全與防火墻技術(shù) 防火墻配置

7防火墻配置?

7.

1

個(gè)人防火墻配置?

7.

1.

1

諾頓個(gè)人防火墻?

Symantec公司推出的NortonPersonalFirewall（諾頓個(gè)人防火墻)是專門(mén)針對(duì)家庭

和個(gè)人用戶的防火墻軟件

，

它可以有效地防范各種黑客程序

、特洛伊木馬對(duì)用戶計(jì)算機(jī)的攻擊

，

并且通過(guò)其特有的系統(tǒng)檢測(cè)功能阻止系統(tǒng)內(nèi)隱藏的程序向外界發(fā)送各種信息。?7.1.2天網(wǎng)防火墻個(gè)人版?1)系統(tǒng)設(shè)置?在防火墻的控制面板中單擊“系統(tǒng)設(shè)置”按鈕,即可展開(kāi)防火墻系統(tǒng)設(shè)置面板。?天網(wǎng)個(gè)人版防火墻系統(tǒng)設(shè)置界面如圖7.1所示。?⑴啟動(dòng)設(shè)置選中開(kāi)機(jī)后自動(dòng)啟動(dòng)防火墻,天網(wǎng)個(gè)人版防火墻將在操作系統(tǒng)啟動(dòng)的時(shí)候自動(dòng)啟動(dòng),否則天網(wǎng)防火墻需要手工啟動(dòng)。圖7.1系統(tǒng)設(shè)置界面?⑵防火墻自定義規(guī)則重置單擊該按鈕,防火墻將彈出窗口,如圖7.2所示。圖7.2防火墻自定義規(guī)則重置?如果單擊“確定”按鈕,天網(wǎng)防火墻將會(huì)把防火墻的安全規(guī)則全部恢復(fù)為初始設(shè)置,對(duì)安全規(guī)則的修改和加入的規(guī)則將會(huì)全部被清除掉。?⑶防火墻設(shè)置向?qū)榱吮阌谟脩艉侠淼脑O(shè)置防火墻,天網(wǎng)防火墻個(gè)人版專門(mén)為用戶設(shè)計(jì)了防火墻設(shè)置向?qū)?界面如圖7.3所示。用戶可以跟隨它一步一步完成天網(wǎng)防火墻的合理設(shè)置。圖7.3防火墻設(shè)置向?qū)?⑷應(yīng)用程序權(quán)限設(shè)置鉤選該選項(xiàng)之后出現(xiàn)圖7.4所示內(nèi)容,所有的應(yīng)用程序?qū)W(wǎng)絡(luò)的訪問(wèn)都默認(rèn)為通行不攔截。這適合在某些特殊情況下,不需要對(duì)所有訪問(wèn)網(wǎng)絡(luò)的應(yīng)用程序都做審核（如在運(yùn)行某些游戲程序的時(shí)候)。圖7.4

應(yīng)用程序權(quán)限設(shè)置?⑸局域網(wǎng)地址設(shè)置在局域網(wǎng)內(nèi)的地址，其界面如圖7.5所示。?注意:如果你的機(jī)器是在局域網(wǎng)里面使用，一定要設(shè)置好這個(gè)地址。因?yàn)榉阑饓?huì)以這個(gè)地址來(lái)區(qū)分局域網(wǎng)或者是Internet的IP來(lái)源。圖7.5

局域網(wǎng)地址?⑹報(bào)警聲音設(shè)置報(bào)警聲音其界面如圖7.6所示,單擊“瀏覽”按鈕,可以自己選擇一個(gè)聲音文件作為天網(wǎng)防火墻預(yù)警的聲音。初始狀態(tài)是沒(méi)有設(shè)置報(bào)警聲音的,單擊“重置”按鈕即可將采用天網(wǎng)防火墻默認(rèn)的報(bào)警聲音。圖7.6

報(bào)警聲音?⑺日志保存鉤選“每次退出防火墻時(shí)自動(dòng)保存日志”復(fù)選框,其界面如圖7.7所示,當(dāng)退出防火墻的保護(hù)時(shí),天網(wǎng)防火墻將會(huì)把當(dāng)日的日志記錄自動(dòng)保存到SkyNet/FireWall/log文件下,打開(kāi)文件夾便可查看當(dāng)日的日志記錄。圖7.7

