“溢出”一直以来都是很多黑帽子黑客最常用(或者说是最喜欢用)的手段之一，随安全文化的逐步普及，大量的公开shellcode(“溢出”代码)与溢出攻击原理都可以随意在各大的网络安全网站中找得到，由此衍生了一系列的安全隐患...小黑黑使用它们来进行非法的攻击、恶意程序员使用它们来制造蠕虫等等...而网络防火墙作为人们最喜欢的网络安全“设施”之一，它又能如何“拦截”这一类型的攻击呢？
　　
　　目前大多的防火墙系统都是针对包过滤规则进行安全防御的，这类型的防火墙再高也只能工作在传输层，而溢出程序的shellcode是放在应用层的，因此对这类攻击就无能为力了。打个比方:前段时间比较火热的IIS WEBDAV溢出漏洞，若黑客攻击成功能直接得到ROOTSHELL(命令行管理员控制台)，它是在正常提供HTTP服务的情况下产生的溢出漏洞，若在不打补丁与手工处理的情况下一台防火墙又能做到什么呢？相信你除了把访问该服务器TCP80端口(提供正常地HTTP服务的情况下)的包过滤掉以外就什么都不会去做了，当然，这样也会使你的HTTP服务无法正常地开放(等于没有提供服务...)。下面就以这个漏洞为“论点&题材”，说说自己的解决方案。
　　
　　1)对希望保护的主机实行“单独开放端口”访问控制策略
　　
　　所谓“单独开放端口”就是指只开放需要提供的端口，对于不需要提供服务的端口实行过滤策略。打个比方，现在我们需要保护一台存在WebDAV缺陷的WEB服务器，如何能令它不被骇客入侵呢？答案是：在这台WEB服务器的前端防火墙中加入一个“只允许其他机器访问此机的TCP80端口”的包过滤规则(至于阁下的防火墙能否实现这样的规则就另当别论了)。加上这个规则又会有怎样的效果呢？经常做入侵渗透测试的朋友应该比我还清楚远程溢出的攻击实施流程了吧？
　　
　　①使用缺陷扫描器找到存在远程溢出漏洞的主机-》②确认其版本号(如果有需要的话)-》③使用exploit(攻击程序)发送shellcode-》④确认远程溢出成功后使用NC或TELNET等程序连接被溢出主机的端口-》⑤得到SHELL
　　
　　使用“单独开放端口”策略的解决方案对整个远程溢出过程所发生的前三步都是无能为力的，但来到第四步这个策略能有效地阻止骇客连上有缺陷主机的被溢出端口，从而切断了骇客的恶意攻击手段。
　　
　　优点：操作简单，一般的网络/系统管理员就能完成相关的操作。
　　
　　缺点：对溢出后使用端口复用进行控制的EXPLOITS就无能为力了；对现实中的溢出后得到反向连接控制的EPLOITS也是无能为力；不能阻止D.o.S方面的溢出攻击。
　　
　　2)使用应用层防火墙系统
　　
　　这里所谓的应用层并不是想特别指明该防火墙工作在应用层，而是想指明它能在应用层对数据进行处理。由于应用层的协议/服务种类比较多，因此针对应用层形式的防火墙就有一定的市场局限性了。就楼上所提到的案例而言我们可以使用处理HTTP协议的应用层防火墙对存在WebDAV缺陷的服务器订制保护规则，保证服务器不收此类攻击的影响。应用层中的HTTP协议防火墙系统不多，其中比较出名的有EEYE公司的SecureIIS，其使用方式就可谓是“弱智型”了，说说它的基本防御原理与特点吧。当服务端接受到一个发送至TCP80端口的数据包时首先就会将该包转移至SecureIIS，SecureIIS就会对该包进行分析并解码该包的应用层数据，将得到的数据与你本身定制的规则进行数据配对，一旦发现条件相符饿数值就会执行规则所指定的相应操作。
　　
　　优点：能有效地切断一些来自应用层的攻击(如溢出、SQL注入等)。
　　
　　缺点：因为需要安装在服务器上，所以会占用一定的系统资源；(eeye公司本身并无开发该软件的中文版本，所以一旦它受到POST行为发出的中文数据时就会自动认为是高位攻击代码，自动将其隔离，并进行相关的处理操作)。
　　
　　 3)使用IDS功能的防火墙系统
　　
　　现在国内自主开发的防火墙系统可谓是进入“白热化”了，什么百兆、千兆、2U、4U...性能参数的比较本已经日趋激烈了，再开始有不少厂商将技术重点转移在了“多功能”的方面上，在防火墙中继承IDS模块已经不是什么新鲜事了，使用这类产品可以达到监控应用层数据的效果。
　　
　　优点：便于管理。
　　
　　缺点：费用支出增大；长期需要人力资源对其进行管理与设施维护；防火墙上的IDS模块功能有限。
　　
　　综合以上三种解决方案，希望有一种能为阁下提供反思的空间，也希望各位能为提出相应的建议与意见，谢谢各位，需要与我联系请EMAIL至demonalex[at]demonalex.net。

