包过滤防火墙的应用与配置
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在互联网上,防火墙是一种非常有效的网络安全系统,通过它可以隔离风险区 域(Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不 会妨碍安全区域对风险区域的访问,网络防火墙结构如下图所示。
1.2 防火墙的功能
根据不同的需要,防火墙的功能有比较大差异,但是 一般都包含以下三种基本功能。 可以限制未授权的用户进入内部网络,过滤掉不安 全的服务和非法用户 防止入侵者接近网络防御设施 限制内部用户访问特殊站点
包过滤防火墙的应用与配置
主讲人:何欢
本讲任务
理解防火墙的用途和分类 根据内外网之间的访问控制要求配置包过滤
防火墙
一. 防火墙的定义
防火墙的本义原是指古代人们房屋之间修建的墙,这道墙可以 防止火灾发生的时候蔓延到别的房屋,如图所示。
防火墙的用途和分类
1.1 防火墙的定义
这里所说的防火墙不是指为了防火而造的墙,而是指隔离在本地网络与外界网 络之间的一道防御系统。
1.5 防火墙的分类
常见的放火墙有三种类型:1、分组过滤防火墙;2、应用代理 防火墙;3、混合型防火墙。
分组过滤(Packet Filtering):作用在协议组的网络层和传 输层,根据分组包头源地址、目的地址和端口号、协议类型等 标志确定是否允许数据包通过,只有满足过滤逻辑的数据包才 被转发到相应的目的地的出口端,其余的数据包则从数据流中 丢弃。
组序号 1 2 3
动作 允许 允许 禁止
源IP 10.1.1.1 * *
目的IP * 10.1.1.1 10.1.1.1
源端口 * 20 20
目的端口 * * <1024
协议类型 TCP TCP TCP
2.4 WinRoute包过滤防火墙配置
WinRoute目前应用比较广泛,既可以作为一个服务器的防 火墙系统,也可以作为一个代理服务器软件。目前比较常用 的是WinRoute4.1,安装文件如图所示。
由于防火墙假设了网络边界和服务,因此适合于相对 独立的网络,例如Intranet等种类相对集中的网络。 Internet上的Web网站中,超过三分之一的站点都 是有某种防火墙保护的,任何关键性的服务器,都应 该放在防火墙之后。
1.3 防火墙功能的局限性
没有万能的网络安全技术,防火墙也不例外。防火 墙有以下三方面的局限:
防火墙
数据包
服务器
2.2 包过滤防火墙过滤原理
2.3 包过滤防火墙的过滤规则
一个可靠的分组过滤防火墙依赖于规则集,下表列出了几 条典型的规则集。
第一条规则:主机10.1.1.1任何端口访问任何主机的任何端口,基于 TCP协议的数据包都允许通过。第二条规则:任何主机的20端口访问 主机10.1.1.1的任何端口,基于TCP协议的数据包允许通过。第三条 规则:任何主机的20端口访问主机10.1.1.1小于1024的端口,如果 基于TCP协议的数据包都禁止通过。
案例1 用WinRoute禁用FTP访问
FTP服务用TCP协议, FTP占用TCP的21端口,主机的IP 地址是“172.18.25.109”,首先创建规则如表所示。
组序号
动作
源IP
目的IP
源端口
目的端口
协议类型
1
禁止
*
172.18.25.10 *
21
Байду номын сангаас
TCP
9
利用WinRoute建立访问规则,如图所示。
包过滤防火墙的配置
2.1 包过滤防火墙用途
数据包过滤可以在网络层截获数据。使用一些规则来确定是否 转发或丢弃所各个数据包。
通常情况下,如果规则中没有明确允许指定数据包的出入,那 么数据包将被丢弃
安全区域
服务器
工作站 台式PC 打印机
服务器
数据包
IP报头 TCP报头 分组过滤判断
数据
控制策略
查找对应的策略
应用代理(Application Proxy):也叫应用网关 (Application Gateway),它作用在应用层,其特点是完 全“阻隔”网络通信流,通过对每种应用服务编制专门的代理 程序,实现监视和控制应用层通信流的作用。实际中的应用网 关通常由专用工作站实现。
