安联防火墙 /VPN 网关软件防火墙功能评估指南

安联防火墙/VPN网关软件防火墙功能评估指南 http://www.constic.com info@constic.com 2004年3月6日 1

内容提要 本文对安联防火墙/VPN网关软件所实现的主要防火墙功能进行了全面介绍，并提供了大量的配置案例，为用户快速、准确评估产品所包含的各项防火墙功能提供了明确指导；同时，本文也可以作为产品的使用教程，使用户能够迅速掌握产品在防火墙功能方面的使用、配置方法。 2

目录 • 动态规则 • 事件的记录与审计 • 带宽管理 • 实时监控 • 安装安联防火墙 • 防火墙系统配置 • 防火墙管理窗口 • 实现ADSL接入 • 防火墙安全规则 • 常用规则示例 • 地址/端口映射 3

安装安联防火墙 • 准备工作 • 安装步骤 • 安联防火墙程序组 • 启动防火墙 4

准备工作 对主机的要求： 1、100M硬盘空间、128M以上系统内存、至少具有一个以上的网络接口设备（网卡或Modem） 2、已安装Windows 2K/2003/XP操作系统 2、如安装了网络监视器，请务必使用Window组件导向删除“网络监视器工具”组件 3、如系统中运行了“Routing and Remote Access”服务，请停止并将该服务设为禁用状态 4、如希望使用安联防火墙中的VPN功能，请将系统中的“IPSec Policy Agent”服务停止并设为禁用状态示例：在Windows 2000 Server上停止IPSec服务。在“管理工具”程序组中运行“服务”命令，打开“服务”窗口；在窗口中选择“IPSec Policy Agent”服务，并将该服务停止并将启动属性改为“已禁用”。 5

安装步骤 运行安装程序文件拷贝系统配置及系统引擎安装建立程序组菜单程序在安装系统引擎期间会多次出现图示窗口，请每次出现时选择“是”，以保证防火墙服务正确安装结束 6

安联防火墙程序组 选择执行允许/禁止IP包转发命令之后，需要重启计算机命令方能生效。防火墙网卡是指防火墙的外部网卡，管理员需要更新时，无需停止防火墙服务，更新即时生效打开每个日志观察器都可以查看多种与该服务相关的日志记录。安全日志包含了各种基本的防火墙日志记录。启动本地防火墙管理程序启动本地防火墙服务停止本地防火墙服务程序卸载启动管理程序，对远程防火墙进行管理 7

启动安联防火墙 • 如安装时选择使用手动启动防火墙，可通过程序组中的“启动防火墙”命令运行防火墙服务。 • 如安装时选择使用自动启动防火墙，则每次服务器开机启动后，防火墙服务被自动运行，无需人为操作。 • 防火墙服务是一个标准的Windows服务程序，可在系统服务控制台中找到。执行程序组中的“启动防火墙”、“停止防火墙”命令后，会弹出一个DOS程序运行窗口，该窗口在服务启动或停止成功后自动关闭。防火墙安装后，将成为一个标准的Windows服务程序，在该服务的属性配置窗口中可改变防火墙的启动方式：手动或自动。 8

防火墙系统配置 • 系统配置概要 • 输入注册码 • 填写DNS地址 • 设置内部网络地址 • 选择服务 9

系统配置概要 • 执行程序组中“管理防火墙”命令，打开管理窗口； • 执行程序菜单命令“File（文件） Properties（道具）”打开防火墙属性配置窗口产品注册配置DNS 设置内部网络选择服务主要配置项目包括：产品注册码、DNS服务器地址、防火墙所保护的内网地址、启用的服务完成系统配置后，需要重新启动防火墙以保证配置生效。 ----“File（文件）Restart Firewall Server （重新启动防火墙）”--- 10

