畢業(yè)論文----防火墻的研究及其在校園網(wǎng)中的應(yīng)用

1、<p>　　畢 業(yè) 論 文</p><p>　　題 目 防火墻的研究及其在校園網(wǎng)中的應(yīng)用 </p><p>　　英文題目Firewall and Its Application in the Campus Network </p><p><b>　　摘 要</b></p

2、><p>　　網(wǎng)絡(luò)技術(shù)在近幾年的時間有了非常大的發(fā)展，經(jīng)歷了從無到有，從有到快；網(wǎng)上信息資源也是從匱乏到豐富多彩，應(yīng)有盡有。但隨著網(wǎng)絡(luò)速度越來越快，資源越來越豐富，網(wǎng)絡(luò)安全問題卻也越來越嚴峻，網(wǎng)絡(luò)安全防范對校園網(wǎng)的正常運行來講也就顯得十分重要。</p><p>　　在網(wǎng)絡(luò)安全防范中，防火墻具有著不可或缺的地位。防火墻技術(shù)是在安全技術(shù)當(dāng)中又是最簡單，也是最有效的解決方案。它不僅過濾了來自外部的探

3、測、掃描、拒絕服務(wù)等攻擊,還能避免內(nèi)網(wǎng)已中木馬的主機系統(tǒng)信息泄露...</p><p>　　本論文在詳細分析防火墻工作原理的基礎(chǔ)上，提出一個功能較為完備、性能較好、防火墻系統(tǒng)的本身也較為安全的防火墻系統(tǒng)的設(shè)計方案，同時介紹了具體實現(xiàn)過程中的關(guān)鍵步驟和主要方法。該防火墻在通常的包過濾防火墻基礎(chǔ)之上，又增加了MAC地址綁定和端口映射等功能，使之具有更完備、更實用、更穩(wěn)固的特點。通過對于具有上述特點的防火墻的配置與測試

4、工作，一方面使得所設(shè)計的防火墻系統(tǒng)本身具有高效、安全、實用的特點，另一方面也對今后在此基礎(chǔ)上繼續(xù)測試其它網(wǎng)絡(luò)產(chǎn)品作好了一系列比較全面的準(zhǔn)備工作。</p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；校園網(wǎng) </p><p><b>　　ABSTRACT</b></p><p>　　The network technology has got very

5、 great development in recent years, and the online information resources are developing from deficient to rich and colorful too, and fill with everything. But with the development of the internet, the safe of network is

6、becoming more and more severe. The network safe precaution seems very important for normal running of our campus network too</p><p>　　In the network security guard against the firewall is a vital role in tec

7、hnology. the firewall is the safety of technology is the simplest and most effective solution. it is not only from the exploration and scanning services, to attack, we can avoid the net has been in information disclosure

8、 of the wooden host computer...</p><p>　　This thesis put forward a function in detailed analysis firewall working the foundation of the principle more complete function than good, fire wall system of oneself

9、 the design project of the too safe fire wall system, and introduces to realizes in a specific way at the same time key in the process step with main method. That firewall is in the usual a percolation firewall foundatio

10、n on, increased again the MAC address bind to settle the special function in etc., making it have the fresh and cl</p><p>　　Keywords: network security; firewall</p><p><b>　　目 錄</b>

11、;</p><p>　　ABSTRACTI</p><p><b>　　緒論1</b></p><p>　　1計算機的安全問題2</p><p>　　1.1計算機網(wǎng)絡(luò)面臨的安全問題2</p><p><b>　　1.2攻擊方法2</b></p><

12、;p><b>　　1.3安全隱患3</b></p><p>　　2防火墻的相關(guān)知識5</p><p>　　2.1防火墻的有關(guān)知識5</p><p>　　2.1.1防火墻的概念5</p><p>　　2.1.2防火墻的相關(guān)參數(shù)5</p><p>　　2.1.3防火墻的連接6<

13、/p><p>　　2.2防火墻的分類7</p><p>　　2.2.1 從軟、硬件形式上分7</p><p>　　2.2.2 從防火墻技術(shù)上分………..………………………………………………..8</p><p>　　2.2.3 從防火墻結(jié)構(gòu)分9</p><p>　　2.2.4 按防火墻的應(yīng)用部署位置分9</p

14、><p>　　2.2.5從防火墻性能上分………..……………………………………………… 10</p><p>　　3.校園網(wǎng)面對的安全威脅11</p><p>　　3.1物理安全11</p><p>　　3.1.1自然威脅11</p><p>　　3.1.2 人為威脅12</p><p>　

15、　3.2 內(nèi)網(wǎng)攻擊分析13</p><p>　　3.2.1 ARP攻擊13</p><p>　　3.2.2.網(wǎng)絡(luò)監(jiān)聽13</p><p>　　3.2.3．蠕蟲病毒14</p><p>　　3.3外網(wǎng)攻擊14</p><p>　　3.3.1 DOS攻擊14</p><p>　　3.3.

16、2 SYN Attack(SYN攻擊)15</p><p>　　3.3.3 ICMP Flood(UDP泛濫)15</p><p>　　3.3.4 UDP Flood(UDP泛濫)15</p><p>　　3.3.5 Port Scan Attack(端口掃描攻擊)16</p><p>　　4.防火墻在校園網(wǎng)中的配置17</p

17、><p>　　4.1高校校園網(wǎng)防火墻網(wǎng)絡(luò)安全策略17</p><p>　　4.2防火墻的基本配置19</p><p>　　4.3基于內(nèi)網(wǎng)的防火墻功能及配置21</p><p>　　4.3.1 IP與MAC（用戶）綁定功能21</p><p>　　4.3.2 MAP（端口映射）功能22</p><

18、;p>　　4.3.3 NAT（地址轉(zhuǎn)換）功能23</p><p>　　4.4基于外網(wǎng)的防火墻功能及配置23</p><p>　　4.4.1 DOS攻擊防范23</p><p>　　4.4.2訪問控制功能24</p><p><b>　　結(jié) 論26</b></p><p><b

19、>　　致 謝27</b></p><p><b>　　參考文獻28</b></p><p><b>　　緒論</b></p><p>　　科學(xué)技術(shù)的飛速發(fā)展，人們已經(jīng)生活在信息時代。計算機技術(shù)和網(wǎng)絡(luò)技術(shù)深入到社會的各個領(lǐng)域，因特網(wǎng)把“地球村”的居民緊密地連在了一起。近年來因特網(wǎng)的飛速發(fā)展，給人們的生活

20、帶來了全新地感受，人類社會各種活動對信息網(wǎng)絡(luò)地依賴程度已經(jīng)越來越大。然而，凡事“有利必有一弊”，人們在得益于信息所帶來的新的巨大機遇的同時，也不得不面對信息安全問題的嚴峻考驗?！昂诳凸簟本W(wǎng)站被“黑”，“CIH病毒”無時無刻不充斥在網(wǎng)絡(luò)中?！半娮討?zhàn)”已成為國與國之間，商家與商家之間的一種重要的攻擊與防衛(wèi)手段。因此信息安全，網(wǎng)絡(luò)安全的問題已經(jīng)引起各國，各部門，各行各業(yè)以及每個計算機用戶的充分重視。因特網(wǎng)提供給人們的不僅僅是精彩，還無時無刻

