防火墙的发展史文档格式.docx
- 文档编号:19123913
- 上传时间:2023-01-04
- 格式:DOCX
- 页数:27
- 大小:45.27KB
防火墙的发展史文档格式.docx
《防火墙的发展史文档格式.docx》由会员分享,可在线阅读,更多相关《防火墙的发展史文档格式.docx(27页珍藏版)》请在冰豆网上搜索。
,当然目前主要还是在个人防火墙中体现,因为它是纯软件形式,更容易实现。
这种防火墙技术可以有效地防止病毒在网络中的传播,比等待攻击的发生更加积极。
拥有病毒防护功能的防火墙可以大大减少公司的损失。
2.防火墙的体系结构发展趋势
随着网络应用的增加,对网络带宽提出了更高的要求。
这意味着防火墙要能够以非常高的速率处理数据。
另外,在以后几年里,多媒体应用将会越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小。
为了满足这种需要,一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。
从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。
与基于ASIC的纯硬件防火墙相比,基于网络处理器的防火墙具有软件色彩,因而更加具有灵活性。
基于ASIC的防火墙使用专门的硬件处理网络数据流,比起前两种类型的防火墙具有更好的性能。
但是纯硬件的ASIC防火墙缺乏可编程性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展。
理想的解决方案是增加ASIC芯片的可编程性,使其与软件更好地配合。
这样的防火墙就可以同时满足来自灵活性和运行性能的要求。
首信CF-2000系列EP-600和CG-600高端千兆防火墙即采用了功能强大的可编程专有ASIC芯片作为专门的安全引擎,很好地兼顾了灵活性和性能的需要。
它们可以以线速处理网络流量,而且其性能不受连接数目、包大小以及采用何种策略的影响。
该款防火墙支持QoS,所造成的延迟可以达到微秒量级,可以满足各种交互式多媒体应用的要求。
浙大网新也在杭州正式发布三款基于ASIC芯片的网新易尚千兆系列网关防火墙,据称,其ES4000防火墙速度达到4Gbps,3DES速度可达600Mbps。
易尚系列千兆防火墙还采用了最新的安全网关概念,集成了防火墙、VPN、IDS、防病毒、内容过滤和流量控制等多项功能。
3.防火墙的系统管理发展趋势
防火墙的系统管理也有一些发展趋势,主要体现在以下几个方面:
(1).首先是集中式管理,分布式和分层的安全结构是将来的趋势。
集中式管理可以降低管理成本,并保证在大型网络中安全策略的一致性。
快速响应和快速防御也要求采用集中式管理系统。
目前这种分布式防火墙早已在Cisco(思科)、3Com等大的网络设备开发商中开发成功,也就是目前所称的"
分布式防火墙"
和"
嵌入式防火墙"
。
关于这一新技术在本篇下面将详细介绍。
(2).强大的审计功能和自动日志分析功能。
这两点的应用可以更早地发现潜在的威胁并预防攻击的发生。
日志功能还可以管理员有效地发现系统中存的安全漏洞,及时地调整安全策略等各方面管理具有非常大的帮助。
不过具有这种功能的防火墙通常是比较高级的,早期的静态包过滤防火墙是不具有的。
(3).网络安全产品的系统化
随着网络安全技术的发展,现在有一种提法,叫做"
建立以防火墙为核心的网络安全体系"
因为我们在现实中发现,仅现有的防火墙技术难以满足当前网络安全需求。
通过建立一个以防火墙为核心的安全体系,就可以为内部网络系统部署多道安全防线,各种安全技术各司其职,从各方面防御外来入侵。
如现在的IDS设备就能很好地与防火墙一起联合。
一般情况下,为了确保系统的通信性能不受安全设备的影响太大,IDS设备不能像防火墙一样置于网络入口处,只能置于旁路位置。
而在实际使用中,IDS的任务往往不仅在于检测,很多时候在IDS发现入侵行为以后,也需要IDS本身对入侵及时遏止。
显然,要让处于旁路侦听的IDS完成这个任务又太难为,同时主链路又不能串接太多类似设备。
在这种情况下,如果防火墙能和IDS、病毒检测等相关安全产品联合起来,充分发挥各自的长处,协同配合,共同建立一个有效的安全防范体系,那么系统网络的安全性就能得以明显提升。
目前主要有两种解决办法:
一种是直接把IDS、病毒检测部分直接"
做"
到防火墙中,使防火墙具有IDS和病毒检测设备的功能;
另一种是各个产品分立,通过某种通讯方式形成一个整体,一旦发现安全事件,则立即通知防火墙,由防火墙完成过滤和报告。
目前更看重后一种方案,因为它实现方式较前一种容易许多。
一.防火墙的基本配置原则
默认情况下,所有的防火墙都是按以下两种情况配置的:
●拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。
●允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。
可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。
一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。
换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。
在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则:
(1).简单实用:
对防火墙环境设计来讲,首要的就是越简单越好。
其实这也是任何事物的基本原则。
越简单的实现方式,越容易理解和使用。
而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。
每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。
但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。
但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。
(2).全面深入:
单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。
在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。
这方面可以体现在两个方面:
一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;
另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。
(3).内外兼顾:
防火墙的一个特点是防外不防内,其实在现实的网络环境中,80%以上的威胁都来自内部,所以我们要树立防内的观念,从根本上改变过去那种防外不防内的传统观念。
对内部威胁可以采取其它安全措施,比如入侵检测、主机防护、漏洞扫描、病毒查杀。
这方面体现在防火墙配置方面就是要引入全面防护的观念,最好能部署与上述内部防护手段一起联动的机制。
目前来说,要做到这一点比较困难。
二、防火墙的初始配置
像路由器一样,在使用之前,防火墙也需要经过基本的初始配置。
但因各种防火墙的初始配置基本类似,所以在此仅以CiscoPIX防火墙为例进行介绍。
防火墙的初始配置也是通过控制端口(Console)与PC机(通常是便于移动的笔记本电脑)的串口连接,再通过Windows系统自带的超级终端(HyperTerminal)程序进行选项配置。
防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样,参见图1所示。
图1
防火墙除了以上所说的通过控制端口(Console)进行初始配置外,也可以通过telnet和Tffp配置方式进行高级配置,但Telnet配置方式都是在命令方式中配置,难度较大,而Tffp方式需要专用的Tffp服务器软件,但配置界面比较友好。
防火墙与路由器一样也有四种用户配置模式,即:
普通模式(Unprivilegedmode)、特权模式(PrivilegedMode)、配置模式(ConfigurationMode)和端口模式(InterfaceMode),进入这四种用户模式的命令也与路由器一样:
普通用户模式无需特别命令,启动后即进入;
进入特权用户模式的命令为"
enable"
;
进入配置模式的命令为"
configterminal"
而进入端口模式的命令为"
interfaceethernet()"
不过因为防火墙的端口没有路由器那么复杂,所以通常把端口模式归为配置模式,统称为"
全局配置模式"
防火墙的具体配置步骤如下:
1.将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上,参见图1。
2.打开PIX防火电源,让系统加电初始化,然后开启与防火墙连接的主机。
?
3.运行笔记本电脑Windows系统中的超级终端(HyperTerminal)程序(通常在"
附件"
程序组中)。
对超级终端的配置与交换机或路由器的配置一样,参见本教程前面有关介绍。
4.当PIX防火墙进入系统后即显示"
pixfirewall>
"
的提示符,这就证明防火墙已启动成功,所进入的是防火墙用户模式。
可以进行进一步的配置了。
5.输入命令:
enable,进入特权用户模式,此时系统提示为:
pixfirewall#。
6.输入命令:
configureterminal,进入全局配置模式,对系统进行初始化设置。
(1).首先配置防火墙的网卡参数(以只有1个LAN和1个WAN接口的防火墙配置为例)?
Interfaceethernet0auto?
#0号网卡系统自动分配为WAN网卡,"
auto"
选项为系统自适应网卡类型
Interfaceethernet1auto?
(2).配置防火墙内、外部网卡的IP地址?
IPaddressinsideip_addressnetmask?
#Inside代表内部网卡
IPaddressoutsideip_addressnetmask?
#outside代表外部网卡
(3).指定外部网卡的IP地址范围:
global1ip_address-ip_address?
(4).指定要进行转换的内部地址?
nat1ip_addressnetmask?
(5).配置某些控制选项:
conduitglobal_ipport[-port]protocolforeign_ip[netmask]?
其中,global_ip:
指的是要控制的地址;
port:
指的是所作用的端口,0代表所有端口;
protocol:
指的是连接协议,比如:
TCP、UDP等;
foreign_ip:
表示可访问的global_ip外部IP地址;
netmask:
为可选项,代表要控制的子网掩码。
7.配置保存:
wrmem?
8.退出当前模式
此命令为exit,可以任何用户模式下执行,执行的方法也相当简单,只输入命令本身即可。
它与Quit命令一样。
下面三条语句表示了用户从配置模式退到特权模式,再退到普通模式下的操作步骤。
pixfirewall(config)#exit
pixfirewall#exit
pixfirewall>
9.查看当前用户模式下的所有可用命令:
show,在相应用户模式下键入这个命令后,即显示出当前所有可用的命令及简单功能描述。
10.查看端口状态:
showinterface,这个命令需在特权用户模式下执行,执行后即显示出防火墙所有接口配置情况。
11.查看静态地址映射:
showstatic,这个命令也须在特权用户模式下执行,执行后显示防火墙的当前静态地址映射情况。
三、CiscoPIX防火墙的基本配置
1.同样是用一条串行电缆从电脑的COM口连到CiscoPIX525防火墙的console口;
2.开启所连电脑和防火墙的电源,进入Windows系统自带的"
超级终端"
,通讯参数可按系统默然。
进入防火墙初始化配置,在其中主要设置有:
Date(日期)、time(时间)、hostname(主机名称)、insideipaddress(内部网卡IP地址)、domain(主域)等,完成后也就建立了一个初始化设置了。
此时的提示符为:
pix255>
3.输入enable命令,进入Pix525特权用户模式,默然密码为空。
如果要修改此特权用户模式密码,则可用enablepassword命令,命令格式为:
enablepasswordpassword[encrypted],这个密码必须大于16位。
Encrypted选项是确定所加密码是否需要加密。
4、定义以太端口:
先必须用enable命令进入特权用户模式,然后输入configureterminal(可简称为configt),进入全局配置模式模式。
具体配置
pix525>
enable
Password:
pix525#configt
pix525(config)#interfaceethernet0auto
pix525(config)#interfaceethernet1auto
在默然情况下ethernet0是属外部网卡outside,ethernet1是属内部网卡inside,inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。
5.clock
配置时钟,这也非常重要,这主要是为防火墙的日志记录而资金积累的,如果日志记录时间和日期都不准确,也就无法正确分析记录中的信息。
这须在全局配置模式下进行。
时钟设置命令格式有两种,主要是日期格式不同,分别为:
clocksethh:
mm:
ssmonthdaymonthyear和clocksethh:
ssdaymonthyear
前一种格式为:
小时:
分钟:
秒月日年;
而后一种格式为:
秒日月年,主要在日、月份的前后顺序不同。
在时间上如果为0,可以为一位,如:
21:
0:
0。
6.指定接口的安全级别
指定接口安全级别的命令为nameif,分别为内、外部网络接口指定一个适当的安全级别。
在此要注意,防火墙是用来保护内部网络的,外部网络是通过外部接口对内部网络构成威胁的,所以要从根本上保障内部网络的安全,需要对外部网络接口指定较高的安全级别,而内部网络接口的安全级别稍低,这主要是因为内部网络通信频繁、可信度高。
在CiscoPIX系列防火墙中,安全级别的定义是由security()这个参数决定的,数字越小安全级别越高,所以security0是最高的,随后通常是以10的倍数递增,安全级别也相应降低。
如下例:
pix525(config)#nameifethernet0outsidesecurity0?
#outside是指外部接口
pix525(config)#nameifethernet1insidesecurity100#inside是指内部接口
7.配置以太网接口IP地址
所用命令为:
ipaddress,如要配置防火墙上的内部网接口IP地址为:
192.168.1.0255.255.255.0;
外部网接口IP地址为:
220.154.20.0255.255.255.0。
配置方法如下:
pix525(config)#ipaddressinside192.168.1.0255.255.255.0
pix525(config)#ipaddressoutside220.154.20.0255.255.255.0
8.access-group
这个命令是把访问控制列表绑定在特定的接口上。
须在配置模式下进行配置。
命令格式为:
access-groupacl_IDininterfaceinterface_name,其中的"
acl_ID"
是指访问控制列表名称,interface_name为网络接口名称。
如:
access-groupacl_outininterfaceoutside,在外部网络接口上绑定名称为"
acl_out"
的访问控制列表。
clearaccess-group:
清除所有绑定的访问控制绑定设置。
noaccess-groupacl_IDininterfaceinterface_name:
清除指定的访问控制绑定设置。
showaccess-groupacl_IDininterfaceinterface_name:
显示指定的访问控制绑定设置。
9.配置访问列表
所用配置命令为:
access-list,合格格式比较复杂,如下:
标准规则的创建命令:
access-list[normal|special]listnumber1{permit|deny}source-addr[source-mask]
扩展规则的创建命令:
access-list[normal|special]listnumber2{permit|deny}protocolsource-addrsource-mask[operatorport1[port2]]dest-addrdest-mask[operatorport1[port2]|icmp-type[icmp-code]][log]
它是防火墙的主要配置部分,上述格式中带"
[]"
部分是可选项,listnumber参数是规则号,标准规则号(listnumber1)是1~99之间的整数,而扩展规则号(listnumber2)是100~199之间的整数。
它主要是通过访问权限"
permit"
deny"
来指定的,网络协议一般有IP|TCP|UDP|ICMP等等。
如只允许访问通过防火墙对主机:
220.154.20.254进行www访问,则可按以下配置:
pix525(config)#access-list100permit220.154.20.254eqwww
其中的100表示访问规则号,根据当前已配置的规则条数来确定,不能与原来规则的重复,也必须是正整数。
关于这个命令还将在下面的高级配置命令中详细介绍。
10.地址转换(NAT)
防火墙的NAT配置与路由器的NAT配置基本一样,首先也必须定义供NAT转换的内部IP地址组,接着定义内部网段。
定义供NAT转换的内部地址组的命令是nat,它的格式为:
nat[(if_name)]nat_idlocal_ip[netmask[max_conns[em_limit]]],其中if_name为接口名;
nat_id参数代表内部地址组号;
而local_ip为本地网络地址;
netmask为子网掩码;
max_conns为此接口上所允许的最大TCP连接数,默认为"
0"
,表示不限制连接;
em_limit为允许从此端口发出的连接数,默认也为"
,即不限制。
nat(inside)110.1.6.0255.255.255.0
表示把所有网络地址为10.1.6.0,子网掩码为255.255.255.0的主机地址定义为1号NAT地址组。
随后再定义内部地址转换后可用的外部地址池,它所用的命令为global,基本命令格式为:
global?
[(if_name)]nat_idglobal_ip[netmask[max_conns[em_limit]]],各参数解释同上。
global(outside)1175.1.1.3-175.1.1.64netmask255.255.255.0
将上述nat命令所定的内部IP地址组转换成175.1.1.3~175.1.1.64的外部地址池中的外部IP地址,其子网掩耳盗铃码为255.255.255.0。
11.PortRedirectionwithStatics
这是静态端口重定向命令。
在CiscoPIX版本6.0以上,增加了端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到内部指定的内部服务器。
其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口(PAT),或者是共享的外部端口。
这种功能也就是可以发布内部WWW、FTP、Mail等服务器,这种方式并不是直接与内部服务器连接,而是通过端口重定向连接的,所以可使内部服务器很安全。
命令格式有两种,分别适用于TCP/UDP通信和非TCP/
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 发展史