超市局域网安全策略防火墙篇

超市局域网安全策略防火墙篇姓名：乔末爱学号:080102060067学院：工学院目录项目背景1（）现状分析1（二）现状需求1（三）安全策略2二.关键词注释3三现有网络结构描述5四.用户网络安全需求及总体框架7（）防火墙的基本内容7（二）防火墙的分类7（三）.防火墙的体系结构8（四）改造后拓扑图10（五）作用及说明11五效果13六资金预算14一项目背景（一）现状分析随着Internet的迅猛发展，信息网络在现代社会发展中的作用日益凸显， 网络已经由传统的媒介载体演变为基础的工作、生活平台。网络的社会普及性 和依赖度日渐提高，对于越来越多的社会公众来说，它不仅仅是工作、生活的重 要平台，甚至已经成为工作、生活的基本内容之一；同时，网络越来越多地进入 政府、军事、经济、文化教育等公共管理领域，这些部门的计算机系统中存储 着许多重要和敏感的信息，甚至国家机密。几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统 的人，他们利用各种网络和系统的漏洞，非法获得未授权的访问信息。不幸的 是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的 攻击工具和攻击文章等资源，可以任意使用和共享。不需要去了解那些攻击程 序是如何运行的，只需要简单的执行就可以给网络造成巨大的威胁。甚至部分 程序不需要人为的参与，非常智能化的扫描和破坏整个网络。这种情况使得近 几年的攻击频率和密度显著增长，给网络安全带来越来越多的安全隐患。综上所述，网络虽然大大提高了人们的工作效率，丰富了人们的生活，弥 补了人们的精神空缺；而与此同时也给人们带来了一个日益严峻的问题 网络安全。网络的安全性成为当今最热门的话题之一，很多企业为了保障自身 服务器或数据安全都采用了防火墙。防火墙是网络安全策略的有机组成部分，它通过控制和监测网络之间的信 息交换和访问行为來实现对网络的安全管理。防火墙是一种在内部和外部Z间 的安全防范措施，可以认为它是一种访问机制，用于确定哪些内部问题可以提 供给外部服务器，以及那些服务器可以访问内部网资源。要是一个防火墙有效, 所有来自和去往Internet的所有信息都必须经过它，并H只能允许授权的数据 通过。防火墙本身必须免于渗透，从而来保护网络的安全。对于格林超市同样面临着严峻的网络安全考验。现在超市服务器来连接外 网只通过包过滤路由器，极易受到外来攻击.（二）现状需求格林连锁超市信誉良好，但由于一些问题，与多家供货商发生了强烈的矛盾, 不仅损坏了与多家供货商长期以来的有好合作关系，而且造成了巨大经济损失。 经过内部仔细的分析发现，其根本的原因是因为超市的网络安全设施几乎为零, 从而导致黑客侵入超市的服务器修改了一些数据，最终导致这一巨大经济损失。 为此超市经理决定改进网络结果。这家超市的老板吸取教训，找到了一家 网络安全公司，要求他们帮助防范网络安全问题。超市局域网安全策略一一防火墙篇（三）安全策略防火墙的基本设计目标：A. 对于一个网络来说，所有通过内部网络和外部网络的流量都要经过防火 墙；B. 通过一些安全策略，保证只有经过授权的流量才可以通过防火墙；C. 防火墙木身必须建立在安全操作系统上。鉴于本超市的网络安全状态低下，该超市应当立即采取防火墙安装策略。二.关键词注释Firewall：即防火墙，是指位于计算机和它所连接的网络之间的硬件或者 软件。NAT:英文全称是"Network Address Translation中文意思是"网络地 址转换”，它是一个 IETF （Internet Engineering Task Force, Internet 工程 任务组）标准，允许一个整体机构以一个公用TP （Internet Protocol）地址出 现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译 成合法网络IP地址的技术。ISP：全称Internet Service Provider,互联网服务提供商，即向广大用 户综合提供互联网接入业务、信息业务、和增值业务的电信运营商。ISP是经 国家主管部门批准的正式运营企业，享受国家法律保护。是环球信息网（World Wide Web ）的缩写，也可以简称为Web, 中文名字为“外围网”FTP:是File Transfer Protocol （文件传输协议）的英文简称，而中文 简称为“文传协议”。用于Internet 的控制文件的双向传输。同时，它也是 一个应用程序（Application）。用户可以通过它把自己的PC机与世界各地所有 运行FTP协议的服务器相连，访问服务器上的大量程序和信息。FTP的主要作 用，就是让用户连接上一个远程计算机（这些计算机上运行着FTP服务器程序） 察看远程计算机有哪些文件，然后把文件从远程计算机上拷到本地计算机，或 把木地计算机的文件送到远程计算机去。DMZ：是英文demilitarized zone”的缩写，中文名称为"隔离区",也 称“非军事化区”。它是为了解决安防火墙后外部网络不能访问内部网络服务器 的问题，而设立的一个罪安全系统与安全系统之间的缓冲区，这个缓冲区位于 企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置 一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一 方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部 署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。超市局域网女全策略防火墙篇三现有网络结构描述Internet分析以上超市的网络拓扑结构图，可以发现超市冃前的安全系数基本为零。超市局域网安全策略一一防火墙篇因为目前系统中只有一台连接外网的包过滤路由器，然而包过滤路由器存在一 些无法忽视的缺点：a. .最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了 问题，会使得网络大门敞开，而用户其至可能还不知道。b. 些包过滤网关不支持有效的用户认证。在一般情况下，如果外部用户被 允许访问内部主机，则它就可以访问内部网上的任何主机。c. 规则表很快会变得很大而且复杂，规则很难测试。随着表的增大和复杂 性的增加，规则结构出现漏洞的可能性也会增加。d. 包过滤防火墙只能阻止一种类型的TP欺骗，即外部主机伪装内部主机的 IP,对于外部主机伪装外部主机的IP欺骗却不可能阻止，而且它不能防止DNS 欺骗。四用户网络安全需求及总体框架（一）防火墙的基本内容1. 防火墙是一个系统或一组系统，在内部网与因特网间执行一定的安全策略， 它实际上是一种隔离技术。一个有效的防火墙应该能够确保所有从因特网流入 或流向因特网的信息都将经过防火墙，所有流经防火墙的信息都应接受检查。 通过防火墙可以定义一个关键点以防止外來入侵；监控网络的安全并在异常情 况下给出报警提示，尤其对于重大的信息量通过时除进行检查外，述应做H志 登记；提供网络地址转换功能，有助于缓解IP地址资源紧张的问题，同时，可 以避免当一个内部网更换isp时需重新编号的麻烦；防火墙是为客户提供服务 的理想位置，即在其上可以配置相应的WWW和FTP服务等。2. 防火墙的功能：控制进岀网络的信息包，作为中心“扼制点”，集中管理网络安全； 支持网络使用与流量日志与审计，管理和监控网络的访问； 实施NAT,缓解地址空间短缺的问题，同时隐藏内部网络结构的细节； 部署WWW和FTP服务器，同吋向内网与外网客户发布信息；3 .防火墙的主要限制：无法防范通过防火墙以外的其它途径的攻击；不能防止传送已感染病毒的软件或文件；无法防范数据驱动型的攻击；不能防止来自内部变节者和不经心的用户带来的威胁；4.防火墙的安全策略：必须建立了全方位的防御体系，规定网络访问、服务访问、本地和远地的 用户认证、磁盘和数据加密、病毒防护措施，以及雇员培训等。（二）防火墙的分类1 按实现原理分：a. 包过滤防火墙原理：在网络层和传输层对数据包实施有选择的通过，依据预先设定好的过 滤规则ACL,检查经过的每个数据包，根据数据包的源IP地址/目标IP地址/ 协议/端口确定是否允许通过。实现：路由器一般都具备包过滤功能。b. 应用级防火墙原理：应用级防火墙采用代理服务的方式，防火墙内外的计算机系统应用 层的链接是在两个终止于代理服务的链接来实现，这样便隔离了防火墙内外计 算机系统的任何直接链接，然后由代理按照制定的规则对数据包进行过滤处理;实现：应用级防火墙一般采用在通用计算机系统上安装软件防火墙实现，即 代理服务器。2.按实现方式分：超市局域网安全策略一一防火墙篇a.软件防火墙实现：在通用的计算机系统上安装防火墙软件，通过防火墙软件设置安全策 略。特点：软件防火墙成本相对较低，功能丰富灵活，可以工作在网络层和应用 层；软件防火墙采用软件实现，性能受到影响；软件防火墙建立在通用的计算 机及操作系统之上，本身存在安全性弱点；b硬件防火墙实现：采用专用的硬件和软件合成的防火墙，通过防火墙提供的配置命令设 置安全策略。特点：硬件防火墙的硬件、软件都是专门针对防火墙功能而设计的，与软件 防火墙相比具有高安全性、高性能等优点，但灵活性不如软件防火墙。(三).防火墙的体系结构一个完整的防火墙的体系通常包括以下三个部分：(1) 屏蔽路由器(Screening Router)这是防火墙最基木的构件。它可以由厂家专门生产的路由器实现，也 可以用主机来实现。屏蔽路由器作为内外连接的唯一通道，要求所有的报 文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件，实 现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简 单。单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问的主机。它的缺点是一旦被攻陷后很难发现，而且不能识别 不同的用户。实现：采用路由器配置包过滤防火墙，设置ACL、NAT等包过滤防火墙的基本 功能。特点：支薛网络层的安全策略：过滤特定网络服务的数据包，防御源IP地址 欺骗式攻击(伪装内网IP)、源路由攻击(旁路)等；不支持应用层次的 安全策略。单纯的包过滤防火墙的安全机制是比较脆弱，无法抵御来自数 据驱动式攻击的潜在危险，且对黑客来说是比较容易攻击的。(2) 双宿主机网关(Dual Homed Gateway)实现：采用一台装有两块网卡的主机(堡垒主机)做防火墙，两块网卡分别与内 网和外部网相连，堡垒主机上运行防火墙软件提供代理服务，阻断了内外网数据的直接交换, 由堡垒主机根据规则转发，属于应用级防火墙，即代理服务器。特点：与屏蔽路由器(包过滤)相比，应用级防火墙工作在应用层，能够对服务进 行全而的控制，支持应用层安全策略，如限制服务的命令集，支持应用层次上 的过滤，维护系统H志等。但双宿主机网关有一个致命弱点，一旦入侵者侵入 堡垒主机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有保 护的内部网络。(3) 被屏蔽主机网关(Screened Host Gateway)屏蔽主机网关易于实现，安全性好，应用广泛。它又分为单宿堡垒主机和 双宿堡垒主机两种类型。单宿堡垒主机类型是一个包过滤路