第 7 章 防火墙

1. 7.1 7.2 7.3 7.4 7.5 防火墙概述 防火墙的分类 防火墙的应用 ISA Server防火墙 Cisco Pix防火墙 第7章 防火墙

2. 本章学习要点 • 掌握防火墙的功能和分类 • 掌握防火墙的体系结构 • 了解防火墙的主要应用 • 掌握ISA软件防火墙的使用和策略配置

3. 7.1 防火墙概述 • 7.1.1 防火墙的基本概念 • 古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到其他寓所。自然，这种墙因此而得名“防火墙”。

4. 现在，如果一个网络接到了Internet上，它的用户就可以访问外部世界并与之通信。现在，如果一个网络接到了Internet上，它的用户就可以访问外部世界并与之通信。 • 但同时，外部世界也同样可以访问该网络并与之交互。 • 为安全起见，可以在该网络和Internet之间插入一个中介系统，竖起一道安全屏障。

5. 这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵，提供扼守本网络的安全和审计的唯一关卡。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵，提供扼守本网络的安全和审计的唯一关卡。 • 这种中介系统也叫做“防火墙”或“防火墙系统”。

6. 图7.1 防火墙应用示意图

7. 7.1.2 防火墙的功能 • ① 网络安全的屏障 • ② 强化网络安全策略 • ③ 对网络存取和访问进行监控和审计 • ④ 防止内部信息的外涉： • ⑤ 实现VPN的连接

8. 7.1.3 防火墙的规则 • 防火墙的安全规则由匹配条件和处理方式两部分组成。 • 其中匹配条件如表7.1所示，处理方式采取表7.2所示的选项。 • 在此基础上，所有防火墙产品都会采取以下两种基本策略。

9. 【一切未被允许的就是禁止的】又称为 • “默认拒绝”，防火墙封锁所有信息流，然 • 后对希望提供的服务逐项开放，即采取Accept处理方式。 • 采取该策略的防火墙具备很高的安全性，但是也限制了用户所能使用的服务种类，缺乏使用灵活性。

10. 【一切未被禁止的就是允许的】又称为“默认允许”，防火墙应转发所有的信息流，然后逐项屏蔽可能有威胁的服务，即采取Reject或Drop处理方式。【一切未被禁止的就是允许的】又称为“默认允许”，防火墙应转发所有的信息流，然后逐项屏蔽可能有威胁的服务，即采取Reject或Drop处理方式。 • 采取该策略的防火墙使用较为方便，规则配置灵活，但缺乏安全性。

11. 表7.1 防火墙匹配条件列表

12. 表7.2 防火墙处理方式列表

13. 7.2 防火墙的分类 • 7.2.1 按实现方式分类 • 1．硬件防火墙 • 2．软件防火墙

14. 7.2.2 按使用技术分类 • 1．静态包过滤 • 2．状态检测包过滤

15. 7.2.3 防火墙的选择 • （1）要考虑网络结构 • （2）要考虑业务应用系统需求 • （3）要考虑用户及通信流量规模方面的需求

16. 7.3 防火墙的应用 • 7.3.1 防火墙在网络中的应用模式 • 1．双宿/多宿主机模式 图7.2 双宿/多宿主机模式示意图

17. 2．屏蔽主机模式 图7.3 屏蔽主机模式示意图

18. 3．屏蔽子网模式 图7.4 屏蔽子网模式示意图

19. 7.3.2 防火墙的工作模式 • 1．路由工作模式 图7.5 防火墙路由模式工作示意图

20. 2．透明工作模式 图7.6 防火墙透明模式工作示意图

21. 3．NAT工作模式 图7.7 防火墙NAT模式工作示意图

22. 7.3.3 防火墙的配置规则 • 简单实用 • 全面深入 • 内外兼顾

23. 图7.8 防火墙设置步骤视图

24. 除此以外，在防火墙的设置过程中还应注意以下几点。除此以外，在防火墙的设置过程中还应注意以下几点。 • 建立规则文件。防火墙的配置文件可对允许进出的流量作出规定，因此规则文件非常重要，一般网络的重大错误往往是防火墙配置的错误。

25. 注重网络地址转换。当防火墙采取NAT模式时，对于内网用户的地址转换和DMZ区域内的服务器的地址转换要非常注意。注重网络地址转换。当防火墙采取NAT模式时，对于内网用户的地址转换和DMZ区域内的服务器的地址转换要非常注意。

