防火墙基础知识与配置
防火墙技术是安全技术中的一个具体体现。防火墙原本是指房屋之间修建的一道墙,用以防止火灾发生时的火势蔓延。我们这里讨论的是硬件防火墙,它是将各种安全技术融合在一起,采用专用的硬件结构,选用高速的CPU、嵌入式的操作系统,支持各种高速接口(LAN接口),用来保护私有网络(计算机)的安全,这样的设备我们称为硬件防火墙。硬件防火墙可以独立于操作系统(HP-UNIX、SUN OS、AIX、NT等)、计算机设备(IBM6000、普通PC等)运行。它用来集中解决网络安全问题,可以适合各种场合,同时能够提供高效率的“过滤”。同时它可以提供包括访问控制、身份验证、数据加密、VPN技术、地址转换等安全特性,用户可以根据自己的网络环境的需要配置复杂的安全策略,阻止一些非法的访问,保护自己的网络安全。
现代的防火墙体系不应该只是一个“入口的屏障”,防火墙应该是几个网络的接入控制点,所有进出被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进出的关口,因此防火墙不但可以保护内部网络在Internet中的安全,同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络内部中,所有的计算机之间是被认为“可信任的”,它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定的“策略”进行访问。
防火墙发展至今已经历经三代,分类方法也各式各样,例如按照形态划分可以分为硬件防火墙及软件防火墙;按照保护对象划分可以分为单机防火墙及网络防火墙等。但总的来说,最主流的划分方法是按照处理方式进行分类。
防火墙按照处理方式可以分为以下三类:
包过滤防火墙
包过滤是指在网络层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是:通过配置访问控制列表(ACL, Access Control List)实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。
包过滤防火墙的设计简单,非常易于实现,而且价格便宜。
包过滤防火墙的缺点主要表现以下几点:
1. 随着ACL 复杂度和长度的增加,其过滤性能呈指数下降趋势。
2. 静态的ACL 规则难以适应动态的安全要求。
3. 包过滤不检查会话状态也不分析数据,这很容易让黑客蒙混过关。例如,攻击者可以使用假冒地址进行欺骗,通过把自己主机IP地址设成一个合法主机IP地址,就能很轻易地通过报文过滤器。
代理防火墙
代理服务作用于网络的应用层,其实质是把内部网络和外部网络用户之间直接进行的业务由代理接管。代理检查来自用户的请求,用户通过安全策略检查后,该防火墙将代表外部用户与真正的服务器建立连接,转发外部用户请求,并将真正服务器返回的响应回送给外部用户。
代理防火墙能够完全控制网络信息的交换,控制会话过程,具有较高的安全性。其缺点主要表现在:
1. 软件实现限制了处理速度,易于遭受拒绝服务攻击。
2. 需要针对每一种协议开发应用层代理,开发周期长,而且升级很困难。
状态检测防火墙
状态检测是包过滤技术的扩展。基于连接状态的包过滤在进行数据包的检查时,将每个数据包看成是独立单元,并且还要考虑前后报文的历史关联性。我们知道,所有基于可靠连接的数据流(即基于TCP协议的数据流)的建立都需要经过“客户端同步请求”、“服务器应答”以及“客户端再应答”三个过程(即“三次握手”过程),这说明每个数据包都不是独立存在的,而是前后有着密切的状态联系的。基于这种状态联系,从而发展出状态检测技术。
基本原理简述如下:
1. 状态检测防火墙使用各种会话表来追踪激活的TCP(Transmission Control Protocol)会话和UDP(User Datagram Protocol)伪会话,由访问控制列表决定建立哪些会话,数据包只有与会话相关联时才会被转发。其中UDP伪会话是在处理UDP协议包时为该UDP数据流建立虚拟连接(UDP是面对无连接的协议),以对UDP 连接过程进行状态监控的会话。
2. 状态检测防火墙在网络层截获数据包,然后从各应用层提取出安全策略所需要的状态信息,并保存到会话表中,通过分析这些会话表和与该数据包有关的后续连接请求来做出恰当决定。
状态检测防火墙具有以下优点:
后续数据包处理性能优异
状态检测防火墙对数据包进行ACL 检查的同时,可以将数据流连接状态记录下来,对该数据流中的后续包则无需再进行ACL检查,只需根据会话表对新收到的报文进行连接记录检查即可。检查通过后,该连接状态记录将被刷新,从而避免重复检查具有相同连接状态的数据包。连接会话表里的记录可以随意排列,与记录固定排列的ACL 不同,于是状态检测防火墙可采用诸如二叉树或哈希(Hash)等算法进行快速搜索,提高了系统的传输效率。
安全性较高
连接状态清单是动态管理的。会话完成后防火墙上所创建的临时返回报文入口随即关闭,保障了内部网络的实时安全。同时,状态检测防火墙采用实时连接状态监控技术,通过在会话表中识别诸如应答响应等连接状态因素,增强了系统的安全性。
安全区域(Zone)是防火墙所引入的一个在安全领域方面的概念,是防火墙区别于路由器的主要特征。安全区域是一个或多个接口的组合,不同安全区域具有互不相同的安全级别。
对于路由器,各个接口所连接的网络在安全上可以视为是平等的,没有明显的内外之分,所以即使进行一定程度的安全检查,也是在接口上完成的。一个数据流单方向通过路由器时有可能需要进行两次安全策略的检查:入接口的安全检查和出接口的安全检查,以便使其符合每个接口上独立的安全定义。而这种思路对于防火墙来说显然不适合,因为防火墙放置于内部网络和外部网络之间,可以保护内部网络不受外部网络上恶意用户的侵害,有着明确的内外之分。
当一个数据流通过防火墙的时候,根据其发起方向的不同,所引起的操作是截然不同的。由于这种安全级别上的差别,采用在接口上检查安全策略的方式已经不适用,将造成用户在配置上的混乱。因此,防火墙提出了安全区域的概念。
一个安全区域包括一个或多个接口的组合,具有一个安全级别。
安全区域有如下特点:
1. 安全级别用1~100的数值表示,数值越大表示安全级别越高。
2. 不存在两个具有相同安全级别的安全区域。
幻灯片 11