上一个网络应用： 思科PIX ASDM的安装与故障排除

下一个网络应用： 服务器安全之IPSEC：易忽视的防火墙

 

我们知道防火墙有四种类型：集成防火墙功能的路由器，集成防火墙功能的代理服务器，专用的软件防火墙和专用的软硬件结合的防火墙。Cisco的防火墙解决方案中包含了四种类型中的第一种和第四种，即：集成防火墙功能的路由器和专用的软硬件结合的防火墙。

　　一、 集成在路由器中的防火墙技术

　　1、 路由器IOS标准设备中的ACL技术
　　ACL即Access Control Lis t（访问控制列表），简称Access List（访问列表），它是后续所述的IOS Firewall Feature Set的基础，也是Cisco全线路由器统一界面的操作系统IOS（Internet Operation System，网间操作系统）标准配置的一部分。这就是说在购买了路由器后，ACL功能已经具备，不需要额外花钱去买。

　　2、 IOS Firewall Feature Set（IOS防火墙软件包）
　　IOS Firewall Feature Set是在ACL的基础上对安全控制的进一步提升，由名称可知，它是一套专门针对防火墙功能的附加软件包，可通过IOS升级获得，并且可以加载到多个Cisco路由器平台上。
　　目前防火墙软件包适用的路由器平台包括Cisco 1600、1700、2500、2600和3600，均属中、低端系列。对很多倾向与使用"all-in-one solution"（一体化解决方案），力求简单化管理的中小企业用户来说，它能很大程度上满足需求。之所以不在高端设备上实施集成防火墙功能，这是为了避免影响大型网络的主干路由器的核心工作--数据转发。在这样的网络中，应当使用专用的防火墙设备。
　　Cisco IOS防火墙特征：
　　l 基于上下文的访问控制（CBAC）为先进应用程序提供基于应用程序的安全筛选并支持最新协议
　　l Java能防止下载动机不纯的小应用程序
　　l 在现有功能基础上又添加了拒绝服务探测和预防功能，从而增加了保护
　　l 在探测到可疑行为后可向中央管理控制台实时发送警报和系统记录错误信息
　　l TCP/UDP事务处理记录按源/目的地址和端口对跟踪用户访问
　　l 配置和管理特性与现有管理应用程序密切配合

　　订购信息
　　Cisco 1600系列Cisco IOS防火墙特性
　　IP/Firewall CD16-BW/EW/CH-11.3=
　　IP/Firewall CD16-BY/EY/CH-11.3=
　　IP/IPX/Firewall Plus CD16-C/BHP-11.3=
　　Cisco 2500系列Cisco IOS防火墙特性
　　IP/Firewall CD25CH-11.2=
　　IP/IPX/AT/DEC/Firewall Plus CD25-BHP-11.2=
二、 专用防火墙--PIX

　　PIX（Private Internet eXchange）属于四类防火墙中的第四种--软硬件结合的防火墙，它的设计是为了满足高级别的安全需求，以较好的性能价格比提供严密的、强有力的安全防范。除了具备第四类防火墙的共同特性，并囊括了IOS Firewall Feature Set的应有功能。
　　PIX成为Cisco在网络安全领域的旗舰产品已有一段历史了，它的软硬件结构也经历了较大的发展。现在的PIX有515和520两种型号（520系列容量大于515系列），从原来的仅支持两个10M以太网接口，到10/100M以太网、令牌环网和FDDI的多介质、多端口（最多4个）应用；其专用操作系统从v5.0开始提供对IPSec这一标准隧道技术的支持，使PIX能与更多的其它设备一起共同构筑起基于标准VPN连接。
　　Cisco的PIX Firewall能同时支持16，000多路TCP对话，并支持数万用户而不影响用户性能，在额定载荷下，PIX Firewall的运行速度为45Mbps，支持T3速度，这种速度比基于UNIX的防火墙快十倍。

　　主要特性：
　　l 保护方案基于适应性安全算法（ASA），能提供任何其它防火墙都不能提供的最高安全保护
　　l 将获专利的"切入代理"特性能提供传统代理服务器无法匹敌的高性能
　　l 安装简单，维护方便，因而降低了购置成本
　　l 支持64路同时连接，企业发展后可扩充到16000路
　　l 透明支持所有通用TCP/IP Internet服务，如万维网（WWW）文件传输协议（FTP）、Telnet、Archie、Gopher和rlogin
　　l 支持多媒体数据类型，包括Progressive网络公司的Real Audio，Xing技术公司的Steamworks，White Pines公司腃USeeMe，Vocal Te公司的Internet Phone，VDOnet公司的VDOLive，Microsoft公司的NetShow和Uxtreme公司的Web Theater 2
　　l 支持H323兼容的视频会议应用，包括Intel的Internet Video Phone和Microsoft的NetMeeting
　　l 无需因安装而停止运行
　　l 无需升级主机或路由器
　　l 完全可以从未注册的内部主机访问外部Internet
　　l 能与基于Cisco IOS的路由器互操作

　　订购信息
　　带2个10/100BaseT NIC的64路PIX PIX-64-A-CH
　　带2个10/100BaseT NIC的1024路PIX PIX1K-A-CH
　　带2个10/100BaseT NIC的16K路（不限）PIX PIXUR-A-CH
　　带2个10/100BaseT NIC的64路200MHZ PIX PIX64-B-CH
　　带2个10/100BaseT NIC的1024路200MHZ PIX PIX1K-B-CH
　　带2个10/100BaseT NIC的16K路200MHZ PIX PIXUR-B-CH
　　10/100M bps以太网接口，RJ45 PIX-1FE=
　　4/16Mbps令牌环网接口 PIX-1TR=
　　PIX软件版本升级 SWPIX-VER=
三、 两种防火墙技术的比较

　　IOS FIREWALL FEATURE SET PIX FIREWALL
　　网络规模 中小型网络，小于250节点的应用。 大型网络，可支持多于500用户的应用
　　工作平台 路由器IOS操作系统 专用PIX工作平台
　　性能 最高支持T1/E1（2M）线路 可支持多条T3/E3（45M）线路
　　工作原理 基于数据包过滤，核心控制为CBAC 基于数据包过滤，核心控制为ASA
　　配置方式 命令行或图形方式（通过ConfigMaker） 命令行方式或图形方式（通过Firewall Manager）
　　应用的过滤 支持Java小程序过滤 支持Java小程序过滤
　　身份认证 通过IOS命令，支持TACACS+、RADIUS服务器认证。 支持TACACS+、RADIUS集中认证
　　虚拟专网（VPN） 通过IOS软件升级可支持IPSec、L2F和GRE隧道技术，支持40或56位DES加密。 支持Private Link或IPSec隧道和加密技术
　　网络地址翻译（NAT） 集成IOS Plus实现 支持
　　冗余特性 通过路由器的冗余协议HSRP实现 支持热冗余
　　自身安全 支持Denial-of-Service 支持Denial-of-Service
　　代理服务 无，通过路由器的路由功能实现应用 切入的代理服务功能
　　管理 通过路由器的管理工具，如Cisco Works 通过Firewall Manager实现管理
　　审计功能 一定的跟踪和报警功能 状态化数据过滤，可通过Firewall Manager实现较好的额监控、报告功能

