個人認識防火墻分軟件防火墻與硬件防火墻。
就軟件防火墻而言又分網(wǎng)絡防火墻與病毒防火墻����,
這之中還有手機防火墻。我們常用到的軟件防火墻品牌包括瑞星���,冰盾等�。
就硬件防火墻我這里就引用點現(xiàn)成的東西�����,以便說明硬件防火墻在網(wǎng)絡中的使用��������!
首先為什么要研究安全?
什么是“計算機安全”����?廣義地講�����,安全是指防止其他人利用�����、借助你的計算機或外圍設備���,做你不希望他們做的任何事情��。首要問題是:“我們力圖保護的是些什么資源�?”答案并不是明確的.通常��,對這個問題的答案是采取必要的主機專用措施��。圖5描述了目前的網(wǎng)絡現(xiàn)壯�。
圖5
許多人都抱怨Windows漏洞太多����,有的人甚至為這一個又一個的漏洞煩惱。為此��,本文簡要的向您介紹怎樣才能架起網(wǎng)絡安全防線�。
禁用沒用的服務
Windows提供了許許多多的服務�,其實有許多我們是根本也用不上的���;蛟S你還不知道����,有些服務正為居心叵測的人開啟后門。
Windows還有許多服務��,在此不做過多地介紹����。大家可以根據(jù)自己實際情況禁止某些服務。禁用不必要的服務�����,除了可以減少安全隱患��,還可以增加Windows運行速度�����,何樂而不為呢��?
打補丁
Microsoft公司時不時就會在網(wǎng)上免費提供一些補丁�����,有時間可以去打打補丁���。除了可以增強兼容性外��,更重要的是堵上已發(fā)現(xiàn)的安全漏洞�����。建議有能力的朋友可以根據(jù)自己的實際情況根據(jù)情況打適合自己補丁��������!
防火墻
選擇一款徹底隔離病毒的辦法,物理隔離Fortigate能夠預防十多種黑客攻擊,分布式服務拒絕攻擊DDOS(DistributedDenial-Of-Serviceattacks)※SYNAttack※ICMPFlood※UDPFloodIP碎片攻擊(IPFragmentationattacks)※PingofDeathattack※TearDropattack※Landattack端口掃描攻擊(PortScanAttacks)IP源路由攻擊(IPSourceAttacks)IPSpoofingAttacksAddressSweepAttacksWinNukeAttacks您可以配置Fortigate在受到攻擊時發(fā)送警告郵件給管理員����,最多可以指定3個郵件接受人����!
防火墻的根本手段是隔離.安裝防火墻后必須對其進行必要的設置和時刻日志跟蹤。這樣才能發(fā)揮其最大的威力������!
而我們這里主要講述防火墻概念以及與訪問控制列表的聯(lián)系�。這里我綜合了網(wǎng)上有關(guān)防火墻�,訪問控制表的定義���!
防火墻概念
防火墻包含著一對矛盾(或稱機制):
一方面它限制數(shù)據(jù)流通�����,另一方面它又允許數(shù)據(jù)流通�。
由于網(wǎng)絡的管理機制及安全策略(securitypolicy)不同�,因此這對矛盾呈現(xiàn)出不同的表現(xiàn)形式�!
存在兩種極端的情形:
第一種是除了非允許不可的都被禁止,第二種是除了非禁止不可都被允許����。
第一種的特點是安全但不好用,第二種是好用但不安全���,而多數(shù)防火墻都在兩者之間采取折衷���。
在確保防火墻安全或比較安全前提下提高訪問效率是當前防火墻技術(shù)研究和實現(xiàn)的熱點�����。
保護脆弱的服務
通過過濾不安全的服務����,F(xiàn)irewall可以極大地提高網(wǎng)絡安全和減少子網(wǎng)中主機的風險。例如��,F(xiàn)irewall可以禁止NIS�、NFS服務通過,F(xiàn)irewall同時可以拒絕源路由和ICMP重定向封包��。
控制對系統(tǒng)的訪問
Firewall可以提供對系統(tǒng)的訪問控制��。如允許從外部訪問某些主機�,同時禁止訪問另外的主機。
集中的安全管理
Firewall對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理���,在Firewall定義的安全規(guī)則可以運行于整個內(nèi)部網(wǎng)絡系統(tǒng)�����,而無須在內(nèi)部網(wǎng)每臺機器上分別設立安全策略�。Firewall可以定義不同的認證方法,而不需要在每臺機器上分別安裝特定的認證軟件���。外部用戶也只需要經(jīng)過一次認證即可訪問內(nèi)部網(wǎng)������!
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網(wǎng)絡系統(tǒng)的有用信息��,如Figer和DNS�������!
記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)
Firewall可以記錄和統(tǒng)計通過Firewall的網(wǎng)絡通訊����,提供關(guān)于網(wǎng)絡使用的統(tǒng)計數(shù)據(jù),并且��,F(xiàn)irewall可以提供統(tǒng)計數(shù)據(jù)����,來判斷可能的攻擊和探測����!
策略執(zhí)行
Firewall提供了制定和執(zhí)行網(wǎng)絡安全策略的手段。未設置Firewall時���,網(wǎng)絡安全取決于每臺主機的用戶
防火墻的功能
防火墻是網(wǎng)絡安全的屏障:
一個防火墻(作為阻塞點���、控制點)能極大地提高一個內(nèi)部網(wǎng)絡的安全性,并通過過濾不安全的服務而降低風險�����。
防火墻可以強化網(wǎng)絡安全策略:
通過以防火墻為中心的安全方案配置��,能將所有安全軟件(如口令���、加密�、身份認證����、審計等)配置在防火墻上。與將網(wǎng)絡安全問題分散到各個主機上相比��,防火墻的集中安全管理更經(jīng)濟����!
對網(wǎng)絡存取和訪問進行監(jiān)控審計:
如果所有的訪問都經(jīng)過防火墻,那么�����,防火墻就能記錄下這些訪問并作出日志記錄���,同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)��。當發(fā)生可疑動作時��,防火墻能進行適當?shù)膱缶�,并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息���。
另外���,收集一個網(wǎng)絡的使用和誤用情況也是非常重要的。
首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊�,
并且清楚防火墻的控制是否充足。而網(wǎng)絡使用統(tǒng)計對網(wǎng)絡需求分析和威脅分析等而言也是非常重要的����!
防止內(nèi)部信息的外泄:
隱私是內(nèi)部網(wǎng)絡非常關(guān)心的問題.通過利用防火墻對內(nèi)部網(wǎng)絡的劃分,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離���,從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響���!
除了安全作用�,防火墻還支持具有Internet服務特性的企業(yè)內(nèi)部網(wǎng)絡技術(shù)體系VPN���。通過VPN����,將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)S米泳W(wǎng)��,有機地聯(lián)成一個整體��。不僅省去了專用通信線路���,而且為信息共享提供了技術(shù)保障�����。
防火墻技術(shù)
防火墻能增強機構(gòu)內(nèi)部網(wǎng)絡的安全性,必須只允許授權(quán)的數(shù)據(jù)通過���,而且防火墻本身也必須能夠免于滲透���。
■防火墻的五大功能
一般來說���,防火墻具有以下幾種功能:
1.允許網(wǎng)絡管理員定義一個中心點來防止非法用戶進入內(nèi)部網(wǎng)絡����!
2.可以很方便地監(jiān)視網(wǎng)絡的安全性����,并報警�����!
3.可以作為部署NAT(NetworkAddressTranslation�,網(wǎng)絡地址變換)的地點���,利用NAT技術(shù)�����,將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應起來�����,用來緩解地址空間短缺的問題�������!
4.是審計和記錄Internet使用費用的一個最佳地點��。網(wǎng)絡管理員可以在此向管理部門提供Internet連接的費用情況����,查出潛在的帶寬瓶頸位置����,并能夠依據(jù)本機構(gòu)的核算模式提供部門級的計費。
5.可以連接到一個單獨的網(wǎng)段上���,從物理上和內(nèi)部網(wǎng)段隔開�����,并在此部署WWW服務器和FTP服務器��,將其作為向外部發(fā)布內(nèi)部信息的地點��。從技術(shù)角度來講���,就是所謂的��;饏^(qū)(DMZ)����。
防火墻的兩大分類
1.包過濾防火墻
第一代:靜態(tài)包過濾
這種類型的防火墻根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包��,以便確定其是否與某一條包過濾規(guī)則匹配�����。過濾規(guī)則基于數(shù)據(jù)包的報頭信息進行制訂����。報頭信息中包括IP源地址����、IP目標地址��、傳輸協(xié)議(TCP����、UDP、ICMP等等)�、TCP/UDP目標端口、ICMP消息類型等���。包過濾類型的防火墻要遵循的一條基本原則是"最小特權(quán)原則"����,即明確允許那些管理員希望通過的數(shù)據(jù)包����,禁止其他的數(shù)據(jù)包�。
第二代:動態(tài)包過濾
這種類型的防火墻采用動態(tài)設置包過濾規(guī)則的方法,避免了靜態(tài)包過濾所具有的問題���。這種技術(shù)后來發(fā)展成為所謂包狀態(tài)監(jiān)測(StatefulInspection)技術(shù)����。采用這種技術(shù)的防火墻對通過其建立的每一個連接都進行跟蹤,并且根據(jù)需要可動態(tài)地在過濾規(guī)則中增加或更新條目�����。
2.代理防火墻
第一代:代理防火墻
代理防火墻也叫應用層網(wǎng)關(guān)(ApplicationGateway)防火墻�����。這種防火墻通過一種代理(Proxy)技術(shù)參與到一個TCP連接的全過程��。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后��,就好像是源于防火墻外部網(wǎng)卡一樣��,從而可以達到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用�����。這種類型的防火墻被網(wǎng)絡安全專家和媒體公認為是最安全的防火墻�����。它的核心技術(shù)就是代理服務器技術(shù)��!
代理類型防火墻的最突出的優(yōu)點就是安全����。
由于每一個內(nèi)外網(wǎng)絡之間的連接都要通過Proxy的介入和轉(zhuǎn)換,通過專門為特定的服務如Http編寫的安全化的應用程序進行處理�,然后由防火墻本身提交請求和應答,沒有給內(nèi)外網(wǎng)絡的計算機以任何直接會話的機會����,從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。包過濾類型的防火墻是很難徹底避免這一漏洞的���。
代理防火墻的最大缺點就是速度相對比較慢�,當用戶對內(nèi)外網(wǎng)絡網(wǎng)關(guān)的吞吐量要求比較高時�,(比如要求達到75-100Mbps時)代理防火墻就會成為內(nèi)外網(wǎng)絡之間的瓶頸。所幸的是�����,目前用戶接入Internet的速度一般都遠低于這個數(shù)字��。在現(xiàn)實環(huán)境中��,要考慮使用包過濾類型防火墻來滿足速度要求的情況��,大部分是高速網(wǎng)(ATM或千兆位以太網(wǎng)等)之間的防火墻�。
第二代:自適應代理防火墻
自適應代理技術(shù)(Adaptiveproxy)是最近在商業(yè)應用防火墻中實現(xiàn)的一種革命性的技術(shù)����。它可以結(jié)合代理類型防火墻的安全性和包過濾防火墻的高速度等優(yōu)點,在毫不損失安全性的基礎(chǔ)之上將代理型防火墻的性能提高10倍以上��。
組成這種類型防火墻的基本要素有兩個:自適應代理服務器(AdaptiveProxyServer)與動態(tài)包過濾器(DynamicPacketfilter)����。
在自適應代理與動態(tài)包過濾器之間存在一個控制通道。在對防火墻進行配置時�����,用戶僅僅將所需要的服務類型���、安全級別等信息通過相應Proxy的管理界面進行設置就可以了���。然后,自適應代理就可以根據(jù)用戶的配置信息�,決定是使用代理服務從應用層代理請求還是從網(wǎng)絡層轉(zhuǎn)發(fā)包。如果是后者,它將動態(tài)地通知包過濾器增減過濾規(guī)則�����,滿足用戶對速度和安全性的雙重要求��。
現(xiàn)有防火墻技術(shù)分類
防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同而分為很多種類型�,但總體來講可分為包過濾、應用級網(wǎng)關(guān)和代理服務器等幾大類型������!
