【文章內(nèi)容簡介】 FTP 服務器，將其作為向外部發(fā)布內(nèi)部信息的地點。從技術角度來講，就是所謂的非軍事區(qū)（ DMZ）。 防火墻的分類和技術原理以及典型體系結構 目前防火墻系統(tǒng)的工作原理因實現(xiàn)技術不同，大致可分為三種： 1包過濾技術：包過濾技術是一種基于網(wǎng)絡層的防火墻技術。根據(jù)設置好的過濾規(guī)則，通過檢查 IP 數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。而那些不符合規(guī)定的 IP 地址會被防火墻過濾掉，由此保證網(wǎng)絡系統(tǒng)的安全。該技術通?？梢赃^濾基于某些或所有下列信息組的 IP 包：源 IP 地址 。目的 IP 地址 。TCP/UDP 源端口 。TCP/UDP 目的端口。包過濾技術實際上是一種基于路由器的技術，其最大優(yōu)點就是價格便宜，實現(xiàn)邏輯簡單便于安裝和使用。缺點是過濾規(guī)則難以配置和測試。包過濾只訪問網(wǎng)絡層和傳輸層的信息，訪問信息有限，對網(wǎng)絡更高協(xié)議層的信息無理解能力。對一些協(xié)議，如 UDP 和 RPC 難以有效的過濾。 2代理技術：代理技術是與包過濾技術完全不同的另一種防火墻技術。其主要思想就是在兩個網(wǎng)絡之間設置一個“中間檢查站”，兩邊的網(wǎng)絡應用可以通過這個檢查站相互通信，但是它們之間不能越過它直接通信。這個“中間檢查站”就是代理服務器，它運行在兩個網(wǎng) 絡之間，對網(wǎng)絡之間的每一個請求進行檢查。當代理服務器接收到用戶請求后，會檢查用戶請求合法性。若合法，則把請求轉發(fā)到真實的服務器上，并將答復再轉發(fā)給用戶。代理服務器是針對某種應用服務而寫的，工作在應用層。優(yōu)點是它將內(nèi)部用戶和外界隔離開來，使得從外面只能看到代理服務器而看不到任何內(nèi)部資源。與包過濾技術相比，代理技術是一種更安全的技術。缺點是在應用支持方面存在不足，執(zhí)行速度較慢。 3狀態(tài)監(jiān)視技術：這是第三代防火墻技術，集成了前兩者的優(yōu)點。能對網(wǎng)絡通信的各層實行檢測。同包過濾技術一樣，它能夠檢測通過 IP 地址、端 口號以及 TCP 標記，過濾進出的數(shù)據(jù)包。它允許受信任的客戶機和不受信任的主機建立直接連接，不依靠與應用層有關的代理，而是依靠某種算法來識別進出的應用 第 9 頁 層數(shù)據(jù)，這些算法通 過己知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包，這樣從理論上就能比應用級代理在 過濾數(shù)據(jù)包上更有效。 狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應用程序，可方便地實現(xiàn)應用和服務的擴充。此外，它還可監(jiān)測 RPC 和UDP 端口信息，而包過濾和代理都不支持此類端口。這樣，通過對各層進行監(jiān)測，狀態(tài)監(jiān)視器實現(xiàn)網(wǎng)絡安全的目的。目前，多使用狀態(tài)監(jiān)測防火墻，它對用戶透明，在 OSI 最高層上加密數(shù)據(jù)，而無需修改客戶端程序，也無需對每個需在防火墻上運行的服務額外增加一個代理。 復合型防火墻：由于對更高安全性的要求，通常把數(shù)據(jù)包過濾和代理服務系統(tǒng)的功能和特點綜合起來，構成復合型防火墻系統(tǒng)。所用主機稱為堡壘主機，負責代理服務。各種類型的防火墻都有其各自的優(yōu)缺點。當前的防火墻產(chǎn)品己不再是單一的包過濾型或代理服務器型防火墻，而是將各種安全技術結合起來，形成一個混合的多級防火墻，以提高防火墻的靈活性和安全性。 混合型防火墻一般采用以下幾種技術 : 1動態(tài)包過濾。 2內(nèi)核透明技術。 3用戶 認證機制。 4內(nèi)容和策略感知能力。 5內(nèi)部信息隱藏。 6智能日志、審計和實時報警。 7防火墻的交互操作性等。 firewall zone name userzone 創(chuàng)建一個安全區(qū)域，進一個已建立的安全區(qū)域視圖時不需要用關鍵字。 set priority 60 設置優(yōu)先級 add interface GigabitEther0/0/1 把接口添加進區(qū)域 dis zone [userzone]顯示區(qū)域配置信息 [FW]policy interzone trust untrust outbound [FWpolicyinterzonetrustuntrustoutbound]policy 1 firewall defend ipsweep enable firewall defend ipsweep maxrate 1000 firewall blacklist enable [SRG]firewall defend ipsweep blacklisttimeout 20 firewall macbinding enable MAC 地址綁定配置 firewall macbinding 00e0fc000100 [FW2]firewall zone untrust [FW2zoneuntrust]add interface g0/0/0 [FW2]firewall packetfilter default permit interzone trust untrust [FW2]firewall packetfilter default permit interzone local untrust IPSec 相關 配置： 第 10 頁 先配置 ACL： acl number 3000 rule 5 permit ip source destination 配置安全提議，封閉使用隧道模式， ESP 協(xié)議， ESP 使用 DES 加密算法，完整性驗證使用 SHA1 算法。 [FW1]ipsec proposal tran1 encapsulationmode tunnel transform esp esp authenticationalgorithm sha1 esp encryptionalgorithm des 配置 IKE 安全提議 [FW1]ike proposal 10 authenticationalgorithm sha1 encryptionalgorithm des 配置 IKE 對等體，使用 IKEV2 協(xié)商方式。 [FW1]ike peer fw12 對方可以取名 fw21。 ikeproposal 10 remoteaddress presharedkey abcde 配置安全策略 [FW1]ipsec policy map1 10 isakmp security acl 3000 proposal tran1 kepeer fw12 如果要針對源 IP 設置安全策略，則該 IP 應該是做源 NAT 轉換前的 IP 配置安全策略 [FW]policy interzone trust untrust outbound [FWpolicyinterzonetrustuntrustoutbound]policy 1 [FWpolicyinterzonetrustuntrustoutbound]action permit [FWpolicyinterzonetrustuntrustoutbound]policy source portmapping ftp port 803 acl 2021 端口映射，把 FTP 映射為 803。 interzone dmz untrust detect ftp 與 IDS 聯(lián)運配置 firewall ids authentication type md5 key huawei123 firewall ids server firewall ids port 3000 firewall ids enable 第 11 頁 負載均衡 slb enable slb rserver 1 rip rserver 2 rip [SRG]firewall packetfilter default permit interzone local dmz direction outbound 允許健康檢查報文在防火墻 Localt 和 DMZ 域間出方向流動。 group kdkd metric weightrr 加權輪詢算法。 addrserver 1 addrserver 4 addrserver 5 vserver huawei vip group kdkd NAT 配置 nat addressgroup 1 [SRG]natpolicy interzone untrust trust inbound policy 1 action sourcenat policy source addressgroup 1 nopat //使用地址池 1 做 NAT NoPAT 轉換 配置 easyip natpolicy interzone trust untrust outbound policy 1 action sourcenat sourceaddress easyip GigabitEther0/0