使用GUI管理防火墙
GUI提供了一个更友好的界面来配置防火墙。有些防火墙是通过主机上的直接接口配置的,例如赛门铁克诺顿Internet安全图十一和图的佳绩,防火墙才激活。有些附带预配置的IP地址和管理密码,用于终端用户在初始配置期间进行访问(如Linksys或PIX 501和506E系列系统)。
赛门铁克互联网安全配置
赛门铁克防火墙配置
PIX设备管理器(适用于PIX操作系统6.3(5)版本),在PIX 7.0版本中称为思科自适应安全设备管理器,是从PIX或ASA设备下载的一个Java小程序,并通过客户端浏览器在本地运行。图由显示PIX设备管理器屏幕。
思科PIX设备管理器
信息以更自然的方式以图形和图形的形式呈现给最终用户,以提高性能。
不甘落后的是,Linux的IPTables防火墙软件也有gui。有些是基于web的(如Webmin),有些是运行在Linux系统本身上的应用程序(如Firestarter或FW-Builder)。Firestarter为IPTables提供了一个简单易用的界面,如图所示图剩下的.
在对IPTables
Webmin提供了一种通过web浏览器界面管理防火墙的方法,这比只能在启用了X windows的服务器上查看的应用程序更加方便。图把显示了这个接口。
Webmin IPTables Rules接口
接口的偏好
无论是通过CLI还是通过GUI,对防火墙的管理可以是高度复杂的,也可以是相对简单的。通常,新手用户首先通过GUI管理防火墙。随着时间的推移,随着他们对防火墙的经验和熟悉程度的提高,他们可能会发现使用CLI更加方便。CLI优于GUI的一个重要好处是,CLI可以通过Telnet和SSH会话使用,也可以直接连接到串口。在考虑如何控制对防火墙管理接口的访问时,这一点非常重要。
管理访问
控制对网络基础设施设备管理接口的访问是至关重要的。网络设备,如路由器、交换机、入侵检测传感器和防火墙,应该只由需要管理它们的用户访问。这一要求源于这样一个事实:未经授权的用户(无论是否带有恶意)可能会更改配置或禁用设备,从而降低周围网络的安全性。管理访问有两种形式:带内和带外。必须考虑如何访问防火墙:Telnet、SSH、SNMP、FTP、TFTP、HTTP/HTTPS或一些专有管理协议,并且必须符合第10章“防火墙安全策略”中讨论的管理访问策略。
带内管理
带内管理是指在被过滤的流量所使用的同一网络上对系统和网络设备的管理访问。如果不采取某些预防措施,带内管理可能给管理员带来重大风险。这些风险主要集中在使用未加密的通信通道。在考虑是否管理带内防火墙时,必须特别注意使用加密通信,如SSH和HTTPS。使用简单的Telnet或HTTP可以导致管理员密码被攻击者捕获,攻击者正在嗅探防火墙的管理接口和其他网络之间的通信。带内管理还存在在蠕虫等大规模病毒爆发期间容易受到拒绝服务(DoS)攻击的风险。这将使在此类事件期间重新配置防火墙以阻止流量或在必要时完全关闭它以击败攻击变得更加困难。
带外管理
正如术语所指出的,带外管理导致通过不承载生产流量的辅助通道访问防火墙。这可以是用于管理访问网络设备和主机的VLAN设置,或者最好是一个完全独立的物理网络。此外,可以使用带外管理提供对网络设备串口的访问,以便在网络故障时访问。带外管理的设置可能更耗时,而且对于较小的网络来说没有成本效益,但它代表了管理防火墙和其他网络设备的最安全和可靠的方法。
Telnet和SSH
Telnet是一种非加密的网络通信协议,通常用于提供对系统和其他设备的远程访问。Telnet最初是在RFC 854中定义的,它是在Internet以目前的形式出现之前开发的,当时的网络要小得多。在Telnet协议设计中没有过多考虑使用该协议传输的数据的机密性。因此,所有使用Telnet协议传输的数据都容易被窃听和被捕获。
SSH提供数据的加密保护和身份验证,并确保通信的完整性和机密性是安全的。如果设备支持SSH作为命令行访问方式,那么SSH应该优先于Telnet。另外,如果设备的GUI可以在安全网络中访问,并且需要通过不安全的网络远程管理设备,并且可以建立SSH连接,则可以通过SSH隧道连接。两台主机之间建立SSH隧道时,需要使用端口转发。中显示的示例中图11:6客户端通过TCP端口22 (SSH标准端口)与SSH服务器建立SSH连接。但是,客户端使用端口转发能力来转发他的本地主机TCP端口1025,并将其重定向到路由器上的Telnet端口。要通过隧道访问路由器的Telnet端口,客户端只需要Telnet到他的本地主机TCP端口1025,通过SSH隧道,他将自动被重定向到路由器的Telnet端口。
在不安全的网络上进行SSH转发
通过这种方式,客户端和SSH服务器之间将经过加密的SSH会话,然后可以使用不安全的协议(如Telnet)转发流量。
HTTP和HTTPS
关于使用HTTP还是HTTPS的讨论遵循与前面关于Telnet还是安全shell的讨论类似的思路。HTTP是一种未加密的协议,它允许窃听者查看客户机和服务器之间的通信。虽然攻击者可能不一定能够捕捉到web服务器的密码,他们可以获取其他信息,比如具体的配置信息或可能是一个有效的饼干,然后允许攻击者冒充合法用户访问防火墙的管理界面。
HTTPS协议采用SSL (Secure Sockets Layer)加密技术,对客户端与防火墙web服务器之间的通信进行加密。这使得攻击者不可能窃听管理会话或拦截任何可用于访问防火墙或获取有关防火墙配置的信息的信息。
常用防火墙管理任务
部署新防火墙时要完成的第一件事是配置网络的一些基本方面,无论这是用于企业部署还是小型办公室或家庭办公室部署。这样做包括更改缺省管理密码、配置缺省网关、配置内部和外部(可能还有其他)接口的IP地址,以及配置来自防火墙的消息的日志记录。除了这些任务外,防火墙管理员还必须随时间管理防火墙的配置。这样做可能需要使用变更控制系统,例如版本控制系统(Revision control system, RCS),它在UNIX/Linux平台和Windows平台上都可用。下面的部分将更详细地讨论这些任务。
初始配置
防火墙的初始配置需要几项信息。这些信息包括内部和外部接口IP地址(或在其中一个接口上使用DHCP)、下一跳网关、日志记录和管理密码。以下各段将讨论前三项。在前面的“默认密码”一节中提供了关于管理密码的讨论。
接口
大多数小型办公室/家庭办公室(SOHO)防火墙只有两个接口。在企业防火墙上,可能有超过6个接口,它们包含具有不同安全级别的各种非军事区域(DMZ)。此外,较新的企业防火墙还可以支持vlan和vlan之间的过滤,而只有有限数量的物理接口。所有防火墙至少有两个接口:
内部-内部接口通常分配一个静态IP地址(这个IP地址通常来自三个私有IP地址块之一- 10.0.0.0/8,172.16.0.0-172.31.255.255,或192.168.0.0/16 -但这不是一个很难的要求)。此接口作为防火墙后面的系统的默认网关。默认网关是当连接的另一端(即正在联系的系统)无法以任何其他方式访问或不在客户机的本地网络上时系统发送流量的最后求助网关。
外-外部接口可以是由Internet服务提供商提供的静态IP地址,也可以通过DHCP (Dynamic Host Configuration Protocol)配置为静态IP地址。
防火墙除了提供各种接口的IP地址外,还可以运行DHCP服务器,为防火墙内部的系统提供IP地址和其他配置信息。这个服务器使部署SOHO防火墙变得容易得多,因为大多数供应商也为DHCP服务器提供了一些缺省配置。必须注意确保DHCP服务器的范围不与网络中已经存在的任何DHCP范围重叠或冲突。此外,对于目前流行的无线防火墙路由器(如Linksys BEFW11S4或WRT54G),设备管理员必须确保只有授权用户才能与设备进行关联和身份验证。如果这些设备没有被锁定,任何用户都可以验证该设备并与之关联,DHCP服务器将为他们提供一个可以使用的网络地址。
路由/网关
在许多情况下,简单的防火墙,如路由器,Linux NetFilter,焦油501或506 e使用防火墙,有一个简单的网络topology-essentially防火墙背后的内部网络和外部网络(通常由外部服务提供者提供的IP地址)。这些防火墙不进行复杂的路由,而只是使用默认网关将数据包从内部网络转发到外部网络。默认网关信息由管理员或服务提供商的DHCP服务器在防火墙启动时提供。
但在企业网络中,防火墙可以将多个网络和dmz分割开来。在这种情况下,路由可能相当复杂,可能需要使用动态路由协议,如路由信息协议(RIP)或开放最短路径优先(OSPF)路由协议。
要在初始化配置时添加到Cisco PIX的默认路由,您需要使用路线命令如下:
照片(配置)#外部路由0.0.0.0 0.0.0.0 172.16.45.1
这告诉PIX缺省路由出外部接口,下一跳是172.16.45.1,只有一跳距离(即它是下一个出接口的设备)。
日志记录
日志记录对于维护和管理防火墙也是必不可少的。日志记录使管理员能够查看被防火墙阻止的所有流量,并在某个特定功能(如网络地址转换(NAT))不能正常工作时对防火墙配置进行故障排除。大多数防火墙,如PIX 501或506E和Linux的NetFilter,都允许将消息记录到远程syslog服务器。
Syslog起源于UNIX操作系统,并且Syslog被许多Linux、BSD和UNIX衍生操作系统上的各种进程所使用。此外,许多供应商,如思科,已经将syslog适应于他们的产品,如IOS和PIX OS。Syslog在Internet RFC 3164中定义(可从Internet Engineering Task Force (IETF)网站获取)http://www.ietf.org/rfc/rfc3164.txt?number=3164).关于syslog,需要理解的两个主要概念是信息设施和严重程度.生成并发送到syslog服务器的每条消息都必须使用已定义的功能和严重性发送,以便syslog服务器了解如何处理该消息。当前syslog RFC(3164)中定义的设施和级别分别如表11-2和表11-3所示。根据RFC 3164的定义和表11-3的降序排列,syslog有8种级别。syslog严重级别的一个令人困惑的方面是,严重级别的数值越低(0表示紧急),则更高的被发送信息的严重性。同样,严重性“越低”(即严重性的数值越高),流程生成的信息量就越大。因此,级别7(调试)产生大量的syslog日志消息,而级别0(紧急)产生的消息很少(但是非常重要)。因为syslog最初是在BSD UNIX操作系统上开发的,所以在UNIX中许多工具被分配给特定的进程和守护进程。没有明确分配设施的进程可以使用“本地使用”设施之一。
表11-2:Syslog工具
| 数值 | 设备名称 |
|---|---|
| 0 | 内核消息 |
| 1 | 用户级别的消息 |
| 2 | 邮件系统 |
| 3. | 系统守护进程 |
| 4 | 安全授权信息 |
| 5 | Syslog内部生成的消息 |
| 6 | 行式打印机子系统 |
| 7 | 网络新闻子系统 |
| 8 | UUCP子系统 |
| 9 | 时钟守护进程 |
| 10 | 安全授权信息 |
| 11 | FTP守护进程 |
| 12 | NTP (Network Time Protocol)子系统 |
| 13 | 日志审计 |
| 14 | 日志警报 |
| 15 | 时钟守护进程 |
| 16 | 当地使用0 |
| 17 | 局部使用1 |
| 18 | 当地使用2 |
| 19 | 当地使用3 |
| 20. | 当地使用4 |
| 21 | 当地使用5 |
| 22 | 当地使用6 |
| 23 | 当地使用7 |
表11-3:Syslog级别
| 数值 | 严重的名字 |
|---|---|
| 0 | 紧急 |
| 1 | 警报 |
| 2 | 至关重要的 |
| 3. | 错误 |
| 4 | 警告 |
| 5 | 请注意 |
| 6 | 信息 |
| 7 | 调试 |
在很多情况下,syslog服务器被放在防火墙后面,最好是在管理网络中;因此,不需要打开防火墙来允许这些消息到达服务器。示例11-3演示了配置PIX 501或506E将其日志发送到远程syslog服务器的命令。以下命令是在PIX设备的配置或config模式下输入的。
示例11-3:PIX Logging
登录日志记录时间戳日志陷阱信息日志设施21日志主机10.16.17.124
命令登录告诉设备在设备上打开登录,而日志记录时间戳命令确保在发送到远程syslog服务器的每条syslog消息中插入一个日期/时间字段。的日志陷阱信息命令指定要执行的日志记录级别。之所以将Informational用作使用PIX进行日志记录的良好级别,是因为它提供了足够的信息来监视通过PIX的流量,而不会让管理员因不必要的信息而不堪重负。级别7,调试,通常只用于尝试和确定PIX配置的问题或为什么PIX的某些功能不能工作。的日志设施21语法指定使用的syslog功能。的设备21根据表11-2,语法转换为本地使用5。最后一行,日志主机10.16.17.124,告诉PIX将其消息发送到PIX“内部”的主机(即内部网络上的主机),IP地址为10.16.17.124。
无论防火墙如何记录信息,重要的是管理员必须检查记录的信息。管理员可以通过各种不同的日志分析工具从防火墙和其他源提取信息。这些工具的范围从商业工具(如CiscoWorks VMS)到开源或免费软件工具。日志分析工具的一个很好的资源是网站http://www.loganalysis.org.Cisco提供了关于如何设置syslog服务器来接收由PIX防火墙生成的各种消息的详细说明。这些说明适用于任何可以产生syslog消息的设备,可以在这里找到: