發布時間:2024-01-24閱讀(15)
哈嘍!大家好,又來給大家更新內容了。快來搬小板凳敲黑板吧。
防火墻是位于內部網和外部網之間的屏障,它按照系統管理員預先定義好的規則來控制數據包的進出。防火墻是系統的第一道防線,其作用是防止非法用戶的進入。
本期我們一起來總結下防火墻的配置,非常全面,以華為為例。
防火墻是一個或一組系統,它在網絡之間執行訪問控制策略。實際防火墻的實際方式各不相同,但是在原則上,防火墻可以被認為是這樣一對機制:一種機制是攔阻傳輸流通行,另一種機制是允許傳輸流通過。一些防火墻偏重攔阻傳輸流的通行,而另一些防火墻則偏重允許傳輸流通過。了解有關防火墻的最重要的概念可能就是它實現了一種訪問控制策略。如果你不太清楚你需要允許或否決那類訪問,你可以讓其他人或某些產品根據他(它)們認為應當做的事來配置防火墻,然后他(它)們會為你的機構全面地制定訪問策略。
同其它任何社會一樣,Internet也受到某些無聊之人的困擾,這些人喜愛在網上做這類的事,像在現實中向其他人的墻上噴染涂鴉、將他人的郵箱推倒或者坐在大街上按汽車喇叭一樣。一些人試圖通過Internet完成一些真正的工作,而另一些人則擁有敏感或專有數據需要保護。一般來說,防火墻的目的是將那些無聊之人擋在你的網絡之外,同時使你仍可以完成工作。 許多傳統風格的企業和數據中心都制定了計算機安全策略和必須遵守的慣例。在一家公司的安全策略規定數據必須被保護的情況下,防火墻更顯得十分重要,因為它是這家企業安全策略的具體體現。如果你的公司是一家大企業,連接到Int-ernet上的最難做的工作經常不是費用或所需做的工作,而是讓管理層信服上網是安全的。防火墻不僅提供了真正的安全性,而且還起到了為管理層蓋上一條安全的毯子的重要作用。 最后,防火墻可以發揮你的企業駐Internet“大使”的作用。許多企業利用其防火墻系統作為保存有關企業產品和服務的公開信息、下載文件、錯誤修補以及其它一些文件的場所。這些系統當中的幾種系統已經成為Internet服務結構(如UUnet.uu.net、 whitehouse.gov、gatekeeper.dec.com)的重要組成部分,并且給這些機構的贊助者帶來了良好的影響。
一些防火墻只允許電子郵件通過,因而保護了網絡免受除對電子郵件服務攻擊之外的任何攻擊。另一些防火墻提供不太嚴格的保護措施,并且攔阻一些眾所周知存在問題的服務。 一般來說,防火墻在配置上是防止來自“外部”世界未經授權的交互式登錄的。這大大有助于防止破壞者登錄到你網絡中的計算機上。一些設計更為精巧的防火墻可以防止來自外部的傳輸流進入內部,但又允許內部的用戶可以自由地與外部通信。如果你切斷防火墻的話,它可以保護你免受網絡上任何類型的攻擊。 防火墻的另一個非常重要的特性是可以提供一個單獨的“攔阻點”,在“攔阻點”上設置安全和審計檢查。與計算機系統正受到某些人利用調制解調器撥入攻擊的情況不同,防火墻可以發揮一種有效的“電話監聽”(Phone tap)和跟蹤工具的作用。防火墻提供了一種重要的記錄和審計功能;它們經常可以向管理員提供一些情況概要,提供有關通過防火墻的傳輸的類型和數量以及有多少次試圖闖入防火墻的企圖等等信息。
4.防火墻不能防范什么?防火墻不能防范不經過防火墻的攻擊。許多接入到Internet的企業對通過接入路線造成公司專用數據數據泄露非常擔心。不幸的是,對于這些人來說,一盤磁帶可以很有效地用來泄露數據。許多機構的管理層對Internet接入非常恐懼,它們對應當如何保護通過調制解調器撥號訪問沒有連慣的政策。當你住在一所木屋中,卻安裝了一扇六英尺厚的鋼門,會被認為很愚蠢。然而,有許多機構購買了價格昂貴的防火墻,但卻忽視了通往其網絡中的其它幾扇后門。要使防火墻發揮作用,防火墻就必須成為整個機構安全架構中不可分割的一部分。防火墻的策略必須現實,能夠反映出整個網絡安全的水平。例如,一個保存著超級機密或保密數據的站點根本不需要防火墻:首先,它根本不應當被接入到Internet上,或者保存著真正秘密數據的系統應當與這家企業的其余網絡隔離開。 防火墻不能真正保護你防止的另一種危險是你網絡內部的叛變者或白癡。盡管一個工業間諜可以通過防火墻傳送信息,但他更有可能利用電話、傳真機或軟盤來傳送信息。軟盤遠比防火墻更有可能成為泄露你機構秘密的媒介!防火墻同樣不能保護你避免愚蠢行為的發生。通過電話泄露敏感信息的用戶是社會工程(social engineering)的好目標;如果攻擊者能找到內部的一個“對他有幫助”的雇員,通過欺騙他進入調制解調器池,攻擊者可能會完全繞過防火墻打入你的網絡。
5.防火墻能否防止病毒的攻擊?防火墻不能有效地防范像病毒這類東西的入侵。在網絡上傳輸二進制文件的編碼方式太多了,并且有太多的不同的結構和病毒,因此不可能查找所有的病毒。換句話說,防火墻不可能將安全意識(security-consciosness)交給用戶一方。總之,防火墻不能防止數據驅動的攻擊:即通過將某種東西郵寄或拷貝到內部主機中,然后它再在內部主機中運行的攻擊。過去曾發生過對不同版本的郵件寄送程序和幻像腳本(ghostscript)和免費 PostScript閱讀器的這類攻擊。 對病毒十分憂慮的機構應當在整個機構范圍內采取病毒控制措施。不要試圖將病毒擋在防火墻之外,而是保證每個脆弱的桌面系統都安裝上病毒掃描軟件,只要一引導計算機就對病毒進行掃描。利用病毒掃描軟件防護你的網絡將可以防止通過軟盤、調制解調器和Internet傳播的病毒的攻擊。試圖御病毒于防火墻之外只能防止來自Internet的病毒,而絕大多數病毒是通過軟盤傳染上的。 盡管如此,還是有越來越多的防火墻廠商正提供“病毒探測”防火墻。這類防火墻只對那種交換Windows-on-Intel執行程序和惡意宏應用文檔的毫無經驗的用戶有用。不要指望這種特性能夠對攻擊起到任何防范作用。
6.在防火墻設計中需要做哪些基本設計決策?在負責防火墻的設計、制定工程計劃以及實施或監督安裝的幸運兒面前,有許多基本設計問題等著他去解決。 首先,最重要的問題是,它應體現你的公司或機構打算如何運行這個系統的策略:安裝后的防火墻是為了明確地拒絕除對于連接到網絡至關重的服務之外的所有服務,或者,安裝就緒的防火墻是為以非威脅方式對“魚貫而入”的訪問("queuing" access)提供一種計量和審計的方法。在這些選擇中存在著某種程度的偏執狂;防火墻的最終功能可能將是行政上的結果,而非工程上的決策。 第二個問題是:你需要何種程度的監視、冗余度以及控制水平?通過解決第一個問題,確定了可接受的風險水平(例如你的偏執到何種程度)后,你可以列出一個必須監測什么傳輸、必須允許什么傳輸流通行以及應當拒絕什么傳輸的清單。換句話說,你開始時先列出你的總體目標,然后把需求分析與風險評估結合在一起,挑出與風險始終對立的需求,加入到計劃完成的工作的清單中。 第三個問題是財務上的問題。在此,我們只能以模糊的表達方式論述這個問題,但是,試圖以購買或實施解決方案的費用多少來量化提出的解決方案十分重要。例如,一個完整的防火墻的高端產品可能價值10萬美元,而低端產品可能是免費的。像在Cisco或類似的路由器上做一些奇妙的配置這類免費選擇不會花你一分錢,只需要工作人員的時間和幾杯咖啡。從頭建立一個高端防火墻可能需要幾個月,它可能等于價值3萬美元的工作人員工資和利潤。系統管理開銷也是需要考慮的問題。建立自行開發的防火墻固然很好,但重要的是使建立的防火墻不需要費用高昂的不斷干預。