暑期实习信息安全调研报告
学校:北京科技大学
学院:计算机与通信工程学院
专业:信息安全
班级:信安09
姓名:杨郅文
学号:40950195
2012年7月
身边的信息安全技术及科学问题
目录
1. 前言 ............................................................................................................................................... 2
1.1 防火墙: . ......................................................................................................................... 2
1.1.1 防火墙类型: . ...................................................................................................... 2
1.1.2 代理服务: . .......................................................................................................... 3
1.1.3 防火墙架设结构: . .............................................................................................. 3
1.1.4 防火墙的缺点: . .................................................................................................. 4
1.2 路由器防火墙: . ............................................................................................................. 5
2 TP-link 路由器防火墙设置 ....................................................................................................... 5
2.1 路由器防火墙应用举例— . ............................................................................................. 5
3 思科路由器防火墙设置 . ............................................................................................................ 8
4 TP-LINK 路由器防火墙与思科路由器防火墙设置区别 ...................................................... 10
5 安全路由器与防火墙的区别 . .................................................................................................. 10
5.1 背景 . ............................................................................................................................... 10
5.2 目的 . ............................................................................................................................... 10
5.3 核心技术 . ....................................................................................................................... 11
5.3.1 IP 地址欺骗(使连接非正常复位) ................................................................ 11
5.3.2 TCP 欺骗(会话重放和劫持)......................................................................... 11
5.3.3 安全策略 . ............................................................................................................ 11
5.3.4 对性能的影响 . .................................................................................................... 11
5.3.5 防攻击能力 . ........................................................................................................ 12
6 调研感想 . .................................................................................................................................. 12
1. 前言
我所做的关于身边的信息安全技术及科学问题的调研内容主要是关于路由器防火墙的相关知识内容和对比,以及防火墙、安全路由器和路由器防火墙的对比。首先在这里介绍一下防火墙的概念。
1.1防火墙:
在电脑运算领域中,防火墙(英文:firewall) 是一项协助确保资讯安全的设备,会依照特定的规则,允许或是限制传输的资料通过。防火墙可能是一台专属的硬件或是架设在一般硬件上的一套软件。
防火墙最基本的功能就是隔离网络,通过将网络划分成不同的区域(通常情况下称为ZONE ),制定出不同区域之间的访问控制策略来控制不同任程度区域间传送的数据流。例如互联网是不可信任的区域,而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则 例如:TCP/IP Port 135~139是 Microsoft Windows 的【网上邻居】所使用的。如果电脑有使用【网上邻居】的
【分享资料夹】,又没使用任何防火墙相关的防护措施的话,就等于把自己的【分享资料夹】公开到Internet ,供不特定的任何人有机会浏览目录内的档案。且早期版本的Windows 有【网上邻居】系统溢位的无密码保护的漏洞(这里是指【分享资料夹】有设密码,但可经由此系统漏洞,达到无须密码便能浏览资料夹的需求)。
1.1.1防火墙类型:
1.1.1.1个人防火墙:
个人防火墙,通常是在一部电脑上具有封包过滤功能的软件,如ZoneAlarm 及Windows XP SP2后内建的防火墙程式。而专用的防火墙通常做成网络设备,或是拥有2个以上网络接口的电脑。以作用的TCP/IP堆栈区分,主要分为网络层防火墙和应用层防火墙两种,但也有些防火墙是同时运作于网络层及应用层。
1.1.1.2网络层防火墙:
网络层防火墙可视为一种 IP 封包过滤器,运作在底层的TCP/IP协定堆栈上。我们可以以列举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内建的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内建防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 地址、来源埠号、目的 IP 地址或埠号、服务类型(如 WWW 或是 FTP)。也能经由通讯协定、TTL 值、来源的网域名称或网段... 等属性来进行过滤。
1.1.1.3应用层防火墙:
防火墙的视察软件接口范例,纪录IP 进出情况与对应事件
应用层防火墙是在TCP/IP堆栈的“应用层”上运作,使用浏览器时所产生的资料流或是使用 FTP 时的资料流都是属于这一层。应用层防火墙可以拦截进出某应用程式的所有封包,并且封锁其他的封包(通常是直接将封包丢弃) 。理论上,这一类的防火墙可以完全阻绝外部的资料流进到受保护的机器里。
防火墙借由监测所有的封包并找出不符规则的属性,可以防范电脑蠕虫或是木马程式的快速蔓延。不过就实作而言,这个方法既烦且杂(因软件种类极其繁多),所以大部分的防火墙都不会考虑以这种方法设计。
XML 防火墙是一种新型态的应用层防火墙。
1.1.2代理服务:
代理服务(Proxy )设备(可能是一台专属的硬件,或只是普通电脑上的一套软件)也能像应用程式一样回应输入封包(例如连线要求) ,同时封锁其他的封包,达到类似于防火墙的效果。
代理会使从外部网络窜改一个内部系统更加困难,且只要对于代理有良好的设定,即使内部系统出现问题也不一定会造成安全上的漏洞。相反地,入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的;代理人伪装作为那个系统对其它内部机器。当对内部地址空间的用途加强安全,破坏狂也许仍然使用方法譬如IP 欺骗(IP spoofing)试图通过小包对目标网络。
防火墙经常有网络地址转换(NAT) 的功能,并且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”,定义在RFC 1918。
防火墙的适当的配置要求技巧和智慧,它要求管理员对网络协议和电脑安全有深入的了解,因小差错可使防火墙不能作为安全工具。
1.1.3防火墙架设结构:
1.1.3.1堡垒主机式防火墙:
此防火墙需有两片网络卡,一片与互联网连接,另一片与内部网络连接,如此互联网与内部网络的通路,无法直接接通,所有封包都需要透过堡垒主机转送。
1.1.3.2双闸式防火墙:
此防火墙除了堡垒主机式防火墙的两片网络卡设计外,另有安装一称为应用服务转送器的软件,所有网络封包都须经过此软件检查,此软件将过滤掉不被系统所允许的封包。
1.1.3.3 屏障单机式防火墙:
此防火墙的硬件设备除需要主机外,还需要另一路由器,路由器需具有封包过滤的功能,主机则负责过滤及处理网络服务要求的封包,当互联网的封包进入屏障单机式防火墙时,路由器会先检查此封包是否满足过滤规则,再将过滤成功的封包,转送到主机做网络服务层的检查与转送。
1.1.3.4 屏障双闸式防火墙:
将屏障单机式防火墙的主机换成,双闸式防火墙。
1.1.3.5 屏障子网域式防火墙:
此防火墙借由多台主机与两个路由器组成,电脑分成两个区块,屏障子网域与内部网络,封包经由以下路径,第一个路由器->屏障子网域->第二路由器->内部网络,此设计因有阶段式的过滤功能,因此两个路由器可以有不同的过滤规则,让网络封包使用更有效率。若一封包通过第一过滤器封包,会先在屏障子网域做服务处理,若要做更深入内部网络的服务,则要通过第二路由器的过滤。
1.1.4 防火墙的缺点:
正常状况下,所有互联网的封包软件都应经过防火墙的过滤,这将造成网络交通的瓶颈。例如在攻击性封包出现时,攻击者会不时寄出封包,让防火墙疲于过滤封包,而使一些合法封包软件亦无法正常进出防火墙。
防火墙虽然可以过滤互联网的封包,但却无法过滤内部网络的封包。因此若有人从内部网络攻击时,防火墙是毫无用武之地的。
而电脑本身操作系统亦可能一些系统漏洞,使入侵者可以利用这些系统漏洞来绕过防火墙的过滤,进而入侵电脑。
防火墙无法有效阻挡病毒的攻击,尤其是隐藏在资料中的病毒。
接下来介绍路由器防火墙。
1.2 路由器防火墙:
路由器通常支持一个或者多个防火墙功能; 它们可被划分为用于 Internet 连接的 低端设备和传统的高端路由器。低端路由器提供了用于阻止和允许特定 IP 地址和端 口号的基本防火墙功能,并使用 NAT 来隐藏内部 IP 地址。它们通常将防火墙功能 提供为标准的、为阻止来自 Internet 的入侵进行了优化的功能;虽然不需要配置,但 是对它们进行进一步配置可进一步优化它们的性能。 高端路由器可配置为通过阻止较为明显的入侵 (如 ping) 以及通过使用 ACL 实 现其他 IP 地址和端口限制,来加强访问权限。也可提供其他的防火墙功能,这些功 能在某些路由器中提供了静态数据包筛选。在高端路由器中,以较低的成本提供了与 硬件防火墙设备相似的防火墙功能,但是吞吐量较低。
接下来分别介绍一下TP-LINK 路由器和思科路由器关于防火墙的设定。 2 TP-link 路由器防火墙设置
2.1路由器防火墙应用举例—
IP 地址过滤的使用IP 地址过滤用于通过IP 地址设置内网主机对外网的访问权限,适用于这样的需求:在某个时间段,禁止/允许内网某个IP (段)所有或部分端口和外网IP 的所有或部分端口的通信。
开启IP 地址过滤功能时,必须要开启防火墙总开关,并明确IP 地址过滤的缺省过滤规则(设置过程中若有不明确处,可点击当前页面的“帮助”按钮查看帮助信息):
下面将通过两个例子说明IP 地址过滤的使用
例一:
预期目的:不允许内网192.168.1.100-192.168.1.102的IP 地址访问外网所有IP 地址;允许192.168.1.103完全不受限制的访问外网的所有IP 地址。设置方法如下:
1.选择缺省过滤规则为:凡是不符合已设IP 地址过滤规则的数据包,禁止通过本路由器:
2.添加IP 地址过滤新条目:
允许内网192.168.1.103完全不受限制的访问外网的所有IP 地址
因默认规则为“禁止不符合IP 过滤规则的数据包通过路由器”,所以内网电脑IP 地址段:192.168.1.100-192.168.1.102不需要进行添加,默认禁止其通过。
3.保存后生成如下条目,即能达到预期目的:
例二:
预期目的:内网192.168.1.100-192.168.1.102的IP 地址在任何时候都只能浏览外网网页;192.168.1.103从上午8点到下午6点只允在外网219.134.132.62邮件服务器上收发邮件,其余时间不能和对外网通信。
浏览网页需使用到80端口(HTTP 协议),收发电子邮件使用25(SMTP )与110(POP ),同时域名服务器端口号53(DNS )
设置方法如下:
1.选择缺省过滤规则为:凡是不符合已设IP 地址过滤规则的数据包,禁止通过本路由器:
2.设置生成如下条目后即能达到预期目的:
3思科路由器防火墙设置
思科路由器防火墙的设定全部是基于命令行来设定的,下面简单介绍一下相关设定的命令行。
enable
进入特权用户模式
config t
进入全局配置模式
ipdhcp excluded-address 192.168.100.1 192.168.100.10
从内部DHCP 地址池中排除前10个IP 地址
ipdhcp pool Internal-DHCP
创建一个称为“Internal DHCP”的DHCP 池
import all
将外部的DHCP 设置从ISP 导入到“Internal DHCP”池中
network 192.168.100.0 255.255.255.0
定义这个DHCP 池运行的网络
default-router 192.168.100.1
为“Internal DHCP”池设置默认网关
ip inspect name cbactcp
检查向外发出的数据通信,以便于准许对内的响应TCP 通信
ip inspect name cbacudp
检查向外发出的数据通信,以便于准许对内的响应UDP 通信
interface f0/0
进入接口f0/0, F0/0在这里即是内部的局域网接口
ip address 192.168.100.1 255.255.255.0
将内部的局域网接口IP 设置为 192.168.100.1,子网掩码为24位。
ipnat inside
将此接口指定为网络地址转换的内部接口
interface e0/0
进入接口 e0/0. E0/0在这里即是外部的局域网接口。
ip address dhcp
设置外部局域网接口的IP 使用DHCP ,DHCP 由ISP 提供。
ip access-group CBAC in
打开对内的状态数据包检查
ip inspect cbac out
打开对内的状态数据包检查,这点对于响应对内通信极为关键。
ipnat outside
将这个接口指定为网络地址转换的内部接口
mac-addressffff.ffff.ffff
可选,允许用户进行MAC 地址欺骗。有一些ISP 会锁定MAC 地址。
ipnat inside source list NATACL interface e0/0 overload
它将所有的IP 地址从NATACL ACL转换到外部的接口和IP 地址
ip access-list extended CBAC
定义一个称为CBAC 的扩展ACL ,用于对内的防火墙规则
permitudpanyeqbootpsanyeqbootpc
准许对内的DHCP 。如果不用这个功能,用户的ISP 就不能为其分配一个DHCP IP 地址。
permitgre any any
如果不这样的话,外发的PPTP VPN无法工作
permiticmp any any echo
准许ping 入. 注意,如果你想要保持秘密,请不要使用此功能。
permiticmp any any echo-reply
准许ping 出
permiticmp any anytraceroute
准许traceroute
denyip any any log
如果你想记录所拒绝的进入企图功能,这条命令就很有用。
ip access-list extended NATACL
定义一个称为NATACL 的扩展ACL ,用于实现NAT
permitip 192.168.100.0 0.0.0.255 any
