防火墙配置模式分解.docx

1、防火墙配置模式分解 前言 3一、 防火墙的概况、应用及功能 3 1.1 防火墙的定义 3 1.2防火墙的种类 4 1.2.2网络层防火墙 4 1.2.2应用层防火墙 4 1.2.3数据库防火墙 5 1.3 防火墙的功能 5二、 使用设置 52.1使用习惯 62.1.1所有防火墙文件规则必须更改 62.1 .2以最小的权限安装所有的访问规则 62.1.3 根据法规协议和更改需求来校验每项防火墙的更改 62.1.4当服务过期后从防火墙规则中删除无用的规则 7 2.2配置 72.3工作模式 82.3.1 透明网桥模式 8 2.3.1.1适用环境 9 2.3.1.2组网实例 9 2.3.2 路由模式

2、10 2.3.2.1适用环境 11 2.3.2.2NAT（网络地址转换） 11 2.3.2.3组网实例 12三、总结 13一、前言随着计算机的日益发展，计算机早已深入到各个领域，计算机网络已无处不在。而internet的飞速发展，使计算机网络资源共享进一步加强。随之而来的安全问题也日益突出。在人们对网络的优越性还没有完全接受的时候，黑客攻击开始肆虐全球的各大网站；而病毒制造者们也在各显其能，从CIH到爱虫中毒者不计其数。一般认为，计算机网络系统的安全威胁主要来自黑客的攻击、计算机病毒和拒绝服务攻击三个方面。目前,人们也开始重视来自网络内部的安全威胁。 我们可以通过很多网络工具、设备和策略来为我

3、们的网络提供安全防护。其中防火墙是运用非常广泛和效果最好的选择。然而购买了防火墙设备，却不是仅仅装上了硬件就能发挥作用的，而是需要根据你的网络结构和需求在合适的工作模式下配置相应的安全策略，才能满足你的安全需求。由此引出的问题和解决办法就是本文的主要研究对象。一、防火墙的概况、应用及功能1、防火墙的定义所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户

4、的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。2、防火墙

5、的种类防火墙从诞生开始，已经历了四个发展阶段：基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。主要类型分为网络层防火墙、应用层防火墙、数据库防火墙。其中：I、网络层防火墙网络层防火墙可视为一种 IP 封包过滤器，运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。操作系统及网络设

6、备大多已内置防火墙功能。较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段.等属性来进行过滤。II、应用层防火墙应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫

7、或是木马程序的快速蔓延。XML 防火墙是一种新型态的应用层防火墙。根据侧重不同，可分为：包过滤型防火墙、应用层网关型防火墙、服务器型防火墙。III、数据库防火墙数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。数据库防火墙通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。数据库防火墙面对来自于外部的入侵行为，提供SQL注入禁止和数据库虚拟补丁包功能。3、防火墙的功能作为控制网络访问的安全设备。防火墙应具备

8、以下功能： 隐藏内部网络结构及资源； 保护不安全的网络服务； 执行网络间的访问控制策略： 统一集中的安全管理； 记录并统计网络使用情况； 监视和预警。二、使用及配置1.使用习惯1、所有的防火墙文件规则必须更改。尽管这种方法听起来很容易，但是由于防火墙没有内置的变动管理流程，因此文件更改对于许多企业来说都不是最佳的实践方法。如果防火墙管理员因为突发情况或者一些其他形式的业务中断做出更改，那么他撞到枪口上的可能性就会比较大。但是如果这种更改抵消了之前的协议更改，会导致宕机吗？这是一个相当高发的状况。防火墙管理产品的中央控制台能全面可视所有的防火墙规则基础，因此团队的所有成员都必须达成共识，观察谁进

9、行了何种更改。这样就能及时发现并修理故障，让整个协议管理更加简单和高效。2、以最小的权限安装所有的访问规则。另一个常见的安全问题是权限过度的规则设置。防火墙规则是由三个域构成的：即源（IP地址），目的地（网络/子网络）和服务（应用软件或者其他目的地）。为了确保每个用户都有足够的端口来访问他们所需的系统，常用方法是在一个或者更多域内指定打来那个的目标对象。当你出于业务持续性的需要允许大范围的IP地址来访问大型企业的网络，这些规则就会变得权限过度释放，因此就会增加不安全因素。服务域的规则是开放65535个TCP端口的ANY。防火墙管理员真的就意味着为黑客开放了65535个攻击矢量？3、根据法规协议

