网络学堂之防火墙篇

渔歌子

走进防火墙                                                          作者：王达 出处：天极

　前些篇中，我们对集线器、交换机和路由器分别作了详细的介绍。从本篇开始我们要介绍另一个重要网络设备——防火墙。

　　现在无论是企业，还是个人，信息安全问题都日益成为广泛关注的焦点。不要说绝大多数非专业的企业网站，就边专业的著名网站，如Yahoo、eBay等著名网站都曾经被黑客用原始的DoS攻击方法攻陷过，软件系统巨人——微软公司的网站也难逃“黑”运。在这样一个大环境下，网络安全问题凝了人们的注意力，大大小小的企业纷纷为自己的内部网络“筑墙”，防病毒与防黑客成为确保企业信息系统安全的基本手段。这里所说的“墙”在相当大程度上指的就是本篇要向大家介绍的“防火墙”。它是企事业单位局域网的安全守护神。但由于它身价的高贵性(动辄十几万)，不要说大多数网络爱好者，中、小企业事业单位老总无缘一睹尊容，就连专门从事网络管理的中小企业网管人员也只能是“道听途说”。一时间防火墙这一设备在人们心中显得更是高不可攀。为此，本教程将为大家提供比较详尽的介绍，希望对各位有所裨益。

　　一、防火墙概念

　　防火墙的英文名为“FireWall”，它是目前一种最重要的网络防护设备。它的网络中经常是以图1所示的两种图标出现的。左边那个图标非常形象，真正像一堵墙一样。而右边那个图标则是从防火墙的过滤机制来形象化的，在图标中有一个二极管图标。而二极管我们知道，它具有单向导电性，这样也就形象地说明了防火墙具有单向导通性。这看起来与现在防火墙过滤机制有些矛盾，不过它却完全体现了防火墙初期的设计思想，同时也在相当大程度上体现了当前防火墙的过滤机制。因为防火最初的设计思想是对内部网络总是信任的，而对外部网络却总是不信任的，所以最初的防火墙是只对外部进来的通信进行过滤，而对内部网络用户发出的通信不作限制。当然目前的防火墙在过滤机制上有所改变，不仅对外部网络发出的通信连接要进行过滤，对内部网络用户发出的部分连接请求和数据包同样需要过滤，但防火墙仍只对符合安全策略的通信通过，也可以说具有“单向导通”性。


图1
防火墙的本义是指古代构筑和使用木制结构房屋的时侯，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。如果没有门，各房间的人如何沟通呢，这些房间的人又如何进去呢？当火灾发生时，这些人又如何逃离现场呢？这个门就相当于我们这里所讲的防火墙的“安全策略”，所以在此我们所说的防火墙实际并不是一堵实心墙，而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信，在这些小孔中安装了过滤机制，也就是上面所介绍的“单向导通性”。

　　我们这里所介绍的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。防火可以使企业内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。

　　以上仅是一种宏观意义的解释，对于防火墙的概念，目前还没有一个准确、标准的定义。通常人们认为：防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。它具有以下三个方面的基本特性：

　　内部网络和外部网络之间的所有网络数据流都必须经过防火墙

　　这是防火墙所处网络位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的惟一通道，才可以全面、有效地保护企业网部网络不受侵害。

　　根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

　　典型的防火墙体系网络结构如图1所示。从图中可以看出，防火墙的一端连接企事业单位内部的局域网，而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。

　　只有符合安全策略的数据流才能通过防火墙

　　这是防火墙的工作原理特性。防火墙之所以能保护企业内部网络，就是依据这样的工作原理或者说是防护机制进行的。它可以由管理员自由设置企业内部网络的安全策略，使允许的通信不受影响，而不允许的通信全部拒绝地内部网络之外。

　　防火墙自身应具有非常强的抗攻击免疫力

　　这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。就像公安干警一样，如果自己都没有“百毒不侵”的过硬意志和本领，又如何经得住罪犯的种种诱惑和攻击呢？防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。
二、防火墙的分类

　　认识了防火墙之后，我们就来对当前市场上的防火墙进行一下分类。目前市场的防火墙产品非常之多，划分的标准也比较杂。在此我们对主流的分类标准进行介绍。

　　1. 从防火墙的软、硬件形式分

　　很明显，如果从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙。

　　最初的防火墙与我们平时所看后劲的集线器、交换机一样，都属于硬件产品。如图2所示的是3Com公司的一款3Com SuperStack 3防火墙。它在外观上与平常我们所见到的集线器和交换机类似，只是只有少数几个接口，分别用于连接内、外部网络，那是由防火墙的基本作用决定的。


图2

　　随着防火墙应用的逐步普及和计算机软件技术的发展，为了满足不同层次用户对防火墙技术的需求，许多网络安全软件厂商开发出了基于纯软件的防火墙，俗称“个人防火墙”。之所以说它是“个人防火墙”，那是因为它是安装在主机中，只对一台主机进行防护，而不是对整个网络。

　　2. 从防火墙技术来分

　　防火墙技术虽然出现了许多，但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和Cisco公司的PIX防火墙为代表，后者以美国NAI公司的Gauntlet防火墙为代表。

　　(1). 包过滤(Packet filtering)型

　　包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。

　　包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要求。

　　在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为“第一代静态包过滤”和“第二代动态包过滤”。

　　●第一代静态包过滤类型防火墙

　　这类防火墙几乎是与路由器同时产生的，它是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。

　　●第二代动态包过滤类型防火墙

　　这此防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。

　　包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。

(2). 应用代理(Application Proxy)型

　　应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全"阻隔"了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。其典型网络结构如图3所示。


　在代理型防火墙技术的发展过程中，它也经历了两个不同的版本，即：第一代应用网关型代理防火和第二代自适应代理防火墙。

　　●第一代应用网关(Application Gateway)型防火墙

　　这类防火墙是通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。

　　●第二代自适应代理(Adaptive proxy)型防火墙

　　它是近几年才得到广泛应用的一种新防火墙类型。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个：自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)。

　　在“自适应代理服务器”与“动态包过滤器”之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。

　　代理类型防火墙的最突出的优点就是安全。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。

　　另外代理型防火墙采取是一种代理机制，它可以为每一种应用服务建立一个专门的代理，所以内外部网络之间的通信不是直接的，而都需先经过代理服务器审核，通过后再由代理服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏洞的。就像你要向一个陌生人物递交一份声明一样，如果你先将这份声明交给你的律师，然后律师就会审查你的声明，确认没有什么负面的影响后才由他交给那个陌生人。在此期间，陌生人对你的存在一无所知，因为他仅与你的律师进行交接。如果要对你进行侵犯，他直接面对的将是你的律师，而你的律师当然比你更加清楚该如何对付这种人。

渔歌子

有优点就有缺点，任何事物都一样。代理防火墙的最大缺点就是速度相对比较慢，当用户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的代理服务，在自己的代理程序为内、外部网络用户建立连接时需要时间，所以给系统性能带来了一些负面影响，但通常不会很明显。

　　3. 从防火墙结构分

　　从防火墙结构上分，防火墙主要有：单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。

　　单一主机防火墙是最为传统的防火墙，它就像本文图2所介绍的那款3Com防火墙一样，独立于其它网络设备，它位于网络边界。

　　这种防火墙其实与一台计算机结构差不多(如图4所示的是一款硬件防火墙)，同样包括CPU、内存、硬盘等基本组件，当然主板更是不能少了，且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡，因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序，如包过滤程序和代理服务器程序等，有的防火墙还把日志记录也记录在此硬盘上。虽然如此，但我们不能说它就与我们平常的PC机一样，因为它的工作性质，决定了它要具备非常高的稳定性、实用性，具备非常高的系统吞吐性能。正因如此，看似与PC机差不多的配置，价格甚远。


图4

　　随着防火墙技术的发展及应用需求的提高，原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能，还有的防火墙已不再是一个独立的硬件实体，而是由多个软、硬件组成的系统，这种防火墙，俗称“分布式防火墙”。

　　原来单一主机的防火墙由于价格非常昂贵，仅有少数大型企业才能承受得起，为了降低企业网络投资，现在许多中、高档路由器中集成了防火墙功能。如Cisco IOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就再同时购买路由器和防火墙，大大降低了网络设备购买成本。

分布式防火墙再也不是只是位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施保护。在网络服务器中，通常会安装一个用于防火墙系统管理软件，在服务器及各主机上安装有集成网卡功能的PCI防火墙卡 ，这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的，都需要严格过滤。而不是传统边界防火墙那样，仅对外部网络发出的通信请求“不信任”。关于这一点，我们将在防火墙新技术篇中将详细介绍。   

　　4. 按防火墙的应用部署位置分

　　如果按防火墙的应用部署位置分，可以分为边界防火墙、个人防火墙和混合防火墙三大类。

　　边界防火墙是最传统的那种，它们于内、外部网络的边界，所起的作用的对内、外部网络实施隔离，保护边界内部网络。这类防火墙一般都是硬件类型的，价格较贵，性能较好。

　　个人防火墙安装于单台主机中，防护的也只是单台主机。这类防火墙应用于广大的个人用户，通常为软件防火墙，价格最便宜，性能也最差。

　　混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”，它是一整套防火墙系统，由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一，性能最好，价格也最贵。

　　5. 按防火墙性能分

　　如果按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。因为防火墙通常位于网络边界，所以不可能只是十兆级的。这主要是指防火的通道带宽，或者说是吞吐率。当然通道带宽越宽，性能越高，这样的防火墙因包过滤或应用代理所产生的延时也越小，对整个网络通信性能的影响也就越小。

