2022年边界网络安全 .pdf

《2022年边界网络安全 .pdf》由会员分享，可在线阅读，更多相关《2022年边界网络安全 .pdf（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、可信园区网络的设计与部署 -边界网络安全【摘要】随着校园网络的高速建设与发展，在给师生带来上网冲浪、购物便利的同时，网络安全也日益成为一个不可忽略的问题。本文主要针对现有网络中网络边界上存在的安全问题，进行详尽的安全威胁调研，经过需求分析、概要设计、详细设计、部署安全策略的实施与测试后得出一套完整可行的解决方案。主要解决方案包括：在网络边界部署硬件防火墙设备，防火墙设备的选型，网络地址转换的部署与测试以及网络边界安全策略的制定，其中包括网络信任域的划分，网络互访的限定，网络互访流量的审核。本文中还针对目前网络中普遍存在的DDOS 攻击提出相应的解决方案。【关键字】安全的园区网络；网络安全；边界

2、网络安全1. 福建师范大学福清分校校园网现有网络以及网络安全状况概述2 1.1 在福建师范大学福清分校网络系统中增加网络安全性的意义2 1.2 现有网络概述2 1.2.1 现有网络的物理连接示意图2 1.2.2 现有网络的逻辑规划概述3 1.3 现有网络边界存在的主要安全风险3 1.3.1 网络互访存在的安全威胁3 1.3.2 公共服务存在的安全威胁 3 1.4 现有网络边界存在的主要安全需求3 2. 网络边界安全的详细设计和配置 5 2.1 防火墙的基本定义 5 2.2 各种防火墙技术简介 5 2.2.1包过滤防火墙及其特点 5 2.2.2应用代理防洪墙及其特点 5 2.2.3状态检测防火墙

3、及其特点 6 2.2.4防火墙的附加功能 6 2.3 DMZ 区域简介 6 2.4 防火墙的ASA自适应安全算法 6 2.5 防火墙设备的选型 6 2.6 网络边界的安全策略的制定 7 2.6.1划分安全信任域 8 2.6.2用户访问控制策略的制定 8 2.6.3流量过滤 9 2.6.3.1基本的流量过滤 9 2.6.3.2 RFC1918过滤 10 2.6.3.3 RFC2728过滤 11 2.7 在网络边界部署NAT 12 2.7.1 NAT简介及其相关概念 12 2.7.2 NAT的优点 12 2.7.3 边界路由器上NAT的配置 13 名师资料总结 - - -精品资料欢迎下载 - -

4、- - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 16 页 - - - - - - - - - 可信园区网络的设计与部署-网络边界安全2 2.7.4 NAT可用性的测试 14 3总结 16 4参考文献 16 5致谢 16 1 福建师范大学福清分校校园网现有网络以及网络安全状况概述1.1 在福建师范大学福清分校网络系统中增加网络安全性的意义随着计算机技术、 信息技术的发展，计算机网络已经成为广大高校师生学习娱乐的关键平台。与此同时， 随着计算机网络系统的发展，计算机网络安全系统必将发挥越来越重要的作用。由于广大师生对网络的需

5、求与日俱增，以及计算机网络朝着多媒体方向发展，对网络的性能，如带宽、延时、延时抖动等都提出了更高的要求，原先的福建师大福清分校的二期校园网已经逐渐不能满足广大师生日益增长的上网需求。校园网络安全系统的建立，必将为学校的行政管理、信息交流提供一个安全的环境和完整平台。通过先进技术建立起的网络安全系统，可以从根本上解决来自网络外部及内部对网络安全造成的各种威胁，以最优秀的网络安全整体解决方案为基础形成一个更加完善的业务系统和办公自动化系统。利用高性能的网络安全环境，提供整体防病毒、防火墙、防黑客、数据加密、身份验证等于一身的功能，有效地保证秘密、 机密文件的安全传输，严格地制止经济情报失、泄密现象

6、发生， 避免重大经济案件的发生。1.2 现有网络概述1.2.1现有网络的物理连接示意图，如图1-1 所示：福清城域网交换机交换机外语楼无线接入点科学楼教学楼图书馆昌檀楼新学生公寓接入点交换机交换机交换机校内教工宿舍校外教工宿舍交换机6#楼4#楼交换机2007年5月25日页 1可信园区网络的总体连接拓扑防火墙Cisco PIX 5251000BASE-T千兆以太网EthernetChannel以太网通道2M 帧中继专线图例说明DMZ 区域各种服务器核心三层交换机FTP服务器HTTP 服务器网管服务器数据库服务器网管服务器AAA 服务器课件服务器图 1-1 总体连接拓扑经过三期改造后的校园网，据有

7、如下特点：高性能：实现了千兆核心，百兆到桌面。服务器集群与核心交换机之间采用千兆连接，高速的网络名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 16 页 - - - - - - - - - 可信园区网络的设计与部署-网络边界安全3 可以满足未来若干年内对网络带宽的需求。在校园网中部署了OSPF 路由协议， 借由路由协议可以实现链路间的高速切换，同时也有利于后期的扩展。健壮性： 在原有单核心交换机的基础上加上了双核心交换机，从而大大提高了网络的健壮性。通过在两台交换机上部署

8、HSPR 协议，提供了第一跳网关冗余。可扩展性：采用层次化设计，在原有网络中新增加了汇聚层，将原有的核心层/ 接入层二层设计变更成三层模型，即核心层，分布层，接入层。各个层次间的分工和地位明确，有利于故障的排查和隔离。1.2.2现有网络的逻辑规划概述: 1）外部用户访问学校网站和FTP 服务器外部用户可以通过Internet 访问学校的网站。2）内部用户访问外部网络存在以下两种情况：内网用户通过10M光纤专线访问互联网，学校现有的公网IP 地址为 218.5.6.0/24网段。内网用户通过2M帧中继专线访问福建师范大学校园网。其IP 地址段为202.121.0.0/16网段。3）内部部门之间的

9、连接学校的各个部门之间的网络是相互连接的。现存在两个网段， 分别是 192.168.0.0/16,100.0.0.0/24网段。其中192.168.0.0/16被分配用与普通网络设备的IP 地址， 例如教师办公用计算机、教师宿舍楼的计算机、学校机房的计算机等，100.0.0.0/24网段被用于关键部门，其中包括教务处的内部网络，课件服务器，学籍管理系统的服务器等。100.0.0.0/24网段由于承载了许多关键服务，故其对安全性的需求较高。1.3 现有网络边界存在的主要安全风险由于福建师范大学福清分校的校园网上的网络体系越来越复杂，应用系统越来越多，网络规模不断扩大，逐渐由单纯的提供内部互联的网

10、络发展到Intranet，现在已经扩展到Internet，网络用户也已经不单单为内部用户。 而网络安全主要是由处于中心节点的相关连接广域网的路由器直接承担对外部用户的访问控制工作，且内部网络直接与外部网络相连，对整个网络安全形成了巨大的威胁。1.3.1 网络互访存在的安全威胁内部网络和外部网络之间的连接为直接连接，外部用户不但可以访问对外服务的服务器，同时也可以容易地访问内部的网络服务器和主机。这样， 由于内部和外部没有隔离措施，内部系统较容易遭到攻击，且内部的信息也容易遭到外部攻击者的破坏。由于我国互联网用户众多，而大多数的互联网用户安全意识不足，导致互联网整体安全形势不容乐观。校园网用户在

11、没有适当的防护下，即使正常的访问互联网，如在不知情的情况下打开某些带有木马的网页 ,下载一些带有病毒的软件，也有可能遭到病毒、木马的侵害，造成不必要的损失。此外，互联网中的一些有害信息，也需要经过相应的过滤。其中主要包括：与福建师范大学本部连接的部分；病毒或不良信息也完全有可能通过与本部相连的2M 帧中继专线进入校园网中1.3.2 公共服务存在的安全威胁缺乏对公共服务（public sever）的保护。现有网络同时还对外开放HTTP 服务和FTP 服务。由于现今互联网上黑客和不法攻击者甚多，缺乏适当保护的HTTP 服务器和FTP 服务器无疑将成为黑客和攻击者们的最好目标。常见的攻击手段如 DD

12、OS 分布式拒绝服务攻击等，随时都将对对外提供服务的服务器造成了重大威胁。关键部门缺乏有效防护重要部门的网络和关键敏感主机（这里主要指学校教务处内网和财务处内网）既没有与非关键网段实行必要的物理隔离也没有实行逻辑隔离，没有制定和实施相应的网络安全策略，如访问控制策略等。使得学校教务处内网和财务处内网随时都面临着重大的威胁，例如关键数据被窃取、篡改、删除等。1.4 现有网络边界存在的主要安全需求名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 16 页 - - - - - -

13、 - - - 可信园区网络的设计与部署-网络边界安全4 由于在现有网络中，内部网络和外部网络是直接连接的。网络边界的互通性和网络访问的无限制性使得网络边界很容易成为黑客或者恶意份子攻击的入口。如果网络边界没有任何的安全机制，外部连接可以没有任何约束的进入内部网络，窃听、监视内部网络；或者直接对内部网络设备发起攻击，损失可用带宽， 造成网络阻塞、 甚至瘫痪； 或者网络内部的重要数据库或者服务器进行攻击造成机密信息的泄露、甚至篡改。在网络边界上，即需要保证内部网络的安全与此同时还要提供对外服务，典型的如HTTP服务和FTP 服务等，这就需要对内部网络和对外服务之间实行不同的安全策略。针对通过以上的

14、这些需求分析，可以总结出如下需求：网络边界必须部署相应的设备，主要也就是防火墙来实现内部网络和外部网络的隔离，从而改变网络访问的无限制性。目前学校在校师生5000 多人，共计 1000 余个节点有上网需求，其并发连接数和通过网络边界的流量都比较大。因此需要选择合适的网络安全设备来满足网络边界的安全需求。由于需要同时对外提供服务，主要是HTTP 和 FTP 服务，因此内部网络和对外提供服务的服务器之间必须制定不同的安全策略，规划不同的安全等级。针对目前互联网上黑客和不法攻击者较多的特点，为了防止各种网络攻击，有必要对内部地址进行隐藏。网络边界的公共服务必须受到相应的保护，以防止DOS 攻击。由于

15、网络安全设备位于网络的最外部，其自身安全性也是设计中需要考虑的重要因素。与师大校园网互访的要求，只允许教师办公电脑访问师大校园网，学生电脑发起的请求将被阻断。由于外部访问量较大，有必要使用虚拟IP 地址来对 HTTP 服务器和FTP 服务器进行服务分配。2. 网络边界安全的详细设计和配置名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 16 页 - - - - - - - - - 可信园区网络的设计与部署-网络边界安全5 2.1 防火墙的基本定义防火墙的定义是隔离在本地网络

16、与外界网络之间的一道防御系统。防火墙可以使企业内部网络与Internet 之间或者与其他外部网络互相隔离、限制网络互访，以保护内部网络。通常认为：防火墙是位于两个（或多个）网络间，实施网络之间访问控制的组件集合。它具有以下3 个方面的基本特性。内部网络和外部网络之间的所有网络数据流都必须经过防火墙。因为只有当防火墙是内、外部网络之间通信的唯一信道，才可以全面、有效地保护企业网部网络不受侵害。只有符合安全策略的数据流才能通过防火墙。这是防火墙的工作原理特性。防火墙之所以能保护企业内部网络， 就是依据这样的工作原理或者说是防护过滤机制进行的。它可以由管理员自由设置企业内部网络的安全策略，使允许的通

