【正文】 ，嵌入式防火墻常常是無(wú)監(jiān)控狀態(tài)的，它在傳遞信息包時(shí)并不考慮以前的連接狀態(tài)?！　?1)技術(shù)方面，采用反垃圾郵件系統(tǒng)、網(wǎng)絡(luò)管理軟件、QOS流量管理軟件。如果攻擊強(qiáng)度超出網(wǎng)絡(luò)能夠承受的范圍，可采取進(jìn)一步措施進(jìn)行防范。下面將提出技術(shù)支持解決方案。(3)　找出安全強(qiáng)度較低的用戶名和用戶密碼。(2)分析網(wǎng)絡(luò)中存在的安全缺陷并提出整改建議意見。　　(5)　顯示實(shí)時(shí)網(wǎng)絡(luò)連接情況?！　?3)記錄局域網(wǎng)中計(jì)算機(jī)病毒出現(xiàn)的時(shí)間、類型以及后續(xù)處理措施?！　》阑饓Α　“惭b位置：局域網(wǎng)與路由器之間。加上前期10－ 15人周論證、定方案，后期20人周（保守?cái)?shù)字）集成、測(cè)試，前后總共需要約210人周。相對(duì)來(lái)說(shuō)，這個(gè)區(qū)間上硬件防火墻價(jià)格明顯高于軟件防火墻。另外一方面，軟件可靠性的提高也是防火墻優(yōu)劣的主要差別所在。這個(gè)過(guò)程如下：1. 用ARP代理實(shí)現(xiàn)路由器和子網(wǎng)的透明連接（網(wǎng)絡(luò)層）2. 用路由轉(zhuǎn)發(fā)在IP層實(shí)現(xiàn)數(shù)據(jù)包傳遞（IP層）3. 用端口重定向?qū)崿F(xiàn)IP包上傳到應(yīng)用層（IP層）前邊我們討論過(guò)透明代理，和這里所說(shuō)的防火墻的透明模式是兩個(gè)概念。C．透明代理的采用應(yīng)用代理防火墻一般是通過(guò)設(shè)置不同用戶的訪問權(quán)限來(lái)實(shí)現(xiàn)，這樣就需要有用戶認(rèn)證體 系。c．特洛伊木馬防火墻本身預(yù)防木馬比較簡(jiǎn)單，只要不讓系統(tǒng)不能執(zhí)行下載的程序即可。a．設(shè)置專門的服務(wù)端口為了減少管理上的風(fēng)險(xiǎn)和降低設(shè)計(jì)上的難度，有一些防火墻（如東方龍馬）在防火墻上專 門添加了一個(gè)服務(wù)端口，這個(gè)端口只是用來(lái)和管理主機(jī)連接?，F(xiàn)在絕大部 分廠家，甚至包括號(hào)稱國(guó)內(nèi)最大的天融信，在軟件方面所作的工作無(wú)非也就是系統(tǒng)有針對(duì)性的裁減、防火墻部分代碼的少量改動(dòng)（絕大部分還是沒有什么改動(dòng)）和少 量的系統(tǒng)補(bǔ)丁。網(wǎng)絡(luò)防火墻設(shè)計(jì)中的問題方案：硬件？還是軟件？現(xiàn)在防火墻的功能越來(lái)越多越花哨，如此多的功能必然要求系統(tǒng)有一個(gè)高效的處理能力。 第一：這些軟件之所以有如此強(qiáng)大的生命力，是因?yàn)橛脩敉ㄟ^(guò)使用這些軟件的確能快速的獲取各種有用的資源，如果簡(jiǎn)單的通過(guò)禁止的方式，用戶的意見會(huì)非常的大，同時(shí)，各種有用的資源我們很難獲取。非法組播源的屏蔽銳捷產(chǎn)品均支持IMGP源端口檢查，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，指嚴(yán)格限定IGMP組播流的進(jìn)入端口。安全到邊緣的設(shè)計(jì)思想用戶在訪問網(wǎng)絡(luò)的過(guò)程中，首先要經(jīng)過(guò)的就是交換機(jī)，如果我們能在用戶試圖進(jìn)入網(wǎng)絡(luò)的時(shí)候，也就是在接入層交換機(jī)上部署網(wǎng)絡(luò)安全無(wú)疑是達(dá)到更好的效果。 防止IP、MAC地址的盜用 IP、MAC地址的盜用的原因：某校園網(wǎng)采用靜態(tài)IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網(wǎng)卡屬性的高級(jí)選項(xiàng)中可以隨意的更改MAC地址。即當(dāng)需要時(shí)能否存取所需的信息。均衡性原則：安全措施的實(shí)施必須以根據(jù)安全級(jí)別和經(jīng)費(fèi)限度統(tǒng)一考慮。