标准的网络安全设计方案.docx

《标准的网络安全设计方案.docx》由会员分享，可在线阅读，更多相关《标准的网络安全设计方案.docx（45页珍藏版）》请在三一办公上搜索。

1、网络安全方案某校园网方案2网络防火墙设计中的问题16如何构建网络整体安全方案22四台Cisco防火墙实现VPN网络27企业级防火墙选购热点30增强路由器安全的十个技巧32启明星辰银行安全防御方案33神码基金公司信息安全解决方案34安天校园网解决方案37网络入侵检测解决方案38企业需要什么样的IDS 测试IDS的几个性能指标40东软安全助力武汉信用风险管理信息系统43某校园网方案1.1设计原则1. 充分满足现在以及未来3-5年内的网络需求，既要保证校园网能很好的为学校服务，又要保护学校的投资。2. 强大的安全管理措施，四分建设、六分管理，管理维护的好坏是校园网正常运行的关键3. 在满足学校的需求

2、的前提下，建出自己的特色1.2网络建设需求网络的稳定性要求l 整个网络需要具有高度的稳定性，能够满足不同用户对网络访问的不同要求网络高性能需求l 整个网络系统需要具有很高的性能，能够满足各种流媒体的无障碍传输，保证校园网各种应用的畅通无阻l 认证计费效率高，对用户的认证和计费不会对网络性能造成瓶颈网络安全需求l 防止IP地址冲突l 非法站点访问过滤l 非法言论的准确追踪l 恶意攻击的实时处理l 记录访问日志提供完整审计网络管理需求l 需要方便的进行用户管理，包括开户、销户、资料修改和查询l 需要能够对网络设备进行集中的统一管理l 需要对网络故障进行快速高效的处理第二章、某校园网方案设计2.1校

3、园网现网拓扑图 整个网络采用二级的网络架构：核心、接入。核心采用一台RGS4909，负责整个校园网的数据转发，同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口采用RG-WALL1200防火墙。原有网络设备功能较少，无法进行安全防护，已经不能满足应用的需求。 2.2校园网设备更新方案方案一：不更换核心设备核心仍然采用锐捷网络S4909交换机，在中校区增加一台SAM服务器，部署SAM系统，同时东校区和西校区各用3台S2126G替换原有S1926F+,其中汇聚交换机各采用一台新增的S2126G，剩余的两台S2126G用于加强对关键机器的保护，中校区的网络结构也做相应的调整，采用现有的

4、两台S2126G做为汇聚设备，其它交换机分别接入这两台交换机，从而实现所有汇聚层交换机都能进行安全控制，重点区域在接入层进行安全控制的网络布局。方案二：更换核心设备 核心采用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RG-S8606，负责整个校园网的数据转发。在中校区增加一台SAM服务器，部署SAM系统，同时东校区和西校区各用3台S2126G替换原有S1926F+。将原有的S4909放到东校区做为汇聚设备，下接三台S2126G实现安全控制，其它二层交换机分别接入相应的S2126G。西校区汇聚采用一台S2126G，剩余两台S2126G用于保护重点机器，其它交换机接入对应的S212

5、6G。中校区的网络结构也做相应的调整，采用现有的两台S2126G做为汇聚设备，其它交换机分别接入这两台交换机，从而实现所有汇聚层交换机都能进行安全控制，重点区域在接入层进行安全控制的网络布局。2.3骨干网络设计骨干网络由RG-S8606构成，核心交换机RG-S8606主要具有5特性：1、骨干网带宽设计：千兆骨干，可平滑升级到万兆整个骨干网采用千兆双规线路的设计，二条线路通过VRRP冗余路由协议和OSPF动态路由协议实现负载分担和冗余备份，以后，随着网络流量的增加，可以将链路升级到万兆。2、骨干设备的安全设计：CSS安全体系架构 3、CSS之硬件CPPCPP即CPU Protect Policy

6、，RG-S8606采用硬件来实现，CPP提供管理模块和线卡CPU的保护功能，对发往CPU的数据流进行带宽限制（总带宽、QOS队列带宽、类型报文带宽），这样，对于ARP攻击的数据流、针对CPU的网络攻击和病毒数据流，RG-S8606分配给其的带宽非常的有限，不会影响其正常工作。由于锐捷10万兆产品RG-S8606采用硬件的方式实现，不影响整机的运行效率4、CSS之SPOH技术现在的网络需要更安全、需要为不同的业务提供不同的处理优先级，这样，大量的ACL和QOS需要部署，需要核心交换机来处理，而这些应用属于对交换机硬件资源消耗非常大的，核心交换机RG-S8606通过在交换机的每一个用户端口上增加一

