第五講防火墻技術(shù)與應(yīng)用

回顧上章內(nèi)容上次課我們講了數(shù)字簽名及CA認證技術(shù)，它們是用于電子商務(wù)安全中心內(nèi)容六個要求中的保密性、完整性、認證性、不可否認性。機密性完整性認證性不可否認性不可拒絕性訪問控制性電子商務(wù)安全的中心內(nèi)容1/15/20231回顧上章內(nèi)容另外我們通過兩個實訓(xùn)內(nèi)容了解如何進行個人數(shù)字簽名及數(shù)字證書申請、頒發(fā)及使用。1/15/20232回顧上章內(nèi)容通過這些手段保證了電子商務(wù)中交易的真實性和不可抵賴性。但無法保證電子商務(wù)中交易所使用的計算機網(wǎng)絡(luò)安全。交易安全技術(shù)安全認證手段數(shù)字簽名、CA體系基本加密算法對稱和非對稱密算法安全應(yīng)用協(xié)議SET、SSL安全管理體系網(wǎng)絡(luò)安全技術(shù)防火墻技術(shù)病毒防范黑客的攻擊和防范WEB服務(wù)的安全法律、法規(guī)、政策1/15/20233第5章 防火墻技術(shù)與應(yīng)用本章重點：

包過濾型防火墻代理服務(wù)器型防火墻防火墻的設(shè)計與創(chuàng)建基于防火墻的安全網(wǎng)絡(luò)結(jié)構(gòu)費爾個人防火墻管理與配置

1/15/20234第5章 防火墻技術(shù)與應(yīng)用

包過濾防火墻規(guī)則的建立本章難點：

1/15/20235第5章 防火墻技術(shù)與應(yīng)用學(xué)習(xí)目標：

了解網(wǎng)絡(luò)防火墻是什么，有什么用？掌握包過濾防火墻的規(guī)則怎么建立的，有什么需要注意的地方？掌握代理服務(wù)器型防火墻工作的原理及步驟。1/15/20236第五章 防火墻技術(shù)與應(yīng)用5.1網(wǎng)絡(luò)防火墻概述5.2防火墻的類型5.3防火墻設(shè)計的安全要求與準則5.4防火墻安全體系結(jié)構(gòu)5.5創(chuàng)建防火墻步驟5.6防火墻配置實驗1/15/202375.1網(wǎng)絡(luò)防火墻概述防火墻：防火墻的本義原是指古代人們房屋之間修建的墻，這道墻可以防止火災(zāi)發(fā)生的時候蔓延到別的房屋。

1/15/202385.1網(wǎng)絡(luò)防火墻概述網(wǎng)絡(luò)防火墻：在可信和不可信網(wǎng)絡(luò)間設(shè)置的保護裝置，用于保護內(nèi)部資源免遭非法入侵。服務(wù)器內(nèi)部網(wǎng)可信網(wǎng)絡(luò)Internet不可信網(wǎng)絡(luò)1/15/202395.1.1網(wǎng)絡(luò)防火墻基本概念主機：與網(wǎng)絡(luò)系統(tǒng)相連的計算機系統(tǒng)。堡壘主機：指一個計算機系統(tǒng)，它對外部網(wǎng)絡(luò)暴露，同時又是內(nèi)部網(wǎng)絡(luò)用戶的主要連接點。雙宿主主機：又稱雙宿主機或雙穴主機，是具有兩個網(wǎng)絡(luò)接口的計算機系統(tǒng)。包：在互聯(lián)網(wǎng)上進行通信的基本上信息單位。

1/15/202310包過濾：設(shè)備對進出網(wǎng)絡(luò)的數(shù)據(jù)流（包）進行有選擇的控制與操作。通常是對從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的包進行過濾。參數(shù)網(wǎng)絡(luò)：為了增加一層安全控制，在內(nèi)部網(wǎng)與外部網(wǎng)之間增加的一個網(wǎng)絡(luò)，有時也稱為非軍事區(qū)，即DMZ（DemilitarizedZone）。

代理服務(wù)器：代表內(nèi)部網(wǎng)絡(luò)用戶與外部服務(wù)器進行信息交換的計算機（軟件）系統(tǒng)。

5.1.1網(wǎng)絡(luò)防火墻基本概念1/15/202311為什么需要防火墻？1/15/202312防火墻5.1.2網(wǎng)絡(luò)防火墻的目的與作用

1.構(gòu)建網(wǎng)絡(luò)防火墻的主要目的限制某些訪問者進入一個被嚴格控制的點。防止進攻者接近防御設(shè)備。限制某些訪問者離開一個被嚴格控制的點。檢查、篩選、過濾和屏蔽信息流中的有害服務(wù)，防止對計算機系統(tǒng)進行蓄意破壞。

衛(wèi)星發(fā)射中心1/15/2023132.網(wǎng)絡(luò)防火墻的主要作用有效地收集和記錄internet上活動和網(wǎng)絡(luò)誤用情況。

能有效隔離網(wǎng)絡(luò)中的多個網(wǎng)段，防止一個網(wǎng)段的問題傳播到另外網(wǎng)段。

防火墻作為一個防止不良現(xiàn)象發(fā)生的警察，能執(zhí)行和強化網(wǎng)絡(luò)的安全策略。

5.1.2網(wǎng)絡(luò)防火墻的目的與作用1/15/202314防火墻的局限性沒有萬能的網(wǎng)絡(luò)安全技術(shù)，防火墻也不例外。防火墻有以下三方面的局限：防火墻不能防范網(wǎng)絡(luò)內(nèi)部的攻擊。比如：防火墻無法禁止變節(jié)者或內(nèi)部間諜將敏感數(shù)據(jù)拷貝到軟盤上。防火墻也不能防范那些偽裝成超級用戶或詐稱新雇員的黑客們勸說沒有防范心理的用戶公開其口令，并授予其臨時的網(wǎng)絡(luò)訪問權(quán)限。防火墻不能防止傳送己感染病毒的軟件或文件，不能期望防火墻去對每一個文件進行掃描，查出潛在的病毒。1/15/2023155.2

