【文章內(nèi)容簡介】 的流量，并對流量情況加以記錄。目前，代理服務(wù)型防火墻產(chǎn)品一般還都包括有包過濾功能。 （ 1） 工作機(jī)制 外部網(wǎng)絡(luò) 篩選路由器 代理服務(wù)器 篩選路由器 內(nèi)部網(wǎng)絡(luò) 青島理工大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 10 代理服務(wù)型防火墻按如下標(biāo)準(zhǔn)步驟對接收的數(shù)據(jù)包進(jìn)行處理 ： 接收數(shù)據(jù)包 ， 檢查源地址和目標(biāo)地址 ， 檢查請求類型 ， 調(diào)用相應(yīng)的程序 ， 對請求進(jìn)行處理 以一個外部網(wǎng)絡(luò)的用戶通過 Tel 訪問內(nèi)部網(wǎng)絡(luò)中的主機(jī)為例 ： ① 接收數(shù)據(jù)包 ② 檢查源地址和目標(biāo)地址 ③ 檢查請求類型 ④ 調(diào)用相應(yīng)的程序 ⑤ 對請求進(jìn)行處理 （ 2） 性能特點(diǎn) ① 提供的安全級別高于包過濾型防火墻 ② 代理服務(wù)型防火墻可以配置成唯一的可被外部看見的主機(jī)以保護(hù)內(nèi)部主機(jī)免受外部攻擊 ③ 可以強(qiáng)制執(zhí)行用戶認(rèn)證 ④ 代理工作在客戶機(jī)和真實(shí)服務(wù)器之間，完全控制會話， 能提供 詳細(xì)的審計(jì)日志 ⑤ 代理的速度比包過濾慢 隨著因特網(wǎng)絡(luò)技術(shù)的發(fā)展，不論在速度上還是在安全上都要求防火墻技術(shù)也要更新發(fā)展，基于上下文的動態(tài)包過濾防火墻就是對傳統(tǒng)的包過濾型和代理服務(wù)型防火墻進(jìn)行了技術(shù)更新。 狀態(tài)包過濾型防火墻 為了克服包過濾模式明顯的安全性不足的問題 , 一些包過 濾型防火墻廠商推出了狀態(tài)包過濾的概念。在包過濾技術(shù)的基礎(chǔ)上，通過基于上下文的動態(tài)包過濾模塊檢查，增強(qiáng)了安全性檢查。它不再只是分別對每個進(jìn)來的包簡單地就地址進(jìn)行檢查，動態(tài)包過濾型防火墻在網(wǎng)絡(luò)層截獲進(jìn)來的包，直到足夠的數(shù)量，以便能夠確定此試圖連接的有關(guān)“ 狀態(tài) ” 。然后用防火墻系統(tǒng)內(nèi)核中 “ 專用的檢查模塊 ” 對這些包進(jìn)行檢查。安全決策所需的相關(guān)狀態(tài)信息經(jīng)過這個 “ 專用的檢查模塊 ” 檢查之后，記錄在動態(tài)狀態(tài)表中，以便對其后的數(shù)據(jù)包通訊進(jìn)行安全評估。經(jīng)過檢查的包穿過防火墻，在內(nèi)部與外部系統(tǒng)之間建立直接的聯(lián)系。 盡管基于上下文的 狀態(tài)包過濾檢查的方法明顯地提高了安全性，但它仍然無法與應(yīng)用層代理防火墻相比。動態(tài)包過濾防火墻的典型代表是 CHECKPOINT FIREWAL1 防火墻。 青島理工大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 11 第 3 章 基于企業(yè)需求分析 cisco 防火墻的具體實(shí)現(xiàn) 企業(yè)需求及背景 公司簡介 ⅹⅹ 有限公司成立于 2021 年，是由 ⅹⅹ 股份有限公司控股，整合本地優(yōu)勢資源設(shè)立的青島地區(qū)的防偽稅控服務(wù)單位，經(jīng)營范圍主要是防偽稅控、軟件開發(fā)、產(chǎn)品研發(fā)、網(wǎng)絡(luò)安全、通訊技術(shù)、系統(tǒng)集成工程，服務(wù)外包等，為企事業(yè)單位提供信息化解決方案、產(chǎn)業(yè)化培訓(xùn)服務(wù)等多項(xiàng)業(yè) 務(wù)。目前，公司已通過 ISO90012021 質(zhì)量管理體系認(rèn)證，并且已順利通過高新技術(shù)企業(yè)和軟件企業(yè)的認(rèn)定。 