《信息安全原理與實(shí)踐教程》課件第8章

第8章防火墻原理與配置

8.1防火墻概述

8.2Windows防火墻的配置實(shí)驗(yàn)

8.3易尚防火墻的配置實(shí)驗(yàn)

8.4紅墻防火墻的配置實(shí)驗(yàn)

8.5小結(jié)

8.1防?火?墻?概?述防火墻在受保護(hù)網(wǎng)絡(luò)和不被信任的外部網(wǎng)絡(luò)之間設(shè)立一個(gè)安全屏障，通過相應(yīng)的控制手段，盡可能地對外部網(wǎng)絡(luò)屏蔽內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)和結(jié)構(gòu)，最大限度地阻止網(wǎng)絡(luò)中的非授權(quán)用戶更改、復(fù)制和毀壞內(nèi)部網(wǎng)絡(luò)的重要數(shù)據(jù)。從技術(shù)上講，防火墻是一種網(wǎng)絡(luò)之間的訪問控制機(jī)制，用于確定哪些內(nèi)部服務(wù)允許外部訪問，以及哪些內(nèi)部用戶可以訪問外部服務(wù)；從邏輯上講，它是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的唯一出入口。防火墻的基本安全策略是一切未被允許的都是禁止的和一切未被禁止的都是允許的。因此，防火墻的設(shè)計(jì)必須確保三點(diǎn)：一是所有通過內(nèi)部和外部的網(wǎng)絡(luò)數(shù)據(jù)流都要經(jīng)過防火墻；二是定義統(tǒng)一的安全策略，保證只有經(jīng)過授權(quán)的數(shù)據(jù)流才可以通過防火墻；三是防火墻自身具有很高的安全性，對入侵是免疫的。一般來說，防火墻的設(shè)計(jì)主要包括以下基本功能：

(1)通過防火墻可以定義一個(gè)關(guān)鍵點(diǎn)以防止外來入侵和內(nèi)部信息的外泄。

(2)監(jiān)控網(wǎng)絡(luò)的安全，并在異常情況下給出報(bào)警提示。

(3)對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)視和審計(jì)。

(4)提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能(NetworkAddressTranslation，簡稱NAT)。

按照不同的分類標(biāo)準(zhǔn)劃分，防火墻可以有多種類型。根據(jù)防火墻在網(wǎng)絡(luò)協(xié)議棧進(jìn)行過濾的層次不同，防火墻可分為包過濾型防火墻、代理服務(wù)型防火墻和混合型防火墻(自治代理防火墻)。其中，包過濾型防火墻包括靜態(tài)包過濾防火墻和動態(tài)包過濾防火墻，代理服務(wù)型防火墻包括電路級網(wǎng)關(guān)防火墻和應(yīng)用層網(wǎng)關(guān)防火墻。由于整個(gè)網(wǎng)絡(luò)的安全策略、安全措施以及安全目的不同，防火墻可以設(shè)計(jì)成不同的結(jié)構(gòu)，并提供不同級別的安全。目前，主要有屏蔽路由器、雙宿網(wǎng)關(guān)、屏蔽主機(jī)網(wǎng)關(guān)和屏蔽子網(wǎng)等幾種常見的防火墻結(jié)構(gòu)。

8.2Windows防火墻的配置實(shí)驗(yàn)

1.實(shí)驗(yàn)?zāi)康膶W(xué)會使用Windows操作系統(tǒng)自帶的防火墻軟件。

2.實(shí)驗(yàn)環(huán)境基于WindowsXP或Windows2003等的操作系統(tǒng)。

3.實(shí)驗(yàn)內(nèi)容

1)啟用與禁用Windows防火墻

Windows防火墻是Windows系列操作系統(tǒng)中自帶的一個(gè)功能組件，可以對計(jì)算機(jī)起到一定的保護(hù)作用。在WindowsXP操作系統(tǒng)中依次點(diǎn)擊“開始”→“控制面板”→“安全中心”，如圖8.1所示。圖8.1Windows安全中心窗口雙擊“Windows防火墻”圖標(biāo)，打開防火墻配置窗口，如圖8.2所示。選中“啟用”單選選項(xiàng)，然后單擊【確定】按鈕，即可啟用Windows防火墻。如果不想啟用Windows防火墻，則選擇“關(guān)閉”單選選項(xiàng)即可。

