防火墙技术在校园网络安全中的应用

1、防火墙技术在校园网络平安中的应用摘要网络技术在近几年的时间有了非常大的开展，经历了从无到有，从有到快；网上信息资源也是从匮乏到丰富多彩，应有尽有。但随着网络速度越来越快，资源越来越丰富，网络平安问题却也越来越严峻，网络平安防对校园网的正常运行来讲也就显得十分重要。在网络平安防中，防火墙具有着不可或缺的地位。防火墙技术是在平安技术当中又是最简单，也是最有效的解决方案。它不仅过滤了来自外部的探测、扫描、拒绝效劳等攻击,还能防止网已中木马的主机系统信息泄露.本论文在详细分析防火墙工作原理的根底上，提出一个功能较为完备、性能较好、防火墙系统的本身也较为平安的防火墙系统的设计方案，同时介绍了具体实现过程

2、中的关键步骤和主要方法。该防火墙在通常的包过滤防火墙根底之上，又增加了MAC地址绑定和端口映射等功能，使之具有更完备、更实用、更稳固的特点。通过对于具有上述特点的防火墙的配置与测试工作，一方面使得所设计的防火墙系统本身具有高效、平安、实用的特点，另一方面也对今后在此根底上继续测试其它网络产品作好了一系列比拟全面的准备工作。关键词：网络平安；防火墙；校园网AbstractThenetworktechnologyhasgotverygreatdevelopmentinrecentyears,andtheonlineinformationresourcesaredevelopingfromdefic

3、ienttorichandcolorfultoo,andfillwitheverything.Butwiththedevelopmentoftheinternet,thesafeofnetworkisbeingmoreandmoresevere.ThenetworksafeprecautionseemsveryimportantfornormalrunningofourcampusnetworktooInthenetworksecurityguardagainstthefirewallisavitalroleintechnology.thefirewallisthesafetyoftechno

4、logyisthesimplestandmosteffectivesolution.itisnotonlyfromtheexplorationandscanningservices,toattack,wecanavoidthenethasbeenininformationdisclosureofthewoodenhostputer.Thisthesisputforwardafunctionindetailedanalysisfirewallworkingthefoundationoftheprinciplemorepletefunctionthangood,firewallsystemofon

5、eselfthedesignprojectofthetoosafefirewallsystem,andintroducestorealizesinaspecificwayatthesametimekeyintheprocessstepwithmainmethod.Thatfirewallisintheusualapercolationfirewallfoundationon,increasedagaintheMACaddressbindtosettlethespecialfunctioninetc.,makingithavethefreshandclearcharacteristics.Pas

6、stomakefirewallthathavetheresearchoftheabovecharacteristicsanddevelopmentwork,verymuchafirewallfordevelopingsystemoneselfhaveefficiently,safety,practicalcharacteristics,ontheotherhandtootofromnowonherefoundationascenddevelopcontinuouslyKeywords:NetworkSecurity;Firewall;CampusNetwork概述学技术的飞速开展，人们已经生活

7、在信息时代。计算机技术和网络技术深入到社会的各个领域，因特网把“地球村的居民严密地连在了一起。近年来因特网的飞速开展，给人们的生活带来了全新地感受，人类社会各种活动对信息网络地依赖程度已经越来越大。然而，凡事“有利必有一弊，人们在得益于信息所带来的新的巨大机遇的同时，也不得不面对信息平安问题的严峻考验。“黑客攻击被“黑，“CIH病毒无时无刻不充满在网络中。“电子战已成为国与国之间，商家与商家之间的一种重要的攻击与防卫手段。因此信息平安，网络平安的问题已经引起各国，各部门，各行各业以及每个计算机用户的充分重视。因特网提供应人们的不仅仅是精彩，还无时无刻地存在各种各样的危险和陷阱。对此，我们既不能

8、对那些潜在的危险不予重视，遭受不必要的损失；也不能因为害怕某些危险而拒绝因特网的各种有益的效劳，对个人来说这样会失去了了解世界、展示自己的场所，对企业来说还失去了拓展业务、提高效劳、增强竞争力的时机。不断地提高自身网络的平安才是行之有效地方法。本文作者在导师的指导下，独立完成了该防火墙系统方案的配置及平安性能的检测工作。本论文在详细分析防火墙工作原理根底上，针对我校防火墙的实际情况，提出了一个能够充分发挥防火墙性能、提高防火墙系统的抗攻击能力的防火墙系统配置方案，同时介绍了具体实现过程中的关键步骤和主要方法，并针对我校的防火墙系统模拟黑客进展攻击，检查防火墙的平安漏洞，并针对漏洞提供相应的解决

9、方案。该防火墙在通常的包过滤防火墙根底之上，又增加了MAC地址绑定、端口映射等特殊功能，使之具有鲜明的特点。通过对于具有上述特点的防火墙的研究、配置与测试工作，一方面使得我校防火墙系统本身具有高效、平安、实用的特点，另一方面在此根底上对今后可能出现的新问题作好了一系列比拟全面的准备工作。课题意义平安是一个不容无视的问题，当人们在享受网络带来的方便与快捷的同时，也要时时面对网络开放带来的数据平安方面的新挑战和新危险。为了保障网络平安，当局域网与外部网连接时，可以在中间参加一个或多个中介系统，防止非法入侵者通过网络进展攻击，非法，并提供数据可靠性、完整性以及性等方面的平安和审查控制，这些中间系统就

10、是防火墙（Firewall泯术如图1-1。恶意攻击者图1-1防火墙功能图它通过监测、限制、修改跨越防火墙的数据流，尽可能地外屏蔽网络部的构造、信息和运行情况、阻止外部网络中非法用户的攻击、以及阻挡病毒的入侵，以此来实现部网络的平安运行。因此本课题的任务与目的在于如何构建一个相对平安的计算机网络平台。使其免受外部网络的攻击。网络平安技术网络平安技术指致力于解决诸如如何有效进展介入控制，以及何如保证数据传输的平安性的技术手段，主要包括物理平安分析技术，网络构造平安分析技术，系统平安分析技术，管理平安分析技术，及其它的平安效劳和平安机制策略。网络平安技术分为：虚拟网技术、防火墙枝术、病毒防护技术、入

11、侵检测技术、平安扫描技术、认证和数字签名技术、VPN技术、以及应用系统的平安技术。其中虚拟网技术防止了大局部基于网络监听的入侵手段。通过虚拟网设置的控制，使在虚拟网外的网络节点不能直接虚拟网节点。例如vlan,但是其平安漏洞相对更多，如IPsweep,teardrop,sync-flood,IPspoofing击等。防火墙枝术是一种用来加强网络之间控制，防止外部网络用户以非法手段通过外部网络部网络资源，保护部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如方式按照一定的平安策略来实施检查，以决定网络之间的通信是否被允许,并监视网络运行状态。但是防火墙无法防通过防火墙以外的其

12、它途径的攻击，不能防止来自部用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防数据驱动型的攻击。防火墙的分类有包过滤型、地址转换型、代理型、以及检测型。病毒防护技术是指阻止病毒的传播、检查和去除病毒、对病毒数据库进展升级、同时在防火墙、代理效劳器及PC上安装Java及ActiveX控制扫描软件，制止未经许可的控件下载和安装入侵检测技术IDS可以被定义为对计算机和网络资源的恶意使用行为进展识别和相应处理的技术。是一种用于检测计算机网络中违反平安策略行为的技术。平安扫描技术是为管理员能够及时了解网络中存在的平安漏洞，并采取相应防措施，从而降低网络的平安风险而开展起来的一种平安技

13、术。认证和数字签名技术，其中的认证技术主要解决网络通讯过程讯双方的身份认可，而数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。VPN技术就是在公网上利用随到技术来传输数据。但是由于是在公网上进展传输数据，所以有一定的不平安性。应用系统的平安技术主要有域名效劳、WebServe应用平安、电子系统平安和操作系统平安。防火墙介绍所谓防火墙指的是一个由软件和硬件设备组合而成、在部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。从而是一种获取平安的形象说法，它是一种计算机硬件和软件的结合，使Internet与Internet之间建立起一个平安网关S

14、ecuhtyGateway，从而保护部网免受非法用户的侵入，防火墙主要由效劳规那么、验证工具、包过滤和应用网关4个局部组成，防火墙技术开展趋势防火墙技术的开展离不开社会需求的变化，着眼未来，我们注意到以下几个新的需求。远程办公的增长。全国主要城市先后受到SARS病毒的侵袭，直接促成大量的企事业在家办公，这就要求防火墙既能抵抗外部攻击，又能允许合法的远程，做到更细粒度的控制。现在一些厂商推出的VPN虚拟专用网技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙，这样可以确保信息的性，又能成为识别入侵行为的手段。部网络“包厢化partmentalizing。人们通常认为处在防火墙保护下

15、的网是可信的，只有Internet是不可信的。由于黑客攻击技术和工具在Internet上随手可及，使得部网络的潜在威胁大大增加，这种威胁既可以是外网的人员，也可能是网用户，不再存在一个可信网络环境。由于无线网络的快速应用以及传统拨号方式的继续存在，网受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里，全国各地的分支机构共享一个论坛，都使可信网络的概念变得模糊起来。应对的方法就是将部网细分成一间间的“包厢，对每个“包厢实施独立的平安策略。防火墙产品开展趋势防火墙可说是信息平安领域最成熟的产品之一，但是成熟并不意味着开展的停滞，恰恰相反，日益提高的平安需求对信息平安产品提出了越来越高的

16、要求，防火墙也不例外，下面我们就防火墙一些根本层面的问题来谈谈防火墙产品的主要开展趋势。模式转变，传统的防火墙通常都设置在网络的边界位置，不管是网与外网的边界，还是网中的不同子网的边界，以数据流进展分隔，形成平安管理区域。未来的的防火墙产品将开场表达出一种分布式构造，以分布式为体系进展设计的防火墙产品以网络节点为保护对象，可以最大限度地覆盖需要保护的对象，大大提升平安防护强度。功能扩展，防火墙的管理功能一直在迅猛开展，在将来，通过类似手机、PDA这类移动处理设备也可以方便地对防火墙进展管理，当然，这些管理方式的扩展需要首先面对的问题还是如何保障防火墙系统自身的平安性不被破坏。性能提高，未来的防

17、火墙产品由于在功能性上的扩展，以及应用日益丰富、流量日益复杂所提出的更多性能要求，会呈现出更强的处理性能要求，而寄希望于硬件性能的水涨船高肯定会出现瓶颈，所以诸如并行处理技术等经济实用并且经过足够验证的性能提升手段将越来越多的应用在防火墙产品平台上；相对来说，单纯的流量过滤性能是比拟容易处理的问题，而与应用层涉及越密，性能提高所需要面对的情况就会越复杂；在大型应用环境中，防火墙的规那么库至少有上万条记录，而随着过滤的应用种类的提高，规那么数往往会以趋进几何级数的程度上升，这是对防火墙的负荷是很大的考验，使用不同的处理器完成不同的功能可能是解决方法之一，例如利用集成专有算法的协处理器来专门处理规

18、那么判断，在防火墙的某方面性能出现较大瓶颈时，我们可以单纯地升级某个局部的硬件来解决，这种设计有些已经应用到现有的产品中了，也许未来的防火墙产品会呈现出非常复杂的构造.需求分析校园网络平安分析高校校园网一般都是采用最先进的网络技术架构的，用户较多，使用面较广，存在的平安隐患和漏洞相对较广泛，大多有如下几个方面：校园网与Internet相连，在享受Internet方便快捷的同时，也面临着遭遇攻击的风险。高校校园网速度比拟快，我院与电脑的出口带宽到达了IGbps,这给网络入侵和攻击也提供了一个快速通道。校园网部也存大很大的平安隐患。由于部用户对网络的构造和应用模式都比拟了解，因些来自部的平安威胁会

19、更大一些。目前使用的操作系统存在平安漏洞，对网络平安构成了威胁。例如Windows2000、Windows2003、Windows2008的普遍性和可操性使它成为最不平安的系统：自身平安漏洞、浏览器的漏洞、病毒木马等。随着校园计算机应用的大围普入，接入校园网的节点数日益增多，而这些节点大局部都没有采取平安防护措施，随时有可能造成病毒泛滥、信息丧失、数据损坏、网络攻击、系统瘫痪等严重后果。部用户对Internet的非法威胁，如浏览黄色、暴力、反动等，以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园网，外网恶意用户可能利用一些工具对网络入效劳器发起Dos/DDoS攻击，导致网络及效劳不可用，高

20、校学生通常是最活泼的网络用户，对网络的各种技术都充满了好奇，有强大的求知和实验的欲望，勇于尝试，不计后果，校园网针对如的黑客程序、ARP病毒、超级网管随处可见。鉴于上述不平安因素，有必要为校园网设计一个严密的防火墙。校园网防火墙部署思路防火墙是网络平安的屏障。一个防火墙作为阴塞点、控制点能极提高一个部网络的平安性，并通过过滤不平安的效劳而降低风险。由于只有经对精心选择的应用协议才能通过防火墙，所以网络环境变得更平安。在防火墙设置上我们按照以下原那么配置来提高网络平安性：根据校园网平安策略和平安目标，规划设置正确的平安过滤规那么，规那么审核IP数据包的容包括：协议、端口、源地址、目的地址、流向等

21、工程，严格制止来自公网对校园部网不必要的、非法的/。总体上遵从“不被允许的效劳就被制止的原那么。将防火墙配置成过滤掉以部网络地址进入路由器的IP包，这样可以防源地址假冒和源路由类型的攻击，过滤掉以非法IP地址离开部网络的IP包，防止部网络发起的对外攻击。在防火墙上建立网计算机的IP地址和MAC地址对应表，防止IP地址被盗用。在局域网的入口架设行兆防火墙，并实现VNP的功能，在校园网络入口建立第一层的平安屏障，VPN保证了管理员在家里或出差时能够平安接入数据中心。定期查看防火墙日志，及时发现攻击行为和不良上网记录。允许通过配置网卡对防火墙设置，提高防火墙管理平安性。校园网面对的平安威胁物理平安保

22、证计算机网络系统各种设备的物理平安是整个网络平安的前提。计算机网络的物理平安是在物理介质层次上数据传输、数据存储和数据平安。计算机网络的物理平安包括构成网络的相关根底设施的平安，网络的运行环境比方温度、湿度、电源等，自然环境的影响以及人的因素等对计算机网络的物理平安和运行的影响。物理平安是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web效劳器、打印机等硬件实体和网络通信设备免受自然灾害、人为破坏和搭线攻击等。自然威胁自然威胁主要是指由于自然原因造成的对网络设备硬件的损坏和网络运行的影响。主

23、要包括以下几方面：自然灾害自然灾害对计算机网络设备或其它相关设施造成的损坏，或对网络运行造成的影响。如：雷击、火灾、水灾、地震等不可抗力造成的网络设备或网络通信线路的损坏，大雾对无线传输的影响。正常使用情况下的设备损坏在网络设中，所有的网络设备都是电子设备，任何电子元件也都会老化，因此由电子元件构成的网络设备都一个有限的正常使用年限，即使严格按照设备的使用环境要求使用，在设备到达使用寿命后均可能出现硬件故障或不稳定现象，从而威胁计算机网络的平安运行。设备运行环境网络的运行是不连续的。保证网络设备的平安运行，运行环境是一个很重要的因素。任何计算机网络都需要一个可靠的运行环境来保证其可靠地运行，其

24、中主要包括周边环境和电源系统两大要素。周边环境我们所使用的网络交换设备一般都有自己的散热系统，所以环境因素往往被一些管理员所忽略。随着使用周期的增长，一些设备的散热系统损坏，或在潮湿的天气环境下积尘较多而引起设备运行不稳定，都是不平安因素。因此网络设备的安放都需要比拟良好的环境，所以校园网的网络中心机房一般都配备调湿调温并经常保洁的环境，以保证设备的运行。在分节点的网络设备，可以采取定期维护保养的措施或分别设置空调设备。电源系统 TOC o 1-5 h z 电源系统的稳定可靠直接影响到网络的平安运行。如果要保证网络的不连续，就必须保证电源系统的稳定和不连续。校园网的电源系统可分为两局部，一局部

25、主要用于网络设备和主机，由于这些网络设备和主机对电源系统要求较高，且不能连续，所以这局部的供电系统就采用UPS不连续电源系统，而且最好是采用在线式的，这样可以充分隔离电力系统对网络设备的干扰，保证网络的运行。另一局部主要用于空调设备，其特点是电源容量要求大，可短时间连续，但由于我们局部学校所使用的空调系统在恢复供电后都不能自动启动，所以必须让管理人员掌握电源的通断信息。以师大校园网为例，网络中心通过对UPS电源监控系统的整合，使电源通断信息的变化会及时地反映到网管人员的手机上，这样中心工作人员就能及时了解突发情况。人为威胁人为威胁是指由于人为因素造成的对计算机网络的物理平安威胁，包括成心人为和

26、无意人为威胁。人为成心威胁是指人为主观威胁网络的物理平安。最常见的是人为通过物理接近的方式威胁网络平安，物理接近是其它攻击行为的根底。如通过搭线连接获取网络上的数据信息；或者潜入重要的平安部门窃取口令、密钥等重要的网络平安信息；或者直接破坏网络的物理根底设施盗割网络通信线缆、盗取或破坏网络设备等。这些人为的成心破坏行为严重威胁网络的平安运行。人为无意威胁是人为因素造成但不是成心的物理平安威胁。即使是合法的、技术过硬的操作人员，由于从时间疲劳工作或者其它身体因素的影响，或者自身平安意识不强都可能产生失误和意外疏忽。这些意外和疏忽也可能影响网络的平安运行，有时还会造成重大的损失，如删除了重要的网络

27、配置文件、格式化了存储有重要数据或信息的分区或整个硬盘、没有采取防静电措施插拔硬件等等网攻击分析ARP攻击ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中，局域网中假设有一台计算机感染ARP木马，那么感染该ARP木马的系统将会试图通过“ARP欺骗手段截获所在网络其它计算机的通信信息，并因此造成网其它计算机的通信故障。某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的

28、MAC地址后，就会进展数据传输。如果未找到，那么播送A一个ARP请求报文携带主机A的IP地址IA物理地址PA，请求IP地址为旧的主机B答复物理地址PB。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据由网卡附加MAC地址。因此，本地高速缓存的这个ARP表是本地网络流通的根底，而且这个缓存是动态的。网络监听.在网络中，当信息进展传播的时候，可以利用工具，将网络接口设置在监听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进展攻击。网

29、络监听在网络中的任何一个位置模式下都可实施行。而黑客一般都是利用网络监听来截取用户口令。比方当有人占领了一台主机之后，那么他要再想进将战果扩大到这个主机所在的整个局域网话，监听往往是他们选择的捷径。很多时候我在各类平安论坛上看到一些初学的爱好者，在他们认为如果占领了某主机之后那么想进入它的部网应该是很简单的。其实非也，进入了某主机再想转入它的部网络里的其它机器也都不是一件容易的事情。因为你除了要拿到他们的口令之外还有就是他们共享的绝对路径，当然了，这个路径的尽头必须是有写的权限了。在这个时候，运行已经被控制的主机上的监听程序就会有大收效。不过却是一件费心的事情，而且还需要当事者有足够的耐心和应

30、变能力。主要包括：数据帧的截获对数据帧的分析归类dos攻击的检测和预防IP冒用的检测和攻击在网络检测上的应用对垃圾的初步过滤蠕虫病毒蠕虫病毒攻击原理蠕虫也是一种病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体，而被感染的文件就被称为宿主，例如，windows下可执行文件的格式为pe格式(PortableExecutable)当需要感染pe文件时，在宿主程序中，建立一个新节，将病毒代码写到新节中，修改的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，病毒程序运行完之后，在把控制权交给宿主原来的程序指令。可见，病毒主要

31、是感染文件，当然也还有像DIRII这种型病毒，还有引导区病毒。引导区病毒他是感染磁盘的引导区，如果是软盘被感染，这软盘用在其他机器上后，同样也会感染其他机器，所以传播方式也是用软盘等方式。蠕虫病毒入侵过程蠕虫病毒攻击主要分成三步：扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反应信息后，就得到一个可传播的对象。攻击：攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象，取得该主机的权限一般为管理员权限，获得一个shelb复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。外网攻击分析DOS攻击DoS攻击(DenialofServic

32、e简称DOS)即拒绝效劳攻击，是指攻击者通过消耗受害网络的带宽，消耗受害主机的系统资源，开掘编程缺陷，提供虚假路由或DNS信息，使被攻击目标不能正常工作。实施DoS攻击的工具易得易用，而且效果明显。一般的DoS攻击是指一台主机向目的主机发送攻击分组(1:1)，它的威力对于带宽较宽的站点几乎没有影响;而分布式拒绝效劳攻击(DistributedDenialofService，简称DDoS)同时发动分布于全球的几千台主机对目的主机攻击（m:n）,即使对于带宽较宽的站点也会产生致命的效果。随着电子商业在电子经济中扮演越来越重要的角色，随着信息战在军事领域应用的日益广泛，持续的DoS攻击既可能使某些机

33、构破产，也可能使我们在信息战中不战而败。可以毫不夸地说，电子恐惧活动的时代已经降临。DoS攻击中，由于攻击者不需要接收来自受害主机或网络的回应，它的IP包的源地址就常常是伪造的。特别是对DDoS攻击，最后实施攻击的假设干攻击器本身就是受害者。假设在防火墙中对这些攻击器地址进展IP包过滤，那么事实上造成了新的DDS攻击。为有效地打击攻击者，必须设法追踪到攻击者的真实地址和身份。SYNAttack（SYN攻击）每一个TCP连接的建立都要经过三次握手的过程：A向B发送SYN封包：B用SYN/ACK封包进展响应；然后A又用ACK封包进展响应。攻击者用伪造的IP地址不存在或不可到达的地址发送大量的SYN

34、封包至防火墙的某一接口，防火墙用SYN/ACK封包对这些地址进展响应，然后等待响应的ACK封包。因为SYN/ACK封包被发送到不存在或不可到达的IP地址，所以他们不会得到响应并最终超时。当网络中充满了无法完成的连接请求SYN封包，以至于网络无法再处理合法的连接请求，从而导致拒绝效劳DOS时，就发生了SYN泛滥攻击。防火墙可以对每秒种允许通过防火墙的SYN封包数加以限制。当到达该临界值时，防火墙开场代理进入的SYN封包，为主机发送SYN/ACK响应并将未完成的连接存储在连接队列中，未完成的连接保存在队列中，直到连接完成或请求超时。ICMPFlood（UDP泛滥）当ICMPPING产生的大量回应请

35、求超出了系统最大限度，以至于系统消耗所有资源来进展响应直至再也无法处理有效的网络信息流时，就发生了ICMP泛滥。当启用ICMP泛滥保护功能时，可以设置一个临界值，一旦超过了此值就会调用ICMP泛滥攻击保护功能。缺省的临界值为每秒1000个封包。如果超过了该临界值。NETSCREEN设备在该秒余下的时间和下一秒会忽略其他的ICMP回应要求。UDPFlood（UDP泛滥）与ICMP泛滥相似，当以减慢系统速度为目的向该点发送UDP封包，以至于系统再也无法处理有效的连接时，就发生了UDP泛滥，当启用了UDP泛滥保护功能时，可以设置一个临界值，一旦超过此临界值就回调用UDP泛滥攻击保护功能。如果从一个或

36、多个源向单个目标发送的UDP泛滥攻击超过了此临界值，防火墙在该秒余下的时间和下一秒会忽略其他到该目标的UDP封包。PortScanAttac雕口扫描攻击）当一个源IP地址在定义的时间间隔缺省值为5000微秒向位于一样目标IP地址10个不同的端口发送IP封包时，就会发生端口扫描攻击。这个方案的目的是扫描可用的效劳，希望会有一个端口响应，因此识别出作为目标的效劳。防火墙在部记录从某一远程源地点扫描不同端口的数目。使用缺省设置，如果远程主机在0.005秒扫描了10个端口。防火墙会将这一情况标记为端口扫描攻击，并在该秒余下的时间拒绝来自该源地址的其他封包.防火墙在校园网中的配置随着高校信息化进程的推进

37、，学院校园网上运行的应用系统越来越多，信息系统变得越来越庞大和复杂。校园网的效劳器群构成了校园网的效劳系统，主要包括DNS、虚拟主机、WebFTP、视频点播以及Mail效劳等。校园网通过不同的专线分别接入了教育网、电信网和党政网。随着学院网络出口带宽不断加大，应用效劳系统逐渐增多，校园网用户数烈剧上升，网络的平安也就越来越严峻。高校校园网防火墙网络平安策略讨论防火墙平安策略一般实施两个根本设计方针之一：拒绝除明确许可以外的任何一种效劳，即拒绝一切未予特许的东西2允许除明确拒绝以外的任何一种效劳，即允许一切未被特别拒绝的东西校园网防火墙的网络平安策略采取第一种平安控制的方针，确定所有可以被提供的

38、效劳以及它们的平安特性，然后开放这些效劳，并将所有其它未被列入的效劳排斥在外，制止。校园网网络构造拓扑图如图4-1所示:上网上网办公“服第器服务器图4-1校园网网络总拓扑构造图在实际应用环境中，一般情况下防火墙网络可划分为三个不同级别的平安区域:部网络：这是防火墙要保护的对象，包括全部的部网络设备及用户主机。这个区域是防火墙的可信区域（这是由传统边界防火墙的设计理念决定的）。外部网络：这是防火墙要防护的对象，包括外部网主机和设备。这个区域为防火墙的非可信网络区域（也是由传统边界防火墙的设计理念决定的）。DMZ（非军事区）：它是从部网络中划分的一个小区域，在其中就包括部网络中用于公众效劳的外部效

39、劳器，如Web效劳器、效劳器、DNS效劳器等，它们都是为互联网提供某种信息效劳。在以上三个区域中，用户需要对不同的平安区域制订不同的平安策略。虽然部网络和DMZ区都属于部网络的一局部，但它们的平安级别（策略）是不同的。对于要保护的大局部部网络，一般情况下制止所有来自互联网用户的；而由部网络划分出去的DMZ区，因需为互联网应用提供相关的效劳，这些效劳器上所安装的效劳非常少，所允许的权限非常低，真正有效劳器数据是在受保护的部网络主机上，所以黑客攻击这些效劳器没有任何意义，既不能获取什么有用的信息，也不能通过攻击它而获得过高的网络权限。通过NAT（网络地址转换）技术将受保护的部网络的全部主机地址映射

40、成防火墙上设置的少数几个有效公网IP地址。这样可以对外屏蔽部网络构和IP地址，保护部网络的平安；同时因为是公网IP地址共享，所以可以大大节省公网IP地址的使用。在这种应用环境中，在网络拓扑构造上校园网可以有两种选择，这主要是根拥有网络设备情况而定。如果原来已有边界路由器，那么此可充分利用原有设备，利用边界路由器的包过滤功能，添加相应的防火墙配置，这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的部网络连接。对于DMZ区中的公用效劳器，那么可直接与边界路由器相连，不用经过防火墙。它可只经过路由器的简单防护。在此拓扑构造中，边界路由器与防火墙就一起组成了两道平安防线，并且在这两者之

41、间可以设置一个DMZ区，用来放置那些允许外部用户的公用效劳器设施。依照学院的网络拓扑将网络划分成三个部份，如图4-2所示：外网、DMZ区和部网络。外网与Internet相连；DMZ放置各种应用效劳器；部网络连接校用户;4-2学院防火墙构造图应用效劳当中EMAIL、DNS和效劳需要外网能够，因此将这些效劳规划到DMZ区。防火墙的根本配置学院采用的是防火墙，它的初始配置也是通过控制端口Console与PC机的串口连接，再通过超级终端HyperTerminal程序进展选项配置。也可以通过telnet和Tffp配置方式进展高级配置，但必需先由Console将防火墙的这些功能翻开。NETSCREEN防火

42、墙有四种用户配置模式，即：普通模式Unprivilegedmode、特权模式PrivilegedMode、配置模式ConfigurationMode和端口模式InterfaceMode。显示根本信息：命令行根本信息收集：netscreengetsyst得至U系统信息netscreengetconfig得至Uconfig信息netscreengetlogevent得至U日志功能问题需收集以下信息：netscreensetfiliter?设置过滤器netscreendebugflowbasic!开启本!本的debug功能netscreencleardb1去除debug的缓冲区netscreenge

43、tdbufstreams可以看至Udebug的信息了性能问题需收集以下信息：得到以下信息前，请不要重新启动机器，否那么信息都会丧失，无法判定问题所在。netscreenGetpercpudetai得到CPU使用率netscreenGetsessioninf0得至U会话信息netscreenGetpersessiondetail得至U会话详2田信息、netscreenGetmac-learn透明方式下使用，获取MAC硬件地址netscreenGetalarmevent得至U告警日志netscreenGettechtftp6tech.txt导出系统信息netscreenGetlogsysteni得

44、至U系统日志信息netscreenGetlogsystemsave刑到系统出错后，系统自动记录信息，该记录重启后不会丧失。设置接口-带宽,网关设置所指定的各个端口的带宽速率,单位为kb/sSetinterfaceinterfacebandwidthnumberunsetinterfaceinterfacebandwidth设置接口的网关setinterfaceinterfacegatewayip_addrunsetinterfaceinterfacegateway设置接口的接口的区域，IP地址zone就是网络逻辑上划分成区，可以在平安区或平安区部4.2.3接口之间实施策略：设置接口的接口的区域

45、setinterfaceinterfacezonezoneunsetinterfaceinterfacezone设置接口的IP地址setinterfaceinterfaceipip_addr/masksetinterfaceinterfaceipunnumberedinterfaceinterface2unsetinterfaceinterfaceipip_addr接口管理设置setinterfaceinterfacemanageident-reset|nsmgmt|ping|snmp|ssh|ssl|telnet|webuiunsetinterfaceinterfacemanageident

46、-reset|nsmgmt|ping|snmp|ssh|telnet|webuiWebUI:允许接口通过Web用户界面(WebUI)接收HTTP管理信息流。Telnet选择此选项可启用Telnet管理功能。SSH可使用“平安命令外壳(SSH)ffi过以太网连接或拨号调制解调器管理NetScreen设备。必须具有与SSH协议版本1.5兼容的SSH客户端。选择此选项可启用SSH管理功能。SNMP选择此选项可启用SNMP管理功能。SSL4择此选项将允许接口通过WebUI接收NetScreen设备的HTTPS平安管理信息流。NSSecurityManaged择此选项将允许接口接收NetScreen-S

47、ecurityManager息流。Ping选此选项将允许NetScreen设备响应ICMP回应请求，以确定是否可通过网络特定的IP地址。Ident-Reset与“或FTP发送标识请求相类似的效劳。如果它们未收到确认，会再次发送请求。处理请求期间制止用户。启用Ident-reset选项后，NetScreen设备将发送TCP重置通知以响应发往端口113的IDENT请求，然后恢复因未确认标识请求而被阻止的。指定允许进展管理的ip地址setinterfaceinterfacemanage-ipip_addrunsetinterfaceinterfacemanage-ip用户的操作添加只读权限管理员se

48、tadminuserRogerpassword2bd21wG7privilegeread-only修改为可读写权限unsetadminuserRogersetadminuserRogerpassword2bd21wG7privilegeall删除用户unsetadminuserRoger去除所有会话,并注销clearadminnameRoger基于网的防火墙功能及配置IP与MAC用户绑定功能如果在一个局域网部允许HostA上网而不允许HostB上网，那么有一种方式可以欺骗防火墙进展上网，就是在HostA还没有开机的时候，将HostB的IP地址换成HostA的IP地址就可以上网了。那么针对IP欺

49、骗的行为，解决方法是将工作站的IP地址与网卡的MAC地址进展绑定，这样再改换IP地址就不行了，除非将网卡和IP地址都换过来才行，所以将IP地址与MAC地址进展绑定，可以防止部的IP盗用。但是这种绑定只适合与防火墙同网段的节点，如果其他IP地址与目的IP地址是不同的，无法实现IP地址与MAC的绑定。但是可以通过IP地址与用户的绑定，因为用户是可以跨网段的。另外对DHCP用户的支持，如果在用DHCP效劳器来动态分配IP地址的网络中，主机没有固定的IP地址，如何解决这样的问题呢？目前主要有两种方式可以解决这个问题，第一种是在防火墙中置DHCP效劳器，但这种方式由于防火墙置DHCP效劳器，会导致防火墙

50、本身的不平安，如果有一天防火墙失效，造成DHCP效劳器宕时机影响整个网络而并不仅仅只对出口造成影响。另一种比拟好的解决方法是防火墙支持基于MAC地址的控制，在配置之前，先不添IP地址只添网卡的MAC地址，开机后自动将获得的IP地址传给防火墙，防火墙根据这个IP地址与MAC地址进展绑定来实现控制，这种方式可以实现IP地址与MAC地址的绑定。这种方式的好处是防火墙受到破坏并不会对这个局域网的通讯产生影响，DHCP效劳器不会受到影响，整个网络也不需要进展改动。用户绑定针对IP欺骗的行为，我校校园网网络设置中将工作站的IP地址与网卡的MAC地址进展绑定。BINDTO01-50-04-BB-71-A6B

51、INDTO01-50-04-BB-71-BC这样再改换IP地址就不行了，除非将网卡和IP地址都换过来才行，所以将IP地址与MAC地址进展绑定，可以防止部的IP盗用。上面的绑定方式只适合与防火墙同网段的节点，如果其他网段的节点通过防火墙进展时，通过网段的源IP地址与目的IP地址是不同的，无法实现IP地址与MAC的绑定。实现方法是通过IP地址与用户的绑定，因为用户是可以跨网段的。另外对我校DHCP用户的支持，如果在用DHCP效劳器来动态分配IP地址的网络中，主机没有固定的IP地址，解决方法是设置防火墙支持基于MAC地址的控制，在配置之前，先不添IP地址，只添加网卡的MAC地址，开机后自动将获得的I

52、P地址传给防火墙，防火墙根据这个IP地址与MAC地址进展绑定来实现控制，这种方式可以实现IP地址与MAC地址的绑定。这种方式的好处是防火墙受到破坏并不会对这个局域网的通讯产生影响，DHCP效劳器不会受到影响，整个网络也不需要进展改动。MAP端口映射功能通过远程WEB效劳器域名地址就可以到Web效劳器的主页，但这样是直接对我的WEB效劳器进展和操作很不平安。如果有防火墙，可以把将WEB效劳器的地址映射到防火墙的外端口地址，做完映射以后，这些效劳器可以使用私有地址，或者这些地址不公开保护起来，对外公开的WEB效劳器的地址是防火墙的外端口地址。因此，通过这种方式有两个优点，第一是这些效劳器可以使用私

53、有地址，同时也隐藏了网的构造，如果这时黑客进展攻击，网是平安的，因为Web效劳器公开的地址是防火墙的外端口，真正的WEB效劳器的地址不会受到攻击，这样可以增加网络的平安性。比方部设有WEB效劳器和有一个远程客户，通过远程WEB效劳器域名地址就可以到这个网页，但这样是直接对我的WEB效劳器进展和操作很不平安。可以将WEB效劳器的地址如映射到防火墙的外端口地址如，即：MAP:80TO:80MAP:21TO:21MAP:25TO:25MAP:53TO:53做完映射以后，这些效劳器可以使用私有地址，或者这些地址不公开保护起来，对外公开的WEB效劳器的地址是，客户端输入就可以到这个WEB效劳器。因此，通

54、过这种方式有两个优点，第一是这些效劳器可以使用私有地址，同时也隐藏了网的构造，如果这时黑客进展攻击进展扫描，网是平安的，因为地址是防火墙的外端口，真正的WEB效劳器的地址是不会受到攻击，这样可以增加网络的平安性NAT地址转换功能网络地址转换可以将网的私有地址利用防火墙的地址转换功能，来实现对地址的转换，防火墙可以随机设置静态合发地址或者动态地址池，防火墙向外的报文可以从地址池里随机找一个报文转发出来。利用这个方式也有两个优点：第一可隐藏网的构造，第二是部网络可以使用保存地址，提供IP复用功能。具体NAT功能配置如下：natinsidesourcelist22poolpool100natinsi

55、dedestinationstatic65natinsidedestinationstatictcp621121natinsidedestinationstatictcp680280基于外网的防火墙功能及配置DOS攻击防防DOS攻击的传统技术主要有4种：加固操作系统，即配置操作系统各种参数以加强系统稳固性利用防火墙负载均衡技术，即把应用业务分布到几台不同的效劳器上带宽限制和QOS保证本论文主要介绍利用防火墙来应对DOS的攻击。目前绝大数的主流防火墙都支持IPInspect功能，防火墙会对进入防火墙的信息进展严格的检测。这样，各种针对系统漏洞的攻击包会自动被系统过滤掉，从而保护了网络免受来自外部

56、的系统漏洞攻击。通过设置ACL过滤、TCP监听功能，过滤不必要的UDP和ICMP数据报。防火墙的根本配置如下：firewall(config)#nameiffa0/1insidesecurity100firewall(config)#nameiffa0/2insidesecurity100firewall(config)#nameiffa0/3outsidesecurity0firewall(config)#intfa0/1autofirewall(config-if)#ipaddinsidefirewall(config-if)#noshutdownfirewall(config-if)#i

57、ntfa0/2autofirewall(config-if)#ipaddinsidefirewall(config-if)#noshutdownfirewall(config-if)#intfa0/3autofirewall(config-if)#ipaddoutsidefirewall(config-if)#noshutdownfirewall(config-if)#exit由于我们经常会开启一些小效劳，例如echo(M显)端口和discard丢弃)端口，用于诊断，回显端口将重放那些端口所承受到的数据包，而丢弃端口那么将数据包丢弃，由于丢弃数据包或回显数据包都会消耗Pcu周期，一些DOS攻击就采用这些端口。所以建议在防火墙接口上关闭这些效劳firewall(config)#noservicetcp-small-serversfirewall(config)