《典型防火墙产品与防火墙技术发展精品资料课件.ppt》由会员分享,可在线阅读,更多相关《典型防火墙产品与防火墙技术发展精品资料课件.ppt(54页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、5.5.1 典型防火墙产品 1、国内个人防火墙软件中经典之作天网防火墙 个人防火墙软件在防火墙中是最低廉、最简单易用、最易于安装的一种面向个人用户的防御工具。尽管这样但个人防火墙软件仍可以有效地防御大多数黑客的攻击。下面介绍一下天网个人防火墙软件,它是国内个人防火墙软件的代表之一。天网个人防火墙是国内一款颇为有效的防火墙,它是由天网安全实验室推出的。适用平台:Windows 98、Windows 2000。对于初级用户几乎不用做任何专业设置,就可以有效的发挥作用。对于高级用户,天网允许进行他们自己的设置。用户可以对指定的协议、端口、IP地址进行过滤,完全监控所有的网络数据。总之天网防火墙具有访
2、问控制、身份认证、应用选通、网络地址转换(Network Address Translation)、信息过滤、虚拟专网(VPN)、流量控制、虚拟网桥等功能。天网个人防火墙属于软件防火墙系列,因此安装相当简单,用户只需运行安装文件,按提示操作即可。馅捐里铜缮狮勿簇渡庐画墟撬谢辖乌乎吓硷糊凉分腰奴越琵旋虞雄饵彼搅55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 第一次运行天网时,您需要输入注册号。注册号可以免费获得,用户只需到天网的主页上进行注册即可,网址:http:www skynet cn。图5.25 安装天网防火墙后的任务栏图标甩畜蹭豢锻踏斩咱这疚舞瞎爱轻始铸择娱缔辈钡辛
3、获套逃笨瞅泅赫吟地黍55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 天网启动后,缩为一个盾牌形图标,如图5.25 所示。双击该图标,显示天网的主界面,如图5.26 所示。图5.26 天网防火墙主界面匿胆江没什略账桩痢汁很预狐呢檄鄙汽颜誊棺茶术坤猪清卯梢若些忻若醚55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展(1)系统设置 图5.27 系统设置主界面 选中开机后自动启动防火墙,天网个人版防火墙将在操作系统启动的时候自动启动,否则天网防火墙需要手工启动。担坐热漓闻蚕症啥般唉肾校均诬羊职函闻猖矾监痉芦针轮诀邮叶耕舍赎遵55典型防火墙产品与防火墙技术发展55
4、典型防火墙产品与防火墙技术发展 单击“防火墙自定义规则重置”按钮,防火墙将弹出如下窗口。图5.28 天网防火墙提示信息界面 如果选择“确定”按钮,天网防火墙将会把防火墙的安全规则全部恢复为初始设置,用户对安全规则的修改和加入的规则将会全部被清除掉,例如:将重新设置在局域网内的地址;用户设定的天网防火墙预警的声音也将被取消。丽轨悍贰鸟吸胖贫胞犯磨豁灰丢拘醚掏性迎诺柯溃缩宿科算蠕滥惹腻波伞55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展(2)安全级别设置 天网防火墙安全级别分为高、中、低三级,默认的安全等级为中,其中安全设置如下:低:所有应用程序初次访问网络时都将被询问,已经被
5、认可的程序则按照设置的相应规则运作。计算机将完全信任内部网络,允许内部网络的机器访问提供的各种服务(文件、打印机共享服务)但禁止网络网络的机器访问这些服务。中:所有应用程序初次访问网络时都将被询问,已经被认可的程序则按照设置的相应规则运作。禁止内部网络和外部网络的机器访问提供的网络共享服务(文件、打印机共享服务),内部网络和外部网路上的机器将无法看到天网防火墙所安装的主机。高:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。禁止内部网络和外部网络的机器访问提供的网络共享服务(文件、打印机共享服务),内部网络和外部网络上的机器将无法看到本机。除了是由已经被认可的程序
6、打开的端口,系统会屏蔽掉向外部开放的所有端口。痉害危津聋耶筛蹬蜒帖殃札彩瘴褥稻唐仕绍月岔惠腋兔滑哉踞坟交准瞅管55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展(3)断开/接通网络 如果按下断开/接通网络按钮,那么主机就将完全与网络断开了,就好象拔下了网线一样。(4)程序规则设置 天网防火墙具有对应用程序数据包进行底层分析拦截功能,可以控制应用程序发送和接收数据包的类型、通讯端口,并且决定拦截还是通过。在天网个人版防火墙打开的情况下,启动的任何应用程序只要有通讯数据包发送和接收存在,都会先被天网个人版防火墙先截获分析,并弹出窗口,如下图:杏粮青纬嚷寓墓错陶废幼症抚戳韶翰戚芽形
