毕业设计（论文）-基于企业需求分析--cisco防火墙网络安全设计.doc

青岛理工大学毕业设计（论文）用纸 摘 要众所周知，随着计算机的飞速发展以及网络技术的普遍应用，信息时代已经来临，信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域，可能会受到黑客的非法攻击，所以在任何情况下，对于各种事故，无意或有意的破坏，保护数据及其传送、处理都是非常必要的。随着人们的安全意识加强，防火墙一般都被公司企业采用来保障网络的安全，一般的攻击者在有防火墙的情况下，一般是很难入侵的。随着internet在我国的迅速发展，cisco防火墙技术引起了各方面的广泛关注。 一方面在对国外信息安全和cisco防火墙技术的发展进行跟踪，另一方面也已经自行开展了一些研究工作。 目前使用较多的，是在路由器上采用分组过滤技术提供安全保证，对其它方面的技术尚缺乏深入了解1。 cisco防火墙技术还处在一个发展阶段，仍有许多问题有待解决。 因此，密切关注防火墙的最新发展，对推动internet在我国的健康发展有着重要的意义。关键词：包过滤,防御,安全策略,需求分析,cisco防火墙abstractas we all known, with the development of computer science and the wide application of network technology，the corresponding era had arrived. as an important resource,information has received peoples great attention. internet is a field with alive developing and it might be attacked by hacker. so at any situation, it is very important to protect the transmission and the processing of the data. with security awareness to strengthen the firewall are generally used by companies to protect the security of the network, the attacker generally the case in a firewall, is generally difficult to invasion.with the rapid development of internet in china, cisco firewall technology attracted wide attention in all aspects. the one hand, information security and foreign cisco firewall technology to track the other hand, some studies have been carried out their own work. more current is to use packet filtering on the router to provide security for other aspects of the technology is still a lack of understanding. cisco firewall technology is still in a stage of development, there are still many issues to be resolved. therefore, pay close attention to the latest developments in the firewall, to promote the healthy development of internet in china has an important significance.朗读显示对应的拉丁字符的拼音key words: packet filter, defend, security policy, needs analysis, cisco firewall目 录摘 要iabstractii目 录iii前 言1第1章 理论基础21.1 概念21.1.1 网络安全的概念21.1.2 网络防火墙的概念及特性21.2 背景41.3 防火墙的发展趋势4第2章 防火墙的设计62.1 防火墙的优势62.2 防火墙的系统组成72.3 防火墙技术72.3.1 包过滤型防火墙72.3.3 状态包过滤型防火墙10第3章 基于企业需求分析- cisco防火墙的具体实现113.1 企业需求及背景113.1.1 