电子课件-任务32软件防火墙配置保护主机与内部网络.ppt

1、专专 业业 务务 实实 学学 以以 致致 用用计算机网络安全技术与实施计算机网络安全技术与实施教学课件教学课件专专 业业 务务 实实 学学 以以 致致 用用3.2 3.2 任务任务2-2-目录目录3.2 3.2 任务任务2-2-软件防火墙配置保护主机与内部网络软件防火墙配置保护主机与内部网络3.2.1 3.2.1 任务描述任务描述3.2.2 3.2.2 引导文本引导文本-防火墙软件介绍防火墙软件介绍3.2.3 3.2.3 设计防火墙防护功能设计防火墙防护功能3.2.4 3.2.4 利用防火墙软件实施防护利用防火墙软件实施防护3.2.5 3.2.5 进行防护效果检测进行防护效果检测3.2.6 3

2、.2.6 知识技能要点测评知识技能要点测评专专 业业 务务 实实 学学 以以 致致 用用3.2.1 3.2.1 工作任务总体描述（表）工作任务总体描述（表）学习情境学习情境学习情境3-对网络访问行为进行控制建议课内学时任务名称任务名称工作任务2-软件防火墙配置保护主机与内部网络4学时（理论实践一体）企业工作情境描述企业工作情境描述对于一个小型企业或企业异地办事处来说，此类网络很少向外部网络提供服务，并且多是对外部的连接需求，选用专业的防火墙往往是没有必要的。另外从网络管理人员上来说，这类企业网络中的管理人员的人力上需要简化安全的维护工作量，因此可考虑选用基于主机配置的防火墙。工作任务分析工作任

3、务分析在这个工作任务中我们要在主机上安装与配置防火墙软件来实现防护功能，这类软件的选择较多，可以根据网络管理人员的需要选择一个较熟悉的软件产品，这里介绍Smoothwall软件，并在虚拟机下进行安装与实施任务。任务目标任务目标1、进一步学习防火墙的基本原理与功能的相关知识；2、能在主机和软件上配置最基本的防火墙功能；3、学会一款基于主机的软件防火墙的配置，能利用其实施对网络的安全防护功能，在尽可能最小的经济投入下实现对企业网络的基本防护。学习场境简化与转换设计与学习任务布置学习场境简化与转换设计与学习任务布置场境简化与转换设计：场境简化与转换设计：对学习情境中的异地办事处部分的主机上配置防火墙

4、功能，结构如右图所示。学习任务布置：学习任务布置：本任务在此网络环境中通过在虚拟机中安装防火墙软件来学习防火墙配置。工具及软件选用工具及软件选用1、Smoothwall；2、虚拟机VM软件。参考资料手册参考资料手册1、利用互联网搜索相关知识查询；2、教材中的引导文本；3、课程网站上的关于本部分的视频教程。学习任务操作流程学习任务操作流程操作流程参见下面的工作任务实施过程专专 业业 务务 实实 学学 以以 致致 用用任务分解图任务分解图互联网互联网主机主机FW/GW异地办事处异地办事处攻击者攻击者专专 业业 务务 实实 学学 以以 致致 用用3.2.2 3.2.2 引导文本引导文本1 1、防火墙

5、的分类、防火墙的分类 防火墙的分类可以有很多种，这里从软硬件体系结构进行分类：一类是基于设备的防火墙，采用专用的操作系统及处理器构成的硬件平台，硬件在外观设计上与路由器和交机类似，硬件防火墙又可以分为独立功能的硬件设备和安装中路由器或多层交换设备插槽上的防火墙模块。此类防火墙的性能较高，可以满足企业级需求。如下图所示，是思科的ASA 5520防火墙。还有用于Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器防火墙服务模块FWSM。专专 业业 务务 实实 学学 以以 致致 用用3.2.2 3.2.2 引导文本引导文本1 1、防火墙的分类、防火墙的分类另一类是基于服务

6、器的防火墙，通过软件实现，这类防火墙软件一般属于安装于通用操作系统（Windows NT/2000/2003、UNIX、Novell等）的主机上的应用软件，如微软开发的ISA运行于WINDOWS下实现防火墙和代理功能、基本Linux的ipchains 和iptables都是在通用的系统上实现防火墙功能。这类防火墙适合于对主机的保护，但由于通用操作系统开放的服务较多及系统自身可能存在的缺陷使其容易遭受攻击，同时也要考虑其系统资源的占用。最后一类是集成防火墙，一般是指在已有设备或主机上定制的防火墙功能，这也可以分为两种，一种是对操作系统进行裁剪使其最小化以满足防火墙功能实现，最常见的是对Linux

