网络防火墙的原理及配置.docx
- 文档编号:18546072
- 上传时间:2023-08-19
- 格式:DOCX
- 页数:12
- 大小:341.10KB
网络防火墙的原理及配置.docx
《网络防火墙的原理及配置.docx》由会员分享,可在线阅读,更多相关《网络防火墙的原理及配置.docx(12页珍藏版)》请在冰点文库上搜索。
网络防火墙的原理及配置
网络防火墙的原理与配置
摘要随着网络安全问题日益严重,网络安全产品也被人们重视起来。
防火墙作为最早出现的网络安全产品和使用量最大的安全产品,也受到用户和研发机构的青睐。
对防火墙的原理以及分类、配置进行了介绍,旨在为选择防火墙的用户提供借鉴。
关键词网络安全;防火墙;防火墙配置
1引言
网络安全已成为人日益关心的问题。
网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障,其中要作用是在网络入口外检查网络通信,更具用户设定的安全规则,在保护内部网络安全的前提下,保障内外网络通信,提供内部网络的安全。
1.1本文主要内容
本文第二节介绍了防火墙的基本原理,第三节详细描述了防火墙的功能,第四节介绍了防火墙的分类,第五节详细描述了网络防火墙的配置,第六节介绍了网络防火墙的具体应用。
2防火墙原理
2.1防火墙原理
“防火墙”是一种形象的说法,从其组织结构方面来看,防火墙主要包括安全操作系统、过滤器、网关、域名服务和函件处理等五个部分,其实它是一种由计算机硬件和软件组成的一个或一组系统,用于增强内部网络和Internet之间的访问控制。
从狭义上来看,防火墙是安装了防火墙软件的主机或路由器系统;从广义上来看,防火墙还应该包括整个网络的安全策略和安全行为。
防火墙是设置在被保护网络和外部网络之间的一道屏障,使内部网和互联网之间建立起一个安全网关(securitygateway),从而防止发生不可预测的、具有潜在破坏性的侵入。
它可以通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
具体来讲,防火墙主要功能包括过滤不安全的服务和非法化安全策略;有效记录Internet上的活动,管理进出网络的访问行为;限制暴露用户,封堵禁止的网络行为;是一个安全策略的检查站,对网络攻击进行探测和告警。
2.2防火墙的功能
(1)认证功能AF
认证就是对一个实体所声称的身份进行确认。
在通信关系的上下文中,认证提供对一个主体的身份的证实。
一个主体是有一个或多个不同标识符的实体,实体使用认证服务来证实主体所声称的身份。
还有一种认证形式叫做连接认证,它提供关于在一次连接中数据发送者的真实性和传送数据的完整性的保证。
完整性认证是连接认证的一部分,在这里,我们把这两个服务看作是独立的功能。
有的认证方案有确信的第三方参与,也有没有确信的第三方参与的情况。
在没有确信的第三方参与的情况下,通过直接交换认证信息的方式,申请者与验证者建立身份认证关系。
第三方可以采取以下不同的方式参与认证。
(1)嵌入式:
一个确信的实体直接干预申请者与验证者之间的认证信息交换,如http代理
(2)在线式:
一个或多个确信的实体同时参与认证信息交换,(3)离线式:
一个或多个确信的实体支持认证信息交换,但并不一定全部参与每次认证过程。
(2)完整性功能IF
完整性功能防止报文传送发生不被注意的或未授权的修改,如插入、删除或替换。
虽然该功能不能阻止这些入侵的发生,但是,它能探测出是否发生了修改,并对已发生修改的信息进行标记,为了防止基于网络的主动搭线窃听,完整性功能是必须的。
(3)访问控制功能ACF
网络访问控制功能决定是否允许报文传送经过防火墙转发到目的端。
对于进入网络安全域的报文传送,如果说在其传送通路上没有访问控制功
能,那么,对任意服务的访问都是可能的。
而且,如果没有访问控制功能,那么,包含恶意代码的传送就不能被阻止。
对于离开网络安全域的传送单元也必须执行访问控制功能。
否则,对于“在繁忙时间,不允许对外部Web站点进行访问”的控制策略将不能被执行。
再者,访问控制功能还能防止信息泄露。
(4)审计功能AF
审计功能具有记录连续有序的重要系统事件日志的能力,哪些事件为重要事件取决于有效的安全策略。
一个防火墙系统的所有构件需要用一致的方式记录信息,用于通知应用程序、审计跟踪分析工具、入侵探测引擎和记帐代理等。
这些信息也应提供给负责监视系统安全的授权人员。
一个审计系统应该用这样的方式进行构建,如果一个系统破坏发生后导致发生破坏的一系列事件(包括破坏本身)可以重构。
审计信息可以用于系统破坏发生后对系统的功能进行恢复并研究导致破坏发生的原因。
而且,一个审计系统应该考虑在破坏发生前对系统进行监听,这样,可以发现破坏安全性的因素并采取相应的措施。
(5)访问执行功能ANF
访问执行功能执行前面所解释的功能(认证功能、完整性功能等)。
如果网络安全策略要求这样,那么,访问执行功能被调用,以进行判断并进行相应的处理。
逻辑与门符号说明每个被调用的功能的结果都用来判断传送单元是被转发到其目的地址还是被丢弃。
防火墙的构件可以是集中式的,它们位于网络的同一位置,这样的防火墙会成为网络的阻塞点,从而成为系统的瓶颈;防火墙的功能构件也可以是分布式的,这样在每个位置有较少的功能构件需要计算,从而减少了在网络边界的系统性能开销,而且在网络内部的功能构件能够并发执行。
所以,功能构件的冗余分布可以大大提高系统的可靠性、可用性和灾难防护能力。
2.3防火墙的分类
(1)软件防火墙
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。
俗称“个人防火墙”。
软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。
防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。
使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
(2)硬件防火墙
这里说的硬件防火墙是指“所谓的硬件防火墙”。
之所以加上“所谓”二字是针对芯片级防火墙说的了。
它们最大的差别在于是否基于专用的硬件平台。
目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。
在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。
值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
(3)芯片级防火墙
芯片级防火墙基于专门的硬件平台,没有操作系统。
专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。
做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。
这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
3.网络防火墙的配置
所有的防火墙基本上都是按以下两种方式进行配置的:
一是拒绝所有的流量,这需要在网络中特殊指定能够进入和出去的流量的一些类型;另外一种方式正好与之相反,是允许所有的流量,这种情况需要特殊指定要拒绝的流量的类型。
大多数防火墙默认都是拒绝所有的流量作为安全选项。
一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。
换句话说,如果想让其他人能够发送和接收Email,就必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。
3.1建立用户和修改密码
pixfirewall(config)# hostname pix515e
pix515e(config)# password 123456
3.2激活以太端口
必须用enable进入,然后进入configure模式
在默然情况下ethernet0是属外部网卡outside,ethernet1是属内部网卡inside,inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。
3.3命名端口与安全级别
采用命令nameif
pix515e(config)#nameifethernet0outsidesecurity0
pix515e(config)#nameifethernet0outsidesecurity100
security0是外部端口outside的安全级别(0安全级别最高)
security100是内部端口inside的安全级别,如果中间还有以太口,则security10,security20等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为dmz(demilitarizedzones非武装区域)。
3.4配置以太端口ip地址
采用命令为:
ipaddress
外部网络为:
222.20.16.0255.255.255.0
pix515e(config)#ipaddressinside192.168.1.1255.255.255.0
pix515e(config)#ipaddressoutside222.20.16.1255.255.255.0
3.5配置远程访问[telnet]
在默认情况下,pix的以太端口是不允许telnet的,这一点与路由器有区别。
inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。
pix515e(config)#telnet192.168.1.1255.255.255.0inside
pix515e(config)#telnet222.20.16.1255.255.255.0outside
3.6访问列表(access-list)
此功能与ciscoios基本上是相似的,也是firewall的主要部分,有permit和deny两个功能,如:
只允许访问主机:
222.20.16.254的www,端口为:
80
pix515e(config)#access-list100permitipanyhost222.20.16.254eqwww
pix515e(config)#access-list100denyipanyany
pix515e(config)#access-group100ininterfaceoutside
3.7地址转换(nat)
首先必须定义ippool,提供给内部ip地址转换的地址段,接着定义内部网段。
pix515e(config)#global(outside)1222.20.16.100-222.20.16.200netmask255.255.255.0
pix515e(config)#nat(outside)1192.168.0.0255.255.255.0
如果是内部全部地址都可以转换出去则:
pix515e(config)#nat(outside)10.0.0.00.0.0.0
3.8DHCPserver
在内部网络,为了维护的集中管理和充分利用有限ip地址,都会启用动态主机分配ip地址服务器(dhcpserver),ciscofirewallpix都具有这种功能,下面简单配置dhcpserver,地址段为192.168.1.100—192.168.168.1.200
dns:
主202.96.128.68备202.96.144.47
主域名称:
dhcpclient通过pixfirewall
pix515e(config)#ipaddressdhcp
DHCPserver配置
pix515e(config)#dhcpdaddress192.168.1.100-192.168.1.200inside
pix515e(config)#dhcpdns202.96.128.68202.96.144.47
pix515e(config)#dhcpdomain
3.9显示与保存结果
采用命令showconfig
保存采用writememory
3.10以防火墙telnet实验举例配置
实验拓扑图
(1)建立用户和修改密码
(2)激活以太端口,命名端口与安全级别,配置以太端口ip地址
将E0配置为外口,安全级别设置为0
将E1配置为内口,安全级别设置为100
将E2配置为DMZ,安全级别设置为50
配置结果
配置结果
(3)telnet配置
配置防火墙telnet协议
telnet协议配置成功
禁止防火墙启动telnet协议
禁止telnet协议成功
4网络防火墙的应用
市面上有许多网络防火墙可供用户直接使用,如360防火墙、瑞星防火墙等。
它们的特点都是简单易操作,无需复杂配置就能给用户提供安全有保障的网络环境。
360杀毒、墨者安全专家、超级巡警、瑞星杀毒软件四家防火墙对比
360杀毒软件没有明确提出主动防御的概念,但是具备实时监控功能,为了测试360杀毒软件的实时监控能力,特意直接运行病毒文件,360杀毒软件表现很好,马上拦截,并给出具体的病毒名称等相关细节。
“墨者安全专家”仅支持“文件监控”。
“超级巡警”也只支持“文件监控”、“网页监控”。
而“瑞星”是惟一一款监控功能最全面的杀毒软件,他支持“文件监控”、“网页监控”、“邮件监控”等,可以最高效的保护电脑不受到外界的攻击。
“瑞星”的防火墙功能操作起来也非常简单,它可以根据具体的协议进行拦截,功能更加强大。
总结
瑞星防火墙和360防火墙功能比较强大,可以为我们提供一个比较安全的上网环境。
参考文献
[1]孙建华等.网络系统管理-Linux实训篇[M].北京:
人民邮电出版社,2003.
[2][美]TerryWilliamOgletree.防火墙原理与实施[M].北京:
电子工业出版社,2001
[3]邓亚平.计算机网络安全[M].北京:
人民邮电出版社,2004
[4]宁蒙.网络信息安全与防范技术[M].第1版.南京:
东南大学出版社.2005
[5]陈月波.网络信息安全[M].第1版.武汉:
武汉工业大学出版社.2005
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 防火墙 原理 配置