https防火墻如何設置

時間：2016-05-17 15:36:22 林輝766由分享

　　https防火墻要怎么樣去設置呢?才能最好的防御https呢?下面由學習啦小編給你做出詳細的https防火墻設置方法介紹!希望對你有幫助!

　　https防火墻設置方法一：

　　利用SoftEther突破防火墻訪問互聯(lián)網(wǎng)

　　本文將告訴你如何利用SoftEther軟件突破公司的防火墻，實現(xiàn)對Internet的訪問。

　　注意!突破防火墻訪問Internet是極其危險的行為，有可能會給公司的Intranet帶來災難性的后果!請務必在使用前三思!

　　1.SoftEther是一個虛擬局域網(wǎng)的軟件(就是傳說中的了)，利用該軟件可以將Internet上的幾臺計算機連接到一個虛擬局域網(wǎng)中。SoftEther分為虛擬集線器和虛擬網(wǎng)卡兩部分，使用服務器/客戶端的方式工作，虛擬集線器就是服務器，虛擬網(wǎng)卡就是客戶端。連接時利用SoftEther提供的連接管理工具將虛擬網(wǎng)卡連接到遠端的虛擬集線器上，這樣你的計算機就相當于與該虛擬集線器上連接的其他計算機處于同一個局域網(wǎng)之內(nèi)了。

　　前提條件：

　　2.必須擁有一臺位于Internet上的計算機，例如你家里的計算機。

　　公司的防火墻打開了SSL-HTTP連接的443端口，也就是說，你必須能夠訪問以https://開頭的網(wǎng)站。

　　3.架構

　　家里的計算機作為服務器安裝一個虛擬集線器。同時在同一臺計算機上安裝一個虛擬網(wǎng)卡，該網(wǎng)卡當作代理服務器的入口。

　　公司的計算機安裝虛擬網(wǎng)卡。

　　將家里的計算機上的虛擬網(wǎng)卡、公司計算機上的虛擬網(wǎng)卡都與家中計算機的虛擬集線器連接，這樣公司的計算機就與家里的計算機處于同一個局域網(wǎng)之內(nèi)。

　　在家里的計算機上安裝代理服務器軟件。

　　在公司的計算機上設置代理為家中的計算機，這樣就可以訪問Internet了。

　　由于連接是通過加密的HTTP協(xié)議傳輸?shù)?，所以能穿過防火墻。傳輸中不會有泄漏秘密的可能，也不用擔心被網(wǎng)管發(fā)現(xiàn)自己在干什么。當然要注意一下流量不要太大了。

　　4.首先在家中的計算機上安裝SoftEther，虛擬集線器和虛擬網(wǎng)卡都要安裝。安裝好之后，系統(tǒng)托盤右下角會多出一個網(wǎng)絡連接圖標，不過這時該連接的狀態(tài)是"網(wǎng)絡電纜沒有插好"。使用虛擬集線器的管理工具建立一個用戶。然后使用虛擬網(wǎng)卡的連接管理器，新建連接到本地(127.0.0.1，這個IP地址是你的真實的IP地址)。建立連接之后，你會發(fā)現(xiàn)系統(tǒng)托盤中的網(wǎng)絡連接圖標的網(wǎng)線已經(jīng)插好了。

　　5.打開Windows的網(wǎng)絡連接屬性窗口，為剛剛連接好的虛擬網(wǎng)卡設置一個局域網(wǎng)IP地址，比如172.16.*.*，192.168.*.*，10.*.*.*等。

　　6.在家里的計算機上安裝一個代理服務器軟件(例如CCProxy，Wingate等)。最好是能夠提供Socks代理，這樣就可以在公司使任何應用程序連接到Internet了。

　　7.在公司的計算機上安裝SoftEther，僅安裝虛擬網(wǎng)卡即可。安裝好之后使用虛擬網(wǎng)卡的連接管理器建立新連接，選擇連接類型為"Proxy Connection"，單擊配置按鈕，在代理服務器的設置中填入公司防火墻提供的HTTP代理服務器的地址和端口，最后在"虛擬集線器的地址"中填入你家里的計算機的Internet IP地址(真實網(wǎng)卡的IP地址)。確定之后嘗試連接，連接成功的話即可繼續(xù)下一步。

　　8.設置公司計算機的虛擬網(wǎng)卡地址，注意IP和子網(wǎng)掩碼的設置方法，要保證和家里的計算機的虛擬網(wǎng)卡位于同一個子網(wǎng)。然后利用ping命令檢查兩臺計算機是否連通。

　　9.連通的話，即可利用家里計算機上架設的代理服務器來訪問Internet了。

　　內(nèi)網(wǎng)架設SoftEther簡單步驟~

　　翻了很多前輩們的帖子，終于把SoftEther架設成功了!有幾個小問題需要給將要架設SoftEther的朋友們說一下!

　　論壇里關于SoftEther的帖子說得很詳細，但忽略了一點就是“連接共享”

　　A：首先安裝SoftEther，在設置管理器里面把三個都啟動，

　　接著設置虛擬那塊網(wǎng)卡的IP

　　我是網(wǎng)吧內(nèi)網(wǎng) 192.168.0.X被占用只好設置

　　IP：10.0.0.1

　　子網(wǎng)：255.255.255.0

　　網(wǎng)關忽略

　　DNS：按你當?shù)氐腄NS設置，我設置的是61.128.128.68

　　B：設置共享，你可以用ICS或者NAT!我使用的是NAT

　　C：設置SoftEther賬戶及權限(參看論壇帖子)

　　隨便設置一個賬戶，在服務器里撥上，就是網(wǎng)關了!

　　D：設置端口隱射，將433，7777，8023隱射到外網(wǎng)就可以了!

　　433和7777是SoftEther必須的，你可以根據(jù)實際情況修改，8023是管理端

　　https防火墻設置方法二：

　　防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡內(nèi)部的信息、結構和運行狀況，以此來實現(xiàn)網(wǎng)絡的安全保護。

　　在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡的安全。

　　2.使用Firewall的益處

　　保護脆弱的服務

　　通過過濾不安全的服務，F(xiàn)irewall可以極大地提高網(wǎng)絡安全和減少子網(wǎng)中主機的風險。例如， Firewall可以禁止NIS、NFS服務通過，F(xiàn)irewall同時可以拒絕源路由和ICMP重定向封包。

　　控制對系統(tǒng)的訪問

　　Firewall可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如， Firewall允許外部訪問特定的Mail Server和Web Server。

　　集中的安全管理

　　Firewall對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理，在Firewall定義的安全規(guī)則可以運行于整個內(nèi)部網(wǎng)絡系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺機器上分別設立安全策略。Firewall可以定義不同的認證方法，而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經(jīng)過一次認證即可訪問內(nèi)部網(wǎng)。

　　增強的保密性

　　使用Firewall可以阻止攻擊者獲取攻擊網(wǎng)絡系統(tǒng)的有用信息，如Figer和DNS。

　　記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)

　　Firewall可以記錄和統(tǒng)計通過Firewall的網(wǎng)絡通訊，提供關于網(wǎng)絡使用的統(tǒng)計數(shù)據(jù)，并且，F(xiàn)irewall可以提供統(tǒng)計數(shù)據(jù)，來判斷可能的攻擊和探測。

　　策略執(zhí)行

　　Firewall提供了制定和執(zhí)行網(wǎng)絡安全策略的手段。未設置Firewall時，網(wǎng)絡安全取決于每臺主機的用戶。

　　3.防火墻的種類

　　防火墻總體上分為包過濾、應用級網(wǎng)關和代理服務器等幾大類型。

　　數(shù) 據(jù) 包過濾

　　數(shù)據(jù)包過濾(Packet Filtering)技術是在網(wǎng)絡層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設置的過濾邏輯，被稱為訪問控制表(Access Control Table)。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。數(shù)據(jù)包過濾防火墻邏輯簡單，價格便宜，易于安裝和使用，網(wǎng)絡性能和透明性好，它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡與Internet連接必不可少的設備，因此在原有網(wǎng)絡上增加這樣的防火墻幾乎不需要任何額外的費用。

　　數(shù)據(jù)包過濾防火墻的缺點有二：一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊; 二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。

　　應用級網(wǎng) 關

　　應用級網(wǎng)關(Application Level Gateways)是在網(wǎng)絡應用層上建立協(xié)議過濾和轉發(fā)功能。它針對特定的網(wǎng)絡應用服務協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進行必要的分析、登記和統(tǒng)計，形成報告。實際中的應用網(wǎng)關通常安裝在專用工作站系統(tǒng)上。

　　數(shù)據(jù)包過濾和應用網(wǎng)關防火墻有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。一旦滿足邏輯，則防火墻內(nèi)外的計算機系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡結構和運行狀態(tài)，這有利于實施非法訪問和攻擊。

　　代理服務

　　代理服務(Proxy Service)也稱鏈路級網(wǎng)關或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應用級網(wǎng)關一類。它是針對數(shù)據(jù)包過濾和應用網(wǎng)關技術存在的缺點而引入的防火墻技術，其特點是將所有跨越防火墻的網(wǎng)絡通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應用層的鏈接，由兩個終止代理服務器上的鏈接來實現(xiàn)，外部計算機的網(wǎng)絡鏈路只能到達代理服務器，從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。此外，代理服務也對過往的數(shù)據(jù)包進行分析、注冊登記，形成報告，同時當發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡管理員發(fā)出警報，并保留攻擊痕跡。

　　4.設置防火墻的要素

　　網(wǎng)絡策略

　　影響Firewall系統(tǒng)設計、安裝和使用的網(wǎng)絡策略可分為兩級，高級的網(wǎng)絡策略定義允許和禁止的服務以及如何使用服務，低級的網(wǎng)絡策略描述Firewall如何限制和過濾在高級策略中定義的服務。

　　服務訪問策略

　　服務訪問策略集中在Internet訪問服務以及外部網(wǎng)絡訪問(如撥入策略、SLIP/PPP連接等)。服務訪問策略必須是可行的和合理的?？尚械牟呗员仨氃谧柚挂阎木W(wǎng)絡風險和提供用戶服務之間獲得平衡。典型的服務訪問策略是：允許通過增強認證的用戶在必要的情況下從Internet訪問某些內(nèi)部主機和服務; 允許內(nèi)部用戶訪問指定的Internet主機和服務。

　　防火墻設計策略

　　防火墻設計策略基于特定的Firewall，定義完成服務訪問策略的規(guī)則。通常有兩種基本的設計策略：允許任何服務除非被明確禁止;禁止任何服務除非被明確允許。第一種的特點是安全但不好用，第二種是好用但不安全，通常采用第二種類型的設計策略。而多數(shù)防火墻都在兩種之間采取折衷。

　　增強的認證

　　許多在Internet上發(fā)生的入侵事件源于脆弱的傳統(tǒng)用戶/口令機制。多年來，用戶被告知使用難于猜測和破譯口令，雖然如此，攻擊者仍然在Internet上監(jiān)視傳輸?shù)目诹蠲魑模箓鹘y(tǒng)的口令機制形同虛設。增強的認證機制包含智能卡，認證令牌，生理特征(指紋)以及基于軟件(RSA)等技術，來克服傳統(tǒng)口令的弱點。雖然存在多種認證技術，它們均使用增強的認證機制產(chǎn)生難被攻擊者重用的口令和密鑰。目前許多流行的增強機制使用一次有效的口令和密鑰(如SmartCard和認證令牌)。

　　5.防火墻在大型網(wǎng)絡系統(tǒng)中的部署

　　根據(jù)網(wǎng)絡系統(tǒng)的安全需要，可以在如下位置部署防火墻：

　　局域網(wǎng)內(nèi)的VLAN之間控制信息流向時。

　　Intranet與Internet之間連接時(企業(yè)單位與外網(wǎng)連接時的應用網(wǎng)關)。

　　在廣域網(wǎng)系統(tǒng)中，由于安全的需要，總部的局域網(wǎng)可以將各分支機構的局域網(wǎng)看成不安全的系統(tǒng)， (通過公網(wǎng)ChinaPac，ChinaDDN，F(xiàn)rame Relay等連接)在總部的局域網(wǎng)和各分支機構連接時采用防火墻隔離，并利用構成虛擬專網(wǎng)。

　　總部的局域網(wǎng)和分支機構的局域網(wǎng)是通過Internet連接，需要各自安裝防火墻，并利用NetScreen的組成虛擬專網(wǎng)。

　　在遠程用戶撥號訪問時，加入虛擬專網(wǎng)。

　　ISP可利用NetScreen的負載平衡功能在公共訪問服務器和客戶端間加入防火墻進行負載分擔、存取控制、用戶認證、流量控制、日志紀錄等功能。

　　兩網(wǎng)對接時，可利用NetScreen硬件防火墻作為網(wǎng)關設備實現(xiàn)地址轉換(NAT)，地址映射(MAP)，網(wǎng)絡隔離(DMZ), 存取安全控制，消除傳統(tǒng)軟件防火墻的瓶頸問題。

　　6.防火墻在網(wǎng)絡系統(tǒng)中的作用

　　防火墻能有效地防止外來的入侵，它在網(wǎng)絡系統(tǒng)中的作用是：

　　控制進出網(wǎng)絡的信息流向和信息包;

　　提供使用和流量的日志和審計;

　　隱藏內(nèi)部IP地址及網(wǎng)絡結構的細節(jié);

　　提供功能;

　　看了“https防火墻如何設置 ”文章的還看了：

1.防火墻知識