17、信不受影响，而不允许的通信全部拒绝在内部网络之外。防火墙自身应具有非常强的抗攻击免疫力。这是防火墙之所以能担当企业内部网络安全防护重任的先决条件4。2.2 各种防火墙技术简介防火墙是用于网络周边安全的关键设备。防火墙的功能是允许或者拒绝那些带有特殊预置规则企图穿过防火墙的访问。所有种类的防火墙都是具备检测网络访问和在规则集基础上制约访问的功能。然而他们所使用的方法是不同的。有3种不同种类的防火墙技术。分组过滤技术代理服务器状态检测2.2.1包过滤防火墙及其特点分组过滤防火墙仅仅检测在开放系统互联（OSI）参考模型中传输层的输入流量。分组过滤防火墙分析 TCP或者 UDP分组，并且把他们跟一组称

18、作访问控制列表（access control list,ACL ）的建立好的规则进行比较。分组过滤仅仅检测下列分组元素：源 IP 地址（ source IP address) 源端口 ( source port) 目的 IP 地址 ( destination IP address) 目的端口 ( destination port) 协议 ( protocol) ：指 TCP 或者是 UDP包过滤防火墙把这些元素与ACL （规则集）进行比较，以确定是否允许或者拒绝该分组。分组过滤的一些缺点如下：ACL非常复杂并且难于管理。所有的维护工作都是通过手工完成，人为的疏忽很容易造成安全漏洞。分组过滤防火

19、墙能够被欺骗，而错误地允许一个未授权用户的访问。这个未授权用户是使用了一个由 ACL 授权的 IP 地址作为它自己的IP 地址进行欺骗的。许多新应用 （比如多媒体应用）在随机端口创建多个连接，直到建立了连接才能够确定是使用了哪个端口。因为访问列表是手工配置的，因此对这些应用提供支持是很困难的。2.2.2应用代理防洪墙及其特点代理，充当另一个人的替代者的一个代理人；授权充能够充当另一个人代理防火墙， 通常被称为代理服务器，代表在受保护网段上的主机工作。受保护的主机与外界没有任何连接。 在受保护网络中的主机发送他们的请求给已认证和已授权的代理服务器。这样， 代理服务器代表发送请求的主机向外部发送请

20、求，并且向发送请求的主机转发应答。代理运行在OSI 参考模型的上层。大部分代理防火墙被设计成常用信息的高速缓存，以加速对发送请求主机的响应时间。处理执行代理服务所需的工作量是重要的，并且随着发送请求主机数量的增加而增加。大型网络通常使用几个代理服务器， 以避免吞吐量的问题。一个发送请求主机通过一个代理能够访问的应用的数量是有限的。通过设计，代理防火墙可以仅仅支持指定的应用和协议。代理服务器的主要缺点是它们是运行在操作系统之上的应用。 一个设备只能获得同它运行的操作系统一样的安全性。如果操作系统被攻陷了，未授权用户名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - -

21、- - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 16 页 - - - - - - - - - 可信园区网络的设计与部署-网络边界安全6 就能控制代理防火墙，并获得对整个受保护网络的访问。2.2.3状态检测防火墙及其特点状态检测，也称为状态分组过滤（stateful packet filtering ）, 是一个过滤和代理服务器的组合。这项技术更安全并且提供了更多的功能性，因为连接不但应用一个ACL ，也记录进一个状态表。一个连接建立后， 所有的会话数据都要与状态表相比较。如果会话数据与状态表中这个连接的信息不匹配，这个连接就会被丢弃。状态分组过滤是Ci

22、sco PIX 防火墙使用的方法。2.2.4防火墙的附加功能目前的防火墙还往往能够提供一些附加的功能，如：1. IP 转换即 NAT，IP 转换主要功能有二，一是隐藏在其后的网络设备的真实IP，从而使入侵者无法直接攻击内部网络，二是可以使用RFC1918 的保留 IP，这对解决IP 地址匮乏的网络是很实用的。2. 虚拟专用网VPN ，它是指在公共网络中建立的专用加密虚拟通道，以确保通讯安全。3. 杀毒一般都通过插件或联动实现。4. 与 IDS 联动目前实现这一功能的产品也有逐渐增多的趋势。5. GUI 界面管理， 目前大多数的商用防火墙一般都提供了WEB 和 GUI 的界面，以便于管理员进行配

