通信技术毕业论文

毕业设计 (论文 ) 题目 ： 防火墙设计方案 学 院 信 息 技 术 工 程 学 院 年 级 2010 级 专 业 通 信 技 术 学 号 201001080116 学生姓名 罗素君 指 导教师 孟 勇 2011 年 5 月 四川科技职业学院毕业设计 (论文 ) 第 2 页 毕业设计 (论文 )鉴定表 院 系 信息技术工程学院 专 业 通信技术 年 级 2010 级 姓 名 罗素君 题 目 防火墙 设计方案 指导教师 评 语 过程得分： (占总成绩 20%) 是否同意参加毕业答辩 指导教师 (签 字 ) 答辩教师 评 语 答辩得分： (占总成绩 80%) 毕业论文总 成绩 等级： 答辩组成员签字 年 月 日 四川科技职业学院毕业设计 (论文 ) 第 3 页 毕业设计 (论文 )任务书 班 级 2010 级通信班 学生姓名 罗素君 学 号 201001080116 发题日期： 2010 年 5 月 6 日 完成日期： 5 月 7 日 题 目 防火墙设计方案 1、本论文的目的、意 义 目的 :合服网络宽带工程的进展和社会广大群众对对网络应 用的扩大，为了为了保证网络的安全 ，稳定，畅通的的运行 意义：作防火墙设计方案的意义是让社会广大人民知道什么是防火墙，防火墙是如何应用的，和防火墙的作用：防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的，潜在破坏性的侵入。让网络不在受第三方软件的入侵，更有利的让使网络的安全与畅通 2、学生应完成的任务 （ 1）作设计方案相关知识的搜集熟悉相关系统的操作和原理 （ 2）查找系统学习的相关资料和，进行智能规划的制定和代码的编写。 （ 3）代码的软件环境测试和调试校定。 （ 4）软件代码加入整个课题系统调试校定。 （ 5）论文的编写。 3、论文各部分内容及时间分配： (第 20 周 ) 第一部分 查找资料，文献，了解题目 (1-2 周 ） 第二部分 熟悉各种加密方法 (3-4 周 ) 第三部分 开始写论文（在老师的指导下） (5-6 周 ) 第四部分 参考别人的论文，把自己的完成的更好 (7-8 周 ) 第五部分 编写论文 (9-14 周 ) 评阅及答辩 修改论文及答辩 (15-20 周 ) 备 注 防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障 .是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使 Internet 与 Intranet 之间建立起一个安全网关（ Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关 4 个部分组成 。 四川科技职业学院毕业设计 (论文 ) 第 4 页 指导 教师： 孟勇 2010 年 5 月 6 日 审 批 人： 年 月 日 摘 要 随着计算机网络的日益普及，安全问题变得越来越重要。当今的 Internet 每时每刻都存在着危险，如果用户在使用 Internet 时不采用任何保护措施，就很容易遭受黑客的攻击。 Windows 操作系统不开放源代码，网络安全专家无法直接修改、增加操作系统中关于网络协议实现的代码来改善操作系统的安全性。因此在 Windows 平台下保护个人计算机安全上网是个值得研究的问题。 本文主要讨论 Windows 环境下的个人防火墙的实现技术。论文的第一部分介绍了网络安全的定义和个人防火墙的概念以及防火墙的发展史和分类。第二部分分析了各种网络协议架构，分析了它们的区别与联系并在此基础上分析了 Windows 网络体系结构。第三部分分析了内核模式下的数据包拦截技术，对 TDI 和 NDIS 数据包拦截技术进行了分析，并着重介绍了 TDI 过滤驱动程序。第四部分详细设计了个人防火墙的实现。第五部分对实现的个人防火墙进行功能和性能测试并分析了结果。 系统在开发实现过程中采用模块化、结构化的程序 设计 思想，提高了系统的灵活性和可移植性，可以很方便的通过控管规则实现对网络封包的认证操作，提高了系统的过滤效率。 关键词： 网络安全；防火墙； TDI； NDIS；过滤 四川科技职业学院毕业设计 (论文 ) 第 5 页 Abstract Along with the popularization of the computer network, security problems are being more and more important. Now the Internet is filled with danger if users who surf on the Internet do not adopt any protective measure，they will be easily attacked by hackers. Windows operating system do not open their source code, network security professors cannot directly alert or add the code about the realization of network protocols in the operating system to improve the security of the operating system. So it is worth the effort to investigate the problem of protecting pc from security problems in windows platform. This paper mainly discussed the personal firewall realization technique in windows environment. The first section of the paper introduced the definition of network security, personal firewall, the development and classes of the firewall. In the second part we introduced two types of network architecture, differences and relationships between them， then we analyzed windows network architecture .The third part analyzed packet filtration technique from core module ,introduced TDI and NDIS packet filtration technique, and stressed on TDI filtration driver. The forth section projected the realization of the firewall in details. The fifth part tested the function and performance of the firewall and analyzed the results. In the lization of this system, we adopted modularized and structured programming idea to improve the flexibility and portability of the system. It is very convenient to achieve authentication operation through control rules, 四川科技职业学院毕业设计 (论文 ) 第 6 页 this greatly improve systems filtration efficiency. key words： network security； firewall； TDI； NDIS； filtration； 目 录 第一章 防火墙的介绍 . 3 1.1 防火墙的定义 . 3 1.2 防火墙的类型 . 3 1.3 防火墙的拓扑 . 4 第二章 陈龙公司网络安全需求分析 . 6 2.1 公司网络安全需求分析 . 6 2.2 公司网络存在的风险 . 7 2.3 企业网络安全防范分析 . 10 2.4 陈龙公司安全 系统建设目标 . 11 第三章 陈龙公司防火墙布置 . 13 3 1 陈龙公司防火墙设计需求分析 . 13 3 2 防火墙选型 . 13 3 3 陈龙公司防火墙基本配置 . 21 第四章 防火墙的安全管理和维护 . 27 4.1 日常管理 . 27 4.2 监视系统 . 28 4.3 保持最新状态 . 30 结 论 . 31 致 谢 . 31 四川科技职业学院毕业设计 (论文 ) 第 2 页 参考文献 . 33 四川科技职业学院毕业设计 (论文 ) 第 3 页 第一章 防火墙的介绍 1.1 防火墙的定义 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障 .是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使 Internet 与 Intranet 之间 建立起一个安全网关（ Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关 4 个部分组成 。 防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件 (其中硬件防火墙用的较少，例如国防部以及大型机房等地才用 ,因为它价格昂贵 )。该计算机流入流出的所有网络通信均要经过此防火墙。 防火墙 英语为 firewall 英汉证券投资词典的解释为：金融机构内部将银行业务与证券业务严格区分开来的法律屏障，旨在防止可能出现的内幕消息共享等不公平交易出现。使用防 火墙比喻不要引火烧身。 当然，既然打算由浅入深的来了解，就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦著火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。在电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓 “ 防火墙 ” ，是指一种将内部网和公众访问网 (如 Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你 “ 同意 ” 的人和数据进入你的网络，同时将你 “ 不同意 ” 的人和 数据拒之门外，最大限度地阻止网络中的 黑客 来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问 Internet， Internet上的人也无法和公司内部的人进行通信。 1.2 防火墙的类型 1.包过滤防火墙 四川科技职业学院毕业设计 (论文 ) 第 4 页 包过滤 (Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的访问控制列表 (Access Control List)。通过检查数 据包的的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。包过滤防火墙的优点是费用不高且不用改动客户机和主机上的应用程序；缺点是数据包可能被窃听或假冒，一般无报警功能，无高质量的监控或日志记录功能，只要这一单一的设备被突破，即会受到危害。 2.应用层代理 应用层代理 (Application-level proxy)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。 3.链路层代理 链路层代理 (Circuit-level Proxy)是针对数据包过滤和应用层代理技术存在的缺点，将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链路”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。 4.复合型防火墙 复合型防火墙是指将包过滤的方法和基于应用层代理的方法结合起来形成的防火墙。 1.3 防火墙的拓扑 1.屏蔽路由器 屏蔽路由器 (图 1-1)是包过滤路由器的另一种称呼，它是一个 多端口的 IP 路由器，通过对每一个到来的 IP 包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息，例如协议号、收发报文的 IP 地址和端口号、连接标志以及另外一些IP 选项，对 IP 包进行过滤。 四川科技职业学院毕业设计 (论文 ) 第 5 页 屏蔽路由器的最大优点就是架构简单且硬件成本较低，缺点则是建立包过滤规则比较困难，加之屏蔽路由器的管理成本以及用户级身份认证的缺乏等。 图 1-1 包过滤路由器 2.单目壁垒主机 第二种流行的防火墙类型是使用一台单目主机加一台屏蔽路由器的屏蔽主机。单目壁垒主机 (图 1-2)既可以被配置成链路级也可以是应 用级网关。当使用这两种类型中的任意一种时，每一个都是代理服务器，壁垒主机可以隐藏内部网络的配置。