版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
1、防火墻在防范局域網內外部XX中的應用 防火墻在防范局域網內外部攻擊中的應用 摘 要:對防火墻防范外部攻擊和病毒,以及局域網內部攻擊2個方面的應用進行了論述。并以華為公司的防火墻產品為例介紹了防火墻的配置以及防火墻在安全防護中存在的問題。 關鍵詞:防火墻;網絡安全;局域網 安全防火墻是目前網絡中用來保證內部網路安全的主要技術。防火墻類似于建筑大廈中用于防止火災蔓延的隔斷墻, Inter防火墻是一個或一組實施訪問控制策略的系統(tǒng),它監(jiān)控可信任網絡(相當于內部網絡)和不可信任網絡(相當于外部網絡)之間的訪問通道,以防止外部網絡的危險蔓延到內部網絡上。防火墻作用于被保護區(qū)域的入口處,基于訪問控制策略提供
2、安全防護。 1、防火墻保護局域網絡防范外部攻擊的配置與應用 1. 1 網絡中常見的攻擊種類隨著網絡技術的普及,網絡攻擊行為出現(xiàn)得越來越頻繁。通過各種攻擊軟件,只要具有一般計算機常識的初學者也能完成對網絡的攻擊。各種網絡病毒的泛濫,也加劇了網絡被攻擊的危險。 網絡攻擊,一般是侵入或破壞網上的服務器(主機) ,盜取服務器的敏感數(shù)據或干擾破壞服務器對外提供的服務;也有直接破壞網絡設備的網絡攻擊,這種破壞影響較大,會導致網絡服務異常,甚至中斷。防火墻的攻擊防范功能能夠檢測出多種類型的網絡攻擊,并能采取相應的措施保護局域網絡免受惡意攻擊,保證內部局域網絡及系統(tǒng)的正常運行。 在網絡中常見網絡攻擊行為有:
3、IP地址欺騙攻擊;Land攻擊;Smurf攻擊;Fraggle攻擊;Teardrop攻擊;W inNuke攻擊;SYN Flood攻擊;ICMP和UDP F lood攻擊;地址掃描與端口掃描攻擊;Ping ofDea th攻擊。 1. 2 防火墻的典型組網配置和攻擊防范目前網絡中主要使用防火墻來保證局域網絡的安全。例如:當防火墻位于內部網絡和外部網絡的連接處時,可以保護 _內的局域網絡和數(shù)據免遭外部網絡的非法訪問(未授權或未驗證的訪問)或惡意攻擊;當防火墻位于 _內部相對開放的網段或比較敏感的網段(如保存敏感或專有數(shù)據的網絡部分)的連接處時, 可以根據需要過濾對敏感數(shù)據的訪問(即使該訪問 _內
4、部) 。 如圖1所示,是一個典型的防范外部攻擊的防火墻應用網絡模型,分別接入互聯(lián)網和遠端分支機構,并使用不同級別的安全策略保護內部網絡。其中防火墻位于內部網絡、外部網絡和DMZ區(qū)域中間,主要防止外部網絡的攻擊和病毒,同時允許內部網絡訪問外部網絡和DMZ區(qū)域。 下面以華為公司的防火墻為例,防范以上各種攻擊,配置如下:#firewa ll defend ip - spoofing enablefirewa ll defend land enablefirewa ll defend _urf enablefirewa ll defend fraggle enablefirewa ll defend
5、winnuke enablefirewa ll defend syn - flood enablefirewa ll defend udp - flood enablefirewa ll defend icmp - flood enablefirewa ll defend icmp - redirect enablefirewa ll defend icmp - unreachable enablefirewa ll defend ip - sweep enablefirewa ll defend port - scan enablefirewa ll defend sour _ - rout
6、e enablefirewa ll defend route - record enablefirewa ll defend tra _rt enablefirewa ll defend time - stamp enablefirewa ll defend ping - of - death enablefirewa ll defend teardrop enablefirewa ll defend tcp - flag enablefirewa ll defend ip - fragment enablefirewa ll defend large - icmp enable#1. 3 防
7、火墻在防病毒攻擊上的應用對于互聯(lián)網上的各種蠕蟲病毒、震蕩波病毒等,必須能夠判斷出網絡蠕蟲病毒、震蕩波病毒的特征,把網絡蠕蟲病毒造成的攻擊阻擋在安全網絡之外。 從而對內部安全網絡形成立體、全面的防護。因此我們啟用防火墻的實時網絡流量分析功能,及時發(fā)現(xiàn)各種攻擊和網絡蠕蟲病毒產生的異常流量??梢允褂梅阑饓︻A先定義的流量分析模型,也可以自己定義各種協(xié)議流量的比例,連接速率值等參數(shù),形成適合當前網絡的分析模型。比如, 用戶可以指定系統(tǒng)的TCP連接和UDP連接總數(shù)的上限值和下限值。當防火墻系統(tǒng)的TCP或UDP連接個數(shù)超過設定的值上限后,防火墻將輸出日志進行告警,而當TCP、UDP 連接個數(shù)降到設定的值下限
8、時,防火墻輸出日志,表示連接數(shù)恢復到正常。另外,也可以指定配置不同類型的報文在正常情況下一定時間內所占的百分比以及允許的變動范圍,系統(tǒng)定時檢測收到的各類報文百分比,并和配置進行比較,如果某類型( T 、UD 、I M 或其它) 報文百分比超過配置的上限值(加波動范圍) ,則系統(tǒng)輸出日志告警;如果某類型報文百分比低于配置的下限值(加波動范圍) ,則系統(tǒng)輸出日志告警。 配置如下: 3、使能系統(tǒng)統(tǒng)計功能firewall statistics system enable3 使能系統(tǒng)連接數(shù)量監(jiān)控firewall sta tistics system connect - numbe r tcp |udp
9、high 500 000 low 1 3 使能系統(tǒng)報文比率異常告警檢測firewall sta tistics system flow - per _nt tcp tcp- per _nt udp udp - per _nt icmp icmp - per _nt al2teration a ltera tion - pe r _nt time time - value 在網絡中,通過測試其中TCP、UDP、ICMP 報文分別所占的百分比為75%、15%、5%;變動的范圍為25%;檢測周期為60min。 此命令TCP、UDP、ICMP3種報文所占百分比需要同時被配置,并且3種報文所占百分比之和
10、不能超過100%;如果TCP、UDP、ICMP3種報文百分比之和超過100%,則命令不會生效此外,病毒攻擊產生大量的單播報文沖擊,造成網絡振蕩和設備故障,所以必須在所有交換機配置防病毒ACL規(guī)則對病毒報文進行過濾。 例如對震蕩波病毒的防范如下: rule 47 deny tcp de stination - port eq 445 (防震蕩波病毒)rule 50 deny udp destination - port eq 445 (防震蕩波病毒)rule 55 deny tcp destina tion - port eq 5554 (防震蕩波病毒)rule 57 deny tcp dest
11、ina tion - port eq 9996 (防震蕩波病毒)2 內部隔離造成當前網絡“安全危機”的另外一個因素是忽視對內網安全的監(jiān)控管理。防火墻防范了網絡外部的攻擊,對于潛伏于網絡內部的“黑手”卻置之不理,事實上很多攻擊的源頭局域網內部,出現(xiàn)網絡內部數(shù)據泄密,通過NAT的網絡內部的攻擊行為無法進行審計。由于對網絡內部缺乏防范,當網絡內部主機感染蠕蟲病毒時,會形成可以感染整個互聯(lián)網的污染源頭,導致整個互聯(lián)網絡環(huán)境低劣。 所以,對于網絡管理者,不但要 _局域網絡外部的威脅,而且要防范網絡內部的惡意行為。防火墻可以提供對網絡內部安全保障的支持,形成全面的安全防護體系。如果企業(yè)內部網絡規(guī)模較大,并
12、且設置有虛擬局域網(VL N) ,則應該在各個VLAN之間設置防火墻;因此,在企業(yè)、機構等重要部門或者關鍵數(shù)據中心應部署防火墻, 保證重要數(shù)據的安全。 通過防火墻強大的訪問控制以及內網的安全特性,在高安全性的內部網絡保證機密數(shù)據的合法訪問,并且通過分級的策略控制,實現(xiàn)網絡內部的分級安全保障。 在受保護的內部網絡,如何防范網絡內部的攻擊將是網絡安全領域面臨的一個十分重要的問題。在IP協(xié)議棧中,ARP是以太網上非常重要的一個協(xié)議。以太網網絡中的主機,在互相進行IP訪問之前,都必須先通過ARP協(xié)議來獲取目的IP 地址對應的MAC地址。在通過路由器、三層交換機作為 _時, PC機為了把數(shù)據發(fā)送到 _,
13、同樣需要通過ARP 協(xié)議來獲取 _的MAC地址。由于ARP協(xié)議本身不具備任何安全性,所以留下了很多的安全漏洞。 主機欺騙:惡意的網絡客戶可以偽造出別的客戶的ARP報文,使被攻擊的客戶不能正常進行網絡通訊。 _偽造:惡意的網絡客戶可以偽造 _的ARP應答,在ARP應答報文中把 _的IP地址對應的MAC地址設置為自己的MAC地址,那么,網絡中所有的客戶都會把數(shù)據發(fā)送到惡意網絡客戶的主機上。 ARP“轟炸”:惡意客戶主機發(fā)出大量的不同IP對應不同的MAC的ARP 報文, 讓網絡中的設備ARP表都加入最大數(shù)量的ARP 表項,導致正常的ARP不能加入,從而中斷網絡流量。 防火墻通過以下幾種方式來解決上述
14、內部網絡的地址安全性: ( )M 地址和I 地址綁定配置如下配置客戶機I 地址和M 地址到地址綁定關系中。 Quidway firewall _c - binding202. 169. 168. 1 00e0 - fc00 - 0100使能地址綁定功能。 Quidway firewall _c - bindingenable( 2) ARP欺騙檢查: firewall defend arp - reve rse - query( 3)ARP反向查詢firewall defend arp - spoofing3 防火墻的性能測試通過上述方法可以解決網絡中的攻擊問題以及內網的安全問題,但是防火墻在
15、使用中,通過測試存在以下幾個問題。 3. 1 防火墻無法檢測加密的Web流量由于網絡防火墻對于加密的SSL流中的數(shù)據是不可見的,防火墻無法迅速截獲SSL 數(shù)據流并對其解密,因此無法阻止應用程序的攻擊,甚至有些網絡防火墻,根本就不提供數(shù)據解密的功能。 3. 2 普通應用程序加密就能輕易躲過防火墻的檢測大多數(shù)網絡防火墻中,依賴的是靜態(tài)的特征庫,只有當應用層攻擊行為的特征與防火墻中的數(shù)據庫中已有的特征完全匹配時,防火墻才能識別和截獲攻擊數(shù)據。如果采用常見的編碼技術,將惡意代碼和其它攻擊命令隱藏起來,轉換成某種形式,只要與防火墻規(guī)則庫中的規(guī)則不一樣,就能夠躲過網絡防火墻,成功避開特征匹配。 3 3 對于W 應用程序,防范能力不足據年趨勢科技公司統(tǒng)計, 網絡攻擊中70%于Web應用程序的攻擊,由于體系結構的原因,即使是最先進的網絡防火墻,在防范Web應用程序時,由于無法全面控制網絡、應用程序和數(shù)據流,也無法截獲應用層的攻擊。由于對于整體的應用數(shù)據流,缺乏完整的、基于會話( Se ssion)級別的監(jiān)控能力,因此很難預防新的、的攻擊。 以上防火墻的不足可以通過其它安全工具來解決。 因此在網絡中, 需要防火墻和病毒 _結合使用。 4、結語 作為內部網絡與外部公共網絡之間的第一道
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025國有土地出讓合同
- 2025公司技術開發(fā)的合同范文
- 上海師范大學天華學院《檔案管理學》2023-2024學年第一學期期末試卷
- 課題申報書:高中階段學校多樣化發(fā)展背景下省域推進職普融通的教育制度構建研究
- 2025車庫買賣合同模板
- 課題申報書:多元評價體系改革助推學生全面發(fā)展的校本研究
- 上海杉達學院《小學班隊管理與實踐》2023-2024學年第一學期期末試卷
- 上海杉達學院《社會工作評估》2023-2024學年第一學期期末試卷
- 上海杉達學院《護理學基礎(一)》2023-2024學年第一學期期末試卷
- 上海歐華職業(yè)技術學院《音樂與新媒體運營》2023-2024學年第一學期期末試卷
- 醫(yī)院職工停薪留職申請書2篇
- 腳手架搭設與使用風險分析及管控措施
- 彩色簡約魚骨圖PPT圖表模板
- 經纖維支氣管鏡氣管插管
- 初中英語??几腻e練習題(共十八類100題附參考答案-解析)
- 爐膛熱力計算
- 深圳高鐵總部項目遴選方案
- AQ-C1-19 安全教育記錄表(三級)
- 五年級閱讀指導課(課堂PPT)
- 廣東飼料項目建議書(參考范文)
- 液堿濃度、密度對照表
評論
0/150
提交評論