　　四、 Centri防火墙

　　主要特性：
　　l 核心代理体系结构
　　l 针对Windows NT定制TCP/IP栈
　　l 图形用户结构可制订安全政策
　　l 可将安全政策拖放到网络、网络组、用户和用户组
　　l ActiveX、Java小应用程序、Java和Vb模块
　　l 通用资源定位器（URL）模块
　　l 端口地址转换
　　l 网络地址转换
　　l 透明支持所有通用TCP/IP应用程序，包括WWW、文件传输协议（FTP）Telnet和邮件
　　l 为Web、Telnet和FTP提供代理安全服务
　　l 根据IP地址、IP子网和IP子网组进行认证
　　l 使用sl口令和可重复使用口令Telnet、Web和ftp提供联机用户认证
　　l 使用Windows NT对所有网络服务进行带外认证
　　l 防止拒绝服务型攻击，包括SYN Flood、IP地址哄骗和Ping-of-Death

　　订购信息
　　Cisco Centri产品
　　Centri Firewall v4.0 for Windows NT,50个用户 Centri-50
　　Centri Firewall v4.0 for Windows NT,100个用户 Centri-100
　　Centri Firewall v4.0 for Windows NT,250个用户 Centri-250
　　Centri Firewall v4.0 for Windows NT,用户不限 Centri-UNR
　　Centri Firewall v4.0 for Windows NT,从100个用户升级到250个 Centri-UDP-100-250
　　Centri Firewall v4.0 for Windows NT,从250个用户升级到无穷多 Centri-250-UNR

[NextPage]

五、Cisco PIX防火墙的安装流程

　　1. 将PIX安放至机架，经检测电源系统后接上电源，并加电主机。
　　2. 将CONSOLE口连接到PC的串口上，运行HyperTerminal程序从CONSOLE口进入PIX系统；此时系统提示pixfirewall>。
　　3. 输入命令：enable,进入特权模式，此时系统提示为pixfirewall#。
　　4. 输入命令： configure terminal,对系统进行初始化设置。
　　5. 配置以太口参数:
　　interface ethernet0 auto （auto选项表明系统自适应网卡类型 ）interface ethernet1 auto
　　6. 配置内外网卡的IP地址：
　　ip address inside ip_address netmask
　　ip address outside ip_address netmask
　　7. 指定外部地址范围：
　　global 1 ip_address-ip_address
　　8. 指定要进行要转换的内部地址：
　　nat 1 ip_address netmask
　　9. 设置指向内部网和外部网的缺省路由
　　route inside 0 0 inside_default_router_ip_address
　　route outside 0 0 outside_default_router_ip_address
　　10. 配置静态IP地址对映:
　　static outside ip_address inside ip_address
　　11. 设置某些控制选项：
　　conduit global_ip port<-port> protocol foreign_ip global_ip 指的是要控制的地址
　　port 指的是所作用的端口，其中0代表所有端口
　　protocol 指的是连接协议，比如：TCP、UDP等
　　foreign_ip 表示可访问global_ip的外部ip，其中表示所有的ip。
　　12. 设置telnet选项：
　　telnet local_ip
　　local_ip 表示被允许通过telnet访问到pix的ip地址（如果不设此项， PIX的配置只能由consle方式进行）。
　　13. 将配置保存：
　　wr mem
　　14. 几个常用的网络测试命令：
　　#ping
　　#show interface 查看端口状态
　　#show static 查看静态地址映射

六、PIX与路由器的结合配置

　　（一）、PIX防火墙
　　1、设置PIX防火墙的外部地址：
　　ip address outside 131.1.23.2
　　2、设置PIX防火墙的内部地址：
　　ip address inside 10.10.254.1
　　3、设置一个内部计算机与Internet上计算机进行通信时所需的全局地址池：
　　global1 131.1.23.10-131.1.23.254
　　4、允许网络地址为10.0.0.0的网段地址被PIX翻译成外部地址：
　　nat 110.0.0.0
　　5、网管工作站固定使用的外部地址为131.1.23.11：
　　static 131.1.23.11 10.14.8.50
　　6、允许从RTRA发送到到网管工作站的系统日志包通过PIX防火墙：
　　conduit 131.1.23.11514 udp 131.1.23.1 255.255.255.255
　　7、允许从外部发起的对邮件服务器的连接（131.1.23.10）：
　　mailhost 131.1.23.10 10.10.254.3
　　8、允许网络管理员通过远程登录管理IPX防火墙：
　　telnet 10.14.8.50
　　9、在位于网管工作站上的日志服务器上记录所有事件日志：
　　syslog facility 20.7
　　syslog host 10.14.8.50

