5防火墙
一、防火墙基础
防火墙通常位于两个信任程度不同的网路间(如:企业内部和internet之间),可以对两个网络之间的通信进行控制,从而保护内部网络的安全。
防火墙特征:
1、逻辑区域过滤器
2、使用NA T技术可以隐藏内部的网络结构
3、自身的安全是有保障的
4、可以主动防御攻击
防火墙的组成:硬件+软件+控制策略
控制策略分为两种:
1、宽松的控制策略:除非明确禁止,否则就允许
2、限制的控制策略:除非明确允许,否则就禁止
按形态分类:硬件防火墙、软件防火墙
按保护对象分类:单机防火墙、网络防火墙
按防火墙的实现方式,分为三类:
1、包过滤防火墙:只检测数据的报头,缺点是:
a、无法关联数据包之间的关系
b、无法适应多通道协议(比如:VPN)
c、不检测应用层的数据
2、代理型防火墙:所有的数据包都要经过防火墙才能访问到server,访问速度很慢
3、状态检测防火墙:现在运用的防火墙主要都是状态检测防火墙
华为防火墙的工作模式:
1、路由模式:所有接口均有IP
2、透明模式:所有接口均无IP
3、混合模式:有的接口有IP,有的接口没有IP
防火墙的局限性:
1、防外不防内
2、不能防御全部的安全威胁,特别是新产生的危险
3、在提供深度监测功能和处理转发性能之间需要做平衡
4、当使用端到端的加密时,防火墙不能对加密的隧道进行处理
5、防火墙本身会存在一些瓶颈,如抗攻击能力,会话限制等
防火墙的区域和优先级:
1、local区域,优先级100
2、trust区域,优先级85
3、DMZ区域,优先级50
4、untrust区域,优先级5
这些防火墙内设区域的优先级和名字都是无法改变的,优先级低的区域不能访问优先级高的区域(思科),华为设备如果防火墙策略允许可以突破区域访问限制。
防火墙上的所有接口本身都属于local区域,如果把一个接口划分到了trust区域,是指该接口下的设备属于trust区域,接口本身永远属于local区域。
Inbound与Outbound定义:
高优先级的访问低优先级:Outbound,反之则是:Inbound
安全区域与接口的关系:
1、防火墙不允许存在两个具有完全相同安全级别(既优先级相同)的安全区域
2、防火墙不允许同一物理接口分属于两个不同的安全区域
3、防火墙的不同接口可以属于同一个安全区域
防火墙支持的功能:
路由器、交换机支持的功能,防火墙都支持
衡量防火墙好坏的指标:
1、吞吐量:防火墙能同时处理的最大数据量
有效吞吐量:除掉因TCP的丢包和超时重发的数据,实际每秒传输的有效速率
2、延时:数据包的最后一个比特进入防火墙到第一个比特输出防火墙的时间间隔,是用
来衡量防火墙处理数据的速度的理想指标
3、每秒新建连接数:指每秒可以通过防火墙建立起来的完整的TCP链接数
4、并发连接数:指防火墙可以同时容纳的最大连接数目,一个连接就是一个TCP/UDP
的访问
……………………………………………………………最新资料推荐…………………………………………………
防火墙实验拓扑图
以后章节所讲的内容都基于此图:
……………………………………………………………最新资料推
荐…………………………………………………
二、防火墙的基本配置
默认的情况下,防火墙是有一些配置的:
G0/0/0接口的IP地址为:192.168.0.1/24,配置了基于接口的DHCP,且G0/0/0默认属于trust区域。在连接该端口的PC自动获取到IP后,就可以在浏览器中输入192.168.0.1对防火墙进行图形化的配置。但模拟器是不支持图形化配置的。
一旦对G0/0/0接口配置了其他IP地址,原来的默认配置将被覆盖,DHCP服务也将被删除。
display current-configuration显示当前设备的所有配置(交换机、路由器、防火墙通用)
划分防火墙的安全区域:
Firewall zone trust 进入到trust区域
Add interface g0/0/1将g0/0/1接口加入到trust区域
Firewall zone dmz进入到DMZ区域
Add interface g0/0/2将g0/0/2接口加入到DMZ区域
Firewall zone untrust进入到untrust区域
Add interface g0/0/3将g0/0/3接口加入到untrust区域
安全区域间的过滤规则:
1、默认local到任何区域都是可以访问的
2、同一区域内的访问是允许的
3、其他区域间的访问要看区域间的过滤规则
Display firewall packet-filter default all显示防火墙区域间的过滤规则
Permit:允许deny:禁止
实验需求:trust中的设备可以访问DMZ,而DMZ中的设备不能访问trust
(Firewall packet-filter default permit all 全放行,将使防火墙失去过滤功能)
Firewall packet-filter default permit interzone trust dmz direction outbound [y]
允许trust和dmz之间的outbound访问,效果是:trust区域能访问DMZ区域
防火墙的会话表:
会话表中存在的项目,防火墙是不检测,直接放行的
Display firewall session table查看防火墙的会话表项
临时会话表项:当被允许的访问发生时,防火墙会产生临时的会话表项,使反向的数据包可以回来,以保证会话的正常进行。临时会话表项是有时效的,根据不同的协议临时会话表项的有效时间是不同的,比如ICMP协议的有效时间只有1~2秒,所以过滤规则允许的ping命令结束后,很快产生的临时会话表项就从会话表中消失了。
防火墙的基本管理:
开启防火墙的Telnet功能:
防火墙题库 1. 关于防火墙的描述不正确的是:() A、防火墙不能防止内部攻击。 B、如果一个公司信息安全制度不明确,拥有再好的防火墙也没有用。 C、防火墙可以防止伪装成外部信任主机的IP地址欺骗。 D、防火墙可以防止伪装成内部信任主机的IP地址欺骗。 2. 防火墙的主要技术有哪些?() A.简单包过滤技术 B.状态检测包过滤技术 C.应用代理技术 D.复合技术 E.地址翻译技术 3. 防火墙有哪些部属方式?() A.透明模式 B.路由模式 C.混合模式 D.交换模式 4. 判断题:并发连接数——指穿越防火墙的主机之间或主机与防 火墙之间能同时建立的最大连接数。() 5. 判断题:对于防火墙而言,除非特殊定义,否则全部ICMP消息 包将被禁止通过防火墙(即不能使用ping命令来检验网络连接是 否建立)。() 6. 下列有关防火墙局限性描述哪些是正确的。() A、防火墙不能防范不经过防火墙的攻击 B、防火墙不能解决来自内部网络的攻击和安全问题 C、防火墙不能对非法的外部访问进行过滤 D、防火墙不能防止策略配置不当或错误配置引起的安全威胁 7. 防火墙的作用()
A、过滤进出网络的数据 B、管理进出网络的访问行为 C、封堵某些禁止的行为 D、记录通过防火墙的信息内容和活动 8. 防火墙能够完全防止传送己被病毒感染的软件和文件 9. 一般情况下,防火墙是关闭远程管理功能的,但如果必须进行 远程管理,则应该采用()或者()的登录方式。 10. 防火墙的测试性能参数一般包括() A)吞吐量 B)新建连接速率 C)并发连接数 D)处理时延 11. 防火墙能够作到些什么?() A、包过滤 B、包的透明转发 C、阻挡外部攻击 D、记录攻击 12. 防火墙有哪些缺点和不足?() A、防火墙不能抵抗最新的未设置策略的攻击漏洞 B、防火墙的并发连接数限制容易导致拥塞或者溢出 C、防火墙对服务器合法开放的端口的攻击大多无法阻止 D、防火墙可以阻止内部主动发起连接的攻击 13. 防火墙中地址翻译的主要作用是:() A. 提供应用代理服务 B. 隐藏内部网络地址 C. 进行入侵检测 D. 防止病毒入侵 14. 判断题:防火墙必须记录通过的流量日志,但是对于被拒绝的 流量可以没有记录。()
防火墙十大局限性 防火墙的脆弱性和缺陷(文摘) FYI 防火墙是网络上使用最多的安全设备,是网络安全的重要基石。防火墙厂商为了占领市场,对防火墙的宣传越来越多,市场出现了很多错误的东西。其中一个典型的错误,是把防火墙万能化。但2002年8月的《计算机安全》中指出,防火墙的攻破率已经超过47%。正确认识和使用防火墙,确保网络的安全使用,研究防火墙的局限性和脆弱性已经十分必要。 防火墙十大局限性 一、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据,防火墙无法检查。 二、防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内,谁都不可信,但绝大多数单位因为不方便,不要求防火墙防内。
三、防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备,就像门卫一样,要根据政策规定来执行安全,而不能自作主张。 四、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备,但防火墙本身必须存在于一个安全的地方。 五、防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议,防火墙不能防止利用该协议中的缺陷进行的攻击。 六、防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击,防火墙不能防止。 七、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能,即使集成了第三方的防病毒的软件,也没有一种软件可以查杀所有的病毒。 八、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。
win7防火墙设置指南、多重作用防火墙策略以及设置方法 214小游戏https://www.doczj.com/doc/cd10195872.html,/ windows XP集成防火强常被视为鸡肋,不过随着vista和WIN7的发布,微软对于防火墙的两次升级让windows的firewall不再是系统的累赘,特别是win7的firewall,强悍的功能让微软的防火墙也有了“专业”的味道。 本文就教大家来了解一下windows7下的 firewall设置以及向你展示怎样对多重作用防火墙策略下对Firewall进行配置。Windows Firewall的演变过程。 一、windows防火墙的演变 Windows XP中的防火墙是一款简单、初级仅保护流入信息,拦截任何不是由你主动发启入站连接的软件--它是默认关闭的。SP2后它才被默认启动并可以通过组策略的方式由管理员进行配置。而 Vista Firewall 是建立在一个新的Windows Filtering Platform (WFP、Windows过滤平台)上、并通过Advanced Security MMC嵌入式管理单元添加了新的过滤外发信息的能力。在Windows 7中MS对firewall做了进一步的微调,使其更具可用性,尤其针对移动计算机,更是舔加了对多重作用防火墙策略的支持。 二、windows 7 firewall(防火墙)设置方法 与Vista相同的是,可以通过访问控制面板程序对Windows 7 firewall进行基础配置。与Vista不同的是,你还可以通过访问控制面板的方式对其进行高级配置(包括对出站连接过滤器的配置),而不是一定要创建空白MMC并加入嵌入式管理单元来实现。只是点击一下左侧面板里的高级配置选项。 更多的网络配置 Vista firewall允许你去选择是在公共网格上还是在专用网络中,而在Windows 7中你有三个选择--公用网络、家庭网络、办公网络。后两个选项是专用网络的细化。 如果你选择了“家庭网络”选项,你将可以建立一个“家庭组”。在这种环境中,“网路发现”会自动启动,你将可以看到网络中其它的计算机和设备,同时他们也将可以看到你的计算机。隶属于“家庭组”的计算机能够共享图片、音乐、视频、文档库以及如打印机这样的硬件设备。如果有你不想共享的文件夹在文档库中,你还可以排除它们。 如果你选择的是“工作网络”,“网路发现”同样会自动启动,但是你将不能创建或是加入“家庭组”。如果你的计算机加入了Windows域(通过控制面板--系统和安全--系统--高级系统配置--计算机名选项卡)并通过DC验证,那么防火墙将自动识别网络类型为域环境网络。 而“公用网络”类型是当你在机场、宾馆、咖啡馆或使用移动宽带网络联通公共wi-fi 网络时的适当选择,“网路发现”将默认关闭,这样其它网络中的计算机就不会发现你的共享而你也将不能创建或加入“家庭组”。 在全部的网络模式中,Windows 7 firewall都将在默认情况下拦截任何发送到不属于白名单中应用程序的连接。Windows 7允许你对不同网络类型分别配置。 多重作用防火墙策略 在Vista中,尽管你有公用网络和私用网络两个配置文件,但是只会有一个在指定的时间内起作用。所以如果你的计算机发生要同时连接两个不同网络的情况,那你就要倒霉啦。最严格的那条配置文件会被用户到所有的连接上,这意味着你可能无法在本地(私用)网络中做你想做的事,因为你是在公用网络在规则下操作。而在Windows 7 (和 Server 2008 R2)中,不同网络适配器上可以使用不同的配置文件。也就是说专用网络之间的网络连接受专用网络规则支配,而与公用网络之间的流量则应用公用网络规则。 起作用的是那些不显眼的小事 在很多事例中,更好的可用性往往取决于小的改变,MS听取了用户的意见并将一些“不
防火墙有什么用工作原理介绍 什么是防火墙,有什么作用 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种 获取安全性方法的形象说法,它是一种计算机硬件和软件的结合, 使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙 主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。 该计算机流入流出的所有网络通信和数据包均要经过此防火墙。 在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在 两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的 人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不 通过防火墙,公司内部的人就无法访问Internet,Internet上的人 也无法和公司内部的人进行通信。 XP系统相比于以往的Windows系统新增了许多的网络功能(Windows7的防火墙一样很强大,可以很方便地定义过滤掉数据包),例如Internet连接防火墙(ICF),它就是用一段"代码墙"把电脑和Internet分隔开,时刻检查出入防火墙的所有数据包,决定拦截或 是放行那些数据包。防火墙可以是一种硬件、固件或者软件,例如 专用防火墙设备就是硬件形式的防火墙,包过滤路由器是嵌有防火 墙固件的路由器,而代理服务器等软件就是软件形式的防火墙。 ICF工作原理 ICF被视为状态防火墙,状态防火墙可监视通过其路径的所有通讯,并且检查所处理的每个消息的源和目标地址。为了防止来自连
本篇要为大家介绍一些实用的知识,那就是如何配置防火中的安全策略。但要注意的是,防火墙的具体配置方法也不是千篇一律的,不要说不同品牌,就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。 一. 防火墙的基本配置原则 默认情况下,所有的防火墙都是按以下两种情况配置的: ?拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 ?允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3 和SMTP 的进程。 在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则:(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。 (2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。 3). 内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境
企业三种流行防火墙配置方案 21世纪是网络经济时代,Internet已经走进千家万户,当我们尽情地在Internet上畅游时,往往把网络的安全问题抛在脑后。其实危险无处不在,防火墙是网络安全的一个重要 防护措施,用于对网络和系统的保护。监控通过防火墙的数据,根据管理员的要求,允许和 禁止特定数据包的通过,并对所有事件进行监控和记录。 最简单的防火墙配置,就是直接在内部网和外部网之间加装一个包过滤路由器或者应用 网关。为更好地实现网络安全,有时还要将几种防火墙技术组合起来构建防火墙系统。目前比较流行的有以下三种防火墙配置方案。 1、双宿主机网关(Dual Homed Gateway) 这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配 器分别连接两个网络,又称堡垒主机。堡垒主机上运行着防火墙软件(通常是代理服务器),可以转发应用程序,提供服务等。双宿主机网关有一个致命弱点,一旦入侵者侵入堡垒主机 并使该主机只具有路由器功能,则任何网上用户均可以随便访问有保护的内部网络(如图 1)。 2、屏蔽主机网关(Screened Host Gateway) 屏蔽主机网关易于实现,安全性好,应用广泛。它又分为单宿堡垒主机和双宿堡垒主机 两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络,同时一个堡垒主机 安装在内部网络上。堡垒主机只有一个网卡,与内部网络连接(如图2)。通常在路由器上 设立过滤规则,并使这个单宿堡垒主机成为从 Internet惟一可以访问的主机,确保了内部 网络不受未被授权的外部用户的攻击。而Intranet内部的客户机,可以受控制地通过屏蔽 主机和路由器访问Internet.
