思科防火墙

基本防火墙功能配置实验目的：1.深入理解防火墙的原理及相关概念，掌握包过滤技术的应用，熟悉包过滤技术的配置过程。2.能利用相关的工具及软件正确在路由器上基于包过滤技术的防火墙功能。3.对访问控制列表及NAT技术的配置标准且规范。4.能够采用正确的方法对ACL与NAT配置结果进行检查，并能说明检查结果。实验要求：1.学习防火墙的基本概念、原理与功能相关的知识。2.能在路由器上配置最基本的防火墙功能。3.学会包过虑防火墙的原理与配置，能利用企业现有路由器配置ACL与NAT等功能，在尽可能最小的经济投入下实现对企业网络的基本防护。实验工具与软件：1.硬件路由器或PacketTracer5软件（可用路由器模拟软件DynamipsGUI替代）、实际路由器配置中的工具软件；2.E4_PTAct_7_5_1的PKA文件；3.VM。实验原理：图1任务分解图1、防火墙的基本介绍随着网络应用的快速发展和对网络的依赖，企业网络及个人主机的安全受到挑战。各种企图的网络攻击层出不穷，这可能给企业造成巨大的经济损失，这也就促进了防火墙技术的不断发展。那么，什么是防火墙呢？防火墙的概念源引自建筑业，防火墙是用于防止一侧起火而引起另一侧起火而设置的一道屏障。网络中的防火墙是安放于两个不同信任级别的网络之间的一个策略检查站，一般防火墙安放于企业内部网络和外部网络（互联网）之间，用以实施事先制定好的检查策略与安全防护动作。可以把防火墙比喻成企业或校园的大门入口负责对进出的人员或车辆进行检查并实施有效的拦截的保卫人员。一般防火墙是由软件和硬件组成的，并能对所有进出网络的通信数据流按规定策略进行检查、放行或拦截。在防火墙的部署上要求将其放置于网络关键入口处以保证进出网络的全部数据流量能够流经防火墙。所有通过防火墙的数据流都必须有安全策略和计划的确认和授权。一般认为防火墙是穿不透的，但是由于其自身的漏洞或缺陷也是可能被攻击的。例如目前多数使用中的防火墙还很难防御DDoS等攻击。下图为企业网络对防火墙的布置，防火墙位于企业内部所有主机通往外部网络的主干上，是必经的检查站，对由内到外或由外到内的访问的检查与控制。图2防火墙是在网络安全管理中较常用的一种高级访问控制设备，它被置于不同信任区域之间，它可以是硬件的防火墙设备、可以是具有防火墙功能的路由器、具有防火墙功能的主机等，不同信任区域间的数据流在设计上要求必须流经防火墙，这样才能利用防火墙进行控制，也就是说防火墙是两个信任区域的唯一数据通道。通过对防火墙的配置及企业网络的访问策略加以控制（允许、拒绝、监视、记录）进出网络或网络之间的互相访问行为。如图所示。最基本的也是最原始防火墙主要是针对网络协议的三层和四层信息加以检查，如对TCP/IP协议来说，可以根据：源IP（主机或网络地址）、目的IP（主机或网络地址）、源端口、目的端口、协议号等进行检查与控制。例如：下表对两个区域的控制。图32、防火墙基本功能防火墙是在两个网络之间（或主机到网络之间）执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被侵入或攻击，是将内部网和公共网分隔的特殊网络互连设备，能够完成网络用户访问控制、认证服务、数据过滤，限制内部用户访问某些站点等功能。本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。它是网络边界上访问控制设施。根据预先定义的策略控制穿过防火墙的信息流通。网络防火墙的工作任务主要是设置一个检查站，监视、过滤和检查所有流经的协议数据，并对其执行相应的安全策略，如阻止协议数据通过或禁止非法访问，能有效地过滤攻击流量。另外防火墙应该通过对网络的访问行为进行记录，即进行日志记录，同时也提供审计功能，防火墙路由器LANWAN交换机内部网络外部网络互联网NET1信任区1NET2信任区2S1P1ABCS2P2DEF完成对对网络使用情况的数据惧、统计与监视功能。防火墙通过NAT等技术完成对内部网络信息，如关键主机的IP及开启的服务等信息的隐藏与保护，使内部网络不暴露于外网。防火墙通过设置的DMZ接口，提供企业网络服务的对内外同时开放以发部企业的部分资源与信息，如对外提供的Web、FTP或Email等服务。DMZ一般称之为非军事化区，对于防火墙的DMZ口所连接的部分，一般称这之为服务器群或服务器区，防火墙也可以进行策略的检查与控制，只允许对特定的服务端口的访问进入，如只开放Web服务则仅对内部服务访问的目的端口为80时才允许。3、设置防火墙的目的总体来说防火墙是网络安全的屏障、是一个安全策略的检查站、能强化网络安全策略、能有效地记录因特网上的活动，对网络存取和访问进行监控审计、防止内部信息的外泄，防火墙限制暴露用户点、具有过滤进出网络的数据包、管理进出网络的访问行为、封堵某些禁止的访问行为、记录通过防火墙的信息内容和活动、对网络攻击进行检测和告警等功能及作用。例如可以在防火墙上定义特定的URL不能访问等。设置防火墙的目的是确保内部网向外部网的全功能互联和内部网的安全；所有内部网络与外部网的信息交流必须经过防火墙；只有按本地的安全策略被授权的信息才允许通过；防火墙本身具有防止被穿透的能力。防火墙在企业网络中的工作方式见下图所示，一般是内部的主机可以主动访问外部网络资源；外部网络不能发起对风部主机的访问连接；内部与外部主机都可以访问防火墙DMZ接口所连接的服务器区中的服务器。所有的访问根据定义的访问策略接受防火墙的检查与控制。图44、防火墙技术的发展在技术实现层次上，防火墙可以分为网络层和应用层防火墙两种。网络层防火墙通过对流经的协议数据包的头部信息，如源地址、目的地址、协议号、源端口和目的端口等信息进行规定策略的控制，也可以获取协议数据包头的一段数据。而应用层防火墙可以对协议数据流进行全部的检查与分析，以确定其需执行策略的控制。在技术实现上，防火墙经历了第一代的包过滤技术阶段，最典型的是设计在路由器上的访问控制列表（ACL）功能来完成包过滤防火墙的功能实现；1989年推出的电路层防火墙和应用层防火墙被认为是第二和三代防火墙的初步结构；1992年开发出的基于动态包过滤技术被称之为第四代防火墙；1998年NAI公司推出的自适应代理技术可以称之为第五代防火墙。防火墙在系统设计上也经历了多个发展阶段，较早的防火墙功能是在路由器上实现的，随着互联网应用的普及出现了建立在通用操作系统上的防火墙，目前已经发展为具有安全的专用操作系统的防火墙，并多以独立的硬件设备形式在网络中部署，但其仍然是软件与硬件的结合，只是较多的功能是通过硬件实现的，如在对数据进行VPN传输的保护中，性能较好的防火墙是采用专用的硬件来完成加密处理的，如DES加密等。5、防火墙的局限性防火墙为网络和主机提供了重要的防护作用，为网络管理人员减轻了工作，但是防火墙也有不足之处。防火墙不能防范内部主机或网络之间不经过它的访问连接，即不能保护内部的连接，防外不防内；防火墙不能防范企业的内部管理人员及离职的知情人员的恶意攻击；防火墙无法防范数据驱动型的攻击，如防火墙不能防止内部用户下载被病毒感染的计算机程序、打开带有病毒的电子邮件的附件、加密或压缩的数据的传输等；防火墙不能防备全部的威胁，防火墙只实现了粗粒度的访问控制；防火墙的配置与管理较复杂可能存在错误的配置应用；很难为用户在防火墙内外提供一致的安全策略；任何软件及系统在设计时都可能存在缺陷，防火墙也不例外。6、防火墙的分类防火墙的分类可以有很多种，这里从两方面进行分类介绍：（1）从软硬件体系结构上分类一类是基于设备的防火墙，采用专用的操作系统及处理器构成的硬件平台，硬件在外观设计上与路由器和交换机类似，硬件防火墙又可以分为独立功能的硬件设备和安装中路由器或多层交换设备插槽上的防火墙模块。