版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、<p> 基于路由器的網(wǎng)絡(luò)安全研究和實現(xiàn)</p><p> 【摘要】 在這篇論文中,介紹了計算機(jī)的網(wǎng)絡(luò)安全與防火墻的技術(shù),主要討論防火墻的概念和分類,詳細(xì)說明了防火墻技術(shù)中的包過濾功能。還介紹了AAA配置技術(shù)、OSPF配置技術(shù)和ACL訪問控制列表。詳細(xì)介紹與講解了通過ACL訪問控制列表來實現(xiàn)了一個基本的軟件防火墻。最后描述對互聯(lián)網(wǎng)的簡單防火墻技術(shù)的發(fā)展趨勢。 </p><p&g
2、t; 【關(guān)鍵詞】 網(wǎng)絡(luò)安全,防火墻,包過濾,ACL</p><p> Research and implementation of network security based on router</p><p> 【Abstract】 In this paper , the computer network security and the techniques of fir
3、ewalls were mainly discussed, Focuses on the concept of a firewall, a detailed description of the packet filtering in the firewall technology.It also introduced the configuration Technology of AAA OSPF and Access Control
4、 Listtec , Introduced and explained in detail to achieve a basic software firewall by ACL. Finally described the trend of development of the firewalls techniques in Internet briefly.</p><p> 【Key Words】 n
5、etwork security,firewalls,Packet filtering,ACL </p><p><b> 目錄</b></p><p><b> 第1章 緒論1</b></p><p> 1.1選題的背景和意義1</p><p> 1.1.1國內(nèi)外的研究現(xiàn)狀1</
6、p><p> 1.1.2發(fā)展趨勢2</p><p> 1.2研究的基本內(nèi)容2</p><p> 第2章 配置基本網(wǎng)絡(luò)環(huán)境4</p><p> 2.1配置基本網(wǎng)絡(luò)環(huán)境4</p><p> 2.1.1構(gòu)建小型模擬局域網(wǎng)5</p><p> 第3章 AAA配置6</p>
7、<p> 3.1 AAA簡介6</p><p> 3.1.1什么是AAA6</p><p> 3.2簡單基本的AAA配置6</p><p> 3.2.1組網(wǎng)需求6</p><p> 3.2.2配置步驟7</p><p> 第4章 OSPF配置8</p><p&g
8、t; 4.1 OSPF簡介8</p><p> 4.1.1 OSPF的主要特性8</p><p> 4.1.2 OSPF協(xié)議路由計算的過程8</p><p> 4.2 OSPF的配置9</p><p> 4.2.1配置步驟10</p><p> 第5章 防火墻13</p><
9、p> 5.1防火墻簡介13</p><p> 5.1.1什么是防火墻13</p><p> 5.1.2防火墻的分類13</p><p> 5.2 包過濾14</p><p> 5.2.1包過濾可實現(xiàn)的功能14</p><p> 5.2.2網(wǎng)絡(luò)設(shè)備的包過濾的特性15</p>&
10、lt;p> 第6章 ACL配置16</p><p> 6.1訪問控制列表16</p><p> 6.1.1標(biāo)準(zhǔn)訪問控制列表16</p><p> 6.1.2擴(kuò)展訪問控制列表16</p><p> 6.2防火墻的配置17</p><p> 6.2.1配置步驟18</p><
11、;p> 6.2.2防火墻的顯示與調(diào)試22</p><p><b> 結(jié)論23</b></p><p><b> 參考文獻(xiàn)24</b></p><p><b> 附錄26</b></p><p><b> 致謝29</b></
12、p><p><b> 圖目錄</b></p><p> 圖2.1 設(shè)備配置圖5</p><p> 圖5.1 包過濾示意圖14</p><p><b> 表目錄</b></p><p> 表2.1 設(shè)備配置信息4</p><p> 表6.1
13、擴(kuò)展訪問列表的操作符operator的意義17</p><p> 表6.2防火墻的顯示和調(diào)試22</p><p> 表I防火墻的顯示和調(diào)試(TCP)26</p><p> 表II防火墻的顯示和調(diào)試(UDP)27</p><p> 表III ICMP報文類型的助記符28</p><p><b>
14、; 第1章 緒論</b></p><p> 1.1選題的背景和意義</p><p> 隨著網(wǎng)絡(luò)應(yīng)用的日益普及,尤其是在一些敏感場合(如電子商務(wù))的應(yīng)用,因此網(wǎng)絡(luò)安全成為日益迫切的需求之一;路由器作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間通訊的關(guān)鍵,完全有必要提供充分而又可靠的安全保護(hù)功能。</p><p> 本課題的目的就是設(shè)計一種基于路由器的網(wǎng)絡(luò)安全解決方案,
15、從安全性、處理速度等方面對其進(jìn)行可用性評估。</p><p> 1.1.1國內(nèi)外的研究現(xiàn)狀</p><p> 現(xiàn)今網(wǎng)絡(luò)中大多都使用TCP/IP協(xié)議,但是因此TCP/IP協(xié)議本身存在缺陷,從而導(dǎo)致了網(wǎng)絡(luò)的不安全。雖然TCP/IP協(xié)議具有許多特點,如支持多種應(yīng)用協(xié)議、互聯(lián)能力強(qiáng)、網(wǎng)絡(luò)技術(shù)獨立、等等;但是由于TCP/IP協(xié)議在定制時,并沒有考慮到安全方面的主要因素,因此協(xié)議中還是有很多的安全
16、問題存在。主要有:</p><p> 1. TCP/IP協(xié)議數(shù)據(jù)流在使用FTP、Http和Telnet傳輸時,用戶的賬號以及口令非常容易被竊聽、修改和偽造。</p><p> 2.作為網(wǎng)絡(luò)節(jié)點的唯一標(biāo)識,源地址是通過利用IP地址對TCP/IP協(xié)議進(jìn)行欺騙,因為IP地址不是完全固定的;因此,攻擊者可以通過直接修改節(jié)點的IP地址冒充某個可信節(jié)點的%-地址來進(jìn)行攻擊。</p>
17、<p> 3.為了測試目的設(shè)置一個選項IP Soure routing,源路由一般情況下選擇欺騙IP數(shù)據(jù)包;從而使攻擊者可以利用這一選項,直接指明出一條路由方式來進(jìn)行偽裝、欺騙,然后進(jìn)行不正當(dāng)方式的連接。</p><p><b> 1.1.2發(fā)展趨勢</b></p><p> 網(wǎng)絡(luò)安全不只是一個單純的技術(shù)間題,同時也是一個非常關(guān)鍵的管理問題。對計算機(jī)
18、系統(tǒng)的安全事件進(jìn)行收集、記錄、分析、判斷,然后采取對應(yīng)的安全措施來進(jìn)行處理的一個過程被稱為安全審計。其基本的功能分別為:對用戶、操作命令、文件操作等審計對象進(jìn)行選擇;對文件系統(tǒng)完整性進(jìn)行定期的檢測;設(shè)置選擇逐出系統(tǒng);保護(hù)數(shù)據(jù)的安全及審計日志等。成立專門負(fù)責(zé)計算機(jī)網(wǎng)絡(luò)信息安全的行政管理機(jī)構(gòu),從而審查和訂制計算機(jī)網(wǎng)絡(luò)的信息安全措施。確認(rèn)安全措施實施的方針、政策以及原則;具體組織、協(xié)調(diào)、監(jiān)督、檢查信息安全措施的執(zhí)行。</p>&
19、lt;p> 來自計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部的危害當(dāng)中,很多是人為造成的對信息安全的危害。由于思想上的松懈和安全意識偏弱,從而給了攻擊者可乘之機(jī)。因此,加強(qiáng)單位人員的思想教育,培養(yǎng)單位人員的責(zé)任感也是保護(hù)網(wǎng)絡(luò)安全不可或缺的一個重要環(huán)節(jié)。 </p><p> 計算機(jī)網(wǎng)絡(luò)安全發(fā)展至今,儼然已成為了一個橫跨通信技術(shù)、網(wǎng)絡(luò)技術(shù)、安全技術(shù)、計算機(jī)技術(shù)、密碼學(xué)等等多種門科技術(shù)的綜合性學(xué)科。因此計算機(jī)網(wǎng)絡(luò)安全的發(fā)展在向高端
20、技術(shù)發(fā)展的同時會朝著全方位化、縱深化、專業(yè)化的方向發(fā)展,隨著各種新興技術(shù)的不斷發(fā)展和出現(xiàn),網(wǎng)絡(luò)安全將會由單一的技術(shù)向各種技術(shù)融合的方向發(fā)展。</p><p> 基于路由器的大多數(shù)主要安全技術(shù)通常都是相輔相成的,為了系統(tǒng)安全性的提高,必須通過各種安全機(jī)制協(xié)調(diào)工作。當(dāng)今,由于信息化的高速發(fā)展,加強(qiáng)路由器安全機(jī)制和安全協(xié)議,改進(jìn)新的算法研究將會成為保證網(wǎng)絡(luò)安全的高效性的唯一選擇。</p><p&g
21、t; 1.2研究的基本內(nèi)容</p><p> 隨著Internet的飛速發(fā)展,全國每個中小型企業(yè)和事業(yè)單位都在建設(shè)局域網(wǎng)并連入了互聯(lián)網(wǎng),所以信息網(wǎng)絡(luò)安全就必須同時跟上發(fā)展的腳步,成為我們最需要著重關(guān)心的問題之一。</p><p> 我們可以采取在普通路由器中添加安全模塊,從技術(shù)上加強(qiáng)路由器的安全性;或者借助管理手段,從管理上加強(qiáng)對路由器的安全性等多種手段來保證基于路由器的網(wǎng)絡(luò)環(huán)境下的
22、安全性。</p><p> 網(wǎng)絡(luò)安全與防火墻關(guān)系密不可分,網(wǎng)絡(luò)防火墻的構(gòu)建需要明確安全策略,安全而又全面的分析和業(yè)務(wù)的需求分析將決定一個組織全局的安全策略,因此我們需要仔細(xì)并且正確的設(shè)置網(wǎng)絡(luò)安全策略,從而使這個計算機(jī)網(wǎng)絡(luò)防火墻發(fā)揮它最大的作用。 </p><p> 其中,明確定義哪些數(shù)據(jù)包允許或禁止通過并使用網(wǎng)絡(luò)服務(wù),以及這些服務(wù)的詳細(xì)使用規(guī)則,同時網(wǎng)絡(luò)防火墻安全策略中的每一條規(guī)定都應(yīng)
23、該在實際應(yīng)用時得到實現(xiàn);這些都屬于網(wǎng)絡(luò)防火墻的安全策略。</p><p> 本文就著重介紹與說明在路由器下通過訪問控制列表(ACL)方法實現(xiàn)安全策略,構(gòu)建出一個小型、簡易、安全有合理的計算機(jī)網(wǎng)絡(luò)的防火墻體系結(jié)構(gòu),從而實現(xiàn)具體的網(wǎng)絡(luò)防火墻功能,并對其實現(xiàn)和具體應(yīng)用進(jìn)行詳細(xì)的敘述。</p><p> 第2章 配置基本網(wǎng)絡(luò)環(huán)境</p><p> 2.1配置基本網(wǎng)絡(luò)環(huán)
24、境</p><p> ?。?)按照表2.1所示內(nèi)容,正確填寫計算機(jī)(PA、PB、PC、PD……)及路由器(RA、RB、RC、RD)的網(wǎng)絡(luò)連接參數(shù)</p><p> 表2.1 設(shè)備配置信息</p><p> 2.1.1構(gòu)建小型模擬局域網(wǎng)</p><p> 設(shè)備連接如圖2.1所示構(gòu)建出一個小型模擬局域網(wǎng)(由路由器、交換機(jī)、PC組成)。<
25、;/p><p> 圖2.1 設(shè)備配置圖</p><p><b> 第3章 AAA配置</b></p><p><b> 3.1 AAA簡介</b></p><p> 3.1.1什么是AAA</p><p> 用來對認(rèn)證、授權(quán)和計費這三種安全功能進(jìn)行配置的一個框架,被稱為
26、:Authentication,Authorization and Accounting ,即認(rèn)證、授權(quán)和計費,一般情況下縮寫為AAA即可,簡稱:“三A認(rèn)證”;它是對網(wǎng)絡(luò)安全進(jìn)行管理的認(rèn)證方式之一,對所有類型LOGIN用戶進(jìn)行本地認(rèn)證、授權(quán)、計費。</p><p> 在這里,網(wǎng)絡(luò)安全主要指的是訪問控制,其中包括了:</p><p> (1)規(guī)定了哪些用戶可以訪問指定網(wǎng)絡(luò)服務(wù)器</
27、p><p> (2)具有訪問權(quán)限的用戶組分別可以得到哪些服務(wù),可以做些什么</p><p> (3)對正在使用該網(wǎng)絡(luò)資源的用戶組進(jìn)行計費功能</p><p> AAA可完成下列服務(wù):</p><p> (1)認(rèn)證:判斷認(rèn)證用戶是否可以獲得訪問權(quán)限</p><p> ?。?)授權(quán):被授權(quán)的用戶組可以使用哪些服務(wù)。&l
28、t;/p><p> ?。?)計費:記錄用戶組使用網(wǎng)絡(luò)資源的具體情況。</p><p> 3.2簡單基本的AAA配置</p><p><b> 3.2.1組網(wǎng)需求</b></p><p> 對所有類型login用戶進(jìn)行本地認(rèn)證,但不要求計費。</p><p><b> 3.2.2配置步
29、驟</b></p><p><b> # 使能AAA</b></p><p> [Router] aaa-enable</p><p> # 配置Login用戶</p><p> [Router] local-user ftp service-type ftp password simple ftp
30、</p><p> [Router] local-user admin service-type administrator ssh password cipher admin</p><p> [Router] local-user operator service-type operator ssh password simple operator</p><p
31、> [Router] local-user guest service-type guest ssh password simple guest</p><p> # 配置對login用戶進(jìn)行認(rèn)證</p><p> [Router] aaa authentication-scheme login default local </p><p> [Rou
32、ter] login-method authentication-mode con default</p><p> [Router] login-method authentication-mode async default</p><p> [Router] login-method authentication-mode hwtty default</p><
33、;p> [Router] login-method authentication-mode pad default</p><p> [Router] login-method authentication-mode telnet default</p><p> [Router] login-method authentication-mode ssh default<
34、/p><p> # 配置對FTP用戶進(jìn)行認(rèn)證</p><p> [Router] login-method authentication-mode ftp default</p><p> # 配置對login用戶不計費</p><p> [Router] undo login-method accounting-mode login c
35、on</p><p> [Router] undo login-method accounting-mode login async</p><p> [Router] undo login-method accounting-mode login hwtty</p><p> [Router] undo login-method accounting-mod
36、e login pad</p><p> [Router] undo login-method accounting-mode login telnet</p><p> [Router] undo login-method accounting-mode login ssh</p><p> 四臺路由器均要進(jìn)行相同的AAA配置,指令相同,不作重復(fù)。</
37、p><p> 第4章 OSPF配置</p><p> 4.1 OSPF簡介</p><p> 由IETF組織研發(fā)的一個基于鏈路狀態(tài)下的自治系統(tǒng)內(nèi)部路由協(xié)議被稱為:開放最短路由優(yōu)先協(xié)議(Open Shortest Path First),簡稱OSPF,目前普遍使用的是版本2(RFC1583)。</p><p> 4.1.1 OSPF的主要特
38、性</p><p> 1.適應(yīng)范圍——支持最多幾千臺路由器的各種大、中、小規(guī)模的網(wǎng)絡(luò)。</p><p> 2.快速收斂——在網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)發(fā)生變化后立即發(fā)送并更新報文并在自治系統(tǒng)中達(dá)到同步。</p><p> 3.無自環(huán)——用最短路徑樹算法計算路由,保證了不會生成自環(huán)路由。</p><p> 4.區(qū)域劃分——為了減少占用帶寬,
39、自治系統(tǒng)的網(wǎng)絡(luò)被劃分成的區(qū)域傳送的路由信息被抽象。</p><p> 5.等值路由——到同一目的地址的多條等值路由。</p><p> 6.路由分級——當(dāng)同時使用不同等級的路由時,按區(qū)域內(nèi)路由、區(qū)域間路由、第一類外部路由和第二類外部路由這個優(yōu)先順序分級。</p><p> 7.支持驗證——支持基于接口的報文驗證,保障了路由計算的安全性、穩(wěn)定性。</
40、p><p> 8.組播發(fā)送——在有組播發(fā)送能力的鏈路層上,基于組播地址進(jìn)行接收、發(fā)送報文。在達(dá)到了廣播作用的同時又最大程度地減少了對其它網(wǎng)絡(luò)設(shè)備的干擾。</p><p> 4.1.2 OSPF協(xié)議路由計算的過程</p><p> OSPF協(xié)議路由的計算過程可簡單描述如下:</p><p> 1. 描述整個自治系統(tǒng)拓?fù)浣Y(jié)構(gòu)的鏈路狀態(tài)數(shù)據(jù)
41、庫(簡稱LSDB)是由每一臺支持OSPF協(xié)議的路由器維護(hù)著;他們都會根據(jù)周圍的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來生成鏈路狀態(tài)并且發(fā)布Link State Advertising(LSA),然后再將LSA發(fā)送給網(wǎng)絡(luò)中其它路由器。這樣,每臺路由器都將會收到來自其它路由器的 LSA,然后將所有的 LSA 放在一起組成了一個相對完整的鏈路狀態(tài)數(shù)據(jù)庫。</p><p> 2. 對路由器周圍網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的具體描述被稱為LSA,而對整個網(wǎng)絡(luò)的
42、拓?fù)浣Y(jié)構(gòu)的一種描述則被成為LSDB。自然而然,自治系統(tǒng)內(nèi)的各個路由器都將得到完全相同的網(wǎng)絡(luò)拓?fù)鋱D是因為路由器會將LSDB轉(zhuǎn)換成一張帶有權(quán)值的真實反映整個網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的有向圖。</p><p> 3. 使用SPF算法的每臺路由器都會計算出一棵到自治系統(tǒng)中各個節(jié)點的路由的樹,這是一棵以自己為根的最短路徑樹,這棵樹給出了通過廣播外部路由的路由器來記錄關(guān)于整個自治系統(tǒng)的額外信息。</p><p&g
43、t; 另外,為了建立多個鄰接(Adjacent)關(guān)系,使處于廣播網(wǎng)和NBMA網(wǎng)中的每臺路由器都可以將存儲在本地的路由信息廣播到整個自治系統(tǒng)中去,則會出現(xiàn)多次傳遞任意一臺路由器的路由變化的情況,因而浪費了寶貴的帶寬資源。為了解決這個難題,OSPF因此定義了“指定路由器”(Designated Router),簡稱為DR;為了大大減少各路由器之間鄰居關(guān)系的數(shù)量,DR接收所有路由器發(fā)送出來的路由信息,然后再由它將該網(wǎng)絡(luò)的鏈路狀態(tài)廣播出去。
44、</p><p> OSPF支持IP子網(wǎng)和外部路由信息的標(biāo)記接收,它支持基于接口的報文驗證以保證路由計算的安全性;并使用IP組播方式發(fā)送和接收報文。</p><p> 4.2 OSPF的配置</p><p> 必須先啟動OSPF、使能OSPF網(wǎng)絡(luò)后,才能在各項配置任務(wù)中配置其它與協(xié)議相關(guān)的功能特性,而OSPF是否使能將不會影響在接口下配置的與協(xié)議相關(guān)的參數(shù)。關(guān)
45、閉OSPF的同時原來在接口下配置的與協(xié)議相關(guān)的參數(shù)也同時失效。</p><p><b> 4.2.1配置步驟</b></p><p> 1. 配置路由器RA</p><p> [RA]interface S0</p><p> [RA-Serial0]ip address 192.1.1.1 255.255.25
46、5.0</p><p> [RA-Serial0]interface S1</p><p> [RA-Serial1]ip address 193.1.1.1 255.255.255.0</p><p> [RA-Serial1]interface eth0</p><p> [RA-Ethernet0]ip address 202.
47、0.0.1 255.255.255.0</p><p> [RA-Ethernet0]quit</p><p> [RA]ospf enable</p><p> [RA-ospf]interface s0</p><p> [RA-Serial0]ospf enable area 0</p><p> [R
48、A-Serial0]interface s1</p><p> [RA-Serial1]ospf enable area 0</p><p> [RA-Serial1]quit</p><p> [RA]interface e0</p><p> [RA-Ethernet0]ospf enable area 0</p>
49、<p> 2. 配置路由器RB</p><p> [RB]interface S0</p><p> [RB-Serial0]ip address 192.1.1.2 255.255.255.0</p><p> [RB-Serial0]interface S1</p><p> [RB-Serial1]ip addres
50、s 194.1.1.2 255.255.255.0</p><p> [RB-Serial1]quit</p><p> [RB]ospf enable</p><p> [RB-ospf]interface s0</p><p> [RB-Serial0]ospf enable area 0</p><p>
51、 [RB-Serial0]interface s1</p><p> [RB-Serial1]ospf enable area 0</p><p> [RB-Serial1]quit</p><p> [RB]interface eth0</p><p> [RB-Ethernet0]ip address 202.0.1.1 255
52、.255.255.0</p><p> [RB-Ethernet0]ospf enable area 0</p><p> [RB-Ethernet0]quit</p><p> 3. 配置路由器RC</p><p> [RC]interface S0</p><p> [RC-Serial0]ip addr
53、ess 194.1.1.1 255.255.255.0</p><p> [RC-Serial0]interface S1</p><p> [RC-Serial1]ip address 195.1.1.1 255.255.255.0</p><p> [RC-Serial1]quit</p><p> [RC]ospf enable
54、</p><p> [RC-ospf]interface s0</p><p> [RC-Serial0]ospf enable area 0</p><p> [RC-Serial0]interface s1</p><p> [RC-Serial1]ospf enable area 0</p><p>
55、[RC-Serial1]quit</p><p> [RC]interface eth0</p><p> [RC-Ethernet0]ip address 202.0.2.1 255.255.255.0</p><p> [RC-Ethernet0]ospf enable area 0</p><p> [RC-Ethernet0]
56、quit</p><p> 4. 配置路由器RD</p><p> [RD]interface S0</p><p> [RD-Serial0]ip address 193.1.1.2 255.255.255.0</p><p> [RD-Serial0]interface S1</p><p> [RD-S
57、erial1]ip address 195.1.1.2 255.255.255.0</p><p> [RD-Serial1]interface eth0</p><p> [RD-Ethernet0]ip address 202.0.3.1 255.255.255.0</p><p> [RD-Ethernet0]quit</p><p&
58、gt; [RD]ospf enable</p><p> [RD-ospf]interface s0</p><p> [RD-Serial0]ospf enable area 0</p><p> [RD-Serial0]interface s1</p><p> [RD-Serial1]ospf enable area 0<
59、;/p><p> [RD-Serial1]interface e0</p><p> [RD-Ethernet0]ospf enable area 0</p><p> [RD-Ethernet0]quit</p><p> 如此配置完成后,所有的端口都可以相互PING通。如圖2.1 構(gòu)建的小型局域網(wǎng)就完成了。</p>&l
60、t;p><b> 第5章 防火墻</b></p><p><b> 5.1防火墻簡介</b></p><p> 5.1.1什么是防火墻</p><p> 防火墻作為Internet訪問控制的基本技術(shù),其主要作用是監(jiān)視和過濾通過它的數(shù)據(jù)包,拒絕非法用戶訪問網(wǎng)絡(luò)并保障合法用戶正常工作,根據(jù)自身所配置的訪問控制策略
61、決定該包應(yīng)當(dāng)被轉(zhuǎn)發(fā)還是應(yīng)當(dāng)被拋棄。</p><p> 為了阻止未經(jīng)認(rèn)證或者未經(jīng)授權(quán)的用戶訪問保護(hù)內(nèi)部網(wǎng)絡(luò)或數(shù)據(jù),防止來自外網(wǎng)的惡意攻擊,一般將防火墻設(shè)置在外部網(wǎng)和內(nèi)部網(wǎng)的連接處。也可以用防火墻將企業(yè)網(wǎng)中比較敏感的網(wǎng)段與相對開放的網(wǎng)段隔離開來,從而達(dá)到即使該訪問是來自局域網(wǎng)內(nèi)部,也必須經(jīng)過防火墻的過濾的效果。 </p><p> 防火墻可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流來保護(hù)內(nèi)部網(wǎng)
62、絡(luò)的安全性,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況?,F(xiàn)在的許多防火墻同時甚至還可以對用戶進(jìn)行身份鑒別,對信息進(jìn)行安全加密處理等等。</p><p> 5.1.2防火墻的分類</p><p> 防火墻一般被分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻兩種類型。網(wǎng)絡(luò)層防火墻主要是用來獲取協(xié)議號、源地址、目的地址和目的端口等等數(shù)據(jù)包的包頭信息;或者選擇直接獲取包頭的一段數(shù)據(jù)。而選擇對整個信息流進(jìn)
63、行系統(tǒng)的分析則是應(yīng)用層防火墻。</p><p> 常見的防火墻有以下幾類:</p><p> 1.應(yīng)用網(wǎng)關(guān)(Application Gateway):檢驗通過此網(wǎng)關(guān)的所有數(shù)據(jù)包中的位于應(yīng)用層的數(shù)據(jù)。比如FTP網(wǎng)關(guān),連接中傳輸?shù)乃蠪TP數(shù)據(jù)包都必須經(jīng)過此FTP網(wǎng)關(guān)。</p><p> 2.包過濾(Packet Filter):是指對每個數(shù)據(jù)包都將會完全按照
64、用戶所定義的規(guī)則來比較進(jìn)入的數(shù)據(jù)包的源地址、目的地址是否符合所定義的規(guī)則。如用戶規(guī)定禁止端口是25或者大于等于1024的數(shù)據(jù)包通過,則只要端口符合該條件,該數(shù)據(jù)包便被禁止通過此防火墻。</p><p> 3.代理(Proxy):通常情況下指的是地址代理。它的機(jī)制是將網(wǎng)內(nèi)主機(jī)的IP地址和端口替換為路由器或者服務(wù)器的IP地址和端口。讓所有的外部網(wǎng)絡(luò)主機(jī)與內(nèi)部網(wǎng)絡(luò)之間的相互訪問都必須通過使用代理服務(wù)器來實現(xiàn)。這樣,
65、就可以控制外部網(wǎng)絡(luò)中的主機(jī)對內(nèi)部網(wǎng)絡(luò)中具有重要資源的機(jī)器的訪問。</p><p><b> 5.2 包過濾</b></p><p> 一般情況下,包過濾是指對路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包,先獲取包頭信息中所承載的上層IP協(xié)議中的協(xié)議號、數(shù)據(jù)包的源地址、目的地址、源端口號和目的端口號等,然后與設(shè)定的規(guī)則進(jìn)行比較,比較后的結(jié)果對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。</p>
66、<p> 因此只要用戶所配置的規(guī)則比較符合實際的應(yīng)用,那么在這一層就可以過濾掉許多帶有安全隱患的未知數(shù)據(jù)包。</p><p> 包過濾(對IP數(shù)據(jù)包)所選取用來判斷的元素如下圖所示(圖中IP所承載的上層協(xié)議為TCP)。</p><p> 圖5.1 包過濾示意圖</p><p> 5.2.1包過濾可實現(xiàn)的功能</p><p>
67、; 1. 不讓任何人從外界使用Telnet登錄。</p><p> 2. 讓每個人經(jīng)由SMTP(Simple Message Transfer Protocol,簡單郵件傳輸協(xié)議)向我們發(fā)送電子郵件。</p><p> 3. 使得某臺機(jī)器可以通過NNTP(Network News Transfer Protocol,網(wǎng)絡(luò)新聞傳輸協(xié)議)向我們發(fā)送新聞,而其它機(jī)器都不具備此項服務(wù)等等。&
68、lt;/p><p> 5.2.2網(wǎng)絡(luò)設(shè)備的包過濾的特性</p><p> 1. 基于訪問控制列表(ACL):訪問控制列表的運用面很廣,它不僅僅可以應(yīng)用在包過濾中,還可應(yīng)用在如地址轉(zhuǎn)換和IPSec等其它需要對數(shù)據(jù)流進(jìn)行分類的特性中的應(yīng)用中。</p><p> 1.1.支持標(biāo)準(zhǔn)及擴(kuò)展訪問控制列表:可以是只設(shè)定一個簡單的地址范圍的標(biāo)準(zhǔn)訪問控制列表;也可以使用具體到協(xié)議、
69、源地址范圍、目的地址范圍、源端口范圍、目的端口范圍以及優(yōu)先級與服務(wù)類型等等的擴(kuò)展訪問控制列表功能。</p><p> 1.2. 支持時間段:可以使訪問控制列表在完全自定義的特定的時間段內(nèi)起作用,比如可設(shè)置每周一的8:00至20:00此訪問控制列表起作用。</p><p> 2. 支持訪問控制列表的自動排序:為了簡化配置的復(fù)雜程度,方便對于訪問控制列表的配置及維護(hù),可以選擇是否針對某一類
70、的訪問控制列表進(jìn)行自動排序。 </p><p> 3. 可以具體到接口的輸入及輸出方向:可以在連接WAN的接口的輸出方向上應(yīng)用某條包過濾規(guī)則,也可以在該接口的輸入方向上應(yīng)用其它的包過濾規(guī)則。</p><p> 4. 支持基于接口進(jìn)行過濾:可以在一個接口的某個方向上設(shè)定禁止或允許轉(zhuǎn)發(fā)來自某個接口的報文。</p><p> 5. 支持對符合條件的報文做日志:可記錄
71、報文的相關(guān)信息,并提供機(jī)制保證在有大量相同觸發(fā)日志的情況下不會消耗過多的資源。</p><p> 本文主要使用包過濾功能(ACL訪問控制列表)實現(xiàn)基本的防火墻功能,下面將著重介紹ACL訪問控制列表的配置。</p><p><b> 第6章 ACL配置</b></p><p><b> 6.1訪問控制列表</b><
72、;/p><p> 簡單的來說就是需要配置一些過濾數(shù)據(jù)包的規(guī)則,規(guī)定什么樣的數(shù)據(jù)包可以通過,什么樣的數(shù)據(jù)包不能通過。</p><p> 訪問控制列表可分為標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表。</p><p> 6.1.1標(biāo)準(zhǔn)訪問控制列表</p><p> acl acl-number [ match-order config | auto
73、]</p><p> rule { normal | special }{ permit | deny } [source source-addr source-wildcard | any ]</p><p> 6.1.2擴(kuò)展訪問控制列表</p><p> acl acl-number [ match-order config | auto ]</p&
74、gt;<p> rule { normal | special }{ permit | deny } pro-number [source source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ] [destination-port
75、 operator port1 [ port2 ] ] [icmp-type icmp-type icmp-code] [logging]</p><p> 其中“protocol-number”用名字或數(shù)字表示的IP承載的協(xié)議類型。數(shù)字范圍為0~255;名字取值范圍為:icmp、igmp、ip、tcp、udp、gre、ospf。</p><p> 對于“protocol”參數(shù)的不同
76、,該命令又有以下形式:</p><p> 1.“protocol”為ICMP時的命令格式如下:</p><p> rule { normal | special }{ permit | deny } icmp [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | an
77、y ] [icmp-type icmp-type icmp-code] [logging]</p><p> 2. “protocol”為IGMP、IP、GRE、OSPF時的命令格式如下:</p><p> rule { normal | special }{ permit | deny } { ip | ospf | igmp | gre } [source source-ad
78、dr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [logging]</p><p> 3.“protocol”為TCP或UDP時的命令格式如下:</p><p> rule { normal | special }{ permit | deny } { tcp | udp } [so
79、urce source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ] [destination-port operator port1 [ port2 ] ] [logging]</p><p> 只有TCP和UDP協(xié)議需要指
80、定端口范圍,支持的操作符及其語法如下表:</p><p> 表6.1擴(kuò)展訪問列表的操作符operator的意義</p><p> 用戶通過配置防火墻添加適當(dāng)?shù)脑L問規(guī)則,就可利用包過濾來對通過路由器的IP包進(jìn)行檢查,從而過濾掉用戶不希望通過路由器的包,起到網(wǎng)絡(luò)安全的作用。</p><p><b> 6.2防火墻的配置</b></p&g
81、t;<p><b> 防火墻的配置包括:</b></p><p> 1.允許/禁止防火墻</p><p> 2.配置標(biāo)準(zhǔn)訪問控制列表</p><p> 3.配置擴(kuò)展訪問控制列表</p><p> 4.配置在接口上應(yīng)用訪問控制列表的規(guī)則</p><p> 5.設(shè)置
82、防火墻的缺省過濾方式</p><p> 6.設(shè)置特殊時間段</p><p><b> 6.2.1配置步驟</b></p><p><b> 配置路由器RA:</b></p><p> [RA]firewall enable 啟用防火墻功能</p><p>
83、[RA]timerange enable 啟用時間段功能</p><p> [RA]firewall default permit 設(shè)置防火墻缺省過濾方式</p><p> [RA]settr 08:00 18:00 *設(shè)定工作時間段*</p><p> [RA]acl 3001 創(chuàng)建ACL規(guī)則編號3001</p&g
84、t;<p> [RA-acl-3001]rule special deny tcp source any destination any destination-port greater-than 1024</p><p> [RA]acl 3002</p><p> [RA-acl-3002]rule permit ip source 202.0.0.2 0.0.0.
85、0 destination 202.0.3.1 0.0.0.255 在下班時間允許PC-A 訪問網(wǎng)段202.0.3.*</p><p> [RA-acl-3002]rule permit tcp source any destination any destination-port eq smtp 在下班時間允許發(fā)送郵件</p><p>
86、 [RA-acl-3002]rule special deny ip source 202.0.0.2 0.0.0.0 destination 202.0.3.1 0.0.0.255 在上班時間禁止PC-A訪問網(wǎng)段202.0.3.*</p><p> [RA-acl-3002]rule special permit ip source 202.0.0.2 0.0.0.0 desti
87、nation 115.239.210.27 0 在上班時間允許PC-A 只能訪問百度</p><p> [RA-acl-3002]rule special deny tcp source 202.0.0.2 0.0.0.0 destination any destination-port eq smtp 在上班時間禁止PC-A對外發(fā)送郵件</p>
88、<p> [RA-acl-3002]rule special deny tcp source 202.0.0.3 0.0.0.0 destination any destination-port eq www 在上班時間禁止PC-B 使用www服務(wù)</p><p> [RA-acl-3002]rule special deny tcp source 202.0.0.3 0.0.0.0 dest
89、ination any destination-port eq smtp 在上班時間禁止PC-B對外發(fā)送郵件</p><p> [RA-acl-3002]rule special permit tcp source 202.0.0.3 0.0.0.0 destination any destination-port eq ftp 在上班時間允許PC-B使用ftp服務(wù)</p><
90、;p> [RA-acl-3002]rule special permit tcp source 202.0.0.4 0.0.0.0 destination any destination equal telnet 在上班時間允許PC-C使用telnet功能</p><p> [RA-acl-3002]quit</p><p> [RA]interface s0</
91、p><p> [RA-s0]firewall packet-filter 3001 inbound 將規(guī)則3001作用于從接口S0進(jìn)入的包</p><p> [RA-s0]quit</p><p> [RA]interface e0</p><p> [RA-E0]firewall packet-filter 3002 inbound
92、 將規(guī)則3002作用于從接口Ethernet0進(jìn)入的包</p><p><b> 配置路由器RB:</b></p><p> [RB]firewall enable</p><p> [RB]firewall default permit</p><p> [RB]acl 3003</p><
93、;p><b> 禁止所有包通過</b></p><p> [RB-acl-3003]rule deny ip source any destination any </p><p> 配置規(guī)則允許特定主機(jī)訪問外部網(wǎng),允許內(nèi)部服務(wù)器訪問外部網(wǎng)。</p><p> [RB-acl-3003]ru
94、le permit ip source 202.0.1.2 0.0.0.0 destination any </p><p> [RB-acl-3003]rule permit ip source 202.0.1.3 0.0.0.0 destination any</p><p> [RB-acl-3003]rule permit ip source 202.0.1.4 0.0
95、.0.0 destination any</p><p> [RB-acl-3003]rule permit ip source 202.0.1.5 0.0.0.0 destination any</p><p> [RB]acl 3004</p><p> 配置規(guī)則允許特定用戶從外部網(wǎng)訪問內(nèi)部特定服務(wù)器。</p><p> [RB-
96、acl-3004]rule permit ip source 202.0.3.2 0.0.0.0 destination 202.0.1.1 0.0.0.255 </p><p> [RB-acl-3004]rule deny ip source 202.0.3.2 0.0.0.0 destination 202.0.0.1 0.0.0.255</p><p> 配置規(guī)則允許特定用戶
97、從外部網(wǎng)取得數(shù)據(jù)(只允許端口大于1024的包)。</p><p> [RB-acl-3004]rule permit tcp source any destination 202.0.3.1 0.0.0.0 destination-port greater-than 1024 </p><p> [RB-acl-3004]quit</p><p> [RB
98、]interface E0</p><p> [RB-E0]firewall packet-filter 3003 inbound</p><p> [RB-EO]quit</p><p> [RB]interface S1</p><p> [RB-S1]fire packet-filter 3004 inbound</p&g
99、t;<p> [RB-s1]quit</p><p><b> 配置路由器RC:</b></p><p> [RC]firewall enable</p><p> [RC]timerange enable</p><p> [RC]firewall default permit</p>
100、;<p> [RC]settr 17:00 17:05 </p><p> [RC]acl 3006</p><p> [RC-acl-3006]rule normal permit icmp source 192.1.1.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echo</p><p&
101、gt; [RC-acl-3006]rule normal permit icmp source 202.0.0.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echo-reply</p><p> [RC-acl-3006]rule normal permit icmp source 192.1.1.1 0.0.0.0 destination 202.0.
102、3.1 0.0.0.0 icmp-type echo-reply</p><p> [RC-acl-3006]rule normal permit icmp source 202.0.0.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echo</p><p> [RC-acl-3006]rule normal deny tcp so
103、urce 202.0.0.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 destination-port equal telnet</p><p> [RC-acl-3006]rule normal deny tcp source 192.1.1.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 destination-port equal tel
104、net</p><p> [RC-acl-3006]rule special deny icmp source 202.0.0.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echo</p><p> [RC-acl-3006]rule special deny icmp source 202.0.0.1 0.0.0.0 desti
105、nation 202.0.3.1 0.0.0.0 icmp-type echo-reply</p><p> [RC-acl-3006]rule special deny icmp source 192.1.1.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echo</p><p> [RC-acl-3006]rule specia
106、l deny icmp source 192.1.1.1 0.0.0.0 destination 202.0.3.1 0.0.0.0 icmp-type echo-reply</p><p> [RC-acl-3006]quit</p><p> [RC]interface s0</p><p> [RC-Serial0]fire packet-filter
107、3006 inbound</p><p><b> 配置路由器RD:</b></p><p> [RD]firewall enable</p><p> [RD]timerange enable</p><p> [RD]firewall default permit</p><p>
108、[RD]settr 18:00 23:59</p><p> [RD]acl 3005</p><p> [RD-acl-3005]rule deny ip source 202.0.3.3 0.0.0.0 destination any 在普通時段禁止訪問內(nèi)部網(wǎng)</p><p> [RD-acl-3005]rule special per
109、mit ip source 202.0.3.3 0.0.0.0 destination 202.0.1.3 0.0.0.0 在特殊時段可以訪問PC-E</p><p> 將一些常用病毒入侵的端口禁用,防止病毒入侵</p><p> [RD-acl-3005]rule deny udp source any destination any destination-port eq 13
110、5</p><p> [RD-acl-3005]rule deny udp source any destination any destination-port eq 137</p><p> [RD-acl-3005]rule deny udp source any destination any destination-port eq 138</p><p&g
111、t; [RD-acl-3005]rule deny udp source any destination any destination-port eq 445</p><p> [RD-acl-3005]rule deny udp source any destination any destination-port eq 1434</p><p> [RD-acl-3005]ru
112、le deny tcp source any destination any destination-port eq 135</p><p> [RD-acl-3005]rule deny tcp source any destination any destination-port eq 137</p><p> [RD-acl-3005]rule deny tcp source a
113、ny destination any destination-port eq 139</p><p> [RD-acl-3005]rule deny tcp source any destination any destination-port eq 445</p><p> [RD-acl-3005]rule deny tcp source any destination any d
114、estination-port eq 4444</p><p> [RD-acl-3005]rule deny tcp source any destination any destination-port eq 5554</p><p> [RD-acl-3005]rule deny tcp source any destination any destination-port eq
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 畢業(yè)設(shè)計基于路由器的網(wǎng)絡(luò)安全研究和實現(xiàn)
- 基于路由器動態(tài)認(rèn)證的網(wǎng)絡(luò)安全模型的研究.pdf
- 畢業(yè)設(shè)計--片上網(wǎng)絡(luò)路由器ip核的設(shè)計與實現(xiàn)
- 基于MIPS的嵌入式路由器網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)的研究.pdf
- 基于特殊網(wǎng)絡(luò)的路由器關(guān)鍵技術(shù)設(shè)計和實現(xiàn).pdf
- 基于路由器的qos實現(xiàn)-畢業(yè)論文
- 基于路由器的qos實現(xiàn)-畢業(yè)論文
- 畢業(yè)設(shè)計---zigbee無線路由器的設(shè)計
- 路由器與網(wǎng)絡(luò)層安全的研究.pdf
- 片上網(wǎng)絡(luò)路由器設(shè)計與實現(xiàn).pdf
- 基于路由器的網(wǎng)絡(luò)技術(shù)
- 路由器網(wǎng)絡(luò)管理模塊的設(shè)計與實現(xiàn).pdf
- 基于路由器的網(wǎng)絡(luò)測量協(xié)議的研究與實現(xiàn).pdf
- 安全技術(shù)在路由器中的應(yīng)用和實現(xiàn).pdf
- 基于安全組播的邊緣路由器的設(shè)計與實現(xiàn).pdf
- 基于OpenWRT路由器的網(wǎng)絡(luò)存儲系統(tǒng)設(shè)計與實現(xiàn).pdf
- 多播片上網(wǎng)絡(luò)路由器的設(shè)計與實現(xiàn).pdf
- 片上網(wǎng)絡(luò)路由器ip核設(shè)計與實現(xiàn)
- 基于網(wǎng)絡(luò)處理器的雙棧路由器的設(shè)計與實現(xiàn).pdf
- 基于IPSec的路由器IP層安全協(xié)議實現(xiàn).pdf
評論
0/150
提交評論