第 9 章 防火墙
9.1 防火墙的基础知识
9.2 防火墙的基本技术原理及其配置
9.3 防火墙的主要性能指标
第 9章 防火墙第 章 防火墙
第 9 章 防火墙
9.1 防火墙的基础知识
? 9.1.1 防火墙的基础知识
? 9.1.2 防火墙的分类
? 9.1.3 防火墙的功能
第 9 章 防火墙
9.1.1 防火墙的基础知识
1.防火墙概述
2.防火墙的基本概念
3,防火墙的设计原则
第 9 章 防火墙
1, 防火墙概述
? 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应
用性安全技术, 越来越多地应用于专用网络与公用网络的互联环境
中 。 Internet的日益普及, 互联网上的浏览访问, 不仅使数据传输量
增加, 网络被攻击的可能性增大, 而且由于 Internet的开放性, 网络
安全防护的方式发生了根本变化, 使得安全问题更为复杂 。 传统的
网络强调统一而集中的安全管理和控制, 可采取加密, 认证, 访问
控制, 审计以及日志等多种技术手段, 且它们的实施可由通信双方
共同完成, 因而有可能因为一方的失误或数据传送过程中被人窃听
而导致安全失效 。 由于 Internet网络结构错综复杂, 操作系统各异,
因此, 安全防护方式也截然不同 。 Internet的安全技术涉及传统的网
络安全技术和分布式网络安全技术, 且主要是用来解决如何利用
Internet进行安全通信, 同时保护内部网络免受外部攻击 。 防火墙是
一种综合性的技术, 涉及到计算机网络技术, 密码技术, 安全技术,
软件技术, 安全协议, 网络标准化组织 ( ISO) 的安全规范以及安全
操作系统等多方面 。
第 9 章 防火墙
2,防火墙的基本概念
? 所谓, 防火墙,, 是指一种将内部网和公众访问
网 ( Internet) 分开的方法, 实际上是一种隔离技
术, 是安全网络 ( 被保护的内网 ) 与非安全网络
( 外部网络 ) 之间的一道屏障, 以预防发生不可
预测的, 潜在的网络入侵, 就像我国古代的秦长
城, 用于抵御外敌的侵略 。
? 防火墙的英文名称是 Firewall,防火墙在网络拓
扑结构中用图标表示为 。
第 9 章 防火墙
? 1,除非明确允许, 否则将禁止某种服务;
? 2,除非明确禁止, 否则将允许某种服务 。
? 前者在默认情况下禁止所有的服务, 后者在
默认情况下允许所有的服务, 除非被网络管
理员根据实际需要进行具体改变 。
3,防火墙的设计原则
第 9 章 防火墙
9.1.2 防火墙的分类
1.包过滤型
2.应用代理型
3.防火墙的组成
第 9 章 防火墙
1.包过滤型防火墙
? 包过滤型防火墙概述
? 包过滤型防火墙的分类
? 包过滤型防火墙的优点
? 包过滤型防火墙的缺点
第 9 章 防火墙
包过滤型防火墙概述
包过滤 ( Packet filtering) 型防火墙工作在 OSI网络参考
模型的网络层和传输层, 它根据数据包头源地址, 目的
地址, 端口号和协议类型等标志确定是否允许通过 。 只
有满足过滤条件的数据包才被转发到相应的目的地, 其
余数据包则被从数据流中丢弃 。
包过滤方式是一种通用, 廉价和有效的安全手段 。 之所
以通用, 是因为它不是针对各个具体的网络服务采取特
殊的处理方式, 而是适用于所有网络服务;
之所以廉价, 是因为大多数路由器都提供数据包过滤功
能, 所以这类防火墙多数是由路由器集成的;
之所以有效, 是因为它在很大程度上满足了绝大多数企
业安全的要求 。
第 9 章 防火墙
包过滤型防火墙的分类
( 1) 第一代静态包过滤类型防火墙
( 2)第二代动态包过滤类型防火墙
第 9 章 防火墙
这类防火墙几乎是与路由器同时产生的,
它是根据定义好的过滤规则审查每个数据包,
以便确定其是否与某一条包过滤规则匹配 。 过
滤规则基于数据包的报头信息进行制订 。 报头
信息中包括 IP源地址, IP目标地址, 传输协议 (
TCP,UDP,ICMP等 ), TCP/UDP目标端口,
ICMP消息类型等 。
( 1)第一代静态包过滤类型防火墙
第 9 章 防火墙
( 2)第二代动态包过滤类型防火墙。
这类防火墙采用动态设置包过滤规则的方法
,避免了静态包过滤所具有的问题 。 这种技
术 后 来 发 展 成 为 包 状 态 监 测 ( Stateful
Inspection) 技术 。 采用这种技术的防火墙对
通过其建立的每一个连接都进行跟踪, 并且
根据需要可动态地在过滤规则中增加或更新
条目 。
第 9 章 防火墙
包过滤方式的优点
因为它工作在网络层和传输层, 与应用
层无关, 因此不用改动客户机和主机上
的应用程序 。
第 9 章 防火墙
包过滤方式的缺点
? 过滤判别的依据只是网络层和传输层的有限信
息, 因而各种安全要求不可能充分满足;
? 在许多过滤器中, 过滤规则的数目是有限制的
,且随着规则数目的增加, 性能会受到很大影
响;
? 由于缺少上下文关联信息, 不能有效地过滤如
UDP,RPC( 远程过程调用 ) 一类的协议;
? 大多数过滤器中缺少审计和报警机制, 它只能
依据包头信息, 而不能对用户身份进行验证,
很容易受到, 地址欺骗型, 攻击 。
第 9 章 防火墙
2,应用代理型防火墙
? 应用代理型防火墙概述
? 应用代理型防火墙的分类
? 应用代理型防火墙的优点
? 应用代理型防火墙的缺点
第 9 章 防火墙
1.应用代理型 防火墙概述
应用代理 ( Application Proxy) 型防火墙
是工作在 OSI的最高层, 即应用层 。
它完全阻隔了网络通信流, 通过对每种
应用服务编制专门的代理程序, 实现监
视和控制应用层通信流的作用,
第 9 章 防火墙
2,应用代理型防火墙的分类
? 第一代应用代理防火墙
? 第二代自适应型代理型防火墙
第 9 章 防火墙
第一代应用代理型防火墙
? 这类防火墙是通过一种代理 ( Proxy) 技
术参与到一个 TCP连接的全过程 。 从内
部发出的数据包经过这样的防火墙处理
后, 就好像是源于防火墙外部网卡一样,
从而可以达到隐藏内部网结构的作用 。
这种类型的防火墙被网络安全专家和媒
体公认为是最安全的防火墙, 它的核心
技术就是代理服务器技术 。
第 9 章 防火墙
第二代自适应型代理型防火墙。
? 自适应代理服务器 ( Adaptive Proxy Server)
? 动态包过滤器 ( Dynamic Packet filter) 。
第 9 章 防火墙
3,代理类型防火墙的优点
? 代理类型防火墙的最突出优点就是安全 。 由于它
工作于最高层, 所以它可以对网络中任何一层数
据通信进行筛选保护, 而不是像包过滤那样, 只
是对网络层的数据进行过滤 。
? 另外代理型防火墙采取的是一种代理机制, 它可
以为每一种应用服务建立一个专门的代理, 所以
内外部网络之间的通信不是直接的, 而都需要先
经过代理服务器审核, 通过后再由代理服务器代
为连接, 根本没有给内, 外部网络计算机任何直
接会话的机会, 从而避免了入侵者使用数据驱动
类型的攻击方式入侵内部网 。
第 9 章 防火墙
4,代理类型防火墙的缺点
? 代理防火墙的最大缺点就是速度相对比较慢,
当用户对内外部网络网关的吞吐量要求比较高
时, 代理防火墙就会成为内外部网络之间的瓶
颈 。 因为防火墙需要为不同的网络服务建立专
门的代理服务, 用自己的代理程序为内, 外部
网络用户建立连接时需要的时间, 所以给系统
性能带来了一些负面影响, 但通常不会很明显 。
第 9 章 防火墙
3, 防火墙的组成结构分类
? 软件防火墙
? 硬件防火墙
? 芯片级防火墙
第 9 章 防火墙
软件防火墙
? 这里指的是网络版的软件防火墙而不是
个人防火墙 。 软件防火墙通常运行于特
定的计算机上, 它需要客户预先安装好
计算机操作系统的支持, 一般来说这台
计算机就是整个网络的网关 。 软件防火
墙就像其他的软件产品一样需要先在计
算机上安装并做好配置才可以使用 。 防
火墙厂商中做网络版软件防火墙最出名
的莫过于 Checkpoint。
第 9 章 防火墙
硬件防火墙
? 这里说的硬件防火墙是指所谓的硬件防火墙 。
之所以加上, 所谓, 二字是针对芯片级防火墙
来说 。 它们最大的差别在于是否基于专用的硬
件平台 。 目前市场上大多数防火墙都是这种所
谓的硬件防火墙, 他们都基于 PC架构, 就是说,
它们和普通的家庭用的 PC没有太大区别 。 在这
些 PC架构计算机上运行一些经过裁剪和简化的
操作系统, 最常用的有老版本的 UNIX,Linux
和 FreeBSD系统 。
第 9 章 防火墙
芯片级防火墙
? 它们基于专门的硬件平台, 没有操作系
统 。 专有的 ASIC芯片促使它们比其他种
类的防火墙速度更快, 处理能力更强,
性能更高 。 做这类防火墙最出名的厂商
莫过于 NetScreen。
第 9 章 防火墙
9.1.3 防火墙的功能
? 1.防火墙是网络安全的屏障
? 2.防火墙可以强化网络安全策略