換句話說,在評估防火墻時,重要的是不僅要以防火墻目前的費用來評估它,而且要考慮到像支持服務這類后續費用。 出于實用目的,我們目前談論的是網絡服務提供商提供的路由器與內部網絡之間存在的靜態傳輸路由服務,因此基于這一事實,在技術上,還需要做出幾項決策。傳輸流路由服務可以通過諸如路由器中的過濾規則在IP層實現,或通過代理網關和服務在應用層實現。 需要做出的決定是,是否將暴露的簡易機放置在外部網絡上為Telnet、ftp、news等運行代理服務,或是否設置像過濾器這樣的屏蔽路由器,允許與一臺或多臺內部計算機的通信。這兩種方式都存在著優缺點,代理機可以提供更高水平的審計和潛在的安全性,但代價是配置費用的增加,以及可能提供的服務水平的降低(由于代理機需要針對每種需要的服務進行開發)。由來以久的易使性與安全性之間的平衡問題再次死死地困擾著我們。
目前防火墻主要分為三種,包過濾、應用代理、狀態監測
包過濾防火墻:現在靜態包過濾防護墻市面上已經看不到了,取而代之的是動態包過濾技術的防火墻。
代理防火墻:因為一些特殊的報文可以輕松突破包過濾防火墻的保護,比如SYN攻擊、ICMP洪水攻擊,所以代理服務器作為專門為用戶保密或者突破訪問權限的數據轉發通道應用防火墻出現了。其實是用了一種應用協議分析的新技術。
狀態監測防火墻:基于動態包過濾發展而來,加入了一種狀態監測的模塊,近一點發展會話過來功能,會話狀態的保留是有時間限制的。
1.防火墻的工作模式
路由模式:如果華為防火墻連接網絡的接口配置IP地址,則認為防火墻工作在路由模式下。
透明模式:如果華為防火墻通過第二層對外連接(接口無IP地址),則防火墻工作在透明模式下。
混合模式:如果華為防火墻既存在工作在路由模式的接口(接口具有IP地址) 又存在工作在透明模式的接口(接口無P地址) 則防火墻工作在混合模式下。
2.華為防火墻的安全區域劃分
在學習防護墻之前先要了解關于安全區域的概念,安全區域是一個或多個接口的集合,是防火墻區別于路由器的主要特性。防火墻通過安全區域來劃分網絡、標識報文流動的“路線”,當報文在不同的安全區域之間流動時,才會觸發安全檢查。
華為防火墻默認情況下提供了三個安全區域,分別是Trust、DMZ和Untrust,光從名字看就知道這三個安全區域很有內涵。
Trust區域:主要用于連接公司內部網絡,優先級為85,安全等級較高。
DMZ區域:在防火墻中通常定義為需要對外提供服務的網絡,其安全性介于Trust區域和Untrust區域之 間優先級為50,安全等級為中等
Untrust區域:通常定義外部網絡,優先級功5,安全級別很低,Untrust區域表示不受信任的區域。
Local區域:通常定義防火墻本身,優先級為100。防火墻除了轉發區域之間的報文之外還需要自身接收或發送流量。
其他區域:用戶自定義區域,默認最多自定義16個區域,自定義區域沒有默認優先級,所以需要手工指定。
防火墻有多種部署模式,每個部署模式適用于不同的應用場景。主要的應用場景分為以下幾種:
1、部署透明模式
適用于用戶不希望改變現有網絡規劃和配置的場景。透明模式中,防火墻是“不可見的”,不需配置新的IP地址,只利用防火墻做安全控制。
2、部署路由模式
適用于需要防火墻提供路由和NAT功能的場景。路由模式中,防火墻連接不同網段的網絡,通常為內部網絡和互聯網,且防火墻的每一個接口都分配IP地址。
3、部署混合模式
如果防火墻在網絡中既有二層接口,又有三層接口,那么防火墻就處于混合模式。
4、部署旁路(Tap)模式
用戶希望使用防火墻的監控、統計、入侵防御功能,暫時不將防火墻直連在網絡里,可以選用旁路模式。
3.防火墻Inbound和Outbound
