四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法
3企业网络安全分析
3.1企业网络安全现状
现在企业中主要出现的网络问题大多以网速慢,开视频卡,无法进入公司内部网络完成工作的问题。而且一般的公司员工对此也没太多防范意识,当出现这些问题时就需要网络管理员注意了,哪怕事一个很小的问题,如网速变慢等,其最终结果也可能导致企业的巨大损失。
3.2来自内部网络的攻击
3.2.1ARP攻击
ARP协议包含在了TCP/IP协议里面,主要目的是为了解决IP地址和MAC地址的对应关系。
通过假冒的IP地址和MAC地址来欺骗ARP,这边是ARP攻击的原理,可以在当前局域网中生成非常多的APR通信量来达到网络阻塞的目的,而骇客只要利用这一点不断的向主机发送ARP响应包就能造成网络的中断。
ARP攻击主要存在于局域网络中,当局域网中的一台电脑感染了ARP木马之后,这台电脑就会试图截获所在网络其他计算机的通信量,这会对计算机造成非常大的危害,特别是针对已经在网络中部署好了的计算机会发生信息交流的问题。
攻击者会向主机A发送一个假冒的ARP响应,告诉主机A:主机B的IP地址192.168.0.2对应的MAC地址是00-aa-00-62-c6-03,主机A将会信以为真,它会将这个ip和mac地址的对应编入自己的ARP缓存表中,再发送数据时,本来会发送给主机B的数据就会发给攻击的人。同样的,攻击者向主机B也发送一个假冒的ARP响应,告诉主机B:主机A的IP地址192.168.0.1对应的MAC地址是00-aa-00-62-c6-03,主机B也会将数据发送给攻击者。
这样一来的话我们就需要对802.1x协议进行配置了,才能尽量减少可能存在的那些arp攻击。
IEEE 802.1x是在端口的访问控制协议的基础下设立的协议,对用户的认证和授权操作就是由它来完成的。攻击者需要进行身份认证的连接开关(与MAC VLAN,端口,帐号,密码),只有通过认证的网络数据传输。攻击者可以
7
四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法
不经过授权就能向网络发送假冒的ARP报文。如图三
IP=192.168.0.1MAC=00-aa-00-62-c6-01电脑AIP=192.168.0.2MAC=00-aa-00-62-c6-02电脑BIP=192.168.0.2MAC=00-aa-00-62-c6-03IP=192.168.0.1MAC=00-aa-00-62-c6-03攻击者IP=192.168.0.3MAC=00-aa-00-62-c6-03
图三:在802.1x保护下的APR攻击
3.2.2网络监听
网络监控是一种工具,主要目的是监视网络的状态,数据流和信息传递过程和网络传输的信息。它可以将网络端口设置为监听模式,以此来截取网络上所传输的信息。对于企业危险的是当骇客侵入之后,并且取得了超级用户权限,使用网络监听便能非常容易的获得用户的账号密码信息,导致非常大的损失。
3.2.3蠕虫病毒[10]
蠕虫病毒也是病毒,所以与其他电脑病毒具有一定的同性,通过感染系统重要文件来篡改文件代码,改变电脑系统、网络设置以此方式来造成损失。
蠕虫病毒入侵过程
一般情况下蠕虫病毒的攻击分为三步进行,分别是:
8
四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法
①扫描:在计算机上存在的漏洞会被蠕虫带有的扫描模组扫描到。只要预定程序向一个计算机发送检测漏洞的信息并且收到存在的反馈信息后,就相当于一个可传播的对象产生了。
②攻击:步骤一中的对象会被按照预定步骤被蠕虫病毒的攻击功能袭击,可以得到这个计算机的权限(一般情况下是管理员权限),获得一个shell。
③复制:简单来说就是当老主机和新主机有任何互动的行为,蠕虫病毒就会自动复制进入新主机达到传播的目的。
3.3来自外部网络攻击分析
3.3.1Dos攻击
DoS是Denial of Service的简称,是一个拒绝服务,它虽然看似简单,但实际上产生的危害很大,因为他会阻止计算机或着网络提供正常有效的服务。
最简单的Dos攻击非常容易实现,在Dos界面下,当两台电脑能够ping通的时候,不断的ping对方的ip地址,不断的发送数据包,这时对方电脑的网络就会阻塞从而导致其他数据包发送的信息无法送达。
Dos攻击非常实用的一点就是不需要收到来自受害计算机的回应,它只是单方面的发送很多无用的请求,因此很多的源ip地址都是伪造的,所以很多时候Dos攻击防不胜防,唯一有效的打击途径就是找出源ip对攻击者的身份和地址详查来打击Dos攻击。 3.3.2SYNflood攻击
