防火墻在企業(yè)局域網(wǎng)中的架設(shè)及配置方法_第1頁(yè)
防火墻在企業(yè)局域網(wǎng)中的架設(shè)及配置方法_第2頁(yè)
防火墻在企業(yè)局域網(wǎng)中的架設(shè)及配置方法_第3頁(yè)
防火墻在企業(yè)局域網(wǎng)中的架設(shè)及配置方法_第4頁(yè)
防火墻在企業(yè)局域網(wǎng)中的架設(shè)及配置方法_第5頁(yè)
已閱讀5頁(yè),還剩17頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、防火墻在企業(yè)局域網(wǎng)中的架設(shè)及配置方法專(zhuān)業(yè):軟件工程學(xué)生:吳雙 指導(dǎo)老師:?jiǎn)躺俳苷?要隨著網(wǎng)絡(luò)以及計(jì)算機(jī)技術(shù)日新月異的發(fā)展,在帶給人們更加方便的信息交換,信息處理方式的同時(shí),也產(chǎn)生了各種類(lèi)型的網(wǎng)絡(luò)安全問(wèn)題。諸如病毒入侵,駭客攻擊等等能導(dǎo)致企業(yè)蒙受巨大損失的安全攻擊方式。因?yàn)榻M網(wǎng)時(shí)要全面考慮到企業(yè)中網(wǎng)絡(luò)的安全問(wèn)題,我們應(yīng)該思考如何在企業(yè)內(nèi)部網(wǎng)絡(luò)和公網(wǎng)之間保證內(nèi)部網(wǎng)的安全,因?yàn)榫W(wǎng)絡(luò)實(shí)際上就是計(jì)算機(jī)與計(jì)算機(jī)之間的信息共享。所以,我們可以在中間加入一個(gè)或者多個(gè)介質(zhì)系統(tǒng),然后編寫(xiě)這個(gè)系統(tǒng)的性質(zhì)與功能,就能有效阻擋那些惡意信息進(jìn)入,攻擊。而且能夠提供數(shù)據(jù)可支持性、整體性以及保密性等方面監(jiān)察和控制,這些介質(zhì)系

2、統(tǒng)就是防火墻。 防火墻的重要性不言而喻,它是企業(yè)內(nèi)部網(wǎng)與外網(wǎng)之間的第一道也是最重要的屏障,因此如何配置并管理好一個(gè)防火墻成了一個(gè)對(duì)于企業(yè)來(lái)說(shuō)至關(guān)重要的問(wèn)題。到底哪一種配置方式更加適合企業(yè),這是因人而異的。需要采取什么策略,都需要由網(wǎng)絡(luò)管理員來(lái)分析。在本文中主要對(duì)防火墻有一個(gè)系統(tǒng)的介紹,以及闡述現(xiàn)在存在的大部分網(wǎng)絡(luò)安全問(wèn)題,還有不同企業(yè)中對(duì)防火墻的配置以防止這些網(wǎng)絡(luò)安全問(wèn)題的發(fā)生。 關(guān)鍵詞:防火墻 安全策略 網(wǎng)絡(luò)安全 防火墻配置The method of building a firewall in enterprises VlanMajor:Software engineeringStuden

3、t:Wu Shuang Supervisor: Qiao ShaojieAbstract With the development of the technology of the internet,our peoples life are getting better and better.But it also brings kinds of problems of the security of internet. Like virus intrusion and hackers attack. Which can lead Serious losses for a enterprise

4、 in many different ways. To protect the enterprise, when having connection between outside and inside, there is a system by human write, to protect the inside from illegal visited and attack. It also can provide consoles on examination and so on. It is called firewall.It goes without saying that the

5、 important of the firewall to a enterprise. Like it says, its a wall between the inside and outside of the internet. So its a key problem to set and manage firewall for the enterprise. Which way is more valuable for you, what strategies can be take? The manager should think it carefully.In this pass

6、age, the main content is about the firewall and the most of the problems of internet which are still there. And how to set the firewall to pre-seeing these problems. Key words: Firewall Security Strategies Security of the Internet setting firewall目 錄1 前 言11.1 選題背景11.2 研究目的11.3論文思路與結(jié)構(gòu)22防火墻概述22.1防火墻概念

7、22.1.1防火墻介紹32.1.2智能防火墻42.2防火墻的功能42.2.1網(wǎng)絡(luò)屏障42.2.2防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略42.2.3對(duì)網(wǎng)絡(luò)存取和訪(fǎng)問(wèn)進(jìn)行監(jiān)控審計(jì)742.2.4防止內(nèi)部信息的外泄52.3防火墻分類(lèi)852.3.1包過(guò)濾防火墻952.3.2應(yīng)用代理防火墻62.3.3復(fù)合型防火墻62.3.4狀態(tài)監(jiān)測(cè)防火墻63企業(yè)網(wǎng)絡(luò)安全分析73.1企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀73.2來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的攻擊73.2.1ARP攻擊73.2.2網(wǎng)絡(luò)監(jiān)聽(tīng)83.2.3蠕蟲(chóng)病毒83.3來(lái)自外部網(wǎng)絡(luò)攻擊分析93.3.1Dos攻擊93.3.2SYNflood攻擊93.3.3Port Scan Attack(端口掃描攻擊)103.3

8、.4ICMP Flood(UDP泛濫)103.3.5端口掃描104防火墻在企業(yè)中的應(yīng)用配置104.1配置防火墻時(shí)需注意的問(wèn)題104.1.1防火墻應(yīng)安全可靠104.1.2防火墻應(yīng)性能穩(wěn)定114.1.3防火墻配置與管理方便114.1.4防火墻要具有可升級(jí)與可擴(kuò)展性114.1.5防火墻要有病毒防護(hù)功能114.2防火墻應(yīng)用配置114.2.1E-mail電子郵件服務(wù)114.2.2Telnet服務(wù)114.2.3WWW服務(wù)114.2.4FTP服務(wù)124.3簡(jiǎn)單的防火墻配置命令124.3.1激活124.3.2命名端口124.3.3配置地址124.3.4配置遠(yuǎn)程124.3.5訪(fǎng)問(wèn)列表134.3.6地址轉(zhuǎn)換134