入方向(Inbound):數據由低級別的安全區域向高級別的安全區域傳輸的方向 。出方向(Outbound):數據由高級別的安全區域向低級別的安全區域傳輸的方向。
1.Telnet管理方式及配置
(1)配置初始管理密碼
(2)配置防火墻的接口IP地址
(3)打開防火墻的Telnet功能
(4)配置防火墻允許遠程管理
(5)將防火墻接口GigabitEthernet0/0/0加入安全區域
(6)將接口加入安全區域
(7)將防火墻配置于間包過濾,以保證網絡基本通信正常
(8)配置認證模式及本地用戶信息
(9)測試從telnet登錄防火墻,首次登錄需要修改密碼,然后再重新用新密碼連接
由于華為防護墻管理口默認地址是192.168.0.1。由于我這里使用的模擬器,我需要把地址改成和我物理機地址同一個網段才行。
通過上圖可以看到GE0/0/0是防火墻的管理口。執行如下命令修改IP地址。
[USG6000V1]interface GigabitEthernet 0/0/0[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.56.12 24[USG6000V1-GigabitEthernet0/0/0]然后通過瀏覽器訪問https://192.168.56.12:8443。
(1)讓內部的pc1可以ping通外部的主機
查看會話
(2)讓外部的主機可以訪問dmz中的ftp,http以及ping
1.NAT分類
(1)、NAT No- PAT:類似于Cisco的動態轉換,只轉換源IP地址不轉換端口,屬于多對多轉換。(2)、NAPT(網絡地址和端口轉換) :類似于Cisco 的PAT轉換,NAPT既轉換報文的源地址,又轉換源端口。轉換后的地址不能是外網接口IP地址,屬于多對多或多對一轉換。(3)、出接口地址(Easy-IP):和NAPT— 樣,既轉換源IP地址又轉換源端口。區別是出接口地址方式轉換后的地址只能是NAT設備外網接口所配置的IP地址,屬于多對—轉換。(4)、Smart NAT (智能轉換):通過預留一個公網地址進行NAPT轉換而其他的公網地址用來進行NAT No-PAT轉換。(5)、三元組NAT:與源IP地址源端口和協議類型有關的—種轉換,將源IP地址和源端口轉換為固定公網IP地址和端口。
2.NAT配置
(1)NAT No- PAT方式的地址轉換
配置網絡參數及路由
配置安全策略
配置NAT地址組
配置NAT策略
針對轉換后的全局地址(NAT地址組中的地址)配置黑洞路由
(2)出接口地址(easy-ip)方式的地址轉換,之前同上,配置NAT策略
3.NAT Server
配置網絡參數及路由
配置安全策略
配詈FTP應用層檢測(默認已開啟)
配置 NAT Server
配置黑洞路由
查看名稱為natpolicy的NAT策略
1雙機熱備配置
模式
(1)熱備模式:同一時間只有一臺防火場轉發數據包,其他防火墻不轉發數據包,但是會同步會話表及Server-map表。(2)負載均衡模式:同一時間,多臺防火墻同時轉發數據,但每個防火墻又作為其他防火墻的備用設備,即每個防火墻既是主用設備也是備用設備,防火墻之間同步會話表及Server-map表。
接口加入安全區域并配置安全策略
配置VRRP備份組
查看雙機設備的狀態信息
查看心跳接口狀態
好了今天的分享就到這里,感謝你的持續關注,我們下期再會!
歡迎分享轉載→http://m.avcorse.com/read-216639.html
Copyright ? 2024 有趣生活 All Rights Reserve吉ICP備19000289號-5 TXT地圖HTML地圖XML地圖
