毕业论文-中小企业防火墙的应用

-30-1概述中国经济的飞速发展，生活水平的提高，IT信息产业与我们的生活越来越密切，人们已经生活在信息时代。计算机技术和网络技术应用到社会的各个领域，因特网把“地球村”的居民紧密地连在了一起。近年来因特网的飞速发展，给人们的生活带来了全新地感受，人类社会各种活动对信息网络的依赖程度已经越来越大。然而，人们在得益于信息所带来的新的生活的改变以及生活质量的提高机遇的同时，也不得不面对信息安全问题的严峻考验。“黑客攻击”网站被“黑”，“CIH病毒”无时无刻不充斥在网络中。“电子战”已成为国与国之间，商家与商家之间的一种重要的攻击与防卫手段。因此信息安全，网络安全的问题已经引起各国，各部门，各行各业以及每个计算机用户的充分重视。因特网提供给人们的不仅仅是精彩，还无时无刻地存在各种各样的危险和陷阱。对此，我们既不能对那些潜在的危险不予重视，遭受不必要的损失；也不能因为害怕某些危险而拒绝因特网的各种有益的服务，对个人来说这样会失去了了解世界、展示自己的场所，对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。只能通过不断地提高网络环境的安全才是行之有效的办法。本文在导师的指导下，独立完成了该防火墙系统方案的配置及安全性能的检测工作。在详细分析防火墙工作原理基础上，针对广大中小型企业防火墙的实际情况，提出了一个能够充分发挥防火墙性能、提高防火墙系统的抗攻击能力的防火墙系统配置方案，同时介绍了具体实现过程中的关键步骤和主要方法，并针对中小企业的防火墙系统模拟黑客进行攻击，检查防火墙的安全漏洞，并针对漏洞提供相应的解决方案。该防火墙在通常的包过滤防火墙基础之上，又增加了MAC地址绑定、端口映射等特殊功能，使之具有鲜明的特点。通过对于具有上述特点的防火墙的研究、配置与测试工作，一方面使得中小企业防火墙系统本身具有高效、安全、实用的特点，另一方面在此基础上对今后可能出现的新问题作好了一系列比较全面的准备工作。1.1课题意义安全是一个不容忽视的问题，当人们在享受网络带来的方便与快捷的同时，也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全，当局域网与外部网连接时，可以在中间加入一个或多个中介系统，防止非法入侵者通过网络进行攻击，非法访问，并提供数据可靠性、完整性以及保密性等方面的安全和审查控制，这些中间系统就是防火墙(Firewall)技术如图1.1。图1.1防火墙功能图在此，我们主要研究如何构建一个相对安全的计算机网络平台，使其免受外部网络的攻击，通过对典型中小企业网络的安全性分析，提出一套适合中小企业应用的防火墙系统，该系统应该具有可靠性、开放性、伸缩性、性价比较高等特点，经过比较我们选用RouterOS做为中小企业防火墙平台，通过在RouterOS上配置相应的策略，使其能够实现面向中小企业提供网络安全服务的功能。

2企业网安全分析2.1中小企业网络安全现状在我国的工商领域，以中小企业为主，这些企业人数不是很多，少的可能只有十几人，多的可能有好几百。而这么多的中小型企业，一方面，由于资金等问题没有很好的设备去防范，而另一方面，可能就没有这种防范的意识。所以它们成为黑客攻击的主要目标。我们以某服装厂为例，公司面积不是很大，有300人左右，有生活区，生产区等，分为各个部门。公司网络拓扑图如图2.1。在最外层有个路由器，在连接路由器与内网之间是防火墙，公司网络主要分为四大区：管理区，生产区，宿舍区和服务器区。平时公司可以实现正常的上网功能，并且外网访问也很正常。但是最近一段时间，公司内部连互联网的时候很卡，看视频断断续续，并且外网访问公司网站打开网页的时间很长。图2.1某服装厂网络拓扑图2.2.1ARP攻击ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址IA——物理地址PA），请求IP地址为IB的主机B回答物理地址PB。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。2.2.2网络监听在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在监听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。网络监听在网络中的任何一个位置模式下都可实施。而黑客一般都是利用网络监听来截取用户口令。比如当有人占领了一台主机之后，那么他要再想将战果扩大到这个主机所在的整个局域网话，监听往往是他们选择的捷径。很多时候在各类安全论坛上看到一些初学的爱好者，在他们认为如果占领了某主机之后那么想进入它的内部网应该是很简单的。其实不是这样，进入了某主机再想转入它所在的内部网络里的其它机器也不是一件容易的事情。因为你除了要拿到他们的口令之外还有就是他们共享的绝对路径，当然了，这个路径的尽头必须是有写的权限了。在这个时候，运行已经被控制的主机上的监听程序就会有大收获。不过这是一件费神的事情，而且还需要当事者有足够的耐心和应变能力。主要包括：数据帧的截获对数据帧的分析归类dos攻击的检测和预防IP冒用的检测和攻击在网络检测上的应用对垃圾邮件的初步过滤2.2.3蠕虫病毒蠕虫病毒攻击原理蠕虫也是一种病毒，因此具有病毒的共同特征。一般的病毒是需要寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被为“宿主”，例如，windows下可执行文件的格式为PE格式(PortableExecutable)，当需要感染PE文件时，在宿主程序中，建立一个新节，将病毒代码写到新节中，修改的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，病毒程序运行完之后，在把控制权交给宿主原来的程序指令。可见，病毒主要是感染文件，当然也还有像DIRII这种链接型病毒，还有引导区病毒。引导区病毒他是感染磁盘的引导区，如果是软盘被感染，这张软盘用在其他机器上后，同样也会感染其他机器，所以传播方式也是用软盘等方式。蠕虫病毒入侵过程蠕虫病毒攻击主要分成三步：①扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。②攻击：攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象，取得该主机的权限（一般为管理员权限），获得一个shell。③复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。2.3企业受到外网攻击分析2.3.1DoS攻击DoS攻击(DenialofService，简称DoS)即拒绝服务攻击，是指攻击者通过消耗受害网络的带宽，消耗受害主机的系统资源，发掘编程缺陷，提供虚假路由或DNS信息，使被攻击目标不能正常工作。实施DoS攻击的工具易得易用，而且效果明显。一般的DoS攻击是指一台主机向目的主机发送攻击分组(1:1)，它的威力对于带宽较宽的站点几乎没有影响;而分布式拒绝服务攻击(DistributedDenialofService，简称DDoS)同时发动分布于全球的几千台主机对目的主机攻击,即使对于带宽较宽的站点也会产生致命的效果。随着电子商业在电子经济中扮演越来越重要的角色，随着信息战在军事领域应用的日益广泛，持续的DoS攻击既可能使某些机构破产，也可能使我们在信息战中不战而败。可以毫不夸张地说，电子恐怖活动的时代已经来临。DoS攻击中，由于攻击者不需要接收来自受害主机或网络的回应，它的IP包的源地址就常常是伪造的。特别是对DDoS攻击，最后实施攻击的若干攻击器本身就是受害者。若在防火墙中对这些攻击器地址进行IP包过滤，则事实上造成了新的DoS攻击。为有效地打击攻击者，必须设法追踪到攻击者的真实地址和身份。2.3.2SYNAttack(SYN攻击)每一个TCP连接的建立都要经过三次握手的过程：A向B发送SYN封包：B用SYN/ACK封包进行响应；然后A又用ACK封包进行响应。攻击者用伪造的IP地址（不存在或不可到达的地址）发送大量的SYN封包至防火墙的某一接口，防火墙用SYN/ACK封包对这些地址进行响应，然后等待响应的ACK封包。因为SYN/ACK封包被发送到不存在或不可到达的IP地址，所以他们不会得到响应并最终超时。当网络中充满了无法完成的连接请求SYN封包，以至于网络无法再处理合法的连接请求，从而导致拒绝服务（DoS）时，就发生了SYN泛滥攻击。防火墙可以对每秒种允许通过防火墙的SYN封包数加以限制。当达到该临界值时，防火墙开始代理进入的SYN封包，为主机发送SYN/ACK响应并将未完成的连接存储在连接队列中，未完成的连接保留在队列中，直到连接完成或请求超时。2.3.3ICMPFlood(UDP泛滥)当ICMPPING产生的大量回应请求超出了系统最大限度，以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时，就发生了ICMP泛滥。当启用ICMP泛滥保护功能时，可以设置一个临界值，一旦超过了此值就会调用ICMP泛滥攻击保护功能。（缺省的临界值为每秒1000个封包。）如果超过了该临界值。NETSCREEN设备在该秒余下的时间和下一秒内会忽略其他的ICMP回应要求。2.3.4UDPFlood(UDP泛滥)与ICMP泛滥相似，当以减慢系统速度为目的向该点发送UDP封包，以至于系统再也无法处理有效的连接时，就发生了UDP泛滥，当启用了UDP泛滥保护功能时，可以设置一个临界值，一旦超过此临界值就回调用UDP泛滥攻击保护功能。如果从一个或多个源向单个目标发送的UDP泛滥攻击超过了此临界值，防火墙在该秒余下的时间和下一秒内会忽略其他到该目标的UDP封包。2.3.5PortScanAttack(端口扫描攻击)当一个源IP地址在定义的时间间隔内（缺省值为5000微秒）向位于相同目标IP地址10个不同的端口发送IP封包时，就会发生端口扫描攻击。这个方案的目的是扫描可用的服务，希望会有一个端口响应，因此识别出作为目标的服务。防火墙在内部记录从某一远程源地点扫描不同端口的数目。使用缺省设置，如果远程主机在0.005秒内扫描了10个端口。防火墙会将这一情况标记为端口扫描攻击，并在该秒余下的时间内拒绝来自该源地址的其他封包。

3企业网防火墙的应用3.1网络安全技术概述网络安全技术指致力于解决诸如如何有效进行介入控制，以及何如保证数据传输的安全性的技术手段，主要包括物理安全分析技术，网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。网络安全技术分为：虚拟网技术、防火墙枝术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术、以及应用系统的安全技术。其中虚拟网技术防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。例如vlan，但是其安全漏洞相对更多，如IPsweep,teardrop,sync-flood,IPspoofing攻击等。防火墙枝术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许,并监视网络运行状态。但是防火墙无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。防火墙的分类有包过滤型、地址转换型、代理型、以及检测型。病毒防护技术是指阻止病毒的传播、检查和清除病毒、对病毒数据库进行升级、同时在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装入侵检测技术（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的技术。是一种用于检测计算机网络中违反安全策略行为的技术。安全扫描技术是为管理员能够及时了解网络中存在的安全漏洞，并采取相应防范措施，从而降低网络的安全风险而发展起来的一种安全技术。认证和数字签名技术，其中的认证技术主要解决网络通讯过程中通讯双方的身份认可，而数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。VPN技术就是在公网上利用随到技术来传输数据。但是由于是在公网上进行传输数据，所以有一定的不安全性。应用系统的安全技术主要有域名服务、WebServer应用安全、电子邮件系统安全和操作系统安全。3.2防火墙介绍所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。从而是一种获取安全的形象说法，它是一种计算机硬件和软件的结合，使Internet与Internet之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。随着企业信息化进程的推进，广大中小企业网上运行的应用系统越来越多，信息系统变得越来越庞大和复杂。企业网的服务器群构成了企业网的服务系统，主要包括DNS、虚拟主机、Web、FTP、视频点播以及Mail服务等。企业网通过不同的专线分别接入了不同的网络。随着企业网络出口带宽不断加大，应用服务系统逐渐增多，企业网用户数烈剧上升，网络的安全也就越来越严峻。3.3防火墙的分类3.3.1宿主机网关（DualHomedGateway）这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。堡垒主机上运行着防火墙软件（通常是代理服务器），可以转发应用程序，提供服务等。双宿主机网关有一个致命弱点，一旦入侵者侵入堡垒主机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有保护的内部网络如图4.1。图4.1宿主机网关防火墙3.3.2屏蔽主机网关（ScreenedHostGateway）屏蔽主机网关易于实现，安全性好，应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。单宿堡垒主机类型是一个包过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡，与内部网络连接如图4.2。通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从Internet惟一可以访问的主机，确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机，可以受控制地通过屏蔽主机和路由器访问Internet。图4.2单宿堡垒主机防火墙双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器如图4.3。双宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。图4.3双宿堡垒主机防火墙3.3.3屏蔽子网（ScreenedSubnet）这种方法是在Intranet和Internet之间建立一个被隔离的子网，用两个包过滤路由器将这一子网分别与Intranet和Internet分开。两个包过滤路由器放在子网的两端，在子网内构成一个“缓冲地带”如图4.4，两个路由器一个控制Intranet数据流，另一个控制Internet数据流，Intranet和Internet均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机，为内部网络和外部网络的互相访问提供代理服务，但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器，像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内，这样无论是外部用户，还是内部用户都可访问。这种结构的防火墙安全性能高，具有很强的抗攻击能力，但需要的设备多，造价高。图4.4屏蔽子网防火墙3.4防火墙技术发展趋势防火墙技术的发展离不开社会需求的变化，着眼未来，我们可能需要其他新的需求。全国主要城市先后受到H7N9病毒的侵袭，直接促成大量的企事业在家办公，这就要求防火墙既能抵抗外部攻击，又能允许合法的远程访问，做到更细粒度的访问控制。1、VPN（虚拟专用网）技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙，这样可以确保信息的保密性，又能成为识别入侵行为的手段。2、内部网络“包厢化”（compartmentalizing）。人们通常认为处在防火墙保护下的内网是可信的，只有Internet是不可信的。由于黑客攻击技术和工具在Internet上随手可及，使得内部网络的潜在威胁大大增加，这种威胁既可以是外网的人员，也可能是内网用户，不再存在一个可信网络环境。3、RouterOS技术。RouterOS以其设备要求简单，配置策略简单，性价比较低，受到广大中小企业的欢迎。尤其是其具有强大的VPN功能、端口映射功能、防火墙功能，更是为其在中小企业中奠定的了坚实的基础。

4RouterOS在企业网中的应用中小企业网一般都是采用性价比合适的网络技术架构的，用户较多，使用面较广，但是存在的安全隐患和漏洞相对较广泛。鉴于上述因素，有必要为中小企业量身定制一个使用的防火墙。4.1RouterOS简介RouterOS是一种源码开放式防火墙操作系统，并通过该系统将标准的PC电脑变成专业防火墙，在众多用RouterOS系统作为企业防火墙的爱好者的开发下，每年都会有更新和改变，系统经历了多次更新和改进，使其功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能，其极高的性价比，受到许多网络人士的青睐。4.2RouterOS的优势RouterOS是一个基于Linux内核的开源的免费的防火墙操作系统，通过安装该系统可使标准的PC电脑具备专业防火墙的各种功能，系统经历了多次更新和改进，其功能不断增强和完善。特别在策略路由、带宽控制和防火墙过滤等功能上有着非常突出的优势和极高的性价比。RouterOS高级防火墙从底层系统核心、核心安全模块和硬件兼容性等各个层次进行了精心的的设计和优化，使得这款路由产品在性能上具有出众的优势。线速转发的高吞吐量可满足大型企业/网吧等机构的绝大部分应用，也可为运营商的以太网接入提供高负载的支持，高转发低时延为增加用户数量提供了强有力的保障。4.3RouterOS在企业网中的应用某服装厂网络拓扑图如下图4.1。由于最近公司网络受到黑客的攻击，现在公司又在一台PC上安装了RouterOS。利用RouterOS的防火墙功能，来保障公司网络的安全。图4.1某服装厂拓扑图4.3.1RouterOS的安装某服装厂使用的MikrotikRouterOS3.16版本。在我们安装RouterOS的PC硬件配置如下：处理器英特尔Corei3M380@2.53GHz四核处理器主板联想0579A12(英特尔HM55芯片组)内存4GB(记忆科技DDR31333MHz)主硬盘西数WDCWD3200BEKT-08PVMT1(320GB/7200转/分)显卡ATIMobilityRadeonHD545v(1GBMB/联想)显示器LGLGD02E9(14英寸)光驱日立-LGDVDRAMGT33NDVD刻录机声卡瑞昱ALC269@英特尔5Series/3400SeriesChipset高保真音频网卡RS-SUNNET千兆PCI-E光纤网卡（两块）使用光盘启动计算机时，会出现下面的界面：让你选择安装的模块，选择全部安装，键盘输入ａ，然后输入ｉ开始安装图4.2。图4.2routeros安装选择全部计算机提醒你是不是要保留以前的设置，我是全新安装的，按ｎ回车，不保留。然后计算机提示是否继续，按y键。开始安装图4.3。图4.3routeros安装过程你就等着安装完成出现让你按回车键继续的画面，计算机重新启动后就行了。4.2.2RouterOS的配置系统安装之后重新启动，然后出现登陆界面，输入初始用户名admin，口令直接回车。进入RouterOS的字符界面，好了，现在开始我们的简单初始设置阶段。由于我们是新配置的机器，所以我们应该先给它的每张网卡配置新的ip。先看一下网卡的个数以及是否启动图4.4。图4.4网卡的属性更改网卡的名称以方便区分不同的网络接口。为方便区分我们作如下规定：接入外网的网络接口命名为Wan，其接入外网的方式是通过dhcp客户端设自动获取IP地址。接入局域网的网络接口我们命名为Lan。命令执行过程和显示界面如下图4.5：图4.5更改网卡名字输入命令更改网卡的名称后。退回到根目录，设定网卡地址等信息。设定网卡的ip地址，我们要设定局域网接口Lan的地址，（备注，若这里出现的不是Lan，而是Wan，你需要把它改成Lan）。输入我们设定的Lan的IP地址54/24。系统然后让你输入网关的地址，千万要注意不要输入默认的地址，而是要改为图4.6。图4.6设置Lan网卡信息因为公司里面看视频，上网聊天没人所需流量不同，因此需要全局限制速度和限制线程。设置~54connection-limit=50是线程数这里为50。for5from2to254do={/ipfirewallfilteraddchain=forwardsrc-address=()protocol=tcpconnection-limit=50,32action=drop}设置是上行／下行的网速为2M/1M。:foruserfrom2to254do={/queuesimpleaddname=("")dst-address=("/32")max-limit=2048000/1024000}外网连接是采用静态IP的方式，IP为。连接到网卡Wan。为网卡Wan设置IP地址：ipaddress>addaddress=/24interface=Wan为路由器配置静态路由网关地址为，让所有数据的下一跳都将指向这个网关。iproute>adddst—address=/0gateway=。给客户端的IP进行绑定，客户机的MAC地址为00:0C:29:61:BD:40，IP地址为，可以用以下命令进行绑定：．iparp>addaddress=interface=Lanmac-address=00:0C:29:61:BD:40查看绑定结果图4.7。图4.7MAC地方绑定4.3RouterOS端口映射配置1、改变www服务端口为8081：/ipservicesetwwwport=80812、改变hotspot服务端口为80,为用户登录页面做准备：/ipservicesethotspotport=80Setuphotspotprofiletomarkauthenticateduserswithflowname"hs-auth":/iphotspotprofilesetdefaultmark-flow="hs-auth"login-method=enabled-address3、增加一个用户：/iphotspotuseraddname=user1password=14、重定向所有未授权用户的tcp请求到hotspot服务/ipfirewalldst-nataddin-interface="ether2"flow="!hs-auth"protocol=tcpaction=redirect

to-dst-port=80comment="redirectunauthorizedclientstohotspotservice"5、允许dns请求、icmpping；拒绝其他未经认证的所有请求：/ipfirewalladdname=hotspot-tempcomment="limitunauthorizedhotspotclients"/ipfirewallruleforwardaddin-interface=ether2action=jumpjump-target=hotspot-tempcomment="limitaccessforunauthorizedhotspotclients"/ipfirewallruleinputaddin-interface=ether2dst-port=80protocol=tcpaction=acceptcomment="acceptrequestsforhotspotservlet"/ipfirewallruleinputaddin-interface=ether2dst-port=67protocol=udpaction=acceptcomment="acceptrequestsforlocalDHCPserver"/ipfirewallruleinputaddin-interface=ether2action=jumpjump-target=hotspot-tempcomment="limitaccessforunauthorizedhotspotclients"/ipfirewallrulehotspot-tempaddflow="hs-auth"action=returncomment="returnifconnectionisauthorized"/ipfirewallrulehotspot-tempaddprotocol=icmpaction=returncomment="allowpingrequests"/ipfirewallrulehotspot-tempaddprotocol=udpdst-port=53action=returncomment="allowdnsrequests"/ipfirewallrulehotspot-tempaddaction=rejectcomment="rejectaccessforunauthorizedclients"6、创建hotspot通道给认证后的hotspot用户Createhotspotchainforauthorizedhotspotclients:/ipfirewalladdname=hotspotcomment="accountauthorizedhotspotclients"Passallthroughgoingtraffictohotspotchain:/ipfirewallruleforwardaddaction=jumpjump-target=hotspotcomment="accounttrafficforauthorizedhotspotclients"客户机输入任何网址，都自动跳转到登陆页面，输入账号密码，继续浏览。4.4设置防火墙规则RouterOS防火墙功能非常灵活。RouterOS防火墙属于包过滤防火墙，可以自己定义一系列的规则过滤掉发往RouterOS、从RouterOS发出、通过RouterOS转发的数据包。在RouterOS防火墙中定义了三个防火墙链（即input、forward、output），可以在这三个链当中定义自己的规则。input意思是指发往RouterOS自己的数据（也就是目的ip是RouterOS接口中的一个ip地址）；output意思是指从RouterOS发出去的数据（也就是数据包源ip是RouterOS接口中的一个ip地址）；forward意思是指通过RouterOS转发的（比如你内部计算机访问外部网络，数据需要通过你的RouterOS进行转发出去）。禁止pingRouterOS，需要在input链中添加规则，因为数据包是发给RouterOS的，数据包的目标ip是RouterOS的一个接口ip地址。在每条链中的每条规则都有目标ip，源ip，进入的接口，非常灵活的去建立规则。transferedthroughtheparticularconnection0的意思是无限的,例如connection-bytes=2000000-0意思是2MB以上HTBQOS流量质量控制/ipfirewallmangleaddchain=forwardp2p=all-p2paction=mark-connectionnew-connection-mark=p2p_connpassthrough=yescomment=""disabled=noaddchain=forwardconnection-mark=p2p_connaction=mark-packetnew-packet-mark=p2ppassthrough=yescomment=""disabled=noaddchain=forwardconnection-mark=!p2p_connaction=mark-packetnew-packet-mark=generalpassthrough=yescomment=""disabled=noaddchain=forwardpacket-size=32-512action=mark-packetnew-packet-mark=smallpassthrough=yescomment=""disabled=noaddchain=forwardpacket-size=512-1200action=mark-packetnew-packet-mark=bigpassthrough=yescomment=""disabled=no/queuetreeaddname="p2p1"parent=TELpacket-mark=p2plimit-at=2000000queue=defaultpriority=8max-limit=6000000burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="p2p2"parent=LANpacket-mark=p2plimit-at=2000000queue=defaultpriority=8max-limit=6000000burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="ClassA"parent=LANpacket-mark=""limit-at=0queue=defaultpriority=8max-limit=100000000burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="ClassB"parent=ClassApacket-mark=""limit-at=0queue=defaultpriority=8max-limit=0burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="Leaf1"parent=ClassApacket-mark=generallimit-at=0queue=defaultpriority=7max-limit=0burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="Leaf2"parent=ClassBpacket-mark=smalllimit-at=0queue=defaultpriority=5max-limit=0burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="Leaf3"parent=ClassBpacket-mark=biglimit-at=0queue=defaultpriority=6max-limit=0burst-limit=0burst-threshold=0burst-time=0sdisabled=no设置丢弃非法连接数据/ipfirewallfilteraddchain=inputconnection-state=invalidaction=drop\comment="丢弃非法连接数据"disabled=no设置限制总http连接数为20addchain=inputprotocol=tcpdst-port=80connection-limit=20,0action=drop\comment="限制总http连接数为20"disabled=no设置探测并丢弃端口扫描连接addchain=inputprotocol=tcppsd=21,3s,3,1action=drop\comment="探测并丢弃端口扫描连接"disabled=no设置压制DoS攻击addchain=inputprotocol=tcpconnection-limit=3,32src-address-list=black_list\action=tarpitcomment="压制DoS攻击"disabled=no设置探测DoS攻击addchain=inputprotocol=tcpconnection-limit=10,32\action=add-src-to-address-listaddress-list=black_list\address-list-timeout=1dcomment="探测DoS攻击"disabled=no设置丢弃掉非本地数据addchain=inputdst-address-type=!localaction=dropcomment="丢弃掉非本地数据"\disabled=no设置跳转到ICMP链表addchain=inputprotocol=icmpaction=jumpjump-target=ICMP\comment="跳转到ICMP链表"disabled=no设置Ping应答限制为每秒5个包addchain=ICMPprotocol=icmpicmp-options=0:0-255limit=5,5action=accept\comment="Ping应答限制为每秒5个包"disabled=no设置Traceroute限制为每秒5个包addchain=ICMPprotocol=icmpicmp-options=3:3limit=5,5action=accept\comment="Traceroute限制为每秒5个包"disabled=no设置MTU线路探测限制为每秒5个包addchain=ICMPprotocol=icmpicmp-options=3:4limit=5,5action=accept\comment="MTU线路探测限制为每秒5个包"disabled=no设置Ping请求限制为每秒5个包addchain=ICMPprotocol=icmpicmp-options=8:0-255limit=5,5action=accept\comment="Ping请求限制为每秒5个包"disabled=no设置TraceTTL限制为每秒5个包addchain=ICMPprotocol=icmpicmp-options=11:0-255limit=5,5action=accept\comment="TraceTTL限制为每秒5个包"disabled=no设置丢弃掉任何ICMP数据addchain=ICMPprotocol=icmpaction=dropcomment="丢弃掉任何ICMP数据"\disabled=no设置丢弃非法数据包addchain=forwardconnection-state=invalidaction=drop\comment="丢弃非法数据包"disabled=no设置限制每个主机TCP连接数为80条addchain=forwardprotocol=tcpconnection-limit=80,32action=drop\comment="限制每个主机TCP连接数为80条"disabled=no设置丢弃掉所有非单播数据addchain=forwardsrc-address-type=!unicastaction=drop\comment="丢弃掉所有非单播数据"disabled=no设置禁止.dll文件通过addchain=forwardcontent=.dllaction=dropcomment="禁止.dll文件通过"\disabled=yes设置跳转到ICMP链表addchain=forwardprotocol=icmpaction=jumpjump-target=ICMP\comment="跳转到ICMP链表"disabled=no设置tcp链接目的端口为41的数据包丢掉addchain=virusprotocol=tcpdst-port=41action=drop\comment="DeepThroat.Trojan-1"disabled=noaddchain=forwardaction=acceptcomment="接受所有数据"disabled=no另：详细防火墙规则配置见附录一4.5进入普通用户界面Winbox是基于windows下远程管理RouterOS的软件，提供直观方便的图形界面。用它能登陆防火墙，这个防火墙是由RouterOS制作的，用Winbox登陆后，就可以配置防火墙了，用这个软件便于配置防火墙。Winbox控制台使用TCP8291端口，在登陆到防火墙后可以通过Winbox控制台操作MikroTik路由器的配置并执行与本地控制台同样的任务。这样，即便在字符界面下操作不是很熟练的人也能进行管理了。在局域网的另外一台安装有windows的计算机上，设定其ip地址为-53中的任意一个就行，然后掩码输入，网关设定为54图4.8。图4.8window主机网卡配置设定完成之后，就可以打开IE浏览器，在地址栏中输入54就能访问RouterOS服务器了图4.9。图4.9winbox下载点击Winbox的图标来下载winbox.exe程序，然后运行这个程序。在connectto中输入我们的RouterOS服务器的地址54，用户名中输入admin，没有设定密码，所以密码不输入，为了便于以后进入服务器，按save按钮保存此次设置图4.10。图4.10连接winbox进入winbox界面图4.11。图4.11进入winbox界面点击winbox里的第一项Interfaces在弹出画面里，可以看到我们已经建立的两张网卡Wan和Lan图4.12。图4.12建立的两张网卡设定公网网络接口Wan。依次点击ip/address,按“+”号，在interface中选择公网接口Wan，输入公网地址0等信息然后apply，接着OK就行了图4.13。图4.13图形界面设定ip查看Routes和Ruls图4.14。图4.14Routes和Ruls4.6测试在RouterOS上面配置好防火墙规则后，我们对其功能进行测试。利用疯狂Ping之攻击器进行攻击。安全图4.15。图4.15利用疯狂Ping进行攻击同时，我还利用幽幽DDoS攻击器就行DDoS攻击，利用ICMP洪水攻击器进行ICMP攻击，利用synFlood攻击软件进行syn攻击，利用SafeWeb漏洞扫描系统就行漏洞扫描，利用VirEasyCH就行病毒扫描，利用ISAtrpeSSL端口开发工具就行扫描，都证明RouterOS作为中小企业防火墙是成功的。4.7总结中小企业中，利用RouterOS作为防火墙，在其系统提供的强大防护功能下，成功的侦测及阻挡了IP欺骗、源路由攻击、DoS等网络攻击，并且有效的阻止了端口扫描、防SYNflood,UDPflood,ICMPflood,Smurf/Fraggle攻击，分片报文攻击等，为中小企业网络提供了可靠的安全保障；根据其提供MAC和IP地址绑定功能，有效防范了ARP攻击，并且监视局域网内的ARP数据包，发现有攻击自动报警。

参考文献[1]《信息网络安全概论》，周良洪编著，群众出版社，2005.[2]《计算机安全技术及应用》，邵波编著，电子工业出版社，2005.[3]《信息安全管理教程》，主编：庞南，中国人民公安大学出版社，2007.[4]《计算机网络安全技术》，蔡立军编著，国水利水电出版社,2002.[5]《企业网络安全》，萧文龙编著，中国铁道出版社，2001.[6]《黑客的攻击手段及用户对策》，余建斌编著，北京人民邮电出版社,2005.[7]《网络安全与防火墙技术应用大全》，王睿林海波等,清华大学出版社，2000.[8]《防火墙技术大全》，[美]KeithE.StrassbergRichardJ.GondekGaryRollie，机械工业出版社，2003.[9]《Thereisnoloophole-InformationSecurityImplementationGuide》[美]MarkEgan,TimMather著，电子工业出版社，2006.

结束语网络安全问题越来越引起世界各国的严密关注，随着计算机网络在人类生活各个领域的广泛应用，不断出现网络被非法入侵，重要资料被窃取，网络系统瘫痪等严重问题，网络、应用程序的安全漏洞越来越多；各种病毒泛滥成灾。这一切，已给各个国家以及众多商业公司造成巨大的经济损失，甚至危害到国家安全，加强网络安全管理已刻不容缓。经过这段时间对毕业论文的设计，让我了解到了网络安全的重要性，防火墙在网络安全的重要性，从对防火墙的研究，认识到了它在网络中何其的重要，以前的对防火墙不甚了解，通过在读书馆，网上查资料等各种途径去了解它，去认识它。使得我头脑里本来对它模模糊糊的印象逐渐变得清晰。在做毕业设计的时候才发现，认真的，专心的去做着一件事，去学习这其中的知识，去感受这中间的过程原来是这么轻松，愉快的一件事，虽然我这个毕业设计做的并不完美，但这是我用心努力的成果。断向前。

致谢四年的大学生活就快走入尾声，我们的学生生活就要划上句号，心中是无尽的难舍与眷恋。从这里走出，对我的人生来说，将是踏上一个新的征程，要把所学的知识应用到实际工作中去。回首四年，取得了些许成绩，生活中有快乐也有艰辛。感谢老师们四年来对我孜孜不倦的教诲，对我成长的关心和爱护。学友情深，情同兄妹。四年的风风雨雨，我们一同走过，充满着关爱，给我留下了值得珍藏的最美好的记忆。不积跬步何以至千里，本设计能够顺利的完成，要归功于指导老师的认真负责，使我能够很好的掌握和运用专业知识，并在设计中得以体现。正是有了他们的悉心帮助和支持，才使我的毕业论文工作顺利完成，在此向宁夏理工学院，电气信息工程学院网络工程专业的全体老师表示由衷的谢意！在此要特别感谢我的导师X老师在我毕业的最后关头给了我巨大的帮助与鼓励,使我能够顺利完成毕业设计，在此表示衷心的感激。

附录一/ipfirewallfilteraddchain=inputconnection-state=invalidaction=drop\comment="丢弃非法连接数据"disabled=noaddchain=inputprotocol=tcpdst-port=80connection-limit=20,0action=drop\comment="限制总http连接数为20"disabled=noaddchain=inputprotocol=tcppsd=21,3s,3,1action=drop\comment="探测并丢弃端口扫描连接"disabled=noaddchain=inputprotocol=tcpconnection-limit=3,32src-address-list=black_list\action=tarpitcomment="压制DoS攻击"disabled=noaddchain=inputprotocol=tcpconnection-limit=10,32\action=add-src-to-address-listaddress-list=black_list\address-list-timeout=1dcomment="探测DoS攻击"disabled=noaddchain=inputdst-address-type=!localaction=dropcomment="丢弃掉非本地数据"\disabled=noaddchain=inputprotocol=icmpaction=jumpjump-target=ICMP\comment="跳转到ICMP链表"disabled=noaddchain=ICMPprotocol=icmpicmp-options=0:0-255limit=5,5action=accept\comment="Ping应答限制为每秒5个包"disabled=noaddchain=ICMPprotocol=icmpicmp-options=3:3limit=5,5action=accept\comment="Traceroute限制为每秒5个包"disabled=noaddchain=ICMPprotocol=icmpicmp-options=3:4limit=5,5action=accept\comment="MTU线路探测限制为每秒5个包"disabled=noaddchain=ICMPprotocol=icmpicmp-options=8:0-255limit=5,5action=accept\comment="Ping请求限制为每秒5个包"disabled=noaddchain=ICMPprotocol=icmpicmp-options=11:0-255limit=5,5action=accept\comment="TraceTTL限制为每秒5个包"disabled=noaddchain=ICMPprotocol=icmpaction=dropcomment="丢弃掉任何ICMP数据"\disabled=noaddchain=forwardconnection-state=invalidaction=drop\comment="丢弃非法数据包"disabled=noaddchain=forwardprotocol=tcpconnection-limit=80,32action=drop\comment="限制每个主机TCP连接数为80条"disabled=noaddchain=forwardsrc-address-type=!unicastaction=drop\comment="丢弃掉所有非单播数据"disabled=noaddchain=forwardcontent=.exeaction=dropcomment="禁止.exe文件通过"\disabled=yesaddchain=forwardcontent=.dllaction=dropcomment="禁止.dll文件通过"\disabled=yesaddchain=forwardprotocol=icmpaction=jumpjump-target=ICMP\comment="跳转到ICMP链表"disabled=noaddchain=forwardaction=jumpjump-target=viruscomment="跳转到病毒链表"\disabled=noaddchain=virusprotocol=tcpdst-port=41action=drop\comment="DeepThroat.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=82action=drop\comment="Worm.NetSky.Y@mm"disabled=noaddchain=virusprotocol=tcpdst-port=113action=drop\comment="W32.Korgo.A/B/C/D/E/F-1"disabled=noaddchain=virusprotocol=tcpdst-port=2041action=drop\comment="W33.Korgo.A/B/C/D/E/F-2"disabled=noaddchain=virusprotocol=tcpdst-port=3150action=drop\comment="DeepThroat.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=3067action=drop\comment="W32.Korgo.A/B/C/D/E/F-3"disabled=noaddchain=virusprotocol=tcpdst-port=3422action=drop\comment="Backdoor.IRC.Aladdinz.R-1"disabled=noaddchain=virusprotocol=tcpdst-port=6667action=drop\comment="W32.Korgo.A/B/C/D/E/F-4"disabled=noaddchain=virusprotocol=tcpdst-port=6789action=drop\comment="Worm.NetSky.S/T/U@mm"disabled=noaddchain=virusprotocol=tcpdst-port=8787action=drop\comment="Back.Orifice.2000.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=8879action=drop\comment="Back.Orifice.2000.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=8967action=drop\comment="W32.Dabber.A/B-2"disabled=noaddchain=virusprotocol=tcpdst-port=9999action=drop\comment="W32.Dabber.A/B-3"disabled=noaddchain=virusprotocol=tcpdst-port=20034action=drop\comment="Block.NetBus.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=21554action=drop\comment="GirlFriend.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=31666action=drop\comment="Back.Orifice.2000.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=43958action=drop\comment="Backdoor.IRC.Aladdinz.R-2"disabled=noaddchain=virusprotocol=tcpdst-port=999action=drop\comment="DeepThroat.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=6670action=drop\comment="DeepThroat.Trojan-4"disabled=noaddchain=virusprotocol=tcpdst-port=6771action=drop\comment="DeepThroat.Trojan-5"disabled=noaddchain=virusprotocol=tcpdst-port=60000action=drop\comment="DeepThroat.Trojan-6"disabled=noaddchain=virusprotocol=tcpdst-port=2140action=drop\comment="DeepThroat.Trojan-7"disabled=noaddchain=virusprotocol=tcpdst-port=10067action=drop\comment="Portal.of.Doom.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=10167action=drop\comment="Portal.of.Doom.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=3700action=drop\comment="Portal.of.Doom.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=9872-9875action=drop\comment="Portal.of.Doom.Trojan-4"disabled=noaddchain=virusprotocol=tcpdst-port=6883action=drop\comment="Delta.Source.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=26274action=drop\comment="Delta.Source.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=4444action=drop\comment="Delta.Source.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=47262action=drop\comment="Delta.Source.Trojan-4"disabled=noaddchain=virusprotocol=tcpdst-port=3791action=drop\comment="Eclypse.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=3801action=drop\comment="Eclypse.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=65390action=drop\comment="Eclypse.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=5880-5882action=drop\comment="Y3K.RAT.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=5888-5889action=drop\comment="Y3K.RAT.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=30100-30103action=drop\comment="NetSphere.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=30133action=drop\comment="NetSphere.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=7300-7301action=drop\comment="NetMonitor.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=7306-7308action=drop\comment="NetMonitor.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=79action=drop\comment="FireHotcker.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=5031action=drop\comment="FireHotcker.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=5321action=drop\comment="FireHotcker.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=6400action=drop\comment="TheThing.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=7777action=drop\comment="TheThing.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=1047action=drop\comment="GateCrasher.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=6969-6970action=drop\comment="GateCrasher.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=2774action=dropcomment="SubSeven-1"\disabled=noaddchain=virusprotocol=tcpdst-port=27374action=dropcomment="SubSeven-2"\disabled=noaddchain=virusprotocol=tcpdst-port=1243action=dropcomment="SubSeven-3"\disabled=noaddchain=virusprotocol=tcpdst-port=1234action=dropcomment="SubSeven-4"\disabled=noaddchain=virusprotocol=tcpdst-port=6711-6713action=drop\comment="SubSeven-5"disabled=noaddchain=virusprotocol=tcpdst-port=16959action=dropcomment="SubSeven-7"\disabled=noaddchain=virusprotocol=tcpdst-port=25685-25686action=drop\comment="Moonpie.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=25982action=drop\comment="Moonpie.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=31337-31339action=drop\comment="NetSpy.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=8102action=dropcomment="Trojan"\disabled=noaddchain=virusprotocol=tcpdst-port=8011action=dropcomment="WAY.Trojan"\disabled=noaddchain=virusprotocol=tcpdst-port=7626action=dropcomment="Trojan.BingHe"\disabled=noaddchain=virusprotocol=tcpdst-por