通信技術畢業(yè)論文

畢業(yè)設計 (論文 ) 題目 ： 防火墻設計方案 學 院 信 息 技 術 工 程 學 院 年 級 2010 級 專 業(yè) 通 信 技 術 學 號 201001080116 學生姓名 羅素君 指 導教師 孟 勇 2011 年 5 月 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 2 頁 畢業(yè)設計 (論文 )鑒定表 院 系 信息技術工程學院 專 業(yè) 通信技術 年 級 2010 級 姓 名 羅素君 題 目 防火墻 設計方案 指導教師 評 語 過程得分： (占總成績 20%) 是否同意參加畢業(yè)答辯 指導教師 (簽 字 ) 答辯教師 評 語 答辯得分： (占總成績 80%) 畢業(yè)論文總 成績 等級： 答辯組成員簽字 年 月 日 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 3 頁 畢業(yè)設計 (論文 )任務書 班 級 2010 級通信班 學生姓名 羅素君 學 號 201001080116 發(fā)題日期： 2010 年 5 月 6 日 完成日期： 5 月 7 日 題 目 防火墻設計方案 1、本論文的目的、意 義 目的 :合服網(wǎng)絡寬帶工程的進展和社會廣大群眾對對網(wǎng)絡應 用的擴大，為了為了保證網(wǎng)絡的安全 ，穩(wěn)定，暢通的的運行 意義：作防火墻設計方案的意義是讓社會廣大人民知道什么是防火墻，防火墻是如何應用的，和防火墻的作用：防火墻是設置在被保護網(wǎng)絡和外部網(wǎng)絡之間的一道屏障，以防止發(fā)生不可預測的，潛在破壞性的侵入。讓網(wǎng)絡不在受第三方軟件的入侵，更有利的讓使網(wǎng)絡的安全與暢通 2、學生應完成的任務 （ 1）作設計方案相關知識的搜集熟悉相關系統(tǒng)的操作和原理 （ 2）查找系統(tǒng)學習的相關資料和，進行智能規(guī)劃的制定和代碼的編寫。 （ 3）代碼的軟件環(huán)境測試和調(diào)試校定。 （ 4）軟件代碼加入整個課題系統(tǒng)調(diào)試校定。 （ 5）論文的編寫。 3、論文各部分內(nèi)容及時間分配： (第 20 周 ) 第一部分 查找資料，文獻，了解題目 (1-2 周 ） 第二部分 熟悉各種加密方法 (3-4 周 ) 第三部分 開始寫論文（在老師的指導下） (5-6 周 ) 第四部分 參考別人的論文，把自己的完成的更好 (7-8 周 ) 第五部分 編寫論文 (9-14 周 ) 評閱及答辯 修改論文及答辯 (15-20 周 ) 備 注 防火墻指的是一個由軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障 .是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結(jié)合，使 Internet 與 Intranet 之間建立起一個安全網(wǎng)關（ Security Gateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網(wǎng)關 4 個部分組成 。 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 4 頁 指導 教師： 孟勇 2010 年 5 月 6 日 審 批 人： 年 月 日 摘 要 隨著計算機網(wǎng)絡的日益普及，安全問題變得越來越重要。當今的 Internet 每時每刻都存在著危險，如果用戶在使用 Internet 時不采用任何保護措施，就很容易遭受黑客的攻擊。 Windows 操作系統(tǒng)不開放源代碼，網(wǎng)絡安全專家無法直接修改、增加操作系統(tǒng)中關于網(wǎng)絡協(xié)議實現(xiàn)的代碼來改善操作系統(tǒng)的安全性。因此在 Windows 平臺下保護個人計算機安全上網(wǎng)是個值得研究的問題。 本文主要討論 Windows 環(huán)境下的個人防火墻的實現(xiàn)技術。論文的第一部分介紹了網(wǎng)絡安全的定義和個人防火墻的概念以及防火墻的發(fā)展史和分類。第二部分分析了各種網(wǎng)絡協(xié)議架構(gòu)，分析了它們的區(qū)別與聯(lián)系并在此基礎上分析了 Windows 網(wǎng)絡體系結(jié)構(gòu)。第三部分分析了內(nèi)核模式下的數(shù)據(jù)包攔截技術，對 TDI 和 NDIS 數(shù)據(jù)包攔截技術進行了分析，并著重介紹了 TDI 過濾驅(qū)動程序。第四部分詳細設計了個人防火墻的實現(xiàn)。第五部分對實現(xiàn)的個人防火墻進行功能和性能測試并分析了結(jié)果。 系統(tǒng)在開發(fā)實現(xiàn)過程中采用模塊化、結(jié)構(gòu)化的程序 設計 思想，提高了系統(tǒng)的靈活性和可移植性，可以很方便的通過控管規(guī)則實現(xiàn)對網(wǎng)絡封包的認證操作，提高了系統(tǒng)的過濾效率。 關鍵詞： 網(wǎng)絡安全；防火墻； TDI； NDIS；過濾 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 5 頁 Abstract Along with the popularization of the computer network, security problems are being more and more important. Now the Internet is filled with danger if users who surf on the Internet do not adopt any protective measure，they will be easily attacked by hackers. Windows operating system do not open their source code, network security professors cannot directly alert or add the code about the realization of network protocols in the operating system to improve the security of the operating system. So it is worth the effort to investigate the problem of protecting pc from security problems in windows platform. This paper mainly discussed the personal firewall realization technique in windows environment. The first section of the paper introduced the definition of network security, personal firewall, the development and classes of the firewall. In the second part we introduced two types of network architecture, differences and relationships between them， then we analyzed windows network architecture .The third part analyzed packet filtration technique from core module ,introduced TDI and NDIS packet filtration technique, and stressed on TDI filtration driver. The forth section projected the realization of the firewall in details. The fifth part tested the function and performance of the firewall and analyzed the results. In the lization of this system, we adopted modularized and structured programming idea to improve the flexibility and portability of the system. It is very convenient to achieve authentication operation through control rules, 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 6 頁 this greatly improve systems filtration efficiency. key words： network security； firewall； TDI； NDIS； filtration； 目 錄 第一章 防火墻的介紹 . 3 1.1 防火墻的定義 . 3 1.2 防火墻的類型 . 3 1.3 防火墻的拓撲 . 4 第二章 陳龍公司網(wǎng)絡安全需求分析 . 6 2.1 公司網(wǎng)絡安全需求分析 . 6 2.2 公司網(wǎng)絡存在的風險 . 7 2.3 企業(yè)網(wǎng)絡安全防范分析 . 10 2.4 陳龍公司安全 系統(tǒng)建設目標 . 11 第三章 陳龍公司防火墻布置 . 13 3 1 陳龍公司防火墻設計需求分析 . 13 3 2 防火墻選型 . 13 3 3 陳龍公司防火墻基本配置 . 21 第四章 防火墻的安全管理和維護 . 27 4.1 日常管理 . 27 4.2 監(jiān)視系統(tǒng) . 28 4.3 保持最新狀態(tài) . 30 結(jié) 論 . 31 致 謝 . 31 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 2 頁 參考文獻 . 33 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 3 頁 第一章 防火墻的介紹 1.1 防火墻的定義 所謂防火墻指的是一個由軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障 .是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結(jié)合，使 Internet 與 Intranet 之間 建立起一個安全網(wǎng)關（ Security Gateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網(wǎng)關 4 個部分組成 。 防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件或硬件 (其中硬件防火墻用的較少，例如國防部以及大型機房等地才用 ,因為它價格昂貴 )。該計算機流入流出的所有網(wǎng)絡通信均要經(jīng)過此防火墻。 防火墻 英語為 firewall 英漢證券投資詞典的解釋為：金融機構(gòu)內(nèi)部將銀行業(yè)務與證券業(yè)務嚴格區(qū)分開來的法律屏障，旨在防止可能出現(xiàn)的內(nèi)幕消息共享等不公平交易出現(xiàn)。使用防 火墻比喻不要引火燒身。 當然，既然打算由淺入深的來了解，就要先看看防火墻的概念了。防火墻是汽車中一個部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護乘客安全，而同時還能讓司機繼續(xù)控制引擎。在電腦術語中，當然就不是這個意思了，我們可以類比來理解，在網(wǎng)絡中，所謂 “ 防火墻 ” ，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng) (如 Internet)分開的方法，它實際上是一種隔離技術。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你 “ 同意 ” 的人和數(shù)據(jù)進入你的網(wǎng)絡，同時將你 “ 不同意 ” 的人和 數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的 黑客 來訪問你的網(wǎng)絡。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問 Internet， Internet上的人也無法和公司內(nèi)部的人進行通信。 1.2 防火墻的類型 1.包過濾防火墻 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 4 頁 包過濾 (Packet Filtering)技術是在網(wǎng)絡層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設置的訪問控制列表 (Access Control List)。通過檢查數(shù) 據(jù)包的的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。包過濾防火墻的優(yōu)點是費用不高且不用改動客戶機和主機上的應用程序；缺點是數(shù)據(jù)包可能被竊聽或假冒，一般無報警功能，無高質(zhì)量的監(jiān)控或日志記錄功能，只要這一單一的設備被突破，即會受到危害。 2.應用層代理 應用層代理 (Application-level proxy)是在網(wǎng)絡應用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡應用服務協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進行必要的分析、登記和統(tǒng)計，形成報告。 3.鏈路層代理 鏈路層代理 (Circuit-level Proxy)是針對數(shù)據(jù)包過濾和應用層代理技術存在的缺點，將所有跨越防火墻的網(wǎng)絡通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應用層的“鏈接”，由兩個終止代理服務器上的“鏈路”來實現(xiàn)，外部計算機的網(wǎng)絡鏈路只能到達代理服務器，從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。 4.復合型防火墻 復合型防火墻是指將包過濾的方法和基于應用層代理的方法結(jié)合起來形成的防火墻。 1.3 防火墻的拓撲 1.屏蔽路由器 屏蔽路由器 (圖 1-1)是包過濾路由器的另一種稱呼，它是一個 多端口的 IP 路由器，通過對每一個到來的 IP 包依據(jù)組規(guī)則進行檢查來判斷是否對之進行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息，例如協(xié)議號、收發(fā)報文的 IP 地址和端口號、連接標志以及另外一些IP 選項，對 IP 包進行過濾。 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 5 頁 屏蔽路由器的最大優(yōu)點就是架構(gòu)簡單且硬件成本較低，缺點則是建立包過濾規(guī)則比較困難，加之屏蔽路由器的管理成本以及用戶級身份認證的缺乏等。 圖 1-1 包過濾路由器 2.單目壁壘主機 第二種流行的防火墻類型是使用一臺單目主機加一臺屏蔽路由器的屏蔽主機。單目壁壘主機 (圖 1-2)既可以被配置成鏈路級也可以是應 用級網(wǎng)關。