防火墙

Vulnerability Protection 趋势科技服务器深度安全防护系统防火墙是双向状态防火墙，负责确保来自未经授权的来源的数据包不会访问主机上的应用程序。

基本配置

在计算机上启用防火墙功能：

在策略/计算机编辑器中，转至防火墙 > 常规
选择打开，然后单击“保存”

桥接和分接模式

防火墙模块使用能够以下列两种模式之一运行的 Vulnerability Protection 趋势科技服务器深度安全防护系统网络引擎：

桥接：活动数据包流直接通过 Vulnerability Protection 趋势科技服务器深度安全防护系统网络引擎。因此，所有规则将在继续协议堆栈前应用到网络流量
分接模式：系统会复制活动数据包流并从主数据流中转移。

在分接模式下，不会修改活动数据流。所有操作均在复制的数据流上执行。处于分接模式时，除了提供事件记录之外，Vulnerability Protection 趋势科技服务器深度安全防护系统不会提供任何保护。

要在桥接模式和分接模式之间切换，请打开策略或计算机编辑器并转至设置 > 网络引擎 > 网络引擎模式。

防火墙规则属性

数据包源和数据包目标

防火墙可使用以下条件确定流量源和目标：

IP 地址
MAC 地址
端口

IP 地址

以下选项可用于定义 IP 地址：

任何：未指定地址，因此任何主机均可以是源或目标
单个 IP：使用其 IP 地址标识特定计算机。
网络掩码：这会将规则应用于共享相同子网掩码的所有计算机
范围：这会将规则应用于特定 IP 地址范围内的所有计算机
IP：对不具有连续 IP 地址的多个计算机应用规则时使用此选项。
IP 列表：此选项使用“组件”列表（特别是针对 IP 地址的列表）来定义主机。

MAC 地址

以下选项可用于定义 MAC 地址：

任何：未指定 MAC 地址，因此，规则适用于所有地址
单个 MAC：规则适用于特定 MAC 地址
MAC：规则适用于此处指定的 MAC 地址
MAC 列表：规则适用于 MAC 列表中的 MAC 地址

端口

以下选项可用于定义端口地址：

任何：规则适用于所有端口
端口：规则适用于此处写入的多个端口
端口列表：规则适用于端口列表

传输协议

如果规则专门针对 Internet 协议 (IP) 帧类型，并且协议文本框已启用，系统将要求管理员指定要分析的传输协议。可供选择的协议选项有：

任何（将不会基于协议区分防火墙）
ICMP
ICMPV6
IGMP
GGP
TCP
PUP
UDP
IDP
ND
RAW
TCP+UDP
其他（必须提供协议编号）

方向

Vulnerability Protection 趋势科技服务器深度安全防护系统防火墙是双向防火墙。因此，它可以对网络到 Vulnerability Protection 趋势科技服务器深度安全防护系统主机（称为传入），以及主机到网络（称为传出）的流量强制执行规则。

防火墙规则仅可用于一个方向，因此特定类型的流量的防火墙规则通常成对出现。

TCP 标头标志

处理 TCP 流量时，管理员可以选择规则要应用到的 TCP 标志。如果规则未应用到所有标志，管理员可从以下选项进行选择：

任何标志
URG
ACK
PSH
RST
SYN
FIN

可使用多种方法将这些标志用于各种攻击中。此处仅介绍一项选择。

URG 标志表示该数据包十分紧急，必须先于所有其他数据包进行处理；PSH 标志设置 TCP 堆栈以刷新其缓存并将所有信息发送到应用程序。这两种标志都可用于名为 Xmas 扫描的类型端口扫描中，通常为已启用 URG 和 PSH 标志的 FIN 数据包。此扫描的名称由来是交替打开和关闭标志字节 (00101001) 中的位，类似圣诞树上的灯。

未受保护的计算机收到与 Xmas 扫描相关的数据包时，将出现以下情况：

条件	响应
关闭的端口	返回 RST 数据包
打开的端口	无响应，暴露了已打开端口的存在

RST 或 RESET 标志突然终止了 TCP 连接。如上所述，其合法使用还包括终止到指出连接不可行或未经允许的已关闭端口的连接。但是，RST 标志还可以用作旨在破坏现有会话的 RESET 攻击的一部分。下图举例说明了一种攻击情况，其中主机 C 可以计算主机 A 期望从主机 B 的数据包获取的 TCP 序列号，因此欺骗主机 A 相信主机 B 已向其发送 RST 数据包。最终结果是拒绝服务攻击：

帧类型

术语“帧”是指以太网帧，提供的协议可指定帧包含的数据。

Internet 协议 (IP)、地址解析协议 (ARP) 和反向地址解析协议 (REVARP) 是当代以太网网络上最常包含的协议，但是通过从下拉列表中选择“其他”，您可以通过其“帧编号”指定任何其他帧类型。

防火墙规则操作

防火墙规则可以执行以下操作：

允许：明确允许符合规则的流量通过，隐式拒绝其他流量。
放行：允许流量绕开防火墙和入侵防御分析。仅将此设置用于媒体密集协议。放行规则可基于 IP、端口、流量方向和协议。
拒绝：明确阻止符合规则的流量。
强制允许：强制允许另外可能被其他规则拒绝的流量。
强制允许规则允许的流量仍要经过入侵防御模块的分析。
仅记录：流量将仅供记录。不会采取任何其他操作。

关于“允许”规则的更多信息

允许规则有两个功能：

允许明确允许的流量。
隐式拒绝所有其他流量。

将丢弃允许规则未明确允许的流量，并记录为不允许的策略防火墙事件。

常用的允许规则包括：

ARP：允许传入的地址解析协议 (ARP) 流量。
允许请求的 TCP/UDP 回复：确保主机计算机可以接收对其 TCP 和 UDP 消息的回复。这与 TCP 和 UDP 状态配置结合使用。
允许请求的 ICMP 回复：确保主机计算机可以接收对其 ICMP 消息的回复。这与 ICMP 状态配置结合使用。

关于“放行”规则的更多信息

放行规则专用于媒体密集协议，无需通过防火墙或入侵防御模块进行过滤。放行规则具有以下显著特征：

符合放行规则条件的数据包具有以下特点：

不受状态配置设置条件的约束。
可绕开防火墙和入侵防御分析。

由于状态检查未应用于已绕开的流量，因此绕开一个方向的流量不会自动绕开另一个方向的响应。因此，应始终成对创建和应用放行规则，一个用于传入流量，另一个用于传出流量。

不会记录放行规则事件。这是不可配置的行为。

如果 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心使用受 Vulnerability Protection 趋势科技服务器深度安全防护系统客户端保护的远程数据库，那么在 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心将入侵防御规则保存到数据库时，将出现入侵防御相关的虚假警报。规则内容本身将误报为攻击。针对此情况的解决方法之一是为从 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心到数据库主机的流量创建放行规则。

Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心流量的缺省放行规则

Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心自动实现优先级 4 放行规则，将在运行 Vulnerability Protection 趋势科技服务器深度安全防护系统客户端的主机计算机上的端口 4118 打开传入的 TCP 流量。优先级 4 可确保在所有拒绝规则之前先应用此规则，放行可保证流量始终不会受到影响。“放行”规则未在防火墙规则列表中明确显示，因为该规则是内部创建的。

但是，此规则接受来自任何 IP 地址和任何 MAC 地址的流量。要稳定此端口的 DSA，您可以为此端口创建更加严格的备用放行规则。客户端实际上将禁用缺省管理中心流量规则以支持新定制规则，前提是其具有以下特性：

优先级： 4 — 最高
数据包流向： 传入
帧类型： IP
协议： TCP
数据包目标端口： 4118

定制规则必须使用以上参数替换缺省规则。实际管理中心的 IP 地址或 MAC 地址应用作规则的数据包源。

关于“强制允许”规则的更多信息

“强制允许”选项排除了另外可能被拒绝操作覆盖的流量子集。它与其他操作的关系如下所示。强制允许与放行规则的效果是一样的。但是，和放行不同的是，因此操作通过防火墙的流量仍要由入侵防御模块进行审查。强制允许操作对于确保必要的网络服务能够与 DSA 计算机进行通信特别有用。这些缺省的强制允许规则通常会在实际应用中启用：

允许
拒绝
强制允许

在多节点排列中使用多个管理中心计算机时，最好为这些计算机定义一个 IP 列表，然后将此列表用于定制管理中心流量规则

防火墙规则流程

到达计算机的数据包会先按防火墙规则进行处理，接着根据状态配置条件进行处理，最后再按入侵防御规则进行处理。

以下是应用防火墙规则的顺序（传入和传出）：

具有优先级 4（最高）的防火墙规则
1. 放行
2. 仅记录（只能为仅记录规则分配优先级 4（最高））
3. 强制允许
4. 拒绝
具有优先级 3（高）的防火墙规则
1. 放行
2. 强制允许
3. 拒绝
具有优先级 2（一般）的防火墙规则
1. 放行
2. 强制允许
3. 拒绝
具有优先级 1（低）的防火墙规则
1. 放行
2. 强制允许
3. 拒绝
具有优先级 0（最低）的防火墙规则
1. 放行
2. 强制允许
3. 拒绝
4. 允许（请注意，允许规则只能分配优先级 0（最低））

如果计算机上没有任何允许规则生效，除非被拒绝规则特别阻止，否则将允许所有流量。创建单个允许规则后，除非其满足允许规则的条件，否则将阻止所有其他流量。此情况有一个例外：除非拒绝规则明确阻止 ICMPv6 网络通信，否则始终允许该网络通信。

在同一优先级上下文中，拒绝规则会覆盖允许规则，而强制允许规则将会覆盖拒绝规则。通过使用规则优先级系统，可以制订较高优先级的拒绝规则来覆盖较低优先级的强制允许规则。

考虑一个 DNS 服务器策略示例，该策略使用强制允许规则，从而允许所有经由 TCP/UDP 端口 53 的传入 DNS 查询。创建优先级高于强制允许规则的拒绝规则，则可以指定某特定范围的 IP 地址并必须禁止使用这些地址来访问同一个公共服务器。

通过基于优先级的规则集，您可以设置应用规则时所要依据的顺序。如果已设置具有最高优先级的拒绝规则，而且同一优先级中没有强制允许规则，则会自动丢弃匹配该拒绝规则的任何数据包，并忽略其余的规则。相反地，如果具有最高优先级标志集的强制允许规则存在，则会自动允许匹配该强制允许规则的任何传入数据包通过，且不针对任何其他规则进行检查。

有关记录的注意事项

放行规则从不生成事件。此选项不可配置。

仅当符合规则的数据包后来没有被下列任一规则阻止时，仅记录规则才会生成事件：

拒绝规则，或
排除该数据包的允许规则。

如果数据包被上述两种规则中的一种阻止，则这些规则（但不是仅记录规则）将生成事件。如果没有后续规则停止数据包，则仅记录规则会生成事件。

防火墙规则如何协作

Vulnerability Protection 趋势科技服务器深度安全防护系统防火墙规则既有规则处理措施，又有规则优先级。这两种属性配合使用可让您创建非常有弹性且功能强大的规则集。其他防火墙使用的规则集可能要求依照运行时应有的顺序定义规则，与此不同的是，Vulnerability Protection 趋势科技服务器深度安全防护系统防火墙规则是根据规则处理措施和规则优先级的确定顺序运行的，与其定义或分配的顺序无关。

规则处理措施

每个规则可以有五种处理措施之一。

放行：如果数据包符合放行规则，则无论同一优先级级别的其他任意规则为何，数据包均可通过防火墙和入侵防御引擎。
仅记录：如果数据包符合仅记录规则，则该数据包会通过，该事件将被记录。
强制允许：如果数据包符合强制允许规则，则无论同一优先级级别的其他规则是什么，数据包均可通过。
拒绝：如果数据包符合拒绝规则，则会被丢弃。
允许：如果数据包符合允许规则，则可以通过。不符合允许规则之一的任何流量都会被拒绝。

实行允许规则将导致拒绝允许规则未特别覆盖的所有其他流量：

“拒绝”规则可以优先于“允许”规则执行，以阻止某些类型的流量：

“强制允许”规则可以应用于被拒绝的流量之上，以允许某些异常经过：

规则优先级

拒绝和强制允许类型的规则处理措施可以在 5 种优先级的任一种中加以定义，以便进一步修正允许规则集所定义的允许流量。规则以最高（优先级 4）到最低（优先级 0）的优先级顺序运行。在特定的优先级级别中，规则是根据规则操作的顺序（强制允许、拒绝、允许、仅记录）得到处理的。

优先级上下文可让用户使用拒绝/强制允许组合依次修正流量控制，以达到更大的灵活性。在同一优先级上下文中，可以使用拒绝规则否定允许规则，也可以使用强制允许规则否定拒绝规则。

允许类型的规则处理措施只在优先级为 0 时运行，而仅记录类型的规则处理措施只在优先级为 4 时运行。

组合使用规则处理措施和规则优先级

规则以最高（优先级 4）到最低（优先级 0）的优先级顺序运行。在特定的优先级级别中，会根据规则处理措施的顺序处理规则。优先级相同的规则处理顺序如下：

放行
仅记录
强制允许
拒绝
允许

请记住，允许类型的规则处理措施只在优先级为 0 时运行，而仅记录类型的规则处理措施只在优先级为 4 时运行。

请记住，如果强制允许规则和拒绝规则处于同一优先级，则强制允许规则比拒绝规则优先，因此将会允许符合强制允许规则的流量。

状态过滤

状态配置在计算机上生效时，会在流量历史记录、TCP 和 IP 标头值正确性，以及 TCP 连接状态转换的上下文中分析数据包。在无状态协议（例如，UDP 和 ICMP）情况下，会根据历史流量分析执行假状态机制。

在 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心中，可通过策略 > 通用对象 > 防火墙状态配置找到保存的状态配置。它们通过策略编辑器或计算机编辑器应用至计算机，方法为转到策略/计算机编辑器 > 防火墙 > 通用 > 防火墙状态配置。

如果数据包经由静态规则明确允许，将会通过状态例程。

通过检查连接表检查数据包是否属于现有的连接
检查 TCP 标头的正确性（例如，序号、标志组合）

启用后，状态引擎会应用至通过接口的所有流量。

缺省情况下，UDP 假状态检查会拒绝任意传入的“未经请求的”UDP 数据包。如果计算机运行的是 UDP 服务器，则策略中必须包含强制允许规则，以允许访问该服务。例如，如果在 DNS 服务器上启用了 UDP 状态检查，则必须有允许 UDP 流量通往端口 53 的强制允许规则。

缺省情况下，ICMP 假状态检查会拒绝任何未经请求的传入 ICMP 的请求回复和错误类型数据包。若要允许未经请求的 ICMP 数据包，必须明确定义强制允许。除非使用静态规则明确允许，否则会丢弃其他所有 ICMP（非请求回复或错误类型）数据包。

将所有内容汇总设计防火墙策略

一般而言，定义计算机的防火墙策略有两种方法：

禁止：禁止一切未明确允许的流量。可以通过使用允许规则描述允许的流量，使用拒绝规则进一步限制允许的流量，将两种方法相结合以创建禁止策略。
允许：允许一切未明确禁止的流量。可单独使用拒绝规则描述应丢弃的流量，以创建允许策略。

一般而言，应优先使用禁止策略，而尽量避免使用允许策略。

强制允许规则应只与允许规则和拒绝规则结合使用，以允许由允许规则和拒绝规则所禁止的流量子集。当启用 ICMP 和 UDP 状态时，还需要强制允许规则以允许未经请求的 ICMP 和 UDP 流量。

