构建自己的软件模块；有些只是一组独立的操作系统。还有一些基于应用程序的防火墙只为某些类型的网络连接（如 SMTP 或协议等）提供保护。还有一些基于硬件的防火墙产品实际上应该属于安全路由的范畴。以上所有产品都可以称为防火墙，因为它们的工作方式都相同：分析进出防火墙的数据包，并决定是放开还是丢弃。所有防火墙都有 IP 地址过滤，这是一项检查 IP 并根据其 IP 源和目标地址做出通过/丢弃决定的任务。看看下面的图片。两个网段之间有防火墙。防火墙一端有一台 UNIX 计算机，另一网段有一台 PC 客户端。当 PC 客户端向 UNIX 计算

16、机发起 telnet 请求时，PC 的 telnet 客户端程序会生成一个 TCP 数据包，并将其传输到本地协议栈进行致。接下来，协议栈将 TCP 数据包“填充”成一个 IP 数据包，并通过 PC 的 TCP/IP 协议栈定义的路径将其致到 UNIX 计算机。在此示例中，IP 数据包必须通过 PC 和 UNIX 计算机之间的防火墙才能到达 UNIX 计算机 现在我们“命令”（技术术语的准备）防火墙拒绝所有致到 UNIX 计算机的数据包。完成这项工作后，“心”防火墙会通知客户端程序！由于致到目标的IP 数据无法转发，因此只有与 UNIX 计算机处于同一网段的用户才能访问 UNIX计算机。还有一种

17、情况，你可以命令防火墙找那台可怜的电脑故障，别人的数据包通过了就不行了。这是防火墙最基本的功能：基本 IP 地址用于转发判断。但是如果你想上大场面，这个小技巧是行不通的。由于黑客可以使用 IP 地址欺骗技术，伪装成合法地址的计算机可以通过信任该地址的防火墙。但是，根地址的转发决策机制仍然是最基本和必要的。还有一点需要注意的是，不要使用 DNS 主机名来创建过滤表，DNS 伪造比 IP 地址欺骗要容易得多。服务器 TCP/UDP 端口过滤 仅依靠地址进行数据过滤在实践中是不可行的。另一个原因是目标主机上经常运行多个通信服务。例如，我们不希望用户使用 telnet 连接到系统，但这并不意味着我们必

18、须禁止他们同时使用 SMTP/POP 服务器？因此，除了地址，我们还需要过滤服务器的 TCP/UDP 端口。例如，默认的 telnet 服务连接端口号是 23。如果我们不允许 PC 客户端与 UNIX 计算机（我们此时认为是服务器）建立 telnet 连接，那么我们只需要命令防火墙检查发给 UNIX 服务器的数据包，只过滤目的端口号为 23 的数据包。这样，我们就不能将 IP 地址和目标服务器 TCP/UDP 端口作为过滤标准来实现一个相当可靠的防火墙？不，没那么简单。客户端也有 TCP/UDP 端口 TCP/UDP 是一种端到端的协议，每个网络节点都可以有一个唯一的地址。网络节点的应用层也是

19、如此。应用层的每一层中的每个应用和服务都有自己对应的“地址”，即端口号。地址和端口可用于在客户端和服务器的各种应用程序之间建立有效的通信链接。例如，一个 telnet 服务器在端口 23 上监听入站连接。同时，telnet 客户端也有一个端口号。否则，客户端的 IP 地址怎么知道某个数据包属于那个应用程序呢？由于历史原因，几乎所有 TCP/IP 客户端都使用随机分配的大于 1023 的端口号。只有 UNIX 计算机上的 root 用户可以访问 1024 以下的端口，这些端口是为服务器上的服务保留的。所以除非我们让所有端口号大于 1023 的数据包进入网络，否则各种网络连接都不能很好地工作。第三

