1.1 什么是防火墙
防火墙是一种网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击和入侵。这种“隔离”不是一刀切,是有控制地隔离,允许合法流量通过防火墙,禁止非法流量通过防火墙。
如图1.1所示,防火墙位于企业Internet出口保护内网安全。在防火墙上可以指定规则,允许内网10.1.1.0/24网段的PC访问Internet,禁止Internet用户访问IP地址为192.168.1.2的内网主机。
由上文可见,防火墙与路由器、交换机是有区别的。路由器用来连接不同的网络,通过路由协议保证互联互通,确保将报文转发到目的地;交换机通常用来组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发报文;而防火墙主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器与交换机的本质是转发,防火墙的本质是控制。
防火墙控制网络流量的实现主要依托于安全区域和安全策略,下文详细介绍。
1.2 接口与安全区域
前文提到防火墙用于隔离不同安全级别的网络,那么防火墙如何识别不同网络呢?答案就是安全区域(Security Zone)。通过将防火墙各接口划分到不同的安全区域,从而将接口连接的网络划分为不同的安全级别。防火墙上的接口必须加入安全区域(部分机型的独立管理口除外)才能处理流量。
安全区域的设计理念可以减少网络攻击面,一旦划分安全区域,流量就无法在安全区域之间流动,除非管理员指定了合法的访问规则。如果网络被入侵,攻击者也只能访问同一个安全区域内的资源,这就把损失控制在一个比较小的范围内。因此建议通过安全区域为网络精细化分区。
接口加入安全区域代表接口所连接的网络加入安全区域,而不是指接口本身。接口、网络和安全区域的关系如图1.2所示。
防火墙的安全区域按照安全级别的不同从1到100划分安全级别,数字越大表示安全级别越高。防火墙缺省存在trust、dmz、untrust和local四个安全区域,管理员还可以自定义安全区域实现更细粒度的控制。例如,一个企业按图1-3划分防火墙的安全区域,内网接口加入trust安全区域,外网接口加入untrust安全区域,服务器区接口加入dmz安全区域,另外为访客区自定义名称为guest的安全区域。
一个接口只能加入到一个安全区域,一个安全区域下可以加入多个接口。
上图中有一个特殊的安全区域local,安全级别最高为100。local代表防火墙本身,local区域中不能添加任何接口,但防火墙上所有接口本身都隐含属于local区域。凡是由防火墙主动发出的报文均可认为是从local安全区域发出,凡是接收方是防火墙的报文(非转发报文)均可认为是由local安全区域接收。
另外除了物理接口,防火墙还支持逻辑接口,如子接口、VLANIF、Tunnel接口等,这些逻辑接口在使用时也需要加入安全区域。
1.3 安全策略
前文提到防火墙通过规则控制流量,这个规则在防火墙上被称为“安全策略”。安全策略是防火墙产品的一个基本概念和核心功能,防火墙通过安全策略来提供安全管控能力。
如图1-4所示,安全策略由匹配条件、动作和内容安全配置文件组成,针对允许通过的流量可以进一步做反病毒、入侵防御等内容安全检测。
所有匹配条件在一条安全策略中都是可选配置;但是一旦配置了,就必须全部符合才认为匹配,即这些匹配条件之间是“与”的关系。一个匹配条件中如果配置了多个值,多个值之间是“或”的关系,只要流量匹配了其中任意一个值,就认为匹配了这个条件。
一条安全策略中的匹配条件越具体,其所描述的流量越精确。你可以只使用五元组(源/目的IP地址、端口、协议)作为匹配条件,也可以利用防火墙的应用识别、用户识别能力,更精确、更方便地配置安全策略。
穿墙安全策略与本地安全策略
穿过防火墙的流量、防火墙发出的流量、防火墙接收的流量均受安全策略控制。如图1-5所示,内网PC既需要Telnet登录防火墙管理设备,又要通过防火墙访问Internet。此时需要为这两种流量分别配置安全策略。
尤其讲下本地安全策略,也就是与local域相关相关的安全策略。以上例子中,位于trust域的PC登录防火墙,配置trust访问local的安全策略;反之如果防火墙主动访问其他安全区域的对象,例如防火墙向日志服务器上报日志、防火墙连接安全中心升级特征库等,需要配置local到其他安全区域的安全策略。记住一点防火墙本身是local安全区域,接口加入的安全区域代表接口连接的网络属于此安全区域,这样就可以分清防火墙本身和外界网络的域间关系了。
缺省安全策略与安全策略列表
防火墙存在一条缺省安全策略default,默认禁止所有的域间流量。缺省策略永远位于策略列表的最底端,且不可删除。
用户创建的安全策略,按照创建顺序从上往下排列,新创建的安全策略默认位于策略列表底部,缺省策略之前。防火墙接收到流量之后,按照安全策略列表从上向下依次匹配。一旦某一条安全策略匹配成功,则停止匹配,并按照该安全策略指定的动作处理流量。如果所有手工创建的安全策略都未匹配,则按照缺省策略处理。
由此可见,安全策略列表的顺序是影响策略是否按预期匹配的关键,新建安全策略后往往需要手动调整顺序。
企业的一台服务器地址为10.1.1.1,允许IP网段为10.2.1.0/24的办公区访问此服务器,配置了安全策略policy1。运行一段时间后,又要求禁止两台临时办公PC(10.2.1.1、10.2.1.2)访问服务器。
此时新配置的安全区策略policy2位于policy1的下方。因为policy1的地址范围覆盖了policy2的地址范围,policy2永远无法被匹配。
需要手动调整policy2到policy1的上方,调整后的安全策略如下:
因此,配置安全策略时,注意先精确后宽泛。如果新增安全策略,注意和已有安全策略的顺序,如果不符合预期需要调整。
防火墙的基本作用:
1、包过滤
具备包过滤的就是防火墙?对,没错!根据对防火墙的定义,凡是能有效阻止网络非法连接的方式,都算防火墙。早期的防火墙一般就是利用设置的条件,监测通过的包的特征来决定放行或者阻止的,包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出,但是包过滤依然是非常重要的一环,如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个ip的流量和连接数。
2、包的透明转发
事实上,由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 Server—FireWall—Guest 。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,因此,很多防火墙具备网关的能力。
3、阻挡外部攻击
如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。
4、记录攻击
如果有必要,其实防火墙是完全可以将攻击行为都记录下来的,但是由于出于效率上的考虑,目前一般记录攻击的事情都交给IDS来完成了,我们在后面会提到。
以上是所有防火墙都具备的基本特性,虽然很简单,但防火墙技术就是在此基础上逐步发展起来的。
防火墙的具体作用:
1、首先自然是撑起网路的保护伞。防火墙都会制定自己的规则,凡是符合规则的一律放行,不符合规则的一律禁止,当然这些规则可以由网路管理员来自己制定,但是某些防火墙或许只能使用内置规则。
2、接下来就是强化网络安全策略,本来网络安全问题是由各个安全软件独立处理,而防火墙可以有效的把所有安全软件配置在防火墙上,以防火墙为中心统一调用。防火墙的集中安全管理更经济,更安全。
3、防火墙还能有效地记录Internet上的活动,如果访问经过防火墙的话,它就能一五一十的记录下来,形成日志供用户查看。当有可疑情况发生的时候,防火墙会自动的发出适当的警报,并且提供详细的信息供用户查询。通过这些信息,我们可以有效的掌握目前的网络是否安全,是否需要进一步的配置确保万无一失。
4、防火墙可以限制暴露用户点。防火墙可以把网络隔成一个个网段,每个网段之间是相互独立互不干扰的,当一个网段出现问题的时候不会波及其他的网段,这样可以有效的防止因为一个网段问题波及整个网络的安全。
5、防火墙还有一个重要的功能就是防止信息外泄,隐私应该是每个上网用户最关心的问题,现在正是隐私泄露的敏感时期,因此更受到用户的关心,而防火墙可以阻塞有关内部网络中的DNS信息,使本机的域名和IP地址不会被外界所了解,能有效的阻止信息外泄。
6、当然防火墙的作用不止于安全范围,它还支持具有Internet服务特性的企业内部网络技术体系(虚拟专用网络)。很多防火墙都含有功能。
1、首先定位到控制面板中,在控制面板中找到windows防火墙这个选项,如果找不到请在左侧的菜单中切换到经典视图;
2、双击windows防火墙会弹出新的对话框,对话框默认选中常规标签,通常情况下没必要完全关闭防火墙,确保防火墙已经处于开启状态;
3、这一步切换到例外标签,你可以在这里把程序或端口添加为信任,这样防火墙将不再拦截,还可以编辑或删除已经存在的项;
4、点击添加程序按钮,在弹出的选择框中选择一个程序文件,选中后点击下面的确定按钮,改变会立即生效,防火墙将不再拦截该程序;
5、添加端口需要为其指定一个名字和要放行的端口号码,输入完成后点击确定按钮来使设置生效;
6、在例外项中选中一条点击编辑按钮会弹出编辑对话框,可以对已经存在的例外项进行修改,这里可以是例外的程序或例外的端口,修改完成后点击确定按钮来保存改变;
7、如果要移除某一项例外的条目,可以在选中的情况下点击删除按钮,此时该条目将会重新被防火墙拦截。
出现“对防火墙或防病毒软件进行设置,以允许 Chrome 访问该网络。 如丝酒老强官边度背觉果它已被列为允许访问网络的程序,请尝试.”可以通过控制面板中的系统与安全进行设翻又只欢增里威置,将chrome浏饭意得宣吗际带览器进行允许设置。守通过控制面板中的系统与安全进行设置步骤(以win10系统中允许360浏振硫经玉希会识守览器为例):1、找到桌面“此低本序此电脑”。2、鼠标点击“此电脑”右键“属性”选项。3、点击“控制面板”选项,进入控制面板主页。4、在“控制面板”主页进入“系到念响色万才居故统与安全”,点击进入“系统与安全”。5、在“系统与安全”中点击设置“允许应用通过w走间审班质修呼困indows防火墙”。6、根据红色区域位置,点击“更改设置”选项。7、将应用程序(此次为360浏览器)选项前打勾,点击确定进行确定。