ch4 防火墻技術(shù)

1、第4章 防火墻技術(shù),內(nèi)容提要： 概述 防火墻體系結(jié)構(gòu) 防火墻技術(shù) 防火墻的安全防護技術(shù) 防火墻應(yīng)用示例 個人防火墻 防火墻技術(shù)發(fā)展動態(tài)和趨勢 小結(jié),4.1 概述,防火墻的定義 防火墻是位于被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個或一組系統(tǒng)，包括硬件和軟件，構(gòu)成一道屏障，以防止發(fā)生對被保護網(wǎng)絡(luò)的不可預(yù)測的、潛在破壞性的侵擾。,防火墻的五大基本功能,過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)； 管理進、出網(wǎng)絡(luò)的訪問行為；

2、封堵某些禁止的業(yè)務(wù)； 記錄通過防火墻的信息內(nèi)容和活動； 對網(wǎng)絡(luò)攻擊的檢測和告警。,防火墻的局限性,網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性和靈活性為代價 防火墻只是整個網(wǎng)絡(luò)安全防護體系的一部分，而且防火墻并非萬無一失,4.2 防火墻體系結(jié)構(gòu),防火墻可以在OSI七層中的五層設(shè)置。             &

3、#160;                                    

4、;                                    

5、       防火墻組成結(jié)構(gòu)圖,防火墻的體系結(jié)構(gòu),目前，防火墻的體系結(jié)構(gòu)一般有以下幾種：（1）雙重宿主主機體系結(jié)構(gòu)；（2）屏蔽主機體系結(jié)構(gòu)；（3）屏蔽子網(wǎng)體系結(jié)構(gòu)。,雙重宿主主機體系結(jié)構(gòu),4.2.1 雙重宿主主機體系結(jié)構(gòu),圍繞具有雙重宿主的主機計算機而構(gòu)筑； 計算機至少有兩個網(wǎng)絡(luò)接口； 計算機充當與這些接口相連的網(wǎng)絡(luò)之間的路由器； 防火墻內(nèi)部的系統(tǒng)能

6、與雙重宿主主機通信； 防火墻外部的系統(tǒng)（在因特網(wǎng)上）能與雙重宿主主機通信。,屏蔽主機體系結(jié)構(gòu),4.2.2 屏蔽主機體系結(jié)構(gòu),提供安全保護的堡壘主機僅僅與被保護的內(nèi)部網(wǎng)絡(luò)相連； 是外部網(wǎng)絡(luò)上的主機連接內(nèi)部網(wǎng)絡(luò)的橋梁； 堡壘主機需要擁有高等級的安全； 還使用一個單獨的過濾路由器來提供主要安全； 路由器中有數(shù)據(jù)包過濾策略。,4.2.3 屏蔽子網(wǎng)體系結(jié)構(gòu),1．周邊網(wǎng)絡(luò) 周邊網(wǎng)絡(luò)是另一個安全層,是在外部網(wǎng)絡(luò)與被保護的內(nèi)部網(wǎng)絡(luò)之間

7、的附加網(wǎng)絡(luò),提供一個附加的保護層防止內(nèi)部信息流的暴露 .2．堡壘主機 堡壘主機為內(nèi)部網(wǎng)絡(luò)服務(wù)的功能有：（1）接收外來的電子郵件（SMTP），再分發(fā)給相應(yīng)的站點；（2）接收外來的FTP連接，再轉(zhuǎn)接到內(nèi)部網(wǎng)的匿名FTP服務(wù)器；（3）接收外來的對有關(guān)內(nèi)部網(wǎng)站點的域名服務(wù)（DNS）查詢。,堡壘主機向外的服務(wù)功能按以下方法實施：（1）在路由器上設(shè)置數(shù)據(jù)包過濾來允許內(nèi)部的客戶端直接訪問外部的服務(wù)器。（2）設(shè)置代理服務(wù)器在堡壘主機

8、上運行，允許內(nèi)部網(wǎng)的用戶間接地訪問外部網(wǎng)的服務(wù)器。也可以設(shè)置數(shù)據(jù)包過濾，允許內(nèi)部網(wǎng)的用戶與堡壘主機上的代理服務(wù)器進行交互，但是禁止內(nèi)部網(wǎng)的用戶直接與外部網(wǎng)進行通信。,3．內(nèi)部路由器 保護內(nèi)部的網(wǎng)絡(luò)使之免受外部網(wǎng)和周邊網(wǎng)的侵犯，內(nèi)部路由器完成防火墻的大部分數(shù)據(jù)包過濾工作。 4．外部路由器 保護周邊網(wǎng)和內(nèi)部網(wǎng)使之免受來自外部網(wǎng)絡(luò)的侵犯，通常只執(zhí)行非常少的數(shù)據(jù)包過濾。 外部路由器一般由外界提供。,4.2.4

9、 防火墻體系結(jié)構(gòu)的組合形式,使用多堡壘主機；合并內(nèi)部路由器與外部路由器；合并堡壘主機與外部路由器；合并堡壘主機與內(nèi)部路由器；使用多臺內(nèi)部路由器；使用多臺外部路由器；使用多個周邊網(wǎng)絡(luò)；使用雙重宿主主機與屏蔽子網(wǎng)。,4.3 防火墻技術(shù),從工作原理角度看，防火墻主要可以分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻。這兩種類型防火墻的具體實現(xiàn)技術(shù)主要有:包過濾技術(shù)、代理服務(wù)技術(shù)、狀態(tài)檢測技術(shù)、NAT技術(shù)等。,4.3.1 包過濾技術(shù),包過濾防火

10、墻工作在網(wǎng)絡(luò)層 利用訪問控制列表（ACL）對數(shù)據(jù)包進行過濾 過濾依據(jù)是TCP/IP數(shù)據(jù)包： 源地址和目的地址 所用端口號 協(xié)議狀態(tài) 優(yōu)點是邏輯簡單，價格便宜，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好 缺點有二，一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊；二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。,包過濾模型 ：,包檢查模塊深入到操作系統(tǒng)的核心，在操作系統(tǒng)或路由器

11、轉(zhuǎn)發(fā)包之前攔截所有的數(shù)據(jù)包。當包過濾型防火墻安裝在網(wǎng)關(guān)上之后，包過濾檢查模塊深入到系統(tǒng)的網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層之間，即TCP層和IP層之間。搶在操作系統(tǒng)或路由器的TCP層對IP包的所有處理之前對IP包進行處理。包過濾型防火墻位于軟件層次的最底層。,,包過濾模型,數(shù)據(jù)包過濾的主要依據(jù)有：,（1）數(shù)據(jù)包的源地址；（2）數(shù)據(jù)包的目的地址；（3）數(shù)據(jù)包的協(xié)議類型（TCP、UDP、ICMP等）；（4）TCP或UDP的源端口；（5）TCP或UD

12、P的目的端口；（6）ICMP消息類型；,大多數(shù)包過濾系統(tǒng)判決是否傳送數(shù)據(jù)包時都不關(guān)心包的具體內(nèi)容。包過濾系統(tǒng)只能進行類似以下情況的操作： 不讓任何用戶從外部網(wǎng)用Telnet登錄； 允許任何用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件； 只允許某臺機器通過NNTP往內(nèi)部網(wǎng)發(fā)新聞。 不能進行以下情況的操作： 允許某個用戶從外部網(wǎng)用Telnet登錄而不允許其他用戶進行這種操作。 允許用戶傳送一些文件而不允許用戶傳送其他文件。,包過濾方

