防火墙配置模式

. .前言 3一、 防火墙的概况、应用及功能31.1 防火墙的定义31.2防火墙的种类41.2.2网络层防火墙 4 1.2.2应用层防火墙 41.2.3数据库防火墙 51.3 防火墙的功能5二、 使用设置52.1使用习惯 62.1.1所有防火墙文件规那么必须更改62.1 .2以最小的权限安装所有的规那么62.1.3 根据法规协议和更改需求来校验每项防火墙的更改62.1.4当效劳过期后从防火墙规那么中删除无用的规那么7 2.2配置72.3工作模式82.3.1 透明网桥模式 82.3.1.1适用环境9 2.3.1.2组网实例92.3.2 路由模式 102.3.2.1适用环境112.3.2.2NAT网络地址转换112.3.2.3组网实例12三、总结13一、前言随着计算机的日益开展，计算机早已深入到各个领域，计算机网络已无处不在。而internet的飞速开展，使计算机网络资源共享进一步加强。随之而来的平安问题也日益突出。在人们对网络的优越性还没有完全承受的时候，黑客攻击开场肆虐全球的各大；而病毒制造者们也在各显其能，从CIH到爱虫中毒者不计其数。一般认为，计算机网络系统的平安威胁主要来自黑客的攻击、计算机病毒和拒绝效劳攻击三个方面。目前,人们也开场重视来自网络内部的平安威胁。 我们可以通过很多网络工具、设备和策略来为我们的网络提供平安防护。其中防火墙是运用非常广泛和效果最好的选择。然而购置了防火墙设备，却不是仅仅装上了硬件就能发挥作用的，而是需要根据你的网络构造和需求在适宜的工作模式下配置相应的平安策略，才能满足你的平安需求。由此引出的问题和解决方法就是本文的主要研究对象。一、 防火墙的概况、应用及功能1、 防火墙的定义所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取平安性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个平安网关Security Gateway，从而保护内部网免受非法用户的侵入，防火墙主要由效劳规那么、验证工具、包过滤和应用网关4个局部组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。在网络中，所谓“防火墙，是指一种将内部网和公众网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种控制尺度，它能允许你“同意的人和数据进入你的网络，同时将你“不同意的人和数据拒之门外，最大限度地阻止网络中的黑客来你的网络。换句话说，如果不通过防火墙，公司内部的人就无法Internet，Internet上的人也无法和公司内部的人进展通信。2、防火墙的种类防火墙从诞生开场，已经历了四个开展阶段：基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有平安操作系统的防火墙。主要类型分为网络层防火墙、应用层防火墙、数据库防火墙。其中：I、网络层防火墙网络层防火墙可视为一种 IP 封包过滤器，运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式，只允许符合特定规那么的封包通过，其余的一概制止穿越防火墙病毒除外，防火墙不能防止病毒侵入。这些规那么通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规那么。我们也能以另一种较宽松的角度来制定防火墙规那么，只要封包不符合任何一项“否认规那么就予以放行。操作系统及网络设备大多已内置防火墙功能。较新的防火墙能利用封包的多样属性来进展过滤，例如：来源 IP地址、来源端口号、目的 IP 地址或端口号、效劳类型(如 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段.等属性来进展过滤。II、应用层防火墙应用层防火墙是在 TCP/IP 堆栈的“应用层上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。防火墙借由监测所有的封包并找出不符规那么的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。XML 防火墙是一种新型态的应用层防火墙。根据侧重不同，可分为：包过滤型防火墙、应用层网关型防火墙、效劳器型防火墙。III、数据库防火墙数据库防火墙是一款基于数据库协议分析与控制技术的数据库平安防护系统。基于主动防御机制，实现数据库的行为控制、危险操作阻断、可疑行为审计。数据库防火墙通过SQL协议分析，根据预定义的制止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。数据库防火墙面对来自于外部的入侵行为，提供SQL注入制止和数据库虚拟补丁包功能。3、防火墙的功能作为控制网络的平安设备。防火墙应具备以下功能： 隐藏内部网络构造及资源； 保护不平安的网络效劳； 执行网络间的控制策略： 统一集中的平安管理； 记录并统计网络使用情况； 监视和预警。二、使用及配置1.使用习惯1、所有的防火墙文件规那么必须更改。尽管这种方法听起来很容易，但是由于防火墙没有内置的变动管理流程，因此文件更改对于许多企业来说都不是最正确的实践方法。如果防火墙管理员因为突发情况或者一些其他形式的业务中断做出更改，那么他撞到枪口上的可能性就会比拟大。但是如果这种更改抵消了之前的协议更改，会导致宕机吗？这是一个相当高发的状况。防火墙管理产品的中央控制台能全面可视所有的防火墙规那么根底，因此团队的所有成员都必须达成共识，观察谁进展了何种更改。这样就能及时发现并修理故障，让整个协议管理更加简单和高效。2、以最小的权限安装所有的规那么。另一个常见的平安问题是权限过度的规那么设置。防火墙规那么是由三个域构成的：即源IP地址，目的地网络/子网络和效劳应用软件或者其他目的地。为了确保每个用户都有足够的端口来他们所需的系统，常用方法是在一个或者更多域内指定打来那个的目标对象。当你出于业务持续性的需要允许大范围的IP地址来大型企业的网络，这些规那么就会变得权限过度释放，因此就会增加不平安因素。效劳域的规那么是开放65535个TCP端口的ANY。防火墙管理员真的就意味着为黑客开放了65535个攻击矢量？3、根据法规协议和更改需求来校验每项防火墙的更改。在防火墙操作中，日常工作都是以寻找问题，修正问题和安装新系统为中心的。在安装最新防火墙规那么来解决问题，应用新产品和业务部门的过程中，我们经常会遗忘防火墙也是企业平安协议的物理执行者。每项规那么都应该重新审核来确保它能符合平安协议和任何法规协议的内容和精神，而不仅是一篇法律条文。4、当效劳过期后从防火墙规那么中删除无用的规那么。规那么膨胀是防火墙经常会出现的平安问题，因为多数运作团队都没有删除规那么的流程。业务部门擅长让你知道他们了解这些新规那么，却从来不会让防火墙团队知道他们不再使用某些效劳了。了解退役的效劳器和网络以及应用软件更新周期对于达成规那么共识是个好的开场。运行无用规那么的报表是另外一步。黑客喜欢从来不删除规那么的防火墙团队。2.配置防火墙配置有三种：Dual-homed方式、Screened- host方式和Screened-subnet方式。Dual-homed方式最简单。 Dual-homedGateway放置在两个网络之间，这个Dual-omedGateway又称为bastionhost。这种构造本钱低，但是它有单点失败的问题。这种构造没有增加网络平安的自我防卫能力，而它往往是受“黑客攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。Screened-host方式中的Screeningrouter为保护Bastionhost的平安建立了一道屏障。它将所有进入的信息先送往Bastionhost，并且只承受来自Bastionhost的数据作为出去的数据。这种构造依赖Screeningrouter和Bastionhost，只要有一个失败，整个网络就暴露了。Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为停火区DMZ，即DemilitarizedZone,Bastionhost放置在“停火区内。这种构造平安性好，只有当两个平安单元被破坏后，网络才被暴露，但是本钱也很昂贵。3.工作模式一般来说，防火墙设备提供了两种工作模式：路由模式和透明网桥模式。当防火墙处于路由模式时，防火墙作为三层设备。可以帮助解决内部网络使用私有地址问题。此时防火墙需要处理一些简单的静态路由。防火墙和用户网络也需要进展相关的调整和配置；当防火墙处于透明模式时，防火墙作为二层设备，对于用户网络透明接入。防火墙网络接口无需配置IP地址，用户网络也无需进展任何调整或者配置，但无法解决用户内部网络使用私有地址问题。现在随着实际组网环境的不断变化，一些防火墙开场引入了对防火墙混合模式接入的支持即一台防火墙可同时工作在路由和透明模式下。便于防火墙接入各种复杂的网络环境以满足网络多样化的部署需求。1、透明网桥模式在透明模式下，防火墙更像一个网桥，它不干预网络构造，从拓扑中看来，它似乎是不存在的因此称为透明。但是，透明模式的防火墙同样具备数据包过滤的功能。透明网桥模式在数据链路层实现。该模式下的防火墙不需要配置IP地址。防火墙在该模式下工作时，可以透明地接入到网络的任何部位，无需改动用户网络构造和配置，即插即用，简便高效，使用方便。 1.1适用环境在网络中使用哪种工作模式的防火墙取决于你的网络环境。一般来说，在下面所述情况下比拟适合使用透明模式：1你的效劳器需要使用真实互联网IP地址。因为在该模式下，你的效劳器看起来像直接面对互联网一样，所有对效劳器的请求都直接到达效劳器。当然，在数据包到达效劳器之前会经过防火墙的检测，不符合规那么的数据包会被丢弃掉从效劳器编程的角度看，它不会觉察到数据包实际已被处理过。2需要保护同一子网上不同区域部门的主机。这时，原来的网络拓扑构造无须做任何改变。比方，企业的财务部是企业重要部门，即使内部员工也不允许随便因此，需要特别的保护。但企业网络已经建成，相应改造会带来许多工作。而选择透明模式，既不用改造企业网络构造也可以在没有经过防火墙授权的情况下制止非法人员财务部的主机。如此一来，起到了局部信息*和保护的效果。1.2组网实例气象短信系统，有两台短信网关效劳器，要求分别和电信、移动短信中心连接。连接的电信和移动短信中心的IP都是互联网地址，这种情况下就适合使用透明模式，使用的是防火墙，有四个以太网端口，如图1所示。图1 透明模式组网示意图不需要给防火墙的端口配置IP，而是直接在本地的电信和移动网关效劳器上分别配置互联网地址，并且防火墙网口和线路没有一一对应关系，只要都连接上就可以。接下来就是规那么的配置了，我们可以在防火墙上添加电信网关效劳器和电信短信中心可以互相，移动网关效劳器和移动短信中心可以互相，然后拒绝所有其它的连接，这样根本上就可以到达我们的配置要求了，更严厉的话，我们可以只开放各个地址需要被的端口，其它全部拒绝，这样就更平安了。2、路由模式路由模式是防火墙的根本工作模式，该模式运行在网络层。在路由模式下，防火墙就像一个路由器，能进展数据包的路由。不同的是，它能识别网络第四层协议即传输层的信息，因此它能基于TCP/UDP端口来进展过滤。在该模式下，防火墙本身要配备两个或多个网络地址。你的网络构造会被改变。在路由模式下，一般要做NAT地址转换，这时防火墙的各个端口IP地址都位于不同的网段。在路由模式支持NAT地址转换和PAT端口转换。2.1适用环境在国内，一般我们没有太多的公有地址，所以我们在配置内部网络时会使用私有地址段例如172.16.0.0/16和192.168.0.0/24都属于私有IP地址，那么当两个不同网络需要相互时如内网需要互联网，我们需要有一台路由器，而这个时候路由模式下的防火墙就为你提供了最平安的选择。并且防火墙可以为你的内部效劳器对外效劳给予支持，如果这些效劳器不必对外提供效劳。那么就最平安不过了，如果要对外提供效劳，就有必要通过防火墙的NAT网络地址转换来满足来自外部网络的要求。综上所述，路由模式适用于保护不同网段网络之间的。2.2NAT网络地址转换NAT是防火墙的一项功能，它实际上工作在路由模式下。大多数防火墙都会区分所谓的正向NAT 和反向NAT，所谓正向NAT就是指从内网出去的数据包，在经过防火墙后*会被改写。源IP被改写成防火墙上绑定的IP地址或地址池，肯定是公网真实IP，源端口也会有所改变，回来的数据包经过同样处理，这样就保证内网具有私有IP的主机能够与因特网进展通信。在反向NAT 的实现中，会将效劳器的公网IP绑定在出口处的防火墙上，效劳器只会使用一个私有IP。防火墙会在它的公网IP和这个私有IP之间建立一个映射，当外网对这台效劳器的请求到达防火墙时，防火墙会把它转发给该效劳器。当然在转发之前会先匹配防火墙规那么集，不符合规那么的数据包将被丢弃。使用反向NAT，会大大提高效劳器的平安性。因为任何用户的都不是直接面对效劳器，而是先要经过防火墙才被转交。而且，效劳器使用私有IP地址，这总比使用真实地址要平安。在抗拒绝效劳攻击上，这种方式的成效更显然。但是，相对于透明模式的防火墙，采用反向NAT方式的防火墙会影响网络速度。如果你的站点流量超大，那么就不要使用该种方式。2.3组网实例内网网段为192.168.121.0/24，内网的主机要求能互联网，ISP给的公网地址为60.190.64.139，需要对外开放气象效劳。我们同样可以用防火墙，采用路由模式，把需要对外开放效劳的效劳器放到DMZ区，分配地址段为192.168.122.0/24，如图2所示。图2 路由模式组网示意图我们把防火墙网口1配地址为60.190.64.139，接internet光纤；网口2地址为192.168.121.199，接到内网交换机；网口3地址为192.168.122.199，接到DMZ区交换机。添加虚拟主机，例如，效劳器地址为192.168.122.251，要开放 效劳， 那么就在防火墙上添加虚拟主机，把192.168.122.251的80端口虚拟成60.190.64.139的80端口，这样就把对外效劳添加进去了。然后就是配置规那么，内网和DMZ区可以对外，外部网络可以虚拟主机，其他全部拒绝。地址转换那么由防火墙自动生成。这样，我们的平安需求就得到实现了。三、总结现在防火墙品牌有很多，型号也很多，各种防火墙的配置方法也不尽一样，但配置的思路根本一样。经过上面的分析，我对防火墙的两种工作模式有了一定的了解，根据自己网络的实际情况规划出最合理的配置，能更好地保护你的网络平安。当然，不是说我们安装了防火墙后就能让我们高枕无忧了，我们从防火墙技术的研究上可以得知，防火墙能保护网络的平安，但并不是绝对的，而是相对的。比方，防火墙不能防范不经过防火墙的攻击、也不能解决来自内部网络的攻击和平安问题等。但是设置得当的防火墙，至少会使我们的网络更为巩固一些，并且能提供更多的攻击信息供我们分析。我们要把防火墙、防病毒、内部网络监测、补丁分发等平安技术围绕平安策略有序地组织在一起，相互协同，相互作用，为我们的网络构建一个相对平安的防范体系。- 优选