电子课件-任务32软件防火墙配置保护主机与内部网络

1、国家高等职业教育网络技术专业教学资源库计算机网络安全技术与实施教学课件学习情境3：任务3.2软件防火墙配置保护主机与内部网络国家高等职业教育计算机网络安全技术与实施教学课件学习情境3：3.2 任务2-目录3.2 任务2-软件防火墙配置保护主机与内部网络3.2.1 任务描述3.2.2 引导文本-防火墙软件介绍3.2.3 设计防火墙防护功能3.2.4 利用防火墙软件实施防护3.2.5 进行防护效果检测3.2.6 知识技能要点测评3.2 任务2-目录3.2 任务2-软件防火墙配置保护主机与3.2.1 工作任务总体描述（表）学习情境学习情境3-对网络访问行为进行控制建议课内学时任务名称工作任务2-软件

2、防火墙配置保护主机与内部网络4学时（理论实践一体）企业工作情境描述对于一个小型企业或企业异地办事处来说，此类网络很少向外部网络提供服务，并且多是对外部的连接需求，选用专业的防火墙往往是没有必要的。另外从网络管理人员上来说，这类企业网络中的管理人员的人力上需要简化安全的维护工作量，因此可考虑选用基于主机配置的防火墙。工作任务分析在这个工作任务中我们要在主机上安装与配置防火墙软件来实现防护功能，这类软件的选择较多，可以根据网络管理人员的需要选择一个较熟悉的软件产品，这里介绍Smoothwall软件，并在虚拟机下进行安装与实施任务。任务目标1、进一步学习防火墙的基本原理与功能的相关知识；2、能在主机

3、和软件上配置最基本的防火墙功能；3、学会一款基于主机的软件防火墙的配置，能利用其实施对网络的安全防护功能，在尽可能最小的经济投入下实现对企业网络的基本防护。学习场境简化与转换设计与学习任务布置场境简化与转换设计：对学习情境中的异地办事处部分的主机上配置防火墙功能，结构如右图所示。学习任务布置：本任务在此网络环境中通过在虚拟机中安装防火墙软件来学习防火墙配置。工具及软件选用1、Smoothwall；2、虚拟机VM软件。参考资料手册1、利用互联网搜索相关知识查询；2、教材中的引导文本； 3、课程网站上的关于本部分的视频教程。学习任务操作流程操作流程参见下面的工作任务实施过程3.2.1 工作任务总体

4、描述（表）学习情境学习情境3-对网络任务分解图互联网主机FW/GW异地办事处攻击者任务分解图互联网主机异地办事处攻击者3.2.2 引导文本1、防火墙的分类 防火墙的分类可以有很多种，这里从软硬件体系结构进行分类： 一类是基于设备的防火墙，采用专用的操作系统及处理器构成的硬件平台，硬件在外观设计上与路由器和交机类似，硬件防火墙又可以分为独立功能的硬件设备和安装中路由器或多层交换设备插槽上的防火墙模块。此类防火墙的性能较高，可以满足企业级需求。如下图所示，是思科的ASA 5520防火墙。还有用于Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器防火墙服务模块FWSM。

5、3.2.2 引导文本1、防火墙的分类3.2.2 引导文本1、防火墙的分类另一类是基于服务器的防火墙，通过软件实现，这类防火墙软件一般属于安装于通用操作系统（ Windows NT/2000/2003、UNIX、Novell等）的主机上的应用软件，如微软开发的ISA运行于WINDOWS下实现防火墙和代理功能、基本Linux的ipchains 和iptables都是在通用的系统上实现防火墙功能。这类防火墙适合于对主机的保护，但由于通用操作系统开放的服务较多及系统自身可能存在的缺陷使其容易遭受攻击，同时也要考虑其系统资源的占用。最后一类是集成防火墙，一般是指在已有设备或主机上定制的防火墙功能，这也可

6、以分为两种，一种是对操作系统进行裁剪使其最小化以满足防火墙功能实现，最常见的是对Linux操作系统进行裁剪使其可以独立运行于通用计算机系统上来完成防火墙功能，如Router OS、SmoothWall等防火墙是对Linux的裁剪后实现的操作系统与防火墙功能的结合；另一种是基于已有设备上增加防火墙功能，如在路由器上实现的防火墙功能。3.2.2 引导文本1、防火墙的分类3.2.2 引导文本2、基于主机的软件防火墙介绍（1）基于Windows系统的软件防火墙基于Windows系统的软件防火墙也可以分为两类，一类是个人主机的，如瑞星、天网个人防火墙；另一类是企业级软件防火墙，如ISA 、Session

