【文章內(nèi)容簡(jiǎn)介】 常見的防火墻有以下幾類：1. 應(yīng)用網(wǎng)關(guān)（Application Gateway）：檢驗(yàn)通過(guò)此網(wǎng)關(guān)的所有數(shù)據(jù)包中的位于應(yīng)用層的數(shù)據(jù)。比如FTP網(wǎng)關(guān)，連接中傳輸?shù)乃蠪TP數(shù)據(jù)包都必須經(jīng)過(guò)此FTP網(wǎng)關(guān)。2. 包過(guò)濾（Packet Filter）：是指對(duì)每個(gè)數(shù)據(jù)包都將會(huì)完全按照用戶所定義的規(guī)則來(lái)比較進(jìn)入的數(shù)據(jù)包的源地址、目的地址是否符合所定義的規(guī)則。如用戶規(guī)定禁止端口是25或者大于等于1024的數(shù)據(jù)包通過(guò)，則只要端口符合該條件，該數(shù)據(jù)包便被禁止通過(guò)此防火墻。3. 代理（Proxy）：通常情況下指的是地址代理。它的機(jī)制是將網(wǎng)內(nèi)主機(jī)的IP地址和端口替換為路由器或者服務(wù)器的IP地址和端口。讓所有的外部網(wǎng)絡(luò)主機(jī)與內(nèi)部網(wǎng)絡(luò)之間的相互訪問(wèn)都必須通過(guò)使用代理服務(wù)器來(lái)實(shí)現(xiàn)。這樣，就可以控制外部網(wǎng)絡(luò)中的主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)中具有重要資源的機(jī)器的訪問(wèn)。 包過(guò)濾一般情況下，包過(guò)濾是指對(duì)路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息中所承載的上層IP協(xié)議中的協(xié)議號(hào)、數(shù)據(jù)包的源地址、目的地址、源端口號(hào)和目的端口號(hào)等，然后與設(shè)定的規(guī)則進(jìn)行比較，比較后的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。因此只要用戶所配置的規(guī)則比較符合實(shí)際的應(yīng)用，那么在這一層就可以過(guò)濾掉許多帶有安全隱患的未知數(shù)據(jù)包。包過(guò)濾（對(duì)IP數(shù)據(jù)包）所選取用來(lái)判斷的元素如下圖所示（圖中IP所承載的上層協(xié)議為TCP）。 包過(guò)濾示意圖1. 不讓任何人從外界使用Telnet登錄。2. 讓每個(gè)人經(jīng)由SMTP（Simple Message Transfer Protocol，簡(jiǎn)單郵件傳輸協(xié)議）向我們發(fā)送電子郵件。3. 使得某臺(tái)機(jī)器可以通過(guò)NNTP（Network News Transfer Protocol，網(wǎng)絡(luò)新聞傳輸協(xié)議）向我們發(fā)送新聞，而其它機(jī)器都不具備此項(xiàng)服務(wù)等等。1. 基于訪問(wèn)控制列表（ACL）：訪問(wèn)控制列表的運(yùn)用面很廣，它不僅僅可以應(yīng)用在包過(guò)濾中，還可應(yīng)用在如地址轉(zhuǎn)換和IPSec等其它需要對(duì)數(shù)據(jù)流進(jìn)行分類的特性中的應(yīng)用中。．支持標(biāo)準(zhǔn)及擴(kuò)展訪問(wèn)控制列表：可以是只設(shè)定一個(gè)簡(jiǎn)單的地址范圍的標(biāo)準(zhǔn)訪問(wèn)控制列表；也可以使用具體到協(xié)議、源地址范圍、目的地址范圍、源端口范圍、目的端口范圍以及優(yōu)先級(jí)與服務(wù)類型等等的擴(kuò)展訪問(wèn)控制列表功能。. 支持時(shí)間段：可以使訪問(wèn)控制列表在完全自定義的特定的時(shí)間段內(nèi)起作用，比如可設(shè)置每周一的8:00至20:00此訪問(wèn)控制列表起作用。2. 支持訪問(wèn)控制列表的自動(dòng)排序：為了簡(jiǎn)化配置的復(fù)雜程度，方便對(duì)于訪問(wèn)控制列表的配置及維護(hù)，可以選擇是否針對(duì)某一類的訪問(wèn)控制列表進(jìn)行自動(dòng)排序。 3. 可以具體到接口的輸入及輸出方向：可以在連接WAN的接口的輸出方向上應(yīng)用某條包過(guò)濾規(guī)則，也可以在該接口的輸入方向上應(yīng)用其它的包過(guò)濾規(guī)則。4. 支持基于接口進(jìn)行過(guò)濾：可以在一個(gè)接口的某個(gè)方向上設(shè)定禁止或允許轉(zhuǎn)發(fā)來(lái)自某個(gè)接口的報(bào)文。5. 支持對(duì)符合條件的報(bào)文做日志：可記錄報(bào)文的相關(guān)信息，并提供機(jī)制保證在有大量相同觸發(fā)日志的情況下不會(huì)消耗過(guò)多的資源。本文主要使用包過(guò)濾功能（ACL訪問(wèn)控制列表）實(shí)現(xiàn)基本的防火墻功能，下面將著重介紹ACL訪問(wèn)控制列表的配置。第6章 ACL配置簡(jiǎn)單的來(lái)說(shuō)就是需要配置一些過(guò)濾數(shù)據(jù)包的規(guī)則，規(guī)定什么樣的數(shù)據(jù)包可以通過(guò)，什么樣的數(shù)據(jù)包不能通過(guò)。訪問(wèn)控制列表可分為標(biāo)準(zhǔn)訪問(wèn)控制列表和擴(kuò)展訪問(wèn)控制列表。