防火墻的類型

防火墻的演變：第一代防火墻：包過濾，路由器；第二代防火墻：（電路層）代理防火墻，NEC公司，1989年；第三代防火墻：TIS防火墻套件，美國防部；第四代防火墻：狀態(tài)檢測技術(shù)，USC信息科學(xué)院，1992年；第五代防火墻：自適應(yīng)代理技術(shù)，NAI公司，1998年。1/15/2023165.2防火墻的類型盡管防火墻的發(fā)展經(jīng)過了將近20年，但是按照防火墻對內(nèi)外來往數(shù)據(jù)的處理方法，大致可以將防火墻分為兩大體系：

(1)包過濾型；

(2)代理服務(wù)器型；1/15/2023175.2.1包過濾型防火墻

1.工作原理包過濾器一般安裝在路由器上，工作在網(wǎng)絡(luò)層（IP）。

基于單個包實施網(wǎng)絡(luò)控制，根據(jù)所收到的數(shù)據(jù)包的源地址、目的地址等參數(shù)與訪問控制表比較來實施信息過濾。一般容許內(nèi)網(wǎng)主機直接訪問外網(wǎng)，而外網(wǎng)主機對內(nèi)網(wǎng)的訪問則要受到限制。網(wǎng)絡(luò)層是OSI參考模型的第幾層？學(xué)習(xí)重點1/15/2023182.優(yōu)缺點 優(yōu)點：簡單、方便、速度快、透明性好，對網(wǎng)絡(luò)性能影響不大。 缺點：缺乏用戶日志和審計信息,缺乏用戶論證機制，不具備審核管理，且過濾規(guī)則的完備性難以得到檢驗，復(fù)雜過濾規(guī)則的管理也比較困難。 包過濾型防火墻的安全性較差！5.2.1包過濾型防火墻1/15/2023195.2.2IP級包過濾型防火墻

1.概述

IP級包過濾又稱為動態(tài)包過濾，它工作在傳輸層，對每一報文根據(jù)報頭進行過濾，通過預(yù)定義規(guī)則對報文進行操作。 規(guī)則定義在轉(zhuǎn)發(fā)控制表中，因產(chǎn)品不同控制表格式不同，這里討論抽象的過濾規(guī)則。 1/15/2023205.2.2IP級包過濾型防火墻報文遵循自上至下的次序運用每一條規(guī)則，直到遇到與其相匹配的規(guī)則為止。操作方式有：轉(zhuǎn)發(fā)、丟棄、報錯、備忘等。根據(jù)不同實現(xiàn)方式，報文過濾可在進入或者離開防火墻時進行。1/15/202321訪問要求：

1）網(wǎng)絡(luò)/16不愿其他Internet主機訪問其站點；

2）但它的一個子網(wǎng)/24和某大學(xué)/16有合作項目，因此允許該大學(xué)訪問該子網(wǎng)；

3）然而大學(xué)中有一子網(wǎng)/24是黑客天堂，需要禁止。

學(xué)習(xí)難點防火墻規(guī)則制訂實例1/15/202322大學(xué)內(nèi)網(wǎng)子網(wǎng)進來出去注意這些規(guī)則之間并不是互斥的，因此要考慮順序。123規(guī)則順序安排原則：先特殊，后普遍學(xué)習(xí)難點進來出去內(nèi)網(wǎng) 大學(xué)黑客天堂防火墻規(guī)則制訂實例1/15/2023232.基于協(xié)議、端口的規(guī)則制定

HTTP是一個基于TCP的服務(wù)，一般使用端口80，也可使用其他非標準端口，客戶機使用任何大于1023的端口。如果防火墻允許WWW穿越網(wǎng)絡(luò)邊界，則可定義如下規(guī)則。

規(guī)則1、規(guī)則2允許外部主機訪問本站點的WWW服務(wù)器，規(guī)則3、規(guī)則4允許內(nèi)部主機訪問外部的WWW服務(wù)器。

防火墻規(guī)則制訂實例1/15/202324問題編寫防火墻規(guī)則，要求如下： 禁止除管理員（IP為0）外任何一臺計算機訪問某主機（IP為00）的終端服務(wù)（TCP端口3389）。1/15/2023255.2.3代理服務(wù)器型防火墻

1.工作原理在防火墻主機上運行代理服務(wù)進程，通過該進程代理用戶完成TCP/IP功能。針對不同的應(yīng)用均有相應(yīng)的代理服務(wù)。外網(wǎng)和內(nèi)網(wǎng)連接必須通過代理服務(wù)器中轉(zhuǎn)。代理服務(wù)可以實施用戶論證、詳細日志等功能和對具體協(xié)議及應(yīng)用的過濾。學(xué)習(xí)重點1/15/202326代理服務(wù)器有兩個部件：一個代理服務(wù)器和一個代理客戶。

