-
防火墙设置中,若设置缺省过滤规则
IP地址过滤的使用IP地址过滤用于通过IP地址设置内网主机对外网的访问权限,适用于这样的需求:在某个时间段,禁止/允许内网某个IP(段)所有或部分端口和外网IP的所有或部分端口的通信。开启IP地址过滤功能时,必须要开启防火墙总 开关 ,并明确IP地址过滤的缺省过滤规则。
2、例一:预期目的:不允许内网的IP地址访问外网所有IP地址;允许192.168.1.103完全不受限制的访问外网的所有IP地址。选择缺省过滤规则为:凡是不符合已设IP地址过滤规则的数据包。
3、添加IP地址过滤新条目:允许内网完全不受限制的访问外网的所有IP地址;因默认规则为“禁止不符合IP过滤规则的数据包通过路由器”,所以内网电脑IP地址段不需要进行添加,默认禁止其通过。
4、保存后生成相关条目,即能达到预期目的。
5、例二:预期目的:内网的IP地址在任何时候都只能浏览外网网页;从上午8点到下午6点只允在外网邮件服务器上收发邮件,其余时间不能和对外网通信。
浏览网页需使用到80端口(HTTP协议),收发电子邮件使用25(SMTP)与110(POP),同时域名服务器端口号53(DNS)。
6、设置方法:选择缺省过滤规则为:凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器。
防火墙过滤规则表的题
设计原则
构造防火墙设备时,经常要遵循下面两个主要的概念。
第一、保持设计的简单性。
第二、要计划好一旦防火墙被渗透应该怎么办。
简单性
一个黑客渗透系统最常见的方法就是利用安装在堡垒主机上不注意的组件。建立你的堡垒主机时要尽可能使用较小的组件,无论硬件还是软件。堡垒主机的建立只需提供防火墙功能。在防火墙主机上不要安装像WEB服务的应用程序服务。要删除堡垒主机上所有不必需的服务或守护进程。在堡垒主机上运行少量的服务给潜在的黑客很少的机会穿过防火墙。
事故计划
如果你已设计好你的防火墙性能,只有通过你的防火墙才能允许公共访问你的网络。当设计防火墙时安全管理员要对防火墙主机崩溃或危及的情况作出计划。如果你仅仅是用一个防火墙设备把内部网络和公网隔离开,那么黑客渗透进你的防火墙后就会对你内部的网络有着完全访问的权限。为了防止这种渗透,要设计几种不同级别的防火墙设备。不要依赖一个单独的防火墙保护惟独的网络。如果你的安全受到损害,那你的安全策略要确定该做些什么。采取一些特殊的步骤,包括:
1、创建同样的软件备份
2、配置同样的系统并存储到安全的地方
3、确保所有需要安装到防火墙上的软件都容易,这包括你要有恢复磁盘。
防火墙包过滤规则的制定是基于
防火墙(Firewall),又称防护墙、火墙,是由吉尔·舍伍德于1993年发明并引入国际互联网的网络安全系统。
其功能主要包括及时发现并处理计算机网络运行时潜在的安全风险、数据传输等问题,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络正常运行。
中文名
防火墙
外文名
Firewall
问世时间
1993年
作用
信息安全防护
属性
安全硬件系统、安全软件
基本定义
详细解释
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
防火墙
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
什么是防火墙
XP系统相比于以往的Windows系统新增了许多的网络功能(Windows 7的防火墙一样很强大,可以很方便地定义过滤掉数据包),例如Internet连接防火墙(ICF),它就是用一段"代码墙"把电脑和Internet分隔开,时刻检查出入防火墙的所有数据包,决定拦截或是放行那些数据包。防火墙可以是一种硬件、固件或者软件,例如专用防火墙设备就是硬件形式的防火墙,包过滤路由器是嵌有防火墙固件的路由器,而代理服务器等软件就是软件形式的防火墙。
ICF工作原理
ICF被视为状态防火墙,状态防火墙可监视通过其路径的所有通讯,并且检查所处理的每个消息的源和目标地址。为了防止来自连接公用端的未经请求的通信进入专用端,ICF保留了所有源自ICF计算机的通讯表。在单独的计算机中,ICF将跟踪源自该计算机的通信。与ICS一起使用时,ICF将跟踪所有源自ICF/ICS计算机的通信和所有源自专用网络计算机的通信。所有Internet传入通信都会针对于该表中的各项进行比较。只有当表中有匹配项时(这说明通讯交换是从计算机或专用网络内部开始的),才允许将传入Internet通信传送给网络中的计算机。
源自外部源ICF计算机的通讯(如Internet)将被防火墙阻止,除非在“服务”选项卡上设置允许该通讯通过。ICF不会向你发送活动通知,而是静态地阻止未经请求的通讯,防止像端口扫描这样的常见黑客袭击。
防火墙的种类防火墙从诞生开始,已经历了四个发展阶段:基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。常见的防火墙属于具有安全操作系统的防火墙,例如NETEYE、NETSCREEN、TALENTIT等。
从结构上来分,防火墙有两种:即代理主机结构和路由器+过滤器结构,后一种结构如下所示:内部网络过滤器(Filter)路由器(Router)Internet
从原理上来分,防火墙则可以分成4种类型:特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型防火墙,构筑多道防火墙“防御工事”。[1]
吞吐量
网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。吞吐量是指在没有帧丢失的情况下,设备能够接受的最大速率。其测试方法是:在测试中以一定速率发送一定数量的帧,并计算待测设备传输的帧,如果发送的帧与接收的帧数量相等,那么就将发送速率提高并重新测试;如果接收帧少于发送帧则降低发送速率重新测试,直至得出最终结果。吞吐量测试结果以比特/秒或字节/秒表示。
吞吐量和报文转发率是关系防火墙应用的主要指标,一般采用FDT(Full Duplex Throughput)来衡量,指64字节数据包的全双工吞吐量,该指标既包括吞吐量指标也涵盖了报文转发率指标。
主要类型
网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器,运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP地址、来源端口号、目的 IP 地址或端口号、服务类型(如 HTTP 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。
防火墙缺省规则的两种选择
华为usg防火墙基本配置命令:
登陆USG防火墙。
修改防火墙设备名。
对防火墙的时间、时区进行修改。
修改防火墙登陆标语信息。
修改防火墙登陆密码。
查看、保存和删除防火墙配置。
在防火墙上配置vlan、地址接口、测试基本连通性。
登陆缺省配置的防火墙并修改防火墙的名称:
防火墙和路由器一样,有一个Console接口。使用console线缆将console接口和计算机的com口连接在一块。使用windows操作系统自带的超级终端软件,即可连接到防火墙。
防火墙的缺省配置中,包括了用户名和密码。其中用户名为admin、密码Admin@123,所以登录时需要输入用户名和密码信息,输入时注意区分大小写。
修改防火墙的名称的方法与修改路由器名称的方法一致。
另外需要注意的是,由于防火墙和路由器同样使用了VRP平台操作系统,所以在命令级别、命令帮助等,与路由器上相应操作相同。
请配置以下包过滤防火墙的过滤规则表
防火墙匹配规则是从上往下匹配的,切记把过滤规则移动到第一二条避免规则不生效(MIG防火墙过滤规则默认是允许的)
防火墙设置中若设置缺省过滤规则为凡是不符
先登录路由器:
1.先启用“防火墙”
2.开启址“ip地址过滤”,把“缺省过滤规则”设置为“凡是不符合已设ip地址过滤规则的数据包,禁止通过本路由器”。
3.在“ip地址过滤”中添加允许通过的局域网ip地址(填写允许上网的主机的ip地址)和端口、广域网ip地址和端口、协议和生效时间。
防火墙包过滤缺省允许
应用层 --------应用网关防火墙表示层会话层传输层 ---------状态监测防火墙网络层 ---------包过滤防火墙、状态监测防火墙数据链路层物理层
防火墙不可以进行过滤的是
按实现原理的不同将防火墙分为(包过滤型、代理型和监测型)三类。
防火墙设置中若设置缺省过滤规则
有用。
网络安全是目前人们最关心的问题,路由器中内置的防火墙能够起到基本的防火墙功能,它能够屏蔽内部网络的IP地址,自由设定IP地址、通信端口过滤,可以防止黑客攻击和病毒入侵,用户不需要另外花钱安装其他的病毒防护设备就可以拥有一个比较安全的网络环境。
因此,防火墙功能是家用宽带路由器的一个重要功能,因为如果没有防火墙进行安全防护,家庭网络受到病毒入侵和黑客攻击的几率就会增大,从而很可能造成网络的瘫痪,为用户带来不少的麻烦。
目前的路由器防火墙功能主要包括防IP地址过滤,URL过滤,MAC地址过滤,IP地址与MAC地址绑定以及一些防黑能力,安全日志等。
通过路由器内置的防火墙功能,可设置不同的过滤规则,过滤来自外网的所有异常的信息包,使内部网络使用者可以安心上网。
防火墙的规则设置中的缺省设置通常为
1、在浏览器地址栏中输入192、168、1、1,在弹出的用户名和密码框中输入admin/admin。
2、然后在路由器的左边,点击“安全设置”然后在"防火墙配置界面,开启防火墙。
3、选择缺省过滤规则为:凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器。
防火墙对数据包进行过滤时,不能过滤的是
一、攻击实现
1.ICMP转向连接攻击
攻击者主要是使用ICMP【时间超出】或【目标地址无法连接】的消息。这两种ICMP消息都会导致一台主机迅速放弃连接。攻击只需伪造这些ICMP消息中的一条,并发送给通信中的两台主机或其中的一台,就可以利用这种攻击,接着通信连接就会被切断。
当其中一台主机错误地认为信息的目标地址不在本地网络中的时候,网关通常会使用ICMP转向消息。如果攻击者伪造出一条转向消息,它就可以导致另外一台主机经过攻击者主机向特定连接发送数据包。
2.ICMP数据包放大
攻击者向安全薄弱网络所广插的地址发送伪造的ICMP响应数据包,然后都向受害主机系统发送ICMP响应的答复信息,占用了目标系统的可用带宽并导致合法通信的服务拒绝。
3.死Ping攻击
由于早期路由器对包的最大尺寸都有限制,许多操作系统对 TCP/IP的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生尺寸超过ICMP上限的包,也就是加载的尺寸超过64KB上限时,就会出现内存分配错误,导致 TCP/IP崩溃,致使接收方宕机。
4.ICMP Ping淹没攻击
大量的Ping信息广播淹没了目标主机的系统,使得它不能够对合法的通信作出响应。
5.ICMP nuke攻击
nuke发送出目标主机的操作系统无法处理的信息数据包,从而导致该系统宕机。
6.通过ICMP进行攻击信息收集
通过Ping命令来检查目标主机是否存活,依照返回的TTL值判断目标主机操作系统。
二、ICMP攻击的防御方式
1.对ICMP数据包进行过滤
虽然很多主机防火墙可以对ICMP数据包进行过滤,但对于没有安装防火墙的主机,可以使用系统自带的防火墙和安全策略对ICMP进行过滤。
2.修改TTL值
许多入侵者会通过Ping目标主机,用目标返回TTL值来判断对方操作系统。既然入侵者相信T TL值所反映出来的结果,那么只要修改TTL值,入侵者就无法得知目标主机操作系统了。