圖4 在防火墻WEB管理界面中添加允許訪問FTP服務(wù)
“動作”共有四個選項,但只能選擇其中一項,“允許”就是允許與源地址和目的地址匹配的IP數(shù)據(jù)包通過�,“禁止”就是不允許通過。還有兩個選項是在防火墻上使用其它的安全功能時才選擇的。最后一個選項是“服務(wù)”,這個是從服務(wù)的下拉菜單中選擇的,選擇的是ftp服務(wù)�。一般在防火墻之類的安全設(shè)備上都會默認(rèn)定義一些常用的安全服務(wù)��,如FTP����、HTTP和ICMP等。另外�����,還有如下所示幾個功能��,雖然在本例中沒有使用���,但也非常重要�。
“源端口”中端口號的填寫����,可以用英文逗號分割表示多個端口,或用英文冒號分割表示端口段���。兩種分割方式不能同時使用���。“源MAC”是指數(shù)據(jù)包中二層的源MAC地址。
“流入網(wǎng)口”是限制網(wǎng)絡(luò)數(shù)據(jù)包的流入網(wǎng)口�,可以防止IP欺騙??蛇x內(nèi)容包括:any和所有已激活的網(wǎng)口。默認(rèn)值為any���,表示不限制接收網(wǎng)口���。如果防火墻工作在透明模式,必須選擇相應(yīng)的物理網(wǎng)口如Gi1��。如果不能確定流入網(wǎng)口或工作在混合模式�,就選擇any。
“流出網(wǎng)口”流出網(wǎng)口檢查,當(dāng)選擇源地址轉(zhuǎn)換時才能選擇��。在透明模式下需要選擇橋設(shè)備��。如果不能確定流出網(wǎng)口或工作在混合模式��,應(yīng)當(dāng)選擇any��。
“時間調(diào)度”是指在指定的時間段內(nèi)�����,安全規(guī)則為生效狀態(tài)�,在指定的時間段外,安全規(guī)則就變?yōu)闊o效���。
2����、在防火墻上添加����,允許所有的Ping命令都能通過防火墻的策略。如圖5所示�,是在防火墻的WEB管理界面中添加此策略的示意圖���。“規(guī)則名” 為ICMP;“序號”為18��,也是系統(tǒng)自動生成的;注意“源地址”和“目的地址”中的IP地址�、子網(wǎng)掩碼任何內(nèi)容都沒有填寫。其實這種情況下��,不輸入任何地址就代表所有的IP地址�。也就是所有Ping的數(shù)據(jù)包,無論它的源地址和目的地址是什么IP地址��,都允許它通過防火墻;“動作”選擇允許;“服務(wù)”選擇的是icmp_any�,它代表的就是Ping命令所使用的服務(wù)。在圖5中的�����,還有以下的幾個功能選項在本例中也是沒有使用��,但也非常重要����。
“長連接”設(shè)定該條規(guī)則可以支持的長連接時間。0為不限時��。若限時,則有效的時間范圍是30-288000分鐘�����。如果希望在指定的時間之后斷開連接��,就可以設(shè)定該功能�。
“深度過濾”在生效的安全規(guī)則中執(zhí)行深度過濾。不過�����,對數(shù)據(jù)包進(jìn)行應(yīng)用層的過濾會影響系統(tǒng)的處理性能��,所以一般情況下不要啟用深度過濾���?����?梢栽谙吕虻倪x項中選擇“無”�����,從而不啟用深度過濾功能�����。
圖5 在WEB管理界面中添加允許Ping包通過防火墻
“P2P過濾”對滿足條件的數(shù)據(jù)包進(jìn)行BT過濾�。Emule和Edonkey過濾,只在包過濾“允許”的情況下可用�����,至少選擇“BT過濾”����、“Emule和Edonkey過濾”的其中一個時�����,才可以選擇“P2P日志紀(jì)錄”��。
這里BT過濾就是對于滿足該規(guī)則的連接�,禁止其BT下載,支持的BT客戶端包括BitComet 0.60以下版本�、BitTorrent和比特精靈。Emule和Edonkey過濾就是對于滿足該規(guī)則的連接���,禁止其Emule和Edonkey下載��。不過��,對于已經(jīng)建立連接的BT/ed2K的下載��,不能禁止���,必須重啟BT/ed2K客戶端后才能生效���。
“抗攻擊”共包括四種抗攻擊。TCP服務(wù)可以選擇抗SYN Flood攻擊;UDP服務(wù)可以選擇抗UDP Flood攻擊;ICMP服務(wù)可以選擇ICMP Flood和抗Ping of Death攻擊���。也可以在一條規(guī)則中����,選擇多個抗攻擊選項��。四種抗攻擊的詳細(xì)說明如下:
——當(dāng)允許TCP規(guī)則時��,選擇了抗SYN Flood攻擊����,防火墻會對流經(jīng)的帶有Syn標(biāo)記的數(shù)據(jù)進(jìn)行單獨的處理?���?筍yn Flood攻擊之后的輸入框填寫數(shù)值的具體含義:個位數(shù)為保留數(shù)字����,0-9分別代表抗攻擊強(qiáng)度�,從弱到強(qiáng)。設(shè)置數(shù)字的位數(shù)如果超過兩位��,則該數(shù)字減去個位 的數(shù)字表示限制每秒通過的能夠真正建立TCP連接的帶有Syn標(biāo)志數(shù)據(jù)包的個數(shù)��。如果設(shè)置為0�����,表示每秒通過的帶有Syn標(biāo)志的數(shù)據(jù)包大于90�,才進(jìn)行能 否真正建立TCP連接;如果設(shè)置為1����,表示每秒通過的帶有Syn標(biāo)志的數(shù)據(jù)包大于80,才進(jìn)行能否真正建立TCP連接;如果設(shè)置為9�����,表示通過的帶有 Syn標(biāo)志的數(shù)據(jù)包都經(jīng)過了防火墻的判斷�,確認(rèn)是可以建立真正TCP連接的數(shù)據(jù)包�����。
——當(dāng)允許UDP規(guī)則時�,選擇了抗UDP Flood攻擊���,防火墻會對流經(jīng)的UDP數(shù)據(jù)進(jìn)行單獨的處理����?����?筓DP Flood攻擊之后的輸入框填寫的數(shù)值的具體含義是限制每秒通過的UDP數(shù)據(jù)包的個數(shù)�����。
——當(dāng)允許ICMP規(guī)則時�,選擇了抗ICMP Flood攻擊,防火墻會對流經(jīng)的ICMP數(shù)據(jù)包進(jìn)行單獨的處理���?����?笽CMP Flood攻擊之后的輸入框填寫的數(shù)值的具體含義是限制每秒通過的ICMP數(shù)據(jù)包的個數(shù)����。
——當(dāng)允許ICMP規(guī)則時,選擇了抗Ping of Death攻擊���,防火墻會對流經(jīng)的ICMP數(shù)據(jù)包進(jìn)行單獨的處理�����。含有Ping of Death 攻擊特征類型的數(shù)據(jù)包將被過濾掉��。
“包過濾日志”強(qiáng)制要求匹配該條規(guī)則的數(shù)據(jù)包是否需要記錄包過濾日志��。
3、在防火墻的WEB管理界面中�����,配置添加完以上兩條安全策略后����,也就解決了在辦公區(qū)用戶的電腦上不能Ping通,和不能訪問FTP服務(wù)器上資源的故障。
五�����、總結(jié)����。
1、隨著互聯(lián)網(wǎng)的飛速發(fā)展��,網(wǎng)絡(luò)安全問題越來越突出���,人們的安全意識也不斷地提高��,但現(xiàn)在還沒有一項技術(shù)和工具比防火墻解決網(wǎng)絡(luò)的安全問題更有效����。 利用它強(qiáng)大的隔離和預(yù)防作用��,通過在網(wǎng)絡(luò)邊界進(jìn)行隔離���,是改善網(wǎng)路安全狀況最有效的方式��。防火墻通常是圈定一個保護(hù)的范圍��,并假定防火墻是唯一的出口����,然 后由防火墻來決定是放行還是封鎖進(jìn)出的數(shù)據(jù)包。
防火墻不是萬能的�����,但沒有防火墻是萬萬不能的���。再配合其它的安全技術(shù)和工具�����,它能夠提供完整的安全解決方案�����。
2�、以上所述��,都是目前廣泛使用的傳統(tǒng)型防火墻在網(wǎng)絡(luò)中所發(fā)揮的巨大作用及其優(yōu)勢�����,但是這些傳統(tǒng)防火墻都是基于一種重要的理論假設(shè)來進(jìn)行安全防護(hù) 的�。這種理論認(rèn)為如果防火墻拒絕某類數(shù)據(jù)包的通過,則認(rèn)為它一定是安全的��,因為該些包已經(jīng)被丟棄�����。但防火墻并不保證準(zhǔn)許通過的數(shù)據(jù)包是安全的��,它無法判斷 一個正常的服務(wù)的數(shù)據(jù)包和一個惡意的數(shù)據(jù)包有什么不同���。傳統(tǒng)防火墻也無法提供基于應(yīng)用和用戶的��,從第三層到第七層的一體化訪問策略控制��,黑客常常通過穿透 合法的80端口����,就可以輕松地讓防火墻的安全控制策略變成“聾子和瞎子”�����。此外�,它也無法提供基于應(yīng)用的流量分析和報表展示��,無法幫助用戶了解當(dāng)前網(wǎng)絡(luò)邊 界的現(xiàn)狀����。而且�,當(dāng)前的安全威脅已不再是單一的類型。通常一個完整的入侵行為包含了多種技術(shù)手段�����,如漏洞利用��、Web入侵���、木馬后門����、惡意網(wǎng)站等����,如果將 這些安全威脅割裂的進(jìn)行處理和分析,系統(tǒng)的防范短板依然存在��。
新一代的防火墻應(yīng)該加強(qiáng)�,允許通過防火墻的數(shù)據(jù)包的安全性,因為網(wǎng)絡(luò)安全的真實需求是�,既要保證網(wǎng)絡(luò)安全,也必須保證應(yīng)用的正常運行����。所以,目前企 業(yè)使用越來越多的Web防火墻受到了更多人的關(guān)注����,它是一種基于應(yīng)用層開發(fā)的新一代應(yīng)用防火墻,與傳統(tǒng)安全設(shè)備相比它可以針對豐富的應(yīng)用提供完整的����、可視 化的內(nèi)容安全保護(hù)方案。它解決了傳統(tǒng)安全設(shè)備在應(yīng)用可視化�、應(yīng)用管控、應(yīng)用防護(hù)�����、未知威脅處理方面的巨大不足�,并且滿足了同時開啟所有功能后性能不會大幅 下降的要求。
相信�����,隨著人們對網(wǎng)安全意識的不斷增強(qiáng),和各種功能強(qiáng)大��、性能先進(jìn)安全設(shè)備的廣泛應(yīng)用����,一個安全、綠色的互聯(lián)網(wǎng)會越來越深入到人們的工作和生活當(dāng)中�。