只有当数据在分属于两个不同安全级别的区域(或区域包含的接口)之间流动的时候,才会激活防火墙的安全策略检查功能。数据在属于同一个安全区域的不同接口间流动时不会触发安全策略检查。
业界很多防火墙一般都提供受信安全区域(trust)、非受信安全区域(untrust)、非军事化区域(DMZ)三个独立的安全区域,这样的保护模型可以适应大部分的组网要求。其中DMZ 这一术语起源于军方,指的是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的区域。该区域可以放置需要对外提供网络服务的设备,如WWW Server、FTP Server 等。DMZ 区域很好地解决了服务器的放置问题。上述服务器如果放置于外部网络,则防火墙无法保障它们的安全;如果放置于内部网络,外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络。
华为赛门铁克防火墙缺省提供四个安全区域:local(优先级为100)、trust(优先级为85)、DMZ(优先级为50)、untrust(优先级为5),在提供三个最常用的安全逻辑区域的基础上还新增加了本地逻辑安全区域(local),本地安全区域可以定义到防火墙本身的报文,保证了防火墙本身的安全防护,使得对防火墙本身的安全保护得到加强。例如,通过对本地安全区域的报文控制,可以很容易的防止不安全区域对防火墙本身的Telnet、ftp等访问。在一些安全策略要求较高的场合,这样的保护模型可能还是不能满足要求,因此华为赛门铁克防火墙还提供自定义安全区域,可以最大定义12个自定义安全区域,每个安全区域都可以加入独立的接口。
接口、网络与安全区域的关系
接口与安全区域的关系
一个安全区域可以包括一个或多个接口,具有一个安全级别。除Local区域外,使用其他安全区域前,都需要将安全区域分别与防火墙的特定接口关联,即将接口加入安全区域,这代表接口所连接的网络属于指定的安全区域。另外,Local 区域不能添加任何接口,但防火墙接口本身都属于Local区域。
网络与安全区域的关系
安全区域与各网络的关联遵循如下原则:
1. 需要保护的网络应安排在安全级别较高的区域,如Trust区域。
2. 外部网络应安排在安全级别较低的区域,如Untrust区域。
3. 对外提供有条件服务的网络应安排在中等安全级别的区域,如DMZ区域。
安全区域之间的方向
两个安全区域之间(简称安全域间)的数据流分两个方向:入方向(Inbound)以及出方向(Outbound)。入方向是指数据由低安全级别的安全区域向高安全级别的安全区域传输的方向。反之,出方向是指数据由高安全级别的安全区域向低安全级别的安全区域传输的方向。不同安全级别的安全区域间的数据流动都将触发防火墙进行安全策略的检查。如果事先为同一安全域间的不同方向设置不同的安全策略,当有数据流在此安全域间的两个不同方向上流动时,将触发不同的安全策略检查。
幻灯片 12
ASPF是一种高级通信过滤技术,它检查应用层协议信息并且监控基于连接的应用层协议状态。支持该技术的高级防火墙依靠这种基于报文内容的访问控制,能够对应用层的一部分攻击加以检测和防范,包括对于FTP命令字、SMTP命令的检测、HTTP的Java、ActiveX控件等的检测及过滤。
另外,ASPF技术还可以解决多通道协议引起的过滤问题。多通道协议是指某个应用在进行通讯或提供服务时需要建立两个以上的会话(通道),其中有一个控制通道,其他的通道是根据控制通道中双方协商的信息动态创建的,一般我们称之为数据通道或子通道;多通道协议在防火墙应用以及NAT设备的应用中需要特殊处理,因为数据通道的端口是不固定的(协商出来的)其报文方向也是不固定的。这种典型应用有很多,最典型的是ftp,其他的一般都是跟音频和视频通讯相关的协议,如:H.323(包括T.120、RAS、Q.931和H.245等)、SIP、MGCP等,此外许多实时聊天通讯软件也是多通道协议的,如MSN,QQ等。
在普通的场合,一般使用的是基于ACL的IP包过滤技术,这种技术比较简单,但缺乏一定的灵活性,在很多复杂应用的场合普通包过滤是无法完成对网络的安全保护的。例如对于类似于应用FTP协议进行通信的多通道协议来说,配置防火墙则是非常困难的。FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道,对于一般的包过滤防火墙来说,配置安全策略时无法预知数据通道的端口号,因此无法确定数据通道的入口,这样就无法配置准确的安全策略。ASPF技术则解决了这一问题,它检测IP层之上的应用层报文信息,并动态地根据报文的内容
创建和删除临时的规则,以允许相关的报文通过。对于这种多通道协议,ASPF通过动态创建Servmap表项保证该多通道协议应用的正常。
如图所示,Servermap表项主要是由目的地址、目的端口、协议类型组成。这样的一个表项表示,目的地址为192.168.0.1,目的端口号为4952的FTP数据报文将被允许通过,老化时间为1分钟,在47秒后该表项将老化并被删除。
当前业界主流防火墙都支持路由模式以及透明模式两种工作模式,华为赛门铁克防火墙还支持混合模式。
路由模式
如果防火墙通过网络层对外连接(接口具有IP地址),则认为防火墙在路由模式下工作。
当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络相连的接口分别配置成不同网段的IP地址,并重新规划原有的网络拓扑。防火墙在内部网络、外部网络中负责路由寻址的功能。
如图所示,防火墙的Trust区域接口与企业内部网络相连,Untrust区域接口与外部网络相连。Trust区域接口和Untrust区域接口分别处于两个不同的子网中。
在路由模式时,防火墙支持ACL 包过滤、ASPF 动态过滤、NAT转换等功能。然而,在采用路由模式时,网络管理员需要修改网络拓扑,例如,内部网络用户需要更改网关,路由器需要更改路由配置等。
防火墙透明模式
如果防火墙通过数据链路层对外连接(接口无IP地址),则认为防火墙在透明模式下工作。
如果防火墙在透明模式下工作,则可以避免改变拓扑结构造成的麻烦。采用透明模式时,只需在网络中像放置网桥(Bridge)一样串入防火墙即可,无需修改任何已有的配置。IP报文同样会经过相关的过滤检查,内部网络用户依旧受到防火墙的保护。
