防火墻的發展史第一代防火墻第一代防火墻技術幾乎與路由器同時出現，采用了包過濾(Packet filter)技術。下圖表示了防火墻技術的簡單發展歷史。第二、三代防火墻1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻應用層防火墻(代理防火墻)的初步結構。第四代防火墻1992年，USC信息科學院的BobBraden開發出了基于動態包過濾(Dynamic packet filter)技術的第四代防火墻，后來演變為目前所說的狀態監視(Stateful inspection)技術。1994年，以色列的CheckPoint公司開發出了第一個采用這種技術的商業化的產品。第五代防火墻1998年，NAI公司推出了一種自適應代理(Adaptive proxy)技術，并在其產品Gauntlet Firewall for NT中得以實現，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。防火墻未來的技術發展趨勢 隨著新的網絡攻擊的出現，防火墻技術也有一些新的發展趨勢。這主要可以從包過濾技術、防火墻體系結構和防火墻系統管理三方面來體現。 1. 防火墻包過濾技術發展趨勢 （1）. 一些防火墻廠商把在AAA系統上運用的用戶認證及其服務擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網絡應用中非常必要。具有用戶身份驗證的防火墻通常是采用應用級網關技術的，包過濾技術的防火墻不具有。用戶身份驗證功能越強，它的安全級別越高，但它給網絡通信帶來的負面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。 （2）. 多級過濾技術 所謂多級過濾技術，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾（網絡層）一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規則，過濾掉所有禁止出或/和入的協議和有害數據包如nuke包、圣誕樹包等；在應用網關（應用層）一級，能利用FTP、SMTP等各種網關，控制和監測Internet提供的所用通用服務。這是針對以上各種已有防火墻技術的不足而產生的一種綜合型過濾技術，它可以彌補以上各種單獨過濾技術的不足。 這種過濾技術在分層上非常清楚，每種過濾技術對應于不同的網絡層，從這個概念出發，又有很多內容可以擴展，為將來的防火墻技術發展打下基礎。 （3）. 使防火墻具有病毒防護功能。現在通常被稱之為病毒防火墻，當然目前主要還是在個人防火墻中體現，因為它是純軟件形式，更容易實現。這種防火墻技術可以有效地防止病毒在網絡中的傳播，比等待攻擊的發生更加積極。擁有病毒防護功能的防火墻可以大大減少公司的損失。 2. 防火墻的體系結構發展趨勢 隨著網絡應用的增加，對網絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數據。另外，在以后幾年里，多媒體應用將會越來越普遍，它要求數據穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發了基于ASIC的防火墻和基于網絡處理器的防火墻。從執行速度的角度看來，基于網絡處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數據層面任務的引擎，從而減輕了CPU的負擔，該類防火墻的性能要比傳統防火墻的性能好許多。 與基于ASIC的純硬件防火墻相比，基于網絡處理器的防火墻具有軟件色彩，因而更加具有靈活性。基于ASIC的防火墻使用專門的硬件處理網絡數據流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。 首信CF-2000 系列EP-600和CG-600高端千兆防火墻即采用了功能強大的可編程專有ASIC芯片作為專門的安全引擎，很好地兼顧了靈活性和性能的需要。它們可以以線速處理網絡流量，而且其性能不受連接數目、包大小以及采用何種策略的影響。該款防火墻支持QoS，所造成的延遲可以達到微秒量級，可以滿足各種交互式多媒體應用的要求。浙大網新也在杭州正式發布三款基于ASIC芯片的網新易尚千兆系列網關防火墻,據稱,其ES4000防火墻速度達到4Gbps,3DES速度可達600Mbps。易尚系列千兆防火墻還采用了最新的安全網關概念,集成了防火墻、VPN、IDS、防病毒、內容過濾和流量控制等多項功能。 3. 防火墻的系統管理發展趨勢 防火墻的系統管理也有一些發展趨勢，主要體現在以下幾個方面： （1）. 