代理服務(wù)器HTTPFTPTelnet…代理客戶外部網(wǎng)絡(luò)服務(wù)器發(fā)送請求轉(zhuǎn)發(fā)請求響應(yīng)請求轉(zhuǎn)發(fā)響應(yīng)5.2.3代理服務(wù)器型防火墻1/15/202327訪問湖南科大管理學(xué)院院網(wǎng)代理服務(wù)器Internet步驟（1）（1）主機A發(fā)出訪問Web站點的請求；步驟（2）（2）請求到達代理服務(wù)器，代理服務(wù)器檢查防火墻規(guī)則集，檢查數(shù)據(jù)包報頭信息和數(shù)據(jù)；主機AIP地址：代理服務(wù)器IP地址：1/15/202328訪問湖南科大管理學(xué)院院網(wǎng)步驟（3）步驟（4）代理服務(wù)器Internet步驟（1）步驟（2）（3）如果不允許該請求發(fā)出，代理服務(wù)器拒絕請求，發(fā)送ICMP消息給源主機；（4）如果允許該請求發(fā)出，代理服務(wù)器修改源IP地址，創(chuàng)建數(shù)據(jù)包；主機AIP地址：那么數(shù)據(jù)包源IP地址由改成1/15/202329訪問湖南科大管理學(xué)院院網(wǎng)步驟（3）步驟（4）步驟（5）代理服務(wù)器Internet步驟（1）（5）代理服務(wù)器將數(shù)據(jù)包發(fā)給目的計算機，數(shù)據(jù)包顯示源IP地址來自代理服務(wù)器；步驟（2）（6）返回的數(shù)據(jù)包又被發(fā)送到代理服務(wù)器。服務(wù)器再次根據(jù)防火墻規(guī)則集檢查數(shù)據(jù)包報頭信息和數(shù)據(jù)；步驟（6）1/15/202330訪問湖南科大管理學(xué)院院網(wǎng)步驟（3）步驟（4）步驟（5）步驟（8）步驟（6）步驟（7）代理服務(wù)器Internet步驟（1）步驟（2）（7）如果不允許該數(shù)據(jù)包進入內(nèi)部網(wǎng)，代理服務(wù)器丟棄該數(shù)據(jù)包，發(fā)送ICMP消息；（8）如果允許該數(shù)據(jù)包進入內(nèi)部網(wǎng)，代理服務(wù)器將它發(fā)給最先發(fā)出請求的計算機；1/15/202331訪問湖南科大管理學(xué)院院網(wǎng)步驟（3）步驟（9）步驟（4）步驟（5）步驟（8）步驟（6）步驟（7）代理服務(wù)器Internet步驟（1）步驟（2）（9）數(shù)據(jù)包到達最先發(fā)出請求的計算機，此時數(shù)據(jù)包顯示來自外部主機而不是代理服務(wù)器。1/15/2023322.優(yōu)缺點

優(yōu)點：能完全控制網(wǎng)絡(luò)信息的交換，控制會話過程，具有靈活性和安全性。

缺點：可能影響網(wǎng)絡(luò)的性能，對用戶不透明，且對每一種服務(wù)器都要設(shè)計一個代理模塊，建立對應(yīng)的網(wǎng)關(guān)層，實現(xiàn)起來比較復(fù)雜。

5.2.3代理服務(wù)器型防火墻1/15/2023335.2.4其他類型的防火墻

1．電路層網(wǎng)關(guān)

在網(wǎng)絡(luò)的傳輸層上實施訪問控制策略，是在內(nèi)、外網(wǎng)絡(luò)主機之間建立一個虛擬電路進行通信。 相當于在防火墻在直接開了個口子進行傳輸，不像應(yīng)用層防火墻那樣能嚴密的控制應(yīng)用層的信息。

1/15/2023342．混合型防火墻

把包過濾和代理服務(wù)等功能結(jié)合起來，形成新的防火墻結(jié)構(gòu)，所用主機稱堡壘主機，負責代理服務(wù)。 混合采用以下幾種技術(shù)：①動態(tài)包過濾；②內(nèi)核透明技術(shù)；③用戶認證機制；④內(nèi)容和策略感知能力；⑤內(nèi)部信息隱藏；⑥智能日志、審計和實時報警；⑦防火墻的交互操作性；⑧將各種安全技術(shù)結(jié)合等。

5.2.4其他類型的防火墻1/15/2023353．應(yīng)用層網(wǎng)關(guān)

使用專用軟件轉(zhuǎn)發(fā)和過濾特定的應(yīng)用服務(wù)，是一種代理服務(wù)。 它只允許代理的服務(wù)通過，即只有那些被認為“可依賴的”服務(wù)才允許通過防火墻。 有登記、日志、統(tǒng)計和報告等功能，并有很好的審計功能和嚴格的用戶認證功能。安全性高，但它要為每種應(yīng)用提供專門的代理服務(wù)程序。5.2.4其他類型的防火墻1/15/2023364．自適應(yīng)代理技術(shù)

可以根據(jù)用戶定義的安全策略，動態(tài)適應(yīng)傳送中的分組流量。

如果安全要求較高，則安全檢查應(yīng)在應(yīng)用層完成，以保證代理防火墻的最大安全性；一旦代理明確了會話的所有細節(jié)，其后的數(shù)據(jù)包就直接到達速度快得多的網(wǎng)絡(luò)層。該技術(shù)兼?zhèn)淞舜砑夹g(shù)的安全性和其他技術(shù)的高效率。

5.2.4其他類型的防火墻1/15/202337各種防火墻的性能比較

1/15/2023385.3防火墻設(shè)計的安全要求與準則

1.安全要求1）應(yīng)有一定冗余度，避免成為單失效點。2）能抵抗網(wǎng)絡(luò)攻擊，對網(wǎng)絡(luò)通信進行監(jiān)控和審計。3）一旦失效，應(yīng)完全阻斷內(nèi)外網(wǎng)連接。4）應(yīng)提供強制認證服務(wù)。5）對內(nèi)網(wǎng)應(yīng)屏蔽地址和拓撲結(jié)構(gòu)。1/15/2023392.基本準則

1）一切未被允許的訪問就是禁止的。 防火墻要封鎖所有的信息流，然后對希望開放的服務(wù)逐步開放。具有較高安全性，但犧牲了用戶使用方便性。

2）一切未被禁止的訪問就是允許的。

防火墻開放所有的信息流，然后逐項屏蔽有害的服務(wù)。具有靈活性，但難提供可靠安全保護。5.3防火墻設(shè)計的安全要求與準則1/15/2023405.4防火墻安全體系結(jié)構(gòu)

網(wǎng)絡(luò)防火墻的安全體系結(jié)構(gòu)基本上分5種：

（1）過濾路由器結(jié)構(gòu)；（2）雙宿主主機結(jié)構(gòu)；（3）主機過濾結(jié)構(gòu)；（4）過濾子網(wǎng)結(jié)構(gòu)；（5）吊帶式結(jié)構(gòu)等。

1/15/2023415.4.1過濾路由器防火墻結(jié)構(gòu)

在傳統(tǒng)的路由器中增加分組過濾功能。由于單機實現(xiàn)，形成了網(wǎng)絡(luò)中的“單失效點”。不是“失效—安全”型，也違反了阻塞點原理，尚不能提供有效的安全功能。1/15/2023425.4.2雙宿主主機防火墻結(jié)構(gòu)

它至少是具有兩個接口(即兩塊網(wǎng)卡)的雙宿主主機而構(gòu)成。

雙宿主主機可以提供很高程度的網(wǎng)絡(luò)控制。雙宿主主機只有用代理服務(wù)的方式或者用讓用戶每次都直接注冊到雙宿主主機上的方式，才能提供安全控制服務(wù)。

1/15/202343一般要求用戶先注冊，再通過雙宿主主機訪問另一邊的網(wǎng)絡(luò)，但由于代理服務(wù)器簡化了用戶的訪問過程，可以做到對用戶透明，屬“失效—安全”型。由單機組成的，沒有安全冗余機制仍是網(wǎng)絡(luò)的“單失效點”。5.4.2雙宿主主機防火墻結(jié)構(gòu)1/15/2023445.4.3主機過濾型防火墻結(jié)構(gòu)

1.組成結(jié)構(gòu) 由過濾路由器和運行網(wǎng)關(guān)軟件的堡壘主機構(gòu)成。提供安全保護的堡壘主機僅與內(nèi)部網(wǎng)絡(luò)相連，而過濾路由器位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。

1/15/2023452.特點可完成多種代理，還可以完成認證和交互作用，能提供完善的Internet訪問控制。

堡壘主機是網(wǎng)絡(luò)的“單失效點”，也是網(wǎng)絡(luò)黑客集中攻擊的目標，安全保障仍不理想。比雙宿主主機結(jié)構(gòu)能提供更好的安全保護區(qū)，同時也更具有可操作性。防火墻投資少，安全功能實現(xiàn)和擴充容易，因而目前應(yīng)用比較廣泛。

5.4.3主機過濾型防火墻結(jié)構(gòu)1/15/2023465.4.4子網(wǎng)過濾型防火墻結(jié)構(gòu)

1.組成結(jié)構(gòu) 在主機過濾結(jié)構(gòu)中再增加一層參數(shù)網(wǎng)絡(luò)的安全機制，使得內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間有兩層隔斷。由參數(shù)網(wǎng)絡(luò)的內(nèi)、外部路由器分別連接內(nèi)部與外部網(wǎng)絡(luò)。

1/15/2023472.特點雙重保護，內(nèi)網(wǎng)不易被攻擊。堡壘主機作為代理服務(wù)器和認證服務(wù)置于周邊網(wǎng)絡(luò)中，以維護Internet與內(nèi)部網(wǎng)絡(luò)的連接。

把前一種主機的通信功能分散到多個主機組成的網(wǎng)絡(luò)中，減少了入侵者闖入破壞的機會，是一種比較理想的安全防范模式。

5.4.4子網(wǎng)過濾型防火墻結(jié)構(gòu)1/15/2023485.4.5吊帶式防火結(jié)構(gòu)

作為代理服務(wù)器和認證服務(wù)器的網(wǎng)關(guān)主機位于周邊網(wǎng)絡(luò)中。代理服務(wù)器和認證服務(wù)器是內(nèi)部網(wǎng)絡(luò)的第一道防線，而內(nèi)部路由器是內(nèi)部網(wǎng)絡(luò)的第二道防線。1/15/202349防火墻安全體系結(jié)構(gòu)小結(jié)實踐表明，過濾路由器防火墻是最簡單的安全防范措施，雙宿主主機防火墻居中，主機過濾型防火墻和子網(wǎng)過濾型防火墻安全措施比較理想，而吊帶式防火墻安全防范措施最好，但一般在中小型企業(yè)網(wǎng)中應(yīng)用不廣泛。

1/15/2023505.5創(chuàng)建防火墻步驟

成功創(chuàng)建一個防火墻系統(tǒng)一般需要6個步驟：制定安全策略，搭建安全體系結(jié)構(gòu)，制定規(guī)則次序，落實規(guī)則集，注意更換控制和做好審計工作。建立一個可靠的規(guī)則集對于實現(xiàn)一個成功的、安全的防火墻來說是非常關(guān)鍵的。1/15/2023515.5.1制定安全策略

安全策略一般由管理人員制定，包含以下3方面內(nèi)容：

1）內(nèi)部員工訪問Internet不受限制。

2）Internet用戶有權(quán)訪問公司的Web服務(wù)器和E-mail服務(wù)器。

3）任何進入公用內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)必須經(jīng)過安全認證和加密。

1/15/2023525.5.2搭建安全體系結(jié)構(gòu)

作為一個安全管理員，需要將安全策略轉(zhuǎn)化為安全體系結(jié)構(gòu)。根據(jù)策略（2）可知外網(wǎng)用戶可訪問WEB服務(wù)器和郵件服務(wù)器。所以這些服務(wù)器是不安全的，可將它們放入DMZ區(qū)來保證安全。1/15/2023535.5.3制定規(guī)則次序

規(guī)則的次序?qū)Ψ阑饓Φ倪\轉(zhuǎn)來說是至關(guān)重要的，因為規(guī)則間可能有沖突。很多防火墻是依次檢查規(guī)則的，當發(fā)現(xiàn)與規(guī)則匹配時，就會停止檢查并應(yīng)用這條規(guī)則。 特殊的規(guī)則放前，較普通的規(guī)則放后。1/15/2023545.5.4落實規(guī)則集

選擇好素材后就可以建立規(guī)則集。一個典型的防火墻的規(guī)則集合包括12個方面。

1）切斷默認。

2）允許內(nèi)部出網(wǎng)。

3）添加鎖定，阻塞對防火墻的訪問。

4）丟棄不匹配的信息包。

5）丟棄并不記錄。

6）允許外網(wǎng)訪問內(nèi)網(wǎng)DNS。

1/15/202355

7）允許內(nèi)外網(wǎng)通過SMTP進行郵件訪問。

8）允許內(nèi)外網(wǎng)通過HTTP進行Web訪問。

9）禁止內(nèi)部用戶公開訪問DMZ區(qū)。

10）允許內(nèi)網(wǎng)通過POP協(xié)議進行郵件訪問。

11）DMZ不應(yīng)與內(nèi)網(wǎng)連接。

12）允許管理員以加密方式訪問內(nèi)部網(wǎng)絡(luò)。5.5.4落實規(guī)則集1/15/2023565.5.5注意更換控制

規(guī)則組織好后，應(yīng)該寫上注釋并經(jīng)常更新，它可以幫助理解每一條規(guī)則做什么。建議增加以下信息：

1）規(guī)則更改者的名字。

2）規(guī)則變更的日期和時間。

3）規(guī)則變更的原因。

1/15/2023575.5.6做好審計工作

建立好規(guī)則集后，應(yīng)檢測是否可以安全地工作。盡量保持規(guī)則集簡潔和簡短，因為規(guī)則越多，就越可能犯錯誤，規(guī)則越少，理解和維護就越容易。一個好的準則是最好不要超過30條。1/15/2023585.6防火墻配置實驗

防火墻有兩大類，分別為硬件防火墻與軟件防火墻。實驗主要是對這兩類防火墻的典型產(chǎn)品進行相應(yīng)的配置。硬件防火墻選用CiscoPIX防火墻，主要進行防火的配置方式、防火墻的升級、防火墻的基本操作、地址翻譯（NAT）、對主機與資源的過濾等實驗。軟件防火選用費爾個人防火墻。主要對指定的IP地址、應(yīng)用程序、端口、站點的禁用進行配置。1/15/2023595.6.1CiscoPIX防火墻的升級和初始配置

1.實訓(xùn)目的（1）熟悉CiscoPIX515防火墻的基本組成和功能，了解Console和其他基本端口；（2）了解CiscoPIX515防火墻的啟動過程；（3）掌握通過超級終端通過Console口登錄到防火墻；（4）掌握CiscoPIX515防火墻的初始化配置；（5）掌握CiscoPIX515防火墻的升級；1/15/2023602.實訓(xùn)內(nèi)容（1）熟悉CiscoPIX515防火墻的基本組成和功能；（2）觀察CiscoPIX515防火墻的啟動過程；（3）使用超級終端通過Console口登錄到防火墻；（4）CiscoPIX515防火墻的初始化配置；（5）CiscoPIX515防火墻的升級；5.6.1CiscoPIX防火墻的升級和初始配置1/15/2023613.實訓(xùn)理論基礎(chǔ)(一)CiscoPIX防火墻的介紹

CiscoPIX的防火墻在業(yè)界處于領(lǐng)先的地位，主要有以下5種型號：

CiscoPIX506

最小型號，家庭用

CiscoPIX515

中小型號，中小企業(yè)用

CiscoPIX520

大型企業(yè)

CiscoPIX525

服務(wù)提供商

CiscoPIX535

最大型號，服務(wù)提供商5.6.1CiscoPIX防火墻的升級和初始配置1/15/202362(二)CiscoPIX515防火墻帶有2個固定的10/100M以太網(wǎng)網(wǎng)卡，并帶有兩個擴展槽，最大可支持到6個以太網(wǎng)網(wǎng)卡。采用高性能的Intel處理器和嵌入式操作系統(tǒng)，其保護方案基于自適應(yīng)安全算法（ASA），可以確保最高的安全性。采用了專有的、實時的IOS，采用圖形化用戶界面配置和管理。

5.6.1CiscoPIX防火墻的升級和初始配置1/15/202363(三)相關(guān)命令

(1)nameif命令 命令nameif為PIX防火墻上的每個接口分配一個名字，并指定它的安全級別。 命令語法如下：

nameif

hardware_idif_namesecurity_level

邊界接口物理位置物理邊界接口名字安全級別（1-99）以太網(wǎng)FDDI令牌環(huán)接口5.6.1CiscoPIX防火墻的升級和初始配置1/15/202364

(2)interface命令

interface命令用以確定硬件類型，設(shè)置硬件速度，并啟用接口。 命令語法如下：

interfacehardware_idhardware_speed[shutdown]

例：interfaceethernet110basetshutdown邊界接口物理位置確定連接速度

管理性地關(guān)閉這個接口

5.6.1CiscoPIX防火墻的升級和初始配置1/15/202365

(3)ipaddress命令

ipaddress命令用以為每個接口設(shè)置IP地址和子網(wǎng)掩碼。 命令語法如下：

ipaddressif_nameip_address[netmask]

例：ipaddressethernet1 ethernet1接口名字IP地址子網(wǎng)掩碼

5.6.1CiscoPIX防火墻的升級和初始配置1/15/202366(四)管理模式CiscoPIX防火墻要使用一個特定的命令時，必須處于適當?shù)哪Ｊ?。PIX提供了四種管理訪問模式：模式提示符進入該模式命令非特權(quán)模式pixfirewall>登錄后默認模式特權(quán)模式pixfirewall#在提示符pixfirewall>下輸入enable配置模式pixfirewall(configt)#在提示符pixfirewall#下輸入configterminal監(jiān)視模式monitor>5.6.1CiscoPIX防火墻的升級和初始配置1/15/2023674.實訓(xùn)步驟(一) 觀察CiscoPIX515防火墻的組成，了解各個端口的基本功能。(二)通過TFTP下載一個CiscoPIX515映像 （1）在打開CiscoPIX515防火墻電源和啟動信息顯示后，立刻發(fā)送一個BREAK字符或按Esc鍵。提示：如果使用的是Windows95的超級終端，則可以同時按Ctrl和Break鍵以發(fā)送一個BREAK。5.6.1CiscoPIX防火墻的升級和初始配置1/15/202368（2）顯示moniter>prompt。（3）輸入一個問號（?）以列表顯示可用的命令。（4）使用接口命令以指定哪個接口可以使用Ping傳輸。如果CiscoPIX515只有兩個接口，moniter命令默認使用內(nèi)部接口。（5）使用address命令指定CiscoPIX515防火墻接口的IP地址。（6）使用server命令指定遠程服務(wù)器的IP地址。5.6.1CiscoPIX防火墻的升級和初始配置1/15/202369(三)配置CiscoPIX515防火墻（1）啟動控制臺終端：

1）用CiscoPIX515防火墻附件箱提供的串行電纜將PC機的串口和CiscoPIX515防火的控制臺端口連接。

2）單擊“開始”—“程序”—“附件”—“通訊”—“超級終端”。

3）雙擊“Hypertrm.exe”啟動超級終端。

4）輸入連接名PIX-515，單擊“確定”按鈕。5.6.1CiscoPIX防火墻的升級和初始配置1/15/202370

5）在“連接到”窗口選擇“直接連接到串口COM1”。

6）在COM1屬性對話框進行以下設(shè)置并單擊“確定”按鈕。 比特率：9600b/s；數(shù)據(jù)位：8；奇偶校驗：無；停止位：1；流量控制：硬件

7）窗口將顯示防火墻啟動信息。

8）單擊“文件→保存”，保存當前設(shè)置。

9）退出當前窗口。5.6.1CiscoPIX防火墻的升級和初始配置1/15/202371（2）進入CiscoPIX515防火墻的配置模式。

1）啟動超級終端CiscoPIX515。

2）啟動消息出現(xiàn)后，提示正使用非授權(quán)模式。

3）輸入enable，按回車鍵。

4）出現(xiàn)password，按回車鍵。

5）進入授權(quán)模式，輸入configureterminal，進入配置模式。5.6.1CiscoPIX防火墻的升級和初始配置1/15/202372（3）標識每個接口?？梢允褂胣ameif命令給每個接口命名，對于2接口的CiscoPIX515防火墻，可以不必輸入任何信息。（4）給內(nèi)部接口定義IP地址：

ipaddressinside（5）配置以太網(wǎng)接口

interfaceethernet0auto interfaceethernet1auto5.6.1CiscoPIX防火墻的升級和初始配置1/15/2023735.實訓(xùn)思考題（1）觀察防火墻的基本結(jié)構(gòu)，描述防火墻的各個接品及功能。（2）簡述nameif

、ipaddress、interface等三個命令。（3）簡述防火墻的主要功能和幾種類型。（4）簡述防火墻的幾種基本配置方式。

5.6.1CiscoPIX防火墻的升級和初始配置1/15/2023745.6.2CiscoPIX防火墻網(wǎng)絡(luò)地址翻譯配置在PIX防火墻上設(shè)置地址翻譯（NAT）時,可以有兩種選擇。

靜態(tài)地址翻譯：內(nèi)部地址可以被翻譯成一個指定的全局地址。

動態(tài)地址翻譯：在數(shù)據(jù)穿越PIX防火墻時，將內(nèi)部地址翻譯到一個全局地址池中的某個地址。1/15/2023751.實訓(xùn)目的（1）理解防火墻靜態(tài)、動態(tài)地址翻譯原理。（2）掌握相關(guān)的配置命令。（3）掌握靜態(tài)地址翻譯與動態(tài)地址翻譯的配置方法。2.實訓(xùn)內(nèi)容（1）靜態(tài)地址翻譯配置。（2）動態(tài)地址翻譯配置。5.6.2CiscoPIX防火墻網(wǎng)絡(luò)地址翻譯配置1/15/2023763.實訓(xùn)理論基礎(chǔ)(一).靜態(tài)地址翻譯

如果每次通過PIX防火墻建立一個向外的會話時,要求同一臺主機都被翻譯成相同的地址,就需要采用靜態(tài)地址翻譯。本地地址：分配給內(nèi)部主機的地址。全局地址：本地地址將被翻譯成的地址。外部地址：一臺外部主機上的IP地址。

