网络防火墙的分类及应用方案.docx
《网络防火墙的分类及应用方案.docx》由会员分享,可在线阅读,更多相关《网络防火墙的分类及应用方案.docx(15页珍藏版)》请在冰豆网上搜索。
![网络防火墙的分类及应用方案.docx](https://file1.bdocx.com/fileroot1/2023-1/29/26d1f433-4a6a-41bb-a59c-24e3c21f1dac/26d1f433-4a6a-41bb-a59c-24e3c21f1dac1.gif)
网络防火墙的分类及应用方案
网络防火墙的分类及应用方案
系别:
信息工程系统
专业:
网络技术专业
班级:
网络二班
姓名:
武连玲
学号:
0903032209
指导教师:
吕秀鉴
日期:
2011年10月31日星期一
目录
绪论-3-
1.防火墙的概念-3-
1.1什么是防火墙-3-
1.2防火墙的原理-4-
2.防火墙的分类-5-
2.1基础和分类-5-
2.2包过滤防火墙-5-
2.3动态包过滤防火墙-6-
2.4代理(应用层网关)防火墙-6-
2.5自适应代理防火墙-7-
3.防火墙的安全策略-7-
3.1校校园网防火墙网络安全策略-7-
3.2防火墙的基本配置-9-
3.2.1命令行基本信息收集:
-9-
3.2.2能问题需收集下列信息:
-10-
3.2.3接口之间实施策略:
-10-
3.2.4接口管理设置-11-
3.2.5用户帐号的操作-11-
4.防火墙的功能配置-12-
4.1基于内网的防火墙功能及配置-12-
4.1.1IP与MAC(用户)绑定功能-12-
4.1.2MAP(端口映射)功能-13-
4.1.3NAT(地址转换)功能-14-
5.外网防火墙功能配置-14-
5.1基于外网的防火墙功能及配置-14-
5.1.1DOS攻击防范-14-
5.1.2访问控制功能-15-
结论-16-
参考文献-16-
绪论
随着计算机技术应用的普及,各个组织机构的运行越来越依赖和离不开计算机,各种业务的运行架构于现代化的网络环境中。
企业计算机系统作为信息化程度较高、计算机网络应用情况比较先进的一个特殊系统,其业务也同样地越来越依赖于计算机。
保证业务系统和工作的正常、可靠和安全地进行是信息系统工作的一个重要话题。
但是由于计算机系统的安全威胁,给组织机构带来了重大的经济损失,这种损失可分为直接损失和间接损失:
直接损失是由此而带来的经济损失,间接损失是由于安全而导致工作效率降低、机密情报数据泄露、系统不正常、修复系统而导致工作无法进行等。
间接损失往往是很难以数字来衡量的。
在所有计算机安全威胁中,外部入侵和非法访问是最为严重的事。
在网络安全防范中,防火墙具有不可或缺的地位。
防火墙技术是在安全技术当中又是最简单,也是最有效的解决方案。
它不仅过滤了来自外部的探测、扫描、拒绝服务等攻击,还能避免内网已中木马的主机系统信息泄露。
本论文在详细分析防火墙工作原理的基础上,提出一个功能较为完备、性能较好、防火墙系统的本身也较为安全的防火墙系统的设计方案,同时介绍了具体实现过程中的关键步骤和主要方法。
该防火墙在通常的包过滤防火墙基础之上,又增加了MAC地址绑定和端口映射等功能,使之具有更完备、更实用、更稳固的特点。
通过对于具有上述特点的防火墙的配置与测试工作,一方面使得所设计的防火墙系统本身具有高效、安全、实用的特点,另一方面也对今后在此基础上继续测试其它网络产品作好了一系列比较全面的准备工作。
关键词:
网络安全;防火墙;校园网
1.防火墙的概念
1.1什么是防火墙
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。
它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙原是设计用来防止火灾从建筑物的一部分传播到另一部分的设施。
从理论上讲,Internet防火墙服务也有类似目的,它防止Internet(或外部网络)上的危险(病毒、资源盗用等)传播到网络内部。
Internet(或外部网络)防火墙服务于多个目的:
1、限制人们从一个特别的控制点进入;
2、防止入侵者接近你的其它防御设施;
3、限定人们从一个特别的点离开;
4、有效地阻止破坏者对你的计算机系统进行破坏。
1.2防火墙的原理
随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。
一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测),但这几乎是一种不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。
另一种选择就是防火墙(Firewall),防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。
防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏.DMZ外网和内部局域网的防火墙系统。
图1-2-1
2.防火墙的分类
2.1基础和分类
从防火墙的防范方式和侧重点的不同来看,防火墙可以分为很多类型,但是根据防火墙对内外来往数据处理方法,大致可将防火墙分为两大体系:
包过滤防火墙和代理防火墙。
包过滤防火墙经历了两代:
2.2包过滤防火墙
静态包过滤防火墙采用的是一个都不放过的原则。
它会检查所有通过信息包里的IP地址号,端口号及其它的包头信息,并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配,其中:
如果信息包中存在一点与过滤规则不符合,那么这个信息包里所有的信息都会被防火墙屏蔽掉,这个信息包就不会通过防火墙。
相反的,如果每条规都和过滤规则相匹配,那么信息包就允许通过。
静态包的过滤原理就是:
将信息分成若干个小数据片(数据包),确认符合防火墙的包过滤规则后,把这些个小数据片按顺序发送,接收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。
这种静态包过滤防火墙,对用户是透明的,它不需要用户的用户名和密码就可以登录,它的速度快,也易于维护。
但由于用户的使用记录没有记载,如果有不怀好意的人进行攻击的话,我们即不能从访问记录中得到它的攻击记录,也无法得知它的来源。
而一个单纯的包过滤的防火墙的防御能力是非常弱的,对于恶意的攻击者来说是攻破它是非常容易的。
其中“信息包冲击”是攻击者最常用的攻击手段:
主要是攻击者对包过滤防火墙发出一系列地址被替换成一连串顺序IP地址的信息包,一旦有一个包通过了防火墙,那么攻击者停止再发测试IP地址的信息包,用这个成功发送的地址来伪装他们所发出的对内部网有攻击性的信息。
图2-2-1
2.3动态包过滤防火墙
静态包过滤防火墙的缺点,动态包过滤防火墙都可以避免。
它采用的规则是发展为“包状态检测技术”的动态设置包过滤规则。
它可以根据需要动态的在过滤原则中增加或更新条目,在这点上静态防火墙是比不上它的,它主要对建立的每一个连接都进行跟踪。
在这里我们了解的是代理防火墙。
代理服务器型防火墙与包过滤防火墙不同之点在于,它的内外网之间不存在直接的连接,一般由两部分组成:
服务器端程序和客户端程序,其中客户端程序通过中间节点与提供服务的服务器连接。
代理服务器型防火墙提供了日志和审记服务。
图2-2-3
2.4代理(应用层网关)防火墙
这种防火墙被网络安全专家认为是最安全的防火墙,主要是因为从内部发出的数据包经过这样的防火墙处理后,就像是源于防火墙外部网卡一样,可以达到隐藏内部网结构的作用。
由于内外网的计算机对话机会根本没有,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
2.5自适应代理防火墙
自适应代理技术是商业应用防火墙中实现的一种革命性技术。
它结合了代理类型防火墙和包过滤防火墙的优点,即保证了安全性又保持了高速度,同时它的性能也在代理防火墙的十倍以上,在一般的情况下,用户更倾向于这种防火墙。
图2-2-2
3.防火墙的安全策略
3.1校校园网防火墙网络安全策略
讨论防火墙安全策略一般实施两个基本设计方针之一:
1.拒绝访问除明确许可以外的任何一种服务,即拒绝一切未予特许的东西
2.允许访问除明确拒绝以外的任何一种服务,即允许一切未被特别拒绝的东西
校园网防火墙的网络安全策略采取第一种安全控制的方针,确定所有可以被提供的服务以及它们的安全特性,然后开放这些服务,并将所有其它未被列入的服务排斥在外,禁止访问。
校园网网络结构拓扑图如图4-1所示:
图3-1-1校园网网络总拓扑结构图
在实际应用环境中,一般情况下防火墙网络可划分为三个不同级别的安全区域:
内部网络:
这是防火墙要保护的对象,包括全部的内部网络设备及用户主机。
这个区域是防火墙的可信区域(这是由传统边界防火墙的设计理念决定的)。
外部网络:
这是防火墙要防护的对象,包括外部网主机和设备。
这个区域为防火墙的非可信网络区域(也是由传统边界防火墙的设计理念决定的)。
DMZ(非军事区):
它是从内部网络中划分的一个小区域,在其中就包括内部网络中用于公众服务的外部服务器,如Web服务器、邮件服务器、DNS服务器等,它们都是为互联网提供某种信息服务。
