本章介绍防火墙的管理。从小型办公室/家庭用户的角度来看,防火墙是保护免受恶意家庭网络中的单个设备的流量,它保持了“不好的东西”,并为最终用户提供更安全的在线体验。对于企业来说,防火墙可以同时入站过滤器,以及取决于如何强制执行边缘网络安全策略要求出站过滤器。无论哪种方式,防火墙(或企业的情况下,可能是防火墙)必须在一个时尚或其他进行管理。通常,大多数制造商依赖于网络界面的这些日子。在家用市场,这源于以下事实:一个图形用户界面(GUI)是更直观的最终用户,因此表面上更容易使用,不是一个命令行接口(CLI)。然而,在心脏更大胆谁这么希望,也有可能仅仅从CLI进行管理的防火墙(即PIX,Linux的iptables的,和Solaris IPF,仅举几例)。本章通过CLI及GUI的涉及的主题包括默认密码,维护基本的防火墙平台的防火墙,如Linux的Netfilter的,和管理防火墙。最后,提供的管理接口和常见的防火墙管理任务的讨论。
默认密码
当你购买一个新的防火墙(或任何网络设备),如思科PIX, Linksys, NetScreen,或SonicWall,开箱即用的设备有一些默认密码设置(在某些情况下没有默认密码)。这是因为制造商必须允许终端用户对设备进行初始访问,以便进行配置。任何设备的最新文档都警告终端用户立即将默认密码更改为其他密码。表11-1显示了一些防火墙的常见默认密码。
表11-1:默认密码
| 生产厂家 | 产品 | 默认管理账户 | 默认密码 |
|---|---|---|---|
| 思科 | PIX | 没有 | 没有 |
| Linksys的 | BEFSX41 | 没有 | 管理 |
| 网屏 | (所有) | 网屏 | 网屏 |
| 美国网件 | FR314 | 管理 | 密码 |
你可在F/X网站(http://www.phenoelit.de/dpl/dpl.html)或在现场尼克托(http://www.cirt.net/cgi-bin/passwd.pl)。正是因为这些网站有默认密码列表,所以这些密码才被认为是有害的。在某些情况下,供应商得到的提示是,尽管他们需要为初始设置设置默认密码,但初始设置还应该要求管理员从默认值更改密码。这已经在一些Cisco设备上实现了,比如他们的IDS平台,并且越来越被其他供应商所接受。
维护底层平台
与网络上的任何设备一样,防火墙运行软件(无论是嵌入到特定应用的集成电路[ASIC]中,还是从闪存或从磁盘文件系统中运行)以能够执行其功能。通常,就像Cisco PIX和ASA平台以及NetScreen和其他供应商防火墙的情况一样,这些防火墙运行一个定制的操作系统,其源代码不能供一般社区检查或篡改。如果一个错误或漏洞被外部发现,则由制造商开发补丁并发布操作系统的新版本,由最终用户安装以解决问题。此外,任何添加到设备的新功能都是根据制造商的时间表完成的。
在光谱的另一端是具有防火墙功能的开源系统。这些措施包括的Linux,OpenBSD和Solaris 10上,仅举几例。这些系统(linux的Netfilter的,OpenBSD的PF,和Solaris 10的的IPFilter)防火墙源代码的可用于由外组检查。这并不一定意味着这些操作系统在滤波代码为好,但它可以通过人谁拥有的技能设置必要的代码的附加功能集成到软件中更容易扩展。然而,在一个更通用的操作系统的每条这些过滤系统的运行的(Linux操作系统,OpenBSD和Solaris中,分别地),因而错误或漏洞(一些绑在过滤代码和其他人不)的可能性可以更大,因为底层操作系统都意味着更多的一般用途。这种系统需要照顾,耐心和努力都维持和保证,以确保防火墙不会受到损害。如果错误或漏洞,这些防火墙的一个发现,它的补丁很可能是使用早于封闭源代码的应用系统。通常情况下,这是因为人谁可能是能够提供错误或漏洞的修复程序的数量比那些涉及商业闭源系统的发展显著更大。这并不意味着厂商如思科外,NetScreen,WatchGuard的,Linksys公司等不及时提供补丁; in some cases, it depends on the severity of the problem. Statistically, however, Linux and OpenBSD bugs are fixed quickly relative to closed-source vendors (http://csoinformer.com/research/solve.shtml)。
考虑一个防火墙的情况,它由一个简单的Intel PC组成,其中两个接口运行Fedora Core 4 Linux和NetFilter作为过滤防火墙。Fedora Core 4中的包数量大约是1500个(确切地说是1806个)。许多包可能包含一个可能导致(无论多么不可能)危及系统的错误。此外,适当地保护系统或维护系统所付出的努力可能超出了大多数没有足够技术背景的人的能力。对于新手用户来说,打包的、封闭源码的系统可能是更好的选择。Linksys路由器/防火墙、思科PIX 501或NetScreen 5XP可能更适合技术不太熟练的个人或想要使用封闭源设备的人,因为配置和维护所需的精力较低。然而,对于那些愿意付出努力和有技术的人来说,开放源码防火墙可以满足他们的要求。
维护底层平台需要时间。底层平台越复杂,所需的时间就越多。这就是封闭源设备(如PIX、NetScreen和Linksys)的优势所在。它们提供的设备虽然由用户配置和维护,但消除了更一般的操作系统中固有的许多变量。这使得经验不足的用户更容易维护防火墙。
防火墙管理界面
现代防火墙来与两个管理接口:
CLI
GUI(通常,但不一定是基于web的)
本节提供这些接口的概述和一些示例。
使用CLI管理防火墙
CLI允许您使用特定的指令集来配置防火墙。大多数防火墙要求终端用户通过CLI完成防火墙的初始配置(输入基本的网络信息,如IP地址、网络掩码、默认网关,可能还有管理密码)之前最终用户可以切换到GUI。Linux的NetFilter在很大程度上是通过CLI配置的,尽管确实有一些产品允许通过GUI配置基于NetFilter的防火墙。
CLIs要求了解防火墙产品中的命令集。例如,要配置NetFilter,请使用IPTables CLI允许入站安全Shell (SSH)、电子邮件和web通信流(分别使用TCP端口22、25和80),并拒绝示例11-1中要求的所有其他通信流。
实施例11-1:配置Netfilter的使用iptables
输入拒绝接受输出#iptables的-P FORWARD ACCEPT输入- lo -j接受输入- p tcp -s 0.0.0.0/0 -d 10.16.17.202 -dport 22 - m state -state NEW - j ACCEPT#iptables的INPUT -A -p TCP -s 0.0.0.0/0 -d 10.16.17.202 --dport 25 -m状态--state NEW -j ACCEPT输入- p tcp -s 0.0.0.0/0 -d 10.16.17.202 -dport 80 - m state -state NEW - j ACCEPT输入-m状态——已建立的状态,相关-j接受#iptables的INPUT -A --reject-与ICMP主机禁止-j REJECT
示例11-2使用PIX命令集提供了类似的配置。
实施例11-2:配置PIX
甘道夫(配置)#访问列表acl_test允许tcp任何主机10.16.17.202 eq ssh甘道夫(配置)#访问列表acl_test允许tcp任何主机10.16.17.202 eq smtp甘道夫(配置)#访问列表acl_test允许TCP任何主机10.16.17.202 EQ 80甘道夫(配置)#访问列表acl_test允许ICMP任何任何甘道夫(配置)#访问列表acl_test拒绝IP地址的任何任何甘道夫(配置)#显示访问列表acl_test访问列表acl_test;5种元素的访问列表acl_test线1许可证TCP任何主机10.16.17.202当量SSH(hitcnt = 0)的访问列表acl_test线2许可证TCP任何主机10.16.17.202当量SMTP(hitcnt = 0)访问列表acl_test线3许可证TCP任何主机10.16.17.202当量WWW(hitcnt = 0)访问列表acl_test线4许可证ICMP任何任何(hitcnt = 0)访问列表acl_test线5拒绝IP地址的任何任何(hitcnt = 0)
了解命令集对于通过CLI有效地配置防火墙至关重要。许多供应商(和第三方)努力将防火墙的配置简化为一种更简单的方法。当初始配置完成后(向防火墙软件提供IP地址和网络掩码),最终用户可以立即切换到更图形化的方法来配置防火墙。