防火墻在企業(yè)局域網(wǎng)中的架設及配置方法

1、防火墻在企業(yè)局域網(wǎng)中的架設及配置方法專業(yè)：軟件工程學生：吳雙 指導老師：喬少杰摘 要隨著網(wǎng)絡以及計算機技術日新月異的發(fā)展，在帶給人們更加方便的信息交換，信息處理方式的同時，也產(chǎn)生了各種類型的網(wǎng)絡安全問題。諸如病毒入侵，駭客攻擊等等能導致企業(yè)蒙受巨大損失的安全攻擊方式。因為組網(wǎng)時要全面考慮到企業(yè)中網(wǎng)絡的安全問題，我們應該思考如何在企業(yè)內(nèi)部網(wǎng)絡和公網(wǎng)之間保證內(nèi)部網(wǎng)的安全，因為網(wǎng)絡實際上就是計算機與計算機之間的信息共享。所以，我們可以在中間加入一個或者多個介質(zhì)系統(tǒng)，然后編寫這個系統(tǒng)的性質(zhì)與功能，就能有效阻擋那些惡意信息進入，攻擊。而且能夠提供數(shù)據(jù)可支持性、整體性以及保密性等方面監(jiān)察和控制，這些介質(zhì)系

2、統(tǒng)就是防火墻。 防火墻的重要性不言而喻，它是企業(yè)內(nèi)部網(wǎng)與外網(wǎng)之間的第一道也是最重要的屏障，因此如何配置并管理好一個防火墻成了一個對于企業(yè)來說至關重要的問題。到底哪一種配置方式更加適合企業(yè)，這是因人而異的。需要采取什么策略，都需要由網(wǎng)絡管理員來分析。在本文中主要對防火墻有一個系統(tǒng)的介紹，以及闡述現(xiàn)在存在的大部分網(wǎng)絡安全問題，還有不同企業(yè)中對防火墻的配置以防止這些網(wǎng)絡安全問題的發(fā)生。 關鍵詞：防火墻 安全策略 網(wǎng)絡安全 防火墻配置The method of building a firewall in enterprises VlanMajor:Software engineeringStuden

3、t:Wu Shuang Supervisor: Qiao ShaojieAbstract With the development of the technology of the internet,our peoples life are getting better and better.But it also brings kinds of problems of the security of internet. Like virus intrusion and hackers attack. Which can lead Serious losses for a enterprise

4、 in many different ways. To protect the enterprise, when having connection between outside and inside, there is a system by human write, to protect the inside from illegal visited and attack. It also can provide consoles on examination and so on. It is called firewall.It goes without saying that the

5、 important of the firewall to a enterprise. Like it says, its a wall between the inside and outside of the internet. So its a key problem to set and manage firewall for the enterprise. Which way is more valuable for you, what strategies can be take? The manager should think it carefully.In this pass

6、age, the main content is about the firewall and the most of the problems of internet which are still there. And how to set the firewall to pre-seeing these problems. Key words: Firewall Security Strategies Security of the Internet setting firewall目 錄1 前 言11.1 選題背景11.2 研究目的11.3論文思路與結(jié)構(gòu)22防火墻概述22.1防火墻概念

7、22.1.1防火墻介紹32.1.2智能防火墻42.2防火墻的功能42.2.1網(wǎng)絡屏障42.2.2防火墻可以強化網(wǎng)絡安全策略42.2.3對網(wǎng)絡存取和訪問進行監(jiān)控審計742.2.4防止內(nèi)部信息的外泄52.3防火墻分類852.3.1包過濾防火墻952.3.2應用代理防火墻62.3.3復合型防火墻62.3.4狀態(tài)監(jiān)測防火墻63企業(yè)網(wǎng)絡安全分析73.1企業(yè)網(wǎng)絡安全現(xiàn)狀73.2來自內(nèi)部網(wǎng)絡的攻擊73.2.1ARP攻擊73.2.2網(wǎng)絡監(jiān)聽83.2.3蠕蟲病毒83.3來自外部網(wǎng)絡攻擊分析93.3.1Dos攻擊93.3.2SYNflood攻擊93.3.3Port Scan Attack(端口掃描攻擊)103.3

8、.4ICMP Flood(UDP泛濫)103.3.5端口掃描104防火墻在企業(yè)中的應用配置104.1配置防火墻時需注意的問題104.1.1防火墻應安全可靠104.1.2防火墻應性能穩(wěn)定114.1.3防火墻配置與管理方便114.1.4防火墻要具有可升級與可擴展性114.1.5防火墻要有病毒防護功能114.2防火墻應用配置114.2.1E-mail電子郵件服務114.2.2Telnet服務114.2.3WWW服務114.2.4FTP服務124.3簡單的防火墻配置命令124.3.1激活124.3.2命名端口124.3.3配置地址124.3.4配置遠程124.3.5訪問列表134.3.6地址轉(zhuǎn)換134

9、.3.7DHCP134.3.8顯示保存145結(jié)論14參考文獻15致 謝161 前 言1.1 選題背景 伴隨著網(wǎng)絡的遍布和迅速壯大，特別是Internet被普遍的運用，使得計算機的應用更為寬泛與深刻。與此同時，咱們還必須注意到，盡管網(wǎng)絡的內(nèi)容多，功能也強，但是它也有其軟弱并且易受到攻擊的地方。根據(jù)美國方面權威統(tǒng)計，因為網(wǎng)絡安全問題，美國每一年承受的經(jīng)濟損失高達75億美元，與此同時全球平均每20秒鐘就會發(fā)生一起網(wǎng)絡有關的計算機侵入事件1。我們國家也會因為網(wǎng)絡安全問題諸如駭客的侵入，計算機網(wǎng)絡病毒等等，蒙受相當大的經(jīng)濟方面的損失。雖然對于網(wǎng)絡的使用給人們帶來了巨變，可以說時代因為網(wǎng)絡而改變，但是同時

10、我們更加不能忽略網(wǎng)絡可能會對人們的生活產(chǎn)生的危害。那么要怎么樣建立起一個完善，有效，能切實的給人們帶來便利的網(wǎng)絡安全措施呢，這需要我們一起探討，研究。1.2 研究目的防火墻技術的迅速興起歸根結(jié)底還是因為網(wǎng)絡技術的全面快速發(fā)展，因為網(wǎng)絡能夠產(chǎn)生許多安全方面的問題，而防火墻也由此應運而生2。防火墻因為具有很強大的實效性和針對性，防火墻中預置的防御方案，或者由網(wǎng)絡管理員自己配置的防御方案，不僅能夠?qū)崟r掌管企業(yè)中用戶的數(shù)據(jù)管理，而且能幫助用戶建立有效的保護機制。防火墻的設置是可以通過不同的企業(yè)需求來更改的，可以通過配置防火墻命令來實現(xiàn)控制主機和網(wǎng)絡之間的信息交換，達到防止有心人的惡意襲擊，發(fā)送木馬，盜

11、取企業(yè)隱秘，關鍵的信息等等。防火墻可以記錄實時訪問企業(yè)內(nèi)部系統(tǒng)的其他系統(tǒng)，使企業(yè)在計算機避免安全威脅網(wǎng)絡攻擊和數(shù)據(jù)泄漏，當連接到互聯(lián)網(wǎng)的時候。防火墻可以保護企業(yè)在需要用到互聯(lián)網(wǎng)的時候被駭客攻擊，還可以根據(jù)自己的需要創(chuàng)建防火墻規(guī)則，這樣就能把企業(yè)到外網(wǎng)的所有信息交流限制住，任何信息交流都會通過防火墻的檢測，來保障企業(yè)中各類信息的安全。企業(yè)防火墻與個人防火墻不同在于，企業(yè)防火墻加強了局域網(wǎng)的管理和防護，如ARP攻擊3。個人版的更多的是單機防護，其實功能更加類似于網(wǎng)關，只能起到很小的作用。 防火墻實際上是指搭建在不同網(wǎng)絡(像是能夠相信的完全沒問題的內(nèi)網(wǎng)和具有威脅與不安全的外網(wǎng)間的)或者是域之間的一系

12、列功能的組合。它通過檢查、局限經(jīng)過防火墻的數(shù)據(jù)流的分析,最大限度的屏蔽網(wǎng)絡內(nèi)部的信息、結(jié)構(gòu)和運行狀態(tài),防止被外部監(jiān)察到，通過這種方法來實現(xiàn)對整個網(wǎng)絡的安全的保證。普遍來說,防火墻不僅僅充當著分割器,限制器的角色,同時也是一個分析器,它監(jiān)視管理我們剛才提到的內(nèi)網(wǎng)和外網(wǎng)之間全部的進程，活動。安全有效的防火墻需要具備下面的的特性:1從內(nèi)網(wǎng)到外網(wǎng)和從外網(wǎng)到內(nèi)網(wǎng)所有通信都必須通過防火墻2防火墻在配置了安全策略之后，所有信息交流，只會在這個規(guī)則保護下進行3防火墻本身是免疫的,不會被穿透的。 防火墻的基本功能：能夠監(jiān)控所有的數(shù)據(jù)在網(wǎng)絡中的行為；當有請求訪問來到時，要進行有效監(jiān)測，詢問，和管理；封殺一些不被網(wǎng)

13、絡規(guī)則允許的事務；只要是經(jīng)過了防火墻的那些信息以及事務，都會被防火墻生成的日志文件記錄下來；實時監(jiān)測的網(wǎng)絡攻擊和攻擊警報。1.3論文思路與結(jié)構(gòu)在論文接下來部分中，會分別系統(tǒng)介紹防火墻，當前國內(nèi)企業(yè)安全現(xiàn)狀分析，以及防火墻在企業(yè)中的應用架設。2防火墻概述隨著網(wǎng)絡的發(fā)展，網(wǎng)絡應用幾乎已經(jīng)滲透入家家戶戶，每個人都離不開網(wǎng)絡，不管是通信網(wǎng)絡或是電腦網(wǎng)絡都好，企業(yè)也是一樣。而相較于個人用戶而言，企業(yè)用戶的信息量更加龐大，敏感的數(shù)據(jù)也更多。這些數(shù)據(jù)的損壞或者丟失會帶給企業(yè)不可彌補的損失，因此為了防止各種人為破壞與企業(yè)信息安全，防火墻的發(fā)展不可阻擋。在防火墻中，最核心也是最重要的技術就是包過濾技術還有應用代

14、理技術。而包過濾實現(xiàn)和發(fā)展的時間較應用代理更早，因此被廣泛應用到了各個領域之中。2.1防火墻概念作為一個保護屏障，防火墻指的是一個在inside（內(nèi)部網(wǎng)/專網(wǎng)）和outside（外部網(wǎng)/公網(wǎng)）之間由硬件系統(tǒng)和軟件系統(tǒng)組成的。其原理是在網(wǎng)絡上建立一個安全網(wǎng)關和網(wǎng)絡，以實現(xiàn)網(wǎng)絡的保護不被非法用戶的入侵的影響。防火墻會檢測所有流經(jīng)的數(shù)據(jù)還有網(wǎng)絡通信的內(nèi)容。在網(wǎng)絡中，所謂的“防火墻”，變成了一種隔離技術，是一種叫法，而非實際的硬件與軟件的結(jié)合。用在連接網(wǎng)絡信息交換時執(zhí)行的一種訪問標準，允許你同意的人進入內(nèi)部網(wǎng)，而不允許的不能進來。能最大限度的限制駭客的侵入。伴隨著企業(yè)信息化進程的推動，各個企業(yè)需要運用

15、到網(wǎng)絡來運行的系統(tǒng)也更加的多了，信息系統(tǒng)變得越來越巨大和駁雜。企業(yè)網(wǎng)絡的服務器機組組成了企業(yè)網(wǎng)絡的服務系統(tǒng)，這其中主要包含了DNS服務、虛擬主機服務、Web服務、FTP服務、視頻點播服務和Mail服務等等。企業(yè)網(wǎng)通過不同的線路分別接入了不同的網(wǎng)絡。隨著這些企業(yè)的增多，企業(yè)對應用的需求增大，客戶數(shù)量的增大，網(wǎng)絡安全問題已經(jīng)是迫在眉睫了。2.1.1防火墻介紹從防火墻誕生到如今這個時候，人們一共歸納總結(jié)了5個防火墻的發(fā)展歸類。圖一表示簡單的發(fā)展史。圖一：防火墻發(fā)展史 第一代防火墻 防火墻和路由器的第一代可以說是在同一時期產(chǎn)生的，采取包過濾的技術。 第二、三代防火墻 1989年，貝爾實驗室的戴夫Pre

16、sotto和霍華德特里基發(fā)明二防火墻，電路級的防火墻，第三代防火墻的思路也被提及應用層防火墻。 第四代防火墻 第四代防火墻的核心技術主要是透明代理技術，這樣使得它的容錯率大大提高，不管是在監(jiān)測方面，還是在隔離方面，不僅包含了前三代防火墻幾乎所有的有點，它的安全內(nèi)核，多級過濾，正是這第四代防火墻的關鍵所在。 第五代防火墻 第五代防火墻實際上就是現(xiàn)在所說的智能防火墻的前身，它的核心技術實際上就是自適應代理技術。4 但是當今網(wǎng)絡中的主要安全問題并不能被傳統(tǒng)防火墻完全解決。當今網(wǎng)絡中主要的三個安全問題是:首先是拒絕訪問類型的網(wǎng)絡攻擊方式，然后是蠕蟲類型的病毒傳播，最后是代表內(nèi)容控制方式的垃圾電子郵件。

17、這三種類型的網(wǎng)絡攻擊在整個網(wǎng)絡的攻擊類型中占據(jù)了9成甚至以上。但在面對這三種類型的網(wǎng)絡攻擊時，傳統(tǒng)防火墻都找不到地方下手。主要是下面三個原因: 第一個是防火墻硬件配置的問題。在計算機世界中，更快的計算能力意味著更強大的硬件配置，而更強大的硬件配置則意味著更加昂貴的價格，而對于防火墻這種關乎一個企業(yè)命脈的東西計算能力自然是越強大越好，不過，技術的限制成了一個問題，最重要的確實成本的問題。第二是一般的防火墻其核心技術的體現(xiàn)僅僅是對數(shù)據(jù)，信息的過濾，很難起到非常大的作用。僅僅作為一個簡易的條件過濾器，條件通過，那么數(shù)據(jù)就能通過，反之則不能，如果攻擊者計算一個相對復雜的攻擊方式，那么這種防火墻在安全防

18、護方面就很難做到面面俱到了。第三是傳統(tǒng)防火墻不能區(qū)別識別好的和壞的行為。這樣會帶來非常大的壞處，因為當防火墻不能判斷一個行為的好壞時，它不會做出有效的響應的，無論是什么行為，只要通過了它的條件判斷，那么就是一棍打死制。但是隨著技術的不斷發(fā)展，各種電子，電器方面的產(chǎn)品更加的智能化。防火墻的智能化肯定也是在其中的。這樣的話，防火墻一智能化，它就能對攻擊進行判斷，更好的保障企業(yè)的安全了。2.1.2智能防火墻智能防火墻是指只要沒有程序的問題，已被公認為病毒防火墻程序，智能防火墻不要求用戶，只有當不確定進程訪問行動，才會請求用戶幫助的防火墻。它不同于傳統(tǒng)的防火墻，不能每個進程訪問必須詢問用戶是否通過。有

19、效克服了一般防火墻時常報警并且請求，不能幫助用戶判斷程序是否有問題，會給用戶帶來十分困擾的問題，這樣它自己就會陷入死循環(huán)，導致十分嚴重的問題發(fā)生。52.2防火墻的功能2.2.1網(wǎng)絡屏障當一個企業(yè)或者用戶使用防火墻之后，因為防火墻具有阻塞，控制的作用，這樣的話內(nèi)網(wǎng)的安全能得到極大的保證，而且它能屏蔽那些未知的服務來達到減少安全危險的目的。防火墻只會任由通過了它檢測的應用協(xié)議，因此網(wǎng)絡的環(huán)境會被防火墻凈化并不是空穴來風。例如，防火墻可以防止被稱為不安全的NFS協(xié)議和網(wǎng)絡功能可得到保證，從而有效地阻止外部攻擊者使用該協(xié)議來攻擊內(nèi)部網(wǎng)絡安全。保護網(wǎng)絡不受路由之類的攻擊不僅是防火墻一個重要功能之一。防火

20、墻理論上可以保護網(wǎng)絡不受以上全部類型攻擊的報文再通知網(wǎng)絡管理員。62.2.2防火墻可以強化網(wǎng)絡安全策略每臺計算機都是自帶網(wǎng)絡安全策略的，不過只要有了防火墻的介入，并且提前設置好防火墻內(nèi)部所擁有的網(wǎng)絡安全策略之后，防火墻就能對這些安全策略進行統(tǒng)一的集中管理。這比安全策略們單獨運行，一一實現(xiàn)要效率的多。比如當產(chǎn)生網(wǎng)絡訪問時，驗證身份的系統(tǒng)就可以不必被分發(fā)到各個獨立的主機上完成，而是集中在防火墻這一個系統(tǒng)上來。 2.2.3對網(wǎng)絡存取和訪問進行監(jiān)控審計7當所有的數(shù)據(jù)交流都被防火墻監(jiān)控到的時候，防火墻就能夠記錄下這些數(shù)據(jù)交流并且放到生成的日志文件中去，而且這些日志文件中也能記錄下網(wǎng)絡交流的統(tǒng)計數(shù)據(jù)。防火

21、墻的報警會在檢測到有嫌疑的機器操作時啟動，并且網(wǎng)絡是否遭受到其他監(jiān)測以及攻擊的更加詳細的信息。此外，防火墻會采集網(wǎng)絡的運用和誤用情況來保障網(wǎng)絡安全問題。首先是能夠判斷防火墻是否能夠有效抵擋外來攻擊，另一方面清晰了解防火墻的對網(wǎng)絡的制約是不是達到了預期效果。2.2.4防止內(nèi)部信息的外泄可以使用網(wǎng)絡防火墻的有效分割，實現(xiàn)網(wǎng)絡的分割的一個重要環(huán)節(jié)，它可以限制網(wǎng)絡安全問題在全球網(wǎng)絡問題非常有效的影響。而且，還有一個重要的問題，即隱私，一個內(nèi)網(wǎng)中非常小的細節(jié)也有極大可能引起攻擊者對這個網(wǎng)絡的興趣從而找到網(wǎng)絡的漏洞來進行攻擊。運用防火墻可以覆蓋那些內(nèi)部細節(jié)的泄露，就像finger，DNS和其他服務。與此同

22、時在Finger上出現(xiàn)的信息輕易就能被攻擊者得到。攻擊者可以很容易的知道系統(tǒng)的頻率，該系統(tǒng)是網(wǎng)絡用戶，系統(tǒng)能夠攻擊時有足夠的反應時間等。防火墻同樣能夠阻斷內(nèi)網(wǎng)絡中的域名服務信息，只要防火墻這樣做了，主機的ip地址和域名就很難被攻擊者獲悉了。 2.3防火墻分類82.3.1包過濾防火墻9在Linux中，包過濾的功能是對系統(tǒng)的直接影響核（在系統(tǒng)的核心模塊，或是在系統(tǒng)直接建立），雖然是經(jīng)?？吹街荒苁怯砂^來決定，不過還是有一些能夠用在數(shù)據(jù)包上的技巧。當收到一個包時，包過濾防火墻就會對這些包判定通過或者否決它來達到包過濾的目的。更加具體地說，包過濾是對每個數(shù)據(jù)包的頭，按照它自己的一套規(guī)律來判斷的，與規(guī)律

23、配對成功的包由路由信息轉(zhuǎn)發(fā)，不然就舍棄。根據(jù)數(shù)據(jù)報的源IP地址的包過濾，指定IP地址，協(xié)議類型，port（端口），指定端口和信息和數(shù)據(jù)包傳輸方向信息來決定是否允許數(shù)據(jù)包通過包頭源。包過濾還包含和服務有關的過濾，就是針對特殊的服務，進程，進行包過濾，因為大部分的服務的監(jiān)聽都停留在指定TCP/UDP端口，所以，作為屏障進入特殊服務環(huán)節(jié)，防火墻需要包括所有特殊的TCP / UDP目的端口報文丟棄它。這里我們會提到一個十分簡單的包過濾類型的防火墻的運行情況：（1）包過濾硬件設備端口必要把包過濾規(guī)則存起來。（2）會產(chǎn)生對報頭的語法的分析，只要端口接收到了包頭。當然大部分的包過濾設備只檢查IP、TCP頭里

24、面的片段。（3）包過濾規(guī)則存儲在一個特殊的方式。在包上面使用的那些順序和規(guī)律是必須要和它之前已經(jīng)設置好的順序和規(guī)律一致，否則是不會生效的。（4）只要當其中的一條規(guī)則不能被通過，那么這個包就會被判定為無效包，是不會允許通過的。（5）反之只要一條規(guī)則同意了包的通行，那么這個包才可以繼續(xù)在防火墻中運行。（6）如果這個包連其中一條規(guī)則都不能通過的話，那么這個包就可能通過防火墻的保護了，會直接被擋在門外。2.3.2應用代理防火墻實際上這種類型的防火墻就是在防火墻上面運行代理程序，就像字面意思一樣，但是呢代理程序只能在職能是網(wǎng)關的計算機上面運行，其中有兩個部分組成了應用代理防火墻的運行條件：一個部分與內(nèi)網(wǎng)

25、絡創(chuàng)建銜接，另一個部分與用戶銜接，相當于在用戶和內(nèi)部網(wǎng)之間多出一個中間人，受理他們之間的信息交換請求。只要有了代理服務，內(nèi)網(wǎng)用戶才能快捷有效的通過作為網(wǎng)關的計算器的限制利用萬維網(wǎng)的服務，而且那些不安全的用戶群就不能正常的使用了，連他們的請求都是不能通過的。不同的代理服務技術和包過濾技術，是在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間沒有直接的聯(lián)系，同時提供日志和審計服務。代理技術在應用層實現(xiàn)防火墻功能，和包過濾技術不同，可以提供額外的安全防護。2.3.3復合型防火墻基于IP的智能識別技術的混合型防火墻，可以是一個完美的控制應用服務類別。而各類新興技術的使用也使得這種防火墻的應用更加廣泛，原理如圖二。 檢查整個報文

26、內(nèi)容IP建立連接狀態(tài)表開始攻擊TCP 圖二：復合型防火墻原理2.3.4狀態(tài)監(jiān)測防火墻 這種防火墻算是囊括了包過濾防火墻的大部分容易實現(xiàn)的有點，在性能方面具有一定的優(yōu)勢，值得一提的是，在應用程序方面，可以說它是透明的，因此，它的安全性有較大提高。它不再是簡單的包過濾技術只檢查訪問網(wǎng)絡數(shù)據(jù)包，也關心數(shù)據(jù)包的狀態(tài)。它會在防火墻核心設立起狀態(tài)連接表，把進出網(wǎng)絡的數(shù)據(jù)當做一些事件來處理。3企業(yè)網(wǎng)絡安全分析3.1企業(yè)網(wǎng)絡安全現(xiàn)狀現(xiàn)在企業(yè)中主要出現(xiàn)的網(wǎng)絡問題大多以網(wǎng)速慢，開視頻卡，無法進入公司內(nèi)部網(wǎng)絡完成工作的問題。而且一般的公司員工對此也沒太多防范意識，當出現(xiàn)這些問題時就需要網(wǎng)絡管理員注意了，哪怕事一個很

27、小的問題，如網(wǎng)速變慢等，其最終結(jié)果也可能導致企業(yè)的巨大損失。3.2來自內(nèi)部網(wǎng)絡的攻擊3.2.1ARP攻擊ARP協(xié)議包含在了TCPIP協(xié)議里面，主要目的是為了解決IP地址和MAC地址的對應關系。通過假冒的IP地址和MAC地址來欺騙ARP，這邊是ARP攻擊的原理，可以在當前局域網(wǎng)中生成非常多的APR通信量來達到網(wǎng)絡阻塞的目的，而駭客只要利用這一點不斷的向主機發(fā)送ARP響應包就能造成網(wǎng)絡的中斷。ARP攻擊主要存在于局域網(wǎng)絡中，當局域網(wǎng)中的一臺電腦感染了ARP木馬之后，這臺電腦就會試圖截獲所在網(wǎng)絡其他計算機的通信量，這會對計算機造成非常大的危害，特別是針對已經(jīng)在網(wǎng)絡中部署好了的計算機會發(fā)生信息交流的問

28、題。攻擊者會向主機A發(fā)送一個假冒的ARP響應，告訴主機A：主機B的IP地址對應的MAC地址是00-aa-00-62-c6-03，主機A將會信以為真，它會將這個ip和mac地址的對應編入自己的ARP緩存表中，再發(fā)送數(shù)據(jù)時，本來會發(fā)送給主機B的數(shù)據(jù)就會發(fā)給攻擊的人。同樣的，攻擊者向主機B也發(fā)送一個假冒的ARP響應，告訴主機B：主機A的IP地址對應的MAC地址是00-aa-00-62-c6-03，主機B也會將數(shù)據(jù)發(fā)送給攻擊者。這樣一來的話我們就需要對802.1x協(xié)議進行配置了，才能盡量減少可能存在的那些arp攻擊。IEEE 802.1x是在端口的訪問控制協(xié)

29、議的基礎下設立的協(xié)議，對用戶的認證和授權操作就是由它來完成的。攻擊者需要進行身份認證的連接開關（與MAC VLAN，端口，帳號，密碼），只有通過認證的網(wǎng)絡數(shù)據(jù)傳輸。攻擊者可以不經(jīng)過授權就能向網(wǎng)絡發(fā)送假冒的ARP報文。如圖三圖三:在802.1x保護下的APR攻擊3.2.2網(wǎng)絡監(jiān)聽網(wǎng)絡監(jiān)控是一種工具，主要目的是監(jiān)視網(wǎng)絡的狀態(tài)，數(shù)據(jù)流和信息傳遞過程和網(wǎng)絡傳輸?shù)男畔?。它可以將網(wǎng)絡端口設置為監(jiān)聽模式，以此來截取網(wǎng)絡上所傳輸?shù)男畔?。對于企業(yè)危險的是當駭客侵入之后，并且取得了超級用戶權限，使用網(wǎng)絡監(jiān)聽便能非常容易的獲得用戶的賬號密碼信息，導致非常大的損失。3.2.3蠕蟲病毒10蠕蟲病毒也是病毒，所以與其他電

30、腦病毒具有一定的同性，通過感染系統(tǒng)重要文件來篡改文件代碼，改變電腦系統(tǒng)、網(wǎng)絡設置以此方式來造成損失。蠕蟲病毒入侵過程一般情況下蠕蟲病毒的攻擊分為三步進行，分別是：掃描：在計算機上存在的漏洞會被蠕蟲帶有的掃描模組掃描到。只要預定程序向一個計算機發(fā)送檢測漏洞的信息并且收到存在的反饋信息后，就相當于一個可傳播的對象產(chǎn)生了。攻擊：步驟一中的對象會被按照預定步驟被蠕蟲病毒的攻擊功能襲擊，可以得到這個計算機的權限（一般情況下是管理員權限），獲得一個shell。復制：簡單來說就是當老主機和新主機有任何互動的行為，蠕蟲病毒就會自動復制進入新主機達到傳播的目的。3.3來自外部網(wǎng)絡攻擊分析3.3.1Dos攻擊Do

31、S是Denial of Service的簡稱，是一個拒絕服務，它雖然看似簡單，但實際上產(chǎn)生的危害很大，因為他會阻止計算機或著網(wǎng)絡提供正常有效的服務。最簡單的Dos攻擊非常容易實現(xiàn)，在Dos界面下，當兩臺電腦能夠ping通的時候，不斷的ping對方的ip地址，不斷的發(fā)送數(shù)據(jù)包，這時對方電腦的網(wǎng)絡就會阻塞從而導致其他數(shù)據(jù)包發(fā)送的信息無法送達。Dos攻擊非常實用的一點就是不需要收到來自受害計算機的回應，它只是單方面的發(fā)送很多無用的請求，因此很多的源ip地址都是偽造的，所以很多時候Dos攻擊防不勝防，唯一有效的打擊途徑就是找出源ip對攻擊者的身份和地址詳查來打擊Dos攻擊。3.3.2SYNflood攻

32、擊如果發(fā)生了一次標準的TCP連接，那么會產(chǎn)生一個需要三次握手的方式。第一是要求方發(fā)送一個SYN消息，另一方收到SYN后，會向要求方發(fā)送一個回應示意確認，當要求方收到這個回應后，會又一次向服務方發(fā)送一個回應ack消息，那就表示這一次TCP連接建立成功?！癝YNFlooding”則不同，是只當TCP協(xié)議棧在兩臺計算機之間第一次連接握手的過程進行DoS攻擊，它只會在進攻時間的兩個步驟：一是當服務回執(zhí)要求SYN-ACK確認消息，請求方將使用源地址欺騙等方式使服務不接收響應ACK，這樣的話服務方會在一段時間內(nèi)都會在等候接收要求方ACK消息的狀態(tài)。另一方面TCP連接對一臺服務器的連接狀態(tài)是有限的，因為它們

33、在建立連接的時候沒有太多的內(nèi)存緩沖區(qū)，如果這一緩沖區(qū)全都是無效的連接的信息，這個服務器就不會對接下來的連接請求產(chǎn)生回應，直到緩沖區(qū)里的連接企圖超時。當攻擊者不斷發(fā)送連接請求，服務器將使用TCP連接隊列產(chǎn)生相當大的擁堵，可用資源的快速減少，網(wǎng)絡可用帶寬的迅速萎縮，所以，只有小部分的用戶請求能夠通過應答，因為帶寬已經(jīng)幾乎被無效的請求占滿了，服務器就不能向廣大用戶提供有效，安全的服務了。3.3.3Port Scan Attack(端口掃描攻擊)在時間的源IP地址已經(jīng)設置（默認值是5000微秒）到相同的目的地IP地址位于10個不同的端口密封包裝，端口掃描攻擊將產(chǎn)生。這個方式的目的是檢索可用的服務，如果

34、有一個端口響應，那么就能找出出作為目標的服務。在內(nèi)部記錄從一個源位置檢索不同的端口號的防火墻。運用默認配置，當遠端主機在極短時間（大約0.005秒）掃描了十個不同的port（端口）。防火墻把這個事件記錄為port（端口）的掃描攻擊，而且會否定這一秒剩下的時間內(nèi)從這個原地址發(fā)來的其他封包。3.3.4ICMP Flood(UDP泛濫)ICMP也是TCP/IP協(xié)議簇中的一員，控制報文協(xié)議，它被用在在計算機和路由器中間傳導用于控制路由的信息?？刂菩畔⒋眍愃朴诰W(wǎng)絡的通常度，主機能否達到，消息在網(wǎng)絡中是否可用。類似這類消息就是我們所說的控制消息了，它不會對用戶的數(shù)據(jù)產(chǎn)生影響，但對于用戶傳遞數(shù)據(jù)來說是非常

35、有用的。這是一個ICMP洪水攻擊，發(fā)送超過65535字節(jié)的包的目標，使目標主機癱瘓，如果大量發(fā)送成為洪水攻擊3.3.5端口掃描當有人發(fā)送一組端口掃描信息的時候，那就要小心了，可能是某些人想要入侵你的網(wǎng)絡了。端口掃描實際上是在探測端口的弱點，通過找出這些弱點來入侵計算機。掃描器是一種程序，用于找到其他計算機或者本機的安全弱點，運行掃描器的話能夠不留下痕跡的找到遠端服務設備的各個TCP端口的分配方式和提供的服務和它們的軟件版本，這樣的話能有效幫助我們知道那些遠程計算機存在有哪些需要重視的安全方面的問題。4防火墻在企業(yè)中的應用配置4.1配置防火墻時需注意的問題4.1.1防火墻應安全可靠首先防火墻本身

36、需要具有強大的防攻擊免疫力，這一點非常重要，自身非常難于攻破，否則一切都是空話。正如它本身的字面意思一樣，它就是一面墻，一面在網(wǎng)絡與網(wǎng)絡之間，網(wǎng)絡與用戶之間的墻，保護從網(wǎng)絡到網(wǎng)絡，網(wǎng)絡到用戶的數(shù)據(jù)安全可靠，不被侵犯。因此，防火墻本身一定要具有這種強大的免疫力。4.1.2防火墻應性能穩(wěn)定企業(yè)在選購防火墻的時候一定要注意購買信得過的大廠商，他們出產(chǎn)的產(chǎn)品不僅質(zhì)量可靠，而且售后方面也很讓人省心，如思科、華為等廠商的產(chǎn)品。4.1.3防火墻配置與管理方便防火墻的配置流程盡量簡單，方便管理員配置，方便網(wǎng)絡出錯時查找出問題根源。而管理也盡量簡化，免得給管理員增添多余負擔。4.1.4防火墻要具有可升級與可擴展

37、性因為防火墻本質(zhì)上來講也是硬件服務器，因此可升級與可擴展性就非常的重要了，隨著企業(yè)的一步步壯大，需要防火墻做的處理也會越來越多，因此，留下足夠的空間擴大，以適應未來變化的安全需求的快速發(fā)展，支持服務和新功能。4.1.5防火墻要有病毒防護功能防火墻應能防止網(wǎng)絡病毒的傳播，比等待更有效的其他攻擊的到來，因為最好的防御就是攻擊。4.2防火墻應用配置4.2.1E-mail電子郵件服務電子郵件是一種廣泛使用的服務，讓我們利用互聯(lián)網(wǎng)服務非常方便，但是給我們帶來便利的同時，也不可避免地產(chǎn)生一些麻煩。其中往往是Sendmail程序和SMTP協(xié)議帶來的問題。為了解決這個問題，防火墻中必須要安裝有SMAP和SMA

38、PD這兩個協(xié)議程序來達到減少Sendmail的權利，通過控制一些SMTP的功能來減少命令，優(yōu)化處理過程。4.2.2Telnet服務Telnet服務主要用于訪問論壇站點和實行遠程調(diào)用。而問題就在于訪問時口令的驗證基本上都是明文驗證。這樣的話就會產(chǎn)生監(jiān)聽的問題，因此在配置防火墻時需要配置內(nèi)部的用戶可以訪問出站的Telnet服務，而入站的Telnet服務不能訪問自己的站點，被嚴格的控制起來。4.2.3WWW服務WWW服務這種方便強大的圖形交互頁面訪問服務已經(jīng)被全世界認可，但是也存在著一定的安全隱患。第一個就是HTTP協(xié)議，它允許遠程用戶對遠程服務器請求通信及遠程執(zhí)行命令，這樣Web服務器和用戶就處在

39、了危險的地步。另一個問題就是服務器日志，在Web服務器上會對所有使用者的數(shù)據(jù)以及要求信息進行收錄，如果HTTP不對這些要求設置一些限制，這樣會帶來一系列比較麻煩的問題。不過也不用擔心，我們可以使用防火墻設置代理服務器和加密通信來解決了。4.2.4FTP服務FTP下載服務的安全性也是非常重要的一環(huán)，很大程度上，F(xiàn)TP的安全性依靠于身份認證是否強大上。首先，匿名的用戶不應該具有任何特殊的權限，否則會導致不可估計的錯誤，并且要保證FTP的根目錄訪問權限被設置為了555（read notwrite execute），把文件持有者的設置設置為ROOT來保證權限。4.3簡單的防火墻配置命令4.3.1激活

40、我們使用enable命令來啟用這個以太端口，輸入configure來進入這個模式 enable Password: #config t (config)#interface ethernet0 auto (config)#interface ethernet1 auto 大多數(shù)情況下“以太”0代表的是外部的網(wǎng)卡outside, “以太”1代表的是內(nèi)部的網(wǎng)卡inside,Inside是在配置出廠設置時就會被配置成功并且產(chǎn)生作用的，不過outside需要用代碼的方式設置啟動。4.3.2命名端口 外部端口outside擁有的頂級安全級別即Security0security100表示inside的安全

41、級別,當其中仍存在其他以太端口，那么就用security10，security20等等來為它取名，多個網(wǎng)卡組成多個網(wǎng)絡，如果你需要添加一個以太網(wǎng)端口，然后把它作為一個DMZ（非軍事區(qū)的非軍事區(qū)）。4.3.3配置地址 采用命令為：ip address4.3.4配置遠程 在大多數(shù)情況之下，telnet是不能在PIX的端口上面成功運行的，就這個方面來說它和路由器是不同的。內(nèi)部端口可以遠程登錄可以使用外部端口，但也有一些安全相關的配置。 (config)#telnet inside (config)#telnet 255.25

42、5.255.0 outside 測試telnet 在開始-運行 telnet PIX passwd:輸入密碼：cisco4.3.5訪問列表 這個功用與思科iOS基本相似，這是防火墻的主要組成部分，許可和拒絕兩功能，其中的協(xié)議包含IP，TCP，UDP，ICMP這些，就像：只有:54的www是能夠被訪問的,端口號是：八十4.3.6地址轉(zhuǎn)換 NAT跟路由器基本是一樣的， 防火墻的操作呢就是首先要自己創(chuàng)立一個庫，全部存放ip地址，然后通過這個庫中的地址來進行地址的轉(zhuǎn)換，實際上也是內(nèi)部的一個轉(zhuǎn)換。 (config)#global (outside) 1 22

43、00-00 netmask (config)#nat (inside) 1 如果所有的內(nèi)部地址可以轉(zhuǎn)換了： (config)#nat (inside) 1 但是在一些情況中，一些計算機必須要在外部地址十分稀少的時候利用一個獨立的IP地址，這樣的話亟待討論的是某外部IP(01),那么就要設置好一條命令，我們叫它（PAT），這樣處理的話用戶們就能更加有效的共用一個IP地址了,類似于代理服務器的部分功能。配置如下： (confi

44、g)#global (outside) 1 00-00 netmask (config)#global (outside) 1 01 netmask (config)#nat (inside) 1 4.3.7DHCP 因為要更加有效的利用以及方便的管理在數(shù)量上不多的IP地址，我們在內(nèi)網(wǎng)中都會使用動態(tài)主機分配IP地址服務器（DHCP Server），思科防火墻PIX都能使用這能力，以下的就是一個容易設立的DHCP 服務器,地址段為00192.1