防火墙的配置及应用 毕业论文
娄底职业技术学院
毕 业 论 文
防火墙的配置及应用
姓 名: 学 号: 指导老师: 系 名: 专 业: 班 级:
二零一一年十一月二十五日
摘要
本论文主要研究计算机网络安全与防火墙技术。论述了网络防火墙安全技术的功能,主要技术,配置,安全措施和防火墙设计思路等。随着计算机网络的普及,网络安全问题越来越得到人们的重视。我们可以针对目前网络安全的缺点和漏洞以及防火墙设置等,提出相应措施,以期待我们的网络能够更加安全。在确保网络安全和数据安全方面,有数据加密技术,智能卡技术,防火墙技术等,我们在这里主要研究的是防火墙技术。从防火墙的防范方式和侧重点的不同来看,防火墙可以分为很多类型。然后介绍了防火墙两种基本实现技术:分组过滤,应用代理。防火墙技术还处在一个发展阶段,扔有许多问题有待解决。
关键字
计算机网络安全、防火墙、防范措施、分组过滤、代理、堡垒主机
Abstract
This thesis mainly study computer network security and firewall technology. On the network firewall security technology function, main
technical, the configuration, safety measures and firewall design ideas, etc. With the popularization of computer network, the problem of network security is more and more get people's attention. We can according to the present network safety defects and loopholes and firewall Settings etc, and proposes the corresponding measures, as we look forward to the network can safer.
Ensure that the network security and data security, data encryption technology, i.c. technology, firewall etc, here we mainly study is a firewall technology. From the firewall preventive way and emphasis of different perspective, firewall can be divided into many types. Then introduces firewall two basic: packet filtering, realization technology application agent. Firewall technology was still in the development stage, throw has many problems to be solved.
keyword
Computer network security precautions packet filter firewall bastion host agent
摘要 .................................................................................................................................................. 2 Abstract ............................................................................................................................................. 3 前言 .................................................................................................................................................. 5 第一章 防火墙的概论 ................................................................................................................... 6
1.1防火墙是什么 ..................................................................................................................... 6 2.1防火墙的分类 ..................................................................................................................... 6
2.1.1静态包过滤防火墙: .............................................................................................. 6 2.1.2动态包过滤防火墙: .............................................................................................. 7 2.1.3 代理(应用层网关)防火墙: ............................................................................. 7 2.1.4自适应代理防火墙: .............................................................................................. 7 3.1防火墙功能概述 ................................................................................................................. 8 4.1 防火墙主要技术特点: .................................................................................................... 8 5.1 防火墙的发展历程 ............................................................................................................ 9
5.1.1基于路由器的防火墙 .......................................................................................... 9 5.1.2第一代防火墙产品的特点: .............................................................................. 9 5.1.3第一代防火墙产品的不足之处 .............................................................................. 9 5.1.4用户化的防火墙工具套 .................................................................................... 10 5.1.5作为第二代防火墙产品,用户化的防火墙工具套具有以下特征: ............ 10 5.1.6第二代防火墙产品的缺点 .................................................................................... 10 5.2 建立在通用操作系统上的防火墙 .............................................................................. 11