保存日志?2)安全級(jí)別設(shè)置?天網(wǎng)個(gè)人版防火墻的缺省安全級(jí)別分為低、中、高三個(gè)等級(jí)，默認(rèn)的安全等級(jí)為中級(jí)，其中各等級(jí)的安全設(shè)置說(shuō)明如下:?⑴低所有應(yīng)用程序初次訪問(wèn)網(wǎng)絡(luò)時(shí)都將被詢問(wèn)，已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運(yùn)作。計(jì)算機(jī)將完全信任局域網(wǎng)，允許局域網(wǎng)內(nèi)部的機(jī)器訪問(wèn)自己提供的各種服務(wù)（如文件、打印機(jī)共享服務(wù))，但禁止互聯(lián)網(wǎng)上的機(jī)器訪問(wèn)這些服務(wù)。?⑵中所有應(yīng)用程序初次訪問(wèn)網(wǎng)絡(luò)時(shí)都將被詢問(wèn),已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運(yùn)作。禁止局域網(wǎng)內(nèi)部和互聯(lián)網(wǎng)的機(jī)器訪問(wèn)自己提供的網(wǎng)絡(luò)共享服務(wù)（如文件、打印機(jī)共享服務(wù)等),局域網(wǎng)和互聯(lián)網(wǎng)上的機(jī)器將無(wú)法看到本機(jī)器。?⑶高所有應(yīng)用程序初次訪問(wèn)網(wǎng)絡(luò)時(shí)都將被詢問(wèn),已經(jīng)被認(rèn)可的程序則按照設(shè)置的相應(yīng)規(guī)則運(yùn)作。禁止局域網(wǎng)內(nèi)部和互聯(lián)網(wǎng)的機(jī)器訪問(wèn)自己提供的網(wǎng)絡(luò)共享服務(wù)（如文件、打印機(jī)共享服務(wù)等),局域網(wǎng)和互聯(lián)網(wǎng)上的機(jī)器將無(wú)法看到本機(jī)器。除了是由已經(jīng)被認(rèn)可的程序打開(kāi)的端口,系統(tǒng)會(huì)屏蔽掉向外部開(kāi)放的所有端口。?用戶可以根據(jù)自己的需要調(diào)整自己的安全級(jí)別，方便實(shí)用。?注意:天網(wǎng)的簡(jiǎn)易安全級(jí)別是為了方便不熟悉天網(wǎng)使用的用戶能夠很好的使用天網(wǎng)而設(shè)的。如果用戶選擇了采用簡(jiǎn)易的安全級(jí)別設(shè)置，那么天網(wǎng)就會(huì)屏蔽掉高級(jí)的IP規(guī)則設(shè)定里規(guī)則的作用。?3)IP規(guī)則設(shè)置?⑴缺省IP規(guī)則IP規(guī)則是針對(duì)整個(gè)系統(tǒng)的網(wǎng)絡(luò)層數(shù)據(jù)包監(jiān)控而設(shè)置的。利用自定義IP規(guī)則，用戶可針對(duì)個(gè)人不同的網(wǎng)絡(luò)狀態(tài)，設(shè)置自己的IP安全規(guī)則，使防御手段更周到、更實(shí)用。用戶可以單擊“自定義IP規(guī)則”按鈕或者在“安全級(jí)別”中單擊進(jìn)入IP規(guī)則設(shè)置界面。?