21、地存在各種各樣的危險和陷阱。對此，我們既不能對那些潛在的危險不予重視，遭受不必要的損失；也不能因為害怕某些危險而拒絕因特網(wǎng)的各種有益的服務(wù)，對個人來說這樣會失去了了解世界、展示自己的場所，對企業(yè)來說還失去了拓展業(yè)務(wù)、提高服務(wù)、增強競爭力的機會。不斷地提高自身網(wǎng)絡(luò)的安全才是行之有效地辦法。本文作者在導(dǎo)師的指導(dǎo)下，獨立完成了該防火墻系統(tǒng)方案的配置及安全性能的檢測工作。本論文在詳細分析防火墻工作原理</p><p>&

22、lt;b>　　1計算機的安全問題</b></p><p>　　1.1計算機網(wǎng)絡(luò)面臨的安全問題</p><p>　　計算機網(wǎng)絡(luò)系統(tǒng)面臨的威脅大體可分為兩種：一是針對網(wǎng)絡(luò)中信息的威脅；二是針對網(wǎng)絡(luò)中設(shè)備的威脅，前者為信息安全問題，后者為網(wǎng)絡(luò)安全問題。計算機網(wǎng)絡(luò)信息安全是指計算機及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，即是指計算機、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其

23、系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)可靠正常地運行，使網(wǎng)絡(luò)服務(wù)不中斷。計算機網(wǎng)絡(luò)安全從其本質(zhì)上來講就是系統(tǒng)上的信息安全，涉及計算機網(wǎng)絡(luò)信息的保密性、完整性、可用性、真實性和可控性。如果按威脅的對象、性質(zhì)則可以細分為四類：第一類是針對硬件實體設(shè)施；第二類是針對軟件、數(shù)據(jù)和文檔資料；第三類是兼對軟硬件同時攻擊破壞；第四類是計算機犯罪。</p><p>　　1、對硬件實體

24、的威脅和攻擊這類威脅和攻擊是對計算機本身和外部設(shè)備乃至網(wǎng)絡(luò)和通信線路而言的，如各種自然災(zāi)害、人為破壞、操作失誤、設(shè)備故障、電磁干擾、被盜和各種不同類型的不安全因素所致的物質(zhì)財產(chǎn)損失、數(shù)據(jù)資料損失等。2、對信息的威脅和攻擊這類威脅和攻擊是指計算機系統(tǒng)處理所涉及的國家、部門、各類組織團體和個人的機密、重要及敏感性信息。由于種種原因，這些信息往往成為敵對勢力、不法分子和黑客攻擊的主要對象。</p><p>　　3、同時

25、攻擊軟、硬件系統(tǒng)這類情況除了戰(zhàn)爭攻擊、武力破壞以外，最典型的就是病毒的危害。</p><p>　　4、計算機犯罪計算機犯罪是指一切借助計算機技術(shù)或利用暴力、非暴力手段攻擊、破壞計算機及網(wǎng)絡(luò)系統(tǒng)的不法行為。暴力事件如武力摧毀等，非暴力形式卻多種多樣，如數(shù)據(jù)欺騙、制造陷阱、邏輯炸彈、監(jiān)聽竊聽、黑客攻擊等等。計算機犯罪的損失異常驚人，通常是常規(guī)犯罪的幾十、幾百倍。</p><p><b&g

26、t;　　1.2攻擊方法</b></p><p>　　為了更好地了解一個安全的防火墻對網(wǎng)絡(luò)的重要性，首先需要了解一下最常見的攻擊類型。</p><p>　　黑客在動機和技巧上差別很大。有些人是在利益的驅(qū)使下尋求某些特定的信息，有些則是為了控制計算和通信系統(tǒng)，以供自己使用。但是，也有許多黑客將入侵視為一種娛樂性游戲，以這種破壞性行為作為他們能夠成功訪問的證明。</p>

27、<p>　　不管動機是什么，目的在于入侵某個網(wǎng)絡(luò)的攻擊在開始時總是試圖映射目標(biāo)網(wǎng)絡(luò)、收集用戶和主機系統(tǒng)信息并尋找安全漏洞。這種信息收集是通過一些最常見的工具進行的，而具有諷刺意味的是，設(shè)計這些工具的目的恰恰是用來幫助網(wǎng)絡(luò)工程師評詁并提高安全性。</p><p>　　端口掃描，快速探查、E-mail重配置和DNS高區(qū)傳輸僅僅是幾種常見的網(wǎng)絡(luò)探測方法。主要用于探查哪些系統(tǒng)處于活躍狀態(tài)、提供什么服務(wù)以及采取

28、了什么安全措施。如果安全性不高，通過簡單的探測甚至可以獲得用戶帳號信息。</p><p>　　分組竊聽是在一個網(wǎng)絡(luò)主機已受損后所使用的偵察程序，目的是獲取并轉(zhuǎn)移數(shù)據(jù)分組，以進行分析。如果由一個未授權(quán)技術(shù)人員使用這種工具，他可以獲得關(guān)于網(wǎng)絡(luò)使用情況和效率的有用信息。在由黑客使用時，竊聽程序可以獲取用戶名、密碼和系統(tǒng)地址，甚至可以讀取未加密的信息。目前市場上有大量自由件和共享件分組竊聽程序，利用這些工具，技術(shù)水平較低

29、的蓄意破壞者也可以收集廣泛的信息，并利用這些信息發(fā)起攻擊。</p><p>　　在獲得了關(guān)于網(wǎng)絡(luò)布局、網(wǎng)絡(luò)保護措施及其用戶的足夠信息后，攻擊者通常會進一步進入防護不嚴密的系統(tǒng)，獲得更多信息并利用最初的開口進而侵入其它系統(tǒng)。根據(jù)攻擊者的動機和技術(shù)水平，他可能會試圖竊取或毀壞數(shù)據(jù)、轉(zhuǎn)移網(wǎng)絡(luò)資產(chǎn)供自己使用（如長途電話服務(wù)）或只是使網(wǎng)絡(luò)停運。常見的攻擊包括：</p><p>　　IP電子欺騙，即利

30、用一個內(nèi)部地址隱藏外部流量的真正來源。</p><p>　　應(yīng)用級攻擊，這種攻擊的目標(biāo)為運行某些網(wǎng)絡(luò)服務(wù)（如e-mail）的服務(wù)器軟件。通常這些攻擊會利用舊的軟件版本的安全漏洞使入侵者控制服務(wù)或服務(wù)器本身。</p><p>　　特洛伊馬攻擊利用偽裝的軟件欺騙用戶或系統(tǒng)，令其提供有用的信息或降低安全屏障。典型的例子是一個替代性的網(wǎng)絡(luò)登錄操作，它提示用戶輸入其用戶名和密碼，然后再將該信息發(fā)給一

31、個黑客。如特洛伊馬攻擊中還出現(xiàn)了“我愛你”和“melissa”電子郵件攻擊。其它還包括Java應(yīng)用和嵌入Web頁面的ActiveX控制，用于在傳輸一個明顯無害的頁面時予以執(zhí)行。這些攻擊特別具有破壞性，因為編程語言獨立于平臺的特性使它們能夠擴散到所有連接的系統(tǒng)。</p><p>　　拒絕服務(wù)攻擊（如SYN洪水），這些攻擊利用網(wǎng)絡(luò)通信協(xié)議用不完整的服務(wù)請求占用主機，從而阻擋了合法的請求。</p><

32、;p><b>　　1.3安全隱患</b></p><p>　　1、黑客黑客是指一些以訪問其他人的計算機或者網(wǎng)絡(luò)為樂的計算機愛好者。</p><p>　　盡管很多黑客只滿足于闖入別人的系統(tǒng)，并留下自己的“腳印”，但是有些“駭客”則懷有很多的惡意，他們會導(dǎo)致整個網(wǎng)絡(luò)崩潰，竊取或者損壞保密的數(shù)據(jù)，竄改網(wǎng)頁，甚至中斷系統(tǒng)的正常工作。</p><p&g

33、t;　　不是所有的黑客都是天才。很多人只需要使用從網(wǎng)上找到的黑客工具，稍微了解一下這些工具的工作方式和作用，就可以發(fā)動攻擊。</p><p>　　2、沒有安全意識的師生</p><p>　　當(dāng)教職工關(guān)注于他們各自的工作時，他們可能會忽略標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全規(guī)則。例如，他們可能會選擇某個很容易通過簡單的常識或者密碼破解工具猜測或者破解的密碼。教職工還可能會無意地收發(fā)和傳輸病毒。病毒進入系統(tǒng)的最常見

34、途徑就是通過受到感染的軟件或者從互聯(lián)網(wǎng)上下載受到感染的文件。</p><p>　　令人驚訝的是，企事業(yè)單位還必須注意人為事故的影響。無論員工是計算機新手還是計算機行家，都有可能會犯錯誤，例如錯誤地安裝殺毒軟件或者偶然忽略了關(guān)于安全威脅的警報。</p><p><b>　　3、心懷不滿的學(xué)生</b></p><p>　　比無心的錯誤更加讓人擔(dān)心的

35、是某些惱怒的或者意圖報復(fù)的學(xué)生可能對學(xué)校造成的損害。這些學(xué)生通常是那些被批評、記過或者降級的學(xué)生，因不滿情緒可能會報復(fù)性地用病毒感染學(xué)校的網(wǎng)絡(luò)，或者有意刪除一些重要的文件。</p><p>　　顯然這些學(xué)生非常危險，因為他們通常比較了解本學(xué)校網(wǎng)絡(luò)以及其中所含信息的價值，重要信息的位置以及保護這些信息的安全措施。</p><p>　　4、喜歡打聽消息的企事業(yè)員</p><

36、p>　　工無論員工對企事業(yè)單位是否滿意，他們中還有些人可能會很好奇，或者喜歡惡作劇。比如在企業(yè)中充當(dāng)商業(yè)間諜的員工，他們會在未經(jīng)授權(quán)的情況下訪問機密數(shù)據(jù)，并將這些信息交給企事業(yè)的競爭對手?；蛘咚麄兛赡苤皇呛芎闷?，熱衷于訪問一些保密的數(shù)據(jù)，例如財務(wù)信息，同事之間發(fā)送的浪漫的電子郵件——或者工資的詳細信息。</p><p>　　這些行為中有些是無害的。但是另外一些行為，例如事先查看財務(wù)、醫(yī)療和人力資源數(shù)據(jù)，則會

37、導(dǎo)致非常嚴重的后果。它們可能會破壞企事業(yè)的聲譽，提高單位的成本和財務(wù)責(zé)任。</p><p><b>　　2防火墻的相關(guān)知識</b></p><p>　　Internet的發(fā)展給政府機關(guān)、企事業(yè)單位帶來了革命性的改革和開放。他們正努力通過利用Internet來提高辦事效率和市場反應(yīng)速度，以便更具競爭力。通過Internet，企事業(yè)單位可以從異地取回重要數(shù)據(jù)，同時又要面對

38、Internet開放帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險：即移動用戶、異地員工和內(nèi)部員工的安全訪問；以及保護企事業(yè)的機密信息不受黑客和工業(yè)間諜的入侵。因此企事業(yè)必須加筑安全的“戰(zhàn)壕”，而這個“戰(zhàn)壕”就是防火墻。本章主要從安全角度介紹防火墻的相關(guān)知識。</p><p>　　2.1防火墻的有關(guān)知識</p><p>　　2.1.1防火墻的概念</p><p>　　防火墻一詞最早

39、源于建筑行業(yè)，當(dāng)構(gòu)筑和使用木制結(jié)構(gòu)房屋的時候，為防止火災(zāi)的發(fā)生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構(gòu)筑物被稱之為防火墻。在今日的電子信息世界里，人們借助了這個概念，使用防火墻來保護敏感的數(shù)據(jù)不被竊取和篡改，不過這些防火墻是由先進的計算機系統(tǒng)構(gòu)成的。</p><p>　　今天的防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，隔在被保護的內(nèi)部網(wǎng)與不安全的非信任網(wǎng)絡(luò)之間，用來

40、保護計算機網(wǎng)絡(luò)免受非授權(quán)人員的騷擾與黑客的入侵。世界上最大的、不安全的非信任網(wǎng)絡(luò)就是我們目前廣泛使用的互聯(lián)網(wǎng)絡(luò)——Internet網(wǎng)絡(luò)，近年來媒體報導(dǎo)的很多黑客入侵事件都是通過互聯(lián)網(wǎng)絡(luò)進行攻擊的。</p><p>　　防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企事業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企事業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入

41、網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。</p><p>　　在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。</p><p>　　大部分防火墻都是硬件產(chǎn)品，也有軟件產(chǎn)品，如果是軟件類型防火墻還需要一個軟件平臺即一個服務(wù)器，但是目前我們看到的防火墻都是硬

42、件防火墻。在外形上、在高度上、在大小上類似于路由器設(shè)備，是一臺特殊的計算機。在防火墻的后面有許多接口：串口（又叫Console口，可利用串口線對防火墻進行初始化配置）、三個標(biāo)準(zhǔn)網(wǎng)絡(luò)接口（10M、100M和自適應(yīng)的網(wǎng)絡(luò)接口）、擴展槽（標(biāo)配是三個，一般防火墻都可以擴展到十個或十二個，接口類型也可根據(jù)需要進行定制，如果擴展較多，機箱會較高可達到2U或4U）、電源插座和電源開關(guān)。</p><p>　　2.1.2防火墻的相

43、關(guān)參數(shù)</p><p>　　1．樣式：標(biāo)準(zhǔn)1U——4U機箱，根據(jù)接口數(shù)量、處理性能等不同而異</p><p>　　2．網(wǎng)絡(luò)接口數(shù)量：標(biāo)準(zhǔn)一般配置3個10/100M自適應(yīng)接口，根據(jù)需要可以定制更多接口，有些還可熱拔插</p><p>　　3．網(wǎng)絡(luò)接口類型：標(biāo)準(zhǔn)一般是10/100-Base-TX接口，也有其他類型接口</p><p>　　4．電源

