2016计算机网络基础教程：网络防火墙.docVIP

11.2网络防火墙 当一个机构将其内部网络与Internet连接之后，所关心的一个主要问题就是安全。内部网络上不断增加的用户需要访问Internet服务，如WWW、电子邮件、Telnet和FTP服务器。 当机构的内部数据和网络设施暴露在Internet上的时候，网络管理员越来越关心网络的安全。事实上，对一个内部网络已经连接到Internet上的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。为了提供所需级别的保护，机构需要有安全策略来防止非法用户访问内部网络上的资源和非法向外传递内部信息。即使一个机构没有连接到Internet上，它也需要建立内部的安全策略来管理用户对部分网络的访问并对敏感或秘密数据提供保护。 11.2.1 什么是防火墙 防火墙是这样的系统，它能用来屏蔽、阻拦数据报，只允许授权的数据报通过，以保护网络的安全性。 网络在防火墙上可以很方便的监视网络的安全性，并产生报警。防火墙负责管理外部网络和机构内部网络之间的访问。在没有防火墙时，内部网络上的每个节点都暴露给Internet上的其它主机，极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定，并且安全性等同于其中最弱的系统。 防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。防火墙的安装能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。 网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。要使一个防火墙有效，所有来自和去往Internet的信息都必须经过防火墙，接受防火墙的检查。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。 11.2.2防火墙的类型 通常，防火墙可以分为以下几种类型： 包过滤防火墙 这种防火墙是在路由器中建立一种称为访问控制列表的方法，让路由器识别哪些数据报是允许穿越路由器的，哪些是需要阻截的。 图 11.3 包过滤防火墙 代理服务器 这种防火墙方案要求所有内网的主机需要使用代理服务器与外网的主机通讯。代理服务器会象真墙一样挡在内部用户和外部主机之间，从外部只能看见代理服务器，而看不到内部主机。外界的渗透，要从代理服务器开始，因此增加了攻击内网主机的难度。 攻击探测防火墙 这种防火墙通过分析进入内网数据报中报头和报文中的攻击特征来识别需要拦截的数据报，以对付SYN Flood、IP spoofing这样的已知的网络攻击手段。攻击探测防火墙可以安装在代理服务器上，也可以做成独立的设备，串接在与外网连接的链路，装在边界路由器的后面。 11.2.3包过滤防火墙 包过滤防火墙的核心是称作“访问控制列表”的配置文件，由网络管理员在路由器中建立。包过滤路由器根据“访问控制列表”审查每个数据包的报头，来决定该数据包是否要被拒绝还是被转发。报头信息中包括IP源地址、IP目标地址、协议类型（如TCP、UDP、ICMP等）、TCP端口号等。 图 11.4 包过滤路由器防火墙的建立 下面我们利用实例来介绍如何建立一个包过滤防火墙。 在图11.4的网络中，我们如果需要实现：只允许网络访问网络，但是3服务器只允许内网中的主机访问，不允许网络访问。我们可以用下面的命令来建立一个访问控制列表： (config)# access-list 101 deny ip any 3 (config)# access-list 101 permit ip 55 55 (config)# access-list 101 deny ip any any (config)# interface e1 (config-if)# ip access-group 101 (config-if)# exit (config)# 上面六条命令，前三个命令建立了一个编号为101的访问控制列表。第四个命令进入到路由器的e1端口，并在第五个命令时把第101号访问控制列表捆绑到e1端口。 前三个命令所建立的访问控制列表中创建了三条语句。第一条命令拒绝所有主机发往3服务器的IP数据报。其语法格式为： “access-list”：创建访问控制列表语句的命令 “deny”： 表示拒绝满足后面条件的数据报 “IP”： 表示本语句针对IP数据报 “any”： 源主机。Any表示所有源主机 “3”：目标主机 “”： 4个0表示数据报中的目标IP地址只有与3完全相同，条件才算成立。 第二条命令允许网络的所有主机发往网络的IP数据报通过。其语法格式为： “access-list”：创