内容导读
防火墙概述
防火墙技能
防火墙应用实战
一、防火墙概述
1、防火墙根本概念
在网络安全领域,防火墙是设置在差别网络(如可信任的企业内部网和不可信的公共网)之间的一组由软、硬件构成的安全设施,如图所示。
它是差别网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制出入网络的信息流,从而有效地控制内部网和外部网之间的信息传输。
2、防火墙的功能
(1) 扫描信息,过滤攻击。
(2) 关闭不必要的端口。
(3) 克制特定端口的流出通讯。
(4) 克制特殊站点的访问。
(5) 限制特定用户的通讯。
3、 防火墙的不足
(1) 网络瓶颈。
(2) 不能防范不经过防火墙的信息攻击。
(3) 不能防范病毒的传播。
(4) 不能防范内部人员的攻击。
4、防火墙的特征
(1) 内部网和外部网之间的所有网络数据流都必须经过防火墙
(2) 只有符合安全策略的数据才能通过防火墙
(3) 自身具有非常强的抗攻击力
二、防火墙技能
1、防火墙的体系布局
(1) 过滤路由器布局
过滤路由器布局是指由具有过滤功能的路由器充当防火墙的布局,如图所示。
(2) 双宿主机布局
双宿主机布局防火墙是指担任防火墙功能的是一台双重宿主(双网卡)主机,如图所示。
(3) 屏蔽子网布局
屏蔽子网布局是指在表里部网之间新增长一个子网DMZ(非军事区),如图。
2、防火墙的技能分类
(1) 包过滤技能
包过滤技能是防火墙最为根本和传统的技能。所谓“包过滤”就是过滤数据包,使符合规则的数据包通过而不符合规则的数据包被拒绝或丢弃。
包过滤技能防火墙工作在第三层及三层以下。
静态包过滤技能是传统的包过滤技能,它是根据流过防火墙的数据包是否符合防火墙所制定的规则来决定是否答应数据包通过,它所制定的规则只检查数据的协议、源和目标IP所在、源和目标端口。
动态包过滤技能是静态包过滤技能的发展,它可以动态地根据实际应用哀求自动生成和删除包过滤规则,从而办理静态包过滤制定规则难度大的问题。
①包过滤技能的长处:
实现简单,对装备要求较低。
②包过滤技能的缺点:
随着规则的增长,规则库变得越来越大。无法防范外部的IP诱骗。
(2) 应用级网关
应用级网关也叫代理服务器,通过网关复制传输数据,防止在受信任的服务器或客户机与不受信任的主机间创建直接的接洽。
应用级网关防火墙创建在应用层。
(3) 电路级网关
电路级网关防火墙通过检查握手信息来判断是否合法从而判断是否对信息放行。
电路级网关又称为线路级网关,工作在会话层。
(4) 状态检测技能
状态检测防火墙,顾名思义就是要检查数据包的状态变化,它在每一层都会对数据包进行检查,集成了以上几种防火墙的特点,安全性得到了很大的进步。
3、防火墙的实现分类
(1) 基于网络主机的防火墙
基于网络主机的防火墙是指将网络中的一台主机安装防火墙软件用以掩护受信任的网络(企业网)。
(2) 基于路由器的防火墙
基于路由器的防火墙是指利用路由器的过滤功能来实现防火墙的功能。
(3) 基于单个主机的防火墙
基于单个主机的防火墙是指安装在单一主机上的防火墙软件,它只适合掩护单一主机的安全。
(4) 硬件防火墙
硬件防火墙是指用一台专门的硬件产物作为防火墙。在这种产物中,防火墙厂家是将防火墙软件固化在硬件芯片里,用硬件方式实现防火墙的功能。
三、防火墙应用实战
1、Cisco公司的PIX防火墙
Cisco公司成立于1984年,是全球互联网办理方案提供商。Cisco PIX(Private Internet eXchange)系列防火墙是业界领先的产物之一,具有很好的安全性和可靠性。
(1) Cisco PIX的主要特点
① 嵌入式的操作系统。
② 高安全性。
③ 高可靠性。
④ 强大的远程管理功能。
(2) Cisco PIX的根本应用和设置
① PIX防火墙的设置连接
利用CONSOLE线连接PIX 的CONSOLE接口与PC的串口后,通过PC的“超级终端”来设置PIX的性能。根据实际情况选择与盘算机相连的端口,如:COM1,再设置端口属性。在端口属性里,要选择“每秒位数”为“9600”,如图所示。
② PIX防火墙的设置模式
非特权模式。Cisco PIX防火墙开启以后进入的第一个工作模式,默认体现为“Pixfirewall>”。在非特权模式下,用户只有很少的检察权限。
特权模式。特权模式是Cisco PIX防火墙的第二个工作模式,默认体现为“Pixfirewall#”。在特权模式下,用户可以进行很少的设置和检察。
设置模式。设置模式是Cisco PIX防火墙的主要工作模式,大多数的设置下令只有在此模式下才有效,其默认体现为“Pixfirewall(config)# ”。
③ Cisco PIX的一般设置步调
连接好PIX 和PC,设置好PC的超级终端,开启PIX。
PIX进入非特权模式,显示 Pixfirewall> 。
输入下令enable,PIX进入特权模式,显示 Pixfirewall# 。
输入下令configure terminal进入设置模式,显示Pixfirewall(config)#。
指定表里部网卡名称及安全级别。
设置以太接口数据传输状态(速率、通讯方式)。
设置表里部网卡和DMZ区的接口IP所在。
指定DMZ区和外部所在范围。
指定要进行NAT转换的内部所在。
设置指向DMZ区和外部网的缺省路由 。
设置静态IP所在映射。
保存设置。
2、ISA SERVER防火墙
ISA ( Internet Security and Acceleration ) SERVER 是微软公司所出品的企业级防火墙软件。此款防火墙产物不但具有安全防护性能,而且还具有网络缓存功能。
(1) ISA SERVER的主要特点
① 安全性与网络性能兼顾。
② 提供多项安全选项。
③ 实现服务器的安全发布。
④ 扩展轻易。
⑤ 企业版的高级功能。
(2) ISA SERVER 2004的安装
第1步:网络搜索并下载ISA SERVER 2004,双击安装文件按提示完成后续安装。
第2步:选择“安装类型”。建议不熟悉者选择默认选项,即“典范”。
第3步:按要求设置内部网、外部网及DMZ区所对应的网卡及所在范围,如图所示。接下来的步调是领导自动安装的过程。
(3) ISA SERVER 2004的简单设置
留意:ISA SERVER 2004的默认规则是拒绝任何通讯;ISA SERVER 2004所设置的规则具有独立性和顺序性。
第1步:单击“步伐”→“Microsoft ISA SERVER”→“ISA 服务器管理”,右击“防火墙策略”,选择“新建”→“访问规则”,如图所示。
第2步:在所示的“访问规则”框中输入名称,如“答应内部网访问外部网”,单击“下一步”按钮。
第3步:为所见规则确定操作方式。在出现所示界面中,选择“答应”,单击“下一步”按钮。
第4步:选择规则所接纳的协议。如图所示,在“此规则应用到”项选择“所有出站通讯”,再单击“下一步”按钮。
第5步:选择规则源。在所示的“访问规则源”界面中点击“添加”按钮,在出现的“添加网络实体”中选择“网络”→“内部”,点击“下一步”按钮,即完成添加。
第6步:选择规则目标。在所示“访问规则目标”界面中点击“添加”按钮,在“添加网络实体”中选择“网络”→“外部”,点击“下一步”按钮,即完成添加。
第7步:选择规则所实用的用户。在图示的用户集界面中点击“添加”按钮,选择“所有用户”,单击“下一步”按钮。
第8步:在确认规则设置无误后,在出现的界面中点击“完成”按钮。至此,规则创建完成。
更多精彩内容请继承关注本站!!!
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