IP規(guī)則設(shè)置的操作界面如圖7.8所示。圖7.8自定義IP規(guī)則?關(guān)于缺省的規(guī)則各項(xiàng)的具體意義，這里只選擇幾項(xiàng)重要的來(lái)解釋。實(shí)際上“天網(wǎng)防火墻個(gè)人版”本身已經(jīng)默認(rèn)設(shè)置了相當(dāng)好的缺省規(guī)則，一般用戶并不需要做任何IP規(guī)則修改，就可以直接使用。?①防御ICMP攻擊:選擇該項(xiàng)時(shí)，別人無(wú)法用Ping的方法來(lái)確定你的存在，但不影響你去Ping別人。?②防御IGMP攻擊:IGMP是用于組播的一種協(xié)議，對(duì)于Windows的用戶是沒(méi)有什么用途的，但現(xiàn)在也被用來(lái)作為藍(lán)屏攻擊的一種方法，建議選擇此設(shè)置。?③TCP數(shù)據(jù)包監(jiān)視:通過(guò)這條規(guī)則，可以監(jiān)視機(jī)器與外部之間的所有TCP連接請(qǐng)求。?注意:這只是一個(gè)監(jiān)視規(guī)則，開(kāi)啟后會(huì)產(chǎn)生大量的日志，該規(guī)則是給熟悉TCP/IP協(xié)議網(wǎng)絡(luò)的人使用的，如果不熟悉網(wǎng)絡(luò)，請(qǐng)不要開(kāi)啟。這條規(guī)則一定要是TCP協(xié)議規(guī)則的第一條。?④禁止互聯(lián)網(wǎng)上的機(jī)器使用我的共享資源:禁止互聯(lián)網(wǎng)上的機(jī)器使用我的共享資源，開(kāi)啟該規(guī)則后，別人就不能訪問(wèn)你的共享資源，包括獲取你的機(jī)器名稱。?⑤禁止所有人連接低端端口:防止所有的機(jī)器和自己的低端端口連接。由于低端端口是TCP/IP協(xié)議的各種標(biāo)準(zhǔn)端口，幾乎所有的Internet服務(wù)都是在這些端口上工作的，所以這是一條非常嚴(yán)厲的規(guī)則，有可能會(huì)影響使用某些軟件。如果需要向外面公開(kāi)特定端口，可在本規(guī)則之前添加使該特定端口數(shù)據(jù)包可通行的規(guī)則。?⑥允許已經(jīng)授權(quán)程序打開(kāi)的端口:某些程序，如ICQ，視頻電話等軟件，都會(huì)開(kāi)放一些端口，這樣，你的同伴才可以連接到你的機(jī)器上。本規(guī)則可以保證這些軟件可以正常工作。?⑦禁止所有人連接:防止所有的機(jī)器和自己連接。這是一條非常嚴(yán)厲的規(guī)則，有可能會(huì)影響使用某些軟件。如果需要向外面公開(kāi)特定端口，在本規(guī)則之前添加使該特定端口數(shù)據(jù)包可通行的規(guī)則。該規(guī)則通常放在最后。?⑧UDP數(shù)據(jù)包監(jiān)視:通過(guò)這條規(guī)則，可以監(jiān)視機(jī)器與外部之間的所有UDP包的發(fā)送和接受過(guò)程。注意:這只是一個(gè)監(jiān)視規(guī)則，開(kāi)啟后可能會(huì)產(chǎn)生大量的日志，平常請(qǐng)不要打開(kāi)。這條規(guī)則是給熟悉TCP/IP協(xié)議網(wǎng)絡(luò)的人使用，如果不熟悉網(wǎng)絡(luò)，則不要開(kāi)啟。這條規(guī)則一定要是UDP協(xié)議規(guī)則的第一條。?⑨允許DNS:允許域名解釋。注意:如果要拒絕接收UDP包，就一定要開(kāi)啟該規(guī)則，否則會(huì)無(wú)法訪問(wèn)互聯(lián)網(wǎng)上的資源。?另外，可針對(duì)性的設(shè)置了多條安全規(guī)則，主要針對(duì)現(xiàn)在一些用戶對(duì)網(wǎng)絡(luò)服務(wù)端口的開(kāi)放和木馬端口的攔截。?⑵自定義IP規(guī)則規(guī)則是一系列的比較條件和一個(gè)對(duì)數(shù)據(jù)包的動(dòng)作，就是根據(jù)數(shù)據(jù)包的每一個(gè)部分來(lái)與設(shè)置的條件比較，當(dāng)符合條件時(shí)，就可以確定對(duì)該包放行或者阻擋。通過(guò)合理的設(shè)置規(guī)則就可以把有害的數(shù)據(jù)包擋在系統(tǒng)之外。?IP規(guī)則的頁(yè)面主要由以下3個(gè)部分組成:?①工具條，其界面如圖7.9所示。圖7.9

