計算機網(wǎng)絡(luò)安全與防火墻技術(shù)論文_第1頁
計算機網(wǎng)絡(luò)安全與防火墻技術(shù)論文_第2頁
計算機網(wǎng)絡(luò)安全與防火墻技術(shù)論文_第3頁
計算機網(wǎng)絡(luò)安全與防火墻技術(shù)論文_第4頁
計算機網(wǎng)絡(luò)安全與防火墻技術(shù)論文_第5頁
已閱讀5頁,還剩9頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

.PAGE.防火墻在網(wǎng)絡(luò)安全中的應(yīng)用PAGEI長江師范學(xué)院本科畢業(yè)論文計算機網(wǎng)絡(luò)安全及防火墻技術(shù)專業(yè)計算機科學(xué)與技術(shù)學(xué)號張琳學(xué)生201013285008指導(dǎo)教師余全..摘要隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛,在帶來了前所未有的海量信息的同時,網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性,網(wǎng)絡(luò)信息的安全性變得日益重要起來,已被信息社會的各個領(lǐng)域所重視。本文對目前計算機網(wǎng)絡(luò)存在的安全隱患進(jìn)行了分析,闡述了我國網(wǎng)絡(luò)安全的現(xiàn)狀及網(wǎng)絡(luò)安全問題產(chǎn)生的原因,對我們網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行了系統(tǒng)的分析,并探討了針對計算機安全隱患的防范策略.正是因為安全威脅的無處不在,為了解決這個問題防火墻出現(xiàn)了。防火墻是網(wǎng)絡(luò)安全的關(guān)鍵技術(shù),是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng),其核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境,防火墻是實施網(wǎng)絡(luò)安全控制得一種必要技術(shù)。本文討論了防火墻的安全功能、體系結(jié)構(gòu)、實現(xiàn)防火墻的主要技術(shù)手段及配置等。關(guān)鍵詞網(wǎng)絡(luò)安全黑客病毒防火墻英文摘要目錄1我國網(wǎng)絡(luò)安全現(xiàn)狀………………….11.1研究背景…………………11.2研究意義…………………11.3計算機網(wǎng)絡(luò)面臨的威脅………………2網(wǎng)絡(luò)安全脆弱的原因…………………2網(wǎng)絡(luò)安全面臨的威脅…………………22防火墻的安全功能及網(wǎng)絡(luò)安全的解決方案………2.1防火墻所具備的安全功能………2.2網(wǎng)絡(luò)安全的解決方案……..…….3防火墻的配置……….3.1防火墻的初始配置……………3.2過濾型防火墻的訪問控制表〔ACL配置…3.3雙宿主機網(wǎng)關(guān)……………………3.4屏蔽主機網(wǎng)關(guān)……………………3.5屏蔽子網(wǎng)……………….……………結(jié)束語…………………致謝……………………參考文獻(xiàn)………………1我國網(wǎng)絡(luò)安全現(xiàn)狀1.1研究背景據(jù)美國聯(lián)邦調(diào)查局統(tǒng)計,美國每年因網(wǎng)絡(luò)安全造成的損失高達(dá)75億美元。據(jù)美國金融時報報道,世界上平均每20分鐘就發(fā)生一次人侵國際互聯(lián)網(wǎng)絡(luò)的計算機安全事件,1/3的防火墻被突破。美國聯(lián)邦調(diào)查局計算機犯罪組負(fù)責(zé)人吉姆·塞特爾稱:給我精選10名"黑客",組成小組,90天內(nèi),我將使美國趴下。一位計算機專家毫不夸張地說:如果給我一臺普通計算機、一條線和一個調(diào)制解調(diào)器,就可以令某個地區(qū)的網(wǎng)絡(luò)運行失常。據(jù)了解,從1997年底至今,我國的政府部門、證券公司、銀行等機構(gòu)的計算機網(wǎng)絡(luò)相繼遭到多次攻擊。公安機關(guān)受理各類信息網(wǎng)絡(luò)違法犯罪案件逐年劇增,尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國大量的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用依賴于外國的產(chǎn)品和技術(shù),在電子政務(wù)、電子商務(wù)和各行業(yè)的計算機網(wǎng)絡(luò)應(yīng)用尚處于發(fā)展階段,以上這些領(lǐng)域的大型計算機網(wǎng)絡(luò)工程都由國內(nèi)一些較大的系統(tǒng)集成商負(fù)責(zé)。有些集成商仍缺乏足夠?qū)I(yè)的安全支撐技術(shù)力量,同時一些負(fù)責(zé)網(wǎng)絡(luò)安全的工程技術(shù)人員對許多潛在風(fēng)險認(rèn)識不足。缺乏必要的技術(shù)設(shè)施和相關(guān)處理經(jīng)驗,面對形勢日益嚴(yán)峻的現(xiàn)狀,很多時候都顯得有些力不從心。也正是由于受技術(shù)條件的限制,很多人對網(wǎng)絡(luò)安全的意識僅停留在如何防范病毒階段,對網(wǎng)絡(luò)安全缺乏整體意識。隨著網(wǎng)絡(luò)的逐步普及,網(wǎng)絡(luò)安全的問題已經(jīng)日益突。如同其它任何社會一樣,互連網(wǎng)也受到某些無聊之人的困擾,某些人喜愛在網(wǎng)上做這類的事,像在現(xiàn)實中向其他人的墻上噴染涂鴉、將他人的郵箱推倒或者坐在大街上按汽車?yán)纫粯?。網(wǎng)絡(luò)安全已成為互連網(wǎng)上事實上的焦點問題。它關(guān)系到互連網(wǎng)的進(jìn)一步發(fā)展和普及,甚至關(guān)系著互連網(wǎng)的生存。