實驗四-防火墻實驗

實驗四防火墻實驗1.實驗目的通過實驗深入理解防火墻的功能和工作原理；以“天網(wǎng)〞防火墻為例熟悉配置個人防火墻；以“天融信〞防火墻為例熟悉配置企業(yè)級防火墻〔選作〕。2.實驗儀器針對“天網(wǎng)〞防火墻在Windows2000\2003\XP操作系統(tǒng)下，安裝“天網(wǎng)〞防火墻的計算機；針對“天融信〞防火墻〔選作〕①一臺web效勞器；②將網(wǎng)絡劃分為外網(wǎng)，內(nèi)網(wǎng)和DMZ網(wǎng)絡，要求：內(nèi)網(wǎng)可以訪問互聯(lián)網(wǎng)效勞器對外網(wǎng)做映射，外網(wǎng)禁止訪問內(nèi)網(wǎng)；③接口分配為：ETH0接INTERNET，ETH1接內(nèi)網(wǎng)，ETH2接效勞器區(qū)。3.實驗原理防火墻的實現(xiàn)技術(shù)包過濾技術(shù)包過濾是防火墻的最根本過濾技術(shù)，它對內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù)包按照某些特征事先設置一系列的平安規(guī)那么進行過濾或篩選。包過濾防火墻檢查每一條規(guī)那么直至發(fā)現(xiàn)數(shù)據(jù)包中的信息與某些規(guī)那么能符合，那么允許或拒絕這個數(shù)據(jù)包穿過防火墻進行傳輸。如果沒有一條規(guī)那么能符合，那么防火墻使用默認規(guī)那么，一般情況下，要求丟包。這些規(guī)那么根據(jù)數(shù)據(jù)包中的信息進行設置，包括：●IP源地址；●IP目標地址；●協(xié)議類型〔TCP包、UDP包和ICMP包〕；●TCP或UDP包的目的端口、源端口；●ICMP消息類型；●TCP選項；●TCP包的序列號、IP校驗和等；●數(shù)據(jù)包流向：in或out；●數(shù)據(jù)包流經(jīng)的網(wǎng)絡接口；●數(shù)據(jù)包協(xié)議類型：TCP、UDP、ICMP、IGMP等；●其他協(xié)議選項：ICMPECHO、ICMPECHOREPLY等；●數(shù)據(jù)包流向：in或out。因為包過濾只需對每個數(shù)據(jù)包與相應的平安規(guī)那么進行比擬，實現(xiàn)較為簡單，速度快、費用低，并且對用戶透明，因而得到了廣泛的應用。這種技術(shù)實現(xiàn)效率高，但配置復雜，易引起很多問題，對更高層協(xié)議信息無理解能力，而且不能徹底防止地址欺騙。包過濾技術(shù)防火墻原理如圖7-1所示。圖7-1包過濾防火墻原理示意圖地址翻譯NAT技術(shù)NAT即網(wǎng)絡地址翻譯技術(shù)，它能夠?qū)挝粌?nèi)網(wǎng)使用的內(nèi)部IP地址翻譯成合法的公網(wǎng)IP，使內(nèi)網(wǎng)使用內(nèi)部IP的計算機無須變動，又能夠與外網(wǎng)連接。對于局域網(wǎng)的主機使用.0、、三個內(nèi)部IP網(wǎng)段時，當內(nèi)網(wǎng)主機要與外部網(wǎng)絡進行通信，就要在網(wǎng)關(guān)處，由NAT將內(nèi)部IP地址翻譯為公網(wǎng)IP地址，從而在外部公網(wǎng)上正常使用。當外部公網(wǎng)響應的數(shù)據(jù)包返回給NAT后，NAT再將其翻譯為內(nèi)部的IP地址，發(fā)給內(nèi)網(wǎng)的主機，從而實現(xiàn)內(nèi)網(wǎng)主機與外網(wǎng)的正常通信，解決了IPv4地址缺乏的問題。同時，由于外網(wǎng)主機只能看到數(shù)據(jù)包來自NAT翻譯后的公網(wǎng)IP，而看不到內(nèi)網(wǎng)主機的內(nèi)部IP，所以NAT可保護及隱藏內(nèi)網(wǎng)計算機。