1、浅谈防火墙的研究及其在校园网中的应用梁伟北京华夏管理学院毕业论文 文理 学院 计算机 专业 课 题 名 称 浅谈校园网防火墙实用技术 学 生 姓 名 梁伟 学 生 班 级 计算机 指 导 老 师 付春霞 起 讫 日 期 2011.2-2011.4 2011年 4月 23 日目录1. 防火墙的基本原理和主要类型 412 包过滤式防火墙 513 代理式防火墙 514 状态检测防火墙 615 防火墙的主流产品 62. 防火墙在校园网中的应用 722 防火墙的边界防护功能 823 防火墙的NAT功能 924 防火墙的防毒功能 93. 防火墙的配置方法 931 配置工作站的连接 934 测试连通性 12
2、35 配置备份防火墙 1436 配置访问控制列表和嫌疑代码过滤 174. 防火墙应用中的若干问题及改进设想 1841 木马新技术反弹端口的问题 185.结论 196. 致谢 197. 参考文献 19Campus network firewall practical techniques analysedAbstract:This paper lists the firewall basic principles and major types, and the current market a mainstream product. This article discussed in the
3、method of using a firewall network. I combined with itself in the school of computer rooms, many years work experience in accordance with instructions for hands-on experiment, complete steps of the firewall configuration. Through the study, the practice ability has improved a lot, on my future will
4、have practical help.Keywords: firewall; Campus network; Information security; Network security; Topology; Configuration; Practical technology浅谈校园网防火墙实用技术 摘 要 本文列举了防火墙的基本原理和主要类型,以及当前市场的主流产品。本文讨论了在校园网里使用防火墙的方法。我结合自己在学校计算机房的多年工作经验,按照指导书的步骤动手实验,完成对防火墙的配置。通过学习,实践能力有了很大的提高,对我今后的工作会有切实的帮助。关键词 防火墙;校园网;信息安全;
5、网络安全;拓扑;配置;实用技术1. 防火墙的基本原理和主要类型11 防火墙的基本原理 防火墙是网络安全的一种基本的设备。它安装在可信网络和未可信网络的边界处,通过设置一系列的安全访问规则,对网络之间透过防火墙的通信进行控制,检测交换的信息,禁止访问未可信网络上的某些有害的站点,防止未可信网络上的某个有害的IP攻击可信网络或者从可信网络里窃取重要信息,从而达到保护可信网络的目的。我们可以把校园网看作一个可信网络,把互联网看作一个未可信网络,把防火墙放置在校园网的出口处。此外,我们也在校园网的内部的某个重要部门的局域网到校园网的边界上,设置防火墙,以保护这个重要部门的局域网。一个防火墙应当具备以下
6、功能:内部网络和外部网络的所有的数据交换都必须经过防火墙;提供配置完善的安全策略的机制,只有安全策略所允许的通信才可以进行,否则一律禁止;防火墙自身的安全必须有保证,能够抵御各种对于防火墙的攻击,而保持正常工作的能力;防火墙的管理界面友好而且功能强大。管理员能够很方便地对防火墙进行配置和管理。防火墙的实现技术主要有包过滤式防火墙、代理式防火墙和状态检测防火墙三种类型。其工作原理各有不同的特点,下面分别做一简单的讨论。12 包过滤式防火墙包过滤防火墙是在1989年出现的一种早期的防火墙。一个在网络上传输的数据包的结构可以分为“包头”和“包体”。在“包体”部分,携带的是要传输的信息本身。在“包头”
