試談防火墻及其根本配置

1、試談防火墻及其根本配置9.1 防火墻概述9.1.1 防火墻概述防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域之間信息的唯一出入口，能根據(jù)企業(yè)的平安政策控制允許、拒絕、監(jiān)測(cè)出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息平安效勞，實(shí)現(xiàn)網(wǎng)絡(luò)和信息平安的根底設(shè)施。 在邏輯上，防火墻是一個(gè)別離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的平安。典型的防火墻建立在一個(gè)效勞器或主機(jī)的機(jī)器上，也稱為“堡壘主機(jī)，它是一個(gè)多邊協(xié)議路由器。這個(gè)堡壘主機(jī)連接兩個(gè)網(wǎng)絡(luò)，一邊與內(nèi)部網(wǎng)相連，另一邊與因特網(wǎng)相連。 1.防火

2、墻的開(kāi)展2.防火墻的功能防火墻通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)平安的有效管理，防止外部網(wǎng)絡(luò)不平安的信息流入內(nèi)部網(wǎng)絡(luò)和限制內(nèi)部網(wǎng)絡(luò)的重要信息流到外部網(wǎng)絡(luò)。1保護(hù)網(wǎng)絡(luò)的平安性功能2網(wǎng)絡(luò)監(jiān)控審計(jì)功能3屏蔽內(nèi)網(wǎng)信息外泄功能4NAT和VPN3.防火墻的缺陷9.1.2 防火墻的分類1.按組成結(jié)構(gòu)分類1軟件防火墻2硬件防火墻3芯片級(jí)防火墻2.按防火墻的技術(shù)原理分類1包過(guò)濾防火墻2代理防火墻 應(yīng)用層網(wǎng)關(guān)防火墻電路層網(wǎng)關(guān)3狀態(tài)監(jiān)視防火墻9.1.3 防火墻的體系結(jié)構(gòu)1.屏蔽路由器(Screening router)結(jié)構(gòu)2.雙穴主機(jī)網(wǎng)關(guān)(Dual Homed Gateway)結(jié)構(gòu)3.屏蔽主機(jī)網(wǎng)

3、關(guān)(Screened Host Gateway)結(jié)構(gòu)4.屏蔽子網(wǎng)(Screened Subnet)結(jié)構(gòu)9.2 防火墻的相關(guān)產(chǎn)品及其選購(gòu)9.2.1 防火墻相關(guān)產(chǎn)品1.軟件防火墻Check Point Firewall Software Blade 2.硬件防火墻Cisco PIX Firewall 5203.芯片級(jí)硬件防火墻方正方通防火墻9.2.2 防火墻的選購(gòu)策略1.平安性2.性能3.管理4.適用性5.售后效勞9.2.3 防火墻的開(kāi)展趨勢(shì)1多功能2防病毒3靈活的代理系統(tǒng) 4簡(jiǎn)化的安裝與管理5多級(jí)的過(guò)濾技術(shù) 6Internet網(wǎng)關(guān)技術(shù) 7平安效勞器網(wǎng)絡(luò)(SSN)8審計(jì)和告警 9.3 IP訪問(wèn)列表

4、的配置9.3.1 訪問(wèn)列表概述1IP訪問(wèn)控制列表(IP access lists)IP訪問(wèn)控制列表用于過(guò)濾IP報(bào)文，包括TCP和UDP。它可細(xì)分為標(biāo)準(zhǔn)IP訪問(wèn)控制列表和擴(kuò)展IP訪問(wèn)控制列表。標(biāo)準(zhǔn)IP訪問(wèn)控制列表Standard IP access lists只檢查數(shù)據(jù)包的源地址，從而允許或拒絕基于網(wǎng)絡(luò)、子網(wǎng)或主機(jī)的IP地址的所有通信流量通過(guò)路由器的出口。擴(kuò)展IP訪問(wèn)控制列表Extended IP access lists不僅檢查數(shù)據(jù)包的源地址，還要檢查數(shù)據(jù)包的目的地址、特定協(xié)議類型、源端口號(hào)、目的端口號(hào)等。2現(xiàn)代訪問(wèn)控制列表現(xiàn)代訪問(wèn)控制列表是在IP訪問(wèn)控制列表的根底上實(shí)現(xiàn)的靈活性更大的ACL列

5、表方式。它包括動(dòng)態(tài)訪問(wèn)控制列表、基于時(shí)間的訪問(wèn)控制列表、自反的訪問(wèn)控制列表和基于命名的訪問(wèn)控制列表。9.3.2 標(biāo)準(zhǔn)IP訪問(wèn)列表的配置 1.標(biāo)準(zhǔn)IP訪問(wèn)列表的配置命令1定義標(biāo)準(zhǔn)ACL命令Firewall(config)#access-list list number permit|deny host/any source address wildcard-mask log下面對(duì)標(biāo)準(zhǔn)IP訪問(wèn)表根本格式中的各項(xiàng)參數(shù)進(jìn)行解釋：list number：即表號(hào)范圍，標(biāo)準(zhǔn)IP訪問(wèn)表的表號(hào)標(biāo)識(shí)范圍是199。permit/deny：允許或拒絕，關(guān)鍵字permit和deny用來(lái)表示滿足訪問(wèn)表項(xiàng)的報(bào)文是允許通過(guò)接

6、口，還是要過(guò)濾。permit表示允許報(bào)文通過(guò)接口，而deny表示匹配標(biāo)準(zhǔn)IP訪問(wèn)表源地址的報(bào)文要被丟棄。source address：源地址，對(duì)于標(biāo)準(zhǔn)的IP訪問(wèn)列表，源地址是主機(jī)或一組主機(jī)的點(diǎn)分十進(jìn)制表示，如：0。host/any：主機(jī)匹配，host和any分別用于指定單個(gè)主機(jī)和所有主機(jī)，其中host表示一種精確的匹配，其屏蔽碼為。any是源地證/目標(biāo)地址/55的簡(jiǎn)寫(xiě)。wildcardmask：通配符屏蔽碼，Cisco訪問(wèn)表功能所支持的通配符屏蔽碼與子網(wǎng)掩碼的方式是剛好相反的，也就是說(shuō)，二進(jìn)制的0表示一個(gè)“匹配條件，二進(jìn)制的1表示一個(gè)“不匹配條件。2應(yīng)用訪問(wèn)列表到接口命令應(yīng)用訪問(wèn)列表到接口命令

7、：Firewall(config-if)#ip access-group access-list-number in|out參數(shù)注意：access-list-number: 標(biāo)準(zhǔn)ACL的表號(hào)范圍為199。In：通過(guò)接口進(jìn)入路由器的報(bào)文。Out：通過(guò)接口離開(kāi)路由器的報(bào)文。3顯示所有協(xié)議的訪問(wèn)列表配置細(xì)節(jié)顯示所有協(xié)議的訪問(wèn)列表配置細(xì)節(jié)的配置命令：Firewall(config)#show access-list access-list-number。4顯示IP訪問(wèn)列表顯示IP訪問(wèn)列表的配置命令：Firewall(config)#show ip access-list access-list-num

8、ber。2.標(biāo)準(zhǔn)ACL配置舉例1只允許網(wǎng)絡(luò)的數(shù)據(jù)通過(guò)，而阻塞其他所有的數(shù)據(jù)，配置命令如下：Firewall(config) # interface fa0/0Firewall(config-if) # ip access-group 1 outFirewall(config) # interface fa0/1Firewall(config-if) # ip access-group 1 out2阻塞來(lái)自一個(gè)特定主機(jī)的通信流量，而把所有的其他的通信流量從fa0/0接口轉(zhuǎn)發(fā)出去，配置命令如下：Firewall(config) # access-list 1 permit anyFirewall(