圖8.2Windows防火墻配置窗口

2)設(shè)置Windows防火墻例外設(shè)置例外的目的就是告訴Windows防火墻不要阻擋選定的例外(可以是程序，可以是服務(wù)，還可以是特定端口)所發(fā)起的連接。設(shè)置“例外”的方法如下：第1步：在如圖8.2所示的對話框確認(rèn)沒有選擇“不允許例外”復(fù)選框，然后單擊“例外”選項(xiàng)卡，如圖8.3所示。我們把需要當(dāng)做例外的程序、端口添加到這個(gè)“程序和服務(wù)”列表中即可。圖8.4中前面勾選的復(fù)選項(xiàng)表示已經(jīng)加入到“例外”中。

圖8.3“例外”選項(xiàng)卡圖8.4“添加程序”對話框第2步：如果要讓W(xué)indows不阻止某個(gè)程序或服務(wù)，則單擊圖8.3中的【添加程序】按鈕，打開如圖8.4所示對話框。在上面的列表中顯示了在程序菜單中顯示的程序，可以直接選擇。如果所要添加的程序或服務(wù)不在上面列表中，則可以在“路徑”欄中通過單擊【瀏覽】按鈕查找選擇，所選擇的必須是可執(zhí)行文件。最后單擊【確定】按鈕即可添加一個(gè)允許通信的程序或服務(wù)。并返回到如圖8.3所示的對話框，然后再單擊【確定】按鈕使所做設(shè)置生效。第3步：如果要允許某個(gè)特定端口(通常對應(yīng)特定的服務(wù))的通信，則要在圖8.3所示對話框中單擊【添加端口】按鈕，打開如圖8.5所示對話框。在這里要輸入端口的名稱和端口號，本例中分別輸入“telnet”和“23”。由于telnet服務(wù)所用的23端口為TCP類型的，所以選擇“TCP”單選選項(xiàng)。最后單擊【確定】按鈕即可添加一個(gè)允許通信的端口。添加后返回到如圖8.3所示的對話框，單擊【確定】按鈕使所做設(shè)置生效。圖8.5“添加端口”對話框第4步：在圖8.4和圖8.5中，都有一個(gè)【更改范圍】按鈕，單擊它即打開一個(gè)如圖8.6所示的對話框。前面我們已經(jīng)說明，本節(jié)所進(jìn)行的設(shè)置將同時(shí)作用于當(dāng)前計(jì)算機(jī)上的所有網(wǎng)絡(luò)連接。通過如圖8.6所示對話框可以一次把所做的設(shè)置應(yīng)用于網(wǎng)絡(luò)中的多臺計(jì)算機(jī)，甚至一個(gè)子網(wǎng)或者網(wǎng)絡(luò)。圖8.6“更改范圍”對話框如果要應(yīng)用于任何網(wǎng)絡(luò)計(jì)算機(jī)(包括來自因特網(wǎng)的計(jì)算機(jī)，如遠(yuǎn)程網(wǎng)絡(luò)連接)，則選擇“任何計(jì)算機(jī)”單選選項(xiàng)，這是默認(rèn)選擇。通過選擇這個(gè)單選選項(xiàng)，將同時(shí)允許本地和遠(yuǎn)程網(wǎng)絡(luò)用戶訪問本機(jī)共享資源，這是比較危險(xiǎn)的，所以建議不要這樣選擇。如果要應(yīng)用于本機(jī)所在網(wǎng)絡(luò)或子網(wǎng)，則選擇“僅我的網(wǎng)絡(luò)(子網(wǎng))”單選選項(xiàng)，選中后可以僅讓局域網(wǎng)內(nèi)的用戶訪問你的共享資源，而因特網(wǎng)上的計(jì)算機(jī)則不能訪問，這是比較安全的選擇。如果要應(yīng)用于某些網(wǎng)絡(luò)中的特定IP地址，或者子網(wǎng)上的計(jì)算機(jī)，則要選擇“自定義列表”單選選項(xiàng)，然后在其下面的文本框中輸入IP地址或者子網(wǎng)(多個(gè)IP地址或子網(wǎng)之間以逗號分隔)。每次將程序、系統(tǒng)服務(wù)或端口添加到例外列表時(shí)，都會使計(jì)算機(jī)容易受到攻擊。所以應(yīng)該仔細(xì)評估需要打開許多端口的任何服務(wù)器的設(shè)計(jì)。因此，為了降低安全風(fēng)險(xiǎn)，添加時(shí)應(yīng)遵照以下準(zhǔn)則：

(1)僅在需要例外時(shí)創(chuàng)建例外。

(2)對于不認(rèn)識的程序不允許例外。

(3)不再需要例外時(shí)刪除例外。

3)?Windows防火墻的高級設(shè)置

Windows防火墻的高級設(shè)置主要包括為每個(gè)網(wǎng)絡(luò)連接單獨(dú)配置例外、設(shè)置安全記錄日志、ICMP(因特網(wǎng)控制消息協(xié)議)消息共享設(shè)置，以及恢復(fù)默認(rèn)設(shè)置。下面分別予以介紹。

(1)為每個(gè)網(wǎng)絡(luò)連接設(shè)置例外。如果要對每個(gè)網(wǎng)絡(luò)連接設(shè)置不同的例外服務(wù)項(xiàng)，則需要在如圖8.2所示的“高級”選項(xiàng)卡中進(jìn)行設(shè)置，具體操作步驟如下：第1步：如圖8.7所示，在“高級”選項(xiàng)卡中的“網(wǎng)絡(luò)連接設(shè)置”列表框中選擇要單獨(dú)設(shè)置例外的網(wǎng)絡(luò)連接項(xiàng)，然后單擊【設(shè)置】按鈕。在彈出的“高級設(shè)置”窗口中列出了一些常見的例外服務(wù)選項(xiàng)(如HTTP、FTP、POP3和SMTP等)，如圖8.8所示。

圖8.7防火墻“高級”選項(xiàng)卡圖8.8防火墻“服務(wù)”選項(xiàng)卡如果一臺服務(wù)器安裝了多塊網(wǎng)卡，而每塊網(wǎng)卡想承擔(dān)特定的服務(wù)，如一塊專門用于提供Web服務(wù)，另一塊專門用來提供FTP服務(wù)，還有一塊專門用來提供POP3和SMTP郵件服務(wù)，那么我們可以分別對這3塊網(wǎng)卡所對應(yīng)的網(wǎng)絡(luò)連接進(jìn)行設(shè)置。圖8.8中列出了常見的服務(wù)，如“Web服務(wù)器(HTTP)”、“FTP服務(wù)器”、“Post-Office協(xié)議版本3(POP3)”和“Internet郵件服務(wù)器(SMTP)”等。如果不想讓遠(yuǎn)程用戶通過服務(wù)器中某塊網(wǎng)卡進(jìn)行遠(yuǎn)程桌面連接，則不需要選中“遠(yuǎn)程桌面”服務(wù)；反之，如果選中了“遠(yuǎn)程桌面”服務(wù)，則表示遠(yuǎn)程用戶可以進(jìn)行遠(yuǎn)程桌面連接，這就給計(jì)算機(jī)帶來了遠(yuǎn)程訪問的威脅。第2步：如果要添加其他的例外服務(wù)，則單擊圖8.8中的【添加】按鈕，打開如圖8.9所示對話框。在其中輸入相應(yīng)的服務(wù)信息，如服務(wù)器名、服務(wù)提供主機(jī)、內(nèi)外部服務(wù)端口和端口類型。單擊【確定】按鈕，即可把所增加的例外服務(wù)添加到如圖8.8所示的例外列表中。

第3步：點(diǎn)擊圖8.8中的“ICMP”選項(xiàng)卡，進(jìn)行有關(guān)ICMP的設(shè)置，如圖8.10所示。在這里可以設(shè)置哪類ICMP消息可共享顯示。選擇對應(yīng)選項(xiàng)后，會在對話框下面顯示相應(yīng)選項(xiàng)的用途，以方便用戶的選擇。例如選擇“允許傳入的回顯請求”復(fù)選框，則會在發(fā)送消息的用戶計(jì)算機(jī)顯示同樣的信息，如進(jìn)行Ping操作時(shí)的回顯消息。此回顯請求可以幫助解答疑難問題，但是也有可能被黑客所利用。圖8.9“服務(wù)設(shè)置”對話框圖8.10“高級設(shè)置”對話框“ICMP”選項(xiàng)卡

(2)設(shè)置安全日志記錄。在圖8.7所示對話框中，單擊“安全日志記錄”欄對應(yīng)的【設(shè)置】按鈕，即可打開日志設(shè)置對話框，如圖8.11所示。在這里可以設(shè)置日志記錄選項(xiàng)，可以記錄被丟棄的數(shù)據(jù)包，也可以記錄成功的連接，通常情況下都記錄被丟棄的數(shù)據(jù)包。另外，在“名稱”欄中可以設(shè)置Windows防火墻日志文件的存放路徑和文件名，在“大小限制”欄可以設(shè)置日志文件的最大值。圖8.11“日志設(shè)置”對話框