工具條?可以單擊上面的按鈕來(lái)“增加規(guī)則”，“修改規(guī)則”，“刪除規(guī)則”。由于規(guī)則判斷是由上而下執(zhí)行的，還可以通過(guò)單擊“上移”或“下移”按鈕調(diào)整規(guī)則的順序（注意:只有相同協(xié)議的規(guī)則才可以調(diào)整相互順序)，還可以“導(dǎo)出”和“導(dǎo)入”已預(yù)設(shè)和已保存的規(guī)則。當(dāng)調(diào)整好順序后，可單擊“保存”按鈕即可保存修改。?②規(guī)則列表，其界面如圖7.10所示。圖7.10規(guī)則列表?這里列出了所有的規(guī)則的名稱，該規(guī)則所對(duì)應(yīng)的數(shù)據(jù)包的方向，該規(guī)則所控制的協(xié)議，本機(jī)端口，對(duì)方地址和對(duì)方端口，以及當(dāng)數(shù)據(jù)包滿足本規(guī)則時(shí)所采取的策略。在列表的左邊為該規(guī)則是否有效的標(biāo)志，鉤選表示該規(guī)則有效，否則表示無(wú)效。?③規(guī)則說(shuō)明:這里列出了規(guī)則的詳細(xì)說(shuō)明。關(guān)于規(guī)則編輯的說(shuō)明，通過(guò)單擊“增加”按鈕或選擇一條規(guī)則后再單擊“修改”按鈕，就會(huì)激活編輯窗口如圖711和712所示圖7.11規(guī)則修改TCP圖7.12規(guī)則修改IP?首先輸入規(guī)則的“名稱”和“說(shuō)明”，以便于查找和閱讀。然后，選擇該規(guī)則是對(duì)進(jìn)入的數(shù)據(jù)包還是輸出的數(shù)據(jù)包有效?！皩?duì)方的IP地址”，用于確定選擇數(shù)據(jù)包從那里來(lái)或是去哪里。注意:“任何地址”是指數(shù)據(jù)包從任何地方來(lái)，都適合本規(guī)則；“局域網(wǎng)網(wǎng)絡(luò)地址”是指數(shù)據(jù)包來(lái)自和發(fā)向局域網(wǎng)；“指定地址”是用戶自己輸入的一個(gè)地址；“指定的網(wǎng)絡(luò)地址”是用戶自己輸入的一個(gè)網(wǎng)絡(luò)和掩碼。?除了錄入選擇上面內(nèi)容，還要錄入該規(guī)則所對(duì)應(yīng)的協(xié)議，其中:?“IP”協(xié)議不用填寫(xiě)內(nèi)容。注意，如果錄入了IP協(xié)議的規(guī)則，一點(diǎn)要保證IP協(xié)議規(guī)則的最后一條的內(nèi)容是:“對(duì)方地址:任何地址；動(dòng)作:繼續(xù)下一規(guī)則”。?“TCP”協(xié)議要輸入本機(jī)的端口范圍和對(duì)方的端口范圍，如果只是指定一個(gè)端口，那么可以在起始端口處錄入該端口，結(jié)束端口處，輸入同樣的端口。如果不想指定任何端口，只要在起始端口都輸入“0”。TCP標(biāo)志比較復(fù)雜，可以查閱其他資料，如果不選擇任何標(biāo)志，那么將不會(huì)對(duì)標(biāo)志作檢查。?“ICMP”規(guī)則要填入類型和代碼。如果輸入“255”，表示任何類型和代碼都符合本規(guī)則。?“IGMP”不用填寫(xiě)內(nèi)容。?當(dāng)一個(gè)數(shù)據(jù)包滿足上面的條件時(shí)，就可以對(duì)該數(shù)據(jù)包采取如下行動(dòng):?“通行”指讓該數(shù)據(jù)包暢通無(wú)阻的進(jìn)入或出去。?“攔截”指讓該數(shù)據(jù)包無(wú)法進(jìn)入該系統(tǒng)。?“繼續(xù)下一規(guī)則”指不對(duì)該數(shù)據(jù)包作任何處理，由該規(guī)則的下一條協(xié)議規(guī)則來(lái)決定對(duì)該包的處理。?在執(zhí)行這些規(guī)則的同時(shí),還可以定義是否記錄這次規(guī)則的處理和這次規(guī)則的處理的數(shù)據(jù)包的主要內(nèi)容,并用右下角的“天網(wǎng)防火墻個(gè)人版”圖標(biāo)是否閃爍來(lái)“警告”,或發(fā)出聲音提示。?⑶建議?①防火墻的規(guī)則檢查順序與列表順序是一致的。?②當(dāng)有局域網(wǎng)時(shí),只想對(duì)局域網(wǎng)開(kāi)放某些端口或協(xié)議（但對(duì)互聯(lián)網(wǎng)關(guān)閉)時(shí),可對(duì)局域網(wǎng)的規(guī)則采用允許“局域網(wǎng)網(wǎng)絡(luò)地址”的某端口、協(xié)議的數(shù)據(jù)包“通行”的規(guī)則,然后用“任何地址”的某端口、協(xié)議的規(guī)則“攔截”,就可達(dá)到目的。?③如果輸入了IP協(xié)議的規(guī)則，一定要保證IP協(xié)議規(guī)則的最后一條的內(nèi)容是:“對(duì)方地址:任何地址，動(dòng)作:繼續(xù)下一規(guī)則”，否則其他協(xié)議的規(guī)則將會(huì)執(zhí)行不到。?④不要濫用“記錄”功能，一個(gè)定義不好的規(guī)則加上記錄功能，會(huì)產(chǎn)生大量沒(méi)有任何意義的日志，并耗費(fèi)大量的內(nèi)存。?說(shuō)明:現(xiàn)在已經(jīng)增加了多條網(wǎng)絡(luò)服務(wù)規(guī)則，如FTP，WEB，SMTP，POP3，Telnet等，只要選中該規(guī)則并保存便可以實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)，而不需要再設(shè)置規(guī)則。?規(guī)則可以導(dǎo)入導(dǎo)出，在這里作一個(gè)簡(jiǎn)單的介紹，其操作如下:?單擊“導(dǎo)出”按鈕，防火墻會(huì)彈出一個(gè)規(guī)則導(dǎo)出選擇（如圖7.13所示)，選中需要導(dǎo)出的規(guī)則，單擊瀏覽選擇保存規(guī)則的文件路徑并輸入識(shí)別名，這時(shí)防火墻便會(huì)自動(dòng)把規(guī)則保存到所選的文件下。?注意:如果沒(méi)有選擇保存路徑，該規(guī)則會(huì)自動(dòng)保存為SKYNET\FIREWALL\Export\IpRulesExport.dat文件。?單擊“導(dǎo)入”按鈕，打開(kāi)選擇保存的規(guī)則目錄，再選擇需要導(dǎo)入的規(guī)則，單擊“確定”按鈕后，防火墻IP規(guī)則列表中便會(huì)增加所選的規(guī)則。圖7.13導(dǎo)出IP規(guī)則?說(shuō)明:該“導(dǎo)出”、“導(dǎo)入”功能是方便一些用戶，在重裝防火墻前可以保存現(xiàn)有的規(guī)則，當(dāng)重裝后只需要導(dǎo)入原有的規(guī)則便可以使用防火墻。?4)網(wǎng)絡(luò)訪問(wèn)監(jiān)控功能?應(yīng)用程序網(wǎng)絡(luò)狀態(tài)功能是目前其他個(gè)人版防火墻產(chǎn)品所沒(méi)有的，天網(wǎng)防火墻個(gè)人版首創(chuàng)的功能。用戶不但可以控制應(yīng)用程序訪問(wèn)權(quán)限，還可以監(jiān)視該應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)所使用的數(shù)據(jù)傳輸通訊協(xié)議端口等。通過(guò)天網(wǎng)防火墻個(gè)人版提供的應(yīng)用程序網(wǎng)絡(luò)狀態(tài)功能，用戶能夠監(jiān)視到所有開(kāi)放端口連接的應(yīng)用程序及它們使用的數(shù)據(jù)傳輸通訊協(xié)議，任何不明程序的數(shù)據(jù)傳輸通訊協(xié)議端口,例如特洛依木馬等,都可以在應(yīng)用程序網(wǎng)絡(luò)狀態(tài)下一覽無(wú)遺。用戶可以查看應(yīng)用程序網(wǎng)絡(luò)狀態(tài),如圖7.14所示。在此功能的監(jiān)控下,可以清楚地看到應(yīng)用程序的使用情況。圖7.14應(yīng)用程序網(wǎng)絡(luò)狀態(tài)?天網(wǎng)防火墻正式版對(duì)訪問(wèn)網(wǎng)絡(luò)的應(yīng)用程序進(jìn)程監(jiān)控還實(shí)現(xiàn)了協(xié)議過(guò)濾功能,對(duì)于普通用戶而言,由于通常的危險(xiǎn)進(jìn)程都是采用TCP傳輸層協(xié)議,所以基本上只要對(duì)使用TCP協(xié)議的應(yīng)用程序進(jìn)程監(jiān)控就可以了。一旦發(fā)現(xiàn)有不法進(jìn)程在訪問(wèn)網(wǎng)絡(luò),用戶可以用天網(wǎng)應(yīng)用程序網(wǎng)絡(luò)監(jiān)控的結(jié)束進(jìn)程鈕來(lái)禁止它們,該按鈕存在于圖7.15中。圖7.15結(jié)束進(jìn)程?注意:為結(jié)束進(jìn)程鈕，當(dāng)用戶發(fā)現(xiàn)有不法進(jìn)程而要終止它們運(yùn)行的時(shí)候，可以利用這個(gè)按鈕。單擊后出現(xiàn)一個(gè)提示框，單擊“確定”按鈕之后就可以結(jié)束進(jìn)程。?5)修補(bǔ)系統(tǒng)漏洞功能?系統(tǒng)漏洞似乎不可避免，在有防火墻的情況下，黑客仍然可以通過(guò)已知或未知的系統(tǒng)漏洞入侵系統(tǒng)。例如最近爆發(fā)造成數(shù)十億美元損失的“紅色代碼CODERED”，即是利用IIS的系統(tǒng)漏洞，繞過(guò)了部分防火墻產(chǎn)品漏洞對(duì)系統(tǒng)產(chǎn)生入侵。在開(kāi)始程序的天網(wǎng)防火墻個(gè)人版目錄下單擊圖標(biāo)進(jìn)行檢測(cè)修復(fù)。?天網(wǎng)防火墻個(gè)人版提供了安全檢測(cè)修復(fù)系統(tǒng),可以修補(bǔ)用戶的部分系統(tǒng)漏洞,在正式版本的天網(wǎng)防火墻個(gè)人版中,將提供修復(fù)系統(tǒng)漏洞的功能。?6)日志查看與分析?天網(wǎng)防火墻個(gè)人版將會(huì)把所有不合規(guī)則的數(shù)據(jù)傳輸封包攔截并且記錄下來(lái)（如圖7.16所示),如果選擇了監(jiān)視TCP和UDP數(shù)據(jù)傳輸封包,那發(fā)送和接受的每個(gè)數(shù)據(jù)傳輸封包也將被記錄下來(lái)。每條記錄從左到右分別是發(fā)送/接受時(shí)間、發(fā)送IP地址、數(shù)據(jù)傳輸封包類型、本機(jī)通訊端口,對(duì)方通訊端口,標(biāo)志位。圖7.16日志?有不是所有被攔截的數(shù)據(jù)傳輸封包都意味著有人在攻擊，有些是正常的數(shù)據(jù)傳輸封包。但可能由于設(shè)置的防火墻的IP規(guī)則的問(wèn)題，也會(huì)被天網(wǎng)防火墻個(gè)人版攔截下來(lái)并且報(bào)警，如設(shè)置了禁止別人Ping您的主機(jī)，如果有人向您的主機(jī)發(fā)送Ping命令，天網(wǎng)防火墻個(gè)人版也會(huì)把這些發(fā)來(lái)的ICMP數(shù)據(jù)攔截下來(lái)記錄在日志上并且報(bào)警。?7.2企業(yè)防火墻配置?7.2.1防火墻的主要應(yīng)用拓?fù)浣Y(jié)構(gòu)?傳統(tǒng)邊界防火墻主要有以下4種典型的應(yīng)用環(huán)境，它們分別是:?控制來(lái)自互聯(lián)網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)?控制來(lái)自第三方局域網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)?控制局域網(wǎng)內(nèi)部不同部門(mén)網(wǎng)絡(luò)之間的訪問(wèn)?控制對(duì)服務(wù)器中心的網(wǎng)絡(luò)訪問(wèn)?1)控制來(lái)自互聯(lián)網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)?這是一種應(yīng)用最廣，也是最重要的防火墻應(yīng)用環(huán)境。?在這種應(yīng)用環(huán)境中，一般情況下防火墻網(wǎng)絡(luò)可劃分為3個(gè)不同級(jí)別的安全區(qū)域:?內(nèi)部網(wǎng)絡(luò)這是防火墻要保護(hù)的對(duì)象，包括全部的企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)備及用戶主機(jī)。這個(gè)區(qū)域是防火墻的可信區(qū)域(這是由傳統(tǒng)邊界防火墻的設(shè)計(jì)理念決定的)。?外部網(wǎng)絡(luò)這是防火墻要防護(hù)的對(duì)象,包括外部互聯(lián)網(wǎng)主機(jī)和設(shè)備。這個(gè)區(qū)域?yàn)榉阑饓Φ姆强尚啪W(wǎng)絡(luò)區(qū)域(也是由傳統(tǒng)邊界防火墻的設(shè)計(jì)理念決定的)。?DMZ它是從企業(yè)內(nèi)部網(wǎng)絡(luò)中劃分的一個(gè)小區(qū)域,在其中包括內(nèi)部網(wǎng)絡(luò)中用于公眾服務(wù)的外部服務(wù)器,如Web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、外部DNS服務(wù)器等,它們都是為互聯(lián)網(wǎng)提供某種信息服務(wù)。?在這種應(yīng)用環(huán)境中,在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上企事業(yè)單位可以有兩種選擇,這主要是根據(jù)單位的網(wǎng)絡(luò)設(shè)備情況而定。?如果企業(yè)原來(lái)已有邊界路由器,則可充分利用原有設(shè)備,利用邊界路由器的包過(guò)濾功能,添加相應(yīng)的防火墻配置,這樣原來(lái)的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接。對(duì)于DMZ區(qū)中的公用服務(wù)器,則可直接與邊界路由器相連,不用經(jīng)過(guò)防火墻,它可只經(jīng)過(guò)路由器的簡(jiǎn)單防護(hù)。在此拓?fù)浣Y(jié)構(gòu)中,邊界路由器與防火墻就一起組成了兩道安全防線,并且在這兩者之間可以設(shè)置一個(gè)DMZ區(qū),用來(lái)放置那些允許外部用戶訪問(wèn)的公用服務(wù)器設(shè)施。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖7.20所示。圖7.20原來(lái)已有邊界路由器的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)?如果企業(yè)原來(lái)沒(méi)有邊界路由器,此時(shí)也可不再添加邊界路由器,僅由防火墻來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)。此時(shí)DMZ區(qū)域和需要保護(hù)的內(nèi)部網(wǎng)絡(luò)分別連接防火墻的不同LAN網(wǎng)絡(luò)接口,因此需要對(duì)這兩部分網(wǎng)絡(luò)設(shè)置不同的安全策略。這種拓?fù)浣Y(jié)構(gòu)雖然只有一道安全防線,但對(duì)于大多數(shù)中、小企業(yè)來(lái)說(shuō)是完全可以滿足的。