44、：一般是單電源，特殊場合可以配置雙電源，但需要定制</p><p>　　5．硬件平臺架構(gòu)：大多基于X86工控平臺，也有基于NP加速的產(chǎn)品</p><p>　　6．處理器：多數(shù)的是CPU，極少數(shù)是CPU+NPU7．軟件平臺：Windows NT，也有直接基于開放LINUX架構(gòu)改造，使用免費代碼構(gòu)建</p><p>　　2.1.3防火墻的連接</p>&l

45、t;p>　　1、防火墻在網(wǎng)絡(luò)中的位置：</p><p>　　圖2-1防火墻在網(wǎng)絡(luò)中的位置</p><p><b>　　2．防火墻連線</b></p><p>　　圖2-2防火墻邏輯位置示意圖</p><p><b>　　2.2防火墻的分類</b></p><p>　　2

46、.2.1 從軟、硬件形式上分 　　 如果從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻?！　?lt;/p><p>　　1）軟件防火墻。 　　軟件防火墻運行于特定的 計算 機上，它需要客戶預(yù)先安裝好的計算機操作系統(tǒng)的支持，一般來說這臺計算機就是整個網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防

47、火墻最出名的莫過于Checkpoint。使用這類防火墻，需要網(wǎng)管對所工作的操作系統(tǒng)平臺比較熟悉。 </p><p>　　2）硬件防火墻。 　　這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)，就是說，它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計算機上運

48、行一些經(jīng)過裁剪和簡化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。 值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因此依然會受到OS（操作系統(tǒng)）本身的安全性影響。 3）芯片級防火墻。 　　芯片級防火墻基于專門的硬件平臺，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于

49、是專用OS（操作系統(tǒng)），因此防火墻本身的漏洞比較少，不過價格相對比較高昂。 2.2.2 從防火墻技術(shù)分 　　 防火墻技術(shù)雖然出現(xiàn)了許多，但總體來講可分為“包過濾型”和“應(yīng)用代理型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防</p><p>　?。?）包過濾（Packet filtering）型。 　　包過濾方式是一種通用、廉價和有效的安全手段。之所以通用，是因為它不是針

50、對各個具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式，適用于所有網(wǎng)絡(luò)服務(wù)；之所以廉價，是因為大多數(shù)路由器都提供數(shù)據(jù)包過濾功能，所以這類防火墻多數(shù)是由路由器集成的；之所以有效，是因為它能很大程度上滿足了絕大多數(shù) 企業(yè) 安全要求。 　　在整個防火墻技術(shù)的 發(fā)展 過程中，包過濾技術(shù)出現(xiàn)了兩種不同版本，稱為“第一代靜態(tài)包過濾”和“第二代動態(tài)包過濾”。 　　包過濾方式的優(yōu)點是不用改動客戶機和主機上的應(yīng)用程序，因為它工作在網(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。但其弱

51、點也是明顯的：過濾判別的依據(jù)只是網(wǎng)絡(luò)層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會受到很大地影響；由于缺少上下文關(guān)聯(lián)信息，不能有效地過濾如UDP、RPC（遠程過程調(diào)用）一類的協(xié)議；另外，大多數(shù)過濾器中缺少審計和報警機制，它只能依據(jù)包頭信息，而不能對用戶身份進行驗證，很容易受到“地址欺騙型”攻擊。對安全管理人員素質(zhì)要求高，建立安全規(guī)則時，必須對協(xié)議本身</

52、p><p>　　2.2.3 從防火墻結(jié)構(gòu)分 　　從防火墻結(jié)構(gòu)上分，防火墻主要有：單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。 　　單一主機防火墻是最為傳統(tǒng)的防火墻，獨立于其它網(wǎng)絡(luò)設(shè)備，它位于網(wǎng)絡(luò)邊界。 　　這種防火墻其實與一臺計算機結(jié)構(gòu)差不多（如下圖），同樣包括CPU、內(nèi)存、硬盤等基本組件，主板更是不能少的，且主板上也有南、北橋芯片。它與一般計算機最主要的區(qū)別就是一般防火墻都集成了兩個以上的以太網(wǎng)卡，

53、因為它需要連接一個以上的內(nèi)、外部網(wǎng)絡(luò)。其中的硬盤就是用來存儲防火墻所用的基本程序，如包過濾程序和代理服務(wù)器程序等，有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此，但我們不能說它就與我們平常的PC機一樣，因為它的工作性質(zhì)，決定了它要具備非常高的穩(wěn)定性、實用性，具備非常高的系統(tǒng)吞吐性能。正因如此，看似與PC機差不多的配置，價格甚遠。 　　隨著防火墻技術(shù)的 發(fā)展 及應(yīng)用需求的提高，原來作為單一主機的防火墻現(xiàn)在已發(fā)生了許多變化。最明顯的變化

54、就是現(xiàn)在許多中、高檔的路由器中已集成了防火墻功能，還有的防火墻已不再是一個獨立的硬件實體，而是由多個軟、硬件組成的系統(tǒng)，這種防火墻，俗稱“分布式防火墻”。 </p><p>　　2.2.4 按防火墻的應(yīng)用部署位置分　　按防火墻的應(yīng)用部署位置分，可以分為邊界防火墻、個人防火墻和混合防火墻三大類。 　　邊界防火墻是最為傳統(tǒng)的，它們于內(nèi)、外部網(wǎng)絡(luò)的邊界，所起的作用的對內(nèi)、外部網(wǎng)絡(luò)實施隔離，保護邊界內(nèi)部網(wǎng)絡(luò)。這類防火

55、墻一般都屬于硬件類型，價格較貴，性能較好。 　　個人防火墻安裝于單臺主機中，防護的也只是單臺主機。這類防火墻應(yīng)用于廣大的個人用戶，通常為軟件防火墻，價格最便宜，性能也最差。 　　混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統(tǒng)，由若干個軟、硬件組件組成，分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機之間，既對內(nèi)、外部網(wǎng)絡(luò)之間通信進行過濾，又對網(wǎng)絡(luò)內(nèi)部各主機間的通信進行過濾。它屬于最新的防火墻技術(shù)之一，性能最好，價

56、格也最貴。 2.2.5 按防火墻性能分 　　按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。 　　因為防火墻通常位于網(wǎng)絡(luò)邊界，所以不可能只是十兆級的。這主要是指防火的通道帶寬（Bandwidth），或者說是吞吐率。當(dāng)然通道帶寬越寬，性能越高，這樣的防火墻因包過濾或應(yīng)用代理所產(chǎn)生的延時也越小，對整個網(wǎng)絡(luò)通信</p><p>　　3.校園網(wǎng)面對的安全威脅</p><p><

57、;b>　　3.1物理安全</b></p><p>　　保證計算機網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全是整個網(wǎng)絡(luò)安全的前提。計算機網(wǎng)絡(luò)的物理安全是在物理介質(zhì)層次上數(shù)據(jù)傳輸、數(shù)據(jù)存儲和數(shù)據(jù)訪問安全。計算機網(wǎng)絡(luò)的物理安全包括構(gòu)成網(wǎng)絡(luò)的相關(guān)基礎(chǔ)設(shè)施的安全，網(wǎng)絡(luò)的運行環(huán)境比如溫度、濕度、電源等，自然環(huán)境的影響以及人的因素等對計算機網(wǎng)絡(luò)的物理安全和運行的影響。物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水

58、災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的破壞過程。其目的是保護計算機系統(tǒng)、web服務(wù)器、打印機等硬件實體和網(wǎng)絡(luò)通信設(shè)備免受自然災(zāi)害、人為破壞和搭線攻擊等。</p><p><b>　　3.1.1自然威脅</b></p><p>　　自然威脅主要是指由于自然原因造成的對網(wǎng)絡(luò)設(shè)備硬件的損壞和網(wǎng)絡(luò)運行的影響。主要包括以下幾方面：</p>

59、<p><b>　?、僮匀粸?zāi)害</b></p><p>　　自然災(zāi)害對計算機網(wǎng)絡(luò)設(shè)備或其它相關(guān)設(shè)施造成的損壞，或?qū)W(wǎng)絡(luò)運行造成的影響。如：雷擊、火災(zāi)、水災(zāi)、地震等不可抗力造成的網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)通信線路的損壞，大霧對無線傳輸?shù)挠绊憽?lt;/p><p>　?、谡Ｊ褂们闆r下的設(shè)備損壞</p><p>　　在網(wǎng)絡(luò)設(shè)中，所有的網(wǎng)絡(luò)設(shè)備都是電子

60、設(shè)備，任何電子元件也都會老化，因此由電子元件構(gòu)成的網(wǎng)絡(luò)設(shè)備都一個有限的正常使用年限，即使嚴格按照設(shè)備的使用環(huán)境要求使用，在設(shè)備達到使用壽命后均可能出現(xiàn)硬件故障或不穩(wěn)定現(xiàn)象，從而威脅計算機網(wǎng)絡(luò)的安全運行。</p><p><b>　　③設(shè)備運行環(huán)境</b></p><p>　　網(wǎng)絡(luò)的運行是不間斷的。保證網(wǎng)絡(luò)設(shè)備的安全運行，運行環(huán)境是一個很重要的因素。任何計算機網(wǎng)絡(luò)都需要

61、一個可靠的運行環(huán)境來保證其可靠地運行，其中主要包括周邊環(huán)境和電源系統(tǒng)兩大要素。</p><p><b>　　1)周邊環(huán)境</b></p><p>　　我們所使用的網(wǎng)絡(luò)交換設(shè)備一般都有自己的散熱系統(tǒng)，所以環(huán)境因素往往被一些管理員所忽略。隨著使用周期的增長，一些設(shè)備的散熱系統(tǒng)損壞，或在潮濕的天氣環(huán)境下積塵較多而引起設(shè)備運行不穩(wěn)定，都是不安全因素。因此網(wǎng)絡(luò)設(shè)備的安放都需要比

62、較良好的環(huán)境，所以校園網(wǎng)的網(wǎng)絡(luò)中心機房一般都配備調(diào)濕調(diào)溫并經(jīng)常保潔的環(huán)境，以保證設(shè)備的運行。在分節(jié)點的網(wǎng)絡(luò)設(shè)備，可以采取定期維</p><p>　　護保養(yǎng)的措施或分別設(shè)置空調(diào)設(shè)備。</p><p><b>　　2)電源系統(tǒng)</b></p><p>　　電源系統(tǒng)的穩(wěn)定可靠直接影響到網(wǎng)絡(luò)的安全運行。如果要保證網(wǎng)絡(luò)的不間斷，就必須保證電源系統(tǒng)的穩(wěn)定和

63、不間斷。校園網(wǎng)的電源系統(tǒng)可分為兩部分，一部分主要用于網(wǎng)絡(luò)設(shè)備和主機，由于這些網(wǎng)絡(luò)設(shè)備和主機對電源系統(tǒng)要求較高，且不能間斷，所以這部分的供電系統(tǒng)就采用UPS（不間斷電源系統(tǒng)），而且最好是采用在線式的，這樣可以充分隔離電力系統(tǒng)對網(wǎng)絡(luò)設(shè)備的干擾，保證網(wǎng)絡(luò)的運行。另一部分主要用于空調(diào)設(shè)備，其特點是電源容量要求大，可短時間間斷，但由于我們部分學(xué)校所使用的空調(diào)系統(tǒng)在恢復(fù)供電后都不能自動啟動，所以必須讓管理人員掌握電源的通斷信息。以上海師大校園網(wǎng)為例

64、，網(wǎng)絡(luò)中心通過對UPS電源監(jiān)控系統(tǒng)的整合，使電源通斷信息的變化會及時地反映到網(wǎng)管人員的手機上，這樣中心工作人員就能及時了解突發(fā)情況。</p><p>　　3.1.2 人為威脅</p><p>　　人為威脅是指由于人為因素造成的對計算機網(wǎng)絡(luò)的物理安全威脅，包括故意人為和無意人為威脅。</p><p>　　人為故意威脅是指人為主觀威脅網(wǎng)絡(luò)的物理安全。最常見的是人為通過物

65、理接近的方式威脅網(wǎng)絡(luò)安全，物理接近是其它攻擊行為的基礎(chǔ)。如通過搭線連接獲取網(wǎng)絡(luò)上的數(shù)據(jù)信息；或者潛入重要的安全部門竊取口令、密鑰等重要的網(wǎng)絡(luò)安全信息；或者直接破壞網(wǎng)絡(luò)的物理基礎(chǔ)設(shè)施（盜割網(wǎng)絡(luò)通信線纜、盜取或破壞網(wǎng)絡(luò)設(shè)備等）。這些人為的故意破壞行為嚴重威脅網(wǎng)絡(luò)的安全運行。</p><p>　　人為無意威脅是人為因素造成但不是故意的物理安全威脅。即使是合法的、技術(shù)過硬的操作人員，由于從時間疲勞工作或者其它身體因素的影

66、響，或者自身安全意識不強都可能產(chǎn)生失誤和意外疏忽。這些意外和疏忽也可能影響網(wǎng)絡(luò)的安全運行，有時還會造成重大的損失，如刪除了重要的網(wǎng)絡(luò)配置文件、格式化了存儲有重要數(shù)據(jù)或信息的分區(qū)或整個硬盤、沒有采取防靜電措施插拔硬件等等</p><p>　　3.2 內(nèi)網(wǎng)攻擊分析</p><p>　　3.2.1 ARP攻擊</p><p>　　ARP攻擊就是通過偽造IP地址和MAC地址

67、實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。</p><p>　　ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺計算機感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計算機的通信信息，并因此造成網(wǎng)內(nèi)其它計算機的通信故障。</p&g

68、t;<p>　　某機器A要向主機B發(fā)送報文，會查詢本地的ARP緩存表，找到B的IP地址對應(yīng)的MAC地址后，就會進行數(shù)據(jù)傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機A的IP地址IA——物理地址PA），請求IP地址為IB的主機B回答物理地址PB。網(wǎng)上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，于是向A主機發(fā)回一個ARP響應(yīng)報文。其中就包含有B的MAC地址，A接收到B的應(yīng)答后，就會更新本地的ARP緩