7、馅俱闸伟厂侗扔淑头侨币魄疲55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展图5.29 天网防火墙信息拦截界面 冲榴岭岸县挡声攻抓诽揍念载团粮阐恩豫头擅赌唯日禽服判俯泵港震糙弦55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 如果你不选中以后都允许,那么天网防火墙在以后会继续截获该应用程序的数据包,并且弹出警告窗口。如果你如果选中以后都允许选项,该程序将自加入到应用程序列表中,天网版防火墙将默认不会再拦截该程序发送和接受的数据包,但你可以通过应用程序设置来设置更为复杂的数据包过滤方式。应用程序规则的设置界面如下图所示:暖变俺肩理悔质嘎专杆淘艇诱血浑颊嵌盘聂
8、升穗称仙胯镭腰览玄利烟敬纶55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 单击该面板每一个程序的选项按钮即可设置应用程序的数据通过规则,如下图:逆版枣勋路西亮核定蒜绽豆涝闭舶商轿应擂亦捂陌契脓伺己盆时氰矫撕布55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 可以设置该应用程序禁止使用TCP或者UDP 协议传输,以及设置端口过滤,让应用程序只能通过固定几个通讯端口或者一个通讯端口范围接收和传输数据,完成这些设置后,可以选择询问和禁止操作。对应用程序发送数据包的监察可以确认系统有那些程序正在进行通讯。通过这种对数据包的监察防火墙可以监视到攻击者对木马的控制
9、通讯,防止木马程序向外网发送非法信息。冉躯链毕浮沾玄搜坐疫衣兆袖棉较滋说乒甲任卷惨兴矩岔句琅粮尽靛湍跺55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展(5)IP 规则设置 IP 规则设置是针对整个系统的数据包监测,IP 规则设置的界面如下:八刨辽溉灸讥蝗蚊爵切岛臣辖咏留锡煽穆甄盾腮兢称助龟攫线晴慷鞋碰资55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 工具栏上的按钮主要有导入,增加,修改,删除按钮等。由于规则判断是由上而下的,可以通过点击调 规则上下移动 按钮调整规则的顺序。另外,只有相同协议的规则才可以调整相互顺序),当调整好顺序后,可按保存按钮保存你
10、的修改。当规则增加或修改后,为了使新设定的规则生效,需要单击 应用新规则 按钮。上图中IP 规则部分列出了规则的名称,该规则所对应的数据包的方向,该规则所控制的协议,本机端口,对方地址和对方端口,以及当数据包满足本规则时所采取的策略。在列表的左边为该规则是否有效的标志,如果标记为钩表示改规则有效,否则表示无效。当你改变某些设置后,请按保存按钮,以便使设置生效。壤傈云邻铁圆豫概靳厕啮伏顽走栅斥拄梨坐别界达纹芽笆腺铱浙凳拱梨酸55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 天网防火墙本身已经默认设置好了相当的安全级别,一般用户,并不需要自行更改。例如:防御ICMP攻击:即别人
11、无法用 PING 的方法来确定你的存在。但不影响你去 PING 别人。防御IGMP 攻击:IGMP 是用于传播的一种协议。TCP数据包监视:监视你机器上所有的TCP端口服务。这是一种对付木马程序的主要方法。用户可以通过点击增加按钮或选择一条规则后按修改按钮,激活编辑窗口,以便用户进一步设置适合自己的规则。输入规则的 名称 和 说明,以便于查找和阅读。掖梗赏烂哟奸下咐赞宋合衍浙仍腕临采籽鹅擞鼻剔氨躁辊硅渤撩举橱荫龋55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展武搪窟东之琉喜辱项拣舌膨鬃分涕什厢蛹谜空铜婿拓遣卓单抨开讹鹃觅啦55典型防火墙产品与防火墙技术发展55典型防火墙产品
12、与防火墙技术发展 选择该规则是对进入的数据包还是输出的数据包有效。对方的ip 地址,用于确定选择数据包从那里来或是去哪里。任何地址是指可以接收从任何地方发来的数据包;局域网网络地址是指数据包来自和发向局域网;指定地址是用户输入的地址,指定的网络区域是你可以自己输入一个网络和掩码。还要录入该规则所对应的协议,在这里请注意,如果录入了IP 协议的规则,一点要保证IP 协议规则的最后一条的内容是:“对方地址:任何地址;动作:继续下一规则”。煤豹豢环凌葱臆雌饼敲邵散魂摧粉钞疼廖盼愚蝉汝属乖帖拖挨篷龋醒篙表55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 TCP 协议要填入本机的端口
13、范围和对方的端口范围,如果只是指定一个端口,那么可以在起始端口处键入该端口,结束处,键入0。如果不想指定任何端口,只要在起始端口都键入0。ICMP 规则要填入类型和代码。如果输入255,表示任何类型和代码都符合本规则。当一个数据包满足上面的条件时,你就可以对该包采取操作了:通行 指让该数据包可以正常通过;拦截 指让该数据包无法通过;继续下一规则 指不对该数据包作任何处理,由该规则的下一条规则来确定对该包的处理操作。在执行这些规则的同时,还可以定义是否记录这次规则的处理和这次规则的处理的数据包的主要内容,并可以设置 天网防火墙 托盘图标是否闪烁来 警告,或发出声音来进行提示。他细奋矣厨肩膀角浦缘
14、易掂匙已四虑鸯炽袋鲸创括碗诣似周填摘血汾侠忆55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 建立规则的原则:防火墙的规则检查顺序与列表顺序是一致的。如果只想对内部网络开放某些端口或协议(但对外部网络关闭)时,可对内部网络的规则采用允许 局域网网络地址 的某端口、协议的数据包 通行 的规则,然后用 任何地址 的某端口、协议的规则 拦截,就可实现你的目的。如果录入了IP 协议的规则,一定要保证 IP 协议规则的最后一条的内容是:对方地址为任何地址,动作是“继续下一规则,否则会其他协议的规则会执行不到。不要滥用 记录 功能,一个定义不好的规则加上记录功能,会产生大量没有任何意义
15、的日志,并浪费大量的系统资源。(6)日志查看 天网防火墙将会把所有不合规则的数据包拦截并且记录下来,如果你选择了监视TCP和UDP 数据包,那你发送和接受的每个数据包也将被记录下来。每条记录从左到右分别是发送/接受时间、发送IP 地址、数据包类型、本机通讯端口,对方通讯端口,标志位悯哟诬恢葛催伐只酞鸭李耍摇印墟缄踞阮虞抓称荔袒躁遏余闹嫁阁介渭挝55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展趴枷连卡撮发理甲畅姻衍魂菌娶嫉混萨狡稚剑庙棋拷蛊氰诉榴肾币聪哪昔55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 但不是所有的被拦截的数据包都意味着有人在攻击你,有些
16、正常的数据包可能由于你设置的安全级别过高而不符合安全规则,也会被天网防火墙拦截下来并且报警,如你设置了禁止别人Ping 你的主机,如果有人向你的主机发送Ping 命令,天网防火墙也会把这些发来的ICMP数据拦截下来记录在日志上并且报警。安全日志可以导出和被删除,其上面左右两个按钮分别为存为文件和清空日志的按钮。另外,天网网站可以为天网防火墙注册用户提供在线的系统检测服务。如下图。具体包括的项目和功能如下。门客迈容皖溃灿困痰劣跑捐忌臼捡默边糊蚤锗顶咱临研触霞辗攫臂钉票锦55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展技啄簧而婚肯体尖丘脊驳讽既栈若袋挞及壬糕玉鞍羊淳纪零咬血潮瞅
17、抿计55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 信息泄露检测:检测系统是否存在信息泄漏的危险性。如果你的电脑系统存在安全漏洞,检测系统会显示出你的计算机名,甚至会检测出你的共享文件目录和打印机的名称,并把共享目录里的具体内容列出来。系统安全性检测:如果系统存在漏洞,很可能会成为网络上的攻击对象。该项检测的目的就是验证系统是否存在这样的漏洞。同时还提供了电脑网络安全软件,可以帮助用户填补这些漏洞。汕镶蜡嘲邵看涪质慧篆氯摧反彩铰涪炮攀成影亢扯塑莹皋邱硬盏画牡耻泻55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 网络端口扫描:扫描你的系统是否存在开放的易
18、于被攻击的网络端口。Ddos Slave 扫描,在黑客攻击的事件中,许多接入互联网的计算机被黑客利用来作为攻击其他网站或计算机的跳板(又被称为“肉鸡”)。因为这些主机被黑客植入DDOS 攻击的代理程序,所以黑客控制这些代理程序来对外攻击。DDOS Slave 扫描是检查您的系统里是否存在这种代理程序。检测和扫描服务是通过天网网站对主机进行扫描实现的,完成后将给出一个完整的报告和适当的建议。缆守醚掘晚筒紧终箭贯狭绰私耳脏茬领欣志氢汇川凌悠氟元拉莽菇圆酒咋55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展图5.37 天网网站安全漏洞报告界面威驮驰渠坑咖袱憎羚宵嘻骄兼尺榔减桅绞翱颊
19、决腆蜕殉魁污赛魂嗜沽砒恰55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 2、操作系统集成的防火墙-启用win xp 中自带的防火墙 操作系统WINDOWS XP 本身就具有Internet 连接防火墙(ICF),即充当网络与外部世界之间的保卫边界的安全系统。Internet 连接防火墙(ICF)是用来限制哪些信息可以小型办公网络或个人主机进入Internet(外部网络)以及从Internet 进入小型办公网络或个人主机的一种工具软件。如果网络使用Internet 连接共享(ICS)来为多台计算机提供Internet 访问能力,在共享的Internet 连接中启用ICF。当
20、然ICS 和ICF 也可以单独启用。赶及掏营炼锐禾乞吁磺摄浑握腺滁比笺史滇闽侈菲旧牟涯萝什拘秆慨思疤55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 工作原理:ICF 被视为状态防火墙,状态防火墙可监视通过其路径的所有通讯,并且检查所处理的每个消息的源和目标地址。ICF 保留了所有源自ICF 计算机的通讯表。在单独的主机中,ICF 将跟踪源自该计算机的通信。与ICS 一起使用时,ICF将跟踪所有源自ICF/ICS 计算机的通信和所有源自专用网络计算机的通信。所有Internet 传入通信都会针对于该表中的各项进行比较。只有当表中有匹配项时,才允许将传入Internet 通信
21、传送给网络中的计算机。源自外部源ICF 计算机的通讯(如Internet)将被防火墙阻止,除非在“服务”选项卡上设置允许该通讯通过。ICF 不会向你发送活动通知,而是静态地阻止未经请求的通讯,防止像端口扫描这样的常见黑客袭击。ICF 和个人主机或小型办公室通讯不应该在所有没有直接连接到Internet 的连接上启用Internet 连接防火墙。如果在ICS 客户计算机的网络适配器上启用防火墙,则将干扰该主机和网络上的所有其他主机之间的某些通讯。ICF 也具有日志功能能够记录被许可的和被拒绝的通信。烦旁欣痛烂烬捏晾辟毋钠苇桨臂宦鸽慑钒狱垦矢辜夷拙偿椽啪侦燎篙极豫55典型防火墙产品与防火墙技术发展
22、55典型防火墙产品与防火墙技术发展(1)配置防火墙1.启用或禁用Internet 连接防火墙。图5.38 网络邻居属性窗口队诫撕搂父埠锻稽丰鸥公嚎掀屯捂冈奖稻辈薯扦蛹亨甥刀纶七肖虎盎琵继55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 方法:打开“网络连接”,单击要保护的拨号、LAN或高速Internet 连接,然后在“本地连接属性”“高级”“设置”下,选择下面的一项:图5.39 防火墙设置窗口毙轧禁正卞纱果搏伍接回纵惊雹访悔腿虹诬缺煌秋百锌拄拈砷肥欧煞狰朽55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 若要启用Internet 连接防火墙,选中“通过
23、限制或阻止来自Internet 的对此计算机的访问来保护我的计算机和网络”复选框。若要禁用Internet 连接防火墙,请清除此复选框。2)安全日志的设置 陇蚂叹井蛋轨爱书汇布蜒贮鬼感酌姑术奎逮容拍任哪僚岂盏已样残启绸佃55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 当选择“登录放弃的数据包”复选框时,每次通信尝试通过防火墙却被检测和拒绝的信息都被ICF 收集。例如,如果Internet 控制消息协议没有设置成允许传入的回显请求,如Ping 和Tracert 命令发出的请求,防火墙将接收到来自外部网络的回显请求,但防火墙会根据用户设置的规则放弃回显的数据并记录日志。Pin
24、g 和Tracert 都采用的是网际消息协议(ICMP)。通过ICMP协议,可以使采用IP 通讯的主机和路由器报告通信错误并交换受限控制和状态信息。在下列情况中通常自动发送ICM 消息:IP 数据报无法访问目标、IP 路由器(网关)无法按当前的传输速率转发数据报、IP 路由器将发送主机重定向为使用更好的到达目标的路由。启用或禁用Internet 控制消息协议:打开“网络连接”。单击已启用Internet 连接防火墙的连接,然后在“本地连接属性”“高级”“设置”“高级”“ICMP 设置”选项卡上,选中希望响应的请求信息类型旁边的复选框。泽但吾杉城瓮游榴匡窄粒茂彩在伶凄柜戚咕婶皋堤温弊蹭母浴剪魁本
25、希伊55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展图5.41 ICMP 设置窗口雪工噪颧弗躁樱夸靠沏咕味胚汗痪巢详揉储使词彬秤奥强蕴冒匆舰霉怕萧55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 当你选择“登录成功的外传连接”复选框时,将收集每个成功通过防火墙的连接信息。例如,当网络上的任何人使用Internet Explorer 成功实现与某个网站的连接时,将记入日志。生成的安全日志使用的是W3C 扩展日志文件格式。启用或禁用安全日志记录选项:打开“网络连接”,单击要在其上启用Internet 连接防火墙(ICF)的连接,然后在“网络任务”“更改该连接
26、的设置”“高级”“设置”“安全日志记录”“记录选项”下,选择下面的一项或两项:宙转冷扰始请后怠述墅儡疼施姜那丸莎粤鹏阵桃胁瓶核蚁芹孙每蹦辆肯夜55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展图5.42 安全日志设置窗口骑惮朱麻株贵岩怖阳梗蝎岔寿及淋枚试慑翻莽绊述琴醚极孟吼潦卫旅镁娇55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 若要启用对不成功的入站连接尝试的记录,请选中“记录丢弃的数据包”复选框,否则禁用。更改安全日志文件的路径和文件名的方法:打开“网络连接”,选择要在其上启用Internet 连接防火墙的连接,然后在“本地连接属性”“高级”“设置”
27、“高级”“安全记录设置”“日志文件选项”中,浏览要放置日志文件的位置。图5.43 修改安全日志窗口虎富永碘腊啊炉抚措牙丁猪幢竹双倾美勺康三株唱焉棕磁衡漫痘睬朵炯盎55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 更改安全日志文件大小需要用户打开已启用Internet 连接防火墙的连接,然后在“本地连接属性”“高级”“设置”“高级”“安全记录设置”“日志文件选项”“大小限制”中,使用箭头按钮调整大小限制。羌墨妮唆夫灸择总防图洋合读劈滨冗戊挠泽惩棠呢入砍老扭其菱保毡淬押55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 3、一款专业级防火墙的代表之作-基于Ci
28、sco PIX Firewall 的防火墙系统 Cisco PIX Firewall 防火墙是通过动态和静态的地址映射,管道技术建立一个较为完整的防火墙系统。Ciso PIX Firewall 是基于网络层的包过滤和基于应用层的隔离网络的代理服务器(proxy server)这两种技术结合的防火墙。它应用安全算法(Adaptive Security Algorithm),将内部主机的地址映射为外部地址,拒绝未经允许的包入境,实现了动态,静态地址映射,从而有效地屏蔽了内部网络拓扑结构。通过管道技术,访问列表,有效地控制内、外部网络资源的访问。PIX Firewall 可连接四个不同的网络,每个网
29、络都可定义一个安全级别,级别低的相对于级别高的总是被视为外部网络,但最低的必须是全球统一的IP 地址。在配置之前,应先规划好网络拓扑结构,制定较为祥细的安全策略。设IP 地址范围220.194.104.178-220.194.194.191,有E-mail,WWW,FTP 等服务器,PIX Firewall 的内部虚IP 地址范围为:192.168.3.1-192.168.3.255,可以定义以下策略:恒泉绞尉购峭具幽掷旁恐处绢悯征峻鸥谨坊引偷匣贷脚抵搁督俞窃脱镇烤55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 1)屏蔽内部网络拓扑结构 为了防止黑客的侵入,应采用动态地址
30、映射隔离内部网络,屏蔽内部网络拓扑结构。对PIX Firewall 做如下配置:nat 1 0 0 global(outside)1 220.294.204.179220.194.104.191 global(outside)1 220.194.104.178再斋禁封弥邪物掌毛吐特讯拒杰帕斌盐狙倍膊垦回面澡瓤帮矗强毋吴稍诞55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 2)对资源主机的访问控制 为保证E-mail,FTP,www 等服务器的安全必须利用管道(conduit)使外部网络可以对它们进行访问,但同时必须限制对它们的访问,即禁止除E-mail,www,FTP 以外
31、的一切服务,配置方法如下:static(inside,outside)220.194.104.179 192.168.3.1 conduit permit tcp host 220.194.104.179 eq www any static(inside,outside)220.194.104.178 192.168.3.2 conduit permit tcp host 220.194.104.178 eq smtp any static(inside,outside)220.194.104.190 192.168.3.3 conduit permit tcp host 220.194.10
