1、實(shí)訓(xùn)六 防火墻安裝與應(yīng)用實(shí)訓(xùn)六：防火墻安裝與應(yīng)用實(shí)訓(xùn)目的掌握防火墻的類(lèi)型及其特點(diǎn)掌握常用防火墻的安裝掌握防火墻定義、功能熟悉防火墻的功能使用及配置實(shí)訓(xùn)六：防火墻安裝與應(yīng)用實(shí)訓(xùn)背景當(dāng)今，計(jì)算機(jī)網(wǎng)絡(luò)安全面臨著越來(lái)越多的威脅，對(duì)于這些安全問(wèn)題最基本的方法就是對(duì)來(lái)自外部的訪問(wèn)請(qǐng)求進(jìn)行限制。所以需要在我們的內(nèi)部系統(tǒng)與外部網(wǎng)絡(luò)之間建立一道屏障來(lái)進(jìn)行隔離控制，即非常有效的一種網(wǎng)絡(luò)安全手段防火墻技術(shù)。作為網(wǎng)絡(luò)用戶(hù)，安裝、配置防火墻是必須的安全防御手段。 實(shí)訓(xùn)六：防火墻安裝與應(yīng)用防火墻工作流程示意圖防火墻是指一種由計(jì)算機(jī)硬件和軟件組成的一個(gè)或一組系統(tǒng)，介于內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間，用于增強(qiáng)內(nèi)部網(wǎng)絡(luò)和In

2、ternet之間的訪問(wèn)控制。通過(guò)實(shí)施相應(yīng)的訪問(wèn)控制策略來(lái)控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為，以防止未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)【相關(guān)知識(shí)】1 防火墻概念實(shí)訓(xùn)六：防火墻安裝與應(yīng)用防火墻示意圖實(shí)訓(xùn)六：防火墻安裝與應(yīng)用一切未被允許的就是禁止。基于該準(zhǔn)則，防火墻封鎖所有信息流，然后對(duì)希望提供的服務(wù)逐項(xiàng)開(kāi)放。一切未被禁止的就是允許的。基于該準(zhǔn)則，防火墻轉(zhuǎn)發(fā)所有信息流，然后逐項(xiàng)屏蔽有害的服務(wù)。這種方法構(gòu)成了更為靈活的應(yīng)用環(huán)境，可為用戶(hù)提供更多的服務(wù)。防火墻安全策略設(shè)計(jì)準(zhǔn)則：實(shí)訓(xùn)六：防火墻安裝與應(yīng)用所有的網(wǎng)絡(luò)數(shù)據(jù)都必須經(jīng)過(guò)防火墻防火墻是安全策略的檢查站防火墻具有非常強(qiáng)的抗攻擊能力防火墻通

3、常作用于被保護(hù)區(qū)域的入口處，基于訪問(wèn)控制策略提供安全防護(hù)。典型的防火墻具有以下3個(gè)方面的基本特征：實(shí)訓(xùn)六：防火墻安裝與應(yīng)用過(guò)濾和管理。通過(guò)制定盡可能完整的安全策略，防火墻能夠?qū)M(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行過(guò)濾，只有符合策略的數(shù)據(jù)包才能通過(guò)，可以過(guò)濾掉不安全服務(wù)和非法用戶(hù)，禁止未授權(quán)的用戶(hù)訪問(wèn)受保護(hù)網(wǎng)絡(luò)。創(chuàng)建一阻塞點(diǎn)。防火墻在內(nèi)網(wǎng)和外網(wǎng)間建立一個(gè)檢查點(diǎn)，所有的流量都要通過(guò)這個(gè)檢查點(diǎn)。一旦這個(gè)檢查點(diǎn)被創(chuàng)建，防火墻就可以監(jiān)視、過(guò)濾和檢查所有進(jìn)出的數(shù)據(jù)流。2 防火墻功能實(shí)訓(xùn)六：防火墻安裝與應(yīng)用日志記錄和告警。防火墻能有效地記錄Internet上的活動(dòng)，同時(shí)也提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)信息，實(shí)現(xiàn)安全監(jiān)視和預(yù)警的

4、目的。創(chuàng)建一阻塞點(diǎn)。防火墻在內(nèi)網(wǎng)和外網(wǎng)間建立一個(gè)檢查點(diǎn)，所有的流量都要通過(guò)這個(gè)檢查點(diǎn)。一旦這個(gè)檢查點(diǎn)被創(chuàng)建，防火墻就可以監(jiān)視、過(guò)濾和檢查所有進(jìn)出的數(shù)據(jù)流。限制網(wǎng)絡(luò)暴露。防火墻可以對(duì)內(nèi)部網(wǎng)絡(luò)隔成一個(gè)個(gè)網(wǎng)段，可實(shí)現(xiàn)內(nèi)部重點(diǎn)網(wǎng)段的隔離實(shí)訓(xùn)六：防火墻安裝與應(yīng)用防止信息外泄。防火墻可以作為部署網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的地點(diǎn)，利用NAT技術(shù)，防火墻可以隱藏內(nèi)部網(wǎng)的結(jié)構(gòu)和內(nèi)部IP地址信息。同時(shí)，防火墻也可以阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，使一個(gè)主機(jī)內(nèi)部的IP地址和域名不會(huì)被外界了解，有效地降低了內(nèi)部信息的外泄程度，從而減小了可信任網(wǎng)絡(luò)被攻擊的可能性。支持虛擬局域網(wǎng)（VPN，Virtual Private Ne

5、twork）技術(shù)，通過(guò)集成VPN，能輕松實(shí)現(xiàn)敏感數(shù)據(jù)通過(guò)互聯(lián)網(wǎng)安全地傳輸。實(shí)訓(xùn)六：防火墻安裝與應(yīng)用1、包過(guò)濾技術(shù)原理在網(wǎng)絡(luò)層上依據(jù)系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯訪問(wèn)控制列表，對(duì)數(shù)據(jù)包進(jìn)行選擇，它根據(jù)數(shù)據(jù)包頭源地址、目的地址、端口號(hào)和協(xié)議類(lèi)型等信息，或它們的組合作為過(guò)濾參考，與用戶(hù)預(yù)定的訪問(wèn)控制列表進(jìn)行比較，確定是否允許通過(guò)。包過(guò)濾技術(shù)有兩個(gè)功能，即允許和阻止。只有滿足過(guò)濾條件的數(shù)據(jù)包才能轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。 3.1 包過(guò)濾防火墻技術(shù)實(shí)訓(xùn)六：防火墻安裝與應(yīng)用 3.1 包過(guò)濾防火墻技術(shù)包過(guò)濾防火墻示意圖規(guī)則定義實(shí)訓(xùn)六：防火墻安裝與應(yīng)用2、規(guī)則定義實(shí)例以SMTP處理為例來(lái)了解規(guī)則

6、的格式及定義。SMTP是一個(gè)基于TCP的服務(wù)，服務(wù)器使用端口25，客戶(hù)機(jī)使用任何大于1023的端口，如果防火墻允許電子郵件穿越網(wǎng)絡(luò)邊界，則可定義表6-1所示的規(guī)則。 3.1 包過(guò)濾防火墻技術(shù)實(shí)訓(xùn)六：防火墻安裝與應(yīng)用 3.1 包過(guò)濾防火墻技術(shù)序號(hào)傳輸方向協(xié)議類(lèi)型源IP地址源端口宿IP地址目標(biāo)端口控制操作1InTCP外部1023內(nèi)部25Allow2OutTCP內(nèi)部25外部1023Allow3OutTCP內(nèi)部1023外部25Allow4InTCP外部25內(nèi)部1023Allow5Both*Deny表6-1 SMTP規(guī)則表中的規(guī)則1、規(guī)則2允許內(nèi)部主機(jī)接受來(lái)自外部的郵件，規(guī)則3、規(guī)則4允許內(nèi)部主機(jī)向外部

7、發(fā)送郵件，規(guī)則5禁止使用其他端口的協(xié)議數(shù)據(jù)包通過(guò)。實(shí)訓(xùn)六：防火墻安裝與應(yīng)用3、包過(guò)濾技術(shù)特點(diǎn) 優(yōu)點(diǎn)：邏輯簡(jiǎn)單、價(jià)格便宜、網(wǎng)絡(luò)性能和透明性好。包過(guò)濾防火墻不用改動(dòng)客戶(hù)機(jī)和主機(jī)上的應(yīng)用程序，因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無(wú)關(guān)。 3.1 包過(guò)濾防火墻技術(shù)實(shí)訓(xùn)六：防火墻安裝與應(yīng)用 缺點(diǎn)1）過(guò)濾判別的依據(jù)只是網(wǎng)絡(luò)層和傳輸層的有限信息，因而各種安全要求不可能充分滿足;在許多過(guò)濾器中，過(guò)濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會(huì)受到很大地影響。 2）大多數(shù)過(guò)濾器中缺少審計(jì)和報(bào)警機(jī)制，它只能依據(jù)包頭信息，而不能對(duì)用戶(hù)身份進(jìn)行驗(yàn)證，很容易受到“地址欺騙型”攻擊。實(shí)訓(xùn)六：防火墻安裝與應(yīng)用1、代理防

8、火墻技術(shù)原理應(yīng)用代理型防火墻工作在應(yīng)用層，其特點(diǎn)是完全“隔離”了網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)（如E-mail、FTP、WWW、Telnet等）編制專(zhuān)門(mén)的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。即防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈接只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。 3.2 代理防火墻技術(shù)實(shí)訓(xùn)六：防火墻安裝與應(yīng)用代理通信的實(shí)現(xiàn)過(guò)程實(shí)訓(xùn)六：防火墻安裝與應(yīng)用2、代理防火墻類(lèi)型根據(jù)應(yīng)用的不同，代理主要有3種基本類(lèi)型： web代理 電路級(jí)網(wǎng)關(guān) 應(yīng)用級(jí)網(wǎng)關(guān)。 3.2 代理防火墻技術(shù)實(shí)訓(xùn)六：防火墻安裝與應(yīng)用（1

9、）web代理web代理服務(wù)的最大好處就是能提高訪問(wèn)Internet的速度，一旦一個(gè)web代理服務(wù)器配置了足夠的緩存，它就可以從這些緩存里對(duì)請(qǐng)求提供服務(wù)，而web代理客戶(hù)端則可以得到很快速的響應(yīng)。Web代理的第二個(gè)好處是web代理使客戶(hù)端無(wú)須直接連接internet，所以能夠最大限度地避免被攻擊。實(shí)訓(xùn)六：防火墻安裝與應(yīng)用（2）電路級(jí)網(wǎng)關(guān)電路層網(wǎng)關(guān)在網(wǎng)絡(luò)的傳輸層上實(shí)施訪問(wèn)控制策略，用來(lái)監(jiān)視受信任的客戶(hù)端或服務(wù)器與不受信任的主機(jī)間的TCP握手信息，在TCP握手過(guò)程中檢查雙方的SYN、ACK和序列數(shù)據(jù)是否合邏輯，以此來(lái)判斷該會(huì)話是否合法。電路級(jí)網(wǎng)關(guān)原理示意圖實(shí)訓(xùn)六：防火墻安裝與應(yīng)用電路級(jí)網(wǎng)關(guān)特點(diǎn)： 優(yōu)

10、點(diǎn)：電路級(jí)網(wǎng)關(guān)是在OSI模型中的會(huì)話層上來(lái)過(guò)濾數(shù)據(jù)包，比包過(guò)濾防火墻要高兩層。 提供網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），將公司內(nèi)部的IP地址映射到一個(gè)“安全”的IP地址，為管理員實(shí)現(xiàn)網(wǎng)絡(luò)安全提供了很大的靈活性。 缺點(diǎn)：不能區(qū)別包的“好”與“壞”、易受IP欺騙這類(lèi)的攻擊及實(shí)現(xiàn)復(fù)雜，部署應(yīng)用時(shí)要求終端用戶(hù)通過(guò)網(wǎng)關(guān)的認(rèn)證。實(shí)訓(xùn)六：防火墻安裝與應(yīng)用（3）應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用級(jí)網(wǎng)關(guān)是一種代理服務(wù)，應(yīng)用層代理服務(wù)器工作在網(wǎng)絡(luò)的應(yīng)用層，使用專(zhuān)用軟件轉(zhuǎn)發(fā)和過(guò)濾特定的應(yīng)用服務(wù)，防止在受信任服務(wù)器和客戶(hù)機(jī)與不受信任的主機(jī)間。應(yīng)用級(jí)網(wǎng)關(guān)能理解應(yīng)用層上的協(xié)議，能夠做較復(fù)雜的訪問(wèn)控制，在數(shù)據(jù)過(guò)濾的同時(shí)，也能對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和

11、統(tǒng)計(jì)等功能，并有很好的審計(jì)功能和嚴(yán)格的用戶(hù)認(rèn)證功能，故應(yīng)用級(jí)網(wǎng)關(guān)的安全性高。實(shí)訓(xùn)六：防火墻安裝與應(yīng)用（3）應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用級(jí)網(wǎng)關(guān)原理示意圖實(shí)訓(xùn)六：防火墻安裝與應(yīng)用狀態(tài)檢測(cè)防火墻采用了狀態(tài)檢測(cè)包過(guò)濾的技術(shù)，是傳統(tǒng)包過(guò)濾上的功能擴(kuò)展。狀態(tài)檢測(cè)防火墻在網(wǎng)絡(luò)層有一個(gè)檢查引擎截獲數(shù)據(jù)包并抽取與應(yīng)用層狀態(tài)有關(guān)的信息，監(jiān)視并維護(hù)每一個(gè)連接的狀態(tài)信息，并以此為依據(jù)決定對(duì)該連接是接受還是拒絕。狀態(tài)檢測(cè)防火墻具有效率高、安全性高、可伸縮和易擴(kuò)展、應(yīng)用范圍廣等優(yōu)勢(shì)。 3.3 狀態(tài)檢測(cè)防火墻技術(shù)實(shí)訓(xùn)六：防火墻安裝與應(yīng)用防火墻在網(wǎng)絡(luò)中的位置也是影響網(wǎng)絡(luò)安全性的關(guān)鍵因素，防火墻的安全拓?fù)湓O(shè)計(jì)是非常靈活的，下面介紹幾種常見(jiàn)的

12、部署方式。 1）雙宿主主機(jī)結(jié)構(gòu) 2）屏蔽主機(jī)結(jié)構(gòu) 3）屏蔽子網(wǎng)結(jié)構(gòu)4 防火墻部署實(shí)訓(xùn)六：防火墻安裝與應(yīng)用 雙宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙宿主的主機(jī)計(jì)算機(jī)而構(gòu)筑的，該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，它位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接處運(yùn)行應(yīng)用代理程序。雙宿主主機(jī)結(jié)構(gòu)防火墻系統(tǒng)內(nèi)部網(wǎng)絡(luò)能與雙宿主主機(jī)通信，同時(shí)防火墻外部的網(wǎng)絡(luò)也能與雙宿主主機(jī)通信，但是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間不能直接互相通信，而是由運(yùn)行于雙宿主主機(jī)的防火墻應(yīng)用程序完成。4.1 雙宿主主機(jī)結(jié)構(gòu)實(shí)訓(xùn)六：防火墻安裝與應(yīng)用4.1 雙宿主主機(jī)結(jié)構(gòu)雙宿主主機(jī)結(jié)構(gòu)防火墻系統(tǒng)實(shí)訓(xùn)六：防火墻安裝與應(yīng)用屏蔽主機(jī)結(jié)構(gòu)防火墻系統(tǒng)由包過(guò)濾路由器和堡壘主機(jī)構(gòu)成，包過(guò)濾路由

13、器位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，而堡壘主機(jī)位于內(nèi)部網(wǎng)絡(luò)與包過(guò)濾路由器之間。這種結(jié)構(gòu)體系中，主要的安全功能由包過(guò)濾路由器提供，堡壘主機(jī)主要提供面向應(yīng)用的服務(wù)，而且可以用來(lái)隱藏內(nèi)部網(wǎng)絡(luò)的配置。4.2 屏蔽主機(jī)結(jié)構(gòu)實(shí)訓(xùn)六：防火墻安裝與應(yīng)用4.2 屏蔽主機(jī)結(jié)構(gòu)屏蔽主機(jī)結(jié)構(gòu)防火墻體系堡壘主機(jī)運(yùn)行應(yīng)用代理服務(wù)程序，為內(nèi)部主機(jī)提供代理服務(wù)實(shí)訓(xùn)六：防火墻安裝與應(yīng)用屏蔽子網(wǎng)機(jī)構(gòu)防火墻體系在屏蔽主機(jī)結(jié)構(gòu)的基礎(chǔ)上，增加了一個(gè)周邊防御網(wǎng)段，即在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的獨(dú)立子網(wǎng)，進(jìn)一步隔離內(nèi)部與外部網(wǎng)絡(luò)，使內(nèi)、外網(wǎng)之間形成一條“隔離帶”，稱(chēng)為非軍事區(qū)DMZ。4.3 屏蔽子網(wǎng)結(jié)構(gòu)實(shí)訓(xùn)六：防火墻安裝與應(yīng)用4.3

14、 屏蔽子網(wǎng)結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)防火墻系統(tǒng)這種結(jié)構(gòu)主要優(yōu)勢(shì)就是攻擊者必須攻破3個(gè)單獨(dú)的設(shè)備外部包過(guò)濾路由器、DMZ中堡壘主機(jī)、內(nèi)部包過(guò)濾路由器，DMZ所受到的安全威脅不會(huì)影響到內(nèi)部網(wǎng)絡(luò)。實(shí)訓(xùn)六：防火墻安裝與應(yīng)用1）Cisco公司的PIX2）以色列Check Point Forewall-13）AXENT Raptor4）CyberGuard公司的CyberGuard Firewall5）NAI公司的Gauntlet防火墻6）中國(guó)的“天融信”、“天網(wǎng)”、“藍(lán)盾”等5 常見(jiàn)的防火墻1、啟動(dòng)天網(wǎng)防火墻安裝程序，進(jìn)入安裝界面，在歡迎界面中選中“我接受此協(xié)議”，；并單擊“下一步”按鈕；2、選擇安裝目錄，如圖6

15、-1所示，然后按提示一直單擊“下一步”按鈕，直到開(kāi)始安裝；【實(shí)訓(xùn)環(huán)節(jié)】1 天網(wǎng)防火墻安裝圖6-1 安裝目錄選擇3、在安裝即將完成時(shí)彈出天網(wǎng)防火墻設(shè)置向?qū)В瑔螕簟跋乱徊健卑粹o，設(shè)置安全級(jí)別（這里選擇中等級(jí)別），然后單擊“下一步”按鈕進(jìn)行局域網(wǎng)信息設(shè)置，選擇開(kāi)機(jī)自動(dòng)啟動(dòng)程序選項(xiàng)，并設(shè)置本機(jī)的IP地址，如圖6-2所示。重啟計(jì)算機(jī)后將自動(dòng)運(yùn)行天網(wǎng)防火墻軟件。【實(shí)訓(xùn)環(huán)節(jié)】1 天網(wǎng)防火墻安裝圖6-2 設(shè)置局域網(wǎng)信息1、應(yīng)用程序規(guī)則模塊 。如圖6-3【實(shí)訓(xùn)環(huán)節(jié)】2防火墻功能模塊使用圖6-3 程序應(yīng)用規(guī)則及設(shè)置2、 IP規(guī)則管理。還可以進(jìn)行增加規(guī)則、修改規(guī)則、導(dǎo)入規(guī)則、導(dǎo)出規(guī)則等操作， 如圖6-4。【實(shí)訓(xùn)環(huán)節(jié)】2防火墻功能模塊使用圖6-4 IP規(guī)則管理1、 禁止IE瀏覽器訪問(wèn)網(wǎng)絡(luò)。如圖6-5所示【實(shí)訓(xùn)環(huán)節(jié)】3增加規(guī)則圖6-5 禁止IE程序訪問(wèn)網(wǎng)絡(luò)設(shè)置2、 禁止訪問(wèn)FTP。如圖6-6所示【實(shí)訓(xùn)環(huán)節(jié)】3增加規(guī)則圖6-6 禁止訪問(wèn)FTP設(shè)置3、防范冰河木馬。如圖6-7所