　　三、防火墙的主要功能

　　以上介绍了防火墙的含义，其实我们可以从防火墙的这些解释中可以理解到防火墙的功能。具体来说，防火墙主要有以下几方面功能：

　　创建一个阻塞点

　　隔离不同网络，防止内部信息的外泄

　　强化安全策略

　　有效地审计和记录内、外部网络上的活动

　　1. 创建一个阻塞点

　　防火墙在一个公司内部网络和外部网络间建立一个检查点。这种实现要求所有的流量都要通过这个检查点。一旦这些检查点清楚地建立，防火墙设备就可以监视，过滤和检查所有进来和出去的流量。这样一个检查点，在网络安全行业中称之为“阻塞点”。通过强制所有进出流量都通过这些检查点，网络管理员可以集中在较少的地方来实现安全目的。如果没有这样一个供监视和控制信息的点，系统或安全管理员则要在大量的地方来进行监测。

　　2. 隔离不同网络，防止内部信息的外泄

　　这是防火墙的最基本功能，它通过隔离内、外部网络来确保内部网络的安全。也限制了局部重点或敏感网络安全问题对全局网络造成的影响。企业秘密是大家普遍非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所截获，攻击者通过所获取的信息可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网等信息。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

3. 强化网络安全策略

　　通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。各种安全措施的有机结合，更能有效地对网络安全性能起到加强作用。

　　4. 有效地审计和记录内、外部网络上的活动

　　防火墙可以对内、外部网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并进行日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。这为网络管理人员提供非常重要的安全管理信息，可以使管理员清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。

　　以上是从宏观方面对防火墙的功能所进行的综合描述，如果从技术微观方面分的话，它主要体现在如下方面：

　　1. 包过滤

　　包过滤是防火墙所要实现的最基本功能，现在的防火墙已经由最初的地址、端口判定控制，发展到判断通信报文协议头的各部分，以及通信协议的应用层命令、内容、用户认证、用户规则甚至状态检测等等。

　　2. 审计和报警机制

　　在防火墙结合网络配置和安全策略对相关数据分析完成以后，就要做出接受、拒绝、丢弃或加密等决定。如果某个访问违反安全策略，审计和报警机制开始起作用，并作记录和报告。审计是一种重要的安全举措，用以监控通信行为和完善安全策略，检查安全漏洞和错误配置。报警机制是在有通信违反相关安全策略后，防火墙可以有多种方式及时向管理员进行报警，如声音、邮件、电话、手机短信息等。

　　防火墙的审计和报警机制在防火墙体系中是很重要的，只有有了审计和报警功能，管理人员才可能及时知道网络是否受到了攻击。通过防火墙日志启示还可以进行统计、分析，得出系统安全存在最大不足和隐患，进而可以有针对性地进行改进。

　　但要注意的，由于要对整个网络通信进行日志记录，所以防火墙的日志记录数据量比较大，在防火墙自身上是不可能能存储这么庞大的日志文件的。通常采用外挂方式，即将日志挂接在内部网络的一台专门存放日志的日志服务器上。

　　3.NAT(Network Address Translation，网络地址转换)

　　网络地址转换功能现在也已成为防火墙的标准配置之一。通过此项功能就可以很好地屏蔽内部网络的IP地址，对内部网络用户起到了保护作用。

　　NAT又分“SNAT (Source NAT)”和“DNAT (Destination NAT)”。SNAT就是改变转发数据包的源地址，对内部网络地址进行转换，对外部网络是屏蔽的，使得外部非常用户对内部主机的攻击更加困难，同时可以节省有限的公网IP资源，通过少数一个或几个公网IP地址共享上网。而DNAT就是改变转发数据包的目的地址，外部网络主机向内部网络主机发出通信连接时，防火墙首先把目的地址转换为自己的地址，然后再转发外部网络的通信连接，这样实际上外部网络主机与内部网络主机的通信变成了防火墙与内部网络主机的通信。在防火墙中主要用于外部网络主机对内部网络和DMZ区(非军事区)主机的访问。
4.Proxy(代理)

　　在防火墙代理服务中，主要有如下两种实现方式：

　　透明代理(Transparent proxy)

　　透明代理是指内部网络主机需要访问外部网络主机时，不需要做任何设置，完全意识不到防火墙的存在。其基本原理是防火墙截取内部网络主机与外部网络通信，由防火墙本身完成与外部网络主机通信，然后把结果传回给发出通信连接的内部网络主机，在这个过程中，无论内部网络主机还是外部网络主机都意识不到它们其实是在和防火墙通信。而从外部网络只能看到防火墙，这就隐藏了内部网络网络，提高了安全性。

　　传统代理

　　传统代理工作原理与透明代理相似，所不同的是它需要在客户端设置代理服务器。如前所述，代理能实现较高的安全性，不足之处是响应变慢。

　　5.流量控制(带宽管理)和统计分析、流量计费

　　流量控制可以分为基于IP地址的控制和基于用户的控制。基于IP地址的控制是对通过防火墙各个网络接口的流量进行控制，基于用户的控制是通过用户登录来控制每个用户的流量，从而防止某些应用或用户占用过多的资源。并且通过流量控制可以保证重要用户和重要接口的连接。

　　流量统计是建立在流量控制基础之上的。一般防火墙通过对基于IP、服务、时间、协议等等进行统计，并可以与管理界面实现挂接，实时或者以统计报表的形式输出结果。流量计费从而也是非常容易实现的。

　　6.VPN(虚拟专用网)

　　在传统的防火墙设备中，是不允许进行VPN通信的，以往的VPN网络设备也是作为单独产品出现的，现在更多的厂家把两种技术集成在一起。VPN作为一种新的网络技术，它具有较强的通信优势。支持VPN通信，已成为一种趋势，不仅防火墙如此，交换机、路由器也如此。这比单独开始一种VPN设备来说更加合理，不仅体现在经济上，而且体现在功能上。

　　7.URL级信息过滤

　　随着互联网应用的普及，各企业对互联网的依赖性越来越强了。过去了一些简单的邮件收发互联网应用已不能满足企业应用需求了。像VPN通信一样，企业很可能还需要与合作伙伴、供应商或分支机构进行双向通信，这样的通信是相当频繁的，如果也按传统的防火墙过滤原理，对每一个通信请求都进行严格的审核的话，很可能引发通信瓶颈，造成通信性能下降。这时如果对某些站点或目录进行特权访问或禁止的话，就可以不必这样频繁的审核了。这就是目前最主流的网站、内容等信息过滤配置。在许多代理服务器软件中都可以实现这一点，在防火墙中也有些具备这一功能。

　　8. 其他特殊功能

　　除了以上介绍的六个方面的主要功能外，有的防火墙还具有一些特殊功能，这些特殊功能纯粹是为了迎合特殊客户的需要或者为赢得卖点而设计的。如特定的用户权限配置(包括使用时间、邮件发送权限、件传输权限、使用的主机、所能进行的互联网应用等)，这些依需求不同而定。有的防火墙还加入了病毒扫描功能。

　　有关防火墙的基础知识方面就介绍至此，下一篇将介绍有关的防火墙技术。

渔歌子

防火墙技术及设计


在上一篇中我们介绍了防火墙的一些基础知识，对防火墙已有了一定的认识。在本篇我们通过对一些防火墙技术和典型的防火墙设计模式的介绍，来进一步从原理上认识防火墙。

　　一、主要防火墙技术

　　防火墙技术作为一套安全防护系统，所涉及到的技术非常之多，我们无法对其一一介绍。在此我们只能一些主流、基本的防火墙技术作一个简单介绍，以便加深对防火墙的认识，理解防火墙的工作原理。在防火墙中应用到的技术主要有以下几个。

　　1、 包过滤

　　包过滤又称“报文过滤”，它是防火墙最传统、最基本的过滤技术。防火墙的产生也是从这一技术开始的，最早是于1989所提出的。防火墙的包过滤技术就是对通信过程中数据进行过滤(又称筛选)，使符合事先规定的安全规则(或称“安全策略)的数据包通过，而使那些不符合安全规则的数据包丢弃。这个安全规则就是防火墙技术的根本，它是通过对各种网络应用、通信类型和端口的使用来规定的。

　　防火墙对数据的过滤，首先是根据数据包中包头部分所包含的源IP地址、目的IP地址、协议类型(TCP包、UDP包、ICMP包)、源端口、目的端口及数据包传递方向等信息，判断是否符合安全规则，以此来确定该数据包是否允许通过。
先来看一下防火墙方案部署的网络拓扑结构，所有的防火墙方案网络拓扑结构都可简化为如图1所示。在这个网络结构中防火墙位于内、外部网络的边界，内部网络可能包括各种交换机、路由器等网络设备。而外部网络通常是直接通过防火墙与内部网络连接，中间不会有其它网络设备。防火墙作为内、外部网络的唯一通道，所以进、出的数据都必须通过防火墙来传输的。这就有效地保证了外部网络的所有通信请求，当然包括黑客所发出的非法请求都能在防火墙中进行过滤。

图1

　　包过滤技术的应用非常广泛，因为包过滤技术相对较为简单，只需对每个数据包与相应的安全规则进行比较即可得出是否通过的结论，所以防火墙主机CPU用来处理包过滤的时间非常短，执行效率也非常高。而且这种过滤机制对用户来说完全是透明的，根本不用用户先与防火墙取得任何合法身份，符合规则的通信，用户根本感觉不到防火墙的存在，使用起来很方便。

　　包过滤技术最先使用的是在路由器上进行的，它也是最原始的防火墙方案。实现起来非常容易，只需要在原有的路由器上进行适当的配置即可实现防火墙方案。

　　以上介绍的其实就是传统的静态包过滤技术，这种包过滤防火墙技术方案配置比较复杂，对网络管理员的要求比较高。再加上这种传统的包过滤技术只能针对数据包的IP地址信息进行过滤，而不能在用户级别上进行过滤，即不能识别不同用户身份的合法性和防止IP地址的盗用。单纯采用包过滤技术的防火墙方案，如果攻击者把自己主机的IP地址设成一个合法主机的IP地址，就可以很轻易地通过包过滤器，由此可见这种最初的防火墙方案还是很不安全的。正因如此，这种传统的包过滤技术很快被更先进的动态包过滤技术所取代。

