防火墙基础
在配置PIX防火墙之前,先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下:
内部区域(内网):内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。
外部区域(外网):外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任
的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。停火区(DMZ):停火区是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器,Mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。
注意:2个接口的防火墙是没有停火区的。
由于PIX535在企业级别不具有普遍性,因此下面主要说明PIX525在企业网络中的应用。
PIX防火墙提供4种管理访问模式:
非特权模式。 PIX防火墙开机自检后,就是处于这种模式。系统显示为pixfirewall>
特权模式。输入enable进入特权模式,可以改变当前配置。显示为pixfirewall#
配置模式。输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#
监视模式。 PIX防火墙在开机或重启过程中,按住Escape键或发送一个"Break"字符,进入监视模式。这里可以更新*作系统映象和口令恢复。显示为monitor>
配置PIX防火墙有6个基本命令:nameif,interface,ip address,nat,global,route.
这些命令在配置PIX时是必须的。以下是配置的基本步骤:
1. 配置防火墙接口的名字,并指定安全级别(nameif)。
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif dmz security50
提示:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100.安全级别取值范围为1~99,数字越大安全级别越高。若添加新的接口,语句可以这样写:
Pix525(config)#nameif pix/intf3 security40 (安全级别任取)
2. 配置以太口参数(interface)
Pix525(config)#interface ethernet0 auto (auto选项表明系统自适应网卡类型)
Pix525(config)#interface ethernet1 100full (100full选项表示100Mbit/s以太网全双工通信)
Pix525(config)#interface ethernet1 100full shutdown (shutdown选项表示关闭这个接口,若启用接口去掉shutdown )
3. 配置内外网卡的IP地址(ip address)
Pix525(config)#ip address outside 61.144.51.42 255.255.255.248
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
很明显,Pix525防火墙在外网的ip地址是61.144.51.42,内网ip地址是192.168.0.1
例1. Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any
这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq 和一个端口来允许或拒绝对这个端口的访问。Eq ftp 就是指允许或拒绝只对ftp的访问。
例2. Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89
表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。
例3. Pix525(config)#conduit permit icmp any any
表示允许icmp消息向内部和外部通过。
例4. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3
Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any
这个例子说明static和conduit的关系。192.168.0.3在内网是一台web服务器,现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射:192.168.0.3->61.144.51.62(全局),然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。
C. 配置fixup协议
fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子:
例1. Pix525(config)#fixup protocol ftp 21 启用ftp协议,并指定ftp的端口号为21
例2. Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080 为http协议指定80和1080两个端口。例3. Pix525(config)#no fixup protocol smtp 80 禁用smtp协议。
D. 设置telnet
telnet有一个版本的变化。在pix OS 5.0(pix*作系统的版本号)之前,只能从内部网络上的主机通过telnet访问pix。在pix OS 5.0及后续版本中,可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时,telnet数据流需要用ipsec提供保护,也就是说用
户必须配置pix来建立一条到另外一台pix,路由器或vpn客户端的ipsec隧道。另外就是在PIX 上配置SSH,然后用SSH client从外部telnet到PIX防火墙,PIX支持SSH1和SSH2,不过SSH1是免费软件,SSH2是商业软件。相比之下cisco路由器的telnet就做得不怎么样了。
telnet配置语法:telnet local_ip [netmask] local_ip
表示被授权通过telnet访问到pix的ip地址。如果不设此项,pix的配置方式只能由console进行。
说了这么多,下面给出一个配置实例供大家参考。
Welcome to the PIX firewall
Type help or '?' for a list of available commands.
PIX525> en
Password:
PIX525#sh config :
Saved :
PIX Version 6.0(1) ------ PIX当前的*作系统版本为6.0
Nameif ethernet0 outside security0
Nameif ethernet1 inside security100 ------ 显示目前pix只有2个接口
Enable password 7Y051HhCcoiRTSQZ encrypted
Passed 7Y051HhCcoiRTSQZ encrypted ------ pix防火墙密码在默认状态下已被加密,在配置文件中不会以明文显示,telnet 密码缺省为cisco
Hostname PIX525 ------ 主机名称为PIX525
Domain-name https://www.sodocs.net/doc/951206748.html, ------ 本地的一个域名服务器https://www.sodocs.net/doc/951206748.html,,通常用作为外部访问
Fixup protocol ftp 21
Fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ------ 当前启用的一些服务或协议,注意rsh服务是不能改变端口号的names ------ 解析本地主机名到ip地址,在配置中可以用名字代替ip地址,当前没有设置,所以列表为空
pager lines 24 ------ 每24行一分页
interface ethernet0 auto
interface ethernet1 auto ------ 设置两个网卡的类型为自适应
mtu outside 1500
mtu inside 1500 ------ 以太网标准的MTU长度为1500字节
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0 ------ pix外网的ip地址61.144.51.42,内网的ip地址192.168.0.1
ip audit info action al arm
ip audit attack action al arm ------ pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息;此外还可以作出丢弃数据包和发出tcp连接复位信号等动作,需另外配置。
pdm history enable ------ PIX设备管理器可以图形化的监视
PIX arp timeout 14400 ------ arp表的超时时间
global (outside) 1 61.144.51.46 ------ 如果你访问外部论坛或用QQ聊天等等,上面显示的ip 就是这个
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0 conduit permit icmp any any
conduit permit tcp host 61.144.51.43 eq www any
conduit permit udp host 61.144.51.43 eq domain any ------ 用61.144.51.43这个ip地址提供domain-name服务,而且只允许外部用户访问domain的udp端口
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部网关61.144.51.61
timeout xlate 3:00:00 ------ 某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute ------ AAA认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius ------ AAA服务器的两种协议。AAA是指认证,授权,审计。Pix防火墙可以通过AAA服务器增加内部网络的安全
no snmp-server location no snmp-server contact snmp-server community public ------ 由于没有设置snmp工作站,也就没有snmp工作站的位置和联系人
no snmp-server enable traps ------ 发送snmp陷阱 floodguard enable ------ 防止有人伪造大量认证请求,将pix的AAA资源用完
no sysopt route dnat telnet timeout 5 ssh timeout 5 ------ 使用ssh访问pix的超时时间terminal width 80 Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7
PIX525#
PIX525#write memory ------ 将配置保存
上面这个配置实例需要说明一下,pix防火墙直接摆在了与internet接口处,此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办?你可以添加router放在pix的前面,或者global使用单一ip地址,和外部接口的ip地址相同即可。另外有几个维护命令也很有用,show interface查看端口状态,show static查看静态地址映射,show ip查看接口ip地址,ping outside | inside ip_address确定连通性。
PIX上实现VPN步骤
在PIX上防火墙用预共享密钥配置IPSec加密主要涉及到4个关键任务:
一、为IPSec做准备
为IPSec做准备涉及到确定详细的加密策略,包括确定我们要保护的主机和网络,选择一种认证方法,确定有关IPSec对等体的详细信息,确定我们所需的IPSec特性,并确认现有的访问控制列表允许IPSec数据流通过;
步骤1:根据对等体的数量和位置在IPSec对等体间确定一个IKE(IKE阶段1,或者主模式)策略;步骤2:确定IPSec(IKE阶段2,或快捷模式)策略,包括IPSec对等体的细节信息,例如IP地址及IPSec变换集和模式;
步骤3:用"write terminal"、"show isakmp"、"show isakmp policy"、"show crypto map "命令及其他"show"命令来检查当前的配置;
步骤4:确认在没有使用加密前网络能够正常工作,用"ping"命令并在加密前运行测试数据流来排除基本的路由故障;
步骤5:确认在边界路由器和PIX防火墙中已有的访问控制列表允许IPSec数据流通过,或者想要的数据流将可以被过滤出来。
二、配置IKE 配置IKE涉及到启用IKE(和isakmp是同义词),创建IKE策略,和验证我们的配置;步骤1:用"isakmp enable"命令来启用或关闭IKE;
步骤2:用"isakmp policy"命令创建IKE策略;
步骤3:用"isakmp key"命令和相关命令来配置预共享密钥;
步骤4:用"show isakmp [policy]"命令来验证IKE的配置。
三、配置IPSec
IPSec配置包括创建加密用访问控制列表,定义变换集,创建加密图条目,并将加密集应用到接口上去;
步骤1:用access-list命令来配置加密用访问控制列表;例如: access-list acl-name {permit|deny} protocol src_addr src_mask [operator port [port]]dest_addr dest_mask [operator prot [port]]
步骤2:用crypto ipsec transform-set 命令配置变换集;例如: crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]] 3. 步骤3:(任选)用crypto ipsec security-association lifetime命令来配置全局性的IPSec 安全关联的生存期;
步骤4:用crypto map 命令来配置加密图;
步骤5:用interface 命令和crypto map map-name interface应用到接口上; 6. 步骤6:用各种可用的show命令来验证IPSec的配置。
四、测试和验证IPSec
该任务涉及到使用"show " 、"debug"和相关的命令来测试和验证IPSec加密工作是否正常,并为之排除故障。
样例:
PIX 1的配置:
!configure the IP address for each PIX Firewall interface
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.3 255.255.255.0
ip address dmz 192.168.11.1 255.255.255.0
global (outside) 1 192.168.1.10-192.168.1.254 netmask 255.255.255.0
!creates a global pooll on the outside interface,enables NAT.
!windows NT server
static (inside,outside) 192.168.1.10 10.1.1.4 netmask 255.255.255.0
!Crypto access list specifiles between the global and the inside server beind PIX Firewalls
is encrypted ,The source and destination IP address are the global IP addresses of the statics.
Access-list 101 permit ip host 192.168.1.10 host 192.168.2.10
!The conduit permit ICMP and web access for testing.
Conduit permit icmp any any Conduit permit tcp host 192.168.1.10 eq www any
route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
!Enable IPSec to bypass access litst,access ,and confuit restrictions
syspot connnection permit ipsec
!Defines a crypto map transform set to user esp-des
crypto ipsec transform-set pix2 esp-des
crypto map peer2 10 ipsec-isakmp!
完全配置: ip address outside 202.105.113.194 255.255.255.0 /*看电信给你的IP
ip address inside 192.168.1.1 255.255.255.0
!
global (outside) 1 202.105.113.195-202.105.113.200
global (outside) 1 202.105.113.201
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 202.105.113.203 192.168.1.10 netmask 255.255.255.255 0 0 static (inside,outside) 202.105.113.205 192.168.1.11netmask 255.255.255.255 0 0 conduit permit icmp any any conduit permit tcp host 202.105.113.203 eq www any conduit permit tcp host 202.105.113.203 eq ftp any
conduit permit tcp host 202.105.113.205 eq smtp any
conduit permit tcp host 202.105.113.205 eq pop3 any
!
route outside 0.0.0.0 0.0.0.0 202.105.113.193 1
route inside 0.0.0.0 0.0.0.0 192.168.1.1
4. 指定要进行转换的内部地址(nat)
网络地址翻译(nat)作用是将内网的私有ip转换为外网的公有ip.Nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。
nat命令配置语法:
nat (if_name) nat_id local_ip [netmark]
其中(if_name)表示内网接口名字,例如inside。Nat_id用来标识全局地址池,使它与其相应的global命令相匹配,local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。
例1.Pix525(config)#nat (inside) 1 0 0
表示启用nat,内网的所有主机都可以访问外网,用0可以代表0.0.0.0
例2.Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
表示只有172.16.5.0这个网段内的主机可以访问外网。
5. 指定外部地址范围(global) global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。
Global命令的配置语法:global (if_name) nat_id ip_address-ip_address [netmark global_mask] 其中(if_name)表示外网接口名字,例如outside.。Nat_id用来标识全局地址池,使它与其相应的nat命令相匹配,ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmark global_mask]表示全局ip地址的网络掩码。
例1.Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48
表示内网的主机通过pix防火墙要访问外网时,pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。
例2.Pix525(config)#global (outside) 1 61.144.51.42 表示内网要访问外网时,pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip地址。
例3. Pix525(config)#no global (outside) 1 61.144.51.42 表示删除这个全局表项。
6. 设置指向内网和外网的静态路由(route)定义一条静态路由。
route命令配置语法:route (if_name) 0 0 gateway_ip [metric]
其中(if_name)表示接口名字,例如inside,outside。Gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1。
例1. Pix525(config)#route outside 0 0 61.144.51.168 1
表示一条指向边界路由器(ip地址61.144.51.168)的缺省路由。
例2. Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1
Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1
如果内部网络只有一个网段,按照例1那样设置一条缺省路由即可;如果内部存在多个网络,需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10.1.1.0的静态路由,静态路由的下一条路由器ip地址是172.16.0.1。
OK,这6个基本命令若理解了,就可以进入到pix防火墙的一些高级配置了。
A. 配置静态IP地址翻译(static)
如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一
个指定的全局地址,允许这个会话建立。
static命令配置语法:
static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address
其中internal_if_name表示内部网络接口,安全级别较高,如inside。external_if_name为外部网络接口,安全级别较低,如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。
例1. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8
表示ip地址为192.168.0.8的主机,对于通过pix防火墙建立的每个会话,都被翻译成
61.144.51.62这个全局地址,也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip 地址61.144.51.62之间的静态映射。
例2. Pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3
例3. Pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8
注释同例1。
通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口,使它们可以进入到具有较高安全级别的指定接口。
B. 管道命令(conduit)
前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡。
conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接,static和conduit命令将一起使用,来指定会话的建立。
conduit命令配置语法:
conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask]
permit | deny 允许 | 拒绝访问 global_ip 指的是先前由global或static命令定义的全局ip 地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。port 指的是服务所作用的端口,例如www使用80,smtp使用25等等,我们可以通过服务名称或端口数字来指定端口。
protocol 指的是连接协议,比如:TCP、UDP、ICMP等。
foreign_ip 表示可访问global_ip的外部ip。对于任意主机,可以用any表示。如果foreign_ip 是一台主机,就用host命令参数。
例1. Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any
这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq 和一个端口来允许或拒绝对这个端口的访问。Eq ftp 就是指允许或拒绝只对ftp的访问。
例2. Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89
表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。
例3. Pix525(config)#conduit permit icmp any any
表示允许icmp消息向内部和外部通过。
例4. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3
Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any 这个例子说明static和conduit的关系。192.168.0.3在内网是一台web服务器,现在希望外
网的用户能够通过pix防火墙得到web服务。所以先做static静态映射:192.168.0.3
->61.144.51.62(全局),然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。
C. 配置fixup协议
fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子:
例1. Pix525(config)#fixup protocol ftp 21 启用ftp协议,并指定ftp的端口号为21
例2. Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080 为http协议指定80和1080两个端口。例3. Pix525(config)#no fixup protocol smtp 80 禁用smtp协议。
D. 设置telnet
telnet有一个版本的变化。在pix OS 5.0(pix*作系统的版本号)之前,只能从内部网络上的主机通过telnet访问pix。在pix OS 5.0及后续版本中,可以在所有的接口上启用telnet到pix 的访问。当从外部接口要telnet到pix防火墙时,telnet数据流需要用ipsec提供保护,也就是说用户必须配置pix来建立一条到另外一台pix,路由器或vpn客户端的ipsec隧道。另外就是在PIX上配置SSH,然后用SSH client从外部telnet到PIX防火墙,PIX支持SSH1和SSH2,不过SSH1是免费软件,SSH2是商业软件。相比之下cisco路由器的telnet就做得不怎么样了。
telnet配置语法:telnet local_ip [netmask] local_ip
表示被授权通过telnet访问到pix的ip地址。如果不设此项,pix的配置方式只能由console进行。
说了这么多,下面给出一个配置实例供大家参考。
Welcome to the PIX firewall
Type help or '?' for a list of available commands.
