|
防火墻是目前最為流行也是使用最為廣泛的一種網絡安全技術。防火墻(Firewall),是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。 一、網絡防火墻概述 如果沒有防火墻,內部網絡上的服務器都暴露在局域網或Internet上,極易受到攻擊。也就是說,內部網絡的安全性要由每一臺服務器來決定,并且整個內部網絡的安全性等于其中防護能力最弱的系統。防火墻作為一個分離器、限制器和分析器,用于執行兩個網絡之間的訪問控制策略,有效地監控了內部網和Internet之間的任何活動。 1. 網絡防火墻的重要作用 在構建安全網絡環境的過程中,防火墻作為第一道安全防線,既可為內部網絡提供必要的訪問控制,但又不會造成網絡的瓶頸,并通過安全策略控制進出系統的數據,保護網絡內部的關鍵資源。由此可見,對于聯接到Internet的內部網絡而言,選用防火墻是非常必要的。 ●網絡安全的屏障 防火墻可通過過濾不安全的服務而降低風險,極大地提高內部網絡的安全性。由于只有經過選擇并授權允許的應用協議才能通過防火墻,所以網絡環境變得更安全。防火墻可以禁止諸如不安全的NFS協議進出受保護網絡,使攻擊者不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻能夠拒絕所有以上類型攻擊的報文,并將情況及時通知防火墻管理員。 ● 強化網絡安全策略 通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網絡安全問題分散到各個主機上相比,防火墻的集中安全管理更經濟。例如,在網絡訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火墻一身上。
圖 防火墻邏輯位置示意圖 ● 對網絡存取和訪問進行監控審計由于所有的訪問都必須經過防火墻,所以防火墻就不僅能夠制作完整的日志記錄,而且還能夠提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。另外,收集一個網絡的使用和誤用情況也是一項非常重要的工作。這不僅有助于了解防火墻是否能夠抵擋攻擊者的探測和攻擊,了解防火墻的控制是否充分有效,而且有助于作出網絡需求分析和威脅分析。 ● 防止內部信息的外泄 通過利用防火墻對內部網絡的劃分,可實現內部網中重點網段的隔離,限制內部網絡中不同部門之間互相訪問,從而保障了網絡內部敏感數據的安全。另外,隱私是內部網絡非常關心的問題,一個內部網絡中不引人注意的細節,可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至由此而暴露了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節,如Finger、DNS等服務。Finger顯示了主機的所有用戶的用戶名、真名、最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網絡中的DNS信息,這樣一臺主機的域名和IP地址就不會被外界所了解。 防火墻分為軟件防火墻和硬件防火墻兩種。軟件防火墻是安裝在PC平臺的軟件產品,它通過在操作系統底層工作來實現網絡管理和防御功能的優化。硬件防火墻的硬件和軟件都單獨進行設計,有專用網絡芯片處理數據包。同時,采用專門的操作系統平臺,從而避免通用操作系統的安全性漏洞。并且對軟硬件的特殊要求,使硬件防火墻的實際帶寬與理論值基本一致,有著高吞吐量、安全與速度兼顧的優點。
3. 硬件防火墻的類型與選擇 國內市場的硬件防火墻,大部分都是“軟硬件結合的防火墻”,即“定制機箱+X86架構+防火墻軟件模塊”(大多數基于Linux或UNIX系統開發)。其核心技術實際上仍然是軟件,吞吐量不高,容易造成帶寬瓶頸。由于PC架構本身不穩定,因此,往往難以適應7*24的不間斷運行。所以,這種防火墻一般只能滿足中低帶寬的安全要求,在高流量環境下往往會造成網絡堵塞甚至系統崩潰。 ● 包過濾防火墻 包過濾防火墻是基于源地址和目的地址、應用或協議以及每個IP包的端口作出是否允許通過判斷的防火墻。路由器便是傳統的包過濾防火墻,大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發,但它不能判斷出一個IP包來自何方,去向何處。 先進的包過濾防火墻可以判斷這一點,它可以提供內部信息以說明所通過的連接狀態和一些數據流的內容,把判斷的信息同規則表進行比較,在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火墻檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合,防火墻就會使用默認規則,一般情況下,默認規則就是要求防火墻丟棄該包。其次,通過定義基于TCP或UDP數據包的端口號,防火墻能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。網絡級防火墻的優點是簡潔、速度快、費用低,并且對用戶透明,缺點是對網絡的保護很有限,因為它只檢查地址和端口,對網絡更高協議層的信息無理解能力。 ● 應用網關防火墻應用網關能夠檢查進出的數據包,通過網關復制傳遞數據,防止在受信任服務器和客戶機與不受信任的主機間直接建立聯系。