13、式優(yōu)點 僅用一個放置在重要位置上的包過濾路由器就可保護整個網(wǎng)絡(luò) 包過濾工作對用戶來講是透明的。這種透明就是可在不要求用戶作任何操作的前提下完成包過濾。,在配置包過濾路由器時，首先要確定哪些服務(wù)允許通過而哪些服務(wù)應(yīng)被拒絕，并將這些規(guī)定翻譯成有關(guān)的包過濾規(guī)則。對包的內(nèi)容一般并不要多加關(guān)心。比如：允許站點接收來自于外部網(wǎng)的郵件，而不關(guān)心該郵件是用什么工具制作的。路由器只關(guān)注包中的一小部分內(nèi)容。,包過濾路由器的配置,有關(guān)服務(wù)翻譯成包過

14、濾規(guī)則時幾個重要概念：,協(xié)議的雙向性。 “往內(nèi)”與“往外”的含義。 “默認允許”與“默認拒絕”。,包過濾標準必須由包過濾設(shè)備端口存儲起來，這些包過濾標準叫包過濾規(guī)則。 當包到達端口時，對包的報頭進行語法分析，大部分的包過濾設(shè)備只檢查IP、TCP或UDP報頭中的字段，不檢查數(shù)據(jù)的內(nèi)容。 包過濾器規(guī)則以特殊的方式存儲。 如果一條規(guī)則阻止包傳輸或接收，此包便不允許通過。 如果一條規(guī)則允許包傳輸或接收，該包可以繼續(xù)處理。 如果

15、一個包不滿足任何一條規(guī)則，該包被丟棄。,包過濾器操作流程,包過濾器操作流程圖,,包過濾防火墻的缺陷,不能徹底防止地址欺騙。 無法執(zhí)行某些安全策略 安全性較差 一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾 管理功能弱,4.3.2 代理服務(wù)技術(shù),代理防火墻（Proxy）是一種較新型的防火墻技術(shù)，它分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。 所謂代理服務(wù)器，是指代表客戶處理連接請求的程序。當代理服務(wù)器得到一個客戶的連接意圖時，它將核實客戶請求，并

16、用特定的安全化的Proxy應(yīng)用程序來處理連接請求，將處理后的請求傳遞到真實的服務(wù)器上，然后接受服務(wù)器應(yīng)答，并做進一步處理后，將答復(fù)交給發(fā)出請求的最終客戶。,代理的工作方式,代理防火墻工作于應(yīng)用層； 針對特定的應(yīng)用層協(xié)議； 代理服務(wù)器（Proxy Server）作為內(nèi)部網(wǎng)絡(luò)客戶端的服務(wù)器，攔截住所有請求，也向客戶端轉(zhuǎn)發(fā)響應(yīng)； 代理客戶機（Proxy Client）負責代表內(nèi)部客戶端向外部服務(wù)器發(fā)出請求，當然也向代理服務(wù)器轉(zhuǎn)發(fā)響應(yīng)；,

17、應(yīng)用層網(wǎng)關(guān)型防火墻,應(yīng)用層網(wǎng)關(guān)防火墻,傳統(tǒng)代理型防火墻； 核心技術(shù)就是代理服務(wù)器技術(shù)； 基于軟件實現(xiàn)，通常安裝在專用工作站系統(tǒng)上； 參與到一個TCP連接的全過程； 在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能； 優(yōu)點就是安全，是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點； 最大缺點就是速度相對比較慢。,應(yīng)用層網(wǎng)關(guān)型防火墻,電路層網(wǎng)關(guān),,電路層網(wǎng)關(guān)防火墻,通過電路層網(wǎng)關(guān)中繼TCP連接 一般采用自適應(yīng)代理技術(shù) 有兩個基本要素： 自適應(yīng)代理服務(wù)器（Ad

18、aptive Proxy Server） 動態(tài)包過濾器（Dynamic Packet Filter）,電路層網(wǎng)關(guān)防火墻,代理技術(shù)的優(yōu)點,代理易于配置 代理能生成各項記錄 代理能靈活、完全地控制進出流量、內(nèi)容 代理能過濾數(shù)據(jù)內(nèi)容 代理能為用戶提供透明的加密機制 代理可以方便地與其他安全手段集成,代理技術(shù)的缺點:,代理速度較路由器慢； 代理對用戶不透明； 對于每項服務(wù)代理可能要求不同的服務(wù)器； 代理服務(wù)不能

