防火墙应用实例

时间：2022-10-04 百科知识版权反馈

【摘要】：防火墙是一种综合性的技术，涉及计算机网络技术、密码技术、安全技术、安全协议等多个方面。本任务将阐述防火墙的安全规则及两种防火墙的具体应用。天网防火墙个人版是由天网安全实验室研发制作给个人计算机使用的网络安全工具。可以抵挡网络入侵和攻击，防止信息泄露，保障用户机器的网络安全。天网防火墙把网络分为本地网和互联网，可以针对来自不同网络的信息，设置不同的安全方案，它适合于任何方式连接上网的个人用户。

任务概述

防火墙是一种综合性的技术，涉及计算机网络技术、密码技术、安全技术、安全协议等多个方面。它的发展迅速，产品众多，并不断有新的安全技术及软件技术应用在防火墙的开发上，如包过滤、代理服务器、VPN、加密技术、身份认证等。本任务将阐述防火墙的安全规则及两种防火墙的具体应用。

任务目标

●能够掌握防火墙的安全规则

●能够掌握天网防火墙和瑞星防火墙的具体应用

学习内容

一、安全规则

安全规则，即安全策略，是防火墙进行保护工作的核心，所有的防护工作都由这些可以被管理员自行配置的安全策略来进行。默认情况下，防火墙被设计为:防火墙整体的默认策略是没有明确被允许的行为都是被禁止的。但是针对包过滤规则，默认策略是没有明确被禁止的包过滤行为都是被允许的，这主要是从用户配置方便角度来考虑的。

在进行防火墙部署之前，必须要了解防火墙是怎样利用安全策略来进行工作的。防火墙根据管理员定义的策略规则来完成数据包控制，这些策略包括“允许通过”、“禁止通过”、“代理方式通过”、“端口映射方式通过”、“IP映射通过”、“包过滤”和“NAT方式通过”等。同时，根据管理员定义的基于角色控制的用户策略，并与安全规则策略配合，防火墙能够完成强制访问控制，包括限制用户在什么时间、什么IP地址可以登录防火墙系统，以及该用户通过认证后能够使用的服务等。安全策略规则与防火墙状态表紧密结合，共同完成了对数据包的动态过滤。

所有的防火墙都应该提供基于资源定义的安全策略配置。这些资源包括地址和地址组、NAT地址池、服务器地址、服务（源端口、目的端口、协议）和服务组、时间和时间组、用户和用户组（包括用户策略，如登录时间与地点、源IP/目的IP、目的端口、协议等）、URL过滤策略等。

在进行过滤时，防火墙按顺序匹配规则列表:防火墙规则根据作用顺序分为代理、端口映射、IP映射、包过滤、NAT规则5类。其中代理规则是最优先生效的规则，最后为NAT。

数据包匹配了代理规则，则根据代理规则对数据包进行相应处理，而不再匹配其他类型的规则;如果没有匹配代理，则去匹配端口映射和IP映射规则。无论数据包是否匹配端口映射和IP映射的规则，都会去匹配包过滤规则。根据包过滤规则的设置，若允许（包括包过滤规则允许、包过滤认证通过和包过滤IPSEC通过，或没有匹配任何包过滤规则），则去匹配NAT规则;若不允许，则直接抛弃。如果匹配到NAT规则，则进行NAT，否则数据包直接通过防火墙。假如设置了一条端口映射、IP映射规则或NAT规则，而且没有选择“包过滤缺省策略通过”，就必须再设置一条相应的包过滤规则才能生效。每类中的规则根据规则的顺序生效，当匹配了某类型规则中的一条规则时，将根据该条规则对包进行处理，而不会匹配该类规则中其他规则，如图5-6所示。

图5-6 防火墙策略匹配示意

所有这些策略都是通过访问控制列表ACL（Access Control List）来进行定义的。访问控制列表是一系列有顺序的规则，这些规则根据数据包的源地址、目的地址和端口号等来描述。ACL通过这些规则对数据包进行分类，这些规则应用到防火墙接口上，防火墙根据这些规则判断哪些数据包可以接收，哪些数据包需要拒绝。

按照用途划分，访问控制列表可以分为4类:①基本的访问控制列表（Basic ACL）;②高级的访问控制列表（Advanced ACL）;③基于接口的访问控制列表（Interface-based ACL）;④基于MAC的访问控制列表（Mac-Based ACL）。

总的来说，防火墙的安全规则包括以下几类。

（1）代理规则:使用代理服务，可以监控源地址/目的地址间的信息，并进行相应的访问控制和内容过滤。同时，代理服务由于处理的内容多，所以传输效率也不如相应的包过滤规则高，并需要有代理服务器的支持。