　　在包过滤技术的发展中，出现过两种不同的技术，即：静态包过滤和动态过滤。

　　静态包过滤技术就是上面介绍的那种传统包过滤技术，它是根据流经该设备的数据包地址信息，决定是否允许该数据包通过，它判断的依据有(只考虑IP包)：

　　●数据包协议类型：TCP、UDP、ICMP、IGMP等
　　●源、目的IP地址
　　●源、目的端口：FTP、HTTP、DNS等
　　●IP选项：源路由、记录路由等
　　●TCP选项：SYN、ACK、FIN、RST等
　　●其它协议选项：ICMP ECHO、ICMP ECHO REPLY等
　　●数据包流向：in(进)或out(出)
　　●数据包流经网络接口

　　”动态包过滤“(Dynamic packet filter)技术首先是由USC信息科学院的BobBraden于1992年开发提出的，它属于第四代防火墙技术，后来演变为目前所说的状态监视(Stateful inspection)技术。1994年，以色列的CheckPoint公司开发出了第一个基于这种技术的商业化的产品。这种技术比起静态包过滤技术来说先进多了，它可动态根据实际应用请求，自动生成或删除相应包过滤规则，而无需管理员人工干预。这样就解决了静态包过滤技术使用和管理难度大的问题。同时动态包过滤技术还可分析高层协议，可以更有效、全面地对进出内部网络的通信进行监测，进一步确保内部网络的安全。但这种动态包过滤技术仍只能对数据的IP地址信息进行过滤，不能对用户身份的合法性进行鉴定。同时通常也没有日志记录可查，这为日常的网络安全管理带来了困难。正如此，它很快被新一代自适应代理防火墙所替代。

在黑客攻击方面，包过滤式防火墙，在今天的黑客技术下，显得不堪一击。攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的，”信息包冲击“是黑客比较常用的一种攻击手段，黑客们对包过滤式防火墙发出一系列信息包，不过这些包中的IP地址已经被替换掉了(FakeIP)，取而代之的是一串顺序的IP地址。一旦有一个包通过了防火墙，黑客便可以用这个IP地十来伪装他们发出的信息。另外，黑客们还可使用一种他们自己编制的路由器攻击程序，这种程序使用路由器协议来发送伪造的路由信息，这样所有的包都会被重新路由到一个入侵者所指定的特别地址。

　　对付包包防火墙另一种方法就是通常所说的”网络炸弹“，或者说”拒绝服务“(DoS)。攻击者向被攻击的计算机发出许许多多个虚假的”同步请求“信号包，当服务器响应了这种信号包后，会等待请求发出者的回答，而攻击者不做任何的响应。当服务器在处理成知上万个虚假请求时，它便没有时间来处理正常的用户请求，处于这种攻击下的服务器和死锁没什么两样。此种防火墙的缺点是很明显的，通常它没有用户的使用记录，这样我们就不能从访问记录中发现黑客的攻击记录。此外，配置繁琐也是包过滤防火墙的一个缺点。它阻挡别人进入内部网络，但也不告诉你何人进入你的系统，或者何人从内部进入网际网路。它可以阻止外部对私有网络的访问，却不能记录内部的访问。包过滤另一个关键的弱点就是不能在用户级别上进行过滤，即不能鉴别不同的用户和防止IP地址盗用。包过滤型防火墙是某种意义上的绝对安全的系统。

　　2、堡垒主机

　　”堡垒主机“通常情况下它是由一台计算机担当，它是防火墙的最初设计，随后随着防火墙技术的发展，并得到了继续发展。堡垒主机的作用就是对进出的数据包进行审核，为进入内部网络设的一个检查点，以达到把整个内部网络的安全问题集中在某个主机上解决的目的。从堡垒主机的定义可以看到，堡垒主机是网络中最容易受到侵害的主机，所以堡垒主机必须是自身保护最完善的主机。多数情况下，一个堡垒主机使用两块网卡，分别连接内、外部网络。堡垒主机经常配置网关服务。

　　3、网络地址转换(NAT，Network Address Translate)

　　当受保护网连到Internet上时，受保护网用户若要访问Internet，必须使用一个合法的IP地址。但由于合法因特网IP地址有限，而且受保护网络往往有自己的一套本地IP地址规划。在防火墙上配置NAT技术，就需要在防火墙上配置一个合法IP地址集，当内部网络用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址，内部网络用户就可通过防火墙来访问外部网络。
在防火墙上部署NAT的方式可以有以下几种：

　　●M-1：多个内部网地址转换到1个IP地址
　　●1-1：简单的一对一地址转换
　　●M-N：多个内部网地址转换到N个IP地址池

　　通过这样的地址转换后，既缓解了少量的因特网IP地址和大量主机之间的矛盾，又对外隐藏了内部主机的IP地址，提高了安全性。如果防火墙使用了NAT技术，所有的内部地址将会被转换成防火墙WAN端口上合法的因特网IP地址，以达到隐藏了内部网络用户身份的目的。

　　4、应用级网关(代理服务器)

　　顾名思义，应用级网关工作在OSI七层参考模型的应用层，也有人把它称为”代理服务器“技术。它属于第五代防火墙技术，它最早是由于998年，由NAI公司推出的，并在其产品Gauntlet Firewall for NT中得以实现。它给代理类型的防火墙赋予了全新的意义。

　　包过滤防火墙可以按照IP地址来禁止未授权者的访问。但是它不适合单位用来控制内部人员访问外界的网络。代理服务是设置在Internet防火墙网关上的应用，是在网管员允许下或拒绝的特定的应用程度或者特定服务，同时，还可应用于实施较强的数据流监控、过滤、记录和报告等功能。一般情况下可应用于特定的互联网服务，如超文本传输(HTTP)、远程文件传输(FTP)等。代理服务器通常拥有高速缓存，缓存中存有用户经常访问站点的内容，在下一个用户要访问同样的站点时，服务器就用不着重复地去下载同样的内容，既节约了时间也节约了网络资源。?

　　应用级网关技术可对网络上任一层的数据包进行检查并经过身份认证，符合安全策略规则的通过，否则将被丢弃。允许通过的数据包由网关复制并传递，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，如限制用户访问的主机、访问时间及访问的方式等。通常是需在防火墙主机上安装相应服务器软件来实现以上功能的。 应用级网关的工作原理图如图2所示。


图2

渔歌子

应用级网关技术也可使用NAT技术隐藏内部网络用户IP地址，同时还可以给单个用户授权，即使攻击者盗用了一个合法的IP地址，也通不过严格的身份认证。因此应用网关比包过滤具有更高的安全性。但是这种认证使得应用网关不透明，用户每次连接都要受到认证，这给用户带来许多不便。这种代理技术需要为每个应用编写专门的程序。

　　应用级网关技术的主要优点是：可以提供用户级的身份认证、日志记录和帐号管理。其缺点关系到这样一个事实；因需对每一类应用都需要一个专门的代理，要想提供全面的安全保证，就要对每一项服务都建立对应的应用层网关，显然其灵活性不够，严重制约了新应用的采纳。

　　实现应用程序网关的防火墙产品有：商业版防火墙产品、商业版代理(cache)服务器、开放资源软件，如TIS FWTK(Firewall toolkit)、Apache、Squid软件等。

　　5、电路级网关

　　电路级网关防火墙属于第三代防火墙技术，其初步结构是于1989年由贝尔实验室的Dave Presotto和Howard Trickey提出的。电路级防火墙是通过监控受信任的客户或服务器与不受信任的主机间的TCP握手信息来决定该会话是否合法的。电路级网关是在OSI网络参考模型的会话层过滤数据包，这样比包过滤防火墙要高两层。另外，电路级网关还提供一个重要的安全功能，即可可使用网络地址转移(NAT)功能将所有内部网络IP地址映射到一个”安全“的公网IP地址，这个地址是由防火墙使用的。

　　电路级网关的应用原理与应用级网关相同，网关的作用就是接收客户端连接请求，根据客户的地址及所请求端口，将该连接重定向到指定的服务器地址及端口上，代理客户端完成网络连接，然后在客户和服务器间中转数据。它的优点就是通用性强、对客户端应用完全透明，但在转发前需同客户端交换连接信息，所以需对客户端应用作适当修改。

　　6.非军事化区(DMZ)

　　DMZ位于企业内部网络和外部网络之间的小网络区域，它是为内部网络放置一些必须公开的服务器设施而划分的，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡，就是这个DMZ区域。风网络结构如图3所示。


图37、 透明模式/透明代理

　　顾名思义，透明模式首要的特点需要对用户透明的(Transparent)，即用户意识不到防火墙的存在。要想实现透明模式，防火墙必须在没有IP地址的情况下工作，不需要对其设置IP地址，用户也不知道防火墙的IP地址。

　　采用透明模式的防火墙是采用无IP方式运行，防火墙就可以直接安装和放置到网络中使用，用户将不必重新设定和修改路由，如交换机一样不需要设置IP地址。
　
　　透明模式的防火墙就好像是一台网桥(非透明的防火墙好像一台路由器)，网络设备(包括主机、路由器、工作站等)和所有计算机的设置(包括IP地址和网关)无须改变，同时解析所有通过它的数据包，既增加了网络的安全性，又降低了用户管理的复杂程度。

