防火墻在防范局域網(wǎng)內(nèi)外部攻擊中的應(yīng)用

　　摘　要：對(duì)防火墻防范來(lái)自外部攻擊和病毒，以及來(lái)自局域網(wǎng)內(nèi)部攻擊2個(gè)方面的應(yīng)用進(jìn)行了論述。并以華為公司的防火墻產(chǎn)品為例介紹了防火墻的配置以及防火墻在安全防護(hù)中存在的問(wèn)題。

　　關(guān)鍵詞：防火墻;網(wǎng)絡(luò)安全;局域網(wǎng)

　　安全防火墻是目前網(wǎng)絡(luò)中用來(lái)保證內(nèi)部網(wǎng)路安全的主要技術(shù)。防火墻類(lèi)似于建筑大廈中用于防止火災(zāi)蔓延的隔斷墻， Internet防火墻是一個(gè)或一組實(shí)施訪問(wèn)控制策略的系統(tǒng)，它監(jiān)控可信任網(wǎng)絡(luò)(相當(dāng)于內(nèi)部網(wǎng)絡(luò))和不可信任網(wǎng)絡(luò)(相當(dāng)于外部網(wǎng)絡(luò))之間的訪問(wèn)通道，以防止外部網(wǎng)絡(luò)的危險(xiǎn)蔓延到內(nèi)部網(wǎng)絡(luò)上。防火墻作用于被保護(hù)區(qū)域的入口處，基于訪問(wèn)控制策略提供安全防護(hù)。

　　1、防火墻保護(hù)局域網(wǎng)絡(luò)防范外部攻擊的配置與應(yīng)用

　　1. 1　網(wǎng)絡(luò)中常見(jiàn)的攻擊種類(lèi)隨著網(wǎng)絡(luò)技術(shù)的普及，網(wǎng)絡(luò)攻擊行為出現(xiàn)得越來(lái)越頻繁。通過(guò)各種攻擊軟件，只要具有一般計(jì)算機(jī)常識(shí)的初學(xué)者也能完成對(duì)網(wǎng)絡(luò)的攻擊。各種網(wǎng)絡(luò)病毒的泛濫，也加劇了網(wǎng)絡(luò)被攻擊的危險(xiǎn)。

　　網(wǎng)絡(luò)攻擊，一般是侵入或破壞網(wǎng)上的服務(wù)器(主機(jī)) ,盜取服務(wù)器的敏感數(shù)據(jù)或干擾破壞服務(wù)器對(duì)外提供的服務(wù);也有直接破壞網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)攻擊，這種破壞影響較大，會(huì)導(dǎo)致網(wǎng)絡(luò)服務(wù)異常，甚至中斷。防火墻的攻擊防范功能能夠檢測(cè)出多種類(lèi)型的網(wǎng)絡(luò)攻擊，并能采取相應(yīng)的措施保護(hù)局域網(wǎng)絡(luò)免受惡意攻擊，保證內(nèi)部局域網(wǎng)絡(luò)及系統(tǒng)的正常運(yùn)行。

　　在網(wǎng)絡(luò)中常見(jiàn)網(wǎng)絡(luò)攻擊行為有：

　　IP地址欺騙攻擊;Land攻擊;Smurf攻擊;Fraggle攻擊;Teardrop攻擊;W inNuke攻擊;SYN Flood攻擊;ICMP和UDP F lood攻擊;地址掃描與端口掃描攻擊;Ping ofDea th攻擊。