19、保證免受所有協(xié)議弱點的限制； 代理不能改進底層協(xié)議的安全性。,4.3.3 狀態(tài)檢測技術(shù),狀態(tài)檢測技術(shù)的工作原理 基于狀態(tài)檢測技術(shù)的防火墻是由Check Point軟件技術(shù)有限公司率先提出的，也稱為動態(tài)包過濾防火墻。基于狀態(tài)檢測技術(shù)的防火墻通過一個在網(wǎng)關(guān)處執(zhí)行網(wǎng)絡(luò)安全策略的檢測引擎而獲得非常好的安全特性。檢測引擎在不影響網(wǎng)絡(luò)正常運行的前提下，采用抽取有關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施檢測。它將抽取的狀態(tài)信息動態(tài)地保存起來

20、作為以后執(zhí)行安全策略的參考。檢測引擎維護一個動態(tài)的狀態(tài)信息表并對后續(xù)的數(shù)據(jù)包進行檢查，一旦發(fā)現(xiàn)某個連接的參數(shù)有意外變化，則立即將其終止。,狀態(tài)檢測防火墻可提供的額外服務(wù),將某些類型的連接重定向到審核服務(wù)中去。例如，到專用Web服務(wù)器的連接，在Web服務(wù)器連接被允許之前，可能被發(fā)到審核服務(wù)器（用一次性口令來使用）； 拒絕攜帶某些數(shù)據(jù)的網(wǎng)絡(luò)通信，如帶有附加可執(zhí)行程序的傳入電子消息，或包含ActiveX程序的Web頁面。,狀態(tài)檢測技術(shù)跟蹤連

21、接狀態(tài)的方式,狀態(tài)檢測技術(shù)跟蹤連接狀態(tài)的方式取決于數(shù)據(jù)包的協(xié)議類型： TCP包：防火墻丟棄所有外部的連接企圖，除非已經(jīng)建立起某條特定規(guī)則來處理它們。對內(nèi)部主機試圖連到外部主機的數(shù)據(jù)包，防火墻標記該連接包，允許響應(yīng)及隨后在兩個系統(tǒng)之間的數(shù)據(jù)包通過，直到連接結(jié)束為止。 UDP包： UDP包比TCP包簡單，因為它們不包含任何連接或序列信息。它們只包含源地址、目的地址、校驗和攜帶的數(shù)據(jù)。對傳入的包，若它所使用的地址和UDP包攜帶的協(xié)議與傳出

22、的連接請求匹配，該包就被允許通過。,狀態(tài)檢測技術(shù)的特點,狀態(tài)檢測防火墻結(jié)合了包過濾防火墻和代理服務(wù)器防火墻的長處，克服了兩者的不足，能夠根據(jù)協(xié)議、端口，以及源地址、目的地址的具體情況決定數(shù)據(jù)包是否允許通過。,狀態(tài)檢測技術(shù)的特點,優(yōu)點 ： 高安全性 高效性 可伸縮性和易擴展性 不足： 主要體現(xiàn)在對大量狀態(tài)信息的處理過程可能會造成網(wǎng)絡(luò)連接的某種遲滯，特別是在同時有許多連接激活的時候，或者是有大量的過濾網(wǎng)絡(luò)通信的規(guī)則存在時。,4

23、.3.4 NAT技術(shù),NAT技術(shù)的工作原理 它是一個IETF（Internet Engineering Task Force, Internet工程任務(wù)組）的標準，允許一個整體機構(gòu)以一個公用IP地址出現(xiàn)在互聯(lián)網(wǎng)上。顧名思義，它是一種把內(nèi)部私有IP地址翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。,NAT技術(shù)的類型,靜態(tài)NAT（Static NAT）：內(nèi)部網(wǎng)絡(luò)中的每個主機都被永久映射成外部網(wǎng)絡(luò)中的某個合法的地址。 動態(tài)地址NAT（Poo

