网络管理员学习笔记_第七章 网络安全_002_防火墙技术

1. 防火墙简介

   a.  防火墙位于两个不同信任度网络之间，负责进行通信控制，强制实施统一的安全策略，防止对重要信息资源的非法行为。

   b.  防火墙可以是软甲也可以是硬件设备，或者两者的组合。

   c. 作用：隔离内，外网络。

   d. 主要功能： 过滤数据包 ； 对网络攻击行为检测和报警 ； 记录通过防火墙的信息内容和活动 ；控制和封堵未得到允许的访问行为。

2. 防火墙的相关概念

  a. 非信任网络（公共网络）：处于防火墙之外的公共开发网络

  b. 信任网络（内部网络）： 位于防火墙之内的可信网络，是防火墙要保护的目标。

  c. DMZ(非军事化区) ： 可以位于防火墙之外，也可以位于防火墙之内，一般用于防止提供公共网络服务的设备上。

  d. 可信主机： 位于内部网的主机。

  e. 非可信主机：不具有可信特性的主机。

  f. 公网IP地址： 由Internet信息中心统一管理分配的IP地址

  g. 保留IP地址：专门保留用于内部网的IP地址。

   h. 包过滤： 根据数据包的头部，按照规则进行判断，决定继续转发还是丢弃。

   l. 地址转换：防火墙将内部网络主机使用的保留地址转换成公共地址。可以节省IP地址和隐藏内部网路拓扑结构。

3. 防火墙的优缺点

  优点：

   （1） 强化安全策略

    （2） 有效记录互联网上的活动

    （3） 把可疑的连接或访问拒之门外。

   缺点：

    （1） 不能防范不经由防火墙的攻击

     （2） 不能防止感染了病毒的软件或文件的传输。

     （3） 不能防止数据驱动式攻击。

4. 防火墙的分类（根据实现原理）

  （1） 包过滤防火墙

   （2）应用层网关防火墙

   （3）状态检测防火墙

5. 包过滤防火墙（基于网络层的安全技术）

  （1） 在网络的入口对要通过的数据包进行检查是否满足过滤规则。

   （2）包过滤防火墙检查会每个IP包的源地址，目的地址，协议，端口等信息。

    （3） 优点： 简单实用，实现成本低。

               缺点： 无法识别基于应用层的恶意侵入。

6. 应用层网关防火墙

  （1） 应用层网关防火墙又称为代理。

            不允许在它连接的网络之间直接通信；

            而是接受来自内部网特定用户应用程序的通信，然后建立与公共网络服务器单独的连接。

    （2）代理服务器必须为特定的应用程序安装代理程序代码，才可以实现通信。

    （3）优点：能对付应用层的侵入和病毒。

     （4）缺点：影响系统的整体性能；增加系统管理的复杂性。

7. 状态检测防火墙

   （1） 状态检测防火墙又称为动态过滤防火墙，是包过滤防火墙的功能升级版。

   （2） 实现原理：

             跟踪防火墙的网络连接和数据包，使用一组附加的标准确定是否允许通信。

     （3）a.  状态检测防火墙可以有效地判断各层中的非法入侵。

              b.  一般附带的分布式探测器可以对网络内部的恶意破坏有极强的防范作用。

8. 访问控制列表

   （1） IP访问控制列表（ACL）是实现包过滤的核心技术。

   （2）ACL由一系列允许和拒绝条件的集合，通过访问列表可以过滤发进和发出的信息包的请求，实现对路由器和网络的安全控制。路由器逐个地检测包与访问列表的条件，在满足第一个匹配条件后，就可以决定是否接受或拒收该包。

   （3）IP访问控制列表的分类：

            a.  标准访问列表：只对数据包中的源地址进行检查，而不考虑目的地址及端口号等过滤选项，表号为1~99.

            b. 扩展访问列表： 既检查包的源地址，也检查包的目的地址，还可以检查特殊的协议类型，端口以及其他参数，表号为100~199.

   （4）IP访问控制列表的配置

            a. 创建标准访问控制列表：

                Router(config) # access-list  access-list-number {deny | permit } source [source-wildcard]

               参数说明：

                access-list-number: 定义访问列表的编号，取值范围为1~99

                deny或者permit : 指定了允许还是拒绝数据包

                source ： 发送数据包的主机地址

                source-wildcard : 发送数据包的主机的通配符掩码。

           提示1： 在访问控制列表中，通配符掩码（255.255.255.255 减去子网掩码求出），其中255.255.255.255 表示所有的IP地址（可以用any代替），0.0.0.0表示所有32位都要进行匹配，表示本机，用host表示。

     b. 创建扩展访问控制列表：

        Router  (config) # access-list  access-list-number {permit | deny }

                                      protocol {source [source-wildward] | any }

                                     {destination [destination-wildcard] | any }

                                       [protocol-specific options ] [ established ] [ log ]

          参数说明：

          access-list-number : 定义访问列表的编号，取值范围为100~199

          deny 或 permit : 指定了允许还是拒绝数据包。

          protocol : 协议 。 如IP，TCP，UDP，ICMP，OSPF等

          source , destination , destination-wildcard : 源地址 和目标地址

          source-wildcard : 通配符掩码。

          protocol-specific options : 指定协议选项，用lt , eq ,gt, neq (小于，等于，大于，不等于) 加端口号来指定，如 eq 80

c. 在接口配置模式下，使用access-group命令将ACL应用到某一接口上

    Router(config-if ) # ip access-group access-list-number { in | out} 

   其中，in 和 out 参数可以控制接口不同方向的数据包，如果不配置该参数，默认为out.