1.數(shù)據(jù)包過濾型防火墻
數(shù)據(jù)包過濾(PacketFiltering)技術(shù)是在網(wǎng)絡層對數(shù)據(jù)包進行選擇,選擇的依據(jù)是系統(tǒng)內(nèi)設置的過濾邏輯�,被稱為訪問控制表(AccessControlTable)。
通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址�����、目的地址�����、所用的端口號�、協(xié)議狀態(tài)等因素,或它們的組合來確定是否允許該數(shù)據(jù)包通過。
數(shù)據(jù)包過濾防火墻邏輯簡單��,價格便宜��,易于安裝和使用�,網(wǎng)絡性能和透明性好����,它通常安裝在路由器上。
數(shù)據(jù)包過濾防火墻的缺點有二:
一是非法訪問一旦突破防火墻��,即可對主機上的軟件和配置漏洞進行攻擊����;
二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部�����,很有可能被竊聽或假冒����。
分組過濾或包過濾,是一種通用���、廉價����、有效的安全手段。之所以通用���,因為它不針對各個具體的網(wǎng)絡服務采取特殊的處理方式�;之所以廉價�����,因為大多數(shù)路由器都提供分組過濾功能�����;之所以有效�,因為它能很大程度地滿足企業(yè)的安全要求。
所根據(jù)的信息來源于IP����、TCP或UDP包頭。
包過濾的優(yōu)點是不用改動客戶機和主機上的應用程序��,因為它工作在網(wǎng)絡層和傳輸層����,與應用層無關(guān)����。
但其弱點也是明顯的:據(jù)以過濾判別的只有網(wǎng)絡層和傳輸層的有限信息�����,因而各種安全要求不可能充分滿足�����;在許多過濾器中�,過濾規(guī)則的數(shù)目是有限制的����,且隨著規(guī)則數(shù)目的增加,性能會受到很大地影響��;由于缺少上下文關(guān)聯(lián)信息���,不能有效地過濾如UDP���、RPC一類的協(xié)議����;
另外����,大多數(shù)過濾器中缺少審計和報警機制,且管理方式和用戶界面較差���;對安全管理人員素質(zhì)要求高�����,建立安全規(guī)則時���,必須對協(xié)議本身及其在不同應用程序中的作用有較深入的理解。
因此�����,過濾器通常是和應用網(wǎng)關(guān)配合使用�,共同組成防火墻系統(tǒng)���!
2.應用級網(wǎng)關(guān)型防火墻
應用級網(wǎng)關(guān)(ApplicationLevelGateways)是在網(wǎng)絡應用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能�。它針對特定的網(wǎng)絡應用服務協(xié)議使用指定的數(shù)據(jù)過濾邏輯,并在過濾的同時����,對數(shù)據(jù)包進行必要的分析、登記和統(tǒng)計�����,形成報告���。實際中的應用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。
數(shù)據(jù)包過濾和應用網(wǎng)關(guān)防火墻有一個共同的特點�,就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。一旦滿足邏輯�,則防火墻內(nèi)外的計算機系統(tǒng)建立直接聯(lián)系,防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡結(jié)構(gòu)和運行狀態(tài)����,這有利于實施非法訪問和攻擊����!
3.代理服務型防火墻
代理服務(ProxyService)也稱鏈路級網(wǎng)關(guān)或TCP通道(CircuitLevelGatewaysorTCPTunnels),也有人將它歸于應用級網(wǎng)關(guān)一類�����。它是針對數(shù)據(jù)包過濾和應用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù),其特點是將所有跨越防火墻的網(wǎng)絡通信鏈路分為兩段����。防火墻內(nèi)外計算機系統(tǒng)間應用層的"鏈接",由兩個終止代理服務器上的"鏈接"來實現(xiàn)�����,外部計算機的網(wǎng)絡鏈路只能到達代理服務器����,從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。
此外�����,代理服務也對過往的數(shù)據(jù)包進行分析��、注冊登記��,形成報告�,同時當發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡管理員發(fā)出警報,并保留攻擊痕跡�����。
應用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點,起著監(jiān)視和隔絕應用層通信流的作用����。同時也常結(jié)合入過濾器的功能。它工作在OSI模型的最高層��,掌握著應用系統(tǒng)中可用作安全決策的全部信息�������!
4.復合型防火墻
由于對更高安全性的要求����,常把基于包過濾的方法與基于應用代理的方法結(jié)合起來�,形成復合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案���。
屏蔽主機防火墻體系結(jié)構(gòu):在該結(jié)構(gòu)中��,分組過濾路由器或防火墻與Internet相連��,同時一個堡壘機安裝在內(nèi)部網(wǎng)絡�,通過在分組過濾路由器或防火墻上過濾規(guī)則的設置,使堡壘機成為Internet上其它節(jié)點所能到達的唯一節(jié)點��,這確保了內(nèi)部網(wǎng)絡不受未授權(quán)外部用戶的攻擊�。
屏蔽子網(wǎng)防火墻體系結(jié)構(gòu):堡壘機放在一個子網(wǎng)內(nèi),形成非軍事化區(qū)��,兩個分組過濾路由器放在這一子網(wǎng)的兩端���,使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡分離���。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中,堡壘主機和分組過濾路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)��。
防火墻主要技術(shù)
先進的防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一��,具有以下技術(shù)與功能�。
雙端口或三端口的結(jié)構(gòu)
新一代防火墻產(chǎn)品具有兩個或三個獨立的網(wǎng)卡����,內(nèi)外兩個網(wǎng)卡可不作IP轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間,另一個網(wǎng)卡可專用于對服務器的安全保護��!
透明的訪問方式
以前的防火墻在訪問方式上要么要求用戶作系統(tǒng)登錄�,要么需要通過SOCKS等庫路徑修改客戶機的應用。新一代防火墻利用了透明的代理系統(tǒng)技術(shù)�����,從而降低了系統(tǒng)登錄固有的安全風險和出錯概率����!
靈活的代理系統(tǒng)
代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊�。新一代防火墻采用了兩種代理機制,一種用于代理從內(nèi)部網(wǎng)絡到外部網(wǎng)絡的連接�,另一種用于代理從外部網(wǎng)絡到內(nèi)部網(wǎng)絡的連接。前者采用網(wǎng)絡地址轉(zhuǎn)換(NAT)技術(shù)來解決���,后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來解決��!
多級的過濾技術(shù)
為保證系統(tǒng)的安全性和防護水平����,新一代防火墻采用了三級過濾措施,并輔以鑒別手段。在分組過濾一級�����,能過濾掉所有的源路由分組和假冒的IP源地址��;在應用級網(wǎng)關(guān)一級�,能利用FTP、SMTP等各種網(wǎng)關(guān)����,控制和監(jiān)測Internet提供的所用通用服務;在電路網(wǎng)關(guān)一級����,實現(xiàn)內(nèi)部主機與外部站點的透明連接,并對服務的通行實行嚴格控制����。
網(wǎng)絡地址轉(zhuǎn)換技術(shù)(NAT)
新一代防火墻利用NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換�,使外部網(wǎng)絡無法了解內(nèi)部網(wǎng)絡的內(nèi)部結(jié)構(gòu),同時允許內(nèi)部網(wǎng)絡使用自己定制的IP地址和專用網(wǎng)絡��,防火墻能詳盡記錄每一個主機的通信��,確保每個分組送往正確的地址。
同時使用NAT的網(wǎng)絡���,與外部網(wǎng)絡的連接只能由內(nèi)部網(wǎng)絡發(fā)起�,極大地提高了內(nèi)部網(wǎng)絡的安全性�。NAT的另一個顯而易見的用途是解決IP地址匱乏問題����!
Internet網(wǎng)關(guān)技術(shù)
由于是直接串連在網(wǎng)絡之中,新一代防火墻必須支持用戶在Internet互連的所有服務����,同時還要防止與Internet服務有關(guān)的安全漏洞。故它要能以多種安全的應用服務器(包括FTP��、Finger���、mail�、Ident��、News�、WWW等)來實現(xiàn)網(wǎng)關(guān)功能�����。為確保服務器的安全性,對所有的文件和命令均要利?quot;改變根系統(tǒng)調(diào)用(chroot)"作物理上的隔離��。
在域名服務方面��,新一代防火墻采用兩種獨立的域名服務器��,一種是內(nèi)部DNS服務器���,主要處理內(nèi)部網(wǎng)絡的DNS信息���,另一種是外部DNS服務器,專門用于處理機構(gòu)內(nèi)部向Internet提供的部份DNS信息�。
在匿名FTP方面,服務器只提供對有限的受保護的部份目錄的只讀訪問��。在WWW服務器中����,只支持靜態(tài)的網(wǎng)頁,而不允許圖形或CGI代碼等在防火墻內(nèi)運行��,在Finger服務器中���,對外部訪問�,防火墻只提供可由內(nèi)部用戶配置的基本的文本信息,而不提供任何與攻擊有關(guān)的系統(tǒng)信息����。SMTP與POP郵件服務器要對所有進、出防火墻的郵件作處理�����,并利用郵件映射與標頭剝除的方法隱除內(nèi)部的郵件環(huán)境�����,Ident服務器對用戶連接的識別作專門處理���,網(wǎng)絡新聞服務則為接收來自ISP的新聞開設了專門的磁盤空間���。
安全服務器網(wǎng)絡(SSN)
為適應越來越多的用戶向Internet上提供服務時對服務器保護的需要����,新一代防火墻采用分別保護的策略對用戶上網(wǎng)的對外服務器實施保護,它利用一張網(wǎng)卡將對外服務器作為一個獨立網(wǎng)絡處理���,對外服務器既是內(nèi)部網(wǎng)的一部分����,又與內(nèi)部網(wǎng)關(guān)完全隔離���。這就是安全服務器網(wǎng)絡(SSN)技術(shù)���,對SSN上的主機既可單獨管理,也可設置成通過FTP����、Telnet等方式從內(nèi)部網(wǎng)上管理。
SSN的方法提供的安全性要比傳統(tǒng)的"隔離區(qū)(DMZ)"方法好得多��,因為SSN與外部網(wǎng)之間有防火墻保護�,SSN與內(nèi)部網(wǎng)之間也有防火墻的保護,而DMZ只是一種在內(nèi)����、外部網(wǎng)絡網(wǎng)關(guān)之間存在的一種防火墻方式。換言之����,一旦SSN受破壞����,內(nèi)部網(wǎng)絡仍會處于防火墻的保護之下�,而一旦DMZ受到破壞,內(nèi)部網(wǎng)絡便暴露于攻擊之下�������!
用戶鑒別與加密
為了降低防火墻產(chǎn)品在Telnet��、FTP等服務和遠程管理上的安全風險����,鑒別功能必不可少,新一代防火墻采用一次性使用的口令字系統(tǒng)來作為用戶的鑒別手段��,并實現(xiàn)了對郵件的加密��。
用戶定制服務
為滿足特定用戶的特定需求����,新一代防火墻在提供眾多服務的同時,還為用戶定制提供支持�����,這類選項有:通用TCP,出站UDP����、FTP�����、SMTP等類���,如果某一用戶需要建立一個數(shù)據(jù)庫的代理�����,便可利用這些支持�����,方便設置�����!
審計和告警
新一代防火墻產(chǎn)品的審計和告警功能十分健全����,日志文件包括:一般信息����、內(nèi)核信息、核心信息�����、接收郵件���、郵件路徑����、發(fā)送郵件�、已收消息、已發(fā)消息���、連接需求�、已鑒別的訪問��、告警條件、管理日志���、進站代理�、FTP代理�����、出站代理�、郵件服務器、名服務器等��。告警功能會守住每一個TCP或UDP探尋�����,并能以發(fā)出郵件�、聲響等多種方式報警�����。
此外新一代防火墻還在網(wǎng)絡診斷����,數(shù)據(jù)備份與保全等方面具有特色。
設置防火墻的要素
網(wǎng)絡策略
影響Firewall系統(tǒng)設計、安裝和使用的網(wǎng)絡策略可分為兩級��,高級的網(wǎng)絡策略定義允許和禁止的服務以及如何使用服務����,低級的網(wǎng)絡策略描述Firewall如何限制和過濾在高級策略中定義的服務��!
服務訪問策略
服務訪問策略集中在Internet訪問服務以及外部網(wǎng)絡訪問(如撥入策略����、SLIP/PPP連接等)。服務訪問策略必須是可行的和合理的����。可行的策略必須在阻止已知的網(wǎng)絡風險和提供用戶服務之間獲得平衡�。典型的服務訪問策略是:允許通過增強認證的用戶在必要的情況下從Internet訪
問某些內(nèi)部主機和服務;允許內(nèi)部用戶訪問指定的Internet主機和服務���!
防火墻設計策略
防火墻設計策略基于特定的Firewall,定義完成服務訪問策略的規(guī)則���。通常有兩種基本的設計策略:允許任何服務除非被明確禁止�����;禁止任何服務除非被明確允許��。第一種的特點是安全但不好用�����,第二種是好用但不安全�,通常采用第二種類型的設計策略。
而多數(shù)防火墻都在兩種之間采取折衷�����!
增強的認證
許多在Internet上發(fā)生的入侵事件源于脆弱的傳統(tǒng)用戶/口令機制���。多年來���,用戶被告知使用難于猜測和破譯口令�,雖然如此����,攻擊者仍然在Internet上監(jiān)視傳輸?shù)目诹蠲魑模箓鹘y(tǒng)的口令機制形同虛設。增強的認證機制包含智能卡�����,認證令牌��,生理特征(指紋)以及基于軟件(RSA)等技術(shù)����,來克服傳統(tǒng)口令的弱點。雖然存在多種認證技術(shù)���,它們均使用增強的認證機制產(chǎn)生難被攻擊者重用的口令和密鑰�。目前許多流行的增強機制使用一次有效的口令和密鑰(如SmartCard和認證令牌)����。
防火墻主要技術(shù)
先進的防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一����,具有以下技術(shù)與功能���!
