防火墻主要由四個部分組成：服務訪問規(guī)則、驗證工具、包過濾和應用網關。所有計算機的一切輸入輸出的網絡通信和數據包都要經過防火墻。下面就讓小編帶你去看看防火墻的基礎知識科普，希望能幫助到大家!

網絡基礎知識：TCP協(xié)議之探測防火墻

為了安全，主機通常會安裝防火墻。防火墻設置的規(guī)則可以限制其他主機連接。例如，在防火墻規(guī)則中可以設置IP地址，允許或阻止該IP地址主機對本機的連接;還可以設置監(jiān)聽端口，允許或阻止其他主機連接到本地監(jiān)聽的端口。

為了清楚地了解目標主機上是否安裝防火墻，以及設置了哪些限制，netwo__工具提供了編號為76的模塊來實現。它通過發(fā)送大量的TCP[SYN]包，對目標主機進行防火墻探測，并指定端口通過得到的響應包進行判斷。

如果目標主機的防火墻處于關閉狀態(tài)，并且指定的端口沒有被監(jiān)聽，將返回[RST，ACK]包。

如果目標主機上啟用了防火墻，在規(guī)則中設置了端口，阻止其他主機連接該端口，那么在探測時將不會返回響應信息。如果設置為允許其他主機連接該端口，將返回[SYN，ACK]包。

如果在規(guī)則中設置了IP地址，并允許該IP地址的主機進行連接，探測時返回[SYN，ACK]包;當阻止該IP地址的主機進行連接，探測時將不會返回數據包。

由于它可以發(fā)送大量的TCP[SYN]包，用戶還可以利用該模塊實施洪水攻擊，耗盡目標主機資源。

在主機192.168.59.131上對目標主機192.168.59.133進行防火墻探測。

1)向目標主機端口2355發(fā)送TCP[SYN]包，探測是否有防火墻。執(zhí)行命令如下：

root@da__ueba:~# netwo__ 76 -i 192.168.59.133 -p 2355

執(zhí)行命令后沒有任何輸出信息，但是會不斷地向目標主機發(fā)送TCP[SYN]包。

2)為了驗證發(fā)送探測包情況，可以通過Wireshark抓包進行查看，如圖1所示。其中，一部分數據包目標IP地址都為192.168.59.133，源IP地址為隨機的IP地址，源端口為隨機端口，目標端口為2355。這些數據包是探測防火墻時發(fā)送的TCP[SYN]數據包。另一部分數據包源IP地址為192.168.59.133，目標IP地址為隨機的IP地址，源端口為2355，目標端口為隨機端口。這些數據包為對應的響應包。這里的響應包為[RST，ACK]包，表示目標主機的防火墻沒有開啟，并且目標主機沒有監(jiān)聽2355端口。

3)目標主機沒有開啟防火墻時，如果監(jiān)聽了端口(如監(jiān)聽了49213端口)，將會得到[SYN，ACK]響應包，如圖2所示。其中，一部分數據包的源IP地址為192.168.59.133，目標IP地址為隨機的IP地址，源端口為49213，目標端口為隨機端口。這些數據包為對應的響應包。這里的響應包為第2次握手包，表示目標主機監(jiān)聽了49213端口。

4)當目標主機上開啟了防火墻，再進行探測時，如果目標主機監(jiān)聽了端口，并且在防火墻規(guī)則中允許連接到該端口，那么將會收到[SYN，ACK]響應包。如果不允許連接到該端口，那么將不會返回任何響應數據包。例如，防火墻規(guī)則中不允許連接49213端口，那么在探測時，將只有TCP[SYN]包，如圖3所示。其中，所有的數據包目標IP地址都為192.168.59.133，源IP地址為隨機的IP地址，源端口為隨機端口，目標端口為49213。這些數據包就是探測時發(fā)送的TCP[SYN]包。

5)目標主機的防火墻規(guī)則可能限制了特定IP地址的主機進行連接。那么，在進行探測時，其他IP地址的TCP[SYN]包會得到對應的[SYN，ACK]響應包，被限制的IP地址主機將不會收到響應包。捕獲到的探測數據包，如圖4所示。其中，偽造了大量的IP地址向目標主機發(fā)送的TCP[SYN]包。例如，第45個數據包為偽造主機19.182.220.102向目標主機192.168.59.133發(fā)送的探測包。第53個數據包為偽造主機223.145.224.217向目標主機192.168.59.133發(fā)送的探測包。

6)通過顯示過濾器，過濾主機19.182.220.102的數據包，如圖5所示。圖中第45個數據包為發(fā)送的探測包，第283個數據包為對應的響應包[SYN，ACK]。這說明目標主機防火墻規(guī)則中沒有限制主機19.182.220.102的連接。

7)過濾主機223.145.224.217的數據包，如圖6所示。該數據包為進行探測發(fā)送的[SYN]包，主機IP地址為223.145.224.217，但是該數據包沒有對應的響應包。這說明目標主機防火墻規(guī)則中限制了主機223.145.224.217的連接。

8)對目標主機實施洪水攻擊，在攻擊之前，在目標主機上查看所有端口的相關狀態(tài)信息，如圖7所示。其中，192.168.59.133：49213表示主機192.168.59.133開啟了49213端口。狀態(tài)列中的LISTENING表示該端口處于監(jiān)聽狀態(tài)。

9)對目標主機進行洪水攻擊，執(zhí)行命令如下：

root@da__ueba:~# netwo__ 76 -i 192.168.59.133 -p 49213

10)再次在目標主機上查看所有端口的相關狀態(tài)信息，如圖8所示。圖中顯示了大量的地址192.168.59.133：49213，表示有大量的主機連接了主機的49213端口。其中，1.11.56.194：49356表示，主機1.11.56.194的49356端口連接了主機192.168.59.133的49213端口。

科普 l 防火墻的基礎知識整理

一、基本特征

1、內外部網絡之間的一切網絡數據流都必須經過防火墻

2、只有符合安全策略的數據流的數據才能通過防火墻

3、防火墻本身就應該具備非常強的抗攻擊和免疫力

4、應用層防火墻應該具備更精細的防護能力

5、數據庫防火墻應該具備針對數據庫惡意攻擊的阻斷能力

二、主要優(yōu)點

1、防火墻具有強化安全策略的能力。

2、防火墻可以有效對Internet上的活動進行記錄。

3、防火墻具有限制暴露用戶點的能力，可以用來隔開網絡中的網段，有效防止其中某一網段的出現問題時影響其他網段。

4、防火墻是一個檢查站。所有輸入輸出的信息都必須通過防火墻的檢查，確認安全才能通過，可疑的訪問全都會被拒絕于門外。

三、基本功能

1.對進出網絡的數據進行過濾

2.管理用戶進出訪問網絡的行為

3.封堵禁止的業(yè)務

4.記錄所有通過防火墻信息內容和活動

5.對網絡攻擊行為進行檢測和告警

四、防火墻的分類

按照防火墻的實現方式可將防火墻分為下列幾種：

1、包過濾防火墻：包過濾防火墻比較簡單，但缺乏靈活性。而且包過濾防火墻每個包通過時都需要進行策略檢查，一旦策略過多會導致性能的急劇下降。

2、代理型防火墻：安全性高，但開發(fā)成本也很高，如果每個應用都開發(fā)一個的代理服務的話是很難做到的。所以代理型防火墻需要針對某些業(yè)務應用，不適合很豐富的業(yè)務。

3、狀態(tài)檢測防火墻：屬于高級通信過濾，在狀態(tài)檢測防火墻中，會維護著一個會話表項，通過Session表項就能判斷連接是否合法訪問，現在主流的防火墻產品多為狀態(tài)檢測防火墻。

論防火墻之基礎知識

1.防火墻原理

通過匹配數據包中的源目IP地址及源目端口或者協(xié)議，地址轉換及隱藏端口等，定義相應策略，從而實現需求及效果。

2.作用

2.1防止外部攻擊，保護內網;

2.2在防火墻上做NAT地址轉換(源和目的);

2.3基于源地址及目的地址應用協(xié)議及端口做策略規(guī)則，控制訪問關系;

2.4限定用戶訪問特殊站點

2.5管理訪問網絡的行為

2.6做監(jiān)管認證

3.部署位置(以Hillstone SG6000為例)

一般部署在出口位置，如出口路由器等，或者區(qū)域出口

4.接入方式

三層接入(需要做NAT轉換，常用)

二層透明接入(透明接入不影響網絡架構)

混合接入(一般有接口需要配置成透明模式，可以支持此模式)

5.安全域劃分

5.1一般正常三個安全域untrust(外網)、trust(內網)、DMZ

5.2服務器網段也可自定義多個，外網接口ip地址：客戶提供

5.3內網口ip地址：如果內網有多個網段，建議在中心交換機配置獨立的VLAN網段，不要與內網網段相同。

5.4如果客戶內網只有一個網段，沒有中心交換機，則把防火墻內網口地址設置為客戶內網地址段，并作為客戶內網網關(使用于中小型網絡)

5.5 DMZ口ip地址：建議配置成服務器網段的網關

配置基本思路：

配置安全域(默認三個安全域)

配置接口地址

配置路由

默認路由：其中指定的接口：untrust(外網)接口，如果有多個出口，可以在這選擇不同的接口，其中網關為跟FW互聯(lián)設備接口的地址，比如59.60.12.33是給電信給的出口網關地址。

靜態(tài)路由：網關地址為下一跳地址，客戶內部有多個VLAN，需要配置靜態(tài)路由，比如客戶內部有172.16.2.0/24,172.16.3.0/24等多網段，可以指定一條靜態(tài)路由。

6.配置策略

Rule id 4

Action permit //動作允許

log session-start

log session-end

src-zone "untrust" //源安全域為untrust

dst-zone "trust" //目的安全域為trust

src-addr "________廣場_10.126.242.3"

dst-addr "____系統(tǒng)_144.160.31.139"

service "Any"

description "______廣場訪問____系統(tǒng)"

e__it

//源地址______廣場訪問目的地址____系統(tǒng)

6.1配置安全域之間的允許策略

6.2配置trust到untrust的允許所有的策略

6.3配置DMZ到untrust的允許所有的策略

6.4配置trust到DMZ的允許所有的策略

6.5配置untrust到DMZ服務器的允許策略

6.6配置untrust到trust服務器的允許策略

(有時候有需求是從untrust訪問trust內部地址的需求，同樣要先做目的NAT，然后配置從untrust到trust的允許策略)

7.配置詳細策略

一般為了使接口流量能夠流入或者流出接口，將接口綁定到某個安全域下。

三層安全域，還需為接口配置ip地址，然后規(guī)定策略，多個接口可以綁定到一個安全域下，但是一個接口不能被綁定到多個安全域。

策略查詢：

系統(tǒng)會根據數據包的源安全域、目的安全域、源ip地址及端口號和目的ip地址及端口號及協(xié)議等，查找策略規(guī)則，如果找不到策略，則丟棄數據包，如果找到相應的策略，則根據規(guī)則所定義的動作來執(zhí)行，動作為允許、拒絕、隧道。

7.1配置策略規(guī)則

Address address1

Ip address 192.168.10.1 255.255.255.0

Policy from l2-trust2 to l2-untrust2

Rule from ipaddress1 to any service any permit //從地址1來的所有服務都允許通過

7.2安全域

Trust、untrust、DMZ、l2-trust、l2-untrust、l2-DMZ。

接口綁定到域，并且綁定到vswitch，二層和三層域決定了接口工作在二層模式還是三層模式。

創(chuàng)建vswitch2，創(chuàng)建二層安全域trust1，將trust1綁定到vswitch2中，再將eth0/0綁定到trust1中：

配置示例：

Vswitch vswitch2

Zone trust1 l2

Bind vswitch2

Int eth0/0

Zone trust1

配置安全域：

Zone +域名稱

L2+指定所創(chuàng)建域為二層域

在全局模式下使用no zone+域名稱則刪除指定域

綁定二層域到vswitch，默認情況下，每一個二層域都被綁定到vswitch1中

7.3接口模式

物理接口：設備上eth0/0、eth0/1等都屬于物理接口

邏輯接口：VLAN接口、環(huán)回接口、等屬于邏輯接口。

二層接口：屬于二層域以及VLAN的接口均屬于二層接口

三層接口：屬于三層域的接口都屬于三層接口，只有三層接口在NAT/路由模式下工作。

8.Juniper?SSG-550M防火墻

使用Get system 查看版本信息等

使用Get interface查看接口狀態(tài)，系統(tǒng)默認的登錄用戶名和密碼都為netscreen

幾個系統(tǒng)默認的安全區(qū)及接口：安全域中如無物理接口存在，則無實際意義。

Trust eth1口

Untrust eth4口

DMZ eth3口

接口模式

NAT模式

當流量從端口流入，再流出端口時，源地址會轉換為接口的地址，不管策略中轉換池有沒有指定源地址轉換，接口會進行轉換，eth1口默認是NAT默認，使用時修改為router模式。

路由模式

(更加靈活，常用)當流量從端口流入，再流出端口時，如果在策略中轉換池指定源地址轉換了，則流出端口時會進行轉換，如策略地址池中無源地址轉換策略，則不會進行轉換。

Juniper防火墻地址轉換方式

MIP靜態(tài)一對一地址轉換

VIP虛擬一對多地址轉換

DIP動態(tài)多對多地址轉換

配置MIP和VIP時轉換時有要求，轉換后的地址必須是與eth1內網口地址所屬同一網段，否則無法使用，而DIP不受此規(guī)則限制看，所以比較靈活。

1.QOS流量限制

作用：對流量進行限速，增加鏈路帶寬

實現方式：先對需要限速的報文分類標記，然后進行流量策略匹配，將流策略和流行為進行綁定，然后應用于接口。

2.Ospf 10 area 1 使用OSPF協(xié)議

Ospf路由協(xié)議，手動配置，路由表自動生成

ospf協(xié)議特點：

1.1路由信息傳遞與路由計算分離

1.2無路由自環(huán)收斂速度快

1.3以帶寬作為選路條件，更精確

1.4支持無類域間路由

1.5使用ip組播收發(fā)協(xié)議數據

1.6支持協(xié)議報文的認證

OSPF開銷：

COST=參考帶寬/實際帶寬(參考帶寬缺省100)

3.起子接口連接各支行

在接口下啟用子接口，配置IP地址，連接各支行

4.做NQA檢測

主要檢測地市分行核心路由器到數據中心出口路由器，主備線路，當檢測到主鏈路出現故障時，切換到備用鏈路上。

5.使用靜態(tài)路由

靜態(tài)路由，手動配置，路由表逐條添加

6.NTP時鐘服務

設置NTP時鐘服務器，同步各設備時間。

7.SSH遠程登錄

遠程登錄設備控制

8.靜態(tài)NAT網絡地址轉換

可以針對源地址轉換，針對目的地址轉換。

防火墻的基礎知識科普相關文章：

防火墻的基礎知識科普相關文章：

★ 防火墻的基礎知識大全有哪些

★ 防火墻的詳細介紹

★ 【電腦知識】:防火墻的工作技術分類與基礎原理是什么?

★ 【電腦知識】:防火墻的三種工作模式是什么?

★ 系統(tǒng)安全基礎知識大全有哪些

★ 網絡基礎知識匯總學習

★ 【電腦知識】:防火墻性能的幾個重要參數指標是什么?

★ 【網絡安全】:網絡安全基礎知識點匯總

★ 認識網絡的基礎知識教程

★ 什么是網絡的基礎知識