計(jì)算機(jī)的防火墻技術(shù)

北京科技大學(xué)遠(yuǎn)程與成人教育學(xué)院畢業(yè)作業(yè)第4頁，共4頁計(jì)算機(jī)的防火墻技術(shù)摘要信息時(shí)代的到來在給人們帶來巨大便利的同時(shí)，也存在各種各樣的安全隱患與漏洞。防火墻技術(shù)的發(fā)展為企業(yè)網(wǎng)絡(luò)安全管理提供了很好的途徑。防火墻為網(wǎng)絡(luò)安全體系的基礎(chǔ)和核心控制設(shè)備，其切斷受控網(wǎng)絡(luò)通信主干線，對(duì)通過受控干線的任何通信行為進(jìn)行安全處理，如控制、報(bào)警、反應(yīng)等，同時(shí)，也承擔(dān)了繁重的通信任務(wù)。由于自身處于網(wǎng)絡(luò)中的敏感位置，還要面對(duì)針對(duì)自身的各種安全威脅。但目前防火墻功能都相差不大，無非就是包過濾，地址轉(zhuǎn)換，應(yīng)用層過濾，攻擊檢驗(yàn)等等。本文先通過對(duì)防火墻工作原理、工作模式、組成結(jié)構(gòu)進(jìn)行了簡(jiǎn)單的介紹。然后詳細(xì)分析了防火墻的功能及性能，以及其在企業(yè)中的應(yīng)用設(shè)計(jì)，最后對(duì)防火墻的發(fā)展趨勢(shì)進(jìn)行了展望。關(guān)鍵詞：信息技術(shù)；防火墻；性能

KeyWords：Informationtechnology;firewall;performance目錄摘要 1 2引言 11防火墻概述 11.1防火墻工作原理 11.2防火墻的體系結(jié)構(gòu)和組成形式 21.2.1屏蔽路由器 21.2.2雙穴主機(jī)網(wǎng)關(guān) 21.2.3被屏蔽主機(jī)網(wǎng)關(guān) 21.2.4被屏蔽子網(wǎng) 31.3防火墻的功能 31.3.1確定所需的防火墻類型 31.3.2包過濾防火墻 41.3.3應(yīng)用代理 51.3.4安全管理 52防火墻的安全性和可靠性分析 82.1支持平臺(tái) 82.2抗攻擊性 82.3防火墻自身的安全 92.4完整的安全檢查 92.5防火墻的可擴(kuò)展和可升級(jí)性 103企業(yè)網(wǎng)絡(luò)常見攻擊方法 113.1SQL注入 113.2網(wǎng)絡(luò)釣魚 113.3分布式拒絕服務(wù) 113.4Rootkit 124方案設(shè)計(jì)與實(shí)現(xiàn) 134.1項(xiàng)目背景介紹 134.2項(xiàng)目需求 145方案的實(shí)施與測(cè)試 165.1方案實(shí)施與配置 165.2方案測(cè)試 185.2.1NAT配置測(cè)試 185.2.2安全性測(cè)試 18參考文獻(xiàn) 21致謝 23第23頁，共23頁引言網(wǎng)絡(luò)安全是一個(gè)人們普遍關(guān)注的話題。我們能夠設(shè)想，幾十年后的社會(huì)將進(jìn)入一個(gè)全新的網(wǎng)絡(luò)時(shí)代，信息時(shí)代。所以網(wǎng)絡(luò)安全的重要性就更為突出了，只有安全的互聯(lián)網(wǎng)才能保障互聯(lián)網(wǎng)生活能夠有序進(jìn)行，網(wǎng)絡(luò)系統(tǒng)不遭受破壞，信息能夠不被竊取，互聯(lián)網(wǎng)服務(wù)不會(huì)被非法中斷等等。另一方面，當(dāng)前的互聯(lián)網(wǎng)正在經(jīng)受許多威脅和攻擊，互聯(lián)網(wǎng)中存在很多不安全的因素。例如，黑客攻擊、密碼泄露等等。甚至可以說，目前絕對(duì)安全的網(wǎng)絡(luò)的不存在的。因此，掌握更多的網(wǎng)絡(luò)安全技術(shù)至關(guān)重要。網(wǎng)絡(luò)安全的一個(gè)非常重要保障就是防火墻。防火墻在網(wǎng)絡(luò)安全保護(hù)中起到了不可替代的作用。最新一代的防火墻技術(shù)有了相當(dāng)大提高，比如加密防毒、NAT技術(shù)、多端口、安全審計(jì)等，這些功能使防火墻具有了更加重要的作用。然而，網(wǎng)絡(luò)的不斷進(jìn)步也導(dǎo)致更為多樣化的網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)攻擊方式。網(wǎng)絡(luò)威脅包括，人為和自然兩個(gè)方面。自然因素例如意外事故和自然災(zāi)害；人為因素包括使用不當(dāng)和安全意識(shí)差等。網(wǎng)絡(luò)威脅主要包括主動(dòng)行為，如黑客入侵，非法訪問等；被動(dòng)行為如泄密，信息丟失，協(xié)議缺陷等。因此，本文對(duì)現(xiàn)代防火墻技術(shù)及應(yīng)用進(jìn)行分析，對(duì)網(wǎng)絡(luò)安全有一定的意義。1防火墻概述防火墻是部署在主機(jī)或內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道防御系統(tǒng)，所有經(jīng)過防火墻的數(shù)據(jù)包都要經(jīng)過匹配后，才決定是否丟棄或接收該數(shù)據(jù)包，防止惡意數(shù)據(jù)包對(duì)主機(jī)或內(nèi)部網(wǎng)絡(luò)的入侵，從而保護(hù)主機(jī)或內(nèi)部網(wǎng)絡(luò)的安全。1.1防火墻工作原理目前市面上的防火墻都會(huì)具備三種不同的工作模式，透明模式、NAT模式和路由模式。透明模式時(shí)，防火墻過濾通過防火墻的封包，而不會(huì)修改數(shù)據(jù)包包頭中的任何源或目的地信息。所有接口運(yùn)行起來都像是同一網(wǎng)絡(luò)中的一部分。此時(shí)防火墻的作用更像是Layer2（第2層）交換機(jī)或橋接器。在透明模式下，接口的IP地址被設(shè)置為，防火墻對(duì)于用戶來說是可視或“透明”的。處于“網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）”模式下時(shí)，防火墻的作用與Layer3（第3層）交換機(jī)（或路由器）相似，將綁定到外網(wǎng)區(qū)段的IP封包包頭中的兩個(gè)組件進(jìn)行轉(zhuǎn)換：其源IP地址和源端口號(hào)。防火墻用目的地區(qū)段接口的IP地址替換發(fā)送封包的主機(jī)的源IP地址。另外，它用另一個(gè)防火墻生成的任意端口號(hào)替換源端口號(hào)。路由模式時(shí)，防火墻在不同區(qū)段間轉(zhuǎn)發(fā)信息流時(shí)不執(zhí)行NAT；即，當(dāng)信息流穿過防火墻時(shí)，IP封包包頭中的源地址和端口號(hào)保持不變。與NAT不同，不需要為了允許入站會(huì)話到達(dá)主機(jī)而建立路由模式接口的映射和虛擬IP地址。與透明模式不同，內(nèi)網(wǎng)區(qū)段中的接口和外網(wǎng)區(qū)段中的接口在不同的子網(wǎng)中。1.2防火墻的體系結(jié)構(gòu)和組成形式1.2.1屏蔽路由器屏蔽路由器是防火墻最基本的構(gòu)件。它可以由廠家專門生產(chǎn)的路由器實(shí)現(xiàn)，也可以用主機(jī)來實(shí)現(xiàn)。屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報(bào)文都必須在此通過檢查。路由器上可以裝基于IP層的報(bào)文過濾軟件，實(shí)現(xiàn)報(bào)文過濾功能。許多路由器本身帶有報(bào)文過濾配置選項(xiàng)，但一般比較簡(jiǎn)單。單純由屏蔽路由器構(gòu)成的防火墻的危險(xiǎn)帶包括路由器本身及路由器允許訪問的主機(jī)。它的缺點(diǎn)是一旦被攻陷后很難發(fā)現(xiàn)，而且不能識(shí)別不同的用戶。1.2.2雙穴主機(jī)網(wǎng)關(guān)雙穴主機(jī)網(wǎng)關(guān)配置是用一臺(tái)裝有兩塊網(wǎng)卡的堡壘主機(jī)做防火墻。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連。堡壘主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙穴主機(jī)網(wǎng)關(guān)優(yōu)于屏蔽路由器的地方是：堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。這對(duì)于日后的檢查很有用。但這不能幫助網(wǎng)絡(luò)管理者確認(rèn)內(nèi)網(wǎng)中哪些主機(jī)可能已被黑客入侵。雙穴主機(jī)網(wǎng)關(guān)的一個(gè)致命弱點(diǎn)是：一旦入侵者侵入堡壘主機(jī)并使其只具有路由功能，則任何網(wǎng)上用戶均可以隨便訪問內(nèi)網(wǎng)。1.2.3被屏蔽主機(jī)網(wǎng)關(guān)屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)也很安全，因此應(yīng)用廣泛。例如，一個(gè)分組過濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)則，并使這個(gè)堡壘主機(jī)成為從外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機(jī)，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。如果受保護(hù)網(wǎng)是一個(gè)虛擬擴(kuò)展的本地網(wǎng)，即沒有子網(wǎng)和路由器，那么內(nèi)網(wǎng)的變化不影響堡壘主機(jī)和屏蔽路由器的配置。危險(xiǎn)帶限制在堡壘主機(jī)和屏蔽路由器。網(wǎng)關(guān)的基本控制策略由安裝在上面的軟件決定。如果攻擊者設(shè)法登錄到它上面，內(nèi)網(wǎng)中的其余主機(jī)就會(huì)受到很大威脅。這與雙穴主機(jī)網(wǎng)關(guān)受攻擊時(shí)的情形差不多。1.2.4被屏蔽子網(wǎng)這種方法是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，用兩臺(tái)分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實(shí)現(xiàn)中，兩個(gè)分組過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)“非軍事區(qū)”DMZ。