【導(dǎo)讀】針對金融行業(yè)的特點，本文介紹了一個行業(yè)專用網(wǎng)絡(luò)的整體設(shè)計方案。本方案充分考慮到網(wǎng)絡(luò)的負載均衡和穩(wěn)定性能，所以采用三層網(wǎng)絡(luò)結(jié)構(gòu)。核心層采用兩臺設(shè)備，配置CiscoHSRP協(xié)議進行雙機熱備份。匯聚層采用雙鏈路與。路由協(xié)議則選擇安全性高、收斂速度快的OSPF協(xié)議。服務(wù)器群組則重點介紹了。對于網(wǎng)絡(luò)中可能存在的安全威脅，針對不同的需求，方案中提出了VLAN技術(shù)、

　　

【正文】 要是根 據(jù) 擁有網(wǎng)絡(luò)設(shè)備情況而定。如果原來已有邊界路由器，則此可充分利用原有設(shè)備，利用邊界路由器的包過濾功能，添加相應(yīng)的防火墻配置，這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護的內(nèi)部網(wǎng)絡(luò)連接。對于 DMZ 區(qū)中的公用服務(wù)器，則可直接與邊界路由器相連，不用經(jīng)過防火墻。它可只經(jīng)過路由器的簡單防護。在此拓撲結(jié)構(gòu)中，邊界路由器與防火墻就一起組成了兩道安全防線，并且在這兩者之間可以設(shè)置一個 DMZ 區(qū)，用來放置那些允許外部用戶訪問的公用服務(wù)器設(shè)施。應(yīng)用服務(wù)當(dāng)中EMAIL、 DNS 和 WWW 服務(wù)需要外網(wǎng)能夠訪問，因此將這些服務(wù)規(guī)劃 到 DMZ 區(qū)。 我們在核心層路由器與 Inter 之間配置一臺硬件防火墻，這樣，所有進出網(wǎng)絡(luò)的數(shù)據(jù)都要通過防火墻，而該防火墻應(yīng)具有以下的功能 ： （ 1） 包過濾：控制流出和流入的網(wǎng)絡(luò)數(shù)據(jù)，可基于源地址、源端口、目的地址、目的端口、協(xié)議和時間，根據(jù)地址簿進行設(shè)置規(guī)則 ； （ 2） 地址 轉(zhuǎn)換： 將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的 IP 地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換Source NAT（ SNAT） 和目的地址轉(zhuǎn)換 Destination NAT（ DNAT） 。 SNAT 用于對內(nèi)部網(wǎng)絡(luò)地址進行轉(zhuǎn)換，對外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來自外部其 他網(wǎng)絡(luò)的非授權(quán)訪問或惡意攻擊。并將有限的 IP 地址動態(tài)或靜態(tài)的與內(nèi)部 IP 地址對應(yīng)起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本。 DNAT 主要用于外網(wǎng)主機訪問內(nèi)網(wǎng)主機； （ 3） 認證和應(yīng)用代理：認證指防火墻對訪問網(wǎng)絡(luò)者合法身分的確定。代理指防火墻內(nèi)置用戶認證數(shù)據(jù)庫 ； 提供 HTTP、 FTP 和 SMTP 代理功能，并可對這三種協(xié)議進行訪問控制。同時支持 URL 過濾功能，防止員工在上班時間訪問某些網(wǎng)站，影響工作效率； （ 4） 透明和路由：將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服務(wù)進行幾乎透 明的訪問，同時阻止了外部未授權(quán)訪問者對專用網(wǎng)絡(luò)的非法訪問 ； 防火墻還 支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個子網(wǎng)之間的安全訪問； （ 5） 入侵檢測 ： 通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計算機系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 防火墻配置 19 NETSCREEN 防火墻是為中小型企業(yè)設(shè)計的一款產(chǎn)品，它集高安全性和高可擴展性于一身，能夠?qū)Σ《尽⒗]件、非授權(quán)訪問等進行實時監(jiān)控，并提供 VPN 服務(wù)，為用戶提供全面的保護。它構(gòu)建于 Cisco PIX 安全設(shè)備系列的基礎(chǔ)之上，能夠提供 內(nèi)部網(wǎng)到內(nèi)部網(wǎng)和遠程接入到內(nèi)部 兩種安全保護，可以防御互聯(lián)網(wǎng)中的病毒、間諜軟件的攻擊，并可阻止垃圾郵件和非法連接，在提供安全網(wǎng)絡(luò)環(huán)境的同時，也提高了員工的工作效率，為公司創(chuàng)造更高的經(jīng)濟效益。 防火墻的基本配置 公司采用的是防火墻，它的初始配置也是通過控制端口（ Console）與 PC 機的串口連接，再通過超級終端（ HyperTerminal）程序進行選項配置。也可以通過 tel 和Tftp 配置方式進行高級配置，但必需先由 Console 將防火墻的這些功能打開。 NETSCREEN 防火墻有四種用戶配置模式，即：普通模式（ Unprivileged mode）、特權(quán)模式（ Privileged Mode）、配置模式（ Configuration Mode）和端口模式（ Interface Mode）。 命令行基本信息收集： screenget syst（得到系統(tǒng)信息） screenget config（得到 config 信息） screenget log event（得到日志） 功能問題需收集下列信息： screenset ffiliter（設(shè)置過濾器） screendebug flow basic（ 是開啟基本的 debug 功能 ） screenclear db（ 是清除 debug 的緩沖區(qū) ） screenget dbuf stream（ 就可以看到 debug 的信息了 ） 性能問題需收集下列信息： screenGet per cpu detail（得到 CPU 使用率） screenGet session info（得到會話信息） screenGet per session detail（得到會話詳細信息） screenGet maclearn（透明方式下使用，獲取 MAC 硬件地址） screenGet alarm event（得到告警日志） screenGet techtftp （導(dǎo)出系統(tǒng)信息） screenGet log system（得到系統(tǒng)日志信息） screenGet log system saved（得到系統(tǒng)出錯后，系統(tǒng)自動記錄信息，該記錄重啟后不會丟失。 ） 設(shè)置接口帶寬 ： Set interface interface bandwidth number unset interface interface bandwidth 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 防火墻配置 20 設(shè)置接口的網(wǎng)關(guān) ： set interface interface gateway ip_addr unset interface interface gateway 設(shè)置接口的 區(qū)域 ， IP 地址 zone 就是網(wǎng)絡(luò)邏輯上劃分成區(qū) ， 可以在安全區(qū)或安全區(qū)內(nèi)部接口之間實施策略。 設(shè)置接口的 區(qū)域 ： set interface interface zone zone unset interface interface zone 設(shè) 置接口的 IP 地址 ： set interface interface ip ip_addr/mask set interface interface ip unnumbered interface interface2 unset interface interface ip ip_addr 接口管理設(shè)置 ： set interface manage{identreset|nsmgmt|ping|snmp|ssh|ssl|tel|webui} unset interface interface manage{identreset|nsmgmt|ping|snmp|ssh|tel|webui} WebUI：允許接口通過 Web 用戶界面 （ WebUI） 接收 HTTP 管理信息流。 Tel： 選擇此選項可啟用 Tel 管理功能。 SSH： 可使用 “ 安全命令外殼 ” （ SSH） 通過以太網(wǎng)連接或撥號調(diào)制解調(diào)器管理NetScreen 設(shè)備。必須具有與 SSH 協(xié)議版本 兼容的 SSH 客戶端。選擇此選項可啟用 SSH 管理功能。 SNMP： 選擇此選項可啟用 SNMP 管理功能。 SSL： 選擇此選項將允許接口通過 WebUI 接收 NetScreen 設(shè)備的 HTTPS 安全管理信息流。 NS Security Manager： 選擇此選項將允許接口接收 NetScreenSecurityManager 信息流。 Ping： 選此選項將允許 NetScreen 設(shè)備響應(yīng) ICMP 回應(yīng)請求，以確定是否可通過網(wǎng)絡(luò)訪問特定的 IP 地址。 IdentReset： 與 “ 郵件 ” 或 FTP 發(fā)送標識請求相類似的服務(wù)。如果它們未收到確認，會再次發(fā)送請求。處理請求期間禁止用戶訪問。啟用 Identreset 選項后， NetScreen設(shè)備將發(fā)送 TCP 重置通知以響應(yīng)發(fā)往端口 113 的 IDENT 請求，然后恢復(fù)因未確認標識請求而被阻止的訪問。 指定允許進行管理的 ip 地址 ： set interface interface manageip ip_addr unset interface interface manageip 添加只讀權(quán)限管理員 ： set admin user Roger password 2bd21wG7 privilege readonly 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 防火墻配置 21 修改帳戶為可讀寫權(quán)限 ： unset admin user Roger set admin user Roger password 2bd21wG7 privilege all 刪除用戶 ： unset admin user Roger 清除所有會話 ， 并注銷帳戶 ： clear admin name Roger 基于內(nèi)網(wǎng)的防火墻功能及配置 IP 與 MAC（用戶）綁定功能 如果在一個局域網(wǎng)內(nèi)部允許 Host A 上網(wǎng)而不允許 Host B 上網(wǎng)，則有一種方式可以欺騙防火墻進行上網(wǎng)，就是在 HostA 還沒有開機的時候，將 HostB 的 IP 地址換成Host A 的 IP 地址就可以上網(wǎng)了。那么針對 IP 欺騙的行為，解決方法是將工作站的 IP地址與網(wǎng)卡的 MAC 地址進行綁定，這樣再改換 IP 地址就不行了，除非將網(wǎng)卡和 IP地址都換過來才行，所以將 IP 地址與 MAC 地址進行綁定，可以防止內(nèi)部的 IP 盜用。但是這種綁定只適合與防火墻同網(wǎng)段的節(jié)點，如果其他網(wǎng)段的節(jié)點通過防火墻進行訪問時，通過網(wǎng)段的源 IP 地址與目的 IP 地址是不同的，無法實現(xiàn) IP 地址與 MAC 的綁定。但是可以通過 IP 地址與用戶的綁定，因為用戶是可以跨網(wǎng)段的。 另外對 DHCP 用戶的支持，如果在用 DHCP 服務(wù)器來動態(tài)分配 IP 地址的網(wǎng)絡(luò)中，主機沒有固定的 IP 地址，如何解決這樣的問題呢？目前主要有兩種方式可以解決這個問題 ，第一種是在防火墻中內(nèi)置 DHCP 服務(wù)器，但這種方式由于防火墻內(nèi)置 DHCP服務(wù)器，會導(dǎo)致防火墻本身的不安全，如果有一天防火墻失效，造成 DHCP 服務(wù)器宕機會影響整個網(wǎng)絡(luò)而并不僅僅只對出口造成影響。另一種比較好的解決方法是防火墻支持基于 MAC 地址的訪問控制，在配置之前，先不添 IP 地址只添網(wǎng)卡的 MAC 地址，開機后自動將獲得的 IP 地址傳給防火墻，防火墻根據(jù)這個 IP 地址與 MAC 地址進行綁定來實現(xiàn)訪問控制，這種方式可以實現(xiàn) IP 地址與 MAC 地址的綁定。這種方式的好處是防火墻受到破壞并不會對這個局域網(wǎng)的通訊產(chǎn)生影響， DHCP 服務(wù)器不會受到影響，整個網(wǎng)絡(luò)也不需要進行改動。綁定針對 IP 欺騙的行為， 網(wǎng)絡(luò)設(shè)置中將工作站的 IP 地址與網(wǎng)卡的 MAC 地址進行綁定。 BIND TO 015004BB71A6 BIND TO 015004BB71BC 這樣再改換 IP 地址就不行了，除非將網(wǎng)卡和 IP 地址都換過來才行，所以將 IP地址與 MAC 地址進行綁定，可以防止內(nèi)部的 IP 盜用。上面的綁定方式只適合與防火墻同網(wǎng)段的節(jié)點，如果其他網(wǎng)段的節(jié)點通過防火墻進行訪問時，通過網(wǎng)段的源 IP地址與目的 IP 地址是不同的，無法實現(xiàn) IP 地址與 MAC 的綁定。實現(xiàn)方法是通過 IP東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 防火墻配置 22 地址與用戶的綁定，因為用戶是可以跨網(wǎng)段的。另外對 DHCP 用戶的支持，如果在用 DHCP 服務(wù)器來動態(tài)分配 IP 地址的網(wǎng)絡(luò)中，主機沒有固定的 IP 地址，解決方法是設(shè)置防火墻支持基于 MAC 地址的訪問控制，在配置之前，先不添 IP 地址，只添加網(wǎng)卡的 MAC 地址，開機后自動將獲得的 IP 地址傳給防火墻，防火墻根據(jù)這個 IP 地址與 MAC 地址進行綁定來實現(xiàn)訪問控制，這種方式可以實現(xiàn) IP 地址與 MAC 地址的綁定。這種方式的好處是防火墻受到破壞并不會對這個局域網(wǎng)的通訊產(chǎn)生影響 ，DHCP 服務(wù)器不會受到影響，整個網(wǎng)絡(luò)也不需要進行改動。 MAP（端口映射）功能 通過遠程訪問 WEB 服務(wù)器域名地址就可以訪問到 Web 服務(wù)器的主頁，但這樣是直接對 WEB 服務(wù)器進行訪問和操作很不安全。如果有防火墻，可以把將 WEB 服務(wù)器的地址映射到防火墻的外端口地址，做完映射以后，這些服務(wù)器可以使用私有地址，或者這些地址不公開保護起來，對外公開的 WEB 服務(wù)器的地址是防火墻的外端口地址。因此，通過這種方式有兩個優(yōu)點，第一是這些服務(wù)器可以使用私有地址，同時也隱藏了內(nèi)網(wǎng)的結(jié)構(gòu)，如果這時黑客進行攻擊，內(nèi)網(wǎng)是安 全的，因為 Web 服務(wù)器公開的地址是防火墻的外端口，真正的 WEB 服務(wù)器的地址不會受到攻擊，這樣可以增加網(wǎng)絡(luò)的安全性。 比如內(nèi)部設(shè)有 WEB 服務(wù)器（ ）和有一個遠程訪問客戶（ ），通過遠程訪問 WEB 服務(wù)器域名地址就可以訪問到這個網(wǎng)頁，但這樣是直接對 WEB服務(wù)器進行訪問和操作很不安全?？梢詫?WEB 服務(wù)器的地址（如 ）映射到防火墻的外端口地址（如 ），即： MAP :80 TO :80 MAP :21 TO :21 MAP :25 TO :25 MAP :53 TO :53 做完映射以后，這些服務(wù)器可以使用私有地址，或者這些地址不公開保護起來，對外公開的 WEB 服務(wù)器的地址是 ，客戶端輸入 ： // 就可以訪問到這個 WEB 服務(wù)器。因此，通過這種方式有兩個優(yōu)點，第一是這些服務(wù)器可以使用私有地址，同時也隱藏了內(nèi)網(wǎng)的結(jié)構(gòu)，如果這時黑客進 行攻擊進行掃描，內(nèi)網(wǎng)是安全的，因為 地址是防火墻的外端口，真正的 WEB 服務(wù)器的地址是