防火墻的發(fā)展史

防火墻的發(fā)展史第一代防火墻第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn)，采用了包過濾(Packet filter)技術(shù)。下圖表示了防火墻技術(shù)的簡單發(fā)展歷史。第二、三代防火墻1989年，貝爾實(shí)驗(yàn)室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻應(yīng)用層防火墻(代理防火墻)的初步結(jié)構(gòu)。第四代防火墻1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動態(tài)包過濾(Dynamic packet filter)技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻1998年，NAI公司推出了一種自適應(yīng)代理(Adaptive proxy)技術(shù)，并在其產(chǎn)品Gauntlet Firewall for NT中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。防火墻未來的技術(shù)發(fā)展趨勢 隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也有一些新的發(fā)展趨勢。這主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)。 1. 防火墻包過濾技術(shù)發(fā)展趨勢 （1）. 一些防火墻廠商把在AAA系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗(yàn)證的防火墻通常是采用應(yīng)用級網(wǎng)關(guān)技術(shù)的，包過濾技術(shù)的防火墻不具有。用戶身份驗(yàn)證功能越強(qiáng)，它的安全級別越高，但它給網(wǎng)絡(luò)通信帶來的負(fù)面影響也越大，因?yàn)橛脩羯矸蒡?yàn)證需要時間，特別是加密型的用戶身份驗(yàn)證。 （2）. 多級過濾技術(shù) 所謂多級過濾技術(shù)，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾（網(wǎng)絡(luò)層）一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān)（應(yīng)用層）一級，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所用通用服務(wù)。這是針對以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過濾技術(shù)的不足。 這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對應(yīng)于不同的網(wǎng)絡(luò)層，從這個概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。 （3）. 使防火墻具有病毒防護(hù)功能?，F(xiàn)在通常被稱之為病毒防火墻，當(dāng)然目前主要還是在個人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问?，更容易?shí)現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護(hù)功能的防火墻可以大大減少公司的損失。 2. 防火墻的體系結(jié)構(gòu)發(fā)展趨勢 隨著網(wǎng)絡(luò)應(yīng)用的增加，對網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。 與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性?；贏SIC的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運(yùn)行性能的要求。 首信CF-2000 系列EP-600和CG-600高端千兆防火墻即采用了功能強(qiáng)大的可編程專有ASIC芯片作為專門的安全引擎，很好地兼顧了靈活性和性能的需要。它們可以以線速處理網(wǎng)絡(luò)流量，而且其性能不受連接數(shù)目、包大小以及采用何種策略的影響。該款防火墻支持QoS，所造成的延遲可以達(dá)到微秒量級，可以滿足各種交互式多媒體應(yīng)用的要求。浙大網(wǎng)新也在杭州正式發(fā)布三款基于ASIC芯片的網(wǎng)新易尚千兆系列網(wǎng)關(guān)防火墻,據(jù)稱,其ES4000防火墻速度達(dá)到4Gbps,3DES速度可達(dá)600Mbps。易尚系列千兆防火墻還采用了最新的安全網(wǎng)關(guān)概念,集成了防火墻、VPN、IDS、防病毒、內(nèi)容過濾和流量控制等多項(xiàng)功能。 3. 防火墻的系統(tǒng)管理發(fā)展趨勢 防火墻的系統(tǒng)管理也有一些發(fā)展趨勢，主要體現(xiàn)在以下幾個方面： （1）. 首先是集中式管理，分布式和分層的安全結(jié)構(gòu)是將來的趨勢。集中式管理可以降低管理成本，并保證在大型網(wǎng)絡(luò)中安全策略的一致性。快速響應(yīng)和快速防御也要求采用集中式管理系統(tǒng)。目前這種分布式防火墻早已在Cisco（思科）、3Com等大的網(wǎng)絡(luò)設(shè)備開發(fā)商中開發(fā)成功，也就是目前所稱的分布式防火墻和嵌入式防火墻。關(guān)于這一新技術(shù)在本篇下面將詳細(xì)介紹。 （2）. 強(qiáng)大的審計(jì)功能和自動日志分析功能。