防火墙管理与维护

前言

网络安全是一个不容忽视的问题，当人们在享受网络带来的方便与快捷的同时，也要时时面对网络开放带来的数据安全方面的新挑战和新危险。

为了保障网络安全，当园区网与外部网连接时，可以在中间加入一个或多个中介系统，防止非法入侵者通过网络进行攻击，非法访问，并提供数据可靠性、完整性以及保密性等方面的安全和审查控制，这些中间系统就是防火墙（Firewall）技术。它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵，以此来实现内部网络的安全运行。

我们在使用防火墙的同时，对性能、技术指标和用户需求进行分析。包过滤防火墙技术的特点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。

I

园区网防火墙管理与维护的研究

目录

前言.............................................................................................................................................. I 目录............................................................................................................................................ II 摘要：....................................................................................................................................... I II ABSTRACT: ................................................................................................................................. I II 第一章防火墙的概述及其分类.............................................................................................. - 1 - 1.1 概述.................................................................................................................................... - 1 - 1.2 防火墙的分类..................................................................................................................... - 2 - 第二章防火墙的作用、特点及优缺点................................................................................. - 3 - 2.1 防火墙的作用..................................................................................................................... - 3 - 2.2 防火墙的特点.................................................................................................................... - 4 - 2.3 防火墙的优势和存在的不足............................................................................................ - 5 - 第三章防火墙的管理与维护.................................................................................................. - 6 - 3.1 建立防火墙的安全策略.................................................................................................... - 6 - 3.2 日常管理............................................................................................................................ - 8 - 3.3 监视系统.......................................................................................................................... - 10 - 3.4 保持最新状态.................................................................................................................. - 12 - 结束语...................................................................................................................................... - 13 - 致谢...................................................................................................................................... - 14 - 参考文献.................................................................................................................................. - 15 -

II

商丘科技职业学院毕业论文

摘要：本文从介绍防火墙的基本概念、分类以及特点入手，探讨防火墙维护与管理的方法、技术的发展趋势。为了保障网络安全，当园区网与外部网连接时，可以在中间加入一个或多个中介系统，防止非法入侵者通过网络进行攻击，非法访问，并提供数据可靠性、完整性以及保密性等方面的安全和审查控制，这些中间系统就是防火墙(Firewall)技术。它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵，以此来实现内部网络的安全运行。

【关键字】：园区网；防火墙；管理与维护

Abstract:This article from the firewall to introduce the basic concepts, classification and characteristics start to explore the firewall maintenance and management methods, technology trends. In order to protect the security of the network, when the park network to connect with the outside network, in the middle of adding one or more intermediaries, to prevent illegal intruders through the network attacks, unauthorized access and provide data reliability, integrity and confidentiality, and so on The review of security and control, in the middle of these systems is a firewall (Firewall) technology. Through its monitoring, limit, modify the data stream across a firewall, as far as possible to shield the network's internal structure and operation of information to prevent unauthorized users outside the network attacks, as well as visits to block the virus invasion, in order to achieve internal network The safe operation.

【Keyword】:campus network；firewall；Operations, Administration and Maintenance

-III-

第一章防火墙的概述及其分类

网络安全的重要性越来越引起网民们的注意，大大小小的单位纷纷为自己的内部网络筑墙、防病毒与防黑客成为确保单位信息系统安全的基本手段。防火墙是目前最重要的一种网络防护设备，是处于不同网络（如可信任的局域内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口，能根据企业的安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

1.1概述

在逻辑上，防火墙其实是一个分析器，是一个分离器，同时也是一个限制器，它有效地监控了内部网间或Internet之间的任何活动，保证了局域网内部的安全。

1.1.1 什么是防火墙

古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所。现在，如果一个网络接到了Internet上面，它的用户就可以访问外部世界并与之通信。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵，提供扼守本网络的安全和审计的关卡，它的作用与古时候的防火砖墙有类似之处，因此就把这个屏障叫做“防火墙”。

防火墙可以是硬件型的，所有数据都首先通过硬件芯片监测；也可以是软件型的，其实硬件型也就是芯片里固化了UNIX系统软件，只是它不占用计算机CPU 的处理时间，但价格非常高，对于个人用户来说软件型更加方便实在。

1.1.2 防火墙的功能

- 1 -

园区网防火墙管理与维护的研究

防火墙只是一个保护装置，它是一个或一组网络设备装置。它的目的就是保护内部网络的访问安全。它的主要任务是允许特别的连接通过，也可以阻止其它不允许的连接。其主体功能可以归纳为如下几点：

·根据应用程序访问规则可对应用程序联网动作进行过滤；

·对应用程序访问规则具有学习功能；

·可实时监控，监视网络活动；

·具有日志，以记录网络访问动作的详细信息；

·被拦阻时能通过声音或闪烁图标给用户报警提示。

1.1.3 防火墙的使用

由于防火墙的目的是保护一个网络不受来自另一个网络的攻击。因此，防火墙通常使用在一个被认为是安全和可信的园区网与一个被认为是不安全与不可信的网络之间，阻止别人通过不安全与不可信的网络对本网络的攻击，限制非法用户访问本网络，最大限度地减少损失。

1.2 防火墙的分类

市场上的硬件防火墙产品非常之多，分类的标准比较杂，从技术上通常将其分为“包过滤型”、“代理型”和“监测型”等类型。

1.2.1 包过滤型

包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP(传输控制协议/用户数据报协议)源端口和目标端口等。

- 2 -

1.2.2 代理型

代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。

1.2.3 监测型

监测型防火墙是新一代的产品，这一技术实际上已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种监测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品。

第二章防火墙的作用、特点及优缺点

防火墙通常使用在一个可信任的内部网络和不可信任的外部网络之间，阻断来自外部通过网络对局域网的威胁和入侵，确保局域网的安全。与其它网络产品相比，有着其自身的专用特色，但其本身也有着某些不可避免的局限。下面对其在网络系统中的作用、应用特点和其优缺点进行简单的阐述。

2.1 防火墙的作用

防火墙可以监控进出网络的通信量，仅让安全、核准了的信息进入，同时又抵制对园区网构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍，对

- 3 -

园区网防火墙管理与维护的研究

网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使单位强化自己的安全策略。一般的防火墙都可以达到如下目的：一是可以限制他人进入内部网络，过滤掉不安全服务和非法用户；二是防止入侵者接近防御设施；三是限定用户访问特殊站点；四是为监视Internet安全提供方便。

2.2防火墙的特点

在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。包过滤技术是一种基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java 小程序以及电子邮件中附带的病毒；代理型防火墙的特点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。当然代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性；虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙产品仍然以第二代代理型产品为主，但在某些方面也已经开始使用监测型防火墙。

防火墙一般具有如下显著特点：

·广泛的服务支持通过动态的、应用层的过滤能力和认证相结合，可以实现WWW浏览器、HTTP服务器、FTP等；

·对私有数据的加密支持保证通过Internet进行虚拟私人网络和商业活动不受损坏；

·客户端只允许用户访问指定的网络或选择服务企业本地网、园区网与分支机构、商业伙伴和移动用户等安全通信的信息；

- 4 -

·反欺骗欺骗是从外部获取网络访问权的常用手段，它使数据包类似于来自网络内部。防火墙能监视这样的数据包并能丢弃；

·C/S模式和跨平台支持能使运行在一个平台的管理模块控制运行在另一个平台的监视模块。

2.3防火墙的优势和存在的不足

防火墙在确保网络的安全运行上发挥着重要的作用。但任何事物都不是完美无缺的，对待任何事物必须一分为二，防火墙也不例外。在充分利用防火墙优点为我们服务的同时，也不得不面对其自身弱点给我们带来的不便。

2.3.1 防火墙的优势

（1）防火墙能够强化安全策略。因为网络上每天都有上百万人在收集信息、交换信息，不可避免地会出现个别品德不良或违反规则的人。防火墙就是为了防止不良现象发生的“交通警察”，它执行站点的安全策略，仅仅允许“认可的”和符合规则的请求通过。

（2）防火墙能有效地记录网络上的活动。因为所有进出信息都必须通过防火墙，所以防火墙非常适合用于收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录。

（3）防火墙限制暴露用户点。防火墙能够用来隔开网络中的两个网段，这样就能够防止影响一个网段的信息通过整个网络进行传播。

（4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。

2.3.2 防火墙存在的不足

- 5 -

园区网防火墙管理与维护的研究

（1）不能防范恶意的知情者。防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户可以偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁，只能要求加强内部管理。

（2）不能防范不通过它的连接。防火墙能够有效地防止通过它传输的信息，然而它却不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。

（3）不能防备全部的威胁。防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，就可以防备新的威胁，但没有一台防火墙能自动防御所有新的威胁。

第三章防火墙的管理与维护

在防火墙设计建造完成以后，使它正常运转还要做大量的工作。值得注意的是，这里许多维护工作是自动进行的。管理与维护工作主要有4个方面，它们分别是：建立防火墙的安全策略、日常管理、监控系统、保持最新状态。

3.1建立防火墙的安全策略

安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问，如读取、删除、下载等行为的规范，以及哪些人拥有这些权力等信息。

3.1.1 网络服务访问策略

网络服务访问策略是一种高层次的、具体到事件的策略，主要用于定义在网络中允许的或禁止的网络服务，还包括对拨号访问以及PPP（点对点协议）连接的限制。比如，如果一个防火墙阻止用户使用Telnet服务访问因特网，一些人

- 6 -

可能会使用拨号连接来获得这些服务，这样就可能会使网络受到攻击。网络服务访问策略不但应该是一个站点安全策略的延伸，而且对于机构内部资源的保护也起全局的作用。这种策略可能包括许多事情，从文件切碎条例到病毒扫描程序，从远程访问到移动介质的管理。

3.1.2 防火墙的设计策略

防火墙的设计策略是具体地针对防火墙，负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前，必须了解这种防火墙的性能以及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行一下两种基本策略中的一种：

①除非明确不允许，否则允许某种服务；

②除非明确允许，否则将禁止某项服务。

执行第一种策略的防火墙在默认情况下允许所有的服务，除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务，除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略（第一种），也可以实施一种限制性策略（第二种），这就是制定防火墙策略的入手点。

3.1.3 安全策略设计时需要考虑的问题

为了确定防火墙安全设计策略，进而构建实现预期安全策略的防火墙，应从最安全的防火墙设计策略开始，即除非明确允许，否则禁止某种服务。策略应该解决以下问题：

·需要什么服务，如Telnet、WWW或NFS等；

·在那里使用这些服务，如本地、穿越因特网、从家里或远方的办公机构等；

·是否应当支持拨号入网和加密等服务；

- 7 -

园区网防火墙管理与维护的研究

·提供这些服务的风险是什么；

·若提供这种保护，可能会导致网络使用上的不方便等负面影响；

·与可用性相比，站点的安全性放在什么位置。

3.2日常管理

日常管理是经常性的琐碎工作，以使防火墙保持清洁和安全。为此，需要经常去完成的主要工作：数据备份、账号管理、磁盘空间管理等。

3.2.1 数据备份

一定要备份防火墙的数据。使用一种定期的、自动的备份系统为一般用途的机器做备份。当这个系统正常做完备份之后，最好还能发送出一封确定信，而当它发现错误的时候，也最好能产生一个明显不同的信息。

为什么只是在错误发生的时候送出一封信就好了呢？如果这个系统只在有错误的时候产生一封信，或许就有可能不会注意到这个系统根本就没有运作。那为什么需要明显不同的信息呢？如果备份系统正常和执行失败时产生的信息很类似。那么习惯于忽略成功信息的人，也有可能会忽略失败信息。理想的情况是有一个程序检查备份有没有执行，并在备份没有执行的时候产生一个信息。

3.2.2 账号管理

账号的管理。包括增加新账号、删除旧账号及检查密码期限等，是最常被忽略的日常管理工作。在防火墙上，正确的增加新账号、迅速地删除旧账号以及适时地变更密码，绝对是一项非常重要的工作。

建立一个增加账号的程序，尽量使用一个程序增加账号。即使防火墙系统上没有多少用户，但每一个用户都可能是一个危险。一般人都有一个毛病，就是漏

- 8 -

掉一些步骤，或在过程中暂停几天。如果这个空档正好碰到某个账号没有密码，入侵者就很容易进来了。

账号建立程序中一定要标明账号日期，以及每隔一阶段就自动检查账号。虽然不需要自动关闭账号，但是需要自动通知那些账号超过期限的人。可能的话，设置一个自动系统监控这些账号。这可以在UNIX系统上产生账号文件，然后传送到其他的机器上，或者是在各台机器上产生账号，自动把这些账号文件拷贝到UNIX上，再检查它们。

如果系统支持密码期限的功能，应该把该功能打开。选择稍微长一点的期限，譬如说三到六个月。如果密码有效期太短，例如一个月，用户可能会想尽办法躲避期限，也就无法在安全防护上得到真正的收益。同理如果密码期限功能不能保证用户在账号被停用前看到密码到期通知，就不要开启这个功能。否则，用户会很不方便，而且也会冒着锁住急需使用机器的系统管理者的风险。

3.2.3 磁盘空间管理

数据总是会塞满所有可用的空间，即使在几乎没有什么用户的机器上也一样。人们总是向文件系统的各个角落丢东西，把各种数据转存到文件系统的临时地址中。这样引起的问题可能常常会超出人们的想象。暂且不说可能需要使用那些磁盘空间，只是这种碎片就容易造成混乱，使事件的处理更复杂。于是有人可能会问：那是上次安装新版程序留下来的程序吗？是入侵者放进来的程序吗？那真的是一个普通的数据文件吗？是一些对入侵者有特殊意义的东西？等等，不幸的是能自动找出这种“垃圾”的方法没有，尤其是可以在磁盘上到处写东西的系统管理者。因此，最好有一个人定期检查磁盘，如果让每一个新任的系统管理者都去遍历磁盘会特别有效。他们将会发现管理员忽视的东西。

在大多数防火墙中，主要的磁盘空间问题会被日志记录下来。这些记录应该自动进行，自动重新开始，这些数据最好把它压缩起来。Trimlon程序能够使这个处理程序自动化。当系统管理者要截断或搬移记录时，一定要停止程序或让它们暂停记录，如果在截断或搬移记录时，还有程序在尝试写入记录文件，显然就

- 9 -

园区网防火墙管理与维护的研究

会有问题。事实上，即使只是有程序开启了文件准备稍后写入，也可能会惹上麻烦。

3.3监视系统

对防火墙的维护、监视系统是维护防火墙的重点，它可以告诉系统管理者以下的问题：

·防火墙已岌岌可危了吗？

·防火墙能提供用户需求的服务吗？

·防火墙还在正常运作吗？

·尝试攻击防火墙的是哪些类型的攻击？

要回答这几个问题，首先应该知道什么是防火墙的正常工作状态。

3.3.1 专用设备的监视

虽然大部分的监视工作都是利用防火墙上现成的工具或记录数据，但是也可能会觉得如果有一些专用的监视设备会很方便。例如，可能需要在周围网络上放一个监视站，以便确定通过的都是预料中的数据包。可以使用有网络窥视软件包的一般计算机，也可以使用特殊用途的网络检测器。

如何确定这一台监视机器不会被入侵者利用呢？事实上，最好根本不要让入侵者知道它的存在。在某些网络硬件设备上，只要利用一些技术和一对断线器（wire cutter）取消网络接口的传输功能，就可以使这台机器无法被检测到，也很难被入侵者利用。如果有操作系统的原始程序，也可以从那里取消传输功能，随时停止传输。但是，在这种情况下很难确认操作是否已经做成功了。

3.3.2 应该监视的内容

- 10 -

理想的情况是，应该知道通过防火墙的一切事情，包括每一条连接，以及每一个丢弃或接受的数据包。然而实际的情况是很难做到的，而折衷的办法是，在不至于影响主机速度也不会太快填满磁盘的情况下，尽量多做记录，然后再为所产生的记录整理出摘要。

在特殊情况下，要记录好以下内容：一是所有抛弃的包和被拒绝的连接；二是每一个成功的连接通过堡垒主机的时间、协议和用户名；三是所有从路由器中发现的错误、堡垒主机和一些代理程序。

3.3.3 监视工作中的一些经验

应该把可疑的事件划分为几类：一是知道事件发生的原因，而且这不是一个安全方面的问题；二是不知道是什么原因，也许永远不知道是什么原因引起的，但是无论它是什么，它从未再出现过；三是有人试图侵入，但问题并不严重，只是试探一下；四是有人事实上已经侵入。

这些类别之间的界限比较含糊。要提供以上任何问题的详细征兆是不可能的，但是下面这些归纳出的经验可能会对网络系统管理员有所帮助。如果发现以下情况，网络系统管理员就有理由怀疑有人在探试站点：一是试图访问在不安全的端口上提供的服务（如企图与端口映射或者调试服务器连接）；二是试图利用普通账户登录（如guest）；三是请求FTP文件传输或传输NFS（Network File System，网络文件系统）映射；四是给站点的SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器发送debug命令。

如果网络系统管理员见到以下任何情况，应该更加关注。因为侵袭可能正在进行之中：一是多次企图登录但多次失败的合法账户，特别是因特网上的通用账户；二是目的不明的数据包命令；三是向某个范围内每个端口广播的数据包；四是不明站点的成功登录。

如果网络系统管理员了发现以下情况，应该怀疑已有人成功地侵入站点：一是日志文件被删除或者修改；二是程序突然忽略所期望的正常信息；三是新的日志文件包含有不能解释的密码信息或数据包痕迹；四是特权用户的意外登录（例

- 11 -

园区网防火墙管理与维护的研究

如root用户），或者突然成为特权用户的意外用户；五是来自本机的明显的试探或者侵袭，名字与系统程序相近的应用程序；六是登录提示信息发生了改变。

3.3.4 对试探作出的处理

通常情况下，不可避免地发觉外界对防火墙进行明显试探——有人向没有向Internet提供的服务发送数据包，企图用不存在的账户进行登录等。试探通常进行一两次，如果他们没有得到令人感兴趣的反应，他们通常就会走开。而如果想弄明白试探来自何方，这可能就要花大量时间追寻类似的事件。然而，在大多数情况下，这样做不会有很大成效，这种追寻试探的新奇感很快就会消失。

一些人满足于建立防火墙机器去诱惑人们进行一般的试探。例如，在匿名的FTP区域设置装有用户账号数据的文件，即使试探者破译了密码，看到的也只是一个虚假信息。这对于消磨空闲时间是没有害处的，这还能得到报复的快感，但是事实上它不会改善防火墙的安全性。它只能使入侵者恼怒，从而坚定了入侵者闯入站点的决心。

3.4保持最新状态

保持防火墙的最新状态也是维护和管理防火墙的一个重点。在这个侵袭与反侵袭的领域中，每天都产生新的事物、发现新的毛病，以新的方式进行侵袭，同时现有的工具也会不断地被更新。因此，要使防火墙能同该领域的发展保持同步。

当防火墙需要修补、升级一些东西，或增加新功能时，就必须投入较多的时间。当然所花的时间长短视修补、升级、或增加新功能的复杂程度而定。如果开始时对站点需求估计的越准确，防火墙的设计和建造做的越好，防火墙适应这些改变所花的时间就越少。

- 12 -

结束语

随着Internet在我国的迅速发展，网络安全的问题越来越得到重视，防火墙技术也引起了各方面的广泛关注。我们国家除了自行展开了对防火墙的一些研究，还对国外的信息安全和防火墙的发展进行了密切的关注，以便能更快掌握这方面的信息，更早的应用到我们的网络上面。当然，金无足赤，人无完人，我们从防火墙维护和管理的研究上得知，防火墙能保护网络的安全，但并不是绝对安全的，而是相对的。

- 13 -

园区网防火墙管理与维护的研究

致谢

在这次毕业设计的过程中，在这里首先要感谢我的论文指导老师，在我做论文的每个阶段，从选题到论文提纲的确定，中期论文的修改，后期论文格式调整等各个环节中，贾老师都给予我悉心的指导。要感谢大学三年来所有的老师，为我们打下计算机方面的知识基础，以及感谢我的同学，通过这次论文我懂得计算机不只是拘泥于单一的思想，为我迈入社会的大门做好了铺垫，给予我莫大的帮助。老师渊博的知识、敏锐的思路和实事求是的工作作风给我留下了深刻的印象。

通过老师的指导让我的论文更加完善。通过自身的努力，我虽然取得了一定成绩，但同时也发现了许多不足，知识的欠缺以及动手能力的缺乏。这次毕业设计给了我一个踏上工作岗位之前的弥补机会。总之，本次毕业设计让我有了一个更充分了解自己的机会，丰富了自己的工作经验。

- 14 -

参考文献

[1] 虞益诚.网络技术及应用.东南大学出版社，2005.2

[2] 王睿.林海波.网络安全与防火墙技术.清华大学出版社，2005.7

[3] 黄志晖.计算机网络设备全攻略.西安电子科技大学出版社,2005.3

[4] 石良武.计算机网络与应用.清华大学出版社，2005.2

[5] 张维.实战网络工程案例.北京邮电大学出版社，2005.1

- 15 -

防火墙运行安全管理制度

防火墙运行安全管理制度 第一章总则 第一条为保障信息网络的安全、稳定运行，特制订本制度。 第二条本制度适用于信息网络的所有防火墙及相关设备管理和运行。 第二章防火墙管理员职责 第三条防火墙系统管理员的任命应遵循“任期有限、权限分散”的原则。 第四条系统管理员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任。 第五条必须签订保密协议书。 第六条防火墙系统管理员的职责： (一)恪守职业道德，严守企业秘密；熟悉国家安全生产法以及有关信息安全管理的相关规程； (二)负责网络安全策略的编制，更新和维护等工作； (三)对信息网络实行分级授权管理，按照岗位职责授予不同的管理级别和权限； (四)不断的学习和掌握最新的网络安全知识，防病毒知识和专业技能； (五)遵守防火墙设备各项管理规范。 第三章用户管理 第七条只有防火墙系统管理员才具有修改入侵检测设备策略配置、分析的权限。

第八条为用户级和特权级模式设置口令，不能使用缺省口令，确保用户级和特权级模式口令不同。 第九条防火墙设备口令长度应采用8位以上，由大小写、字母、数字和字符组成，并定期更换，不能使用容易猜解的口令。 第四章设备管理 第十条防火墙设备部署位置的环境应满足相应的国家标准和规范，以保证防火墙设备的正常运行。 第十一条防火墙设备定期检测和维护要求如下： (一)每月定期安装、更新厂家发布的防火墙补丁程序，及时修补防火墙操作系统的漏洞，并做好升级记录； (二)一周内至少审计一次日志报表； (三)一个月内至少重新启动一次防火墙； (四)根据入侵检测系统、安全漏洞扫描系统的提示，适时调整防火墙安全规则； (五)及时修补防火墙宿主机操作系统的漏洞； (六)对网络安全事故要及时处理，保证信息网络的安全运行。 第十二条防火墙设备安全规则设置、更改的授权、审批依据《防火墙配置变更审批表》（参见附表1）进行。防火墙设备安全规则的设置、更改，应该得到信息系统运行管理部门负责人的批准，由系统管理员具体负责实施。 第十三条防火墙设备配置操作规程要求如下： (一)记录网络环境，定义防火墙网络接口； (二)配置静态路由或代理路由；

防火墙方案

防火墙方案

防火墙方案

区域逻辑隔离建设（防火墙） 国家等级保护政策要求不同安全级别的系统要进行逻辑隔离，各区域之间能够按照用户和系统之间的允许访问规则控制单个用户，决定允许或者禁止用户对受控系统的资源访问。 国家等级化保护政策要求不同安全级别间的系统要进行区域的逻辑隔离，各区域之间能按照用户和系统之间的允许访问规则，控制担搁用户，决定允许或者拒绝用户对受控系统的资源访问。 在网络边界部署防火墙系统，并与原有防火墙形成双机热备，部署防火墙能够实现： 1.网络安全的基础屏障： 防火墙能极大地提高一个内部网络的安全性，并经过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能经过防火墙，因此网络环境变得更安全。如防火墙能够禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时能够保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙能够拒绝所有以上类型攻击的报文并通知防火墙管理员。 2.强化网络安全策略

经过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全能够不必分散在各个主机上，而集中在防火墙一身上。 3.对网络存取和访问进行监控审计 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是能够清楚防火墙是否能够抵挡攻击者的探测和攻击，而且清楚防火墙的控制是否充分。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 4.防止内部信息的外泄 经过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就能够隐蔽那些透漏内部细节如Finger，DNS等服务。

五种防火墙操作管理软件评测

目前，在市面上存在着可以使防火墙具有更高效率、带来更多效益的工具，Skybox和RedSeal 就是这些产品厂商中的个中翘楚。 任何一个在复杂企业环境中运行过多种防火墙的人都知道，捕捉错误的配置、避免防火墙规则(rule)相冲突、识别漏洞，以及满足审计与规则遵从(compliance)有多么的困难。 在此次测试中，我们重点关注的是五款防火墙操作管理产品：AlgoSec公司的防火墙分析器(Firewall Analyzer)，RedSeal公司的网络顾问(Network Advisor)和漏洞顾问(Vulnerability Advisor)，Secure Passage公司的FireMon，Skybox公司的View Assure和View Secure，以及Tufin公司的SecureTrack。 我们发现，这些产品的核心功能基本相似：能够检索防火墙(以及其他网络设备)的配置文件、存储并分析数据。如果安全策略遭到了破坏，它们可以查看历史变更记录、分析现有的防火墙规则、执行基于规则的查询，重新改变规则次序，并发出警报。它们还可以自动审计规则遵从，并生成相关报告。 此外，它们还能利用真实网络的即时快照版本进行建模与网络攻防测试。Algosec、RedSeal和Skybox还能提供所在网络的相关图表和拓扑视图。 总的来说，RedSeal和Skybox在此次测试中给我们留下的印象最为深刻，因为它们除了具备全部的基本功能外，还能支持多个厂商的漏洞扫描产品。这些漏洞扫描产品可以对网络存在的风险进行评分，并在整个网络范围内进行脆弱性分析。除了这两款产品，其他的产品同样给我们留下了很深的印象。 Algosec的防火墙分析器有一个直观的界面和预定义的标准审计和分析报告。该软件安装方便，同时还提供了一个简单的数据收集向导(wizard)。 RedSeal的网络顾问和漏洞顾问可以让用户了解自己的网络配置在防御来自互联网的威胁方面做得如何。该软件可以生成漏洞报告以显示网络存在的缺点，还包含了一些预先配置的规则遵从管理报告，有PDF和XML两种格式。 Secure Passage的FireMon可以对网络设备配置进行实时的分析，并通过规则遵从自动分析来保持最新状态。它还有一个专门的向导，可使得输入设备信息能一并发送到大型网络中。 Skybox的View Assure and View Secure能够按照小时、天、星期、月或年来自动收集配置文件信息。它内置了一个售票系统(ticketing system)，支持访问变更票(access change tickets)和策略破坏票(policy violation tickets)。 Tufin的SecureTrack拥有一个假设(What-If)分析的特性，以在策略实施之前对它们可能引起的变化进行测试。预定义的分析/报告选项是以行业最佳实践为基础的。 下面将分别详细介绍所测试的五款产品： AlgoSec防火墙分析器 我们测试了基于Linux的AlgoSec防火墙分析器软件包，该软件包拥有：分析引擎、收集引擎、Web服务器、针对本地和远程管理的GUI，以及用户、策略存储和系统日志数据库。 该分析器的引擎按照预定义或自定义的规则对收集的数据进行查询，然后生成一份详细的报告。同时，Web服务器将把警报信息通过电子邮件发送给防火墙管理人员。 该安装程序包支持32位红帽企业级Linux 4和5，以及Centos 4和5。在测试中，我们把该程序作为一个VMware应用设备安装在了戴尔600SC服务器上。一旦VMware Player加载到了防火墙分析器上，它就会启动并以超级管理员用户(root)进行登录，然后再打开防火墙分析器浏览程序。当浏览器的路径设置为https://hostaddress/时，会出现Algosec的管理界面，点击login(登录)将会启动管理应用程序客户端。 防火墙分析器有三种数据收集方法：通过访问管理选项卡上的向导;AlgoSec提供的半自动脚本;

防火墙题库

防火墙题库 1. 关于防火墙的描述不正确的是：（） A、防火墙不能防止内部攻击。 B、如果一个公司信息安全制度不明确，拥有再好的防火墙也没有用。 C、防火墙可以防止伪装成外部信任主机的IP地址欺骗。 D、防火墙可以防止伪装成内部信任主机的IP地址欺骗。 2. 防火墙的主要技术有哪些？（） A.简单包过滤技术 B.状态检测包过滤技术 C.应用代理技术 D.复合技术 E.地址翻译技术 3. 防火墙有哪些部属方式？（） A.透明模式 B.路由模式 C.混合模式 D.交换模式 4. 判断题：并发连接数——指穿越防火墙的主机之间或主机与防 火墙之间能同时建立的最大连接数。（） 5. 判断题：对于防火墙而言，除非特殊定义，否则全部ICMP消息 包将被禁止通过防火墙（即不能使用ping命令来检验网络连接是 否建立）。（） 6. 下列有关防火墙局限性描述哪些是正确的。（） A、防火墙不能防范不经过防火墙的攻击 B、防火墙不能解决来自内部网络的攻击和安全问题 C、防火墙不能对非法的外部访问进行过滤 D、防火墙不能防止策略配置不当或错误配置引起的安全威胁 7. 防火墙的作用（）

A、过滤进出网络的数据 B、管理进出网络的访问行为 C、封堵某些禁止的行为 D、记录通过防火墙的信息内容和活动 8. 防火墙能够完全防止传送己被病毒感染的软件和文件 9. 一般情况下，防火墙是关闭远程管理功能的，但如果必须进行 远程管理，则应该采用（）或者（）的登录方式。 10. 防火墙的测试性能参数一般包括（） A）吞吐量 B）新建连接速率 C）并发连接数 D）处理时延 11. 防火墙能够作到些什么？（） A、包过滤 B、包的透明转发 C、阻挡外部攻击 D、记录攻击 12. 防火墙有哪些缺点和不足？（） A、防火墙不能抵抗最新的未设置策略的攻击漏洞 B、防火墙的并发连接数限制容易导致拥塞或者溢出 C、防火墙对服务器合法开放的端口的攻击大多无法阻止 D、防火墙可以阻止内部主动发起连接的攻击 13. 防火墙中地址翻译的主要作用是：（） A. 提供应用代理服务 B. 隐藏内部网络地址 C. 进行入侵检测 D. 防止病毒入侵 14. 判断题：防火墙必须记录通过的流量日志，但是对于被拒绝的 流量可以没有记录。（）

(2020年最新版本)防火墙安全管理规定

1目的 Objective 规范防火墙系统的安全管理，保障公司防火墙系统的安全。 2适用范围 Scope 本规定适用于公司范围内所有防火墙系统、防火墙策略的维护与管理。 3定义 DMZ（demilitarized zone）：中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。通常,它放在外网和内网中间，是内网中不被信任的系统。在进行防火墙设置时可阻断内网对DMZ的公开访问，尤其禁止DMZ到内网的主动连接。 GRE（Generic Routing Encapsulation）：即通用路由封装协议，它提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输。 VPN（Virtual Private Networking）：即虚拟专用网，VPN是用以实现通过公用网络（Internet）上构建私人专用网络的一种技术。 4管理细则 4.1基本管理原则 1.公司IT系统不允许直接和外部网络连接（包括Internet、合资公司等等），必须经 过防火墙的限制保护。防火墙的建设、安装须遵守《防火墙建设规范》。 2.防火墙指令的配置须严格遵守附件一《防火墙指令描述格式》。 3.防火墙口令设置参照《帐号和口令标准》，并由安全控制办统一管理。 4.防火墙日志管理参照《系统日志管理规定》。 5.防火墙变更管理参照《IT生产环境变更管理流程》。 6.防火墙不允许直接通过Internet管理；内部管理IP地址只允许相关人员知晓。 7.防火墙紧急开通策略有效期为2周。如2周内没有申请防火墙策略，则将自动失效。 8.在非工作时间处理防火墙紧急申请须遵循《紧急故障处理Token卡管理规定》。 4.2防火墙系统配置细则 1.当防火墙启动VPN功能时，需使用IPSEC进行隧道加密：认证算法采用SHA-1，加密 算法采用3DES算法。

防火墙运行安全管理制度(正式)

编订：__________________ 单位：__________________ 时间：__________________ 防火墙运行安全管理制度 (正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑

文件编号：KG-AO-9505-15 防火墙运行安全管理制度(正式) 使用备注：本文档可用在日常工作场景，通过对管理机制、管理原则、管理方法以及管 理机构进行设置固定的规范，从而使得组织内人员按照既定标准、规范的要求进行操作，使日常工作或活动达到预期的水平。下载后就可自由编辑。 第一章总则 第一条为保障电网公司信息网络的安全、稳定运行，特制订本制度。 第二条本制度适用于海南电网公司信息网络的所有防火墙及相关设备管理和运行。 第二章人员职责 第三条防火墙系统管理员的任命 防火墙系统管理员的任命应遵循“任期有限、权限分散”的原则； 系统管理员的任期可根据系统的安全性要求而定，最长为三年，期满通过考核后可以续任； 必须签订保密协议书。 第四条防火墙系统管理员的职责 恪守职业道德，严守企业秘密；熟悉国家安全生

产法以及有关信息安全管理的相关规程； 负责网络安全策略的编制，更新和维护等工作； 对信息网络实行分级授权管理，按照岗位职责授予不同的管理级别和权限； 不断的学习和掌握最新的网络安全知识，防病毒知识和专业技能； 遵守防火墙设备各项管理规范。 第三章用户管理 第五条只有防火墙系统管理员才具有修改入侵检测设备策略配置、分析的权限。 第六条为用户级和特权级模式设置口令，不能使用缺省口令，确保用户级和特权级模式口令不同。 第七条防火墙设备口令长度应采用8位以上，由非纯数字或字母组成，并定期更换，不能使用容易猜解的口令。 第四章设备管理 第八条防火墙设备部署位置的环境应满足相应的国家标准和规范，以保证防火墙设备的正常运行。

防火墙与安全网关管理办法

防火墙与安全网关管理办法 第一节总则 第一条为保证公司的信息安全，规范防火墙和安全网关的日常管理和维护，特制定本办法。 第二节防火墙管理规定 第二条公司和外部网络连接时均安装防火墙以确保网络及连接的安全，通过防火墙的设置对内外双向的网络访问按照权限进行控制。 第三条信息技术部门应指定专人（如网络管理员）负责防火墙的管理工作。 专责人员必须熟悉网络理论、网络设计和防火墙管理，接受防火墙 应用和网络安全方面的专业培训。 第四条网络管理员应根据《系统配置与基础架构管理制度》中防火墙配置基准规范进行防火墙的初始配置。 第五条除网络管理员外任何人都不得以配置防火墙，厂商工程师只能在管理员的陪同下进行调试，调试完毕后应立即更改管理口令。 第六条防火墙需要增加或删除访问控制策略时，应严格按照《系统配置与基础架构管理制度》中配置变更申请审批流程进行。 第七条在配置和访问控制策略更改时，管理员应及时导出防火墙的配置文件，作好备份并标明改动内容。备份文件应该安全妥善地保存。 第八条网络管理员应每3个月进行一次防火墙访问控制策略审查工作，对过期和权限过大的策略进行优化，优化工作应严格按照《系统配置

与基础架构管理制度》中配置变更申请审批流程进行。 第九条网络管理员应每月检查和分析防火墙日志，并出具安全运行报告交管理层审阅。 第十条网络管理员应该及时了解厂商发布的软硬件升级包，防火墙的升级应严格按照《系统配置与基础架构管理制度》进行。 第三节安全网关使用管理规定 第十一条安全网关用户应自觉遵守职业道德，有高度的责任心并自觉维护企业的利益。 第十二条安全网关用户应妥善保管安全网关系统证书及口令，并定期修改口令，以增强系统安全性，严禁用户将安全网关系统证书及口令泄露 给他人使用。口令的设置应符合公司计算机信息系统安全相关规定 的要求。 第十三条如果发生用户证书丢失泄密、用户离开本公司、用户有违法、破坏网络安全行为或其它一些影响证书可信性的情况，管理员将强行注 销用户证书。 第十四条在用户证书到期之前应及时与网络管理员联系，以便更新证书。第十五条网络管理员要确保安全网关管理系统的安全，及时安装必要的操作系统补丁、对系统进行安全加固。如果系统运行在Windows系统上 则必须安装防病毒软件。 第十六条网络管理员应严格控制安全网关的访问权限，只允许远程接入用户访问必要的目标范围，远程接入的日志应保留3个月以上，并且每

防火墙安全标准

为保护人和物品的安全性而制定的标准，称为安全标准。安全标准一般有两种形式：一种是专门的特定的安全标准；另一种是在产品标准或工艺标准中列出有关安全的要求和指标。从标准的内容来讲，安全标准可包括劳动安全标准、锅炉和压力容器安全标准、电气安全标准和消费品安全标准等。安全标准一般均为强制性标准，由国家通过法律或法令形式规定强制执行。 网络与信息安全的标准，是在如下一些“原动力”的作用下发展起来的。 安全产品间互操作性的需要。 加密与解密、签名与认证、网络之间安全的互连互通等等，都需要来自不同厂商的产品能够顺利地进行互操作，共同实现一个完整的安全功能。这种需求导致了最初一批网络信息安全标准的诞生，它们是以“算法”、“协议”或者“接口”的面目出现的。比如著名的对称加密算法DES的英文全称就是“数据加密标准”。 对安全等级认定的需要。 人们不可能百分之百地听信厂家说自己有哪些安全功能，大多数用户自己又不是安全专家，于是就需要一批用户信得过的、恪守中立的安全专家，对安全产品的安全功能和性能进行认定。经过总结提炼，就形成了一些“安全等级”，每个安全等级在安全功能和性能上有特定的严格定义，对应着一系列可操作的测评认证手段。这些用客观的、可操作的手段定义的安全等级，使得安全产品的评测认定走向科学的正轨。 对服务商能力进行衡量的需要。 随着网络信息安全逐渐成长为一个产业，安全等级认定的弱点——周期长、代价高就逐步暴露了出来。于是，除了对“蛋”（安全产品）的等级进行认定以外，人们想到了通过对下蛋的“鸡”（安全服务商）等级的认定来间接地对“蛋”进行认定。这样，使得以产品提供商和工程承包商为评测对象的标准大行其道，同以产品或系统为测评认证对象的测评认证标准形成了互补的格局。网络的普及，使以网络为平台的网络信息服务企业和使用网络作为基础平台传递工作信息的 企业，比如金融、证券、保险和各种类型的电子商务企业纷纷重视安全问题。因此，针对使用网络和信息系统开展服务的企业的信息安全管理标准应运而生。 目前国际上通行的与网络和信息安全有关的标准，大致可分成三类： 互操作标准 比如，对称加密标准DES、3DES、 IDEA以及被普遍看好的AES；非对称 加密标准RSA； VPN标准IPSec；传输层加密标准SSL；安全电子邮件标准S-MIME；安全电子交易标准SET；通用脆弱性描述标准CVE。这些都是经过一个自发的选择过程后被普遍采用的算法和协议，也就是所谓的“事实标准”。 技术与工程标准 比如，信息产品通用测评准则（CC/ISO 15408）；安全系统工程能力成熟度模型（SSE-CMM）。 网络与信息安全管理标准 比如，信息安全管理体系标准（BS 7799）；信息安全管理标准（ISO 13335）。

防火墙安全规则和配置

网络安全是一个系统的概念，有效的安全策略或方案的制定，是网络信 息安全的首要目标。网络安全技术主要有，认证授权、数据加密、访问 控制、安全审计等。而提供安全网关服务的类型有：地址转换、包过滤、 应用代理、访问控制和DoS防御。本文主要介绍地址转换和访问控制两 种安全网关服务，利用cisco路由器对ISDN拨号上网做安全规则设置。 试验环境是一台有fir ewall 版本IOS的cisco2621 路由器、一台交换 机组成的局域网利用ISDN拨号上网。 一、地址转换 我们知道，Internet 技术是基丁IP协议的技术，所有的信息通信都 是通过IP包来实现的，每一个设备需要进行通信都必须有一个唯一的 IP地址。因此，当一个网络需要接入Inte rnet的时候，需要在Internet 上进行通信的设备就必须有一个在全球Internet 网络上唯一的地址。当一个网络需要接入Internet 上使用时，网络中的每一台设备都有一个I nternet 地址，这在实行各种Internet 应用上当然是最理想不过的。但 是，这样也导致每一个设备都暴露在网络上，任何人都可以对这些设备 攻击，同时由丁I nternet目前采用的IPV4协议在网络发展到现在，所 剩下的可用的IP地址已经不多了，网络中的每一台设备都需要一个IP 地址，这几乎是不可能的事情。 采用端口地址转换，管理员只需要设定一个可以用作端口地址转换的公 有Internet 地址，用户的访问将会映射到IP池中IP的一个端口上去， 这使每个合法Internet IP 可以映射六万多台部网主机。从而隐藏部网

路地址信息，使外界无法直接访问部网络设备。 Cisco路由器提供了几种NAT转换的功能： 1、部地址与出口地址的——对应 缺点：在出口地址资源稀少的情况下只能使较少主机连到internet 。2、部地址分享出口地址 路由器利用出口地址和端口号以及外部主机地址和端口号作为接口。其 中部地址的端口号为随机产生的大丁1024的，而外部主机端口号为公认 的标准端口号。这样可以用同一个出口地址来分配不同的端口号连接任 意数量的部主机到外网。 具体配置：由丁实验用的是ISDN拨号上网，在internet 上只能随机获得出口地址，所以NAT转换的地址池设置为BRI 口上拨号所获得的地址。interface FastEthernet0/0 ip address 172.16.18.200 255.255.255.0 ip nat inside the interface connected to inside world ! interface BRI0/0 ip address negotiated ip nat outside the interface connected to outside network encapsulation ppp no ip split-horizon dialer string 163 dialer load-threshold 150 inbound

(战略管理)防火墙策略的组成

3．1 防火墙策略的组成 在ISA服务器安装成功后，其防火墙策略默认为禁止所有内外通讯，所以我们需要在服务器上建立相应的防火墙策略，以使内外通讯成功。在本章，我们将介绍ISA的基本配置，使内部的所有用户无限制的访问外部网络。 在ISA Server 2004中，防火墙策略是由网络规则、访问规则和服务器发布规则三者的共同组成。 网络规则：定义了不同网络间能否进行通讯、以及知用何各方式进行通讯。 ●?? 访问规则：则定义了内、外网的进行通讯的具体细节。 ●?? 服务器发布规则：定义了如何让用户访问服务器。 ●?? 3.1.1 网络规则 ISA2004通过网络规则来定义并描述网络拓扑，其描述了两个网络实体之间是否存在连接，以及定义如何进行连接。相对于ISA2000，可以说网络规则是ISA Server 2004中的一个很大的进步，它没有了ISA Server 2000只有一个LAT表的限制，可以很好的支持多网络的复杂环境。 在ISA2004的网络规则中定义的网络连接的方式有：路由和网络地址转换。 3.1.1.1 路由 路由是指相互连接起来的网络之间进行路径寻找和转发数据包的过程，由于ISA与Windows 2000 Server和Windows Server 2003路由和远程访问功能的紧密集成，使其具有很强的路由功能。 在ISA2004中，当指定这种类型的连接时，来自源网络的客户端请求将被直接转发到目标网络，而无须进行地址的转换。当需要发布位于DMZ网络中的服务器时，我们可以配置相应的路由网络规则。 需要注意的是，路由网络关系是双向的。如果定义了从网络 A 到网络 B 的路由关系，那么从网络B到网络 A 也同样存在着路由关系，这同我们在进行硬件或软件路由器配置的原理相同。 3.1.1.2 网络地址转换（NAT） NAT即网络地址转换（Network Address Translator），在Windows 2000 Server和Windows server 2003中，NAT是其IP路由的一项重要功能。NAT方式也称之为Internet的路由连接，通过它在局域网和Internet 主机间转发数据包从而实现Internet的共享。ISA2004由于同Windows 20 00 Server和Windows server 2003的路由和远程访问功能集成，所以支持 NAT的的连接类型。 当运行NAT的计算机从一台内部客户机接收到外出请求数据包时，它会把信息包的包头换掉，把客户机的内部IP地址和端口号翻译成NAT服务器自己的外部IP地址和端口号，然后再将请求包发送给Internet上的目标主机。当N

防火墙与安全网关管理办法-信息技术管理制度

版本页 标题：China Advanced Construction Materials Group信息技术管理制度主题：防火墙与安全网关管理办法 文档编号： 版本说明： China Advanced Construction Materials Group 防火墙与安全网关管理办法 第一节总则 第一条为保证公司的信息安全，规范防火墙和安全网关的日常管理和维护，特制定本办法。 第二节防火墙管理规定 第二条公司和外部网络连接时均安装防火墙以确保网络及连接的安全，通过防火墙的设置对内外双向的网络访问按照权限进行控制。 第三条信息技术部门应指定专人（如网络管理员）负责防火墙的管理工作。专责人员必须熟悉网络理论、网络设计和防火墙管理，接受防火墙应用和网络 安全方面的专业培训。 第四条网络管理员应根据《系统配置与基础架构管理制度》中防火墙配置基准规范进行防火墙的初始配置。 第五条除网络管理员外任何人都不得以配置防火墙，厂商工程师只能在管理员的

陪同下进行调试，调试完毕后应立即更改管理口令。 第六条防火墙需要增加或删除访问控制策略时，应严格按照《系统配置与基础架构管理制度》中配置变更申请审批流程进行。 第七条在配置和访问控制策略更改时，管理员应及时导出防火墙的配置文件，作好备份并标明改动内容。备份文件应该安全妥善地保存。 第八条网络管理员应每3个月进行一次防火墙访问控制策略审查工作，对过期和权限过大的策略进行优化，优化工作应严格按照《系统配置与基础架构管 理制度》中配置变更申请审批流程进行。 第九条网络管理员应每月检查和分析防火墙日志，并出具安全运行报告交管理层审阅。 第十条网络管理员应该及时了解厂商发布的软硬件升级包，防火墙的升级应严格按照《系统配置与基础架构管理制度》进行。 第三节安全网关使用管理规定 第十一条安全网关用户应自觉遵守职业道德，有高度的责任心并自觉维护企业的利益。 第十二条安全网关用户应妥善保管安全网关系统证书及口令，并定期修改口令，以增强系统安全性，严禁用户将安全网关系统证书及口令泄露给他人使用。 口令的设置应符合公司计算机信息系统安全相关规定的要求。 第十三条如果发生用户证书丢失泄密、用户离开本公司、用户有违法、破坏网络安全行为或其它一些影响证书可信性的情况，管理员将强行注销用户证书。第十四条在用户证书到期之前应及时与网络管理员联系，以便更新证书。 第十五条网络管理员要确保安全网关管理系统的安全，及时安装必要的操作系统补丁、对系统进行安全加固。如果系统运行在Windows系统上则必须安装防 病毒软件。 第十六条网络管理员应严格控制安全网关的访问权限，只允许远程接入用户访问必要的目标范围，远程接入的日志应保留3个月以上，并且每月对日志和访 问权限应进行审查，以确保访问行为合法及权限合理。 第十七条网络管理员应及时备份安全网关的日志，并定期查看日志以发现可能的非

防火墙安全策略配置

防火墙安全策略配置 -标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII

一、防火墙设置外网不能访问内网的方法： 1、登录到天融信防火墙集中管理器； 2、打开“高级管理”→“网络对象”→“内网”，在右边窗口空白处点击右键，在弹出的快捷菜单中选择“定义新对象”→“子网”，填入子网名称（自己命名），如“120段”，地址范围中，输入能够上网机器的所有IP范围（能够上网的电脑IP 范围）。点击确定。 3、在“网络对象”中选择“外网”，在右边窗口空白处点击右键，在弹出的快捷菜单中选择“定义新对象”“子网”，填入子网名称（自己命名），如“外网IP”，地址范围中，输入所有IP范围。点击确定。

4、访问策略设置 A、在“高级管理”中选择“访问策略”“内网”，在右边的窗口中，点击右键，选择“增加”，点击“下一步”。 B、在“策略源”中选择“外网IP”（刚才设置的外网IP），点击“下一步”。

C、在“策略目的”中选择“内网”和“120段”（刚才设置的上网IP），点击“下一步”。

D、在“策略服务”中，我们不做任何选择，直接点击“下一步”。（因为我们要限制所有外网对我们内网的访问，在此我们要禁用所有服务，因此不做选择） E、在“访问控制”中，“访问权限”选择“禁止”（因为我们上一步没有选择服务，在此我们选择禁止，表示我们将禁止外网对我们的所有服务），“访问时间”选择“任何”，“日志选项”选择“日志会话”，其他的不做修改，点击“下一步”。

F、最后，点击“完成”。 5、至此，我们就完成了对外网访问内网的设置。

防火墙工作实施方案

构筑消防安全“防火墙”工程实施方案 根据《全国消防安全大排查大整治大宣传大培训大练兵活动方案》、《贵州省构筑社会消防安全“防火墙”工程实施方案》的指示精神，以及《2011年度安顺市构筑社会消防安全“防火墙”工程工作计划》要求，以落实各系、室、部、处消防工作“四项责任”、提高我院消防安全“四个能力”为着力点，全面推进学院消防安全“防火墙”工程建设工作，为我院的科研、教学、生产、生活营造一个平安稳定的消防安全环境。 一、指导思想 以贯彻落实国家有关消防的法律法规为目的，按照“预防为主、防消结合”的方针，完善我院消防工作管理制度，推动学校消防安全工作不断上新水平。通过消防安全教育，增强师生消防安全意识，强化学校对消防安全工作的重视程度，促进学校不断加大消防设施设备建设投入，着力消除各种火灾隐患，有效预防火灾事故的发生，为全院师生营造一个良好的消防安全环境。 二、工作目标 1、将学院消防安全教育培训工作纳入教学培训规划，并进行教育督导和工作考核。并将消防安全知识纳入教学内容，纳入学校管理人员和教师在职培训内容。

2、建立学校消防安全组织网络，健全消防安全制度，明确消防安全责任人、管理人职责，落实消防安全责任制。 3、学校灭火和应急疏散预案编制科学合理、可操作性强，并严格落实，定期组织应急疏散演练。 三、组织机构 1.成立学校消防安全工作指挥中心（以下简称指挥中心）,由令狐荣涛院长担任总指挥；保卫处邓文红处长担任副总指挥,组员有保卫处消防科全体成员组成。 2、保卫处消防科统一领导指挥学院大学生义务消防队，负责日常消防排查。 根据消防安全工作要求，指挥中心办公室可以随时调集人员，调用物资及交通工具，各科室的每一位干部职工都有参加消防安全事故抢险的责任和义务。做到各司其职，各负其责，密切协作，处理到位。 四、工作内容 （一）落实各系、室、部、处消防工作“四项责任” 1.落实组织领导责任。 规定各系、室、部、处分管领导为各部门消防安全责任人。各部门消防安全责任人要组织领导消防安全小组针对本部实际情况制定、完善相关职责制度，组织员工惊醒消防安

防火墙试题及答案

防火墙培训试题 1.关于防火墙的描述不正确的是：（） A、防火墙不能防止内部攻击。 B、如果一个公司信息安全制度不明确，拥有再好的防火墙也没有用。 C、防火墙可以防止伪装成外部信任主机的IP地址欺骗。 D、防火墙可以防止伪装成内部信任主机的IP地址欺骗。 2.防火墙的主要技术有哪些？（） A.简单包过滤技术 B.状态检测包过滤技术 C.应用代理技术 D.复合技术 E.地址翻译技术 3.防火墙有哪些部属方式？（） A.透明模式 B.路由模式 C.混合模式 D.交换模式 4.判断题：并发连接数——指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最 大连接数。（） 5.判断题：对于防火墙而言，除非特殊定义，否则全部ICMP消息包将被禁止通过防火墙 （即不能使用ping命令来检验网络连接是否建立）。（） 6.下列有关防火墙局限性描述哪些是正确的。（） A、防火墙不能防范不经过防火墙的攻击 B、防火墙不能解决来自内部网络的攻击和安全问题 C、防火墙不能对非法的外部访问进行过滤 D、防火墙不能防止策略配置不当或错误配置引起的安全威胁 7.防火墙的作用（） A、过滤进出网络的数据 B、管理进出网络的访问行为 C、封堵某些禁止的行为 D、记录通过防火墙的信息内容和活动 8.防火墙能够完全防止传送己被病毒感染的软件和文件 9.一般情况下，防火墙是关闭远程管理功能的，但如果必须进行远程管理，则应该采用 （）或者（）的登录方式。