　　与透明模式在称呼上相似的”透明代理“，和传统代理一样，可以比包过滤更深层次地检查数据信息。同时它也是一个非常快的代理，从物理上分离了连接，这可以提供更复杂的协议需要，或者一个带有不同命令端口和数据端口的连接。这样的通信是包过滤所无法完成的。

　　防火墙使用透明代理技术后，这些代理服务对用户也是透明的，用户意识不到防火墙的存在，便可完成内外网络的通信。当内部网络用户需要使用透明代理访问外部资源时，用户不需要进行设置，代理服务器会建立透明的通道，让用户直接与外界通信，这样极大地方便了用户的使用。

　　一般使用代理服务器时，每个用户需要在客户端程序中指明要使用代理，自行设置Proxy参数，如在浏览器中有专门的设置来指明HTTP或FTP协议所使用的IP地址和端口等。而透明代理服务，用户不需要任何设置就可以使用代理服务器，简化了网络的设置过程。

　　防火墙使用透明代理技术，还可以使防火墙的服务端口无法探测到，也就无法对防火墙进行攻击，大大提高了防火墙的安全性与抗攻击性。透明代理避免了设置或使用中可能出现的错误，降低了防火墙使用时固有的安全风险和出错概率，方便用户使用。

　　8、屏蔽路由器

　　屏蔽路由器可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的惟一通道，要求所有的报文都必须在此通过检查。路由器上可以安装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。单纯由屏蔽路由器构成的防火墙的危险包括路由器本身及路由器允许访问的主机。屏蔽路由器的缺点是一旦被攻隐后很难发现，而且不能识别不同的用户。

　　9.阻塞路由器

　　阻塞路由器也称为”内部路由器“，它保护内部网络使之免受外部网络的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。这些服务是用户的站点能使用数据包过滤，而不是代理服务安全支持和安全提供的服务。内部路由器所允许的在堡垒主机和内部网之间服务可以不同于内部路由器所允许的在外部和内部网之间的服务。

　　10、 隔离域名服务器(Split Domain Name Server )

　　这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离，使外部网的域名服务器只能看到防火墙的IP地址，无法了解受保护网络的具体情况，这样可以保证受保护网络的IP地址不被外部网络知悉。

　　11、 邮件转发技术(Mail Forwarding)

　　当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时，从外部网络发来的邮件，就只能送到防火墙上。这时防火墙对邮件进行检查，只有当发送邮件的源主机是被允许通过的，防火墙才对邮件的目的地址进行转换，送到内部的邮件服务器，由其进行转发。　

　　12、 状态监视器(StatefulInspection)：
　
　　状态监视器作为一个最新的防火墙技术，其安全特性最佳。它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与其它安全方案不同，当用户访问到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定做出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定，安全报警器就会拒绝该访问，并作下记录向系统管理器报告网络状态。状态监视器的另一个优点就是可以监测RemoteProcedureCall和User DatagrqamProtocol类的端口信息。其缺点是配置非常复杂，而且会降低网络的速度。
二、几种典型的防火墙设计

　　在防火墙已走过的历史中，主要出现过以下几种设计结构模式，它们各自代表着相应时期的防火墙技术。

　　1、屏蔽路由器模式

　　这是最初的防火墙设计方案，它不是采用专用的设备部署的，而是在原有的路由器上进行包过滤部署的。具备这种包过滤技术的路由器也称为”屏蔽路由器“。

　　一个屏蔽路由器是最简单的防火墙策略。这个方法在防火墙概念提出初期非常流行，主要是因为很多公司已经具备了这样的硬件条件，也没有专门的防火墙设备推出。原有路由器设备的公司只需要进行一些另外的包过滤配置即可实现防火墙安全策略。这种防火墙方案拓扑结构如图4所示。


图4

　　在图中担当屏蔽路由器角色的就是原有路由器，在其中的防火墙包过滤配置中，可以根据数据包包头信息中的IP地址、UDP和TCP端口来过滤数据。
　
　　这种防火墙方案有个最大的缺点就是配置复杂，非专业人员很难正确、有效地配置。如果采用这种措施，就需要对TCP/IP有很好的理解，并能够在路由器上正确地进行有关数据包过滤的设置。如果不能够正确地进行配置，危险的数据包就有可能透过防火墙进入内部局域网。如果这是唯一的安全设备，那么黑客们将非常容易地攻破系统，在局域网里为所欲为。另外一点值得注意的就是采用这种措施，内部网络的IP地址并没有被隐藏起来，并且它不具备监测，跟踪和记录的功能。　

　　当然，如果经费有限而且非常急切地需要一个防火墙的解决方案，这个方法能够使花费最少，并可以使用现有的路由器。同时，这也是进一步进行防火墙措施的一个良好开端。当增加别的网络安全设备的时候，它也还可以使用。
　
　　2、 双宿主机模式

　　这种模式也有称”双穴主机模式“。它是一种非常简单的防火墙模式，它不是用真正的硬件防火墙来实现的，它是通过在一台俗称为”堡垒主机“的计算机上安装有配置网络控制软件来实现的。所谓”双宿主机“，就是指堡垒主机同时连接着一个内、外部网络，担当起全部的网络安全维护责任。网络拓扑结构如图5所示。


图5

　　在图中起安全防护作用的堡垒主机其实就是一台计算机，为了自身的安全，在这台堡垒主机上安装的服务最少，只需要安装一些与包过滤功能有关的软件，满足一般的网络安全防护即可。它所拥有权限最少，这样就可避免一旦黑客攻占了堡垒主机后，迅速控制内部网络的不良后果。因为控制权限低，黑客虽然攻陷了堡垒主机，但仍不能拥有什么过高的网络访问权限，也就不至于给内部网络造成太大危害。

　　在这种双宿主机模式还有的，应用于对多个内部网络或网段的维护。就是一个堡垒主机同时连接着一个外部网络和两个或以上内部网络(或网段)。这就需要在堡垒主机上安装多块网卡。

渔歌子

3、屏蔽主机模式　

　　由于前一种”屏蔽路由器“防火墙方案过于单调，很容易被黑客攻击，所以在后期的防火墙技术中，又增加一道安全防线，在路由器后增加了一个用于应用安全控制的计算机，充当堡垒主机角色。这就是所谓的”屏蔽主机防火墙“模式，又有称”屏蔽主机“模式。屏蔽主机防火墙模式网络网络拓扑结构如图6所示。



图6

　　这种设计采用屏蔽路由器和堡垒主机双重安全设施，所有进出的数据都要经过屏蔽路由器和堡垒主机，保证了网络级和应用级的安全。路由器进行包过滤，堡垒主机进行应用安全控制。这是一种很可靠的设计，一个黑客必须穿透路由和堡垒主机才能够到达内部网络。为了使堡垒主机具备足够强的抗攻击性能，在堡垒主机上只安装最小的服务、并且所拥有的权限也是最低的。
　
　　采用这种设计作为应用级网关(代理服务器)，可以使用网络地址转换(NAT)技术来屏蔽内部网络。可以更进一步，建立”屏蔽多宿主机防火墙“模式。在这种结构中，堡垒主机可以连接多个内部网络或网段，也就需在堡垒主机上安装多块网卡。它同样可以使内部网络在物理上和外部网络断开，所以也可以达到保护内部网络的目的。多宿主机防火墙网络拓扑结构如图7所示。

　4、 非军事区结构模式　

　　在前面的防火墙技术中，我们已介绍了DMZ(非军事区)技术。网络设备开发商，利用这一技术，开发出了相应的防火墙解决方案。DMZ通常是一个过滤的子网，DMZ在内部网络和外部网络之间构造了一个安全地带。网络结构如图8所示。

图8

　　DMZ防火墙方案为要保护的内部网络增加了一道安全防线，通常认为是非常安全的。同时它提供了一个区域放置公共服务器，从而又能有效地避免一些互联应用需要公开，而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机、Modem池，以及所有的公共服务器，但要注意的是电子商务服务器只能用作用户连接，真正的电子商务后台数据需要放在内部网络中。

　　在这个防火墙方案中，包括两个防火墙，外部防火墙抵挡外部网络的攻击，并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机)，当外部防火墙失效的时候，它还可以起到保护内部网络的功能。而局域网内部，对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里，一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强，相应内部网络的安全性也就大大加强，但投资成本也是最高的。　

　　以上介绍了目前通常所见的几种防火墙设计方案，当然，没有完美的防火墙设计。每个网络在商业模式上都是独特的，防火墙也应该按照公司的特别要求而制作。当设计一个防火墙方案的时候，必须考虑很多的因素，包括费用，培训，安全，技术和完成所需要的时间。随着网络设备功能的增强，在新型的防火墙方案中通常可以考虑采用以下几种合并方案：

　　●使用多堡垒主机
　　●合并内部路由器与外部路由器
　　●合并堡垒主机与外部路由器
　　●合并堡垒主机与内部路由器
　　●使用多台内部路由器
　　●使用多台外部路由器
　　●使用多个周边网络
　　●使用双重宿主主机与屏蔽子网

　　下一篇将介绍传统边界防火墙的一些典型应用，敬请关注！

渔歌子

边界防火墙的应用


在上一篇中我们对防火墙的主要技术及设计模式进行较详细的介绍，大家已对防火墙从技术深度有一个理性认识。本篇要介绍防火墙的一些经典应用拓扑结构及特殊应用配置。从中我们可以了解到防火墙的一些具体应用方式，为我们配置自己企业防火墙的应用打下基础。当然这里所说的防火墙仍是传统边界防火墙，不包括后面将要介绍的个人防火墙和分布式防火墙。首先介绍的是防火墙的几种典型应用拓扑结构。