单目壁垒主机使用网络地址翻译 (NAT)来提供这种功能。 这种实施方式更优于包过滤防火墙，因为它增加了一台壁垒主机，对于黑客来说他不仅需要攻破包过滤路由器还需要攻破壁垒主机。但比起包过滤器来说，这种方法的缺点在于成本的增加和性能的下降，因为多了一台设备且壁垒主机要对信息进行处理，网络需要更多的时间对用户的请求进行回应。 图 1-2 单目壁垒主机 3.多目壁垒主机 多目壁垒主机 (双目壁垒主机如图 1-3)的方法显著 地增加安全性，因为你可以配置 2 块或更多的网卡在主机上，这样，这种防火墙在网络和任意外部网络之间建立了一个完全的物理间隔。在这种方法中，黑客绕不过防火墙，此外，即使黑客能够使屏蔽路由器或多目壁垒主机失效，他仍将不得不渗透其他的防火墙实现类型，大大降低了攻击进行的速度。同单目壁垒主机一样，多目壁垒主机也允许网络管理员实施 NAT。 四川科技职业学院毕业设计 (论文 ) 第 6 页 图 1-3 双目目壁垒主机 4.DMZ(屏蔽子网防火墙 ) DMZ(Demilitarized Zone 非军事化区域 )(图 1-4)也被称作屏蔽子网防火墙，它在Internet 和你的网络 之间建立了一个相当安全的空间。它在定义时使用壁垒主机支持链路级和应用级网关，在这个配置中，所有公共的可访问的设备都被放在这个区域中。然后，这个 DMZ 像一个小的隔离的网络一样工作，安置于 Internet 和内部网络之间。这样的好处在于，黑客必须破坏三个分离的设备而且不被发现才能接近网络；内部网络不会被暴露；内部用户不能穿越壁垒主机而访问到 Internet。 图 1-4 数据避开双主机防火墙 第二章 陈龙公司网络安全需求分析 2.1 公司网络安全需求分析 公司的网络现状 四川科技职业学院毕业设计 (论文 ) 第 7 页 公司采用固定 IP 地址接入互连网，网络拓 扑如图 2-1。公司一共有 2 个工作组，为全交换式的工作组网络，工作组 1 是 1 台 Web 服务器和 1 台 FTP 服务器分别向外部用户和内部用户提供 Web 服务和 Ftp 服务；工作组 2 是公司的内部用户。 2 个工作组交换机通过一个总的节点交换机连接到代理服务器再连接到 Internet。 图 2-1 公司网络拓扑 2.2 公司网络存在的风险 由于企业网络由内部网络、外部网络和企业广域网组成，网络结构复杂，威胁主要来自：病毒的侵袭、黑客的非法闯入、数据 窃听 和拦截、拒绝服务、内部网络安全、电子商务攻击、恶意扫描、密码破解、数据篡改 、垃圾邮件、地址欺骗和基础设施破坏等。 下面来分析几个典型的网络攻击方式： 1.病毒的侵袭 几乎有计算机的地方，就有出现计算机病毒的可能性。计算机病毒通常隐藏在文件或程序代码内，伺机进行自我复制，并能够通过网络、磁盘、光盘等诸多手段进行传播。正因为计算机病毒传播速度相当快、影响面大，所以它的危害最能引起人们的关注。 病毒的 毒性 不同，轻者只会玩笑性地在受害机器上显示几个警告信息，重则有可能破坏或危及个人计算机乃至整个企业网络的安全 。 有些黑客会有意释放病毒来破坏数据，而大部分病毒 是在不经意之间被扩散出四川科技职业学院毕业设计 (论文 ) 第 8 页 去的。员工在不知情的情况下打开了已感染病毒的电子邮件附件或下载了带有病毒的文件，这导致了病毒的传播。这些病毒会从一台个人计算机传播到另一台，因而很难从某一中心点对其进行检测。 任何类型的网络免受病毒攻击最保险和最有效的方法是对网络中的每一台计算机安装防病毒软件，并定期对软件中的病毒定义进行更新。值得用户信赖的防病毒软件包括 Symantec、 Norton 和 McAfee 等。然而，如果没有 忧患意识 ，很容易陷入 盲从杀毒软件 的误区。 因此，光有工具不行，还必须在意识上加强 防范，并且注重操作的正确性；重要的是在企业培养集体防毒意识，部署统一的防毒策略，高效、及时地应对病毒的入侵 。 2.黑客的非法闯入 随着越来越多黑客案件的报道，企业不得不意识到黑客的存在。黑客的非法闯入是指黑客利用企业网络的安全漏洞，不经允许非法访问企业内部网络或数据资源，从事删除、复制甚至毁坏数据的活动。一般来说，黑客常用的入侵动机和形式可以分为两种。 黑客通过寻找未设防的路径进入网络或个人计算机，一旦进入，他们便能够窃取数据、毁坏文件和应用、阻碍合法用户使用网络，所有这些都会对企业造成危害 。黑客非法闯入将具备企业杀手的潜力，企业不得不加以谨慎预防。 防火墙是防御黑客攻击的最好手段。位于企业内部网与外部之间的防火墙产品能够对所有企图进入内部网络的流量进行监控。不论是基于硬件还是软件的防火墙都能识别、记录并阻塞任何有非法入侵企图的可疑的网络活动。硬件防火墙产品应该具备以下先进功能： （ 1） 状态检查 :在数据包通过防火墙时对数据进行检查，以确定是否允许进入局域网络。 （ 2） 流量控制 :根据数据的重要性管理流入的数据。 （ 3） 虚拟专用网 (VPN)技术 :使远程用户能够安全地连接局域 网。 （ 4） Java、 ActiveX 以及 Cookie 屏蔽 :只允许来自可靠 Web 站点上的应用程序运行。 （ 5） 代理服务器屏蔽 (Proxyblocking):防止局域网用户绕过互联网过滤系统 。 （ 6） 电子邮件发信监控 (Outgoinge-mailscreening):能够阻塞带有特定词句电子邮件的发送，以避免企业员工故意或无意的泄露某些特定信息。 四川科技职业学院毕业设计 (论文 ) 第 9 页 3.数据 窃听 和拦截 这种方式是直接或间接截获网络上的特定数据包并进行分析来获取所需信息。一些企业在与第三方网络进行传输时，需要采取有效措施来 防止重要数据被中途截获，如用户信用卡号码等。加密技术是保护传输数据免受外部窃听的最好办法，其可以将数据变成只有授权接收者才能还原并阅读的编码。 进行加密的最好办法是采用虚拟专用网 (VPN)技术。一条 VPN 链路是一条采用加密隧道 (tunnel)构成的远程安全链路，它能够将数据从企业网络中安全地输送出去。两家企业可以通过 Internet 建立起 VPN 隧道。一个远程用户也可以通过建立一条连接企业局域网的 VPN 链路来安全地访问企业内部数据。 4.拒绝服务 这类攻击一般能使单个计算机或整个网络瘫 痪，黑客使用这种攻击方式的意图很明显，就是要阻碍合法网络用户使用该服务或破坏正常的商务活动。例如，通过破坏两台计算机之间的连接而阻止用户访问服务；通过向企业的网络发送大量信息而堵塞合法的网络通信，最后不仅摧毁网络架构本身，也破坏整个企业运作。 5.内部网络安全 为特定文件或应用设定密码保护能够将访问限制在授权用户范围内。例如，销售人员不能够浏览企业人事信息等。但是，大多数小型企业无法按照这一安全要求操作，企业规模越小，越要求每一个人承担更多的工作。如果一家企业在近期内会迅速成长，内部网络的安 全性将是需要认真考虑的问题。 