安全無小事！近段時間“密碼泄露”事件鬧得沸沸揚揚，人心惶惶。先是CSDN用戶數據庫的泄露，這對從事計算機技術工作的人員來說可謂是當頭一棒。因為絕大多數IT技術工作者都在CSDN注冊過賬號，而且幾乎都是使用同一個用戶名和密碼，注冊了其它類的技術網站。發生“CSDN用戶數據庫泄露”事件后，反正我是趕緊把自己在用的許多技術類網站的密碼都改了過來。但是剛改完沒多久，又出現了天涯、新浪微博等泄密事件。真是防不勝防！

難道互聯網上就沒有安全的地方了嗎？我認為還是有的，要不然也沒有這么多人使用互聯網。只不過近段時間接二連三暴露的問題太多了。不過，有了問題只要通過各種安全措施把它解決了，同樣可以提高互聯網的安全性。本文就涉及到企業網絡中防火墻設備部署、安裝和配置。雖然防火墻不能解決所有的安全問題，但它在網絡中的部署也是絕對不能少的。

圖1單位網絡架構和防火墻部署圖示

一、網絡架構和防火墻部署情況

單位網絡結構圖如圖1所示。為了確保重要設備的穩定性和冗余性，核心層交換機使用兩臺6509-E，通過Trunk線連接。在辦公區的接入層使用了多臺Cisco2960交換機，圖示為了簡潔，只畫出了兩臺。在核心層交換機6509-E上，通過防火墻連接有單位重要的服務器，如FTP、E-MAIL服務器和數據庫等。單位IP地址的部署，使用的是C類私有192網段的地址。DHCP服務器的IP地址為192.168.10.1，FTP服務器的IP地址是192.168.5.2。Cisco6509-E和Cisco3750之間，以及Cisco3750和Cisco2960之間都是Trunk連接。

圖1中的橘黃色線表示的是用光纖連接，藍色線表示的是用雙絞線連接。而且從兩臺6509上分別延伸出來了的兩條黃色線，一條豎線和一條橫線，它們在拓撲圖中其實是對兩臺6509上端口的一種擴展，并不是這兩條線只連接到6509上的一個端口，而是連接了多個端口。這種布局的拓撲圖，在結構上就顯得更清晰明了。

單位根據部門性質的不同，把各個部門的電腦劃入到不同的VLAN中。服務器都位于VLAN2至VLAN10中，對應的網絡號是192.168.2.0~192.168.10.0，如DHCP服務器位于VLAN10中，FTP服務器位于VLAN5中。服務器的IP地址、默認網關和DNS都是靜態配置的。VLAN11至VLAN150是屬于辦公部門使用的，對應的網絡號是192.168.11.0~192.168.150.0。VLAN號和網絡號之間都是對應的。VLAN中的PC都是通過Cisco2960接入到網絡中，3750都是二層配置，三層的配置都在Cisco6509上，也就是VLAN間的路由都是通過6509完成的。PC的IP地址、默認網關和DNS都是自動從DHCP服務器上獲得的，不用手工靜態配置。

如圖1所示，兩臺防火墻都是聯想PowerV防火墻，它們運行的模式都為透明模式，也就是以“橋”模式運行的，本身只需要配置一個管理IP地址，不必占用任何其它的IP資源，也不需要改變用戶的拓撲環境，設備的運行對用戶來說是“透明”的，在網絡設備上進行各種命令的配置時，就當不存在這兩個防火墻一樣，因為它們是透明模式。它們只對線路上的數據包作安全檢查，和安全策略上的限制，本身不會影響網絡的整體架構和配置。這種模式在安裝和維護防火墻時，相對防火墻的另外一種運行模式——路由模式，來說要簡單很多。

Cisco6509-E和核心區Cisco2960之間不是Trunk模式連接，而是使用接入模式連接的，也就是兩臺Cisco6509-E的Gi3/2位于VLAN5中，核心區兩臺Cisco2960的Gi0/1也位于VLAN5中。兩臺6509和兩臺3750之間，以及辦公區中網絡設備間的連接情況如下所示：

Cisco6509-E1GigabitEthernet3/1<---->Cisco3750AGigabitEthernet1/0/25

Cisco6509-E2GigabitEthernet3/1<---->Cisco3750BGigabitEthernet1/0/25

Cisco3750AGigabitEthernet1/0/1<----->Cisco2960AGigabitEthernet0/1

Cisco3750BGigabitEthernet1/0/1<----->Cisco2960BGigabitEthernet0/1

兩臺6509和兩臺防火墻之間的，以及核心區中網絡設備間的連接情況如下所示：

Cisco6509-E1GigabitEthernet3/2<----->FW-AGigabitEthernet1

Cisco6509-E2GigabitEthernet3/2<----->FW-BGigabitEthernet1

FW-AGigabitEthernet2<----->Cisco2960AGigabitEthernet0/1

FW-BGigabitEthernet2<----->Cisco2960BGigabitEthernet0/1

二、主要網絡設備上的配置情況

1、兩臺核心交換機上的配置情況。在Cisco6509-E1上的主要配置如下所示：

hostnameCisco6509-E1

interfaceGigabitEthernet3/1

descriptionLink3750A_1/0/25

switchporttrunkencapsulationdot1q

switchporttrunkallowedvlan5,115

switchportmodetrunk

interfaceGigabitEthernet3/2

descriptionLink_FW-A_Gi1

switchportaccessvlan5

switchportmodeaccess

interfaceVlan5

ipaddress192.168.5.252255.255.255.0

standby5ip192.168.5.254

standby5priority120

standby5preempt

interfaceVlan115

ipaddress192.168.115.252255.255.255.0

standby115ip192.168.115.254

standby115priority120

standby115preempt

其中命令“ipaddress192.168.5.252255.255.255.0”是給指定的VLAN配置IP地址。

命令“standby5priority120”中的“priority”是配置HSRP的優先級，5為組序號，它的取值范圍為0～255，120為優先級的值，取值范圍為0～255，數值越大優先級越高。

優先級將決定一臺路由器在HSRP備份組中的狀態，優先級最高的路由器將成為活動路由器，其它優先級低的路由器將成為備用路由器。當活動路由器失效后，備用路由器將替代它成為活動路由器。當活動和備用路由器都失效后，其它路由器將參與活動和備用路由器的選舉工作。優先級都相同時，接口IP地址高的將成為活動路由器。

“preempt”是配置HSRP為搶占模式。如果需要高優先級的路由器能主動搶占成為活動路由器，則要配置此命令。配置preempt后，能夠保證優先級高的路由器失效恢復后總能成為活動路由器。活動路由器失效后，優先級最高的備用路由器將處于活動狀態，如果沒有使用preempt技術，則當活動路由器恢復后，它只能處于備用狀態，先前的備用路由器代替其角色處于活動狀態。

命令“standby5ip192.168.5.254”作用是啟動HSRP，如果虛擬IP地址不指定，路由器就不會參與備份。虛擬IP應該是接口所在的網段內的地址，不能配置為接口上的IP地址。

在Cisco6509-E2上的主要配置如下所示：

hostnameCisco6509-E2

interfaceGigabitEthernet3/1

descriptionLink3750B_1/0/25

switchporttrunkencapsulationdot1q

switchporttrunkallowedvlan5,115

switchportmodetrunk

interfaceGigabitEthernet3/2

descriptionLink_FW-B_Gi1

switchportaccessvlan5

switchportmodeaccess

interfaceVlan5

ipaddress192.168.5.253255.255.255.0

standby2ip192.168.5.254

standby2priority120

standby2preempt

interfaceVlan115

ipaddress192.168.115.253255.255.255.0

standby2ip192.168.115.254

standby2priority120

standby2preempt

2、在辦公區兩臺Cisco3750和兩臺Cisco2960上的配置情況。在Cisco3750A上的配置：

hostnameCisco3750A

interfaceGigabitEthernet1/0/25

descriptionLink6509-E13/1

switchporttrunkencapsulationdot1q

switchporttrunkallowedvlan5,115

switchportmodetrunk

interfaceGigabitEthernet1/0/1

descriptionLink2960A0/1

switchporttrunkencapsulationdot1q

switchporttrunkallowedvlan5,115

switchportmodetrunk

在Cisco3750B上的配置：

hostnameCisco3750B

interfaceGigabitEthernet1/0/25

descriptionLink6509-E23/1

switchporttrunkencapsulationdot1q

switchporttrunkallowedvlan5,115

switchportmodetrunk

interfaceGigabitEthernet1/0/1

descriptionLink2960B0/1

switchporttrunkencapsulationdot1q

switchporttrunkallowedvlan5,115

switchportmodetrunk

在Cisco2960A上的配置：

hostnameCisco2960A

interfaceGigabitEthernet0/1

descriptionLink3750A1/0/1

switchporttrunkencapsulationdot1q

switchporttrunkallowedvlan5,115

switchportmodetrunk

在Cisco2960B上的配置：

hostnameCisco2960B

interfaceGigabitEthernet0/1

descriptionLink3750B1/0/1

switchporttrunkencapsulationdot1q

switchporttrunkallowedvlan5,115

switchportmodetrunk

3、在核心區兩臺Cisco2960上的主要配置情況如下所示。在Cisco2960A上的配置：

hostnameCisco2960A

interfaceGigabitEthernet0/1

descriptionLink3750A1/0/1

switchportaccessvlan5

switchportmodeaccess

在Cisco2960B上的配置：

hostnameCisco2960B

interfaceGigabitEthernet0/1

descriptionLink3750B1/0/1

switchportaccessvlan5

switchportmodeaccess

注意，在辦公區和核心區中Cisco2960交換機上的配置情況是不一樣的，前者交換機上的端口的配置為Trunk模式，而后者的端口模式為Access模式。#p#

三、故障發生及排查故障的過程

配置完上面的命令后，在辦公區用戶的電腦上，應該就能訪問到核心區服務器上的資源。例如在辦公區有一用戶PC的IP地址為192.168.115.2，子網掩碼為255.255.255.0，默認網關為192.168.115.254。它應該是能訪問到核心區的FTP服務器，FTP服務器的IP地址為192.168.5.2，子網掩碼也是255.255.255.0，默認網關為192.168.5.254。一般在PC瀏覽器的地址欄中輸入ftp://192.168.5.2回車后，就能顯示出一個對話框，提示輸入用戶名和密碼，然后就能訪問到FTP服務器上的資源。但結果卻訪問不成功，根本就沒有對話框提示輸入用戶名和密碼。

圖2辦公用戶訪問FTP服務器的數據流向圖示

辦公區用戶PC訪問核心區FTP服務器的數據流向如圖2所示。因為在辦公區的兩臺Cisco3750，和核心區的兩臺防火墻、兩臺Cisco2960，以及兩臺核心交換機Cisco6509-E都是雙機熱備或負載均衡的運行模式，所以數據流向只要通過兩臺中的任意一臺就都是正常的。

圖3可能發生故障的網絡簡潔拓撲圖

既然已經知道了數據的流向，也就能大致確定故障發生在什么地方。為了圖示的簡潔明了，把圖2再進一步精簡，得到如圖3所示的拓撲圖。從圖3中可以看出，整個的數據流向就一條線，這樣排查故障也就比較簡單，排查故障的步驟如下：

第一步：在辦公區用戶的PC“命令行”CMD中執行命令“telnet192.168.5.221”得到的輸出結果為：

“正在連接192.168.5.2...無法打開到主機的連接。在端口21:連接失敗”。

這就說明在PC上不能登錄到FTP服務器的21端口上。原因可能有很多種，可能是用戶PC和FTP服務器之間的網絡不通，也可能是FTP服務器上的21端口根本就沒有打開。

第二步：確定是不是網絡的故障。在辦公區用戶的PC“命令行”CMD中執行命令“ping192.168.5.2”，得到如下的輸出結果：

C:\Users\Administrator>ping192.168.5.2

正在Ping192.168.5.2具有32字節的數據:

請求超時。

請求超時。

請求超時。

請求超時。

192.168.5.2的Ping統計信息:

數據包:已發送=4，已接收=0，丟失=4(100%丟失)

從上面的輸出結果可以看出PC和FTP服務器之間的網絡是不通的。既然不通就要找出在圖3中的“一條線”中到底是在那個設備上出了問題。

第三步：在辦公區用戶PC的“命令行”CMD中執行命令“tracert192.168.5.2”，它可以定位到數據包在傳輸過程中到底在哪個設備上出了問題。執行命令得到如下的輸出結果：

C:\Users\Administrator>tracert192.168.5.2

通過最多30個躍點跟蹤到192.168.5.2的路由

11ms<1毫秒<1毫秒192.168.115.254

2***請求超時

3***請求超時

上面的輸出在第“3”行的下面本來還有很多，都省略了。因為數據包不能成功到達目的地192.168.5.2，所以它只能像第“3”行那樣往下延續的輸出。從輸出的結果可以看出，PC上發出的數據包只能到達Cisco6509上，因為第“1”行輸出中的192.168.115.254就是6509上Vlan115的IP地址。也就是PC和6509之間的路由是通的，為了驗證這個結果，我們在PC的命令行中執行了命令“ping192.168.115.254”，結果能成功ping通。

其實，這也很好理解，PC發出的數據包，通過兩個交換機Cisco2960和Cisco3750的二層廣播功能，直接把數據包發送到了6509的三層端口VLAN115上，VLAN115收到數據包后發現是Ping命令，就再把收到的數據包返回給PC。所以，在PC上能ping通6509。但是，從電腦PC上發出的Ping數據包，在6509上就不能路由到FTP服務器，因為從執行命令“tracert192.168.5.2”，輸出的第“2”行一直往下，收不到返回的數據包。所以現在可以把故障定位在6509和FTP服務器之間。

第四步：這一步需要確定是不是因為FTP服務器引起的這種故障現象。所以就找了一臺狀態良好的筆記本電腦，把插在FTP服務器上的網線拔下來插到筆記本電腦的網口上，然后把筆記本電腦網口的IP地址、子網掩碼和默認網關，都配置成和FTP服務器完全一樣的。然后，再次在辦公區的電腦上執行和上面一樣的Ping命令、Telent命令和Tracert命令。結果與上面前三步的測試結果一樣，還是不通。這就排除了不是FTP服務器引起的這種故障現象。其實，在這一步中所使用排除故障的方法，就是最簡單，也是最常用的“替換法”。

第五步：因為在6509和FTP服務器之間，所經過的網絡設備就只有6509、防火墻和2960，而2960上都是非常簡單的二層配置，出現錯誤配置的可能性不大。6509在前三步的測試中，也沒有發現有什么異?，F象。所以問題最有可能出在防火墻上。

打開防火墻的WEB管理配置界面，查看其中的安全策略配置，發現其中并沒有配置允許192.168.115.2訪問192.168.5.2的策略。因為所使用的防火墻策略，默認是全禁止的，也就是默認情況下防火墻不允許任何數據包通過，除非在它上面配置了允許某個數據包通過的策略。所以，只要在防火墻上添加了允許辦公區用戶訪問FTP服務器的安全策略，就可以解決上面的問題。同時也要添加允許192.168.115.2的IP地址Ping地址192.168.5.2的策略，這樣在PC上也就能Ping通FTP服務器了。#p#

四、防火墻安全策略的配置。

在防火墻上總共需要配置添加兩個策略，才能解決上面的故障，如下所示。

1、在防火墻上添加允許辦公區用戶訪問FTP服務器的安全策略。如圖4所示，是添加策略的Web界面。標紅色星號的選項是必須填寫的。“規則名”為Vlan115-to-Vlan5；“序號”是自動生成的；“源地址”和“目的地址”的IP地址和子網掩碼就按如圖所示的填寫即可，但注意子網掩碼一定要寫255.255.255.255，不能寫成255.255.255.0。因為前者的子網掩碼只對應一個IP地址，而后者則對應的是一個網段。如果把源地址和它的子網掩碼寫成192.168.115.2和255.255.255.255，意思就是只允許192.168.115.2這一個IP地址訪問FTP服務器。但若是把子網掩碼寫成了255.255.255.0，那對應的安全策略就成了允許所有屬于192.168.115.0/24這個網段的IP地址訪問FTP服務器。

圖4在防火墻WEB管理界面中添加允許訪問FTP服務

“動作”共有四個選項，但只能選擇其中一項，“允許”就是允許與源地址和目的地址匹配的IP數據包通過，“禁止”就是不允許通過。還有兩個選項是在防火墻上使用其它的安全功能時才選擇的。最后一個選項是“服務”，這個是從服務的下拉菜單中選擇的，選擇的是ftp服務。一般在防火墻之類的安全設備上都會默認定義一些常用的安全服務，如FTP、HTTP和ICMP等。另外，還有如下所示幾個功能，雖然在本例中沒有使用，但也非常重要。

“源端口”中端口號的填寫，可以用英文逗號分割表示多個端口，或用英文冒號分割表示端口段。兩種分割方式不能同時使用。“源MAC”是指數據包中二層的源MAC地址。

“流入網口”是限制網絡數據包的流入網口，可以防止IP欺騙?？蛇x內容包括：any和所有已激活的網口。默認值為any，表示不限制接收網口。如果防火墻工作在透明模式，必須選擇相應的物理網口如Gi1。如果不能確定流入網口或工作在混合模式，就選擇any。

“流出網口”流出網口檢查，當選擇源地址轉換時才能選擇。在透明模式下需要選擇橋設備。如果不能確定流出網口或工作在混合模式，應當選擇any。

“時間調度”是指在指定的時間段內，安全規則為生效狀態，在指定的時間段外，安全規則就變為無效。

2、在防火墻上添加，允許所有的Ping命令都能通過防火墻的策略。如圖5所示，是在防火墻的WEB管理界面中添加此策略的示意圖。“規則名”為ICMP；“序號”為18，也是系統自動生成的；注意“源地址”和“目的地址”中的IP地址、子網掩碼任何內容都沒有填寫。其實這種情況下，不輸入任何地址就代表所有的IP地址。也就是所有Ping的數據包，無論它的源地址和目的地址是什么IP地址，都允許它通過防火墻；“動作”選擇允許；“服務”選擇的是icmp_any，它代表的就是Ping命令所使用的服務。在圖5中的，還有以下的幾個功能選項在本例中也是沒有使用，但也非常重要。

“長連接”設定該條規則可以支持的長連接時間。0為不限時。若限時，則有效的時間范圍是30-288000分鐘。如果希望在指定的時間之后斷開連接，就可以設定該功能。

“深度過濾”在生效的安全規則中執行深度過濾。不過，對數據包進行應用層的過濾會影響系統的處理性能，所以一般情況下不要啟用深度過濾。可以在下拉框的選項中選擇“無”，從而不啟用深度過濾功能。

圖5在WEB管理界面中添加允許Ping包通過防火墻

“P2P過濾”對滿足條件的數據包進行BT過濾。Emule和Edonkey過濾，只在包過濾“允許”的情況下可用，至少選擇“BT過濾”、“Emule和Edonkey過濾”的其中一個時，才可以選擇“P2P日志紀錄”。

這里BT過濾就是對于滿足該規則的連接，禁止其BT下載，支持的BT客戶端包括BitComet0.60以下版本、BitTorrent和比特精靈。Emule和Edonkey過濾就是對于滿足該規則的連接，禁止其Emule和Edonkey下載。不過，對于已經建立連接的BT/ed2K的下載，不能禁止，必須重啟BT/ed2K客戶端后才能生效。

“抗攻擊”共包括四種抗攻擊。TCP服務可以選擇抗SYNFlood攻擊；UDP服務可以選擇抗UDPFlood攻擊；ICMP服務可以選擇ICMPFlood和抗PingofDeath攻擊。也可以在一條規則中，選擇多個抗攻擊選項。四種抗攻擊的詳細說明如下：

——當允許TCP規則時，選擇了抗SYNFlood攻擊，防火墻會對流經的帶有Syn標記的數據進行單獨的處理?？筍ynFlood攻擊之后的輸入框填寫數值的具體含義：個位數為保留數字，0-9分別代表抗攻擊強度，從弱到強。設置數字的位數如果超過兩位，則該數字減去個位的數字表示限制每秒通過的能夠真正建立TCP連接的帶有Syn標志數據包的個數。如果設置為0，表示每秒通過的帶有Syn標志的數據包大于90，才進行能否真正建立TCP連接；如果設置為1，表示每秒通過的帶有Syn標志的數據包大于80，才進行能否真正建立TCP連接；如果設置為9，表示通過的帶有Syn標志的數據包都經過了防火墻的判斷，確認是可以建立真正TCP連接的數據包。

——當允許UDP規則時，選擇了抗UDPFlood攻擊，防火墻會對流經的UDP數據進行單獨的處理?？筓DPFlood攻擊之后的輸入框填寫的數值的具體含義是限制每秒通過的UDP數據包的個數。

——當允許ICMP規則時，選擇了抗ICMPFlood攻擊，防火墻會對流經的ICMP數據包進行單獨的處理。抗ICMPFlood攻擊之后的輸入框填寫的數值的具體含義是限制每秒通過的ICMP數據包的個數。

——當允許ICMP規則時，選擇了抗PingofDeath攻擊，防火墻會對流經的ICMP數據包進行單獨的處理。含有PingofDeath攻擊特征類型的數據包將被過濾掉。

“包過濾日志”強制要求匹配該條規則的數據包是否需要記錄包過濾日志。

3、在防火墻的WEB管理界面中，配置添加完以上兩條安全策略后，也就解決了在辦公區用戶的電腦上不能Ping通，和不能訪問FTP服務器上資源的故障。

五、總結。

1、隨著互聯網的飛速發展，網絡安全問題越來越突出，人們的安全意識也不斷地提高，但現在還沒有一項技術和工具比防火墻解決網絡的安全問題更有效。利用它強大的隔離和預防作用，通過在網絡邊界進行隔離，是改善網路安全狀況最有效的方式。防火墻通常是圈定一個保護的范圍，并假定防火墻是唯一的出口，然后由防火墻來決定是放行還是封鎖進出的數據包。

防火墻不是萬能的，但沒有防火墻是萬萬不能的。再配合其它的安全技術和工具，它能夠提供完整的安全解決方案。

2、以上所述，都是目前廣泛使用的傳統型防火墻在網絡中所發揮的巨大作用及其優勢，但是這些傳統防火墻都是基于一種重要的理論假設來進行安全防護的。這種理論認為如果防火墻拒絕某類數據包的通過，則認為它一定是安全的，因為該些包已經被丟棄。但防火墻并不保證準許通過的數據包是安全的，它無法判斷一個正常的服務的數據包和一個惡意的數據包有什么不同。傳統防火墻也無法提供基于應用和用戶的，從第三層到第七層的一體化訪問策略控制，黑客常常通過穿透合法的80端口，就可以輕松地讓防火墻的安全控制策略變成“聾子和瞎子”。此外，它也無法提供基于應用的流量分析和報表展示，無法幫助用戶了解當前網絡邊界的現狀。而且，當前的安全威脅已不再是單一的類型。通常一個完整的入侵行為包含了多種技術手段，如漏洞利用、Web入侵、木馬后門、惡意網站等，如果將這些安全威脅割裂的進行處理和分析，系統的防范短板依然存在。

新一代的防火墻應該加強，允許通過防火墻的數據包的安全性，因為網絡安全的真實需求是，既要保證網絡安全，也必須保證應用的正常運行。所以，目前企業使用越來越多的Web防火墻受到了更多人的關注，它是一種基于應用層開發的新一代應用防火墻，與傳統安全設備相比它可以針對豐富的應用提供完整的、可視化的內容安全保護方案。它解決了傳統安全設備在應用可視化、應用管控、應用防護、未知威脅處理方面的巨大不足，并且滿足了同時開啟所有功能后性能不會大幅下降的要求。

相信，隨著人們對網安全意識的不斷增強，和各種功能強大、性能先進安全設備的廣泛應用，一個安全、綠色的互聯網會越來越深入到人們的工作和生活當中。

【編輯推薦】

1. 淺析防火墻部署誤區
2. IPv6防火墻安全：新協議帶來的問題
3. 各種防火墻出擊　企業安全路在何方？
4. 虛擬化安全問題：在哪里安置防火墻連接？