PIX525> en
Password:
PIX525#sh config :
Saved :
PIX Version 6.0(1) ------ PIX当前的*作系统版本为6.0
Nameif ethernet0 outside security0
Nameif ethernet1 inside security100 ------ 显示目前pix只有2个接口
Enable password 7Y051HhCcoiRTSQZ encrypted
Passed 7Y051HhCcoiRTSQZ encrypted ------ pix防火墙密码在默认状态下已被加密,在配置文件中不会以明文显示,telnet 密码缺省为cisco
Hostname PIX525 ------ 主机名称为PIX525
Domain-name https://www.sodocs.net/doc/951206748.html, ------ 本地的一个域名服务器https://www.sodocs.net/doc/951206748.html,,通常用作为外部访问
Fixup protocol ftp 21
Fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ------ 当前启用的一些服务或协议,注意rsh服务是不能改变端口号的names ------ 解析本地主机名到ip地址,在配置中可以用名字代替ip地址,当前没有设置,所以列表为空
pager lines 24 ------ 每24行一分页
interface ethernet0 auto
interface ethernet1 auto ------ 设置两个网卡的类型为自适应
mtu outside 1500
mtu inside 1500 ------ 以太网标准的MTU长度为1500字节
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0 ------ pix外网的ip地址61.144.51.42,内网的ip地址192.168.0.1
ip audit info action al arm
ip audit attack action al arm ------ pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息;此外还可以作出丢弃数据包和发出tcp连接复位信号等动作,需另外配置。
pdm history enable ------ PIX设备管理器可以图形化的监视
PIX arp timeout 14400 ------ arp表的超时时间
global (outside) 1 61.144.51.46 ------ 如果你访问外部论坛或用QQ聊天等等,上面显示的ip 就是这个
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
conduit permit icmp any any
conduit permit tcp host 61.144.51.43 eq www any
conduit permit udp host 61.144.51.43 eq domain any ------ 用61.144.51.43这个ip地址提供domain-name服务,而且只允许外部用户访问domain的udp端口
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部网关61.144.51.61
timeout xlate 3:00:00 ------ 某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute ------ AAA认证的超时时间,absolute表示连续运行uauth定
时器,用户超时后,将
强制重新认证
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius ------ AAA服务器的两种协议。AAA是指认证,授权,审计。Pix防火墙可以通过AAA服务器增加内部网络的安全
no snmp-server location no snmp-server contact snmp-server community public ------ 由于没有设置snmp工作站,也就没有snmp工作站的位置和联系人
no snmp-server enable traps ------ 发送snmp陷阱 floodguard enable ------ 防止有人伪造大量认证请求,将pix的AAA资源用完
no sysopt route dnat telnet timeout 5 ssh timeout 5 ------ 使用ssh访问pix的超时时间terminal width 80 Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7
PIX525#
PIX525#write memory ------ 将配置保存
上面这个配置实例需要说明一下,pix防火墙直接摆在了与internet接口处,此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办?你可以添加router放在pix的前面,或者global使用单一ip地址,和外部接口的ip地址相同即可。另外有几个维护命令也很有用,show interface查看端口状态,show static查看静态地址映射,show ip查看接口ip地址,ping outside | inside ip_address确定连通性。
Cisco PIX配置大全
在配置PIX防火墙之前,先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下:
内部区域(内网):内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。
外部区域(外网):外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。
停火区(DMZ):停火区是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器,Mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。
注意:2个接口的防火墙是没有停火区的。
由于PIX535在企业级别不具有普遍性,因此下面主要说明PIX525在企业网络中的应用。
PIX防火墙提供4种管理访问模式:
非特权模式。 PIX防火墙开机自检后,就是处于这种模式。系统显示为pixfirewall>
特权模式。输入enable进入特权模式,可以改变当前配置。显示为pixfirewall#
配置模式。输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#
监视模式。 PIX防火墙在开机或重启过程中,按住Escape键或发送一个"Break"字符,进入监视模式。这里可以更新*作系统映象和口令恢复。显示为monitor>
配置PIX防火墙有6个基本命令:nameif,interface,ip address,nat,global,route.
这些命令在配置PIX时是必须的。以下是配置的基本步骤:
1. 配置防火墙接口的名字,并指定安全级别(nameif)。
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif dmz security50
防火墙基础
一、防火墙概述 1. 防火墙概述 防火墙的主要作用是划分网络安全边界,实现关键系统与外部环境的安全隔离,保护内部网络免受外部攻击。 与路由器相比防火墙提供了更丰富的安全防御策略,提高了安全策略下数据报转发速率。 由于防火墙用于安全边界,因此往往兼备NAT、VPN等功能,并且在这方面的相比路由器更加强劲。 我司防火墙:Eudemon系列 2. 防火墙分类 包过滤防火墙(Packet Filtering)包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。包过滤防火墙简单,但是缺乏灵活性,对一些动态协商端口没有办法设置规则。另外包过滤防火墙每个包
都需要进行策略检查,策略过多会导致性能急剧下降。 代理型防火墙(application gateway) 代理型防火墙使得防火墙做为一个访问的中间节点,对客户端来说防火墙是一个服务器,对服务器来说防火墙是一个客户端。代理型防火墙安全性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。 状态检测防火墙 状态检测是一种高级通信过滤,它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品都为状态检测防火墙 二、防火墙的基础知识点 1. 安全区域(Zone)的概念 安全区域(Security Zone),或者简称为区域(Zone),是一个安全概念,大部分的安全策略都基于安全区域实施。我们在防火墙上创建安全区域,并且定义该安全去区域的安全级别,然后将防火墙的接口关联到一个安全区域,那么该接口所连接的这个网络,就属于这个安全区域。属于同一个安全区域的用户具有相同的安全属性。 Eudemon认为在同一安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略。只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略。
防火墙基础知识
防火墙基础知识 3.3 包过滤包过滤技术(Ip Filtering or packet filtering) 的原理在于监视并过滤网络上流入流出的Ip包,拒绝发送可疑的包。由于Internet 与Intranet 的连接多数都要使用路由器,所以Router成为内外通信的必经端口,Router的厂商在Router上加入IP Filtering 功能,这样的Router也就成为Screening Router 或称为Circuit-level gateway. 网络专家Steven.M.Bellovin认为这种Firewall 应该是足够安全的,但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的,因而在安全要求较高的场合,通常还配合使用其它的技术来加强安全性。Router 逐一审查每份数据包以判定它是否与其它包过滤规则相匹配。(注:只检查包头的内容,不理会包内的正文信息内容) 过滤规则以用于IP顺行处理的包头信息为基础。包头信息包括: IP 源地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配,且规则允许这包,这一包则根据路由表中的信息前行。如果找到一个匹配,且规则允许拒绝此包,这一包则被舍弃。如果无匹配规则,一个用户配置的缺省参数将决定此包是前行还是被舍弃。*从属服务的过滤包过滤规则允许Router取舍以一个特殊服务为基
础的信息流,因为大多数服务检测器驻留于众所周知的TCP/UDP端口。例如,Telnet Service 为TCP port 23端口等待远程连接,而SMTP Service为TCP Port 25端口等待输入连接。如要封锁输入Telnet 、SMTP的连接,则Router 舍弃端口值为23,25的所有的数据包。典型的过滤规则有以下几种: .允许特定名单内的内部主机进行Telnet输入对话 .只允许特定名单内的内部主机进行FTP输入对话 .只允许所有Telnet 输出对话 .只允许所有FTP 输出对话 .拒绝来自一些特定外部网络的所有输入信息* 独立于服务的过滤 有些类型的攻击很难用基本包头信息加以鉴别,因为这些独立于服务。一些Router可以用来防止这类攻击,但过滤规则需要增加一些信息,而这些信息只有通过以下方式才能获
CIW网络安全基础与防火墙试卷(第三套)
一、单项选择题(本大题共15小题,每小题2分,共30分) 一.单选题a b d c a a b a a d b a c d c 二.多选题abcd P1-15 abc P3-10 abc P4-12 abcd P4-28 abcd P6-15 abcd P6-16 abcd P7-3 abcd P7-4 abc P7-18 abcd P9-3 abcd P9-6 abc P3-10 abd P cd abcd P8-4 三.判断题1 0 1 1 1 0 0 1 1 0 1 1 1 1 0 1.( A )使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务, 这属于什么漏洞?。 A拒绝服务 B. 文件共享 C. BIND漏洞 D.远程过程调用 2.( B )使用Windows 2000的组策略,可以限制用户对系统的操作权限,该实例是何种功能的应用? A访问控制列表 B.执行控制列表 C.身份验证D:数据加密 3.(D )针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,这是哪种防火墙的特点? A. 包过滤型; B. 应用级网关型; C. 复合型防火墙; D. 代理服务型 4.( C )计算机犯罪的统计数字都表明计算机安全问题主要来源于 A.黑客攻击; B. 计算机病毒侵袭; C. 系统内部; D. 信息辐射 5.( A )下列协议中哪个是VPN常用的安全协议? A. PPTP B. SSL C.帧中继 D.TLS 6.( A )电路级网关是以下哪一种软/硬件的类型? A.防火墙; B.入侵检测软件; C.端口; D.商业支付程序 7.( B )随着网络中用户数量的增长,Internet连接需求也不断增加,在考虑改善网络性能时,以下 哪个是应该考虑的部分? A WINS服务器; B. 代理服务器; C. DHCP服务器; D.目录服务器 8.( A )哪种加密方式是使用一个共享的密钥? A.对称加密技术 B.非对称加密技术; C. HASH算法; D.公共密钥加密术; 页脚内容
4网络安全与防火墙技术 北邮课件
主要内容
网络安全及防火墙技术
北京邮电大学 交换技术与通信网国家重点实验室 宽带网研究中心
? 典型攻击示例 ? 信息系统安全概述 ? 防火墙技术
阙喜戎
rongqx@https://www.sodocs.net/doc/951206748.html, rongqx@https://www.sodocs.net/doc/951206748.html,
1 交换技术与通信网国家重点实验室宽带网研究中心 2
典型攻击示例
Windows 2000的登录漏洞 2000的登录漏洞
3
4
缓冲区溢出攻击
内存映像
int abc(int a, ...) { char s[256]; ... scanf(“%s”,s); ... } 栈 的 生 长 方 向 地 址 的 生 长 方 向 SP
一个例子 Windows 2000 的登录漏洞
函数局部变量 字符缓冲 s[] 函数返回地址
SP
攻击代码
交换技术与通信网国家重点实验室宽带网研究中心
5
交换技术与通信网国家重点实验室宽带网研究中心
6
1
分布式拒绝服务攻击步骤1 分布式拒绝服务攻击步骤1
Hacker 不安全的计算机
分布式拒绝服务攻击步骤2 分布式拒绝服务攻击步骤2
Hacker 被控制的计算机(代理端)
1
攻击者使用扫描工具 探测扫描大量主机以 寻找潜在入侵目标。
2
黑客设法入侵有安全漏洞 的主机并获取控制权。
Internet
Internet
Scanning Program
交换技术与通信网国家重点实验室宽带网研究中心 7 交换技术与通信网国家重点实验室宽带网研究中心 8
分布式拒绝服务攻击步骤3 分布式拒绝服务攻击步骤3
Hacker 被控制计算机(代理端) Master Server
分布式拒绝服务攻击步骤4 分布式拒绝服务攻击步骤4
Hacker 被控制计算机(代理端) Master Server
黑客在得到入侵计算机 清单后,从中选出满足建 立网络所需要的主机,放 置已编译好的攻击程序, 并能对被控制的计算机发 送命令。
3
Internet
Using Client program, 黑客发送控制命令给主机, 准备启动对目标系统的攻击
4
Internet
Targeted System
交换技术与通信网国家重点实验室宽带网研究中心
9
交换技术与通信网国家重点实验室宽带网研究中心
10
分布式拒绝服务攻击步骤5 分布式拒绝服务攻击步骤5
Hacker Master Server 被控制计算机(代理端)
分布式拒绝服务攻击步骤6 分布式拒绝服务攻击步骤6
Hacker Master Server 被控制计算机(代理端)
5
主机发送攻击信号给被控 制计算机开始对目标系统 发起攻击。
Internet
6 目标系统被无数的伪 造的请求所淹没,从而无 法对合法用户进行响应, DDOS攻击成功。
Request Denied User
Internet
Targeted System
交换技术与通信网国家重点实验室宽带网研究中心 11
Targeted System
交换技术与通信网国家重点实验室宽带网研究中心
12
2
win7防火墙设置指南、多重作用防火墙策略以及设置方法
win7防火墙设置指南、多重作用防火墙策略以及设置方法 214小游戏https://www.sodocs.net/doc/951206748.html,/ windows XP集成防火强常被视为鸡肋,不过随着vista和WIN7的发布,微软对于防火墙的两次升级让windows的firewall不再是系统的累赘,特别是win7的firewall,强悍的功能让微软的防火墙也有了“专业”的味道。 本文就教大家来了解一下windows7下的 firewall设置以及向你展示怎样对多重作用防火墙策略下对Firewall进行配置。Windows Firewall的演变过程。 一、windows防火墙的演变 Windows XP中的防火墙是一款简单、初级仅保护流入信息,拦截任何不是由你主动发启入站连接的软件--它是默认关闭的。SP2后它才被默认启动并可以通过组策略的方式由管理员进行配置。而 Vista Firewall 是建立在一个新的Windows Filtering Platform (WFP、Windows过滤平台)上、并通过Advanced Security MMC嵌入式管理单元添加了新的过滤外发信息的能力。在Windows 7中MS对firewall做了进一步的微调,使其更具可用性,尤其针对移动计算机,更是舔加了对多重作用防火墙策略的支持。 二、windows 7 firewall(防火墙)设置方法 与Vista相同的是,可以通过访问控制面板程序对Windows 7 firewall进行基础配置。与Vista不同的是,你还可以通过访问控制面板的方式对其进行高级配置(包括对出站连接过滤器的配置),而不是一定要创建空白MMC并加入嵌入式管理单元来实现。只是点击一下左侧面板里的高级配置选项。 更多的网络配置 Vista firewall允许你去选择是在公共网格上还是在专用网络中,而在Windows 7中你有三个选择--公用网络、家庭网络、办公网络。后两个选项是专用网络的细化。 如果你选择了“家庭网络”选项,你将可以建立一个“家庭组”。在这种环境中,“网路发现”会自动启动,你将可以看到网络中其它的计算机和设备,同时他们也将可以看到你的计算机。隶属于“家庭组”的计算机能够共享图片、音乐、视频、文档库以及如打印机这样的硬件设备。如果有你不想共享的文件夹在文档库中,你还可以排除它们。 如果你选择的是“工作网络”,“网路发现”同样会自动启动,但是你将不能创建或是加入“家庭组”。如果你的计算机加入了Windows域(通过控制面板--系统和安全--系统--高级系统配置--计算机名选项卡)并通过DC验证,那么防火墙将自动识别网络类型为域环境网络。 而“公用网络”类型是当你在机场、宾馆、咖啡馆或使用移动宽带网络联通公共wi-fi 网络时的适当选择,“网路发现”将默认关闭,这样其它网络中的计算机就不会发现你的共享而你也将不能创建或加入“家庭组”。 在全部的网络模式中,Windows 7 firewall都将在默认情况下拦截任何发送到不属于白名单中应用程序的连接。Windows 7允许你对不同网络类型分别配置。 多重作用防火墙策略 在Vista中,尽管你有公用网络和私用网络两个配置文件,但是只会有一个在指定的时间内起作用。所以如果你的计算机发生要同时连接两个不同网络的情况,那你就要倒霉啦。最严格的那条配置文件会被用户到所有的连接上,这意味着你可能无法在本地(私用)网络中做你想做的事,因为你是在公用网络在规则下操作。而在Windows 7 (和 Server 2008 R2)中,不同网络适配器上可以使用不同的配置文件。也就是说专用网络之间的网络连接受专用网络规则支配,而与公用网络之间的流量则应用公用网络规则。 起作用的是那些不显眼的小事 在很多事例中,更好的可用性往往取决于小的改变,MS听取了用户的意见并将一些“不
防火墙基础知识
(一) 防火墙概念 防火墙不只是一种路由器、主系统或一批向网络提供安全性的系统。相反,防火墙是 一种获取安全性的方法;它有助于实施一个比较广泛的安全性政策,用以确定允许提供的服务和访问。就网络配置、一个或多个主系统和路由器以及其他安全性措施(如代替 静态口令的先进验证)来说,防火墙是该政策的具体实施。防火墙系统的主要用途就是 控制对受保护的网络(即网点)的往返访问。它实施网络访问政策的方法就是逼使各连接 点通过能得到检查和评估的防火墙。 ____________ ___________ | | | | | Computer | | Computer | |__________| |___________| ____________ ________ | | |应| |Packet | ______|________________|__________| 用|_____|Filter |___Internet | 网| |Router | 网点系统| 关| |________| |__________| 路由器和应用网关防火墙范例 防火墙系统可以是路由器,也可以是个人主机、主系统和一批主系统,专门把网 络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关如网点与Internet的连接处,但是防火墙系统可以位于等级较低的网关, 以便为某些数量较少的主系统或子网提供保护。 防火墙基本上是一个独立的进程或一组紧密结合的进程,运行于Router or Server 来控制经过防火墙的网络应用程序的通信流量。一般来说,防火墙置于公共网络(如Inter- -net)人口处。它可以看作是交通警察。它的作用是确保一个单位内的网络与Internet之间所有的通信均符合该单位的安全方针。这些系统基本上是基于TCP/IP,并与实现方法有关,它能实施安全路障并为管理人员提供对下列问题的答案: * 谁在使用网络? * 他们在网上做什么? * 他们什么时间使用过网络?
网络安全基础与防火墙
1.防火墙对数据包进行状态检测过滤时,不可以进行检测过滤的是:D 源和目的IP地址;源和目的端口;IP协议号;数据包中的内容 2. 防火墙对要保护的服务器作端口映射的好处是:D 便于管理;提高防火墙的性能;提高服务器的利用率;隐藏服务器的网络结构,使服务器更加安全 3. 内网用户通过防火墙访问公众网中的地址需要对源地址进行转换,规则中的动作应选择:B Allow;NAT;SAT;FwdFast 4. 输入法漏洞通过什么端口实现的?D 21;23;445;3389 5. 不属于常见把被入侵主机的信息发送给攻击者的方法是:D E-MAIL;UDP;ICMP;连接入侵主机 6. 公司的WEB服务器受到来自某个IP地址的黑客反复攻击,你的主管要求你通过防火墙来阻止来自那个地址的所有连接,以保护WEB服务器,那么你应该选择哪一种防火墙?A 包过滤型;应用级网关型;复合型防火墙;代理服务型 7. 关于防火墙发展历程下面描述正确的是:A 第一阶段:基于路由器的防火墙; 第二阶段:用户化的防火墙工具集;第三阶段:具有安全操作系统的防火墙;第四阶段:基于通用操作系统防火墙 8. 防火墙能够:B 防范恶意的知情者;防范通过它的恶意连接;防备新的网络安全问题;完全防止传送己被病毒感染的软件和文件 9. 关于入侵检测技术,下列哪一项描述是错误的?A 入侵检测系统不对系统或网络造成任何影响;审计数据或系统日志信息是入侵检测系统的一项主要信息来源;入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的入侵;基于网络的入侵检测系统无法检查加密的数据流 10. 安全扫描可以实现:C 弥补由于认证机制薄弱带来的问题;弥补由于协议本身而产生的问题;弥补防火墙对内网安全威胁检测不足的问题;扫描检测所有的数据包攻击,分析所有的数据流 11. 关于安全审计目的描述错误的是:D 识别和分析未经授权的动作或攻击;记录用户活动和系统管理;将动作归结到为其负责的实体;实现对安全事件的应急响应 12. 安全审计跟踪是: 安全审计系统检测并追踪安全事件的过程;安全审计系统收集并易于安全审计的数据;人利用日志信息进行安全事件分析和追溯的过程;对计算机系统中的某种行为的详尽跟踪和观察13. 以下哪一个最好的描述了数字证书?A 等同于在网络上证明个人和公司身份的身份证;浏览器的一标准特性,它使得黑客不能得知用户的身份;网站要求用户使用用户名和密码登陆的安全机制;伴随在线交易证明购买的收据14. 保证信息不能被未经授权者阅读,这需要用到:A 加密;数字签名;消息摘要;身份验证 15. DNS服务使用的端口是:C 21;80;53;20 16. 以下关于Cookies的说话正确的是:D Cookies是一个图形文件;Cookies会包含可被用户激活的病毒;Cookies会在用户计算机上占用大量空间;Cookies被放在HTTP请求头部发送