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機(jī)作為唯一可訪問點(diǎn)，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。這種配置的危險(xiǎn)帶僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。建造防火墻時(shí)，一般很少采用單一的技術(shù)，通常是多種解決不同問題的技術(shù)的組合。這種組合主要取決于網(wǎng)管中心向用戶提供什么樣的服務(wù)，以及網(wǎng)管中心能接受什么等級(jí)風(fēng)險(xiǎn)。采用哪種技術(shù)主要取決于經(jīng)費(fèi)，投資的大小或技術(shù)人員的技術(shù)、時(shí)間等因素。一般有以下幾種形式：（1）使用多堡壘主機(jī)；（2）合并內(nèi)部路由器與外部路由器；（3）合并堡壘主機(jī)與外部路由器；（4）合并堡壘主機(jī)與內(nèi)部路由器；（5）使用多臺(tái)內(nèi)部路由器；（6）使用多臺(tái)外部路由器；（7）使用多個(gè)周邊網(wǎng)絡(luò)；（8）使用雙重宿主主機(jī)與屏蔽子網(wǎng)。1.3防火墻的功能1.3.1確定所需的防火墻類型防火墻系統(tǒng)可以說是網(wǎng)絡(luò)的第一道防線，因此一個(gè)企業(yè)在決定使用防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)的安全時(shí)，它首先需要了解一個(gè)防火墻系統(tǒng)應(yīng)具備的基本功能，這是用戶選擇防火墻產(chǎn)品的依據(jù)和前提。防火墻的設(shè)計(jì)策略應(yīng)遵循安全防范的基本原則——“除非明確允許，否則就禁止”；防火墻本身支持安全策略，而不是添加上去的；如果組織機(jī)構(gòu)的安全策略發(fā)生改變，可以加入新的服務(wù)；有先進(jìn)的認(rèn)證手段或有掛鉤程序，可以安裝先進(jìn)的認(rèn)證方法；如果需要，可以運(yùn)用過濾技術(shù)允許和禁止服務(wù)；可以使用FTP和Telnet等服務(wù)代理，以便先進(jìn)的認(rèn)證手段可以被安裝和運(yùn)行在防火墻上；擁有界面友好、易于編程的IP過濾語言，并可以根據(jù)數(shù)據(jù)包的性質(zhì)進(jìn)行包過濾，數(shù)據(jù)包的性質(zhì)有目標(biāo)和源IP地址、協(xié)議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網(wǎng)絡(luò)接口等。如果用戶需要NNTP（網(wǎng)絡(luò)消息傳輸協(xié)議）、XWindow、HTTP和Gopher等服務(wù)，防火墻應(yīng)該包含相應(yīng)的代理服務(wù)程序。防火墻也應(yīng)具有集中郵件的功能，以減少SMTP服務(wù)器和外界服務(wù)器的直接連接，并可以集中處理整個(gè)站點(diǎn)的電子郵件。防火墻應(yīng)允許公眾對(duì)站點(diǎn)的訪問，應(yīng)把信息服務(wù)器和其他內(nèi)部服務(wù)器分開。1.3.2包過濾防火墻要說防火墻是一種用于在兩個(gè)網(wǎng)絡(luò)間進(jìn)行訪問控制的設(shè)備，防火墻系統(tǒng)防范的對(duì)象是來自被保護(hù)的網(wǎng)絡(luò)的外部的對(duì)網(wǎng)絡(luò)安全的威脅，它通過檢測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能的實(shí)現(xiàn)對(duì)外部網(wǎng)絡(luò)的安全保護(hù)。那么包過濾技術(shù)則是防火墻最基本的實(shí)現(xiàn)技術(shù)，具有包過濾技術(shù)的裝置是用來控制內(nèi)、外網(wǎng)絡(luò)數(shù)據(jù)流入和流出，包過濾技術(shù)的數(shù)據(jù)包大部分是基于TCP/IP協(xié)議平臺(tái)的，對(duì)數(shù)據(jù)流的每個(gè)包進(jìn)行檢查，根據(jù)數(shù)據(jù)報(bào)的源地址、目的地址、TCP和IP的端口號(hào)，以及TCP的其他狀態(tài)來確定是否允許數(shù)據(jù)包通過。包過濾是一種內(nèi)置于Linux內(nèi)核路由功能之上的防火墻類型，其防火墻工作在網(wǎng)絡(luò)層。包過濾器操作的基本過程下面做個(gè)簡(jiǎn)單的敘述：（1）包過濾規(guī)則必須被包過濾設(shè)備端口存儲(chǔ)起來。（2）當(dāng)包到達(dá)端口時(shí)，對(duì)包報(bào)頭進(jìn)行語法分析。大多數(shù)包過濾設(shè)備只檢查IP、TCP、或UDP報(bào)頭中的字段。（3）包過濾規(guī)則以特殊的方式存儲(chǔ)。應(yīng)用于包的規(guī)則的順序與包過濾器規(guī)則存儲(chǔ)順序必須相同。（4）若一條規(guī)則阻止包傳輸或接收，則此包便不被允許。（5）若一條規(guī)則允許包傳輸或接收，則此包便可以被繼續(xù)處理。（6）若包不滿足任何一條規(guī)則，則此包便被阻塞。