混合型防火墙:利用前两种技术各自的优点而设计的基于包过 滤和代理技术的防火墙类型。
防火墙不能防范网络内部的攻击。比如:防火墙无 法禁止变节者或内部间谍将敏感数据拷贝到软盘上。
防火墙也不能防范那些伪装成超级用户或诈称新雇 员的黑客们劝说没有防范心理的用户公开其口令, 并授予其临时的网络访问权限。
防火墙不能防止传送己感染病毒的软件或文件,不 能期望防火墙去对每一个文件进行扫描,查出潜在 的病毒。
因为“Ping”指令用的协议是ICMP,所以这里要对ICMP协议设置过 滤规则。在协议下拉列表中选择“ICMP”,如图所示。
在“ICMP Type”栏目中,将复选框全部选中。在“Action”栏目中, 选择单选框“Drop”。在“Log Packet”栏目中选中“Log into Window”,创建完毕后点击按钮“OK”,一条规则就创建完毕,如图 所示。
为了使设置的规则生效,点击按钮“应用”,如图所示。
设置完毕,该主机就不再响应外界的“Ping”指令了,使用指令 “Ping”来探测主机,将收不到回应,如图所示。
虽然主机没有响应,但是已经将事件记录到安全日志了。选择 菜单栏“View”下的菜单项“Logs>Security Logs”,察看日 志纪录如图所示。
利用WinRoute创建包过滤规则,创建的规则内容是:防止主 机被别的计算机使用“Ping”指令探测。选择菜单项“Packet Filter”,如图所示。
在包过滤对话框中可以看出目前主机还没有 任何的包规则,如图所示。
选中图网卡图标,单击按钮“添加”。出现过滤规则添加对话 框,所有的过滤规则都在此处添加,如图所示。
以管理员身份安装该软件,安装完毕后,启动“WinRoute Administration”,WinRoute的管理界面如图所示。
默认情况下,该密码为空。点击按钮“OK”,进入系统管理。当系统安装完 毕以后,该主机就将不能上网,需要修改默认设置,点击工具栏图标,出现 本地网络设置对话框,然后查看“Ethernet”的属性,将两个复选框全部选 中,如图所示。
1.2 防火墙的功能
根据不同的需要,防火墙的功能有比较大差异,但是 一般都包含以下三种基本功能。 可以限制未授权的用户进入内部网络,过滤掉不安 全的服务和非法用户 防止入侵者接近网络防御设施 限制内部用户访问特殊站点
包过滤防火墙的应用与配置
主讲人:何欢
本讲任务
理解防火墙的用途和分类 根据内外网之间的访问控制要求配置包过滤
防火墙
一. 防火墙的定义
防火墙的本义原是指古代人们房屋之间修建的墙,这道墙可以 防止火灾发生的时候蔓延到别的房屋,如图所示。
防火墙的用途和分类
1.1 防火墙的定义
这里所说的防火墙不是指为了防火而造的墙,而是指隔离在本地网络与外界网 络之间的一道防御系统。
1.5 防火墙的分类
常见的放火墙有三种类型:1、分组过滤防火墙;2、应用代理 防火墙;3、混合型防火墙。
分组过滤(Packet Filtering):作用在协议组的网络层和传 输层,根据分组包头源地址、目的地址和端口号、协议类型等 标志确定是否允许数据包通过,只有满足过滤逻辑的数据包才 被转发到相应的目的地的出口端,其余的数据包则从数据流中 丢弃。
组序号 1 2 3
动作 允许 允许 禁止
源IP 10.1.1.1 * *
目的IP * 10.1.1.1 10.1.1.1
源端口 * 20 20
目的端口 * * <1024
协议类型 TCP TCP TCP
2.4 WinRoute包过滤防火墙配置
WinRoute目前应用比较广泛,既可以作为一个服务器的防 火墙系统,也可以作为一个代理服务器软件。目前比较常用 的是WinRoute4.1,安装文件如图所示。
由于防火墙假设了网络边界和服务,因此适合于相对 独立的网络,例如Intranet等种类相对集中的网络。 Internet上的Web网站中,超过三分之一的站点都 是有某种防火墙保护的,任何关键性的服务器,都应 该放在防火墙之后。
