【正文】 因此，通過這種方式有兩個優(yōu)點，第一是這些服務器可以使用私有地址，同時也隱藏了內(nèi)網(wǎng)的結(jié)構(gòu)，如果這時黑客進 行攻擊進行掃描，內(nèi)網(wǎng)是安全的，因為 地址是防火墻的外端口，真正的 WEB 服務器的地址是 不。 比如內(nèi)部設有 WEB 服務器（ ）和有一個遠程訪問客戶（ ），通過遠程訪問 WEB 服務器域名地址就可以訪問到這個網(wǎng)頁，但這樣是直接對 WEB服務器進行訪問和操作很不安全。如果有防火墻，可以把將 WEB 服務器的地址映射到防火墻的外端口地址，做完映射以后，這些服務器可以使用私有地址，或者這些地址不公開保護起來，對外公開的 WEB 服務器的地址是防火墻的外端口地址。這種方式的好處是防火墻受到破壞并不會對這個局域網(wǎng)的通訊產(chǎn)生影響 ，DHCP 服務器不會受到影響，整個網(wǎng)絡也不需要進行改動。實現(xiàn)方法是通過 IP東華理工大學軟件學院畢業(yè)設計（論文） 防火墻配置 22 地址與用戶的綁定，因為用戶是可以跨網(wǎng)段的。 BIND TO 015004BB71A6 BIND TO 015004BB71BC 這樣再改換 IP 地址就不行了，除非將網(wǎng)卡和 IP 地址都換過來才行，所以將 IP地址與 MAC 地址進行綁定，可以防止內(nèi)部的 IP 盜用。這種方式的好處是防火墻受到破壞并不會對這個局域網(wǎng)的通訊產(chǎn)生影響， DHCP 服務器不會受到影響，整個網(wǎng)絡也不需要進行改動。 另外對 DHCP 用戶的支持，如果在用 DHCP 服務器來動態(tài)分配 IP 地址的網(wǎng)絡中，主機沒有固定的 IP 地址，如何解決這樣的問題呢？目前主要有兩種方式可以解決這個問題 ，第一種是在防火墻中內(nèi)置 DHCP 服務器，但這種方式由于防火墻內(nèi)置 DHCP服務器，會導致防火墻本身的不安全，如果有一天防火墻失效，造成 DHCP 服務器宕機會影響整個網(wǎng)絡而并不僅僅只對出口造成影響。但是這種綁定只適合與防火墻同網(wǎng)段的節(jié)點，如果其他網(wǎng)段的節(jié)點通過防火墻進行訪問時，通過網(wǎng)段的源 IP 地址與目的 IP 地址是不同的，無法實現(xiàn) IP 地址與 MAC 的綁定。 指定允許進行管理的 ip 地址 ： set interface interface manageip ip_addr unset interface interface manageip 添加只讀權(quán)限管理員 ： set admin user Roger password 2bd21wG7 privilege readonly 東華理工大學軟件學院畢業(yè)設計（論文） 防火墻配置 21 修改帳戶為可讀寫權(quán)限 ： unset admin user Roger set admin user Roger password 2bd21wG7 privilege all 刪除用戶 ： unset admin user Roger 清除所有會話 ， 并注銷帳戶 ： clear admin name Roger 基于內(nèi)網(wǎng)的防火墻功能及配置 IP 與 MAC（用戶）綁定功能 如果在一個局域網(wǎng)內(nèi)部允許 Host A 上網(wǎng)而不允許 Host B 上網(wǎng)，則有一種方式可以欺騙防火墻進行上網(wǎng)，就是在 HostA 還沒有開機的時候，將 HostB 的 IP 地址換成Host A 的 IP 地址就可以上網(wǎng)了。處理請求期間禁止用戶訪問。 IdentReset： 與 “ 郵件 ” 或 FTP 發(fā)送標識請求相類似的服務。 NS Security Manager： 選擇此選項將允許接口接收 NetScreenSecurityManager 信息流。 SNMP： 選擇此選項可啟用 SNMP 管理功能。必須具有與 SSH 協(xié)議版本 兼容的 SSH 客戶端。 Tel： 選擇此選項可啟用 Tel 管理功能。 ） 設置接口帶寬 ： Set interface interface bandwidth number unset interface interface bandwidth 東華理工大學軟件學院畢業(yè)設計（論文） 防火墻配置 20 設置接口的網(wǎng)關(guān) ： set interface interface gateway ip_addr unset interface interface gateway 設置接口的 區(qū)域 ， IP 地址 zone 就是網(wǎng)絡邏輯上劃分成區(qū) ， 可以在安全區(qū)或安全區(qū)內(nèi)部接口之間實施策略。 NETSCREEN 防火墻有四種用戶配置模式，即：普通模式（ Unprivileged mode）、特權(quán)模式（ Privileged Mode）、配置模式（ Configuration Mode）和端口模式（ Interface Mode）。 防火墻的基本配置 公司采用的是防火墻，它的初始配置也是通過控制端口（ Console）與 PC 機的串口連接，再通過超級終端（ HyperTerminal）程序進行選項配置。 東華理工大學軟件學院畢業(yè)設計（論文） 防火墻配置 19 NETSCREEN 防火墻是為中小型企業(yè)設計的一款產(chǎn)品，它集高安全性和高可擴展性于一身，能夠?qū)Σ《尽⒗]件、非授權(quán)訪問等進行實時監(jiān)控，并提供 VPN 服務，為用戶提供全面的保護。同時支持 URL 過濾功能，防止員工在上班時間訪問某些網(wǎng)站，影響工作效率； （ 4） 透明和路由：將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。 DNAT 主要用于外網(wǎng)主機訪問內(nèi)網(wǎng)主機； （ 3） 認證和應用代理：認證指防火墻對訪問網(wǎng)絡者合法身分的確定。 SNAT 用于對內(nèi)部網(wǎng)絡地址進行轉(zhuǎn)換，對外部網(wǎng)絡隱藏起內(nèi)部網(wǎng)絡的結(jié)構(gòu)，避免受到來自外部其 他網(wǎng)絡的非授權(quán)訪問或惡意攻擊。應用服務當中EMAIL、 DNS 和 WWW 服務需要外網(wǎng)能夠訪問，因此將這些服務規(guī)劃 到 DMZ 區(qū)。它可只經(jīng)過路由器的簡單防護。然后再利用防火墻與需要保護的內(nèi)部網(wǎng)絡連接。 在這種應用環(huán)境中，在網(wǎng)絡拓撲結(jié)構(gòu)上可以有兩種選擇，這主要是根 據(jù) 擁有網(wǎng)絡設備情況而定。 通過 NAT（ 網(wǎng)絡地址轉(zhuǎn)換 ） 技術(shù) 將受保護的內(nèi)部網(wǎng)絡的全部主機地址映射成防火墻上設置的少數(shù)幾個有效公網(wǎng) IP 地址。雖然內(nèi)部網(wǎng)絡和 DMZ 區(qū)都屬于內(nèi)部網(wǎng)絡的一部分，但它們的安全級別 （ 策略 ） 是不同的。 DMZ（ 非軍事區(qū) ） ：它是從內(nèi)部網(wǎng)絡中劃分的一個小區(qū)域，在其中就包括內(nèi)部網(wǎng)絡中用于公眾服務的外部服務器，如 Web 服務器、郵件服務器、 DNS 服務器等，它們都是為互聯(lián)網(wǎng)提供某種信息服務。 外部網(wǎng)絡：這是防火墻要防護的對象，包括外部網(wǎng)主機和設備。 在實際應用環(huán)境中，一般情況下防火墻網(wǎng)絡可劃分為三個不同級別的安全區(qū)域： 內(nèi)部網(wǎng)絡：這是防火墻要保護的對象，包括全部的內(nèi)部網(wǎng)絡設備及用戶主機。 防火墻網(wǎng)絡安全策略 討論防火墻安全策略一般實施兩個基本設計方針之一： （ 1） 拒絕訪問除明確許可以外的任何一種服務，即拒絕一切未予特許的東西 ； （ 2） 允許訪問除明確拒絕以外的任何一種服務，即允許一切未被特別拒絕的東西 。硬件防火墻一般使用經(jīng)過內(nèi)核編譯后的 Linux，憑借 Linux 本身的高可靠性和穩(wěn)定性保證了防火墻整體的穩(wěn)定性。硬件防火墻是把軟件嵌入到硬件中，由硬件執(zhí)行這些功能，這樣就減 少了CPU 的負擔，使路由更穩(wěn)定。 東華理工大學軟件學院畢業(yè)設計（論文） 防火墻配置 17 4. 防火墻配置 飛速發(fā)展的信息時代，在殘酷競爭的市場，誰先掌握了信息誰就先掌握了契機，Inter 的迅猛發(fā)展?jié)M足了人們對信息的渴求，同時 Inter 里也存在著許多不安全的因素，網(wǎng)絡信息的非法獲取、網(wǎng)絡體系的不期破壞等等，都將為企業(yè)帶來難以估計的損失，這時，防火墻以一個安全衛(wèi)士的身份應運而生，實現(xiàn)著管理者的安全策略，有效地維護這企業(yè)保護網(wǎng)絡的安全。當然，寫完訪問列表后，要將其應用在相應的端口上。 標準訪問列表配置命令 ： Router(config)accesslist [accesslistnumber] {permit|deny} source [mask] /*為訪問列表設置參數(shù) ， IP 標準訪問列表編號 1 到 99， 缺省的通配符掩碼 = */ 東華理工大學軟件學院畢業(yè)設計（論文） 安全策略 16 Router(configif)ip accessgroup [accesslistnumber] { in | out } /*在端口上應用訪問列表 ， 指明是進方向還是出方向 */ 擴展訪問列表配置命令 ： Router(config) accesslist [accesslistnumber] { permit | deny } protocol source sourcewildcard [operator port] destination destinationwildcard [ operator port ] [ established ] [log] /*為標準訪問列表設置參數(shù) ， 可具體到某個端口 ， 某種協(xié)議 */ 根據(jù)公司各部門的性質(zhì)，我們可根據(jù)需要在匯聚層的設備上配置訪問控制。標準訪問列表的編號是從 1— 99，它只使用數(shù)據(jù)包的源 IP 地址作為條件測試，只有允許或拒絕兩個操作，通常是對一個協(xié)議 產(chǎn)生作用，不區(qū)分 IP 流量類型。使用訪問控制列表不但能過濾通過路由器的數(shù)據(jù)包，而且也是控制網(wǎng)絡中數(shù)據(jù)流量的一個重要方法。訪問控制列表 （ ACL） 是應用在路由器接口的指令列表。它是保證網(wǎng)絡安全最重要的核心策略之一。 Trunk 端口一般為交換機和交換機之間的級聯(lián)端口，用于傳遞所有 vlan信息 。 Trunk 是一種封裝技術(shù)，它是一條點到點的鏈路 ，鏈路的兩端可以都是交換機，也可以是交換機和路由器。另外， VLAN 為網(wǎng)絡管理帶來了很大的方便，將每個部門劃分為一個 VLAN，每個 VLAN 內(nèi)的客戶終端需求是基本相似的，對于故障排查或者軟件升級等都比較方便，大大提高了網(wǎng)絡管理人員的工作效率。 將各部門劃屬不同的 VLAN，它們之間是不能通信的，這樣能有效避免部門間的越權(quán)訪問，特別是 資產(chǎn)管理部這樣的數(shù)據(jù)比較敏感的部門，對于那些與他不屬于一個VLAN 的電腦是無法訪問它的。 VLAN 要為了解決交換機在進行局域網(wǎng)互連時無法限制廣播的問題。 安全策略部署 VLAN 技術(shù) VLAN（ Virtual Local Area Network）的中文名為“虛擬 局域網(wǎng) ”。 安全產(chǎn)品選型原則 XX 金融公司網(wǎng)絡屬于一個行業(yè)的專用網(wǎng)絡，因此在安全產(chǎn)品的選型上，必須慎東華理工大學軟件學院畢業(yè)設計（論文） 安全策略 14 重。能夠?qū)κ褂?HTTP、 FTP 傳輸?shù)奈募约皩κ褂?SMTP、 POP3 和 IMAP 協(xié)議傳送的郵件正文、附件進行病毒檢查過濾，并可根據(jù)文件擴展名選擇過濾或者不過濾的附件類型等。上網(wǎng)行為管理只對用戶區(qū)域的數(shù)據(jù)進行監(jiān)控和管理 。 安全級別定義： （ 1） 公網(wǎng)區(qū)域為不可信任區(qū)； （ 2） DMZ 區(qū)域為中立區(qū)域，允許部分外網(wǎng)用戶連接（比如：網(wǎng)站對外服務等）但受到防火墻嚴 格控制； （ 3） 內(nèi)部用戶區(qū)域為信任 區(qū)域。 在 防火墻上進行設置，包括用 ACL 進行流量控制、關(guān)閉病毒端口、 NAT 的轉(zhuǎn)換等。 內(nèi)網(wǎng)方面安全區(qū)域劃分五個區(qū)域： 外網(wǎng)（黨政信息內(nèi)網(wǎng)）、 DMZ 區(qū)域（服務器區(qū)域）、 內(nèi)部用戶區(qū)域、行業(yè)其他單位連接、 公網(wǎng)區(qū)域。 （ 3） 信息安全 ： 包括信息傳輸?shù)陌踩⑿畔⒋鎯Φ陌踩约皩τ脩舻氖跈?quán)和鑒別。 安全要求 （ 1） 物理安全 ： 包括保護計算機網(wǎng)絡設備設施以及數(shù)據(jù)庫資料免遭地震、水災、火災等環(huán)境事故以及人為操作失誤導致系統(tǒng)損壞，同時要避 免由于電磁泄漏引起的信息失密。重要服務器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒有及時的發(fā)現(xiàn)并且進行修復，將會為網(wǎng)絡的安全帶來很多不安定的因素。這些越權(quán)訪問可能包括惡意攻擊、誤操作 等，據(jù)統(tǒng)計約有 70％左右的攻擊來自內(nèi)部用戶，相比外部攻擊來說，內(nèi)部用戶具有更得天獨厚的優(yōu)勢，但是無論怎樣， 結(jié)果都將導致重要信息的泄露或者網(wǎng)絡的癱瘓； （ 3） 設備的自身安全性也會直接關(guān)系到網(wǎng)絡系統(tǒng)和各種網(wǎng)絡應用的正常運轉(zhuǎn)。并且公司內(nèi)部網(wǎng)絡，由于各部門職能不同，某些部門網(wǎng)絡可能也要求很高的安全性。 東華理工大學軟件學院畢業(yè)設計（論文） 安全策略 12 3. 安全策略 網(wǎng)絡威脅因素分析 對于金融業(yè)來說，網(wǎng)絡的安全性是相當重要的。 Apache 的特點是簡單、速度快、性能穩(wěn)定，并可做 代理服務器 來使用。它是以 進程 為基礎的結(jié)構(gòu)，進程要比 線程 消耗更多的系統(tǒng)開支。 Apache 是世界上用 的最多的 Web 服務器，市場占有率達 60%左右 ， 它源于NCSAd 服務器。本方案中 web 服務器主要是向外發(fā)布公司網(wǎng)站，時時更新公司以及金融市場信息以供用戶網(wǎng)上參考。從該公東華理工大學軟件學院畢業(yè)設計（論文） 網(wǎng)絡整體設計 11 司來看，公司用戶在幾百個以下，但是郵件來往比較多，所以要選擇專業(yè)的 PC 服務器才能滿足基本的性能要求。當然，還需要在 DNS 服務器中寫入記錄，這樣發(fā)出的郵件才 知道去處。 圖 23 建立域控服務器 將公司內(nèi)的所有 PC 機加入該域。 此外，用于 M