远大实业内部防火墙规划与实现

自 考 毕 业 论 文

题 目： 远大实业内部防火墙规划与实现

专 业 计 算 机 网 络 技 术 学生姓名 xxx 准考证号 011808102030 指导教师 xxxxx 职称 xxxxxxx 日 期 2011-1-12

目录

摘 要 ........................................................................................................................................................................................ 1 关键词 ........................................................................................................................................................................................ 1 一、前言 .................................................................................................................................................................................... 1 二、远大实业简介 ..................................................................................................................................................................... 2 三、网络安全需求分析 ............................................................................................................................................................. 3

1、常见的网络弱点 ......................................................................................................................................................... 3 2、常见攻击方法 ............................................................................................................................................................. 4 3、常见的攻击分类 ......................................................................................................................................................... 5 四、远大实业网络当前存在的安全隐患 ................................................................................................................................. 7

1、企业网络安全隐患 ..................................................................................................................................................... 7 2、企业网络安全现状 ..................................................................................................................................................... 7 3、企业防火墙隐患 ......................................................................................................................................................... 8 五、企业网络安全对策 ............................................................................................................................................................. 9

1、防火墙实施方案 ....................................................................................................................................................... 10 2、IDS实施方案 ............................................................................................................................................................ 12 3、虚拟专用网（VPN）实施方案 ................................................................................................................................ 12 4、信息审计实施方案 ................................................................................................................................................... 13 六、防火墙实现 ....................................................................................................................................................................... 14

1、“防火墙”的设计与实现 ............................................................................................................................................ 14 2、防火墙配置 ............................................................................................................................................................... 16 结论 .......................................................................................................................................................................................... 20 致谢 .......................................................................................................................................................................................... 20 参考文献 .................................................................................................................................................................................. 20

远大实业内部防火墙规划与实现

西南大学 计算机网络技术 王树军

指导教师 龙崇冰

摘 要：网络面临的安全威胁是一个全球性的问题。互联网为企业提供了一个与其他媒体平等使用信息资源和自我展示的平台，但接入互联网又使企业网有可能受到网上威胁的破坏。目前企业网络中常见的安全威胁有：外部威胁、内部威胁、传输泄密等。防火墙是隔离在本地网络与外界网络之间的一道防御系统，它为维护企业的网络安全提供的保障。因此，本文针对远大实业的具体情况，对其防火墙进行了设计规划，这一方案较之以前所用的防火墙更为可行，保护性能更为可靠。

关键词：网络安全 防火墙 代理 过滤

一、前言

随着互联网应用深入生活、学习、工作的方方面面，传统企业面临着来自新媒体的强大挑战，企业的广告收入快速下滑，受大众注意力转向互联网。企业信息化是扭转这一被动局面的关键，企业可以通过内部资源整合、融入互联网平台和提供增值服务来实现数字化转型，从而应对新媒体的冲击，而要达到这一目标的前提是企业自身拥有一套安全、高效的网络系统。

在全球化的大趋势下,互联网为企业提供了一个与其他媒体平等使用信息资源和自我展示的平台。但互联网是开放的,再小的企业网站也有可能受到网上威胁的破坏。此外,企业的网络安全建设起步晚,专业人员数量也不如新兴电子媒体。所以,实施和维护网络安全比较困难,但这又是一项必须要做的工作。

随着网络技术的迅速发展,Internet的各种业务的不断涌现,运用网络技术改进自己的工作环境,进而提高自己在行业内竞争力的趋势已不可阻挡。近年来气象现代化建设突飞猛进,网络办公已形成规模。但网络给人们带来巨大便利的同时,也带来了许多的挑战,网络安全问题是单位信息化健康发展所必须考虑和解决的重要问题,不容忽视。根据组网的具体情况,反病毒解决方案应从以下三个方面着手解决:

① 从计算机网络安全角度,把内部网络与外部网络之间进行彻底的物理分隔。也就是把业务专用网络和Internet网络进行物理分离；

第 1 页 （共21 页）

② 内部网络与外部网络之间应该部署防火墙,建立Internet入口的防病毒系统； ③ 建立内部入侵检测机制。建立内部网络各业务服务器的防病毒系统,各种操作系统的桌面防病毒软件,来抵御病毒的入侵。

二、远大实业简介

四川远大实业有限公司总部座落于成都市青羊工业总部基地，注册资本一亿元人民币，公司目前主营业务为冶金炉料的生产销售和锰矿等矿石贸易。10多年来，远大实业集团依托川东的优势资源进行自主创新、技术改造和资本运营，发展成了跨行业、跨地区的现代企业集团，目前已拥有广西珀琳矿业有限公司、四川远大铁合金有限公司、宣汉达泰合金有限公司、四川远大聚华贸易有限公司、四川远大聚华房地产有限公司、宣汉郡琳大酒店等六家全资控股的实业子公司，年产值在20亿元以上；2006、2007、2008年连续三年被达州市、宣汉党委、政府授予“纳税大户”。

经过多年的悉心打造和经营，公司前身依托川东的资源优势，凭籍一流的业务拓展能力和可靠的产品质量保证体系，公司成为了西南地区较为有影响力的锰资源深加工产品制造企业。随着国家对落后、高能耗行业的调控力度持续深入，公司不断强化技术创新，推进产业升级换代，稳步发展锰资源深加工产品业务，通过纵向一体化、横向一体化、区域布局与扩张、收购兼并等多种方式实现产业链的上中下游协同发展，进而逐步实现全价值链经营。实现矿石的综合开发利用和工业废物的循环使用，成为国内同行业最先进的专业锰资源深加工产品的生产制造企业。

商务酒店，郡琳大酒店是按照四星级标准兴建的一家主题文化酒店。位于巴人文化遗址，离达州市区仅30分钟车程。酒店以巴人文化为主题，我们不仅仅是做的酒店，而是推广和展示巴人文化的窗口。

房产开发，房地产公司，秉承专业解决房地产问题，为客户创造价值的理念，力求环境幽雅、布局合理，实现人与自然、天与地融合的宜居境地。

志存高远、锐意进取。公司将以诚信为基础，秉承稳固于发展，求实于创新的精神。以“市场”为向导，以“产品”为根本，以“客户”为上帝的经营理念。坚守“做事先做人，发展求永久”的经营理念，并与客户实现双赢为企业愿景，不断追求企业的管理卓越、经营卓越和产品卓越，形成企业的核心竞争力。

随着公司业务和市场进一步拓展，信息建设步伐也日益加快，早在2003年，公司

第 2 页 (共 21 页)

安全性得到了很好的保证，充分利用现有网络资源，提高业务量。典型的安全产品就是VPN。各大厂商都推出了完善的企业级VPN实施方案，以思科为例：

Cisco推出的企业级虚拟专用网（EVPN）全面解决方案，在可扩展的平台、安全性、服务、应用和管理五大VPN实施要素方面具有基于标准的开放式体系结构、可扩充的和端到端的网络互联能力。Cisco提供了一系列的VPN安全功能来实现安全保障。基于硬件的集成式IP sec加密，不仅可以实现高速加密，还提高了WAN的可用带宽。PIX防火墙、Net Ranger入侵检测系统和Net Sonar安全扫描程序三者配合，保证企业VPN的可靠性和安全性。而这些功能都是被集成进Cisco IOS 软件中的，用户可以通过简单的软件升级，透明地保护网络安全。

目前，所有的Cisco路由器平台都可以方便地实现VPN，经过优化的Cisco路由器集成了VPN功能、高速加密、安全、带宽管理和与WAN连接的能力，降低了VPN的复杂度和成本。该产品系列包括用于企业和地区办公环境的Cisco7500、7200VXR和7200高端路由器，以及用于小型地区、分支机构及远程个人的Cisco3600、2600、1720和800路由器。所有的Cisco VPN 路由器都完全可以互操作。

4、信息审计实施方案

随着现在网络设置越来越复杂，管理网络的多台安全设备就比较麻烦，需要用一个平台把所有的防火墙、IDS、防病毒、VPN等安全设备集中起来进行管理，网络审计系统孕育而生了。取证系统对网络或系统中发生的攻击过程及攻击行为进行记录和分析，并确保记录信息的真实与完整性（以满足电子证据的要求），据此找出入侵者或入侵的机器，并解释入侵的过程，从而确定责任人，并在必要时，采取法律手段维护自己的利益。

数据备份实施方案主要涉及两个方面，一个是基于对重要数据的备份另一个方面是对重要的服务器的系统恢复。理想的备份系统，是软件备份和手工方式相结合的。如果系统出错、已备份的数据用软件方法来恢复；尚未备份的数据，用手工方式恢复。采用这种结合方式，不仅能有效地防止逻辑错误，还能有效地节省备份和恢复的时间。网络备份不仅仅是网络上计算机的文件备份，它包括文件备份和恢复、数据库备份和恢复、系统灾难恢复、备份任务管理等。

第 13 页 （共21 页）

六、防火墙实现

1、“防火墙”的设计与实现

综合上述，各种“防火墙”技术各有优劣，只有将它们有机地结合起来，并根据自身网络的结构和特点制定出相关的安全政策，才能达到高效地保护自身网络的目的。以下为各种过滤技术，其实现过程为：

（1）静态包过滤和动态包过滤

静态包过滤类型的防火墙根据预先定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括1P源地址、IP目标地址、传输协议(TcP、uDP、lcMP等等)、TCP／UDP目标端口、IcMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许某些数据包的通过，而禁止其他的一切数据包。防火墙也可以采用动态设置包过滤规则的方法，即动态包过滤。这种技术后来发展成为所谓包状态监测(state“ Inspection)技术。采用这种技术的防火墙对通过它所建立的每一个连接都进行跟踪，并且根据需要动态地增加或更新过滤规则的条目，见图4。

图4 动态包过滤防火墙

（2）过滤规则制定

包过滤规则的制订大体有两种模式：1)基于关闭的，即缺省情况下阻断所有内外互访，个别开放单项服务；2)基于开放式的，即缺省情况下开放所有内外互访，个别关闭单项服务。过滤是双向的，路由器对于不同流向的数据包，按不同的规则进行匹配过滤，以决定是“拒绝”或“允许”。因此，总体过滤规则是两个方向的过滤规则的有机结合。

a、与服务相关的过滤

根据特定的服务，如Ftp、Http、，I'elnet等等允许或拒绝流动的数据包。多数的服务

第 14 页 (共 21 页)

都有已知的TcP／uDP端口号，例如，Telnet服务的是TcP的23号端口，sMTP服务的是TCP的25号端口。为了阻塞所有进入的Telnet连接，防火墙只需简单的丢弃所有TcP端口号等于23的数据包。为了将Telnet连接限制到内部的数台机器上，必须拒绝所有TcP端口号等于23并且目标IP地址非法的数据包。 一些典型的过滤规则包括：

○1允许进入的Telnet会话与指定的内部主机连接； ○2允许进入的FTP会话与指定的内部主机连接； ○3允许所有外出的Tehet会话； ○4允许所有外出的F11P会话；

○5拒绝所有来自特定的外部主机的数据包。 b、与服务无关的过滤

有几种类型的攻击很难使用基本的包头信息来识别，因为这几种攻击是与服务无关的。因此过滤规则需要附加的信息。这些信息是通过审查特定的IP选项、检查特定段的内容等等才能的到。下面列举几种典型攻击类型并制订相应的包过滤规则：

1源IP地址欺骗攻击(S0urce IP Address spo曲ngAttacks)。攻击特点是入侵者从外部○

传输～个假装是来自内部主机的数据包，即数据包中所包含的源IP地址为内部网络上的IP地址。这种攻击对只使用源地址安全功能的系统很奏效。在那样的系统中，来自内部的信任主机的数据包被接受，而来自其它主机的数据包全部被丢弃。包过滤规则是，丢弃所有来自外部而源地址又是内部的数据包。

2源路由攻击(source R0wing Attacks)。其特点是源站点指定了数据包在htemet中所○

走的路线。其目的是为了旁路安全措施并使数据包到达的路径不可预料。包过滤规则是，丢弃所有包含源路由选项的数据包。

3极小数据段式攻击(Tiny FrBgment Attacks)。○攻击特点是入侵者使用了IP分段的特

性，创建极小的分段并强行将TCP头信息分成多个数据包段。目的是为了绕过用户定义的过滤规则。入侵者寄希望予包过滤器只检查第一个分段而放过其余的分段。对于这种类型攻击包过滤规则是，丢弃协议类型为TCP，IP Fr89mento豳et等于1的数据包。

c、基于网络IP和MAc地址绑定的包过滤

在网络管理中IP地址盗用现象时有发生，这不仅影响网络的正常使用，而且当被盗用的地址具有较高的权限时，可能会造成大量的经济损失，以及带来其他的安全隐患。把网络接口的IP和MAc地址绑定起来，可以很好地解决这一问题。因为每块网卡具有唯一的一个标识号码，就是网卡的MAC地址，而每个MAc地址也仅供唯一的一块网卡使

第 15 页 （共21 页）

用。所以，通过IP／MAc的绑定，在防火墙内部建立起IP地址同MAc地址一一对应的关系之后，即使有人盗用IP地址发送数据包，那些数据包也会因IP／MAc地址不匹配而被过滤掉，从而使入侵企图遭到挫败。

（3）一种新的过滤机制——流过滤

新的包过滤机制层出不穷，这里我们探讨一个国产防火墙——NetEye防火墙3．1的基于状态包过滤的流过滤体系结构。“流过滤”是在链路层或IP层，以状态包过滤的形式，通过内嵌的专门用的TcP协议栈，实现透明的应用信息过滤的机制，其体系结构如图3所示。具体来说，就是客户端在规则允许时直接访问服务器，每个这样的访问在防火墙内部产生两个完全独立的TCP会话，数据以“流”的方式从一个会话流向另一个会话，“流”的中间实施应用层策略，防火墙可以在任何时候代替服务器或客户端参与应用层的会话，从而能控制应用层，产生代理防火墙的功效。采用流过滤机制，我们可以进行应用级插件的开发、升级，以便及时地对付各种新的攻击方式，动态地保护网络安全。

图5 基于状态包过滤的流过滤的体系结构

网络安全本身是动态的，变化快，新的攻击方式不断产生。安全策略必须能够根据新的攻击方式及时得到相应的调整。基于状态包过滤的流过滤体系结构，具备这种动态保护网络安全的特性。例如，新的Nimda病毒使很多企业网络陷入瘫痪，而如果采用NetEye防火墙，利用其流过滤体系结构的保护，就能够及时增加相关内容的过滤规则，有效地保护网络免遭该病毒的袭击。NetEye防火墙的安全响应小组时刻跟踪新的攻击方式，并在第一时间发布解决方案，使NetEye防火墙能够有效的抵御各种新的攻击，动态地保护网络安全。

2、防火墙的具体配置

企业选用CISCO PIX-515E-UR-BUN。PIX 515E-UR Bundle (Chas, Unrestricted SW,

第 16 页 (共 21 页)

128MB, 2 FE,VAC+)非常适合有多种网络需求的中小企业使用的防火墙，性能稳定可靠，功能强劲。具体配置如下：

Welcome to the PIX firewall

Type help or '?' for a list of available commands. PIX525> en Password: PIX525#sh config Saved

PIX Version 6.0(1)

PIX当前的操作系统版本为6.0 Nameif ethernet0 outside security0 Nameif ethernet1 inside security100 显示目前pix只有2个接口

Enable password 7Y051HhCcoiRTSQZ encrypted Passed 7Y051HhCcoiRTSQZ encrypted

pix防火墙密码在默认状态下已被加密，在配置文件中不会以明文显示，telnet 密码缺省为cisco

Hostname PIX525 主机名称为PIX525 Domain-name 123.com

本地的一个域名服务器123.com，通常用做外部访问 Fixup protocol ftp 21 Fixup protocol http 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol sip 5060

当前启用的一些服务或协议，注意rsh服务是不能改变端口号。 names

解析本地主机名到ip地址，在配置中可以用名字代替ip地址，当前没有设置，所

第 17 页 （共21 页）

本文来源：https://www.bwwdw.com/article/us6v.html