《信息安全原理与实践教程》课件第8章

第8章防火墙原理与配置

8.1防火墙概述

8.2Windows防火墙的配置实验

8.3易尚防火墙的配置实验

8.4红墙防火墙的配置实验

8.5小结

8.1防 火 墙 概 述防火墙在受保护网络和不被信任的外部网络之间设立一个安全屏障，通过相应的控制手段，尽可能地对外部网络屏蔽内部网络的数据和结构，最大限度地阻止网络中的非授权用户更改、复制和毁坏内部网络的重要数据。从技术上讲，防火墙是一种网络之间的访问控制机制，用于确定哪些内部服务允许外部访问，以及哪些内部用户可以访问外部服务；从逻辑上讲，它是内部网络和外部网络之间的唯一出入口。防火墙的基本安全策略是一切未被允许的都是禁止的和一切未被禁止的都是允许的。因此，防火墙的设计必须确保三点：一是所有通过内部和外部的网络数据流都要经过防火墙；二是定义统一的安全策略，保证只有经过授权的数据流才可以通过防火墙；三是防火墙自身具有很高的安全性，对入侵是免疫的。一般来说，防火墙的设计主要包括以下基本功能：

(1)通过防火墙可以定义一个关键点以防止外来入侵和内部信息的外泄。

(2)监控网络的安全，并在异常情况下给出报警提示。

(3)对网络存取和访问进行监视和审计。

(4)提供网络地址转换功能(NetworkAddressTranslation，简称NAT)。

按照不同的分类标准划分，防火墙可以有多种类型。根据防火墙在网络协议栈进行过滤的层次不同，防火墙可分为包过滤型防火墙、代理服务型防火墙和混合型防火墙(自治代理防火墙)。其中，包过滤型防火墙包括静态包过滤防火墙和动态包过滤防火墙，代理服务型防火墙包括电路级网关防火墙和应用层网关防火墙。由于整个网络的安全策略、安全措施以及安全目的不同，防火墙可以设计成不同的结构，并提供不同级别的安全。目前，主要有屏蔽路由器、双宿网关、屏蔽主机网关和屏蔽子网等几种常见的防火墙结构。

8.2Windows防火墙的配置实验

1.实验目的学会使用Windows操作系统自带的防火墙软件。

2.实验环境基于WindowsXP或Windows2003等的操作系统。

3.实验内容

1)启用与禁用Windows防火墙

Windows防火墙是Windows系列操作系统中自带的一个功能组件，可以对计算机起到一定的保护作用。在WindowsXP操作系统中依次点击“开始”→“控制面板”→“安全中心”，如图8.1所示。图8.1Windows安全中心窗口双击“Windows防火墙”图标，打开防火墙配置窗口，如图8.2所示。选中“启用”单选选项，然后单击【确定】按钮，即可启用Windows防火墙。如果不想启用Windows防火墙，则选择“关闭”单选选项即可。

图8.2Windows防火墙配置窗口

2)设置Windows防火墙例外设置例外的目的就是告诉Windows防火墙不要阻挡选定的例外(可以是程序，可以是服务，还可以是特定端口)所发起的连接。设置“例外”的方法如下：第1步：在如图8.2所示的对话框确认没有选择“不允许例外”复选框，然后单击“例外”选项卡，如图8.3所示。我们把需要当做例外的程序、端口添加到这个“程序和服务”列表中即可。图8.4中前面勾选的复选项表示已经加入到“例外”中。

