畢業(yè)論文----防火墻的研究及其在校園網(wǎng)中的應(yīng)用

1、<p>　　畢 業(yè) 論 文</p><p>　　題 目 防火墻的研究及其在校園網(wǎng)中的應(yīng)用 </p><p>　　英文題目Firewall and Its Application in the Campus Network </p><p><b>　　摘 要</b></p

2、><p>　　網(wǎng)絡(luò)技術(shù)在近幾年的時(shí)間有了非常大的發(fā)展，經(jīng)歷了從無(wú)到有，從有到快；網(wǎng)上信息資源也是從匱乏到豐富多彩，應(yīng)有盡有。但隨著網(wǎng)絡(luò)速度越來(lái)越快，資源越來(lái)越豐富，網(wǎng)絡(luò)安全問(wèn)題卻也越來(lái)越嚴(yán)峻，網(wǎng)絡(luò)安全防范對(duì)校園網(wǎng)的正常運(yùn)行來(lái)講也就顯得十分重要。</p><p>　　在網(wǎng)絡(luò)安全防范中，防火墻具有著不可或缺的地位。防火墻技術(shù)是在安全技術(shù)當(dāng)中又是最簡(jiǎn)單，也是最有效的解決方案。它不僅過(guò)濾了來(lái)自外部的探

3、測(cè)、掃描、拒絕服務(wù)等攻擊,還能避免內(nèi)網(wǎng)已中木馬的主機(jī)系統(tǒng)信息泄露...</p><p>　　本論文在詳細(xì)分析防火墻工作原理的基礎(chǔ)上，提出一個(gè)功能較為完備、性能較好、防火墻系統(tǒng)的本身也較為安全的防火墻系統(tǒng)的設(shè)計(jì)方案，同時(shí)介紹了具體實(shí)現(xiàn)過(guò)程中的關(guān)鍵步驟和主要方法。該防火墻在通常的包過(guò)濾防火墻基礎(chǔ)之上，又增加了MAC地址綁定和端口映射等功能，使之具有更完備、更實(shí)用、更穩(wěn)固的特點(diǎn)。通過(guò)對(duì)于具有上述特點(diǎn)的防火墻的配置與測(cè)試

4、工作，一方面使得所設(shè)計(jì)的防火墻系統(tǒng)本身具有高效、安全、實(shí)用的特點(diǎn)，另一方面也對(duì)今后在此基礎(chǔ)上繼續(xù)測(cè)試其它網(wǎng)絡(luò)產(chǎn)品作好了一系列比較全面的準(zhǔn)備工作。</p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；校園網(wǎng) </p><p><b>　　ABSTRACT</b></p><p>　　The network technology has got very

5、 great development in recent years, and the online information resources are developing from deficient to rich and colorful too, and fill with everything. But with the development of the internet, the safe of network is

6、becoming more and more severe. The network safe precaution seems very important for normal running of our campus network too</p><p>　　In the network security guard against the firewall is a vital role in tec

7、hnology. the firewall is the safety of technology is the simplest and most effective solution. it is not only from the exploration and scanning services, to attack, we can avoid the net has been in information disclosure

8、 of the wooden host computer...</p><p>　　This thesis put forward a function in detailed analysis firewall working the foundation of the principle more complete function than good, fire wall system of oneself

9、 the design project of the too safe fire wall system, and introduces to realizes in a specific way at the same time key in the process step with main method. That firewall is in the usual a percolation firewall foundatio

10、n on, increased again the MAC address bind to settle the special function in etc., making it have the fresh and cl</p><p>　　Keywords: network security; firewall</p><p><b>　　目 錄</b>

11、;</p><p>　　ABSTRACTI</p><p><b>　　緒論1</b></p><p>　　1計(jì)算機(jī)的安全問(wèn)題2</p><p>　　1.1計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全問(wèn)題2</p><p><b>　　1.2攻擊方法2</b></p><

12、;p><b>　　1.3安全隱患3</b></p><p>　　2防火墻的相關(guān)知識(shí)5</p><p>　　2.1防火墻的有關(guān)知識(shí)5</p><p>　　2.1.1防火墻的概念5</p><p>　　2.1.2防火墻的相關(guān)參數(shù)5</p><p>　　2.1.3防火墻的連接6<

13、/p><p>　　2.2防火墻的分類7</p><p>　　2.2.1 從軟、硬件形式上分7</p><p>　　2.2.2 從防火墻技術(shù)上分………..………………………………………………..8</p><p>　　2.2.3 從防火墻結(jié)構(gòu)分9</p><p>　　2.2.4 按防火墻的應(yīng)用部署位置分9</p

14、><p>　　2.2.5從防火墻性能上分………..……………………………………………… 10</p><p>　　3.校園網(wǎng)面對(duì)的安全威脅11</p><p>　　3.1物理安全11</p><p>　　3.1.1自然威脅11</p><p>　　3.1.2 人為威脅12</p><p>　

15、　3.2 內(nèi)網(wǎng)攻擊分析13</p><p>　　3.2.1 ARP攻擊13</p><p>　　3.2.2.網(wǎng)絡(luò)監(jiān)聽(tīng)13</p><p>　　3.2.3．蠕蟲(chóng)病毒14</p><p>　　3.3外網(wǎng)攻擊14</p><p>　　3.3.1 DOS攻擊14</p><p>　　3.3.

16、2 SYN Attack(SYN攻擊)15</p><p>　　3.3.3 ICMP Flood(UDP泛濫)15</p><p>　　3.3.4 UDP Flood(UDP泛濫)15</p><p>　　3.3.5 Port Scan Attack(端口掃描攻擊)16</p><p>　　4.防火墻在校園網(wǎng)中的配置17</p

17、><p>　　4.1高校校園網(wǎng)防火墻網(wǎng)絡(luò)安全策略17</p><p>　　4.2防火墻的基本配置19</p><p>　　4.3基于內(nèi)網(wǎng)的防火墻功能及配置21</p><p>　　4.3.1 IP與MAC（用戶）綁定功能21</p><p>　　4.3.2 MAP（端口映射）功能22</p><

18、;p>　　4.3.3 NAT（地址轉(zhuǎn)換）功能23</p><p>　　4.4基于外網(wǎng)的防火墻功能及配置23</p><p>　　4.4.1 DOS攻擊防范23</p><p>　　4.4.2訪問(wèn)控制功能24</p><p><b>　　結(jié) 論26</b></p><p><b

19、>　　致 謝27</b></p><p><b>　　參考文獻(xiàn)28</b></p><p><b>　　緒論</b></p><p>　　科學(xué)技術(shù)的飛速發(fā)展，人們已經(jīng)生活在信息時(shí)代。計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)深入到社會(huì)的各個(gè)領(lǐng)域，因特網(wǎng)把“地球村”的居民緊密地連在了一起。近年來(lái)因特網(wǎng)的飛速發(fā)展，給人們的生活

20、帶來(lái)了全新地感受，人類社會(huì)各種活動(dòng)對(duì)信息網(wǎng)絡(luò)地依賴程度已經(jīng)越來(lái)越大。然而，凡事“有利必有一弊”，人們?cè)诘靡嬗谛畔⑺鶐?lái)的新的巨大機(jī)遇的同時(shí)，也不得不面對(duì)信息安全問(wèn)題的嚴(yán)峻考驗(yàn)?！昂诳凸簟本W(wǎng)站被“黑”，“CIH病毒”無(wú)時(shí)無(wú)刻不充斥在網(wǎng)絡(luò)中?！半娮討?zhàn)”已成為國(guó)與國(guó)之間，商家與商家之間的一種重要的攻擊與防衛(wèi)手段。因此信息安全，網(wǎng)絡(luò)安全的問(wèn)題已經(jīng)引起各國(guó)，各部門，各行各業(yè)以及每個(gè)計(jì)算機(jī)用戶的充分重視。因特網(wǎng)提供給人們的不僅僅是精彩，還無(wú)時(shí)無(wú)刻

21、地存在各種各樣的危險(xiǎn)和陷阱。對(duì)此，我們既不能對(duì)那些潛在的危險(xiǎn)不予重視，遭受不必要的損失；也不能因?yàn)楹ε履承┪ｋU(xiǎn)而拒絕因特網(wǎng)的各種有益的服務(wù)，對(duì)個(gè)人來(lái)說(shuō)這樣會(huì)失去了了解世界、展示自己的場(chǎng)所，對(duì)企業(yè)來(lái)說(shuō)還失去了拓展業(yè)務(wù)、提高服務(wù)、增強(qiáng)競(jìng)爭(zhēng)力的機(jī)會(huì)。不斷地提高自身網(wǎng)絡(luò)的安全才是行之有效地辦法。本文作者在導(dǎo)師的指導(dǎo)下，獨(dú)立完成了該防火墻系統(tǒng)方案的配置及安全性能的檢測(cè)工作。本論文在詳細(xì)分析防火墻工作原理</p><p>&

22、lt;b>　　1計(jì)算機(jī)的安全問(wèn)題</b></p><p>　　1.1計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全問(wèn)題</p><p>　　計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)面臨的威脅大體可分為兩種：一是針對(duì)網(wǎng)絡(luò)中信息的威脅；二是針對(duì)網(wǎng)絡(luò)中設(shè)備的威脅，前者為信息安全問(wèn)題，后者為網(wǎng)絡(luò)安全問(wèn)題。計(jì)算機(jī)網(wǎng)絡(luò)信息安全是指計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，即是指計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其

23、系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)可靠正常地運(yùn)行，使網(wǎng)絡(luò)服務(wù)不中斷。計(jì)算機(jī)網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是系統(tǒng)上的信息安全，涉及計(jì)算機(jī)網(wǎng)絡(luò)信息的保密性、完整性、可用性、真實(shí)性和可控性。如果按威脅的對(duì)象、性質(zhì)則可以細(xì)分為四類：第一類是針對(duì)硬件實(shí)體設(shè)施；第二類是針對(duì)軟件、數(shù)據(jù)和文檔資料；第三類是兼對(duì)軟硬件同時(shí)攻擊破壞；第四類是計(jì)算機(jī)犯罪。</p><p>　　1、對(duì)硬件實(shí)體

24、的威脅和攻擊這類威脅和攻擊是對(duì)計(jì)算機(jī)本身和外部設(shè)備乃至網(wǎng)絡(luò)和通信線路而言的，如各種自然災(zāi)害、人為破壞、操作失誤、設(shè)備故障、電磁干擾、被盜和各種不同類型的不安全因素所致的物質(zhì)財(cái)產(chǎn)損失、數(shù)據(jù)資料損失等。2、對(duì)信息的威脅和攻擊這類威脅和攻擊是指計(jì)算機(jī)系統(tǒng)處理所涉及的國(guó)家、部門、各類組織團(tuán)體和個(gè)人的機(jī)密、重要及敏感性信息。由于種種原因，這些信息往往成為敵對(duì)勢(shì)力、不法分子和黑客攻擊的主要對(duì)象。</p><p>　　3、同時(shí)

25、攻擊軟、硬件系統(tǒng)這類情況除了戰(zhàn)爭(zhēng)攻擊、武力破壞以外，最典型的就是病毒的危害。</p><p>　　4、計(jì)算機(jī)犯罪計(jì)算機(jī)犯罪是指一切借助計(jì)算機(jī)技術(shù)或利用暴力、非暴力手段攻擊、破壞計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的不法行為。暴力事件如武力摧毀等，非暴力形式卻多種多樣，如數(shù)據(jù)欺騙、制造陷阱、邏輯炸彈、監(jiān)聽(tīng)竊聽(tīng)、黑客攻擊等等。計(jì)算機(jī)犯罪的損失異常驚人，通常是常規(guī)犯罪的幾十、幾百倍。</p><p><b&g

26、t;　　1.2攻擊方法</b></p><p>　　為了更好地了解一個(gè)安全的防火墻對(duì)網(wǎng)絡(luò)的重要性，首先需要了解一下最常見(jiàn)的攻擊類型。</p><p>　　黑客在動(dòng)機(jī)和技巧上差別很大。有些人是在利益的驅(qū)使下尋求某些特定的信息，有些則是為了控制計(jì)算和通信系統(tǒng)，以供自己使用。但是，也有許多黑客將入侵視為一種娛樂(lè)性游戲，以這種破壞性行為作為他們能夠成功訪問(wèn)的證明。</p>

27、<p>　　不管動(dòng)機(jī)是什么，目的在于入侵某個(gè)網(wǎng)絡(luò)的攻擊在開(kāi)始時(shí)總是試圖映射目標(biāo)網(wǎng)絡(luò)、收集用戶和主機(jī)系統(tǒng)信息并尋找安全漏洞。這種信息收集是通過(guò)一些最常見(jiàn)的工具進(jìn)行的，而具有諷刺意味的是，設(shè)計(jì)這些工具的目的恰恰是用來(lái)幫助網(wǎng)絡(luò)工程師評(píng)詁并提高安全性。</p><p>　　端口掃描，快速探查、E-mail重配置和DNS高區(qū)傳輸僅僅是幾種常見(jiàn)的網(wǎng)絡(luò)探測(cè)方法。主要用于探查哪些系統(tǒng)處于活躍狀態(tài)、提供什么服務(wù)以及采取

28、了什么安全措施。如果安全性不高，通過(guò)簡(jiǎn)單的探測(cè)甚至可以獲得用戶帳號(hào)信息。</p><p>　　分組竊聽(tīng)是在一個(gè)網(wǎng)絡(luò)主機(jī)已受損后所使用的偵察程序，目的是獲取并轉(zhuǎn)移數(shù)據(jù)分組，以進(jìn)行分析。如果由一個(gè)未授權(quán)技術(shù)人員使用這種工具，他可以獲得關(guān)于網(wǎng)絡(luò)使用情況和效率的有用信息。在由黑客使用時(shí)，竊聽(tīng)程序可以獲取用戶名、密碼和系統(tǒng)地址，甚至可以讀取未加密的信息。目前市場(chǎng)上有大量自由件和共享件分組竊聽(tīng)程序，利用這些工具，技術(shù)水平較低

29、的蓄意破壞者也可以收集廣泛的信息，并利用這些信息發(fā)起攻擊。</p><p>　　在獲得了關(guān)于網(wǎng)絡(luò)布局、網(wǎng)絡(luò)保護(hù)措施及其用戶的足夠信息后，攻擊者通常會(huì)進(jìn)一步進(jìn)入防護(hù)不嚴(yán)密的系統(tǒng)，獲得更多信息并利用最初的開(kāi)口進(jìn)而侵入其它系統(tǒng)。根據(jù)攻擊者的動(dòng)機(jī)和技術(shù)水平，他可能會(huì)試圖竊取或毀壞數(shù)據(jù)、轉(zhuǎn)移網(wǎng)絡(luò)資產(chǎn)供自己使用（如長(zhǎng)途電話服務(wù)）或只是使網(wǎng)絡(luò)停運(yùn)。常見(jiàn)的攻擊包括：</p><p>　　IP電子欺騙，即利

30、用一個(gè)內(nèi)部地址隱藏外部流量的真正來(lái)源。</p><p>　　應(yīng)用級(jí)攻擊，這種攻擊的目標(biāo)為運(yùn)行某些網(wǎng)絡(luò)服務(wù)（如e-mail）的服務(wù)器軟件。通常這些攻擊會(huì)利用舊的軟件版本的安全漏洞使入侵者控制服務(wù)或服務(wù)器本身。</p><p>　　特洛伊馬攻擊利用偽裝的軟件欺騙用戶或系統(tǒng)，令其提供有用的信息或降低安全屏障。典型的例子是一個(gè)替代性的網(wǎng)絡(luò)登錄操作，它提示用戶輸入其用戶名和密碼，然后再將該信息發(fā)給一

31、個(gè)黑客。如特洛伊馬攻擊中還出現(xiàn)了“我愛(ài)你”和“melissa”電子郵件攻擊。其它還包括Java應(yīng)用和嵌入Web頁(yè)面的ActiveX控制，用于在傳輸一個(gè)明顯無(wú)害的頁(yè)面時(shí)予以執(zhí)行。這些攻擊特別具有破壞性，因?yàn)榫幊陶Z(yǔ)言獨(dú)立于平臺(tái)的特性使它們能夠擴(kuò)散到所有連接的系統(tǒng)。</p><p>　　拒絕服務(wù)攻擊（如SYN洪水），這些攻擊利用網(wǎng)絡(luò)通信協(xié)議用不完整的服務(wù)請(qǐng)求占用主機(jī)，從而阻擋了合法的請(qǐng)求。</p><

32、;p><b>　　1.3安全隱患</b></p><p>　　1、黑客黑客是指一些以訪問(wèn)其他人的計(jì)算機(jī)或者網(wǎng)絡(luò)為樂(lè)的計(jì)算機(jī)愛(ài)好者。</p><p>　　盡管很多黑客只滿足于闖入別人的系統(tǒng)，并留下自己的“腳印”，但是有些“駭客”則懷有很多的惡意，他們會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)崩潰，竊取或者損壞保密的數(shù)據(jù)，竄改網(wǎng)頁(yè)，甚至中斷系統(tǒng)的正常工作。</p><p&g

33、t;　　不是所有的黑客都是天才。很多人只需要使用從網(wǎng)上找到的黑客工具，稍微了解一下這些工具的工作方式和作用，就可以發(fā)動(dòng)攻擊。</p><p>　　2、沒(méi)有安全意識(shí)的師生</p><p>　　當(dāng)教職工關(guān)注于他們各自的工作時(shí)，他們可能會(huì)忽略標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全規(guī)則。例如，他們可能會(huì)選擇某個(gè)很容易通過(guò)簡(jiǎn)單的常識(shí)或者密碼破解工具猜測(cè)或者破解的密碼。教職工還可能會(huì)無(wú)意地收發(fā)和傳輸病毒。病毒進(jìn)入系統(tǒng)的最常見(jiàn)

34、途徑就是通過(guò)受到感染的軟件或者從互聯(lián)網(wǎng)上下載受到感染的文件。</p><p>　　令人驚訝的是，企事業(yè)單位還必須注意人為事故的影響。無(wú)論員工是計(jì)算機(jī)新手還是計(jì)算機(jī)行家，都有可能會(huì)犯錯(cuò)誤，例如錯(cuò)誤地安裝殺毒軟件或者偶然忽略了關(guān)于安全威脅的警報(bào)。</p><p><b>　　3、心懷不滿的學(xué)生</b></p><p>　　比無(wú)心的錯(cuò)誤更加讓人擔(dān)心的

35、是某些惱怒的或者意圖報(bào)復(fù)的學(xué)生可能對(duì)學(xué)校造成的損害。這些學(xué)生通常是那些被批評(píng)、記過(guò)或者降級(jí)的學(xué)生，因不滿情緒可能會(huì)報(bào)復(fù)性地用病毒感染學(xué)校的網(wǎng)絡(luò)，或者有意刪除一些重要的文件。</p><p>　　顯然這些學(xué)生非常危險(xiǎn)，因?yàn)樗麄兺ǔ１容^了解本學(xué)校網(wǎng)絡(luò)以及其中所含信息的價(jià)值，重要信息的位置以及保護(hù)這些信息的安全措施。</p><p>　　4、喜歡打聽(tīng)消息的企事業(yè)員</p><

36、p>　　工無(wú)論員工對(duì)企事業(yè)單位是否滿意，他們中還有些人可能會(huì)很好奇，或者喜歡惡作劇。比如在企業(yè)中充當(dāng)商業(yè)間諜的員工，他們會(huì)在未經(jīng)授權(quán)的情況下訪問(wèn)機(jī)密數(shù)據(jù)，并將這些信息交給企事業(yè)的競(jìng)爭(zhēng)對(duì)手?；蛘咚麄兛赡苤皇呛芎闷妫瑹嶂杂谠L問(wèn)一些保密的數(shù)據(jù)，例如財(cái)務(wù)信息，同事之間發(fā)送的浪漫的電子郵件——或者工資的詳細(xì)信息。</p><p>　　這些行為中有些是無(wú)害的。但是另外一些行為，例如事先查看財(cái)務(wù)、醫(yī)療和人力資源數(shù)據(jù)，則會(huì)

37、導(dǎo)致非常嚴(yán)重的后果。它們可能會(huì)破壞企事業(yè)的聲譽(yù)，提高單位的成本和財(cái)務(wù)責(zé)任。</p><p><b>　　2防火墻的相關(guān)知識(shí)</b></p><p>　　Internet的發(fā)展給政府機(jī)關(guān)、企事業(yè)單位帶來(lái)了革命性的改革和開(kāi)放。他們正努力通過(guò)利用Internet來(lái)提高辦事效率和市場(chǎng)反應(yīng)速度，以便更具競(jìng)爭(zhēng)力。通過(guò)Internet，企事業(yè)單位可以從異地取回重要數(shù)據(jù)，同時(shí)又要面對(duì)

38、Internet開(kāi)放帶來(lái)的數(shù)據(jù)安全的新挑戰(zhàn)和新危險(xiǎn)：即移動(dòng)用戶、異地員工和內(nèi)部員工的安全訪問(wèn)；以及保護(hù)企事業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵。因此企事業(yè)必須加筑安全的“戰(zhàn)壕”，而這個(gè)“戰(zhàn)壕”就是防火墻。本章主要從安全角度介紹防火墻的相關(guān)知識(shí)。</p><p>　　2.1防火墻的有關(guān)知識(shí)</p><p>　　2.1.1防火墻的概念</p><p>　　防火墻一詞最早

39、源于建筑行業(yè)，當(dāng)構(gòu)筑和使用木制結(jié)構(gòu)房屋的時(shí)候，為防止火災(zāi)的發(fā)生和蔓延，人們將堅(jiān)固的石塊堆砌在房屋周圍作為屏障，這種防護(hù)構(gòu)筑物被稱之為防火墻。在今日的電子信息世界里，人們借助了這個(gè)概念，使用防火墻來(lái)保護(hù)敏感的數(shù)據(jù)不被竊取和篡改，不過(guò)這些防火墻是由先進(jìn)的計(jì)算機(jī)系統(tǒng)構(gòu)成的。</p><p>　　今天的防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，隔在被保護(hù)的內(nèi)部網(wǎng)與不安全的非信任網(wǎng)絡(luò)之間，用來(lái)

40、保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)免受非授權(quán)人員的騷擾與黑客的入侵。世界上最大的、不安全的非信任網(wǎng)絡(luò)就是我們目前廣泛使用的互聯(lián)網(wǎng)絡(luò)——Internet網(wǎng)絡(luò)，近年來(lái)媒體報(bào)導(dǎo)的很多黑客入侵事件都是通過(guò)互聯(lián)網(wǎng)絡(luò)進(jìn)行攻擊的。</p><p>　　防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企事業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企事業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入

41、網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。</p><p>　　在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。</p><p>　　大部分防火墻都是硬件產(chǎn)品，也有軟件產(chǎn)品，如果是軟件類型防火墻還需要一個(gè)軟件平臺(tái)即一個(gè)服務(wù)器，但是目前我們看到的防火墻都是硬

42、件防火墻。在外形上、在高度上、在大小上類似于路由器設(shè)備，是一臺(tái)特殊的計(jì)算機(jī)。在防火墻的后面有許多接口：串口（又叫Console口，可利用串口線對(duì)防火墻進(jìn)行初始化配置）、三個(gè)標(biāo)準(zhǔn)網(wǎng)絡(luò)接口（10M、100M和自適應(yīng)的網(wǎng)絡(luò)接口）、擴(kuò)展槽（標(biāo)配是三個(gè)，一般防火墻都可以擴(kuò)展到十個(gè)或十二個(gè)，接口類型也可根據(jù)需要進(jìn)行定制，如果擴(kuò)展較多，機(jī)箱會(huì)較高可達(dá)到2U或4U）、電源插座和電源開(kāi)關(guān)。</p><p>　　2.1.2防火墻的相

43、關(guān)參數(shù)</p><p>　　1．樣式：標(biāo)準(zhǔn)1U——4U機(jī)箱，根據(jù)接口數(shù)量、處理性能等不同而異</p><p>　　2．網(wǎng)絡(luò)接口數(shù)量：標(biāo)準(zhǔn)一般配置3個(gè)10/100M自適應(yīng)接口，根據(jù)需要可以定制更多接口，有些還可熱拔插</p><p>　　3．網(wǎng)絡(luò)接口類型：標(biāo)準(zhǔn)一般是10/100-Base-TX接口，也有其他類型接口</p><p>　　4．電源

44、：一般是單電源，特殊場(chǎng)合可以配置雙電源，但需要定制</p><p>　　5．硬件平臺(tái)架構(gòu)：大多基于X86工控平臺(tái)，也有基于NP加速的產(chǎn)品</p><p>　　6．處理器：多數(shù)的是CPU，極少數(shù)是CPU+NPU7．軟件平臺(tái)：Windows NT，也有直接基于開(kāi)放LINUX架構(gòu)改造，使用免費(fèi)代碼構(gòu)建</p><p>　　2.1.3防火墻的連接</p>&l

45、t;p>　　1、防火墻在網(wǎng)絡(luò)中的位置：</p><p>　　圖2-1防火墻在網(wǎng)絡(luò)中的位置</p><p><b>　　2．防火墻連線</b></p><p>　　圖2-2防火墻邏輯位置示意圖</p><p><b>　　2.2防火墻的分類</b></p><p>　　2

46、.2.1 從軟、硬件形式上分 　　 如果從防火墻的軟、硬件形式來(lái)分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級(jí)防火墻?！　?lt;/p><p>　　1）軟件防火墻。 　　軟件防火墻運(yùn)行于特定的 計(jì)算 機(jī)上，它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持，一般來(lái)說(shuō)這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個(gè)人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防

47、火墻最出名的莫過(guò)于Checkpoint。使用這類防火墻，需要網(wǎng)管對(duì)所工作的操作系統(tǒng)平臺(tái)比較熟悉。 </p><p>　　2）硬件防火墻。 　　這里說(shuō)的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對(duì)芯片級(jí)防火墻說(shuō)的了。它們最大的差別在于是否基于專用的硬件平臺(tái)。目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)，就是說(shuō)，它們和普通的家庭用的PC沒(méi)有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)

48、行一些經(jīng)過(guò)裁剪和簡(jiǎn)化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。 值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因此依然會(huì)受到OS（操作系統(tǒng)）本身的安全性影響。 3）芯片級(jí)防火墻。 　　芯片級(jí)防火墻基于專門的硬件平臺(tái)，沒(méi)有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于

49、是專用OS（操作系統(tǒng)），因此防火墻本身的漏洞比較少，不過(guò)價(jià)格相對(duì)比較高昂。 2.2.2 從防火墻技術(shù)分 　　 防火墻技術(shù)雖然出現(xiàn)了許多，但總體來(lái)講可分為“包過(guò)濾型”和“應(yīng)用代理型”兩大類。前者以以色列的Checkpoint防火墻和美國(guó)Cisco公司的PIX防</p><p>　　（1）包過(guò)濾（Packet filtering）型。 　　包過(guò)濾方式是一種通用、廉價(jià)和有效的安全手段。之所以通用，是因?yàn)樗皇轻?/p>

50、對(duì)各個(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式，適用于所有網(wǎng)絡(luò)服務(wù)；之所以廉價(jià)，是因?yàn)榇蠖鄶?shù)路由器都提供數(shù)據(jù)包過(guò)濾功能，所以這類防火墻多數(shù)是由路由器集成的；之所以有效，是因?yàn)樗芎艽蟪潭壬蠞M足了絕大多數(shù) 企業(yè) 安全要求。 　　在整個(gè)防火墻技術(shù)的 發(fā)展 過(guò)程中，包過(guò)濾技術(shù)出現(xiàn)了兩種不同版本，稱為“第一代靜態(tài)包過(guò)濾”和“第二代動(dòng)態(tài)包過(guò)濾”。 　　包過(guò)濾方式的優(yōu)點(diǎn)是不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序，因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無(wú)關(guān)。但其弱

51、點(diǎn)也是明顯的：過(guò)濾判別的依據(jù)只是網(wǎng)絡(luò)層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過(guò)濾器中，過(guò)濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會(huì)受到很大地影響；由于缺少上下文關(guān)聯(lián)信息，不能有效地過(guò)濾如UDP、RPC（遠(yuǎn)程過(guò)程調(diào)用）一類的協(xié)議；另外，大多數(shù)過(guò)濾器中缺少審計(jì)和報(bào)警機(jī)制，它只能依據(jù)包頭信息，而不能對(duì)用戶身份進(jìn)行驗(yàn)證，很容易受到“地址欺騙型”攻擊。對(duì)安全管理人員素質(zhì)要求高，建立安全規(guī)則時(shí)，必須對(duì)協(xié)議本身</

52、p><p>　　2.2.3 從防火墻結(jié)構(gòu)分 　　從防火墻結(jié)構(gòu)上分，防火墻主要有：?jiǎn)我恢鳈C(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。 　　單一主機(jī)防火墻是最為傳統(tǒng)的防火墻，獨(dú)立于其它網(wǎng)絡(luò)設(shè)備，它位于網(wǎng)絡(luò)邊界。 　　這種防火墻其實(shí)與一臺(tái)計(jì)算機(jī)結(jié)構(gòu)差不多（如下圖），同樣包括CPU、內(nèi)存、硬盤等基本組件，主板更是不能少的，且主板上也有南、北橋芯片。它與一般計(jì)算機(jī)最主要的區(qū)別就是一般防火墻都集成了兩個(gè)以上的以太網(wǎng)卡，

53、因?yàn)樗枰B接一個(gè)以上的內(nèi)、外部網(wǎng)絡(luò)。其中的硬盤就是用來(lái)存儲(chǔ)防火墻所用的基本程序，如包過(guò)濾程序和代理服務(wù)器程序等，有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此，但我們不能說(shuō)它就與我們平常的PC機(jī)一樣，因?yàn)樗墓ぷ餍再|(zhì)，決定了它要具備非常高的穩(wěn)定性、實(shí)用性，具備非常高的系統(tǒng)吞吐性能。正因如此，看似與PC機(jī)差不多的配置，價(jià)格甚遠(yuǎn)。 　　隨著防火墻技術(shù)的 發(fā)展 及應(yīng)用需求的提高，原來(lái)作為單一主機(jī)的防火墻現(xiàn)在已發(fā)生了許多變化。最明顯的變化

54、就是現(xiàn)在許多中、高檔的路由器中已集成了防火墻功能，還有的防火墻已不再是一個(gè)獨(dú)立的硬件實(shí)體，而是由多個(gè)軟、硬件組成的系統(tǒng)，這種防火墻，俗稱“分布式防火墻”。 </p><p>　　2.2.4 按防火墻的應(yīng)用部署位置分　　按防火墻的應(yīng)用部署位置分，可以分為邊界防火墻、個(gè)人防火墻和混合防火墻三大類。 　　邊界防火墻是最為傳統(tǒng)的，它們于內(nèi)、外部網(wǎng)絡(luò)的邊界，所起的作用的對(duì)內(nèi)、外部網(wǎng)絡(luò)實(shí)施隔離，保護(hù)邊界內(nèi)部網(wǎng)絡(luò)。這類防火

55、墻一般都屬于硬件類型，價(jià)格較貴，性能較好。 　　個(gè)人防火墻安裝于單臺(tái)主機(jī)中，防護(hù)的也只是單臺(tái)主機(jī)。這類防火墻應(yīng)用于廣大的個(gè)人用戶，通常為軟件防火墻，價(jià)格最便宜，性能也最差。 　　混合式防火墻可以說(shuō)就是“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統(tǒng)，由若干個(gè)軟、硬件組件組成，分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機(jī)之間，既對(duì)內(nèi)、外部網(wǎng)絡(luò)之間通信進(jìn)行過(guò)濾，又對(duì)網(wǎng)絡(luò)內(nèi)部各主機(jī)間的通信進(jìn)行過(guò)濾。它屬于最新的防火墻技術(shù)之一，性能最好，價(jià)

56、格也最貴。 2.2.5 按防火墻性能分 　　按防火墻的性能來(lái)分可以分為百兆級(jí)防火墻和千兆級(jí)防火墻兩類。 　　因?yàn)榉阑饓νǔＮ挥诰W(wǎng)絡(luò)邊界，所以不可能只是十兆級(jí)的。這主要是指防火的通道帶寬（Bandwidth），或者說(shuō)是吞吐率。當(dāng)然通道帶寬越寬，性能越高，這樣的防火墻因包過(guò)濾或應(yīng)用代理所產(chǎn)生的延時(shí)也越小，對(duì)整個(gè)網(wǎng)絡(luò)通信</p><p>　　3.校園網(wǎng)面對(duì)的安全威脅</p><p><

57、;b>　　3.1物理安全</b></p><p>　　保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全是整個(gè)網(wǎng)絡(luò)安全的前提。計(jì)算機(jī)網(wǎng)絡(luò)的物理安全是在物理介質(zhì)層次上數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)訪問(wèn)安全。計(jì)算機(jī)網(wǎng)絡(luò)的物理安全包括構(gòu)成網(wǎng)絡(luò)的相關(guān)基礎(chǔ)設(shè)施的安全，網(wǎng)絡(luò)的運(yùn)行環(huán)境比如溫度、濕度、電源等，自然環(huán)境的影響以及人的因素等對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的物理安全和運(yùn)行的影響。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水

58、災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。其目的是保護(hù)計(jì)算機(jī)系統(tǒng)、web服務(wù)器、打印機(jī)等硬件實(shí)體和網(wǎng)絡(luò)通信設(shè)備免受自然災(zāi)害、人為破壞和搭線攻擊等。</p><p><b>　　3.1.1自然威脅</b></p><p>　　自然威脅主要是指由于自然原因造成的對(duì)網(wǎng)絡(luò)設(shè)備硬件的損壞和網(wǎng)絡(luò)運(yùn)行的影響。主要包括以下幾方面：</p>

59、<p><b>　?、僮匀粸?zāi)害</b></p><p>　　自然災(zāi)害對(duì)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備或其它相關(guān)設(shè)施造成的損壞，或?qū)W(wǎng)絡(luò)運(yùn)行造成的影響。如：雷擊、火災(zāi)、水災(zāi)、地震等不可抗力造成的網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)通信線路的損壞，大霧對(duì)無(wú)線傳輸?shù)挠绊憽?lt;/p><p>　?、谡Ｊ褂们闆r下的設(shè)備損壞</p><p>　　在網(wǎng)絡(luò)設(shè)中，所有的網(wǎng)絡(luò)設(shè)備都是電子

60、設(shè)備，任何電子元件也都會(huì)老化，因此由電子元件構(gòu)成的網(wǎng)絡(luò)設(shè)備都一個(gè)有限的正常使用年限，即使嚴(yán)格按照設(shè)備的使用環(huán)境要求使用，在設(shè)備達(dá)到使用壽命后均可能出現(xiàn)硬件故障或不穩(wěn)定現(xiàn)象，從而威脅計(jì)算機(jī)網(wǎng)絡(luò)的安全運(yùn)行。</p><p><b>　　③設(shè)備運(yùn)行環(huán)境</b></p><p>　　網(wǎng)絡(luò)的運(yùn)行是不間斷的。保證網(wǎng)絡(luò)設(shè)備的安全運(yùn)行，運(yùn)行環(huán)境是一個(gè)很重要的因素。任何計(jì)算機(jī)網(wǎng)絡(luò)都需要

61、一個(gè)可靠的運(yùn)行環(huán)境來(lái)保證其可靠地運(yùn)行，其中主要包括周邊環(huán)境和電源系統(tǒng)兩大要素。</p><p><b>　　1)周邊環(huán)境</b></p><p>　　我們所使用的網(wǎng)絡(luò)交換設(shè)備一般都有自己的散熱系統(tǒng)，所以環(huán)境因素往往被一些管理員所忽略。隨著使用周期的增長(zhǎng)，一些設(shè)備的散熱系統(tǒng)損壞，或在潮濕的天氣環(huán)境下積塵較多而引起設(shè)備運(yùn)行不穩(wěn)定，都是不安全因素。因此網(wǎng)絡(luò)設(shè)備的安放都需要比

62、較良好的環(huán)境，所以校園網(wǎng)的網(wǎng)絡(luò)中心機(jī)房一般都配備調(diào)濕調(diào)溫并經(jīng)常保潔的環(huán)境，以保證設(shè)備的運(yùn)行。在分節(jié)點(diǎn)的網(wǎng)絡(luò)設(shè)備，可以采取定期維</p><p>　　護(hù)保養(yǎng)的措施或分別設(shè)置空調(diào)設(shè)備。</p><p><b>　　2)電源系統(tǒng)</b></p><p>　　電源系統(tǒng)的穩(wěn)定可靠直接影響到網(wǎng)絡(luò)的安全運(yùn)行。如果要保證網(wǎng)絡(luò)的不間斷，就必須保證電源系統(tǒng)的穩(wěn)定和

63、不間斷。校園網(wǎng)的電源系統(tǒng)可分為兩部分，一部分主要用于網(wǎng)絡(luò)設(shè)備和主機(jī)，由于這些網(wǎng)絡(luò)設(shè)備和主機(jī)對(duì)電源系統(tǒng)要求較高，且不能間斷，所以這部分的供電系統(tǒng)就采用UPS（不間斷電源系統(tǒng)），而且最好是采用在線式的，這樣可以充分隔離電力系統(tǒng)對(duì)網(wǎng)絡(luò)設(shè)備的干擾，保證網(wǎng)絡(luò)的運(yùn)行。另一部分主要用于空調(diào)設(shè)備，其特點(diǎn)是電源容量要求大，可短時(shí)間間斷，但由于我們部分學(xué)校所使用的空調(diào)系統(tǒng)在恢復(fù)供電后都不能自動(dòng)啟動(dòng)，所以必須讓管理人員掌握電源的通斷信息。以上海師大校園網(wǎng)為例

64、，網(wǎng)絡(luò)中心通過(guò)對(duì)UPS電源監(jiān)控系統(tǒng)的整合，使電源通斷信息的變化會(huì)及時(shí)地反映到網(wǎng)管人員的手機(jī)上，這樣中心工作人員就能及時(shí)了解突發(fā)情況。</p><p>　　3.1.2 人為威脅</p><p>　　人為威脅是指由于人為因素造成的對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的物理安全威脅，包括故意人為和無(wú)意人為威脅。</p><p>　　人為故意威脅是指人為主觀威脅網(wǎng)絡(luò)的物理安全。最常見(jiàn)的是人為通過(guò)物

65、理接近的方式威脅網(wǎng)絡(luò)安全，物理接近是其它攻擊行為的基礎(chǔ)。如通過(guò)搭線連接獲取網(wǎng)絡(luò)上的數(shù)據(jù)信息；或者潛入重要的安全部門竊取口令、密鑰等重要的網(wǎng)絡(luò)安全信息；或者直接破壞網(wǎng)絡(luò)的物理基礎(chǔ)設(shè)施（盜割網(wǎng)絡(luò)通信線纜、盜取或破壞網(wǎng)絡(luò)設(shè)備等）。這些人為的故意破壞行為嚴(yán)重威脅網(wǎng)絡(luò)的安全運(yùn)行。</p><p>　　人為無(wú)意威脅是人為因素造成但不是故意的物理安全威脅。即使是合法的、技術(shù)過(guò)硬的操作人員，由于從時(shí)間疲勞工作或者其它身體因素的影

66、響，或者自身安全意識(shí)不強(qiáng)都可能產(chǎn)生失誤和意外疏忽。這些意外和疏忽也可能影響網(wǎng)絡(luò)的安全運(yùn)行，有時(shí)還會(huì)造成重大的損失，如刪除了重要的網(wǎng)絡(luò)配置文件、格式化了存儲(chǔ)有重要數(shù)據(jù)或信息的分區(qū)或整個(gè)硬盤、沒(méi)有采取防靜電措施插拔硬件等等</p><p>　　3.2 內(nèi)網(wǎng)攻擊分析</p><p>　　3.2.1 ARP攻擊</p><p>　　ARP攻擊就是通過(guò)偽造IP地址和MAC地址

67、實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。</p><p>　　ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺(tái)計(jì)算機(jī)感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過(guò)“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。</p&g

68、t;<p>　　某機(jī)器A要向主機(jī)B發(fā)送報(bào)文，會(huì)查詢本地的ARP緩存表，找到B的IP地址對(duì)應(yīng)的MAC地址后，就會(huì)進(jìn)行數(shù)據(jù)傳輸。如果未找到，則廣播A一個(gè)ARP請(qǐng)求報(bào)文（攜帶主機(jī)A的IP地址IA——物理地址PA），請(qǐng)求IP地址為IB的主機(jī)B回答物理地址PB。網(wǎng)上所有主機(jī)包括B都收到ARP請(qǐng)求，但只有主機(jī)B識(shí)別自己的IP地址，于是向A主機(jī)發(fā)回一個(gè)ARP響應(yīng)報(bào)文。其中就包含有B的MAC地址，A接收到B的應(yīng)答后，就會(huì)更新本地的ARP緩

69、存。接著使用這個(gè)MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。因此，本地高速緩存的這個(gè)ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個(gè)緩存是動(dòng)態(tài)的。</p><p>　　3.2.2.網(wǎng)絡(luò)監(jiān)聽(tīng)</p><p>　　在網(wǎng)絡(luò)中，當(dāng)信息進(jìn)行傳播的時(shí)候，可以利用工具，將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽(tīng)的模式，便可將網(wǎng)絡(luò)中正在傳播的信息截獲或者捕獲到，從而進(jìn)行攻擊。</p><p>　　網(wǎng)絡(luò)監(jiān)聽(tīng)在網(wǎng)絡(luò)中

70、的任何一個(gè)位置模式下都可實(shí)施行。而黑客一般都是利用網(wǎng)絡(luò)監(jiān)聽(tīng)來(lái)截取用戶口令。比如當(dāng)有人占領(lǐng)了一臺(tái)主機(jī)之后，那么他要再想進(jìn)將戰(zhàn)果擴(kuò)大到這個(gè)主機(jī)所在的整個(gè)局域網(wǎng)話，監(jiān)聽(tīng)往往是他們選擇的捷徑。很多時(shí)候我在各類安全論壇上看到一些初學(xué)的愛(ài)好者，在他們認(rèn)為如果占領(lǐng)了某主機(jī)之后那么想進(jìn)入它的內(nèi)部網(wǎng)應(yīng)該是很簡(jiǎn)單的。其實(shí)非也，進(jìn)入了某主機(jī)再想轉(zhuǎn)入它的內(nèi)部網(wǎng)絡(luò)里的其它機(jī)器也都不是一件容易的事情。因?yàn)槟愠艘玫剿麄兊目诹钪膺€有就是他們共享的絕對(duì)路徑，當(dāng)然了

71、，這個(gè)路徑的盡頭必須是有寫的權(quán)限了。在這個(gè)時(shí)候，運(yùn)行已經(jīng)被控制的主機(jī)上的監(jiān)聽(tīng)程序就會(huì)有大收效。不過(guò)卻是一件費(fèi)神的事情，而且還需要當(dāng)事者有足夠的耐心和應(yīng)變能力。主要包括： </p><p><b>　　數(shù)據(jù)幀的截獲 </b></p><p>　　對(duì)數(shù)據(jù)幀的分析歸類 </p><p>　　dos攻擊的檢測(cè)和預(yù)防 </p><p&

72、gt;　　IP冒用的檢測(cè)和攻擊 </p><p>　　在網(wǎng)絡(luò)檢測(cè)上的應(yīng)用 </p><p>　　對(duì)垃圾郵件的初步過(guò)濾</p><p>　　3.2.3．蠕蟲(chóng)病毒</p><p>　　3.2.3.1蠕蟲(chóng)病毒攻擊原理</p><p>　　蠕蟲(chóng)也是一種病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通過(guò)自己指令的

73、執(zhí)行，將自己的指令代碼寫到其他程序的體內(nèi)，而被感染的文件就被稱為”宿主”，例如，windows下可執(zhí)行文件的格式為pe格式(Portable Executable)，當(dāng)需要感染pe文件時(shí)，在宿主程序中，建立一個(gè)新節(jié)，將病毒代碼寫到新節(jié)中，修改的程序入口點(diǎn)等，這樣，宿主程序執(zhí)行的時(shí)候，就可以先執(zhí)行病毒程序，病毒程序運(yùn)行完之后，在把控制權(quán)交給宿主原來(lái)的程序指令?？梢?jiàn)，病毒主要是感染文件，當(dāng)然也還有像DIRII這種鏈接型病毒，還有引導(dǎo)區(qū)病毒。

74、引導(dǎo)區(qū)病毒他是感染磁盤的引導(dǎo)區(qū)，如果是軟盤被感染，這張軟盤用在其他機(jī)器上后，同樣也會(huì)感染其他機(jī)器，所以傳播方式也是用軟盤等方式。</p><p>　　3.2.3.2蠕蟲(chóng)病毒入侵過(guò)程</p><p>　　蠕蟲(chóng)病毒攻擊主要分成三步：</p><p>　?、賿呙瑁河扇湎x(chóng)的掃描功能模塊負(fù)責(zé)探測(cè)存在漏洞的主機(jī)。當(dāng)程序向某個(gè)主機(jī)發(fā)送探測(cè)漏洞的信息并收到成功的反饋信息后，就得到一

75、個(gè)可傳播的對(duì)象。</p><p>　?、诠簦汗裟K按漏洞攻擊步驟自動(dòng)攻擊步驟1中找到的對(duì)象，取得該主機(jī)的權(quán)限（一般為管理員權(quán)限），獲得一個(gè)shell。</p><p>　?、蹚?fù)制：復(fù)制模塊通過(guò)原主機(jī)和新主機(jī)的交互將蠕蟲(chóng)程序復(fù)制到新主機(jī)并啟動(dòng)。</p><p><b>　　3.3外網(wǎng)攻擊</b></p><p>　　3

76、.3.1 DOS攻擊</p><p>　　DoS 攻 擊 (Denial of Service，簡(jiǎn)稱DOS)即拒絕服務(wù)攻擊，是指攻擊者通過(guò)消耗受害網(wǎng)絡(luò)的帶寬，消耗受害主機(jī)的系統(tǒng)資源，發(fā)掘編程缺陷，提供虛假路由或DNS信息，使被攻擊目標(biāo)不能正常工作。實(shí)施DoS攻擊的工具易得易用，而且效果明顯。一般的DoS攻擊是指一臺(tái)主機(jī)向目的主機(jī)發(fā)送攻擊分組(1:1)，它的威力對(duì)于帶寬較寬的站點(diǎn)幾乎沒(méi)有影響;而分布式拒絕服務(wù)攻擊(

77、Distributed Denial of Service，簡(jiǎn)稱DDoS)同時(shí)發(fā)動(dòng)分布于全球的幾千臺(tái)主機(jī)對(duì)目的主機(jī)攻擊(m:n ),即使對(duì)于帶寬較寬的站點(diǎn)也會(huì)產(chǎn)生致命的效果。隨著電子商業(yè)在電子經(jīng)濟(jì)中扮演越來(lái)越重要的角色，隨著信息戰(zhàn)在軍事領(lǐng)域應(yīng)用的日益廣泛，持續(xù)的DoS攻擊既可能使某些機(jī)構(gòu)破產(chǎn)，也可能使我們?cè)谛畔?zhàn)中不戰(zhàn)而敗。可以毫不夸張地說(shuō)，電子恐怖活動(dòng)的時(shí)代已經(jīng)來(lái)臨。</p><p>　　DoS 攻 擊 中，由

78、于攻擊者不需要接收來(lái)自受害主機(jī)或網(wǎng)絡(luò)的回應(yīng)，它的IP包的源地址就常常是偽造的。特別是對(duì)DDoS攻擊，最后實(shí)施攻擊的若干攻擊器本身就是受害者。若在防火墻中對(duì)這些攻擊器地址進(jìn)行IP包過(guò)濾，則事實(shí)上造成了新的DDS攻擊。為有效地打擊攻擊者，必須設(shè)法追蹤到攻擊者的真實(shí)地址和身份?！　?lt;/p><p>　　3.3.2 SYN Attack(SYN攻擊)</p><p>　　每一個(gè)TCP連接的建立都要

79、經(jīng)過(guò)三次握手的過(guò)程：A向B發(fā)送SYN封包：B用SYN/ACK封包進(jìn)行響應(yīng)；然后A又用ACK封包進(jìn)行響應(yīng)。攻擊者用偽造的IP地址（不存在或不可到達(dá)的地址）發(fā)送大量的SYN封包至防火墻的某一接口，防火墻用SYN/ACK封包對(duì)這些地址進(jìn)行響應(yīng)，然后等待響應(yīng)的ACK封包。因?yàn)镾YN/ACK封包被發(fā)送到不存在或不可到達(dá)的IP地址，所以他們不會(huì)得到響應(yīng)并最終超時(shí)。當(dāng)網(wǎng)絡(luò)中充滿了無(wú)法完成的連接請(qǐng)求SYN封包，以至于網(wǎng)絡(luò)無(wú)法再處理合法的連接請(qǐng)求，從而導(dǎo)

80、致拒絕服務(wù)（DOS）時(shí)，就發(fā)生了SYN泛濫攻擊。防火墻可以對(duì)每秒種允許通過(guò)防火墻的SYN封包數(shù)加以限制。當(dāng)達(dá)到該臨界值時(shí)，防火墻開(kāi)始代理進(jìn)入的SYN封包，為主機(jī)發(fā)送SYN/ACK響應(yīng)并將未完成的連接存儲(chǔ)在連接隊(duì)列中，未完成的連接保留在隊(duì)列中，直到連接完成或請(qǐng)求超時(shí)。</p><p>　　3.3.3 ICMP Flood(UDP泛濫)</p><p>　　當(dāng)ICMP PING產(chǎn)生的大量回應(yīng)請(qǐng)

81、求超出了系統(tǒng)最大限度，以至于系統(tǒng)耗費(fèi)所有資源來(lái)進(jìn)行響應(yīng)直至再也無(wú)法處理有效的網(wǎng)絡(luò)信息流時(shí)，就發(fā)生了ICMP泛濫。當(dāng)啟用ICMP泛濫保護(hù)功能時(shí)，可以設(shè)置一個(gè)臨界值，一旦超過(guò)了此值就會(huì)調(diào)用ICMP泛濫攻擊保護(hù)功能。（缺省的臨界值為每秒1000個(gè)封包。）如果超過(guò)了該臨界值。NETSCREEN設(shè)備在該秒余下的時(shí)間和下一秒內(nèi)會(huì)忽略其他的ICMP回應(yīng)要求。</p><p>　　3.3.4 UDP Flood(UDP泛濫)&l

82、t;/p><p>　　與ICMP泛濫相似，當(dāng)以減慢系統(tǒng)速度為目的向該點(diǎn)發(fā)送UDP封包，以至于系統(tǒng)再也無(wú)法處理有效的連接時(shí)，就發(fā)生了UDP泛濫，當(dāng)啟用了UDP泛濫保護(hù)功能時(shí)，可以設(shè)置一個(gè)臨界值，一旦超過(guò)此臨界值就回調(diào)用UDP泛濫攻擊保護(hù)功能。如果從一個(gè)或多個(gè)源向單個(gè)目標(biāo)發(fā)送的UDP泛濫攻擊超過(guò)了此臨界值，防火墻在該秒余下的時(shí)間和下一秒內(nèi)會(huì)忽略其他到該目標(biāo)的UDP封包。</p><p>　　3.3

83、.5 Port Scan Attack(端口掃描攻擊)</p><p>　　當(dāng)一個(gè)源IP地址在定義的時(shí)間間隔內(nèi)（缺省值為5000微秒）向位于相同目標(biāo)IP地址10個(gè)不同的端口發(fā)送IP封包時(shí)，就會(huì)發(fā)生端口掃描攻擊。這個(gè)方案的目的是掃描可用的服務(wù)，希望會(huì)有一個(gè)端口響應(yīng)，因此識(shí)別出作為目標(biāo)的服務(wù)。防火墻在內(nèi)部記錄從某一遠(yuǎn)程源地點(diǎn)掃描不同端口的數(shù)目。使用缺省設(shè)置，如果遠(yuǎn)程主機(jī)在0.005秒內(nèi)掃描了10個(gè)端口。防火墻會(huì)將這一

84、情況標(biāo)記為端口掃描攻擊，并在該秒余下的時(shí)間內(nèi)拒絕來(lái)自該源地址的其他封包</p><p>　　4.防火墻在校園網(wǎng)中的配置</p><p>　　隨著高校信息化進(jìn)程的推進(jìn)，學(xué)院校園網(wǎng)上運(yùn)行的應(yīng)用系統(tǒng)越來(lái)越多，信息系統(tǒng)變得越來(lái)越龐大和復(fù)雜。校園網(wǎng)的服務(wù)器群構(gòu)成了校園網(wǎng)的服務(wù)系統(tǒng)，主要包括DNS、虛擬主機(jī)、Web、FTP、視頻點(diǎn)播以及Mail服務(wù)等。校園網(wǎng)通過(guò)不同的專線分別接入了教育網(wǎng)、電信網(wǎng)和黨政

85、網(wǎng)。隨著學(xué)院網(wǎng)絡(luò)出口帶寬不斷加大，應(yīng)用服務(wù)系統(tǒng)逐漸增多，校園網(wǎng)用戶數(shù)烈劇上升，網(wǎng)絡(luò)的安全也就越來(lái)越嚴(yán)峻。</p><p>　　4.1高校校園網(wǎng)防火墻網(wǎng)絡(luò)安全策略</p><p>　　討論防火墻安全策略一般實(shí)施兩個(gè)基本設(shè)計(jì)方針之一：</p><p>　　1．拒絕訪問(wèn)除明確許可以外的任何一種服務(wù)，即拒絕一切未予特許的東西</p><p>　　2．

86、允許訪問(wèn)除明確拒絕以外的任何一種服務(wù)，即允許一切未被特別拒絕的東西</p><p>　　校園網(wǎng)防火墻的網(wǎng)絡(luò)安全策略采取第一種安全控制的方針，確定所有可以被提供的服務(wù)以及它們的安全特性，然后開(kāi)放這些服務(wù)，并將所有其它未被列入的服務(wù)排斥在外，禁止訪問(wèn)。</p><p>　　校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D如圖4-1所示:</p><p>　　圖4-1校園網(wǎng)網(wǎng)絡(luò)總拓?fù)浣Y(jié)構(gòu)圖</

87、p><p>　　在實(shí)際應(yīng)用環(huán)境中，一般情況下防火墻網(wǎng)絡(luò)可劃分為三個(gè)不同級(jí)別的安全區(qū)域：</p><p>　　內(nèi)部網(wǎng)絡(luò)：這是防火墻要保護(hù)的對(duì)象，包括全部的內(nèi)部網(wǎng)絡(luò)設(shè)備及用戶主機(jī)。這個(gè)區(qū)域是防火墻的可信區(qū)域(這是由傳統(tǒng)邊界防火墻的設(shè)計(jì)理念決定的)。</p><p>　　外部網(wǎng)絡(luò)：這是防火墻要防護(hù)的對(duì)象，包括外部網(wǎng)主機(jī)和設(shè)備。這個(gè)區(qū)域?yàn)榉阑饓Φ姆强尚啪W(wǎng)絡(luò)區(qū)域(也是由傳統(tǒng)邊界防

88、火墻的設(shè)計(jì)理念決定的)。</p><p>　　DMZ(非軍事區(qū))：它是從內(nèi)部網(wǎng)絡(luò)中劃分的一個(gè)小區(qū)域，在其中就包括內(nèi)部網(wǎng)絡(luò)中用于公眾服務(wù)的外部服務(wù)器，如Web服務(wù)器、郵件服務(wù)器、DNS服務(wù)器等，它們都是為互聯(lián)網(wǎng)提供某種信息服務(wù)。</p><p>　　在以上三個(gè)區(qū)域中，用戶需要對(duì)不同的安全區(qū)域制訂不同的安全策略。雖然內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)都屬于內(nèi)部網(wǎng)絡(luò)的一部分，但它們的安全級(jí)別(策略)是不同的。對(duì)

89、于要保護(hù)的大部分內(nèi)部網(wǎng)絡(luò)，一般情況下禁止所有來(lái)自互聯(lián)網(wǎng)用戶的訪問(wèn)；而由內(nèi)部網(wǎng)絡(luò)劃分出去的DMZ區(qū)，因需為互聯(lián)網(wǎng)應(yīng)用提供相關(guān)的服務(wù)，這些服務(wù)器上所安裝的服務(wù)非常少，所允許的權(quán)限非常低，真正有服務(wù)器數(shù)據(jù)是在受保護(hù)的內(nèi)部網(wǎng)絡(luò)主機(jī)上，所以黑客攻擊這些服務(wù)器沒(méi)有任何意義，既不能獲取什么有用的信息，也不能通過(guò)攻擊它而獲得過(guò)高的網(wǎng)絡(luò)訪問(wèn)權(quán)限。</p><p>　　通過(guò)NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)將受保護(hù)的內(nèi)部網(wǎng)絡(luò)的全部主機(jī)地址映

90、射成防火墻上設(shè)置的少數(shù)幾個(gè)有效公網(wǎng)IP地址。這樣可以對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)構(gòu)和IP地址，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全；同時(shí)因?yàn)槭枪W(wǎng)IP地址共享，所以可以大大節(jié)省公網(wǎng)IP地址的使用。</p><p>　　在這種應(yīng)用環(huán)境中，在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上校園網(wǎng)可以有兩種選擇，這主要是根擁有網(wǎng)絡(luò)設(shè)備情況而定。</p><p>　　如果原來(lái)已有邊界路由器，則此可充分利用原有設(shè)備，利用邊界路由器的包過(guò)濾功能，添加相應(yīng)的防火墻配

91、置，這樣原來(lái)的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接。對(duì)于DMZ區(qū)中的公用服務(wù)器，則可直接與邊界路由器相連，不用經(jīng)過(guò)防火墻。它可只經(jīng)過(guò)路由器的簡(jiǎn)單防護(hù)。在此拓?fù)浣Y(jié)構(gòu)中，邊界路由器與防火墻就一起組成了兩道安全防線，并且在這兩者之間可以設(shè)置一個(gè)DMZ區(qū)，用來(lái)放置那些允許外部用戶訪問(wèn)的公用服務(wù)器設(shè)施。</p><p>　　依照學(xué)院的網(wǎng)絡(luò)拓?fù)鋵⒕W(wǎng)絡(luò)劃分成三個(gè)部份，如圖4-2所示：外網(wǎng)、DMZ

92、區(qū)和內(nèi)部網(wǎng)絡(luò)。外網(wǎng)與Internet相連；DMZ放置各種應(yīng)用服務(wù)器；內(nèi)部網(wǎng)絡(luò)連接校內(nèi)用戶；</p><p>　　圖4-2學(xué)院防火墻結(jié)構(gòu)圖</p><p>　　應(yīng)用服務(wù)當(dāng)中EMAIL、DNS和WWW服務(wù)需要外網(wǎng)能夠訪問(wèn)，因此將這些服務(wù)規(guī)劃到DMZ區(qū)。</p><p>　　4.2防火墻的基本配置</p><p>　　學(xué)院采用的是防火墻，它的初始配

93、置也是通過(guò)控制端口（Console）與PC機(jī)的串口連接，再通過(guò)超級(jí)終端（HyperTerminal）程序進(jìn)行選項(xiàng)配置。也可以通過(guò)telnet和Tffp配置方式進(jìn)行高級(jí)配置，但必需先由Console將防火墻的這些功能打開(kāi)。</p><p>　　NETSCREEN防火墻有四種用戶配置模式，即：普通模式（Unprivilegedmode）、特權(quán)模式（Privileged Mode）、配置模式（Configuration

94、 Mode）和端口模式（Interface Mode）。</p><p><b>　　顯示基本信息：</b></p><p>　　命令行基本信息收集：</p><p>　　netscreen>get syst（得到系統(tǒng)信息）</p><p>　　netscreen>get config（得到config信息）

95、</p><p>　　netscreen>get log event（得到日志）</p><p>　　功能問(wèn)題需收集下列信息：</p><p>　　netscreen>set ffiliter?（設(shè)置過(guò)濾器）</p><p>　　netscreen>debug flow basic是開(kāi)啟基本的debug功能</p>

96、;<p>　　netscreen>clear db是清除debug的緩沖區(qū)</p><p>　　netscreen>get dbuf stream就可以看到debug的信息了</p><p>　　性能問(wèn)題需收集下列信息：</p><p>　　得到下列信息前，請(qǐng)不要重新啟動(dòng)機(jī)器，否則信息都會(huì)丟失，無(wú)法判定問(wèn)題所在。netscreen>G

97、et per cpu detail（得到CPU使用率）</p><p>　　netscreen>Get session info（得到會(huì)話信息）</p><p>　　netscreen>Get per session detail（得到會(huì)話詳細(xì)信息）</p><p>　　netscreen>Get mac-learn（透明方式下使用，獲取MAC硬件

98、地址）</p><p>　　netscreen>Get alarm event（得到告警日志）</p><p>　　netscreen>Get tech>tftp 202.101.98.36 tech.txt（導(dǎo)出系統(tǒng)信息）</p><p>　　netscreen>Get log system（得到系統(tǒng)日志信息）</p><

99、;p>　　netscreen>Get log system saved（得到系統(tǒng)出錯(cuò)后，系統(tǒng)自動(dòng)記錄信息，該記錄重啟后不會(huì)丟失。</p><p>　　設(shè)置接口-帶寬,網(wǎng)關(guān)</p><p>　　設(shè)置所指定的各個(gè)端口的帶寬速率,單位為kb/s</p><p>　　Set interface interface bandwidth number</p&g

100、t;<p>　　unset interface interface bandwidth</p><p><b>　　設(shè)置接口的網(wǎng)關(guān)</b></p><p>　　set interface interface gateway ip_addr</p><p>　　unset interface interface gateway<

101、;/p><p>　　設(shè)置接口的接口的區(qū)域,IP地址zone就是網(wǎng)絡(luò)邏輯上劃分成區(qū),可以在安全區(qū)或安全區(qū)內(nèi)部接口之間實(shí)施策略：</p><p>　　設(shè)置接口的接口的區(qū)域</p><p>　　set interface interface zone zone</p><p>　　unset interface interface zone</p

102、><p><b>　　設(shè)置接口的IP地址</b></p><p>　　set interface interface ip ip_addr/mask</p><p>　　set interface interface ip unnumbered interface interface2</p><p>　　unset int

103、erface interface ip ip_addr</p><p><b>　　4、接口管理設(shè)置</b></p><p>　?、賡et interface interface manage</p><p>　　{ident-reset|nsmgmt|ping|snmp|ssh|ssl|telnet|webui}</p><

104、;p>　　unset interface interface manage</p><p>　　{ident-reset|nsmgmt|ping|snmp|ssh|telnet|webui}</p><p>　　WebUI：允許接口通過(guò)Web用戶界面(WebUI)接收HTTP管理信息流。</p><p>　　Telnet:選擇此選項(xiàng)可啟用Telnet管理功能。

105、</p><p>　　SSH:可使用“安全命令外殼”(SSH)通過(guò)以太網(wǎng)連接或撥號(hào)調(diào)制解調(diào)器管理NetScreen設(shè)備。必須具有與SSH協(xié)議版本1.5兼容的SSH客戶端。選擇此選項(xiàng)可啟用SSH管理功能。SNMP:選擇此選項(xiàng)可啟用SNMP管理功能。</p><p>　　SSL:選擇此選項(xiàng)將允許接口通過(guò)WebUI接收NetScreen設(shè)備的HTTPS安全管理信息流。</p>&l

106、t;p>　　NS Security Manager:選擇此選項(xiàng)將允許接口接收NetScreen-SecurityManager信息流。</p><p>　　Ping:選此選項(xiàng)將允許NetScreen設(shè)備響應(yīng)ICMP回應(yīng)請(qǐng)求，以確定是否可通過(guò)網(wǎng)絡(luò)訪問(wèn)特定的IP地址。</p><p>　　Ident-Reset:與“郵件”或FTP發(fā)送標(biāo)識(shí)請(qǐng)求相類似的服務(wù)。如果它們未收到確認(rèn)，會(huì)再次發(fā)送請(qǐng)

107、求。處理請(qǐng)求期間禁止用戶訪問(wèn)。啟用Ident-reset選項(xiàng)后，NetScreen設(shè)備將發(fā)送TCP重置通知以響應(yīng)發(fā)往端口113的IDENT請(qǐng)求，然后恢復(fù)因未確認(rèn)標(biāo)識(shí)請(qǐng)求而被阻止的訪問(wèn)。②指定允許進(jìn)行管理的ip地址</p><p>　　set interface interface manage-ip ip_addr</p><p>　　unset interface interface m

108、anage-ip</p><p><b>　　5、用戶帳號(hào)的操作</b></p><p>　?、偬砑又蛔x權(quán)限管理員</p><p>　　set admin user Roger password 2bd21wG7 privilege read-only</p><p>　　②修改帳戶為可讀寫權(quán)限</p>&