　　一、防火墙的主要应用拓扑结构

　　边界防火墙虽然是传统的，但是它的应用最广，技术最为成熟。目前大多数企业网络中所应用的都是边界防火墙。所以了解边界防火墙的应用对于掌握整个防火墙技术非常重要。

　　传统边界防火墙主要有以下四种典型的应用环境，它们分别是：

　　●控制来自互联网对内部网络的访问　
　　●控制来自第三方局域网对内部网络的访问
　　●控制局域网内部不同部门网络之间的访问
　　●控制对服务器中心的网络访问　

　　下面分别予以介绍。

　　1、 控制来自互联网对内部网络的访问

　　这是一种应用最广，也是最重要的防火墙应用环境。在这种应用环境下，防火墙主要保护内部网络不遭受互联网用户(主要是指非法的黑客)的攻击。目前绝大多数企业、特别是中小型企业，采用防火墙的目的就是这个。

　　在这种应用环境中，一般情况下防火墙网络可划分为三个不同级别的安全区域：

　　内部网络：这是防火墙要保护的对象，包括全部的企业内部网络设备及用户主机。这个区域是防火墙的可信区域(这是由传统边界防火墙的设计理念决定的)。

　　外部网络：这是防火墙要防护的对象，包括外部互联网主机和设备。这个区域为防火墙的非可信网络区域(也是由传统边界防火墙的设计理念决定的)。

　　DMZ(非军事区)：它是从企业内部网络中划分的一个小区域，在其中就包括内部网络中用于公众服务的外部服务器，如Web服务器、邮件服务器、FTP服务器、外部DNS服务器等，它们都是为互联网提供某种信息服务。

　　在以上三个区域中，用户需要对不同的安全区域庙宇不同的安全策略。虽然内部网络和DMZ区都属于企业内部网络的一部分，但它们的安全级别(策略)是不同的。对于要保护的大部分内部网络，一般情况下禁止所有来自互联网用户的访问；而由企业内部网络划分出去的DMZ区，因需为互联网应用提供相关的服务，所以在一定程度上，没有内部网络限制那么严格，如Web服务器通常是允许任何人进行正常的访问。或许有人问，这样的话，这些服务器不是很容易初攻击，按原理来说是这样的，但是由于在这些服务器上所安装的服务非常少，所允许的权限非常低，真正有服务器数据是在受保护的内部网络主机上，所以黑客攻击这些服务器没有任何意义，既不能获取什么有用的信息，也不能通过攻击它而获得过高的网络访问权限。

　　另外，建议通过NAT(网络地址转换)技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址。这样有两个好处：一则可以对外屏蔽内部网络构和IP地址，保护内部网络的安全；同时因为是公网IP地址共享，所以可以大大节省公网IP地址的使用，节省了企业投资成本。
在这种应用环境中，在网络拓扑结构上企事业单位可以有两种选择，这主要是根据单位原有网络设备情况而定。

　　如果企业原来已有边界路由器，则此可充分利用原有设备，利用边界路由器的包过滤功能，添加相应的防火墙配置，这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的内部网络连接。对于DMZ区中的公用服务器，则可直接与边界路由器相连，不用经过防火墙。它可只经过路由器的简单防护。在此拓扑结构中，边界路由器与防火墙就一起组成了两道安全防线，并且在这两者之间可以设置一个DMZ区，用来放置那些允许外部用户访问的公用服务器设施。网络拓扑结构如图1所示。

　　如果企业原来没有边界路由器，此时也可不再添加边界路由器，仅由防火墙来保护内部网络。此时DMZ区域和需要保护的内部网络分别连接防火墙的不同LAN网络接口，因此需要对这两部分网络设置不同的安全策略。这种拓扑结构虽然只有一道安全防线，但对于大多数中、小企业来说是完全可以满足的。不过在选购防火墙时就要注意，防火墙一定要有两个以上的LAN网络接口。它与我们前面所介绍的“多宿主机”结构是一样的。这种应用环境的网络拓扑结构如图2所示。

图1


图2

　　2、 控制来自第三方网络对内部网络的访问

　　这种应用主要是针对一些规模比较大的企事业单位，它们的企业内部网络通常要与分支机构、合作伙伴或供应商的局域网进行连接，或者是同一企业网络中存在多个子网。在这种应用环境下，防火墙主要限制第三方网络(以上所说的其它单位局域网或本单位子网)对内部网络的非授权访问。

　　在这种防火墙应用网络环境中，根据企业是否需要非军事区(放置一些供第三方网络用户访问的服务器)可以有两种具体的网络配置方案：

　　(1)需要DMZ区。这种情况是企业需要为第三方网络提供一些公用服务器，供日常访问。这种网络环境与上面所介绍的限制互联网用户非法访问企业内部网络一样，整个网络同样可分为三个区域：

　　内部网络：这是防火墙要保护的对象，包括全部企业内部网络中需要保护的设备和用户主机。为防火墙的可信网络区域，需对第三方用户透明隔离(透明是指“相当于不存在的”意思)。

　　外部网络：防火墙要限制访问的对象，包括第三方网络主机和设备。为防火墙的非可信网络区域。

DMZ(非军事区)：由企业内部网络中一些外部服务器组成，包括公众Web服务器、邮件服务器、FTP服务器、外部DNS服务器等。这些公众服务器为第三方网络提供相应的网络信息服务。

　　需要保护的内部网络和DMZ区的安全策略也是不同的：需要保护的内部网络一般禁止来自第三方的访问，而DMZ则是为第三方提供相关的服务，允许第三方的访问。

　　同样必要时可通过NAT(网络地址转换)对外屏蔽内部网络结构，保护内网安全。

　　我们仍考虑企业原有边界路由器设备，通过配置后它同样可以担当包过滤防火墙角色。这时的DMZ区就可直接连接边界路由器的一个LAN接口上，而无需经过防火墙。而保护内部网络通过防火墙与边界路由器连接。网络拓扑结构如图3所示。如果企业没有边界路由器，则DMZ区和内部网络分别接在防火墙的两个不同的LAN接口上，构成多宿主机模式。

　　(2)、 没有DMZ区：此应用环境下整个网络就只包括内部网络和外部网络两个区域。某些需要向第三方网络提供特殊服务的服务器或主机与需要保护的内部网络通过防火墙的同一LAN接口连接，作为内部网络的一部分，只是通过防火墙配置对第三方开放内部网络中特定的服务器/主机资源。网络拓扑结构如图4所示。但要注意的是，这种配置可能带来极大的安全隐患，因为来自第三方网络中的攻击者可能破坏和控制对他们开放的内部服务器/主机，并以此为据点，进而破坏和攻击内部网络中的其它主机/服务器等网络资源。

　　以上是考虑了企业是否需要DMZ区的两种情况。与上面介绍的对互联网用户访问控制的应用环境一样，在这种应用环境中，同样可以考虑企业单位原来是否已有边界路由器。这种应用环境下，企业同样可以没有边界路由器。如果没有边界路由器，则须把如图3和图4所示网络拓扑结构按如图2所示进行相应的改变，此时如图3和图4所示网络中，防火墙须直接与第三方网络连接，DMZ区与受保护的内部网络分别连接防火墙的两个不同的LAN接口。不过要注意，如图3所示的网络结构中，DMZ区就相当于没有任何保护，其实也称不上“DMZ区”，所以在企业没有边界路由器的情况下，通常不采用如图3所示网络结构，而是采用图4所示结构，把一些安全级别相对较低的服务器连接与内部受保护的网络连接在一起，只是在防火墙上对这些公众服务器进行特殊权限配置即可。


图3

图4
3、 控制内部网络不同部门之间的访问

　　这种应用环境就是在一个企业内部网络之间，对一些安全敏感的部门进行隔离保护。通过防火墙保护内部网络中敏感部门的资源不被非法访问。这些所谓的“敏感部门”通常是指人事部门、财务部门和市场部门等，在这些部门网络主机中的数据对于企业来说是非常重要，它的工作不能完全离开企业网络，但其中的数据又不能随便供网络用户访问。这时有几种解决方案通常是采用VLAN配置，但这种方法需要配置三层以上交换机，同时配置方法较为复杂。另一种有效的方法就是采用防火墙进行隔离，在防火墙上进行相关的配置(比起VLAN来简单许多)。通过防火墙隔离后，尽管同属于一个内部局域网，但是其他用户的访问都需要经过防火墙的过滤，符合条件的用户才能访问。这类防火墙通常不仅通过包过滤来筛选数据包的，而且还要对用户身份的合法性(在防火墙中可以设置允许哪此些用户访问)进行识别。通常为自适应代理服务器型防火墙，这种防火墙方案还可以有日志记录功能，对网管员了解网络安全现状及改进非常重要。网络拓扑结构如图5所示。


4、 控制对服务器中心的网络访问

　　对于一个服务器中心，比如主机托管中心，其众多服务器需要对第三方(合作伙伴、互联网用户等)开放，但是所有这些服务器分别属于不同用户所有，其安全策略也各不相同。如果把它们都定义在同一个安全区域中，显然不能满足各用户的不同需求，这时我们就得分别设置。要按不同安全策略保护这些服务器，可以有两种方法：

　　(1)、为每个服务器单独配置一个独立的防火墙，网络如图6所示。这种方案是一种最直接、最传统的方法。配置方法也最容易，但这种方案无论从经济上、还是从使用和管理的灵活可靠性上都不是最好的。一则需要购买与托管理服务器数据一样多的防火，对托管中心来说投资非常之大；而且托管中心管理员面对这么多防火墙，其管理难度可想而知。

图6

　　(2)、采用虚拟防火墙方式，网络结构如图7所示。这主要是利用三层交换机的VLAN(虚拟局域网)功能，先为每一台连接在三层交换机上的用户服务器所连接的网络配置成一个单独的VLAN子网，然后通过对高性能防火墙对VLAN子网的配置，就相当于将一个高性能防火墙划分为多个虚拟防火墙，其最终效果如图6一样。这种方案虽然配置较为复杂，但是这也只是首次配置，一旦配置好了，其后的使用和管理就相当方便了，就像用交换机管理多个VLAN子网一样来管理每个用户服务器，而且这种方案在现实中比较经济可行。　

图7

渔歌子

二、防火墙的应用配置

　　在传统边界防火墙应用配置中，最主要体现在DMZ(非军事区)、VPN(虚拟专用网)、DNS(域名服务器)和入侵检测配置等几个方面。下面具体介绍。

　　1、 DMZ(非军事区)应用配置

　　DMZ这个概念在这几篇防火墙介绍教程中我们多次讲到，由此可见它非常重要，为此我们有必要再次对这样一个防火墙技术进行更深入的研究。

　　DMZ是作为内外网都可以访问的公共计算机系统和资源的连接点，在其中放置的都是一些可供内、外部用户宽松访问的服务器，或提供通信基础服务的服务器及设备。比如企事业单位的Web服务器、E-mail(邮件)服务器、VPN网关、DNS服务器、拨号所用的Modem池等等。这些系统和资源都不能放置在内部保护网络内，否则会因内部网络受到防火墙的访问限制而无法正常工作。DMZ区通常放置在带包过滤功能的边界路由器与防火墙之间。其典型网络结构如图8所示。当然这里的边界路由器也可以是一台专门的硬件防火墙，只是在此想充分利用企业原有设备，节省企业投资。

　　之所以要把DMZ区放在边界路由器与防火墙之间，那是因为边界路由器作为网络安全的第一防线，可以起到一定的安全过滤作用，因为它具有包过滤功能，通常它不会设置的太严。而防火墙作为网络的第二道，也是最后一道防线，它的安全级别肯定要比边界路由器上设置的要高许多。如果把用于公共服务呖呖的一些服务器放置在防火墙之后，显然因安全级别太高，外部用户无法访问到这些服务器，达不到公共服务的目的。


图8

　　以上所介绍的是一种典型网络应用环境，有些企事业单位用户网络，可能需要两类DMZ，即所谓的“外部DMZ”和“内部DMZ”。外部DMZ放置的是内部网络和互联网用户都可以宽松访问的系统和资源，如以上所说的Web服务器、E-mail(邮件)服务器、VPN网关、DNS服务器、拨号所用的Modem池等等。这部分网络需单独连在主防火墙的一个LAN端口；内部DMZ所放置是内部网络中用防火墙所保护的内部网络中需要供内部网络用户共享的系统和资源(如内部邮件服务器、内部Web服务器、内部FTP服务器等)，当然外部网络用户是不能访问此DMZ区资源的。内部DMZ放置在主防火墙与内部防火墙之间。它的典型网络结构如图9所示。

图9

　　如果企业没有边界路由器，则外部DMZ区就要单独放置在主防火墙的一个LAN端口上，这也就要求主防火墙具有2个以上LAN接口，因为内部DMZ区也需与主防火墙的一个LAN接口单独连接，以此来配置多宿主机模式。其它连接如图9一样。
典型的防火墙策略是主防火墙采用NAT模式，而内部防火墙采用透明模式工作，以减少内部网络结构的复杂程度，提高网络连接性能。除远程访问和VPN访问外，来自互联网的网络访问只能限制在外部DMZ区对外开放的资源上，不可进入内部DMZ区，更不可能进入受保护的内部网络之中。

　　VPN(虚拟企业专网)是目前最新的网络技术之一，它的主要优点通过公网，利用隧道技术进行虚拟连接，相比专线连接来说可以大幅降低企业通信成本(降低幅度在70%左右)，加上随上VPN技术的发展，VPN通信的安全问题已基本得到解决，所以目前它是一种企业首选通信方式，得到了广大企业用户的认可和选择。目前存在几个典型的VPN隧道协议，包括IPsec、PPTP、L2TP等。通过VPN技术可以实现对用户内部网络的扩展，同时为用户带来网络使用成本上的巨大节省。

　　在防火墙网络中对VPN服务器进行配置的方法有两种：

　　(1)、传统边界防火墙方式

　　这一方式中，VPN服务器位于边界防火墙之后，防火墙必须打开内外网络之间相应的VPN通信服务端口，这可能带来安全隐患，这也是传统边界防火墙不能很好地VPN通信的原因。因为VPN通信中数据包内容是加密过的，所以边界防火墙无法检测内外网络之间的通信内容，也就无法从中获取过滤信息，这样防火墙很难有效地实现对网络的访问控制、审计和病毒检测。因为VPN服务器与传统边界2、 VPN通信配置防火墙的上述矛盾，所以远程攻击者对很可能将VPN服务器作为攻击内部网络的跳板，给内部网络带来非常大的不安全因素。为了提高网络的安全性，最好再加上如图9中配置的第二道防火墙：内部防火墙，把VPN服务器放置在外部DMZ区中。

　　(2)、使用VPN专用防火墙

　　针对传统边界防火墙与VPN通信的上述矛盾，网络设备开发商就特定为VPN通信开发VPN防火墙。集成VPN技术的防火墙，就可以正确识别VPN通信中的数据包，并且加密的数据包也只在外部VPN客户端与防火墙之间，有交地避免了前种方案中数据包无法识别的弊端。但不是所有厂商的防火墙都支持内置的VPN服务增值功能。此方案的典型配置如图10所示。


图10

　　3、DNS

　　DNS服务器可为互联网提供域名解析服务，对任何网络应用都十分关键。同时在其中也包括了非常重要的网络配置信息，如用户主机名和IP地址等。正因如此，对DNS服务器要采取特别的安全保护措施。

　　为了安全起见，建议在防火墙网络中，对内部DNS服务器和外部DNS服务器进行分开放置。为互联网服务的外部DNS服务器不应该包含对外禁止访问的内部网络系统的相关服务，需要专门放置在内部DNS服务器上。如果将内部网络的相关服务需放置在外部DNS服务器上，则会为非法攻击者提供攻击对象目标信息。这种将内部DNS服务器和外部DNS服务器分隔开的网络配置方案通常称之为“分割DNS”。图11描述了一个典型的“DNS分割”的例子：


图11

　　在这种典型防火墙DNS服务器配置网络结构中，内部DNS服务器专用来为内部网络系统进行名称解析，使得内部网络用户可以通过它连接到其它内部系统，其中就包括内部防火墙和内部DMZ；外部DNS使得外部网络能够解析出主防火墙、外部DNS服务器、外部DMZ区的主机名字，但不能解析出内部网络系统主机的名字。

　　6、入侵检测

　　安全检测是信息保障的一个重要环节，也新型防火墙的一个重要功能。目前主要的安全检测技术包括入侵检测、漏洞扫描和病毒检测。

　　入侵检测系统(Intrusion Detection System，IDS)能够对网络中未经授权用户的访问进行报警，某些时候还能够通过其它手段预防这种非法网络行为。它只能发现已发生的非法访问，而且检测本身不能提供安全保护的作用，但是很多入侵检测产品能够和防火墙这类网络安全保护产品联动，一旦入侵检测发现攻击行为，它可以通知防火墙修改安全规则，阻止后续的攻击网流。

　　入侵检测方式目前主要分为三类：基于主机的入侵检测、基于网络的入侵检测和基于应用的入侵检测。

　　建议将基于主机的入侵检测和基于应用的入侵检测产品配置在关键业务服务器上，以检测主机应用层次的网络攻击行为，尤其是基于用户的攻击行为检测。这属于一种高级的入侵检测手段，它所检测的范围覆盖整个网络和应用。必须清楚，这两类产品有极大的安全缺陷：

　　(1)、　时间上的滞后性，由于它们的检测资料来源是主机操作系统/应用的日志记录，因此难以做到实时反应；
　　(2)、其检测分析结果的准确性完全依赖于主机操作系统日志记录的全面性和准确性；
　　(3)、占用较多主机资源。

　　如果防火墙具有一定的入侵检测功能，则可以在主防火墙上打开此功能，在防火墙上使用入侵检测功能可以相当程度地抵制来自外部网络的DoS(拒绝服务攻击)攻击和地址欺骗攻击。

　　部署在某些区域的入侵检测产品如果能和相关的防火墙在网络上可通，则可以发挥它们之间的联动功能，提高安全效率。

　　在漏洞和病毒检测方面，边界防火墙比较难以实现，而在个人防火墙和分布式防火墙中却较容易。因为它们之中软件功能非常强大，而且还可以实时自动联网升级。以实现对最新的系统和病毒进行跟踪检测的目的，最大限度地保证检测的有效性。所以在个人防火墙就有好几种防火墙的叫法，如病毒防火墙、网络防火墙和邮件防火墙等。从这些名字我们要吧看出这些防火墙的主要功能。

　　好了，关于防火墙的主要应用网络结构及应用配置就介绍至此。下一篇将介绍防火墙的一些最新技术，敬请关注!

