畢業(yè)論文——中小企業(yè)防火墻的應用

1、<p>　　中小企業(yè)防火墻的應用</p><p><b>　　摘要</b></p><p>　　互聯(lián)網(wǎng)的應用在近幾年的時間有了非常大的發(fā)展,隨著中小企業(yè)商務網(wǎng)站的增多，資源越來越豐富，網(wǎng)絡安全問題卻也越來越嚴峻。 </p><p>　　在網(wǎng)絡安全防范中，防火墻具有著不可或缺的地位。防火墻技術是所有安全技術當中用途最廣泛的，也是最有效的

2、解決方案。</p><p>　　本論文在簡單介紹防火墻工作原理的基礎上，通過具體在Router OS上配置防火墻策略，使其實現(xiàn)中小企業(yè)防火墻的功能。該防火墻在通常的包過濾防火墻基礎之上，又增加了MAC地址綁定和端口映射等功能，使之具有更完備、更實用、更穩(wěn)固的特點。通過對于具有上述特點的防火墻的配置與測試工作，一方面使得所配置的防火墻系統(tǒng)本身具有高效、安全、實用的特點，另一方面也對今后在此基礎上繼續(xù)測試其它網(wǎng)絡產品

3、作好了一系列比較全面的準備工作。</p><p>　　關鍵詞：網(wǎng)絡安全；防火墻；企業(yè)網(wǎng)；Router OS</p><p><b>　　ABSTRACT</b></p><p>　　Network technology in recent years has been a very big development, but with the n

4、etwork faster and faster, more abundant resources, network security issues become more critical.</p><p>　　In network security, firewalls have an indispensable position. The firewall technology is the most ve

5、rsatile all security technologies, is the most effective solution.</p><p>　　The paper on the Firewall working principle of a brief introduction, through specific Router OS on the configured firewall policy,

6、so that function of SMEs firewall. The firewall in the usual packet filtering firewall based on the added MAC address binding and port mapping functions, so that it has a more complete, more practical, more solid. With t

7、hese characteristics firewall configuration and testing, on the one hand makes the configuration of the firewall system itself has an efficient, safe</p><p>　　Keywords: Network Security; Firewall; Enterprise

8、 Network;Router OS</p><p><b>　　目錄</b></p><p><b>　　摘要I</b></p><p>　　ABSTRACTII</p><p><b>　　目錄III</b></p><p>　　1 概 述-

9、 1 -</p><p>　　1.1 課題意義- 1 -</p><p>　　2 企業(yè)網(wǎng)安全分析- 3 -</p><p>　　2.1中小企業(yè)網(wǎng)絡安全現(xiàn)狀- 3 -</p><p>　　2.2.1 ARP攻擊- 3 -</p><p>　　2.2.2 網(wǎng)絡監(jiān)聽- 4 -</p><p

10、>　　2.2.3 蠕蟲病毒- 4 -</p><p>　　2.3 企業(yè)受到外網(wǎng)攻擊分析- 5 -</p><p>　　2.3.1 DoS攻擊- 5 -</p><p>　　2.3.2 SYN Attack(SYN攻擊)- 6 -</p><p>　　2.3.3 ICMP Flood(UDP泛濫)- 6 -</p&g

11、t;<p>　　2.3.4 UDP Flood(UDP泛濫)- 6 -</p><p>　　2.3.5 Port Scan Attack(端口掃描攻擊)- 6 -</p><p>　　3 企業(yè)網(wǎng)防火墻的應用- 8 -</p><p>　　3.1 網(wǎng)絡安全技術概述- 8 -</p><p>　　3.2 防火墻介紹-

12、 9 -</p><p>　　3.3 防火墻的分類- 9 -</p><p>　　3.3.1 宿主機網(wǎng)關（Dual Homed Gateway）- 9 -</p><p>　　3.3.2屏蔽主機網(wǎng)關（Screened Host Gateway）- 10 -</p><p>　　3.3.3屏蔽子網(wǎng)（Screened Subnet）- 1

13、0 -</p><p>　　3.4 防火墻技術發(fā)展趨勢- 11 -</p><p>　　4 Router OS 在企業(yè)網(wǎng)中的應用- 12 -</p><p>　　4.1 Router OS簡介- 12 -</p><p>　　4.2 Router OS的優(yōu)勢- 12 -</p><p>　　4.3 Route

14、r OS 在企業(yè)網(wǎng)中的應用- 12 -</p><p>　　4.3.1 Router OS的安裝- 13 -</p><p>　　4.2.2 Router OS 的配置- 14 -</p><p>　　4.3 Router OS端口映射配置- 16 -</p><p>　　4.4 設置防火墻規(guī)則- 17 -</p>

15、<p>　　4.5 進入普通用戶界面- 21 -</p><p>　　4.6 測試- 24 -</p><p>　　4.7 總結- 25 -</p><p>　　參考文獻- 26 -</p><p>　　結束語- 27 -</p><p><b>　　致謝- 28 -</b>

16、;</p><p>　　附錄一- 29 -</p><p><b>　　1 概 述</b></p><p>　　中國經濟的飛速發(fā)展，生活水平的提高， IT信息產業(yè)與我們的生活越來越密切，人們已經生活在信息時代。計算機技術和網(wǎng)絡技術應用到社會的各個領域，因特網(wǎng)把“地球村”的居民緊密地連在了一起。近年來因特網(wǎng)的飛速發(fā)展，給人們的生活帶來了全新地感

