網(wǎng)絡(luò)防火墻的分類及應(yīng)用方案

1、網(wǎng)絡(luò)防火墻的分類及應(yīng)用方案系別：信息工程系統(tǒng) 專業(yè)：網(wǎng)絡(luò)技術(shù)專業(yè) 班級(jí)：網(wǎng)絡(luò)二班姓名：武連玲學(xué)號(hào)：0903032209 指導(dǎo)教師：呂秀鑒日期：2011年10月31日星期一- 1 -目錄緒論 . - 3 -1.防火墻的概念 . - 3 -1.1 什么是防火墻 . - 3 -1.2 防火墻的原理 . - 4 -2防火墻的分類 . - 5 -2.1基礎(chǔ)和分類 . - 5 -2.2包過(guò)濾防火墻 . - 5 -2.3動(dòng)態(tài)包過(guò)濾防火墻 . - 6 -2.4 代理（應(yīng)用層網(wǎng)關(guān)）防火墻 . - 7 -2.5 自適應(yīng)代理防火墻 . - 7 -3防火墻的安全策略 . - 7 -3.1校校園網(wǎng)防火墻網(wǎng)絡(luò)安全策略 .

2、 - 7 -3.2防火墻的基本配置 . - 9 -4防火墻的功能配置 . - 12 -4.1基于內(nèi)網(wǎng)的防火墻功能及配置 . - 12 -5.外網(wǎng)防火墻功能配置 . - 14 -5.1 基于外網(wǎng)的防火墻功能及配置 . - 14 -緒論隨著計(jì)算機(jī)技術(shù)應(yīng)用的普及，各個(gè)組織機(jī)構(gòu)的運(yùn)行越來(lái)越依賴和離不開計(jì)算機(jī)，各種業(yè)務(wù)的運(yùn)行架構(gòu)于現(xiàn)代化的網(wǎng)絡(luò)環(huán)境中。企業(yè)計(jì)算機(jī)系統(tǒng)作為信息化程度較高、計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用情況比較先進(jìn)的一個(gè)特殊系統(tǒng)，其業(yè)務(wù)也同樣地越來(lái)越依賴于計(jì)算機(jī)。保證業(yè)務(wù)系統(tǒng)和工作的正常、可靠和安全地進(jìn)行是信息系統(tǒng)工作的一個(gè)重要話題。但是由于計(jì)算機(jī)系統(tǒng)的安全威脅，給組織機(jī)構(gòu)帶來(lái)了重大的經(jīng)濟(jì)損失，這種損失可分為

3、直接損失和間接損失：直接損失是由此而帶來(lái)的經(jīng)濟(jì)損失，間接損失是由于安全而導(dǎo)致工作效率降低、機(jī)密情報(bào)數(shù)據(jù)泄露、系統(tǒng)不正常、修復(fù)系統(tǒng)而導(dǎo)致工作無(wú)法進(jìn)行等。間接損失往往是很難以數(shù)字來(lái)衡量的。在所有計(jì)算機(jī)安全威脅中，外部入侵和非法訪問(wèn)是最為嚴(yán)重的事。在網(wǎng)絡(luò)安全防范中，防火墻具有不可或缺的地位。防火墻技術(shù)是在安全技術(shù)當(dāng)中又是最簡(jiǎn)單，也是最有效的解決方案。它不僅過(guò)濾了來(lái)自外部的探測(cè)、掃描、拒絕服務(wù)等攻擊,還能避免內(nèi)網(wǎng)已中木馬的主機(jī)系統(tǒng)信息泄露。本論文在詳細(xì)分析防火墻工作原理的基礎(chǔ)上，提出一個(gè)功能較為完備、性能較好、防火墻系統(tǒng)的本身也較為安全的防火墻系統(tǒng)的設(shè)計(jì)方案，同時(shí)介紹了具體實(shí)現(xiàn)過(guò)程中的關(guān)鍵步驟和主要方

