联想网御防火墙—信息安全实践

【实验目的】

（1）了解针对联想网御企业级防火墙系统的主要功能及其原理。

（2）掌握其配置维护方法，包括端口设定、包过滤配置、IP映射配置等。

【实验内容】

（1）网御包过滤规则。

（2）网御透明模式下包过滤规则维护。

（3）网御端口转换配置。

（4）网御网络地址转换配置。

【预备知识】

（1）了解Linux系统命令模式使用方法。

（2）了解防火墙规则配置原理。

（3）了解网络服务常用端口。

【实验原理】

防火墙（Firewall）是指设置在不同网络或网络安全域之间的一系列部件的组合，它能增强机构内部网络的安全性。它通过访问控制机制，确定哪些内部服务允许外部访问，以及允许哪些外部请求可以访问内部服务。它可以根据网络传输的类型决定IP包是否可以传进或传出内部网。防火墙通过审查经过的每一个数据包，判断它是否有相匹配的过滤规则，根据规则的先后顺序进行一一比较，直到满足其中的一条规则为止，然后依据控制机制做出相应的动作。如果都不满足，则将数据包丢弃，从而保护网络安全。通过使用防火墙可以实现以下功能：可以保护易受攻击的服务；控制内外网之间网络系统的访问；集中管理内网的安全性；提高网络的保密性和私有性；记录网络的使用状态。典型的网络防火墙如图7.1.1所示。

图7.1.1　典型网络防火墙(www.xing528.com)

防火墙并不能防止内部人员的蓄意破坏和对内部服务器的攻击。但是，这种攻击比较容易发现和察觉，危害性也比较小，一般是用公司内部的规则或者给用户不同的权限来控制。

防火墙的关键技术有包过滤、代理技术、网络地址转换、自适应代理技术。

（1）包过滤：数据包过滤（Packet Filtering）是防火墙的基本功能，也是一项最常用的技术，一般工作在具有包过滤功能的路由器上或者运行防火墙软件的主机上。通过对经由防火墙的数据包进行检测，并根据检测结果采取允许、禁止、丢弃或者默认操作，以确保进出内网数据的安全。

（2）代理技术（Agent Technology）：代理技术是指用代理服务器切断内网用户和外网服务器间的直接通信，由代理服务器分别与内网用户和外部服务器通信来保持内网用户和外部服务器间接通信的技术。这种内、外网隔离机制带来了很大的安全性，因此代理技术成为防火墙的一项关键技术。代理技术运行在TCP/IP参考模型的应用层，因此需要关闭代理服务器上的内、外网间的路由功能，以防内、外网间的交互数据绕过应用层代理。当内网用户要访问外网服务器时，需要将应用层协议请求提交给代理服务器。如果代理服务器允许该连接，就会自主同外网服务器建立连接，并将从外网服务器获得的资源检查、过滤后转发给内网用户。同理，外网发起的连接也要经由代理服务器转发。由于代理技术工作在应用层，应用种类多且互不兼容，例如HTTP、SMTP、DNS、FTP、TELNET等，因此需要针对不同的应用层服务设计代理软件在服务器上运行。

（3）网络地址转换（NAT）。网络地址转换是通过对数据包的源（目的）IP地址、源（目的）端口进行修改，将多个内网私有地址同少量外网公共IP地址相互关联的一种技术。NAT技术是Internet工程任务组（Internet Engineering Task Force，IETF）的一个标准，使得内网的多台计算机可以共享一个或几个合法公共IP地址与Internet相连。

（4）自适应代理技术（Self-Adaptive Agent Technology）。自适应代理技术是最近在商业应用防火墙中实现的一种革命性的技术。组成这种类型防火墙的基本要素有两个：自适应代理服务器与动态包过滤器。它结合了代理服务防火墙的安全性和包过滤防火墙的高速度等优点，在保证安全性的基础上将代理服务器防火墙的性能提高10倍以上。

在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应代理的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务器从应用层代理请求，还是使用动态包过滤器从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，从而满足用户对速度和安全性的双重要求。

【实验环境】

局域网，实验室需配置联想网御防火墙。

【实验工具】

微软公司Windows IIS 5.0/IIS 6.0中文版，是用于在公共Intranet或Internet上发布信息的Web服务器。

【实验用时】

30分钟/实例。

【实验过程与步骤】