圖4　在防火墻WEB管理界面中添加允許訪問FTP服務(wù)

“動(dòng)作”共有四個(gè)選項(xiàng)，但只能選擇其中一項(xiàng)，“允許”就是允許與源地址和目的地址匹配的IP數(shù)據(jù)包通過，“禁止”就是不允許通過。還有兩個(gè)選項(xiàng)是在防火墻上使用其它的安全功能時(shí)才選擇的。最后一個(gè)選項(xiàng)是“服務(wù)”，這個(gè)是從服務(wù)的下拉菜單中選擇的，選擇的是ftp服務(wù)。一般在防火墻之類的安全設(shè)備上都會(huì)默認(rèn)定義一些常用的安全服務(wù)，如FTP、HTTP和ICMP等。另外，還有如下所示幾個(gè)功能，雖然在本例中沒有使用，但也非常重要。

“源端口”中端口號(hào)的填寫，可以用英文逗號(hào)分割表示多個(gè)端口，或用英文冒號(hào)分割表示端口段。兩種分割方式不能同時(shí)使用。“源MAC”是指數(shù)據(jù)包中二層的源MAC地址。

“流入網(wǎng)口”是限制網(wǎng)絡(luò)數(shù)據(jù)包的流入網(wǎng)口，可以防止IP欺騙?？蛇x內(nèi)容包括：any和所有已激活的網(wǎng)口。默認(rèn)值為any，表示不限制接收網(wǎng)口。如果防火墻工作在透明模式，必須選擇相應(yīng)的物理網(wǎng)口如Gi1。如果不能確定流入網(wǎng)口或工作在混合模式，就選擇any。

“流出網(wǎng)口”流出網(wǎng)口檢查，當(dāng)選擇源地址轉(zhuǎn)換時(shí)才能選擇。在透明模式下需要選擇橋設(shè)備。如果不能確定流出網(wǎng)口或工作在混合模式，應(yīng)當(dāng)選擇any。

“時(shí)間調(diào)度”是指在指定的時(shí)間段內(nèi)，安全規(guī)則為生效狀態(tài)，在指定的時(shí)間段外，安全規(guī)則就變?yōu)闊o效。

2、在防火墻上添加，允許所有的Ping命令都能通過防火墻的策略。如圖5所示，是在防火墻的WEB管理界面中添加此策略的示意圖。“規(guī)則名” 為ICMP;“序號(hào)”為18，也是系統(tǒng)自動(dòng)生成的;注意“源地址”和“目的地址”中的IP地址、子網(wǎng)掩碼任何內(nèi)容都沒有填寫。其實(shí)這種情況下，不輸入任何地址就代表所有的IP地址。也就是所有Ping的數(shù)據(jù)包，無論它的源地址和目的地址是什么IP地址，都允許它通過防火墻;“動(dòng)作”選擇允許;“服務(wù)”選擇的是icmp_any，它代表的就是Ping命令所使用的服務(wù)。在圖5中的，還有以下的幾個(gè)功能選項(xiàng)在本例中也是沒有使用，但也非常重要。

“長連接”設(shè)定該條規(guī)則可以支持的長連接時(shí)間。0為不限時(shí)。若限時(shí)，則有效的時(shí)間范圍是30-288000分鐘。如果希望在指定的時(shí)間之后斷開連接，就可以設(shè)定該功能。

“深度過濾”在生效的安全規(guī)則中執(zhí)行深度過濾。不過，對(duì)數(shù)據(jù)包進(jìn)行應(yīng)用層的過濾會(huì)影響系統(tǒng)的處理性能，所以一般情況下不要啟用深度過濾?？梢栽谙吕虻倪x項(xiàng)中選擇“無”，從而不啟用深度過濾功能。

圖5　在WEB管理界面中添加允許Ping包通過防火墻

“P2P過濾”對(duì)滿足條件的數(shù)據(jù)包進(jìn)行BT過濾。Emule和Edonkey過濾，只在包過濾“允許”的情況下可用，至少選擇“BT過濾”、“Emule和Edonkey過濾”的其中一個(gè)時(shí)，才可以選擇“P2P日志紀(jì)錄”。

這里BT過濾就是對(duì)于滿足該規(guī)則的連接，禁止其BT下載，支持的BT客戶端包括BitComet 0.60以下版本、BitTorrent和比特精靈。Emule和Edonkey過濾就是對(duì)于滿足該規(guī)則的連接，禁止其Emule和Edonkey下載。不過，對(duì)于已經(jīng)建立連接的BT/ed2K的下載，不能禁止，必須重啟BT/ed2K客戶端后才能生效。

“抗攻擊”共包括四種抗攻擊。TCP服務(wù)可以選擇抗SYN Flood攻擊;UDP服務(wù)可以選擇抗UDP Flood攻擊;ICMP服務(wù)可以選擇ICMP Flood和抗Ping of Death攻擊。也可以在一條規(guī)則中，選擇多個(gè)抗攻擊選項(xiàng)。四種抗攻擊的詳細(xì)說明如下：

——當(dāng)允許TCP規(guī)則時(shí)，選擇了抗SYN Flood攻擊，防火墻會(huì)對(duì)流經(jīng)的帶有Syn標(biāo)記的數(shù)據(jù)進(jìn)行單獨(dú)的處理?？筍yn Flood攻擊之后的輸入框填寫數(shù)值的具體含義：個(gè)位數(shù)為保留數(shù)字，0-9分別代表抗攻擊強(qiáng)度，從弱到強(qiáng)。設(shè)置數(shù)字的位數(shù)如果超過兩位，則該數(shù)字減去個(gè)位 的數(shù)字表示限制每秒通過的能夠真正建立TCP連接的帶有Syn標(biāo)志數(shù)據(jù)包的個(gè)數(shù)。如果設(shè)置為0，表示每秒通過的帶有Syn標(biāo)志的數(shù)據(jù)包大于90，才進(jìn)行能 否真正建立TCP連接;如果設(shè)置為1，表示每秒通過的帶有Syn標(biāo)志的數(shù)據(jù)包大于80，才進(jìn)行能否真正建立TCP連接;如果設(shè)置為9，表示通過的帶有 Syn標(biāo)志的數(shù)據(jù)包都經(jīng)過了防火墻的判斷，確認(rèn)是可以建立真正TCP連接的數(shù)據(jù)包。

——當(dāng)允許UDP規(guī)則時(shí)，選擇了抗UDP Flood攻擊，防火墻會(huì)對(duì)流經(jīng)的UDP數(shù)據(jù)進(jìn)行單獨(dú)的處理?？筓DP Flood攻擊之后的輸入框填寫的數(shù)值的具體含義是限制每秒通過的UDP數(shù)據(jù)包的個(gè)數(shù)。

——當(dāng)允許ICMP規(guī)則時(shí)，選擇了抗ICMP Flood攻擊，防火墻會(huì)對(duì)流經(jīng)的ICMP數(shù)據(jù)包進(jìn)行單獨(dú)的處理?？笽CMP Flood攻擊之后的輸入框填寫的數(shù)值的具體含義是限制每秒通過的ICMP數(shù)據(jù)包的個(gè)數(shù)。

——當(dāng)允許ICMP規(guī)則時(shí)，選擇了抗Ping of Death攻擊，防火墻會(huì)對(duì)流經(jīng)的ICMP數(shù)據(jù)包進(jìn)行單獨(dú)的處理。含有Ping of Death 攻擊特征類型的數(shù)據(jù)包將被過濾掉。

“包過濾日志”強(qiáng)制要求匹配該條規(guī)則的數(shù)據(jù)包是否需要記錄包過濾日志。

3、在防火墻的WEB管理界面中，配置添加完以上兩條安全策略后，也就解決了在辦公區(qū)用戶的電腦上不能Ping通，和不能訪問FTP服務(wù)器上資源的故障。

五、總結(jié)。

1、隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全問題越來越突出，人們的安全意識(shí)也不斷地提高，但現(xiàn)在還沒有一項(xiàng)技術(shù)和工具比防火墻解決網(wǎng)絡(luò)的安全問題更有效。 利用它強(qiáng)大的隔離和預(yù)防作用，通過在網(wǎng)絡(luò)邊界進(jìn)行隔離，是改善網(wǎng)路安全狀況最有效的方式。防火墻通常是圈定一個(gè)保護(hù)的范圍，并假定防火墻是唯一的出口，然 后由防火墻來決定是放行還是封鎖進(jìn)出的數(shù)據(jù)包。

防火墻不是萬能的，但沒有防火墻是萬萬不能的。再配合其它的安全技術(shù)和工具，它能夠提供完整的安全解決方案。

2、以上所述，都是目前廣泛使用的傳統(tǒng)型防火墻在網(wǎng)絡(luò)中所發(fā)揮的巨大作用及其優(yōu)勢，但是這些傳統(tǒng)防火墻都是基于一種重要的理論假設(shè)來進(jìn)行安全防護(hù) 的。這種理論認(rèn)為如果防火墻拒絕某類數(shù)據(jù)包的通過，則認(rèn)為它一定是安全的，因?yàn)樵撔┌呀?jīng)被丟棄。但防火墻并不保證準(zhǔn)許通過的數(shù)據(jù)包是安全的，它無法判斷 一個(gè)正常的服務(wù)的數(shù)據(jù)包和一個(gè)惡意的數(shù)據(jù)包有什么不同。傳統(tǒng)防火墻也無法提供基于應(yīng)用和用戶的，從第三層到第七層的一體化訪問策略控制，黑客常常通過穿透 合法的80端口，就可以輕松地讓防火墻的安全控制策略變成“聾子和瞎子”。此外，它也無法提供基于應(yīng)用的流量分析和報(bào)表展示，無法幫助用戶了解當(dāng)前網(wǎng)絡(luò)邊 界的現(xiàn)狀。而且，當(dāng)前的安全威脅已不再是單一的類型。通常一個(gè)完整的入侵行為包含了多種技術(shù)手段，如漏洞利用、Web入侵、木馬后門、惡意網(wǎng)站等，如果將 這些安全威脅割裂的進(jìn)行處理和分析，系統(tǒng)的防范短板依然存在。

新一代的防火墻應(yīng)該加強(qiáng)，允許通過防火墻的數(shù)據(jù)包的安全性，因?yàn)榫W(wǎng)絡(luò)安全的真實(shí)需求是，既要保證網(wǎng)絡(luò)安全，也必須保證應(yīng)用的正常運(yùn)行。所以，目前企 業(yè)使用越來越多的Web防火墻受到了更多人的關(guān)注，它是一種基于應(yīng)用層開發(fā)的新一代應(yīng)用防火墻，與傳統(tǒng)安全設(shè)備相比它可以針對(duì)豐富的應(yīng)用提供完整的、可視 化的內(nèi)容安全保護(hù)方案。它解決了傳統(tǒng)安全設(shè)備在應(yīng)用可視化、應(yīng)用管控、應(yīng)用防護(hù)、未知威脅處理方面的巨大不足，并且滿足了同時(shí)開啟所有功能后性能不會(huì)大幅 下降的要求。

相信，隨著人們對(duì)網(wǎng)安全意識(shí)的不斷增強(qiáng)，和各種功能強(qiáng)大、性能先進(jìn)安全設(shè)備的廣泛應(yīng)用，一個(gè)安全、綠色的互聯(lián)網(wǎng)會(huì)越來越深入到人們的工作和生活當(dāng)中。

huanghui