云计算与网络安全之防火墙安全指导

内容导读

防火墙概述

防火墙技术

防火墙应用实战

一、防火墙概述

1、防火墙基本概念

在网络安全领域，防火墙是设置在不同网络（如可信任的企业内部网和不可信的公共网）之间的一组由软、硬件构成的安全设施，如图所示。

它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制出入网络的信息流，从而有效地控制内部网和外部网之间的信息传输。

2、防火墙的功能

(1) 扫描信息，过滤攻击。

(2) 关闭不需要的端口。

(3) 禁止特定端口的流出通信。

(4) 禁止特殊站点的访问。

(5) 限制特定用户的通信。

3、 防火墙的不足

(1) 网络瓶颈。

(2) 不能防范不经过防火墙的信息攻击。

(3) 不能防范病毒的传播。

(4) 不能防范内部人员的攻击。

4、防火墙的特征

(1) 内部网和外部网之间的所有网络数据流都必须经过防火墙

(2) 只有符合安全策略的数据才能通过防火墙

(3) 自身具有非常强的抗攻击力

二、防火墙技术

1、防火墙的体系结构

(1) 过滤路由器结构

过滤路由器结构是指由具有过滤功能的路由器充当防火墙的结构，如图所示。

(2) 双宿主机结构

双宿主机结构防火墙是指担任防火墙功能的是一台双重宿主（双网卡）主机，如图所示。

(3) 屏蔽子网结构

屏蔽子网结构是指在内外部网之间新增加一个子网DMZ（非军事区），如图。

2、防火墙的技术分类

(1) 包过滤技术

包过滤技术是防火墙最为基本和传统的技术。所谓“包过滤”就是过滤数据包，使符合规则的数据包通过而不符合规则的数据包被拒绝或丢弃。

包过滤技术防火墙工作在第三层及三层以下。

静态包过滤技术是传统的包过滤技术，它是根据流过防火墙的数据包是否符合防火墙所制定的规则来决定是否允许数据包通过，它所制定的规则只检查数据的协议、源和目标IP地址、源和目标端口。

动态包过滤技术是静态包过滤技术的发展，它可以动态地根据实际应用请求自动生成和删除包过滤规则，从而解决静态包过滤制定规则难度大的问题。

①包过滤技术的优点：

实现简单，对设备要求较低。

②包过滤技术的缺点：

随着规则的增加，规则库变得越来越大。无法防范外部的IP欺骗。

(2) 应用级网关

应用级网关也叫代理服务器，通过网关复制传输数据，防止在受信任的服务器或客户机与不受信任的主机间建立直接的联系。

应用级网关防火墙建立在应用层。

(3) 电路级网关

电路级网关防火墙通过检查握手信息来判断是否合法从而判断是否对信息放行。

电路级网关又称为线路级网关，工作在会话层。

(4) 状态检测技术

状态检测防火墙，顾名思义就是要检查数据包的状态变化，它在每一层都会对数据包进行检查，集成了以上几种防火墙的特点，安全性得到了很大的提高。

3、防火墙的实现分类

(1) 基于网络主机的防火墙

基于网络主机的防火墙是指将网络中的一台主机安装防火墙软件用以保护受信任的网络（企业网）。

(2) 基于路由器的防火墙

基于路由器的防火墙是指利用路由器的过滤功能来实现防火墙的功能。

(3) 基于单个主机的防火墙

基于单个主机的防火墙是指安装在单一主机上的防火墙软件，它只适合保护单一主机的安全。

(4) 硬件防火墙

硬件防火墙是指用一台专门的硬件产品作为防火墙。在这种产品中，防火墙厂家是将防火墙软件固化在硬件芯片里，用硬件方式实现防火墙的功能。

三、防火墙应用实战

1、Cisco公司的PIX防火墙

Cisco公司成立于1984年，是全球互联网解决方案提供商。Cisco PIX（Private Internet eXchange）系列防火墙是业界领先的产品之一，具有很好的安全性和可靠性。

