企業(yè)網(wǎng)絡(luò)安全解決方案的設(shè)計(jì)畢業(yè)論文.doc

摘 要 計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展和技術(shù)的提高給網(wǎng)絡(luò)的安全帶來(lái)了很大的沖擊 Internet 的 安全成了新信息安全的熱點(diǎn) 網(wǎng)絡(luò)安全 是計(jì)算機(jī)信息系統(tǒng)安全的一個(gè)重要方面 如同打開(kāi)了的潘多拉魔盒 計(jì)算機(jī)系統(tǒng)的互聯(lián) 在大大擴(kuò)展信息資源的共享空間的 同時(shí) 也將其本身暴露在更多惡意攻擊之下 如何保證網(wǎng)絡(luò)信息存儲(chǔ) 處理的安全 和信息傳輸安全的問(wèn)題 就是我們所謂的計(jì)算機(jī)網(wǎng)絡(luò)安全 信息安全是指防止信息 財(cái)產(chǎn)被故意的或偶然的非法授權(quán)泄露 更改 破壞或使信息被非法系統(tǒng)辯識(shí) 控制 確保信息的保密性 完整性 可用性 可控性 信息安全包括操作系統(tǒng)安全 數(shù)據(jù) 庫(kù)安全 網(wǎng)絡(luò)安全 病毒防護(hù) 訪(fǎng)問(wèn)控制 加密和鑒別七個(gè)方面 設(shè)計(jì)一個(gè)安全網(wǎng) 絡(luò)系統(tǒng) 必須做到既能有效地防止對(duì)網(wǎng)絡(luò)系統(tǒng)的各種各樣的攻擊 保證系統(tǒng)的安全 同時(shí)又要有較高的成本效益 操作的簡(jiǎn)易性 以及對(duì)用戶(hù)的透明性和界面的友好性 針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)存在的安全性和可靠性問(wèn)題 本文從網(wǎng)絡(luò)安全的提出及定 義 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)攻擊的一般手段 企業(yè)局域網(wǎng)安全設(shè)計(jì)的原則及 其配置方案提出一些見(jiàn)解 并且進(jìn)行了總結(jié) 就當(dāng)前網(wǎng)絡(luò)上普遍的安全威脅 提出 了網(wǎng)絡(luò)安全設(shè)計(jì)的重要理念和安全管理規(guī)范并針對(duì)常見(jiàn)網(wǎng)絡(luò)故障進(jìn)行分析及解決 以 使企業(yè)中的用戶(hù)在計(jì)算機(jī)網(wǎng)絡(luò)方面增強(qiáng)安全防范意識(shí) 實(shí)現(xiàn)了企業(yè)局域網(wǎng)的網(wǎng)絡(luò)安 全 關(guān)鍵詞 網(wǎng)絡(luò)安全 路由器 防火墻 交換機(jī) VLAN Abstract The development of computer networks and technologies to enhance network security is a big blow Internet security has become a new hotspot of information security Network security is the security of computer information systems in an important aspect Like opening of the Pandora s Box the computer systems of the Internet greatly expanded information resources sharing space at the same time will be its own exposure to the more malicious attacks under How to ensure that the network of information storage processing and transmission of information security security is the so called computer network security Information security is to prevent information from the property have been deliberately or accidentally leaked authorized illegal altered damage or illegal information system identification control ensure confidentiality integrity availability controllable Information security including the safety of the operating system database security network security virus protection access control encryption and identification of seven areas Design of a network security system which must be done to effectively prevent the network all of the attacks guarantee the safety of the system and also have a higher cost effectiveness operational simplicity and transparent to the user interface and friendly Computer network system of security and reliability problems the paper from the network security and the proposed definition Network security risk analysis network attacks generally means Enterprise LAN security design principles and disposition program some insights and it was summed up on the current network wide security threats the network security of the important design concepts and security management norms and against common network fault analysis and solution to enable enterprise customers in the computer network to enhance safety realizing the enterprise LAN network security Key words Network Security Router Firewall Switch VLAN 目 錄 摘 要 I ABSTRACT II 目 錄 III 緒論 1 1 1 網(wǎng)絡(luò)安全概述 2 1 1 網(wǎng)絡(luò)安全的概念 2 1 2 網(wǎng)絡(luò)安全系統(tǒng)的脆弱性 2 1 3 網(wǎng)絡(luò)安全模型 3 1 4 企業(yè)局域網(wǎng)的應(yīng)用 4 2 2 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)分析 5 2 1 物理安全風(fēng)險(xiǎn)分析 5 2 2 網(wǎng)絡(luò)平臺(tái)的安全風(fēng)險(xiǎn)分析 