55典型防火墙产品与防火墙技术发展

1、5.5.1 典型防火墙产品 1、国内个人防火墙软件中经典之作天网防火墙个人防火墙软件在防火墙中是最低廉、最简单易用、最易于安装的一种面向个人用户的防御工具。尽管这样但个人防火墙软件仍可以有效地防御大多数黑客的攻击。下面介绍一下天网个人防火墙软件，它是国内个人防火墙软件的代表之一。 天网个人防火墙是国内一款颇为有效的防火墙，它是由天网安全实验室推出的。适用平台：Windows 98、Windows 2000。对于初级用户几乎不用做任何专业设置，就可以有效的发挥作用。对于高级用户，天网允许进行他们自己的设置。用户可以对指定的协议、端口、IP地址进行过滤，完全监控所有的网络数据。总之天网防火墙具有访

2、问控制、身份认证、应用选通、网络地址转换（Network Address Translation）、信息过滤、虚拟专网（VPN）、流量控制、虚拟网桥等功能。天网个人防火墙属于软件防火墙系列，因此安装相当简单，用户只需运行安装文件，按提示操作即可。1第一次运行天网时，您需要输入注册号。注册号可以免费获得，用户只需到天网的主页上进行注册即可，网址：http：netcn。 图5.25安装天网防火墙后的任务栏图标2天网启动后，缩为一个盾牌形图标，如图5.25所示。双击该图标，显示天网的主界面，如图5.26所示。图5.26天网防火墙主界面3（1）系统设置图5.27系统设置主界面选中开机后自动启动防火墙，

3、天网个人版防火墙将在操作系统启动的时候自动启动，否则天网防火墙需要手工启动。4单击“防火墙自定义规则重置”按钮，防火墙将弹出如下窗口。 图5.28天网防火墙提示信息界面如果选择“确定”按钮，天网防火墙将会把防火墙的安全规则全部恢复为初始设置，用户对安全规则的修改和加入的规则将会全部被清除掉，例如：将重新设置在局域网内的地址；用户设定的天网防火墙预警的声音也将被取消。5（2）安全级别设置天网防火墙安全级别分为高、中、低三级，默认的安全等级为中，其中安全设置如下：低：所有应用程序初次访问网络时都将被询问，已经被认可的程序则按照设置的相应规则运作。计算机将完全信任内部网络，允许内部网络的机器访问提供

4、的各种服务（文件、打印机共享服务）但禁止网络网络的机器访问这些服务。中：所有应用程序初次访问网络时都将被询问，已经被认可的程序则按照设置的相应规则运作。禁止内部网络和外部网络的机器访问提供的网络共享服务（文件、打印机共享服务），内部网络和外部网路上的机器将无法看到天网防火墙所安装的主机。高：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止内部网络和外部网络的机器访问提供的网络共享服务（文件、打印机共享服务），内部网络和外部网络上的机器将无法看到本机。除了是由已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口。6（3）断开/接通网络如果按下断开/接通网

5、络按钮，那么主机就将完全与网络断开了，就好象拔下了网线一样。（4）程序规则设置天网防火墙具有对应用程序数据包进行底层分析拦截功能，可以控制应用程序发送和接收数据包的类型、通讯端口，并且决定拦截还是通过。在天网个人版防火墙打开的情况下，启动的任何应用程序只要有通讯数据包发送和接收存在，都会先被天网个人版防火墙先截获分析，并弹出窗口，如下图：7图5.29天网防火墙信息拦截界面 8如果你不选中以后都允许，那么天网防火墙在以后会继续截获该应用程序的数据包，并且弹出警告窗口。如果你如果选中以后都允许选项，该程序将自加入到应用程序列表中，天网版防火墙将默认不会再拦截该程序发送和接受的数据包，但你可以通过应