防火墙技术论文
摘要 随着计算机网络的发展,上网的人数不断地增大,网上的资源也不断地增加,网络的开放性、共享性、互连程度也随着扩大,所以网络的安全问题也是现在注重考虑的问题。本文介绍网络安全可行的解决方案——防火墙技术,防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施,它实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问, 也可以使用它阻止保密信息从受保护网络上被非法输出。 关键词:防火墙网络安全外部网络内部网络
防火墙技术 1、什么是防火墙 所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet 上的人也无法和公司内部的人进行通信。 2、防火墙的类型和各个类型的特点及原理 防火墙的类型有个人防火墙、网络层防火墙、应用层防火墙。 2.1、个人防火墙 个人防火墙是防止您电脑中的信息被外部侵袭的一项技术,在您的系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。个人防火墙产品如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的free ZoneAlarm 等,都能帮助您对系统进行监控及管理,防止特洛伊木马、spy-ware 等病毒程序通过网络进入您的电脑或在您未知情况下向外部扩散。这些软件都能够独立运行于整个系统中或针对对个别程序、项目,所以在使用时十分方便及实用。 2.2、网络层防火墙 网络层防火墙可视为一种IP 封包过滤器,运作在底层的TCP/IP 协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
简要介绍网络安全中防火墙和IDS的作用
简要介绍网络安全中防火墙和IDS 的作用 简要介绍网络安全中防火墙和IDS的作用作者:天缘源自:天极网 业界的同行曾经说过“安全,是一种意识,而不是某种的技术就能实现真正的安全。”随着工作的时间渐长,对这句话的体会就越深。再防守严密的网络,利用人为的疏忽,管理员的懒惰和社会工程学也可能被轻易攻破。 因此,在这里我介绍的防火墙和IDS技术,只是我们在网络安全环节中进行的一个防御步骤。在网络内进行防火墙与IDS的设置,并不能保证我们的网络就绝对安全了,但是设置得当的防火墙和IDS,至少会使我们的网络更为坚固一些,并且能提供更多的攻击信息供我们分析。 接下来,让我们正确地认识一下防火墙和IDS的作用吧。 防火墙 一、防火墙能够作到些什么? 1.包过滤 具备包过滤的就是防火墙?对,没错!根据对防火墙的定义,凡是能有效阻止网络非法连接的方式,都算防火墙。早期的防火墙一般就是利用设置的条件,监测通过的包的特征来决定放行或者阻止的,包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出,但是包过滤依然是非常重要的一环,如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个ip的流量和连接数。 2.包的透明转发 事实上,由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是Server—FireWall—Guest 。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,因此,很多防火墙具备网关的能力。 3.阻挡外部攻击 如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。
实验:防火墙基本配置
实验七交换机基本配置 一、实验目的 (1)使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理,行能根据需要进行简单网络的规划和设计。 实验设备与器材 熟悉交换机开机界面; (2)掌握Quidway S系列中低端交换机几种常用配置方法; (3)掌握Quidway S系列中低端交换机基本配置命令。 二、实验环境 Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。 交换机,标准Console配置线。 三、实验内容 学习使用Quidway R2611模块化路由器的访问控制列表(ACL)进行防火墙实验。 预备知识 1、防火墙 防火墙作为Internet访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃,以拒绝非法用户访问网络并保障合法用户正常工作。 2、包过滤技术 一般情况下,包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。 3、访问控制列表 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL(Access Control List)定义的。
访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。 访问控制列表(Access Control List )的作用 访问控制列表可以用于防火墙; 访问控制列表可用于Qos(Quality of Service),对数据流量进行控制; 访问控制列表还可以用于地址转换; 在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP) ACL示意图 ACL的分类 按照访问控制列表的用途,可以分为四类: ●基本的访问控制列表(basic acl) ●高级的访问控制列表(advanced acl) ●基于接口的访问控制列表(interface-based acl) ●基于MAC的访问控制列表(mac-based acl) 访问控制列表的使用用途是依靠数字的范围来指定的,1000~1999是基于接口的访问控制列表,2000~2999范围的数字型访问控制列表是基本的访问控制列表,3000~3999范围的数字型访问控制列表是高级的访问控制列表,4000~4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 4、防火墙的配置项目 防火墙的配置包括:
CIW网络安全基础与防火墙试卷(第三套)
《CIW网络安全基础与防火墙》模拟试卷 一、单项选择题(本大题共15小题,每小题2分,共30分) 一.单选题 a b d c a a b a a d b a c d c 二.多选题abcd P1-15 abc P3-10 abc P4-12 abcd P4-28 abcd P6-15 abcd P6-16 abcd P7-3 abcd P7-4 abc P7-18 abcd P9-3 abcd P9-6 abc P3-10 abd P cd abcd P8-4 三.判断题 1 0 1 1 1 0 0 1 1 0 1 1 1 1 0 1.( A )使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务, 这属于什么漏洞?。 A拒绝服务 B. 文件共享 C. BIND漏洞 D.远程过程调用 2.( B )使用Windows 2000的组策略,可以限制用户对系统的操作权限,该实例是何种功能的应用? A访问控制列表 B.执行控制列表 C.身份验证D:数据加密 3.(D )针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,这是哪种防火墙的特点? A. 包过滤型; B. 应用级网关型; C. 复合型防火墙; D. 代理服务型 4.( C )计算机犯罪的统计数字都表明计算机安全问题主要来源于 A.黑客攻击; B. 计算机病毒侵袭; C. 系统内部; D. 信息辐射 5.( A )下列协议中哪个是VPN常用的安全协议? A. PPTP B. SSL C.帧中继 D.TLS 6.( A )电路级网关是以下哪一种软/硬件的类型? A.防火墙; B.入侵检测软件; C.端口; D.商业支付程序 7.( B )随着网络中用户数量的增长,Internet连接需求也不断增加,在考虑改善网络性能时,以下哪 个是应该考虑的部分? A WINS服务器; B. 代理服务器; C. DHCP服务器; D.目录服务器 8.( A )哪种加密方式是使用一个共享的密钥? A.对称加密技术 B.非对称加密技术; C. HASH算法; D.公共密钥加密术; 9.(A )公司财务人员需要定期通过Email发送文件给他的主管,他希望只有主管能查阅该邮件,可以 采取什么方法? A.加密; B.数字签名; C.消息摘要; D.身份验证 10.(D )下列不属于WEB管理员的管理工作的是: A.监视WEB服务器性能; B.确保站点安全; C.维护站点更新链接等; D.根据站点的发展升级软件 11.( B )下列证书不使用X.509v3标准的是: A.服务器证书; B.数字证书; C.个人证书; D.发行者证书 12.( A )以下代理服务器哪个可被Linux客户端使用? A. Microsoft proxy; B. FTP proxy; C. Winsock proxy; D. SOCKS proxy. 13.( C )用户希望在Windows 2000上配置文件的审核功能,首先应该做什么? A.扩大磁盘容量 B.使用FAT32格式化磁盘 C.使用NTFS格式化磁盘 D.使用RAID5 14.( D )以下哪个命令或工具可以使用户从远程终端登录系统? A. HOST; B. Finger; C. SetRequest; D.Telnet 15.( C )防止盗用IP行为是利用防火墙的什么功能? A.防御攻击的功能; B.访问控制功能; C. IP地址和MAC地址绑定功能; D. URL过滤功能 二、多选题(本大题共15小题,每空3分,共45分) 16.(ABCD )网络安全工作的目标包括: 第1页,共8页
防火墙在网络安全中作用
防火墙在网络安全中作用 随着信息技术的不断发展和防火墙技术的不断完善,目前先进的防火墙已经能从应用层监测数据,对数据的安全性进行判别。我们称这种防火墙为检测性防火墙,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,能够检测大量来自网络外部的攻击。因此安装了此种防火墙以后如果对于单纯的外部网络攻击是无法导致内部数据泄露的。 据权威机构统计,在针对网络系统的攻击中导致数据泄露,有相当比例是因为来自网络内部攻击,或者内部系统软件、应用软件存在能够入侵的漏洞导致。比如新增了一个新的应用程序,肯定会出现新的安全漏洞,必须在安全策略上做一些调整,不断完善。再说,网络本省就是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,有些病毒会在你的系统中自动打包一些文件自动从发件箱中发出。可能造成信息泄漏、文件丢失、机器死机等不安全因素。另外在对网络管理上也会存在很大的问题,例如网络的使用者对自己账号密码等私人数据管理不严格呆滞泄露,让黑客有机可乘,窃取大量机密数据。这些情况才是网络泄密真正应该注意和避免的问题。 综上所述,如果我们需要避免网络泄密,防火墙只是硬件上一个保障措施,但并不能完完全全的去依赖防火墙。我们还应该做好对整个系统软件,尤其是应用软件的安全策略。例如引入访问控制技术。 访问控制技术也就是通常讲的认证技术。对合法用户进行认证可以防止非法用户获得对信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。 1、身份认证。当系统的用户要访问系统资源时要求确认是否是合法的用户,这就是身份认证。常采用用户名和口令等最简易方法进行用户身份的认证识别。 2、报文认证。主要是通信双方对通信的内容进行验证,以保证报文由确认
【最新推荐】关于电脑防火墙设置方法-推荐word版 (1页)
【最新推荐】关于电脑防火墙设置方法-推荐word版 本文部分内容来自网络整理,本司不为其真实性负责,如有异议或侵权请及时联系,本司将立即删除! == 本文为word格式,下载后可方便编辑和修改! == 关于电脑防火墙设置方法 导语:为防止电脑被其他的一些病毒入侵,一般要开启防火墙设置。以下 是小编收集的有关电脑技巧的知识,希望对您有所帮助。 步骤1、首先需要了解电脑防火墙的位置,最简单的办法就是进入控制面板,找到windows 防火墙,打开就可以进入到具体设置页面。 2、打开电脑windows防火墙后,如果仅仅是想禁用或者启用防火墙,那么直接选定“启用”或者“关闭”,然后确定就可以了。 3、启用防火墙之后,如果想让一些软件可以进行网络连接,对另外一些程 序和服务禁用网络连接,那么可以在电脑windows防火墙中选择例外菜单,如 果要禁用已经联网的程序或服务,只需将勾选去除,按确定就可以了。 4、如果有一些需要的程序或服务没有在例外列表中,而防火墙又是开启的,那么这部分程序和服务就不能连接外网。添加方法如下,点击例外菜单下的添 加程序按钮,然后在新窗口列表中选择要添加的程序,选择确定保存就可以了。 5、如果你设置了很多例外,到最后都想取消,取消一些不当的操作,只需 要将防火墙还原为默认值就可以了,选择防火墙高级菜单,点击“还原为默认值”按钮即可。 6、还原后,也就是说以后有程序和服务要访问网络时,都会被阻止,这时 需要在例外菜单中设置“防火墙阻止程序时通知我”,这样就可以通过辨别来 对某些有用的程序放行了。 7、最后建议将防火墙一直开着,这是保护电脑不被利用的有利防线。
防火墙基础知识
防火墙基础知识 一、防火墙与路由器的异同: 1、防火墙的登陆管理方式及基本配置是一样,有的防火墙多一个 DMZ端口。 2、路由器只能简单的路由策略,防火墙具备强大的访问控制:分 组对象。 3、路由器是默认的端口是开放的,防火墙的端口默认的常见端口 外都是关闭的。 二、防火墙的登陆方式: 1、console口,路由器的登陆方式一样 2、telnet登陆,需要设置 3、SSH登陆,同telnet登陆一样 三、防火墙的用户模式: 1、用户模式:PIX525> 2、特权模式PIX525# 3、全局配置模式PIX525(config)# 4、局部配置模式PIX525(config-if)# 四、防火墙基本配置 1、接口配置 防火墙PIX525默认的的有3个端口,外网口、内网口、DMZ 端口,主要配置ip地址、工作模式、速度、接口名字、安全级别interface Ethernet0
nameif outside security-level 0 ip address 218.28.202.97 255.255.255.0 duplex full 2、访问控制列表 access-list acl_out extended permit icmp any any access-list acl_out extended permit tcp any host 218.28.202.99 object-group DMZ access-list allownet extended permit ip host 192.168.0.123 object-group msn 3、设置网关地址 route outside 0.0.0.0 0.0.0.0 218.28.202.110 外网口网关 route inside 0.0.0.0 0.0.0.0 192.168.1.1 内网口网关 路由的网关设置 Ip route 0.0.0.0 0.0.0.0 218.28.202.110 4、端口重定向 PIX525(config)# object-group service word TCP PIX525(config-if)port-object eq 8866 先在服务的对象分组中开放一个端口,在全局模式下 static (inside,outside) tcp 218.28.202.100 8866 192.168.2.77 8866 netmask 255.255.255.255
防火墙基础知识与配置
防火墙技术是安全技术中的一个具体体现。防火墙原本是指房屋之间修建的一道墙,用以防止火灾发生时的火势蔓延。我们这里讨论的是硬件防火墙,它是将各种安全技术融合在一起,采用专用的硬件结构,选用高速的CPU、嵌入式的操作系统,支持各种高速接口(LAN接口),用来保护私有网络(计算机)的安全,这样的设备我们称为硬件防火墙。硬件防火墙可以独立于操作系统(HP-UNIX、SUN OS、AIX、NT等)、计算机设备(IBM6000、普通PC等)运行。它用来集中解决网络安全问题,可以适合各种场合,同时能够提供高效率的“过滤”。同时它可以提供包括访问控制、身份验证、数据加密、VPN技术、地址转换等安全特性,用户可以根据自己的网络环境的需要配置复杂的安全策略,阻止一些非法的访问,保护自己的网络安全。 现代的防火墙体系不应该只是一个“入口的屏障”,防火墙应该是几个网络的接入控制点,所有进出被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进出的关口,因此防火墙不但可以保护内部网络在Internet中的安全,同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络内部中,所有的计算机之间是被认为“可信任的”,它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定的“策略”进行访问。
防火墙发展至今已经历经三代,分类方法也各式各样,例如按照形态划分可以分为硬件防火墙及软件防火墙;按照保护对象划分可以分为单机防火墙及网络防火墙等。但总的来说,最主流的划分方法是按照处理方式进行分类。 防火墙按照处理方式可以分为以下三类: 包过滤防火墙 包过滤是指在网络层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是:通过配置访问控制列表(ACL, Access Control List)实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。 包过滤防火墙的设计简单,非常易于实现,而且价格便宜。 包过滤防火墙的缺点主要表现以下几点: 1. 随着ACL 复杂度和长度的增加,其过滤性能呈指数下降趋势。 2. 静态的ACL 规则难以适应动态的安全要求。
防火墙的工作技术分类与基础原理介绍
防火墙的工作技术分类与基础原理介绍 防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序 的快速蔓延。这篇文章主要介绍了防火墙的工作技术分类与基础原理,需要的朋友可以参 考下 具体介绍 防火墙是指设置在不同网络如可信任的企业内部网和不可信的公共网或网络安全域之 间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选 择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网 络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。 防火墙有两种,硬件防火墙和软件防火墙,他们都能起到保护作用并筛选出网络上的 攻击者。在这里主要给大家介绍一下我们在企业网络安全实际运用中所常见的硬件防火墙。 防火墙技术分类 防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。 包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加 载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据 包进行检查,限制数据包进出内部网络。包过滤的最大优点是对用户透明,传输性能高。 但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端 口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等 高层次的攻击手段,则无能为力。 状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接,状态检测检查预 先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生 成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包通常是大量的数据包 通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是 动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地 提高。 1. 包过滤技术 包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。包过滤 防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的
CIW模拟试题----网络安全基础与防火墙2010-11)
CIW模拟试题----网络安全基础与防火墙 试卷类型:客观(单选、多选、判断) 创建试卷时间:2006-11-1 14:12:13 一、单选题(每题2分,共25 题) 题号: 1)空气湿度过低对计算机造成的危害体现在: C A、使线路间的绝缘度降低,容易漏电 B、容易产生腐蚀,导致电路工作不可靠 C、容易产生静电积累,容易损坏半导体芯片和使存储器件中的数据丢失 D、计算机运行程序的速度明显变慢题号: 2)以下哪一个最好的描述了数字证书?A A、等同于在网络上证明个人和公司身份的身份证 B、浏览器的一标准特性,它使得黑客不能得知用户的身份 C、网站要求用户使用用户名和密码登陆的安全机制 D、伴随在线交易证明购买的收据 题号: 3)在以下操作中,哪项不会传播计算机病毒? C A、将别人使用的软件复制到自己的计算机中 B、通过计算机网络与他人交流软件 C、将自己的软盘与可能有病毒的软盘存放在一起 D、在自己的计算机上使用其他人的软盘 题号: 4)包过滤工作在OSI模型的哪一层?A、表示层B、传输层C、网络层D、数据链路层 题号: 5) 安全审计跟踪是: A、安全审计系统检测并追踪安全事件的过程 B、安全审计系统收集并易于安全审计的数据 C、人利用日志信息进行安全事件分析和追溯的过程 D、对计算机系统中的某种行为的详尽跟踪和观察 题号: 6) TELNET协议主要应用于哪一层? A、应用层 B、传输层 C、Internet层 D、网络层 题号: 7) 如果内部网络的地址网段为192.168.1.0/24 ,需要用到下列哪个功能,才能使用户上网? A、地址学习 B、地址转换 C、IP地址和MAC地址绑定功能 D、URL过滤功能 题号: 8) WEB站点的管理员决定让站点使用SSL,那他得将WEB服务器监听的端口改为: A、80 B、119 C、443 D、433 题号: 9) 密码技术中,识别个人、网络上的机器或机构的技术称为: A、认证 B、数字签名 C、签名识别 D、解密 题号: 10) 一个用户通过验证登录后,系统需要确定该用户可以做些什么,这项服务是? A、认证 B、访问控制 C、不可否定性 D、数据完整性 题号: 11) Windows NT主机推荐使用什么文件系统?A、FAT32 B、NTFS C、FAT D、EXT2 题号: 12)抵御电子邮箱入侵措施中,不正确的是: A、不用生日做密码 B、不要使用少于5位的密码 C、不要使用纯数字 D、自己做服务器 题号: 13) SSL加密的过程包括以下步骤:①通过验证以后,所有数据通过密钥进行加密,使用DEC和RC4加密进行加密。②随后客户端随机生成一个对称密钥。③信息通过HASH加密,或者一次性加密(MD5/SHA)进行完整性确认。④客户端和服务器协商建立加密通道的特定算法。 A、④③①② B、④①③② C、④②③① D、④②①③ 题号: 14) 从事计算机系统及网络安全技术研究,并接收、检查、处理相关安全事件的服务性组织称为: A、CERT B、SANS C、ISSA D、OSCE 题号: 15) 用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段? A、缓存溢出攻击 B、钓鱼攻击 C、暗门攻击 D、DDOS攻击 题号: 16) 为控制企业内部对外的访问以及抵御外部对内部网的攻击,最好的选择是: A、IDS B、防火墙 C、杀毒软件 D、路由器 题号: 17) 在公钥密码体制中,用于加密的密钥为:A、公钥B、私钥C、公钥与私钥D、公钥或私钥 题号: 18) IPSEC能提供对数据包的加密,与它联合运用的技术是: A、SSL B、PPTP C、L2TP D、VPN 题号: 19) 关于屏蔽子网防火墙,下列说法错误的是: A、屏蔽子网防火墙是几种防火墙类型中最安全的 B、屏蔽子网防火墙既支持应用级网关也支持电路级网关 C、内部网对于Internet来说是不可见的 D、内部用户可以不通过DMZ直接访问Internet 题号: 20) 在访问因特网过程中,为了防止Web页面中恶意代码对自己计算机的损害,可以采取以下哪种防范措施? A、利用SSL访问Web站点 B、将要访问的Web站点按其可信度分配到浏览器的不同安全区域 C、在浏览器中安装数字证书 D、要求Web站点安装数字证书
相关文档
- 防火墙知识简介
- 防火墙基本原理及ACL基本知识
- win7防火墙设置指南、多重作用防火墙策略以及设置方法
- 防火墙基础知识与配置
- windows7开启关闭防火墙
- 防火墙基础知识
- 【最新推荐】关于电脑防火墙设置方法-推荐word版 (1页)
- 硬件防火墙的相关知识
- 防火墙与入侵检测基本知识点
- 防火墙基础知识
- 网络系统安全基础知识(ppt 111页)
- QCCP-PS-NGFW-01-防火墙基础知识
- 防火墙基础知识PPT课件
- 防火墙基础知识精品PPT课件
- 防火墙基础知识
- 防火墙的工作原理
- 防火墙基础知识介绍
- 防火墙基础知识
- 防火墙的基本知识及应用
- 电脑网络基础知识:无线局域网、防火墙、交换机、路由器