　　1. 2　防火墻的典型組網(wǎng)配置和攻擊防范目前網(wǎng)絡(luò)中主要使用防火墻來(lái)保證局域網(wǎng)絡(luò)的安全。例如：當(dāng)防火墻位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接處時(shí)，可以保護(hù)組織內(nèi)的局域網(wǎng)絡(luò)和數(shù)據(jù)免遭來(lái)自外部網(wǎng)絡(luò)的非法訪問(wèn)(未授權(quán)或未驗(yàn)證的訪問(wèn))或惡意攻擊;當(dāng)防火墻位于組織內(nèi)部相對(duì)開(kāi)放的網(wǎng)段或比較敏感的網(wǎng)段(如保存敏感或?qū)Ｓ袛?shù)據(jù)的網(wǎng)絡(luò)部分)的連接處時(shí)， 可以根據(jù)需要過(guò)濾對(duì)敏感數(shù)據(jù)的訪問(wèn)(即使該訪問(wèn)來(lái)自組織內(nèi)部) 。

　　如圖1所示，是一個(gè)典型的防范外部攻擊的防火墻應(yīng)用網(wǎng)絡(luò)模型，分別接入互聯(lián)網(wǎng)和遠(yuǎn)端分支機(jī)構(gòu)，并使用不同級(jí)別的安全策略保護(hù)內(nèi)部網(wǎng)絡(luò)。其中防火墻位于內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和DMZ區(qū)域中間，主要防止來(lái)自外部網(wǎng)絡(luò)的攻擊和病毒，同時(shí)允許內(nèi)部網(wǎng)絡(luò)訪問(wèn)外部網(wǎng)絡(luò)和DMZ區(qū)域。

　　下面以華為公司的防火墻為例，防范以上各種攻擊，配置如下：#firewa ll defend ip - spoofing enablefirewa ll defend land enablefirewa ll defend smurf enablefirewa ll defend fraggle enablefirewa ll defend winnuke enablefirewa ll defend syn - flood enablefirewa ll defend udp - flood enablefirewa ll defend icmp - flood enablefirewa ll defend icmp - redirect enablefirewa ll defend icmp - unreachable enablefirewa ll defend ip - sweep enablefirewa ll defend port - scan enablefirewa ll defend source - route enablefirewa ll defend route - record enablefirewa ll defend tracert enablefirewa ll defend time - stamp enablefirewa ll defend ping - of - death enablefirewa ll defend teardrop enablefirewa ll defend tcp - flag enablefirewa ll defend ip - fragment enablefirewa ll defend large - icmp enable#1. 3　防火墻在防病毒攻擊上的應(yīng)用對(duì)于互聯(lián)網(wǎng)上的各種蠕蟲(chóng)病毒、震蕩波病毒等，必須能夠判斷出網(wǎng)絡(luò)蠕蟲(chóng)病毒、震蕩波病毒的特征，把網(wǎng)絡(luò)蠕蟲(chóng)病毒造成的攻擊阻擋在安全網(wǎng)絡(luò)之外。

　　從而對(duì)內(nèi)部安全網(wǎng)絡(luò)形成立體、全面的防護(hù)。因此我們啟用防火墻的實(shí)時(shí)網(wǎng)絡(luò)流量分析功能，及時(shí)發(fā)現(xiàn)各種攻擊和網(wǎng)絡(luò)蠕蟲(chóng)病毒產(chǎn)生的異常流量�？梢允褂梅阑饓︻A(yù)先定義的流量分析模型，也可以自己定義各種協(xié)議流量的比例，連接速率閾值等參數(shù)，形成適合當(dāng)前網(wǎng)絡(luò)的分析模型。比如， 用戶可以指定系統(tǒng)的TCP連接和UDP連接總數(shù)的上限閾值和下限閾值。當(dāng)防火墻系統(tǒng)的TCP或UDP連接個(gè)數(shù)超過(guò)設(shè)定的閾值上限后，防火墻將輸出日志進(jìn)行告警，而當(dāng)TCP、UDP 連接個(gè)數(shù)降到設(shè)定的閾值下限時(shí)，防火墻輸出日志，表示連接數(shù)恢復(fù)到正常。另外，也可以指定配置不同類(lèi)型的報(bào)文在正常情況下一定時(shí)間內(nèi)所占的百分比以及允許的變動(dòng)范圍，系統(tǒng)定時(shí)檢測(cè)收到的各類(lèi)報(bào)文百分比，并和配置進(jìn)行比較，如果某類(lèi)型( T 、UD 、I M 或其它) 報(bào)文百分比超過(guò)配置的上限閾值(加波動(dòng)范圍) ,則系統(tǒng)輸出日志告警;如果某類(lèi)型報(bào)文百分比低于配置的下限閾值(加波動(dòng)范圍) ,則系統(tǒng)輸出日志告警。

　　配置如下：

　　3、使能系統(tǒng)統(tǒng)計(jì)功能firewall statistics system enable3 使能系統(tǒng)連接數(shù)量監(jiān)控firewall sta tistics system connect - numbe r { tcp |udp } { high 500 000 low 1 }3 使能系統(tǒng)報(bào)文比率異常告警檢測(cè)firewall sta tistics system flow - percent { tcp tcp- percent udp udp - percent icmp icmp - percent al2teration a ltera tion - pe rcent [ time time - value ] }

　　在網(wǎng)絡(luò)中，通過(guò)測(cè)試其中TCP、UDP、ICMP 報(bào)文分別所占的百分比為75%、15%、5%;變動(dòng)的范圍為25%;檢測(cè)周期為60min。

　　此命令TCP、UDP、ICMP3種報(bào)文所占百分比需要同時(shí)被配置，并且3種報(bào)文所占百分比之和不能超過(guò)100%;如果TCP、UDP、ICMP3種報(bào)文百分比之和超過(guò)100%,則命令不會(huì)生效此外，病毒攻擊產(chǎn)生大量的未知單播報(bào)文沖擊，造成網(wǎng)絡(luò)振蕩和設(shè)備故障，所以必須在所有交換機(jī)配置防病毒ACL規(guī)則對(duì)病毒報(bào)文進(jìn)行過(guò)濾。

　　例如對(duì)震蕩波病毒的防范如下：

　　rule 47 deny tcp de stination - port eq 445 (防震蕩波病毒)rule 50 deny udp destination - port eq 445 (防震蕩波病毒)rule 55 deny tcp destina tion - port eq 5554 (防震蕩波病毒)rule 57 deny tcp destina tion - port eq 9996 (防震蕩波病毒)2　內(nèi)部隔離造成當(dāng)前網(wǎng)絡(luò)“安全危機(jī)”的另外一個(gè)因素是忽視對(duì)內(nèi)網(wǎng)安全的監(jiān)控管理。防火墻防范了來(lái)自網(wǎng)絡(luò)外部的攻擊，對(duì)于潛伏于網(wǎng)絡(luò)內(nèi)部的“黑手”卻置之不理，事實(shí)上很多攻擊的源頭來(lái)自局域網(wǎng)內(nèi)部，出現(xiàn)網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)泄密，通過(guò)NAT的網(wǎng)絡(luò)內(nèi)部的攻擊行為無(wú)法進(jìn)行審計(jì)。由于對(duì)網(wǎng)絡(luò)內(nèi)部缺乏防范，當(dāng)網(wǎng)絡(luò)內(nèi)部主機(jī)感染蠕蟲(chóng)病毒時(shí)，會(huì)形成可以感染整個(gè)互聯(lián)網(wǎng)的污染源頭，導(dǎo)致整個(gè)互聯(lián)網(wǎng)絡(luò)環(huán)境低劣。

　　所以，對(duì)于網(wǎng)絡(luò)管理者，不但要關(guān)注來(lái)自局域網(wǎng)絡(luò)外部的威脅，而且要防范來(lái)自網(wǎng)絡(luò)內(nèi)部的惡意行為。防火墻可以提供對(duì)網(wǎng)絡(luò)內(nèi)部安全保障的支持，形成全面的安全防護(hù)體系。如果企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置有虛擬局域網(wǎng)(VL N) ,則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻;因此，在企業(yè)、機(jī)構(gòu)等重要部門(mén)或者關(guān)鍵數(shù)據(jù)中心應(yīng)部署防火墻， 保證重要數(shù)據(jù)的安全。

　　通過(guò)防火墻強(qiáng)大的訪問(wèn)控制以及內(nèi)網(wǎng)的安全特性，在高安全性的內(nèi)部網(wǎng)絡(luò)保證機(jī)密數(shù)據(jù)的合法訪問(wèn)，并且通過(guò)分級(jí)的策略控制，實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)部的分級(jí)安全保障。

　　在受保護(hù)的內(nèi)部網(wǎng)絡(luò)，如何防范來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊將是網(wǎng)絡(luò)安全領(lǐng)域面臨的一個(gè)十分重要的問(wèn)題。在IP協(xié)議棧中，ARP是以太網(wǎng)上非常重要的一個(gè)協(xié)議。以太網(wǎng)網(wǎng)絡(luò)中的主機(jī)，在互相進(jìn)行IP訪問(wèn)之前，都必須先通過(guò)ARP協(xié)議來(lái)獲取目的IP 地址對(duì)應(yīng)的MAC地址。在通過(guò)路由器、三層交換機(jī)作為網(wǎng)關(guān)時(shí)， PC機(jī)為了把數(shù)據(jù)發(fā)送到網(wǎng)關(guān)，同樣需要通過(guò)ARP 協(xié)議來(lái)獲取網(wǎng)關(guān)的MAC地址。由于ARP協(xié)議本身不具備任何安全性，所以留下了很多的安全漏洞。

　　主機(jī)欺騙：惡意的網(wǎng)絡(luò)客戶可以偽造出別的客戶的ARP報(bào)文，使被攻擊的客戶不能正常進(jìn)行網(wǎng)絡(luò)通訊。

　　網(wǎng)關(guān)偽造：惡意的網(wǎng)絡(luò)客戶可以偽造網(wǎng)關(guān)的ARP應(yīng)答，在ARP應(yīng)答報(bào)文中把網(wǎng)關(guān)的IP地址對(duì)應(yīng)的MAC地址設(shè)置為自己的MAC地址，那么，網(wǎng)絡(luò)中所有的客戶都會(huì)把數(shù)據(jù)發(fā)送到惡意網(wǎng)絡(luò)客戶的主機(jī)上。

　　ARP“轟炸”：惡意客戶主機(jī)發(fā)出大量的不同IP對(duì)應(yīng)不同的MAC的ARP 報(bào)文， 讓網(wǎng)絡(luò)中的設(shè)備ARP表都加入最大數(shù)量的ARP 表項(xiàng)，導(dǎo)致正常的ARP不能加入，從而中斷網(wǎng)絡(luò)流量。

　　防火墻通過(guò)以下幾種方式來(lái)解決上述內(nèi)部網(wǎng)絡(luò)的地址安全性：

　　( )M 地址和I 地址綁定配置如下配置客戶機(jī)I 地址和M 地址到地址綁定關(guān)系中。

　　[Quidway] firewall mac - binding202. 169. 168. 1 00e0 - fc00 - 0100使能地址綁定功能。

　　[Quidway] firewall mac - bindingenable( 2) ARP欺騙檢查：

　　firewall defend arp - reve rse - query( 3)ARP反向查詢firewall defend arp - spoofing3　防火墻的性能測(cè)試通過(guò)上述方法可以解決網(wǎng)絡(luò)中的攻擊問(wèn)題以及內(nèi)網(wǎng)的安全問(wèn)題，但是防火墻在使用中，通過(guò)測(cè)試存在以下幾個(gè)問(wèn)題。

　　3. 1　防火墻無(wú)法檢測(cè)加密的Web流量由于網(wǎng)絡(luò)防火墻對(duì)于加密的SSL流中的數(shù)據(jù)是不可見(jiàn)的，防火墻無(wú)法迅速截獲SSL 數(shù)據(jù)流并對(duì)其解密，因此無(wú)法阻止應(yīng)用程序的攻擊，甚至有些網(wǎng)絡(luò)防火墻，根本就不提供數(shù)據(jù)解密的功能。