在以上三个区域中,用户需要对不同的安全区域制订不同的安全策略。
虽然内部网络和DMZ区都属于内部网络的一部分,但它们的安全级别(策略)是不同的。
对于要保护的大部分内部网络,一般情况下禁止所有来自互联网用户的访问;而由内部网络划分出去的DMZ区,因需为互联网应用提供相关的服务,这些服务器上所安装的服务非常少,所允许的权限非常低,真正有服务器数据是在受保护的内部网络主机上,所以黑客攻击这些服务器没有任何意义,既不能获取什么有用的信息,也不能通过攻击它而获得过高的网络访问权限。
通过NAT(网络地址转换)技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址。
这样可以对外屏蔽内部网络构和IP地址,保护内部网络的安全;同时因为是公网IP地址共享,所以可以大大节省公网IP地址的使用。
在这种应用环境中,在网络拓扑结构上校园网可以有两种选择,这主要是根拥有网络设备情况而定。
如果原来已有边界路由器,则此可充分利用原有设备,利用边界路由器的包过滤功能,添加相应的防火墙配置,这样原来的路由器也就具有防火墙功能了。
然后再利用防火墙与需要保护的内部网络连接。
对于DMZ区中的公用服务器,则可直接与边界路由器相连,不用经过防火墙。
它可只经过路由器的简单防护。
在此拓扑结构中,边界路由器与防火墙就一起组成了两道安全防线,并且在这两者之间可以设置一个DMZ区,用来放置那些允许外部用户访问的公用服务器设施。
依照学院的网络拓扑将网络划分成三个部份,如图4-2所示:
外网、DMZ区和内部网络。
外网与Internet相连;DMZ放置各种应用服务器;内部网络连接校内用户;
图3-1-2学院防火墙结构图
应用服务当中EMAIL、DNS和WWW服务需要外网能够访问,因此将这些服务规划到DMZ区。
3.2防火墙的基本配置
学院采用的是防火墙,它的初始配置也是通过控制端口(Console)与PC机的串口连接,再通过超级终端(HyperTerminal)程序进行选项配置。
也可以通过telnet和Tffp配置方式进行高级配置,但必需先由Console将防火墙的这些功能打开。
NETSCREEN防火墙有四种用户配置模式,即:
普通模式(Unprivilegedmode)、特权模式(PrivilegedMode)、配置模式(ConfigurationMode)和端口模式(InterfaceMode)。
显示基本信息:
3.2.1命令行基本信息收集:
netscreen>getsyst(得到系统信息)
netscreen>getconfig(得到config信息)
netscreen>getlogevent(得到日志)
3.2.2能问题需收集下列信息:
netscreen>setffiliter?
(设置过滤器)
netscreen>debugflowbasic是开启基本的debug功能
netscreen>cleardb是清除debug的缓冲区
netscreen>getdbufstream就可以看到debug的信息了
性能问题需收集下列信息:
得到下列信息前,请不要重新启动机器,否则信息都会丢失,无法判定问题所在。
netscreen>Getpercpudetail(得到CPU使用率)
netscreen>Getsessioninfo(得到会话信息)
netscreen>Getpersessiondetail(得到会话详细信息)
netscreen>Getmac-learn(透明方式下使用,获取MAC硬件地址)
netscreen>Getalarmevent(得到告警日志)
netscreen>Gettech>tftp202.101.98.36tech.txt(导出系统信息)
netscreen>Getlogsystem(得到系统日志信息)
netscreen>Getlogsystemsaved(得到系统出错后,系统自动记录信息,该记录重启后不会丢失。
设置接口-带宽,网关
设置所指定的各个端口的带宽速率,单位为kb/s
Setinterfaceinterfacebandwidthnumber
unsetinterfaceinterfacebandwidth
设置接口的网关
setinterfaceinterfacegatewayip_addr
unsetinterfaceinterfacegateway
设置接口的接口的区域,IP地址zone就是网络逻辑上划分成区,可以在安全区或安全区内部
3.2.3接口之间实施策略:
设置接口的接口的区域
setinterfaceinterfacezonezone
unsetinterfaceinterfacezone