近年來,無論在發(fā)達(dá)國家,還是在發(fā)展中國家,黑客活動越來越猖狂,他們無孔不入,對社會造成了嚴(yán)重的危害。目前在互連網(wǎng)上大約有將近80%以上的用戶曾經(jīng)遭受過黑客的困擾。而與此同時,更讓人不安的是,互連網(wǎng)上病毒和黑客的聯(lián)姻、不斷增多的黑客網(wǎng)站,使學(xué)習(xí)黑客技術(shù)、獲得黑客攻擊工具變的輕而易舉。這樣,使原本就十分脆弱的互連網(wǎng)越發(fā)顯得不安全。1.2研究意義現(xiàn)在網(wǎng)絡(luò)的觀念已經(jīng)深入人心,越來越多的人們通過網(wǎng)絡(luò)來了解世界,同時他們也可以通過網(wǎng)絡(luò)發(fā)布消息,與朋友進(jìn)行交流和溝通,展示自己,以及開展電子商務(wù)等等。人們的日常生活也越來越依靠網(wǎng)絡(luò)進(jìn)行。同時網(wǎng)絡(luò)攻擊也愈演愈烈,時刻威脅著用戶上網(wǎng)安全,網(wǎng)絡(luò)與信息安全已經(jīng)成為當(dāng)今社會關(guān)注的重要問題之一。黨的十六屆四中全會,把信息安全和政治安全、經(jīng)濟安全、文化安全并列為國家安全的四大范疇之一,信息安全的重要性被提升到一個空前的戰(zhàn)略高度。正是因為安全威脅的無處不在,為了解決這個問題防火墻出現(xiàn)了。防火墻的本義原是指古代人們房屋之間修建的那道為防止火災(zāi)蔓延而建立的墻,而現(xiàn)在意義上的防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng),是這一類防范措施的總稱。應(yīng)該說,在互連網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型,通過它可以隔離風(fēng)險區(qū)域<即Internet或有一定風(fēng)險的網(wǎng)絡(luò)>與安全區(qū)域<局域網(wǎng)>的連接,同時不會妨礙人們對風(fēng)險區(qū)域的訪問。成而有效的控制用戶的上網(wǎng)安全。防火墻是實施網(wǎng)絡(luò)安全控制得一種必要技術(shù),它是一個或一組系統(tǒng)組成,它在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略。實現(xiàn)它的實際方式各不相同,但是在原則上,防火墻可以被認(rèn)為是這樣同一種機制:攔阻不安全的傳輸流,允許安全的傳輸流通過。特定應(yīng)用程序行為控制等獨特的自我保護機制使它可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信信息,僅讓安全的、核準(zhǔn)了的信息進(jìn)入;它可以限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò),過濾掉不安全服務(wù)和非法用戶;它可以封鎖特洛伊木馬,防止機密數(shù)據(jù)的外泄;它可以限定用戶訪問特殊站點,禁止用戶對某些內(nèi)容不健康站點的訪問;它還可以為監(jiān)視互聯(lián)網(wǎng)的安全提供方便?,F(xiàn)在國外的優(yōu)秀防火墻如Outpost不但能完成以上介紹的基本功能,還能對獨特的私人信息保護如防止密碼泄露、對內(nèi)容進(jìn)行管理以防止小孩子或員工查看不合適的網(wǎng)頁內(nèi)容,允許按特定關(guān)鍵字以及特定網(wǎng)地進(jìn)行過濾等、同時還能對DNS緩存進(jìn)行保護、對Web頁面的交互元素進(jìn)行控制如過濾不需要的GIF,Flash動畫等界面元素。隨著時代的發(fā)展和科技的進(jìn)步防火墻功能日益完善和強大,但面對日益增多的網(wǎng)絡(luò)安全威脅防火墻仍不是完整的解決方案。但不管如何變化防火墻仍然是網(wǎng)絡(luò)安全必不可少的工具之一。1.3計算機網(wǎng)絡(luò)面臨的威脅網(wǎng)絡(luò)安全脆弱的原因<1>Internet所用底層TCP/IP網(wǎng)絡(luò)協(xié)議本身易受到攻擊,該協(xié)議本身的安全問題極大地影響到上層應(yīng)用的安全。<2>Internet上廣為傳插的易用黑客和解密工具使很多網(wǎng)絡(luò)用戶輕易地獲得了攻擊網(wǎng)絡(luò)的方法和手段。<3>快速的軟件升級周期,會造成問題軟件的出現(xiàn),經(jīng)常會出現(xiàn)操作系統(tǒng)和應(yīng)用程序存在新的攻擊漏洞。<4>現(xiàn)行法規(guī)政策和管理方面存在不足。目前我國針對計算機及網(wǎng)絡(luò)信息保護的條款不細(xì)致,網(wǎng)上保密的法規(guī)制度可操作性不強,執(zhí)行不力。同時,不少單位沒有從管理制度、人員和技術(shù)上建立相應(yīng)的安全防范機制。缺乏行之有效的安全檢查保護措施,甚至有一些網(wǎng)絡(luò)管理員利用職務(wù)之便從事網(wǎng)上違法行為。網(wǎng)絡(luò)安全面臨的威脅信息安全是一個非常關(guān)鍵而又復(fù)雜的問題。計算機信息系統(tǒng)安全指計算機信息系統(tǒng)資產(chǎn)<包括網(wǎng)絡(luò)>的安全,即計算機信息系統(tǒng)資源<硬件、軟件和信息>不受自然和人為有害因素的威脅和危害。計算機信息系統(tǒng)之所以存在著脆弱性,主要是由于技術(shù)本身存在著安全弱點、系統(tǒng)的安全性差、缺乏安全性實踐等;計算機信息系統(tǒng)受到的威脅和攻擊除自然災(zāi)害外,主要來自計算機犯罪、計算機病毒、黑客攻擊、信息戰(zhàn)爭和計算機系統(tǒng)故障等。由于計算機信息系統(tǒng)已經(jīng)成為信息社會另一種形式的"金庫"和"保密室",因而,成為一些人窺視的目標(biāo)。再者,由于計算機信息系統(tǒng)自身所固有的脆弱性,使計算機信息系統(tǒng)面臨威脅和攻擊的考驗。計算機信息系統(tǒng)的安全威脅主要來自于以下幾個方面:<1>自然災(zāi)害。計算機信息系統(tǒng)僅僅是一個智能的機器,易受自然災(zāi)害及環(huán)境<溫度、濕度、振動、沖擊、污染>的影響。目前,我們不少計算機房并沒有防震、防火、防水、避雷、防電磁泄漏或干擾等措施,接地系統(tǒng)也疏于周到考慮,抵御自然災(zāi)害和意外事故的能力較差。日常工作中因斷電而設(shè)備損壞、數(shù)據(jù)丟失的現(xiàn)象時有發(fā)生。由于噪音和電磁輻射,導(dǎo)致網(wǎng)絡(luò)信噪比下降,誤碼率增加,信息的安全性、完整性和可用性受到威脅。<2>黑客的威脅和攻擊。計算機信息網(wǎng)絡(luò)上的黑客攻擊事件越演越烈,已經(jīng)成為具有一定經(jīng)濟條件和技術(shù)專長的形形色色攻擊者活動的舞臺。他們具有計算機系統(tǒng)和網(wǎng)絡(luò)脆弱性的知識,能使用各種計算機工具。境內(nèi)外黑客攻擊破壞網(wǎng)絡(luò)的問題十分嚴(yán)重,他們通常采用非法侵人重要信息系統(tǒng),竊聽、獲取、攻擊侵人網(wǎng)的有關(guān)敏感性重要信息,修改和破壞信息網(wǎng)絡(luò)的正常使用狀態(tài),造成數(shù)據(jù)丟失或系統(tǒng)癱瘓,給國家造成重大政治影響和經(jīng)濟損失。黑客問題的出現(xiàn),并非黑客能夠制造入侵的機會,從沒有路的地方走出一條路,只是他們善于發(fā)現(xiàn)漏洞。即信息網(wǎng)絡(luò)本身的不完善性和缺陷,成為被攻擊的目標(biāo)或利用為攻擊的途徑,其信息網(wǎng)絡(luò)脆弱性引發(fā)了信息社會脆弱性和安全問題,并構(gòu)成了自然或人為破壞的威脅。<3>計算機病毒。90年代,出現(xiàn)了曾引起世界性恐慌的"計算機病毒",其蔓延范圍廣,增長速度驚人,損失難以估計。它像灰色的幽靈將自己附在其他程序上,在這些程序運行時進(jìn)人到系統(tǒng)中進(jìn)行擴散。計算機感染上病毒后,輕則使系統(tǒng)上作效率下降,重則造成系統(tǒng)死機或毀壞,使部分文件或全部數(shù)據(jù)丟失,甚至造成計算機主板等部件的損壞。<4>垃圾郵件和間諜軟件。一些人利用電子郵件地址的"公開性"和系統(tǒng)的"可廣播性"進(jìn)行商業(yè)、宗教、政治等活動,把自己的電子郵件強行"推入"別人的電子郵箱,強迫他人接受垃圾郵件。與計算機病毒不同,間諜軟件的主要目的不在于對系統(tǒng)造成破壞,而是竊取系統(tǒng)或是用戶信息。事實上,間諜軟件日前還是一個具有爭議的概念,一種被普遍接受的觀點認(rèn)為間諜軟件是指那些在用戶小知情的情況下進(jìn)行非法安裝發(fā)裝后很難找到其蹤影,并悄悄把截獲的一些機密信息提供給第下者的軟件。間諜軟件的功能繁多,它可以監(jiān)視用戶行為,或是發(fā)布廣告,修改系統(tǒng)設(shè)置,威脅用戶隱私和計算機安全,并可能小同程度的影響系統(tǒng)性能。<5>信息戰(zhàn)的嚴(yán)重威脅。信息戰(zhàn),即為了國家的軍事戰(zhàn)略而采取行動,取得信息優(yōu)勢,干擾敵方的信息和信息系統(tǒng),同時保衛(wèi)自己的信息和信息系統(tǒng)。這種對抗形式的目標(biāo),不是集中打擊敵方的人員或戰(zhàn)斗技術(shù)裝備,而是集中打擊敵方的計算機信息系統(tǒng),使其神經(jīng)中樞的指揮系統(tǒng)癱瘓。信息技術(shù)從根本上改變了進(jìn)行戰(zhàn)爭的方法,其攻擊的首要目標(biāo)主要是連接國家政治、軍事、經(jīng)濟和整個社會的計算機網(wǎng)絡(luò)系統(tǒng),信息武器已經(jīng)成為了繼原子武器、生物武器、化學(xué)武器之后的第四類戰(zhàn)略武器??梢哉f,未來國與國之間的對抗首先將是信息技術(shù)的較量。網(wǎng)絡(luò)信息安全應(yīng)該成為國家安全的前提。<6>計算機犯罪。計算機犯罪,通常是利用竊取口令等手段非法侵人計算機信息系統(tǒng),傳播有害信息,惡意破壞計算機系統(tǒng),實施貪污、盜竊、詐騙和金融犯罪等活動。在一個開放的網(wǎng)絡(luò)環(huán)境中,大量信息在網(wǎng)上流動,這為不法分子提供了攻擊目標(biāo)。他們利用不同的攻擊手段,獲得訪問或修改在網(wǎng)中流動的敏感信息,闖入用戶或政府部門的計算機系統(tǒng),進(jìn)行窺視、竊取、篡改數(shù)據(jù)。不受時間、地點、條件限制的網(wǎng)絡(luò)詐騙,其"低成本和高收益"又在一定程度上刺激了犯罪的增長。使得針對計算機信息系統(tǒng)的犯罪活動日益增多。2防火墻的安全功能及安全網(wǎng)絡(luò)方案2.1防火墻具備的安全功能防火墻是網(wǎng)絡(luò)安全策略的有機組成部分,它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下基本功能:<1>報警功能,將任何有網(wǎng)絡(luò)連接請求的程序通知用戶,用戶自行判斷是否放行也或阻斷其程序連接網(wǎng)絡(luò)。<2>黑白名單功能,可以對現(xiàn)在或曾經(jīng)請求連接網(wǎng)絡(luò)的程序進(jìn)行規(guī)則設(shè)置。包括以后不準(zhǔn)許連接網(wǎng)網(wǎng)等功能。<3>局域網(wǎng)查詢功能,可以查詢本局域網(wǎng)內(nèi)其用戶,并顯示各用戶主機名。<4>流量查看功能,對計算機進(jìn)出數(shù)據(jù)流量進(jìn)行查看,直觀的完整的查看實時數(shù)據(jù)量和上傳下載數(shù)據(jù)率。<5>端口掃描功能,戶自可以掃描本機端口,端口范圍為0-65535端口,掃描完后將顯示已開放的端口。<6>系統(tǒng)日志功能,日志分為流量日志和安全日志,流量日志是記錄不同時間數(shù)據(jù)包進(jìn)去計算機的情況,分別記錄目標(biāo)地址,對方地址,端口號等。安全日志負(fù)責(zé)記錄請求連接網(wǎng)絡(luò)的程序,其中包括記錄下程序的請求連網(wǎng)時間,程序目錄路徑等。<7>系統(tǒng)服務(wù)功能,可以方便的查看所以存在于計算機內(nèi)的服務(wù)程序??梢躁P(guān)閉,啟動,暫停計算機內(nèi)的服務(wù)程序。<8>連網(wǎng)/斷網(wǎng)功能,在不使用物理方法下使用戶計算機連接網(wǎng)絡(luò)或斷開網(wǎng)絡(luò)。完成以上功能使系統(tǒng)能對程序連接網(wǎng)絡(luò)進(jìn)行管理,大大提高了用戶上網(wǎng)的效率,降低的上網(wǎng)風(fēng)險。從而用戶上網(wǎng)娛樂的質(zhì)量達(dá)到提高,同時也達(dá)到網(wǎng)絡(luò)安全保護的目的。2.2網(wǎng)絡(luò)安全的解決方案2.2.1入侵檢測系統(tǒng)部署入侵檢測能力是衡量一個防御體系是否完整有效的重要因素,強大完整的入侵檢測體系可以彌補防火墻相對靜態(tài)防御的不足。對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進(jìn)行實時檢測,及時發(fā)現(xiàn)各種可能的攻擊企圖,并采取相應(yīng)的措施。具體來講,就是將入侵檢測引擎接入中心交換機上。入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身,能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù),利用內(nèi)置的攻擊特征庫,使用模式匹配和智能分析的方法,檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?,F(xiàn)象,并在數(shù)據(jù)庫中記錄有關(guān)事件,作為網(wǎng)絡(luò)管理員事后分析的依據(jù);如果情況嚴(yán)重,系統(tǒng)可以發(fā)出實時報警,使得學(xué)校管理員能夠及時采取應(yīng)對措施。漏洞掃描系統(tǒng)采用目前最先進(jìn)的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機等進(jìn)行安全檢查,并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報告,為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。網(wǎng)絡(luò)版殺毒產(chǎn)品部署在該網(wǎng)絡(luò)防病毒方案中,我們最終要達(dá)到一個目的就是:要在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作,為了實現(xiàn)這一點,我們應(yīng)該在整個網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時為了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系,應(yīng)能實現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報警、集中管理、分布查殺等多種功能。安全服務(wù)配置安全服務(wù)隔離區(qū)<DMZ>把服務(wù)器機群和系統(tǒng)管理機群單獨劃分出來,設(shè)置為安全服務(wù)隔離區(qū),它既是內(nèi)部網(wǎng)絡(luò)的一部分,又是一個獨立的局域網(wǎng),單獨劃分出來是為了更好的保護服務(wù)器上數(shù)據(jù)和系統(tǒng)管理的正常運行。建議通過NAT<網(wǎng)絡(luò)地址轉(zhuǎn)換>技術(shù)將受保護的內(nèi)部網(wǎng)絡(luò)的全部主機地址映射成防火墻上設(shè)置的少數(shù)幾個有效公網(wǎng)IP地址。這不僅可以對外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和IP地址,保護內(nèi)部網(wǎng)絡(luò)的安全,也可以大大節(jié)省公網(wǎng)IP地址的使用,節(jié)省了投資成本。如果單位原來已有邊界路由器,則可充分利用原有設(shè)備,利用邊界路由器的包過濾功能,添加相應(yīng)的防火墻配置,這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護的內(nèi)部網(wǎng)絡(luò)連接。對于DMZ區(qū)中的公用服務(wù)器,則可直接與邊界路由器相連,不用經(jīng)過防火墻。它可只經(jīng)過路由器的簡單防護。在此拓?fù)浣Y(jié)構(gòu)中,邊界路由器與防火墻就一起組成了兩道安全防線,并且在這兩者之間可以設(shè)置一個DMZ區(qū),用來放置那些允許外部用戶訪問的公用服務(wù)器設(shè)施。2.2.5配置訪問策略訪問策略是防火墻的核心安全策略,所以要經(jīng)過詳盡的信息統(tǒng)計才可以進(jìn)行設(shè)置。在過程中我們需要了解本單位對內(nèi)對外的應(yīng)用以及所對應(yīng)的源地址、目的地址、TCP或UDP的端口,并根據(jù)不同應(yīng)用的執(zhí)行頻繁程度對策略在規(guī)則表中的位置進(jìn)行排序,然后才能實施配置。原因是防火墻進(jìn)行規(guī)則查找時是順序執(zhí)行的,如果將常用的規(guī)則放在首位就可以提高防火墻的工作效率。日志監(jiān)控日志監(jiān)控是十分有效的安全管理手段。往往許多管理員認(rèn)為只要可以做日志的信息就去采集。如:所有的告警或所有與策略匹配或不匹配的流量等等,這樣的做法看似日志信息十分完善,但每天進(jìn)出防火墻的數(shù)據(jù)有上百萬甚至更多,所以,只有采集到最關(guān)鍵的日志才是真正有用的日志。一般而言,系統(tǒng)的告警信息是有必要記錄的,對于流量信息進(jìn)行選擇,把影響網(wǎng)絡(luò)安全有關(guān)的流量信息保存下來。計算機網(wǎng)絡(luò)安全方案設(shè)計并實現(xiàn)

1.桌面安全系統(tǒng)用戶的重要信息都是以文件的形式存儲在磁盤上,使用戶可以方便地存取、修改、分發(fā)。這樣可以提高辦公的效率,但同時也造成用戶的信息易受到攻擊,造成泄密。特別是對于移動辦公的情況更是如此。因此,需要對移動用戶的文件及文件夾進(jìn)行本地安全管理,防止文件泄密等安全隱患。

本設(shè)計方案采用清華紫光公司出品的紫光S鎖產(chǎn)品,"紫光S鎖"是清華紫光"桌面計算機信息安全保護系統(tǒng)"的商品名稱。紫光S鎖的內(nèi)部集成了包括中央處理器〔CPU、加密運算協(xié)處理器〔CAU、只讀存儲器〔ROM,隨機存儲器〔RAM、電可擦除可編程只讀存儲器〔E2PROM等,以及固化在ROM內(nèi)部的芯片操作系統(tǒng)COS〔Chip

Operating

System、硬件ID號、各種密鑰和加密算法等。紫光S鎖采用了通過中國人民銀行認(rèn)證的SmartCOS,其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改,防止非法軟件對S鎖進(jìn)行操作。

2.病毒防護系統(tǒng)

基于單位目前網(wǎng)絡(luò)的現(xiàn)狀,在網(wǎng)絡(luò)中添加一臺服務(wù)器,用于安裝IMSS。

〔1>郵件防毒。采用趨勢科技的ScanMail

for

Notes。該產(chǎn)品可以和Domino的群件服務(wù)器無縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫中,可防止病毒入侵到LotueNotes的數(shù)據(jù)庫及電子郵件,實時掃描并清除隱藏于數(shù)據(jù)庫及信件附件中的病毒??赏ㄟ^任何Notes工作站或Web界面遠(yuǎn)程控管防毒管理工作,并提供實時監(jiān)控病毒流量的活動記錄報告。ScanMail是Notes

Domino

Server使用率最高的防病毒軟件。

〔2>服務(wù)器防毒。采用趨勢科技的ServerProtect。該產(chǎn)品的最大特點是內(nèi)含集中管理的概念,防毒模塊和管理模塊可分開安裝。一方面減少了整個防毒系統(tǒng)對原系統(tǒng)的影響,另一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點進(jìn)行部署,管理和更新。

〔3>客戶端防毒。采用趨勢科技的OfficeScan。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng),使管理者通過單點控制所有客戶機上的防毒模塊,并可以自動對所有客戶端的防毒模塊進(jìn)行更新。其最大特點是擁有靈活的產(chǎn)品集中部署方式,不受Windows域管理模式的約束,除支持SMS,登錄域腳本,共享安裝以外,還支持純Web的部署方式。

〔4>集中控管TVCS。管理員可以通過此工具在整個企業(yè)范圍內(nèi)進(jìn)行配置、監(jiān)視和維護趨勢科技的防病毒軟件,支持跨域和跨網(wǎng)段的管理,并能顯示基于服務(wù)器的防病毒產(chǎn)品狀態(tài)。無論運行于何種平臺和位置,TVCS在整個網(wǎng)絡(luò)中總起一個單一管理控制臺作用。簡便的安裝和分發(fā)代理部署,網(wǎng)絡(luò)的分析和病毒統(tǒng)計功能以及自動下載病毒代碼文件和病毒爆發(fā)警報,給管理帶來極大的便利。

3.動態(tài)口令身份認(rèn)證系統(tǒng)

動態(tài)口令系統(tǒng)在國際公開的密碼算法基礎(chǔ)上,結(jié)合生成動態(tài)口令的特點,加以精心修改,通過十次以上的非線性迭代運算,完成時間參數(shù)與密鑰充分的混合擴散。在此基礎(chǔ)上,采用先進(jìn)的身份認(rèn)證及加解密流程、先進(jìn)的密鑰管理方式,從整體上保證了系統(tǒng)的安全性。

4.訪問控制"防火墻"

單位安全網(wǎng)由多個具有不同安全信任度的網(wǎng)絡(luò)部分構(gòu)成,在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷,從而構(gòu)成了對網(wǎng)絡(luò)安全的重要隱患。本設(shè)計方案選用四臺網(wǎng)御防火墻,分別配置在高性能服務(wù)器和三個重要部門的局域網(wǎng)出入口,實現(xiàn)這些重要部門的訪問控制。

通過在核心交換機和高性能服務(wù)器群之間及核心交換機和重要部門之間部署防火墻,通過防火墻將網(wǎng)絡(luò)內(nèi)部不同部門的網(wǎng)絡(luò)或關(guān)鍵服務(wù)器劃分為不同的網(wǎng)段,彼此隔離。這樣不僅保護了單位網(wǎng)絡(luò)服務(wù)器,使其不受來自內(nèi)部的攻擊,也保護了各部門網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器不受來自單位網(wǎng)內(nèi)部其他部門的網(wǎng)絡(luò)的攻擊。如果有人闖進(jìn)您的一個部門,或者如果病毒開始蔓延,網(wǎng)段能夠限制造成的損壞進(jìn)一步擴大。

5.信息加密、信息完整性校驗

為有效解決辦公區(qū)之間信息的傳輸安全,可以在多個子網(wǎng)之間建立起獨立的安全通道,通過嚴(yán)格的加密和認(rèn)證措施來保證通道中傳送的數(shù)據(jù)的完整性、真實性和私有性。

SJW-22網(wǎng)絡(luò)密碼機系統(tǒng)組成

網(wǎng)絡(luò)密碼機〔硬件:是一個基于專用內(nèi)核,具有自主版權(quán)的高級通信保護控制系統(tǒng)。

本地管理器〔軟件:是一個安裝于密碼機本地管理平臺上的基于網(wǎng)絡(luò)或串口方式的網(wǎng)絡(luò)密碼機本地管理系統(tǒng)軟件。

中心管理器〔軟件:是一個安裝于中心管理平臺〔Windows系統(tǒng)上的對全網(wǎng)的密碼機設(shè)備進(jìn)行統(tǒng)一管理的系統(tǒng)軟件。

6.安全審計系統(tǒng)

根據(jù)以上多層次安全防范的策略,安全網(wǎng)的安全建設(shè)可采取"加密"、"外防"、"內(nèi)審"相結(jié)合的方法,"內(nèi)審"是對系統(tǒng)內(nèi)部進(jìn)行監(jiān)視、審查,識別系統(tǒng)是否正在受到攻擊以及內(nèi)部機密信息是否泄密,以解決內(nèi)層安全。

安全審計系統(tǒng)能幫助用戶對安全網(wǎng)的安全進(jìn)行實時監(jiān)控,及時發(fā)現(xiàn)整個網(wǎng)絡(luò)上的動態(tài),發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為,忠實記錄網(wǎng)絡(luò)上發(fā)生的一切,提供取證手段。作為網(wǎng)絡(luò)安全十分重要的一種手段,安全審計系統(tǒng)包括識別、記錄、存儲、分析與安全相關(guān)行為有關(guān)的信息。

在安全網(wǎng)中使用的安全審計系統(tǒng)應(yīng)實現(xiàn)如下功能:安全審計自動響應(yīng)、安全審計數(shù)據(jù)生成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。

本設(shè)計方案選用"漢邦軟科"的安全審計系統(tǒng)作為安全審計工具。

漢邦安全審計系統(tǒng)是針對目前網(wǎng)絡(luò)發(fā)展現(xiàn)狀及存在的安全問題,面向企事業(yè)的網(wǎng)絡(luò)管理人員而設(shè)計的一套網(wǎng)絡(luò)安全產(chǎn)品,是一個分布在整個安全網(wǎng)范圍內(nèi)的網(wǎng)絡(luò)安全監(jiān)視監(jiān)測、控制系統(tǒng)。

〔1安全審計系統(tǒng)由安全監(jiān)控中心和主機傳感器兩個部分構(gòu)成。主機傳感器安裝在要監(jiān)視的目標(biāo)主機上,其監(jiān)視目標(biāo)主機的人機界面操作、監(jiān)控RAS連接、監(jiān)控網(wǎng)絡(luò)連接情況及共享資源的使用情況。安全監(jiān)控中心是管理平臺和監(jiān)控平臺,網(wǎng)絡(luò)管理員通過安全監(jiān)控中心為主機傳感器設(shè)定監(jiān)控規(guī)則,同時獲得監(jiān)控結(jié)果、報警信息以及日志的審計。主要功能有文件保護審計和主機信息審計。

①文件保護審計:文件保護安裝在審計中心,可有效的對被審計主機端的文件進(jìn)行管理規(guī)則設(shè)置,包括禁止讀、禁止寫、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報警等功能。以及對文件保護進(jìn)行用戶管理。

②主機信息審計:對網(wǎng)絡(luò)內(nèi)公共資源中,所有主機進(jìn)行審計,可以審計到主機的機器名、當(dāng)前用戶、操作系統(tǒng)類型、IP地址信息。

〔2>資源監(jiān)控系統(tǒng)主要有四類功能。①監(jiān)視屏幕:在用戶指定的時間段內(nèi),系統(tǒng)自動每隔數(shù)秒或數(shù)分截獲一次屏幕;用戶實時控制屏幕截獲的開始和結(jié)束。

3防火墻的配置3.1防火墻的初始配置像路由器一樣,在使用之前,防火墻也需要經(jīng)過基本的初始配置。但因各種防火墻的初始配置基本類似,所以在此僅以CiscoPIX防火墻為例進(jìn)行介紹。

防火墻的初始配置也是通過控制端口〔Console與PC機〔通常是便于移動的筆記本電腦的串口連接,再通過Windows系統(tǒng)自帶的超級終端〔HyperTerminal程序進(jìn)行選項配置。防火墻的初始配置物理連接與前面介紹的交換機初始配置連接方法一樣,參見圖1所示。

防火墻除了以上所說的通過控制端口〔Console進(jìn)行初始配置外,也可以通過telnet和Tffp配置方式進(jìn)行高級配置,但Telnet配置方式都是在命令方式中配置,難度較大,而Tffp方式需要專用的Tffp服務(wù)器軟件,但配置界面比較友好。

防火墻與路由器一樣也有四種用戶配置模式,即:普通模式〔Unprivilegedmode、特權(quán)模式〔PrivilegedMode、配置模式〔ConfigurationMode和端口模式〔InterfaceMode,進(jìn)入這四種用戶模式的命令也與路由器一樣:

普通用戶模式無需特別命令,啟動后即進(jìn)入;

進(jìn)入特權(quán)用戶模式的命令為"enable";進(jìn)入配置模式的命令為"configterminal";而進(jìn)入端口模式的命令為"interfaceethernet〔"。不過因為防火墻的端口沒有路由器那么復(fù)雜,所以通常把端口模式歸為配置模式,統(tǒng)稱為"全局配置模式"。

防火墻的具體配置步驟如下:

1.將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個空余串口上,參見圖1。

2.打開PIX防火電源,讓系統(tǒng)加電初始化,然后開啟與防火墻連接的主機。

3.運行筆記本電腦Windows系統(tǒng)中的超級終端〔HyperTerminal程序〔通常在"附件"程序組中。對超級終端的配置與交換機或路由器的配置一樣,參見本教程前面有關(guān)介紹。

4.當(dāng)PIX防火墻進(jìn)入系統(tǒng)后即顯示"pixfirewall>"的提示符,這就證明防火墻已啟動成功,所進(jìn)入的是防火墻用戶模式??梢赃M(jìn)行進(jìn)一步的配置了。

5.輸入命令:enable,進(jìn)入特權(quán)用戶模式,此時系統(tǒng)提示為:pixfirewall#。

6.輸入命令:configureterminal,進(jìn)入全局配置模式,對系統(tǒng)進(jìn)行初始化設(shè)置。

〔1.首先配置防火墻的網(wǎng)卡參數(shù)〔以只有1個LAN和1個WAN接口的防火墻配置為例

Interfaceethernet0auto#0號網(wǎng)卡系統(tǒng)自動分配為WAN網(wǎng)卡,"auto"選項為系統(tǒng)自適應(yīng)網(wǎng)卡類型

Interfaceethernet1auto

〔2.配置防火墻內(nèi)、外部網(wǎng)卡的IP地址

IPaddressinsideip_addressnetmask#Inside代表內(nèi)部網(wǎng)卡

IPaddressoutsideip_addressnetmask#outside代表外部網(wǎng)卡

〔3.指定外部網(wǎng)卡的IP地址范圍:

global1ip_address-ip_address

〔4.指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址

nat1ip_addressnetmask

〔5.配置某些控制選項:

conduitglobal_ipport[-port]protocolforeign_ip[netmask]

其中,global_ip:指的是要控制的地址;port:指的是所作用的端口,0代表所有端口;protocol:指的是連接協(xié)議,比如:TCP、UDP等;foreign_ip:表示可訪問的global_ip外部IP地址;netmask:為可選項,代表要控制的子網(wǎng)掩碼。

7.配置保存:wrmem

8.退出當(dāng)前模式

此命令為exit,可以任何用戶模式下執(zhí)行,執(zhí)行的方法也相當(dāng)簡單,只輸入命令本身即可。它與Quit命令一樣。下面三條語句表示了用戶從配置模式退到特權(quán)模式,再退到普通模式下的操作步驟。

pixfirewall<config>#exit

pixfirewall#exit

pixfirewall>

9.查看當(dāng)前用戶模式下的所有可用命令:show,在相應(yīng)用戶模式下鍵入這個命令后,即顯示出當(dāng)前所有可用的命令及簡單功能描述。

10.查看端口狀態(tài):showinterface,這個命令需在特權(quán)用戶模式下執(zhí)行,執(zhí)行后即顯示出防火墻所有接口配置情況。

11.查看靜態(tài)地址映射:showstatic,這個命令也須在特權(quán)用戶模式下執(zhí)行,執(zhí)行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況。3.2過濾型防火墻的訪問控制表〔ACL配置除了以上介紹的基本配置外,在防火墻的安全策略中最重要還是對訪問控制列表〔ACL進(jìn)行配有關(guān)置。下面介紹一些用于此方面配置的基本命令。

1.access-list:用于創(chuàng)建訪問規(guī)則

這一訪問規(guī)則配置命令要在防火墻的全局配置模式中進(jìn)行。同一個序號的規(guī)則可以看作一類規(guī)則,同一個序號之間的規(guī)則按照一定的原則進(jìn)行排列和選擇,這個順序可以通過showaccess-list命令看到。在這個命令中,又有幾種命令格式,分別執(zhí)行不同的命令。

〔1創(chuàng)建標(biāo)準(zhǔn)訪問列表

命令格式:access-list[normalspecial]listnumber1{permitdeny}source-addr[source-mask]

〔2創(chuàng)建擴展訪問列表

命令格式:access-list[normalspecial]listnumber2{permitdeny}protocolsource-addrsource-mask[operatorport1[port2]]dest-addrdest-mask[operatorport1[port2]icmp-type[icmp-code]][log]

〔3刪除訪問列表

命令格式:noaccess-list{normalspecial}{alllistnumber[subitem]}

上述命令參數(shù)說明如下:

●normal:指定規(guī)則加入普通時間段。

●special:指定規(guī)則加入特殊時間段。

●listnumber1:是1到99之間的一個數(shù)值,表示規(guī)則是標(biāo)準(zhǔn)訪問列表規(guī)則。

●listnumber2:是100到199之間的一個數(shù)值,表示規(guī)則是擴展訪問列表規(guī)則。

●permit:表明允許滿足條件的報文通過。

●deny:表明禁止?jié)M足條件的報文通過。

●protocol:為協(xié)議類型,支持ICMP、TCP、UDP等,其它的協(xié)議也支持,此時沒有端口比較的概念;為IP時有特殊含義,代表所有的IP協(xié)議。

●source-addr:為源IP地址。

●source-mask:為源IP地址的子網(wǎng)掩碼,在標(biāo)準(zhǔn)訪問列表中是可選項,不輸入則代表通配位為.0。

●dest-addr:為目的IP地址。

●dest-mask:為目的地址的子網(wǎng)掩碼。

●operator:端口操作符,在協(xié)議類型為TCP或UDP時支持端口比較,支持的比較操作有:等于〔eq、大于〔gt、小于〔lt、不等于〔neq或介于〔range;如果操作符為range,則后面需要跟兩個端口。

port1在協(xié)議類型為TCP或UDP時出現(xiàn),可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值〔如telnet或0~65535之間的一個數(shù)值。port2在協(xié)議類型為TCP或UDP且操作類型為range時出現(xiàn);可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值〔如telnet或0~65535之間的一個數(shù)值。

●icmp-type:在協(xié)議為ICMP時出現(xiàn),代表ICMP報文類型;可以是關(guān)鍵字所設(shè)定的預(yù)設(shè)值〔如echo-reply或者是0~255之間的一個數(shù)值。

●icmp-code:在協(xié)議為ICMP,且沒有選擇所設(shè)定的預(yù)設(shè)值時出現(xiàn);代表ICMP碼,是0~255之間的一個數(shù)值。

●log:表示如果報文符合條件,需要做日志。

●listnumber:為刪除的規(guī)則序號,是1~199之間的一個數(shù)值。

●subitem:指定刪除序號為listnumber的訪問列表中規(guī)則的序號。

例如,現(xiàn)要在華為的一款防火墻上配置一個"允許源地址為網(wǎng)絡(luò)、目的地址為網(wǎng)絡(luò)的WWW訪問,但不允許使用FTP"的訪問規(guī)則。相應(yīng)配置語句只需兩行即可,如下:

Quidway<config>#access-list100permittc.0eqwww

Quidway<config>#access-list100denytc.0eqftp

2.clearaccess-listcounters:清除訪問列表規(guī)則的統(tǒng)計信息

命令格式:clearaccess-listcounters[listnumber]

這一命令必須在特權(quán)用戶模式下進(jìn)行配置。listnumber參數(shù)是用指定要清除統(tǒng)計信息的規(guī)則號,如不指定,則清除所有的規(guī)則的統(tǒng)計信息。

如要在華為的一款包過濾路由器上清除當(dāng)前所使用的規(guī)則號為100的訪問規(guī)則統(tǒng)計信息。訪問配置語句為:

clearaccess-listcounters100

如有清除當(dāng)前所使用的所有規(guī)則的統(tǒng)計信息,則以上語句需改為:Quidway#clearaccess-listcounters

3.ipaccess-group

使用此命令將訪問規(guī)則應(yīng)用到相應(yīng)接口上。使用此命令的no形式來刪除相應(yīng)的設(shè)置,對應(yīng)格式為:

ipaccess-grouplistnumber{inout}

此命令須在端口用戶模式下配置,進(jìn)入端口用戶模式的命令為:interfaceethernet〔,括號中為相應(yīng)的端口號,通常0為外部接口,而1為內(nèi)部接口。進(jìn)入后再用ipaccess-group命令來配置訪問規(guī)則。listnumber參數(shù)為訪問規(guī)則號,是1~199之間的一個數(shù)值〔包括標(biāo)準(zhǔn)訪問規(guī)則和擴展訪問規(guī)則兩類;in表示規(guī)則應(yīng)用于過濾從接口接收到的報文;而out表示規(guī)則用于過濾從接口轉(zhuǎn)發(fā)出去的報文。一個接口的一個方向上最多可以應(yīng)用20類不同的規(guī)則;這些規(guī)則之間按照規(guī)則序號的大小進(jìn)行排列,序號大的排在前面,也就是優(yōu)先級高。對報文進(jìn)行過濾時,將采用發(fā)現(xiàn)符合的規(guī)則即得出過濾結(jié)果的方法來加快過濾速度。所以,建議在配置規(guī)則時,盡量將對同一個網(wǎng)絡(luò)配置的規(guī)則放在同一個序號的訪問列表中;在同一個序號的訪問列表中,規(guī)則之間的排列和選擇順序可以用showaccess-list命令來查看。

例如將規(guī)則100應(yīng)用于過濾從外部網(wǎng)絡(luò)接口上接收到的報文,配置語句為〔同樣為在傾為包過濾路由器上:

ipaccess-group100in

如果要刪除某個訪問控制表列綁定設(shè)置,則可用noipaccess-grouplistnumber{inout}命令。

4.showaccess-list

此配置命令用于顯示包過濾規(guī)則在接口上的應(yīng)用情況。命令格式為:showaccess-list[alllistnumberinterfaceinterface-name]

這一命令須在特權(quán)用戶模式下進(jìn)行配置,其中all參數(shù)表示顯示所有規(guī)則的應(yīng)用情況,包括普通時間段內(nèi)及特殊時間段內(nèi)的規(guī)則;如果選擇listnumber參數(shù),則僅需顯示指定規(guī)則號的過濾規(guī)則;interface表示要顯示在指定接口上應(yīng)用的所有規(guī)則序號;interface-name參數(shù)為接口的名稱。

使用此命令來顯示所指定的規(guī)則,同時查看規(guī)則過濾報文的情況。每個規(guī)則都有一個相應(yīng)的計數(shù)器,如果用此規(guī)則過濾了一個報文,則計數(shù)器加1;通過對計數(shù)器的觀察可以看出所配置的規(guī)則中,哪些規(guī)則是比較有效,而哪些基本無效。例如,現(xiàn)在要顯示當(dāng)前所使用序號為100的規(guī)則的使用情況,可執(zhí)行Quidway#showaccess-list100語句即可,隨即系統(tǒng)即顯示這條規(guī)則的使用情況,格式如下:

Usingnormalpacket-filteringaccessrulesnow.

100denyicm.055anyhost-redirect<3matches,252bytes--rule1>

100permiticm.055anyecho<nomatches--rule2>

100denyudpanyanyeqrip<nomatches--rule3>

5.showfirewall

此命令須在特權(quán)用戶模式下執(zhí)行,它顯示當(dāng)前防火墻狀態(tài)。命令格式非常簡單,也為:showfirewall。這里所說的防火墻狀態(tài),包括防火墻是否被啟用,啟用防火墻時是否采用了時間段包過濾及防火墻的一些統(tǒng)計信息。

6.Telnet

這是用于定義能過防火配置控制端口進(jìn)行遠(yuǎn)程登錄的有關(guān)參數(shù)選項,也須在全局配置用戶模式下進(jìn)行配置。

命令格式為:telnetip_address[netmask][if_name]

其中的ip_address參數(shù)是用來指定用于Telnet登錄的IP地址,netmask為子網(wǎng)掩碼,if_name用于指定用于Telnet登錄的接口,通常不用指定,則表示此IP地址適用于所有端口。如:

telnet

如果要清除防火墻上某個端口的Telnet參數(shù)配置,則須用cleartelnet命令,其格式為:cleartelnet[ip_address[netmask][if_name]],其中各選項說明同上。它與另一個命令notelnet功能基本一樣,不過它是用來刪除某接口上的Telnet配置,命令格式為:notelnet[ip_address[netmask][if_name]]。

如果要顯示當(dāng)前所有的Telnet配置,則可用showtelnet命令。最簡單的防火墻配置,就是直接在內(nèi)部網(wǎng)和外部網(wǎng)之間加裝一個包過濾路由器或者應(yīng)用網(wǎng)關(guān)。為更好地實現(xiàn)網(wǎng)絡(luò)安全,有時還要將幾種防火墻技術(shù)組合起來構(gòu)建防火墻系統(tǒng)。目前比較流行的有以下三種防火墻配置方案。3.3雙宿主機網(wǎng)關(guān)<DualHomedGateway>這種配置是用一臺裝有兩個網(wǎng)絡(luò)適配器的雙宿主機做防火墻。雙宿主機用兩個網(wǎng)絡(luò)適配器分別連接兩個網(wǎng)絡(luò),又稱堡壘主機。堡壘主機上運行著防火墻軟件<通常是代理服務(wù)器>,可以轉(zhuǎn)發(fā)應(yīng)用程序,提供服務(wù)等。雙宿主機網(wǎng)關(guān)有一個致命弱點,一旦入侵者侵入堡壘主機并使該主機只具有路由器功能,則任何網(wǎng)上用戶均可以隨便訪問有保護的內(nèi)部網(wǎng)絡(luò)<如圖1>。三種流行防火墻配置方案分析<圖一>3.4屏蔽主機網(wǎng)關(guān)<ScreenedHostGateway>屏蔽主機網(wǎng)關(guān)易于實現(xiàn),安全性好,應(yīng)用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。先來看單宿堡壘主機類型。一個包過濾路由器連接外部網(wǎng)絡(luò),同時一個堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機只有一個網(wǎng)卡,與內(nèi)部網(wǎng)絡(luò)連接<如圖2>。通常在路由器上設(shè)立過濾規(guī)則,并使這個單

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論