(3)?ICMP設(shè)置。在圖8.7所示對話框中單擊“ICMP”欄中的【設(shè)置】按鈕，打開如圖8.10所示的對話框。前面已作詳細(xì)介紹，這里就不再贅述。

4)通過組策略設(shè)置Windows防火墻還可以通過組策略來控制Windows防火墻狀態(tài)和設(shè)置允許的例外，操作步驟如下：第1步：執(zhí)行“開始”→“運(yùn)行”菜單命令，在打開的“運(yùn)行”窗口中輸入“gpedit.msc”，然后單擊【確定】按鈕即可打開如圖8.12所示的組策略編輯器管理單元。圖8.12組策略編輯器第2步：在左側(cè)導(dǎo)航窗口中依次展開“計(jì)算機(jī)配置→管理模塊→網(wǎng)絡(luò)→網(wǎng)絡(luò)連接→Windows防火墻”，見圖8.12。在右邊的“Windows防火墻”窗格中可以看到兩個(gè)分枝，一個(gè)是域配置文件，另一個(gè)是標(biāo)準(zhǔn)配置文件。如果當(dāng)前計(jì)算機(jī)是加入到域文件中的，則是域文件起作用，相反，則是標(biāo)準(zhǔn)配置文件起作用。即使沒有配置標(biāo)準(zhǔn)配置文件，默認(rèn)的值也會生效，在此以個(gè)人計(jì)算機(jī)的標(biāo)準(zhǔn)配置文件為例進(jìn)行介紹，如圖8.13所示。圖8.13標(biāo)準(zhǔn)配置文件窗口第3步：系統(tǒng)默認(rèn)的是沒有配置任何選項(xiàng)。雙擊“保護(hù)所有網(wǎng)絡(luò)連接”策略項(xiàng)即可打開配置對話框，如圖8.14所示。選擇“已啟用”單選選項(xiàng)，然后單擊【確定】按鈕即可啟用“保護(hù)所有網(wǎng)絡(luò)連接”策略項(xiàng)。啟用這個(gè)策略項(xiàng)后，相當(dāng)于在所有網(wǎng)絡(luò)連接上啟用Windows防火墻保護(hù)功能，如果禁用此策略設(shè)置，Windows防火墻將不會運(yùn)行。其他策略項(xiàng)配置對話框的打開方法也是如此。圖8.14“保護(hù)所有網(wǎng)絡(luò)連接”配置窗口

4.注意事項(xiàng)

Windows防火墻一般要與其他防火墻軟件配合使用。

8.3易尚防火墻的配置實(shí)驗(yàn)網(wǎng)新易尚ES750網(wǎng)關(guān)防火墻是北京網(wǎng)新易尚科技有限公司生產(chǎn)的一款安全產(chǎn)品，它是面向小型企業(yè)和辦公的SOHO(SmallOfficeHomeOffice)級防火墻，其外觀如圖8.17所示。易尚防火墻在性能上能滿足小型企業(yè)和辦公室使用，功能非常強(qiáng)大，可提供以下功能：

(1)應(yīng)用層服務(wù)：如病毒防護(hù)和內(nèi)容過濾。

(2)網(wǎng)絡(luò)層服務(wù)：如防火墻、入侵檢測、VPN和流量控制。

1.實(shí)驗(yàn)?zāi)康恼莆站W(wǎng)新易尚ES750網(wǎng)關(guān)防火墻的配置方法。

2.實(shí)驗(yàn)環(huán)境基于WindowsXP或Windows2003等的操作系統(tǒng)、網(wǎng)新易尚ES750網(wǎng)關(guān)防火墻等。

3.實(shí)驗(yàn)內(nèi)容網(wǎng)新易尚ES750網(wǎng)關(guān)防火墻為用戶提供兩種管理連接界面：命令行界面和Web管理界面。前者要求用戶計(jì)算機(jī)通過串口與防火墻進(jìn)行連接，后者要求用戶計(jì)算機(jī)與防火墻以常規(guī)以太網(wǎng)雙絞線連接，或者通過集線器/交換機(jī)進(jìn)行連接。網(wǎng)新易尚ES750網(wǎng)關(guān)防火墻的具體配置方法如下：

1)安裝防火墻按照要求，正確安放好ES750。準(zhǔn)備一臺有串行通信端口的計(jì)算機(jī)，使用ES750附送的九針串口數(shù)據(jù)線(RS-232序列)，將其與防火墻后部的串行通信端口連接。將防火墻接入用戶以太網(wǎng)交換機(jī)，或直接用雙絞線連接計(jì)算機(jī)(注意，網(wǎng)線應(yīng)該接入防火墻后部的Internal接口)。將直流電源連接線與電源端口相連，然后將電源適配器插頭插入電源插座。這時(shí)ES750開始啟動，電源和狀態(tài)指示燈亮。在啟動時(shí)，狀態(tài)指示燈會閃爍，當(dāng)系統(tǒng)啟動完成和運(yùn)行時(shí)，狀態(tài)燈保持明亮。

2)連接到命令行管理界面初次使用ES750時(shí)可能需要先通過命令行方式進(jìn)行初始配置，之后才能登錄Web管理界面。我們首先介紹命令行界面連接的基本步驟。使用終端軟件，或者直接打開windows自帶的超級終端軟件(依次打開開始→所有程序→附件→通信→超級終端)，按照以下步驟連接到防火墻的命令行界面：

第1步：輸入連接名，配置通信端口(如COM1)，并點(diǎn)擊【確定】按鈕。第2步：進(jìn)行端口設(shè)置?！衩棵胛粩?shù)：9600●數(shù)據(jù)位：8●奇偶校驗(yàn)：無●停止位：1●數(shù)據(jù)控制流：無

第3步：登錄命令行界面。上步完成后，出現(xiàn)如下提示：ES750login:。此時(shí)，輸入有效的管理員用戶名，根據(jù)提示輸入密碼(初次連接防火墻使用默認(rèn)用戶名為admin，密碼為admin)，按【回車】鍵，出現(xiàn)如圖8.15所示界面，表示用戶已經(jīng)成功登錄命令行。圖8.15登錄命令行界面第4步：進(jìn)行初始配置。在進(jìn)行初始配置前，用戶應(yīng)該收集好內(nèi)、外部網(wǎng)絡(luò)的相關(guān)信息，如內(nèi)部IP地址范圍、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、DNS服務(wù)器、DHCP服務(wù)器和外部IP地址等。輸入：setsysteminterfaceinternalmodestaticip51，如圖8.16所示。圖8.16使用命令行進(jìn)行初始配置按【回車】鍵后內(nèi)部訪問端口設(shè)置為51，子網(wǎng)掩碼為。根據(jù)需要還可以設(shè)置默認(rèn)網(wǎng)關(guān)、外部端口以及其他信息，此處不再贅述。第5步：命令使用幫助。用戶對命令使用存在疑問，可以在輸入命令后加上“?”，其具體用法將在其后顯示。在根目錄下輸入“?”，將顯示所有命令及用法，如圖8.17所示。

圖8.17命令使用幫助信息至此，我們已經(jīng)完成易尚網(wǎng)關(guān)防火墻的初始配置，下面可以通過Web界面對其進(jìn)行管理維護(hù)。事實(shí)上，通過命令行方式可以對該防火墻進(jìn)行細(xì)致、全面的管理，有興趣的讀者可以嘗試使用相關(guān)命令。

3)連接到Web管理界面連接到ES750網(wǎng)關(guān)防火墻的Web管理界面需要使用InternetExplorer4.0或以上版本。在瀏覽器地址欄輸入“51”，網(wǎng)關(guān)防火墻的登錄界面會隨之出現(xiàn)，對于IE6.0及以上版本，將出現(xiàn)關(guān)于安全證書的相關(guān)信息(IE7和IE8顯示有所不同)，用戶可點(diǎn)擊【是】按鈕繼續(xù)操作，如圖8.18所示。圖8.18安全證書提示網(wǎng)關(guān)防火墻的登錄界面隨之出現(xiàn)，填入用戶名和密碼并提交，用戶隨即登錄Web管理界面，如圖8.19所示。圖8.19Web管理器登錄界面登錄網(wǎng)關(guān)防火墻Web管理界面后，可以看到頁面左側(cè)列出了若干管理選項(xiàng)，包括系統(tǒng)管理、防火墻、用戶、VPN、網(wǎng)絡(luò)入侵檢測、病毒檢查、Web過濾器、電子郵件過濾、日志與審計(jì)等。