首先是集中式管理，分布式和分層的安全結構是將來的趨勢。集中式管理可以降低管理成本，并保證在大型網絡中安全策略的一致性。快速響應和快速防御也要求采用集中式管理系統。目前這種分布式防火墻早已在Cisco（思科）、3Com等大的網絡設備開發商中開發成功，也就是目前所稱的分布式防火墻和嵌入式防火墻。關于這一新技術在本篇下面將詳細介紹。 （2）. 強大的審計功能和自動日志分析功能。這兩點的應用可以更早地發現潛在的威脅并預防攻擊的發生。日志功能還可以管理員有效地發現系統中存的安全漏洞，及時地調整安全策略等各方面管理具有非常大的幫助。不過具有這種功能的防火墻通常是比較高級的，早期的靜態包過濾防火墻是不具有的。 （3）. 網絡安全產品的系統化 隨著網絡安全技術的發展，現在有一種提法，叫做建立以防火墻為核心的網絡安全體系。因為我們在現實中發現，僅現有的防火墻技術難以滿足當前網絡安全需求。通過建立一個以防火墻為核心的安全體系，就可以為內部網絡系統部署多道安全防線，各種安全技術各司其職，從各方面防御外來入侵。 如現在的IDS設備就能很好地與防火墻一起聯合。一般情況下，為了確保系統的通信性能不受安全設備的影響太大，IDS設備不能像防火墻一樣置于網絡入口處，只能置于旁路位置。而在實際使用中，IDS的任務往往不僅在于檢測，很多時候在IDS發現入侵行為以后，也需要IDS本身對入侵及時遏止。顯然，要讓處于旁路偵聽的IDS完成這個任務又太難為，同時主鏈路又不能串接太多類似設備。在這種情況下，如果防火墻能和IDS、病毒檢測等相關安全產品聯合起來，充分發揮各自的長處，協同配合，共同建立一個有效的安全防范體系，那么系統網絡的安全性就能得以明顯提升。 目前主要有兩種解決辦法：一種是直接把IDS、病毒檢測部分直接做到防火墻中，使防火墻具有IDS和病毒檢測設備的功能；另一種是各個產品分立，通過某種通訊方式形成一個整體，一旦發現安全事件，則立即通知防火墻，由防火墻完成過濾和報告。目前更看重后一種方案，因為它實現方式較前一種容易許多。 一. 防火墻的基本配置原則默認情況下，所有的防火墻都是按以下兩種情況配置的： 拒絕所有的流量，這需要在你的網絡中特殊指定能夠進入和出去的流量的一些類型。 允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類型。可論證地，大多數防火墻默認都是拒絕所有的流量作為安全選項。一旦你安裝防火墻后，你需要打開一些必要的端口來使防火墻內的用戶在通過驗證之后可以訪問系統。換句話說，如果你想讓你的員工們能夠發送和接收Email，你必須在防火墻上設置相應的規則或開啟允許POP3和SMTP的進程。在防火墻的配置中，我們首先要遵循的原則就是安全實用，從這個角度考慮，在防火墻的配置過程中需堅持以下三個基本原則：（1）. 簡單實用：對防火墻環境設計來講，首要的就是越簡單越好。其實這也是任何事物的基本原則。越簡單的實現方式，越容易理解和使用。而且是設計越簡單，越不容易出錯，防火墻的安全功能越容易得到保證，管理也越可靠和簡便。每種產品在開發前都會有其主要功能定位，比如防火墻產品的初衷就是實現網絡之間的安全控制，入侵檢測產品主要針對網絡非法行為進行監控。但是隨著技術的成熟和發展，這些產品在原來的主要功能之外或多或少地增加了一些增值功能，比如在防火墻上增加了查殺病毒、入侵檢測等功能，在入侵檢測上增加了病毒查殺功能。但是這些增值功能并不是所有應用環境都需要，在配置時我們也可針對具體應用環境進行配置，不必要對每一功能都詳細配置，這樣一則會大大增強配置難度，同時還可能因各方面配置不協調，引起新的安全漏洞，得不償失。（2）. 全面深入：單一的防御措施是難以保障系統的安全的，只有采用全面的、多層次的深層防御戰略體系才能實現系統的真正安全。在防火墻配置中，我們不要停留在幾個表面的防火墻語句上，而應系統地看等整個網絡的安全防護體系，盡量使各方面的配置相互加強，從深層次上防護整個系統。這方面可以體現在兩個方面：一方面體現在防火墻系統的部署上，多層次的防火墻部署體系，即采用集互聯網邊界防火墻、部門邊界防火墻和主機防火墻于一體的層次防御；另一方面將入侵檢測、網絡加密、病毒查殺等多種安全措施結合在一起的多層安全體系。（3）. 內外兼顧：防火墻的一個特點是防外不防內，其實在現實的網絡環境中，80%以上的威脅都來自內部，所以我們要樹立防內的觀念，從根本上改變過去那種防外不防內的傳統觀念。對內部威脅可以采取其它安全措施，比如入侵檢測、主機防護、漏洞掃描、病毒查殺。這方面體現在防火墻配置方面就是要引入全面防護的觀念，最好能部署與上述內部防護手段一起聯動的機制。目前來說，要做到這一點比較困難。