【文章內(nèi)容簡(jiǎn)介】 行處理技術(shù)等經(jīng)濟(jì)實(shí)用并且經(jīng)過(guò)足夠驗(yàn)證的性能提升手段將越來(lái)越多的應(yīng)用在防火墻產(chǎn)品平臺(tái)上；相對(duì)來(lái)說(shuō)，單純的流量過(guò)濾性能是比較容易處理的問(wèn)題，而與應(yīng)用層涉及越密，性能提高所需要面對(duì)的情況就會(huì)北京聯(lián)合大學(xué) 畢業(yè)設(shè)計(jì) 5 越復(fù)雜；在大型應(yīng)用環(huán)境中，防火墻的規(guī)則庫(kù)至少有上萬(wàn)條記錄，而隨著過(guò)濾的應(yīng)用種類(lèi)的提高，規(guī)則數(shù)往往會(huì)以趨進(jìn)幾何級(jí)數(shù)的程度上升，這是對(duì)防火墻的負(fù)荷是很大的考驗(yàn)，使用不同的處理器完成不同的功能可能是 解決辦法之一，例如利用集成專(zhuān)有算法的協(xié)處理器來(lái)專(zhuān)門(mén)處理規(guī)則判斷，在防火墻的某方面性能出現(xiàn)較大瓶頸時(shí)，我們可以單純地升級(jí)某個(gè)部分的硬件來(lái)解決，這種設(shè)計(jì)有些已經(jīng)應(yīng)用到現(xiàn)有的產(chǎn)品中了，也許未來(lái)的防火墻產(chǎn)品會(huì)呈現(xiàn)出非常復(fù)雜的結(jié)構(gòu) . 本課題的設(shè)計(jì)目標(biāo) 圖 11是典型的大型企業(yè)網(wǎng)絡(luò)拓?fù)?，其中涉及了網(wǎng)絡(luò)出口的防火墻，和內(nèi)部網(wǎng)絡(luò)的 MPLS 網(wǎng)絡(luò)。本課題的主要內(nèi)容如下： ? 調(diào)研目前企業(yè)網(wǎng)絡(luò)安全的需求，并對(duì)需求進(jìn)行分析。 ? 針對(duì)企業(yè)網(wǎng)絡(luò)安全需求提出解決方案。 ? 針對(duì)上述網(wǎng)絡(luò)安全解決方案提出具體的安全部署方法。 ? 詳細(xì)設(shè)計(jì)網(wǎng)絡(luò)設(shè) 備的配置。 ? 搭建企業(yè)網(wǎng)絡(luò)安全的實(shí)驗(yàn)平臺(tái)。 ? 依據(jù)實(shí)驗(yàn)平臺(tái)進(jìn)行網(wǎng)絡(luò)測(cè)試。 圖 12 高級(jí)別需求網(wǎng)絡(luò)投票 北京聯(lián)合大學(xué) 畢業(yè)設(shè)計(jì) 6 2 需求分析 需求分析 網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，保護(hù)這些設(shè)備的正常運(yùn)行，維護(hù)主要業(yè)務(wù)系統(tǒng)的安全，是網(wǎng)絡(luò)的基本安全需求。對(duì)于各種各樣的網(wǎng)絡(luò)攻擊，如何在提供靈活且高效的網(wǎng)絡(luò)通訊及信息服務(wù)的同時(shí)，抵御和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，并且提供跟蹤攻擊的手段。網(wǎng)絡(luò)基本安全要求主要表現(xiàn)為 網(wǎng)絡(luò)正常運(yùn)行： ? 在受到攻擊的情況下，能夠保證網(wǎng)絡(luò)系統(tǒng)繼續(xù)運(yùn)行； ? 網(wǎng)絡(luò)管理 和網(wǎng)絡(luò)部署的資料不被竊??； ? 具備先進(jìn)的入侵檢測(cè)及 跟蹤體系； ? 提供靈活而高效的內(nèi)外通訊服務(wù)。 因此根據(jù)對(duì)于網(wǎng)絡(luò)的不同需求，將網(wǎng)絡(luò)的安全級(jí)別進(jìn)行劃分為低級(jí)別需求、中級(jí)別需求、高級(jí)別需求。 根據(jù)不同的級(jí)別需求，設(shè)計(jì)不同的解決方案，并進(jìn)行實(shí)施。 需求調(diào)研 通過(guò)調(diào)研企業(yè)對(duì)于安全需求主要體現(xiàn)在以下幾點(diǎn)： ? 