防火墻的發(fā)展史第一代防火墻第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過濾(Packet filter)技術(shù)。下圖表示了防火墻技術(shù)的簡單發(fā)展歷史。第二、三代防火墻1989年，貝爾實(shí)驗(yàn)室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻應(yīng)用層防火墻(代理防火墻)的初步結(jié)構(gòu)。第四代防火墻1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動(dòng)態(tài)包過濾(Dynamic packet filter)技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻1998年，NAI公司推出了一種自適應(yīng)代理(Adaptive proxy)技術(shù)，并在其產(chǎn)品Gauntlet Firewall for NT中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。防火墻未來的技術(shù)發(fā)展趨勢 隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也有一些新的發(fā)展趨勢。這主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)。 1. 防火墻包過濾技術(shù)發(fā)展趨勢 （1）. 一些防火墻廠商把在AAA系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗(yàn)證的防火墻通常是采用應(yīng)用級網(wǎng)關(guān)技術(shù)的，包過濾技術(shù)的防火墻不具有。用戶身份驗(yàn)證功能越強(qiáng)，它的安全級別越高，但它給網(wǎng)絡(luò)通信帶來的負(fù)面影響也越大，因?yàn)橛脩羯矸蒡?yàn)證需要時(shí)間，特別是加密型的用戶身份驗(yàn)證。 （2）. 多級過濾技術(shù) 所謂多級過濾技術(shù)，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾（網(wǎng)絡(luò)層）一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān)（應(yīng)用層）一級，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所用通用服務(wù)。這是針對以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過濾技術(shù)的不足。 這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對應(yīng)于不同的網(wǎng)絡(luò)層，從這個(gè)概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。 （3）. 使防火墻具有病毒防護(hù)功能。現(xiàn)在通常被稱之為病毒防火墻，當(dāng)然目前主要還是在個(gè)人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问剑菀讓?shí)現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護(hù)功能的防火墻可以大大減少公司的損失。 2. 防火墻的體系結(jié)構(gòu)發(fā)展趨勢 隨著網(wǎng)絡(luò)應(yīng)用的增加，對網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。 與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性。基于ASIC的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時(shí)滿足來自靈活性和運(yùn)行性能的要求。 首信CF-2000 系列EP-600和CG-600高端千兆防火墻即采用了功能強(qiáng)大的可編程專有ASIC芯片作為專門的安全引擎，很好地兼顧了靈活性和性能的需要。它們可以以線速處理網(wǎng)絡(luò)流量，而且其性能不受連接數(shù)目、包大小以及采用何種策略的影響。該款防火墻支持QoS，所造成的延遲可以達(dá)到微秒量級，可以滿足各種交互式多媒體應(yīng)用的要求。浙大網(wǎng)新也在杭州正式發(fā)布三款基于ASIC芯片的網(wǎng)新易尚千兆系列網(wǎng)關(guān)防火墻,據(jù)稱,其ES4000防火墻速度達(dá)到4Gbps,3DES速度可達(dá)600Mbps。易尚系列千兆防火墻還采用了最新的安全網(wǎng)關(guān)概念,集成了防火墻、VPN、IDS、防病毒、內(nèi)容過濾和流量控制等多項(xiàng)功能。 3. 防火墻的系統(tǒng)管理發(fā)展趨勢 防火墻的系統(tǒng)管理也有一些發(fā)展趨勢，主要體現(xiàn)在以下幾個(gè)方面： （1）. 首先是集中式管理，分布式和分層的安全結(jié)構(gòu)是將來的趨勢。集中式管理可以降低管理成本，并保證在大型網(wǎng)絡(luò)中安全策略的一致性。快速響應(yīng)和快速防御也要求采用集中式管理系統(tǒng)。目前這種分布式防火墻早已在Cisco（思科）、3Com等大的網(wǎng)絡(luò)設(shè)備開發(fā)商中開發(fā)成功，也就是目前所稱的分布式防火墻和嵌入式防火墻。關(guān)于這一新技術(shù)在本篇下面將詳細(xì)介紹。 （2）. 強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能。這兩點(diǎn)的應(yīng)用可以更早地發(fā)現(xiàn)潛在的威脅并預(yù)防攻擊的發(fā)生。日志功能還可以管理員有效地發(fā)現(xiàn)系統(tǒng)中存的安全漏洞，及時(shí)地調(diào)整安全策略等各方面管理具有非常大的幫助。不過具有這種功能的防火墻通常是比較高級的，早期的靜態(tài)包過濾防火墻是不具有的。 （3）. 網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化 隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，現(xiàn)在有一種提法，叫做建立以防火墻為核心的網(wǎng)絡(luò)安全體系。因?yàn)槲覀冊诂F(xiàn)實(shí)中發(fā)現(xiàn)，僅現(xiàn)有的防火墻技術(shù)難以滿足當(dāng)前網(wǎng)絡(luò)安全需求。通過建立一個(gè)以防火墻為核心的安全體系，就可以為內(nèi)部網(wǎng)絡(luò)系統(tǒng)部署多道安全防線，各種安全技術(shù)各司其職，從各方面防御外來入侵。 如現(xiàn)在的IDS設(shè)備就能很好地與防火墻一起聯(lián)合。一般情況下，為了確保系統(tǒng)的通信性能不受安全設(shè)備的影響太大，IDS設(shè)備不能像防火墻一樣置于網(wǎng)絡(luò)入口處，只能置于旁路位置。而在實(shí)際使用中，IDS的任務(wù)往往不僅在于檢測，很多時(shí)候在IDS發(fā)現(xiàn)入侵行為以后，也需要IDS本身對入侵及時(shí)遏止。顯然，要讓處于旁路偵聽的IDS完成這個(gè)任務(wù)又太難為，同時(shí)主鏈路又不能串接太多類似設(shè)備。在這種情況下，如果防火墻能和IDS、病毒檢測等相關(guān)安全產(chǎn)品聯(lián)合起來，充分發(fā)揮各自的長處，協(xié)同配合，共同建立一個(gè)有效的安全防范體系，那么系統(tǒng)網(wǎng)絡(luò)的安全性就能得以明顯提升。 目前主要有兩種解決辦法：一種是直接把IDS、病毒檢測部分直接做到防火墻中，使防火墻具有IDS和病毒檢測設(shè)備的功能；另一種是各個(gè)產(chǎn)品分立，通過某種通訊方式形成一個(gè)整體，一旦發(fā)現(xiàn)安全事件，則立即通知防火墻，由防火墻完成過濾和報(bào)告。目前更看重后一種方案，因?yàn)樗鼘?shí)現(xiàn)方式較前一種容易許多。 一. 防火墻的基本配置原則默認(rèn)情況下，所有的防火墻都是按以下兩種情況配置的： 拒絕所有的流量，這需要在你的網(wǎng)絡(luò)中特殊指定能夠進(jìn)入和出去的流量的一些類型。 允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類型。可論證地，大多數(shù)防火墻默認(rèn)都是拒絕所有的流量作為安全選項(xiàng)。一旦你安裝防火墻后，你需要打開一些必要的端口來使防火墻內(nèi)的用戶在通過驗(yàn)證之后可以訪問系統(tǒng)。換句話說，如果你想讓你的員工們能夠發(fā)送和接收Email，你必須在防火墻上設(shè)置相應(yīng)的規(guī)則或開啟允許POP3和SMTP的進(jìn)程。在防火墻的配置中，我們首先要遵循的原則就是安全實(shí)用，從這個(gè)角度考慮，在防火墻的配置過程中需堅(jiān)持以下三個(gè)基本原則：（1）. 簡單實(shí)用：對防火墻環(huán)境設(shè)計(jì)來講，首要的就是越簡單越好。其實(shí)這也是任何事物的基本原則。越簡單的實(shí)現(xiàn)方式，越容易理解和使用。而且是設(shè)計(jì)越簡單，越不容易出錯(cuò)，防火墻的安全功能越容易得到保證，管理也越可靠和簡便。每種產(chǎn)品在開發(fā)前都會有其主要功能定位，比如防火墻產(chǎn)品的初衷就是實(shí)現(xiàn)網(wǎng)絡(luò)之間的安全控制，入侵檢測產(chǎn)品主要針對網(wǎng)絡(luò)非法行為進(jìn)行監(jiān)控。但是隨著技術(shù)的成熟和發(fā)展，這些產(chǎn)品在原來的主要功能之外或多或少地增加了一些增值功能，比如在防火墻上增加了查殺病毒、入侵檢測等功能，在入侵檢測上增加了病毒查殺功能。但是這些增值功能并不是所有應(yīng)用環(huán)境都需要，在配置時(shí)我們也可針對具體應(yīng)用環(huán)境進(jìn)行配置，不必要對每一功能都詳細(xì)配置，這樣一則會大大增強(qiáng)配置難度，同時(shí)還可能因各方面配置不協(xié)調(diào)，引起新的安全漏洞，得不償失。（2）. 全面深入：單一的防御措施是難以保障系統(tǒng)的安全的，只有采用全面的、多層次的深層防御戰(zhàn)略體系才能實(shí)現(xiàn)系統(tǒng)的真正安全。在防火墻配置中，我們不要停留在幾個(gè)表面的防火墻語句上，而應(yīng)系統(tǒng)地看等整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系，盡量使各方面的配置相互加強(qiáng)，從深層次上防護(hù)整個(gè)系統(tǒng)。這方面可以體現(xiàn)在兩個(gè)方面：一方面體現(xiàn)在防火墻系統(tǒng)的部署上，多層次的防火墻部署體系，即采用集互聯(lián)網(wǎng)邊界防火墻、部門邊界防火墻和主機(jī)防火墻于一體的層次防御；另一方面將入侵檢測、網(wǎng)絡(luò)加密、病毒查殺等多種安全措施結(jié)合在一起的多層安全體系。（3）. 內(nèi)外兼顧：防火墻的一個(gè)特點(diǎn)是防外不防內(nèi)，其實(shí)在現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境中，80%以上的威脅都來自內(nèi)部，所以我們要樹立防內(nèi)的觀念，從根本上改變過去那種防外不防內(nèi)的傳統(tǒng)觀念。對內(nèi)部威脅可以采取其它安全措施，比如入侵檢測、主機(jī)防護(hù)、漏洞掃描、病毒查殺。這方面體現(xiàn)在防火墻配置方面就是要引入全面防護(hù)的觀念，最好能部署與上述內(nèi)部防護(hù)手段一起聯(lián)動(dòng)的機(jī)制。目前來說，要做到這一點(diǎn)比較困難。二、防火墻的初始配置像路由器一樣，在使用之前，防火墻也需要經(jīng)過基本的初始配置。但因各種防火墻的初始配置基本類似，所以在此僅以Cisco PIX防火墻為例進(jìn)行介紹。防火墻的初始配置也是通過控制端口（Console）與PC機(jī)（通常是便于移動(dòng)的筆記本電腦）的串口連接，再通過Windows系統(tǒng)自帶的超級終端（HyperTerminal）程序進(jìn)行選項(xiàng)配置。防火墻的初始配置物理連接與前面介紹的交換機(jī)初始配置連接方法一樣，參見圖1所示。圖1防火墻除了以上所說的通過控制端口（Console）進(jìn)行初始配置外，也可以通過telnet和Tffp配置方式進(jìn)行高級配置，但Telnet配置方式都是在命令方式中配置，難度較大，而Tffp方式需要專用的Tffp服務(wù)器軟件，但配置界面比較友好。防火墻與路由器一樣也有四種用戶配置模式，即：普通模式（Unprivileged mode）、特權(quán)模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），進(jìn)入這四種用戶模式的命令也與路由器一樣：普通用戶模式無需特別命令，啟動(dòng)后即進(jìn)入；進(jìn)入特權(quán)用戶模式的命令為enable；進(jìn)入配置模式的命令為config terminal；而進(jìn)入端口模式的命令為interface ethernet（）。不過因?yàn)榉阑饓Φ亩丝跊]有路由器那么復(fù)雜，所以通常把端口模式歸為配置模式，統(tǒng)稱為全局配置模式。防火墻的具體配置步驟如下：1. 將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個(gè)空余串口上，參見圖1。2. 打開PIX防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機(jī)。? 3. 運(yùn)行筆記本電腦Windows系統(tǒng)中的超級終端（HyperTerminal）程序（通常在附件程序組中）。對超級終端的配置與交換機(jī)或路由器的配置一樣，參見本教程前面有關(guān)介紹。 4. 當(dāng)PIX防火墻進(jìn)入系統(tǒng)后即顯示pixfirewall的提示符，這就證明防火墻已啟動(dòng)成功，所進(jìn)入的是防火墻用戶模式。可以進(jìn)行進(jìn)一步的配置了。? 5. 輸入命令：enable,進(jìn)入特權(quán)用戶模式，此時(shí)系統(tǒng)提示為：pixfirewall#。? 6. 輸入命令： configure terminal,進(jìn)入全局配置模式，對系統(tǒng)進(jìn)行初始化設(shè)置。? ? （1）. 首先配置防火墻的網(wǎng)卡參數(shù)（以只有1個(gè)LAN和1個(gè)WAN接口的防火墻配置為例）? Interface ethernet0 auto? # 0號網(wǎng)卡系統(tǒng)自動(dòng)分配為WAN網(wǎng)卡，auto選項(xiàng)為系統(tǒng)自適應(yīng)網(wǎng)卡類型 Interface ethernet1 auto? （2）. 配置防火墻內(nèi)、外部網(wǎng)卡的IP地址? IP address inside ip_address netmask? # Inside代表內(nèi)部網(wǎng)卡 IP address outside ip_address netmask? # outside代表外部網(wǎng)卡（3）. 指定外部網(wǎng)卡的IP地址范圍：? global 1 ip_address-ip_address? （4）. 指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址? nat 1 ip_address netmask? （5）. 配置某些控制選項(xiàng)：? conduit global_ip port-port protocol foreign_ip netmask? 其中，global_ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指的是連接協(xié)議，比如：TCP、UDP等；foreign_ip：表示可訪問的global_ip外部IP地址；netmask：為可選項(xiàng)，代表要控制的子網(wǎng)掩碼。? 7. 配置保存：wr mem? 8. 退出當(dāng)前模式此命令為exit，可以任何用戶模式下執(zhí)行，執(zhí)行的方法也相當(dāng)簡單，只輸入命令本身即可。它與Quit命令一樣。下面三條語句表示了用戶從配置模式退到特權(quán)模式，再退到普通模式下的操作步驟。pixfirewall(config)# exit pixfirewall# exit pixfirewall9. 查看當(dāng)前用戶模式下的所有可用命令：show，在相應(yīng)用戶模式下鍵入這個(gè)命令后，即顯示出當(dāng)前所有可用的命令及簡單功能描述。10. 查看端口狀態(tài)：show interface，這個(gè)命令需在特權(quán)用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。 ? 11. 查看靜態(tài)地址映射:show static，這個(gè)命令也須在特權(quán)用戶模式下執(zhí)行，執(zhí)行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況。? 三、Cisco PIX防火墻的基本配置1. 同樣是用一條串行電纜從電腦的COM口連到Cisco PIX 525防火墻的console口；2. 開啟所連電腦和防火墻的電源，進(jìn)入Windows系統(tǒng)自帶的超級終端，通訊參數(shù)可按系統(tǒng)默然。進(jìn)入防火墻初始化配置，在其中主要設(shè)置有：Date(日期)、time(時(shí)間)、hostname(主機(jī)名稱)、inside ip address(內(nèi)部網(wǎng)卡IP地址)、domain(主域)等，完成后也就建立了一個(gè)初始化設(shè)置了。此時(shí)的提示符為：pix255。 3. 輸入enable命令，進(jìn)入Pix 525特權(quán)用戶模式,默然密碼為空。如果要修改此特權(quán)用戶模式密碼，則可用enable password命令，命令格式為：enable password password encrypted，這個(gè)密碼必須大于16位。Encrypted選項(xiàng)是確定所加密碼是否需要加密。4、 定義以太端口：先必須用enable命令進(jìn)入特權(quán)用戶模式，然后輸入configure terminal（可簡稱為config t）,進(jìn)入全局配置模式模式。具體配置 pix525enable Password: pix525#config t pix525 (config)#interface ethernet0 auto pix525 (config)#interface ethernet1 auto在默然情況下ethernet0是屬外部網(wǎng)卡outside, ethernet1是屬內(nèi)部網(wǎng)卡inside, inside在初始化配置成功的情況下已經(jīng)被激活生效了，但是outside必須命令配置激活。 5. clock配置時(shí)鐘，這也非常重要，這主要是為防火墻的日志記錄而資金積累的，如果日志記錄時(shí)間和日期都不準(zhǔn)確，也就無法正確分析記錄中的信息。這須在全局配置模式下進(jìn)行。時(shí)鐘設(shè)置命令格式有兩種，主要是日期格式不同，分別為：clock set hh:mm:ss month day month year和clock set hh:mm:ss day month year前一種格式為：小時(shí)：分鐘：秒 月 日 年；而后一種格式為：小時(shí)：分鐘：秒 日 月 年，主要在日、月份的前后順序不同。在時(shí)間上如果為0，可以為一位，如：21:0:0。6. 指定接口的安全級別 指定接口安全級別的命令為nameif，分別為內(nèi)、外部網(wǎng)絡(luò)接口指定一個(gè)適當(dāng)?shù)陌踩墑e。在此要注意，防火墻是用來保護(hù)內(nèi)部網(wǎng)絡(luò)的，外部網(wǎng)絡(luò)是通過外部接口對內(nèi)部網(wǎng)絡(luò)構(gòu)成威脅的，所以要從根本上保障內(nèi)部網(wǎng)絡(luò)的安全，需要對外部網(wǎng)絡(luò)接口指定較高的安全級別，而內(nèi)部網(wǎng)絡(luò)接口的安全級別稍低，這主要是因?yàn)閮?nèi)部網(wǎng)絡(luò)通信頻繁、可信度高。在Cisco PIX系列防火墻中，安全級別的定義是由security（）這個(gè)參數(shù)決定的，數(shù)字越小安全級別越高，所以security0是最高的，隨后通常是以10的倍數(shù)遞增，安全級別也相應(yīng)降低。如下例：pix525(config)#nameif ethernet0 outside security0? # outside是指外部接口 pix525(config)#nameif ethernet1 inside security100 # inside是指內(nèi)部接口7. 配置以太網(wǎng)接口IP地址 所用命令為：ip address，如要配置防火墻上的內(nèi)部網(wǎng)接口IP地址為： ；外部網(wǎng)接口IP地址為： 。 配置方法如下： pix525(config)#ip address inside pix525(config)#ip address outside 8. access-group這個(gè)命令是把訪問控制列表綁定在特定的接口上。須在配置模式下進(jìn)行配置。命令格式為：access-group acl_ID in interface interface_name，其中的acl_ID是指訪問控制列表名稱，interface_name為網(wǎng)絡(luò)接口名稱。如：access-group acl_out in interface outside，在外部網(wǎng)絡(luò)接口上綁定名稱為acl_out的訪問控制列表。 clear access-group：清除所有綁定的訪問控制綁定設(shè)置。 no access-group acl_ID in interface interface_name：清除指定的訪問控制綁定設(shè)置。 show access-group acl_ID in interface interface_name：顯示指定的訪問控制綁定設(shè)置。9配置訪問列表 所用配置命令為：access-list，合格格式比較復(fù)雜，如下：標(biāo)準(zhǔn)規(guī)則的創(chuàng)建命令：access-list normal | special listnumber1 permit | deny source-addr source-mask 擴(kuò)展規(guī)則的創(chuàng)建命令：access-list normal | special listnumber2 permit | deny protocol source-addr source-mask operator port1 port2 dest-addr dest-mask operator port1 port2 | icmp-type icmp-code log 它是防火墻的主要配置部分，上述格式中帶部分是可選項(xiàng)，listnumber參數(shù)是規(guī)則號，標(biāo)準(zhǔn)規(guī)則號（listnumber1）是199之間的整數(shù)，而擴(kuò)展規(guī)則號（listnumber2）是100199之間的整數(shù)。它主要是通過訪問權(quán)限permit和deny來指定的，網(wǎng)絡(luò)協(xié)議一般有IP|TCP|UDP|ICMP等等。如只允許訪問通過防火墻對主機(jī):54進(jìn)行www訪問，則可按以下配置：pix525(config)#access-list 100 permit 54 eq www 其中的100表示訪問規(guī)則號，根據(jù)當(dāng)前已配置的規(guī)則條數(shù)來確定，不能與原來規(guī)則的重復(fù)，也必須是正整數(shù)。關(guān)于這個(gè)命令還將在下面的高級配置命令中詳細(xì)介紹。10. 地址轉(zhuǎn)換（NAT） 防火墻的NAT配置與路由器的NAT配置基本一樣，首先也必須定義供NAT轉(zhuǎn)換的內(nèi)部IP地址組，接著定義內(nèi)部網(wǎng)段。 定義供NAT轉(zhuǎn)換的內(nèi)部地址組的命令是nat，它的格式為：nat (if_name) nat_id local_ip netmask max_conns em_limit，其中if_name為接口名；nat_id參數(shù)代表內(nèi)部地址組號；而local_ip為本地網(wǎng)絡(luò)地址；netmask為子網(wǎng)掩碼；max_conns為此接口上所允許的最大TCP連接數(shù)，默認(rèn)為0，表示不限制連接；em_limit為允許從此端口發(fā)出的連接數(shù)，默認(rèn)也為0，即不限制。如：nat (inside) 1 表示把所有網(wǎng)絡(luò)地址為，子網(wǎng)掩碼為的主機(jī)地址定義為1號NAT地址組。隨后再定義內(nèi)部地址轉(zhuǎn)換后可用的外部地址池，它所用的命令為global,基本命令格式為：global? (if_name) nat_id global_ip netmask max_conns em_limit ，各參數(shù)解釋同上。如：global (outside) 1 -4 netmask 將上述nat命令所定的內(nèi)部IP地址組轉(zhuǎn)換成4的外部地址池中的外部IP地址，其子網(wǎng)掩耳盜鈴碼為。11. Port Redirection with Statics這是靜態(tài)端口重定向命令。在Cisco PIX版本6.0以上，增加了端口重定向的功能，允許外部用戶通過一個(gè)特殊的IP地址/端口通過防火墻傳輸?shù)絻?nèi)部指定的內(nèi)部服務(wù)器。其中重定向后的地址可以是單一外部地址、共享的外部地址轉(zhuǎn)換端口（PAT），或者是共享的外部端口。這種功能也就是可以發(fā)布內(nèi)部WWW、FTP、Mail等服務(wù)器，這種方式并不是直接與內(nèi)部服務(wù)器連接，而是通過端口重定向連接的，所以可使內(nèi)部服務(wù)器很安全。 命令格式有兩種，分別適用于TCP/UDP通信和非TCP/UDP通信：(1). static(internal_if_name, external_if_name)local_ipnetmask mask max_conns emb_limitnorandomseq（2）. static (internal_if_name, external_if_name) global_port local_ip local_port netmask mask max_conns emb_limit norandomseq此命令中的以上各參數(shù)解釋如下：internal_if_name：內(nèi)部接口名稱；external_if_name：外部接口名稱；：選擇通信協(xié)議類型；：重定向后的外部IP地址或共享端口；local_ip：本地IP地址；netmask mask：本地子網(wǎng)掩碼；max_conns：允許的最大TCP連接數(shù)，默認(rèn)為0，即不限制；emb_limit：允許從此端口發(fā)起的連接數(shù)，默認(rèn)也為0，即不限制；norandomseq：不對數(shù)據(jù)包排序，此參數(shù)通常不用選。現(xiàn)在我們舉一個(gè)實(shí)例，實(shí)例要求如下外部用戶向9的主機(jī)發(fā)出Telnet請求時(shí)，重定向到。 外部用戶向9的主機(jī)發(fā)出FTP請求時(shí)，重定向到。 外部用戶向08的端口發(fā)出Telnet請求時(shí)，重定向到。 外部用戶向防火墻的外部地址16發(fā)出Telnet請求時(shí)，重定向到。 外部用戶向防火墻的外部地址16發(fā)出HTTP請求時(shí)，重定向到。 外部用戶向防火墻的外部地址08的8080端口發(fā)出HTTP請求時(shí)，重定向到的80號端口。以上重寫向過程要求如圖2所示，防火墻的內(nèi)部端口IP地址為，外部端口地址為16。圖2以上各項(xiàng)重定向要求對應(yīng)的配置語句如下：static (inside,outside) tcp 9 telnet telnet netmask 55 0 0 static (inside,outside) tcp 9 ftp ftp netmask 55 0 0 static (inside,outside) tcp 08 telnet telnet netmask 55 0 0 static (inside,outside) tcp interface telnet telnet netmask 55 0 0 static (inside,outside) tcp interface www ? www netmask 55 0 0 static (inside,outside) tcp 08 8080 www netmask 55 0 012. 顯示與保存結(jié)果 顯示結(jié)果所用命令為：show config；保存結(jié)果所用命令為：write memory。? 四、包過濾型防火墻的訪問控制表（ACL）配置除了以上介紹的基本配置外，在防火墻的安全策略中最重要還是對訪問控制列表（ACL）進(jìn)行配有關(guān)置。下面介紹一些用于此方面配置的基本命令。1. access-list：用于創(chuàng)建訪問規(guī)則這一訪問規(guī)則配置命令要在防火墻的全局配置模式中進(jìn)行。同一個(gè)序號的規(guī)則可以看作一類規(guī)則，同一個(gè)序號之間的規(guī)則按照一定的原則進(jìn)行排列和選擇，這個(gè)順序可以通過 show access-list 命令看到。在這個(gè)命令中，又有幾種命令格式，分別執(zhí)行不同的命令。（1）創(chuàng)建標(biāo)準(zhǔn)訪問列表 命令格式：access-list normal | special listnumber1 permit | deny source-addr source-mask （2）創(chuàng)建擴(kuò)展訪問列表 命令格式：access-list normal | special listnumber2 permit | deny protocol source-addr source-mask operator port1 port2 dest-addr dest-mask operator port1 port2 | icmp-type icmp-code log （3）刪除訪問列表 命令格式：no access-list normal | special all | listnumber subitem 上述命令參數(shù)說明如下： normal：指定規(guī)則加入普通時(shí)間段。 special：指定規(guī)則加入特殊時(shí)間段。 listnumber1：是1到99之間的一個(gè)數(shù)值，表示規(guī)則是標(biāo)準(zhǔn)訪問列表規(guī)則。 listnumber2：是100到199之間的一個(gè)數(shù)值，表示規(guī)則是擴(kuò)展訪問列表規(guī)則。 permit：表明允許滿足條件的報(bào)文通過。 deny：表明禁止?jié)M足條件的報(bào)文通過。 protocol：為協(xié)議類型，支持ICMP、TCP、UDP等，其它的協(xié)議也支持，此時(shí)沒有端口比較的概念；為IP時(shí)有特殊含義，代表所有的IP協(xié)議。 source-addr：為源IP地址。 source-mask：為源IP地址的子網(wǎng)掩碼，在標(biāo)準(zhǔn)訪問列表中是可選項(xiàng)，不輸入則代表通配位為。 dest-addr：為目的IP地址。 dest-mask：為目的地址的子網(wǎng)掩碼。 operator：端口操作符，在協(xié)議類型為TCP或UDP時(shí)支持端口比較，支持的比較操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符為range，則后面需要跟兩個(gè)端口。 port1 在協(xié)議類型為TCP或UDP時(shí)出現(xiàn)，可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或065535之間的一個(gè)數(shù)值。port2 在協(xié)議類型為TCP或UDP且操作類型為range時(shí)出現(xiàn)；可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或065535之間的一個(gè)數(shù)值。 icmp-type：在協(xié)議為ICMP時(shí)出現(xiàn)，代表ICMP報(bào)文類型；可以是關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如echo-reply）或者是0255之間的一個(gè)數(shù)值。 icmp-code：在協(xié)議為ICMP，且沒有選擇所設(shè)定的預(yù)設(shè)值時(shí)出現(xiàn)；代表ICMP碼，是0255之間的一個(gè)數(shù)值。 log：表示如果報(bào)文符合條件，需要做日志。 listnumber：為刪除的規(guī)則序號，是1199之間的一個(gè)數(shù)值。 subitem：指定刪除序號為listnumber的訪問列表中規(guī)則的序號。例如，現(xiàn)要在華為的一款防火墻上配置一個(gè)允許源地址為 網(wǎng)絡(luò)、目的地址為網(wǎng)絡(luò)的WWW訪問，但不允許使用FTP的訪問規(guī)則。相應(yīng)配置語句只需兩行即可，如下： Quidway (config)#access-list 100 permit tcp ? ? ? ? eq www Quidway (config)#access-list 100 deny tcp ? ? ? ? eq ftp 2. clear access-list counters：清除訪問列表規(guī)則的統(tǒng)計(jì)信息 命令格式：clear access-list counters listnumber 這一命令必須在特權(quán)用戶模式下進(jìn)行配置。listnumber 參數(shù)是用指定要清除統(tǒng)計(jì)信息的規(guī)則號，如不指定，則清除所有的規(guī)則的統(tǒng)計(jì)信息。 如要在華為的一款包過濾路由器上清除當(dāng)前所使用的規(guī)則號為100的訪問規(guī)則統(tǒng)計(jì)信息。訪問配置語句為： clear access-list counters 100 如有清除當(dāng)前所使用的所有規(guī)則的統(tǒng)計(jì)信息，則以上語句需改為：Quidway#clear access-list counters 3. ip access-group使用此命令將訪問規(guī)則應(yīng)用到相應(yīng)接口上。使用此命令的no形式來刪除相應(yīng)的設(shè)置，對應(yīng)格式為：? ip access-group listnumber in | out 此命令須在端口用戶模式下配置，進(jìn)入端口用戶模式的命令為：interface ethernet（），括號中為相應(yīng)的端口號，通常0為外部接口，而1為內(nèi)部接口。進(jìn)入后再用ip access-group 命令來配置訪問規(guī)則。listnumber參數(shù)為訪問規(guī)則號，是1199之間的一個(gè)數(shù)值（包括標(biāo)準(zhǔn)訪問規(guī)則和擴(kuò)展訪問規(guī)則兩類）；in 表示規(guī)則應(yīng)用于過濾從接口接收到的報(bào)文；而out表示規(guī)則用于過濾從接口轉(zhuǎn)發(fā)出去的報(bào)文。一個(gè)接口的一個(gè)方向上最多可以應(yīng)用20類不同的規(guī)則；這些規(guī)則之間按照規(guī)則序號的大小進(jìn)行排列，序號大的排在前面，也就是優(yōu)先級高。對報(bào)文進(jìn)行過濾時(shí)，將采用發(fā)現(xiàn)符合的規(guī)則即得出過濾結(jié)果的方法來加快過濾速度。所以，建議在配置規(guī)則時(shí)，盡量將對同一個(gè)網(wǎng)絡(luò)配置的規(guī)則放在同一個(gè)序號的訪問列表中；在同一個(gè)序號的訪問列表中，規(guī)則之間的排列和選擇順序可以用show access-list命令來查看。例如將規(guī)則100應(yīng)用于過濾從外部網(wǎng)絡(luò)接口上接收到的報(bào)文，配置語句為（同樣為在傾為包過濾路由器上）： ip access-group 100 in如果要?jiǎng)h除某個(gè)訪問控制表列綁定設(shè)置，則可用no ip access-group listnumber in | out 命令。4. show access-list 此配置命令用于顯示包過濾規(guī)則在接口上的應(yīng)用情況。命令格式為：show access-list all | listnumber | interface interface-name 這一命令須在特權(quán)用戶模式下進(jìn)行配置，其中all參數(shù)表示顯示所有規(guī)則的應(yīng)用情況，包括普通時(shí)間段內(nèi)及特殊時(shí)間段內(nèi)的規(guī)則；如果選擇listnumber參數(shù)，則僅需顯示指定規(guī)則號的過濾規(guī)則；interface 表示要顯示在指定接口上應(yīng)用的所有規(guī)則序號；interface-name參數(shù)為接口的名稱。 使用此命令來顯示所指定的規(guī)則，同時(shí)查看規(guī)則過濾報(bào)文的情況。每個(gè)規(guī)則都有一個(gè)相應(yīng)的計(jì)數(shù)器，如果用此規(guī)則過濾了一個(gè)報(bào)文，則計(jì)數(shù)器加1；通過對計(jì)數(shù)器的觀察可以看出所配置的規(guī)則中，哪些規(guī)則是比較有效，而哪些基本無效。例如，現(xiàn)在要顯示當(dāng)前所使用序號為100的規(guī)則的使用情況，可執(zhí)行Quidway#show access-list 100語句即可，隨即系統(tǒng)即顯示這條規(guī)則的使用情況，格式如下： Using normal packet-filtering access rules now. 100 deny icmp 55 any host-redirect (3 matches,252 bytes - rule 1) 100 permit icmp 55 any echo (no matches - rule 2) 100 deny udp any any eq rip (no matches - rule 3) 5. show firewall 此命令須在特權(quán)用戶模式下執(zhí)行，它顯示當(dāng)前防火墻狀態(tài)。命令格式非常簡單，也為：show firewall。這里所說的防火墻狀態(tài)，包括防火墻是否被啟用，啟用防火墻時(shí)是否采用了時(shí)間段包過濾及防火墻的一些統(tǒng)計(jì)信息。6. Telnet這是用于定義能過防火配置控制端口進(jìn)行遠(yuǎn)程登錄的有關(guān)參數(shù)選項(xiàng)，也須在全局配置用戶模式下進(jìn)行配置。命令格式為：telnet ip_address netmask if_name其中的ip_address參數(shù)是用來指定用于Telnet登錄的IP地址，netmask為子網(wǎng)掩碼，if_name用于指定用于Telnet登錄的接口，通常不用指定，則表示此IP地址適用于所有端口。如：telnet 如果要清除防火墻上某個(gè)端口的Telnet參數(shù)配置，則須用clear telnet命令，其格式為：clear telnet ip_address netmask if_name，其中各選項(xiàng)說明同上。它與另一個(gè)命令no telnet功能基本一樣，不過它是用來刪除某接口上的Telnet配置，命令格式為：no telnet ip_address netmask if_name。如果要顯示當(dāng)前所有的Telnet配置，則可用show telnet命令。返回防火墻新技術(shù)：狀態(tài)檢測技術(shù)傳統(tǒng)的包過濾防火墻通過檢測IP包頭的相關(guān)信息來決定數(shù)據(jù)流的通過還是拒絕，而近幾年才應(yīng)用的防火墻新技術(shù)-狀態(tài)檢測技術(shù)，采用的是一種基于連接的狀態(tài)檢測機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個(gè)連接狀態(tài)因素加以識別。這里動(dòng)態(tài)連接狀態(tài)表中的記錄可以是以前的通信信息，也可以是其他相關(guān)應(yīng)用程序的信息，因此，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性。先進(jìn)的狀態(tài)檢測防火墻讀取、分析和利用了全面的網(wǎng)絡(luò)通信信息和狀態(tài)，包括：應(yīng)用狀態(tài)：即其他相關(guān)應(yīng)用的信息。狀態(tài)檢測模塊能夠理解并學(xué)習(xí)各種協(xié)議和應(yīng)用，以支持各種最新的應(yīng)用，它比代理服務(wù)器支持的協(xié)議和應(yīng)用要多得多；并且，它能從應(yīng)用程序中收集狀態(tài)信息存入狀態(tài)表中，以供其他應(yīng)用或協(xié)議做檢測策略。例如，已經(jīng)通過防火墻認(rèn)證的用戶可以通過防火墻訪問其他授權(quán)的服務(wù)。通信信息：即所有7層協(xié)議的當(dāng)前信息。防火墻的檢測模塊位于操作系統(tǒng)的內(nèi)核，在網(wǎng)絡(luò)層之下，能在數(shù)據(jù)包到達(dá)網(wǎng)關(guān)操作系統(tǒng)之前對它們進(jìn)行分析。防火墻先在低協(xié)議層上檢查數(shù)據(jù)包是否滿足企業(yè)的安全策略，對于滿足的數(shù)據(jù)包，再從更高協(xié)議層上進(jìn)行分析。它驗(yàn)證數(shù)據(jù)的源地址、目的地址和端口號、協(xié)議類型、應(yīng)用信息等多層的標(biāo)志，因此具有更全面的安全性。操作信息：即在數(shù)據(jù)包中能執(zhí)行邏輯或數(shù)學(xué)運(yùn)算的信息。狀態(tài)監(jiān)測技術(shù)，采用強(qiáng)大的面向?qū)ο蟮姆椒ǎ谕ㄐ判畔ⅰ⑼ㄐ艩顟B(tài)、應(yīng)用狀態(tài)等多方面因素，利用靈活的表達(dá)式形式，結(jié)合安全規(guī)則、應(yīng)用識別知識、狀態(tài)關(guān)聯(lián)信息以及通信數(shù)據(jù)，構(gòu)造更復(fù)雜的、更靈活的、滿足用戶特定安全要求的策略規(guī)則。通信狀態(tài)：即以前的通信信息。對于簡單的包過濾防火墻，如果要允許FTP通過，就必須作出讓步而打開許多端口，這樣就降低了安全性。狀態(tài)檢測防火墻在狀態(tài)表中保存以前的通信信息，記錄從受保護(hù)網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包的狀態(tài)信息，例如FTP請求的服務(wù)器地址和端口、客戶端地址和為滿足此次FTP臨時(shí)打開的端口，然后，防火墻根據(jù)該表內(nèi)容對返回受保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行分析判斷，這樣，只有響應(yīng)受保護(hù)網(wǎng)絡(luò)請求的數(shù)據(jù)包才被放行。這里，對于UDP或者RPC等無連接的協(xié)議，檢測模塊可創(chuàng)建虛會話信息用來進(jìn)行跟蹤。配置iptables靜態(tài)防火墻1、初始化防火墻在shell提示符#下鍵入：iptables -Fiptables -Xiptables -Z利用iptables設(shè)置你自己的防火墻之前，首先要清除所有以前設(shè)置的規(guī)則。2、設(shè)置規(guī)則:2.1、設(shè)置默認(rèn)策略iptables -P INPUT DROP這一條命令將阻止所有從網(wǎng)絡(luò)進(jìn)入計(jì)算機(jī)的數(shù)據(jù)包丟棄（drop）。此時(shí)，如果你ping ，你就會發(fā)現(xiàn)屏幕一直停在那里，因?yàn)閜ing收不到任何應(yīng)答數(shù)據(jù)包。2.2、創(chuàng)建用戶自定義的鏈iptables -N MYINPUTiptables -N MYDROPLOG2.3 、添加規(guī)則iptables -A INPUT -j MYINPUT這條規(guī)則將所有進(jìn)入計(jì)算機(jī)的包轉(zhuǎn)發(fā)到自定義的鏈進(jìn)行過濾。iptables -A MYINPUT -p icmp -j ACCEPT此時(shí)再輸入命令 ping ，結(jié)果還會和剛才一樣嗎？如果要訪問www服務(wù)iptables -A MYINPUT -p tcp -sport 80 -j ACCEPT這條規(guī)則允許來自網(wǎng)絡(luò)并且源端口是80的數(shù)據(jù)進(jìn)入計(jì)算機(jī)。80端口正是www服務(wù)所使用的端口。現(xiàn)在可以看網(wǎng)頁了。但是，如果你在瀏覽器的地址中輸入，能看到網(wǎng)頁嗎？你得到的結(jié)果一定是：找不到主機(jī)。如果你再輸入00，你仍然能夠訪問baidu的網(wǎng)頁。為什么？因?yàn)槿绻L問，計(jì)算機(jī)需要先進(jìn)行域名解析獲取對應(yīng)的ip地址00才能正常訪問。我們還需要打開DNS。iptables -A MYINPUT -p udp -sport 53 -j ACCEPT這條規(guī)則接受所有UDP協(xié)議53端口的數(shù)據(jù)。53正是DNS服務(wù)所用的端口。此時(shí)測試一下，你能通過域名訪問www嗎？你能通過ip訪問www嗎？當(dāng)然，都可以！丟棄其他的所有網(wǎng)絡(luò)數(shù)據(jù)包iptables -A MYINPUT -j MYDROPLOGiptables -A MYDROPLOG -j DROP2.4、記錄日志iptables -I MYDROPLOG 1 -j LOG -log-prefix IPTABLES DROP LOGS: -log-level debug這樣所