公司設(shè)有綜合部、經(jīng)營部、產(chǎn)品事業(yè)部、財(cái)務(wù)部、質(zhì)量部、服務(wù)支持部等部門和 8 個分公司，現(xiàn)有員工 200 余人，其中計(jì)算機(jī)類專業(yè)人員 160 余名，擁有一支朝氣蓬勃，干勁十足的隊(duì)伍通過四年來的發(fā)展，公司承擔(dān)著青島市范圍內(nèi)的防偽稅控、稅控收款機(jī)、網(wǎng)絡(luò)發(fā)票等用戶的涉稅業(yè)務(wù)，并相應(yīng)提供網(wǎng)上辦稅、遠(yuǎn)程抄報(bào)、自助報(bào)稅終端等稅務(wù)延伸產(chǎn)品。 一次入侵危機(jī) 由于日常太多的維護(hù)工作而忽略了系統(tǒng)策略及安 全政策的制定及執(zhí)行不力，管理員的日常維護(hù)工作又沒有標(biāo)準(zhǔn)可循，系統(tǒng)及數(shù)據(jù)備份也是根本沒有考慮到災(zāi)難恢復(fù)，經(jīng)常會有一些系統(tǒng)安全問題暴漏出來。 該公司網(wǎng)站使用 windows 2021 上的 IIS 作為對外的 WEB 服務(wù)器，該網(wǎng)站 WEB 服務(wù)器負(fù)責(zé)公司的信息提供和電子商務(wù)。在外網(wǎng)上部署了硬件防火墻，只允許到服務(wù)器 TCP 80端口的訪問。但是在 2021 年 11月的一天上午，一個顧客發(fā)郵件通知公司的網(wǎng)站管理員，說公司網(wǎng)站的首頁被人修改，同時發(fā)布到國內(nèi)的某黑客論壇，介紹入侵的時間和內(nèi)容。網(wǎng)管立刻查看網(wǎng)站服務(wù)器，除了網(wǎng)站首頁被更改還 發(fā)現(xiàn)任務(wù)列表中存在未知可疑進(jìn)程，并且不能殺死，同時發(fā)現(xiàn)網(wǎng)站數(shù)據(jù)庫服務(wù)器有人正在拷貝數(shù)據(jù)。網(wǎng)管及時斷開了數(shù)據(jù)服務(wù)器，利用備份程序及時恢復(fù)網(wǎng)站服務(wù)器內(nèi)容，但是過了不到半個小時，又出現(xiàn)了類似的情況。 經(jīng)過初步安全檢查，發(fā)現(xiàn)以下問題： ? 郵件服務(wù)器沒有防病毒掃描模塊； 青島理工大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 12 ? 客戶端有 W32/Mdoom@MM 郵件病毒問題； ? 路由器密碼缺省沒有修改過，非常容易被人攻擊； ? 網(wǎng)站服務(wù)器系統(tǒng)沒有安裝最新微軟補(bǔ)丁； ? 用戶訪問沒有設(shè)置復(fù)雜密碼驗(yàn)證，利用字典攻擊，非常容易猜出用戶名 和密碼； ? 數(shù)據(jù)庫系統(tǒng) SQL 2021 SA 用戶缺省沒有設(shè)置密碼； ? 數(shù)據(jù)庫系統(tǒng) SQL 2021 沒有安裝任何補(bǔ)丁程序。 對此，公司召開了緊急會議，希望藉此吸取教訓(xùn)，徹底整改，在進(jìn)行安全風(fēng)險(xiǎn)評估的基礎(chǔ)上，全面提高公司的網(wǎng)絡(luò)安全性。此次徹底整改主要涉及的是防火墻方面。 現(xiàn)狀概述 ⅹⅹ 有限公司總部設(shè)在青島市內(nèi)，在青島市郊區(qū)共有 7 個分公司。網(wǎng)絡(luò)中心設(shè)在總部。公司內(nèi)近二百臺普通客戶端和數(shù)臺服務(wù)器（主要是 OA、 VPN、財(cái)務(wù)），公司總部同分公司通過 VPN 專線進(jìn)行互聯(lián)，見圖 。由于專線在同各分公司互聯(lián)的同時也承擔(dān)公司日常辦公上的任務(wù)，經(jīng)常會遭到來自 互聯(lián)網(wǎng)絡(luò)的攻擊或入侵。 圖 公司網(wǎng)絡(luò)概況 需求分析 如果辦公網(wǎng)絡(luò)遭受入侵，將很有可能導(dǎo)致各部門的機(jī)密資料外泄，以至于泄漏重要的商業(yè)機(jī)密。防火墻是抵御黑客的第一道防線，可檢查進(jìn)出的數(shù)據(jù)包，透視應(yīng)用層協(xié)議，與既定的安全策略進(jìn)行比較。防火墻可以提供用戶認(rèn)證，負(fù)載均衡，網(wǎng)絡(luò)地址翻譯（ NAT） 青島理工大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 13 等功能，是保證網(wǎng)絡(luò)初步安全必不可少的設(shè)備。如果第一道防線沒有經(jīng)過安全的配置，這道防線就形同虛設(shè)，那么這個網(wǎng)絡(luò)就沒有安全性可言。 系統(tǒng)安全目標(biāo) 基于以上的分析，個人認(rèn)為 ⅹⅹ 公司網(wǎng)絡(luò)系統(tǒng) 安全應(yīng)該實(shí)現(xiàn)以下目標(biāo)：建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略。將 ⅹⅹ 公司局域網(wǎng)、公司服務(wù)器組和公司辦公網(wǎng)進(jìn)行有效隔離，避免公司局域網(wǎng)、公司服務(wù)器組和公司辦公網(wǎng)絡(luò)的直接通信。建立辦公網(wǎng)絡(luò)各主機(jī)和服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全。對網(wǎng)上服務(wù)請求內(nèi)容進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕。加強(qiáng)合法用戶的訪問認(rèn)證，同時將用戶的訪問權(quán)限控制在最低限度。加強(qiáng)對各種訪問的審計(jì)工作，詳細(xì)記錄對網(wǎng)絡(luò)、公開服務(wù)器的訪問行為，形成完整的系統(tǒng)日志。加強(qiáng)網(wǎng)絡(luò)安全管理，提高系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識和防范技術(shù)。 方案設(shè) 計(jì)概述 根據(jù)需求，該方案中防火墻系統(tǒng)保護(hù)的安全區(qū)域定義為 ⅹⅹ 有限公司。防火墻部署在總部邊界網(wǎng)關(guān)處，即公司局域網(wǎng)及外連路由器之間。防火墻部署采用“路由”模式加NAT 的模式通過對網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)和安全需求以及安全目標(biāo)的分析，結(jié)合公司網(wǎng)絡(luò)的實(shí)際情況，在青島 ⅹⅹ 公司局域網(wǎng)系統(tǒng)中應(yīng)該著重考慮對公司服務(wù)器組區(qū)域和公司內(nèi)部辦公網(wǎng)絡(luò)區(qū)域進(jìn)行安全防護(hù)，同時對于總部局域網(wǎng)各部門機(jī)構(gòu)服務(wù)器組網(wǎng)絡(luò)要考慮數(shù)據(jù)的保密性和完整性，對于辦公網(wǎng)要考慮服務(wù)器的安全性。建議在總部和分公司之間使用防火墻系統(tǒng)進(jìn)行安全保護(hù)，做到萬無一失。 ⅹⅹ 有限公 司網(wǎng)絡(luò)拓?fù)鋱D見圖 。 圖 ⅹⅹ 有限公司拓?fù)鋱D 青島理工大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 14 根據(jù)實(shí)際考慮及市場調(diào)查比較后，決定采用思科防火墻。設(shè)立 cisco 防火墻的主要目的是保護(hù)一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)的攻擊。對網(wǎng)絡(luò)的保護(hù)包括下列工作：拒絕未經(jīng)授權(quán)的用戶訪問，阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源。從某種意義上來說， cisco 防火墻實(shí)際上代表了一個網(wǎng)絡(luò)的訪問原則，如果某個網(wǎng)絡(luò)決定設(shè)定 cisco 防火墻，那么首先需要由網(wǎng)絡(luò)決策人員及網(wǎng)絡(luò)專家共同決定本網(wǎng)絡(luò)的安全策略 (security policy)，即 確定那些類型的信息允許通過 cisco 防火墻，那些類型的信息不允許通過 cisco 防火墻 [6]。 cisco 防火墻的職責(zé)就是根據(jù)本單位的安全策略，對外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)交流的數(shù)據(jù)進(jìn)行檢查，符合的予以放行，不符合的拒之門外。 在設(shè)計(jì) cisco 防火墻時，除了安全策略以外，還要確定 cisco 防火墻類型和拓?fù)浣Y(jié)構(gòu)。 對此次設(shè)計(jì)來說，根據(jù)此公司的實(shí)際需求， cisco 防火墻被設(shè)置在可信賴的內(nèi)部網(wǎng)絡(luò)和不可信賴的外部網(wǎng)絡(luò)之間， cisco 防火墻相當(dāng)于一個控流器，可用來監(jiān)視或拒絕應(yīng)用層的通信業(yè)務(wù)， cisco 防火墻也可以在網(wǎng)絡(luò)層和傳輸層 運(yùn)行，在這種情況下， cisco防火墻檢查進(jìn)入和離去的報(bào)文分組的 IP 和 TCP 頭部，根據(jù)預(yù)先設(shè)計(jì)的報(bào)文分組過濾規(guī)則來拒絕或允許報(bào)文分組通過。 cisco 防火墻是用來實(shí)現(xiàn)一個組織機(jī)構(gòu)的網(wǎng)絡(luò)安全措施的主要設(shè)備。 在許多情況下需要采用驗(yàn)證安全和增強(qiáng)私有性技術(shù)來加強(qiáng)網(wǎng)絡(luò)的安全或?qū)崿F(xiàn)網(wǎng)絡(luò)方面的安全措施。 Cisco 防火墻的基本構(gòu)件和技術(shù) 篩選路由器 (Screening Router) 許多路由器產(chǎn)品都具有根據(jù)給定規(guī)則對報(bào)文分組進(jìn)行篩選的功能，這些規(guī)則包括協(xié)議的類型、特定協(xié)議類型的源地址和目的地址字 段以及作為協(xié)議一部分的控制字段。例如在常用的 Cisco 路由器上就具有這種對報(bào)文分組進(jìn)行篩選的功能，這種路由器被稱為篩選路由器。最早的 Cisco 路由器只能根據(jù) IP 數(shù)據(jù)報(bào)頭部內(nèi)容進(jìn)行過濾，而目前的產(chǎn)品還可以根據(jù) TCP端口及連接建立的情況進(jìn)行過濾 , 而且在過濾語法上也有了一定改進(jìn)。 篩選路由器提供了一種強(qiáng)有力的機(jī)制，可用于控制任何網(wǎng)絡(luò)段上的通信業(yè)務(wù)類型。而通過控制一個網(wǎng)絡(luò)段上的通信業(yè)務(wù)類型，篩選路由器可以控制該網(wǎng)絡(luò)段上網(wǎng)絡(luò)服務(wù)的類型，從而可以限制對網(wǎng)絡(luò)安全有害的服務(wù)。 篩選路由器可以根據(jù)協(xié)議類型和報(bào)文分組中有關(guān)協(xié) 議字段的值來區(qū)別不同的網(wǎng)絡(luò)青島理工大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 15 通信業(yè)務(wù)。路由器根據(jù)與協(xié)議相關(guān)的準(zhǔn)則來區(qū)別和限制通過其端口的報(bào)文分組的能力被稱為報(bào)文分組過濾 . 因此，篩選路由器又稱為分組過濾路由器。 應(yīng)用篩選路由器時需要考慮的問題 （ 1） 識別危險(xiǎn)區(qū)域 由于 INTERNET 上有如此眾多的用戶，其中難免有少數(shù)居心不良的所謂“黑客”， 這種情況就象遷入一個大城市時會遇到犯罪問題一樣。 在大城市中，使用帶鎖的門來保護(hù)我們的居室是明智之舉，在這種環(huán)境下要求凡事要小心謹(jǐn)慎，因此當(dāng)有人來敲我們的門時，應(yīng)首先查看來人，再決定是否讓來人進(jìn)入。如 果來人看起來很危險(xiǎn) (安全風(fēng)險(xiǎn)很高 )，則不應(yīng)讓其進(jìn)來。 類似地，篩選路由器也通過查看進(jìn)入的分組來決定它們當(dāng)中是否有可能有害的分組。 企業(yè)網(wǎng)絡(luò)中的邊界被稱為安全環(huán)形防線，由于在 INTERNET 上危險(xiǎn)的“黑客”很多，確定一個危險(xiǎn)區(qū)域是很有用的。 這個危險(xiǎn)區(qū)域就是指通過 INTERNET可以直接訪問的所有具有 TCP/IP 功能的網(wǎng)絡(luò)。這里“具有 TCP/IP 功能”是指一臺主機(jī)支持 TCP/IP 協(xié)議和它所支持的上層協(xié)議，“直接訪問”是指在 INTERNET 和企業(yè)網(wǎng)絡(luò)的主機(jī)之間沒有設(shè)置強(qiáng)有力的安全措施 (沒有“鎖門” )。 從個人的 角度上看， INTERNET 中的地區(qū)網(wǎng)、國家網(wǎng)和主干網(wǎng)都代表著一個危險(xiǎn)區(qū)域，在危險(xiǎn)區(qū)域內(nèi)的主機(jī)對于外來攻擊的防范是很脆弱的。因此，我們希望把自己的網(wǎng)絡(luò)和主機(jī)置于危險(xiǎn)區(qū)域之外，然而，沒有相應(yīng)的設(shè)備去攔截對自己網(wǎng)絡(luò)的攻擊，則危險(xiǎn)區(qū)域?qū)由熘磷约旱木W(wǎng)絡(luò)上。 篩選路由器就是這樣一種設(shè)備，它可以用來減小危險(xiǎn)區(qū)域，從而使其不能滲透到我們網(wǎng)絡(luò)的安全防線之內(nèi)。 在企業(yè)網(wǎng)絡(luò)中，可能不是所有的主機(jī)都具有 TCP/IP 功能， 即使這樣，這些非 TPC/IP主機(jī)也可能成為容易攻擊的，盡管從技術(shù)上說它們不屬于危險(xiǎn)區(qū)域。 如果一臺非 TCP/IP主機(jī)與一臺 TCP/IP 主機(jī)相連，就會發(fā)生這種情況。入侵者可以使用一種 TCP/IP 主機(jī)和非 TCP/IP 主機(jī)都支持的協(xié)議來通過 TCP/IP 主機(jī)訪問非 TCP/IP 主機(jī)，例如：如果這兩臺主機(jī)都連在同一個以太網(wǎng)網(wǎng)段上，入侵者就可以通過以太網(wǎng)協(xié)議去訪問非 TCP/IP 主機(jī)。篩選路由器本身不能夠消除危險(xiǎn)區(qū)域， 但它們可以極為有效地減小危險(xiǎn)區(qū)域。 （ 2） 篩選路由器和 cisco 防火墻與 OSI 模型的關(guān)系 。 按照與 OSI 模型的關(guān)系將篩選路由器和 cisco 防火墻進(jìn)行比較。篩選路由器的功能相當(dāng)于 OSI 模型的網(wǎng)絡(luò)層 (IP 協(xié)議 )和傳輸層 (TCP 協(xié)議 )。 cisco 防火墻常常被描述為網(wǎng)關(guān)，而網(wǎng)關(guān)應(yīng)可以在 OSI 模型的所有七個層次上執(zhí)行處理功能。 通常，網(wǎng)關(guān)在 OSI 模青島理工大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 16 型的第七層 (應(yīng)用層 )執(zhí)行處理功能， 對于大多數(shù) cisco 防火墻網(wǎng)關(guān)來說，也確實(shí)如此。 cisco 防火墻可以執(zhí)行分組過濾功能，因?yàn)?cisco 防火墻覆蓋了網(wǎng)絡(luò)層和傳輸層。某些廠商，可能是由于市場營銷策略，模糊了篩選路由器和 cisco 防火墻之間的區(qū)別，將他們的篩選路由器產(chǎn)品稱為 cisco 防火墻產(chǎn)品， 為了清晰起見，我們根據(jù) OSI 模型對篩選路由器和 cisco 防火墻加以區(qū)別。 篩選路由 器也被稱為分組過濾網(wǎng)關(guān)。 使用“網(wǎng)關(guān)”這一術(shù)語來稱呼分組過濾設(shè)備可能有以下理由，即在傳輸層根據(jù) TCP 標(biāo)志執(zhí)行的過濾