NAT有三種類型：靜態(tài)NAT、動態(tài)地址NAT、網(wǎng)絡地址端口轉(zhuǎn)換NAPT。靜態(tài)NAT是將內(nèi)部網(wǎng)絡中的每個主機永久的映射成外部網(wǎng)絡中的某個合法的地址。而動態(tài)地址NAT那么是在外部網(wǎng)絡中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡。NAPT那么是把內(nèi)部地址映射到外部網(wǎng)絡的一個IP地址的不同端口上。應用級網(wǎng)關(guān)應用級網(wǎng)關(guān)即代理效勞器，代理效勞器通常運行在兩個網(wǎng)絡之間，它為內(nèi)部網(wǎng)的客戶提供HTTP、FTP等某些特定的因特網(wǎng)效勞。代理效勞器相對于內(nèi)部網(wǎng)的客戶來說是一臺效勞器，對于外部網(wǎng)的效勞器來說，它又相當于客戶機。當代理效勞器接收到內(nèi)部網(wǎng)的客戶對某些因特網(wǎng)站點的訪問請求后，首先會檢查該請求是否符合事先制定的平安規(guī)那么，如果允許，代理效勞器會將此請求發(fā)送給因特網(wǎng)站點，從因特網(wǎng)站點反應回的響應信息再由代理效勞器轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)的客戶。代理效勞器會將內(nèi)部網(wǎng)的客戶和因特網(wǎng)隔離。對于內(nèi)外網(wǎng)轉(zhuǎn)發(fā)的數(shù)據(jù)包，代理效勞器在應用層對這些數(shù)據(jù)進行平安過濾，而包過濾技術(shù)與NAT技術(shù)主要在網(wǎng)絡層和傳輸層進行過濾。由于代理效勞器在應用層對不同的應用效勞進行過濾，所以可以對常用的高層協(xié)議做更細的控制。由于平安級網(wǎng)關(guān)不允許用戶直接訪問網(wǎng)絡，因而使效率降低，而且平安級網(wǎng)關(guān)需要對每一個特定的因特網(wǎng)效勞安裝相應的代理效勞軟件，內(nèi)部網(wǎng)的客戶要安裝此軟件的客戶端軟件，此外，并非所有的因特網(wǎng)應用效勞都可以使用代理效勞器。應用級網(wǎng)關(guān)技術(shù)防火墻原理如圖7-2所示。圖7-2應用級網(wǎng)關(guān)防火墻原理示意圖狀態(tài)檢測技術(shù)狀態(tài)檢測防火墻不僅僅像包過濾防火墻僅考查數(shù)據(jù)包的IP地址等幾個孤立的信息，而是增加了對數(shù)據(jù)包連接狀態(tài)變化的額外考慮。它在防火墻的核心局部建立數(shù)據(jù)的連接狀態(tài)表，將在內(nèi)外網(wǎng)間傳輸?shù)臄?shù)據(jù)包以會話角度進行檢測，利用狀態(tài)表跟蹤每一個會話狀態(tài)。例如，某個內(nèi)網(wǎng)主機訪問外網(wǎng)的連接請求，防火墻會在連接狀態(tài)表中加以標注，當此連接請求的外網(wǎng)響應數(shù)據(jù)包返回時，防火墻會將數(shù)據(jù)包的各層信息和連接狀態(tài)表中記錄的從內(nèi)網(wǎng)到外網(wǎng)每天信息相匹配，如果從外網(wǎng)進入內(nèi)網(wǎng)的這個數(shù)據(jù)包和連接狀態(tài)表中的某個記錄在各層狀態(tài)信息一一對應，防火墻那么判斷此數(shù)據(jù)包是外網(wǎng)正常返回的響應數(shù)據(jù)包，會允許這個數(shù)據(jù)包通過防火墻進入內(nèi)網(wǎng)。按照這個原那么，防火墻將允許從外部響應此請求的數(shù)據(jù)包以及隨后兩臺主機間傳輸?shù)臄?shù)據(jù)包通過，直到連接中斷，而對由外部發(fā)起的企圖連接內(nèi)部主機的數(shù)據(jù)包全部丟棄，因此狀態(tài)檢測防火墻提供了完整的對傳輸層的控制能力。