6.电子商务攻击 从技术层次分析，试图非法入侵的黑客，或者通过猜测程序对截获的用户账号和口令进行破译，以便进入系统后做更进一步的操作；或者利用服务器对外提供的某些服务进程的漏洞，获取有用信息从而进入系统；或者利用网络和系统本身存在的或设置错误引起的薄弱环节和安全漏洞实施电子引诱，以获取进一步的有用信息；或者通过系统应用程序的漏洞获得用户口令，侵入系统。 除上述威胁企业网络安全的主要因素外，还有如下网络安全隐患： 恶意扫描：这种方式是利用扫描工具 (软件 )对特定机器进行扫描，发现漏洞进而发起相应攻击。 四川科技职业学院毕业设计 (论文 ) 第 10 页 密码破解：这种方式是先设法获取对方机器上的密码文件，然后再设法运用密码破解工具获得密码。除了密码破解攻击，攻击者也有可能通过猜测或网络窃听等方式获取密码。 数据篡改：这种方式是截获并修改网络上特定的数据包来破坏目标数据的完整性。 地址欺骗：这种方式是攻击者将自身 IP 伪装成目标机器信任机器的 IP 地址，以此来获得对方的信任。 垃圾邮件 主要表现为黑客利用自己在网络上所控制的计算机向企业的邮件服务器发送大量的垃圾邮件，或者利用企业的邮件服务器把垃圾邮件发 送到网络上其他的服务器上。 基础设施破坏：这种方式是破坏 DNS 或路由器等基础设施，使得目标机器无法正常使用网络。 由上述诸多入侵方式可见，企业可以做的是如何尽可能降低危害程度。除了采用防火墙、数据加密以及借助公钥密码体制等手段以外，对安全系数要求高的企业还可以充分利用网络上专门机构公布的常见入侵行为特征数据 -通过分析这些数据，企业可以形成适合自身的安全性策略，努力使风险降低到企业可以接受且可以管理的程度。 2.3 企业网络安全防范分析 要保证系统安全的关键，首先要做到重视安全管理，不要 坐以 待毙 ，可以说，企业的信息安全，是一个整体的问题，需要从管理与技术相结合的高度，制定与时俱进的整体管理策略，并切实认真地实施这些策略 ，才能达到提高企业信息系统安全性的目的。 因此我们要做到： 风险评估：要求企业清楚自身有哪些系统已经联网、企业网络有哪些弱点、这些弱点对企业运作都有哪些具体风险，以及这些风险对于公司整体会有怎样的影响。 安全计划：包括建立企业的安全政策，掌握保障安全性所需的基础技术，并规划好发生特定安全事故时企业应该采取的解决方案。企业网络安全的防范策略目的就是决定一个组织机构怎样来保护 自己。 一般来说，安全策略包括两个部分：一个总体的安全策略和具体的规则。总体四川科技职业学院毕业设计 (论文 ) 第 11 页 安全策略制定一个组织机构的战略性安全指导方针，并为实现这个方针分配必要的人力物力。 计划实施：所有的安全政策，必须由一套完善的管理控制架构所支持，其中最重要的要素是要建立完整的安全性解决方案。 技术与管理不是孤立的， 此技术与管理是： 物理隔离：即在网络建设的时候单独建立两套相互独立的网络，一套用于部门内部办公自动化，另一套用于连接到 Internet，在同一时候，始终只有一块硬盘处于工作状态，这样就达到了真正 意义上的物理安全隔离。 远程访问控制：主要是针对于企业远程拨号用户，在内部网络中配置用户身份认证服务器。在技术上通过对接入的用户进行身份和密码验证，并对所有的用户机器的MAC 地址进行注册，采用 IP 地址与 MAC 地址的动态绑定，以保证非授权用户不能进入。 病毒的防护：培养企业的集体防毒意识，部署统一的防毒策略，高效、及时地应对病毒的入侵。 防火墙：目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关 , 它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明 的访问 , 同时阻止了外部未授权访问对专用网络的非法访问。一般来说 , 这种防火墙的安全性能很高，是最不容易被破坏和入侵的。 因此，公司的的网络安全必须依赖于防火墙，防御外来的侵入。 2.4 陈龙公司安全系统建设目标 随着公司的发展，互连网的发展，一方面，公司的工作站数量增加且需求或任务多样化给管理带来了更多的麻烦；另一方面，网络安全也面临着更大挑战。公司原来的网络安全方案早已经不能满足新的需求了。现在将公司安全系统建设目标罗列如下： 1.互连网用户和公司内部用户能够访问 Web 服务器 2.只有内部用户可以访问 Ftp 服务器 3.只允许做客户服务的员工 (IP 地址范围为： -0)在工作时间上互连网浏览网页和收发邮件 四川科技职业学院毕业设计 (论文 ) 第 12 页 4.允许出差员工通过 VPN 连接和内部网络进行互相访问 5.禁止除以上要求外的所有通讯四川科技职业学院毕业设计 (论文 ) 第 13 页 第三章 陈龙公司防火墙布置 3 1 陈龙公司防火墙设计需求分析 通过公司网络了解，公司的网络主要由办公室，财务处，科研室，服务中心，职工就业中心，公司机房这六个部分组成整个网络没有防火墙设备，只用一款软件防火墙，故效率低，抗攻击力效弱；因为网络安全的问题，目前财务处不能上网，这使严重影响本部门办事的效率，没有充分的利用网络给人们带来的方便和快捷；各个部门均在同一个网络中，这样使整个网络在一个冲突域中，在信息高峰时间会导致网络阻塞；内部是通过使用代理服务器上网，所有信息都通过服务器中的两个网卡进行转发，这样会导致网络速度很慢；为了实现本院网络发展趋势，故需在内网与外网之间布署一款硬件防火墙来补充目前网络面临的缺点 3 2 防火墙选型 3 2 1 选型类型 防火墙选型的类别： 第一，以需求为导向，选择最适合本企业需求的产品。由于防火墙的各项指标具有较强的专业性，因此企业在选择时，有必要把防火墙 的主要指标和需求联系起来。另外，还要考虑到企业可承受的性价比。 第二， 对于产品的选型，可参考的指标来源有厂家提供的技术白皮书、各种测评机构的横向对比测试报告，从中可以了解产品的一些基本性能情况。 第三，要完全按照企业的实际需求来对比各种品牌的满足程度，最好是根据需求，定制一套解决方案，并对防火墙在统一测试条件和测试环境下进行横向对比。 第 四 ，了解产品的性能指标、性能指标主要包括吞吐量、丢包率、延迟、最大并发连接数、并发连接处理速率等。用户在选择时，应该根据自身的网络规模和需求，对上述几个指标参数进行详 细了解，选择适合的产品。 因此：我们在防火墙选型上必要先了解防火墙的类别。 3 2 2 PIX 防火墙介绍 四川科技职业学院毕业设计 (论文 ) 第 14 页 强壮的安全特性 Internet 的发展为 公司 网络带来了更大的安全风险。现有的解决方案如运行在应用层的基于代理的防火墙具有很多限制条件，包括性能低、需要昂贵的通用平台、使用开放系统如 UNIX 时本身具有安全风险等。 而 Cisco Secure PIX 防火墙能够提供空前的安全保护能力，它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法（ ASA）。静态安全性虽然比较简单，但与包 过滤相比，功能却更加强劲；另外，与应用层代理防火墙相比，其性能更高，扩展性更强。 ASA 可以跟踪源和目的地址、传输控制协议（ TCP）序列号、端口号和每个数据包的附加 TCP 标志。只有存在已确定连接关系的正确的连接时，访问才被允许通过 Cisco Secure PIX 防火墙。这样做，内部和外部的授权用户就可以透明地访问企业资源，而同时保护了内部网络不会受到非授权访问的侵袭。 另外，实时嵌入式系统还能进一步提高 Cisco Secure PIX 防火墙系列的安全性。虽然 UNIX 服务器是广泛采用公开源代码的理想开放开发平 台，但通用的操作系统并不能提供最佳的性能和安全性。而专用的 Cisco Secure PIX 防火墙是为了实现安全、高性能的保护而专门设计。 与 IPsec 互操作的安全 VPN 从传统上来说，防火墙通过维护所连接网段之间所有连接的静态控制实现了边界安全性。目前，越来越多的客户正在寻求除了提供访问控制以外，还能提供 VPN 服务的防火墙。利用 VPN，远程用户或分布在各地的分支机构能够以更低的成本安全地访问企业网，同时，使用 Internet 访问可以大大降低与以前的专线或其它专用网络相关的电信费用。公司就不需要维护大 型的 Modem 池和访问服务器来处理远程的拨号用户，而这些都是需要花费大量资金并且让管理员头痛的事情。现在，只需要向 ISP 进行本地呼叫，用户就可以通过 Internet 安全的访问专用的企业 Intranet。 PIX 525 实现了在 Internet 或所有 IP 网络上的安全保密通信。它集成了 VPN的主要功能 - 隧道、数据加密、安全性和防火墙，能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。 525可以同时连接高达 4 个 VPN 层，为用户提供完整的 IPsec 标 准实施方法，其中 IPsec 保证了保密性、完整性和认证能力。对于安全数据加密， Cisco 的 IPsec 实现方法全部支持 56 位数据加密标准（ DES）和 168 位三重 DES 算法。 四川科技职业学院毕业设计 (论文 ) 第 15 页 极端的可靠性 PIX 防火墙提供了空前的可靠性，其平均无故障时间（ MTBF）超过 60000 小时。即使是达到了这样高的水平，那些 Internet、 Intranet 或 Extranet 连接是企业生命线的企业还是认识到了防火墙冗余是一项关键因素。防火墙的每一分钟停止运行都意味着收入、机会或关键信息的损失。 Cisco 已经创建了配合 PIX 525-UR 使用的故障切换捆绑程序，能够简单、便宜地满足上述要求。该程序包为企业提供了特别设计在故障切换模式下运行的第二个防火墙，而其价格仅是标准 PIX 525 UR 捆绑件的一小部分。 令人惊奇的灵活性 Cisco Secure PIX 525 防火墙支持各种网络接口卡（ NIC）。标准 NIC 包括单端口或 4 端口 10/100 快速以太网、千兆位以太网、 4/16 令牌环和双连接多模 FDDI 卡。 另外， PIX 525 还提供多种电源选件，用户可以选择交流或 48V 直流电源。每一种选件都配有为第二个 故障切换 PIX 系统准备的成对儿产品，从而实现最高的冗余和高可用性。 主要特性和优点 Cisco 端到端解决方案的组成部分 - 允许各公司将经济高效、无缝的网络基础设施扩展到分支机构。 最低的拥有成本 - 安装、配置简单，网络中断时间更少。另外，允许透明地支持 Internet 多媒体应用，不再需要实际调整和重新配置每一台客户工作站或 PC 机。 UNIX 的安全、实时和嵌入式系统 - 消除了通用 操作系统所带来的风险，提供了突出的性能。 于标准的虚拟专网 - 使管理员可以降低通过 Internet 或其它公共 IP 网络将移动用户和远程站点与企业网络相连的成本。 适应安全算法 - 为所有的 TCP/IP 对话提供静态安全性，以保护敏感的保密资源。 静态故障切换 /热备用 - 提供高可用性，使网络可靠性最大。 网络地址转换（ NAT） - 节省宝贵的 IP 地址；扩展网络地址空间；隐藏 IP 地址，使之不被外部得到。 断通过代理 - 提供业界最高的认证性能；通过重新使用现有认证数据库降 低拥有成本。 四川科技职业学院毕业设计 (论文 ) 第 16 页 多种网络接口卡 - 为 Web 和所有其它的公共访问服务器、与不同合作伙伴的多种外部网链路、得到保护的记录和 URL 过滤服务器提供强大的安全性。 支持多达 28 万个同时连接 - 部署很少的防火墙就能极大地提高代理服务器的性能。 防止拒绝服务攻击 - 保护防火墙及其后面的服务器和客户机不受破坏性的黑客攻击。 支持各种应用 - 全面降低防火墙对网络用户的影响。 Java Applet 过滤 - 使防火墙可以在每个客户机或每个 IP 地址上终止具有潜在危险的 Java 应用。 支持多媒体应用 - 降低了支持这些协议所需要的管理时间和成本。无需特殊的客户机配置。 设置简单 - 只需 6 条命令就能实现一般的安全策略。 紧凑设计 - 可以更加容易地部署在桌面或更小的办公设置中。 URL 过滤 - 当与 Websense 企业软件配合使用时，可以提供控制哪些 Web 站点的用户可以出于计费的目的来访问和维护审计跟踪数据的能力。对 PIX 防火墙性能的影响最小。邮件保护 - 不再需要外部邮件在外围网络中转发，也防止了外部邮件转发过程中的拒绝服务攻击。 3 2 3 技术规范 硬件 处理器： 600MHz Intel Pentium III 随机读写内存：高达 256 MB 闪存： 16 MB 接口：双集成 10 Base-T 快速以太网， RJ45 PCI 插槽： 3 个 控制台端口： RJ-45 设备更新处理：仅使用小型文件传输协议（ TFTP） 故障切换端口： DB-15（ RS 232） 物理指标 高度： 3.5 英寸（ 8.89 厘米） 四川科技职业学院毕业设计 (论文 ) 第 17 页 宽度： 17.5 英寸（ 44.45 厘米） 长度： 18.25 英寸（ 46.36 厘米） 重量：约 32 磅（ 14.5 千克） 电源需要 自 适应： 100 - 240VAC 频率： 50-60 Hz 电流： 5 - 2.5 安培 工作环境 工作温度： -5 - 55C （ -25 - 131F ） 非工作温度： -25 - 70C （ -13 - 158F ） 工作湿度： 95%相对湿度（ RH） 工作高度： 3000 米（ 9843 英尺）， 40C （ 104F ） 非工作高度： 4570 米（ 15000 英尺）， 25C （ 77F ） 工作冲击： 1.14 m/s（ 45 in/s）， 1/2 正弦输入 非工作冲击： 30G 工作震动： 0.41 Grms2（ 3-500Hz）随机输入 非工作震动： 0.41 Grms2（ 3-500Hz）随机输入 热耗（满功率使用时的最坏情况）： 410 BTU/小时（基于 30W 的 PS） EMI： CE、 VCCI Class II、 FCC、 BCIQ、 Austel 安全认证： UL, C-UL, TUV, IEC 950 UL-1950 标准：第三版 TUV EN 60950：第二版， Am. 1-4 陈龙公司防火墙的配置 四川科技职业学院毕业设计 (论文 ) 第 18 页 图 3-1 陈龙公司网络结构图 以上是我公司的网络结构图，我公司的网络主要由政务处， 财务处，科研室，服务中心，职员就业中心，公司机房这六个部分组成，整个网络由防火墙，交换机，服务器和 PC 组成，通过 cisco pix 525 防火墙与 internet 连接，向电信审请一个独立的公网IP： 2 ,公司机房和职工就业中心连接在 PIX525 的 E1 接口，政务处和财务处分别连接在 PIX525的 E2和 3接口，科研室和服务中心连接在 Pix525 E4接口上所有的服务器均连接在 PIX525 的 DMZ 区上 .如下是各个分区 IP 规划 : 公司机房 : IP:01/2454/24 网关 : DNS 9 Domain:S 职工就业中心 : IP:0/2400/24 网关 : DNS 9 Domain:S 政务处 : IP:0/2400/24 网关 : DNS 9 四川科技职业学院毕业设计 (论文 ) 第 19 页 Domain:S 财务处 : IP:0/2400/24 网关 : DNS 9 Domain:S 科研室 : IP:1/2400/24 网关 : DNS 9 Domain:S 服务中心 : IP:0/240/24 网关 : DNS 9 Domain:S DMZ: DNS server: (DC,RADIUS,公司业务系统 ,) IP: /24 网关 : DNS 9 Domain:S WEB server IP:/24 网关 : DNS 9 Domain:S PIX : E0(outside): 2 /28 E1(xuechuang) /24 E2(jiaowu)/24 E3(chaiwu)/24 E4(jiaohu)/24 E5(DMZ)/24 四川科技职业学院毕业设计 (论文 ) 第 20 页 陈龙公司防火墙连接 图 3-2 PIX 防火墙从外观上和路由器差不多。（如图 3-2）正面没有任何接口，只显示指示灯。所有的接口都在 PIX 防火墙的背面。（如图 3-3） 图 3-3 大家会发现该设备接口很多，从 RJ45 到 USB 接口，从显示器接口到电源接口。我们进一步放大背面各个接口可以看得更加清晰。（如图 3-4） 四川科技职业学院毕业设计 (论文 ) 第 21 页 图 3-4 可以根据图中的指示找到对应的接口，当然默认情况下 只有这些接口， 在公司我又增加了三张网卡 。我们用到最多的是 console 口（控制台）和 六个 RJ45 网线接口。安装 PIX 和安装普通的路由器和交换机一样，用锣钉将设备固定在 本院的 机柜上即可，同时注意散热和 UPS 不间断电源的供应。 一台新的 PIX 防火墙不经过任何配置是无法投入使用的。我们需要用 CONSOLE 线连接设备的 CONSOLE 口并根据实际应用环境进行设置，登录 PIX 的管理界面很简单，将CONSOLE 线连接控制台接口即可。 图 3-5 3 3 陈龙公司防火墙基本配置 四川科技职业学院毕业设计 (论文 ) 第 22 页 防火墙命名 Pixenable Pix#configure terminal Pix(config)#hostname Pix525 Pix525（ config） #enable password cisco enctypted Pix525（ config） # password cisco enctypted Pix525（ config） # domain-name 配置防火墙接口的名字，并指定安全级别（ nameif）： Pix525(config)#nameif Ethernet0 outside security 0 Pix525(config)#nameif Ethernet1 jichuang security 30 Pix525(config)#nameif Ethernet2 jiaowu security 100 Pix525(config)#nameif Ethernet3 chaiwu security 70 Pix525(config)#nameif Ethernet4 jiaohu security 30 Pix525(config)#nameif DMZ security 50 配置以太口参数（ interface）： Pix525(config)#interface Ehternet0 auto Pix525(config)#interface Ehternet1 100full Pix525(config)#interface Ehternet2 100full Pix525(config)#interface Ehternet3 100full Pix525(config)#interface Ehternet4 auto Pix525(config)#interface DMZ auto 配置内外网卡的 IP 地址（ ip address）： Pix525(config)#ip address jichuang Pix525(config)#ip address jiaowu Pix525(config)#ip address chaiwu Pix525(config)#ip address jiaohu Pix525(config)#ip address outside 2 52 Pix525(config)#ip address DMZ 配置 fixup 协议： 四川科技职业学院毕业设计 (论文 ) 第 23 页 fixup 命令作用是启用，禁止，改变一个服务或协议通过 pix 防火墙，由 fixup 命令指定的端口是 pix 防火墙要侦听的服务。 Pix525(config)#no fixup protocol smtp 80 Pix525(config)#fixup protocol dns maximum-length 512 Pix525(config)#fixup protocol ftp 21 Pix525(config)#fixup protocol h323 h225 1720 Pix525(config)#fixup protocol h323 ras 1718-1719 Pix525(config)#fixup protocol http 80 Pix525(config)#fixup protocol ils 389 Pix525(config)#fixup protocol rsh 514 Pix525(config)#fixup protocol rtsp 554 Pix525(config)#fixup protocol sip 5060 Pix525(config)#fixup protocol sip udp 5060 Pix525(config)#fixup protocol skinny 2000 Pix525(config)#fixup protocol smtp 25 Pix525(config)#fixup protocol sqlnet 1521 Pix525(config)#fixup protocol tftp 69 路由配置 Pix525(config)#Route outside interface Pix525(config)#Route jichuang 2 Pix525(config)#Route chaiwu 2 Pix525(config)#Route jiaohu 2 Pix525(config)#Route jiaowu 2 Pix525(config)#Route DMZ 2 VPN IPSEC 配置 Pix525(config)#aaa-server TACACS+ protocol tacacs Pix525(config)#aaa-server RADIUS protocol radius 四川科技职业学院毕业设计 (论文 ) 第 24 页 Pix525(config)#aaa-server LOCAL protocol local 服务器使用的协议 Pix525(config)#Sysopt connection permit-ipsec 对于所有 IPSec 流量不检测允许其通过 Pix525(config)#crypto ipsec transform-set aaades esp-des esp-md5-hmac 定义一个变换集 aaades Pix525(config)#crypto dynamic-map dynomap 10 set transform-set aaades 把变换集 aaades 添加到动态加密策略 dynomap Pix525(config)#crypto map vpnpeer 20 ipsec-isakmp dynamic dynomap 把动态加密策略绑定到 vpnpeer 加密图 Pix525(config)#crypto map vpnpeer client authentication RADIUS 定义需要验证服务器。 Pix525(config)#crypto map vpnpeer client configuration address initiate 定义给每个客户端分配 IP 地址 Pix525(config)#crypto map vpnpeer client configuration address respond 定义 PIX 防火墙接受来自任何 IP 的请求 Pix525(config)#crypto map vpnpeer interface outside 把动态加密图 vpnpeer 绑定到 outside 口 Pix525(config)#isakmp enable outside 在 outside 口启用 isakmp Pix525(config)#isakmp key 1234 address netmask 定义共享密匙，并接受任何地址的请求。 Pix525(config)#isakmp client configuration address-pool local dialer outside 将 VPN client 地址池绑定到 isakmp Pix525(config)#isakmp policy 10 authentication pre-share 定义 phase 1 使用 pre-shared key 进行认证 Pix525(config)#isakmp policy 10 encryption des 定义 phase 1 协商用 DES 加密算法 四川科技职业学院毕业设计 (论文 ) 第 25 页 Pix525(config)#isakmp policy 10 hash md5 定义 phase 1 协商用 MD5 散列算法 Pix525(config)#isakmp policy 10 group 2 定义 phase 1 进行 IKE 协商使用 DH group 2 Pix525(config)#isakmp policy 10 lifetime 86400 定义 IKE SA 生存时间 Pix525(config)#ip local pool dialer 0-00 定义分配给 VPN client 的 IP 地址池 Pix525(config)#vpngroup student0 address-pool dialer 定义 VPN client 拨入使用的 vpngroup 所分配的 IP 地址池 Pix525(config)#vpngroup student0 idle-time 1800 定义 vpngroup 的空闲时间 Pix525(config)#vpngroup student0 password 1234 定义 vpngroup 的 pre-shared key Pix525(config)#telnet inside Pix525(config)#telnet timeout 5 Pix525(config)#ssh 55 inside Pix525(config)#ssh timeout 20 Pix525(config)#terminal width 80 Pix525(config)#username vpnuser password vpnuser 在 PIX 上创建一个用户，用户名密码都为 vpnuser 防火墙 NAT 与 ACL 配置 配置 WEB 服务器被访问 Pix525(config)#static(inside,outside) tcp 2 www 80 netmask 55 0 0 Pix525(config)#static(inside,outside) udp 2 domain donain netmask 55 0 0 Pix525(config)#Conduit permit icmp any any Pix525(config)#Conduit permit tcp host eq www any 四川科技职业学院毕业设计 (论文 ) 第 26 页 Pix525(config)#conduit permit udp host 2 eq domain any Pix525(config)# Conduit permit ip host eq www any Pix525(config)# Conduit permit ip eq www any 配置办公网络地址转换 Pix525(config)#global(outside) 1 interface Pix525(config)#nat(jichuang) 1 Pix525(config)#nat(jiaowu) 1 Pix525(config)#nat(chaiwu) 1 Pix525(config)#nat(jiaohu) 1 PIX 具有 DHCP 服务功能 PIX525(config)#ipaddressdhcp PIX525(config)#dhcpdaddress-54 xuechuang PIX525(config)#dhcpdns PIX525(config)# PIX525(config)#dhcpdaddress-54 jiaowu PIX525(config)#dhcpdns PIX525(config)# PIX525(config)#dhcpdaddress-54 jiaohu PIX525(config)#dhcpdns PIX525(config)# 配置日志和保存配置 logging timestamp logging standby logging trap informational logging facility 22 logging host DMZ Pix525(config)#ip audit info action alarm Pix525(config)#ip audit attack action alarm - pix 入侵检测的 2 个命令。当有数据包具有攻击或报告型特征码时， pix 将采取报警动作（缺省动作），四川科技职业学院毕业设计 (论文 ) 第 27 页 向指定的日志记录主机产生系统日志消息；此外还可以作出丢弃数据包和发出 tcp 连接复位 信号等动作，需另外配置。 第四章 防火墙的安全管理和维护 4.1 日常管理 日常管理是经常性的琐碎工作，以使防火墙保持清洁和安全。为此，需要经常去完成的主要工作：数据备份、账号管理、磁盘空间管理等。 1.数据备份 一定要备份防火墙的数据。使用一种定期的、自动的备份系统为一般用途的机器做备份。当这个系统正常做完备份之后，最好还能发送出一封确定信，而当它发现错误的时候，也最好能产生一个明显不同的信息。 为什么只是在错误发生的时候送出一封信就好了呢 ?如果这个系统只在有错误的时候产生一封信，或许就有 可能不会注意到这个系统根本就没有运作。那为什么需要明显不同的信息呢 ?如果备份系统正常和执行失败时产生的信息很类似。那么习惯于忽略成功信息的人，也有可能会忽略失败信息。理想的情况是有一个程序检查备份有没有执行，并在备份没有执行的时候产生一个信息。 2.账号管理 账号的管理。包括增加新账号、删除旧账号及检查密码期限等，是最常被忽略的日常管理工作。在防火墙上，正确的增加新账号、迅速地删除旧账号以及适时地变更密码，绝对是一项非常重要的工作。 建立一个增加账号的程序，尽量使用一个程序增加账号。即使防火墙系 统上没有多少用户，但每一个用户都可能是一个危险。一般人都有一个毛病，就是漏掉一些步骤，或在过程中暂停几天。如果这个空档正好碰到某个账号没有密码，入侵者就很容易四川科技职业学院毕业设计 (论文 ) 第 28 页 进来了。 账号建立程序中一定要标明账号日期，以及每隔一阶段就自动检查账号。虽然不需要自动关闭账号，但是需要自动通知那些账号超过期限的人。可能的话，设置一个自动系统监控这些账号。这可以在 UNIX 系统上产生账号文件，然后传送到其他的机器上，或者是在各台机器上产生账号，自动把这些账号文件拷贝到 UNIX 上，再检查它们。 如果系统支持密码期限的功能，应该 把该功能打开。选择稍微长一点的期限，譬如说三到六个月。如果密码有效期太短，例如一个月，用户可能会想尽办法躲避期限，也就无法在安全防护上得到真正的收益。同理如果密码期限功能不能保证用户在账号被停用前看到密码到期通知，就不要开启这个功能。否则，用户会很不方便，而且也会冒着锁住急需使用机器的系统管理者的风险。 3.磁盘空间管理 数据总是会塞满所有可用的空间，即使在几乎没有什么用户的机器上也一样。人们总是向文件系统的各个角落丢东西，把各种数据转存到文件系统的临时地址中。这样引起的问题可能常常会超出人们的想象 。暂且不说可能需要使用那些磁盘空间，只是这种碎片就容易造成混乱，使事件的处理更复杂。于是有人可能会问：那是上次安装新版程序留下来的程序吗 ?是入侵者放进来的程序吗 ?那真的是一个普通的数据文件吗 ?是一些对入侵者有特殊意义的东西 ?等等，不幸的是能自动找出这种“垃圾”的方法没有，尤其是可以在磁盘上到处写东西的系统管理者。因此，最好有一个人定期检查磁盘，如果让每一个新任的系统管理者都去遍历磁盘会特别有效。他们将会发现管理员忽视的东西。 在大多数防火墙中，主要的磁盘空间问题会被日志记录下来。这些记录应该自动进行，自 动重新开始，这些数据最好把它压缩起来。 Trimlon 程序能够使这个处理程序自动化。当系统管理者要截断或搬移记录时，一定要停止程序或让它们暂停记录，如果在截断或搬移记录时，还有程序在尝试写入记录文件，显然就会有问题。事实上，即使只是有程序开启了文件准备稍后写入，也可能会惹上麻烦。 4.2 监视系统 对防火墙的维护、监视系统是维护防火墙的重点，它可以告诉系统管理者以下的问题： 四川科技职业学院毕业设计 (论文 ) 第 29 页 （ 1）防火墙已岌岌可危了吗 ? （ 2）防火墙能提供用户需求的服务吗 ? （ 3）防火墙还在正常运作吗 ? （ 4）尝试攻击 防火墙的是哪些类型的攻击 ? 要回答这几个问题，首先应该知道什么是防火墙的正常工作状态。 1.专用设备的监视 虽然大部分的监视工作都是利用防火墙上现成的工具或记录数据，但是也可能会觉得如果有一些专用的监视设备会很方便。例如，可能需要在周围网络上放一个监视站，以便确定通过的都是预料中的数据包。可以使用有网络窥视软件包的一般计算机，也可以使用特殊用途的网络检测器。 如何确定这一台监视机器不会被入侵者利用呢 ?事实上，最好根本不要让入侵者知道它的存在。在某些网络硬件设备上，只要利用一些技术和一对断线器 (wire cutter)取消网络接口的传输功能，就可以使这台机器无法被检测到，也很难被入侵者利用。如果有操作系统的原始程序，也可以从那里取消传输功