用GUI管理防火墙
GUI提供了一个更友好的界面来配置防火墙。有些防火墙是通过主机上的直接接口配置的,例如赛门铁克诺顿Internet安全图十一和图的佳绩,在防火墙处于活动状态之前。有些是使用预先配置的IP地址和管理密码,用于在初始配置期间由最终用户访问(例如Linksys或PIX 501和506E系列系统)。
Symantec Internet安全配置
赛门铁克防火墙配置
PIX设备管理器(用于PIX操作系统,最多可版6.3(5)),称为PIX V7.0中的Cisco Adaptive Security Device Manager是从PIX或ASA设备下载的Java applet,并通过客户端本地运行浏览器。图由显示PIX设备管理器屏幕。
Cisco PIX设备管理器
该信息以更自然的方式向最终用户以图形和图形的形式呈现给最终用户。
不狼队,有Linux的iptables防火墙软件。有些是基于Web(如Webmin),有些是在Linux系统本身(例如Firestarter或FW-Builder)上运行的应用程序。Firestarter为iptables提供了一个简单,易于使用的界面,如图所示图剩下的.
在对IPTables
Webmin提供了一种通过web浏览器界面管理防火墙的方法,这比只能在启用了X windows的服务器上查看的应用程序更加方便。图把显示此界面。
Webmin IPTables Rules接口
接口的偏好
无论是通过CLI还是通过GUI,对防火墙的管理可以是高度复杂的,也可以是相对简单的。通常,新手用户首先通过GUI管理防火墙。随着时间的推移,随着他们对防火墙的经验和熟悉程度的提高,他们可能会发现使用CLI更加方便。CLI优于GUI的一个重要好处是,CLI可以通过Telnet和SSH会话使用,也可以直接连接到串口。在考虑如何控制对防火墙管理接口的访问时,这一点非常重要。
管理访问权限
控制对网络基础设施设备管理接口的访问是至关重要的。网络设备,如路由器、交换机、入侵检测传感器和防火墙,应该只由需要管理它们的用户访问。这一要求源于这样一个事实:未经授权的用户(无论是否带有恶意)可能会更改配置或禁用设备,从而降低周围网络的安全性。管理访问有两种形式:带内和带外。必须考虑如何访问防火墙:Telnet、SSH、SNMP、FTP、TFTP、HTTP/HTTPS或一些专有管理协议,并且必须符合第10章“防火墙安全策略”中讨论的管理访问策略。
带内管理
带内管理指的是通过与正在过滤的流量使用的相同网络上的系统和网络设备的管理访问。如果未采取某些预防措施,带内管理可能代表管理员的大量风险。这些风险主要在于使用未加密的通信渠道。必须在考虑控制防火墙中时,必须在使用加密通信等加密通信时支付使用,例如SSH和HTTPS。使用简单Telnet或HTTP可能会导致由攻击者捕获的员工捕获的密码,攻击防火墙的管理界面与其余部分之间的流量。频段管理也有可能在大规模爆发等蠕虫中易受拒绝服务(DOS)攻击的风险。这将使在这样的事件中重新配置防火墙更难以阻止流量或者必要时完全关闭攻击。
带外管理
随着术语表示,带外管理导致通过不承载生产流量的辅助通道访问防火墙。这可以是VLAN设置,用于对网络设备和主机的管理访问,或者优选地是完全单独的物理网络。此外,如果网络失败,则可以使用带外管理来提供对网络设备的串行端口的访问权限。为较小的网络建立和不具有成本效益的带外管理可能会更加耗时,但它代表了管理防火墙和其他网络设备的最安全可靠的方法。
telnet与ssh.
Telnet是一种未加密的网络通信协议,通常用于提供对系统和其他设备的远程访问。Telnet最初在RFC 854中定义,并且在互联网处于当前形式之前长期开发 - 当网络要小得多时。在Telnet协议设计中,在使用协议传输的数据中,在Telnet协议设计中给出了不多考虑。因此,使用Telnet协议传输的所有数据都受到窃听和易受捕获的影响。
SSH提供数据的加密保护和身份验证,并确保通信的完整性和机密性是安全的。如果设备支持SSH作为命令行访问方式,那么SSH应该优先于Telnet。另外,如果设备的GUI可以在安全网络中访问,并且需要通过不安全的网络远程管理设备,并且可以建立SSH连接,则可以通过SSH隧道连接。两台主机之间建立SSH隧道时,需要使用端口转发。中显示的示例中图11:6客户端通过TCP端口22 (SSH标准端口)与SSH服务器建立SSH连接。但是,客户端使用端口转发能力来转发他的本地主机TCP端口1025,并将其重定向到路由器上的Telnet端口。要通过隧道访问路由器的Telnet端口,客户端只需要Telnet到他的本地主机TCP端口1025,通过SSH隧道,他将自动被重定向到路由器的Telnet端口。
在不安全的网络上进行SSH转发
通过这种方式,客户端和SSH服务器之间将经过加密的SSH会话,然后可以使用不安全的协议(如Telnet)转发流量。
HTTP和HTTPS
关于HTTP与HTTPS的使用的讨论遵循类似的思想,作为关于Telnet与安全shell的先前讨论。HTTP是一个未加密的协议,允许窃听者查看客户端和服务器之间的通信。虽然攻击者可能不一定能够将密码捕获到Web服务器,但是他们可能能够捕获诸如特定配置信息(例如特定配置信息)或可能是有效cookie的其他信息,然后允许攻击者冒充合法用户并获得对其访问权限防火墙的管理界面。
HTTPS协议采用SSL (Secure Sockets Layer)加密技术,对客户端与防火墙web服务器之间的通信进行加密。这使得攻击者不可能窃听管理会话或拦截任何可用于访问防火墙或获取有关防火墙配置的信息的信息。
常见防火墙管理任务
部署新防火墙时的第一件事之一,这是否用于企业部署或在小型办公室或家庭办公室部署,是配置网络的一些基本方面。这样做包括更改默认管理密码,配置默认网关,配置内部和外部(且可能其他)接口的IP地址,以及配置来自防火墙的消息的日志。除了这些任务外,防火墙管理员还必须随着时间的推移管理防火墙的配置。这样做可能需要使用更改控制系统,例如修订控制系统(RCS),它可以在UNIX / Linux平台以及Windows平台上获得。以下部分更详细地讨论这些任务中的每一个。
初始配置
防火墙的初始配置需要几个信息项。此信息包括内部和外部接口IP地址(或在其中一个接口上使用DHCP),下一跳网关,日志记录和管理密码。前三个项目在以下段落中讨论。在“默认密码”部分之前提供了对管理密码的讨论。
接口
大多数小型办公室/家庭办公室(SOHO)防火墙只有两个接口。在企业防火墙上,可以很好地超过半个接口,包括具有不同水平的各种非军事区(DMZ)。此外,较新的企业防火墙还可以支持VLAN和VLAN之间的过滤,同时只具有有限数量的物理接口。所有防火墙至少有两个接口:
里面-内部接口通常分配一个静态IP地址(这个IP地址通常来自三个私有IP地址块之一- 10.0.0.0/8,172.16.0.0-172.31.255.255,或192.168.0.0/16 -但这不是一个很难的要求)。此接口作为防火墙后面的系统的默认网关。默认网关是当连接的另一端(即正在联系的系统)无法以任何其他方式访问或不在客户机的本地网络上时系统发送流量的最后求助网关。
外部-外部接口可以是由Internet服务提供商提供的静态IP地址,也可以通过DHCP (Dynamic Host Configuration Protocol)配置为静态IP地址。
除了各种接口上的IP地址外,防火墙还可以运行DHCP服务器,以向防火墙内的系统提供IP地址和其他配置信息。此服务器可以更轻松地部署SOHO防火墙,因为大多数供应商也为DHCP服务器提供了一些默认配置。必须注意确保DHCP服务器的范围不与网络中已经到位的任何DHCP范围重叠或冲突。此外,在这些天流行的无线防火墙路由器(例如Linksys befw11s4或Wrt54g)的情况下,设备的管理员非常重要,以确保仅授权用户可以关联和对设备进行认证。如果这些设备未被锁定,则任何用户都可以对设备进行身份验证和关联,并且DHCP服务器将提供它们可以使用的网络地址。
路由/网关
在许多情况下,简单的防火墙,如路由器,Linux NetFilter,焦油501或506 e使用防火墙,有一个简单的网络topology-essentially防火墙背后的内部网络和外部网络(通常由外部服务提供者提供的IP地址)。这些防火墙不进行复杂的路由,而只是使用默认网关将数据包从内部网络转发到外部网络。默认网关信息由管理员或服务提供商的DHCP服务器在防火墙启动时提供。
但在企业网络中,防火墙可以将多个网络和dmz分割开来。在这种情况下,路由可能相当复杂,可能需要使用动态路由协议,如路由信息协议(RIP)或开放最短路径优先(OSPF)路由协议。
要在初始化配置时添加到Cisco PIX的默认路由,您需要使用路线命令如下:
PIX(CONFIG)#外部路由0.0.0.0 0.0.0.0 172.16.45.1
这告诉PIX缺省路由出外部接口,下一跳是172.16.45.1,只有一跳距离(即它是下一个出接口的设备)。
记录
日志记录对于维护和管理防火墙也是必不可少的。日志记录使管理员能够查看被防火墙阻止的所有流量,并在某个特定功能(如网络地址转换(NAT))不能正常工作时对防火墙配置进行故障排除。大多数防火墙,如PIX 501或506E和Linux的NetFilter,都允许将消息记录到远程syslog服务器。
Syslog起源于UNIX操作系统,并且Syslog被许多Linux、BSD和UNIX衍生操作系统上的各种进程所使用。此外,许多供应商,如思科,已经将syslog适应于他们的产品,如IOS和PIX OS。Syslog在Internet RFC 3164中定义(可从Internet Engineering Task Force (IETF)网站获取)http://www.ietf.org/rfc/rfc3164.txt? number=3164.).关于syslog,需要理解的两个主要概念是信息设施和严重程度.生成并发送到syslog服务器的每条消息都必须使用已定义的功能和严重性发送,以便syslog服务器了解如何处理该消息。当前syslog RFC(3164)中定义的设施和级别分别如表11-2和表11-3所示。根据RFC 3164的定义和表11-3的降序排列,syslog有8种级别。syslog严重级别的一个令人困惑的方面是,严重级别的数值越低(0表示紧急),则更高正在发送的消息的严重性。此外,“较低”严重性(即,严重性的数值越高),该过程生成的更多信息。因此,7级调试,生成一个令人惊叹的Syslog日志消息,而级别0,紧急情况,产生很少的消息(但重要意义)。由于Syslog最初是在BSD UNIX操作系统上开发的,所以许多设施被分配给UNIX中的特定进程和守护进程。未明确分配工具的进程可以使用“本地使用”设施之一。
表11-2:Syslog设施
| 数值 | 设备名称 |
|---|---|
| 0 | 内核消息 |
| 1 | 用户级消息 |
| 2 | 邮件系统 |
| 3. | 系统守护进程 |
| 4 | 安全授权信息 |
| 5 | Syslog内部生成的消息 |
| 6 | 行式打印机子系统 |
| 7 | 网络新闻子系统 |
| 8 | UUCP子系统 |
| 9 | 时钟守护进程 |
| 10 | 安全授权信息 |
| 11 | FTP守护程序 |
| 12 | NTP (Network Time Protocol)子系统 |
| 13 | 记录审核 |
| 14 | 日志警报 |
| 15 | 时钟守护进程 |
| 16 | 当地使用0 |
| 17 | 局部使用1 |
| 18 | 当地使用2 |
| 19 | 当地使用3 |
| 20. | 当地使用4 |
| 21 | 当地使用5 |
| 22 | 当地使用6 |
| 23 | 当地使用7 |
表11-3:Syslog Severities
| 数值 | 严重的名字 |
|---|---|
| 0 | 紧急 |
| 1 | 警报 |
| 2 | 至关重要的 |
| 3. | 错误 |
| 4 | 警告 |
| 5 | 请注意 |
| 6 | 信息化学 |
| 7 | 调试 |
在很多情况下,syslog服务器被放在防火墙后面,最好是在管理网络中;因此,不需要打开防火墙来允许这些消息到达服务器。示例11-3演示了配置PIX 501或506E将其日志发送到远程syslog服务器的命令。以下命令是在PIX设备的配置或config模式下输入的。
示例11-3:PIX Logging
登录记录时间戳日志陷阱信息日志设施21日志主机10.16.17.124
命令登录告诉设备打开设备上的日志记录,以及记录时间戳命令确保在发送到远程syslog服务器的每条syslog消息中插入一个日期/时间字段。的日志陷阱信息命令指定要进行的日志记录级别。信息是使用PIX记录的信息是良好级别的原因是因为它提供了足够的信息来监视通过PIX的流量,而不会使用不必要的信息来压倒管理员。7级,调试,通常仅用于尝试和确定PIX的配置的问题,或者PIX的某些能力不起作用。的日志设施21语法指定使用哪种syslog工具。的设备21语法转换,根据表11-2转换为本地使用5.最后,最后一行,日志主机10.16.17.124,告诉PIX将其消息发送到PIX的“内部”(即内部网络上的主机)的主机,其IP地址为10.16.17.124。
无论防火墙如何记录信息,重要的是管理员必须检查记录的信息。管理员可以通过各种不同的日志分析工具从防火墙和其他源提取信息。这些工具的范围从商业工具(如CiscoWorks VMS)到开源或免费软件工具。日志分析工具的一个很好的资源是网站http://www.loganalysis.org.Cisco提供有关如何设置Syslog服务器以接收PIX防火墙生成的各种消息的详细说明。这些说明适用于任何可以生成Syslog消息的设备,可以在此处找到: