简易防火墙配置.docx
《简易防火墙配置.docx》由会员分享,可在线阅读,更多相关《简易防火墙配置.docx(18页珍藏版)》请在冰豆网上搜索。
简易防火墙配置
简易防火墙的配置
摘要
当今时代是飞速发展的信息时代,计算机与信息处理技术日渐成熟。
随着Internet和计算机网络技术的蓬勃发展,网络安全问题现在已经得到普遍重视。
网络防火墙系统就是网络安全技术在实际中的应用之一。
本文通过学习防火墙和IPSec两种不同技术,学习两者协同工作技术近几年国内外的研究成果,并通过实践动手配置windows2003IP筛选器,加深了对防火墙技术和IPSec安全协议的理解认识。
关键词:
网络安全;防火墙;IPSec安全协议;协同
ThesimpleconfigurationofFirewall
Abstract
Thecurrenteraisarapiddevelopmentofinformationage.Thetechnologiesofcomputerandinformationprocessingbecomemature.WiththeInternetandcomputernetworktechnologytobeflourishing,networksecuritythathasbeenwidelyconcerned.Firewallsystemisoneofthesecuritytechnologiesthatusedinthenetwork.
Inthispaper,itstudiedfirewallandIPSectechnologiesandtheresearchresultsoftheproblemofcooperationofIPSecandfirewallathomeandabroadinrecentyears.Atlast,inordertohaveabetterunderstandingoffirewallandIPSectechnologies,makeaconfigurationofIPfilteronwindows2003server.
Keywords:
NetworkSecurity;Firewall;IPSec;Cooperation
目录
摘要1
Abstract1
1引言3
1.1实验背景3
1.2本实验研究方法3
2国内外研究成果3
2.1面临的问题3
2.2解决的方案4
3实验过程5
3.1实验环境5
3.2实验内容5
3.3实验步骤5
3.3.1运行IP筛选器5
3.3.2添加IP筛选器表6
3.3.3添加IP筛选器动作10
3.3.4创建IP安全策略11
3.3.5用IP筛选器屏蔽特定端口13
3.3.6应用IP安全策略规则15
3.3.7用IP筛选器屏蔽DNS服务15
结论17
心得体会17
下一步工作17
参考文献17
附录1:
插图与表格索引18
1引言
1.1实验背景
防火墙是一种隔离技术,是一类防范措施的总称,利用它使得内部网络与Internet或者其他外部网络之间相互隔离,通过限制网络互访来保护内部网络。
防火墙是建立在内部网络与外部网络之间的唯一安全通道,简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现,它可以在IP层设置屏障,也可以用应用软件来阻止外来攻击。
通过制定相应的安全规则,可以答应符合条件的数据进入,同时将不符合条件的数据拒之门外,这样就可以阻止非法用户的侵入,保证内部网络的安全。
IPSec是IETF设计的网络安全协议。
它能够提供的安全服务包括访问控制、无连接的完整性、抗重播攻击保护、数据源认证、机密性等安全服务。
这些目标通过三大协议:
认证首部协议AH、封装安全载荷协议ESP和自动密钥管理协议IKE的协同使用来完成。
1.2本实验研究方法
验证性实验,通过收集整理资料,了解当前国内外研究的成果。
并在此基础上动手实践,在windows2003下配置IP筛选器。
2国内外研究成果
2.1面临的问题
防火墙主要是用来保护内部网络的,IPsec主要是用来保护数据在网络上传输时的安全,所以很多时候需要这两种技术协同工作以保护整个网络的数据安全。
然而,如果将这两种技术简单地组合在一起,就会引起一定的问题:
IPSec需要将整个IP报文(隧道模式)或整个网络层数据(传输模式)作为整体进行加密或验证处理;而防火墙则需要访问IP报文中传输层的协议头信息进行访问控制处理。
这种根本性的冲突使得在一个分布式的环境下如何让IPSec和防火墙协同工作成为一个实际困难的问题。
2.2解决的方案
而现今国内外的研究结果主流的有3种解决方案。
第一种方案。
将IP报文分成了几个区,对不同的区使用不同的保护方法,每个区均有它们各自的安全关联、密钥以及访问控制规则。
第二种方案将IP报文分为协议头和数据两部分,分别对它们使用AH协议或者ESP协议进行安全处理。
第三种方案是一种双层IPSec处理思想:
将IP报文分为协议头和数据两部分,使用不同的安全关联(SA)对其进行安全处理。
下面将详述各个方案的总体思想及其优缺点。
方案一,将IP报文分区,使用分层IPSec提供对报文端到端的保护时,第一个IPSec安全主机把IP报文划分成若干区并对不同的区使用不同的SA进行保护处理。
受保护的报文通过中间可信任防火墙时,报文的某一特定部分将被解密或修改后再重新被加密,但是其他部分不
受影响。
当报文到达最后的IPSec安全主机时,分层IPSec将重新构造原始报文。
该方案的优点是达到了可信任防火墙对IP报文特定部分安全、可控、有限制地访问,同时对用户报文提供了端到端的保护。
然而该方案对于SA的协商不够灵活,假设安全主机与防火墙之间的网络是安全的,则传输层协议头部分就可以不用进行安全处理,而与之相对应的SA也不用协商,该方案中的SA从源端到目的端均是一致的,所以增加了不必要的负担。
方案二,将IP报文分部,对协议头和数据采用不同协议进行处理,优点是操作相对于前种简单,不用频繁加解密,缺点是增加了报文的长度,增加了网络流量和主机处理报文的负担。
方案三,可以根据网络的安全情况决定需要什么样的SA,这样就可以使IPSec和防火墙各取所需。
当主机和防火墙所在的内网是安全的,传输层协议头部分不需要提供保护,但是数据区域需要保护,所以主机1和主机2的复合SA包括D-SA和数据区SA两部分。
而防火墙之间因为需要穿过公共网络,协议头部分需要保护,其复合SA包括D—SA和协议头SA两部分。
这样就可以根据网络安全情况自由地选择SA的组合情况,方便灵活。
缺点是复合SA的协商现在仍是手动实现的,为实现对IKE协议的扩展。
3实验过程
3.1实验环境
Windows2003Server
3.2实验内容
创建简易防火墙的配置。
完成实验后,将能够在本机实现对IP站点,端口,DNS服务屏蔽
3.3实验步骤
3.3.1运行IP筛选器
任务描述:
在Windows2003Server运行IP筛选器
操作步骤:
(1)在Windows2003桌面上选择“开始”|“运行”命令,在出现的“运行”对话框中输入mmc,单击“确定”按钮出现“控制台1”窗口,选择菜单上的“文件”|“添加/删除管理单元”命令,出现“添加/删除管理单元”对话框。
(2)在“添加/删除管理单元”对话框中(见图3.1),选择“独立”标签页,在“管理单元添加到”下拉列表框中,选择“控制台根节点”单击“添加”按钮,出现“添加独立管理单元”对话框。
图3.1“添加/删除管理单元”对话框
(3)在“添加独立管理单元”对话框,在“可用的独立管理单元”列表框中(见图3.2),选择“IP安全策略管理”,单击“添加”按钮,在出现的“选择计算机”对话框中,单击“本地计算机”单选按钮,单击“完成”按钮。
图3.2“可用的独立管理单元”列表框
(4)返回“添加独立管理单元”对话框,单击“关闭”按钮,返回“添加/删除管理单元”对话框,单击“确定”按钮,返回“控制台1”窗口,完成“IP安全策略,本地计算机”的设置。
3.3.2添加IP筛选器表
任务描述:
在本机中添加一个能对制定IP进行筛选的IP筛选器表。
操作步骤:
(1)在“控制台1”窗口的“控制台根节点”窗口中,展开刚建立的“IP安全策略,在本地机器”选项,右边框中有3个默认的安全规则;
(1)在“控制台1”窗口的“控制台根节点”窗口中,展开刚建立的“IP安全策略,在本地机器”选项,右边框中有3个默认的安全规则;选中左边的“IP安全策略,在本地计算机器”选项并右击,从打开的菜单中选择“管理IP筛选器表和筛选器操作”命令,出现“管理IP筛选器表和筛选器操作”对话框。
图3.3“管理IP筛选器表和筛选器操作”对话框
(2)在出现的“管理IP筛选器表和筛选器操作”对话框中,单击“添加”按钮,出现“IP筛选器列表”对话框。
图3.4“IP筛选器列表”对话框
(3)在打开的“IP筛选器列表”对话框中(见图3.5),输入此IP筛选器的名称和描述,例如:
“名称”为“屏蔽特定IP”,“描述”为“屏蔽192.168.0.2”,取消选择“使用‘添加向导’”复选框,单击“添加”按钮,出现“筛选器属性”对话框,可对“屏蔽特定IP”进行设置。
图3.5修改“IP筛选器列表”的内容
(4)在“IP筛选器属性”对话框(见图3.6),选择“地址”标签页,在“源地址”和“目标地址”下拉列表框中,分别选择“一个特定的IP地址”和“我的IP地址”选项。
当选择“一个特定的IP地址”时,会出现“IP地址”文本框,可输入要屏蔽的IP地址,“192.168.0.2”。
默认情况下,“IP筛选器”的作用是单方面的,比如源地址为A,目标地址为B,则防火墙只对A→B的流量起作用,对B→A的流量则略过不计。
选中“镜像”复选框,则防火墙对A←→B的双向流量都进行处理(相当于一次添加了两条规则)。
图3.6“IP筛选器属性”对话框“地址”标签页
(5)在“筛选器属性”对话框的“协议”标签中(见图3.7),选择协议类型及设置IP协议端口。
图3.7“IP筛选器属性”对话框的“协议”标签页
(6)在“筛选器属性”对话框的“描述”标签页的“描述”文本框中,输入描述文字,作为筛选器的详细描述。
单击“确定”按钮,返回到“IP筛选器列表”窗口,“屏蔽特定IP”被填入了筛选器列表。
(见图3.8)
图3.8设置好的IP筛选器列表
3.3.3添加IP筛选器动作
任务描述:
在任务2的操作中,将一个IP地址192.168.0.2加入到了“待屏蔽IP列表”,但它只是一个列表,没有防火墙功能,只有再加入动作后,才能够发挥作用。
本任务将建立一个“阻止”动作,通过动作与刚才的列表结合,就可以屏蔽特定的IP地址。
操作步骤:
(1)在“控制台1”窗口的“控制台根节点”窗口中,选中左边的“IP安全策略,在本地机器”选项并右击,选择“管理IP筛选器表盒筛选器操作”命令,出现“管理IP筛选器表和筛选器操作”对话框。
(2)在“管理IP筛选器表和筛选器操作”对话框的“管理IP筛选器列表”标签页中选择“屏蔽特定IP”选项,如图13所示;然后选择“管理筛选器操作”标签页,去掉“使用添加向导”前面的对号,单击“添加”按钮,出现“新筛选器操作属性”对话框。
(见图3.9)
图3.9增加新筛选器操作
(3)在“筛选器操作属性”对话框的“安全措施”标签页中,选择“阻止”单选按钮;选择“常规”标签页,在“名称”文本框中输入“阻止”;单击“确定”按钮,此时“阻止”加入到操作列表中,如图3.10所示。
图3.10“阻止”已加入筛选器操作
3.3.4创建IP安全策略
任务描述:
筛选器表和筛选器动作已建立完毕,在本任务中将它们结合起来发挥防火墙的作用。
操作步骤:
(1)返回“控制台1”窗口的“控制台根节点”窗口,选择“IP安全策略,在本地机器”选项并右击,选择“创建IP安全策略”命令,出现“IP安全策略向导”对话框。
(见图3.11)
图3.11“IP安全策略向导”对话框
(2)在“IP安全策略向导”对话框的“名称”文本框中输入“我的安全策略”,可以在“描述”文本框中输入对安全策略设置的描述,单击“下一步”按钮,出现“IP安全策略向导”对话框。
图3.12IP安全策略名称
(3)在“IP安全策略向导”对话框中,取消选择“激活默认响应规则”复选框,单击“下一步”按钮,出现“IP安全策略向导”对话框。
(4)在“IP安全策略向导”对话框中,选择“编辑属性”复选框,单击“完成”按钮,出现“我的安全策略属性”对话框。
图3.13“我的安全策略属性”对话框
(5)在“我的安全策略属性”对话框的“规则”标签中,”去掉使用添加向导”选项前的对号,单击“添加”按钮,出现“新规则属性”对话框,修改此策略的属性,用筛选器表和筛选器动作建立规则。
(6)在“新规则属性”对话框的“IP筛选器列表”标签页中,选择“新IP筛选器”单选按钮;在“筛选器操作”标签页中,选择“阻止”单选按钮;单击“确定”按钮,返回“我的安全策略属性”对话框,可看到新规则已建立,如图3.14所示。
至此,屏蔽特定IP或网址的操作已完成。
图3.14新规则已建立
3.3.5用IP筛选器屏蔽特定端口
任务描述:
建立一个名为“屏蔽21端口”的IP筛选器规则,关闭本机的21端口,然后结合上述任务添加的“阻止”动作进行设置。
同样也可以关闭其他端口
操作步骤:
(1)在“IP筛选器列表”对话框的“名称”文本框中,输入“tcp21”,如图3.15所示,单击“添加”按钮,出现“筛选器属性”对话框。
图3.15“IP筛选器属性”对话框屏蔽端口
(2)在“筛选器属性”对话框的“地址”标签页中的“源地址”下拉列表框中,选择“任何IP地址”,在“目的地址”下拉列表框中,选择“我的IP地址”,取消“镜像”复选框。
在“协议”标签页中,参考图3.16所示进行设置。
图3.16IP筛选器属性协议对话框
(3)单击“确定”,返回到“管理IP筛选器表和筛选器操作”对话框,可以看到“屏蔽21端口”已建立,如图3.17所示。
图3.17已屏蔽ftp21端口
3.3.6应用IP安全策略规则
操作步骤:
(1)在“控制台根节点”窗口中,在刚建立的“我的安全策略”规则上右击,选择“指派”命令,如图3.18所示。
图3.18指派新的IP安全策略
3.3.7用IP筛选器屏蔽DNS服务
操作步骤:
(1)先确认一个有效的DNS域名解析
图3.19有效的DNS域名解析
(2)在“IP筛选器列表”对话框的“名称”文本框中,输入“dns屏蔽”,单击“添加”按钮,出现“筛选器属性”对话框。
(3)在“筛选器属性”对话框的“地址”标签页中的“源地址”下拉列表框中,选择“一个特定的IP地址”,在“目的地址”下拉列表框中,选择“一个特定的DNS名称”,取消“镜像”复选框。
参考图3.20所示进行设置。
图3.20IP筛选器属性协议对话框
(3)单击“确定”,返回到“管理IP筛选器表和筛选器操作”对话框,可以看到“dns屏蔽”已建立,如图3.21所示。
图3.21已屏蔽dns服务
结论
心得体会
本文围绕着防火墙和IPSec协议两种安全技术做了如下的工作:
(1)总结了防火墙和IPSec安全协议的现状与发展中面临的问题,并详细介绍了现今提出的三种解决方案,及其各自的优缺点。
(2)通过前期的资料收集与理论学习,在windows2003下做了IPSec安全策略的创建,应用等实验。
完成实验后,能够在本机实现对IP站点,端口,DNS服务屏蔽。
通过这次的实验,更加深入地了解了防火墙和IPSec安全协议的原理以及使用,理解了两者的异同和作用。
下一步工作
在这次实验的基础上,自己编写防火墙应用程序,部署在路由器上,将能够对通过路由器的IP数据包提取源/目的IP地址,源/目的端口号,协议类型等参数,实现包过滤,同时利用linux环境下的QT编程实现用户友好界面。
参考文献
[1]蒋天发,周迪勋.网络信息安全[M].北京:
电子工业出版社,2009.
[2]候整风,张仁斌,钱朝阳,马学森.网络与信息安全系列课程实践教程[M].合肥:
合肥工业大学出版社,2006.
[3]吴怀宇.WindowsServer2003中文版组网入门与进阶[M].北京:
海洋出版社,2004.
[4]张伍荣.网管实战宝典[M].北京:
清华大学出版社,2008.
[5]代仁东,王尚平,王晓峰,等.双层IPSec与防火墙协同工作的一个设计方案[J].计算机应用研究,2006(10):
107-108.
附录1:
插图与表格索引
图3.1“添加/删除管理单元”对话框5
图3.2“可用的独立管理单元”列表框6
图3.3“管理IP筛选器表和筛选器操作”对话框7
图3.4“IP筛选器列表”对话框7
图3.5修改“IP筛选器列表”的内容8
图3.6“IP筛选器属性”对话框“地址”标签页8
图3.7“IP筛选器属性”对话框的“协议”标签页9
图3.8设置好的IP筛选器列表9
图3.9增加新筛选器操作10
图3.10“阻止”已加入筛选器操作11
图3.11“IP安全策略向导”对话框11
图3.12IP安全策略名称12
图3.13“我的安全策略属性”对话框12
图3.14新规则已建立13
图3.15“IP筛选器属性”对话框屏蔽端口13
图3.16IP筛选器属性协议对话框14
图3.17已屏蔽ftp21端口14
图3.18指派新的IP安全策略15
图3.19有效的DNS域名解析15
图3.20IP筛选器属性协议对话框16
图3.21已屏蔽dns服务16