详细配置硬件防火墙.docx

1、详细配置硬件防火墙详细配置硬件防火墙详解如何配置硬件防火墙防火墙是指设置在不同网络（如可信任的企业内 部网和不可信的公共网）或网络安全域之间的一 系列部件的组合。它是不同网络或网络安全域之 间信息的唯一出入口，通过监测、限制、更改跨 越防火墙的数据流，尽可能地对外部屏蔽网络内 部的信息、结构和运行状况，有选择地接受外部 访问，对内部强化设备监管、控制对服务器与外 部网络的访问，在被保护网络和外部网络之间架 起一道屏障，以防止发生不可预测的、潜在的破 坏性侵入。防火墙有两种，硬件防火墙和软件防 火墙，他们都能起到保护作用并筛选出网络上的 攻击者。在这里主要给大家介绍一下我们在企业 网络安全实际运

2、用中所常见的硬件防火墙。一、防火墙基础原理1、防火墙技术防火墙通常使用的安全控制手段主要有包过滤、 状态检测、代理服务。下面，我们将介绍这些手 段的工作机理及特点，并介绍一些防火墙的主流 产品。包过滤技术是一种简单、有效的安全控制技术， 它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、 TCP端口号等规则，对通过设备的数据包进行检查， 限 制数据包进出内部网络。包过滤的最大优点是对 用户透明，传输性能高。但由于安全控制层次在 网络层、传输层，安全控制的力度也只限于源地 址、目的地址和端口号，因而只能进行较为初步 的安全控制，对于恶意的拥塞攻击、内存覆盖攻 击或病毒等

3、高层次的攻击手段，则无能为力。 状态检测是比包过滤更为有效的安全控制方法。 对新建的应用连接，状态检测检查预先设置的安 全规则，允许符合规则的连接通过，并在内存中 记录下该连接的相关信息，生成状态表。对该连 接的后续数据包，只要符合状态表，就可以通过。 这种方式的好处在于：由于不需要对每个数据包 进行规则检查，而是一个连接的后续数据包(通 常是大量的数据包)通过散列算法，直接进行状 态检查，从而使得性能得到了较大提高；而且， 由于状态表是动态的，因而可以有选择地、动态 地开通1024号以上的端口，使得安全性得到 进一步地提咼。2、防火墙工作原理(1 )包过滤防火墙包过滤防火墙一般在路由器上实现

4、，用以过滤用 户定义的内容，如IP地址。包过滤防火墙的工 作原理是：系统在网络层检查数据包，与应用层 无关。这样系统就具有很好的传输性能，可扩展 能力强。但是，包过滤防火墙的安全性有一定的 缺陷，因为系统对应用层信息无感知，也就是说, 防火墙不理解通信的内容，所以可能被黑客所攻 破。图1:包过滤防火墙工作原理图（2 ）应用网关防火墙应用网关防火墙检查所有应用层的信息包， 并将 检查的内容信息放入决策过程，从而提高网络的 安全性。然而，应用网关防火墙是通过打破客户 机/服务器模式实现的。每个客户机/服务器通 信需要两个连接：一个是从客户端到防火墙，另 一个是从防火墙到服务器。另外，每个代理需要

5、一个不同的应用进程，或一个后台运行的服务程 序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防 火墙具有可伸缩性差的缺点。（图 2 ）（3 ）状态检测防火墙状态检测防火墙基本保持了简单包过滤防火墙 的优点，性能比较好，同时对应用是透明的，在 此基础上，对于安全性有了大幅提升。这种防火 墙摒弃了简单包过滤防火墙仅仅考察进出网络 的数据包，不关心数据包状态的缺点，在防火墙 的核心部分建立状态连接表，维护了连接，将进 出网络的数据当成一个个的事件来处理。可以这 样说，状态检测包过滤防火墙规范了网络层和传 输层行为，而应用代理型防火墙则是规范了特定 的应用协议上的行为

6、。（图3）mfww. HoiBaLNet建立连接状态表*4 ）复合型防火墙ssss: met复合型防火墙是指综合了状态检测与透明代理 的新一代的防火墙，进一步基于 ASIC架构， 把防病毒、内容过滤整合到防火墙里，其中还包 括VPN、IDS功能，多单元融为一体，是一种 新突破。常规的防火墙并不能防止隐蔽在网络流 量里的攻击，在网络界面对应用层扫描，把防病 毒、内容过滤与防火墙结合起来，这体现了网络 与信息安全的新思路。它在网络边界实施 OSI 第七层的内容扫描，实现了实时在网络边缘布署 病毒防护、内容过滤等应用层服务措施。（图4）足检査报头gg t 立连接状态表* 3、四类防火墙的对比包过滤防

7、火墙：包过滤防火墙不检查数据区， 包 过滤防火墙不建立连接状态表，前后报文无关， 应用层控制很弱。应用网关防火墙：不检查IP、TCP报头，不建 立连接状态表，网络层保护比较弱。状态检测防火墙：不检查数据区，建立连接状态 表，前后报文相关，应用层控制很弱。复合型防火墙：可以检查整个数据包内容，根据 需要建立连接状态表，网络层保护强，应用层控 制细，会话控制较弱。4、防火墙术语网关：在两个设备之间提供转发服务的系统。 网 关是互联网应用程序在两台主机之间处理流量 的防火墙。这个术语是非常常见的。DMZ非军事化区：为了配置管理方便，内部网 中需要向外提供服务的服务器往往放在一个单 独的网段，这个网段

8、便是非军事化区。防火墙一 般配备三块网卡，在配置时一般分别分别连接内 部网，in ternet 和 DMZ。吞吐量：网络中的数据是由一个个数据包组成， 防火墙对每个数据包的处理要耗费资源。吞吐量 是指在不丢包的情况下单位时间内通过防火墙 的数据包数量。这是测量防火墙性能的重要指 标。最大连接数：和吞吐量一样，数字越大越好。但 是最大连接数更贴近实际网络情况，网络中大多 数连接是指所建立的一个虚拟通道。防火墙对每 个连接的处理也好耗费资源，因此最大连接数成 为考验防火墙这方面能力的指标。数据包转发率：是指在所有安全规则配置正确的 情况下，防火墙对数据流量的处理速度。详解如何配置硬件防火墙（2）S

9、SL : SSL （ Secure Sockets Layer ）是 由Netscape 公司开发的一套In ternet 数据安全协议，当前版本为3.0。它已被广泛地用于 Web浏览器与服务器之间的身份认证和加密数 据传输。SSL协议位于TCP/IP 协议与各种应用层协议之间，为数据通讯提供安全支持。网络地址转换：网络地址转换（NAT ）是一种 将一个IP地址域映射到另一个IP地址域技术， 从而为终端主机提供透明路由。NAT包括静态 网络地址转换、动态网络地址转换、网络地址及 端口转换、动态网络地址及端口转换、 端口映射 等。NAT 常用于私有地址域与公用地址域的转 换以解决IP地址匮乏问题

10、。在防火墙上实现 NAT后，可以隐藏受保护网络的内部拓扑结构， 在一定程度上提高网络的安全性。如果反向NAT提供动态网络地址及端口转换功能，还可 以实现负载均衡等功能。堡垒主机：一种被强化的可以防御进攻的计算 机，被暴露于因特网之上，作为进入内部网络的 一个检查点，以达到把整个网络的安全问题集中 在某个主机上解决，从而省时省力，不用考虑其 它主机的安全的目的。1、防火墙的外观及内部构造- n- - 1 I r注：第一幅与第二幅并无关系。三、防火墙的基本配置下面我以国内防火墙第一品牌天融信 NGFW 4000为例给各位讲解一下在一个典型的网络 环境中应该如何来配置防火墙。图5 :网络拓扑结构In

11、ternetDMZ7www.HeiBaL NetGFW4000 有3个标准端口，其中一个接外网(In ternet 网)，一个接内网，一个接 DMZ区，在DMZ区中有网络服务器。安装防火墙所 要达到的效果是：内网区的电脑可以任意访问外 网，可以访问DMZ中指定的网络服务器， In ternet 网和DMZ的电脑不能访问内网； In ternet 网可以访问DMZ中的服务器。1、配置管理端口天融信网络卫士 NGFW4000 防火墙是由防火 墙和管理器组成的，管理防火墙都是通过网络中 的一台电脑来实现的。防火墙默认情况下，3个 口都不是管理端口，所以我们先要通过串口把天 融信网络卫士 NGFW40

12、00 防火墙与我们的电 脑连接起来，给防火墙指定一个管理端口，以后 对防火墙的设置就可以通过远程来实现了。使用一条串口线把电脑的串口（ COM1 ）与NGFW4000 防火墙的con sole 口连接起来，启动电脑的超级终端，端口选择COM1， 通信参数设置为每秒位数9600 ，数据位8，奇 偶校验无，停止位1，数据流控制无。进入超级 终端的界面，输入防火墙的密码进入命令行格 式。定义管理口： if ethl XXX.XXX.XXX.XXX255.255.255.0修改管理口的GUI登录权限：fire client add topsec -t gui -a 夕卜网 -i0.0.0.0-255.

13、255.255.2552、使用GUI管理软件配置防火墙 安装天融信防火墙GUI管理软件TOPSEC 集 中管理器“，并建立NGFW4000 管理项目，输入防火墙管理端口的IP地址与说明。然后登 录进入管理界面。（1 ）定义网络区域Inter net （外网）：接在ethO 上，缺省访问策略为any （即缺省可读、可写），日志选项 为空，禁止 pi ng、GUI、tel net 。Intranet （内网）：接在ethl 上，缺省访问 策略为none （不可读、不可写），日志选项为 记录用户命令，允许 ping、GUI、telnet 。DMZ区：接在eth2 上，缺省访问策略为none （不可读

14、、不可写），日志选项为记录用户命令， 禁止 ping、GUI、tel net 。（2 ）定义网络对象一个网络节点表示某个区域中的一台物理机器。 它可以作为访问策略中的源和目的， 也可以作为通信策略中的源和目的。网络节点同时可以作为 地址映射的地址池使用，表示地址映射的实际机 器，详细描述见通信策略。图6子网表示一段连续的IP地址。可以作为策略的 源或目的，还可以作为 NAT的地址池使用。如 果子网段中有已经被其他部门使用的IP，为了 避免使用三个子网来描述技术部使用的 IP地址，可以将这两个被其他部门占用的地址在例外 地址中说明。图72d亍岡却atJi悝隱編www* Met确定 11 取消 1

15、详解如何配置硬件防火墙（3）为了配置访问策略，先定义特殊的节点与子网：FTP_SERVER :代表FTP服务器，区域 =DMZ ，IP 地址=XXX.XXX.XXX.XXX 。HTTP_SERVER :代表HTTP服务器，区域 =DMZ ，IP 地址=XXX.XXX.XXX.XXX 。MAIL_SERVER :代表邮件服务器 为了配置访问策略，先定义特殊的节点与子网:FTP_SERVER :代表FTP服务器，区域=DMZ ，IP 地址=XXX.XXX.XXX.XXXHTTP_SERVER :代表HTTP 服务器，区域 =DMZ , IP 地址=XXX.XXX.XXX.XXX 。MAIL_SER

16、VER :代表邮件服务器，区域=DMZ , IP 地址=XXX.XXX.XXX.XXX 。V_SERVER :代表外网访问的虚拟服务器，区 域=1 nternet , IP=防火墙IP地址。in side :表示内网上的所有机器，区域=ln tra net ，起始地址=0.000 ，结束地址=255.255.255.255 。outside :表示外网上的所有机器，区域=ln ternet ，起始地址=0.0.0.0 ，结束地址=255.255.255.255 。（3）配置访问策略在DMZ区域中增加三条访问策略：A、访问目的=FTP_SERVER ，目的端口=TCP 21 。源=in side

17、 ，访问权限=读、写。源=outside ，访问权限=读。这条配置表示内 网的用户可以读、写FTP服务器上的文件，而 外网的用户只能读文件，不能写文件。B、 访问目的=HTTP_SERVER ，目的端口=TCP 80 。源=inside+outside ，访问权限=读、写。这条配置表示内网、外网的用户都可 以访问HTTP服务器。C、 访问目的=MAIL_SERVER ，目的端口=TCP 25 ，TCP 110 。源=inside+outside ，访问权限=读、写。这条 配置表示内网、外网的用户都可以访问 MAIL服务器。（4 ）通信策略由于内网的机器没有合法的IP地址，它们访问 外网需要进行

18、地址转换。当内部机器访问外部机 器时，可以将其地址转换为防火墙的地址，也可 以转换成某个地址池中的地址。增加一条通信策 略，目的=outside ，源=inside ，方式=NAT ，目的端口=所有端口。如果需要转换成某个地址 池中的地址，则必须先在In ternet 中定义一个子网，地址范围就是地址池的范围，然后在通 信策略中选择NAT方式，在地址池类型中选择 刚才定义的地址池。服务器也没有合法的IP地址，必须依靠防火墙 做地址映射来提供对外服务。增加通信策略。A、 目的=V_SERVER ，源=outside ，通信 方式=MAP，指定协议=TCP，端口映射21-21 ，目标机器=FTP_

19、SERVER 。B、 目的=V_SERVER ，源=outside ，通信 方式=MAP，指定协议=TCP，端口映射80-80 ，目标机器=HTTP_SERVER 。C、 目的=V_SERVER ，源=outside ，通信 方式=MAP，指定协议=TCP，端口映射25-25 ，目标机器=MAIL_SERVER 。D、 目的=V_SERVER ，源=outside ，通信方式=MAP，指定协议=TCP，端口映射 110-110 ，目标机器=MAIL_SERVER 。（5）特殊端口在防火墙默认的端口定义中没有我们所要用到 的特殊端口，就需要我们手工的添加这些特殊端 口了。在防火墙集中管理器中选择高级管理 特殊对象特殊端口 ”，将弹出特殊端口 的定义界面，点定义新对象，输入特殊端口号 与定义区域即可。(6 )其他配置最后进入工具选项，定义防火墙的管理员、权 限以及与IDS的联动等。(图8)名称; Isl应用层协议的类型：町 IT jJ协询TO3端口：8000具有特殊端口的对繚；6 sl-s黑祸 确定I嚴消ImwwHciB&LNei