4、法。該防火墻在通常的包過(guò)濾防火墻基礎(chǔ)之上，又增加了MAC地址綁定和端口映射等功能，使之具有更完備、更實(shí)用、更穩(wěn)固的特點(diǎn)。通過(guò)對(duì)于具有上述特點(diǎn)的防火墻的配置與測(cè)試工作，一方面使得所設(shè)計(jì)的防火墻系統(tǒng)本身具有高效、安全、實(shí)用的特點(diǎn)，另一方面也對(duì)今后在此基礎(chǔ)上繼續(xù)測(cè)試其它網(wǎng)絡(luò)產(chǎn)品作好了一系列比較全面的準(zhǔn)備工作。關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；校園網(wǎng)1.防火墻的概念1.1 什么是防火墻防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻

5、擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。- 3 -防火墻原是設(shè)計(jì)用來(lái)防止火災(zāi)從建筑物的一部分傳播到另一部分的設(shè)施。從理論上講，Internet防火墻服務(wù)也有類似目的，它防止Internet（或外部網(wǎng)絡(luò)）上的危險(xiǎn)（病毒、資源盜用等）傳播到網(wǎng)絡(luò)內(nèi)部。Internet（或外部網(wǎng)絡(luò)）防火墻服務(wù)于多個(gè)目的：1、限制人們從一個(gè)特別的控制點(diǎn)進(jìn)入；2、防止入侵者接近你的其它防御設(shè)施；3、限定人們從一個(gè)特別的點(diǎn)離開；4、有效地阻止破壞者對(duì)你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。1.2 防火墻的原理隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和開放性的增強(qiáng)，網(wǎng)絡(luò)上的很多敏感信息和保密數(shù)據(jù)將受到很多主動(dòng)和被動(dòng)的人為攻擊。一種解決辦法是為

6、需要保護(hù)的網(wǎng)絡(luò)上的每個(gè)工作站和服務(wù)器裝備上強(qiáng)大的安全特征(例如入侵檢測(cè))，但這幾乎是一種不切合實(shí)際的方法，因?yàn)閷?duì)具有幾百個(gè)甚至上千個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)，它們可能運(yùn)行著不同的操作系統(tǒng)，當(dāng)發(fā)現(xiàn)了安全缺陷時(shí)，每個(gè)可能被影響的節(jié)點(diǎn)都必須加以改進(jìn)以修復(fù)這個(gè)缺陷。另一種選擇就是防火墻 (Firewall)，防火墻是用來(lái)在安全私有網(wǎng)絡(luò)(可信任網(wǎng)絡(luò))和外部不可信任網(wǎng)絡(luò)之間安全連接的一個(gè)設(shè)備或一組設(shè)備，作為私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間連接的單點(diǎn)存在。防火墻是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間的一道屏障，它可以實(shí)施比較廣泛的安全策略來(lái)控制信息流，防止不可預(yù)料的潛在的入侵破壞. DMZ外網(wǎng)和內(nèi)部局域網(wǎng)的防火墻系統(tǒng)。-

7、 4 -圖1-2-12防火墻的分類2.1基礎(chǔ)和分類從防火墻的防范方式和側(cè)重點(diǎn)的不同來(lái)看，防火墻可以分為很多類型，但是根據(jù)防火墻對(duì)內(nèi)外來(lái)往數(shù)據(jù)處理方法，大致可將防火墻分為兩大體系：包過(guò)濾防火墻和代理防火墻。包過(guò)濾防火墻經(jīng)歷了兩代：2.2包過(guò)濾防火墻靜態(tài)包過(guò)濾防火墻采用的是一個(gè)都不放過(guò)的原則。它會(huì)檢查所有通過(guò)信息包里的IP地址號(hào)，端口號(hào)及其它的包頭信息，并根據(jù)系統(tǒng)管理員給定的過(guò)濾規(guī)則和準(zhǔn)備過(guò)濾的信息包一一匹配，其中：如果信息包中存在一點(diǎn)與過(guò)濾規(guī)則不符合，那么這個(gè)信息包里所有的信息都會(huì)被防火墻屏蔽掉，這個(gè)信息包就不會(huì)通過(guò)防火墻。相反的，如果每條規(guī)都和過(guò)濾規(guī)則相匹配，那么信息包就允許通過(guò)。靜態(tài)包的過(guò)濾

8、原理就是：將信息分成若干個(gè)小數(shù)據(jù)片（數(shù)據(jù)包），確認(rèn)符合防火墻的包過(guò)濾規(guī)則后，把這些個(gè)小數(shù)據(jù)片按順序發(fā)送，接收到這些小數(shù)據(jù)片后再把它們組織成一個(gè)完整的信息這個(gè)就是包過(guò)濾的原理。這種靜態(tài)包過(guò)濾防火墻，對(duì)用戶是透明的，它不需要用戶的用戶名和密碼就可以登錄，它的速度快，也易于維護(hù)。但由于用戶的使用記錄沒有記載，如果有不懷好意的人進(jìn)行攻擊的話，我們即不能從訪問(wèn)記錄中得到它的攻擊記錄，也無(wú)法得知它的來(lái)源。而一個(gè)單純的包過(guò)濾的防火墻的防御能力是非常弱的，對(duì)于惡意的攻擊者來(lái)說(shuō)是攻破它是非常容易的。其中“信息包沖擊”是攻擊者最常用的攻擊手段：主要是攻擊者對(duì)包過(guò)濾防火墻發(fā)出一系列地址被替換成一連串順序IP地址的信

9、息包，一旦有一個(gè)包通過(guò)了防火墻，那么攻擊者停止再發(fā)測(cè)試IP地址的信息包，用這個(gè)成功發(fā)送的地址來(lái)偽裝他們所發(fā)出的對(duì)內(nèi)部網(wǎng)有攻擊性的信息。- 5 -圖2-2-12.3動(dòng)態(tài)包過(guò)濾防火墻靜態(tài)包過(guò)濾防火墻的缺點(diǎn)，動(dòng)態(tài)包過(guò)濾防火墻都可以避免。它采用的規(guī)則是發(fā)展為“包狀態(tài)檢測(cè)技術(shù)”的動(dòng)態(tài)設(shè)置包過(guò)濾規(guī)則。它可以根據(jù)需要?jiǎng)討B(tài)的在過(guò)濾原則中增加或更新條目，在這點(diǎn)上靜態(tài)防火墻是比不上它的，它主要對(duì)建立的每一個(gè)連接都進(jìn)行跟蹤。在這里我們了解的是代理防火墻。代理服務(wù)器型防火墻與包過(guò)濾防火墻不同之點(diǎn)在于，它的內(nèi)外網(wǎng)之間不存在直接的連接，一般由兩部分組成：服務(wù)器端程序和客戶端程序，其中客戶端程序通過(guò)中間節(jié)點(diǎn)與提供服務(wù)的服務(wù)

10、器連接。代理服務(wù)器型防火墻提供了日志和審記服務(wù)。圖2-2-3- 6 -2.4 代理（應(yīng)用層網(wǎng)關(guān)）防火墻這種防火墻被網(wǎng)絡(luò)安全專家認(rèn)為是最安全的防火墻，主要是因?yàn)閺膬?nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這樣的防火墻處理后，就像是源于防火墻外部網(wǎng)卡一樣，可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。由于內(nèi)外網(wǎng)的計(jì)算機(jī)對(duì)話機(jī)會(huì)根本沒有，從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi)部網(wǎng)。2.5 自適應(yīng)代理防火墻自適應(yīng)代理技術(shù)是商業(yè)應(yīng)用防火墻中實(shí)現(xiàn)的一種革命性技術(shù)。它結(jié)合了代理類型防火墻和包過(guò)濾防火墻的優(yōu)點(diǎn)，即保證了安全性又保持了高速度，同時(shí)它的性能也在代理防火墻的十倍以上，在一般的情況下，用戶更傾向于這種防火墻。圖2-2-23防火墻