7、部分,携带的是关于这个数据包的性质的信息。包过滤防火墙通过对每个数据包的“包头”的检查,根据预先设定的安全策略,决定是放行该数据包还是把该数据包丢弃而终止它的旅行。“包头”所携带的关于包的性质的信息是比较复杂的,计有:数据包的协议类型:TCP、UDP、ICMP、IGMP等;源IP地址和目的IP地址;源端口号或服务和目的端口号或服务:HTTP、FTP、DNS等;IP的选项:源路由、记录路由等;TCP选项:SYN、ACK、FIN、RST等;其他协议选项:ICMP ECHO、ICMP ECHO REPLY等;数据包的流向:IN、OUT;数据包流经的网络接口等等。根据这些信息,可以制定安全策略。一般的
8、包过滤防火墙都能够根据数据包的流向、源地址和目的地址、网络协议、端口号进行设置。好一些的包过滤防火墙能够设置的安全策略会更灵活一些。13 代理式防火墙代理式防火墙又称“应用级网关”。内网的用户要求对外网进行访问的时候,把访问请求发送到代理式防火墙。代理式防火墙根据预设的安全策略对用户的请求进行检查。如果该请求符合安全策略,则把访问请求转发到外网的相应站点。从外网的相应站点反馈回来的信息再由代理式防火墙转发给用户。如果此后有另外一个用户有相同的请求,则代理式防火墙将直接把刚才已经返回的信息直接发给这个用户,而不再需要到外网上重复访问。代理式防火墙要求每一个网络服务都要启动一个相应的代理程序,这在
9、实际上是不容易做到的。另外,代理式防火墙的工作负担相当沉重,会使得网络效率降低。从外网上只能看到一个代理防火墙,而不能访问内网的站点。如果需要对外网开放内网上的某个站点,则需要启用一个“重定向”功能,把内网的这个站点映射到防火墙的一个端口上,允许外网访问。14 状态检测防火墙状态检测防火墙在内部维护一个状态表,该状态表以会话的方式,记录内网一个数据包发起的连接请求以及后续的整个会话过程,直至会话结束。而由外网发起的连接请求数据包则全部丢弃。状态检测防火墙提供了完整的对传输层的控制,但是网络效率较低。15 防火墙的主流产品防火墙可以分为软件防火墙和硬件防火墙,软件防火墙中有一些是个人使用的低端产
10、品,如瑞星、江民、天网等都有个人软件防火墙产品。用在校园网的防火墙主要是中档的产品。从网络效率看,硬件防火墙的表现会好一些。防火墙主流产品有Cisco公司的Cisco Secure PIX 515-E和Cisco IOS,Check Point公司的FireWall-1 4.1 NG,Microsoft公司的ISA Server,SonicWall公司的TELE3,NetScreen公司的5XP和208,联想公司的网御2000,东软公司的NetEye 4032,天融信公司的网络卫士NGFW4000-S以及Nokia公司的IP110等。Cisco Secure PIX防火墙是通过端到端安全服务的
11、有机组合,提供了安全性。适合那些仅需要与自己企业网进行双向通信的远程站点,或由企业网在自己的企业防火墙上提供所有的Web服务的情况。Cisco Secure PIX 515-E与普通的CPU密集型专用代理服务器不同,它采用非UNIX、安全、实时的内置系统。NAT可提供扩展和重新配置IP网络的特性,既可利用现有IP地址,也可利用Internet指定号码机构IANA预留池RFC.1918规定的地址来实现这一特性。Cisco Secure PIX 515-E Firewall比适合中小型企业的网络安全需求。北京天融信公司的网络卫士是我国第一套自主版权的防火墙系统,目前在我国电信、电子、教育、科研等单
12、位广泛使用。它由防火墙和管理器组成。网络卫士NGFW4000-S防火墙是我国首创的核检测防火墙,更加安全更加稳定。网络卫士NGFW4000-S防火墙系统集中了包过滤防火墙、应用代理、网络地址转换(NAT)、用户身份鉴别、虚拟专用网、Web页面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能,可以为不同类型的Internet接入网络提供全方位的网络安全服务。网络卫士防火墙系统是中国人自己设计的,因此管理界面使用中文,使管理工作更加方便,网络卫士NGFW4000-S防火墙的管理界面相当直观。网络卫士NGFW4000-S防火墙比适合中型企业的网络安全需求。联想网御2000千兆防火墙集成了