17、受，人類社會各種活動對信息網(wǎng)絡的依賴程度已經越來越大。然而，人們在得益于信息所帶來的新的生活的改變以及生活質量的提高機遇的同時，也不得不面對信息安全問題的嚴峻考驗。“黑客攻擊”網(wǎng)站被“黑”，“CIH病毒”無時無刻不充斥在網(wǎng)絡中?！半娮討?zhàn)”已成為國與國之間，商家與商家之間的一種重要的攻擊與防衛(wèi)手段。因此信息安全，網(wǎng)絡安全的問題已經引起各國，各部門，各行各業(yè)以及每個計算機用戶的充分重視。因特網(wǎng)提供給人們的不僅僅是精彩，還無時無刻地存在各種各

18、樣的危險和陷阱。對此，我們既不能對那些潛在的危險不予重視，遭受不必要的損失；也不能因為害怕某些危險而拒絕因特網(wǎng)的各種有益的服務，對個人來說這樣會失去了了解世界、展示自己的場所，對企業(yè)來說還失去了拓展業(yè)務、提高服務、增強競爭力的機會。只能通過不斷地提高網(wǎng)絡環(huán)境的安全才是行之有效的辦法。</p><p>　　本文在導師的指導下，獨立完成了該防火墻系統(tǒng)方案的配置及安全性能的檢測工作。在詳細分析防火墻工作原理基礎上，針對

19、廣大中小型企業(yè)防火墻的實際情況，提出了一個能夠充分發(fā)揮防火墻性能、提高防火墻系統(tǒng)的抗攻擊能力的防火墻系統(tǒng)配置方案，同時介紹了具體實現(xiàn)過程中的關鍵步驟和主要方法，并針對中小企業(yè)的防火墻系統(tǒng)模擬黑客進行攻擊，檢查防火墻的安全漏洞，并針對漏洞提供相應的解決方案。該防火墻在通常的包過濾防火墻基礎之上，又增加了MAC地址綁定、端口映射等特殊功能，使之具有鮮明的特點。通過對于具有上述特點的防火墻的研究、配置與測試工作，一方面使得中小企業(yè)防火墻系統(tǒng)本

20、身具有高效、安全、實用的特點，另一方面在此基礎上對今后可能出現(xiàn)的新問題作好了一系列比較全面的準備工作。</p><p>　　1.1 課題意義 </p><p>　　安全是一個不容忽視的問題，當人們在享受網(wǎng)絡帶來的方便與快捷的同時，也要時時面對網(wǎng)絡開放帶來的數(shù)據(jù)安全方面的新挑戰(zhàn)和新危險。為了保障網(wǎng)絡安全，當局域網(wǎng)與外部網(wǎng)連接時，可以在中間加入一個或多個中介系統(tǒng)，防止非法入侵者通過網(wǎng)絡進行攻

21、擊，非法訪問，并提供數(shù)據(jù)可靠性、完整性以及保密性等方面的安全和審查控制，這些中間系統(tǒng)就是防火墻(Firewall)技術如圖1.1。</p><p>　　圖1.1 防火墻功能圖</p><p>　　在此，我們主要研究如何構建一個相對安全的計算機網(wǎng)絡平臺，使其免受外部網(wǎng)絡的攻擊，通過對典型中小企業(yè)網(wǎng)絡的安全性分析，提出一套適合中小企業(yè)應用的防火墻系統(tǒng)，該系統(tǒng)應該具有可靠性、開放性、伸縮性、性價

22、比較高等特點，經過比較我們選用Router OS做為中小企業(yè)防火墻平臺，通過在Router OS上配置相應的策略，使其能夠實現(xiàn)面向中小企業(yè)提供網(wǎng)絡安全服務的功能。</p><p>　　2 企業(yè)網(wǎng)安全分析</p><p>　　2.1中小企業(yè)網(wǎng)絡安全現(xiàn)狀</p><p>　　在我國的工商領域，以中小企業(yè)為主，這些企業(yè)人數(shù)不是很多，少的可能只有十幾人，多的可能有好幾百。

23、而這么多的中小型企業(yè)，一方面，由于資金等問題沒有很好的設備去防范，而另一方面，可能就沒有這種防范的意識。所以它們成為黑客攻擊的主要目標。我們以某服裝廠為例，公司面積不是很大，有300人左右，有生活區(qū)，生產區(qū)等，分為各個部門。公司網(wǎng)絡拓撲圖如圖2.1。在最外層有個路由器，在連接路由器與內網(wǎng)之間是防火墻，公司網(wǎng)絡主要分為四大區(qū)：管理區(qū)，生產區(qū)，宿舍區(qū)和服務器區(qū)。平時公司可以實現(xiàn)正常的上網(wǎng)功能，并且外網(wǎng)訪問也很正常。但是最近一段時間，公司內部

24、連互聯(lián)網(wǎng)的時候很卡，看視頻斷斷續(xù)續(xù)，并且外網(wǎng)訪問公司網(wǎng)站打開網(wǎng)頁的時間很長。</p><p>　　圖2.1 某服裝廠網(wǎng)絡拓撲圖</p><p>　　2.2.1 ARP攻擊</p><p>　　ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡中產生大量的ARP通信量使網(wǎng)絡阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應包就能更改目標主機ARP緩存中

25、的IP-MAC條目，造成網(wǎng)絡中斷或中間人攻擊。</p><p>　　ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡中，局域網(wǎng)中若有一臺計算機感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡內其它計算機的通信信息，并因此造成網(wǎng)內其它計算機的通信故障。</p><p>　　某機器A要向主機B發(fā)送報文，會查詢本地的ARP緩存表，找到B的IP地址對應的MAC地址后，就會進行數(shù)據(jù)

26、傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機A的IP地址IA——物理地址PA），請求IP地址為IB的主機B回答物理地址PB。網(wǎng)上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，于是向A主機發(fā)回一個ARP響應報文。其中就包含有B的MAC地址，A接收到B的應答后，就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網(wǎng)絡流通的基礎，而且這個緩存是動態(tài)

27、的。</p><p>　　2.2.2 網(wǎng)絡監(jiān)聽</p><p>　　在網(wǎng)絡中，當信息進行傳播的時候，可以利用工具，將網(wǎng)絡接口設置在監(jiān)聽的模式，便可將網(wǎng)絡中正在傳播的信息截獲或者捕獲到，從而進行攻擊。</p><p>　　網(wǎng)絡監(jiān)聽在網(wǎng)絡中的任何一個位置模式下都可實施。而黑客一般都是利用網(wǎng)絡監(jiān)聽來截取用戶口令。比如當有人占領了一臺主機之后，那么他要再想將戰(zhàn)果擴大到這個主

28、機所在的整個局域網(wǎng)話，監(jiān)聽往往是他們選擇的捷徑。很多時候在各類安全論壇上看到一些初學的愛好者，在他們認為如果占領了某主機之后那么想進入它的內部網(wǎng)應該是很簡單的。其實不是這樣，進入了某主機再想轉入它所在的內部網(wǎng)絡里的其它機器也不是一件容易的事情。因為你除了要拿到他們的口令之外還有就是他們共享的絕對路徑，當然了，這個路徑的盡頭必須是有寫的權限了。在這個時候，運行已經被控制的主機上的監(jiān)聽程序就會有大收獲。不過這是一件費神的事情，而且還需要當事

29、者有足夠的耐心和應變能力。主要包括： </p><p><b>　　數(shù)據(jù)幀的截獲 </b></p><p>　　對數(shù)據(jù)幀的分析歸類 </p><p>　　dos攻擊的檢測和預防 </p><p>　　IP冒用的檢測和攻擊 </p><p>　　在網(wǎng)絡檢測上的應用 </p><p

30、>　　對垃圾郵件的初步過濾</p><p>　　2.2.3 蠕蟲病毒</p><p><b>　　蠕蟲病毒攻擊原理</b></p><p>　　蠕蟲也是一種病毒，因此具有病毒的共同特征。一般的病毒是需要寄生的，它可以通過自己指令的執(zhí)行，將自己的指令代碼寫到其他程序的體內，而被感染的文件就被為 “宿主”，例如，windows下可執(zhí)行文件的格

31、式為PE格式(Portable Executable)，當需要感染PE文件時，在宿主程序中，建立一個新節(jié)，將病毒代碼寫到新節(jié)中，修改的程序入口點等，這樣，宿主程序執(zhí)行的時候，就可以先執(zhí)行病毒程序，病毒程序運行完之后，在把控制權交給宿主原來的程序指令?？梢?，病毒主要是感染文件，當然也還有像DIRII這種鏈接型病毒，還有引導區(qū)病毒。引導區(qū)病毒他是感染磁盤的引導區(qū)，如果是軟盤被感染，這張軟盤用在其他機器上后，同樣也會感染其他機器，所以傳播方式

32、也是用軟盤等方式。</p><p><b>　　蠕蟲病毒入侵過程</b></p><p>　　蠕蟲病毒攻擊主要分成三步：</p><p>　?、賿呙瑁河扇湎x的掃描功能模塊負責探測存在漏洞的主機。當程序向某個主機發(fā)送探測漏洞的信息并收到成功的反饋信息后，就得到一個可傳播的對象。</p><p>　?、诠簦汗裟K按漏洞攻

33、擊步驟自動攻擊步驟1中找到的對象，取得該主機的權限（一般為管理員權限），獲得一個shell。</p><p>　　③復制：復制模塊通過原主機和新主機的交互將蠕蟲程序復制到新主機并啟動。</p><p>　　2.3 企業(yè)受到外網(wǎng)攻擊分析</p><p>　　2.3.1 DoS攻擊</p><p>　　DoS攻擊(Denial of Servi

34、ce，簡稱DoS)即拒絕服務攻擊，是指攻擊者通過消耗受害網(wǎng)絡的帶寬，消耗受害主機的系統(tǒng)資源，發(fā)掘編程缺陷，提供虛假路由或DNS信息，使被攻擊目標不能正常工作。實施DoS攻擊的工具易得易用，而且效果明顯。一般的DoS攻擊是指一臺主機向目的主機發(fā)送攻擊分組(1:1)，它的威力對于帶寬較寬的站點幾乎沒有影響;而分布式拒絕服務攻擊(Distributed Denial of Service，簡稱DDoS)同時發(fā)動分布于全球的幾千臺主機對目的主機

35、攻擊,即使對于帶寬較寬的站點也會產生致命的效果。隨著電子商業(yè)在電子經濟中扮演越來越重要的角色，隨著信息戰(zhàn)在軍事領域應用的日益廣泛，持續(xù)的DoS攻擊既可能使某些機構破產，也可能使我們在信息戰(zhàn)中不戰(zhàn)而敗。可以毫不夸張地說，電子恐怖活動的時代已經來臨。</p><p>　　DoS攻擊中，由于攻擊者不需要接收來自受害主機或網(wǎng)絡的回應，它的IP包的源地址就常常是偽造的。特別是對DDoS攻擊，最后實施攻擊的若干攻擊器本身就是

36、受害者。若在防火墻中對這些攻擊器地址進行IP包過濾，則事實上造成了新的DoS攻擊。為有效地打擊攻擊者，必須設法追蹤到攻擊者的真實地址和身份?！　?lt;/p><p>　　2.3.2 SYN Attack(SYN攻擊)</p><p>　　每一個TCP連接的建立都要經過三次握手的過程：A向B發(fā)送SYN封包：B用SYN/ACK封包進行響應；然后A又用ACK封包進行響應。攻擊者用偽造的IP地址（不

