試談防火墻及其基本配置(ppt 33頁(yè)).ppt

1、第9章 防火墻及其基本配置,9.1 防火墻概述,9.1.1 防火墻概述 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。 典型的防火墻建立在一個(gè)服務(wù)器或主機(jī)的機(jī)器上，也稱(chēng)為“堡壘主機(jī)”，它是一個(gè)多邊協(xié)議路由器。這個(gè)堡壘主機(jī)連接兩個(gè)網(wǎng)絡(luò)，一邊與內(nèi)部網(wǎng)相連，另一邊與因特

2、網(wǎng)相連。,1.防火墻的發(fā)展 2.防火墻的功能 防火墻通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理，防止外部網(wǎng)絡(luò)不安全的信息流入內(nèi)部網(wǎng)絡(luò)和限制內(nèi)部網(wǎng)絡(luò)的重要信息流到外部網(wǎng)絡(luò)。 （1）保護(hù)網(wǎng)絡(luò)的安全性功能 （2）網(wǎng)絡(luò)監(jiān)控審計(jì)功能 （3）屏蔽內(nèi)網(wǎng)信息外泄功能 （4）NAT和VPN 3.防火墻的缺陷,9.1.2 防火墻的分類(lèi),1.按組成結(jié)構(gòu)分類(lèi) （1）軟件防火墻 （2）硬件防火墻 （3）芯片級(jí)防火墻 2.按防火墻的技術(shù)原理分類(lèi) （1）包過(guò)濾防火墻 （2）代理防火墻 應(yīng)用層網(wǎng)關(guān)防火墻 電路層網(wǎng)關(guān) （3）狀態(tài)監(jiān)視防火墻,9.1.3 防火墻的體系結(jié)構(gòu),1.屏蔽路由器(Screenin

3、g router)結(jié)構(gòu) 2.雙穴主機(jī)網(wǎng)關(guān)(Dual Homed Gateway)結(jié)構(gòu) 3.屏蔽主機(jī)網(wǎng)關(guān)(Screened Host Gateway)結(jié)構(gòu) 4.屏蔽子網(wǎng)(Screened Subnet)結(jié)構(gòu),9.2 防火墻的相關(guān)產(chǎn)品及其選購(gòu),9.2.1 防火墻相關(guān)產(chǎn)品 1.軟件防火墻Check Point Firewall Software Blade 2.硬件防火墻Cisco PIX Firewall 520 3.芯片級(jí)硬件防火墻方正方通防火墻,9.2.2 防火墻的選購(gòu)策略,1.安全性 2.性能 3.管理 4.適用性 5.售后服務(wù),9.2.3 防火墻的發(fā)展趨勢(shì),（1）多功能 （2）防病毒 （3

4、）靈活的代理系統(tǒng) （4）簡(jiǎn)化的安裝與管理 （5）多級(jí)的過(guò)濾技術(shù) （6）Internet網(wǎng)關(guān)技術(shù) （7）安全服務(wù)器網(wǎng)絡(luò)(SSN) （8）審計(jì)和告警,9.3 IP訪問(wèn)列表的配置,9.3.1 訪問(wèn)列表概述 （1）IP訪問(wèn)控制列表(IP access lists) IP訪問(wèn)控制列表用于過(guò)濾IP報(bào)文，包括TCP和UDP。它可細(xì)分為標(biāo)準(zhǔn)IP訪問(wèn)控制列表和擴(kuò)展IP訪問(wèn)控制列表。 標(biāo)準(zhǔn)IP訪問(wèn)控制列表（Standard IP access lists）只檢查數(shù)據(jù)包的源地址，從而允許或拒絕基于網(wǎng)絡(luò)、子網(wǎng)或主機(jī)的IP地址的所有通信流量通過(guò)路由器的出口。 擴(kuò)展IP訪問(wèn)控制列表（Extended IP access

5、lists）不僅檢查數(shù)據(jù)包的源地址，還要檢查數(shù)據(jù)包的目的地址、特定協(xié)議類(lèi)型、源端口號(hào)、目的端口號(hào)等。 （2）現(xiàn)代訪問(wèn)控制列表 現(xiàn)代訪問(wèn)控制列表是在IP訪問(wèn)控制列表的基礎(chǔ)上實(shí)現(xiàn)的靈活性更大的ACL列表方式。它包括動(dòng)態(tài)訪問(wèn)控制列表、基于時(shí)間的訪問(wèn)控制列表、自反的訪問(wèn)控制列表和基于命名的訪問(wèn)控制列表。,9.3.2 標(biāo)準(zhǔn)IP訪問(wèn)列表的配置,1.標(biāo)準(zhǔn)IP訪問(wèn)列表的配置命令 （1）定義標(biāo)準(zhǔn)ACL命令 Firewall(config)#access-list list number permit|deny host/any source address wildcard-mask log 下面對(duì)標(biāo)準(zhǔn)IP訪問(wèn)

6、表基本格式中的各項(xiàng)參數(shù)進(jìn)行解釋?zhuān)?list number：即表號(hào)范圍，標(biāo)準(zhǔn)IP訪問(wèn)表的表號(hào)標(biāo)識(shí)范圍是199。 permit/deny：允許或拒絕，關(guān)鍵字permit和deny用來(lái)表示滿足訪問(wèn)表項(xiàng)的報(bào)文是允許通過(guò)接口，還是要過(guò)濾。permit表示允許報(bào)文通過(guò)接口，而deny表示匹配標(biāo)準(zhǔn)IP訪問(wèn)表源地址的報(bào)文要被丟棄。 source address：源地址，對(duì)于標(biāo)準(zhǔn)的IP訪問(wèn)列表，源地址是主機(jī)或一組主機(jī)的點(diǎn)分十進(jìn)制表示，如：0。 host/any：主機(jī)匹配，host和any分別用于指定單個(gè)主機(jī)和所有主機(jī)，其中host表示一種精確的匹配，其屏蔽碼為。any是源地證

7、/目標(biāo)地址/55的簡(jiǎn)寫(xiě)。 wildcardmask：通配符屏蔽碼，Cisco訪問(wèn)表功能所支持的通配符屏蔽碼與子網(wǎng)掩碼的方式是剛好相反的，也就是說(shuō)，二進(jìn)制的0表示一個(gè)“匹配”條件，二進(jìn)制的1表示一個(gè)“不匹配”條件。,（2）應(yīng)用訪問(wèn)列表到接口命令 應(yīng)用訪問(wèn)列表到接口命令：Firewall(config-if)#ip access-group access-list-number in|out 參數(shù)注意： access-list-number: 標(biāo)準(zhǔn)ACL的表號(hào)范圍為199。 In：通過(guò)接口進(jìn)入路由器的報(bào)文。 Out：通過(guò)接口離開(kāi)路由器的報(bào)文。 （3）顯示所有

8、協(xié)議的訪問(wèn)列表配置細(xì)節(jié) 顯示所有協(xié)議的訪問(wèn)列表配置細(xì)節(jié)的配置命令：Firewall(config)#show access-list access-list-number。 （4）顯示IP訪問(wèn)列表 顯示IP訪問(wèn)列表的配置命令：Firewall(config)#show ip access-list access-list-number。,2.標(biāo)準(zhǔn)ACL配置舉例 （1）只允許網(wǎng)絡(luò)的數(shù)據(jù)通過(guò)，而阻塞其他所有的數(shù)據(jù)，配置命令如下： Firewall(config) # access-list 1 permit 55 Firewall(con

9、fig) # interface fa0/0 Firewall(config-if) # ip access-group 1 out Firewall(config) # interface fa0/1 Firewall(config-if) # ip access-group 1 out （2）阻塞來(lái)自一個(gè)特定主機(jī)的通信流量，而把所有的其他的通信流量從fa0/0接口轉(zhuǎn)發(fā)出去，配置命令如下： Firewall(config) # access-list 1 deny host Firewall(config) # access-list 1 per

10、mit any Firewall(config) #int f0/0 Firewall(config-if) # ip access-group 1 out （3）阻塞來(lái)自一個(gè)特定子網(wǎng)的通信流量，而允許所有其他的通信流量，并把它們轉(zhuǎn)發(fā)出去，配置命令如下： Firewall(config) # access-list 1 deny 55 Firewall(config) # access-list 1 permit any Firewall(config) # interface fa0/0 Firewall(config-if) # ip

11、 access-group 1 out,9.3.3 擴(kuò)展IP訪問(wèn)列表的配置,1.配置擴(kuò)展訪問(wèn)列表相關(guān)命令 （1）命令及格式 Firewall(config)#access-list access-list-number permit|deny protocol source-address source-wildcard source-port destinaiton address destination-wildcard destination-port options 參數(shù)注意： access-list-number：編號(hào)范圍為100199。 Permit：通過(guò)；deny：禁止通過(guò)。 p

12、rotocol：需要被過(guò)濾的協(xié)議，如IP、TCP、UDP、ICMP、EIGRP、GRE等。 source-address ：源IP地址。 source-wildcard：源通配符掩碼。 source-port：源端口號(hào)，可以是單一的某個(gè)端口，也可以是一個(gè)端口范圍。端口號(hào)可以使用一個(gè)數(shù)字或一個(gè)可識(shí)別的助記符顯式地指定。例如，可以使用80或http來(lái)指定Web的超文本傳輸協(xié)議。端口的相關(guān)運(yùn)算符如表9-3所示。,（2）將訪問(wèn)列表應(yīng)用到接口的命令 訪問(wèn)列表應(yīng)用到接口的命令：Firewall(config-if)#ip access-group access-list-number in|out。 參數(shù)

13、注意： access-list-number: 擴(kuò)展ACL的表號(hào)范圍為100199。 In：通過(guò)接口進(jìn)入路由器的報(bào)文。 Out：通過(guò)接口離開(kāi)路由器的報(bào)文。 （3）顯示所有協(xié)議的訪問(wèn)列表配置細(xì)節(jié) 顯示所有協(xié)議的訪問(wèn)列表配置細(xì)節(jié)的配置命令：Firewall(config)#show access-list access-list-number。 （4）顯示IP訪問(wèn)列表 顯示IP訪問(wèn)列表的配置命令：Firewall(config)#show ip access-list access-list-number。,2.擴(kuò)展ACL配置舉例 （1）只允許網(wǎng)絡(luò)的WWW數(shù)據(jù)到達(dá)網(wǎng)絡(luò)192.

14、168.0.0，其他數(shù)據(jù)全部拒絕，配置命令如下： Firewall(config)# access-list 101 permit tcp 55 55 eq 80 Firewall(config)# interface fa0/0 Firewall(config-if)# ip access-group 101 out （2）拒絕網(wǎng)絡(luò)的FTP 數(shù)據(jù)通過(guò)fa0/0 到達(dá)網(wǎng)絡(luò)，其他信息流均可通過(guò)，配置命令如下： Firewall(config)# access-list 101

15、deny tcp 55 55 eq 21 Firewall(config)# access-list 101 permit ip 55 any Firewall(config)# interface fa0/0 Firewall(config-if)# ip access-group 101 out （3）僅拒絕從通過(guò)fa0/0 發(fā)往別處的Telnet數(shù)據(jù)，而允許所有其他來(lái)源的數(shù)據(jù)，配置命令如下： Firewall(config)# access-list 1

16、01 deny tcp 55 any eq 23 Firewall(config)# access-lisst 101 permit ip any any Firewall(config)# interface fa0/0 Firewall(config-if)# ip access-group 101 out,9.4 現(xiàn)代訪問(wèn)控制列表的配置,9.4.1 命名訪問(wèn)列表配置 1.標(biāo)準(zhǔn)命名ACL 命名ACL允許使用一個(gè)字母、數(shù)字組合的字符串來(lái)表示ACL表號(hào)。 （1）配置標(biāo)準(zhǔn)命名ACL的命令： Firewall(config)#ip access-list st

17、andard name Firewall(config)#Deny|permit source address wildcard Firewall(config-if)#ip access-group name in|out （2）設(shè)計(jì)一個(gè)標(biāo)準(zhǔn)命名ACL，以用于阻塞來(lái)自一個(gè)特定子網(wǎng)的通信流量，而允許所有其他通信流量，并把它們轉(zhuǎn)發(fā)出去，配置命令如下： Firewall(config)#ip access-list standard task1 Firewall(config-std-nacl)#deny 55 Firewall(conf

18、ig-std-nacl)#permit any Firewall(config)#interface fa0/0 Firewall(config-if)#ip access-group task1 in,2.擴(kuò)展命名ACL (1)配置擴(kuò)展命名ACL的命令： Firewall(config)#ip access-list extended name Firewall(config)#Deny|permit source address wildcard Firewall(config-if)#ip access-group name in|out （2）設(shè)計(jì)一個(gè)命名ALC，只拒絕來(lái)自特定子網(wǎng)19

19、的FTP和Telnet通信流量通過(guò)fa0/0，配置命令如下： Firewall(config)#ip access-list extended task2 Firewall(config-ext-nacl)# deny tcp 55 any eq 21 Firewall(config-ext-nacl)#deny tcp 55 any eq 23 Firewall(config-ext-nacl)#permit ip any any Firewall(config-ext-nacl)#exit Fir

20、ewall(config)#interface fa0/0 Firewall(config-if)#ip access-group task2 in,3.命名訪問(wèn)列表刪除語(yǔ)句 下面的例子顯示的是對(duì)命名訪問(wèn)列表的刪除過(guò)程。 Firewall#show ip access-lists example /顯示example的內(nèi)容 Firewall#configure terminal Firewall(config)#ip access-list extended example Firewall(config-ext-nacl)#no permit tcp host any

21、 /刪除語(yǔ)句 Firewall(config-ext-nacl)#Z Firewall#show ip access-lists example /顯示刪除語(yǔ)句后example的內(nèi)容 4.命名訪問(wèn)列表加入語(yǔ)句 下面的例子顯示的是對(duì)命名訪問(wèn)列表的加入過(guò)程。 Firewall#show ip access-lists example Firewall#configure terminal Firewall(config)#ip access-list extended example Firewall(config-ext-nacl)#permit udp host /增加

22、語(yǔ)句permit udp host Firewall(config-ext-nacl)#Z Firewall#show ip access-lists example /顯示增加語(yǔ)句后example的內(nèi)容,9.4.2 基于時(shí)間訪問(wèn)列表的配置,1.命令格式 Firewall(config)#time-range time-range-name absolute start start-time start-date end end-time end-date periodic days-of-the week hh:mm to days-of-the week hh:mm

23、 參數(shù)注意： （1）time-range：用來(lái)定義時(shí)間范圍。 （2）time-range-name：時(shí)間范圍名稱(chēng)，用來(lái)標(biāo)識(shí)時(shí)間范圍，以用于在后面的訪問(wèn)列表中引用。 （3）absolute start start-time start-date end end-time end-date：定義絕對(duì)時(shí)間范圍，start-time和end-time分別用于指定開(kāi)始和結(jié)束時(shí)間，使用24小時(shí)制表示，其格式為“小時(shí)：分鐘”；start-date和end-date分別用于指定開(kāi)始的日期和結(jié)束的日期，使用日/月/年的格式。 （4）absolute：此命令用來(lái)指定絕對(duì)時(shí)間范圍，其后為關(guān)鍵字start和 end，

24、在這兩個(gè)關(guān)鍵字后面的時(shí)間要以24小時(shí)制的hh:mm（小時(shí)：分鐘）表示，日期要按照日/月/年的格式來(lái)表示。,2.配置實(shí)例 通過(guò)在路由器設(shè)置基于時(shí)間的訪問(wèn)控制列表ACL，設(shè)置從2009年1月1日0點(diǎn)到2009年3月31日晚23點(diǎn)這個(gè)時(shí)間段中，只有在星期六早7點(diǎn)到星期日晚10點(diǎn)才可以通過(guò)網(wǎng)絡(luò)訪問(wèn)Internet。 Firewall# config t Firewall(config)# interface ethernet 0 Firewall(config-if)#ip access-group 101 in Firewall(config-if)#time-range http Firewall

25、(config-if)#absolute start 0:00 1 january 2009 end 23:00 31 march 2009 Firewall(config-if)#periodic Saturday 7:00 to Sunday 22:00 Firewall(config-if)#ip access-list 101 permit tcp any any eq 80 http 注意：為了控制Web訪問(wèn)的協(xié)議，必須要用擴(kuò)展列表。定義了這個(gè)時(shí)間范圍的名稱(chēng)是http，以便引用。20,9.5 TCP攔截,9.5.1 TCP攔截概述 TCP攔截即TCP Intercept，在TCP連接