5.2.1作系统上的防火墙的特点: ............................................................................ 11 5.2.2操作系统上的防火墙的缺点 ........................................................................ 11
第二章 防火墙体系结构 ............................................................................................................. 13
1.1双重宿主主机体系结构 ................................................................................................... 13 1.2 屏蔽主机体系结构 .......................................................................................................... 13 1.3 被屏蔽子网体系结构 ...................................................................................................... 14 第三章 防火墙的配置(硬件) ............................................................................................... 17
1.1防火墙的配置 ................................................................................................................... 17
1.1.1宿主机网关(Dual Homed Gateway) ................................................................ 17 1.1.2屏蔽主机网关(Screened Host Gateway).......................................................... 17 1.1.3屏蔽子网(Screened Subnet) ............................................................................. 18 1.2防火墙配置原理 ............................................................................................................... 19 1.3防火墙配置步骤 ............................................................................................................... 20 1.4 Cisco PIX配置 ................................................................................................................. 21 第四章 瑞星个人防火墙的使用(软件) ............................................................................... 26
1.1瑞星个人防火墙的使用 ................................................................................................... 26 致谢 ................................................................................................................................................ 32 参考文献......................................................................................................................................... 33
科学技术的飞速发展,人们已经生活在信息时代。计算机技术和网络技术深入到社会的各个领域,因特网把“地球村”的居民紧密地连在了一起。近年来因特网的飞速发展,给人们的生活带来了全新地感受,人类社会各种活动对信息网络地依赖程度已经越来越大。然而,凡事“有利必有一弊”,人们在得益于信息所带来的新的巨大机遇的同时,也不得不面对信息安全问题的严峻考验。“黑客攻击”网站被“黑”,“CIH病毒”无时无刻不充斥在网络中。“电子战”已成为国与国之间,商家与商家之间的一种重要的攻击与防卫手段。因此信息安全,网络安全的问题已经引起各国,各部门,各行各业以及每个计算机用户的充分重视。
因特网提供给人们的不仅仅是精彩,还无时无刻地存在各种各样的危险和陷阱。对此,我们既不能对那些潜在的危险不予重视,遭受不必要的损失;也不能因为害怕某些危险而拒绝因特网的各种有益的服务,对个人来说这样会失去了了解世界、展示自己的场所,对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。不断地提高自身网络的安全才是行之有效地办法。
前言 科学技术的飞速发展,人们已经生活在信息时代。计算机技术和网络技术深入到社会的各个领域,因特网把“地球村”的居民紧密地连在了一起。近年来因特网的飞速发展,给人们的生活带来了全新地感受,人类社会各种活动对信息网络地依赖程度已经越来越大。然而,凡事“有利必有一弊”,人们在得益于信息所带来的新的巨大机遇的同时,也不得不面对信息安全问题的严峻考验。“黑客攻击”网站被“黑”,“CIH病毒”无时无刻不充斥在网络中。“电子战”已成为国与国之间,商家与商家之间的一种重要的攻击与防卫手段。因此信息安全,网络安全的问题已经引起各国,各部门,各行各业以及每个计算机用户的充分重视。
因特网提供给人们的不仅仅是精彩,还无时无刻地存在各种各样的危险和陷阱。对此,我们既不能对那些潜在的危险不予重视,遭受不必要的损失;也不能因为害怕某些危险而拒绝因特网的各种有益的服务,对个人来说这样会失去了了解世界、展示自己的场所,对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。不断地提高自身网络的安全才是行之有效地办法。
第一章 防火墙的概论
1.1防火墙是什么 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少,例如国防部以及大型机房等地才用,因为它价格昂贵)。该
计算机流入流出的所有网络通信均要经过此防火墙。
2.1防火墙的分类
从防火墙的防范方式和侧重点的不同来看,防火墙可以分为很多类型,
但是根据防火墙对内外来往数据处理方法,大致可将防火墙分为两大体
系:包过滤防火墙和代理防火墙。
包过滤防火墙经历了两代:
2.1.1静态包过滤防火墙: 静态包过滤防火墙采用的是一个都不放过的原则。它会检查所有通过信息包里的IP地址号,端口号及其它的包头信息,并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配,其中:如果信息包中存在一点与过滤规则不符合,那么这个信息包里所有的信息都会被防火墙屏蔽掉,这个信息包就不会通过防火墙。相反的,如果每条规都和过滤规则相匹配,那么信息包就允许通过。静态包的过滤原理就是:将信息分成若干个小数据片(数据包),确认符合防火墙的包过滤规则后,把这些个小数据片按顺序发送,接收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。这种静态包过滤防火墙,对用户是透明的,它不需要用户的用户名和密码就可以登录,它的速度快,也易于维护。但由于用户的使用记录没有记载,如果有不怀好意的人进行攻击的话,我们即不能从访问记录中得到它的攻击记录,也无法得知它的来源。而一个单纯的包过滤的防火墙的防御能力是非常弱的,对于恶意的攻击者来说是攻破它是非常容易的。其中“信息包冲击”是攻击者最常用的攻击手段:主要是攻击者对包过滤防火墙发出一系列地址被替换成一连串顺序IP地址的信息包,一旦有一个包通过了防火墙,那么攻击者停止再发测试IP地址的信息包,用这个成功发送的地址来伪装他们所发出的对内部网有攻击性的信息。
2.1.2动态包过滤防火墙: 静态包过滤防火墙的缺点,动态包过滤防火墙都可以避免。它采用的规则是发展为“包状态检测技术”的动态设置包过滤规则。它可以根据需要动态的在过滤原则中增加或更新条目,在这点上静态防火墙是比不上它的,它主要对建立的每一个连接都进行跟踪。在这里我们了解的是代理防火墙。代理服务器型防火墙与包过滤防火墙不同之点在于,它的内外网之间不存在直接的连接,一般由两部分组成:服务器端程序和客户端程序,其中客户端程序通过中间节点与提供服务的服务器连接。代理服务器型防火墙提供了日志和审记服务。
代理防火墙也经历了两代:
2.1.3 代理(应用层网关)防火墙:
这种防火墙被网络安全专家认为是最安全的防火墙,主要是因为从内部发出的数据包经过这样的防火墙处理后,就像是源于防火墙外部网卡一样,可以达到隐藏内部网结构的作用。由于内外网的计算机对话机会根本没有,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
2.1.4自适应代理防火墙:
自适应代理技术是商业应用防火墙中实现的一种革命性技术。它结合了代理类型防火墙和包过滤防火墙的优点,即保证了安全性又保持了高速度,同时它的性能也在代理防火墙的十倍以上,在一般的情况下,用户更倾向于这种防火墙。我们把两种防火墙的优缺点的对比用下列图表的形式表示如下:
3.1防火墙功能概述 防火墙是一个保护装置,它是一个或一组网络设备装置。通常是指运行
特别编写或更改过操作系统的计算机,它的目的就是保护内部网的访问安全。防火墙可以安装在两个组织结构的内部网与外部的Internet之间,同时在多个组织结构的内部网和Internet之间也会起到同样的保护作用。它主要的保护就是加强外部Internet对内部网的访问控制,它主要任务是允许特别的连接通过,也可以阻止其它不允许的连接。防火墙只是网络安全策略的一部分,它通过少数几个良好的监控位置来进行内部网与Internet的连接。
防火墙的核心功能主要是包过滤。其中入侵检测,控管规则过滤,实时监控及电子邮件过滤这些功能都是基于封包过滤技术的。
防火墙的主体功能归纳为以下几点: (1)根据应用程序访问规则可对应用程序连网动作进行过滤
(2)对应用程序访问规则具有自学习功能。
(3)可实时监控,监视网络活动。
(4)具有日志,以记录网络访问动作的详细信息。
(5)被拦阻时能通过声音或闪烁图标给用户报警提示。
防火墙仅靠这些核心技术功能是远远不够的。核心技术是基础,必须在这
个
基础之上加入辅助功能才能流畅的工作。而实现防火墙的核心功能是封包过滤。
4.1 防火墙主要技术特点: (1)应用层采用Winsock 2 SPI进行网络数据控制、过滤;
(2)核心层采用NDIS HOOK进行控制,尤其是在Windows 2000 下,此技术属微软未公开技术。
此防火墙还采用两种封包过滤技术:一是应用层封包过滤,采用Winsock 2 SPI ;二是核心层封包过滤,采用NDIS_HOOK。
Winsock 2 SPI 工作在API之下、Driver之上,属于应用层的范畴。利用这项技术可以截获所有的基于Socket的网络通信。比如IE、OUTLOOK等常见的应用程序都是使用Socket进行通信。采用Winsock 2 SPI的优点是非常明显的:其工作在应用层以DLL的形式存在,编程、测试方便;跨Windows 平台,可以直接在Windows98/ME/NT/2000/XP 上通用,Windows95 只需安装上Winsock 2
for 95,也可以正常运行;效率高,由于工作在应用层,CPU 占用率低;封包还没有按照低层协议进行切片,所以比较完整。而防火墙正是在TCP/IP协议在windows的基础上才得以实现。
5.1 防火墙的发展历程
5.1.1基于路由器的防火墙
由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。
5.1.2第一代防火墙产品的特点: (1)利用路由器本身对分组的解析,以访问控制表(Access List)方式实现对分组的过滤;
(2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征;
(3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。
5.1.3第一代防火墙产品的不足之处 具体表现为:
(1)路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用FTP协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。
(2)路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。
(3)路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。
路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。
5.1.4用户化的防火墙工具套
为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。
5.1.5作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:
(1)将过滤功能从路由器中独立出来,并加上审计和告警功能;
(2)针对用户需求,提供模块化的软件包;
(3)软件可以通过网络发送,用户可以自己动手构造防火墙;
(4)与第一代防火墙相比,安全性提高了,价格也降低了。
5.1.6第二代防火墙产品的缺点
(1)无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,
(2)配置和维护过程复杂、费时;
(3)对用户的技术要求高;
(4)全软件实现,使用中出现差错的情况很多。
5.2 建立在通用操作系统上的防火墙 基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操
作系统上的商用防火墙产品。
5.2.1作系统上的防火墙的特点: (1)是批量上市的专用防火墙产品;
(2)包括分组过滤或者借用路由器的分组过滤功能;
(3)装有专用的代理系统,监控所有协议的数据和指令;
(4)保护用户编程空间和用户可配置内核参数的设置;
(5)安全性和速度大大提高。
第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题。
5.2.2操作系统上的防火墙的缺点
(1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性无从保证;
(2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;
(3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击;
(4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;
(5)透明性好,易于使用。
第二章 防火墙体系结构
1.1双重宿主主机体系结构
双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的,该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另一个网络发送IP数据包。然而,实现双重宿主主机的防火墙体系结构禁止这种发送功能。因而,IP数据包从一个网络(例如,因特网)并不是直接发送到其他网络(例如,内部的、被保护的网络)。防火墙内部的系统能与双重宿主主机通信,同时防火墙外部的系统(在因特网上)能与双重宿主主机通信,但是这些系统不能直接互相通信。它们之间的IP通信被完全阻止。
双重宿主主机的防火墙体系结构是相当简单的:双重宿主主机位于两者之间,并且被连接到因特网和内部的网络,如图2.1所示。
图2.1双重宿主主机体系结构
1.2 屏蔽主机体系结构
双重宿主主机体系结构提供来自与多个网络相连的主机的服务(但是路由关闭),而被屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务。在这种体系结构中,主要的安全由数据包过滤,其结构如图
2.2所示。
图2.2屏蔽主机体系结构
在屏蔽的路由器上的数据包过滤是按这样一种方法设置的: 堡垒主机是因特网上的主机能连接到内部网络上的系统的桥梁(例如,传送进来的电子邮件)。即使这样,也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或服务将必须连接到这台堡垒主机上。因此,堡垒主机需要拥有高等级的安全。
数据包过滤也允许堡垒主机开放可允许的连接(什么是“可允许”将由用户的站点的安全策略决定)到外部世界。在屏蔽的路由器中数据包过滤配置可以按下列之一执行:
(1)允许其他的内部主机为了某些服务与因特网上的主机连接(即允许那些已经由数据包过滤的服务)。
(2)不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。
用户可以针对不同的服务混合使用这些手段;某些服务可以被允许直接经由数据包过滤,而其他服务可以被允许仅仅间接地经过代理。这完全取决于用户实行的安全策略。
因为这种体系结构允许数据包从因特网向内部网的移动,所以它的设计比没有外部数据包能到达内部网络的双重宿主主机体系结构似乎是更冒风险。实际上,双重宿主主机体系结构在防备数据包从外部网络穿过内部的网络也容易产生失败(因为这种失败类型是完全出乎预料的,不太可能防备黑客侵袭)。进而言之,保卫路由器比保卫主机较易实现,因为它提供非常有限的服务组。多数情况下,被屏蔽的主机体系结构提供比双重宿主主机体系结构具有更好的安全性和可用性。
然而,比较其他体系结构,如在下面要讨论的屏蔽子网体系结构也有一些缺点。主要是如果侵袭者没有办法侵入堡垒主机时,而且在堡垒主机和其余的内部主机之间没有任何保护网络安全的东西存在的情况下,路由器同样出现一个单点失效。如果路由器被损害,整个网络对侵袭者是开放的。
1.3 被屏蔽子网体系结构
被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络和外部网络(通常是Internet)隔离开。
被屏蔽子网体系结构的最简单的形式为:两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内部网络之间,另一个位于周边网与外部网络(通常为Internet)之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络,侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机,它将仍然必须通过内部路由器,如图2.3所示。
图2.3被屏蔽子网体系结构
对图的要点说明如下:
(1)周边网络
周边网络是另一个安全层,是在外部网络与用户的被保护的内部网络之间的附加的网络。如果侵袭者成功地侵入用户的防火墙的外层领域,周边网络在那个侵袭者与用户的内部系统之间提供一个附加的保护层。
对于周边网络的作用,举例说明如下。在许多网络设置中,用给定网络上的任何机器来查看这个网络上的每一台机器的通信是可能的,对大多数以太网为基础的网络确实如此(而且以太网是当今使用最广泛的局域网技术);对若干其他成熟的技术,诸如令牌环和FDDI也是如此。探听者可以通过查看那些在Telnet、FTP以及Rlogin会话期间使用过的口令成功地探测出口令。即使口令没被攻破,探听者仍然能偷看或访问他人的敏感文件的内容,或阅读他们感兴趣的电子邮件等;探听者能完全监视何人在使用网络。
对于周边网络,如果某人侵入周边网上的堡垒主机,他仅能探听到周边网上的通信。因为所有周边网上的通信来自或通往堡垒主机或Internet。
因为没有严格的内部通信(即在两台内部主机之间的通信,这通常是敏感的或专有的)能越过周边网。所以,如果堡垒主机被损害,内部的通信仍将是安全的。
一般来说,来往于堡垒主机,或者外部世界的通信,仍然是可监视的。防火墙设计工作的一部分就是确保这种通信不至于机密到阅读它将损害你的站点的完整性。
(2)堡垒主机
在屏蔽的子网体系结构中,用户把堡垒主机连接到周边网;这台主机便是接受来自外界连接的主要入口。例如:
1对于进来的电子邮件(SMTP)会话,传送电子邮件到站点。
2对于进来的FTP连接,转接到站点的匿名FTP服务器。
3对于进来的域名服务(DNS)站点查询等。
另外,其出站服务(从内部的客户端到在Internet上的服务器)按如下任一方法处理:
1在外部和内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部的服务器。
2设置代理服务器在堡垒主机上运行(如果用户的防火墙使用代理软件)来允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤来允许内部的客户端在堡垒主机上同代理服务器交谈,反之亦然。但是禁止内部的客户端与外部世界之间直接通信(即拨号入网方式)。
(3)内部路由器
内部路由器(在有关防火墙著作中有时被称为阻塞路由器)保护内部的网络使之免受Internet和周边网的侵犯。
内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到Internet的有选择的出站服务。这些服务是用户的站点能使用数据包过滤而不是代理服务安全支持和安全提供的服务。
内部路由器所允许的在堡垒主机(在周边网上)和用户的内部网之间服务可以不同于内部路由器所允许的在Internet和用户的内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器的数量。
(4)外部路由器
在理论上,外部路由器(在有关防火墙著作中有时被称为访问路由器)保护周边网和内部网使之免受来自Internet的侵犯。实际上,外部路由器倾向于允许几乎任何东西从周边网出站,并且它们通常只执行非常少的数据包过滤。保护内部机器的数据包过滤规则在内部路由器和外部路由器上基本上应该是一样的;如果在规则中有允许侵袭者访问的错误,错误就可能出现在两个路由器上。
一般地,外部路由器由外部群组提供(例如,用户的Internet供应商),同时用户对它的访问被限制。外部群组可能愿意放入一些通用型数据包过滤规则来维护路由器,但是不愿意使维护复杂或使用频繁变化的规则组。
外部路由器实际上需要做什么呢?外部路由器能有效地执行的安全任务之一(通常别的任何地方不容易做的任务)是:阻止从Internet上伪造源地址进来的任何数据包。这样的数据包自称来自内部的网络,但实际上是来自Internet。
第三章 防火墙的配置(硬件)
1.1防火墙的配置
目前比较流行的有以下三种防火墙配置方案。
1.1.1宿主机网关(Dual Homed Gateway)
这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络,又称堡垒主机。
