网络防火墙的分类及应用方案
系别:信息工程系统 专业:网络技术专业 班级:网络二班 姓名:武连玲 学号:0903032209 指导教师:吕秀鉴
日期:2011年10月31日星期一
目录
绪论 .................................................................................................................................1.防火墙的概念 ...............................................................................................................1.1 什么是防火墙 .......................................................................................................................1.2 防火墙的原理 .......................................................................................................................2.防火墙的分类 .............................................................................................................2.1基础和分类 ............................................................................................................................2.2包过滤防火墙 ........................................................................................................................2.3动态包过滤防火墙 ................................................................................................................2.4 代理(应用层网关)防火墙 ...............................................................................................2.5 自适应代理防火墙 ...............................................................................................................3.防火墙的安全策略 .....................................................................................................3.1校校园网防火墙网络安全策略 ............................................................................................3.2防火墙的基本配置 ................................................................................................................3.2.1命令行基本信息收集: .....................................................................................................3.2.2能问题需收集下列信息: ...............................................................................................3.2.3接口之间实施策略: .......................................................................................................3.2.4接口管理设置 ...................................................................................................................3.2.5用户帐号的操作 ...............................................................................................................4.防火墙的功能配置 ...................................................................................................4.1基于内网的防火墙功能及配置 ..........................................................................................4.1.1 IP与MAC(用户)绑定功能 ........................................................................................4.1.2 MAP(端口映射)功能 ..................................................................................................4.1.3NAT(地址转换)功能 ....................................................................................................5.外网防火墙功能配置 ..................................................................................................5.1 基于外网的防火墙功能及配置 .........................................................................................5.1.1 DOS攻击防范 ..................................................................................................................5.1.2访问控制功能 ...................................................................................................................结论 ...............................................................................................................................参考文献 ........................................................................................................................
- 2防火墙原是设计用来防止火灾从建筑物的一部分传播到另一部分的设施。从理论上讲,Internet防火墙服务也有类似目的,它防止Internet(或外部网络)上的危险(病毒、资源盗用等)传播到网络内部。Internet(或外部网络)防火墙服务于多个目的:
1、限制人们从一个特别的控制点进入;
2、防止入侵者接近你的其它防御设施;
3、限定人们从一个特别的点离开;
4、有效地阻止破坏者对你的计算机系统进行破坏。
1.2 防火墙的原理
随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测),但这几乎是一种不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙 (Firewall),防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏.DMZ外网和内部局域网的防火墙系统。
图1-2-1
2.防火墙的分类
2.1基础和分类
从防火墙的防范方式和侧重点的不同来看,防火墙可以分为很多类型,但是根据防火墙对内外来往数据处理方法,大致可将防火墙分为两大体系:包过滤防火墙和代理防火墙。包过滤防火墙经历了两代:
2.2包过滤防火墙
静态包过滤防火墙采用的是一个都不放过的原则。它会检查所有通过信息包里的IP地址号,端口号及其它的包头信息,并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配,其中:如果信息包中存在一点与过滤规则不符合,那么这个信息包里所有的信息都会被防火墙屏蔽掉,这个信息包就不会通过防火墙。相反的,如果每条规都和过滤规则相匹配,那么信息包就允许通过。静态包的过滤原理就是:将信息分成若干个小数据片(数据包),确认符合防火墙的包过滤规则后,把这些个小数据片按顺序发送,接收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。这种静态包过滤防火墙,对用户是透明的,它不需要用户的用户名和密码就可以登录,它的速度快,也易于维护。但由于用户的使用记录没有记载,如果有不怀好意的人进行攻击的话,我们即不能从访问记录中得到它的攻击记录,也无法得知它的来源。而一个单纯的包过滤的防火墙的防御能力是非常弱的,对于恶意的攻击者来说是攻破它是非常容易的。其中“信息包冲击”是攻击者最常用的攻击手段:主要是攻击者对包过滤防火墙发出一系列地址被替换成一连串顺序IP地址的信息包,一旦有一个包通过了防火墙,那么攻击者停止再发测试IP地址的信息包,用这个成功发送的地址来伪装他们所发出的对内部网有攻击性的信息。
图2-2-1 2.3动态包过滤防火墙
静态包过滤防火墙的缺点,动态包过滤防火墙都可以避免。它采用的规则是发展为“包状态检测技术”的动态设置包过滤规则。它可以根据需要动态的在过滤原则中增加或更新条目,在这点上静态防火墙是比不上它的,它主要对建立的每一个连接都进行跟踪。在这里我们了解的是代理防火墙。代理服务器型防火墙与包过滤防火墙不同之点在于,它的内外网之间不存在直接的连接,一般由两部分组成:服务器端程序和客户端程序,其中客户端程序通过中间节点与提供服务的服务器连接。代理服务器型防火墙提供了日志和审记服务。
图2-2-3
- 6校园网网络结构拓扑图如图4-1所示:
图3-1-1校园网网络总拓扑结构图
在实际应用环境中,一般情况下防火墙网络可划分为三个不同级别的安全区域: 内部网络:这是防火墙要保护的对象,包括全部的内部网络设备及用户主机。这个区域是防火墙的可信区域(这是由传统边界防火墙的设计理念决定的)。
外部网络:这是防火墙要防护的对象,包括外部网主机和设备。这个区域为防火墙的非可信网络区域(也是由传统边界防火墙的设计理念决定的)。
DMZ(非军事区):它是从内部网络中划分的一个小区域,在其中就包括内部网络中用于公众服务的外部服务器,如Web服务器、邮件服务器、DNS服务器等,它们都是为互联网提供某种信息服务。
在以上三个区域中,用户需要对不同的安全区域制订不同的安全策略。虽然内部网络和DMZ区都属于内部网络的一部分,但它们的安全级别(策略)是不同的。对于要保护的大部分内部网络,一般情况下禁止所有来自互联网用户的访问;而由内部网络划分出去的DMZ区,因需为互联网应用提供相关的服务,这些服务器上所安装的服务非常少,所允许的权限非常低,真正有服务器数据是在受保护的内部网络主机上,所以黑客攻击这些服务器没有任何意义,既不能获取什么有用的信息,也不能通过攻击它而获得过高的网络访问权限。
通过NAT(网络地址转换)技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址。这样可以对外屏蔽内部网络构和IP地址,保护内部网络的
- 8netscreen>get config(得到config信息) netscreen>get log event(得到日志)
3.2.2能问题需收集下列信息:
netscreen>set ffiliter?(设置过滤器)
netscreen>debug flow basic是开启基本的debug功能 netscreen>clear db是清除debug的缓冲区
netscreen>get dbuf stream就可以看到debug的信息了 性能问题需收集下列信息:
得到下列信息前,请不要重新启动机器,否则信息都会丢失,无法判定问题所在。netscreen>Get per cpu detail(得到CPU使用率)
netscreen>Get seion info(得到会话信息)
netscreen>Get per seion detail(得到会话详细信息) netscreen>Get mac-learn(透明方式下使用,获取MAC硬件地址) netscreen>Get alarm event(得到告警日志)
netscreen>Get tech>tftp 202.101.98.36 tech.txt(导出系统信息) netscreen>Get log system(得到系统日志信息)
netscreen>Get log system saved(得到系统出错后,系统自动记录信息,该记录重启后不会丢失。
设置接口-带宽,网关
设置所指定的各个端口的带宽速率,单位为kb/s Set interface interface bandwidth number unset interface interface bandwidth 设置接口的网关
set interface interface gateway ip_addr unset interface interface gateway 设置接口的接口的区域,IP地址zone就是网络逻辑上划分成区,可以在安全区或安全区内部
3.2.3接口之间实施策略:
设置接口的接口的区域
set interface interface zone zone unset interface interface zone 设置接口的IP地址
set interface interface ip ip_addr/mask set interface interface ip unnumbered interface interface2 unset interface interface ip ip_addr 3.2.4接口管理设置
①set interface interface manage {ident-reset|nsmgmt|ping|snmp|h|l|telnet|webui} unset interface interface manage {ident-reset|nsmgmt|ping|snmp|h|telnet|webui} WebUI:允许接口通过Web用户界面(WebUI)接收HTTP管理信息流。 Telnet:选择此选项可启用Telnet管理功能。
SSH:可使用“安全命令外壳”(SSH)通过以太网连接或拨号调制解调器管理NetScreen设备。必须具有与SSH协议版本1.5兼容的SSH客户端。选择此选项可启用SSH管理功能。SNMP:选择此选项可启用SNMP管理功能。
SSL:选择此选项将允许接口通过WebUI接收NetScreen设备的HTTPS安全管理信息流。 NS Security Manager:选择此选项将允许接口接收NetScreen-SecurityManager信息流。
Ping:选此选项将允许NetScreen设备响应ICMP回应请求,以确定是否可通过网络访问特定的IP地址。
Ident-Reset:与“邮件”或FTP发送标识请求相类似的服务。如果它们未收到确认,会再次发送请求。处理请求期间禁止用户访问。启用Ident-reset选项后,NetScreen设备将发送TCP重置通知以响应发往端口113的IDENT请求,然后恢复因未确认标识请求而被阻止的访问。②指定允许进行管理的ip地址
set interface interface manage-ip ip_addr unset interface interface manage-ip 3.2.5用户帐号的操作
①添加只读权限管理员
set admin user Roger paword 2bd21wG7 privilege read-only ②修改帐户为可读写权限
unset admin user Roger set admin user Roger paword 2bd21wG7 privilege all ③删除用户
unset admin user Roger ④清除所有会话,并注销帐户 clear admin name Roger
4.防火墙的功能配置
4.1基于内网的防火墙功能及配置 4.1.1 IP与MAC(用户)绑定功能
如果在一个局域网内部允许Host A上网而不允许Host B上网,则有一种方式可以欺骗防火墙进行上网,就是在HostA还没有开机的时候,将HostB的IP地址换成Host A的IP地址就可以上网了。那么针对IP欺骗的行为,解决方法是将工作站的IP地址与网卡的MAC地址进行绑定,这样再改换IP地址就不行了,除非将网卡和IP地址都换过来才行,所以将IP地址与MAC地址进行绑定,可以防止内部的IP盗用。但是这种绑定只适合与防火墙同网段的节点,如果其他网段的节点通过防火墙进行访问时,通过网段的源IP地址与目的IP地址是不同的,无法实现IP地址与MAC的绑定。但是可以通过IP地址与用户的绑定,因为用户是可以跨网段的。
另外对DHCP用户的支持,如果在用DHCP服务器来动态分配IP地址的网络中,主机没有固定的IP地址,如何解决这样的问题呢?目前主要有两种方式可以解决这个问题,第一种是在防火墙中内置DHCP服务器,但这种方式由于防火墙内置DHCP服务器,会导致防火墙本身的不安全,如果有一天防火墙失效,造成DHCP服务器宕机会影响整个网络而并不仅仅只对出口造成影响。另一种比较好的解决方法是防火墙支持基于MAC地址的访问控制,在配置之前,先不添IP地址只添网卡的MAC地址,开机后自动将获得的IP地址传给防火墙,防火墙根据这个IP地址与MAC地址进行绑定来实现访问控制,这种方式可以实现IP地址与MAC地址的绑定。这种方式的好处是防火墙受到破坏并不会对这个局域网的通讯产生影响,DHCP服务器不会受到影响,整个网络也不需要进行改动。
(用户)绑定针对IP欺骗的行为,我校校园网网络设置中将工作站的IP地址与网卡的MAC地址进行绑定。
- 12个WEB服务器。因此,通过这种方式有两个优点,第一是这些服务器可以使用私有地址,同时也隐藏了内网的结构,如果这时黑客进行攻击进行扫描,内网是安全的,因为61.235.51.6地址是防火墙的外端口,真正的WEB服务器的地址是192.168.0.1不会受到攻击,这样可以增加网络的安全性
4.1.3NAT(地址转换)功能
网络地址转换可以将内网的私有地址利用防火墙的地址转换功能,来实现对地址的转换,防火墙可以随机设置静态合发地址或者动态地址池,防火墙向外的报文可以从地址池里随机找一个报文转发出来。利用这个方式也有两个优点:第一可隐藏内网的结构,第二是内部网络可以使用保留地址,提供IP复用功能。
具体NAT功能配置如下:
nat inside source list 22 pool pool100 nat inside destination static 10.106.1.16172.1.1.15 nat inside destination static tcp 10.106.1.16 21 172.1.1.11 21 nat inside destination static tcp 10.106.1.16 80 172.1.1.12 80
5.外网防火墙功能配置
5.1 基于外网的防火墙功能及配置 5.1.1 DOS攻击防范
防范DOS攻击的传统技术主要有4种:
①加固操作系统,即配置操作系统各种参数以加强系统稳固性 ②利用防火墙
③负载均衡技术,即把应用业务分布到几台不同的服务器上 ④带宽限制和QOS保证
本论文主要介绍利用防火墙来应对DOS的攻击。目前绝大数的主流防火墙都支持IPInspect功能,防火墙会对进入防火墙的信息进行严格的检测。这样,各种针对系统漏洞的攻击包会自动被系统过滤掉,从而保护了网络免受来自外部的系统漏洞攻击。通过设置ACL过滤、TCP监听功能,过滤不必要的UDP和ICMP数据报。
防火墙的基本配置如下:
firewall(config)#nameif fa0/1 inside security 100 firewall(config)#nameif fa0/2 inside security 100 firewall(config)#nameif fa0/3 outside security 0 firewall(config)#int fa0/1 auto firewall(config-if)#ip add inside 192.168.6.1 255.255.255.0 firewall(config-if)#no shutdown firewall(config-if)#int fa0/2 auto firewall(config-if)#ip add inside 192.168.7.1 255.255.255.0 firewall(config-if)#no shutdown firewall(config-if)#int fa0/3 auto firewall(config-if)#ip add outside 192.168.5.2 255.255.255.0 firewall(config-if)#no shutdown firewall(config-if)#exit 由于我们经常会开启一些小服务,例如echo(回显)端口和discard(丢弃)端口,用于诊断,回显端口将重放那些端口所接受到的数据包,而丢弃端口则将数据包丢弃,由于丢弃数据包或回显数据包都会消耗Pcu周期,一些DOS攻击就采用这些端口。所以建议在防火墙接口上关闭这些服务
firewall(config)#no service tcp-small-servers firewall(config)#no service udp-small-servers firewall(config)#no service finner firewall(config)#no ip directed-broadcast 5.1.2访问控制功能
防火墙最基本的功能是访问控制功能,一个域的信息流穿过防火墙对另一个域进行访问的时候,防火墙可以截获信息并对信息进行检查,按着管理员设置的安全策略逐条进行匹配,如果符合安全策略,则逐条进行转发;不符合则进行堵断。因此防火墙基本的访问控制功能是基于源IP地址、目的IP地址、源端口、目的端口、时间、流量、用户、文件、网址和MAC地址来做访问控制功能,这是防火墙最基本的访问控制技术。
配置命令如下:
acce-list extended 500 permit icmp ip acce-list service 1021 ftp any 10.106.1.160.0.0.255 ip acce-list service 1025 smtp any 10.106.1.160.0.0.255
- 151617 -
