防火墙技术的应用研究

防火墙技术的应用研究

摘 要

随着互联网的飞速发展，越来越多的企业和用户连接到互联网中。人们在充分享

受着互联网所带来的方便和高效的同时，也不断受到各种计算机病毒感染和黑客恶意攻击的侵扰。在网络安全解决方案中，建立或设置防火墙是一个非常关键和有效的环节。而本文则设计和实现了一个面向校园，企业，数据中心级的网关型防火墙,并为它们提供可靠的安全保护。

本文首先论述了防火墙的背景知识，包括防火墙的基本概念和防火墙技术的发展情况等。然后对设计这款防火墙所需要的主要技术进行了详细介绍，包括访问控制列表技术，网络地址转换技术、抗病毒攻击技术、安全域技术、虚拟防火墙技术、与服务器的联动技术、日志记录分析技术等。访问控制列表技术，网络地址转换技术、抗病毒攻击技术能很好的满足校园及企业的需求，而安全域技术、虚拟防火墙技术则对数据中心的安全需求提供了强大的功能支持；日志的记录与查询为整个网络的监控提供了所有信息的记录；与服务器的联动不仅能提供强大的功能扩展，还能减轻防火墙的负担。 在此基础上，以我设计的防火墙为例，从防火墙的各项功能着手，分析并设计防火墙功能的实现方法及相应的软件配置。并通过各项测试来验证防火墙的功能，全文比较完整地叙述了此款防火墙的技术特点及性能。

关键词：防火墙，安全保护，访问控制列表技术，虚拟防火墙

II

The Research of Firewall Technology Application

ABSTRACT

With the rapid development of Internet, many enterprise users and single users connect

to it. People enjoy the convenience and great efficiency brought by the Internet, at the same time, their computers are continually suffered from many kinds of computer virus and hackers’ attack. One of the effectual and important solutions for network security is to set firewall. And the paper is to design and implement a gateway firewall for the campus, enterprise and the data center. The firewall can provide them with reliable security protection. This paper first discusses the background of firewall, including the basic notion of firewall and the situation about the development of firewall technology. Then it specifies the main technologies to design the personal firewall, such as access control list technology, network address translation technology, antiviral attack technology, security domain technology and virtual firewall technology, the servers and linkage technology, log analysis technique and so on. Access control list technology, network address translation technology, antiviral attack technology can well meet the demand of campus and enterprise; the security domain technology and the virtual firewall technology providea a powerful support for the security requirements of data center; Log records for the entire network with inquires monitor provides all information records; Interaction with the server not only provides powerful extensions, but also reduce the burden on the firewall.

On this basis, the firewall in my design as an example, to analyze and design the implementation methods of the firewall functions and the corresponding software configuration. And through various tests to verify the function of a firewall , the text of this section more completely describe the technical features and performance of the firewall. KEY WORDS：Firewall, security protection,Access control list ,virtual firewall

III

目 录

摘 要 ........................................................................................................................................ III ABSTRACT ...............................................................................................................................II 1 绪论 ........................................................................................................................................ 1

1.1 课题研究的背景 .............................................................................................................................. 1 1.2 课题研究的意义 .............................................................................................................................. 1 1.3 课题研究的主要内容 ...................................................................................................................... 1

2 网络安全 ................................................................................................................................ 2

2.1 网络安全概述 .................................................................................................................................. 2 2.2 认识安全威胁 .................................................................................................................................. 2 2.3 降低安全威胁 .................................................................................................................................. 3

3 防火墙的概述 ........................................................................................................................ 5

3.1 防火墙的基本知识 .......................................................................................................................... 5 3.2 防火墙的实现技术 .......................................................................................................................... 7 3.3 防火墙的种类 .................................................................................................................................. 8 3.4 防火墙的工作方式 ........................................................................................................................ 12 3.5 国内外防火墙厂商 ........................................................................................................................ 13

4 防火墙功能设计 .................................................................................................................. 14

4.1 防火墙的登陆管理设计 ................................................................................................................ 14 4.2 访问控制列表技术 ........................................................................................................................ 14 4.3 NAT技术 ....................................................................................................................................... 16 4.4 日志分析及记录 ............................................................................................................................ 16 4.5 防火墙的安全性 ............................................................................................................................ 18 4.6 与服务器的安全联动设计 ............................................................................................................ 20 4.7 安全域功能设计 ............................................................................................................................ 22 4.8 虚拟防火墙设计 ............................................................................................................................ 23 4.9 会话和流量限制 ............................................................................................................................ 24 4.10 端口映射 ...................................................................................................................................... 25

5 防火墙功能的软件配置 ...................................................................................................... 26

5.1 防火墙的Telnet登录配置 ............................................................................................................ 26

IV

5.2 访问控制列表配置 ........................................................................................................................ 26 5.3 NAT配置 ....................................................................................................................................... 29 5.4 防火墙的安全性配置 .................................................................................................................... 29 5.5 安全域配置 .................................................................................................................................... 31 5.6 虚拟防火墙配置 ............................................................................................................................ 33

6 防火墙功能的实现及测试 .................................................................................................. 35

6.1 设计实现效果 ................................................................................................................................ 35 6.2 ACL、NAT测试 ........................................................................................................................... 37 6.3 安全性抗攻击测试 ........................................................................................................................ 40 6.4 虚拟技术及安全域技术测试 ........................................................................................................ 40 6.5 性能指标测试 ................................................................................................................................ 42

总结 .......................................................................................................................................... 44 致谢 .......................................................................................................................................... 45 参考文献 .................................................................................................................................. 46

防火墙技术的应用研究

1

1 绪论

1.1 课题研究的背景

随着互联网的普及及发展，尤其是Internet的广泛使用，使计算机应用更加广泛与

深入。同时，我们不得不注意到，网络虽然功能强大，也有其脆弱易受到攻击的一面。据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全球平均每20秒就发生一起Internet计算机侵入事件。在我国，每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时，对网络安全问题也决不能忽视。如何建立比较安全的网络体系，值得我们去研究。

1.2 课题研究的意义

随着以Internet为代表的全球信息化浪潮的来临，信息网络技术的应用正日益广泛，应用层次正在深入，应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展，其中以党政系统、大中院校网络系统、银行系统、商业系统、管理部门、政府或军事领域等为典型。伴随网络的普及，公共通信网络传输中的数据安全问题日益成为关注的焦点。一方面，网络化的信息系统提供了资源的共享性、用户使用的方便性，通过分布式处理提高了系统效率和可靠性，并且还具备可扩充性。另一方面，也正是由于具有这些特点增加了网络信息系统的不安全性。

开放性的网络，导致网络所面临的破坏和攻击可能是多方面的，例如：可能来自物理传输线路的攻击，也可以对网络通信协议和实现实施攻击，可以是对软件实施攻击，也可以对硬件实施攻击。国际性的网络，意味着网络的攻击不仅仅来自本地网络的用户，也可以来自 Internet上的任何一台机器。开放的、国际化的Internet的发展给政府机构、企事业单位的工作带来了革命性的变革和开放，使得他们能够利用Internet提高办事效率、市场反应能力和竞争力。通过Internet，他们可以从异地取回重要数据，同时也面临Internet开放所带来的数据安全的挑战与危险。如何保护企业的机密信息不受黑客和工业间谍的入侵，己成为政府机构、企事业单位信息化建设健康发展所要考虑的重要因素之一。广泛分布的企业内部网络由公共网络互联起来，这种互联方式面临多种安全威胁，极易受到外界的攻击，导致对网络的非法访问和信息泄露。防火墙是安全防范的最有效也是最基本的手段之一。[15]

1.3 课题研究的主要内容

这里我们主要要研究防火墙的概况，功能及发展，并研究设计一款防火墙，其中

涵盖访问控制列表技术、NAT技术、抗攻击安全技术、日志管理技术、安全域技术、虚拟防火墙技术等。

陕西科技大学毕业论文（设计说明书）

2

2 网络安全

2.1 网络安全概述

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者

恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

2.2 认识安全威胁

网络中常见的攻击：

(a)应用层攻击这些攻击通常瞄准运行在服务器上的软件漏洞而这些漏洞众所周知。各种目标包括FTP、发送邮件、HTTP。因为这些账户的许可层都获得了一定的特权,如果这台计算机正在运行以上提到的应用程序中的一种,恶意者就可以访问并掠取计算机资源。

(b)后门程序通往一个计算机或网络的简洁的路径。经过简单人侵或是经过更精心设计的特洛伊木马代码,恶意者可使用植入攻击进人一台指定的主机或是一个网络,无论何时它们都可进入——除非你发觉并阻止它们,就是这样！

(c)拒绝服务(Dos)和分布式拒绝服务(DDos)攻击这些攻击很恶劣——摆脱它们同样也很费力。即使黑客们都鄙视使用这种攻击的黑客,因为它们如此令人厌恶,但是它们真的很容易就能实现(这意味着10岁的人都可以让你屈服,这非常不公平）。从根本上说,当一个服务超范围索取系统正常提供它的资源时,它将变得不正常。而且存在不同的攻击风格。

(d)IP欺骗这有点像它的名字一样——恶意者从你的网络内部或外部,通过做下列两件事之一：以你的内部网络可信地址范围中的IP地址呈现或者使用一个核准的、可信的外部IP地址,来伪装成一台可信的主机。囚为黑客的真实身份被隐藏在欺骗地址之下,所以这经常仅是你的难题的开始。

(e)中间人攻击拦截住！但是这并不是足球，它是串网络信息数据包你珍贵的数据！一个常见的犯罪团队可能是为ISP工作的某些人，使用叫做包嗅探的工具,并在此基础上增加路由和传输协议。

(f)网络侦察在侵入一个网络之前,黑客经常会收集所有关于这个网络的信息,因为他们对这个网络知道得越多,越容易对它造成危害。他们通过类似端口扫描、DNS查询、ping扫描等方法实现他们的目标。

(g)包嗅探这就是刚提到的那个工具,但是我没有告诉你它是什么,可能得知它竟是

防火墙技术的应用研究

3

一个软件时你会觉得有些惊奇。这就是它的工作原理——网络适配卡开始工作于混杂模式,它发送的所有包都可以被一个特殊的应用程序从网络物理层偷取,并进行查看及分类。包嗅探常偷取一些价值高、敏感的数据,其中包括口令和用户名,在实施身份盗取时能获得超值的信息。

(h)口令攻击这种攻击有许多方式,可经由多种较成熟类型的攻击实现,这些攻击包括IP欺骗、包嗅探以及特洛伊木马,它们唯一的目的就是——惊喜——发现用户的口令,这样,小偷就可以伪装成一个合法的用户,访问用户的特许操作及资源。

(i)强暴攻击另一种面向软件的攻击,使用运行在目标网络的程序尝试连接到某些类型的共享网络资源。如果访问账户拥有很多特权,对于黑客来说这是非常完美的,因为这些恶意者可以开启后门,再次访问就可以完全绕过口令。

(j)端口重定向攻击这种方法要求黑客已经侵人主机,并经由防火墙得到被改变的流量(这些流量通常是不被允许通过的)。

(k)特洛伊木马攻击和病毒 这两种攻击实际上比较相似——特洛伊木马和病毒都使用恶意代码感染用户机器,使得用户机器遭受不同程度的瘫痪、破坏甚至崩溃。但是它们之间还是有区别的——病毒是真正的恶意程序,附着在command.com文件之上,而command.com又是Windows系统的主要解释文件。病毒接着会疯狂地运行,删除文件并且感染机器上任何command.com格式的文件。病毒和特洛伊木马的区别在于,特洛伊木马是一个封装了秘密代码的真正完整的应用程序,这些秘密代码使得它们呈现为完全不同的实体——表面上像是一个简单、天真的游戏,但具有丑陋的破坏工具的本质。

(l)信任利用攻击这种攻击发生在内网之中,由某些人利用内网中的可信关系来实施。例如,一个公司的非军事网络连接中通常运行着类似SMTP、DNS以及HTTP服务器等重要的东西,一旦和它们处在同一网段时，这些服务器很容易遭受攻击。

2.3 降低安全威胁

近年来，围绕网络安全问题，降低安全威胁提出了许多解决办法，例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密，到达目的地后再解密还原为原始数据，目的是防止非法用户截获后盗用信息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限。这里我们主要研究讨论防火墙技术。

而目前在防火墙业界对防火墙的技术发展普遍存在着两种观点，即所谓的胖瘦防火墙之争。一种观点认为，要采取分工协作，防火墙应该做得精瘦，只做防火墙的专职工作，可采取多家安全厂商联盟的方式来解决；另一种观点认为，把防火墙做得尽量的胖，把所有安全功能尽可能多地附加在防火墙上，成为一个集成化的网络安全平台。

从概念上讲，所谓“胖”防火墙是指功能大而全的防火墙，它力图将安全功能尽可能多地包含在内，从而成为用户网络的一个安全平台；而所谓“瘦”防火墙是指功能少而精的防火墙，它只作访问控制的专职工作，对于综合安全解决方案，则采用多家安全

陕西科技大学毕业论文（设计说明书）

4

厂商联盟的方式来实现。

“胖”防火墙追求的是一站式服务，目前它只适应中小型企业，尤其是低端用户。他们出于经济上的考虑以及管理上的成本，更主要的是出于安全的实际需求，希望一个设备可以为这种小型网络实现整体安全防护，所以对这种大而全的“胖”东西非常感兴趣。它的缺点也是很明显的，最突出的就是性能问题。

“瘦”防火墙通常会考虑以安全管理为核心，以多种安全产品的联动为基础。通过管理平台，能够配置IDS与防火墙、防病毒等系统之间联动策略。但如果配合不当，出现红鞋与绿裤的组合，那呈现给用户的恐怕就不仅是俗气了。

没有绝对的“胖”和绝对的“瘦”，应该收敛目前市场上“胖防火墙”和“瘦防火墙”这两个极端观点。无论是“胖”防火墙的集成，还是“瘦”防火墙的联动，安全产品正在朝着体系化的结构发展，所谓“胖瘦”不过是这种体系结构的两种表现方式，“胖”将这种体系表现在一个产品中，而“瘦”将这种体系表现在一组产品或是说一个方案中。同时，这种体系化的结构需要非常完善的安全管理，也就是说，通过安全管理中心产品,整合系列安全产品，构架成联动和一体的产品体系,实现对用户、资源和策略的统一管理，确保整体解决方案的安全一致性，是构建网络安全系统的大趋势。

防火墙技术的应用研究

5

3 防火墙的概述

3.1 防火墙的基本知识

3.1.1 防火墙的提出

(a)企业、校园上网面临的安全问题之一：内部网与互联网的有效隔离。 (b)网络遭受到了外网发起的攻击，包括DOS攻击、蠕虫病毒攻击、木马和端口扫描攻击等，对网络造成了不小的影响，严重干扰网络秩序，影响用户工作学习。

(c)一次DOS/DDOS攻击足以造成巨大财产损失。 3.1.2 防火墙的示意图

图3-1 防火墙应用图（校园）

图3-2 防火墙应用图（企业）

陕西科技大学毕业论文（设计说明书）

6

3.1.3 防火墙是什么

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。 3.1.4 防火墙的概念

(a)概念一：最初含义：当房屋还处于木质结构的时候，人们将石块堆砌在房屋周围来防止火灾的发生。这种墙被称为防火墙。Rich Kosinski（Internet Security公司总裁）：防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，用来控制进/出两个方向的通信。

(b)概念二：William Cheswick和Steve Beilovin(1994)：防火墙是放置在两个网路之间的一组组件，这组组件共同具有下列性质：1.只允许本地安全策略授权的通信信息通过。2.双向通信信息必须通过防火墙。3.防火墙本身不会影响正常信息的流通。

(c)概念三：简单的说，防火墙是网络安全的第一道防线。防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件和硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问已达到保护系统安全的目的。 3.1.5 防火墙的作用

(a)作用一：防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种线路的攻击。防火墙能够及简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。

(b)作用二：在防火墙上可以很方便的监护网络的安全性，并产生报警。应该注意的是：对一个内部网络已经连接到Internet上的机构来说，重要的问题并不是网络是否会收到攻击，而是何时受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否收到攻击。

(c)作用三：防火墙可以作为部署NAT（Network Address Translator，网络地址变换）的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。

