了解Check Point FW-1状态表
作者:Lance Spitzner (https://www.doczj.com/doc/f29083875.html,)
整理:warning3 (warning3nsfocus.)
主页:.nsfocus.
日期:2000-08-15
<* 译者:以前关于防火墙状态表,也只是有一个大概的了解,通过看这篇文章,也纠正了一些自己的错误看法,感觉很有收获,因此就把它翻译出来了。由于时间仓促,可能些地方翻的会有问题,如发现错误,请跟我联系。
这篇文章的主要目的是帮助你了解FW-1的状态连接表是如何工作的。这表使FW-1知道谁在做什么,什么连接时是允许通过的...这篇文章是我对最新的FW-1 4.1版研究的一个继续。为了使你更好的理解你自己的FW-1状态检查表并与我所说的进行验证,我将这篇文章中所用到的源码附在最后。
Word资料
状态检查(Stateful Inspection )
==============================
让我们首先从一个很基本的问题开始我们的讨论。假设你有一个防火墙,它的过滤规则允许所有连接通过(any - any -accept),那么防火墙是否会允许一个用ACK位发起的新TCP连接通过呢?如果防火墙允许任何连接通过,那么似乎任意的包都应当通过。然而,如果从状态检查的工作原理上看,这个包又似乎应当被丢弃。
我开始对状态检查(至少是对Check Point FireWall-1)的理解是这样的:
当防火墙收到一个发起TCP连接请求的SYN包时,这个SYN包首先会与防火墙的过滤规则按顺序(从规则0开始)进行比较,如果所有的规则都不允许接受这个包,那它就被拒绝,这个连接就被丢弃或者拒绝(发送RST包给远程主机).然而,如果这个包被接受了,这个连接会话就被加入到防火墙的状态连接表中,这个表在核空间中分配。后续的每个包(不带SYN标记的包)都会与状态表比较,如果相应的会话已经在表中了,那个这个包就是连接会话的一部分,然后这个包就被接受,允许通过。如果不是,这个包就被丢弃。这将改
Word资料
进系统性能,因为不需要将每个包都与过滤规则集进行比较,而是只对发起连接的SYN包进行比较。所有其它的TCP包都在核空间中与状态表进行比较,这个速度是很快的。
好,现在回到我们开始谈的那个问题上来。如果我们用一个ACK包发起一个会话,防火墙是否会接受这个包呢,即使过滤规则已经允许所有的连接通过?就象我们刚才说的,你可能认为会接受。但现在我们对状态连接表有了更多的认识,可能这个答案会是相反的了。当防火墙收到一个ACK包时,它会先与核空间中的状态连接表进行比较,而不是过滤规则集。当然防火墙的状态连接表中没有相应的会话记录,因为并没有一个SYN包发起过连接。那么,到底防火墙会不会接受这个包呢?
答案- FW-1如何建立一个连接
============================
答案是令人吃惊的。不仅这个ACK包被接受,它还会被加入到状态表中!我对防火墙状态表的理解并不正确。我所发现的结果是,当防火墙收到一个不在状态表中的包时,它会先与过滤规则进行比较,不管这个包是SYN,ACK或者是其他的什么包。如果过滤规则允许
Word资料
接受这个会话,那么这个会话就被加入到状态连接表中去。这个连接会话的所有后续包都会与状态表进行比较,既然在状态连接表中已经存在了相应的会话,因此这些包就被接受而不再与过滤规则集进行比较。fwtable.pl(ver1.0)将'fw tab -t connections'得到的结果进行
转化,我们得到下面的输出结果:
注意:下面看到的这些是我的状态连接表中那些使用ACK包发起的连接。
Word资料
mozart #fwtable
---- FW-1 CONNECTIONS TABLE ---
Src_IP Src_Prt Dst_IP Dst_Prt IP_prot Kbuf Type Flags Timeout
192.168.7.131********.229.143.825601638502ffff002845/3600
192.168.7.131********.229.143.824601638502ffff002845/3600
192.168.7.131********.229.143.823601638502ffff002845/3600
我们可以看到这三个包都被接受并被加入到防火墙状态表中,但它们都是使用用ACK包发起的连接。同样,对于Null,SYN/ACK,FIN/ACK 等类型的包也会被接受。
Word资料
当你使用'ftstop;fwstart'重新启动防火墙时,过程连接表会被清空。如果有并发连接发送ACK包,防火墙看到这些包时,会检查它们是不是符合过滤规则,并重建连接表。所有这些操作对终端用户都是透明的。这就是你为什么那些加密认证的会话连接会中断,因为防火墙没有这些连接的"初始状态"。同时应当注意的时,对于非SYN包连接缺省连接超时是3600秒,这意味着,你可以将这个会话在连接表中保存60分钟的时间直至超时。这个超时时间可以在控制属性菜单里面调整。
注意:有效的FIN或者RST包并不会建立一个会话,因为它们被用来中断一个连接。另外,唯一不会被增加到状态表中去的是'Xmas'包,可以用Fyodor的nmap(-sX开关)来产生。然而这些包会被接受并被记录。
这里我了解到的另外一点是,FW-1的状态检查只根据源/目的IP和端口来判断是不是一个会话。它不管序列号,因为我制造了很多不同的序列号,防火墙都认为是一个会话而接受了。当建立连接的时候,FW-1也不维护包类型的状态。当你发送一个SYN包初始化一个会话时,防火墙先与过滤规则集进行比较,如果被接受,就将这个会话增加到状态表中,就象我们前面讨论的那样。这时候,超时
Word资料
时间被设置成60秒。防火墙会等候一个返回包来建立连接。当它看到一个返回包时,超时被设置成3600秒(60分钟).然而防火墙并不在乎返回什么类型的包。我使用SYN发起一个连接,然后只发回一个ACK包,防火墙就将这个包作为连接的一部分接受了(因为IP 和端口是匹配的).因此,防火墙并没有智能到能够知道必须返回SYN/ACK的应答包,也不在乎序列号。要维护序列号等状态需要更多的系统资源,可能是为了提高系统性能才这么做的吧。