26、請(qǐng)求到達(dá)目標(biāo)主機(jī)之前，TCP攔截通過(guò)攔截和驗(yàn)證來(lái)阻止SYN泛洪攻擊。 SYN攻擊利用TCP的三次握手機(jī)制，攻擊端利用偽造的IP地址向被攻擊端發(fā)出請(qǐng)求，使被攻擊端發(fā)出的響應(yīng)報(bào)文將永遠(yuǎn)發(fā)送不到目的地，導(dǎo)致被攻擊端在等待關(guān)閉這個(gè)連接的過(guò)程中消耗了資源，如果有成千上萬(wàn)的這種連接，主機(jī)資源將被耗盡，從而達(dá)到攻擊的目的。 可以利用路由器的TCP攔截功能，使網(wǎng)絡(luò)上的主機(jī)受到保護(hù)。TCP攔截在攔截和監(jiān)視兩種模式下工作。 在攔截模式下，路由器攔截到達(dá)的TCP SYN請(qǐng)求時(shí)，先代表服務(wù)器建立與客戶(hù)機(jī)的連接，如果連接成功，則代表客戶(hù)機(jī)建立與服務(wù)器的連接，并將兩個(gè)連接進(jìn)行透明合并。在整個(gè)連接期間，路由器會(huì)一直攔截和發(fā)

27、送數(shù)據(jù)包。對(duì)于非法的連接請(qǐng)求，路由器提供更為嚴(yán)格的半連接（half-open）超時(shí)限制，以防止自身的資源被SYN攻擊耗盡。 在監(jiān)視模式下，路由器被動(dòng)地觀察流經(jīng)路由器的連接請(qǐng)求，如果連接超過(guò)了所配置的建立時(shí)間，路由器就會(huì)關(guān)閉此連接。,9.5.2 TCP攔截的配置,（1）開(kāi)啟TCP攔截 開(kāi)啟TCP攔截的配置命令：Firewall(config)# ip tcp intercept list access-list-number 注意：access-list-number是已經(jīng)設(shè)置好的IP訪問(wèn)列表的編號(hào)或名稱(chēng)。 （2）設(shè)置TCP攔截模式 設(shè)置TCP攔截模式的配置命令：Firewall(config)

28、# ip tcp intercept mode intercept|watch 注意：intercept是指攔截模式，watch是指監(jiān)視模式。 （3）配置路由器等待時(shí)間 配置路由器等待時(shí)間的配置命令：Firewall(config)# ip tcp intercept watch-timeout seconds,（4）配置刪除TCP半連接的閥值 路由器開(kāi)始刪除連接之前能夠存在的最大半連接數(shù)： Firewall(config)#ip tcp intercept max-incomplete high number 路由器停止刪除連接之前能夠存在的最大半連接數(shù)： Firewall(config)#

29、ip tcp inercept max-incomplete low number 路由器開(kāi)始刪除連接之前每分鐘內(nèi)能存在的最大半連接數(shù)目： Firewall(config)# ip tcp intercept one-minute high number 路由器停止刪除連接之前每分鐘內(nèi)能存在的最大半連接數(shù)目： Firewall(config)# ip tcp intercept one-minute low number 設(shè)置路由器刪除半連接的方式： Firewall(config)# ip tcp intercept drop-mode oldest|random 注意:Oldest是指刪除

30、建立時(shí)間最早的連接， random是指隨機(jī)刪除已經(jīng)建立的連接。 （5）查看TCP攔截信息 查看TCP攔截信息的配置命令如下： Firewall# show tcp intercept connections Firewall# show tcp intercept statistics,9.6 網(wǎng)絡(luò)地址轉(zhuǎn)換,9.6.1 NAT概述 1.保留的IP地址 對(duì)于A、B、C 3類(lèi)網(wǎng)絡(luò)地址都有一個(gè)網(wǎng)絡(luò)號(hào)作為保留IP范圍，它一般用在私有網(wǎng)絡(luò)內(nèi)部，并且不需申請(qǐng)。表9-4顯示的是此保留IP地址。,2.NAT中的地址 配置NAT把整個(gè)網(wǎng)絡(luò)分成內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩部分，對(duì)應(yīng)出現(xiàn)相關(guān)的四個(gè)地址： （1）內(nèi)部本地地址：局域網(wǎng)內(nèi)部主機(jī)擁有的一個(gè)真實(shí)地址，一般來(lái)說(shuō)是一個(gè)私有地址。 （2）內(nèi)部全局地址：對(duì)于外部網(wǎng)絡(luò)來(lái)說(shuō)，局域網(wǎng)內(nèi)部主機(jī)所表現(xiàn)的IP地址。 （3）外部本地地址：外部網(wǎng)絡(luò)主機(jī)的真實(shí)地址。 （4）外部全局地址：對(duì)于內(nèi)部網(wǎng)絡(luò)來(lái)說(shuō)，外部網(wǎng)絡(luò)主機(jī)所表現(xiàn)的IP地址。,3.NAT的類(lèi)型 （1）靜態(tài)NAT （2）