防火墙技术在校园网络安全中

-CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIAN

-CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIAN防火墙技术在校园网络安全中的应用防火墙技术在校园网络安全中的应用摘要网络技术在近几年的时间有了非常大的发展，经历了从无到有，从有到快；网上信息资源也是从匮乏到丰富多彩，应有尽有。但随着网络速度越来越快，资源越来越丰富，网络安全问题却也越来越严峻，网络安全防范对校园网的正常运行来讲也就显得十分重要。在网络安全防范中，防火墙具有着不可或缺的地位。防火墙技术是在安全技术当中又是最简单，也是最有效的解决方案。它不仅过滤了来自外部的探测、扫描、拒绝服务等攻击,还能避免内网已中木马的主机系统信息泄露...本论文在详细分析防火墙工作原理的基础上，提出一个功能较为完备、性能较好、防火墙系统的本身也较为安全的防火墙系统的设计方案，同时介绍了具体实现过程中的关键步骤和主要方法。该防火墙在通常的包过滤防火墙基础之上，又增加了MAC地址绑定和端口映射等功能，使之具有更完备、更实用、更稳固的特点。通过对于具有上述特点的防火墙的配置与测试工作，一方面使得所设计的防火墙系统本身具有高效、安全、实用的特点，另一方面也对今后在此基础上继续测试其它网络产品作好了一系列比较全面的准备工作。关键词：网络安全；防火墙；校园网AbstractThenetworktechnologyhasgotverygreatdevelopmentinrecentyears,andtheonlineinformationresourcesaredevelopingfromdeficienttorichandcolorfultoo,andfillwitheverything.Butwiththedevelopmentoftheinternet,thesafeofnetworkisbecomingmoreandmoresevere.ThenetworksafeprecautionseemsveryimportantfornormalrunningofourcampusnetworktooInthenetworksecurityguardagainstthefirewallisavitalroleintechnology.thefirewallisthesafetyoftechnologyisthesimplestandmosteffectivesolution.itisnotonlyfromtheexplorationandscanningservices,toattack,wecanavoidthenethasbeenininformationdisclosureofthewoodenhostcomputer...Thisthesisputforwardafunctionindetailedanalysisfirewallworkingthefoundationoftheprinciplemorecompletefunctionthangood,firewallsystemofoneselfthedesignprojectofthetoosafefirewallsystem,andintroducestorealizesinaspecificwayatthesametimekeyintheprocessstepwithmainmethod.Thatfirewallisintheusualapercolationfirewallfoundationon,increasedagaintheMACaddressbindtosettlethespecialfunctioninetc.,makingithavethefreshandclearcharacteristics.Passtomakefirewallthathavetheresearchoftheabovecharacteristicsanddevelopmentwork,verymuchafirewallfordevelopingsystemoneselfhaveefficiently,safety,practicalcharacteristics,ontheotherhandtootofromnowonherefoundationascenddevelopcontinuouslyKeywords:NetworkSecurity;Firewall;CampusNetwork1概述学技术的飞速发展，人们已经生活在信息时代。计算机技术和网络技术深入到社会的各个领域，因特网把“地球村”的居民紧密地连在了一起。近年来因特网的飞速发展，给人们的生活带来了全新地感受，人类社会各种活动对信息网络地依赖程度已经越来越大。然而，凡事“有利必有一弊”，人们在得益于信息所带来的新的巨大机遇的同时，也不得不面对信息安全问题的严峻考验。“黑客攻击”网站被“黑”，“CIH病毒”无时无刻不充斥在网络中。“电子战”已成为国与国之间，商家与商家之间的一种重要的攻击与防卫手段。因此信息安全，网络安全的问题已经引起各国，各部门，各行各业以及每个计算机用户的充分重视。因特网提供给人们的不仅仅是精彩，还无时无刻地存在各种各样的危险和陷阱。对此，我们既不能对那些潜在的危险不予重视，遭受不必要的损失；也不能因为害怕某些危险而拒绝因特网的各种有益的服务，对个人来说这样会失去了了解世界、展示自己的场所，对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。不断地提高自身网络的安全才是行之有效地办法。本文作者在导师的指导下，独立完成了该防火墙系统方案的配置及安全性能的检测工作。本论文在详细分析防火墙工作原理基础上，针对我校防火墙的实际情况，提出了一个能够充分发挥防火墙性能、提高防火墙系统的抗攻击能力的防火墙系统配置方案，同时介绍了具体实现过程中的关键步骤和主要方法，并针对我校的防火墙系统模拟黑客进行攻击，检查防火墙的安全漏洞，并针对漏洞提供相应的解决方案。该防火墙在通常的包过滤防火墙基础之上，又增加了MAC地址绑定、端口映射等特殊功能，使之具有鲜明的特点。通过对于具有上述特点的防火墙的研究、配置与测试工作，一方面使得我校防火墙系统本身具有高效、安全、实用的特点，另一方面在此基础上对今后可能出现的新问题作好了一系列比较全面的准备工作。1.1课题意义安全是一个不容忽视的问题，当人们在享受网络带来的方便与快捷的同时，也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全，当局域网与外部网连接时，可以在中间加入一个或多个中介系统，防止非法入侵者通过网络进行攻击，非法访问，并提供数据可靠性、完整性以及保密性等方面的安全和审查控制，这些中间系统就是防火墙(Firewall)技术如图1-1。图1-1防火墙功能图它通过监测、限制、修改跨越防火墙的数据流，尽可能地外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵，以此来实现内部网络的安全运行。因此本课题的任务与目的在于如何构建一个相对安全的计算机网络平台。使其免受外部网络的攻击。1.2网络安全技术网络安全技术指致力于解决诸如如何有效进行介入控制，以及何如保证数据传输的安全性的技术手段，主要包括物理安全分析技术，网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。网络安全技术分为：虚拟网技术、防火墙枝术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术、以及应用系统的安全技术。其中虚拟网技术防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。例如vlan，但是其安全漏洞相对更多，如IPsweep,teardrop,sync-flood,IPspoofing攻击等。防火墙枝术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许,并监视网络运行状态。但是防火墙无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。防火墙的分类有包过滤型、地址转换型、代理型、以及检测型。病毒防护技术是指阻止病毒的传播、检查和清除病毒、对病毒数据库进行升级、同时在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装入侵检测技术（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的技术。是一种用于检测计算机网络中违反安全策略行为的技术。安全扫描技术是为管理员能够及时了解网络中存在的安全漏洞，并采取相应防范措施，从而降低网络的安全风险而发展起来的一种安全技术。认证和数字签名技术，其中的认证技术主要解决网络通讯过程中通讯双方的身份认可，而数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。VPN技术就是在公网上利用随到技术来传输数据。但是由于是在公网上进行传输数据，所以有一定的不安全性。应用系统的安全技术主要有域名服务、WebServer应用安全、电子邮件系统安全和操作系统安全。1.3防火墙介绍所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。从而是一种获取安全的形象说法，它是一种计算机硬件和软件的结合，使Internet与Internet之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，1.4防火墙技术发展趋势防火墙技术的发展离不开社会需求的变化，着眼未来，我们注意到以下几个新的需求。远程办公的增长。全国主要城市先后受到SARS病毒的侵袭，直接促成大量的企事业在家办公，这就要求防火墙既能抵抗外部攻击，又能允许合法的远程访问，做到更细粒度的访问控制。现在一些厂商推出的VPN（虚拟专用网）技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙，这样可以确保信息的保密性，又能成为识别入侵行为的手段。内部网络“包厢化”（compartmentalizing）。人们通常认为处在防火墙保护下的内网是可信的，只有Internet是不可信的。由于黑客攻击技术和工具在Internet上随手可及，使得内部网络的潜在威胁大大增加，这种威胁既可以是外网的人员，也可能是内网用户，不再存在一个可信网络环境。由于无线网络的快速应用以及传统拨号方式的继续存在，内网受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里，全国各地的分支机构共享一个论坛，都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的“包厢”，对每个“包厢”实施独立的安全策略。1.5防火墙产品发展趋势防火墙可说是信息安全领域最成熟的产品之一，但是成熟并不意味着发展的停滞，恰恰相反，日益提高的安全需求对信息安全产品提出了越来越高的要求，防火墙也不例外，下面我们就防火墙一些基本层面的问题来谈谈防火墙产品的主要发展趋势。模式转变，传统的防火墙通常都设置在网络的边界位置，不论是内网与外网的边界，还是内网中的不同子网的边界，以数据流进行分隔，形成安全管理区域。未来的的防火墙产品将开始体现出一种分布式结构，以分布式为体系进行设计的防火墙产品以网络节点为保护对象，可以最大限度地覆盖需要保护的对象，大大提升安全防护强度。功能扩展，防火墙的管理功能一直在迅猛发展，在将来，通过类似手机、PDA这类移动处理设备也可以方便地对防火墙进行管理，当然，这些管理方式的扩展需要首先面对的问题还是如何保障防火墙系统自身的安全性不被破坏。性能提高，未来的防火墙产品由于在功能性上的扩展，以及应用日益丰富、流量日益复杂所提出的更多性能要求，会呈现出更强的处理性能要求，而寄希望于硬件性能的水涨船高肯定会出现瓶颈，所以诸如并行处理技术等经济实用并且经过足够验证的性能提升手段将越来越多的应用在防火墙产品平台上；相对来说，单纯的流量过滤性能是比较容易处理的问题，而与应用层涉及越密，性能提高所需要面对的情况就会越复杂；在大型应用环境中，防火墙的规则库至少有上万条记录，而随着过滤的应用种类的提高，规则数往往会以趋进几何级数的程度上升，这是对防火墙的负荷是很大的考验，使用不同的处理器完成不同的功能可能是解决办法之一，例如利用集成专有算法的协处理器来专门处理规则判断，在防火墙的某方面性能出现较大瓶颈时，我们可以单纯地升级某个部分的硬件来解决，这种设计有些已经应用到现有的产品中了，也许未来的防火墙产品会呈现出非常复杂的结构.2需求分析2.1校园网络安全分析高校校园网一般都是采用最先进的网络技术架构的，用户较多，使用面较广，存在的安全隐患和漏洞相对较广泛，大多有如下几个方面：校园网与Internet相连，在享受Internet方便快捷的同时，也面临着遭遇攻击的风险。高校校园网速度比较快，我院与电脑的出口带宽达到了1Gbps，这给网络入侵和攻击也提供了一个快速通道。校园网内部也存大很大的安全隐患。由于内部用户对网络的结构和应用模式都比较了解，因些来自内部的安全威胁会更大一些。目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。例如Windows2000、Windows2003、Windows2008的普遍性和可操性使它成为最不安全的系统：自身安全漏洞、浏览器的漏洞、病毒木马等。随着校园内计算机应用的大范围普入，接入校园网的节点数日益增多，而这些节点大部分都没有采取安全防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络攻击、系统瘫痪等严重后果。内部用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网，内外网恶意用户可能利用一些工具对网络入服务器发起Dos/DDoS攻击，导致网络及服务不可用，高校学生通常是最活跃的网络用户，对网络的各种技术都充满了好奇，有强大的求知和实验的欲望，勇于尝试，不计后果，校园网内针对如的黑客程序、ARP病毒、超级网管随处可见。鉴于上述不安全因素，有必要为校园网设计一个严密的防火墙。2.2校园网防火墙部署思路防火墙是网络安全的屏障。一个防火墙（作为阴塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经对精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。在防火墙设置上我们按照以下原则配置来提高网络安全性：根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问/。总体上遵从“不被允许的服务就被禁止”的原则。将防火墙配置成过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击，过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。在防火墙上建立内网计算机的IP地址和MAC地址对应表，防止IP地址被盗用。在局域网的入口架设行兆防火墙，并实现VNP的功能，在校园网络入口建立第一层的安全屏障，VPN保证了管理员在家里或出差时能够安全接入数据中心。定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。允许通过配置网卡对防火墙设置，提高防火墙管理安全性。3校园网面对的安全威胁3.1物理安全保证计算机网络系统各种设备的物理安全是整个网络安全的前提。计算机网络的物理安全是在物理介质层次上数据传输、数据存储和数据访问安全。计算机网络的物理安全包括构成网络的相关基础设施的安全，网络的运行环境比如温度、湿度、电源等，自然环境的影响以及人的因素等对计算机网络的物理安全和运行的影响。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web服务器、打印机等硬件实体和网络通信设备免受自然灾害、人为破坏和搭线攻击等。3.1.1自然威胁自然威胁主要是指由于自然原因造成的对网络设备硬件的损坏和网络运行的影响。主要包括以下几方面：①自然灾害自然灾害对计算机网络设备或其它相关设施造成的损坏，或对网络运行造成的影响。如：雷击、火灾、水灾、地震等不可抗力造成的网络设备或网络通信线路的损坏，大雾对无线传输的影响。②正常使用情况下的设备损坏在网络设中，所有的网络设备都是电子设备，任何电子元件也都会老化，因此由电子元件构成的网络设备都一个有限的正常使用年限，即使严格按照设备的使用环境要求使用，在设备达到使用寿命后均可能出现硬件故障或不稳定现象，从而威胁计算机网络的安全运行。③设备运行环境网络的运行是不间断的。保证网络设备的安全运行，运行环境是一个很重要的因素。任何计算机网络都需要一个可靠的运行环境来保证其可靠地运行，其中主要包括周边环境和电源系统两大要素。周边环境我们所使用的网络交换设备一般都有自己的散热系统，所以环境因素往往被一些管理员所忽略。随着使用周期的增长，一些设备的散热系统损坏，或在潮湿的天气环境下积尘较多而引起设备运行不稳定，都是不安全因素。因此网络设备的安放都需要比较良好的环境，所以校园网的网络中心机房一般都配备调湿调温并经常保洁的环境，以保证设备的运行。在分节点的网络设备，可以采取定期维护保养的措施或分别设置空调设备。电源系统电源系统的稳定可靠直接影响到网络的安全运行。如果要保证网络的不间断，就必须保证电源系统的稳定和不间断。校园网的电源系统可分为两部分，一部分主要用于网络设备和主机，由于这些网络设备和主机对电源系统要求较高，且不能间断，所以这部分的供电系统就采用UPS（不间断电源系统），而且最好是采用在线式的，这样可以充分隔离电力系统对网络设备的干扰，保证网络的运行。另一部分主要用于空调设备，其特点是电源容量要求大，可短时间间断，但由于我们部分学校所使用的空调系统在恢复供电后都不能自动启动，所以必须让管理人员掌握电源的通断信息。以上海师大校园网为例，网络中心通过对UPS电源监控系统的整合，使电源通断信息的变化会及时地反映到网管人员的手机上，这样中心工作人员就能及时了解突发情况。3.1.2人为威胁人为威胁是指由于人为因素造成的对计算机网络的物理安全威胁，包括故意人为和无意人为威胁。人为故意威胁是指人为主观威胁网络的物理安全。最常见的是人为通过物理接近的方式威胁网络安全，物理接近是其它攻击行为的基础。如通过搭线连接获取网络上的数据信息；或者潜入重要的安全部门窃取口令、密钥等重要的网络安全信息；或者直接破坏网络的物理基础设施（盗割网络通信线缆、盗取或破坏网络设备等）。这些人为的故意破坏行为严重威胁网络的安全运行。人为无意威胁是人为因素造成但不是故意的物理安全威胁。即使是合法的、技术过硬的操作人员，由于从时间疲劳工作或者其它身体因素的影响，或者自身安全意识不强都可能产生失误和意外疏忽。这些意外和疏忽也可能影响网络的安全运行，有时还会造成重大的损失，如删除了重要的网络配置文件、格式化了存储有重要数据或信息的分区或整个硬盘、没有采取防静电措施插拔硬件等等3.2内网攻击分析3.2.1ARP攻击ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址IA——物理地址PA），请求IP地址为IB的主机B回答物理地址PB。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。3.2.2.网络监听在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在监听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。网络监听在网络中的任何一个位置模式下都可实施行。而黑客一般都是利用网络监听来截取用户口令。比如当有人占领了一台主机之后，那么他要再想进将战果扩大到这个主机所在的整个局域网话，监听往往是他们选择的捷径。很多时候我在各类安全论坛上看到一些初学的爱好者，在他们认为如果占领了某主机之后那么想进入它的内部网应该是很简单的。其实非也，进入了某主机再想转入它的内部网络里的其它机器也都不是一件容易的事情。因为你除了要拿到他们的口令之外还有就是他们共享的绝对路径，当然了，这个路径的尽头必须是有写的权限了。在这个时候，运行已经被控制的主机上的监听程序就会有大收效。不过却是一件费神的事情，而且还需要当事者有足够的耐心和应变能力。主要包括：数据帧的截获对数据帧的分析归类dos攻击的检测和预防IP冒用的检测和攻击在网络检测上的应用对垃圾邮件的初步过滤3.2.3．蠕虫病毒蠕虫病毒攻击原理蠕虫也是一种病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为”宿主”，例如，windows下可执行文件的格式为pe格式(PortableExecutable)，当需要感染pe文件时，在宿主程序中，建立一个新节，将病毒代码写到新节中，修改的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，病毒程序运行完之后，在把控制权交给宿主原来的程序指令。可见，病毒主要是感染文件，当然也还有像DIRII这种链接型病毒，还有引导区病毒。引导区病毒他是感染磁盘的引导区，如果是软盘被感染，这张软盘用在其他机器上后，同样也会感染其他机器，所以传播方式也是用软盘等方式。蠕虫病毒入侵过程蠕虫病毒攻击主要分成三步：①扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。②攻击：攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象，取得该主机的权限（一般为管理员权限），获得一个shell。③复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。3.3外网攻击分析3.3.1DOS攻击DoS攻击(DenialofService，简称DOS)即拒绝服务攻击，是指攻击者通过消耗受害网络的带宽，消耗受害主机的系统资源，发掘编程缺陷，提供虚假路由或DNS信息，使被攻击目标不能正常工作。实施DoS攻击的工具易得易用，而且效果明显。一般的DoS攻击是指一台主机向目的主机发送攻击分组(1:1)，它的威力对于带宽较宽的站点几乎没有影响;而分布式拒绝服务攻击(DistributedDenialofService，简称DDoS)同时发动分布于全球的几千台主机对目的主机攻击(m:n),即使对于带宽较宽的站点也会产生致命的效果。随着电子商业在电子经济中扮演越来越重要的角色，随着信息战在军事领域应用的日益广泛，持续的DoS攻击既可能使某些机构破产，也可能使我们在信息战中不战而败。可以毫不夸张地说，电子恐怖活动的时代已经来临。DoS攻击中，由于攻击者不需要接收来自受害主机或网络的回应，它的IP包的源地址就常常是伪造的。特别是对DDoS攻击，最后实施攻击的若干攻击器本身就是受害者。若在防火墙中对这些攻击器地址进行IP包过滤，则事实上造成了新的DDS攻击。为有效地打击攻击者，必须设法追踪到攻击者的真实地址和身份。3.3.2SYNAttack(SYN攻击)每一个TCP连接的建立都要经过三次握手的过程：A向B发送SYN封包：B用SYN/ACK封包进行响应；然后A又用ACK封包进行响应。攻击者用伪造的IP地址（不存在或不可到达的地址）发送大量的SYN封包至防火墙的某一接口，防火墙用SYN/ACK封包对这些地址进行响应，然后等待响应的ACK封包。因为SYN/ACK封包被发送到不存在或不可到达的IP地址，所以他们不会得到响应并最终超时。当网络中充满了无法完成的连接请求SYN封包，以至于网络无法再处理合法的连接请求，从而导致拒绝服务（DOS）时，就发生了SYN泛滥攻击。防火墙可以对每秒种允许通过防火墙的SYN封包数加以限制。当达到该临界值时，防火墙开始代理进入的SYN封包，为主机发送SYN/ACK响应并将未完成的连接存储在连接队列中，未完成的连接保留在队列中，直到连接完成或请求超时。3.3.3ICMPFlood(UDP泛滥)当ICMPPING产生的大量回应请求超出了系统最大限度，以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时，就发生了ICMP泛滥。当启用ICMP泛滥保护功能时，可以设置一个临界值，一旦超过了此值就会调用ICMP泛滥攻击保护功能。（缺省的临界值为每秒1000个封包。）如果超过了该临界值。NETSCREEN设备在该秒余下的时间和下一秒内会忽略其他的ICMP回应要求。3.3.4UDPFlood(UDP泛滥)与ICMP泛滥相似，当以减慢系统速度为目的向该点发送UDP封包，以至于系统再也无法处理有效的连接时，就发生了UDP泛滥，当启用了UDP泛滥保护功能时，可以设置一个临界值，一旦超过此临界值就回调用UDP泛滥攻击保护功能。如果从一个或多个源向单个目标发送的UDP泛滥攻击超过了此临界值，防火墙在该秒余下的时间和下一秒内会忽略其他到该目标的UDP封包。3.3.5PortScanAttack(端口扫描攻击)当一个源IP地址在定义的时间间隔内（缺省值为5000微秒）向位于相同目标IP地址10个不同的端口发送IP封包时，就会发生端口扫描攻击。这个方案的目的是扫描可用的服务，希望会有一个端口响应，因此识别出作为目标的服务。防火墙在内部记录从某一远程源地点扫描不同端口的数目。使用缺省设置，如果远程主机在0.005秒内扫描了10个端口。防火墙会将这一情况标记为端口扫描攻击，并在该秒余下的时间内拒绝来自该源地址的其他封包4.防火墙在校园网中的配置随着高校信息化进程的推进，学院校园网上运行的应用系统越来越多，信息系统变得越来越庞大和复杂。校园网的服务器群构成了校园网的服务系统，主要包括DNS、虚拟主机、Web、FTP、视频点播以及Mail服务等。校园网通过不同的专线分别接入了教育网、电信网和党政网。随着学院网络出口带宽不断加大，应用服务系统逐渐增多，校园网用户数烈剧上升，网络的安全也就越来越严峻。4.1高校校园网防火墙网络安全策略讨论防火墙安全策略一般实施两个基本设计方针之一：1．拒绝访问除明确许可以外的任何一种服务，即拒绝一切未予特许的东西2．允许访问除明确拒绝以外的任何一种服务，即允许一切未被特别拒绝的东西校园网防火墙的网络安全策略采取第一种安全控制的方针，确定所有可以被提供的服务以及它们的安全特性，然后开放这些服务，并将所有其它未被列入的服务排斥在外，禁止访问。校园网网络结构拓扑图如图4-1所示:图4-1校园网网络总拓扑结构图在实际应用环境中，一般情况下防火墙网络可划分为三个不同级别的安全区域：内部网络：这是防火墙要保护的对象，包括全部的内部网络设备及用户主机。这个区域是防火墙的可信区域(这是由传统边界防火墙的设计理念决定的)。外部网络：这是防火墙要防护的对象，包括外部网主机和设备。这个区域为防火墙的非可信网络区域(也是由传统边界防火墙的设计理念决定的)。DMZ(非军事区)：它是从内部网络中划分的一个小区域，在其中就包括内部网络中用于公众服务的外部服务器，如Web服务器、邮件服务器、DNS服务器等，它们都是为互联网提供某种信息服务。在以上三个区域中，用户需要对不同的安全区域制订不同的安全策略。虽然内部网络和DMZ区都属于内部网络的一部分，但它们的安全级别(策略)是不同的。对于要保护的大部分内部网络，一般情况下禁止所有来自互联网用户的访问；而由内部网络划分出去的DMZ区，因需为互联网应用提供相关的服务，这些服务器上所安装的服务非常少，所允许的权限非常低，真正有服务器数据是在受保护的内部网络主机上，所以黑客攻击这些服务器没有任何意义，既不能获取什么有用的信息，也不能通过攻击它而获得过高的网络访问权限。通过NAT(网络地址转换)技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址。这样可以对外屏蔽内部网络构和IP地址，保护内部网络的安全；同时因为是公网IP地址共享，所以可以大大节省公网IP地址的使用。在这种应用环境中，在网络拓扑结构上校园网可以有两种选择，这主要是根拥有网络设备情况而定。如果原来已有边界路由器，则此可充分利用原有设备，利用边界路由器的包过滤功能，添加相应的防火墙配置，这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的内部网络连接。对于DMZ区中的公用服务器，则可直接与边界路由器相连，不用经过防火墙。它可只经过路由器的简单防护。在此拓扑结构中，边界路由器与防火墙就一起组成了两道安全防线，并且在这两者之间可以设置一个DMZ区，用来放置那些允许外部用户访问的公用服务器设施。依照学院的网络拓扑将网络划分成三个部份，如图4-2所示：外网、DMZ区和内部网络。外网与Internet相连；DMZ放置各种应用服务器；内部网络连接校内用户；图4-2学院防火墙结构图应用服务当中EMAIL、DNS和WWW服务需要外网能够访问，因此将这些服务规划到DMZ区。4.2防火墙的基本配置学院采用的是防火墙，它的初始配置也是通过控制端口（Console）与PC机的串口连接，再通过超级终端（HyperTerminal）程序进行选项配置。也可以通过telnet和Tffp配置方式进行高级配置，但必需先由Console将防火墙的这些功能打开。NETSCREEN防火墙有四种用户配置模式，即：普通模式（Unprivilegedmode）、特权模式（PrivilegedMode）、配置模式（ConfigurationMode）和端口模式（InterfaceMode）。显示基本信息：4.2.1命令行基本信息收集：netscreen>getsyst（得到系统信息）netscreen>getconfig（得到config信息）netscreen>getlogevent（得到日志）4.2.2功能问题需收集下列信息：netscreen>setffiliter?（设置过滤器）netscreen>debugflowbasic是开启基本的debug功能netscreen>cleardb是清除debug的缓冲区netscreen>getdbufstream就可以看到debug的信息了性能问题需收集下列信息：得到下列信息前，请不要重新启动机器，否则信息都会丢失，无法判定问题所在。netscreen>Getpercpudetail（得到CPU使用率）netscreen>Getsessioninfo（得到会话信息）netscreen>Getpersessiondetail（得到会话详细信息）netscreen>Getmac-learn（透明方式下使用，获取MAC硬件地址）netscreen>Getalarmevent（得到告警日志）netscreen>Gettech>tftp6tech.txt（导出系统信息）netscreen>Getlogsystem（得到系统日志信息）netscreen>Getlogsystemsaved（得到系统出错后，系统自动记录信息，该记录重启后不会丢失。设置接口-带宽,网关设置所指定的各个端口的带宽速率,单位为kb/sSetinterfaceinterfacebandwidthnumberunsetinterfaceinterfacebandwidth设置接口的网关setinterfaceinterfacegatewayip_addrunsetinterfaceinterfacegateway设置接口的接口的区域,IP地址zone就是网络逻辑上划分成区,可以在安全区或安全区内部4.2.3接口之间实施策略：设置接口的接口的区域setinterfaceinterfacezonezoneunsetinterfaceinterfacezone设置接口的IP地址setinterfaceinterfaceipip_addr/masksetinterfaceinterfaceipunnumberedinterfaceinterface2unsetinterfaceinterfaceipip_addr4.2.4接口管理设置①setinterfaceinterfacemanage{ident-reset|nsmgmt|ping|snmp|ssh|ssl|telnet|webui}unsetinterfaceinterfacemanage{ident-reset|nsmgmt|ping|snmp|ssh|telnet|webui}WebUI：允许接口通过Web用户界面(WebUI)接收HTTP管理信息流。Telnet:选择此选项可启用Telnet管理功能。SSH:可使用“安全命令外壳”(SSH)通过以太网连接或拨号调制解调器管理NetScreen设备。必须具有与SSH协议版本1.5兼容的SSH客户端。选择此选项可启用SSH管理功能。SNMP:选择此选项可启用SNMP管理功能。SSL:选择此选项将允许接口通过WebUI接收NetScreen设备的HTTPS安全管理信息流。NSSecurityManager:选择此选项将允许接口接收NetScreen-SecurityManager信息流。Ping:选此选项将允许NetScreen设备响应ICMP回应请求，以确定是否可通过网络访问特定的IP地址。Ident-Reset:与“邮件”或FTP发送标识请求相类似的服务。如果它们未收到确认，会再次发送请求。处理请求期间禁止用户访问。启用Ident-reset选项后，NetScreen设备将发送TCP重置通知以响应发往端口113的IDENT请求，然后恢复因未确认标识请求而被阻止的访问。②指定允许进行管理的ip地址setinterfaceinterfacemanage-ipip_addrunsetinterfaceinterfacemanage-ip4.2.5用户帐号的操作①添加只读权限管理员setadminuserRogerpassword2bd21wG7privilegeread-only②修改帐户为可读写权限unsetadminuserRogersetadminuserRogerpassword2bd21wG7privilegeall③删除用户unsetadminuserRoger④清除所有会话,并注销帐户clearadminnameRoger4.3基于内网的防火墙功能及配置4.3.1IP与MAC（用户）绑定功能如果在一个局域网内部允许HostA上网而不允许HostB上网，则有一种方式可以欺骗防火墙进行上网，就是在HostA还没有开机的时候，将HostB的IP地址换成HostA的IP地址就可以上网了。那么针对IP欺骗的行为，解决方法是将工作站的IP地址与网卡的MAC地址进行绑定，这样再改换IP地址就不行了，除非将网卡和IP地址都换过来才行，所以将IP地址与MAC地址进行绑定，可以防止内部的IP盗用。但是这种绑定只适合与防火墙同网段的节点，如果其他网段的节点通过防火墙进行访问时，通过网段的源IP地址与目的IP地址是不同的，无法实现IP地址与MAC的绑定。但是可以通过IP地址与用户的绑定，因为用户是可以跨网段的。另外对DHCP用户的支持，如果在用DHCP服务器来动态分配IP地址的网络中，主机没有固定的IP地址，如何解决这样的问题呢？目前主要有两种方式可以解决这个问题，第一种是在防火墙中内置DHCP服务器，但这种方式由于防火墙内置DHCP服务器，会导致防火墙本身的不安全，如果有一天防火墙失效，造成DHCP服务器宕机会影响整个网络而并不仅仅只对出口造成影响。另一种比较好的解决方法是防火墙支持基于MAC地址的访问控制，在配置之前，先不添IP地址只添网卡的MAC地址，开机后自动将获得的IP地址传给防火墙，防火墙根据这个IP地址与MAC地址进行绑定来实现访问控制，这种方式可以实现IP地址与MAC地址的绑定。这种方式的好处是防火墙受到破坏并不会对这个局域网的通讯产生影响，DHCP服务器不会受到影响，整个网络也不需要进行改动。（用户）绑定针对IP欺骗的行为，我校校园网网络设置中将工作站的IP地址与网卡的MAC地址进行绑定。BINDTO01-50-04-BB-71-A6BINDTO01-50-04-BB-71-BC……这样再改换IP地址就不行了，除非将网卡和IP地址都换过来才行，所以将IP地址与MAC地址进行绑定，可以防止内部的IP盗用。上面的绑定方式只适合与防火墙同网段的节点，如果其他网段的节点通过防火墙进行访问时，通过网段的源IP地址与目的IP地址是不同的，无法实现IP地址与MAC的绑定。实现方法是通过IP地址与用户的绑定，因为用户是可以跨网段的。另外对我校DHCP用户的支持，如果在用DHCP服务器来动态分配IP地址的网络中，主机没有固定的IP地址，解决方法是设置防火墙支持基于MAC地址的访问控制，在配置之前，先不添IP地址，只添加网卡的MAC地址，开机后自动将获得的IP地址传给防火墙，防火墙根据这个IP地址与MAC地址进行绑定来实现访问控制，这种方式可以实现IP地址与MAC地址的绑定。这种方式的好处是防火墙受到破坏并不会对这个局域网的通讯产生影响，DHCP服务器不会受到影响，整个网络也不需要进行改动。4.3.2MAP（端口映射）功能通过远程访问WEB服务器域名地址就可以访问到Web服务器的主页，但这样是直接对我的WEB服务器进行访问和操作很不安全。如果有防火墙，可以把将WEB服务器的地址映射到防火墙的外端口地址，做完映射以后，这些服务器可以使用私有地址，或者这些地址不公开保护起来，对外公开的WEB服务器的地址是防火墙的外端口地址。因此，通过这种方式有两个优点，第一是这些服务器可以使用私有地址，同时也隐藏了内网的结构，如果这时黑客进行攻击，内网是安全的，因为Web服务器公开的地址是防火墙的外端口，真正的WEB服务器的地址不会受到攻击，这样可以增加网络的安全性。比如内部设有WEB服务器（）和有一个远程访问客户（），通过远程访问WEB服务器域名地址就可以访问到这个网页，但这样是直接对我的WEB服务器进行访问和操作很不安全。可以将WEB服务器的地址（如）映射到防火墙的外端口地址（如），即：MAP:80TO:80MAP:21TO:21MAP:25TO:25MAP:53TO:53做完映射以后，这些服务器可以使用私有地址，或者这些地址不公开保护起来，对外公开的WEB服务器的地址是，客户端输入就可以访问到这个WEB服务器。因此，通过这种方式有两个优点，第一是这些服务器可以使用私有地址，同时也隐藏了内网的结构，如果这时黑客进行攻击进行扫描，内网是安全的，因为地址是防火墙的外端口，真正的WEB服务器的地址是不会受到攻击，这样可以增加网络的安全性4.3.3NAT（地址转换）功能网络地址转换可以将内网的私有地址利用防火墙的地址转换功能，来实现对地址的转换，防火墙可以随机设置静态合发地址或者动态地址池，防火墙向外的报文可以从地址池里随机找一个报文转发出来。利用这个方式也有两个优点：第一可隐藏内网的结构，第二是内部网络可以使用保留地址，提供IP复用功能。具体NAT功能配置如下：natinsidesourcelist22poolpool100natinsidedestinationstatic65natinsidedestinationstatictcp621121natinsidedestinationstatictcp6802804.4基于外网的防火墙功能及配置4.4.1DOS攻击防范防范DOS攻击的传统技术主要有4种：①加固操作系统，即配置操作系统各种参数以加强系统稳固性②利用防火墙③负载均衡技术，即把应用业务分布到几台不同的服务器上④带宽限制和QOS保证本论文主要介绍利用防火墙来应对DOS的攻击。目前绝大数的主流防火墙都支持IPInspect功能，防火墙会对进入防火墙的信息进行严格的检测。这样，各种针对系统漏洞的攻击包会自动被系统过滤掉，从而保护了网络免受来自外部的系统漏洞攻击。通过设置ACL过滤、TCP监听功能，过滤不必要的UDP和ICMP数据报。防火墙的基本配置如下：firewall(config)#nameiffa0/1insidesecurity100firewall(config)#nameiffa0/2insidesecurity100firewall(config)#nameiffa0/3outsidesecurity0firewall(config)#intfa0/1autofirewall(config-if)#ipaddinsidefirewall(config-if)#noshutdownfirewall(config-if)#intfa0/2autofirewall(config-if)#ipaddinsidefirewall(config-if)#noshutdownfirewall(config-if)#intfa0/3autofirewall(config-if)#ipaddoutsidefirewall(config-if)#noshutdownfirewall(config-if)#exit由于我们经常会开启一些小服务，例如echo(回显)端口和discard(丢弃)端口，用于诊断，回显端口将重放那些端口所接受到的数据包，而丢弃端口则将数据包丢弃，由于丢弃数据包或回显数据包都会消耗Pcu周期，一些DOS攻击就采用这些端口。所以建议在防火墙接口上关闭这些服务firewall(config)#noservicetcp-small-serversfirewall(config)#noserviceudp-small-serversfirewall(config)#noservicefi