雙端口或三端口的結(jié)構(gòu)
新一代防火墻產(chǎn)品具有兩個或三個獨立的網(wǎng)卡����,內(nèi)外兩個網(wǎng)卡可不作IP轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間,另一個網(wǎng)卡可專用于對服務器的安全保護����!
透明的訪問方式
以前的防火墻在訪問方式上要么要求用戶作系統(tǒng)登錄�����,要么需要通過SOCKS等庫路徑修改客戶機的應用����。新一代防火墻利用了透明的代理系統(tǒng)技術(shù),從而降低了系統(tǒng)登錄固有的安全風險和出錯概率����������!
靈活的代理系統(tǒng)
代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊�����。新一代防火墻采用了兩種代理機制��,一種用于代理從內(nèi)部網(wǎng)絡到外部網(wǎng)絡的連接�����,另一種用于代理從外部網(wǎng)絡到內(nèi)部網(wǎng)絡的連接��。前者采用網(wǎng)絡地址轉(zhuǎn)換(NAT)技術(shù)來解決�����,后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來解決�����!
多級的過濾技術(shù)
為保證系統(tǒng)的安全性和防護水平��,新一代防火墻采用了三級過濾措施�����,并輔以鑒別手段���。在分組過濾一級�����,能過濾掉所有的源路由分組和假冒的IP源地址����;在應用級網(wǎng)關(guān)一級���,能利用FTP�、SMTP等各種網(wǎng)關(guān)�����,控制和監(jiān)測Internet提供的所用通用服務����;在電路網(wǎng)關(guān)一級,實現(xiàn)內(nèi)部主機與外部站點的透明連接�,并對服務的通行實行嚴格控制�!
網(wǎng)絡地址轉(zhuǎn)換技術(shù)(NAT)
新一代防火墻利用NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換,使外部網(wǎng)絡無法了解內(nèi)部網(wǎng)絡的內(nèi)部結(jié)構(gòu)����,同時允許內(nèi)部網(wǎng)絡使用自己定制的IP地址和專用網(wǎng)絡,防火墻能詳盡記錄每一個主機的通信����,確保每個分組送往正確的地址。
同時使用NAT的網(wǎng)絡���,與外部網(wǎng)絡的連接只能由內(nèi)部網(wǎng)絡發(fā)起���,極大地提高了內(nèi)部網(wǎng)絡的安全性。NAT的另一個顯而易見的用途是解決IP地址匱乏問題����!
Internet網(wǎng)關(guān)技術(shù)
由于是直接串連在網(wǎng)絡之中�����,新一代防火墻必須支持用戶在Internet互連的所有服務��,同時還要防止與Internet服務有關(guān)的安全漏洞����。故它要能以多種安全的應用服務器(包括FTP、Finger����、mail��、Ident�、News���、WWW等)來實現(xiàn)網(wǎng)關(guān)功能�����。為確保服務器的安全性���,對所有的文件和命令均要利?quot;改變根系統(tǒng)調(diào)用(chroot)"作物理上的隔離。
在域名服務方面�,新一代防火墻采用兩種獨立的域名服務器,一種是內(nèi)部DNS服務器���,主要處理內(nèi)部網(wǎng)絡的DNS信息����,另一種是外部DNS服務器��,專門用于處理機構(gòu)內(nèi)部向Internet提供的部份DNS信息。
在匿名FTP方面����,服務器只提供對有限的受保護的部份目錄的只讀訪問�。在WWW服務器中,只支持靜態(tài)的網(wǎng)頁��,而不允許圖形或CGI代碼等在防火墻內(nèi)運行���,在Finger服務器中����,對外部訪問��,防火墻只提供可由內(nèi)部用戶配置的基本的文本信息��,而不提供任何與攻擊有關(guān)的系統(tǒng)信息�����。SMTP與POP郵件服務器要對所有進�、出防火墻的郵件作處理,并利用郵件映射與標頭剝除的方法隱除內(nèi)部的郵件環(huán)境����,Ident服務器對用戶連接的識別作專門處理���,網(wǎng)絡新聞服務則為接收來自ISP的新聞開設了專門的磁盤空間�!
安全服務器網(wǎng)絡(SSN)
為適應越來越多的用戶向Internet上提供服務時對服務器保護的需要,新一代防火墻采用分別保護的策略對用戶上網(wǎng)的對外服務器實施保護�����,它利用一張網(wǎng)卡將對外服務器作為一個獨立網(wǎng)絡處理�����,對外服務器既是內(nèi)部網(wǎng)的一部分���,又與內(nèi)部網(wǎng)關(guān)完全隔離���。這就是安全服務器網(wǎng)絡(SSN)技術(shù),對SSN上的主機既可單獨管理���,也可設置成通過FTP��、Telnet等方式從內(nèi)部網(wǎng)上管理�。
SSN的方法提供的安全性要比傳統(tǒng)的"隔離區(qū)(DMZ)"方法好得多,因為SSN與外部網(wǎng)之間有防火墻保護���,SSN與內(nèi)部網(wǎng)之間也有防火墻的保護�����,而DMZ只是一種在內(nèi)��、外部網(wǎng)絡網(wǎng)關(guān)之間存在的一種防火墻方式。換言之�����,一旦SSN受破壞��,內(nèi)部網(wǎng)絡仍會處于防火墻的保護之下����,而一旦DMZ受到破壞,內(nèi)部網(wǎng)絡便暴露于攻擊之下����。
用戶鑒別與加密
為了降低防火墻產(chǎn)品在Telnet�����、FTP等服務和遠程管理上的安全風險,鑒別功能必不可少����,新一代防火墻采用一次性使用的口令字系統(tǒng)來作為用戶的鑒別手段,并實現(xiàn)了對郵件的加密��。
用戶定制服務
為滿足特定用戶的特定需求����,新一代防火墻在提供眾多服務的同時,還為用戶定制提供支持����,這類選項有:通用TCP,出站UDP����、FTP、SMTP等類��,如果某一用戶需要建立一個數(shù)據(jù)庫的代理��,便可利用這些支持���,方便設置��������!