69、存。接著使用這個MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個緩存是動態(tài)的。</p><p>　　3.2.2.網(wǎng)絡(luò)監(jiān)聽</p><p>　　在網(wǎng)絡(luò)中，當(dāng)信息進行傳播的時候，可以利用工具，將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽的模式，便可將網(wǎng)絡(luò)中正在傳播的信息截獲或者捕獲到，從而進行攻擊。</p><p>　　網(wǎng)絡(luò)監(jiān)聽在網(wǎng)絡(luò)中

70、的任何一個位置模式下都可實施行。而黑客一般都是利用網(wǎng)絡(luò)監(jiān)聽來截取用戶口令。比如當(dāng)有人占領(lǐng)了一臺主機之后，那么他要再想進將戰(zhàn)果擴大到這個主機所在的整個局域網(wǎng)話，監(jiān)聽往往是他們選擇的捷徑。很多時候我在各類安全論壇上看到一些初學(xué)的愛好者，在他們認為如果占領(lǐng)了某主機之后那么想進入它的內(nèi)部網(wǎng)應(yīng)該是很簡單的。其實非也，進入了某主機再想轉(zhuǎn)入它的內(nèi)部網(wǎng)絡(luò)里的其它機器也都不是一件容易的事情。因為你除了要拿到他們的口令之外還有就是他們共享的絕對路徑，當(dāng)然了

71、，這個路徑的盡頭必須是有寫的權(quán)限了。在這個時候，運行已經(jīng)被控制的主機上的監(jiān)聽程序就會有大收效。不過卻是一件費神的事情，而且還需要當(dāng)事者有足夠的耐心和應(yīng)變能力。主要包括： </p><p><b>　　數(shù)據(jù)幀的截獲 </b></p><p>　　對數(shù)據(jù)幀的分析歸類 </p><p>　　dos攻擊的檢測和預(yù)防 </p><p&

72、gt;　　IP冒用的檢測和攻擊 </p><p>　　在網(wǎng)絡(luò)檢測上的應(yīng)用 </p><p>　　對垃圾郵件的初步過濾</p><p>　　3.2.3．蠕蟲病毒</p><p>　　3.2.3.1蠕蟲病毒攻擊原理</p><p>　　蠕蟲也是一種病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通過自己指令的

73、執(zhí)行，將自己的指令代碼寫到其他程序的體內(nèi)，而被感染的文件就被稱為”宿主”，例如，windows下可執(zhí)行文件的格式為pe格式(Portable Executable)，當(dāng)需要感染pe文件時，在宿主程序中，建立一個新節(jié)，將病毒代碼寫到新節(jié)中，修改的程序入口點等，這樣，宿主程序執(zhí)行的時候，就可以先執(zhí)行病毒程序，病毒程序運行完之后，在把控制權(quán)交給宿主原來的程序指令?？梢?，病毒主要是感染文件，當(dāng)然也還有像DIRII這種鏈接型病毒，還有引導(dǎo)區(qū)病毒。

74、引導(dǎo)區(qū)病毒他是感染磁盤的引導(dǎo)區(qū)，如果是軟盤被感染，這張軟盤用在其他機器上后，同樣也會感染其他機器，所以傳播方式也是用軟盤等方式。</p><p>　　3.2.3.2蠕蟲病毒入侵過程</p><p>　　蠕蟲病毒攻擊主要分成三步：</p><p>　?、賿呙瑁河扇湎x的掃描功能模塊負責(zé)探測存在漏洞的主機。當(dāng)程序向某個主機發(fā)送探測漏洞的信息并收到成功的反饋信息后，就得到一

75、個可傳播的對象。</p><p>　?、诠簦汗裟K按漏洞攻擊步驟自動攻擊步驟1中找到的對象，取得該主機的權(quán)限（一般為管理員權(quán)限），獲得一個shell。</p><p>　　③復(fù)制：復(fù)制模塊通過原主機和新主機的交互將蠕蟲程序復(fù)制到新主機并啟動。</p><p><b>　　3.3外網(wǎng)攻擊</b></p><p>　　3

76、.3.1 DOS攻擊</p><p>　　DoS 攻 擊 (Denial of Service，簡稱DOS)即拒絕服務(wù)攻擊，是指攻擊者通過消耗受害網(wǎng)絡(luò)的帶寬，消耗受害主機的系統(tǒng)資源，發(fā)掘編程缺陷，提供虛假路由或DNS信息，使被攻擊目標(biāo)不能正常工作。實施DoS攻擊的工具易得易用，而且效果明顯。一般的DoS攻擊是指一臺主機向目的主機發(fā)送攻擊分組(1:1)，它的威力對于帶寬較寬的站點幾乎沒有影響;而分布式拒絕服務(wù)攻擊(

77、Distributed Denial of Service，簡稱DDoS)同時發(fā)動分布于全球的幾千臺主機對目的主機攻擊(m:n ),即使對于帶寬較寬的站點也會產(chǎn)生致命的效果。隨著電子商業(yè)在電子經(jīng)濟中扮演越來越重要的角色，隨著信息戰(zhàn)在軍事領(lǐng)域應(yīng)用的日益廣泛，持續(xù)的DoS攻擊既可能使某些機構(gòu)破產(chǎn)，也可能使我們在信息戰(zhàn)中不戰(zhàn)而敗?？梢院敛豢鋸埖卣f，電子恐怖活動的時代已經(jīng)來臨。</p><p>　　DoS 攻 擊 中，由

78、于攻擊者不需要接收來自受害主機或網(wǎng)絡(luò)的回應(yīng)，它的IP包的源地址就常常是偽造的。特別是對DDoS攻擊，最后實施攻擊的若干攻擊器本身就是受害者。若在防火墻中對這些攻擊器地址進行IP包過濾，則事實上造成了新的DDS攻擊。為有效地打擊攻擊者，必須設(shè)法追蹤到攻擊者的真實地址和身份?！　?lt;/p><p>　　3.3.2 SYN Attack(SYN攻擊)</p><p>　　每一個TCP連接的建立都要

79、經(jīng)過三次握手的過程：A向B發(fā)送SYN封包：B用SYN/ACK封包進行響應(yīng)；然后A又用ACK封包進行響應(yīng)。攻擊者用偽造的IP地址（不存在或不可到達的地址）發(fā)送大量的SYN封包至防火墻的某一接口，防火墻用SYN/ACK封包對這些地址進行響應(yīng)，然后等待響應(yīng)的ACK封包。因為SYN/ACK封包被發(fā)送到不存在或不可到達的IP地址，所以他們不會得到響應(yīng)并最終超時。當(dāng)網(wǎng)絡(luò)中充滿了無法完成的連接請求SYN封包，以至于網(wǎng)絡(luò)無法再處理合法的連接請求，從而導(dǎo)

80、致拒絕服務(wù)（DOS）時，就發(fā)生了SYN泛濫攻擊。防火墻可以對每秒種允許通過防火墻的SYN封包數(shù)加以限制。當(dāng)達到該臨界值時，防火墻開始代理進入的SYN封包，為主機發(fā)送SYN/ACK響應(yīng)并將未完成的連接存儲在連接隊列中，未完成的連接保留在隊列中，直到連接完成或請求超時。</p><p>　　3.3.3 ICMP Flood(UDP泛濫)</p><p>　　當(dāng)ICMP PING產(chǎn)生的大量回應(yīng)請

81、求超出了系統(tǒng)最大限度，以至于系統(tǒng)耗費所有資源來進行響應(yīng)直至再也無法處理有效的網(wǎng)絡(luò)信息流時，就發(fā)生了ICMP泛濫。當(dāng)啟用ICMP泛濫保護功能時，可以設(shè)置一個臨界值，一旦超過了此值就會調(diào)用ICMP泛濫攻擊保護功能。（缺省的臨界值為每秒1000個封包。）如果超過了該臨界值。NETSCREEN設(shè)備在該秒余下的時間和下一秒內(nèi)會忽略其他的ICMP回應(yīng)要求。</p><p>　　3.3.4 UDP Flood(UDP泛濫)&l

82、t;/p><p>　　與ICMP泛濫相似，當(dāng)以減慢系統(tǒng)速度為目的向該點發(fā)送UDP封包，以至于系統(tǒng)再也無法處理有效的連接時，就發(fā)生了UDP泛濫，當(dāng)啟用了UDP泛濫保護功能時，可以設(shè)置一個臨界值，一旦超過此臨界值就回調(diào)用UDP泛濫攻擊保護功能。如果從一個或多個源向單個目標(biāo)發(fā)送的UDP泛濫攻擊超過了此臨界值，防火墻在該秒余下的時間和下一秒內(nèi)會忽略其他到該目標(biāo)的UDP封包。</p><p>　　3.3

83、.5 Port Scan Attack(端口掃描攻擊)</p><p>　　當(dāng)一個源IP地址在定義的時間間隔內(nèi)（缺省值為5000微秒）向位于相同目標(biāo)IP地址10個不同的端口發(fā)送IP封包時，就會發(fā)生端口掃描攻擊。這個方案的目的是掃描可用的服務(wù)，希望會有一個端口響應(yīng)，因此識別出作為目標(biāo)的服務(wù)。防火墻在內(nèi)部記錄從某一遠程源地點掃描不同端口的數(shù)目。使用缺省設(shè)置，如果遠程主機在0.005秒內(nèi)掃描了10個端口。防火墻會將這一

84、情況標(biāo)記為端口掃描攻擊，并在該秒余下的時間內(nèi)拒絕來自該源地址的其他封包</p><p>　　4.防火墻在校園網(wǎng)中的配置</p><p>　　隨著高校信息化進程的推進，學(xué)院校園網(wǎng)上運行的應(yīng)用系統(tǒng)越來越多，信息系統(tǒng)變得越來越龐大和復(fù)雜。校園網(wǎng)的服務(wù)器群構(gòu)成了校園網(wǎng)的服務(wù)系統(tǒng)，主要包括DNS、虛擬主機、Web、FTP、視頻點播以及Mail服務(wù)等。校園網(wǎng)通過不同的專線分別接入了教育網(wǎng)、電信網(wǎng)和黨政

85、網(wǎng)。隨著學(xué)院網(wǎng)絡(luò)出口帶寬不斷加大，應(yīng)用服務(wù)系統(tǒng)逐漸增多，校園網(wǎng)用戶數(shù)烈劇上升，網(wǎng)絡(luò)的安全也就越來越嚴峻。</p><p>　　4.1高校校園網(wǎng)防火墻網(wǎng)絡(luò)安全策略</p><p>　　討論防火墻安全策略一般實施兩個基本設(shè)計方針之一：</p><p>　　1．拒絕訪問除明確許可以外的任何一種服務(wù)，即拒絕一切未予特許的東西</p><p>　　2．

86、允許訪問除明確拒絕以外的任何一種服務(wù)，即允許一切未被特別拒絕的東西</p><p>　　校園網(wǎng)防火墻的網(wǎng)絡(luò)安全策略采取第一種安全控制的方針，確定所有可以被提供的服務(wù)以及它們的安全特性，然后開放這些服務(wù)，并將所有其它未被列入的服務(wù)排斥在外，禁止訪問。</p><p>　　校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)拓撲圖如圖4-1所示:</p><p>　　圖4-1校園網(wǎng)網(wǎng)絡(luò)總拓撲結(jié)構(gòu)圖</

87、p><p>　　在實際應(yīng)用環(huán)境中，一般情況下防火墻網(wǎng)絡(luò)可劃分為三個不同級別的安全區(qū)域：</p><p>　　內(nèi)部網(wǎng)絡(luò)：這是防火墻要保護的對象，包括全部的內(nèi)部網(wǎng)絡(luò)設(shè)備及用戶主機。這個區(qū)域是防火墻的可信區(qū)域(這是由傳統(tǒng)邊界防火墻的設(shè)計理念決定的)。</p><p>　　外部網(wǎng)絡(luò)：這是防火墻要防護的對象，包括外部網(wǎng)主機和設(shè)備。這個區(qū)域為防火墻的非可信網(wǎng)絡(luò)區(qū)域(也是由傳統(tǒng)邊界防

88、火墻的設(shè)計理念決定的)。</p><p>　　DMZ(非軍事區(qū))：它是從內(nèi)部網(wǎng)絡(luò)中劃分的一個小區(qū)域，在其中就包括內(nèi)部網(wǎng)絡(luò)中用于公眾服務(wù)的外部服務(wù)器，如Web服務(wù)器、郵件服務(wù)器、DNS服務(wù)器等，它們都是為互聯(lián)網(wǎng)提供某種信息服務(wù)。</p><p>　　在以上三個區(qū)域中，用戶需要對不同的安全區(qū)域制訂不同的安全策略。雖然內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)都屬于內(nèi)部網(wǎng)絡(luò)的一部分，但它們的安全級別(策略)是不同的。對

89、于要保護的大部分內(nèi)部網(wǎng)絡(luò)，一般情況下禁止所有來自互聯(lián)網(wǎng)用戶的訪問；而由內(nèi)部網(wǎng)絡(luò)劃分出去的DMZ區(qū)，因需為互聯(lián)網(wǎng)應(yīng)用提供相關(guān)的服務(wù)，這些服務(wù)器上所安裝的服務(wù)非常少，所允許的權(quán)限非常低，真正有服務(wù)器數(shù)據(jù)是在受保護的內(nèi)部網(wǎng)絡(luò)主機上，所以黑客攻擊這些服務(wù)器沒有任何意義，既不能獲取什么有用的信息，也不能通過攻擊它而獲得過高的網(wǎng)絡(luò)訪問權(quán)限。</p><p>　　通過NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)將受保護的內(nèi)部網(wǎng)絡(luò)的全部主機地址映

90、射成防火墻上設(shè)置的少數(shù)幾個有效公網(wǎng)IP地址。這樣可以對外屏蔽內(nèi)部網(wǎng)絡(luò)構(gòu)和IP地址，保護內(nèi)部網(wǎng)絡(luò)的安全；同時因為是公網(wǎng)IP地址共享，所以可以大大節(jié)省公網(wǎng)IP地址的使用。</p><p>　　在這種應(yīng)用環(huán)境中，在網(wǎng)絡(luò)拓撲結(jié)構(gòu)上校園網(wǎng)可以有兩種選擇，這主要是根擁有網(wǎng)絡(luò)設(shè)備情況而定。</p><p>　　如果原來已有邊界路由器，則此可充分利用原有設(shè)備，利用邊界路由器的包過濾功能，添加相應(yīng)的防火墻配

91、置，這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護的內(nèi)部網(wǎng)絡(luò)連接。對于DMZ區(qū)中的公用服務(wù)器，則可直接與邊界路由器相連，不用經(jīng)過防火墻。它可只經(jīng)過路由器的簡單防護。在此拓撲結(jié)構(gòu)中，邊界路由器與防火墻就一起組成了兩道安全防線，并且在這兩者之間可以設(shè)置一個DMZ區(qū)，用來放置那些允許外部用戶訪問的公用服務(wù)器設(shè)施。</p><p>　　依照學(xué)院的網(wǎng)絡(luò)拓撲將網(wǎng)絡(luò)劃分成三個部份，如圖4-2所示：外網(wǎng)、DMZ

92、區(qū)和內(nèi)部網(wǎng)絡(luò)。外網(wǎng)與Internet相連；DMZ放置各種應(yīng)用服務(wù)器；內(nèi)部網(wǎng)絡(luò)連接校內(nèi)用戶；</p><p>　　圖4-2學(xué)院防火墻結(jié)構(gòu)圖</p><p>　　應(yīng)用服務(wù)當(dāng)中EMAIL、DNS和WWW服務(wù)需要外網(wǎng)能夠訪問，因此將這些服務(wù)規(guī)劃到DMZ區(qū)。</p><p>　　4.2防火墻的基本配置</p><p>　　學(xué)院采用的是防火墻，它的初始配

93、置也是通過控制端口（Console）與PC機的串口連接，再通過超級終端（HyperTerminal）程序進行選項配置。也可以通過telnet和Tffp配置方式進行高級配置，但必需先由Console將防火墻的這些功能打開。</p><p>　　NETSCREEN防火墻有四種用戶配置模式，即：普通模式（Unprivilegedmode）、特權(quán)模式（Privileged Mode）、配置模式（Configuration

94、 Mode）和端口模式（Interface Mode）。</p><p><b>　　顯示基本信息：</b></p><p>　　命令行基本信息收集：</p><p>　　netscreen>get syst（得到系統(tǒng)信息）</p><p>　　netscreen>get config（得到config信息）

95、</p><p>　　netscreen>get log event（得到日志）</p><p>　　功能問題需收集下列信息：</p><p>　　netscreen>set ffiliter?（設(shè)置過濾器）</p><p>　　netscreen>debug flow basic是開啟基本的debug功能</p>

96、;<p>　　netscreen>clear db是清除debug的緩沖區(qū)</p><p>　　netscreen>get dbuf stream就可以看到debug的信息了</p><p>　　性能問題需收集下列信息：</p><p>　　得到下列信息前，請不要重新啟動機器，否則信息都會丟失，無法判定問題所在。netscreen>G

97、et per cpu detail（得到CPU使用率）</p><p>　　netscreen>Get session info（得到會話信息）</p><p>　　netscreen>Get per session detail（得到會話詳細信息）</p><p>　　netscreen>Get mac-learn（透明方式下使用，獲取MAC硬件

98、地址）</p><p>　　netscreen>Get alarm event（得到告警日志）</p><p>　　netscreen>Get tech>tftp 202.101.98.36 tech.txt（導(dǎo)出系統(tǒng)信息）</p><p>　　netscreen>Get log system（得到系統(tǒng)日志信息）</p><

99、;p>　　netscreen>Get log system saved（得到系統(tǒng)出錯后，系統(tǒng)自動記錄信息，該記錄重啟后不會丟失。</p><p>　　設(shè)置接口-帶寬,網(wǎng)關(guān)</p><p>　　設(shè)置所指定的各個端口的帶寬速率,單位為kb/s</p><p>　　Set interface interface bandwidth number</p&g

100、t;<p>　　unset interface interface bandwidth</p><p><b>　　設(shè)置接口的網(wǎng)關(guān)</b></p><p>　　set interface interface gateway ip_addr</p><p>　　unset interface interface gateway<

101、;/p><p>　　設(shè)置接口的接口的區(qū)域,IP地址zone就是網(wǎng)絡(luò)邏輯上劃分成區(qū),可以在安全區(qū)或安全區(qū)內(nèi)部接口之間實施策略：</p><p>　　設(shè)置接口的接口的區(qū)域</p><p>　　set interface interface zone zone</p><p>　　unset interface interface zone</p

102、><p><b>　　設(shè)置接口的IP地址</b></p><p>　　set interface interface ip ip_addr/mask</p><p>　　set interface interface ip unnumbered interface interface2</p><p>　　unset int

103、erface interface ip ip_addr</p><p><b>　　4、接口管理設(shè)置</b></p><p>　?、賡et interface interface manage</p><p>　　{ident-reset|nsmgmt|ping|snmp|ssh|ssl|telnet|webui}</p><

104、;p>　　unset interface interface manage</p><p>　　{ident-reset|nsmgmt|ping|snmp|ssh|telnet|webui}</p><p>　　WebUI：允許接口通過Web用戶界面(WebUI)接收HTTP管理信息流。</p><p>　　Telnet:選擇此選項可啟用Telnet管理功能。

105、</p><p>　　SSH:可使用“安全命令外殼”(SSH)通過以太網(wǎng)連接或撥號調(diào)制解調(diào)器管理NetScreen設(shè)備。必須具有與SSH協(xié)議版本1.5兼容的SSH客戶端。選擇此選項可啟用SSH管理功能。SNMP:選擇此選項可啟用SNMP管理功能。</p><p>　　SSL:選擇此選項將允許接口通過WebUI接收NetScreen設(shè)備的HTTPS安全管理信息流。</p>&l

106、t;p>　　NS Security Manager:選擇此選項將允許接口接收NetScreen-SecurityManager信息流。</p><p>　　Ping:選此選項將允許NetScreen設(shè)備響應(yīng)ICMP回應(yīng)請求，以確定是否可通過網(wǎng)絡(luò)訪問特定的IP地址。</p><p>　　Ident-Reset:與“郵件”或FTP發(fā)送標(biāo)識請求相類似的服務(wù)。如果它們未收到確認，會再次發(fā)送請

107、求。處理請求期間禁止用戶訪問。啟用Ident-reset選項后，NetScreen設(shè)備將發(fā)送TCP重置通知以響應(yīng)發(fā)往端口113的IDENT請求，然后恢復(fù)因未確認標(biāo)識請求而被阻止的訪問。②指定允許進行管理的ip地址</p><p>　　set interface interface manage-ip ip_addr</p><p>　　unset interface interface m

108、anage-ip</p><p><b>　　5、用戶帳號的操作</b></p><p>　?、偬砑又蛔x權(quán)限管理員</p><p>　　set admin user Roger password 2bd21wG7 privilege read-only</p><p>　　②修改帳戶為可讀寫權(quán)限</p>&