37、存在或不可到達的地址）發(fā)送大量的SYN封包至防火墻的某一接口，防火墻用SYN/ACK封包對這些地址進行響應，然后等待響應的ACK封包。因為SYN/ACK封包被發(fā)送到不存在或不可到達的IP地址，所以他們不會得到響應并最終超時。當網(wǎng)絡中充滿了無法完成的連接請求SYN封包，以至于網(wǎng)絡無法再處理合法的連接請求，從而導致拒絕服務（DoS）時，就發(fā)生了SYN泛濫攻擊。防火墻可以對每秒種允許通過防火墻的SYN封包數(shù)加以限制。當達到該臨界值時，防火墻開

38、始代理進入的SYN封包，為主機發(fā)送SYN/ACK響應并將未完成的連接存儲在連接隊列中，未完成的連接保留在隊列中，直到連接完成或請求超時。</p><p>　　2.3.3 ICMP Flood(UDP泛濫)</p><p>　　當ICMP PING產生的大量回應請求超出了系統(tǒng)最大限度，以至于系統(tǒng)耗費所有資源來進行響應直至再也無法處理有效的網(wǎng)絡信息流時，就發(fā)生了ICMP泛濫。當啟用ICMP泛

39、濫保護功能時，可以設置一個臨界值，一旦超過了此值就會調用ICMP泛濫攻擊保護功能。（缺省的臨界值為每秒1000個封包。）如果超過了該臨界值。NETSCREEN設備在該秒余下的時間和下一秒內會忽略其他的ICMP回應要求。</p><p>　　2.3.4 UDP Flood(UDP泛濫)</p><p>　　與ICMP泛濫相似，當以減慢系統(tǒng)速度為目的向該點發(fā)送UDP封包，以至于系統(tǒng)再也無法處

40、理有效的連接時，就發(fā)生了UDP泛濫，當啟用了UDP泛濫保護功能時，可以設置一個臨界值，一旦超過此臨界值就回調用UDP泛濫攻擊保護功能。如果從一個或多個源向單個目標發(fā)送的UDP泛濫攻擊超過了此臨界值，防火墻在該秒余下的時間和下一秒內會忽略其他到該目標的UDP封包。</p><p>　　2.3.5 Port Scan Attack(端口掃描攻擊)</p><p>　　當一個源IP地址在定義的

41、時間間隔內（缺省值為5000微秒）向位于相同目標IP地址10個不同的端口發(fā)送IP封包時，就會發(fā)生端口掃描攻擊。這個方案的目的是掃描可用的服務，希望會有一個端口響應，因此識別出作為目標的服務。防火墻在內部記錄從某一遠程源地點掃描不同端口的數(shù)目。使用缺省設置，如果遠程主機在0.005秒內掃描了10個端口。防火墻會將這一情況標記為端口掃描攻擊，并在該秒余下的時間內拒絕來自該源地址的其他封包。</p><p>　　3 企

42、業(yè)網(wǎng)防火墻的應用</p><p>　　3.1 網(wǎng)絡安全技術概述</p><p>　　網(wǎng)絡安全技術指致力于解決諸如如何有效進行介入控制，以及何如保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g手段，主要包括物理安全分析技術，網(wǎng)絡結構安全分析技術，系統(tǒng)安全分析技術，管理安全分析技術，及其它的安全服務和安全機制策略。</p><p>　　網(wǎng)絡安全技術分為：虛擬網(wǎng)技術、防火墻枝術、病毒防護技術

43、、入侵檢測技術、安全掃描技術、認證和數(shù)字簽名技術、VPN技術、以及應用系統(tǒng)的安全技術。</p><p>　　其中虛擬網(wǎng)技術防止了大部分基于網(wǎng)絡監(jiān)聽的入侵手段。通過虛擬網(wǎng)設置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡節(jié)點不能直接訪問虛擬網(wǎng)內節(jié)點。例如vlan，但是其安全漏洞相對更多，如IP sweep, teardrop, sync-flood, IP spoofing攻擊等。</p><p>　　防火

44、墻枝術是一種用來加強網(wǎng)絡之間訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡訪問內部網(wǎng)絡資源，保護內部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡之間的通信是否被允許,并監(jiān)視網(wǎng)絡運行狀態(tài)。但是防火墻無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅動型的攻擊。防火墻的分類有包過濾型、

45、地址轉換型、代理型、以及檢測型。</p><p>　　病毒防護技術是指阻止病毒的傳播、檢查和清除病毒、對病毒數(shù)據(jù)庫進行升級、同時在防火墻、代理服務器及PC上安裝Java及ActiveX控制掃描軟件，禁止未經許可的控件下載和安裝</p><p>　　入侵檢測技術（IDS）可以被定義為對計算機和網(wǎng)絡資源的惡意使用行為進行識別和相應處理的技術。是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。&

46、lt;/p><p>　　安全掃描技術是為管理員能夠及時了解網(wǎng)絡中存在的安全漏洞，并采取相應防范措施，從而降低網(wǎng)絡的安全風險而發(fā)展起來的一種安全技術。</p><p>　　認證和數(shù)字簽名技術，其中的認證技術主要解決網(wǎng)絡通訊過程中通訊雙方的身份認可，而數(shù)字簽名作為身份認證技術中的一種具體技術，同時數(shù)字簽名還可用于通信過程中的不可抵賴要求的實現(xiàn)。</p><p>　　VPN技

47、術就是在公網(wǎng)上利用隨到技術來傳輸數(shù)據(jù)。但是由于是在公網(wǎng)上進行傳輸數(shù)據(jù)，所以有一定的不安全性。</p><p>　　應用系統(tǒng)的安全技術主要有域名服務、Web Server應用安全、電子郵件系統(tǒng)安全和操作系統(tǒng)安全。</p><p>　　3.2 防火墻介紹 </p><p>　　所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上

48、構造的保護屏障。從而是一種獲取安全的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Internet之間建立起一個安全網(wǎng)關（Security Gateway），從而保護內部網(wǎng)免受非法用戶的侵入，防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網(wǎng)關4個部分組成，防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件或硬件。該計算機流入流出的所有網(wǎng)絡通信和數(shù)據(jù)包均要經過此防火墻。</p><p>　　在網(wǎng)絡

49、中，所謂“防火墻”，是指一種將內部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實際上是一種隔離技術。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡。換句話說，如果不通過防火墻，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。</p><p>　

50、　隨著企業(yè)信息化進程的推進，廣大中小企業(yè)網(wǎng)上運行的應用系統(tǒng)越來越多，信息系統(tǒng)變得越來越龐大和復雜。企業(yè)網(wǎng)的服務器群構成了企業(yè)網(wǎng)的服務系統(tǒng)，主要包括DNS、虛擬主機、Web、FTP、視頻點播以及Mail服務等。企業(yè)網(wǎng)通過不同的專線分別接入了不同的網(wǎng)絡。隨著企業(yè)網(wǎng)絡出口帶寬不斷加大，應用服務系統(tǒng)逐漸增多，企業(yè)網(wǎng)用戶數(shù)烈劇上升，網(wǎng)絡的安全也就越來越嚴峻。</p><p>　　3.3 防火墻的分類 </p>

51、<p>　　3.3.1 宿主機網(wǎng)關（Dual Homed Gateway） </p><p>　　這種配置是用一臺裝有兩個網(wǎng)絡適配器的雙宿主機做防火墻。雙宿主機用兩個網(wǎng)絡適配器分別連接兩個網(wǎng)絡，又稱堡壘主機。 堡壘主機上運行著防火墻軟件（通常是代理服務器），可以轉發(fā)應用程序，提供服務等。雙宿主機網(wǎng)關有一個致命弱點， 一旦入侵者侵入堡壘主機并使該主機只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問有保護

52、的內部網(wǎng)絡如圖4.1。</p><p>　　圖4.1 宿主機網(wǎng)關防火墻</p><p>　　3.3.2屏蔽主機網(wǎng)關（Screened Host Gateway） </p><p>　　屏蔽主機網(wǎng)關易于實現(xiàn)，安全性好，應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。單宿堡壘主機類型是一個包過濾路由器連接外部網(wǎng)絡，同時一個堡壘主機安裝在內部網(wǎng)絡上。堡壘主機只有一

53、個網(wǎng)卡，與內部網(wǎng)絡連接如圖4.2。通常在路由器上設立過濾規(guī)則，并使這個單宿堡壘主機成為從Internet惟一可以訪問的主機，確保了內部網(wǎng)絡不受未被授權的外部用戶的攻擊。而Intranet內部的客戶機，可以受控制地通過屏蔽主機和路由器訪問Internet。</p><p>　　圖4.2 單宿堡壘主機防火墻</p><p>　　雙宿堡壘主機型與單宿堡壘主機型的區(qū)別是，堡壘主機有兩塊網(wǎng)卡，一塊連

54、接內部網(wǎng)絡，一塊連接包過濾路由器如圖4.3。雙宿堡壘主機在應用層提供代理服務，與單宿型相比更加安全。</p><p>　　圖4.3雙宿堡壘主機防火墻</p><p>　　3.3.3屏蔽子網(wǎng)（Screened Subnet） </p><p>　　這種方法是在Intranet和Internet之間建立一個被隔離的子網(wǎng)，用兩個包過濾路由器將這一子網(wǎng)分別與Intrane

55、t和Internet分開。兩個包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內構成一個“緩沖地帶”如圖4.4，兩個路由器一個控制Intranet 數(shù)據(jù)流，另一個控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信?？筛鶕?jù)需要在屏蔽子網(wǎng)中安裝堡壘主機，為內部網(wǎng)絡和外部網(wǎng)絡的互相訪問提供代理服務， 但是來自兩網(wǎng)絡的訪問都必須通過兩個包過濾路由器的檢查。對于向Internet公開的服務器，像WWW、F

56、TP、Mail等Internet服務器也可安裝在屏蔽子網(wǎng)內，這樣無論是外部用戶，還是內部用戶都可訪問。 </p><p>　　這種結構的防火墻安全性能高，具有很強的抗攻擊能力，但需要的設備多，造價高。</p><p>　　圖4.4 屏蔽子網(wǎng)防火墻</p><p>　　3.4 防火墻技術發(fā)展趨勢 </p><p>　　防火墻技術的發(fā)展離不開社

57、會需求的變化，著眼未來，我們可能需要其他新的需求。 全國主要城市先后受到H7N9病毒的侵襲，直接促成大量的企事業(yè)在家辦公，這就要求防火墻既能抵抗外部攻擊，又能允許合法的遠程訪問，做到更細粒度的訪問控制。</p><p>　　1、VPN（虛擬專用網(wǎng)）技術就是很好的解決方式。只有以指定方式加密的數(shù)據(jù)包才能通過防火墻，這樣可以確保信息的保密性，又能成為識別入侵行為的手段。 </p><p>　　

58、2、內部網(wǎng)絡“包廂化”（compartmentalizing）。人們通常認為處在防火墻保護下的內網(wǎng)是可信的，只有Internet是不可信的。由于黑客攻擊技術和工具在Internet上隨手可及，使得內部網(wǎng)絡的潛在威脅大大增加，這種威脅既可以是外網(wǎng)的人員，也可能是內網(wǎng)用戶，不再存在一個可信網(wǎng)絡環(huán)境。</p><p>　　3、Router OS技術。Router OS以其設備要求簡單，配置策略簡單，性價比較低，受到廣大

