通信技術(shù)畢業(yè)論文

畢業(yè)設(shè)計(jì) (論文 ) 題目 ： 防火墻設(shè)計(jì)方案 學(xué) 院 信 息 技 術(shù) 工 程 學(xué) 院 年 級(jí) 2010 級(jí) 專 業(yè) 通 信 技 術(shù) 學(xué) 號(hào) 201001080116 學(xué)生姓名 羅素君 指 導(dǎo)教師 孟 勇 2011 年 5 月 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 2 頁 畢業(yè)設(shè)計(jì) (論文 )鑒定表 院 系 信息技術(shù)工程學(xué)院 專 業(yè) 通信技術(shù) 年 級(jí) 2010 級(jí) 姓 名 羅素君 題 目 防火墻 設(shè)計(jì)方案 指導(dǎo)教師 評(píng) 語 過程得分： (占總成績(jī) 20%) 是否同意參加畢業(yè)答辯 指導(dǎo)教師 (簽 字 ) 答辯教師 評(píng) 語 答辯得分： (占總成績(jī) 80%) 畢業(yè)論文總 成績(jī) 等級(jí)： 答辯組成員簽字 年 月 日 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 3 頁 畢業(yè)設(shè)計(jì) (論文 )任務(wù)書 班 級(jí) 2010 級(jí)通信班 學(xué)生姓名 羅素君 學(xué) 號(hào) 201001080116 發(fā)題日期： 2010 年 5 月 6 日 完成日期： 5 月 7 日 題 目 防火墻設(shè)計(jì)方案 1、本論文的目的、意 義 目的 :合服網(wǎng)絡(luò)寬帶工程的進(jìn)展和社會(huì)廣大群眾對(duì)對(duì)網(wǎng)絡(luò)應(yīng) 用的擴(kuò)大，為了為了保證網(wǎng)絡(luò)的安全 ，穩(wěn)定，暢通的的運(yùn)行 意義：作防火墻設(shè)計(jì)方案的意義是讓社會(huì)廣大人民知道什么是防火墻，防火墻是如何應(yīng)用的，和防火墻的作用：防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的，潛在破壞性的侵入。讓網(wǎng)絡(luò)不在受第三方軟件的入侵，更有利的讓使網(wǎng)絡(luò)的安全與暢通 2、學(xué)生應(yīng)完成的任務(wù) （ 1）作設(shè)計(jì)方案相關(guān)知識(shí)的搜集熟悉相關(guān)系統(tǒng)的操作和原理 （ 2）查找系統(tǒng)學(xué)習(xí)的相關(guān)資料和，進(jìn)行智能規(guī)劃的制定和代碼的編寫。 （ 3）代碼的軟件環(huán)境測(cè)試和調(diào)試校定。 （ 4）軟件代碼加入整個(gè)課題系統(tǒng)調(diào)試校定。 （ 5）論文的編寫。 3、論文各部分內(nèi)容及時(shí)間分配： (第 20 周 ) 第一部分 查找資料，文獻(xiàn)，了解題目 (1-2 周 ） 第二部分 熟悉各種加密方法 (3-4 周 ) 第三部分 開始寫論文（在老師的指導(dǎo)下） (5-6 周 ) 第四部分 參考別人的論文，把自己的完成的更好 (7-8 周 ) 第五部分 編寫論文 (9-14 周 ) 評(píng)閱及答辯 修改論文及答辯 (15-20 周 ) 備 注 防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障 .是一種獲取安全性方法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使 Internet 與 Intranet 之間建立起一個(gè)安全網(wǎng)關(guān)（ Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān) 4 個(gè)部分組成 。 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 4 頁 指導(dǎo) 教師： 孟勇 2010 年 5 月 6 日 審 批 人： 年 月 日 摘 要 隨著計(jì)算機(jī)網(wǎng)絡(luò)的日益普及，安全問題變得越來越重要。當(dāng)今的 Internet 每時(shí)每刻都存在著危險(xiǎn)，如果用戶在使用 Internet 時(shí)不采用任何保護(hù)措施，就很容易遭受黑客的攻擊。 Windows 操作系統(tǒng)不開放源代碼，網(wǎng)絡(luò)安全專家無法直接修改、增加操作系統(tǒng)中關(guān)于網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的代碼來改善操作系統(tǒng)的安全性。因此在 Windows 平臺(tái)下保護(hù)個(gè)人計(jì)算機(jī)安全上網(wǎng)是個(gè)值得研究的問題。 本文主要討論 Windows 環(huán)境下的個(gè)人防火墻的實(shí)現(xiàn)技術(shù)。論文的第一部分介紹了網(wǎng)絡(luò)安全的定義和個(gè)人防火墻的概念以及防火墻的發(fā)展史和分類。第二部分分析了各種網(wǎng)絡(luò)協(xié)議架構(gòu)，分析了它們的區(qū)別與聯(lián)系并在此基礎(chǔ)上分析了 Windows 網(wǎng)絡(luò)體系結(jié)構(gòu)。第三部分分析了內(nèi)核模式下的數(shù)據(jù)包攔截技術(shù)，對(duì) TDI 和 NDIS 數(shù)據(jù)包攔截技術(shù)進(jìn)行了分析，并著重介紹了 TDI 過濾驅(qū)動(dòng)程序。第四部分詳細(xì)設(shè)計(jì)了個(gè)人防火墻的實(shí)現(xiàn)。第五部分對(duì)實(shí)現(xiàn)的個(gè)人防火墻進(jìn)行功能和性能測(cè)試并分析了結(jié)果。 系統(tǒng)在開發(fā)實(shí)現(xiàn)過程中采用模塊化、結(jié)構(gòu)化的程序 設(shè)計(jì) 思想，提高了系統(tǒng)的靈活性和可移植性，可以很方便的通過控管規(guī)則實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)封包的認(rèn)證操作，提高了系統(tǒng)的過濾效率。 關(guān)鍵詞： 網(wǎng)絡(luò)安全；防火墻； TDI； NDIS；過濾 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 5 頁 Abstract Along with the popularization of the computer network, security problems are being more and more important. Now the Internet is filled with danger if users who surf on the Internet do not adopt any protective measure，they will be easily attacked by hackers. Windows operating system do not open their source code, network security professors cannot directly alert or add the code about the realization of network protocols in the operating system to improve the security of the operating system. So it is worth the effort to investigate the problem of protecting pc from security problems in windows platform. This paper mainly discussed the personal firewall realization technique in windows environment. The first section of the paper introduced the definition of network security, personal firewall, the development and classes of the firewall. In the second part we introduced two types of network architecture, differences and relationships between them， then we analyzed windows network architecture .The third part analyzed packet filtration technique from core module ,introduced TDI and NDIS packet filtration technique, and stressed on TDI filtration driver. The forth section projected the realization of the firewall in details. The fifth part tested the function and performance of the firewall and analyzed the results. In the lization of this system, we adopted modularized and structured programming idea to improve the flexibility and portability of the system. It is very convenient to achieve authentication operation through control rules, 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 6 頁 this greatly improve systems filtration efficiency. key words： network security； firewall； TDI； NDIS； filtration； 目 錄 第一章 防火墻的介紹 . 