可抵御攻擊類(lèi)型， DoS/DDoS 攻擊（如 CC、 SYN flood、 DNS Query Flood、SYN Flood、 UDP Flood 等）、 ARP 欺騙攻擊、 TCP 報(bào)文標(biāo)志位不合法攻擊、Large ICMP 報(bào)文攻擊、地址掃描攻擊 和端口掃描攻擊等多種惡意攻擊 ； ? 可對(duì) 黑名單 進(jìn)行設(shè)置及管理 、 MAC 綁定、 惡意或有害 內(nèi)容 的 過(guò)濾等 ； ? 對(duì) 應(yīng)用層報(bào)文過(guò)濾，對(duì)每一個(gè)連接狀態(tài)信息的維護(hù)監(jiān)測(cè)并動(dòng)態(tài)地過(guò)濾數(shù)據(jù)包，以及 對(duì)應(yīng)用層協(xié)議的狀態(tài)監(jiān)控 ； ? 能夠搭建 VPN，其中 集成 IPSec、 L2TP、 GRE 和 SSL等多種成熟 VPN 接入技術(shù)，保證移動(dòng)用戶、合作伙伴和分支機(jī)構(gòu)安全、便捷的接入 ； ? 對(duì) 應(yīng)用層內(nèi)容過(guò)濾 ， 有效的識(shí)別網(wǎng)絡(luò)中各種 P2P 模式的應(yīng)用，并且對(duì)這些應(yīng)用采取限流的控制措施，有效保護(hù)網(wǎng)絡(luò)帶寬； ? 可對(duì) 郵件過(guò)濾，提供 SMTP 郵件地址、標(biāo)題、附件和內(nèi)容過(guò)濾； 可對(duì) 網(wǎng)頁(yè) 進(jìn)行 過(guò)濾，提供 HTTP URL 和 內(nèi)容過(guò)濾 ； ? 支持 NAT 應(yīng)用 ，提 供多對(duì)一、多對(duì)多、靜態(tài)網(wǎng)段、雙向轉(zhuǎn)換 、 Easy IP 和DNS 映射等 NAT 應(yīng)用方式； ? 支持多種應(yīng)用協(xié)議正確穿越 NAT，提供 DNS、 FTP、 、 NBT 等 NAT ALG功能 ； ? 支持基于用戶身份的管理，實(shí)現(xiàn)不同身份的用戶擁有不同的命令執(zhí)行權(quán)限，北京聯(lián)合大學(xué) 畢業(yè)設(shè)計(jì) 7 并且支持用戶視圖分級(jí)，對(duì)于不同級(jí)別的用戶賦予不同的管理配置權(quán)限； ? 可提供 各種日志功能、流量統(tǒng)計(jì)和分析功能、各種事件監(jiān)控和統(tǒng)計(jì)功能、郵件告警功能。 可行性分析 技術(shù)可行性及方案選擇 鑒于目前網(wǎng)絡(luò)設(shè)備技術(shù)的不斷提高，對(duì) 于保護(hù)內(nèi)部網(wǎng)絡(luò)安全的的各種相應(yīng)手段不斷更新，使得在需求調(diào)研中的各種需求可以完全實(shí)現(xiàn)。并保證網(wǎng)路的安全性。 在方案的選擇方面，將網(wǎng)絡(luò)的需求分為高中低三個(gè)級(jí)別進(jìn)行設(shè)計(jì)。在圖 31 中，每一個(gè)級(jí)別的需求都是相關(guān)聯(lián)的。即如圖，低級(jí)別的需求包含在中級(jí)別當(dāng)中，中級(jí)別的需求包含在高級(jí)別當(dāng)中。 圖 21 不同級(jí)別解決方案關(guān)系圖 北京聯(lián)合大學(xué) 畢業(yè)設(shè)計(jì) 8 3 總體設(shè)計(jì) 企業(yè)網(wǎng)絡(luò)安全 體系 總體設(shè)計(jì) 針對(duì)網(wǎng)絡(luò)安全解決方案，設(shè)計(jì)了企業(yè)安全體系，依據(jù)安全體系對(duì)解決方案進(jìn)行規(guī)劃如圖 41。其中分別涉及有： ? 硬件安全監(jiān)控技術(shù)，防火墻位于內(nèi)部網(wǎng)絡(luò)和外部 網(wǎng)絡(luò)之間，屬于邊界設(shè)備，因此內(nèi)部的數(shù)據(jù)以及外部的數(shù)據(jù)都需要經(jīng)過(guò)防火墻。因此，大量的數(shù)據(jù)包，數(shù)據(jù)流，以及各種攻擊都會(huì)首先經(jīng)過(guò)防火墻。這時(shí)，防護(hù)墻的會(huì)自動(dòng)記錄下每一個(gè)攻擊，每一個(gè)數(shù)據(jù)的源 ip，目的 ip，源端口，目的端口，協(xié)議類(lèi)型，攻擊事件等。對(duì)于網(wǎng)絡(luò)管理者，更好的了解網(wǎng)絡(luò)安全的威脅，以及防火墻的處理數(shù)據(jù)的能力有更好的認(rèn)識(shí)。 ? 硬件安全防護(hù)技術(shù)，防火墻更多的是處理數(shù)據(jù)流，和數(shù)據(jù)包的工作。因此，在安全解決方案中，主要做的是對(duì)于各種攻擊的防護(hù)，其中包括有 DDos 攻擊，非法數(shù)據(jù)包檢測(cè)，防掃描等。 ? 硬件安全隧道加密，主要是 在內(nèi)部網(wǎng)絡(luò)的中利用 MPLS 網(wǎng)絡(luò)來(lái)承載企業(yè)的各種業(yè)務(wù)，這樣既有安全性，同時(shí)也提高了傳輸速度。主要的是利用 BGP 來(lái)承載 MPLS_VPN 的各種業(yè)務(wù)數(shù)據(jù)。 ? 硬件防護(hù)安全策略，安全策略是防火墻的主要防御措施，利用防火墻的各種協(xié)議技術(shù)，來(lái)針對(duì)性的對(duì)防火墻進(jìn)行策略設(shè)置，起到安全的效果。其具體流程，第一步設(shè)計(jì)安全策略，第二步配置安全策略，第三步應(yīng)用安全策略，第四步驗(yàn)證安全策略，第五步整改不完善的安全策略。 硬 件 安 全 監(jiān) 控 技 術(shù) 硬 件 安 全 防 護(hù) 技 術(shù) 硬 件 安 全 防 護(hù) 策 略硬 件 安 全 隧 道 加 密企 業(yè) 安 全 體 系提 供 硬 件 ， 滿 足 網(wǎng)絡(luò) 流 監(jiān) 控 和 流 分 析防 D D O S 攻 擊 、 非法 數(shù) 據(jù) 包 檢 測(cè) 、 防掃 描 、 等 網(wǎng) 絡(luò) 攻 擊M P L S _ V P N 技 術(shù)入 侵 檢 測(cè) ， A C L設(shè) 置 等圖 31 企業(yè)安全體系 北京聯(lián)合大學(xué) 畢業(yè)設(shè)計(jì) 9 網(wǎng)絡(luò)安全設(shè)計(jì) 關(guān)于網(wǎng)絡(luò) 安全的設(shè)計(jì)，主要是了解目前網(wǎng)絡(luò)上的主流攻擊方式，以及各種攻擊方式的原理，針對(duì)攻擊進(jìn)行相應(yīng)的設(shè)置。在模擬階段，根據(jù)原理對(duì)防火墻進(jìn)行模擬攻擊。在對(duì)網(wǎng)路安全解決方案的設(shè)計(jì)過(guò)程中，必然要考慮的是如何抵御各種網(wǎng)絡(luò)攻擊，在設(shè)計(jì)抵御網(wǎng)絡(luò)攻擊的同時(shí)要了解各種攻擊的原理，攻擊方式，才能在模擬攻擊時(shí)利用軟件進(jìn)行攻擊。具體操作流程如圖 43 設(shè) 計(jì) 網(wǎng) 絡(luò) 安 全 解 決 方 案了 解 網(wǎng) 絡(luò) 攻 擊 原 理 和攻 擊 方 法實(shí) 施 安 全 解 決 方 案 利 用 軟 件 模 擬 攻 擊 手 段實(shí) 施 模 擬 攻 擊檢 測(cè) 完 全 防 御 效 果 圖 32 模擬攻擊以及方案實(shí)施流程圖 對(duì)于攻擊方案采用 sniffer 軟件進(jìn)行模擬攻擊，檢測(cè)防范攻擊的方式采用 debug來(lái)進(jìn)行檢測(cè) 觀察。 以下是具體的各種攻擊的攻擊原理，和攻擊方式： IP 地址欺騙（ IP Spoofing）攻擊 (1) 非盲目式攻擊 這類(lèi)攻擊一般發(fā)生在攻擊者與被攻擊者位于同一個(gè)子網(wǎng)中。這樣攻擊者可以監(jiān)聽(tīng)到序列號(hào)和確認(rèn)號(hào)，消除了精確計(jì)算這些序號(hào)的潛在難度。這種類(lèi)型的攻擊種最有威脅性的一種是會(huì)話劫持。攻擊者通過(guò)侵入一個(gè)已經(jīng)建立的連接的數(shù)據(jù)流，然后根據(jù)正確的序列號(hào)和確認(rèn)號(hào)從新建立一個(gè)連接。通過(guò)這種技術(shù)，攻擊者可以有效的繞過(guò)設(shè)置在建立連接過(guò)程種的驗(yàn)證措施從而建立有效連接。 (2) 盲目攻擊 更加復(fù)雜的攻擊方式。為了 獲取序號(hào)，需要發(fā)送一些數(shù)據(jù)保到目標(biāo)機(jī)器一起來(lái)取樣序列號(hào)。以前的機(jī)器使用基本技術(shù)來(lái)產(chǎn)生序列號(hào)，這就使得獲取序列號(hào)變得相對(duì)簡(jiǎn)單，可以通過(guò)研究 TCP 會(huì)話和數(shù)據(jù)包獲得精確的生成公式?，F(xiàn)在大多數(shù)的操作系統(tǒng)通過(guò)隨機(jī)數(shù)生成他們的序列號(hào)，這樣預(yù)測(cè)序列號(hào)就變得相對(duì)復(fù)雜很多。 (3) Man in the Middle 攻擊 在這種攻擊中，一個(gè)有惡意的第三方侵入兩個(gè)友好方之間的合法會(huì)話。第三方控北京聯(lián)合大學(xué) 畢業(yè)設(shè)計(jì) 10 制會(huì)話的數(shù)據(jù)流然后可以消除或者改變某些原始發(fā)送的信息，而這種改變實(shí)在兩個(gè)正常通信的主機(jī)都不知道的情況下發(fā)生的。用這種方式，一個(gè)攻擊者就 可以通過(guò)“欺騙”原始發(fā)送者的身份騙另一個(gè)人泄漏某些機(jī)密信息。 (4) 拒絕服務(wù)攻擊 IP 欺騙技術(shù)幾乎總是被使用在目前最難防范的一個(gè)攻擊技術(shù) —— 拒絕服務(wù)攻擊之中。由于攻擊這只是消耗系統(tǒng)的帶寬和資源，他們不需要關(guān)心完成完整的三次握手和交易。更甚者，他們希望在一個(gè)短的時(shí)間內(nèi)泛洪到目標(biāo)主機(jī)盡可能多的數(shù)據(jù)包。為了延長(zhǎng)攻擊的效果，他們偽裝自己的原始 IP 地址，這樣對(duì)于 DOS 攻擊的追蹤和制止就十分困難。 Land 攻擊 1 攻擊原理 是一種使用相同的源和目的主機(jī)和端口發(fā)送數(shù)據(jù)包到某臺(tái)機(jī)器的攻擊。結(jié)果通常使存在漏洞 的機(jī)器崩潰。 2 攻擊方法 在 Land 攻擊中，一個(gè)特別打造的 SYN 包中的源地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址，這時(shí)將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送 SYN 一 ACK 消息，結(jié)果這個(gè)地址又發(fā)回 ACK 消息并創(chuàng)建一個(gè)空連接，每一個(gè)這樣的連接都將保留直到超時(shí)掉。 Smurf 攻擊 1 攻擊原理 ICMP 可以用來(lái)傳遞主要的狀態(tài)和錯(cuò)誤信息，比如更改網(wǎng)絡(luò)的配置和其它的網(wǎng)絡(luò)傳輸問(wèn)題。因此， ICMP 是一個(gè)診斷主機(jī)和網(wǎng)絡(luò)設(shè)備及配置問(wèn)題的一個(gè)有價(jià)值的工具。但同時(shí)， ICMP 也成為用來(lái)攻擊網(wǎng)絡(luò)或主機(jī)的一種途徑，導(dǎo)致網(wǎng)絡(luò)重 載進(jìn)而拒絕為合法用戶提供服務(wù)。 Smurf 攻擊就是利用發(fā)送 ICMP 應(yīng)答包來(lái)導(dǎo)致目標(biāo)主機(jī)的服務(wù)拒絕攻擊。 2 攻擊方法 在 Smurf 攻擊中， ICMP 應(yīng)答請(qǐng)求數(shù)據(jù)包中的目標(biāo) IP 是一個(gè)網(wǎng)絡(luò)的廣播 IP 地址，源 IP 地址是其要攻擊主機(jī)的 IP 地址。這種攻擊方式主要由 3 部分組成：攻擊者、中間媒介 (主機(jī)、路由器和其它網(wǎng)絡(luò)設(shè)備 )和被攻擊者。當(dāng)攻擊者發(fā)送一個(gè) ICMP 請(qǐng)求應(yīng)答包時(shí)，他并不將自己機(jī)器的 IP 作為源 IP。相反，攻擊者將被攻擊對(duì)象的 IP 作為包的源 IP。當(dāng)中間媒介收到一個(gè)指向其所在網(wǎng)絡(luò)的廣播地址后，中間媒介將向源 IP(被攻擊者的 IP)發(fā)送一個(gè) ICMP 應(yīng)答包。當(dāng)一個(gè)網(wǎng)絡(luò)的機(jī)器均對(duì) ICMP 應(yīng)答請(qǐng)求包做出響應(yīng)時(shí)，可能會(huì)導(dǎo)致網(wǎng)絡(luò)擁塞或拒絕服務(wù)甚至崩潰。 北京聯(lián)合大學(xué) 畢業(yè)設(shè)計(jì) 11 WinNuke 攻擊 WinNuke 攻擊又稱帶外傳輸攻擊，它的特征是攻擊目標(biāo)端口，被攻擊的目標(biāo)端口通常是 13 13 13 11 53，而且 URG 位設(shè)為“ 1”，即緊急模式。 SYN Flood 攻擊 1 攻擊原理 SYN Flood 是當(dāng)前最流行的 DoS（拒絕服務(wù)攻擊）與 DdoS（分布式拒絕服務(wù)攻擊）的方式之一，這是一種利用 TCP 協(xié)議缺陷，發(fā)送大量偽造的 TCP 連接請(qǐng)求 ，從而使得被攻擊方資源耗盡（ CPU 滿負(fù)荷或內(nèi)存不足）的攻擊方式。 2 攻擊方法 在 TCP 連接的三次握手中，假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了 SYN 報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出 SYN+ACK 應(yīng)答報(bào)文后是無(wú)法收到客戶端的 ACK 報(bào)文的（第三次握手無(wú)法完成），這種情況下服務(wù)器端一般會(huì)重試（再次發(fā)送 SYN+ACK 給客戶端）并等待一段時(shí)間后丟棄這個(gè)未完成的連接，這段時(shí)間的長(zhǎng)度稱為 SYN Timeout(大約為 30 秒 2 分鐘），如果有一個(gè)惡意的攻擊者大量模擬這種情況，服務(wù)器端將維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資 源，服務(wù)器端將忙于處理攻擊者偽造的 TCP 連接請(qǐng)求而無(wú)暇理睬客戶的正常請(qǐng)求 ， 服務(wù)器失去響應(yīng)，這種情況我們稱作：服務(wù)器端受到了 SYN Flood 攻擊（ SYN 洪水攻擊）。 ICMP 和 UDP Flood 攻擊 UDP Flood 是日漸猖厥的流量型 DoS 攻擊，原理也很簡(jiǎn)單。常見(jiàn)的情況是利用大量 UDP 小包沖擊 DNS 服務(wù)器或 Radius 認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。 100k pps的 UDP Flood 經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱，造成整個(gè)網(wǎng)段的癱瘓。由于UDP 協(xié)議是一種無(wú)連接的服務(wù)，在 UDP FLOOD 攻擊中，攻擊者可發(fā)送大量偽造源IP 地址的小 UDP 包。但是，由于 UDP 協(xié)議是無(wú)連接性的，所以只要開(kāi)了一個(gè) UDP的端口提供相關(guān)服務(wù)的話，那么就可針對(duì)相關(guān)的服務(wù)進(jìn)行攻擊。 地址掃描與端口掃描攻擊 從本質(zhì)上來(lái)說(shuō)，端口掃描包括向每一個(gè)端口發(fā)送消息，每次只發(fā)一條。所接收到的響應(yīng)類(lèi)型表明該端口是否被使用，進(jìn)而可以對(duì)它進(jìn)行探測(cè)以尋找其弱點(diǎn)。對(duì)端口所進(jìn)行的掃描通常發(fā)生在面向連接的 TCP 端口上，所以攻擊者會(huì)得到有效的反饋信息。 Ping of Death 攻擊 Ping of Death，就是利用一 些尺寸超大的 ICMP 報(bào)文對(duì)系統(tǒng)進(jìn)行的一種攻擊。 IP北京聯(lián)合大學(xué) 畢業(yè)設(shè)計(jì) 12 報(bào)文的長(zhǎng)度字段為 16 位，這表明一個(gè) IP 報(bào)文的最大長(zhǎng)度為 65535。對(duì)于 ICMP 回應(yīng)請(qǐng)求報(bào)文，如果數(shù)據(jù)長(zhǎng)度大于