本章研究防火墙管理从小办公/家庭用户的角度来看,防火墙是一个单机保护家庭网络不受恶意流量影响-它排除了“坏东西”,为终端用户提供更安全在线经验对企业而言,防火墙既可以是入网滤波,也可以是出网滤波,视安全策略如何要求执行边端网络而定。防火墙(企业或防火墙)都需以这种或那种方式管理通常情况下,大多数制造商现在依赖Web接口在家市场中,这是因为图形用户界面对终端用户比较直观,因此表面上更容易使用比命令行界面更容易使用更大胆心想者有防火墙(即PIX、LinuxIP表和SolarisIPG仅举几个例子)可完全从CLI管理本章涵盖的问题包括默认密码、维护防火墙底层平台如LinuxNetFilter和通过CLI管理防火墙和GUI最后,提供管理接口和常用防火墙管理任务的讨论
默认密码
购买新防火墙(或网络设备泛泛化)时,例如Cisco PIX、Linkysys、NetScreen或SonicWall,设备有预设密码集(在某些情况下没有默认密码集)。这是因为制造商必须允许终端用户初始访问设备配置设备最近文档提醒终端用户立即将默认密码改换为别的东西表11-1显示一些防火墙常用默认密码
表11-1:默认密码
制造者 | 产品类 | 默认行政账号 | 默认密码 |
---|---|---|---|
思科市 | PIX | 无 | 无 |
链路 | BEFSX41 | 无 | 管理员 |
NetScreen网络 | 全数 | 网屏 | 网屏 |
网格 | FR314 | 管理员 | 密码 |
F/X网站(F/X网站)中都能找到详细默认密码列表http://www.phenoelit.de/dpl/dpl.html或nito网站http://www.cirt.net/cgi-bin/passwd.pl)正因为网站保留默认密码列表,这些密码才被认为有害在有些情况下,销售商得到提示说,虽然初始设置需要默认密码,初始搭建也应要求管理员从默认值修改密码Cisco设备,如IDS平台上都这样做了,并正在寻找更多供货商接受
维护底层平台
和网络上的任何设备一样,防火墙运行软件(无论是嵌入程序专用集成电路[ASIC]或从闪存运行或从磁盘文件系统运行)以便能够实现功能Cisco PIX平台和ASA平台以及NetScreen和其他厂商防火墙通常使用自定义操作系统,源码无法供全社区审查或篡改如果外部方发现漏洞或漏洞,则由制造商开发补丁并发布操作系统新版供终端用户安装以解决问题此外,设备上添加的任何新特征均按制造商进度处理
相向端为开源系统防火墙能力包括Linux、OpenBSD和Solaris10防火墙源码可供外部集团检查并不一定表示这些操作系统过滤码更好,但比较容易扩展,由拥有将额外能力编码入软件所必备技能集的人扩展但这些滤波系统都在一个比较通用操作系统下运行(Linux、OpenBSD和Solaris),因此漏洞或漏洞的可能性可能更大(有些与滤波码绑定,而另一些不绑定),因为底层操作系统本意更常用系统需要关照、耐心和努力维护并安全确保防火墙不受破坏防火墙中发现漏洞或漏洞时,补丁可能比封闭源应用程序系统早可用典型地说,这是因为能够修复ug或脆弱度的人数比开发商业闭源系统的人数大得多。Cisco公司、NetScreen公司、守望者公司、Linkyss等商家不提供及时补丁在某些情况下,取决于问题的严重性Linux和OpenBSD错误快速固定相对于封闭源商http://csoinformer.com/research/solve.shtml)
假设防火墙由简单IntelPC组成,两个接口运行Fedora核心4Linux和NetFilter为滤波防火墙Fedora核心4打包数约1500打包(1806精确数)。多包中可能含有错误并可能导致系统可能的折中(无论多么不可能)。此外,适当保护系统或维护系统的努力程度可能超出大多数没有足够技术背景者的能力范围。对更多新用户群而言,封闭源码系统可能是最佳选择链路由器/防火墙、ciscoPIX501或NetScreen5XP可能更适合技术稀疏个人或因配置和维护小工而需要闭合源应用程序者开源防火墙与帐单相匹配。
维护底层平台需要时间越复杂底层平台,需要时间越多闭源设备如PIX、NetScreen和Linkys系统提供设备,虽然由用户配置并维护,但消除泛操作系统固有的多变量这使得经验较少用户更容易维护防火墙
防火墙管理接口
现代防火墙配有两个行政接口:
CLI
GUI(典型但不一定基于Web)
本节概述并举例说明这些接口
管理防火墙CLI
CLI允许使用专用指令集配置防火墙多数防火墙都要求终端用户通过CLI对防火墙进行初始配置(输入基本网络信息,如IP地址、Net掩码、默认网关和可能行政密码)前置端用户可切换到GUILinuxNetFilter大都通过CLI配置,尽管有几种产品允许通过GUI配置NetFilter防火墙
CLI系统需要了解防火墙产品命令集etFilter配置使用IP表CLI允许安全壳(SSH)、电子邮件和网络流量(分别使用TCP端口22、25和80)并拒绝所有其他流量需要例11-1配置
例11-1:用IP表配置NetFilter
ips-PINPUTDENY伊波特-POUPUT接受ibables-P接受伊波斯-AINPUT-ilo-jACEPTibts-AINPUT-ptp-s 0.0/0-d 10.16.17.202-dport22-mstate-stateNew-jibts-AINPUT-ptp-s 0.0/0-d 10.16.17.202-dport25-m状态-stateNewjibts-AINPUT-ptp-s 0.0/0-d 10.16.17.202-dport80-mstate-stateNew-jibables-AINPUT-m状态-state搭建ibables-AINPUT-反转imp-host-blost-j
例11-2提供相似配置PIX命令集
例11-2:配置PIX
gandalf(config)#访问列表测试许可tcpgandalf(config)#访问列表测试许可tcpgandalf(config)#访问列表测试许可tcpgandalf(config)#访问列表acl测试许可gandalf(config)#访问列表acl_test拒绝igandalf(config)#显示访问列表acl_test访问列表测试5元素访问list10.16.17.202eqsssh
知识命令集对通过CLI有效配置防火墙至关重要多商家(第三方)努力把防火墙配置简化为简单化方法初始配置完成后(向防火墙软件提供IP地址和网膜),终端用户可立即切换为更多图形法配置防火墙