堡垒主机上运行着防火墙软件(通常是代理服务器),可以转发应用程序,提供服务等。双宿主机网关有一个致命弱点,
一旦入侵者侵入堡垒主机并使该主机只具有路由器功能,则任何网上用户均可以随便访问有保护的内部网络(如图3.1)。
图3.1 双宿主机网关
1.1.2屏蔽主机网关(Screened Host Gateway)
屏蔽主机网关易于实现,安全性好,应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。先来看单宿堡垒主机类型。
一个包过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡,与内部网络连接(如图3.2)。通常在路由器上设立过滤规则,并使这个单宿堡垒主机成为从Internet惟一可以访问的主机,确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机,可以受控制地通过屏蔽主机和路由器访问Internet。
图3.2 屏蔽主机网关(单宿堡垒主机)
双宿堡垒主机型与单宿堡垒主机型的区别是,堡垒主机有两块网卡,一块连接内部网络,一块连接包过滤路由器(如图3.3)。双宿堡垒主机在应用层提供代理服务,与单宿型相比更加安全。
图3.3 屏蔽主机网关(双宿堡垒主机)
1.1.3屏蔽子网(Screened Subnet)
这种方法是在Intranet和Internet之间建立一个被隔离的子网,用两个包过滤路由器将这一子网分别与Intranet和Internet分开。两个包过滤路由器放在子网的两端,在子网内构成一个“缓冲地带”(如图3.4),两个路由器一个控制Intranet 数据流,另一个控制Internet数据流,Intranet和Internet均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网络的互相访问提供代理服务,
但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器,像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内,这样无论是外部用户,还是内部用户都可访问。
这种结构的防火墙安全性能高,具有很强的抗攻击能力,但需要的设备多,造价高。
图3.4 屏蔽子网防火墙
当然,防火墙本身也有其局限性,如不能防范绕过防火墙的入侵,像一般的防火墙不能防止受到病毒感染的软件或文件的传输;难以避免来自内部的攻击等等。总之,防火墙只是一种整体安全防范策略的一部分,仅有防火墙是不够的,安全策略还必须包括全面的安全准则,即网络访问、本地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全策略。
1.2防火墙配置原理
防火墙通常有3个接口,分别连接3个网络:
内部区域(内网):内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即收到了防火墙的保护。
外部区域(外网):外部区域内部区域的主机和服务,通过防火墙,就可以实现有限的访问。
停火区(DMZ):停火区是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为为堡垒主机。一般在停火区内可以放置Web服务器,Mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。
配置PIX防火墙有6个基本命令:nameif,interface,ip address,nat,global,route.
这些命令在配置PIX时是必须的。以下是配置的基本歩骤:
配置防火墙接口的名字,并指定安全级别(nameif)。
Pixfirewall (config)#nameif ethernet0 outside security0
Pixfirewall (config)#nameif ethernet1 inside securyty100
Pixfirewall (config)#nameif dmz security50
提示:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100,安全级别取值范围为1~99,数字越大安全级别越高。若添加新的接口,语句可以这样写:
Pixfirewall (config)#nameif pix/intf3 security40(安全级别任取) 配置以太口参数(interface)
Pixfirewall (config)#interface ethernet0 aut0 (auto 选项表明系统自适应网卡类型)
Pixfirewall (config)#interface ethernet1 100full (shutdiwn 选项表示关闭这个接口,若启用接口去掉shutdown)
配置内外网卡的IP地址(ip address)
Pixfirewall (config)#ip address outside 1.1.1.1 255.0.0.0
Pixfirewall (config)#ip address inside 10.1.1.1 255.0.0.0
Pix防火墙在外网的IP地址是1.1.1.1,内网IP地址是10.1.1.1
进行转换的内部地址(nat)
网络地址翻译(nat)作用是将内网的私有ip转换为外网的公有IP。Nat命令总是与glibal命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。
Nat命令配置语法:
Nat(if_name) nat_id local_ip [netmark]
其中(if_name)表示内网接口名字,例如inside.nat_id用来标识全局地址池,使它与其相应的global命令相匹配,local_ip表示内网被分配的IP地址。例如0.0.0.0表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。
例1.pixfirewall(config)#nat (inside) 1 0 0
表示启用nat,内网的所有主机都可以访问外网,用0可以代表0.0.0.0
例2.pixfirewall(config)#nat (inside) 1 172.16.5.0 255.255.0.0
表示只有172.16.5.0这个网段内的主机可以访问外网。
5.指定外部地址范围(global) global命令把内网的IP地址翻译成外网的IP地址或一段地址范围。
Global 命令的配置语法:global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中(if_name)表示外网接口名字,例如outside.nat_id用来标识全局地址池,使它与其相应的nat命令相匹配,ip_address-ip_address 表示翻译后的单个ip地址或一段ip地址范围。[netmark global_mask]表示全局ip地址的网络掩码。
例1.pixfirewall(config)#global(outside) 1 61.144.51.42-61.144.51.48 表示内网的主机通过pix防火墙要访问外网时,pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。
例2.pixfirewall(config)#global(outside) 1 61.144.51.42 表示内网要访问外网时,pix防火墙将为访问外网的所有主机统一使用61.144.51.42 这个单一ip地址。
例3.pixfirewall(config)#no global (outside) 1 61.144.51.42表示删除这个全局表项。
设置指向内网和外网的静态路由(route)定义一条静态路由。
Route命令配置语法:route(if_name) 0 0 gateway_ip[metric]
其中(if_name)表示接口名字,例如inside,outside。Gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1.