在透明模式下,防火墙不能进行路由寻址,连在一起的两个网络必须在同一个网段中。即在图中,防火墙的Trust区域接口与企业内部网络相连,Untrust区域接口与外部网络相连,与防火墙直连的接口必须处于同一个网段。
混合模式
如果防火墙既存在工作在路由模式的接口(接口具有IP地址),又存在工作在透明模式的接口(接口无IP地址),则认为防火墙在混合模式下工作。混合模式主要用于透明模式作双机备份的情况,在此不做深究。
防火墙的主要类型
防火墙的主要类型 按照防火墙实现技术的不同可以将防火墙为以下几种主要的类型。 1.包过滤防火墙 数据包过滤是指在网络层对数据包进行分析、选择和过滤。选择的数据是系统内设置的访问控制表(又叫规则表),规则表制定允许哪些类型的数据包可以流入或流出内部网络。通过检查数据流中每一个IP数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。包过滤防火墙一般可以直接集成在路由器上,在进行路由选择的同时完成数据包的选择与过滤,也可以由一台单独的计算机来完成数据包的过滤。 数据包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用,网络性能和通明度好,广泛地用于Cisco 和Sonic System等公司的路由器上。缺点是配置困难,容易出现漏洞,而且为特定服务开放的端口存在着潜在的危险。 例如:“天网个人防火墙”就属于包过滤类型防火墙,根据系统预先设定的过滤规则以及用户自己设置的过滤规则来对网络数据的流动情况进行分析、监控和管理,有效地提高了计算机的抗攻击能力。 2、应用代理防火墙
应用代理防火墙能够将所有跨越防火墙的网络通信链路分为两段,使得网络内部的客户不直接与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。有点是外部计算机的网络链路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用;缺点是执行速度慢,操作系统容易遭到攻击。 代理服务在实际应用中比较普遍,如学校校园网的代理服务器一端接入Internet,另一端介入内部网,在代理服务器上安装一个实现代理服务的软件,如WinGate Pro、Microsoft Proxy Server等,就能起到防火墙的作用。 3、状态检测防火墙 状态检测防火墙又叫动态包过滤防火墙。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用状态有关的信息。一次作为数据来决定该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查,一旦发现任何连接的参数有意外变化,该连接就被终止。 状态检测防火墙克服了包过滤防火墙和应用代理防火墙的局限性,能够根据协议、端口及IP数据包的源地址、目的地址的具体情况来决定数据包是否可以通过。 在实际使用中,一般综合采用以上几种技术,使防火墙产品能够满足对安全性、高效性、
防火墙基础
一、防火墙概述 1. 防火墙概述 防火墙的主要作用是划分网络安全边界,实现关键系统与外部环境的安全隔离,保护内部网络免受外部攻击。 与路由器相比防火墙提供了更丰富的安全防御策略,提高了安全策略下数据报转发速率。 由于防火墙用于安全边界,因此往往兼备NAT、VPN等功能,并且在这方面的相比路由器更加强劲。 我司防火墙:Eudemon系列 2. 防火墙分类 包过滤防火墙(Packet Filtering)包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。包过滤防火墙简单,但是缺乏灵活性,对一些动态协商端口没有办法设置规则。另外包过滤防火墙每个包
都需要进行策略检查,策略过多会导致性能急剧下降。 代理型防火墙(application gateway) 代理型防火墙使得防火墙做为一个访问的中间节点,对客户端来说防火墙是一个服务器,对服务器来说防火墙是一个客户端。代理型防火墙安全性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。 状态检测防火墙 状态检测是一种高级通信过滤,它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品都为状态检测防火墙 二、防火墙的基础知识点 1. 安全区域(Zone)的概念 安全区域(Security Zone),或者简称为区域(Zone),是一个安全概念,大部分的安全策略都基于安全区域实施。我们在防火墙上创建安全区域,并且定义该安全去区域的安全级别,然后将防火墙的接口关联到一个安全区域,那么该接口所连接的这个网络,就属于这个安全区域。属于同一个安全区域的用户具有相同的安全属性。 Eudemon认为在同一安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略。
链接-防火墙的分类
防火墙FIREWALL类型 目前市场的防火墙产品非常之多,划分的标准也比较杂。主要分类如下: 1. 从软、硬件形式上分为 软件防火墙和硬件防火墙以及芯片级防火墙。 (1):软件防火墙 软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。 防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint、天网防火墙Sky Net FireWall。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。 (2):硬件防火墙 这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC 架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。 传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。 (3):芯片级防火墙 芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。 2. 从防火墙技术分为 “包过滤型”和“应用代理型”两大类。 防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用代理型”两大类。“包过滤型”以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,“应用代理型”以美国NAI公司的Gauntlet防火墙为代表。 (1). 包过滤(Packet filtering)型 包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。 包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务 采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能, 所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要 求。
防火墙配置模式
前言 3 一、防火墙的概况、应用及功能 3 1.1 防火墙的定义 3 1.2防火墙的种类 4 1.2.2网络层防火墙 4 1.2.2应用层防火墙 4 1.2.3数据库防火墙 5 1.3 防火墙的功能 5 二、使用设置 5 2.1使用习惯 6 2.1.1所有防火墙文件规则必须更改 6 2.1 .2以最小的权限安装所有的访问规则 6 2.1.3 根据法规协议和更改需求来校验每项防火墙的更改 6 2.1.4当服务过期后从防火墙规则中删除无用的规则 7 2.2配置 7 2.3工作模式 8 2.3.1 透明网桥模式 8 2.3.1.1适用环境 9 2.3.1.2组网实例 9 2.3.2 路由模式 10 2.3.2.1适用环境 11 2.3.2.2NAT(网络地址转换) 11 2.3.2.3组网实例 12 三、总结 13
一、前言 随着计算机的日益发展,计算机早已深入到各个领域,计算机网络已无处不在。而internet的飞速发展,使计算机网络资源共享进一步加强。随之而来的安全问题也日益突出。在人们对网络的优越性还没有完全接受的时候,黑客攻击开始肆虐全球的各大网站;而病毒制造者们也在各显其能,从CIH到爱虫.中毒者不计其数。一般认为,计算机网络系统的安全威胁主要来自黑客的攻击、计算机病毒和拒绝服务攻击三个方面。目前,人们也开始重视来自网络内部的安全威胁。我们可以通过很多网络工具、设备和策略来为我们的网络提供安全防护。其中防火墙是运用非常广泛和效果最好的选择。然而购买了防火墙设备,却不是仅仅装上了硬件就能发挥作用的,而是需要根据你的网络结构和需求在合适的工作模式下配置相应的安全策略,才能满足你的安全需求。由此引出的问题和解决办法就是本文的主要研究对象。 一、防火墙的概况、应用及功能 1、防火墙的定义 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。 在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)
防火墙基础知识
防火墙基础知识 3.3 包过滤包过滤技术(Ip Filtering or packet filtering) 的原理在于监视并过滤网络上流入流出的Ip包,拒绝发送可疑的包。由于Internet 与Intranet 的连接多数都要使用路由器,所以Router成为内外通信的必经端口,Router的厂商在Router上加入IP Filtering 功能,这样的Router也就成为Screening Router 或称为Circuit-level gateway. 网络专家Steven.M.Bellovin认为这种Firewall 应该是足够安全的,但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的,因而在安全要求较高的场合,通常还配合使用其它的技术来加强安全性。Router 逐一审查每份数据包以判定它是否与其它包过滤规则相匹配。(注:只检查包头的内容,不理会包内的正文信息内容) 过滤规则以用于IP顺行处理的包头信息为基础。包头信息包括: IP 源地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配,且规则允许这包,这一包则根据路由表中的信息前行。如果找到一个匹配,且规则允许拒绝此包,这一包则被舍弃。如果无匹配规则,一个用户配置的缺省参数将决定此包是前行还是被舍弃。*从属服务的过滤包过滤规则允许Router取舍以一个特殊服务为基
础的信息流,因为大多数服务检测器驻留于众所周知的TCP/UDP端口。例如,Telnet Service 为TCP port 23端口等待远程连接,而SMTP Service为TCP Port 25端口等待输入连接。如要封锁输入Telnet 、SMTP的连接,则Router 舍弃端口值为23,25的所有的数据包。典型的过滤规则有以下几种: .允许特定名单内的内部主机进行Telnet输入对话 .只允许特定名单内的内部主机进行FTP输入对话 .只允许所有Telnet 输出对话 .只允许所有FTP 输出对话 .拒绝来自一些特定外部网络的所有输入信息* 独立于服务的过滤 有些类型的攻击很难用基本包头信息加以鉴别,因为这些独立于服务。一些Router可以用来防止这类攻击,但过滤规则需要增加一些信息,而这些信息只有通过以下方式才能获
防火墙的基本配置原则
本篇要为大家介绍一些实用的知识,那就是如何配置防火中的安全策略。但要注意的是,防火墙的具体配置方法也不是千篇一律的,不要说不同品牌,就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。 一. 防火墙的基本配置原则 默认情况下,所有的防火墙都是按以下两种情况配置的: ?拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 ?允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3 和SMTP 的进程。 在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则:(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。 (2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。 3). 内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境
东软防火墙配置过程
(一)初始化设备 1)初始化配置步骤: 1.用超级终端通过串口控制台连接(RJ-45 null-modem 线缆)来完成初始配置。完成初始配置后,可不再使用控制台。 2.打开NetEye 设备的电源开关。 3.终端控制台将显示如下提示: LILO 2 bootmgr Press key '2' to enter BOOTMGR command mode 该提示信息将显示约5 秒钟,在此期间输入1 并按回车。 4.配置设备。 Config the firewall or quit (y/n)(n)y 5.修改主机名。 Please input the host name for this system Host name:
(2) Chinese Please input a choice[1-2,q](2) <1、2 或q> 选择2,中文,回车 8.更改根管理员口令。(此步骤可选,但东软强烈建议首次登录后修改口令。) Changing default password of root(y/n)(y): Old password(6-128): neteye Password(6-128): < 新密码> Repeat Password(6-128): < 新密码> 这里我们不更改它的默认密码,选择n 9.添加根系统管理员及选择登录方式。 Creating an administrator(y/n)(y): Username: < 用户名> Please select a login type (1) Web (2) Telnet (3) SSH (4) SCM Please input a choice[1-4](1)(example: 1,2,3):1,2,3,4 Password(6-128): < 密码> Repeat Password(6-128): < 密码> 选择y,添加ycz用户,设备相应密码,Web管理,Telnet。
win7防火墙设置指南、多重作用防火墙策略以及设置方法
win7防火墙设置指南、多重作用防火墙策略以及设置方法 214小游戏https://www.sodocs.net/doc/3b16784408.html,/ windows XP集成防火强常被视为鸡肋,不过随着vista和WIN7的发布,微软对于防火墙的两次升级让windows的firewall不再是系统的累赘,特别是win7的firewall,强悍的功能让微软的防火墙也有了“专业”的味道。 本文就教大家来了解一下windows7下的 firewall设置以及向你展示怎样对多重作用防火墙策略下对Firewall进行配置。Windows Firewall的演变过程。 一、windows防火墙的演变 Windows XP中的防火墙是一款简单、初级仅保护流入信息,拦截任何不是由你主动发启入站连接的软件--它是默认关闭的。SP2后它才被默认启动并可以通过组策略的方式由管理员进行配置。而 Vista Firewall 是建立在一个新的Windows Filtering Platform (WFP、Windows过滤平台)上、并通过Advanced Security MMC嵌入式管理单元添加了新的过滤外发信息的能力。在Windows 7中MS对firewall做了进一步的微调,使其更具可用性,尤其针对移动计算机,更是舔加了对多重作用防火墙策略的支持。 二、windows 7 firewall(防火墙)设置方法 与Vista相同的是,可以通过访问控制面板程序对Windows 7 firewall进行基础配置。与Vista不同的是,你还可以通过访问控制面板的方式对其进行高级配置(包括对出站连接过滤器的配置),而不是一定要创建空白MMC并加入嵌入式管理单元来实现。只是点击一下左侧面板里的高级配置选项。 更多的网络配置 Vista firewall允许你去选择是在公共网格上还是在专用网络中,而在Windows 7中你有三个选择--公用网络、家庭网络、办公网络。后两个选项是专用网络的细化。 如果你选择了“家庭网络”选项,你将可以建立一个“家庭组”。在这种环境中,“网路发现”会自动启动,你将可以看到网络中其它的计算机和设备,同时他们也将可以看到你的计算机。隶属于“家庭组”的计算机能够共享图片、音乐、视频、文档库以及如打印机这样的硬件设备。如果有你不想共享的文件夹在文档库中,你还可以排除它们。 如果你选择的是“工作网络”,“网路发现”同样会自动启动,但是你将不能创建或是加入“家庭组”。如果你的计算机加入了Windows域(通过控制面板--系统和安全--系统--高级系统配置--计算机名选项卡)并通过DC验证,那么防火墙将自动识别网络类型为域环境网络。 而“公用网络”类型是当你在机场、宾馆、咖啡馆或使用移动宽带网络联通公共wi-fi 网络时的适当选择,“网路发现”将默认关闭,这样其它网络中的计算机就不会发现你的共享而你也将不能创建或加入“家庭组”。 在全部的网络模式中,Windows 7 firewall都将在默认情况下拦截任何发送到不属于白名单中应用程序的连接。Windows 7允许你对不同网络类型分别配置。 多重作用防火墙策略 在Vista中,尽管你有公用网络和私用网络两个配置文件,但是只会有一个在指定的时间内起作用。所以如果你的计算机发生要同时连接两个不同网络的情况,那你就要倒霉啦。最严格的那条配置文件会被用户到所有的连接上,这意味着你可能无法在本地(私用)网络中做你想做的事,因为你是在公用网络在规则下操作。而在Windows 7 (和 Server 2008 R2)中,不同网络适配器上可以使用不同的配置文件。也就是说专用网络之间的网络连接受专用网络规则支配,而与公用网络之间的流量则应用公用网络规则。 起作用的是那些不显眼的小事 在很多事例中,更好的可用性往往取决于小的改变,MS听取了用户的意见并将一些“不
防火墙基础知识
(一) 防火墙概念 防火墙不只是一种路由器、主系统或一批向网络提供安全性的系统。相反,防火墙是 一种获取安全性的方法;它有助于实施一个比较广泛的安全性政策,用以确定允许提供的服务和访问。就网络配置、一个或多个主系统和路由器以及其他安全性措施(如代替 静态口令的先进验证)来说,防火墙是该政策的具体实施。防火墙系统的主要用途就是 控制对受保护的网络(即网点)的往返访问。它实施网络访问政策的方法就是逼使各连接 点通过能得到检查和评估的防火墙。 ____________ ___________ | | | | | Computer | | Computer | |__________| |___________| ____________ ________ | | |应| |Packet | ______|________________|__________| 用|_____|Filter |___Internet | 网| |Router | 网点系统| 关| |________| |__________| 路由器和应用网关防火墙范例 防火墙系统可以是路由器,也可以是个人主机、主系统和一批主系统,专门把网 络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关如网点与Internet的连接处,但是防火墙系统可以位于等级较低的网关, 以便为某些数量较少的主系统或子网提供保护。 防火墙基本上是一个独立的进程或一组紧密结合的进程,运行于Router or Server 来控制经过防火墙的网络应用程序的通信流量。一般来说,防火墙置于公共网络(如Inter- -net)人口处。它可以看作是交通警察。它的作用是确保一个单位内的网络与Internet之间所有的通信均符合该单位的安全方针。这些系统基本上是基于TCP/IP,并与实现方法有关,它能实施安全路障并为管理人员提供对下列问题的答案: * 谁在使用网络? * 他们在网上做什么? * 他们什么时间使用过网络?
实验:防火墙基本配置
实验七交换机基本配置 一、实验目的 (1)使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理,行能根据需要进行简单网络的规划和设计。 实验设备与器材 熟悉交换机开机界面; (2)掌握Quidway S系列中低端交换机几种常用配置方法; (3)掌握Quidway S系列中低端交换机基本配置命令。 二、实验环境 Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。 交换机,标准Console配置线。 三、实验内容 学习使用Quidway R2611模块化路由器的访问控制列表(ACL)进行防火墙实验。 预备知识 1、防火墙 防火墙作为Internet访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃,以拒绝非法用户访问网络并保障合法用户正常工作。 2、包过滤技术 一般情况下,包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。 3、访问控制列表 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL(Access Control List)定义的。
访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。 访问控制列表(Access Control List )的作用 访问控制列表可以用于防火墙; 访问控制列表可用于Qos(Quality of Service),对数据流量进行控制; 访问控制列表还可以用于地址转换; 在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP) ACL示意图 ACL的分类 按照访问控制列表的用途,可以分为四类: ●基本的访问控制列表(basic acl) ●高级的访问控制列表(advanced acl) ●基于接口的访问控制列表(interface-based acl) ●基于MAC的访问控制列表(mac-based acl) 访问控制列表的使用用途是依靠数字的范围来指定的,1000~1999是基于接口的访问控制列表,2000~2999范围的数字型访问控制列表是基本的访问控制列表,3000~3999范围的数字型访问控制列表是高级的访问控制列表,4000~4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 4、防火墙的配置项目 防火墙的配置包括:
防火墙的分类
防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。 1.数据包过滤型防火墙 数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。 分组过滤或包过滤,是一种通用、廉价、有效的安全手段。之所以通用,因为它不针对各个具体的网络服务采取特殊的处理方式;之所以廉价,因为大多数路由器都提供分组过滤功能;之所以有效,因为它能很大程度地满足企业的安全要求。所根据的信息来源于IP、TCP或UDP包头。 包过滤的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:据以过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;另外,大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较差;对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。 2.应用级网关型防火墙 应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。 3.代理服务型防火墙 代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。 代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。 应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信
防火墙基础知识
防火墙基础知识 一、防火墙与路由器的异同: 1、防火墙的登陆管理方式及基本配置是一样,有的防火墙多一个 DMZ端口。 2、路由器只能简单的路由策略,防火墙具备强大的访问控制:分 组对象。 3、路由器是默认的端口是开放的,防火墙的端口默认的常见端口 外都是关闭的。 二、防火墙的登陆方式: 1、console口,路由器的登陆方式一样 2、telnet登陆,需要设置 3、SSH登陆,同telnet登陆一样 三、防火墙的用户模式: 1、用户模式:PIX525> 2、特权模式PIX525# 3、全局配置模式PIX525(config)# 4、局部配置模式PIX525(config-if)# 四、防火墙基本配置 1、接口配置 防火墙PIX525默认的的有3个端口,外网口、内网口、DMZ 端口,主要配置ip地址、工作模式、速度、接口名字、安全级别interface Ethernet0
nameif outside security-level 0 ip address 218.28.202.97 255.255.255.0 duplex full 2、访问控制列表 access-list acl_out extended permit icmp any any access-list acl_out extended permit tcp any host 218.28.202.99 object-group DMZ access-list allownet extended permit ip host 192.168.0.123 object-group msn 3、设置网关地址 route outside 0.0.0.0 0.0.0.0 218.28.202.110 外网口网关 route inside 0.0.0.0 0.0.0.0 192.168.1.1 内网口网关 路由的网关设置 Ip route 0.0.0.0 0.0.0.0 218.28.202.110 4、端口重定向 PIX525(config)# object-group service word TCP PIX525(config-if)port-object eq 8866 先在服务的对象分组中开放一个端口,在全局模式下 static (inside,outside) tcp 218.28.202.100 8866 192.168.2.77 8866 netmask 255.255.255.255
东软防火墙配置过程
(一)初始化设备 1) 初始化配置步骤: 1.用超级终端通过串口控制台连接(RJ-45 null-modem 线缆)来完成初始配置。完成初始配置后,可不再使用控制台。 2.打开NetEye 设备的电源开关。 3.终端控制台将显示如下提示: LILO 22.7.1 1 NetEye_FW_4_2_build_200080.install 2 bootmgr Press key '2' to enter BOOTMGR command mode 该提示信息将显示约5 秒钟,在此期间输入1 并按回车。 4.配置设备。 Config the firewall or quit (y/n)(n)y 5.修改主机名。 Please input the host name for this system Host name:
10:22:36 7.设置系统语言。 Please set system language (1) English (2) Chinese Please input a choice[1-2,q](2) <1、2 或q> 选择2,中文,回车 8.更改根管理员口令。(此步骤可选,但东软强烈建议首次登录后修改口令。) Changing default password of root?(y/n)(y): Old password(6-128): neteye Password(6-128): < 新密码> Repeat Password(6-128): < 新密码> 这里我们不更改它的默认密码,选择n 9.添加根系统管理员及选择登录方式。 Creating an administrator?(y/n)(y): Username: < 用户名> Please select a login type (1) Web (2) Telnet (3) SSH
【最新推荐】关于电脑防火墙设置方法-推荐word版 (1页)
【最新推荐】关于电脑防火墙设置方法-推荐word版 本文部分内容来自网络整理,本司不为其真实性负责,如有异议或侵权请及时联系,本司将立即删除! == 本文为word格式,下载后可方便编辑和修改! == 关于电脑防火墙设置方法 导语:为防止电脑被其他的一些病毒入侵,一般要开启防火墙设置。以下 是小编收集的有关电脑技巧的知识,希望对您有所帮助。 步骤1、首先需要了解电脑防火墙的位置,最简单的办法就是进入控制面板,找到windows 防火墙,打开就可以进入到具体设置页面。 2、打开电脑windows防火墙后,如果仅仅是想禁用或者启用防火墙,那么直接选定“启用”或者“关闭”,然后确定就可以了。 3、启用防火墙之后,如果想让一些软件可以进行网络连接,对另外一些程 序和服务禁用网络连接,那么可以在电脑windows防火墙中选择例外菜单,如 果要禁用已经联网的程序或服务,只需将勾选去除,按确定就可以了。 4、如果有一些需要的程序或服务没有在例外列表中,而防火墙又是开启的,那么这部分程序和服务就不能连接外网。添加方法如下,点击例外菜单下的添 加程序按钮,然后在新窗口列表中选择要添加的程序,选择确定保存就可以了。 5、如果你设置了很多例外,到最后都想取消,取消一些不当的操作,只需 要将防火墙还原为默认值就可以了,选择防火墙高级菜单,点击“还原为默认值”按钮即可。 6、还原后,也就是说以后有程序和服务要访问网络时,都会被阻止,这时 需要在例外菜单中设置“防火墙阻止程序时通知我”,这样就可以通过辨别来 对某些有用的程序放行了。 7、最后建议将防火墙一直开着,这是保护电脑不被利用的有利防线。
1.1防火墙基本配置
实验一防火墙基本配置 【实验目的】 掌握Web方式配置防火墙,实现不同局域网防火墙连接. 【背景描述】 你是某公司新进的网管,公司要求你熟悉网络产品,公司采用全系列锐捷网络产品,首先要求你登录防火墙,了解并掌握防火墙的Web操作方式. 【实现功能】 熟练掌握防火墙Web操作模式. 【实验设备】 RG-60防火墙(2台) 【实验步骤】 『第一步』管理员证书 管理员可以用证书方式进行身份认证。证书包括 CA 证书、防火墙证书、防火墙私钥、管理员证书。前三项必须导入防火墙中,后一个同时要导入管理主机的IE 中。 证书文件有两种编码格式:PEM 和DER,后缀名可以有pem,der,cer,crt 等多种,后缀名与编码格式没有必然联系。 CA 证书、防火墙证书和防火墙私钥只支持PEM 编码格式,cacert.crt 和cacert.pem 是完全相同的文件。管理员证书支持PEM 和DER 两种,因此提供administrator.crt 和administrator.der 证书administrator.crt 和administrator.pem 是完全相同的文件。*.p12 文件是将CA、证书和私钥打包的文件。 『第二步』管理员首次登录 正确管理防火墙前,需要配置防火墙的管理主机、管理员帐号和权限、网口上可管理 IP、防火墙管 理方式。 ●默认管理员帐号为 admin,密码为firewall ●默认管理口:防火墙 WAN 口 ●可管理 IP:WAN 口上的默认IP 地址为192.168.10.100/255.255.255.0 ●管理主机:默认为 192.168.10.200/255.255.255.0 ●默认管理方式:(1)管理主机用交叉线与WAN 口连接(2)用电子钥匙进行身份认证(3)访问https://防火墙可管理IP 地址:6667(注:若用证书进行认证,则访问https://防
防火墙工作原理和种类
近年来,随着普通计算机用户群的日益增长,“防火墙”一词已经不再是服务器领域的专署,大部分家庭用户都知道为自己爱机安装各种“防火墙”软件了。但是,并不是所有用户都对“防火墙”有所了解的,一部分用户甚至认为,“防火墙”是一种软件的名称…… 到底什么才是防火墙?它工作在什么位置,起着什么作用?查阅历史书籍可知,古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称为“防火墙”(Fire Wall)。时光飞梭,随着计算机和网络的发展,各种攻击入侵手段也相继出现了,为了保护计算机的安全,人们开发出一种能阻止计算机之间直接通信的技术,并沿用了古代类似这个功能的名字——“防火墙”技术来源于此。用专业术语来说,防火墙是一种位于两个或多个网络间,实施网络之间访问控制的组件集合。对于普通用户来说,所谓“防火墙”,指的就是一种被放置在自己的计算机与外界网络之间的防御系统,从网络发往计算机的所有数据都要经过它的判断处理后,才会决定能不能把这些数据交给计算机,一旦发现有害数据,防火墙就会拦截下来,实现了对计算机的保护功能。 防火墙技术从诞生开始,就在一刻不停的发展着,各种不同结构不同功能的防火墙,构筑成网络上的一道道防御大堤。 一.防火墙的分类 世界上没有一种事物是唯一的,防火墙也一样,为了更有效率的对付网络上各种不同攻击手段,防火墙也派分出几种防御架构。根据物理特性,防火墙分为两大类,硬件防火墙和软件防火墙。软件防火墙是一种安装在
负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序,它是以逻辑形式存在的,防火墙程序跟随系统启动,通过运行在 Ring0 级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间,形成一种逻辑上的防御体系。 在没有软件防火墙之前,系统和网络接口设备之间的通道是直接的,网络接口设备通过网络驱动程序接口(Network Driver Interface Specification,NDIS)把网络上传来的各种报文都忠实的交给系统处理,例如一台计算机接收到请求列出机器上所有共享资源的数据报文, NDIS 直接把这个报文提交给系统,系统在处理后就会返回相应数据,在某些情况下就会造成信息泄漏。而使用软件防火墙后,尽管 NDIS 接收到仍然的是原封不动的数据报文,但是在提交到系统的通道上多了一层防御机制,所有数据报文都要经过这层机制根据一定的规则判断处理,只有它认为安全的数据才能到达系统,其他数据则被丢弃。因为有规则提到“列出共享资源的行为是危险的”,因此在防火墙的判断下,这个报文会被丢弃,这样一来,系统接收不到报文,则认为什么事情也没发生过,也就不会把信息泄漏出去了。 软件防火墙工作于系统接口与 NDIS 之间,用于检查过滤由 NDIS 发送过来的数据,在无需改动硬件的前提下便能实现一定强度的安全保障,但是由于软件防火墙自身属于运行于系统上的程序,不可避免的需要占用一部分CPU 资源维持工作,而且由于数据判断处理需要一定的时间,在一些数据流量大的网络里,软件防火墙会使整个系统工作效率和数据吞吐速度下降,甚至有些软件防火墙会存在漏洞,导致有害数据可以绕过它的防御体系,给数据安全带来损失,因此,许多企业并不会考虑用软件防火墙方案作为公司网络的防御措施,而是使用看得见摸得着的硬件防火墙。 硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的
防火墙的配置及应用
防火墙的配置及应用 一、防火墙概念: 防火墙是指设置在不同网络之间,比如可信任的内部网和不可信的公共网,或者不同网络安全域之间的软硬件系统组合。 它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来保护企业内部网络的安全。防火墙是企业网络安全的屏蔽,它可以强化网络安全策略,对网络访问和内部资源使用进行监控审计,防止敏感信息的泄漏。 二、如何合理实施防火墙的配置呢? 1.动态包过滤技术,动态维护通过防火墙的所有通信的状态(连接),基于连接的过滤; 2.可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题; 3.可以设置信任域与不信任域之间数据出入的策略; 4.可以定义规则计划,使得系统在某一时可以自动启用和关闭策略; 5.具有详细的日志功能,提供防火墙符合规则报文的信息、系统管理信息、系统故障信息的记录,并支持日志服务器和日志导出; 6.具有IPSec VPN功能,可以实现跨互联网安全的远程访问; 7.具有邮件通知功能,可以将系统的告警通过发送邮件通知网络管理员; 8.具有攻击防护功能对不规则的IP、TCP报或超过经验阀值的TCP半连接、UDP报文以及ICMP报文采取丢弃; 9.Web中的Java, ActiveX, Cookie、URL关键字、Proxy进行过滤。 三、Windows 系统中的防火墙实例 1、打开Windows XP的访问控制面板,这里包括Windows 自带防火墙。