應用網關能夠理解應用層上的協議,能夠做較為復雜的訪問控制,并做精細的注冊。但每一種協議需要相應的代理軟件,使用時工作量大,效率不如網絡級防火墻。 應用網關有較好的訪問控制,是目前最安全的防火墻技術,但實現起來比較困難,而且通常對用戶缺乏透明。另外,用戶在受信任的網絡上通過防火墻訪問Internet時,經常會發現存在延遲,并且必須進行多次登錄才能訪問Internet或Intranet,令人感到未免有些美中不足。 ● 規則檢查防火墻 規則檢查防火墻集包過濾和應用網關的特點于一身。與包過濾防火墻的相同之處在于,它能夠在OSI網絡層上通過IP地址和端口號,過濾進出的數據包。與應用網關的相同之處在于,它可以在OSI應用層上檢查數據包的內容,查看這些內容是否能符合公司網絡的安全規則。 規則檢查防火墻不打破客戶機/服務機模式來分析應用層的數據,允許受信任的客戶機和不受信任的主機建立直接連接。另外,它也不依靠與應用層有關的代理,而是依靠某種算法來識別進出的應用層數據,這些算法通過已知合法數據包的模式來比較進出數據包,從而在理論上比應用級代理在過濾數據包上更有效。 由于規則檢查防火墻在OSI最高層——應用層上加密數據,既無需修改客戶端的程序,也無需對每個在防火墻上運行的服務額外增加一個代理,對于用戶完全透明,所以,目前市場上流行的防火墻大多屬于該類防火墻。 清華得實NetST網絡防火墻可以通過兩種方式進行配置,一是終端控制臺,二是JAVA控制臺。前者是類似于DOS的字符界面,雖然使用時比較困難,但是,一些重要系統配置操作,如NetST系統的啟停、管理員口令的設置等,必須在終端控制臺上進行;后者為標準的Windows圖形界面,可以完成大多數一般的配置和操作。 1. 終端控制臺的連接與登錄 NetST防火墻隨機附送了一條DB-9-to-DB-9串行線。
利用該串行線連接防火墻的控制口和計算機的COM口。
啟動NetST防火墻,然后,打開計算機,并運行超級終端,選擇適當的COM端口。將“每秒位數”調整為“38400”,其他參數保持默認值。
敲一下回車鍵,顯示系統登錄提示符。
鍵入用戶名和密碼,并單擊回車鍵,即可登錄至NetST防火墻。可使用的用戶名為“admin”、“sysadm”、“cfgadm”和“user”,默認的口令與用戶名相同。其中,admin擁有最高權限,有至高無上的權利,可以執行任何操作,所有的命令、對象都可操作。sysadm只能設置所有與系統配置有關的命令操作,不能操作與規則有關的配置。cfgadm只能進行與各項規則制定有關的配置,可以執行sysadm特有命令之外的所有命令對象。user是普通的管理賬號,只能查看當前各種配置的信息,沒有權利設置、添加、刪除、執行等。也就是說,一般情況下,它只能執行show命令。 以不同的用戶身份登錄,系統顯示的提示符是不同的。當以admin登錄時,提示符為“admin@NetST”;當以sysadm登錄時,提示符則為“sysadm@NetST”。依次類推,其他用戶分別為“cfgadm@NetST”和“user@NetST”。 3. 終端控制臺的基本操作 (1)縮寫命令 為了便于操作,NetST允許使用命令縮寫。例如,about縮寫為ab,clear縮寫為cl,delete縮寫為del,disable縮寫為dsb,enable縮寫為enb,help縮寫為h,rename縮寫為ren,show縮寫為sh,ping縮寫為p,quit縮寫為q,等等。 不僅命令可以縮寫,對象也可以被縮寫。例如,firewall縮寫為fw,interface縮寫為if,limit縮寫為lim,mode縮寫為m,password縮寫為pw,time縮寫為t,等等。 (2)中英文模式切換 NetST防火墻提供中英文兩種模式,用戶可以根據使用習慣選擇合適的方式,只需鍵入如下簡單的命令,即可實現中英文的切換。 鍵入“gb”或“set mode gb”命令,即可切換至中文模式;鍵入“eg”或“set mode eg”命令,即可切換至英文模式。例如:admin@NetST> gb 中文模式!admin@NetST> set mode egEnglish! (3)幫助 NetST防火墻提供完善的在線幫助系統。在任意提供鍵入參數的地方鍵入“h”或“?”,都可看到需要鍵入的參數個數、要求和其他說明幫助信息。幫助信息包括中、英文兩種形式,在命令提示符下,任何時候鍵入gb、eg即可在中英文模式下進行切換。提示信息、命令執行結果和返回信息,即以相應的語言顯示。例如:admin@NetST> h add********************************************************ADD_LIST alias(al) : add a network card aliascontent(cnt) : add content filter items dns : add a or many domain name server's IP-address iplist(ipl) : add ip in proxy access control list mac : add a MAC/IP item. nat : add a NAT (Network Address Transfer) rule. online(ol) : add a online user. route(ro) : add a tracerouter. rule(ru) : add a filter rule. user(u) : add a user. vpnconn(vc) : add vpn connection.******************************************************** (4)口令設置 由于網絡防火墻的配置事關網絡安全,因此,建議配置防火墻時首先要做的工作就是修改各用戶口令。口令是區分大小寫的,口令中必須包括字母和數據,字母必須包括大小寫字母,長度至少為7個字符,不超過16個字符,否則視為無效。admin@NetST> set passwordEnter user name: adminEnter new password: ABCDabcd1234Enter New password again: ABCDabcd1234Set password success! JAVA控制臺的默認口令為“admin123”,該口令的修改操作如下:admin@NetST> set adminEnter new password: ABCDabcd1234Enter New password again: ABCDabcd1234Set password success! (5)系統操作 ●重新啟動防火墻重新啟動防火墻計算機系統,執行此命令后,在終端控制臺約一分鐘會重新顯示用戶登錄界面。admin@NetST> reboot ● 停止防火墻 關閉防火墻計算機系統。執行該命令約30秒后,才可以關閉防火墻電源。建議不要直接關閉電源,否則,可能造成防火墻內部系統軟件的損壞,導致系統癱瘓。admin@NetST> shutdown ● 顯示系統狀態 顯示防火墻引擎、UFP服務器、agent服務器、用戶登錄服務器、VPN服務器、HA功能和PROXY狀態,以及CPU、內存使用率。admin@NetST> show state firewall = OFF log server = OFF UFP server = OFF agent server = ON content server = ON login server = ON log file size = 180296 Bytes cpu usage = 0.3% memory usage = 80% VPN = ON HA = OFF PROXY = ON 4. 網絡設置 若欲實現防火墻的正常運行,必須分別為各端口設置正確的IP地址信息。命令格式為: Set interface interface_pwsition IP_addr/state 其中,interface_pwsition表示欲配置的端口。使用“admin(a)”、“internal(i)”、“external(e)”和“DMZ(d)”分別標識管理端口、內網端口、外網端口和DMZ端口。IP_addr表示指定的IP地址信息。IP地址采用帶掩碼的點為十進制格式“xxx.xxx.xxx.xxx/xx”,地址后的“xx”表示掩碼位數。表示指定端口狀態,可選參數為“up”、“down”、“stat”和“dhcp”,分別表示啟動、停止、設置為固定IP地址類型(缺省)、設置網卡通過HDCP獲取IP地址。 例如:為內網端口設置IP地址10.0.0.1,子網掩碼為255.255.255.0。admin@NetST> set interfaceEnter Interface position(i, e, dmz): internal Enter IP address(xxx.xxx.xxx.xxx/xx): 10.0.0.1/24Set interface success! 可使用命令“show interface interface_position”,顯示網絡接口的IP地址信息。該命令可帶參數,也可不帶參數。如果指定端口,則只顯示指定端口的信息;如果未指定端口,則顯示所有端口的信息。 5. 過濾規則配置 NetST防火墻全面支持包過濾功能,包過濾規則的配置是防火墻最重要的設置。 (1)過濾規則表的執行次序 NetST防火墻將按規則表中有效規則的序號,由小到大依次對數據包進行匹配,直到有一條規則與數據包匹配,防火墻執行該規則指定的動作。如數據庫不能與任何規則匹配,防火墻將根據系統缺省動作處理數據包。由此可見,過濾規則的次序非常重要。NetST防火墻的缺省的默認規則為拒絕,即沒有明確允許的一律禁止。也就是說,當數據包與規則表中的任何規則均不能匹配時,系統拒絕該數據包。在規則列表中,最一般的規則往往被列在最后,而最具體的規則通常被列在最前面。在列表中,每一個列在前面的規則都比列在后面的規則更加具體,而列表中列在后面的規則比列在前面的規則更加一般。按以上規則要求,規則放置的次序是非常關鍵的。同樣的規則以不同的次序放置,可能會完全改變防火墻產品的運行狀況。由于防火墻以順序方式檢查信息包,當防火墻接收到一個信息包時,它先與第一條規則相比較,然后才是第二條、第三條……當它發現一條匹配規則時,就停止檢查,并應用那條規則。如果信息包經過每一條規則而沒有發現匹配的,那么,默認的規則就將起作用,這個信息包便會被拒絕。 (2)增加過濾規則若欲增加過濾規則,使用下述命令: Add rule protocol src_ip dst_ip service/icmp_type interface_position action time log-prefix 該命令用于將過濾規則添加到過濾規則表的最后,命令參數包括協議、源IP地址、目的IP地址、服務類型、適用端口、規則的動作和規則處理時間段。所謂規則,是指對符合協議(protocol)、源IP地址(src_ip)、目的IP地址(dst_ip)、服務類型(service/icmp_type)、端口(interface_position)的所有數據執行某種操作(action),即接受、拒絕或進行內容過濾,該規則在特定的時間段(time)內生效。 protocol用于定義協議,可以為“any”(任何協議)、“tcp”(TCP協議)、“udp”(UDP協議)和“icmp”(ICMP)協議等。 src_ip和dst_ip用于指定源和目的IP地址。IP地址格式為點為十進制格式,如“xxx.xxx.xxx.xxx/xx”。如果目的IP是一個網絡,必須帶“/xx”掩碼,否則,將視為一臺主機。也可用“any”表示任何IP地址。 service/icmp_type用于指定服務類型,即協議為TCP或UDP時的端口,如http(80)、FTP(21)、telnet(23)、smtp(25)、pop3(110)等。既可使用名稱方式,也可使用數字方式,也可用“xx:xx”方式指定端口范圍,或使用“any”表示任意端口。 需要注意的是,在IP地址和服務類型前加“~”表示取反,即除此地址或服務之外的其他所有地址或服務。不過,“~”對“any”取反沒有意義。 interface_position用于指定端口,即通信發起方的數據包是從哪個端口進入防火墻的,表明了通信的方向性,只有此方向才能發起通信請求,而反過來則不行,這也是狀態檢測型防火墻的一個特征:只需定義通信發起方即可,對于返回的數據,防火墻會自動允許通過,具備很好的安全性。可分別用“internal”、“external”、“DMZ”和“admin”指定內部、外部、DMZ和管理端口。也可以使用“any”表示任意端口。 Action用于指定動作,即防火墻對符合過濾規則的數據庫采取的操作,可以是“drop”(丟棄)、“accept”(接受)和“content”(進行內容過濾)。 Time用于指定時間段,即規則在特定的時間段內生效,可以是“any”(任何時候)、“onduty”(工作時間)、“offduty”(非工作時間)。 log-prefix參數為可選,用于指定日志前綴,最多14個字符。如果設置,防火墻將把符合過濾規則的數據包的情況記錄到日志中,并加入此前綴。如不設置,將不作記錄。 例如,若欲禁止192.168.0.0網段的員工在工作時間使用QQ聊天,可以在防火墻中添加如下規則:admin@NetST> add ruleEnter protocol type: anyEnter src IP address (xxx.xxx.xxx.xxx[/xx]): 192.168.0.0/24Enter dst IP address (xxx.xxx.xxx.xxx[/xx]): anyEnter service/icmp type : 8000Enter interface position: internalEnter action type (drop -d, accept -a, content -c): dropEnter time (any –a, onduty –on, offduty –off): onEnter log prefix: drop-httpInsert rule success!若欲禁止“沖擊波”和“震蕩波”蠕蟲病毒入侵網絡,可以禁用相關端口:admin@NetST> add rule any any 134:139 any drop anyadmin@NetST> add rule any any 445 any drop anyadmin@NetST> add rule any any 9995:9996 any drop anyadmin@NetST> add rule any any 4444 any drop anyadmin@NetST> add rule any any 5554 any drop any可以使用下述命令:admin@NetST> add rule icmp any any any drop any (3)插入過濾規則若欲有現有規則中插入新的過濾規則,使用下述命令: insert rule numberprotocol src_ip dst_ip service/icmp_type interface_position action time log-prefix 在過濾規則表中指定位置插入過濾規則,與增加過濾規則命令不同之外在于增加了序號參數“number”,在此序號處插入規則,插入的過濾規則即成為第number條過濾規則,其他參數與增加過濾規則命令完全相同。 例如,若欲禁止192.168.0.0網段的員工在工作時間在線看大片,并將該規則設置為第3條,可以執行下述操作:admin@NetST> insert ruleEnter position: 3Enter protocol type: anyEnter src IP address (xxx.xxx.xxx.xxx[/xx]): 192.168.0.0/24Enter dst IP address (xxx.xxx.xxx.xxx[/xx]): anyEnter service/icmp type : 554Enter interface position: internalEnter action type (drop -d, accept -a, content -c): dropEnter time (any –a, onduty –on, offduty –off): onEnter log prefix: Insert rule success! (4)移動過濾規則順序若欲移動現有過濾規則的前后順序,可以使用下述命令: move rule number step 該命令用于指定的過濾規則在過濾規則表中進行移動,命令參數包括過濾規則的序號(number)和移動的步數(step),命令將過濾規則表的第number條過濾規則移動step位,step為正是后移,為負是前移,如果移動步數超過第一條規則或最后一條規則,就將規則設置為第一條或最后一條規則。 例如:若欲將規則3后移2位,那么,應當執行下述操作:admin@NetST> move ruleEnter rule number: 3Enter step: 2 Move rule success! (5)修改過濾規則若欲修改現有的過濾規則,可以使用下述命令: modify rule numberprotocol src_ip dst_ip service/icmp_type interface_position action time log-prefix 該命令用于修改在過濾規則表的指定位置處的過濾規則,與增加過濾規則命令不同之外在于,增加了序號參數number,修改此序號處的過濾規則,其他參數與增加過小規則命令完全相同,當有參數不變時,用“*”號代替,或在分段輸入時直接回車即可。對于日志前綴,如果直接回車表示無前綴,用“*”表示不變。 例如,若欲將第2條規則所限制的IP地址范圍由192.168.0.0網段,修改為192.168.10.0網段,并不再記錄日志,那么,操作如下:admin@NetST> modify ruleEnter rule number: 2Enter src IP address (xxx.xxx.xxx.xxx[/xx]): 192.168.10.0/24Enter dst IP address (xxx.xxx.xxx.xxx[/xx]): Enter service/icmp type : Enter interface position: Enter action type (drop -d, accept -a, content -c): Enter time (any –a, onduty –on, offduty –off): Enter log prefix: Insert rule success! (6)顯示過濾規則無論插入過濾規則也好,還是移動或修改過濾規則也罷,都需要事先確定過濾規則的位置。因此,顯示過濾規則就成為必需的操作步驟。若欲顯示過濾規則,執行下述命令: show rule number 該命令用于顯示過濾規則表,可選的命令參數是過濾規則號或規則范圍(用“-”分隔)。若指定過濾規則號,只顯示指定的過濾規則信息;若不指定,則顯示所有過濾規則的信息。例如,若欲顯示所有的過濾規則,則執行:admin@NetST> show rule 若欲顯示1-6號規則,則執行:admin@NetST> show rule 1-6 (7)啟用或禁用過濾規則若欲啟用過濾規則,執行下述命令: enable rule number 該命令用于使指定的過濾規則起作用,命令參數是過濾規則號,即使該過濾規則號指定的規則起作用。可在命令行一次指定多個相鄰(使用“-”分隔)或不相鄰(使用空格分隔)的規則。若分段輸入,則只能指定一個。 例如,若欲啟用過濾規則2-4和6,執行:admin@NetST> enable rule 2-4 6若欲禁用過濾規則,執行下述命令: disable rule number 該命令用于使指定的過濾規則不起作用,number參數的指定與上述相同。在使用“show rule”命令查看時,不起作用的規則前標記有“*”號。 (8)刪除過濾規則若欲刪除某條過濾規則,執行下述命令: delete rule number 該命令用于使指定的過濾規則不起作用,number參數的指定與上述相同。 例如,若欲刪除第3條過濾規則時,執行下述操作:admin@NetST> delete ruleEnter number: 3It will delete rule 3. Are you sure (y/n)? yDelete rule success!若欲刪除所有的過濾規則,執行下述命令:delall rule例如,若欲刪除所有的過濾規則,執行下述操作:admin@NetST> delall ruleEnter number: 3It will delete all rules. Are you sure (y/n)? yDelete all rules success!admin@NetST> show ruleError: No any rules! |
|
|