26. 路由的合理设置。防火墙一般提供静态路由，静态路由表是由网络管理员在启动网络路由功能之前预先建立起的一个路由映射表。在设置路由时，不但要防止来自外部的攻击，还要防止来自内部人员进行非法活动，一般采用IP + MAC + PORT绑定的方式，可防止内部主机盗用其他主机的IP进行未授权的活动。

27. 合理的规则次序。同样的规则，以不同的次序放置，可能会完全改变防火墙的运转情况。一些防火墙具有自动给规则排序的特性，很多防火墙以顺序方式检查信息包。合理的规则次序。同样的规则，以不同的次序放置，可能会完全改变防火墙的运转情况。一些防火墙具有自动给规则排序的特性，很多防火墙以顺序方式检查信息包。

28. 注意管理文件的更新。恰当地组织好规则之后，写上注释并经常更新它们，可以帮助管理员了解某条规则的用途，从而减少错误配置的产生。注意管理文件的更新。恰当地组织好规则之后，写上注释并经常更新它们，可以帮助管理员了解某条规则的用途，从而减少错误配置的产生。

29. 加强审计。不仅要对防火墙的操作进行审计，还要对审计内容本身进行审计，同时审计中要有明确的权限，充分保证审计内容的完整性。加强审计。不仅要对防火墙的操作进行审计，还要对审计内容本身进行审计，同时审计中要有明确的权限，充分保证审计内容的完整性。

30. 7.4 ISA Server防火墙 图7.9 ISA与传统防火墙防护体系视图

31. 图7.10 ISA缓存功能结构

32. 图7.11 ISA管理界面

33. 图7.12 ISA入侵检测和报警

34. 图7.13 ISA 策略单元应用

35. 7.5 Cisco Pix防火墙 • 7.5.1 PIX防火墙的功能特点 • PIX防火墙具有如下的技术特点和优势。 • 非通用、安全、实时和嵌入式系统。典型的代理服务器要对每个数据包进行很多处理，消耗大量的CPU资源，而PIX防火墙使用安全、实时的嵌入式系统，增强了网络的安全性。

36. 自适应性安全算法（ASA）。该算法对经过PIX防火墙的连接，采用了基于状态的控制。自适应性安全算法（ASA）。该算法对经过PIX防火墙的连接，采用了基于状态的控制。

37. 直通型代理。这种类型的代理对输入、输出连接都采用基于用户的认证方式，比代理服务器具有更好的性能。直通型代理。这种类型的代理对输入、输出连接都采用基于用户的认证方式，比代理服务器具有更好的性能。

38. 基于状态的包过滤。这种方式是把有关数据包的大量信息放入表中，进行分析的一种安全措施。要建立一个会话，该连接的相关信息必须与表中的信息匹配。基于状态的包过滤。这种方式是把有关数据包的大量信息放入表中，进行分析的一种安全措施。要建立一个会话，该连接的相关信息必须与表中的信息匹配。

39. 高可靠性。两个Cisco防火墙可以配置成全冗余方式，提供基于状态的故障倒换能力。高可靠性。两个Cisco防火墙可以配置成全冗余方式，提供基于状态的故障倒换能力。

40. 7.5.2 PIX防火墙的算法与策略 图7.14 PIX安全级别拓扑视图

41. 表7.4 ASA安全级别关系

42. 7.5.3 PIX防火墙系列产品介绍 表7.5 PIX防火墙产品规格和特性

43. 7.5.4 PIX防火墙的基本使用 • 1．PIX防火墙入门 表7.6 PIX防火墙访问模式简介

44. 2．PIX防火墙的基本配置命令 表7.7 PIX防火墙基本命令使用

45. 续表

46. 3．PIX防火墙的配置 表7.8 PIX防火墙6个配置命令使用

47. 图7.16 某校园网拓扑

48. 4．PIX防火墙的口令恢复 图7.17 防火墙口令清除设备连接图

49. 7.5.5PIX防火墙的高级配置 • 1．PIX防火墙的地址转换 • PIX防火墙支持以下两种类型的地址转换。 • （1）动态地址翻译 • 把在较安全接口上的主机地址转换成不太安全接口上的一段IP地址或一个地址池。

50. 这个过程允许内部用户去共享已经注册的IP地址，并且从公共Internet的角度来看，隐藏了内部地址。这个过程允许内部用户去共享已经注册的IP地址，并且从公共Internet的角度来看，隐藏了内部地址。 • 其中动态地址翻译又分为两类。