5.6.2CiscoPIX防火墻網(wǎng)絡(luò)地址翻譯配置1/15/202377static命令的語法，如下所示：

static[(internal_if_name，external_if_name)]global_ip

local_ip[netmasknetwork_mask][max_conns[em_limit]][norandomseq]

內(nèi)部網(wǎng)絡(luò)接口名稱外部網(wǎng)絡(luò)接口名稱全局IP地址

本地IP地址

網(wǎng)絡(luò)掩碼

保留字

最大連接數(shù)

未完成連接限制數(shù)

隨機化處理TCP/IP數(shù)據(jù)包的序列號1/15/202378(二).動態(tài)地址翻譯

用來將一段本地地址范圍翻譯成一段全局地址范圍，或者一個全局地址。 采用NAT的動態(tài)地址翻譯，必須用NAT命令來定義本地主機，用global命令定義全局地址池。根據(jù)用nat命令選擇的nat_id，在輸出接口上選擇用于地址翻譯的全局地址池。 用戶指定的IP全局地址池的數(shù)量可以多達256個。

5.6.2CiscoPIX防火墻網(wǎng)絡(luò)地址翻譯配置1/15/202379(三).相關(guān)命令

(1)nat命令 網(wǎng)絡(luò)地址翻譯讓用戶能夠保持內(nèi)部IP地址對于外部網(wǎng)絡(luò)是未知的。 除了nat0以外，nat

命令總是與global命令一起使用。

nat命令的語法如下：

nat(if_name)nat_id

local_ip[netmask]

全局地址池

內(nèi)部網(wǎng)絡(luò)接口名5.6.2CiscoPIX防火墻網(wǎng)絡(luò)地址翻譯配置1/15/202380 剛開始配置PIX防火墻時，可以用nat

命令，允許所有的內(nèi)部主機向外進行連接訪問?？梢杂?代替。

(2)global命令 用來定義源地址將要翻譯成的地址或地址范圍。命令語法如下：

global(if_name)nat_idinterface|global_ip[-global_ip][netmaskglobal_mask]

5.6.2CiscoPIX防火墻網(wǎng)絡(luò)地址翻譯配置1/15/202381NAT翻譯過程：源地址翻譯表增加表項刪除表項5.6.2CiscoPIX防火墻網(wǎng)絡(luò)地址翻譯配置1/15/202382 如果使用nat命令，必須對伴隨的global命令進行配置，來定義翻譯IP地址池。為了刪除一個全局表項，可用使用命令noglobal。

例：noglobal[outside]10 -54netmask

注意：PIX防火墻從全局地址池中分配地址的方式是，從由global命令所指定范圍的低端向高端進行分配。 在增加、改變或刪除一條global命令語句后，應(yīng)使用clearxlate命令來清除所有的翻譯槽位，并使全局IP地址在翻譯表中可用。5.6.2CiscoPIX防火墻網(wǎng)絡(luò)地址翻譯配置1/15/202383

(3)route命令

route命令為接口定義一條靜態(tài)路由。Route命令語句可以具有一個具體的目的地，或者可以產(chǎn)生一條缺省的靜態(tài)路由。其具體命令語法如下：

routeif_nameip_address

metmask

gateway_ip[metric]

如果在內(nèi)部存在多個網(wǎng)絡(luò)，那么將需要配置一條以上的route命令。內(nèi)部網(wǎng)絡(luò)接口名

網(wǎng)關(guān)路由器IP

跳數(shù)

5.6.2CiscoPIX防火墻網(wǎng)絡(luò)地址翻譯配置1/15/2023844.實訓(xùn)步驟(一).靜態(tài)地址翻譯

(1) 根據(jù)圖示連接網(wǎng)絡(luò)設(shè)置。為全局地址，內(nèi)部主機地址為0。5.6.2CiscoPIX防火墻網(wǎng)絡(luò)地址翻譯配置1/15/202385(2)按照下面信息配置防火墻nameifethernet0outsidesecutity0nameifethernet1outsidesecutity1000interfaceethernet0autointerfaceethernet1autoipaddressoutsideipaddressinside

static(inside,outside)010

防火墻初始配置靜態(tài)翻譯設(shè)置5.6.2CiscoPIX防火墻網(wǎng)絡(luò)地址翻譯配置1/15/202386(二).動態(tài)地址翻譯

(1)

首先，根據(jù)圖示連接網(wǎng)絡(luò)設(shè)置。它有外部IP地址范圍6-5，PIXFirewall的內(nèi)部IP范圍為：~0，5.6.2CiscoPIX防火墻網(wǎng)絡(luò)地址翻譯配置1/15/202387(2)按照下面信息配置防火墻nameifethernet0outsidesecurity0nameifethernet1outsidesecurity1000interfaceethernet0autointerfaceethernet1autoipaddressoutsideipaddressinside防火墻初始配置5.6.2CiscoPIX防火墻網(wǎng)絡(luò)地址翻譯配置1/15/202388arptimeout14400nat(inside)100global(outside)16-5global(outside)15noripinsidedefaultnoripinsidepassivenoripoutsidedefaultnoripoutsidepassive