11、的安全策略3.1校校園網(wǎng)防火墻網(wǎng)絡(luò)安全策略討論防火墻安全策略一般實(shí)施兩個(gè)基本設(shè)計(jì)方針之一：1拒絕訪問(wèn)除明確許可以外的任何一種服務(wù)，即拒絕一切未予特許的東西2允許訪問(wèn)除明確拒絕以外的任何一種服務(wù)，即允許一切未被特別拒絕的東西校園網(wǎng)防火墻的網(wǎng)絡(luò)安全策略采取第一種安全控制的方針，確定所有可以被提供的服務(wù)以及它們的安全特性，然后開放這些服務(wù)，并將所有其它未被列入的服務(wù)排斥在外，禁止訪問(wèn)。- 7 -校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D如圖4-1所示:圖3-1-1校園網(wǎng)網(wǎng)絡(luò)總拓?fù)浣Y(jié)構(gòu)圖在實(shí)際應(yīng)用環(huán)境中，一般情況下防火墻網(wǎng)絡(luò)可劃分為三個(gè)不同級(jí)別的安全區(qū)域：內(nèi)部網(wǎng)絡(luò)：這是防火墻要保護(hù)的對(duì)象，包括全部的內(nèi)部網(wǎng)絡(luò)設(shè)備及用戶主機(jī)。

12、這個(gè)區(qū)域是防火墻的可信區(qū)域(這是由傳統(tǒng)邊界防火墻的設(shè)計(jì)理念決定的)。外部網(wǎng)絡(luò)：這是防火墻要防護(hù)的對(duì)象，包括外部網(wǎng)主機(jī)和設(shè)備。這個(gè)區(qū)域?yàn)榉阑饓Φ姆强尚啪W(wǎng)絡(luò)區(qū)域(也是由傳統(tǒng)邊界防火墻的設(shè)計(jì)理念決定的)。DMZ(非軍事區(qū))：它是從內(nèi)部網(wǎng)絡(luò)中劃分的一個(gè)小區(qū)域，在其中就包括內(nèi)部網(wǎng)絡(luò)中用于公眾服務(wù)的外部服務(wù)器，如Web服務(wù)器、郵件服務(wù)器、DNS服務(wù)器等，它們都是為互聯(lián)網(wǎng)提供某種信息服務(wù)。在以上三個(gè)區(qū)域中，用戶需要對(duì)不同的安全區(qū)域制訂不同的安全策略。雖然內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)都屬于內(nèi)部網(wǎng)絡(luò)的一部分，但它們的安全級(jí)別(策略)是不同的。對(duì)于要保護(hù)的大部分內(nèi)部網(wǎng)絡(luò)，一般情況下禁止所有來(lái)自互聯(lián)網(wǎng)用戶的訪問(wèn)；而由內(nèi)部網(wǎng)絡(luò)

13、劃分出去的DMZ區(qū)，因需為互聯(lián)網(wǎng)應(yīng)用提供相關(guān)的服務(wù)，這些服務(wù)器上所安裝的服務(wù)非常少，所允許的權(quán)限非常低，真正有服務(wù)器數(shù)據(jù)是在受保護(hù)的內(nèi)部網(wǎng)絡(luò)主機(jī)上，所以黑客攻擊這些服務(wù)器沒有任何意義，既不能獲取什么有用的信息，也不能通過(guò)攻擊它而獲得過(guò)高的網(wǎng)絡(luò)訪問(wèn)權(quán)限。通過(guò)NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)將受保護(hù)的內(nèi)部網(wǎng)絡(luò)的全部主機(jī)地址映射成防火墻上設(shè)置的少數(shù)幾個(gè)有效公網(wǎng)IP地址。這樣可以對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)構(gòu)和IP地址，保護(hù)內(nèi)部網(wǎng)絡(luò)的 - 8 -安全；同時(shí)因?yàn)槭枪W(wǎng)IP地址共享，所以可以大大節(jié)省公網(wǎng)IP地址的使用。在這種應(yīng)用環(huán)境中，在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上校園網(wǎng)可以有兩種選擇，這主要是根擁有網(wǎng)絡(luò)設(shè)備情況而定。如果原來(lái)已有邊界路

14、由器，則此可充分利用原有設(shè)備，利用邊界路由器的包過(guò)濾功能，添加相應(yīng)的防火墻配置，這樣原來(lái)的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接。對(duì)于DMZ區(qū)中的公用服務(wù)器，則可直接與邊界路由器相連，不用經(jīng)過(guò)防火墻。它可只經(jīng)過(guò)路由器的簡(jiǎn)單防護(hù)。在此拓?fù)浣Y(jié)構(gòu)中，邊界路由器與防火墻就一起組成了兩道安全防線，并且在這兩者之間可以設(shè)置一個(gè)DMZ區(qū)，用來(lái)放置那些允許外部用戶訪問(wèn)的公用服務(wù)器設(shè)施。依照學(xué)院的網(wǎng)絡(luò)拓?fù)鋵⒕W(wǎng)絡(luò)劃分成三個(gè)部份，如圖4-2所示：外網(wǎng)、DMZ區(qū)和內(nèi)部網(wǎng)絡(luò)。外網(wǎng)與Internet相連；DMZ放置各種應(yīng)用服務(wù)器；內(nèi)部網(wǎng)絡(luò)連接校內(nèi)用戶；圖3-1-2學(xué)院防火墻結(jié)構(gòu)圖應(yīng)用服務(wù)當(dāng)中

15、EMAIL、DNS和WWW服務(wù)需要外網(wǎng)能夠訪問(wèn)，因此將這些服務(wù)規(guī)劃到DMZ區(qū)。3.2防火墻的基本配置學(xué)院采用的是防火墻，它的初始配置也是通過(guò)控制端口（Console）與PC機(jī)的串口連接，再通過(guò)超級(jí)終端（HyperTerminal）程序進(jìn)行選項(xiàng)配置。也可以通過(guò)telnet和Tffp配置方式進(jìn)行高級(jí)配置，但必需先由Console將防火墻的這些功能打開。NETSCREEN防火墻有四種用戶配置模式，即：普通模式（Unprivilegedmode）、特權(quán)模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode）。顯示基本信息：net

16、screenget syst（得到系統(tǒng)信息）- 9 -netscreenget config（得到config信息）netscreenget log event（得到日志）netscreenset ffiliter?（設(shè)置過(guò)濾器）netscreendebug flow basic是開啟基本的debug功能netscreenclear db是清除debug的緩沖區(qū)netscreenget dbuf stream就可以看到debug的信息了性能問(wèn)題需收集下列信息：得到下列信息前，請(qǐng)不要重新啟動(dòng)機(jī)器，否則信息都會(huì)丟失，無(wú)法判定問(wèn)題所在。netscreenGet per cpu detail（得到CP

17、U使用率）netscreenGet session info（得到會(huì)話信息）netscreenGet per session detail（得到會(huì)話詳細(xì)信息）netscreenGet mac-learn（透明方式下使用，獲取MAC硬件地址）netscreenGet alarm event（得到告警日志）netscreenGet log system（得到系統(tǒng)日志信息）netscreenGet log system saved（得到系統(tǒng)出錯(cuò)后，系統(tǒng)自動(dòng)記錄信息，該記錄重啟后不會(huì)丟失。設(shè)置接口-帶寬,網(wǎng)關(guān)設(shè)置所指定的各個(gè)端口的帶寬速率,單位為kb/sSet interface interface

18、bandwidth numberunset interface interface bandwidth設(shè)置接口的網(wǎng)關(guān)set interface interface gateway ip_addrunset interface interface gateway設(shè)置接口的接口的區(qū)域,IP地址zone就是網(wǎng)絡(luò)邏輯上劃分成區(qū),可以在安全區(qū)或安全區(qū)內(nèi)部設(shè)置接口的接口的區(qū)域set interface interface zone zone- 10 -unset interface interface zone設(shè)置接口的IP地址set interface interface ip ip_addr/mask

19、set interface interface ip unnumbered interface interface2unset interface interface ip ip_addrset interface interface manageident-reset|nsmgmt|ping|snmp|ssh|ssl|telnet|webuiunset interface interface manageident-reset|nsmgmt|ping|snmp|ssh|telnet|webuiWebUI：允許接口通過(guò)Web用戶界面(WebUI)接收HTTP管理信息流。Telnet:選擇此選項(xiàng)

20、可啟用Telnet管理功能。SSH:可使用“安全命令外殼”(SSH)通過(guò)以太網(wǎng)連接或撥號(hào)調(diào)制解調(diào)器管理NetScreen設(shè)備。必須具有與SSH協(xié)議版本1.5兼容的SSH客戶端。選擇此選項(xiàng)可啟用SSH管理功能。SNMP:選擇此選項(xiàng)可啟用SNMP管理功能。SSL:選擇此選項(xiàng)將允許接口通過(guò)WebUI接收NetScreen設(shè)備的HTTPS安全管理信息流。 NS Security Manager:選擇此選項(xiàng)將允許接口接收NetScreen-SecurityManager信息流。Ping:選此選項(xiàng)將允許NetScreen設(shè)備響應(yīng)ICMP回應(yīng)請(qǐng)求，以確定是否可通過(guò)網(wǎng)絡(luò)訪問(wèn)特定的IP地址。Ident-Rese

21、t:與“郵件”或FTP發(fā)送標(biāo)識(shí)請(qǐng)求相類似的服務(wù)。如果它們未收到確認(rèn)，會(huì)再次發(fā)送請(qǐng)求。處理請(qǐng)求期間禁止用戶訪問(wèn)。啟用Ident-reset選項(xiàng)后，NetScreen設(shè)備將發(fā)送TCP重置通知以響應(yīng)發(fā)往端口113的IDENT請(qǐng)求，然后恢復(fù)因未確認(rèn)標(biāo)識(shí)請(qǐng)求而被阻止的訪問(wèn)。指定允許進(jìn)行管理的ip地址set interface interface manage-ip ip_addrunset interface interface manage-ip添加只讀權(quán)限管理員set admin user Roger password 2bd21wG7 privilege read-only修改帳戶為可讀寫權(quán)限-

22、11 -unset admin user Rogerset admin user Roger password 2bd21wG7 privilege all刪除用戶unset admin user Roger清除所有會(huì)話,并注銷帳戶clear admin name Roger4防火墻的功能配置4.1基于內(nèi)網(wǎng)的防火墻功能及配置如果在一個(gè)局域網(wǎng)內(nèi)部允許Host A上網(wǎng)而不允許Host B上網(wǎng)，則有一種方式可以欺騙防火墻進(jìn)行上網(wǎng)，就是在HostA還沒有開機(jī)的時(shí)候，將HostB的IP地址換成Host A的IP地址就可以上網(wǎng)了。那么針對(duì)IP欺騙的行為，解決方法是將工作站的IP地址與網(wǎng)卡的MAC地址進(jìn)行綁

23、定，這樣再改換IP地址就不行了，除非將網(wǎng)卡和IP地址都換過(guò)來(lái)才行，所以將IP地址與MAC地址進(jìn)行綁定，可以防止內(nèi)部的IP盜用。但是這種綁定只適合與防火墻同網(wǎng)段的節(jié)點(diǎn)，如果其他網(wǎng)段的節(jié)點(diǎn)通過(guò)防火墻進(jìn)行訪問(wèn)時(shí)，通過(guò)網(wǎng)段的源IP地址與目的IP地址是不同的，無(wú)法實(shí)現(xiàn)IP地址與MAC的綁定。但是可以通過(guò)IP地址與用戶的綁定，因?yàn)橛脩羰强梢钥缇W(wǎng)段的。另外對(duì)DHCP用戶的支持，如果在用DHCP服務(wù)器來(lái)動(dòng)態(tài)分配IP地址的網(wǎng)絡(luò)中，主機(jī)沒有固定的IP地址，如何解決這樣的問(wèn)題呢？目前主要有兩種方式可以解決這個(gè)問(wèn)題，第一種是在防火墻中內(nèi)置DHCP服務(wù)器，但這種方式由于防火墻內(nèi)置DHCP服務(wù)器，會(huì)導(dǎo)致防火墻本身的不安全

24、，如果有一天防火墻失效，造成DHCP服務(wù)器宕機(jī)會(huì)影響整個(gè)網(wǎng)絡(luò)而并不僅僅只對(duì)出口造成影響。另一種比較好的解決方法是防火墻支持基于MAC地址的訪問(wèn)控制，在配置之前，先不添IP地址只添網(wǎng)卡的MAC地址，開機(jī)后自動(dòng)將獲得的IP地址傳給防火墻，防火墻根據(jù)這個(gè)IP地址與MAC地址進(jìn)行綁定來(lái)實(shí)現(xiàn)訪問(wèn)控制，這種方式可以實(shí)現(xiàn)IP地址與MAC地址的綁定。這種方式的好處是防火墻受到破壞并不會(huì)對(duì)這個(gè)局域網(wǎng)的通訊產(chǎn)生影響，DHCP服務(wù)器不會(huì)受到影響，整個(gè)網(wǎng)絡(luò)也不需要進(jìn)行改動(dòng)。（用戶）綁定針對(duì)IP欺騙的行為，我校校園網(wǎng)網(wǎng)絡(luò)設(shè)置中將工作站的IP地址與網(wǎng)卡的MAC地址進(jìn)行綁定。- 12 -這樣再改換IP地址就不行了，除非將網(wǎng)

25、卡和IP地址都換過(guò)來(lái)才行，所以將IP地址與MAC地址進(jìn)行綁定，可以防止內(nèi)部的IP盜用。上面的綁定方式只適合與防火墻同網(wǎng)段的節(jié)點(diǎn)，如果其他網(wǎng)段的節(jié)點(diǎn)通過(guò)防火墻進(jìn)行訪問(wèn)時(shí)，通過(guò)網(wǎng)段的源IP地址與目的IP地址是不同的，無(wú)法實(shí)現(xiàn)IP地址與MAC的綁定。實(shí)現(xiàn)方法是通過(guò)IP地址與用戶的綁定，因?yàn)橛脩羰强梢钥缇W(wǎng)段的。另外對(duì)我校DHCP用戶的支持，如果在用DHCP服務(wù)器來(lái)動(dòng)態(tài)分配IP地址的網(wǎng)絡(luò)中，主機(jī)沒有固定的IP地址，解決方法是設(shè)置防火墻支持基于MAC地址的訪問(wèn)控制，在配置之前，先不添IP地址，只添加網(wǎng)卡的MAC地址，開機(jī)后自動(dòng)將獲得的IP地址傳給防火墻，防火墻根據(jù)這個(gè)IP地址與MAC地址進(jìn)行綁定來(lái)實(shí)現(xiàn)訪問(wèn)

26、控制，這種方式可以實(shí)現(xiàn)IP地址與MAC地址的綁定。這種方式的好處是防火墻受到破壞并不會(huì)對(duì)這個(gè)局域網(wǎng)的通訊產(chǎn)生影響，DHCP服務(wù)器不會(huì)受到影響，整個(gè)網(wǎng)絡(luò)也不需要進(jìn)行改動(dòng)。通過(guò)遠(yuǎn)程訪問(wèn)WEB服務(wù)器域名地址就可以訪問(wèn)到Web服務(wù)器的主頁(yè)，但這樣是直接對(duì)我的WEB服務(wù)器進(jìn)行訪問(wèn)和操作很不安全。如果有防火墻，可以把將WEB服務(wù)器的地址映射到防火墻的外端口地址，做完映射以后，這些服務(wù)器可以使用私有地址，或者這些地址不公開保護(hù)起來(lái)，對(duì)外公開的WEB服務(wù)器的地址是防火墻的外端口地址。因此，通過(guò)這種方式有兩個(gè)優(yōu)點(diǎn)，第一是這些服務(wù)器可以使用私有地址，同時(shí)也隱藏了內(nèi)網(wǎng)的結(jié)構(gòu)，如果這時(shí)黑客進(jìn)行攻擊，內(nèi)網(wǎng)是安全的，因?yàn)?/p>

27、Web服務(wù)器公開的地址是防火墻的外端口，真正的WEB服務(wù)器的地址不會(huì)受到攻擊，這樣可以增加網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)地址轉(zhuǎn)換可以將內(nèi)網(wǎng)的私有地址利用防火墻的地址轉(zhuǎn)換功能，來(lái)實(shí)現(xiàn)對(duì)地址的轉(zhuǎn)換，防火墻可以隨機(jī)設(shè)置靜態(tài)合發(fā)地址或者動(dòng)態(tài)地址池，防火墻向外的報(bào)文可以從地址池里隨機(jī)找一個(gè)報(bào)文轉(zhuǎn)發(fā)出來(lái)。利用這個(gè)方式也有兩個(gè)優(yōu)點(diǎn)：第一可隱藏內(nèi)網(wǎng)的結(jié)構(gòu)，第二是內(nèi)部網(wǎng)絡(luò)可以使用保留地址，提供IP復(fù)用功能。具體NAT功能配置如下：nat inside source list 22 pool pool1005.外網(wǎng)防火墻功能配置5.1 基于外網(wǎng)的防火墻功能及配置防范DOS攻擊的傳統(tǒng)技術(shù)主要有4種：加固操作系統(tǒng)，即配置操作系統(tǒng)

28、各種參數(shù)以加強(qiáng)系統(tǒng)穩(wěn)固性利用防火墻負(fù)載均衡技術(shù)，即把應(yīng)用業(yè)務(wù)分布到幾臺(tái)不同的服務(wù)器上帶寬限制和QOS保證本論文主要介紹利用防火墻來(lái)應(yīng)對(duì)DOS的攻擊。目前絕大數(shù)的主流防火墻都支持IPInspect功能，防火墻會(huì)對(duì)進(jìn)入防火墻的信息進(jìn)行嚴(yán)格的檢測(cè)。這樣，各種針對(duì)系統(tǒng)漏洞的攻擊包會(huì)自動(dòng)被系統(tǒng)過(guò)濾掉，從而保護(hù)了網(wǎng)絡(luò)免受來(lái)自外部的系統(tǒng)漏洞攻擊。通過(guò)設(shè)置ACL過(guò)濾、TCP監(jiān)聽功能，過(guò)濾不必要的UDP和ICMP數(shù)據(jù)報(bào)。防火墻的基本配置如下：firewall(config)#nameif fa0/1 inside security 100- 14 -firewall(config)#nameif fa0/2 i

29、nside security 100firewall(config)#nameif fa0/3 outside security 0firewall(config)#int fa0/1 autofirewall(config-if)#no shutdownfirewall(config-if)#int fa0/2 autofirewall(config-if)#no shutdownfirewall(config-if)#int fa0/3 autofirewall(config-if)#no shutdownfirewall(config-if)#exit由于我們經(jīng)常會(huì)開啟一些小服務(wù)，例如e

30、cho(回顯)端口和discard(丟棄)端口，用于診斷，回顯端口將重放那些端口所接受到的數(shù)據(jù)包，而丟棄端口則將數(shù)據(jù)包丟棄，由于丟棄數(shù)據(jù)包或回顯數(shù)據(jù)包都會(huì)消耗Pcu周期，一些DOS攻擊就采用這些端口。所以建議在防火墻接口上關(guān)閉這些服務(wù)firewall(config)#no service tcp-small-serversfirewall(config)#no service udp-small-serversfirewall(config)#no service finnerfirewall(config)#no ip directed-broadcast防火墻最基本的功能是訪問(wèn)控制功能，一個(gè)域的信息流穿過(guò)防火墻對(duì)另一個(gè)域進(jìn)行訪問(wèn)的時(shí)候，防火墻可以截獲信息并對(duì)信息進(jìn)行檢查，按著管理員設(shè)置的安全策略逐條進(jìn)行匹配，如果符合安全策略，則逐條進(jìn)行轉(zhuǎn)發(fā)；不符合則進(jìn)行堵斷。因此防火墻基本的