公司简介113.1.2 一次入侵危机113.1.3 现状概述123.1.4 需求分析123.1.5 系统安全目标133.1.6 方案设计概述133.2 cisco防火墙的基本构件和技术143.2.1 筛选路由器 (screening router)143.2.2 分组过滤 (packet filtering) 技术163.2.3 双宿主机 (dual-homed host)183.2.4 代理服务和应用层网关21第4章防火墙存在的问题和改善措施264.1 绕过包过滤防火墙264.1.1 ip欺骗攻击264.1.2 dos拒绝服务攻击264.1.3 分片攻击264.1.4 木马攻击264.2 绕过代理防火墙274.2.1 非授权web访问274.2.2 非授权socks访问27第5章结论及展望29致 谢30参考文献3132前 言因特网的发展给人们的通信带来了革命性的变革，但在获得便利的同时，也要面对因特网在数据安全方面所带来的挑战。为此我们着重讨论了网络安全与防火墙方面的问题，主要包括以下两个方面：（1） 确保网络上传输信息的私有性，不被非法窃取、篡改和伪造；（2） 绕法具扫描漏洞百出 型、防火墙的应用和分析，通过对网络结构、防限制用户在网络上（或程序）的访问权限，防止非法用户（或程序）的侵入目前，解决第一个问题的方法主要是采用信息加密技术，而解决第二个问题，普遍采用的是防火墙技术。所谓防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。但是，凡事都有它的两面性。虽然防火是一种行之有效的网络安全机制，可以通过在因特网和内部网络之间提供路由功能，保证网络信息的安全，但是防火墙也有不足之处，也存在着被黑客攻击，从而失去防护作用2。随着internet在我国的迅速发展，cisco防火墙技术引起了各方面的广泛关注。 一方面在对国外信息安全和cisco防火墙技术的发展进行跟踪，另一方面也已经自行开展了一些研究工作。设立cisco防火墙的主要目的是保护一个网络不受来自另一个网络的攻击。防火墙技术作为目前用来实现网络安全的一种手段，主要是用来拒绝未经授权的用户访问，阻止未经授权的用户存取敏感数据，同时允许合法用户不受妨碍地访问网络资源，使用得当，可以在很大程度上提高网络安全性能。未来的防火墙要求是具有高安全性和高效率性，经过考察和分析，我们认为未来防火墙的操作系统会更安全，随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。第1章 理论基础1.1 概念1.1.1 网络安全的概念国际标准化组织（iso）对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然或恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网络安全保护措施的目的是确保经过网络传输和交换的数据不发生增加、修改、丢失和泄露等。1.1.2 网络防火墙的概念及特性从广泛、宏观的意义上说，防火墙是隔离在内部网络与外部网络之间的一个防御系统。防火墙是设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。网络防火墙是一种用来加强网络之间访问控制的特殊网络互联设备，如路由器、网关等。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略进行检查，来决定网络之间的通信是否被允许，其中被保护的网络称为内部网络，另一方则称为外部网络或公用网络，它能有效地控制内部网络与外部网络之间的访问及数据传送，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有3方面的特性：（1）所有在内部网络和外部网络之间传输的数据必须通通过防火墙；（2）只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙；（3）防小墙本身不受各种攻击的影响。国际标准化组织（iso）的计算机专业委员会（isoiec jtcisc21）根据网络开放系统互连7层模型（osirm）制定了一个网络安全体系结构，用来解决网络系统中的信息安全问题，如表1.1所示。表 1.1 网络安全体系结构防火墙是实现安全访问控制的，因此按照osirm，防火墙可以在osirm7层中的5层设置，如图1.1所示应用层网关级内部网络外部网络表示层会话层传送层电路级网络层路由器级数据链路层网桥级物理层中继器级 安全区域 防 火 墙 系 统 非 保 护 区图1.1 防火墙模型防火墙从功能上来分，通常由以下几部分组成，如表1.2所示。表1.2 防火墙体系结构人机接口访问控制策略审计安全管理数据加密网络互联设备1.2 背景一个安全的计算机网络应具有可靠性、可用性、完整性、保密性和真实性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全，还要保护数据安全等。因此针对计算机网络本身可能存在的安全问题，实施网络安全保护方案以确保计算机网络自身的安全性是每一个计算机网络都要认真对待的一个重要问题。网络安全防范的重点主要有两个方面：一是计算机病毒，二是黑客犯罪。计算机病毒是我们大家都比较熟悉的一种危害计算机系统和网络安全的破坏性程序。黑客犯罪是指个别人利用计算机高科技手段，盗取密码侵入他人计算机网络，非法获得信息、盗用特权等，如非法转移银行资金、盗用他人银行账号购物等。随着网络经济的发展和电子商务的展开，严防黑客入侵、切实保障网络交易的安全，不仅关系到个人资金安全、商家的货物安全，还关系到国家的经济安全、国家经济秩序的稳定问题，因此各级组织和部门必须给以高度重视。网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查，以解决网络之间的通信是否被允许，并监视网络运行状态。目前的网络防火墙产品主要有堡垒主机、包过滤路由器、应用层网关（代理服务器）以及电路层网关、屏蔽主机防火墙、双宿主机等类型。防火墙处于5层网络安全体系中的最底层，属于网络层安全技术范畴。负责网络间的安全认证与传输，但随着网络安全技术整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。1.3 防火墙的发展趋势传统的防火墙通常是基于访问控制列表(acl)进行包过滤的，位于在内部专用网的入口处，所以也俗称“边界防火墙”。随着防火墙技术的发展，防火墙技术也得到了发展，出现了一些新的防火墙技术，如电路级网关技术、应用网关技术和动态包过滤技术，在实际运用中，这些技术差别非常大，有的工作在osi参考模式的网络层，有的工作在传输层，还有的工作在应用层。 在这些已出现的防火墙技术中，静态包过滤是最差的安全解决方案，其应用存在着一些不可克服的限制，最明显的表现就是不能检测出基于用户身份的地址欺骗型数据包，并且很容易受到诸如dos（拒绝服务）、ip地址欺诈等黑客攻击。应用层网关和电路级网关是比较好的安全解决方案，它们在应用层检查数据包。但是，我们不可能对每一个应用都运行这样一个代理服务器，而且部分应用网关技术还要求客户端安装有特殊的软件。这两种解决方案在性能上也有很大的不足之处。动态包过滤是基于连接状态对数据包进行检查，由于动态包过滤解决了静态包过滤的安全限制，并且比代理技术在性能上有了很大的改善，因而目前大多数防火墙厂商都采用这种技术。但是随着主动攻击的增多，状态包过滤技术也面临着巨大的挑战，更需要其它新技术的辅助4。 第2章 防火墙的设计2.1 防火墙的优势（1) 防止黑客攻击 黑客攻击一般是利用操作系统和网络协议的漏洞，对系统进行攻击，由于一般防火墙采用b1级的安全操作系统,自身具有很高的安全性，故而能防止黑客的恶意攻击。（2) 防ip 欺骗攻击 攻击者从外部网络伪装成内网的ip地址进入内网主机，以此获取内网主机权限，达到攻击的目的。 防火墙根据安全访问控制策略制定ip包过滤规则；通过对ip包的源ip地址的检查与认证，达到验证远程可信任用户主机的真实身份,实现防ip欺骗攻击的功能。（3) 防ip源路由攻击 用tcpip协议支持ip包的源路由选项这一特性，指定一个ip包传输时所经过的特定路由，从而绕开网络安全检查。防火墙提供了对这种ip包的检查和过滤功能，杜绝了ip源路由攻击对网络可能造成的危害。（4) 检测拒绝服务攻击对于由于数据过载（大流量的数据包）引起的网络堵塞现象，而造成的拒绝服务攻击，防火墙具有实时检测和报警的功能，及时避免线路资源非正常损耗，高效管理和充分使用网络资源，以及及时发现拒绝服务攻击所造成的危害。（5) 强访问控制功能 根据安全访问策略制定ip包过滤规则，对流经防火墙的ip包实施基于ip源/目的地址、源/目的端口、协议、网络服务、以及协议标志位的过滤检查与访问控制，以确定是否允许数据包通过。（6) 强大的审计 & 日志管理功能 根据安全访问策略制定审计规则，对网络运行情况和用户行为进行审计，并形成日志文件确保网络的正常安全使用。包括：用户登录审计、身份验证与日志；非法或异常事件的审计与日志；报警功能，方便系统管理员更好的管理网络。（7) 利用nat地址转换，屏蔽内网 为解决ip地址冲突，实现ip地址复用,对外隐藏内网信息，当内网机器对外进行访问时，其ip地址均被转化为防火墙外部地址，而内部网络机器之间的访问则仍采用各自的ip地址。这既屏蔽了内网的实际物理拓扑结构，也大大提高了内网的安全性。（8) 支持dmz 防火墙支持非军事化区（dmz）功能，即可以对外发布企业内部信息，又可以控制内网主机受限的对dmz的访问。2.2 防火墙的系统组成 防火墙模块：基于安全操作系统平台上的访问控制系统。防火墙配置管理系统：基于windows2000/9x系统的管理系统。防火墙解决方案如图2.1。图2.1 防火墙解决方案2.3 防火墙技术一提到网络安全人们首先想到的是防火墙。防火墙系统针对的是来自系统外部的攻击，一旦外部入侵者进入了系统，他们便不受任何阻挡。认证手段也与此类似，一旦入侵者骗过了认证系统，便成为了内部人员。防火墙的基本类型有：包过滤型、代理服务型和状态包过滤型复合型。2.3.1 包过滤型防火墙包过滤（packet filter）防火墙，又称筛选路由器（screening router）或网络层防火墙（network level firewall）。包过滤是一种保安机制，它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。通过对进出内部网络的所有信息进行分析，并按照一定的安全策略信息过滤规则对进出内部网络的信息进行限制，允许授权信息通过，拒绝非授权信息通过。 在网络应用中，最终的传输单位都是以数据包的形式出现，这种做法主要是因为网络要为多个系统提供共享服务。例如，文件传输时，必须将文件分割为小的数据包，每个数据包单独传输。每个数据包中除了包含所要传输的数据（内容），还包括源地址、目标地址等。数据包是通过互联网络中的路由器，从源网络到达目的网络的。路由器接收到的数据包就知道了该包要去往何处，然后路由器查询自身的路由表，若有去往目的的路由，则将该包发送到下一个路由器或直接发往下一个网段；否则，将该包丢掉。与路由器不同的是，包过滤防火墙，除了判断是否有到达目的网段的路由之外，还要根据一组包过滤规则来决定是否将包转发出去。（1）工作机制 包过滤技术可以允许或禁止某些包在网络上传递，它依据的是以下的判断：对包的目的地址作出判断对包的源地址作出判断对包的传送协议（端口号）作出判断一般地，在进行包过滤判断时不关心包的具体内容。包过滤只能让我们进行类似以下情况的操作，比如：不让任何工作站从外部网用telnet登录、允许任何工作站使用smtp往内部网发电子邮件。但包过滤不能允许我们进行如下的操作，如：允许用户使用ftp，同时还限制用户只可读取文件不可写入文件、允许某个用户使用telnet登录而不允许其他用户进行这种操作。包过滤系统处于网络的网际层（ip层）和运输层（tcp层），而不是应用层，所以它无法在应用层的具体操作进行任何过滤。以ftp（文件传输协议，适合于在异构网络中任意计算机之间传送文件）为例，ftp文件传输协议应用中包含许多具体的操作，如读取操作、写入操作、删除操作等。再有，包过滤系统不能识别数据包中的用户信息。（2）性能特点因为包过滤防火墙工作在网际层（ip层）和运输层（tcp层），所以处理包的速度要比代理服务型防火墙快它能够提供透明的服务，用户不用改变客户端程序因为只涉及到tcp层，所以与代理服务型防火墙相比，它提供的安全级别很低不支持用户认证，包中只有来自哪台机器的信息却不包含来自哪个用户的信息不提供日志功能2.3.2代理服务型防火墙 代理（proxy）服务型防火墙又称应用层网关级（application level gatewav）防火墙，代理服务（proxy service）系统一般安装并运行在双宿主机上。它的结构如图2.2所示，采用主机取代路由器执行安全控制功能，类似于包过滤防火墙。双宿主机即一台配有多个网络接口的主机，它可以用来在内部网络和外部网络之间进行寻径，如果在一台双宿主机中寻径功能被禁止了，则这个主机可以隔离与它相连的内部网络与外部网络之间的通信，而与它相连的内部网络和外部网络仍可以执行由它所提供的网络应用，如果这个应用允许的话，它们就可以共享数据，这样就保证内部网络和外部网络的某些节点之间可以通过双宿主机上的共享数据传递信息，但内部网络与外部网络之间却不能传递信息，从而达到保护内部网络的作用。简单而言，双宿主机是一个被取消路由功能的主机，与双宿主机相连的外部网络与内部网络之间在网络层是被断开的。这样做的目的是使外部网络无法了解内部网络的拓扑。这与包过滤防火墙是不同的，就逻辑拓扑而言，代理服务型防火墙要比包过滤型更安全。 筛选路由器 代理服务器 筛选路由器内部网络外部网络 图2.1 应用层网关防火墙由于内部网络和外部网络在网络层是断开的，所以要实现内外网络之间的应用通讯就必须在网络层之上。代理系统是工作在应用层，代理系统是客户机和真实服务器之间的中介，代理系统完全控制客户机和真实服务器之间的流量，并对流量情况加以记录。目前，代理服务型防火墙产品一般还都包括有包过滤功能。（1）工作机制代理服务型防火墙按如下标准步骤对接收的数据包进行处理：接收数据包，检查源地址和目标地址，检查请求类型，调用相应的程序，对请求进行处理以一个外部网络的用户通过telnet访问内部网络中的主机为例：接收数据包检查源地址和目标地址检查请求类型调用相应的程序对请求进行处理（2）性能特点提供的安全级别高于包过滤型防火墙代理服务型防火墙可以配置成唯一的可被外部看见的主机以保护内部主机免受外部攻击可以强制执行用户认证代理工作在客户机和真实服务器之间，完全控制会话，能提供详细的审计日志代理的速度比包过滤慢随着因特网络技术的发展，不论在速度上还是在安全上都要求防火墙技术也要更新发展，基于上下文的动态包过滤防火墙就是对传统的包过滤型和代理服务型防火墙进行了技术更新。2.3.3状态包过滤型防火墙为了克服包过滤模式明显的安全性不足的问题, 一些包过滤型防火墙厂商推出了状态包过滤的概念。在包过滤技术的基础上，通过基于上下文的动态包过滤模块检查，增强了安全性检查。它不再只是分别对每个进来的包简单地就地址进行检查，动态包过滤型防火墙在网络层截获进来的包，直到足够的数量，以便能够确定此试图连接的有关“状态”。然后用防火墙系统内核中“专用的检查模块”对这些包进行检查。安全决策所需的相关状态信息经过这个“专用的检查模块”检查之后，记录在动态状态表中，以便对其后的数据包通讯进行安全评估。经过检查的包穿过防火墙，在内部与外部系统之间建立直接的联系。尽管基于上下文的状态包过滤检查的方法明显地提高了安全性，但它仍然无法与应用层代理防火墙相比。动态包过滤防火墙的典型代表是checkpoint firewal-1防火墙。第3章 基于企业需求分析- cisco防火墙的具体实现3.1 企业需求及背景3.1.1 公司简介有限公司成立于2006 年，是由股份有限公司控股，整合本地优势资源设立的青岛地区的防伪税控服务单位，经营范围主要是防伪税控、软件开发、产品研发、网络安全、通讯技术、系统集成工程，服务外包等，为企事业单位提供信息化解决方案、产业化培训服务等多项业务。目前，公司已通过 iso9001-2000 质量管理体系认证，并且已顺利通过高新技术企业和软件企业的认定。公司设有综合部、经营部、产品事业部、财务部、质量部、服务支持部等部门和 8 个分公司，现有员工 200 余人，其中计算机类专业人员 160 余名，拥有一支朝气蓬勃，干劲十足的队伍通过四年来的发展，公司承担着青岛市范围内的防伪税控、税控收款机、网络发票等用户的涉税业务，并相应提供网上办税、远程抄报、自助报税终端等税务延伸产品。3.1.2 一次入侵危机由于日常太多的维护工作而忽略了系统策略及安全政策的制定及执行不力，管理员的日常维护工作又没有标准可循，系统及数据备份也是根本没有考虑到灾难恢复，经常会有一些系统安全问题暴漏出来。该公司网站使用windows 2003上的iis作为对外的web服务器，该网站web服务器负责公司的信息提供和电子商务。在外网上部署了硬件防火墙，只允许到服务器tcp 80端口的访问。但是在2010年11月的一天上午，一个顾客发邮件通知公司的网站管理员，说公司网站的首页被人修改，同时发布到国内的某黑客论坛，介绍入侵的时间和内容。网管立刻查看网站服务器，除了网站首页被更改还发现任务列表中存在未知可疑进程，并且不能杀死，同时发现网站数据库服务器有人正在拷贝数据。网管及时断开了数据服务器，利用备份程序及时恢复网站服务器内容，但是过了不到半个小时，又出现了类似的情况。 经过初步安全检查，发现以下问题：l 邮件服务器没有防病毒扫描模块；l 客户端有w32/mdoommm邮件病毒问题；l 路由器密码缺省没有修改过，非常容易被人攻击；l 网站服务器系统没有安装最新微软补丁；l 用户访问没有设置复杂密码验证，利用字典攻击，非常容易猜出用户名 和密码；l 数据库系统sql 2000 sa用户缺省没有设置密码；l 数据库系统sql 2000没有安装任何补丁程序。对此，公司召开了紧急会议，希望藉此吸取教训，彻底整改，在进行安全风险评估的基础上，全面提高公司的网络安全性。此次彻底整改主要涉及的是防火墙方面。3.1.3 现状概述有限公司总部设在青岛市内，在青岛市郊区共有7个分公司。网络中心设在总部。公司内近二百台普通客户端和数台服务器（主要是oa、vpn、财务），公司总部同分公司通过vpn专线进行互联，见图3.1。由于专线在同各分公司互联的同时也承担公司日常办公上的任务，经常会遭到来自互联网络的攻击或入侵。图3.1 公司网络概况3.1.4 需求分析如果办公网络遭受入侵，将很有可能导致各部门的机密资料外泄，以至于泄漏重要的商业机密。防火墙是抵御黑客的第一道防线，可检查进出的数据包，透视应用层协议，与既定的安全策略进行比较。防火墙可以提供用户认证，负载均衡，网络地址翻译（nat）等功能，是保证网络初步安全必不可少的设备。如果第一道防线没有经过安全的配置，这道防线就形同虚设，那么这个网络就没有安全性可言。3.1.5 系统安全目标基于以上的分析，个人认为公司网络系统安全应该实现以下目标：建立一套完整可行的网络安全与网络管理策略。将公司局域网、公司服务器组和公司办公网进行有效隔离，避免公司局域网、公司服务器组和公司办公网络的直接通信。建立办公网络各主机和服务器的安全保护措施，保证系统安全。对网上服务请求内容进行控制，使非法访问在到达主机前被拒绝。加强合法用户的访问认证，同时将用户的访问权限控制在最低限度。加强对各种访问的审计工作，详细记录对网络、公开服务器的访问行为，形成完整的系统日志。加强网络安全管理，提高系统全体人员的网络安全意识和防范技术。3.1.6 方案设计概述根据需求，该方案中防火墙系统保护的安全区域定义为有限公司。防火墙部署在总部边界网关处，即公司局域网及外连路由器之间。防火墙部署采用“路由”模式加nat的模式通过对网络系统的安全风险和安全需求以及安全目标的分析，结合公司网络的实际情况，在青岛公司局域网系统中应该着重考虑对公司服务器组区域和公司内部办公网络区域进行安全防护，同时对于总部局域网各部门机构服务器组网络要考虑数据的保密性和完整性，对于办公网要考虑服务器的安全性。建议在总部和分公司之间使用防火墙系统进行安全保护，做到万无一失。有限公司网络拓扑图见图3.2。图3.2 有限公司拓扑图 根据实际考虑及市场调查比较后，决定采用思科防火墙。设立cisco防火墙的主要目的是保护一个网络不受来自另一个网络的攻击。对网络的保护包括下列工作：拒绝未经授权的用户访问，阻止未经授权的用户存取敏感数据，同时允许合法用户不受妨碍地访问网络资源。从某种意义上来说，cisco防火墙实际上代表了一个网络的访问原则，如果某个网络决定设定cisco防火墙，那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略(security policy)，即确定那些类型的信息允许通过cisco防火墙，那些类型的信息不允许通过cisco防火墙6。cisco防火墙的职责就是根据本单位的安全策略，对外部网络与内部网络交流的数据进行检查，符合的予以放行，不符合的拒之门外。在设计cisco防火墙时，除了安全策略以外，还要确定cisco防火墙类型和拓扑结构。 对此次设计来说，根据此公司的实际需求，cisco防火墙被设置在可信赖的内部网络和不可信赖的外部网络之间，cisco防火墙相当于一个控流器，可用来监视或拒绝应用层的通信业务，cisco防火墙也可以在网络层和传输层运行，在这种情况下，cisco防火墙检查进入和离去的报文分组的ip和tcp头部，根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过。cisco防火墙是用来实现一个组织机构的网络安全措施的主要设备。 在许多情况下需要采用验证安全和增强私有性技术来加强网络的安全或实现网络方面的安全措施。3.2 cisco防火墙的基本构件和技术3.2.1 筛选路由器 (screening router) 许多路由器产品都具有根据给定规则对报文分组进行筛选的功能，这些规则包括协议的类型、特定协议类型的源地址和目的地址字段以及作为协议一部分的控制字段。例如在常用的cisco路由器上就具有这种对报文分组进行筛选的功能，这种路由器被称为筛选路由器。最早的cisco路由器只能根据ip数据报头部内容进行过滤，而目前的产品还可以根据tcp端口及连接建立的情况进行过滤, 而且在过滤语法上也有了一定改进。筛选路由器提供了一种强有力的机制，可用于控制任何网络段上的通信业务类型。而通过控制一个网络段上的通信业务类型，筛选路由器可以控制该网络段上网络服务的类型，从而可以限制对网络安全有害的服务。筛选路由器可以根据协议类型和报文分组中有关协议字段的值来区别不同的网络通信业务。路由器根据与协议相关的准则来区别和限制通过其端口的报文分组的能力被称为报文分组过滤. 因此，筛选路由器又称为分组过滤路由器。 应用筛选路由器时需要考虑的问题 （1） 识别危险区域 由于internet上有如此众多的用户，其中难免有少数居心不良的所谓“黑客”， 这种情况就象迁入一个大城市时会遇到犯罪问题一样。 在大城市中，使用带锁的门来保护我们的居室是明智之举，在这种环境下要求凡事要小心谨慎，因此当有人来敲我们的门时，应首先查看来人，再决定是否让来人进入。如果来人看起来很危险(安全风险很高)，则不应让其进来。 类似地，筛选路由器也通过查看进入的分组来决定它们当中是否有可能有害的分组。 企业网络中的边界被称为安全环形防线，由于在internet上危险的“黑客”很多，确定一个危险区域是很有用的。 这个危险区域就是指通过internet可以直接访问的所有具有tcp/ip功能的网络。这里“具有tcp/ip功能”是指一台主机支持tcp/ip协议和它所支持的上层协议，“直接访问”是指在internet和企业网络的主机之间没有设置强有力的安全措施(没有“锁门”)。从个人的角度上看，internet中的地区网、国家网和主干网都代表着一个危险区域，在危险区域内的主机对于外来攻击的防范是很脆弱的。因此，我们希望把自己的网络和主机置于危险区域之外，然而，没有相应的设备去拦截对自己网络的攻击，则危险区域将会延伸至自己的网络上。 筛选路由器就是这样一种设备，它可以用来减小危险区域，从而使其不能渗透到我们网络的安全防线之内。在企业网络中，可能不是所有的主机都具有tcp/ip功能， 即使这样，这些非tpc/ip主机也可能成为容易攻击的，尽管从技术上说它们不属于危险区域。 如果一台非tcp/ip主机与一台tcp/ip主机相连，就会发生这种情况。入侵者可以使用一种tcp/ip主机和非tcp/ip主机都支持的协议来通过tcp/ip主机访问非tcp/ip主机，例如：如果这两台主机都连在同一个以太网网段上，入侵者就可以通过以太网协议去访问非tcp/ip主机。筛选路由器本身不能够消除危险区域， 但它们可以极为有效地减小危险区域。（2） 筛选路由器和cisco防火墙与osi模型的关系 。按照与osi模型的关系将筛选路由器和cisco防火墙进行比较。筛选路由器的功能相当于osi模型的网络层(ip协议)和传输层(tcp协议)。cisco防火墙常常被描述为网关，而网关应可以在osi模型的所有七个层次上执行处理功能。 通常，网关在osi模型的第七层(应用层)执行处理功能， 对于大多数cisco防火墙网关来说，也确实如此。cisco防火墙可以执行分组过滤功能，因为cisco防火墙覆盖了网络层和传输层。某些厂商，可能是由于市场营销策略，模糊了筛选路由器和cisco防火墙之间的区别，将他们的筛选路由器产品称为cisco防火墙产品， 为了清晰起见，我们根据osi模型对筛选路由器和cisco防火墙加以区别。筛选路由器也被称为分组过滤网关。 使用“网关”这一术语来称呼分组过滤设备可能有以下理由，即在传输层根据tcp标志执行的过滤功能不属于路由器的功能，因为路由器运行在osi模型的网络层。 在网络层以上运行的设备也被称为网关。3.2.2 分组过滤 (packet filtering) 技术 筛选路由器可以采用分组过滤功能以增强网络的安全性。 筛选功能也可以由许多商业cisco防火墙产品和一些类似于karlbridge的基于纯软件的产品来实现。 但是，许多商业路由器产品都可以被编程以用来执行分组过滤功能。 许多路由器厂商，象cisco、bay networks、3com、dec、ibm等，他们的路由器产品都可以用来通过编程实现分组过滤功能。（1）分组过滤和网络安全策略 分组过滤可以用来实现许多种网络安全策略。 网络安全策略必须明确描述被保护的资源和服务的类型、重要程度和防范对象。 通常，网络安全策略主要用于防止外来的入侵，而不是监控内部用户10。 例如，阻止外来者入侵内部网络，对一些敏感数据进行存取和破坏网络服务是更为重要的。 这种类型的网络安全策略决定了筛选路由器将被置于何处，以及如何进行编程用来执行分组过滤。 良好的网络安全的实现同时也应该使内部用户难以妨害网络安全，但这通常不是网络安全工作的重点。网络安全策略的一个主要目标是向用户提供透明的网络服务机制。由于分组过滤执行在osi模型的网络层和传输层，而不是在应用层，所以这种途径通常比cisco防火墙产品提供更强的透明性。我们曾经提到cisco防火墙在osi模型应用层上运行，在这个层次实现的安全措施通常都不够透明。 （2） 一个分组过滤的简单模型 一个分组过滤装置常被置于一个或几个网段与其他网段之间。网段通常被分为内部网段和外部网段，外部网段将你的网络连向外部网络，例如internet；内部网段用来连接一个单位或组织内部的主机和其它网络资源。在分组过滤装置的每一个端口都可以实施网络安全策略，这种策略描述通过该端口可存取的网络服务的类型， 如果同时有许多网段同该过滤装置相连，则分组过滤装置所实施的策略将变得很复杂。一般来说，在解决网络安全问题时应该避免过于复杂的方案，其原因如下： 难于维护在配置过滤规则时容易发生错误执行复杂的方案将对设备的性能产生负作用在许多实际情况下，一般都只采用简单模型来实现网络安全策略。在这个模型中只有两个网段与过滤装置相连，典型的情况是一个网段连向外部网络，另一个连向内部网络。 通过分组过滤来限制请求被拒绝服务的网络通信流。 由于分组过滤规则的设计原则是有利于内部网络连向外部网络，所以在筛选路由器两侧所执行的过滤规则是不同的。换句话说，分组过滤器是不对称的。(2)分组过滤器的操作 当前，几乎所有的分组过滤装置(筛选路由器或分组过滤网关)都按如下方式操作：1 对于分组过滤装置的有关端口必须设置分组过滤准则，也称为分组过滤规则。2 当一个分组到达过滤端口时，将对该分组的头部进行分析. 大多数分组过滤装置只检查ip、tcp或udp头部内的字段。3 分组过滤规则按一定的顺序存贮。 当一个分组到达时，将按分组规则的存贮顺序依次运用每条规则对分组进行检查。4 如果一条规则阻塞传递或接收一个分组，则不允许该分组通。5 如果一条规则允许传递或接收一个分组，则允许该分组通过。6 如果一个分组不满足任何规则，则该分组被阻塞。从规则和，我们可以看到到将规则按适当的顺序排列是非常重要的。 在配置分组过滤规则时一个常犯的错误就是将分组过滤规则按错误的顺序排列。 如果一个分组过滤规则排序有错，我们就有可能拒绝进行某些合法的访问，而又允许访 问本想拒绝的服务。规则遵循守以下原则：未被明确允许的就将被禁止。这是一个在设计安全可靠的网络时应该遵循的失效安全原则, 与之相对的是一种宽容的原则，即：没有被明确禁止的就是允许的。如果采用后一种思想来设计分组过滤规则，就必须仔细考虑分组过滤规则没有包括的每一种可能的情况来确保网络的安全。 当一个新的服务被加入到网络中时，我们可以很容易地遇到没有规则与之相匹配的情况。 在这种情况下，不是先阻塞该服务，从而听取用户因为合法的服务被阻塞而抱怨，然后再允许该服务，我们也可以以网络安全风险为代价来允许用户自由地访问该服务，直到制定了相应的安全规则为止。3.2.3 双宿主机 (dual-homed host) 在tcp/ip网络中，术语多宿主机被用来描述一台配有多个网络接口的主机。 通常，每一个网络接口与一个网络相连。 在以前，这种多宿主机也可以用来在几个不同的网段间进行寻径，术语网关用来描述由多宿主机执行的寻径功能。 但近年来人们一般用术语路由器来描述这种寻径功能，而网关则用于描述相当于osi模型上几层中所进行的寻径功能。如果在一台多宿主机中寻径功能被禁止了，则这个主机可以隔离与它相连的网络之间的通信流量；然而与它相连的每一个网络都可以执行由它所提供的网络应用，如果这个应用允许的话，它们还可以共享数据。在双宿主机cisco防火墙中禁止寻径。 大多数cisco防火墙建立在运行unix的机器上。证实在双宿主机cisco防火墙中的寻径功能是否被禁止是非常重要的,如果该功能没有被禁止，就必须知道如何去禁止它。为了在基于unix的双宿主机中禁止进行寻径，需要重新配置和编译内核。 在bsd unix系统中该过程如下所述。使用make命令编译unix系统内核。 使用一个叫做config的命令来读取内核配置文件并生成重建内核所需的文件。内核配置文件在/usr/sys/conf或 /usr/src/sys目录下。在使用intel硬件的bsdi unix平台上，配置文件在/usr/src/sys/i386/conf目录下。为检查你所使用的是哪一个内核配置文件，你可以对内核映像文件使用strings命令并查找操作系统的名字。例如：% strings /bsd | grep bsdbsdi $id: if_pe.c, v 1.4 1993/02/21 20:35:01 karels exp $bsdi $id: if_petbl.c, v 1.2 1993/02/21 20:36:09 karels exp $bsd/386(#)bsdi bsd/386 1.0 kernel #0: wed mar 24 17:23:44 mst 1993polkhilltop.bsdi.com:/home/hilltop/polk/sys.clean/compile/generic最后一行说明当前的配置文件是generic。进入配置文件目录(/usr/src/sys/i386/conf)，将文件generic复制到一个新的配置文件中，其名字应对新的配置有所启发。例如，你可以将这个文件称为firewall或local.cd /usr/src/sys/i386/confcp generic firewall下一步，编辑文件firewall中的选项参数ipforwarding，将其值改为- 1，代表“不转发任何ip数据报”. 这个变量的作用是设置内核变量ipforwarding的值，从而禁止ip转发.options ipforwarding=-1 在某些其它的系统上，你看到的可能不是ipforwarding参数，而是：options gateway 为禁止ip分组的转发，可以将一个#号放在这一行的起始处，将这句话注释掉。 #options gateway 同时，检验下列tcp/ip内核配置语句是否存在：options inet # internet protocol support is to be includedpseudo-device loop # the loop back device is to be defined ()pseudo-device ehter # generic ethernet support such as arp functionspseudo-device pty # pseudo teletypes for telnet /rlogin accessdevice we0 at isa? port 0x280 # could be different for your ethernet interface运行config命令来建立local目录，然后进入该目录： config localcd ././compile/local然后，运行make命令来建立必要的相关部件和内核： make depend make将内核映像复制到根目录下，然后重新启动(reboot)：cp /bsd /bsd.oldcp bsd /bsd reboot现在，这台主机可以用来作为双宿主机cisco防火墙了。 怎样破坏双宿主机cisco防火墙的安全？ 了解双宿主机cisco防火墙的安全性是如何被破坏的是很有用的，因为这样一来就可以采取相应的措施来防止发生这种破坏。 对安全最大的危胁是一个攻击者掌握了直接登录到双宿主机的权限。登录到一个双宿主机上总是应该通过双宿主机上的一个应用层代理进行。对从外部不可信任网络进行登录应该进行严格的身份验证。 如果