防火墙在企业局域网中的架设及配置方法

四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法

防火墙在企业局域网中的架设及配置方法

专业：软件工程

学生：吴双 指导老师：乔少杰

摘 要

随着网络以及计算机技术日新月异的发展，在带给人们更加方便的信息交换，信息处理方式的同时，也产生了各种类型的网络安全问题。诸如病毒入侵，骇客攻击等等能导致企业蒙受巨大损失的安全攻击方式。

因为组网时要全面考虑到企业中网络的安全问题，我们应该思考如何在企业内部网络和公网之间保证内部网的安全，因为网络实际上就是计算机与计算机之间的信息共享。所以，我们可以在中间加入一个或者多个介质系统，然后编写这个系统的性质与功能，就能有效阻挡那些恶意信息进入，攻击。而且能够提供数据可支持性、整体性以及保密性等方面监察和控制，这些介质系统就是防火墙。

防火墙的重要性不言而喻，它是企业内部网与外网之间的第一道也是最重要的屏障，因此如何配置并管理好一个防火墙成了一个对于企业来说至关重要的问题。到底哪一种配置方式更加适合企业，这是因人而异的。需要采取什么策略，都需要由网络管理员来分析。

在本文中主要对防火墙有一个系统的介绍，以及阐述现在存在的大部分网

络安全问题，还有不同企业中对防火墙的配置以防止这些网络安全问题的发生。

关键词：防火墙 安全策略 网络安全 防火墙配置

I

四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法

The method of building a firewall in enterprise’s

Vlan

Major:Software engineering

Student:Wu Shuang Supervisor: Qiao Shaojie

Abstract

With the development of the technology of the internet,our people’s life are

getting better and better.But it also brings kinds of problems of the security of internet. Like virus intrusion and hacker’s attack. Which can lead Serious losses for a enterprise in many different ways.

To protect the enterprise, when having connection between outside and inside, there is a system by human write, to protect the inside from illegal visited and attack. It also can provide consoles on examination and so on. It is called firewall. It goes without saying that the important of the firewall to a enterprise. Like it says, it’s a wall between the inside and outside of the internet. So it’s a key problem to set and manage firewall for the enterprise. Which way is more valuable for you, what strategies can be take? The manager should think it carefully.

In this passage, the main content is about the firewall and the most of the problems of internet which are still there. And how to set the firewall to pre-seeing these problems.

Key words:Firewall Security Strategies Security of the Internet setting firewall

II

四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法

目 录

1 前 言............................................................. 1

1.1 选题背景 .................................................... 1 1.2 研究目的 .................................................... 1 1.3论文思路与结构 .............................................. 2 2防火墙概述 ........................................................ 2

2.1防火墙概念 .................................................. 2

2.1.1防火墙介绍 ............................................. 3 2.1.2智能防火墙 ............................................. 4 2.2防火墙的功能 ................................................ 4

2.2.1网络屏障 ............................................... 4 2.2.2防火墙可以强化网络安全策略 ............................. 4 2.2.3对网络存取和访问进行监控审计[7] ........................ 4 2.2.4防止内部信息的外泄 ..................................... 5 2.3防火墙分类[8] ............................................... 5

2.3.1包过滤防火墙[9] ........................................ 5 2.3.2应用代理防火墙 ......................................... 6 2.3.3复合型防火墙 ........................................... 6 2.3.4状态监测防火墙 ......................................... 6

3企业网络安全分析 .................................................. 7

3.1企业网络安全现状 ............................................ 7 3.2来自内部网络的攻击 .......................................... 7

3.2.1ARP攻击 ................................................ 7 3.2.2网络监听 ............................................... 8 3.2.3蠕虫病毒 ............................................... 8 3.3来自外部网络攻击分析 ........................................ 9

3.3.1Dos攻击 ................................................ 9 3.3.2SYNflood攻击 ........................................... 9 3.3.3Port Scan Attack(端口扫描攻击) ........................ 10 3.3.4ICMP Flood(UDP泛滥) ................................. 10 3.3.5端口扫描 .............................................. 10

4防火墙在企业中的应用配置 ......................................... 10

4.1配置防火墙时需注意的问题 ................................... 10

4.1.1防火墙应安全可靠 ...................................... 10 4.1.2防火墙应性能稳定 ...................................... 11 4.1.3防火墙配置与管理方便 .................................. 11 4.1.4防火墙要具有可升级与可扩展性 .......................... 11 4.1.5防火墙要有病毒防护功能 ................................ 11 4.2防火墙应用配置 ............................................. 11

4.2.1E-mail电子邮件服务 .................................... 11 4.2.2Telnet服务 ............................................ 11 4.2.3WWW服务 ............................................... 11

III

四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法

4.2.4FTP服务 ............................................... 12 4.3简单的防火墙配置命令 ....................................... 12

4.3.1激活 .................................................. 12 4.3.2命名端口 .............................................. 12 4.3.3配置地址 .............................................. 12 4.3.4配置远程 .............................................. 12 4.3.5访问列表 .............................................. 13 4.3.6地址转换 .............................................. 13 4.3.7DHCP .................................................. 13 4.3.8显示保存 .............................................. 14

5结论 ............................................................. 14 参考文献........................................................... 15 致 谢............................................................ 16

IV

四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法

1 前 言

1.1 选题背景

伴随着网络的遍布和迅速壮大，特别是Internet被普遍的运用，使得计算机的应用更为宽泛与深刻。与此同时，咱们还必须注意到，尽管网络的内容多，功能也强，但是它也有其软弱并且易受到攻击的地方。根据美国方面权威统计，因为网络安全问题，美国每一年承受的经济损失高达75亿美元，与此同时全球平均每20秒钟就会发生一起网络有关的计算机侵入事件[1]。我们国家也会因为网络安全问题诸如骇客的侵入，计算机网络病毒等等，蒙受相当大的经济方面的损失。虽然对于网络的使用给人们带来了巨变，可以说时代因为网络而改变，但是同时我们更加不能忽略网络可能会对人们的生活产生的危害。那么要怎么样建立起一个完善，有效，能切实的给人们带来便利的网络安全措施呢，这需要我们一起探讨，研究。

1.2 研究目的

防火墙技术的迅速兴起归根结底还是因为网络技术的全面快速发展，因为网络能够产生许多安全方面的问题，而防火墙也由此应运而生[2]。防火墙因为具有很强大的实效性和针对性，防火墙中预置的防御方案，或者由网络管理员自己配置的防御方案，不仅能够实时掌管企业中用户的数据管理，而且能帮助用户建立有效的保护机制。防火墙的设置是可以通过不同的企业需求来更改的，可以通过配置防火墙命令来实现控制主机和网络之间的信息交换，达到防止有心人的恶意袭击，发送木马，盗取企业隐秘，关键的信息等等。防火墙可以记录实时访问企业内部系统的其他系统，使企业在计算机避免安全威胁网络攻击和数据泄漏，当连接到互联网的时候。防火墙可以保护企业在需要用到互联网的时候被骇客攻击，还可以根据自己的需要创建防火墙规则，这样就能把企业到外网的所有信息交流限制住，任何信息交流都会通过防火墙的检测，来保障企业中各类信息的安全。

企业防火墙与个人防火墙不同在于，企业防火墙加强了局域网的管理和防护，如ARP攻击[3]。个人版的更多的是单机防护，其实功能更加类似于网关，只能起到很小的作用。

防火墙实际上是指搭建在不同网络(像是能够相信的完全没问题的内网和具有威胁与不安全的外网间的)或者是域之间的一系列功能的组合。它通过检查、局限经过防火墙的数据流的分析,最大限度的屏蔽网络内部的信息、结构和运行状态,防止被外部监察到，通过这种方法来实现对整个网络的安全的保证。普遍来说,防火墙不仅仅充当着分割器,限制器的角色,同时也是一个分析器,它监视

1

四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法

管理我们刚才提到的内网和外网之间全部的进程，活动。安全有效的防火墙需要具备下面的的特性:

1 从内网到外网和从外网到内网所有通信都必须通过防火墙

2 防火墙在配置了安全策略之后，所有信息交流，只会在这个规则保护下进行 3 防火墙本身是免疫的,不会被穿透的。

防火墙的基本功能：能够监控所有的数据在网络中的行为；当有请求访问来到时，要进行有效监测，询问，和管理；封杀一些不被网络规则允许的事务；只要是经过了防火墙的那些信息以及事务，都会被防火墙生成的日志文件记录下来；实时监测的网络攻击和攻击警报。

1.3论文思路与结构

在论文接下来部分中，会分别系统介绍防火墙，当前国内企业安全现状分析，以及防火墙在企业中的应用架设。

2防火墙概述

随着网络的发展，网络应用几乎已经渗透入家家户户，每个人都离不开网络，不管是通信网络或是电脑网络都好，企业也是一样。而相较于个人用户而言，企业用户的信息量更加庞大，敏感的数据也更多。这些数据的损坏或者丢失会带给企业不可弥补的损失，因此为了防止各种人为破坏与企业信息安全，防火墙的发展不可阻挡。在防火墙中，最核心也是最重要的技术就是包过滤技术还有应用代理技术。而包过滤实现和发展的时间较应用代理更早，因此被广泛应用到了各个领域之中。

2.1防火墙概念

作为一个保护屏障，防火墙指的是一个在inside（内部网/专网）和outside（外部网/公网）之间由硬件系统和软件系统组成的。其原理是在网络上建立一个安全网关和网络，以实现网络的保护不被非法用户的入侵的影响。防火墙会检测所有流经的数据还有网络通信的内容。

在网络中，所谓的“防火墙”，变成了一种隔离技术，是一种叫法，而非实际的硬件与软件的结合。用在连接网络信息交换时执行的一种访问标准，允许你同意的人进入内部网，而不允许的不能进来。能最大限度的限制骇客的侵入。

伴随着企业信息化进程的推动，各个企业需要运用到网络来运行的系统也更加的多了，信息系统变得越来越巨大和驳杂。企业网络的服务器机组组成了企业网络的服务系统，这其中主要包含了DNS服务、虚拟主机服务、Web服务、FTP服务、视频点播服务和Mail服务等等。企业网通过不同的线路分别接入了

2

四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法

不同的网络。随着这些企业的增多，企业对应用的需求增大，客户数量的增大，网络安全问题已经是迫在眉睫了。 2.1.1防火墙介绍

从防火墙诞生到如今这个时候，人们一共归纳总结了5个防火墙的发展归类。图一表示简单的发展史。

图一：防火墙发展史

第一代防火墙

防火墙和路由器的第一代可以说是在同一时期产生的，采取包过滤的技术。 第二、三代防火墙

1989年，贝尔实验室的戴夫Presotto和霍华德特里基发明二防火墙，电路级的防火墙，第三代防火墙的思路也被提及——应用层防火墙。 第四代防火墙

第四代防火墙的核心技术主要是透明代理技术，这样使得它的容错率大大提高，不管是在监测方面，还是在隔离方面，不仅包含了前三代防火墙几乎所有的有点，它的安全内核，多级过滤，正是这第四代防火墙的关键所在。 第五代防火墙

第五代防火墙实际上就是现在所说的智能防火墙的前身，它的核心技术实际上就是自适应代理技术。[4]

但是当今网络中的主要安全问题并不能被传统防火墙完全解决。当今网络中主要的三个安全问题是:首先是拒绝访问类型的网络攻击方式，然后是蠕虫类型的病毒传播，最后是代表内容控制方式的垃圾电子邮件。这三种类型的网络攻击在整个网络的攻击类型中占据了9成甚至以上。但在面对这三种类型的网络攻击时，传统防火墙都找不到地方下手。主要是下面三个原因: 第一个是防火墙硬件配置的问题。在计算机世界中，更快的计算能力意味着更强大的硬件配置，而更强大的硬件配置则意味着更加昂贵的价格，而对于防火墙这种关乎一个企业命脉的东西计算能力自然是越强大越好，不过，技术的限制成了一个问题，最重要的确实成本的问题。第二是一般的防火墙其核心技术的体现仅仅是对数据，信息的过滤，很难起到非常大的作用。仅仅作为一个简易的条件过滤器，条件通过，那么数据就能通过，反之则不能，如果攻击

3

四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法

者计算一个相对复杂的攻击方式，那么这种防火墙在安全防护方面就很难做到面面俱到了。第三是传统防火墙不能区别识别好的和坏的行为。这样会带来非常大的坏处，因为当防火墙不能判断一个行为的好坏时，它不会做出有效的响应的，无论是什么行为，只要通过了它的条件判断，那么就是一棍打死制。

但是随着技术的不断发展，各种电子，电器方面的产品更加的智能化。防火墙的智能化肯定也是在其中的。这样的话，防火墙一智能化，它就能对攻击进行判断，更好的保障企业的安全了。 2.1.2智能防火墙

智能防火墙是指只要没有程序的问题，已被公认为病毒防火墙程序，智能防火墙不要求用户，只有当不确定进程访问行动，才会请求用户帮助的防火墙。它不同于传统的防火墙，不能每个进程访问必须询问用户是否通过。有效克服了一般防火墙时常报警并且请求，不能帮助用户判断程序是否有问题，会给用户带来十分困扰的问题，这样它自己就会陷入死循环，导致十分严重的问题发生。[5]

2.2防火墙的功能

2.2.1网络屏障

当一个企业或者用户使用防火墙之后，因为防火墙具有阻塞，控制的作用，这样的话内网的安全能得到极大的保证，而且它能屏蔽那些未知的服务来达到减少安全危险的目的。防火墙只会任由通过了它检测的应用协议，因此网络的环境会被防火墙净化并不是空穴来风。例如，防火墙可以防止被称为不安全的NFS协议和网络功能可得到保证，从而有效地阻止外部攻击者使用该协议来攻击内部网络安全。保护网络不受路由之类的攻击不仅是防火墙一个重要功能之一。防火墙理论上可以保护网络不受以上全部类型攻击的报文再通知网络管理员。[6]

2.2.2防火墙可以强化网络安全策略

每台计算机都是自带网络安全策略的，不过只要有了防火墙的介入，并且提前设置好防火墙内部所拥有的网络安全策略之后，防火墙就能对这些安全策略进行统一的集中管理。这比安全策略们单独运行，一一实现要效率的多。比如当产生网络访问时，验证身份的系统就可以不必被分发到各个独立的主机上完成，而是集中在防火墙这一个系统上来。 2.2.3对网络存取和访问进行监控审计[7]

当所有的数据交流都被防火墙监控到的时候，防火墙就能够记录下这些数据交流并且放到生成的日志文件中去，而且这些日志文件中也能记录下网络交流的统计数据。防火墙的报警会在检测到有嫌疑的机器操作时启动，并且网络

4

四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法

是否遭受到其他监测以及攻击的更加详细的信息。此外，防火墙会采集网络的运用和误用情况来保障网络安全问题。首先是能够判断防火墙是否能够有效抵挡外来攻击，另一方面清晰了解防火墙的对网络的制约是不是达到了预期效果。 2.2.4防止内部信息的外泄

可以使用网络防火墙的有效分割，实现网络的分割的一个重要环节，它可以限制网络安全问题在全球网络问题非常有效的影响。而且，还有一个重要的问题，即隐私，一个内网中非常小的细节也有极大可能引起攻击者对这个网络的兴趣从而找到网络的漏洞来进行攻击。运用防火墙可以覆盖那些内部细节的泄露，就像finger，DNS和其他服务。与此同时在Finger上出现的信息轻易就能被攻击者得到。攻击者可以很容易的知道系统的频率，该系统是网络用户，系统能够攻击时有足够的反应时间等。防火墙同样能够阻断内网络中的域名服务信息，只要防火墙这样做了，主机的ip地址和域名就很难被攻击者获悉了。

2.3防火墙分类[8]

2.3.1包过滤防火墙[9]

在Linux中，包过滤的功能是对系统的直接影响核（在系统的核心模块，或是在系统直接建立），虽然是经常看到只能是由包头来决定，不过还是有一些能够用在数据包上的技巧。当收到一个包时，包过滤防火墙就会对这些包判定通过或者否决它来达到包过滤的目的。更加具体地说，包过滤是对每个数据包的头，按照它自己的一套规律来判断的，与规律配对成功的包由路由信息转发，不然就舍弃。根据数据报的源IP地址的包过滤，指定IP地址，协议类型，port（端口），指定端口和信息和数据包传输方向信息来决定是否允许数据包通过包头源。包过滤还包含和服务有关的过滤，就是针对特殊的服务，进程，进行包过滤，因为大部分的服务的监听都停留在指定TCP/UDP端口，所以，作为屏障进入特殊服务环节，防火墙需要包括所有特殊的TCP / UDP目的端口报文丢弃它。

这里我们会提到一个十分简单的包过滤类型的防火墙的运行情况： （1）包过滤硬件设备端口必要把包过滤规则存起来。

（2）会产生对报头的语法的分析，只要端口接收到了包头。当然大部分的包过滤设备只检查IP、TCP头里面的片段。

（3）包过滤规则存储在一个特殊的方式。在包上面使用的那些顺序和规律是必须要和它之前已经设置好的顺序和规律一致，否则是不会生效的。

（4）只要当其中的一条规则不能被通过，那么这个包就会被判定为无效包，是不会允许通过的。

5

四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法

（5）反之只要一条规则同意了包的通行，那么这个包才可以继续在防火墙中运行。

（6）如果这个包连其中一条规则都不能通过的话，那么这个包就可能通过防火墙的保护了，会直接被挡在门外。 2.3.2应用代理防火墙

实际上这种类型的防火墙就是在防火墙上面运行代理程序，就像字面意思一样，但是呢代理程序只能在职能是网关的计算机上面运行，其中有两个部分组成了应用代理防火墙的运行条件：一个部分与内网络创建衔接，另一个部分与用户衔接，相当于在用户和内部网之间多出一个中间人，受理他们之间的信息交换请求。只要有了代理服务，内网用户才能快捷有效的通过作为网关的计算器的限制利用万维网的服务，而且那些不安全的用户群就不能正常的使用了，连他们的请求都是不能通过的。不同的代理服务技术和包过滤技术，是在内部网络和外部网络之间没有直接的联系，同时提供日志和审计服务。代理技术在应用层实现防火墙功能，和包过滤技术不同，可以提供额外的安全防护。 2.3.3复合型防火墙

基于IP的智能识别技术的混合型防火墙，可以是一个完美的控制应用服务类别。而各类新兴技术的使用也使得这种防火墙的应用更加广泛，原理如图二。

IP TCP 开始攻击 建立连接状态表

检查整个报文内容 图二：复合型防火墙原理

2.3.4状态监测防火墙

这种防火墙算是囊括了包过滤防火墙的大部分容易实现的有点，在性能方面具有一定的优势，值得一提的是，在应用程序方面，可以说它是透明的，因此，它的安全性有较大提高。它不再是简单的包过滤技术只检查访问网络数据包，也关心数据包的状态。它会在防火墙核心设立起状态连接表，把进出网络的数据当做一些事件来处理。

6

四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法

3企业网络安全分析

3.1企业网络安全现状

现在企业中主要出现的网络问题大多以网速慢，开视频卡，无法进入公司内部网络完成工作的问题。而且一般的公司员工对此也没太多防范意识，当出现这些问题时就需要网络管理员注意了，哪怕事一个很小的问题，如网速变慢等，其最终结果也可能导致企业的巨大损失。

3.2来自内部网络的攻击

3.2.1ARP攻击

ARP协议包含在了TCP／IP协议里面，主要目的是为了解决IP地址和MAC地址的对应关系。

通过假冒的IP地址和MAC地址来欺骗ARP，这边是ARP攻击的原理，可以在当前局域网中生成非常多的APR通信量来达到网络阻塞的目的，而骇客只要利用这一点不断的向主机发送ARP响应包就能造成网络的中断。

ARP攻击主要存在于局域网络中，当局域网中的一台电脑感染了ARP木马之后，这台电脑就会试图截获所在网络其他计算机的通信量，这会对计算机造成非常大的危害，特别是针对已经在网络中部署好了的计算机会发生信息交流的问题。

攻击者会向主机A发送一个假冒的ARP响应，告诉主机A：主机B的IP地址192.168.0.2对应的MAC地址是00-aa-00-62-c6-03，主机A将会信以为真，它会将这个ip和mac地址的对应编入自己的ARP缓存表中，再发送数据时，本来会发送给主机B的数据就会发给攻击的人。同样的，攻击者向主机B也发送一个假冒的ARP响应，告诉主机B：主机A的IP地址192.168.0.1对应的MAC地址是00-aa-00-62-c6-03，主机B也会将数据发送给攻击者。

这样一来的话我们就需要对802.1x协议进行配置了，才能尽量减少可能存在的那些arp攻击。

IEEE 802.1x是在端口的访问控制协议的基础下设立的协议，对用户的认证和授权操作就是由它来完成的。攻击者需要进行身份认证的连接开关（与MAC VLAN，端口，帐号，密码），只有通过认证的网络数据传输。攻击者可以

7

四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法

不经过授权就能向网络发送假冒的ARP报文。如图三

IP=192.168.0.1MAC=00-aa-00-62-c6-01电脑AIP=192.168.0.2MAC=00-aa-00-62-c6-02电脑BIP=192.168.0.2MAC=00-aa-00-62-c6-03IP=192.168.0.1MAC=00-aa-00-62-c6-03攻击者IP=192.168.0.3MAC=00-aa-00-62-c6-03

图三:在802.1x保护下的APR攻击

3.2.2网络监听

网络监控是一种工具，主要目的是监视网络的状态，数据流和信息传递过程和网络传输的信息。它可以将网络端口设置为监听模式，以此来截取网络上所传输的信息。对于企业危险的是当骇客侵入之后，并且取得了超级用户权限，使用网络监听便能非常容易的获得用户的账号密码信息，导致非常大的损失。

3.2.3蠕虫病毒[10]

蠕虫病毒也是病毒，所以与其他电脑病毒具有一定的同性，通过感染系统重要文件来篡改文件代码，改变电脑系统、网络设置以此方式来造成损失。

蠕虫病毒入侵过程

一般情况下蠕虫病毒的攻击分为三步进行，分别是：

8

四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法

①扫描：在计算机上存在的漏洞会被蠕虫带有的扫描模组扫描到。只要预定程序向一个计算机发送检测漏洞的信息并且收到存在的反馈信息后，就相当于一个可传播的对象产生了。

②攻击：步骤一中的对象会被按照预定步骤被蠕虫病毒的攻击功能袭击，可以得到这个计算机的权限（一般情况下是管理员权限），获得一个shell。

③复制：简单来说就是当老主机和新主机有任何互动的行为，蠕虫病毒就会自动复制进入新主机达到传播的目的。

3.3来自外部网络攻击分析

3.3.1Dos攻击

DoS是Denial of Service的简称，是一个拒绝服务，它虽然看似简单，但实际上产生的危害很大，因为他会阻止计算机或着网络提供正常有效的服务。

最简单的Dos攻击非常容易实现，在Dos界面下，当两台电脑能够ping通的时候，不断的ping对方的ip地址，不断的发送数据包，这时对方电脑的网络就会阻塞从而导致其他数据包发送的信息无法送达。

Dos攻击非常实用的一点就是不需要收到来自受害计算机的回应，它只是单方面的发送很多无用的请求，因此很多的源ip地址都是伪造的，所以很多时候Dos攻击防不胜防，唯一有效的打击途径就是找出源ip对攻击者的身份和地址详查来打击Dos攻击。 3.3.2SYNflood攻击

如果发生了一次标准的TCP连接，那么会产生一个需要三次握手的方式。第一是要求方发送一个SYN消息，另一方收到SYN后，会向要求方发送一个回应示意确认，当要求方收到这个回应后，会又一次向服务方发送一个回应ack消息，那就表示这一次TCP连接建立成功。“SYNFlooding”则不同，是只当TCP协议栈在两台计算机之间第一次连接握手的过程进行DoS攻击，它只会在进攻时间的两个步骤：一是当服务回执要求SYN-ACK确认消息，请求方将使用源地址欺骗等方式使服务不接收响应ACK，这样的话服务方会在一段时间内都会在等候接收要求方ACK消息的状态。另一方面TCP连接对一台服务器的连接状态是有限的，因为它们在建立连接的时候没有太多的内存缓冲区，如果这一缓冲区全都是无效的连接的信息，这个服务器就不会对接下来的连接请求产生回应，直到缓冲区里的连接企图超时。当攻击者不断发送连接请求，服务器将使用TCP连接队列产生相当大的拥堵，可用资源的快速减少，网络可用带宽的迅速萎缩，所以，只有小部分的用户请求能够通过应答，因为带宽已经几乎被无效的请求占满了，服务器就不能向广大用户提供有效，安全的服务了。

9

四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法

3.3.3Port Scan Attack(端口扫描攻击)

在时间的源IP地址已经设置（默认值是5000微秒）到相同的目的地IP地址位于10个不同的端口密封包装，端口扫描攻击将产生。这个方式的目的是检索可用的服务，如果有一个端口响应，那么就能找出出作为目标的服务。在内部记录从一个源位置检索不同的端口号的防火墙。运用默认配置，当远端主机在极短时间（大约0.005秒）扫描了十个不同的port（端口）。防火墙把这个事件记录为port（端口）的扫描攻击，而且会否定这一秒剩下的时间内从这个原地址发来的其他封包。 3.3.4ICMP Flood(UDP泛滥)

ICMP也是TCP/IP协议簇中的一员，控制报文协议，它被用在在计算机和路由器中间传导用于控制路由的信息。控制信息代表类似于网络的通常度，主机能否达到，消息在网络中是否可用。类似这类消息就是我们所说的控制消息了，它不会对用户的数据产生影响，但对于用户传递数据来说是非常有用的。

这是一个ICMP洪水攻击，发送超过65535字节的包的目标，使目标主机瘫痪，如果大量发送成为洪水攻击 3.3.5端口扫描

当有人发送一组端口扫描信息的时候，那就要小心了，可能是某些人想要入侵你的网络了。端口扫描实际上是在探测端口的弱点，通过找出这些弱点来入侵计算机。

扫描器是一种程序，用于找到其他计算机或者本机的安全弱点，运行扫描器的话能够不留下痕迹的找到远端服务设备的各个TCP端口的分配方式和提供的服务和它们的软件版本，这样的话能有效帮助我们知道那些远程计算机存在有哪些需要重视的安全方面的问题。

4防火墙在企业中的应用配置

4.1配置防火墙时需注意的问题

4.1.1防火墙应安全可靠

首先防火墙本身需要具有强大的防攻击免疫力，这一点非常重要，自身非常难于攻破，否则一切都是空话。正如它本身的字面意思一样，它就是一面墙，一面在网络与网络之间，网络与用户之间的墙，保护从网络到网络，网络到用户的数据安全可靠，不被侵犯。因此，防火墙本身一定要具有这种强大的免疫力。

10

四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法

4.1.2防火墙应性能稳定

企业在选购防火墙的时候一定要注意购买信得过的大厂商，他们出产的产品不仅质量可靠，而且售后方面也很让人省心，如思科、华为等厂商的产品。 4.1.3防火墙配置与管理方便

防火墙的配置流程尽量简单，方便管理员配置，方便网络出错时查找出问题根源。而管理也尽量简化，免得给管理员增添多余负担。 4.1.4防火墙要具有可升级与可扩展性

因为防火墙本质上来讲也是硬件服务器，因此可升级与可扩展性就非常的重要了，随着企业的一步步壮大，需要防火墙做的处理也会越来越多，因此，留下足够的空间扩大，以适应未来变化的安全需求的快速发展，支持服务和新功能。

4.1.5防火墙要有病毒防护功能

防火墙应能防止网络病毒的传播，比等待更有效的其他攻击的到来，因为最好的防御就是攻击。

4.2防火墙应用配置

4.2.1E-mail电子邮件服务

电子邮件是一种广泛使用的服务，让我们利用互联网服务非常方便，但是给我们带来便利的同时，也不可避免地产生一些麻烦。其中往往是Sendmail程序和SMTP协议带来的问题。为了解决这个问题，防火墙中必须要安装有SMAP和SMAPD这两个协议程序来达到减少Sendmail的权利，通过控制一些SMTP的功能来减少命令，优化处理过程。 4.2.2Telnet服务

Telnet服务主要用于访问论坛站点和实行远程调用。而问题就在于访问时口令的验证基本上都是明文验证。这样的话就会产生监听的问题，因此在配置防火墙时需要配置内部的用户可以访问出站的Telnet服务，而入站的Telnet服务不能访问自己的站点，被严格的控制起来。 4.2.3WWW服务

WWW服务这种方便强大的图形交互页面访问服务已经被全世界认可，但是也存在着一定的安全隐患。第一个就是HTTP协议，它允许远程用户对远程服务器请求通信及远程执行命令，这样Web服务器和用户就处在了危险的地步。另一个问题就是服务器日志，在Web服务器上会对所有使用者的数据以及要求信息进行收录，如果HTTP不对这些要求设置一些限制，这样会带来一系列比较麻烦的问题。不过也不用担心，我们可以使用防火墙设置代理服务器和加密通信来解决了。

11

四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法

4.2.4FTP服务

FTP下载服务的安全性也是非常重要的一环，很大程度上，FTP的安全性依靠于身份认证是否强大上。首先，匿名的用户不应该具有任何特殊的权限，否则会导致不可估计的错误，并且要保证FTP的根目录访问权限被设置为了555（read notwrite execute），把文件持有者的设置设置为ROOT来保证权限。

4.3简单的防火墙配置命令

4.3.1激活

我们使用enable命令来启用这个以太端口，输入configure来进入这个模式 enable Password: #config t

(config)#interface ethernet0 auto (config)#interface ethernet1 auto

大多数情况下“以太”0代表的是外部的网卡outside, “以太”1代表的是内部的网卡inside,

Inside是在配置出厂设置时就会被配置成功并且产生作用的，不过outside需要用代码的方式设置启动。 4.3.2命名端口

外部端口outside拥有的顶级安全级别即Security0

security100表示inside的安全级别,当其中仍存在其他以太端口，那么就用security10，security20等等来为它取名，多个网卡组成多个网络，如果你需要添加一个以太网端口，然后把它作为一个DMZ（非军事区的非军事区）。 4.3.3配置地址

采用命令为：ip address 4.3.4配置远程

在大多数情况之下，telnet是不能在PIX的端口上面成功运行的，就这个方面来说它和路由器是不同的。内部端口可以远程登录可以使用外部端口，但也有一些安全相关的配置。

(config)#telnet 192.168.1.1 255.255.255.0 inside (config)#telnet 222.20.16.1 255.255.255.0 outside 测试telnet 在开始->运行 telnet 192.168.1.1

12

四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法

PIX passwd:

输入密码：cisco 4.3.5访问列表

这个功用与思科iOS基本相似，这是防火墙的主要组成部分，许可和拒绝两功能，其中的协议包含IP，TCP，UDP，ICMP这些，就像：只有:222.20.16.254的www是能够被访问的,端口号是：八十 4.3.6地址转换

NAT跟路由器基本是一样的，

防火墙的操作呢就是首先要自己创立一个库，全部存放ip地址，然后通过这个库中的地址来进行地址的转换，实际上也是内部的一个转换。 (config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0

(config)#nat (inside) 1 192.168.0.0 255.255.255.0 如果所有的内部地址可以转换了：

(config)#nat (inside) 1 0.0.0.0 0.0.0.0

但是在一些情况中，一些计算机必须要在外部地址十分稀少的时候利用一个独立的IP地址，这样的话亟待讨论的是某外部IP(222.20.16.201),那么就要设置好一条命令，我们叫它（PAT），这样处理的话用户们就能更加有效的共用一个IP地址了,类似于代理服务器的部分功能。配置如下：

(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0

(config)#global (outside) 1 222.20.16.201 netmask255.255.255.0 (config)#nat (inside) 1 0.0.0.0 0.0.0.0 4.3.7DHCP

因为要更加有效的利用以及方便的管理在数量上不多的IP地址，我们在内网中都会使用动态主机分配IP地址服务器（DHCP Server），思科防火墙PIX都能使用这能力，以下的就是一个容易设立的DHCP 服务器,地址段为192.168.1.100—192.168.1.200

域名解析: 主要地址202.96.128.68 后备地址202.96.144.47 主域名称：

DHCP 客户 通过PIX 防火墙 PIX525(config)#ip address dhcp DHCP Server配置

PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200

13

四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法

inside

PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47 PIX525(config)#dhcp domain 4.3.8显示保存

显示命令show config 保存命令write memory

5结论

通过本文对防火墙的大致介绍与细致讲解，分析了防火墙在企业中起到了何种关键的作用。可以说，企业大部分的网络安全，都取决于防火墙的优劣，而防火墙的配置又要根据企业自己的实际情况由网络管理员来做出细致调整，以适应企业的业务和信息保护。

而随着网络技术不断地更新换代，防火墙技术也需要不断地提高以适应这个时代节奏的发展，新技术的开发，老技术的更替，总之，在防火墙的应用上，我们更应该一步一步的向上攀爬，给企业的网络营造一个更加可靠，更加安全的环境。

14

四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法

参考文献

[1]王艳.浅析计算机安全[J].电脑知识与技术.2010(s):1054-1055. [2]艾军.防火墙体系结构及功能分析[J].电脑知识与技术.2004(s):79-82. [3]李军锋.基于计算机网络安全防ARP攻击的研究[J].武汉工业学院学报.2009(s):15-20

[4]郑林.防火墙原理入门[Z].E企业.2000. [5]百度百科

http://baike.http://www.wodefanwen.com//link?url=YZYQiyT7OQf5k75lfNCwwdEUlepLfs-VrYbyaUfhz679Tyq-IYp99Lc4CUN2GdWvHmY4GNvXw-wsStpJWWzM_K

[6]百度文库http://wenku.http://www.wodefanwen.com//link?url=cKTDNMkntIzbaPP0vloFD-klaJWmF7Zpu3eXhZekusQosgO7Fe-eXR5d0bqK4ZHOQGzfd3acKvSyc7slTG9cW1VcBfAV6nDcUeBSyjx-erG

[7] 李剑，刘美华，曹元大.分布式防火墙系统.安全与环境学报[N].2002，2(l):59-61

[8] 王卫平，陈文惠，朱卫未.防火墙技术分析.信息安全与通信保密[J].2006，(8):24-27

[9] A.Feldman, S.Muthukrishnan. Tradeoffs for Packet ClassifiCation. Proc.Of the 9th

Annual Joint Conference of the IEEE Computer and Communieations Soeieties.2000,vo1.3, 1193-1202. [10]百度百科

http://baike.http://www.wodefanwen.com//link?url=UWPgRd__MbVbR0jnbwUTFlI692Ejl4YpFrttrojTm1fn5HUCdS6upnfONqDRkKjU5rznL07E0xR0y6N6YJ509q

15

四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法

致 谢

本文得到了来自指导老师乔少杰老师和小组内给位同学们的共同帮助，正是因为有你们的帮助，我才能如此顺利的完成这篇论文。在这里尤其感谢我的指导老师乔少杰老师，不管是从题目的选取与确定，还是写作中途遇到的各种问题，以及写作末期在文章各种问题上的指导与帮助，可以说这篇文章没有您的帮助很难完成。感谢您的悉心指导！

16

本文来源：https://www.bwwdw.com/article/go4a.html