防火牆流量管理與控制
原理概述:
防火牆(英語:Firewall)技術是通過有機結合各類用于安全管理與篩選的軟體和硬體裝置,幫助計算機網絡于其内、外網之間建構一道相對隔絕的保護屏障,以保護使用者資料與資訊安全性的一種技術。
防火牆技術的功能主要在于及時發現并處理計算機網絡運作時可能存在的安全風險、資料傳輸等問題,其中處理措施包括隔離與保護,同時可對計算機網絡安全當中的各項操作實施記錄與檢測,以確定計算機網絡運作的安全性,保障使用者資料與資訊的完整性,為使用者提供更好、更安全的計算機網絡使用體驗。
所謂“防火牆”是指一種将内部網和公衆通路網(如Internet)分開的方法,它實際上是一種建立在現代通信網絡技術和資訊安全技術基礎上的應用性安全技術,隔離技術。越來越多地應用于專用網絡與公用網絡的互聯環境之中,尤其以接入Internet網絡為最甚。
防火牆主要是借助硬體和軟體的作用于内部和外部網絡的環境間産生一種保護的屏障,進而實作對計算機不安全網絡因素的阻斷。隻有在防火牆同意情況下,使用者才能夠進入計算機内,如果不同意就會被阻擋于外,防火牆技術的警報功能十分強大,在外部的使用者要進入到計算機内時,防火牆就會迅速的發出相應的警報,并提醒使用者的行為,并進行自我的判斷來決定是否允許外部的使用者進入到内部,隻要是在網絡環境内的使用者,這種防火牆都能夠進行有效的查詢,同時把查到資訊朝使用者進行顯示,然後使用者需要按照自身需要對防火牆實施相應設定,對不允許的使用者行為進行阻斷。通過防火牆還能夠對資訊資料的流量實施有效檢視,并且還能夠對資料資訊的上傳和下載下傳速度進行掌握,便于使用者對計算機使用的情況具有良好的控制判斷,計算機的内部情況也可以通過這種防火牆進行檢視,還具有啟動與關閉程式的功能,而計算機系統的内部中具有的日志功能,其實也是防火牆對計算機的内部系統實時安全情況與每日流量情況進行的總結和整理。
防火牆是在兩個網絡通訊時執行的一種通路控制尺度,能最大限度阻止網絡中的黑客通路你的網絡。是指設定在不同網絡(如可信任的企業内部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間資訊的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的資訊流,且本身具有較強的抗攻擊能力。它是提供資訊安全服務,實作網絡和資訊安全的基礎設施。在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了内部網和Internet之間的任何活動,保證了内部網絡的安全。
防火牆對流經它的網絡通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目标計算機上被執行。防火牆還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的通路,進而防止來自不明入侵者的所有通信。
網絡安全的屏障
一個防火牆(作為阻塞點、控制點)能極大地提高一個内部網絡的安全性,并通過過濾不安全的服務而降低風險。由于隻有經過精心選擇的應用協定才能通過防火牆,是以網絡環境變得更安全。如防火牆可以禁止諸如衆所周知的不安全的NFS協定進出受保護網絡,這樣外部的攻擊者就不可能利用這些脆弱的協定來攻擊内部網絡。防火牆同時可以保護網絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的封包并通知防火牆管理者。
強化網絡安全政策
通過以防火牆為中心的安全方案配置,能将所有安全軟體(如密碼、加密、身份認證、審計等)配置在防火牆上。與将網絡安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網絡通路時,一次一密密碼系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火牆一身上。
監控審計
如果所有的通路都經過防火牆,那麼,防火牆就能記錄下這些通路并作出日志記錄,同時也能提供網絡使用情況的統計資料。當發生可疑動作時,防火牆能進行适當的報警,并提供網絡是否受到監測和攻擊的詳細資訊。另外,收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,并且清楚防火牆的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。
防止内部資訊的外洩
通過利用防火牆對内部網絡的劃分,可實作内部網重點網段的隔離,進而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者,隐私是内部網絡非常關心的問題,一個内部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至是以而暴漏了内部網絡的某些安全漏洞。使用防火牆就可以隐蔽那些透漏内部細節如Finger,DNS等服務。Finger顯示了主機的所有使用者的注冊名、真名,最後登入時間和使用shell類型等。但是Finger顯示的資訊非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有使用者正在連線上網,這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關内部網絡中的DNS資訊,這樣一台主機的域名和IP位址就不會被外界所了解。除了安全作用,防火牆還支援具有Internet服務性的企業内部網絡技術體系VPN(虛拟專用網)。
日志記錄與事件通知
進出網絡的資料都必須經過防火牆,防火牆通過日志對其進行記錄,能提供網絡使用的詳細統計資訊。當發生可疑事件時,防火牆更能根據機制進行報警和通知,提供網絡是否受到威脅的資訊。
實驗要求:
帶寬管理要求:某企業拉了一條50M的網際網路線路
1:市場部整體上下行帶寬限制為40M,保證帶寬為20M
2:工程部整體上下行帶寬限制為30M,保證帶寬為15M
3:行政部整體上下行帶寬限制為20M,保證帶寬為10M
4:所有部門中每使用者最大上下行帶寬4M,保證帶寬400K
5:如果發生擁塞,流量優先級為市場部>工程部>行政部
防火牆帶寬管理配置思路:
1:配置區域、接口、IP
2:配置路由
3:配置NAT
4:配置安全政策
5:配置帶寬管理
實驗拓撲:
基礎配置:
web頁面配置:
配置接口:
配置安全區域:
配置預設路由:
配置安全政策:
配置NAT源位址轉換:
配置帶寬通道:
配置帶寬政策:
指令行配置:
ISP:
#
interface GigabitEthernet0/0/0
ip address 11.1.1.254 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 14.1.1.1 255.255.255.0 FW1:
配置接口:
#
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 10.1.1.1 255.255.255.0
alias GE0/METH
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
#
interface GigabitEthernet1/0/0
undo shutdown
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
#
interface GigabitEthernet1/0/0.10
vlan-type dot1q 10
ip address 10.1.1.1 255.255.255.0
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
#
interface GigabitEthernet1/0/0.20
vlan-type dot1q 20
ip address 10.1.2.1 255.255.255.0
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
#
interface GigabitEthernet1/0/0.30
vlan-type dot1q 30
ip address 10.1.3.1 255.255.255.0
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 11.1.1.1 255.255.255.0
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit 配置安全區域:
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/0.10
add interface GigabitEthernet1/0/0.20
add interface GigabitEthernet1/0/0.30
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1 配置預設路由:
#
ip route-static 0.0.0.0 0.0.0.0 11.1.1.254 配置安全政策:
#
security-policy
rule name to-isp
source-zone trust
destination-zone untrust
source-address 10.1.0.0 mask 255.255.0.0
action permit 配置源位址轉換:
#
nat-policy
rule name to-isp
source-zone trust
destination-zone untrust
source-address 10.1.0.0 mask 255.255.0.0
action source-nat easy-ip 配置流量管理:
#
traffic-policy
profile 1
bandwidth maximum-bandwidth whole upstream 40000
bandwidth guaranteed-bandwidth whole upstream 20000
bandwidth maximum-bandwidth whole downstream 40000
bandwidth guaranteed-bandwidth whole downstream 20000
bandwidth maximum-bandwidth per-ip upstream 4000
bandwidth guaranteed-bandwidth per-ip upstream 400
bandwidth maximum-bandwidth per-ip downstream 4000
bandwidth guaranteed-bandwidth per-ip downstream 400
profile 2
bandwidth maximum-bandwidth whole upstream 30000
bandwidth guaranteed-bandwidth whole upstream 15000
bandwidth maximum-bandwidth whole downstream 30000
bandwidth guaranteed-bandwidth whole downstream 15000
bandwidth maximum-bandwidth per-ip upstream 4000
bandwidth guaranteed-bandwidth per-ip upstream 400
bandwidth maximum-bandwidth per-ip downstream 4000
bandwidth guaranteed-bandwidth per-ip downstream 400
profile 3
bandwidth maximum-bandwidth whole upstream 20000
bandwidth guaranteed-bandwidth whole upstream 10000
bandwidth maximum-bandwidth whole downstream 20000
bandwidth guaranteed-bandwidth whole downstream 10000
bandwidth maximum-bandwidth per-ip upstream 4000
bandwidth guaranteed-bandwidth per-ip upstream 400
bandwidth maximum-bandwidth per-ip downstream 4000
bandwidth guaranteed-bandwidth per-ip downstream 400
rule name 1
source-zone trust
destination-zone untrust
source-address 10.1.1.0 mask 255.255.255.0
action qos profile 1
rule name 2
source-zone trust
destination-zone untrust
source-address 10.1.2.0 mask 255.255.255.0
action qos profile 2
rule name 3
source-zone trust
destination-zone untrust
source-address 10.1.3.0 mask 255.255.255.0
action qos profile 3 配置完成;
驗證明驗;
市場部
工程部
行政部
檢視流量控制命中次數: