安全無(wú)小事！近段時(shí)間“密碼泄露”事件鬧得沸沸揚(yáng)揚(yáng)，人心惶惶。先是CSDN用戶數(shù)據(jù)庫(kù)的泄露，這對(duì)從事計(jì)算機(jī)技術(shù)工作的人員來(lái)說(shuō)可謂是當(dāng)頭一棒。因?yàn)榻^大多數(shù)IT技術(shù)工作者都在CSDN注冊(cè)過(guò)賬號(hào)，而且?guī)缀醵际鞘褂猛粋€(gè)用戶名和密碼，注冊(cè)了其它類的技術(shù)網(wǎng)站。發(fā)生“CSDN用戶數(shù)據(jù)庫(kù)泄露”事件后，反正我是趕緊把自己在用的許多技術(shù)類網(wǎng)站的密碼都改了過(guò)來(lái)。但是剛改完沒(méi)多久，又出現(xiàn)了天涯、新浪微博等泄密事件。真是防不勝防！

難道互聯(lián)網(wǎng)上就沒(méi)有安全的地方了嗎？我認(rèn)為還是有的，要不然也沒(méi)有這么多人使用互聯(lián)網(wǎng)。只不過(guò)近段時(shí)間接二連三暴露的問(wèn)題太多了。不過(guò)，有了問(wèn)題只要通過(guò)各種安全措施把它解決了，同樣可以提高互聯(lián)網(wǎng)的安全性。本文就涉及到企業(yè)網(wǎng)絡(luò)中防火墻設(shè)備部署、安裝和配置。雖然防火墻不能解決所有的安全問(wèn)題，但它在網(wǎng)絡(luò)中的部署也是絕對(duì)不能少的。

圖1單位網(wǎng)絡(luò)架構(gòu)和防火墻部署圖示

一、網(wǎng)絡(luò)架構(gòu)和防火墻部署情況

單位網(wǎng)絡(luò)結(jié)構(gòu)圖如圖1所示。為了確保重要設(shè)備的穩(wěn)定性和冗余性，核心層交換機(jī)使用兩臺(tái)6509-E，通過(guò)Trunk線連接。在辦公區(qū)的接入層使用了多臺(tái)Cisco2960交換機(jī)，圖示為了簡(jiǎn)潔，只畫(huà)出了兩臺(tái)。在核心層交換機(jī)6509-E上，通過(guò)防火墻連接有單位重要的服務(wù)器，如FTP、E-MAIL服務(wù)器和數(shù)據(jù)庫(kù)等。單位IP地址的部署，使用的是C類私有192網(wǎng)段的地址。DHCP服務(wù)器的IP地址為192.168.10.1，F(xiàn)TP服務(wù)器的IP地址是192.168.5.2。Cisco6509-E和Cisco3750之間，以及Cisco3750和Cisco2960之間都是Trunk連接。

圖1中的橘黃色線表示的是用光纖連接，藍(lán)色線表示的是用雙絞線連接。而且從兩臺(tái)6509上分別延伸出來(lái)了的兩條黃色線，一條豎線和一條橫線，它們?cè)谕負(fù)鋱D中其實(shí)是對(duì)兩臺(tái)6509上端口的一種擴(kuò)展，并不是這兩條線只連接到6509上的一個(gè)端口，而是連接了多個(gè)端口。這種布局的拓?fù)鋱D，在結(jié)構(gòu)上就顯得更清晰明了。

單位根據(jù)部門(mén)性質(zhì)的不同，把各個(gè)部門(mén)的電腦劃入到不同的VLAN中。服務(wù)器都位于VLAN2至VLAN10中，對(duì)應(yīng)的網(wǎng)絡(luò)號(hào)是192.168.2.0~192.168.10.0，如DHCP服務(wù)器位于VLAN10中，F(xiàn)TP服務(wù)器位于VLAN5中。服務(wù)器的IP地址、默認(rèn)網(wǎng)關(guān)和DNS都是靜態(tài)配置的。VLAN11至VLAN150是屬于辦公部門(mén)使用的，對(duì)應(yīng)的網(wǎng)絡(luò)號(hào)是192.168.11.0~192.168.150.0。VLAN號(hào)和網(wǎng)絡(luò)號(hào)之間都是對(duì)應(yīng)的。VLAN中的PC都是通過(guò)Cisco2960接入到網(wǎng)絡(luò)中，3750都是二層配置，三層的配置都在Cisco6509上，也就是VLAN間的路由都是通過(guò)6509完成的。PC的IP地址、默認(rèn)網(wǎng)關(guān)和DNS都是自動(dòng)從DHCP服務(wù)器上獲得的，不用手工靜態(tài)配置。

如圖1所示，兩臺(tái)防火墻都是聯(lián)想PowerV防火墻，它們運(yùn)行的模式都為透明模式，也就是以“橋”模式運(yùn)行的，本身只需要配置一個(gè)管理IP地址，不必占用任何其它的IP資源，也不需要改變用戶的拓?fù)洵h(huán)境，設(shè)備的運(yùn)行對(duì)用戶來(lái)說(shuō)是“透明”的，在網(wǎng)絡(luò)設(shè)備上進(jìn)行各種命令的配置時(shí)，就當(dāng)不存在這兩個(gè)防火墻一樣，因?yàn)樗鼈兪峭该髂Ｊ?。它們只?duì)線路上的數(shù)據(jù)包作安全檢查，和安全策略上的限制，本身不會(huì)影響網(wǎng)絡(luò)的整體架構(gòu)和配置。這種模式在安裝和維護(hù)防火墻時(shí)，相對(duì)防火墻的另外一種運(yùn)行模式——路由模式，來(lái)說(shuō)要簡(jiǎn)單很多。

Cisco6509-E和核心區(qū)Cisco2960之間不是Trunk模式連接，而是使用接入模式連接的，也就是兩臺(tái)Cisco6509-E的Gi3/2位于VLAN5中，核心區(qū)兩臺(tái)Cisco2960的Gi0/1也位于VLAN5中。兩臺(tái)6509和兩臺(tái)3750之間，以及辦公區(qū)中網(wǎng)絡(luò)設(shè)備間的連接情況如下所示：

Cisco6509-E1GigabitEthernet3/1<---->Cisco3750AGigabitEthernet1/0/25

Cisco6509-E2GigabitEthernet3/1<---->Cisco3750BGigabitEthernet1/0/25

Cisco3750AGigabitEthernet1/0/1<----->Cisco2960AGigabitEthernet0/1

Cisco3750BGigabitEthernet1/0/1<----->Cisco2960BGigabitEthernet0/1

兩臺(tái)6509和兩臺(tái)防火墻之間的，以及核心區(qū)中網(wǎng)絡(luò)設(shè)備間的連接情況如下所示：

Cisco6509-E1GigabitEthernet3/2<----->FW-AGigabitEthernet1

Cisco6509-E2GigabitEthernet3/2<----->FW-BGigabitEthernet1

FW-AGigabitEthernet2<----->Cisco2960AGigabitEthernet0/1

FW-BGigabitEthernet2<----->Cisco2960BGigabitEthernet0/1

二、主要網(wǎng)絡(luò)設(shè)備上的配置情況

1、兩臺(tái)核心交換機(jī)上的配置情況。在Cisco6509-E1上的主要配置如下所示：

hostnameCisco6509-E1

interfaceGigabitEthernet3/1

descriptionLink3750A_1/0/25

switchporttrunkencapsulationdot1q

switchporttrunkallowedvlan5,115

switchportmodetrunk

interfaceGigabitEthernet3/2

descriptionLink_FW-A_Gi1

switchportaccessvlan5

switchportmodeaccess

interfaceVlan5

ipaddress192.168.5.252255.255.255.0

standby5ip192.168.5.254

standby5priority120

standby5preempt

interfaceVlan115

ipaddress192.168.115.252255.255.255.0

standby115ip192.168.115.254

standby115priority120

standby115preempt

其中命令“ipaddress192.168.5.252255.255.255.0”是給指定的VLAN配置IP地址。

命令“standby5priority120”中的“priority”是配置HSRP的優(yōu)先級(jí)，5為組序號(hào)，它的取值范圍為0～255，120為優(yōu)先級(jí)的值，取值范圍為0～255，數(shù)值越大優(yōu)先級(jí)越高。

優(yōu)先級(jí)將決定一臺(tái)路由器在HSRP備份組中的狀態(tài)，優(yōu)先級(jí)最高的路由器將成為活動(dòng)路由器，其它優(yōu)先級(jí)低的路由器將成為備用路由器。當(dāng)活動(dòng)路由器失效后，備用路由器將替代它成為活動(dòng)路由器。當(dāng)活動(dòng)和備用路由器都失效后，其它路由器將參與活動(dòng)和備用路由器的選舉工作。優(yōu)先級(jí)都相同時(shí)，接口IP地址高的將成為活動(dòng)路由器。

“preempt”是配置HSRP為搶占模式。如果需要高優(yōu)先級(jí)的路由器能主動(dòng)搶占成為活動(dòng)路由器，則要配置此命令。配置preempt后，能夠保證優(yōu)先級(jí)高的路由器失效恢復(fù)后總能成為活動(dòng)路由器?；顒?dòng)路由器失效后，優(yōu)先級(jí)最高的備用路由器將處于活動(dòng)狀態(tài)，如果沒(méi)有使用preempt技術(shù)，則當(dāng)活動(dòng)路由器恢復(fù)后，它只能處于備用狀態(tài)，先前的備用路由器代替其角色處于活動(dòng)狀態(tài)。

命令“standby5ip192.168.5.254”作用是啟動(dòng)HSRP，如果虛擬IP地址不指定，路由器就不會(huì)參與備份。虛擬IP應(yīng)該是接口所在的網(wǎng)段內(nèi)的地址，不能配置為接口上的IP地址。

在Cisco6509-E2上的主要配置如下所示：

hostnameCisco6509-E2

interfaceGigabitEthernet3/1

descriptionLink3750B_1/0/25

switchporttrunkencapsulationdot1q

switchporttrunkallowedvlan5,115

switchportmodetrunk

interfaceGigabitEthernet3/2

descriptionLink_FW-B_Gi1

switchportaccessvlan5

switchportmodeaccess

interfaceVlan5

ipaddress192.168.5.253255.255.255.0

standby2ip192.168.5.254

standby2priority120

standby2preempt

interfaceVlan115

ipaddress192.168.115.253255.255.255.0

standby2ip192.168.115.254

standby2priority120

standby2preempt

2、在辦公區(qū)兩臺(tái)Cisco3750和兩臺(tái)Cisco2960上的配置情況。在Cisco3750A上的配置：

hostnameCisco3750A

interfaceGigabitEthernet1/0/25

descriptionLink6509-E13/1

switchporttrunkencapsulationdot1q

switchporttrunkallowedvlan5,115

switchportmodetrunk

interfaceGigabitEthernet1/0/1

descriptionLink2960A0/1

switchporttrunkencapsulationdot1q

switchporttrunkallowedvlan5,115

switchportmodetrunk

在Cisco3750B上的配置：

hostnameCisco3750B

interfaceGigabitEthernet1/0/25

descriptionLink6509-E23/1

switchporttrunkencapsulationdot1q

switchporttrunkallowedvlan5,115

switchportmodetrunk

interfaceGigabitEthernet1/0/1

descriptionLink2960B0/1

switchporttrunkencapsulationdot1q

switchporttrunkallowedvlan5,115

switchportmodetrunk

在Cisco2960A上的配置：

hostnameCisco2960A

interfaceGigabitEthernet0/1

descriptionLink3750A1/0/1

switchporttrunkencapsulationdot1q

switchporttrunkallowedvlan5,115

switchportmodetrunk

在Cisco2960B上的配置：

hostnameCisco2960B

interfaceGigabitEthernet0/1

descriptionLink3750B1/0/1

switchporttrunkencapsulationdot1q

switchporttrunkallowedvlan5,115

switchportmodetrunk

3、在核心區(qū)兩臺(tái)Cisco2960上的主要配置情況如下所示。在Cisco2960A上的配置：

hostnameCisco2960A

interfaceGigabitEthernet0/1

descriptionLink3750A1/0/1

switchportaccessvlan5

switchportmodeaccess

在Cisco2960B上的配置：

hostnameCisco2960B

interfaceGigabitEthernet0/1

descriptionLink3750B1/0/1

switchportaccessvlan5

switchportmodeaccess

注意，在辦公區(qū)和核心區(qū)中Cisco2960交換機(jī)上的配置情況是不一樣的，前者交換機(jī)上的端口的配置為T(mén)runk模式，而后者的端口模式為Access模式。

#p#副標(biāo)題#e#

三、故障發(fā)生及排查故障的過(guò)程

配置完上面的命令后，在辦公區(qū)用戶的電腦上，應(yīng)該就能訪問(wèn)到核心區(qū)服務(wù)器上的資源。例如在辦公區(qū)有一用戶PC的IP地址為192.168.115.2，子網(wǎng)掩碼為255.255.255.0，默認(rèn)網(wǎng)關(guān)為192.168.115.254。它應(yīng)該是能訪問(wèn)到核心區(qū)的FTP服務(wù)器，F(xiàn)TP服務(wù)器的IP地址為192.168.5.2，子網(wǎng)掩碼也是255.255.255.0，默認(rèn)網(wǎng)關(guān)為192.168.5.254。一般在PC瀏覽器的地址欄中輸入ftp://192.168.5.2回車后，就能顯示出一個(gè)對(duì)話框，提示輸入用戶名和密碼，然后就能訪問(wèn)到FTP服務(wù)器上的資源。但結(jié)果卻訪問(wèn)不成功，根本就沒(méi)有對(duì)話框提示輸入用戶名和密碼。

圖2辦公用戶訪問(wèn)FTP服務(wù)器的數(shù)據(jù)流向圖示

辦公區(qū)用戶PC訪問(wèn)核心區(qū)FTP服務(wù)器的數(shù)據(jù)流向如圖2所示。因?yàn)樵谵k公區(qū)的兩臺(tái)Cisco3750，和核心區(qū)的兩臺(tái)防火墻、兩臺(tái)Cisco2960，以及兩臺(tái)核心交換機(jī)Cisco6509-E都是雙機(jī)熱備或負(fù)載均衡的運(yùn)行模式，所以數(shù)據(jù)流向只要通過(guò)兩臺(tái)中的任意一臺(tái)就都是正常的。

圖3可能發(fā)生故障的網(wǎng)絡(luò)簡(jiǎn)潔拓?fù)鋱D

既然已經(jīng)知道了數(shù)據(jù)的流向，也就能大致確定故障發(fā)生在什么地方。為了圖示的簡(jiǎn)潔明了，把圖2再進(jìn)一步精簡(jiǎn)，得到如圖3所示的拓?fù)鋱D。從圖3中可以看出，整個(gè)的數(shù)據(jù)流向就一條線，這樣排查故障也就比較簡(jiǎn)單，排查故障的步驟如下：

第一步：在辦公區(qū)用戶的PC“命令行”CMD中執(zhí)行命令“telnet192.168.5.221”得到的輸出結(jié)果為：

“正在連接192.168.5.2...無(wú)法打開(kāi)到主機(jī)的連接。在端口21:連接失敗”。

這就說(shuō)明在PC上不能登錄到FTP服務(wù)器的21端口上。原因可能有很多種，可能是用戶PC和FTP服務(wù)器之間的網(wǎng)絡(luò)不通，也可能是FTP服務(wù)器上的21端口根本就沒(méi)有打開(kāi)。

第二步：確定是不是網(wǎng)絡(luò)的故障。在辦公區(qū)用戶的PC“命令行”CMD中執(zhí)行命令“ping192.168.5.2”，得到如下的輸出結(jié)果：

C:\Users\Administrator>ping192.168.5.2

正在Ping192.168.5.2具有32字節(jié)的數(shù)據(jù):

請(qǐng)求超時(shí)。

請(qǐng)求超時(shí)。

請(qǐng)求超時(shí)。

請(qǐng)求超時(shí)。

192.168.5.2的Ping統(tǒng)計(jì)信息:

數(shù)據(jù)包:已發(fā)送=4，已接收=0，丟失=4(100%丟失)

從上面的輸出結(jié)果可以看出PC和FTP服務(wù)器之間的網(wǎng)絡(luò)是不通的。既然不通就要找出在圖3中的“一條線”中到底是在那個(gè)設(shè)備上出了問(wèn)題。

第三步：在辦公區(qū)用戶PC的“命令行”CMD中執(zhí)行命令“tracert192.168.5.2”，它可以定位到數(shù)據(jù)包在傳輸過(guò)程中到底在哪個(gè)設(shè)備上出了問(wèn)題。執(zhí)行命令得到如下的輸出結(jié)果：

C:\Users\Administrator>tracert192.168.5.2

通過(guò)最多30個(gè)躍點(diǎn)跟蹤到192.168.5.2的路由

11ms<1毫秒<1毫秒192.168.115.254

2***請(qǐng)求超時(shí)

3***請(qǐng)求超時(shí)

上面的輸出在第“3”行的下面本來(lái)還有很多，都省略了。因?yàn)閿?shù)據(jù)包不能成功到達(dá)目的地192.168.5.2，所以它只能像第“3”行那樣往下延續(xù)的輸出。從輸出的結(jié)果可以看出，PC上發(fā)出的數(shù)據(jù)包只能到達(dá)Cisco6509上，因?yàn)榈?ldquo;1”行輸出中的192.168.115.254就是6509上Vlan115的IP地址。也就是PC和6509之間的路由是通的，為了驗(yàn)證這個(gè)結(jié)果，我們?cè)赑C的命令行中執(zhí)行了命令“ping192.168.115.254”，結(jié)果能成功ping通。

其實(shí)，這也很好理解，PC發(fā)出的數(shù)據(jù)包，通過(guò)兩個(gè)交換機(jī)Cisco2960和Cisco3750的二層廣播功能，直接把數(shù)據(jù)包發(fā)送到了6509的三層端口VLAN115上，VLAN115收到數(shù)據(jù)包后發(fā)現(xiàn)是Ping命令，就再把收到的數(shù)據(jù)包返回給PC。所以，在PC上能ping通6509。但是，從電腦PC上發(fā)出的Ping數(shù)據(jù)包，在6509上就不能路由到FTP服務(wù)器，因?yàn)閺膱?zhí)行命令“tracert192.168.5.2”，輸出的第“2”行一直往下，收不到返回的數(shù)據(jù)包。所以現(xiàn)在可以把故障定位在6509和FTP服務(wù)器之間。

第四步：這一步需要確定是不是因?yàn)镕TP服務(wù)器引起的這種故障現(xiàn)象。所以就找了一臺(tái)狀態(tài)良好的筆記本電腦，把插在FTP服務(wù)器上的網(wǎng)線拔下來(lái)插到筆記本電腦的網(wǎng)口上，然后把筆記本電腦網(wǎng)口的IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)，都配置成和FTP服務(wù)器完全一樣的。然后，再次在辦公區(qū)的電腦上執(zhí)行和上面一樣的Ping命令、Telent命令和Tracert命令。結(jié)果與上面前三步的測(cè)試結(jié)果一樣，還是不通。這就排除了不是FTP服務(wù)器引起的這種故障現(xiàn)象。其實(shí)，在這一步中所使用排除故障的方法，就是最簡(jiǎn)單，也是最常用的“替換法”。

第五步：因?yàn)樵?509和FTP服務(wù)器之間，所經(jīng)過(guò)的網(wǎng)絡(luò)設(shè)備就只有6509、防火墻和2960，而2960上都是非常簡(jiǎn)單的二層配置，出現(xiàn)錯(cuò)誤配置的可能性不大。6509在前三步的測(cè)試中，也沒(méi)有發(fā)現(xiàn)有什么異常現(xiàn)象。所以問(wèn)題最有可能出在防火墻上。

打開(kāi)防火墻的WEB管理配置界面，查看其中的安全策略配置，發(fā)現(xiàn)其中并沒(méi)有配置允許192.168.115.2訪問(wèn)192.168.5.2的策略。因?yàn)樗褂玫姆阑饓Σ呗裕J(rèn)是全禁止的，也就是默認(rèn)情況下防火墻不允許任何數(shù)據(jù)包通過(guò)，除非在它上面配置了允許某個(gè)數(shù)據(jù)包通過(guò)的策略。所以，只要在防火墻上添加了允許辦公區(qū)用戶訪問(wèn)FTP服務(wù)器的安全策略，就可以解決上面的問(wèn)題。同時(shí)也要添加允許192.168.115.2的IP地址Ping地址192.168.5.2的策略，這樣在PC上也就能Ping通FTP服務(wù)器了。

#p#副標(biāo)題#e#

四、防火墻安全策略的配置。

在防火墻上總共需要配置添加兩個(gè)策略，才能解決上面的故障，如下所示。

1、在防火墻上添加允許辦公區(qū)用戶訪問(wèn)FTP服務(wù)器的安全策略。如圖4所示，是添加策略的Web界面。標(biāo)紅色星號(hào)的選項(xiàng)是必須填寫(xiě)的。“規(guī)則名”為Vlan115-to-Vlan5；“序號(hào)”是自動(dòng)生成的；“源地址”和“目的地址”的IP地址和子網(wǎng)掩碼就按如圖所示的填寫(xiě)即可，但注意子網(wǎng)掩碼一定要寫(xiě)255.255.255.255，不能寫(xiě)成255.255.255.0。因?yàn)榍罢叩淖泳W(wǎng)掩碼只對(duì)應(yīng)一個(gè)IP地址，而后者則對(duì)應(yīng)的是一個(gè)網(wǎng)段。如果把源地址和它的子網(wǎng)掩碼寫(xiě)成192.168.115.2和255.255.255.255，意思就是只允許192.168.115.2這一個(gè)IP地址訪問(wèn)FTP服務(wù)器。但若是把子網(wǎng)掩碼寫(xiě)成了255.255.255.0，那對(duì)應(yīng)的安全策略就成了允許所有屬于192.168.115.0/24這個(gè)網(wǎng)段的IP地址訪問(wèn)FTP服務(wù)器。

圖4在防火墻WEB管理界面中添加允許訪問(wèn)FTP服務(wù)

“動(dòng)作”共有四個(gè)選項(xiàng)，但只能選擇其中一項(xiàng)，“允許”就是允許與源地址和目的地址匹配的IP數(shù)據(jù)包通過(guò)，“禁止”就是不允許通過(guò)。還有兩個(gè)選項(xiàng)是在防火墻上使用其它的安全功能時(shí)才選擇的。最后一個(gè)選項(xiàng)是“服務(wù)”，這個(gè)是從服務(wù)的下拉菜單中選擇的，選擇的是ftp服務(wù)。一般在防火墻之類的安全設(shè)備上都會(huì)默認(rèn)定義一些常用的安全服務(wù)，如FTP、HTTP和ICMP等。另外，還有如下所示幾個(gè)功能，雖然在本例中沒(méi)有使用，但也非常重要。

“源端口”中端口號(hào)的填寫(xiě)，可以用英文逗號(hào)分割表示多個(gè)端口，或用英文冒號(hào)分割表示端口段。兩種分割方式不能同時(shí)使用。“源MAC”是指數(shù)據(jù)包中二層的源MAC地址。

“流入網(wǎng)口”是限制網(wǎng)絡(luò)數(shù)據(jù)包的流入網(wǎng)口，可以防止IP欺騙?？蛇x內(nèi)容包括：any和所有已激活的網(wǎng)口。默認(rèn)值為any，表示不限制接收網(wǎng)口。如果防火墻工作在透明模式，必須選擇相應(yīng)的物理網(wǎng)口如Gi1。如果不能確定流入網(wǎng)口或工作在混合模式，就選擇any。

“流出網(wǎng)口”流出網(wǎng)口檢查，當(dāng)選擇源地址轉(zhuǎn)換時(shí)才能選擇。在透明模式下需要選擇橋設(shè)備。如果不能確定流出網(wǎng)口或工作在混合模式，應(yīng)當(dāng)選擇any。

“時(shí)間調(diào)度”是指在指定的時(shí)間段內(nèi)，安全規(guī)則為生效狀態(tài)，在指定的時(shí)間段外，安全規(guī)則就變?yōu)闊o(wú)效。

2、在防火墻上添加，允許所有的Ping命令都能通過(guò)防火墻的策略。如圖5所示，是在防火墻的WEB管理界面中添加此策略的示意圖。“規(guī)則名”為ICMP；“序號(hào)”為18，也是系統(tǒng)自動(dòng)生成的；注意“源地址”和“目的地址”中的IP地址、子網(wǎng)掩碼任何內(nèi)容都沒(méi)有填寫(xiě)。其實(shí)這種情況下，不輸入任何地址就代表所有的IP地址。也就是所有Ping的數(shù)據(jù)包，無(wú)論它的源地址和目的地址是什么IP地址，都允許它通過(guò)防火墻；“動(dòng)作”選擇允許；“服務(wù)”選擇的是icmp_any，它代表的就是Ping命令所使用的服務(wù)。在圖5中的，還有以下的幾個(gè)功能選項(xiàng)在本例中也是沒(méi)有使用，但也非常重要。

“長(zhǎng)連接”設(shè)定該條規(guī)則可以支持的長(zhǎng)連接時(shí)間。0為不限時(shí)。若限時(shí)，則有效的時(shí)間范圍是30-288000分鐘。如果希望在指定的時(shí)間之后斷開(kāi)連接，就可以設(shè)定該功能。

“深度過(guò)濾”在生效的安全規(guī)則中執(zhí)行深度過(guò)濾。不過(guò)，對(duì)數(shù)據(jù)包進(jìn)行應(yīng)用層的過(guò)濾會(huì)影響系統(tǒng)的處理性能，所以一般情況下不要啟用深度過(guò)濾?？梢栽谙吕虻倪x項(xiàng)中選擇“無(wú)”，從而不啟用深度過(guò)濾功能。

圖5在WEB管理界面中添加允許Ping包通過(guò)防火墻

“P2P過(guò)濾”對(duì)滿足條件的數(shù)據(jù)包進(jìn)行BT過(guò)濾。Emule和Edonkey過(guò)濾，只在包過(guò)濾“允許”的情況下可用，至少選擇“BT過(guò)濾”、“Emule和Edonkey過(guò)濾”的其中一個(gè)時(shí)，才可以選擇“P2P日志紀(jì)錄”。

這里BT過(guò)濾就是對(duì)于滿足該規(guī)則的連接，禁止其BT下載，支持的BT客戶端包括BitComet0.60以下版本、BitTorrent和比特精靈。Emule和Edonkey過(guò)濾就是對(duì)于滿足該規(guī)則的連接，禁止其Emule和Edonkey下載。不過(guò)，對(duì)于已經(jīng)建立連接的BT/ed2K的下載，不能禁止，必須重啟BT/ed2K客戶端后才能生效。

“抗攻擊”共包括四種抗攻擊。TCP服務(wù)可以選擇抗SYNFlood攻擊；UDP服務(wù)可以選擇抗UDPFlood攻擊；ICMP服務(wù)可以選擇ICMPFlood和抗PingofDeath攻擊。也可以在一條規(guī)則中，選擇多個(gè)抗攻擊選項(xiàng)。四種抗攻擊的詳細(xì)說(shuō)明如下：

——當(dāng)允許TCP規(guī)則時(shí)，選擇了抗SYNFlood攻擊，防火墻會(huì)對(duì)流經(jīng)的帶有Syn標(biāo)記的數(shù)據(jù)進(jìn)行單獨(dú)的處理?？筍ynFlood攻擊之后的輸入框填寫(xiě)數(shù)值的具體含義：個(gè)位數(shù)為保留數(shù)字，0-9分別代表抗攻擊強(qiáng)度，從弱到強(qiáng)。設(shè)置數(shù)字的位數(shù)如果超過(guò)兩位，則該數(shù)字減去個(gè)位的數(shù)字表示限制每秒通過(guò)的能夠真正建立TCP連接的帶有Syn標(biāo)志數(shù)據(jù)包的個(gè)數(shù)。如果設(shè)置為0，表示每秒通過(guò)的帶有Syn標(biāo)志的數(shù)據(jù)包大于90，才進(jìn)行能否真正建立TCP連接；如果設(shè)置為1，表示每秒通過(guò)的帶有Syn標(biāo)志的數(shù)據(jù)包大于80，才進(jìn)行能否真正建立TCP連接；如果設(shè)置為9，表示通過(guò)的帶有Syn標(biāo)志的數(shù)據(jù)包都經(jīng)過(guò)了防火墻的判斷，確認(rèn)是可以建立真正TCP連接的數(shù)據(jù)包。

——當(dāng)允許UDP規(guī)則時(shí)，選擇了抗UDPFlood攻擊，防火墻會(huì)對(duì)流經(jīng)的UDP數(shù)據(jù)進(jìn)行單獨(dú)的處理。抗UDPFlood攻擊之后的輸入框填寫(xiě)的數(shù)值的具體含義是限制每秒通過(guò)的UDP數(shù)據(jù)包的個(gè)數(shù)。

——當(dāng)允許ICMP規(guī)則時(shí)，選擇了抗ICMPFlood攻擊，防火墻會(huì)對(duì)流經(jīng)的ICMP數(shù)據(jù)包進(jìn)行單獨(dú)的處理?？笽CMPFlood攻擊之后的輸入框填寫(xiě)的數(shù)值的具體含義是限制每秒通過(guò)的ICMP數(shù)據(jù)包的個(gè)數(shù)。

——當(dāng)允許ICMP規(guī)則時(shí)，選擇了抗PingofDeath攻擊，防火墻會(huì)對(duì)流經(jīng)的ICMP數(shù)據(jù)包進(jìn)行單獨(dú)的處理。含有PingofDeath攻擊特征類型的數(shù)據(jù)包將被過(guò)濾掉。

“包過(guò)濾日志”強(qiáng)制要求匹配該條規(guī)則的數(shù)據(jù)包是否需要記錄包過(guò)濾日志。

3、在防火墻的WEB管理界面中，配置添加完以上兩條安全策略后，也就解決了在辦公區(qū)用戶的電腦上不能Ping通，和不能訪問(wèn)FTP服務(wù)器上資源的故障。

五、總結(jié)。

1、隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題越來(lái)越突出，人們的安全意識(shí)也不斷地提高，但現(xiàn)在還沒(méi)有一項(xiàng)技術(shù)和工具比防火墻解決網(wǎng)絡(luò)的安全問(wèn)題更有效。利用它強(qiáng)大的隔離和預(yù)防作用，通過(guò)在網(wǎng)絡(luò)邊界進(jìn)行隔離，是改善網(wǎng)路安全狀況最有效的方式。防火墻通常是圈定一個(gè)保護(hù)的范圍，并假定防火墻是唯一的出口，然后由防火墻來(lái)決定是放行還是封鎖進(jìn)出的數(shù)據(jù)包。

防火墻不是萬(wàn)能的，但沒(méi)有防火墻是萬(wàn)萬(wàn)不能的。再配合其它的安全技術(shù)和工具，它能夠提供完整的安全解決方案。

2、以上所述，都是目前廣泛使用的傳統(tǒng)型防火墻在網(wǎng)絡(luò)中所發(fā)揮的巨大作用及其優(yōu)勢(shì)，但是這些傳統(tǒng)防火墻都是基于一種重要的理論假設(shè)來(lái)進(jìn)行安全防護(hù)的。這種理論認(rèn)為如果防火墻拒絕某類數(shù)據(jù)包的通過(guò)，則認(rèn)為它一定是安全的，因?yàn)樵撔┌呀?jīng)被丟棄。但防火墻并不保證準(zhǔn)許通過(guò)的數(shù)據(jù)包是安全的，它無(wú)法判斷一個(gè)正常的服務(wù)的數(shù)據(jù)包和一個(gè)惡意的數(shù)據(jù)包有什么不同。傳統(tǒng)防火墻也無(wú)法提供基于應(yīng)用和用戶的，從第三層到第七層的一體化訪問(wèn)策略控制，黑客常常通過(guò)穿透合法的80端口，就可以輕松地讓防火墻的安全控制策略變成“聾子和瞎子”。此外，它也無(wú)法提供基于應(yīng)用的流量分析和報(bào)表展示，無(wú)法幫助用戶了解當(dāng)前網(wǎng)絡(luò)邊界的現(xiàn)狀。而且，當(dāng)前的安全威脅已不再是單一的類型。通常一個(gè)完整的入侵行為包含了多種技術(shù)手段，如漏洞利用、Web入侵、木馬后門(mén)、惡意網(wǎng)站等，如果將這些安全威脅割裂的進(jìn)行處理和分析，系統(tǒng)的防范短板依然存在。

新一代的防火墻應(yīng)該加強(qiáng)，允許通過(guò)防火墻的數(shù)據(jù)包的安全性，因?yàn)榫W(wǎng)絡(luò)安全的真實(shí)需求是，既要保證網(wǎng)絡(luò)安全，也必須保證應(yīng)用的正常運(yùn)行。所以，目前企業(yè)使用越來(lái)越多的Web防火墻受到了更多人的關(guān)注，它是一種基于應(yīng)用層開(kāi)發(fā)的新一代應(yīng)用防火墻，與傳統(tǒng)安全設(shè)備相比它可以針對(duì)豐富的應(yīng)用提供完整的、可視化的內(nèi)容安全保護(hù)方案。它解決了傳統(tǒng)安全設(shè)備在應(yīng)用可視化、應(yīng)用管控、應(yīng)用防護(hù)、未知威脅處理方面的巨大不足，并且滿足了同時(shí)開(kāi)啟所有功能后性能不會(huì)大幅下降的要求。

相信，隨著人們對(duì)網(wǎng)安全意識(shí)的不斷增強(qiáng)，和各種功能強(qiáng)大、性能先進(jìn)安全設(shè)備的廣泛應(yīng)用，一個(gè)安全、綠色的互聯(lián)網(wǎng)會(huì)越來(lái)越深入到人們的工作和生活當(dāng)中。

轉(zhuǎn)載鏈接：http://netsecurity.51cto.com/art/201201/311339.htm