校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)是一個(gè)要求高可靠性和安全性的網(wǎng)絡(luò)系統(tǒng)，若干重要的公文信息在網(wǎng)絡(luò)傳輸過(guò)程中不可泄露，如果數(shù)據(jù)被黑客修改或者刪除，那么就會(huì)嚴(yán)重的影響工作。 3 2：校園網(wǎng)網(wǎng)絡(luò)安全需求 3第2章 設(shè)計(jì)原則 4 實(shí)用性與經(jīng)濟(jì)性 4 擴(kuò)展性與兼容性 4 安全性與可維護(hù)性 5 整合型好 6第3章 需求分析 6第4章 項(xiàng)目網(wǎng)絡(luò)安全解決 6 網(wǎng)絡(luò)架構(gòu)圖 6 網(wǎng)絡(luò)病毒的防范 7 防止IP、MAC地址的盜用 8 安全事故發(fā)生時(shí)候，需要準(zhǔn)確定位到用戶 9 用戶上網(wǎng)時(shí)間的控制 9 用戶網(wǎng)絡(luò)權(quán)限的控制 10 各種網(wǎng)絡(luò)攻擊的有效屏蔽 10 對(duì)DOS攻擊，掃描攻擊的屏蔽 14 網(wǎng)絡(luò)設(shè)備管理 14第1章 項(xiàng)目概述 校園網(wǎng)網(wǎng)絡(luò)環(huán)境 全局性原則：安全威脅來(lái)自最薄弱的環(huán)節(jié)，必須從全局出發(fā)規(guī)劃安全系統(tǒng)。 整合型好當(dāng)前采用企業(yè)級(jí)的域控制管理模式，方便對(duì)所有學(xué)校內(nèi)所有終端用戶的管理，同時(shí)又可以將學(xué)校里計(jì)算機(jī)的納入管理范圍，極大地降低了網(wǎng)絡(luò)維護(hù)量，并能整體提高當(dāng)前網(wǎng)絡(luò)安全管理！第3章 需求分析216。 國(guó)家的要求：2002年，朱镕基簽署了282號(hào)令，要求各大INTERNET運(yùn)營(yíng)機(jī)構(gòu)（包括高校）必須要保存60天的用戶上網(wǎng)記錄，以待相關(guān)部門審計(jì)。事前的身份認(rèn)證對(duì)于每一個(gè)需要訪問網(wǎng)絡(luò)的用戶，我們需要對(duì)其身份進(jìn)行驗(yàn)證，身份驗(yàn)證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機(jī)的IP地址、用戶PC所在交換機(jī)的端口號(hào)、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡(luò)的時(shí)間，通過(guò)以上信息的綁定，可以達(dá)到如下的效果：216。 對(duì)DOS攻擊，掃描攻擊的屏蔽 通過(guò)在校園網(wǎng)中部署防止DOS攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網(wǎng)絡(luò)帶寬，避免了網(wǎng)絡(luò)設(shè)備、服務(wù)器遭受到此類攻擊時(shí)導(dǎo)致的網(wǎng)絡(luò)中斷。 第三：我們無(wú)法獲取網(wǎng)絡(luò)中的流量信息，無(wú)法為校園網(wǎng)的優(yōu)化，網(wǎng)絡(luò)管理，網(wǎng)絡(luò)故障預(yù)防和排除提供數(shù)據(jù)支撐。硬件防火墻一種是從硬件到軟件都單獨(dú)設(shè)計(jì)，典型如Netscreen防火墻不但軟件部分單獨(dú)設(shè)計(jì)，硬件部分也采用專門的ASIC集成電路。所謂安全操作系統(tǒng)，其實(shí)大多用的還是Linux，所不同的是需要做一些內(nèi)核加固和簡(jiǎn)單改造的工作，主要有以下： 取消危險(xiǎn)的系統(tǒng)調(diào)用，或者截獲系統(tǒng)調(diào)用，稍加改動(dòng)（如加載一些llkm）；限制命令執(zhí)行權(quán)限；取消IP轉(zhuǎn)發(fā)功能；檢查每個(gè)分組的接口；采用隨機(jī)連接序號(hào)；駐留分組過(guò)濾模塊；取消動(dòng)態(tài)路由功能；采用多個(gè)安全內(nèi)核（這個(gè)只見有人提出，但未見到實(shí)例，對(duì)此不是很清楚）。目前國(guó)內(nèi)有采用的是使用自定義協(xié)議、一次性口令認(rèn)證。（在管理主機(jī)與防火墻通過(guò)單獨(dú)接口通信的情況下，口令字攻擊是不存在的）來(lái)自外部的攻擊即用窮舉的辦法猜測(cè)防火墻管理的口令字，這個(gè)很容易解決，只要不把管理部分提供給外部接口即可。傳統(tǒng)方式下，防火墻安裝時(shí)，更象是一臺(tái)路由器或者網(wǎng)關(guān)，原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)往往需要改變，網(wǎng)絡(luò)設(shè)備（包括主機(jī)和路由器）的設(shè)置 （IP和網(wǎng)關(guān)、DNS、路由表等等）也需要改變。它們的共同點(diǎn)在于可以簡(jiǎn)化內(nèi)網(wǎng)客戶的設(shè)置而已。由于用戶數(shù)量不同，用戶安全要求不同，功能要求不同，因此防火墻的價(jià)格也不盡相同。這個(gè)區(qū)間的防火墻報(bào)價(jià)一般在20萬(wàn)以上。但究竟升級(jí)些什么內(nèi)容？升級(jí)周期多長(zhǎng)一次？這就涉及到一個(gè)靈活性的問題。　　(4)通過(guò)防火墻的過(guò)濾規(guī)則，實(shí)現(xiàn)端口級(jí)控制，限制局域網(wǎng)用戶對(duì)INTERNET的訪問?！　》蠢]件系統(tǒng)作用：　　(1)　拒絕轉(zhuǎn)發(fā)來(lái)自INTERNET的垃圾郵件?！　?2)　通過(guò)端口，為重要的應(yīng)用分配足夠的帶寬資源。制度內(nèi)容涉及人員進(jìn)出機(jī)房的登記制度、設(shè)備進(jìn)出機(jī)房的登記制度、設(shè)備配置修改的登記制度等?！　》?wù)器日志備份　　服務(wù)對(duì)象：主要服務(wù)器(如WWW服務(wù)器、文件服務(wù)器等)　　服務(wù)周期：一周一次　　服務(wù)內(nèi)容：備份服務(wù)器訪問日志　　服務(wù)作用：　防止日志過(guò)大導(dǎo)致檢索、分析的難度，另一方面也有利于事后的檢查。　　(3)網(wǎng)絡(luò)訪問異常(如訪問速度慢)?！　∫陨鲜羌夹g(shù)支持解決方案，技術(shù)支持是安全服務(wù)的重要補(bǔ)充部分，即使在完善的安全體系下，也存在不可預(yù)測(cè)的因素導(dǎo)致網(wǎng)絡(luò)故障，此時(shí)，需要及時(shí)、有效的技術(shù)支持服務(wù)，在盡可能短的時(shí)間內(nèi)恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行。四臺(tái)Cisco防火墻實(shí)現(xiàn)VPN網(wǎng)絡(luò)其實(shí)四臺(tái)Cisco防火墻的VPN同兩臺(tái)防火墻做VPN沒什么大的區(qū)別，只是一定要注意路由的配置；在四臺(tái)Cisco pix做VPN中，有兩種方式，一種是采用一個(gè)中心的方式，另一種就是分散式的，前者，也就是說(shuō)以一個(gè)PIX點(diǎn)為中心，其它的機(jī)器都 連到本機(jī)上，在通過(guò)本機(jī)做路由；后者，則是在每一個(gè)路由上都要寫出到另外三臺(tái)的加密方式，這里采用的就是第一種類型；　　以下，是施工圖以及四個(gè)Cisco pix的詳細(xì)配置：　　詳細(xì)配置如下：　　中心pix1：　　: Saved　　: Written by enable_15 at 23:10: UTC Thu Apr 24 2003　　PIX Version (2)　　nameif ethernet0 outside security0　　nameif ethernet1 inside security100　　enable password NHvIO9dsDwOK8b/k encrypted　　passwd NHvIO9dsDwOK8b/k encrypted　　hostname pixfirewall　　fixup protocol ftp 21　　fixup protocol 80　　fixup protocol h323 h225 1720　　fixup protocol h323 ras 17181719　　fixup protocol ils 389　　fixup protocol rsh 514　　fixup protocol rtsp 554　　fixup protocol smtp 25　　fixup protocol sqlnet 1521　　fixup protocol sip 5060　　fixup protocol skinny 2000　　names　　accesslist 101 permit ip 　　accesslist 101 permit ip 　　accesslist 101 permit ip 　　accesslist 101 permit ip 　　accesslist 101 permit ip 　　accesslist 101 permit ip 　　accesslist hyzc permit icmp any any　　accesslist hyzc permit tcp any any　　accesslist hyzc permit udp any any　　pager lines 24　　interface ethernet0 auto　　interface ethernet1 auto　　mtu outside 1500　　mtu inside 1500　　ip address outside 　　ip address inside 　　ip audit info action alarm　　ip audit attack action alarm　　pdm history enable　　arp timeout 14400　　nat (outside) 1 0 0　　nat (inside) 1 0 0　　accessgroup hyzc in interface outside　　route outside 1　　route inside 1　　route outside 1　　route outside 1　　route outside 1　　route outside 1　　route outside 1　　route outside 1　　timeout xlate 3:00:00　　timeout conn 1:00:00 halfclosed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00　　timeout uauth 0:05:00 absolute　　aaaserver TACACS+ protocol tacacs+　　aaaserver RADIUS protocol radius　　aaaserver LOCAL protocol local　　no snmpserver location　　no snmpserver contact　　snmpserver munity public　　no snmpserver enable traps　　floodguard enable　　sysopt connection permitipsec　　no sysopt route dnat　　crypto ipsec transformset strong espdes espshahmac　　crypto map tohyjt 20 ipsecisakmp　　crypto map tohyjt 20 match address 101　　crypto map tohyjt 20 set peer 　　crypto map tohyjt 20 set peer 　　crypto map tohyjt 20 set peer 　　crypto map tohyjt 20 set transformset strong　　crypto map tohyjt interface outside　　isakmp enable outside　　isakmp key cisco address netmask 　　isakmp key cisco address netmask 　　isakmp key cisco address netmask 　　isakmp identity address　　isakmp policy 9 authentication preshare　　isakmp policy 9 encryption des　　isakmp policy 9 hash sha　　isakmp policy 9 group 1　　isakmp policy 9 lifetime 86400　　telnet inside　　telnet inside　　telnet timeout 5　　ssh timeout 5　　terminal width 80　　Cryptochecksum:8982919a8bfa