此类防火墙的性能较高，可以满足企业级需求。如下图所示，是思科的ASA5520防火墙。还有用于CiscoCatalyst6500系列交换机和Cisco7600系列路由器防火墙服务模块FWSM。图5另一类是基于服务器的防火墙，通过软件实现，这类防火墙软件一般属于安装于通用操作系统（WindowsNT/2000/2003、UNIX、Novell等）的主机上的应用软件，如微软开发的ISA运行于WINDOWS下实现防火墙和代理功能、基本Linux的ipchains和iptables都是在通用的系统上实现防火墙功能。这类防火墙适合于对主机的保护，但由于通用操作系统开放的服务较多及系统自身可能存在的缺陷使其容易遭受攻击，同时也要考虑其系统资源的占用。最后一类是集成防火墙，一般是指在已有设备或主机上定制的防火墙功能，这也可以分为两种，一种是对操作系统进行裁剪使其最小化以满足防火墙功能实现，最常见的是对Linux操作系统进行裁剪使其可以独立运行于通用计算机系统上来完成防火墙功能，如RouterOS、SmoothWall等防火墙是对Linux的裁剪后实现的操作系统与防火墙功能的结合；另一种是基于已有设备上增加防火墙功能，如在路由器上实现的防火墙功能。（2）从技术上分类除包过滤技术被认为是网络层防火墙外，其它都可以认为是应用层防火墙技术，现分别对几种技术加以介绍：包过滤（PacketFilter）技术也称为分组滤技术，典型的包过滤技术作用于网络层与传输层，通过对每个数据包按照管理人员所定义的进行检查过滤，主要是对TCP/IP协议中的五元组进行规则制定与检查实施。如检查数据包的源地址、目的地址、协议号、源端口和目的端口等标志位是否匹配规则。包过滤不管会话的状态，也不分析数据。如管理人员规定只允许由内到外的目的端口为80的数据包通过，则只有符合该条件数据包可以通过此防火墙。这是防火墙最基本功能，合理的配置可以过滤掉大部分攻击。电路级网关（Circuit-levelGateway）一般被认为是工作于OSI七层中的传输层与会话层之间，所谓电路是指虚电路。电路级网关可用于检查控制信任的一端与不信任一端的TCP握手信息是否合法。在TCP或UDP发起一个连接或电路之前，验证该会话的可靠性。只有在握手被验证为合法且握手完成之后，才允许数据包的传输。一个会话建立后，此会话的信息被写入防火墙维护的有效连接表中。数据包只有在它所含的会话信息符合该有效连接表中的某一入口时，才被允许通过。会话结束时，该会话在表中的入口被删掉。电路级网关只对连接在会话层进行验证。一旦验证通过，在该连接上可以运行任何一个应用程序。以FTP为例，电路层网关只在一个FTP会话开始时，在传输层的TCP协议中对此会话进行验证。如果验证通过，则所有的数据都可以通过此连接进行传输，直至会话结束。典型的应用是SOCKET。应用网关（ApplicationGateway）也称为应用代理，可以作用于应用层，检验通过的所有数据包中的应用层的数据。通过对每种应用服务设计代理程序并运行于防火墙或主机上，对服务应用的客户端它相当于服务器、以于服务器它相当于客户端。实际中的应用网关多是通过主机实现，如ISA软件就可以实现此功能。状态检测（StatusDetection）技术也被称为状态包过滤技术或动态包过滤技术，可以直接对分组里的数据进行检查，主要是对协议报头中的各标志位进行检查，建立连接状态表，前后报文相关，根据前后分组的数据包状态进行组合判断以决定对其的处理动作。复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。目前，多采用复合型防火墙，因其可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制相对较弱。防火墙的技术上多是集合了以上的多种技术再配有厂商自己的专有技术加以实现的，如Cis