不過(guò)在選購(gòu)防火墻時(shí)要注意,防火墻一定要有兩個(gè)以上的LAN網(wǎng)絡(luò)接口。這種應(yīng)用環(huán)境的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖7.21所示。圖7.21原來(lái)沒(méi)有邊界路由器的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)?2)控制來(lái)自第三方網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)?在這種防火墻應(yīng)用網(wǎng)絡(luò)環(huán)境中，根據(jù)企業(yè)是否需要非軍事區(qū)(放置一些供第三方網(wǎng)絡(luò)用戶訪問(wèn)的服務(wù)器)可以有兩種具體的網(wǎng)絡(luò)配置方案:?（1)需要DMZ區(qū)這種情況是企業(yè)需要為第三方網(wǎng)絡(luò)提供一些公用服務(wù)器，供日常訪問(wèn)。這種網(wǎng)絡(luò)環(huán)境與上面所介紹的限制互聯(lián)網(wǎng)用戶非法訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)一樣，整個(gè)網(wǎng)絡(luò)同樣可分為3個(gè)區(qū)域:?內(nèi)部網(wǎng)絡(luò)這是防火墻要保護(hù)的對(duì)象,包括全部企業(yè)內(nèi)部網(wǎng)絡(luò)中需要保護(hù)的設(shè)備和用戶主機(jī)。為防火墻的可信網(wǎng)絡(luò)區(qū)域,需對(duì)第三方用戶透明隔離。?外部網(wǎng)絡(luò)防火墻要限制訪問(wèn)的對(duì)象,包括第三方網(wǎng)絡(luò)主機(jī)和設(shè)備。為防火墻的非可信網(wǎng)絡(luò)區(qū)域。?DMZ由企業(yè)內(nèi)部網(wǎng)絡(luò)中一些外部服務(wù)器組成,包括公眾Web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、外部DNS服務(wù)器等。這些公眾服務(wù)器為第三方網(wǎng)絡(luò)提供相應(yīng)的網(wǎng)絡(luò)信息服務(wù)。?需要保護(hù)的內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)的安全策略也是不同的:需要保護(hù)的內(nèi)部網(wǎng)絡(luò)一般禁止來(lái)自第三方的訪問(wèn)，而DMZ則是為第三方提供相關(guān)的服務(wù)，允許第三方的訪問(wèn)。?同樣，也可以通過(guò)NAT對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，保護(hù)內(nèi)網(wǎng)安全。?若企業(yè)原有邊界路由器設(shè)備，通過(guò)配置后它可以擔(dān)當(dāng)包過(guò)濾防火墻角色。這時(shí)的DMZ區(qū)就可直接連接邊界路由器的一個(gè)LAN接口上，而無(wú)需經(jīng)過(guò)防火墻。而保護(hù)內(nèi)部網(wǎng)絡(luò)通過(guò)防火墻與邊界路由器連接。如果企業(yè)沒(méi)有邊界路由器，則DMZ區(qū)和內(nèi)部網(wǎng)絡(luò)分別接在防火墻的兩個(gè)不同的LAN接口上，構(gòu)成多宿主機(jī)模式。?（2)沒(méi)有DMZ區(qū)此應(yīng)用環(huán)境下整個(gè)網(wǎng)絡(luò)就只包括內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩個(gè)區(qū)域。某些需要向第三方網(wǎng)絡(luò)提供特殊服務(wù)的服務(wù)器或主機(jī)與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)通過(guò)防火墻的同一LAN接口連接，作為內(nèi)部網(wǎng)絡(luò)的一部分，通過(guò)防火墻配置對(duì)第三方開(kāi)放內(nèi)部網(wǎng)絡(luò)中特定的服務(wù)器/主機(jī)資源。注意:這種配置可能帶來(lái)極大的安全隱患，因?yàn)閬?lái)自第三方網(wǎng)絡(luò)中的攻擊者可能破壞和控制對(duì)他們開(kāi)放的內(nèi)部服務(wù)器/主機(jī)，并以此為據(jù)點(diǎn)，進(jìn)而破壞和攻擊內(nèi)部網(wǎng)絡(luò)中的其他主機(jī)/服務(wù)器等網(wǎng)絡(luò)資源。?3)控制內(nèi)部網(wǎng)絡(luò)不同部門(mén)之間的訪問(wèn)?這種應(yīng)用環(huán)境就是在一個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)之間,對(duì)一些安全敏感的部門(mén)進(jìn)行隔離保護(hù)。通過(guò)防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)中敏感部門(mén)的資源不被非法訪問(wèn)。這些所謂的“敏感部門(mén)”通常是指人事部門(mén)、財(cái)務(wù)部門(mén)和市場(chǎng)部門(mén)等,在這些部門(mén)的主機(jī)中的數(shù)據(jù)對(duì)于企業(yè)來(lái)說(shuō)是非常重要,它的工作不能完全離開(kāi)企業(yè)網(wǎng)絡(luò),但其中的數(shù)據(jù)又不能隨便供網(wǎng)絡(luò)用戶訪問(wèn)。這時(shí)有幾種解決方案,通常采用的是采用VLAN配置,但這種方法需要配置3層以上交換機(jī),同時(shí)配置方法較為復(fù)雜。另一種有效的方法就是采用防火墻進(jìn)行隔離,在防火?墻上進(jìn)行相關(guān)的配置(比VLAN簡(jiǎn)單許多)。通過(guò)防火墻隔離后,盡管同屬于一個(gè)內(nèi)部局域網(wǎng),但是其他用戶的訪問(wèn)都需要經(jīng)過(guò)防火墻的過(guò)濾,符合條件的用戶才能訪問(wèn)。這類防火墻通常不僅通過(guò)包過(guò)濾來(lái)篩選數(shù)據(jù)包的,而且還要對(duì)用戶身份的合法性(在防火墻中可以設(shè)置允許哪些用戶訪問(wèn))進(jìn)行識(shí)別。通常為自適應(yīng)代理服務(wù)器型防火墻,這種防火墻還可以有日志記錄功能,對(duì)網(wǎng)絡(luò)管理了解網(wǎng)絡(luò)安全現(xiàn)狀及改進(jìn)非常重要。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖7.22所示。圖7.22網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)?4)控制對(duì)服務(wù)器中心的網(wǎng)絡(luò)訪問(wèn)?要按不同安全策略保護(hù)這些服務(wù)器，可以有以下兩種方法:?①為每個(gè)服務(wù)器單獨(dú)配置一個(gè)獨(dú)立的防火墻,網(wǎng)絡(luò)如圖7.23所示。這種方案是一種最直接、最傳統(tǒng)的方法。配置方法也最容易,但這種方案無(wú)論從經(jīng)濟(jì)上、還是從使用和管理的靈活可靠性上都不是最好的。一則需要購(gòu)買(mǎi)與托管理服務(wù)器數(shù)據(jù)一樣多的防火墻,對(duì)托管中心來(lái)說(shuō)投資非常之大；而且托管中心管理員面對(duì)這么多防火墻,其管理難度也較大。圖7.23

每個(gè)服務(wù)器單獨(dú)配置一個(gè)獨(dú)立的防火墻網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)?②采用虛擬防火墻方式,網(wǎng)絡(luò)結(jié)構(gòu)如圖7.24所示。這主要是利用3層交換機(jī)的VLAN(虛擬局域網(wǎng))功能,先為每一臺(tái)連接在3層交換機(jī)上的用戶服務(wù)器所連接的網(wǎng)絡(luò)配置成一個(gè)單獨(dú)的VLAN子網(wǎng),然后通過(guò)對(duì)高性能防火墻,對(duì)VLAN子網(wǎng)進(jìn)行配置,就相當(dāng)于將一個(gè)高性能防火墻劃分為多個(gè)虛擬防火墻,其最終效果如圖7.23一樣。這種方案雖然配置較為復(fù)雜,但首次配置好了,其后的使用和管理就相當(dāng)方便了,就像用交換機(jī)管理多個(gè)VLAN子網(wǎng)一樣來(lái)管理每個(gè)用戶服務(wù)器,這種方案在現(xiàn)實(shí)中比較經(jīng)濟(jì)可行。圖7.24

虛擬防火墻網(wǎng)絡(luò)結(jié)構(gòu)?

7.2.2防火墻的應(yīng)用配置?