6、用程序设置来设置更为复杂的数据包过滤方式。应用程序规则的设置界面如下图所示：9单击该面板每一个程序的选项按钮即可设置应用程序的数据通过规则，如下图:10可以设置该应用程序禁止使用TCP或者UDP协议传输，以及设置端口过滤，让应用程序只能通过固定几个通讯端口或者一个通讯端口范围接收和传输数据，完成这些设置后，可以选择询问和禁止操作。对应用程序发送数据包的监察可以确认系统有那些程序正在进行通讯。通过这种对数据包的监察防火墙可以监视到攻击者对木马的控制通讯，防止木马程序向外网发送非法信息。11（5）IP规则设置IP规则设置是针对整个系统的数据包监测，IP规则设置的界面如下：12工具栏上的按钮主要有导

7、入，增加，修改，删除按钮等。由于规则判断是由上而下的，可以通过点击调规则上下移动按钮调整规则的顺序。另外，只有相同协议的规则才可以调整相互顺序），当调整好顺序后，可按保存按钮保存你的修改。当规则增加或修改后，为了使新设定的规则生效，需要单击应用新规则按钮。上图中IP规则部分列出了规则的名称，该规则所对应的数据包的方向，该规则所控制的协议，本机端口，对方地址和对方端口，以及当数据包满足本规则时所采取的策略。在列表的左边为该规则是否有效的标志，如果标记为钩表示改规则有效，否则表示无效。当你改变某些设置后，请按保存按钮，以便使设置生效。13天网防火墙本身已经默认设置好了相当的安全级别，一般用户，并不

8、需要自行更改。例如：防御ICMP攻击：即别人无法用 PING 的方法来确定你的存在。但不影响你去 PING 别人。防御IGMP攻击：IGMP是用于传播的一种协议。TCP数据包监视：监视你机器上所有的TCP端口服务。这是一种对付木马程序的主要方法。用户可以通过点击增加按钮或选择一条规则后按修改按钮，激活编辑窗口，以便用户进一步设置适合自己的规则。 输入规则的名称和说明，以便于查找和阅读。 1415选择该规则是对进入的数据包还是输出的数据包有效。对方的ip地址，用于确定选择数据包从那里来或是去哪里。任何地址是指可以接收从任何地方发来的数据包；局域网网络地址是指数据包来自和发向局域网；指定地址是用户

9、输入的地址，指定的网络区域是你可以自己输入一个网络和掩码。还要录入该规则所对应的协议，在这里请注意，如果录入了IP协议的规则，一点要保证IP协议规则的最后一条的内容是：“ 对方地址：任何地址； 动作：继续下一规则 ”。16TCP 协议要填入本机的端口范围和对方的端口范围，如果只是指定一个端口，那么可以在起始端口处键入该端口，结束处，键入0。如果不想指定任何端口，只要在起始端口都键入0。ICMP 规则要填入类型和代码。如果输入255，表示任何类型和代码都符合本规则。当一个数据包满足上面的条件时，你就可以对该包采取操作了：通行指让该数据包可以正常通过；拦截指让该数据包无法通过；继续下一规则指不对该

10、数据包作任何处理，由该规则的下一条规则来确定对该包的处理操作。在执行这些规则的同时，还可以定义是否记录这次规则的处理和这次规则的处理的数据包的主要内容，并可以设置天网防火墙托盘图标是否闪烁来警告，或发出声音来进行提示。17建立规则的原则：防火墙的规则检查顺序与列表顺序是一致的。如果只想对内部网络开放某些端口或协议（但对外部网络关闭）时，可对内部网络的规则采用允许局域网网络地址的某端口、协议的数据包通行的规则，然后用任何地址的某端口、协议的规则拦截，就可实现你的目的。如果录入了IP协议的规则，一定要保证 IP协议规则的最后一条的内容是：对方地址为任何地址，动作是“继续下一规则，否则会其他协议的规