59、中小企業(yè)的歡迎。尤其是其具有強大的VPN功能、端口映射功能、防火墻功能，更是為其在中小企業(yè)中奠定的了堅實的基礎。</p><p>　　4 Router OS 在企業(yè)網(wǎng)中的應用</p><p>　　中小企業(yè)網(wǎng)一般都是采用性價比合適的網(wǎng)絡技術架構的，用戶較多，使用面較廣，但是存在的安全隱患和漏洞相對較廣泛。鑒于上述因素，有必要為中小企業(yè)量身定制一個使用的防火墻。</p><

60、;p>　　4.1 Router OS簡介</p><p>　　Router OS是一種源碼開放式防火墻操作系統(tǒng)，并通過該系統(tǒng)將標準的PC電腦變成專業(yè)防火墻，在眾多用Router OS系統(tǒng)作為企業(yè)防火墻的愛好者的開發(fā)下，每年都會有更新和改變，系統(tǒng)經歷了多次更新和改進，使其功能在不斷增強和完善。特別在無線、認證、策略路由、帶寬控制和防火墻過濾等功能上有著非常突出的功能，其極高的性價比，受到許多網(wǎng)絡人士的青睞。&

61、lt;/p><p>　　4.2 Router OS的優(yōu)勢 </p><p>　　Router OS是一個基于Linux內核的開源的免費的防火墻操作系統(tǒng)，通過安裝該系統(tǒng)可使標準的PC電腦具備專業(yè)防火墻的各種功能，系統(tǒng)經歷了多次更新和改進，其功能不斷增強和完善。特別在策略路由、帶寬控制和防火墻過濾等功能上有著非常突出的優(yōu)勢和極高的性價比。</p><p>　　Router

62、 OS高級防火墻從底層系統(tǒng)核心、核心安全模塊和硬件兼容性等各個層次進行了精心的的設計和優(yōu)化，使得這款路由產品在性能上具有出眾的優(yōu)勢。線速轉發(fā)的高吞吐量可滿足大型企業(yè)/網(wǎng)吧等機構的絕大部分應用，也可為運營商的以太網(wǎng)接入提供高負載的支持，高轉發(fā)低時延為增加用戶數(shù)量提供了強有力的保障。</p><p>　　4.3 Router OS 在企業(yè)網(wǎng)中的應用</p><p>　　某服裝廠網(wǎng)絡拓撲圖如下圖

63、4.1。由于最近公司網(wǎng)絡受到黑客的攻擊，現(xiàn)在公司又在一臺PC上安裝了Router OS。利用Router OS的防火墻功能，來保障公司網(wǎng)絡的安全。</p><p>　　圖4.1 某服裝廠拓撲圖</p><p>　　4.3.1 Router OS的安裝</p><p>　　某服裝廠使用的Mikrotik Router OS 3.16版本。在我們安裝Router O

64、S的PC硬件配置如下：</p><p>　　處理器 英特爾 Core i3 M 380 @ 2.53GHz 四核處理器</p><p>　　主板 聯(lián)想 0579A12 (英特爾 HM55 芯片組)</p><p>　　內存 4 GB ( 記憶科技 DDR3 1333MHz)</p><

65、p>　　主硬盤 西數(shù) WDC WD3200BEKT-08PVMT1 ( 320 GB / 7200 轉/分 )</p><p>　　顯卡 ATI Mobility Radeon HD 545v ( 1GB MB / 聯(lián)想 )</p><p>　　顯示器 LG LGD02E9 ( 14 英寸 )</p><

66、p>　　光驅 日立-LG DVDRAM GT33N DVD刻錄機</p><p>　　聲卡 瑞昱 ALC269 @ 英特爾 5 Series/3400 Series Chipset 高保真音頻</p><p>　　網(wǎng)卡 RS-SUNNET千兆PCI-E光纖網(wǎng)卡（兩塊）</p><p>　　使用光

67、盤啟動計算機時，會出現(xiàn)下面的界面：讓你選擇安裝的模塊，選擇全部安裝，鍵盤輸入ａ，然后輸入ｉ開始安裝圖4.2。</p><p>　　圖 4.2 router os 安裝選擇全部</p><p>　　計算機提醒你是不是要保留以前的設置，我是全新安裝的，按ｎ回車，不保留。然后計算機提示是否繼續(xù)，按y鍵。開始安裝圖4.3。</p><p>　　圖 4.3 router os

68、安裝過程</p><p>　　你就等著安裝完成出現(xiàn)讓你按回車鍵繼續(xù)的畫面，計算機重新啟動后就行了。</p><p>　　4.2.2 Router OS 的配置</p><p>　　系統(tǒng)安裝之后重新啟動，然后出現(xiàn)登陸界面，</p><p>　　輸入初始用戶名 admin，口令直接回車。進入 Router OS 的字符界面，好了，現(xiàn)在開始我們的

69、簡單初始設置階段。</p><p>　　由于我們是新配置的機器，所以我們應該先給它的每張網(wǎng)卡配置新的ip。先看一下網(wǎng)卡的個數(shù)以及是否啟動圖4.4。</p><p>　　圖4.4 網(wǎng)卡的屬性</p><p>　　更改網(wǎng)卡的名稱以方便區(qū)分不同的網(wǎng)絡接口。為方便區(qū)分我們作如下規(guī)定：接入外網(wǎng)的網(wǎng)絡接口命名為 Wan，其接入外網(wǎng)的方式是通過 dhcp 客戶端設自動獲取IP地址

70、。接入局域網(wǎng)的網(wǎng)絡接口我們命名為 Lan。命令執(zhí)行過程和顯示界面如下圖 4.5：</p><p>　　圖 4.5 更改網(wǎng)卡名字</p><p>　　輸入命令更改網(wǎng)卡的名稱后。退回到根目錄，設定網(wǎng)卡地址等信息。設定網(wǎng)卡的 ip 地址，我們要設定局域網(wǎng)接口 Lan 的地址，（備注，若這里出現(xiàn)的不是 Lan，而是 Wan，你需要把它改成 Lan）。輸入我們設定的 Lan 的 IP 地址 192.