准许192.168.100.0/24到达已经进行了网络地址转换的任何地方。
exit
退出 NATACL ACL
exit
退出全局配置模式
wrmem
将配置改变写往永久性闪存
4 TP-LINK 路由器防火墙与思科路由器防火墙设置区别
首先从上文的介绍中可以看出,TP-link 路由器与思科路由器的防火墙关于设定的方法就存在着不同。TP-link 路由器的设置基于图形界面,类似于Windows Server 上防火墙的设置方式,相比较而言更为简单,便于操作,看起来也更为直观。
思科路由器的设置方式则完全不同。首先,思科路由器的设置方式基于命令行,操作起来较为复杂,类似于linux 系统的命令行模式,不易于查看,命令行的输入格式以及内容需要查看后才可正确输入。但是对比TP-link 而言,思科路由器的防火墙功能更加强大,也更多一些,如果操作熟练的话可以更好的保护自己的网络和计算机。
总体而言,TP-link 路由器更加适合初学者的使用,因为其简单方便,易于设置;思科路由器则适合技术过关的人使用,可以最大发挥思科路由器的作用,也能更好的保护自己的计算机。
5 安全路由器与防火墙的区别
目前市面上的路由器基本都带有简单的防火墙功能,不论是消费级还是企业级,可以实现一些诸如包过滤,IP 过滤这样的功能。所以有些用户就开始质疑硬件防火墙的存在价值。那么我们就来详细的比较一下这两设备有什么差别。
5.1 背景
路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网段的数据包进行有效的路由管理,路由器所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。
防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个数据包是否应该通过、通过后是否会对网络造成危害。
5.2 目的
路由器的根本目的是:保持网络和数据的“通”。
防火墙根本的的目的是:保证任何非允许的数据包“不通”。
5.3 核心技术
路由器核心的ACL 列表是基于简单的包过滤,属于OSI 第三层过滤。从防火墙技术实现的角度来说,防火墙是基于状态包过滤的应用级信息流过滤。
内网的一台服务器,通过路由器对内网提供服务,假设提供服务的端口为TCP 80。为了保证安全性,在路由器上需要配置成:只允许客户端访问服务器的TCP 80端口,其他拒绝。这样的设置存在的安全漏洞如下:
5.3.1 IP 地址欺骗(使连接非正常复位)
5.3.2 TCP 欺骗(会话重放和劫持)
存在上述隐患的原因是,路由器不能监测TCP 的状态。如果在内网的客户端和路由器之间放上防火墙,由于防火墙能够检测TCP 的状态,并且可以重新随机生成TCP 的序列号,则可以彻底消除这样的漏洞。同时,有些防火墙带有一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius 协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。
5.3.3 安全策略
路由器的默认配置对安全性的考虑不够周全,需要做高级高级配置才能达到一些防范攻击的作用,而且企业级路由器基本都是基于命令模式进行配置,其针对安全性的规则的部分比较复杂,配置出错的概率较高。
有些防火墙的默认配置既可以防止各种攻击,达到既用既安全,更人性化的防火墙都是使用图形界面进行配置的,配置简单、出错率低。
5.3.4 对性能的影响
路由器的设计初衷是用来转发数据包的,而不是专门设计作为全特性防火墙的,所以在数据转发时运算量非常大。如果再进行包过滤,对路由器的CPU 和内存或产生很大的影响,这就是为什么路由器开启防火墙后,数据转发率降低的原因。而且路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。 防火墙则不用作数据转发的工作,只要判断该包是否符合要求,是则通过,否则不通过,其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。
由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT 规则的条数的增加,对路由器性能的影响都相应的增加,而防火墙采用的是状态包过滤,规则
条数,NAT 的规则数对性能的影响接近于零。
5.3.5 防攻击能力
即使像Cisco 这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要生级升级IOS 为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。
综上所述,用户是否使用防火墙的一个根本条件是用户对网络安全的需求。用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准。
即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分,对于通常的网络来说,路由器将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口。 6 调研感想
通过这次的调研,我从中收获了很多的知识。
这次的调研中,我了解到了生产实习上机实验中没有学习到的路由器以及路由器防火墙的相关知识,对平时常用的路由器有了更进一步的了解和认识,知道了除了经常使用的TP-link 路由器以外还有其他很多与之不同的路由器,思科就是其中之一。还学习了TP-link 路由器防火墙设置的方法,学到了如何更好的保护我的计算机以及其信息的安全。
经过这次的调研,我对路由器以及防火墙从之前的一知半解到了可以熟练运用的地步。之前在家中对路由器进行设置时都是通过设置向导一步一步去设置,也跳过了防火墙设置这一块,而完成调研报告以后我可以通过自己的想法来对路由器以及其防火墙进行设置,提高了灵活性和自由度。
调研报告的完结意味着本次生产实习正式结束了,在这次实习中我学到了很多知识。实习的结束让我感到十分的不舍,不过在今后的的日子中我依然会努力学习信息安全相关知识,多了解额外的资料和技术,努力为信息安全这门科学技术做出自己的贡献。
暑期实习信息安全调研报告
学校:北京科技大学
学院:计算机与通信工程学院
专业:信息安全
班级:信安09
姓名:杨郅文
学号:40950195
2012年7月
身边的信息安全技术及科学问题
目录
1. 前言 ............................................................................................................................................... 2
1.1 防火墙: . ......................................................................................................................... 2
1.1.1 防火墙类型: . ...................................................................................................... 2
1.1.2 代理服务: . .......................................................................................................... 3
1.1.3 防火墙架设结构: . .............................................................................................. 3
1.1.4 防火墙的缺点: . .................................................................................................. 4
1.2 路由器防火墙: . ............................................................................................................. 5
2 TP-link 路由器防火墙设置 ....................................................................................................... 5
2.1 路由器防火墙应用举例— . ............................................................................................. 5
3 思科路由器防火墙设置 . ............................................................................................................ 8
4 TP-LINK 路由器防火墙与思科路由器防火墙设置区别 ...................................................... 10
5 安全路由器与防火墙的区别 . .................................................................................................. 10
5.1 背景 . ............................................................................................................................... 10
5.2 目的 . ............................................................................................................................... 10
5.3 核心技术 . ....................................................................................................................... 11
5.3.1 IP 地址欺骗(使连接非正常复位) ................................................................ 11
5.3.2 TCP 欺骗(会话重放和劫持)......................................................................... 11
5.3.3 安全策略 . ............................................................................................................ 11
5.3.4 对性能的影响 . .................................................................................................... 11
5.3.5 防攻击能力 . ........................................................................................................ 12
6 调研感想 . .................................................................................................................................. 12
