【正文】 分組過濾設(shè)備可能有以下理由，即在傳輸層根據(jù) TCP 標(biāo)志執(zhí)行的過濾功能不屬于路由器的功能，因為路由器運行在 OSI 模型的網(wǎng)絡(luò)層。某些廠商，可能是由于市場營銷策略，模糊了篩選路由器和 cisco 防火墻之間的區(qū)別，將他們的篩選路由器產(chǎn)品稱為 cisco 防火墻產(chǎn)品， 為了清晰起見，我們根據(jù) OSI 模型對篩選路由器和 cisco 防火墻加以區(qū)別。 通常，網(wǎng)關(guān)在 OSI 模青島理工大學(xué)畢業(yè)設(shè)計（論文）用紙 16 型的第七層 (應(yīng)用層 )執(zhí)行處理功能， 對于大多數(shù) cisco 防火墻網(wǎng)關(guān)來說，也確實如此。篩選路由器的功能相當(dāng)于 OSI 模型的網(wǎng)絡(luò)層 (IP 協(xié)議 )和傳輸層 (TCP 協(xié)議 )。 （ 2） 篩選路由器和 cisco 防火墻與 OSI 模型的關(guān)系 。入侵者可以使用一種 TCP/IP 主機(jī)和非 TCP/IP 主機(jī)都支持的協(xié)議來通過 TCP/IP 主機(jī)訪問非 TCP/IP 主機(jī)，例如：如果這兩臺主機(jī)都連在同一個以太網(wǎng)網(wǎng)段上，入侵者就可以通過以太網(wǎng)協(xié)議去訪問非 TCP/IP 主機(jī)。 在企業(yè)網(wǎng)絡(luò)中，可能不是所有的主機(jī)都具有 TCP/IP 功能， 即使這樣，這些非 TPC/IP主機(jī)也可能成為容易攻擊的，盡管從技術(shù)上說它們不屬于危險區(qū)域。因此，我們希望把自己的網(wǎng)絡(luò)和主機(jī)置于危險區(qū)域之外，然而，沒有相應(yīng)的設(shè)備去攔截對自己網(wǎng)絡(luò)的攻擊，則危險區(qū)域?qū)由熘磷约旱木W(wǎng)絡(luò)上。這里“具有 TCP/IP 功能”是指一臺主機(jī)支持 TCP/IP 協(xié)議和它所支持的上層協(xié)議，“直接訪問”是指在 INTERNET 和企業(yè)網(wǎng)絡(luò)的主機(jī)之間沒有設(shè)置強(qiáng)有力的安全措施 (沒有“鎖門” )。 企業(yè)網(wǎng)絡(luò)中的邊界被稱為安全環(huán)形防線，由于在 INTERNET 上危險的“黑客”很多，確定一個危險區(qū)域是很有用的。如 果來人看起來很危險 (安全風(fēng)險很高 )，則不應(yīng)讓其進(jìn)來。 應(yīng)用篩選路由器時需要考慮的問題 （ 1） 識別危險區(qū)域 由于 INTERNET 上有如此眾多的用戶，其中難免有少數(shù)居心不良的所謂“黑客”， 這種情況就象遷入一個大城市時會遇到犯罪問題一樣。 篩選路由器可以根據(jù)協(xié)議類型和報文分組中有關(guān)協(xié) 議字段的值來區(qū)別不同的網(wǎng)絡(luò)青島理工大學(xué)畢業(yè)設(shè)計（論文）用紙 15 通信業(yè)務(wù)。 篩選路由器提供了一種強(qiáng)有力的機(jī)制，可用于控制任何網(wǎng)絡(luò)段上的通信業(yè)務(wù)類型。例如在常用的 Cisco 路由器上就具有這種對報文分組進(jìn)行篩選的功能，這種路由器被稱為篩選路由器。 在許多情況下需要采用驗證安全和增強(qiáng)私有性技術(shù)來加強(qiáng)網(wǎng)絡(luò)的安全或?qū)崿F(xiàn)網(wǎng)絡(luò)方面的安全措施。 對此次設(shè)計來說，根據(jù)此公司的實際需求， cisco 防火墻被設(shè)置在可信賴的內(nèi)部網(wǎng)絡(luò)和不可信賴的外部網(wǎng)絡(luò)之間， cisco 防火墻相當(dāng)于一個控流器，可用來監(jiān)視或拒絕應(yīng)用層的通信業(yè)務(wù)， cisco 防火墻也可以在網(wǎng)絡(luò)層和傳輸層 運行，在這種情況下， cisco防火墻檢查進(jìn)入和離去的報文分組的 IP 和 TCP 頭部，根據(jù)預(yù)先設(shè)計的報文分組過濾規(guī)則來拒絕或允許報文分組通過。 cisco 防火墻的職責(zé)就是根據(jù)本單位的安全策略，對外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)交流的數(shù)據(jù)進(jìn)行檢查，符合的予以放行，不符合的拒之門外。對網(wǎng)絡(luò)的保護(hù)包括下列工作：拒絕未經(jīng)授權(quán)的用戶訪問，阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源。 圖 ⅹⅹ 有限公司拓?fù)鋱D 青島理工大學(xué)畢業(yè)設(shè)計（論文）用紙 14 根據(jù)實際考慮及市場調(diào)查比較后，決定采用思科防火墻。建議在總部和分公司之間使用防火墻系統(tǒng)進(jìn)行安全保護(hù)，做到萬無一失。防火墻部署在總部邊界網(wǎng)關(guān)處，即公司局域網(wǎng)及外連路由器之間。加強(qiáng)網(wǎng)絡(luò)安全管理，提高系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識和防范技術(shù)。加強(qiáng)合法用戶的訪問認(rèn)證，同時將用戶的訪問權(quán)限控制在最低限度。建立辦公網(wǎng)絡(luò)各主機(jī)和服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全。 系統(tǒng)安全目標(biāo) 基于以上的分析，個人認(rèn)為 ⅹⅹ 公司網(wǎng)絡(luò)系統(tǒng) 安全應(yīng)該實現(xiàn)以下目標(biāo)：建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略。防火墻可以提供用戶認(rèn)證，負(fù)載均衡，網(wǎng)絡(luò)地址翻譯（ NAT） 青島理工大學(xué)畢業(yè)設(shè)計（論文）用紙 13 等功能，是保證網(wǎng)絡(luò)初步安全必不可少的設(shè)備。 圖 公司網(wǎng)絡(luò)概況 需求分析 如果辦公網(wǎng)絡(luò)遭受入侵，將很有可能導(dǎo)致各部門的機(jī)密資料外泄，以至于泄漏重要的商業(yè)機(jī)密。公司內(nèi)近二百臺普通客戶端和數(shù)臺服務(wù)器（主要是 OA、 VPN、財務(wù)），公司總部同分公司通過 VPN 專線進(jìn)行互聯(lián)，見圖 。 現(xiàn)狀概述 ⅹⅹ 有限公司總部設(shè)在青島市內(nèi)，在青島市郊區(qū)共有 7 個分公司。 對此，公司召開了緊急會議，希望藉此吸取教訓(xùn)，徹底整改，在進(jìn)行安全風(fēng)險評估的基礎(chǔ)上，全面提高公司的網(wǎng)絡(luò)安全性。網(wǎng)管及時斷開了數(shù)據(jù)服務(wù)器，利用備份程序及時恢復(fù)網(wǎng)站服務(wù)器內(nèi)容，但是過了不到半個小時，又出現(xiàn)了類似的情況。但是在 2021 年 11月的一天上午，一個顧客發(fā)郵件通知公司的網(wǎng)站管理員，說公司網(wǎng)站的首頁被人修改，同時發(fā)布到國內(nèi)的某黑客論壇，介紹入侵的時間和內(nèi)容。 該公司網(wǎng)站使用 windows 2021 上的 IIS 作為對外的 WEB 服務(wù)器，該網(wǎng)站 WEB 服務(wù)器負(fù)責(zé)公司的信息提供和電子商務(wù)。 公司設(shè)有綜合部、經(jīng)營部、產(chǎn)品事業(yè)部、財務(wù)部、質(zhì)量部、服務(wù)支持部等部門和 8 個分公司，現(xiàn)有員工 200 余人，其中計算機(jī)類專業(yè)人員 160 余名，擁有一支朝氣蓬勃，干勁十足的隊伍通過四年來的發(fā)展，公司承擔(dān)著青島市范圍內(nèi)的防偽稅控、稅控收款機(jī)、網(wǎng)絡(luò)發(fā)票等用戶的涉稅業(yè)務(wù)，并相應(yīng)提供網(wǎng)上辦稅、遠(yuǎn)程抄報、自助報稅終端等稅務(wù)延伸產(chǎn)品。 青島理工大學(xué)畢業(yè)設(shè)計（論文）用紙 11 第 3 章 基于企業(yè)需求分析 cisco 防火墻的具體實現(xiàn) 企業(yè)需求及背景 公司簡介 ⅹⅹ 有限公司成立于 2021 年，是由 ⅹⅹ 股份有限公司控股，整合本地優(yōu)勢資源設(shè)立的青島地區(qū)的防偽稅控服務(wù)單位，經(jīng)營范圍主要是防偽稅控、軟件開發(fā)、產(chǎn)品研發(fā)、網(wǎng)絡(luò)安全、通訊技術(shù)、系統(tǒng)集成工程，服務(wù)外包等，為企事業(yè)單位提供信息化解決方案、產(chǎn)業(yè)化培訓(xùn)服務(wù)等多項業(yè) 務(wù)。 盡管基于上下文的 狀態(tài)包過濾檢查的方法明顯地提高了安全性，但它仍然無法與應(yīng)用層代理防火墻相比。安全決策所需的相關(guān)狀態(tài)信息經(jīng)過這個 “ 專用的檢查模塊 ” 檢查之后，記錄在動態(tài)狀態(tài)表中，以便對其后的數(shù)據(jù)包通訊進(jìn)行安全評估。它不再只是分別對每個進(jìn)來的包簡單地就地址進(jìn)行檢查，動態(tài)包過濾型防火墻在網(wǎng)絡(luò)層截獲進(jìn)來的包，直到足夠的數(shù)量，以便能夠確定此試圖連接的有關(guān)“ 狀態(tài) ” 。 狀態(tài)包過濾型防火墻 為了克服包過濾模式明顯的安全性不足的問題 , 一些包過 濾型防火墻廠商推出了狀態(tài)包過濾的概念。目前，代理服務(wù)型防火墻產(chǎn)品一般還都包括有包過濾功能。 圖 應(yīng)用層網(wǎng)關(guān)防火墻 由于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)在網(wǎng)絡(luò)層是斷開的，所以要實現(xiàn)內(nèi)外網(wǎng)絡(luò) 之間的應(yīng)用通訊就必須在網(wǎng)絡(luò)層之上。這樣做的目的是使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的拓?fù)洹ｋp宿主機(jī)即一臺配有多個網(wǎng)絡(luò)接口的主機(jī)，它可以用來在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行尋徑，如果在一臺雙宿主機(jī)中尋徑功能被禁止了，則這個主機(jī)可以隔離與它相連的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的通信，而與它相連的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)仍可以執(zhí)行由它所提供的網(wǎng)絡(luò)應(yīng)用，如果這個應(yīng)用允許的話，它們就可以共享數(shù)據(jù)，這樣就保證內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的某些節(jié)點之間可以通過雙宿主機(jī)上的共享數(shù)據(jù)傳遞信息 ，但內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間卻不能傳遞信息，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用。 （ 2） 性能特點 ① 因為包過濾防火墻工作在 網(wǎng)際層（ IP層） 和 運輸層（ TCP 層 ） ，所以處理包的速度要比代理服務(wù)型防火墻快 青島理工大學(xué)畢業(yè)設(shè)計（論文）用紙 9 ②它能夠 提供透明的服務(wù)，用戶不用改變客戶端程序 ③ 因為只涉及到 TCP層，所以與代理服務(wù)型防火墻相比，它提供的安全級別很低 ④ 不支持用戶認(rèn)證，包中只有來自哪臺機(jī)器的信息卻不包含來自哪個用戶的信息 ⑤ 不提供日志功能 代理服務(wù)型防火墻 代理（ Proxy） 服務(wù)型 防火墻又稱應(yīng)用層網(wǎng)關(guān)級（ Application level gatewav）防火墻 ，代理服務(wù)（ Proxy Service）系統(tǒng)一般安裝并運行在雙宿主機(jī)上。以 FTP（文件傳輸協(xié)議，適合于在異構(gòu)網(wǎng)絡(luò)中任意計算機(jī)之間傳送文件） 為例， FTP 文件傳輸協(xié)議應(yīng)用中包含許多具體的操作，如讀取操作、寫入操作、刪除操作等。 但包過濾不能允許我們進(jìn)行如下的操作，如：允許用戶使用 FTP，同時還限制用戶只可讀取文件不可寫入文件、允許某個用戶使用 Tel 登錄而不允許其他用戶進(jìn)行這種操作。 （ 1） 工作機(jī)制 包過濾技術(shù)可以允許或禁止某些包在網(wǎng)絡(luò)上傳遞，它依據(jù)的是以下的判斷： ① 對包的目的地址作出判斷 ② 對包的源地址作出判斷 ③ 對包的傳送協(xié)議（端口號）作出判斷 一般地，在進(jìn)行包過濾判斷時不關(guān)心包的具體內(nèi)容。路由器接收到的數(shù)據(jù)包就知道了該包要去往何處，然 后路由器查詢自身的路由表，若有去往目的的路由，則將該包發(fā)送到下一個路由器或直接發(fā)往下一個網(wǎng)段；否則，將該包丟掉。每個數(shù)據(jù)包中除了包含所要傳輸?shù)臄?shù)據(jù)（內(nèi)容），還包括源地址、目標(biāo)地址等。 在 網(wǎng)絡(luò)應(yīng)用 中， 最終的傳輸單位都是以數(shù)據(jù)包的形式出現(xiàn)，這種做法主要是因為網(wǎng)絡(luò)要為多個系統(tǒng)提供共享服務(wù)。包過濾是一種保安機(jī)制，它控制哪些數(shù)據(jù)包可以進(jìn)出網(wǎng)絡(luò)而 哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)所拒絕 。 防火墻的基本類型有：包過濾型、代理服務(wù)型和狀態(tài)包過濾型復(fù)合型。防火墻系統(tǒng)針對的是來自系統(tǒng)外部的攻擊，一旦外部入侵者進(jìn)入了系統(tǒng)，他們便不受任何阻擋。 防火墻解決方案如圖 。 防火墻的系統(tǒng)組成 防火墻模塊：基于安全操作系統(tǒng)平臺上的訪問控制系統(tǒng)。這既屏蔽了內(nèi)網(wǎng)的實際物理拓?fù)浣Y(jié)構(gòu)，也大大提高了內(nèi)網(wǎng)的安全性。包括：用戶登錄審計、身份驗證與日志；非法或異常青島理工大學(xué)畢業(yè)設(shè)計（論文）用紙 7 事件的審計與日志；報警功能，方便系統(tǒng)管理員更好的管理網(wǎng)絡(luò)。 （ 6) 強(qiáng)大的審計 amp。 （ 4) 檢測拒絕服務(wù)攻擊 對于由于數(shù)據(jù)過載（大流量的數(shù)據(jù)包）引起的網(wǎng)絡(luò)堵塞現(xiàn)象，而造成的拒絕服務(wù)攻擊，防火墻具有實時檢測和報警的功能，及時避免線路資源非正常損耗，高效管理和充分使用網(wǎng)絡(luò)資源，以及及時發(fā)現(xiàn)拒絕服務(wù)攻擊所造成的危害。 （ 3) 防 IP 源路由攻擊 用 TCP／ IP協(xié)議支持 IP 包的源路由選項這一特性，指定一個 IP包傳輸時所經(jīng)過的特定路由，從而繞開網(wǎng)絡(luò)安全檢查。 （ 2) 防 IP 欺騙攻擊 攻擊者從外部網(wǎng)絡(luò)偽裝成內(nèi)網(wǎng)的 IP 地址進(jìn)入內(nèi)網(wǎng)主機(jī)，以此獲取內(nèi)網(wǎng)主機(jī)權(quán)限，達(dá)到攻擊的目的。但是隨著主動攻擊的增多，狀態(tài)包過濾技 術(shù)也面臨著巨大的挑戰(zhàn)，更需要其它新技術(shù)的輔助 [4]。這兩種解決方案在性能上也有很大的不足之處。應(yīng)用層網(wǎng)關(guān)和電路級網(wǎng)關(guān)是比較好的安全解決方案，它們在應(yīng)用層檢查數(shù)據(jù)包。隨著防火墻技術(shù)的發(fā)展，防火墻技術(shù)也得到了發(fā)展，出現(xiàn)了一些新的防火墻技術(shù)，如電路級網(wǎng)關(guān)技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)和動態(tài)包過濾技術(shù)，青島理工大學(xué)畢業(yè)設(shè)計（論文）用紙 5 在實際運用中，這些技術(shù)差別非常大，有的工作在 OSI 參考模式的網(wǎng)絡(luò)層，有的工作在傳輸層，還有的工作在應(yīng)用層。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。 防火墻處于 5 層網(wǎng)絡(luò)安全體系中的最底層，屬于網(wǎng)絡(luò)層安全技術(shù)范疇。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實施檢查，以解決網(wǎng) 絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。隨著網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展和電子商務(wù)的展開，嚴(yán)防黑客入侵、切實保障網(wǎng)絡(luò)交易的安全，不僅關(guān)系到個人資金安全、商家的貨物安全，還關(guān)系到國家的經(jīng)濟(jì)安全、國家經(jīng)濟(jì)秩序的穩(wěn)定問題，因此各級組織和部門必須給以高度重視。 計算機(jī)病毒是我們大家都比較熟悉的一種危害計算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全的破壞性程序。因此針對計算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實施網(wǎng)絡(luò)安全保護(hù)方案以確保計算機(jī)網(wǎng)絡(luò)自身的安全性是每一個計算機(jī)網(wǎng)絡(luò)都要認(rèn)真對待的一個重要問題。 表 防火墻體系結(jié)構(gòu) 人機(jī)接口 內(nèi)部網(wǎng)絡(luò) 外部網(wǎng)絡(luò) 青島理工大學(xué)畢業(yè)設(shè)計（論文）用紙 4 訪問控制策略 審計 安全管理 數(shù)據(jù)加密 網(wǎng)絡(luò)互聯(lián)設(shè)備 背景 一個安全的計算機(jī)網(wǎng)絡(luò)應(yīng)具有可靠性、可用性、完整性、保密性和真實性等特點。 國際標(biāo)準(zhǔn)化組織（ ISO）的計算機(jī)專業(yè)委員會（ ISO／ IEC JTCI／ SC21）根據(jù)網(wǎng)絡(luò)開放系統(tǒng)互連 7 層模型（ OSI／ RM）制定了一個網(wǎng)絡(luò)安全體系結(jié)構(gòu)，用來解決網(wǎng)絡(luò)系統(tǒng)中的信息安全問題，如表 所示。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略進(jìn)行檢查，來決定網(wǎng)絡(luò)之間的通信是否被允許，其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)，另一方則稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)，它能有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳送，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的