传统防火墙存在的五大不足之处 黑客之所以能够攻击用户,都是利用了防火墙开放的端口,躲过防火墙的监测,直接针对目标应用程序。他们想出复杂的攻击方法,能够绕过传统防火墙。据统计,目前70%的攻击是发生在应用层,而不是网络层。对于这类攻击,传统防火墙的防护效果,并不太理想,存在着以下不足之处: 黑客之所以能够攻击用户,都是利用了防火墙开放的端口,躲过防火墙的监测,直接针对目标应用程序。他们想出复杂的攻击方法,能够绕过传统防火墙。据统计,目前70%的攻击是发生在应用层,而不是网络层。对于这类攻击,传统防火墙的防护效果,并不太理想,存在着以下不足之处: 1、无法检测加密的Web流量 如果你正在部署一个门户网站,希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。这个需求,对于传统的网络防火墙而言,是个大问题。 由于网络防火墙对于加密的SSL流中的数据是不可见的,防火墙无法迅速截获SSL数据流并对其解密,因此无法阻止应用程序的攻击,甚至有些网络防火墙,根本就不提供数据解密的功能。 2、普通应用程序加密后,也能轻易躲过防火墙的检测 网络防火墙无法看到的,不仅仅是SSL加密的数据。对于应用程序加密的数据,同样也不可见。在如今大多数网络防火墙中,依赖的是静态的特征库,与入侵监测系统(IDS,Intrusion Detect System)的原理类似。只有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完全匹配时,防火墙才能识别和截获攻击数据。 但如今,采用常见的编码技术,就能够地将恶意代码和其他攻击命令隐藏起来,转换成某种形式,既能欺骗前端的网络安全系统,又能够在后台服务器中执行。这种加密后的攻击代码,只要与防火墙规则库中的规则不一样,就能够躲过网络防火墙,成功避开特征匹配。 3、对于Web应用程序,防范能力不足 网络防火墙于1990年发明,而商用的Web服务器,则在一年以后才面世。基于状态检测的防火墙,其设计原理,是基于网络层TCP和IP地址,来设置与加强状态访问控制列表(ACLs,Access Control Lists)。在这一方面,网络防火墙表现确实十分出色。 近年来,实际应用过程中,HTTP是主要的传输协议。主流的平台供应商和大的应用程序供应商,均已转移到基于Web的体系结构,安全防护的目标,不再只是重要的业务数据。网络防火墙的防护范围,发生了变化。 对于常规的企业局域网的防范,通用的网络防火墙仍占有很高的市场份额,继续发挥重要作用,但对于新近出现的上层协议,如XML和SOAP等应用的防范,网络防火墙就显得有些力不从心。 由于体系结构的原因,即使是最先进的网络防火墙,在防范Web应用程序时,由于无法全面控制网络、应用程序和数据流,也无法截获应用层的攻击。由于对于整体的应用数据流,缺乏完整的、基于会话(Session)级别的监控能力,因此很难预防新的未知的攻击。 4、应用防护特性,只适用于简单情况 目前的数据中心服务器,时常会发生变动,比如: (1)、定期需要部署新的应用程序; (2)、经常需要增加或更新软件模块; (3)、QA们经常会发现代码中的bug,已部署的系统需要定期打补丁。 在这样动态复杂的环境中,安全专家们需要采用灵活的、粗粒度的方法,实施有效的防护策略。
龙源期刊网 https://www.doczj.com/doc/cd10195872.html, 浅析防火墙配置技术 作者:郑伟 来源:《电脑知识与技术·学术交流》2008年第15期 摘要:文章介绍了防火墙的配置结构的类型和特点,重点阐述了屏蔽子网防火墙和双宿主机防火墙配置技术和应用,最后,针对不同情况,提出了防火墙配置方案。 关键词:防火墙;配置技术 中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)15-20ppp-0c Brief Analysis Firewall Disposition Technology ZHENG Wei (Fire in Huaibei City Public Security Detachment,Huaibei 235000,China) Abstract:The article introduced the firewall disposition structure type and the characteristic, elaborated with emphasis the shield subnet firewall and the double host machine firewall disposition technology and the application, finally, in view of the different situation, proposed the firewall disposition plan. Key words:Firewall;disposition;technology 1 引言 今天我们所处的信息时代,也可以说也是病毒与黑客大行其道的时代,从Internet到企业内网、从个人电脑到可上网的手机平台,没有地方是安全的。每一次网络病毒的攻击,都会让家庭用户、企业用户甚至是运营商头痛脑热。不过经历过了一次又一次的病毒危机后,人们已经开始思考网络的安全了。现在任何一个企业组建网络都会考虑到购买防火墙,且有越来越多的家庭用户在自己的电脑上甚至宽带接入端也加上了防火墙。 但是防火墙不是一道用于心理安慰的屏障,只有会用防火墙才能够真正将威胁挡在门外,如果对防火墙的防护执行设置没有结合企业内部的需求而进行认真充分的定义,添加到防火墙上的安全过滤规则就有可能允许不安全的服务和通信通过,从而给企业网络带来不必要的危险
防火墙培训试题 1.关于防火墙的描述不正确的是:() A、防火墙不能防止内部攻击。 B、如果一个公司信息安全制度不明确,拥有再好的防火墙也没有用。 C、防火墙可以防止伪装成外部信任主机的IP地址欺骗。 D、防火墙可以防止伪装成内部信任主机的IP地址欺骗。 2.防火墙的主要技术有哪些?() A.简单包过滤技术 B.状态检测包过滤技术 C.应用代理技术 D.复合技术 E.地址翻译技术 3.防火墙有哪些部属方式?() A.透明模式 B.路由模式 C.混合模式 D.交换模式 4.判断题:并发连接数——指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最 大连接数。() 5.判断题:对于防火墙而言,除非特殊定义,否则全部ICMP消息包将被禁止通过防火墙 (即不能使用ping命令来检验网络连接是否建立)。() 6.下列有关防火墙局限性描述哪些是正确的。() A、防火墙不能防范不经过防火墙的攻击 B、防火墙不能解决来自内部网络的攻击和安全问题 C、防火墙不能对非法的外部访问进行过滤 D、防火墙不能防止策略配置不当或错误配置引起的安全威胁 7.防火墙的作用() A、过滤进出网络的数据 B、管理进出网络的访问行为 C、封堵某些禁止的行为 D、记录通过防火墙的信息内容和活动 8.防火墙能够完全防止传送己被病毒感染的软件和文件 9.一般情况下,防火墙是关闭远程管理功能的,但如果必须进行远程管理,则应该采用 ()或者()的登录方式。
10.防火墙的测试性能参数一般包括() A)吞吐量 B)新建连接速率 C)并发连接数 D)处理时延 11.防火墙能够作到些什么?() A、包过滤 B、包的透明转发 C、阻挡外部攻击 D、记录攻击 12.防火墙有哪些缺点和不足?() A、防火墙不能抵抗最新的未设置策略的攻击漏洞 B、防火墙的并发连接数限制容易导致拥塞或者溢出 C、防火墙对服务器合法开放的端口的攻击大多无法阻止 D、防火墙可以阻止内部主动发起连接的攻击 13.防火墙中地址翻译的主要作用是:() A. 提供应用代理服务 B. 隐藏内部网络地址 C. 进行入侵检测 D. 防止病毒入侵 14.判断题:防火墙必须记录通过的流量日志,但是对于被拒绝的流量可以没有记录。 () 15.防火墙一般需要检测哪些扫描行为?() A、Port-scan B、icmp-scan C、udp-scan D、tcp-synflood 16.判断题:VPN用户登录到防火墙,通过防火墙访问内部网络时,不受访问控制策略的约 束。() 17.判断题:在配置访问规则时,源地址,目的地址,服务或端口的范围必须以实际访问需 求为前提,尽可能的缩小范围。() 18.简答题:状态检测防火墙的优点有哪些? 19.简答题:防火墙部署的原则有哪些? 20.简答题:防火墙策略设置的原则有哪些?