二、防火墻的初始配置像路由器一樣，在使用之前，防火墻也需要經過基本的初始配置。但因各種防火墻的初始配置基本類似，所以在此僅以Cisco PIX防火墻為例進行介紹。防火墻的初始配置也是通過控制端口（Console）與PC機（通常是便于移動的筆記本電腦）的串口連接，再通過Windows系統自帶的超級終端（HyperTerminal）程序進行選項配置。防火墻的初始配置物理連接與前面介紹的交換機初始配置連接方法一樣，參見圖1所示。圖1防火墻除了以上所說的通過控制端口（Console）進行初始配置外，也可以通過telnet和Tffp配置方式進行高級配置，但Telnet配置方式都是在命令方式中配置，難度較大，而Tffp方式需要專用的Tffp服務器軟件，但配置界面比較友好。防火墻與路由器一樣也有四種用戶配置模式，即：普通模式（Unprivileged mode）、特權模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），進入這四種用戶模式的命令也與路由器一樣：普通用戶模式無需特別命令，啟動后即進入；進入特權用戶模式的命令為enable；進入配置模式的命令為config terminal；而進入端口模式的命令為interface ethernet（）。不過因為防火墻的端口沒有路由器那么復雜，所以通常把端口模式歸為配置模式，統稱為全局配置模式。防火墻的具體配置步驟如下：1. 將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個空余串口上，參見圖1。2. 打開PIX防火電源，讓系統加電初始化，然后開啟與防火墻連接的主機。? 3. 運行筆記本電腦Windows系統中的超級終端（HyperTerminal）程序（通常在附件程序組中）。對超級終端的配置與交換機或路由器的配置一樣，參見本教程前面有關介紹。 4. 當PIX防火墻進入系統后即顯示pixfirewall的提示符，這就證明防火墻已啟動成功，所進入的是防火墻用戶模式。可以進行進一步的配置了。? 5. 輸入命令：enable,進入特權用戶模式，此時系統提示為：pixfirewall#。? 6. 輸入命令： configure terminal,進入全局配置模式，對系統進行初始化設置。? ? （1）. 首先配置防火墻的網卡參數（以只有1個LAN和1個WAN接口的防火墻配置為例）? Interface ethernet0 auto? # 0號網卡系統自動分配為WAN網卡，auto選項為系統自適應網卡類型 Interface ethernet1 auto? （2）. 配置防火墻內、外部網卡的IP地址? IP address inside ip_address netmask? # Inside代表內部網卡 IP address outside ip_address netmask? # outside代表外部網卡（3）. 指定外部網卡的IP地址范圍：? global 1 ip_address-ip_address? （4）. 指定要進行轉換的內部地址? nat 1 ip_address netmask? （5）. 配置某些控制選項：? conduit global_ip port-port protocol foreign_ip netmask? 其中，global_ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指的是連接協議，比如：TCP、UDP等；foreign_ip：表示可訪問的global_ip外部IP地址；netmask：為可選項，代表要控制的子網掩碼。? 7. 配置保存：wr mem? 8. 退出當前模式此命令為exit，可以任何用戶模式下執行，執行的方法也相當簡單，只輸入命令本身即可。它與Quit命令一樣。下面三條語句表示了用戶從配置模式退到特權模式，再退到普通模式下的操作步驟。pixfirewall(config)# exit pixfirewall# exit pixfirewall9. 查看當前用戶模式下的所有可用命令：show，在相應用戶模式下鍵入這個命令后，即顯示出當前所有可用的命令及簡單功能描述。10. 查看端口狀態：show interface，這個命令需在特權用戶模式下執行，執行后即顯示出防火墻所有接口配置情況。 ? 11. 查看靜態地址映射:show static，這個命令也須在特權用戶模式下執行，執行后顯示防火墻的當前靜態地址映射情況。? 三、Cisco PIX防火墻的基本配置1. 同樣是用一條串行電纜從電腦的COM口連到Cisco PIX 525防火墻的console口；2. 開啟所連電腦和防火墻的電源，進入Windows系統自帶的超級終端，通訊參數可按系統默然。進入防火墻初始化配置，在其中主要設置有：Date(日期)、time(時間)、hostname(主機名稱)、inside ip address(內部網卡IP地址)、domain(主域)等，完成后也就建立了一個初始化設置了。此時的提示符為：pix255。 3. 輸入enable命令，進入Pix 525特權用戶模式,默然密碼為空。如果要修改此特權用戶模式密碼，則可用enable password命令，命令格式為：enable password password encrypted，這個密碼必須大于16位。Encrypted選項是確定所加密碼是否需要加密。4、 定義以太端口：先必須用enable命令進入特權用戶模式，然后輸入configure terminal（可簡稱為config t）,進入全局配置模式模式。具體配置 pix525enable Password: pix525#config t pix525 (config)#interface ethernet0 auto pix525 (config)#interface ethernet1 auto在默然情況下ethernet0是屬外部網卡outside, ethernet1是屬內部網卡inside, inside在初始化配置成功的情況下已經被激活生效了，但是outside必須命令配置激活。 5. clock配置時鐘，這也非常重要，這主要是為防火墻的日志記錄而資金積累的，如果日志記錄時間和日期都不準確，也就無法正確分析記錄中的信息。這須在全局配置模式下進行。時鐘設置命令格式有兩種，主要是日期格式不同，分別為：clock set hh:mm:ss month day month year和clock set hh:mm:ss day month year前一種格式為：小時：分鐘：秒 月 日 年；而后一種格式為：小時：分鐘：秒 日 月 年，主要在日、月份的前后順序不同。在時間上如果為0，可以為一位，如：21:0:0。6. 指定接口的安全級別 指定接口安全級別的命令為nameif，分別為內、外部網絡接口指定一個適當的安全級別。在此要注意，防火墻是用來保護內部網絡的，外部網絡是通過外部接口對內部網絡構成威脅的，所以要從根本上保障內部網絡的安全，需要對外部網絡接口指定較高的安全級別，而內部網絡接口的安全級別稍低，這主要是因為內部網絡通信頻繁、可信度高。在Cisco PIX系列防火墻中，安全級別的定義是由security（）這個參數決定的，數字越小安全級別越高，所以security0是最高的，隨后通常是以10的倍數遞增，安全級別也相應降低。如下例：pix525(config)#nameif ethernet0 outside security0? # outside是指外部接口 pix525(config)#nameif ethernet1 inside security100 # inside是指內部接口7. 配置以太網接口IP地址 所用命令為：ip address，如要配置防火墻上的內部網接口IP地址為： ；外部網接口IP地址為： 。 配置方法如下： pix525(config)#ip address inside pix525(config)#ip address outside 8. access-group這個命令是把訪問控制列表綁定在特定的接口上。須在配置模式下進行配置。命令格式為：access-group acl_ID in interface interface_name，其中的acl_ID是指訪問控制列表名稱，interface_name為網絡接口名稱。如：access-group acl_out in interface outside，在外部網絡接口上綁定名稱為acl_out的訪問控制列表。 clear access-group：清除所有綁定的訪問控制綁定設置。 no access-group acl_ID in interface interface_name：清除指定的訪問控制綁定設置。 show access-group acl_ID in interface interface_name：顯示指定的訪問控制綁定設置。9配置訪問列表 所用配置命令為：access-list，合格格式比較復雜，如下：標準規則的創建命令：access-list normal | special listnumber1 permit | deny source-addr source-mask 擴展規則的創建命令：access-list normal | special listnumber2 permit | deny protocol source-addr source-mask operator port1 port2 dest-addr dest-mask operator port1 port2 | icmp-type icmp-code log 它是防火墻的主要配置部分，上述格式中帶部分是可選項，listnumber參數是規則號，標準規則號（listnumber1）是199之間的整數，而擴展規則號（listnumber2）是100199之間的整數。它主要是通過訪問權限permit和deny來指定的，網絡協議一般有IP|TCP|UDP|ICMP等等。如只允許訪問通過防火墻對主機:54進行www訪問，則可按以下配置：pix525(config)#access-list 100 permit 54 eq www 其中的100表示訪問規則號，根據當前已配置的規則條數來確定，不能與原來規則的重復，也必須是正整數。關于這個命令還將在下面的高級配置命令中詳細介紹。10. 地址轉換（NAT） 防火墻的NAT配置與路由器的NAT配置基本一樣，首先也必須定義供NAT轉換的內部IP地址組，接著定義內部網段。 定義供NAT轉換的內部地址組的命令是nat，它的格式為：nat (if_name) nat_id local_ip netmask max_conns em_limit，其中if_name為接口名；nat_id參數代表內部地址組號；而local_ip為本地網絡地址；netmask為子網掩碼；max_conns為此接口上所允許的最大TCP連接數，默認為0，表示不限制連接；em_limit為允許從此端口發出的連接數，默認也為0，即不限制。如：nat (inside) 1 表示把所有網絡地址為，子網掩碼為的主機地址定義為1號NAT地址組。隨后再定義內部地址轉換后可用的外部地址池，它所用的命令為global,基本命令格式為：global? (if_name) nat_id global_ip netmask max_conns em_limit ，各參數解釋同上。如：global (outside) 1 -4 netmask 將上述nat命令所定的內部IP地址組轉換成4的外部地址池中的外部IP地址，其子網掩耳盜鈴碼為。11. Port Redirection with Statics這是靜態端口重定向命令。在Cisco PIX版本6.0以上，增加了端口重定向的功能，允許外部用戶通過一個特殊的IP地址/端口通過防火墻傳輸到內部指定的內部服務器。其中重定向后的地址可以是單一外部地址、共享的外部地址轉換端口（PAT），或者是共享的外部端口。這種功能也就是可以發布內部WWW、FTP、Mail等服務器，這種方式并不是直接與內部服務器連接，而是通過端口重定向連接的，所以可使內部服務器很安全。 命令格式有兩種，分別適用于TCP/UDP通信和非TCP/UDP通信：(1). static(internal_if_name, external_if_name)local_ipnetmask mask max_conns emb_limitnorandomseq（2）. static (internal_if_name, external_if_name) global_port local_ip local_port netmask mask max_conns emb_limit norandomseq此命令中的以上各參數解釋如下：internal_if_name：內部接口名稱；external_if_name：外部接口名稱；：選擇通信協議類型；：重定向后的外部IP地址或共享端口；local_ip：本地IP地址；netmask mask：本地子網掩碼；max_conns：允許的最大TCP連接數，默認為0，即不限制；emb_limit：允許從此端口發起的連接數，默認也為0，即不限制；norandomseq：不對數據包排序，此參數通常不用選。現在我們舉一個實例，實例要求如下外部用戶向9的主機發出Telnet請求時，重定向到。 外部用戶向9的主機發出FTP請求時，重定向到。 外部用戶向08的端口發出Telnet請求時，重定向到。 外部用戶向防火墻的外部地址16發出Telnet請求時，重定向到。 外部用戶向防火墻的外部地址16發出HTTP請求時，重定向到。 外部用戶向防火墻的外部地址08的8080端口發出HTTP請求時，重定向到的80號端口。以上重寫向過程要求如圖2所示，防火墻的內部端口IP地址為，外部端口地址為16。圖2以上各項重定向要求對應的配置語句如下：static (inside,outside) tcp 9 telnet telnet netmask 55 0 0 static (inside,outside) tcp 9 ftp ftp netmask 55 0 0 static (inside,outside) tcp 08 telnet telnet netmask 55 0 0 static (inside,outside) tcp interface telnet telnet netmask 55 0 0 static (inside,outside) tcp interface www ? www netmask 55 0 0 static (inside,outside) tcp 08 8080 www netmask 55 0 012. 顯示與保存結果 顯示結果所用命令為：show config；保存結果所用命令為：write memory。? 四、包過濾型防火墻的訪問控制表（ACL）配置除了以上介紹的基本配置外，在防火墻的安全策略中最重要還是對訪問控制列表（ACL）進行配有關置。下面介紹一些用于此方面配置的基本命令。1. access-list：用于創建訪問規則這一訪問規則配置命令要在防火墻的全局配置模式中進行。同一個序號的規則可以看作一類規則，同一個序號之間的規則按照一定的原則進行排列和選擇，這個順序可以通過 show access-list 命令看到。在這個命令中，又有幾種命令格式，分別執行不同的命令。（1）創建標準訪問列表 命令格式：access-list normal | special listnumber1 permit | deny source-addr source-mask （2）創建擴展訪問列表 命令格式：access-list normal | special listnumber2 permit | deny protocol source-addr source-mask operator port1 port2 dest-addr dest-mask operator port1 port2 | icmp-type icmp-code log （3）刪除訪問列表 命令格式：no access-list normal | special all | listnumber subitem 上述命令參數說明如下： normal：指定規則加入普通時間段。 special：指定規則加入特殊時間段。 listnumber1：是1到99之間的一個數值，表示規則是標準訪問列表規則。 listnumber2：是100到199之間的一個數值，表示規則是擴展訪問列表規則。 permit：表明允許滿足條件的報文通過。 deny：表明禁止滿足條件的報文通過。 protocol：為協議類型，支持ICMP、TCP、UDP等，其它的協議也支持，此時沒有端口比較的概念；為IP時有特殊含義，代表所有的IP協議。 source-addr：為源IP地址。 source-mask：為源IP地址的子網掩碼，在標準訪問列表中是可選項，不輸入則代表通配位為。 dest-addr：為目的IP地址。 dest-mask：為目的地址的子網掩碼。 operator：端口操作符，在協議類型為TCP或UDP時支持端口比較，支持的比較操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符為range，則后面需要跟兩個端口。 port1 在協議類型為TCP或UDP時出現，可以為關鍵字所設定的預設值（如telnet）或065535之間的一個數值。port2 在協議類型為TCP或UDP且操作類型為range時出現；可以為關鍵字所設定的預設值（如telnet）或065535之間的一個數值。 icmp-type：在協議為ICMP時出現，代表ICMP報文類型；可以是關鍵字所設定的預設值（如echo-reply）或者是0255之間的一個數值。 icmp-code：在協議為ICMP，且沒有選擇所設定的預設值時出現；代表ICMP碼，是0255之間的一個數值。 log：表示如果報文符合條件，需要做日志。 listnumber：為刪除的規則序號，是1199之間的一個數值。 subitem：指定刪除序號為listnumber的訪問列表中規則的序號。例如，現要在華為的一款防火墻上配置一個允許源地址為 網絡、目的地址為網絡的WWW訪問，但不允許使用FTP的訪問規則。相應配置語句只需兩行即可，如下： Quidway (config)#access-list 100 permit tcp ? ? ? ? eq www Quidway (config)#access-list 100 deny tcp ? ? ? ? eq ftp 2. clear access-list counters：清除訪問列表規則的統計信息 命令格式：clear access-list counters listnumber 這一命令必須在特權用戶模式下進行配置。listnumber 參數是用指定要清除統計信息的規則號，如不指定，則清除所有的規則的統計信息。 如要在華為的一款包過濾路由器上清除當前所使用的規則號為100的訪問規則統計信息。訪問配置語句為： clear access-list counters 100 如有清除當前所使用的所有規則的統計信息，則以上語句需改為：Quidway#clear access-list counters 3. ip access-group使用此命令將訪問規則應用到相應接口上。使用此命令的no形式來刪除相應的設置，對應格式為：? ip access-group listnumber in | out 此命令須在端口用戶模式下配置，進入端口用戶模式的命令為：interface ethernet（），括號中為相應的端口號，通常0為外部接口，而1為內部接口。進入后再用ip access-group 命令來配置訪問規則。listnumber參數為訪問規則號，是1199之間的一個數值（包括標準訪問規則和擴展訪問規則兩類）；in 表示規則應用于過濾從接口接收到的報文；而out表示規則用于過濾從接口轉發出去的報文。一個接口的一個方向上最多可以應用20類不同的規則；這些規則之間按照規則序號的大小進行排列，序號大的排在前面，也就是優先級高。對報文進行過濾時，將采用發現符合的規則即得出過濾結果的方法來加快過濾速度。所以，建議在配置規則時，盡量將對同一個網絡配置的規則放在同一個序號的訪問列表中；在同一個序號的訪問列表中，規則之間的排列和選擇順序可以用show access-list命令來查看。例如將規則100應用于過濾從外部網絡接口上接收到的報文，配置語句為（同樣為在傾為包過濾路由器上）： ip access-group 100 in如果要刪除某個訪問控制表列綁定設置，則可用no ip access-group listnumber in | out 命令。4. show access-list 此配置命令用于顯示包過濾規則在接口上的應用情況。命令格式為：show access-list all | listnumber | interface interface-name 這一命令須在特權用戶模式下進行配置，其中all參數表示顯示所有規則的應用情況，包括普通時間段內及特殊時間段內的規則；如果選擇listnumber參數，則僅需顯示指定規則號的過濾規則；interface 表示要顯示在指定接口上應用的所有規則序號；interface-name參數為接口的名稱。 使用此命令來顯示所指定的規則，同時查看規則過濾報文的情況。每個規則都有一個相應的計數器，如果用此規則過濾了一個報文，則計數器加1；通過對計數器的觀察可以看出所配置的規則中，哪些規則是比較有效，而哪些基本無效。例如，現在要顯示當前所使用序號為100的規則的使用情況，可執行Quidway#show access-list 100語句即可，隨即系統即顯示這條規則的使用情況，格式如下： Using normal packet-filtering access rules now. 100 deny icmp 55 any host-redirect (3 matches,252 bytes - rule 1) 100 permit icmp 55 any echo (no matches - rule 2) 100 deny udp any any eq rip (no matches - rule 3) 5. show firewall 此命令須在特權用戶模式下執行，它顯示當前防火墻狀態。命令格式非常簡單，也為：show firewall。這里所說的防火墻狀態，包括防火墻是否被啟用，啟用防火墻時是否采用了時間段包過濾及防火墻的一些統計信息。6. Telnet這是用于定義能過防火配置控制端口進行遠程登錄的有關參數選項，也須在全局配置用戶模式下進行配置。命令格式為：telnet ip_address netmask if_name其中的ip_address參數是用來指定用于Telnet登錄的IP地址，netmask為子網掩碼，if_name用于指定用于Telnet登錄的接口，通常不用指定，則表示此IP地址適用于所有端口。如：telnet 如果要清除防火墻上某個端口的Telnet參數配置，則須用clear telnet命令，其格式為：clear telnet ip_address netmask if_name，其中各選項說明同上。它與另一個命令no telnet功能基本一樣，不過它是用來刪除某接口上的Telnet配置，命令格式為：no telnet ip_address netmask if_name。如果要顯示當前所有的Telnet配置，則可用show telnet命令。返回防火墻新技術：狀態檢測技術傳統的包過濾防火墻通過檢測IP包頭的相關信息來決定數據流的通過還是拒絕，而近幾年才應用的防火墻新技術-狀態檢測技術，采用的是一種基于連接的狀態檢測機制，將屬于同一連接的所有包作為一個整體的數據流看待，構成連接狀態表，通過規則表與狀態表的共同配合，對表中的各個連接狀態因素加以識別。這里動態連接狀態表中的記錄可以是以前的通信信息，也可以是其他相關應用程序的信息，因此，與傳統包過濾防火墻的靜態過濾規則表相比，它具有更好的靈活性和安全性。先進的狀態檢測防火墻讀取、分析和利用了全面的網絡通信信息和狀態，包括：應用狀態：即其他相關應用的信息。狀態檢測模塊能夠理解并學習各種協議和應用，以支持各種最新的應用，它比代理服務器支持的協議和應用要多得多；并且，它能從應用程序中收集狀態信息存入狀態表中，以供其他應用或協議做檢測策略。例如，已經通過防火墻認證的用戶可以通過防火墻訪問其他授權的服務。通信信息：即所有7層協議的當前信息。防火墻的檢測模塊位于操作系統的內核，在網絡層之下，能在數據包到達網關操作系統之前對它們進行分析。防火墻先在低協議層上檢查數據包是否滿足企業的安全策略，對于滿足的數據包，再從更高協議層上進行分析。它驗證數據的源地址、目的地址和端口號、協議類型、應用信息等多層的標志，因此具有更全面的安全性。操作信息：即在數據包中能執行邏輯或數學運算的信息。狀態監測技術，采用強大的面向對象的方法，基于通信信息、通信狀態、應用狀態等多方面因素，利用靈活的表達式形式，結合安全規則、應用識別知識、狀態關聯信息以及通信數據，構造更復雜的、更靈活的、滿足用戶特定安全要求的策略規則。通信狀態：即以前的通信信息。對于簡單的包過濾防火墻，如果要允許FTP通過，就必須作出讓步而打開許多端口，這樣就降低了安全性。狀態檢測防火墻在狀態表中保存以前的通信信息，記錄從受保護網絡發出的數據包的狀態信息，例如FTP請求的服務器地址和端口、客戶端地址和為滿足此次FTP臨時打開的端口，然后，防火墻根據該表內容對返回受保護網絡的數據包進行分析判斷，這樣，只有響應受保護網絡請求的數據包才被放行。這里，對于UDP或者RPC等無連接的協議，檢測模塊可創建虛會話信息用來進行跟蹤。配置iptables靜態防火墻1、初始化防火墻在shell提示符#下鍵入：iptables -Fiptables -Xiptables -Z利用iptables設置你自己的防火墻之前，首先要清除所有以前設置的規則。2、設置規則:2.1、設置默認策略iptables -P INPUT DROP這一條命令將阻止所有從網絡進入計算機的數據包丟棄（drop）。此時，如果你ping ，你就會發現屏幕一直停在那里，因為ping收不到任何應答數據包。2.2、創建用戶自定義的鏈iptables -N MYINPUTiptables -N MYDROPLOG2.3 、添加規則iptables -A INPUT -j MYINPUT這條規則將所有進入計算機的包轉發到自定義的鏈進行過濾。iptables -A MYINPUT -p icmp -j ACCEPT此時再輸入命令 ping ，結果還會和剛才一樣嗎？如果要訪問www服務iptables -A MYINPUT -p tcp -sport 80 -j ACCEPT這條規則允許來自網絡并且源端口是80的數據進入計算機。80端口正是www服務所使用的端口。現在可以看網頁了。但是，如果你在瀏覽器的地址中輸入，能看到網頁嗎？你得到的結果一定是：找不到主機。如果你再輸入00，你仍然能夠訪問baidu的網頁。為什么？因為如果訪問，計算機需要先進行域名解析獲取對應的ip地址00才能正常訪問。我們還需要打開DNS。iptables -A MYINPUT -p udp -sport 53 -j ACCEPT這條規則接受所有UDP協議53端口的數據。53正是DNS服務所用的端口。此時測試一下，你能通過域名訪問www嗎？你能通過ip訪問www嗎？當然，都可以！丟棄其他的所有網絡數據包iptables -A MYINPUT -j MYDROPLOGiptables -A MYDROPLOG -j DROP2.4、記錄日志iptables -I MYDROPLOG 1 -j LOG -log-prefix IPTABLES DROP LOGS: -log-level debug這樣所