　　（二）、路由器RTRA
　　RTRA是外部防护路由器，它必须保护PIX防火墙免受直接攻击，保护FTP/HTTP服务器，同时作为一个警报系统，如果有人攻入此路由器，管理可以立即被通知。
　　1、阻止一些对路由器本身的攻击：www.net130.com


　　no service tcps mall-servers
　　2、强制路由器向系统日志服务器发送在此路由器发生的每一个事件，包括被存取斜砭芫陌吐酚善髋渲玫母谋洌徽飧龆骺梢宰魑韵低彻芾碓钡脑缙谠ぞな居腥嗽谑酝脊セ髀酚善鳎蛘咭丫ト肼酚善鳎谑酝脊セ鞣阑鹎剑?BR>logging trapde bugging
　　3、此地址是网管工作站的外部地址，路由器将记录所有事件到此主机上：
　　logging 131.1.23.11
　　4、保护PIX防火墙和HTTP/FTP服务器以及防卫欺骗攻击（见存取列表）：
　　enable secret xxxxxxxxxxx

　　interface Ethernet 0
　　ipaddress 131.1.23.1 255.255.255.0

　　interfaceSerial 0
　　ip unnumbered ethernet 0
　　ip access-group 110 in
　　5、禁止任何显示为来源于路由器RTRA和PIX防火墙之间的信息包，这可以防止欺骗攻击：
　　access-list 110 deny ip 131.1.23.0 0.0.0.255 anylog
6、防止对PIX防火墙外部接口的直接攻击并记录到系统日志服务器任何企图连接PIX防火墙外部接口的事件：
　　access-list 110 deny ip any host 131.1.23.2 log

　　7、允许已经建立的TCP会话的信息包通过：
　　access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established
　　8、允许和FTP/HTTP服务器的FTP连接：
　　access-list 110 permit tcp any host 131.1.23.3 eq ftp
　　9、允许和FTP/HTTP服务器的FTP数据连接：
　　access-list 110 permit tcp any host 131.1.23.2 eq ftp-data
　　10、允许和FTP/HTTP服务器的HTTP连接：
　　access-list 110 permit tcp any host 131.1.23.2 eq www
　　11、禁止和FTP/HTTP服务器的别的连接并记录到系统日志服务器任何企图连接FTP/HTTP的事件：
　　access-list 110 deny ip any host 131.1.23.2 log
　　12、允许其他预定在PIX防火墙和路由器RTRA之间的流量：
　　access-list 110 permit ip any 131.1.23.0 0.0.0.255
　　13、限制可以远程登录到此路由器的IP地址：
　　line vty 0 4
　　login
　　password xxxxxxxxxx
　　access-class 10 in
　　14、只允许网管工作站远程登录到此路由器，当你想从Internet管理此路由器时，应对此存取控制列表进行修改：
　　access-list 10 permit ip 131.1.23.11

　　（三）、路由器RTRB
　　RTRB是内部网防护路由器，它是你的防火墙的最后一道防线，是进入内部网的入口。
　　1、记录此路由器上的所有活动到网管工作站上的日志服务器，包括配置的修改：www.net130.com

　　logging trap debugging
　　logging 10.14.8.50
　　2、允许通向网管工作站的系统日志信息：
　　interface Ethernet 0
　　ip address 10.10.254.2 255.255.255.0
　　no ip proxy-arp
　　ip access-group 110 in

　　access-list 110 permit udp host 10.10.254.0 0.0.0.255
　　3、禁止所有别的从PIX防火墙发来的信息包：
　　access-list 110 deny ip any host 10.10.254.2 log
　　4、允许邮件主机和内部邮件服务器的SMTP邮件连接：
　　access-list permit tcp host 10.10.254.31 0.0.0.0 0.255.255.255 eq smtp
　　5、禁止别的来源与邮件服务器的流量：
　　access-list deny ip host 10.10.254.31 0.0.0.0 0.255.255.255
　　6、防止内部网络的信任地址欺骗：
　　access-list deny ip any 10.10.254.0 0.0.0.255
　　7、允许所有别的来源于PIX防火墙和路由器RTRB之间的流量：
　　access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255
　　8、限制可以远程登录到此路由器上的IP地址：
　　line vty 0 4
　　login
　　password xxxxxxxxxx
　　access-class 10 in
　　9、只允许网管工作站远程登录到此路由器，当你想从Internet管理此路由器时，应对此存取控制列表进行修改：
　　access-list 10 permit ip 10.14.8.50
　　按以上设置配置好PIX防火墙和路由器后，PIX防火墙外部的攻击者将无法在外部连接上找到可以连接的开放端口，也不可能判断出内部任何一台主机的IP地址，即使告诉了内部主机的IP地址，要想直接对它们进行Ping和连接也是不可能的。这样就可以对整个内部网进行有效的保护。

上一个网络应用： 如何鉴别硬件防火墙性能的差异

下一个网络应用： UTM统一威胁管理设备存在的问题

 

有一些问题常令用户困惑:在产品的功能上，各个厂商的描述十分雷同，一些“后起之秀”与知名品牌极其相似。面对这种情况，该如何鉴别?描述得十分类似的产品，即使是同一个功能，在具体实现上、在可用性和易用性上，个体差异也十分明显。

一、网络层的访问控制

所有防火墙都必须具备此项功能，否则就不能称其为防火墙。当然，大多数的路由器也可以通过自身的ACL来实现此功能。

1.规则编辑

对网络层的访问控制主要表现在防火墙的规则编辑上，我们一定要考察:对网络层的访问控制是否可以通过规则表现出来?访问控制的粒度是否足够细?同样一条规则，是否提供了不同时间段的控制手段?规则配置是否提供了友善的界面?是否可以很容易地体现网管的安全意志?

2.IP/MAC地址绑定

同样是IP/MAC地址绑定功能，有一些细节必须考察，如防火墙能否实现IP地址和MAC地址的自动搜集?对违反了IP/MAC地址绑定规则的访问是否提供相应的报警机制?因为这些功能非常实用，如果防火墙不能提供IP地址和MAC地址的自动搜集，网管可能被迫采取其他的手段获得所管辖用户的IP与MAC地址，这将是一件非常乏味的工作。

3、NAT(网络地址转换)

这一原本路由器具备的功能已逐渐演变成防火墙的标准功能之一。但对此一项功能，各厂家实现的差异非常大，许多厂家实现NAT功能存在很大的问题:难于配置和使用，这将会给网管员带来巨大的麻烦。我们必须学习NAT的工作原理，提高自身的网络知识水平，通过分析比较，找到一种在NAT配置和使用上简单处理的防火墙。

二、应用层的访问控制

这一功能是各个防火墙厂商的实力比拼点，也是最出彩的地方。因为很多基于免费操作系统实现的防火墙虽然可以具备状态监测模块(因为Linux、FreeBSD等的内核模块已经支持状态监测)，但是对应用层的控制却无法实现“拿来主义”，需要实实在在的编程。

对应用层的控制上，在选择防火墙时可以考察以下几点。

1.是否提供HTTP协议的内容过滤?

目前企业网络环境中，最主要的两种应用是WWW访问和收发电子邮件。能否对WWW访问进行细粒度的控制反映了一个防火墙的技术实力。

2.是否提供SMTP协议的内容过滤?

对电子邮件的攻击越来越多:邮件炸弹、邮件病毒、泄漏机密信息等等，能否提供基于SMTP协议的内容过滤以及过滤的粒度粗细成了用户关注的焦点。

3. 是否提供FTP协议的内容过滤?