審計和告警
新一代防火墻產(chǎn)品的審計和告警功能十分健全�,日志文件包括:一般信息��、內(nèi)核信息��、核心信息�、接收郵件����、郵件路徑、發(fā)送郵件����、已收消息、已發(fā)消息����、連接需求���、已鑒別的訪問、告警條件���、管理日志�����、進站代理���、FTP代理、出站代理���、郵件服務器�、名服務器等����。告警功能會守住每一個TCP或UDP探尋,并能以發(fā)出郵件�����、聲響等多種方式報警�����。
此外新一代防火墻還在網(wǎng)絡診斷,數(shù)據(jù)備份與保全等方面具有特色��。
設置防火墻的要素
網(wǎng)絡策略
影響Firewall系統(tǒng)設計���、安裝和使用的網(wǎng)絡策略可分為兩級����,高級的網(wǎng)絡策略定義允許和禁止的服務以及如何使用服務���,低級的網(wǎng)絡策略描述Firewall如何限制和過濾在高級策略中定義的服務�������!
服務訪問策略
服務訪問策略集中在Internet訪問服務以及外部網(wǎng)絡訪問(如撥入策略、SLIP/PPP連接等)�����。服務訪問策略必須是可行的和合理的����?尚械牟呗员仨氃谧柚挂阎木W(wǎng)絡風險和提供用戶服務之間獲得平衡。典型的服務訪問策略是:允許通過增強認證的用戶在必要的情況下從Internet訪問某些內(nèi)部主機和服務��;允許內(nèi)部用戶訪問指定的Internet主機和服務�����。
防火墻設計策略
防火墻設計策略基于特定的Firewall���,定義完成服務訪問策略的規(guī)則�。通常有兩種基本的設計策略:允許任何服務除非被明確禁止�;禁止任何服務除非被明確允許。第一種的特點是安全但不好用��,第二種是好用但不安全�����,通常采用第二種類型的設計策略��。
而多數(shù)防火墻都在兩種之間采取折衷��������!
增強的認證
許多在Internet上發(fā)生的入侵事件源于脆弱的傳統(tǒng)用戶/口令機制���。多年來��,用戶被告知使用難于猜測和破譯口令����,雖然如此�����,攻擊者仍然在Internet上監(jiān)視傳輸?shù)目诹蠲魑��,使傳統(tǒng)的口令機制形同虛設�。增強的認證機制包含智能卡,認證令牌���,生理特征(指紋)以及基于軟件(RSA)等技術(shù),來克服傳統(tǒng)口令的弱點���。雖然存在多種認證技術(shù)����,它們均使用增強的認證機制產(chǎn)生難被攻擊者重用的口令和密鑰。目前許多流行的增強機制使用一次有效的口令和密鑰(如SmartCard和認證令牌)����。
防火墻主要技術(shù)
先進的防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一,具有以下技術(shù)與功能������!
雙端口或三端口的結(jié)構(gòu)
新一代防火墻產(chǎn)品具有兩個或三個獨立的網(wǎng)卡,內(nèi)外兩個網(wǎng)卡可不作IP轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間��,另一個網(wǎng)卡可專用于對服務器的安全保護����。
透明的訪問方式
以前的防火墻在訪問方式上要么要求用戶作系統(tǒng)登錄����,要么需要通過SOCKS等庫路徑修改客戶機的應用。新一代防火墻利用了透明的代理系統(tǒng)技術(shù)�����,從而降低了系統(tǒng)登錄固有的安全風險和出錯概率���!
靈活的代理系統(tǒng)
代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊�。新一代防火墻采用了兩種代理機制����,一種用于代理從內(nèi)部網(wǎng)絡到外部網(wǎng)絡的連接,另一種用于代理從外部網(wǎng)絡到內(nèi)部網(wǎng)絡的連接����。前者采用網(wǎng)絡地址轉(zhuǎn)換(NAT)技術(shù)來解決,后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來解決�������!
多級的過濾技術(shù)
為保證系統(tǒng)的安全性和防護水平���,新一代防火墻采用了三級過濾措施��,并輔以鑒別手段����。在分組過濾一級�����,能過濾掉所有的源路由分組和假冒的IP源地址���;在應用級網(wǎng)關(guān)一級�,能利用FTP�����、SMTP等各種網(wǎng)關(guān)�,控制和監(jiān)測Internet提供的所用通用服務;在電路網(wǎng)關(guān)一級�,實現(xiàn)內(nèi)部主機與外部站點的透明連接,并對服務的通行實行嚴格控制�。
網(wǎng)絡地址轉(zhuǎn)換技術(shù)(NAT)
新一代防火墻利用NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換��,使外部網(wǎng)絡無法了解內(nèi)部網(wǎng)絡的內(nèi)部結(jié)構(gòu)�,同時允許內(nèi)部網(wǎng)絡使用自己定制的IP地址和專用網(wǎng)絡,防火墻能詳盡記錄每一個主機的通信�����,確保每個分組送往正確的地址。
同時使用NAT的網(wǎng)絡�����,與外部網(wǎng)絡的連接只能由內(nèi)部網(wǎng)絡發(fā)起�����,極大地提高了內(nèi)部網(wǎng)絡的安全性�。
NAT的另一個顯而易見的用途是解決IP地址匱乏問題�����!
Internet網(wǎng)關(guān)技術(shù)
由于是直接串連在網(wǎng)絡之中���,新一代防火墻必須支持用戶在Internet互連的所有服務��,同時還要防止與Internet服務有關(guān)的安全漏洞�。故它要能以多種安全的應用服務器(包括FTP��、Finger�、mail�����、Ident�����、News、WWW等)來實現(xiàn)網(wǎng)關(guān)功能�����。為確保服務器的安全性�����,對所有的文件和命令均要利?quot;改變根系統(tǒng)調(diào)用(chroot)"作物理上的隔離��。
在域名服務方面��,新一代防火墻采用兩種獨立的域名服務器��,一種是內(nèi)部DNS服務器�����,主要處理內(nèi)部網(wǎng)絡的DNS信息,另一種是外部DNS服務器�,專門用于處理機構(gòu)內(nèi)部向Internet提供的部份DNS信息��。
在匿名FTP方面��,服務器只提供對有限的受保護的部份目錄的只讀訪問�。在WWW服務器中,只支持靜態(tài)的網(wǎng)頁��,而不允許圖形或CGI代碼等在防火墻內(nèi)運行�,在Finger服務器中,對外部訪問��,防火墻只提供可由內(nèi)部用戶配置的基本的文本信息�,而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP與POP郵件服務器要對所有進��、出防火墻的郵件作處理�����,并利用郵件映射與標頭剝除的方法隱除內(nèi)部的郵件環(huán)境����,Ident服務器對用戶連接的識別作專門處理�,網(wǎng)絡新聞服務則為接收來自ISP的新聞開設了專門的磁盤空間�������!
安全服務器網(wǎng)絡(SSN)
為適應越來越多的用戶向Internet上提供服務時對服務器保護的需要����,新一代防火墻采用分別保護的策略對用戶上網(wǎng)的對外服務器實施保護����,它利用一張網(wǎng)卡將對外服務器作為一個獨立網(wǎng)絡處理,對外服務器既是內(nèi)部網(wǎng)的一部分����,又與內(nèi)部網(wǎng)關(guān)完全隔離。這就是安全服務器網(wǎng)絡(SSN)技術(shù)����,對SSN上的主機既可單獨管理,也可設置成通過FTP���、Telnet等方式從內(nèi)部網(wǎng)上管理���。
SSN的方法提供的安全性要比傳統(tǒng)的"隔離區(qū)(DMZ)"方法好得多���,因為SSN與外部網(wǎng)之間有防火墻保護,SSN與內(nèi)部網(wǎng)之間也有防火墻的保護���,而DMZ只是一種在內(nèi)���、外部網(wǎng)絡網(wǎng)關(guān)之間存在的一種防火墻方式。換言之�,一旦SSN受破壞,內(nèi)部網(wǎng)絡仍會處于防火墻的保護之下�,而一旦DMZ受到破壞,內(nèi)部網(wǎng)絡便暴露于攻擊之下������!
用戶鑒別與加密
為了降低防火墻產(chǎn)品在Telnet、FTP等服務和遠程管理上的安全風險����,鑒別功能必不可少,新一代防火墻采用一次性使用的口令字系統(tǒng)來作為用戶的鑒別手段,并實現(xiàn)了對郵件的加密�����。
用戶定制服務
為滿足特定用戶的特定需求����,新一代防火墻在提供眾多服務的同時,還為用戶定制提供支持�����,這類選項有:通用TCP��,出站UDP��、FTP�、SMTP等類����,如果某一用戶需要建立一個數(shù)據(jù)庫的代理,便可利用這些支持���,方便設置�。
審計和告警
新一代防火墻產(chǎn)品的審計和告警功能十分健全����,日志文件包括:一般信息、內(nèi)核信息�、核心信息、接收郵件���、郵件路徑��、發(fā)送郵件�����、已收消息���、已發(fā)消息、連接需求�、已鑒別的訪問、告警條件�、管理日志、進站代理���、FTP代理��、出站代理�、郵件服務器、名服務器等��。告警功能會守住每一個TCP或UDP探尋�����,并能以發(fā)出郵件��、聲響等多種方式報警�����。
此外新一代防火墻還在網(wǎng)絡診斷�����,數(shù)據(jù)備份與保全等方面具有特色����。
設置防火墻的要素
網(wǎng)絡策略
影響Firewall系統(tǒng)設計�����、安裝和使用的網(wǎng)絡策略可分為兩級,高級的網(wǎng)絡策略定義允許和禁止的服務以及如何使用服務���,低級的網(wǎng)絡策略描述Firewall如何限制和過濾在高級策略中定義的服務���。
服務訪問策略
服務訪問策略集中在Internet訪問服務以及外部網(wǎng)絡訪問(如撥入策略���、SLIP/PPP連接等)�����。服務訪問策略必須是可行的和合理的���。可行的策略必須在阻止已知的網(wǎng)絡風險和提供用戶服務之間獲得平衡��。典型的服務訪問策略是:允許通過增強認證的用戶在必要的情況下從Internet訪問某些內(nèi)部主機和服務��;允許內(nèi)部用戶訪問指定的Internet主機和服務�������!
防火墻設計策略
防火墻設計策略基于特定的Firewall,定義完成服務訪問策略的規(guī)則���。通常有兩種基本的設計策略:允許任何服務除非被明確禁止��;禁止任何服務除非被明確允許��。第一種的特點是安全但不好用����,第二種是好用但不安全����,通常采用第二種類型的設計策略。
而多數(shù)防火墻都在兩種之間采取折衷�。
增強的認證
許多在Internet上發(fā)生的入侵事件源于脆弱的傳統(tǒng)用戶/口令機制�。多年來,用戶被告知使用難于猜測和破譯口令���,雖然如此�,攻擊者仍然在Internet上監(jiān)視傳輸?shù)目诹蠲魑�����,使傳統(tǒng)的口令機制形同虛設��。增強的認證機制包含智能卡�,認證令牌,生理特征(指紋)以及基于軟件(RSA)等技術(shù)���,來克服傳統(tǒng)口令的弱點�����。雖然存在多種認證技術(shù)�,它們均使用增強的認證機制產(chǎn)生難被攻擊者重用的口令和密鑰����。目前許多流行的增強機制使用一次有效的口令和密鑰(如SmartCard和認證令牌)�!
防火墻工作原理
一般來說,防火墻包括幾個不同的組成部分見
圖3-1.
我們將防火墻分成三種主要類別:數(shù)據(jù)包過濾�����,電路網(wǎng)關(guān)����,應用網(wǎng)關(guān).
訪火墻的安放位置
傳統(tǒng)的做法是����,將防火墻安放在組織機構(gòu)與外部世界之間�。考慮圖3-2中的網(wǎng)絡�����。不同陰影指出了不同的安全區(qū)�����。二極管的箭頭指向外部網(wǎng)絡����。在這種情況下,我們看到NET1不信任任何其他網(wǎng)絡甚至連NET2也不信任������!