拒绝服务攻击(Bugtraq ID 549):当建立一个连接的时候,如果你使用ACK(或者其他的非SYN包,象Null,FIN/ACK,SYN/ACK等等)来发起连接,连接超时自动被设置成3600秒。这暗示着存在以拒绝服务攻击的可能。既然远程系统并不存在,它们就不会发送RST或者FIN 包来中断连接,这将在连接表中留下一个"死"连接,这个死连接会存在一个小时的时间。通过发送大量ACK包连接包给并不存在的系统,你可以迅速地填满防火墙的连接表。幸运的是,从防火墙外部发动这种攻击比从部要困难的多。但是,如果你从防火墙后面往外进行扫描时,很容易造对自己的DoS攻击。Check Point对这个问题发表了提供了一个解决方法,
你可以按照下列步骤来解决这个问题:
Word资料
. Check Point已经提供了一个用状态检查的解决方案,但重新装载过滤策略时可能会影响状态表的功能
. 减少TCP超时时间到15分钟(900秒)。这将减少攻击者填满你的连接表的机会
. 增大你的连接表。这使填满连接表变得更为困难。
. 使用更为严格的规则集,限制能进出的连接
. Jason Rhoads提供了一个PERL程序,fwconwatch.pl,可以为你监视连接表,并按照你定义的规则发出警告
. 使用Fastpath (for ver 3.0) 或者FastMode (for ver 4.0)。这将从连接表中去掉TCP连接,但这也会带来其它的安全问题。关于Fastpath/FastMode请看下面更为详细的介绍。
. 注意: SynDefender并不能保护这种攻击,因为它只被设计来保护SYN flooding攻击,这
是另外一种不同的攻击。这种攻击是基于非SYN包的。
我喜欢FT-1的一个特点是它对待SYN包的方式。如果你试图冒充一个已经存在的连接,初始化一个新连接,防火墙仍然会先与规则集进行比较。例如,假设你试图建立一个这样的连接:
Word资料
A --- FW --> B#系统A联往系统B
现在,系统B可以发送任意的包给系统A,只要IP和端口匹配(例如,那些属于这个连接会话的包).然而,如果系统试图发送SYN包建立一个新的连接,即使它使用与已存在的那个连接同样的端口,防火墙仍然会认为这个SYN包是一个新会话的一部分,将它与规则集进行比较。就我的观点来说,这是件好事。在上面的例子中,如果我们只允许来自外部系统A的连接,不允许从部的系统B发往外部的连接。那么系统B与系统A联系的唯一方式就是作为一个已建立的连接的一部分来进行。
当系统A连往系统B时,这个连接被加入到防火墙连接检查表中,现在系统B可以发送应答包给系统A了。然而,系统B并不能向A 发送任何的SYN包来新建连接,即使IP和端口号是相同的。当防火墙看到SYN包时,它将这个包与规则集进行比较。在上面所说的条件下,这个包将被丢弃,虽然已经存在一个端口和IP都相同的连接。
Word资料
Fastpath: 我学到的另外一些东西就是,如果fastpath被使用,那么TCP回话不会被加入到过程连接表中。这是因为Fastpath仅仅检查SYN包,所以不需要将连接会话增加到连接表中。如果一个包中设置了其它的标志,缺省情况下这个包就不会被过滤而是让其通过了。通常fastpatch用来改进性能。它的思路是:如果一个包没有设置SYN标志,那么它肯定是一个已经建立的连接的一部分,因为只有SYN包才能开始一个连接。既然只检查SYN包,所以性能肯定会大大提高。然而,使用faspatch通常并不是一个好的做法,因为这可能让你暴露在多种攻击方式之下。Fastpath在FW-1 v3.0中存在,并且只能对所有的TCP包同时起作用。在v4.0中,它又被叫做Fastmode,可以有选择的对不同的TCP服务实施。
关闭一个连接
=================
根据初步的测试结果,FW-1通过设置连接超时时间来关闭连接。当检查模块看到一个连接会话开始交换FIN或者RST包时,它就将超时时间从3600秒改为50秒。如果50秒没有其它的包发送,连接就被从状态表中删除。如果在超时时间段又有其它的包发送,那
Word资料
么超时时间会再被设置成50秒...这可以阻止别人通过发送假的RST或者FIN包来进行拒绝服务攻击。在关闭TCP连接会话时,在应答了第二个FIN包后进入的TIME_WAIT状态与这种超时有点类似。
UDP
====================
维护UDP状态更简单,因为它们是无连接的。当过滤规则允许一个UDP包通过防火墙时,这个连接就被增加到连接表中。在超时时间段(缺省是40秒),只要源/目的地址和端口匹配的UDP包都允许通过。例如,下面是一个DNS请求:
Src_IP Src_Prt Dst_IP Dst_Prt IP_prot Kbuf Type Flags Timeout
192.168.1.101111136.1.1.205317016386ff01ff0034/40
192.168.1.101111136.1.1.20017016386ff01ff0034/40
Word资料
你能看到,系统192.168.1.10正在向136.1.1.20做DSN查询。40秒,那个系统可以返回任意多的UDP包(只要源/目的地址和端口匹配).注意这里有两个表项,区别是目的端口不同,一个是53,另一个是0.我不知道为什么FW-1会创建那个目的端口为0的表项。如果不是过滤所有的UDP数据传输,这种情况很常见。
ICMP
=======================
FW-1对ICMP的处理很令人失望。缺省情况下,FW-1不对ICMP进行状态检查。它永远不会被放到状态连接表中。因此,用户被迫盲目地允许特定的ICMP传输(例如入站ECHO_REPLIES)或者不得不自己修改检查代码(.phoneboy./fw1).我认为这是FW-1最大的不足。
Word资料
报文分组
========================
最近我一直在看报文分组,特别是FW-1如何处理分组报文。尽管报文分组并没有直接应用到状态表中,但我认为它也很重要,值得加入到这篇文章中。我不会详细地将报文分组的原理,我假设读者已经具备了IP报文分组的基本知识。我首先会大体上讲一下FW-1是如何处理报文分组的,然后我会再针对TCP,UDP,ICMP协议讲一下。
