_防火墙配置步骤全解
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙
制作人:袁清国
防火墙概述
1、网络设备(系统)简介
路由器、(二/三)层交换机、防火墙、VPN、IDS/IPS、UTM、计费网 关、AAA设备、流控(流量整形)系统、上网行为管理系统、日志系统、 网络管理系统、桌面管理系统、物理网闸、负载均衡等。
2、防火墙定义
防火墙是位于两个或多个网络之间,执行访问控制策略的一个设备或一 组系统的总称。
Computer
内部网络
(2)网桥模式:防火墙可以方便的接入到网络(类似于交换机),而且保持所 有的网络设备配置完全不变。
Router
L3 Switch
内部网络
Internet
防火墙可以方便的接入到网 络,而且保持所有的网络设 备配置完全不变
此时防火墙类似网桥的工作 方式,降低网络管理的复杂 度
(3)混合模式:防火墙同时工作在路由模式和桥模式(NAT基于路由模式)。
3、防火墙的分类
软/硬件类型
硬件防火墙:Netscreen,Cisco pix/ASA,H3C secpath,天融信, 神码DCFW,锐捷 RG-wall,中软,联想网御等
按照用途
软件防火墙:ISA,m0n0,Checkpoint,Iptables,pfsense, 电信级:华为Eudemon 100E、 DCFW-1800E
Internet
NAT
桥
路由
防火墙同时工作在路 由模式和桥模式
www
FTP DMZ区
Computer
Computer
内部网络
(4)混合模式配置实例:
Internet
OutSide 202.99.8.254/29 202.99.8.253/29
InSide
DMZ
FTP Server
外部接口和DMZ接
3、防火墙的功能及作用
它可以有效地保护本地系统或网络,抵制外部网络安全威胁,同时支持 受限的通过WAN或Internet对外界进行访问。
基本功能: (1)限定内部用户访问外部网络(内网对外网访问的控制)。 (2)防止未授权用户访问内部网络(外部对内部的访问控制)。 (3)允许内部网络中的用户访问外部网络而不泄漏自身的数据和资源 (例如通过NAT后对外网不可见,单向PING)。 (4)记录通过防火墙的信息内容和活动(日志功能)。
该方法网络安全性高,而且网路的访问速度较快,由于Internet公共服务器放 在独立的区域,所以即使DMZ出现入侵事件,内网也不会受到影响,缺点是设备的 投入巨大,为此基于该方案可采用专业的硬件防火墙实现,以减少硬件投入。
改进一:
改进二:
Internet
Internet
www
FTP
DMZ区
电脑 内部服务器
保护网和外部网相连,每块网卡都有独立的IP地址。堡垒主机上运行着防火 墙软件(应用层代理防火墙),可以转发应用程序,也可提供服务等功能。
双穴主机网关优于屏蔽路由器的地方是内网用户都通过代理上网,而没有 发生和外网的真正链接,对网络的保护较好,而且资金投入较少。
双穴主机网关的缺点是内网的安全性完全依赖于堡垒主机的安全性,而堡
优缺点:包转发效率和网络安全性高,但对应用层的控制较差。
5、防火墙的工作模式
防火墙的工作模式有路由模式、透明桥模式和混合模式三大类。 (1)路由模式:防火墙可以充当路由器,提供路由功能。
Internet
防火墙缺省工作模式,防火 墙可以充当路由器,提供路 由功能
防火墙的各个接口处于不同 的网段
Computer
优点:可以检查应用层、传输层和网络层的协议特征,对数据包的 检测能力比较强,网络安全级别高。 缺点,难于配置,处理速度非常慢,需配置各种代理。
(3)状态检测防火墙(动态包过滤)
状态检测防火墙摒弃了包过滤防火墙仅考查数据包的 IP 地址端 口等几个参数,而不关心数据包连接状态变化的缺点,在防火墙的核 心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利 用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据 规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整 的对传输层的控制能力。
缺点:不能有效防范黑客入侵,不支持应用层协议,不能处理新的安全
威胁。
(2)应用代理技术防火墙:
应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对
外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户