7、操作系统进行裁剪使其可以独立运行于通用计算机系统上来完成防火墙功能，如Router OS、SmoothWall等防火墙是对Linux的裁剪后实现的操作系统与防火墙功能的结合；另一种是基于已有设备上增加防火墙功能，如在路由器上实现的防火墙功能。专专 业业 务务 实实 学学 以以 致致 用用3.2.2 3.2.2 引导文本引导文本2 2、基于主机的软件防火墙介绍、基于主机的软件防火墙介绍（1）基于Windows系统的软件防火墙基于Windows系统的软件防火墙也可以分为两类，一类是个人主机的，如瑞星、天网个人防火墙；另一类是企业级软件防火墙，如ISA、SessionWall-3及思科基于NT系统的

8、Centri Firewall等，其中ISA是由微软出的软件防火墙产品能与其操作系统很完美结合。ISA Server 2006软件相关介绍：是由微软公司出的企业级应用层防火墙，ISA Server 已经在不同行业、企业中得到使用。首先，ISA Server 2006具有应用层过滤功能，能够基于应用层、访问内容和用户账户等对访问请求进行严格的访问控制；其次，ISA Server 提供了强大的内容缓存功能，从而提高了企业Internet连接的使用效率，降低了企业IT成本；第三，ISA Server中提供了集成的远程访问VPN和站点到站点VPN支持，能够同时实现高效、安全、可靠的虚拟专用网络服务，从

9、而让用户的访问实现“Access Anywhere”；最后，ISA Server 提供了高效的性能和可靠稳定的服务，实现轻松的IT管理。专专 业业 务务 实实 学学 以以 致致 用用3.2.2 3.2.2 引导文本引导文本2 2、基于主机的软件防火墙介绍、基于主机的软件防火墙介绍（2）基于Linux系统的软件防火墙 如果对Linux较熟悉那么，最好的选择是用其身提供的iptables，它可以完全满足个人及中小企业的需要。这方面也可以找相关的专题书籍进行此项目的学习。（3）基于Linux内核的系统防火墙软件 MikroTik RouterOS软件相关介绍：是一种路由操作系统，并通过该软件将标准的

10、PC电脑变成专用的路由器，在软件的开发和应用上不断的更新和发展，软件经历了多次更新和改进，使其功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能。SmoothWall软件相关介绍：SmoothWall是欧洲成功的OpenSource项目之一，它可以把一台普通的486以上的机器配置成为功能完备，稳定的路由器防火墙，它已经拥有很多用户。SmoothWall支持ISDN，ASDL/Cable和多网卡等网络设备。它可以基于Web的管理和支持SSH、DHCP等。个人、中小企业、网吧使用版本2.0就可以了，3.0为企业版需要注册激活。这个软件是基于Redhat

11、 linux操作系统下的，本身自带Redhat linux简版。SmoothWall不是软路由，是防火墙。NAT只是内带的功能而已。但功能的确很完备。专专 业业 务务 实实 学学 以以 致致 用用3.2.2 3.2.2 引导文本引导文本3 3、基于主机的软件防火墙选择介绍、基于主机的软件防火墙选择介绍 对于一些小企业或企业分支及办事处的网络由于资金与管理人员的原因往往需要配置基于主机的软件防火墙，这为企业节约资金的同时也能减少对网络管理人员的要求。（1）选择1-ISA Server软件 选择ISA Server的理由是，它能与Windows操作系统完美的结合，许多功能实现集成化。对于一般中小企

12、业、分支及办事处较为适合，特别适合于对Windows操作系统较熟悉的网络管理人员选用。这可以减少由于不同公司产品在配置与管理上的差异。另外它可以安装于现有的服务器主机上完成防火墙及相关的功能，企业不必再投入新的防火墙产品。缺点是也要考虑软件成本的问题。（2）选择2-Linux系统及Iptables Linux系统无论从经济与性能上考虑都是不错的选择，但是想要熟练掌握Linux系统的配置与管理是较难的，特别是对那些已经习惯于Windows操作系统的用户来说，当然如果已经对Linux较熟悉，那么，这个选择是有远见的，这会使企业和网络管理人员都能从中受益。（3）选择3-RouterOS或Smooth

13、Wall软件 对于中小型办公企业来说，如果考虑经济投入和管理维护的方便，选择这类软件将为企业提供方便。因为这类软件可以安装于配置一般的主机即可，可以充分利用淘汰的计算机，对这样的主机配置2或3块网卡，安装此类软件就可以实现路由和防火墙的功能。这类软件与硬件防火墙的主要区别是，硬件防火墙是建立在专用硬件平台上的，而这类软件是安装与通用的计算机硬件平台上，只是一些专用的处理由软件完成了。专专 业业 务务 实实 学学 以以 致致 用用3.3.2.2 引导文本引导文本4 4、包过滤型防火墙在、包过滤型防火墙在LINUXLINUX系统主机上的实现系统主机上的实现流经Linux系统主机的数据流量都要先通过

14、Linux内核的防火墙，Linux中是利用IP Filter或Net Filter底层,即IPChains或IPTables软件提供防火墙功能，IPChains属于一种数据包过滤防火墙。IPChains系统缺省内建3个Chains:input、output、forward分别处理进入、输出及转发的规则。需要注意的是不同版本的Linux其实现的机制和IPChains的运行规则有所不同。在Linux2.4内核中主要采用IPtables，目前多数Linux系统采用其做为默认防火墙，IPtables可以对网络协议数据的二层的MAC地址、三层的IP地址、四层的端口号及状态(采用状态机制STATEFUL)

15、标志位SYN、ACK等进行分析判断,采用IPtables较容易实现NAT和重定向功能。另外IPtables与TCP Wrappers的组合完成了软件防火墙的功能。专专 业业 务务 实实 学学 以以 致致 用用3.3.2.2 引导文本引导文本4 4、包过滤型防火墙在、包过滤型防火墙在LINUXLINUX系统主机上的实现系统主机上的实现IPtables书写规则的语法格式是：iptables-t table command match target/jump 选项-t用来指定使用哪个表，默认的是 filter表（另两个表是nat和mangle）；command指定iptables 对提交的规则要做什

16、么样的操作。这些操作可能是在某个表里执行增加或删除操作；Matches用于定义匹配的条件，可以是地址、端口或物理接口等；target/jump说明规则匹配Matches后采取的动作。uMatches协议可以用：-p!protocol（-p tcp,icmp,udp,all）；uMatches地址可以用：源地址-s!address,目的地址-d!address；uMatches端口可以用：端口-sport!port,目的端口-dport!port；uMatchesSYN位可以用：!-y,TCP主动发起的连接请求；uMatches网络接口可以用：-i!name,-i eth0uMatches双向可

17、以用：-b 例1：iptables-A INPUT-p tcp-s!192.168.1.0/24-dport 80-j DROP /允许从192.168.1.0/24的网段用tcp协议连接到80端口。例2：iptables-A INPUT-p tcp-s 127.0.0.1 -dport 111-j ACCEPT /允许本地连接80端口。例3：iptables-A INPUT-p tcp-dport 22-i eth0-j ACCEPT iptables-A OUTPUT-p tcp-sport 22-i eth0-j ACCEPT /在以太网eth0接口放行SSH服务。专专 业业 务务 实实

18、 学学 以以 致致 用用3.2.3 3.2.3 设计防火墙防护功能设计防火墙防护功能1 1、基于主机防火墙软件设计对网络的防护、基于主机防火墙软件设计对网络的防护 在本学习情境中的异地办事处的网络中，是利用一台主机实现防火墙功能，下面利用基于主机防火墙软件设计对网络的防护。企业现有网络节点100个左右，内部通过三层交换机进行连接，并通过路由器连接到互联网，路由器进行了简单的过滤，现加入一主机实现防火墙功能，具体如下图所示。主机主机FW/GW异地办事处异地办事处互联网互联网路由器路由器内部主机内部主机专专 业业 务务 实实 学学 以以 致致 用用3.2.3 3.2.3 设计防火墙防护功能设计防火

19、墙防护功能2 2、软件的具体实现方式设计、软件的具体实现方式设计 关于ISA2006的配置与实现可以在网上或课程网站获取相关的专题介绍和微软中国网站的视频教程（如ISA Server 2006 勇攀高峰系列教程等）。同样关于RouterOS的安装与配置也有很详细的资料和教程，这里不再详细介绍了，但是推荐利用虚拟机进行后面的同类任务的实现。下面以SmoothWall软件在虚拟机下的安装与配置为例进行设计。只所以选择SmoothWall软件的理由是它是基于Linux内核的，他代表了防火墙技术发展的一个新思路。可以到smoothwall软件的官方网站获取软件及相关帮助http:/www.smooth

20、wall.org/。获取其ISO格式的光盘镜像文件后，进行安装。专专 业业 务务 实实 学学 以以 致致 用用3.2.3 3.2.3 设计防火墙防护功能设计防火墙防护功能 如果是学习smoothwall软件的安装与配置，可以在虚拟机下完成安装与配置，如果是应用于本任务中的防火墙方案中，则要选择一台一般配置的计算机即可，建议安装3块网卡，有光驱。实际安装与在虚拟机下的基本样同，但是在虚拟机下安装与学习会更方便，下面设计在虚拟机中实现。虚拟机的建立如上图所示，有三个网卡。分别对应内网接口、外网接口和DMZ接口，如下图所示。选择新建虚拟机，完成建立向导后在编辑虚拟机设置中再填加两块网卡。Red-外网

21、接口：218.62.14.86255.255.255.248Orange-DMZ接口：192.168.1.1255.255.255.248Green-内网接口：10.1.22.110255.255.255.0专专 业业 务务 实实 学学 以以 致致 用用3.2.4 3.2.4 利用防火墙软件实施防护利用防火墙软件实施防护1 1、基于主机防火墙软件基于主机防火墙软件SmoothwallSmoothwall的安装的安装 设置已经建立虚拟机中的CD-ROM使用ISO镜像文件，如下图所示，然后启动此虚拟机。安装过程非常简单，安装界面与Linux相似，在出现欢迎安装后会要求输入产品序列号，正确输入后如是

22、计算机或虚拟机用的是SCSI硬盘要驱动，这里选择自动搜索。接下来出现安装方式的选择，这里选择CD-ROM。在安装过程中SmoothWall将硬盘分区并格式化，要确保硬盘没有有用的数据。专专 业业 务务 实实 学学 以以 致致 用用3.2.4 3.2.4 利用防火墙软件实施防护利用防火墙软件实施防护 在接下来的安装过程中，会提示配置网络，选择搜索即可，如果计算机或虚拟机已经安装了三块网卡，会依次对三个网卡进行搜索与配置，分别为Green、Orange、Red接口，如下图是第一块网卡被定义为Green-interface（这里配置其IP地址为10.1.22.110），配置一个与内网主机同网段的IP

23、地址及掩码。接下来会提示键盘设置等，完成后出现配置菜单，这里选择网络（Networking）。专专 业业 务务 实实 学学 以以 致致 用用3.2.4 3.2.4 利用防火墙软件实施防护利用防火墙软件实施防护 系统会要求选择网络接口类型以太网、ISDN或者是ADSL。这里选择了以太网，然后选择防火墙类型，主要可以分为两种类型，一种是Green+Red类型，在这种模式中，一个网络接口是连向internet(Red)，一个是连向LAN(green)；还有一种模式就是Green+Orange+Red，Red和Green接口类型和前一种相同，但是多了个Orange接口，这是专门为那些需要特殊服务的服务

24、器程序准备的，在这个区域的资源可以被来自internet和LAN的链接所控制，这就是有名的DMZ（demilitarized zone非军事区）。选择了Green+Orange+Red模式，并为网卡设置IP地址，下一步就是配置DHCP服务器，然后设置了三个密码，分别是admin、root和setup用户。重要的用户就是admin用户，用来设置基于web的管理界面，root用户用于登录到SmoothWall系统内后linux命令进行配置与管理，以的setup用户用来更改一些防火墙配置，如将Green-Red改为Green+Orange+Red。安装完成后要求重新启动。默认情况下，防火墙配置为禁止

25、所有的来自红色区域的连接请求。这就意味着任何来自internet的链接默认情况下都是被拒绝的，除非有来自绿色区域的链接要求。专专 业业 务务 实实 学学 以以 致致 用用3.2.4 3.2.4 利用防火墙软件实施防护利用防火墙软件实施防护2 2、配置防火墙软件配置防火墙软件smoothwallsmoothwall 对smoothwall软件的配置主要有三种方式，一种是基于命令行，另一种是基于采单式，最后一种是基于WEB方式。基于WEB方式与配置硬件防火墙类似，下面介绍基于WEB的配置。可以通过键入http:/IP:81和https:/IP:441来进行基于web的管理。基于web界面的Smoo

26、thWall防火墙软件有着非常丰富的选项。可以将它配置成一个代理服务器，或者DHCP服务器，或者为绿色区域服务的某些特别端口的包转发服务器等等。作为一个代理服务器，可以设置一些高级选项，如用户端认证和延迟等等。这些功能对小公司或者家庭用户来说是很有用的，但是对于大型企业来说，他们都是有自己特定的代理服务器。可以为DHCP服务器配置地址范围、WINS服务器和静态IP地址。也可以选择动态DNS，提供为远处链接服务的SHH程序和时间服务器。SmoothWall甚至可以支持SNORT，来实现入侵检测系统的功能。通过Green接口所配置的IP地址进行连接。专专 业业 务务 实实 学学 以以 致致 用用3