陕西科技大学毕业论文（设计说明书）

12

3.3.5 核检测防火墙

图3-7核检测防火墙的工作原理

3.4 防火墙的工作方式

3.4.1 路由模式

假设防火墙外其它设备都已配置完成，客户机PC欲通过防火墙－路由器访问互联

网，防火墙需设置相应的nat规则及相关路由，且防火墙模式为路由模式。

图3-8 防火墙路由模式示意图

防火墙技术的应用研究

13

3.4.2 透明模式

假设除防火墙外其它设备都已配置完成，客户机PC欲通过路由器－防火墙－路由器

访问互联网，防火墙在整个网络环境的位置是不改变原先拓扑环境, 进而防火墙模式设置为透明模式，且安全规则设置为包过滤规则。

图3-9 防火墙透明模式示意图

3.4.3 混合模式

假设除防火墙外其它设备都已配置完成，客户机PC欲通过路由器－防火墙－路由

器访问互联网及其它网络，防火墙需设置相应的包过滤/nat规则，且防火墙模式为混合模式。[1]

3.5 国内外防火墙厂商

国内主流防火墙厂商：天融信、网御神州、启明星辰、东软、H3C、锐捷等。 国外主流防火墙厂商：Cisco、Juniper、Fortinet等。

陕西科技大学毕业论文（设计说明书）

14

4 防火墙功能设计

4.1 防火墙的登陆管理设计

4.1.1 通过console口登录 按如下步骤进行操作：

(a)将配置口电缆的RJ45一端与防火墙模块的控制台口（Console）相连； (b)配置终端的参数，以Windows自带的超级终端为例：在串口的属性对话框中设置波特率为9600，数据位为8，奇偶校验为无，停止位为1，流量控制为无，终端类型为VT100或自动检测，防火墙控制台口默认出厂的波特率是9600（该值可以修改，这时终端也必须设置为对应的波特率）。

(c)终端配置好后，在CLI（控制连接接口）界面上敲回车就可以配置防火墙了。 4.2.2 通过Web登录 按如下步骤进行操作：

(a)设备连接，连接设备MGMT口。

(b)在浏览器地址栏中输入设备的内网口或外网口或是管理口的IP地址，的IP地址必须与设备的IP地址在同一网段。复位或初始情况下，在浏览器中输入默认地址http://192.168.1.1（为防火墙默认ip管理地址）。 4.2.3 通过Telnet登录

当为防火墙模块配置了ip地址，就可以通过telnet协议登录到防火墙模块上进行远程操作了，telnet登陆前，可通过ping操作确保PC与防火墙模块的连通性。

4.2 访问控制列表技术

（1）访问控制列表简介

ACLs的全称为接入控制列表(Access Control Lists)，也称为访问列表（Access Lists），俗称为防火墙，在有的文档中还称之为包过滤。ACLs通过定义一些规则对网络设备接口上的数据报文进行控制：允许通过或丢弃。 （2）为什么要配置访问列表

(a)限制路由更新：控制路由更新信息发往什么地方，同时希望在什么地方收到路由更新信息。

(b)限制网络访问：为了确保网络安全，通过定义规则，可以限制用户访问一些服务（如只WWW和电子邮件服务，其他服务如TELNET则禁止），或者仅允许在给定的

防火墙技术的应用研究

15

时间段内访问，或只允许一些主机访问网络等等。 （3）什么时候配置访问列表

可以根据需要选择基本访问列表或动态访问列表。一般情况下，使用基本访问列表已经能够满足安全需要。但经验丰富的黑客可能会通过一些软件假冒源地址欺骗设备，得以访问网络。而动态访问列表在用户访问网络以前，要求通过身份认证，使黑客难以攻入网络，所以在一些敏感的区域可以使用动态访问列表保证网络安全。

访问列表一般配置在以下位置的网络设备上： (a)内部网和外部网（如 INTERNET）之间的设备 (b)网络两个部分交界的设备 (c)接入控制端口的设备

访问控制列表语句的执行必须严格按照表中语句的顺序，从第一条语句开始比较，一旦一个数据包的报头跟表中的某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。 （4）输入/输出ACL规则

输入ACL在设备接口接收到报文时，检查报文是否与该接口输入ACL的某一条ACE相匹配；输出ACL在设备准备从某一个接口输出报文时，检查报文是否与该接口输出 ACL的某一条ACE相匹配。

在制定不同的过滤规则时，多条规则可能同时被应用，也可能只应用其中几条。只要是符合某条ACE，就按照该 ACE 定义的处理报文(Permit或Deny)。ACL的ACE根据以太网报文的某些字段来标识以太网报文的，这些字段包括：

二层字段(Layer 2 Fields)：

(a)48位的源MAC地址(必须申明所有48位) (b)48位的目的MAC地址(必须申明所有48位) (c)16位的二层类型字段 三层字段(Layer 3 Fields)：

(a)源IP地址字段(可以申明全部源IP地址值，或申明您所定义的子网来定义一类流)

(b)目的IP地址字段(可以申明全部目的IP地址值，或申明您所定义的子网来定义一类流)

(c)协议类型字段

(d)四层字段(Layer 4 Fields)：

(e)可以申明一个TCP/UDP的源端口、目的端口或者都申明。其中常见端口号有TCP 21端口：FTP文件传输服务、TCP 23端口：TELNET终端仿真服务、TCP 25端口：SMTP简单邮件传输服务、UDP 53端口：DNS域名解析服务、TCP 80端口：HTTP超文本传输服务、TCP 110端口：POP3“邮局协议版本3”使用的端口、TCP 443端口：

陕西科技大学毕业论文（设计说明书）

16

HTTPS加密的超文本传输服务、TCP 1521端口：Oracle数据库服务、TCP 1863端口：MSN Messenger的文件传输功能所使用的端口、TCP 3389端口：Microsoft RDP 微软远程桌面使用的端口、TCP 5000端口：MS SQL Server使用的端口、UDP 8000端口：腾讯QQ。[2]

4.3 NAT技术

（1）NAT概述

NAT（Network Address Translation）称为网络地址转换，主要用于解决企业网使用私有地址上公网的问题，在边界由NAT设备转换数据包中的IP地址。 （2）NAT优缺点

优点：节省公有地址，对外隐藏地址，提供安全性。

缺点：转换延迟和设备压力，无法执行端到端跟踪，影响特定的应用。 （3）NAT术语

内部本地地址（Inside local）：分配给内部设备的地址。这些地址不会对外公布。 内部全局地址（Inside global）：通过这个地址，外部可以知道内部设备。

外部本地地址（Outside global）：分配给外部设备的地址。这些地址不会向内公开。 外部全局地址（Outside local）：通过这个地址，内部设备可以知道外部设备。[2] （4）NAT工作原理

图4-1 NAT工作原理

4.4 日志分析及记录

日志记录一般包括：通信日志，应用层命令日志、访问日志、内容日志、系统日志、流量日志、告警日志等等。

根据管理的需要，它可以对每一个进出网络的数据包作简单或详细的记录。包括数据的来源，目的，使用的协议，时间甚至数据的内容等等。

防火墙技术的应用研究

17

4.4.1 做通信日志

通信日志即传统日志，包含通信源地址、目的地址、源端口、目的端口、通信时间、字节数、是否允许通过。

图4-2 通信日志图解

4.4.2 做应用层命令日志

在通信日志的基础上，记录下各个应用层命令及参数。例如HTTP请求及网页名。

图4-3 应用层命令日志图解

4.4.3 做访问日志

即在通信日志的基础上，记录下用户对网络资源的访问。它和应用层命令日志的区

别是：应用层命令日志可以记录下大量的数据，有些用户可能不需要，如协商通信参数过程等。例如针对FTP协议，访问日志只记录下读、写文件的动作。

陕西科技大学毕业论文（设计说明书）

18

图4-4 访问日志图解

4.4.4 做内容日志

即在应用层命令日志的基础上，还记录下用户传输的内容。如用户发送的邮件，用户的网页等。但因为这个功能涉及到隐私问题，所以在普通防火墙中没有包含。

图4-5 内容日志图解

4.5 防火墙的安全性

4.5.1 防攻击概述

防火墙攻击防范功能能够检测出多种类型的网络攻击，并能采取相应的措施保护内部网络免受恶意攻击，保证内部网络及系统的正常运行。 防火墙抗攻击的优势主要体现在以下几个方面：

(a)能够防范的攻击类型多。

(b)传统地在交换机上配置ACL的方式在过滤不想要的流量和检测攻击方面存在局限性，它们不能过滤所有类型的流量，对于有状态连接的过滤不是一个好的解决方法，防火墙结合ACL应用可以有效地解决上述问题；

防火墙技术的应用研究

19

(c)状态防火墙是通过跟踪会话的发起和状态来工作的。状态检测防火墙通过检查数据包头，分析和监视网络层（L3）和协议层（L4），基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。 4.5.2 攻击类型

网络攻击可分为拒绝服务型攻击、扫描窥探攻击和畸形报文攻击三大类：

(a)拒绝服务型（DoS，Denial of Service）攻击是使用大量的数据包攻击系统，使系统无法接受正常用户的请求，或者主机挂起不能提供正常的工作。主要的DoS攻击有SYN Flood、Fraggle等。拒绝服务攻击和其他类型的攻击不同之处在于：攻击者并不是去寻找进入内部网络的入口，而是阻止合法用户访问网络资源。

(b)扫描窥探攻击是利用ping扫描（包括ICMP和TCP）来标识网络上存活着的系统，从而准确的指出潜在的目标。利用TCP和UDP端口扫描，就能检测出操作系统和监听着的潜在服务。攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞，为进一步侵入系统做好准备。

(c)畸形报文攻击是通过向目标系统发送有缺陷的IP报文，使目标系统在处理这类报文时崩溃，主要的畸形报文攻击有Ping of Death、Teardrop等。 4.5.3 典型的网络攻击 Land攻击

所谓Land攻击，就是把TCP SYN包的源地址和目标地址都配置成受害者的IP地址。这将导致受害者向它自己的地址发送SYN-ACK消息，结果这个地址又返回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。各种受害者对Land攻击反应不同，许多UNIX主机将崩溃，Windows NT主机会变的极其缓慢。 Smurf攻击

简单的Smurf攻击，用来攻击一个网络。方法是发ICMP应答请求，该请求包的目标地址配置为受害网络的广播地址，这样该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞。高级的Smurf攻击主要用来攻击目标主机。方法是将上述 ICMP应答请求包的源地址改为受害主机的地址，最终导致受害主机崩溃。攻击报文的发送需要一定的流量和持续时间，才能真正构成攻击。理论上讲，网络的主机越多，攻击的效果越明显。Smurf攻击的另一个变体为Fraggle攻击。 SYN Flood攻击

由于资源的限制，TCP/IP栈只能允许有限个 TCP 连接。而SYN Flood攻击正是利用这一点，它伪造一个SYN报文，其源地址是伪造的或者是一个不存在的地址，向

陕西科技大学毕业论文（设计说明书）

20

服务器发起连接，服务器在收到报文后用 SYN-ACK应答，而此应答发出去后，不会收到ACK报文，造成一个半连接。如果攻击者发送大量这样的报文，会在被攻击主机上出现大量的半连接，消耗尽其资源，使正常的用户无法访问。直到半连接超时。在一些创建连接不受限制的实现里，SYN Flood具有类似的影响，它会消耗掉系统的内存等资源。 UDP Flood攻击

这种攻击短时间内用大量的UDP报文向特定目标不断请求回应，致使目标系统负担过重而不能处理合法的传输任务。 ICMP Flood攻击

这种攻击短时间内用大量的ICMP消息（如ping）向特定目标不断请求回应，致使目标系统负担过重而不能处理合法的传输任务。 IP分片Flood攻击

IP分片攻击可以分为两大类：一类是发送异常的分片包，如teardrop（基于UDP的病态分片数据包的攻击方法）、jolt2（基于因特网协议(IP)分组破坏的拒绝服务(DoS)攻击）等；另一类是发送海量的分片，即所谓的flood攻击，让系统不停的进行分片重组，让CPU“忙不过来”。 带路由记录选项IP报文控制功能

记录路由选项也是一个IP选项，携带了该选项的IP报文，每经过一台设备，该设备便把自己的接口地址填在选项字段里面。这样这些报文在到达目的地的时候，选项数据里面便记录了该报文经过的整个路径。通过这样的报文可以很容易的判断该报文经过的路径，从而使攻击者可以很容易的寻找其中的攻击弱点。 ICMP不可达攻击

不同的系统对ICMP不可达报文的处理不同，有的系统在收到网络（代码为0）或主机（代码为1）不可达的ICMP报文后，对于后续发往此目的地的报文直接认为不可达，好像切断了目的地与主机的连接，造成攻击。通过下述配置，可以有效地进行该类攻击的防御。[7]

4.6 与服务器的安全联动设计

4.6.1 与IDS的安全联动

当黑客对内网中的HostA进行攻击时，防火墙会将攻击报文会同时发送到HostA和

IDS服务器，IDS服务器对报文进行识别，若识别出报文中含攻击行为后，会发送通知报文给防火墙，防火墙收到通知后会给IDS服务器发送响应报文，并验证攻击报文且立即采取措施，阻断连接或者报警等。

防火墙技术的应用研究

21

图4-6 与IDS的安全联动工作原理

4.6.2 与病毒服务器的安全联动

当外网给内网中用户发送数据时，数据信息会同时发送到内网用户和病毒服务器，病毒服务器识别数据信息，进行协议还原，并检查病毒，如果没有发现病毒会通知防火墙可以放过最后一个数据报文，若发现病毒则会通知防火墙丢弃最后一个报文。

图4-7 与病毒、安全内容、URL服务器的安全联动架构

4.6.3 与内容服务器的安全联动

当外网Internet给内网中用户发送数据时，数据信息在到达防火墙后，会先发送到

内容安全服务器，内容安全服务器对数据进行处理，进行病毒、恶意JAVA或ActiveX程序的过滤后在将数据返回防火墙再发到用户。见图4-7。

陕西科技大学毕业论文（设计说明书）

22

4.6.4 与URL服务器的安全联动

当内网用户要访问Internet时，web信息到达防火墙后，防火墙会先发送此信息到URL服务器，URL服务器根据自身数据库中的权限信息识别web信息，判别此网站是否可以让用户访问，若数据库库中信息允许访问此网页，则通知防火墙放通，反之另防火墙阻断连接。见图4-7。 4.6.5 与日志服务器的安全联动

为了减小防火墙的工作压力，释放硬盘空间，我们采用日志服务器。将防火墙中的日志信息定期的传送到日志服务上，利用日志服务器中的MySql数据库来存储大量的日志信息。网络管理人员若处于外网中，也可以通过权限设定来访问日志服务器，远程进行日志分析、信息审计、事后跟踪等。[6]

图4-8 与日志服务器的安全联动工作原理

4.7 安全域功能设计

4.7.1 概述

安全域是由一组具有相同安全保护需求，并相互信任的系统组成的逻辑区域，它由

同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同划分而成。每一个逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域内具有相互信任关系，且同一个的安全域共享相同的安全策略。安全域划分的目的是把一个大规模的复杂系统的安全问题，转化为更小区域的安全保护问题。 4.7.2 安全域划分

当前我们支持基于IP地址集合来划分安全域。

安全域划分大致过程如下：

(a)管理员根据特定应用的要求设定安全域——信息系统集合的对应关系；首先是安全域用安全域名称做为唯一标识；然后是信息系统用IP地址进行标识，信息系统集

防火墙技术的应用研究

23

合为IP地址的集合；在手工划分安全域后，其余的用户统一划入default安全域。default安全域特点：默认情况下default安全域内的用户不可访问其他安全域，其他安全域也不可访问default安全域（除非用户明确下发策略）；default安全域内的用户间默认也是不可互访的。

(b)确定安全域间的默认互访策略；存在三种情况：默认允许互访、默认单向访问、默认禁止互访；

(c)确定各防火墙同安全域的对应关系。 4.7.3 相关概念 （1）安全域内策略

安全域内的策略同普通的ACL绑定没有差异；默认情况下安全域内的用户是不可互访的，除非下发策略允许互访； （2）安全域间策略

域间策略同样基于ACL，在安全域之间实现流识别功能的。域间策略在源安全域和目的安全域之间维护一个ACL，该ACL中可以配置一系列的匹配规则，以识别出特定的报文，然后根据预先设定的操作允许或禁止该报文通过。

安全域间策略用于控制跨安全域互访，用户可通过下发基于安全域的策略来实现安全域间的互访控制；其默认互访控制有两种配置方式：通过配置安全域的优先级绑定的方式控制安全域间的默认数据互访；同等级间可通过配置安全域间的默认互访权限控制数据互访。需要注意的是，安全域间的策略优先级高于默认互访控制规则。 （3）违例处理

当某个用户针对相关安全域的非法连接的尝试次数超过设定的某个特定水线时，防火墙便会对该非法用户进行违例处理，防止其入侵网络。

违例处理的目的在于对关键安全域的保护，在出现非法访问受保护安全域的事件时，在阻断该用户的访问的同时，可以提供违例信息供升级；

当前在防火墙上可以针对特定安全域可以设置访问违例次数水线，当某个用户针对相关安全域的非法连接尝试次数超过设定的水线后，进行告警或阻断该用户。

4.8 虚拟防火墙设计

4.8.1 概述

传统的防火墙是一个物理实体，此款防火墙可以在逻辑上划分成多个虚拟设备，每

个虚拟设备称为一个虚拟防火墙。每个虚拟防火墙都可以看成是一台完全独立的防火墙设备，各个虚拟防火墙可配置不同的安全策略。虚拟防火墙之间的报文是默认互相隔离的。

陕西科技大学毕业论文（设计说明书）

24

为了防止某个虚拟防火墙占用了过多的资源影响了其他虚拟防火墙的工作，可对虚拟防火墙的资源进行限制，从而有效保证网络中其它虚拟防火墙的正常运行。可限制的资源有：流表、主机表、MAC地址表、流建立速度、访问控制列表的ACE数量。

用户可以通过配置创建虚拟防火墙。根（Root）防火墙是默认存在的，不需要创建，它作为一个特殊的防火墙，除了可以创建虚拟防火墙外，本身也可以作为一个普通防火墙使用。虚拟防火墙包含的网络接口（interface VLAN）是由根防火墙指定的， 缺省情况下网络接口（interface VLAN）是属于根防火墙的。每个网络接口要么属于根防火墙要么属于虚拟防火墙。 4.8.2 主要特点

(a)每个虚拟防火墙维护安全域定义和安全域互访策略 (b)每个虚拟防火墙维护自身的Access-list（访问控制列表） (c)每个虚拟防火墙维护各自的防攻击策略 (d)每个虚拟防火墙维护桥组命令（透明模式下） (e)每个虚拟防火墙维护限速策略 (f)每个虚拟防火墙维护各自的流表 (g)每个虚拟防火墙可指定日志服务器

(h)每个虚拟防火墙指定安全级别、认证算法、认证口令、加密算法和加密口令 (i)虚拟防火墙的路由和接口的IP地址在根防火墙下配置

用户登录虚拟防火墙后，便可以在各个虚拟防火墙的相关配置模式下进行相应的配置，以下列举了虚拟防火墙与根防火墙使用一致的命令：

Access Control list（访问控制列表）、桥组（透明模式下）、MAC管理、限速策略、防攻击策略、WEB认证策略、安全域定义和安全域互访策略。

根据报文到达的网络接口属于根防火墙还是虚拟防火墙来确定报文所属的防火墙，缺省情况网络接口都是属于根防火墙，当网络接口被分配给某个虚拟防火墙后，到达该接口的报文就属于该虚拟防火墙。不同虚拟防火墙间不进行互相通信。

4.9 会话和流量限制

防火墙可以配置基于IP和网段的会话限制和流量限制，用来保护位于防火墙之后

的网络免受攻击。

会话限制主要用于通过对新建会话速率和当前并发会话总数进行限制来防止某个IP地址或IP网段产生的flow flood攻击；

流量限制的主要目的是防止某些用户或者应用占用过多的资源（比如带宽等）。另外，对于icmp flood和udp flood攻击，在其他防御手段都无效的情况下，流量限制是一个简单直接的方式。

防火墙技术的应用研究

25

4.10 端口映射

图4-9 端口映射工作原理

陕西科技大学毕业论文（设计说明书）

26

5 防火墙功能的软件配置

5.1 防火墙的Telnet登录配置

当为防火墙模块配置了IP地址，就可以通过telnet协议登录到防火墙模块上进行远

程操作了，telnet登陆前，可通过ping操作确保PC与防火墙模块的连通性。 在对防火墙进行登录前，可通过防火墙模块的Console口对防火墙按下述步骤进行配置。

表5-1 Telnet登录配置

命令 Step 1 Step 2 FW(config-line)#password [0 | 7] line FW(config)#line vty line number 作用 进入线路配置模式 指定line线路口令 0：以明文方式配置口令； 7：以密文方式配置口令； line：配置的口令字符串； Step 3 Step 4 FW(config-line)#exit FW(config)# enable secret [level 退出线路模式 level] 配置enable密码 {encryption-type encrypted-password} Step 5 FW(config)#interface vlan 1 FW(config-if)# ip address ip-address mask 配置防火墙模块的IP地址 5.2 访问控制列表配置

5.2.1 IP 访问列表配置 （1）IP访问列表配置指导

创建访问列表时，定义的规则将应用于设备上所有的分组报文，设备通过判断分组是否与规则匹配来决定是否转发或阻断分组报文。

基本访问列表包括标准访问列表和扩展访问列表，访问列表中定义的典型规则主要有以下：源地址、目标地址、上层协议、时间区域。

标准IP访问列表（编号为1-99，1300-1999）主要是根据源IP地址来进行转发或阻断分组的，扩展IP访问列表（编号为100–199，2000-2699）使用以上四种组合来进行转发或阻断分组的。其他类型的访问列表根据相关代码来转发或阻断分组的。

隐含“拒绝所有数据流”规则语句：在每个访问列表的末尾隐含着一条“拒绝所有数据流”规则语句，因此如果分组与任何规则都不匹配，将被拒绝。

防火墙技术的应用研究

27

输入规则语句的顺序：加入的每条规则都被追加到访问列表的最后，语句被创建以后，就无法单独删除它，而只能删除整个访问列表。所以访问列表语句的次序非常重要。设备在决定转发还是阻断分组时，设备按语句创建的次序将分组与语句进行比较，找到匹配的语句后，便不再检查其他规则语句。 （2）配置IP访问列表

基本访问列表的配置包括以下两步：

(a)定义基本访问列表

(b)将基本访问列表应用于特定接口 要配置基本访问列表，方式如下：

表5-2 IP访问列表配置 命令 作用 进入配置访问列表模式 Step 1 FW(config)# ip access-list { standard | extended } { id | name } FW (config-xxx-nacl)# [sn] { permit | deny } 为 ACL 添加表项 Step 2 {src src-wildcard | host src | any } Step 3 [ time-range tm-rng-name] FW(config-if)# ip access-group id { in | out } 将访问列表应用特定接口 5.2.2 MAC 扩展访问列表的配置 （1）MAC 扩展访问列表配置指导

创建MAC访问列表时，定义的规则将可以应用于所有的分组报文，通过判断分组是否与规则匹配来决定是否转发或阻断分组报文。

MAC访问列表中定义的典型规则主要有以下：源MAC地址、目标MAC地址、以太网协议类型、时间区。

MAC 扩展访问列表（编号700-799）主要是根据源和目的MAC地址来进行转发或阻断分组的,也可以对以太网协议类型匹配。

对于单一的MAC访问列表来说，可以使用多条独立的访问列表语句来定义多种规则，其中所有的语句需引用同一个编号或名字，以便将这些语句绑定到同一个访问列表。 （2）配置MAC扩展访问列表

MAC访问列表的配置包括以下两步：

(a)定义MAC访问列表 (b)应用列表于特定接口

要配置MAC访问列表，方式如下：

陕西科技大学毕业论文（设计说明书）

28

表5-3 MAC访问列表配置 命令 作用 进入配置访问列表模式 Step 1 FW(config)# mac access-list extended {id | name} FW (config-mac-nacl)# [sn] { permit | 为 ACL 添加表项 Step 2 deny }{any | host src-mac-addr} {any | host Step 3 dst-mac-addr} [ethernet-type] [cos cos] FW(config-if)# mac access-group {id | name} { in | out} 将访问列表应用特定接口 5.2.3 配置基于时间区的ACL

可以使 ACL 基于时间运行，比如让ACL 在一个星期的某些时间段内生效等。为了

达到这个要求，您必须首先配置一个Time-Range。

Time-Range的实现依赖于系统时钟，如果您要使用这个功能，必须保证系统有一个可靠的时钟。

从特权模式开始，您可以通过以下步骤来设置一个Time-Range：

表5-4 时间列表配置

Step 1 Step 2 Step 3 FW(config-time-range)# absolute [start time date] end time date 设置绝对时间区间(可选)，具体可参见 time range 的配置指南 Step 4 FW(config-time-range)# periodic day-of-the-week time to [day-of-the-week] time Step 5 Step 6 FW(config)# ip access-list extended 101 FW(config-ext-nacl)# permit ip any any time-range time-range-name 设置周期时间(可选)， 具体可参见 time range 的配置指南 进入 ACL 配置模式 配置时间区的 ACE FW(config)# time-range time-range-name 通过一个有意义的显示字符串作为名字来标识一个 FW# configure terminal 命令 作用 进入全局配置模式。

防火墙技术的应用研究

29

5.3 NAT配置

5.3.1 NAT实现方式 根据转换地址的对应关系：

(a)NAT（Network Address Translation）方式：只转换IP报文头中的IP地址，在地址之间建立一对一映射，实现简单。

(b)PAT（Port Address Translation）方式：采用“IP地址＋端口”的映射方式进行地址转换,利用TCP/UDP协议的端口号区；分不同的主机，建立多对多的映射关系。 5.3.2 NAT配置步骤

(a)配置接口及路由 (b)定义NAT设备的内外口

FW（config-if）#ip nat inside/outside (c)定义NAT地址池

FW（config）#ip nat pool pool-name start-ip end-ip netmask 子网掩码| prefix-lenth 前缀长度 (d)定义转换方法及转换关联关系

FW（config）# ip nat inside source list ACL号pool pool-name (e)定义内部源地址动态nat

FW（config）# ip nat inside source static local-address port global-address port (f)定义静态nat

FW（config）#access-list acl号permit (g)利用ACL或者路由图定义允许转换的用户列表 ip nat inside source 转换内部主机的源IP ip nat inside destination 转换内部主机的目标IP ip nat outside source 转换外部主机的源IP

5.4 防火墙的安全性配置

5.4.1 配置防SYN Flood 攻击

防火墙提供了如下方法防SYN Flood攻击的方法，启用SYN报文限速功能，如下配置：

陕西科技大学毕业论文（设计说明书）

30

表5-5 防SYN Flood攻击配置 命令 FW(config)# firewall defend syn-flood acl-number rate-num 作用 启用防SYN Flood 攻击功能。 acl-number:匹配的acl rate-num：配置的速率阀值，单位：pps 5.4.2 配置防ICMP Flood攻击

通过下述配置，可以有效地进行该类攻击的防御。

表5-6 防ICMP Flood攻击配置

命令 FW(config)# firewall defend icmp-flood 作用 启用防ICMP Flood 攻击功能。 acl-number:匹配的acl rate-num：配置的速率阀值，单位：pps acl-number rate-num 5.4.3 配置防ICMP不可达攻击

不同的系统对ICMP不可达报文的处理不同，有的系统在收到网络（代码为0）或主机（代码为1）不可达的ICMP报文后，对于后续发往此目的地的报文直接认为不可达，好像切断了目的地与主机的连接，造成攻击。通过下述配置，可以有效地进行该类攻击的防御。

表5-7 防ICMP不可达攻击配置

命令 FW(config)# firewall defend icmp-unreachable 作用 启用防ICMP 不可达攻击功能，收到的icmp不可达报文被丢弃 5.4.4 配置防UDP Flood攻击

通过下述配置，可以有效地进行该类攻击的防御。

表5-8 防UDP Flood攻击配置 命令 FW(config)# firewall defend udp-flood 作用 启用防UDP Flood 攻击功能。 acl-number:匹配的acl rate-num：配置的速率阀值，单位：pps acl-number rate-num 5.4.5 配置静态黑名单

所谓黑名单，是指根据报文的源 IP 地址进行过滤的一种方式。同基于 ACL 的包

防火墙技术的应用研究

31

过滤功能相比，由于黑名单进行匹配的域非常简单，可以以很高的速度实现报文的过滤，从而有效地将特定 IP 地址发送来的报文屏蔽。黑名单最主要的一个特色是可以由启用防ip扫描和端口扫描动态地进行添加或删除，当根据报文的行为特征察觉到特定IP 地址的攻击企图之后，通过主动修改黑名单列表从而将该 IP 地址发送的报文过滤掉。因此，黑名单是防火墙一个重要的安全特性。

表5-9 黑名单配置 命令 FW(config)# firewall blacklist sour-addr FW(config)#no firewall blacklist sour-addr FW#show global-blocking FW#clear non-blacklist-global-blocking 作用 把值为sour-addr的ip地址加入静态黑名单 把值为sour-addr的ip地址从黑名单中删除 显示被列入黑名单的信息 清除非手工配置的黑名单 5.5 安全域配置

5.5.1 安全域创建 （1）创建安全域

表5-10 创建安全域配置 命令 作用 创建安全域。 FW(config)# security zone zone-name zone-name：安全域名称，长度为1~32个字符 （2）配置安全域关联的ACL

对于未明确划分入安全域的IP地址，统一划分入default安全域。

default安全域特点：默认情况下default安全域内的用户不可访问其他安全域，其他安全域也不可访问default安全域（除非用户明确下发策略）；default安全域内的用户间默认也是不可互访的。

表5-11 安全域ACL配置

命令 FW(config-security-zone)# ip access-group access-list 作用 配置安全域关联的ACL。 access-list：关联的ip标准acl名称； 5.5.2 安全域默认互访规则

（1）配置安全域间的默认互访权限

陕西科技大学毕业论文（设计说明书）

32

表5-12 域间权限配置 命令 作用 安全域间互访策略找不到时允许FW（config）#loose-inter-zone-access security-level相同的ip互相访问。如果未配置这个命令，安全域间互访策略找不到时security-level相同的ip互相不能访问。 （2）配置安全域优先级绑定

默认情况下高优先级安全域可主动访问低优先级安全域；低优先级安全域不可访问高优先级安全域；可通过命令设置同等级安全域间的互访权限：配置loose-inter-zone-access后level相等时可访问。未配置该命令时互访策略不存在，即使level 相等也不能访问。且安全域间的策略优先级高于默认互访控制规则。

表5-13 安全域优先级配置

命令 FW(config-security-zone)#security-level level-num 作用 level-num：安全域可设置优先级为1~100。 数值越大优先级别越高。 5.5.3 基于安全域的互访策略 （1）配置安全域间的互访策略

表5-14 域间互访配置

命令 作用 配置从一个安全域访问另外一个安全域的互访策略，单向有效 access-list：关联的互访策略； FW(config)#security-access access-list from zone-name：安全域名称； default：default安全域； 下发的策略至少可包含以下要素的组合：源IP/目的IP/协议类型(tcp/udp)/四层端口号 log：携带此关键字时，表明匹配access-list条目的数据流在连接建立/撤销时需要打应日志信息 {zone-name | default} to {zone-name | defualt} [log]

防火墙技术的应用研究

33

安全域间互访策略找不到时允许security-level相同的ip互相访问。 FW(config)#loose-inter-zone-access 如果未配置这个命令，安全域间互访策略找不到时security-level相同的ip互相不能访问。 （2）配置安全域内的互访策略

表5-15 域内互访配置 命令 作用 配置安全域内互访策略找不到时允许安全域FW(config)#loose-inner-zone-access 内的ip互相访问。 如果未配置这个命令，安全域内互访策略找不到时安全域内的ip互相不能访问 5.6 虚拟防火墙配置

5.6.1 创建虚拟防火墙

在根防火墙下全局配置模式执行context context-name创建对应的虚拟防火墙，并指

定该虚拟防火墙的配置文件，指派网络接口到虚拟防火墙。 以下是在根防火墙创建虚拟防火墙的配置步骤：

表5-16 创建虚拟防火墙配置 Step 1 Step 2 命令 FW# configure terminal 作用 进入全局配置模式。 创建虚拟防火墙 context-name：虚拟防火墙名称。 FW(config)#context context-name 合法的虚拟防火墙名称长度为1-31字符. ，其中Root、ROOT、root是保留字不能给虚拟防火墙命名使用。 Step 3 指定虚拟防火墙配置文件名 config-file-name：配置文件名。 FW(config-ctx)#config-url config-file-name 配置文件名的合法长度是1-31字符。不同的虚拟防火墙配置文件不能相同，而且不能使用根防火墙的配置文件config.text Step 4 FW(config)#interface vlan vlan-id 创建第一个VLAN 接口

陕西科技大学毕业论文（设计说明书）

34

Step 5 Step 6 FW(config-if)#ip vrf forwarding context-name FW(config-if)#ip address ip_addrss mask 把接口分配给虚拟防火墙 接口配置IP地址 5.6.3 配置虚拟防火墙的资源限制

以下是在根防火墙限制虚拟防火墙资源的配置：

表5-17 虚拟防火墙资源限制配置

Step 1 Step 2 命令 FW# configure terminal FW(config)#context context-name 作用 进入全局配置模式。 创建或进入虚拟防火墙配置模式 限制虚拟防火墙占用的主机表数。 Step 3 FW(config-ctx)#host-limit num num取值范围0-65535，默认情况下虚拟防火墙不限制主机表数。 限制虚拟防火墙占用的MAC表数。 Step 4 FW(config-ctx)#mac-limit num num取值范围0-32768，默认情况下虚拟防火墙不限制MAC表数。 限制虚拟防火墙ACE数。 Step 5 FW(config-ctx)# ace-limit num num取值范围0-200000，默认情况下虚拟防火墙不限制ACE。

防火墙技术的应用研究

35

6 防火墙功能的实现及测试

6.1 设计实现效果

6.1.1 环境设计一

图6-1访问列表例图1

按照设计要求，通过在firewall B上配置访问列表，实现以下安全功能：

(a)192.168.12.0/24网段的主机只能在正常上班时间访问远程UNIX主机TELNET服务，拒绝PING服务。

(b)在firewall B控制台上不能访问192.168.202.0/24网段主机的所有服务。 Firewall B的配置：

Ruijie(config)# interface GigabitEthernet 0/1

Ruijie(config-if)# ip address 192.168.12.1 255.255.255.0 Ruijie(config-if)# exit

Ruijie(config)# interface GigabitEthernet 0/2 Ruijie(config-if)# ip address 2.2.2.2 255.255.255.0 Ruijie(config-if)# ip access-group 101 in Ruijie(config-if)# ip access-group 101 out

按照要求，配置一个编号为101的扩展访问列表

Ruijie(config)# access-list 101 permit tcp 192.168.12.0 0.0.0.255 any eq telnet time-range check

陕西科技大学毕业论文（设计说明书）

36

Ruijie(config)# access-list 101 deny icmp 192.168.12.0 0.0.0.255 any Ruijie(config)# access-list 101 deny ip 2.2.2.0 0.0.0.255 any Ruijie(config)# access-list 101 deny ip any any 配置 Time-Range 时间区 Ruijie(config)# time-range check

Ruijie(config-time-range)# periodic weekdays 8:30 to 17:30 6.1.2 环境设计二

为实现禁止部分用户登录HTTP浏览网页，登录QQ，可以进一步采用访问控制列表的端口策略。

图6-2访问列表例图2

按照设计要求，通过在firewall A上配置访问列表，实现以下安全功能：192.168.12.0/24 网段中192.168.12.1--192.168.12.7的主机不能登录HTTP浏览网页，登录QQ，而其他用户则不受限制。 Firewall A的配置：

Ruijie(config)# interface GigabitEthernet 0/1

Ruijie(config-if)# ip address 192.168.12.1 255.255.255.0 Ruijie(config-if)# exit

Ruijie(config)# interface GigabitEthernet 0/2 Ruijie(config-if)# ip address 2.2.2.2 255.255.255.0 Ruijie(config-if)# ip access-group 102 out

按照要求，配置一个编号为102的扩展访问列表

Ruijie(config)# access-list 102 deny tcp 192.168.12.0 0.0.0.7 any eq 80 Ruijie(config)# access-list 102 deny tcp 192.168.12.0 0.0.0.7 any eq 8000

防火墙技术的应用研究

37

Ruijie(config)# access-list 102 permit any any

6.2 ACL、NAT测试

图6-3 测试仿真图

测试要求

(a)PC1模拟校园老师用户主机，IP地址为172.16.20.0/24，PC0模拟校园学生用户主机，IP地址为172.16.10.0/24。

(b)FireWall作为校园边界防火墙，行使NAT、ACL功能。解决用户主机上网及限定学生访问部分网站。连Internet的出口FA0/0的IP为202.16.53.1/24。202.16.53.8-15作为nat地址池公学生使用，地址202.16.53.3使用PAT（端口复用）供老师使用。

(c)ISP Router作为ISP的边界路由器，接口Fa0/0IP为作为202.16.53.2/24，使用Loopback0和Loopback1接口模拟internet，IP分别为2.2.2.2/32和3.3.3.3/32。学生仅能访问2.2.2.2，老师均可。 配置： 接口配置：

interface FastEthernet0/0

ip address 202.16.53.1 255.255.255.0 ip nat outside duplex auto speed auto

interface FastEthernet0/1

ip address 10.1.1.2 255.255.255.252 ip access-group 150 in ip nat inside duplex auto speed auto

陕西科技大学毕业论文（设计说明书）

38

学生NAT及ACL配置：

ip nat pool teacher 202.16.53.3 202.16.53.3 netmask 255.255.255.255 ip nat inside source list 20 pool teacher overload access-list 20 permit 172.16.20.0 0.0.0.255 老师NAT及ACL配置：

ip nat pool student 202.16.53.8 202.16.53.15 netmask 255.255.255.248 ip nat inside source list 10 pool student access-list 10 permit 172.16.10.0 0.0.0.255 对学生上网限制的配置：

access-list 150 deny ip 172.16.10.0 0.0.0.255 host 3.3.3.3 access-list 150 permit ip any any interface FastEthernet0/1 ip access-group 150 in 路由配置：

ip route 172.16.10.0 255.255.255.0 10.1.1.1 ip route 172.16.20.0 255.255.255.0 10.1.1.1 ip route 2.2.2.2 255.255.255.255 202.16.53.2 ip route 3.3.3.3 255.255.255.255 202.16.53.2 测试结果：

图6-4 学生主机测试

防火墙技术的应用研究

39

图6-5 老师主机测试

图6-6 地址转换测试

陕西科技大学毕业论文（设计说明书）

40

6.3 安全性抗攻击测试

对防火墙分别进行Land攻击、Smurf攻击、Fraggle攻击、SYN Flood攻击、UDP Flood

攻击、ICMP Flood攻击、IP分片Flood攻击、ICMP重定向攻击、Winnuke攻击、带源路由选项IP报文控制功能、带路由记录选项IP报文控制功能、ICMP不可达攻击、地址扫描攻击、端口扫描攻击、超长ICMP 报文攻击等。通过打开防火墙上的防攻击功能，在设备上输入相应的抗攻击配置，测试防火墙是否能抗击这些攻击。 测试结果证明这款防火墙能很好的抗击这些攻击。

6.4 虚拟技术及安全域技术测试

图6-7 测试

(a)在防火墙配置为透明模式，同时虚拟出2个虚拟防火墙FW1、FW2同时将对vlan200、vlan201、vlan1010、vlan1011划分到FW1，将vlan300、vlan301、vlan1020、vlan1021划分到FW2，同时配置虚拟防火墙的MAC会话，ACE等资源数。 FW root上的配置： context FW1 config-url fw1.text context FW2 config-url fw2.text

no service password-encryption ip fragment-quota 100 interface Vlan 10 ip vrf forwarding FW1

ip address 202.1.1.1 255.255.255.0

(b)配置虚拟防火墙的安全域以及安全域的各项策略，FW1的各种访问策略为PC1

防火墙技术的应用研究

41

所在网段能访问PC2所在网段，PC2不能访问PC1所在网段；PC1、PC2都能方位PC3所在的外网网段；外网网段无法访问PC1网段，但是可以访问PC2网段。 PC1：192.168.1.250；PC2：10.1.1.250；PC3：172.16.1.100 security-access btod from b to default security-access dtoc from default to c security-access ctod from c to default security-access btoc from b to c security-zone b ip access-group b security-zone c ip access-group c

ip session acl-filter-default-permit ip access-list standard b 10 permit 192.168.1.0 0.0.0.255 ip access-list standard c 10 permit 10.1.1.0 0.0.0.255 ip access-list extended btoc

10 permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255 ip access-list extended btod

10 permit ip 192.168.1.0 0.0.0.255 any ip access-list extended ctod 10 permit ip 10.1.1.0 0.0.0.255 any ip access-list extended dtoc 10 permit ip any 10.1.1.0 0.0.0.255

配置FW2的安全域以及安全域的各项测率，PC4所在网段能访问PC5所在网段，PC5不能访问PC4所在网段；PC4、PC5都能访问PC6所在的外网网段；外网PC6网段无法访问P4网段，但是可以访问PC5网段。

