試談防火墻及其根本配置

1、試談防火墻及其根本配置9.1 防火墻概述9.1.1 防火墻概述防火墻是指設置在不同網絡或網絡平安域之間的一系列部件的組合。它是不同網絡或網絡平安域之間信息的唯一出入口，能根據企業(yè)的平安政策控制允許、拒絕、監(jiān)測出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息平安效勞，實現(xiàn)網絡和信息平安的根底設施。 在邏輯上，防火墻是一個別離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網和Internet之間的任何活動，保證了內部網絡的平安。典型的防火墻建立在一個效勞器或主機的機器上，也稱為“堡壘主機，它是一個多邊協(xié)議路由器。這個堡壘主機連接兩個網絡，一邊與內部網相連，另一邊與因特網相連。 1.防火

2、墻的開展2.防火墻的功能防火墻通過控制和監(jiān)測網絡之間的信息交換和訪問行為來實現(xiàn)對網絡平安的有效管理，防止外部網絡不平安的信息流入內部網絡和限制內部網絡的重要信息流到外部網絡。1保護網絡的平安性功能2網絡監(jiān)控審計功能3屏蔽內網信息外泄功能4NAT和VPN3.防火墻的缺陷9.1.2 防火墻的分類1.按組成結構分類1軟件防火墻2硬件防火墻3芯片級防火墻2.按防火墻的技術原理分類1包過濾防火墻2代理防火墻 應用層網關防火墻電路層網關3狀態(tài)監(jiān)視防火墻9.1.3 防火墻的體系結構1.屏蔽路由器(Screening router)結構2.雙穴主機網關(Dual Homed Gateway)結構3.屏蔽主機網

3、關(Screened Host Gateway)結構4.屏蔽子網(Screened Subnet)結構9.2 防火墻的相關產品及其選購9.2.1 防火墻相關產品1.軟件防火墻Check Point Firewall Software Blade 2.硬件防火墻Cisco PIX Firewall 5203.芯片級硬件防火墻方正方通防火墻9.2.2 防火墻的選購策略1.平安性2.性能3.管理4.適用性5.售后效勞9.2.3 防火墻的開展趨勢1多功能2防病毒3靈活的代理系統(tǒng) 4簡化的安裝與管理5多級的過濾技術 6Internet網關技術 7平安效勞器網絡(SSN)8審計和告警 9.3 IP訪問列表

4、的配置9.3.1 訪問列表概述1IP訪問控制列表(IP access lists)IP訪問控制列表用于過濾IP報文，包括TCP和UDP。它可細分為標準IP訪問控制列表和擴展IP訪問控制列表。標準IP訪問控制列表Standard IP access lists只檢查數(shù)據包的源地址，從而允許或拒絕基于網絡、子網或主機的IP地址的所有通信流量通過路由器的出口。擴展IP訪問控制列表Extended IP access lists不僅檢查數(shù)據包的源地址，還要檢查數(shù)據包的目的地址、特定協(xié)議類型、源端口號、目的端口號等。2現(xiàn)代訪問控制列表現(xiàn)代訪問控制列表是在IP訪問控制列表的根底上實現(xiàn)的靈活性更大的ACL列

5、表方式。它包括動態(tài)訪問控制列表、基于時間的訪問控制列表、自反的訪問控制列表和基于命名的訪問控制列表。9.3.2 標準IP訪問列表的配置 1.標準IP訪問列表的配置命令1定義標準ACL命令Firewall(config)#access-list list number permit|deny host/any source address wildcard-mask log下面對標準IP訪問表根本格式中的各項參數(shù)進行解釋：list number：即表號范圍，標準IP訪問表的表號標識范圍是199。permit/deny：允許或拒絕，關鍵字permit和deny用來表示滿足訪問表項的報文是允許通過接

6、口，還是要過濾。permit表示允許報文通過接口，而deny表示匹配標準IP訪問表源地址的報文要被丟棄。source address：源地址，對于標準的IP訪問列表，源地址是主機或一組主機的點分十進制表示，如：0。host/any：主機匹配，host和any分別用于指定單個主機和所有主機，其中host表示一種精確的匹配，其屏蔽碼為。any是源地證/目標地址/55的簡寫。wildcardmask：通配符屏蔽碼，Cisco訪問表功能所支持的通配符屏蔽碼與子網掩碼的方式是剛好相反的，也就是說，二進制的0表示一個“匹配條件，二進制的1表示一個“不匹配條件。2應用訪問列表到接口命令應用訪問列表到接口命令

7、：Firewall(config-if)#ip access-group access-list-number in|out參數(shù)注意：access-list-number: 標準ACL的表號范圍為199。In：通過接口進入路由器的報文。Out：通過接口離開路由器的報文。3顯示所有協(xié)議的訪問列表配置細節(jié)顯示所有協(xié)議的訪問列表配置細節(jié)的配置命令：Firewall(config)#show access-list access-list-number。4顯示IP訪問列表顯示IP訪問列表的配置命令：Firewall(config)#show ip access-list access-list-num

8、ber。2.標準ACL配置舉例1只允許網絡的數(shù)據通過，而阻塞其他所有的數(shù)據，配置命令如下：Firewall(config) # interface fa0/0Firewall(config-if) # ip access-group 1 outFirewall(config) # interface fa0/1Firewall(config-if) # ip access-group 1 out2阻塞來自一個特定主機的通信流量，而把所有的其他的通信流量從fa0/0接口轉發(fā)出去，配置命令如下：Firewall(config) # access-list 1 permit anyFirewall(

9、config) #int f0/0Firewall(config-if) # ip access-group 1 out 3阻塞來自一個特定子網的通信流量，而允許所有其他的通信流量，并把它們轉發(fā)出去，配置命令如下：Firewall(config) # access-list 1 permit anyFirewall(config) # interface fa0/0Firewall(config-if) # ip access-group 1 out 9.3.3 擴展IP訪問列表的配置1.配置擴展訪問列表相關命令1命令及格式Firewall(config)#access-list access

10、-list-number permit|deny protocol source-address source-wildcard source-port destinaiton address destination-wildcard destination-port options參數(shù)注意：access-list-number：編號范圍為100199。Permit：通過；deny：禁止通過。protocol：需要被過濾的協(xié)議，如IP、TCP、UDP、ICMP、EIGRP、GRE等。source-address ：源IP地址。source-wildcard：源通配符掩碼。source-port

11、：源端口號，可以是單一的某個端口，也可以是一個端口范圍。端口號可以使用一個數(shù)字或一個可識別的助記符顯式地指定。例如，可以使用80或 來指定Web的超文本傳輸協(xié)議。端口的相關運算符如表9-3所示。2將訪問列表應用到接口的命令訪問列表應用到接口的命令：Firewall(config-if)#ip access-group access-list-number in|out。參數(shù)注意：access-list-number: 擴展ACL的表號范圍為100199。In：通過接口進入路由器的報文。Out：通過接口離開路由器的報文。3顯示所有協(xié)議的訪問列表配置細節(jié)顯示所有協(xié)議的訪問列表配置細節(jié)的配置命令：F

12、irewall(config)#show access-list access-list-number。4顯示IP訪問列表顯示IP訪問列表的配置命令：Firewall(config)#show ip access-list access-list-number。9.4 現(xiàn)代訪問控制列表的配置9.4.1 命名訪問列表配置 1.標準命名ACL命名ACL允許使用一個字母、數(shù)字組合的字符串來表示ACL表號。1配置標準命名ACL的命令：Firewall(config)#ip access-list standard nameFirewall(config)#Deny|permit source addr

13、ess wildcardFirewall(config-if)#ip access-group name in|out2設計一個標準命名ACL，以用于阻塞來自一個特定子網的通信流量，而允許所有其他通信流量，并把它們轉發(fā)出去，配置命令如下：Firewall(config)#ip access-list standard task1Firewall(config-std-nacl)#permit anyFirewall(config)#interface fa0/0Firewall(config-if)#ip access-group task1 in2.擴展命名ACL(1)配置擴展命名ACL的命

14、令：Firewall(config)#ip access-list extended nameFirewall(config)#Deny|permit source address wildcardFirewall(config-if)#ip access-group name in|out2設計一個命名ALC，只拒絕來自特定子網的FTP和Telnet通信流量通過fa0/0，配置命令如下：Firewall(config)#ip access-list extended task2Firewall(config-ext-nacl)# deny tcp 55 any eq 21Firewall(c

15、onfig-ext-nacl)#deny tcp 55 any eq 23Firewall(config-ext-nacl)#permit ip any anyFirewall(config-ext-nacl)#exitFirewall(config)#interface fa0/0Firewall(config-if)#ip access-group task2 in 3.命名訪問列表刪除語句 下面的例子顯示的是對命名訪問列表的刪除過程。Firewall#show ip access-lists example /顯示example的內容Firewall#configure terminal

16、Firewall(config)#ip access-list extended exampleFirewall(config-ext-nacl)#no permit tcp host any /刪除語句Firewall(config-ext-nacl)#ZFirewall#show ip access-lists example /顯示刪除語句后example的內容4.命名訪問列表參加語句下面的例子顯示的是對命名訪問列表的參加過程。Firewall#show ip access-lists exampleFirewall#configure terminalFirewall(config)#

17、ip access-list extended exampleFirewall(config-ext-nacl)#ZFirewall#show ip access-lists example /顯示增加語句后example的內容9.4.2 基于時間訪問列表的配置 1.命令格式Firewall(config)#time-range time-range-name absolute start start-time start-date end end-time end-date periodic days-of-the week hh:mm to days-of-the week hh:mm參數(shù)

18、注意：1time-range：用來定義時間范圍。2time-range-name：時間范圍名稱，用來標識時間范圍，以用于在后面的訪問列表中引用。3absolute start start-time start-date end end-time end-date：定義絕對時間范圍，start-time和end-time分別用于指定開始和結束時間，使用24小時制表示，其格式為“小時：分鐘；start-date和end-date分別用于指定開始的日期和結束的日期，使用日/月/年的格式。4absolute：此命令用來指定絕對時間范圍，其后為關鍵字start和 end，在這兩個關鍵字后面的時間要以24

19、小時制的hh:mm小時：分鐘表示，日期要按照日/月/年的格式來表示。 2.配置實例通過在路由器設置基于時間的訪問控制列表ACL，設置從2021年1月1日0點到2021年3月31日晚23點這個時間段中，只有在星期六早7點到星期日晚10點才可以通過網絡訪問Internet。Firewall# config tFirewall(config)# interface ethernet 0Firewall(config-if)#ip access-group 101 inFirewall(config-if)#time-range Firewall(config-if)#absolute start 0

20、:00 1 january 2021 end 23:00 31 march 2021 Firewall(config-if)#periodic Saturday 7:00 to Sunday 22:00Firewall(config-if)#ip access-list 101 permit tcp any any eq 80 注意：為了控制Web訪問的協(xié)議，必須要用擴展列表。定義了這個時間范圍的名稱是 ，以便引用。189.5 TCP攔截9.5.1 TCP攔截概述TCP攔截即TCP Intercept，在TCP連接請求到達目標主機之前，TCP攔截通過攔截和驗證來阻止SYN泛洪攻擊。SYN攻擊利

21、用TCP的三次握 制，攻擊端利用偽造的IP地址向被攻擊端發(fā)出請求，使被攻擊端發(fā)出的響應報文將永遠發(fā)送不到目的地，導致被攻擊端在等待關閉這個連接的過程中消耗了資源，如果有成千上萬的這種連接，主機資源將被耗盡，從而到達攻擊的目的?？梢岳寐酚善鞯腡CP攔截功能，使網絡上的主機受到保護。TCP攔截在攔截和監(jiān)視兩種模式下工作。在攔截模式下，路由器攔截到達的TCP SYN請求時，先代表效勞器建立與客戶機的連接，如果連接成功，那么代表客戶機建立與效勞器的連接，并將兩個連接進行透明合并。在整個連接期間，路由器會一直攔截和發(fā)送數(shù)據包。對于非法的連接請求，路由器提供更為嚴格的半連接half-open超時限制，以

22、防止自身的資源被SYN攻擊耗盡。在監(jiān)視模式下，路由器被動地觀察流經路由器的連接請求，如果連接超過了所配置的建立時間，路由器就會關閉此連接。9.5.2 TCP攔截的配置1開啟TCP攔截開啟TCP攔截的配置命令：Firewall(config)# ip tcp intercept list access-list-number注意：access-list-number是已經設置好的IP訪問列表的編號或名稱。2設置TCP攔截模式設置TCP攔截模式的配置命令：Firewall(config)# ip tcp intercept mode intercept|watch注意：intercept是指攔截模

23、式，watch是指監(jiān)視模式。3配置路由器等待時間配置路由器等待時間的配置命令：Firewall(config)# ip tcp intercept watch-timeout seconds4配置刪除TCP半連接的閥值路由器開始刪除連接之前能夠存在的最大半連接數(shù)：Firewall(config)#ip tcp intercept max-incomplete high number路由器停止刪除連接之前能夠存在的最大半連接數(shù)：Firewall(config)#ip tcp inercept max-incomplete low number 路由器開始刪除連接之前每分鐘內能存在的最大半連接數(shù)目

24、：Firewall(config)# ip tcp intercept one-minute high number 路由器停止刪除連接之前每分鐘內能存在的最大半連接數(shù)目：Firewall(config)# ip tcp intercept one-minute low number設置路由器刪除半連接的方式：Firewall(config)# ip tcp intercept drop-mode oldest|random注意:Oldest是指刪除建立時間最早的連接， random是指隨機刪除已經建立的連接。5查看TCP攔截信息查看TCP攔截信息的配置命令如下：Firewall# show

25、tcp intercept connections Firewall# show tcp intercept statistics9.6 網絡地址轉換9.6.1 NAT概述 1.保存的IP地址對于A、B、C 3類網絡地址都有一個網絡號作為保存IP范圍，它一般用在私有網絡內部，并且不需申請。表9-4顯示的是此保存IP地址。網絡類型IP范圍A55B55C552.NAT中的地址配置NAT把整個網絡分成內部網絡和外部網絡兩局部，對應出現(xiàn)相關的四個地址： 1內部本地地址：局域網內部主機擁有的一個真實地址，一般來說是一個私有地址。2內部全局地址：對于外部網絡來說，局域網內部主機所表現(xiàn)的IP地址。3外部本地地址：外部網絡主機的真實地址。4外部全局地址：對于內部網絡來說，外部網絡主機所表現(xiàn)的IP地址。3.NAT的類型1靜態(tài)NAT2動態(tài)NAT3端口地址轉換4TCP負載均衡4.NAT配置命令1配置接口的類型：Firewall(config)#ip nat inside|outside2配置