。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服 务器建立直接的 TCP 连接,应用层的协议会话过程必须符合代理的安 全策略要求。
(a) 无法对应用层的网络攻击和入侵进行有效防御和保护。 (b) 规则表随着应用的深化会变得很大而且很复杂。
(c) 依靠单一的防火墙来保护网络,一旦防火墙出现问题会完全失去对内网保
护
工作站 工作站 服务器
内部网络 工作站 服务器
屏蔽路由器
Internet
防火墙
(2)双穴主机网关结构 这种配置是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受
Computer
Computer
内部网络
DMZ 1区 www FTP
DMZ 2区 数据库 FTP
电脑 内部服务器
Computer
Computer
内部网络
网间防火墙: 企业级:ISA,DCFW-1800S,PIX 515/525/525 SOHO级:Cisco 501/506, SONICWALL
服务器防火墙:Blackice,诺顿、Checkpoint 服务防火墙:SecureIISWeb、Anti-ARP、抗DDos防火墙等、
个人防火墙:瑞星、天网、费尔、ZoneAlarm
垒主机一旦遭受入侵,则内部网络将暴露无遗。另一个问题是使用应用层代 理防火墙的上网数度慢,网络配置复杂,代理
工作站
服务器
内部网络 工作站 服务器
202.118.116.5 Internet
10.162.88.5 双穴主机
防火墙
(3)屏蔽主机网关结构
屏蔽主机网关易于实现也很安全,因此应用广泛。屏蔽主机网关包括一 个包过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上,通常 在路由器上设立过滤规则,并使这个堡垒主机(应用层代理防火墙)成为从外 部网络惟一可直接到达的主机,这确保了内部网络不受未被授权的外部用户 的攻击。进出内部网络的数据只能沿图中的虚线流动。
这一子网分别与内部网络和外部网络分开。在很多实现过程中由两个包过滤路由器 放在子网的两端,在子网内构成一个“非军事区 (DMZ区)” ,在该区可以放置供外 网访问的Internet公共服务器,内部网络和外部网络均可访问被屏蔽子网,但禁止 它们穿过被屏蔽子网通信,像WWW和FTP服务器可放在DMZ中。有的屏蔽子网中 还设有一台堡垒主机作为惟一可访问结点,
NP架构(网络处理器) :天融信,联想网御 按硬件体系结构 AISC架构(专用集成电路) :Netscreen,Cicso,
X86架构(PC架构工控机) :国内大部分的SOHO防火墙
按工作原理
包过滤防火墙:Winroute,ROS,大部分的硬件路由器 应用级代理防火墙:Wingate,Cgate,Ccproxy 状态监测防火墙:ISA,m0n0,大部分的硬件防火墙
网络的安全性有极大的提高,可以实现网络底层和高层的立体防护,但 由于应用层代理的加入会对网络的速度造成影响,而且设备投入较大,网络 管理和实现复杂。
工作站 工作站
服务器
内部网络 工作站 堡垒主机
X
X
屏蔽路由器
防火墙
Internet
(4) 屏蔽子网结构
在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将
(5)对网络攻击进行监测报警及防御(基本的网络安全检测防御能力)。 (6)使用互连/NAT方式进行网络组建 扩展功能:
(1)路由和网桥模式的安全防御。 (2)实现VPN的功能。 (3)和IDS联动或集成IDS/IPS功能。 (4)集成流量控制的功能,实现负载均衡功能。 (5)集成网络计费,防范垃圾邮件,网页内容过滤,防范病毒/木马。
4、防火墙的工作原理 (1)包过滤防火墙(静态包过滤)
包过滤防火墙工作在网络层,对数据包的源及目地 IP 具有识别和控制 作用,对于传输层,也只能识别数据包是TCP还是UDP及所用的端口信息。 现在的路由器、三层交换机以及某些操作系统已经具有包过滤的控制能力。
优点:由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析, 包过滤防火墙的处理速度较快,并且易于配置。
202.99.8.250/29 口组成透明方式
DNS Server 202.99.8.252/29
WWW Server 202.99.8.251/29
防火墙的网桥接口 启用NAT转换
192.168.0.0/16
6、防火墙系统组网模型
(1)屏蔽路由器结构:屏蔽路由器结构是防火墙最基本的结构。屏蔽路由器 作为内外连接的惟一通道,要求所有的报文都必须在此通过IP地址或端口检 查,屏蔽路由器一般为具备包过滤(静态或动态包过滤)功能的防火墙承担。 优点为实现比较简单,屏蔽路由器对用户透明,而且设置灵活,所以应用比 较广泛。这种体系结构存在以下缺点:
制作人:袁清国
防火墙概述
1、网络设备(系统)简介
路由器、(二/三)层交换机、防火墙、VPN、IDS/IPS、UTM、计费网 关、AAA设备、流控(流量整形)系统、上网行为管理系统、日志系统、 网络管理系统、桌面管理系统、物理网闸、负载均衡等。
2、防火墙定义
防火墙是位于两个或多个网络之间,执行访问控制策略的一个设备或一 组系统的总称。
Computer
内部网络
(2)网桥模式:防火墙可以方便的接入到网络(类似于交换机),而且保持所 有的网络设备配置完全不变。
Router
L3 Switch
内部网络
Internet
防火墙可以方便的接入到网 络,而且保持所有的网络设 备配置完全不变
此时防火墙类似网桥的工作 方式,降低网络管理的复杂 度
(3)混合模式:防火墙同时工作在路由模式和桥模式(NAT基于路由模式)。
3、防火墙的分类
软/硬件类型
硬件防火墙:Netscreen,Cisco pix/ASA,H3C secpath,天融信, 神码DCFW,锐捷 RG-wall,中软,联想网御等
按照用途
软件防火墙:ISA,m0n0,Checkpoint,Iptables,pfsense, 电信级:华为Eudemon 100E、 DCFW-1800E
Internet
NAT
桥
路由
防火墙同时工作在路 由模式和桥模式
www
FTP DMZ区
Computer
Computer
内部网络
(4)混合模式配置实例:
Internet
OutSide 202.99.8.254/29 202.99.8.253/29
InSide
DMZ
FTP Server
外部接口和DMZ接
3、防火墙的功能及作用
它可以有效地保护本地系统或网络,抵制外部网络安全威胁,同时支持 受限的通过WAN或Internet对外界进行访问。
基本功能: (1)限定内部用户访问外部网络(内网对外网访问的控制)。 (2)防止未授权用户访问内部网络(外部对内部的访问控制)。 (3)允许内部网络中的用户访问外部网络而不泄漏自身的数据和资源 (例如通过NAT后对外网不可见,单向PING)。 (4)记录通过防火墙的信息内容和活动(日志功能)。
该方法网络安全性高,而且网路的访问速度较快,由于Internet公共服务器放 在独立的区域,所以即使DMZ出现入侵事件,内网也不会受到影响,缺点是设备的 投入巨大,为此基于该方案可采用专业的硬件防火墙实现,以减少硬件投入。
改进一:
改进二:
Internet
Internet
www
FTP
DMZ区
电脑 内部服务器
保护网和外部网相连,每块网卡都有独立的IP地址。堡垒主机上运行着防火 墙软件(应用层代理防火墙),可以转发应用程序,也可提供服务等功能。
双穴主机网关优于屏蔽路由器的地方是内网用户都通过代理上网,而没有 发生和外网的真正链接,对网络的保护较好,而且资金投入较少。
双穴主机网关的缺点是内网的安全性完全依赖于堡垒主机的安全性,而堡
优缺点:包转发效率和网络安全性高,但对应用层的控制较差。
5、防火墙的工作模式
防火墙的工作模式有路由模式、透明桥模式和混合模式三大类。 (1)路由模式:防火墙可以充当路由器,提供路由功能。
Internet
防火墙缺省工作模式,防火 墙可以充当路由器,提供路 由功能
防火墙的各个接口处于不同 的网段
Computer
优点:可以检查应用层、传输层和网络层的协议特征,对数据包的 检测能力比较强,网络安全级别高。 缺点,难于配置,处理速度非常慢,需配置各种代理。
(3)状态检测防火墙(动态包过滤)
状态检测防火墙摒弃了包过滤防火墙仅考查数据包的 IP 地址端 口等几个参数,而不关心数据包连接状态变化的缺点,在防火墙的核 心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利 用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据 规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整 的对传输层的控制能力。
缺点:不能有效防范黑客入侵,不支持应用层协议,不能处理新的安全
威胁。
(2)应用代理技术防火墙:
应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对
外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户
。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服 务器建立直接的 TCP 连接,应用层的协议会话过程必须符合代理的安 全策略要求。