23、置工作。6. 自我保护，流控和计费等其它功能。2.3 DMZ区域简介DMZ （非军事区）作为内外网都可以访问的公共计算机系统和资源的连接点，在其中放置的都是一些可供内、外部用户公共访问的服务器，或提供通信基础服务的服务器及设备。比如企事业单位的WEB 服务器、 E-MAIL （邮件）服务器、VPN 网关、 DNS 服务器、拨号所用的MODEM 池等。这些系统和资源都不能放置在内部保护网络内，否则会因内部网络受到防火墙的访问限制而无法正常工作。DMZ 区通常放置在带包过滤功能的边界路由器与防火墙之间。因为边界路由器作为网络安全的第一道防线， 可以起到一定的安全过滤作用，因为它具有包过滤功能，通常

24、不会设置得太严。而防火墙作为网络的第二道， 也是最后一道防线，它的安全级别肯定要比边界路由器上的设置高许多。如果把用于公共服务器的一些服务器放置在防火墙之后，显然因安全级别太高，外部用户无法访问这些服务器，达不到公共服务的目的4。2.4 防火墙的 ASA自适应安全算法每个防火墙的接口都被分配上相应的安全等级（security level ） 。PIX 防火墙允许流量从安全等级较高的接口流向安全级别较低的接口而不需要在较高安全等级的段上定义任何的显式的安全规则。从较低安全级别接口流向较高安全级别端口的流量则必须满足以下两个条件。对于目的必须存在一个静态的转换（translation）必须存在一条

25、 ACL或者是 conduit 来允许该流量。2.5 防火墙设备的选型根据 2.2 节对各种防火墙技术的分析，结合目前学校对网络边界安全的需求，决定采用状态检测防火墙。主要原因如下：包过滤防火墙虽然速度快，但已属于上一代防火墙技术，包过滤防火墙只能工作在OSI 网络模型的第三层和第四层，对于更高层次的信息无法进行有效过滤，此外包防火墙的可扩展性，智能性方面存在着不足，容易造成安全漏洞。应用代理防火墙虽然价格低廉，易于部署。 但由于应用代理防火墙是基于软件实现的，其过滤速度有限，最大吞吐量等指标不能满足现有网络边界的安全需求。另外应用代理防火墙的自身安全性能有限，部署在网络边界上有被攻破的危险。

26、综上分析，在网络边界才用状态检测防火墙是较为合理的，主要理由如下：1状态检测防火墙基于硬件实现性能较高。我校目前有需要访问Internet 的主机 1000 余台，以每名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 16 页 - - - - - - - - - 可信园区网络的设计与部署-网络边界安全7 个主机 3-4 个 TCP 连接计算，网络边界至少需要维护3000-4000 个并发连接，这是普通的应用代理防火墙无法实现的。2状态检测防火墙灵活性好。由于状态检测防火墙是

27、基于连接状态来进行检测的，当网络出现新的应用是，它并不需要人为的增加新的过滤条目，从而大大提高了防火墙的灵活性。3状态检测防火墙可以检测更深层次的信息。例如状态检测防火墙可以根据应用层的协议来检测报文。4状态检测防火墙自身安全性好。状态检测防火墙往往是基于专门的软件和硬件开发的，其系统具有一定的封闭性，故其自身安全性较好。CISCO PIX 系列防火墙的主要特性：高级防火墙服务深层检测防火墙服务，如HTTP、FTP 和 ESMTP；即时消息；对等和隧道化应用阻拦；采用基于流量的安全策略的思科模块化策略框架；虚拟防火墙服务；第二层透明防火墙；3G 移动无线安全服务。强大的 IP Sec VPN

28、服务 VPN 客户端安全状实施； 自动VPN 客户端软件升级； VPN 隧道上的OSPF动态路由。PIX-525 的相关参数如表2-1 表 2-1 PIX-525 的相关参数参数类型PIX-525 参数设备类型企业级防火墙并发连接数280000 网络吞吐量370Mpps 安全过滤带宽100MB 用户数限制无限制入侵检测DOS、IDS 安全标准UL, C-UL, TUV, IEC 950 控制端口RS-232(RJ-45) 管理CSPM、PDM 适用环境工作温度（）-5 - 55 工作湿度95%相对湿度（ RH）电源220V,135W 防火墙尺寸464*445*90mm 防火墙重量14.5kg

29、其他性能处理器： 600MHz Intel Pentium III ； 随机读写内存： 高达 256 MB ；闪存： 16 MB, 接口：双集成10 Base-T 快速以太网，RJ45,PCI 插槽： 3 个高可用性服务屡获大奖的主用/备用或更为先进的主用/主用故障切换，支持不对称路由；远程接入和站点间VPN 状态化故障切换；无需停机的软件升级智能网络服务PIM 组播路由；服务质量（QoS） ；IPv6 网络灵活的管理解决方案SSHv2 和 SNMPv2c ；配置回退；可用性增强；基于Web 的自适应安全设备管理器（ ASDM ）2.6 网络边界的安全策略的制定网络边界的安全策略的制定主要包括

30、如下内容：划分安全信任域。用户访问控制策略的制定审核和过滤2.6.1划分安全信任域名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 16 页 - - - - - - - - - 可信园区网络的设计与部署-网络边界安全8 根据对现有网络边界安全的需求分析，网络可以划分为以下几个安全区域：内部网段： 即校园网内网，是防火墙重点保护的对象，其拥有最高的安全级别和受信级别。其主要的承载对象为广大师生的计算机。外部网段：在本设计中是指边界路由器以外的网络。即INTERNET和福建师大

31、校园网，其安全级别和受信级别最低，一切从外部网络发起的流量都将被禁止。DMZ 网段：被规划用于放置对外服务器，其安全级别和受信级别介于内部网络和外部网络之间。允许外部网络访问其中的资源。具体的安全区域规划和各个区域与防火墙相连的接口，以及各个接口的安全级别如图2-2 所示：ISP routerINTERNET WAN RouterinterntetCampus Networks192.168.0.0/16师大校园网HTTP服务器FTP服务器FirewallCisco PIX-525福建师范大学福清分校网络边界DMZ 区域172.16.1.0/24内部网络外部网络interface e0name

32、if outsidesecurity-level 0 接口e0连接外部网络 ,将其安全级别设定为 0 interface e2nameif DMZsecurity-level 50 接口e0连接外部网络 ,将其安全级别设定为 50 interface e1nameif insidesecurity-level 100 接口e0连接外部网络 ,将其安全级别设定为 100 图 2-2 网络边界安全区域的划分分属于两个安全区域的网段通过PIX 防火墙进行互连，各个区域的安全级别和访问级别如表2-3 所示：表 2-3 No. 安全区域安全级别访问级别1 外部网段低级无。提供网络连接。2 DMZ 网段中

33、级受限访问；对外可见；对外提供受限的服务3 内部网段高级可自由访问外部网络资源；对外不可见。2.6.2用户访问控制策略的制定根据需求分析，网络边界上存在的主要的访问方式如图2-4 所示：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 16 页 - - - - - - - - - 可信园区网络的设计与部署-网络边界安全9 ISP routerINTERNET WAN RouterinterntetCampus Networks192.168.0.0/16师大校园网HTTP服

34、务器FTP服务器FirewallCisco PIX-525福建师范大学福清分校网络边界DMZ 区域172.16.1.0/24内部网络外部网络stop3241所允许的流量为 :HTTP TCP 端口80FTP TCP 端口21图 2-4 网络边界上存在的主要的访问方式1外部用户访问DMZ区域中的服务器。这种访问方式的情况较为特殊，默认情况下是不允许的。但实际应用中又需要外部用户可以访问到公共服务器，所以必须在防火墙上增加相应的访问控制列表来允许外部用户对DMZ 区域的访问。2内部用户访问外部网络。根据ASA自适应安全算法，从高安全等级接口流向低安全等级的接口的流量默认情况下是被允许的，内部网络的

35、安全级别高于外部网络，故这种访问方式默认情况下是被允许的，但实际应用中， 还会对访问外部网络的流量加以一定限制。例如，本网络中用户要求只允许教师的主机访问师大校园网络，此时， 就必须对访问外部的流量加以一定的限制，详细内容将在2.6.3.1基本的流量过滤中叙述。3内部用户访问DMZ区域中的服务器。根据ASA自适应安全算法，从高安全等级接口流向低安全等级的接口的流量默认情况下是被允许的，内部网络的安全级别高于外部网络，故这种访问方式默认情况下是被允许的。4外部用户访问内部网络。默认情况下不允许，从而防止了外部用户对内部非法访问。2.6.3流量过滤2.6.3.1基本的流量过滤外部用户需要访问DMZ

36、 区域中的公共服务器，现有需要进行审核和过滤的应用和服务类型包括：（如表 2-5 所示）表 2-5 服务类型端口范围 / 协议类型说明WWW 80, tcp WWW服务FTP 21, tcp 文件传输服务为了使外部用户可以访问内部的网段，在防火墙上创建一个访问控制列表允许外部网络访问内部网络：access-list permit DMZ extended permit tcp any host 172.16.1.1 eq http / 允许互联网主机访问DMZ 中的 HTTP服务器 #1 access-list permit DMZ extended permit tcp any host 1

37、72.16.1.2 eq http / 允许互联网主机访问DMZ 中的 HTTP服务器 #2 access-list permit DMZ extended permit tcp any host 172.16.1.3 eq ftp 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 16 页 - - - - - - - - - 可信园区网络的设计与部署-网络边界安全10 / 允许互联网主机访问DMZ 中的 FTP服务器access-list permit DMZ exten

38、ded deny ip any any / 拒绝其他一切的访问access-list permit DMZ in interface outside / 在防火墙的outside接口上部署学校还要求只能允许教师主机访问福建师大校园网，因此定义访问控制列表如下：这里教师的主机所在的网络地址为192.168.3.0/24，师大校园网的IP 地址范围为202.121.0.0/16 access-list to_fjsd extended permit ip 192.168.3.0 0.0.0.255 202.121.0.0 0.0.255.255 /允许教师主机访问师大校园网络access-list

39、 to_fjsd extended deny ip any 202.121.0.0 0.0.255.255 / 拒绝其余主机访问师大校园网access-list to_fjsd in internface inside / 在 inside 接口上应用该AC L 由于互联网上的带有不少有害信息，因此也有需要在网络边界上对这些有害信息进行过滤，下面以过滤用户访问sina 的图片为例子，介绍HTTP过滤的基本方法与使用！阻止访问sina 的图片class-map type regex match-any url_list /定义一个正则表达式url_to_sina match regex rege

40、x regex exit class-map type regex match-all methods /定义一个正则表达式methods match regex GET exit class-map type http http_url_policy /定义一个用于过滤HTTP 的 MAP match request url regex class url /匹配 HTTP 的 request请求报文中的URL 字段match request method regex class methods /匹配 HTTP 的 request报文中的 GET 命令exit policy-map typ

41、e http http_polisy class http_url_policy drop /阻止用户访问sina 上的图片service-policy http_policy interface outside /在接口 outside上应用2.6.3.2 RFC1918过滤在 RFC1918中定义了一段永久保留的IP 地址，它们只能被用于私有的网络中。许多组织和机构都利用 RFC1918中的 IP 地址来对它们的内部网络进行编址，然后使用NAT技术来对Internet进行访问。RFC1918所定义的 IP 地址如下：10.0.0.0 10.255.255.255(10/8 prefix)

42、172.16.0.0 172.31.255.255(172.16/12 prefix) 192.168.0.0 192.168.255.255(192.168/16 prefix) RFC1918过滤的基本原理是如果在网络边界上收到以RFC1918中所定义的IP 地址为源地址的IP 报文，那么这些报文都应该被视为是非法的，而且出现这种情况往往表明网络边界出现了DOS 攻击。在网络边界上部署RFC1918过滤一定程度上可以减轻以RFC1918中定义的IP 地址作为源地址的DOS攻击。在本网络中，RFC1918过滤将部署在与INTERNT相连的接口上。如图2-6 所示：名师资料总结 - - -精品

43、资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 16 页 - - - - - - - - - 可信园区网络的设计与部署-网络边界安全11 ISP routerINTERNET WAN RouterinterntetCampus Networks192.168.0.0/16师大校园网HTTP服务器FTP服务器FirewallCisco PIX-525福建师范大学福清分校网络边界DMZ 区域172.16.1.0/24内部网络外部网络RFC1918 过滤interface fa0/0ip access-

44、group denyRFC1918 in！ip access-list extended denyRFC1918 deny ip 10.0.0.0 0.255.255.255 any log deny ip 172.16.0.0 0.15.255.255 any log deny ip 192.168.0.0 0.0.255.255 any log permit ip any any定义一个扩展访问控制列表过滤所有的以RFC1918为源地址的IP报文。并在与INTERNET 连接的接口上部署e1e2e0图 2-6 在网络边界上部署RFC1918 过滤示意图2.6.3.3 RFC2728过滤RF

45、C2827过滤的主要作用是用来防止IP 欺骗攻击。 RFC2827定义了一种基于内部分配的网络进行过滤进站和出站流量的方法。以本网络为例，网络内部地址为192.168.0.0/16，DMZ 区域的 IP 地址为172.16.1.0/24，为了防止IP 源地址欺骗，首先在防火墙的接口E0上进行过滤，仅允许内部的192.168.0.0/16的网段和 DMZ 区域的 172.16.1.0/24通过，从而防止了内部用户对源IP 地址进行欺骗。同理，在边界路由器上也应进行相应的过滤。具体的过滤方向和方式如图2-7 所示：ISP routerINTERNET WAN RouterinterntetCamp

46、us Networks192.168.0.0/16师大校园网HTTP服务器FTP服务器FirewallCisco PIX-525福建师范大学福清分校网络边界DMZ 区域172.16.1.0/24内部网络外部网络e1e2e0RFC2827过滤interface fa0/1ip access-group 101 inip access-group 102 out!access-list 101 permit ip 192.168.0.0 0.0.255.255access-list 101 permit ip 172.16.1.0 0.0.0.255access-list 101 deny ip

47、any any!access-list 102 deny ip 192.168.0.0 0.0.255.255access-list 102 deny ip 172.16.1.0 0.0.0.255access-list 102 permit ip any any 去往INTERNT 的流量来自 INTERNT 的流量RFC2827过滤access-list 101 permit ip 192.168.0.0 0.0.255.255access-list 101 permit ip 172.16.1.0 0.0.0.255access-list 101 deny ip any any!acce

48、ss-list 102 deny ip 192.168.0.0 0.0.255.255access-list 102 deny ip 172.16.1.0 0.0.0.255access-list 102 permit ip any any！access-list 101 out interface outsideaccess-list 102 in interface outside图 2-7 在网络边界上部署RFC2728 过滤示意图名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第

49、 11 页，共 16 页 - - - - - - - - - 可信园区网络的设计与部署-网络边界安全12 2.7 在网络边界部署NAT 2.7.1 NAT简介及其相关概念NAT(Network Address Translation) 的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。在网络内部，各计算机间通过内部的IP 地址进行通讯。而当内部的计算机要与外部internet 网络进行通讯时，具有NAT 功能的设备（比如：路由器）负责将其内部的IP 地址转换为合法的IP 地址（即经过申请的IP 地址）进行通信。下面简要的介绍NAT 的一些相关概念：内部本地地址

50、（Inside local address） ：分配给内部网络中的计算机的内部IP 地址。 在本设计中Inside local address 分别为 192.168.0.0/16（内部网络）和172.16.1.0/24（DMZ 区域）内部合法地址（Inside global address ） ：对外进入IP 通信时，代表一个或多个内部本地地址的合法IP 地址。需要申请才可取得的IP 地址。在本设计中即为： 218.5.6.0/24（与 INTERNET相连的地址）和 Y。Y。Y。Y(和师大校园网相连的地址) 外部合法地址（outside global address） ：指任意一个合法的全