示例

以下是如何为 Web 服务器创建简单防火墙策略的示例。

首先使用已启用 TCP、UDP 和 ICMP 选项的全局防火墙状态配置启用这些选项的状态检查。
添加防火墙规则以允许回复来自工作站的请求的 TCP 和 UDP 数据包。为实现此目的，创建传入允许规则，将协议设置为 "TCP + UDP"，并选择特定标志下的非复选框和 Syn 复选框。此时，该策略只允许回复由工作站上的用户启动的请求的 TCP 和 UDP 数据包。例如，结合步骤 1 中已启用的状态分析选项，此规则允许此计算机上的用户执行 DNS 查询（通过 UDP）以及通过 HTTP (TCP) 浏览 Web。
添加防火墙规则以允许回复来自工作站的请求的 ICMP 数据包。为实现此目的，创建传入允许规则，并将协议设置为 "ICMP"，并选择任何标志复选框。这意味着此计算机上的用户可以 ping 其他的工作站并收到回复，但是其他用户将无法 ping 此计算机。
添加防火墙规则，选中特定标志部分下的 Syn 复选框，以允许通往端口 80 和 443 的传入 TCP 流量。这意味着外部用户可以访问此计算机上的 Web 服务器。

此时，我们已拥有一个基本的防火墙策略，该策略允许请求的 TCP、UDP 和 ICMP 回复，允许外部访问此计算机上的 Web 服务器，并拒绝所有其他传入流量。

关于如何使用拒绝和强制允许规则处理措施进一步修正此策略的示例，请考虑要如何限制来自网络中其他计算机的流量。例如，我们可能要允许内部用户访问此计算机上的 Web 服务器，但是拒绝 DMZ 中的任意计算机进行访问。通过添加拒绝规则，禁止位于 DMZ IP 范围中的服务器进行访问即可实现此目的。

接下来我们针对源 IP 为 10.0.0.0/24 的传入 TCP 流量添加一个拒绝规则，此 IP 位于分配给 DMZ 中计算机的 IP 范围。此规则拒绝 DMZ 中的计算机与此计算机之间的任何流量。

但是，我们可能要进一步修正此策略，以允许从 DMZ 中的邮件服务器传入的流量。

为实现此目的，我们对来自源 IP 10.0.0.100 的传入 TCP 流量使用强制允许规则。此强制允许规则会覆盖在前一步骤创建的拒绝规则，以允许来自 DMZ 中此计算机的流量。

务必要记住的重要事项

所有流量都要先对照防火墙规则进行检查，再由状态检查引擎进行分析。如果流量通过了防火墙规则，则状态检查引擎会接着对其进行分析（前提条件是状态配置中已启用防火墙状态检查）。
允许规则是禁止的。未在允许规则中指定的任何流量都会自动丢弃。这包括其他帧类型的流量，因此您必须记住包含允许其他类型的必要流量的规则。例如，如果未使用静态 ARP 表，别忘了包含允许 ARP 流量的规则。
如果启用了 UDP 状态检查，则必须使用强制允许规则以允许未经请求的 UDP 流量。例如，如果在 DNS 服务器上启用了 UDP 状态检查，则对端口 53 必须使用强制允许规则，以允许服务器接受传入的 DNS 请求。
如果启用了 ICMP 状态检查，则必须使用强制允许规则，以允许未经请求的 ICMP 流量。例如，如果您要允许外部的 ping 请求，则需要对 ICMP 类型 3（Echo 请求）使用强制允许规则。
强制允许仅在相同的优先级上下文中才是最佳的做法。
如果您未配置 DNS 或 WINS 服务器（在测试环境中很常见），则必须为 NetBios 配置强制允许传入 UDP 端口 137 规则。

对新的防火墙策略进行故障排除时，应做的第一件事是检查客户端/设备上的防火墙规则日志。防火墙规则日志包含您需要的所有信息，可以使您判断拒绝了哪些流量，从而根据需要进一步修正策略。