9、.3.7DHCP134.3.8顯示保存145結(jié)論14參考文獻(xiàn)15致 謝161 前 言1.1 選題背景 伴隨著網(wǎng)絡(luò)的遍布和迅速壯大,特別是Internet被普遍的運(yùn)用,使得計(jì)算機(jī)的應(yīng)用更為寬泛與深刻。與此同時(shí),咱們還必須注意到,盡管網(wǎng)絡(luò)的內(nèi)容多,功能也強(qiáng),但是它也有其軟弱并且易受到攻擊的地方。根據(jù)美國(guó)方面權(quán)威統(tǒng)計(jì),因?yàn)榫W(wǎng)絡(luò)安全問(wèn)題,美國(guó)每一年承受的經(jīng)濟(jì)損失高達(dá)75億美元,與此同時(shí)全球平均每20秒鐘就會(huì)發(fā)生一起網(wǎng)絡(luò)有關(guān)的計(jì)算機(jī)侵入事件1。我們國(guó)家也會(huì)因?yàn)榫W(wǎng)絡(luò)安全問(wèn)題諸如駭客的侵入,計(jì)算機(jī)網(wǎng)絡(luò)病毒等等,蒙受相當(dāng)大的經(jīng)濟(jì)方面的損失。雖然對(duì)于網(wǎng)絡(luò)的使用給人們帶來(lái)了巨變,可以說(shuō)時(shí)代因?yàn)榫W(wǎng)絡(luò)而改變,但是同時(shí)

10、我們更加不能忽略網(wǎng)絡(luò)可能會(huì)對(duì)人們的生活產(chǎn)生的危害。那么要怎么樣建立起一個(gè)完善,有效,能切實(shí)的給人們帶來(lái)便利的網(wǎng)絡(luò)安全措施呢,這需要我們一起探討,研究。1.2 研究目的防火墻技術(shù)的迅速興起歸根結(jié)底還是因?yàn)榫W(wǎng)絡(luò)技術(shù)的全面快速發(fā)展,因?yàn)榫W(wǎng)絡(luò)能夠產(chǎn)生許多安全方面的問(wèn)題,而防火墻也由此應(yīng)運(yùn)而生2。防火墻因?yàn)榫哂泻軓?qiáng)大的實(shí)效性和針對(duì)性,防火墻中預(yù)置的防御方案,或者由網(wǎng)絡(luò)管理員自己配置的防御方案,不僅能夠?qū)崟r(shí)掌管企業(yè)中用戶(hù)的數(shù)據(jù)管理,而且能幫助用戶(hù)建立有效的保護(hù)機(jī)制。防火墻的設(shè)置是可以通過(guò)不同的企業(yè)需求來(lái)更改的,可以通過(guò)配置防火墻命令來(lái)實(shí)現(xiàn)控制主機(jī)和網(wǎng)絡(luò)之間的信息交換,達(dá)到防止有心人的惡意襲擊,發(fā)送木馬,盜

11、取企業(yè)隱秘,關(guān)鍵的信息等等。防火墻可以記錄實(shí)時(shí)訪(fǎng)問(wèn)企業(yè)內(nèi)部系統(tǒng)的其他系統(tǒng),使企業(yè)在計(jì)算機(jī)避免安全威脅網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄漏,當(dāng)連接到互聯(lián)網(wǎng)的時(shí)候。防火墻可以保護(hù)企業(yè)在需要用到互聯(lián)網(wǎng)的時(shí)候被駭客攻擊,還可以根據(jù)自己的需要?jiǎng)?chuàng)建防火墻規(guī)則,這樣就能把企業(yè)到外網(wǎng)的所有信息交流限制住,任何信息交流都會(huì)通過(guò)防火墻的檢測(cè),來(lái)保障企業(yè)中各類(lèi)信息的安全。企業(yè)防火墻與個(gè)人防火墻不同在于,企業(yè)防火墻加強(qiáng)了局域網(wǎng)的管理和防護(hù),如ARP攻擊3。個(gè)人版的更多的是單機(jī)防護(hù),其實(shí)功能更加類(lèi)似于網(wǎng)關(guān),只能起到很小的作用。 防火墻實(shí)際上是指搭建在不同網(wǎng)絡(luò)(像是能夠相信的完全沒(méi)問(wèn)題的內(nèi)網(wǎng)和具有威脅與不安全的外網(wǎng)間的)或者是域之間的一系

12、列功能的組合。它通過(guò)檢查、局限經(jīng)過(guò)防火墻的數(shù)據(jù)流的分析,最大限度的屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀態(tài),防止被外部監(jiān)察到,通過(guò)這種方法來(lái)實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的安全的保證。普遍來(lái)說(shuō),防火墻不僅僅充當(dāng)著分割器,限制器的角色,同時(shí)也是一個(gè)分析器,它監(jiān)視管理我們剛才提到的內(nèi)網(wǎng)和外網(wǎng)之間全部的進(jìn)程,活動(dòng)。安全有效的防火墻需要具備下面的的特性:1從內(nèi)網(wǎng)到外網(wǎng)和從外網(wǎng)到內(nèi)網(wǎng)所有通信都必須通過(guò)防火墻2防火墻在配置了安全策略之后,所有信息交流,只會(huì)在這個(gè)規(guī)則保護(hù)下進(jìn)行3防火墻本身是免疫的,不會(huì)被穿透的。 防火墻的基本功能:能夠監(jiān)控所有的數(shù)據(jù)在網(wǎng)絡(luò)中的行為;當(dāng)有請(qǐng)求訪(fǎng)問(wèn)來(lái)到時(shí),要進(jìn)行有效監(jiān)測(cè),詢(xún)問(wèn),和管理;封殺一些不被網(wǎng)

13、絡(luò)規(guī)則允許的事務(wù);只要是經(jīng)過(guò)了防火墻的那些信息以及事務(wù),都會(huì)被防火墻生成的日志文件記錄下來(lái);實(shí)時(shí)監(jiān)測(cè)的網(wǎng)絡(luò)攻擊和攻擊警報(bào)。1.3論文思路與結(jié)構(gòu)在論文接下來(lái)部分中,會(huì)分別系統(tǒng)介紹防火墻,當(dāng)前國(guó)內(nèi)企業(yè)安全現(xiàn)狀分析,以及防火墻在企業(yè)中的應(yīng)用架設(shè)。2防火墻概述隨著網(wǎng)絡(luò)的發(fā)展,網(wǎng)絡(luò)應(yīng)用幾乎已經(jīng)滲透入家家戶(hù)戶(hù),每個(gè)人都離不開(kāi)網(wǎng)絡(luò),不管是通信網(wǎng)絡(luò)或是電腦網(wǎng)絡(luò)都好,企業(yè)也是一樣。而相較于個(gè)人用戶(hù)而言,企業(yè)用戶(hù)的信息量更加龐大,敏感的數(shù)據(jù)也更多。這些數(shù)據(jù)的損壞或者丟失會(huì)帶給企業(yè)不可彌補(bǔ)的損失,因此為了防止各種人為破壞與企業(yè)信息安全,防火墻的發(fā)展不可阻擋。在防火墻中,最核心也是最重要的技術(shù)就是包過(guò)濾技術(shù)還有應(yīng)用代

14、理技術(shù)。而包過(guò)濾實(shí)現(xiàn)和發(fā)展的時(shí)間較應(yīng)用代理更早,因此被廣泛應(yīng)用到了各個(gè)領(lǐng)域之中。2.1防火墻概念作為一個(gè)保護(hù)屏障,防火墻指的是一個(gè)在inside(內(nèi)部網(wǎng)/專(zhuān)網(wǎng))和outside(外部網(wǎng)/公網(wǎng))之間由硬件系統(tǒng)和軟件系統(tǒng)組成的。其原理是在網(wǎng)絡(luò)上建立一個(gè)安全網(wǎng)關(guān)和網(wǎng)絡(luò),以實(shí)現(xiàn)網(wǎng)絡(luò)的保護(hù)不被非法用戶(hù)的入侵的影響。防火墻會(huì)檢測(cè)所有流經(jīng)的數(shù)據(jù)還有網(wǎng)絡(luò)通信的內(nèi)容。在網(wǎng)絡(luò)中,所謂的“防火墻”,變成了一種隔離技術(shù),是一種叫法,而非實(shí)際的硬件與軟件的結(jié)合。用在連接網(wǎng)絡(luò)信息交換時(shí)執(zhí)行的一種訪(fǎng)問(wèn)標(biāo)準(zhǔn),允許你同意的人進(jìn)入內(nèi)部網(wǎng),而不允許的不能進(jìn)來(lái)。能最大限度的限制駭客的侵入。伴隨著企業(yè)信息化進(jìn)程的推動(dòng),各個(gè)企業(yè)需要運(yùn)用

15、到網(wǎng)絡(luò)來(lái)運(yùn)行的系統(tǒng)也更加的多了,信息系統(tǒng)變得越來(lái)越巨大和駁雜。企業(yè)網(wǎng)絡(luò)的服務(wù)器機(jī)組組成了企業(yè)網(wǎng)絡(luò)的服務(wù)系統(tǒng),這其中主要包含了DNS服務(wù)、虛擬主機(jī)服務(wù)、Web服務(wù)、FTP服務(wù)、視頻點(diǎn)播服務(wù)和Mail服務(wù)等等。企業(yè)網(wǎng)通過(guò)不同的線(xiàn)路分別接入了不同的網(wǎng)絡(luò)。隨著這些企業(yè)的增多,企業(yè)對(duì)應(yīng)用的需求增大,客戶(hù)數(shù)量的增大,網(wǎng)絡(luò)安全問(wèn)題已經(jīng)是迫在眉睫了。2.1.1防火墻介紹從防火墻誕生到如今這個(gè)時(shí)候,人們一共歸納總結(jié)了5個(gè)防火墻的發(fā)展歸類(lèi)。圖一表示簡(jiǎn)單的發(fā)展史。圖一:防火墻發(fā)展史 第一代防火墻 防火墻和路由器的第一代可以說(shuō)是在同一時(shí)期產(chǎn)生的,采取包過(guò)濾的技術(shù)。 第二、三代防火墻 1989年,貝爾實(shí)驗(yàn)室的戴夫Pre

16、sotto和霍華德特里基發(fā)明二防火墻,電路級(jí)的防火墻,第三代防火墻的思路也被提及應(yīng)用層防火墻。 第四代防火墻 第四代防火墻的核心技術(shù)主要是透明代理技術(shù),這樣使得它的容錯(cuò)率大大提高,不管是在監(jiān)測(cè)方面,還是在隔離方面,不僅包含了前三代防火墻幾乎所有的有點(diǎn),它的安全內(nèi)核,多級(jí)過(guò)濾,正是這第四代防火墻的關(guān)鍵所在。 第五代防火墻 第五代防火墻實(shí)際上就是現(xiàn)在所說(shuō)的智能防火墻的前身,它的核心技術(shù)實(shí)際上就是自適應(yīng)代理技術(shù)。4 但是當(dāng)今網(wǎng)絡(luò)中的主要安全問(wèn)題并不能被傳統(tǒng)防火墻完全解決。當(dāng)今網(wǎng)絡(luò)中主要的三個(gè)安全問(wèn)題是:首先是拒絕訪(fǎng)問(wèn)類(lèi)型的網(wǎng)絡(luò)攻擊方式,然后是蠕蟲(chóng)類(lèi)型的病毒傳播,最后是代表內(nèi)容控制方式的垃圾電子郵件。

17、這三種類(lèi)型的網(wǎng)絡(luò)攻擊在整個(gè)網(wǎng)絡(luò)的攻擊類(lèi)型中占據(jù)了9成甚至以上。但在面對(duì)這三種類(lèi)型的網(wǎng)絡(luò)攻擊時(shí),傳統(tǒng)防火墻都找不到地方下手。主要是下面三個(gè)原因: 第一個(gè)是防火墻硬件配置的問(wèn)題。在計(jì)算機(jī)世界中,更快的計(jì)算能力意味著更強(qiáng)大的硬件配置,而更強(qiáng)大的硬件配置則意味著更加昂貴的價(jià)格,而對(duì)于防火墻這種關(guān)乎一個(gè)企業(yè)命脈的東西計(jì)算能力自然是越強(qiáng)大越好,不過(guò),技術(shù)的限制成了一個(gè)問(wèn)題,最重要的確實(shí)成本的問(wèn)題。第二是一般的防火墻其核心技術(shù)的體現(xiàn)僅僅是對(duì)數(shù)據(jù),信息的過(guò)濾,很難起到非常大的作用。僅僅作為一個(gè)簡(jiǎn)易的條件過(guò)濾器,條件通過(guò),那么數(shù)據(jù)就能通過(guò),反之則不能,如果攻擊者計(jì)算一個(gè)相對(duì)復(fù)雜的攻擊方式,那么這種防火墻在安全防

18、護(hù)方面就很難做到面面俱到了。第三是傳統(tǒng)防火墻不能區(qū)別識(shí)別好的和壞的行為。這樣會(huì)帶來(lái)非常大的壞處,因?yàn)楫?dāng)防火墻不能判斷一個(gè)行為的好壞時(shí),它不會(huì)做出有效的響應(yīng)的,無(wú)論是什么行為,只要通過(guò)了它的條件判斷,那么就是一棍打死制。但是隨著技術(shù)的不斷發(fā)展,各種電子,電器方面的產(chǎn)品更加的智能化。防火墻的智能化肯定也是在其中的。這樣的話(huà),防火墻一智能化,它就能對(duì)攻擊進(jìn)行判斷,更好的保障企業(yè)的安全了。2.1.2智能防火墻智能防火墻是指只要沒(méi)有程序的問(wèn)題,已被公認(rèn)為病毒防火墻程序,智能防火墻不要求用戶(hù),只有當(dāng)不確定進(jìn)程訪(fǎng)問(wèn)行動(dòng),才會(huì)請(qǐng)求用戶(hù)幫助的防火墻。它不同于傳統(tǒng)的防火墻,不能每個(gè)進(jìn)程訪(fǎng)問(wèn)必須詢(xún)問(wèn)用戶(hù)是否通過(guò)。有