盡管實現(xiàn)防火墻有幾種不同的方法,我們將討論三種常用方法���。
��。�����,過濾主機網(wǎng)關(guān)
防火墻與網(wǎng)關(guān)結(jié)合提供internet和企業(yè)內(nèi)部網(wǎng)之間的過濾保護���。用此方法,代理服務器放在企業(yè)內(nèi)部網(wǎng)中����。如圖1所示
使用這種類型的實現(xiàn),作為防火墻使用的設備可以由ISP或網(wǎng)絡的所有者提供�����。
�����。�,過濾子網(wǎng)
通過稱為“非軍事區(qū)DMZ“的適當?shù)淖泳W(wǎng)將企業(yè)內(nèi)部網(wǎng)和internet隔離。此方法需要兩上防火墻網(wǎng)關(guān)��,每個在DMZ子網(wǎng)的每端�����,代理服務器放在DMZ子網(wǎng)中。
如圖2所示
請注意���,在DMZ子網(wǎng)和internet之彰作為防火墻使用的設備經(jīng)常稱為邊界路由器��,是為過濾而設定的�����。這些部件有時可自ISP提供和維護����。在DMZ子網(wǎng)和企業(yè)內(nèi)部網(wǎng)之間作為防火墻使用的設備由企業(yè)內(nèi)部網(wǎng)的所有者提供����。在這里,代理服務器放在防火墻的外面��。
�����。常p功能代理主機
此方法類似于過濾子網(wǎng)��。除了將企業(yè)內(nèi)部網(wǎng)防火墻和代理主機的功能相結(jié)合外���,與過濾子網(wǎng)相同�����,此方法包括DMZ子網(wǎng),如圖3所示
這與過濾子網(wǎng)相同�,在子網(wǎng)和INTERNET之間作為DMZ防火墻使用的設備通常由ISP提供,防火墻/代理服務器設備由企業(yè)內(nèi)部網(wǎng)所有者提供��。
�����。吩O置防火墻
見附件
http://bbs.cniti.com/attach/453361782-.PDF
談了這么多防火墻的基本概念����。轉(zhuǎn)過來我們談談訪問控制列表。
正如對防火墻介紹時所說����。從光纖到電話線,從大型公司網(wǎng)絡到單個家庭用戶,安全問題都是當代計算機網(wǎng)絡的討論熱點�。由于internet是基于開放的標準,因此非專有技術(shù)����,例如tcp/ip,被很多人了解得非常透徹����,其弱點和限制都被公之于眾,而且容易被利用��。
幸運的是�����,公司����、學校和家庭連接internet的熱潮已經(jīng)在為更謹慎、更注重安全的組網(wǎng)方法讓路了��。幾乎所有的計算機網(wǎng)絡都至少有基于IP的部分����,所以學習如何限制和控制tcp/ip訪問是勢在必行��。訪問控制的關(guān)鍵是訪問控制列表ACL���。這些列表是IP防火墻的組成模塊,而防火墻是站在internet安全的最前沿����。
標準訪問控制列表
ip訪問控制列表是應用于IP地址和上層IP協(xié)議的允許和拒絕條件的一個有序集合。
標準訪問控制列表
號碼范圍從1到99和1300到1999僅根據(jù)源地址對數(shù)據(jù)包進行過濾����。標準IP訪問控制列表語法:
access-listaccess-list-number{permit|deny}source[source-wildcard][log]
郵名字索引的訪問控制列表句法
除了由號碼索引的控制列表�,還有由名字創(chuàng)建IP訪問控制列表。
要配置一個由名字索引的標準訪問控制列表��,應遵循以下步驟:
���。庇妹侄x一個標準IP訪問控制列表
ipaccess-liststandardname
���。仓付ㄒ粋或多個允許或拒絕條件
permit|deny{source[source-wildcard]|any}[log]
3退出訪問列表的配置模式
exit
基于時間的訪問控制列表
在有些情況下���,系統(tǒng)管理員可能只想在工作時間才允許某些數(shù)據(jù)流通過��,或只允許用戶在一天中的某些固定時段訪問某些資源����,這時就可以考慮使用基于時間的訪問控制列表。
基于時間的訪問控制列表有很多益處�,包括:
在允許或拒絕用戶對資源的訪問方面有更大的控制靈活性;
我們能夠以性能價格比較高的方式調(diào)節(jié)數(shù)據(jù)流量����;
我們可以控制日志消息的記錄時段;
以及其它益處����。
具體步驟:
1定義一個時間范圍及其名字
time-rangetime-range-name
����。捕x該特性何時有效
periodicdays-of-the-weekhh:mmto[days-of-the-week]hh:mm
absoluste[starttimedate][endtimedate]
3退出配置模式
自反訪問控制列表
防止未受邀請的IP數(shù)據(jù)流入
目體含義和命令語法詳見
求解自反訪問控制列表
自反訪問列表是一種“狀態(tài)”的訪問列表�,其原理是,例如���,定義一條規(guī)則�����,使內(nèi)部網(wǎng)絡可以訪問外部網(wǎng)絡����,當內(nèi)部網(wǎng)絡數(shù)據(jù)流經(jīng)路由器時,路由器會根據(jù)自反訪問表自動創(chuàng)建一個允許數(shù)據(jù)包返回的訪問表��,舉個例子:要允許172.16.75.1/24這個機器訪問202.1.1.1/24的80端口���,通常要建立兩個靜態(tài)訪問�,一個是允許去往202.1.1.1/24
80端口的數(shù)據(jù)包����,還有一個是允許從202.1.1.1/24返回的數(shù)據(jù)包;而使用自反只需要創(chuàng)建一個從目的到源的訪問表��,那么路由器會根據(jù)這個自動創(chuàng)建返回的訪問表�����,而且這個訪問表是動態(tài)的����,當回話結(jié)束或者到達超時時間�����,就會自動刪除。
再來說說語法:
普通的訪問列表的一個例子:
ip access-list 101 permit tcp any 10.0.0.0 255.255.255.0 eq 80(定義一個訪問表����,號碼為101,協(xié)議為TCP,源地址為“任意”�����,目的地址為10.0.0.0/255.255.255.0��,端口號等于80的數(shù)據(jù)包可以可以通過)
ip access-list 102 permit tcp 10.0.0.0 255.255.255.0 any(上一個訪問表的反向訪問表)
intface ethernet 0/0(把該列表應用到以太網(wǎng)0/0的端口上)
access-list group 101 out(指定使用101列表檢查外出的數(shù)據(jù)包)
access-list group 102 in(指定使用102列表檢查進入的數(shù)據(jù)包)
自反訪問表:
ip access-list 101 permit tcp any 10.0.0.0 255.255.255.0 eq 80 reflect
backpack timeout 100(定義一個訪問表�����,號碼為101,協(xié)議為TCP����,源地址為“任意”,目的地址為10.0.0.0/255.255.255.0���,端口號等于80的數(shù)據(jù)包可以可以通過,并據(jù)此創(chuàng)建一個返回訪問表�,名字為bcakpack�����,超過100秒自動刪除該訪問表)
ip access-list 102 evaluate bcakpack(定義一個訪問表,號碼為101�����,使用backpack所定義的規(guī)則)
intface ethernet 0/0(把該列表應用到以太網(wǎng)0/0的端口上)
access-list group 101 out(指定使用101列表檢查外出的數(shù)據(jù)包)
access-list group 102 in(指定使用102列表檢查進入的數(shù)據(jù)包)</span>
自反控制列表無法對要動態(tài)改變端口的應用進行控制�����,例如FTP����,因為其使用兩個端口來通訊,但是����,對于被動模式的FTP自反控制列表還是可以應用的
本文出自:億恩科技【www.allwellnessguide.com】
服務器租用/服務器托管中國五強�����!虛擬主機域名注冊頂級提供商�����!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