13、主动式状态检测、DoS攻击防范、IPSec VPN和内容过滤、带宽管理、日志管理等功能,用户以较低成本便可拥有完善的安全措施。易于实施和管理,提供多种管理方式,支持SSL、HTTPS和SNMP协议,实现了真正的安全远程管理和集中管理。同时提供丰富的日志查询功能,日志服务器可存储10G以上的数据,完全满足大流量网络中防火墙日志管理的需要。网御2000千兆防火墙支持包括透明模式、路由模式、混合模式等多种工作模式,全面支持VLAN,支持众多网络通信协议和应用协议,适用于各种复杂网络结构和应用的接入。防拒绝服务网关,抵御SYNflood, UDPflood, ICMPflood, Tear Drop,
14、 Smurf, Land Attack, Ping Of Death等多种当今流行的DoS/DDoS攻击。网御2000千兆防火墙支持多台防火墙之间的热机备份和负载均衡,维护所有会话同步,对网络中大量的突发流量有更高的处理能力,确保多个防火墙设备正常运行并同步进行数据传输。各种产品在功能、性能、价格、服务等方面各有特别的表现,也存在着若干差异。校园网应根据实际需要和可能,选择适当的产品。本论文的实验是在Cisco Secure PIX 515-E上进行的,因此本论文中将以此为例,并不意味着Cisco Secure PIX 515-E是校园网应用的推荐选择。2. 防火墙在校园网中的应用21 防火墙
15、在校园网中的连接拓扑图图1 防火墙在校园网中的连接拓扑图图1是防火墙在校园网中典型的连接方法。防火墙的外网接口连接到互联网,内网接口连接到校园网,xtra接口连接到校园网上的服务器群。防火墙在网络边界上,一方面抵御来自互联网的种种对于校园网特别是校园网的服务器群的攻击,另一方面也防止来自校园网内部的对服务器群的攻击。服务器群为校园网和互联网上的用户提供各种服务,同时屏蔽掉各种超出权限的请求,以及防止敏感信息的泄漏。22 防火墙的边界防护功能校园网有几个显著的特点,对于制定安全策略,维护网络安全具有一定的意义。首先是校园网的用户数目极其庞大,有许多是万人以上的高校,这是一些企业的网络所不能相比的
16、。上网人数的众多和集中,会对网络造成一定的冲击。校园网的用户以青年学生为主,网上行为十分活跃,这和一些政府机关的网络是不同的。如何对网上行为做出规范和管理,是网络安全的一个课题。校园网的用户都有相当的文化水准,有些还是网络技术的内行,而且一些住校的学生在夜晚有大量的时间,有可能在内部发起对校园网的攻击,这是和一些部门或者网吧的情况很不相同的。因此,在校园网的边界以及校园网服务器群的边界,使用防火墙来实施边界防护,是十分必要的。防火墙虽然不能完全杜绝各种安全隐患,但是毕竟能够在一定程度上降低对校园网安全的威胁。上面图1给出了防火墙在校园网边界防护中的典型用法,但是并不意味着校园网中就只有这一个防
17、火墙。实际上,为了安全起见,校园网内部是要进一步划分为更多层次的局部网络的,各个局部网络之间都有防火墙相互隔离,或者使用VLAN技术相互隔离。通常情况下,各学区、各院系要相互隔离,办公、科研、教学、生活各系统也要相互隔离。具体情况视实际需要而定。23 防火墙的NAT功能在校园网中,有一部分子网是不希望外界了解它的网络结构和信息资源的。这一部分子网有必要用防火墙的NAT功能来实现IP地址的转换。IP地址转换之后,在外网上只能看到内网的某个主机的IP地址的映射,而不能得到它真正的IP地址。地址转换NAT的另外一个意义是有效地利用分配给学校的IP资源。当IP资源比较紧张,而用户数目又十分庞大的时候,
18、NAT是一个有效的解决办法。24 防火墙的防毒功能传统的防火墙几乎没有对病毒的防御功能。一些最新的防火墙产品已经把防毒技术结合到防火墙中去了。例如天融信公司网络卫士防火墙4000在内核上实现了对病毒防护。SonicWALL公司的TELE3防火墙也具有一定的防毒功能。3. 防火墙的配置方法不同厂家不同型号的防火墙的配置方法是不完全一样的。我在林海2主任的网络基础实验室里,按照杨义先1先生的实验指导书的方法,学习对CISCO PIX防火墙的配置,其步骤如下:31 配置工作站的连接首先把配置工作站和防火墙用Console连接起来,方法是Console线的RJ45端插在CISCO PIX防火墙的Con
19、sole口上,Console线的串口端插在计算机的串口上。然后在计算机上单击“开始”“程序”“附件”“通信”“超级终端”,在弹出窗口“新建连接”的文本输入框里输入“名称”为“dd1”,“确定”后在弹出窗口里选择串口为“com1”,按“确定”。接下来在弹出窗口里配置串口“com1”的参数“每秒位数”9600,“数据位”8,“奇偶检验”无,“停止位”1,“数据流控制”硬件,按“确定”,进入“超级终端”窗口。图2 超级终端界面32 接口的基本连接和配置现在,按照图3的IP地址分配在超级终端窗口里来配置防火墙各口的IP地址。 图3 实验中配置的防火墙网络拓扑图在超级终端窗口输入命令“enable”,按
20、回车再输入密码,即进入特权模式,显示提示符为“PIX515#”。输入命令“configure terminal”,进入配置模式,提示符为“PIX515(configure)#”。为防火墙各端口设置名称和优先级,命令为nameif ethernet0 outside security0nameif ethernet1 inside security100nameif ethernet2 xtra security50然后为防火墙各口配置IP地址,命令为ip address outside 15.1.1.2 255.255.255.0ip address inside 10.1.1.1 255.2
21、55.255.0ip address xtra 12.1.1.1 255.255.255.0配置完毕后检查其结果是否正确,命令为show ip在超级终端窗口里显示System IP Addresses:ip address outside 15.1.1.2 255.255.255.0ip address inside 10.1.1.1 255.255.255.0ip address xtra 12.1.1.1 255.255.255.0结果无误。接下来就可以配置内、外和Xtra网络的全局地址了。33 配置全局IP地址首先用全局命令配置外网的IP地址池,命令为global (outside) 1
22、 15.1.1.10 15.1.1.25 netmask 255.255.255.0然后用全局命令配置xtra网的IP地址池,命令为global (xtra) 1 12.1.1.4 12.1.1.20 netmask 255.255.255.0最后用地址转换命令配置内网的IP地址范围,命令为nat (inside) 1 10.1.1.0 255.255.255.0 0 0还可以为内外网的连同设置一条静态路由,例如route outside 0 0 15.1.1.22配置完毕后要检查一下配置是否正确。先检查全局地址,命令为show global显示结果为global (outside) 1 15
23、.1.1.10 15.1.1.25 netmask 255.255.255.0global (xtra) 1 12.1.1.4 12.1.1.20 netmask 255.255.255.0再检查转换地址,命令为show nat显示结果为nat (inside) 1 10.1.1.0 255.255.255.0 0 0最后检查静态路由,命令为show route显示结果为route 0.0.0.0 0.0.0.0 15.1.1.22 OTHER static检查无误之后,就可以用clear xlate命令使配置生效,键入clear xlate一切顺利,现在,我们就可以把配置保存下来了,命令是w
24、rite memory屏幕显示Building configurationCryptochecksum:9483c870465a2be2bb611f100e3940abOK34 测试连通性上面,我们已经用超级终端上的行命令对防火墙的3个端口及其所连接的网络的IP地址进行了配置和做了静态的检查。现在,我们要动态地发送数据包,来测试3个网络之间的连通性。为此,我们先输入一个命令,设置允许icmp和ping包通过防火墙,命令是conduit permit icmp any any先在超级终端上用ping命令测试防火墙各个端口的连通性。键入ping inside 10.1.1.1内网端口的响应为10.
25、1.1.1 response received 0ms10.1.1.1 response received 0ms10.1.1.1 response received 0ms键入ping outside 15.1.1.2外网端口的响应为15.1.1.2 response received 0ms15.1.1.2 response received 0ms15.1.1.2 response received 0ms键入ping xtra 12.1.1.1xtra网端口的响应为12.1.1.1 response received 0ms12.1.1.1 response received 0ms1
26、2.1.1.1 response received 0ms测试完各个端口的连通性之后,接着在超级终端上用ping命令测试防火墙各个端口所连接的网络的连通性。键入ping inside 10.1.1.3内网的响应为10.1.1.3 response received 0ms10.1.1.3 response received 0ms10.1.1.3 response received 0ms键入ping outside 15.1.1.22外网的响应为15.1.1.22 response received 0ms15.1.1.22 response received 0ms15.1.1.22 re
27、sponse received 0ms键入ping xtra 12.1.1.5xtra网的响应为12.1.1.5 response received 0ms12.1.1.5 response received 0ms12.1.1.5 response received 0ms最后,我们用内网、外网和xtra网上的计算机,发送ping命令来测试各个网络彼此之间的连通性。例如我们要测试内网上的计算机(10.1.1.3)到外网的计算机(15.1.1.22)的连通性,就可以在内网上的计算机(10.1.1.3)上键入行命令C: ping 15.1.1.22在内网上的计算机(10.1.1.3)的屏幕上可以
28、看到外网的计算机(15.1.1.22)的响应Reply from 15.1.1.22: bytes=32 time10ms TTL=64Reply from 15.1.1.22: bytes=32 time10ms TTL=64Reply from 15.1.1.22: bytes=32 time10ms TTL=64Ping statistics for 15.1.1.22:Packets: Sent=4, Received=4, Lost=0 (0% loss),Approximate round trip times in milli-seconds:Minimum=10ms, Maxi
29、mum=10ms, Average=10ms用同样的方法可以测试外网到内网、内网到xtra网、xtra网到内网、外网到xtra网、xtra网到外网的连通性。35 配置备份防火墙CISCO PIX防火墙具备有冗余功能。当主防火墙正常工作的时候,备份防火墙处在待机状态。当主防火墙失效的时候,备份防火墙则自动从待机状态转入工作状态。现在,我们就来配置这个备份防火墙。图4 防火墙的冗余同样,在超级终端输入进入配置状态的命令configure terminal则提示符变成PIX515 (config)#命名防火墙的故障处理接口为ethernet3,并设置其优先级nameif ethernet3 fail
30、over security15配置该接口的网络速率interface ethernet3 auto配置该接口的IP地址address failover 11.1.1.10主防火墙的故障处理接口failover配置完了,现在来配置备份防火墙的各个接口。但是,配置备份防火墙的命令仍然是从连接在主防火墙的超级终端上发出的。命令为failover ip address failover 11.1.1.11failover ip address xtra 12.1.1.11failover ip address outside 15.1.1.3failover ip address inside 10.
31、1.1.11将配置结果保存起来write memory现在,把备份防火墙在物理上与主防火墙连接起来,然后启动备份防火墙,刚才所做的配置就自动传输到备份防火墙了。连接的方法是:两个防火墙的failover直接相连,而备份防火墙的内、外、xtra 三个接口分别与主防火墙的内、外、xtra 三个网络相连。备份防火墙已经配置好并且启动了,用下面的命令来静态地检查失效保护功能是否正常:show failover显示为Failover OnCable status: NormalReconnect timeout 0:00:15Poll frequency 5 secondsThis host: Primary ActiveActive time: 11545 (sec)Interface failover (11.1.1.10): NormalInterface xtra (12.1.1.1): Normal (Waitin
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1