24、led NAT）：在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。 網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Port－Level NAT）：把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上。,NAT技術(shù)的優(yōu)點,所有內(nèi)部的IP地址對外面的人來說是隱蔽的。因為這個原因，網(wǎng)絡(luò)之外沒有人可以通過指定IP地址的方式直接對網(wǎng)絡(luò)內(nèi)的任何一臺特定的計算機發(fā)起攻擊。 如果因為某種原因公共IP地址資源比較短缺的話，NAT技術(shù)可以使整個內(nèi)部網(wǎng)

25、絡(luò)共享一個IP地址。 可以啟用基本的包過濾防火墻安全機制，因為所有傳入的數(shù)據(jù)包如果沒有專門指定配置到NAT，那么就會被丟棄。內(nèi)部網(wǎng)絡(luò)的計算機就不可能直接訪問外部網(wǎng)絡(luò)。,NAT技術(shù)的缺點,NAT技術(shù)的缺點和包過濾防火墻的缺點類似，雖然可以保障內(nèi)部網(wǎng)絡(luò)的安全，但也存在一些類似的局限。此外，內(nèi)部網(wǎng)絡(luò)利用現(xiàn)流傳比較廣泛的木馬程序可以通過NAT進行外部連接，就像它可以穿過包過濾防火墻一樣的容易。,4.4 防火墻的安全防護技術(shù),防火墻自開始部署

26、以來，已保護無數(shù)的網(wǎng)絡(luò)躲過窺探的眼睛和惡意的攻擊者，然而它們還遠遠不是確保網(wǎng)絡(luò)安全的靈丹妙藥。每種防火墻產(chǎn)品幾乎每年都有安全脆弱點被發(fā)現(xiàn)。更糟糕的是，大多數(shù)防火墻往往配置不當且無人維護和監(jiān)視。 攻擊者往往通過發(fā)掘信任關(guān)系和最薄弱環(huán)節(jié)上的安全脆弱點來繞過防火墻，或者經(jīng)由撥號賬號實施攻擊來避開防火墻。,4.4.1 防止防火墻標識被獲取,幾乎每種防火墻都會有其獨特的電子特征。也就是說，憑借端口掃描和標識獲取等技巧，攻擊者能夠有效

27、地確定目標網(wǎng)絡(luò)上幾乎每個防火墻的類型、版本和規(guī)則。這種標識之所以重要，是因為一旦標識出目標網(wǎng)絡(luò)的防火墻，攻擊者就能確定它們的脆弱點所在，從而嘗試攻擊它們。 防止通過直接掃描獲取防火墻標識的對策 防止防火墻標志被獲取的對策 防止利用nmap進行簡單推斷獲取防火墻標志的對策,4.4.2 防止穿透防火墻進行掃描,透過防火墻從而發(fā)現(xiàn)隱藏在防火墻后面的目標，這是網(wǎng)絡(luò)黑客和網(wǎng)絡(luò)入侵者夢寐以求的事情。下面討論一些黑客在防火墻附近徘徊的技巧，

28、并匯集關(guān)于穿透和繞過防火墻的各種途徑的一些關(guān)鍵信息。 防止利用原始分組傳送進行穿透防火墻掃描的對策 防止利用源端口掃描進行穿透防火墻掃描的對策,4.4.3克服分組過濾脆的弱點,大多數(shù)情況下，這些ACL規(guī)則是精心設(shè)計的，難以繞過。然而有些情況下會碰到ACL規(guī)則設(shè)計不完善的防火墻，允許某些分組不受約束地通過。 針對不嚴格的ACL規(guī)則的對策 針對ICMP和UDP隧道的對策,4.4.4克服分組過濾脆的弱點,針對主機名：localh

29、ost的對策 ，可以提供一個只允許從某個特定站點訪問的限制規(guī)則。理想的對策是不允許本地主機（localhost）登錄。如果需要本地主機登錄就需要根據(jù)IP地址限制允許連接的主機。 針對未加認證的外部代理訪問的對策 ，通過把瀏覽器的代理設(shè)置改為指向有嫌疑的代理防火墻，就能檢查它是否存在這種脆弱點。,4.5 防火墻應(yīng)用示例,網(wǎng)絡(luò)衛(wèi)士防火墻3000系統(tǒng)組成 一套專用防火墻設(shè)備（硬件）：具有3至10個網(wǎng)絡(luò)接口，標準配置為3個網(wǎng)絡(luò)接口

30、。管理員通過一次性口令認證，對防火墻進行配置、管理和審計。 一次性口令用戶客戶端（軟件）：凡是需要對其身份進行認證的用戶都需使用該軟件，例如，管理者需要通過WWW頁面管理防火墻時，必須先進行一次性口令認證。,網(wǎng)絡(luò)衛(wèi)士防火墻3000典型應(yīng)用拓撲圖,典型應(yīng)用的特點,防火墻工作于路由和透明混合的綜合模式； 網(wǎng)絡(luò)192.168.1.0/24、202.99.88.0/24和202.99.99.0/24均用邊界路由器作路由； 新增的支干路由器

31、1（網(wǎng)絡(luò)202.99.99.0/24）用防火墻作路由； 網(wǎng)絡(luò)192.168.1.0/24和202.99.88.0/24透明通過防火墻； 采用嚴格安全策略。,1．配置防火墻接口地址,（1）ifconfig eth0 202.99.88.2 255.255.255.0 將eth0設(shè)置為合法IP地址進行NAT，與路由器內(nèi)部接口的IP處于同一網(wǎng)段（2）ifconfig eth1 202.99.88.9 255.255.255.248

32、 將接口E1配上IP地址202.99.88.9（3）ifconfig eth2 192.168.1.1 255.255.255.0將接口E2配上IP地址192.168.1.1（4）ifconfig eth2:0 202.99.99.1 255.255.255.0 eth2接內(nèi)部網(wǎng)，此處設(shè)置為202.99.99.0/24這個網(wǎng)段的目的是為了實現(xiàn)對202.99.97.0/24和202.99.98.0/24做路由用。,

33、2．設(shè)置路由表,（1）eth0上：route add 202.99.88.1 255.255.255.255 eth0添加到邊界路由器202.99.88.1的單機路由route add 202.99.88.2 255.255.255.255 eth0添加到防火墻外接口的單機路由（2）eth1上：route add 202.99.88.8 255.255.255.248添加到網(wǎng)絡(luò)202.99.88.8的路由,（3）eth2上

34、：route add 192.168.1.0 255.255.255.0添加到網(wǎng)絡(luò)192.168.1.0的路由 （4）eth2:0上route add 202.99.99.1 255.255.255.255 eth2:0添加到202.99.99.1的單機路由route add 202.99.99.2 255.255.255.255 eth2:0添加到路由器202.99.99.2的單機路由route add 20

35、2.99.97.0 255.255.255.0 202.99.99.2 定義到網(wǎng)絡(luò)202.99.97.0/24的路由為內(nèi)部網(wǎng)路由器202.99.99.2,route add 202.99.98.0 255.255.255.0 202.99.99.2定義到網(wǎng)絡(luò)202.99.98.0/24的路由為內(nèi)部網(wǎng)路由器202.99.99.2（5）eth2:1上route add 202.99.88.0 255.255.255.0 eth2

36、:1添加到202.99.88.0的路由（6） route add default 202.99.88.1默認路由指向邊界路由器。,3．指定防火墻接口屬性,（1）命令：fwip add eth0 202.99.88.2 o指定E0為外接口（2）命令：fwip add eth1 202.99.88.9 s指定E1為SSN接口，公共服務(wù)器所在的網(wǎng)絡(luò)都是通過此接口出去。（3）命令：fwip add eth2 192.168.1.

37、1 i指定E2為內(nèi)部接口，192.168.1.0/24的用戶都是通過此接口到達防火墻。（4）命令：fwip add eth2:0 202.99.99.1 i指定eth2:0為內(nèi)部接口（5）命令：fwip add eth2:1 202.99.88.3 I指定eth2:0為內(nèi)部接口,命令：dns按照提示輸入所在的域以及域名服務(wù)器。,4．配置域名服務(wù)器,命令：settrans eth0 eth1 on settrans

38、 eth0 eth2:1 on,5．透明設(shè)置,命令為adduser，然后按照提示輸入用戶名，口令，綁定的IP（或子網(wǎng)），用戶屬性（有效用戶或無效用戶），修改用戶口令需先刪掉該用戶，再增加該用戶。,6．增加用戶,打開防火墻的WWW頁面，進入對象管理?IP對象，添加in對象 。,7．NAT配置,然后在訪問規(guī)則中添加一條內(nèi)網(wǎng)到any的NAT 規(guī)則,規(guī)則政策中的地址轉(zhuǎn)換，在靜態(tài)地址轉(zhuǎn)換中添加一條,將主機192.168.1.144的80端口和21

39、端口映射到202.99.88.2上。,8．反向NAT配置,,（1）進入規(guī)則政策?地址轉(zhuǎn)換?反向端口映射，添加相關(guān)內(nèi)容,,（2）在對象管理?IP對象中添加FWIP對象，地址為202.99.88.2，掩碼為255.255.255.255。,8．反向NAT配置,,（3）在對象管理?In服務(wù)對象中添加renat對象，見圖4-18。,,,（4）在訪問規(guī)則中，需添加目的為防火墻IP的In規(guī)則，方式為反向NAT 。,8．反向NAT配置,,,,,（1）

40、允許分支網(wǎng)到外部網(wǎng)的所有訪問，添加IP對象“分支網(wǎng)”,9．訪問規(guī)則配置,,,,,,添加Out服務(wù)對象none，見圖4-21。,,添加一條Out規(guī)則，允許從分支對外部網(wǎng)的所有訪問,9．訪問規(guī)則配置,,,,,,,（2）有限訪問SSN,只允許訪問202.99.88.10的WWW服務(wù)，202.99.88.11的ftp服務(wù)，202.99.88.12的email服務(wù)（smtp和pop3）。首先增加三個IP對象：WWW_server：IP為202

41、.99.88.10，掩碼為255.255.255.255ftp_server：IP為202.99.88.11，掩碼為255.255.255.255email_server：IP為202.99.88.12，掩碼為255.255.255.255增加三個IN服務(wù)對象：http對象,9．訪問規(guī)則配置,,,,,,,9．訪問規(guī)則配置,,,,,,,ftp對象,,,9．訪問規(guī)則配置,,,,,,,email對象,,,,9．訪問規(guī)則配置,,,,,,

42、,添加三條IN規(guī)則,,,,,9．訪問規(guī)則配置,,,,,,,（3）禁止SSN訪問其余部分，添加一個IP對象：ssn_ip，,,,,,9．訪問規(guī)則配置,,,,,,,插入一條規(guī)則,,,,,,4.6 個人防火墻,個人防火墻其本身是在單臺計算機使用的防火墻軟件，它不但可以監(jiān)視計算機在網(wǎng)絡(luò)上的通信狀況，而且同時注重發(fā)現(xiàn)網(wǎng)絡(luò)中存在的威脅，以做出相應(yīng)的判斷，并根據(jù)其所設(shè)計的安全規(guī)則加以匹配，以防止網(wǎng)絡(luò)有害數(shù)據(jù)的攻擊和破壞。,4.6.1 個人防火墻概述,