1.3 防火墙功能的局限性
没有万能的网络安全技术,防火墙也不例外。防火 墙有以下三方面的局限:
防火墙
数据包
服务器
2.2 包过滤防火墙过滤原理
2.3 包过滤防火墙的过滤规则
一个可靠的分组过滤防火墙依赖于规则集,下表列出了几 条典型的规则集。
第一条规则:主机10.1.1.1任何端口访问任何主机的任何端口,基于 TCP协议的数据包都允许通过。第二条规则:任何主机的20端口访问 主机10.1.1.1的任何端口,基于TCP协议的数据包允许通过。第三条 规则:任何主机的20端口访问主机10.1.1.1小于1024的端口,如果 基于TCP协议的数据包都禁止通过。
案例1 用WinRoute禁用FTP访问
FTP服务用TCP协议, FTP占用TCP的21端口,主机的IP 地址是“172.18.25.109”,首先创建规则如表所示。
组序号
动作
源IP
目的IP
源端口
目的端口
协议类型
1
禁止
*
172.18.25.10 *
21
Байду номын сангаас
TCP
9
利用WinRoute建立访问规则,如图所示。
包过滤防火墙的配置
2.1 包过滤防火墙用途
数据包过滤可以在网络层截获数据。使用一些规则来确定是否 转发或丢弃所各个数据包。
通常情况下,如果规则中没有明确允许指定数据包的出入,那 么数据包将被丢弃
安全区域
服务器
工作站 台式PC 打印机
服务器
数据包
IP报头 TCP报头 分组过滤判断
数据
控制策略
查找对应的策略
应用代理(Application Proxy):也叫应用网关 (Application Gateway),它作用在应用层,其特点是完 全“阻隔”网络通信流,通过对每种应用服务编制专门的代理 程序,实现监视和控制应用层通信流的作用。实际中的应用网 关通常由专用工作站实现。
混合型防火墙:利用前两种技术各自的优点而设计的基于包过 滤和代理技术的防火墙类型。
防火墙不能防范网络内部的攻击。比如:防火墙无 法禁止变节者或内部间谍将敏感数据拷贝到软盘上。
防火墙也不能防范那些伪装成超级用户或诈称新雇 员的黑客们劝说没有防范心理的用户公开其口令, 并授予其临时的网络访问权限。
防火墙不能防止传送己感染病毒的软件或文件,不 能期望防火墙去对每一个文件进行扫描,查出潜在 的病毒。
因为“Ping”指令用的协议是ICMP,所以这里要对ICMP协议设置过 滤规则。在协议下拉列表中选择“ICMP”,如图所示。
在“ICMP Type”栏目中,将复选框全部选中。在“Action”栏目中, 选择单选框“Drop”。在“Log Packet”栏目中选中“Log into Window”,创建完毕后点击按钮“OK”,一条规则就创建完毕,如图 所示。
为了使设置的规则生效,点击按钮“应用”,如图所示。
设置完毕,该主机就不再响应外界的“Ping”指令了,使用指令 “Ping”来探测主机,将收不到回应,如图所示。
虽然主机没有响应,但是已经将事件记录到安全日志了。选择 菜单栏“View”下的菜单项“Logs>Security Logs”,察看日 志纪录如图所示。
利用WinRoute创建包过滤规则,创建的规则内容是:防止主 机被别的计算机使用“Ping”指令探测。选择菜单项“Packet Filter”,如图所示。
在包过滤对话框中可以看出目前主机还没有 任何的包规则,如图所示。
选中图网卡图标,单击按钮“添加”。出现过滤规则添加对话 框,所有的过滤规则都在此处添加,如图所示。
以管理员身份安装该软件,安装完毕后,启动“WinRoute Administration”,WinRoute的管理界面如图所示。
默认情况下,该密码为空。点击按钮“OK”,进入系统管理。当系统安装完 毕以后,该主机就将不能上网,需要修改默认设置,点击工具栏图标,出现 本地网络设置对话框,然后查看“Ethernet”的属性,将两个复选框全部选 中,如图所示。