《毕业设计(论文)企业网络安全与防火墙设置与管理.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)企业网络安全与防火墙设置与管理.doc(66页珍藏版)》请在三一办公上搜索。
1、毕 业 设 计题目:企业网络安全与防火墙设置与管理姓 名: 学 号: 0604334310 学 院: 信息学院 专 业: 通信工程 同 组 人: 指 导 教 师: 协助指导教师: 2010年 5 月20日摘要安全是一个不容忽视的问题,当人们在享受网络带来的方便与快捷的同时,也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全,当局域网与外部网连接时,可以在中间加入一个或多个中介系统,防止非法入侵者通过网络进行攻击,非法访问,并提供数据可靠性、完整性以及保密性等方面的安全和审查控制,这些中间系统就是防火墙(Firewall)技术。本课题主要研究的是针对不同企业的的安全需求,制
2、定不同的网络安全解决方案,以保障网络的安全性。在具体的解决方案中,将企业划分为3个级别,分别是低级别需求,中级别需求,高级别需求。根据不同的需求设计解决方案,在学校实验室环境,自行的搭建实验网络平台,根据总体安全设计进行配置,并针对总体设计的攻击方案进行模拟攻击,验证了网络安全设计方案。关键词:防火墙 OSI 安全策略Abstract Security is a problem can not be ignored, when people enjoy the convenience and fast networks to the same time, we must always face
3、 the network data security and opening of new challenges and new dangers. In order to protect network security, LAN and external network when connected, you can join in the middle of one or more intermediate systems, to prevent the illegal intruder attacks through the network, unauthorized access, a
4、nd to provide data reliability, integrity and confidentiality, etc. safety and review of control, these intermediate system is a firewall (Firewall) technology. The main research topic is the different security needs of enterprises, development of different network security solutions to protect netw
5、ork security. In the specific solution, the company is divided into three levels, namely low-level demand, the level of demand, high-level requirements. Depending on the needs of design solutions In the school laboratory environment, the structures on their own experimental network platform, based o
6、n the overall security design configuration, and for the overall design of the attacks were simulated attack, verify the network security design.Keywords: firewall OSI security policy目录摘要IAbstractII引言11概述21.1 课题意义21.2 网络安全技术21.3 防火墙介绍31.4 防火墙技术发展趋势41.5 防火墙产品发展趋势41.6 本课题的设计目标52 需求分析62.1 需求分析62.1.1 需求