? 3.网络存取和访问监控审计
? 4.防止内部信息的外泄
? 5.除了安全作用,防火墙还支持 VPN
第 9 章 防火墙
防火墙是网络安全的屏障
? 一个防火墙 ( 作为阻塞点, 控制点 ) 能极大地
提高一个内部网络的安全性, 并通过过滤不安
全的服务而降低风险 。 由于只有经过精心选择
的应用协议才能通过防火墙, 所以网络环境变
得更安全 。 如防火墙可以禁止诸如 NFS的不安
全协议进出受保护网络, 这样外部的攻击者就
不可能利用这些脆弱的协议来攻击内部网络 。
防火墙同时可以保护网络免受基于路由的攻击,
如 IP选项中的源路由攻击和 ICMP重定向中的重
定向路径 。 防火墙可以拒绝所有以上类型攻击
的报文并通知防火墙管理员 。
第 9 章 防火墙
防火墙可以强化网络安全策略
? 通过以防火墙为中心的安全方案配置,
能将所有安全软件 ( 如口令, 加密, 身
份认证, 审计等 ) 配置在防火墙上 。 与
将网络安全问题分散到各个主机上相比,
防火墙的集中安全管理更经济 。 例如在
网络访问时, 系统和其他的身份认证系
统完全可以不必分散在各个主机上, 而
集中在防火墙身上 。
第 9 章 防火墙
网络存取和访问监控审计
? 如果所有的访问都经过防火墙, 那么, 防火墙
就能记录下这些访问并作出日志记录, 为管理
人员提供诸如谁在使用网络, 他们在网上做什
么, 他们上网时去了何处和上网有没有成功等
一系列问题的答案 。 当发生可疑动作时, 防火
墙能进行适当的报警, 并提供网络是否受到监
测和攻击的详细信息 。 另外, 收集一个网络的
使用和误用情况也是非常重要的 。 首先是可以
清楚防火墙是否能够抵挡攻击者的探测和攻击,
并且清楚防火墙的控制是否充足 。 而网络使用
中针计对网络需求分析和威胁分析等而言也是
非常重要的 。
第 9 章 防火墙
防止内部信息的外泄
? 通过利用防火墙对内部网络的划分, 可实现对内部网
重点网段的隔离, 从而限制了局部重点或敏感网络安
全问题对全局网络造成的影响 。 再者, 隐私是内部网
络非常关心的问题, 一个内部网络中不引人注意的细
节可能包含了有关安全的线索而引起外部攻击者的兴
趣, 甚至因此而暴露了内部网络的某些安全漏洞 。 使
用防火墙就可以隐蔽那些透露内部细节如 Finger,DNS
等服务 。 Finger显示了主机的所有用户的注册名, 真名,
最后登录时间和使用 shell类型等 。 但是 Finger显示的信
息非常容易被攻击者所获悉, 攻击者可以知道一个系
统使用的频繁程度, 这个系统是否有用户正在连线上
网, 这个系统是否在被攻击时引起注意等等 。 防火墙
可以同样阻塞有关内部网络中的 DNS信息, 这样一台
主机的域名和 IP地址就不会被外界所看到 。
第 9 章 防火墙
除了安全作用,防火墙还支持 VPN
? VPN就是, 虚拟专用网,, 它是一种具
有 Internet服务特性的企业内部网络技术
体系 。 通过 VPN,将企事业单位在地域
上分布在不同国家或不同城市的 LAN或
专用子网, 有机地联成一个整体, 不仅
省去了专用通信线路, 而且为信息共享
提供了技术保障 。
第 9 章 防火墙
防火墙的缺点
? 限制有用的网络服务
? 无法防护内部网络用户的攻击
? Internet防火墙无法防范通过防火墙以外
的其他途径的攻击
? Internet防火墙也不能完全防止传送
已感染病毒的软件或文件
? 防火墙无法防范数据驱动型的攻击
? 不能防备新的网络安全问题
第 9 章 防火墙
一、限制有用的网络服务
? 防火墙为了提高被保护网络的安全性,
限制或关闭了很多有用但存在安全缺陷
的网络服务 。 由于绝大多数网络服务在
设计之初根本没有考虑安全性, 只考虑
使用的方便性和资源共享, 所以都存在
安全问题 。 这样防火墙一限制这些网络
服务, 等于从一个极端走到了另外一个
极端 。
第 9 章 防火墙
二、无法防护内部网络用户的攻击
? 目前防火墙只提供对外部网络用户攻击的防护,对来
自内部网络用户的攻击只能依靠内部网络主机系统的
安全性。防火墙也不能防范这样的攻击:
? 伪装成超级用户或谎称自己是新雇员,从而劝说没有
防范心理的用户公开口令或授予其临时的网络访问权
限。所以必须对雇员们进行教育,让他们了解网络攻
击的各种类型,并懂得保护自己的用户口令和周期性
变换口令的必要性。也就是说,防火墙对内部网络用
户来讲形同虚设,目前尚无好的解决办法,只有采用
多层防火墙系统
第 9 章 防火墙
三,Internet防火墙无法防范通过
防火墙以外的其他途径的攻击
? 假如在一个被保护的网络上有一个没有限制的
拨出存在, 内部网络上的用户就可以直接通过
SLIP或 PPP连接进入 Internet。 聪明的用户可能
会对需要附加认证的代理服务器感到厌烦, 因
而向 ISP购买直接的 SLIP或 PPP连接, 从而试图
绕过由精心构造的防火墙提供的安全系统 。 这
就为从后门攻击创造了极大的可能 。 网络上的
用户们必须了解这种类型的连接对于一个有全
面的安全保护系统来说是绝对不允许的 。
第 9 章 防火墙
四,Internet防火墙也不能完全防
止传送已感染病毒的软件或文件
? 因为病毒的类型太多, 操作系统也有多
种, 编码与压缩二进制文件的方法也各
不相同 。 所以不能期望 Internet防火墙去
对每一个文件进行扫描, 查出潜在的病
毒 。 对病毒特别关心的机构应在每个桌
面部署防病毒软件, 防止病毒从软盘或
其他来源进入网络系统 。
第 9 章 防火墙
五、防火墙无法防范数据驱动型
的攻击
? 数据驱动型的攻击从表面上看是无害的
数据被邮寄或拷贝至 Internet主机上, 但
一旦执行就开始攻击 。 例如, 一个数据
型攻击可能导致主机修改与安全相关的
文件, 使得入侵者很容易获得对系统的
访问权 。 后面我们将会看到, 在堡垒主
机上部署代理服务器是禁止从外部直接
产生网络连接的最佳方式, 并能减少数
据驱动型攻击的威胁 。
第 9 章 防火墙
六、不能防备新的网络安全问题
? 防火墙是一种被动式的防护手段, 它只
能对现在已知的网络威胁起作用 。 随着
网络攻击手段的不断更新和一些新的网
络应用的出现, 不可能靠一次性的防火
墙设置来解决永远的网络安全问题 。
第 9 章 防火墙
9.2 防火墙的基本技术原理及其配置
? 9.2.1 防火墙的体系结构
? 9.2.2 防火墙基本技术原理
? 9.2.3 最新防火墙技术
? 9.2.4 防火墙硬件连接
? 9.2.5 防火墙基本配置
第 9 章 防火墙
9.2.1 防火墙的体系结构
? 1.防火墙的组成
? 2.防火墙的结构
第 9 章 防火墙
防火墙的组成
? 屏蔽路由器 ( Screening Router)
? 双宿主机网关 ( Dual Homed Gateway)
? 被屏蔽主机网关 ( Screened Gateway)
? 被屏蔽子网 ( Screened Subnet)
第 9 章 防火墙
屏蔽路由器( Screening Router)
? 屏蔽路由器是一个多端口的路由器, 这是防火墙最基
本的构件 。 它可以由厂家专门生产的路由器实现, 也
可以用主机来实现 。 它通过对每一个到来的 IP数据包
依据一组规则进行检查来判断是否对之进行转发 。 屏
蔽路由器从包头取得信息, 例如协议号, 收发报文的
IP地址和端口号, 连接标志以及另外一些 IP选项, 对 IP
数据包进行过滤, 屏蔽路由器作为内外连接的惟一通
道, 要求所有的报文都必须在此通过检查 。 路由器是
可以安装基于 IP协议层的报文过滤软件, 以实现报文
过滤功能 。 大多数路由器本身带有报文过滤配置选项,
但是一般都比较简单 。
第 9 章 防火墙
屏蔽路由器的优点
?结构简单
?硬件低成本
第 9 章 防火墙
屏蔽路由器的缺点
?正确建立包过滤规则比较困难, 屏蔽路由器的
管理成本较高, 用户级身份认证缺乏 。 路由器
生产商们正在着手解决这些问题 。 特别值得注
意的是, 它们正在开发编辑包过滤规则的图形
用户界面及制订标准的用户级身份认证协议,
以提供远程身份认证拨入用户服务
?单纯由屏蔽路由器构成的防火墙的危险来自路
由器本身及路由器允许访问的主机, 它的缺点
是一旦被攻陷后很难发现, 而且不能识别不同
的用户
第 9 章 防火墙
双宿主机网关( Dual Homed Gateway)
? 双宿主机网关是用一台装有两块网卡的
堡垒主机做防火墙 。 两块网卡分别与受
保护网和外部网相连 。 堡垒主机上运行
着防火墙软件, 可以转发应用程序, 提
供服务等 。
第 9 章 防火墙
双宿主机网关优于屏蔽路由器的地方
? 堡垒主机的系统软件可用于维护系统日
志, 硬件拷贝日志或远程日志 。 这对于
日后的检查很有用, 但这不能帮助网络
管理者确认内部网中哪些主机可能已被
黑客入侵 。
第 9 章 防火墙
双宿主机网关的弱点
? 一旦入侵者侵入堡垒主机, 则任何
网上用户均可以随便访问该内部网 。
第 9 章 防火墙
被屏蔽主机网关 ( Screened Gateway)
? 被屏蔽主机网关易于实现, 也很安全, 同时一个堡垒
主机安装在内部网络上, 通常在路由器上设立过滤规
则, 并使这个堡垒主机成为外部网络惟一可直接到达
的主机, 这确保了内部网络不受未被授权的外部用户
的攻击 。
? 如果受保护网是一个虚拟扩展的本地网, 即没有子网
和路由器, 那么内部网的变化不影响堡垒主机和屏蔽
路由器的配置 。 危险带限制在堡垒主机和屏蔽路由器
上, 网关的基本控制策略由安装在上面的软件决定,
如果攻击者设法登录到它上面, 则内部网中的其余主
机就会受到很大威胁 。 这与双宿主机网关受攻击时的
情形差不多 。
第 9 章 防火墙
被屏蔽子网 ( Screened Subnet)
? 这种方法是在内部网络和外部网络之间建立一个被隔离的子网,
用两台分组过滤路由器将这一子网分别与内部网络和外部网络分
开 。 在很多实现中, 两个分组过滤路由器放在子网的两端, 在子
网内构成一个, 非军事区, DNZ,内部网络和外部网络均可访问
被屏蔽子网, 但禁止它们穿过被屏蔽子网通信, 像 WWW和 FTP服务
器可放在 DNZ中 。 有的屏蔽子网中还设有一堡垒主机作为惟一可访
问点, 支持终端交互或作为应用网关代理 。 这种配置的危险带仅
包括堡垒主机, 子网主机, 及所有连接内网, 外网和屏蔽子网的
路由器 。
? 如果攻击者试图完全破坏防火墙, 他必须重新配置连接三个网的
路由器, 既不切断连接又不要把自己锁在外面, 同时又不使自己
被发现, 这样的情况还是可能的 。 但若禁止网络访问路由器或只
允许内网中的某些主机访问它, 则攻击会变得很困难 。 在这种情
况下, 攻击者要先侵入堡垒主机, 然后进入内网主机, 再返回来
破坏屏蔽路由器, 而且整个过程中不能引发警报 。
第 9 章 防火墙
防火墙的结构
? 双宿主主机结构
? 屏蔽主机结构
? 屏蔽子网结构
第 9 章 防火墙
双宿主主机 结构
? 双宿主主机结构围绕至少两个网络接口的双宿主主机
计算机构筑, 这种主机可以充当与这些接口相连的网
络之间的路由器 。 它能够从两个网络到另一个网络发
送 IP数据包 。 然而, 实现双宿主主机的防火墙结构禁
止这种发送功能 。 因而, IP数据包从一个网络 ( 如
Internet) 并不是被直接发送到其他网络 。 防火墙内部
的系统能与双宿主主机通信, 同时防火墙外部的系统
也能与双宿主主机通信 。 但是这些系统不能直接相互
通信 。 它们之间的 IP通信被完全阻止 。 双宿主主机防
火墙的网络结构是相当简单的:双宿主主机位于两者
之间, 并且被连接到 Internet及内部网络 。 通信系统之
间建立的任何直接的路径, 可以确保数据包不能直接
从外部网络到达内部网络, 反之亦然 。
第 9 章 防火墙
双宿主主机结构
图 9-1 双宿主主机结构
第 9 章 防火墙
屏蔽主机结构
? 双宿主主机能够提供很大程度的控制 。 如果安
全规则不允许数据包在内, 外网络之间传输,
而当发现内部网络上有任何外部源的数据包,
则可以断定在安全上存在某种问题 。
? 随着防火墙技术的进步, 在双宿主网关的基础
上又演化出两种防火墙配置, 一种是屏蔽主机
结构, 另一种是屏蔽智能网关 ( 屏蔽子网结
构 ) 。
第 9 章 防火墙
屏蔽主机结构
? 屏蔽主机结构是当前一种常见的防火墙配置 。 这种配置一方面将
路由器进行隐蔽, 另一方面在互联网和内部网之间安装堡垒主机 。
通过路由器的配置, 装在内部网上的堡垒主机成为内部网与互联
网进行通信的惟一系统, 在该结构中, 分组过滤路由器或防火墙
与 Internet相连, 同时一个堡垒主机安装在内部网络中, 通过在分
组过滤路由器或防火墙上过滤规则的设置, 使堡垒主机成为
Internet 上其他站点所能到达的惟一站点, 即它是因特网上的主机
能连接到的惟一的内部网络上的系统, 任何外部的系统试图访问
内部的系统或者服务将必须连接到这台主机上, 这确保了内部网
络不受未授权外部用户的攻击, 所以堡垒主机需要具有全面的安
全措施 。 过滤路由器中的数据包过滤配置可以按以下规则执行:
一方面, 允许它的内部主机为了某些服务请求与外部网建立直接
连接;另一方面, 不允许来自内部主机的所有连接 。
第 9 章 防火墙
图 9-2 屏蔽主机结构
图 9-2 屏蔽主机结构
第 9 章 防火墙
屏蔽主机结构
? 屏蔽主机结构允许数据包从因特网到内部网络
的传送, 所以它的安全机制似乎比双宿主主机
结构差, 但实际上, 在双宿主主机结构中, 外
部的防备数据包进入内部网络也比较容易失败,
所以保卫路由器比保卫主机较易实现, 也就是
说, 被屏蔽主机结构比双宿主主机结构具有更
好的安全性和可靠性 。 但是, 如果黑客设法袭
击堡垒主机, 则在堡垒主机和其他内部主机之
间没有任何保护网络安全的介质存在, 路由器
同样出现一个单点失效, 如果路由器被损害,
整个网络就会完全暴露在入侵者面前, 这就是
屏蔽子网结构日益普及的原因 。
第 9 章 防火墙
屏蔽子网结构
? 屏蔽子网结构的防火墙是目前技术最为复杂而且安全
级别最高的防火墙 。 它添加额外的安全层 ( 即周边网
络 ) 到被屏蔽主机结构, 以进一步隔开内部网络与因
特网 。 在此结构中, 堡垒主机放在一个子网内, 两个
分组过滤路由器放在这一子网的两端, 使这一子网与
Internet及内部网络分离 。 在屏蔽子网防火墙体系结构
中, 堡垒主机和分组过滤路由器共同构成了整个防火
墙的安全基础 。 在周边网络上隔离堡垒主机与内部网
可以减少外来入侵对堡垒主机的影响, 它将屏蔽智能
网关隐藏在公共系统之后, 使其免遭直接攻击, 即使
入侵者通过了堡垒主机, 他必须还要通过内部路由器
才能抵达内部网 。 屏蔽智能网关提供了对互联网服务
进行几乎透明的访问, 同时阻止了外部未授权访问者
对专用网络的非法访问 。 一般来说, 这种防火墙是最
不容易遭到破坏的 。
第 9 章 防火墙
? 最简单的子网过滤结构是:两台连到参数网络的过滤
路由器, 一台位于内部网与周边子网之间, 另一台位
于外部网与周边子网之间 。 有些站点还使用多参数网
络加以保护 。 外部参数网络提供低可靠性的保护, 内
部参数网络提供高可靠性的保护 。 当外来入侵者进入
外部参数网后, 还需要破坏保护性能更强的内部参数
网才能到达内部网 。 常见的子网过滤结构防火墙的配
置如图 9-3所示 。
图 9-3 屏蔽子网结构
第 9 章 防火墙
◆ 参数网络
? 参数网络是另加的一层安全保护网络, 位于内
部网和外部网之间 。 当入侵者通过防火墙的外
层保护网络, 他必须面对参数网络在入侵者和
内部网之间提供的另外一层保护 。 如果入侵者
仅侵入到参数网络的堡垒主机, 他只能获得这
层网络的信息, 而无法得知内部网的信息, 因
为这层网络的信息仅从参数网络往来于外部网
络或者从参数网络往来于堡垒主机, 即使堡垒
主机受到损害也不会让入侵者伤及内部网的信
息流 。
第 9 章 防火墙
◆ 堡垒主机
? 在屏蔽子网的过滤结构中, 堡垒主机连接到参
数网络, 而外部网服务与内部网的主站点就是
堡垒主机 。 它为内部网络服务的主要功能有:
1,接收外来的电子邮件, 再分发给相应的站点 。
2,接收外来的 FTP,并将连到内部网的匿名 FTP
服务器上 。
3,接收外来的有关内部网络站点的域名服务 。
第 9 章 防火墙
9.2.2 防火墙基本技术原理
? 防火墙由, 楔, 和, 门, 两类功能部件
组成。典型的防火墙包括一外一内两个
楔和夹在中间的一个门。
? 楔通常由路由器承担,门通常由相当简
化的操作系统主机承担。楔迫使内部网
络和外部网络之间的通信通过门进行;
? 门则实现安全措施并代理网络服务
第 9 章 防火墙
防火墙基本技术原理
? 门与内外楔之间分别连接一个独立的子
网 。 其中外楔和门之间的子网上可以部
署对外的 HTTP,匿名 FTP和 DNS服务
( 称非军事区 ) 。 具体地说, 内外楔应
阻塞不希望穿越防火墙的所有网络服务
的分组, 阻塞具有 IP源路由或其他, 不
同寻常, 选项设置 ( 如记录路径 ) 的分
组, 阻塞源地址为广播或多播地址的分
组;
第 9 章 防火墙
防火墙基本技术原理
? 外楔应阻塞以内部网络或内楔为目的地的分组, 限制 ICMP
分组转发到特定的外部系统, 只转发源宿 IP地址一为 DMZ
子网为目的地的分组, 阻塞所有 ICMP分组以防源地址欺诈;
内楔应阻塞以外部网络或 DMZ子网为目的地的分组, 阻塞
所有 ICMP分组, 只转发源宿 IP地址一为门地址, 一为内部
网络地址的分组以防源地址欺诈 。 门运行服务器代理 ( 包
括 HTTP,FTP,TELNET甚至 DNS等服务 ), 允许内部网
络用户使用外部网络及 DMZ上的服务;门要么直接作为邮
件服务器, 要么接收来自外部网络的全部邮件, 再转发给
内部网络中作为邮件接收服务器的主机 ( 即 POP3/IMAP服
务器 ) 。
第 9 章 防火墙
防火墙基本技术原理
