网络安全实训报告
2 防火墙设计
2.1 防火墙概述
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
2.2 防火墙在网络中的实现
2.2.1 包过滤防火墙
包过滤防火墙应用包过滤防火墙是在IP 层实现的, 因此它可以只用路由器完成。它对网络、主机或端口的访问控制方面有许多应用。因为它监视网络上流入和流出的IP 包, 检查所有通过防火墙的信息包的IP 源地址、IP 目标地址、TCP 或UDP 包的目的端口和源端口。主要应用于: 避免IP 欺骗; 封锁不安全的网络服务; 通过设置一些服务或端口, 只对需要这些功能的系统开放; 新出现的包过滤技术防火墙通过分析报文数据区内容实现智能报文过滤。
包过滤防火墙应用非常广泛的原因是因为CPU 用来处理报文过滤的时间可以忽略不计。而且这种防护措施对用户透明, 合法用户在进出网络时, 根本感觉不到它的存在, 使用起来很方便
包过滤防火墙的弱点是不能在用户级别上进行过滤, 即不能识别不同的用户和
4
网络安全实训报告
防止IP 地址的盗用。如果攻击者把自己主机的IP 地址设成一个合法主机的IP 地址, 就可以很轻易地通过报文过滤器。
2.2.2 代理技术防火墙
代理技术工作在应用层, 能识别用户使用的协议, 因而能对用户的行为进行调控。主要应用于: 只允许那些被代理的服务, 其它服务不能访问; 实现协议过滤; 实现信息隐藏; 强壮的鉴别和日志功能。在实际应用当中主要有: ( 1) 应用代理服务器
在网络应用层提供授权检查及代理服务。当外部某台主机试图访问受保护网络时, 必须先在防火墙上经过身份认证。通过身份认证后, 防火墙运行一个专门为该网络设计的程序,把外部主机与内部主机连接。在这个过程中, 防火墙可以限制用户访问的主机、访问时间及访问的方式。同样, 受保护网络内部用户访问外部网时也需先登录到防火墙上, 通过验证后,才可访问。应用网关代理的优点是既可以隐藏内部IP 地址, 也可以给单个用户授权, 即使攻击者盗用了一个合法的IP 地址, 也通不过严格的身份认证。因此应用网关比报文过滤具有更高的安全性。但是这种认证使得应用网关不透明, 用户每次连接都要受到认证, 这给用户带来许多不便。这种代理技术需要为每个应用写专门的程序。
( 2) 回路级代理服务器
即通常意义的代理服务器, 它适用于多个协议, 但不能解释应用协议, 需要通过其他方式来获得信息, 所以, 回路级代理服务器通常要求修改过的用户程序。套接字服务器( Socket s Server ) 就是回路级代理服务器。套接字( Sockets) 是一种网络应用层的国际标准。当受保护网络客户机需要与外部网交互信息时, 在防火墙上的套服务器检查客户的User ID、IP 源地址和IP 目的地址, 经过确认后, 套服务器才与外部的服务器建立连接。对用户来说, 受保护网与外部网的信息交换是透明的, 感觉不到防火墙的存在,那是因为网络用户不需要登录到防火墙上。但是客户端的应用软件必须支持“Socket stifled API”,受保护网络用户访问公共网所使用的IP 地址也都是防火墙的IP地址。
5
网络安全实训报告
( 3) 代管服务器
代管服务器技术是把不安全的服务如FTP、Telnet 等放到防火墙上, 使它同时充当服务器, 对外部的请求做出回答。与应用层代理实现相比, 代管服务器技术不必为每种服务专门写程序。而且, 受保护网内部用户想对外部网访问时, 也需先登录到防火墙上, 再向外提出请求, 这样从外部网向内就只能看到防火墙, 从而隐藏了内部地址, 提高了安全性。
( 4) IP 通道( IP Tunnels)
如果一个大公司的两个子公司相隔较远, 通过Internet通信。这种情况下, 可以采用IP Tunnels 来防止Inter net 上的黑客截取信息, 从而在Internet 上形成一个虚拟的企业网。
( 5 ) 网络地址转换器( NAT Network Address Translate)
当受保护网络连到Internet 上时, 受保护网用户若要访问Inter net , 必须使用一个合法的IP 地址。但由于合法Inter net IP地址有限, 而且受保护网络往往有自己的一套IP地址规划( 非正式IP 地址) 。网络地址转换器就是在防火墙上装一个合法IP 地址集。当内部某一用户要访问Internet 时,防火墙动态地从地址集中选一个未分配的地址分配给该用户, 该用户即可使用这个合法地址进行通信。同时, 对于内部的某些服务器如Web 服务器, 网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP 地址和大量的主机之间的矛盾, 又对外隐藏了内部主机的IP 地址, 提高了安全性。 ( 6) 隔离域名服务器( Split Domain Name Server )
这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离, 使外部网的域名服务器只能看到防火墙的IP 地址, 无法了解受保护网络的具体情况, 这样可以保证受保护网络的IP 地址不被外部网络知悉。
( 7) 邮件技术(Mail Forwarding )
6
网络安全实训报告
当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP 地址和域名时, 从外部网络发来的邮件, 就只能送到防火墙上。这时防火墙对邮件进行检查, 只有当发送邮件的源主机是被允许通过的, 防火墙才对邮件的目的地址进行转换, 送到内部的邮件服务器, 由其进行转发。
7
网络安全实训报告
3 网络安全设计
3.1 规划、实现、配置和部署安全客户端计算机基线
组策略编辑选项如图3.1、3.2
图3.1 组策略编辑
图3.2 设置属性
8
网络安全设置实训