图8.3“例外”选项卡图8.4“添加程序”对话框第2步：如果要让Windows不阻止某个程序或服务，则单击图8.3中的【添加程序】按钮，打开如图8.4所示对话框。在上面的列表中显示了在程序菜单中显示的程序，可以直接选择。如果所要添加的程序或服务不在上面列表中，则可以在“路径”栏中通过单击【浏览】按钮查找选择，所选择的必须是可执行文件。最后单击【确定】按钮即可添加一个允许通信的程序或服务。并返回到如图8.3所示的对话框，然后再单击【确定】按钮使所做设置生效。第3步：如果要允许某个特定端口(通常对应特定的服务)的通信，则要在图8.3所示对话框中单击【添加端口】按钮，打开如图8.5所示对话框。在这里要输入端口的名称和端口号，本例中分别输入“telnet”和“23”。由于telnet服务所用的23端口为TCP类型的，所以选择“TCP”单选选项。最后单击【确定】按钮即可添加一个允许通信的端口。添加后返回到如图8.3所示的对话框，单击【确定】按钮使所做设置生效。图8.5“添加端口”对话框第4步：在图8.4和图8.5中，都有一个【更改范围】按钮，单击它即打开一个如图8.6所示的对话框。前面我们已经说明，本节所进行的设置将同时作用于当前计算机上的所有网络连接。通过如图8.6所示对话框可以一次把所做的设置应用于网络中的多台计算机，甚至一个子网或者网络。图8.6“更改范围”对话框如果要应用于任何网络计算机(包括来自因特网的计算机，如远程网络连接)，则选择“任何计算机”单选选项，这是默认选择。通过选择这个单选选项，将同时允许本地和远程网络用户访问本机共享资源，这是比较危险的，所以建议不要这样选择。如果要应用于本机所在网络或子网，则选择“仅我的网络(子网)”单选选项，选中后可以仅让局域网内的用户访问你的共享资源，而因特网上的计算机则不能访问，这是比较安全的选择。如果要应用于某些网络中的特定IP地址，或者子网上的计算机，则要选择“自定义列表”单选选项，然后在其下面的文本框中输入IP地址或者子网(多个IP地址或子网之间以逗号分隔)。每次将程序、系统服务或端口添加到例外列表时，都会使计算机容易受到攻击。所以应该仔细评估需要打开许多端口的任何服务器的设计。因此，为了降低安全风险，添加时应遵照以下准则：

(1)仅在需要例外时创建例外。

(2)对于不认识的程序不允许例外。

(3)不再需要例外时删除例外。

3) Windows防火墙的高级设置

Windows防火墙的高级设置主要包括为每个网络连接单独配置例外、设置安全记录日志、ICMP(因特网控制消息协议)消息共享设置，以及恢复默认设置。下面分别予以介绍。

(1)为每个网络连接设置例外。如果要对每个网络连接设置不同的例外服务项，则需要在如图8.2所示的“高级”选项卡中进行设置，具体操作步骤如下：第1步：如图8.7所示，在“高级”选项卡中的“网络连接设置”列表框中选择要单独设置例外的网络连接项，然后单击【设置】按钮。在弹出的“高级设置”窗口中列出了一些常见的例外服务选项(如HTTP、FTP、POP3和SMTP等)，如图8.8所示。

图8.7防火墙“高级”选项卡图8.8防火墙“服务”选项卡如果一台服务器安装了多块网卡，而每块网卡想承担特定的服务，如一块专门用于提供Web服务，另一块专门用来提供FTP服务，还有一块专门用来提供POP3和SMTP邮件服务，那么我们可以分别对这3块网卡所对应的网络连接进行设置。图8.8中列出了常见的服务，如“Web服务器(HTTP)”、“FTP服务器”、“Post-Office协议版本3(POP3)”和“Internet邮件服务器(SMTP)”等。如果不想让远程用户通过服务器中某块网卡进行远程桌面连接，则不需要选中“远程桌面”服务；反之，如果选中了“远程桌面”服务，则表示远程用户可以进行远程桌面连接，这就给计算机带来了远程访问的威胁。第2步：如果要添加其他的例外服务，则单击图8.8中的【添加】按钮，打开如图8.9所示对话框。在其中输入相应的服务信息，如服务器名、服务提供主机、内外部服务端口和端口类型。单击【确定】按钮，即可把所增加的例外服务添加到如图8.8所示的例外列表中。

第3步：点击图8.8中的“ICMP”选项卡，进行有关ICMP的设置，如图8.10所示。在这里可以设置哪类ICMP消息可共享显示。选择对应选项后，会在对话框下面显示相应选项的用途，以方便用户的选择。例如选择“允许传入的回显请求”复选框，则会在发送消息的用户计算机显示同样的信息，如进行Ping操作时的回显消息。此回显请求可以帮助解答疑难问题，但是也有可能被黑客所利用。图8.9“服务设置”对话框图8.10“高级设置”对话框“ICMP”选项卡

(2)设置安全日志记录。在图8.7所示对话框中，单击“安全日志记录”栏对应的【设置】按钮，即可打开日志设置对话框，如图8.11所示。在这里可以设置日志记录选项，可以记录被丢弃的数据包，也可以记录成功的连接，通常情况下都记录被丢弃的数据包。另外，在“名称”栏中可以设置Windows防火墙日志文件的存放路径和文件名，在“大小限制”栏可以设置日志文件的最大值。图8.11“日志设置”对话框

(3) ICMP设置。在图8.7所示对话框中单击“ICMP”栏中的【设置】按钮，打开如图8.10所示的对话框。前面已作详细介绍，这里就不再赘述。

4)通过组策略设置Windows防火墙还可以通过组策略来控制Windows防火墙状态和设置允许的例外，操作步骤如下：第1步：执行“开始”→“运行”菜单命令，在打开的“运行”窗口中输入“gpedit.msc”，然后单击【确定】按钮即可打开如图8.12所示的组策略编辑器管理单元。图8.12组策略编辑器第2步：在左侧导航窗口中依次展开“计算机配置→管理模块→网络→网络连接→Windows防火墙”，见图8.12。在右边的“Windows防火墙”窗格中可以看到两个分枝，一个是域配置文件，另一个是标准配置文件。如果当前计算机是加入到域文件中的，则是域文件起作用，相反，则是标准配置文件起作用。即使没有配置标准配置文件，默认的值也会生效，在此以个人计算机的标准配置文件为例进行介绍，如图8.13所示。图8.13标准配置文件窗口第3步：系统默认的是没有配置任何选项。双击“保护所有网络连接”策略项即可打开配置对话框，如图8.14所示。选择“已启用”单选选项，然后单击【确定】按钮即可启用“保护所有网络连接”策略项。启用这个策略项后，相当于在所有网络连接上启用Windows防火墙保护功能，如果禁用此策略设置，Windows防火墙将不会运行。其他策略项配置对话框的打开方法也是如此。图8.14“保护所有网络连接”配置窗口

4.注意事项

Windows防火墙一般要与其他防火墙软件配合使用。

8.3易尚防火墙的配置实验网新易尚ES750网关防火墙是北京网新易尚科技有限公司生产的一款安全产品，它是面向小型企业和办公的SOHO(SmallOfficeHomeOffice)级防火墙，其外观如图8.17所示。易尚防火墙在性能上能满足小型企业和办公室使用，功能非常强大，可提供以下功能：

(1)应用层服务：如病毒防护和内容过滤。

(2)网络层服务：如防火墙、入侵检测、VPN和流量控制。

1.实验目的掌握网新易尚ES750网关防火墙的配置方法。

2.实验环境基于WindowsXP或Windows2003等的操作系统、网新易尚ES750网关防火墙等。

3.实验内容网新易尚ES750网关防火墙为用户提供两种管理连接界面：命令行界面和Web管理界面。前者要求用户计算机通过串口与防火墙进行连接，后者要求用户计算机与防火墙以常规以太网双绞线连接，或者通过集线器/交换机进行连接。网新易尚ES750网关防火墙的具体配置方法如下：

1)安装防火墙按照要求，正确安放好ES750。准备一台有串行通信端口的计算机，使用ES750附送的九针串口数据线(RS-232序列)，将其与防火墙后部的串行通信端口连接。将防火墙接入用户以太网交换机，或直接用双绞线连接计算机(注意，网线应该接入防火墙后部的Internal接口)。将直流电源连接线与电源端口相连，然后将电源适配器插头插入电源插座。这时ES750开始启动，电源和状态指示灯亮。在启动时，状态指示灯会闪烁，当系统启动完成和运行时，状态灯保持明亮。

2)连接到命令行管理界面初次使用ES750时可能需要先通过命令行方式进行初始配置，之后才能登录Web管理界面。我们首先介绍命令行界面连接的基本步骤。使用终端软件，或者直接打开windows自带的超级终端软件(依次打开开始→所有程序→附件→通信→超级终端)，按照以下步骤连接到防火墙的命令行界面：

第1步：输入连接名，配置通信端口(如COM1)，并点击【确定】按钮。第2步：进行端口设置。●每秒位数：9600●数据位：8●奇偶校验：无●停止位：1●数据控制流：无

第3步：登录命令行界面。上步完成后，出现如下提示：ES750login:。此时，输入有效的管理员用户名，根据提示输入密码(初次连接防火墙使用默认用户名为admin，密码为admin)，按【回车】键，出现如图8.15所示界面，表示用户已经成功登录命令行。图8.15登录命令行界面第4步：进行初始配置。在进行初始配置前，用户应该收集好内、外部网络的相关信息，如内部IP地址范围、子网掩码、默认网关、DNS服务器、DHCP服务器和外部IP地址等。输入：setsysteminterfaceinternalmodestaticip51，如图8.16所示。图8.16使用命令行进行初始配置按【回车】键后内部访问端口设置为51，子网掩码为。根据需要还可以设置默认网关、外部端口以及其他信息，此处不再赘述。第5步：命令使用帮助。用户对命令使用存在疑问，可以在输入命令后加上“?”，其具体用法将在其后显示。在根目录下输入“?”，将显示所有命令及用法，如图8.17所示。

图8.17命令使用帮助信息至此，我们已经完成易尚网关防火墙的初始配置，下面可以通过Web界面对其进行管理维护。事实上，通过命令行方式可以对该防火墙进行细致、全面的管理，有兴趣的读者可以尝试使用相关命令。

3)连接到Web管理界面连接到ES750网关防火墙的Web管理界面需要使用InternetExplorer4.0或以上版本。在浏览器地址栏输入“51”，网关防火墙的登录界面会随之出现，对于IE6.0及以上版本，将出现关于安全证书的相关信息(IE7和IE8显示有所不同)，用户可点击【是】按钮继续操作，如图8.18所示。图8.18安全证书提示网关防火墙的登录界面随之出现，填入用户名和密码并提交，用户随即登录Web管理界面，如图8.19所示。图8.19Web管理器登录界面登录网关防火墙Web管理界面后，可以看到页面左侧列出了若干管理选项，包括系统管理、防火墙、用户、VPN、网络入侵检测、病毒检查、Web过滤器、电子邮件过滤、日志与审计等。

4)使用快速安装指南通过Web管理器，用户可以使用安装指南来做初始化的防火墙设置。第1步：启动防火墙安装指南。在Web管理器最上方的右侧选择“快速安装指南”按钮，会弹出“易尚快速安装指南”界面，设置相应的管理员密码，单击【下一步】按钮，如图8.20所示。第2步：设置内部网络接口。根据内网地址分配内部网络接口，如图8.21所示。

图8.20管理员密码设置图8.21设置内部端口

第3步：设置外部网络接口。此处应根据用户网络接入Internet的方式选择正确的设置，如果是PPPoE拨号方式，则向ISP索取正确的用户名和密码，如图8.22所示。输入外部端口的有关信息，如图8.23所示。第4步：设置DHCP服务器。ES750网关防火墙包含了一个DHCP服务器，可以为内部网络中的计算机动态分配IP地址，用户可根据需要进行配置，如图8.24所示。第5步：设置内部服务器。在用户的内部网络中，如果存在Web、邮件、FTP等服务器，可在此进行设置，完成后单击【下一步】按钮，如图8.25所示。图8.22设置外部接口模式图8.23输入外部接口有关信息图8.24DHCP服务设置图8.25内部服务器设置第6步：确认设置。检查无误后单击【完成】按钮提交，如图8.26所示。至此，快速安装指南已经设置完毕。图8.26检查并确认快速安装设置至此，用户已经完成了初始化设置，可以将防火墙连接到内部网络和外部网络之间运行了。易尚ES750网关防火墙有两个10/100BaseTX网络接口，一个是Internal接口，用来连接内部网络，另一个是External接口，用来连接公共交换机、路由器和Internet。如果ES750是DHCP服务器，则可将内部网络上所有的计算机设置为自动获取IP地址，使用ES750的内部接口地址作为DHCP服务器的IP地址。一旦连接上ES750，确保能通过内部网络中的一台计算机连接到因特网，这样就确保其他计算机能够连接入因特网了。在这里，我们只简要地介绍了ES750的配置，详情请自行参考《易尚ES750网关防火墙用户使用手册》。

8.4红墙防火墙的配置实验防火墙技术由来已久，但传统企业级硬件网络防火墙都面向企业，管理不方便，适用性不高；而个人网络信息安全问题虽然开始日益受到人们的重视，却被软件开发厂商冷落。从目前流行的几种主机网络防火墙可以看出，它们都借鉴于传统企业级硬件网络防火墙构架，过多的依赖于网络拓扑结构，不仅不便于管理、不适用，功能也不够强大。如何才能更好更方便地保护个人信息安全呢？重庆爱思网安信息技术有限公司基于此开发了一款功能强大而开放的主机网络防火墙——爱思红墙主机网络防火墙。

1.实验目的掌握爱思红墙主机网络防火墙的配置方法。

2.实验原理爱思红墙主机网络防火墙企业版采用C/S模式，系统本身由两部分组成：

(1)客户端：又叫监控端，在计算机上实施具体的过滤。

(2)服务端：又叫管理端，集中管理所有客户端，如更新客户端规则库、更新客户端应用程序、查看客户端日志、管理客户端计算机(如重新启动)等。服务端自己和SmartUpdateServer(爱思智能升级服务器)协商进行升级。红墙是新一代主机网络防火墙，它很好地解决了常见边界网防火墙“防外不防内”的固有弱点，提高了内部网络安全性，增强了网络末端系统主机的网络安全防范能力，使网络安全策略更精确、更灵活。

3.实验环境基于WindowsXP或Windows2003等的操作系统、爱思红墙主机网络防火墙。

4.实验内容红墙防火墙的功能主要包括：系统流量测量、系统控制、系统设置、规则管理、网络监控、安全等级设置、红墙应用程序扫描、红墙日志管理系统等。接下来对主要功能模块的配置进行介绍。

1)系统设置系统设置包括安全设置、日志设置及规则设置等。对于常见的网络攻击，爱思红墙主机网络防火墙都提供了解决方案，如防止IGMP攻击、防止ICMP攻击和防止IP碎片攻击等。具体解决方案如下：

(1)防止IGMP攻击。直接阻塞外来的IGMP数据包；

(2)防止ICMP攻击。直接阻塞外来的ICMP数据包；

(3)防止IP碎片攻击。直接丢弃非法的IP碎片数据包。系统设置界面如图8.27所示。图8.27系统设置

2)规则管理通过数据包过滤及网络过滤，选出可信赖的应用程序，如图8.28所示。图8.28规则管理数据包过滤是红墙中应用的一项重要功能，它对IP数据包的报头进行检查以确定数据包的源地址、目的地址和数据包利用的网络传输服务。传统的数据包过滤器是静态的，仅依照数据包报头的内容和规则组合来允许或拒绝数据包的通过。侵入检测系统利用数据包过滤技术和通过将数据包与预先定义的特征进行匹配的方法来分析各种数据包，然后对可能的网络黑客和入侵者予以警告。网络连接过滤规则，系统每运行一个应用程序，就提醒用户手动添加是否为可信赖程序，如图8.29所示。图8.29包过滤规则通过包过滤规则、网络连接过滤规则及黑客程序过滤规则，可把选出的应用程序添加到可信赖应用程序，如图8.30所示。