? 防火墙不止是一种路由器, 主系统或一批向网
络提供安全性的系统 。 相反, 防火墙是一种获
取安全性的方法, 它有助于实施一个比较广泛
的安全性策略, 用以确定允许提供的服务和访
问 。 就网络配置, 一个或多个主系统和路由器
以及其他安全性措施 ( 如代替静态口令的先进
验证 ) 来说, 防火墙是该策略的具体实施 。 防
火墙系统的主要用途就是控制对受保护的网络
体 ( 即网点 ) 的往返访问 。
第 9 章 防火墙
防火墙基本技术原理
? 通过防火墙系统, 专门把网络或子网间
那些可能被子网外的主系统滥用的协议
和服务隔绝 。 防火墙系统通常位于等级
较高的网关, 如网点与 Internet的连接处,
但是防火墙系统可以位于等级较低的网
关, 以便为某些数量较少的主系统或子
网提供保护 。
第 9 章 防火墙
防火墙基本技术原理
? 防火墙基本上是一个独立的进程或一组
紧密结合的进程,运行于 Router或 Server
来控制经过防火墙的网络应用程序的通
信流量。一般来说,防火墙置于公共网
络(如 Internet)入口处。它可以看作是
交通警察。它的作用是确保一个单位内
的网络与 Internet之间所有的通信均符合
该单位的安全方针。
第 9 章 防火墙
防火墙基本技术原理
? 这些系统基本上是基于 TCP/IP,并与实
现方法有关, 它能实施安全保障, 并为
管理人员提供对下列问题的答案:
1,谁在使用网络?
2,用户在网上做什么?
3,用户什么时间使用过网络?
4,用户上网时去了哪些网站?
5,哪些用户要访问网络但没有成功?
第 9 章 防火墙
防火墙基本技术原理
一般的防火墙都可以达到以下目的:
? 一, 可以限制外部用户进入内部网络,
过滤掉不安全服务和非法用户;
? 二, 防止入侵者接近你的防御设施;
? 三, 限定内部用户访问特殊站点;四是
为监视 Internet安全提供方便 。
第 9 章 防火墙
防火墙基本技术原理
? 由于防火墙假设了网络边界和服务, 因此更适
合于相对独立的网络,
? 例如 Intranet等种类相对集中的网络 。 防火墙正
在成为控制对网络系统访问的非常流行的方法 。
事实上, 在 Internet上的 Web网站中, 超过三分
之一的 Web网站都是由某种形式的防火墙加以
保护, 这是对黑客防范最严, 安全性较强的一
种方式, 任何关键性的服务器, 都建议放在防
火墙之后 。
第 9 章 防火墙
9.2.3 最新防火墙技术
1.防火墙技术发展概述
2.防火墙未来的技术发展趋势
3.分布式防火墙技术
第 9 章 防火墙
防火墙技术发展概述(一)
? 传统的防火墙通常是基于访问控制列表 ( ACL)
进行包过滤的, 位于内部专用网的入口处, 所
以也俗称, 边界防火墙, 。 随着防火墙的发展,
防火墙技术也得到了发展, 出现了一些新的防
火墙技术, 如电路级网关技术, 应用网关技术
和动态包过滤技术, 在实际运用中, 这些技术
差别非常大, 有的工作在 OSI参 考模式的网络
层, 有的工作在传输层, 还有的工作在应用层 。
第 9 章 防火墙
防火墙技术发展概述 (二)
? 应用层网关和电路级网关是比较好的安全解决方案,
它们在应用层检查数据包 。 但是, 我们不可能对每一
个应用都运行这样一个代理服务器, 而且部分应用网
关技术还要求客户端安装有特殊的软件 。 这两种解决
方案在性能上也有很大的不足之处 。 动态包过滤是基
于连接状态对数据包进行检查, 由于动态包过滤解决
了静态包过滤的安全限制, 并且比代理技术在性能上
有了很大的改善, 因而目前大多数防火墙厂商都采用
这种技术 。 但是随着主动攻击的增多, 动态包过滤技
术也面临着巨大的挑战, 更需要其他新技术的辅助 。
第 9 章 防火墙
防火墙未来的技术发展趋势
1,防火墙包过滤技术的发展趋势
2,防火墙体系结构的发展趋势
3,防火墙系统管理的发展趋势
第 9 章 防火墙
1,防火墙包过滤技术的发展趋势
? 采用用户认证及服务扩展
? 采用多级过滤技术
? 采用病毒防护技术
第 9 章 防火墙
采用用户认证及服务扩展
? 把在 AAA系统上运用的用户认证及其服
务扩展到防火墙中,使其拥有可以支持
基于用户角色的安全策略功能。该功能
在无线网络应用中非常必要
第 9 章 防火墙
采用多级过滤技术
? 所谓多级过滤技术,是指防火墙采用多级过滤
措施,并辅以鉴别手段。在分组过滤(网络层)
一级,过滤掉所有的源路由分组和假冒的 IP源
地址;在传输层一级,遵循过滤规则,过滤掉
所有禁止出或入的协议和有害数据包,如 nuke
包、圣诞树包等;在应用网关(应用层)一级,
能利用 FTP,SMTP等各种网关,控制和监测
Internet提供的所用通用服务。这是针对以上各
种已有防火墙技术的不足而产生的一种综合型
过滤技术,它可以弥补以上各种单独过滤技术
的不足。
第 9 章 防火墙
采用病毒防护技术
? 采用病毒防护技术的防火墙, 称之为
,病毒防火墙,, 主要应用在个人防火
墙中 。 这种防火墙技术可以有效地防止
病毒在网络中的传播, 比等待攻击的发
生更加积极 。
第 9 章 防火墙
2.防火墙体系结构的发展趋势一
? 随着网络应用的增加,对网络带宽提出
了更高的要求。这意味着防火墙要能够
以非常高的速率处理数据。另外,在以
后几年里,多媒体应用将会越来越普遍,
它要求数据穿过防火墙所带来的延迟要
足够小。为了满足这种需要,一些防火
墙制造商开发了基于 ASIC的防火墙和基
于网络处理器的防火墙。
第 9 章 防火墙
防火墙体系结构的发展趋势二
? 从执行速度的角度来看, 基于网络处理
器的防火墙也是基于软件的解决方案,
它需要在很大程度上依赖于软件的性能,
但是由于这类防火墙中有一些专门用于
处理数据层面任务的引擎, 从而减轻了
CPU的负担, 该类防火墙的性能要比传
统防火墙的性能好许多 。
第 9 章 防火墙
防火墙体系结构的发展趋势三
? 与基于 ASIC的纯硬件防火墙相比,基于网络处
理器的防火墙具有软件色彩,因而更加具有灵
活性。基于 ASIC的防火墙使用专门的硬件处理
网络数据流,比起前两种类型的防火墙具有更
好的性能。但是纯硬件的 ASIC防火墙缺乏可编
程性,这就使得它缺乏灵活性,从而跟不上防
火墙功能的快速发展。理想的解决方案是增加
ASIC芯片的可编程性,使其与软件更好地配合。
这样的防火墙就可以同时满足来自灵活性和运
行性能的要求。
第 9 章 防火墙
3.防火墙系统管理的发展趋势
1、集中式管理、分布式和分层的安全结构
是将来的趋势
2、强大的审计功能和自动日志分析功能
3、网络安全产品的系统化
第 9 章 防火墙
发展趋势(一)
? 集中式管理、分布式和分层的安全结构
是将来的趋势。
? 集中式管理可以降低管理成本,并保证
在大型网络中安全策略的一致性。快速
响应和快速防御也要求采用集中式管理
系统
第 9 章 防火墙
发展趋势(二)
? 强大的审计功能和自动日志分析功能 。
?这两点的应用可以更早地发现潜在的威
胁并预防攻击的发生 。
第 9 章 防火墙
发展趋势(三)
? 网络安全产品的系统化 。
?随着网络安全技术的发展, 现在有一种提法,
叫做, 建立以防火墙为核心的网络安全体系, 。
因为我们在现实中发现, 仅现有的防火墙技术
难以满足当前网络安全需求 。 通过建立一个以
防火墙为核心的安全体系, 就可以为内部网络
系统部署多道安全防线, 各种安全技术各司其
职, 从各方面防御外来入侵 。
第 9 章 防火墙
分布式防火墙技术
? ( 1)分布式防火墙的产生
? ( 2)分布式防火墙的主要特点
? ( 3)分布式防火墙的主要优势
? ( 4)分布式防火墙的主要功能
第 9 章 防火墙
分布式防火墙的产生
? 因为传统的防火墙设置在网络边界, 处于内, 外部互
联网之间, 所 以 称 为, 边 界 防 火 墙 ( Perimeter
Firewall), 。 随着人们对网络安全防护要求的提高,
边界防火墙明显感觉到力不从心, 因为给网络带来安
全威胁的不仅是外部网络, 更多的是来自内部网络 。
但边界防火墙无法对内部网络实现有效的保护, 除非
对每一台主机都安装防火墙, 这显然是不可能的 。 基
于此, 分布式防火墙 ( Distributed Firewalls) 技术产生
了 。 它可以很好地解决边界防火墙以上的不足, 它把
防火墙的安全防护系统延伸到网络中的各台主机 。 一
方面有效地保证了 用户的投资不会很高, 另一方面给
网络所带来的安全防护也是非常全面的 。
第 9 章 防火墙
分布式防火墙的产生
? 分布式防火墙负责对网络边界, 各子网和网络
内部各节点之间的安全防护, 所以分布式防火
墙是一个完整的系统, 而不是单一的产品 。 新
的防火墙体系结构包含如下部分:
? 网络防火墙 ( Network Firewall)
? 主机防火墙 ( Host Firewall)
? 中心管理 ( Central Management)
第 9 章 防火墙
分布式防火墙的主要特点
? 主机驻留
? 嵌入操作系统内核
? 类似于个人防火墙
? 适用于服务器托管
第 9 章 防火墙
主机驻留
? 这种分布式防火墙的最主要特点就是采
用主机驻留方式。
? 它的重要特征是驻留在被保护的主机上,
该主机以外的网络不管是处在网络内部
还是网络外部都认为是不可信任的,因
此可以针对该主机上运行的具体应用和
对外提供的服务设定针对性很强的安全
策略。
第 9 章 防火墙
嵌入操作系统内核
? 分布式主机防火墙运行在主机上, 主机
防火墙的安全监测核心引擎要以嵌入操
作系统内核的形态运行, 直接接管网卡,
在把所有数据包进行检查后再提交操作
系统 。
第 9 章 防火墙
类似于个人防火墙
? 但它们之间又有着本质上的差别:
? 首先,它们的管理方式迥然不同,个人防火墙的安全
策略由系统使用者自己设置,全部功能和管理都在本
机上实现,它的目标是防止主机以外的任何外部用户
攻击;而针对桌面应用的主机防火墙的安全策略由整
个系统的管理员统一安排和设置,除了对该桌面机起
到保护作用外,也可以对该桌面机的对外访问加以控
制,并且这种安全机制是桌面机的使用者不可见和不
可改动的。
? 其次,不同于个人防火墙的是单纯的直接面向个人用
户,针对桌面应用的主机防火墙是面向企业级客户的,
它与分布式防火墙其他产品共同构成一个企业级应用
方案,形成一个安全策略中心统一管理,所以它在一
定程度上也面对整个网络。
第 9 章 防火墙
分布式防火墙的主要优势
? 1,增强的系统安全性 。
? 2,提高了系统性能 。
? 3,系统的扩展性 。
? 4,实施主机策略 。
? 5、应用更为广泛,支持 VPN通信。
第 9 章 防火墙
分布式防火墙的主要功能
? ① Internet访问控制 。
? ② 应用访问控制 。
? ③ 网络状态监控 。
? ④ 黑客攻击的防御 。
? ⑤ 日志管理 。
? ⑥ 系统工具 。
第 9 章 防火墙
9.2.4 防火墙硬件连接
? 如图 9-4所示,是一款 Cisco PIX防火墙的后面
板。不同的防火墙,其后面板差别较大,如今,
大部分防火墙通常都有至少三个接口,一个接
口连接 Internet,一个接口连接内部网络,另一
个接口连接 DMZ(即 Demilitarized Zone,它在
公共网络和私有网络之间,构成了一个隔离网,
称之为, 停火区,,也称, 非军事化区,,通
常放置对外提供服务的服务器,如 WWW、邮
件服务器等网络应用服务器)。
第 9 章 防火墙
图 9-4 Cisco PIX 525后面板
第 9 章 防火墙
图 9-5 防火墙的连接示意图
第 9 章 防火墙
9.2.5 防火墙基本配置
? 1.防火墙的基本配置原则
? 2.防火墙的几个配置模式
? 3,防火墙的初始配置
? 4.一个防火墙的配置实例
第 9 章 防火墙
1.防火墙的基本配置原则
默认情况下,所有的防火墙都是按以下两
种情况配置的:
1.拒绝所有的流量, 这需要在网络中特别
指定能够进, 出的流量类型 。
2.允许所有的流量, 这种情况需要特别指
定要拒绝的流量类型 。
第 9 章 防火墙
防火墙的基本配置原则
? 大多数防火墙默认拒绝所有的流量作为安全选
项 。
? 安装防火墙后, 可根据实际需要, 开放一些必
要的端口, 以使 防火墙内的用户在通过验证之
后访问系统 。 例如, 要想让网内用户能够通过
客户端邮件管理软件 ( 如 Outlook Express) 发
送和接收 E-mail,必须在防火墙上设置相应的
规则或开启允许 POP3和 SMTP的进程 。
第 9 章 防火墙
防火墙的基本配置原则
? 简单实用
? 全面深入
? 内外兼顾
第 9 章 防火墙
原则一:简单实用
? 对防火墙环境设计来讲, 首要的就是简
单 。 越简单的实现方式, 越容易理解和
使用 。 而且设计越简单, 越不容易出错,
防火墙的安全功能越容易得到保证, 管
理也越可靠和简便 。
第 9 章 防火墙
原则二:全面深入
? 单一的防御措施是难以保障系统安全的,
只有采用全面, 多层次的深层防御战略
体系才能实现系统的真正安全 。 在防火
墙配置中, 不要停留在几个表面的防火
墙语句上, 而应系统地看待整个网络的
安全防护体系, 尽量使各方面的配置相
互加强, 从深层次上防护整个系统 。
第 9 章 防火墙
原则三:内外兼顾
? 防火墙的一个特点是防外不防内, 其实,
在现实的网络环境中, 80%以上的威胁
都来自内部, 所以要树立内部防范观念,
对内部威胁可以采取入侵检测, 主机防
护, 漏洞扫描, 病毒查杀等一系列措施 。
这些体现在防火墙配置方面就是要引入
全面防护的观念, 最好能部署与内部防
护手段联动的机制 。
第 9 章 防火墙
2.防火墙的几个配置模式
? 非特权模式
? 特权模式
? 配置模式
? 监视模式
第 9 章 防火墙
非特权模式
? PIX防火墙开机自检后,就是处于这种模
式。
? 系统显示为 pixfirewall>
第 9 章 防火墙
特权模式
? 输入 enable进入特权模式,可以改变当前
配置。
? 显示为 pixfirewall#
第 9 章 防火墙
配置模式
? 输入 configure terminal进入此模式, 绝大
部分的系统配置都在这里进行 。
? 显示为 pixfirewall(config)#
第 9 章 防火墙
监视模式
? PIX防火墙在开机或重启过程中, 按住
Escape键或发送一个, Break”字符, 进入
监视模式 。
? 这里可以更新操作系统映象和口令恢复 。
? 显示为 monitor>
第 9 章 防火墙
? ( 1) 将 PIX安放至机架,经检测电源系统后接上电源,并
给主机加电。
? ( 2) 用配置线从电脑的 COM2连到防火墙的 console口,运
行“超级终端”程序从 CONSOLE口进入 PIX系统,此时系统
提示 pixfirewall>。
? ( 3) 输入命令 enable,进入特权模式,此时系统提示为
pixfirewall#。
? ( 4) 输入命令 configure terminal,此时系统提示为
pixfirewall (config)# 对系统进行初始化设置。
3.防火墙的初始配置
【 以 Cisco PIX防火墙为例 】
第 9 章 防火墙
( 5)配置防火墙接口的名字,并指定安全
级别(使用 nameif命令)
pixfirewall (config)#nameif ethernet0 outside
security0
pixfirewall (config)#nameif ethernet1 inside
security100
pixfirewall (config)#nameif dmz security50
提示:在缺省配置中,以太网 0被命名为外部接口
( outside),安全级别是 0;以太网 1被命名为内
部接口( inside),安全级别是 100。数字越大安
全级别越高。若添加新的接口,语句可以这样写:
pixfirewall (config)#nameif pix/intf3
security40 (安全级别任取)
第 9 章 防火墙
( 6)配置以太口参数(使用 interface命
令)
pixfirewall (config)#interface ethernet0
auto ( auto选项表明系统自适应网卡类
型 )
pixfirewall (config)#interface ethernet1
100full( 100full选项表示 100Mbit/s以太
网全双工通信)
pixfirewall (config)#interface ethernet1
100full shutdown( shutdown表示关闭这个
接口,若启用则去掉 shutdown)
第 9 章 防火墙
( 7)配置内外网卡的 IP地址(使用 ip
address命令)
ip address inside ip_address netmask
ip address outside ip_address netmask
第 9 章 防火墙
( 8)指定要进行转换的内部地址( nat)
网络地址翻译( nat)作用是将内网的私有 ip转换为
外网的公有 ip。 nat命令总是与 global命令一起使
用,这是因为 nat命令可以指定一台主机或一段范
围的主机访问外网,访问外网时需要利用 global所
指定的地址池进行对外访问。
nat命令格式:
nat (if_name) nat_id local_ip [netmark]
其中( if_name)表示内网接口名字,例如 inside。
nat_id用来标识全局地址池,使它与其相应的
global命令相匹配,local_ip表示内网被分配的 ip
地址。例如 0.0.0.0表示内网所有主机可以对外访
问。 [netmark]表示内网 ip地址的子网掩码。
第 9 章 防火墙
( 9)指定外部地址范围(使用 global命令)
global命令把内网的 ip地址翻译成外网的 ip地址或一段
地址范围。