(a) 无法对应用层的网络攻击和入侵进行有效防御和保护。 (b) 规则表随着应用的深化会变得很大而且很复杂。
(c) 依靠单一的防火墙来保护网络,一旦防火墙出现问题会完全失去对内网保
护
工作站 工作站 服务器
内部网络 工作站 服务器
屏蔽路由器
Internet
防火墙
(2)双穴主机网关结构 这种配置是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受
Computer
Computer
内部网络
DMZ 1区 www FTP
DMZ 2区 数据库 FTP
电脑 内部服务器
Computer
Computer
内部网络
网间防火墙: 企业级:ISA,DCFW-1800S,PIX 515/525/525 SOHO级:Cisco 501/506, SONICWALL
服务器防火墙:Blackice,诺顿、Checkpoint 服务防火墙:SecureIISWeb、Anti-ARP、抗DDos防火墙等、
个人防火墙:瑞星、天网、费尔、ZoneAlarm
垒主机一旦遭受入侵,则内部网络将暴露无遗。另一个问题是使用应用层代 理防火墙的上网数度慢,网络配置复杂,代理
工作站
服务器
内部网络 工作站 服务器
202.118.116.5 Internet
10.162.88.5 双穴主机
防火墙
(3)屏蔽主机网关结构
屏蔽主机网关易于实现也很安全,因此应用广泛。屏蔽主机网关包括一 个包过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上,通常 在路由器上设立过滤规则,并使这个堡垒主机(应用层代理防火墙)成为从外 部网络惟一可直接到达的主机,这确保了内部网络不受未被授权的外部用户 的攻击。进出内部网络的数据只能沿图中的虚线流动。
这一子网分别与内部网络和外部网络分开。在很多实现过程中由两个包过滤路由器 放在子网的两端,在子网内构成一个“非军事区 (DMZ区)” ,在该区可以放置供外 网访问的Internet公共服务器,内部网络和外部网络均可访问被屏蔽子网,但禁止 它们穿过被屏蔽子网通信,像WWW和FTP服务器可放在DMZ中。有的屏蔽子网中 还设有一台堡垒主机作为惟一可访问结点,
NP架构(网络处理器) :天融信,联想网御 按硬件体系结构 AISC架构(专用集成电路) :Netscreen,Cicso,
X86架构(PC架构工控机) :国内大部分的SOHO防火墙
按工作原理
包过滤防火墙:Winroute,ROS,大部分的硬件路由器 应用级代理防火墙:Wingate,Cgate,Ccproxy 状态监测防火墙:ISA,m0n0,大部分的硬件防火墙
网络的安全性有极大的提高,可以实现网络底层和高层的立体防护,但 由于应用层代理的加入会对网络的速度造成影响,而且设备投入较大,网络 管理和实现复杂。
工作站 工作站
服务器
内部网络 工作站 堡垒主机
X
X
屏蔽路由器
防火墙
Internet
(4) 屏蔽子网结构
在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将
(5)对网络攻击进行监测报警及防御(基本的网络安全检测防御能力)。 (6)使用互连/NAT方式进行网络组建 扩展功能:
(1)路由和网桥模式的安全防御。 (2)实现VPN的功能。 (3)和IDS联动或集成IDS/IPS功能。 (4)集成流量控制的功能,实现负载均衡功能。 (5)集成网络计费,防范垃圾邮件,网页内容过滤,防范病毒/木马。
4、防火墙的工作原理 (1)包过滤防火墙(静态包过滤)
包过滤防火墙工作在网络层,对数据包的源及目地 IP 具有识别和控制 作用,对于传输层,也只能识别数据包是TCP还是UDP及所用的端口信息。 现在的路由器、三层交换机以及某些操作系统已经具有包过滤的控制能力。
优点:由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析, 包过滤防火墙的处理速度较快,并且易于配置。
202.99.8.250/29 口组成透明方式
DNS Server 202.99.8.252/29
WWW Server 202.99.8.251/29
防火墙的网桥接口 启用NAT转换
192.168.0.0/16
6、防火墙系统组网模型
(1)屏蔽路由器结构:屏蔽路由器结构是防火墙最基本的结构。屏蔽路由器 作为内外连接的惟一通道,要求所有的报文都必须在此通过IP地址或端口检 查,屏蔽路由器一般为具备包过滤(静态或动态包过滤)功能的防火墙承担。 优点为实现比较简单,屏蔽路由器对用户透明,而且设置灵活,所以应用比 较广泛。这种体系结构存在以下缺点: