防火墙技术在校园网络安全中的应用

重庆安技术职业学院计算机网络技术毕业设计 1 防火墙技术在校园网络安全中的应用防火墙技术在校园网络安全中的应用 摘要 网络技术在近几年的时间有了非常大的发展 经历了从无到有 从有到快 网 上信息资源也是从匮乏到丰富多彩 应有尽有 但随着网络速度越来越快 资源越 来越丰富 网络安全问题却也越来越严峻 网络安全防范对校园网的正常运行来讲 也就显得十分重要 在网络安全防范中 防火墙具有着不可或缺的地位 防火墙技术是在安全技术 当中又是最简单 也是最有效的解决方案 它不仅过滤了来自外部的探测 扫描 拒绝服务等攻击 还能避免内网已中木马的主机系统信息泄露 本论文在详细分析防火墙工作原理的基础上 提出一个功能较为完备 性能较 好 防火墙系统的本身也较为安全的防火墙系统的设计方案 同时介绍了具体实现 过程中的关键步骤和主要方法 该防火墙在通常的包过滤防火墙基础之上 又增加 了 MAC 地址绑定和端口映射等功能 使之具有更完备 更实用 更稳固的特点 通 过对于具有上述特点的防火墙的配置与测试工作 一方面使得所设计的防火墙系统 本身具有高效 安全 实用的特点 另一方面也对今后在此基础上继续测试其它网 络产品作好了一系列比较全面的准备工作 关键词 网络安全 防火墙 校园网 Abstract The network technology has got very great development in recent years and the online information resources are developing from deficient to rich and colorful too and fill with everything But with the development of the internet the safe of network is becoming more and more severe The network safe precaution seems very important for normal running of our campus network too In the network security guard against the firewall is a vital role in technology the firewall is the safety of technology is the simplest and most effective solution it is not only 重庆安技术职业学院计算机网络技术毕业设计 2 from the exploration and scanning services to attack we can avoid the net has been in information disclosure of the wooden host computer This thesis put forward a function in detailed analysis firewall working the foundation of the principle more complete function than good fire wall system of oneself the design project of the too safe fire wall system and introduces to realizes in a specific way at the same time key in the process step with main method That firewall is in the usual a percolation firewall foundation on increased again the MAC address bind to settle the special function in etc making it have the fresh and clear characteristics Pass to make fire wall that have the research of the above characteristics and development work very much a firewall for developing system oneself have efficiently safety practical characteristics on the other hand too to from now on here foundation ascend develop continuously Keywords Network Security Firewall Campus Network 1 概述概述 学技术的飞速发展 人们已经生活在信息时代 计算机技术和网络技术深入到 社会的各个领域 因特网把 地球村 的居民紧密地连在了一起 近年来因特网的 飞速发展 给人们的生活带来了全新地感受 人类社会各种活动对信息网络地依赖 程度已经越来越大 然而 凡事 有利必有一弊 人们在得益于信息所带来的新 的巨大机遇的同时 也不得不面对信息安全问题的严峻考验 黑客攻击 网站被 黑 CIH 病毒 无时无刻不充斥在网络中 电子战 已成为国与国之间 商家与商家之间的一种重要的攻击与防卫手段 因此信息安全 网络安全的问题已 经引起各国 各部门 各行各业以及每个计算机用户的充分重视 因特网提供给人 们的不仅仅是精彩 还无时无刻地存在各种各样的危险和陷阱 对此 我们既不能 对那些潜在的危险不予重视 遭受不必要的损失 也不能因为害怕某些危险而拒绝 因特网的各种有益的服务 对个人来说这样会失去了了解世界 展示自己的场所 对企业来说还失去了拓展业务 提高服务 增强竞争力的机会 不断地提高自身网 络的安全才是行之有效地办法 本文作者在导师的指导下 独立完成了该防火墙系 重庆安技术职业学院计算机网络技术毕业设计 3 统方案的配置及安全性能的检测工作 本论文在详细分析防火墙工作原理基础上 针对我校防火墙的实际情况 提出了一个能够充分发挥防火墙性能 提高防火墙系 统的抗攻击能力的防火墙系统配置方案 同时介绍了具体实现过程中的关键步骤和 主要方法 并针对我校的防火墙系统模拟黑客进行攻击 检查防火墙的安全漏洞 并针对漏洞提供相应的解决方案 该防火墙在通常的包过滤防火墙基础之上 又增 加了 MAC 地址绑定 端口映射等特殊功能 使之具有鲜明的特点 通过对于具有上 述特点的防火墙的研究 配置与测试工作 一方面使得我校防火墙系统本身具有高 效 安全 实用的特点 另一方面在此基础上对今后可能出现的新问题作好了一系 列比较全面的准备工作 1 1 课题意义课题意义 安全是一个不容忽视的问题 当人们在享受网络带来的方便与快捷的同时 也 要时时面对网络开放带来的数据安全方面的新挑战和新危险 为了保障网络安全 当局域网与外部网连接时 可以在中间加入一个或多个中介系统 防止非法入侵者 通过网络进行攻击 非法访问 并提供数据可靠性 完整性以及保密性等方面的安 全和审查控制 这些中间系统就是防火墙 Firewall 技术如图 1 1 图 1 1 防火墙功能图 它通过监测 限制 修改跨越防火墙的数据流 尽可能地外屏蔽网络内部的结 重庆安技术职业学院计算机网络技术毕业设计 4 构 信息和运行情况 阻止外部网络中非法用户的攻击 访问以及阻挡病毒的入侵 以此来实现内部网络的安全运行 因此本课题的任务与目的在于如何构建一个相对 安全的计算机网络平台 使其免受外部网络的攻击 1 2 网络安全技术网络安全技术 网络安全技术指致力于解决诸如如何有效进行介入控制 以及何如保证数据传 输的安全性的技术手段 主要包括物理安全分析技术 网络结构安全分析技术 系 统安全分析技术 管理安全分析技术 及其它的安全服务和安全机制策略 网络安全技术分为 虚拟网技术 防火墙枝术 病毒防护技术 入侵检测技术 安全扫描技术 认证和数字签名技术 VPN 技术 以及应用系统的安全技术 其中虚拟网技术防止了大部分基于网络监听的入侵手段 通过虚拟网设置的访 问控制 使在虚拟网外的网络节点不能直接访问虚拟网内节点 例如 vlan 但是其 安全漏洞相对更多 如 IP sweep teardrop sync flood IP spoofing 攻击等 防火墙枝术是一种用来加强网络之间访问控制 防止外部网络用户以非法手段 通过外部网络访问内部网络资源 保护内部网络操作环境的特殊网络互联设备 它 对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查 以决定网络之间的通信是否被允许 并监视网络运行状态 但是防火墙无法防范通过 防火墙以外的其它途径的攻击 不能防止来自内部用户们带来的威胁 也不能完全 防止传送已感染病毒的软件或文件 以及无法防范数据驱动型的攻击 防火墙的分 类有包过滤型 地址转换型 代理型 以及检测型 病毒防护技术是指阻止病毒的传播 检查和清除病毒 对病毒数据库进行升级 同时在防火墙 代理服务器及 PC 上安装 Java 及 ActiveX 控制扫描软件 禁止未经 许可的控件下载和安装 入侵检测技术 IDS 可以被定义为对计算机和网络资源的恶意使用行为进行 识别和相应处理的技术 是一种用于检测计算机网络中违反安全策略行为的技术 安全扫描技术是为管理员能够及时了解网络中存在的安全漏洞 并采取相应防 范措施 从而降低网络的安全风险而发展起来的一种安全技术 认证和数字签名技术 其中的认证技术主要解决网络通讯过程中通讯双方的身 份认可 而数字签名作为身份认证技术中的一种具体技术 同时数字签名还可用于 通信过程中的不可抵赖要求的实现 VPN 技术就是在公网上利用随到技术来传输数据 但是由于是在公网上进行传 输数据 所以有一定的不安全性 应用系统的安全技术主要有域名服务 Web Server 应用安全 电子邮件系统安 全和操作系统安全 1 3 防火墙介绍防火墙介绍 所谓防火墙指的是一个由软件和硬件设备组合而成 在内部网和外部网之间 专用网与公共网之间的界面上构造的保护屏障 从而是一种获取安全的形象说法 它是一种计算机硬件和软件的结合 使 Internet 与 Internet 之间建立起一个安全网关 Security Gateway 从而保护内部网免受非法用户的侵入 防火墙主要由服务访 问规则 验证工具 包过滤和应用网关 4 个部分组成 重庆安技术职业学院计算机网络技术毕业设计 5 1 4 防火墙技术发展趋势防火墙技术发展趋势 防火墙技术的发展离不开社会需求的变化 着眼未来 我们注意到以下几个新 的需求 远程办公的增长 全国主要城市先后受到 SARS 病毒的侵袭 直接促成大量的 企事业在家办公 这就要求防火墙既能抵抗外部攻击 又能允许合法的远程访问 做到更细粒度的访问控制 现在一些厂商推出的 VPN 虚拟专用网 技术就是很 好的解决方式 只有以指定方式加密的数据包才能通过防火墙 这样可以确保信息 的保密性 又能成为识别入侵行为的手段 内部网络 包厢化 compartmentalizing 人们通常认为处在防火墙保 护下的内网是可信的 只有 Internet 是不可信的 由于黑客攻击技术和工具在 Internet 上随手可及 使得内部网络的潜在威胁大大增加 这种威胁既可以是外网 的人员 也可能是内网用户 不再存在一个可信网络环境 由于无线网络的快速应用以及传统拨号方式的继续存在 内网受到了前所未有 的威胁 企业之前的合作将合作伙伴纳入了企业网络里 全国各地的分支机构共享 一个论坛 都使可信网络的概念变得模糊起来 应对的办法就是将内部网细分成一 间间的 包厢 对每个 包厢 实施独立的安全策略 1 5 防火墙产品发展趋势防火墙产品发展趋势 防火墙可说是信息安全领域最成熟的产品之一 但是成熟并不意味着发展的停 滞 恰恰相反 日益提高的安全需求对信息安全产品提出了越来越高的要求 防火 墙也不例外 下面我们就防火墙一些基本层面的问题来谈谈防火墙产品的主要发展 趋势 模式转变 传统的防火墙通常都设置在网络的边界位置 不论是内网与外网的 边界 还是内网中的不同子网的边界 以数据流进行分隔 形成安全管理区域 未 来的的防火墙产品将开始体现出一种分布式结构 以分布式为体系进行设计的防火 墙产品以网络节点为保护对象 可以最大限度地覆盖需要保护的对象 大大提升安 全防护强度 功能扩展 防火墙的管理功能一直在迅猛发展 在将来 通过类似手机 PDA 这类移动处理设备也可以方便地对防火墙进行管理 当然 这些管理方式的扩展需 要首先面对的问题还是如何保障防火墙系统自身的安全性不被破坏 性能提高 未来的防火墙产品由于在功能性上的扩展 以及应用日益丰富 流 量日益复杂所提出的更多性能要求 会呈现出更强的处理性能要求 而寄希望于硬 件性能的水涨船高肯定会出现瓶颈 所以诸如并行处理技术等经济实用并且经过足 够验证的性能提升手段将越来越多的应用在防火墙产品平台上 相对来说 单纯的 流量过滤性能是比较容易处理的问题 而与应用层涉及越密 性能提高所需要面对 的情况就会越复杂 在大型应用环境中 防火墙的规则库至少有上万条记录 而随 着过滤的应用种类的提高 规则数往往会以趋进几何级数的程度上升 这是对防火 墙的负荷是很大的考验 使用不同的处理器完成不同的功能可能是解决办法之一 例如利用集成专有算法的协处理器来专门处理规则判断 在防火墙的某方面性能出 现较大瓶颈时 我们可以单纯地升级某个部分的硬件来解决 这种设计有些已经应 用到现有的产品中了 也许未来的防火墙产品会呈现出非常复杂的结构 重庆安技术职业学院计算机网络技术毕业设计 6 2 需求分析需求分析 2 1 校园网络安全分析校园网络安全分析 高校校园网一般都是采用最先进的网络技术架构的 用户较多 使用面较广 存在的安全隐患和漏洞相对较广泛 大多有如下几个方面 校园网与 Internet 相连 在享受 Internet 方便快捷的同时 也面临着遭遇 攻击的风险 高校校园网速度比较快 我院与电脑的出口带宽达到了 1Gbps 这给网络入侵和攻击也提供了一个快速通道 校园网内部也存大很大的安全隐患 由于内部用户对网络的结构和应用 模式都比较了解 因些来自内部的安全威胁会更大一些 目前使用的操作系统存在安全漏洞 对网络安全构成了威胁 例如 Windows 2000 Windows 2003 Windows 2008 的普遍性和可操性使它成为最不 安全的系统 自身安全漏洞 浏览器的漏洞 病毒木马等 随着校园内计算机应用的大范围普入 接入校园网的节点数日益增多 而这些节点大部分都没有采取安全防护措施 随时有可能造成病毒泛滥 信息 丢失 数据损坏 网络攻击 系统瘫痪等严重后果 内部用户对 Internet 的非法访问威胁 如浏览黄色 暴力 反动等网站 以及由于下载文件可能将木马 蠕虫 病毒等程序带入校园内网 内外网恶意 用户可能利用一些工具对网络入服务器发起 Dos DDoS 攻击 导致网络及服务 不可用 高校学生通常是最活跃的网络用户 对网络的各种技术都充满了好奇 有强大的求知和实验的欲望 勇于尝试 不计后果 校园网内针对如的黑客程 序 ARP 病毒 超级网管随处可见 鉴于上述不安全因素 有必要为校园网设计一个严密的防火墙 2 2 校园网防火墙部署思路校园网防火墙部署思路 防火墙是网络安全的屏障 一个防火墙 作为阴塞点 控制点 能极大地提高 一个内部网络的安全性 并通过过滤不安全的服务而降低风险 由于只有经对精心 选择的应用协议才能通过防火墙 所以网络环境变得更安全 在防火墙设置上我们 按照以下原则配置来提高网络安全性 根据校园网安全策略和安全目标 规划设置正确的安全过滤规则 规则 审核 IP 数据包的内容包括 协议 端口 源地址 目的地址 流向等项目 严 格禁止来自公网对校园内部网不必要的 非法的访问 总体上遵从 不被允许 的服务就被禁止 的原则 将防火墙配置成过滤掉以内部网络地址进入路由器的 IP 包 这样可以 防范源地址假冒和源路由类型的攻击 过滤掉以非法 IP 地址离开内部网络的 IP 包 防止内部网络发起的对外攻击 在防火墙上建立内网计算机的 IP 地址和 MAC 地址对应表 防止 IP 地 址被盗用 重庆安技术职业学院计算机网络技术毕业设计 7 在局域网的入口架设行兆防火墙 并实现 VNP 的功能 在校园网络入 口建立第一层的安全屏障 VPN 保证了管理员在家里或出差时能够安全接入数 据中心 定期查看防火墙访问日志 及时发现攻击行为和不良上网记录 允许通过配置网卡对防火墙设置 提高防火墙管理安全性 3 校园网面对的安全威胁校园网面对的安全威胁 3 1 物理安全物理安全 保证计算机网络系统各种设备的物理安全是整个网络安全的前提 计算机网络 的物理安全是在物理介质层次上数据传输 数据存储和数据访问安全 计算机网络 的物理安全包括构成网络的相关基础设施的安全 网络的运行环境比如温度 湿度 电源等 自然环境的影响以及人的因素等对计算机网络的物理安全和运行的影响 物理安全是保护计算机网络设备 设施以及其它媒体免遭地震 水灾 火灾等环境 事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程 其目的是保 护计算机系统 web 服务器 打印机等硬件实体和网络通信设备免受自然灾害 人 为破坏和搭线攻击等 3 1 1 自然威胁 自然威胁主要是指由于自然原因造成的对网络设备硬件的损坏和网络运行的影 响 主要包括以下几方面 自然灾害 自然灾害对计算机网络设备或其它相关设施造成的损坏 或对网络运行造成的 影响 如 雷击 火灾 水灾 地震等不可抗力造成的网络设备或网络通信线路的 损坏 大雾对无线传输的影响 正常使用情况下的设备损坏 在网络设中 所有的网络设备都是电子设备 任何电子元件也都会老化 因此 由电子元件构成的网络设备都一个有限的正常使用年限 即使严格按照设备的使用 环境要求使用 在设备达到使用寿命后均可能出现硬件故障或不稳定现象 从而威 胁计算机网络的安全运行 设备运行环境 网络的运行是不间断的 保证网络设备的安全运行 运行环境是一个很重要的 因素 任何计算机网络都需要一个可靠的运行环境来保证其可靠地运行 其中主要 包括周边环境和电源系统两大要素 周边环境 我们所使用的网络交换设备一般都有自己的散热系统 所以环境因素往往被一 些管理员所忽略 随着使用周期的增长 一些设备的散热系统损坏 或在潮湿的天 气环境下积尘较多而引起设备运行不稳定 都是不安全因素 因此网络设备的安放 都需要比较良好的环境 所以校园网的网络中心机房一般都配备调湿调温并经常保 洁的环境 以保证设备的运行 在分节点的网络设备 可以采取定期维 护保养的措施或分别设置空调设备 电源系统 重庆安技术职业学院计算机网络技术毕业设计 8 电源系统的稳定可靠直接影响到网络的安全运行 如果要保证网络的不间断 就必须保证电源系统的稳定和不间断 校园网的电源系统可分为两部分 一部分主 要用于网络设备和主机 由于这些网络设备和主机对电源系统要求较高 且不能间 断 所以这部分的供电系统就采用 UPS 不间断电源系统 而且最好是采用在线式 的 这样可以充分隔离电力系统对网络设备的干扰 保证网络的运行 另一部分主 要用于空调设备 其特点是电源容量要求大 可短时间间断 但由于我们部分学校 所使用的空调系统在恢复供电后都不能自动启动 所以必须让管理人员掌握电源的 通断信息 以上海师大校园网为例 网络中心通过对 UPS 电源监控系统的整合 使 电源通断信息的变化会及时地反映到网管人员的手机上 这样中心工作人员就能及 时了解突发情况 3 1 2 人为威胁 人为威胁是指由于人为因素造成的对计算机网络的物理安全威胁 包括故意人 为和无意人为威胁 人为故意威胁是指人为主观威胁网络的物理安全 最常见的是人为通过物理接 近的方式威胁网络安全 物理接近是其它攻击行为的基础 如通过搭线连接获取网 络上的数据信息 或者潜入重要的安全部门窃取口令 密钥等重要的网络安全信息 或者直接破坏网络的物理基础设施 盗割网络通信线缆 盗取或破坏网络设备等 这些人为的故意破坏行为严重威胁网络的安全运行 人为无意威胁是人为因素造成但不是故意的物理安全威胁 即使是合法的 技 术过硬的操作人员 由于从时间疲劳工作或者其它身体因素的影响 或者自身安全 意识不强都可能产生失误和意外疏忽 这些意外和疏忽也可能影响网络的安全运行 有时还会造成重大的损失 如删除了重要的网络配置文件 格式化了存储有重要数 据或信息的分区或整个硬盘 没有采取防静电措施插拔硬件等等 3 2 内网攻击分析内网攻击分析 3 2 1 ARP 攻击 ARP 攻击就是通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗 能够在网络中产 生大量的 ARP 通信量使网络阻塞 攻击者只要持续不断的发出伪造的 ARP 响应包 就能更改目标主机 ARP 缓存中的 IP MAC 条目 造成网络中断或中间人攻击 ARP 攻击主要是存在于局域网网络中 局域网中若有一台计算机感染 ARP 木马 则感染该 ARP 木马的系统将会试图通过 ARP 欺骗 手段截获所在网络内其它 计算机的通信信息 并因此造成网内其它计算机的通信故障 某机器 A 要向主机 B 发送报文 会查询本地的 ARP 缓存表 找到 B 的 IP 地址 对应的 MAC 地址后 就会进行数据传输 如果未找到 则广播 A 一个 ARP 请求报 文 携带主机 A 的 IP 地址 IA 物理地址 PA 请求 IP 地址为 IB 的主机 B 回答 物理地址 PB 网上所有主机包括 B 都收到 ARP 请求 但只有主机 B 识别自己的 IP 地址 于是向 A 主机发回一个 ARP 响应报文 其中就包含有 B 的 MAC 地址 A 接 收到 B 的应答后 就会更新本地的 ARP 缓存 接着使用这个 MAC 地址发送数据 由网卡附加 MAC 地址 因此 本地高速缓存的这个 ARP 表是本地网络流通的 基础 而且这个缓存是动态的 3 2 2 网络监听 在网络中 当信息进行传播的时候 可以利用工具 将网络接口设置在监听的 模式 便可将网络中正在传播的信息截获或者捕获到 从而进行攻击 重庆安技术职业学院计算机网络技术毕业设计 9 网络监听在网络中的任何一个位置模式下都可实施行 而黑客一般都是利用网 络监听来截取用户口令 比如当有人占领了一台主机之后 那么他要再想进将战果 扩大到这个主机所在的整个局域网话 监听往往是他们选择的捷径 很多时候我在 各类安全论坛上看到一些初学的爱好者 在他们认为如果占领了某主机之后那么想 进入它的内部网应该是很简单的 其实非也 进入了某主机再想转入它的内部网络 里的其它机器也都不是一件容易的事情 因为你除了要拿到他们的口令之外还有就 是他们共享的绝对路径 当然了 这个路径的尽头必须是有写的权限了 在这个时 候 运行已经被控制的主机上的监听程序就会有大收效 不过却是一件费神的事情 而且还需要当事者有足够的耐心和应变能力 主要包括 数据帧的截获 对数据帧的分析归类 dos 攻击的检测和预防 IP 冒用的检测和攻击 在网络检测上的应用 对垃圾邮件的初步过滤 3 2 3 蠕虫病毒 3 2 3 1 蠕虫病毒攻击原理 蠕虫也是一种病毒 因此具有病毒的共同特征 一般的病毒是需要的寄生的 它可以通过自己指令的执行 将自己的指令代码写到其他程序的体内 而被感染的 文件就被称为 宿主 例如 windows 下可执行文件的格式为 pe 格式 Portable Executable 当需要感染 pe 文件时 在宿主程序中 建立一个新节 将病毒代码写 到新节中 修改的程序入口点等 这样 宿主程序执行的时候 就可以先执行病毒 程序 病毒程序运行完之后 在把控制权交给宿主原来的程序指令 可见 病毒主 要是感染文件 当然也还有像 DIRII 这种链接型病毒 还有引导区病毒 引导区病 毒他是感染磁盘的引导区 如果是软盘被感染 这张软盘用在其他机器上后 同样 也会感染其他机器 所以传播方式也是用软盘等方式 3 2 3 2 蠕虫病毒入侵过程 蠕虫病毒攻击主要分成三步 扫描 由蠕虫的扫描功能模块负责探测存在漏洞的主机 当程序向某个主机 发送探测漏洞的信息并收到成功的反馈信息后 就得到一个可传播的对象 攻击 攻击模块按漏洞攻击步骤自动攻击步骤 1 中找到的对象 取得该主机 的权限 一般为管理员权限 获得一个 shell 复制 复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动 3 3 外网攻外网攻击分析击分析 3 3 1 DOS 攻击 DoS 攻 击 Denial of Service 简称 DOS 即拒绝服务攻击 是指攻击者通过消 耗受害网络的带宽 消耗受害主机的系统资源 发掘编程缺陷 提供虚假路由或 DNS 信息 使被攻击目标不能正常工作 实施 DoS 攻击的工具易得易用 而且效果 明显 一般的 DoS 攻击是指一台主机向目的主机发送攻击分组 1 1 它的威力对于 带宽较宽的站点几乎没有影响 而分布式拒绝服务攻击 Distributed Denial of Service 简称 DDoS 同时发动分布于全球的几千台主机对目的主机攻击 m n 即使对于带宽 重庆安技术职业学院计算机网络技术毕业设计 10 较宽的站点也会产生致命的效果 随着电子商业在电子经济中扮演越来越重要的角 色 随着信息战在军事领域应用的日益广泛 持续的 DoS 攻击既可能使某些机构破 产 也可能使我们在信息战中不战而败 可以毫不夸张地说 电子恐怖活动的时代 已经来临 DoS 攻 击 中 由于攻击者不需要接收来自受害主机或网络的回应 它的 IP 包的源地址就常常是伪造的 特别是对 DDoS 攻击 最后实施攻击的若干攻击器本 身就是受害者 若在防火墙中对这些攻击器地址进行 IP 包过滤 则事实上造成了新 的 DDS 攻击 为有效地打击攻击者 必须设法追踪到攻击者的真实地址和身份 3 3 2 SYN Attack SYN 攻击 每一个 TCP 连接的建立都要经过三次握手的过程 A 向 B 发送 SYN 封包 B 用 SYN ACK 封包进行响应 然后 A 又用 ACK 封包进行响应 攻击者用伪造的 IP 地址 不存在或不可到达的地址 发送大量的 SYN 封包至防火墙的某一接口 防火 墙用 SYN ACK 封包对这些地址进行响应 然后等待响应的 ACK 封包 因为 SYN ACK 封包被发送到不存在或不可到达的 IP 地址 所以他们不会得到响应并最 终超时 当网络中充满了无法完成的连接请求 SYN 封包 以至于网络无法再处理合 法的连接请求 从而导致拒绝服务 DOS 时 就发生了 SYN 泛滥攻击 防火墙可 以对每秒种允许通过防火墙的 SYN 封包数加以限制 当达到该临界值时 防火墙开 始代理进入的 SYN 封包 为主机发送 SYN ACK 响应并将未完成的连接存储在连接 队列中 未完成的连接保留在队列中 直到连接完成或请求超时 3 3 3 ICMP Flood UDP 泛滥 当 ICMP PING 产生的大量回应请求超出了系统最大限度 以至于系统耗费所有 资源来进行响应直至再也无法处理有效的网络信息流时 就发生了 ICMP 泛滥 当 启用 ICMP 泛滥保护功能时 可以设置一个临界值 一旦超过了此值就会调用 ICMP 泛滥攻击保护功能 缺省的临界值为每秒 1000 个封包 如果超过了该临界 值 NETSCREEN 设备在该秒余下的时间和下一秒内会忽略其他的 ICMP 回应要求 3 3 4 UDP Flood UDP 泛滥 与 ICMP 泛滥相似 当以减慢系统速度为目的向该点发送 UDP 封包 以至于系 统再也无法处理有效的连接时 就发生了 UDP 泛滥 当启用了 UDP 泛滥保护功能 时 可以设置一个临界值 一旦超过此临界值就回调用 UDP 泛滥攻击保护功能 如 果从一个或多个源向单个目标发送的 UDP 泛滥攻击超过了此临界值 防火墙在该秒 余下的时间和下一秒内会忽略其他到该目标的 UDP 封包 3 3 5 Port Scan Attack 端口扫描攻击 当一个源 IP 地址在定义的时间间隔内 缺省值为 5000 微秒 向位于相同目标 IP 地址 10 个不同的端口发送 IP 封包时 就会发生端口扫描攻击 这个方案的目的 是扫描可用的服务 希望会有一个端口响应 因此识别出作为目标的服务 防火墙 在内部记录从某一远程源地点扫描不同端口的数目 使用缺省设置 如果远程主机 在 0 005 秒内扫描了 10 个端口 防火墙会将这一情况标记为端口扫描攻击 并在该 秒余下的时间内拒绝来自该源地址的其他封包 重庆安技术职业学院计算机网络技术毕业设计 11 4 防火墙在校园网中的配置防火墙在校园网中的配置 随着高校信息化进程的推进 学院校园网上运行的应用系统越来越多 信 息系统变得越来越庞大和复杂 校园网的服务器群构成了校园网的服务系统 主要包括 DNS 虚拟主机 Web FTP 视频点播以及 Mail 服务等 校园网通 过不同的专线分别接入了教育网 电信网和党政网 随着学院网络出口带宽不 断加大 应用服务系统逐渐增多 校园网用户数烈剧上升 网络的安全也就越 来越严峻 4 1 高校校园网防火墙网络安全策略高校校园网防火墙网络安全策略 讨论防火墙安全策略一般实施两个基本设计方针之一 1 拒绝访问除明确许可以外的任何一种服务 即拒绝一切未予特许的东西 2 允许访问除明确拒绝以外的任何一种服务 即允许一切未被特别拒绝的 东西 校园网防火墙的网络安全策略采取第一种安全控制的方针 确定所有可以 被提供的服务以及它们的安全特性 然后开放这些服务 并将所有其它未被列 入的服务排斥在外 禁止访问 校园网网络结构拓扑图如图 4 1 所示 图 4 1 校园网网络总拓扑结构图 在实际应用环境中 一般情况下防火墙网络可划分为三个不同级别的安全 区域 内部网络 这是防火墙要保护的对象 包括全部的内部网络设备及用户主 机 这个区域是防火墙的可信区域 这是由传统边界防火墙的设计理念决定的 重庆安技术职业学院计算机网络技术毕业设计 12 外部网络 这是防火墙要防护的对象 包括外部网主机和设备 这个区域 为防火墙的非可信网络区域 也是由传统边界防火墙的设计理念决定的 DMZ 非军事区 它是从内部网络中划分的一个小区域 在其中就包括内 部网络中用于公众服务的外部服务器 如 Web 服务器 邮件服务器 DNS 服 务器等 它们都是为互联网提供某种信息服务 在以上三个区域中 用户需要对不同的安全区域制订不同的安全策略 虽 然内部网络和 DMZ 区都属于内部网络的一部分 但它们的安全级别 策略 是不 同的 对于要保护的大部分内部网络 一般情况下禁止所有来自互联网用户的 访问 而由内部网络划分出去的 DMZ 区 因需为互联网应用提供相关的服务 这些服务器上所安装的服务非常少 所允许的权限非常低 真正有服务器数据 是在受保护的内部网络主机上 所以黑客攻击这些服务器没有任何意义 既不 能获取什么有用的信息 也不能通过攻击它而获得过高的网络访问权限 通过 NAT 网络地址转换 技术将受保护的内部网络的全部主机地址映射成 防火墙上设置的少数几个有效公网 IP 地址 这样可以对外屏蔽内部网络构和 IP 地址 保护内部网络的安全 同时因为是公网 IP 地址共享 所以可以大大节省 公网 IP 地址的使用 在这种应用环境中 在网络拓扑结构上校园网可以有两种选择 这主要是 根拥有网络设备情况而定 如果原来已有边界路由器 则此可充分利用原有设备 利用边界路由器的 包过滤功能 添加相应的防火墙配置 这样原来的路由器也就具有防火墙功能 了 然后再利用防火墙与需要保护的内部网络连接 对于 DMZ 区中的公用服 务器 则可直接与边界路由器相连 不用经过防火墙 它可只经过路由器的简 单防护 在此拓扑结构中 边界路由器与防火墙就一起组成了两道安全防线 并且在这两者之间可以设置一个 DMZ 区 用来放置那些允许外部用户访问的 公用服务器设施 依照学院的网络拓扑将网络划分成三个部份 如图 4 2 所示 外网 DMZ 区和内部网络 外网与 Internet 相连 DMZ 放置各种应用服务器 内部网络连 接校内用户 图 4 2 学院防火墙结构图 应用服务当中 EMAIL DNS 和 WWW 服务需要外网能够访问 因此将这 些服务规划到 DMZ 区 重庆安技术职业学院计算机网络技术毕业设计 13 4 2 防火墙的基本配置防火墙的基本配置 学院采用的是防火墙 它的初始配置也是通过控制端口 Console 与 PC 机的串口连接 再通过超级终端 HyperTerminal 程序进行选项配置 也可以 通过 telnet 和 Tffp 配置方式进行高级配置 但必需先由 Console 将防火墙的这 些功能打开 NETSCREEN 防火墙有四种用户配置模式 即 普通模式 Unprivilegedmode 特权模式 Privileged Mode 配置模式 Configuration Mode 和端口模式 Interface Mode 显示基本信息 4 2 1 命令行基本信息收集 netscreen get syst 得到系统信息 netscreen get config 得到 config 信息 netscreen get log event 得到日志 4 2 2 功能问题需收集下列信息 netscreen set ffiliter 设置过滤器 netscreen debug flow basic 是开启基本的 debug 功能 netscreen clear db 是清除 debug 的缓冲区 netscreen get dbuf stream 就可以看到 debug 的信息了 性能问题需收集下列信息 得到下列信息前 请不要重新启动机器 否则信息都会丢失 无法判定问 题所在 netscreen Get per cpu detail 得到 CPU 使用率 netscreen Get session info 得到会话信息 netscreen Get per session detail 得到会话详细信息 netscreen Get mac learn 透明方式下使用 获取 MAC 硬件地址 netscreen Get alarm event 得到告警日志 netscreen Get tech tftp 202 101 98 36 tech txt 导出系统信息 netscreen Get log system 得到系统日志信息 netscreen Get log system saved 得到系统出错后 系统自动记录信息 该 记录重启后不会丢失 设置接口 带宽 网关 设置所指定的各个端口的带宽速率 单位为 kb s Set interface interface bandwidth number unset interface interface bandwidth 设置接口的网关 set interface interface gateway ip addr unset interface interface gateway 设置接口的接口的区域 IP 地址 zone 就是网络逻辑上划分成区 可以在安全 区或安全区内部 4 2 3 接口之间实施策略 设置接口的接口的区域 set interface interface zone zone unset interface interface zone 设置接口的 IP 地址 set interface interface ip ip addr mask 重庆安技术职业学院计算机网络技术毕业设计 14 set interface interface ip unnumbered interface interface2 unset interface interface ip ip addr 4 2 4 接口管理设置 set interface interface manage ident reset nsmgmt ping snmp ssh ssl telnet webui unset interface interface manage ident reset nsmgmt ping snmp ssh telnet webui WebUI 允许接口通过 Web 用户界面 WebUI 接收 HTTP 管理信息流 Telnet 选择此选项可启用 Telnet 管理功能 SSH 可使用 安全命令外壳 SSH 通过以太网连接或拨号调制解调器管 理 NetScreen 设备 必须具有与 SSH 协议版本 1 5 兼容的 SSH 客户端 选择此 选项可启用 SSH 管理功能 SNMP 选择此选项可启用 SNMP 管理功能 SSL 选择此选项将允许接口通过 WebUI 接收 NetScreen 设备的 HTTPS 安 全管理信息流 NS Security Manager 选择此选项将允许接口接收 NetScreen SecurityManager 信息流 Ping 选此选项将允许 NetScreen 设备响应 ICMP 回应请求 以确定是否可 通过网络访问特定的 IP 地址 Ident Reset 与 邮件 或 FTP 发送标识请求相类似的服务 如果它们未收 到确认 会再次发送请求 处理请求期间禁止用户访问 启用 Ident reset 选项 后 NetScreen 设备将发送 TCP 重置通知以响应发往端口 113 的 IDENT 请求 然后恢复因未确认标识请求而被阻止的访问 指定允许进行管理的 ip 地址 set interface interface manage ip ip addr unset interface interface manage ip 4 2 5 用户帐号的操作 添加只读权限管理员 set admin user Roger password 2bd21wG7 privilege read only 修改帐户为可读写权限 unset admin user Roger set admin user Roger password 2bd21wG7 privilege all 删除用户 unset admin user Roger 清除所有会话 并注销帐户 clear admin name Roger 4 3 基于内网的防火墙功能及配置基于内网的防火墙功能及配置 4 3 1 IP 与 MAC 用户 绑定功能 如果在一个局域网内部允许 Host A 上网而不允许 Host B 上网 则有一种 方式可以欺骗防火墙进行上网 就是在 HostA 还没有开机的时候 将 HostB 的 IP 地址换成 Host A 的 IP 地址就可以上网了 那么针对 IP 欺骗的行为 解决方 法是将工作站的 IP 地址与网卡的 MAC 地址进行绑定 这样再改换 IP 地址就不 行了 除非将网卡和 IP 地址都换过来才行 所以将 IP 地址与 MAC 地址进行绑 重庆安技术职业学院计算机网络技术毕业设计 15 定 可以防止内部的 IP 盗用 但是这种绑定只适合与防火墙同网段的节点 如 果其他网段的节点通过防火墙进行访问时 通过网段的源 IP 地址与目的 IP 地 址是不同的 无法实现 IP 地址与 MAC 的绑定 但是可以通过 IP 地址与用户的 绑定 因为用户是可以跨网段的 另外对 DHCP 用户的支持 如果在用 DHCP 服务器来动态分配 IP 地址的 网络中 主机没有固定的 IP 地址 如何解决这样的问题呢 目前主要有两种方 式可以解决这个问题 第一种是在防火墙中内置 DHCP 服务器 但这种方式由 于防火墙内置 DHCP 服务器 会导致防火墙本身的不安全 如果有一天防火墙 失效 造成 DHCP 服务器宕机会影响整个网络而并不仅仅只对出口造成影响 另一种比较好的解决方法是防火墙支持基于 MAC 地址的访问控制 在配置之 前 先不添 IP 地址只添网卡的 MAC 地址 开机后自动将获得的 IP 地址传给防 火墙 防火墙根据这个 IP 地址与 MAC 地址进行绑定来实现访问控制 这种方 式可以实现 IP 地址与 MAC 地址的绑定 这种方式的好处是防火墙受到破坏并 不会对这个局域网的通讯产生影响 DHCP 服务器不会受到影响 整个网络也 不需要进行改动 用户 绑定针对 IP 欺骗的行为 我校校园网网络设置中将工作站的 IP 地址与网卡的 MAC 地址进行绑定 BIND 192 168 0 2 TO 01 50 04 BB 71 A6 BIND 192 168 0 4 TO 01 50 04 BB 71 BC 这样再改换 IP 地址就不行了 除非将网卡和 IP 地址都换过来才行 所以 将 IP 地址与 MAC 地址进行绑定 可以防止内部的 IP 盗用 上面的绑定方式只 适合与防火墙同网段的节点 如果其他网段的节点通过防火墙进行访问时 通 过网段的源 IP 地址与目的 IP 地址是不同的 无法实现 IP 地址与 MAC 的绑定 实现方法是通过 IP 地址与用户的绑定 因为用户是可以跨网段的 另外对我校 DHCP 用户的支持 如果在用 DHCP 服务器来动态分配 IP 地址的网络中 主机 没有固定的 IP 地址 解决方法是设置防火墙支持基于 MAC 地址的访问控制 在配置之前 先不添 IP 地址 只添加网卡的 MAC 地址 开机后自动将获得的 IP 地址传给防火墙 防火墙根据这个 IP 地址与 MAC 地址进行绑定来实现访问 控制 这种方式可以实现 IP 地址与 MAC 地址的绑定 这种方式的好处是防火 墙受到破坏并不会对这个局域网的通讯产生影响 DHCP 服务器不会受到影响 整个网络也不需要进行改动 4 3 2 MAP 端口映射 功能 通过远程访问 WEB 服务器域名地址就可以访问到 Web 服务器的主页 但 这样是直接对我的 WEB 服务器进行访问和操作很不安全 如果有防火墙 可 以把将 WEB 服务器的地址映射到防火墙的外端口地址 做完映射以后 这些 服务器可以使用私有地址 或者这些地址不公开保护起来 对外公开的 WEB 服务器的地址是防火墙的外端口地址 因此 通过这种方式有两个优点 第一 是这些服务器可以使用私有地址 同时也隐藏了内网的结构 如果这时黑客进 行攻击 内网是安全的 因为 Web 服务器公开的地址是防火墙的外端口 真正 的 WEB 服务器的地址不会受到攻击 这样可以增加网络的安全性 比如内部设有 WEB 服务器 192 168 0 1 和有一个远程访问客户 210 4 1 5 通过远程访问 WEB 服务器域名地址就可以访问到这个网页 但 这样是直接对我的 WEB 服务器进行访问和操作很不安全 可以将 WEB 服务器 重庆安技术职业学院计算机网络技术毕业设计 16 的地址 如 192 168 0 1 映射到防火墙