详细配置硬件防火墙.docx
《详细配置硬件防火墙.docx》由会员分享,可在线阅读,更多相关《详细配置硬件防火墙.docx(14页珍藏版)》请在冰豆网上搜索。
详细配置硬件防火墙
详细配置硬件防火墙
详解如何配置硬件防火墙
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。
防火墙有两种,硬件防火墙和软件防火墙,他们都能起到保护作用并筛选出网络上的攻击者。
在这里主要给大家介绍一下我们在企业网络安全实际运用中所常见的硬件防火墙。
一、防火墙基础原理
1、防火墙技术
防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。
下面,我们将介绍这些手段的工作机理及特点,并介绍一些防火墙的主流产品。
包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁
止来自某些特定的源地址、目的地址、TCP端
口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。
包过滤的最大优点是对用户透明,传输性能高。
但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。
状态检测是比包过滤更为有效的安全控制方法。
对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。
对该连接的后续数据包,只要符合状态表,就可以通过。
这种方式的好处在于:
由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提咼。
2、防火墙工作原理
(1)包过滤防火墙
包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。
包过滤防火墙的工作原理是:
系统在网络层检查数据包,与应用层无关。
这样系统就具有很好的传输性能,可扩展能力强。
但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。
图1:
包过滤防火墙工作原理图
(2)应用网关防火墙
应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。
然而,应用网关防火墙是通过打破客户机/服务器模式实现的。
每个客户机/服务器通信需要两个连接:
一个是从客户端到防火墙,另一个是从防火墙到服务器。
另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务
程序,否则不能使用该服务。
所以,应用网关防火墙具有可伸缩性差的缺点。
(图2)
(3)状态检测防火墙
状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。
这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。
可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。
(图3)
mfww.HoiBaLNet
建立连接状态表*
4)复合型防火墙
ssss:
met
复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。
常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。
它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。
(图4)
足检査报头'
ggt
立连接状态表*
3、四类防火墙的对比
包过滤防火墙:
包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。
应用网关防火墙:
不检查IP、TCP报头,不建立连接状态表,网络层保护比较弱。
状态检测防火墙:
不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。
复合型防火墙:
可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。
4、防火墙术语
网关:
在两个设备之间提供转发服务的系统。
网关是互联网应用程序在两台主机之间处理流量的防火墙。
这个术语是非常常见的。
DMZ非军事化区:
为了配置管理方便,内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。
防火墙一般配备三块网卡,在配置时一般分别分别连接内部网,internet和DMZ。
吞吐量:
网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。
吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。
这是测量防火墙性能的重要指标。
最大连接数:
和吞吐量一样,数字越大越好。
但是最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。
防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。
数据包转发率:
是指在所有安全规则配置正确的情况下,防火墙对数据流量的处理速度。
详解如何配置硬件防火墙
(2)
SSL:
SSL(SecureSocketsLayer)是由Netscape公司开发的一套Internet数据
安全协议,当前版本为3.0。
它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。
SSL协议位于TCP/IP协议与各种应
用层协议之间,为数据通讯提供安全支持。
网络地址转换:
网络地址转换(NAT)是一种将一个IP地址域映射到另一个IP地址域技术,从而为终端主机提供透明路由。
NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。
NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。
在防火墙上实现NAT后,可以隐藏受保护网络的内部拓扑结构,在一定程度上提高网络的安全性。
如果反向
NAT提供动态网络地址及端口转换功能,还可以实现负载均衡等功能。
堡垒主机:
一种被强化的可以防御进攻的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。
1、防火墙的外观及内部构造
□
-n--1■»Ir
注:
第一幅与第二幅并无关系。
三、防火墙的基本配置
下面我以国内防火墙第一品牌天融信NGFW4000为例给各位讲解一下在一个典型的网络环境中应该如何来配置防火墙。
图5:
网络拓扑结构
Internet
DMZ7
www.HeiBaLNet
GFW4000有3个标准端口,其中一个接外网
(Internet网),一个接内网,一个接DMZ
区,在DMZ区中有网络服务器。
安装防火墙所要达到的效果是:
内网区的电脑可以任意访问外网,可以访问DMZ中指定的网络服务器,Internet网和DMZ的电脑不能访问内网;Internet网可以访问DMZ中的服务器。
1、配置管理端口
天融信网络卫士NGFW4000防火墙是由防火墙和管理器组成的,管理防火墙都是通过网络中的一台电脑来实现的。
防火墙默认情况下,3个口都不是管理端口,所以我们先要通过串口把天融信网络卫士NGFW4000防火墙与我们的电脑连接起来,给防火墙指定一个管理端口,以后对防火墙的设置就可以通过远程来实现了。
使用一条串口线把电脑的串口(COM1)与
NGFW4000防火墙的console口连接起
来,启动电脑的"超级终端",端口选择COM1,通信参数设置为每秒位数9600,数据位8,奇偶校验无,停止位1,数据流控制无。
进入超级终端的界面,输入防火墙的密码进入命令行格式。
定义管理口:
ifethlXXX.XXX.XXX.XXX
255.255.255.0
修改管理口的GUI登录权限:
fireclientaddtopsec-tgui-a夕卜网-i
0.0.0.0-255.255.255.255
2、使用GUI管理软件配置防火墙安装天融信防火墙GUI管理软件"TOPSEC集中管理器“,并建立NGFW4000管理项目,
输入防火墙管理端口的IP地址与说明。
然后登录进入管理界面。
(1)定义网络区域
Internet(外网):
接在ethO上,缺省访问
策略为any(即缺省可读、可写),日志选项为空,禁止ping、GUI、telnet。
Intranet(内网):
接在ethl上,缺省访问策略为none(不可读、不可写),日志选项为记录用户命令,允许ping、GUI、telnet。
DMZ区:
接在eth2上,缺省访问策略为none(不可读、不可写),日志选项为记录用户命令,禁止ping、GUI、telnet。
(2)定义网络对象
一个网络节点表示某个区域中的一台物理机器。
它可以作为访问策略中的源和目的,也可以作为
通信策略中的源和目的。
网络节点同时可以作为地址映射的地址池使用,表示地址映射的实际机器,详细描述见通信策略。
图6
子网表示一段连续的IP地址。
可以作为策略的源或目的,还可以作为NAT的地址池使用。
如果子网段中有已经被其他部门使用的IP,为了避免使用三个子网来描述技术部使用的IP地
址,可以将这两个被其他部门占用的地址在例外地址中说明。
图7
2d
亍岡却at
Ji悝
隱「編〕
www*Met
确定11取消1
详解如何配置硬件防火墙(3)
为了配置访问策略,先定义特殊的节点与子网:
FTP_SERVER:
代表FTP服务器,区域=DMZ,IP地址=XXX.XXX.XXX.XXX。
HTTP_SERVER:
代表HTTP服务器,区域=DMZ,IP地址=XXX.XXX.XXX.XXX。
MAIL_SERVER:
代表邮件服务器为了配置访问策略,先定义特殊的节点与子网:
FTP_SERVER:
代表FTP服务器,区域
=DMZ,IP地址=XXX.XXX.XXX.XXX
HTTP_SERVER:
代表HTTP服务器,区域=DMZ,IP地址=XXX.XXX.XXX.XXX。
MAIL_SERVER:
代表邮件服务器,区域
=DMZ,IP地址=XXX.XXX.XXX.XXX。
V_SERVER:
代表外网访问的虚拟服务器,区域=1nternet,IP=防火墙IP地址。
inside:
表示内网上的所有机器,区域
=lntranet,起始地址=0.000,结束地址
=255.255.255.255。
outside:
表示外网上的所有机器,区域
=lnternet,起始地址=0.0.0.0,结束地址
=255.255.255.255。
(3)配置访问策略
在DMZ区域中增加三条访问策略:
A、访问目的=FTP_SERVER,目的端口
=TCP21。
源=inside,访问权限=读、写。
源=outside,访问权限=读。
这条配置表示内网的用户可以读、写FTP服务器上的文件,而外网的用户只能读文件,不能写文件。
B、访问目的=HTTP_SERVER,目的端口
=TCP80。
源=inside+outside,访问权限
=读、写。
这条配置表示内网、外网的用户都可以访问HTTP服务器。
C、访问目的=MAIL_SERVER,目的端口
=TCP25,TCP110。
源
=inside+outside,访问权限=读、写。
这条配置表示内网、外网的用户都可以访问MAIL
服务器。
(4)通信策略
由于内网的机器没有合法的IP地址,它们访问外网需要进行地址转换。
当内部机器访问外部机器时,可以将其地址转换为防火墙的地址,也可以转换成某个地址池中的地址。
增加一条通信策略,目的=outside,源=inside,方式=NAT,
目的端口=所有端口。
如果需要转换成某个地址池中的地址,则必须先在Internet中定义一
个子网,地址范围就是地址池的范围,然后在通信策略中选择NAT方式,在地址池类型中选择刚才定义的地址池。
服务器也没有合法的IP地址,必须依靠防火墙做地址映射来提供对外服务。
增加通信策略。
A、目的=V_SERVER,源=outside,通信方式=MAP,指定协议=TCP,端口映射
21->21,目标机器=FTP_SERVER。
B、目的=V_SERVER,源=outside,通信方式=MAP,指定协议=TCP,端口映射
80->80,目标机器=HTTP_SERVER。
C、目的=V_SERVER,源=outside,通信方式=MAP,指定协议=TCP,端口映射
25->25,目标机器=MAIL_SERVER。
D、目的=V_SERVER,源=outside,通信
方式=MAP,指定协议=TCP,端口映射110->110,目标机器=MAIL_SERVER。
(5)特殊端口
在防火墙默认的端口定义中没有我们所要用到的特殊端口,就需要我们手工的添加这些特殊端口了。
在防火墙集中管理器中选择"高级管理">"特殊对象">"特殊端口”,将弹出特殊端口的定义界面,点"定义新对象",输入特殊端口号与定义区域即可。
(6)其他配置
最后进入"工具"选项,定义防火墙的管理员、权限以及与IDS的联动等。
(图8)
名称;Isl
应用层协议的类型:
町ITjJ
协询
[TO―3
端口:
8000
具有特殊端口的对繚;
6sl-s
黑祸确定I嚴消I
mww・HciB&LNei
升级会员 