防火墙基础知识 3.3 包过滤包过滤技术(Ip Filtering or packet filtering) 的原理在于监视并过滤网络上流入流出的Ip包,拒绝发送可疑的包。由于Internet 与Intranet 的连接多数都要使用路由器,所以Router成为内外通信的必经端口,Router的厂商在Router上加入IP Filtering 功能,这样的Router也就成为Screening Router 或称为Circuit-level gateway. 网络专家Steven.M.Bellovin认为这种Firewall 应该是足够安全的,但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的,因而在安全要求较高的场合,通常还配合使用其它的技术来加强安全性。Router 逐一审查每份数据包以判定它是否与其它包过滤规则相匹配。(注:只检查包头的内容,不理会包内的正文信息内容) 过滤规则以用于IP顺行处理的包头信息为基础。包头信息包括: IP 源地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配,且规则允许这包,这一包则根据路由表中的信息前行。如果找到一个匹配,且规则允许拒绝此包,这一包则被舍弃。如果无匹配规则,一个用户配置的缺省参数将决定此包是前行还是被舍弃。*从属服务的过滤包过滤规则允许Router取舍以一个特殊服务为基
础的信息流,因为大多数服务检测器驻留于众所周知的TCP/UDP端口。例如,Telnet Service 为TCP port 23端口等待远程连接,而SMTP Service为TCP Port 25端口等待输入连接。如要封锁输入Telnet 、SMTP的连接,则Router 舍弃端口值为23,25的所有的数据包。典型的过滤规则有以下几种: .允许特定名单内的内部主机进行Telnet输入对话 .只允许特定名单内的内部主机进行FTP输入对话 .只允许所有Telnet 输出对话 .只允许所有FTP 输出对话 .拒绝来自一些特定外部网络的所有输入信息* 独立于服务的过滤 有些类型的攻击很难用基本包头信息加以鉴别,因为这些独立于服务。一些Router可以用来防止这类攻击,但过滤规则需要增加一些信息,而这些信息只有通过以下方式才能获
实验七交换机基本配置 一、实验目的 (1)使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理,行能根据需要进行简单网络的规划和设计。 实验设备与器材 熟悉交换机开机界面; (2)掌握Quidway S系列中低端交换机几种常用配置方法; (3)掌握Quidway S系列中低端交换机基本配置命令。 二、实验环境 Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。 交换机,标准Console配置线。 三、实验内容 学习使用Quidway R2611模块化路由器的访问控制列表(ACL)进行防火墙实验。 预备知识 1、防火墙 防火墙作为Internet访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃,以拒绝非法用户访问网络并保障合法用户正常工作。 2、包过滤技术 一般情况下,包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。 3、访问控制列表 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL(Access Control List)定义的。
访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。 访问控制列表(Access Control List )的作用 访问控制列表可以用于防火墙; 访问控制列表可用于Qos(Quality of Service),对数据流量进行控制; 访问控制列表还可以用于地址转换; 在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP) ACL示意图 ACL的分类 按照访问控制列表的用途,可以分为四类: ●基本的访问控制列表(basic acl) ●高级的访问控制列表(advanced acl) ●基于接口的访问控制列表(interface-based acl) ●基于MAC的访问控制列表(mac-based acl) 访问控制列表的使用用途是依靠数字的范围来指定的,1000~1999是基于接口的访问控制列表,2000~2999范围的数字型访问控制列表是基本的访问控制列表,3000~3999范围的数字型访问控制列表是高级的访问控制列表,4000~4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 4、防火墙的配置项目 防火墙的配置包括:
(一) 防火墙概念 防火墙不只是一种路由器、主系统或一批向网络提供安全性的系统。相反,防火墙是 一种获取安全性的方法;它有助于实施一个比较广泛的安全性政策,用以确定允许提供的服务和访问。就网络配置、一个或多个主系统和路由器以及其他安全性措施(如代替 静态口令的先进验证)来说,防火墙是该政策的具体实施。防火墙系统的主要用途就是 控制对受保护的网络(即网点)的往返访问。它实施网络访问政策的方法就是逼使各连接 点通过能得到检查和评估的防火墙。 ____________ ___________ | | | | | Computer | | Computer | |__________| |___________| ____________ ________ | | |应| |Packet | ______|________________|__________| 用|_____|Filter |___Internet | 网| |Router | 网点系统| 关| |________| |__________| 路由器和应用网关防火墙范例 防火墙系统可以是路由器,也可以是个人主机、主系统和一批主系统,专门把网 络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关如网点与Internet的连接处,但是防火墙系统可以位于等级较低的网关, 以便为某些数量较少的主系统或子网提供保护。 防火墙基本上是一个独立的进程或一组紧密结合的进程,运行于Router or Server 来控制经过防火墙的网络应用程序的通信流量。一般来说,防火墙置于公共网络(如Inter- -net)人口处。它可以看作是交通警察。它的作用是确保一个单位内的网络与Internet之间所有的通信均符合该单位的安全方针。这些系统基本上是基于TCP/IP,并与实现方法有关,它能实施安全路障并为管理人员提供对下列问题的答案: * 谁在使用网络? * 他们在网上做什么? * 他们什么时间使用过网络?
防火墙基础知识 一、防火墙与路由器的异同: 1、防火墙的登陆管理方式及基本配置是一样,有的防火墙多一个 DMZ端口。 2、路由器只能简单的路由策略,防火墙具备强大的访问控制:分 组对象。 3、路由器是默认的端口是开放的,防火墙的端口默认的常见端口 外都是关闭的。 二、防火墙的登陆方式: 1、console口,路由器的登陆方式一样 2、telnet登陆,需要设置 3、SSH登陆,同telnet登陆一样 三、防火墙的用户模式: 1、用户模式:PIX525> 2、特权模式PIX525# 3、全局配置模式PIX525(config)# 4、局部配置模式PIX525(config-if)# 四、防火墙基本配置 1、接口配置 防火墙PIX525默认的的有3个端口,外网口、内网口、DMZ 端口,主要配置ip地址、工作模式、速度、接口名字、安全级别interface Ethernet0
nameif outside security-level 0 ip address 218.28.202.97 255.255.255.0 duplex full 2、访问控制列表 access-list acl_out extended permit icmp any any access-list acl_out extended permit tcp any host 218.28.202.99 object-group DMZ access-list allownet extended permit ip host 192.168.0.123 object-group msn 3、设置网关地址 route outside 0.0.0.0 0.0.0.0 218.28.202.110 外网口网关 route inside 0.0.0.0 0.0.0.0 192.168.1.1 内网口网关 路由的网关设置 Ip route 0.0.0.0 0.0.0.0 218.28.202.110 4、端口重定向 PIX525(config)# object-group service word TCP PIX525(config-if)port-object eq 8866 先在服务的对象分组中开放一个端口,在全局模式下 static (inside,outside) tcp 218.28.202.100 8866 192.168.2.77 8866 netmask 255.255.255.255
硬件防火墙关键指标 1、吞吐量 2、时延 3、扩展性 4、并发连接数 5、丢包率 6、最大安全策略数 一、网络吞吐量 当CIO在企业中部署了企业级别的防火墙之后,企业进出互联网的所有通信流量都要通过防火墙,故对于防火墙的吞吐量就有比较高的要求。以前有些企业是通过ADSL拨号上网的,这时由于带宽的限制,可能防火墙还可以应付。可是现在大部分企业可能已经都采用了光纤接入,带宽本来就很大。此时就给防火墙带来了一定的压力。 因为防火墙是通过对进入与出去的数据进行过滤来识别是否符合安全策略的,所以在流量比较高时,要求防火墙能以最快的速度及时对所有数据包进行检测。否则就可能造成比较长的延时,甚至发生死机。所以网络吞吐量指标非常重要,它体现了防火墙的可用性能,也体现了企业级别的防火墙的重要性。如果资金充裕,那么吞吐量当然是越大越好。吞吐量一个基本的原则就是至少要跟企业现有的互联网接
入带宽相当。 二、协议的优先级(时延) 第二个指标就是这个协议的优先性。现在视频在实际应用中越来越广泛。如视频会议系统、语音电话等等都很普及,而这些应用都会占用比较大的带宽。但增加带宽需要花费比较大的投资。最理想的解决方案是对企业的通信流量进行管理,通过防火墙把一些关键应用的流量设置为比较高的优先级。在网络传输中,要首先保障这些通信流量能够优先通过。这就可以明显改善语音通话等视频应用的效果。 另外这还可以用来约束员工的网络行为。如有些员工喜欢利用emule等工具下载电影。但是这些工具的话会占用很大的带宽,因为他们在从网络上下载的同时,也提供别人进行下载。故耗用的带宽比较多。 三、具有一定的扩展性 网络不可能永远的一成不变。随着政府服务型网站的规模扩大,网络会不断的升级,各地各部门之间要开通业务网络互联互联,成为网络平台的一个节点,此时就遇到一个问题,如何把各单位的网络与政府的网络连接起来。为此通过VPN来连接无疑是一个不错的方案。但是现有的防火墙能否支持VPN技术呢?企业很有可能以前在选购防火墙的时候没有注意到这个问题。
实验一防火墙基本配置 【实验目的】 掌握Web方式配置防火墙,实现不同局域网防火墙连接. 【背景描述】 你是某公司新进的网管,公司要求你熟悉网络产品,公司采用全系列锐捷网络产品,首先要求你登录防火墙,了解并掌握防火墙的Web操作方式. 【实现功能】 熟练掌握防火墙Web操作模式. 【实验设备】 RG-60防火墙(2台) 【实验步骤】 『第一步』管理员证书 管理员可以用证书方式进行身份认证。证书包括 CA 证书、防火墙证书、防火墙私钥、管理员证书。前三项必须导入防火墙中,后一个同时要导入管理主机的IE 中。 证书文件有两种编码格式:PEM 和DER,后缀名可以有pem,der,cer,crt 等多种,后缀名与编码格式没有必然联系。 CA 证书、防火墙证书和防火墙私钥只支持PEM 编码格式,cacert.crt 和cacert.pem 是完全相同的文件。管理员证书支持PEM 和DER 两种,因此提供administrator.crt 和administrator.der 证书administrator.crt 和administrator.pem 是完全相同的文件。*.p12 文件是将CA、证书和私钥打包的文件。 『第二步』管理员首次登录 正确管理防火墙前,需要配置防火墙的管理主机、管理员帐号和权限、网口上可管理 IP、防火墙管 理方式。 ●默认管理员帐号为 admin,密码为firewall ●默认管理口:防火墙 WAN 口 ●可管理 IP:WAN 口上的默认IP 地址为192.168.10.100/255.255.255.0 ●管理主机:默认为 192.168.10.200/255.255.255.0 ●默认管理方式:(1)管理主机用交叉线与WAN 口连接(2)用电子钥匙进行身份认证(3)访问https://防火墙可管理IP 地址:6667(注:若用证书进行认证,则访问https://防
防火墙的脆弱性和缺陷(文摘) FYI 防火墙是网络上使用最多的安全设备,是网络安全的重要基石。防火墙厂商为了占领市场,对防火墙的宣传越来越多,市场出现了很多错误的东西。其中一个典型的错误,是把防火墙万能化。但2002年8月的《计算机安全》中指出,防火墙的攻破率已经超过47%。正确认识和使用防火墙,确保网络的安全使用,研究防火墙的局限性和脆弱性已经十分必要。 防火墙十大局限性 一、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据,防火墙无法检查。 二、防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内,谁都不可信,但绝大多数单位因为不方便,不要求防火墙防内。 三、防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备,就像门卫一样,要根据政策规定来执行安全,而不能自作主张。 四、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备,但防火墙本身必须存在于一个安全的地方。 五、防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议,防火墙不能防止利用该协议中的缺陷进行的攻击。 六、防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击,防火墙不能防止。 七、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能,即使集成了第三方的防病毒的软件,也没有一种软件可以查杀所有的病毒。 八、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。 九、防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密,防火墙是无能为力的。 十、防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己,目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。 防火墙十大脆弱性 一、防火墙的操作系统不能保证没有漏洞。目前还没有一家防火墙厂商说,其防火墙没有操作系统。有操作系统就不能绝对保证没有安全漏洞。
防火墙的配置及应用 一、防火墙概念: 防火墙是指设置在不同网络之间,比如可信任的内部网和不可信的公共网,或者不同网络安全域之间的软硬件系统组合。 它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来保护企业内部网络的安全。防火墙是企业网络安全的屏蔽,它可以强化网络安全策略,对网络访问和内部资源使用进行监控审计,防止敏感信息的泄漏。 二、如何合理实施防火墙的配置呢? 1.动态包过滤技术,动态维护通过防火墙的所有通信的状态(连接),基于连接的过滤; 2.可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题; 3.可以设置信任域与不信任域之间数据出入的策略; 4.可以定义规则计划,使得系统在某一时可以自动启用和关闭策略; 5.具有详细的日志功能,提供防火墙符合规则报文的信息、系统管理信息、系统故障信息的记录,并支持日志服务器和日志导出; 6.具有IPSec VPN功能,可以实现跨互联网安全的远程访问; 7.具有邮件通知功能,可以将系统的告警通过发送邮件通知网络管理员; 8.具有攻击防护功能对不规则的IP、TCP报或超过经验阀值的TCP半连接、UDP报文以及ICMP报文采取丢弃; 9.Web中的Java, ActiveX, Cookie、URL关键字、Proxy进行过滤。 三、Windows 系统中的防火墙实例 1、打开Windows XP的访问控制面板,这里包括Windows 自带防火墙。
2. 防火墙的体系结构发展趋势 随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外,在以后几年里,多媒体应用将会越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要,一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。 与基于ASIC的纯硬件防火墙相比,基于网络处理器的防火墙具有软件色彩,因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流,比起前两种类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性,使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。 首信CF-2000 系列EP-600和CG-600高端千兆防火墙即采用了功能强大的可编程专有ASIC芯片作为专门的安全引擎,很好地兼顾了灵活性和性能的需要。它们可以以线速处理网络流量,而且其性能不受连接数目、包大小以及采用何种策略的影响。该款防火墙支持QoS,所造成的延迟可以达到微秒量级,可以满足各种交互式多媒体应用的要求。浙大网新也在杭州正式发布三款基于ASIC芯片的网新易尚千兆系列网关防火墙,据称,其ES4000防火墙速度达到4Gbps,3DES速度可达600Mbps。易尚系列千兆防火墙还采用了最新的安全网关概念,集成了防火墙、VPN、IDS、防病毒、内容过滤和流量控制等多项功能, 3. 防火墙的系统管理发展趋势 防火墙的系统管理也有一些发展趋势,主要体现在以下几个方面: (1). 首先是集中式管理,分布式和分层的安全结构是将来的趋势。集中式管理可以降低管理成本,并保证在大型网络中安全策略的一致性。快速响应和快速防御也要求采用集中式管理系统。目前这种分布式防火墙早已在Cisco(思科)、3Com等大的网络设备开发商中开发成功,也就是目前所称的"分布式防火墙"和"嵌入式防火墙"。关于这一新技术在本篇下面将详细介绍。 (2). 强大的审计功能和自动日志分析功能。这两点的应用可以更早地发现潜在的威胁并预防攻击的发生。日志功能还可以管理员有效地发现系统中存的安全漏洞,及时地调整安全策略等各方面管理具有非常大的帮助。不过具有这种功能的防火墙通常是比较高级的,早期的静态包过滤防火墙是不具有的。 (3). 网络安全产品的系统化 随着网络安全技术的发展,现在有一种提法,叫做"建立以防火墙为核心的网络安全体系"。因为我们在现实中发现,仅现有的防火墙技术难以满足当前网络安全需求。通过建立一个以防火墙为核心的安全体系,就可以为内部网络系统部署多道安全防线,各种安全技术各司其职,从各方面防御外来入侵。