狀態(tài)檢測防火墻對每一個會話的記錄、分析工作可能會造成網(wǎng)絡連接的遲滯，當存在大量平安規(guī)那么時尤為明顯，采用硬件實現(xiàn)方式可有效改善這方面的缺陷。狀態(tài)檢測防火墻原理如圖7-3所示。圖7-3狀態(tài)檢測防火墻示意圖防火墻的網(wǎng)絡部署防火墻一般部署在內(nèi)外網(wǎng)的網(wǎng)絡邊界，對進出內(nèi)網(wǎng)的數(shù)據(jù)包進行規(guī)那么匹配和過濾。硬件防火墻至少有兩個網(wǎng)絡接口，分別連接內(nèi)外網(wǎng)。此外，硬件防火墻一般都支持網(wǎng)絡接口的擴展，可以支持對其他網(wǎng)絡的平安防護。第三個網(wǎng)絡接口所連接的網(wǎng)絡稱為DMZ區(qū)域。DMZ可以理解為一個不同于外網(wǎng)或內(nèi)網(wǎng)的特殊網(wǎng)絡區(qū)域，一般放置一些不含機密信息的公用效勞器，比方Web等。這樣來自外網(wǎng)的訪問者可以訪問DMZ中的效勞，但不可能接觸到存放在內(nèi)網(wǎng)中的機密或未公開信息等，即使DMZ中效勞器受到攻擊或破壞，也不會對內(nèi)網(wǎng)中的機密信息造成影響。防火墻的網(wǎng)絡部署如圖7-4所示。圖7-4防火墻的網(wǎng)絡部署當規(guī)劃一個擁有DMZ的網(wǎng)絡時，可以確定以下6條根本訪問控制策略：內(nèi)網(wǎng)可以訪問外網(wǎng)內(nèi)網(wǎng)可以訪問DMZ外網(wǎng)不能訪問內(nèi)網(wǎng)外網(wǎng)可以訪問DMZDMZ不能訪問內(nèi)網(wǎng)DMZ不能訪問外網(wǎng)當然，在部署防火墻時也可以根據(jù)各機構(gòu)網(wǎng)絡的具體情況而靈活部署，主要目的在于使用防火墻的規(guī)那么限制和過濾手段，對防火墻各網(wǎng)絡接口所連接的網(wǎng)絡進行隔離和限制，保證各網(wǎng)絡之間數(shù)據(jù)傳輸?shù)钠桨病７阑饓Φ姆诸惙阑饓Ψ譃榫W(wǎng)絡層防火墻和應用層防火墻，這兩種類型的防火墻可重疊。網(wǎng)絡層防火墻可視為一種IP封包過濾器，運作在底層的TCP/IP協(xié)議棧上，我們可以以枚舉的方式，只允許符合特定規(guī)那么的封包通過，其余的一概禁止穿越防火墻，這些規(guī)那么通常可以經(jīng)由管理員定義或修改，不過某些防火墻設備只能套用內(nèi)置的規(guī)那么。我們也能以另一種較寬松的角度來制定防火墻規(guī)那么，只要封包不符合任何一項“否認規(guī)那么〞就予以放行。較新的防火墻能利用封包的多樣屬性來進行過濾，例如：源IP地址、源端口號、目的IP地址、目的端口號、效勞類型、通信協(xié)議、TTL值、來源的網(wǎng)絡或網(wǎng)段等屬性，網(wǎng)絡層防火墻的典型代表是天融信防火墻。應用層防火墻是在TCP/IP堆棧的“應用層〞上運作，應用層防火墻可以攔截進出某應用程序的所有封包，并且封鎖其他的封包。理論上，這一類防火墻可以完全阻止外部的數(shù)據(jù)流進到受保護的機器里。天網(wǎng)防火墻是應用層防火墻的代表。硬件防火墻介紹網(wǎng)絡衛(wèi)士防火墻有以下三種工作模式：路由模式、透明模式以及混合模式。在透明模式下，防火墻的所有接口均作為交換接口工作。路由模式下，防火墻類似于一臺路由器轉(zhuǎn)發(fā)數(shù)據(jù)包，將接收到的數(shù)據(jù)包的目標MAC地址替換為相應接口的MAC地址，然后轉(zhuǎn)發(fā)。該模式適用于防火墻的每個區(qū)域都不在同一個網(wǎng)段的情況，某些區(qū)域工作在透明模式下，其余區(qū)域工作在路由模式下。天融信防火墻的根本配置過程是，首先在串口模式下配置防火墻各接口的IP地址，查看或調(diào)整區(qū)域管理權(quán)限。接著為了操作方便，一般使用WEBUI方式對防火墻進行各種配置，包括配置具體的訪問控制規(guī)那么及其日常管理維護功能。一般先設置并調(diào)整網(wǎng)絡區(qū)域，然后再定義各種對象，然后再添加訪問策略及地址轉(zhuǎn)換策略，最后進行參數(shù)調(diào)整及增加一些輔助功能。3.4防火墻不能防范的平安威脅不能防范內(nèi)網(wǎng)之間的惡意攻擊不能防范繞過防火墻在非法內(nèi)外聯(lián)通道上進行的攻擊不能防范病毒和內(nèi)部驅(qū)動的木馬不能防范針對防火墻開放端口的攻擊4.實驗內(nèi)容及步驟天網(wǎng)防火墻對應用程序的平安設置單擊“天網(wǎng)〞防火墻〔如圖7-5所示〕工具欄中的“應用程序〞按鈕，將出現(xiàn)“應用程序訪問網(wǎng)絡權(quán)限設置〞界面，此時可以設置應用程序訪問網(wǎng)絡的權(quán)限。在此界面單擊“添加規(guī)那么〞按鈕，在“增加應用程序規(guī)那么〞對話框〔如圖7-6所示〕中選擇需要設置的程序的名稱。接下來可以設置網(wǎng)絡連接的類型和相應類型的連接可以訪問的端口，以不符合設置條件時的處理方式。其中，“通過TCP協(xié)議發(fā)送消息〞是指可以通過TC協(xié)議連接外網(wǎng)，“提供TCP協(xié)議效勞〞是指翻開TCP監(jiān)聽端口提供對外效勞，允許外網(wǎng)計算機連接此端口。單擊“確定〞后，“應用程序訪問網(wǎng)絡權(quán)限設置〞界面中會出現(xiàn)剛剛設置的應用程序的規(guī)那么條目。在“應用程序訪問網(wǎng)絡權(quán)限設置〞界面中添加了對應用程序處理的規(guī)那么后，也可按此規(guī)那么后面的“選項〞或“刪除〞按鈕，對此規(guī)那么進行修改。在“應用程序訪問網(wǎng)絡權(quán)限設置〞界面中添加的應用程序，防火墻允許其和外網(wǎng)的連接，未添加的應用程序，那么不允許。圖7-5天網(wǎng)的界面圖7-6“增加應用規(guī)那么〞對話框包過濾規(guī)那么的配置防火墻通過應用程序規(guī)那么可以針對本計算機中的應用程序做具體限制和過濾，包過濾規(guī)那么那么從網(wǎng)絡層和傳輸層對進出內(nèi)外網(wǎng)的數(shù)據(jù)包進行了全面的限制和過濾。單擊工具欄中“IP規(guī)那么管理〞按鈕，將出現(xiàn)“自定義IP規(guī)那么〞界面〔如圖7-7所示〕。在此界面中有大量安裝時默認設置的IP規(guī)那么，雙擊默認IP規(guī)那么“防止別人用Ping命令檢測〞。在彈出的“修改IP規(guī)那么〞對話框中，可以對已存在的規(guī)那么進行再次編輯。在規(guī)那么中，“數(shù)據(jù)包方向〞是“接收〞，這說明對外網(wǎng)進入內(nèi)網(wǎng)的數(shù)據(jù)包進行過濾。“對方IP地址〞是“任何地址〞，這將對從外網(wǎng)任何IP發(fā)來的數(shù)據(jù)包進行處理?！皵?shù)據(jù)包協(xié)議類型〞是“ICMP〞，“類型〞為“8”，這是對遠端計算機發(fā)來的ICMPechorequest數(shù)據(jù)包即Ping數(shù)據(jù)包設置過濾規(guī)那么?！爱敐M足上面條件時〞防火墻的操作是“圖7-7“自定義IP規(guī)那么〞界面針對FTP軟件訪問主機的防護在本機上安裝FTP軟件，在“應用程序訪問網(wǎng)絡權(quán)限設置〞界面中添加此FTP應用程序，然后設置平安規(guī)那么，禁止訪問本機FTP效勞器，但允許其他計算機訪問，除了允許提供效勞的程序外其他程序的端口不允許外網(wǎng)的計算機訪問。為實現(xiàn)此策略，需要配置：①②允許其他機器訪問“應用其他機器訪問〞③禁止所有人連接其他程序的端口單擊“添加規(guī)那么〞按鈕，在彈出的添加IP規(guī)那么菜單中，第一條規(guī)那么〔如圖7-8所示〕設置中“名稱〞為“〞訪問本機FTP，“說明〞為“〞，“數(shù)據(jù)包方向〞為“接收〞，“對方IP地址〞為“指定地址〞，地址“〞，“數(shù)據(jù)包協(xié)議類型〞為“TCP〞，本地端口為“從20到21〞，“TCP標志位〞在“SYN〞處打鉤，“當滿足上面條件時〞為“攔截〞，“同時還〞為“記錄〞。第二條規(guī)那么設定“名稱〞為“允許已經(jīng)授權(quán)程序翻開的端口〞訪問本機FTP〔如圖7-9所示〕，“說明〞禁止“某些程序都會開發(fā)、放一些端口〞，“數(shù)據(jù)包方向〞為“接收〞，“對方IP地址〞為“任何地址〞，“數(shù)據(jù)包協(xié)議類型〞為“TCP〞，本地端口為“已授權(quán)程序開放的端口〞，“TCP標志位〞在“SYN〞處打鉤，“當滿足上面條件時〞為“通行〞。第三條規(guī)那么設定中“名稱〞為“禁止所有人連接〞訪問本機FTP〔如圖7-10所示〕，“說明〞為“禁止所有機器與自己連接〞，“數(shù)據(jù)包方向〞為“接收〞，“對方IP地址〞為“任何地址〞，“數(shù)據(jù)包協(xié)議類型〞為“TCP〞，本地端口為“從0到0〞，“TCP標志位〞在“SYN〞處打鉤，“當滿足上面條件時〞為“攔截〞，“同時還〞為“記錄、警告〞。上述三條規(guī)那么在防火墻中的配置順序必須是上述順序，才能發(fā)揮應有的作用，如果順序不對，那么不能實現(xiàn)上述的正常平安需求。規(guī)那么配好后從0連接本機的FTP效勞，發(fā)現(xiàn)連接被限，而連接本機的其他效勞，或者從其他IP連接本機的FTP效勞不受限制。圖7-8圖7-9允許已經(jīng)授權(quán)程序翻開的端口圖7-10“禁止所有人連接〞規(guī)那么“天融信〞防火墻的路由模式配置實現(xiàn)在CONSOLE下，定義接口IP地址，輸入network命令進入到network子菜單，如圖7-11所示。圖7-11CONSOLE界面示意系統(tǒng)默認只能從ETH0接口對防火墻進行管理，輸入如下命令：添加ETH1接口為“AREAETH1〞區(qū)域，ETH2接口為“AREAETH2〞區(qū)域，如圖7-12所示。7-12ETH1與ETH2接口添加命令示意圖對“AREAETH1〞區(qū)域添加對防火墻的管理權(quán)限，如圖7-13所示。7-13“AREAETH1”進入防火墻管理界面，點擊“網(wǎng)絡〞→“物理接口〞，可以看到物理接口定義結(jié)果如圖7-14所示。圖7-14物理接口定義示意圖在“對象〞→“區(qū)域?qū)ο蟥曋卸x防火墻3個接口的默認權(quán)限為“禁止訪問〞，如圖7-15所示。圖7-15區(qū)域?qū)ο髾?quán)限示意圖在“網(wǎng)絡〞→“靜態(tài)路由〞添加缺省網(wǎng)關(guān)，如圖7-16。設置缺省網(wǎng)關(guān)時，源和目的一般全為“0〞，缺省網(wǎng)關(guān)在靜態(tài)路由時，必須放在最后一條。接口設定如圖7-17所示，源和目的設定如圖7-18所示。圖7-16缺省網(wǎng)關(guān)添加示意圖圖7-17缺省網(wǎng)關(guān)的接口選擇圖7-18源和目的的設定點擊“對象〞→“地址對象〞→“主機對象〞，點擊“添加配置〞，可以定義多個IP地址，主機對象設定如圖7-19所示、圖7-20所示,子網(wǎng)對象設定如圖7-21所示、圖7-22所示。圖7-19地址對象設定圖7-20主機對象屬性定義圖7-21子網(wǎng)對象設定圖7-22子網(wǎng)對象屬性定義防火墻制度訪問規(guī)那么〔圖7-22所示〕時，第一條規(guī)那么定義“內(nèi)網(wǎng)〞可以訪問互聯(lián)網(wǎng)，源選擇“內(nèi)部自網(wǎng)_1〞目的可以選擇目的區(qū)域“AERA_ETH0〞，也可以是“ANY[范圍]〞，如圖7-23所示。圖7-22訪問控制規(guī)那么