【導讀】湖南科技職業(yè)學院電子信息工程與技術(shù)系畢業(yè)設計。二零一一年十二月。指導教師（簽字）：。答辯委員會（小組）負責人（簽字）：。網(wǎng)絡技術(shù)在近幾年的時間有了非常大的

　　

【正文】 有一天防火墻失效，造成 DHCP 服務器宕機會影響整個網(wǎng)絡而并不僅僅只對出口造成影響。另一種比較好的解決方法是防火墻支持基于 MAC 地址的訪問控制，在配置之前，先不添 IP 地址只添網(wǎng)卡 的 MAC 地址，開機后自動將獲得的 IP 地址傳給防火墻，防火墻根據(jù)這個 IP 地址與 MAC 地址進行綁定來實現(xiàn)訪問控制，這種方式可以實現(xiàn) IP 地址與 MAC 地址的綁定。這種方式的好處是防火墻受到破壞并不會對這個局域網(wǎng)的通訊產(chǎn)生影響， DHCP 服務器不會受到影響，整個網(wǎng)絡也不需要進行改動。 （用戶）綁定針對 IP 欺騙的行為，我校校園網(wǎng)網(wǎng)絡設置中將工作站的 IP 地址與網(wǎng)卡的 MAC 地址進行綁定。 BIND TO 015004BB71A6 BIND TO 015004BB71BC?? 這樣再改換 IP 地址就不行了，除非將網(wǎng)卡和 IP 地址都換過來才行，所以將IP 地址與 MAC 地址進行綁定，可以防止內(nèi)部的 IP 盜用。上面的綁定方式只適合與防火墻同網(wǎng)段的節(jié)點，如果其他網(wǎng)段的節(jié)點通過防火墻進行訪問時，通過網(wǎng)段的源 IP 地址與目的 IP 地址是不同的，無法實現(xiàn) IP 地址與 MAC 的綁定。實現(xiàn)方法是通過 IP 地址與用戶的綁定，因為用戶是可以跨網(wǎng)段的。另外對我校 DHCP用戶的支持，如果在用 DHCP 服務器來動態(tài)分配 IP 地址的網(wǎng)絡中，主機沒有固定的 IP 地址，解決方法是設置防火墻支持基于 MAC 地址的訪問控制， 在配置之前，先不添 IP 地址，只添加網(wǎng)卡的 MAC 地址，開機后自動將獲得的 IP 地址傳給防火墻，防火墻根據(jù)這個 IP 地址與 MAC 地址進行綁定來實現(xiàn)訪問控制，這種方式可以實現(xiàn) IP 地址與 MAC 地址的綁定。這種方式的好處是防火墻受到破壞并不會對這個局域網(wǎng)的通訊產(chǎn)生影響， DHCP 服務器不會受到影響，整個網(wǎng)絡也不需要進行改動。 MAP（端口映射）功能 通過遠程訪問 WEB 服務器域名地址就可以訪問到 Web 服務器的主頁，但這樣是直接對我的 WEB 服務器進行訪問和操作很不安全。如果有防火墻，可以把將 WEB 服務器的地址映射到 防火墻的外端口地址，做完映射以后，這些服務器可以使用私有地址，或者這些地址不公開保護起來，對外公開的 WEB 服務器的地址是防火墻的外端口地址。因此，通過這種方式有兩個優(yōu)點，第一是這些服務器可以使用私有地址，同時也隱藏了內(nèi)網(wǎng)的結(jié)構(gòu)，如果這時黑客進行攻擊，內(nèi)網(wǎng)是安全的，因為 Web 服務器公開的地址是防火墻的外端口，真正的 WEB 服務器的地址不會受到攻擊，這樣可以增加網(wǎng)絡的安全性。 比如內(nèi)部設有 WEB服務器（ ）和有一個遠程訪問客戶（ ），通過遠程訪問 WEB 服務器域名地址就可以訪問到 這個網(wǎng)頁，但這樣是直接對我的 WEB 服務器進行訪問和操作很不安全?？梢詫?WEB 服務器的地址（如）映射到防火墻的外端口地址（如 ），即： MAP :80 TO :80 MAP :21 TO :21 MAP :25 TO :25 MAP :53 TO :53 做完映射以后，這些服務器可以使用私有地址 ，或者這些地址不公開保護起湖南科技職業(yè)學院 電子信息工程與技術(shù)系 畢業(yè)設計 21 來，對外公開的 WEB 服務器的地址是 ，客戶端輸入 就可以訪問到這個 WEB 服務器。因此，通過這種方式有兩個優(yōu)點，第一是這些服務器可以使用私有地址，同時也隱藏了內(nèi)網(wǎng)的結(jié)構(gòu)，如果這時黑客進行攻擊進行掃描，內(nèi)網(wǎng)是安全的，因為 地址是防火墻的外端口，真正的 WEB服務器的地址是 不會受到攻擊，這樣可以增加網(wǎng)絡的安全性 NAT（地址轉(zhuǎn)換）功能 網(wǎng)絡地址轉(zhuǎn)換可以將內(nèi)網(wǎng)的私有地址利用防火墻的地址 轉(zhuǎn)換功能，來實現(xiàn)對地址的轉(zhuǎn)換，防火墻可以隨機設置靜態(tài)合發(fā)地址或者動態(tài)地址池，防火墻向外的報文可以從地址池里隨機找一個報文轉(zhuǎn)發(fā)出來。利用這個方式也有兩個優(yōu)點：第一可隱藏內(nèi)網(wǎng)的結(jié)構(gòu)，第二是內(nèi)部網(wǎng)絡可以使用保留地址，提供 IP 復用功能。 具體 NAT 功能配置如下： nat inside source list 22 pool pool100 nat inside destination static nat inside destination static tcp 21 21 nat inside destination static tcp 80 80 基于外網(wǎng)的防火墻功能及配置 DOS 攻擊防范 防范 DOS 攻擊的傳統(tǒng)技術(shù)主要有 4 種： ①加固操作系統(tǒng)，即配置操作系統(tǒng)各種參數(shù)以加強系統(tǒng)穩(wěn)固性 ②利用防火墻 ③負載均衡技術(shù)，即把應用業(yè)務分布到幾臺不同的服務器上 ④帶寬限制和 QOS 保證 本論文主要介紹利用防火墻來應對 DOS 的攻擊。 目前絕大數(shù)的主流防火墻都支持 IPInspect 功能，防火墻會對進入防火墻的信息進行嚴格的檢測。這樣，各種針對系統(tǒng)漏洞的攻擊包會自動被系統(tǒng)過濾掉，從而保護了網(wǎng)絡免受來自外部的系統(tǒng)漏洞攻擊。 通過設置 ACL 過濾、 TCP 監(jiān)聽功能，過濾不必要的 UDP 和ICMP 數(shù)據(jù)報 。 防火墻的基本配置如下： firewall(config)nameif fa0/1 inside security 100 firewall(config)nameif fa0/2 inside security 100 firewall(config)nameif fa0/3 outside security 0 firewall(config)int fa0/1 auto firewall(configif)ip add inside firewall(configif)no shutdown firewall(configif)int fa0/2 auto firewall(configif)ip add inside firewall(configif)no shutdown firewall(configif)int fa0/3 auto firewall(configif)ip add outside firewall(configif)no shutdown firewall(configif)exit 由于我們經(jīng)常會開啟一些小服務，例如 echo(回顯 )端口和 discard(丟棄 )端口，湖南科技職業(yè)學院 電子信息工程與技術(shù)系 畢業(yè)設計 22 用于診斷，回顯端口將重放那些端口所接受到的數(shù)據(jù)包，而丟棄端口則將數(shù)據(jù)包丟棄，由于丟棄數(shù)據(jù)包或回顯數(shù)據(jù)包 都會消耗 Pcu 周期，一些 DOS 攻擊就采用這些端口。所以建議在防火墻接口上關(guān)閉這些服務 firewall(config)no service tcpsmallservers firewall(config)no service udpsmallservers firewall(config)no service finner firewall(config)no ip directedbroadcast 訪問控制功能 防火墻最基本的功能是訪問控制功能，一個域的信息流穿過防火墻對另一 個域進行訪問的時候，防火墻可以截獲信息并對信息進行檢查，按著管理員設置的安全策略逐條進行匹配，如果符合安全策略，則逐條進行轉(zhuǎn)發(fā)；不符合則進行堵斷。因此防火墻基本的訪問控制功能是基于源 IP 地址、目的 IP 地址、源端口、目的端口、時間、流量、用戶、文件、網(wǎng)址和 MAC 地址來做訪問控制功能，這是防火墻最基本的訪問控制技術(shù)。 配置命令如下： accesslist extended 500 permit icmp ip accesslist service 1021 ftp any ip accesslist service 1025 smtp any ip accesslist service 1080 any ip accesslist service 1110 pop3 any ip accessgroup 1021 1021 input fastether 0/0output fastether 0/1 ip accessgroup 1025 1025 input fastether 0/0output fastether 0/1 ip accessgroup 1080 1080 input fastether 0/0output fastether 0/1 ip accessgroup 1110 1110 input fastether 0/0output fastether 0/1 ip accessgroup 500 500 input fastether 0/0output fastether 0/1 結(jié) 論 網(wǎng)絡安全問題越來越引起世界各國的嚴密關(guān)注，隨著計算機網(wǎng)絡在人類生活各個領(lǐng)域的廣泛應用，不斷出現(xiàn)網(wǎng)絡被非法入侵，重要資料被竊取，網(wǎng)絡系統(tǒng)癱瘓等嚴重問題，網(wǎng)絡、應用程序的安全漏洞越來越多；各種病毒泛濫成災。這一切，已給各個國家以及眾多商業(yè)公司造成巨大的經(jīng)濟損失，甚至危害到國家安全，加強網(wǎng)絡安全管理已刻不容緩。 經(jīng)過這段時間對畢業(yè)論文的設計，讓我了解到了網(wǎng)絡安全的重要性，防火墻在網(wǎng)絡安全的重要性，從對防火墻的研究，認識到了它在網(wǎng)絡中何其的重要，以前的對防火 墻不甚了解，通過在讀書館，網(wǎng)上查資料等各種途徑去了解它，去認識它。使得我頭腦里本來對它模模糊糊的 印象 逐漸變得清晰。 湖南科技職業(yè)學院 電子信息工程與技術(shù)系 畢業(yè)設計 23 在做畢業(yè)設計的時候才發(fā)現(xiàn)，認真的，專心的去做著一件事，去學習這其中的知識，去感受這中間的過程原來是這么輕松，愉快的一件事，雖然我這個畢業(yè)設計做的并不完美，但這是我用心努力的成果。 我相信我會永遠記得這段時光，讓我以后做每件事都記起這次的經(jīng)歷，激勵我不斷向前。 致謝 三年的大學生活就快走入尾聲，我們的校園生活就要劃上句號，心中是無盡的難舍與眷戀。從這里走出，對我的人生來說，將是踏上一個新的 征程，要把所學的知識應用到實際工作中去。 回首三年，取得了些許成績，生活中有快樂也有艱辛。感謝老師三年來對我孜孜不倦的教誨，對我成長的關(guān)心和愛護。學友情深，情同兄妹。三年的風風雨雨，我們一同走過，充滿著關(guān)愛，給我留下了值得珍藏的最美好的記憶。 不積跬步何以至千里，本設計能夠順利的完成，也歸功于各位任課老師的認真負責，使我能夠很好的掌握和運用專業(yè)知識，并在設計中得以體現(xiàn)。正是有了他們的悉心幫助和支持，才使我的畢業(yè)論文工作順利完成，在此向湖南科技職業(yè)學院，電子信息工程與技術(shù)系的全體老師表示由衷的謝意！在此要特別 感謝張教授在我畢業(yè)的最后關(guān)頭給了我巨大的幫助與鼓勵 ,使我能夠順利完成畢業(yè)設計，在此表示衷心的感激！ 湖南科技職業(yè)學院 電子信息工程與技術(shù)系 畢業(yè)設計 24 參考文獻 [1]《信息網(wǎng)絡安全概論》，周良洪 編著，群眾出版社， 2020 年 3 月 [2]《計算機安全技術(shù)及應用》，邵波編著，電子工業(yè)出版社， 2020 年 11 月 [3]《信息安全管理教程》，主編：龐南，中國人民公安大學出版社， 2020 年 [4]《計算機網(wǎng)絡安全技術(shù)》，蔡立軍 編著，國水利水電出版社 , 2020 年 [5]《企業(yè)網(wǎng)絡安全》，蕭文龍編著，中國鐵道出版社， 2020 年 [6]《黑客的攻擊手段及用戶對策》，余建斌 編著，北京人民郵電出版社 , 2020年 [7]《網(wǎng)絡安全與防火墻技術(shù)應用大全》，王睿 林海波等 , 清華大學出版社，2020 年 [8]《防火墻技術(shù)大全》， [美 ]Keith Richard Gary Rollie，機械工業(yè)出版社， 2020 年 3 月 [9]《 There is no loophole Information Security Implementation Guide》 [美 ] Mark Egan, Tim Mather 著，電子工業(yè)出版社， 2020 年 1 月