7、Wall-3及思科基于NT系统的Centri Firewall等，其中ISA是由微软出的软件防火墙产品能与其操作系统很完美结合。ISA Server 2006软件相关介绍：是由微软公司出的企业级应用层防火墙，ISA Server 已经在不同行业、企业中得到使用。首先，ISA Server 2006具有应用层过滤功能，能够基于应用层、访问内容和用户账户等对访问请求进行严格的访问控制；其次，ISA Server 提供了强大的内容缓存功能，从而提高了企业Internet连接的使用效率，降低了企业IT成本；第三， ISA Server中提供了集成的远程访问VPN和站点到站点VPN支持，能够同时实现高效

8、、安全、可靠的虚拟专用网络服务，从而让用户的访问实现“Access Anywhere”；最后，ISA Server 提供了高效的性能和可靠稳定的服务，实现轻松的IT管理。3.2.2 引导文本2、基于主机的软件防火墙介绍3.2.2 引导文本2、基于主机的软件防火墙介绍（2）基于Linux系统的软件防火墙 如果对Linux较熟悉那么，最好的选择是用其身提供的iptables，它可以完全满足个人及中小企业的需要。这方面也可以找相关的专题书籍进行此项目的学习。（3）基于Linux内核的系统防火墙软件 MikroTik RouterOS软件相关介绍：是一种路由操作系统，并通过该软件将标准的PC电脑变成专

9、用的路由器，在软件的开发和应用上不断的更新和发展，软件经历了多次更新和改进，使其功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能。 SmoothWall软件相关介绍：SmoothWall是欧洲成功的OpenSource项目之一，它可以把一台普通的486以上的机器配置成为功能完备，稳定的路由器防火墙，它已经拥有很多用户。SmoothWall支持ISDN，ASDL/Cable和多网卡等网络设备。它可以基于Web的管理和支持SSH、DHCP等。个人、中小企业、网吧使用版本2.0就可以了，3.0为企业版需要注册激活。这个软件是基于Redhat linux

10、操作系统下的，本身自带Redhat linux简版。SmoothWall不是软路由，是防火墙。NAT只是内带的功能而已。但功能的确很完备。 3.2.2 引导文本2、基于主机的软件防火墙介绍3.2.2 引导文本3、基于主机的软件防火墙选择介绍 对于一些小企业或企业分支及办事处的网络由于资金与管理人员的原因往往需要配置基于主机的软件防火墙，这为企业节约资金的同时也能减少对网络管理人员的要求。（1）选择1-ISA Server软件 选择ISA Server的理由是，它能与Windows操作系统完美的结合，许多功能实现集成化。对于一般中小企业、分支及办事处较为适合，特别适合于对Windows操作系统较

11、熟悉的网络管理人员选用。这可以减少由于不同公司产品在配置与管理上的差异。另外它可以安装于现有的服务器主机上完成防火墙及相关的功能，企业不必再投入新的防火墙产品。缺点是也要考虑软件成本的问题。（2）选择2-Linux系统及Iptables Linux系统无论从经济与性能上考虑都是不错的选择，但是想要熟练掌握Linux系统的配置与管理是较难的，特别是对那些已经习惯于Windows操作系统的用户来说，当然如果已经对Linux较熟悉，那么，这个选择是有远见的，这会使企业和网络管理人员都能从中受益。（3）选择3-RouterOS或SmoothWall软件 对于中小型办公企业来说，如果考虑经济投入和管理维

12、护的方便，选择这类软件将为企业提供方便。因为这类软件可以安装于配置一般的主机即可，可以充分利用淘汰的计算机，对这样的主机配置2或3块网卡，安装此类软件就可以实现路由和防火墙的功能。这类软件与硬件防火墙的主要区别是，硬件防火墙是建立在专用硬件平台上的，而这类软件是安装与通用的计算机硬件平台上，只是一些专用的处理由软件完成了。3.2.2 引导文本3、基于主机的软件防火墙选择介绍3.2 引导文本4、包过滤型防火墙在LINUX系统主机上的实现流经Linux系统主机的数据流量都要先通过Linux内核的防火墙，Linux中是利用IP Filter或Net Filter底层,即IPChains或IPTabl

13、es软件提供防火墙功能，IPChains属于一种数据包过滤防火墙。IPChains系统缺省内建3个Chains:input、output、forward分别处理进入、输出及转发的规则。需要注意的是不同版本的Linux其实现的机制和IPChains的运行规则有所不同。在Linux2.4内核中主要采用IPtables，目前多数Linux系统采用其做为默认防火墙，IPtables可以对网络协议数据的二层的MAC地址、三层的IP地址、四层的端口号及状态(采用状态机制STATEFUL)标志位SYN、ACK等进行分析判断,采用IPtables较容易实现NAT和重定向功能。另外IPtables与TCP Wr

14、appers的组合完成了软件防火墙的功能。 3.2 引导文本4、包过滤型防火墙在LINUX系统主机上3.2 引导文本4、包过滤型防火墙在LINUX系统主机上的实现IPtables书写规则的语法格式是：iptables -t table command match target/jump 选项-t用来指定使用哪个表，默认的是 filter表（另两个表是nat和mangle）；command指定iptables 对提交的规则要做什么样的操作。这些操作可能是在某个表里执行增加或删除操作；Matches用于定义匹配的条件，可以是地址、端口或物理接口等；target/jump说明规则匹配Matches后

15、采取的动作。Matches协议可以用：-p ! protocol（-p tcp,icmp,udp,all）；Matches地址可以用：源地址-s! address,目的地址-d! address；Matches端口可以用：端口 -sport! port,目的端口 -dport ! port；MatchesSYN位可以用：! -y ,TCP主动发起的连接请求；Matches网络接口可以用：-i ! name , -i eth0Matches双向可以用：-b 例1：iptables -A INPUT -p tcp -s! /24 -dport 80 -j DROP /允许从/24的网段用tcp协议

16、连接到80端口。 例2：iptables -A INPUT -p tcp -s -dport 111 -j ACCEPT /允许本地连接80端口。 例3： iptables -A INPUT -p tcp -dport 22 -i eth0 -j ACCEPT iptables -A OUTPUT -p tcp -sport 22 -i eth0 -j ACCEPT /在以太网eth0接口放行SSH服务。3.2 引导文本4、包过滤型防火墙在LINUX系统主机上3.2.3 设计防火墙防护功能1、基于主机防火墙软件设计对网络的防护 在本学习情境中的异地办事处的网络中，是利用一台主机实现防火墙功能，

17、下面利用基于主机防火墙软件设计对网络的防护。企业现有网络节点100个左右，内部通过三层交换机进行连接，并通过路由器连接到互联网，路由器进行了简单的过滤，现加入一主机实现防火墙功能，具体如下图所示。主机FW/GW异地办事处互联网路由器内部主机3.2.3 设计防火墙防护功能1、基于主机防火墙软件设计对网3.2.3 设计防火墙防护功能2、软件的具体实现方式设计 关于ISA2006的配置与实现可以在网上或课程网站获取相关的专题介绍和微软中国网站的视频教程（如ISA Server 2006 勇攀高峰系列教程等）。同样关于RouterOS的安装与配置也有很详细的资料和教程，这里不再详细介绍了，但是推荐利用

18、虚拟机进行后面的同类任务的实现。下面以SmoothWall软件在虚拟机下的安装与配置为例进行设计。只所以选择SmoothWall软件的理由是它是基于Linux内核的，他代表了防火墙技术发展的一个新思路。 可以到smoothwall软件的官方网站获取软件及相关帮助/。获取其ISO格式的光盘镜像文件后，进行安装。 3.2.3 设计防火墙防护功能2、软件的具体实现方式设计3.2.3 设计防火墙防护功能 如果是学习smoothwall软件的安装与配置，可以在虚拟机下完成安装与配置，如果是应用于本任务中的防火墙方案中，则要选择一台一般配置的计算机即可，建议安装3块网卡，有光驱。实际安装与在虚拟机下的基本

19、样同，但是在虚拟机下安装与学习会更方便，下面设计在虚拟机中实现。 虚拟机的建立如上图所示，有三个网卡。分别对应内网接口、外网接口和DMZ接口，如下图所示。选择新建虚拟机，完成建立向导后在编辑虚拟机设置中再填加两块网卡。Red-外网接口：648Orange-DMZ接口：48Green-内网接口：103.2.3 设计防火墙防护功能 如果是学习smooth3.2.4 利用防火墙软件实施防护1、基于主机防火墙软件Smoothwall的安装 设置已经建立虚拟机中的CD-ROM使用ISO镜像文件，如下图所示，然后启动此虚拟机。 安装过程非常简单，安装界面与Linux相似，在出现欢迎安装后会要求输入产品序列

20、号，正确输入后如是计算机或虚拟机用的是SCSI硬盘要驱动，这里选择自动搜索。接下来出现安装方式的选择，这里选择CD-ROM。在安装过程中SmoothWall将硬盘分区并格式化，要确保硬盘没有有用的数据。3.2.4 利用防火墙软件实施防护1、基于主机防火墙软件Sm3.2.4 利用防火墙软件实施防护 在接下来的安装过程中，会提示配置网络，选择搜索即可，如果计算机或虚拟机已经安装了三块网卡，会依次对三个网卡进行搜索与配置，分别为Green、Orange、Red接口，如下图是第一块网卡被定义为Green-interface（这里配置其IP地址为10），配置一个与内网主机同网段的IP地址及掩码。接下来会

21、提示键盘设置等，完成后出现配置菜单，这里选择网络（Networking）。 3.2.4 利用防火墙软件实施防护 在接下来的安装过3.2.4 利用防火墙软件实施防护 系统会要求选择网络接口类型以太网、ISDN或者是ADSL。这里选择了以太网，然后选择防火墙类型，主要可以分为两种类型，一种是Green+Red类型，在这种模式中，一个网络接口是连向internet(Red)，一个是连向LAN(green)；还有一种模式就是Green+Orange+Red，Red和Green接口类型和前一种相同，但是多了个Orange接口，这是专门为那些需要特殊服务的服务器程序准备的，在这个区域的资源可以被来自int

22、ernet和LAN的链接所控制，这就是有名的DMZ（demilitarized zone非军事区）。 选择了Green+Orange+Red模式，并为网卡设置IP地址，下一步就是配置DHCP服务器，然后设置了三个密码，分别是admin、root和setup用户。重要的用户就是admin用户，用来设置基于web的管理界面，root用户用于登录到SmoothWall系统内后linux命令进行配置与管理，以的setup用户用来更改一些防火墙配置，如将Green-Red改为Green+Orange+Red。安装完成后要求重新启动。默认情况下，防火墙配置为禁止所有的来自红色区域的连接请求。这就意味着任何

23、来自internet的链接默认情况下都是被拒绝的，除非有来自绿色区域的链接要求。3.2.4 利用防火墙软件实施防护 系统会要求选择网络3.2.4 利用防火墙软件实施防护2、配置防火墙软件smoothwall 对smoothwall软件的配置主要有三种方式，一种是基于命令行，另一种是基于采单式，最后一种是基于WEB方式。基于WEB方式与配置硬件防火墙类似，下面介绍基于WEB的配置。可以通过键入http:/IP:81和https:/IP:441来进行基于web的管理。基于web界面的SmoothWall防火墙软件有着非常丰富的选项。可以将它配置成一个代理服务器，或者DHCP服务器，或者为绿色区域服

24、务的某些特别端口的包转发服务器等等。作为一个代理服务器，可以设置一些高级选项，如用户端认证和延迟等等。这些功能对小公司或者家庭用户来说是很有用的，但是对于大型企业来说，他们都是有自己特定的代理服务器。可以为DHCP服务器配置地址范围、WINS服务器和静态IP地址。也可以选择动态DNS，提供为远处链接服务的SHH程序和时间服务器。SmoothWall甚至可以支持SNORT，来实现入侵检测系统的功能。通过Green接口所配置的IP地址进行连接。 3.2.4 利用防火墙软件实施防护2、配置防火墙软件smoo3.2.4 利用防火墙软件实施防护3、配置防火墙简单的包过滤规则 登录web界面后会，选择ne

25、tworking，这时会要求用户认证，输入admin用户名及安装过程对应的密码即可进行配置。如图所示是对网段进行IP block即IP包的拦截设置。 SmoothWall通过使用Linux2.4内核和netfilter（netfilter/iptables是与2.4.x版本Linux内核集成的IP信息包过滤系统。如果 Linux 系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器，则该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置）来进行包检测。它有一个内建的VPN网络，这样就尽可能安全的通过互联网在外部和内部网络之间建立起一个私有网络。选择服务项可以配置IDS

26、等功能。如下图所示，SmoothWall集成了SNORT软件的IDS功能，可以将IDS规则文件进行上载到SmoothWall中去实现IDS功能，关于IDS将在后续内容中学习。3.2.4 利用防火墙软件实施防护3、配置防火墙简单的包过滤3.2.4 利用防火墙软件实施防护 SmoothWall提供也在线升级功能，基本WEB方式升级为管理带来了方便。另外SmoothWall提供快速开始、安装向导和管理指南手册，对于学习SmoothWall及防火墙技术很有帮助。当然，SmoothWall这个软件是为小企业用户设计的，这不是一个全功能的防火墙产品，有些功能还有待完善，没有办法满足那些大型的商业需要。但是对于要求不高的小型企业来说是一个不错的选择。对于学习者可以在VMWare下实现对SmoothWall的安装与配置实验，对于掌握防火墙技术有很大的帮助。4、具体配置SmoothWall防火墙功能 下面通过两种方式配置SmoothWall，实现通过SmoothWall防火墙功能：（1）命令行方式实现屏蔽Telnet访问，即禁止对TCP协议的23端口数据转发。 通过root用户登录系统，并执行如下命令（与Linux一样的命令与格式，也要区分大小写的），在特权模式下执行完命令后，需要重新启动。rootsw3 root# iptables -A