20、章 几种典型的防火墙 第一节 天网防火墙系统 天网防火墙系列产品功能全面。其代表产品包括天网防火墙、天网防火墙个人版、天网在线检测系统等，这些产品都具有很高的功能。功能概述：天网防火墙可以提供强大的访问控制、身份认证、数据过滤、流量控制、虚拟桥接等功能。它还具有 DDoS、DoS 攻击防御网关、全高 VPN 功能、先进的负载分担能力、独特的 TCP标志检测功能、强大的 URL 级拦截和容错过滤。可实现便捷的地址转换、透明桥接、网络黑洞、双机热备等技术。第 2 节 FortiGate 病毒防火墙 Fortonet病毒防火墙是一种基于ASIC硬件架构的新型网络安全设备。FortiGate 系列有十

21、二种不同的产品，包括面向个人办公环境、小型企业、中小型企业的产品，以及面向大型企业和服务提供商的千兆防御网关。功能概述：防火墙是一种易于管理的安全设备，提供了一套完整的功能，包括：应用层服务和网络服务。它支持应用层服务，包括防病毒保护和全扫描过滤。FortiGate Antivirus 增强了网络安全性，防止网络误用和滥用，并在不降低网络功能的情况下更好地利用通信资源。.doc88./p-1.html 第三节 CISCO PIX 防火墙系统 Cisco pix 防火墙是 CISCO 防火墙家族中的一款专业防火墙。Cisco pix 防火墙提供全方位的保护，完全屏蔽外部网络的体系结构，采用自适应

22、安全算法，为用户提供高水平的安全保护。功能概述：Cisco pix 防火墙的主要功能是企业级安全，包括状态监控、防火、VPN、入侵检测、多媒体支持、语言安全等，以及强大的办公组网功能，可以提供动态和静态的网络地址解析和端口地址解析等特性，丰富的远程管理功能。方正数码方御防火墙系列产品之四 方羽防火墙是一款集成硬件产品。通过与硬件的深度融合，利用 3I 技术实现快速匹配。可以根据报文的地址、协议、端口进行访问和监控。还分析和监控任何网络连接和会话的当前状态 功能概述：方宇防火墙入侵检测系列集网络监控监控、实时协议分析、通过对入侵行为的分析和详细的日志审计跟踪等对黑客入侵的全面检测。它在计算机上拥

23、有更完整的恶意用户和程序网络 在 windows xp sp2 中，windows 防火墙有很多新特性，包括：默认情况下对计算机的所有连接启用，新的全局配置选项应用于所有连接，用于全局配置的新对话框集，新的操作模式，启用安全性，本地网络限制，异常流量可以通过应用程序文件指定内置支持用于 Internet 协议版本 6(ipv6)带有 netsh 和组策略的新配置选项 本文将详细介绍用于手动配置全新 Windows 防火墙的一组对话框。与 windows xp(pre-sp2)中的 icf 设置不同，这些配置对话框同时配置 ipv4 和 ipv6 流量。icf 设置由一个复选框（连接属性中的“高

24、级”复选框）和一个“设置”按钮组成，您可以使用它来设置流量、记录设置和允许 icmp 流量。在 Windows XP SP2 中，连接属性的“高级”选项卡上的复制框已替换为“设置”按钮，您可以使用该按钮来配置常规设置、程序和服务的权限、特定于连接的设置、日志设置和允许 icmp 流量。设置按钮将运行全新的 Windows 防火墙控制面板程序（位于网络和 Internet 连接和安全中心类别中）。新的 Windows 防火墙对话框包含以下选项卡：常规、例外、高级、常规选项卡 在常规选项卡上，您可以从以下选项中进行选择：“启用（推荐）”选择此选项可将 Windows 防火墙用于在“高级”选项卡上选

25、择的所有网络连接。防火墙将只允许请求的和不寻常的传入流量。可以在异常选项卡上配置异常流量。“不允许异常流量”单击此选项可仅允许请求的传入流量。这将不允许异常传入流量。Exceptions 选项卡上的设置将被忽略，所有连接都将受到保护，无论 Advanced 选项卡上的设置如何。“禁用”选项 此选项用于禁用 Windows 防火墙。不建议这样做，尤其是对于 直接通过 Internet 访问的网络连接。请注意，对于运行 Windows XP SP2 的计算机的所有连接和新创建的连接，Windows 防火墙的默认设置为“启用（推荐）”。这可能会影响依赖于未经请求的传入流量的程序或服务的通信。在这种情

26、况下，您必须确定哪些程序不再运行，并将它们或其流量添加为异常流量。许多程序，例如 Internet 浏览器和电子客户端（例如 Outlook Express），不依赖于未经请求的传入流量，因此在启用 Windows 防火墙的情况下正常运行。如果您使用组策略配置运行 Windows XP SP2 的计算机的 Windows 防火墙，您配置的组策略设置可能不允许本地配置。在这种情况下，“常规”选项卡和其他选项卡上的选项可能会灰显且无法选择，甚至本地管理员也无法选择。它在组策略中的 windows 防火墙设置允许您配置配置文件（一组将在您连接到包含域控制器的网络时应用的 windows 防火墙设置）

27、和标准配置文件（一组将在您连接到网络，例如在没有包含域控制器的网络时应用的互联网 Windows 防火墙设置）。这些配置对话框仅显示当前应用的配置文件的 Windows 防火墙设置。要查看当前未应用的配置文件的设置，请使用 netsh firewall show 命令。要更改当前未应用的配置文件的设置，请使用 netsh firewall set 命令。例外选项卡 在例外选项卡上，您可以启用或禁用现有程序或服务，或维护定义异常流量的程序或服务列表。选中“常规”选项卡上的“不允许异常流量”选项时，将拒绝异常流量。对于 Windows XP（sp2 之前），您只能根据传输控制协议(tcp)或用户数

28、据报协议(udp)端口来定义异常流量。对于 windows xp sp2，您可以根据 tcp 和 udp 端口或程序或服务的文件名来定义异常流量。这种配置灵活性使得在程序或服务的 tcp 和 udp 端口未知或需要在程序或服务启动时动态确定的情况下配置异常流量变得更加容易。已经有一组预配置的程序和服务，包括：文件和打印共享、远程助手（默认启用）、远程桌面、upnp 框架，这些预定义的程序和服务无法删除。如果组策略允许，您也可以点击“添加程序”为指定的程序名创建额外的异常流量，通过点击“添加端口”为指定的tcp 或 udp 端口创建额外的异常流量。单击“添加端口”时，会弹出“添加端口”对话框，您

29、可以在其中配置 tcp 或 udp 端口。新 Windows 防火墙的功能之一是能够定义传入流量的边界。边界定义了允许发起异常流量的网段。在定义程序或端口的外壳时，您有两种选择：“任何计算机”允许来自任何 IP 地址的异常流量。“只是我的网络（子网）”只允许来自与接收流量的网络连接所连接的本地网段（子网）匹配的 IP 地址的异常流量。例如，如果网络连接的 ip地址配置为 192.168.0.99，子网掩码为 255.255.0.0，那么异常流量只允许从 192.168.0.1 到 192.168.255.254 的 ip地址。当您希望允许本地家庭网络上的所有计算机都连接到同一个子网来访问某个程

30、序或服务，但又不想让恶意 Internet 用户代表您访问时，那么“仅我的网络（子网）”即可设置地址范围很有用。添加程序或端口后，默认情况下在“程序和服务”列表中将其禁用。在“例外”选项卡上启用的所有程序或服务都为在“高级”选项卡上选择的所有连接启用。高级选项卡 高级选项卡包含以下选项：网络连接设置、安全日志、icmp、默认设置 第四章防火墙实例配置 “网络连接设置”在网络连接设置中，您可以：1 指定要启用 Windows 防火墙的接口集。要启用 Windows 防火墙，请选中网络连接名称旁边的框。要禁用 Windows 防火墙，请清除该复选框。默认情况下，为所有网络连接启用 Windows

