Embed Size (px)
DESCRIPTION
第8讲 防火墙(二 ). 一、防火墙安全规则. 通常情况下,网络管理员在防火墙设备的访问控制列表 ACL ( Access Control List )中设定包过滤规则,以此来表明是否允许或者拒绝数据包通过。包过滤防火墙检查数据流中每个数据包的报头信息,例如源地址、目标地址、协议类型、协议标志、服务类型等,并与过滤规则进行匹配,从而在内外网络之间实施访问控制功能. 2014/8/27. 2. 包过滤防火墙的安全规则设置位置. 防火墙规则设置中所涉及的动作主要有以下几种: 允许 : 允许数据包通过防火墙传输,并按照路由表中的信息被转发。 - PowerPoint PPT Presentation
Citation preview
第 8 讲 防火墙(二)
23/4/21 2
一、防火墙安全规则
通常情况下,网络管理员在防火墙设备的访问控制列表 ACL( Access Control List )中设定包过滤规则,以此来表明是否允许或者拒绝数据包通过。包过滤防火墙检查数据流中每个数据包的报头信息,例如源地址、目标地址、协议类型、协议标志、服务类型等,并与过滤规则进行匹配,从而在内外网络之间实施访问控制功能 .
包过滤防火墙的安全规则设置位置
外部网络
包过滤防火墙
通过内部网络
过滤规则
过滤
防火墙规则设置中所涉及的动作主要有以下几种: 允许 : 允许数据包通过防火墙传输,并按照路
由表中的信息被转发。 放弃 : 不允许数据包通过防火墙传输,但仅丢
弃,不发任何相应数据包。 拒绝 : 不允许数据包通过防火墙传输,并向数
据包的源端发送目的主机不可达的 ICMP 数据包。 返回 : 没有发现匹配的规则,执行默认动作。
所有的防火墙都是在以下两种模式下配置安全规则: “ 白名单”模式 系统默认为拒绝所有的流量,这需要在你的
网络中特殊指定能够进入和出去的流量的一些类型,因此白名单上的规则是具有合法性访问的安全规则
“ 黑名单”模式 系统默认为允许所有的流量,这种情况需要
特殊指定要拒绝的流量的类型,因此在黑名单上定义的安全规则属于非法的、被禁止的网络访问,这种模式是一种开放的默认管理模式。
1. 包过滤防火墙规则示例( 1 )
包过滤防火墙一般有两类过滤规则的设置方法 1. 按地址过滤 用于拒绝伪造的数据包。若想阻止伪造原地
址的数据包进入内部网,可按下表设置规则。
规则号 方向 源地址 目的地址 动作
n 入 内部 任意 拒绝 / 允许等等
2. 按服务类型过滤 即是按数据包的服务端口号来过滤。在 TCP 协议中,协议是双向的,以 Telnet 为例,其 IP 包的交换也是双向的。首先,由 Client 向远程 Telnet发送源端口大于 1023 (这个端口是 Client 主机动态分配的),目的端口为 23( Server 端口)的 IP 包; Telnet 服务器接到请求后,即回送一个相应( ACK )包,在 ACK 包中源端口( Server端口)是 23 ,目的端口( Client 端口)是大于1023 ,所以服务器端包过滤应该按照下表设置规则。
规则号 方向 协议 源地址
目的地址
源端口 目端口 动作
1 出 TCP 内部 任意 23 >1023 允许
2 入 TCP 任意 内部 >1023 23 允许
将依据下图所示的屏蔽子网防火墙体系结构及实际应用需求,描述一组安全规则的配置。这里,假设外部包过滤路由器的外部 IP 地址为10.20.100.1 ,内部 IP 地址为 10.20.100.2 ;内部包过滤路由器的外部地址 IP为10.20.100.3 ,内部 IP 地址为 192.168.0.1 ;DMZ中Web 服务器 IP为 10.20.100.6;SMTP 服务器 10.20.100.8 。
Internet外部网络
外部路由器
内部网络
外部防火墙
堡垒主机
内部路由器
DMZ
内部防火墙
SMTP服务器Web服务器 边界网络
规则集 1 :防火墙设备不允许任何人直接访问,也阻止防火墙直接访问其他设备。如下表设置。
规则号 方向 源地址 目标地址 动作
1 入 任意 10.20.100.1 拒绝2 出 任意 10.20.100.2 拒绝3 出 10.20.100.1 任意 拒绝4 入 10.20.100.2 任意 拒绝5 入 任意 10.20.100.3 拒绝6 出 任意 192.168.0.1 拒绝7 出 10.20.100.3 任意 拒绝8 入 192.168.0.1 任意 拒绝
规则集 2 :允许信任网络向外的所有通信。如下表设置。
规则号 方向 源地址 目标地址 动作
9 出 10.20.100.X 任意 允许
10 出 192.168.0.X 任意 允许
规则 3 :允许外部主机访问 DMZ 中的 WWW 服务器,并且允许内部主机访问该 WWW 服务器。 HTTP 是一个基于 TCP 的服务,大多数服务器使用端口 80 ,客户机使用任何大于 1023 的端口。如下表设置。
规则号 方向 协议 源地址 目的地址 源端口
目端口 动作
11 入 TCP 任意 10.20.100.6
>1023
80 允许
12 出 TCP 10.20.100.6
任意 80 >1023 允许
13 出 TCP 192.168.0.X
10.20.100.6
>1023
80 允许
14 入 TCP 10.20.100.6
192.168.0.X
80 >1023 允许
规则集 4 : SMTP 是一个基于 TCP 的服务,服务器使用端口 25 ,客户机使用任何大于 1023 的端口。如下表设置。
规则号 方向 协议 源地址 目的地址 源端口
目端口 动作
15 入 TCP 任意 10.20.100.8
>1023 25 允许
16 出 TCP 10.20.100.8
任意 25 >1023 允许
17 出 TCP 192.168.0.X
10.10.10.8 >1023 25 允许
18 入 TCP 10.20.100.8
192.168.0.X
25 >1023 允许
规则集 5 :禁止在公共网络上对所有内部服务器的 Telnet 访问,但允许内部使用 Telnet 。如下表设置。
规则号 方向 协议 源地址 目的地址 源端口
目端口 动作
19 入 TCP 任意 10.20.100.X
任意 23 拒绝
20 出 TCP 192.168.0.X
10.20.100.X
23 任意 允许
规则集 6 :清理规则。最后,分别在内部和外部防火墙的安全规则集中增加清理规则,表明该防火墙的默认方式是拒绝任意形式的连接,即阻止其他规则没有明确允许的请求。如下表设置。
规则号 方向 协议 源地址 目的地址 源端口 目端口 动作
21 入 任意 任意 任意 任意 任意 拒绝
22 出 任意 任意 任意 任意 任意 拒绝
1 、静态包过滤示例( 2 )
堡垒主机内部网外部网络
在上图所示配置中,内部网地址为: 192.168.0.0/24,堡垒主机内网卡 eth1地址为: 192.168.0.1,外网卡 eth0地址为: 10.11.12.13DNS地址为: 10.11.15.4要求允许内部网所有主机能访问外网WWW、 FTP服务,外部网不能访问内部主机
静态包过滤规则设置—命令行Set internal=192.168.0.0/24
Deny ip from $internal to any in via eth0Deny ip from not $internal to any in via eth1Allow udp from $internal to any dnsAllow udp from any dns to $internalAllow tcp from any to any establishedAllow tcp from $internal to any www in via eth1Allow tcp from $internal to any ftp in via eth1Allow tcp from any ftp-data to $internal in via eth0Deny ip from any to any
3 、动态包过滤( 1 )
Check point一项称为“ Stateful Inspection”的技术
可动态生成 /删除规则
分析高层协议
3 、动态包过滤( 2 )
上一个示例的另一种解法:Set internal=192.168.0.0/24
Deny ip from $internal to any in via eth0Deny ip from not $internal to any in via eth1
Allow $internal access any dns by udp keep stateAllow $internal acess any www by tcp keep stateAllow $internal access any ftp by tcp keep state
Deny ip from any to any
4 、包过滤技术的一些实现
商业版防火墙产品个人防火墙路由器Open Source Software Ipfilter
(FreeBSD、OpenBSD、 Solaris …, ) Ipfw (FreeBSD) Ipchains (Linux 2.0.x/2.2.x) Iptables (Linux 2.4.x)
5 、应用程序网关( 1 ) ( 代理服务器 )
客 户 网 关 服务器
1. 网关理解应用协议,可以实施更细粒度的访问控制2. 对每一类应用,都需要一个专门的代理3. 灵活性不够
发送请求 转发请求
请求响应转发响应
5 、应用程序网关( 2 )一些实现
商业版防火墙产品
商业版代理 (cache)服务器
Open Source TIS FWTK(Firewall toolkit) Apache Squid
6 、虚拟专用网 (VPN)
广域网络
端-端加密数据流
端-路由加密隧道
路由-路由加密隧道(VPN)
7 、防火墙的安全标准( 1 )防火墙技术发展很快,但是现在标准尚不健全,导致不同的防火墙产品兼容性差,给不同厂商的防火墙产品的互联带来了困难。为了解决这个问题目前已提出了 2 个标准:1、 RSA 数据安全公司与一些防火墙的生产厂商(如 Checkpoint 公司、 TIS 公司等)以及一些TCP/IP 协议开发商(如 FTP 公司等)提出了Secure/WAN( S/WAN )标准,它能使在IP层上由支持数据加密技术的不同厂家生产的防火墙和 TCP/ IP 协议具有互操作性,从而解决了建立虚拟专用网( VPN )的一个主要障碍。
7 、防火墙的安全标准( 2 )
此标准包含两个部分:①防火墙中采用的信息加密技术一致,即加密算法、安全协议一致,使得遵循此标准生产的防火墙产品能够实现无缝互联,但又不失去加密功能;②安全控制策略的规范性、逻辑上的正确合理性,避免了各大防火墙厂商推出的防火墙产品由于安全策略上的漏洞而对整个内部保护网络产生危害。
7 、防火墙的安全标准( 3 )2 、美国国家计算机安全协会NCSA (National Computer Security Association )成立的防火墙开发商 FWPD ( Firewall Product Developer )联盟制订的防火墙测试标准。3 、我国质量技术监督局 1999.11.11 发布, 2000.5.1 开始实施: 包过滤防火墙安全技术要求 应用级防火墙安全技术要求 网络代理服务器的安全技术要求
二、防火墙技术的回顾
1 、防火墙技术与产品发展回顾
防火墙产品目前已形成一个产业,年增长率达 173%。五大基本功能: 过滤进、出网络的数据 ; 管理进、出网络的访问行为; 封堵某些禁止的业务; 记录通过防火墙的信息内容和活动; 对网络攻击检测和告警。
2 、防火墙产品发展的四个阶段
基于路由器的防火墙用户化的防火墙工具套件建立在通用操作系统上的防火墙具有安全操作系统的防火墙
3 、第一代:基于路由器的防火墙( 1 )
称为包过滤防火墙特征:
以访问控制表方式实现分组过滤 过滤的依据是 IP 地址、端口号和其它网络特征只有分组过滤功能,且防火墙与路由器一体
3 、第一代:基于路由器的防火墙( 2 )
缺点: 路由协议本身具有安全漏洞 路由器上的分组过滤规则的设置和配置复杂攻击者可假冒地址本质缺陷:一对矛盾,防火墙的设置会大大降低
路由器的性能。 路由器:为网络访问提供动态灵活的路由 防火墙:对访问行为实施静态固定的控制
包过滤型防火墙
3 、第一代:基于路由器的防火墙( 3 )
4 、第二代 :用户化的防火墙工具套件( 1 )
特征: 将过滤功能从路由器中独立出来,并加上审计和告警功能;
针对用户需求提供模块化的软件包; 安全性提高,价格降低; 纯软件产品,实现维护复杂。缺点: 配置和维护过程复杂费时; 对用户技术要求高; 全软件实现,安全性和处理速度均有局限;
Internet客户通过代理服务访问内部网主机
4 、第二代 :用户化的防火墙工具套件( 2 )
5 、第三代:建立在通用操作系统上的防火墙( 1 )
是近年来在市场上广泛可用的一代产品。特征 包括分组过滤或借用路由器的分组过滤功能; 装有专用的代理系统,监控所有协议的数据
和指令; 保护用户编程空间和用户可配置内核参数的
设置; 安全性和速度大为提高。
5 、第三代:建立在通用操作系统上的防火墙( 2 )
实现方式:软件、硬件、软硬结合。问题: 作为基础的操作系统及其内核的安全性无从保证。 通用操作系统厂商不会对防火墙的安全性负责; 从本质上看,第三代防火墙既要防止来自外部网络
的攻击,还要防止来自操作系统漏洞的攻击。 用户必须依赖两方面的安全支持:防火墙厂商和操
作系统厂商。上述问题在基于 Windows NT 开发的防火墙产品中表现得十分明显。
6 、第四代:具有安全操作系统的防火墙( 1 )
1997 年初,此类产品面市。安全性有质的提高。获得安全操作系统的方法:
通过许可证方式获得操作系统的源码; 通过固化操作系统内核来提高可靠性。
6 、第四代:具有安全操作系统的防火墙( 2 )
特点: 防火墙厂商具有操作系统的源代码,并可实现安
全内核; 对安全内核实现加固处理:即去掉不必要的系统
特性,强化安全保护; 对每个服务器、子系统都作了安全处理; 在功能上包括了分组过滤、代理服务,且具有加密与鉴别功能;
透明性好,易于使用。
6 、第四代:具有安全操作系统的防火墙( 3 )
第四代防火墙的主要技术与功能: 灵活的代理系统:两种代理机制,一种用于
从内部网到外部网的连接,另一种用于此外部网到内部网的连接;
双端口或三端口结构; 网络地址转换技术( NAT) 虚拟专网技术( VPN)
6 、第四代:具有安全操作系统的防火墙( 4 )
安全服务器网络( SSN):对外服务器既是内部网的一部分,又与内部网完全隔离。第四代防火墙采用分别保护的策略对向外提供服务的网络提供保护,它利用一张网卡将对外服务器作为一个独立网络处理。用户鉴别与加密用户定制服务审计和告警
三、防火墙新技术
1 、关于防火墙技术的一些观点2、 PC 防火墙3 、病毒防火墙4 、安全增强方面5 、安全网关6 、分布式防火墙
1 、关于防火墙技术的一些观点
防火墙技术是一项已成熟的技术
目前更需要的是提高性能,尤其是将它集成到更大的安全环境中去时:
用户界面和管理 互操作性 标准化
当然其他方面的改进也是存在的
2、 PC 防火墙( 1 )
基于内部网的主机或其它形式上网的主机的防火墙(我们称之为 PC 防火墙)正是在这种意义上提出的。由于 PC 防火墙的对象是网络上的最终主机,所以 PC 防火墙的操作系统平台不如传统意义上的防火墙那样灵活,几乎没有选择的余地,完全由用户选择,这就决定了 PC 防火墙的核心技术事实上比传统防火墙难度更大。
2、 PC 防火墙( 2 )
网络信息的访问控制 数据文件的安全访问和保密存储 实时的病毒监测 用户通信的保密
3 、病毒防火墙( 1 )
防火墙技术本身应该说不适合于反病毒,由于商业上的需求,相关专家和研发单位对此还是进行了很多研究,并给出了较为有效的相关技术产品。 病毒防火墙是安装在用户计算机系统之中的反病毒监控软件,它在用户计算机本地系统与外部环境之间完成实时过滤有害病毒数据的工作,能够有效的阻止来自本地资源和外部网络资源的病毒侵害。
3 、病毒防火墙( 2 )( 1 )保护计算机系统不受来自任何方面病毒的危害。( 2 )对计算机系统提供双向的保护,即病毒防火墙能对本地系统内的病毒进行“过滤”,防止它向网络或传统的存储介质扩散。( 3 )计算机病毒侵入系统后,其突发性虽然不像一般非法入侵那样强,但计算机病毒对本地资源的快速传染则是其他非法入侵无法相比的。病毒防火墙对病毒的“过滤”具有相当好的实时性,这种实时性表现在一旦病毒入侵系统或者从系统向其他资源感染,病毒防火墙会立刻监测到并加以清除。而单机版的防病毒软件主要是“静态”防病毒,不具备实时防病毒的特点。
3 、病毒防火墙( 3 )( 4 )病毒防火墙本身是一个安全的系统。这里的“安全”包含两方面的内容:其一,病毒防火墙本身是安全的,它能够抵抗任何病毒对其举行的攻击;其二,病毒防火墙对计算机系统来说也是安全的,在实时过滤病毒的过程中它不应该对无害的数据造成任何形式的损伤。( 5 )病毒防火墙具有简便和透明的特性。它对计算机(网络)系统提供的防病毒保护是实时的,相当于每时每刻都在为用户查、杀病毒,整个过程基本上不需要用户对其进行过多的干预,极好的保证了用户完成正常工作的效率。( 6 )病毒防火墙会对系统资源产生一定程度的占用,但是对于设计良好的病毒防火墙而言,这种占用应该是很小的。因为“实时性”与简便、透明等特点决定了病毒防火墙不可能占用太多的系统内存。
4 、安全增强方面
FTP Guard 严格MAC,在不同安全级别网络间传递文件
DTE Firewall 采用一种基于表的MAC,较为灵活
安全网关
5 、安全网关( 1 )
信息流五要素: time: 时间 src-addr: 源地址 dst-addr: 目的地址 user: 用户 data: 信息内容
5 、安全网关( 2 )传统防火墙技术与信息流诸要素:
time src-addr
dst-addr
user data
静态包过滤 能 能 能 不能 不能
动态包过滤 能 能 能 不能 不能
应用层网关 能 能 能 能 部分
电路级网关 能 能 能 能 不能
5 、安全网关( 3 )
外部网络安全网关
带出关证的信息
内部网安全系统
去掉出关证的信息
带入关证的信息
去掉入关证的信息
6 、分布式防火墙( 1 )传统防火墙技术的几个问题 依赖于防火墙一端可信,另一端是潜在的敌人 Internet的发展使从外部穿过防火墙访问内部网的需求增加了
一些内部主机需要更多的权限 只依赖于端 -端加密并不能完全解决问题 过于依赖物理拓扑结构
考虑到下面几个事实 个人防火墙已得到了广泛的应用 操作系统大多已提供了许多在传统意义上还属于防火墙的手段
IPv6以及 IPSec技术的发展 防火墙这一概念还不能抛弃
6 、分布式防火墙( 2 )思路 主要工作防护工作在主机端 打破传统防火墙的物理拓扑结构,不单纯依靠物理位置来划分内外
由安全策略来划分内外网
具体方法:依赖于下面三点 策略描述语言:说明什么连接允许,什么连接不允许
一系列系统管理工具:用于将策略发布到每一主机处,以保证机构的安全
IPSec技术及其他高层安全协议
四、 Linux 防火墙配置实例(以Ubuntu 为例) Ubuntu 是一个以桌面应用为主、基于
DebianGNOME 桌面环境的 Linux操作系统,也是近年来比较流行的 Linux 版本之一。由于基于命令行的防火墙配置使得多数用户不易掌握,因此可以从Ubuntu 所提供的 Synaptic (新立得软件包管理器)中获取该系统所支持的第三方防火墙软件 Firestarter。FireStarter 是基于 GTK+ 且独立于 iptables 的防火墙配置工具,它的最大优势在于它是一个具有图形用户界面的第三方软件,因此它的配置过程不再需要像 Linux 多数版本中自带的 iptables那样,需要掌握复杂的命令行模式,通过设置文本配置文件和 shell脚本来完成防火墙的安装及配置。
值得注意的是, Firestarter只是为用户防火墙配置 IP 表规则,所以它仍然将iptables 作为防火墙运行的基本组件。当然,对于熟悉 Linux 系统的管理员,也仍然可以使用 Ubuntu 的终端命令行模式。这里将主要详细介绍 Firestarter的获取、安装、配置和使用等一系列过程。对于 iptables 的命令行使用,可参阅相关的技术文档。
1 、建立 Ubuntu 系统运行环境 作为一个桌面型 Linux操作系
统, Ubuntu 的安装及网络配置过程比较简单,既可以将它单独地安装在一台计算机上,也可以基于虚拟机技术及产品,如 VMWare ,将 Ubuntu 作为客户机操作系统安装在宿主操作系统上,如Windows XP 。
2 、获取 Firestarter 防火墙软件 利用 Ubuntu提供的 Synaptic新立得软件包
管理器可以直接通过网络获取最新的 Fire starter 防火墙。 Ubuntu 运行所需的大多数软件包都可以从 Synaptic获得,下载到本地之后,Ubuntu会直接安装该软件包。 此外,也可以通过终端命令行来执行软件包的安装,如 apt-get install命令等。单击 Ubuntu 主菜单上的“系统”→“系统管理”,打开“新立得软件包管理器”。在软件包管理器中,可以看到Ubuntu环境下所需的所有软件包。通过界面上的“搜索”功能,可以找到所需的Firestarter 防火墙软件。
3 、 Firestarter 安装及运行 搜索到 Firestarter软件包,管理器便开始下载及自动安装过程,安装成功后,可以看到已安装的版本信息以及最新的软件包版本等,在 Ubuntu 主界面的“系统”→“系统管理”菜单下看到Firestarter软件,单击后执行该软件,弹出主窗口如图 1 所示。
图 1. Firestarter防火墙主窗口
4 、利用“运行向导”完成基本配置 在 Firestarter 主窗口的“防火墙”菜单
下执行“运行向导”,可以通过简单的步骤完成防火墙的基本配置。如图 2 所示,开始运行向导配置。
图 2. 运行防火墙配置向导
下面两个步骤分别完成内部网络接口设备配置(图 3 )、外部连接到 Internet 的网络接口设备配置(图 4 ),这里系统自动检测出已有的网络接口设备,用户不需要修改。这里内外网应该有两个网络接口设备,不能是同一个设备。选择“ Enable Internet connection sharing” 功能,可以满足内部局域网内的其他计算机可以共享本机的 Internet连接,并且内网的这些计算机都将得到防火墙的保护。两步设置成功后,便可以开始启动防火墙(图 5 )。
图 3. 内部网络接口设备配置
图 4. 外部网络接口设备配置
图 5. 开始启用防火墙软件
5 、 Firestarter 安全策略配置 单击 Firestarter 主窗口中的“首选项”
功能,在这里可以完成对防火墙中安全策略的所有配置。下面将主要介绍“首选项”对话框,如图 6 所示。
图 6. “首选项”对话框
在基本用户界面选项中,用户可以选择Firestarter 运行时启用托盘图标及在主窗口关闭时最小化。在“事件”选项中(图 7 ),对于被阻塞的连接可以定义是否跳过(忽略)重复的侵入,以及是否跳过(忽略)目标不是防火墙的侵入;并且可以维护特定主机、特定端口下的事件日志的记录,通过这些设置,管理员日后获取详细的日志信息,用于分析进出防火墙的通信网络事件。在“策略”选项中,可以选择安全策略配置是否立即应用更新(图8 )。
图 7. “事件”设置
图 8. “策略”应用生效
在首选项的“防火墙”选项中,可以配置防火墙启动 / 重启动的时机,如下图所示。这里主要有三种模式(图 9 ):
1 )开始运行 FireStarter时,启动 / 重启动防火墙 。
2 )当使用拨号网络时,拨号开始启动防火墙。
3 ) DHCP获得 IP时自动运行防火墙。
图 9. 防火墙启动模式
在“网络配置”选项中,可以修改运行向导时设置的网络设备配置内容(图 10 );在“ ICMP 过滤”选项中,可以选择是否激活 ICMP 过滤以及允许哪些类型的 ICMP 包通过,这类似于 Windows XP SP2自带防火墙的高级设置中的 ICMP 配置,如 Echo 请求、 Echo 应答、时间戳请求、地址掩码、重定向等(图 11 );在“ ToS 过滤”选项中可以定义是否激活服务过滤类型,以及针对不同的终端平台优化服务,并选择优化吞吐量、可靠性或交互性等(图 12 );在“高级选项”中,可以选择拒绝数据包的方式、是否阻塞来自内外网的广播、通信检测等(图 13 )。
图 10. 网络配置选项
图 11. ICMP过滤选项
图 12. 服务类型过滤选项
图 13. 其他高级选项
6 、安全策略配置及事件浏览 Firestarter 主窗口中有“状态”、“事件”、“策略”三个主要选项卡,对于“状态”,可以了解防火墙当前的运行情况(启用、失效或锁定),对于后两个选项卡,可以浏览被过滤连接的事件日志,以及通过配置流入( Inbound )、流出( Outbound )的通信量策略,从而实现复杂的、自定义安全策略。这里,用户可以灵活地自定义流出政策及默认许可(黑名单)和默认受限(白名单)两种模式,这是Firestarter 防火墙的特色之一,是 Windows XP 防火墙所不具备的。流入策略默认为受限主机或服务(端口)。下面分别是针对流入、流出策略定义允许或拒绝主机(网络)、服务(端口)的设置,这些安全规则集共同保障了内网主机的安全(图 14-17 )。
图 14. 流入策略的允许服务配置
图 15. 流入策略的允许主机配置
图 16. 流出策略的拒绝主机配置(黑名单)
图 17. 流出策略的允许服务配置(白名单)
在“事件”选项卡中,可以浏览到以上依据“策略”中定义的安全规则集,被防火墙屏蔽的网络连接发生的时间、方向、来源、端口与所用协议等(图 18 )。这里 Samba是Linux环境下实现 SMB/CIFS 网络协议的一个软件套件,可以实现虚拟机下的 Ubuntu 和宿主操作系统 Windows 之间的文件共享功能;在“事件”选项中,用户也可以实现对日志文件的存储等管理(图 19 )。日志文件存储后的位置及浏览如图 20-21 所示。
图 18. 事件日志管理
图 19. 日志文件存储
图 20. 日志文件存储位置
图 21. 浏览日志文件