代理类型包括:HTTP代理，FTP代理，Telnet代理，SMTP代理，POP3代理，DNS代理， ICMP代理，MSN代理以及自定义代理等。

（2）端口映射规则:把客户端对“公开地址”、“对外服务”的访问，转换成对“内部地址”、“内部服务”的访问。同时，源地址可以转换成防火墙的某个接口地址。

（3）IP映射规则:把客户端对“公开地址”的访问转换成对“内部地址”的访问。同时，源地址可以转换成防火墙的某个接口地址。IP映射规则和端口映射规则属于目的地址转换。它们的区别是:端口映射只对指定端口的连接做地址转换，而IP映射对特定IP地址的所有端口都做转换。

（4）包过滤规则:包过滤规则决定了特定的网络包能否通过防火墙，同时它也提供相关的选项以保护网络免受攻击。它支持的协议包括基本协议（如HTTP、Telnet、SMTP等）、ICMP、动态协议（如FTP、SQLNET等）。

（5）NAT规则:NAT实现把内部网络地址转换为外部网络IP地址，将内部网络和外部网络隔离开，内部用户可通过一个或多个外部IP地址与外部网络通信。

二、应用实例

1.天网防火墙个人版简介

天网防火墙个人版（简称天网防火墙）是由天网安全实验室研发制作给个人计算机使用的网络安全工具。可以抵挡网络入侵和攻击，防止信息泄露，保障用户机器的网络安全。天网防火墙把网络分为本地网和互联网，可以针对来自不同网络的信息，设置不同的安全方案，它适合于任何方式连接上网的个人用户。

（1）第一步:局域网地址设置，防火墙将会以这个地址来区分局域网和Internet的IP来源。如图5-7所示。

图5-7 局域网地址设置

（2）第二步:管理权限设置，可有效地防止未授权用户随意改动设置、退出防火墙等。如图5-8所示。

图5-8 管理权限设置

（3）第三步:入侵检测设置，开启此功能，当防火墙检测到可疑的数据包时会弹出入侵检测提示窗口，并将远端主机IP显示于列表中。如图5-9所示。

图5-9 入侵检测

（4）第四步:安全级别设置，其中共有五个选项。如图5-10所示。

图5-10 安全级别设置

①低:所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。计算机将完全信任局域网，允许局域网内部的机器访问自己提供的各种服务（文件、打印机共享服务），但禁止互联网上的机器访问这些服务。适用于在局域网中提供服务的用户。

②中:所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止访问系统级别的服务（如HTTP、FTP等）。局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理，允许授权运行的程序开放的端口服务，比如网络游戏或者视频语音电话软件提供的服务。适用于普通个人上网用户。

③高:所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务（文件、打印机共享服务），局域网和互联网上的机器将无法看到本机器。除了已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口。这是最严密的安全级别。

④扩展:基于“中”安全级别再配合一系列专门针对木马和间谍程序的扩展规则，可以防止木马和间谍程序打开TCP或UDP端口监听甚至开放未许可的服务。研发者将根据最新的安全动态对规则库进行升级。适用于需要频繁试用各种新的网络软件和服务，又需要对木马程序进行足够限制的用户。

⑤自定义:如果用户了解各种网络协议，可以自己设置规则。注意，设置规则不正确会导致无法访问网络。适用于对网络有一定了解并需要自行设置规则的用户。

（5）第五步:自定义IP规则，如图5-11所示。

图5-11 自定义IP规则

IP规则是针对整个系统的网络层数据包监控而设置的，其中有几个重要的设置。

①防御ICMP攻击:选择时，别人无法用ping的方法来确定用户的存在，但不影响用户去ping别人。ICMP协议现在也被用来作为蓝屏攻击的一种方法，而且该协议对于普通用户来说，是很少使用到的。

②防御IGMP攻击:IGMP是用于组播的一种协议，对于MS Windows的用户是没有什么用途的，但现在也被用来作为蓝屏攻击的一种方法。

③TCP数据包监视:通过这条规则，用户可以监视机器与外部之间的所有TCP连接请求。注意，这只是一个监视规则，开启后会产生大量的日志。

④禁止互联网上的机器使用我的共享资源:开启该规则后，别人就不能访问用户的共享资源，包括获取用户的机器名称。

⑤禁止所有人连接低端端口:防止所有的机器和自己的低端端口连接。由于低端端口是TCP/IP协议的各种标准端口，几乎所有的Internet服务都是在这些端口上工作的，所以这是一条非常严厉的规则，有可能会影响使用某些软件。

⑥允许已经授权的程序打开端口:某些程序，如ICQ、视频电话等软件，都会开放一些端口，这样，才可以连接到用户的机器上。本规则可以保证这些软件可以正常工作。