31、防火墙。如果网络连接未出现在此列表中，则它不是标准网络连接。此类示例包括 Internet 服务提供商(ISP)提供的自定义编号程序。2.单击网络连接名称，然后单击设置，配置单个网络连接的高级配置。如果您清除网络连接设置中的所有复选框，Windows 防火墙将不会保护您的计算机，无论您是否在“常规”选项卡上启用（推荐）。如果您在“常规”选项卡上选中“不允许异常流量”，“网络连接设置”中的设置将被忽略，在这种情况下，所有接口都将受到保护。单击“设置”时，会弹出“高级设置”对话框。在“高级设置”对话框中，您可以在“服务”选项卡上配置特定服务（仅通过 tcp 或 udp 端口），或在 icmp 选项

32、卡上启用特定类型的 icmp 流量。这两个选项卡相当于 windows xp（pre-sp2）中 icf 配置的设置选项卡。“安全日志”在“安全日志”中，单击“设置”在“日志设置”对话框中指定 Windows 防火墙日志的设置，在“日志设置”对话框中，可以配置是否要记录丢弃的数据包或以最大容量成功连接到指定的日志文件名和位置（默认设置为 systemrootpfirewall.log）。“icmp”在“icmp”中点击“设置”在“icmp”对话框中指定允许的 icmp 流量类型，在“icmp”对话框中可以启用和 jywindows 防火墙在“高级”选项中允许传入的类型卡上选择的所有连接的 ic

33、mp 消息。icmp 消息用于诊断、报告错误情况和配置。默认情况下，此列表中不允许有 icmp 消息。诊断连接问题的一个常见步骤是使用 ping 工具来验证您尝试连接的计算机的地址。检查时，您可以致 icmp echo 消息并获得 icmp echo 回复消息作为响应。默认情况下，Windows 防火墙不允许传入 icmp echo 消息，因此计算机无法发回 icmp echo 回复消息作为响应。为了将 Windows 防火墙配置为允许传入 icmp 回显消息，您必须启用“允许传入回显请求”设置。“默认设置”单击“恢复默认设置”可将 Windows 防火墙重置为其原始安装状态。当您单击恢复默认

34、值时，系统会提示您在更改 Windows 防火墙设置之前验证您的决定。第二节 详细讲解防火墙的配置方法 防火墙的具体配置方法不是一千遍，别说不同品牌，甚至同一品牌的不同型号也不完全相同，所以这里只能介绍一些通用的防火墙配置方法。同时，具体的防火墙策略配置会根据具体应用环境的不同而有很大差异。首先介绍一些基本的配置原则。Cisco PIX 防火墙的基本配置 1.它还通过运行电缆从计算机的 COM 端口连接到 Cisco PIX 525 防火墙的控制台端口；2.“超级终端”，通讯参数可根据系统静音。进入防火墙的初始配置，其中主要设置有：Date（日期）、time（时间）、hostname（主机名）

35、、inside ip address（部分网卡 IP 地址）、domain（主域）等。完成后，将成立。初始化设置。此时的提示是：pix255。3.输入 enable 命令进入 Pix 525 特权用户模式，默认密码为空。如果要修改此特权用户模式的密码，可以使用 enable password 命令。命令格式为：启用密码encrypred。密码必须大于 16 位。Encrypted 选项用于确定加密后的密码是否需要加密。4、定义以太网端口：首先必须使用 enable 命令进入特权用户模式，然后进入 configure 终端（可以简称为 config t）进入全局配置模式。具体配置 Pix525

36、启用 密码：P ix525#config t P ix525(config)#interface ethernet0 auto P ix525(config)#interface ethernet1 auto 默认情况下 ethernet0 外部属于外部网卡，ethernet1 属于内部网卡内部，初始配置成功后内部已经激活，但是外部必须通过命令激活。5.关闭 配置时钟也很重要。这主要是为防火墙的日志积累资金。如果记录时间和日期不准确，记录中的信息将无法准确分析。这必须在全局配置模式下完成。时钟命令格式有两种，主要的日期格式不同，分别是：C 锁设置 hh:mm:ss 月日月年和时钟设置 hh:m

37、m:ss 日月年 前者格式为：时：分：二月日年；而后一种格式为：时：分：月二日，主要是日月顺序不同。如果时间为 0，可以是一位，如：21:0:0 6.指定接口的安全级别 指定接口安全级别的命令是 nameif，分别为外部网络接口指定一个合适的安全级别。这里需要注意的是，防火墙是用来保护内部网络的，外部网络通过外部接口对网络构成威胁。因此，要从根本上保证内部网络的安全，就需要为外部网络接口指定更高的安全级别。外网接口的安全级别略低，主要是外网通信频繁，可靠性高。在 Cisco PIX 系统防火墙中，安全级别的定义由参数 security()决定。如下：P ix525(config)#nameif

38、 Ethernet 0 outside security0#outside 指外部接口 p ix525(config)#nameif ethernet1 inside security100#inside 指外部接口 7.配置以太网接口的 IP 地址 使用的命令是：ip 地址。配置防火墙内网接口 IP 地址：192.168.1.0 255.255.255.0；外 网 接 口IP地 址：220.154.20.0 255.255.255.0。配置方法如下：p ix525(config)#ip address inside 192.168.1.0 255.255.255.0 p ix525(conf

39、ig)#ip 地址外 220.154.20.0 255.255.255.0 8.访问组 此命令将 ACL 绑定到特定接口。必须在配置模式下进行配 置。命 令 格 式 为：interface interface-name 中 的access-group acl-ID，其中 acl-ID 是指访问控制列表的名称，interface-name 是网络接口的名称。例如：外部网络接口上名为“acl-out”的访问控制列表。clear access-grouta：清除所有已绑定的访问控制绑定设置。no access-group acl-ID in interface-name：清除指定的访问控制绑定设置。

40、show access-group acl-ID in interface interface-name：显示指定的访问控制绑定设置。9.配置访问列表 使用的配置命令是：access-list，限定格式比较复杂，如下：标 准 规 则 创 建 命 令：access-listnormal special listnumber1 permit denysource-addrsoutce-mask 创 建 扩 展 规 则 命 令：access-listnormal special listnumber2permit deny source-addr source-mask operator port1

41、port2 dest-addr dest-maskoperatot port1port2 icmp-typeicmp-code 日志 它是防火墙的主要配置部分。上述格式中带“”的部分是可 选 的，listnumber 参 数 为 规 则 编 号。标 准 规 则 号（listnumber1）是 1 到 99 之间的整数，扩展规则号（listnumber2）是 100 到 199 之间的整数。主要由服务权限“permit”和“deny”指定。网络协议一般包括 IP TCP UDP ICMP 等。比如只允许通过防火墙访问主机：220.154.20，。254 为 www 访问，可以配置如下：P ix5

42、25(config)#access-liet 100 permit 220.154.20.254 ep 其中，100 代表访问规则数，根据当前配置的规则数确定。它不能像原来的规则那么重要，也必须是一个正整数。关于该命令也将在后面的高级配置命令中详细介绍。10.地址转换（NAT）防火墙的 NAT 配置与路由器的 NAT 配置基本相同。首先要定义 NAT 转换的部分 IP 地址组，再定义部分网段。为 NAT 转换定义部分地址组的命令为 nat，其格式为：NAT(if-name)nat-id local-ip netmaskmax-connsem-limit，其中 if-name 是接口名称；nat

43、-id 参数代表本地地址组号；local-ip 是本地网络地址；netmask 是子网掩码；max-conns 是该接口允许的最大 TCP 连接数，默认为 0，表示不限制连接；em-limit 是这个端口允许的连接数，默认也是“0”，没有限制。喜欢：N at(inside)1 10.1.6.0 255.255.255.0 表 示 将 所 有 网 络 地 址 为 10.1.6.0、子 网 掩 码 为255.255.255.0 的主机地址定义为 1 号 NAT 地址组。然后定义部分地址转换后可用的外部地址池。它搜索的命令是全局的，基本命令格式为 Global(if-name)nat-id glob

44、al-ip natmask max-connsem-limit，每个参数的解释同以上。喜欢：175.1.1.3-175.1.1.64 网络掩码 255.255,255.0 将 上 述nat命 令 指 定 的 部 分IP地 址 组 转 换 为175.1.1.3175.1.1.64 的外部地址池中的外部 IP 地址，其子网掩码为 255.255.255.0。11.静态端口重定向 这是静态端口重定向命令。Cisco PIX 6.0 及以上版本增加了端口重定向功能，允许外部用户通过防火墙通过特殊的 IP地址和端口传输到指定的外部服务器。重定向地址可以是单个外部地址、共享外部地址转换端口(PAI)或共享

45、外部端口。这个功能就是可以发布 WWW、FTP、Mail 等服务器。这种方式不是直接连接服务器，而是通过端口重定向连接，所以使用服务器是安全的。有两种命令格式，分别适用于 TCP/UDP 通信；（1）静态(internal_if_name,external_if_name)global_ip interfacelocal_ipnetmask mask max_conns emb_limitnorandomseq（2）静态(internal_if_name,external_if_name)tcpudpglobal_ipinterface global_port local_ip local_p

46、art local_ip local_port 网 络 掩码mas_conns emb_limitnorandomseq 该命令中的上述参数解释如下；internal_if_name;内部接口名称；external_if_name：外部接口名称；tcpudp：选择通讯协议类型；global_ip interface：重定向的外部 IP 地址或共享端口；local_ip：替代本地 IP 地址：网络掩码：本地子网掩码：max_conns：允许的最大 TCP 连接数，默认为“0”，无限制：emb_limit：允许从该端口连接的数量，默认为也是“0”，没有限制；norandomseq：没有数据包，这个

47、参数 guard 一般不选。第三节 典型防火墙配置示例 网络要求 公司通过一台 Quidway 路由器的 serial 0 接口上网，公司部门对外提供 WWW、FTP、Telnet 服务。是 129.38.1.2，对外 WWW 服务器地址是 129.38.1.3，公司对外电子是202.38.160.1。在路由器上配置地址转换，使外部 PC 可以上网，外部 PC 可以访问内部服务器。通过配置防火墙，您希望达到以下要求：外网只有特定用户才能访问部服务器 外网只有特定主机才能访问外网 在这种情况下，假设外部特定用户的IP地址是202.39.2.3 网络图 配置步骤#开启防火墙功能 Quidway防火

48、墙启用#配置默认防火墙模式允许数据包通过 Quidway防火墙启用#配置访问规则禁止所有数据包通过 Quidwayacl 101 Quidway-acl-101 ruledeny ip 源任意目标任意#配置规则允许特定主机服务外网，允许部分服务器访问外网 Quidway-acl-101rule permit ip source 129.38.1.4.0 destination any Quidway-acl-101rule permit ip source 129.38.1.1.0destination any Quidway-acl-101rule permit ip source 129.

49、38.1.2.0 destination any Quidway-acl-101rule permit ip source 129.38.1.3.0destination any#配置规则，允许特定用户从外网访问部门服务器。Quidway-acl-101acl 102 Quidway-acl-102rule permit tcp source 202.39.2.3.0dstination any202.38.160.1.0#配置规则允许特定用户从外网获取数据（只允许端口大小为 1024 的数据包）Quidway-acl-102rule permit tcp source any destina

50、tion 202.38.160.1 0.0.0-filt.0 目标端口大于 1024#将规则 101 应用于来自接口 Ethernet0 的传入数据包。Quidway-Ethernet0防火墙包过滤 101 入站#对进入接口 Seria10 的报文应用规则 102。Quidway-Seria10防火墙包过滤 102 入站 第 5 章，防火墙的基本类型 防火墙的基本类型包括数据包过滤、网络地址转换NAT、应用程序代理和状态检查。第 1 节 包过滤 包过滤是防火墙的主要类型，依靠自身的数据安全保护机制来控制出入网络的数据。它通常由定义的数据安全规则组成。防火墙设置可以基于源地址、源端口、目的地址、