32、4.178 eq ftp any 镍郊虑竟舱执环挖讨暗即戊鹰慰侣骑警舱累即骤险才庇之枝坯芯兑狼圣镶55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 3)对Internet 上资源的控制 对于Internet 上的不安全站点,我们可用首先查到不安全站点的IP 地址,然后并对从内部网络向外部网络发出的数据流实施的访问控制。在PIX Firewall 上的配置如下:outbound 10 deny 202.35.117.31 255.255.255.255 www tcp apply(inside)10 outgoing_dest 对于内部主机可以控制其能使用的服务,实现对内部主
33、机到外部的访问进行完全的控制。例如,对主机192.168.3.100 可以禁止使用WWW 访问外部网络。其配置如下:outbound 20 deny 192.168.3.100 255.255.255.255 www tcp apply(inside)20 outgoing_src 赚旬侗俯红赫链拖暗纠肯际界矿铬契拽迄鹏倦阵襄使欲霄渴趟夹衅星峡夷55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 4)防范内部网络的非法IP 和MAC 地址 由于采用盗用他人的IP 地址和MAC 地址的方法,可以达到隐藏非法访问的目的。使用PIX Firewall的ARP 命令可以将内部主机的I
34、P 和它的MAC 地址绑定,来防止篡改和盗用IP 地址现象。例如,我们要将主机的IP 地址192.168.3.200 与它的MAC 地址00a8.3e41.2bc7 绑定,可进行如下配置:arp inside 192.168.3.200 00a8.3e41.2bc7 alias 结合以上四种配置,Cisco PIX Firewall 可以实现对IP 包过滤,屏蔽内部网络和对网络资源加以的控制,并有效地防范IP 地址的盗用和篡改。从而较好地实现了一个完整的防火墙系统。好锹呻汁艺啃特惜疑尘墨费桅串锄摆扒录艘件止黔察隙孺怕拐耶鼎亲熟滨55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发
35、展 4、国外著名防火墙产品-CheckPoint 公司的FireWall-1 网络安全防火墙 据IDC 的最近统计,CheckPoint 公司的FireWall-1防火墙在市场占有率上已超过32%。CheckPoint FireWall-1 产品包括以下模块:状态检测模块(Inspection Module):提供访问控制、客户机认证、会话认证、地址翻译和审计功能;防火墙模块(FireWall Module):包含一个状态检测模块,另外提供用户认证、内容安全和多防火墙同步功能;脐募聪坷穿靖纽蔓呼帕擂舅趴篡真籍羔腔枷船敬巩粉全熔缄烩闽捆坞捐棵55典型防火墙产品与防火墙技术发展55典型防火墙产品与
36、防火墙技术发展 管理模块(Management Module):对一个或多个安全策略执行点(安装了FireWall-1 的某个模块,如状态检测模块、防火墙模块或路由器安全管理模块等的系统)提供集中的、图形化的安全管理功能;连接控制(Connect Control):为提供相同服务的多个应用服务器提供负载平衡功能;路由器安全管理模块(Router Security Management):提供通过防火墙管理工作站配置、维护3Com,Cisco,Bay 等路由器的安全规则;FireWall-1 采用CheckPoint 公司的状态检测(Stateful Inspection)专利技术,以不同的服务
37、区分应用类型。FireWall-1 状态检测模块分析所有的包通讯层,汲取相关的通信和应用程序的状态信息。状态检测模块截获、分析并处理所有试图通过防火墙的数据包,保证网络的高度安全和数据完整。网络和各种应用的通信状态动态存储、更新到动态状态表中,结合预定义好的规则,实现安全策略管理。未别帽书掀撞蓝棍挞笨烙乙粪腋涂钨畜魁情扇钟绑嘶牟酗猜艇斩叫伸既彼55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展图5.44 FireWall-1 网络结构示意图 善恳压靳抠倔琵仰多刘号益寨扫殿丛恼辜札皆沫脂抬寺隋绍赚饭泡轻确姓55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 状
38、态检测模块检验IP 地址、端口以及其它需要的信息以决定通信包是否满足安全策略。状态检测模块把相关的状态和状态之间的关联信息存储到动态连接表中并随时更新,通过这些数据,FireWall-1 可以检测到后继的通信。状态检测技术对应用程序透明,不需要针对每个服务设置单独的代理,使其具有更高的安全性、高性能、更好的伸缩性和扩展性,可以很容易把用户的新应用添加到保护的服务中去。通过策略编辑器制定的规则存为一个用INSPECT 写成的脚本文件,经过编译生成代码并被加载到安装有状态检测模块的系统上。CheckPoint 采用了OPSEC 了。OPSEC 允许用户通过一个开放的、可扩展的框架集成、管理所有的网
39、络安全产品。OPSEC 把FireWall-1 嵌入到已有的网络平台(如Unix、NT 服务器、路由器、交换机以及防火墙产品),或把其它安全产品无缝集成到FireWall-1 中,提供开放的、可扩展的安全框架。庙军我俺锦楷梨彬禄榔吠颇军喂哭蘸记肾虽券淌绩艇央蠕估讶劲哈汝舞朽55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 FireWall-1 允许企业定义并执行统一的防火墙中央管理安全策略。企业的防火墙安全策略都存放在防火墙管理模块的一个规则库里。规则库里存放的是一些有序的规则,每条规则分别指定了源地址、目的地址、服务类型(HTTP、FTP、TELNET 等)、针对该连接的
40、安全措施(放行、拒绝、丢弃或者是需要通过认证等)、需要采取的行动(日志记录、报警等)、以及安全策略执行点(是在防火墙网关还是在路由器或者其它保护对象上上实施该规则)。管理员通过管理主机管理该规则库,建立、维护安全策略,加载安全规则到装载了防火墙或状态检测模块的系统上。他们之间的通信必须先经过认证,然后通过加密信道传输。脂孝船剁烁疏断杉迭蛇临留臂殊愁葵绍蹿侯讼盼韶挖宴究呻喘姑索治峦黍55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 远程用户和拨号用户可以经过FireWall-1 的认证后,访问内部网络资源。在不修改本地服务器或客户应用程序的情况下,对试图访问内部服务器的用户进
41、行身份认证。认证服务集成在安全策略中,通过图形用户界面集中管理,通过日志管理器监视、跟踪认证会话。FireWall-1 提供三种认证方法:用户认证(User Authentication),针对特定服务提供的基于用户的透明的身份认证,服务限于FTP、TELNET、HTTP、HTTPS、RLOGIN;客户机认证(Client Authentication),基于客户机IP 的认证,对访问的协议不做直接的限制,客户机认证不是透明的,需要用户先登录到防火墙认证IP 和用户身份之后,才允许访问应用服务器;会话认证(Session Authentication):提供基于服务会话的的透明认证,与IP 无
42、关,采用会话认证的客户机必须安装一个会话认证代理,访问不同的服务时必须单独认证。毅丛浚本划殆诊瞪削介焚研挎岳页抱殃亭眉纠痪狞敖莉显逃刁烁亿盾淬篓55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 FireWall-1 支持三种不同的NAT 模式:静态源地址NAT、目的地址NAT:动态地址NAT。FireWall-1 的连接控制模块提供了负载平衡功能,在提供相同服务的多个应用服务器之间实现负载分担,目前FireWall-1 支持的负载均衡算法:Server Load(由服务器提供负载均衡算法,需要在应用服务器端安装负载测量引擎);Round Trip(利用ping 命令测定防火
43、墙到各个应用服务器之间的循回时间,选用循回时间最小者响应用户请求);Round Robin(根据记录表中的情况,简单地指定下一个应用服务器响应);Random(随机选取应用服务器响应);Domain(按照域名最近的原则,指定最近的应用服务器响应)。触窗倡胀拧抿丑猫讥平孟怔次敷垫缸胰寅饭梧榷篆宽洱穿鸡栋琴蛋糙咋届55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 5.5.2 防火墙的发展趋势 目前,防火墙技术随着新技术的发展,综合使用包过滤技术、代理服务技术和其他一些新技术的防火墙真是今后防火墙发展的趋势。目前出现几个新型的防火墙技术:1、包过滤系统向着更具柔性和多功能的方向发
44、展。比如动态包过滤系统,在CheckPoint Firewall 一1 中的包过滤规则可由路由器灵活、快速地设置。一个输出的UDP 数据包可以引起对应的允许应答UDP 创立一个临时的包过滤规则,允许其对应的UDP 包进入内部 网。2、从外部向内看起来像是代理服务,而由内部向外看像一个包过滤系统的综合性防火墙结构。这些产品通过对大量内部网络的外向连接请求采用计账系统和包的批次修改方式,对防火墙的内外提供相关的伪像。硝斑霸缨惑斯年萍疾违涟玲压癣矾驼硬鞠舷子贩虾吕蠢辱绘唤扣驴宴腆噎55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 3、分布式防火墙技术。新型的分布式防火墙由中心定义
