防火墙原理和配置

网络防火墙的原理与配置

摘 要 随着网络安全问题日益严重，网络安全产品也被人们重视起来。防火墙作为最早出现的网络安全产品和使用量最大的安全产品，也受到用户和研发机构的青睐。对防火墙的原理以及分类、配置进行了介绍，旨在为选择防火墙的用户提供借鉴。 关键词 网络安全；防火墙；防火墙配置

1 引 言

网络安全已成为人日益关心的问题。网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障，其中要作用是在网络入口外检查网络通信，更具用户设定的安全规则，在保护内部网络安全的前提下，保障内外网络通信，提供内部网络的安全。 1.1本文主要内容

本文第二节介绍了防火墙的基本原理，第三节详细描述了防火墙的功能，第四节介绍了防火墙的分类，第五节详细描述 了网络防火墙的配置，第六节介绍了网络防火墙的具体应用。

2 防火墙原理 2.1防火墙原理

“防火墙” 是一种形象的说法 , 从其组织结构方面来看，防火墙主要包括安全操作系统、过滤器、网关、域名服务和函件处理等五个部分，其实它是一种由计算机硬件和软件组成的一个或一组系统 , 用于增强内部网络和Internet 之间的访问控制。从狭义上来看，防火墙是安装了防火墙软件的主机或路由器系统；从广义上来看，防火墙还应该包括整个网络的安全策略和安全行为。

防火墙是设置在被保护网络和外部网络之间的一道屏障 , 使内部网和互联网之间建立起一个安全网关（security gateway）, 从而防止发生不可预测的、具有潜在破坏性的侵入。它可以通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。具体来讲，防火墙主要功能包括过滤不安全的服务和非法化安全策略；有效记录 Internet 上的活动，管理进出网络的访问行为；限制暴露用户，封堵禁止的网络行为；是一个安全策略的检查站，对网络攻击进行探测和告警。 2.2防火墙的功能 (1)认证功能AF

认证就是对一个实体所声称的身份进行确认。在通信关系的上下文中，认证提供对一个主体的身份的证实。一个主体是有一个或多个不同标识符的实体，实体使用认证服务来证实主体所声称的身份。还有一种认证形式叫做连接认证，它提供关于在一次连接中数据发送者的真实性和传送数据的完整性的保证。完整性认证是连接认证的一部分，在这里，我们把这两个服务看作是独立的功能。

有的认证方案有确信的第三方参与，也有没有确信的第三方参与的情况。在没有确信的第三方参与的情况下，通过直接交换认证信息的方式，申请者与验证者建立身份认证关系。第三方可以采取以下不同的方式参与认证。（1）嵌入式：一个确信的实体直接干预申请者与验证

者之间的认证信息交换，如http代理（2）在线式：一个或多个确信的实体同时参与认证信息交换，（3）离线式：一个或多个确信的实体支持认证信息交换，但并不一定全部参与每次认证过程。

(2)完整性功能IF

完整性功能防止报文传送发生不被注意的或未授权的修改，如插入、删除或替换。虽然该功能不能阻止这些入侵的发生，但是，它能探测出是否发生了修改，并对已发生修改的信息进行标记，为了防止基于网络的主动搭线窃听，完整性功能是必须的。 (3)访问控制功能ACF

网络访问控制功能决定是否允许报文传送经过防火墙转发到目的端。对于进入网络安全域的报文传送，如果说在其传送通路上没有访问控制功 能，那么，对任意服务的访问都是可能的。而且，如果没有访问控制功能，那么，包含恶意代码的传送就不能被阻止。

对于离开网络安全域的传送单元也必须执行访问控制功能。否则，对于“ 在繁忙时间，不允许对外部Web 站点进行访问” 的控制策略将不能被执行。再者，访问控制功能还能防止信息泄露。 (4)审计功能AF

审计功能具有记录连续有序的重要系统事件日志的能力，哪些事件为重要事件取决于有效的安全策略。一个防火墙系统的所有构件需要用一致的方式记录信息，用于通知应用程序、审计跟踪分析工具、入侵探测引擎和记帐代理等。这些信息也应提供给负责监视系统安全的授权人员。

一个审计系统应该用这样的方式进行构建，如果一个系统破坏发生后导致发生破坏的一系列事件（ 包括破坏本身）可以重构。审计信息可以用于系统破坏发生后对系统的功能进行恢复并研究导致破坏发生的原因。而且，一个审计系统应该考虑在破坏发生前对系统进行监听，这样，可以发现破坏安全性的因素并采取相应的措施。 (5)访问执行功能ANF

访问执行功能执行前面所解释的功能（认证功能、完整性功能等）。如果网络安全策略要求这样，那么，访问执行功能被调用，以进行判断并进行相应的处理。逻辑与门符号说明每个被调用的功能的结果都用来判断传送单元是被转发到其目的地址还是被丢弃。 防火墙的构件可以是集中式的，它们位于网络的同一位置，这样的防火墙会成为网络的阻塞点，从而成为系统的瓶颈；防火墙的功能构件也可以是分布式的，这样在每个位置有较少的功能构件需要计算，从而减少了在网络边界的系统性能开销，而且在网络内部的功能构件能够并发执行。所以，功能构件的冗余分布可以大大提高系统的可靠性、可用性和灾难防护能力。

2.3防火墙的分类 （1） 软件防火墙

软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。 （2） 硬件防火墙

这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是，由于此类防火墙采用的依然是别人的内核，

因此依然会受到OS（操作系统）本身的安全性影响。 （3） 芯片级防火墙

芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统），因此防火墙本身的漏洞比较少，不过价格相对比较高昂。

3.网络防火墙的配置

所有的防火墙基本上都是按以下两种方式进行配置的：一是拒绝所有的流量，这需要在网络中特殊指定能够进入和出去的流量的一些类型；另外一种方式正好与之相反，是允许所有的流量，这种情况需要特殊指定要拒绝的流量的类型。大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果想让其他人能够发送和接收 Email，就必须在防火墙上设置相应的规则或开启允许 POP3 和 SMTP的进程。 3.1建立用户和修改密码

pixfirewall(config)# hostname pix515e pix515e(config)# password 123456

3.2激活以太端口

必须用enable进入，然后进入configure模式

在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。

3.3命名端口与安全级别 采用命令nameif

pix515e(config)#nameif ethernet0 outside security0 pix515e(config)#nameif ethernet0 outside security100

security0是外部端口outside的安全级别（0安全级别最高）

security100是内部端口inside的安全级别,如果中间还有以太口，则security10，security20等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为dmz(demilitarized zones非武装区域)。

3.4配置以太端口ip 地址 采用命令为：ip address

外部网络为：222.20.16.0 255.255.255.0

pix515e(config)#ip address inside 192.168.1.1 255.255.255.0 pix515e(config)#ip address outside 222.20.16.1 255.255.255.0

3.5配置远程访问[telnet]

在默认情况下，pix的以太端口是不允许telnet的，这一点与路由器有区别。inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。

pix515e(config)#telnet 192.168.1.1 255.255.255.0 inside pix515e(config)#telnet 222.20.16.1 255.255.255.0 outside

3.6访问列表(access-list)

此功能与cisco ios基本上是相似的，也是firewall的主要部分，有permit和deny两个功能，如：只允许访问主机:222.20.16.254的www,端口为：80

pix515e(config)#access-list 100 permit ip any host 222.20.16.254 eq www pix515e(config)#acces

s-list 100 deny ip any any pix515e(config)#access-group 100 in interface outside 3.7地址转换（nat）

首先必须定义ip pool，提供给内部ip地址转换的地址段，接着定义内部网段。 pix515e(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0 pix515e(config)#nat (outside) 1 192.168.0.0 255.255.255.0 如果是内部全部地址都可以转换出去则： pix515e(config)#nat (outside) 1 0.0.0.0 0.0.0.0 3.8 DHCP server

在内部网络，为了维护的集中管理和充分利用有限ip地址，都会启用动态主机分配ip地址服务器（dhcp server），cisco firewall pix都具有这种功能，下面简单配置dhcp server,地址段为192.168.1.100—192.168.168.1.200

dns: 主202.96.128.68 备202.96.144.47 主域名称：abc.com.cn dhcp client 通过pix firewall pix515e(config)#ip address dhcp DHCP server配置

pix515e(config)#dhcpd address 192.168.1.100-192.168.1.200 inside pix515e(config)#dhcp dns 202.96.128.68 202.96.144.47 pix515e(config)#dhcp domain abc.com.cn 3.9显示与保存结果

采用命令show config 保存采用write memory 3.10以防火墙telnet实验举例配置

实验拓扑图

（1）建立用户和修改密码

(2) 激活以太端口, 命名端口与安全级别, 配置以太端口ip 地址