首先,FW-1将接收到的分组报文再发出去。就是说如果FW-1收到一个分组的报文,过滤规则也允许它通过的话,它会将这个分组再转发出去。但是,我认为FW-1在检查分组的报文之前肯定进行了某种形式的报文重组。这个结论是在下列测试的基础上得出的。当我用一个完整的分组报文发起TCP连接的时候,报文被防火墙接受并加入到了状态表中,然后再以分组的形式发送给目的主机。现在我的状态表里有了一个会话表项,然后我试图发送更多的分组报文,它们属于同一个连接会话,这些报文也被接受,超时时间被重置。
Word资料
然而,如果我发送一个不完整的TCP分组(也属于同一个连接会话),这个分组就不被接受,而且它也不会被记录。这让我相信当FW-1第一次收到一个分组报文时,它并不进行规则检查,而是要等到所有的分组均被收到并且完成报文重组后,才进行规则检查。一旦重组完成,防火墙才开始决定如何处理这个报文,是接受还是丢弃,记录等等。另一个例子是使用jolt2,它是一个用来攻击Window系统的工具。它发送100个不完整的ICMP或者UDP分组给选定的目标主机。当用来攻击Fw-1后面的主机时,这些包不会通过防火墙,也不会被防火墙所记录。我认为这是由于这些ICMP分组是不完整的,它们不能被重组为一个完整的ICMP报文,因此也就不会被
检查和记录。
事实上,对于一个包含状态检查的防火墙,常常要进行某种形式的报文重组。很多检查连接状态防的火墙(包括FW-1)检查包都是基于源/目的地址和源/目的端口的(TCP头).然而,对于分组报文,只有第一个分组包含这些信息,所有其它的分组都只有IP地址信息。如果不进行某种形式的报文重组,防火墙就不能确定后续分组是属于哪个连接会话的(除了第一个分组).通过对分组报文进行重组,防火墙就可以确定这些分组到底是属于哪个连接会话的。
Word资料
然而,在重组之前不进行报文检查也有一个问题,防火墙就可能遭受不完整或者是非法的分组报文的攻击.既然这些报文是不完整的或者非法的,就不可能被正确重组,它们也不会被检查和记录。所以,防火墙会继续接收这样的包并尝试重组它们,尽管重组是不可能的。因此处理大量的这样的分组将占用系统资源,导致拒绝服务攻击。这种攻击不能通过设置防火墙过滤规则来防止,也不会被记录。为了得到这个漏洞更为详尽的消息,可以看CheckPoint的安全公告(.checkpoint./techsupport/alerts/ipfrag_dos.html).如果你是Unix用户,可以在命令行用"fw ctl pstat"来看你的防火墙处理了多少分组。到https://www.doczj.com/doc/f29083875.html,可以得到更多的相关资料。
下面我们来看看特定的协议。首先,来看TCP.对于数据长度少于24字节的分组报文,FW-1将会丢弃其第一个分组,并且记录下这个报文:"TCP packet too short".(注意:记住,这里我们讨论的数据长度不包括20字节的IP头).例如,用网络扫描工具namp的'-f'选项将会产生一个分组报文,第一个分组数据长度为16个字节,第二个分组为8字节,因此缺省这些分组检测会被FW-1丢弃(不管你的过滤规则如何设置)并被记录。
ICMP和UDP则又有不同。首先,标准的分组长度(8,16,32字节等等)都是可以的(不象TCP,要求至少24字节).然而,"奇数"字节的分组Word资料
大小是不允许的(这里的"奇数"是指不是8字节的整数倍)。例如,试图发送一个数据长度为12字节的分组,这就不会被接受,也不会被记录。
这些看法都是基于我个人的研究,并不是所谓官方资料。如果你发现我的逻辑,测试方法或者
使用的技术有任何问题,请提醒我!
附录:
测试使用的工具:
Word资料
fwtable.pl可以帮你更好的理解Check Point FW-1的状态检查表。
hping2允许你自己构造TCP/ICMP/UDP包
Nemesis与hping2类似,也有自己一些不同的功能。使用libpcap和libnet.它允许你自己构造各种类型的报文,包括TCP,UDP,ICMP,DNS,OSPF等等
libnet它封装了一些网络函数.
Word资料
一、选择题 1、下列哪些是防火墙的重要行为?(AB ) A、准许 B、限制 C、日志记录 D、问候访问者 2、最简单的防火墙结构是( A ) A、路由器 B、代理服务器 C、日志工具 D、包过滤器 3、绝大多数WEB站点的请求使用哪个TCP端口?(C ) A、21 B、25 C、80 D、1028 三、选择题 1.常用的加密算法包括(ABCD ) A.DES B.3DES C.RSA D.AES E.MD5 F.MAC 2.常用的散列算法有(EF ) A.DES B.3DES C.RSA D.AES E.MD5 F.MAC 一、选择题 1.传统上,公司的多个机构之间进行数据通信有众多不同的方式,主要有(ABCD) A.帧中继线路 B.ATM线路 C.DDN线路 D.PSTN 2.IPSec的应用方式有(ABCD) A.端对端安全 B.远程访问 C.VPNs D.多提供商VPNs 3. IPSec 可以使用两种模式,分别是(AB) A.Transport mode B. Tunnel mode C. Main mode D. Aggressive mode
4.在IPSec中,使用IKE建立通道时,使用的端口号是(B)A.TCP 500 B.UDP 500 C.TCP 50 D. UDP 50 5.在IKE阶段1的协商中,可以有两种模式。当两个对端都有静态的IP地址时,采用(C)协商;当一端实动态分配的IP地址时候,采用(D)协商. A.Transport mode B. Tunnel mode C. Main mode D. Aggressive mode 一、填空题 1.密码学从其发展来看,分为传统密码学和计算机密码学两大阶段。 2.密码学做为数学的一个分支,包括密码编码学和密码分析学。 3.计算机密码学包括对称密钥密码体制和公开密钥密码体制。 4.常用的加密算法包括:DES,3DES,AES;常用的散列算法有MD5,MA C 一、填空题 1.目前普遍应用的防火墙按组成结构可分为软件防火墙,硬件防火墙,芯片级防火墙三种。 2.基于PC架构的防火墙上运行一些经过裁剪和简化的操作系统,最常用的有UNIX、Linux和FreeBSD系统。 3.芯片级防火墙的核心部分是ASIC芯片。 4.目前市场上常见的防火墙架构有X86,ASIC,NP。
防火墙测试报告 2013.06.
