融合防火墙软件用户手册.doc

目 录1概述32运行环境43软件安装44配置使用指导44.1基本流程44.2防火墙连接54.2.1网线：54.2.2串口线：54.2.3防火墙设备连接图64.3防火墙工作方法74.3.1开机74.3.2防火墙系统安全措施74.3.3使用要求：74.4防火墙登录方式74.4.1防火墙串口登录74.4.2web网络登录84.4.3SSH网络登录104.4.4系统管理员登录须知104.4.5rhfw>后可使用的命令（所有命令严格区分大小写）115策略配置基础知识125.1网络常见攻击方法及防御125.1.1拒绝服务型攻击（DoS）125.1.2利用型攻击135.1.3信息收集型攻击145.1.4利用信息服务145.1.5欺骗型攻击155.2包过滤防火墙的一般概念155.2.1什么是包过滤155.2.2包过滤防火墙的工作层次155.2.3包过滤防火墙的工作原理165.2.4包过滤器操作的基本过程175.3状态包过滤防火墙175.4包过滤具体工作步骤185.5TCP/IP标记195.6ICMP类型205.7常用端口介绍206WEB防火墙配置236.1系统à系统信息236.2系统à连接信息236.3系统à系统设置246.4系统à添加修改信任通道246.5系统à关机重启256.6网络设置à网络接口设置256.7网络设置à网关266.8网络设置àDNS266.9网络设置à网络测试276.10用户管理276.11规则管理à规则286.12规则管理à网络对象286.13规则管理à端口296.14规则管理à访问策略296.15规则管理à访问策略à增加、修改策略306.16规则管理àIP伪装与SNAT316.17规则管理à目标地址转换316.18DMZ举例：326.19规则管理à端口重定向346.20高级规则管理àTOS规则配置346.21高级规则管理à高级安全策略356.22网桥防火墙356.23透明代理à代理的运行356.24透明代理à端口和网络366.25透明代理à访问控制366.26透明代理à清除和重建高速缓存376.27流量控制à流量控制376.28流量控制à流量统计376.29IDS入侵检测386.30防火墙日志à系统日志396.31防火墙日志à用户日志396.32操作日志406.33默认规则的日志纪录标记407结束语：41融合防火墙软件说明书1 概述融合网络防火墙设备是由融合网络设备项目组自主研发的，融合众多安全技术、客户需求及发展战略的，有自主知识产权的新一代网络安全产品。该产品严格按照国家网络安全设备有关设计标准进行设计、研发和实现，并同时参照国内外多个防火墙产品的可用性、安全性、多功能、扩充性等研究，使自身达到了各方面的完美结合。融合网络防火墙不但在防火墙中实现了核心层的包过滤处理，而且还同时扩充了代理服务、网络桥、透明代理、多种攻击防御、入侵检测、地址转换、数据流量统计及分析等功能。奔腾4级CPU、大容量内存、千兆以太网接口无不为数据传输提供高速度、高性能物理保证。融合防火墙软件是运行在融合防火墙设备上的具有防火墙，路由器功能的安全操作系统，融合防火墙软件是一套全面创新，高安全性、高性能、可增值服务网络安全软件系统。它根据系统管理员设定的安全规则(Security Rules)把守企事业单位网络，提供强大的访问控制，身份认证，网络地址转换(Network Address Translation)，信息过滤，虚拟专网(VPN)，DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）防御，流量控制，代理服务，入侵检测，日志分析，架设网桥等功能。提供完善的安全性设置，通过高性能的网络核心进行访问控制。它使用SSL128位加密WEB管理，中文化的界面，通过直观、易用的界面管理强大、复杂的系统功能。融合防火墙软件的功能特点：Ø 支持专用的嵌入式防火墙硬件平台Ø 自行研发的安全操作系统内核RHOSØ 基于RHOS上设计的专用防火墙系统 Ø 支持各类标准因特网网络服务和协议 Ø 基于状态检测的包过滤 Ø 完善的访问控制 Ø TCP标志位检测 Ø 双向网络地址转换（NAT） Ø 流量统计与流量限制Ø 网络连接时段限制Ø 具有包过滤功能的虚拟网桥 Ø 多层登录权限控制 Ø DoS防御网关,有效的防止各种类型的DoS攻击 Ø 多达4个千兆网接口，提供更多服务扩展空间Ø 网络接口可绑定多个IP地址 Ø IP地址与MAC地址绑定,防止IP欺骗 Ø 系统操作记录,记录系统管理员的所有操作情况 Ø 选用功能：代理服务、网络监控、入侵检测、VPN隧道、详细日志分析等2 运行环境融合防火墙软件本身是架构在RHOS操作系统上，软件本身于RHOS内核一起编译，运行时无需依赖于任何第三方操作系统，融合防火墙软件专用于融合网络防火墙设备。3 软件安装融合防火墙软件在融合网络防火墙设备出厂时已安装在设备上，不提供用户安装途径，融合防火墙软件与融合防火墙设备做为一个整体提供。4 配置使用指导由于融合防火墙软件是融合防火墙设备的专用软件，文中所指“融合网络防火墙设备”的功能，可理解为“融合防火墙软件”的功能。4.1 基本流程以下是使用融合网络防火墙设备的操作流程：1. 画一份单位的网络拓扑简图，确定整个网络的外网入口和内网保护区域，并划分好内网子网架构，明确IP地址分布，从而确定融合网络防火墙设备的使用位置。2. 一般来说，融合网络防火墙设备都是同路由设备或其他交换设备共同使用，所以，本防火墙设备主要提供外网与内网的包过滤功能，要明确这台设备同其他网络设备之间的关系。3. 融合网络防火墙设备的出厂设置执行的是外网安全最大化，内网防护最小化的基础策略，具体用户策略可以在这个策略的基础上进行添加，基本不需要修改或删除现有策略。4. 基础策略：从Internet网过来的主动连接（new）全部拒绝，从内部网络发出的主动连接（new）和Internet网返回的应答（established）都全部放行。这种策略应用于一般的上网防护需求，如果单位需求不只如此，网管人员要能够订制符合自身需求的策略，添加上需要放行的规则和拦截的规则。5. 希望网管人员能够尽可能多的了解本防火墙软件的工作原理及相关专业术语，这样才可以流畅地进行防火墙的设置，提高防火墙的效率，最大限度的满足单位的具体需求。6. 在一切都规划好后，进入防火墙设置界面，按计划进行相应的操作，策略规则修改是不需重新启动机器就能令最新的设置生效（其他某些操作有可能需要重新启动防火墙）。把设好的防火墙接入到您的网络上（最初已经确定好的位置）进行调试，如发现有错漏，马上找原因，重新设置，直到满意为止。防火墙配置是一个十分繁琐、细致的工作，不允许有任何漏洞隐藏其中，如果没有把握，就全部拒绝。7. 妥善保管您的所有用户的密码，并提醒您注意防火墙的物理安全（机柜尽量上锁），当您万一忘记了系统管理员的密码，无法用串口或ssh登录系统时，请与我们联系。4.2 防火墙连接4.2.1 网线：本防火墙设备一共提供4个千兆网卡端口，其中分别为外网入口、内网接口、DMZ接口、日志（入侵检测、管理机）服务器接口，当然，如果不需要后两种接口，也可以把它们作为其他内网接口来用。网络连接推荐使用六类双绞线。Internet网通过宽带拨号或其他设备接入后，通过一条六类双绞线连接至防火墙设备的外网接入口，并记住该端口的名称（ethx），如果其他三个网卡接口连接的是网管工作站，或连接融合网络的千兆光纤路由器，需要使用交叉线，如果是与集线器或交换机等网络设备连接时，就需要使用直联线。（关于双绞线的详细说明和制作请上网查询）网络连接后注意内网架构确定每个网段的网关，使得每个网段的客户机都能够找到自己正确的网关，如果网络比较复杂，就用其中的一台客户机试用可能的地址，查看是否能够访问防火墙。防火墙出厂IP地址设定：eth0：192.168.0.254/32eth1：192.168.1.254/32（请确定因特网接入所对应的ethx）eth2：192.168.2.254/32eht3：192.168.3.254/324.2.2 串口线：串口线是专门用于连接防火墙设备的CONSOLE口与网管工作站的串行口。利用CONSOLE口可以对防火墙设备进行调试。这里使用的串行线为9针的对联串口线，以下为9针串行口的针脚功能表: 针脚 功能 针脚 功能 1 载波检测(DCD) 2接受数据(RXD) 3 发出数据(TXD) 4数据终端准备好(DTR) 5 信号地线(SG) 6数据准备好(DSR) 7 请求发送(RTS) 8清除发送(CTS) 9 振铃指示(RI) 以下为串口连机线表：连接9针母头针脚2连接33连接24连接65连接56连接47连接88连接7市面上一般卖的串口线大多都是用来连接计算机和MODEM的，这种线不适合做防火墙设备CONSOLE口的连线，买的时候一定要买双机互联的串口线。4.2.3 防火墙设备连接图4.3 防火墙工作方法4.3.1 开机防火墙开启后，大约经过20到30秒钟的时间，防火墙系统就启动完成，此时局域网的机器就可以在防火墙的保护下上网工作。第一次使用防火墙设备，就需要进行防火墙配置工作。通常是首先从串口登录，然后修改系统管理员的密码；然后从web登录，添加操作管理员名称和日志管理员的名称及密码，添加可进行ssh和web管理的计算机信任通道。接着开始进行web配置访问策略。4.3.2 防火墙系统安全措施防火墙一共提供三种登录方式：1、 串口登录，进行日常的系统维护或执行一些系统命令。需要进行md5加密密码校验。2、 ssh登录，网络系统登录，同串口登录，网络传输通过信任通道防火墙过滤，以及基于口令的安全验证ssh本身的数据加密。如果需要做成基于密匙的安全验证的ssh登录，就需要在串口登录条件下进行相关操作。3、 web的SSL加密技术进行的网页访问，在这种登录情况下，将使用128位的SSL加密技术进行网页数据传输，使用任何支持SSL加密的web浏览器均可实现。4、 密码没有绝对的安全，因此，经常更换密码和使用较为复杂的密码是一个网络管理员应该注意的问题。4.3.3 使用要求：系统管理员更改密码必须在串口模式下进行（网络永远是不安全的）；除非必须，不要从网络上用非SSH进行系统配置；确定下自己的网管机的MAC之后，在web配置项中将网管机IP和它的MAC地址绑定（后面有这句话的详细介绍），最大限度的提高访问可靠性。4.4 防火墙登录方式4.4.1 防火墙串口登录1 使用上面提到的标准串口连接线分别连接防火墙的串口和网管机的串口，网管机系统以windows2000为例：执行操作：开始=>程序=>附件=>通讯=>超级终端，打开“超级终端”的“新建连接”，在名称框中任意输入名称，点确定，在“连接到”的“连接时使用”下拉框中选择你所连接的com口（指网管机），点确定，在“端口设置”中单击还原为默认值，点确定。在超级终端的界面中，执行呼叫，等连接成功后，敲击回车键，会看到有屏幕输出。如果长时间没有任何信息输出，请检查串口线和网管机的超级终端配置，并检查下面所列出的CMOS设置，如果还不行，请来电。CMOS出厂设置（需要安装显示器和键盘）2 关闭软驱3 在Integrated Peripherals设置分类中分别进行如下设置： USB Controller DisabledAC97 AudioDisabledOnboard Serial Port 1 AutoUART Mode SelectASKIROnboard Parallel PortDisabledGame Port AddressDisabled登录信息：（系统管理员串口登录）RHOS RHFW604T v1.0 i686（系统信息）RHFW604T login: （登录用户名输入区）（输入）sysadmin（回车）Password:（用户密码）（输入）rhosrhos（回车）输入正确后，可以看到 “rhfw>”提示符，此为系统登录台的shell命令提示符。修改密码：在>号后，输入rchgsyspwd回车，根据提示需要输入一个最少6位的非简单规则的字符串。简单规则：使用纯数字或aaaaaaa等简单字符规律的字符串。请连续输入两遍。并请记住您新设的密码，如果该密码遗失，请来电。密码请定期更改，而且请尽量复杂，密码被窃取所导致的一切后果，本产品都无法负责。重要信息：由于串口速率问题，所以在串口模式下，管理员只能够使用命令行进行操作。不能进行“编辑”等大数据量操作。如果要进行此类操作，请进入SSH模式进行。登录成功后，就可以使用命令进行系统维护。4.4.2 web网络登录 确定网管机的ip和防火墙的任何一个网卡在同一网段，并知道防火墙该网卡的ip地址，以192.168.3.254为例，在网管机的网页浏览器中输入该地址，当出现证书安全警报框后（见图1），点“是”继续，然后就可以看到web验证页面（见图2）图1图2出厂设置是：用户名和密码均为admin；点击“登录”按钮后进入图3所示的防火墙配置界面。这边还要补充说明一点（非常重要）：在本防火墙设备出厂时，防火墙系统就被配置了只有192.168.3.1能够通过ssh和web访问，所以，需要网管员将网管机的IP地址配置好，连接网卡eth3。然后登录web后，再进行修改。否则web是无法登录的。图3防火墙配置界面将在下面做详细介绍，现在先介绍“系统”中的“信任通道”（见图4）添加系统管理员、操作管理员、维护操作员使用的计算机的IP和MAC，绑定界面视具体情况而定，推荐使用专门的eht3。图4这个页面就可以添加网管机的ip地址和mac地址，这条防火墙规则将优先于其它所有规则。注意：这样，只有这台（或几台）机器才能够登录SSH和WEB设置页面了。4.4.3 SSH网络登录根据上述一些内容进行正确网络连接，在网管机中使用SSH客户端软件连接防火墙系统，防火墙的IP地址根据你的连接端口确定，用户名和密码与串口一样，登录后的操作和串口一致，如果网管人员对系统知识有很深的了解，才可以通过这种方法手工修改系统文件。否则极会导致系统重要文件被更改。4.4.4 系统管理员登录须知注意：系统管理员能够完全毁掉防火墙的主要文件，从而使得防火墙只剩下RHOS基本系统，如果出现这种情况，请来电，我们会给您恢复到出厂状态，但您配置的规则将不再留有。4.4.5 rhfw>后可使用的命令（所有命令严格区分大小写）命令说明范例rhelp控制命令列表rhelprping网络测试pingrping 192.168.0.254rreboot防火墙重新启动rrebootrshowip显示所有防火墙网络设备rshowiprinit恢复规则到出厂设置rinitrdate显示系统时间及修改系统时间rdatersetip设置网络设备IPRsetip eth1 192.168.1.1rpwdreset恢复web管理员admin的密码到出厂设置rpwdresetrsockinf显示当前网络状态，查看服务及端口设置rsockinfrclr清空屏幕rclrrbye退出登录rbyerdefgw显示当前的路由状态rdefgwrchgsyspwd修改系统管理员的密码rchgsyspwd5 策略配置基础知识5.1 网络常见攻击方法及防御5.1.1 拒绝服务型攻击（DoS）拒绝服务攻击是网络攻击中最常见的攻击方法。在拒绝服务攻击中，攻击者不断地向网络接口传输数据，使服务器过于繁忙以至于不能应答请求。或者，攻击者向计算机发送特定的无效包，导致计算机的操作系统崩溃。这种攻击对攻击者并无益处，攻击者得不到传输的任何信息。攻击者的目的仅仅是破坏机器设备，使对方不能正常工作。1 死亡之ping （ping of death） 概览：由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。防御：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括：从windows98之后的windows,NT(service pack 3之后)，linux、Solaris、和Mac OS都具有抵抗一般ping of death攻击的能力。此外，对防火墙进行配置，阻断ICMP以及任何未知协议，都讲防止此类攻击。2 泪滴（teardrop）概览：泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP（包括service pack 4以前的NT）在收到含有重叠偏移的伪造分段时将崩溃。防御：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。3 UDP洪水（UDP flood）概览：各种各样的假冒攻击利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。防御：关掉不必要的TCP/IP服务，或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。4 SYN洪水（SYN flood）概览：也被称为TCP连接同步淹没攻击，一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息，因为他们只有有限的内存缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里，SYN洪水具有类似的影响。防御：在防火墙上过滤来自同一主机的后续连接。未来的SYN洪水令人担忧，由于释放洪水的并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。 5 Land攻击概览：在Land攻击中，一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址，此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉，对Land攻击反应不同，许多UNIX实现将崩溃，NT变的极其缓慢（大约持续五分钟）。防御：打最新的补丁，或者在防火墙进行配置，将那些在外部接口上入站的含有内部源地址滤掉。（包括 10域、127域、192.168域、172.16到172.31域）6 Smurf攻击概览：一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（ping）数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，比ping of death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方雪崩。防御：为了防止黑客利用你的网络攻击他人，关闭外部路由器或防火墙的广播地址特性。为防止被攻击，在防火墙上设置规则，丢弃掉ICMP包。7 Fraggle攻击概览：Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP防御：在防火墙上过滤掉UDP应答消息8 电子邮件炸弹概览：电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。防御：对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。9 畸形消息攻击概览：各类操作系统上的许多服务都存在此类问题，由于这些服务在处理信息之前没有进行适当正确的错误校验，在收到畸形的信息可能会崩溃。防御：打最新的服务补丁。 5.1.2 利用型攻击利用型攻击是一类试图直接对你的机器进行控制的攻击。1 口令猜测和字典攻击概览：一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号，成功的口令猜测能提供对机器的控制。防御：要选用难以猜测的口令，比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略，就进行锁定。2 特洛伊木马概览：特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。最有效的一种叫做后门程序，恶意程序包括：NetBus、BackOrifice和BO2k,用于控制系统的良性程序如：netcat、VNC、pcAnywhere。理想的后门程序透明运行。防御：避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。3 缓冲区溢出概览：由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数，最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。防御：利用SafeLib、tripwire这样的程序保护系统，或者浏览最新的安全公告不断更新操作系统。5.1.3 信息收集型攻击信息收集型攻击并不对目标本身造成危害，这类攻击被用来为进一步入侵提供有用的信息。1 地址扫描概览：运用ping这样的程序探测目标地址，对此作出响应的表示其存在。防御：在防火墙上过滤掉ICMP应答消息。2 端口扫描概览：通常使用一些软件，向大范围的主机连接一系列的TCP端口，扫描软件报告它成功的建立了连接的主机所开的端口。防御：许多防火墙能检测到是否被扫描，并自动阻断扫描企图。3 反响映射概览：黑客向主机发送虚假消息，然后根据返回“host unreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到，黑客转而使用不会触发防火墙规则的常见消息类型，这些类型包括：RESET消息、SYN-ACK消息、DNS响应包。防御：NAT和非路由代理服务器能够自动抵御此类攻击，也可以在防火墙上过滤“host unreachable”（主机不可达）ICMP应答。4 慢速扫描 概览：由于一般扫描侦测器的实现是通过监视某个时间帧里一台特定主机发起的连接的数目（例如每秒10次）来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。防御：通过引诱服务来对慢速扫描进行侦测。5 体系结构探测概览：黑客使用具有已知响应类型的数据库的自动工具，对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法（例NT和Solaris的TCP/IP堆栈具体实现有所不同），通过将此独特的响应与数据库中的已知响应进行对比，黑客经常能够确定出目标主机所运行的操作系统。防御：去掉或修改各种Banner，包括操作系统和各种应用服务的，阻断用于识别的端口扰乱对方的攻击计划。5.1.4 利用信息服务1 DNS域转换概览：DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器，黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。防御：在防火墙处过滤掉域转换请求。2 Finger服务概览：黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。防御：关闭finger服务并记录尝试连接该服务的对方IP地址，或者在防火墙上进行过滤。3 LDAP服务概览：黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。防御：对于刺探内部网络的LDAP进行阻断并记录，如果在公共机器上提供LDAP服务，那么应把LDAP服务器放入DMZ。用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。4 DNS高速缓存污染概览：由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。防御：在防火墙上过滤入站的DNS更新，外部DNS服务器不应能更改你的内部服务器对内部机器的认识。5 伪造电子邮件概览：由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接。防御：使用PGP等安全工具并安装电子邮件证书。5.1.5 欺骗型攻击欺骗型攻击通常是以伪造自身的方式来取得对方的信任从而达到迷惑对方瘫痪其服务的目的。1 地址欺骗型攻击概览：由于数据包通常工作的方式以及报头构造的方式，保护包的真正来源实际上是不可能的。攻击者可以假冒他人的地址向目标机发送数据，而目标机错误的认为数据是被假冒机器发来的。防御：连接认证2 数据修改概览：数据在传输过程中被攻击者截获并修改，然后再继续发往目的地。防御：对网络中的数据进行加密。3 中间人攻击概览：在数据传输过程中，攻击者控制了该传输通道，成为数据端两头的“中间人”，他可以截获、阅读、存储、分析甚至修改通道中的数据。中间人攻击一般来说是好几种攻击的组合。防御：互相验证5.2 包过滤防火墙的一般概念5.2.1 什么是包过滤包过滤就是查看所有流经防火墙的数据包的包头（header），由此决定整个数据包的命运。他可能会决定丢弃（DROP）这个包，可能会接受（ACCEPT）这个包（让这个包通过），也可能执行其他更复杂的动作。在防火墙系统下，包过滤功能是内建于核心的（作为核心的一个组成部分，或者作为一个核心模块），同时还有一些可以运用于数据包之上的技巧，不过最常用的依然是查看包头已决定包的命运。5.2.2 包过滤防火墙的工作层次包过滤防火墙示意图如下，工作在网络层。数据应用层传输层网络层数据链路层物理层数据链路层物理层数据防火墙应用层传输层网络层数据链路层物理层5.2.3 包过滤防火墙的工作原理（1）使用过滤系统。数据包过滤用在内部主机和外部主机之间，过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则原则来决定是否让数据包通过。数据包过滤是通过对数据包的IP头和TCP或UDP头的检查来实现的，主要信息有：² IP源地址² IP目的地址² 协议（TCP包、UDP包和ICMP包）² TCP或UDP包的源端口² TCP或UDP包的目标端口² ICMP消息类型² TCP包头中的ACK位² 数据包到达的端口² 数据包出去的端口在TCP/IP中，存在着一些标准的服务端口号，例如：HTTP的端口号为80。通过屏蔽特定的端口就可以禁止特定的服务。包过滤系统可以阻塞内部主机和外部主机或另外一个网络之间的连接，例如，可以阻塞一些被视为是有敌意的或不可信任的主机或网络连接到内部受保护网络中。（2）过滤器的实现。数据包过滤一般使用过滤器来实现。普通的路由器只检查数据包的目的地址，并选择一个达到目的地址的最佳路径。它处理数据包是以目标地址为基础的，存在着两种可能性：若路由器可以找到一个路径到达目标地址则发送出去；若路由器不知道如何发送数据包则通知数据包的发送者“数据不可达”。过滤器会更加仔细地检查数据包，除了决定是否有到达目标地址的路径外，还要决定是否应该发送数据包。“应该与否”是由过滤策略决定并强行执行的。过滤策略主要有：² 拒绝来自某主机或某网段的所有连接。² 允许来自某主机或某网段的所有连接。² 拒绝来自某主机或某网段的指定端口的连接。² 允许来自某主机或某网段的指定端口的连接。² 拒绝本地主机或本地网络与其他主机或其他网络的所有连接。² 允许本地主机或本地网络与其他主机或其他网络的所有连接。² 拒绝本地主机或本地网络与其他主机或其他网络的指定端口的连接。² 允许本地主机或本地网络与其他主机或其他网络的指定端口的连接。5.2.4 包过滤器操作的基本过程包过滤器的操作流程图：存储包过滤规则分析包报头字段IP、UDP、TCP应用下一个包规则包规则是否允许传输允许包包规则是否阻塞传输阻塞包是否是最后一个包规则否是是是否否几乎所有现有的包过滤器都遵循上述流程所示的工作过程，下面做个简单的叙述：（1） 包过滤规则必须被包过滤设备端口存储起来。（2） 当包到达端口时，对包报头进行语法分析。大多数包过滤设备只检查IP、TCP或UDP报头中的字段。（3） 包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储顺序必须相同。（4） 若一条规则阻止包传输或接收，则此包便不被允许。（5） 若一条规则允许包传输或接收，则此包便可以被继续处理。（6） 若包不满足任何一条规则，则此包便被阻塞。5.3 状态包过滤防火墙在上述基础包过滤的基础上，融合网络防火墙更增加了状态规则的设定。有状态的防火墙能够指定并记住为发送或接收信息包所建立的连接的状态。防火墙可以从信息包的连接跟踪状态获得该信息。在决定新的信息包过滤时，防火墙所使用的这些状态信息可以增加其效率和速度。有4种有效状态，名称分别为ESTABLISHED、INVALID、NEW和RELATED。其中的定义请参考“1.5术语及定义”中的内容，这里就不再赘述。5.4 包过滤具体工作步骤1）路由。当信息包到达防火墙时，内核先检查信息包的头信息，尤其是信息包的目的地。我们将这个过程称为路由。2）根据情况将数据包送往包过滤表的不同的链。² 如果信息包源自外界并且数据包的目的地址是本机，而且防火墙是打开的，那么内核将它传递到内核空间信息包过滤表的“进入”（INPUT）链。² 如果信息包源自系统本机或系统所连接的内部网上的其他源，并且此信息包要前往另一个外部系统，那么信息包被传递到“送出”（OUTPUT）链。防火墙工作区进入链转发链送出链系统内部处理要进入的包放行的转发包要转发的包放行的送出包要送出的包放行的进入包包被丢弃或拒绝² 信息包源自外部系统并前往外部系统的信息包被传递到“转发”（FORWARD）链。3）规则检查。将信息包的头信息与它所传递到的链中的每条规则进行比较，看它是否与某条规则完全匹配。² 如果信息包与某条规则匹配，那么内核就对该信息包执行由该规则的目标制定的操作。Ø 如果目标为“接受”，则允许该信息包通过，并将该包发给相应的本地进程处理。Ø 如果目标为：“丢弃”或“拒绝”，则不允许该信息包通过，并将该包阻塞并杀死。² 如果信息包与这条规则不匹配，那么它将与链中的下一条规则进行比较。² 最后，如果信息包与链中的任何规则都不匹配，那么内核将参考该链的策略来决定如何处理该信息包。理想的策略应该告诉内核“丢弃”该信息包。穿越流程图路由选择入站包进入链本地处理进程转发链进入链5.5 TCP/IP标记分别为：FIN（结束）、SYN（同步）、RST（重设）、PSH（强迫推进）、ACK（应答）、URG（紧急）A. 建立TCP连接（通过3次握手实现）假如服务器A和客户机B通信。（1） （B）àSYNà（A） 。当B要和A通信时，B首先向A发一个SYN标记的包，告诉A请求建立连接。只有当A收到B发来的SYN包，才可建立连接，除此之外别无他法。因此，如果你的防火墙丢弃所有发往外网接口的SYN包，那么你将不能让外部任何主机主动建立连接。（2） （B）ßSYN/ACKß（A） 。接着，A收到后会发一个对SYN包的确认包（SYN/ACK）回去，表示对第一个SYN包的确认，并继续握手操作。（3） （B）àACKà（A） 。B收到SYN/ACK包后，B发一个确认包（ACK），通知A连接已建立。至此，3次握手完成，一个TCP连接完成。注意：知道这个原理后，我们可以制作一个防止SYN洪水攻击的策略。不过这个策略还是有些难度的。（参见Linux的高级路由和流量控制HOWTO15.2防护SYN洪水攻击）规则中的所谓的-syn，它匹配那些SYN标记被设置而 ACK和RST标记没有设置的包，这和-p tcp -tcp-flags SYN的作用毫无二样。如果你阻止了从外网进入的这样的包，也就阻止了所有由外向内的连接企图，这在一定程度上防止了一些攻击。但外出的连接不受影响，恰恰现在有很多攻击就利用这一点。比如有些攻击黑掉内网的某些服务器之后会安装一些软件，它们能够利用已存的连接到达你的机子，而不要再新开一个端口。这个匹配也可用英文感叹号取反，如：! -syn用来匹配那些 RST或ACK被置位的包，换句话说，就是状态为已建立的连接的包。B. 结束TCP连接（通过4次握手实现）假如服务器A和客户机B通信。注意，由于TCP连接是双向连接（所以在配策略时，不要忘记有去有回），因