9、config) #int f0/0Firewall(config-if) # ip access-group 1 out 3阻塞來(lái)自一個(gè)特定子網(wǎng)的通信流量，而允許所有其他的通信流量，并把它們轉(zhuǎn)發(fā)出去，配置命令如下：Firewall(config) # access-list 1 permit anyFirewall(config) # interface fa0/0Firewall(config-if) # ip access-group 1 out 9.3.3 擴(kuò)展IP訪問(wèn)列表的配置1.配置擴(kuò)展訪問(wèn)列表相關(guān)命令1命令及格式Firewall(config)#access-list access

10、-list-number permit|deny protocol source-address source-wildcard source-port destinaiton address destination-wildcard destination-port options參數(shù)注意：access-list-number：編號(hào)范圍為100199。Permit：通過(guò)；deny：禁止通過(guò)。protocol：需要被過(guò)濾的協(xié)議，如IP、TCP、UDP、ICMP、EIGRP、GRE等。source-address ：源IP地址。source-wildcard：源通配符掩碼。source-port

11、：源端口號(hào)，可以是單一的某個(gè)端口，也可以是一個(gè)端口范圍。端口號(hào)可以使用一個(gè)數(shù)字或一個(gè)可識(shí)別的助記符顯式地指定。例如，可以使用80或 來(lái)指定Web的超文本傳輸協(xié)議。端口的相關(guān)運(yùn)算符如表9-3所示。2將訪問(wèn)列表應(yīng)用到接口的命令訪問(wèn)列表應(yīng)用到接口的命令：Firewall(config-if)#ip access-group access-list-number in|out。參數(shù)注意：access-list-number: 擴(kuò)展ACL的表號(hào)范圍為100199。In：通過(guò)接口進(jìn)入路由器的報(bào)文。Out：通過(guò)接口離開(kāi)路由器的報(bào)文。3顯示所有協(xié)議的訪問(wèn)列表配置細(xì)節(jié)顯示所有協(xié)議的訪問(wèn)列表配置細(xì)節(jié)的配置命令：F

12、irewall(config)#show access-list access-list-number。4顯示IP訪問(wèn)列表顯示IP訪問(wèn)列表的配置命令：Firewall(config)#show ip access-list access-list-number。9.4 現(xiàn)代訪問(wèn)控制列表的配置9.4.1 命名訪問(wèn)列表配置 1.標(biāo)準(zhǔn)命名ACL命名ACL允許使用一個(gè)字母、數(shù)字組合的字符串來(lái)表示ACL表號(hào)。1配置標(biāo)準(zhǔn)命名ACL的命令：Firewall(config)#ip access-list standard nameFirewall(config)#Deny|permit source addr

13、ess wildcardFirewall(config-if)#ip access-group name in|out2設(shè)計(jì)一個(gè)標(biāo)準(zhǔn)命名ACL，以用于阻塞來(lái)自一個(gè)特定子網(wǎng)的通信流量，而允許所有其他通信流量，并把它們轉(zhuǎn)發(fā)出去，配置命令如下：Firewall(config)#ip access-list standard task1Firewall(config-std-nacl)#permit anyFirewall(config)#interface fa0/0Firewall(config-if)#ip access-group task1 in2.擴(kuò)展命名ACL(1)配置擴(kuò)展命名ACL的命

14、令：Firewall(config)#ip access-list extended nameFirewall(config)#Deny|permit source address wildcardFirewall(config-if)#ip access-group name in|out2設(shè)計(jì)一個(gè)命名ALC，只拒絕來(lái)自特定子網(wǎng)的FTP和Telnet通信流量通過(guò)fa0/0，配置命令如下：Firewall(config)#ip access-list extended task2Firewall(config-ext-nacl)# deny tcp 55 any eq 21Firewall(c

15、onfig-ext-nacl)#deny tcp 55 any eq 23Firewall(config-ext-nacl)#permit ip any anyFirewall(config-ext-nacl)#exitFirewall(config)#interface fa0/0Firewall(config-if)#ip access-group task2 in 3.命名訪問(wèn)列表刪除語(yǔ)句 下面的例子顯示的是對(duì)命名訪問(wèn)列表的刪除過(guò)程。Firewall#show ip access-lists example /顯示example的內(nèi)容Firewall#configure terminal

16、Firewall(config)#ip access-list extended exampleFirewall(config-ext-nacl)#no permit tcp host any /刪除語(yǔ)句Firewall(config-ext-nacl)#ZFirewall#show ip access-lists example /顯示刪除語(yǔ)句后example的內(nèi)容4.命名訪問(wèn)列表參加語(yǔ)句下面的例子顯示的是對(duì)命名訪問(wèn)列表的參加過(guò)程。Firewall#show ip access-lists exampleFirewall#configure terminalFirewall(config)#

17、ip access-list extended exampleFirewall(config-ext-nacl)#ZFirewall#show ip access-lists example /顯示增加語(yǔ)句后example的內(nèi)容9.4.2 基于時(shí)間訪問(wèn)列表的配置 1.命令格式Firewall(config)#time-range time-range-name absolute start start-time start-date end end-time end-date periodic days-of-the week hh:mm to days-of-the week hh:mm參數(shù)

18、注意：1time-range：用來(lái)定義時(shí)間范圍。2time-range-name：時(shí)間范圍名稱，用來(lái)標(biāo)識(shí)時(shí)間范圍，以用于在后面的訪問(wèn)列表中引用。3absolute start start-time start-date end end-time end-date：定義絕對(duì)時(shí)間范圍，start-time和end-time分別用于指定開(kāi)始和結(jié)束時(shí)間，使用24小時(shí)制表示，其格式為“小時(shí)：分鐘；start-date和end-date分別用于指定開(kāi)始的日期和結(jié)束的日期，使用日/月/年的格式。4absolute：此命令用來(lái)指定絕對(duì)時(shí)間范圍，其后為關(guān)鍵字start和 end，在這兩個(gè)關(guān)鍵字后面的時(shí)間要以24

19、小時(shí)制的hh:mm小時(shí)：分鐘表示，日期要按照日/月/年的格式來(lái)表示。 2.配置實(shí)例通過(guò)在路由器設(shè)置基于時(shí)間的訪問(wèn)控制列表ACL，設(shè)置從2021年1月1日0點(diǎn)到2021年3月31日晚23點(diǎn)這個(gè)時(shí)間段中，只有在星期六早7點(diǎn)到星期日晚10點(diǎn)才可以通過(guò)網(wǎng)絡(luò)訪問(wèn)Internet。Firewall# config tFirewall(config)# interface ethernet 0Firewall(config-if)#ip access-group 101 inFirewall(config-if)#time-range Firewall(config-if)#absolute start 0

20、:00 1 january 2021 end 23:00 31 march 2021 Firewall(config-if)#periodic Saturday 7:00 to Sunday 22:00Firewall(config-if)#ip access-list 101 permit tcp any any eq 80 注意：為了控制Web訪問(wèn)的協(xié)議，必須要用擴(kuò)展列表。定義了這個(gè)時(shí)間范圍的名稱是 ，以便引用。189.5 TCP攔截9.5.1 TCP攔截概述TCP攔截即TCP Intercept，在TCP連接請(qǐng)求到達(dá)目標(biāo)主機(jī)之前，TCP攔截通過(guò)攔截和驗(yàn)證來(lái)阻止SYN泛洪攻擊。SYN攻擊利

21、用TCP的三次握 制，攻擊端利用偽造的IP地址向被攻擊端發(fā)出請(qǐng)求，使被攻擊端發(fā)出的響應(yīng)報(bào)文將永遠(yuǎn)發(fā)送不到目的地，導(dǎo)致被攻擊端在等待關(guān)閉這個(gè)連接的過(guò)程中消耗了資源，如果有成千上萬(wàn)的這種連接，主機(jī)資源將被耗盡，從而到達(dá)攻擊的目的?？梢岳寐酚善鞯腡CP攔截功能，使網(wǎng)絡(luò)上的主機(jī)受到保護(hù)。TCP攔截在攔截和監(jiān)視兩種模式下工作。在攔截模式下，路由器攔截到達(dá)的TCP SYN請(qǐng)求時(shí)，先代表效勞器建立與客戶機(jī)的連接，如果連接成功，那么代表客戶機(jī)建立與效勞器的連接，并將兩個(gè)連接進(jìn)行透明合并。在整個(gè)連接期間，路由器會(huì)一直攔截和發(fā)送數(shù)據(jù)包。對(duì)于非法的連接請(qǐng)求，路由器提供更為嚴(yán)格的半連接half-open超時(shí)限制，以

22、防止自身的資源被SYN攻擊耗盡。在監(jiān)視模式下，路由器被動(dòng)地觀察流經(jīng)路由器的連接請(qǐng)求，如果連接超過(guò)了所配置的建立時(shí)間，路由器就會(huì)關(guān)閉此連接。9.5.2 TCP攔截的配置1開(kāi)啟TCP攔截開(kāi)啟TCP攔截的配置命令：Firewall(config)# ip tcp intercept list access-list-number注意：access-list-number是已經(jīng)設(shè)置好的IP訪問(wèn)列表的編號(hào)或名稱。2設(shè)置TCP攔截模式設(shè)置TCP攔截模式的配置命令：Firewall(config)# ip tcp intercept mode intercept|watch注意：intercept是指攔截模

23、式，watch是指監(jiān)視模式。3配置路由器等待時(shí)間配置路由器等待時(shí)間的配置命令：Firewall(config)# ip tcp intercept watch-timeout seconds4配置刪除TCP半連接的閥值路由器開(kāi)始刪除連接之前能夠存在的最大半連接數(shù)：Firewall(config)#ip tcp intercept max-incomplete high number路由器停止刪除連接之前能夠存在的最大半連接數(shù)：Firewall(config)#ip tcp inercept max-incomplete low number 路由器開(kāi)始刪除連接之前每分鐘內(nèi)能存在的最大半連接數(shù)目

24、：Firewall(config)# ip tcp intercept one-minute high number 路由器停止刪除連接之前每分鐘內(nèi)能存在的最大半連接數(shù)目：Firewall(config)# ip tcp intercept one-minute low number設(shè)置路由器刪除半連接的方式：Firewall(config)# ip tcp intercept drop-mode oldest|random注意:Oldest是指刪除建立時(shí)間最早的連接， random是指隨機(jī)刪除已經(jīng)建立的連接。5查看TCP攔截信息查看TCP攔截信息的配置命令如下：Firewall# show

25、tcp intercept connections Firewall# show tcp intercept statistics9.6 網(wǎng)絡(luò)地址轉(zhuǎn)換9.6.1 NAT概述 1.保存的IP地址對(duì)于A、B、C 3類網(wǎng)絡(luò)地址都有一個(gè)網(wǎng)絡(luò)號(hào)作為保存IP范圍，它一般用在私有網(wǎng)絡(luò)內(nèi)部，并且不需申請(qǐng)。表9-4顯示的是此保存IP地址。網(wǎng)絡(luò)類型IP范圍A55B55C552.NAT中的地址配置NAT把整個(gè)網(wǎng)絡(luò)分成內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩局部，對(duì)應(yīng)出現(xiàn)相關(guān)的四個(gè)地址： 1內(nèi)部本地地址：局域網(wǎng)內(nèi)部主機(jī)擁有的一個(gè)真實(shí)地址，一般來(lái)說(shuō)是一個(gè)私有地址。2內(nèi)部全局地址：對(duì)于外部網(wǎng)絡(luò)來(lái)說(shuō)，局域網(wǎng)內(nèi)部主機(jī)所表現(xiàn)的IP地址。3外部本地地址：外部網(wǎng)絡(luò)主機(jī)的真實(shí)地址。4外部全局地址：對(duì)于內(nèi)部網(wǎng)絡(luò)來(lái)說(shuō)，外部網(wǎng)絡(luò)主機(jī)所表現(xiàn)的IP地址。3.NAT的類型1靜態(tài)NAT2動(dòng)態(tài)NAT3端口地址轉(zhuǎn)換4TCP負(fù)載均衡4.NAT配置命令1配置接口的類型：Firewall(config)#ip nat inside|outside2配置