71、168.0.254/24。系統(tǒng)然后讓你輸入網(wǎng)關的地址，千萬要注意不要輸入默認的地址，而是要改為 0.0.0.0圖4.6。</p><p>　　圖 4.6 設置Lan網(wǎng)卡信息</p><p>　　因為公司里面看視頻，上網(wǎng)聊天沒人所需流量不同，因此需要全局限制速度和限制線程。設置192.168.0.2~192.168.0.254 connection-limit=50是線程數(shù)這里為50。<

72、;/p><p>　　for 5 from 2 to 254 do={/ip firewall filter add chain=forward</p><p>　　src-address=(192.168.0.5) protocol=tcp connection-limit=50,32 action=drop}</p><p>　　設置是上行／下行的網(wǎng)速為2M/1M。&

73、lt;/p><p>　　:for user from 2 to 254 do={/queue simple add name=("192.168.0.3") dst-address=("192.168.0.3 /32") max-limit=2048000/1024000}</p><p>　　外網(wǎng)連接是采用靜態(tài)IP的方式，IP為10.10.0.1。連

74、接到網(wǎng)卡Wan。為網(wǎng)卡Wan設置IP地址：</p><p>　　ip address>add address=10.10.0.1/24 interface=Wan</p><p>　　為路由器配置靜態(tài)路由</p><p>　　網(wǎng)關地址為10.10.0.1，讓所有數(shù)據(jù)的下一跳都將指向這個網(wǎng)關。</p><p>　　ip route>

75、add dst—address=0.0.0.0/0</p><p>　　gateway=0.0.0.0。</p><p>　　給客戶端的IP進行綁定，客戶機的MAC地址為00:0C:29:61:BD:40，IP地址為192.168.0.1，可以用以下命令進行綁定： ．</p><p>　　ip arp>add address=192.168.0.1 inter

76、face=Lan mac-address=00:0C:29:61:BD:40查看綁定結果圖 4.7。</p><p>　　圖 4.7 MAC地方綁定</p><p>　　4.3 Router OS端口映射配置</p><p>　　1、改變www服務端口為8081：</p><p>　　/ip service set www port=8081

77、</p><p>　　2、改變hotspot服務端口為80,為用戶登錄頁面做準備：</p><p>　　/ip service set hot spot port=80</p><p>　　Set uphotspotprofiletomarkauthenticateduserswithflowname"hs-auth":</p>&

78、lt;p>　　/iphotspotprofilesetdefaultmark-flow="hs-auth"login-method=enabled-address</p><p>　　3、增加一個用戶： </p><p>　　/ip hot spot user addname = user1 password = 1</p><p>　　4

79、、重定向所有未授權用戶的tcp請求到hotspot服務</p><p>　　/ipfirewalldst-nataddin-interface="ether2"flow="!hs-auth"protocol=tcpaction=redirectto-dst-port=80comment="redirectunauthorizedclientstohotspots

80、ervice"</p><p>　　5、允許dns請求、icmpping；拒絕其他未經認證的所有請求：</p><p>　　/ipfirewalladdname=hotspot-tempcomment="limitunauthorizedhotspotclients"</p><p>　　/ipfirewallruleforwardad

81、din-interface=ether2action=jump</p><p>　　jump-target=hotspot-tempcomment="limitaccessforunauthorizedhotspotclients"</p><p>　　/ipfirewallruleinputaddin-interface=ether2dst-port=80protoc

82、ol=tcp</p><p>　　action=acceptcomment="acceptrequestsforhotspotservlet"</p><p>　　/ipfirewallruleinputaddin-interface=ether2dst-port=67protocol=udp</p><p>　　action=acceptcom

83、ment="acceptrequestsforlocalDHCPserver"</p><p>　　/ipfirewallruleinputaddin-interface=ether2action=jump</p><p>　　jump-target=hotspot-tempcomment="limitaccessforunauthorizedhotspotc

84、lients"</p><p>　　/ipfirewallrulehotspot-tempaddflow="hs-auth"action=return</p><p>　　comment="returnifconnectionisauthorized"</p><p>　　/ipfirewallrulehotspot

85、-tempaddprotocol=icmpaction=return</p><p>　　comment="allowpingrequests"</p><p>　　/ipfirewallrulehotspot-tempaddprotocol=udpdst-port=53action=return</p><p>　　comment="

86、allowdnsrequests"</p><p>　　/ipfirewallrulehotspot-tempaddaction=reject</p><p>　　comment="rejectaccessforunauthorizedclients"</p><p>　　6、創(chuàng)建hotspot通道給認證后的hotspot用戶</

87、p><p>　　Createhotspotchainforauthorizedhotspotclients:</p><p>　　/ipfirewalladdname=hotspotcomment="accountauthorizedhotspotclients"</p><p>　　Passallthroughgoingtraffictohotsp

88、otchain:</p><p>　　/ipfirewallruleforwardaddaction=jumpjump-target=hotspot</p><p>　　comment="accounttrafficforauthorizedhotspotclients"</p><p>　　客戶機輸入任何網(wǎng)址，都自動跳轉到登陸頁面，輸入賬號密碼

89、，繼續(xù)瀏覽。</p><p>　　4.4 設置防火墻規(guī)則</p><p>　　Router OS防火墻功能非常靈活。Router OS防火墻屬于包過濾防火墻，可以自己定義一系列的規(guī)則過濾掉發(fā)往Router OS、從Router OS發(fā)出、通過Router OS轉發(fā)的數(shù)據(jù)包。在Router OS防火墻中定義了三個防火墻鏈（即input、forward、output），可以在這三個鏈當中定義自

90、己的規(guī)則。</p><p>　　input意思是指發(fā)往Router OS自己的數(shù)據(jù)（也就是目的ip是Router OS接口中的一個ip地址）；</p><p>　　output意思是指從Router OS發(fā)出去的數(shù)據(jù)（也就是數(shù)據(jù)包源ip是Router OS接口中的一個ip地址）；</p><p>　　forward意思是指通過Router OS轉發(fā)的（比如你內部計算

91、機訪問外部網(wǎng)絡，數(shù)據(jù)需要通過你的Router OS進行轉發(fā)出去）。</p><p>　　禁止ping Router OS，需要在input鏈中添加規(guī)則，因為數(shù)據(jù)包是發(fā)給Router OS的，數(shù)據(jù)包的目標ip是Router OS的一個接口ip地址。在每條鏈中的每條規(guī)則都有目標ip，源ip，進入的接口，非常靈活的去建立規(guī)則。</p><p>　　transfered through the p

92、articular connection</p><p>　　0的意思是無限的,例如 connection-bytes=2000000-0 意思是2MB以上</p><p>　　HTB QOS 流量質量控制</p><p>　　/ ip firewall mangle</p><p>　　add chain=forward p2p=all-p

93、2p action=mark-connection new-connection-mark=p2p_conn passthrough=yes comment="" disabled=no</p><p>　　add chain=forward connection-mark=p2p_conn action=mark-packet new-packet-mark=p2p passthrough=

94、yes comment="" disabled=no</p><p>　　add chain=forward connection-mark=!p2p_conn action=mark-packet new-packet-mark=general passthrough=yes comment="" disabled=no</p><p>　　add

95、 chain=forward packet-size=32-512 action=mark-packet new-packet-mark=small passthrough=yes comment="" disabled=no</p><p>　　add chain=forward packet-size=512-1200 action=mark-packet new-packet-mark=

96、big passthrough=yes comment="" disabled=no</p><p>　　/ queue tree</p><p>　　add name="p2p1" parent=TEL packet-mark=p2p limit-at=2000000 queue=default priority=8 max-limit=60000

97、00 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no</p><p>　　add name="p2p2" parent=LAN packet-mark=p2p limit-at=2000000 queue=default priority=8 max-limit=6000000 burst-limit=0 burst-thre

98、shold=0 burst-time=0s disabled=no</p><p>　　add name="ClassA" parent=LAN packet-mark="" limit-at=0 queue=default priority=8 max-limit=100000000 burst-limit=0 burst-threshold=0 burst-time=0

99、s disabled=no</p><p>　　add name="ClassB" parent=ClassA packet-mark="" limit-at=0 queue=default priority=8 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no</p>

100、<p>　　add name="Leaf1" parent=ClassA packet-mark=general limit-at=0 queue=default priority=7 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no</p><p>　　add name="Leaf2

101、" parent=ClassB packet-mark=small limit-at=0 queue=default priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no</p><p>　　add name="Leaf3" parent=ClassB packet-mark=

102、big limit-at=0 queue=default priority=6 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no</p><p>　　設置丟棄非法連接數(shù)據(jù)</p><p>　　/ ip firewall filter </p><p>　　add chain=i

103、nput connection -state=invalid action=drop \</p><p>　　comment="丟棄非法連接數(shù)據(jù)" disabled=no </p><p>　　設置限制總http連接數(shù)為20</p><p>　　add chain=input protocol=tcp dst -port=80 connectio

104、n -limit=20,0 action=drop \</p><p>　　comment="限制總http連接數(shù)為20" disabled=no </p><p>　　設置探測并丟棄端口掃描連接</p><p>　　add chain=input protocol=tcp psd=21,3s,3,1 action=drop \</p&

105、gt;<p>　　comment="探測并丟棄端口掃描連接" disabled=no </p><p><b>　　設置壓制DoS攻擊</b></p><p>　　add chain=input protocol=tcp connection -limit=3,32 src-address-list=black_list \<

106、/p><p>　　action=tarpit comment=" 壓制DoS攻擊" disabled=no </p><p><b>　　設置探測DoS攻擊</b></p><p>　　add chain=input protocol=tcp connection -limit=10,32 \</p><p&

107、gt;　　action=add-src-to-address-list address -list=black_list \</p><p>　　address-list-timeout=1d comment=" 探測DoS攻擊" disabled=no </p><p>　　設置丟棄掉非本地數(shù)據(jù)</p><p>　　add chain=inpu

108、t dst-address-type=!local action=drop comment=" 丟棄掉非本地數(shù)據(jù)" \</p><p>　　disabled=no </p><p>　　設置跳轉到ICMP鏈表</p><p>　　add chain=input protocol=icmp action=jump jump-target=ICMP

109、\</p><p>　　comment="跳轉到ICMP鏈表" disabled=no </p><p>　　設置Ping應答限制為每秒5個包</p><p>　　add chain=ICMP protocol=icmp icmp -options=0:0-255 limit=5,5 action=accept \</p><

110、p>　　comment="Ping應答限制為每秒5個包" disabled=no </p><p>　　設置Traceroute 限制為每秒5個包</p><p>　　add chain=ICMP protocol=icmp icmp -options=3:3 limit=5,5 action=accept \</p><p>　　com