包過濾的工作就是通過查看數(shù)據(jù)包的源地址、目的地址或端口來實(shí)現(xiàn)的，一般來說，它不保持前后連接信息，過濾決定是根據(jù)當(dāng)前數(shù)據(jù)包的內(nèi)容來做的。管理員可以做一個(gè)可接受機(jī)和服務(wù)的列表，以及一個(gè)不可接受機(jī)和服務(wù)的列表。在主機(jī)和網(wǎng)絡(luò)一級(jí)，利用數(shù)據(jù)包過濾很容易實(shí)現(xiàn)允許或禁止訪問。1.3.3應(yīng)用代理從代理技術(shù)上講，一般具有一下兩種代理：傳統(tǒng)代理和透明代理。代理防火墻與包過濾防火墻本質(zhì)的區(qū)別就是從客戶端到代理服務(wù)器和從代理服務(wù)器到客戶端是兩個(gè)完全獨(dú)立的過程，它將客戶端請(qǐng)求間接傳遞給服務(wù)器，與目標(biāo)服務(wù)器建立單獨(dú)的連接，它不處理數(shù)據(jù)包包也不轉(zhuǎn)發(fā)據(jù)包，它以字節(jié)流的形式接收連接，解析并驗(yàn)證連接所采用協(xié)議元素的內(nèi)容，在安全策略允許的情況下與服務(wù)器建立連接，這樣可以對(duì)數(shù)據(jù)包的內(nèi)容進(jìn)行細(xì)致的分析。就透明代理而言，透明代理和傳統(tǒng)代理一樣，可以比包過濾更深層次地檢查數(shù)據(jù)信息，比如FTP包的port命令等。同時(shí)它也是一個(gè)非?？斓拇?，從物理上分離了連接，這可以提供更復(fù)雜的協(xié)議需要，例如帶動(dòng)態(tài)端口分配的H.323，或者一個(gè)帶有不同命令端口和數(shù)據(jù)端口的連接。這樣的通信是包過濾所無法完成的。防火墻使用透明代理技術(shù)，這些代理服務(wù)對(duì)用戶也是透明的，用戶意識(shí)不到防火墻的存在，便可完成內(nèi)外網(wǎng)絡(luò)的通訊。當(dāng)內(nèi)部用戶需要使用透明代理訪問外部資源時(shí)，用戶不需要進(jìn)行設(shè)置，代理服務(wù)器會(huì)建立透明的通道，讓用戶直接與外界通信，這樣極大地方便了用戶的使用。1.3.4安全管理用戶要使用一個(gè)安全的防火墻系統(tǒng)，就需要實(shí)行一套安全的防火墻策略，所以安全管理是選購(gòu)時(shí)需要關(guān)注的重點(diǎn)環(huán)節(jié)。由于防火墻往往扮演的是為企業(yè)及組織網(wǎng)絡(luò)安全把關(guān)的第一道防線，在考慮防火墻的安全管理時(shí)不可不慎。關(guān)于防火墻的實(shí)作建議：最少的特權(quán)（Leastprivilege）－減少因?yàn)槁殑?wù)或特權(quán)影響開放防火墻的限制條件，并將防火墻規(guī)則的預(yù)設(shè)限制動(dòng)作設(shè)為“deny”，也就是任何未經(jīng)特別允許的聯(lián)機(jī)一律禁止。徹底防御（Defenseindepth）－防火墻過濾規(guī)則盡可能使用多個(gè)限制規(guī)則取代單一限制條件。最少信息（Minimalinformation）－勿將跟企業(yè)組織或網(wǎng)絡(luò)上定有關(guān)的信息暴露出來。KISS（KeepItShortandSimple）－復(fù)雜的配置設(shè)定容易造成錯(cuò)誤并因此導(dǎo)致安全的漏洞，因此，讓firewall的設(shè)定及配置盡可能的簡(jiǎn)單化。防火墻系統(tǒng)只能控制有經(jīng)過防火墻的網(wǎng)絡(luò)聯(lián)機(jī)，因此，防火墻應(yīng)該必須為連上Internet的唯一網(wǎng)關(guān)（gateway）。防火墻硬件的安全配置建議：將防火墻管理主控臺(tái)分開－目前許多廠牌防火墻系統(tǒng)皆提供從遠(yuǎn)程透過另一平臺(tái)管理firewall的能力，未來如有firewall增加的需要，也可以將firewall的管理工作集中控管。防火墻實(shí)體放置地區(qū)－建議應(yīng)當(dāng)將firewall放置于安全環(huán)境的實(shí)體位置，也就是一天24小時(shí)有專人操作控管的環(huán)境。防火墻配置建議：身分確認(rèn)及認(rèn)證（IdentificationandAuthentication）使用支持對(duì)于認(rèn)證信息加密的任證機(jī)制來限制使用者使用存取Internet的服務(wù)。配置firewall成可以顯示某標(biāo)題以便提醒使用者在存取服務(wù)之前必須先對(duì)firewall作他們身份的確認(rèn)。例如：ThissystemisforXXCompanyauthorizeduseronly."“Unauthorizedusersmaybeprosecuted.”機(jī)密性（Confidentiality）－強(qiáng)烈建議任何對(duì)于firewall的遠(yuǎn)程管理都必須透過加密的管道。完整性（Integrity）－為維護(hù)系統(tǒng)的完整性，安裝firewall機(jī)器的操作系統(tǒng)必須針對(duì)安全設(shè)定作進(jìn)一步的強(qiáng)化安全性處理?？捎眯裕ˋvailability）—在完成firewall系統(tǒng)的安裝及測(cè)試之后，建立一份完整的系統(tǒng)備份并將它存放在安全的地方。安裝新版本操作系統(tǒng)或防火墻系統(tǒng)軟件，或?qū)嵭芯S護(hù)時(shí)，防火墻系統(tǒng)應(yīng)該終止所有的網(wǎng)絡(luò)連結(jié)，在經(jīng)完整測(cè)試確定沒問題之后再恢復(fù)網(wǎng)絡(luò)連結(jié)。

2防火墻的安全性和可靠性分析在網(wǎng)絡(luò)安全方面最具有代表性的技術(shù)就是數(shù)據(jù)加密、容錯(cuò)技術(shù)、端口保護(hù)、認(rèn)證系統(tǒng)和防火墻技術(shù)。其中，防火墻技術(shù)是近年來提出并推廣的一項(xiàng)網(wǎng)絡(luò)安全技術(shù)。企業(yè)及組織為確保內(nèi)部網(wǎng)絡(luò)及系統(tǒng)的安全，均紛紛建置不同層次的信息安全解決機(jī)制，而防火墻（Firewall）就是各企業(yè)及組織在建置資安控管解決方案當(dāng)中最常被優(yōu)先考量的安全控管機(jī)制。根據(jù)可靠的統(tǒng)計(jì)數(shù)據(jù)顯示，幾乎有90%甚至以上的企業(yè)組織均有建置防火墻。2.1支持平臺(tái)為了更有效，防火墻必須和應(yīng)用程序以及需要保護(hù)的網(wǎng)絡(luò)環(huán)境完全契合。應(yīng)用防火墻有很多種，但是主要分為兩類：硬件和軟件。硬件防火運(yùn)行在專一的應(yīng)用程序上，通常有一個(gè)為防火墻的功能特別設(shè)計(jì)的堅(jiān)固的操作系統(tǒng)。軟件防火墻是在多用途的計(jì)算機(jī)上安裝的，這種計(jì)算機(jī)為了網(wǎng)絡(luò)邊界等處的受信任的區(qū)域之間，或者在在個(gè)體防火墻的情況下，位于桌面計(jì)算機(jī)上。特定目的的硬件應(yīng)用程序通常性能更好，但是在安裝和配置上更復(fù)雜。如果你選擇軟件防火墻解決方案，確保它是運(yùn)行在你們的IT部門熟悉的平臺(tái)上，這樣就不需要另外的培訓(xùn)和支持問題了。軟件解決方案通常比硬件解決方案更靈活，但是你需要確定運(yùn)行防火墻的操作系統(tǒng)定期地打補(bǔ)丁和維護(hù)。2.2抗攻擊性在當(dāng)前的網(wǎng)絡(luò)攻擊中，拒絕服務(wù)攻擊是使用頻率最高的方法，YAHOO等網(wǎng)站遭受的就是拒絕服務(wù)攻擊，只不過是發(fā)起攻擊的點(diǎn)比較多，稱之為分布式拒絕服務(wù)攻擊。拒絕服務(wù)攻擊可分成兩類：一類由于操作系統(tǒng)或應(yīng)用軟件本身設(shè)計(jì)或編程上的缺陷而造成，種類繁多，只有通過打補(bǔ)丁的辦法解決，一類是由于協(xié)議本身的缺陷，只有數(shù)的幾種，但造成的危害非常大，如SYNFLOODING。要防火墻解決第一類問題顯然是力不從心，系統(tǒng)缺陷和病毒不同，沒有病毒馬可以作為依據(jù)，在判斷到底是不是攻擊上常常誤報(bào)，現(xiàn)有的國(guó)內(nèi)外地對(duì)這類攻擊的檢測(cè)至少有50%的誤報(bào)，大家如果用過IIS的realsecure就有認(rèn)識(shí)，這類攻擊檢測(cè)不能裝在防火墻上，否則可能把合法的報(bào)文認(rèn)為是攻擊。防火墻能做的是對(duì)付第二類攻擊，如針對(duì)SYN-FLOODING，可以限制服務(wù)器接受連接請(qǐng)求的速度，最大的半連接數(shù)和最大已建立連接數(shù)實(shí)現(xiàn)。在測(cè)試防火墻防攻擊能力時(shí)，我們要求防火墻允許內(nèi)外網(wǎng)相互訪問，允許ping。每種攻擊設(shè)置5個(gè)session，在100%壓力下發(fā)攻擊包，同時(shí)測(cè)試防火墻能否建立50000個(gè)HTTP連接（稱之為背景流），連接速率也為500請(qǐng)求/秒。攻擊由外網(wǎng)向內(nèi)網(wǎng)發(fā)起，背景流為外網(wǎng)向內(nèi)網(wǎng)建立HTTP請(qǐng)求。測(cè)試SynFlood、Smurf、Land-based、PingSweep、PingFlood5種攻擊時(shí)，共發(fā)送1000個(gè)攻擊包；在測(cè)試PingofDeath攻擊時(shí)5個(gè)session發(fā)送5個(gè)超長(zhǎng)包，每個(gè)超長(zhǎng)包分成45個(gè)攻擊包，共225個(gè)攻擊包；測(cè)試TearDrop攻擊時(shí)5個(gè)session共發(fā)送5個(gè)攻擊，每個(gè)攻擊由3段組成，一共發(fā)送15個(gè)攻擊包。我們使用NAI公司的SnifferPro4.70對(duì)SmartBits6000B的模擬受攻擊端口進(jìn)行抓包，過濾掉一些廣播包、ARP包等非攻擊包后，得到的就是透過防火墻的攻擊包。2.3防火墻自身的安全大多數(shù)人在選擇防火墻時(shí)都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務(wù)，但往往忽略了一點(diǎn)，防火墻也是網(wǎng)絡(luò)上的主機(jī)之一，也可能存在安全問題，防火墻如果不能確保自身安全，則防火墻的控制功能再?gòu)?qiáng)，也終究不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)。大部分防火墻都安裝在一般的操作系統(tǒng)上，如Unix、NT系統(tǒng)等。在防火墻主機(jī)上執(zhí)行的除了防火墻軟件外，所有的程序、系統(tǒng)核心，也大多來自于操作系統(tǒng)本身的原有程序。當(dāng)防火墻主機(jī)上所執(zhí)行的軟件出現(xiàn)安全漏洞時(shí)，防火墻本身也將受到威脅。此時(shí)，任何的防火墻控制機(jī)制都可能失效，因?yàn)楫?dāng)一個(gè)黑客取得了防火墻上的控制權(quán)以后，黑客幾乎可為所欲為地修改防火墻上的訪問規(guī)則，進(jìn)而侵入更多的系統(tǒng)。因此防火墻自身應(yīng)有相當(dāng)高的安全保護(hù)。2.4完整的安全檢查好的防火墻還應(yīng)該向使用者提供完整的安全檢查功能，但是一個(gè)安全的網(wǎng)絡(luò)仍必須依靠使用者的觀察及改進(jìn)，因?yàn)榉阑饓Σ⒉荒苡行У囟沤^所有的惡意封包，企業(yè)想要達(dá)到真正的安全仍然需要內(nèi)部人員不斷記錄、改進(jìn)、追蹤。防火墻可以限制唯有合法的使用者才能進(jìn)行連接，但是否存在利用合法掩護(hù)非法的情形仍需依靠管理者來發(fā)現(xiàn)。2.5防火墻的可擴(kuò)展和可升級(jí)性用戶的網(wǎng)絡(luò)不是一成不變的，現(xiàn)在可能只要在公司內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間做過濾，隨著業(yè)務(wù)的發(fā)展，公司內(nèi)部可能具有不同安全級(jí)別的子網(wǎng)，此時(shí)就需要在這些子網(wǎng)之間做過濾。目前市面上的防火墻一般標(biāo)配是三個(gè)網(wǎng)絡(luò)接口分別接外部網(wǎng)，內(nèi)部網(wǎng)和SSN，在購(gòu)買時(shí)必須問清楚是否可以增加網(wǎng)絡(luò)接口，因?yàn)橛行┓阑饓υO(shè)計(jì)成支持三個(gè)接口，無法擴(kuò)展，和防病毒產(chǎn)品類似，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和黑客攻擊手段的變化，防火墻也必須不斷地進(jìn)行升級(jí)，此時(shí)支持軟件升級(jí)就更加重要了。如果不支持軟件升級(jí)，為了抵御新的攻擊手段，必須進(jìn)行硬件上的更換，在更換期間你的網(wǎng)絡(luò)是不設(shè)防的。以上就是防火墻的采購(gòu)方法，選購(gòu)防火墻時(shí)，如能做到以上幾點(diǎn)，防火墻的選購(gòu)就不會(huì)成為難題了。

3企業(yè)網(wǎng)絡(luò)常見攻擊方法網(wǎng)絡(luò)攻擊方式從過去的密碼破解等，發(fā)展到現(xiàn)在的SQL注入、網(wǎng)絡(luò)釣魚、跨站攻擊、溢出漏洞、拒絕服務(wù)攻擊及社會(huì)工程學(xué)等技術(shù)的應(yīng)用，攻擊難度越來越低。網(wǎng)絡(luò)變得十分脆弱，一方面因?yàn)橥{變得越來越復(fù)雜，另一方面因?yàn)閷?shí)施這些威脅所需要的知識(shí)越來越簡(jiǎn)單。3.1SQL注入隨著Internet的發(fā)展，基于DBMS的Web查詢數(shù)據(jù)庫逐漸增多，但是Web制作行業(yè)門檻不高，程序員的水平和經(jīng)驗(yàn)參差不齊，相當(dāng)大一部分程序員在編寫代碼的社會(huì)沒有對(duì)用戶輸入數(shù)據(jù)合法性進(jìn)行判斷，導(dǎo)致程序出現(xiàn)隱患。攻擊者可以通過互聯(lián)網(wǎng)，構(gòu)造一個(gè)精妙的SQL語句注入到DBMS中，從而獲取訪問權(quán)限。SQL注入手法相當(dāng)靈活，能夠根據(jù)不同的情況進(jìn)行具體的構(gòu)造。通常，幾乎所有的防火墻對(duì)通過Internet訪問的數(shù)據(jù)庫請(qǐng)求都無法發(fā)出及時(shí)的警報(bào)，所有SQL注入具有極高的隱蔽性。3.2網(wǎng)絡(luò)釣魚所謂網(wǎng)絡(luò)釣魚攻擊通常采用大量發(fā)送垃圾電子郵件的形式，誘騙收到郵件的用戶發(fā)送自己相關(guān)的金融帳號(hào)和密碼，已經(jīng)身份證號(hào)碼等其他個(gè)人信息，繼而盜取現(xiàn)金。蒙騙方法通常很簡(jiǎn)單，例如注冊(cè)來模仿等，粗心的用戶會(huì)忽視這樣的拼寫錯(cuò)誤。在中國(guó)工商銀行hotspot.jsp頁面上，也可以通過對(duì)column函數(shù)進(jìn)行修改直接偽造頁面。3.3分布式拒絕服務(wù)DDOS攻擊很簡(jiǎn)單，即用大量的主機(jī)來訪問網(wǎng)絡(luò)中的某一臺(tái)機(jī)器，導(dǎo)致其性能下降影響正常的服務(wù)。DDos是一種簡(jiǎn)單的攻擊工具，當(dāng)某些IDC機(jī)房服務(wù)器被攻破后，將其作為DDos攻擊源，后果將不堪設(shè)想。同時(shí)，對(duì)于DDos攻擊，如何找出源地址，也是一個(gè)非常困難的事情。由于DDos非常容易實(shí)施，并且成功率非常高，所有在安全事件中，這類攻擊增長(zhǎng)非常迅猛。