在考察这一功能时一定要细心加小心，很多厂家的防火墙都宣传说具备FTP的内容过滤，但细心对比就会发现，其中绝大多数仅实现了FTP协议中两个命令的控制:PUT和GET。好的防火墙应该可以对FTP其他所有的命令进行控制，包括CD、LS等，要提供基于命令级控制，实现对目录和文件的访问控制，全部过滤均支持通配符。

三、管理和认证

这是防火墙非常重要的功能。目前，防火墙管理分为基于WEB界面的WUI管理方式、基于图形用户界面的GUI管理方式和基于命令行CLI的管理方式。

各种管理方式中，基于命令行的CLI方式最不适合防火墙。

WUI和GUI的管理方式各有优缺点。

WUI的管理方式简单，不用专门的管理软件，只要配备浏览器就行;同时，WUI的管理界面非常适合远程管理，只要防火墙配置一个可达的IP，可实现在美国管理位于中国分公司的防火墙。

WUI形式的防火墙也有缺点:首先，WEB界面非常不适合进行复杂、动态的页面显示，一般的WUI界面很难显示丰富的统计图表，所以对于审计、统计功能要求比较苛刻的用户，尽量不要选择WUI方式;另外，它将导致防火墙管理安全威胁增大，如果用户在家里通过浏览器管理位于公司的防火墙，信任关系仅仅依赖于一个简单的用户名和口令，黑客很容易猜测到口令，这增加了安全威胁。

GUI是目前绝大多数防火墙普遍采用的方式。这种方式的特点是专业，可以提供丰富的管理功能，便于管理员对防火墙进行配置。但缺点是需要专门的管理端软件，同时在远程和集中管理方面没有WUI管理方式灵活。

四、审计和日志以及存储方式

目前绝大多数防火墙都提供了审计和日志功能，区别是审计的粒度粗细不同、日志的存储方式和存储量不同。

很多防火墙的审计和日志功能很弱，这一点在那些以DOM、DOC等电子盘(并且不提供网络数据库支持)为存储介质的防火墙中体现得尤为明显，有些甚至没有区分事件日志和访问日志。如果需要丰富的审计和日志功能，就需要考察防火墙的存储方式，如果是DOM、DOC等Flash电子盘的存储方式，将可能限制审计和日志的功能效果。

目前绝大多数防火墙审计日志采用硬盘存储的方式，这种方式的优点是可以存储大量的日志(几个G到几十个G)，但是在某些极端的情况下，如异常掉电，硬盘受到的损坏往往要比电子盘的损坏严重。

好的防火墙应该提供多种存储方式，便于用户灵活选择和使用。

五、如何区分包过滤和状态监测

一些小公司为了推销自己的防火墙产品，往往宣称采用的是状态监测技术; 从表面上看，我们往往容易被迷惑。这里给出区分这两种技术的小技巧。

1. 是否提供实时连接状态查看?

状态监测防火墙可以提供查看当前连接状态的功能和界面，并且可以实时断掉当前连接，这个连接应该具有丰富的信息，包括连接双方的IP、端口、连接状态、连接时间等等，而简单包过滤却不具备这项功能。

2. 是否具备动态规则库?

某些应用协议不仅仅使用一个连接和一个端口，往往通过一系列相关联的连接完成一个应用层的操作。比如FTP协议，用户命令是通过对21端口的连接传输，而数据则通过另一个临时建立的连接(缺省的源端口是20，在PASSIVE模式下则是临时分配的端口)传输。对于这样的应用，包过滤防火墙很难简单设定一条安全规则，往往不得不开放所有源端口为20的访问。

状态监测防火墙则可以支持动态规则，通过跟踪应用层会话的过程自动允许合法的连接进入，禁止其他不符合会话状态的连接请求。对于FTP来说，只需防火墙中设定一条对21端口的访问规则，就可以保证FTP传输的正常，包括PASSIVE方式的数据传输。这一功能不仅使规则更加简单，同时消除了必须开放所有20端口的危险。

上一个网络应用： Internet防火墙基础技术综述

下一个网络应用： cisco四种类型的网络防火墙技术汇总

 

1. 引言

　　防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境之中,尤以Internet网络为最甚。Internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年底,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,今年底将达到150万套,市场营业额将从1995年的1.6亿美元上升到今年的9.8亿美元。

　　为了更加全面地了解Internet防火墙及其发展过程,特别是第四代防火墙的技术特色,我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。

　　2. Internet防火墙技术简介

　　防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:

　　1)限定人们从一个特定的控制点进入;