19、效克服了一般防火墻時(shí)常報(bào)警并且請(qǐng)求,不能幫助用戶(hù)判斷程序是否有問(wèn)題,會(huì)給用戶(hù)帶來(lái)十分困擾的問(wèn)題,這樣它自己就會(huì)陷入死循環(huán),導(dǎo)致十分嚴(yán)重的問(wèn)題發(fā)生。52.2防火墻的功能2.2.1網(wǎng)絡(luò)屏障當(dāng)一個(gè)企業(yè)或者用戶(hù)使用防火墻之后,因?yàn)榉阑饓哂凶枞刂频淖饔?,這樣的話(huà)內(nèi)網(wǎng)的安全能得到極大的保證,而且它能屏蔽那些未知的服務(wù)來(lái)達(dá)到減少安全危險(xiǎn)的目的。防火墻只會(huì)任由通過(guò)了它檢測(cè)的應(yīng)用協(xié)議,因此網(wǎng)絡(luò)的環(huán)境會(huì)被防火墻凈化并不是空穴來(lái)風(fēng)。例如,防火墻可以防止被稱(chēng)為不安全的NFS協(xié)議和網(wǎng)絡(luò)功能可得到保證,從而有效地阻止外部攻擊者使用該協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)安全。保護(hù)網(wǎng)絡(luò)不受路由之類(lèi)的攻擊不僅是防火墻一個(gè)重要功能之一。防火

20、墻理論上可以保護(hù)網(wǎng)絡(luò)不受以上全部類(lèi)型攻擊的報(bào)文再通知網(wǎng)絡(luò)管理員。62.2.2防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略每臺(tái)計(jì)算機(jī)都是自帶網(wǎng)絡(luò)安全策略的,不過(guò)只要有了防火墻的介入,并且提前設(shè)置好防火墻內(nèi)部所擁有的網(wǎng)絡(luò)安全策略之后,防火墻就能對(duì)這些安全策略進(jìn)行統(tǒng)一的集中管理。這比安全策略們單獨(dú)運(yùn)行,一一實(shí)現(xiàn)要效率的多。比如當(dāng)產(chǎn)生網(wǎng)絡(luò)訪(fǎng)問(wèn)時(shí),驗(yàn)證身份的系統(tǒng)就可以不必被分發(fā)到各個(gè)獨(dú)立的主機(jī)上完成,而是集中在防火墻這一個(gè)系統(tǒng)上來(lái)。 2.2.3對(duì)網(wǎng)絡(luò)存取和訪(fǎng)問(wèn)進(jìn)行監(jiān)控審計(jì)7當(dāng)所有的數(shù)據(jù)交流都被防火墻監(jiān)控到的時(shí)候,防火墻就能夠記錄下這些數(shù)據(jù)交流并且放到生成的日志文件中去,而且這些日志文件中也能記錄下網(wǎng)絡(luò)交流的統(tǒng)計(jì)數(shù)據(jù)。防火

21、墻的報(bào)警會(huì)在檢測(cè)到有嫌疑的機(jī)器操作時(shí)啟動(dòng),并且網(wǎng)絡(luò)是否遭受到其他監(jiān)測(cè)以及攻擊的更加詳細(xì)的信息。此外,防火墻會(huì)采集網(wǎng)絡(luò)的運(yùn)用和誤用情況來(lái)保障網(wǎng)絡(luò)安全問(wèn)題。首先是能夠判斷防火墻是否能夠有效抵擋外來(lái)攻擊,另一方面清晰了解防火墻的對(duì)網(wǎng)絡(luò)的制約是不是達(dá)到了預(yù)期效果。2.2.4防止內(nèi)部信息的外泄可以使用網(wǎng)絡(luò)防火墻的有效分割,實(shí)現(xiàn)網(wǎng)絡(luò)的分割的一個(gè)重要環(huán)節(jié),它可以限制網(wǎng)絡(luò)安全問(wèn)題在全球網(wǎng)絡(luò)問(wèn)題非常有效的影響。而且,還有一個(gè)重要的問(wèn)題,即隱私,一個(gè)內(nèi)網(wǎng)中非常小的細(xì)節(jié)也有極大可能引起攻擊者對(duì)這個(gè)網(wǎng)絡(luò)的興趣從而找到網(wǎng)絡(luò)的漏洞來(lái)進(jìn)行攻擊。運(yùn)用防火墻可以覆蓋那些內(nèi)部細(xì)節(jié)的泄露,就像finger,DNS和其他服務(wù)。與此同

22、時(shí)在Finger上出現(xiàn)的信息輕易就能被攻擊者得到。攻擊者可以很容易的知道系統(tǒng)的頻率,該系統(tǒng)是網(wǎng)絡(luò)用戶(hù),系統(tǒng)能夠攻擊時(shí)有足夠的反應(yīng)時(shí)間等。防火墻同樣能夠阻斷內(nèi)網(wǎng)絡(luò)中的域名服務(wù)信息,只要防火墻這樣做了,主機(jī)的ip地址和域名就很難被攻擊者獲悉了。 2.3防火墻分類(lèi)82.3.1包過(guò)濾防火墻9在Linux中,包過(guò)濾的功能是對(duì)系統(tǒng)的直接影響核(在系統(tǒng)的核心模塊,或是在系統(tǒng)直接建立),雖然是經(jīng)常看到只能是由包頭來(lái)決定,不過(guò)還是有一些能夠用在數(shù)據(jù)包上的技巧。當(dāng)收到一個(gè)包時(shí),包過(guò)濾防火墻就會(huì)對(duì)這些包判定通過(guò)或者否決它來(lái)達(dá)到包過(guò)濾的目的。更加具體地說(shuō),包過(guò)濾是對(duì)每個(gè)數(shù)據(jù)包的頭,按照它自己的一套規(guī)律來(lái)判斷的,與規(guī)律

23、配對(duì)成功的包由路由信息轉(zhuǎn)發(fā),不然就舍棄。根據(jù)數(shù)據(jù)報(bào)的源IP地址的包過(guò)濾,指定IP地址,協(xié)議類(lèi)型,port(端口),指定端口和信息和數(shù)據(jù)包傳輸方向信息來(lái)決定是否允許數(shù)據(jù)包通過(guò)包頭源。包過(guò)濾還包含和服務(wù)有關(guān)的過(guò)濾,就是針對(duì)特殊的服務(wù),進(jìn)程,進(jìn)行包過(guò)濾,因?yàn)榇蟛糠值姆?wù)的監(jiān)聽(tīng)都停留在指定TCP/UDP端口,所以,作為屏障進(jìn)入特殊服務(wù)環(huán)節(jié),防火墻需要包括所有特殊的TCP / UDP目的端口報(bào)文丟棄它。這里我們會(huì)提到一個(gè)十分簡(jiǎn)單的包過(guò)濾類(lèi)型的防火墻的運(yùn)行情況:(1)包過(guò)濾硬件設(shè)備端口必要把包過(guò)濾規(guī)則存起來(lái)。(2)會(huì)產(chǎn)生對(duì)報(bào)頭的語(yǔ)法的分析,只要端口接收到了包頭。當(dāng)然大部分的包過(guò)濾設(shè)備只檢查IP、TCP頭里

24、面的片段。(3)包過(guò)濾規(guī)則存儲(chǔ)在一個(gè)特殊的方式。在包上面使用的那些順序和規(guī)律是必須要和它之前已經(jīng)設(shè)置好的順序和規(guī)律一致,否則是不會(huì)生效的。(4)只要當(dāng)其中的一條規(guī)則不能被通過(guò),那么這個(gè)包就會(huì)被判定為無(wú)效包,是不會(huì)允許通過(guò)的。(5)反之只要一條規(guī)則同意了包的通行,那么這個(gè)包才可以繼續(xù)在防火墻中運(yùn)行。(6)如果這個(gè)包連其中一條規(guī)則都不能通過(guò)的話(huà),那么這個(gè)包就可能通過(guò)防火墻的保護(hù)了,會(huì)直接被擋在門(mén)外。2.3.2應(yīng)用代理防火墻實(shí)際上這種類(lèi)型的防火墻就是在防火墻上面運(yùn)行代理程序,就像字面意思一樣,但是呢代理程序只能在職能是網(wǎng)關(guān)的計(jì)算機(jī)上面運(yùn)行,其中有兩個(gè)部分組成了應(yīng)用代理防火墻的運(yùn)行條件:一個(gè)部分與內(nèi)網(wǎng)

25、絡(luò)創(chuàng)建銜接,另一個(gè)部分與用戶(hù)銜接,相當(dāng)于在用戶(hù)和內(nèi)部網(wǎng)之間多出一個(gè)中間人,受理他們之間的信息交換請(qǐng)求。只要有了代理服務(wù),內(nèi)網(wǎng)用戶(hù)才能快捷有效的通過(guò)作為網(wǎng)關(guān)的計(jì)算器的限制利用萬(wàn)維網(wǎng)的服務(wù),而且那些不安全的用戶(hù)群就不能正常的使用了,連他們的請(qǐng)求都是不能通過(guò)的。不同的代理服務(wù)技術(shù)和包過(guò)濾技術(shù),是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間沒(méi)有直接的聯(lián)系,同時(shí)提供日志和審計(jì)服務(wù)。代理技術(shù)在應(yīng)用層實(shí)現(xiàn)防火墻功能,和包過(guò)濾技術(shù)不同,可以提供額外的安全防護(hù)。2.3.3復(fù)合型防火墻基于IP的智能識(shí)別技術(shù)的混合型防火墻,可以是一個(gè)完美的控制應(yīng)用服務(wù)類(lèi)別。而各類(lèi)新興技術(shù)的使用也使得這種防火墻的應(yīng)用更加廣泛,原理如圖二。 檢查整個(gè)報(bào)文

26、內(nèi)容IP建立連接狀態(tài)表開(kāi)始攻擊TCP 圖二:復(fù)合型防火墻原理2.3.4狀態(tài)監(jiān)測(cè)防火墻 這種防火墻算是囊括了包過(guò)濾防火墻的大部分容易實(shí)現(xiàn)的有點(diǎn),在性能方面具有一定的優(yōu)勢(shì),值得一提的是,在應(yīng)用程序方面,可以說(shuō)它是透明的,因此,它的安全性有較大提高。它不再是簡(jiǎn)單的包過(guò)濾技術(shù)只檢查訪(fǎng)問(wèn)網(wǎng)絡(luò)數(shù)據(jù)包,也關(guān)心數(shù)據(jù)包的狀態(tài)。它會(huì)在防火墻核心設(shè)立起狀態(tài)連接表,把進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)做一些事件來(lái)處理。3企業(yè)網(wǎng)絡(luò)安全分析3.1企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀現(xiàn)在企業(yè)中主要出現(xiàn)的網(wǎng)絡(luò)問(wèn)題大多以網(wǎng)速慢,開(kāi)視頻卡,無(wú)法進(jìn)入公司內(nèi)部網(wǎng)絡(luò)完成工作的問(wèn)題。而且一般的公司員工對(duì)此也沒(méi)太多防范意識(shí),當(dāng)出現(xiàn)這些問(wèn)題時(shí)就需要網(wǎng)絡(luò)管理員注意了,哪怕事一個(gè)很

27、小的問(wèn)題,如網(wǎng)速變慢等,其最終結(jié)果也可能導(dǎo)致企業(yè)的巨大損失。3.2來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的攻擊3.2.1ARP攻擊ARP協(xié)議包含在了TCPIP協(xié)議里面,主要目的是為了解決IP地址和MAC地址的對(duì)應(yīng)關(guān)系。通過(guò)假冒的IP地址和MAC地址來(lái)欺騙ARP,這邊是ARP攻擊的原理,可以在當(dāng)前局域網(wǎng)中生成非常多的APR通信量來(lái)達(dá)到網(wǎng)絡(luò)阻塞的目的,而駭客只要利用這一點(diǎn)不斷的向主機(jī)發(fā)送ARP響應(yīng)包就能造成網(wǎng)絡(luò)的中斷。ARP攻擊主要存在于局域網(wǎng)絡(luò)中,當(dāng)局域網(wǎng)中的一臺(tái)電腦感染了ARP木馬之后,這臺(tái)電腦就會(huì)試圖截獲所在網(wǎng)絡(luò)其他計(jì)算機(jī)的通信量,這會(huì)對(duì)計(jì)算機(jī)造成非常大的危害,特別是針對(duì)已經(jīng)在網(wǎng)絡(luò)中部署好了的計(jì)算機(jī)會(huì)發(fā)生信息交流的問(wèn)

28、題。攻擊者會(huì)向主機(jī)A發(fā)送一個(gè)假冒的ARP響應(yīng),告訴主機(jī)A:主機(jī)B的IP地址對(duì)應(yīng)的MAC地址是00-aa-00-62-c6-03,主機(jī)A將會(huì)信以為真,它會(huì)將這個(gè)ip和mac地址的對(duì)應(yīng)編入自己的ARP緩存表中,再發(fā)送數(shù)據(jù)時(shí),本來(lái)會(huì)發(fā)送給主機(jī)B的數(shù)據(jù)就會(huì)發(fā)給攻擊的人。同樣的,攻擊者向主機(jī)B也發(fā)送一個(gè)假冒的ARP響應(yīng),告訴主機(jī)B:主機(jī)A的IP地址對(duì)應(yīng)的MAC地址是00-aa-00-62-c6-03,主機(jī)B也會(huì)將數(shù)據(jù)發(fā)送給攻擊者。這樣一來(lái)的話(huà)我們就需要對(duì)802.1x協(xié)議進(jìn)行配置了,才能盡量減少可能存在的那些arp攻擊。IEEE 802.1x是在端口的訪(fǎng)問(wèn)控制協(xié)

29、議的基礎(chǔ)下設(shè)立的協(xié)議,對(duì)用戶(hù)的認(rèn)證和授權(quán)操作就是由它來(lái)完成的。攻擊者需要進(jìn)行身份認(rèn)證的連接開(kāi)關(guān)(與MAC VLAN,端口,帳號(hào),密碼),只有通過(guò)認(rèn)證的網(wǎng)絡(luò)數(shù)據(jù)傳輸。攻擊者可以不經(jīng)過(guò)授權(quán)就能向網(wǎng)絡(luò)發(fā)送假冒的ARP報(bào)文。如圖三圖三:在802.1x保護(hù)下的APR攻擊3.2.2網(wǎng)絡(luò)監(jiān)聽(tīng)網(wǎng)絡(luò)監(jiān)控是一種工具,主要目的是監(jiān)視網(wǎng)絡(luò)的狀態(tài),數(shù)據(jù)流和信息傳遞過(guò)程和網(wǎng)絡(luò)傳輸?shù)男畔?。它可以將網(wǎng)絡(luò)端口設(shè)置為監(jiān)聽(tīng)模式,以此來(lái)截取網(wǎng)絡(luò)上所傳輸?shù)男畔ⅰ?duì)于企業(yè)危險(xiǎn)的是當(dāng)駭客侵入之后,并且取得了超級(jí)用戶(hù)權(quán)限,使用網(wǎng)絡(luò)監(jiān)聽(tīng)便能非常容易的獲得用戶(hù)的賬號(hào)密碼信息,導(dǎo)致非常大的損失。3.2.3蠕蟲(chóng)病毒10蠕蟲(chóng)病毒也是病毒,所以與其他電

30、腦病毒具有一定的同性,通過(guò)感染系統(tǒng)重要文件來(lái)篡改文件代碼,改變電腦系統(tǒng)、網(wǎng)絡(luò)設(shè)置以此方式來(lái)造成損失。蠕蟲(chóng)病毒入侵過(guò)程一般情況下蠕蟲(chóng)病毒的攻擊分為三步進(jìn)行,分別是:掃描:在計(jì)算機(jī)上存在的漏洞會(huì)被蠕蟲(chóng)帶有的掃描模組掃描到。只要預(yù)定程序向一個(gè)計(jì)算機(jī)發(fā)送檢測(cè)漏洞的信息并且收到存在的反饋信息后,就相當(dāng)于一個(gè)可傳播的對(duì)象產(chǎn)生了。攻擊:步驟一中的對(duì)象會(huì)被按照預(yù)定步驟被蠕蟲(chóng)病毒的攻擊功能襲擊,可以得到這個(gè)計(jì)算機(jī)的權(quán)限(一般情況下是管理員權(quán)限),獲得一個(gè)shell。復(fù)制:簡(jiǎn)單來(lái)說(shuō)就是當(dāng)老主機(jī)和新主機(jī)有任何互動(dòng)的行為,蠕蟲(chóng)病毒就會(huì)自動(dòng)復(fù)制進(jìn)入新主機(jī)達(dá)到傳播的目的。3.3來(lái)自外部網(wǎng)絡(luò)攻擊分析3.3.1Dos攻擊Do

31、S是Denial of Service的簡(jiǎn)稱(chēng),是一個(gè)拒絕服務(wù),它雖然看似簡(jiǎn)單,但實(shí)際上產(chǎn)生的危害很大,因?yàn)樗麜?huì)阻止計(jì)算機(jī)或著網(wǎng)絡(luò)提供正常有效的服務(wù)。最簡(jiǎn)單的Dos攻擊非常容易實(shí)現(xiàn),在Dos界面下,當(dāng)兩臺(tái)電腦能夠ping通的時(shí)候,不斷的ping對(duì)方的ip地址,不斷的發(fā)送數(shù)據(jù)包,這時(shí)對(duì)方電腦的網(wǎng)絡(luò)就會(huì)阻塞從而導(dǎo)致其他數(shù)據(jù)包發(fā)送的信息無(wú)法送達(dá)。Dos攻擊非常實(shí)用的一點(diǎn)就是不需要收到來(lái)自受害計(jì)算機(jī)的回應(yīng),它只是單方面的發(fā)送很多無(wú)用的請(qǐng)求,因此很多的源ip地址都是偽造的,所以很多時(shí)候Dos攻擊防不勝防,唯一有效的打擊途徑就是找出源ip對(duì)攻擊者的身份和地址詳查來(lái)打擊Dos攻擊。3.3.2SYNflood攻

32、擊如果發(fā)生了一次標(biāo)準(zhǔn)的TCP連接,那么會(huì)產(chǎn)生一個(gè)需要三次握手的方式。第一是要求方發(fā)送一個(gè)SYN消息,另一方收到SYN后,會(huì)向要求方發(fā)送一個(gè)回應(yīng)示意確認(rèn),當(dāng)要求方收到這個(gè)回應(yīng)后,會(huì)又一次向服務(wù)方發(fā)送一個(gè)回應(yīng)ack消息,那就表示這一次TCP連接建立成功?!癝YNFlooding”則不同,是只當(dāng)TCP協(xié)議棧在兩臺(tái)計(jì)算機(jī)之間第一次連接握手的過(guò)程進(jìn)行DoS攻擊,它只會(huì)在進(jìn)攻時(shí)間的兩個(gè)步驟:一是當(dāng)服務(wù)回執(zhí)要求SYN-ACK確認(rèn)消息,請(qǐng)求方將使用源地址欺騙等方式使服務(wù)不接收響應(yīng)ACK,這樣的話(huà)服務(wù)方會(huì)在一段時(shí)間內(nèi)都會(huì)在等候接收要求方ACK消息的狀態(tài)。另一方面TCP連接對(duì)一臺(tái)服務(wù)器的連接狀態(tài)是有限的,因?yàn)樗鼈?/p>

33、在建立連接的時(shí)候沒(méi)有太多的內(nèi)存緩沖區(qū),如果這一緩沖區(qū)全都是無(wú)效的連接的信息,這個(gè)服務(wù)器就不會(huì)對(duì)接下來(lái)的連接請(qǐng)求產(chǎn)生回應(yīng),直到緩沖區(qū)里的連接企圖超時(shí)。當(dāng)攻擊者不斷發(fā)送連接請(qǐng)求,服務(wù)器將使用TCP連接隊(duì)列產(chǎn)生相當(dāng)大的擁堵,可用資源的快速減少,網(wǎng)絡(luò)可用帶寬的迅速萎縮,所以,只有小部分的用戶(hù)請(qǐng)求能夠通過(guò)應(yīng)答,因?yàn)閹捯呀?jīng)幾乎被無(wú)效的請(qǐng)求占滿(mǎn)了,服務(wù)器就不能向廣大用戶(hù)提供有效,安全的服務(wù)了。3.3.3Port Scan Attack(端口掃描攻擊)在時(shí)間的源IP地址已經(jīng)設(shè)置(默認(rèn)值是5000微秒)到相同的目的地IP地址位于10個(gè)不同的端口密封包裝,端口掃描攻擊將產(chǎn)生。這個(gè)方式的目的是檢索可用的服務(wù),如果

34、有一個(gè)端口響應(yīng),那么就能找出出作為目標(biāo)的服務(wù)。在內(nèi)部記錄從一個(gè)源位置檢索不同的端口號(hào)的防火墻。運(yùn)用默認(rèn)配置,當(dāng)遠(yuǎn)端主機(jī)在極短時(shí)間(大約0.005秒)掃描了十個(gè)不同的port(端口)。防火墻把這個(gè)事件記錄為port(端口)的掃描攻擊,而且會(huì)否定這一秒剩下的時(shí)間內(nèi)從這個(gè)原地址發(fā)來(lái)的其他封包。3.3.4ICMP Flood(UDP泛濫)ICMP也是TCP/IP協(xié)議簇中的一員,控制報(bào)文協(xié)議,它被用在在計(jì)算機(jī)和路由器中間傳導(dǎo)用于控制路由的信息。控制信息代表類(lèi)似于網(wǎng)絡(luò)的通常度,主機(jī)能否達(dá)到,消息在網(wǎng)絡(luò)中是否可用。類(lèi)似這類(lèi)消息就是我們所說(shuō)的控制消息了,它不會(huì)對(duì)用戶(hù)的數(shù)據(jù)產(chǎn)生影響,但對(duì)于用戶(hù)傳遞數(shù)據(jù)來(lái)說(shuō)是非常

35、有用的。這是一個(gè)ICMP洪水攻擊,發(fā)送超過(guò)65535字節(jié)的包的目標(biāo),使目標(biāo)主機(jī)癱瘓,如果大量發(fā)送成為洪水攻擊3.3.5端口掃描當(dāng)有人發(fā)送一組端口掃描信息的時(shí)候,那就要小心了,可能是某些人想要入侵你的網(wǎng)絡(luò)了。端口掃描實(shí)際上是在探測(cè)端口的弱點(diǎn),通過(guò)找出這些弱點(diǎn)來(lái)入侵計(jì)算機(jī)。掃描器是一種程序,用于找到其他計(jì)算機(jī)或者本機(jī)的安全弱點(diǎn),運(yùn)行掃描器的話(huà)能夠不留下痕跡的找到遠(yuǎn)端服務(wù)設(shè)備的各個(gè)TCP端口的分配方式和提供的服務(wù)和它們的軟件版本,這樣的話(huà)能有效幫助我們知道那些遠(yuǎn)程計(jì)算機(jī)存在有哪些需要重視的安全方面的問(wèn)題。4防火墻在企業(yè)中的應(yīng)用配置4.1配置防火墻時(shí)需注意的問(wèn)題4.1.1防火墻應(yīng)安全可靠首先防火墻本身

36、需要具有強(qiáng)大的防攻擊免疫力,這一點(diǎn)非常重要,自身非常難于攻破,否則一切都是空話(huà)。正如它本身的字面意思一樣,它就是一面墻,一面在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間,網(wǎng)絡(luò)與用戶(hù)之間的墻,保護(hù)從網(wǎng)絡(luò)到網(wǎng)絡(luò),網(wǎng)絡(luò)到用戶(hù)的數(shù)據(jù)安全可靠,不被侵犯。因此,防火墻本身一定要具有這種強(qiáng)大的免疫力。4.1.2防火墻應(yīng)性能穩(wěn)定企業(yè)在選購(gòu)防火墻的時(shí)候一定要注意購(gòu)買(mǎi)信得過(guò)的大廠(chǎng)商,他們出產(chǎn)的產(chǎn)品不僅質(zhì)量可靠,而且售后方面也很讓人省心,如思科、華為等廠(chǎng)商的產(chǎn)品。4.1.3防火墻配置與管理方便防火墻的配置流程盡量簡(jiǎn)單,方便管理員配置,方便網(wǎng)絡(luò)出錯(cuò)時(shí)查找出問(wèn)題根源。而管理也盡量簡(jiǎn)化,免得給管理員增添多余負(fù)擔(dān)。4.1.4防火墻要具有可升級(jí)與可擴(kuò)展

37、性因?yàn)榉阑饓Ρ举|(zhì)上來(lái)講也是硬件服務(wù)器,因此可升級(jí)與可擴(kuò)展性就非常的重要了,隨著企業(yè)的一步步壯大,需要防火墻做的處理也會(huì)越來(lái)越多,因此,留下足夠的空間擴(kuò)大,以適應(yīng)未來(lái)變化的安全需求的快速發(fā)展,支持服務(wù)和新功能。4.1.5防火墻要有病毒防護(hù)功能防火墻應(yīng)能防止網(wǎng)絡(luò)病毒的傳播,比等待更有效的其他攻擊的到來(lái),因?yàn)樽詈玫姆烙褪枪簟?.2防火墻應(yīng)用配置4.2.1E-mail電子郵件服務(wù)電子郵件是一種廣泛使用的服務(wù),讓我們利用互聯(lián)網(wǎng)服務(wù)非常方便,但是給我們帶來(lái)便利的同時(shí),也不可避免地產(chǎn)生一些麻煩。其中往往是Sendmail程序和SMTP協(xié)議帶來(lái)的問(wèn)題。為了解決這個(gè)問(wèn)題,防火墻中必須要安裝有SMAP和SMA

38、PD這兩個(gè)協(xié)議程序來(lái)達(dá)到減少Sendmail的權(quán)利,通過(guò)控制一些SMTP的功能來(lái)減少命令,優(yōu)化處理過(guò)程。4.2.2Telnet服務(wù)Telnet服務(wù)主要用于訪(fǎng)問(wèn)論壇站點(diǎn)和實(shí)行遠(yuǎn)程調(diào)用。而問(wèn)題就在于訪(fǎng)問(wèn)時(shí)口令的驗(yàn)證基本上都是明文驗(yàn)證。這樣的話(huà)就會(huì)產(chǎn)生監(jiān)聽(tīng)的問(wèn)題,因此在配置防火墻時(shí)需要配置內(nèi)部的用戶(hù)可以訪(fǎng)問(wèn)出站的Telnet服務(wù),而入站的Telnet服務(wù)不能訪(fǎng)問(wèn)自己的站點(diǎn),被嚴(yán)格的控制起來(lái)。4.2.3WWW服務(wù)WWW服務(wù)這種方便強(qiáng)大的圖形交互頁(yè)面訪(fǎng)問(wèn)服務(wù)已經(jīng)被全世界認(rèn)可,但是也存在著一定的安全隱患。第一個(gè)就是HTTP協(xié)議,它允許遠(yuǎn)程用戶(hù)對(duì)遠(yuǎn)程服務(wù)器請(qǐng)求通信及遠(yuǎn)程執(zhí)行命令,這樣Web服務(wù)器和用戶(hù)就處在

39、了危險(xiǎn)的地步。另一個(gè)問(wèn)題就是服務(wù)器日志,在Web服務(wù)器上會(huì)對(duì)所有使用者的數(shù)據(jù)以及要求信息進(jìn)行收錄,如果HTTP不對(duì)這些要求設(shè)置一些限制,這樣會(huì)帶來(lái)一系列比較麻煩的問(wèn)題。不過(guò)也不用擔(dān)心,我們可以使用防火墻設(shè)置代理服務(wù)器和加密通信來(lái)解決了。4.2.4FTP服務(wù)FTP下載服務(wù)的安全性也是非常重要的一環(huán),很大程度上,F(xiàn)TP的安全性依靠于身份認(rèn)證是否強(qiáng)大上。首先,匿名的用戶(hù)不應(yīng)該具有任何特殊的權(quán)限,否則會(huì)導(dǎo)致不可估計(jì)的錯(cuò)誤,并且要保證FTP的根目錄訪(fǎng)問(wèn)權(quán)限被設(shè)置為了555(read notwrite execute),把文件持有者的設(shè)置設(shè)置為ROOT來(lái)保證權(quán)限。4.3簡(jiǎn)單的防火墻配置命令4.3.1激活

40、我們使用enable命令來(lái)啟用這個(gè)以太端口,輸入configure來(lái)進(jìn)入這個(gè)模式 enable Password: #config t (config)#interface ethernet0 auto (config)#interface ethernet1 auto 大多數(shù)情況下“以太”0代表的是外部的網(wǎng)卡outside, “以太”1代表的是內(nèi)部的網(wǎng)卡inside,Inside是在配置出廠(chǎng)設(shè)置時(shí)就會(huì)被配置成功并且產(chǎn)生作用的,不過(guò)outside需要用代碼的方式設(shè)置啟動(dòng)。4.3.2命名端口 外部端口outside擁有的頂級(jí)安全級(jí)別即Security0security100表示inside的安全

41、級(jí)別,當(dāng)其中仍存在其他以太端口,那么就用security10,security20等等來(lái)為它取名,多個(gè)網(wǎng)卡組成多個(gè)網(wǎng)絡(luò),如果你需要添加一個(gè)以太網(wǎng)端口,然后把它作為一個(gè)DMZ(非軍事區(qū)的非軍事區(qū))。4.3.3配置地址 采用命令為:ip address4.3.4配置遠(yuǎn)程 在大多數(shù)情況之下,telnet是不能在PIX的端口上面成功運(yùn)行的,就這個(gè)方面來(lái)說(shuō)它和路由器是不同的。內(nèi)部端口可以遠(yuǎn)程登錄可以使用外部端口,但也有一些安全相關(guān)的配置。 (config)#telnet inside (config)#telnet 255.25

42、5.255.0 outside 測(cè)試telnet 在開(kāi)始-運(yùn)行 telnet PIX passwd:輸入密碼:cisco4.3.5訪(fǎng)問(wèn)列表 這個(gè)功用與思科iOS基本相似,這是防火墻的主要組成部分,許可和拒絕兩功能,其中的協(xié)議包含IP,TCP,UDP,ICMP這些,就像:只有:54的www是能夠被訪(fǎng)問(wèn)的,端口號(hào)是:八十4.3.6地址轉(zhuǎn)換 NAT跟路由器基本是一樣的, 防火墻的操作呢就是首先要自己創(chuàng)立一個(gè)庫(kù),全部存放ip地址,然后通過(guò)這個(gè)庫(kù)中的地址來(lái)進(jìn)行地址的轉(zhuǎn)換,實(shí)際上也是內(nèi)部的一個(gè)轉(zhuǎn)換。 (config)#global (outside) 1 22

43、00-00 netmask (config)#nat (inside) 1 如果所有的內(nèi)部地址可以轉(zhuǎn)換了: (config)#nat (inside) 1 但是在一些情況中,一些計(jì)算機(jī)必須要在外部地址十分稀少的時(shí)候利用一個(gè)獨(dú)立的IP地址,這樣的話(huà)亟待討論的是某外部IP(01),那么就要設(shè)置好一條命令,我們叫它(PAT),這樣處理的話(huà)用戶(hù)們就能更加有效的共用一個(gè)IP地址了,類(lèi)似于代理服務(wù)器的部分功能。配置如下: (confi

44、g)#global (outside) 1 00-00 netmask (config)#global (outside) 1 01 netmask (config)#nat (inside) 1 4.3.7DHCP 因?yàn)橐佑行У睦靡约胺奖愕墓芾碓跀?shù)量上不多的IP地址,我們?cè)趦?nèi)網(wǎng)中都會(huì)使用動(dòng)態(tài)主機(jī)分配IP地址服務(wù)器(DHCP Server),思科防火墻PIX都能使用這能力,以下的就是一個(gè)容易設(shè)立的DHCP 服務(wù)器,地址段為00192.1

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論