如果发生了一次标准的TCP连接,那么会产生一个需要三次握手的方式。第一是要求方发送一个SYN消息,另一方收到SYN后,会向要求方发送一个回应示意确认,当要求方收到这个回应后,会又一次向服务方发送一个回应ack消息,那就表示这一次TCP连接建立成功。“SYNFlooding”则不同,是只当TCP协议栈在两台计算机之间第一次连接握手的过程进行DoS攻击,它只会在进攻时间的两个步骤:一是当服务回执要求SYN-ACK确认消息,请求方将使用源地址欺骗等方式使服务不接收响应ACK,这样的话服务方会在一段时间内都会在等候接收要求方ACK消息的状态。另一方面TCP连接对一台服务器的连接状态是有限的,因为它们在建立连接的时候没有太多的内存缓冲区,如果这一缓冲区全都是无效的连接的信息,这个服务器就不会对接下来的连接请求产生回应,直到缓冲区里的连接企图超时。当攻击者不断发送连接请求,服务器将使用TCP连接队列产生相当大的拥堵,可用资源的快速减少,网络可用带宽的迅速萎缩,所以,只有小部分的用户请求能够通过应答,因为带宽已经几乎被无效的请求占满了,服务器就不能向广大用户提供有效,安全的服务了。
9
四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法
3.3.3Port Scan Attack(端口扫描攻击)
在时间的源IP地址已经设置(默认值是5000微秒)到相同的目的地IP地址位于10个不同的端口密封包装,端口扫描攻击将产生。这个方式的目的是检索可用的服务,如果有一个端口响应,那么就能找出出作为目标的服务。在内部记录从一个源位置检索不同的端口号的防火墙。运用默认配置,当远端主机在极短时间(大约0.005秒)扫描了十个不同的port(端口)。防火墙把这个事件记录为port(端口)的扫描攻击,而且会否定这一秒剩下的时间内从这个原地址发来的其他封包。 3.3.4ICMP Flood(UDP泛滥)
ICMP也是TCP/IP协议簇中的一员,控制报文协议,它被用在在计算机和路由器中间传导用于控制路由的信息。控制信息代表类似于网络的通常度,主机能否达到,消息在网络中是否可用。类似这类消息就是我们所说的控制消息了,它不会对用户的数据产生影响,但对于用户传递数据来说是非常有用的。
这是一个ICMP洪水攻击,发送超过65535字节的包的目标,使目标主机瘫痪,如果大量发送成为洪水攻击 3.3.5端口扫描
当有人发送一组端口扫描信息的时候,那就要小心了,可能是某些人想要入侵你的网络了。端口扫描实际上是在探测端口的弱点,通过找出这些弱点来入侵计算机。
扫描器是一种程序,用于找到其他计算机或者本机的安全弱点,运行扫描器的话能够不留下痕迹的找到远端服务设备的各个TCP端口的分配方式和提供的服务和它们的软件版本,这样的话能有效帮助我们知道那些远程计算机存在有哪些需要重视的安全方面的问题。
4防火墙在企业中的应用配置
4.1配置防火墙时需注意的问题
4.1.1防火墙应安全可靠
首先防火墙本身需要具有强大的防攻击免疫力,这一点非常重要,自身非常难于攻破,否则一切都是空话。正如它本身的字面意思一样,它就是一面墙,一面在网络与网络之间,网络与用户之间的墙,保护从网络到网络,网络到用户的数据安全可靠,不被侵犯。因此,防火墙本身一定要具有这种强大的免疫力。
10
四川大学锦城学院本科毕业论文 防火墙在企业局域网中的架设及配制方法
4.1.2防火墙应性能稳定
企业在选购防火墙的时候一定要注意购买信得过的大厂商,他们出产的产品不仅质量可靠,而且售后方面也很让人省心,如思科、华为等厂商的产品。 4.1.3防火墙配置与管理方便
防火墙的配置流程尽量简单,方便管理员配置,方便网络出错时查找出问题根源。而管理也尽量简化,免得给管理员增添多余负担。 4.1.4防火墙要具有可升级与可扩展性
因为防火墙本质上来讲也是硬件服务器,因此可升级与可扩展性就非常的重要了,随着企业的一步步壮大,需要防火墙做的处理也会越来越多,因此,留下足够的空间扩大,以适应未来变化的安全需求的快速发展,支持服务和新功能。
4.1.5防火墙要有病毒防护功能
防火墙应能防止网络病毒的传播,比等待更有效的其他攻击的到来,因为最好的防御就是攻击。
4.2防火墙应用配置
4.2.1E-mail电子邮件服务
电子邮件是一种广泛使用的服务,让我们利用互联网服务非常方便,但是给我们带来便利的同时,也不可避免地产生一些麻烦。其中往往是Sendmail程序和SMTP协议带来的问题。为了解决这个问题,防火墙中必须要安装有SMAP和SMAPD这两个协议程序来达到减少Sendmail的权利,通过控制一些SMTP的功能来减少命令,优化处理过程。 4.2.2Telnet服务
Telnet服务主要用于访问论坛站点和实行远程调用。而问题就在于访问时口令的验证基本上都是明文验证。这样的话就会产生监听的问题,因此在配置防火墙时需要配置内部的用户可以访问出站的Telnet服务,而入站的Telnet服务不能访问自己的站点,被严格的控制起来。 4.2.3WWW服务
WWW服务这种方便强大的图形交互页面访问服务已经被全世界认可,但是也存在着一定的安全隐患。第一个就是HTTP协议,它允许远程用户对远程服务器请求通信及远程执行命令,这样Web服务器和用户就处在了危险的地步。另一个问题就是服务器日志,在Web服务器上会对所有使用者的数据以及要求信息进行收录,如果HTTP不对这些要求设置一些限制,这样会带来一系列比较麻烦的问题。不过也不用担心,我们可以使用防火墙设置代理服务器和加密通信来解决了。
11