畢業(yè)論文-中小企業(yè)防火墻的應(yīng)用

-30-1概述中國(guó)經(jīng)濟(jì)的飛速發(fā)展，生活水平的提高，IT信息產(chǎn)業(yè)與我們的生活越來(lái)越密切，人們已經(jīng)生活在信息時(shí)代。計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)應(yīng)用到社會(huì)的各個(gè)領(lǐng)域，因特網(wǎng)把“地球村”的居民緊密地連在了一起。近年來(lái)因特網(wǎng)的飛速發(fā)展，給人們的生活帶來(lái)了全新地感受，人類社會(huì)各種活動(dòng)對(duì)信息網(wǎng)絡(luò)的依賴程度已經(jīng)越來(lái)越大。然而，人們?cè)诘靡嬗谛畔⑺鶐?lái)的新的生活的改變以及生活質(zhì)量的提高機(jī)遇的同時(shí)，也不得不面對(duì)信息安全問(wèn)題的嚴(yán)峻考驗(yàn)。“黑客攻擊”網(wǎng)站被“黑”，“CIH病毒”無(wú)時(shí)無(wú)刻不充斥在網(wǎng)絡(luò)中?！半娮討?zhàn)”已成為國(guó)與國(guó)之間，商家與商家之間的一種重要的攻擊與防衛(wèi)手段。因此信息安全，網(wǎng)絡(luò)安全的問(wèn)題已經(jīng)引起各國(guó)，各部門，各行各業(yè)以及每個(gè)計(jì)算機(jī)用戶的充分重視。因特網(wǎng)提供給人們的不僅僅是精彩，還無(wú)時(shí)無(wú)刻地存在各種各樣的危險(xiǎn)和陷阱。對(duì)此，我們既不能對(duì)那些潛在的危險(xiǎn)不予重視，遭受不必要的損失；也不能因?yàn)楹ε履承┪ｋU(xiǎn)而拒絕因特網(wǎng)的各種有益的服務(wù)，對(duì)個(gè)人來(lái)說(shuō)這樣會(huì)失去了了解世界、展示自己的場(chǎng)所，對(duì)企業(yè)來(lái)說(shuō)還失去了拓展業(yè)務(wù)、提高服務(wù)、增強(qiáng)競(jìng)爭(zhēng)力的機(jī)會(huì)。只能通過(guò)不斷地提高網(wǎng)絡(luò)環(huán)境的安全才是行之有效的辦法。本文在導(dǎo)師的指導(dǎo)下，獨(dú)立完成了該防火墻系統(tǒng)方案的配置及安全性能的檢測(cè)工作。在詳細(xì)分析防火墻工作原理基礎(chǔ)上，針對(duì)廣大中小型企業(yè)防火墻的實(shí)際情況，提出了一個(gè)能夠充分發(fā)揮防火墻性能、提高防火墻系統(tǒng)的抗攻擊能力的防火墻系統(tǒng)配置方案，同時(shí)介紹了具體實(shí)現(xiàn)過(guò)程中的關(guān)鍵步驟和主要方法，并針對(duì)中小企業(yè)的防火墻系統(tǒng)模擬黑客進(jìn)行攻擊，檢查防火墻的安全漏洞，并針對(duì)漏洞提供相應(yīng)的解決方案。該防火墻在通常的包過(guò)濾防火墻基礎(chǔ)之上，又增加了MAC地址綁定、端口映射等特殊功能，使之具有鮮明的特點(diǎn)。通過(guò)對(duì)于具有上述特點(diǎn)的防火墻的研究、配置與測(cè)試工作，一方面使得中小企業(yè)防火墻系統(tǒng)本身具有高效、安全、實(shí)用的特點(diǎn)，另一方面在此基礎(chǔ)上對(duì)今后可能出現(xiàn)的新問(wèn)題作好了一系列比較全面的準(zhǔn)備工作。1.1課題意義安全是一個(gè)不容忽視的問(wèn)題，當(dāng)人們?cè)谙硎芫W(wǎng)絡(luò)帶來(lái)的方便與快捷的同時(shí)，也要時(shí)時(shí)面對(duì)網(wǎng)絡(luò)開(kāi)放帶來(lái)的數(shù)據(jù)安全方面的新挑戰(zhàn)和新危險(xiǎn)。為了保障網(wǎng)絡(luò)安全，當(dāng)局域網(wǎng)與外部網(wǎng)連接時(shí)，可以在中間加入一個(gè)或多個(gè)中介系統(tǒng)，防止非法入侵者通過(guò)網(wǎng)絡(luò)進(jìn)行攻擊，非法訪問(wèn)，并提供數(shù)據(jù)可靠性、完整性以及保密性等方面的安全和審查控制，這些中間系統(tǒng)就是防火墻(Firewall)技術(shù)如圖1.1。圖1.1防火墻功能圖在此，我們主要研究如何構(gòu)建一個(gè)相對(duì)安全的計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái)，使其免受外部網(wǎng)絡(luò)的攻擊，通過(guò)對(duì)典型中小企業(yè)網(wǎng)絡(luò)的安全性分析，提出一套適合中小企業(yè)應(yīng)用的防火墻系統(tǒng)，該系統(tǒng)應(yīng)該具有可靠性、開(kāi)放性、伸縮性、性價(jià)比較高等特點(diǎn)，經(jīng)過(guò)比較我們選用RouterOS做為中小企業(yè)防火墻平臺(tái)，通過(guò)在RouterOS上配置相應(yīng)的策略，使其能夠?qū)崿F(xiàn)面向中小企業(yè)提供網(wǎng)絡(luò)安全服務(wù)的功能。

2企業(yè)網(wǎng)安全分析2.1中小企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀在我國(guó)的工商領(lǐng)域，以中小企業(yè)為主，這些企業(yè)人數(shù)不是很多，少的可能只有十幾人，多的可能有好幾百。而這么多的中小型企業(yè)，一方面，由于資金等問(wèn)題沒(méi)有很好的設(shè)備去防范，而另一方面，可能就沒(méi)有這種防范的意識(shí)。所以它們成為黑客攻擊的主要目標(biāo)。我們以某服裝廠為例，公司面積不是很大，有300人左右，有生活區(qū)，生產(chǎn)區(qū)等，分為各個(gè)部門。公司網(wǎng)絡(luò)拓?fù)鋱D如圖2.1。在最外層有個(gè)路由器，在連接路由器與內(nèi)網(wǎng)之間是防火墻，公司網(wǎng)絡(luò)主要分為四大區(qū)：管理區(qū)，生產(chǎn)區(qū)，宿舍區(qū)和服務(wù)器區(qū)。平時(shí)公司可以實(shí)現(xiàn)正常的上網(wǎng)功能，并且外網(wǎng)訪問(wèn)也很正常。但是最近一段時(shí)間，公司內(nèi)部連互聯(lián)網(wǎng)的時(shí)候很卡，看視頻斷斷續(xù)續(xù)，并且外網(wǎng)訪問(wèn)公司網(wǎng)站打開(kāi)網(wǎng)頁(yè)的時(shí)間很長(zhǎng)。圖2.1某服裝廠網(wǎng)絡(luò)拓?fù)鋱D2.2.1ARP攻擊ARP攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺(tái)計(jì)算機(jī)感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過(guò)“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。某機(jī)器A要向主機(jī)B發(fā)送報(bào)文，會(huì)查詢本地的ARP緩存表，找到B的IP地址對(duì)應(yīng)的MAC地址后，就會(huì)進(jìn)行數(shù)據(jù)傳輸。如果未找到，則廣播A一個(gè)ARP請(qǐng)求報(bào)文（攜帶主機(jī)A的IP地址IA——物理地址PA），請(qǐng)求IP地址為IB的主機(jī)B回答物理地址PB。網(wǎng)上所有主機(jī)包括B都收到ARP請(qǐng)求，但只有主機(jī)B識(shí)別自己的IP地址，于是向A主機(jī)發(fā)回一個(gè)ARP響應(yīng)報(bào)文。其中就包含有B的MAC地址，A接收到B的應(yīng)答后，就會(huì)更新本地的ARP緩存。接著使用這個(gè)MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。因此，本地高速緩存的這個(gè)ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個(gè)緩存是動(dòng)態(tài)的。2.2.2網(wǎng)絡(luò)監(jiān)聽(tīng)在網(wǎng)絡(luò)中，當(dāng)信息進(jìn)行傳播的時(shí)候，可以利用工具，將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽(tīng)的模式，便可將網(wǎng)絡(luò)中正在傳播的信息截獲或者捕獲到，從而進(jìn)行攻擊。網(wǎng)絡(luò)監(jiān)聽(tīng)在網(wǎng)絡(luò)中的任何一個(gè)位置模式下都可實(shí)施。而黑客一般都是利用網(wǎng)絡(luò)監(jiān)聽(tīng)來(lái)截取用戶口令。比如當(dāng)有人占領(lǐng)了一臺(tái)主機(jī)之后，那么他要再想將戰(zhàn)果擴(kuò)大到這個(gè)主機(jī)所在的整個(gè)局域網(wǎng)話，監(jiān)聽(tīng)往往是他們選擇的捷徑。很多時(shí)候在各類安全論壇上看到一些初學(xué)的愛(ài)好者，在他們認(rèn)為如果占領(lǐng)了某主機(jī)之后那么想進(jìn)入它的內(nèi)部網(wǎng)應(yīng)該是很簡(jiǎn)單的。其實(shí)不是這樣，進(jìn)入了某主機(jī)再想轉(zhuǎn)入它所在的內(nèi)部網(wǎng)絡(luò)里的其它機(jī)器也不是一件容易的事情。因?yàn)槟愠艘玫剿麄兊目诹钪膺€有就是他們共享的絕對(duì)路徑，當(dāng)然了，這個(gè)路徑的盡頭必須是有寫的權(quán)限了。在這個(gè)時(shí)候，運(yùn)行已經(jīng)被控制的主機(jī)上的監(jiān)聽(tīng)程序就會(huì)有大收獲。不過(guò)這是一件費(fèi)神的事情，而且還需要當(dāng)事者有足夠的耐心和應(yīng)變能力。主要包括：數(shù)據(jù)幀的截獲對(duì)數(shù)據(jù)幀的分析歸類dos攻擊的檢測(cè)和預(yù)防IP冒用的檢測(cè)和攻擊在網(wǎng)絡(luò)檢測(cè)上的應(yīng)用對(duì)垃圾郵件的初步過(guò)濾2.2.3蠕蟲病毒蠕蟲病毒攻擊原理蠕蟲也是一種病毒，因此具有病毒的共同特征。一般的病毒是需要寄生的，它可以通過(guò)自己指令的執(zhí)行，將自己的指令代碼寫到其他程序的體內(nèi)，而被感染的文件就被為“宿主”，例如，windows下可執(zhí)行文件的格式為PE格式(PortableExecutable)，當(dāng)需要感染PE文件時(shí)，在宿主程序中，建立一個(gè)新節(jié)，將病毒代碼寫到新節(jié)中，修改的程序入口點(diǎn)等，這樣，宿主程序執(zhí)行的時(shí)候，就可以先執(zhí)行病毒程序，病毒程序運(yùn)行完之后，在把控制權(quán)交給宿主原來(lái)的程序指令?？梢?jiàn)，病毒主要是感染文件，當(dāng)然也還有像DIRII這種鏈接型病毒，還有引導(dǎo)區(qū)病毒。引導(dǎo)區(qū)病毒他是感染磁盤的引導(dǎo)區(qū)，如果是軟盤被感染，這張軟盤用在其他機(jī)器上后，同樣也會(huì)感染其他機(jī)器，所以傳播方式也是用軟盤等方式。蠕蟲病毒入侵過(guò)程蠕蟲病毒攻擊主要分成三步：①掃描：由蠕蟲的掃描功能模塊負(fù)責(zé)探測(cè)存在漏洞的主機(jī)。當(dāng)程序向某個(gè)主機(jī)發(fā)送探測(cè)漏洞的信息并收到成功的反饋信息后，就得到一個(gè)可傳播的對(duì)象。②攻擊：攻擊模塊按漏洞攻擊步驟自動(dòng)攻擊步驟1中找到的對(duì)象，取得該主機(jī)的權(quán)限（一般為管理員權(quán)限），獲得一個(gè)shell。③復(fù)制：復(fù)制模塊通過(guò)原主機(jī)和新主機(jī)的交互將蠕蟲程序復(fù)制到新主機(jī)并啟動(dòng)。2.3企業(yè)受到外網(wǎng)攻擊分析2.3.1DoS攻擊DoS攻擊(DenialofService，簡(jiǎn)稱DoS)即拒絕服務(wù)攻擊，是指攻擊者通過(guò)消耗受害網(wǎng)絡(luò)的帶寬，消耗受害主機(jī)的系統(tǒng)資源，發(fā)掘編程缺陷，提供虛假路由或DNS信息，使被攻擊目標(biāo)不能正常工作。實(shí)施DoS攻擊的工具易得易用，而且效果明顯。一般的DoS攻擊是指一臺(tái)主機(jī)向目的主機(jī)發(fā)送攻擊分組(1:1)，它的威力對(duì)于帶寬較寬的站點(diǎn)幾乎沒(méi)有影響;而分布式拒絕服務(wù)攻擊(DistributedDenialofService，簡(jiǎn)稱DDoS)同時(shí)發(fā)動(dòng)分布于全球的幾千臺(tái)主機(jī)對(duì)目的主機(jī)攻擊,即使對(duì)于帶寬較寬的站點(diǎn)也會(huì)產(chǎn)生致命的效果。隨著電子商業(yè)在電子經(jīng)濟(jì)中扮演越來(lái)越重要的角色，隨著信息戰(zhàn)在軍事領(lǐng)域應(yīng)用的日益廣泛，持續(xù)的DoS攻擊既可能使某些機(jī)構(gòu)破產(chǎn)，也可能使我們?cè)谛畔?zhàn)中不戰(zhàn)而敗?？梢院敛豢鋸埖卣f(shuō)，電子恐怖活動(dòng)的時(shí)代已經(jīng)來(lái)臨。DoS攻擊中，由于攻擊者不需要接收來(lái)自受害主機(jī)或網(wǎng)絡(luò)的回應(yīng)，它的IP包的源地址就常常是偽造的。特別是對(duì)DDoS攻擊，最后實(shí)施攻擊的若干攻擊器本身就是受害者。若在防火墻中對(duì)這些攻擊器地址進(jìn)行IP包過(guò)濾，則事實(shí)上造成了新的DoS攻擊。為有效地打擊攻擊者，必須設(shè)法追蹤到攻擊者的真實(shí)地址和身份。2.3.2SYNAttack(SYN攻擊)每一個(gè)TCP連接的建立都要經(jīng)過(guò)三次握手的過(guò)程：A向B發(fā)送SYN封包：B用SYN/ACK封包進(jìn)行響應(yīng)；然后A又用ACK封包進(jìn)行響應(yīng)。攻擊者用偽造的IP地址（不存在或不可到達(dá)的地址）發(fā)送大量的SYN封包至防火墻的某一接口，防火墻用SYN/ACK封包對(duì)這些地址進(jìn)行響應(yīng)，然后等待響應(yīng)的ACK封包。因?yàn)镾YN/ACK封包被發(fā)送到不存在或不可到達(dá)的IP地址，所以他們不會(huì)得到響應(yīng)并最終超時(shí)。當(dāng)網(wǎng)絡(luò)中充滿了無(wú)法完成的連接請(qǐng)求SYN封包，以至于網(wǎng)絡(luò)無(wú)法再處理合法的連接請(qǐng)求，從而導(dǎo)致拒絕服務(wù)（DoS）時(shí)，就發(fā)生了SYN泛濫攻擊。防火墻可以對(duì)每秒種允許通過(guò)防火墻的SYN封包數(shù)加以限制。當(dāng)達(dá)到該臨界值時(shí)，防火墻開(kāi)始代理進(jìn)入的SYN封包，為主機(jī)發(fā)送SYN/ACK響應(yīng)并將未完成的連接存儲(chǔ)在連接隊(duì)列中，未完成的連接保留在隊(duì)列中，直到連接完成或請(qǐng)求超時(shí)。2.3.3ICMPFlood(UDP泛濫)當(dāng)ICMPPING產(chǎn)生的大量回應(yīng)請(qǐng)求超出了系統(tǒng)最大限度，以至于系統(tǒng)耗費(fèi)所有資源來(lái)進(jìn)行響應(yīng)直至再也無(wú)法處理有效的網(wǎng)絡(luò)信息流時(shí)，就發(fā)生了ICMP泛濫。當(dāng)啟用ICMP泛濫保護(hù)功能時(shí)，可以設(shè)置一個(gè)臨界值，一旦超過(guò)了此值就會(huì)調(diào)用ICMP泛濫攻擊保護(hù)功能。（缺省的臨界值為每秒1000個(gè)封包。）如果超過(guò)了該臨界值。NETSCREEN設(shè)備在該秒余下的時(shí)間和下一秒內(nèi)會(huì)忽略其他的ICMP回應(yīng)要求。2.3.4UDPFlood(UDP泛濫)與ICMP泛濫相似，當(dāng)以減慢系統(tǒng)速度為目的向該點(diǎn)發(fā)送UDP封包，以至于系統(tǒng)再也無(wú)法處理有效的連接時(shí)，就發(fā)生了UDP泛濫，當(dāng)啟用了UDP泛濫保護(hù)功能時(shí)，可以設(shè)置一個(gè)臨界值，一旦超過(guò)此臨界值就回調(diào)用UDP泛濫攻擊保護(hù)功能。如果從一個(gè)或多個(gè)源向單個(gè)目標(biāo)發(fā)送的UDP泛濫攻擊超過(guò)了此臨界值，防火墻在該秒余下的時(shí)間和下一秒內(nèi)會(huì)忽略其他到該目標(biāo)的UDP封包。2.3.5PortScanAttack(端口掃描攻擊)當(dāng)一個(gè)源IP地址在定義的時(shí)間間隔內(nèi)（缺省值為5000微秒）向位于相同目標(biāo)IP地址10個(gè)不同的端口發(fā)送IP封包時(shí)，就會(huì)發(fā)生端口掃描攻擊。這個(gè)方案的目的是掃描可用的服務(wù)，希望會(huì)有一個(gè)端口響應(yīng)，因此識(shí)別出作為目標(biāo)的服務(wù)。防火墻在內(nèi)部記錄從某一遠(yuǎn)程源地點(diǎn)掃描不同端口的數(shù)目。使用缺省設(shè)置，如果遠(yuǎn)程主機(jī)在0.005秒內(nèi)掃描了10個(gè)端口。防火墻會(huì)將這一情況標(biāo)記為端口掃描攻擊，并在該秒余下的時(shí)間內(nèi)拒絕來(lái)自該源地址的其他封包。

3企業(yè)網(wǎng)防火墻的應(yīng)用3.1網(wǎng)絡(luò)安全技術(shù)概述網(wǎng)絡(luò)安全技術(shù)指致力于解決諸如如何有效進(jìn)行介入控制，以及何如保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段，主要包括物理安全分析技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)，系統(tǒng)安全分析技術(shù)，管理安全分析技術(shù)，及其它的安全服務(wù)和安全機(jī)制策略。網(wǎng)絡(luò)安全技術(shù)分為：虛擬網(wǎng)技術(shù)、防火墻枝術(shù)、病毒防護(hù)技術(shù)、入侵檢測(cè)技術(shù)、安全掃描技術(shù)、認(rèn)證和數(shù)字簽名技術(shù)、VPN技術(shù)、以及應(yīng)用系統(tǒng)的安全技術(shù)。其中虛擬網(wǎng)技術(shù)防止了大部分基于網(wǎng)絡(luò)監(jiān)聽(tīng)的入侵手段。通過(guò)虛擬網(wǎng)設(shè)置的訪問(wèn)控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問(wèn)虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。例如vlan，但是其安全漏洞相對(duì)更多，如IPsweep,teardrop,sync-flood,IPspoofing攻擊等。防火墻枝術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。但是防火墻無(wú)法防范通過(guò)防火墻以外的其它途徑的攻擊，不能防止來(lái)自內(nèi)部用戶們帶來(lái)的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。防火墻的分類有包過(guò)濾型、地址轉(zhuǎn)換型、代理型、以及檢測(cè)型。病毒防護(hù)技術(shù)是指阻止病毒的傳播、檢查和清除病毒、對(duì)病毒數(shù)據(jù)庫(kù)進(jìn)行升級(jí)、同時(shí)在防火墻、代理服務(wù)器及PC上安裝Java及ActiveX控制掃描軟件，禁止未經(jīng)許可的控件下載和安裝入侵檢測(cè)技術(shù)（IDS）可以被定義為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的技術(shù)。是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。安全掃描技術(shù)是為管理員能夠及時(shí)了解網(wǎng)絡(luò)中存在的安全漏洞，并采取相應(yīng)防范措施，從而降低網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)而發(fā)展起來(lái)的一種安全技術(shù)。認(rèn)證和數(shù)字簽名技術(shù)，其中的認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊過(guò)程中通訊雙方的身份認(rèn)可，而數(shù)字簽名作為身份認(rèn)證技術(shù)中的一種具體技術(shù)，同時(shí)數(shù)字簽名還可用于通信過(guò)程中的不可抵賴要求的實(shí)現(xiàn)。VPN技術(shù)就是在公網(wǎng)上利用隨到技術(shù)來(lái)傳輸數(shù)據(jù)。但是由于是在公網(wǎng)上進(jìn)行傳輸數(shù)據(jù)，所以有一定的不安全性。應(yīng)用系統(tǒng)的安全技術(shù)主要有域名服務(wù)、WebServer應(yīng)用安全、電子郵件系統(tǒng)安全和操作系統(tǒng)安全。3.2防火墻介紹所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。從而是一種獲取安全的形象說(shuō)法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Internet之間建立起一個(gè)安全網(wǎng)關(guān)（SecurityGateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過(guò)此防火墻。在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)(如Internet)分開(kāi)的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)。換句話說(shuō)，如果不通過(guò)防火墻，公司內(nèi)部的人就無(wú)法訪問(wèn)Internet，Internet上的人也無(wú)法和公司內(nèi)部的人進(jìn)行通信。隨著企業(yè)信息化進(jìn)程的推進(jìn)，廣大中小企業(yè)網(wǎng)上運(yùn)行的應(yīng)用系統(tǒng)越來(lái)越多，信息系統(tǒng)變得越來(lái)越龐大和復(fù)雜。企業(yè)網(wǎng)的服務(wù)器群構(gòu)成了企業(yè)網(wǎng)的服務(wù)系統(tǒng)，主要包括DNS、虛擬主機(jī)、Web、FTP、視頻點(diǎn)播以及Mail服務(wù)等。企業(yè)網(wǎng)通過(guò)不同的專線分別接入了不同的網(wǎng)絡(luò)。隨著企業(yè)網(wǎng)絡(luò)出口帶寬不斷加大，應(yīng)用服務(wù)系統(tǒng)逐漸增多，企業(yè)網(wǎng)用戶數(shù)烈劇上升，網(wǎng)絡(luò)的安全也就越來(lái)越嚴(yán)峻。3.3防火墻的分類3.3.1宿主機(jī)網(wǎng)關(guān)（DualHomedGateway）這種配置是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。雙宿主機(jī)用兩個(gè)網(wǎng)絡(luò)適配器分別連接兩個(gè)網(wǎng)絡(luò)，又稱堡壘主機(jī)。堡壘主機(jī)上運(yùn)行著防火墻軟件（通常是代理服務(wù)器），可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機(jī)網(wǎng)關(guān)有一個(gè)致命弱點(diǎn)，一旦入侵者侵入堡壘主機(jī)并使該主機(jī)只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問(wèn)有保護(hù)的內(nèi)部網(wǎng)絡(luò)如圖4.1。圖4.1宿主機(jī)網(wǎng)關(guān)防火墻3.3.2屏蔽主機(jī)網(wǎng)關(guān)（ScreenedHostGateway）屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機(jī)和雙宿堡壘主機(jī)兩種類型。單宿堡壘主機(jī)類型是一個(gè)包過(guò)濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機(jī)只有一個(gè)網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接如圖4.2。通常在路由器上設(shè)立過(guò)濾規(guī)則，并使這個(gè)單宿堡壘主機(jī)成為從Internet惟一可以訪問(wèn)的主機(jī)，確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而Intranet內(nèi)部的客戶機(jī)，可以受控制地通過(guò)屏蔽主機(jī)和路由器訪問(wèn)Internet。圖4.2單宿堡壘主機(jī)防火墻雙宿堡壘主機(jī)型與單宿堡壘主機(jī)型的區(qū)別是，堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接包過(guò)濾路由器如圖4.3。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。圖4.3雙宿堡壘主機(jī)防火墻3.3.3屏蔽子網(wǎng)（ScreenedSubnet）這種方法是在Intranet和Internet之間建立一個(gè)被隔離的子網(wǎng)，用兩個(gè)包過(guò)濾路由器將這一子網(wǎng)分別與Intranet和Internet分開(kāi)。兩個(gè)包過(guò)濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)“緩沖地帶”如圖4.4，兩個(gè)路由器一個(gè)控制Intranet數(shù)據(jù)流，另一個(gè)控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問(wèn)屏蔽子網(wǎng)，但禁止它們穿過(guò)屏蔽子網(wǎng)通信?？筛鶕?jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問(wèn)提供代理服務(wù)，但是來(lái)自兩網(wǎng)絡(luò)的訪問(wèn)都必須通過(guò)兩個(gè)包過(guò)濾路由器的檢查。對(duì)于向Internet公開(kāi)的服務(wù)器，像WWW、FTP、Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無(wú)論是外部用戶，還是內(nèi)部用戶都可訪問(wèn)。這種結(jié)構(gòu)的防火墻安全性能高，具有很強(qiáng)的抗攻擊能力，但需要的設(shè)備多，造價(jià)高。圖4.4屏蔽子網(wǎng)防火墻3.4防火墻技術(shù)發(fā)展趨勢(shì)防火墻技術(shù)的發(fā)展離不開(kāi)社會(huì)需求的變化，著眼未來(lái)，我們可能需要其他新的需求。全國(guó)主要城市先后受到H7N9病毒的侵襲，直接促成大量的企事業(yè)在家辦公，這就要求防火墻既能抵抗外部攻擊，又能允許合法的遠(yuǎn)程訪問(wèn)，做到更細(xì)粒度的訪問(wèn)控制。1、VPN（虛擬專用網(wǎng)）技術(shù)就是很好的解決方式。只有以指定方式加密的數(shù)據(jù)包才能通過(guò)防火墻，這樣可以確保信息的保密性，又能成為識(shí)別入侵行為的手段。2、內(nèi)部網(wǎng)絡(luò)“包廂化”（compartmentalizing）。人們通常認(rèn)為處在防火墻保護(hù)下的內(nèi)網(wǎng)是可信的，只有Internet是不可信的。由于黑客攻擊技術(shù)和工具在Internet上隨手可及，使得內(nèi)部網(wǎng)絡(luò)的潛在威脅大大增加，這種威脅既可以是外網(wǎng)的人員，也可能是內(nèi)網(wǎng)用戶，不再存在一個(gè)可信網(wǎng)絡(luò)環(huán)境。3、RouterOS技術(shù)。RouterOS以其設(shè)備要求簡(jiǎn)單，配置策略簡(jiǎn)單，性價(jià)比較低，受到廣大中小企業(yè)的歡迎。尤其是其具有強(qiáng)大的VPN功能、端口映射功能、防火墻功能，更是為其在中小企業(yè)中奠定的了堅(jiān)實(shí)的基礎(chǔ)。

4RouterOS在企業(yè)網(wǎng)中的應(yīng)用中小企業(yè)網(wǎng)一般都是采用性價(jià)比合適的網(wǎng)絡(luò)技術(shù)架構(gòu)的，用戶較多，使用面較廣，但是存在的安全隱患和漏洞相對(duì)較廣泛。鑒于上述因素，有必要為中小企業(yè)量身定制一個(gè)使用的防火墻。4.1RouterOS簡(jiǎn)介RouterOS是一種源碼開(kāi)放式防火墻操作系統(tǒng)，并通過(guò)該系統(tǒng)將標(biāo)準(zhǔn)的PC電腦變成專業(yè)防火墻，在眾多用RouterOS系統(tǒng)作為企業(yè)防火墻的愛(ài)好者的開(kāi)發(fā)下，每年都會(huì)有更新和改變，系統(tǒng)經(jīng)歷了多次更新和改進(jìn)，使其功能在不斷增強(qiáng)和完善。特別在無(wú)線、認(rèn)證、策略路由、帶寬控制和防火墻過(guò)濾等功能上有著非常突出的功能，其極高的性價(jià)比，受到許多網(wǎng)絡(luò)人士的青睞。4.2RouterOS的優(yōu)勢(shì)RouterOS是一個(gè)基于Linux內(nèi)核的開(kāi)源的免費(fèi)的防火墻操作系統(tǒng)，通過(guò)安裝該系統(tǒng)可使標(biāo)準(zhǔn)的PC電腦具備專業(yè)防火墻的各種功能，系統(tǒng)經(jīng)歷了多次更新和改進(jìn)，其功能不斷增強(qiáng)和完善。特別在策略路由、帶寬控制和防火墻過(guò)濾等功能上有著非常突出的優(yōu)勢(shì)和極高的性價(jià)比。RouterOS高級(jí)防火墻從底層系統(tǒng)核心、核心安全模塊和硬件兼容性等各個(gè)層次進(jìn)行了精心的的設(shè)計(jì)和優(yōu)化，使得這款路由產(chǎn)品在性能上具有出眾的優(yōu)勢(shì)。線速轉(zhuǎn)發(fā)的高吞吐量可滿足大型企業(yè)/網(wǎng)吧等機(jī)構(gòu)的絕大部分應(yīng)用，也可為運(yùn)營(yíng)商的以太網(wǎng)接入提供高負(fù)載的支持，高轉(zhuǎn)發(fā)低時(shí)延為增加用戶數(shù)量提供了強(qiáng)有力的保障。4.3RouterOS在企業(yè)網(wǎng)中的應(yīng)用某服裝廠網(wǎng)絡(luò)拓?fù)鋱D如下圖4.1。由于最近公司網(wǎng)絡(luò)受到黑客的攻擊，現(xiàn)在公司又在一臺(tái)PC上安裝了RouterOS。利用RouterOS的防火墻功能，來(lái)保障公司網(wǎng)絡(luò)的安全。圖4.1某服裝廠拓?fù)鋱D4.3.1RouterOS的安裝某服裝廠使用的MikrotikRouterOS3.16版本。在我們安裝RouterOS的PC硬件配置如下：處理器英特爾Corei3M380@2.53GHz四核處理器主板聯(lián)想0579A12(英特爾HM55芯片組)內(nèi)存4GB(記憶科技DDR31333MHz)主硬盤西數(shù)WDCWD3200BEKT-08PVMT1(320GB/7200轉(zhuǎn)/分)顯卡ATIMobilityRadeonHD545v(1GBMB/聯(lián)想)顯示器LGLGD02E9(14英寸)光驅(qū)日立-LGDVDRAMGT33NDVD刻錄機(jī)聲卡瑞昱ALC269@英特爾5Series/3400SeriesChipset高保真音頻網(wǎng)卡RS-SUNNET千兆PCI-E光纖網(wǎng)卡（兩塊）使用光盤啟動(dòng)計(jì)算機(jī)時(shí)，會(huì)出現(xiàn)下面的界面：讓你選擇安裝的模塊，選擇全部安裝，鍵盤輸入ａ，然后輸入ｉ開(kāi)始安裝圖4.2。圖4.2routeros安裝選擇全部計(jì)算機(jī)提醒你是不是要保留以前的設(shè)置，我是全新安裝的，按ｎ回車，不保留。然后計(jì)算機(jī)提示是否繼續(xù)，按y鍵。開(kāi)始安裝圖4.3。圖4.3routeros安裝過(guò)程你就等著安裝完成出現(xiàn)讓你按回車鍵繼續(xù)的畫面，計(jì)算機(jī)重新啟動(dòng)后就行了。4.2.2RouterOS的配置系統(tǒng)安裝之后重新啟動(dòng)，然后出現(xiàn)登陸界面，輸入初始用戶名admin，口令直接回車。進(jìn)入RouterOS的字符界面，好了，現(xiàn)在開(kāi)始我們的簡(jiǎn)單初始設(shè)置階段。由于我們是新配置的機(jī)器，所以我們應(yīng)該先給它的每張網(wǎng)卡配置新的ip。先看一下網(wǎng)卡的個(gè)數(shù)以及是否啟動(dòng)圖4.4。圖4.4網(wǎng)卡的屬性更改網(wǎng)卡的名稱以方便區(qū)分不同的網(wǎng)絡(luò)接口。為方便區(qū)分我們作如下規(guī)定：接入外網(wǎng)的網(wǎng)絡(luò)接口命名為Wan，其接入外網(wǎng)的方式是通過(guò)dhcp客戶端設(shè)自動(dòng)獲取IP地址。接入局域網(wǎng)的網(wǎng)絡(luò)接口我們命名為L(zhǎng)an。命令執(zhí)行過(guò)程和顯示界面如下圖4.5：圖4.5更改網(wǎng)卡名字輸入命令更改網(wǎng)卡的名稱后。退回到根目錄，設(shè)定網(wǎng)卡地址等信息。設(shè)定網(wǎng)卡的ip地址，我們要設(shè)定局域網(wǎng)接口Lan的地址，（備注，若這里出現(xiàn)的不是Lan，而是Wan，你需要把它改成Lan）。輸入我們?cè)O(shè)定的Lan的IP地址54/24。系統(tǒng)然后讓你輸入網(wǎng)關(guān)的地址，千萬(wàn)要注意不要輸入默認(rèn)的地址，而是要改為圖4.6。圖4.6設(shè)置Lan網(wǎng)卡信息因?yàn)楣纠锩婵匆曨l，上網(wǎng)聊天沒(méi)人所需流量不同，因此需要全局限制速度和限制線程。設(shè)置~54connection-limit=50是線程數(shù)這里為50。for5from2to254do={/ipfirewallfilteraddchain=forwardsrc-address=()protocol=tcpconnection-limit=50,32action=drop}設(shè)置是上行／下行的網(wǎng)速為2M/1M。:foruserfrom2to254do={/queuesimpleaddname=("")dst-address=("/32")max-limit=2048000/1024000}外網(wǎng)連接是采用靜態(tài)IP的方式，IP為。連接到網(wǎng)卡Wan。為網(wǎng)卡Wan設(shè)置IP地址：ipaddress>addaddress=/24interface=Wan為路由器配置靜態(tài)路由網(wǎng)關(guān)地址為，讓所有數(shù)據(jù)的下一跳都將指向這個(gè)網(wǎng)關(guān)。iproute>adddst—address=/0gateway=。給客戶端的IP進(jìn)行綁定，客戶機(jī)的MAC地址為00:0C:29:61:BD:40，IP地址為，可以用以下命令進(jìn)行綁定：．iparp>addaddress=interface=Lanmac-address=00:0C:29:61:BD:40查看綁定結(jié)果圖4.7。圖4.7MAC地方綁定4.3RouterOS端口映射配置1、改變www服務(wù)端口為8081：/ipservicesetwwwport=80812、改變hotspot服務(wù)端口為80,為用戶登錄頁(yè)面做準(zhǔn)備：/ipservicesethotspotport=80Setuphotspotprofiletomarkauthenticateduserswithflowname"hs-auth":/iphotspotprofilesetdefaultmark-flow="hs-auth"login-method=enabled-address3、增加一個(gè)用戶：/iphotspotuseraddname=user1password=14、重定向所有未授權(quán)用戶的tcp請(qǐng)求到hotspot服務(wù)/ipfirewalldst-nataddin-interface="ether2"flow="!hs-auth"protocol=tcpaction=redirect

to-dst-port=80comment="redirectunauthorizedclientstohotspotservice"5、允許dns請(qǐng)求、icmpping；拒絕其他未經(jīng)認(rèn)證的所有請(qǐng)求：/ipfirewalladdname=hotspot-tempcomment="limitunauthorizedhotspotclients"/ipfirewallruleforwardaddin-interface=ether2action=jumpjump-target=hotspot-tempcomment="limitaccessforunauthorizedhotspotclients"/ipfirewallruleinputaddin-interface=ether2dst-port=80protocol=tcpaction=acceptcomment="acceptrequestsforhotspotservlet"/ipfirewallruleinputaddin-interface=ether2dst-port=67protocol=udpaction=acceptcomment="acceptrequestsforlocalDHCPserver"/ipfirewallruleinputaddin-interface=ether2action=jumpjump-target=hotspot-tempcomment="limitaccessforunauthorizedhotspotclients"/ipfirewallrulehotspot-tempaddflow="hs-auth"action=returncomment="returnifconnectionisauthorized"/ipfirewallrulehotspot-tempaddprotocol=icmpaction=returncomment="allowpingrequests"/ipfirewallrulehotspot-tempaddprotocol=udpdst-port=53action=returncomment="allowdnsrequests"/ipfirewallrulehotspot-tempaddaction=rejectcomment="rejectaccessforunauthorizedclients"6、創(chuàng)建hotspot通道給認(rèn)證后的hotspot用戶Createhotspotchainforauthorizedhotspotclients:/ipfirewalladdname=hotspotcomment="accountauthorizedhotspotclients"Passallthroughgoingtraffictohotspotchain:/ipfirewallruleforwardaddaction=jumpjump-target=hotspotcomment="accounttrafficforauthorizedhotspotclients"客戶機(jī)輸入任何網(wǎng)址，都自動(dòng)跳轉(zhuǎn)到登陸頁(yè)面，輸入賬號(hào)密碼，繼續(xù)瀏覽。4.4設(shè)置防火墻規(guī)則RouterOS防火墻功能非常靈活。RouterOS防火墻屬于包過(guò)濾防火墻，可以自己定義一系列的規(guī)則過(guò)濾掉發(fā)往RouterOS、從RouterOS發(fā)出、通過(guò)RouterOS轉(zhuǎn)發(fā)的數(shù)據(jù)包。在RouterOS防火墻中定義了三個(gè)防火墻鏈（即input、forward、output），可以在這三個(gè)鏈當(dāng)中定義自己的規(guī)則。input意思是指發(fā)往RouterOS自己的數(shù)據(jù)（也就是目的ip是RouterOS接口中的一個(gè)ip地址）；output意思是指從RouterOS發(fā)出去的數(shù)據(jù)（也就是數(shù)據(jù)包源ip是RouterOS接口中的一個(gè)ip地址）；forward意思是指通過(guò)RouterOS轉(zhuǎn)發(fā)的（比如你內(nèi)部計(jì)算機(jī)訪問(wèn)外部網(wǎng)絡(luò)，數(shù)據(jù)需要通過(guò)你的RouterOS進(jìn)行轉(zhuǎn)發(fā)出去）。禁止pingRouterOS，需要在input鏈中添加規(guī)則，因?yàn)閿?shù)據(jù)包是發(fā)給RouterOS的，數(shù)據(jù)包的目標(biāo)ip是RouterOS的一個(gè)接口ip地址。在每條鏈中的每條規(guī)則都有目標(biāo)ip，源ip，進(jìn)入的接口，非常靈活的去建立規(guī)則。transferedthroughtheparticularconnection0的意思是無(wú)限的,例如connection-bytes=2000000-0意思是2MB以上HTBQOS流量質(zhì)量控制/ipfirewallmangleaddchain=forwardp2p=all-p2paction=mark-connectionnew-connection-mark=p2p_connpassthrough=yescomment=""disabled=noaddchain=forwardconnection-mark=p2p_connaction=mark-packetnew-packet-mark=p2ppassthrough=yescomment=""disabled=noaddchain=forwardconnection-mark=!p2p_connaction=mark-packetnew-packet-mark=generalpassthrough=yescomment=""disabled=noaddchain=forwardpacket-size=32-512action=mark-packetnew-packet-mark=smallpassthrough=yescomment=""disabled=noaddchain=forwardpacket-size=512-1200action=mark-packetnew-packet-mark=bigpassthrough=yescomment=""disabled=no/queuetreeaddname="p2p1"parent=TELpacket-mark=p2plimit-at=2000000queue=defaultpriority=8max-limit=6000000burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="p2p2"parent=LANpacket-mark=p2plimit-at=2000000queue=defaultpriority=8max-limit=6000000burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="ClassA"parent=LANpacket-mark=""limit-at=0queue=defaultpriority=8max-limit=100000000burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="ClassB"parent=ClassApacket-mark=""limit-at=0queue=defaultpriority=8max-limit=0burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="Leaf1"parent=ClassApacket-mark=generallimit-at=0queue=defaultpriority=7max-limit=0burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="Leaf2"parent=ClassBpacket-mark=smalllimit-at=0queue=defaultpriority=5max-limit=0burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="Leaf3"parent=ClassBpacket-mark=biglimit-at=0queue=defaultpriority=6max-limit=0burst-limit=0burst-threshold=0burst-time=0sdisabled=no設(shè)置丟棄非法連接數(shù)據(jù)/ipfirewallfilteraddchain=inputconnection-state=invalidaction=drop\comment="丟棄非法連接數(shù)據(jù)"disabled=no設(shè)置限制總http連接數(shù)為20addchain=inputprotocol=tcpdst-port=80connection-limit=20,0action=drop\comment="限制總http連接數(shù)為20"disabled=no設(shè)置探測(cè)并丟棄端口掃描連接addchain=inputprotocol=tcppsd=21,3s,3,1action=drop\comment="探測(cè)并丟棄端口掃描連接"disabled=no設(shè)置壓制DoS攻擊addchain=inputprotocol=tcpconnection-limit=3,32src-address-list=black_list\action=tarpitcomment="壓制DoS攻擊"disabled=no設(shè)置探測(cè)DoS攻擊addchain=inputprotocol=tcpconnection-limit=10,32\action=add-src-to-address-listaddress-list=black_list\address-list-timeout=1dcomment="探測(cè)DoS攻擊"disabled=no設(shè)置丟棄掉非本地?cái)?shù)據(jù)addchain=inputdst-address-type=!localaction=dropcomment="丟棄掉非本地?cái)?shù)據(jù)"\disabled=no設(shè)置跳轉(zhuǎn)到ICMP鏈表addchain=inputprotocol=icmpaction=jumpjump-target=ICMP\comment="跳轉(zhuǎn)到ICMP鏈表"disabled=no設(shè)置Ping應(yīng)答限制為每秒5個(gè)包addchain=ICMPprotocol=icmpicmp-options=0:0-255limit=5,5action=accept\comment="Ping應(yīng)答限制為每秒5個(gè)包"disabled=no設(shè)置Traceroute限制為每秒5個(gè)包addchain=ICMPprotocol=icmpicmp-options=3:3limit=5,5action=accept\comment="Traceroute限制為每秒5個(gè)包"disabled=no設(shè)置MTU線路探測(cè)限制為每秒5個(gè)包addchain=ICMPprotocol=icmpicmp-options=3:4limit=5,5action=accept\comment="MTU線路探測(cè)限制為每秒5個(gè)包"disabled=no設(shè)置Ping請(qǐng)求限制為每秒5個(gè)包addchain=ICMPprotocol=icmpicmp-options=8:0-255limit=5,5action=accept\comment="Ping請(qǐng)求限制為每秒5個(gè)包"disabled=no設(shè)置TraceTTL限制為每秒5個(gè)包addchain=ICMPprotocol=icmpicmp-options=11:0-255limit=5,5action=accept\comment="TraceTTL限制為每秒5個(gè)包"disabled=no設(shè)置丟棄掉任何ICMP數(shù)據(jù)addchain=ICMPprotocol=icmpaction=dropcomment="丟棄掉任何ICMP數(shù)據(jù)"\disabled=no設(shè)置丟棄非法數(shù)據(jù)包addchain=forwardconnection-state=invalidaction=drop\comment="丟棄非法數(shù)據(jù)包"disabled=no設(shè)置限制每個(gè)主機(jī)TCP連接數(shù)為80條addchain=forwardprotocol=tcpconnection-limit=80,32action=drop\comment="限制每個(gè)主機(jī)TCP連接數(shù)為80條"disabled=no設(shè)置丟棄掉所有非單播數(shù)據(jù)addchain=forwardsrc-address-type=!unicastaction=drop\comment="丟棄掉所有非單播數(shù)據(jù)"disabled=no設(shè)置禁止.dll文件通過(guò)addchain=forwardcontent=.dllaction=dropcomment="禁止.dll文件通過(guò)"\disabled=yes設(shè)置跳轉(zhuǎn)到ICMP鏈表addchain=forwardprotocol=icmpaction=jumpjump-target=ICMP\comment="跳轉(zhuǎn)到ICMP鏈表"disabled=no設(shè)置tcp鏈接目的端口為41的數(shù)據(jù)包丟掉addchain=virusprotocol=tcpdst-port=41action=drop\comment="DeepThroat.Trojan-1"disabled=noaddchain=forwardaction=acceptcomment="接受所有數(shù)據(jù)"disabled=no另：詳細(xì)防火墻規(guī)則配置見(jiàn)附錄一4.5進(jìn)入普通用戶界面Winbox是基于windows下遠(yuǎn)程管理RouterOS的軟件，提供直觀方便的圖形界面。用它能登陸防火墻，這個(gè)防火墻是由RouterOS制作的，用Winbox登陸后，就可以配置防火墻了，用這個(gè)軟件便于配置防火墻。Winbox控制臺(tái)使用TCP8291端口，在登陸到防火墻后可以通過(guò)Winbox控制臺(tái)操作MikroTik路由器的配置并執(zhí)行與本地控制臺(tái)同樣的任務(wù)。這樣，即便在字符界面下操作不是很熟練的人也能進(jìn)行管理了。在局域網(wǎng)的另外一臺(tái)安裝有windows的計(jì)算機(jī)上，設(shè)定其ip地址為-53中的任意一個(gè)就行，然后掩碼輸入，網(wǎng)關(guān)設(shè)定為54圖4.8。圖4.8window主機(jī)網(wǎng)卡配置設(shè)定完成之后，就可以打開(kāi)IE瀏覽器，在地址欄中輸入54就能訪問(wèn)RouterOS服務(wù)器了圖4.9。圖4.9winbox下載點(diǎn)擊Winbox的圖標(biāo)來(lái)下載winbox.exe程序，然后運(yùn)行這個(gè)程序。在connectto中輸入我們的RouterOS服務(wù)器的地址54，用戶名中輸入admin，沒(méi)有設(shè)定密碼，所以密碼不輸入，為了便于以后進(jìn)入服務(wù)器，按save按鈕保存此次設(shè)置圖4.10。圖4.10連接winbox進(jìn)入winbox界面圖4.11。圖4.11進(jìn)入winbox界面點(diǎn)擊winbox里的第一項(xiàng)Interfaces在彈出畫面里，可以看到我們已經(jīng)建立的兩張網(wǎng)卡Wan和Lan圖4.12。圖4.12建立的兩張網(wǎng)卡設(shè)定公網(wǎng)網(wǎng)絡(luò)接口Wan。依次點(diǎn)擊ip/address,按“+”號(hào)，在interface中選擇公網(wǎng)接口Wan，輸入公網(wǎng)地址0等信息然后apply，接著OK就行了圖4.13。圖4.13圖形界面設(shè)定ip查看Routes和Ruls圖4.14。圖4.14Routes和Ruls4.6測(cè)試在RouterOS上面配置好防火墻規(guī)則后，我們對(duì)其功能進(jìn)行測(cè)試。利用瘋狂Ping之攻擊器進(jìn)行攻擊。安全圖4.15。圖4.15利用瘋狂Ping進(jìn)行攻擊同時(shí)，我還利用幽幽DDoS攻擊器就行DDoS攻擊，利用ICMP洪水攻擊器進(jìn)行ICMP攻擊，利用synFlood攻擊軟件進(jìn)行syn攻擊，利用SafeWeb漏洞掃描系統(tǒng)就行漏洞掃描，利用VirEasyCH就行病毒掃描，利用ISAtrpeSSL端口開(kāi)發(fā)工具就行掃描，都證明RouterOS作為中小企業(yè)防火墻是成功的。4.7總結(jié)中小企業(yè)中，利用RouterOS作為防火墻，在其系統(tǒng)提供的強(qiáng)大防護(hù)功能下，成功的偵測(cè)及阻擋了IP欺騙、源路由攻擊、DoS等網(wǎng)絡(luò)攻擊，并且有效的阻止了端口掃描、防SYNflood,UDPflood,ICMPflood,Smurf/Fraggle攻擊，分片報(bào)文攻擊等，為中小企業(yè)網(wǎng)絡(luò)提供了可靠的安全保障；根據(jù)其提供MAC和IP地址綁定功能，有效防范了ARP攻擊，并且監(jiān)視局域網(wǎng)內(nèi)的ARP數(shù)據(jù)包，發(fā)現(xiàn)有攻擊自動(dòng)報(bào)警。

參考文獻(xiàn)[1]《信息網(wǎng)絡(luò)安全概論》，周良洪編著，群眾出版社，2005.[2]《計(jì)算機(jī)安全技術(shù)及應(yīng)用》，邵波編著，電子工業(yè)出版社，2005.[3]《信息安全管理教程》，主編：龐南，中國(guó)人民公安大學(xué)出版社，2007.[4]《計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)》，蔡立軍編著，國(guó)水利水電出版社,2002.[5]《企業(yè)網(wǎng)絡(luò)安全》，蕭文龍編著，中國(guó)鐵道出版社，2001.[6]《黑客的攻擊手段及用戶對(duì)策》，余建斌編著，北京人民郵電出版社,2005.[7]《網(wǎng)絡(luò)安全與防火墻技術(shù)應(yīng)用大全》，王睿林海波等,清華大學(xué)出版社，2000.[8]《防火墻技術(shù)大全》，[美]KeithE.StrassbergRichardJ.GondekGaryRollie，機(jī)械工業(yè)出版社，2003.[9]《Thereisnoloophole-InformationSecurityImplementationGuide》[美]MarkEgan,TimMather著，電子工業(yè)出版社，2006.

結(jié)束語(yǔ)網(wǎng)絡(luò)安全問(wèn)題越來(lái)越引起世界各國(guó)的嚴(yán)密關(guān)注，隨著計(jì)算機(jī)網(wǎng)絡(luò)在人類生活各個(gè)領(lǐng)域的廣泛應(yīng)用，不斷出現(xiàn)網(wǎng)絡(luò)被非法入侵，重要資料被竊取，網(wǎng)絡(luò)系統(tǒng)癱瘓等嚴(yán)重問(wèn)題，網(wǎng)絡(luò)、應(yīng)用程序的安全漏洞越來(lái)越多；各種病毒泛濫成災(zāi)。這一切，已給各個(gè)國(guó)家以及眾多商業(yè)公司造成巨大的經(jīng)濟(jì)損失，甚至危害到國(guó)家安全，加強(qiáng)網(wǎng)絡(luò)安全管理已刻不容緩。經(jīng)過(guò)這段時(shí)間對(duì)畢業(yè)論文的設(shè)計(jì)，讓我了解到了網(wǎng)絡(luò)安全的重要性，防火墻在網(wǎng)絡(luò)安全的重要性，從對(duì)防火墻的研究，認(rèn)識(shí)到了它在網(wǎng)絡(luò)中何其的重要，以前的對(duì)防火墻不甚了解，通過(guò)在讀書館，網(wǎng)上查資料等各種途徑去了解它，去認(rèn)識(shí)它。使得我頭腦里本來(lái)對(duì)它模模糊糊的印象逐漸變得清晰。在做畢業(yè)設(shè)計(jì)的時(shí)候才發(fā)現(xiàn)，認(rèn)真的，專心的去做著一件事，去學(xué)習(xí)這其中的知識(shí)，去感受這中間的過(guò)程原來(lái)是這么輕松，愉快的一件事，雖然我這個(gè)畢業(yè)設(shè)計(jì)做的并不完美，但這是我用心努力的成果。斷向前。

致謝四年的大學(xué)生活就快走入尾聲，我們的學(xué)生生活就要?jiǎng)澤暇涮?hào)，心中是無(wú)盡的難舍與眷戀。從這里走出，對(duì)我的人生來(lái)說(shuō)，將是踏上一個(gè)新的征程，要把所學(xué)的知識(shí)應(yīng)用到實(shí)際工作中去?；厥姿哪辏〉昧诵┰S成績(jī)，生活中有快樂(lè)也有艱辛。感謝老師們四年來(lái)對(duì)我孜孜不倦的教誨，對(duì)我成長(zhǎng)的關(guān)心和愛(ài)護(hù)。學(xué)友情深，情同兄妹。四年的風(fēng)風(fēng)雨雨，我們一同走過(guò)，充滿著關(guān)愛(ài)，給我留下了值得珍藏的最美好的記憶。不積跬步何以至千里，本設(shè)計(jì)能夠順利的完成，要?dú)w功于指導(dǎo)老師的認(rèn)真負(fù)責(zé)，使我能夠很好的掌握和運(yùn)用專業(yè)知識(shí)，并在設(shè)計(jì)中得以體現(xiàn)。正是有了他們的悉心幫助和支持，才使我的畢業(yè)論文工作順利完成，在此向?qū)幭睦砉W(xué)院，電氣信息工程學(xué)院網(wǎng)絡(luò)工程專業(yè)的全體老師表示由衷的謝意！在此要特別感謝我的導(dǎo)師X老師在我畢業(yè)的最后關(guān)頭給了我巨大的幫助與鼓勵(lì),使我能夠順利完成畢業(yè)設(shè)計(jì)，在此表示衷心的感激。

附錄一/ipfirewallfilteraddchain=inputconnection-state=invalidaction=drop\comment="丟棄非法連接數(shù)據(jù)"disabled=noaddchain=inputprotocol=tcpdst-port=80connection-limit=20,0action=drop\comment="限制總http連接數(shù)為20"disabled=noaddchain=inputprotocol=tcppsd=21,3s,3,1action=drop\comment="探測(cè)并丟棄端口掃描連接"disabled=noaddchain=inputprotocol=tcpconnection-limit=3,32src-address-list=black_list\action=tarpitcomment="壓制DoS攻擊"disabled=noaddchain=inputprotocol=tcpconnection-limit=10,32\action=add-src-to-address-listaddress-list=black_list\address-list-timeout=1dcomment="探測(cè)DoS攻擊"disabled=noaddchain=inputdst-address-type=!localaction=dropcomment="丟棄掉非本地?cái)?shù)據(jù)"\disabled=noaddchain=inputprotocol=icmpaction=jumpjump-target=ICMP\comment="跳轉(zhuǎn)到ICMP鏈表"disabled=noaddchain=ICMPprotocol=icmpicmp-options=0:0-255limit=5,5action=accept\comment="Ping應(yīng)答限制為每秒5個(gè)包"disabled=noaddchain=ICMPprotocol=icmpicmp-options=3:3limit=5,5action=accept\comment="Traceroute限制為每秒5個(gè)包"disabled=noaddchain=ICMPprotocol=icmpicmp-options=3:4limit=5,5action=accept\comment="MTU線路探測(cè)限制為每秒5個(gè)包"disabled=noaddchain=ICMPprotocol=icmpicmp-options=8:0-255limit=5,5action=accept\comment="Ping請(qǐng)求限制為每秒5個(gè)包"disabled=noaddchain=ICMPprotocol=icmpicmp-options=11:0-255limit=5,5action=accept\comment="TraceTTL限制為每秒5個(gè)包"disabled=noaddchain=ICMPprotocol=icmpaction=dropcomment="丟棄掉任何ICMP數(shù)據(jù)"\disabled=noaddchain=forwardconnection-state=invalidaction=drop\comment="丟棄非法數(shù)據(jù)包"disabled=noaddchain=forwardprotocol=tcpconnection-limit=80,32action=drop\comment="限制每個(gè)主機(jī)TCP連接數(shù)為80條"disabled=noaddchain=forwardsrc-address-type=!unicastaction=drop\comment="丟棄掉所有非單播數(shù)據(jù)"disabled=noaddchain=forwardcontent=.exeaction=dropcomment="禁止.exe文件通過(guò)"\disabled=yesaddchain=forwardcontent=.dllaction=dropcomment="禁止.dll文件通過(guò)"\disabled=yesaddchain=forwardprotocol=icmpaction=jumpjump-target=ICMP\comment="跳轉(zhuǎn)到ICMP鏈表"disabled=noaddchain=forwardaction=jumpjump-target=viruscomment="跳轉(zhuǎn)到病毒鏈表"\disabled=noaddchain=virusprotocol=tcpdst-port=41action=drop\comment="DeepThroat.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=82action=drop\comment="Worm.NetSky.Y@mm"disabled=noaddchain=virusprotocol=tcpdst-port=113action=drop\comment="W32.Korgo.A/B/C/D/E/F-1"disabled=noaddchain=virusprotocol=tcpdst-port=2041action=drop\comment="W33.Korgo.A/B/C/D/E/F-2"disabled=noaddchain=virusprotocol=tcpdst-port=3150action=drop\comment="DeepThroat.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=3067action=drop\comment="W32.Korgo.A/B/C/D/E/F-3"disabled=noaddchain=virusprotocol=tcpdst-port=3422action=drop\comment="Backdoor.IRC.Aladdinz.R-1"disabled=noaddchain=virusprotocol=tcpdst-port=6667action=drop\comment="W32.Korgo.A/B/C/D/E/F-4"disabled=noaddchain=virusprotocol=tcpdst-port=6789action=drop\comment="Worm.NetSky.S/T/U@mm"disabled=noaddchain=virusprotocol=tcpdst-port=8787action=drop\comment="Back.Orifice.2000.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=8879action=drop\comment="Back.Orifice.2000.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=8967action=drop\comment="W32.Dabber.A/B-2"disabled=noaddchain=virusprotocol=tcpdst-port=9999action=drop\comment="W32.Dabber.A/B-3"disabled=noaddchain=virusprotocol=tcpdst-port=20034action=drop\comment="Block.NetBus.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=21554action=drop\comment="GirlFriend.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=31666action=drop\comment="Back.Orifice.2000.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=43958action=drop\comment="Backdoor.IRC.Aladdinz.R-2"disabled=noaddchain=virusprotocol=tcpdst-port=999action=drop\comment="DeepThroat.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=6670action=drop\comment="DeepThroat.Trojan-4"disabled=noaddchain=virusprotocol=tcpdst-port=6771action=drop\comment="DeepThroat.Trojan-5"disabled=noaddchain=virusprotocol=tcpdst-port=60000action=drop\comment="DeepThroat.Trojan-6"disabled=noaddchain=virusprotocol=tcpdst-port=2140action=drop\comment="DeepThroat.Trojan-7"disabled=noaddchain=virusprotocol=tcpdst-port=10067action=drop\comment="Portal.of.Doom.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=10167action=drop\comment="Portal.of.Doom.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=3700action=drop\comment="Portal.of.Doom.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=9872-9875action=drop\comment="Portal.of.Doom.Trojan-4"disabled=noaddchain=virusprotocol=tcpdst-port=6883action=drop\comment="Delta.Source.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=26274action=drop\comment="Delta.Source.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=4444action=drop\comment="Delta.Source.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=47262action=drop\comment="Delta.Source.Trojan-4"disabled=noaddchain=virusprotocol=tcpdst-port=3791action=drop\comment="Eclypse.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=3801action=drop\comment="Eclypse.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=65390action=drop\comment="Eclypse.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=5880-5882action=drop\comment="Y3K.RAT.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=5888-5889action=drop\comment="Y3K.RAT.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=30100-30103action=drop\comment="NetSphere.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=30133action=drop\comment="NetSphere.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=7300-7301action=drop\comment="NetMonitor.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=7306-7308action=drop\comment="NetMonitor.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=79action=drop\comment="FireHotcker.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=5031action=drop\comment="FireHotcker.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=5321action=drop\comment="FireHotcker.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=6400action=drop\comment="TheThing.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=7777action=drop\comment="TheThing.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=1047action=drop\comment="GateCrasher.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=6969-6970action=drop\comment="GateCrasher.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=2774action=dropcomment="SubSeven-1"\disabled=noaddchain=virusprotocol=tcpdst-port=27374action=dropcomment="SubSeven-2"\disabled=noaddchain=virusprotocol=tcpdst-port=1243action=dropcomment="SubSeven-3"\disabled=noaddchain=virusprotocol=tcpdst-port=1234action=dropcomment="SubSeven-4"\disabled=noaddchain=virusprotocol=tcpdst-port=6711-6713action=drop\comment="SubSeven-5"disabled=noaddchain=virusprotocol=tcpdst-port=16959action=dropcomment="SubSeven-7"\disabled=noaddchain=virusprotocol=tcpdst-port=25685-25686action=drop\comment="Moonpie.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=25982action=drop\comment="Moonpie.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=31337-31339action=drop\comment="NetSpy.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=8102action=dropcomment="Trojan"\disabled=noaddchain=virusprotocol=tcpdst-port=8011action=dropcomment="WAY.Trojan"\disabled=noaddchain=virusprotocol=tcpdst-port=7626action=dropcomment="Trojan.BingHe"\disabled=noaddchain=virusprotocol=tcpdst-por