版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領
文檔簡介
-30-1概述中國經(jīng)濟的飛速發(fā)展,生活水平的提高,IT信息產(chǎn)業(yè)與我們的生活越來越密切,人們已經(jīng)生活在信息時代。計算機技術(shù)和網(wǎng)絡技術(shù)應用到社會的各個領域,因特網(wǎng)把“地球村”的居民緊密地連在了一起。近年來因特網(wǎng)的飛速發(fā)展,給人們的生活帶來了全新地感受,人類社會各種活動對信息網(wǎng)絡的依賴程度已經(jīng)越來越大。然而,人們在得益于信息所帶來的新的生活的改變以及生活質(zhì)量的提高機遇的同時,也不得不面對信息安全問題的嚴峻考驗。“黑客攻擊”網(wǎng)站被“黑”,“CIH病毒”無時無刻不充斥在網(wǎng)絡中?!半娮討?zhàn)”已成為國與國之間,商家與商家之間的一種重要的攻擊與防衛(wèi)手段。因此信息安全,網(wǎng)絡安全的問題已經(jīng)引起各國,各部門,各行各業(yè)以及每個計算機用戶的充分重視。因特網(wǎng)提供給人們的不僅僅是精彩,還無時無刻地存在各種各樣的危險和陷阱。對此,我們既不能對那些潛在的危險不予重視,遭受不必要的損失;也不能因為害怕某些危險而拒絕因特網(wǎng)的各種有益的服務,對個人來說這樣會失去了了解世界、展示自己的場所,對企業(yè)來說還失去了拓展業(yè)務、提高服務、增強競爭力的機會。只能通過不斷地提高網(wǎng)絡環(huán)境的安全才是行之有效的辦法。本文在導師的指導下,獨立完成了該防火墻系統(tǒng)方案的配置及安全性能的檢測工作。在詳細分析防火墻工作原理基礎上,針對廣大中小型企業(yè)防火墻的實際情況,提出了一個能夠充分發(fā)揮防火墻性能、提高防火墻系統(tǒng)的抗攻擊能力的防火墻系統(tǒng)配置方案,同時介紹了具體實現(xiàn)過程中的關鍵步驟和主要方法,并針對中小企業(yè)的防火墻系統(tǒng)模擬黑客進行攻擊,檢查防火墻的安全漏洞,并針對漏洞提供相應的解決方案。該防火墻在通常的包過濾防火墻基礎之上,又增加了MAC地址綁定、端口映射等特殊功能,使之具有鮮明的特點。通過對于具有上述特點的防火墻的研究、配置與測試工作,一方面使得中小企業(yè)防火墻系統(tǒng)本身具有高效、安全、實用的特點,另一方面在此基礎上對今后可能出現(xiàn)的新問題作好了一系列比較全面的準備工作。1.1課題意義安全是一個不容忽視的問題,當人們在享受網(wǎng)絡帶來的方便與快捷的同時,也要時時面對網(wǎng)絡開放帶來的數(shù)據(jù)安全方面的新挑戰(zhàn)和新危險。為了保障網(wǎng)絡安全,當局域網(wǎng)與外部網(wǎng)連接時,可以在中間加入一個或多個中介系統(tǒng),防止非法入侵者通過網(wǎng)絡進行攻擊,非法訪問,并提供數(shù)據(jù)可靠性、完整性以及保密性等方面的安全和審查控制,這些中間系統(tǒng)就是防火墻(Firewall)技術(shù)如圖1.1。圖1.1防火墻功能圖在此,我們主要研究如何構(gòu)建一個相對安全的計算機網(wǎng)絡平臺,使其免受外部網(wǎng)絡的攻擊,通過對典型中小企業(yè)網(wǎng)絡的安全性分析,提出一套適合中小企業(yè)應用的防火墻系統(tǒng),該系統(tǒng)應該具有可靠性、開放性、伸縮性、性價比較高等特點,經(jīng)過比較我們選用RouterOS做為中小企業(yè)防火墻平臺,通過在RouterOS上配置相應的策略,使其能夠?qū)崿F(xiàn)面向中小企業(yè)提供網(wǎng)絡安全服務的功能。
2企業(yè)網(wǎng)安全分析2.1中小企業(yè)網(wǎng)絡安全現(xiàn)狀在我國的工商領域,以中小企業(yè)為主,這些企業(yè)人數(shù)不是很多,少的可能只有十幾人,多的可能有好幾百。而這么多的中小型企業(yè),一方面,由于資金等問題沒有很好的設備去防范,而另一方面,可能就沒有這種防范的意識。所以它們成為黑客攻擊的主要目標。我們以某服裝廠為例,公司面積不是很大,有300人左右,有生活區(qū),生產(chǎn)區(qū)等,分為各個部門。公司網(wǎng)絡拓撲圖如圖2.1。在最外層有個路由器,在連接路由器與內(nèi)網(wǎng)之間是防火墻,公司網(wǎng)絡主要分為四大區(qū):管理區(qū),生產(chǎn)區(qū),宿舍區(qū)和服務器區(qū)。平時公司可以實現(xiàn)正常的上網(wǎng)功能,并且外網(wǎng)訪問也很正常。但是最近一段時間,公司內(nèi)部連互聯(lián)網(wǎng)的時候很卡,看視頻斷斷續(xù)續(xù),并且外網(wǎng)訪問公司網(wǎng)站打開網(wǎng)頁的時間很長。圖2.1某服裝廠網(wǎng)絡拓撲圖2.2.1ARP攻擊ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙,能夠在網(wǎng)絡中產(chǎn)生大量的ARP通信量使網(wǎng)絡阻塞,攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網(wǎng)絡中斷或中間人攻擊。ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡中,局域網(wǎng)中若有一臺計算機感染ARP木馬,則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡內(nèi)其它計算機的通信信息,并因此造成網(wǎng)內(nèi)其它計算機的通信故障。某機器A要向主機B發(fā)送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址后,就會進行數(shù)據(jù)傳輸。如果未找到,則廣播A一個ARP請求報文(攜帶主機A的IP地址IA——物理地址PA),請求IP地址為IB的主機B回答物理地址PB。網(wǎng)上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,于是向A主機發(fā)回一個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答后,就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)(由網(wǎng)卡附加MAC地址)。因此,本地高速緩存的這個ARP表是本地網(wǎng)絡流通的基礎,而且這個緩存是動態(tài)的。2.2.2網(wǎng)絡監(jiān)聽在網(wǎng)絡中,當信息進行傳播的時候,可以利用工具,將網(wǎng)絡接口設置在監(jiān)聽的模式,便可將網(wǎng)絡中正在傳播的信息截獲或者捕獲到,從而進行攻擊。網(wǎng)絡監(jiān)聽在網(wǎng)絡中的任何一個位置模式下都可實施。而黑客一般都是利用網(wǎng)絡監(jiān)聽來截取用戶口令。比如當有人占領了一臺主機之后,那么他要再想將戰(zhàn)果擴大到這個主機所在的整個局域網(wǎng)話,監(jiān)聽往往是他們選擇的捷徑。很多時候在各類安全論壇上看到一些初學的愛好者,在他們認為如果占領了某主機之后那么想進入它的內(nèi)部網(wǎng)應該是很簡單的。其實不是這樣,進入了某主機再想轉(zhuǎn)入它所在的內(nèi)部網(wǎng)絡里的其它機器也不是一件容易的事情。因為你除了要拿到他們的口令之外還有就是他們共享的絕對路徑,當然了,這個路徑的盡頭必須是有寫的權(quán)限了。在這個時候,運行已經(jīng)被控制的主機上的監(jiān)聽程序就會有大收獲。不過這是一件費神的事情,而且還需要當事者有足夠的耐心和應變能力。主要包括:數(shù)據(jù)幀的截獲對數(shù)據(jù)幀的分析歸類dos攻擊的檢測和預防IP冒用的檢測和攻擊在網(wǎng)絡檢測上的應用對垃圾郵件的初步過濾2.2.3蠕蟲病毒蠕蟲病毒攻擊原理蠕蟲也是一種病毒,因此具有病毒的共同特征。一般的病毒是需要寄生的,它可以通過自己指令的執(zhí)行,將自己的指令代碼寫到其他程序的體內(nèi),而被感染的文件就被為“宿主”,例如,windows下可執(zhí)行文件的格式為PE格式(PortableExecutable),當需要感染PE文件時,在宿主程序中,建立一個新節(jié),將病毒代碼寫到新節(jié)中,修改的程序入口點等,這樣,宿主程序執(zhí)行的時候,就可以先執(zhí)行病毒程序,病毒程序運行完之后,在把控制權(quán)交給宿主原來的程序指令??梢姡《局饕歉腥疚募?,當然也還有像DIRII這種鏈接型病毒,還有引導區(qū)病毒。引導區(qū)病毒他是感染磁盤的引導區(qū),如果是軟盤被感染,這張軟盤用在其他機器上后,同樣也會感染其他機器,所以傳播方式也是用軟盤等方式。蠕蟲病毒入侵過程蠕蟲病毒攻擊主要分成三步:①掃描:由蠕蟲的掃描功能模塊負責探測存在漏洞的主機。當程序向某個主機發(fā)送探測漏洞的信息并收到成功的反饋信息后,就得到一個可傳播的對象。②攻擊:攻擊模塊按漏洞攻擊步驟自動攻擊步驟1中找到的對象,取得該主機的權(quán)限(一般為管理員權(quán)限),獲得一個shell。③復制:復制模塊通過原主機和新主機的交互將蠕蟲程序復制到新主機并啟動。2.3企業(yè)受到外網(wǎng)攻擊分析2.3.1DoS攻擊DoS攻擊(DenialofService,簡稱DoS)即拒絕服務攻擊,是指攻擊者通過消耗受害網(wǎng)絡的帶寬,消耗受害主機的系統(tǒng)資源,發(fā)掘編程缺陷,提供虛假路由或DNS信息,使被攻擊目標不能正常工作。實施DoS攻擊的工具易得易用,而且效果明顯。一般的DoS攻擊是指一臺主機向目的主機發(fā)送攻擊分組(1:1),它的威力對于帶寬較寬的站點幾乎沒有影響;而分布式拒絕服務攻擊(DistributedDenialofService,簡稱DDoS)同時發(fā)動分布于全球的幾千臺主機對目的主機攻擊,即使對于帶寬較寬的站點也會產(chǎn)生致命的效果。隨著電子商業(yè)在電子經(jīng)濟中扮演越來越重要的角色,隨著信息戰(zhàn)在軍事領域應用的日益廣泛,持續(xù)的DoS攻擊既可能使某些機構(gòu)破產(chǎn),也可能使我們在信息戰(zhàn)中不戰(zhàn)而敗??梢院敛豢鋸埖卣f,電子恐怖活動的時代已經(jīng)來臨。DoS攻擊中,由于攻擊者不需要接收來自受害主機或網(wǎng)絡的回應,它的IP包的源地址就常常是偽造的。特別是對DDoS攻擊,最后實施攻擊的若干攻擊器本身就是受害者。若在防火墻中對這些攻擊器地址進行IP包過濾,則事實上造成了新的DoS攻擊。為有效地打擊攻擊者,必須設法追蹤到攻擊者的真實地址和身份。2.3.2SYNAttack(SYN攻擊)每一個TCP連接的建立都要經(jīng)過三次握手的過程:A向B發(fā)送SYN封包:B用SYN/ACK封包進行響應;然后A又用ACK封包進行響應。攻擊者用偽造的IP地址(不存在或不可到達的地址)發(fā)送大量的SYN封包至防火墻的某一接口,防火墻用SYN/ACK封包對這些地址進行響應,然后等待響應的ACK封包。因為SYN/ACK封包被發(fā)送到不存在或不可到達的IP地址,所以他們不會得到響應并最終超時。當網(wǎng)絡中充滿了無法完成的連接請求SYN封包,以至于網(wǎng)絡無法再處理合法的連接請求,從而導致拒絕服務(DoS)時,就發(fā)生了SYN泛濫攻擊。防火墻可以對每秒種允許通過防火墻的SYN封包數(shù)加以限制。當達到該臨界值時,防火墻開始代理進入的SYN封包,為主機發(fā)送SYN/ACK響應并將未完成的連接存儲在連接隊列中,未完成的連接保留在隊列中,直到連接完成或請求超時。2.3.3ICMPFlood(UDP泛濫)當ICMPPING產(chǎn)生的大量回應請求超出了系統(tǒng)最大限度,以至于系統(tǒng)耗費所有資源來進行響應直至再也無法處理有效的網(wǎng)絡信息流時,就發(fā)生了ICMP泛濫。當啟用ICMP泛濫保護功能時,可以設置一個臨界值,一旦超過了此值就會調(diào)用ICMP泛濫攻擊保護功能。(缺省的臨界值為每秒1000個封包。)如果超過了該臨界值。NETSCREEN設備在該秒余下的時間和下一秒內(nèi)會忽略其他的ICMP回應要求。2.3.4UDPFlood(UDP泛濫)與ICMP泛濫相似,當以減慢系統(tǒng)速度為目的向該點發(fā)送UDP封包,以至于系統(tǒng)再也無法處理有效的連接時,就發(fā)生了UDP泛濫,當啟用了UDP泛濫保護功能時,可以設置一個臨界值,一旦超過此臨界值就回調(diào)用UDP泛濫攻擊保護功能。如果從一個或多個源向單個目標發(fā)送的UDP泛濫攻擊超過了此臨界值,防火墻在該秒余下的時間和下一秒內(nèi)會忽略其他到該目標的UDP封包。2.3.5PortScanAttack(端口掃描攻擊)當一個源IP地址在定義的時間間隔內(nèi)(缺省值為5000微秒)向位于相同目標IP地址10個不同的端口發(fā)送IP封包時,就會發(fā)生端口掃描攻擊。這個方案的目的是掃描可用的服務,希望會有一個端口響應,因此識別出作為目標的服務。防火墻在內(nèi)部記錄從某一遠程源地點掃描不同端口的數(shù)目。使用缺省設置,如果遠程主機在0.005秒內(nèi)掃描了10個端口。防火墻會將這一情況標記為端口掃描攻擊,并在該秒余下的時間內(nèi)拒絕來自該源地址的其他封包。
3企業(yè)網(wǎng)防火墻的應用3.1網(wǎng)絡安全技術(shù)概述網(wǎng)絡安全技術(shù)指致力于解決諸如如何有效進行介入控制,以及何如保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段,主要包括物理安全分析技術(shù),網(wǎng)絡結(jié)構(gòu)安全分析技術(shù),系統(tǒng)安全分析技術(shù),管理安全分析技術(shù),及其它的安全服務和安全機制策略。網(wǎng)絡安全技術(shù)分為:虛擬網(wǎng)技術(shù)、防火墻枝術(shù)、病毒防護技術(shù)、入侵檢測技術(shù)、安全掃描技術(shù)、認證和數(shù)字簽名技術(shù)、VPN技術(shù)、以及應用系統(tǒng)的安全技術(shù)。其中虛擬網(wǎng)技術(shù)防止了大部分基于網(wǎng)絡監(jiān)聽的入侵手段。通過虛擬網(wǎng)設置的訪問控制,使在虛擬網(wǎng)外的網(wǎng)絡節(jié)點不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點。例如vlan,但是其安全漏洞相對更多,如IPsweep,teardrop,sync-flood,IPspoofing攻擊等。防火墻枝術(shù)是一種用來加強網(wǎng)絡之間訪問控制,防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡訪問內(nèi)部網(wǎng)絡資源,保護內(nèi)部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網(wǎng)絡之間的通信是否被允許,并監(jiān)視網(wǎng)絡運行狀態(tài)。但是防火墻無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。防火墻的分類有包過濾型、地址轉(zhuǎn)換型、代理型、以及檢測型。病毒防護技術(shù)是指阻止病毒的傳播、檢查和清除病毒、對病毒數(shù)據(jù)庫進行升級、同時在防火墻、代理服務器及PC上安裝Java及ActiveX控制掃描軟件,禁止未經(jīng)許可的控件下載和安裝入侵檢測技術(shù)(IDS)可以被定義為對計算機和網(wǎng)絡資源的惡意使用行為進行識別和相應處理的技術(shù)。是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術(shù)。安全掃描技術(shù)是為管理員能夠及時了解網(wǎng)絡中存在的安全漏洞,并采取相應防范措施,從而降低網(wǎng)絡的安全風險而發(fā)展起來的一種安全技術(shù)。認證和數(shù)字簽名技術(shù),其中的認證技術(shù)主要解決網(wǎng)絡通訊過程中通訊雙方的身份認可,而數(shù)字簽名作為身份認證技術(shù)中的一種具體技術(shù),同時數(shù)字簽名還可用于通信過程中的不可抵賴要求的實現(xiàn)。VPN技術(shù)就是在公網(wǎng)上利用隨到技術(shù)來傳輸數(shù)據(jù)。但是由于是在公網(wǎng)上進行傳輸數(shù)據(jù),所以有一定的不安全性。應用系統(tǒng)的安全技術(shù)主要有域名服務、WebServer應用安全、電子郵件系統(tǒng)安全和操作系統(tǒng)安全。3.2防火墻介紹所謂防火墻指的是一個由軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。從而是一種獲取安全的形象說法,它是一種計算機硬件和軟件的結(jié)合,使Internet與Internet之間建立起一個安全網(wǎng)關(SecurityGateway),從而保護內(nèi)部網(wǎng)免受非法用戶的侵入,防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網(wǎng)關4個部分組成,防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件或硬件。該計算機流入流出的所有網(wǎng)絡通信和數(shù)據(jù)包均要經(jīng)過此防火墻。在網(wǎng)絡中,所謂“防火墻”,是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法,它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度,它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡,同時將你“不同意”的人和數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡。換句話說,如果不通過防火墻,公司內(nèi)部的人就無法訪問Internet,Internet上的人也無法和公司內(nèi)部的人進行通信。隨著企業(yè)信息化進程的推進,廣大中小企業(yè)網(wǎng)上運行的應用系統(tǒng)越來越多,信息系統(tǒng)變得越來越龐大和復雜。企業(yè)網(wǎng)的服務器群構(gòu)成了企業(yè)網(wǎng)的服務系統(tǒng),主要包括DNS、虛擬主機、Web、FTP、視頻點播以及Mail服務等。企業(yè)網(wǎng)通過不同的專線分別接入了不同的網(wǎng)絡。隨著企業(yè)網(wǎng)絡出口帶寬不斷加大,應用服務系統(tǒng)逐漸增多,企業(yè)網(wǎng)用戶數(shù)烈劇上升,網(wǎng)絡的安全也就越來越嚴峻。3.3防火墻的分類3.3.1宿主機網(wǎng)關(DualHomedGateway)這種配置是用一臺裝有兩個網(wǎng)絡適配器的雙宿主機做防火墻。雙宿主機用兩個網(wǎng)絡適配器分別連接兩個網(wǎng)絡,又稱堡壘主機。堡壘主機上運行著防火墻軟件(通常是代理服務器),可以轉(zhuǎn)發(fā)應用程序,提供服務等。雙宿主機網(wǎng)關有一個致命弱點,一旦入侵者侵入堡壘主機并使該主機只具有路由器功能,則任何網(wǎng)上用戶均可以隨便訪問有保護的內(nèi)部網(wǎng)絡如圖4.1。圖4.1宿主機網(wǎng)關防火墻3.3.2屏蔽主機網(wǎng)關(ScreenedHostGateway)屏蔽主機網(wǎng)關易于實現(xiàn),安全性好,應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。單宿堡壘主機類型是一個包過濾路由器連接外部網(wǎng)絡,同時一個堡壘主機安裝在內(nèi)部網(wǎng)絡上。堡壘主機只有一個網(wǎng)卡,與內(nèi)部網(wǎng)絡連接如圖4.2。通常在路由器上設立過濾規(guī)則,并使這個單宿堡壘主機成為從Internet惟一可以訪問的主機,確保了內(nèi)部網(wǎng)絡不受未被授權(quán)的外部用戶的攻擊。而Intranet內(nèi)部的客戶機,可以受控制地通過屏蔽主機和路由器訪問Internet。圖4.2單宿堡壘主機防火墻雙宿堡壘主機型與單宿堡壘主機型的區(qū)別是,堡壘主機有兩塊網(wǎng)卡,一塊連接內(nèi)部網(wǎng)絡,一塊連接包過濾路由器如圖4.3。雙宿堡壘主機在應用層提供代理服務,與單宿型相比更加安全。圖4.3雙宿堡壘主機防火墻3.3.3屏蔽子網(wǎng)(ScreenedSubnet)這種方法是在Intranet和Internet之間建立一個被隔離的子網(wǎng),用兩個包過濾路由器將這一子網(wǎng)分別與Intranet和Internet分開。兩個包過濾路由器放在子網(wǎng)的兩端,在子網(wǎng)內(nèi)構(gòu)成一個“緩沖地帶”如圖4.4,兩個路由器一個控制Intranet數(shù)據(jù)流,另一個控制Internet數(shù)據(jù)流,Intranet和Internet均可訪問屏蔽子網(wǎng),但禁止它們穿過屏蔽子網(wǎng)通信??筛鶕?jù)需要在屏蔽子網(wǎng)中安裝堡壘主機,為內(nèi)部網(wǎng)絡和外部網(wǎng)絡的互相訪問提供代理服務,但是來自兩網(wǎng)絡的訪問都必須通過兩個包過濾路由器的檢查。對于向Internet公開的服務器,像WWW、FTP、Mail等Internet服務器也可安裝在屏蔽子網(wǎng)內(nèi),這樣無論是外部用戶,還是內(nèi)部用戶都可訪問。這種結(jié)構(gòu)的防火墻安全性能高,具有很強的抗攻擊能力,但需要的設備多,造價高。圖4.4屏蔽子網(wǎng)防火墻3.4防火墻技術(shù)發(fā)展趨勢防火墻技術(shù)的發(fā)展離不開社會需求的變化,著眼未來,我們可能需要其他新的需求。全國主要城市先后受到H7N9病毒的侵襲,直接促成大量的企事業(yè)在家辦公,這就要求防火墻既能抵抗外部攻擊,又能允許合法的遠程訪問,做到更細粒度的訪問控制。1、VPN(虛擬專用網(wǎng))技術(shù)就是很好的解決方式。只有以指定方式加密的數(shù)據(jù)包才能通過防火墻,這樣可以確保信息的保密性,又能成為識別入侵行為的手段。2、內(nèi)部網(wǎng)絡“包廂化”(compartmentalizing)。人們通常認為處在防火墻保護下的內(nèi)網(wǎng)是可信的,只有Internet是不可信的。由于黑客攻擊技術(shù)和工具在Internet上隨手可及,使得內(nèi)部網(wǎng)絡的潛在威脅大大增加,這種威脅既可以是外網(wǎng)的人員,也可能是內(nèi)網(wǎng)用戶,不再存在一個可信網(wǎng)絡環(huán)境。3、RouterOS技術(shù)。RouterOS以其設備要求簡單,配置策略簡單,性價比較低,受到廣大中小企業(yè)的歡迎。尤其是其具有強大的VPN功能、端口映射功能、防火墻功能,更是為其在中小企業(yè)中奠定的了堅實的基礎。
4RouterOS在企業(yè)網(wǎng)中的應用中小企業(yè)網(wǎng)一般都是采用性價比合適的網(wǎng)絡技術(shù)架構(gòu)的,用戶較多,使用面較廣,但是存在的安全隱患和漏洞相對較廣泛。鑒于上述因素,有必要為中小企業(yè)量身定制一個使用的防火墻。4.1RouterOS簡介RouterOS是一種源碼開放式防火墻操作系統(tǒng),并通過該系統(tǒng)將標準的PC電腦變成專業(yè)防火墻,在眾多用RouterOS系統(tǒng)作為企業(yè)防火墻的愛好者的開發(fā)下,每年都會有更新和改變,系統(tǒng)經(jīng)歷了多次更新和改進,使其功能在不斷增強和完善。特別在無線、認證、策略路由、帶寬控制和防火墻過濾等功能上有著非常突出的功能,其極高的性價比,受到許多網(wǎng)絡人士的青睞。4.2RouterOS的優(yōu)勢RouterOS是一個基于Linux內(nèi)核的開源的免費的防火墻操作系統(tǒng),通過安裝該系統(tǒng)可使標準的PC電腦具備專業(yè)防火墻的各種功能,系統(tǒng)經(jīng)歷了多次更新和改進,其功能不斷增強和完善。特別在策略路由、帶寬控制和防火墻過濾等功能上有著非常突出的優(yōu)勢和極高的性價比。RouterOS高級防火墻從底層系統(tǒng)核心、核心安全模塊和硬件兼容性等各個層次進行了精心的的設計和優(yōu)化,使得這款路由產(chǎn)品在性能上具有出眾的優(yōu)勢。線速轉(zhuǎn)發(fā)的高吞吐量可滿足大型企業(yè)/網(wǎng)吧等機構(gòu)的絕大部分應用,也可為運營商的以太網(wǎng)接入提供高負載的支持,高轉(zhuǎn)發(fā)低時延為增加用戶數(shù)量提供了強有力的保障。4.3RouterOS在企業(yè)網(wǎng)中的應用某服裝廠網(wǎng)絡拓撲圖如下圖4.1。由于最近公司網(wǎng)絡受到黑客的攻擊,現(xiàn)在公司又在一臺PC上安裝了RouterOS。利用RouterOS的防火墻功能,來保障公司網(wǎng)絡的安全。圖4.1某服裝廠拓撲圖4.3.1RouterOS的安裝某服裝廠使用的MikrotikRouterOS3.16版本。在我們安裝RouterOS的PC硬件配置如下:處理器英特爾Corei3M380@2.53GHz四核處理器主板聯(lián)想0579A12(英特爾HM55芯片組)內(nèi)存4GB(記憶科技DDR31333MHz)主硬盤西數(shù)WDCWD3200BEKT-08PVMT1(320GB/7200轉(zhuǎn)/分)顯卡ATIMobilityRadeonHD545v(1GBMB/聯(lián)想)顯示器LGLGD02E9(14英寸)光驅(qū)日立-LGDVDRAMGT33NDVD刻錄機聲卡瑞昱ALC269@英特爾5Series/3400SeriesChipset高保真音頻網(wǎng)卡RS-SUNNET千兆PCI-E光纖網(wǎng)卡(兩塊)使用光盤啟動計算機時,會出現(xiàn)下面的界面:讓你選擇安裝的模塊,選擇全部安裝,鍵盤輸入a,然后輸入i開始安裝圖4.2。圖4.2routeros安裝選擇全部計算機提醒你是不是要保留以前的設置,我是全新安裝的,按n回車,不保留。然后計算機提示是否繼續(xù),按y鍵。開始安裝圖4.3。圖4.3routeros安裝過程你就等著安裝完成出現(xiàn)讓你按回車鍵繼續(xù)的畫面,計算機重新啟動后就行了。4.2.2RouterOS的配置系統(tǒng)安裝之后重新啟動,然后出現(xiàn)登陸界面,輸入初始用戶名admin,口令直接回車。進入RouterOS的字符界面,好了,現(xiàn)在開始我們的簡單初始設置階段。由于我們是新配置的機器,所以我們應該先給它的每張網(wǎng)卡配置新的ip。先看一下網(wǎng)卡的個數(shù)以及是否啟動圖4.4。圖4.4網(wǎng)卡的屬性更改網(wǎng)卡的名稱以方便區(qū)分不同的網(wǎng)絡接口。為方便區(qū)分我們作如下規(guī)定:接入外網(wǎng)的網(wǎng)絡接口命名為Wan,其接入外網(wǎng)的方式是通過dhcp客戶端設自動獲取IP地址。接入局域網(wǎng)的網(wǎng)絡接口我們命名為Lan。命令執(zhí)行過程和顯示界面如下圖4.5:圖4.5更改網(wǎng)卡名字輸入命令更改網(wǎng)卡的名稱后。退回到根目錄,設定網(wǎng)卡地址等信息。設定網(wǎng)卡的ip地址,我們要設定局域網(wǎng)接口Lan的地址,(備注,若這里出現(xiàn)的不是Lan,而是Wan,你需要把它改成Lan)。輸入我們設定的Lan的IP地址54/24。系統(tǒng)然后讓你輸入網(wǎng)關的地址,千萬要注意不要輸入默認的地址,而是要改為圖4.6。圖4.6設置Lan網(wǎng)卡信息因為公司里面看視頻,上網(wǎng)聊天沒人所需流量不同,因此需要全局限制速度和限制線程。設置~54connection-limit=50是線程數(shù)這里為50。for5from2to254do={/ipfirewallfilteraddchain=forwardsrc-address=()protocol=tcpconnection-limit=50,32action=drop}設置是上行/下行的網(wǎng)速為2M/1M。:foruserfrom2to254do={/queuesimpleaddname=("")dst-address=("/32")max-limit=2048000/1024000}外網(wǎng)連接是采用靜態(tài)IP的方式,IP為。連接到網(wǎng)卡Wan。為網(wǎng)卡Wan設置IP地址:ipaddress>addaddress=/24interface=Wan為路由器配置靜態(tài)路由網(wǎng)關地址為,讓所有數(shù)據(jù)的下一跳都將指向這個網(wǎng)關。iproute>adddst—address=/0gateway=。給客戶端的IP進行綁定,客戶機的MAC地址為00:0C:29:61:BD:40,IP地址為,可以用以下命令進行綁定:.iparp>addaddress=interface=Lanmac-address=00:0C:29:61:BD:40查看綁定結(jié)果圖4.7。圖4.7MAC地方綁定4.3RouterOS端口映射配置1、改變www服務端口為8081:/ipservicesetwwwport=80812、改變hotspot服務端口為80,為用戶登錄頁面做準備:/ipservicesethotspotport=80Setuphotspotprofiletomarkauthenticateduserswithflowname"hs-auth":/iphotspotprofilesetdefaultmark-flow="hs-auth"login-method=enabled-address3、增加一個用戶:/iphotspotuseraddname=user1password=14、重定向所有未授權(quán)用戶的tcp請求到hotspot服務/ipfirewalldst-nataddin-interface="ether2"flow="!hs-auth"protocol=tcpaction=redirect
to-dst-port=80comment="redirectunauthorizedclientstohotspotservice"5、允許dns請求、icmpping;拒絕其他未經(jīng)認證的所有請求:/ipfirewalladdname=hotspot-tempcomment="limitunauthorizedhotspotclients"/ipfirewallruleforwardaddin-interface=ether2action=jumpjump-target=hotspot-tempcomment="limitaccessforunauthorizedhotspotclients"/ipfirewallruleinputaddin-interface=ether2dst-port=80protocol=tcpaction=acceptcomment="acceptrequestsforhotspotservlet"/ipfirewallruleinputaddin-interface=ether2dst-port=67protocol=udpaction=acceptcomment="acceptrequestsforlocalDHCPserver"/ipfirewallruleinputaddin-interface=ether2action=jumpjump-target=hotspot-tempcomment="limitaccessforunauthorizedhotspotclients"/ipfirewallrulehotspot-tempaddflow="hs-auth"action=returncomment="returnifconnectionisauthorized"/ipfirewallrulehotspot-tempaddprotocol=icmpaction=returncomment="allowpingrequests"/ipfirewallrulehotspot-tempaddprotocol=udpdst-port=53action=returncomment="allowdnsrequests"/ipfirewallrulehotspot-tempaddaction=rejectcomment="rejectaccessforunauthorizedclients"6、創(chuàng)建hotspot通道給認證后的hotspot用戶Createhotspotchainforauthorizedhotspotclients:/ipfirewalladdname=hotspotcomment="accountauthorizedhotspotclients"Passallthroughgoingtraffictohotspotchain:/ipfirewallruleforwardaddaction=jumpjump-target=hotspotcomment="accounttrafficforauthorizedhotspotclients"客戶機輸入任何網(wǎng)址,都自動跳轉(zhuǎn)到登陸頁面,輸入賬號密碼,繼續(xù)瀏覽。4.4設置防火墻規(guī)則RouterOS防火墻功能非常靈活。RouterOS防火墻屬于包過濾防火墻,可以自己定義一系列的規(guī)則過濾掉發(fā)往RouterOS、從RouterOS發(fā)出、通過RouterOS轉(zhuǎn)發(fā)的數(shù)據(jù)包。在RouterOS防火墻中定義了三個防火墻鏈(即input、forward、output),可以在這三個鏈當中定義自己的規(guī)則。input意思是指發(fā)往RouterOS自己的數(shù)據(jù)(也就是目的ip是RouterOS接口中的一個ip地址);output意思是指從RouterOS發(fā)出去的數(shù)據(jù)(也就是數(shù)據(jù)包源ip是RouterOS接口中的一個ip地址);forward意思是指通過RouterOS轉(zhuǎn)發(fā)的(比如你內(nèi)部計算機訪問外部網(wǎng)絡,數(shù)據(jù)需要通過你的RouterOS進行轉(zhuǎn)發(fā)出去)。禁止pingRouterOS,需要在input鏈中添加規(guī)則,因為數(shù)據(jù)包是發(fā)給RouterOS的,數(shù)據(jù)包的目標ip是RouterOS的一個接口ip地址。在每條鏈中的每條規(guī)則都有目標ip,源ip,進入的接口,非常靈活的去建立規(guī)則。transferedthroughtheparticularconnection0的意思是無限的,例如connection-bytes=2000000-0意思是2MB以上HTBQOS流量質(zhì)量控制/ipfirewallmangleaddchain=forwardp2p=all-p2paction=mark-connectionnew-connection-mark=p2p_connpassthrough=yescomment=""disabled=noaddchain=forwardconnection-mark=p2p_connaction=mark-packetnew-packet-mark=p2ppassthrough=yescomment=""disabled=noaddchain=forwardconnection-mark=!p2p_connaction=mark-packetnew-packet-mark=generalpassthrough=yescomment=""disabled=noaddchain=forwardpacket-size=32-512action=mark-packetnew-packet-mark=smallpassthrough=yescomment=""disabled=noaddchain=forwardpacket-size=512-1200action=mark-packetnew-packet-mark=bigpassthrough=yescomment=""disabled=no/queuetreeaddname="p2p1"parent=TELpacket-mark=p2plimit-at=2000000queue=defaultpriority=8max-limit=6000000burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="p2p2"parent=LANpacket-mark=p2plimit-at=2000000queue=defaultpriority=8max-limit=6000000burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="ClassA"parent=LANpacket-mark=""limit-at=0queue=defaultpriority=8max-limit=100000000burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="ClassB"parent=ClassApacket-mark=""limit-at=0queue=defaultpriority=8max-limit=0burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="Leaf1"parent=ClassApacket-mark=generallimit-at=0queue=defaultpriority=7max-limit=0burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="Leaf2"parent=ClassBpacket-mark=smalllimit-at=0queue=defaultpriority=5max-limit=0burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="Leaf3"parent=ClassBpacket-mark=biglimit-at=0queue=defaultpriority=6max-limit=0burst-limit=0burst-threshold=0burst-time=0sdisabled=no設置丟棄非法連接數(shù)據(jù)/ipfirewallfilteraddchain=inputconnection-state=invalidaction=drop\comment="丟棄非法連接數(shù)據(jù)"disabled=no設置限制總http連接數(shù)為20addchain=inputprotocol=tcpdst-port=80connection-limit=20,0action=drop\comment="限制總http連接數(shù)為20"disabled=no設置探測并丟棄端口掃描連接addchain=inputprotocol=tcppsd=21,3s,3,1action=drop\comment="探測并丟棄端口掃描連接"disabled=no設置壓制DoS攻擊addchain=inputprotocol=tcpconnection-limit=3,32src-address-list=black_list\action=tarpitcomment="壓制DoS攻擊"disabled=no設置探測DoS攻擊addchain=inputprotocol=tcpconnection-limit=10,32\action=add-src-to-address-listaddress-list=black_list\address-list-timeout=1dcomment="探測DoS攻擊"disabled=no設置丟棄掉非本地數(shù)據(jù)addchain=inputdst-address-type=!localaction=dropcomment="丟棄掉非本地數(shù)據(jù)"\disabled=no設置跳轉(zhuǎn)到ICMP鏈表addchain=inputprotocol=icmpaction=jumpjump-target=ICMP\comment="跳轉(zhuǎn)到ICMP鏈表"disabled=no設置Ping應答限制為每秒5個包addchain=ICMPprotocol=icmpicmp-options=0:0-255limit=5,5action=accept\comment="Ping應答限制為每秒5個包"disabled=no設置Traceroute限制為每秒5個包addchain=ICMPprotocol=icmpicmp-options=3:3limit=5,5action=accept\comment="Traceroute限制為每秒5個包"disabled=no設置MTU線路探測限制為每秒5個包addchain=ICMPprotocol=icmpicmp-options=3:4limit=5,5action=accept\comment="MTU線路探測限制為每秒5個包"disabled=no設置Ping請求限制為每秒5個包addchain=ICMPprotocol=icmpicmp-options=8:0-255limit=5,5action=accept\comment="Ping請求限制為每秒5個包"disabled=no設置TraceTTL限制為每秒5個包addchain=ICMPprotocol=icmpicmp-options=11:0-255limit=5,5action=accept\comment="TraceTTL限制為每秒5個包"disabled=no設置丟棄掉任何ICMP數(shù)據(jù)addchain=ICMPprotocol=icmpaction=dropcomment="丟棄掉任何ICMP數(shù)據(jù)"\disabled=no設置丟棄非法數(shù)據(jù)包addchain=forwardconnection-state=invalidaction=drop\comment="丟棄非法數(shù)據(jù)包"disabled=no設置限制每個主機TCP連接數(shù)為80條addchain=forwardprotocol=tcpconnection-limit=80,32action=drop\comment="限制每個主機TCP連接數(shù)為80條"disabled=no設置丟棄掉所有非單播數(shù)據(jù)addchain=forwardsrc-address-type=!unicastaction=drop\comment="丟棄掉所有非單播數(shù)據(jù)"disabled=no設置禁止.dll文件通過addchain=forwardcontent=.dllaction=dropcomment="禁止.dll文件通過"\disabled=yes設置跳轉(zhuǎn)到ICMP鏈表addchain=forwardprotocol=icmpaction=jumpjump-target=ICMP\comment="跳轉(zhuǎn)到ICMP鏈表"disabled=no設置tcp鏈接目的端口為41的數(shù)據(jù)包丟掉addchain=virusprotocol=tcpdst-port=41action=drop\comment="DeepThroat.Trojan-1"disabled=noaddchain=forwardaction=acceptcomment="接受所有數(shù)據(jù)"disabled=no另:詳細防火墻規(guī)則配置見附錄一4.5進入普通用戶界面Winbox是基于windows下遠程管理RouterOS的軟件,提供直觀方便的圖形界面。用它能登陸防火墻,這個防火墻是由RouterOS制作的,用Winbox登陸后,就可以配置防火墻了,用這個軟件便于配置防火墻。Winbox控制臺使用TCP8291端口,在登陸到防火墻后可以通過Winbox控制臺操作MikroTik路由器的配置并執(zhí)行與本地控制臺同樣的任務。這樣,即便在字符界面下操作不是很熟練的人也能進行管理了。在局域網(wǎng)的另外一臺安裝有windows的計算機上,設定其ip地址為-53中的任意一個就行,然后掩碼輸入,網(wǎng)關設定為54圖4.8。圖4.8window主機網(wǎng)卡配置設定完成之后,就可以打開IE瀏覽器,在地址欄中輸入54就能訪問RouterOS服務器了圖4.9。圖4.9winbox下載點擊Winbox的圖標來下載winbox.exe程序,然后運行這個程序。在connectto中輸入我們的RouterOS服務器的地址54,用戶名中輸入admin,沒有設定密碼,所以密碼不輸入,為了便于以后進入服務器,按save按鈕保存此次設置圖4.10。圖4.10連接winbox進入winbox界面圖4.11。圖4.11進入winbox界面點擊winbox里的第一項Interfaces在彈出畫面里,可以看到我們已經(jīng)建立的兩張網(wǎng)卡Wan和Lan圖4.12。圖4.12建立的兩張網(wǎng)卡設定公網(wǎng)網(wǎng)絡接口Wan。依次點擊ip/address,按“+”號,在interface中選擇公網(wǎng)接口Wan,輸入公網(wǎng)地址0等信息然后apply,接著OK就行了圖4.13。圖4.13圖形界面設定ip查看Routes和Ruls圖4.14。圖4.14Routes和Ruls4.6測試在RouterOS上面配置好防火墻規(guī)則后,我們對其功能進行測試。利用瘋狂Ping之攻擊器進行攻擊。安全圖4.15。圖4.15利用瘋狂Ping進行攻擊同時,我還利用幽幽DDoS攻擊器就行DDoS攻擊,利用ICMP洪水攻擊器進行ICMP攻擊,利用synFlood攻擊軟件進行syn攻擊,利用SafeWeb漏洞掃描系統(tǒng)就行漏洞掃描,利用VirEasyCH就行病毒掃描,利用ISAtrpeSSL端口開發(fā)工具就行掃描,都證明RouterOS作為中小企業(yè)防火墻是成功的。4.7總結(jié)中小企業(yè)中,利用RouterOS作為防火墻,在其系統(tǒng)提供的強大防護功能下,成功的偵測及阻擋了IP欺騙、源路由攻擊、DoS等網(wǎng)絡攻擊,并且有效的阻止了端口掃描、防SYNflood,UDPflood,ICMPflood,Smurf/Fraggle攻擊,分片報文攻擊等,為中小企業(yè)網(wǎng)絡提供了可靠的安全保障;根據(jù)其提供MAC和IP地址綁定功能,有效防范了ARP攻擊,并且監(jiān)視局域網(wǎng)內(nèi)的ARP數(shù)據(jù)包,發(fā)現(xiàn)有攻擊自動報警。
參考文獻[1]《信息網(wǎng)絡安全概論》,周良洪編著,群眾出版社,2005.[2]《計算機安全技術(shù)及應用》,邵波編著,電子工業(yè)出版社,2005.[3]《信息安全管理教程》,主編:龐南,中國人民公安大學出版社,2007.[4]《計算機網(wǎng)絡安全技術(shù)》,蔡立軍編著,國水利水電出版社,2002.[5]《企業(yè)網(wǎng)絡安全》,蕭文龍編著,中國鐵道出版社,2001.[6]《黑客的攻擊手段及用戶對策》,余建斌編著,北京人民郵電出版社,2005.[7]《網(wǎng)絡安全與防火墻技術(shù)應用大全》,王睿林海波等,清華大學出版社,2000.[8]《防火墻技術(shù)大全》,[美]KeithE.StrassbergRichardJ.GondekGaryRollie,機械工業(yè)出版社,2003.[9]《Thereisnoloophole-InformationSecurityImplementationGuide》[美]MarkEgan,TimMather著,電子工業(yè)出版社,2006.
結(jié)束語網(wǎng)絡安全問題越來越引起世界各國的嚴密關注,隨著計算機網(wǎng)絡在人類生活各個領域的廣泛應用,不斷出現(xiàn)網(wǎng)絡被非法入侵,重要資料被竊取,網(wǎng)絡系統(tǒng)癱瘓等嚴重問題,網(wǎng)絡、應用程序的安全漏洞越來越多;各種病毒泛濫成災。這一切,已給各個國家以及眾多商業(yè)公司造成巨大的經(jīng)濟損失,甚至危害到國家安全,加強網(wǎng)絡安全管理已刻不容緩。經(jīng)過這段時間對畢業(yè)論文的設計,讓我了解到了網(wǎng)絡安全的重要性,防火墻在網(wǎng)絡安全的重要性,從對防火墻的研究,認識到了它在網(wǎng)絡中何其的重要,以前的對防火墻不甚了解,通過在讀書館,網(wǎng)上查資料等各種途徑去了解它,去認識它。使得我頭腦里本來對它模模糊糊的印象逐漸變得清晰。在做畢業(yè)設計的時候才發(fā)現(xiàn),認真的,專心的去做著一件事,去學習這其中的知識,去感受這中間的過程原來是這么輕松,愉快的一件事,雖然我這個畢業(yè)設計做的并不完美,但這是我用心努力的成果。斷向前。
致謝四年的大學生活就快走入尾聲,我們的學生生活就要劃上句號,心中是無盡的難舍與眷戀。從這里走出,對我的人生來說,將是踏上一個新的征程,要把所學的知識應用到實際工作中去?;厥姿哪辏〉昧诵┰S成績,生活中有快樂也有艱辛。感謝老師們四年來對我孜孜不倦的教誨,對我成長的關心和愛護。學友情深,情同兄妹。四年的風風雨雨,我們一同走過,充滿著關愛,給我留下了值得珍藏的最美好的記憶。不積跬步何以至千里,本設計能夠順利的完成,要歸功于指導老師的認真負責,使我能夠很好的掌握和運用專業(yè)知識,并在設計中得以體現(xiàn)。正是有了他們的悉心幫助和支持,才使我的畢業(yè)論文工作順利完成,在此向?qū)幭睦砉W院,電氣信息工程學院網(wǎng)絡工程專業(yè)的全體老師表示由衷的謝意!在此要特別感謝我的導師X老師在我畢業(yè)的最后關頭給了我巨大的幫助與鼓勵,使我能夠順利完成畢業(yè)設計,在此表示衷心的感激。
附錄一/ipfirewallfilteraddchain=inputconnection-state=invalidaction=drop\comment="丟棄非法連接數(shù)據(jù)"disabled=noaddchain=inputprotocol=tcpdst-port=80connection-limit=20,0action=drop\comment="限制總http連接數(shù)為20"disabled=noaddchain=inputprotocol=tcppsd=21,3s,3,1action=drop\comment="探測并丟棄端口掃描連接"disabled=noaddchain=inputprotocol=tcpconnection-limit=3,32src-address-list=black_list\action=tarpitcomment="壓制DoS攻擊"disabled=noaddchain=inputprotocol=tcpconnection-limit=10,32\action=add-src-to-address-listaddress-list=black_list\address-list-timeout=1dcomment="探測DoS攻擊"disabled=noaddchain=inputdst-address-type=!localaction=dropcomment="丟棄掉非本地數(shù)據(jù)"\disabled=noaddchain=inputprotocol=icmpaction=jumpjump-target=ICMP\comment="跳轉(zhuǎn)到ICMP鏈表"disabled=noaddchain=ICMPprotocol=icmpicmp-options=0:0-255limit=5,5action=accept\comment="Ping應答限制為每秒5個包"disabled=noaddchain=ICMPprotocol=icmpicmp-options=3:3limit=5,5action=accept\comment="Traceroute限制為每秒5個包"disabled=noaddchain=ICMPprotocol=icmpicmp-options=3:4limit=5,5action=accept\comment="MTU線路探測限制為每秒5個包"disabled=noaddchain=ICMPprotocol=icmpicmp-options=8:0-255limit=5,5action=accept\comment="Ping請求限制為每秒5個包"disabled=noaddchain=ICMPprotocol=icmpicmp-options=11:0-255limit=5,5action=accept\comment="TraceTTL限制為每秒5個包"disabled=noaddchain=ICMPprotocol=icmpaction=dropcomment="丟棄掉任何ICMP數(shù)據(jù)"\disabled=noaddchain=forwardconnection-state=invalidaction=drop\comment="丟棄非法數(shù)據(jù)包"disabled=noaddchain=forwardprotocol=tcpconnection-limit=80,32action=drop\comment="限制每個主機TCP連接數(shù)為80條"disabled=noaddchain=forwardsrc-address-type=!unicastaction=drop\comment="丟棄掉所有非單播數(shù)據(jù)"disabled=noaddchain=forwardcontent=.exeaction=dropcomment="禁止.exe文件通過"\disabled=yesaddchain=forwardcontent=.dllaction=dropcomment="禁止.dll文件通過"\disabled=yesaddchain=forwardprotocol=icmpaction=jumpjump-target=ICMP\comment="跳轉(zhuǎn)到ICMP鏈表"disabled=noaddchain=forwardaction=jumpjump-target=viruscomment="跳轉(zhuǎn)到病毒鏈表"\disabled=noaddchain=virusprotocol=tcpdst-port=41action=drop\comment="DeepThroat.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=82action=drop\comment="Worm.NetSky.Y@mm"disabled=noaddchain=virusprotocol=tcpdst-port=113action=drop\comment="W32.Korgo.A/B/C/D/E/F-1"disabled=noaddchain=virusprotocol=tcpdst-port=2041action=drop\comment="W33.Korgo.A/B/C/D/E/F-2"disabled=noaddchain=virusprotocol=tcpdst-port=3150action=drop\comment="DeepThroat.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=3067action=drop\comment="W32.Korgo.A/B/C/D/E/F-3"disabled=noaddchain=virusprotocol=tcpdst-port=3422action=drop\comment="Backdoor.IRC.Aladdinz.R-1"disabled=noaddchain=virusprotocol=tcpdst-port=6667action=drop\comment="W32.Korgo.A/B/C/D/E/F-4"disabled=noaddchain=virusprotocol=tcpdst-port=6789action=drop\comment="Worm.NetSky.S/T/U@mm"disabled=noaddchain=virusprotocol=tcpdst-port=8787action=drop\comment="Back.Orifice.2000.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=8879action=drop\comment="Back.Orifice.2000.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=8967action=drop\comment="W32.Dabber.A/B-2"disabled=noaddchain=virusprotocol=tcpdst-port=9999action=drop\comment="W32.Dabber.A/B-3"disabled=noaddchain=virusprotocol=tcpdst-port=20034action=drop\comment="Block.NetBus.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=21554action=drop\comment="GirlFriend.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=31666action=drop\comment="Back.Orifice.2000.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=43958action=drop\comment="Backdoor.IRC.Aladdinz.R-2"disabled=noaddchain=virusprotocol=tcpdst-port=999action=drop\comment="DeepThroat.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=6670action=drop\comment="DeepThroat.Trojan-4"disabled=noaddchain=virusprotocol=tcpdst-port=6771action=drop\comment="DeepThroat.Trojan-5"disabled=noaddchain=virusprotocol=tcpdst-port=60000action=drop\comment="DeepThroat.Trojan-6"disabled=noaddchain=virusprotocol=tcpdst-port=2140action=drop\comment="DeepThroat.Trojan-7"disabled=noaddchain=virusprotocol=tcpdst-port=10067action=drop\comment="Portal.of.Doom.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=10167action=drop\comment="Portal.of.Doom.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=3700action=drop\comment="Portal.of.Doom.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=9872-9875action=drop\comment="Portal.of.Doom.Trojan-4"disabled=noaddchain=virusprotocol=tcpdst-port=6883action=drop\comment="Delta.Source.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=26274action=drop\comment="Delta.Source.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=4444action=drop\comment="Delta.Source.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=47262action=drop\comment="Delta.Source.Trojan-4"disabled=noaddchain=virusprotocol=tcpdst-port=3791action=drop\comment="Eclypse.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=3801action=drop\comment="Eclypse.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=65390action=drop\comment="Eclypse.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=5880-5882action=drop\comment="Y3K.RAT.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=5888-5889action=drop\comment="Y3K.RAT.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=30100-30103action=drop\comment="NetSphere.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=30133action=drop\comment="NetSphere.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=7300-7301action=drop\comment="NetMonitor.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=7306-7308action=drop\comment="NetMonitor.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=79action=drop\comment="FireHotcker.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=5031action=drop\comment="FireHotcker.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=5321action=drop\comment="FireHotcker.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=6400action=drop\comment="TheThing.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=7777action=drop\comment="TheThing.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=1047action=drop\comment="GateCrasher.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=6969-6970action=drop\comment="GateCrasher.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=2774action=dropcomment="SubSeven-1"\disabled=noaddchain=virusprotocol=tcpdst-port=27374action=dropcomment="SubSeven-2"\disabled=noaddchain=virusprotocol=tcpdst-port=1243action=dropcomment="SubSeven-3"\disabled=noaddchain=virusprotocol=tcpdst-port=1234action=dropcomment="SubSeven-4"\disabled=noaddchain=virusprotocol=tcpdst-port=6711-6713action=drop\comment="SubSeven-5"disabled=noaddchain=virusprotocol=tcpdst-port=16959action=dropcomment="SubSeven-7"\disabled=noaddchain=virusprotocol=tcpdst-port=25685-25686action=drop\comment="Moonpie.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=25982action=drop\comment="Moonpie.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=31337-31339action=drop\comment="NetSpy.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=8102action=dropcomment="Trojan"\disabled=noaddchain=virusprotocol=tcpdst-port=8011action=dropcomment="WAY.Trojan"\disabled=noaddchain=virusprotocol=tcpdst-port=7626action=dropcomment="Trojan.BingHe"\disabled=noaddchain=virusprotocol=tcpdst-por
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024年版股權(quán)轉(zhuǎn)讓價款調(diào)整及補充合同版B版
- 2024年度學校校園公共自行車租賃服務合同3篇
- 2024年度高端醫(yī)療器械租賃及維護服務合同
- 2024版?zhèn)€人房屋租賃合同樣本下載6篇
- 2024年標準版預付款采購保障合同模板版B版
- 2024年度軟件開發(fā)合同:軟件開發(fā)公司與企業(yè)用戶之間的軟件定制與技術(shù)支持3篇
- 2024年度企業(yè)員工薪酬福利設計與調(diào)整合同6篇
- 2024版學校國際交流項目合同2篇
- 2024年度填土施工專用合同條款2篇
- 2024威海房產(chǎn)買賣過戶手續(xù)全流程電子合同3篇
- 四川2024年四川省公安廳招聘警務輔助人員186人筆試歷年典型考題及考點附答案解析
- 艾滋病性病的健康教育與行為干預
- 2023年12月遼寧大連甘井子區(qū)招考聘用社區(qū)工作者50人 筆試歷年典型考題及考點剖析附答案詳解
- 2024事業(yè)單位聘用合同書封面
- 數(shù)據(jù)通信與計算機網(wǎng)絡智慧樹知到期末考試答案章節(jié)答案2024年四川鐵道職業(yè)學院
- 妊娠期貧血課件
- 文學創(chuàng)造的奧妙智慧樹知到期末考試答案章節(jié)答案2024年山東師范大學
- 涯規(guī)未來智慧樹知到期末考試答案章節(jié)答案2024年云南師范大學
- 青少版新概念3B-U21市公開課一等獎省賽課微課金獎課件
- 儲能業(yè)務培訓
- 2024屆新高考物理沖刺復習:“正則動量”解決帶電粒子在磁場中的運動問題
評論
0/150
提交評論