網(wǎng)絡(luò)地址翻譯翻譯成的外部地址范圍5.6.2CiscoPIX防火墻網(wǎng)絡(luò)地址翻譯配置1/15/202389routeoutside1timeoutxlate3:00:00conn1:00:00halfclosed0:10:00udp0:02:00timeoutrpc0:10:00h3230:05:00timeoutuauth0:05:00absoluteconduitpermiticmpanyanynosnmp-serverlocationnosnmp-servercontact為所有內(nèi)部IP指定靜態(tài)路由超時限制5.6.2CiscoPIX防火墻網(wǎng)絡(luò)地址翻譯配置1/15/202390snmp-servercommunitypublictelnet0055telnettimeout15mtuoutside1500mtuinside15005.6.2CiscoPIX防火墻網(wǎng)絡(luò)地址翻譯配置1/15/2023915.實訓(xùn)思考題（1）簡述靜態(tài)、動態(tài)地址翻譯的原理。（2）比較靜態(tài)地址翻譯與動態(tài)地址翻譯的區(qū)別。（3）采用地址翻譯的有什么優(yōu)點？5.6.2CiscoPIX防火墻網(wǎng)絡(luò)地址翻譯配置1/15/2023925.6.3CiscoPIX防火墻外部訪問內(nèi)部配置

1.實訓(xùn)目的（1）掌握防火墻的管道功能。（2）掌握防火墻的訪問的過濾功能。（3）掌握防火墻的IP綁定功能。2.實訓(xùn)內(nèi)容

（1）通過管道外部主機對內(nèi)部指定主機的訪問。（2）對內(nèi)部主機訪問Internet上的敏感主機和資源的控制。（3）防火墻IP的綁定的實現(xiàn)。1/15/2023933.實訓(xùn)理論基礎(chǔ)(一).靜態(tài)翻譯和管道命令

目前大多數(shù)連接均是從內(nèi)部到外部的訪問，然后還是有一些需求要從外部到內(nèi)部的訪問的。

怎么辦？可以采用conduit命令來建立這樣的通道。另外還需要用static命令來建立本地IP和全局IP之間的永久的靜態(tài)鏈接。

5.6.3CiscoPIX防火墻外部訪問內(nèi)部配置1/15/202394(二)static命令

在一個本地IP地址和一個全局IP地址之間，創(chuàng)建一個永久映射。Static命令語句優(yōu)先于nat和global命令組。 可以使用showstatic命令來顯示PIX防火墻配置中的static命令語句。(三).conduit命令

conduit命令可以以一種通用或者具體的方式使用。如：按HTTP協(xié)議訪問。5.6.3CiscoPIX防火墻外部訪問內(nèi)部配置1/15/202395conduit命令的語法如下：conduitpermit|denyprotocolglobal_ipglobal_mask[operatorport[port]]foreign_ipforeign_mask[operatorport[port]]

允許|不允許傳輸協(xié)議外部IP地址比較運算符端口或者端口范圍5.6.3CiscoPIX防火墻外部訪問內(nèi)部配置1/15/2023964.實訓(xùn)步驟

首先，根據(jù)圖示連接網(wǎng)絡(luò)設(shè)置。它有IP地址范圍28~91，有E—mail、WWW、FTP等服務(wù)器，PIXFirewall的內(nèi)部虛IP范圍為：~55.6.3CiscoPIX防火墻外部訪問內(nèi)部配置1/15/202397（1）對資源主機的訪問控制 對于內(nèi)部的服務(wù)器可利用管道使外部可訪問它們，但必須限制對它們的訪問，以獲得最大的安全性?？膳渲萌缦拢簊tatic(inside,outside)29conduitpermittcphost29eq

wwwany static(inside,outside)295.6.3CiscoPIX防火墻外部訪問內(nèi)部配置1/15/202398conduitpermittcphost29eq

smtpanystatic(inside,outside)29 conduitpermittcphost29eq

ftpany（2）對Internet上的的主機和資源的控制 對Internet上敏感資源，可以控制內(nèi)網(wǎng)對其的訪問。5.6.3CiscoPIX防火墻外部訪問內(nèi)部配置1/15/202399例1：控制內(nèi)部網(wǎng)絡(luò)對外部主機1的訪問。配置如下：outbound10deny155wwwtcpapply(inside)10outgoing_dest

例2：對內(nèi)部主機

，可以禁止它使用WWW方式訪問外部網(wǎng)絡(luò)，配置如下：outbound10deny55wwwtcpapply(inside)20outgoing_src

5.6.3CiscoPIX防火墻外部訪問內(nèi)部配置1/15/2023100（3）防范內(nèi)部網(wǎng)絡(luò)的非法IP和MAC地址 由于IP地址可被隨意篡改，易造成非法的訪問?？墒褂肁RP命令將IP地址和MAC地址綁定，防止IP地址盜用。

例：將主機IP地址與其MAC地址00e0.1e40.2a7c綁定，配置如下：

arpinside 00e0.1e40.2a7calias

wrm5.6.3CiscoPIX防火墻外部訪問內(nèi)部配置1/15/20231015.實訓(xùn)思考題（1）什么是管道，它有什么功能？（2）如何實現(xiàn)對內(nèi)部主機訪問外部資源的控制？（3）IP地址綁定有什么作用？如何綁定？5.6.3CiscoPIX防火墻外部訪問內(nèi)部配置1/15/20231025.6.4費爾個人防火配置與管理

費爾個人防火墻具有專業(yè)級的強大功能、個性化的設(shè)計理念、個人網(wǎng)絡(luò)安全工具的首選?？蓪χ付☉?yīng)用程序、系統(tǒng)開放端口進行監(jiān)聽和控制。還可對一些站點進行過濾，對指定IP進行屏蔽。1/15/20231031.實訓(xùn)目的（1）掌握軟件防火的使用與管理。（2）掌握對指定站點、應(yīng)用程序、指定地址、指定端口的禁用實現(xiàn)。（3）掌握防火墻的各個模塊的功能以及實現(xiàn)。2.實訓(xùn)內(nèi)容

（1）費爾防火墻的各個