渔歌子

防火墙的配置


在前几篇对防火墙的有关知识和技术作了一个较全面的介绍，本篇要为大家介绍一些实用的知识，那就是如何配置防火中的安全策略。但要注意的是，防火墙的具体配置方法也不是千篇一律的，不要说不同品牌，就是同一品牌的不同型号也不完全一样，所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时，具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。

　　一. 防火墙的基本配置原则

　　默认情况下，所有的防火墙都是按以下两种情况配置的：

　　●拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。
　　●允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。

　　在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则：

　　（1）. 简单实用：对防火墙环境设计来讲，首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式，越容易理解和使用。而且是设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。

　　每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的安全控制，入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展，这些产品在原来的主要功能之外或多或少地增加了一些增值功能，比如在防火墙上增加了查杀病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要，在配置时我们也可针对具体应用环境进行配置，不必要对每一功能都详细配置，这样一则会大大增强配置难度，同时还可能因各方面配置不协调，引起新的安全漏洞，得不偿失。

　　（2）. 全面深入：单一的防御措施是难以保障系统的安全的，只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中，我们不要停留在几个表面的防火墙语句上，而应系统地看等整个网络的安全防护体系，尽量使各方面的配置相互加强，从深层次上防护整个系统。这方面可以体现在两个方面：一方面体现在防火墙系统的部署上，多层次的防火墙部署体系，即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御；另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。

　　（3）. 内外兼顾：防火墙的一个特点是防外不防内，其实在现实的网络环境中，80%以上的威胁都来自内部，所以我们要树立防内的观念，从根本上改变过去那种防外不防内的传统观念。对内部威胁可以采取其它安全措施，比如入侵检测、主机防护、漏洞扫描、病毒查杀。这方面体现在防火墙配置方面就是要引入全面防护的观念，最好能部署与上述内部防护手段一起联动的机制。目前来说，要做到这一点比较困难。
二、防火墙的初始配置

　　像路由器一样，在使用之前，防火墙也需要经过基本的初始配置。但因各种防火墙的初始配置基本类似，所以在此仅以Cisco PIX防火墙为例进行介绍。

　　防火墙的初始配置也是通过控制端口（Console）与PC机（通常是便于移动的笔记本电脑）的串口连接，再通过Windows系统自带的超级终端（HyperTerminal）程序进行选项配置。防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样，参见图1所示。


图1

　　防火墙除了以上所说的通过控制端口（Console）进行初始配置外，也可以通过telnet和Tffp配置方式进行高级配置，但Telnet配置方式都是在命令方式中配置，难度较大，而Tffp方式需要专用的Tffp服务器软件，但配置界面比较友好。

　　防火墙与路由器一样也有四种用户配置模式，即：普通模式（Unprivileged mode）、特权模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），进入这四种用户模式的命令也与路由器一样：

　　普通用户模式无需特别命令，启动后即进入；

　　进入特权用户模式的命令为"enable"；进入配置模式的命令为"config terminal"；而进入端口模式的命令为"interface ethernet（）"。不过因为防火墙的端口没有路由器那么复杂，所以通常把端口模式归为配置模式，统称为"全局配置模式"。

防火墙的具体配置步骤如下：

　　1. 将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上，参见图1。

　　2. 打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。   

　　3. 运行笔记本电脑Windows系统中的超级终端（HyperTerminal）程序（通常在"附件"程序组中）。对超级终端的配置与交换机或路由器的配置一样，参见本教程前面有关介绍。

　　4. 当PIX防火墙进入系统后即显示"pixfirewall>"的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。  

　　5. 输入命令：enable,进入特权用户模式，此时系统提示为：pixfirewall#。   

　　6. 输入命令： configure terminal,进入全局配置模式，对系统进行初始化设置。  

　　（1）. 首先配置防火墙的网卡参数（以只有1个LAN和1个WAN接口的防火墙配置为例）  

　　Interface ethernet0 auto   # 0号网卡系统自动分配为WAN网卡，"auto"选项为系统自适应网卡类型
　　Interface ethernet1 auto  

　　（2）. 配置防火墙内、外部网卡的IP地址  

　　IP address inside ip_address netmask  # Inside代表内部网卡
　　IP address outside ip_address netmask  # outside代表外部网卡

　　（3）. 指定外部网卡的IP地址范围：  

　　global 1 ip_address-ip_address  

　　（4）. 指定要进行转换的内部地址  

　　nat 1 ip_address netmask  

　　（5）. 配置某些控制选项：  

　　conduit global_ip port[-port] protocol foreign_ip [netmask]   

　　其中，global_ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指的是连接协议，比如：TCP、UDP等；foreign_ip：表示可访问的global_ip外部IP地址；netmask：为可选项，代表要控制的子网掩码。  

　　7. 配置保存：wr mem  

　　8. 退出当前模式

　　此命令为exit，可以任何用户模式下执行，执行的方法也相当简单，只输入命令本身即可。它与Quit命令一样。下面三条语句表示了用户从配置模式退到特权模式，再退到普通模式下的操作步骤。

　　pixfirewall(config)# exit
　　pixfirewall# exit
　　pixfirewall>

　　9. 查看当前用户模式下的所有可用命令：show，在相应用户模式下键入这个命令后，即显示出当前所有可用的命令及简单功能描述。

　　10. 查看端口状态：show interface，这个命令需在特权用户模式下执行，执行后即显示出防火墙所有接口配置情况。
        
　　11. 查看静态地址映射:show static，这个命令也须在特权用户模式下执行，执行后显示防火墙的当前静态地址映射情况。     

三、Cisco PIX防火墙的基本配置

　　1. 同样是用一条串行电缆从电脑的COM口连到Cisco PIX 525防火墙的console口；

　　2. 开启所连电脑和防火墙的电源，进入Windows系统自带的"超级终端"，通讯参数可按系统默然。进入防火墙初始化配置，在其中主要设置有：Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等，完成后也就建立了一个初始化设置了。此时的提示符为：pix255>。

　　3. 输入enable命令，进入Pix 525特权用户模式,默然密码为空。

　　如果要修改此特权用户模式密码，则可用enable password命令，命令格式为：enable password password [encrypted]，这个密码必须大于16位。Encrypted选项是确定所加密码是否需要加密。

　　4、 定义以太端口：先必须用enable命令进入特权用户模式，然后输入configure terminal（可简称为config t）,进入全局配置模式模式。具体配置

　　pix525>enable
　　Password:
　　pix525#config t
　　pix525 (config)#interface ethernet0 auto
　　pix525 (config)#interface ethernet1 auto

　　在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。

　　5. clock

　　配置时钟，这也非常重要，这主要是为防火墙的日志记录而资金积累的，如果日志记录时间和日期都不准确，也就无法正确分析记录中的信息。这须在全局配置模式下进行。

　　时钟设置命令格式有两种，主要是日期格式不同，分别为：

　　clock set hh:mm:ss month day month year和clock set hh:mm:ss day month year

　　前一种格式为：小时：分钟：秒 月 日 年；而后一种格式为：小时：分钟：秒 日 月 年，主要在日、月份的前后顺序不同。在时间上如果为0，可以为一位，如：21:0:0。

　　6. 指定接口的安全级别

　　指定接口安全级别的命令为nameif，分别为内、外部网络接口指定一个适当的安全级别。在此要注意，防火墙是用来保护内部网络的，外部网络是通过外部接口对内部网络构成威胁的，所以要从根本上保障内部网络的安全，需要对外部网络接口指定较高的安全级别，而内部网络接口的安全级别稍低，这主要是因为内部网络通信频繁、可信度高。在Cisco PIX系列防火墙中，安全级别的定义是由security（）这个参数决定的，数字越小安全级别越高，所以security0是最高的，随后通常是以10的倍数递增，安全级别也相应降低。如下例：

　　pix525(config)#nameif ethernet0 outside security0   # outside是指外部接口
　　pix525(config)#nameif ethernet1 inside security100 # inside是指内部接口

渔歌子

7. 配置以太网接口IP地址

　　所用命令为：ip address，如要配置防火墙上的内部网接口IP地址为：192.168.1.0 255.255.255.0；外部网接口IP地址为：220.154.20.0 255.255.255.0。 配置方法如下：
　　pix525(config)#ip address inside 192.168.1.0 255.255.255.0
　　pix525(config)#ip address outside 220.154.20.0 255.255.255.0

　　8. access-group

　　这个命令是把访问控制列表绑定在特定的接口上。须在配置模式下进行配置。命令格式为：access-group acl_ID in interface interface_name，其中的"acl_ID"是指访问控制列表名称，interface_name为网络接口名称。如：

　　access-group acl_out in interface outside，在外部网络接口上绑定名称为"acl_out"的访问控制列表。
　　clear access-group：清除所有绑定的访问控制绑定设置。
　　no access-group acl_ID in interface interface_name：清除指定的访问控制绑定设置。
　　show access-group acl_ID in interface interface_name：显示指定的访问控制绑定设置。

　　9．配置访问列表

　　所用配置命令为：access-list，合格格式比较复杂，如下：

　　标准规则的创建命令：access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]
　　扩展规则的创建命令：access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]

　　它是防火墙的主要配置部分，上述格式中带"[]"部分是可选项，listnumber参数是规则号，标准规则号（listnumber1）是1~99之间的整数，而扩展规则号（listnumber2）是100~199之间的整数。它主要是通过访问权限"permit"和"deny"来指定的，网络协议一般有IP|TCP|UDP|ICMP等等。如只允许访问通过防火墙对主机:220.154.20.254进行www访问，则可按以下配置：

　　pix525(config)#access-list 100 permit 220.154.20.254 eq www

　　其中的100表示访问规则号，根据当前已配置的规则条数来确定，不能与原来规则的重复，也必须是正整数。关于这个命令还将在下面的高级配置命令中详细介绍。

10. 地址转换（NAT）

　　防火墙的NAT配置与路由器的NAT配置基本一样，首先也必须定义供NAT转换的内部IP地址组，接着定义内部网段。

　　定义供NAT转换的内部地址组的命令是nat，它的格式为：nat [(if_name)] nat_id local_ip [netmask [max_conns [em_limit]]]，其中if_name为接口名；nat_id参数代表内部地址组号；而local_ip为本地网络地址；netmask为子网掩码；max_conns为此接口上所允许的最大TCP连接数，默认为"0"，表示不限制连接；em_limit为允许从此端口发出的连接数，默认也为"0"，即不限制。如：

　　nat (inside) 1 10.1.6.0 255.255.255.0

　　表示把所有网络地址为10.1.6.0，子网掩码为255.255.255.0的主机地址定义为1号NAT地址组。

　　随后再定义内部地址转换后可用的外部地址池，它所用的命令为global,基本命令格式为：

　　global  [(if_name)] nat_id global_ip [netmask [max_conns [em_limit]]] ，各参数解释同上。如：

　　global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0

　　将上述nat命令所定的内部IP地址组转换成175.1.1.3~175.1.1.64的外部地址池中的外部IP地址，其子网掩耳盗铃码为255.255.255.0。

　　11. Port Redirection with Statics

　　这是静态端口重定向命令。在Cisco PIX版本6.0以上，增加了端口重定向的功能，允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到内部指定的内部服务器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口（PAT），或者是共享的外部端口。这种功能也就是可以发布内部WWW、FTP、Mail等服务器，这种方式并不是直接与内部服务器连接，而是通过端口重定向连接的，所以可使内部服务器很安全。

　　命令格式有两种，分别适用于TCP/UDP通信和非TCP/UDP通信：

　　(1). static[(internal_if_name, external_if_name)]{global_ip|interface}local_ip[netmask mask] max_conns [emb_limit[norandomseq]]]

　　（2）. static [(internal_if_name, external_if_name)] {tcp|udp}{global_ip|interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]]

　　此命令中的以上各参数解释如下：

　　internal_if_name：内部接口名称；external_if_name：外部接口名称；{tcp|udp}：选择通信协议类型；{global_ip|interface}：重定向后的外部IP地址或共享端口；local_ip：本地IP地址；[netmask mask]：本地子网掩码；max_conns：允许的最大TCP连接数，默认为"0"，即不限制；emb_limit：允许从此端口发起的连接数，默认也为"0"，即不限制；norandomseq：不对数据包排序，此参数通常不用选。

现在我们举一个实例，实例要求如下

　　●外部用户向172.18.124.99的主机发出Telnet请求时，重定向到10.1.1.6。
　　●外部用户向172.18.124.99的主机发出FTP请求时，重定向到10.1.1.3。
　　●外部用户向172.18.124.208的端口发出Telnet请求时，重定向到10.1.1.4。
　　●外部用户向防火墙的外部地址172.18.124.216发出Telnet请求时，重定向到10.1.1.5。
　　●外部用户向防火墙的外部地址172.18.124.216发出HTTP请求时，重定向到10.1.1.5。
　　●外部用户向防火墙的外部地址172.18.124.208的8080端口发出HTTP请求时，重定向到10.1.1.7的80号端口。

　　以上重写向过程要求如图2所示，防火墙的内部端口IP地址为10.1.1.2，外部端口地址为172.18.124.216。


图2

　　以上各项重定向要求对应的配置语句如下：

　　static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6 telnet netmask 255.255.255.255 0 0
　　static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3 ftp netmask 255.255.255.255 0 0
　　static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4 telnet netmask 255.255.255.255 0 0
　　static (inside,outside) tcp interface telnet 10.1.1.5 telnet netmask 255.255.255.255 0 0
　　static (inside,outside) tcp interface www 10.1.1.5  www netmask 255.255.255.255 0 0
　　static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7 www netmask 255.255.255.255 0 0

　　12. 显示与保存结果

　　显示结果所用命令为：show config；保存结果所用命令为：write memory。

渔歌子

四、包过滤型防火墙的访问控制表（ACL）配置

　　除了以上介绍的基本配置外，在防火墙的安全策略中最重要还是对访问控制列表（ACL）进行配有关置。下面介绍一些用于此方面配置的基本命令。

　　1. access-list：用于创建访问规则

　　这一访问规则配置命令要在防火墙的全局配置模式中进行。同一个序号的规则可以看作一类规则，同一个序号之间的规则按照一定的原则进行排列和选择，这个顺序可以通过 show access-list 命令看到。在这个命令中，又有几种命令格式，分别执行不同的命令。

　　（1）创建标准访问列表

　　命令格式：access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]

　　（2）创建扩展访问列表

　　命令格式：access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]

　　（3）删除访问列表

　　命令格式：no access-list { normal | special } { all | listnumber [ subitem ] }

　　上述命令参数说明如下：

　　●normal：指定规则加入普通时间段。
　　●special：指定规则加入特殊时间段。
　　●listnumber1：是1到99之间的一个数值，表示规则是标准访问列表规则。
　　●listnumber2：是100到199之间的一个数值，表示规则是扩展访问列表规则。
　　●permit：表明允许满足条件的报文通过。
　　●deny：表明禁止满足条件的报文通过。
　　●protocol：为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。
　　●source-addr：为源IP地址。
　　●source-mask：为源IP地址的子网掩码，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。
　　●dest-addr：为目的IP地址。
　　●dest-mask：为目的地址的子网掩码。
　　●operator：端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。
　　port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。port2 在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。
　　●icmp-type：在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值（如echo-reply）或者是0~255之间的一个数值。
　　●icmp-code：在协议为ICMP，且没有选择所设定的预设值时出现；代表ICMP码，是0~255之间的一个数值。
　　●log：表示如果报文符合条件，需要做日志。
　　●listnumber：为删除的规则序号，是1~199之间的一个数值。
　　●subitem：指定删除序号为listnumber的访问列表中规则的序号。

例如，现要在华为的一款防火墙上配置一个"允许源地址为10.20.10.0 网络、目的地址为10.20.30.0网络的WWW访问，但不允许使用FTP"的访问规则。相应配置语句只需两行即可，如下：
　　Quidway (config)#access-list 100 permit tcp 10.20.10.0  255.0.0.0  10.20.30.0  255.0.0.0  eq www
　　Quidway (config)#access-list 100 deny tcp 10.20.10.0  255.0.0.0  10.20.30.0  255.0.0.0  eq ftp

　　2. clear access-list counters：清除访问列表规则的统计信息

　　命令格式：clear access-list counters [ listnumber ]

　　这一命令必须在特权用户模式下进行配置。listnumber 参数是用指定要清除统计信息的规则号，如不指定，则清除所有的规则的统计信息。

　　如要在华为的一款包过滤路由器上清除当前所使用的规则号为100的访问规则统计信息。访问配置语句为：

　　clear access-list counters 100
　　如有清除当前所使用的所有规则的统计信息，则以上语句需改为：Quidway#clear access-list counters

　　3. ip access-group

　　使用此命令将访问规则应用到相应接口上。使用此命令的no形式来删除相应的设置，对应格式为：

　　ip access-group listnumber { in | out }

　　此命令须在端口用户模式下配置，进入端口用户模式的命令为：interface ethernet（），括号中为相应的端口号，通常0为外部接口，而1为内部接口。进入后再用ip access-group 命令来配置访问规则。listnumber参数为访问规则号，是1~199之间的一个数值（包括标准访问规则和扩展访问规则两类）；in 表示规则应用于过滤从接口接收到的报文；而out表示规则用于过滤从接口转发出去的报文。一个接口的一个方向上最多可以应用20类不同的规则；这些规则之间按照规则序号的大小进行排列，序号大的排在前面，也就是优先级高。对报文进行过滤时，将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以，建议在配置规则时，尽量将对同一个网络配置的规则放在同一个序号的访问列表中；在同一个序号的访问列表中，规则之间的排列和选择顺序可以用show access-list命令来查看。
例如将规则100应用于过滤从外部网络接口上接收到的报文，配置语句为（同样为在倾为包过滤路由器上）：

　　ip access-group 100 in

　　如果要删除某个访问控制表列绑定设置，则可用no ip access-group listnumber { in | out } 命令。

　　4. show access-list

　　此配置命令用于显示包过滤规则在接口上的应用情况。命令格式为：show access-list [ all | listnumber | interface interface-name ]

　　这一命令须在特权用户模式下进行配置，其中all参数表示显示所有规则的应用情况，包括普通时间段内及特殊时间段内的规则；如果选择listnumber参数，则仅需显示指定规则号的过滤规则；interface 表示要显示在指定接口上应用的所有规则序号；interface-name参数为接口的名称。

　　使用此命令来显示所指定的规则，同时查看规则过滤报文的情况。每个规则都有一个相应的计数器，如果用此规则过滤了一个报文，则计数器加1；通过对计数器的观察可以看出所配置的规则中，哪些规则是比较有效，而哪些基本无效。例如，现在要显示当前所使用序号为100的规则的使用情况，可执行Quidway#show access-list 100语句即可，随即系统即显示这条规则的使用情况，格式如下：

　　Using normal packet-filtering access rules now.
　　100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)
　　100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)
　　100 deny udp any any eq rip (no matches -- rule 3)

　　5. show firewall

　　此命令须在特权用户模式下执行，它显示当前防火墙状态。命令格式非常简单，也为：show firewall。这里所说的防火墙状态，包括防火墙是否被启用，启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。

　　6. Telnet

　　这是用于定义能过防火配置控制端口进行远程登录的有关参数选项，也须在全局配置用户模式下进行配置。

　　命令格式为：telnet ip_address [netmask] [if_name]

　　其中的ip_address参数是用来指定用于Telnet登录的IP地址，netmask为子网掩码，if_name用于指定用于Telnet登录的接口，通常不用指定，则表示此IP地址适用于所有端口。如：

　　telnet 192.168.1.1

　　如果要清除防火墙上某个端口的Telnet参数配置，则须用clear telnet命令，其格式为：clear telnet [ip_address [netmask] [if_name]]，其中各选项说明同上。它与另一个命令no telnet功能基本一样，不过它是用来删除某接口上的Telnet配置，命令格式为：no telnet [ip_address [netmask] [if_name]]。

　　如果要显示当前所有的Telnet配置，则可用show telnet命令。

　　关于防火墙的配置就介绍至此，下一篇将是防火墙的最后一篇，将介绍防火墙选购方面的知识。