(1) Cisco PIX的主要特点

① 嵌入式的操作系统。

② 高安全性。

③ 高可靠性。

④ 强大的远程管理功能。

(2) Cisco PIX的基本应用和配置

① PIX防火墙的配置连接

使用CONSOLE线连接PIX 的CONSOLE接口与PC的串口后，通过PC的“超级终端”来配置PIX的性能。根据实际情况选择与计算机相连的端口，如：COM1，再配置端口属性。在端口属性里，要选择“每秒位数”为“9600”，如图所示。

② PIX防火墙的配置模式

非特权模式。Cisco PIX防火墙开启以后进入的第一个工作模式，默认表示为“Pixfirewall>”。在非特权模式下，用户只有很少的查看权限。

特权模式。特权模式是Cisco PIX防火墙的第二个工作模式，默认表示为“Pixfirewall#”。在特权模式下，用户可以进行很少的配置和查看。

配置模式。配置模式是Cisco PIX防火墙的主要工作模式，大多数的配置命令只有在此模式下才有效，其默认表示为“Pixfirewall(config)# ”。

③ Cisco PIX的一般配置步骤

连接好PIX 和PC，设置好PC的超级终端，开启PIX。

PIX进入非特权模式，显示 Pixfirewall> 。

输入命令enable，PIX进入特权模式，显示 Pixfirewall# 。

输入命令configure terminal进入配置模式，显示Pixfirewall(config)#。

指定内外部网卡名称及安全级别。

配置以太接口数据传输状态(速率、通信方式)。

配置内外部网卡和DMZ区的接口IP地址。

指定DMZ区和外部地址范围。

指定要进行NAT转换的内部地址。

设置指向DMZ区和外部网的缺省路由 。

配置静态IP地址映射。

保存配置。

2、ISA SERVER防火墙

ISA ( Internet Security and Acceleration ) SERVER 是微软公司所出品的企业级防火墙软件。此款防火墙产品不仅具有安全防护性能，而且还具有网络缓存功能。

(1) ISA SERVER的主要特点

① 安全性与网络性能兼顾。

② 提供多项安全选项。

③ 实现服务器的安全发布。

④ 扩展容易。

⑤ 企业版的高级功能。

(2) ISA SERVER 2004的安装

第1步：网络搜索并下载ISA SERVER 2004，双击安装文件按提示完成后续安装。

第2步：选择“安装类型”。建议不熟悉者选择默认选项，即“典型”。

第3步：按要求配置内部网、外部网及DMZ区所对应的网卡及地址范围，如图所示。接下来的步骤是向导自动安装的过程。

(3) ISA SERVER 2004的简单配置

注意：ISA SERVER 2004的默认规则是拒绝任何通信；ISA SERVER 2004所配置的规则具有独立性和顺序性。

第1步：单击“程序”→“Microsoft ISA SERVER”→“ISA 服务器管理”，右击“防火墙策略”，选择“新建”→“访问规则”，如图所示。

第2步：在所示的“访问规则”框中输入名称，如“允许内部网访问外部网”，单击“下一步”按钮。

第3步：为所见规则确定操作方式。在出现所示界面中，选择“允许”，单击“下一步”按钮。

第4步：选择规则所采用的协议。如图所示，在“此规则应用到”项选择“所有出站通讯”，再单击“下一步”按钮。

第5步：选择规则源。在所示的“访问规则源”界面中点击“添加”按钮，在出现的“添加网络实体”中选择“网络”→“内部”，点击“下一步”按钮，即完成添加。

第6步：选择规则目标。在所示“访问规则目标”界面中点击“添加”按钮，在“添加网络实体”中选择“网络”→“外部”，点击“下一步”按钮，即完成添加。

第7步：选择规则所适用的用户。在图示的用户集界面中点击“添加”按钮，选择“所有用户”，单击“下一步”按钮。

第8步：在确认规则配置无误后，在出现的界面中点击“完成”按钮。至此，规则建立完成。

更多精彩内容请继续关注本站！！！