防火墙技术在政府网站中的应用与方案设计

PAGE1PAGE CHENGNANCOLLEGEOFCUST毕业设计（论文）题目：防火墙技术在政府网站中的应用与方案设计学生姓名：学号：班级:专业：指导教师：2013年6月防火墙技术在政府网站中的应用与方案设计学生姓名： 学号：班级：:指导教师：完成日期:防火墙技术在政府网站中的应用与方案设计

DesigningandApplyingOFTHEFirewallTechnologyinGovernmentnetworkABSTRACTWiththerapiddevelopmentoftheGovernmentnetwork，therearemanysecuritydangersandthreat．Firewalltechnologyisaveryimportanttechnolgyinnetworksecurity,anditisthemosteffectivemethodtopreventhackerfrominvading.ThispaperprovidesanappficationinstanceofPIXfirewallintheGovernmentnetworkbystudieingtheconfigurationplanoffirewall，productselectionandDMZ,andsystematicallydiscussestheapplicationoffirewalltech．Thispaperproposesusingthe(AccessControlLists)ACLtocutthevirusdiffusionpassefficientlytoenhancethesecurityoftheGovernmentnetandthengivessomedetailedconfigureexamples,andintroducesthebasicprincipleandclassificationof(AletworkAddressTranslation)NATaswellasmethodsandskillsforrealizingthepartialapplicationoftheGovernmentnetworkbyusingtheNATtechnology.Atlast,weimplementsafingandreliabiltyoftheGovernmentnetworkKeywords:Governmentnetwork；firewall；ACL；NAT

目录第1章绪论 11.1网络安全现状 11.2网络攻击类型 21.3防火墙的概述 31.4论文主要内容 5第2章政府网站总体结构设计 62.1政府网站安全问题的特点 62.2政府网站安全需求分析和解决方案 62.3政府网络设计方案 8第3章政府网站中防火墙的设计 103.1政府网站中DMZ的设计与实现 103.2政府网站中ACL的设计 133.3政府网中NAT的设计 17第4章政府网站防火墙的实现 214.1政府网站防火墙产品的选择 214.2防火墙基本功能的实现与测试 23第5章结束语 29参考文献 30致谢 31附录政府网络防火墙配置 33附件1开题报告 38附件2译文及原文影印件 44第3页共31页第1章绪论二十一世纪是一个信息时代，随着网络各种应用的不断发展，网络安全在各方面的问题日益突出，迫切需要一种行之有效的解决方案。为了保证网络的安全，防火墙是被当今广泛采用的一种网络安全技术。防火墙实质上就是一种隔离控制技术，从逻辑上看它既是一个分析器又是一个限制器。它要求所有进出的网络数据流都应该通过它，并且所有穿过它的数据流都必须符合安全策略。其工作原理是:按照事先规定好的配置和规则，监测并过滤所有传向内部网或从内部网传出的数据，只允许授权的数据通过。防火墙还应该能够记录有关连接的信息、服务器的通信量以及试图闯入者的任何企图，以方便管理员的检测和跟踪。此外防火墙本身也必须具有比较高的抗攻击性。防火墙技术种类繁多，比较有代表性的有包过滤技术、应用网关技术和状态包过滤技术。包过滤由于只在网络层对数据包进行处理，并不将数据包传给高层协议，因而具有较高的处理速度，但由于其不关心数据包的状态，缺乏对数据包高层信息的理解，导致了其安全性比较低。而应用网关技术则相反，它在网络协议栈的所有层次都对数据包进行处理，能对数据包在高层应用协议中的合法性进行检查，具有比较高的安全性，但这也导致了其系统开销大，处理速度比较慢。状态包过滤技术则是在包过滤的基础上进行改进的结果，它很好的融合了包过滤和代理网关的优点，既具有较高的安全性，又具有很高的处理转发速度，成为当今防火墙领域的主流技术。而状态检测机制作为状态包过滤的核心，直接决定了防火墙的性能，1.1网络安全现状计算机网络信息安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害，即是指计算机、网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，确保系统能连续可靠正常地运行，使网络服务不中断。计算机网络安全从其本质上来讲就是系统上的信息安全，涉及计算机网络信息的保密性、完整性、可用性、真实性和可控性。如果按威胁的对象、性质则可以细分为四类：第一类是针对硬件实体设施；第二类是针对软件、数据和文档资料；第三类是对软硬件同时攻击破坏；第四类是计算机犯罪。（1）对硬件实体的威胁和攻击这类威胁和攻击是对计算机本身和外部设备乃至网络和通信线路而言的，如各种自然灾害、人为破坏、操作失误、设备故障、电磁干扰、被盗和各种不同类型的不安全因素所致的物质财产损失、数据资料损失等。（2）对信息的威胁和攻击这类威胁和攻击是指计算机系统处理所涉及的国家、部门、各类组织团体和个人的机密、重要及敏感性信息。由于种种原因，这些信息往往成为敌对势力、不法分子和黑客攻击的主要对象。（3）同时攻击软、硬件系统这类情况除了战争攻击、武力破坏以外，最典型的就是病毒的危害（4）计算机犯罪计算机犯罪是指一切借助计算机技术或利用暴力、非暴力手段攻击、破坏计算机及网络系统的不法行为。暴力事件如武力摧毁等，非暴力形式却多种多样，如数据欺骗、制造陷阱、监听窃听、黑客攻击等等。1.2网络攻击类型黑客在动机和技巧上差别很大。有些人是在利益的驱使下寻求某些特定的信息，有些则是为了控制计算和通信系统，以供自己使用。但是，也有许多黑客将入侵视为一种娱乐性游戏，以这种破坏性行为作为他们能够成功访问的证明。不管动机是什么，目的在于入侵某个网络的攻击在开始时总是试图映射目标网络、收集用户和主机系统信息并寻找安全漏洞。这种信息收集是通过一些最常见的工具进行的。（1）端口扫描，快速探查、E-mail重配置和DNS高区传输仅仅是几种常见的网络探测方法。主要用于探查哪些系统处于活跃状态、提供什么服务以及采取了什么安全措施。如果安全性不高，通过简单的探测甚至可以获得用户帐号信息[1]。（2）分组窃听是在一个网络主机已受损后所使用的侦察程序，目的是获取并转移数据分组，以进行分析。如果由一个未授权技术人员使用这种工具，他可以获得关于网络使用情况和效率的有用信息。在由黑客使用时，窃听程序可以获取用户名、密码和系统地址，甚至可以读取未加密的信息。目前市场上有大量自由件和共享件分组窃听程序，利用这些工具，技术水平较低的蓄意破坏者也可以收集广泛的信息，并利用这些信息发起攻击。在获得了关于网络布局、网络保护措施及其用户的足够信息后，攻击者通常会进一步进入防护不严密的系统，获得更多信息并利用最初的开口进而侵入其它系统。根据攻击者的动机和技术水平，他可能会试图窃取或毁坏数据、转移网络资产供自己使用（如长途电话服务）或只是使网络停运。常见的攻击包括：（3）IP电子欺骗，即利用一个内部地址隐藏外部流量的真正来源。（4）应用级攻击，这种攻击的目标为运行某些网络服务（如E-mail）的服务器软件。通常这些攻击会利用旧的软件版本的安全漏洞使入侵者控制服务或服务器本身。（5）特洛伊马攻击利用伪装的软件欺骗用户或系统，令其提供有用的信息或降低安全屏障。典型的例子是一个替代性的网络登录操作，它提示用户输入其用户名和密码，然后再将该信息发给一个黑客。其它还包括Java应用和嵌入Web页面的ActiveX控制，用于在传输一个明显无害的页面时予以执行。这些攻击特别具有破坏性，因为编程语言独立于平台的特性使它们能够扩散到所有连接的系统。（6）拒绝服务攻击，这些攻击利用网络通信协议用不完整的服务请求占用主机，从而阻挡了合法的请求。1.3防火墙的概述防火墙是目前一种最重要的网络防护设备。它就像电路中的二级管，而二极管我们知道，它具有单向导电性，这样也就形象地说明了防火墙具有单向导通性。这看起来与现在防火墙过滤机制有些矛盾，不过它却完全体现了防火墙初期的设计思想，同时也在相当大程度上体现了当前防火墙的过滤机制。因为防火墙最初的设计思想是对内部网络总是信任的，而对外部网络却总是不信任的，所以最初的防火墙是只对外部进来的通信进行过滤，而对内部网络用户发出的通信不作限制。当然目前的防火墙在过滤机制上有所改变，不仅对外部网络发出的通信连接要进行过滤，对内部网络用户发出的部分连接请求和数据包同样需要过滤，但防火墙仍只对符合安全策略的通信通过，也可以说具有“单向导通”性。它是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使政府网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙主要有以下几方面功能：创建一个阻塞点、隔离不同网络、防止内部信息的外泄、强化安全策略、有效地审计和记录内、外部网络上的活动。（1）创建一个阻塞点防火墙在政府内部网络和外部网络间建立一个检查点。这种实现要求所有的流量都要通过这个检查点。一旦这些检查点清楚地建立，防火墙设备就可以监视，过滤和检查所有进来和出去的流量。这样一个检查点，在网络安全行业中称之为“阻塞点”。通过强制所有进出流量都通过这些检查点，网络管理员可以集中在较少的地方来实现安全目的。如果没有这样一个供监视和控制信息的点，系统或安全管理员则要在大量的地方来进行监测。（2）隔离不同网络，防止内部信息的外泄这是防火墙的最基本功能，它通过隔离内、外部网络来确保内部网络的安全。也限制了局部重点或敏感网络安全问题对全局网络造成的影响。企业秘密是大家普遍非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所截获，攻击者通过所获取的信息可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网等信息。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。（3）强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。各种安全措施的有机结合，更能有效地对网络安全性能起到加强作用。（4）有效地审计和记录内、外部网络上的活动防火墙可以对内、外部网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并进行日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。这为网络管理人员提供非常重要的安全管理信息，可以使管理员清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。1.4论文主要内容本设计主要进行防火墙在政府网站中的应用，通过对防火墙的主要类型和基本功能的了解和分析其各自的优缺点，然后通过对防火墙配置及测试的分析和探讨，同时参考现有网络防火墙系统设计及它们的特点，来设计一个功能完善的防火墙系统结构。本文共分为四章，按照如下方式组织：第一章介绍了论文的研究背景，介绍了计算机网络面临的安全问题及攻击方法，接下来概括了论文的研究内容组织结构。第2章介绍了政府网站总体结构设计，安全问题的特点和安全需求分析和解决方案。第3章主要介绍政府网站中防火墙的设计，包括防火墙的配置实施以及DMZ的设计与实现。在论文的最后一章重点介绍了政府网站防火墙的选购和实现。

第2章政府网站总体结构设计2.1政府网站安全问题的特点

由于政府部门的工作性质带有机密性要求，一般人没有经过授权时不能接触的。成为政府信息安全问题的，例如黑客的恶意攻击、网络资源被不法的人使用、敏感信息被盗取以及网络病毒等，一旦网络系统被攻破，会对政府部门的信息安全构成极大的威胁。针对政府网站的特点分为以下几点：一定要通过安全的网络系统，不同安全域、安全等级之间的信息才可交流。制定相关的安全保密制度，制定过程必须严谨严格地对安全等级、安全区域划分。涉密网机器一律不许上非涉密网，非涉密网机器一律不许运行涉密信息。一律不许混用非涉密、涉密网机器。2.2政府网站安全需求分析和解决方案（1）对物理层的分析与解决方案破坏整个网络系统的自然环境事故有水灾，火灾，地震等等；还有可能发生的硬件上的问题：电磁辐射可能造成数据信息被窃取或偷阅；电源故障造成的设备，可以是数据库信息丢失或操作系统引导失败造成的；也可能是设备被盗、被毁造成数据丢失或信息泄漏，这些都是可以避免的漏斗。[2]解决方案为：针对重要信息泄漏的原因可能通过电磁辐射或线路干扰等。需要对存放机密信息的机房进行必要的设计，如构建屏蔽室，配备专门的工作人员进行看守。采用辐射干扰机，防止电磁辐射泄漏机密信息。对重要的设备进行备份；对重要系统进行备份等安全保护。（2）对链路层安全传输的解决方案政府网络链路层的安全是要防止恶意攻击者攻击政府内部网络的信息传输和窃取信息，他们完全有可能在传输线路上安装窃听设备，通过一些技术信息窃取重要的数据通过互联网传输，造成泄密或者添加一些不必要的东西破坏信息数据的完整。[3]以上所有这些因素对网络结构不安全的严重的安全威胁。对于政府和重要的信息传输网络，并通过数字签名和认证技术来保护上传输的数据真实性、可靠性、高度机密性和完整性，数据传输等的链接都必须要加密。如图2.2所示：图2.2链路层加密（3）对与外网链接的安全分析和解决方案因为互联网是开放和自由的，任何人都可以去访问，信息是可以任意获取的。如果政府内部网络和外部网络互连，内部网络将面临更严重信息安全的威胁。要是黑客成功地闯入因特网的节点，如果我们实施网络安全措施不够警惕的话，很可能都不知道黑客是如何闯入，甚至成为黑客攻击其他机构部门网络的跳板。介于互联网的开放和自由，对于政府网站系统的安全，国家有规定不能直接或间接连接到互联网的。所以我们的解决方案是使用NAT地址转换技术，向运营商申请IP地址，利用NAT转换，使内网地址不必暴露在外网中，达到防治链接公网安全威胁的目的。（4）对于网络病毒分析和解决方案

计算机的信息需要存取、复制、传送，网络病毒作为信息的一种形式可以随之繁殖、感染、破坏，这就是病毒存在的必然性。网络病毒可以通过上网链接、网上下载、电子邮件等传播途径潜入内网中。网络中一旦有一台主机网络下载时带入病毒，病毒中的程序完全可能在非常短的时间内迅速入侵到其他主机，可能造成信息丢失、文件篡改、系统集体奔溃等不安全的问题。针对信息安全问题，网络病毒的潜在威胁是不可以忽视的，也是必需采取措施去防治的。所以我们的解决方案是利用ACL访问控制，对一些非法的路由进行过滤，隔离掉一些不受信任和没有认证的网络，从而来加强政府内部网络的安全，可以安全地进行因特网访问。（5）对政府数据信息分析和解决方案

政府机构部门的数据信息安全是最为重要的，首先要把存储服务器放置在隐蔽安全的机房中，并配备专门的门卫看守，确保数据的安全。在信息技术如此发达的年代，使用允许外部访问的服务器时，信息数据是在转移的过程中，在广域网上传输，不能确定数据信息不被非法攻击和窃取。入侵者和间谍可以在通过一些网络技术手段，对传输在互联网上的信息数据窃取，对于政府部门来说是决不允许的。对于存储服务的网络安全，在以下的设计中对服务器部分作了DMZ设计，以保证政府数据的安全。2.3政府网络设计方案（1）政府网络结构设计政府网站系统是各种应用的统一通信平台，平均无故障时间以及故障恢复时间，要保持在一个许可范围之内。在这种前提下，主干设备应有一定的保护机制及冗余机制。政府网站结构分为两层：核心层、接入层。核心层的核心交换机节点上接入信息资源中心的服务器，该交换机上配置第三层交换模块和网络监控模块，以实现网络动态管理和虚拟局域网，并且增加了备用的核心层交换机来保证政府网站的可靠性。政府网的信息资源中心，采用三层交换机与政府网站中心的核心路由交换机连接，以实现主干通道信息传输的负载均衡。采用高性能接入层交换机，以保证各个部门间交换机端口密度的要求和网络性能与可靠性的要求。而我们所采取的保护机制不单只是设备级的，也应该考虑物理线路，数据链路层、网络层以及应用层,保证整体的政府网站畅通。通过要求设计政府网站拓扑结构如图2.3所示：图2.3政府网络拓扑图（2）互联网接入设计政府网站互联采用光缆或微波，实现了区域网的统一划分与管理。考虑到政府网站连接的可靠性，采用光缆或微波均实现冗余连接。采用生成树协议，可防止路由环路的形成。从信息安全和集中管理的考虑，对Internet的访问采用统一的出口。Internet安全问题，通过统一管理、分组过滤及设置防火墙，DMZ等安全防范措施来解决。（3）接入层接入层选用可堆叠交换机作为用户终端的接入。采用10/100/1000M以太网交换机系列，接入交换机支持全线速的二层交换，完备的安全智能控制策略：支持802.1x认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持多种ACL访问控制策略，能够对用户访问网络资源的权限进行设置，保证网络的受控访问。[4]高可靠性：支持STP/RSTP生成树协议。丰富的QOS策略：支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2~L7复杂流分类，支持带宽控制功能。好的扩展性：提供良好的堆叠功能，同时支持不同设备的混合堆叠，从而降低了扩建成本和保证了网络的平滑升级。

第3章政府网站中防火墙的设计3.1政府网站中DMZ的设计与实现（1）政府网站中DMZ的安全策略DMZ的目的是将敏感的内部网络和提供外部访问服务的网络分离开，为网络提供深度防御。DMZ（DemilitarizedZone）译为中文是隔离区或非军事区，也可以译为可靠区，其作用就是把允许外部访问的服务器单独接在可靠区域端口上，而这些服务像网页服务器（web）、邮件服务器（mail）、文件服务器（ftp）等[5]。而这些服务器接在可靠区端口后，不允许任何访问，实现内外网分离，达到政府网站信息安全的目的。即使来自互联网的访问者都可以访问可靠区域中的服务，但不可能碰触到存放在内网服务器中的政府机构机密或私人信息，纵使可靠区域中服务器受到破坏，也不会对内网中的机密信息造成影响，从而实现信息安全的目的。当计划一个政府网站需要设计DMZ区时，必须了解网络之间的访问关系，如内网需要访问外网，内网应当能访问DMZ，外网不能访问内网等关系[6]，并针对相应的需求去设计。以下简单说明可靠区几条访问控制策略。内网需要访问外网：在这一策略中，防火墙需要进行NAT源地址转换。因为内网的用户很有必要自由地去访问外网资源。内网应当能访问DMZ：此策略的作业是方便政府部门的网络管理员使用和管理可靠区中的服务器。外网允许访问DMZ：所有外网是被允许访问可靠区的，因为可靠区中放着提供给外网服务用的服务器。在接受服务时需要转换对外地址到服务器内网的地址，来达到安全访问的目的。DMZ选择性访问外网：万一可靠区中放置邮件服务器时，就需要访问外网，否则将不能正常工作，所以说选择性去允许可靠区中的服务器去访问。DMZ不允许访问内网：如果不法分子攻破了可靠区，那么就能肆无忌惮的去调取内网的信息，所以这是必然不允许的。外网不允许访问内网：政府部门内的信息数据是十分机密的，外网的用户对这些数据是不允许进行访问的。在设计实施和应用的时候，需要根据不同的需求关系，有相对性地运用相应的隔离策略，这样可以极大的保护内网中服务器的安全，为网络提供更安全优质的服务。比如某些服务器需要对外提供服务，同时又要极力的去内部网络的安全，这时需要对链接外网的主机与内部的众多网络设备隔阂开来[7]。在没有设置DMZ区的系统中，没有坚固的内部网络和主机的安全保障，提供给互联网的服务时产生了许多漏洞，这会让网络主机容易受到入侵者的攻击。所以我们针对政府机构不同资源来定制不同安全级别的保护，DMZ可以为主机所在的网络环境提供保护，所以可以建立一个可靠区域，来能减少为不信任外网客户提供服务而引发的安全问题。要是把没有包含机密的数据、担当代理的数据访问职责的主机放置于DMZ中，我们可以将需要保护的重要应用程序服务器和数据库系统放在内网中的话，就可以保全数据在内网中的安全了。可靠区可以使重要数据的内部系统不用曝露给外部网络遭到攻击，即使攻击者初步入侵内网成功[8]，还要迎接DMZ设置的下一个针对性策略，因此我们说定制DMZ区是保障内网的重要设计。（2）政府网站中DMZ设计因为安装防火墙后会产生外部网络不能访问内部网络服务器的问题，以此我们需要对网络进行DMZ设计，就是一个非安全与安全系统间设立一个缓冲带，这个缓冲带的位置在政府内部网络和外部网络之间的网络规定区域内，可以放置一些对外公开的服务器设备在这个网络规定区域内，例如网页服务器、文件传输服务器和论坛等。还有就是通过这样的DMZ设计，而相对于其他的网络防火墙设计来说，更加有效地保护了内部网络，对于入侵者来说多了一道门槛。为了以达到对来访者控制访问、隐蔽真实内网地址的效果，DMZ所能提供就是对其进NAT地址转换以及受安全规则限制的ACL访问控制。我们要清晰地建立一个网络拓扑，确定在DMZ区的应用服务器的端口号和IP地址以及信息数据流动方向，里面还需要有对外提供的服务和安全策略。一般来说网络信息通信流向为禁止外网区与内网区直接通信，DMZ区内有安全规则限制[10]，所以可以对外网进行通信，也能对内外进行通信，而这些都是间接的。以下是我们对DMZ网络结构设计如图3.1所示：图3.1DMZ网络结构图（1）NAT地址转换NAT网络地址转换是为了达到隐藏内外地址的目的，将设定一个地址池映射到另外的地址池（即内网地址转换外网）。内网区、外网区与可靠区中的服务器通信是都是经过网络地址转换来实现的，这样可以不用暴露真实的内网服务器地址。如果应用的是静态的地址转换，IP地址需要一对一的进行映射[11]，数量上是需要一致的。在设定的地址池里面，对内映射内网的地址，对外映射外网的地址。（2）DMZ内的安全规则制定安全规则的制定，是对一个安全规则集的制定，安全规则集的好坏决定了一个防火墙是否成功的关键，也是安全策略的技术体现。即使是再好的防火墙，如果是安全规则集配置上出现错误，那这个防火墙就如同虚设一般。在建立规则集时关键注意的是规则次序，要是放置不同的次序，而使用同样的规则，就会有可能完全改变防火墙的运行状况，因为防火墙大多以顺序方式检查威胁到政府网站的信息包，次序不对，性质也就不同了。假如信息包过滤到每一条规则而没有发现匹配的，这个信息包便会被拒绝后丢弃。为了避免防火墙被配置错误，较特殊的规则在前，较普通的规则在后，这是防火墙通常的顺序安排，是为了防止在匹配到一个特殊规则之前一个普通规则便被给匹配了，所以在配置时需要多多去注意。防火墙可以进行访问控制主要是根据数据包的IP地址、端口类型和协议类型。当一个链接和数据流进来时，首先通过连接表与规则表共同过滤和配合，分析和监控网络连接和当前会话的状态。所有我们所要做的事针对性过滤掉一些包，类型主要有源IP地址、目的IP地址、ICMP报文类型、目的TCP/UDP端口、源TCP/UDP端口、协议类型等，都是用于监控和过滤的IP包信息的内容。如果可靠区中的应用服务器能想要和内网中数据库服务器通信，则要对其改变一下DMZ区安全规则，如果是其他的应用服务器，也只需要对其增加或者改变一下安全规则，如同一对一的配置。3.2政府网站中ACL的设计ACL（access-list）称作访问控制列表，用来解决外部数据包的控制问题，控制就包括允许和拒绝。ACL分类：标准的ACL：表号1-99和1300-1999，基于源IP地址控制数据包，一个数据包过来，我只检查源地址；扩展ACL：表号100-199和2000~2699，基于IP地址、目的IP地址、目标端口号、协议类型等；命名的ACL：包括标准的也包括扩展的。一个数据包通过路由器的时候，它要把这几个选项都要检查，检查的就更细。标准ACL：能够检查基于源地址，且通常允许和拒绝完整的或者所有的协议，一旦拒绝，就拒绝你所有的网络访问协议，比如浏览WWW，TELNET等等，比较单纯；扩展ACL：检查源地址和目的地址，就是检查从哪儿来到哪里去，通常允许、拒绝的是某个特定的协议。注意：标准/扩展ACL，如果你要修改的话，你只能删除整张列表，重新写一张新表；命名ACL：就在于可以修改列表中的语句，比如编辑或者删除，并且也可以在原语句之前插入新的语句，但这个只针对扩展ACL有效，对标准ACL无效。ACL用法：第一步先定义；第二步在接口上调用（就是用来抓数据包）；第三步在进程里面调用，就是抓路由。ACL特点：ACL的执行是从上到下开始执行的，一旦匹配到一条语句，就立即执行相关的动作，之后就跳出语句列表。触发ACL实际上就是进行ACL对数据包的检测，那么是否触发ACL完全是由调用的方向来确定，如果ACL调用在接口上，那它就是工作在数据层面上的，抓的就是数据包，其实ACL就是一个工具。访问控制列表的过滤基于地址匹配的条件，最终对给定的地址一个permit或者deny的判断。配置ACL需要注意以下规则：访问控制列表为顺序执行方式，满足某条后，停止执行；所有的访问控制列表最后都存在一个隐含的denyall的条件，但配置文件不显示出来；访问控制列表应按一定的顺序，从特殊到一般配置，先拒绝特定主机，然后组或一般条件的过滤操作；表中新的列表项总是加在访问控制列表的最后，可以使用noaccees-listx删除整个列表[12]，但不能有选择的删除或者添加条目；没有任何定义的访问控制列表可以permit所有数据;配置访问控制列表，应先配置好列表再加载到相应的进程上；标准ACL最好定义在离目标最近的位置,扩展的ACL最好定义在离源最近的位置；IP访问控制列表会发送一个ICMP主机不可达的消息到数据包的发送者，然后丢弃数据包。ACL的配置语法：access-listpermit/denyglobal_ipport[-port]protocolforeign_ip[netmask]Port指的是服务所作用的端口（web使用80，SMTP使用25等），protocol指的是连接协议，foreign_ip表示可访问global_ip的外部IP。对于任意主机，可以用any表示。要是foreign_ip是一台主机，就用host命令参数。（1）ACL的配置与具体实现本次设计的ACL具体配置如下：pix525(config)#access-listACL_OUTpermittcpanyhosteqWeb//允许任意主机对主机进行Web访问pix525(config)#access-listACL_OUTpermittcpanyhosteqFTP//允许任意主机对主机进行FTP访问pix525(config)#access-listACL_OUTpermittcpanyhosteqSMTP//允许任意主机对主机进行SMTP访问pix525(config)#access-groupACL_OUTininterfaceoutside//将名为ACL_OUT的ACL绑定到接口outside上pix525(config)#access-listINSIDEpermitipanyany//允许从任意源主机到任意目标从接口inside进入的IP流量。pix525(config)#access-groupINSIDEininterfaceinside//将名为INSIDE的ACL绑定到接口inside上pix525(config)#access-list100permiticmpanyany//允许从任意源主机到任意目标进入的ICMP流量。pix525(config)#access-group100ininterfaceoutside//将名为100的ACL绑定到接口outside上（2）ACL的对象分组ACL能够使得PIX防火墙允许指定的客户端访问某台服务器上的具体服务。当只有一个客户端、一台主机、一种服务以及一个ACL时，这项任务是简单的、可管理的。但是随着用户的增加，功能的扩充，网络规模将不断扩大，网络结构拓扑将发生变化，那么客户端、服务器数量以及服务种类的增加，ACL的数量也随之增加。这样就会使整个处理过程变得难于管理。为减少ACL创建和维护的复杂性，将引入对象分组的特性。这个特性允许对主机和服务这样的对象进行分组，从而简化ACL的创建和应用。将PIX防火墙上的一个对象分组应用到PIX防火墙上的一个命令中，等同于将对象分组中的每一个元素应用到该命令中。如在一个名为clients的组中包含主机1、主机1和网络。将clients组应用到一个名为ACL_OUT的ACL中等同于将该组中的主机和网络应用到ACL上。因此access-listACL_OUTpermittcpobject-groupclientsany等同于下列命令：access-listACL_OUTpermittcphost1anyaccess-listACL_OUTpermittcphost1anyaccess-listACL_OUTpermittcpany最常用的三个对象分组是servers、clients、protocols。其中servers包含被允许访问的外部主机IP地址的网络组，clients包含允许访问服务器的内部主机和网络的网络组，protocols包含客户端允许使用的协议的协议组。使用这三个对象分组大大减少了针对所有客户端限制到两台服务器进行TCP和ICMP访问时所需要的ACL条目的数量。不使用对象分组时，需要使用以下的ACL：access-listACL_OUTpermittcphostaccess-listACL_OUTpermiticmphostaccess-listACL_OUTpermittcphostaccess-listACL_OUTpermiticmphostaccess-listACL_OUTpermittcphost1hostaccess-listACL_OUTpermiticmphost1hostaccess-listACL_OUTpermittcphost1hostaccess-listACL_OUTpermiticmphost1hostaccess-listACL_OUTpermittcphost1hostaccess-listACL_OUTpermiticmphost1hostaccess-listACL_OUTpermittcphost1hostaccess-listACL_OUTpermiticmphost1host使用对象分组，它产生的结果与以上所列出的12条ACL是相同的：access-listACL_OUTpermitobject-groupprotocolsobject-groupclientsobject-groupservers，在access-list命令中，每个组的名字之前必须包括关键字object-group。下面主要是对三个对象分组的具体配置。配置网络对象组：pix525(config)#object-groupnetworkclients//创建一个名为clients的网络对象分组pix525(config-network)#network-object2clientspix525(config-network)#network-object配置服务对象分组：pix525(config)#object-groupserviceserverstcp//创建一个名为servers的服务对象分组pix525(config-service)#port-objecteqftppix525(config-service)#port-objecteqWebpix525(config-service)#port-objecteqemail配置协议对象分组：pix525(config)#object-groupprotocolsprotocols//创建一个名为protocols的服务对象分组pix525(config-protocols)#protocols-objectippix525(config-protocols)#protocols-objecttcp在这三个对象分组配置好后，使用access-listACL_OUTpermitobject-groupprotocolsobject-groupclientsobject-groupservers，就可以完成ACL的配置，当网络规模扩大或是网络拓扑结构发生变化的时候，只需要适当的在各对象分组中修改各元素就可以很方便，快捷的修改或添加ACL。用showaccess-list命令将配置的ACL运行情况显示出来截图如图3.2.1ACL调试截图所示：图3.2.1ACL调试截图（3）在配置ACL注意事项标准ACL：最好定义在离目标最近的位置扩展的ACL：最好定义在离源最近的位置对于命名的访问控制列表，如果是标准类型的话，虽说可以修改内部的语句，但是在插入到语句列表中的时候，仍然是在原语句之后插入的，根本就不会看编号，所以编号对于它来说无效，而如果是扩展类型的话，在列表中插入语句的时候，就是按照编号的顺序从上到下插入的。3.3政府网中NAT的设计（1）NAT的功能NAT（NetworkAddressTranslation，网络地址转换）是一种将一个IP地址映射到另一个IP地址的技术。NAT包括静态网络地址转换、动态网络地址转换、静态网络地址及端口转换、动态网络地址及端口转换、端口映射等，常用于私有虚拟地址与真实地址的转换以解决IP地址匮乏问题，并可为终端主机提供透明路由。利用NAT技术的地址转换功能，可以使一个机构内的所有用户通过有限的数个真实IP地址访问Internet，从而节省了Internet上的真实IP地址资源；另一方面，通过地址转换，可以隐藏内部网络上主机的真实IP地址，从而提高网络的安全性。利用NAT技术的端口映射功能，可以实现内部网络服务器的对外发布。NAT技术可将Internet用户对拥有真实地址的计算机的某端口的访问请求，转到内部网络中相应的计算机上，从而实现对内部计算机的访问。（2）NAT原理NAT进行地址转换的过程就是本地地址与全局地址之间的转换过程，无论数据包是从内部网络发往外部网络，还是从外部网络发往内部网络。不同的只是本地地址和全局地址所对应的网络不同，以及数据包重新封装的源和目的地址不同在以上转换过程中，当数据包还在内部网络位置时有一个作为源地址的内部本地地址和一个作为目的地址的外部本地地址。此数据包首先发往路由器连接内部网络的接口中。当数据包被转发到外部网络时，数据包的源地址就会转变为内部全局地址，而目的地址被转变为外部全局地址。也就是把数据包的所有源和目的地址全部由本地地址转换为全局地址。这个过程是通过NAT中的本地址与全局地址映射条目来实现的，所以事先要在NAT路由器上配置这样的映射条目。相反，当数据包是从外部网络位置发来，并且仍位于外部网络中时，则它的源地址就是外部全局地址，目的地址就是内部全局地址。相当于由内部网络向外部网络发送数据包时，外部网络主机接收到的数据包中的源地址和目的地址的互换。而当数据包被路由器转发到本地网络时，源地址被转变为外部本地地址，目的地址被转变为内部本地地址，也相当于由内部网络向外部网络发送数据包时，内部网络主机发送的数据包中的源地址和目的地址的互换。（3）NAT设计与实现NAT的主要作用是隐藏真实的内部主机的地址，保证政府网站的安全通信。在本设计中，对DMZ区的IP地址进行了静态地址转换，而考虑到内部网络用户数量大，利用global命令定义一个地址池来对其IP地址进行动态NAT地址转换，将内部网络IP地址映射到不同的公网IP地址。其中将网段的地址转换为-0地址池中的一个地址。在设计图中可以看到当和这两个网段的主机访问DMZ区的服务器的时候没有进行地址转换，原因是不进行NAT，可提高访问速度，因为它是访问DMZ区的服务器，所以也不存在IP地址暴露于Internet的危险。所以在进行配置的时候就要用到标识NAT。NAT0命令可以关闭地址转换，当在内部网络中拥有一个公网的IP地址并且这个地址要被外部网络访问的时候就要使用这个特性。在本设计中主要是因为为提高访问速度，而不进行NAT转换。NAT命令语法nat(if-name)nat_idlocal_ip[netmark]。其中：(if_name)：表示内网接口名字；nat_id：用来标识全局地址池，为了与其相应的global命令相匹配；local_ip：表示内网被分配的IP地址。要是表示内网所有主机可以对外访问；[netmark]表示内网IP地址的子网掩码。（2）指定外部地址范围（global），global命令定义内部的IP地址翻译成外网的IP地址或一段地址范围。global命令的配置语法：global（if-name）nat_idip_address-ip_address[netmaskglobal_mask]其中：if_name：表示外网接口名字，比如outside；Nat_id用来标识全局地址池，作用是对其相应的NAT命令相匹配，ip_address-ip_address表示定义转换后的单个IP地址或一段IP地址范围；[netmaskglobal_mask]表示全局IP地址的网络掩码。（4）具体配置pix525(config)#access-listNET1permitipany//建立一个ACL，允许网段的主机访问外网pix525(config)#global(outside)1-0//指定外部地址范围为-0pix525(config)#nat(inside)1access-listNET1//将ACL中的网段的地址转换为-0地址池中的一个地址pix525(config)#access-listNET2permitipanypix525(config)#global(outside)21-8pix525(config)#nat(inside)2access-listNET2pix525(config)#access-listEXEMPTpermitip//配置一条ACL规则，表示允许网段进入到的IP流量。pix525(config)#access-listEXEMPTpermitip//配置一条ACL规则，表示允许网段进入到的IP流量。pix525(config)#nat(inside)0access-listEXEMPT//对名为EXEMPT的ACL规则中的IP地址不进行NAT转换用showxlate命令将系统运行的地址转换表显示出来，截图如图3.3.1NAT调试图所示：图3.3.1NAT调试图

第4章政府网站防火墙的实现4.1政府网站防火墙产品的选择思科PIX-525-UR-GE-BUN（如图4.1所示）PIX525的主要特性和优点如表4-1，非常适合有多种网络需求的大型企业使用的防火墙，性能稳定可靠，功能强劲。图4.1思科PIX-525-UR-GE-BUN表4-1PIX525的主要特性和优点性能综述明文吞吐量330Mbps并发VPN隧道2000并发连接数280000技术规格处理器600MHz随机存储内存256MB闪存16MB系统总线32位、33MHzPCI总线电源输入（每个电源）线电压范围100V到240V交流或者48V直流额定线电压100V到240V交流或者48V直流电流~1.5A频率50-60Hz，单相输出稳定状态50W峰值135W尺寸和重量长度46.36cm宽度44.45cm可以安装于标准的19英寸机架高度8.89cm重量（单个电源）14.5kg扩展PCI总线两个32位/33MHzPCI接口集成化网络接口两个10/100快速以太网（RJ-45）控制台端口RS-232（RJ-45）9600bps故障恢复端口RS-232（DB-15）115Kbps（需要Cisco指定的电源）思科PIX-525-UR-GE-BUN是一款面向企业的防火墙，同时也满足一些中小型的政府网站。这款硬件防火墙采用了Intel处理器，主频达到600MHZ，并且配备了256MB随机内存和16MB闪存，最大支持28万个并发连接数，具有370Mpps的网络数据吞吐量和100MB的安全过滤带宽，无用户限制数，整体性能比较强劲，非常适合应用在大型政府网站中。这款硬件防火墙提供面向静态连接防火墙功能的自适应安全算法（ASA），可以实现包过滤，并且可以跟踪数据传输中的源地址和目的地址，TCP序列号，端口号和每个数据包附加的TCP标志，从而保证政府内部网络不会受到非法用户的攻击。思科PIX-525-UR-GE-BUN支持VPN功能，并且可以将政府网站中传输的数据进行加密，防止其他用户窃取。思科PIX-525-UR-GE-BUN提供了网络地址转换（NAT）功能，可以节省IP地址资源，并且可将IP地址隐藏，防止外部网络获取，为政府内部网络安全提供了有力的保障。思科PIX-525-UR-GE-BUN具有防止拒绝服务器攻击功能，防止政府网站内部计算机不受黑客的攻击。JavaApplet过滤功能则可终止政府网站内部用户使用Java所带的潜在危险。邮件保护功能和URL过滤功能让政府网站用户基本上不会受到邮件攻击和不能访问非法站点。思科PIX-525-UR-GE-BUN的操作也十分简单，只需要几条条命令就能完成基本的安全设置，对于政府网站来说，就十分的方便了。4.2防火墙基本功能的实现与测试DMZ区的Web、FTP、E-mail服务器通过一台交换机连接到防火墙，数据库服务器群通过一台交换机同时与核心层交换机相连。核心层使用两台交换机相互备份，防止其中一台交换机出现故障，另外一台因备份好所有资料可接替它的工作而不影响网络的正常通信。其防火墙网络安全过滤规则具体如下：只允许外网和内网对DMZ区Web服务器HTTP服务；只允许外网和内网对DMZ区E-mail服务器SMTP、POP3对话；只允许内网通过代理服务器对外网进行HTTP、FTP对话；根据以上几条DMZ访问控制规则并通过对政府网站的需求分析，要求外网用户通过地址转换将私有地址转换成来访问DMZ区的Web、FTP、E-mail服务器。内网用户可以访问DMZ的服务器。本次设计的防火墙系统如图4.2所示：图4.2防火墙系统（1）启动接口启动接口，使其处于活动状态在防火墙，为了防止外部攻击，防火墙应该尽量避免打开不必要的一些端口，因此一般端口都处于关闭状态，只有需要用到此端口时才启动，启动过程如下：Pix525(config)#interfaceEthernet0Pix525(config-if)#noshutdown//启动接口Ethernet0Pix525(config)#interfaceEthernet1Pix525(config-if)#noshutdown//启动接口Ethernet1Pix525(config)#interfaceEthernet2Pix525(config-if)#noshutdown//启动接口Ethernet2Pix525(config)#interfaceEthernet3Pix525(config-if)#noshutdown//启动接口Ethernet3（2）指定接口的名字和IP地址配置接口名字并指定安全级别将防火墙的内网接口命名为inside，外部网络接口命名为outside，与DMZ区相连的接口命名为dmz，并指定它们的安全级别分别为100，0，50。即内网接口安全级别最高，DMZ口次之，外部网络接口最低。配置命令如下：Pix525(config)#interfaceEthernet0Pix525(config-if)#nameifoutsidePix525(config-if)#security-level0//ethernet0接口命名为outside并指定安全级别为0Pix525(config)#interfaceEthernet1Pix525(config-if)#nameifinside1Pix525(config-if)#security-level100//ethernet1接口命名为inside1并指定安全级别为100Pix525(config)#interfaceEthernet2Pix525(config-if)#nameifdmzPix525(config-if)#security-level50//ethernet2接口命名为dmz并指定安全级别为50Pix525(config)#interfaceEthernet3Pix525(config-if)#nameifinside2Pix525(config-if)#security-level100//ethernet3接口命名为inside2并指定安全级别为100（3）配置内外网卡的IP地址（idaddress）Pix525(config)#interfaceEthernet0Pix525(config-if)#ipaddress52//外部接口IP地址为Pix525(config)#interfaceEthernet1Pix525(config-if)#ipaddress52//内部接口IP地址为Pix525(config)#interfaceEthernet3Pix525(config-if)#ipaddress52//内部接口IP地址为Pix525(config)#interfaceEthernet2Pix525(config-if)#ipaddress52//dmz口IP地址为在为接口配置了IP地址后用showip命令将系统的运行情况显示出来。截图如图4.2接口地址配置