4)使用快速安裝指南通過Web管理器，用戶可以使用安裝指南來做初始化的防火墻設(shè)置。第1步：啟動防火墻安裝指南。在Web管理器最上方的右側(cè)選擇“快速安裝指南”按鈕，會彈出“易尚快速安裝指南”界面，設(shè)置相應(yīng)的管理員密碼，單擊【下一步】按鈕，如圖8.20所示。第2步：設(shè)置內(nèi)部網(wǎng)絡(luò)接口。根據(jù)內(nèi)網(wǎng)地址分配內(nèi)部網(wǎng)絡(luò)接口，如圖8.21所示。

圖8.20管理員密碼設(shè)置圖8.21設(shè)置內(nèi)部端口

第3步：設(shè)置外部網(wǎng)絡(luò)接口。此處應(yīng)根據(jù)用戶網(wǎng)絡(luò)接入Internet的方式選擇正確的設(shè)置，如果是PPPoE撥號方式，則向ISP索取正確的用戶名和密碼，如圖8.22所示。輸入外部端口的有關(guān)信息，如圖8.23所示。第4步：設(shè)置DHCP服務(wù)器。ES750網(wǎng)關(guān)防火墻包含了一個(gè)DHCP服務(wù)器，可以為內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)動態(tài)分配IP地址，用戶可根據(jù)需要進(jìn)行配置，如圖8.24所示。第5步：設(shè)置內(nèi)部服務(wù)器。在用戶的內(nèi)部網(wǎng)絡(luò)中，如果存在Web、郵件、FTP等服務(wù)器，可在此進(jìn)行設(shè)置，完成后單擊【下一步】按鈕，如圖8.25所示。圖8.22設(shè)置外部接口模式圖8.23輸入外部接口有關(guān)信息圖8.24DHCP服務(wù)設(shè)置圖8.25內(nèi)部服務(wù)器設(shè)置第6步：確認(rèn)設(shè)置。檢查無誤后單擊【完成】按鈕提交，如圖8.26所示。至此，快速安裝指南已經(jīng)設(shè)置完畢。圖8.26檢查并確認(rèn)快速安裝設(shè)置至此，用戶已經(jīng)完成了初始化設(shè)置，可以將防火墻連接到內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間運(yùn)行了。易尚ES750網(wǎng)關(guān)防火墻有兩個(gè)10/100BaseTX網(wǎng)絡(luò)接口，一個(gè)是Internal接口，用來連接內(nèi)部網(wǎng)絡(luò)，另一個(gè)是External接口，用來連接公共交換機(jī)、路由器和Internet。如果ES750是DHCP服務(wù)器，則可將內(nèi)部網(wǎng)絡(luò)上所有的計(jì)算機(jī)設(shè)置為自動獲取IP地址，使用ES750的內(nèi)部接口地址作為DHCP服務(wù)器的IP地址。一旦連接上ES750，確保能通過內(nèi)部網(wǎng)絡(luò)中的一臺計(jì)算機(jī)連接到因特網(wǎng)，這樣就確保其他計(jì)算機(jī)能夠連接入因特網(wǎng)了。在這里，我們只簡要地介紹了ES750的配置，詳情請自行參考《易尚ES750網(wǎng)關(guān)防火墻用戶使用手冊》。

8.4紅墻防火墻的配置實(shí)驗(yàn)防火墻技術(shù)由來已久，但傳統(tǒng)企業(yè)級硬件網(wǎng)絡(luò)防火墻都面向企業(yè)，管理不方便，適用性不高；而個(gè)人網(wǎng)絡(luò)信息安全問題雖然開始日益受到人們的重視，卻被軟件開發(fā)廠商冷落。從目前流行的幾種主機(jī)網(wǎng)絡(luò)防火墻可以看出，它們都借鑒于傳統(tǒng)企業(yè)級硬件網(wǎng)絡(luò)防火墻構(gòu)架，過多的依賴于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，不僅不便于管理、不適用，功能也不夠強(qiáng)大。如何才能更好更方便地保護(hù)個(gè)人信息安全呢？重慶愛思網(wǎng)安信息技術(shù)有限公司基于此開發(fā)了一款功能強(qiáng)大而開放的主機(jī)網(wǎng)絡(luò)防火墻——愛思紅墻主機(jī)網(wǎng)絡(luò)防火墻。

1.實(shí)驗(yàn)?zāi)康恼莆諓鬯技t墻主機(jī)網(wǎng)絡(luò)防火墻的配置方法。

2.實(shí)驗(yàn)原理愛思紅墻主機(jī)網(wǎng)絡(luò)防火墻企業(yè)版采用C/S模式，系統(tǒng)本身由兩部分組成：

(1)客戶端：又叫監(jiān)控端，在計(jì)算機(jī)上實(shí)施具體的過濾。

(2)服務(wù)端：又叫管理端，集中管理所有客戶端，如更新客戶端規(guī)則庫、更新客戶端應(yīng)用程序、查看客戶端日志、管理客戶端計(jì)算機(jī)(如重新啟動)等。服務(wù)端自己和SmartUpdateServer(愛思智能升級服務(wù)器)協(xié)商進(jìn)行升級。紅墻是新一代主機(jī)網(wǎng)絡(luò)防火墻，它很好地解決了常見邊界網(wǎng)防火墻“防外不防內(nèi)”的固有弱點(diǎn)，提高了內(nèi)部網(wǎng)絡(luò)安全性，增強(qiáng)了網(wǎng)絡(luò)末端系統(tǒng)主機(jī)的網(wǎng)絡(luò)安全防范能力，使網(wǎng)絡(luò)安全策略更精確、更靈活。

3.實(shí)驗(yàn)環(huán)境基于WindowsXP或Windows2003等的操作系統(tǒng)、愛思紅墻主機(jī)網(wǎng)絡(luò)防火墻。

4.實(shí)驗(yàn)內(nèi)容紅墻防火墻的功能主要包括：系統(tǒng)流量測量、系統(tǒng)控制、系統(tǒng)設(shè)置、規(guī)則管理、網(wǎng)絡(luò)監(jiān)控、安全等級設(shè)置、紅墻應(yīng)用程序掃描、紅墻日志管理系統(tǒng)等。接下來對主要功能模塊的配置進(jìn)行介紹。

1)系統(tǒng)設(shè)置系統(tǒng)設(shè)置包括安全設(shè)置、日志設(shè)置及規(guī)則設(shè)置等。對于常見的網(wǎng)絡(luò)攻擊，愛思紅墻主機(jī)網(wǎng)絡(luò)防火墻都提供了解決方案，如防止IGMP攻擊、防止ICMP攻擊和防止IP碎片攻擊等。具體解決方案如下：

(1)防止IGMP攻擊。直接阻塞外來的IGMP數(shù)據(jù)包；

(2)防止ICMP攻擊。直接阻塞外來的ICMP數(shù)據(jù)包；

(3)防止IP碎片攻擊。直接丟棄非法的IP碎片數(shù)據(jù)包。系統(tǒng)設(shè)置界面如圖8.27所示。圖8.27系統(tǒng)設(shè)置

2)規(guī)則管理通過數(shù)據(jù)包過濾及網(wǎng)絡(luò)過濾，選出可信賴的應(yīng)用程序，如圖8.28所示。圖8.28規(guī)則管理數(shù)據(jù)包過濾是紅墻中應(yīng)用的一項(xiàng)重要功能，它對IP數(shù)據(jù)包的報(bào)頭進(jìn)行檢查以確定數(shù)據(jù)包的源地址、目的地址和數(shù)據(jù)包利用的網(wǎng)絡(luò)傳輸服務(wù)。傳統(tǒng)的數(shù)據(jù)包過濾器是靜態(tài)的，僅依照數(shù)據(jù)包報(bào)頭的內(nèi)容和規(guī)則組合來允許或拒絕數(shù)據(jù)包的通過。侵入檢測系統(tǒng)利用數(shù)據(jù)包過濾技術(shù)和通過將數(shù)據(jù)包與預(yù)先定義的特征進(jìn)行匹配的方法來分析各種數(shù)據(jù)包，然后對可能的網(wǎng)絡(luò)黑客和入侵者予以警告。網(wǎng)絡(luò)連接過濾規(guī)則，系統(tǒng)每運(yùn)行一個(gè)應(yīng)用程序，就提醒用戶手動添加是否為可信賴程序，如圖8.29所示。圖8.29包過濾規(guī)則通過包過濾規(guī)則、網(wǎng)絡(luò)連接過濾規(guī)則及黑客程序過濾規(guī)則，可把選出的應(yīng)用程序添加到可信賴應(yīng)用程序，如圖8.30所示。