1. 前言
我所做的关于身边的信息安全技术及科学问题的调研内容主要是关于路由器防火墙的相关知识内容和对比,以及防火墙、安全路由器和路由器防火墙的对比。首先在这里介绍一下防火墙的概念。
1.1防火墙:
在电脑运算领域中,防火墙(英文:firewall) 是一项协助确保资讯安全的设备,会依照特定的规则,允许或是限制传输的资料通过。防火墙可能是一台专属的硬件或是架设在一般硬件上的一套软件。
防火墙最基本的功能就是隔离网络,通过将网络划分成不同的区域(通常情况下称为ZONE ),制定出不同区域之间的访问控制策略来控制不同任程度区域间传送的数据流。例如互联网是不可信任的区域,而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则 例如:TCP/IP Port 135~139是 Microsoft Windows 的【网上邻居】所使用的。如果电脑有使用【网上邻居】的
【分享资料夹】,又没使用任何防火墙相关的防护措施的话,就等于把自己的【分享资料夹】公开到Internet ,供不特定的任何人有机会浏览目录内的档案。且早期版本的Windows 有【网上邻居】系统溢位的无密码保护的漏洞(这里是指【分享资料夹】有设密码,但可经由此系统漏洞,达到无须密码便能浏览资料夹的需求)。
1.1.1防火墙类型:
1.1.1.1个人防火墙:
个人防火墙,通常是在一部电脑上具有封包过滤功能的软件,如ZoneAlarm 及Windows XP SP2后内建的防火墙程式。而专用的防火墙通常做成网络设备,或是拥有2个以上网络接口的电脑。以作用的TCP/IP堆栈区分,主要分为网络层防火墙和应用层防火墙两种,但也有些防火墙是同时运作于网络层及应用层。
1.1.1.2网络层防火墙:
网络层防火墙可视为一种 IP 封包过滤器,运作在底层的TCP/IP协定堆栈上。我们可以以列举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内建的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内建防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 地址、来源埠号、目的 IP 地址或埠号、服务类型(如 WWW 或是 FTP)。也能经由通讯协定、TTL 值、来源的网域名称或网段... 等属性来进行过滤。
1.1.1.3应用层防火墙:
防火墙的视察软件接口范例,纪录IP 进出情况与对应事件
应用层防火墙是在TCP/IP堆栈的“应用层”上运作,使用浏览器时所产生的资料流或是使用 FTP 时的资料流都是属于这一层。应用层防火墙可以拦截进出某应用程式的所有封包,并且封锁其他的封包(通常是直接将封包丢弃) 。理论上,这一类的防火墙可以完全阻绝外部的资料流进到受保护的机器里。
防火墙借由监测所有的封包并找出不符规则的属性,可以防范电脑蠕虫或是木马程式的快速蔓延。不过就实作而言,这个方法既烦且杂(因软件种类极其繁多),所以大部分的防火墙都不会考虑以这种方法设计。
XML 防火墙是一种新型态的应用层防火墙。
1.1.2代理服务:
代理服务(Proxy )设备(可能是一台专属的硬件,或只是普通电脑上的一套软件)也能像应用程式一样回应输入封包(例如连线要求) ,同时封锁其他的封包,达到类似于防火墙的效果。
代理会使从外部网络窜改一个内部系统更加困难,且只要对于代理有良好的设定,即使内部系统出现问题也不一定会造成安全上的漏洞。相反地,入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的;代理人伪装作为那个系统对其它内部机器。当对内部地址空间的用途加强安全,破坏狂也许仍然使用方法譬如IP 欺骗(IP spoofing)试图通过小包对目标网络。
防火墙经常有网络地址转换(NAT) 的功能,并且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”,定义在RFC 1918。
防火墙的适当的配置要求技巧和智慧,它要求管理员对网络协议和电脑安全有深入的了解,因小差错可使防火墙不能作为安全工具。
1.1.3防火墙架设结构:
1.1.3.1堡垒主机式防火墙:
此防火墙需有两片网络卡,一片与互联网连接,另一片与内部网络连接,如此互联网与内部网络的通路,无法直接接通,所有封包都需要透过堡垒主机转送。
1.1.3.2双闸式防火墙:
此防火墙除了堡垒主机式防火墙的两片网络卡设计外,另有安装一称为应用服务转送器的软件,所有网络封包都须经过此软件检查,此软件将过滤掉不被系统所允许的封包。
1.1.3.3 屏障单机式防火墙:
此防火墙的硬件设备除需要主机外,还需要另一路由器,路由器需具有封包过滤的功能,主机则负责过滤及处理网络服务要求的封包,当互联网的封包进入屏障单机式防火墙时,路由器会先检查此封包是否满足过滤规则,再将过滤成功的封包,转送到主机做网络服务层的检查与转送。
1.1.3.4 屏障双闸式防火墙:
将屏障单机式防火墙的主机换成,双闸式防火墙。
1.1.3.5 屏障子网域式防火墙:
此防火墙借由多台主机与两个路由器组成,电脑分成两个区块,屏障子网域与内部网络,封包经由以下路径,第一个路由器->屏障子网域->第二路由器->内部网络,此设计因有阶段式的过滤功能,因此两个路由器可以有不同的过滤规则,让网络封包使用更有效率。若一封包通过第一过滤器封包,会先在屏障子网域做服务处理,若要做更深入内部网络的服务,则要通过第二路由器的过滤。
1.1.4 防火墙的缺点:
正常状况下,所有互联网的封包软件都应经过防火墙的过滤,这将造成网络交通的瓶颈。例如在攻击性封包出现时,攻击者会不时寄出封包,让防火墙疲于过滤封包,而使一些合法封包软件亦无法正常进出防火墙。
防火墙虽然可以过滤互联网的封包,但却无法过滤内部网络的封包。因此若有人从内部网络攻击时,防火墙是毫无用武之地的。
而电脑本身操作系统亦可能一些系统漏洞,使入侵者可以利用这些系统漏洞来绕过防火墙的过滤,进而入侵电脑。
防火墙无法有效阻挡病毒的攻击,尤其是隐藏在资料中的病毒。
接下来介绍路由器防火墙。
1.2 路由器防火墙:
路由器通常支持一个或者多个防火墙功能; 它们可被划分为用于 Internet 连接的 低端设备和传统的高端路由器。低端路由器提供了用于阻止和允许特定 IP 地址和端 口号的基本防火墙功能,并使用 NAT 来隐藏内部 IP 地址。它们通常将防火墙功能 提供为标准的、为阻止来自 Internet 的入侵进行了优化的功能;虽然不需要配置,但 是对它们进行进一步配置可进一步优化它们的性能。 高端路由器可配置为通过阻止较为明显的入侵 (如 ping) 以及通过使用 ACL 实 现其他 IP 地址和端口限制,来加强访问权限。也可提供其他的防火墙功能,这些功 能在某些路由器中提供了静态数据包筛选。在高端路由器中,以较低的成本提供了与 硬件防火墙设备相似的防火墙功能,但是吞吐量较低。
接下来分别介绍一下TP-LINK 路由器和思科路由器关于防火墙的设定。 2 TP-link 路由器防火墙设置
2.1路由器防火墙应用举例—
IP 地址过滤的使用IP 地址过滤用于通过IP 地址设置内网主机对外网的访问权限,适用于这样的需求:在某个时间段,禁止/允许内网某个IP (段)所有或部分端口和外网IP 的所有或部分端口的通信。
开启IP 地址过滤功能时,必须要开启防火墙总开关,并明确IP 地址过滤的缺省过滤规则(设置过程中若有不明确处,可点击当前页面的“帮助”按钮查看帮助信息):
下面将通过两个例子说明IP 地址过滤的使用
例一:
预期目的:不允许内网192.168.1.100-192.168.1.102的IP 地址访问外网所有IP 地址;允许192.168.1.103完全不受限制的访问外网的所有IP 地址。设置方法如下:
1.选择缺省过滤规则为:凡是不符合已设IP 地址过滤规则的数据包,禁止通过本路由器:
2.添加IP 地址过滤新条目:
允许内网192.168.1.103完全不受限制的访问外网的所有IP 地址
因默认规则为“禁止不符合IP 过滤规则的数据包通过路由器”,所以内网电脑IP 地址段:192.168.1.100-192.168.1.102不需要进行添加,默认禁止其通过。
3.保存后生成如下条目,即能达到预期目的:
例二:
预期目的:内网192.168.1.100-192.168.1.102的IP 地址在任何时候都只能浏览外网网页;192.168.1.103从上午8点到下午6点只允在外网219.134.132.62邮件服务器上收发邮件,其余时间不能和对外网通信。
浏览网页需使用到80端口(HTTP 协议),收发电子邮件使用25(SMTP )与110(POP ),同时域名服务器端口号53(DNS )
设置方法如下:
1.选择缺省过滤规则为:凡是不符合已设IP 地址过滤规则的数据包,禁止通过本路由器:
2.设置生成如下条目后即能达到预期目的:
3思科路由器防火墙设置
思科路由器防火墙的设定全部是基于命令行来设定的,下面简单介绍一下相关设定的命令行。
enable
进入特权用户模式
config t
进入全局配置模式
ipdhcp excluded-address 192.168.100.1 192.168.100.10
从内部DHCP 地址池中排除前10个IP 地址
ipdhcp pool Internal-DHCP
创建一个称为“Internal DHCP”的DHCP 池
import all
将外部的DHCP 设置从ISP 导入到“Internal DHCP”池中
network 192.168.100.0 255.255.255.0
定义这个DHCP 池运行的网络
default-router 192.168.100.1
为“Internal DHCP”池设置默认网关
ip inspect name cbactcp
检查向外发出的数据通信,以便于准许对内的响应TCP 通信
ip inspect name cbacudp
检查向外发出的数据通信,以便于准许对内的响应UDP 通信
interface f0/0
进入接口f0/0, F0/0在这里即是内部的局域网接口
ip address 192.168.100.1 255.255.255.0
将内部的局域网接口IP 设置为 192.168.100.1,子网掩码为24位。
ipnat inside
将此接口指定为网络地址转换的内部接口
interface e0/0
进入接口 e0/0. E0/0在这里即是外部的局域网接口。
ip address dhcp
设置外部局域网接口的IP 使用DHCP ,DHCP 由ISP 提供。
ip access-group CBAC in
打开对内的状态数据包检查
ip inspect cbac out
打开对内的状态数据包检查,这点对于响应对内通信极为关键。
ipnat outside
将这个接口指定为网络地址转换的内部接口
mac-addressffff.ffff.ffff
可选,允许用户进行MAC 地址欺骗。有一些ISP 会锁定MAC 地址。
ipnat inside source list NATACL interface e0/0 overload
它将所有的IP 地址从NATACL ACL转换到外部的接口和IP 地址
ip access-list extended CBAC
定义一个称为CBAC 的扩展ACL ,用于对内的防火墙规则
permitudpanyeqbootpsanyeqbootpc
准许对内的DHCP 。如果不用这个功能,用户的ISP 就不能为其分配一个DHCP IP 地址。
permitgre any any
如果不这样的话,外发的PPTP VPN无法工作
permiticmp any any echo
准许ping 入. 注意,如果你想要保持秘密,请不要使用此功能。
permiticmp any any echo-reply
准许ping 出
permiticmp any anytraceroute
准许traceroute
denyip any any log
如果你想记录所拒绝的进入企图功能,这条命令就很有用。
ip access-list extended NATACL
定义一个称为NATACL 的扩展ACL ,用于实现NAT
permitip 192.168.100.0 0.0.0.255 any
准许192.168.100.0/24到达已经进行了网络地址转换的任何地方。
exit
退出 NATACL ACL
exit
退出全局配置模式
wrmem
将配置改变写往永久性闪存
4 TP-LINK 路由器防火墙与思科路由器防火墙设置区别
首先从上文的介绍中可以看出,TP-link 路由器与思科路由器的防火墙关于设定的方法就存在着不同。TP-link 路由器的设置基于图形界面,类似于Windows Server 上防火墙的设置方式,相比较而言更为简单,便于操作,看起来也更为直观。
思科路由器的设置方式则完全不同。首先,思科路由器的设置方式基于命令行,操作起来较为复杂,类似于linux 系统的命令行模式,不易于查看,命令行的输入格式以及内容需要查看后才可正确输入。但是对比TP-link 而言,思科路由器的防火墙功能更加强大,也更多一些,如果操作熟练的话可以更好的保护自己的网络和计算机。
总体而言,TP-link 路由器更加适合初学者的使用,因为其简单方便,易于设置;思科路由器则适合技术过关的人使用,可以最大发挥思科路由器的作用,也能更好的保护自己的计算机。
5 安全路由器与防火墙的区别
目前市面上的路由器基本都带有简单的防火墙功能,不论是消费级还是企业级,可以实现一些诸如包过滤,IP 过滤这样的功能。所以有些用户就开始质疑硬件防火墙的存在价值。那么我们就来详细的比较一下这两设备有什么差别。
5.1 背景
路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网段的数据包进行有效的路由管理,路由器所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。
防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个数据包是否应该通过、通过后是否会对网络造成危害。
5.2 目的
路由器的根本目的是:保持网络和数据的“通”。
防火墙根本的的目的是:保证任何非允许的数据包“不通”。
5.3 核心技术
路由器核心的ACL 列表是基于简单的包过滤,属于OSI 第三层过滤。从防火墙技术实现的角度来说,防火墙是基于状态包过滤的应用级信息流过滤。
内网的一台服务器,通过路由器对内网提供服务,假设提供服务的端口为TCP 80。为了保证安全性,在路由器上需要配置成:只允许客户端访问服务器的TCP 80端口,其他拒绝。这样的设置存在的安全漏洞如下:
5.3.1 IP 地址欺骗(使连接非正常复位)
5.3.2 TCP 欺骗(会话重放和劫持)
存在上述隐患的原因是,路由器不能监测TCP 的状态。如果在内网的客户端和路由器之间放上防火墙,由于防火墙能够检测TCP 的状态,并且可以重新随机生成TCP 的序列号,则可以彻底消除这样的漏洞。同时,有些防火墙带有一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius 协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。
5.3.3 安全策略
路由器的默认配置对安全性的考虑不够周全,需要做高级高级配置才能达到一些防范攻击的作用,而且企业级路由器基本都是基于命令模式进行配置,其针对安全性的规则的部分比较复杂,配置出错的概率较高。
有些防火墙的默认配置既可以防止各种攻击,达到既用既安全,更人性化的防火墙都是使用图形界面进行配置的,配置简单、出错率低。
5.3.4 对性能的影响
路由器的设计初衷是用来转发数据包的,而不是专门设计作为全特性防火墙的,所以在数据转发时运算量非常大。如果再进行包过滤,对路由器的CPU 和内存或产生很大的影响,这就是为什么路由器开启防火墙后,数据转发率降低的原因。而且路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。 防火墙则不用作数据转发的工作,只要判断该包是否符合要求,是则通过,否则不通过,其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。
由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT 规则的条数的增加,对路由器性能的影响都相应的增加,而防火墙采用的是状态包过滤,规则
条数,NAT 的规则数对性能的影响接近于零。
5.3.5 防攻击能力
即使像Cisco 这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要生级升级IOS 为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。
综上所述,用户是否使用防火墙的一个根本条件是用户对网络安全的需求。用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准。
即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分,对于通常的网络来说,路由器将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口。 6 调研感想
通过这次的调研,我从中收获了很多的知识。
这次的调研中,我了解到了生产实习上机实验中没有学习到的路由器以及路由器防火墙的相关知识,对平时常用的路由器有了更进一步的了解和认识,知道了除了经常使用的TP-link 路由器以外还有其他很多与之不同的路由器,思科就是其中之一。还学习了TP-link 路由器防火墙设置的方法,学到了如何更好的保护我的计算机以及其信息的安全。
经过这次的调研,我对路由器以及防火墙从之前的一知半解到了可以熟练运用的地步。之前在家中对路由器进行设置时都是通过设置向导一步一步去设置,也跳过了防火墙设置这一块,而完成调研报告以后我可以通过自己的想法来对路由器以及其防火墙进行设置,提高了灵活性和自由度。
调研报告的完结意味着本次生产实习正式结束了,在这次实习中我学到了很多知识。实习的结束让我感到十分的不舍,不过在今后的的日子中我依然会努力学习信息安全相关知识,多了解额外的资料和技术,努力为信息安全这门科学技术做出自己的贡献。