acl aclnumber [ matchorder config | auto ]rule { normal | special }{ permit | deny } [source sourceaddr sourcewildcard | any ]acl aclnumber [ matchorder config | auto ]rule { normal | special }{ permit | deny } pronumber [source sourceaddr sourcewildcard | any ] [sourceport operator port1 [ port2 ] ] [ destination destaddr dest wildcard | any ] [destinationport operator port1 [ port2 ] ] [icmptype icmptype icmpcode] [logging]其中“protocolnumber”用名字或數(shù)字表示的IP承載的協(xié)議類型。數(shù)字范圍為0～255；名字取值范圍為：icmp、igmp、ip、tcp、udp、gre、ospf。對(duì)于“protocol”參數(shù)的不同，該命令又有以下形式：1. “protocol”為ICMP時(shí)的命令格式如下：rule { normal | special }{ permit | deny } icmp [source sourceaddr sourcewildcard | any ] [ destination destaddr dest wildcard | any ] [icmptype icmptype icmpcode] [logging] 2. “protocol”為IGMP、IP、GRE、OSPF時(shí)的命令格式如下： rule { normal | special }{ permit | deny } { ip | ospf | igmp | gre } [source sourceaddr sourcewildcard | any ] [ destination destaddr dest wildcard | any ] [logging]3. “protocol”為TCP或UDP時(shí)的命令格式如下：rule { normal | special }{ permit | deny } { tcp | udp } [source sourceaddr sourcewildcard | any ] [sourceport operator port1 [ port2 ] ] [ destination destaddr dest wildcard | any ] [destinationport operator port1 [ port2 ] ] [logging]只有TCP和UDP協(xié)議需要指定端口范圍，支持的操作符及其語(yǔ)法如下表：操作符及語(yǔ)法意義equal portnumber等于端口號(hào)portnumbergreaterthan portnumber大于端口號(hào)portnumberlessthan portnumber小于端口號(hào)portnumbernotequal portnumber不等于端口號(hào)portnumberrange portnumber1 portnumber2介于端口號(hào)portnumber1 和 portnumber2之間用戶通過(guò)配置防火墻添加適當(dāng)?shù)脑L問(wèn)規(guī)則，就可利用包過(guò)濾來(lái)對(duì)通過(guò)路由器的IP包進(jìn)行檢查，從而過(guò)濾掉用戶不希望通過(guò)路由器的包，起到網(wǎng)絡(luò)安全的作用。防火墻的配置包括：1. 允許/禁止防火墻2. 配置標(biāo)準(zhǔn)訪問(wèn)控制列表3. 配置擴(kuò)展訪問(wèn)控制列表4. 配置在接口上應(yīng)用訪問(wèn)控制列表的規(guī)則5. 設(shè)置防火墻的缺省過(guò)濾方式6. 設(shè)置特殊時(shí)間段配置路由器RA：[RA]firewall enable 啟用防火墻功能[RA]timerange enable 啟用時(shí)間段功能[RA]firewall default permit 設(shè)置防火墻缺省過(guò)濾方式[RA]settr 08:00 18:00 *設(shè)定工作時(shí)間段*[RA]acl 3001 創(chuàng)建ACL規(guī)則編號(hào)3001[RAacl3001]rule special deny tcp source any destination any destinationport greaterthan 1024[RA]acl 3002[RAacl3002]rule permit ip source destination 在下班時(shí)間允許PCA .*[RAacl3002]rule permit tcp source any destination any destinationport eq smtp 在下班時(shí)間允許發(fā)送郵件[RAacl3002]rule special deny ip source destination .*[RAacl3002]rule special permit ip source destination 0 在上班時(shí)間允許PCA 只能訪問(wèn)百度[RAacl3002]rule special deny tcp source destination any destinationport eq smtp 在上班時(shí)間禁止PCA對(duì)外發(fā)送郵件[RAacl3002]rule special deny tcp source destination any destinationport eq 在上班時(shí)間禁止PCB 使用服務(wù)[RAacl3002]rule special deny tcp source destination any destinationport eq smtp 在上班時(shí)間禁止PCB對(duì)外發(fā)送郵件[RAacl3002]rule special permit tcp source destination any destinationport eq ftp 在上班時(shí)間允許PCB使用ftp服務(wù)[RAacl3002]rule special permit tcp source destination any dest