　　3. 2 　普通應(yīng)用程序加密就能輕易躲過(guò)防火墻的檢測(cè)大多數(shù)網(wǎng)絡(luò)防火墻中，依賴的是靜態(tài)的特征庫(kù)，只有當(dāng)應(yīng)用層攻擊行為的特征與防火墻中的數(shù)據(jù)庫(kù)中已有的特征完全匹配時(shí)，防火墻才能識(shí)別和截獲攻擊數(shù)據(jù)。如果采用常見(jiàn)的編碼技術(shù)，將惡意代碼和其它攻擊命令隱藏起來(lái)，轉(zhuǎn)換成某種形式，只要與防火墻規(guī)則庫(kù)中的規(guī)則不一樣，就能夠躲過(guò)網(wǎng)絡(luò)防火墻，成功避開(kāi)特征匹配。

　　3 3　對(duì)于W 應(yīng)用程序，防范能力不足據(jù)年趨勢(shì)科技公司統(tǒng)計(jì)， 網(wǎng)絡(luò)攻擊中70%來(lái)自于Web應(yīng)用程序的攻擊，由于體系結(jié)構(gòu)的原因，即使是最先進(jìn)的網(wǎng)絡(luò)防火墻，在防范Web應(yīng)用程序時(shí)，由于無(wú)法全面控制網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)流，也無(wú)法截獲應(yīng)用層的攻擊。由于對(duì)于整體的應(yīng)用數(shù)據(jù)流，缺乏完整的、基于會(huì)話( Se ssion)級(jí)別的監(jiān)控能力，因此很難預(yù)防新的、未知的攻擊。

　　以上防火墻的不足可以通過(guò)其它安全工具來(lái)解決。

　　因此在網(wǎng)絡(luò)中， 需要防火墻和病毒網(wǎng)關(guān)結(jié)合使用。

　　4、結(jié)語(yǔ)

　　作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障，防火墻對(duì)于保護(hù)本單位的內(nèi)部網(wǎng)絡(luò)有著十分重要的作用。因此，在當(dāng)今信息化時(shí)代，伴隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，應(yīng)加強(qiáng)防火墻的應(yīng)用研究，保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全，促進(jìn)電子商務(wù)和電子政務(wù)的快速發(fā)展。

　　參考文獻(xiàn)

　　[ 1 ] 劉建偉，王育民。 網(wǎng)絡(luò)安全—技術(shù)與實(shí)踐[M ]. 北京：清華大學(xué)出版社， 2005.

　　[ 2 ] Te rryWilliam Ogle tree. 防火墻原理與實(shí)施[M ]. 北京：電子工業(yè)出版社， 2001.

　　[ 3 ] Marcus Gonca lve s. 防火墻技術(shù)指南[M ].北京：機(jī)械工業(yè)出版社， 2000.

【防火墻在防范局域網(wǎng)內(nèi)外部攻擊中的應(yīng)用】相關(guān)文章：

無(wú)線局域網(wǎng)及應(yīng)用03-18

局域網(wǎng)組建與應(yīng)用03-28

研究局域網(wǎng)組建與應(yīng)用03-19

探析局域網(wǎng)組建與應(yīng)用03-20

應(yīng)用藍(lán)牙技術(shù)組建無(wú)線局域網(wǎng)03-20

基于手機(jī)無(wú)線局域網(wǎng)的架構(gòu)與應(yīng)用03-18

淺析局域網(wǎng)網(wǎng)絡(luò)安全防范技術(shù)論文01-01

談分布式防火墻技術(shù)及其應(yīng)用03-18

無(wú)線局域網(wǎng)絡(luò)語(yǔ)音擴(kuò)展VoIP技術(shù)應(yīng)用(一)03-07