毕 业 论 文
题 目 防火墙的研究及其在校园网中的应用
英文题目Firewall and Its Application in the Campus Network
学生姓名
学 号 07119424
专 业 计算机网络技术与应用
学 院
指导教师 职称 助教
二零一零年五月
摘 要
网络技术在近几年的时间有了非常大的发展,经历了从无到有,从有到快;网上信息资源也是从匮乏到丰富多彩,应有尽有。但随着网络速度越来越快,资源越来越丰富,网络安全问题却也越来越严峻,网络安全防范对校园网的正常运行来讲也就显得十分重要。
在网络安全防范中,防火墙具有着不可或缺的地位。防火墙技术是在安全技术当中又是最简单,也是最有效的解决方案。它不仅过滤了来自外部的探测、扫描、拒绝服务等攻击,还能避免内网已中木马的主机系统信息泄露...
本论文在详细分析防火墙工作原理的基础上,提出一个功能较为完备、性能较好、防火墙系统的本身也较为安全的防火墙系统的设计方案,同时介绍了具体实现过程中的关键步骤和主要方法。该防火墙在通常的包过滤防火墙基础之上,又增加了MAC地址绑定和端口映射等功能,使之具有更完备、更实用、更稳固的特点。通过对于具有上述特点的防火墙的配置与测试工作,一方面使得所设计的防火墙系统本身具有高效、安全、实用的特点,另一方面也对今后在此基础上继续测试其它网络产品作好了一系列比较全面的准备工作。
关键词:网络安全;防火墙;校园网
ABSTRACT
The network technology has got very great development in recent years, and the online information resources are developing from deficient to rich and colorful too, and fill with everything. But with the development of the internet, the safe of network is becoming more and more severe. The network safe precaution seems very important for normal running of our campus network too
In the network security guard against the firewall is a vital role in technology. the firewall is the safety of technology is the simplest and most effective solution. it is not only from the exploration and scanning services, to attack, we can avoid the net has been in information disclosure of the wooden host computer...
This thesis put forward a function in detailed analysis firewall working the foundation of the principle more complete function than good, fire wall system of oneself the design project of the too safe fire wall system, and introduces to realizes in a specific way at the same time key in the process step with main method. That firewall is in the usual a percolation firewall foundation on, increased again the MAC address bind to settle the special function in etc., making it have the fresh and clear characteristics. Pass to make fire wall that have the research of the above characteristics and development work, very much a firewall for developing system oneself have efficiently ,safety, practical characteristics, on the other hand too to from now on here foundation ascend develop continuously
Keywords: network security; firewall
目 录
ABSTRACT I
绪论 1
1计算机的安全问题 2
1.1计算机网络面临的安全问题 2
1.2攻击方法 2
1.3安全隐患 3
2防火墙的相关知识 5
2.1防火墙的有关知识 5
2.1.1防火墙的概念 5
2.1.2防火墙的相关参数 5
2.1.3防火墙的连接 6
2.2防火墙的分类 7
2.2.1 从软、硬件形式上分 7
2.2.2 从防火墙技术上分………..………………………………………………..8
2.2.3 从防火墙结构分 9
2.2.4 按防火墙的应用部署位置分 9
2.2.5从防火墙性能上分………..……………………………………………… 10
3.校园网面对的安全威胁 11
3.1物理安全 11
3.1.1自然威胁 11
3.1.2 人为威胁 12
3.2 内网攻击分析 13
3.2.1 ARP攻击 13
3.2.2.网络监听 13
3.2.3.蠕虫病毒 14
3.3攻击 14
3.3.1 DOS攻击 14
3.3.2 SYN Attack(SYN攻击) 15
3.3.3 ICMP Flood(UDP泛滥) 15
3.3.4 UDP Flood(UDP泛滥) 15
3.3.5 Port Scan Attack(端口扫描攻击) 16
4.防火墙在校园网中的配置 17
4.1高校校园网防火墙网络安全策略 17
4.2防火墙的基本配置 19
4.3基于内网的防火墙功能及配置 21
4.3.1 IP与MAC(用户)绑定功能 21
4.3.2 MAP(端口映射)功能 22
4.3.3 NAT(地址转换)功能 23
4.4基于的防火墙功能及配置 23
4.4.1 DOS攻击防范 23
4.4.2访问控制功能 24
结 论 26
致 谢 27
参考文献 28
绪论
科学技术的飞速发展,人们已经生活在信息时代。计算机技术和网络技术深入到社会的各个领域,因特网把“地球村”的居民紧密地连在了一起。近年来因特网的飞速发展,给人们的生活带来了全新地感受,人类社会各种活动对信息网络地依赖程度已经越来越大。然而,凡事“有利必有一弊”,人们在得益于信息所带来的新的巨大机遇的同时,也不得不面对信息安全问题的严峻考验。“黑客攻击”网站被“黑”,“CIH病毒”无时无刻不充斥在网络中。“电子战”已成为国与国之间,商家与商家之间的一种重要的攻击与防卫手段。因此信息安全,网络安全的问题已经引起各国,各部门,各行各业以及每个计算机用户的充分重视。因特网提供给人们的不仅仅是精彩,还无时无刻地存在各种各样的危险和陷阱。对此,我们既不能对那些潜在的危险不予重视,遭受不必要的损失;也不能因为害怕某些危险而拒绝因特网的各种有益的服务,对个人来说这样会失去了了解世界、展示自己的场所,对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。不断地提高自身网络的安全才是行之有效地办法。本文作者在导师的指导下,完成了该防火墙系统方案的配置及安全性能的检测工作。本论文在详细分析防火墙工作原理基础上,针对我校防火墙的实际情况,提出了一个能够充分发挥防火墙性能、提高防火墙系统的抗攻击能力的防火墙系统配置方案,同时介绍了具体实现过程中的关键步骤和主要方法,并针对我校的防火墙系统模拟黑客进行攻击,检查防火墙的安全漏洞,并针对漏洞提供相应的解决方案。该防火墙在通常的包过滤防火墙基础之上,又增加了MAC地址绑定、端口映射等特殊功能,使之具有鲜明的特点。通过对于具有上述特点的防火墙的研究、配置与测试工作,一方面使得我校防火墙系统本身具有高效、安全、实用的特点,另一方面在此基础上对今后可能出现的新问题作好了一系列比较全面的准备工作。
1计算机的安全问题
1.1计算机网络面临的安全问题
计算机网络系统面临的威胁大体可分为两种:一是针对网络中信息的威胁;二是针对网络中设备的威胁,前者为信息安全问题,后者为网络安全问题。计算机网络信息安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,即是指计算机、网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,使网络服务不中断。计算机网络安全从其本质上来讲就是系统上的信息安全,涉及计算机网络信息的保密性、完整性、可用性、真实性和可控性。如果按威胁的对象、性质则可以细分为四类:第一类是针对硬件实体设施;第二类是针对软件、数据和文档资料;第三类是兼对软硬件同时攻击破坏;第四类是计算机犯罪。
1、对硬件实体的威胁和攻击这类威胁和攻击是对计算机本身和外部设备乃至网络和通信线路而言的,如各种自然灾害、人为破坏、操作失误、设备故障、电磁干扰、被盗和各种不同类型的不安全因素所致的物质财产损失、数据资料损失等。2、对信息的威胁和攻击这类威胁和攻击是指计算机系统处理所涉及的国家、部门、各类组织团体和个人的机密、重要及敏感性信息。由于种种原因,这些信息往往成为敌对势力、不法分子和黑客攻击的主要对象。
3、同时攻击软、硬件系统这类情况除了战争攻击、武力破坏以外,最典型的就是病毒的危害。
4、计算机犯罪计算机犯罪是指一切借助计算机技术或利用暴力、非暴力手段攻击、破坏计算机及网络系统的不法行为。暴力事件如武力摧毁等,非暴力形式却多种多样,如数据欺骗、制造陷阱、逻辑、监听窃听、黑客攻击等等。计算机犯罪的损失异常惊人,通常是常规犯罪的几十、几百倍。
1.2攻击方法
为了更好地了解一个安全的防火墙对网络的重要性,首先需要了解一下最常见的攻击类型。
黑客在动机和技巧上差别很大。有些人是在利益的驱使下寻求某些特定的信息,有些则是为了控制计算和通信系统,以供自己使用。但是,也有许多黑客将入侵视为一种娱乐性游戏,以这种破坏性行为作为他们能够成功访问的证明。
不管动机是什么,目的在于入侵某个网络的攻击在开始时总是试图映射目标网络、收集用户和主机系统信息并寻找安全漏洞。这种信息收集是通过一些最常见的工具进行的,而具有讽刺意味的是,设计这些工具的目的恰恰是用来帮助网络工程师评诂并提高安全性。
端口扫描,快速探查、E-mail重配置和DNS高区传输仅仅是几种常见的网络探测方法。主要用于探查哪些系统处于活跃状态、提供什么服务以及采取了什么安全措施。如果安全性不高,通过简单的探测甚至可以获得用户帐号信息。
分组窃听是在一个网络主机已受损后所使用的侦察程序,目的是获取并转移数据分组,以进行分析。如果由一个未授权技术人员使用这种工具,他可以获得关于网络使用情况和效率的有用信息。在由黑客使用时,窃听程序可以获取用户名、密码和系统地址,甚至可以读取未加密的信息。目前市场上有大量自由件和共享件分组窃听程序,利用这些工具,技术水平较低的蓄意破坏者也可以收集广泛的信息,并利用这些信息发起攻击。
在获得了关于网络布局、网络保护措施及其用户的足够信息后,攻击者通常会进一步进入防护不严密的系统,获得更多信息并利用最初的开口进而侵入其它系统。根据攻击者的动机和技术水平,他可能会试图窃取或毁坏数据、转移网络资产供自己使用(如长途电话服务)或只是使网络停运。常见的攻击包括:
IP电子欺骗,即利用一个内部地址隐藏外部流量的真正来源。
应用级攻击,这种攻击的目标为运行某些网络服务(如e-mail)的服务器软件。通常这些攻击会利用旧的软件版本的安全漏洞使入侵者控制服务或服务器本身。
特洛伊马攻击利用伪装的软件欺骗用户或系统,令其提供有用的信息或降低安全屏障。典型的例子是一个替代性的网络登录操作,它提示用户输入其用户名和密码,然后再将该信息发给一个黑客。如特洛伊马攻击中还出现了“我爱你”和“melissa”电子邮件攻击。其它还包括Java应用和嵌入Web页面的ActiveX控制,用于在传输一个明显无害的页面时予以执行。这些攻击特别具有破坏性,因为编程语言于平台的特性使它们能够扩散到所有连接的系统。
拒绝服务攻击(如SYN洪水),这些攻击利用网络通信协议用不完整的服务请求占用主机,从而阻挡了合法的请求。
1.3安全隐患
1、黑客黑客是指一些以访问其他人的计算机或者网络为乐的计算机爱好者。
尽管很多黑客只满足于闯入别人的系统,并留下自己的“脚印”,但是有些“骇客”则怀有很多的恶意,他们会导致整个网络崩溃,窃取或者损坏保密的数据,窜改网页,甚至中断系统的正常工作。
不是所有的黑客都是天才。很多人只需要使用从网上找到的黑客工具,稍微了解一下这些工具的工作方式和作用,就可以发动攻击。
2、没有安全意识的师生
当教职工关注于他们各自的工作时,他们可能会忽略标准的网络安全规则。例如,他们可能会选择某个很容易通过简单的常识或者密码破解工具猜测或者破解的密码。教职工还可能会无意地收发和传输病毒。病毒进入系统的最常见途径就是通过受到感染的软件或者从互联网上下载受到感染的文件。
令人惊讶的是,企事业单位还必须注意人为事故的影响。无论员工是计算机新手还是计算机行家,都有可能会犯错误,例如错误地安装杀毒软件或者偶然忽略了关于安全威胁的警报。
3、心怀不满的学生
比无心的错误更加让人担心的是某些恼怒的或者意图报复的学生可能对学校造成的损害。这些学生通常是那些被批评、记过或者降级的学生,因不满情绪可能会报复性地用病毒感染学校的网络,或者有意删除一些重要的文件。
显然这些学生非常危险,因为他们通常比较了解本学校网络以及其中所含信息的价值,重要信息的位置以及保护这些信息的安全措施。
4、喜欢打听消息的企事业员
工无论员工对企事业单位是否满意,他们中还有些人可能会很好奇,或者喜欢恶作剧。比如在企业中充当商业间谍的员工,他们会在未经授权的情况下访问机密数据,并将这些信息交给企事业的竞争对手。或者他们可能只是很好奇,热衷于访问一些保密的数据,例如财务信息,同事之间发送的浪漫的电子邮件——或者工资的详细信息。
这些行为中有些是无害的。但是另外一些行为,例如事先查看财务、医疗和人力资源数据,则会导致非常严重的后果。它们可能会破坏企事业的声誉,提高单位的成本和财务责任。
2防火墙的相关知识
Internet的发展给机关、企事业单位带来了性的改革和开放。他们正努力通过利用Internet来提高办事效率和市场反应速度,以便更具竞争力。通过Internet,企事业单位可以从异地取回重要数据,同时又要面对Internet开放带来的数据安全的新挑战和新危险:即移动用户、异地员工和内部员工的安全访问;以及保护企事业的机密信息不受黑客和工业间谍的入侵。因此企事业必须加筑安全的“战壕”,而这个“战壕”就是防火墙。本章主要从安全角度介绍防火墙的相关知识。
2.1防火墙的有关知识
2.1.1防火墙的概念
防火墙一词最早源于建筑行业,当构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物被称之为防火墙。在今日的电子信息世界里,人们借助了这个概念,使用防火墙来保护敏感的数据不被窃取和篡改,不过这些防火墙是由先进的计算机系统构成的。
今天的防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔在被保护的内部网与不安全的非信任网络之间,用来保护计算机网络免受非授权人员的骚扰与黑客的入侵。世界上最大的、不安全的非信任网络就是我们目前广泛使用的互联网络——Internet网络,近年来媒体报导的很多黑客入侵事件都是通过互联网络进行攻击的。
防火墙是指设置在不同网络(如可信任的企事业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企事业的安全控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
在逻辑上,防火墙是一个分离器,一个器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
大部分防火墙都是硬件产品,也有软件产品,如果是软件类型防火墙还需要一个软件平台即一个服务器,但是目前我们看到的防火墙都是硬件防火墙。在外形上、在高度上、在大小上类似于路由器设备,是一台特殊的计算机。在防火墙的后面有许多接口:串口(又叫Console口,可利用串口线对防火墙进行初始化配置)、三个标准网络接口(10M、100M和自适应的网络接口)、扩展槽(标配是三个,一般防火墙都可以扩展到十个或十二个,接口类型也可根据需要进行定制,如果扩展较多,机箱会较高可达到2U或4U)、电源插座和电源开关。
2.1.2防火墙的相关参数
1.样式:标准1U——4U机箱,根据接口数量、处理性能等不同而异
2.网络接口数量:标准一般配置3个10/100M自适应接口,根据需要可以定制更多接口,有些还可热拔插
3.网络接口类型:标准一般是10/100-Base-TX接口,也有其他类型接口
4.电源:一般是单电源,特殊场合可以配置双电源,但需要定制
5.硬件平台架构:大多基于X86工控平台,也有基于NP加速的产品
6.处理器:多数的是CPU,极少数是CPU+NPU7.软件平台:Windows NT,也有直接基于开放LINUX架构改造,使用免费代码构建
2.1.3防火墙的连接
1、防火墙在网络中的位置:
图2-1防火墙在网络中的位置
2.防火墙连线
图2-2防火墙逻辑位置示意图
2.2防火墙的分类
2.2.1 从软、硬件形式上分
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
1)软件防火墙。
软件防火墙运行于特定的 计算 机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
2)硬件防火墙。
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。
3)芯片级防火墙。
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
2.2.2 从防火墙技术分
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。
(1)包过滤(Packet filtering)型。
包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数 企业 安全要求。
在整个防火墙技术的 发展 过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。 (2)应用代理(Application Proxy)型。
应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
在代理型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型代理防火和第二代自适应代理防火墙。
代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤
另外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部 网络 之间的通信不是直接的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络 计算 机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
代理防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的代理服务,在自己的代理程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。
2.2.3 从防火墙结构分
从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
单一主机防火墙是最为传统的防火墙,于其它网络设备,它位于网络边界。
这种防火墙其实与一台计算机结构差不多(如下图),同样包括CPU、内存、硬盘等基本组件,主板更是不能少的,且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和代理服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与PC机差不多的配置,价格甚远。
随着防火墙技术的 发展 及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。
原来单一主机的防火墙由于价格非常昂贵,仅有少数大型 企业 才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。如Cisco IOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。
分布式防火墙再也不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡 ,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。
2.2.4 按防火墙的应用部署位置分
按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。
边界防火墙是最为传统的,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都属于硬件类型,价格较贵,性能较好。
个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。
混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。
2.2.5 按防火墙性能分
按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。
因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用代理所产生的延时也越小,对整个网络通信性能的影响也就越小。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
3.校园网面对的安全威胁
3.1物理安全
保证计算机网络系统各种设备的物理安全是整个网络安全的前提。计算机网络的物理安全是在物理介质层次上数据传输、数据存储和数据访问安全。计算机网络的物理安全包括构成网络的相关基础设施的安全,网络的运行环境比如温度、湿度、电源等,自然环境的影响以及人的因素等对计算机网络的物理安全和运行的影响。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web服务器、打印机等硬件实体和网络通信设备免受自然灾害、人为破坏和搭线攻击等。
3.1.1自然威胁
自然威胁主要是指由于自然原因造成的对网络设备硬件的损坏和网络运行的影响。主要包括以下几方面:
①自然灾害
自然灾害对计算机网络设备或其它相关设施造成的损坏,或对网络运行造成的影响。如:雷击、火灾、水灾、地震等不可抗力造成的网络设备或网络通信线路的损坏,大雾对无线传输的影响。
②正常使用情况下的设备损坏
在网络设中,所有的网络设备都是电子设备,任何电子元件也都会老化,因此由电子元件构成的网络设备都一个有限的正常使用年限,即使严格按照设备的使用环境要求使用,在设备达到使用寿命后均可能出现硬件故障或不稳定现象,从而威胁计算机网络的安全运行。
③设备运行环境
网络的运行是不间断的。保证网络设备的安全运行,运行环境是一个很重要的因素。任何计算机网络都需要一个可靠的运行环境来保证其可靠地运行,其中主要包括周边环境和电源系统两大要素。
1)周边环境
我们所使用的网络交换设备一般都有自己的散热系统,所以环境因素往往被一些管理员所忽略。随着使用周期的增长,一些设备的散热系统损坏,或在潮湿的天气环境下积尘较多而引起设备运行不稳定,都是不安全因素。因此网络设备的安放都需要比较良好的环境,所以校园网的网络中心机房一般都配备调湿调温并经常保洁的环境,以保证设备的运行。在分节点的网络设备,可以采取定期维
护保养的措施或分别设置空调设备。
2)电源系统
电源系统的稳定可靠直接影响到网络的安全运行。如果要保证网络的不间断,就必须保证电源系统的稳定和不间断。校园网的电源系统可分为两部分,一部分主要用于网络设备和主机,由于这些网络设备和主机对电源系统要求较高,且不能间断,所以这部分的供电系统就采用UPS(不间断电源系统),而且最好是采用在线式的,这样可以充分隔离电力系统对网络设备的干扰,保证网络的运行。另一部分主要用于空调设备,其特点是电源容量要求大,可短时间间断,但由于我们部分学校所使用的空调系统在恢复供电后都不能自动启动,所以必须让管理人员掌握电源的通断信息。以上海师大校园网为例,网络中心通过对UPS电源监控系统的整合,使电源通断信息的变化会及时地反映到网管人员的手机上,这样中心工作人员就能及时了解突发情况。
3.1.2 人为威胁
人为威胁是指由于人为因素造成的对计算机网络的物理安全威胁,包括故意人为和无意人为威胁。
人为故意威胁是指人为主观威胁网络的物理安全。最常见的是人为通过物理接近的方式威胁网络安全,物理接近是其它攻击行为的基础。如通过搭线连接获取网络上的数据信息;或者潜入重要的安全部门窃取口令、密钥等重要的网络安全信息;或者直接破坏网络的物理基础设施(盗割网络通信线缆、盗取或破坏网络设备等)。这些人为的故意破坏行为严重威胁网络的安全运行。
人为无意威胁是人为因素造成但不是故意的物理安全威胁。即使是合法的、技术过硬的操作人员,由于从时间疲劳工作或者其它身体因素的影响,或者自身安全意识不强都可能产生失误和意外疏忽。这些意外和疏忽也可能影响网络的安全运行,有时还会造成重大的损失,如删除了重要的网络配置文件、格式化了存储有重要数据或信息的分区或整个硬盘、没有采取防静电措施插拔硬件等等
3.2 内网攻击分析
3.2.1 ARP攻击
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址IA——物理地址PA),请求IP地址为IB的主机B回答物理地址PB。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
3.2.2.网络监听
在网络中,当信息进行传播的时候,可以利用工具,将网络接口设置在监听的模式,便可将网络中正在传播的信息截获或者捕获到,从而进行攻击。
网络监听在网络中的任何一个位置模式下都可实施行。而黑客一般都是利用网络监听来截取用户口令。比如当有人占领了一台主机之后,那么他要再想进将战果扩大到这个主机所在的整个局域网话,监听往往是他们选择的捷径。很多时候我在各类安全论坛上看到一些初学的爱好者,在他们认为如果占领了某主机之后那么想进入它的内部网应该是很简单的。其实非也,进入了某主机再想转入它的内部网络里的其它机器也都不是一件容易的事情。因为你除了要拿到他们的口令之外还有就是他们共享的绝对路径,当然了,这个路径的尽头必须是有写的权限了。在这个时候,运行已经被控制的主机上的监听程序就会有大收效。不过却是一件费神的事情,而且还需要当事者有足够的耐心和应变能力。主要包括:
数据帧的截获
对数据帧的分析归类
dos攻击的检测和预防
IP冒用的检测和攻击
在网络检测上的应用
对垃圾邮件的初步过滤
3.2.3.蠕虫病毒
3.2.3.1蠕虫病毒攻击原理
蠕虫也是一种病毒,因此具有病毒的共同特征。一般的病毒是需要的寄生的,它可以通过自己指令的执行,将自己的指令代码写到其他程序的体内,而被感染的文件就被称为”宿主”,例如,windows下可执行文件的格式为pe格式(Portable Executable),当需要感染pe文件时,在宿主程序中,建立一个新节,将病毒代码写到新节中,修改的程序入口点等,这样,宿主程序执行的时候,就可以先执行病毒程序,病毒程序运行完之后,在把控制权交给宿主原来的程序指令。可见,病毒主要是感染文件,当然也还有像DIRII这种链接型病毒,还有引导区病毒。引导区病毒他是感染磁盘的引导区,如果是软盘被感染,这张软盘用在其他机器上后,同样也会感染其他机器,所以传播方式也是用软盘等方式。
3.2.3.2蠕虫病毒入侵过程
蠕虫病毒攻击主要分成三步:
①扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对象。
②攻击:攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象,取得该主机的权限(一般为管理员权限),获得一个shell。
③复制:复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。
3.3攻击
3.3.1 DOS攻击
DoS 攻 击 (Denial of Service,简称DOS)即拒绝服务攻击,是指攻击者通过消耗受害网络的带宽,消耗受害主机的系统资源,发掘编程缺陷,提供虚假路由或DNS信息,使被攻击目标不能正常工作。实施DoS攻击的工具易得易用,而且效果明显。一般的DoS攻击是指一台主机向目的主机发送攻击分组(1:1),它的威力对于带宽较宽的站点几乎没有影响;而分布式拒绝服务攻击(Distributed Denial of Service,简称DDoS)同时发动分布于全球的几千台主机对目的主机攻击(m:n ),即使对于带宽较宽的站点也会产生致命的效果。随着电子商业在电子经济中扮演越来越重要的角色,随着信息战在军事领域应用的日益广泛,持续的DoS攻击既可能使某些机构破产,也可能使我们在信息战中不战而败。可以毫不夸张地说,电子恐怖活动的时代已经来临。
DoS 攻 击 中,由于攻击者不需要接收来自受害主机或网络的回应,它的IP包的源地址就常常是伪造的。特别是对DDoS攻击,最后实施攻击的若干攻击器本身就是受害者。若在防火墙中对这些攻击器地址进行IP包过滤,则事实上造成了新的DDS攻击。为有效地打击攻击者,必须设法追踪到攻击者的真实地址和身份。
3.3.2 SYN Attack(SYN攻击)
每一个TCP连接的建立都要经过三次握手的过程:A向B发送SYN封包:B用SYN/ACK封包进行响应;然后A又用ACK封包进行响应。攻击者用伪造的IP地址(不存在或不可到达的地址)发送大量的SYN封包至防火墙的某一接口,防火墙用SYN/ACK封包对这些地址进行响应,然后等待响应的ACK封包。因为SYN/ACK封包被发送到不存在或不可到达的IP地址,所以他们不会得到响应并最终超时。当网络中充满了无法完成的连接请求SYN封包,以至于网络无法再处理合法的连接请求,从而导致拒绝服务(DOS)时,就发生了SYN泛滥攻击。防火墙可以对每秒种允许通过防火墙的SYN封包数加以。当达到该临界值时,防火墙开始代理进入的SYN封包,为主机发送SYN/ACK响应并将未完成的连接存储在连接队列中,未完成的连接保留在队列中,直到连接完成或请求超时。
3.3.3 ICMP Flood(UDP泛滥)
当ICMP PING产生的大量回应请求超出了系统最大限度,以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时,就发生了ICMP泛滥。当启用ICMP泛滥保护功能时,可以设置一个临界值,一旦超过了此值就会调用ICMP泛滥攻击保护功能。(缺省的临界值为每秒1000个封包。)如果超过了该临界值。NETSCREEN设备在该秒余下的时间和下一秒内会忽略其他的ICMP回应要求。
3.3.4 UDP Flood(UDP泛滥)
与ICMP泛滥相似,当以减慢系统速度为目的向该点发送UDP封包,以至于系统再也无法处理有效的连接时,就发生了UDP泛滥,当启用了UDP泛滥保护功能时,可以设置一个临界值,一旦超过此临界值就回调用UDP泛滥攻击保护功能。如果从一个或多个源向单个目标发送的UDP泛滥攻击超过了此临界值,防火墙在该秒余下的时间和下一秒内会忽略其他到该目标的UDP封包。
3.3.5 Port Scan Attack(端口扫描攻击)
当一个源IP地址在定义的时间间隔内(缺省值为5000微秒)向位于相同目标IP地址10个不同的端口发送IP封包时,就会发生端口扫描攻击。这个方案的目的是扫描可用的服务,希望会有一个端口响应,因此识别出作为目标的服务。防火墙在内部记录从某一远程源地点扫描不同端口的数目。使用缺省设置,如果远程主机在0.005秒内扫描了10个端口。防火墙会将这一情况标记为端口扫描攻击,并在该秒余下的时间内拒绝来自该源地址的其他封包
4.防火墙在校园网中的配置
随着高校信息化进程的推进,学院校园网上运行的应用系统越来越多,信息系统变得越来越庞大和复杂。校园网的服务器群构成了校园网的服务系统,主要包括DNS、虚拟主机、Web、FTP、视频点播以及Mail服务等。校园网通过不同的专线分别接入了教育网、电信网和党政网。随着学院网络出口带宽不断加大,应用服务系统逐渐增多,校园网用户数烈剧上升,网络的安全也就越来越严峻。
4.1高校校园网防火墙网络安全策略
讨论防火墙安全策略一般实施两个基本设计方针之一:
1.拒绝访问除明确许可以外的任何一种服务,即拒绝一切未予特许的东西
2.允许访问除明确拒绝以外的任何一种服务,即允许一切未被特别拒绝的东西
校园网防火墙的网络安全策略采取第一种安全控制的方针,确定所有可以被提供的服务以及它们的安全特性,然后开放这些服务,并将所有其它未被列入的服务排斥在外,禁止访问。
校园网网络结构拓扑图如图4-1所示:
图4-1校园网网络总拓扑结构图
在实际应用环境中,一般情况下防火墙网络可划分为三个不同级别的安全区域:
内部网络:这是防火墙要保护的对象,包括全部的内部网络设备及用户主机。这个区域是防火墙的可信区域(这是由传统边界防火墙的设计理念决定的)。
外部网络:这是防火墙要防护的对象,包括外部网主机和设备。这个区域为防火墙的非可信网络区域(也是由传统边界防火墙的设计理念决定的)。
DMZ(非军事区):它是从内部网络中划分的一个小区域,在其中就包括内部网络中用于公众服务的外部服务器,如Web服务器、邮件服务器、DNS服务器等,它们都是为互联网提供某种信息服务。
在以上三个区域中,用户需要对不同的安全区域制订不同的安全策略。虽然内部网络和DMZ区都属于内部网络的一部分,但它们的安全级别(策略)是不同的。对于要保护的大部分内部网络,一般情况下禁止所有来自互联网用户的访问;而由内部网络划分出去的DMZ区,因需为互联网应用提供相关的服务,这些服务器上所安装的服务非常少,所允许的权限非常低,真正有服务器数据是在受保护的内部网络主机上,所以黑客攻击这些服务器没有任何意义,既不能获取什么有用的信息,也不能通过攻击它而获得过高的网络访问权限。
通过NAT(网络地址转换)技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址。这样可以对外屏蔽内部网络构和IP地址,保护内部网络的安全;同时因为是公网IP地址共享,所以可以大大节省公网IP地址的使用。
在这种应用环境中,在网络拓扑结构上校园网可以有两种选择,这主要是根拥有网络设备情况而定。
如果原来已有边界路由器,则此可充分利用原有设备,利用边界路由器的包过滤功能,添加相应的防火墙配置,这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的内部网络连接。对于DMZ区中的公用服务器,则可直接与边界路由器相连,不用经过防火墙。它可只经过路由器的简单防护。在此拓扑结构中,边界路由器与防火墙就一起组成了两道安全防线,并且在这两者之间可以设置一个DMZ区,用来放置那些允许外部用户访问的公用服务器设施。
依照学院的网络拓扑将网络划分成三个部份,如图4-2所示:、DMZ区和内部网络。与Internet相连;DMZ放置各种应用服务器;内部网络连接校内用户;
图4-2学院防火墙结构图
应用服务当中EMAIL、DNS和WWW服务需要能够访问,因此将这些服务规划到DMZ区。
4.2防火墙的基本配置
学院采用的是防火墙,它的初始配置也是通过控制端口(Console)与PC机的串口连接,再通过超级终端(HyperTerminal)程序进行选项配置。也可以通过telnet和Tffp配置方式进行高级配置,但必需先由Console将防火墙的这些功能打开。
NETSCREEN防火墙有四种用户配置模式,即:普通模式(Unprivilegedmode)、模式(Privileged Mode)、配置模式(Configuration Mode)和端口模式(Interface Mode)。
显示基本信息:
命令行基本信息收集:
netscreen>get syst(得到系统信息)
netscreen>get config(得到config信息)
netscreen>get log event(得到日志)
功能问题需收集下列信息:
netscreen>set ffiliter?(设置过滤器)
netscreen>debug flow basic是开启基本的debug功能
netscreen>clear db是清除debug的缓冲区
netscreen>get dbuf stream就可以看到debug的信息了
性能问题需收集下列信息:
得到下列信息前,请不要重新启动机器,否则信息都会丢失,无法判定问题所在。netscreen>Get per cpu detail(得到CPU使用率)
netscreen>Get session info(得到会话信息)
netscreen>Get per session detail(得到会话详细信息)
netscreen>Get mac-learn(透明方式下使用,获取MAC硬件地址)
netscreen>Get alarm event(得到告警日志)
netscreen>Get tech>tftp 202.101.98.36 tech.txt(导出系统信息)
netscreen>Get log system(得到系统日志信息)
netscreen>Get log system saved(得到系统出错后,系统自动记录信息,该记录重启后不会丢失。
设置接口-带宽,网关
设置所指定的各个端口的带宽速率,单位为kb/s
Set interface interface bandwidth number
unset interface interface bandwidth
设置接口的网关
set interface interface gateway ip_addr
unset interface interface gateway
设置接口的接口的区域,IP地址zone就是网络逻辑上划分成区,可以在安全区或安全区内部接口之间实施策略:
设置接口的接口的区域
set interface interface zone zone
unset interface interface zone
设置接口的IP地址
set interface interface ip ip_addr/mask
set interface interface ip unnumbered interface interface2
unset interface interface ip ip_addr
4、接口管理设置
①set interface interface manage
{ident-reset|nsmgmt|ping|snmp|ssh|ssl|telnet|webui}
unset interface interface manage
{ident-reset|nsmgmt|ping|snmp|ssh|telnet|webui}
WebUI:允许接口通过Web用户界面(WebUI)接收HTTP管理信息流。
Telnet:选择此选项可启用Telnet管理功能。
SSH:可使用“安全命令外壳”(SSH)通过以太网连接或拨号调制解调器管理NetScreen设备。必须具有与SSH协议版本1.5兼容的SSH客户端。选择此选项可启用SSH管理功能。SNMP:选择此选项可启用SNMP管理功能。
SSL:选择此选项将允许接口通过WebUI接收NetScreen设备的HTTPS安全管理信息流。
NS Security Manager:选择此选项将允许接口接收NetScreen-SecurityManager信息流。
Ping:选此选项将允许NetScreen设备响应ICMP回应请求,以确定是否可通过网络访问特定的IP地址。
Ident-Reset:与“邮件”或FTP发送标识请求相类似的服务。如果它们未收到确认,会再次发送请求。处理请求期间禁止用户访问。启用Ident-reset选项后,NetScreen设备将发送TCP重置通知以响应发往端口113的IDENT请求,然后恢复因未确认标识请求而被阻止的访问。②指定允许进行管理的ip地址
set interface interface manage-ip ip_addr
unset interface interface manage-ip
5、用户帐号的操作
①添加只读权限管理员
set admin user Roger password 2bd21wG7 privilege read-only
②修改帐户为可读写权限
unset admin user Roger
set admin user Roger password 2bd21wG7 privilege all
③删除用户
unset admin user Roger
④清除所有会话,并注销帐户
clear admin name Roger
4.3基于内网的防火墙功能及配置
4.3.1 IP与MAC(用户)绑定功能
如果在一个局域网内部允许Host A上网而不允许Host B上网,则有一种方式可以欺骗防火墙进行上网,就是在HostA还没有开机的时候,将HostB的IP地址换成Host A的IP地址就可以上网了。那么针对IP欺骗的行为,解决方法是将工作站的IP地址与网卡的MAC地址进行绑定,这样再改换IP地址就不行了,除非将网卡和IP地址都换过来才行,所以将IP地址与MAC地址进行绑定,可以防止内部的IP盗用。但是这种绑定只适合与防火墙同网段的节点,如果其他网段的节点通过防火墙进行访问时,通过网段的源IP地址与目的IP地址是不同的,无法实现IP地址与MAC的绑定。但是可以通过IP地址与用户的绑定,因为用户是可以跨网段的。
另外对DHCP用户的支持,如果在用DHCP服务器来动态分配IP地址的网络中,主机没有固定的IP地址,如何解决这样的问题呢?目前主要有两种方式可以解决这个问题,第一种是在防火墙中内置DHCP服务器,但这种方式由于防火墙内置DHCP服务器,会导致防火墙本身的不安全,如果有一天防火墙失效,造成DHCP服务器宕机会影响整个网络而并不仅仅只对出口造成影响。另一种比较好的解决方法是防火墙支持基于MAC地址的访问控制,在配置之前,先不添IP地址只添网卡的MAC地址,开机后自动将获得的IP地址传给防火墙,防火墙根据这个IP地址与MAC地址进行绑定来实现访问控制,这种方式可以实现IP地址与MAC地址的绑定。这种方式的好处是防火墙受到破坏并不会对这个局域网的通讯产生影响,DHCP服务器不会受到影响,整个网络也不需要进行改动。
(用户)绑定针对IP欺骗的行为,我校校园网网络设置中将工作站的IP地址与网卡的MAC地址进行绑定。
BIND 192.168.0.2 TO 01-50-04-BB-71-A6
BIND 192.168.0.4 TO 01-50-04-BB-71-BC……
这样再改换IP地址就不行了,除非将网卡和IP地址都换过来才行,所以将IP地址与MAC地址进行绑定,可以防止内部的IP盗用。上面的绑定方式只适合与防火墙同网段的节点,如果其他网段的节点通过防火墙进行访问时,通过网段的源IP地址与目的IP地址是不同的,无法实现IP地址与MAC的绑定。实现方法是通过IP地址与用户的绑定,因为用户是可以跨网段的。另外对我校DHCP用户的支持,如果在用DHCP服务器来动态分配IP地址的网络中,主机没有固定的IP地址,解决方法是设置防火墙支持基于MAC地址的访问控制,在配置之前,先不添IP地址,只添加网卡的MAC地址,开机后自动将获得的IP地址传给防火墙,防火墙根据这个IP地址与MAC地址进行绑定来实现访问控制,这种方式可以实现IP地址与MAC地址的绑定。这种方式的好处是防火墙受到破坏并不会对这个局域网的通讯产生影响,DHCP服务器不会受到影响,整个网络也不需要进行改动。
4.3.2 MAP(端口映射)功能
通过远程访问WEB服务器域名地址就可以访问到Web服务器的主页,但这样是直接对我的WEB服务器进行访问和操作很不安全。如果有防火墙,可以把将WEB服务器的地址映射到防火墙的外端口地址,做完映射以后,这些服务器可以使用私有地址,或者这些地址不公开保护起来,对外公开的WEB服务器的地址是防火墙的外端口地址。因此,通过这种方式有两个优点,第一是这些服务器可以使用私有地址,同时也隐藏了内网的结构,如果这时黑客进行攻击,内网是安全的,因为Web服务器公开的地址是防火墙的外端口,真正的WEB服务器的地址不会受到攻击,这样可以增加网络的安全性。
比如内部设有WEB服务器(192.168.0.1)和有一个远程访问客户(210.4.1.5),通过远程访问WEB服务器域名地址就可以访问到这个网页,但这样是直接对我的WEB服务器进行访问和操作很不安全。可以将WEB服务器的地址(如192.168.0.1)映射到防火墙的外端口地址(如61.235.51.6),即:
MAP 192.168.0.1:80 TO 61.235.51.6:80
MAP 192.168.0.2:21 TO 61.235.51.6:21
MAP 192.168.0.5:25 TO 61.235.51.6:25
MAP 192.168.0.3:53 TO 61.235.51.6:53
做完映射以后,这些服务器可以使用私有地址,或者这些地址不公开保护起来,对外公开的WEB服务器的地址是61.235.51.6,客户端输入http://61.235.51.6就可以访问到这个WEB服务器。因此,通过这种方式有两个优点,第一是这些服务器可以使用私有地址,同时也隐藏了内网的结构,如果这时黑客进行攻击进行扫描,内网是安全的,因为61.235.51.6地址是防火墙的外端口,真正的WEB服务器的地址是192.168.0.1不会受到攻击,这样可以增加网络的安全性
4.3.3 NAT(地址转换)功能
网络地址转换可以将内网的私有地址利用防火墙的地址转换功能,来实现对地址的转换,防火墙可以随机设置静态合发地址或者动态地址池,防火墙向外的报文可以从地址池里随机找一个报文转发出来。利用这个方式也有两个优点:第一可隐藏内网的结构,第二是内部网络可以使用保留地址,提供IP复用功能。
具体NAT功能配置如下:
nat inside source list 22 pool pool100
nat inside destination static 10.106.1.16172.1.1.15
nat inside destination static tcp 10.106.1.16 21 172.1.1.11 21
nat inside destination static tcp 10.106.1.16 80 172.1.1.12 80
4.4基于的防火墙功能及配置
4.4.1 DOS攻击防范
防范DOS攻击的传统技术主要有4种:
①加固操作系统,即配置操作系统各种参数以加强系统稳固性
②利用防火墙
③负载均衡技术,即把应用业务分布到几台不同的服务器上
④带宽和QOS保证
本论文主要介绍利用防火墙来应对DOS的攻击。目前绝大数的主流防火墙都支持IPInspect功能,防火墙会对进入防火墙的信息进行严格的检测。这样,各种针对系统漏洞的攻击包会自动被系统过滤掉,从而保护了网络免受来自外部的系统漏洞攻击。通过设置ACL过滤、TCP监听功能,过滤不必要的UDP和ICMP数据报。
防火墙的基本配置如下:
firewall(config)#nameif fa0/1 inside security 100
firewall(config)#nameif fa0/2 inside security 100
firewall(config)#nameif fa0/3 outside security 0
firewall(config)#int fa0/1 auto
firewall(config-if)#ip add inside 192.168.6.1 255.255.255.0
firewall(config-if)#no shutdown
firewall(config-if)#int fa0/2 auto
firewall(config-if)#ip add inside 192.168.7.1 255.255.255.0
firewall(config-if)#no shutdown
firewall(config-if)#int fa0/3 auto
firewall(config-if)#ip add outside 192.168.5.2 255.255.255.0
firewall(config-if)#no shutdown
firewall(config-if)#exit
由于我们经常会开启一些小服务,例如echo(回显)端口和discard(丢弃)端口,用于诊断,回显端口将重放那些端口所接受到的数据包,而丢弃端口则将数据包丢弃,由于丢弃数据包或回显数据包都会消耗Pcu周期,一些DOS攻击就采用这些端口。所以建议在防火墙接口上关闭这些服务
firewall(config)#no service tcp-small-servers
firewall(config)#no service udp-small-servers
firewall(config)#no service finner
firewall(config)#no ip directed-broadcast
4.4.2访问控制功能
防火墙最基本的功能是访问控制功能,一个域的信息流穿过防火墙对另一个域进行访问的时候,防火墙可以截获信息并对信息进行检查,按着管理员设置的安全策略逐条进行匹配,如果符合安全策略,则逐条进行转发;不符合则进行堵断。因此防火墙基本的访问控制功能是基于源IP地址、目的IP地址、源端口、目的端口、时间、流量、用户、文件、网址和MAC地址来做访问控制功能,这是防火墙最基本的访问控制技术。
配置命令如下:
access-list extended 500 permit icmp
ip access-list service 1021 ftp any 10.106.1.160.0.0.255
ip access-list service 1025 smtp any 10.106.1.160.0.0.255
ip access-list service 1080 www any 10.106.1.160.0.0.255
ip access-list service 1110 pop3 any 10.106.1.160.0.0.255
ip access-group 1021 1021 input fastethernet 0/0output fastethernet 0/1
ip access-group 1025 1025 input fastethernet 0/0output fastethernet 0/1
ip access-group 1080 1080 input fastethernet 0/0output fastethernet 0/1
ip access-group 1110 1110 input fastethernet 0/0output fastethernet 0/1
ip access-group 500 500 input fastethernet 0/0output fastethernet 0/1
.结论
网络安全问题越来越引起世界各国的严密关注,随着计算机网络在人类生活各个领域的广泛应用,不断出现网络被非法入侵,重要资料被窃取,网络系统瘫痪等严重问题,网络、应用程序的安全漏洞越来越多;各种病毒泛滥成灾。这一切,已给各个国家以及众多商业公司造成巨大的经济损失,甚至危害到,加强网络安全管理已刻不容缓。
经过这段时间对毕业论文的设计,让我了解到了网络安全的重要性,防火墙在网络安全的重要性,从对防火墙的研究,认识到了它在网络中何其的重要,以前的对防火墙不甚了解,通过在读书馆,网上查资料等各种途径去了解它,去认识它。使得我头脑里本来对它模模糊糊的映象逐渐变得清晰。
在做毕业设计的时候才发现,认真的,专心的去做着一件事,去学习这其中的知识,去感受这中间的过程原来是这么轻松,愉快的一件事,虽然我这个毕业设计做的并不完美,但这是我用心努力的成果。
我相信我会永远记得这段时光,让我以后做每件事都记起这次的经历,激励我不断向前。
致谢
首先要感谢游胜玉老师,本文是在游胜玉老师精心指导和大力支持下完成的。游胜玉老师以其严谨求实的治学态度、高度的敬业精神、兢兢业业、孜孜以求的工作作风和大胆创新的进取精神对我产生重要影响。她渊博的知识、开阔的视野和敏锐的思维给了我深深的启迪。
其次要感谢三年来教过的各位任课老师。不积跬步何以至千里,本设计能够顺利的完成,也归功于各位任课老师的认真负责,使能够很好的掌握和运用专业知识,并在设计中得以体现。正是有了他们的悉心帮助和支持,才使的毕业论文工作顺利完成,在此向东华理工大学软件工程系的全体老师表示由衷的谢意。感谢你们三年来的辛勤栽培。
还要感谢给予我很多关心和帮助的同学们,三年学习生活使我们结下深厚的友谊。俗话说天下没有不散之筵席,在毕业之际,我衷心地同学和朋友们在以后的人生道路上越走越宽广,也深深相信在未来的日子里我们将一路携手前行,会有很多的碰撞和交流,我们将始终记得我们曾在东华理工同窗学习,这将是我克服困难、不断前进的精神动力。
参考文献
[1] 朱雁辉. WINDOWS 防火墙与网络封包截获技术[M].北京:电子工业出版社,2002
[2] 常红等. 网络安全技术与反黑客[M].长春:冶金工业出版社,2001
[3] 袁家政. 计算机网络安全与应用技术[M].北京:清华大学出版社,2002
[4] 东方龙马防火墙技术[M].北京:东方龙马公司,2001
[5] 黑客X档案2002-2003合定本(上) 吉林:[M].吉林科技出版社,2003
[6] 王景义.VC++实例全解教程[M].海南:南方出版社,2004
[7] 郑莉.C++程序设计教程[M].北京:机械工业出版社,2001
[8 ] 林晓东,杨义先 网络防火墙技术.电信科学,1997
[9] Karanjit S, Chris H. Internet Firewalls and Network Security. USA: New Riders publishing,1995
[10]Jeff Doyle CCLE Professional Development Routing TCP/IP Volume I 人民邮电出版社
[11] http://www.wanfangdata.com.cn/
[12] http://www.cnki.com.cn/
Copyright © 2019-2025 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