5 2 3 系統(tǒng)的安全風(fēng)險(xiǎn)分析 6 2 4 來(lái)自局域網(wǎng)內(nèi)部的威脅 6 2 5 來(lái)自互聯(lián)網(wǎng)的威脅 7 2 6 網(wǎng)絡(luò)的攻擊手段 7 3 3 企業(yè)局域網(wǎng)的安全設(shè)計(jì)方案 8 3 1 企業(yè)局域網(wǎng)安全設(shè)計(jì)的原則 8 3 2 安全服務(wù) 機(jī)制與技術(shù) 9 3 3 企業(yè)局域網(wǎng)安全配置方案 9 3 3 1 物理安全技術(shù) 9 3 3 2 路由器安全配置 9 3 3 3 防火墻技術(shù)安全配置 12 3 3 4 內(nèi)部網(wǎng)絡(luò)隔離 16 3 3 5 企業(yè)局域網(wǎng)防病毒設(shè)置 19 3 3 6 攻擊檢測(cè)技術(shù)及方法 22 3 3 7 審計(jì)與監(jiān)控技術(shù)實(shí)施 27 3 4 信息安全 30 4 4 企業(yè)局域網(wǎng)安全管理 33 4 1 安全管理規(guī)范 33 4 1 1 安全管理原則 33 4 1 2 安全管理的實(shí)現(xiàn) 33 4 2 常見(jiàn)網(wǎng)絡(luò)故障及解決 33 4 2 1 IP 沖突解決 33 4 2 2 DNS 錯(cuò)誤 34 結(jié)束語(yǔ) 36 致 謝 37 參考文獻(xiàn) 38 緒論 隨著迅速變化的商業(yè)環(huán)境和日益復(fù)雜的網(wǎng)絡(luò) 已經(jīng)徹底改變了目前從事業(yè)務(wù)的 方式 盡管企業(yè)現(xiàn)在依賴(lài)許多種安全技術(shù)來(lái)保護(hù)知識(shí)產(chǎn)權(quán) 但它們經(jīng)常會(huì)遇到這些 技術(shù)所固有的限制因素難題 無(wú)論當(dāng)今的技術(shù)標(biāo)榜有何種能力 它們通常均不能夠集中監(jiān)控和控制其它第三 方異構(gòu)安全產(chǎn)品 大多數(shù)技術(shù)都未能證實(shí)有至關(guān)重要的整合 正常化和關(guān)聯(lián)層 而 它們正是有效安全信息管理基礎(chǔ)的組成部分 尋求尖端技術(shù) 經(jīng)驗(yàn)豐富的人員和最 佳作法與持續(xù)主動(dòng)進(jìn)行企業(yè)安全管理的堅(jiān)實(shí)整合 是當(dāng)今所有 IT 安全專(zhuān)業(yè)人士面臨 的最嚴(yán)峻挑戰(zhàn) 有效的安全信息管理主要關(guān)鍵是要求企業(yè)管理其企業(yè)安全 并同時(shí)在風(fēng)險(xiǎn)與性 能改進(jìn)間做到最佳平衡 擁有良好的主動(dòng)企業(yè)安全管理不應(yīng)是我們所有人難以實(shí)現(xiàn) 的夢(mèng)想 通過(guò)本企業(yè)網(wǎng)絡(luò)安全技術(shù)及解決方案 使企業(yè)網(wǎng)絡(luò)可有效的確保信息資產(chǎn) 保密性 完整性和可用性 本方案為企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全的解決方案 包括原有網(wǎng)絡(luò)系統(tǒng)分析 網(wǎng)絡(luò)安全 風(fēng)險(xiǎn)分析 安全體系結(jié)構(gòu)的設(shè)計(jì)等 本安全解決方案是在不影響該企業(yè)局域網(wǎng)當(dāng)前 業(yè)務(wù)的前提下 實(shí)現(xiàn)對(duì)局域網(wǎng)全面的安全管理 1 將安全策略 硬件及軟件等方法結(jié)合起來(lái) 構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng) 有 效阻止非法用戶(hù)進(jìn)入網(wǎng)絡(luò) 減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn) 2 定期進(jìn)行漏洞掃描 審計(jì)跟蹤 及時(shí)發(fā)現(xiàn)問(wèn)題 解決問(wèn)題 3 通過(guò)入侵檢測(cè)等方式實(shí)現(xiàn)實(shí)時(shí)安全監(jiān)控 提供快速響應(yīng)故障的手段 同時(shí) 具備很好的安全取證措施 4 使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用 使系統(tǒng)重新恢復(fù) 到破壞前的狀態(tài) 最大限度地減少損失 5 在服務(wù)器上安裝相應(yīng)的防病毒軟件 由中央控制臺(tái)統(tǒng)一控制和管理 實(shí)現(xiàn) 全網(wǎng)統(tǒng)一防病毒 1 網(wǎng)絡(luò)安全概述 1 1 網(wǎng)絡(luò)安全的概念 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件 軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù) 不受偶然的 或者惡意的原因而遭到破壞 更改 泄露 系統(tǒng)連續(xù)可靠正常地運(yùn)行 網(wǎng)絡(luò)服務(wù)不 中斷 網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全 從廣義來(lái)說(shuō) 凡是涉及到網(wǎng) 絡(luò)上信息的保密性 完整性 可用性 真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò) 安全的研究領(lǐng)域 從網(wǎng)絡(luò)運(yùn)行和管理者角度說(shuō) 他們希望對(duì)本地網(wǎng)絡(luò)信息的訪(fǎng)問(wèn) 讀寫(xiě)等操作受 到保護(hù)和控制 避免出現(xiàn) 陷門(mén) 病毒 非法存取 拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用 和非法控制等威脅 制止和防御網(wǎng)絡(luò)黑客的攻擊 從社會(huì)教育和意識(shí)形態(tài)角度來(lái)講 網(wǎng)絡(luò)上不健康的內(nèi)容 會(huì)對(duì)社會(huì)的穩(wěn)定和人 類(lèi)的發(fā)展造成阻礙 必須對(duì)其進(jìn)行控制 1 2 網(wǎng)絡(luò)安全系統(tǒng)的脆弱性 計(jì)算機(jī)面臨著黑客 病毒 特洛伊木馬程序 系統(tǒng)后門(mén)和窺探等多個(gè)方面安全 威脅 盡管近年來(lái)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)取得了巨大的進(jìn)展 但計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安 全性 比以往任何時(shí)候都更加脆弱 主要表現(xiàn)在他極易受到攻擊和侵害 他的抗打 擊力和防護(hù)力很弱 其脆弱性主要表現(xiàn)在如下幾個(gè)方面 1 操作系統(tǒng)的安全脆弱性 操作系統(tǒng)不安全 是計(jì)算機(jī)系統(tǒng)不安全的根本原因 2 網(wǎng)絡(luò)系統(tǒng)的安全脆弱性 網(wǎng)絡(luò)安全的脆弱性 使用 TCP IP 協(xié)議的網(wǎng)絡(luò)所提供的 FTP E mail RPC 和 NFS 都包含許多 不安全的因素 計(jì)算機(jī)硬件的故障 由于生產(chǎn)工藝和制造商的原因 計(jì)算機(jī)硬件系統(tǒng)本身有故障 軟件本身的 后門(mén) 軟件本身的 后門(mén) 是軟件公司為了方便自己進(jìn)入而在開(kāi)發(fā)時(shí)預(yù)留設(shè)置 的 一方面為軟件調(diào)試進(jìn)一步開(kāi)發(fā)或遠(yuǎn)程維護(hù)提供了方便 但同時(shí)也為非法 入侵提供了通道 入侵者可以利用 后門(mén) 多次進(jìn)入系統(tǒng) 常見(jiàn)的后門(mén)有修改配置文件 建立系統(tǒng)木馬程序和修改系統(tǒng)內(nèi)核等 軟件的漏洞 軟件中不可避免的漏洞和缺陷 成了黑客攻擊的首選目標(biāo) 典型的如操 作系統(tǒng)中的 BUGS 3 數(shù)據(jù)庫(kù)管理系統(tǒng)的安全脆弱性 大量信息存儲(chǔ)在數(shù)據(jù)庫(kù)中 然而對(duì)這些數(shù)據(jù)庫(kù)系統(tǒng)在安全方面的考慮卻很少 數(shù)據(jù)庫(kù)管理系統(tǒng)安全必須與操作系統(tǒng)的安全相配套 例如 DBMS 的安全級(jí)別是 B2 級(jí) 操作系統(tǒng)的安全級(jí)別也應(yīng)是 B2 級(jí) 但實(shí)踐中往往不是這樣 4 防火墻的局限性 防火墻依然存在著一些不能防范的威脅 例如不能防范不經(jīng)過(guò)防火墻的攻擊 及很難防范網(wǎng)絡(luò)內(nèi)部攻擊及病毒威脅等 5 天災(zāi)人禍 天災(zāi)指不可控制的自然災(zāi)害 如地震 雷擊等 人禍?zhǔn)侵溉藶橐蛩貙?duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)構(gòu)成的威脅 人禍可分為有意的和無(wú)意的 有意的是指人為的惡意攻擊 違紀(jì) 違法和計(jì)算機(jī)犯罪 無(wú)意是指誤操作造成的不 良后果 如文件的誤刪除 誤輸入 安全配置不當(dāng) 用戶(hù)口令選擇不慎 賬號(hào)泄露 或與別人共享 6 其他方面的原因 如環(huán)境和災(zāi)害的影響 計(jì)算機(jī)領(lǐng)域中任何重大的技術(shù)進(jìn)步 都對(duì)安全性構(gòu)成 新的威脅等 總之 系統(tǒng)自身的脆弱和不足 是造成網(wǎng)絡(luò)安全問(wèn)題的內(nèi)部根源 但系統(tǒng)本身 的脆弱性 社會(huì)對(duì)系統(tǒng)的依賴(lài)性這一對(duì)矛盾又將促進(jìn)網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展和進(jìn) 步 1 3 網(wǎng)絡(luò)安全模型 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的概念是相對(duì)的 每一個(gè)系統(tǒng)都具有潛在的危險(xiǎn) 安全具 有動(dòng)態(tài)性 需要適應(yīng)變化的環(huán)境 并能作出相應(yīng)的調(diào)整 以確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的 安全 一個(gè)最常見(jiàn)的安全模型就是 PDRR 模型 PDRR 模型就是 4 個(gè)英文單詞的頭字符 Protection 防護(hù) Detection 檢測(cè) Response 響應(yīng) Recovery 恢復(fù) 這 四個(gè)部分構(gòu)成了一個(gè)動(dòng)態(tài)的信息安全周期 如圖 圖 1 1 網(wǎng)絡(luò)安全模型 安全策略的每一部分包括一組相應(yīng)的安全措施來(lái)實(shí)施一定的安全功能 安全策 略的第一部分就是防御 根據(jù)系統(tǒng)已知的所有安全問(wèn)題做出防御的措施 如打補(bǔ)丁 訪(fǎng)問(wèn)控制 數(shù)據(jù)加密等等 防御作為安全策略的第一個(gè)戰(zhàn)線(xiàn) 安全策略的第二個(gè)戰(zhàn) 線(xiàn)就是檢測(cè) 攻擊者如果穿過(guò)了防御系統(tǒng) 檢測(cè)系統(tǒng)就會(huì)檢測(cè)出來(lái) 這個(gè)安全戰(zhàn)線(xiàn) 的功能就是檢測(cè)出入侵者的身份 包括攻擊源 系統(tǒng)損失等 一旦檢測(cè)出入侵 響 應(yīng)系統(tǒng)開(kāi)始響應(yīng)包括事件處理和其他業(yè)務(wù) 安全策略的最后一個(gè)戰(zhàn)線(xiàn)就是系統(tǒng)恢復(fù) 在入侵事件發(fā)生后 把系統(tǒng)恢復(fù)到原來(lái)的狀態(tài) 每次發(fā)生入侵事件 防御系統(tǒng)都要 更新 保證相同類(lèi)型的入侵事件不能再發(fā)生 所以整個(gè)安全策略包括防御 檢測(cè) 響應(yīng)和恢復(fù) 這四個(gè)方面組成了一個(gè)信息安全周期 1 4 企業(yè)局域網(wǎng)的應(yīng)用 企業(yè)的局域網(wǎng)可以為用戶(hù)提供如下主要應(yīng)用 1 文件共享 辦公自動(dòng)化 WWW 服務(wù) 電子郵件服務(wù) 2 文件數(shù)據(jù)的統(tǒng)一存儲(chǔ) 3 針對(duì)特定的應(yīng)用在數(shù)據(jù)庫(kù)服務(wù)器上進(jìn)行二次開(kāi)發(fā) 比如財(cái)務(wù)系統(tǒng) 4 提供與 Internet 的訪(fǎng)問(wèn) 5 通過(guò)公開(kāi)服務(wù)器對(duì)外發(fā)布企業(yè)信息 發(fā)送電子郵件等 2 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)分析 這個(gè)企業(yè)的局域網(wǎng)是一個(gè)信息點(diǎn)較多的百兆局域網(wǎng)絡(luò)系統(tǒng) 它所聯(lián)接的現(xiàn)有上 百個(gè)信息點(diǎn)為在整個(gè)企業(yè)內(nèi)辦公的各部門(mén)提供了一個(gè)快速 方便的信息交流平臺(tái) 不僅如此 通過(guò)專(zhuān)線(xiàn)與 Internet 的連接 打通了一扇通向外部世界的窗戶(hù) 各個(gè)部 門(mén)可以直接與互聯(lián)網(wǎng)用戶(hù)進(jìn)行交流 查詢(xún)資料等 通過(guò)公開(kāi)服務(wù)器 企業(yè)可以直接 對(duì)外發(fā)布信息或者發(fā)送電子郵件 高速交換技術(shù)的采用 靈活的網(wǎng)絡(luò)互連方案設(shè)計(jì) 為用戶(hù)提供快速 方便 靈活通信平臺(tái)的同時(shí) 也為網(wǎng)絡(luò)的安全帶來(lái)了更大的風(fēng)險(xiǎn) 因此 在原有網(wǎng)絡(luò)上實(shí)施一套完整 可操作的安全解決方案不僅是可行的 而且是 必需的 企業(yè)局域網(wǎng)安全可以從以下幾個(gè)方面來(lái)理解 1 網(wǎng)絡(luò)物理是否安全 2 網(wǎng)絡(luò)平 臺(tái)是否安全 3 系統(tǒng)是否安全 4 企業(yè)局域網(wǎng)本身是否安全 5 與互聯(lián)網(wǎng)連接是否 安全 針對(duì)每一類(lèi)安全風(fēng)險(xiǎn) 結(jié)合實(shí)際情況 我們將具體的分析網(wǎng)絡(luò)的安全風(fēng)險(xiǎn) 2 1 物理安全風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)的物理安全主要是指地震 水災(zāi) 火災(zāi)等環(huán)境事故 電源故障 人為操作 失誤或錯(cuò)誤 設(shè)備被盜 被毀 電磁干擾 線(xiàn)路截獲以及高可用性的硬件 雙機(jī)多 冗余的設(shè)計(jì) 機(jī)房環(huán)境及報(bào)警系統(tǒng) 安全意識(shí)等 它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提 在這個(gè)企業(yè)局域網(wǎng)內(nèi) 由于網(wǎng)絡(luò)的物理跨度不大 只要制定健全的安全管理制度 做好備份 并且加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房的管理 這些風(fēng)險(xiǎn)是可以避免的 2 2 網(wǎng)絡(luò)平臺(tái)的安全風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)結(jié)構(gòu)的安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等 公開(kāi)服務(wù)器面臨的威脅 企業(yè)局域網(wǎng)內(nèi)公開(kāi)服務(wù)器區(qū) WWW EMAIL 等服務(wù)器 作為公司的信息發(fā)布平臺(tái) 一旦不能運(yùn)行后者受到攻擊 對(duì)企業(yè)的聲譽(yù)影響巨大 同時(shí)公開(kāi)服務(wù)器本身要為外 界服務(wù) 必須開(kāi)放相應(yīng)的服務(wù) 每天 黑客都在試圖闖入 Internet 節(jié)點(diǎn) 這些節(jié)點(diǎn) 如果不保持警惕 可能連黑客怎么闖入的都不知道 甚至?xí)蔀楹诳腿肭制渌军c(diǎn) 的跳板 因此 企業(yè)局域網(wǎng)的管理人員對(duì) Internet 安全事故做出有效反應(yīng)變得十分 重要 我們有必要將公開(kāi)服務(wù)器 內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離 避免網(wǎng)絡(luò)結(jié)構(gòu)信 息外泄 同時(shí)還要對(duì)外網(wǎng)的服務(wù)請(qǐng)求加以過(guò)濾 只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng) 主機(jī) 其他的請(qǐng)求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕 整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)和路由狀況 安全的應(yīng)用往往是建立在網(wǎng)絡(luò)系統(tǒng)之上的 網(wǎng)絡(luò)系統(tǒng)的成熟與否直接影響安全 系統(tǒng)成功的建設(shè) 在這個(gè)企業(yè)局域網(wǎng)絡(luò)系統(tǒng)中 只使用了一臺(tái)路由器 作為與 Internet 連結(jié)的邊界路由器 網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)簡(jiǎn)單 具體配置時(shí)可以考慮使用靜態(tài)路 由 這就大大減少了因網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)路由造成的安全風(fēng)險(xiǎn) 2 3 系統(tǒng)的安全風(fēng)險(xiǎn)分析 所謂系統(tǒng)的安全是指整個(gè)局域網(wǎng)網(wǎng)絡(luò)操作系統(tǒng) 網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得 信任 網(wǎng)絡(luò)操作系統(tǒng) 網(wǎng)絡(luò)硬件平臺(tái)的可靠性 對(duì)于中國(guó)來(lái)說(shuō) 恐怕沒(méi)有絕對(duì)安全的 操作系統(tǒng)可以選擇 無(wú)論是 Microsoft 的 Windows NT 或者其他任何商用 UNIX 操作 系統(tǒng) 其開(kāi)發(fā)廠商必然有其 Back Door 我們可以這樣講 沒(méi)有完全安全的操作系 統(tǒng) 但是 我們可以對(duì)現(xiàn)有的操作平臺(tái)進(jìn)行安全配置 對(duì)操作和訪(fǎng)問(wèn)權(quán)限進(jìn)行嚴(yán)格 控制 提高系統(tǒng)的安全性 因此 不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺(tái) 而且必須加強(qiáng)登錄過(guò)程的認(rèn)證 特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證 確保用戶(hù) 的合法性 其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限 將其操作權(quán)限限制在最小的范圍 內(nèi) 2 4 來(lái)自局域網(wǎng)內(nèi)部的威脅 1 應(yīng)用的安全風(fēng)險(xiǎn) 應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的 不斷變化的 其結(jié)果是安全漏洞也不斷增加且隱藏 越來(lái)越深 因此 保證應(yīng)用系統(tǒng)的安全也是一個(gè)隨網(wǎng)絡(luò)發(fā)展不斷完善的過(guò)程 應(yīng)用的安全性涉及到信息 數(shù)據(jù)的安全性 信息的安全性涉及到機(jī)密信息泄露 未經(jīng)授權(quán)的訪(fǎng)問(wèn) 破壞信息完整性 假冒 破壞系統(tǒng)的可用性等 由于這個(gè)企業(yè)局 域網(wǎng)跨度不大 絕大部分重要信息都在內(nèi)部傳遞 因此信息的機(jī)密性和完整性是可 以保證的 對(duì)于有些特別重要的信息需要對(duì)內(nèi)部進(jìn)行保密的可以考慮在應(yīng)用級(jí)進(jìn)行 加密 針對(duì)具體的應(yīng)用直接在應(yīng)用系統(tǒng)開(kāi)發(fā)時(shí)進(jìn)行加密 2 管理的安全風(fēng)險(xiǎn) 管理是網(wǎng)絡(luò)安全中最重要的部分 責(zé)權(quán)不明 管理混亂 安全管理制度不健全 及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn) 管理混亂使得一些員工或管理員隨 便讓一些非本地員工甚至外來(lái)人員進(jìn)入機(jī)房重地 或者員工有意無(wú)意泄漏他們所知 道的一些重要信息 而管理上卻沒(méi)有相應(yīng)制度來(lái)約束 當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò) 受到其它一些安全威脅時(shí) 如內(nèi)部人員的違規(guī)操作等 無(wú)法進(jìn)行實(shí)時(shí)的檢測(cè) 監(jiān) 控 報(bào)告與預(yù)警 同時(shí) 當(dāng)事故發(fā)生后 也無(wú)法提供黑客攻擊行為的追蹤線(xiàn)索及破 案依據(jù) 即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性 所以我們必須對(duì)站點(diǎn)的訪(fǎng)問(wèn)活動(dòng)進(jìn)行 多層次的記錄 及時(shí)發(fā)現(xiàn)非法入侵行為 建立全新的網(wǎng)絡(luò)安全機(jī)制 必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案 因此 最可行的做法是管理制度和網(wǎng)絡(luò)安全解決方案的結(jié)合 3 不滿(mǎn)的內(nèi)部員工 不滿(mǎn)的內(nèi)部員工可能在 WWW 站點(diǎn)上開(kāi)些小玩笑 甚至破壞 不論如何 他們最 熟悉服務(wù)器 小程序 腳本和系統(tǒng)的弱點(diǎn) 例如他們可以傳出至關(guān)重要的信息 泄 露安全重要信息 錯(cuò)誤地進(jìn)入數(shù)據(jù)庫(kù) 刪除數(shù)據(jù)等等 2 5 來(lái)自互聯(lián)網(wǎng)的威脅 1 黑客攻擊 黑客們的攻擊行動(dòng)是無(wú)時(shí)無(wú)刻不在進(jìn)行的 而且會(huì)利用系統(tǒng)和管理上一切可能 利用的漏洞 公開(kāi)服務(wù)器存在漏洞的一個(gè)典型例證 是黑客可以輕易地騙過(guò)公開(kāi)服 務(wù)器軟件 得到服務(wù)器的口令文件并將之送回 黑客侵入服務(wù)器后 有可能修改特 權(quán) 從普通用戶(hù)變?yōu)楦呒?jí)用戶(hù) 一旦成功 黑客可以直接進(jìn)入口令文件 黑客還能 開(kāi)發(fā)欺騙程序 將其裝入服務(wù)器中 用以監(jiān)聽(tīng)登錄會(huì)話(huà) 當(dāng)它發(fā)現(xiàn)有用戶(hù)登錄時(shí) 便開(kāi)始存儲(chǔ)一個(gè)文件 這樣黑客就擁有了他人的帳戶(hù)和口令 這時(shí)為了防止黑客 需要設(shè)置公開(kāi)服務(wù)器 使得它不離開(kāi)自己的空間而進(jìn)入另外的目錄 另外 還應(yīng)設(shè) 置組特權(quán) 不允許任何使用公開(kāi)服務(wù)器的人訪(fǎng)問(wèn) WWW 頁(yè)面文件以外的東西 在這個(gè) 企業(yè)的局域網(wǎng)內(nèi)我們可以綜合采用防火墻技術(shù) 入侵檢測(cè)技術(shù) 訪(fǎng)問(wèn)控制技術(shù)來(lái)保 護(hù)網(wǎng)絡(luò)內(nèi)的信息資源 防止黑客攻擊 2 惡意代碼 惡意代碼不限于病毒 還包括蠕蟲(chóng) 特洛伊木馬 邏輯炸彈和其他未經(jīng)同意的 軟件 所以應(yīng)該加強(qiáng)對(duì)惡意代碼的檢測(cè) 3 病毒的攻擊 計(jì)算機(jī)病毒一直是計(jì)算機(jī)安全的主要威脅 病毒不是獨(dú)立存在的 它隱蔽在其 他可執(zhí)行的程序之中 既有破壞性 又有傳染性和潛伏性 輕則影響機(jī)器運(yùn)行速度 使機(jī)器不能正常運(yùn)行 重則使機(jī)器處于癱瘓 會(huì)給用戶(hù)帶來(lái)不可估量的損失 能在 Internet 上傳播的新型病毒 例如通過(guò) E Mail 傳播的病毒 增加了這種威脅的程 度 2 6網(wǎng)絡(luò)的攻擊手段 一般認(rèn)為 目前對(duì)網(wǎng)絡(luò)的攻擊手段主要表現(xiàn)在 非授權(quán)訪(fǎng)問(wèn) 沒(méi)有預(yù)先經(jīng)過(guò)同意 就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪(fǎng)問(wèn) 如有意避開(kāi)系統(tǒng)訪(fǎng)問(wèn)控制機(jī)制 對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用 或擅自擴(kuò)大權(quán) 限 越權(quán)訪(fǎng)問(wèn)信息 信息泄漏或丟失 指敏感數(shù)據(jù)在有意或無(wú)意中被泄漏出去或丟失 通常包括信 息在傳輸中或者存儲(chǔ)介質(zhì)中丟失 泄漏 或通過(guò)建立隱蔽隧道竊取敏感信息等 破壞數(shù)據(jù)完整性 以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán) 刪除 修改 插入或重發(fā) 某些重要信息 以取得有益于攻擊者的響應(yīng) 惡意修改數(shù)據(jù) 以干擾用戶(hù)的正常使 用 拒絕服務(wù)攻擊 它不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾 改變其正常的作業(yè)流程 執(zhí) 行無(wú)關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓 影響正常用戶(hù)的使用 甚至使合法用戶(hù)被排 斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù) 利用網(wǎng)絡(luò)傳播病毒 通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒 其破壞性大大高于單機(jī)系統(tǒng) 而且用戶(hù)很難防范 3 企業(yè)局域網(wǎng)的安全設(shè)計(jì)方案 本公司有 100 臺(tái)左右的計(jì)算機(jī) 主要使用網(wǎng)絡(luò)的部門(mén)有 生產(chǎn)部 20 財(cái)務(wù)部 15 人事部 8 和信息中心 12 四大部分 如圖 3 1 所示 網(wǎng)絡(luò)基本結(jié)構(gòu)為 整個(gè)網(wǎng)絡(luò)中干部分采用 3 臺(tái) Catalyst 1900 網(wǎng)管型交換機(jī) 分別命名為 Switch1 Switch2 和 Switch3 各交換機(jī)根據(jù)需要下接若干個(gè)集線(xiàn) 器 主要用于非 VLAN 用戶(hù) 一臺(tái) Cisco 2514 路由器 整個(gè)網(wǎng)絡(luò)都通過(guò)路由器 Cisco 2514 與外部互聯(lián)網(wǎng)進(jìn)行連接 圖 3 1 企業(yè)局域網(wǎng)的安全設(shè)計(jì)方案 3 1 企業(yè)局域網(wǎng)安全設(shè)計(jì)的原則 企業(yè)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計(jì) 規(guī)劃時(shí) 應(yīng)遵循以下原則 綜合性 整體性原則 應(yīng)用系統(tǒng)工程的觀點(diǎn) 方法 分析網(wǎng)絡(luò)的安全及具體措 施 安全措施主要包括行政法律手段 各種管理制度 人員審查 工作流程 維護(hù) 保障制度等 以及專(zhuān)業(yè)措施 識(shí)別技術(shù) 存取控制 密碼 低輻射 容錯(cuò) 防病毒 采用高安全產(chǎn)品等 一致性原則 一致性原則主要是指網(wǎng)絡(luò)安全問(wèn)題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期 或 生命周期 同時(shí)存在 制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致 易操作性原則 安全措施需要人為去完成 如果措施過(guò)于復(fù)雜 對(duì)人的要求過(guò) 高 本身就降低了安全性 其次 措施的采用不能影響系統(tǒng)的正常運(yùn)行 分步實(shí)施原則 由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊 隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及 應(yīng)用的增加 網(wǎng)絡(luò)脆弱性也會(huì)不斷增加 一勞永逸地解決網(wǎng)絡(luò)安全問(wèn)題是不現(xiàn)實(shí)的 同時(shí)由于實(shí)施信息安全措施需要相當(dāng)?shù)馁M(fèi)用支出 因此分步實(shí)施 既可滿(mǎn)足網(wǎng)絡(luò)系 統(tǒng)及信息安全的基本需求 亦可節(jié)省費(fèi)用開(kāi)支 多重保護(hù)原則 任何安全措施都不是絕對(duì)安全的 都可能被攻破 但是建立一 個(gè)多重保護(hù)系統(tǒng) 各層保護(hù)相互補(bǔ)充 當(dāng)一層保護(hù)被攻破時(shí) 其它層保護(hù)仍可保護(hù) 信息的安全 可評(píng)價(jià)性原則 如何預(yù)先評(píng)價(jià)一個(gè)安全設(shè)計(jì)并驗(yàn)證其網(wǎng)絡(luò)的安全性 這需要通 過(guò)國(guó)家有關(guān)網(wǎng)絡(luò)信息安全測(cè)評(píng)認(rèn)證機(jī)構(gòu)的評(píng)估來(lái)實(shí)現(xiàn) 3 2 安全服務(wù) 機(jī)制與技術(shù) 安全服務(wù) 控制服務(wù) 對(duì)象認(rèn)證服務(wù) 可靠性服務(wù)等 安全機(jī)制 訪(fǎng)問(wèn)控制機(jī)制 認(rèn)證機(jī)制等 安全技術(shù) 防火墻技術(shù) 病毒防治技術(shù) 攻擊檢測(cè)技術(shù) 審計(jì)監(jiān)控技術(shù)等 在安全的開(kāi)放環(huán)境中 用戶(hù)可以使用各種安全應(yīng)用 安全應(yīng)用由一些安全服務(wù) 來(lái)實(shí)現(xiàn) 而安全服務(wù)又是由各種安全機(jī)制或安全技術(shù)來(lái)實(shí)現(xiàn)的 應(yīng)當(dāng)指出 同一安 全機(jī)制有時(shí)也可以用于實(shí)現(xiàn)不同的安全服務(wù) 3 3 企業(yè)局域網(wǎng)安全配置方案 3 3 1 物理安全技術(shù) 保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提 它主要包括三個(gè)方面 環(huán)境安全 對(duì)系統(tǒng)所在環(huán)境的安全保護(hù) 如區(qū)域保護(hù)和災(zāi)難保護(hù) 設(shè)備安全 主要包括設(shè)備的防盜 防毀 防電磁信息輻射泄漏 防止線(xiàn)路截獲 抗電磁干擾及電源保護(hù)等 媒體安全 包括媒體數(shù)據(jù)的安全及媒體本身的安全 3 3 2 路由器安全配置 作為企業(yè)局域網(wǎng)與外部 Internet 互聯(lián)網(wǎng)絡(luò)連接的第一關(guān) 路由器的配置是很重 要的 既要保證網(wǎng)絡(luò)的暢通 也不能忽略網(wǎng)絡(luò)的安全性而只取其一 我們所使用的 是 Cisco 2514 路由器 因此 除了對(duì)路由器與 Internet 外網(wǎng)連接配置外 我們 對(duì)路由器還采用了如下安全配置 1 路由器網(wǎng)絡(luò)服務(wù)安全配置 a 禁止 CDP Cisco Discovery Protocol Router Config no cdp run Router Config if no cdp enable b 禁止其他的 TCP UDP Small 服務(wù) Router Config no service tcp small servers Router Config no service udp small servers c 禁止 Finger 服務(wù) Router Config no ip finger Router Config no service finger d 禁止 HTTP 服務(wù) Router Config no ip http server 啟用了 HTTP 服務(wù)則需要對(duì)其進(jìn)行安全配置 設(shè)置用戶(hù)名和密碼 采用訪(fǎng)問(wèn)列表 進(jìn)行控制 e 禁止 BOOTP 服務(wù) Router Config no ip bootp server f 禁止 IP Source Routing Router Config no ip source route g 禁止 IP Directed Broadcast Router Config no ip directed broadcast h 禁止 IP Classless Router Config no ip classless i 禁止 ICMP 協(xié)議的 IP Unreachables Redirects Mask Replies Router Config if no ip unreacheables Router Config if no ip redirects Router Config if no ip mask reply j 明確禁止不使用的端口 Router Config interface eth0 3 Router Config shutdown 2 路由器路由協(xié)議安全配置 a 啟用 IP Unicast Reverse Path Verification 它能夠檢查源 IP 地址的準(zhǔn) 確性 從而可以防止一定的 IP Spooling b 配置 uRPF uRPF 有三種方式 strict 方式 ACL 方式和 loose 方式 在接 入路由器上實(shí)施時(shí) 對(duì)于通過(guò)單鏈路接入網(wǎng)絡(luò)的用戶(hù) 建議采用 strict 方式 對(duì)于 通過(guò)多條鏈路接入到網(wǎng)絡(luò)的用戶(hù) 可以采用 ACL 方式和 loose 方式 在出口路由器 上實(shí)施時(shí) 采用 loose 方式 Strict 方式 Router config t 啟用 CEF Router Config ip cef 啟用 Unicast Reverse Path Verification Router Config interface eth0 1 Router Config if ip verify unicast reverse path ACL 方式 interface pos1 0 ip verify unicast reverse path 190 access list 190 permit ip customer network customer network mask any access list 190 deny ip any any log 這個(gè)功能檢查每一個(gè)經(jīng)過(guò)路由器的數(shù)據(jù)包的源地址 若是不符合 ACL 的 路由 器將丟棄該數(shù)據(jù)包 Loose 方式 interface pos 1 0 ip ver unicast source reachable via any 這個(gè)功能檢查每一個(gè)經(jīng)過(guò)路由器的數(shù)據(jù)包 在路由器的路由表中若沒(méi)有該數(shù)據(jù) 包源 IP 地址的路由 路由器將丟棄該數(shù)據(jù)包 2 啟用 OSPF 路由協(xié)議的認(rèn)證 默認(rèn)的 OSPF 認(rèn)證密碼是明文傳輸?shù)?建議啟用 MD5 認(rèn)證 并設(shè)置一定強(qiáng)度密鑰 key 相 對(duì)的路由器必須有相同的 Key c RIP 協(xié)議的認(rèn)證 只有 RIP V2 支持 RIP 1 不支持 建議啟用 RIP V2 并 且采用 MD5 認(rèn)證 普通認(rèn)證同樣是明文傳輸?shù)?d 啟用 passive interface 命令可以禁用一些不需要接收和轉(zhuǎn)發(fā)路由信息的 端口 建議對(duì)于不需要路由的端口 啟用 passive interface 但是 在 RIP 協(xié)議 是只是禁止轉(zhuǎn)發(fā)路由信息 并沒(méi)有禁止接收 在 OSPF 協(xié)議中是禁止轉(zhuǎn)發(fā)和接收路由 信息 e 啟用訪(fǎng)問(wèn)列表過(guò)濾一些垃圾和惡意路由信息 控制網(wǎng)絡(luò)的垃圾信息流 如 Router Config access list 10 deny 172 18 124 0 255 255 255 0 Router Config access list 10 permit any 禁止路由器接收更新 172 18 124 0 網(wǎng)絡(luò)的路由信息 Router Config router ospf 100 Router Config router distribute list 10 in 禁止路由器轉(zhuǎn)發(fā)傳播 172 18 124 0 網(wǎng)絡(luò)的路由信息 Router Config router ospf 100 Router Config router distribute list 10 out 3 路由器其他安全配置 a IP 欺騙簡(jiǎn)單防護(hù) 如過(guò)濾非公有地址訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò) 過(guò)濾自己內(nèi)部網(wǎng)絡(luò)地 址 回環(huán)地址 172 0 0 0 8 RFC1918 私有地址 DHCP 自定義地址 169 254 0 0 16 科學(xué)文檔作者測(cè)試用地址 192 0 2 0 24 不用的組播地址 224 0 0 0 4 SUN 公司的古老的測(cè)試地址 20 20 20 0 24 204 152 64 0 23 全網(wǎng)絡(luò)地址 0 0 0 0 8 Router Config access list 100 deny ip 172 0 0 0 0 255 255 255 any Router Config access list 100 deny ip 172 18 124 0 255 255 255 0 any Router Config access list 100 deny ip 172 16 0 0 0 15 255 255 any Router Config access list 100 deny ip 10 0 0 0 0 255 255 255 any Router Config access list 100 deny ip 169 254 0 0 0 0 255 255 any Router Config access list 100 deny ip 172 18 124 0 255 255 255 0 any Router Config access list 100 deny ip 224 0 0 0 15 255 255 255 any Router Config access list 100 deny ip 20 20 20 0 0 0 0 255 any Router Config access list 100 deny ip 204 152 64 0 0 0 2 255 any Router Config access list 100 deny ip 0 0 0 0 0 255 255 255 any Router Config access list 100 permit ip any any Router Config if ip access group 100 in b 采用訪(fǎng)問(wèn)列表控制流出內(nèi)部網(wǎng)絡(luò)的地址必須是屬于內(nèi)部網(wǎng)絡(luò)的 Router Config no access list 101 Router Config access list 101 permit ip 172 18 124 0 255 255 255 0 any Router Config access list 101 deny ip any any Router Config interface eth 0 1 Router Config if description internet Ethernet Router Config if ip address 172 18 124 0 255 255 255 0 Router Config if ip access group 101 in 3 3 3 防火墻技術(shù)安全配置 網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪(fǎng)問(wèn)控制 防止外部網(wǎng)絡(luò)用戶(hù)以非法 手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò) 訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)資源 保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特 殊網(wǎng)絡(luò)互聯(lián)設(shè)備 它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安 全策略來(lái)實(shí)施檢查 以決定網(wǎng)絡(luò)之間的通信是否被允許 并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài) 1 防火墻的基本配置原則 防火墻的配置過(guò)程中需堅(jiān)持以下三個(gè)基本原則 a 簡(jiǎn)單實(shí)用 b 全面深入 c 內(nèi)外兼顧 2 防火墻的基本配置 a 用一條防火墻自帶的串行電纜從筆記本電腦的 COM 口連到 Cisco PIX 525 防火墻的 console 口 b 開(kāi)啟所連電腦和防火墻的電源 進(jìn)入 Windows 系統(tǒng)自帶的 超級(jí)終端 通 訊參數(shù)可按系統(tǒng)默認(rèn) 進(jìn)入防火墻初始化配置 在其中主要設(shè)置有 Date 日期 time 時(shí)間 hostname 主機(jī)名稱(chēng) inside ip address 內(nèi)部網(wǎng)卡 IP 地址 domain 主域 等 完成后也就建立了一個(gè)初始化設(shè)置了 此時(shí)的提示符為 pix255 c 修改此特權(quán)用戶(hù)模式密碼 命令格式為 enable password encrypted 這個(gè)密碼必 須大于 16 位 Encrypted 選項(xiàng)是確定所加密碼是否需要加密 d 激活以太端口 必須用 enable 進(jìn)入 然后進(jìn)入 configure 模式 PIX525 enable Password PIX525 config t PIX525 config interface ethernet0 auto PIX525 config interface ethernet1 auto 在默認(rèn)情況下 ethernet0 是屬外部網(wǎng)卡 outside ethernet1 是屬內(nèi)部網(wǎng)卡 inside inside 在初始化配置成功的情況下已經(jīng)被激活生效了 但是 outside 必須 命令配置激活 e 命名端口與安全級(jí)別 采用命令 nameif PIX525 config nameif ethernet0 outside security0 PIX525 config nameif ethernet0 outside security100 security0 是外部端口 outside 的安全級(jí)別 0 安全級(jí)別最高 security100 是內(nèi)部端口 inside 的安全級(jí)別 如果中間還有以太口 則 security10 security20 等等命名 多個(gè)網(wǎng)卡組成多個(gè)網(wǎng)絡(luò) 一般情況下增加一個(gè) 以太口作為 DMZ Demilitarized Zones 非武裝區(qū)域 f 配置以太端口 IP 地址 采用命令為 ip address 內(nèi)部網(wǎng)絡(luò)為 172 18 124 0 255 255 255 0 外部網(wǎng)絡(luò)為 222 20 16 0 255 255 255 0 PIX525 config ip address inside 172 18 124 0 255 255 255 0 PIX525 config ip address outside 222 20 16 1 255 255 255 0 g 配置遠(yuǎn)程訪(fǎng)問(wèn) telnet 在默認(rèn)情況下 PIX 的以太端口是不允許 telnet 的 這一點(diǎn)與路由器有區(qū)別 Inside 端口可以做 telnet 就能用了 但 outside 端口還跟一些安全配置有關(guān) PIX525 config telnet 172 18 124 0 255 255 255 0 inside PIX525 config telnet 222 20 16 1 255 255 255 0 outside 測(cè)試 telnet 在 開(kāi)始 運(yùn)行 telnet 172 18 124 1 PIX passwd 輸入密碼 h 訪(fǎng)問(wèn)列表 access list 訪(fǎng)問(wèn)列表也是 Firewall 的主要部分 有 permit 和 deny 兩個(gè)功能 網(wǎng)絡(luò)協(xié)議一 般有 IP TCP UDP ICMP 等等 允許訪(fǎng)問(wèn)主機(jī) 222 20 16 254 的 www 端口為 80 PIX525 config access list 100 permit ip any host 222 20 16 254 eq www PIX525 config access list 100 deny ip any any PIX525 config access group 100 in interface outside i 地址轉(zhuǎn)換 NAT 和端口轉(zhuǎn)換 PAT NAT 跟路由器基本是一樣的 首先必須定義 IP Pool 提供給內(nèi)部 IP 地址轉(zhuǎn)換 的地址段 接著定義內(nèi)部網(wǎng)段 PIX525 config global outside 1 222 20 16 100 222 20 16 200 netmask 255 255 255 0 PIX525 config nat outside 1 172 18 124 0 255 255 255 0 外部地址是很有限的 主機(jī)必須單獨(dú)占用一個(gè) IP 地址 解決公用一個(gè)外部 IP 222 20 16 201 則必須配置 PAT 這樣就能解決更多用戶(hù)同時(shí)共享一個(gè) IP 有點(diǎn) 像代理服務(wù)器一樣的功能 配置如下 PIX525 config global outside 1 222 20 16 100 222 20 16 200 netmask 255 255 255 0 PIX525 config global outside 1 222 20 16 201 netmask 255 255 255 0 PIX525 config nat outside 1 0 0 0 0 0 0 0 0 j DHCP Server 在內(nèi)部網(wǎng)絡(luò) 為了維護(hù)的集中管理和充分利用有限 IP 地址 都會(huì)啟用動(dòng)態(tài)主機(jī) 分配 IP 地址服務(wù)器 DHCP Server Cisco Firewall PIX 都具有這種功能 下面 配置 DHCP Server 地址段為 172 18 124 100 172 18 124 255 DNS 主 202 99 224 8 備 202 99 224 68 主域名稱(chēng) DHCP Client 通過(guò) PIX Firewall PIX525 config ip address dhcp DHCP Server 配置 PIX525 config dhcp address 172 18 124 100 172 18 124 255 inside PIX525 config dhcp dns 202 99 224 8 202 99 224 68 PIX525 config dhcp domain k 靜態(tài)端口重定向 Port Redirection with Statics 端口重定向的功能 允許外部用戶(hù)通過(guò)一個(gè)特殊的 IP 地址 端口通過(guò)防火墻傳 輸?shù)絻?nèi)部指定的內(nèi)部服務(wù)器 其中重定向后的地址可以是單一外部地址 共享的外 部地址轉(zhuǎn)換端口 PAT 或者是共享的外部端口 這種方式并不是直接與內(nèi)部服務(wù) 器連接 而是通過(guò)端口重定向連接的 所以可使內(nèi)部服務(wù)器很安全 命令格式有兩種 分別適用于 IP 包和 TCP UDP 通信 static internal if name external if name global ip interface local ip netmask mask max conns emb limit norandomseq static internal if name external if name tcp udp global ip interface global port local ip local port netmask mask max conns emb limit norandomseq 此命令中的以上各參數(shù)解釋如下 internal if name 內(nèi)部接口名稱(chēng) external if name 外部接口名稱(chēng) tcp udp 選擇通信協(xié)議類(lèi)型 global ip interface 重定向后的外部 IP 地址 或共享端口 local ip 本地 IP 地址 netmask mask 本地子網(wǎng)掩碼 max conns 允許的最大 TCP 連接數(shù) 默認(rèn)為 0 即不限制 emb limit 允許從此 端口發(fā)起的連接數(shù) 默認(rèn)也為 0 即不限制 norandomseq 不對(duì)數(shù)據(jù)包排序 此 參數(shù)通常不用選 我們具體實(shí)施如下 外部用戶(hù)向 172 18 124 99 的主機(jī)發(fā)出 Telnet 請(qǐng)求時(shí) 重定向到 10 1 1 6 外部用戶(hù)向 172 18 124 99 的主機(jī)發(fā)出 FTP 請(qǐng)求時(shí) 重定向到 10 1 1 3 外部用戶(hù)向 172 18 124 208 的端口發(fā)出 Telnet 請(qǐng)求時(shí) 重定向到 10 1 1 4 外部用戶(hù)向防火墻的外部地址 172 18 124 216 發(fā)出 Telnet 請(qǐng)求時(shí) 重定向 到 10 1 1 5 外部用戶(hù)向防火墻的外部地址 172 18 124 216 發(fā)出 HTTP 請(qǐng)求時(shí) 重定向到 10 1 1 5 外部用戶(hù)向防火墻的外部地址 172 18 124 208 的 8080 端口發(fā)出 HTTP 請(qǐng)求 時(shí) 重定向到 10 1 1 7 的 80 號(hào)端口 以上重定向過(guò)程要求如圖 3 2 所示 防火墻的內(nèi)部端口 IP 地址為 10 1 1 2 外部端口地址為 172 18 124 216 圖 3 2 以上各項(xiàng)重定向要求對(duì)應(yīng)的配置如下 static inside outside tcp 172 18 124 99 telnet 10 1 1 6 telnet netmask 255 255 255 255 0 0 static inside outside tcp 172 18 124 99 ftp 10 1 1 3 ftp netmask 255 255 255 255 0 0 static inside outside tcp 172 18 124 208 telnet 10 1 1 4 telnet netmask 255 255 255 255 0 0 static inside outside tcp interface telnet