7、调研62.2 可行性分析72.2.1 技术可行性及方案选择73总体设计83.1 企业网络安全体系总体设计83.2 网络安全设计103.2.1 IP地址欺骗(IP Spoofing)攻击103.2.2 Land攻击113.2.3 Smurf攻击113.2.4 WinNuke攻击123.2.5 SYN Flood攻击123.2.6 ICMP和UDP Flood攻击123.2.7 地址扫描与端口扫描攻击123.2.8 Ping of Death攻击123.3 网络安全设计方案133.3.1低级需求143.3.2中级需求163.3.3高级需求194详细配置224.1 网络拓扑配置224.1.1 网络及
8、ip地址划分224.1.2 启用路由协议(全网互通)224.2 防火墙配置详细设计244.2.1 低需求配置244.2.2 中需求配置284.2.3 高需求配置375方案测试及实验485.1 搭建网络实验平台485.2 网络地址设计485.2.1网络ip地址分配485.2.2 NAT地址转换495.2.3 vlan及子网划分495.3防火墙配置495.4 实验设备525.5测试方案525.5.1端口扫描535.5.1 Ping of Death攻击555.5.2测试总结57结论58致谢59参考文献60引言随着时代的发展,社会的进步,我们的日常生活越来越离不开网络。不论是家庭娱乐,或者是政府办公
9、,都与网络紧密相关。但是,随着网络不断融入我们的生活,网络所带来的威胁也日益严重。我们的私人资料,可能随时被窃取,公司的资料也可能呗随时窃取,国家的政府网络可能会被恶意攻击者入侵,倒是网络瘫痪,对国家,企业,个人造成不可挽回的损失。因此网络的安全变得尤为重要,防火墙的出现使得这一局面开始变得更加稳定,各种各样的攻击开始被防火墙阻止在外,以保证网络的安全性。但是随着网络攻击的日益复杂,防火墙的防攻击手段越来越多,因此对于防火本身的处理复杂数据的能力出现了隐患。对于目前的情况,本课题主要研究的就是针对不同规模企业的网络安全提出相应的解决方案,这一解决方案能有效地保护网络的安全,同时对于防火的处理数
10、据能提进行评估,以保证防火墙能正常工作的同时,也能有效地阻止各种网络攻击保护网络的安全性。在设计解决方案的时候,首先需要了解各种攻击手段的与原理,以及攻击方式。针对攻击方式,设置防火墙的安全策略。以保证各种级别的安全体系能在不同的网络环境中达到所需要的安全。1概述1.1 课题意义 安全是一个不容忽视的问题,当人们在享受网络带来的方便与快捷的同时,也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全,当局域网与外部网连接时,可以在中间加入一个或多个中介系统,防止非法入侵者通过网络进行攻击,非法访问,并提供数据可靠性、完整性以及保密性等方面的安全和审查控制,这些中间系统就是防火
11、墙(Firewall)技术如图1-1。图1-1 防火墙功能图它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵,以此来实现内部网络的安全运行。因此本课题的任务与目的在于如何构建一个相对安全的计算机网络平台。使其免受外部网络的攻击。1.2 网络安全技术网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。网络安全技术分为:虚拟网技术、防火墙枝术、病毒防护技
12、术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术、以及应用系统的安全技术。其中虚拟网技术防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。例如vlan,但是其安全漏洞相对更多,如IP sweep, teardrop, sync-flood, IP spoofing攻击等。防火墙枝术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络
13、运行状态。但是防火墙无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。防火墙的分类有包过滤型、地址转换型、代理型、以及检测型。病毒防护技术是指阻止病毒的传播、检查和清除病毒、对病毒数据库进行升级、同时在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的技术。是一种用于检测计算机网络中违反安全策略行为的技术。安全扫描技术是为管理员能够及时了解网络中存在的安全漏洞,并采取相
14、应防范措施,从而降低网络的安全风险而发展起来的一种安全技术。认证和数字签名技术,其中的认证技术主要解决网络通讯过程中通讯双方的身份认可,而数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。VPN技术就是在公网上利用随到技术来传输数据。但是由于是在公网上进行传输数据,所以有一定的不安全性。应用系统的安全技术主要有域名服务、Web Server应用安全、电子邮件系统安全和操作系统安全。1.3 防火墙介绍 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。从而是一种获取安全的形象说法,它是一种计算
15、机硬件和软件的结合,使Internet与Internet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,1.4 防火墙技术发展趋势 防火墙技术的发展离不开社会需求的变化,着眼未来,我们注意到以下几个新的需求。 远程办公的增长。全国主要城市先后受到 SARS 病毒的侵袭,直接促成大量的企事业在家办公,这就要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,做到更细粒度的访问控制。现在一些厂商推出的 VPN (虚拟专用网)技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙,
16、这样可以确保信息的保密性,又能成为识别入侵行为的手段。 内部网络 “ 包厢化 ” ( compartmentalizing )。人们通常认为处在防火墙保护下的内网是可信的,只有 Internet 是不可信的。由于黑客攻击技术和工具在 Internet 上随手可及,使得内部网络的潜在威胁大大增加,这种威胁既可以是外网的人员,也可能是内网用户,不再存在一个可信网络环境。 由于无线网络的快速应用以及传统拨号方式的继续存在,内网受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里,全国各地的分支机构共享一个论坛,都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的 “ 包厢
17、” ,对每个 “ 包厢 ” 实施独立的安全策略。1.5 防火墙产品发展趋势 防火墙可说是信息安全领域最成熟的产品之一,但是成熟并不意味着发展的停滞,恰恰相反,日益提高的安全需求对信息安全产品提出了越来越高的要求,防火墙也不例外,下面我们就防火墙一些基本层面的问题来谈谈防火墙产品的主要发展趋势。模式转变,传统的防火墙通常都设置在网络的边界位置,不论是内网与外网的边界,还是内网中的不同子网的边界,以数据流进行分隔,形成安全管理区域。未来的的防火墙产品将开始体现出一种分布式结构,以分布式为体系进行设计的防火墙产品以网络节点为保护对象,可以最大限度地覆盖需要保护的对象,大大提升安全防护强度。功能扩展,
18、防火墙的管理功能一直在迅猛发展,在将来,通过类似手机、PDA这类移动处理设备也可以方便地对防火墙进行管理,当然,这些管理方式的扩展需要首先面对的问题还是如何保障防火墙系统自身的安全性不被破坏。性能提高,未来的防火墙产品由于在功能性上的扩展,以及应用日益丰富、流量日益复杂所提出的更多性能要求,会呈现出更强的处理性能要求,而寄希望于硬件性能的水涨船高肯定会出现瓶颈,所以诸如并行处理技术等经济实用并且经过足够验证的性能提升手段将越来越多的应用在防火墙产品平台上;相对来说,单纯的流量过滤性能是比较容易处理的问题,而与应用层涉及越密,性能提高所需要面对的情况就会越复杂;在大型应用环境中,防火墙的规则库至
19、少有上万条记录,而随着过滤的应用种类的提高,规则数往往会以趋进几何级数的程度上升,这是对防火墙的负荷是很大的考验,使用不同的处理器完成不同的功能可能是解决办法之一,例如利用集成专有算法的协处理器来专门处理规则判断,在防火墙的某方面性能出现较大瓶颈时,我们可以单纯地升级某个部分的硬件来解决,这种设计有些已经应用到现有的产品中了,也许未来的防火墙产品会呈现出非常复杂的结构. 1.6 本课题的设计目标图1-1是典型的大型企业网络拓扑,其中涉及了网络出口的防火墙,和内部网络的MPLS网络。本课题的主要内容如下:l 调研目前企业网络安全的需求,并对需求进行分析。l 针对企业网络安全需求提出解决方案。l
20、针对上述网络安全解决方案提出具体的安全部署方法。l 详细设计网络设备的配置。l 搭建企业网络安全的实验平台。l 依据实验平台进行网络测试。图1-2 高级别需求网络投票2 需求分析2.1 需求分析网络内部部署了众多的网络设备、服务器,保护这些设备的正常运行,维护主要业务系统的安全,是网络的基本安全需求。对于各种各样的网络攻击,如何在提供灵活且高效的网络通讯及信息服务的同时,抵御和发现网络攻击,并且提供跟踪攻击的手段。网络基本安全要求主要表现为网络正常运行:l 在受到攻击的情况下,能够保证网络系统继续运行;l 网络管理和网络部署的资料不被窃取;l 具备先进的入侵检测及跟踪体系;l 提供灵活而高效的
21、内外通讯服务。因此根据对于网络的不同需求,将网络的安全级别进行划分为低级别需求、中级别需求、高级别需求。根据不同的级别需求,设计不同的解决方案,并进行实施。2.1.1 需求调研通过调研企业对于安全需求主要体现在以下几点:l 可抵御攻击类型,DoS/DDoS攻击(如CC、SYN flood、DNS Query Flood、SYN Flood、UDP Flood等)、ARP欺骗攻击、TCP报文标志位不合法攻击、Large ICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击;l 可对黑名单进行设置及管理、MAC绑定、恶意或有害内容的过滤等;l 对应用层报文过滤,对每一个连接状态信息的维护监测
22、并动态地过滤数据包,以及对应用层协议的状态监控;l 能够搭建VPN,其中集成IPSec、L2TP、GRE和SSL等多种成熟VPN接入技术,保证移动用户、合作伙伴和分支机构安全、便捷的接入;l 对应用层内容过滤,有效的识别网络中各种P2P模式的应用,并且对这些应用采取限流的控制措施,有效保护网络带宽;l 可对邮件过滤,提供SMTP邮件地址、标题、附件和内容过滤;可对网页进行过滤,提供HTTP URL和内容过滤;l 支持NAT应用,提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式;l 支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NAT
23、 ALG功能;l 支持基于用户身份的管理,实现不同身份的用户拥有不同的命令执行权限,并且支持用户视图分级,对于不同级别的用户赋予不同的管理配置权限;l 可提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。2.2 可行性分析2.2.1 技术可行性及方案选择鉴于目前网络设备技术的不断提高,对于保护内部网络安全的的各种相应手段不断更新,使得在需求调研中的各种需求可以完全实现。并保证网路的安全性。在方案的选择方面,将网络的需求分为高中低三个级别进行设计。在图3-1中,每一个级别的需求都是相关联的。即如图,低级别的需求包含在中级别当中,中级别的需求包含在高级别当中。图2-1 不
24、同级别解决方案关系图3总体设计3.1 企业网络安全体系总体设计针对网络安全解决方案,设计了企业安全体系,依据安全体系对解决方案进行规划如图4-1。其中分别涉及有:l 硬件安全监控技术,防火墙位于内部网络和外部网络之间,属于边界设备,因此内部的数据以及外部的数据都需要经过防火墙。因此,大量的数据包,数据流,以及各种攻击都会首先经过防火墙。这时,防护墙的会自动记录下每一个攻击,每一个数据的源ip,目的ip,源端口,目的端口,协议类型,攻击事件等。对于网络管理者,更好的了解网络安全的威胁,以及防火墙的处理数据的能力有更好的认识。l 硬件安全防护技术,防火墙更多的是处理数据流,和数据包的工作。因此,在
25、安全解决方案中,主要做的是对于各种攻击的防护,其中包括有DDos攻击,非法数据包检测,防扫描等。l 硬件安全隧道加密,主要是在内部网络的中利用MPLS网络来承载企业的各种业务,这样既有安全性,同时也提高了传输速度。主要的是利用BGP来承载MPLS_VPN的各种业务数据。l 硬件防护安全策略,安全策略是防火墙的主要防御措施,利用防火墙的各种协议技术,来针对性的对防火墙进行策略设置,起到安全的效果。其具体流程,第一步设计安全策略,第二步配置安全策略,第三步应用安全策略,第四步验证安全策略,第五步整改不完善的安全策略。图3-1企业安全体系3.2 网络安全设计关于网络安全的设计,主要是了解目前网络上的
26、主流攻击方式,以及各种攻击方式的原理,针对攻击进行相应的设置。在模拟阶段,根据原理对防火墙进行模拟攻击。在对网路安全解决方案的设计过程中,必然要考虑的是如何抵御各种网络攻击,在设计抵御网络攻击的同时要了解各种攻击的原理,攻击方式,才能在模拟攻击时利用软件进行攻击。具体操作流程如图4-3图3-2 模拟攻击以及方案实施流程图对于攻击方案采用sniffer软件进行模拟攻击,检测防范攻击的方式采用debug来进行检测观察。以下是具体的各种攻击的攻击原理,和攻击方式:3.2.1 IP地址欺骗(IP Spoofing)攻击(1) 非盲目式攻击这类攻击一般发生在攻击者与被攻击者位于同一个子网中。这样攻击者可
27、以监听到序列号和确认号,消除了精确计算这些序号的潜在难度。这种类型的攻击种最有威胁性的一种是会话劫持。攻击者通过侵入一个已经建立的连接的数据流,然后根据正确的序列号和确认号从新建立一个连接。通过这种技术,攻击者可以有效的绕过设置在建立连接过程种的验证措施从而建立有效连接。(2) 盲目攻击更加复杂的攻击方式。为了获取序号,需要发送一些数据保到目标机器一起来取样序列号。以前的机器使用基本技术来产生序列号,这就使得获取序列号变得相对简单,可以通过研究TCP会话和数据包获得精确的生成公式。现在大多数的操作系统通过随机数生成他们的序列号,这样预测序列号就变得相对复杂很多。(3) Man in the M
28、iddle 攻击在这种攻击中,一个有恶意的第三方侵入两个友好方之间的合法会话。第三方控制会话的数据流然后可以消除或者改变某些原始发送的信息,而这种改变实在两个正常通信的主机都不知道的情况下发生的。用这种方式,一个攻击者就可以通过“欺骗”原始发送者的身份骗另一个人泄漏某些机密信息。(4) 拒绝服务攻击IP欺骗技术几乎总是被使用在目前最难防范的一个攻击技术拒绝服务攻击之中。由于攻击这只是消耗系统的带宽和资源,他们不需要关心完成完整的三次握手和交易。更甚者,他们希望在一个短的时间内泛洪到目标主机尽可能多的数据包。为了延长攻击的效果,他们伪装自己的原始IP地址,这样对于DOS攻击的追踪和制止就十分困难
29、。3.2.2 Land攻击1 攻击原理是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。2 攻击方法在Land攻击中,一个特别打造的SYN包中的源地址和目标地址都被设置成某一个服务器地址,这时将导致接受服务器向它自己的地址发送SYN一ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉。3.2.3 Smurf攻击1 攻击原理ICMP可以用来传递主要的状态和错误信息,比如更改网络的配置和其它的网络传输问题。因此,ICMP是一个诊断主机和网络设备及配置问题的一个有价值的工具。但同时,ICMP也成为用来攻击网络或主机的
30、一种途径,导致网络重载进而拒绝为合法用户提供服务。Smurf攻击就是利用发送ICMP应答包来导致目标主机的服务拒绝攻击。2攻击方法在Smurf攻击中,ICMP应答请求数据包中的目标IP是一个网络的广播IP地址,源IP地址是其要攻击主机的IP地址。这种攻击方式主要由3部分组成:攻击者、中间媒介(主机、路由器和其它网络设备)和被攻击者。当攻击者发送一个ICMP请求应答包时,他并不将自己机器的IP作为源IP。相反,攻击者将被攻击对象的IP作为包的源IP。当中间媒介收到一个指向其所在网络的广播地址后,中间媒介将向源IP(被攻击者的IP)发送一个ICMP应答包。当一个网络的机器均对ICMP应答请求包做出
31、响应时,可能会导致网络拥塞或拒绝服务甚至崩溃。3.2.4 WinNuke攻击WinNuke攻击又称带外传输攻击,它的特征是攻击目标端口,被攻击的目标端口通常是139、138、137、113、53,而且URG位设为“1”,即紧急模式。3.2.5 SYN Flood攻击1攻击原理SYN Flood是当前最流行的DoS(拒绝服务攻击)与DdoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。2 攻击方法在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发
32、出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度称为SYN Timeout(大约为30秒-2分钟),如果有一个恶意的攻击者大量模拟这种情况,服务器端将维护一个非常大的半连接列表而消耗非常多的资源,服务器端将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求,服务器失去响应,这种情况我们称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。3.2.6 ICMP和UDP Flood攻击UDP Flood是日渐猖厥的流量型DoS攻击,原理也
33、很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。 100k pps的UDP Flood经常将线路上的骨干设备例如防火墙打瘫,造成整个网段的瘫痪。由于UDP协议是一种无连接的服务,在UDP FLOOD攻击中,攻击者可发送大量伪造源IP地址的小UDP包。但是,由于UDP协议是无连接性的,所以只要开了一个UDP的端口提供相关服务的话,那么就可针对相关的服务进行攻击。3.2.7 地址扫描与端口扫描攻击从本质上来说,端口扫描包括向每一个端口发送消息,每次只发一条。所接收到的响应类型表明该端口是否被使用,进而可以对它进行探测以寻找其弱点。对端口所进行的扫描
34、通常发生在面向连接的 TCP 端口上,所以攻击者会得到有效的反馈信息。3.2.8 Ping of Death攻击Ping of Death,就是利用一些尺寸超大的ICMP报文对系统进行的一种攻击。IP报文的长度字段为16位,这表明一个IP报文的最大长度为65535。对于ICMP 回应请求报文,如果数据长度大于65507,就会使ICMP数据IP头长度(20)ICMP头长度(8) 65535。对于有些路由器或系统,在接收到一个这样的报文后,由于处理不当,会造成系统崩溃、死机或重启。 3.3 网络安全设计方案目前的网络环境甚是复杂,伴随着网络的发展,各种各样的网络攻击也随之孕育而生。但是,网络攻击不
35、是盲目的,而是却有一定的目的性的。越是复杂的、高强度的网络攻击对应的攻击目标越是大型企业,而不会是那些小型的公司。因此,本课题专门研究就是针对不同的网络攻击设置相应的防御规范。本课题要研究的防御规范依据的是OSI七层模型,依据OSI七层模型(如图4-5)来进行制定网络的安全策略。图3-3 OSI七层模型依据OSI七层模型将网络安全解决方案划分为低级别需求、中级别需求、高级别需求。具体区别如下:l 低级别需求解决方案:对于小型企业,没有自己相应的服务器,对于网络的需求只局限于内部网络能够正常的链接到Internet。只需要对日常的网络攻击模式进行设置即可;并且对内部网络设置相应的规范。防火墙设置
36、原则基于OSI七层模型的前3层。l 中级别需求解决方案:随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。企业应采用立体多层次的安全系统架构。这种多层次的安全体系要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内网之外。l 高级别需求解决方案:例如像银行等金融企业,或政府机关等。此类对于网络的安全尤为重要,因此,合理的设置防火墙,有效地规范内网的使用规则,对网络的安全能起到相当的重要作用。因此,就本课题而言,基于OSI七层模型的防火墙设置外,更应该注意的是对于验证加密
37、的环节的设置。3.3.1低级需求对于小型企业如图4-6,没有自己相应的服务器,对于网络的需求只局限于内部网络能够正常的链接到Internet,因此在防火墙设置上不用考虑到DMZ区域问题。只需要对日常的网络攻击模式进行设置即可;并且对内部网络设置相应的规范。对于小型企业的防火墙设置原则基于OSI七层模型的前3层,其具体的安全体系图如4-7。图3-4 小型企业安全体系图相应的设置如下:l vlan划分:依靠vlan来划分不同的工作组,来限制内网不同工作组之间的访问,已达到控制内网上的广播风暴;增强局域网的安全性。l MAC地址绑定:每一个MAC地址对应一个相应接口,使得非本公司pc不能使用网络。从
38、而达到内网安全的目的。l 设置攻击防范:IP地址欺骗(IP Spoofing)攻击;Land攻击;Smurf攻击;WinNuke攻击;SYN Flood攻击;ICMP和UDP Flood攻击;地址扫描与端口扫描攻击;Ping of Death攻击;以及防范ARP泛洪。l NAT设置:利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,防止内网ip地址外露,并缓解地址空间不足的问题l ACL设置:利用访问控制列表,对不需要的流量丢弃处理。图3-5 小型企业拓扑3.3.2中级需求 对于中型企业应采用立体多层次的安全系统架构。如图4-8,这种多层次的安全体系不仅要求在网络边界设置防
39、火墙/VPN,还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内网之外,其中图4-10为中型企业拓扑。依据中型企业的多层次网络安全构架,设计中型企业网络安全体系如图4-9。图3-6 多层次安全体系图图3-7 中型企业安全体系图相应的设计如下:l vlan划分:依靠vlan来划分不同的工作组,来限制内网不同工作组之间的访问,已达到控制内网上的广播风暴;增强局域网的安全性。l MAC地址绑定:每一个MAC地址对应一个相应接口,使得非本公司pc不能使用网络。从而达到内网安全的目的。同时对网络采用密码保护,密码不通过则不能使用网络
40、。l 设置攻击防范:IP地址欺骗(IP Spoofing)攻击;Land攻击;Smurf攻击;WinNuke攻击;SYN Flood攻击;ICMP和UDP Flood攻击;地址扫描与端口扫描攻击;Ping of Death攻击;以及防范ARP泛红。l NAT设置:设置地址池,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,防止内网ip地址外露使得外部恶意攻击者不能攻击公司网络,并缓解地址空间不足的问题。l VPN:对远程办公人员提供SSL VPN接入,远程分支机构提供IPSec VPN接入,保护数据传输过程中的安全,实现用户对服务器系统的受控访问。同时增加了传输速度。并且
41、SSL VPN使用简单,只要安装有浏览器的PC机就可以使用,比IPSec VPN使用上更加简单。因此SSL VPN是对于远程用户访问敏感公司数据最简单最安全的解决技术。l 网络行为监控:对网络内的上网行为进行规范,并监控上网行为,利用ACL过滤网页访问,限制上网聊天行为,阻止不正当文件的下载。l Web和垃圾邮件过滤:过滤邮件,阻止垃圾邮件及病毒邮件的入侵。阻止内部用户访问非法的网址或访问含有非法内容的网页,防止内网用户向外网非法邮件地址发送邮件或向外发送与工作无关的邮件。当内部网络受到外部的攻击时,通过邮件告警功能,可以向网络管理员发送告警邮件,通知网络管理员采取相应措施。l ASPF设置:
42、检查应用层协议信息,如报文的协议类型和端口号等信息,并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙进入内部网络,以便阻止恶意的入侵。能够检测传输层协议信息(即通用TCP和UDP协议检测),能够根据源、目的地址及端口号决定TCP或UDP报文是否可以通过防火墙进入内部网络。对应用层报文的内容加以检测,提供对不可信站点的Java Blocking(Java阻断)和ActiveX Blocking(ActiveX阻断)功能。增强的会话日志功能。对所有的连接进行记录,包括记录连接的时间、源地址、目的地址、使用的端口和传输的字
43、节数。l 设置黑名单:根据报文的源IP地址进行过滤。从而有效地将特定IP地址发送来的报文屏蔽。根据报文的行为特征察觉到特定IP地址的攻击企图之后,通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉。l 安全区域配置:定义四个安全区域,安全级别由高到低依次为Local、Trust、DMZ、Untrust。Local区域代表防火墙本地系统,所有发往防火墙自身IP地址的报文,都被看作发往防火墙的Local区域;Trust代表用户网络中的私有网络;Untrust代表公共网络或不安全的网络,如Internet;DMZ(Demilitarized Zone,非军事区域)区域是一个既不属于内部网络,也不
44、属于外部网络的一个相对独立的区域,它处于内部网络与外部网络之间。有针对性地对内部网络中的设备和这些提供对外服务的主机应用不同的防火墙策略,可以在提供友好的对外服务的同时,最大限度地保护了内部网络。图3-8 中型企业网络拓扑3.3.3高级需求对于高需求的企业,例如像银行等金融企业,或政府机关等(如图4-12)。此类对于网络的安全尤为重要,因此,合理的设置防火墙,有效地规范内网的使用规则,对网络的安全能起到相当的重要作用。因此,就本课题而言,基于OSI七层模型的防火墙设置外,更应该注意的是对于验证加密的环节的设置,图4-11中体现了高级别需求的安全体系关系。图3-9 高级别需求安全体系图相应的设计
45、如下:l vlan划分:依靠vlan来划分不同的工作组,来限制内网不同工作组之间的访问,已达到控制内网上的广播风暴;增强局域网的安全性。同时对vlan设置ip地址,是其能够达到vlan间路由的作用。l Ip和MAC地址绑定:MAC和IP地址绑定,在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP地址发送的的报文,如果其MAC地址不是指定关系对中的地址,防火墙将予以丢弃,避免IP地址假冒攻击的一种方式。l 设置攻击防范:IP地址欺骗(IP Spoofing)攻击;Land攻击;Smurf攻击;WinNuke攻击;SYN Flood攻击;ICMP和UDP Flood攻击;地址扫描与端
46、口扫描攻击;Ping of Death攻击;以及防范ARP泛红。l NAT设置:设置地址池,利用NAT技术,将有限的IP地址动态或静态地与内部的vlan对应起来,防止内网ip地址外露,并缓解地址空间不足的问题。同时避免外部恶意攻击者通过ip地址对内部网络的机密文件进行窃取,以及对内部网络进行破坏。l VPN:对于金融和政府机关,采用的是MPLS VPN。通过不同的VPN传输不通的业务,使得业务之间进行隔离,从而达到使用的规范,和网络的安全性。MPLS VPN应用在BGP路由协议上,通过MPLS的RT设置来有效地节省路由资源,同时在BGP上设置路由映射,已达到对操作者的操作简单化,同时通过路由映
47、射对网络的路由进行选择性传递,没有必要的路由不用传给client端。节省路由器cpu资源。使得路由器运算速度高效。l 网络行为监控:对网络内的上网行为进行规范,并监控上网行为,利用ACL过滤网页访问,限制上网聊天行为,阻止不正当文件的下载。l Web和垃圾邮件过滤:过滤邮件,阻止垃圾邮件及病毒邮件的入侵。阻止内部用户访问非法的网址或访问含有非法内容的网页,防止内网用户向外网非法邮件地址发送邮件或向外发送与工作无关的邮件。当内部网络受到外部的攻击时,通过邮件告警功能,可以向网络管理员发送告警邮件,通知网络管理员采取相应措施。l ASPF设置:检查应用层协议信息,如报文的协议类型和端口号等信息,并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙进入内部网络,以便阻止恶意的入侵。能够检测传输层协议信息(即通用TCP和UDP协议检测),能够根据源、目的地址及端口号决定TCP或UDP报文是否可以通过防火墙进入内部网络。对应用层报文的内容加以检测,提供对不可信站点的J