目录 1 测试目的 (3) 2 测试环境与工具 (3) 2.1 测试拓扑 (3) 2.2 测试工具 (4) 3 防火墙测试方案 (4) 3.1 安全功能完整性验证 (4) 3.1.1 防火墙安全管理功能的验证 (5) 3.1.2 防火墙组网功能验证 (5) 3.1.3 防火墙访问控制功能验证 (6) 3.1.4 日志审计及报警功能验证 (6) 3.1.5 防火墙附加功能验证 (7) 3.2 防火墙基本性能验证 (8) 3.2.1 吞吐量测试 (9) 3.2.2 延迟测试 (9) 3.3 压力仿真测试 (10) 3.4 抗攻击能力测试 (11) 3.5 性能测试总结.................................................................................... 错误!未定义书签。
1测试目的 防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。 本次测试从稳定性、可靠性、安全性及性能表现等多方面综合验证防火墙的技术指标。2测试环境与工具 这里描述的测试环境和工具应用于整个测试过程。具体的应用情况参见测试内容中不同项目的说明。 2.1 测试拓扑 本次测试采用以下的拓扑配置: 没有攻击源时的测试拓扑结构 有攻击源时的测试拓扑结构
2.2 测试工具 本次测试用到的测试工具包括: 待测防火墙一台; 网络设备专业测试仪表SmartBits 6000B一台; 笔记本(或台式机)二台。 测试详细配置如下: 3防火墙测试方案 为全面验证测试防火墙的各项技术指标,本次测试方案的内容包括了以下主要部分:基本性能测试、压力仿真测试、抗攻击测试。测试严格依据以下标准定义的各项规范:GB/T 18020-1999 信息技术应用级防火墙安全技术要求 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 RFC2544 Benchmarking Methodology for Network Interconnect Devices 3.1 安全功能完整性验证 目标:验证防火墙在安全管理、组网能力、访问控制、日志、报警、审计等必要的安全功能组成的完整性以及集成在防火墙中的其它辅助安全功能。
本文由no1moonboy贡献 doc1。 双 CheckPoint 防火墙实施方案 目 录 第一章 客户环境概述…… 4 1.1 概述 …… 4 1.2 网络拓扑与地址分配表 …… 4 1.3 安装前准备事宜 …… 6 第二章 Nokia IP380 安装与配置 …… 7 2.1 概述 …… 7 2.2 初始化 nokia380 …… 7 2.3 设置 nokia 基本信息 …… 8 2.3.1 Nokia 端口 IP 地址设定 …… 8 2.3.2 设置网关路由 …… 8 2.3.3 设置 Nokia 平台时间 …… 9 2.3.4 设定 Nokia 高可用 VRRP 参数 …… 9 2.4 初始化 checkpoint …… 14 2.4.1 在 nokia 平台上 checkpoint 的安装与卸载 …… 14 2.4.2 初始化 checkpoint …… 16 第三章 管理服务器的安装与配置…… 17 3.1checkpoint smartcenter 的安装…… 18 3.1.1 安装前的准备 …… 18 3.1.2 安装步骤 …… 18 3.2 配置 checkpoint 对象和参数 …… 20 3.2.1 建立 sic …… 20 3.2.2 定义防火墙对象拓扑结构 …… 21 3.2.3 使用同样的步骤按照表 1 的参数建立 IP380B checkpoint gateway 对象。 …… 21 3.3 基于 nokia vrrp 或者 cluster 的设置…… 22 3.3.1 基于 Nokia VRRP 的设置 …… 22 3.3.2 为 nokia vrrp 定义策略 …… 22 3.3.3 高可用性的检查 …… 23 3.4nokia cluster 的设置 …… 23 3.5 暂时没有 …… 23 第四章 策略设定…… 24 4.1 概述 …… 24 4.2 netscreen 的策略 …… 24 4.3 经过整理后转换成 checkpoint 的策略 …… 24 4.4 设定策略 …… 24 4.4.1 定义主机对象 …… 24 4.4.2 定义网络对象 …… 25 4.4.3 定义组 …… 26 4.4.4 定义服务 …… 26 4.4.5 添加标准策略 …… 27 4.4.6 添加 NAT 策略…… 27 第五章 切换与测试…… 29 5.1 切换 …… 29 5.2 测试 …… 29 5.3 回退 …… 30 第六章 日常维护…… 31 6.1 防火墙的备份与恢复 …… 31 6.1.1 nokia 防火墙的备份与恢复方法 …… 31 6.1.2 checkpoint management 上的备份与恢复 …… 33 第一章 客户环境概述 1.1 概述 XXXXXX 公司因应企业内部的网络需求,对总部网络进行扩容改动,中心 防火墙从原来的 netscreen 换成两台 Nokia IP380,两台 nokia 互为热备。维持原 有的服务不变。 由于这次网络改动比较大,所以先离线进行安装和测试,最后再进行切换 1.2 网络拓扑与地址分配表 XXXXXX 改造前网络拓扑如下 改动后,XXX 将按照以下图进行实施 改动后, 给个设备及端口的地址分配入下表所示 IP 地址分配表(表 1) 管理服务器参数 IP 地址 防火墙各端口参数 端口 Eth1 用途 外网 口 Eth2 Eth3 Eth4 ? DMZ 内网 同步 口 gateway 静态路 由 172.16.100.5/30 172.16.100.6/30 172.16.100.1/30 10.101.1.101/24 10.101.1.102/24 10.101.1.1/24 192.168.11.1/24 192.168.11.2/24 Nokia380A Nokia380B 虚拟地址 1.3 安装前准备事宜 1.管理服务器硬件平台 CPU 奔腾 3 500 以上 内存 128 以上 硬盘 60M 以上 操作系统,windows 2000 server +SP4 补丁 2.网络连线 3.Checkpoint 及 nokia 管理软件 Checkpoint NG AI R55 安装包 for windows hotfix09 或以上 4.Nokia IP380 设备两台 内置 IPSO3.8 build 39 内置 checkpoint NG AI R55 安装包 第二章 Nokia IP380 安装与配置 2.1 概述 首先我们可以对两台 Nokia IP380 进行安装与配置,由于 Nokia 防火墙将会 替代 Netscreen,所以 Nokia 防火墙可以进行离线配置。配置步骤如下。 2.2 初始化 nokia380 1. 使用 nokia console 线,连接 nokia console 口和管理 pc 的串行端口,
win7防火墙设置指南、多重作用防火墙策略以及设置方法 214小游戏https://www.doczj.com/doc/f29083875.html,/ windows XP集成防火强常被视为鸡肋,不过随着vista和WIN7的发布,微软对于防火墙的两次升级让windows的firewall不再是系统的累赘,特别是win7的firewall,强悍的功能让微软的防火墙也有了“专业”的味道。 本文就教大家来了解一下windows7下的 firewall设置以及向你展示怎样对多重作用防火墙策略下对Firewall进行配置。Windows Firewall的演变过程。 一、windows防火墙的演变 Windows XP中的防火墙是一款简单、初级仅保护流入信息,拦截任何不是由你主动发启入站连接的软件--它是默认关闭的。SP2后它才被默认启动并可以通过组策略的方式由管理员进行配置。而 Vista Firewall 是建立在一个新的Windows Filtering Platform (WFP、Windows过滤平台)上、并通过Advanced Security MMC嵌入式管理单元添加了新的过滤外发信息的能力。在Windows 7中MS对firewall做了进一步的微调,使其更具可用性,尤其针对移动计算机,更是舔加了对多重作用防火墙策略的支持。 二、windows 7 firewall(防火墙)设置方法 与Vista相同的是,可以通过访问控制面板程序对Windows 7 firewall进行基础配置。与Vista不同的是,你还可以通过访问控制面板的方式对其进行高级配置(包括对出站连接过滤器的配置),而不是一定要创建空白MMC并加入嵌入式管理单元来实现。只是点击一下左侧面板里的高级配置选项。 更多的网络配置 Vista firewall允许你去选择是在公共网格上还是在专用网络中,而在Windows 7中你有三个选择--公用网络、家庭网络、办公网络。后两个选项是专用网络的细化。 如果你选择了“家庭网络”选项,你将可以建立一个“家庭组”。在这种环境中,“网路发现”会自动启动,你将可以看到网络中其它的计算机和设备,同时他们也将可以看到你的计算机。隶属于“家庭组”的计算机能够共享图片、音乐、视频、文档库以及如打印机这样的硬件设备。如果有你不想共享的文件夹在文档库中,你还可以排除它们。 如果你选择的是“工作网络”,“网路发现”同样会自动启动,但是你将不能创建或是加入“家庭组”。如果你的计算机加入了Windows域(通过控制面板--系统和安全--系统--高级系统配置--计算机名选项卡)并通过DC验证,那么防火墙将自动识别网络类型为域环境网络。 而“公用网络”类型是当你在机场、宾馆、咖啡馆或使用移动宽带网络联通公共wi-fi 网络时的适当选择,“网路发现”将默认关闭,这样其它网络中的计算机就不会发现你的共享而你也将不能创建或加入“家庭组”。 在全部的网络模式中,Windows 7 firewall都将在默认情况下拦截任何发送到不属于白名单中应用程序的连接。Windows 7允许你对不同网络类型分别配置。 多重作用防火墙策略 在Vista中,尽管你有公用网络和私用网络两个配置文件,但是只会有一个在指定的时间内起作用。所以如果你的计算机发生要同时连接两个不同网络的情况,那你就要倒霉啦。最严格的那条配置文件会被用户到所有的连接上,这意味着你可能无法在本地(私用)网络中做你想做的事,因为你是在公用网络在规则下操作。而在Windows 7 (和 Server 2008 R2)中,不同网络适配器上可以使用不同的配置文件。也就是说专用网络之间的网络连接受专用网络规则支配,而与公用网络之间的流量则应用公用网络规则。 起作用的是那些不显眼的小事 在很多事例中,更好的可用性往往取决于小的改变,MS听取了用户的意见并将一些“不
防火墙基本操作及应急措施陈世雄安全工程师 CCSE
议程 ?智能边界安全解决方案?CheckPoint 配置基础?常见问题及应急措施
Check Point 简介 ?最受信赖、最可依靠的互联网安全厂商 –我们致力发展安全领域——并且比任何厂商更优秀! –全球财富100企业中,100%企业使用我们的产品 –在防火墙和虚拟专用网络(VPN)市场中占有领导 地位 ?在全球 VPN/防火墙软件市场销售额中占70%份额 (Infonetics提供数据) ?VPN/防火墙软件市场占有率超过 54% (IDC提供数据) ?安全硬件设备市场份额中有 36% 为 Check Point 产品(由 Infonetics 提供) ?以客为本的企业原则 –业界领先的技术合作伙伴关系 –强大且广泛的渠道合作伙伴关系
状态检测 / FireWall-1 1993 OPSEC 1997 VPN-1 1998 Next Generation 2001 SmartDefense 2002 应用智能 2003 Check Point: 一直走在客户现实需求的前面 创新历程 1994 1995 1996 1999 2000 Web 智能 2004
我们的策略 2004上半年提供! ? 安全远程访问 ? Web 服务器保护 ? 统一认证 ? 一致性策略管理 ? 市场领先 ? 十年的成功史 ? 最新发布 - InterSpect 2.0 - Connectra 2.0 - Intergrity 6.0 ? Check Point InterSpect ? Zone Labs SMART 管理 无忧保护 边界 深入检查 智能 安全解决方案
本篇要为大家介绍一些实用的知识,那就是如何配置防火中的安全策略。但要注意的是,防火墙的具体配置方法也不是千篇一律的,不要说不同品牌,就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。 一. 防火墙的基本配置原则 默认情况下,所有的防火墙都是按以下两种情况配置的: ?拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 ?允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3 和SMTP 的进程。 在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则:(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。 (2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。 3). 内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境
防火墙的高级检测技术IDS 更多防火墙相关文章:防火墙应用专区 多年来,企业一直依靠状态检测防火墙、入侵检测系统、基于主机的防病毒系统和反垃圾邮件解决方案来保证企业用户和资源的安全。但是情况在迅速改变,那些传统的单点防御安全设备面临新型攻击已难以胜任。为了检测出最新的攻击,安全设备必须提高检测技术。本文着重介绍针对未知的威胁和有害流量的检测与防护,在防火墙中多个前沿的检测技术组合在一起,提供启发式扫描和异常检测,增强防病毒、反垃圾邮件和其它相关的功能。 新一代攻击的特点 1、混合型攻击使用多种技术的混合-—如病毒、蠕虫、木马和后门攻击,往往通过Email 和被感染的网站发出,并很快的传递到下一代攻击或攻击的变种,使得对于已知或未知的攻击难以被阻挡。这种混合型攻击的例子有Nimda、CodeRed和Bugbear等。 2、现在针对新漏洞的攻击产生速度比以前要快得多。防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁变得尤其重要。 3、带有社会工程陷阱元素的攻击,包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等数量明显的增加。攻击者们伪造合法的应用程序和邮件信息来欺骗用户去运行它们。 图1 Gartner发布的漏洞与补丁时间表 传统的安全方法正在失效 如今最流行的安全产品是状态检测防火墙、入侵检测系统和基于主机的防病毒软件。但是它们面对新一代的安全威胁却作用越来越小。状态检测防火墙是通过跟踪会话的发起和状态来工作的。状态检测防火墙通过检查数据包头,分析和监视网络层(L3)和协议层(L4),基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。这些方法包括: (1)利用端口扫描器的探测可以发现防火墙开放的端口。 (2)攻击和探测程序可以通过防火墙开放的端口穿越防火墙。 (3)PC上感染的木马程序可以从防火墙的可信任网络发起攻击。由于会话的发起方来自于内部,所有来自于不可信任网络的相关流量都会被防火墙放过。当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等,它们产生非授权访问或将私密信息发送给攻击者。 较老式的防火墙对每一个数据包进行检查,但不具备检查包负载的能力。病毒、蠕虫、木马和其它恶意应用程序能未经检查而通过。 当攻击者将攻击负载拆分到多个分段的数据包里,并将它们打乱顺序发出时,较新的深度包检测防火墙往往也会被愚弄。 对深度检测的需求 现今为了成功的保护企业网络,安全防御必须部署在网络的各个层面,并采用更新的检测和防护机制。用于增强现有安全防御的一些新型安全策略包括: 设计较小的安全区域来保护关键系统。 增加基于网络的安全平台,以提供在线(“in-line”)检测和防御。 采用统一威胁管理(Unified Threat Management,简称UTM),提供更好的管理、攻击关联,降低维护成本。 研究有效的安全策略,并培训用户。 增加基于网络的安全 基于网络的安全设备能够部署在现有的安全体系中来提高检测率,并在有害流量进入公
防火墙基础知识 3.3 包过滤包过滤技术(Ip Filtering or packet filtering) 的原理在于监视并过滤网络上流入流出的Ip包,拒绝发送可疑的包。由于Internet 与Intranet 的连接多数都要使用路由器,所以Router成为内外通信的必经端口,Router的厂商在Router上加入IP Filtering 功能,这样的Router也就成为Screening Router 或称为Circuit-level gateway. 网络专家Steven.M.Bellovin认为这种Firewall 应该是足够安全的,但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的,因而在安全要求较高的场合,通常还配合使用其它的技术来加强安全性。Router 逐一审查每份数据包以判定它是否与其它包过滤规则相匹配。(注:只检查包头的内容,不理会包内的正文信息内容) 过滤规则以用于IP顺行处理的包头信息为基础。包头信息包括: IP 源地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配,且规则允许这包,这一包则根据路由表中的信息前行。如果找到一个匹配,且规则允许拒绝此包,这一包则被舍弃。如果无匹配规则,一个用户配置的缺省参数将决定此包是前行还是被舍弃。*从属服务的过滤包过滤规则允许Router取舍以一个特殊服务为基
础的信息流,因为大多数服务检测器驻留于众所周知的TCP/UDP端口。例如,Telnet Service 为TCP port 23端口等待远程连接,而SMTP Service为TCP Port 25端口等待输入连接。如要封锁输入Telnet 、SMTP的连接,则Router 舍弃端口值为23,25的所有的数据包。典型的过滤规则有以下几种: .允许特定名单内的内部主机进行Telnet输入对话 .只允许特定名单内的内部主机进行FTP输入对话 .只允许所有Telnet 输出对话 .只允许所有FTP 输出对话 .拒绝来自一些特定外部网络的所有输入信息* 独立于服务的过滤 有些类型的攻击很难用基本包头信息加以鉴别,因为这些独立于服务。一些Router可以用来防止这类攻击,但过滤规则需要增加一些信息,而这些信息只有通过以下方式才能获
防火墙测试报告 # 2008.07.20 @
目录 1测试目的 (3) 2测试环境与工具 (3) 测试拓扑 (3) 测试工具 (4) 3防火墙测试方案 (4) 安全功能完整性验证 (5) , 防火墙安全管理功能的验证 (5) 防火墙组网功能验证 (5) 防火墙访问控制功能验证 (6) 日志审计及报警功能验证 (7) 防火墙附加功能验证 (8) 防火墙基本性能验证 (9) 吞吐量测试 (9) 延迟测试 (10) 压力仿真测试 (10) 抗攻击能力测试 (11) 性能测试总结 (12) & {
1测试目的 防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。 本次测试从稳定性、可靠性、安全性及性能表现等多方面综合验证防火墙的技术指标。2测试环境与工具 这里描述的测试环境和工具应用于整个测试过程。具体的应用情况参见测试内容中不同项目的说明。 测试拓扑 本次测试采用以下的拓扑配置: 没有攻击源时的测试拓扑结构 【 有攻击源时的测试拓扑结构
测试工具 本次测试用到的测试工具包括: 待测防火墙一台; 网络设备专业测试仪表SmartBits 6000B一台; 笔记本(或台式机)二台。 测试详细配置如下: 3防火墙测试方案 为全面验证测试防火墙的各项技术指标,本次测试方案的内容包括了以下主要部分:基本性能测试、压力仿真测试、抗攻击测试。测试严格依据以下标准定义的各项规范:GB/T 18020-1999 信息技术应用级防火墙安全技术要求 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 { RFC2544 Benchmarking Methodology for Network Interconnect Devices 安全功能完整性验证 目标:验证防火墙在安全管理、组网能力、访问控制、日志、报警、审计等必要的安全功能组成的完整性以及集成在防火墙中的其它辅助安全功能。
(一) 防火墙概念 防火墙不只是一种路由器、主系统或一批向网络提供安全性的系统。相反,防火墙是 一种获取安全性的方法;它有助于实施一个比较广泛的安全性政策,用以确定允许提供的服务和访问。就网络配置、一个或多个主系统和路由器以及其他安全性措施(如代替 静态口令的先进验证)来说,防火墙是该政策的具体实施。防火墙系统的主要用途就是 控制对受保护的网络(即网点)的往返访问。它实施网络访问政策的方法就是逼使各连接 点通过能得到检查和评估的防火墙。 ____________ ___________ | | | | | Computer | | Computer | |__________| |___________| ____________ ________ | | |应| |Packet | ______|________________|__________| 用|_____|Filter |___Internet | 网| |Router | 网点系统| 关| |________| |__________| 路由器和应用网关防火墙范例 防火墙系统可以是路由器,也可以是个人主机、主系统和一批主系统,专门把网 络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关如网点与Internet的连接处,但是防火墙系统可以位于等级较低的网关, 以便为某些数量较少的主系统或子网提供保护。 防火墙基本上是一个独立的进程或一组紧密结合的进程,运行于Router or Server 来控制经过防火墙的网络应用程序的通信流量。一般来说,防火墙置于公共网络(如Inter- -net)人口处。它可以看作是交通警察。它的作用是确保一个单位内的网络与Internet之间所有的通信均符合该单位的安全方针。这些系统基本上是基于TCP/IP,并与实现方法有关,它能实施安全路障并为管理人员提供对下列问题的答案: * 谁在使用网络? * 他们在网上做什么? * 他们什么时间使用过网络?
防火墙性能测试综述 摘要 作为应用最广泛的网络安全产品,防火墙设备本身的性能如何将对最终网络用户得到的实际带宽有决定性的影响。本文从网络层、传输层和应用层三个层面对防火墙的常用性能指标及测试方法进行了分析与总结,并提出了建立包括网络性能测试、IPSec VPN性能测试及安全性测试在内的完整测试体系及衡量标准的必要性。 1 引言 防火墙是目前网络安全领域广泛使用的设备,其主要目的就是保证对合法流量的保护和对非法流量的抵御。众所周知,在世界范围内网络带宽(包括核心网络及企业边缘网络)总的趋势是不断的提速升级,然而从网络的整体结构上看,防火墙恰处于网络的末端。显而易见,防火墙的网络性能将对最终网络用户得到的实际带宽有决定性的影响,特别是骨干网上使用的千兆防火墙,性能的高低直接影响着网络的正常应用。所以,目前防火墙的网络性能指标日益为人们所重视,地位也越来越重要。因此,在防火墙测试工作中性能测试是极其重要的一部分。 作为网络互联设备,参考RFC1242/2544对其在二、三层的数据包转发性能进行考量,是大部分网络设备性能测试的基本手段和方法,同时进行二、三层的测试也可以帮助确定性能瓶颈是存在于下层的交换转发机制还是在上层协议的处理,并检测所采用的网卡及所改写的驱动程序是否满足性能要求,它有利于故障的定位。作为防火墙来说,最大的特点就是可以对4~7层的高层流量进行一定的控制,这就必然对性能造成一定的影响,而这种影响有多大,会不会成为整个网络的瓶颈,就成为人们所关心的问题。据此,我们认为完整的防火墙网络性能测试应该由网络层测试、传输层测试和应用层测试三部分组成。 2 网络层性能测试 网络层性能测试指的是防火墙转发引擎对数据包的转发性能测试,RFC1242/2544是进行这种测试的主要参考标准,吞吐量、时延、丢包率和背对背缓冲4项指标是其基本指标。这几个指标实际上侧重在相同的测试条件下对不同的网络设备之间作性能比较,而不针对仿真实际流量,我们也称其为“基准测试”(Base Line Testing)。 2.1 吞吐量 (1)指标定义 网络中的数据是由一个个数据帧组成,防火墙对每个数据帧的处理要耗费资源。吞吐量就是指在没有数据帧丢失的情况下,防火墙能够接受并转发的最大速率。IETF RFC1242中对吞吐量做了标准的定义:“The Maximum Rate at Which None of the Of fered Frames are Dropped by the Device.”,明确提出了吞吐量是指在没有丢包时的最大数据帧转发速率。吞吐量的大小主要由防火墙内网卡及程序算法的效率决定,尤其是程序算法,会使防火墙系统进行大量运算,通信量大打折扣。 (2)测试方法 在RFC2544中给出了该项测试的步骤过程及测试方法:在测试进行时,测试仪表的发送端口以一定速率发送一定数量的帧,并计算所发送的字节数和分组数,在接收端口也计算
防火墙基础知识 一、防火墙与路由器的异同: 1、防火墙的登陆管理方式及基本配置是一样,有的防火墙多一个 DMZ端口。 2、路由器只能简单的路由策略,防火墙具备强大的访问控制:分 组对象。 3、路由器是默认的端口是开放的,防火墙的端口默认的常见端口 外都是关闭的。 二、防火墙的登陆方式: 1、console口,路由器的登陆方式一样 2、telnet登陆,需要设置 3、SSH登陆,同telnet登陆一样 三、防火墙的用户模式: 1、用户模式:PIX525> 2、特权模式PIX525# 3、全局配置模式PIX525(config)# 4、局部配置模式PIX525(config-if)# 四、防火墙基本配置 1、接口配置 防火墙PIX525默认的的有3个端口,外网口、内网口、DMZ 端口,主要配置ip地址、工作模式、速度、接口名字、安全级别interface Ethernet0
nameif outside security-level 0 ip address 218.28.202.97 255.255.255.0 duplex full 2、访问控制列表 access-list acl_out extended permit icmp any any access-list acl_out extended permit tcp any host 218.28.202.99 object-group DMZ access-list allownet extended permit ip host 192.168.0.123 object-group msn 3、设置网关地址 route outside 0.0.0.0 0.0.0.0 218.28.202.110 外网口网关 route inside 0.0.0.0 0.0.0.0 192.168.1.1 内网口网关 路由的网关设置 Ip route 0.0.0.0 0.0.0.0 218.28.202.110 4、端口重定向 PIX525(config)# object-group service word TCP PIX525(config-if)port-object eq 8866 先在服务的对象分组中开放一个端口,在全局模式下 static (inside,outside) tcp 218.28.202.100 8866 192.168.2.77 8866 netmask 255.255.255.255
武汉职业技术学院 总复习二 班级:姓名:学号: 一.选择题 1、对于防火墙不足之处,描述错误的是 D 。 A.无法防护基于尊重作系统漏洞的攻击 B.无法防护端口反弹木马的攻击 C.无法防护病毒的侵袭 D.无法进行带宽管理 2. 防火墙对数据包进行状态检测包过滤是,不可以进行过滤的是:D。 A: 源和目的IP地址 B: 源和目的端口 C: IP协议号 D: 数据包中的内容 3. 防火墙对要保护的服务器作端口映射的好处是: D 。 A: 便于管理 B: 提高防火墙的性能 C: 提高服务器的利用率 D: 隐藏服务器的网络结构,使服务器更加安全 4. 关于防火墙发展历程下面描述正确的是 A 。 A.第一阶段:基于路由器的防火墙 B. 第二阶段:用户化的防火墙工具集 C. 第三阶段:具有安全尊重作系统的防火墙 D: 第四阶段:基于通用尊重作系统防火墙 5. 包过滤防火墙的缺点为: A 。 A. 容易受到IP欺骗攻击 B. 处理数据包的速度较慢 C: 开发比较困难 D: 代理的服务(协议)必须在防火墙出厂之前进行设定 6. 内网用户通过防火墙访问公众网中的地址需要对源地址进行转换,规则中的动作应选择: B 。 A:Allow B:NAT C:SAT D:FwdFast 7. 从安全属性对各种网络攻击进行分类,阻断攻击是针对 B 的攻击。 A. 机密性 B. 可用性 C. 完整性 D. 真实性 8. VPN的加密手段为 C 。 A. 具有加密功能的防火墙
B. 具有加密功能的路由器 C. VPN内的各台主机对各自的信息进行相应的加密 D. 单独的加密设备 9. 根据ISO的信息安全定义,下列选项中___ B _是信息安全三个基本属性之一。 A 真实性 B 可用性 C 可审计性 D 可靠性 10. 计算机病毒最本质的特性是__ C__。 A 寄生性 B 潜伏性 C 破坏性 D 攻击性 11. 防止盗用IP行为是利用防火墙的 C 功能。 A: 防御攻击的功能 B: 访问控制功能 C: IP地址和MAC地址绑定功能 D: URL过滤功能 12. F300-Pro是属于那个级别的产品 C 。 A:SOHO级(小型企业级) B:低端产品(中小型企业级) C:中段产品(大中型企业级) D:高端产品(电信级) 13. 一般而言,Internet防火墙建立在一个网络的 C 。 A. 内部子网之间传送信息的中枢 B. 每个子网的内部 C. 内部网络与外部网络的交叉点 D. 部分内部网络与外部网络的结合处 14. 目前,VPN使用了 A 技术保证了通信的安全性。 A. 隧道协议、身份认证和数据加密 B. 身份认证、数据加密 C. 隧道协议、身份认证 D. 隧道协议、数据加密 15. 我国在1999年发布的国家标准_ C ___为信息安全等级保护奠定了基础 A.GB 17799 B .GB 15408 C.GB 17859 D.GB 14430 16. 网络安全最终是一个折衷的方案,即安全强度和安全操作代价的折衷,除增加安全
防火墙的功能 防火墙是网络安全的屏障: 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 防火墙可以强化网络安全策略: 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。 对网络存取和访问进行监控审计: 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 防止内部信息的外泄: 通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。 除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信 息安全的首要目标。网络安全技术主要有,认证授权、数据加密、访问 控制、安全审计等。而提供安全网关服务的类型有:地址转换、包过滤、 应用代理、访问控制和DoS防御。本文主要介绍地址转换和访问控制两 种安全网关服务,利用cisco路由器对ISDN拨号上网做安全规则设置。 试验环境是一台有fir ewall 版本IOS的cisco2621 路由器、一台交换 机组成的局域网利用ISDN拨号上网。 一、地址转换 我们知道,Internet 技术是基丁IP协议的技术,所有的信息通信都 是通过IP包来实现的,每一个设备需要进行通信都必须有一个唯一的 IP地址。因此,当一个网络需要接入Inte rnet的时候,需要在Internet 上进行通信的设备就必须有一个在全球Internet 网络上唯一的地址。当一个网络需要接入Internet 上使用时,网络中的每一台设备都有一个I nternet 地址,这在实行各种Internet 应用上当然是最理想不过的。但 是,这样也导致每一个设备都暴露在网络上,任何人都可以对这些设备 攻击,同时由丁I nternet目前采用的IPV4协议在网络发展到现在,所 剩下的可用的IP地址已经不多了,网络中的每一台设备都需要一个IP 地址,这几乎是不可能的事情。 采用端口地址转换,管理员只需要设定一个可以用作端口地址转换的公 有Internet 地址,用户的访问将会映射到IP池中IP的一个端口上去, 这使每个合法Internet IP 可以映射六万多台部网主机。从而隐藏部网
路地址信息,使外界无法直接访问部网络设备。 Cisco路由器提供了几种NAT转换的功能: 1、部地址与出口地址的——对应 缺点:在出口地址资源稀少的情况下只能使较少主机连到internet 。2、部地址分享出口地址 路由器利用出口地址和端口号以及外部主机地址和端口号作为接口。其 中部地址的端口号为随机产生的大丁1024的,而外部主机端口号为公认 的标准端口号。这样可以用同一个出口地址来分配不同的端口号连接任 意数量的部主机到外网。 具体配置:由丁实验用的是ISDN拨号上网,在internet 上只能随机获得出口地址,所以NAT转换的地址池设置为BRI 口上拨号所获得的地址。interface FastEthernet0/0 ip address 172.16.18.200 255.255.255.0 ip nat inside the interface connected to inside world ! interface BRI0/0 ip address negotiated ip nat outside the interface connected to outside network encapsulation ppp no ip split-horizon dialer string 163 dialer load-threshold 150 inbound
. .. . 防火墙测试报告
2013.06. 目录 1测试目的 (3) 2测试环境与工具 (3) 2.1 测试拓扑 (3) 2.2 测试工具 (4) 3防火墙测试方案 (4) 3.1 安全功能完整性验证 (5) 3.1.1 防火墙安全管理功能的验证 (5) 3.1.2 防火墙组网功能验证 (5) 3.1.3 防火墙访问控制功能验证 (6) 3.1.4 日志审计及报警功能验证 (7) 3.1.5 防火墙附加功能验证 (8) 3.2 防火墙基本性能验证 (9) 3.2.1 吞吐量测试 (9) 3.2.2 延迟测试 (10) 3.3 压力仿真测试 (10) 3.4 抗攻击能力测试 (11) 3.5 性能测试总结 (12)
1测试目的 防火墙是实现网络安全体系的重要设备,其目的是要在部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出部网络的服务和访问的审计和控制。 本次测试从稳定性、可靠性、安全性及性能表现等多方面综合验证防火墙的技术指标。2测试环境与工具 这里描述的测试环境和工具应用于整个测试过程。具体的应用情况参见测试容中不同项目的说明。 2.1 测试拓扑 本次测试采用以下的拓扑配置:
没有攻击源时的测试拓扑结构 有攻击源时的测试拓扑结构2.2 测试工具 本次测试用到的测试工具包括: 待测防火墙一台; 网络设备专业测试仪表SmartBits 6000B一台; 笔记本(或台式机)二台。 测试详细配置如下:
3 防火墙测试方案 为全面验证测试防火墙的各项技术指标,本次测试方案的容包括了以下主要部分:基本性能测试、压力仿真测试、抗攻击测试。测试严格依据以下标准定义的各项规: GB/T 18020-1999 信息技术应用级防火墙安全技术要求 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 RFC2544 Benchmarking Methodology for Network Interconnect Devices 3.1 安全功能完整性验证 目标:验证防火墙在安全管理、组网能力、访问控制、日志、报警、审计等必要的安全功能组成的完整性以及集成在防火墙中的其它辅助安全功能。 3.1.1 防火墙安全管理功能的验证 1) 测试目的:本项测试通过查看相应配置项,验证防火墙具备必要的安全管理手段。 2) 测试时间:__2008-7-23____ 3) 测试人员:___XXX XXX 一 4) 过程记录: