14.1背景知识
14.1.1 防火墙的定义
防火墙技术是目前普遍采用的网络安全技术,已经越来越多的应用于内部网与Internet的互联环境中。是随着机构、企事业单位的信息化,Internet使他们的工作效率和市场反应速度都得到了提升,但是Internet的开放性也给机构、企事业单位带来了新的挑战的威胁。一方面,企业网络要受到外部网络中黑客的攻击;另一方面,合作伙伴、内部员工对企业网络的访问也可以造成机密信息失窃。防火墙就像内部网络与外部网络之间的战壕一样,保护着内部网络的安全。
防火墙是一种特殊的访问控制设施,通常位于两个(或多个)网络间,实施网络之间访问控制的组件集合。防火墙要求所有进出内部网络的数据流都必须通过安全策略和安全计划的确认与授权,并在逻辑上实现内络的分离,从而保证内部网络的安全。防火墙既可以是一组硬件,也可以是一组软件,还可以是软件和硬件的组合。
14.1.2 防火墙的应用范围
因防火墙种类比较多,本节所介绍的仅是应用最为广泛的传统边界防火墙的应用,不指个人防火墙,也不包括最新的分布式防火墙。
1、控制来自互联网对内部网络的访问
这是一种应用最广,也是最重要的防火墙应用环境。在这种应用环境下,防火墙的主要功能是保护内部网络不遭受互联网用户(主要是指非法的黑客)的攻击。
在这种应用环境中,一般情况下防火墙网络可划分为三个不同级别的安全区域:
内部网络:这是防火墙要保护的对象,包括全部的企业内部网络设备及用户主机。这个区域是防火墙的可信区域(这是由传统边界防火墙的设计理念决定的)。
外部网络:这是防火墙要防护的对象,包括外部互联网主机和设备。这个区域为防火墙的非可信网络区域(也是由传统边界防火墙的设计理念决定的)。
DMZ(非军事区):它是从企业内部网络中划分的一个小区域,在其中就包括内部网络中用于公众服务的外部服务器,如Web服务器、邮件服务器、FTP服务器、外部DNS服务器等,它们都是为互联网提供某种信息服务。
在以上三个区域中,用户需要对不同的安全区域配置不同的安全策略。虽然内部网络和DMZ区都属于企业内部网络的一部分,但它们的安全级别(策略)是不同的。对于要保护的大部分内部网络,一般情况下禁止所有来自互联网用户的访问;而DMZ区因需要为互联网应用提供相关的服务,所以没有内部网络那么严格,如Web服务器通常是允许任何人进行正常的访问。
2、控制来自第三方网络对内部网络的访问
这种应用主要是针对一些规模比较大的组织,它们的内部网络通常要与分支机构、合作伙伴或供应商的局域网进行连接,或者是同一企业网络中存在多个子网。在这种应用环境下,防火墙主要第三方网络(以上所说的其它单位局域网或本单位子网)对内部网络的非授权访问。
3、控制内部网络不同部门之间的访问
这种应用环境就是在一个组织内部网络之间,对一些安全敏感的部门进行隔离保护。通过防火墙保护内部网络中敏感部门的资源不被非法访问。这些所谓的“敏感部门”通常是指人事部门、财务部门和市场部门等,在这些部门网络主机中的数据对于组织来说是非常重要,它的工作不能完全离开组织网络,但其中的数据又不能随便供网络用户访问。
4、控制对服务器中心的网络访问
对于一个服务器中心,比如主机托管中心,其众多服务器需要对第三方(合作伙伴、互联网用户等)开放,但是所有这些服务器分别属于不同用户所有,造成其安全策略各不相同。防火墙可实现对其服务中心的服务器进程隔离保护。
14.1.3 防火墙的主要功能
防火墙为了阻止不符合策略规则的用户访问,其主要功能如下。
1、网络适配器(输入筛选器)
网络适配器输入筛选检查传入数据包中的源地址或目标地址及其它信息,然后阻止或允许数据包通过。它适用于传入通信而无法控制传出通信。它匹配UDP和TCP的IP地址和端口号,以及通信协议TCP、UDP和一般路由封装(GRE)协议。网络适配器输入筛选能够快速有效地拒绝不符合防火墙配置规则的数据包。但是,因为它仅匹配IP报文首部,有经验的黑客可以逃避检测。
2、静态数据包筛选器
静态数据包筛选器与网络适配器输入筛选的类似之处在于它们仅通过简单地匹配IP报文头来确定是否允许数据包通过接口。但是,静态数据包筛选器允许同时控制接口的输入及输出通信。此外,静态数据包筛选器通常在网络适配器筛选上允许附加功能,可以检查IP报文头上是否设置了已确认的(ACK)位。ACK位提供了有关数据包是一个新的请求还是来自原始请求的返回请求的信息,但它不验证数据包是否是由原先接收它的接口发送的。基于IP数据文头的规范,它仅检查进入接口的通信是否显示为返回通信。
此技术仅适用于TCP协议,而不适用于UDP协议。与网络适配器输入筛选类似,静态数据包筛选非常快,但是其功能受到,而且特别精心制作的数据包可以躲避它。
3、网络地址转换
在全球IP地址范围内,某些地址范围被指定为“专用地址”,如局域网专用的192.168.0.0网段的IP地址。这些地址只用于企业网络内部,在Internet中没有任何意义。指定这其中的任何IP地址通信都无法通过Internet路由,因此为内部设备指定专用地址可以提供一定程度的针对入侵的保护。但是,这些内部设备本身经常需要访问Internet,而网络地址转换(NAT)可以将专用地址转换Internet地址。
虽然NAT不是一种防火墙技术,但是它能够掩藏服务器的真正IP地址,可以起到一定的隔离作用,防止攻击者直接攻击服务器或内部网络的其它主机。
4、隔离不同网络,防止内部信息的外泄
这是防火墙的最基本功能,它通过隔离内、外部网络来确保内部网络的安全,也可以通过利用防火墙对内部网络的划分,实现内部网中重点网段的隔离,内部网络中不同部门之间互相访问,从而保障了网络内部敏感数据的安全。另外,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节,可能因包含了有关安全的线索而引起外部攻击者的兴趣,甚至由此而暴露内部网络的某些安全漏洞。使用防火墙就可以阻挡那些可能透露内部细节的服务,如DNS。防火墙可以阻塞有关内部网络的DNS信息,使攻击者无法探测域名及IP地址。
5、应用程序层筛选
防火墙通信检查的最完善级别是应用程序级筛选。好的应用程序筛选器允许分析特定应用程序的数据流并且提供应用程序特定的处理能力。在数据通过防火墙时,此处理包括检查、筛分或阻止、重新定向及修改数据。此机制用于保护诸如不安全的SMTP命令,或防范对内部域名系统(DNS)的攻击事件等。通常,用于内容筛选的第三方工具包括病毒检测、词汇分析和站点分类等,可以添加到防火墙的筛选策略中。
应用程序层防火墙功能有助于减小由IP欺骗、DoS、一些应用程序层攻击、网络侦察和病毒/特洛伊木马攻击等造成的风险。应用程序层防火墙的缺点是它需要更多的处理能力,并且通常在通过通信时比监控状态的防火墙或静态筛选防火墙的速度慢。在使用应用程序层防火墙时务必注意:确定防火墙可以在应用程序层上做些什么。
支持应用程序功能的大多数防火墙可以对明文通信(如代理意识的消息服务、HTTP和FTP)进行应用程序层筛选,可以全面控制进出此环境的通信,比起只监控入口通信的防火墙更加安全。所以这类防火墙广泛用于保护公开暴露在外的服务,如Web服务器、FTP服务器和E-mail服务器等。与数据包筛选或监控状态的检查防火墙(它们只是简单地查看端口及源IP地址和目标IP地址)不一样,支持应用程序层筛选功能的防火墙可以检查来回通过的数据和命令。
6、其它特殊功能
除了以上介绍的几个方面的主要功能外,有的防火墙还具有一些特殊功能,这些特殊功能纯粹是为了迎合特殊客户的需要或者为赢得卖点而设计的,如特定的用户权限配置(包括使用时间、邮件发送权限、邮件传输权限、使用的主机、所能进行的因特网应用等),这些根据需求而定。有的防火墙还加入了病毒扫描功能。
14.2实训说明
14.2.1课题提出
1、风险成因
目前大多数企业采用的企业网络为带DMZ区的局域网,这个网络主要分为3个部分:、内部网络和DMZ(非军事化区)。
图14-1 带DMZ区的局域网
内部网络是满足公司内部工作使用,刚才也说过,内部网络可以是一个大型的局域网,也可以是由多个较小的局域网组合而成,内部网络中包含了公司内部资料和人事档案等重要信息,这些信息是不能对外公布的。
DMZ区是非军事化区,它的作用是公司开放到外部网络的窗口,其中包含了公司对外公开的信息,开放DMZ区的作用是把公司内部信息和对外信息分开,对外宣传的同时也是承受外部攻击最多的区域。
(1)内部网络中的风险
风险:外部网络如果可以进入内部网络有可能导致信息失窃
成因:内部网络连接到外部网络,就有可能遭到来自广域网的入侵。
(2)DMZ区风险
风险:DMZ区如果可以进入内部网络有可能导致信息失窃或者内部网络瘫痪。
成因:DMZ区可以被外部网络访问,那么就有可能会遭到来自外部网络的入侵。也会成为入侵内部网络的跳板。
2、风险造成的影响
◆DMZ区服务器无法正常工作
◆内部网络中的信息可能丢失
◆整个企业网络瘫痪
3、课题说明
通过本实训了解大多数企业网络的结构和功能,了解防火墙的策略配置方法。
14.2.2涉及知识
本次实训涉及的知识有:
◆企业网络的结构和功能
◆防火墙的策略配置方法
14.3实训过程
14.3.1实训整体流程
实训整体流程如图14-2。
图14-2 实训整体流程
14.3.2实训准备
1、实训介绍
通过配置防火墙策略使网络拥有功能的基本要求:
◆内部网络可以访问外部网络
◆内部网络可以访问DMZ区
◆外部网络不能访问内部网络
◆外部网络可以访问DMZ区
◆DMZ不能访问内部网络
◆DMZ不能访问外部网络
安全需求:
◆抗攻击
◆IP/MAC绑定
◆禁止非IP协议
◆包过滤安全规则
◆内部网络用户访问DMZ区或外部网络要进行NAT的转换
2、环境准备
企业网络结构的DMZ区实例图(如图14-3)。
图14-3 企业网络结构的DMZ区实例图
3、实训参数
◆联想网御防火墙V150
◆华为交换机
◆思科交换机
◆用户主机一:IP:192.168.0.202 WindowsXP sp2操作系统
◆用户主机二:IP:202.103.0.117 WindowsXP sp2 操作系统
◆服务器:IP:192.168.1.116 Windows2003 Server sp2 操作系统
14.3.3实训:配置防火墙策略
1、连接配置步骤
步骤1:物理连接
将202.103.0.117(外部网络)的RJ45线与fe2连接(fe2/fe3/fe4任意一个即可),模拟外部网络用户。
将192.168.0.202(内部网络)的100M思科交换机与fe3连接,模拟内部网络。
将192.168.1.116(DMZ区)的10M交换机与fe4连接,模拟DMZ区。
将防火墙控制主机的网卡口和防火墙管理口fe1口连接起来来管理防火墙。
步骤2:网络配置
进入防火墙的Web界面,打开“网络配置—>网络设备—>物理设备” (如图14-4)。
图14-4 进入防火墙的Web界面
fe2是与外部网络202.103.0.117相连接,fe2的配置为(如图14-5)。
图14-5 fe2的配置
注意:为了方便以后将要进行ping的连通测试,因此开启“允许PING”功能。在后面的设置均会打开此功能。
fe3是与外部网络192.168.0.202相连接,fe3的配置为(如图14-6)。
图14-6 fe3的配置
fe4是与外部网络192.168.1.116相连接,fe4的配置为(如图14-7)。
图14-7 fe4的配置
全部配置完成(如图14-8)。
图14-8 全部配置完成
注:fe1为连接管理主机与防火墙的接口,该网口不要绑定其他IP,也不要通过交换机连接防火墙。
2、基本包过滤规则
步骤1:打开包过滤策略
进入策略配置—>安全选项—>包过滤策略,取消“包过滤缺省允许”。启动“严格的状态检测”(它只针对TCP连接,如果启用,只为SYN标志的数据包创建连接状态,除此之外的任何TCP数据包都不创建状态。它可以防止ACK扫描攻击,当使用“策略配置—>安全规则—>包过滤策略”中的“长连接”属性,设置连接建立的时间时,则必须选中“严格的状态检测”的属性)(如图14-9)。
图14-9 安全网关
步骤2:配置包过滤策略:内部网络可以访问外部网络
允许192.168.0.202网段(192.168.0.1/24)内的所有主机访问外部网络202.103.0.117(如图14-10和14-11)。
图14-10 包过滤规则维护
图14-11 包过滤报表
步骤3:配置包过滤策略:内部网络可以访问DMZ区
允许192.168.0.202网段(192.168.0.1/24)内的所有主机访问DMZ区192.168.1.116(如图14-12和14-13)。
图14-12 包过滤规则维护
图14-13 包过滤报表
步骤4:配置包过滤规则:外部网络不能访问内部网络
禁止202.103.0.117网段(202.103.0.1/24)内的所有主机访问内部网络192.168.0.202(如图14-14和14-15)。
图14-14 包过滤规则维护
图14-15 包过滤报表
步骤5:配置包过滤规则:外部网络可以访问DMZ区
允许202.103.0.117网段(202.103.0.1/24)内的所有主机访问DMZ区192.168.1.116(如图14-16和14-17)。
图14-16 包过滤规则维护
图14-17 包过滤报表
步骤6:配置包过滤规则:DMZ不能访问内部网络
禁止192.168.1.116网段(DMZ区)内的所有主机访问内部网络192.168.0.202(如图14-18和14-19)。
图14-18 包过滤规则维护
图14-19 包过滤报表
步骤7:配置包过滤规则:DMZ不能访问外部网络
禁止192.168.1.116网段(DMZ区)内的所有主机访问外部网络202.103.0.117(如图14-20和14-21)。
图14-20 包过滤规则维护
图14-21 包过滤报表
配置完成后(如图14-22)。
图14-22 配置完成
3、安全规则
步骤1:配置安全规则:抗攻击
在防火墙的配置中,抗攻击是默认开启的,若有特殊的配置需求可以个别开启(如图14-23)。
图14-23 抗攻击
步骤2:配置安全规则:IP/MAC绑定
IP/MAC帮定是防止对防火墙进行欺骗。
点击,进入“地址绑定”界面。选择探测的网口fe3、fe4(fe2由于连接的是外部网络,不需要进行地址绑定)(如图14-24)。
图14-24 “地址绑定”界面
点击“探测”,对fe3、fe4端口进行地址嗅探(如图14-25和14-26)。
图14-25 地址嗅探
图14-26 地址绑定
点击,进入地址绑定界面。对内部网络主机192.168.0.202和DMZ区主机(如图14-27)。
图14-27 进入地址绑定界面
注:选择“唯一性检查”后,IP与MAC建立一一对应的关系,不选择,可以一个MAC绑定多个IP。
打开“启动IP/MAC检查”项目(如图14-28)。
图14-28 “启动IP/MAC检查”项目
步骤3:配置安全规则:禁止非IP协议
在防火墙的配置中,非IP协议是默认开启的,需将“允许所有非IP协议”项目关闭,若有特殊需要再逐一开启(如图14-29)。
图14-29 禁止非IP协议
步骤4:配置安全规则:包过滤安全规则
防火墙只能抗部分拒绝服务攻击,在配置包过滤规则时,进行以下配置(如图14-30)。
图14-30 包过滤安全规则
注意:“长连接”表示连接的时间,在设置的时间内可以进行连接,超出时间就自动断开必须重新进行TCP连接。内部网络可以无的访问外部网络和DMZ区,而外部网络对DMZ区的访问建议设置长连接。如开启长连接,还需要启动“安全策略—>安全选项”中的“严格的状态选择”。
“深度过滤”是对流过防火墙的数据包进行应用层的过滤,但这种过滤很影响系统的处理性能,若无很高的安全需求,建议不启动“深度过滤”。
步骤6:配置安全规则:内部网络用户访问DMZ区或外部网络要进行NAT的转换
192.168.0.202网段(192.168.0.1/24)内的所有主机转换为外部网络IP地址(202.103.0.1/24),192.168.0.202通过一个外部的IP地址与外部网络202.103.0.117通讯。
进入NAT规则配置界面(如图14-31)。
图14-31 NAT规则配置界面
内部网络192.168.0.202访问DMZ区192.168.1.116时进行NAT转换。(NAT转换有两种模式,一种是“伪装”系统根据路由自动选择转换后的地址;一种是“源地址转换”手动选择转换的地址)(如图14-32、14-33、14-34)。
图14-32 NAT规则维护(1)
图14-33 NAT规则维护(2)
图14-34 进行NAT转换
DMZ区主机192.168.1.116的arp表反映出NAT转换的信息(如图14-35)。
图14-35 192.168.1.116的arp表
外部网络主机202.103.0.117的arp表反映出NAT转换的信息(如图14-36)。
图14-36 202.103.0.117的arp表
注意:设置一条NAT规则,必须再设置一条相应的包过滤规则才能生效。
14.4实训小结
任何的策略都是基于使用者的需求制定的,没有绝对通用的策略规则,这里只进行了DMZ的通用策略配置。下载本文