设置接口的IP地址
setinterfaceinterfaceipip_addr/mask
setinterfaceinterfaceipunnumberedinterfaceinterface2
unsetinterfaceinterfaceipip_addr
3.2.4接口管理设置
①setinterfaceinterfacemanage
{ident-reset|nsmgmt|ping|snmp|ssh|ssl|telnet|webui}
unsetinterfaceinterfacemanage
{ident-reset|nsmgmt|ping|snmp|ssh|telnet|webui}
WebUI:
允许接口通过Web用户界面(WebUI)接收HTTP管理信息流。
Telnet:
选择此选项可启用Telnet管理功能。
SSH:
可使用“安全命令外壳”(SSH)通过以太网连接或拨号调制解调器管理NetScreen设备。
必须具有与SSH协议版本1.5兼容的SSH客户端。
选择此选项可启用SSH管理功能。
SNMP:
选择此选项可启用SNMP管理功能。
SSL:
选择此选项将允许接口通过WebUI接收NetScreen设备的HTTPS安全管理信息流。
NSSecurityManager:
选择此选项将允许接口接收NetScreen-SecurityManager信息流。
Ping:
选此选项将允许NetScreen设备响应ICMP回应请求,以确定是否可通过网络访问特定的IP地址。
Ident-Reset:
与“邮件”或FTP发送标识请求相类似的服务。
如果它们未收到确认,会再次发送请求。
处理请求期间禁止用户访问。
启用Ident-reset选项后,NetScreen设备将发送TCP重置通知以响应发往端口113的IDENT请求,然后恢复因未确认标识请求而被阻止的访问。
②指定允许进行管理的ip地址
setinterfaceinterfacemanage-ipip_addr
unsetinterfaceinterfacemanage-ip
3.2.5用户帐号的操作
①添加只读权限管理员
setadminuserRogerpassword2bd21wG7privilegeread-only
②修改帐户为可读写权限
unsetadminuserRoger
setadminuserRogerpassword2bd21wG7privilegeall
③删除用户
unsetadminuserRoger
④清除所有会话,并注销帐户
clearadminnameRoger
4.防火墙的功能配置
4.1基于内网的防火墙功能及配置
4.1.1IP与MAC(用户)绑定功能
如果在一个局域网内部允许HostA上网而不允许HostB上网,则有一种方式可以欺骗防火墙进行上网,就是在HostA还没有开机的时候,将HostB的IP地址换成HostA的IP地址就可以上网了。
那么针对IP欺骗的行为,解决方法是将工作站的IP地址与网卡的MAC地址进行绑定,这样再改换IP地址就不行了,除非将网卡和IP地址都换过来才行,所以将IP地址与MAC地址进行绑定,可以防止内部的IP盗用。
但是这种绑定只适合与防火墙同网段的节点,如果其他网段的节点通过防火墙进行访问时,通过网段的源IP地址与目的IP地址是不同的,无法实现IP地址与MAC的绑定。
但是可以通过IP地址与用户的绑定,因为用户是可以跨网段的。
另外对DHCP用户的支持,如果在用DHCP服务器来动态分配IP地址的网络中,主机没有固定的IP地址,如何解决这样的问题呢?
目前主要有两种方式可以解决这个问题,第一种是在防火墙中内置DHCP服务器,但这种方式由于防火墙内置DHCP服务器,会导致防火墙本身的不安全,如果有一天防火墙失效,造成DHCP服务器宕机会影响整个网络而并不仅仅只对出口造成影响。
另一种比较好的解决方法是防火墙支持基于MAC地址的访问控制,在配置之前,先不添IP地址只添网卡的MAC地址,开机后自动将获得的IP地址传给防火墙,防火墙根据这个IP地址与MAC地址进行绑定来实现访问控制,这种方式可以实现IP地址与MAC地址的绑定。
这种方式的好处是防火墙受到破坏并不会对这个局域网的通讯产生影响,DHCP服务器不会受到影响,整个网络也不需要进行改动。
(用户)绑定针对IP欺骗的行为,我校校园网网络设置中将工作站的IP地址与网卡的MAC地址进行绑定。
BIND192.168.0.2TO01-50-04-BB-71-A6
BIND192.168.0.4TO01-50-04-BB-71-BC……
这样再改换IP地址就不行了,除非将网卡和IP地址都换过来才行,所以将IP地址与MAC地址进行绑定,可以防止内部的IP盗用。
上面的绑定方式只适合与防火墙同网段的节点,如果其他网段的节点通过防火墙进行访问时,通过网段的源IP地址与目的IP地址是不同的,无法实现IP地址与MAC的绑定。
实现方法是通过IP地址与用户的绑定,因为用户是可以跨网段的。
另外对我校DHCP用户的支持,如果在用DHCP服务器来动态分配IP地址的网络中,主机没有固定的IP地址,解决方法是设置防火墙支持基于MAC地址的访问控制,在配置之前,先不添IP地址,只添加网卡的MAC地址,开机后自动将获得的IP地址传给防火墙,防火墙根据这个IP地址与MAC地址进行绑定来实现访问控制,这种方式可以实现IP地址与MAC地址的绑定。
这种方式的好处是防火墙受到破坏并不会对这个局域网的通讯产生影响,DHCP服务器不会受到影响,整个网络也不需要进行改动。
4.1.2MAP(端口映射)功能
通过远程访问WEB服务器域名地址就可以访问到Web服务器的主页,但这样是直接对我的WEB服务器进行访问和操作很不安全。
如果有防火墙,可以把将WEB服务器的地址映射到防火墙的外端口地址,做完映射以后,这些服务器可以使用私有地址,或者这些地址不公开保护起来,对外公开的WEB服务器的地址是防火墙的外端口地址。
因此,通过这种方式有两个优点,第一是这些服务器可以使用私有地址,同时也隐藏了内网的结构,如果这时黑客进行攻击,内网是安全的,因为Web服务器公开的地址是防火墙的外端口,真正的WEB服务器的地址不会受到攻击,这样可以增加网络的安全性。
比如内部设有WEB服务器(192.168.0.1)和有一个远程访问客户(210.4.1.5),通过远程访问WEB服务器域名地址就可以访问到这个网页,但这样是直接对我的WEB服务器进行访问和操作很不安全。
可以将WEB服务器的地址(如192.168.0.1)映射到防火墙的外端口地址(如61.235.51.6),即:
MAP192.168.0.1:
80TO61.235.51.6:
80
MAP192.168.0.2:
21TO61.235.51.6:
21
MAP192.168.0.5:
25TO61.235.51.6:
25
MAP192.168.0.3:
53TO61.235.51.6:
53
做完映射以后,这些服务器可以使用私有地址,或者这些地址不公开保护起来,对外公开的WEB服务器的地址是61.235.51.6,客户端输入http:
//61.235.51.6就可以访问到这个WEB服务器。
因此,通过这种方式有两个优点,第一是这些服务器可以使用私有地址,同时也隐藏了内网的结构,如果这时黑客进行攻击进行扫描,内网是安全的,因为61.235.51.6地址是防火墙的外端口,真正的WEB服务器的地址是192.168.0.1不会受到攻击,这样可以增加网络的安全性
4.1.3NAT(地址转换)功能
网络地址转换可以将内网的私有地址利用防火墙的地址转换功能,来实现对地址的转换,防火墙可以随机设置静态合发地址或者动态地址池,防火墙向外的报文可以从地址池里随机找一个报文转发出来。
利用这个方式也有两个优点:
第一可隐藏内网的结构,第二是内部网络可以使用保留地址,提供IP复用功能。
具体NAT功能配置如下:
natinsidesourcelist22poolpool100
natinsidedestinationstatic10.106.1.16172.1.1.15
natinsidedestinationstatictcp10.106.1.1621172.1.1.1121
natinsidedestinationstatictcp10.106.1.1680172.1.1.1280
5.外网防火墙功能配置
5.1基于外网的防火墙功能及配置
5.1.1DOS攻击防范
防范DOS攻击的传统技术主要有4种:
①加固操作系统,即配置操作系统各种参数以加强系统稳固性
②利用防火墙
③负载均衡技术,即把应用业务分布到几台不同的服务器上
④带宽限制和QOS保证
本论文主要介绍利用防火墙来应对DOS的攻击。
目前绝大数的主流防火墙都支持IPInspect功能,防火墙会对进入防火墙的信息进行严格的检测。
这样,各种针对系统漏洞的攻击包会自动被系统过滤掉,从而保护了网络免受来自外部的系统漏洞攻击。
通过设置ACL过滤、TCP监听功能,过滤不必要的UDP和ICMP数据报。
防火墙的基本配置如下:
firewall(config)#nameiffa0/1insidesecurity100
firewall(config)#nameiffa0/2insidesecurity100
firewall(config