1)DMZ應(yīng)用配置?DMZ是作為內(nèi)外網(wǎng)都可以訪問(wèn)的公共計(jì)算機(jī)系統(tǒng)和資源的連接點(diǎn),在其中放置的都是一些可供內(nèi)部、外部用戶訪問(wèn)的服務(wù)器,或提供通信基礎(chǔ)服務(wù)的服務(wù)器及設(shè)備。例如,企事業(yè)單位的Web服務(wù)器、Email服務(wù)器、VPN網(wǎng)關(guān)、DNS服務(wù)器、撥號(hào)所用的Modem池等等。這些系統(tǒng)和資源都不能放置在內(nèi)部保護(hù)網(wǎng)絡(luò)內(nèi),否則會(huì)因內(nèi)部網(wǎng)絡(luò)受到防火墻的訪問(wèn)限制而無(wú)法正常工作。DMZ區(qū)通常放置在帶包過(guò)濾功能的邊界路由器與防火墻之間。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖7.25所示。圖7.25

典型網(wǎng)絡(luò)結(jié)構(gòu)?以上所介紹的是一種典型的網(wǎng)絡(luò)應(yīng)用環(huán)境,有些企事業(yè)單位的網(wǎng)絡(luò),可能需要兩類DMZ,即所謂的“外部DMZ”和“內(nèi)部DMZ”。外部DMZ放置的是內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)用戶都可以寬松訪問(wèn)的系統(tǒng)和資源,如以上所介紹的Web服務(wù)器、E-mail服務(wù)器、VPN網(wǎng)關(guān)、DNS服務(wù)器、撥號(hào)所用的Modem池等。這部分網(wǎng)絡(luò)需單獨(dú)連在主防火墻的一個(gè)LAN端口。內(nèi)部DMZ所放置是內(nèi)部網(wǎng)絡(luò)中用防火墻所保護(hù)的內(nèi)部網(wǎng)絡(luò)中需要供內(nèi)部網(wǎng)絡(luò)用戶共享的系統(tǒng)和資源(如內(nèi)部郵件服務(wù)器、內(nèi)部Web服務(wù)器、內(nèi)部FTP服務(wù)器等),當(dāng)然外部網(wǎng)絡(luò)用戶是不能訪問(wèn)此DMZ區(qū)資源的。內(nèi)部DMZ放置在主防火墻與內(nèi)部防火墻之間。它的典型網(wǎng)絡(luò)結(jié)構(gòu)如圖7.26所示。圖7.26

典型網(wǎng)絡(luò)結(jié)構(gòu)?2)VPN?VPN是目前最新的網(wǎng)絡(luò)技術(shù)之一，它的主要優(yōu)點(diǎn)通過(guò)公網(wǎng)，利用隧道技術(shù)進(jìn)行虛擬連接，相比專線連接來(lái)說(shuō)可以大幅降低企業(yè)通信成本，隨著VPN技術(shù)的發(fā)展，VPN通信的安全問(wèn)題已基本得到解決，所以目前它是一種企業(yè)首選通信方式，得到了廣大企業(yè)用戶的認(rèn)可和選擇。?在防火墻網(wǎng)絡(luò)中