例1.pixfirewall(config)#route outside 0 0 61.144.51.168 1
表示一条指向边界路由器(ip地址61.144.51.168)的缺省路由。
例2.pixfirewall(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.0 1
Pixfirewall(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.0 1
1.3防火墙配置步骤
防火墙接口名字,并指定安全级别
Pixfirewall (config)#nameif ethernetl outside security0
Pixfirewall (config)#nameif ethernet0 inside security100是10.0.0.0,子网掩码为255.0.0.0.PIX防火墙的内部IP地址是10.1.1.1.Pixfirewall(config)# ip add inside 10.1.1.1 255.0.0.0 网络是1.1.1.0,子网掩码为255.0.0.0,PIX防火墙的外部IP地址是1.1.1.1 Pixfirewall(config)# ip add outside 1.1.1.1 255.0.0.0
火墙上配置地址转换,使内部PC机使用IP地址1.1.1.3访问外部网络。
Pixfirewall(config)# nat (inside) 1 10.0.0.0 255.0.0.0
Pixfirewall(config)# global (outside) 1 10.0.0.0 255.0.0.0 外部网络的默认路由是1.1.1.254.
Pixfirewall(config)# route outside 0 0 1.1.1.254 1络上
的计算机只能访问内部网络FTP服务。
Pixfirewall(config)# conduit permit tcp any eq ftp any
1.1.0网段的电脑telnet到防火墙上。
Pixfirewall(config)# telnet 1.1.1.0 255.0.0.0
1.4 Cisco PIX配置
硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,从结构上讲,简单地说是一种PC式的电脑主机加上闪存(Flash)和防火墙操作系统。它的硬件跟共控机差不多,都是属于能适合24小时工作的,外观造型也是相类似。闪存基本上跟路由器一样,都是那中EEPROM,操作系统跟Cisco IOS相似,都是命令行(Command)式。
下面是防火墙基本配置
1、建立用户和修改密码
跟Cisco IOS路由器基本一样。
2、激活以太端口
必须用enable进入,然后进入configure模式
PIX525>enable
Password:
PIX525#config t
PIX525(config)#interface ethernet0 auto
PIX525(config)#interface ethernet1 auto
在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。
3、命名端口与安全级别
采用命令nameif
PIX525(config)#nameif ethernet0 outside security0
PIX525(config)#nameif ethernet0 outside security100
security0是外部端口outside的安全级别(0安全级别最高)
security100是内部端口inside的安全级别,如果中间还有以太口,则security10,security20等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。
4、 配置以太端口IP 地址
采用命令为:ip address
如:内部网络为:192.168.1.0 255.255.255.0
外部网络为:222.20.16.0 255.255.255.0
PIX525(config)#ip address inside 192.168.1.1 255.255.255.0
PIX525(config)#ip address outside 222.20.16.1 255.255.255.0
5、 配置远程访问[telnet]
在默然情况下,PIX的以太端口是不允许telnet的,这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。
PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside
PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside
测试telnet
在[开始]->[运行]
telnet 192.168.1.1
PIX passwd:
输入密码:cisco
6、 访问列表(access-list)
此功能与Cisco IOS基本上是相似的,也是Firewall的主要部分,有permit和deny两个功能,网络协议一般有IP|TCP|UDP|ICMP等等,如:只允许访问主机:222.20.16.254的www,端口为:80
PIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq www
PIX525(config)#access-list 100 deny ip any any
PIX525(config)#access-group 100 in interface outside
7、 地址转换(NAT)和端口转换(PAT)
NAT跟路由器基本是一样的,
首先必须定义IP Pool,提供给内部IP地址转换的地址段,接着定义内部网段。