PC1：192.168.2.250；PC2：10.1.2.250；PC3：172.16.2.100 security-access btod from b to default security-access dtoc from default to c security-access ctod from c to default security-access btoc from b to c

(c)在S86上配置两个VRF(FW1/FW2)，分别连接两台虚拟防火墙FW1/FW2，并且将连接到两台RSR50的接口分别划分到两个VRF中，并且分别建立OSPF邻居。

(d)RSR50配置：

陕西科技大学毕业论文（设计说明书）

42

interface GigabitEthernet 0/0, no switchport

ip address 202.1.2.2 255.255.255.0 interface GigabitEthernet 0/1 no switchport

ip address 172.16.1.1 255.255.255.0 router ospf 1

network 0.0.0.0 255.255.255.255 area 0

(e)测试项：

表6-1 测试记录表 PC1 ping PC2 2.PC2 ping PC1 3.PC1 ping PC3 4.PC3 ping PC1 5.PC3 ping PC2 6.PC2 ping PC3 虚拟防火墙FW2的测试过程： 7.PC4 ping PC6 8.PC5 ping PC6 9.PC4 ping PC5 10.PC5 ping PC4 11.PC6 ping PC4 12.PC6 ping PC5 可以ping通 不可以ping通 可以ping通 不可以ping通 可以ping通 可以ping通 可以ping通 可以ping通 可以ping通 不可以ping通 不可以ping通 可以ping通 6.5 性能指标测试

常见的防火墙的性能指标：最大位转发率、吞吐量、延时、丢包率、背靠背、最大

并发连接数、最大并发连接建立速率、最大策略数、平均无故障间隔时间、支持的最大用户数等。 6.4.1 最大位转发率

(a)定义：防火墙的位转发率指在特定的负载下每秒钟防火墙将允许的数据流转发至正确的目的接口的位数。

防火墙技术的应用研究

43

(b)最大位转发率指在不同的负载下反复测量得出的位转发率数值中的最大值。 (c)测试合格 6.4.2 吞吐量

(a)定义：在不丢包的情况下能够达到的最大速率

(b)衡量标准：吞吐量作为衡量防火墙性能的重要指标之一，吞吐量小就会造成网络新的瓶颈，以至影响到整个网络的性能。

(c)测试合格 6.4.3 延时

(a)定义：入口处输入帧最后一个比特到达至出口处输出帧的第一个比特输出所用的时间间隔

(b)衡量标准：防火墙的延时能够体现它处理数据的速度。 (c)测试合格 6.4.4 丢包率

(a)定义：在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧的百分比

(b)衡量标准：防火墙的丢包率对其稳定性、可靠性有很大的影响。 6.4.5 缓冲

(d)定义：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧。当出现第一个帧丢失时，发送的帧数。

(e)衡量标准：背对背的测试结果能体现出被测防火墙的缓冲容量，网络上经常有一些应用会产生大量的突发数据包（例如：NFS，备份，路由更新等），而且这样的数据包的丢失可能会产生更多的数据包的丢失，强大的缓冲能力可以减少这种突发对网络造成的影响。

(f)测试合格

陕西科技大学毕业论文（设计说明书）

44

总 结

整个防火墙设计方案利用了现有的防火墙基础技术和最新研究的防火墙技术，对研

究防火墙设计，提高网络安全性具有十分重要的实际意义。

在网络安全解决方案中，建立或设置防火墙是一个非常关键和有效的环节。而本文则设计和实现了一个面向校园，企业，数据中心级的网关型防火墙,并为它们提供可靠的安全保护。

本文论述了防火墙的背景知识，包括防火墙的基本概念和防火墙技术的发展情况等。然后对设计这款防火墙所需要的主要技术进行了详细介绍，包括访问控制列表技术，网络地址转换技术、抗病毒攻击技术、安全域技术、虚拟防火墙技术、与服务器的联动技术、日志记录分析技术等。在此基础上，以我设计的防火墙为例，从防火墙的各项功能着手，分析并设计防火墙功能的实现方法及相应的软件配置。并通过各项测试来验证防火墙的功能，全文比较完整地叙述了此款防火墙的技术特点及性能。

本文所设计的防火墙，主要的成果有以下几点:

(a)集合了访问控制列表技术，网络地址转换技术、抗病毒攻击技术能很好的满足校园及企业的需求。

(b)安全域技术、虚拟防火墙技术则对数据中心的安全需求提供了强大的支持。 (c)日志的记录与查询为整个网络的监控提供了所有信息的记录。

(d)与服务器的联动不仅能提供强大的功能扩展，还能减轻防火墙的负担。 经过设备的实际测试和模拟器的测试，证明此款防火墙的功能是完全可行的。本课题所设计的防火墙完全符合现有市场需求，能在真实环境中使用。

虽然对防火墙的设计作了大量的工作，取得了一些成果，但还是有许多问题需要进一步研究。在VPN技术上还不能完全支持，这主要是由于此款防火墙的侧重点不同，而且需要许多相关的VPN隧道应用知识，这需要尽可能的通过实际应用来了解这些功能的使用环境。

防火墙技术的应用研究

45

致 谢

在此学士学位论文完成之际，首先向辛勤培养我的导师李斌老师和公司熊炜导师致以诚挚的感谢和崇高的敬意。本学位论文是在我的指导老师李斌，公司导师熊炜的悉心指导和关怀下完成的。从论文的选题、实验设计、结果讨论到论文的撰写及最后的定稿，无不倾注了李斌老师和熊炜老师的心血。是他的热情、教诲和帮助，激励着我完成了本文的研究工作。

同时还要感谢电信教研室的各位老师，在我本科学习期间他们给了我很多帮助，他们的诲人不倦和勇于探索创新的开拓精神给我留下了深刻印象，为我以后学习和工作树立的榜样。

多年来，父母和家人以及许多同学在生活和精神上的帮助，一直激励着我，使我的学业得以顺利完成，我衷心地祝福他们！在此，向所有关心和帮助过我的领导、老师、同学和朋友表示由衷的谢意！衷心地感谢在百忙之中评阅论文和参加答辩的各位老师、教授!

陕西科技大学毕业论文（设计说明书）

46

参 考 文 献

[1] (美)Marcus Goncalves.防火墙技术指南[M].机械工业出版社,2000.2 [2] (美)RichardA Deal Cisco.路由器防火墙安全[M].人民邮电出版社,2006.1 [3] 海尔(美) 刘成勇 翻 蒋克.Internet防火墙与网络安全[M].机械工业出版社, 1998.5

[4] 楚狂等.网络安全与防火墙技术[M].人民邮电出版社,2000.4

[5] 杨富国 吕志军 蔡圣闻.网络设备安全与防火墙[M].北京交通大学出版社,2006.1 [6] 杨辉，吴昊.防火墙--网络安全解决方案[M].国防工业出版社,2001.1

[7]北京启明星辰信息技术有限公司编.防火墙原理与实用技术[M].电子工业出版社,2002.1

[8] 崔佳.移动IPv6数据穿越防火墙问题的研究和实现[C].重庆大学硕士学位论文，2009.10

[9] 林延福. 入侵防御系统技术研究与设计[C]. 西安电子科技大学硕士学位论文 , 2005,5

[10] 刘文涛. 基于TCP/IP协议分析的网络入侵检测系统研究与设计[C]. 武汉理工大学硕士学位论文 , 2003.7

[11] 王文芳. 防火墙及网络安全技术[J]. 河南科技 , 2006,(07) :56-60

[12] 崔鹏, 文伟军, 顾朝灿. 分布式与智能化防火墙技术[J]. 兵工自动化 , 2006,(07) :211-214

[13] 黄登玺, 卿斯汉, 蒙杨. 防火墙核心技术的研究和高安全等级防火墙的设计[J]. 计算机科学 , 2002,(10):374-377

[14] 李晓利, 于春花. 网络安全技术探索[J]. 潍坊学院学报 , 2005,(02) :14-15 [15] 何武红. 防火墙技术发展与应用[J]. 计算机安全 , 2005,(05) :136-139 [16] 嘉一. 如何才能防患于未然——和大家谈谈防火墙(中)[J]. 电脑采购周刊 , 2001,(22):240-244

[17] Abie, H. CORBA Firewall Security: Increasing the Security of CORBA Applications. Telektronikk, 96 (2), 2000

本文来源：https://www.bwwdw.com/article/ijv8.html