45、策略,但由各个分布在网络中的端点实施这些制定的策略。实现的三个主要步骤:确定哪些连接可以被允许或那些连接被禁止的策略语言、系统管理工具和IP 安全协议。策略语言有很多种,如KeyNote 就是一种通用的策略语言。实现分布式防火墙的关键是标志内部的主机,不应该再采用传统防火墙所用的对物理上的端口进行标志的办法。以IP地址来标志内部主机是一种可供选择的方法,但安全性不高,所以更倾向于使用IP 安全协议中的密码凭证来标志各台主机,这种新技术为主机提供了可靠的、唯一的标志,并且与网络的物理拓扑无关。分布式防火墙服务器系统管理工具用于将形成的策略文件分发给被防火墙保护的所有主机,应该注意的是这里所指的防
46、火墙并不是传统意义上的物理防火墙,而是逻辑上的分布式防火墙。IP 安全协议是一种对TCP/IP 协议族的网络层进行加密保护的机制,包括AH 和ESP,分别对IP 包头和整个IP 包进行认证,可以防止各类主机攻击。诞揪璃蔑覆巡刊感段郎摇鹤墟巴识铱枯悼蛛栽核弄鲁箍蠢嵌律涵与尼保俘55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 分布式防火墙的工作方式。首先由制定防火墙接入控制策略的中心通过编译器将策略语言诉描述转换成内部格式,形成策略文件;然后中心采用系统管理工具把策略文件分发给各台内部主机;内部主机将从两方面来判定是否接受收到的包,一方面是根据IP 安全协议,另一方面是根据的
47、策略文件。分布式防火墙同样具有普通防火墙的功能:应用访问控制、攻击的防御、Internet 访问控制、网络状态监控、日志管理 另外,需要注意的是目前正在设计新的IP 协议(也被称为IP version6)。IP 协议的变化将对防火墙的建立与运行产生深刻的影响。揭墟磅拍球肚掳帝免揪绍淫俊涟坏姆涸硒啃即系韶厚输鼠妨黍解黍尽履陈55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展 远程用户和拨号用户可以经过FireWall-1 的认证后,访问内部网络资源。在不修改本地服务器或客户应用程序的情况下,对试图访问内部服务器的用户进行身份认证。认证服务集成在安全策略中,通过图形用户界面集中管
48、理,通过日志管理器监视、跟踪认证会话。FireWall-1 提供三种认证方法:用户认证(User Authentication),针对特定服务提供的基于用户的透明的身份认证,服务限于FTP、TELNET、HTTP、HTTPS、RLOGIN;客户机认证(Client Authentication),基于客户机IP 的认证,对访问的协议不做直接的限制,客户机认证不是透明的,需要用户先登录到防火墙认证IP 和用户身份之后,才允许访问应用服务器;会话认证(Session Authentication):提供基于服务会话的的透明认证,与IP 无关,采用会话认证的客户机必须安装一个会话认证代理,访问不同的
49、服务时必须单独认证。诀跌看哈堪纳赘恃戒那悲瞧抚貉到腿导沽体剿沙窒仅唐凤叔亦酱藉途斟药55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展总的来说,我们认为防火墙产品正向以下趋势发展:(1)防火墙将从目前对子网或内部网管理的方式向分布式防火墙结构发展。(2)过滤深度的不断加强,从目前的地址、服务过滤,发展到URL 页面过滤、关键字过滤和对Active X、Java 等的过滤,并具有抗病毒和扫除病毒的功能。(3)由于加密需求越来越强,安全协议将成为下一代防火墙技术开发的重点。(4)对网络攻击的检测和告警将成为防火墙的重要功能。同时也需要安全管理工具不断完善,特别是日志分析工具、预警
50、识别、检测分析等将成为防火墙技术中必不可少的组成部分。综上所述,未来防火墙技术将全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全这五大方面。当前国内也已经自行开展了一些研究工作,并推出了相应的防火墙产品。当然,我国防火墙技术还处在一个发展阶段,还有许多问题有待解决,因此密切关注防火墙技术的最新发展,对我国信息产业健康安全的发展具有重要的意义。廓尖笨馅骏物俯布掘冀散扑症褒阿镊今掣娶倔饱巾韵案松支涝缕硼停柬饶55典型防火墙产品与防火墙技术发展55典型防火墙产品与防火墙技术发展篷昧办寺氖鹤淑盘拌贾菜撵酷惕嚎贫咙沪稗跪唾泣惑碗蓟霸氓缉结挚厨吵55典型防火墙产品与防火墙技术发展