7、个FFP(快速过滤处理器)，专门用来处理ACL和QOS，相当于把交换机的每一个端口都变成了一台独立的交换机，可以保证在非常复杂的网络环境中核心交换机的高性能。2.4网络安全设计2.4.1某校园网网络安全需求分析1、网络病毒的防范病毒产生的原因：某校园网很重要的一个特征就是用户数比较多，会有很多的PC机缺乏有效的病毒防范手段，这样，当用户在频繁的访问INTERNET的时候，通过局域网共享文件的时候，通过U盘，光盘拷贝文件的时候，系统都会感染上病毒，当某个学生感染上病毒后，他会向校园网的每一个角落发送，发送给其他用户，发送给服务器。病毒对校园网的影响：校园网万兆、千兆、百兆的网络带宽都被大量的病毒

8、数据包所消耗，用户正常的网络访问得不到响应，办公平台不能使用；资源库、VOD不能点播；INTERNET上不了，学生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。2、防止IP、MAC地址的盗用IP、MAC地址的盗用的原因：某校园网采用静态IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用户可以随意的更改IP地址，在网卡属性的高级选项中可以随意的更改MAC地址。如果用户有意无意的更改自己的IP、MAC地址，会引起多方冲突，如果与网关地址冲突，同一网段内的所有用户都不能使用网络；如果恶意用户发送虚假的IP、MAC的对应关系，用户的大量上网数据包都落入恶意用户的手中，造成ARP欺骗攻击。

9、IP、MAC地址的盗用对校园网的影响：在用户看来，校园网络是一个很不可靠是会给我带来很多麻烦的网络，因为大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源，而且，用户在正常工作和学习时候，自己的电脑上会经常弹出MAC地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏，用户会尽量减少网络的使用，这样，学生、老师对校园网以及网络中心的信心会逐渐减弱，投入几百万的校园网也就不能充分发挥其服务于教学的作用，造成很大程度上的资源浪费。3、安全事故发生时候，需要准确定位到用户安全事故发生时候，需要准确定位到用户原因： 国家的要求：2002年，朱镕基签署了282号令，要求各

10、大INTERNET运营机构（包括高校）必须要保存60天的用户上网记录，以待相关部门审计。 校园网正常运行的需求：如果说不能准确的定位到用户，学生会在网络中肆无忌弹进行各种非法的活动，会使得校园网变成“黑客”娱乐的天堂，更严重的是，如果当某个学生在校外的某个站点发布了大量涉及政治的言论，这时候公安部门的网络信息安全监察科找到我们的时候，我们无法处理，学校或者说网络中心只有替学生背这个黑锅。4、安全事故发生时候，不能准确定位到用户的影响：一旦发生这种涉及到政治的安全事情发生后，很容易在社会上广泛传播，上级主管部门会对学校做出处理；同时也会大大降低学校在社会上的影响力，降低家长、学生对学校的满意度，

11、对以后学生的招生也是大有影响的。5、用户上网时间的控制无法控制学生上网时间的影响：如果缺乏有效的机制来限制用户的上网时间，学生可能会利用一切机会上网，会旷课。学生家长会对学校产生强烈的不满，会认为学校及其的不负责任，不是在教书育人。这对学校的声誉以及学校的长期发展是及其不利的。6、用户网络权限的控制在校园网中，不同用户的访问权限应该是不一样的，比如学生应该只能够访问资源服务器，上网，不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此，需要对用户网络权限进行严格的控制。7、各种网络攻击的有效屏蔽校园网中常见的网络攻击比如MAC FLOOD、SYN FLOOD、DOS攻击、扫描攻

12、击、ARP欺骗攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大量的广播报文，这些攻击的存在，会扰乱网络的正常运行，降低了校园网的效率。2.4.2某校园网网络安全方案设计思想2.4.2.1安全到边缘的设计思想用户在访问网络的过程中，首先要经过的就是交换机，如果我们能在用户试图进入网络的时候，也就是在接入层交换机上部署网络安全无疑是达到更好的效果。2.4.2.2全局安全的设计思想锐捷网络提倡的是从全局的角度来把控网络安全，安全不是某一个设备的事情，应该让网络中的所有设备都发挥其安全功能，互相协作，形成一个全民皆兵的网络，最终从全局的角度把控网络安全。2.

13、4.2.3全程安全的设计思想 用户的网络访问行为可以分为三个阶段，包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段，都应该有严格的安全控制措施。2.4.3某校园网网络安全方案锐捷网络结合SAM系统和交换机嵌入式安全防护机制设计的特点，从三个方面实现网络安全：事前的准确身份认证、事中的实时处理、事后的完整审计。2.4.3.1事前的身份认证对于每一个需要访问网络的用户，我们需要对其身份进行验证，身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间，通过以上信息的绑定，可以

14、达到如下的效果： 每一个用户的身份在整个校园网中是唯一，避免了个人信息被盗用. 当安全事故发生的时候，只要能够发现肇事者的一项信息比如IP地址，就可以准确定位到该用户，便于事情的处理。 只有经过网络中心授权的用户才能够访问校园网，防止非法用户的非法接入，这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。2.4.3.2网络攻击的防范 1、常见网络病毒的防范对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒，通过部署扩展的ACL，能够对这些病毒所使用的TCP、UDP的端口进行防范，一旦某个用户不小心感染上了这种类型的病毒，不会影响到网络中的其他用户，保证了校园网网络带宽的合理使

15、用。2、未知网络病毒的防范对于未知的网络病毒，通过在网络中部署基于数据流类型的带宽控制功能，为不同的网络应用分配不同的网络带宽，保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽，当新的病毒产生时，不会影响到主要网络应用的运行，从而保证了网络的高可用性。3、防止IP地址盗用和ARP攻击通过对每一个ARP报文进行深度的检测，即检测ARP报文中的源IP和源MAC是否和端口安全规则一致，如果不一致，视为更改了IP地址，所有的数据包都不能进入网络，这样可有效防止安全端口上的ARP欺骗，防止非法信息点冒充网络关键设备的IP（如服务器），造成网络通讯混乱。4、防止假冒IP、MAC发起的MAC

16、 FloodSYN Flood攻击通过部署IP、MAC、端口绑定和IP+MAC绑定（只需简单的一个命令就可以实现）。并实现端口反查功能，追查源IP、MAC访问，追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击，进一步增强网络的安全性。5、非法组播源的屏蔽锐捷产品均支持IMGP源端口检查，实现全网杜绝非法组播源，指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时，从任何端口进入的视频流均是合法的，交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时，只有从路由连接口进入的视频流才是合法的，交换机把它们转发向已注册的端口；而从非路由连接口进入的视频流被视为是非法

17、的，将被丢弃。锐捷产品支持IGMP源端口检查，有效控制非法组播，实现全网杜绝非法组播源，更好地提高了网络的安全性和全网的性能，同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势，而且也是网络带宽合理的分配所必须的。同时IGMP源端口检查，具有效率更高、配置更简单、更加实用的特点，更加适用于校园运营网络大规模的应用环境。6、对DOS攻击，扫描攻击的屏蔽通过在校园网中部署防止DOS攻击，扫描攻击，能够有效的避免这二种攻击行为，节省了网络带宽，避免了网络设备、服务器遭受到此类攻击时导致的网络中断。2.4.3.3事后的完整审计当用户访问完网络后，会保存有完备的用户上网

18、日志纪录，包括某个用户名，使用那个IP地址，MAC地址是多少，通过那一台交换机的哪一个端口，什么时候开始访问网络，什么时候结束，产生了多少流量。如果安全事故发生，可以通过查询该日志，来唯一的确定该用户的身份，便于了事情的处理。2.5网络管理设计网络管理包括设备管理、用户管理、网络故障管理2.5.1网络用户管理网络用户管理见网络运营设计开户部分2.5.2网络设备管理网络设备的管理通过STARVIEW实现，主要提供以下功能，这些功能也是我们常见的解决问题的思路：1、网络现状及故障的自动发现和了解STARVIEW能自动发现网络拓扑结构，让网络管理员对整个校园网了如指掌，对于用户私自挂接的HUB、交换

19、机等设备能及时地发现，提前消除各种安全隐患。对于网络中的异常故障，比如某台交换机的CPU利用率过高，某条链路上的流量负载过大，STARVIEW都可以以不同的颜色进行显示，方便管理员及时地发现网络中的异常情况。 2、网络流量的查看STARVIEW在网络初步异常的情况下，能进一步的察看网络中的详细流量，从而为网络故障的定位提供了丰富的数据支持。3、网络故障的信息自动报告STARVIEW支持故障信息的自动告警，当网络设备出现故障时，会通过TRAP的方式进行告警，网络管理员的界面上能看到各种故障信息，这些信息同样为管理员的故障排除提供了丰富的信息。4、设备面板管理STARVIEW的设备面板管理能够很清

20、楚的看到校园中设备的面板，包括端口数量、状态等等，同时可以很方便的登陆到设备上，进行配置的修改，完善以及各种信息的察看。5、RGNOS操作系统的批量升级校园网很大的一个特点就是规模大，需要使用大量的接入层交换机，如果需要对这些交换机进行升级，一台一台的操作，会给管理员的工作带来很大的压力，STARVIEW提供的操作系统的批量升级功能，能够很方便的一次对所有的相同型号的交换机进行升级，加大的较少了网络管理员的工作量。2.5.3网络故障管理随着校园网用户数的增多，尤其是宿舍网运营的开始，用户网络故障的排除会成为校园网管理工作的重点和难点，传统的网络故障解决方式主要是这样一个流程：2.6流量管理系统

21、设计网络中的流量情况是网络是否正常的关键，网络中大量的P2P软件的使用，已经对各种网络业务的正常开展产生了非常严重的影响，有的学校甚至因为P2P软件的泛滥，直接导致了网络出口的瘫痪。2.6.1方案一：传统的流量管理方案传统的流量管理方案的做法很多就是简单的封堵这些P2P软件，从而达到控制流量的目的，这有三大弊端， 第一：这些软件之所以有如此强大的生命力，是因为用户通过使用这些软件的确能快速的获取各种有用的资源，如果简单的通过禁止的方式，用户的意见会非常的大，同时，各种有用的资源我们很难获取。 第二：各种新型的，对网络带宽消耗更大的应用软件也在不断的出现。所谓道高一尺，魔高一丈，一味的封堵这些软

22、件，我们永远处于被动的局面，显然不能从根本上解决这个问题。 第三：我们无法获取网络中的流量信息，无法为校园网的优化，网络管理，网络故障预防和排除提供数据支撑。2.6.2方案二：锐捷的流量管理与控制方案锐捷网络的流量管理主要通过RG-NTD+日志处理软件+RG-SAM系统来实现。NTD是锐捷流量管理解决方案的重要组成部分，我们希望能为用户提供一种流量控制和管理的方法而不单纯是流量计费，锐捷的流量管理方案有三大功能： 第一：为SAM系统对用户进行流量计费提供原始数据，这是我们已经实现了的功能。该功能能满足不同消费层次的用户对带宽的需求，经济条件好一点，可以多用点流量，提高了用户的满意度。而且，对于

23、以后新出现的功能更加强大的下载软件，都不必担心用户任意使用造成带宽拥塞。 第二：提供日志审计和带宽管理功能，通过NTD、SAM、日志系统的结合，能够做到基于用户身份对用户进行管理，做到将用户名、源IP、目的IP直接关联，通过目的IP，可以直接定位到用户名，安全事件处理起来非常的方便，同时还能提供P2P的限速，带宽管理等功能，这一部分的功能我们会在明年4月份提供。 第三：能够对网络中的各种流量了如指掌，可以对用户经常访问的资源进行分析对比，为应用系统的建设、服务器的升级改造提供数据支持；能够及时的发现网络中的病毒、恶意流量，从而进行有效的防范，结合认证计费系统SAM，能够捕捉到事件源头，并于做出

24、处理。总体来说，流量控制和管理和日志系统的整体解决方案对于校园网的长期健康可持续发展是很有帮助的。网络防火墙设计中的问题1 方案：硬件？还是软件？现在防火墙的功能越来越多越花哨，如此多的功能必然要求系统有一个高效的处理能力。防火墙从实现上可以分为软件防火墙和硬件防火墙。软件防火墙以checkpoint 公司的Firewall-I为代表，其实现是通过 dev_add_pack的办法加载过滤函数（Linux，其他操作系统没有作分析，估计类似），通过在操作系统底层做工作来实现防火墙的各种功能和优 化。国内也有一些所谓的软件防火墙，但据了解大多是所谓“个人”防火墙，而且功能及其有限，故不在此讨论范围。

25、在国内目前已通过公安部检验的防火墙中，硬件防火墙占绝大多数。硬件防火墙一种是从硬件到软件都单独设计，典型如Netscreen防火墙不但软件部分单独设计，硬件部分也采用专门的ASIC集成电路。另外一种就是基于PC架构的使用经过定制的通用操作系统的所谓硬件防火墙。目前国内绝大多数防火墙都属于这种类型。虽然都号称硬件防火墙，国内厂家和国外厂家还是存在着巨大区别。硬件防火墙需要在硬 件和软件两方面同时下功夫，国外厂家的通常做法是软件运算硬件化，其所设计或选用的运行平台本身的性能可能并不高，但它将主要的运算程序（查表运算是防火 墙的主要工作）做成芯片，以减少主机CPU的运算压力。国内厂家的防火墙硬件平台

26、基本上采用通用PC系统或工业PC架构（直接原因是可以节省硬件开发成 本），在提高硬件性能方面所能做的工作仅仅是提升系统CPU的处理能力，增大内存容量而已。现在国内防火墙的一个典型结构就是：工业主板+x86+128 （256）M内存+DOC/DOM+硬盘（或不要硬盘而另增加一个日志服务器）+百兆网卡 这样一个工业PC结构。在软件性能方面，国内外厂家的差别就更大了，国外（一些著名）厂家均是采用专用的操 作系统，自行设计防火墙。而国内所有厂家操作系统系统都是基于通用的 Linux，无一例外。各厂家的区别仅仅在于对Linux系统本身和防火墙部分（2.2内核为ipchains，2.4以后内核为netfi

27、lter）所 作的改动量有多大。事实上，Linux只是一个通用操作系统，它并没有针对防火墙功能做什么优化，而且 其处理大数据量通信方面的能力一直并不突出，甚至比较低下（这也是 Linux一直只是低端服务器的宠儿的重要原因，我自己认为，在这一点上它还不如BSD系列，据说国外有用BSD做防火墙的，国内尚未见到）。现在绝大部 分厂家，甚至包括号称国内最大的天融信，在软件方面所作的工作无非也就是系统有针对性的裁减、防火墙部分代码的少量改动（绝大部分还是没有什么改动）和少 量的系统补丁。而且我们在分析各厂家产品时可以注意这一点，如果哪个厂家对系统本身做了什么大的改动，它肯定会把这个视为一个重要的卖点，大

28、吹特吹，遗憾 的是似乎还没有什么厂家有能力去做宣传（天融信似乎有一个类似于checkpoint的功能：开放式的安全应用接口 TOPSEC，但它究竟做了多少工作，还需要去仔细了解）。目前国内厂家也已经认识到这个问题，有些在做一些底层的工作，但有明显成效的，似乎还没有。在此我们仅针对以Linux（或其他通用操作系统）为基础的、以PC架构为硬件载体的防火墙做讨论，以下如不特别提出，均同。2内核和防火墙设计现在有一种商业卖点，即所谓“建立在安全操作系统之上的第四代防火墙”（关于防火墙 分代的问题，目前有很多讨论，比较一致的是把包过滤防火墙称为第一代防火墙，把应用型防火墙（一般结合了包过滤功能，因此也成

29、为混合型防火墙）称为第二代 防火墙，有些厂家把增加了检测通信信息、状态检测和应用监测的防火墙称为第三代防火墙，更有甚者在此基础上提出了采用安全操作系统的防火墙，并把这个称为 第四代防火墙）。所谓安全操作系统，其实大多用的还是Linux，所不同的是需要做一些内核加固和简单改造的工作，主要有以下： 取消危险的系统调用，或者截获系统调用，稍加改动（如加载一些llkm）；限制命令执行权限；取消IP转发功能；检查每个分组的接口；采用随机连接序号；驻留分组过滤模块；取消动态路由功能；采用多个安全内核（这个只见有人提出，但未见到实例，对此不是很清楚）。以上诸多工作，其实基本上都没有对内核源码做太大改动，因此

30、从个人角度来看算不上可以太夸大的地方。对于防火墙部分，国内大部分已经升级到2.4内核所支持的netfilter。 netfilter已经是一个功能比较完善的防火墙框架，它已经支持基于状态的监测（通过connection track模块实现）。而且netfilter是一个设计很合理的框架，可以在适当的位置上登记一些需要的处理函数，正式代码中已经登记了许多处理函数， 如在NF_IP_FORWARD点上登记了装发的包过滤功能（包过滤等功能便是由这些正式登记的函数实现的）。我们也可以登记自己的处理函数，在功能上作 扩展（如加入简单的IDS功能等等）。这一点是国内厂家可以做文章的地方，至于netfilt

31、er源码的修改，对国内厂家来说似乎不太现实。至于采用其它防火墙模型的，目前还没有看到（可能是netfilter已经设计的很成功，不需要我们再去做太多工作）。3自我保护能力（安全性）由于防火墙的特殊功能和特殊位置，它自然是众多攻击者的目标，因此它的自我包括能力在设计过程中应该放在首要的位置。A管理上的安全性防火墙需要一个管理界面，而管理过程如何设计的更安全，是一个很重要的问题。目前有两种方案。a设置专门的服务端口为了减少管理上的风险和降低设计上的难度，有一些防火墙（如东方龙马）在防火墙上专 门添加了一个服务端口，这个端口只是用来和管理主机连接。除了专用的服务口外，防火墙不接受来自任何其它端口的直

32、接访问。这样做的显著特点就是降低了设计 上的难度，由于管理通信是单独的通道，无论是内网主机、外网主机还是DMZ内主机都无法窃听到该通信，安全性显然很高，而且设计时也无需考虑通信过程加密 的问题。然而这样做，我们需要单独设置一台管理主机，显然太过浪费，而且这样管理起来的灵活性也不好。b通信过程加密这样无需一个专门的端口，内网任意一台主机都可以在适当的情况下成为管理主机，管理主机和防火墙之间采用加密的方式通信。目前国内有采用的是使用自定义协议、一次性口令认证。对加密这个领域了解不多，不做详细讨论。B对来自外部（和内部）攻击的反应能力目前常见的来自外部的攻击方式主要有：aDOS（DDOS）攻击（分布

33、式）拒绝服务攻击是目前一种很普遍的攻击方式，在预防上也是非常困难的。目前 防火墙对于这种攻击似乎没有太多的解决办法，主要是提高防火墙本身的健壮性（如增加缓冲区大小）。在Linux内核中有一个防止Syn flooding攻击的选项：CONFIG_SYN_COOKIES，它是通过为每一个Syn建立一个缓冲（cookie）来分辨可信请求和不可信请求。 另外对于ICMP攻击，可以通过关闭ICMP 回应来实现。bIP假冒（IP spoofing）IP假冒是指一个非法的主机假冒内部的主机地址，骗取服务器的“信任”，从而达到对网络的攻击目的。第一，防火墙设计上应该知道网络内外的IP地址分配，从而丢弃所有来自

34、网络外部但却有内部地址的数据包。实际实现起来非常简单，只要在内核中打开rp_filter功能即可。第二，防火墙将内网的实际地址隐蔽起来，外网很难知道内部的IP地址，攻击难度加大。IP假冒主要来自外部，对内网无需考虑此问题（其实同时内网的IP假冒情况也可以得到遏制）。c特洛伊木马防火墙本身预防木马比较简单，只要不让系统不能执行下载的程序即可。一个需要说明的地方是必须指出的是，防火墙能抗特洛伊木马的攻击并不意味着内网主机 也能防止木马攻击。事实上，内网主机可能会透过防火墙下载执行携带木马的程序而感染。内网主机的在预防木马方面的安全性仍然需要主机自己解决（防火墙只能 在内网主机感染木马以后起一定的防

35、范作用）。d口令字攻击口令字攻击既可能来自外部，也可能来自内部，主要是来自内部。（在管理主机与防火墙通过单独接口通信的情况下，口令字攻击是不存在的）来自外部的攻击即用穷举的办法猜测防火墙管理的口令字，这个很容易解决，只要不把管理部分提供给外部接口即可。内部的口令字攻击主要是穷举和嗅探，其中以嗅探危害最大。嗅探指监测网络截获管理主机给防火墙的口令字，如果口令字已加密，则解密得到口令字。目前一般采用一次性口令和禁止直接登录防火墙的措施来防止对口令字的攻击。e邮件诈骗邮件诈骗是目前越来越突出的攻击方式。防火墙本身防止邮件诈骗非常简单，不接收任何邮件就可以了。然而象木马攻击一样，内网主机仍可收发邮件，

36、邮件诈骗的危险仍然存在，其解决办法一个是内网主机本身采取措施防止邮件诈骗，另一个是在防火墙上做过滤。f对抗防火墙（anti-firewall）目前一个网络安全中一个研究的热点就是对抗网络安全产品如防火墙。一种是分析防火墙 功能和探测防火墙内部网络结构，典型的如Firewalk。另外有一些其他的网络安全性分析工具本身具有双刃性，这类工具用于攻击网络，也可能会很有效的 探测到防火墙和内部网络的安全缺陷，典型的如SATAN和ISS公司的 Internet Security Scanner。目前对于这种探测（攻击）手段，尚无有效的预防措施，因为防火墙本身是一个被动的东西，它只能靠隐藏内部网络结构和提高

37、自身的安全性来对 抗这些攻击。C透明代理的采用应用代理防火墙一般是通过设置不同用户的访问权限来实现，这样就需要有用户认证体 系。以前的防火墙在访问方式上主要是要求用户登录进系统（如果采用 sock代理的方式则需要修改客户应用）。透明代理的采用，可以降低系统登录固有的安全风险和出错概率，从而提高了防火墙的安全性。4透明性防火墙的透明性指防火墙对于用户是透明的，在防火墙接入网络时，网络和用户无需做任何设置和改动，也根本意识不到防火墙的存在。防火墙作为一个实际存在的物理设备，要想放入已存在地网络中又不对网络有任何影响， 就必须以网桥的方式置入网络。传统方式下，防火墙安装时，更象是一台路由器或者网关，

38、原有网络拓扑结构往往需要改变，网络设备（包括主机和路由器）的设置 （IP和网关、DNS、路由表等等）也需要改变。但如果防火墙采用了透明模式，即采用类似网桥的方式运行，用户将不必重新设定和修改路由，也不需要知道防 火墙的位置，防火墙就可以直接安装和放置到网络中使用。透明模式最大的好处在于现有网络无需做任何改动，这就方便了很多客户，再者，从透明 模式转换到非透明模式又很容易，适用性显然较广。当然，此时的防火墙仅仅起到一个防火墙的作用，其他网关位置的功能如NAT、VPN功能不再适用，当然， 其他功能如透明代理还可以 继续使用。目前透明模式的实现上可采用ARP代理和路由技术实现。此时防火墙相当于一个A

39、RP代理的功能。内网（可以仍含有路由器或子网，依次类推）、防火墙、路由器的位置大致如下：内网防火墙路由器（需要说明的是，这种方式是绝大多数校园网级网络的实现方式）内网主机要想实现透明访问，必须能够透明的传送内网和路由器之间的ARP包，而此时 由于事实上内网和路由器之间无法连通，防火墙就必须配置成一个ARP代理（ARP Proxy）在内网主机和路由器之间传递ARP包。防火墙所要做的就是当路由器发送ARP广播包询问内网内的某一主机的硬件地址时，防火墙用和路由器相连 接口的MAC地址回送ARP包；内网内某一主机发送ARP广播包询问路由器的硬件地址时，防火墙用和内网相连接口的MAC地址回送ARP包，因

40、此路由器和 内网主机都认为将数据包发给了对方，而实际上是发给了防火墙转发。显然，此时防火墙还必须实现路由转发，使内外网之间的数据包能够透明的转发。另外， 防火墙要起到防火墙的作用，显然还需要把数据包上传给本身应用层处理（此时实现应用层代理、过滤等功能），此时需要端口转发来实现（？这个地方不是十分清 楚，也没找到相关资料）。透明模式和非透明模式在网络拓扑结构上的最大区别就是：透明模式的两块网卡（与路由器相连的和与内网相连的）在一个网段（也和子 网在同一个网段）；而非透明模式的两块网卡分别属于两个网段（内网可能是内部不可路由地址，外网则是合法地址）。这个过程如下：1. 用ARP代理实现路由器和子网

41、的透明连接（网络层）2. 用路由转发在IP层实现数据包传递（IP层）3. 用端口重定向实现IP包上传到应用层（IP层）前边我们讨论过透明代理，和这里所说的防火墙的透明模式是两个概念。透明代理主要是 为实现内网主机可以透明的访问外网，而无需考虑自己是不可路由地址还是可路由地址。内网主机在使用内部网络地址的情况下仍然可以使用透明代理，此时防火墙 既起到网关的作用又起到代理服务器的作用（显然此时不是透明模式）。需要澄清的一点是，内外网地址的转换（即NAT，透明代理也是一种特殊的地址转换）和透明模式之间并没有必然的联系。透明模式下的防火墙能实现透明代理，非透明模式下的防火墙（此时它必然又是一个网关）也

42、能实现透明代理。它们的共同点在于可以简化内网客户的设置而已。目前国内大多防火墙都实现了透明代理，但实现了透明模式的并不多。这些防火墙可以很明显的从其广告中看出来：如果哪个防火墙实现了透明模式，它的广告中肯定会和透明代理区分开而大书特书的。5可靠性防火墙系统处于网络的关键部位，其可靠性显然非常重要。一个故障频频、可靠性很差的 产品显然不可能让人放心，而且防火墙居于内外网交界的关键位置，一旦防火墙出现问题，整个内网的主机都将根本无法访问外网，这甚至比路由器故障（路由器的 拓扑结构一般都是冗余设计）更让人无法承受。防火墙的可靠性也表现在两个方面：硬件和软件。国外成熟厂商的防火墙产品硬件方面的可靠性一

43、般较高，采用专门硬件架构且不必多说，采用PC架构的其硬件也多是专门设计，系统各个部分从网络接口到存储设备（一般为电子硬盘）集成在一起（一块板子），这样自然提高了产品的可靠性。国内则明显参差不齐，大相径庭，大多直接使用PC架构，且多为工业PC，采用现成的网卡，DOC/DOM作为存储设备。工业PC虽然可靠性比普通PC要高不少，但是毕竟其仍然是拼凑式的，设备各部分分立，从可靠性的角度看显然不如集成的（著名的水桶原理）。国内已经有部分厂家意识到了这个问题，开始自行设计硬件。但大多数厂家还是从成本的角度考虑使用通用PC架构。另外一方面，软件可靠性的提高也是防火墙优劣的主要差别所在。而国内整个软件行业的

44、可靠性体系还没有成熟，软件可靠性测试大多处于极其初级的水平（可靠性测试和bug测试完全是两个概念）。一方面是可靠性体系建立不起来，一方面是为了迎 合用户的需求和跟随网络应用的不断发展，多数防火墙厂商一直处于不断的扩充和修改中，其可靠性更不能让人恭维。总的来说，如同国内大多数行业（除了少数如航天、航空）一样，网络安全产品特别是防火墙的可靠性似乎还没有引起人们的重视。 6市场定位市场上防火墙的售价极为悬殊，从数万元到数十万元，甚至到百万元不等。由于用户数量不同，用户安全要求不同，功能要求不同，因此防火墙的价格也不尽相同。厂商因而也有所区分，多数厂家还推出模块化产品，以符合各种不同用户的要求。总的说

45、来，防火墙是以用户数量作为大的分界线。如checkpoint的一个报价：CheckPoint Firewall-1 4.1 25user 19000.00CheckPoint Firewall-1 4.1 50user 31000.00CheckPoint Firewall-1 4.1 100user 51000.00CheckPoint Firewall-1 4.1 250user 64000.00CheckPoint Firewall-1 4.1 无限用户 131000.00从用户量上防火墙可以分为：a 1025用户：这个区间主要用户为单一用户、家庭、小型办公室等小型网络环境。防火墙一般为

46、10M（针对硬件防火墙而言），两网络接口，涵盖防火墙基本功能：包过滤、透明模式、网络地址转换、状态检测、管理、实时报警、日志。一般另有可选功能：VPN、带宽管理等等。这个区间的防火墙报价一般在万元以上2万元以下（没有VPN和带宽管理的价格更低）。据调查，这个区间的防火墙反而种类不多，也许是国内厂商不屑于这个市场的缘故？b 25100用户这个区间用户主要为小型企业网。防火墙开始升级到100M，三或更多网络接口。VPN、带宽管理往往成为标准模块。这个区间的防火墙报价从3万到15万不等，根据功能价格有较大区别。相对来说，这个区间上硬件防火墙价格明显高于软件防火墙。目前国内防火墙绝大部分集中在这个区间

47、中。c 100数百用户这个区间主要为中型企业网，重要网站、ISP、ASP、数据中心等使用。这个区间的 防火墙较多考虑高容量、高速度、低延迟、高可靠性以及防火墙本身的健壮性。并且开始支持双机热备份。这个区间的防火墙报价一般在20万以上。这样的中高端 防火墙国内较少，有也是25100用户的升级版，其可用性令人怀疑。d 数百用户以上这个区间是高端防火墙，主要用于校园网、大型IDC等等。我们接触较少，不多做讨论。当然其价格也很高端，从数十万到数百万不等。总的来说，防火墙的价格和用户数量、功能模块密切相关，在用户数量相同的情况下，功 能越多，价格就越贵。如Netscreen的百兆防火墙： NetScre

48、en-100f(AC Power) -带防火墙+流量控制等功能,交流电源,没有VPN功能报价在￥260,000而在此基础上增加了128位VPN功能的报价则高出5万元： ￥317,5007 研发费用如同其他网络安全产品一样，防火墙的研发费用也是很高的。防火墙由于技术含量较高， 人员技术储备要求较高，防火墙核心部分的研发必须要对操作系统有相当的熟悉，所需为UNIX系统下开发人员，而目前国内真正能拿的出手的UNIX程序员数 量还是太少（远远少于Windows平台下开发人员），人员成本很高。总的来说，防火墙的研发是一个大项目，而且其前期定位一定要准确，该做什么、不该做什么，哪些功能得实现，哪些功能不必实现、哪