43、個人防火墻是一個運行在單臺計算機上的軟件，它可以截取進出計算機的TCP/IP網(wǎng)絡(luò)連接數(shù)據(jù)包，并使用預(yù)先定義的規(guī)則允許或禁止其連接。通常，個人防火墻安裝在計算機網(wǎng)絡(luò)接口的較低級別上，監(jiān)視傳入傳出網(wǎng)卡的所有網(wǎng)絡(luò)通信。,4.6.2 個人防火墻的主要功能,IP 數(shù)據(jù)包過濾功能 安全規(guī)則的修訂功能 對特定網(wǎng)絡(luò)攻擊數(shù)據(jù)包的攔截功能 應(yīng)用程序網(wǎng)絡(luò)訪問控制功能 網(wǎng)絡(luò)快速切斷/恢復(fù)功能 日志記錄功能 網(wǎng)絡(luò)攻擊的報警功能 產(chǎn)品自身

44、安全功能,4.6.3 個人防火墻的特點,,個人防火墻的優(yōu)點 增加了保護級別，不需要額外的硬件資源； 個人防火墻除了可以抵擋外來攻擊的同時，還可以抵擋內(nèi)部的攻擊； 個人防火墻是對公共網(wǎng)絡(luò)中的單個系統(tǒng)提供了保護，能夠為用戶隱蔽暴露在網(wǎng)絡(luò)上的信息，比如IP地址之類的信息等。,4.6.3 個人防火墻的特點,,個人防火墻的缺點 個人防火墻對公共網(wǎng)絡(luò)只有一個物理接口，導(dǎo)致個人防火墻本身容易受到威脅； 個人防火墻在運行時需要占用個人計算機

45、的內(nèi)存、CPU時間等資源； 個人防火墻只能對單機提供保護，不能保護網(wǎng)絡(luò)系統(tǒng)。,4.6.4 主流個人防火墻簡介,,主流個人防火墻產(chǎn)品 Zone Alarm Pro 諾頓個人防火墻 McAfee Desktop Firewall 金山網(wǎng)鏢 瑞星個人防火墻 天網(wǎng)防火墻個人版,天網(wǎng)防火墻個人版使用簡介,,天網(wǎng)防火墻個人版是國內(nèi)外針對個人用戶最好的中文軟件防火墻之一，在國內(nèi)擁有眾多的用戶。 天網(wǎng)防火墻個人版的安裝 天網(wǎng)

46、防火墻個人版的系統(tǒng)設(shè)置 天網(wǎng)防火墻個人版的安全級別設(shè)置 天網(wǎng)防火墻個人版的IP規(guī)則設(shè)置 天網(wǎng)防火墻個人版的應(yīng)用程序規(guī)則設(shè)置 天網(wǎng)防火墻個人版的網(wǎng)絡(luò)狀態(tài)監(jiān)控,4.7 防火墻發(fā)展動態(tài)和趨勢,防火墻的缺陷主要表現(xiàn)在： 不能防范不經(jīng)由防火墻的攻擊。 還不能防止感染了病毒的軟件或文件的傳輸。 不能防止數(shù)據(jù)驅(qū)動式攻擊。 在高流量的網(wǎng)絡(luò)中，防火墻還容易成為網(wǎng)絡(luò)的瓶頸。 存在著安裝、管理、配置復(fù)雜的缺點,防火墻的發(fā)展趨勢,優(yōu)良的

47、性能 可擴展的結(jié)構(gòu)和功能 簡化的安裝與管理 主動過濾 防病毒與防黑客 發(fā)展聯(lián)動技術(shù),4.8 小結(jié),防火墻是保證網(wǎng)絡(luò)安全的一種重要手段。 防火墻的功能是：過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)，管理進、出網(wǎng)絡(luò)的訪問行為，封堵某些禁止的業(yè)務(wù)，記錄通過防火墻的信息內(nèi)容和活動，對網(wǎng)絡(luò)攻擊檢測和告警。 目前廣泛采用的防火墻的體系結(jié)構(gòu)是雙重宿主主機體系結(jié)構(gòu)、屏蔽主機體系結(jié)構(gòu)和屏蔽子網(wǎng)體系結(jié)構(gòu)。 從工作原理