在我國(guó)的部分ISP統(tǒng)計(jì)數(shù)據(jù)中顯示，有些攻擊就來自IDC機(jī)房，例如不同的網(wǎng)絡(luò)游戲服務(wù)商之間的競(jìng)爭(zhēng)等。而且在過去幾年較為重大的幾起安全時(shí)間中，幾乎都是由DDos攻擊引起。3.4Rootkit由于網(wǎng)絡(luò)安全產(chǎn)品正在變得越來越強(qiáng)大，攻擊者不得不增加賭注。2006年Rootkit技術(shù)開始被廣泛地應(yīng)用，而且由不斷增長(zhǎng)的趨勢(shì)。Rootkit其實(shí)是一種功能更強(qiáng)大的軟件工具集，能夠讓網(wǎng)絡(luò)管理員訪問一臺(tái)計(jì)算機(jī)或者一個(gè)網(wǎng)絡(luò)。一旦安裝了Rootkit，攻擊者就可以把自己隱藏起來，在用戶計(jì)算機(jī)安裝間諜軟件和其他監(jiān)視敲擊鍵盤以及修改記錄文件的軟件。雖然微軟發(fā)布的Vista操作系統(tǒng)能夠減少某些Rootkit的應(yīng)用，但是Rootkit還是2007年黑客普遍使用的技術(shù)。據(jù)賽門鐵克稱，用戶模式Rootkit策略目前以及非常普遍，內(nèi)核模式Rootkit的使用也在增長(zhǎng)。

4方案設(shè)計(jì)與實(shí)現(xiàn)4.1項(xiàng)目背景介紹本文選取了某企業(yè)作為例子，某某公司主干網(wǎng)絡(luò)系統(tǒng)包括環(huán)形的千兆的核心網(wǎng)、千兆鏈路連接的分支節(jié)點(diǎn)和網(wǎng)絡(luò)邊界（Internet、Cernet）。其中千兆鏈路主要承載整個(gè)公司信息系統(tǒng)的跨節(jié)點(diǎn)的信息交換傳輸工作，為各種應(yīng)用系統(tǒng)的數(shù)據(jù)流提供高速網(wǎng)絡(luò)通訊支持。網(wǎng)絡(luò)邊界（Internet、Cernet）負(fù)責(zé)為整個(gè)公司提供互聯(lián)網(wǎng)、接入功能，極大的擴(kuò)展了公司信息系統(tǒng)的信息量，為檢索外部的海量信息提供了通路。拓?fù)淙鐖D所示：公司的信息化建設(shè)，是體現(xiàn)XX公司國(guó)際性、時(shí)代性和開放性特征的重要環(huán)節(jié)，在當(dāng)前全球經(jīng)濟(jì)一體化的時(shí)代大背景下通過提高信息化水平來提升公司的綜合競(jìng)爭(zhēng)力是一個(gè)有效的途徑，應(yīng)用信息化理念和技術(shù)實(shí)現(xiàn)經(jīng)營(yíng)、科研和管理工作的創(chuàng)新已成為必然的趨勢(shì)。經(jīng)過兩年多的發(fā)展，公司信息化已經(jīng)初步形成了一定的規(guī)模。目前公司的客戶端數(shù)量達(dá)到了500多臺(tái)，已有20多臺(tái)服務(wù)器為公司提供域控、郵件、內(nèi)部主頁、OA、財(cái)務(wù)軟件、人力軟件等服務(wù)，并且外部主頁服務(wù)器和郵件服務(wù)器分別對(duì)外網(wǎng)提供服務(wù)。因此保證公司服務(wù)器安全和內(nèi)部主機(jī)安全，對(duì)公司網(wǎng)絡(luò)穩(wěn)定運(yùn)行具有重要的意義。所以為了使公司網(wǎng)絡(luò)不受Internet外來攻擊，我們?cè)诤诵慕粨Q機(jī)前部署了一臺(tái)防火墻，用于公司內(nèi)網(wǎng)與Internet的連接。4.2項(xiàng)目需求公司采用了PIX535防火墻作為出口，在眾多的企業(yè)級(jí)主流防火墻中，思科PIX防火墻是所有同類產(chǎn)品性能最好的一種。思科PIX系列防火墻目前有5種型號(hào)PIX506，515，520，525，535。其中PIX535是PIX500系列中最新，功能也是最強(qiáng)大的一款。它可以提供運(yùn)營(yíng)商級(jí)別的處理能力，適用于大型的ISP等服務(wù)提供商。但是PIX特有的操作系統(tǒng)，使得大多數(shù)管理是通過命令行來實(shí)現(xiàn)的，不像其他同類的防火墻通過Web管理界面來進(jìn)行網(wǎng)絡(luò)管理。PIX防火墻主要實(shí)現(xiàn)以下兩個(gè)功能：一是將內(nèi)網(wǎng)中不同的職能部門私有網(wǎng)絡(luò)通過防火墻做邏輯隔離，將內(nèi)網(wǎng)IP轉(zhuǎn)換為Internet公網(wǎng)IP，從而實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)可以訪問Internet。二是允許互聯(lián)網(wǎng)用戶訪問公司有關(guān)部門發(fā)布的官方網(wǎng)站，從而實(shí)現(xiàn)公司多臺(tái)服務(wù)器通過一條線路為Internet提供各種服務(wù)。（1）防火墻接口參數(shù)的配置：接口名稱安全級(jí)別IP地址Gb-eth0Intf210Gb-eth0Inside10021Eth0Outside054Eth1Intf315（2）各個(gè)部門IP地址規(guī)劃：?jiǎn)挝幻Q網(wǎng)絡(luò)IP地址網(wǎng)絡(luò)掩碼部門部門部門3部門4部門5（3）配置要求：將部門4的所有內(nèi)網(wǎng)IP通過防火墻轉(zhuǎn)換為互聯(lián)網(wǎng)IP53，使得部門4的所有內(nèi)網(wǎng)主機(jī)都可以訪問互聯(lián)網(wǎng)?；ヂ?lián)網(wǎng)的網(wǎng)關(guān)IP地址為。創(chuàng)建內(nèi)部IP地址62和互聯(lián)網(wǎng)IP地址50之間的靜態(tài)映射，使得內(nèi)網(wǎng)服務(wù)器利用公網(wǎng)IP向互聯(lián)網(wǎng)用戶提供WWW服務(wù)。

5方案的實(shí)施與測(cè)試5.1方案實(shí)施與配置PIXVersion6.2（2）nameifgb-ethernet0intf2security10nameifgb-ethernet1insidesecurity100nameifethernet0outsidesecurity0enablepassword4vT1Cunhss1Jf0Jhencryptedpasswd4vT1Cunhss1Jf0Jhencryptedhostnamepix535fixupprotocolftp21fixupprotocolhttp80fixupprotocolh323h2251720fixupprotocolrsh514fixupprotocolsmtp25fixupprotocolsqlnet1521fixupprotocolsip5060interfacegb-ethernet01000autointerfacegb-ethernet11000autointerfaceethernet0automtuintf21500mtuinside1500mtuoutside1500ipaddressintf255ipaddressinside2152ipaddressoutside5455ipauditinfoactionalarmipauditattackactionalarmpdmhistoryenablearptimeout14400global（outside）153nat（inside）100static（inside,outside）5062netmask5500conduitpermittcphost50eqwwwanyconduitpermiticmpanyanyrouteoutside1routeinside221timeoutxlate3：00：00timeoutconn1：00：00half-closed0：10：00udp0：02：00rpc0：10：00h3230：05：00sip0：30：00sip_media0：02：00timeoutuauth0：05：00absoluteaaa-serverTACACS+protocoltacacs+aaa-serverRADIUSprotocolradiusnosnmp-serverlocationnosnmp-servercontactsnmp-servercommunitypublicnosnmp-serverenabletrapsfloodguardenablenosysoptroutednattelnettimeout5sshtimeout5terminalwidth80Cryptochecksum:246d641f2d31ae9585d93480b4f912d2：end5.2方案測(cè)試5.2.1NAT配置測(cè)試通過配置NAT后，即使客戶端是內(nèi)外地址，也是可以正常上網(wǎng)：5.2.2安全性測(cè)試通過配置防火墻后，外網(wǎng)主機(jī)是無法掃描到內(nèi)部主機(jī)，極大提高了網(wǎng)絡(luò)的安全性：用4模擬外部主機(jī)地址，3模擬防火墻內(nèi)一臺(tái)DMZ里面具有系統(tǒng)漏洞的主機(jī)。在未開啟防火墻之前，用x-scan進(jìn)行掃描，發(fā)現(xiàn)漏洞：這樣黑客就可以通過漏洞進(jìn)行主機(jī)的攻擊。開啟防火墻之后：黑客根本無法發(fā)現(xiàn)這臺(tái)主機(jī)的存在，更掃描不了漏洞，極大提高了安全性?？偨Y(jié)通過以上的綜合介紹防火墻的工作原理、工作模式，分類和結(jié)構(gòu)做了簡(jiǎn)單的分析，讓我們對(duì)防火墻有了初步的了解。再深入學(xué)習(xí)防火墻的功能和性能，這也是防火墻比較難理解的地方，對(duì)用戶來說防火墻的功能和性能是至關(guān)重要的。還有一點(diǎn)就是防火墻的安全管理平臺(tái)，這也是用戶最關(guān)心的問題之一。防火墻針對(duì)的僅僅是內(nèi)外訪問外網(wǎng)和外網(wǎng)對(duì)內(nèi)外的訪問上安全的策略。但是當(dāng)網(wǎng)絡(luò)的內(nèi)外主機(jī)出現(xiàn)中毒，內(nèi)網(wǎng)網(wǎng)絡(luò)安全出現(xiàn)問題是，這時(shí)防火墻是無法解決問題的。一個(gè)安全網(wǎng)絡(luò)不僅要在出口上下功夫，企業(yè)還需要在內(nèi)外安裝IPS,IDS等內(nèi)外安全設(shè)備，來補(bǔ)缺防火墻的局限性。

參考文獻(xiàn)[1]Anonymous.TufinTechnologies:Tufindeliversfirst-to-marketfunctionalitywithnewautomaticpolicyGenerator（APG），DramaticallySimplifyingFirewallPolicyCreationAndOptimization;Innovative,Patent-Pend