　　2)限定人们从一个特定的点离开;

　　3)防止侵入者接近你的其他防御设施;

　　4)有效地阻止破坏者对你的计算机系统进行破坏。

　　在现实生活中,Internet防火墙常常被安装在受保护的内部网络上并接入Internet。

　　从上图不难看出,所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强Internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3. 防火墙技术与产品发展的回顾

　　防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:

　　●过滤进、出网络的数据;

　　●管理进、出网络的访问行为;

　　●封堵某些禁止行为;

　　●记录通过防火墙的信息内容和活动;

　　●对网络攻击进行检测和告警。

为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。

　　3.1 基于路由器的防火墙

　　由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:

　　1)利用路由器本身对分组的解析,以访问控制表(Access List)方式实现对分组的过滤;

　　2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征;

　　3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。

第一代防火墙产品的不足之处十分明显,具体表现为:

　　●路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用FTP协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。

　　●路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。

　　●路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。

　　●路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。

　　可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。

　　3.2 用户化的防火墙工具套

　　为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。

　　作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:

　　1)将过滤功能从路由器中独立出来,并加上审计和告警功能;

　　2)针对用户需求,提供模块化的软件包;

　　3)软件可以通过网络发送,用户可以自己动手构造防火墙;

　　4)与第一代防火墙相比,安全性提高了,价格也降低了。

 

 

[1] [2] [3] [4] 下一页  

上一个网络应用： 反向访问列表在实际中的应用过程

下一个网络应用： 如何鉴别硬件防火墙性能的差异

 

反向访问列表
　　
　　有5个VLAN,分别为 管理(63)、办公(48)、业务(49)、财务(50)、家庭(51)。
　　
　　要求: 管理可以访问其它,而其它不能访问管理,并且其它VLAN之间不能互相访问！
　　
　　其它的应用不受影响，例如通过上连进行INTERNET的访问
　　
　　方法一: 只在管理VLAN的接口上配置,其它VLAN接口不用配置。
　　
　　在入方向放置reflect
　　ip access-list extended infilter
　　permit ip any any reflect cciepass
　　!
　　在出方向放置evaluate
　　ip access-list extended outfilter
　　evaluate cciepass
　　deny ip 10.54.48.0 0.0.0.255 any
　　deny ip 10.54.49.0.0.0.0.255 any
　　deny ip 10.54.50.0 0.0.0.255 any
　　deny ip 10.54.51.0 0.0.0.255 any
　　permit ip any any
　　！应用到管理接口
　　int vlan 63
　　ip access-group infilter in
　　ip access-group outfilter out
　　
　　方法二：在管理VLAN接口上不放置任何访问列表，而是在其它VLAN接口都放。
　　
　　以办公VLAN为例：
　　
　　在出方向放置reflect
　　ip access-list extended outfilter
　　permit ip any any reflect cciepass
　　!
　　在入方向放置evaluate
　　ip access-list extended infilter
　　deny ip 10.54.48.0 0.0.0.255 10.54.49.0 0.0.0.255
　　deny ip 10.54.48.0 0.0.0.255 10.54.50.0 0.0.0.255
　　deny ip 10.54.48.0 0.0.0.255 10.54.51.0 0.0.0.255
　　deny ip 10.54.48.0 0.0.0.255 10.54.63.0 0.0.0.255
　　evaluate cciepass
　　permit ip any any
　　!
　　应用到办公VLAN接口：
　　int vlan 48
　　ip access-group infilter in
　　ip access-group outfilter out
　　
　　总结：
　　
　　1） Reflect放置在允许的方向上（可进可出）
　　
　　2） 放在管理VLAN上配置简单，但是不如放在所有其它VLAN上直接。
　　
　　3) 如果在内网口上放置: 在入上设置Reflect
　　
　　如果在外网口上放置: 在出口上放置Reflect
　　
　　LAN WAN
　　-
　　inbound outbound
　　
　　4)reflect不对本地路由器上的数据包跟踪,所以对待进入的数据包时注意,要允许一些数据流进入。

上一个网络应用： 繁荣发展：防火墙架构演变三变曲

下一个网络应用： Internet防火墙基础技术综述