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#nat (outside) 1 192.168.0.0 255.255.255.0
如果是内部全部地址都可以转换出去则:
PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0
则某些情况下,外部地址是很有限的,有些主机必须单独占用一个IP地址,必须解决的是公用一个外部IP(222.20.16.201),则必须多配置一条命令,这种称为(PAT),这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下:
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0
PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0
8、 DHCP Server
在内部网络,为了维护的集中管理和充分利用有限IP地址,都会启用动态
主机分配IP地址服务器(DHCP Server),Cisco Firewall PIX都具有这种功能,下面简单配置DHCP Server,地址段为192.168.1.100—192.168.168.1.200
DNS: 主202.96.128.68 备202.96.144.47
主域名称:abc.com.cn
DHCP Client 通过PIX Firewall
PIX525(config)#ip address dhcp
DHCP Server配置
PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside
PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47
PIX525(config)#dhcp domain abc.com.cn
9、 静态端口重定向(Port Redirection with Statics)
在PIX 版本6.0以上,增加了端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过Firewall PIX 传输到内部指定的内部服务器。这种功能也就是可以发布内部WWW、FTP、Mail等服务器了,这种方式并不是直接连接,而是通过端口重定向,使得内部服务器很安全。
命令格式:
static [(internal_if_name,external_if_name)]{global_ip|interface} local_ip
[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
static [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip
[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
!----外部用户直接访问地址222.20.16.99 telnet端口,通过PIX重定向到内部主机192.168.1.99的telnet端口(23)。
PIX525(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.99 FTP,通过PIX重定向到内部
192.168.1.3的FTP Server。
PIX525(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.208 www(即80端口),通过PIX重定向到内部192.168.123的主机的www(即80端口)。
PIX525(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.201 HTTP(8080端口),通过PIX重定向到内部192.168.1.4的主机的www(即80端口)。
PIX525(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.5 smtp(25端口),通过PIX重定向到内部192.168.1.5的邮件主机的smtp(即25端口)
PIX525(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0
10、显示与保存结果
采用命令show config
保存采用write memory
第四章 瑞星个人防火墙的使用(软件)
1.1瑞星个人防火墙的使用
个人版的防火墙安装在个人用户的PC系统上,用于保护个人系统,在不防碍用户正常上网的同时,能够阻止Internet上的其他用户对计算机系统进行非法访问。国内外的个人版防火墙有很多品牌,如瑞星、金山网镖、天网、卡巴斯基等。不同品牌的功能大致相同,下面以瑞星个人防火墙为例进行介绍。
一、瑞星个人防火墙的应用 1)安装
第一步启动安装程序。
当把瑞星个人防火墙下载版安装程序保存到您电脑中的指定目录后,找到该目录,双击运行安装程序,就可以进行瑞星个人防火墙下载版的安装了。 第二步完成安装后,如图4.1:
图4.1
第三步输入产品序列号和用户ID。 启动个人防火墙,当出现如图4.2下所示的窗口后,在相应位置输入您购买获得的产品序列号和用户ID,点击“确定”,通过验证后则会提示“您的瑞星个人防火墙现在可以正常使用”。
图4.2
常见问题:不输入产品序列号和用户ID,产品将无法升级,防火墙保护功能将全部失效,您的计算机将无法抵御黑客攻击。
2升级
第一步网络配置:
•打开防火墙主程序
•在菜单中依次选择【设置】/【设置网络】,打开【网络设置】窗口,如图
4.3
图4.3
1.设定网络连接方式,如果设定“通过代理服务器访问网络”,还需要输入代理服务器IP、端口、身份验证信息。
2.您可以选中【使用安全升级模式】,确保升级期间阻止新的网络连接 3.点击【确定】按钮完成设置
小提示:
1.如果您已经可以浏览网页,说明网络设置已经配置好了,这里直接使用默认设置即可。 2.如果您不使用拨号方式上网,将不会看到界面中【使用拨号网络连接】的选项以及相
关设置。
3。请确保此步设置正确,否则可能无法完成智能升级。
第二步:智能升级
完成网络配置后,进行智能升级的操作方法:
方法一:点击主界面右侧的【智能升级】按钮,图4.4示:
图4.4
方法二:在菜单中依次选择【操作】/【智能升级】
方法三:右键点击防火墙托盘图标,在弹出菜单中选择【启动智能升级】 3启动瑞星个人防火墙下载版程序
启动瑞星个人防火墙软件主程序有三种方法:
方法一:进入【开始】/【所有程序】/【瑞星个人防火墙】,选择【瑞星个人防火墙】即可启动。
方法二:用鼠标双击桌面上的【瑞星个人防火墙】快捷图标即可启动。
方法三:用鼠标单击任务栏“快速启动”上的【瑞星个人防火墙】快捷图标即可启动。 成功启动程序后的界面如下图4.5所示
:
图4.5
主要界面元素 1、菜单栏:
用于进行菜单操作的窗口,包括【操作】、【设置】、【帮助】三个菜单。如图4.6示:
图4.6
2、操作按钮: 位于主界面右侧,包括【启动/停止保护】、【连接/断开网络】、【智能升级】、【查看日志】。
如图4.7示:
图4.7
功能:停止防火墙的保护功能,执行此功能后,您计算机将不再受瑞星防火墙的保护已处于停止保护状态时,此按钮将变为【启用保护】;点击将重新启用防火墙的保护功能,您也可以通过菜单项【操作】/【停止保护】来执行此功能;将您的计算机完全与网络断开,就如同拔掉网线或是关掉Modem一样。其他人都不能访问您的计算机,但是您也不能再访问网络。这是在遇到频繁攻击时最为有效的应对方法;已经断开网络后,此项将变为【连接网络】,点击将恢复网络连接;您也可以通过菜单项【操作】/【断开网络】来执行此功能;启动智能升级程序对防火墙进行升级更新;您也可以通过菜单项【操作】/【智能升级】来执行此功能;启动日志显示程序;您也可能通过【操作】/【显示日志】来执行此功能。
3、标签页:
位于主界面上部,分【工作状态】、【系统状态】、【游戏保护】、【安全资讯】、【漏洞扫描】、
【启动选项】六个标签。如图4.8示:
图4.8
4、安全级别:
位于主界面右下角,拖动滑块到对应的安全级别,修改立即生效。 5、当前版本及更新日期:
位于主界面右上角,显示防火墙当前版本及更新日期。 6、规则设置
配置防火墙的过滤规则(如图4.9),包括: 黑名单:在黑名单中的计算机禁止与本机通讯
白名单:在白名单中的计算机对本地具有完全的访问权限
端口开关:允许或禁止端口中的通讯,可简单开关本机与远程的端口
可信区:通过可信区的设置,可以把局域网和互联网区分对待
IP规则:在IP层过滤的规则
访问规则:本机中访问网络的程序的过滤规则
图4.9
结论
随着Internet和Intranet技术的发展,网络的安全已经显得越来越重要,网络病毒对企业造成的危害已经相当广泛和严重,其中也会涉及到是否构成犯罪行为的问题,相应的病毒防范技术也发展到了网络层面,并且愈来愈有与黑客技术和漏洞相结合的趋势。新型防火墙技术产生,就是为了解决来自企业网络内和外的攻击;克服传统“边界防火墙”的缺点,集成了IDS、VPN和放病毒等安全技术,实现从网络到服务器以及客户端全方位的安全解决方案,满足企业实际应用和发展的安全要求。
防火墙目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。本论文从防火墙方面解决网络安全问题,对网络安全技术的有深刻的了解。
致谢
三年的大学生活伴随着论文的完成,也将走向了终点。时间终是短暂,但是这两年我在娄底职业技术学院却经历了重要的人生蜕变。做学问总是枯燥和寂寞的,而生活本身又是那么丰富多彩。在这个忙碌的行业中,我总算找到了一个时间能够深沉的思考,考量我的课题,以及我未来的事业。
感谢指导老师聂春致雷松带来的辛勤培育,你多年的行业经验和活跃的思考,给我的论文增加了很多有现实意义的观点,更启发了我从一个新的思路阐述我的论题。将局域网安全这个全新的领域引入我的视野,在我研究的最初阶段,为我指明了方向。从导师的身上,我遭遇了一个始终关注行业最前沿的目光,这种眼界和思维方式,将使我受益终生。
感谢教导过我的其他老师,您们从生活和教学中流露出的言行,您们的学识和修养,使我不禁对自己的要求也更高了一分。
网大一班的同学们,你们是各具特点的,跟你们的交流和思维碰撞中,也开拓了我的视界。在无数个难熬的日日夜夜,我们给了彼此很多鼓励,也要在这里感谢你们陪伴我度过了这些时光。
在论文的撰写和资料搜集期间,前人的资料对我提供了莫大的帮助,这里再次感谢.
参考文献
(1) 顾巧论,高铁红,贾春福.计算机网络安全 清华大学出版社,2008
(2) 宁红.计算机安全技术 中国铁道出版社,2009
(3) 韩筱卿.计算机病毒分析与防范大全 电子工业出版社,2006
(4) 张斌,黑客与反黑客,北京邮电大学出版社,Pag56-75
(5) 石淑华,池瑞楠,计算机网络安全技术(第二版),北京人民邮电出版社,Pag267-283
(6) 肖新峰,宋强,王立新等,TCP/IP协议与网络管理,北京清华大学出版社,Pag83-99
(7) 李军,防火墙上台阶,信息网络安全2004年07期,Pag28—29
(8) 陈爱民,计算机的安全与保密,北京电子工业出版社,pag35-42
(9) 蒋建春,马恒太,任党恩等,网络安全入侵检测研究综述软件学报
(10) 石淑华,池瑞楠,计算机网络安全技术(第二版),北京人民邮电出版社,Pag70-104
(11) 老聃,安全网关—网络边界防护的利器,信息安全与通信保密,2004年08期75
(12) 陈平,何庆等主编,电脑2003合订本,西南师范大学出版社,2004年1月
(13) 张颖,刘军,王磊,计算机网络安全的现状及解决方法[N]电脑商情报 ,2007年1月