输入产品组注册码 • 在“Firewall GUI 1.1 Properties（防火墙属性配置）”窗口中打开“Authorize（授权）”页面注册名注册码 • 本软件缺省包含2用户30日评估注册码，用户可利用单一主机（产品作为单机版防火墙使用）对大多数功能进行测试； • 用户如需要将本软件安装在实际的网关上进行测试，可向北京安联科技有限公司申请5用户30日评估注册码；此时，安联防火墙/VPN网关所保护的局域网最多可含有3台主机。 • ---申请5用户30天评估注册码请点击如下链接--- • www.constic.com/demo/demo.htm 11

填写DNS服务地址 • 在“Firewall GUI 1.1 Properties（防火墙属性配置）”窗口中打开“Intermediary（调解选项）”页面主DNS 辅助DNS 输入了正确的DNS服务器地址后，防火墙可实现DNS转发功能。此时，管理员在配置内部终端的TCP/IP服务属性时，只需要将DNS地址设为1.1.1.1（主DNS服务器IP）和1.1.1.2（辅助DNS服务器IP）即可，防火墙将能够识别这些终端发出的DNS服务请求并转发到正确的DNS服务器。 12

设置内部网络地址 • 在“Firewall GUI 1.1 Properties（防火墙属性配置）”窗口中打开“Network（网络）”页面网络地址/掩码在“Network（网络）”页面中必须输入受到防火墙保护的内部网络地址，以便让防火墙确定哪些地址属于内部网络。在此页面中，用户最多能设置三个内部网络网段。 13

选择服务 • 在“Firewall GUI 1.1 Properties（防火墙属性配置）”窗口中打开“Firewall Server（防火墙服务器）”页面 NAT及防火墙功能是系统缺省使用的如果防火墙通过ADSL Modem接入Internet，必须使用防火墙自带的PPPoE拨号功能进行ADSL拨号根据需要选择是否启用IPSec VPN功能和远程管理功能配置远程管理所使用的端口和登录口令。通常情况下不要改变远程管理的端口 14

防火墙管理窗口 • 缺省管理界面 • 程序主菜单 • 监控窗口 • 定制客户化管理界面 15

缺省管理界面 • 在防火墙运行状态下，执行程序组中的“管理防火墙”命令，启动防火墙管理程序显示当前的网络线路质量，需要在防火墙系统属性中进行相关配置通过防火墙的数据总量，单位：千字节瞬间通过防火墙的数据总量线图防火墙当前已经运行的时间瞬间通过防火墙的数据总量，单位：千字节每秒被防火墙丢弃的入站和出站数据包数量通过防火墙的入站和出站数据包总数防火墙系统运行日志瞬间通过防火墙的入站和出站数据量，单位：千字节每秒 16

程序主菜单 • 在防火墙管理程序窗口中点击鼠标右键，弹出程序主菜单 “File（文件）”包含了系统操作命令和系统属性配置命令通过“Firewall（防火墙）”程序组，可以对防火墙规则进行配置 IPSec、PPPoE、DHCP、PPTP命令组；只有在系统属性中选择该服务后才会出现。通过“Windows（窗口）”命令组，可以改变窗口的样式、配色方案及字体。通过“Monitor（监视器）”命令组，可以打开针对各种系统状态的监视窗口 17

监控窗口 • 安联防火墙提供了完善的监控窗口，通过 “Monitors（监视器）”命令组可以任意打开或关闭特定的监视窗口防火墙事件监视器系统信息监视器防火墙当前连接防火墙规则匹配防火墙安全警告防火墙拒绝的连接防火墙连接日志防火墙丢弃的数据包防火墙黑名单 HTTP请求记录防火墙服务日志系统日志网络流量线图网络流量条形图链路监视器带宽管理监视器可疑事件监视器安全事件监视器系统信息监视器入站/出站流量图系统功能状态 NAT客户端记录 VPN事件监视器 IPSe用户 IPSec隧道 IPSec服务日志 IKE服务日志 IPSec认证日志 18

定制客户化管理界面 通过将不同的监控窗口进行组合，用户可以定制一个符合日常管理需要的客户化界面。在定制了客户化管理界面后，用户可以通过主菜单中“Window -> save setting” 命令进行保存；再次启动防火墙管理程序后，界面江显示为用户定制的样式。 19

实现ADSL接入 • 采用ADSL接入的网络方案 • 配置PPPoE服务 • 确认ADSL连接成功 20

采用ADSL接入的网络方案 • 如果用户采用ADSL方式接入Internet，在使用安联防火墙/VPN网关提供PPPoE虚拟拨号功能之前，请注意以下问题： • ADSL Modem的工作模式为PPPoE虚拟拨号方式，且不能使用ADSL Modem内置拨号器 • ADSL Modem与防火墙主机的外部网卡通过网线直连或通过交换机连接 • 安联防火墙/VPN网关的PPPoE拨号功能已经启用 Internet 注意：在防火墙主机上不能使用第三方PPPoE拨号软件。否则，防火墙将无法实现数据包过滤功能 ADSL Modem 双网卡主机安装安联防火墙/VPN网关软件外部IP --- 动态获得内部IP --- 192.168.0.1 内部网络： 192.168.0.0/255.255.255.0 21

配置PPPoE服务 启动防火墙管理程序，并通过主菜单打开PPPoE服务属性配置窗口将PPPoE设为自动连接（防火墙启动后自动进行PPPoE连接）将重建连接方式设为自动输入ISP分配的登录用户名/密码 22

确认ADSL连接成功 • 完成并保存PPPoE服务属性的配置后，请重新启动防火墙 • 当“Activity Log（系统日志）”窗口中出现以下信息时，表示ADSL连接成功 • 在防火墙主机上，通过浏览器能够访问Internet上的网站 • 在防火墙管理窗口中，可以看到数据流量显示窗口中的图形变化，表示有数据通过防火墙 23

防火墙安全规则 • 防火墙规则体系 • 防火墙规则配置菜单 • 防火墙规则配置步骤 • 设置系统安全等级 • 选择系统安全规则 • 用户规则配置 • 了解规则配置窗口 • 主要规则类型 • 用户规则配置的基本步骤 24

病毒代码 过滤 IP包特征检查 IP包内容检查通讯状态分析动态规则生成安全邮件代理用户访问控制系统入侵检测防火墙规则体系安联防火墙以新一代的动态监测技术为核心，构成了面向不同需求的安全规则；所有的安全规则采用统一的定义方式，并依据优先级顺序被防火墙执行。白名单规则执行顺序黑名单用户规则系统安全等级（系统安全规则）动态规则防火墙安全规则类型和执行优先级 25

防火墙规则配置菜单 系统安全等级（系统安全规则）用户规则黑名单规则白名单规则带宽管理规则规则示例更新配置注意：带宽管理规则不属于防火墙安全规则，关于如何使用带宽管理功能，请参“带宽管理”部分 26

防火墙规则的配置步骤 配置系统安全等级（系统规则）配置用户规则编写黑名单通常情况下无需配置编写白名单更新配置 27

设置系统安全等级 是否使用日志及动态防火墙功能防火墙预制11级安全等级；通过竖状拉杆，可选择所需的安全等级如果用户的公共邮件服务器在局域网内部，可启用安全邮件代理功能缺省状态下，是否允许内部用户访问Internet 是否使用管理功能缺省状态下，是否关闭防火墙外网网卡的全部端口用户可对当前安全等级中所包含的具体规则进行配置注意：对于大多数用户而言，5级安全等级是较为适合的。缺省配置时， 5级安全等级不启用带宽管理，如需要使用该功能，用户可以自行配置。 28

选择系统安全规则 通过“Security Livel（安全等级）”窗口的“Custom…（自定义）”按钮可以打开“Security Level Configuration”（安全等级配置）”窗口，并在“System Rules（系统规则）”页面中选择需要使用的安全规则。被选中的系统规则显示为蓝底白字未选中的系统规则注意：通常情况下，用户只需要选择适合的安全等级即可，而无需修改每个安全等级所包含的具体系统规则。关于系统规则的内容，请参考产品使用手册 29

用户规则配置 • 通过防火墙菜单中的“User Rule（用户规则）”命令，打开用户规则配置窗口规则属性设置窗口调整规则的执行次序显示已存在的规则的名称（在上面的规则优先执行） 30

了解规则配置窗口 规则配置菜单用户界面分为“Simple（简单）”和“Advance（高级）” 两种。在使用简单界面时，在规则配置窗口中仅显示与规则类型有关的配置项目；在使用高级界面时，在规则配置窗口中将现实全部配置项目选择用户界面创建规则注意：在配置基于时间因素的规则或内容检查规则时，必须使用高级用户界面删除规则规则状态分为“Enable（生效）”、“Disable（失效）”和“Passive（被动）”三种修改规则状态规则的全部配置项目规则状态的表示方式数据包匹配条件生效的规则在“[ ]”中的规则为被动规则对数据包的处理方式标有“(-)”的规则为失效规则 31

主要规则类型 32

用户规则配置的基本步骤 创建规则指定规则类型配置数据包匹配佩条件制定数据包的处理方式调整规则的执行顺序更新配置 33

常用规则示例 • 允许Internet用户访问防火墙主机上的公共Web服务器 • 禁止所有内部终端登录“可乐吧互动娱乐世界” • 在工作时间内禁止内部终端使用Windows Media Player收看视频节目 • 禁止终端(192.168.0.3)下载MP3文件 34

允许Internet用户访问防火墙主机上的公共Web服务器允许Internet用户访问防火墙主机上的公共Web服务器  规则创建窗口  TCP/IP配置窗口输入规则名称选择规则类型（Allow）（允许）  数据包匹配配置窗口将数据包源地址和端口都设为 “Any” 选择传输方向为“Bidirectional ”（双向） My_IP是一个系统函数，它引用了防火墙外部网络接口的缺省IP 将数据包目标地址设为“My_IP”；端口设为“80” 选择协议类型（TCP）注意：在配置此规则时，数据包的传输方向必须设为“Bidirectional（双向）”，这样才能保证来自Internet的访问请求和Web服务发出的应答数据包都能被防火墙允许通过 35

禁止所有内部终端登录“可乐吧互动娱乐世界”禁止所有内部终端登录“可乐吧互动娱乐世界”  规则创建窗口输入规则名称选择规则类型（Deny）（拒绝）  TCP/IP配置窗口将数据包源地址和端口都设为“Any” 用户在登录“可乐吧互动娱乐世界”时需要访问服务器的10002端口，所以此规则禁止访问10002端口将数据包目标地址设为“Any”；端口设为“10002” 36

在工作时间内禁止内部终端使用Windows Media Player收看视频节目  规则创建窗口输入规则名称在日期列表中选择周一到周五选择规则类型（Deny）（拒绝）  时间条件配置窗口  TCP/IP配置窗口将数据包源地址和端口都设为 “Any” 将时间设为从8点到17点30分将数据包目标地址设为“Any”；端口设为“554”和“1755” 37

禁止终端(192.168.0.3)下载MP3文件  规则创建窗口输入规则名称选择使用全部URL检查选择规则类型（Deny）（拒绝）  内容检查配置窗口  TCP/IP配置窗口将数据包源地址设为“192.168.0.3”；端口设为 “Any”C 不选中“区分大小写” 将数据包目标地址和端口都设为“Any” 输入关键字“*mp3” 在进行URL检查时，使用通佩符（“*”、“? ”）是十分有用的，在此例中“*mp3”代表了所有以字符“mp3”为结尾的URL。 38

地址/端口映射 • 理解地址/端口映射 • 针对防火墙缺省外部IP配置端口转发规则 • 针对防火墙外部接口别名IP配置地址/端口映射规则 39

理解地址/端口映射 防火墙的地址/端口映射功能是基于NAT技术实现的，此功能可以使位于防火墙内部服务器（使用私有IP ）为Internet用户提供访问服务。 • 远程终端访问防火墙外部网络接口的某个端口 防火墙根据地址/端口映射规则将访问请求转发到指定的内部主机的某个端口在内部主机看来，访问请求是由防火墙的外部网络接口的缺省IP发起的（即数据包的源地址是防火墙外部缺省IP） Internet 内部主机发出的回应数据包的目标IP都是防火墙的外部缺省IP 安联防火墙内部主机 防火墙根据NAT映射表中的记录将应答数据包发至远程终端 内部主机将回应数据包发至防火墙主机注意：安联防火墙在为每个内部主机提供地址/端口映射服务时都需要设置两条访问规则：一条规则实现入站数据包转发处理；另一条规则实现与之配合的出站数据包转发处理。 40

针对防火墙缺省外部IP配置端口转发规则 • 内部主机192.168.0.10上运行Web服务，服务端口为TCP 80； • 外部用户在访问防火墙的外部缺省IP的80端口时，可以访问此Web服务步骤二：配置出站转发规则步骤一：配置入站转发规则   创建一个新规则，并将规则类型设为“Redirect（转发）” 创建一个新规则，并将规则类型设为“Redirect（转发）”   在“Packet Matching（数据包匹配）”窗口中将数据传输方向设为“Incoming（入站）” 在“Packet Matching（数据包匹配）”窗口中将数据传输方向设为“Outgoing（出站）”   在“TCP/IP”配置窗口中将源地址和端口都设为“Any”；目标地址设为“My_IP”；目标端口设为“80” 在“TCP/IP”配置窗口中将源地址设为“192.168.0.10”；源端口设为“80”；目标地址和端口都设为“Any” ；   “Redirection（转发）”配置窗口 “Redirection（转发）”配置窗口新的目标IP设为192.168.0.10；新的端口保持不变（No Change）新的目标IP和端口都保持不变（No Change） 41

针对防火墙外部接口别名IP配置地址/端口映射规则针对防火墙外部接口别名IP配置地址/端口映射规则 • 内部主机192.168.0.10上运行Web服务，服务端口为TCP 8080； • 防火墙外部网络接口绑定了2个IP，其中别名IP为61.51.4.3 • 外部用户在访问防火墙的外部别名IP的80端口时，可以访问此Web服务步骤二：配置出站转发规则步骤一：配置入站转发规则   创建一个新规则，并将规则类型设为“Redirect（转发）” 创建一个新规则，并将规则类型设为“Redirect（转发）”   在“Packet Matching（数据包匹配）”窗口中将数据传输方向设为“Incoming（入站）” 在“Packet Matching（数据包匹配）”窗口中将数据传输方向设为“Outgoing（出站）”   在“TCP/IP”配置窗口中将源地址和端口都设为“Any”；目标地址设为“61.51.4.3”；目标端口设为“80” 在“TCP/IP”配置窗口中将源地址设为“192.168.0.10”；源端口设为“8080”；目标地址和端口都设为“Any” ；   “Redirection（转发）”配置窗口 “Redirection（转发）”配置窗口将新的目标IP设为192.168.0.10；目标端口设为8080 将新的目标IP设为61.51.4.3；目标端口设为80 42

动态规则 • 理解动态规则 • 黑名单规则的工作流程 • 示例1：将访问防火墙80端口的外部终端记入黑名单 • 示例2：如果某个内部终端尝试收看视频节目,则禁止其使用Web服务2小时 • 观察规则的工作流程 • 示例3：阻止DOS攻击 • 示例4：防止恶意猜测FTP登录密码 • 示例5：对尝试使用TCP方式登录QQ的员工采取禁止上网处理 43

理解动态规则 安联防火墙能够按照用户制定的准则对通讯过程进行分析并在一定条件下自动生成阶段性的防火墙规则，即动态规则。动态规则主要用于跟踪那些可疑的通讯行为，为企业实现智能化安全管理提供了技术上的可能性。 • 观察规则：当某个数据包符合预先定义的观察条件时，防火墙会将该数据包的来源（IP）记入观察列表，在一定期限内观察与其相关的通讯记录，并根据观察的结果作出相关的处理（解除观察、列入黑名单） • 动态黑名单规则：当某个数据包符合预先定义的黑名单条件时，防火墙会将该数据包的来源（IP）记入黑名单并保留一段时间 44

黑名单规则的工作流程 检查数据包在一段时间内将源地址记入黑名单是否符合黑名单规则 Yes 或执行被动黑名单规则 No 执行其它规则检查 45

示例1:将访问防火墙80端口的外部终端记入黑名单示例1:将访问防火墙80端口的外部终端记入黑名单 • 外部终端非法访问防火墙80端口是一种常见的攻击方式 • 一旦发现哪个外部终端对防火墙80端口进行访问，立即将其记入黑名单2小时创建黑名单规则   “Blacklist（黑名单）”配置窗口创建一个新规则，并将规则类型设为“Blacklist（黑名单）”  在“Packet Matching（数据包匹配）”窗口中将传输方向设为“Incoming（入站）”；将数据包类型设为“TCP”  “TCP/IP”配置窗口将目标地址设为“My_IP” 将黑名单期限设为2小时将目标端口设为“80” 在2小时内，内部终端与被记入黑名单的主机之间将无法进行任何方式的通讯，即防火墙拒绝所有源地址为该主机IP的数据包通过 46

示例2:如果某个内部终端尝试收看视频节目,则禁止其使用Web服务2小时示例2:如果某个内部终端尝试收看视频节目,则禁止其使用Web服务2小时 • 禁止内部用户使用Windows Media Players在线收看视频节目 • 一旦发现发现有人违法此规定，则在2小时之内禁止其访问Internet Web站点步骤一：创建被动规则  创建一个新规则，并将规则类型设为“Deny（拒绝）”  在“Packet Matching（数据包匹配）”窗口中将传输方向设为“Outgoing（出站）”；将数据包类型设为“TCP”  在“TCP/IP”配置窗口将源地址/端口都设为“Any”；目标地址设为“Any”；目标端口设为80、554、1755  通过规则配置窗口中的命令菜单将该规则的状态设为“Passive（被动）” 将规则设为被动规则 47

示例2:如果某个内部终端尝试收看视频节目,则禁止其使用Web服务2小时（续）示例2:如果某个内部终端尝试收看视频节目,则禁止其使用Web服务2小时（续）步骤二：创建黑名单规则  创建一个新规则，并将规则类型设为“Blacklist（观察）”  在“Packet Matching（数据包匹配）”窗口中将数据包传输方向设为“Outgoing”  在“TCP/IP”配置窗口将源地址/端口都设为“Any”；目标地址设为Any；目标端口设为554和1755  在“Blacklist（黑名单）”配置窗口中将黑名单期限设为2小时  在“Blacklist-Advance（黑名单高级配置）”窗口中：将替换规则设为已配置的被动规则 48

观察规则的工作流程 检查数据包是否符合观察的初始条件用户可以设置将观察规则自身或另一个被动规则放入观察列表，即产生动态观察规则，动态观察规则的源地址将被改为需要监控的源地址 No 执行其它规则检查 Yes 产生后续的动态观察规则并开始计时在观察期限内，记录与动态观察规则相匹配的数据包的数量在一段时间内将源地址记入黑名单达到规定的记录次数将动态观察规则从观察列表中删除 No Yes 或执行被动黑名单规则 49

示例3:阻止DOS攻击 • 如果某个外部主机在一分钟之内向防火墙发出了300次以上的ICMP访问请求，可将其视为DOS攻击者 • 将DOS攻击者的地址记入黑名单12个小时，创建观察规则   “Blacklist（黑名单）”配置窗口创建一个新规则，并将规则类型设为“Observe（观察）”  在“Packet Matching（数据包匹配）”窗口中将数据包类型设为“ICMP”  “Observe（观察）”配置窗口将观察期限设为1分钟将黑名单期限设为12小时将配置次数设为300 在观察规则确定了某个主机在对防火墙进行DOS攻击后，会将该主机记入黑名单，禁止与其进行任何型式的通讯。 50

安联防火墙 /VPN 网关软件防火墙功能评估指南