11、则会执行不到。不要滥用记录功能，一个定义不好的规则加上记录功能，会产生大量没有任何意义的日志，并浪费大量的系统资源。（6）日志查看天网防火墙将会把所有不合规则的数据包拦截并且记录下来，如果你选择了监视TCP和UDP数据包，那你发送和接受的每个数据包也将被记录下来。每条记录从左到右分别是发送/接受时间、发送IP地址、数据包类型、本机通讯端口，对方通讯端口，标志位1819但不是所有的被拦截的数据包都意味着有人在攻击你，有些正常的数据包可能由于你设置的安全级别过高而不符合安全规则，也会被天网防火墙拦截下来并且报警，如你设置了禁止别人Ping你的主机，如果有人向你的主机发送Ping命令，天网防火墙也会

12、把这些发来的ICMP数据拦截下来记录在日志上并且报警。安全日志可以导出和被删除，其上面左右两个按钮分别为存为文件和清空日志的按钮。另外，天网网站可以为天网防火墙注册用户提供在线的系统检测服务。如下图。具体包括的项目和功能如下。2021信息泄露检测：检测系统是否存在信息泄漏的危险性。如果你的电脑系统存在安全漏洞，检测系统会显示出你的计算机名，甚至会检测出你的共享文件目录和打印机的名称，并把共享目录里的具体内容列出来。系统安全性检测：如果系统存在漏洞，很可能会成为网络上的攻击对象。该项检测的目的就是验证系统是否存在这样的漏洞。同时还提供了电脑网络安全软件，可以帮助用户填补这些漏洞。22网络端口扫描

13、：扫描你的系统是否存在开放的易于被攻击的网络端口。Ddos Slave扫描，在黑客攻击的事件中，许多接入互联网的计算机被黑客利用来作为攻击其他网站或计算机的跳板（又被称为“肉鸡”）。因为这些主机被黑客植入DDOS攻击的代理程序，所以黑客控制这些代理程序来对外攻击。DDOS Slave扫描是检查您的系统里是否存在这种代理程序。检测和扫描服务是通过天网网站对主机进行扫描实现的，完成后将给出一个完整的报告和适当的建议。23图5.37天网网站安全漏洞报告界面242、操作系统集成的防火墙-启用win xp中自带的防火墙操作系统WINDOWS XP本身就具有Internet连接防火墙（ICF），即充当网络

14、与外部世界之间的保卫边界的安全系统。Internet连接防火墙（ICF）是用来限制哪些信息可以小型办公网络或个人主机进入Internet（外部网络）以及从Internet进入小型办公网络或个人主机的一种工具软件。如果网络使用Internet连接共享（ICS）来为多台计算机提供Internet访问能力，在共享的Internet连接中启用ICF。当然ICS和ICF也可以单独启用。 25工作原理：ICF被视为状态防火墙，状态防火墙可监视通过其路径的所有通讯，并且检查所处理的每个消息的源和目标地址。ICF保留了所有源自ICF计算机的通讯表。在单独的主机中，ICF将跟踪源自该计算机的通信。与ICS一起使

15、用时，ICF将跟踪所有源自ICF/ICS计算机的通信和所有源自专用网络计算机的通信。所有Internet传入通信都会针对于该表中的各项进行比较。只有当表中有匹配项时，才允许将传入Internet通信传送给网络中的计算机。源自外部源ICF计算机的通讯（如Internet）将被防火墙阻止，除非在“服务”选项卡上设置允许该通讯通过。ICF不会向你发送活动通知，而是静态地阻止未经请求的通讯，防止像端口扫描这样的常见黑客袭击。ICF和个人主机或小型办公室通讯不应该在所有没有直接连接到Internet的连接上启用Internet连接防火墙。如果在ICS客户计算机的网络适配器上启用防火墙，则将干扰该主机和网

16、络上的所有其他主机之间的某些通讯。ICF也具有日志功能能够记录被许可的和被拒绝的通信。 26（1）配置防火墙1.启用或禁用Internet连接防火墙。图5.38网络邻居属性窗口27方法：打开“网络连接”，单击要保护的拨号、LAN或高速Internet连接，然后在“本地连接属性” “高级”“设置”下，选择下面的一项： 图5.39防火墙设置窗口28若要启用Internet连接防火墙，选中“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”复选框。若要禁用Internet连接防火墙，请清除此复选框。2）安全日志的设置 29当选择“登录放弃的数据包”复选框时，每次通信尝试通过