27、.2.4 3.2.4 利用防火墙软件实施防护利用防火墙软件实施防护3 3、配置防火墙简单的包过滤规则配置防火墙简单的包过滤规则 登录web界面后会，选择networking，这时会要求用户认证，输入admin用户名及安装过程对应的密码即可进行配置。如图所示是对192.168.3.0网段进行IP block即IP包的拦截设置。SmoothWall通过使用Linux2.4内核和netfilter（netfilter/iptables是与2.4.x版本Linux内核集成的IP信息包过滤系统。如果 Linux 系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器，则该系统有利于在Linux

28、系统上更好地控制IP信息包过滤和防火墙配置）来进行包检测。它有一个内建的VPN网络，这样就尽可能安全的通过互联网在外部和内部网络之间建立起一个私有网络。选择服务项可以配置IDS等功能。如下图所示，SmoothWall集成了SNORT软件的IDS功能，可以将IDS规则文件进行上载到SmoothWall中去实现IDS功能，关于IDS将在后续内容中学习。专专 业业 务务 实实 学学 以以 致致 用用3.2.4 3.2.4 利用防火墙软件实施防护利用防火墙软件实施防护 SmoothWall提供也在线升级功能，基本WEB方式升级为管理带来了方便。另外SmoothWall提供快速开始、安装向导和管理指南手

29、册，对于学习SmoothWall及防火墙技术很有帮助。当然，SmoothWall这个软件是为小企业用户设计的，这不是一个全功能的防火墙产品，有些功能还有待完善，没有办法满足那些大型的商业需要。但是对于要求不高的小型企业来说是一个不错的选择。对于学习者可以在VMWare下实现对SmoothWall的安装与配置实验，对于掌握防火墙技术有很大的帮助。4 4、具体、具体配置配置SmoothWallSmoothWall防火墙功能防火墙功能 下面通过两种方式配置SmoothWall，实现通过SmoothWall防火墙功能：（1）命令行方式实现屏蔽Telnet访问，即禁止对TCP协议的23端口数据转发。通过

30、root用户登录系统，并执行如下命令（与Linux一样的命令与格式，也要区分大小写的），在特权模式下执行完命令后，需要重新启动。rootsw3 root#iptables-A FORWARD-p tcp-dport 23-j DROP专专 业业 务务 实实 学学 以以 致致 用用3.2.4 3.2.4 利用防火墙软件实施防护利用防火墙软件实施防护（2）基于WEB方式配置禁Ping命令。登录web界面后会，选择networking后，选择advanced项，勾选Block ICMP ping即可。最后选择Save保存设置。专专 业业 务务 实实 学学 以以 致致 用用3.2.5 3.2.5 进行

31、防护效果检测进行防护效果检测 如果要测试SmoothWall可以开启相应的日志或IDS功能，在服务Services项下选择intrusion detection system项，选择Enable Snort来启用SNORT入侵检测，防火墙的日志和IDS日志中都留下了记录，包括攻击的类型、攻击者的IP和时间日期。对上面的Telnet与ping命令测试，如下右图所示，Telnet已经无法登录，ping在配置之前是通的，但设置高级中的Block ICMP ping之后就不通了。SmoothWall内部提供了防火墙的策略模块，并已经安装，也可以更新，可以在maintenance项目下的modules可

32、以进行配置。专专 业业 务务 实实 学学 以以 致致 用用3.2.6 3.2.6 知识技能要点测评知识技能要点测评 这是本学习情境中的第二个工作任务，主要以防火墙体系结构的相关知识的学习为主，并能灵活选择基于主机的防火墙软件产品，配置简单的实施环境，这个工作任务建议是由课内完成的，要求达到的目标是：能够深入理解防火墙的体系结构，并能在主机上利用软件实施防火墙功能配置，并能进行正确的检查。学习情境学习情境3 3任务任务2-2-知识技能要点测评表知识技能要点测评表序号序号测评要点测评要点具体目标具体目标测评权重测评权重1知识理解理解防火墙的体系结构的相关知识，掌握基于主机的防火墙的选择与配置流程。202工具及软件使用能利用适当的软件在主机上实现防火墙功能。来保护小型网络的安全。403操作标准与规范 对主机中防火墙软件的配置标准且规范。204检验方法与措施能够采用正确的方法对防火墙软件的配置结果进行检查，并能说明检查结果。20