1、摘 要随着网络应用的蓬勃发展,Internet的安全,包括其上的信息数据安全和网络设备服务的运行安全,日益成为与国家、政府、企业、个人的利益休戚相关的大事情。从企业角度来说,安全保障能力是新世纪一个企业实力、竞争力和生存能力的重要组成部分。在Internet 应用迅速普及发展的今天,企业计算机网络接入Internet获取资源,提供信息是一种广泛的应用模式。此时,如何保护企业计算机网络资源不受外部非法侵袭是一个严肃、重要的课题。本文列举浙江银轮机械有限公司计算机网络系统的Internet访问安全核心Cisco公司的PIX 515防火墙,介绍如何使用防火墙提供的安全策略,构筑一般企业计算机网络In
2、ternet应用的安全体系。具体内容分为如下五个章节来说明:第一章介绍了设计背景,包括防火墙技术的发展现状以及防火墙在网络中的作用。第二章是防火墙的需求分析,指出了企业的业务、安全性、通信流量、以及管理的需求。第三章描述了防火墙的设计,包括防火墙工作原理、网络拓扑结构以及安全策略。第四章是防火墙的配置,阐述了防火墙各功能的实现,详述如何实现包过滤和NAT功能。第五章是网络安全措施设计。关键词: 网络安全 防火墙 综合布线 VPN38目 录摘 要1目 录2第1章 防火墙设计背景41.1 防火墙概论41.1.1网络安全定义41.1.2防火墙在网络中的作用51.2防火墙发展历史和现状5第2章 企业需
3、求分析72.1应用背景72.2业务需求72.3 管理需求82.4 安全性需求92.5 通信量需求102.6 网络可扩展性需求11第3章 防火墙规划及设计123.1 PIX防火墙的工作原理123.1.1数据包如何通过防火墙123.1.2转换内部地址123.2防火墙的体系结构123.2.1屏蔽路由器123.2.2双穴主机网关133.2.3被屏蔽主机网关133.2.4被屏蔽子网133.3 网络拓扑结构143.3.1网络拓扑结构143.3.2网络安全策略15第4章 企业防火墙配置184.1防火墙的选择184.1.1设置防火墙的要素184.1.2防火墙在大型网络系统中的部署184.1.3防火墙的局限19
4、4.2 防火墙安装194.2.1防火墙的安装194.2.2防火墙升级包安装过程254.3 VPN284.3.1VPN工作原理284.3.2封装安全载荷ESP294.3.3防火墙中的VPN的实现29第5章 企业安全策略的设计与实施345.1 物理安全控制345.2 基础设施和数据完整性345.3 安全策略验证与监控目的345.4安全意识培训35结 论36参考文献37致 谢38第1章 防火墙设计背景1.1 防火墙概论1.1.1网络安全定义安全的定义是:远离危险的状态或特征,为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施。网络安全的根本目的就是防止通过计算机网络传输的信息被非法使用。有时网络
5、信息安全的不利影响甚至远超过信息共享所带来的巨大利益。一个有效的安全计划包括安全意识、防止、检测、管理和响应以使危险降低至最小。完美的安全是不存在的,有决心、持之以恒的攻击者可以找到欺骗或绕开任何安全措施的方法。网络安全是一种减少漏洞和管理危险的方法。安全是一个连续的过程,包括保护阶段、检测阶段、分析阶段、管理阶段和恢复阶段。分析安全需求是,首先要明确的是要保护的财产以及它们的价值大小,确定可能会破坏这些财产的威胁,以及威胁发生的可能性。检测分析指通过监视并记录网络和系统的状态信息,通过分析这些线索与状态以便能识别出一次攻击。通常使用入侵检测系统来观察网络通信量。恢复和保护一样重要,用来从入侵
6、和攻击中恢复的有计划的响应是网络安全所必须的一部分,安全管理需要协调与计划。网络安全是一件复杂的任务,安全性与安全链中最薄弱的环节密切相关,安全策略一致性是至关重要的。可用性、完整性、机密性是网络安全的基本要求。可用性是可被授权实体访问并按要求使用的特性。可用性确保了信息和服务在需要时可以被访问并能工作。冗余、容错、可靠性、自动故障度越、备份、恢复、弹性和负载平衡是网络设计中确保可用性是用到的概念。如果系统不可用,那么完整性和机密性无从谈起。拒绝服务(Denial of Service,DOS)攻击的目的是攻击网络和服务器的可用性。完整性指确保信息完整、精确、可信。对于网络的完整性,指确保收到
7、的消息与发送的消息是相同的,消息内容没有被修改。机密性用于保护敏感信息免受未被授权的暴露或可以理解的截取。加密和访问控制用于保护机密性。1.1.2防火墙在网络中的作用一般来说,防火墙是一种位于网络上的安全机制,通过实施一个或一组访问控制策略以保护资源不受其他网络和个人破坏。它在内部网络(专用网络)与外部网络(共用网络)之间形成一道安全屏障,以防止非法用户访问内部网络上的资源和非法向外传递内部信息,同时也防止这类非法和恶意的网络行为导致内部网络的运行遭到破坏。防火墙在内部也用于控制对特定部门或资源的访问。如果在网络的边界没有访问控制,则网络的安全性完全依赖于适当的配置及单个主机和服务器的安全性。
8、在一定意义上所有主机系统必须通过协作来实现均匀一致的高级安全性。如果这样,对于有上百个设备需要被配置的网络的管理将是不可能的。防火墙的基本思想不是对单个设备进行保护,而是让所有的访问通过某一点,并对这一点进行保护,并尽可能地对外界屏蔽保护网络的信息和结构。使用防火墙有助于提高网络总体安全性。如图1-1所示,防火墙处于内部网络和外部网络之间,所有数据包都要经过防火墙的审查,使内部网络多了一道安全屏障。 因 特 网防火墙内部网络图 1-1 Internet上的防火墙结构1.2防火墙发展历史和现状按照防火墙对内外来往数据的处理方法,大致可以将防火墙分为两大体系:包过滤防火墙和代理防火墙(应用层网关防
9、火墙)。从发展历史来看,经过了四个阶段。第一阶段的防火墙为基于路由器的防火墙。防火墙与路由器一体,利用路由器本身对分组解析,过滤判决的依据可是是地址、端口号等其他网络特征。第一代防火墙产品不足之处很明显:它仅有包过滤的功能;而且由于路由器的主要功能是为网络提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能;且十分灵活的路由协议,本身具有安全漏洞。基于路由器的防火墙只是网络安全的一种应急措施。第二阶段的防火墙是用户化的防火墙工具套。将过滤功能从路由器中独立出来,并加上审计和告警功能,用户可针对需求自己动手构造防火墙,
10、这种用户化的防火墙工具套,虽然较第一代防火墙安全性提高了、价格降低了,但由于是纯软件产品,在实现、维护上都对系统管理员提出了相当复杂的要求,使用中出现差错的情况很多,而且全软件的实现使得安全性和处理速度均有局限。第三阶段的防火墙产品建立在通用操作系统之上。它包括分组过滤功能,装有专用的代理系统,监控所有协议的数据和指令,保护用户编程和用户可配置内核参数的配置,安全性和速度大为提高。第三代防火墙有以纯软件实现的,也有以硬件方式实现,但随着安全需求的变化和使用时间的推延,仍表现出不少问题:作为基础的操作系统及其内核往往不为管理者所知,原码的保密使得安全性无从保证,通用操作系统厂商通常不会对操作系统
11、的安全性负责,从本质上看,防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击,用户必须依赖两方面的安全支持:一是防火墙厂商、一是操作系统厂商。防火墙技术和产品随着网络攻击和安全防护手段的发展而演进,到1997年初,具有安全操作系统的防火墙产品面市,使防火墙产品步入了第四个发展阶段。具有安全操作系统的防火墙本身就是一个操作系统,因而在安全性上较之第三代防火墙有质的提高。第四代防火墙产品将网关与安全系统合二为一,具有以下技术与功能。1.双端口或三端口的结构2.透明的访问方式3.灵活的代理系统4.多级的过滤技术5.网络地址转换技术6.Internet网关技术7.安全服务器网络(SSN)
12、8.用户鉴别与加密9.用户定制服务10.审计和告警第2章 企业需求分析2.1应用背景浙江银轮机械股份有限公司是一家创建于1998年的省批股份制企业,前身浙江天台机械厂。公司由油冷器制造分厂、铝散热器制造分厂、总成制造分厂、配件制造分厂、上海银畅国际贸易公司、上海神天散热器公司、上海创斯达交换器公司组成。公司位于风景秀丽的佛教胜地、国家一级风景区天台山麓。现有员工536人,其中工程技术人员105人,公司主要生产各种散热器,机械产品,多功能冲抓式造孔机,离心机等。目前是国内机油冷却器、空气冷却器产品生产规模最大、品种规格最多和测试设备最齐全的散热器专业生产厂家。1994年产品进入美国售后市场,开始
13、参与全球竞争。1998年:由职工入股,企业成功由国有改制为民营股份制。2001年:产品进入美国OEM市场,商务、物流和新品开发程序开始与国际接轨。与美国等较早开展信息化建设的国家相比,中国的信息化建设相对滞后一些.为了增强自身的市场竞争能力,提高企业自身的信息化程度,国家信息产业部领导在接受记者采访时,再三强调“信息化这个东西不是可有可无的,而是势必行,如果不搞信息化,就将被市场淘汰。” 浙江银轮机械股份有限公司信息化建设目的为了增强企业的核心竞争力,实现利润最大化,提高经济效益和保证持续发展 ,为了充分发挥信息资源的作用,需要对企业的信息资源进行整体部署。因此,建设企业网络工程是信息化建设方
14、面的紧迫任务,是企业可持续发展的重要保证之一。通过这样的通信系统工程,企业可以提高通信效率,降低通信成本,从而提高生产效率,降低运作成本,提升其自身的竞争力。2.2业务需求业务需求的分析目标是明确企业的业务类型,应用系统软件种类,以及它们对网络功能指标(如带宽,服务质量QOS)的要求.业务需求是企业建网中的首要环节,是进行网络规划与设计的基本依据。通过对浙江银轮机械股份有限公司的实地考察,和对公司的负责人交流,以及问卷调查的方式,通常对数量较多的最终用户提问, 询问其对将要建设的网络应用的要求,公司要实现企业内部办公网络,上面运行的应用包括Internet连接共享、传真、电子邮件、企业办公消息
15、管理等。企业内部办公网络的核心问题是在保证日常办公效率的基础上,如何进一步的提高安全性和可监控性。企业内部办公网络应该考虑的功能需求如下:1、网络安全保护。包括企业级防火墙和企业级的反病毒软件,防范病毒和黑客的攻击。2、网络管理监控。提高整个网络系统的可管理性,明确每个部门或人员的职责和权限,控制公司业务的关键环节。3、网络服务器。需要有专用的服务器,作为反病毒软件和网络管理监控软件或其他应用的主控服务器。4、Email办公。公司业务Email文件可以在相关的部门和人员之间快速流转。收发Email时,文件必须经过主管部门的监控和转发,普通人员将在受监控的状态下面和公司客户通信。5、Fax办公。
16、收发Fax时,图片可以通过网络办公系统自由分发,而无需打印和手工传递。同时,Fax内容和传递过程需要记录日志,以备追溯。6、Internet连接共享。试用Internet连接共享时,需要控制不同权限的员工使用Internet的方式和范围。限制普通员工利用公司网络进行业务无关的活动。7、VPN连接VPN安全策略包括:身份认证,完整性,机密性,可用性以及审计功能。8、视频服务根据上网用户数据流量,主干网采用千兆以太网,在汇聚层干线上采用百兆,接入层十兆/百兆到桌面。2.3 管理需求网络的管理是企业建网不可缺少的方面,网络是否按照设计目标提供稳定的服务主要依靠有效的网络管理,高效的管理策略能提高网络
17、的运营效率。针对本企业的业务特点及目前企业建设的实际情况,提供一种对计算机网络进行规划、设计、操作、运行、管理、监视、分析、控制、评估和扩展等手段,从而以合理的代价,组织和利用系统资源,提供正常、安全、可靠、有效、充分、用户友好的服务。需要对网络进行远程管理,远程管理可以帮助网络管理员利用远程控制软件管理网络设备,使网管工作更方便,更高效。所有的网络管理由公司的网络管理员统一负责。由于本公司的业务对象都是内部用户,所以就不需要承担记费功能。在网络管理中,必须实现对计算机网络的配置,运行状态等管理,实现网络故障诊断,安全管理,流量控制以及路由选择策略等。在网络管理方面,采用网管软件EasyTuc
18、h40 for Windows,网络监控软件HammerView-Enhanced-WIN。依据性能的可靠性,稳定性,高智能,高安全等特性,交换机和路由器网络设备采用港湾网络有限公司推出的BigHammer6800系列核心智能多层交换机。该设备交换容量最高可达1.92Tbps。BigHammer6800支持高密度万兆、千兆、百兆端口,同时还支持POS等广域网接口;支持IPv6、MPLS、VPN、策略路由、用户认证、NAT等特性;并且支持高达1M容量的路由表。BigHammer6800交换机内置硬件防火墙模块支持安全分区策略,从而为用户构建高性能、高安全、多业务的IP网络提供一个优秀的万兆应用中
19、心。配合港湾自主开发的EasyTouch统一网管平台和HammerView图形界面管理系统,可以实现分级分权管理、日志管理、性能管理、VLAN管理、手机短信告警等等智能化管理手段。支持SNMPv3、SSH,满足网管协议对安全的要求。智能ASIC技术配合策略网管执行,对应用数据流的优先级划分和带宽调度,满足不同应用业务对服务质量的不同要求。除此之外还需要采用跟踪技术,在跟踪各种系统信息时,记录时间是非常重要的。2.4 安全性需求随着近年来网络安全事件不断地发生,安全问题也已成为IT业的一个热点,安全问题对于企业的发展也越来越重要。安全问题已经成为影响企业业务平台的稳定性和业务的正常提供的一个问题
20、,所以提升企业自身的安全性也已经成为企业增强企业竞争力的重要方面之一。敏感性数据主要分布在,总经理办公室有5个,国内市场部20个,国外市场部20个,工程部50个,制造部40个,财务部20个,采购部30个,人力资源部10个,企管信息部20个,质量保证部10个,投资发展部10个,计算机中心5个。在每一个数据的分部点上,划分各个部门的虚拟局域网,设置每个用户的不同权限及安全级别。可能在数据的存储和传输过程中,数据的机密性,可用性得不到有效的安全保护,即使是这样,发生数据的泄露,对本系统的全局影响没有多大。在保障数据安全性方面,首先要做到物理安全的控制及物理网络的基础设施保护,包括选择适当的介质类型及
21、电缆的铺设路线(网络拓扑)。其次逻辑安全控制负责在不同的网段之间构造逻辑边界。它同时还对不同网段间信息流的流动进行控制。逻辑访问控制通过对网段间的信息流进行逻辑过滤来提供安全性保障。根据实际出发,公司采用NetHammer M262/M242模块化多业务路由器,提供2个固定串口,2个固定FE口,多槽位,DVPN(动态VPN),SNA、哑终端等金融特色服务,数据、语音/传真、视频组播多种业务集成,丰富的QOS、防火墙功能。NetHammer M262/M242采用模块化结构,高性能MPC配合自主知识产权的专利技术FFS(Fast Flow Switch)算法,最大限度发挥CPU性能,在提供了集成
22、的2个快速以太网接口、1个AUX口和2个高速同步串口、4/2个模块化插槽的同时,还提供丰富的可选配模块。在连接Internet出口处,安装Cisco PIX 515硬件防火墙,Cisco Secure PIX防火墙是同类产品市场中的领先产品,它是一个高速专用防火墙设备,能在不影响网络性能的情况下提供强大的安全。新的PIX 515机箱通过一个成本更低的小型中低档型号,扩展了这一世界领先的产品线。PIX 515高度仅为1RU(1.72英寸),在不牺牲吞吐量的情况下节省了珍贵的机架空间。PIX 515支持50,000和100,000个连接,对于较小的或远程站点非常理想。在用户桌面上的电脑采用金山毒霸
23、2006版杀毒软件和个人防火墙,有效的能保护个人电脑。2.5 通信量需求通信量需求是从网络应用出发,对当前技术条件下可以提供的网络带宽做出的评估。由单一的文本应用迅速向文本、语音、图形、视图综合服务发展,面向高速化和宽带需求发展的需求日趋强烈,如高速LAN,交换LAN,ATM技术等。依据公司的业务需求,可总结如下:文件服务,远程连接,压缩视频,MP3,RM等流媒体传输,VOD视频点播,视频会议等,综上所述,接入宽带方式采用Frame Relay(帧中继)线路,并采用DDR(拨号备份)作为广域网的后援线路以保证广域网络的可靠性。公司的海外办事处的业务人员,利用公司笔记本或电脑从国外能够安全地访问
24、公司内部 ERP资源和共享企业的内部应用。在国内的驻各省会的业务人员数量多,利用公司笔记本或电脑能够安全地访问公司内部B/S和C/S服务器,存取公司内部共享文件。领导出差利用笔记本能够安全地访问公司内部 MIP系统进行文件和报告的电子审批问题,实现真正意义上的移动办公,由于这些信息是企业机密信息,要绝对保证信息在公网上的安全。合作伙伴经常要发E-MAIL,访问公司的邮件服务器,以及访问公司的WEB服务器,所以在WEB服务器的连接数量是最大的,销售人员要访问公司内部ERP数据库等等。2.6 网络可扩展性需求网络的扩展性有两层含义,其一是指新的部门能够简单地接入现有网络;其二是指新的应用能够无逢地
25、在现有网络上运行。随着公司的规模不断的扩大,二期工程的改造完成,新增板式冷却器分厂,中冷器分厂,综合分厂,科研楼与食堂。在一期工程完成后,已有的网络设备有:港湾 FLEX HAMMER5010 3层交换,华为 SC-RJ45百兆多模光纤收发器,港湾Hammer 2024E二层交换机,24*10/100M,2个扩展插槽,公司网络拓扑结构采用星型结构,有助于网络的扩充性。 经过分析和比较后,公司计算机网络采用PIX 515防火墙的功能论述防火墙在企业网络安全中的应用。第3章 防火墙规划及设计3.1 PIX防火墙的工作原理3.1.1数据包如何通过防火墙当向外连接的数据包(Outbound Packe
26、t)到达PIX防火墙的被保护接口时(Inside Interface),PIX防火墙检查先前的数据包是否是来自此主机。如果没有,PIX防火墙就在它的状态表为新的连接建立一个转换槽(translation slot)。通过网络地址转换(NAT)或端口地址转换(PAT)的分配,这个转换槽包括内部IP地址和一个唯一的全局IP地址。PIX防火墙这时转换这个数据包的源IP地址(source IP) 为这个唯一的全局IP地址,并按需修改其他字段,然后转发这个数据包到合适的非保护接口。当向内连接的数据包(Inbound Packets)到达PIX防火墙的非保护接口时(Outside Interface),它
27、必须先经过PIX防火墙的安全检查。如果数据包检查通过,则PIX防火墙移走这个数据包的目的IP地址(destination IP),插入内部的IP地址。这样,这个数据包被转发到被保护接口。3.1.2转换内部地址动态转换对在Internet上不需要固定地址的桌面计算机是非常有用的。使用非NIC(Network Information Center)注册的IP地址的内部网络主机通过在PIX防火墙中的地址转换能直接访问Internet上的标准TCPIP程序,而不需要特定的客户程序。PIX防火墙支持能为每个内部主机提供一个全局唯一网络地址的网络地址转换(NAT),和为许多内部主机提供一个共享的全局唯一网
28、络地址端口地址转换(PAT)。NAT和PAT能转换为多达64K主机地址。PIX防火墙中的另一个地址转换是静态转换。静态转换能有效地移动一个内部的、非注册主机到防火墙中虚网。这对一个需要映射到外部Internet网关的内部主机是非常有用的。如SMTP服务器。3.2防火墙的体系结构3.2.1屏蔽路由器屏蔽路由器可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的惟一通道,要求所有的报文都必须在此通过检查。路由器上可以安装基于IP层的报文过滤软件,实现报文过滤功能。许多路由器本身带有报文过滤配置选项,但一般比较简单。单纯由屏蔽路由器构成的防火墙的危险包括路由器本身及路由器允许
29、访问的主机。屏蔽路由器的缺点是一旦被攻击后很难发现,而且不能识别不同的用户。3.2.2双穴主机网关双穴主机网关是用一台装有两块网卡的堡垒主机的做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。与屏蔽路由器相比,双穴主机网关堡垒主机的系统软件可用于维护护系统日志、硬件拷贝日志或远程日志。但弱点也比较突出,一旦黑客侵入堡垒主机并使其只具有路由功能,任何网上用户均可以随便访问内部网。3.2.3被屏蔽主机网关屏蔽主机网关易于实现也最为安全。一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络惟一可直接到达的主机,
30、这确保了内部网络不受未被授权的外部用户的攻击。如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内部网的变化不影响堡垒主机和屏蔽路由器的配置。危险性限制在堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的软件决定。如果攻击者没法登录到它上面,内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。3.2.4被屏蔽子网 被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中,两个分组过滤路由器放在子网的两端,在子网内构成一个DNS,内部网络和外部网络均可访问被屏蔽子网,但禁止它们穿过被屏蔽
31、子网通信。有的屏蔽子网中还设有一堡垒主机作为惟一可访问点,支持终端交互或作为应用网关代理。这种配置的危险仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。如果攻击者试图完全破坏防火墙,他必须重新配置连接三个网的路由器,既不切断连接又不要把自己锁在外面,同时又不使自己被发现,这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它,则攻击会变得很困难。在这种情况下,攻击者得先侵入堡垒主机,然后进入内网主机,再返回来破坏屏蔽路由器,并且整个过程中不能引发警报。3.3 网络拓扑结构3.3.1网络拓扑结构根据浙江银轮机械股份有限公司计算机网络INTERNET访问的系统配置,
32、和企业网络内部结构系统分别示意如图3-1和3-2。图3-1:企业内部网拓扑图图3-2企业内部网拓扑图3.3.2网络安全策略步骤一:端口标识PIX防火墙接口间的默认行为如下:1.从高安全级别的接口到低安全级别的接口的通信-除非受到访问列表的限制,否则允许所有基于IP的通信.2.从低安全级别的接口到高安全级别接口的通信-除非特别允许,否则丢弃所有的报文分组。3.同安全级别接口的通信-两个网络间不通信。另外,还有些需要考虑的因素:第一个接口的默认安全级别为100,且命名为inside。第二个接口的默认安全级别为0,且命名为outside。只有一个网络的安全级别为100。只有一个网络的安全级别为0。如
33、果一个命令需要使用两个接口,则必须先指定高安全级别的接口名,然后指定低安全级别的接口名(如,staticinside,outside)。安全级别配置样例:Nameif ethernet0 outside security0Nameif ethernet1 inside security100步骤二:允许来自内部的访问PIX最主要的允许内部用户访问是通过地址转换(NAT)技术来实现。将内部用户的私有IP地址隐藏起来,在内部网中使用私有的虚拟地址,即由Internet地址分配委员会(IANA)所保留的几段Private Network IP地址.以下是预留的Private Network地址范围:
34、10.0.0.0 一一 10.255.255.255172.16.0.0 一一 172.31.255.255192.168.0.0 一一 192.168.255.255NAT技术有效的提高了公司的安全性, .随着NAT技术的应用越来越广泛,其自身的技术特点在网络安全领域也逐渐显示出其独特的应用价值.步骤三:控制入站的访问在许多企业中,允许内部用户访问所有的Internet资源,但对来自Internet的通信,则要进行严密的检查,如果安全策略允许外界用户访问内部主机和服务器,则使用static命令指定哪些IP地址可以在外界用户接口上显示,以便外界用户访问。该命令创建了本地IP地址到全球IP地址的
35、永久性映射。使用access-list命令对防火墙配置安全策略,通过使用access-list命令,将来可以对PIX防火墙增加更多的功能。例如:access-list dontbeconfuesed permit tcp any 144.254.0.0 255.255.255.0步骤四:控制出站的访问出站访问是通过访问列表实现的,访问列表是利用outbound命令创建,并以以下信息为基础:IP源地址。IP目标地址。IP协议类型。目的端口。使用Outbound命令时,要求使用apply命令,利用apply命令的outgoing_src选项,可以指定是否将ACL应用到内部拥护,以启动出站连接;或者
36、使用apply命令的outgoing_dest选项,决定是否将ACL应用到内部用户,来访问外部网络服务器。例如:Outbound 1 deny 0.0.0.0 0.0.0.0 0 tcpOutbound 2 excepte 192.168.0.2 255.255.255.255 httpApply(inside) 1 outgoing_src步骤五:认证和授权PIX防火墙支持AAA服务,AAA服务能够用来对用户认证和授权使其只使用Telnet、ftp和http服务。它既可以适用于外站用户发起的入站连接,也可以适用于内部用户发起的出站连接第4章 企业防火墙配置4.1防火墙的选择4.1.1设置防火
37、墙的要素网络策略影响Firewall系统设计、安装和使用的网络策略可分为两级,高级的网络策略定义允许和禁止的服务以及如何使用服务, 低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。服务访问策略服务访问策略集中在Internet访问服务以及外部网络访问(如拨入策略、SLIP/PPP连接等)。 服务访问策略必须是可行的和合理的。可行的策略必须在阻止已知的网络风险和提供用户服务之间获得平衡。 典型的服务访问策略是:允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务; 允许内部用户访问指定的Internet主机和服务。 防火墙设计策略防火墙设计策略基于
38、特定的Firewall,定义完成服务访问策略的规则。通常有两种基本的设计策略: 允许任何服务除非被明确禁止;禁止任何服务除非被明确允许。第一种的特点是安全但不好用, 第二种是好用但不安全,通常采用第二种类型的设计策略。 而多数防火墙都在两种之间采取折衷。 增强的认证 许多在Internet上发生的入侵事件源于脆弱的传统用户/口令机制。多年来,用户被告知使用难于猜测和破译口令, 虽然如此,攻击者仍然在Internet上监视传输的口令明文,使传统的口令机制形同虚设。增强的认证机制包含智能卡, 认证令牌,生理特征(指纹)以及基于软件(RSA)等技术,来克服传统口令的弱点。虽然存在多种认证技术, 它们
39、均使用增强的认证机制产生难被攻击者重用的口令和密钥。 目前许多流行的增强机制使用一次有效的口令和密钥(如SmartCard和认证令牌)。 4.1.2防火墙在大型网络系统中的部署根据网络系统的安全需要,可以在如下位置部署防火墙: 局域网内的VLAN之间控制信息流向时。Intranet与Internet之间连接时(企业单位与外网连接时的应用网关)。在广域网系统中,由于安全的需要,总部的局域网可以将各分支机构的局域网看成不安全的系统, (通过公网ChinaPac,ChinaDDN,Frame Relay等连接)在总部的局域网和各分支机构连接时采用防火墙隔离, 并利用VPN构成虚拟专网。总部的局域网和
40、分支机构的局域网是通过Internet连接,需要各自安装防火墙,并利用NetScreen的VPN组成虚拟专网。在远程用户拨号访问时,加入虚拟专网。ISP可利用NetScreen的负载平衡功能在公共访问服务器和客户端间加入防火墙进行负载分担、 存取控制、用户认证、流量控制、日志纪录等功能。两网对接时,可利用NetScreen硬件防火墙作为网关设备实现地址转换(NAT),地址映射(MAP), 网络隔离(DMZ), 存取安全控制,消除传统软件防火墙的瓶颈问题。4.1.3防火墙的局限我们在利用防火墙的各种益处的同时也应该意识到防火墙的局限,有时防火墙会给人一种虚假的安全感,导致在防火墙内部放松安全警惕
41、。而许多攻击正是内部犯罪,这是任何基于隔离的防范措施都无能为力的。同样,防火墙也不能解决进入防火墙的数据带来的所有安全问题。如果用户抓来一个程序在本地运行,那个程序很可能就包含一段恶意的代码,或泄露敏感信息,或对用户的系统进行破坏。随着Java、JavaScript和ActiveX控件及其相应浏览器的推广,这一问题变得更加突出和尖锐。防火墙的另一个缺点是易用性不够,大多数产品还需要网络管理员手工建立。当然,这一问题马上会得到改观。防火墙在当今Internet上的存在是有生命力的,但它不能替代墙内的安全措施,因此,它不是解决所有网络安全问题的万能药方,只是网络安全政策和策略中的一个组成部分。4.
42、2 防火墙安装4.2.1防火墙的安装1. 双击运行安装包。图4-12. 选择安装语言后点击“确定”。图4-23. 进入欢迎界面,点击“下一步”。图4-34. 阅读最终用户许可协议,选择“我接受”,点击“下一步”。图4-45. 输入用户使用手册上的产品序列号及用户 ID 号,点击“下一步”。图4-56. 安装前进行内存扫描,保证在干净的系统中安装。 图4-67. 扫描完成后点击“下一步”。图4-78. 选择安装方式,点击“下一步”。图4-89. 选择安装路径,点击“下一步”。图4-910. 选择程序组,点击“下一步”。图4-1011. 检查安装配置信息后,点击“下一步”。图4-1112. 安装过
43、程中,请稍候 图4-124.2.2防火墙升级包安装过程1. 双击运行完整升级包。图4-132. 程序更新过程中 图4-143. 更新结束,点击“完成”。图4-153. 安装后的瑞星个人防火墙主画面图4-164.3 VPN4.3.1VPN工作原理目前建造虚拟专网的国际标准有IPSEC(RFC 1825-1829)和L2TP。其中L2TP是虚拟专用拨号网络协议,是IETF根据各厂家协议(包括微软公司的PPTP、Cisco的L2F)进行起草的,目前尚处于草案阶段。IPSEC是一系列基于IP网络(包括Intranet、Extranet和Internet)的,由IETF正式定制的开放性IP安全标准,是虚
44、拟专网的基础,已经相当成熟可靠。L2TP协议草案中规定它(L2TP标准)必须以IPSEC为安全基础。因此,阐述VPN的工作原理,主要是分析IPSEC的工作原理。 IPSEC提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数据。认证作用是可以确定所接受的数据与所发送的数据是一致的,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。 数据完整性作用是保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。 机密性作用是使相应的接收者能获取发送的真正内容,而无意获取数据的接收者无法获知数据的真正内容。 在IPSEC由三个基本要素来提供以上三种保护形式:认证协议头(AH
45、)、安全加载封装(ESP)和互联网密匙管理协议(IKMP)。认证协议头和安全加载封装可以通过分开或组合使用来达到所希望的保护等级。 认证协议头(AH)是在所有数据包头加入一个密码。正如整个名称所示,AH通过一个只有密匙持有人才知道的“数字签名”来对用户进行认证。这个签名是数据包通过特别的算法得出的独特结果;AH还能维持数据的完整性,因为在传输过程中无论多小的变化被加载,数据包头的数字签名都能把它检测出来。不过由于AH不能加密数据包所加载的内容,因而它不保证任何的机密性。两个最普遍的AH标准是MD5和SHA-1,MD5使用最高到128位的密匙,而SHA-1通过最高到160位密匙提供更强的保护。
46、1)下一头(8比特):标识紧跟验证头的下一个头的类型。2)载荷长度(8比特):以32-位字为单位的验证头的长度,再减去2。例如,缺省的验证数据字段的长度是96比特(3个32-位字),加上3个字长的固定头,头部共6个字长,因此该字段的值为4。3)保留(16比特):保留为将来使用。4)安全参数索引(32比特):用于标识一个安全关联。5)序号(8比特):单增的计数器值。6)验证数据(可变):该字段的长度可变(但应为32-位字的整数倍),包含的数据有数据包的ICV(完整性校验值) 或MAC。AH实现模式(隧道模式)如图4-5所示。安全加载封装(ESP)通过对数据包的全部数据和加载内容进行全加密来严格保
47、证传输信息的机密性,这样可以避免其他用户通过监听来打开信息交换的内容,因为只有受信任的用户拥有密匙才能打开内容。ESP也能提供认证和维持数据的完整性。4.3.2封装安全载荷ESPESP(Encapsulating Security Payload)属于IPsec的一种协议,可用于确保IP数据包的机密性(未被别人看过)、数据的完整性以及对数据源的身份验证。此外,它也要负责对重播攻击的抵抗。具体做法是在IP头(以及任何IP选项)之后,并在要保护的数据之前,插入一个新头,即ESP头。受保护的数据可以是一个上层协议,或者是整个IP数据报。最后,还要在最后追加一个ESP尾。由于ESP同时提供了机密性及身份验证机制,所以在其SA中必须同时定义两套算法-用来确保机密性的算法叫做“加密器”,而负责身份验证的叫做“验证器”。每个ESP SA都至少有一个加密器和验证器。4.3.3防火墙中的VPN的实现VPN系统的主要建设目标是通过建设一套基于IPsec协议的远程接入网络平台,包括安全网关设备、安全网管管理软件、客户端软件等,能够各分支机构和出差在外的人员方便的实现通过因特网到浙江总部的安全的远程接入,通过异地互联完成远程办公