17、防火墙却被检测和拒绝的信息都被ICF收集。例如，如果Internet控制消息协议没有设置成允许传入的回显请求，如Ping和Tracert命令发出的请求，防火墙将接收到来自外部网络的回显请求，但防火墙会根据用户设置的规则放弃回显的数据并记录日志。Ping和Tracert都采用的是网际消息协议（ICMP）。通过ICMP协议，可以使采用IP通讯的主机和路由器报告通信错误并交换受限控制和状态信息。在下列情况中通常自动发送ICM消息：IP数据报无法访问目标、IP路由器（网关）无法按当前的传输速率转发数据报、IP路由器将发送主机重定向为使用更好的到达目标的路由。启用或禁用Internet控制消息协议：打开

18、“网络连接”。 单击已启用Internet连接防火墙的连接，然后在“本地连接属性”“高级” “设置”“高级”“ICMP 设置”选项卡上，选中希望响应的请求信息类型旁边的复选框。30图5.41 ICMP设置窗口31当你选择“登录成功的外传连接”复选框时，将收集每个成功通过防火墙的连接信息。例如，当网络上的任何人使用Internet Explorer成功实现与某个网站的连接时，将记入日志。生成的安全日志使用的是W3C扩展日志文件格式。 启用或禁用安全日志记录选项：打开“网络连接”，单击要在其上启用Internet连接防火墙（ICF）的连接，然后在“网络任务”“更改该连接的设置”“高级”“设置”“安

19、全日志记录”“记录选项”下，选择下面的一项或两项： 32图5.42安全日志设置窗口33若要启用对不成功的入站连接尝试的记录，请选中“记录丢弃的数据包”复选框，否则禁用。更改安全日志文件的路径和文件名的方法：打开“网络连接”，选择要在其上启用Internet连接防火墙的连接，然后在“本地连接属性”“高级” “设置”“高级”“安全记录设置”“日志文件选项”中，浏览要放置日志文件的位置。 图5.43 修改安全日志窗口34 更改安全日志文件大小需要用户打开已启用Internet连接防火墙的连接，然后在“本地连接属性”“高级” “设置”“高级”“安全记录设置”“日志文件选项”“大小限制”中，使用箭头按钮

20、调整大小限制。353、一款专业级防火墙的代表之作-基于Cisco PIX Firewall的防火墙系统Cisco PIX Firewall防火墙是通过动态和静态的地址映射，管道技术建立一个较为完整的防火墙系统。Ciso PIX Firewall是基于网络层的包过滤和基于应用层的隔离网络的代理服务器（proxy server）这两种技术结合的防火墙。它应用安全算法（Adaptive Security Algorithm），将内部主机的地址映射为外部地址，拒绝未经允许的包入境，实现了动态，静态地址映射，从而有效地屏蔽了内部网络拓扑结构。通过管道技术，访问列表，有效地控制内、外部网络资源的访问。 P

21、IX Firewall可连接四个不同的网络，每个网络都可定义一个安全级别，级别低的相对于级别高的总是被视为外部网络，但最低的必须是全球统一的IP地址。在配置之前，应先规划好网络拓扑结构，制定较为祥细的安全策略。设IP地址范围78-91，有E-mail，等服务器，PIX Firewall的内部虚IP地址范围为：-55,可以定义以下策略 :361）屏蔽内部网络拓扑结构 为了防止黑客的侵入，应采用动态地址映射隔离内部网络，屏蔽内部网络拓扑结构。对PIX Firewall做如下配置: nat 1 0 0 global (outside) 1 220.294.204.17991 global (outs

22、ide) 1 78372）对资源主机的访问控制 为保证E-mail，等服务器的安全必须利用管道(conduit)使外部网络可以对它们进行访问，但同时必须限制对它们的访问，即禁止除E-mail，以外的一切服务，配置方法如下：static (inside，outside) 79 conduit permit tcp host 79 eq static (inside，outside) 78 conduit permit tcp host 78 eq smtp any static (inside，outside) 90 conduit permit tcp host 78 eq 383）对Inte

23、rnet上资源的控制 对于Internet上的不安全站点，我们可用首先查到不安全站点的IP地址，然后并对从内部网络向外部网络发出的数据流实施的访问控制。在PIX Firewall上的配置如下：outbound 10 deny 1 55 apply (inside) 10 outgoing_dest 对于内部主机可以控制其能使用的服务，实现对内部主机到外部的访问进行完全的控制。例如，对主机00可以禁止使用WWW访问外部网络。其配置如下：outbound 20 deny 00 55 apply(inside) 20 outgoing_src 39 4）防范内部网络的非法IP和MAC地址 由于采用盗

24、用他人的IP地址和MAC地址的方法，可以达到隐藏非法访问的目的。使用PIX Firewall的ARP命令可以将内部主机的IP和它的MAC地址绑定，来防止篡改和盗用IP地址现象。例如，我们要将主机的IP地址00与它的MAC地址00a8.3e41.2bc7绑定，可进行如下配置： arp inside 00 00a8.3e41.2bc7 alias 结合以上四种配置，Cisco PIX Firewall可以实现对IP包过滤，屏蔽内部网络和对网络资源加以的控制，并有效地防范IP地址的盗用和篡改。从而较好地实现了一个完整的防火墙系统。404、国外著名防火墙产品-CheckPoint公司的FireWall

25、-1网络安全防火墙 据IDC的最近统计，CheckPoint公司的FireWall-1防火墙在市场占有率上已超过32%。CheckPoint FireWall-1产品包括以下模块： 状态检测模块（Inspection Module）：提供访问控制、客户机认证、会话认证、地址翻译和审计功能； 防火墙模块（FireWall Module）：包含一个状态检测模块，另外提供用户认证、内容安全和多防火墙同步功能；41管理模块（Management Module）：对一个或多个安全策略执行点（安装了FireWall-1的某个模块，如状态检测模块、防火墙模块或路由器安全管理模块等的系统）提供集中的、图形化的

26、安全管理功能；连接控制（Connect Control）：为提供相同服务的多个应用服务器提供负载平衡功能；路由器安全管理模块（Router Security Management）：提供通过防火墙管理工作站配置、维护3Com，Cisco，Bay等路由器的安全规则；FireWall-1采用CheckPoint公司的状态检测（Stateful Inspection）专利技术，以不同的服务区分应用类型。FireWall-1状态检测模块分析所有的包通讯层，汲取相关的通信和应用程序的状态信息。状态检测模块截获、分析并处理所有试图通过防火墙的数据包，保证网络的高度安全和数据完整。网络和各种应用的通信状态动

27、态存储、更新到动态状态表中，结合预定义好的规则，实现安全策略管理。 42图5.44 FireWall-1网络结构示意图 43状态检测模块检验IP地址、端口以及其它需要的信息以决定通信包是否满足安全策略。状态检测模块把相关的状态和状态之间的关联信息存储到动态连接表中并随时更新，通过这些数据，FireWall-1可以检测到后继的通信。状态检测技术对应用程序透明，不需要针对每个服务设置单独的代理，使其具有更高的安全性、高性能、更好的伸缩性和扩展性，可以很容易把用户的新应用添加到保护的服务中去。通过策略编辑器制定的规则存为一个用INSPECT写成的脚本文件，经过编译生成代码并被加载到安装有状态检测模块

28、的系统上。CheckPoint采用了OPSEC了。OPSEC允许用户通过一个开放的、可扩展的框架集成、管理所有的网络安全产品。OPSEC把FireWall-1嵌入到已有的网络平台（如Unix、NT服务器、路由器、交换机以及防火墙产品），或把其它安全产品无缝集成到FireWall-1中，提供开放的、可扩展的安全框架。44FireWall-1允许企业定义并执行统一的防火墙中央管理安全策略。企业的防火墙安全策略都存放在防火墙管理模块的一个规则库里。规则库里存放的是一些有序的规则，每条规则分别指定了源地址、目的地址、服务类型（HTTP、等）、针对该连接的安全措施（放行、拒绝、丢弃或者是需要通过认证等）

29、、需要采取的行动（日志记录、报警等）、以及安全策略执行点（是在防火墙网关还是在路由器或者其它保护对象上上实施该规则）。管理员通过管理主机管理该规则库，建立、维护安全策略，加载安全规则到装载了防火墙或状态检测模块的系统上。他们之间的通信必须先经过认证，然后通过加密信道传输。 45远程用户和拨号用户可以经过FireWall-1的认证后，访问内部网络资源。在不修改本地服务器或客户应用程序的情况下，对试图访问内部服务器的用户进行身份认证。认证服务集成在安全策略中，通过图形用户界面集中管理，通过日志管理器监视、跟踪认证会话。FireWall-1提供三种认证方法：用户认证（User Authenticat

30、ion），针对特定服务提供的基于用户的透明的身份认证，服务限于、HTTP、HTTPS、RLOGIN；客户机认证（Client Authentication），基于客户机IP的认证，对访问的协议不做直接的限制，客户机认证不是透明的，需要用户先登录到防火墙认证IP和用户身份之后，才允许访问应用服务器；会话认证（Session Authentication）：提供基于服务会话的的透明认证，与IP无关，采用会话认证的客户机必须安装一个会话认证代理，访问不同的服务时必须单独认证。 46FireWall-1支持三种不同的NAT模式：静态源地址NAT、目的地址NAT：动态地址NAT。FireWall-1的连

31、接控制模块提供了负载平衡功能，在提供相同服务的多个应用服务器之间实现负载分担，目前FireWall-1支持的负载均衡算法：Server Load（由服务器提供负载均衡算法，需要在应用服务器端安装负载测量引擎）；Round Trip（利用ping命令测定防火墙到各个应用服务器之间的循回时间，选用循回时间最小者响应用户请求）；Round Robin（根据记录表中的情况，简单地指定下一个应用服务器响应）；Random（随机选取应用服务器响应）；Domain（按照域名最近的原则，指定最近的应用服务器响应）。475.5.2 防火墙的发展趋势 目前，防火墙技术随着新技术的发展，综合使用包过滤技术、代理服务

32、技术和其他一些新技术的防火墙真是今后防火墙发展的趋势。目前出现几个新型的防火墙技术： 1、包过滤系统向着更具柔性和多功能的方向发展。比如动态包过滤系统，在CheckPoint Firewall一1中的包过滤规则可由路由器灵活、快速地设置。一个输出的UDP数据包可以引起对应的允许应答UDP创立一个临时的包过滤规则，允许其对应的UDP包进入内部 网。 2、从外部向内看起来像是代理服务，而由内部向外看像一个包过滤系统的综合性防火墙结构。这些产品通过对大量内部网络的外向连接请求采用计账系统和包的批次修改方式，对防火墙的内外提供相关的伪像。483、分布式防火墙技术。新型的分布式防火墙由中心定义策略，但由

33、各个分布在网络中的端点实施这些制定的策略。实现的三个主要步骤：确定哪些连接可以被允许或那些连接被禁止的策略语言、系统管理工具和IP安全协议。 策略语言有很多种，如KeyNote就是一种通用的策略语言。实现分布式防火墙的关键是标志内部的主机，不应该再采用传统防火墙所用的对物理上的端口进行标志的办法。以IP地址来标志内部主机是一种可供选择的方法，但安全性不高，所以更倾向于使用IP安全协议中的密码凭证来标志各台主机，这种新技术为主机提供了可靠的、唯一的标志，并且与网络的物理拓扑无关。分布式防火墙服务器系统管理工具用于将形成的策略文件分发给被防火墙保护的所有主机，应该注意的是这里所指的防火墙并不是传统意义上的物理防火墙，而是逻辑上的分布式防火墙。IP安全协议是一种对TCP/IP协议族的网络层进行加密保护的机制，包括AH和