這兩點(diǎn)的應(yīng)用可以更早地發(fā)現(xiàn)潛在的威脅并預(yù)防攻擊的發(fā)生。日志功能還可以管理員有效地發(fā)現(xiàn)系統(tǒng)中存的安全漏洞，及時地調(diào)整安全策略等各方面管理具有非常大的幫助。不過具有這種功能的防火墻通常是比較高級的，早期的靜態(tài)包過濾防火墻是不具有的。 （3）. 網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化 隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，現(xiàn)在有一種提法，叫做建立以防火墻為核心的網(wǎng)絡(luò)安全體系。因?yàn)槲覀冊诂F(xiàn)實(shí)中發(fā)現(xiàn)，僅現(xiàn)有的防火墻技術(shù)難以滿足當(dāng)前網(wǎng)絡(luò)安全需求。通過建立一個以防火墻為核心的安全體系，就可以為內(nèi)部網(wǎng)絡(luò)系統(tǒng)部署多道安全防線，各種安全技術(shù)各司其職，從各方面防御外來入侵。 如現(xiàn)在的IDS設(shè)備就能很好地與防火墻一起聯(lián)合。一般情況下，為了確保系統(tǒng)的通信性能不受安全設(shè)備的影響太大，IDS設(shè)備不能像防火墻一樣置于網(wǎng)絡(luò)入口處，只能置于旁路位置。而在實(shí)際使用中，IDS的任務(wù)往往不僅在于檢測，很多時候在IDS發(fā)現(xiàn)入侵行為以后，也需要IDS本身對入侵及時遏止。顯然，要讓處于旁路偵聽的IDS完成這個任務(wù)又太難為，同時主鏈路又不能串接太多類似設(shè)備。在這種情況下，如果防火墻能和IDS、病毒檢測等相關(guān)安全產(chǎn)品聯(lián)合起來，充分發(fā)揮各自的長處，協(xié)同配合，共同建立一個有效的安全防范體系，那么系統(tǒng)網(wǎng)絡(luò)的安全性就能得以明顯提升。 目前主要有兩種解決辦法：一種是直接把IDS、病毒檢測部分直接做到防火墻中，使防火墻具有IDS和病毒檢測設(shè)備的功能；另一種是各個產(chǎn)品分立，通過某種通訊方式形成一個整體，一旦發(fā)現(xiàn)安全事件，則立即通知防火墻，由防火墻完成過濾和報(bào)告。目前更看重后一種方案，因?yàn)樗鼘?shí)現(xiàn)方式較前一種容易許多。 一. 防火墻的基本配置原則默認(rèn)情況下，所有的防火墻都是按以下兩種情況配置的： 拒絕所有的流量，這需要在你的網(wǎng)絡(luò)中特殊指定能夠進(jìn)入和出去的流量的一些類型。 允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類型?？烧撟C地，大多數(shù)防火墻默認(rèn)都是拒絕所有的流量作為安全選項(xiàng)。一旦你安裝防火墻后，你需要打開一些必要的端口來使防火墻內(nèi)的用戶在通過驗(yàn)證之后可以訪問系統(tǒng)。換句話說，如果你想讓你的員工們能夠發(fā)送和接收Email，你必須在防火墻上設(shè)置相應(yīng)的規(guī)則或開啟允許POP3和SMTP的進(jìn)程。在防火墻的配置中，我們首先要遵循的原則就是安全實(shí)用，從這個角度考慮，在防火墻的配置過程中需堅(jiān)持以下三個基本原則：（1）. 簡單實(shí)用：對防火墻環(huán)境設(shè)計(jì)來講，首要的就是越簡單越好。其實(shí)這也是任何事物的基本原則。越簡單的實(shí)現(xiàn)方式，越容易理解和使用。而且是設(shè)計(jì)越簡單，越不容易出錯，防火墻的安全功能越容易得到保證，管理也越可靠和簡便。每種產(chǎn)品在開發(fā)前都會有其主要功能定位，比如防火墻產(chǎn)品的初衷就是實(shí)現(xiàn)網(wǎng)絡(luò)之間的安全控制，入侵檢測產(chǎn)品主要針對網(wǎng)絡(luò)非法行為進(jìn)行監(jiān)控。但是隨著技術(shù)的成熟和發(fā)展，這些產(chǎn)品在原來的主要功能之外或多或少地增加了一些增值功能，比如在防火墻上增加了查殺病毒、入侵檢測等功能，在入侵檢測上增加了病毒查殺功能。但是這些增值功能并不是所有應(yīng)用環(huán)境都需要，在配置時我們也可針對具體應(yīng)用環(huán)境進(jìn)行配置，不必要對每一功能都詳細(xì)配置，這樣一則會大大增強(qiáng)配置難度，同時還可能因各方面配置不協(xié)調(diào)，引起新的安全漏洞，得不償失。（2）. 全面深入：單一的防御措施是難以保障系統(tǒng)的安全的，只有采用全面的、多層次的深層防御戰(zhàn)略體系才能實(shí)現(xiàn)系統(tǒng)的真正安全。在防火墻配置中，我們不要停留在幾個表面的防火墻語句上，而應(yīng)系統(tǒng)地看等整個網(wǎng)絡(luò)的安全防護(hù)體系，盡量使各方面的配置相互加強(qiáng)，從深層次上防護(hù)整個系統(tǒng)。這方面可以體現(xiàn)在兩個方面：一方面體現(xiàn)在防火墻系統(tǒng)的部署上，多層次的防火墻部署體系，即采用集互聯(lián)網(wǎng)邊界防火墻、部門邊界防火墻和主機(jī)防火墻于一體的層次防御；另一方面將入侵檢測、網(wǎng)絡(luò)加密、病毒查殺等多種安全措施結(jié)合在一起的多層安全體系。（3）. 內(nèi)外兼顧：防火墻的一個特點(diǎn)是防外不防內(nèi)，其實(shí)在現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境中，80%以上的威脅都來自內(nèi)部，所以我們要樹立防內(nèi)的觀念，從根本上改變過去那種防外不防內(nèi)的傳統(tǒng)觀念。對內(nèi)部威脅可以采取其它安全措施，比如入侵檢測、主機(jī)防護(hù)、漏洞掃描、病毒查殺。這方面體現(xiàn)在防火墻配置方面就是要引入全面防護(hù)的觀念，最好能部署與上述內(nèi)部防護(hù)手段一起聯(lián)動的機(jī)制。目前來說，要做到這一點(diǎn)比較困難。二、防火墻的初始配置像路由器一樣，在使用之前，防火墻也需要經(jīng)過基本的初始配置。但因各種防火墻的初始配置基本類似，所以在此僅以Cisco PIX防火墻為例進(jìn)行介紹。防火墻的初始配置也是通過控制端口（Console）與PC機(jī)（通常是便于移動的筆記本電腦）的串口連接，再通過Windows系統(tǒng)自帶的超級終端（HyperTerminal）程序進(jìn)行選項(xiàng)配置。防火墻的初始配置物理連接與前面介紹的交換機(jī)初始配置連接方法一樣，參見圖1所示。圖1防火墻除了以上所說的通過控制端口（Console）進(jìn)行初始配置外，也可以通過telnet和Tffp配置方式進(jìn)行高級配置，但Telnet配置方式都是在命令方式中配置，難度較大，而Tffp方式需要專用的Tffp服務(wù)器軟件，但配置界面比較友好。防火墻與路由器一樣也有四種用戶配置模式，即：普通模式（Unprivileged mode）、特權(quán)模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），進(jìn)入這四種用戶模式的命令也與路由器一樣：普通用戶模式無需特別命令，啟動后即進(jìn)入；進(jìn)入特權(quán)用戶模式的命令為enable；進(jìn)入配置模式的命令為config terminal；而進(jìn)入端口模式的命令為interface ethernet（）。不過因?yàn)榉阑饓Φ亩丝跊]有路由器那么復(fù)雜，所以通常把端口模式歸為配置模式，統(tǒng)稱為全局配置模式。防火墻的具體配置步驟如下：1. 將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個空余串口上，參見圖1。2. 打開PIX防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機(jī)。? 3. 運(yùn)行筆記本電腦Windows系統(tǒng)中的超級終端（HyperTerminal）程序（通常在附件程序組中）。對超級終端的配置與交換機(jī)或路由器的配置一樣，參見本教程前面有關(guān)介紹。 4. 當(dāng)PIX防火墻進(jìn)入系統(tǒng)后即顯示pixfirewall的提示符，這就證明防火墻已啟動成功，所進(jìn)入的是防火墻用戶模式。可以進(jìn)行進(jìn)一步的配置了。? 5. 輸入命令：enable,進(jìn)入特權(quán)用戶模式，此時系統(tǒng)提示為：pixfirewall#。? 6. 輸入命令： configure terminal,進(jìn)入全局配置模式，對系統(tǒng)進(jìn)行初始化設(shè)置。? ? （1）. 首先配置防火墻的網(wǎng)卡參數(shù)（以只有1個LAN和1個WAN接口的防火墻配置為例）? Interface ethernet0 auto? # 0號網(wǎng)卡系統(tǒng)自動分配為WAN網(wǎng)卡，auto選項(xiàng)為系統(tǒng)自適應(yīng)網(wǎng)卡類型 Interface ethernet1 auto? （2）. 配置防火墻內(nèi)、外部網(wǎng)卡的IP地址? IP address inside ip_address netmask? # Inside代表內(nèi)部網(wǎng)卡 IP address outside ip_address netmask? # outside代表外部網(wǎng)卡（3）. 指定外部網(wǎng)卡的IP地址范圍：? global 1 ip_address-ip_address? （4）. 指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址? nat 1 ip_address netmask? （5）. 配置某些控制選項(xiàng)：? conduit global_ip port-port protocol foreign_ip netmask? 其中，global_ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指的是連接協(xié)議，比如：TCP、UDP等；foreign_ip：表示可訪問的global_ip外部IP地址；netmask：為可選項(xiàng)，代表要控制的子網(wǎng)掩碼。? 7. 配置保存：wr mem? 8. 退出當(dāng)前模式此命令為exit，可以任何用戶模式下執(zhí)行，執(zhí)行的方法也相當(dāng)簡單，只輸入命令本身即可。它與Quit命令一樣。下面三條語句表示了用戶從配置模式退到特權(quán)模式，再退到普通模式下的操作步驟。pixfirewall(config)# exit pixfirewall# exit pixfirewall9. 查看當(dāng)前用戶模式下的所有可用命令：show，在相應(yīng)用戶模式下鍵入這個命令后，即顯示出當(dāng)前所有可用的命令及簡單功能描述。10. 查看端口狀態(tài)：show interface，這個命令需在特權(quán)用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。 ? 11. 查看靜態(tài)地址映射:show static，這個命令也須在特權(quán)用戶模式下執(zhí)行，執(zhí)行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況。? 三、Cisco PIX防火墻的基本配置1. 