當使用這兩種類型中的任意一種時，每一個都是代理服務器，壁壘主機可以隱藏內(nèi)部網(wǎng)絡的配置。單目壁壘主機使用網(wǎng)絡地址翻譯 (NAT)來提供這種功能。 這種實施方式更優(yōu)于包過濾防火墻，因為它增加了一臺壁壘主機，對于黑客來說他不僅需要攻破包過濾路由器還需要攻破壁壘主機。但比起包過濾器來說，這種方法的缺點在于成本的增加和性能的下降，因為多了一臺設備且壁壘主機要對信息進行處理，網(wǎng)絡需要更多的時間對用戶的請求進行回應。 圖 1-2 單目壁壘主機 3.多目壁壘主機 多目壁壘主機 (雙目壁壘主機如圖 1-3)的方法顯著 地增加安全性，因為你可以配置 2 塊或更多的網(wǎng)卡在主機上，這樣，這種防火墻在網(wǎng)絡和任意外部網(wǎng)絡之間建立了一個完全的物理間隔。在這種方法中，黑客繞不過防火墻，此外，即使黑客能夠使屏蔽路由器或多目壁壘主機失效，他仍將不得不滲透其他的防火墻實現(xiàn)類型，大大降低了攻擊進行的速度。同單目壁壘主機一樣，多目壁壘主機也允許網(wǎng)絡管理員實施 NAT。 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 6 頁 圖 1-3 雙目目壁壘主機 4.DMZ(屏蔽子網(wǎng)防火墻 ) DMZ(Demilitarized Zone 非軍事化區(qū)域 )(圖 1-4)也被稱作屏蔽子網(wǎng)防火墻，它在Internet 和你的網(wǎng)絡 之間建立了一個相當安全的空間。它在定義時使用壁壘主機支持鏈路級和應用級網(wǎng)關，在這個配置中，所有公共的可訪問的設備都被放在這個區(qū)域中。然后，這個 DMZ 像一個小的隔離的網(wǎng)絡一樣工作，安置于 Internet 和內(nèi)部網(wǎng)絡之間。這樣的好處在于，黑客必須破壞三個分離的設備而且不被發(fā)現(xiàn)才能接近網(wǎng)絡；內(nèi)部網(wǎng)絡不會被暴露；內(nèi)部用戶不能穿越壁壘主機而訪問到 Internet。 圖 1-4 數(shù)據(jù)避開雙主機防火墻 第二章 陳龍公司網(wǎng)絡安全需求分析 2.1 公司網(wǎng)絡安全需求分析 公司的網(wǎng)絡現(xiàn)狀 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 7 頁 公司采用固定 IP 地址接入互連網(wǎng)，網(wǎng)絡拓 撲如圖 2-1。公司一共有 2 個工作組，為全交換式的工作組網(wǎng)絡，工作組 1 是 1 臺 Web 服務器和 1 臺 FTP 服務器分別向外部用戶和內(nèi)部用戶提供 Web 服務和 Ftp 服務；工作組 2 是公司的內(nèi)部用戶。 2 個工作組交換機通過一個總的節(jié)點交換機連接到代理服務器再連接到 Internet。 圖 2-1 公司網(wǎng)絡拓撲 2.2 公司網(wǎng)絡存在的風險 由于企業(yè)網(wǎng)絡由內(nèi)部網(wǎng)絡、外部網(wǎng)絡和企業(yè)廣域網(wǎng)組成，網(wǎng)絡結(jié)構(gòu)復雜，威脅主要來自：病毒的侵襲、黑客的非法闖入、數(shù)據(jù) 竊聽 和攔截、拒絕服務、內(nèi)部網(wǎng)絡安全、電子商務攻擊、惡意掃描、密碼破解、數(shù)據(jù)篡改 、垃圾郵件、地址欺騙和基礎設施破壞等。 下面來分析幾個典型的網(wǎng)絡攻擊方式： 1.病毒的侵襲 幾乎有計算機的地方，就有出現(xiàn)計算機病毒的可能性。計算機病毒通常隱藏在文件或程序代碼內(nèi)，伺機進行自我復制，并能夠通過網(wǎng)絡、磁盤、光盤等諸多手段進行傳播。正因為計算機病毒傳播速度相當快、影響面大，所以它的危害最能引起人們的關注。 病毒的 毒性 不同，輕者只會玩笑性地在受害機器上顯示幾個警告信息，重則有可能破壞或危及個人計算機乃至整個企業(yè)網(wǎng)絡的安全 。 有些黑客會有意釋放病毒來破壞數(shù)據(jù)，而大部分病毒 是在不經(jīng)意之間被擴散出四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 8 頁 去的。員工在不知情的情況下打開了已感染病毒的電子郵件附件或下載了帶有病毒的文件，這導致了病毒的傳播。這些病毒會從一臺個人計算機傳播到另一臺，因而很難從某一中心點對其進行檢測。 任何類型的網(wǎng)絡免受病毒攻擊最保險和最有效的方法是對網(wǎng)絡中的每一臺計算機安裝防病毒軟件，并定期對軟件中的病毒定義進行更新。值得用戶信賴的防病毒軟件包括 Symantec、 Norton 和 McAfee 等。然而，如果沒有 憂患意識 ，很容易陷入 盲從殺毒軟件 的誤區(qū)。 因此，光有工具不行，還必須在意識上加強 防范，并且注重操作的正確性；重要的是在企業(yè)培養(yǎng)集體防毒意識，部署統(tǒng)一的防毒策略，高效、及時地應對病毒的入侵 。 2.黑客的非法闖入 隨著越來越多黑客案件的報道，企業(yè)不得不意識到黑客的存在。黑客的非法闖入是指黑客利用企業(yè)網(wǎng)絡的安全漏洞，不經(jīng)允許非法訪問企業(yè)內(nèi)部網(wǎng)絡或數(shù)據(jù)資源，從事刪除、復制甚至毀壞數(shù)據(jù)的活動。一般來說，黑客常用的入侵動機和形式可以分為兩種。 黑客通過尋找未設防的路徑進入網(wǎng)絡或個人計算機，一旦進入，他們便能夠竊取數(shù)據(jù)、毀壞文件和應用、阻礙合法用戶使用網(wǎng)絡，所有這些都會對企業(yè)造成危害 。黑客非法闖入將具備企業(yè)殺手的潛力，企業(yè)不得不加以謹慎預防。 防火墻是防御黑客攻擊的最好手段。位于企業(yè)內(nèi)部網(wǎng)與外部之間的防火墻產(chǎn)品能夠?qū)λ衅髨D進入內(nèi)部網(wǎng)絡的流量進行監(jiān)控。不論是基于硬件還是軟件的防火墻都能識別、記錄并阻塞任何有非法入侵企圖的可疑的網(wǎng)絡活動。硬件防火墻產(chǎn)品應該具備以下先進功能： （ 1） 狀態(tài)檢查 :在數(shù)據(jù)包通過防火墻時對數(shù)據(jù)進行檢查，以確定是否允許進入局域網(wǎng)絡。 （ 2） 流量控制 :根據(jù)數(shù)據(jù)的重要性管理流入的數(shù)據(jù)。 （ 3） 虛擬專用網(wǎng) (VPN)技術 :使遠程用戶能夠安全地連接局域 網(wǎng)。 （ 4） Java、 ActiveX 以及 Cookie 屏蔽 :只允許來自可靠 Web 站點上的應用程序運行。 （ 5） 代理服務器屏蔽 (Proxyblocking):防止局域網(wǎng)用戶繞過互聯(lián)網(wǎng)過濾系統(tǒng) 。 （ 6） 電子郵件發(fā)信監(jiān)控 (Outgoinge-mailscreening):能夠阻塞帶有特定詞句電子郵件的發(fā)送，以避免企業(yè)員工故意或無意的泄露某些特定信息。 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 9 頁 3.數(shù)據(jù) 竊聽 和攔截 這種方式是直接或間接截獲網(wǎng)絡上的特定數(shù)據(jù)包并進行分析來獲取所需信息。一些企業(yè)在與第三方網(wǎng)絡進行傳輸時，需要采取有效措施來 防止重要數(shù)據(jù)被中途截獲，如用戶信用卡號碼等。加密技術是保護傳輸數(shù)據(jù)免受外部竊聽的最好辦法，其可以將數(shù)據(jù)變成只有授權接收者才能還原并閱讀的編碼。 進行加密的最好辦法是采用虛擬專用網(wǎng) (VPN)技術。一條 VPN 鏈路是一條采用加密隧道 (tunnel)構(gòu)成的遠程安全鏈路，它能夠?qū)?shù)據(jù)從企業(yè)網(wǎng)絡中安全地輸送出去。兩家企業(yè)可以通過 Internet 建立起 VPN 隧道。一個遠程用戶也可以通過建立一條連接企業(yè)局域網(wǎng)的 VPN 鏈路來安全地訪問企業(yè)內(nèi)部數(shù)據(jù)。 4.拒絕服務 這類攻擊一般能使單個計算機或整個網(wǎng)絡癱 瘓，黑客使用這種攻擊方式的意圖很明顯，就是要阻礙合法網(wǎng)絡用戶使用該服務或破壞正常的商務活動。例如，通過破壞兩臺計算機之間的連接而阻止用戶訪問服務；通過向企業(yè)的網(wǎng)絡發(fā)送大量信息而堵塞合法的網(wǎng)絡通信，最后不僅摧毀網(wǎng)絡架構(gòu)本身，也破壞整個企業(yè)運作。 5.內(nèi)部網(wǎng)絡安全 為特定文件或應用設定密碼保護能夠?qū)⒃L問限制在授權用戶范圍內(nèi)。例如，銷售人員不能夠瀏覽企業(yè)人事信息等。但是，大多數(shù)小型企業(yè)無法按照這一安全要求操作，企業(yè)規(guī)模越小，越要求每一個人承擔更多的工作。如果一家企業(yè)在近期內(nèi)會迅速成長，內(nèi)部網(wǎng)絡的安 全性將是需要認真考慮的問題。 6.電子商務攻擊 從技術層次分析，試圖非法入侵的黑客，或者通過猜測程序?qū)孬@的用戶賬號和口令進行破譯，以便進入系統(tǒng)后做更進一步的操作；或者利用服務器對外提供的某些服務進程的漏洞，獲取有用信息從而進入系統(tǒng)；或者利用網(wǎng)絡和系統(tǒng)本身存在的或設置錯誤引起的薄弱環(huán)節(jié)和安全漏洞實施電子引誘，以獲取進一步的有用信息；或者通過系統(tǒng)應用程序的漏洞獲得用戶口令，侵入系統(tǒng)。 除上述威脅企業(yè)網(wǎng)絡安全的主要因素外，還有如下網(wǎng)絡安全隱患： 惡意掃描：這種方式是利用掃描工具 (軟件 )對特定機器進行掃描，發(fā)現(xiàn)漏洞進而發(fā)起相應攻擊。 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 10 頁 密碼破解：這種方式是先設法獲取對方機器上的密碼文件，然后再設法運用密碼破解工具獲得密碼。除了密碼破解攻擊，攻擊者也有可能通過猜測或網(wǎng)絡竊聽等方式獲取密碼。 數(shù)據(jù)篡改：這種方式是截獲并修改網(wǎng)絡上特定的數(shù)據(jù)包來破壞目標數(shù)據(jù)的完整性。 地址欺騙：這種方式是攻擊者將自身 IP 偽裝成目標機器信任機器的 IP 地址，以此來獲得對方的信任。 垃圾郵件 主要表現(xiàn)為黑客利用自己在網(wǎng)絡上所控制的計算機向企業(yè)的郵件服務器發(fā)送大量的垃圾郵件，或者利用企業(yè)的郵件服務器把垃圾郵件發(fā) 送到網(wǎng)絡上其他的服務器上。 基礎設施破壞：這種方式是破壞 DNS 或路由器等基礎設施，使得目標機器無法正常使用網(wǎng)絡。 由上述諸多入侵方式可見，企業(yè)可以做的是如何盡可能降低危害程度。除了采用防火墻、數(shù)據(jù)加密以及借助公鑰密碼體制等手段以外，對安全系數(shù)要求高的企業(yè)還可以充分利用網(wǎng)絡上專門機構(gòu)公布的常見入侵行為特征數(shù)據(jù) -通過分析這些數(shù)據(jù)，企業(yè)可以形成適合自身的安全性策略，努力使風險降低到企業(yè)可以接受且可以管理的程度。 2.3 企業(yè)網(wǎng)絡安全防范分析 要保證系統(tǒng)安全的關鍵，首先要做到重視安全管理，不要 坐以 待斃 ，可以說，企業(yè)的信息安全，是一個整體的問題，需要從管理與技術相結(jié)合的高度，制定與時俱進的整體管理策略，并切實認真地實施這些策略 ，才能達到提高企業(yè)信息系統(tǒng)安全性的目的。 因此我們要做到： 風險評估：要求企業(yè)清楚自身有哪些系統(tǒng)已經(jīng)聯(lián)網(wǎng)、企業(yè)網(wǎng)絡有哪些弱點、這些弱點對企業(yè)運作都有哪些具體風險，以及這些風險對于公司整體會有怎樣的影響。 安全計劃：包括建立企業(yè)的安全政策，掌握保障安全性所需的基礎技術，并規(guī)劃好發(fā)生特定安全事故時企業(yè)應該采取的解決方案。企業(yè)網(wǎng)絡安全的防范策略目的就是決定一個組織機構(gòu)怎樣來保護 自己。 一般來說，安全策略包括兩個部分：一個總體的安全策略和具體的規(guī)則?？傮w四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 11 頁 安全策略制定一個組織機構(gòu)的戰(zhàn)略性安全指導方針，并為實現(xiàn)這個方針分配必要的人力物力。 計劃實施：所有的安全政策，必須由一套完善的管理控制架構(gòu)所支持，其中最重要的要素是要建立完整的安全性解決方案。 技術與管理不是孤立的， 此技術與管理是： 物理隔離：即在網(wǎng)絡建設的時候單獨建立兩套相互獨立的網(wǎng)絡，一套用于部門內(nèi)部辦公自動化，另一套用于連接到 Internet，在同一時候，始終只有一塊硬盤處于工作狀態(tài)，這樣就達到了真正 意義上的物理安全隔離。 遠程訪問控制：主要是針對于企業(yè)遠程撥號用戶，在內(nèi)部網(wǎng)絡中配置用戶身份認證服務器。在技術上通過對接入的用戶進行身份和密碼驗證，并對所有的用戶機器的MAC 地址進行注冊，采用 IP 地址與 MAC 地址的動態(tài)綁定，以保證非授權用戶不能進入。 病毒的防護：培養(yǎng)企業(yè)的集體防毒意識，部署統(tǒng)一的防毒策略，高效、及時地應對病毒的入侵。 防火墻：目前技術最為復雜而且安全級別最高的防火墻是隱蔽智能網(wǎng)關 , 它將網(wǎng)關隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關提供了對互聯(lián)網(wǎng)服務進行幾乎透明 的訪問 , 同時阻止了外部未授權訪問對專用網(wǎng)絡的非法訪問。一般來說 , 這種防火墻的安全性能很高，是最不容易被破壞和入侵的。 因此，公司的的網(wǎng)絡安全必須依賴于防火墻，防御外來的侵入。 2.4 陳龍公司安全系統(tǒng)建設目標 隨著公司的發(fā)展，互連網(wǎng)的發(fā)展，一方面，公司的工作站數(shù)量增加且需求或任務多樣化給管理帶來了更多的麻煩；另一方面，網(wǎng)絡安全也面臨著更大挑戰(zhàn)。公司原來的網(wǎng)絡安全方案早已經(jīng)不能滿足新的需求了?，F(xiàn)在將公司安全系統(tǒng)建設目標羅列如下： 1.互連網(wǎng)用戶和公司內(nèi)部用戶能夠訪問 Web 服務器 2.只有內(nèi)部用戶可以訪問 Ftp 服務器 3.只允許做客戶服務的員工 (IP 地址范圍為： -0)在工作時間上互連網(wǎng)瀏覽網(wǎng)頁和收發(fā)郵件 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 12 頁 4.允許出差員工通過 VPN 連接和內(nèi)部網(wǎng)絡進行互相訪問 5.禁止除以上要求外的所有通訊四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 13 頁 第三章 陳龍公司防火墻布置 3 1 陳龍公司防火墻設計需求分析 通過公司網(wǎng)絡了解，公司的網(wǎng)絡主要由辦公室，財務處，科研室，服務中心，職工就業(yè)中心，公司機房這六個部分組成整個網(wǎng)絡沒有防火墻設備，只用一款軟件防火墻，故效率低，抗攻擊力效弱；因為網(wǎng)絡安全的問題，目前財務處不能上網(wǎng)，這使嚴重影響本部門辦事的效率，沒有充分的利用網(wǎng)絡給人們帶來的方便和快捷；各個部門均在同一個網(wǎng)絡中，這樣使整個網(wǎng)絡在一個沖突域中，在信息高峰時間會導致網(wǎng)絡阻塞；內(nèi)部是通過使用代理服務器上網(wǎng)，所有信息都通過服務器中的兩個網(wǎng)卡進行轉(zhuǎn)發(fā)，這樣會導致網(wǎng)絡速度很慢；為了實現(xiàn)本院網(wǎng)絡發(fā)展趨勢，故需在內(nèi)網(wǎng)與外網(wǎng)之間布署一款硬件防火墻來補充目前網(wǎng)絡面臨的缺點 3 2 防火墻選型 3 2 1 選型類型 防火墻選型的類別： 第一，以需求為導向，選擇最適合本企業(yè)需求的產(chǎn)品。由于防火墻的各項指標具有較強的專業(yè)性，因此企業(yè)在選擇時，有必要把防火墻 的主要指標和需求聯(lián)系起來。另外，還要考慮到企業(yè)可承受的性價比。 第二， 對于產(chǎn)品的選型，可參考的指標來源有廠家提供的技術白皮書、各種測評機構(gòu)的橫向?qū)Ρ葴y試報告，從中可以了解產(chǎn)品的一些基本性能情況。 第三，要完全按照企業(yè)的實際需求來對比各種品牌的滿足程度，最好是根據(jù)需求，定制一套解決方案，并對防火墻在統(tǒng)一測試條件和測試環(huán)境下進行橫向?qū)Ρ取?第 四 ，了解產(chǎn)品的性能指標、性能指標主要包括吞吐量、丟包率、延遲、最大并發(fā)連接數(shù)、并發(fā)連接處理速率等。用戶在選擇時，應該根據(jù)自身的網(wǎng)絡規(guī)模和需求，對上述幾個指標參數(shù)進行詳 細了解，選擇適合的產(chǎn)品。 因此：我們在防火墻選型上必要先了解防火墻的類別。 3 2 2 PIX 防火墻介紹 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 14 頁 強壯的安全特性 Internet 的發(fā)展為 公司 網(wǎng)絡帶來了更大的安全風險。現(xiàn)有的解決方案如運行在應用層的基于代理的防火墻具有很多限制條件，包括性能低、需要昂貴的通用平臺、使用開放系統(tǒng)如 UNIX 時本身具有安全風險等。 而 Cisco Secure PIX 防火墻能夠提供空前的安全保護能力，它的保護機制的核心是能夠提供面向靜態(tài)連接防火墻功能的自適應安全算法（ ASA）。靜態(tài)安全性雖然比較簡單，但與包 過濾相比，功能卻更加強勁；另外，與應用層代理防火墻相比，其性能更高，擴展性更強。 ASA 可以跟蹤源和目的地址、傳輸控制協(xié)議（ TCP）序列號、端口號和每個數(shù)據(jù)包的附加 TCP 標志。只有存在已確定連接關系的正確的連接時，訪問才被允許通過 Cisco Secure PIX 防火墻。這樣做，內(nèi)部和外部的授權用戶就可以透明地訪問企業(yè)資源，而同時保護了內(nèi)部網(wǎng)絡不會受到非授權訪問的侵襲。 另外，實時嵌入式系統(tǒng)還能進一步提高 Cisco Secure PIX 防火墻系列的安全性。雖然 UNIX 服務器是廣泛采用公開源代碼的理想開放開發(fā)平 臺，但通用的操作系統(tǒng)并不能提供最佳的性能和安全性。而專用的 Cisco Secure PIX 防火墻是為了實現(xiàn)安全、高性能的保護而專門設計。 與 IPsec 互操作的安全 VPN 從傳統(tǒng)上來說，防火墻通過維護所連接網(wǎng)段之間所有連接的靜態(tài)控制實現(xiàn)了邊界安全性。目前，越來越多的客戶正在尋求除了提供訪問控制以外，還能提供 VPN 服務的防火墻。利用 VPN，遠程用戶或分布在各地的分支機構(gòu)能夠以更低的成本安全地訪問企業(yè)網(wǎng)，同時，使用 Internet 訪問可以大大降低與以前的專線或其它專用網(wǎng)絡相關的電信費用。公司就不需要維護大 型的 Modem 池和訪問服務器來處理遠程的撥號用戶，而這些都是需要花費大量資金并且讓管理員頭痛的事情?，F(xiàn)在，只需要向 ISP 進行本地呼叫，用戶就可以通過 Internet 安全的訪問專用的企業(yè) Intranet。 PIX 525 實現(xiàn)了在 Internet 或所有 IP 網(wǎng)絡上的安全保密通信。它集成了 VPN的主要功能 - 隧道、數(shù)據(jù)加密、安全性和防火墻，能夠提供一種安全、可擴展的平臺來更好、更經(jīng)濟高效地使用公共數(shù)據(jù)服務來實現(xiàn)遠程訪問、遠程辦公和外部網(wǎng)連接。 525可以同時連接高達 4 個 VPN 層，為用戶提供完整的 IPsec 標 準實施方法，其中 IPsec 保證了保密性、完整性和認證能力。對于安全數(shù)據(jù)加密， Cisco 的 IPsec 實現(xiàn)方法全部支持 56 位數(shù)據(jù)加密標準（ DES）和 168 位三重 DES 算法。 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 15 頁 極端的可靠性 PIX 防火墻提供了空前的可靠性，其平均無故障時間（ MTBF）超過 60000 小時。即使是達到了這樣高的水平，那些 Internet、 Intranet 或 Extranet 連接是企業(yè)生命線的企業(yè)還是認識到了防火墻冗余是一項關鍵因素。防火墻的每一分鐘停止運行都意味著收入、機會或關鍵信息的損失。 Cisco 已經(jīng)創(chuàng)建了配合 PIX 525-UR 使用的故障切換捆綁程序，能夠簡單、便宜地滿足上述要求。該程序包為企業(yè)提供了特別設計在故障切換模式下運行的第二個防火墻，而其價格僅是標準 PIX 525 UR 捆綁件的一小部分。 令人驚奇的靈活性 Cisco Secure PIX 525 防火墻支持各種網(wǎng)絡接口卡（ NIC）。標準 NIC 包括單端口或 4 端口 10/100 快速以太網(wǎng)、千兆位以太網(wǎng)、 4/16 令牌環(huán)和雙連接多模 FDDI 卡。 另外， PIX 525 還提供多種電源選件，用戶可以選擇交流或 48V 直流電源。每一種選件都配有為第二個 故障切換 PIX 系統(tǒng)準備的成對兒產(chǎn)品，從而實現(xiàn)最高的冗余和高可用性。 主要特性和優(yōu)點 Cisco 端到端解決方案的組成部分 - 允許各公司將經(jīng)濟高效、無縫的網(wǎng)絡基礎設施擴展到分支機構(gòu)。 最低的擁有成本 - 安裝、配置簡單，網(wǎng)絡中斷時間更少。另外，允許透明地支持 Internet 多媒體應用，不再需要實際調(diào)整和重新配置每一臺客戶工作站或 PC 機。 UNIX 的安全、實時和嵌入式系統(tǒng) - 消除了通用 操作系統(tǒng)所帶來的風險，提供了突出的性能。 于標準的虛擬專網(wǎng) - 使管理員可以降低通過 Internet 或其它公共 IP 網(wǎng)絡將移動用戶和遠程站點與企業(yè)網(wǎng)絡相連的成本。 適應安全算法 - 為所有的 TCP/IP 對話提供靜態(tài)安全性，以保護敏感的保密資源。 靜態(tài)故障切換 /熱備用 - 提供高可用性，使網(wǎng)絡可靠性最大。 網(wǎng)絡地址轉(zhuǎn)換（ NAT） - 節(jié)省寶貴的 IP 地址；擴展網(wǎng)絡地址空間；隱藏 IP 地址，使之不被外部得到。 斷通過代理 - 提供業(yè)界最高的認證性能；通過重新使用現(xiàn)有認證數(shù)據(jù)庫降 低擁有成本。 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 16 頁 多種網(wǎng)絡接口卡 - 為 Web 和所有其它的公共訪問服務器、與不同合作伙伴的多種外部網(wǎng)鏈路、得到保護的記錄和 URL 過濾服務器提供強大的安全性。 支持多達 28 萬個同時連接 - 部署很少的防火墻就能極大地提高代理服務器的性能。 防止拒絕服務攻擊 - 保護防火墻及其后面的服務器和客戶機不受破壞性的黑客攻擊。 支持各種應用 - 全面降低防火墻對網(wǎng)絡用戶的影響。 Java Applet 過濾 - 使防火墻可以在每個客戶機或每個 IP 地址上終止具有潛在危險的 Java 應用。 支持多媒體應用 - 降低了支持這些協(xié)議所需要的管理時間和成本。無需特殊的客戶機配置。 設置簡單 - 只需 6 條命令就能實現(xiàn)一般的安全策略。 緊湊設計 - 可以更加容易地部署在桌面或更小的辦公設置中。 URL 過濾 - 當與 Websense 企業(yè)軟件配合使用時，可以提供控制哪些 Web 站點的用戶可以出于計費的目的來訪問和維護審計跟蹤數(shù)據(jù)的能力。對 PIX 防火墻性能的影響最小。郵件保護 - 不再需要外部郵件在外圍網(wǎng)絡中轉(zhuǎn)發(fā)，也防止了外部郵件轉(zhuǎn)發(fā)過程中的拒絕服務攻擊。 3 2 3 技術規(guī)范 硬件 處理器： 600MHz Intel Pentium III 隨機讀寫內(nèi)存：高達 256 MB 閃存： 16 MB 接口：雙集成 10 Base-T 快速以太網(wǎng)， RJ45 PCI 插槽： 3 個 控制臺端口： RJ-45 設備更新處理：僅使用小型文件傳輸協(xié)議（ TFTP） 故障切換端口： DB-15（ RS 232） 物理指標 高度： 3.5 英寸（ 8.89 厘米） 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 17 頁 寬度： 17.5 英寸（ 44.45 厘米） 長度： 18.25 英寸（ 46.36 厘米） 重量：約 32 磅（ 14.5 千克） 電源需要 自 適應： 100 - 240VAC 頻率： 50-60 Hz 電流： 5 - 2.5 安培 工作環(huán)境 工作溫度： -5 - 55C （ -25 - 131F ） 非工作溫度： -25 - 70C （ -13 - 158F ） 工作濕度： 95%相對濕度（ RH） 工作高度： 3000 米（ 9843 英尺）， 40C （ 104F ） 非工作高度： 4570 米（ 15000 英尺）， 25C （ 77F ） 工作沖擊： 1.14 m/s（ 45 in/s）， 1/2 正弦輸入 非工作沖擊： 30G 工作震動： 0.41 Grms2（ 3-500Hz）隨機輸入 非工作震動： 0.41 Grms2（ 3-500Hz）隨機輸入 熱耗（滿功率使用時的最壞情況）： 410 BTU/小時（基于 30W 的 PS） EMI： CE、 VCCI Class II、 FCC、 BCIQ、 Austel 安全認證： UL, C-UL, TUV, IEC 950 UL-1950 標準：第三版 TUV EN 60950：第二版， Am. 1-4 陳龍公司防火墻的配置 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 18 頁 圖 3-1 陳龍公司網(wǎng)絡結(jié)構(gòu)圖 以上是我公司的網(wǎng)絡結(jié)構(gòu)圖，我公司的網(wǎng)絡主要由政務處， 財務處，科研室，服務中心，職員就業(yè)中心，公司機房這六個部分組成，整個網(wǎng)絡由防火墻，交換機，服務器和 PC 組成，通過 cisco pix 525 防火墻與 internet 連接，向電信審請一個獨立的公網(wǎng)IP： 2 ,公司機房和職工就業(yè)中心連接在 PIX525 的 E1 接口，政務處和財務處分別連接在 PIX525的 E2和 3接口，科研室和服務中心連接在 Pix525 E4接口上所有的服務器均連接在 PIX525 的 DMZ 區(qū)上 .如下是各個分區(qū) IP 規(guī)劃 : 公司機房 : IP:01/2454/24 網(wǎng)關 : DNS 9 Domain:S 職工就業(yè)中心 : IP:0/2400/24 網(wǎng)關 : DNS 9 Domain:S 政務處 : IP:0/2400/24 網(wǎng)關 : DNS 9 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 19 頁 Domain:S 財務處 : IP:0/2400/24 網(wǎng)關 : DNS 9 Domain:S 科研室 : IP:1/2400/24 網(wǎng)關 : DNS 9 Domain:S 服務中心 : IP:0/240/24 網(wǎng)關 : DNS 9 Domain:S DMZ: DNS server: (DC,RADIUS,公司業(yè)務系統(tǒng) ,) IP: /24 網(wǎng)關 : DNS 9 Domain:S WEB server IP:/24 網(wǎng)關 : DNS 9 Domain:S PIX : E0(outside): 2 /28 E1(xuechuang) /24 E2(jiaowu)/24 E3(chaiwu)/24 E4(jiaohu)/24 E5(DMZ)/24 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 20 頁 陳龍公司防火墻連接 圖 3-2 PIX 防火墻從外觀上和路由器差不多。（如圖 3-2）正面沒有任何接口，只顯示指示燈。所有的接口都在 PIX 防火墻的背面。（如圖 3-3） 圖 3-3 大家會發(fā)現(xiàn)該設備接口很多，從 RJ45 到 USB 接口，從顯示器接口到電源接口。我們進一步放大背面各個接口可以看得更加清晰。（如圖 3-4） 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 21 頁 圖 3-4 可以根據(jù)圖中的指示找到對應的接口，當然默認情況下 只有這些接口， 在公司我又增加了三張網(wǎng)卡 。我們用到最多的是 console 口（控制臺）和 六個 RJ45 網(wǎng)線接口。安裝 PIX 和安裝普通的路由器和交換機一樣，用鑼釘將設備固定在 本院的 機柜上即可，同時注意散熱和 UPS 不間斷電源的供應。 一臺新的 PIX 防火墻不經(jīng)過任何配置是無法投入使用的。我們需要用 CONSOLE 線連接設備的 CONSOLE 口并根據(jù)實際應用環(huán)境進行設置，登錄 PIX 的管理界面很簡單，將CONSOLE 線連接控制臺接口即可。 圖 3-5 3 3 陳龍公司防火墻基本配置 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 22 頁 防火墻命名 Pixenable Pix#configure terminal Pix(config)#hostname Pix525 Pix525（ config） #enable password cisco enctypted Pix525（ config） # password cisco enctypted Pix525（ config） # domain-name 配置防火墻接口的名字，并指定安全級別（ nameif）： Pix525(config)#nameif Ethernet0 outside security 0 Pix525(config)#nameif Ethernet1 jichuang security 30 Pix525(config)#nameif Ethernet2 jiaowu security 100 Pix525(config)#nameif Ethernet3 chaiwu security 70 Pix525(config)#nameif Ethernet4 jiaohu security 30 Pix525(config)#nameif DMZ security 50 配置以太口參數(shù)（ interface）： Pix525(config)#interface Ehternet0 auto Pix525(config)#interface Ehternet1 100full Pix525(config)#interface Ehternet2 100full Pix525(config)#interface Ehternet3 100full Pix525(config)#interface Ehternet4 auto Pix525(config)#interface DMZ auto 配置內(nèi)外網(wǎng)卡的 IP 地址（ ip address）： Pix525(config)#ip address jichuang Pix525(config)#ip address jiaowu Pix525(config)#ip address chaiwu Pix525(config)#ip address jiaohu Pix525(config)#ip address outside 2 52 Pix525(config)#ip address DMZ 配置 fixup 協(xié)議： 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 23 頁 fixup 命令作用是啟用，禁止，改變一個服務或協(xié)議通過 pix 防火墻，由 fixup 命令指定的端口是 pix 防火墻要偵聽的服務。 