图17流出策略的允许服务配置.ppt

第8讲 防火墙（二） 包过滤防火墙的安全规则设置位置 防火墙规则设置中所涉及的动作主要有以下几种： 允许: 允许数据包通过防火墙传输，并按照路由表中的信息被转发。 放弃: 不允许数据包通过防火墙传输，但仅丢弃，不发任何相应数据包。 拒绝: 不允许数据包通过防火墙传输，并向数据包的源端发送目的主机不可达的ICMP数据包。 返回: 没有发现匹配的规则，执行默认动作。 所有的防火墙都是在以下两种模式下配置安全规则： “白名单”模式 系统默认为拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型，因此白名单上的规则是具有合法性访问的安全规则 “黑名单”模式 系统默认为允许所有的流量，这种情况需要特殊指定要拒绝的流量的类型，因此在黑名单上定义的安全规则属于非法的、被禁止的网络访问，这种模式是一种开放的默认管理模式。 1.包过滤防火墙规则示例（1） 包过滤防火墙一般有两类过滤规则的设置方法 1. 按地址过滤 用于拒绝伪造的数据包。若想阻止伪造原地址的数据包进入内部网，可按下表设置规则。 将依据下图所示的屏蔽子网防火墙体系结构及实际应用需求，描述一组安全规则的配置。 这里，假设外部包过滤路由器的外部IP地址为，内部IP地址为； 内部包过滤路由器的外部地址IP为，内部IP地址为； DMZ中Web服务器IP为；SMTP服务器。 规则集1：防火墙设备不允许任何人直接访问，也阻止防火墙直接访问其他设备。如下表设置。 规则集2：允许信任网络向外的所有通信。如下表设置。 规则3：允许外部主机访问DMZ中的WWW服务器，并且允许内部主机访问该WWW服务器。HTTP是一个基于TCP的服务，大多数服务器使用端口80，客户机使用任何大于1023的端口。如下表设置。 规则集4：SMTP是一个基于TCP的服务，服务器使用端口25，客户机使用任何大于1023的端口。如下表设置。 规则集5：禁止在公共网络上对所有内部服务器的Telnet访问，但允许内部使用Telnet。如下表设置。 规则集6：清理规则。最后，分别在内部和外部防火墙的安全规则集中增加清理规则，表明该防火墙的默认方式是拒绝任意形式的连接，即阻止其他规则没有明确允许的请求。如下表设置。 1、静态包过滤示例（2） 静态包过滤规则设置—命令行 3、动态包过滤（1） Check point一项称为“Stateful Inspection”的技术 可动态生成/删除规则 分析高层协议 3、动态包过滤（2） 4、包过滤技术的一些实现 商业版防火墙产品 个人防火墙 路由器 Open Source Software Ipfilter (FreeBSD、OpenBSD、Solaris，…) Ipfw (FreeBSD) Ipchains (Linux 2.0.x/2.2.x) Iptables (Linux 2.4.x) 5、应用程序网关（1）(代理服务器) 5、应用程序网关（2）一些实现 商业版防火墙产品 商业版代理(cache)服务器 Open Source TIS FWTK(Firewall toolkit) Apache Squid 6、虚拟专用网(VPN) 7、防火墙的安全标准（1） 防火墙技术发展很快，但是现在标准尚不健全，导致不同的防火墙产品兼容性差，给不同厂商的防火墙产品的互联带来了困难。 为了解决这个问题目前已提出了2个标准： 1、RSA数据安全公司与一些防火墙的生产厂商（如Checkpoint公司、TIS公司等）以及一些TCP/IP协议开发商（如FTP公司等）提出了Secure／WAN（S／WAN）标准，它能使在IP层上由支持数据加密技术的不同厂家生产的防火墙和TCP／IP协议具有互操作性，从而解决了建立虚拟专用网（VPN）的一个主要障碍。 7、防火墙的安全标准（2） 此标准包含两个部分： ①防火墙中采用的信息加密技术一致，即加密算法、安全协议一致，使得遵循此标准生产的防火墙产品能够实现无缝互联，但又不失去加密功能； ②安全控制策略的规范性、逻辑上的正确合理性，避免了各大防火墙厂商推出的防火墙产品由于安全策略上的漏洞而对整个内部保护网络产生危害。 7、防火墙的安全标准（3） 2、美国国家计算机安全协会NCSA （National Computer Security Association）成立的防火墙开发商FWPD （Firewall Product Developer）联盟制订的防火墙测试标准。 3、我国质量技术监督局1999.11.11发布，2000.5.1开始实施： 包过滤防火墙安全技术要求 应用级防火墙安全技术要求 网络代理服务器的安全技术要求 二、