Global命令格式:
global (if_name) nat_id ip_address-ip_address [netmark
global_mask]
其中( if_name)表示外网接口名字
例如 outside。
Nat_id用来标识全局地址池,使它与其相应的 nat命令
相匹配,ip_address-ip_address表示翻译后的单个 ip
地址或一段 ip地址范围。 [netmark global_mask]表示
全局 ip地址的网络掩码。
第 9 章 防火墙
( 10)设置指向内网和外网的静态路由
( route)
定义一条静态路由。
route命令格式:
route (if_name) 0 0 gateway_ip [metric]
其中( if_name)表示接口名字,例如 inside,
outside。 Gateway_ip表示网关路由器的 ip地
址。 [metric]表示到 gateway_ip的跳数。通常
缺省是 1。
第 9 章 防火墙
( 11) 配置静态 IP地址翻译( static)
如果从外网发起一个会话,会话的目的地址是一个内
网的 ip地址,static就把内部地址翻译成一个指定的
全局地址,允许这个会话建立。
static命令格式:
static (internal_if_name,external_if_name)
outside_ip_address inside_ ip_address
其中 internal_if_name表示内部网络接口,安全级别较
高。如 inside。 external_if_name为外部网络接口,安
全级别较低。如 outside等。 outside_ip_address为正
在访问的较低安全级别的接口上的 ip地址。 inside_
ip_address为内部网络的本地 ip地址。
第 9 章 防火墙
( 12)管道命令( conduit)
conduit命令格式:
conduit permit | deny global_ip port[-port]
protocol foreign_ip [netmask]
permit | deny 允许 | 拒绝访问 global_ip 指的是
先前由 global或 static命令定义的全局 ip地址,如
果 global_ip为 0,就用 any代替 0;如果 global_ip
是一台主机,就用 host命令参数。 port 指的是服
务所作用的端口,例如 www使用 80,smtp使用 25等
等,我们可以通过服务名称或端口数字来指定端口。
protocol 指的是连接协议,对于任意主机,可以
用 any表示。
第 9 章 防火墙
( 13)配置 fixup协议
? fixup命令作用是启用,禁止,改变一个服务
或协议通过防火墙,由 fixup命令指定的端口
是防火墙要侦听的服务。
第 9 章 防火墙
( 14)设置 telnet
telnet命令格式:
telnet local_ip [netmask]
其中 local_ip 表示被授权通过 telnet访问到
防火墙的 ip地址。如果不设此项,防火墙的
配置方式只能由 console进行。
第 9 章 防火墙
( 15)将配置保存
? wr mem
第 9 章 防火墙
( 16)几个常用的网络测试命令:
#ping
#show interface 查看端口状态
#show static 查看静态地址映射
第 9 章 防火墙
4.一个防火墙的配置实例
? ( 1)建立用户和修改密码
? ( 2)激活以太端口
? ( 3)命名端口与安全级别
? ( 4)配置以太端口 IP 地址
? ( 5)配置远程访问 [telnet]
? ( 6)访问列表 (access-list)
? ( 7)地址转换( NAT)和端口转换 (PAT)
? ( 8) DHCP Server
? ( 9)静态端口重定向 (Port Redirection with Statics)
? ( 10)显示与保存结果
第 9 章 防火墙
( 1)建立用户和修改密码
? 设置登录密码
? password password
? PIX525 (config)# enable secret abcdefg
第 9 章 防火墙
( 2)激活以太端口
? 必须用 enable进入, 然后进入 configure模式
? PIX525 > enable
? Password:
? PIX525#config t
? PIX525 (config)#interface ethernet0 auto
? PIX525(config)#interface ethernet1 auto
? 在默认情况下 ethernet0是属外部网卡 outside,
ethernet1是属内部网卡 inside,inside在初始化配
置成功的情况下已经被激活生效了, 但是
outside必须命令配置激活 。
第 9 章 防火墙
( 3)命名端口与安全级别
? PIX525(config)#nameif ethernet0 outside
security0
? PIX525(config)#nameif ethernet0 inside
security100
? security0是外部端口 outside的安全级别( 0安全
级别最高) security100是内部端口 inside的安全
级别,如果中间还有以太口,则 security10,
security20等等命名,多个网卡组成多个网络,
一般情况下增加一个以太口作为
DMZ(Demilitarized Zones非武装区域 )。
第 9 章 防火墙
( 4)配置以太端口 IP 地址
? 采用命令为,ip address
? 如:内部网络为,192.168.1.0 255.255.255.0
? 外部网络为,222.20.16.0 255.255.255.0
? PIX525(config)#ip address inside 192.168.1.1
255.255.255.0
? PIX525(config)#ip address outside 222.20.16.1
255.255.255.0
第 9 章 防火墙
( 5)配置远程访问 [telnet]
? 在默然情况下, PIX的以太端口是不允许 telnet的, 这
一点与路由器有区别 。 Inside端口可以做 telnet就能用了,
但 outside端口还跟一些安全配置有关 。
? PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside
? PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside
? 测试 telnet
? 在 [开始 ]->[运行 ]
? telnet 192.168.1.1
? PIX passwd:
? 输入密码,cisco
第 9 章 防火墙
( 6)访问列表 (access-list)
? 此功能与 Cisco IOS基本上是相似的, 也是 Firewall的主要部分 。 一
般有 permit和 deny两个功能, 网络协议有 IP|TCP|UDP|ICMP等等,
如:只允许访问主机,222.20.16.254 的 www,端口为,80。
? PIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq
www
? PIX525(config)#access-list 100 deny ip any any
? PIX525(config)#access -group 100 in interface outside
? 如下面的命令允许 ping包通过, 主要用来排错, 如果没有必要该
命令可以不做 。
? PIX525(config)#access-list 101 permit icmp any any traceroute
? 如下面的命令允许在邮件服务器上的安全验证
? PIX525(config)#access-list 101 permit any any eq smtp
第 9 章 防火墙
( 7)地址转换 ( NAT) 和端口转换 (PAT)
? NAT跟路由器基本是一样的, 首先必须定义 IP Pool,提供给内部
IP地址转换的地址段, 接着定义内部网段 。
? PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200
netmask 255.255.255.0
? PIX525(config)#nat (outside) 1 192.168.0.0 255.255.255.0
? 如果是内部全部地址都可以转换出去则,
? PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0
? 则某些情况下, 外部地址是很有限的, 有些主机必须单独占用一
个 IP地址, 必须解决的是公用一个外部 IP(222.20.16.201),则必须多
配置一条命令, 这种 称为 ( PAT), 这样就能解决更多用户同时
共享一个 IP,有点像代理服务器一样的功能 。 配置如下:
? PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200
netmask 255.255.255.0
? PIX525(config)#global (outside) 1 222.20.16.201 netmask
255.255.255.0
? PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0
第 9 章 防火墙
( 8) DHCP Server
? 在内部网络, 为了维护的集中管理和充分利用有限 IP地址, 都会
启用动态主机分配 IP地址服务器 ( DHCP Server), Cisco Firewall
PIX都具有这种功能, 下面简单配置 DHCP Server,地址段为
192.168.1.100~192.168.168.1.200
? DNS,主 DNS 202.96.128.68 备用 DNS 202.96.144.47
? 主域名称,abc.com.cn
? DHCP Client 通过 PIX Firewall
? PIX525(config)#ip address dhcp
? DHCP Server配置
? PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside
? PIX525(config)#dhcp dns202.96.128.68 202.96.144.47
? PIX525(config)#dhcp domain abc.com.cn
第 9 章 防火墙
( 9)静态端口重定向 (Port Redirection with Statics)
? static[(internal_if_name,external_if_name)]{global_ip|interface}local_
ip[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
? static[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interfa
ce}local_ip [netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]
? PIX525(config)#static (inside,outside) tcp 222.20.16.99 telnet
192.168.1.99 telnet netmask 255.255.255.255 0 0
? 外部用户直接访问地址 222.20.16.99 telnet端口, 通过 PIX重定向到
内部主机 192.168.1.99的 telnet端口 ( 23) 。
? PIX525(config)#static (inside,outside) tcp 222.20.16.99 ftp
192.168.1.3 ftp netmask 255.255.255.255 0 0
? 外部用户直接访问地址 222.20.16.99 FTP,通过 PIX重定向到内部
192.168.1.3的 FTP Server。
? PIX525(config)#static (inside,outside) tcp 222.20.16.208 www
192.168.1.2 www netmask 255.255.255.255 0 0
第 9 章 防火墙
? 外部用户直接访问地址 222.20.16.208 www(即 80端口 ),
通过 PIX重定向到内部 192.168.123的主机的 www(即 80
端口 )。
? PIX525(config)#static (inside,outside) tcp 222.20.16.208
8080 192.168.1.4 www netmask 255.255.255.255 0 0
? 外部用户直接访问地址 222.20.16.201 HTTP(8080端口 ),
通过 PIX重定向到内部 192.168.1.4的主机的 www(即 80
端口 )。
? PIX525(config)#static (inside,outside) tcp 222.20.16.208
smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0
? 外部用户直接访问地址 222.20.16.5 smtp(25端口 ),通过
PIX重定向到内部 192.168.1.5的邮件主机的 smtp(即 25端
口 )
( 9)静态端口重定向 (Port Redirection with Statics)
第 9 章 防火墙
( 10)显示与保存结果
? 采用命令 show config
? 保存采用 write memory
第 9 章 防火墙
9.3 防火墙的主要性能指标
? 9.3.1 防火墙种类
? 9.3.2 用户节点数
? 9.3.3 软件防火墙与硬件防火墙的差异
? 9.3.4 NAT功能
? 9.3.5 VPN功能
? 9.3.6 日志功能
? 9.3.7 防火墙规则
? 9.3.8 一些个人的建议
第 9 章 防火墙
9.3.1 防火墙种类
? 目前,市场有 6种基本类型的防火墙,
? 嵌入式防火墙
? 基于企业软件的防火墙
? 基于企业硬件的防火墙
? SOHO软件防火墙
? SOHO硬件防火墙
? 特殊的防火墙
基于软件的防火墙
基于硬件的防火墙
第 9 章 防火墙
? 即:内嵌于路由器或交换机的防火墙,有时也被称为
阻塞点防火墙。
? 嵌入式防火墙是某些路由器的标准配置。
? 用户也可以购买防火墙模块,安装到已有的路由器或
交换机中。
? 由于互联网使用的协议多种多样,所以不是所有的网
络服务都能得到嵌入式防火墙的有效处理。
? 嵌入式防火墙工作于 IP层,所以无法保护网络免受病
毒、蠕虫和特洛伊木马程序等来自应用层的威胁。
? 就本质而言,嵌入式防火墙常常是无监控状态的,它
在传递信息包时并不考虑以前的连接状态。
嵌入式防火墙
第 9 章 防火墙
? 是能够安装在操作系统和硬件平台上的防火墙
软件包。
? 如果用户的服务器装有企业级操作系统,购买
基于软件的防火墙则是合理的选择。
? 如果用户是一家小企业,并且想把防火墙与应
用服务器(如网站服务器)结合起来,添加一
个基于软件的防火墙就是合理之举。
基于软件的防火墙
第 9 章 防火墙
? 捆绑在“交钥匙”系统,是一个已经装
有软件的硬件设备。
? 基于硬件的防火墙也分为家庭办公型和
企业型两种款式。
基于硬件的防火墙
第 9 章 防火墙
? 它是侧重于某一应用的防火墙产品。
? 目前,市场上有一类防火墙是专门为过滤
内容而设计的,MailMarshal和 WebMarshal
就是侧重于消息发送与内容过滤的特殊防
火墙。 OKENA的 Stormwath虽然没有标明
是防火墙,但也具有防火墙类规则和应用
防范禁闭功能。
特殊防火墙
第 9 章 防火墙
9.3.2 用户节点数
? 在选购防火墙时,用户需要考虑保护的节点数。
? 要加以保护的节点数决定了是采用企业级防火
墙还是采用 SOHO防火墙。 SOHO防火墙能够
应付 50个以内的用户连接请求。如果需要保护
50个以上用户,就必须采用企业防火墙。
? 企业防火墙具有管理多个防火墙的功能,这意
味着企业防火墙能够与中央管理控制台进行通
信。
? 生产企业防火墙的供应商大都是提供作为选件
的中央管理控制台。
? 此外,安全信息管理( SIM)设备也可以作为
第三方管理控制台使用。大多数防火墙都标明
了用户连接数。
第 9 章 防火墙
9.3.3 软件防火墙与硬件防火墙的差异
? 软件防火墙具有比硬件防火墙更灵活的性能。
? 但是安装软件防火墙需要用户选择硬件平台和
操作系统。而硬件防火墙经过厂商的预先包装,
启动及运作要比软件防火墙快得多。
? 二者的特性对照 (见表 )
? 用户购买了硬件防火墙,就获得了一个捆绑在
硬盒子里的“交钥匙”系统。如果用户对防火
墙运行的硬件平台没有特殊要求,硬件防火墙
则是这类用户理想的选择。
第 9 章 防火墙
表 软件防火墙与硬件防火墙特性对照表
项目 软件防火墙 硬件防火墙
安装 较复杂 简单
安全性 高 较高
性能 依赖硬件平台 高
管理 简单 较复杂
维护费用 低 高
扩展性 高 低
配置灵活性 高 低
价格 低 高
第 9 章 防火墙
9.3.4 NAT功能
? 如今,几乎所有防火墙都捆绑了网络地址转换( NAT)功能。
? NAT使用户能够把专用或非法 IP地址转换成合法的公共地址。
? NAT结构可分为四类:
? 一对一寻址:是 NAT最基本的形式,可以把内部 IP地址映射
到不同 的外部公共 IP地址。
? 多对一寻址:意味着多个内部 IP地址可以映射到一个外部 IP
地址,如果用户有一个内部 DHCP作用域,并想把它映射到
一个外部 IP地址,建议这类用户采用多对一寻址。
? 多对多寻址:将其他网络上几组不同的 IP地址映射成内部或
外部的 IP地址。如果用户准备把一组 DHCP作用域映射到另
一组 DHCP作用域,就需要采用多对多 NAT寻址。
? 一对多寻址:适用于需要把一个 IP地址分成两个地址的负载
均衡场合。如果用户需要部署一个庞大、复杂的电信级网络,就需要使用 NAT的高级特性。
? 对简单网络而言,一对一 NAT功能就已足够。
第 9 章 防火墙
9.3.5 VPN功能
? 有些防火墙具有 VPN功能,这类防火墙通常被用作 VPN
的端点。
? VPN能够确保隐私和数据的完整性。
? 用户要牢记 VPN必须有两个端点。
? 如果用户没有第二个端点连接到 VPN,就没有购买具有
VPN功能的防火墙的必要。
? VPN通过加密隧道发送数据,从而把数据与外界隔离开
来。加密过程需要额外的处理能力,如果用户准备为电
信级网络建立 VPN,就需要捆绑具有密码加速器或允许
添加密码加速器的 VPN防火墙。捆绑密码加速器是为了
提高 VPN的速度。
第 9 章 防火墙
9.3.6 日志功能
? 日志功能是防火墙的重要特性之一 。
? 用户最好选购能够记录多种事件的日志, 过滤多种事件
的防火墙 。
? 用户要弄清所选购的防火墙日志事件的多少和过滤器的
多少 。
? 过滤器能够使用户以合理, 易懂的方式看不同的事件 。
? 用户应该能够根据 IP地址, 网络号, 连接类型, 城名和
日期时间等基本过滤器过滤事件 。
? Syslog格式是最常用的日志格式, 用户所选购的防火墙最
好支持 Syslog格式 。
第 9 章 防火墙
9.3.7 防火墙规则
? 防火墙都有一个规则文件,该文件是防火墙上最
重要的配置文件。
? 防火墙规则对防火墙允许哪些类型的流量进出网
络作出规定。
? 对于企业用户来说,在选择防火墙时,要综合考
虑的因素有,
( 1) 安全性。
( 2) 高效性。
( 3) 配置便利性。
( 4) 管理的难易度。
( 5) 可靠性。
( 6) 可扩展性。
( 7) 其他考虑要素。
第 9 章 防火墙
( 1)安全性
? 大多数企业在选择防火墙时都将注意力放
在防火墙如何控制连接以及防火墙支持多
少种服务上,但往往忽略了最重要的一点:
防火墙也是网络上的主机之一,也可能存
在安全问题,防火墙如果不能确保自身安
全,则防火墙的控制功能再强,也终究不
能完全保护内部网络。
第 9 章 防火墙
( 2)高效性
? 好的防火墙还应该向使用者提供完整的安全检查功能,
但是一个安全的网络仍必须依靠使用者的观察及改进,
因为防火墙并不能有效地杜绝所有的恶意封包,企业想
要达到真正的安全仍然需要内部人员不断记录、改进、
追踪。
? 防火墙可以限制惟有合法的使用者才能进行连接,但是
否存在利用合法掩护非法的情形仍需依靠管理者来发现。
? 防火墙与代理服务器最大的不同在于防火墙是专门为了
保护网络安全而设计的,而一个好的防火墙不但应该具
备包括检查、认证、警告、记录的功能,并且能够为使
用者可能遇到的困境,事先提出解决方案,如 IP不足形
成的 IP转换的问题,信息加密 /解密的问题,大企业要求
能够通过 Internet集中管理的问题等,这也是选择防火墙
时必须考虑的问题。
第 9 章 防火墙
( 3)配置便利性
? 硬件防火墙系统具有强大的功能, 但是其配置安装也较
为复杂, 需要网管员对原网络配置进行较大的改动 。 支
持透明通信的防火墙在安装时不需要对网络配置做任何
改动 。
? 目前在市场上, 有些防火墙只能在透明方式下或者网关
方式下工作, 而另外一些防火墙则可以在混合方式下工
作 。 能工作于混合方式的防火墙显然更具方便性 。
? 配置方便性还表现为管理方便 。
? 用户在选择防火墙时也应该看其是否支持串口终端管理 。
? 如果防火墙没有终端管理方式, 就不容易确定故障所在 。
? 一个好的防火墙产品必须符合用户的实际需要 。 对于国
内用户来说, 防火墙最好是具有中文界面, 既能支持命
令行方式管理, 又能支持 GUI和集中式管理 。
第 9 章 防火墙
( 4)管理的难易度
? 防火墙管理的难易度是防火墙能否达到目的的主要考虑因素之一 。
? 一般企业之所以很少用已有的网络设备直接当作
防火墙的原因, 除了其包过滤并不能达到完全的
控制之外, 设定工作困难, 需具备完整的知识以
及不易除错等管理问题是主要原因 。
? 因此防火墙的管理最好要适合网管员的管理习惯,设有远程 Telnet登录管理以及管理命令的在线帮
助等 。
? GUI类管理器作为防火墙的管理工具, 为网管员
提供了有效, 直观的管理方式 。
第 9 章 防火墙
( 5)可靠性
? 可靠性直接影响受控网络的可用性, 它在重要行业及关键业务系统中的重要作用是显而易见的 。
? 提高防火墙的可靠性通常是在设计中采取措施,
提高部件的强健性, 增大设计阈值和增加冗余部
件 。
? 此外防火墙应对操作系统提供安全强化功能, 最
好完全不需要人为操作, 就能确实强化操作系统 。
? 这项功能通常会暂时停止不必要的服务, 并修补
操作系统的安全弱点, 虽然不是百分之百有效,
但起码能防止外界一些不必要的干扰 。
第 9 章 防火墙
( 6)可扩展性
? 好的防火墙系统, 其规模和功能应能适应网络规
模和安全策略的变化, 从最基本的包过滤器到带
加密功能的 VPN型包过滤器, 直至一个独立的应
用网关, 使用户有充分的余地, 按照实际管理,
构建符合自己最新需求的防火墙体系 。
? 目前的防火墙一般标配三个网络接口, 分别连接
外部网, 内部网和停火区 。
? 用户在购买防火墙时必须弄清楚是否可以增加网
络接口, 因为有些防火墙无法扩展 。
第 9 章 防火墙
( 7)其他考虑要素
? 企业安全政策中往往有些特殊需求(如双
重 DNS、扫毒等功能),不是每一个防火
墙都会提供的,这方面常会成为选择防火
墙的考虑因素之一。
? 此外防火墙的维护费用也是一个要考虑的
问题,一般安全性越高,实现越复杂,设
备费用以及日后的维护费用相应就越高。
第 9 章 防火墙
9.3.8 一些个人的建议 (一 )
? 对于个人用户,采用一般的个人软件防火墙(如诺顿、瑞星、天网等系列)就能满足实际需要了。
? 对于 ISP、网站等用户来说,由于其数据流量大,
对速度和稳定性要求较高,如果这些用户需要在
外部网络发布 Web(将 Web服务器置于外部),
同时需要保护数据库或应用服务器(置于防火墙
内),就要求所采用的防火墙具有传送 SQL数据
的功能,而且必须具有较快的传送速度,建议这
些用户采用高效的包过滤型,并且只允许外部
Web服务器和内部传送 SQL数据使用,100M及以
上带宽的硬件防火墙。
第 9 章 防火墙
一些个人的建议 (二 )
? 对于大中型企业、金融、保险、政府等机构,共同之处在
于网络流量不是很大,与外部联系较多,且内部数据比较
重要。因此在选购防火墙时首先要考虑的就是安全性问题。
从整体规划上,防火墙至少要能够将内部网分成两部分,
即内部存放重要数据的网络与存放可提供外部访问数据的
网络分离。对于重要数据的传送,防火墙必须要提供加密
的 VPN通信。这类用户选购 10M或 100M的防火墙就足够了。
? 中小企业接入 Internet的目的一般是为了方便内部用户测览
Web、收发 E-mail以及发布主页。这类用户在选购防火墙时,
要注意考虑保护内部(敏感)数据的安全,要格外注重安
全性,对服务协议的多样性以及速度等可以不作特殊要求。建议这类用户选用一般的代理型防火墙,具有 http,mail等
代理功能即可。
? 最后,用户还必须弄清供应商是否提供电话支持服务以及
这项服务的收费情况。防火墙电话支持对于用户配置防火墙有相当大的帮助作用。
第 9 章 防火墙
本章小结
? ( 1) 防火墙是指一种将内部网和公众访问网 ( 例如,Internet)
分开的方法, 实际上是一种隔离技术 。
? ( 2) 防火墙的基本功能:网络安全的屏障, 强化网络安全策略,
网络存取和访问监控审计, 防止内部信息的外泄, 除了安全作用
还支持 VPN。
? ( 3) 防火墙的基本技术原理:防火墙由, 楔, 和, 门, 两类功能
部件组成 。 典型的防火墙包括一外一内两个楔和夹在中间的一个
门 。 楔通常由路由器承担, 门通常由相当简化的操作系统主机承
担 。 楔迫使内部网络和外部网络之间的通信通过门进行;门则实
现安全措施并代理网络服务 。
? ( 4) 最新防火墙技术,采用用户认证及服务扩展, 采用多级过滤
技术, 采用病毒防护技术; 分布式防火墙技术 。
? ( 5) 配置防火墙的硬件连接及其基本配置命令 。 在防火墙的配置
中需坚持以下三个基本原则:简单实用, 全面深入, 内外兼顾 。
? ( 6)路由器的一些主要性能指标包括:防火墙种类、用户节点数、
NAT功能,VPN功能、日志功能、防火墙规则等。