Pix525(config)#no fixup protocol smtp 80 Pix525(config)#fixup protocol dns maximum-length 512 Pix525(config)#fixup protocol ftp 21 Pix525(config)#fixup protocol h323 h225 1720 Pix525(config)#fixup protocol h323 ras 1718-1719 Pix525(config)#fixup protocol http 80 Pix525(config)#fixup protocol ils 389 Pix525(config)#fixup protocol rsh 514 Pix525(config)#fixup protocol rtsp 554 Pix525(config)#fixup protocol sip 5060 Pix525(config)#fixup protocol sip udp 5060 Pix525(config)#fixup protocol skinny 2000 Pix525(config)#fixup protocol smtp 25 Pix525(config)#fixup protocol sqlnet 1521 Pix525(config)#fixup protocol tftp 69 路由配置 Pix525(config)#Route outside interface Pix525(config)#Route jichuang 2 Pix525(config)#Route chaiwu 2 Pix525(config)#Route jiaohu 2 Pix525(config)#Route jiaowu 2 Pix525(config)#Route DMZ 2 VPN IPSEC 配置 Pix525(config)#aaa-server TACACS+ protocol tacacs Pix525(config)#aaa-server RADIUS protocol radius 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 24 頁 Pix525(config)#aaa-server LOCAL protocol local 服務器使用的協(xié)議 Pix525(config)#Sysopt connection permit-ipsec 對于所有 IPSec 流量不檢測允許其通過 Pix525(config)#crypto ipsec transform-set aaades esp-des esp-md5-hmac 定義一個變換集 aaades Pix525(config)#crypto dynamic-map dynomap 10 set transform-set aaades 把變換集 aaades 添加到動態(tài)加密策略 dynomap Pix525(config)#crypto map vpnpeer 20 ipsec-isakmp dynamic dynomap 把動態(tài)加密策略綁定到 vpnpeer 加密圖 Pix525(config)#crypto map vpnpeer client authentication RADIUS 定義需要驗證服務器。 Pix525(config)#crypto map vpnpeer client configuration address initiate 定義給每個客戶端分配 IP 地址 Pix525(config)#crypto map vpnpeer client configuration address respond 定義 PIX 防火墻接受來自任何 IP 的請求 Pix525(config)#crypto map vpnpeer interface outside 把動態(tài)加密圖 vpnpeer 綁定到 outside 口 Pix525(config)#isakmp enable outside 在 outside 口啟用 isakmp Pix525(config)#isakmp key 1234 address netmask 定義共享密匙，并接受任何地址的請求。 Pix525(config)#isakmp client configuration address-pool local dialer outside 將 VPN client 地址池綁定到 isakmp Pix525(config)#isakmp policy 10 authentication pre-share 定義 phase 1 使用 pre-shared key 進行認證 Pix525(config)#isakmp policy 10 encryption des 定義 phase 1 協(xié)商用 DES 加密算法 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 25 頁 Pix525(config)#isakmp policy 10 hash md5 定義 phase 1 協(xié)商用 MD5 散列算法 Pix525(config)#isakmp policy 10 group 2 定義 phase 1 進行 IKE 協(xié)商使用 DH group 2 Pix525(config)#isakmp policy 10 lifetime 86400 定義 IKE SA 生存時間 Pix525(config)#ip local pool dialer 0-00 定義分配給 VPN client 的 IP 地址池 Pix525(config)#vpngroup student0 address-pool dialer 定義 VPN client 撥入使用的 vpngroup 所分配的 IP 地址池 Pix525(config)#vpngroup student0 idle-time 1800 定義 vpngroup 的空閑時間 Pix525(config)#vpngroup student0 password 1234 定義 vpngroup 的 pre-shared key Pix525(config)#telnet inside Pix525(config)#telnet timeout 5 Pix525(config)#ssh 55 inside Pix525(config)#ssh timeout 20 Pix525(config)#terminal width 80 Pix525(config)#username vpnuser password vpnuser 在 PIX 上創(chuàng)建一個用戶，用戶名密碼都為 vpnuser 防火墻 NAT 與 ACL 配置 配置 WEB 服務器被訪問 Pix525(config)#static(inside,outside) tcp 2 www 80 netmask 55 0 0 Pix525(config)#static(inside,outside) udp 2 domain donain netmask 55 0 0 Pix525(config)#Conduit permit icmp any any Pix525(config)#Conduit permit tcp host eq www any 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 26 頁 Pix525(config)#conduit permit udp host 2 eq domain any Pix525(config)# Conduit permit ip host eq www any Pix525(config)# Conduit permit ip eq www any 配置辦公網(wǎng)絡地址轉(zhuǎn)換 Pix525(config)#global(outside) 1 interface Pix525(config)#nat(jichuang) 1 Pix525(config)#nat(jiaowu) 1 Pix525(config)#nat(chaiwu) 1 Pix525(config)#nat(jiaohu) 1 PIX 具有 DHCP 服務功能 PIX525(config)#ipaddressdhcp PIX525(config)#dhcpdaddress-54 xuechuang PIX525(config)#dhcpdns PIX525(config)# PIX525(config)#dhcpdaddress-54 jiaowu PIX525(config)#dhcpdns PIX525(config)# PIX525(config)#dhcpdaddress-54 jiaohu PIX525(config)#dhcpdns PIX525(config)# 配置日志和保存配置 logging timestamp logging standby logging trap informational logging facility 22 logging host DMZ Pix525(config)#ip audit info action alarm Pix525(config)#ip audit attack action alarm - pix 入侵檢測的 2 個命令。當有數(shù)據(jù)包具有攻擊或報告型特征碼時， pix 將采取報警動作（缺省動作），四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 27 頁 向指定的日志記錄主機產(chǎn)生系統(tǒng)日志消息；此外還可以作出丟棄數(shù)據(jù)包和發(fā)出 tcp 連接復位 信號等動作，需另外配置。 第四章 防火墻的安全管理和維護 4.1 日常管理 日常管理是經(jīng)常性的瑣碎工作，以使防火墻保持清潔和安全。為此，需要經(jīng)常去完成的主要工作：數(shù)據(jù)備份、賬號管理、磁盤空間管理等。 1.數(shù)據(jù)備份 一定要備份防火墻的數(shù)據(jù)。使用一種定期的、自動的備份系統(tǒng)為一般用途的機器做備份。當這個系統(tǒng)正常做完備份之后，最好還能發(fā)送出一封確定信，而當它發(fā)現(xiàn)錯誤的時候，也最好能產(chǎn)生一個明顯不同的信息。 為什么只是在錯誤發(fā)生的時候送出一封信就好了呢 ?如果這個系統(tǒng)只在有錯誤的時候產(chǎn)生一封信，或許就有 可能不會注意到這個系統(tǒng)根本就沒有運作。那為什么需要明顯不同的信息呢 ?如果備份系統(tǒng)正常和執(zhí)行失敗時產(chǎn)生的信息很類似。那么習慣于忽略成功信息的人，也有可能會忽略失敗信息。理想的情況是有一個程序檢查備份有沒有執(zhí)行，并在備份沒有執(zhí)行的時候產(chǎn)生一個信息。 2.賬號管理 賬號的管理。包括增加新賬號、刪除舊賬號及檢查密碼期限等，是最常被忽略的日常管理工作。在防火墻上，正確的增加新賬號、迅速地刪除舊賬號以及適時地變更密碼，絕對是一項非常重要的工作。 建立一個增加賬號的程序，盡量使用一個程序增加賬號。即使防火墻系 統(tǒng)上沒有多少用戶，但每一個用戶都可能是一個危險。一般人都有一個毛病，就是漏掉一些步驟，或在過程中暫停幾天。如果這個空檔正好碰到某個賬號沒有密碼，入侵者就很容易四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 28 頁 進來了。 賬號建立程序中一定要標明賬號日期，以及每隔一階段就自動檢查賬號。雖然不需要自動關閉賬號，但是需要自動通知那些賬號超過期限的人。可能的話，設置一個自動系統(tǒng)監(jiān)控這些賬號。這可以在 UNIX 系統(tǒng)上產(chǎn)生賬號文件，然后傳送到其他的機器上，或者是在各臺機器上產(chǎn)生賬號，自動把這些賬號文件拷貝到 UNIX 上，再檢查它們。 如果系統(tǒng)支持密碼期限的功能，應該 把該功能打開。選擇稍微長一點的期限，譬如說三到六個月。如果密碼有效期太短，例如一個月，用戶可能會想盡辦法躲避期限，也就無法在安全防護上得到真正的收益。同理如果密碼期限功能不能保證用戶在賬號被停用前看到密碼到期通知，就不要開啟這個功能。否則，用戶會很不方便，而且也會冒著鎖住急需使用機器的系統(tǒng)管理者的風險。 3.磁盤空間管理 數(shù)據(jù)總是會塞滿所有可用的空間，即使在幾乎沒有什么用戶的機器上也一樣。人們總是向文件系統(tǒng)的各個角落丟東西，把各種數(shù)據(jù)轉(zhuǎn)存到文件系統(tǒng)的臨時地址中。這樣引起的問題可能常常會超出人們的想象 。暫且不說可能需要使用那些磁盤空間，只是這種碎片就容易造成混亂，使事件的處理更復雜。于是有人可能會問：那是上次安裝新版程序留下來的程序嗎 ?是入侵者放進來的程序嗎 ?那真的是一個普通的數(shù)據(jù)文件嗎 ?是一些對入侵者有特殊意義的東西 ?等等，不幸的是能自動找出這種“垃圾”的方法沒有，尤其是可以在磁盤上到處寫東西的系統(tǒng)管理者。因此，最好有一個人定期檢查磁盤，如果讓每一個新任的系統(tǒng)管理者都去遍歷磁盤會特別有效。他們將會發(fā)現(xiàn)管理員忽視的東西。 在大多數(shù)防火墻中，主要的磁盤空間問題會被日志記錄下來。這些記錄應該自動進行，自 動重新開始，這些數(shù)據(jù)最好把它壓縮起來。 Trimlon 程序能夠使這個處理程序自動化。當系統(tǒng)管理者要截斷或搬移記錄時，一定要停止程序或讓它們暫停記錄，如果在截斷或搬移記錄時，還有程序在嘗試寫入記錄文件，顯然就會有問題。事實上，即使只是有程序開啟了文件準備稍后寫入，也可能會惹上麻煩。 4.2 監(jiān)視系統(tǒng) 對防火墻的維護、監(jiān)視系統(tǒng)是維護防火墻的重點，它可以告訴系統(tǒng)管理者以下的問題： 四川科技職業(yè)學院畢業(yè)設計 (論文 ) 第 29 頁 （ 1）防火墻已岌岌可危了嗎 ? （ 2）防火墻能提供用戶需求的服務嗎 ? （ 3）防火墻還在正常運作嗎 ? （ 4）嘗試攻擊 防火墻的是哪些類型的攻擊 ? 要回答這幾個問題，首先應該知道什么是防火墻的正常工作狀態(tài)。 1.專用設備的監(jiān)視 雖然大部分的監(jiān)視工作都是利用防火墻上現(xiàn)成的工具或記錄數(shù)據(jù)，但是也可能會覺得如果有一些專用的監(jiān)視設備會很方便。例如，可能需要在周圍網(wǎng)絡上放一個監(jiān)視站，以便確定通過的都是預料中的數(shù)據(jù)包?？梢允褂糜芯W(wǎng)絡窺視軟件包的一般計算機，也可以使用特殊用途的網(wǎng)絡檢測器。 如何確定這一臺監(jiān)視機器不會被入侵者利用呢 ?事實上，最好根本不要讓入侵者知道它的存在。在某些網(wǎng)絡硬件設備上，只要利用一些技術和一對斷線器 (wire cutter)取消網(wǎng)絡接口的傳輸功能，就可以使這臺機器無法被檢測到，也很難被入侵者利用。如果有操作系統(tǒng)的原始程序，也可以從那里取消傳輸功