发布日期:2015-09-30 17:01 来源: 标签: 网络技术教程 网络实验教程 防火墙安全 安全策略
上一章我们学习了定义对象,本章我们将学习防火墙的安全策略,希望对大家有所帮助;

实验名称:防火墙的安全策略。

实验目的:根据安全规则的设置防火墙所有的访问控制。

技术原理:安全规则包括:

(1)包过滤规则

(2)NAT 规则(网络地址转换)

(3)IP 映射规则

(4)端口映射规则 

实现功能:实现防火墙的核心功能---安全策略。

实验设备:RG-WALL60一台,PC一台,控制线或交叉线一根。

实验拓朴:


实验步骤:

1. 安全策略>>安全规则

防火墙的基本策略:没有明确被允许的行为都是被禁止的。

根据管理员定义的安全规则完成数据帧的访问控制,规则策略包括:“允许通过”、“禁止通过”、“NAT方式通过”、“IP 映射方式通过”、“端口映射方式通过”。支持对源IP 地址、目的IP 地址、源端口、目的端口、服务、流入网口、流出网口等控制。另外,根据管理员定义的基于角色控制的用户策略,并与安全规则策略配合完成访问控制,包括限制用户在什么时间、什么源IP 地址可以登录防火墙系统,该用户通过认证后能够享有的服务。RG-WALL 60 防火墙提供基于对象定义的安全策略配置。对象包括地址和地址组、NAT 地址池、服务器地址、服务(源端口、目的端口、协议)和服务组、时间和时间组、用户和用户组(包括用户策略:如登录时间与地点,源IP/目的IP、目的端口、协议等)、连接限制(保护主机、保护服务、限制主机、限制服务)带宽策略(最大带宽、保证带宽、优先级)、URL 过滤策略。最大限度提供方便性与灵活性。


1.1. 包过滤规则

提供基于状态检测(基于TCP/UDP/ICMP 协议)的动态的包过滤。包过滤规则可以实现对源地址/掩码、目的地址/掩码、服务、流入流出网口的访问控制,可以设置对这类经过防火墙的数据包是允许还是禁止。另外,是否启用用户认证、是否启用带宽控制、是否启用URL过滤、是否启用连接限制功能以及是否记录日志,是否走VPN 隧道都在包过滤规则中设置。包过滤规则是管理员应用最多的安全规则。RG-WALL 60 防火墙的包过滤规则功能十分灵活、强大。支持的协议包括基本协议(如http、telnet、smtp 等)、ICMP、动态协议(如h323、ftp、sqlnet 等)。在“安全策略>>安全规则”界面中,点击,将弹出以下界面:


1.2. NAT 规则

NAT(Network Address Translation)是在IPv4 地址日渐枯竭的情况下出现的一种技术,可将整个组织的内部IP 都映射到一个合法IP 上来进行Internet 的访问,NAT 中转换前源IP 地址和转换后源IP 地址不同,数据进入防火墙后,防火墙将其源地址进行了转换后再将其发出,使外部看不到数据包原来的地址。一般来说,NAT 多用于从内部网络到外部网络的访问,内部网络地址可以是保留IP 地址。RG-WALL 60 防火墙支持源地址一对一的转换,也支持源地址转换为地址池中的某一个地址。用户可通过安全规则设定需要转换的源地址(支持网络地址范围)、源端口。此处的NAT 指动态NAT,通过系统提供的NAT 地址池,支持多对多,多对一,一对多,一对一的转换关系。

在“安全策略>>安全规则”界面中,点击,将弹出以下界面:


1.3. IP 映射规则

IP 映射规则是将访问的目的IP 转换为内部服务器的IP。一般用于外部网络到内部服务器的访问,内部服务器可使用保留IP 地址。当管理员配置多个服务器时,就可以通过IP 映射规则,实现对服务器访问的负载均衡。一般的应用为:假设防火墙外网卡上有一个合法IP,内部有多个服务器同时提供服务,当将访问防火墙外网卡IP 的访问请求转换为这一组内部服务器的IP 地址时,访问请求就可以在这一组服务器进行均衡。

在“安全策略>>安全规则”界面中,点击,将弹出以下界面:


1.4. 端口映射规则

端口映射规则是将访问的目的IP 和目的端口转换为内部服务器的IP 和服务端口。一般用于外部网络到内部服务器的访问,内部服务器可使用保留IP 地址。当管理员配置多个服务器时,都提供某一端口的服务,就可以通过配置端口映射规则,实现对服务器此端口访问的负载均衡。一般的应用为:假设防火墙外网卡上有一个合法IP,内部有多个服务器同时提供服务,当将访问防火墙外网卡IP 的访问请求转换为这一组内部服务器的IP 地址时,访问请求就可以在这一组服务器进行均衡。

在“安全策略>>安全规则”界面中,点击,将弹出以下界面:


2. 安全策略>>地址绑定

地址绑定是防止IP 欺骗和防止盗用IP 地址的有效手段。并且RG-WALL 60 防火墙提供自动探测IP/MAC 对功能,可以减轻管理员手工收集IP/MAC 对的工作量。如果防火墙某网口配置了“IP/MAC 地址绑定”启用功能、“IP/MAC 地址绑定的默认策略(允许或禁止)”,当该网口接收数据包时,将根据数据包中的源IP 地址与源MAC 地址,检查管理员设置好的IP/MAC地址绑定表。如果地址绑定表中查找成功,匹配则允许数据包通过,不匹配则禁止数据包通过。如果查找失败,则按缺省策略(允许或禁止)执行。


在“安全策略>>IP/MAC 地址绑定”界面中,点击,将弹出以下界面:


在“安全策略>>IP/MAC 地址绑定”界面中,点击,将弹出以下界面:


3. 安全策略>>抗攻击


在抗攻击界面上,点击,可以针对该网口接收的数据包进行抗攻击处理。如下图所示:


攻击名称

攻击原理

处理方法

SYN Flood

TCP 连接是通过三次握手完成的。当网络中充满了发出无法完成的连接请求的SYN 封包时,造成网络无法再处理合法的连接请求,从而导致拒绝服务(DoS)时,就发生了SYN 泛滥攻击。攻击者通过不完全的握手过程消耗服务器的半开连接数目达到拒绝服务的攻击目的。攻击者向服务器发送SYN 包,其中源IP

地址已被改为伪造的不可达的IP 地址。服务器向伪造的IP 地址发出回应,并等待连接已建立的确认信息。但由于该IP 地址是伪造的,服务器无法等到确认信息,只有保持半开连接状态直至超时。由于服务器允许的半开连接数目有限,如果攻击者发送大量这样的连接请求,服务器的半开连接资源很快就会消耗完毕,无法再接受来自正常用户的TCP 连接请求。

管理员打开某网口的“抗SYN Flood 攻击”检查,并设

置SYN 包速率阈值后,如果该网口接收的TCP 连接超过预定阈

值,就启用SYN Proxy,防火墙将阻止SYN 包直到已通过的SYN

包的频率降到预定的域值以内。

默认值为每秒200 个数据包。

 

 

ICMP  Flood 攻击

当ICMP ping 产生的大量回应请求超出了系统的最大限度,以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时,就发生了ICMP 泛滥。

管理员打开某网口的“抗ICMP Flood 攻击”检查,并设置ICMP 包速率阈值后,该网口将过滤发往广播地址的ICMP包,同时对发往单个IP 地址的ICMP 包进行频率统计,一旦达到预定的域值就会调用ICMP 泛滥攻击保护功能,防火墙将阻止ICMP 包直到已通过的 ICMP 包的频率降到预定的域值以内。

默认值为每秒1000 个数据包。

Ping of Death 攻击

TCP/IP 规范要求用于数据包传输的封包必须具有特定的大小。许多ping 允许用户根据需要指定更大的封包大小。当攻击者发送超长的ICMP 包时会引发一系列负面的系统反应,早期的操作系统可能因为缓冲区溢出而宕机,如拒绝服务(DoS)、系统崩溃、死机以及重新启动。

管理员打开某网口的“抗Ping of Death 攻击”检查,并设置ICMP 包长阈值后,该网口将过滤长度超过预定域值的ICMP 包。

默认值为800 字节

UDP Flood攻击

与ICMP 泛滥相似。攻击者向同IP 地址发送大量的UDP 包使得该IP 地址无法响应其它UDP 请求,就发生了UDP泛滥。

管理员打开某网口的“抗UDP Flood 攻击”检查,并设置UDP 包速率阈值后,如果该网口对接收的每个IP 地址的UDP 包进行频率统计,一旦超过此临界值就会调用UDP 泛滥攻击保护功能,如果从一个或多个源向单个目标发送的UDP 封包数超过了此临界值,防火墙将立即忽略其它到该目标的UDP 包,直到通过的 UDP 包频率降到预定的域值以内。

默认值为每秒1000 个数据包。

PING SWEEP攻击

攻击者向某个网段的多个IP 地址发送ICMP 包(尤以PING 包为主),探测IP 地址是否存在,如果某个IP 地址发出响应则可能被选定为攻击目标。

管理员打开某网口的“抗PING SWEEP 攻击”检查并设置PING SWEEP 阈值后,如果发现网口接收的某个IP 地址在指定阈值时间内向10 个不同IP 地址发送ICMP 包就会调用PINGSWEEP 保护功能,阻断来自该IP 地址的ICMP 包5 秒钟,不管其目的IP 是多少。在阻断期内如果再次发现PING SWEEP 攻击则延长阻断时间至攻击发现时刻后的5 秒钟。

默认值为每10ms 发送到10 个IP 被判为攻击。

TCP端口扫描

攻击者向同一IP 的多个TCP 端口发起连接,探测目的主机开启的服务,为后续攻击做准备。

管理员打开某网口的“抗TCP 端口扫描”检查,并设置TCP 端口扫描阈值后,如果发现网口接收的某个IP 地址在指定阈值时间内向同一IP 的10 个不同端口发送TCP 包,就会调用TCP 端口扫描保护功能,阻断来自该IP 地址的TCP 包5 秒钟,不管其目的IP 和目的端口是多少。在阻断期内如果再次发现TCP端口扫描攻击则延长阻断时间至攻击发现时刻后的5 秒钟。

默认值为每10ms 发送到同一IP 的10 个TCP 端口被判为攻击。

UDP 端口扫描

攻击者向同一IP 的多个UDP 端口发起连接,探测目的主机开启的服务,为后续攻击做准备。

管理员打开某网口的“抗UDP 端口扫描”检查,并设置UDP 端口扫描阈值后,如果发现网口接收的某个IP 地址在指定阈值时间内向同一IP 的10 个不同端口发送UDP 包就会调用UDP 端口扫描保护功能,阻断来自该IP 地址的UDP 包5 秒钟,不管其目的IP 和目的端口是多少。在阻断期内如果再次发现UDP端口扫描攻击则延长阻断时间至攻击发现时刻后的5 秒钟。

默认值为每10ms 发送到同一IP 的10 个UDP 端口被判为攻击。

松散源路由攻击

IP 包头信息有一个选项,其中包含的路由信息可指定与包头源路由不同的源路由。“松散源路由选项”可允许攻击者以假的IP 地址进入网络,并将数据送回其真正的地址。

管理员打开某网口的“抗松散源路由攻击”检查,对接收到的数据包进行检查,禁止符合此攻击特征的包通过。

严格源路由攻击

IP 包头信息有一个选项,其中包含的路由信息可指定与包头源路由不同的源路由。“严格源路由选项”可允许攻击者以假的IP 地址进入网络,并将数据送回其真正的地址。

管理员打开某网口的“抗严格源路由攻击”检查,对接收到的数据包进行检查,禁止符合此攻击特征的包通过。

WinNuke 攻击

WinNuke是一种常见的应用程序,其唯一目的就是使互联网上任何运行Windows 的计算机崩溃。这种专门针对Windows3.1/95/NT的攻击曾经猖獗一时,受攻击的主机在片刻间出现蓝屏现象(系统崩溃)。WinNuke通过已建立的连接向主机发送带外(OOB)数据,通常发送到NetBIOS端口(TCP139端口),攻击者只要先跟目标主机的139端口建立连接,继而发送一个带URG标志的带外数据报文,引起NetBIOS碎片重叠,目标系统即告崩溃。重新启动后,会显示下列信息,指示攻击已经发生:

An exception OE has occurred at 0028:[address] in VxD

MSTCP(01) +000041AE. This was called from 0028:[address] in

VxD NDIS(01) +00008660. It may be possible to continue

normally.(00008660。有可能继续正常运行。)

Press any key to attempt to continue.

Press CTRL+ALT+DEL to restart your computer. You will lose

any unsaved information in all applications.(按CTRL+ALT+DEL

可尝试继续运行。将丢失所有应用程序中的未保存信息。)

Press any key to continue. (按任意键继续。)

原因是系统中某些端口的监听程序不能处理“意外”来临的带外数据,造成严重的非法操作。

管理员打开某网口的“抗WinNuke 攻击”检查,对接收到的数据包进行检查,禁止符合此攻击特征的包通过。

smurf 攻击

攻击者伪装成被攻击主机向广播地址发送ICMP 包(以PING 包为主),这样被攻击主机就可能收到大量主机的回应,攻击者只需要发送少量攻击包,被攻击主机就会被淹没在ICMP 回包中,无法响应正常的网络请求。

 

管理员打开某网口的“抗smurf 攻击”检查,对收到的数据包进行检查,禁止符合此攻击特征的包通过。

TCP无标记攻击

正常数据包中,至少包含SYN、FIN、ACK、RST 四个标记中的一个,不同的OS 对不包含这四个标记中任何一个标志的数据包有不同处理方法,攻击者可利用这种数据包判断被攻击主机的OS 类型,为后续攻击做准备。

检查接收到的数据包,禁止符合此攻击特征的包通过。

 

圣诞树攻击

正常数据包中,不会同时包含SYN、FIN、ACK、RST

四个标记,不同的OS 对包含全部四个标志的数据包有不同处理方法,攻击者可利用这种数据包判断被攻击主机的OS 类型,为后续攻击做准备。

检查接收到的数据包,禁止符合此攻击特征的包通过。

SYN&FIN位设置攻击

正常数据包中,不会同时设置TCP Flags 中的SYN 和FIN 标志,因为SYN 标志用于发起TCP 连接,而FIN 标志用于结束TCP 连接。不同的OS 对同时包含SYN 和FIN 标志的数据包有不同处理方法,攻击者可利用这种数据包判断被攻击主机的OS 类型,为后续攻击做准备。

检查接收到的数据包,禁止符合此攻击特征的包通过。

 

无确认FIN攻击

正常数据包中,包含FIN 标志的TCP 数据包同时包含ACK 标志。不同的OS 对包含FIN 标志但不包含ACK 标志的数据包有不同处理方法,攻击者可利用这种数据包判断被攻击主机的OS 类型,为后续攻击做准备。

检查接收到的数据包,禁止符合此攻击特征的包通过。

 

IP 安全选项攻击

IP 包头信息有一个选项,目前已经废除,因此数据包中出现这个选项则很可能是攻击行为。

管理员打开某网口的“抗IP 安全选项攻击”检查,对接收到的数据包进行检查,禁止符合此攻击特征的包通过。

IP 记录路由攻击

IP 包头信息有一个选项,攻击者可利用这个选项收集被攻击主机周围的网络拓扑等信息,为后续攻击做准备。

管理员打开某网口的“抗IP 记录路由攻击”检查,对接收到的数据包进行检查,禁止符合此攻击特征的包通过。

IP 流攻击

IP 包头信息有一个选项,目前已经废除,因此数据包中出现这个选项则很可能是攻击行为。

管理员打开某网口的“抗IP 流攻击”检查,对接收到的数据包进行检查,禁止符合此攻击特征的包通过。

IP 时间戳攻击

IP 包头信息有一个选项,攻击者可利用这个选项收集被攻击主机周围的网络拓扑等信息,为后续攻击做准备。

管理员打开某网口的“抗IP 时间戳攻击”检查,对接收到的数据包进行检查,禁止符合此攻击特征的包通过。

Land 攻击

“陆地”攻击将SYN 攻击和IP 欺骗结合在了一起,当攻击者发送含有受害方IP 地址的欺骗性SYN 包,将其作为目的和源IP 地址时,就发生了“陆地”攻击。接收系统通过向自己发送SYN-ACK 封包来进行响应,同时创建一个空的连接,该连接将会一直保持到达到空闲超时值为止。向系统堆积过多的这种空连接会耗尽系统资源,导致DoS。攻击者发送特殊的SYN 包,其中源IP 地址、源端口和目的IP 地址、目的端口指向同一主机,早期的操作系统收到这样的SYN 包时可能会宕机。

管理员打开某网口的“抗Land 攻击”检查,对接收到的数据包进行检查,禁止符合此攻击特征的包通过。

tear drop攻击

数据包通过不同的网络时,有时必须根据网络的最大传输单位(MTU)将数据包分成更小的部分(片断)。攻击者可能会利用IP 栈具体实现的数据包重新组合代码中的漏洞,通过IP 碎片进行攻击。teardrop 是利用早期某些操作系统中TCP/IP 协议栈对IP 分片包进行重组时的漏洞进行的攻击,受影响的系统包括Windows 3.1/95/NT 以及Linux2.1.63 之前的版本,其结果是直接导致系统崩溃,Windows 系统则表现为典型的蓝屏症状。这一问题存在的直接原因在于:当目标系统收到这些封包时,一些操作系统的TCP/IP 协议栈的实现中,对接收到的IP 分片进行重组时,没有考虑到一种特殊的分片重叠,导致系统非法操作。

管理员打开某网口的“抗tear drop 攻击”检查,对接收到的数据包进行检查,禁止符合此攻击特征的包通过。

注意事项:

1. 防火墙按顺序匹配规则列表:按顺序进行规则匹配,按第一条匹配的规则执行,不再匹配该条规则以下的规则。

2.系统不对规则进行逻辑性检查,需要由管理员自己判定以保证规则符合逻辑。例如,即使有两条矛盾的安全规则并存,系统也不警告报错。

3唯一性检查 当用户选择“唯一性检查”时,将检查数据包中的IP 和MAC 是否与防火墙系统中绑定的IP 和MAC 完全一致,必须一一对应;如果不选择,则检查数据包的源IP 地址与防火墙系统中绑定的IP/MAC 表是否一致。如果地址绑定表中查找成功,匹配则允许数据包通过,不匹配则禁止数据包通过。如果查找失败,则按缺省策略(允许或禁止)执行。






相关评论

专题信息
    网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。本教程从交换机、路由器、防火墙、网络安全四个方面来讲解了一些实例。