10、和更改需求来校验每项防火墙的更改。在防火墙操作中，日常工作都是以寻找问题，修正问题和安装新系统为中心的。在安装最新防火墙规则来解决问题，应用新产品和业务部门的过程中，我们经常会遗忘防火墙也是企业安全协议的物理执行者。每项规则都应该重新审核来确保它能符合安全协议和任何法规协议的内容和精神，而不仅是一篇法律条文。4、当服务过期后从防火墙规则中删除无用的规则。规则膨胀是防火墙经常会出现的安全问题，因为多数运作团队都没有删除规则的流程。业务部门擅长让你知道他们了解这些新规则，却从来不会让防火墙团队知道他们不再使用某些服务了。了解退役的服务器和网络以及应用软件更新周期对于达成规则共识是个好的开始。运行无

11、用规则的报表是另外一步。黑客喜欢从来不删除规则的防火墙团队。2.配置防火墙配置有三种：Dual-homed方式、Screened- host方式和Screened-subnet方式。Dual-homed方式最简单。 Dual-homedGateway放置在两个网络之间，这个Dual-omedGateway又称为bastionhost。这种结构成本低，但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，而它往往是受“黑客”攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏

12、障。它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost，只要有一个失败，整个网络就暴露了。Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为”停火区”（DMZ，即DemilitarizedZone）,Bastionhost放置在“停火区”内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。3.工作模式一般来说，防火墙设备提供了两种工作模式：路由模式和

13、透明（网桥）模式。当防火墙处于路由模式时，防火墙作为三层设备。可以帮助解决内部网络使用私有地址问题。此时防火墙需要处理一些简单的静态路由。防火墙和用户网络也需要进行相关的调整和配置；当防火墙处于透明模式时，防火墙作为二层设备，对于用户网络透明接入。防火墙网络接口无需配置IP地址，用户网络也无需进行任何调整或者配置，但无法解决用户内部网络使用私有地址问题。现在随着实际组网环境的不断变化，一些防火墙开始引入了对防火墙混合模式接入的支持即一台防火墙可同时工作在路由和透明模式下。便于防火墙接入各种复杂的网络环境以满足网络多样化的部署需求。1、透明（网桥）模式在透明模式下，防火墙更像一个网桥，它不干涉网

14、络结构，从拓扑中看来，它似乎是不存在的（因此称为透明）。但是，透明模式的防火墙同样具备数据包过滤的功能。透明网桥模式在数据链路层实现。该模式下的防火墙不需要配置IP地址。防火墙在该模式下工作时，可以透明地接入到网络的任何部位，无需改动用户网络结构和配置，即插即用，简便高效，使用方便。 1.1适用环境在网络中使用哪种工作模式的防火墙取决于你的网络环境。一般来说，在下面所述情况下比较适合使用透明模式：（1）你的服务器需要使用真实互联网IP地址。因为在该模式下，你的服务器看起来像直接面对互联网一样，所有对服务器的访问请求都直接到达服务器。当然，在数据包到达服务器之前会经过防火墙的检测，不符合规则的数

15、据包会被丢弃掉（从服务器编程的角度看，它不会觉察到数据包实际已被处理过）。（2）需要保护同一子网上不同区域（部门）的主机。这时，原来的网络拓扑结构无须做任何改变。比如，企业的财务部是企业重要部门，即使内部员工也不允许随便访问因此，需要特别的保护。但企业网络已经建成，相应改造会带来许多工作。而选择透明模式，既不用改造企业网络结构也可以在没有经过防火墙授权的情况下禁止非法人员访问财务部的主机。如此一来，起到了局部信息保密和保护的效果。1.2组网实例气象短信系统，有两台短信网关服务器，要求分别和电信、移动短信中心连接。连接的电信和移动短信中心的IP都是互联网地址，这种情况下就适合使用透明模式，使用的

16、是防火墙，有四个以太网端口，如图1所示。 图1 透明模式组网示意图不需要给防火墙的端口配置IP，而是直接在本地的电信和移动网关服务器上分别配置互联网地址，并且防火墙网口和线路没有一一对应关系，只要都连接上就可以。接下来就是规则的配置了，我们可以在防火墙上添加电信网关服务器和电信短信中心可以互相访问，移动网关服务器和移动短信中心可以互相访问，然后拒绝所有其它的连接，这样基本上就可以达到我们的配置要求了，更严厉的话，我们可以只开放各个地址需要被访问的端口，其它全部拒绝，这样就更安全了。2、路由模式路由模式是防火墙的基本工作模式，该模式运行在网络层。在路由模式下，防火墙就像一个路由器，能进行数据包的

17、路由。不同的是，它能识别网络第四层协议（即传输层）的信息，因此它能基于TCP/UDP端口来进行过滤。在该模式下，防火墙本身要配备两个或多个网络地址。你的网络结构会被改变。在路由模式下，一般要做NAT地址转换，这时防火墙的各个端口IP地址都位于不同的网段。在路由模式支持NAT地址转换和PAT端口转换。2.1适用环境在国内，一般我们没有太多的公有地址，所以我们在配置内部网络时会使用私有地址段（例如172.16.0.0/16和192.168.0.0/24都属于私有IP地址），那么当两个不同网络需要相互访问时（如内网需要访问互联网），我们需要有一台路由器，而这个时候路由模式下的防火墙就为你提供了最安全

18、的选择。并且防火墙可以为你的内部服务器对外服务给予支持，如果这些服务器不必对外提供服务。那么就最安全不过了，如果要对外提供服务，就有必要通过防火墙的NAT（网络地址转换）来满足来自外部网络的访问要求。综上所述，路由模式适用于保护不同网段网络之间的访问。2.2NAT（网络地址转换）NAT是防火墙的一项功能，它实际上工作在路由模式下。大多数防火墙都会区分所谓的正向NAT 和反向NAT，所谓正向NAT就是指从内网出去的数据包，在经过防火墙后包头会被改写。源IP被改写成防火墙上绑定的IP地址（或地址池，肯定是公网真实IP），源端口也会有所改变，回来的数据包经过同样处理，这样就保证内网具有私有IP的主机

19、能够与因特网进行通信。在反向NAT 的实现中，会将服务器的公网IP绑定在出口处的防火墙上，服务器只会使用一个私有IP。防火墙会在它的公网IP和这个私有IP之间建立一个映射，当外网对这台服务器的请求到达防火墙时，防火墙会把它转发给该服务器。当然在转发之前会先匹配防火墙规则集，不符合规则的数据包将被丢弃。使用反向NAT，会大大提高服务器的安全性。因为任何用户的访问都不是直接面对服务器，而是先要经过防火墙才被转交。而且，服务器使用私有IP地址，这总比使用真实地址要安全。在抗拒绝服务攻击上，这种方式的成效更显然。但是，相对于透明模式的防火墙，采用反向NAT方式的防火墙会影响网络速度。如果你的站点访问流

20、量超大，那么就不要使用该种方式。2.3组网实例内网网段为192.168.121.0/24，内网的主机要求能访问互联网，ISP给的公网地址为60.190.64.139，需要对外开放气象网站服务。我们同样可以用防火墙，采用路由模式，把需要对外开放服务的服务器放到DMZ区，分配地址段为192.168.122.0/24，如图2所示。图2 路由模式组网示意图我们把防火墙网口1配地址为60.190.64.139，接internet光纤；网口2地址为192.168.121.199，接到内网交换机；网口3地址为192.168.122.199，接到DMZ区交换机。添加虚拟主机，例如，网站服务器地址为192.16

21、8.122.251，要开放http服务， 那么就在防火墙上添加虚拟主机，把192.168.122.251的80端口虚拟成60.190.64.139的80端口，这样就把对外服务添加进去了。然后就是配置规则，内网和DMZ区可以对外访问，外部网络可以访问虚拟主机，其他全部拒绝。地址转换则由防火墙自动生成。这样，我们的安全需求就得到实现了。三、总结现在防火墙品牌有很多，型号也很多，各种防火墙的配置方法也不尽相同，但配置的思路基本相同。经过上面的分析，我对防火墙的两种工作模式有了一定的了解，根据自己网络的实际情况规划出最合理的配置，能更好地保护你的网络安全。当然，不是说我们安装了防火墙后就能让我们高枕无忧了，我们从防火墙技术的研究上可以得知，防火墙能保护网络的安全，但并不是绝对的，而是相对的。比如，防火墙不能防范不经过防火墙的攻击、也不能解决来自内部网络的攻击和安全问题等。但是设置得当的防火墙，至少会使我们的网络更为坚固一些，并且能提供更多的攻击信息供我们分析。我们要把防火墙、防病毒、内部网络监测、补丁分发等安全技术围绕安全策略有序地组织在一起，相互协同，相互作用，为我们的网络构建一个相对安全的防范体系。