10.防火墙的测试性能参数一般包括（） A）吞吐量 B）新建连接速率 C）并发连接数 D）处理时延 11.防火墙能够作到些什么？（） A、包过滤 B、包的透明转发 C、阻挡外部攻击 D、记录攻击 12.防火墙有哪些缺点和不足？（） A、防火墙不能抵抗最新的未设置策略的攻击漏洞 B、防火墙的并发连接数限制容易导致拥塞或者溢出 C、防火墙对服务器合法开放的端口的攻击大多无法阻止 D、防火墙可以阻止内部主动发起连接的攻击 13.防火墙中地址翻译的主要作用是：（） A. 提供应用代理服务 B. 隐藏内部网络地址 C. 进行入侵检测 D. 防止病毒入侵 14.判断题：防火墙必须记录通过的流量日志，但是对于被拒绝的流量可以没有记录。 （） 15.防火墙一般需要检测哪些扫描行为？（） A、Port-scan B、icmp-scan C、udp-scan D、tcp-synflood 16.判断题：VPN用户登录到防火墙，通过防火墙访问内部网络时，不受访问控制策略的约 束。（） 17.判断题：在配置访问规则时，源地址，目的地址，服务或端口的范围必须以实际访问需 求为前提，尽可能的缩小范围。（） 18.简答题：状态检测防火墙的优点有哪些？ 19.简答题：防火墙部署的原则有哪些？ 20.简答题：防火墙策略设置的原则有哪些？

信息安全管理制度网络安全设备配置规范标准

网络安全设备配置规范

XXX 2011年1月

网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等， 并定义相应的职责，维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制，包括，关闭telnet、http、ping、snmp 等，以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如 何进行口令变更？

1.2变化控制 1.防火墙配置文件是否备份？如何进行配置同步？ 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序？ 4.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁， 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试？（随机和定期测试） 1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控 制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标。 2.防火墙访问控制规则是否有次序性？是否将常用的访问控制规则 放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为： ?反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地 址） ?用户允许规则（如，允许HTTP到公网Web服务器） ?管理允许规则 ?拒绝并报警（如，向管理员报警可疑通信） ?拒绝并记录（如，记录用于分析的其它通信）

防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击？ 5.防火墙是否阻断下述欺骗、私有（RFC1918）和非法的地址 ?标准的不可路由地址（255.255.255.255、127.0.0.0） ?私有（RFC1918）地址（10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 – 192.168.255.255） ?保留地址（224.0.0.0） ?非法地址（0.0.0.0） 6.是否确保外出的过滤？ 确保有仅允许源IP是内部网的通信通过而源IP不是内部网的通信被丢弃的规则，并确保任何源IP不是内部网的通信被记录。 7.是否执行NAT，配置是否适当？ 任何和外网有信息交流的机器都必须经过地址转换（NAT）才允许访问外网，同样外网的机器要访问内部机器，也只能是其经过NAT后的IP，以保证系统的内部地址、配置和有关的设计信息如拓扑结构等不能泄露到不可信的外网中去。 8.在适当的地方，防火墙是否有下面的控制？ 如，URL过滤、端口阻断、防IP欺骗、过滤进入的Java或ActiveX、防病毒等。

防火墙全面安全解决方案

Checkpoint防火墙全面安全解决方案 全面的覆盖，全面的安全 UTM-1全面安全硬件设备是一款包括了所有的安全防护功能，能够以一种简单，经济，有效的方式满足您网络安全防护所有需求的解决方案。每一个解决方案都包括了您需要的所有被证明为安全的特性，它们包括全面的安全特征签名升级，硬件保修和扩展到3年的技术支持服务。通过依靠Check Point保护全球财富100强企业的相同的技术实力，UTM-1硬件设备能够为通过无缝的部署和简单的管理为用户提供无与伦比的安全防护水平。 关键优点： 超过3年的你需要防护网络的所有一切； 通过被世界财富100强企业所信任的成熟技术打消了用户的顾虑； 保护网络，系统和用户免受多种类型的攻击； 无缝的安全部署和简单的管理模式。 企业级防火墙证明为世界领先的防火墙防护技术，能够 VOIP 即时通讯点对点为超过上百种应用和协议提供防护，包括 邮件VOIP，即时通讯工具和P2P点对点应用程序。 VPN（网关到网关，远程访问）丰富的功能，简化的配置和部署， Ipsec VPN特性 网关防病毒/防间谍软件基于签名的防病毒和防间谍软件防护 入侵防御同时基于签名和协议异常检测的高级IPS解决方案 SSL VPN 全面集成的SSL VPN解决方案 Web过滤超过两千万站点的最佳品牌Web过滤解决方案 邮件安全防护六维一体的全面邮件架构安全防护，包括消除垃圾邮件和恶意邮件 您需要的安全 经过证明的应用程序控制和攻击防护 UTM-1包括了经过最佳市场检验的防火墙，能够检查超过数百种的应用程序，协议和服务。通过集成SmartDefense IPS签名工具和基于协议异常检测的入侵防护技术来保护关键的业务服务系统，例如和VOIP等等免收已知和未知的攻击。类似的，UTM-1全面安全能够阻截非业务的应用程序，例如即时聊天工具和P2P点对点下载软件等等。

网络安全管理制度

网络安全管理制度中国科学院沈阳应用生态研究所

前言 网络安全是保障中国科学院沈阳应用生态研究所（以下简称沈阳生态所）信息系统安全运行的基础。为保障沈阳生态所信息系统的安全、稳定运行，特制定本规范。 本制度由信息中心提出。 本制度由信息中心归口。 本制度起草部门：信息中心。 本制度主要起草人：岳倩 本制度起草日期：2015/12/05

网络安全管理制度 1范围 本制度适用于沈阳生态所信息系统网络安全管理工作。 2组织及职责 ●系统管理员职责 恪守职业道德，严守企业秘密，熟悉国家安全生产法以及有关信息安全管理的相关规程； 负责网络安全设备的安全策略部署、配置及变更管理、内网运行情况、更新和维护等日常工作； 对数据网络实行分级授权管理，按照岗位职责授予不同的管理级别和权限； 密切注意最新网络攻击行为的发生、发展情况，关注和追踪业界公布的攻击事件； 密切关注信息系统安全隐患，及时变更信息安全策略或升级安全设备。 ●信息安全管理员职责 恪守职业道德，严守企业秘密，熟悉国家安全生产法以及有关信息安全管理的相关规程； 每周对系统管理员的登录和操作记录进行审计； 对系统管理员部署的安全策略、配置和变更内容进行审计； 密切注意最新漏洞的发生、发展情况，关注和追踪业界公布的漏洞疫情。 3管理员账号和权限管理 3.1管理员账号 系统管理员和信息安全管理员的用户账号应分开设置，其他人员不得设置账户。在安全设备上建立用户账号，需要经过本级信息部门安全主管的审批并保留审批记录。 3.2系统管理员权限

系统管理员具有设置、修改安全设备策略配置，以及读取和分析检测数据的权限。 3.3信息安全管理员权限 信息安全管理员具有读取安全设备日志信息，以及检查安全设备策略配置内容的权限。 3.4管理员身份鉴别 管理员身份鉴别可以采用口令方式。应为用户级和特权级模式设置口令，不能使用缺省口令，确保用户级和特权级模式口令不同。安全设备口令长度应采用8位以上，由非纯数字或字母组成，并保证每季度至少更换一次。 安全设备的身份鉴别，必要时可以采用数字证书方式。 4策略和部署管理 4.1制定安全策略 系统管理员应依据沈阳生态所管理系统信息安全规划，结合实际需求，制定、配置具体网络安全设备的安全策略，并且进行规范化和文档化；安全设备的策略文档应妥善保存。 对关键的安全设备要采用双机热备或冷备的方式进行部署以减小系统运行的风险。 4.2安全设备统一部署 安全设备部署应依据沈阳生态所管理系统的信息安全规划统一部署，保证安全设备的可用性。安全设备部署的具体实施须经信息管理部门的审批并保留审批记录。 4.3安全网关类设备部署 安全网关类设备部署应根据网络安全域的划分情况进行正确部署，满足不同网络安全域之间访问控制的要求。 5配置和变更管理 5.1配置和变更授权 网络安全设备的配置、变更应满足信息系统变更管理的要求，配置和变更前应充分评估对信息系统可能产生的影响，报信息管理部门审批、授权后执行，保留审批记录。