任务概述
防火墙是一种综合性的技术,涉及计算机网络技术、密码技术、安全技术、安全协议等多个方面。它的发展迅速,产品众多,并不断有新的安全技术及软件技术应用在防火墙的开发上,如包过滤、代理服务器、VPN、加密技术、身份认证等。本任务将阐述防火墙的安全规则及两种防火墙的具体应用。
任务目标
●能够掌握防火墙的安全规则
●能够掌握天网防火墙和瑞星防火墙的具体应用
学习内容
一、安全规则
安全规则,即安全策略,是防火墙进行保护工作的核心,所有的防护工作都由这些可以被管理员自行配置的安全策略来进行。默认情况下,防火墙被设计为:防火墙整体的默认策略是没有明确被允许的行为都是被禁止的。但是针对包过滤规则,默认策略是没有明确被禁止的包过滤行为都是被允许的,这主要是从用户配置方便角度来考虑的。
在进行防火墙部署之前,必须要了解防火墙是怎样利用安全策略来进行工作的。防火墙根据管理员定义的策略规则来完成数据包控制,这些策略包括“允许通过”、“禁止通过”、“代理方式通过”、“端口映射方式通过”、“IP映射通过”、“包过滤”和“NAT方式通过”等。同时,根据管理员定义的基于角色控制的用户策略,并与安全规则策略配合,防火墙能够完成强制访问控制,包括限制用户在什么时间、什么IP地址可以登录防火墙系统,以及该用户通过认证后能够使用的服务等。安全策略规则与防火墙状态表紧密结合,共同完成了对数据包的动态过滤。
所有的防火墙都应该提供基于资源定义的安全策略配置。这些资源包括地址和地址组、NAT地址池、服务器地址、服务(源端口、目的端口、协议)和服务组、时间和时间组、用户和用户组(包括用户策略,如登录时间与地点、源IP/目的IP、目的端口、协议等)、URL过滤策略等。
在进行过滤时,防火墙按顺序匹配规则列表:防火墙规则根据作用顺序分为代理、端口映射、IP映射、包过滤、NAT规则5类。其中代理规则是最优先生效的规则,最后为NAT。
数据包匹配了代理规则,则根据代理规则对数据包进行相应处理,而不再匹配其他类型的规则;如果没有匹配代理,则去匹配端口映射和IP映射规则。无论数据包是否匹配端口映射和IP映射的规则,都会去匹配包过滤规则。根据包过滤规则的设置,若允许(包括包过滤规则允许、包过滤认证通过和包过滤IPSEC通过,或没有匹配任何包过滤规则),则去匹配NAT规则;若不允许,则直接抛弃。如果匹配到NAT规则,则进行NAT,否则数据包直接通过防火墙。假如设置了一条端口映射、IP映射规则或NAT规则,而且没有选择“包过滤缺省策略通过”,就必须再设置一条相应的包过滤规则才能生效。每类中的规则根据规则的顺序生效,当匹配了某类型规则中的一条规则时,将根据该条规则对包进行处理,而不会匹配该类规则中其他规则,如图5-6所示。
图5-6 防火墙策略匹配示意
所有这些策略都是通过访问控制列表ACL(Access Control List)来进行定义的。访问控制列表是一系列有顺序的规则,这些规则根据数据包的源地址、目的地址和端口号等来描述。ACL通过这些规则对数据包进行分类,这些规则应用到防火墙接口上,防火墙根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。
按照用途划分,访问控制列表可以分为4类:①基本的访问控制列表(Basic ACL);②高级的访问控制列表(Advanced ACL);③基于接口的访问控制列表(Interface-based ACL);④基于MAC的访问控制列表(Mac-Based ACL)。
总的来说,防火墙的安全规则包括以下几类。
(1)代理规则:使用代理服务,可以监控源地址/目的地址间的信息,并进行相应的访问控制和内容过滤。同时,代理服务由于处理的内容多,所以传输效率也不如相应的包过滤规则高,并需要有代理服务器的支持。
代理类型包括:HTTP代理,FTP代理,Telnet代理,SMTP代理,POP3代理,DNS代理, ICMP代理,MSN代理以及自定义代理等。
(2)端口映射规则:把客户端对“公开地址”、“对外服务”的访问,转换成对“内部地址”、“内部服务”的访问。同时,源地址可以转换成防火墙的某个接口地址。
(3)IP映射规则:把客户端对“公开地址”的访问转换成对“内部地址”的访问。同时,源地址可以转换成防火墙的某个接口地址。IP映射规则和端口映射规则属于目的地址转换。它们的区别是:端口映射只对指定端口的连接做地址转换,而IP映射对特定IP地址的所有端口都做转换。
(4)包过滤规则:包过滤规则决定了特定的网络包能否通过防火墙,同时它也提供相关的选项以保护网络免受攻击。它支持的协议包括基本协议(如HTTP、Telnet、SMTP等)、ICMP、动态协议(如FTP、SQLNET等)。
(5)NAT规则:NAT实现把内部网络地址转换为外部网络IP地址,将内部网络和外部网络隔离开,内部用户可通过一个或多个外部IP地址与外部网络通信。
二、应用实例
1.天网防火墙个人版简介
天网防火墙个人版(简称天网防火墙)是由天网安全实验室研发制作给个人计算机使用的网络安全工具。可以抵挡网络入侵和攻击,防止信息泄露,保障用户机器的网络安全。天网防火墙把网络分为本地网和互联网,可以针对来自不同网络的信息,设置不同的安全方案,它适合于任何方式连接上网的个人用户。
(1)第一步:局域网地址设置,防火墙将会以这个地址来区分局域网和Internet的IP来源。如图5-7所示。
图5-7 局域网地址设置
(2)第二步:管理权限设置,可有效地防止未授权用户随意改动设置、退出防火墙等。如图5-8所示。
图5-8 管理权限设置
(3)第三步:入侵检测设置,开启此功能,当防火墙检测到可疑的数据包时会弹出入侵检测提示窗口,并将远端主机IP显示于列表中。如图5-9所示。
图5-9 入侵检测
(4)第四步:安全级别设置,其中共有五个选项。如图5-10所示。
图5-10 安全级别设置
①低:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。计算机将完全信任局域网,允许局域网内部的机器访问自己提供的各种服务(文件、打印机共享服务),但禁止互联网上的机器访问这些服务。适用于在局域网中提供服务的用户。
②中:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。禁止访问系统级别的服务(如HTTP、FTP等)。局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理,允许授权运行的程序开放的端口服务,比如网络游戏或者视频语音电话软件提供的服务。适用于普通个人上网用户。
③高:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务(文件、打印机共享服务),局域网和互联网上的机器将无法看到本机器。除了已经被认可的程序打开的端口,系统会屏蔽掉向外部开放的所有端口。这是最严密的安全级别。
④扩展:基于“中”安全级别再配合一系列专门针对木马和间谍程序的扩展规则,可以防止木马和间谍程序打开TCP或UDP端口监听甚至开放未许可的服务。研发者将根据最新的安全动态对规则库进行升级。适用于需要频繁试用各种新的网络软件和服务,又需要对木马程序进行足够限制的用户。
⑤自定义:如果用户了解各种网络协议,可以自己设置规则。注意,设置规则不正确会导致无法访问网络。适用于对网络有一定了解并需要自行设置规则的用户。
(5)第五步:自定义IP规则,如图5-11所示。
图5-11 自定义IP规则
IP规则是针对整个系统的网络层数据包监控而设置的,其中有几个重要的设置。
①防御ICMP攻击:选择时,别人无法用ping的方法来确定用户的存在,但不影响用户去ping别人。ICMP协议现在也被用来作为蓝屏攻击的一种方法,而且该协议对于普通用户来说,是很少使用到的。
②防御IGMP攻击:IGMP是用于组播的一种协议,对于MS Windows的用户是没有什么用途的,但现在也被用来作为蓝屏攻击的一种方法。
③TCP数据包监视:通过这条规则,用户可以监视机器与外部之间的所有TCP连接请求。注意,这只是一个监视规则,开启后会产生大量的日志。
④禁止互联网上的机器使用我的共享资源:开启该规则后,别人就不能访问用户的共享资源,包括获取用户的机器名称。
⑤禁止所有人连接低端端口:防止所有的机器和自己的低端端口连接。由于低端端口是TCP/IP协议的各种标准端口,几乎所有的Internet服务都是在这些端口上工作的,所以这是一条非常严厉的规则,有可能会影响使用某些软件。
⑥允许已经授权的程序打开端口:某些程序,如ICQ、视频电话等软件,都会开放一些端口,这样,才可以连接到用户的机器上。本规则可以保证这些软件可以正常工作。
2.瑞星个人防火墙配置
从网上下载瑞星个人防火墙,并安装,安装完成界面如图5-12所示。在个人设置里,可以进行网络监控的设置,如图5-13所示。
图5-12 安装完成
图5-13 网络监控设置
(1)IP包过滤设置:点击IP包过滤,在右侧会有相关的设置选项,如IP规则、端口开关等。在IP规则里面,可以看到很多协议的状态,以及使用的网络协议、端口等信息,并可以对其进行编辑删除等操作,如图5-14所示。
图5-14 IP包过滤设置
(2)网络攻击拦截:在右侧可以查看到很多网络攻击的规则、漏洞,包括很多浏览器攻击、溢出、木马等,这些都是防火墙所拦截的恶意信息,如图5-15所示。
图5-15 网络攻击拦截
(3)在主菜单网络安全里,可以开启一些相应的安全设施,如IP包过滤、ARP欺骗、恶意网站拦截等,如图5-16所示。
图5-16 网络安全设置
(4)主菜单访问控制:从这里面可以看到本机所安装的一些软件,并可以对其进行相应的编辑、修改等,如图5-17所示。
图5-17 访问控制设置
如对迅雷的修改,在常规模式里,可以选择放行和禁止;软件类型也可以更改,可以根据自己的需要来更改,如图5-18所示。
图5-18 应用程序访问规则设置
(5)查看防火墙日志:用X-SCAN扫描工具,对本机进行扫描,然后查看防火墙的拦截日志,如图5-19所示。
图5-19 查看拦截日志
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。