3 1.1 防火墻的定義 . 3 1.2 防火墻的類型 . 3 1.3 防火墻的拓?fù)?. 4 第二章 陳龍公司網(wǎng)絡(luò)安全需求分析 . 6 2.1 公司網(wǎng)絡(luò)安全需求分析 . 6 2.2 公司網(wǎng)絡(luò)存在的風(fēng)險(xiǎn) . 7 2.3 企業(yè)網(wǎng)絡(luò)安全防范分析 . 10 2.4 陳龍公司安全 系統(tǒng)建設(shè)目標(biāo) . 11 第三章 陳龍公司防火墻布置 . 13 3 1 陳龍公司防火墻設(shè)計(jì)需求分析 . 13 3 2 防火墻選型 . 13 3 3 陳龍公司防火墻基本配置 . 21 第四章 防火墻的安全管理和維護(hù) . 27 4.1 日常管理 . 27 4.2 監(jiān)視系統(tǒng) . 28 4.3 保持最新狀態(tài) . 30 結(jié) 論 . 31 致 謝 . 31 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 2 頁 參考文獻(xiàn) . 33 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 3 頁 第一章 防火墻的介紹 1.1 防火墻的定義 所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障 .是一種獲取安全性方法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使 Internet 與 Intranet 之間 建立起一個(gè)安全網(wǎng)關(guān)（ Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān) 4 個(gè)部分組成 。 防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件 (其中硬件防火墻用的較少，例如國防部以及大型機(jī)房等地才用 ,因?yàn)樗鼉r(jià)格昂貴 )。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。 防火墻 英語為 firewall 英漢證券投資詞典的解釋為：金融機(jī)構(gòu)內(nèi)部將銀行業(yè)務(wù)與證券業(yè)務(wù)嚴(yán)格區(qū)分開來的法律屏障，旨在防止可能出現(xiàn)的內(nèi)幕消息共享等不公平交易出現(xiàn)。使用防 火墻比喻不要引火燒身。 當(dāng)然，既然打算由淺入深的來了解，就要先看看防火墻的概念了。防火墻是汽車中一個(gè)部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護(hù)乘客安全，而同時(shí)還能讓司機(jī)繼續(xù)控制引擎。在電腦術(shù)語中，當(dāng)然就不是這個(gè)意思了，我們可以類比來理解，在網(wǎng)絡(luò)中，所謂 “ 防火墻 ” ，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng) (如 Internet)分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，它能允許你 “ 同意 ” 的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你 “ 不同意 ” 的人和 數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的 黑客 來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問 Internet， Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。 1.2 防火墻的類型 1.包過濾防火墻 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 4 頁 包過濾 (Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的訪問控制列表 (Access Control List)。通過檢查數(shù) 據(jù)包的的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。包過濾防火墻的優(yōu)點(diǎn)是費(fèi)用不高且不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序；缺點(diǎn)是數(shù)據(jù)包可能被竊聽或假冒，一般無報(bào)警功能，無高質(zhì)量的監(jiān)控或日志記錄功能，只要這一單一的設(shè)備被突破，即會(huì)受到危害。 2.應(yīng)用層代理 應(yīng)用層代理 (Application-level proxy)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成報(bào)告。 3.鏈路層代理 鏈路層代理 (Circuit-level Proxy)是針對(duì)數(shù)據(jù)包過濾和應(yīng)用層代理技術(shù)存在的缺點(diǎn)，將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈路”來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。 4.復(fù)合型防火墻 復(fù)合型防火墻是指將包過濾的方法和基于應(yīng)用層代理的方法結(jié)合起來形成的防火墻。 1.3 防火墻的拓?fù)?1.屏蔽路由器 屏蔽路由器 (圖 1-1)是包過濾路由器的另一種稱呼，它是一個(gè) 多端口的 IP 路由器，通過對(duì)每一個(gè)到來的 IP 包依據(jù)組規(guī)則進(jìn)行檢查來判斷是否對(duì)之進(jìn)行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息，例如協(xié)議號(hào)、收發(fā)報(bào)文的 IP 地址和端口號(hào)、連接標(biāo)志以及另外一些IP 選項(xiàng)，對(duì) IP 包進(jìn)行過濾。 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 5 頁 屏蔽路由器的最大優(yōu)點(diǎn)就是架構(gòu)簡(jiǎn)單且硬件成本較低，缺點(diǎn)則是建立包過濾規(guī)則比較困難，加之屏蔽路由器的管理成本以及用戶級(jí)身份認(rèn)證的缺乏等。 圖 1-1 包過濾路由器 2.單目壁壘主機(jī) 第二種流行的防火墻類型是使用一臺(tái)單目主機(jī)加一臺(tái)屏蔽路由器的屏蔽主機(jī)。單目壁壘主機(jī) (圖 1-2)既可以被配置成鏈路級(jí)也可以是應(yīng) 用級(jí)網(wǎng)關(guān)。當(dāng)使用這兩種類型中的任意一種時(shí)，每一個(gè)都是代理服務(wù)器，壁壘主機(jī)可以隱藏內(nèi)部網(wǎng)絡(luò)的配置。單目壁壘主機(jī)使用網(wǎng)絡(luò)地址翻譯 (NAT)來提供這種功能。 這種實(shí)施方式更優(yōu)于包過濾防火墻，因?yàn)樗黾恿艘慌_(tái)壁壘主機(jī)，對(duì)于黑客來說他不僅需要攻破包過濾路由器還需要攻破壁壘主機(jī)。但比起包過濾器來說，這種方法的缺點(diǎn)在于成本的增加和性能的下降，因?yàn)槎嗔艘慌_(tái)設(shè)備且壁壘主機(jī)要對(duì)信息進(jìn)行處理，網(wǎng)絡(luò)需要更多的時(shí)間對(duì)用戶的請(qǐng)求進(jìn)行回應(yīng)。 圖 1-2 單目壁壘主機(jī) 3.多目壁壘主機(jī) 多目壁壘主機(jī) (雙目壁壘主機(jī)如圖 1-3)的方法顯著 地增加安全性，因?yàn)槟憧梢耘渲?2 塊或更多的網(wǎng)卡在主機(jī)上，這樣，這種防火墻在網(wǎng)絡(luò)和任意外部網(wǎng)絡(luò)之間建立了一個(gè)完全的物理間隔。在這種方法中，黑客繞不過防火墻，此外，即使黑客能夠使屏蔽路由器或多目壁壘主機(jī)失效，他仍將不得不滲透其他的防火墻實(shí)現(xiàn)類型，大大降低了攻擊進(jìn)行的速度。同單目壁壘主機(jī)一樣，多目壁壘主機(jī)也允許網(wǎng)絡(luò)管理員實(shí)施 NAT。 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 6 頁 圖 1-3 雙目目壁壘主機(jī) 4.DMZ(屏蔽子網(wǎng)防火墻 ) DMZ(Demilitarized Zone 非軍事化區(qū)域 )(圖 1-4)也被稱作屏蔽子網(wǎng)防火墻，它在Internet 和你的網(wǎng)絡(luò) 之間建立了一個(gè)相當(dāng)安全的空間。它在定義時(shí)使用壁壘主機(jī)支持鏈路級(jí)和應(yīng)用級(jí)網(wǎng)關(guān)，在這個(gè)配置中，所有公共的可訪問的設(shè)備都被放在這個(gè)區(qū)域中。然后，這個(gè) DMZ 像一個(gè)小的隔離的網(wǎng)絡(luò)一樣工作，安置于 Internet 和內(nèi)部網(wǎng)絡(luò)之間。這樣的好處在于，黑客必須破壞三個(gè)分離的設(shè)備而且不被發(fā)現(xiàn)才能接近網(wǎng)絡(luò)；內(nèi)部網(wǎng)絡(luò)不會(huì)被暴露；內(nèi)部用戶不能穿越壁壘主機(jī)而訪問到 Internet。 圖 1-4 數(shù)據(jù)避開雙主機(jī)防火墻 第二章 陳龍公司網(wǎng)絡(luò)安全需求分析 2.1 公司網(wǎng)絡(luò)安全需求分析 公司的網(wǎng)絡(luò)現(xiàn)狀 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 7 頁 公司采用固定 IP 地址接入互連網(wǎng)，網(wǎng)絡(luò)拓 撲如圖 2-1。公司一共有 2 個(gè)工作組，為全交換式的工作組網(wǎng)絡(luò)，工作組 1 是 1 臺(tái) Web 服務(wù)器和 1 臺(tái) FTP 服務(wù)器分別向外部用戶和內(nèi)部用戶提供 Web 服務(wù)和 Ftp 服務(wù)；工作組 2 是公司的內(nèi)部用戶。 2 個(gè)工作組交換機(jī)通過一個(gè)總的節(jié)點(diǎn)交換機(jī)連接到代理服務(wù)器再連接到 Internet。 圖 2-1 公司網(wǎng)絡(luò)拓?fù)?2.2 公司網(wǎng)絡(luò)存在的風(fēng)險(xiǎn) 由于企業(yè)網(wǎng)絡(luò)由內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和企業(yè)廣域網(wǎng)組成，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，威脅主要來自：病毒的侵襲、黑客的非法闖入、數(shù)據(jù) 竊聽 和攔截、拒絕服務(wù)、內(nèi)部網(wǎng)絡(luò)安全、電子商務(wù)攻擊、惡意掃描、密碼破解、數(shù)據(jù)篡改 、垃圾郵件、地址欺騙和基礎(chǔ)設(shè)施破壞等。 下面來分析幾個(gè)典型的網(wǎng)絡(luò)攻擊方式： 1.病毒的侵襲 幾乎有計(jì)算機(jī)的地方，就有出現(xiàn)計(jì)算機(jī)病毒的可能性。計(jì)算機(jī)病毒通常隱藏在文件或程序代碼內(nèi)，伺機(jī)進(jìn)行自我復(fù)制，并能夠通過網(wǎng)絡(luò)、磁盤、光盤等諸多手段進(jìn)行傳播。正因?yàn)橛?jì)算機(jī)病毒傳播速度相當(dāng)快、影響面大，所以它的危害最能引起人們的關(guān)注。 病毒的 毒性 不同，輕者只會(huì)玩笑性地在受害機(jī)器上顯示幾個(gè)警告信息，重則有可能破壞或危及個(gè)人計(jì)算機(jī)乃至整個(gè)企業(yè)網(wǎng)絡(luò)的安全 。 有些黑客會(huì)有意釋放病毒來破壞數(shù)據(jù)，而大部分病毒 是在不經(jīng)意之間被擴(kuò)散出四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 8 頁 去的。員工在不知情的情況下打開了已感染病毒的電子郵件附件或下載了帶有病毒的文件，這導(dǎo)致了病毒的傳播。這些病毒會(huì)從一臺(tái)個(gè)人計(jì)算機(jī)傳播到另一臺(tái)，因而很難從某一中心點(diǎn)對(duì)其進(jìn)行檢測(cè)。 任何類型的網(wǎng)絡(luò)免受病毒攻擊最保險(xiǎn)和最有效的方法是對(duì)網(wǎng)絡(luò)中的每一臺(tái)計(jì)算機(jī)安裝防病毒軟件，并定期對(duì)軟件中的病毒定義進(jìn)行更新。值得用戶信賴的防病毒軟件包括 Symantec、 Norton 和 McAfee 等。然而，如果沒有 憂患意識(shí) ，很容易陷入 盲從殺毒軟件 的誤區(qū)。 因此，光有工具不行，還必須在意識(shí)上加強(qiáng) 防范，并且注重操作的正確性；重要的是在企業(yè)培養(yǎng)集體防毒意識(shí)，部署統(tǒng)一的防毒策略，高效、及時(shí)地應(yīng)對(duì)病毒的入侵 。 2.黑客的非法闖入 隨著越來越多黑客案件的報(bào)道，企業(yè)不得不意識(shí)到黑客的存在。黑客的非法闖入是指黑客利用企業(yè)網(wǎng)絡(luò)的安全漏洞，不經(jīng)允許非法訪問企業(yè)內(nèi)部網(wǎng)絡(luò)或數(shù)據(jù)資源，從事刪除、復(fù)制甚至毀壞數(shù)據(jù)的活動(dòng)。一般來說，黑客常用的入侵動(dòng)機(jī)和形式可以分為兩種。 黑客通過尋找未設(shè)防的路徑進(jìn)入網(wǎng)絡(luò)或個(gè)人計(jì)算機(jī)，一旦進(jìn)入，他們便能夠竊取數(shù)據(jù)、毀壞文件和應(yīng)用、阻礙合法用戶使用網(wǎng)絡(luò)，所有這些都會(huì)對(duì)企業(yè)造成危害 。黑客非法闖入將具備企業(yè)殺手的潛力，企業(yè)不得不加以謹(jǐn)慎預(yù)防。 防火墻是防御黑客攻擊的最好手段。位于企業(yè)內(nèi)部網(wǎng)與外部之間的防火墻產(chǎn)品能夠?qū)λ衅髨D進(jìn)入內(nèi)部網(wǎng)絡(luò)的流量進(jìn)行監(jiān)控。不論是基于硬件還是軟件的防火墻都能識(shí)別、記錄并阻塞任何有非法入侵企圖的可疑的網(wǎng)絡(luò)活動(dòng)。硬件防火墻產(chǎn)品應(yīng)該具備以下先進(jìn)功能： （ 1） 狀態(tài)檢查 :在數(shù)據(jù)包通過防火墻時(shí)對(duì)數(shù)據(jù)進(jìn)行檢查，以確定是否允許進(jìn)入局域網(wǎng)絡(luò)。 （ 2） 流量控制 :根據(jù)數(shù)據(jù)的重要性管理流入的數(shù)據(jù)。 （ 3） 虛擬專用網(wǎng) (VPN)技術(shù) :使遠(yuǎn)程用戶能夠安全地連接局域 網(wǎng)。 （ 4） Java、 ActiveX 以及 Cookie 屏蔽 :只允許來自可靠 Web 站點(diǎn)上的應(yīng)用程序運(yùn)行。 （ 5） 代理服務(wù)器屏蔽 (Proxyblocking):防止局域網(wǎng)用戶繞過互聯(lián)網(wǎng)過濾系統(tǒng) 。 （ 6） 電子郵件發(fā)信監(jiān)控 (Outgoinge-mailscreening):能夠阻塞帶有特定詞句電子郵件的發(fā)送，以避免企業(yè)員工故意或無意的泄露某些特定信息。 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 9 頁 3.數(shù)據(jù) 竊聽 和攔截 這種方式是直接或間接截獲網(wǎng)絡(luò)上的特定數(shù)據(jù)包并進(jìn)行分析來獲取所需信息。一些企業(yè)在與第三方網(wǎng)絡(luò)進(jìn)行傳輸時(shí)，需要采取有效措施來 防止重要數(shù)據(jù)被中途截獲，如用戶信用卡號(hào)碼等。加密技術(shù)是保護(hù)傳輸數(shù)據(jù)免受外部竊聽的最好辦法，其可以將數(shù)據(jù)變成只有授權(quán)接收者才能還原并閱讀的編碼。 進(jìn)行加密的最好辦法是采用虛擬專用網(wǎng) (VPN)技術(shù)。一條 VPN 鏈路是一條采用加密隧道 (tunnel)構(gòu)成的遠(yuǎn)程安全鏈路，它能夠?qū)?shù)據(jù)從企業(yè)網(wǎng)絡(luò)中安全地輸送出去。兩家企業(yè)可以通過 Internet 建立起 VPN 隧道。一個(gè)遠(yuǎn)程用戶也可以通過建立一條連接企業(yè)局域網(wǎng)的 VPN 鏈路來安全地訪問企業(yè)內(nèi)部數(shù)據(jù)。 4.拒絕服務(wù) 這類攻擊一般能使單個(gè)計(jì)算機(jī)或整個(gè)網(wǎng)絡(luò)癱 瘓，黑客使用這種攻擊方式的意圖很明顯，就是要阻礙合法網(wǎng)絡(luò)用戶使用該服務(wù)或破壞正常的商務(wù)活動(dòng)。例如，通過破壞兩臺(tái)計(jì)算機(jī)之間的連接而阻止用戶訪問服務(wù)；通過向企業(yè)的網(wǎng)絡(luò)發(fā)送大量信息而堵塞合法的網(wǎng)絡(luò)通信，最后不僅摧毀網(wǎng)絡(luò)架構(gòu)本身，也破壞整個(gè)企業(yè)運(yùn)作。 5.內(nèi)部網(wǎng)絡(luò)安全 為特定文件或應(yīng)用設(shè)定密碼保護(hù)能夠?qū)⒃L問限制在授權(quán)用戶范圍內(nèi)。例如，銷售人員不能夠?yàn)g覽企業(yè)人事信息等。但是，大多數(shù)小型企業(yè)無法按照這一安全要求操作，企業(yè)規(guī)模越小，越要求每一個(gè)人承擔(dān)更多的工作。如果一家企業(yè)在近期內(nèi)會(huì)迅速成長(zhǎng)，內(nèi)部網(wǎng)絡(luò)的安 全性將是需要認(rèn)真考慮的問題。 6.電子商務(wù)攻擊 從技術(shù)層次分析，試圖非法入侵的黑客，或者通過猜測(cè)程序?qū)孬@的用戶賬號(hào)和口令進(jìn)行破譯，以便進(jìn)入系統(tǒng)后做更進(jìn)一步的操作；或者利用服務(wù)器對(duì)外提供的某些服務(wù)進(jìn)程的漏洞，獲取有用信息從而進(jìn)入系統(tǒng)；或者利用網(wǎng)絡(luò)和系統(tǒng)本身存在的或設(shè)置錯(cuò)誤引起的薄弱環(huán)節(jié)和安全漏洞實(shí)施電子引誘，以獲取進(jìn)一步的有用信息；或者通過系統(tǒng)應(yīng)用程序的漏洞獲得用戶口令，侵入系統(tǒng)。 除上述威脅企業(yè)網(wǎng)絡(luò)安全的主要因素外，還有如下網(wǎng)絡(luò)安全隱患： 惡意掃描：這種方式是利用掃描工具 (軟件 )對(duì)特定機(jī)器進(jìn)行掃描，發(fā)現(xiàn)漏洞進(jìn)而發(fā)起相應(yīng)攻擊。 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 10 頁 密碼破解：這種方式是先設(shè)法獲取對(duì)方機(jī)器上的密碼文件，然后再設(shè)法運(yùn)用密碼破解工具獲得密碼。除了密碼破解攻擊，攻擊者也有可能通過猜測(cè)或網(wǎng)絡(luò)竊聽等方式獲取密碼。 數(shù)據(jù)篡改：這種方式是截獲并修改網(wǎng)絡(luò)上特定的數(shù)據(jù)包來破壞目標(biāo)數(shù)據(jù)的完整性。 地址欺騙：這種方式是攻擊者將自身 IP 偽裝成目標(biāo)機(jī)器信任機(jī)器的 IP 地址，以此來獲得對(duì)方的信任。 垃圾郵件 主要表現(xiàn)為黑客利用自己在網(wǎng)絡(luò)上所控制的計(jì)算機(jī)向企業(yè)的郵件服務(wù)器發(fā)送大量的垃圾郵件，或者利用企業(yè)的郵件服務(wù)器把垃圾郵件發(fā) 送到網(wǎng)絡(luò)上其他的服務(wù)器上。 基礎(chǔ)設(shè)施破壞：這種方式是破壞 DNS 或路由器等基礎(chǔ)設(shè)施，使得目標(biāo)機(jī)器無法正常使用網(wǎng)絡(luò)。 由上述諸多入侵方式可見，企業(yè)可以做的是如何盡可能降低危害程度。除了采用防火墻、數(shù)據(jù)加密以及借助公鑰密碼體制等手段以外，對(duì)安全系數(shù)要求高的企業(yè)還可以充分利用網(wǎng)絡(luò)上專門機(jī)構(gòu)公布的常見入侵行為特征數(shù)據(jù) -通過分析這些數(shù)據(jù)，企業(yè)可以形成適合自身的安全性策略，努力使風(fēng)險(xiǎn)降低到企業(yè)可以接受且可以管理的程度。 2.3 企業(yè)網(wǎng)絡(luò)安全防范分析 要保證系統(tǒng)安全的關(guān)鍵，首先要做到重視安全管理，不要 坐以 待斃 ，可以說，企業(yè)的信息安全，是一個(gè)整體的問題，需要從管理與技術(shù)相結(jié)合的高度，制定與時(shí)俱進(jìn)的整體管理策略，并切實(shí)認(rèn)真地實(shí)施這些策略 ，才能達(dá)到提高企業(yè)信息系統(tǒng)安全性的目的。 因此我們要做到： 風(fēng)險(xiǎn)評(píng)估：要求企業(yè)清楚自身有哪些系統(tǒng)已經(jīng)聯(lián)網(wǎng)、企業(yè)網(wǎng)絡(luò)有哪些弱點(diǎn)、這些弱點(diǎn)對(duì)企業(yè)運(yùn)作都有哪些具體風(fēng)險(xiǎn)，以及這些風(fēng)險(xiǎn)對(duì)于公司整體會(huì)有怎樣的影響。 安全計(jì)劃：包括建立企業(yè)的安全政策，掌握保障安全性所需的基礎(chǔ)技術(shù)，并規(guī)劃好發(fā)生特定安全事故時(shí)企業(yè)應(yīng)該采取的解決方案。企業(yè)網(wǎng)絡(luò)安全的防范策略目的就是決定一個(gè)組織機(jī)構(gòu)怎樣來保護(hù) 自己。 一般來說，安全策略包括兩個(gè)部分：一個(gè)總體的安全策略和具體的規(guī)則。總體四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 11 頁 安全策略制定一個(gè)組織機(jī)構(gòu)的戰(zhàn)略性安全指導(dǎo)方針，并為實(shí)現(xiàn)這個(gè)方針分配必要的人力物力。 計(jì)劃實(shí)施：所有的安全政策，必須由一套完善的管理控制架構(gòu)所支持，其中最重要的要素是要建立完整的安全性解決方案。 技術(shù)與管理不是孤立的， 此技術(shù)與管理是： 物理隔離：即在網(wǎng)絡(luò)建設(shè)的時(shí)候單獨(dú)建立兩套相互獨(dú)立的網(wǎng)絡(luò)，一套用于部門內(nèi)部辦公自動(dòng)化，另一套用于連接到 Internet，在同一時(shí)候，始終只有一塊硬盤處于工作狀態(tài)，這樣就達(dá)到了真正 意義上的物理安全隔離。 遠(yuǎn)程訪問控制：主要是針對(duì)于企業(yè)遠(yuǎn)程撥號(hào)用戶，在內(nèi)部網(wǎng)絡(luò)中配置用戶身份認(rèn)證服務(wù)器。在技術(shù)上通過對(duì)接入的用戶進(jìn)行身份和密碼驗(yàn)證，并對(duì)所有的用戶機(jī)器的MAC 地址進(jìn)行注冊(cè)，采用 IP 地址與 MAC 地址的動(dòng)態(tài)綁定，以保證非授權(quán)用戶不能進(jìn)入。 病毒的防護(hù)：培養(yǎng)企業(yè)的集體防毒意識(shí)，部署統(tǒng)一的防毒策略，高效、及時(shí)地應(yīng)對(duì)病毒的入侵。 防火墻：目前技術(shù)最為復(fù)雜而且安全級(jí)別最高的防火墻是隱蔽智能網(wǎng)關(guān) , 它將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對(duì)互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明 的訪問 , 同時(shí)阻止了外部未授權(quán)訪問對(duì)專用網(wǎng)絡(luò)的非法訪問。一般來說 , 這種防火墻的安全性能很高，是最不容易被破壞和入侵的。 因此，公司的的網(wǎng)絡(luò)安全必須依賴于防火墻，防御外來的侵入。 2.4 陳龍公司安全系統(tǒng)建設(shè)目標(biāo) 隨著公司的發(fā)展，互連網(wǎng)的發(fā)展，一方面，公司的工作站數(shù)量增加且需求或任務(wù)多樣化給管理帶來了更多的麻煩；另一方面，網(wǎng)絡(luò)安全也面臨著更大挑戰(zhàn)。公司原來的網(wǎng)絡(luò)安全方案早已經(jīng)不能滿足新的需求了。現(xiàn)在將公司安全系統(tǒng)建設(shè)目標(biāo)羅列如下： 1.互連網(wǎng)用戶和公司內(nèi)部用戶能夠訪問 Web 服務(wù)器 2.只有內(nèi)部用戶可以訪問 Ftp 服務(wù)器 3.只允許做客戶服務(wù)的員工 (IP 地址范圍為： -0)在工作時(shí)間上互連網(wǎng)瀏覽網(wǎng)頁和收發(fā)郵件 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 12 頁 4.允許出差員工通過 VPN 連接和內(nèi)部網(wǎng)絡(luò)進(jìn)行互相訪問 5.禁止除以上要求外的所有通訊四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 13 頁 第三章 陳龍公司防火墻布置 3 1 陳龍公司防火墻設(shè)計(jì)需求分析 通過公司網(wǎng)絡(luò)了解，公司的網(wǎng)絡(luò)主要由辦公室，財(cái)務(wù)處，科研室，服務(wù)中心，職工就業(yè)中心，公司機(jī)房這六個(gè)部分組成整個(gè)網(wǎng)絡(luò)沒有防火墻設(shè)備，只用一款軟件防火墻，故效率低，抗攻擊力效弱；因?yàn)榫W(wǎng)絡(luò)安全的問題，目前財(cái)務(wù)處不能上網(wǎng)，這使嚴(yán)重影響本部門辦事的效率，沒有充分的利用網(wǎng)絡(luò)給人們帶來的方便和快捷；各個(gè)部門均在同一個(gè)網(wǎng)絡(luò)中，這樣使整個(gè)網(wǎng)絡(luò)在一個(gè)沖突域中，在信息高峰時(shí)間會(huì)導(dǎo)致網(wǎng)絡(luò)阻塞；內(nèi)部是通過使用代理服務(wù)器上網(wǎng)，所有信息都通過服務(wù)器中的兩個(gè)網(wǎng)卡進(jìn)行轉(zhuǎn)發(fā)，這樣會(huì)導(dǎo)致網(wǎng)絡(luò)速度很慢；為了實(shí)現(xiàn)本院網(wǎng)絡(luò)發(fā)展趨勢(shì)，故需在內(nèi)網(wǎng)與外網(wǎng)之間布署一款硬件防火墻來補(bǔ)充目前網(wǎng)絡(luò)面臨的缺點(diǎn) 3 2 防火墻選型 3 2 1 選型類型 防火墻選型的類別： 第一，以需求為導(dǎo)向，選擇最適合本企業(yè)需求的產(chǎn)品。由于防火墻的各項(xiàng)指標(biāo)具有較強(qiáng)的專業(yè)性，因此企業(yè)在選擇時(shí)，有必要把防火墻 的主要指標(biāo)和需求聯(lián)系起來。另外，還要考慮到企業(yè)可承受的性價(jià)比。 第二， 對(duì)于產(chǎn)品的選型，可參考的指標(biāo)來源有廠家提供的技術(shù)白皮書、各種測(cè)評(píng)機(jī)構(gòu)的橫向?qū)Ρ葴y(cè)試報(bào)告，從中可以了解產(chǎn)品的一些基本性能情況。 第三，要完全按照企業(yè)的實(shí)際需求來對(duì)比各種品牌的滿足程度，最好是根據(jù)需求，定制一套解決方案，并對(duì)防火墻在統(tǒng)一測(cè)試條件和測(cè)試環(huán)境下進(jìn)行橫向?qū)Ρ取?第 四 ，了解產(chǎn)品的性能指標(biāo)、性能指標(biāo)主要包括吞吐量、丟包率、延遲、最大并發(fā)連接數(shù)、并發(fā)連接處理速率等。用戶在選擇時(shí)，應(yīng)該根據(jù)自身的網(wǎng)絡(luò)規(guī)模和需求，對(duì)上述幾個(gè)指標(biāo)參數(shù)進(jìn)行詳 細(xì)了解，選擇適合的產(chǎn)品。 因此：我們?cè)诜阑饓x型上必要先了解防火墻的類別。 3 2 2 PIX 防火墻介紹 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 14 頁 強(qiáng)壯的安全特性 Internet 的發(fā)展為 公司 網(wǎng)絡(luò)帶來了更大的安全風(fēng)險(xiǎn)。現(xiàn)有的解決方案如運(yùn)行在應(yīng)用層的基于代理的防火墻具有很多限制條件，包括性能低、需要昂貴的通用平臺(tái)、使用開放系統(tǒng)如 UNIX 時(shí)本身具有安全風(fēng)險(xiǎn)等。 而 Cisco Secure PIX 防火墻能夠提供空前的安全保護(hù)能力，它的保護(hù)機(jī)制的核心是能夠提供面向靜態(tài)連接防火墻功能的自適應(yīng)安全算法（ ASA）。靜態(tài)安全性雖然比較簡(jiǎn)單，但與包 過濾相比，功能卻更加強(qiáng)勁；另外，與應(yīng)用層代理防火墻相比，其性能更高，擴(kuò)展性更強(qiáng)。 ASA 可以跟蹤源和目的地址、傳輸控制協(xié)議（ TCP）序列號(hào)、端口號(hào)和每個(gè)數(shù)據(jù)包的附加 TCP 標(biāo)志。只有存在已確定連接關(guān)系的正確的連接時(shí)，訪問才被允許通過 Cisco Secure PIX 防火墻。這樣做，內(nèi)部和外部的授權(quán)用戶就可以透明地訪問企業(yè)資源，而同時(shí)保護(hù)了內(nèi)部網(wǎng)絡(luò)不會(huì)受到非授權(quán)訪問的侵襲。 另外，實(shí)時(shí)嵌入式系統(tǒng)還能進(jìn)一步提高 Cisco Secure PIX 防火墻系列的安全性。雖然 UNIX 服務(wù)器是廣泛采用公開源代碼的理想開放開發(fā)平 臺(tái)，但通用的操作系統(tǒng)并不能提供最佳的性能和安全性。而專用的 Cisco Secure PIX 防火墻是為了實(shí)現(xiàn)安全、高性能的保護(hù)而專門設(shè)計(jì)。 與 IPsec 互操作的安全 VPN 從傳統(tǒng)上來說，防火墻通過維護(hù)所連接網(wǎng)段之間所有連接的靜態(tài)控制實(shí)現(xiàn)了邊界安全性。目前，越來越多的客戶正在尋求除了提供訪問控制以外，還能提供 VPN 服務(wù)的防火墻。利用 VPN，遠(yuǎn)程用戶或分布在各地的分支機(jī)構(gòu)能夠以更低的成本安全地訪問企業(yè)網(wǎng)，同時(shí)，使用 Internet 訪問可以大大降低與以前的專線或其它專用網(wǎng)絡(luò)相關(guān)的電信費(fèi)用。公司就不需要維護(hù)大 型的 Modem 池和訪問服務(wù)器來處理遠(yuǎn)程的撥號(hào)用戶，而這些都是需要花費(fèi)大量資金并且讓管理員頭痛的事情?，F(xiàn)在，只需要向 ISP 進(jìn)行本地呼叫，用戶就可以通過 Internet 安全的訪問專用的企業(yè) Intranet。 PIX 525 實(shí)現(xiàn)了在 Internet 或所有 IP 網(wǎng)絡(luò)上的安全保密通信。它集成了 VPN的主要功能 - 隧道、數(shù)據(jù)加密、安全性和防火墻，能夠提供一種安全、可擴(kuò)展的平臺(tái)來更好、更經(jīng)濟(jì)高效地使用公共數(shù)據(jù)服務(wù)來實(shí)現(xiàn)遠(yuǎn)程訪問、遠(yuǎn)程辦公和外部網(wǎng)連接。 525可以同時(shí)連接高達(dá) 4 個(gè) VPN 層，為用戶提供完整的 IPsec 標(biāo) 準(zhǔn)實(shí)施方法，其中 IPsec 保證了保密性、完整性和認(rèn)證能力。對(duì)于安全數(shù)據(jù)加密， Cisco 的 IPsec 實(shí)現(xiàn)方法全部支持 56 位數(shù)據(jù)加密標(biāo)準(zhǔn)（ DES）和 168 位三重 DES 算法。 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 15 頁 極端的可靠性 PIX 防火墻提供了空前的可靠性，其平均無故障時(shí)間（ MTBF）超過 60000 小時(shí)。即使是達(dá)到了這樣高的水平，那些 Internet、 Intranet 或 Extranet 連接是企業(yè)生命線的企業(yè)還是認(rèn)識(shí)到了防火墻冗余是一項(xiàng)關(guān)鍵因素。防火墻的每一分鐘停止運(yùn)行都意味著收入、機(jī)會(huì)或關(guān)鍵信息的損失。 Cisco 已經(jīng)創(chuàng)建了配合 PIX 525-UR 使用的故障切換捆綁程序，能夠簡(jiǎn)單、便宜地滿足上述要求。該程序包為企業(yè)提供了特別設(shè)計(jì)在故障切換模式下運(yùn)行的第二個(gè)防火墻，而其價(jià)格僅是標(biāo)準(zhǔn) PIX 525 UR 捆綁件的一小部分。 令人驚奇的靈活性 Cisco Secure PIX 525 防火墻支持各種網(wǎng)絡(luò)接口卡（ NIC）。標(biāo)準(zhǔn) NIC 包括單端口或 4 端口 10/100 快速以太網(wǎng)、千兆位以太網(wǎng)、 4/16 令牌環(huán)和雙連接多模 FDDI 卡。 另外， PIX 525 還提供多種電源選件，用戶可以選擇交流或 48V 直流電源。每一種選件都配有為第二個(gè) 故障切換 PIX 系統(tǒng)準(zhǔn)備的成對(duì)兒產(chǎn)品，從而實(shí)現(xiàn)最高的冗余和高可用性。 主要特性和優(yōu)點(diǎn) Cisco 端到端解決方案的組成部分 - 允許各公司將經(jīng)濟(jì)高效、無縫的網(wǎng)絡(luò)基礎(chǔ)設(shè)施擴(kuò)展到分支機(jī)構(gòu)。 最低的擁有成本 - 安裝、配置簡(jiǎn)單，網(wǎng)絡(luò)中斷時(shí)間更少。另外，允許透明地支持 Internet 多媒體應(yīng)用，不再需要實(shí)際調(diào)整和重新配置每一臺(tái)客戶工作站或 PC 機(jī)。 UNIX 的安全、實(shí)時(shí)和嵌入式系統(tǒng) - 消除了通用 操作系統(tǒng)所帶來的風(fēng)險(xiǎn)，提供了突出的性能。 于標(biāo)準(zhǔn)的虛擬專網(wǎng) - 使管理員可以降低通過 Internet 或其它公共 IP 網(wǎng)絡(luò)將移動(dòng)用戶和遠(yuǎn)程站點(diǎn)與企業(yè)網(wǎng)絡(luò)相連的成本。 適應(yīng)安全算法 - 為所有的 TCP/IP 對(duì)話提供靜態(tài)安全性，以保護(hù)敏感的保密資源。 靜態(tài)故障切換 /熱備用 - 提供高可用性，使網(wǎng)絡(luò)可靠性最大。 網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT） - 節(jié)省寶貴的 IP 地址；擴(kuò)展網(wǎng)絡(luò)地址空間；隱藏 IP 地址，使之不被外部得到。 斷通過代理 - 提供業(yè)界最高的認(rèn)證性能；通過重新使用現(xiàn)有認(rèn)證數(shù)據(jù)庫降 低擁有成本。 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 16 頁 多種網(wǎng)絡(luò)接口卡 - 為 Web 和所有其它的公共訪問服務(wù)器、與不同合作伙伴的多種外部網(wǎng)鏈路、得到保護(hù)的記錄和 URL 過濾服務(wù)器提供強(qiáng)大的安全性。 支持多達(dá) 28 萬個(gè)同時(shí)連接 - 部署很少的防火墻就能極大地提高代理服務(wù)器的性能。 防止拒絕服務(wù)攻擊 - 保護(hù)防火墻及其后面的服務(wù)器和客戶機(jī)不受破壞性的黑客攻擊。 支持各種應(yīng)用 - 全面降低防火墻對(duì)網(wǎng)絡(luò)用戶的影響。 Java Applet 過濾 - 使防火墻可以在每個(gè)客戶機(jī)或每個(gè) IP 地址上終止具有潛在危險(xiǎn)的 Java 應(yīng)用。 支持多媒體應(yīng)用 - 降低了支持這些協(xié)議所需要的管理時(shí)間和成本。無需特殊的客戶機(jī)配置。 設(shè)置簡(jiǎn)單 - 只需 6 條命令就能實(shí)現(xiàn)一般的安全策略。 緊湊設(shè)計(jì) - 可以更加容易地部署在桌面或更小的辦公設(shè)置中。 URL 過濾 - 當(dāng)與 Websense 企業(yè)軟件配合使用時(shí)，可以提供控制哪些 Web 站點(diǎn)的用戶可以出于計(jì)費(fèi)的目的來訪問和維護(hù)審計(jì)跟蹤數(shù)據(jù)的能力。對(duì) PIX 防火墻性能的影響最小。郵件保護(hù) - 不再需要外部郵件在外圍網(wǎng)絡(luò)中轉(zhuǎn)發(fā)，也防止了外部郵件轉(zhuǎn)發(fā)過程中的拒絕服務(wù)攻擊。 3 2 3 技術(shù)規(guī)范 硬件 處理器： 600MHz Intel Pentium III 隨機(jī)讀寫內(nèi)存：高達(dá) 256 MB 閃存： 16 MB 接口：雙集成 10 Base-T 快速以太網(wǎng)， RJ45 PCI 插槽： 3 個(gè) 控制臺(tái)端口： RJ-45 設(shè)備更新處理：僅使用小型文件傳輸協(xié)議（ TFTP） 故障切換端口： DB-15（ RS 232） 物理指標(biāo) 高度： 3.5 英寸（ 8.89 厘米） 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 17 頁 寬度： 17.5 英寸（ 44.45 厘米） 長(zhǎng)度： 18.25 英寸（ 46.36 厘米） 重量：約 32 磅（ 14.5 千克） 電源需要 自 適應(yīng)： 100 - 240VAC 頻率： 50-60 Hz 電流： 5 - 2.5 安培 工作環(huán)境 工作溫度： -5 - 55C （ -25 - 131F ） 非工作溫度： -25 - 70C （ -13 - 158F ） 工作濕度： 95%相對(duì)濕度（ RH） 工作高度： 3000 米（ 9843 英尺）， 40C （ 104F ） 非工作高度： 4570 米（ 15000 英尺）， 25C （ 77F ） 工作沖擊： 1.14 m/s（ 45 in/s）， 1/2 正弦輸入 非工作沖擊： 30G 工作震動(dòng)： 0.41 Grms2（ 3-500Hz）隨機(jī)輸入 非工作震動(dòng)： 0.41 Grms2（ 3-500Hz）隨機(jī)輸入 熱耗（滿功率使用時(shí)的最壞情況）： 410 BTU/小時(shí)（基于 30W 的 PS） EMI： CE、 VCCI Class II、 FCC、 BCIQ、 Austel 安全認(rèn)證： UL, C-UL, TUV, IEC 950 UL-1950 標(biāo)準(zhǔn)：第三版 TUV EN 60950：第二版， Am. 1-4 陳龍公司防火墻的配置 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 18 頁 圖 3-1 陳龍公司網(wǎng)絡(luò)結(jié)構(gòu)圖 以上是我公司的網(wǎng)絡(luò)結(jié)構(gòu)圖，我公司的網(wǎng)絡(luò)主要由政務(wù)處， 財(cái)務(wù)處，科研室，服務(wù)中心，職員就業(yè)中心，公司機(jī)房這六個(gè)部分組成，整個(gè)網(wǎng)絡(luò)由防火墻，交換機(jī)，服務(wù)器和 PC 組成，通過 cisco pix 525 防火墻與 internet 連接，向電信審請(qǐng)一個(gè)獨(dú)立的公網(wǎng)IP： 2 ,公司機(jī)房和職工就業(yè)中心連接在 PIX525 的 E1 接口，政務(wù)處和財(cái)務(wù)處分別連接在 PIX525的 E2和 3接口，科研室和服務(wù)中心連接在 Pix525 E4接口上所有的服務(wù)器均連接在 PIX525 的 DMZ 區(qū)上 .如下是各個(gè)分區(qū) IP 規(guī)劃 : 公司機(jī)房 : IP:01/2454/24 網(wǎng)關(guān) : DNS 9 Domain:S 職工就業(yè)中心 : IP:0/2400/24 網(wǎng)關(guān) : DNS 9 Domain:S 政務(wù)處 : IP:0/2400/24 網(wǎng)關(guān) : DNS 9 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 19 頁 Domain:S 財(cái)務(wù)處 : IP:0/2400/24 網(wǎng)關(guān) : DNS 9 Domain:S 科研室 : IP:1/2400/24 網(wǎng)關(guān) : DNS 9 Domain:S 服務(wù)中心 : IP:0/240/24 網(wǎng)關(guān) : DNS 9 Domain:S DMZ: DNS server: (DC,RADIUS,公司業(yè)務(wù)系統(tǒng) ,) IP: /24 網(wǎng)關(guān) : DNS 9 Domain:S WEB server IP:/24 網(wǎng)關(guān) : DNS 9 Domain:S PIX : E0(outside): 2 /28 E1(xuechuang) /24 E2(jiaowu)/24 E3(chaiwu)/24 E4(jiaohu)/24 E5(DMZ)/24 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 20 頁 陳龍公司防火墻連接 圖 3-2 PIX 防火墻從外觀上和路由器差不多。（如圖 3-2）正面沒有任何接口，只顯示指示燈。所有的接口都在 PIX 防火墻的背面。（如圖 3-3） 圖 3-3 大家會(huì)發(fā)現(xiàn)該設(shè)備接口很多，從 RJ45 到 USB 接口，從顯示器接口到電源接口。我們進(jìn)一步放大背面各個(gè)接口可以看得更加清晰。（如圖 3-4） 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 21 頁 圖 3-4 可以根據(jù)圖中的指示找到對(duì)應(yīng)的接口，當(dāng)然默認(rèn)情況下 只有這些接口， 在公司我又增加了三張網(wǎng)卡 。我們用到最多的是 console 口（控制臺(tái)）和 六個(gè) RJ45 網(wǎng)線接口。安裝 PIX 和安裝普通的路由器和交換機(jī)一樣，用鑼釘將設(shè)備固定在 本院的 機(jī)柜上即可，同時(shí)注意散熱和 UPS 不間斷電源的供應(yīng)。 一臺(tái)新的 PIX 防火墻不經(jīng)過任何配置是無法投入使用的。我們需要用 CONSOLE 線連接設(shè)備的 CONSOLE 口并根據(jù)實(shí)際應(yīng)用環(huán)境進(jìn)行設(shè)置，登錄 PIX 的管理界面很簡(jiǎn)單，將CONSOLE 線連接控制臺(tái)接口即可。 圖 3-5 3 3 陳龍公司防火墻基本配置 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 22 頁 防火墻命名 Pixenable Pix#configure terminal Pix(config)#hostname Pix525 Pix525（ config） #enable password cisco enctypted Pix525（ config） # password cisco enctypted Pix525（ config） # domain-name 配置防火墻接口的名字，并指定安全級(jí)別（ nameif）： Pix525(config)#nameif Ethernet0 outside security 0 Pix525(config)#nameif Ethernet1 jichuang security 30 Pix525(config)#nameif Ethernet2 jiaowu security 100 Pix525(config)#nameif Ethernet3 chaiwu security 70 Pix525(config)#nameif Ethernet4 jiaohu security 30 Pix525(config)#nameif DMZ security 50 配置以太口參數(shù)（ interface）： Pix525(config)#interface Ehternet0 auto Pix525(config)#interface Ehternet1 100full Pix525(config)#interface Ehternet2 100full Pix525(config)#interface Ehternet3 100full Pix525(config)#interface Ehternet4 auto Pix525(config)#interface DMZ auto 配置內(nèi)外網(wǎng)卡的 IP 地址（ ip address）： Pix525(config)#ip address jichuang Pix525(config)#ip address jiaowu Pix525(config)#ip address chaiwu Pix525(config)#ip address jiaohu Pix525(config)#ip address outside 2 52 Pix525(config)#ip address DMZ 配置 fixup 協(xié)議： 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 23 頁 fixup 命令作用是啟用，禁止，改變一個(gè)服務(wù)或協(xié)議通過 pix 防火墻，由 fixup 命令指定的端口是 pix 防火墻要偵聽的服務(wù)。 Pix525(config)#no fixup protocol smtp 80 Pix525(config)#fixup protocol dns maximum-length 512 Pix525(config)#fixup protocol ftp 21 Pix525(config)#fixup protocol h323 h225 1720 Pix525(config)#fixup protocol h323 ras 1718-1719 Pix525(config)#fixup protocol http 80 Pix525(config)#fixup protocol ils 389 Pix525(config)#fixup protocol rsh 514 Pix525(config)#fixup protocol rtsp 554 Pix525(config)#fixup protocol sip 5060 Pix525(config)#fixup protocol sip udp 5060 Pix525(config)#fixup protocol skinny 2000 Pix525(config)#fixup protocol smtp 25 Pix525(config)#fixup protocol sqlnet 1521 Pix525(config)#fixup protocol tftp 69 路由配置 Pix525(config)#Route outside interface Pix525(config)#Route jichuang 2 Pix525(config)#Route chaiwu 2 Pix525(config)#Route jiaohu 2 Pix525(config)#Route jiaowu 2 Pix525(config)#Route DMZ 2 VPN IPSEC 配置 Pix525(config)#aaa-server TACACS+ protocol tacacs Pix525(config)#aaa-server RADIUS protocol radius 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 24 頁 Pix525(config)#aaa-server LOCAL protocol local 服務(wù)器使用的協(xié)議 Pix525(config)#Sysopt connection permit-ipsec 對(duì)于所有 IPSec 流量不檢測(cè)允許其通過 Pix525(config)#crypto ipsec transform-set aaades esp-des esp-md5-hmac 定義一個(gè)變換集 aaades Pix525(config)#crypto dynamic-map dynomap 10 set transform-set aaades 把變換集 aaades 添加到動(dòng)態(tài)加密策略 dynomap Pix525(config)#crypto map vpnpeer 20 ipsec-isakmp dynamic dynomap 把動(dòng)態(tài)加密策略綁定到 vpnpeer 加密圖 Pix525(config)#crypto map vpnpeer client authentication RADIUS 定義需要驗(yàn)證服務(wù)器。 Pix525(config)#crypto map vpnpeer client configuration address initiate 定義給每個(gè)客戶端分配 IP 地址 Pix525(config)#crypto map vpnpeer client configuration address respond 定義 PIX 防火墻接受來自任何 IP 的請(qǐng)求 Pix525(config)#crypto map vpnpeer interface outside 把動(dòng)態(tài)加密圖 vpnpeer 綁定到 outside 口 Pix525(config)#isakmp enable outside 在 outside 口啟用 isakmp Pix525(config)#isakmp key 1234 address netmask 定義共享密匙，并接受任何地址的請(qǐng)求。 Pix525(config)#isakmp client configuration address-pool local dialer outside 將 VPN client 地址池綁定到 isakmp Pix525(config)#isakmp policy 10 authentication pre-share 定義 phase 1 使用 pre-shared key 進(jìn)行認(rèn)證 Pix525(config)#isakmp policy 10 encryption des 定義 phase 1 協(xié)商用 DES 加密算法 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 25 頁 Pix525(config)#isakmp policy 10 hash md5 定義 phase 1 協(xié)商用 MD5 散列算法 Pix525(config)#isakmp policy 10 group 2 定義 phase 1 進(jìn)行 IKE 協(xié)商使用 DH group 2 Pix525(config)#isakmp policy 10 lifetime 86400 定義 IKE SA 生存時(shí)間 Pix525(config)#ip local pool dialer 0-00 定義分配給 VPN client 的 IP 地址池 Pix525(config)#vpngroup student0 address-pool dialer 定義 VPN client 撥入使用的 vpngroup 所分配的 IP 地址池 Pix525(config)#vpngroup student0 idle-time 1800 定義 vpngroup 的空閑時(shí)間 Pix525(config)#vpngroup student0 password 1234 定義 vpngroup 的 pre-shared key Pix525(config)#telnet inside Pix525(config)#telnet timeout 5 Pix525(config)#ssh 55 inside Pix525(config)#ssh timeout 20 Pix525(config)#terminal width 80 Pix525(config)#username vpnuser password vpnuser 在 PIX 上創(chuàng)建一個(gè)用戶，用戶名密碼都為 vpnuser 防火墻 NAT 與 ACL 配置 配置 WEB 服務(wù)器被訪問 Pix525(config)#static(inside,outside) tcp 2 www 80 netmask 55 0 0 Pix525(config)#static(inside,outside) udp 2 domain donain netmask 55 0 0 Pix525(config)#Conduit permit icmp any any Pix525(config)#Conduit permit tcp host eq www any 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 26 頁 Pix525(config)#conduit permit udp host 2 eq domain any Pix525(config)# Conduit permit ip host eq www any Pix525(config)# Conduit permit ip eq www any 配置辦公網(wǎng)絡(luò)地址轉(zhuǎn)換 Pix525(config)#global(outside) 1 interface Pix525(config)#nat(jichuang) 1 Pix525(config)#nat(jiaowu) 1 Pix525(config)#nat(chaiwu) 1 Pix525(config)#nat(jiaohu) 1 PIX 具有 DHCP 服務(wù)功能 PIX525(config)#ipaddressdhcp PIX525(config)#dhcpdaddress-54 xuechuang PIX525(config)#dhcpdns PIX525(config)# PIX525(config)#dhcpdaddress-54 jiaowu PIX525(config)#dhcpdns PIX525(config)# PIX525(config)#dhcpdaddress-54 jiaohu PIX525(config)#dhcpdns PIX525(config)# 配置日志和保存配置 logging timestamp logging standby logging trap informational logging facility 22 logging host DMZ Pix525(config)#ip audit info action alarm Pix525(config)#ip audit attack action alarm - pix 入侵檢測(cè)的 2 個(gè)命令。當(dāng)有數(shù)據(jù)包具有攻擊或報(bào)告型特征碼時(shí)， pix 將采取報(bào)警動(dòng)作（缺省動(dòng)作），四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 27 頁 向指定的日志記錄主機(jī)產(chǎn)生系統(tǒng)日志消息；此外還可以作出丟棄數(shù)據(jù)包和發(fā)出 tcp 連接復(fù)位 信號(hào)等動(dòng)作，需另外配置。 第四章 防火墻的安全管理和維護(hù) 4.1 日常管理 日常管理是經(jīng)常性的瑣碎工作，以使防火墻保持清潔和安全。為此，需要經(jīng)常去完成的主要工作：數(shù)據(jù)備份、賬號(hào)管理、磁盤空間管理等。 1.數(shù)據(jù)備份 一定要備份防火墻的數(shù)據(jù)。使用一種定期的、自動(dòng)的備份系統(tǒng)為一般用途的機(jī)器做備份。當(dāng)這個(gè)系統(tǒng)正常做完備份之后，最好還能發(fā)送出一封確定信，而當(dāng)它發(fā)現(xiàn)錯(cuò)誤的時(shí)候，也最好能產(chǎn)生一個(gè)明顯不同的信息。 為什么只是在錯(cuò)誤發(fā)生的時(shí)候送出一封信就好了呢 ?如果這個(gè)系統(tǒng)只在有錯(cuò)誤的時(shí)候產(chǎn)生一封信，或許就有 可能不會(huì)注意到這個(gè)系統(tǒng)根本就沒有運(yùn)作。那為什么需要明顯不同的信息呢 ?如果備份系統(tǒng)正常和執(zhí)行失敗時(shí)產(chǎn)生的信息很類似。那么習(xí)慣于忽略成功信息的人，也有可能會(huì)忽略失敗信息。理想的情況是有一個(gè)程序檢查備份有沒有執(zhí)行，并在備份沒有執(zhí)行的時(shí)候產(chǎn)生一個(gè)信息。 2.賬號(hào)管理 賬號(hào)的管理。包括增加新賬號(hào)、刪除舊賬號(hào)及檢查密碼期限等，是最常被忽略的日常管理工作。在防火墻上，正確的增加新賬號(hào)、迅速地刪除舊賬號(hào)以及適時(shí)地變更密碼，絕對(duì)是一項(xiàng)非常重要的工作。 建立一個(gè)增加賬號(hào)的程序，盡量使用一個(gè)程序增加賬號(hào)。即使防火墻系 統(tǒng)上沒有多少用戶，但每一個(gè)用戶都可能是一個(gè)危險(xiǎn)。一般人都有一個(gè)毛病，就是漏掉一些步驟，或在過程中暫停幾天。如果這個(gè)空檔正好碰到某個(gè)賬號(hào)沒有密碼，入侵者就很容易四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 28 頁 進(jìn)來了。 賬號(hào)建立程序中一定要標(biāo)明賬號(hào)日期，以及每隔一階段就自動(dòng)檢查賬號(hào)。雖然不需要自動(dòng)關(guān)閉賬號(hào)，但是需要自動(dòng)通知那些賬號(hào)超過期限的人?？赡艿脑挘O(shè)置一個(gè)自動(dòng)系統(tǒng)監(jiān)控這些賬號(hào)。這可以在 UNIX 系統(tǒng)上產(chǎn)生賬號(hào)文件，然后傳送到其他的機(jī)器上，或者是在各臺(tái)機(jī)器上產(chǎn)生賬號(hào)，自動(dòng)把這些賬號(hào)文件拷貝到 UNIX 上，再檢查它們。 如果系統(tǒng)支持密碼期限的功能，應(yīng)該 把該功能打開。選擇稍微長(zhǎng)一點(diǎn)的期限，譬如說三到六個(gè)月。如果密碼有效期太短，例如一個(gè)月，用戶可能會(huì)想盡辦法躲避期限，也就無法在安全防護(hù)上得到真正的收益。同理如果密碼期限功能不能保證用戶在賬號(hào)被停用前看到密碼到期通知，就不要開啟這個(gè)功能。否則，用戶會(huì)很不方便，而且也會(huì)冒著鎖住急需使用機(jī)器的系統(tǒng)管理者的風(fēng)險(xiǎn)。 3.磁盤空間管理 數(shù)據(jù)總是會(huì)塞滿所有可用的空間，即使在幾乎沒有什么用戶的機(jī)器上也一樣。人們總是向文件系統(tǒng)的各個(gè)角落丟東西，把各種數(shù)據(jù)轉(zhuǎn)存到文件系統(tǒng)的臨時(shí)地址中。這樣引起的問題可能常常會(huì)超出人們的想象 。暫且不說可能需要使用那些磁盤空間，只是這種碎片就容易造成混亂，使事件的處理更復(fù)雜。于是有人可能會(huì)問：那是上次安裝新版程序留下來的程序嗎 ?是入侵者放進(jìn)來的程序嗎 ?那真的是一個(gè)普通的數(shù)據(jù)文件嗎 ?是一些對(duì)入侵者有特殊意義的東西 ?等等，不幸的是能自動(dòng)找出這種“垃圾”的方法沒有，尤其是可以在磁盤上到處寫東西的系統(tǒng)管理者。因此，最好有一個(gè)人定期檢查磁盤，如果讓每一個(gè)新任的系統(tǒng)管理者都去遍歷磁盤會(huì)特別有效。他們將會(huì)發(fā)現(xiàn)管理員忽視的東西。 在大多數(shù)防火墻中，主要的磁盤空間問題會(huì)被日志記錄下來。這些記錄應(yīng)該自動(dòng)進(jìn)行，自 動(dòng)重新開始，這些數(shù)據(jù)最好把它壓縮起來。 Trimlon 程序能夠使這個(gè)處理程序自動(dòng)化。當(dāng)系統(tǒng)管理者要截?cái)嗷虬嵋朴涗洉r(shí)，一定要停止程序或讓它們暫停記錄，如果在截?cái)嗷虬嵋朴涗洉r(shí)，還有程序在嘗試寫入記錄文件，顯然就會(huì)有問題。事實(shí)上，即使只是有程序開啟了文件準(zhǔn)備稍后寫入，也可能會(huì)惹上麻煩。 4.2 監(jiān)視系統(tǒng) 對(duì)防火墻的維護(hù)、監(jiān)視系統(tǒng)是維護(hù)防火墻的重點(diǎn)，它可以告訴系統(tǒng)管理者以下的問題： 四川科技職業(yè)學(xué)院畢業(yè)設(shè)計(jì) (論文 ) 第 29 頁 （ 1）防火墻已岌岌可危了嗎 ? （ 2）防火墻能提供用戶需求的服務(wù)嗎 ? （ 3）防火墻還在正常運(yùn)作嗎 ? （ 4）嘗試攻擊 防火墻的是哪些類型的攻擊 ? 要回答這幾個(gè)問題，首先應(yīng)該知道什么是防火墻的正常工作狀態(tài)。 1.專用設(shè)備的監(jiān)視 雖然大部分的監(jiān)視工作都是利用防火墻上現(xiàn)成的工具或記錄數(shù)據(jù)，但是也可能會(huì)覺得如果有一些專用的監(jiān)視設(shè)備會(huì)很方便。例如，可能需要在周圍網(wǎng)絡(luò)上放一個(gè)監(jiān)視站，以便確定通過的都是預(yù)料中的數(shù)據(jù)包。可以使用有網(wǎng)絡(luò)窺視軟件包的一般計(jì)算機(jī)，也可以使用特殊用途的網(wǎng)絡(luò)檢測(cè)器。 如何確定這一臺(tái)監(jiān)視機(jī)器不會(huì)被入侵者利用呢 ?事實(shí)上，最好根本不要讓入侵者知道它的存在。在某些網(wǎng)絡(luò)硬件設(shè)備上，只要利用一些技術(shù)和一對(duì)斷線器 (wire cutter)取消網(wǎng)絡(luò)接口的傳輸功能，就可以使這臺(tái)機(jī)器無法被檢測(cè)到，也很難被入侵者利用。如果有操作系統(tǒng)的原始程序，也可以從那里取消傳輸功