同樣是用一條串行電纜從電腦的COM口連到Cisco PIX 525防火墻的console口；2. 開啟所連電腦和防火墻的電源，進(jìn)入Windows系統(tǒng)自帶的超級終端，通訊參數(shù)可按系統(tǒng)默然。進(jìn)入防火墻初始化配置，在其中主要設(shè)置有：Date(日期)、time(時間)、hostname(主機(jī)名稱)、inside ip address(內(nèi)部網(wǎng)卡IP地址)、domain(主域)等，完成后也就建立了一個初始化設(shè)置了。此時的提示符為：pix255。 3. 輸入enable命令，進(jìn)入Pix 525特權(quán)用戶模式,默然密碼為空。如果要修改此特權(quán)用戶模式密碼，則可用enable password命令，命令格式為：enable password password encrypted，這個密碼必須大于16位。Encrypted選項(xiàng)是確定所加密碼是否需要加密。4、 定義以太端口：先必須用enable命令進(jìn)入特權(quán)用戶模式，然后輸入configure terminal（可簡稱為config t）,進(jìn)入全局配置模式模式。具體配置 pix525enable Password: pix525#config t pix525 (config)#interface ethernet0 auto pix525 (config)#interface ethernet1 auto在默然情況下ethernet0是屬外部網(wǎng)卡outside, ethernet1是屬內(nèi)部網(wǎng)卡inside, inside在初始化配置成功的情況下已經(jīng)被激活生效了，但是outside必須命令配置激活。 5. clock配置時鐘，這也非常重要，這主要是為防火墻的日志記錄而資金積累的，如果日志記錄時間和日期都不準(zhǔn)確，也就無法正確分析記錄中的信息。這須在全局配置模式下進(jìn)行。時鐘設(shè)置命令格式有兩種，主要是日期格式不同，分別為：clock set hh:mm:ss month day month year和clock set hh:mm:ss day month year前一種格式為：小時：分鐘：秒 月 日 年；而后一種格式為：小時：分鐘：秒 日 月 年，主要在日、月份的前后順序不同。在時間上如果為0，可以為一位，如：21:0:0。6. 指定接口的安全級別 指定接口安全級別的命令為nameif，分別為內(nèi)、外部網(wǎng)絡(luò)接口指定一個適當(dāng)?shù)陌踩墑e。在此要注意，防火墻是用來保護(hù)內(nèi)部網(wǎng)絡(luò)的，外部網(wǎng)絡(luò)是通過外部接口對內(nèi)部網(wǎng)絡(luò)構(gòu)成威脅的，所以要從根本上保障內(nèi)部網(wǎng)絡(luò)的安全，需要對外部網(wǎng)絡(luò)接口指定較高的安全級別，而內(nèi)部網(wǎng)絡(luò)接口的安全級別稍低，這主要是因?yàn)閮?nèi)部網(wǎng)絡(luò)通信頻繁、可信度高。在Cisco PIX系列防火墻中，安全級別的定義是由security（）這個參數(shù)決定的，數(shù)字越小安全級別越高，所以security0是最高的，隨后通常是以10的倍數(shù)遞增，安全級別也相應(yīng)降低。如下例：pix525(config)#nameif ethernet0 outside security0? # outside是指外部接口 pix525(config)#nameif ethernet1 inside security100 # inside是指內(nèi)部接口7. 配置以太網(wǎng)接口IP地址 所用命令為：ip address，如要配置防火墻上的內(nèi)部網(wǎng)接口IP地址為： ；外部網(wǎng)接口IP地址為： 。 配置方法如下： pix525(config)#ip address inside pix525(config)#ip address outside 8. access-group這個命令是把訪問控制列表綁定在特定的接口上。須在配置模式下進(jìn)行配置。命令格式為：access-group acl_ID in interface interface_name，其中的acl_ID是指訪問控制列表名稱，interface_name為網(wǎng)絡(luò)接口名稱。如：access-group acl_out in interface outside，在外部網(wǎng)絡(luò)接口上綁定名稱為acl_out的訪問控制列表。 clear access-group：清除所有綁定的訪問控制綁定設(shè)置。 no access-group acl_ID in interface interface_name：清除指定的訪問控制綁定設(shè)置。 show access-group acl_ID in interface interface_name：顯示指定的訪問控制綁定設(shè)置。9配置訪問列表 所用配置命令為：access-list，合格格式比較復(fù)雜，如下：標(biāo)準(zhǔn)規(guī)則的創(chuàng)建命令：access-list normal | special listnumber1 permit | deny source-addr source-mask 擴(kuò)展規(guī)則的創(chuàng)建命令：access-list normal | special listnumber2 permit | deny protocol source-addr source-mask operator port1 port2 dest-addr dest-mask operator port1 port2 | icmp-type icmp-code log 它是防火墻的主要配置部分，上述格式中帶部分是可選項(xiàng)，listnumber參數(shù)是規(guī)則號，標(biāo)準(zhǔn)規(guī)則號（listnumber1）是199之間的整數(shù)，而擴(kuò)展規(guī)則號（listnumber2）是100199之間的整數(shù)。它主要是通過訪問權(quán)限permit和deny來指定的，網(wǎng)絡(luò)協(xié)議一般有IP|TCP|UDP|ICMP等等。如只允許訪問通過防火墻對主機(jī):54進(jìn)行www訪問，則可按以下配置：pix525(config)#access-list 100 permit 54 eq www 其中的100表示訪問規(guī)則號，根據(jù)當(dāng)前已配置的規(guī)則條數(shù)來確定，不能與原來規(guī)則的重復(fù)，也必須是正整數(shù)。關(guān)于這個命令還將在下面的高級配置命令中詳細(xì)介紹。10. 地址轉(zhuǎn)換（NAT） 防火墻的NAT配置與路由器的NAT配置基本一樣，首先也必須定義供NAT轉(zhuǎn)換的內(nèi)部IP地址組，接著定義內(nèi)部網(wǎng)段。 定義供NAT轉(zhuǎn)換的內(nèi)部地址組的命令是nat，它的格式為：nat (if_name) nat_id local_ip netmask max_conns em_limit，其中if_name為接口名；nat_id參數(shù)代表內(nèi)部地址組號；而local_ip為本地網(wǎng)絡(luò)地址；netmask為子網(wǎng)掩碼；max_conns為此接口上所允許的最大TCP連接數(shù)，默認(rèn)為0，表示不限制連接；em_limit為允許從此端口發(fā)出的連接數(shù)，默認(rèn)也為0，即不限制。如：nat (inside) 1 表示把所有網(wǎng)絡(luò)地址為，子網(wǎng)掩碼為的主機(jī)地址定義為1號NAT地址組。隨后再定義內(nèi)部地址轉(zhuǎn)換后可用的外部地址池，它所用的命令為global,基本命令格式為：global? (if_name) nat_id global_ip netmask max_conns em_limit ，各參數(shù)解釋同上。如：global (outside) 1 -4 netmask 將上述nat命令所定的內(nèi)部IP地址組轉(zhuǎn)換成4的外部地址池中的外部IP地址，其子網(wǎng)掩耳盜鈴碼為。11. Port Redirection with Statics這是靜態(tài)端口重定向命令。在Cisco PIX版本6.0以上，增加了端口重定向的功能，允許外部用戶通過一個特殊的IP地址/端口通過防火墻傳輸?shù)絻?nèi)部指定的內(nèi)部服務(wù)器。其中重定向后的地址可以是單一外部地址、共享的外部地址轉(zhuǎn)換端口（PAT），或者是共享的外部端口。這種功能也就是可以發(fā)布內(nèi)部WWW、FTP、Mail等服務(wù)器，這種方式并不是直接與內(nèi)部服務(wù)器連接，而是通過端口重定向連接的，所以可使內(nèi)部服務(wù)器很安全。 命令格式有兩種，分別適用于TCP/UDP通信和非TCP/UDP通信：(1). static(internal_if_name, external_if_name)local_ipnetmask mask max_conns emb_limitnorandomseq（2）. static (internal_if_name, external_if_name) global_port local_ip local_port netmask mask max_conns emb_limit norandomseq此命令中的以上各參數(shù)解釋如下：internal_if_name：內(nèi)部接口名稱；external_if_name：外部接口名稱；：選擇通信協(xié)議類型；：重定向后的外部IP地址或共享端口；local_ip：本地IP地址；netmask mask：本地子網(wǎng)掩碼；max_conns：允許的最大TCP連接數(shù)，默認(rèn)為0，即不限制；emb_limit：允許從此端口發(fā)起的連接數(shù)，默認(rèn)也為0，即不限制；norandomseq：不對數(shù)據(jù)包排序，此參數(shù)通常不用選。現(xiàn)在我們舉一個實(shí)例，實(shí)例要求如下外部用戶向9的主機(jī)發(fā)出Telnet請求時，重定向到。 外部用戶向9的主機(jī)發(fā)出FTP請求時，重定向到。 外部用戶向08的端口發(fā)出Telnet請求時，重定向到。 外部用戶向防火墻的外部地址16發(fā)出Telnet請求時，重定向到。 外部用戶向防火墻的外部地址16發(fā)出HTTP請求時，重定向到。 外部用戶向防火墻的外部地址08的8080端口發(fā)出HTTP請求時，重定向到的80號端口。以上重寫向過程要求如圖2所示，防火墻的內(nèi)部端口IP地址為，外部端口地址為16。圖2以上各項(xiàng)重定向要求對應(yīng)的配置語句如下：static (inside,outside) tcp 9 telnet telnet netmask 55 0 0 static (inside,outside) tcp 9 ftp ftp netmask 55 0 0 static (inside,outside) tcp 08 telnet telnet netmask 55 0 0 static (inside,outside) tcp interface telnet telnet netmask 55 0 0 static (inside,outside) tcp interface www ? www netmask 55 0 0 static (inside,outside) tcp 08 8080 www netmask 55 0 012. 顯示與保存結(jié)果 顯示結(jié)果所用命令為：show config；保存結(jié)果所用命令為：write memory。? 四、包過濾型防火墻的訪問控制表（ACL）配置除了以上介紹的基本配置外，在防火墻的安全策略中最重要還是對訪問控制列表（ACL）進(jìn)行配有關(guān)置。下面介紹一些用于此方面配置的基本命令。1. access-list：用于創(chuàng)建訪問規(guī)則這一訪問規(guī)則配置命令要在防火墻的全局配置模式中進(jìn)行。同一個序號的規(guī)則可以看作一類規(guī)則，同一個序號之間的規(guī)則按照一定的原則進(jìn)行排列和選擇，這個順序可以通過 show access-list 命令看到。在這個命令中，又有幾種命令格式，分別執(zhí)行不同的命令。（1）創(chuàng)建標(biāo)準(zhǔn)訪問列表 命令格式：access-list normal | special listnumber1 permit | deny source-addr source-mask （2）創(chuàng)建擴(kuò)展訪問列表 命令格式：access-list normal | special listnumber2 permit | deny protocol source-addr source-mask operator port1 port2 dest-addr dest-mask operator port1 port2 | icmp-type icmp-code log （3）刪除訪問列表 命令格式：no access-list normal | special all | listnumber subitem 上述命令參數(shù)說明如下： normal：指定規(guī)則加入普通時間段。 special：指定規(guī)則加入特殊時間段。 listnumber1：是1到99之間的一個數(shù)值，表示規(guī)則是標(biāo)準(zhǔn)訪問列表規(guī)則。 listnumber2：是100到199之間的一個數(shù)值，表示規(guī)則是擴(kuò)展訪問列表規(guī)則。 permit：表明允許滿足條件的報(bào)文通過。 deny：表明禁止?jié)M足條件的報(bào)文通過。 protocol：為協(xié)議類型，支持ICMP、TCP、UDP等，其它的協(xié)議也支持，此時沒有端口比較的概念；為IP時有特殊含義，代表所有的IP協(xié)議。 source-addr：為源IP地址。 source-mask：為源IP地址的子網(wǎng)掩碼，在標(biāo)準(zhǔn)訪問列表中是可選項(xiàng)，不輸入則代表通配位為。 dest-addr：為目的IP地址。 dest-mask：為目的地址的子網(wǎng)掩碼。 operator：端口操作符，在協(xié)議類型為TCP或UDP時支持端口比較，支持的比較操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符為range，則后面需要跟兩個端口。 port1 在協(xié)議類型為TCP或UDP時出現(xiàn)，可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或065535之間的一個數(shù)值。port2 在協(xié)議類型為TCP或UDP且操作類型為range時出現(xiàn)；可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或065535之間的一個數(shù)值。 icmp-type：在協(xié)議為ICMP時出現(xiàn)，代表ICMP報(bào)文類型；可以是關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如echo-reply）或者是0255之間的一個數(shù)值。 icmp-code：在協(xié)議為ICMP，且沒有選擇所設(shè)定的預(yù)設(shè)值時出現(xiàn)；代表ICMP碼，是0255之間的一個數(shù)值。 log：表示如果報(bào)文符合條件，需要做日志。 listnumber：為刪除的規(guī)則序號，是1199之間的一個數(shù)值。 subitem：指定刪除序號為listnumber的訪問列表中規(guī)則的序號。例如，現(xiàn)要在華為的一款防火墻上配置一個允許源地址為 網(wǎng)絡(luò)、目的地址為網(wǎng)絡(luò)的WWW訪問，但不允許使用FTP的訪問規(guī)則。相應(yīng)配置語句只需兩行即可，如下： Quidway (config)#access-list 100 permit tcp ? ? ? ? eq www Quidway (config)#access-list 100 deny tcp ? ? ? ? eq ftp 2. clear access-list counters：清除訪問列表規(guī)則的統(tǒng)計(jì)信息 命令格式：clear access-list counters listnumber 這一命令必須在特權(quán)用戶模式下進(jìn)行配置。listnumber 參數(shù)是用指定要清除統(tǒng)計(jì)信息的規(guī)則號，如不指定，則清除所有的規(guī)則的統(tǒng)計(jì)信息。 如要在華為的一款包過濾路由器上清除當(dāng)前所使用的規(guī)則號為100的訪問規(guī)則統(tǒng)計(jì)信息。訪問配置語句為： clear access-list counters 100 如有清除當(dāng)前所使用的所有規(guī)則的統(tǒng)計(jì)信息，則以上語句需改為：Quidway#clear access-list counters 3. ip access-group使用此命令將訪問規(guī)則應(yīng)用到相應(yīng)接口上。使用此命令的no形式來刪除相應(yīng)的設(shè)置，對應(yīng)格式為：? ip access-group listnumber in | out 此命令須在端口用戶模式下配置，進(jìn)入端口用戶模式的命令為：interface ethernet（），括號中為相應(yīng)的端口號，通常0為外部接口，而1為內(nèi)部接口。進(jìn)入后再用ip access-group 命令來配置訪問規(guī)則。listnumber參數(shù)為訪問規(guī)則號，是1199之間的一個數(shù)值（包括標(biāo)準(zhǔn)訪問規(guī)則和擴(kuò)展訪問規(guī)則兩類）；in 表示規(guī)則應(yīng)用于過濾從接口接收到的報(bào)文；而out表示規(guī)則用于過濾從接口轉(zhuǎn)發(fā)出去的報(bào)文。一個接口的一個方向上最多可以應(yīng)用20類不同的規(guī)則；這些規(guī)則之間按照規(guī)則序號的大小進(jìn)行排列，序號大的排在前面，也就是優(yōu)先級高。對報(bào)文進(jìn)行過濾時，將采用發(fā)現(xiàn)符合的規(guī)則即得出過濾結(jié)果的方法來加快過濾速度。所以，建議在配置規(guī)則時，盡量將對同一個網(wǎng)絡(luò)配置的規(guī)則放在同一個序號的訪問列表中；在同一個序號的訪問列表中，規(guī)則之間的排列和選擇順序可以用show access-list命令來查看。例如將規(guī)則100應(yīng)用于過濾從外部網(wǎng)絡(luò)接口上接收到的報(bào)文，配置語句為（同樣為在傾為包過濾路由器上）： ip access-group 100 in如果要刪除某個訪問控制表列綁定設(shè)置，則可用no ip access-group listnumber in | out 命令。4. show access-list 此配置命令用于顯示包過濾規(guī)則在接口上的應(yīng)用情況。命令格式為：show access-list all | listnumber | interface interface-name 這一命令須在特權(quán)用戶模式下進(jìn)行配置，其中all參數(shù)表示顯示所有規(guī)則的應(yīng)用情況，包括普通時間段內(nèi)及特殊時間段內(nèi)的規(guī)則；如果選擇listnumber參數(shù)，則僅需顯示指定規(guī)則號的過濾規(guī)則；interface 表示要顯示在指定接口上應(yīng)用的所有規(guī)則序號；interface-name參數(shù)為接口的名稱。 使用此命令來顯示所指定的規(guī)則，同時查看規(guī)則過濾報(bào)文的情況。每個規(guī)則都有一個相應(yīng)的計(jì)數(shù)器，如果用此規(guī)則過濾了一個報(bào)文，則計(jì)數(shù)器加1；通過對計(jì)數(shù)器的觀察可以看出所配置的規(guī)則中，哪些規(guī)則是比較有效，而哪些基本無效。例如，現(xiàn)在要顯示當(dāng)前所使用序號為100的規(guī)則的使用情況，可執(zhí)行Quidway#show access-list 100語句即可，隨即系統(tǒng)即顯示這條規(guī)則的使用情況，格式如下： Using normal packet-filtering access rules now. 100 deny icmp 55 any host-redirect (3 matches,252 bytes - rule 1) 100 permit icmp 55 any echo (no matches - rule 2) 100 deny udp any any eq rip (no matches - rule 3) 5. show firewall 此命令須在特權(quán)用戶模式下執(zhí)行，它顯示當(dāng)前防火墻狀態(tài)。命令格式非常簡單，也為：show firewall。這里所說的防火墻狀態(tài)，包括防火墻是否被啟用，啟用防火墻時是否采用了時間段包過濾及防火墻的一些統(tǒng)計(jì)信息。6. Telnet這是用于定義能過防火配置控制端口進(jìn)行遠(yuǎn)程登錄的有關(guān)參數(shù)選項(xiàng)，也須在全局配置用戶模式下進(jìn)行配置。命令格式為：telnet ip_address netmask if_name其中的ip_address參數(shù)是用來指定用于Telnet登錄的IP地址，netmask為子網(wǎng)掩碼，if_name用于指定用于Telnet登錄的接口，通常不用指定，則表示此IP地址適用于所有端口。如：telnet 如果要清除防火墻上某個端口的Telnet參數(shù)配置，則須用clear telnet命令，其格式為：clear telnet ip_address netmask if_name，其中各選項(xiàng)說明同上。它與另一個命令no telnet功能基本一樣，不過它是用來刪除某接口上的Telnet配置，命令格式為：no telnet ip_address netmask if_name。如果要顯示當(dāng)前所有的Telnet配置，則可用show telnet命令。返回防火墻新技術(shù)：狀態(tài)檢測技術(shù)傳統(tǒng)的包過濾防火墻通過檢測IP包頭的相關(guān)信息來決定數(shù)據(jù)流的通過還是拒絕，而近幾年才應(yīng)用的防火墻新技術(shù)-狀態(tài)檢測技術(shù)，采用的是一種基于連接的狀態(tài)檢測機(jī)制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。這里動態(tài)連接狀態(tài)表中的記錄可以是以前的通信信息，也可以是其他相關(guān)應(yīng)用程序的信息，因此，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性。先進(jìn)的狀態(tài)檢測防火墻讀取、分析和利用了全面的網(wǎng)絡(luò)通信信息和狀態(tài)，包括：應(yīng)用狀態(tài)：即其他相關(guān)應(yīng)用的信息。狀態(tài)檢測模塊能夠理解并學(xué)習(xí)各種協(xié)議和應(yīng)用，以支持各種最新的應(yīng)用，它比代理服務(wù)器支持的協(xié)議和應(yīng)用要多得多；并且，它能從應(yīng)用程序中收集狀態(tài)信息存入狀態(tài)表中，以供其他應(yīng)用或協(xié)議做檢測策略。例如，已經(jīng)通過防火墻認(rèn)證的用戶可以通過防火墻訪問其他授權(quán)的服務(wù)。通信信息：即所有7層協(xié)議的當(dāng)前信息。防火墻的檢測模塊位于操作系統(tǒng)的內(nèi)核，在網(wǎng)絡(luò)層之下，能在數(shù)據(jù)包到達(dá)網(wǎng)關(guān)操作系統(tǒng)之前對它們進(jìn)行分析。防火墻先在低協(xié)議層上檢查數(shù)據(jù)包是否滿足企業(yè)的安全策略，對于滿足的數(shù)據(jù)包，再從更高協(xié)議層上進(jìn)行分析。它驗(yàn)證數(shù)據(jù)的源地址、目的地址和端口號、協(xié)議類型、應(yīng)用信息等多層的標(biāo)志，因此具有更全面的安全性。操作信息：即在數(shù)據(jù)包中能執(zhí)行邏輯或數(shù)學(xué)運(yùn)算的信息。狀態(tài)監(jiān)測技術(shù)，采用強(qiáng)大的面向?qū)ο蟮姆椒?，基于通信信息、通信狀態(tài)、應(yīng)用狀態(tài)等多方面因素，利用靈活的表達(dá)式形式，結(jié)合安全規(guī)則、應(yīng)用識別知識、狀態(tài)關(guān)聯(lián)信息以及通信數(shù)據(jù)，構(gòu)造更復(fù)雜的、更靈活的、滿足用戶特定安全要求的策略規(guī)則。通信狀態(tài)：即以前的通信信息。對于簡單的包過濾防火墻，如果要允許FTP通過，就必須作出讓步而打開許多端口，這樣就降低了安全性。狀態(tài)檢測防火墻在狀態(tài)表中保存以前的通信信息，記錄從受保護(hù)網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包的狀態(tài)信息，例如FTP請求的服務(wù)器地址和端口、客戶端地址和為滿足此次FTP臨時打開的端口，然后，防火墻根據(jù)該表內(nèi)容對返回受保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行分析判斷，這樣，只有響應(yīng)受保護(hù)網(wǎng)絡(luò)請求的數(shù)據(jù)包才被放行。這里，對于UDP或者RPC等無連接的協(xié)議，檢測模塊可創(chuàng)建虛會話信息用來進(jìn)行跟蹤。配置iptables靜態(tài)防火墻1、初始化防火墻在shell提示符#下鍵入：iptables -Fiptables -Xiptables -Z利用iptables設(shè)置你自己的防火墻之前，首先要清除所有以前設(shè)置的規(guī)則。2、設(shè)置規(guī)則:2.1、設(shè)置默認(rèn)策略iptables -P INPUT DROP這一條命令將阻止所有從網(wǎng)絡(luò)進(jìn)入計(jì)算機(jī)的數(shù)據(jù)包丟棄（drop）。此時，如果你ping ，你就會發(fā)現(xiàn)屏幕一直停在那里，因?yàn)閜ing收不到任何應(yīng)答數(shù)據(jù)包。2.2、創(chuàng)建用戶自定義的鏈iptables -N MYINPUTiptables -N MYDROPLOG2.3 、添加規(guī)則iptables -A INPUT -j MYINPUT這條規(guī)則將所有進(jìn)入計(jì)算機(jī)的包轉(zhuǎn)發(fā)到自定義的鏈進(jìn)行過濾。iptables -A MYINPUT -p icmp -j ACCEPT此時再輸入命令 ping ，結(jié)果還會和剛才一樣嗎？如果要訪問www服務(wù)iptables -A MYINPUT -p tcp -sport 80 -j ACCEPT這條規(guī)則允許來自網(wǎng)絡(luò)并且源端口是80的數(shù)據(jù)進(jìn)入計(jì)算機(jī)。80端口正是www服務(wù)所使用的端口?，F(xiàn)在可以看網(wǎng)頁了。但是，如果你在瀏覽器的地址中輸入，能看到網(wǎng)頁嗎？你得到的結(jié)果一定是：找不到主機(jī)。如果你再輸入00，你仍然能夠訪問baidu的網(wǎng)頁。為什么？因?yàn)槿绻L問，計(jì)算機(jī)需要先進(jìn)行域名解析獲取對應(yīng)的ip地址00才能正常訪問。我們還需要打開DNS。iptables -A MYINPUT -p udp -sport 53 -j ACCEPT這條規(guī)則接受所有UDP協(xié)議53端口的數(shù)據(jù)。53正是DNS服務(wù)所用的端口。此時測試一下，你能通過域名訪問www嗎？你能通過ip訪問www嗎？當(dāng)然，都可以！丟棄其他的所有網(wǎng)絡(luò)數(shù)據(jù)包iptables -A MYINPUT -j MYDROPLOGiptables -A MYDROPLOG -j DROP2.4、記錄日志iptables -I MYDROPLOG 1 -j LOG -log-prefix IPTABLES DROP LOGS: -log-level debug這樣所