畢業(yè)論文——中小企業(yè)防火墻的應(yīng)用

1、<p>　　中小企業(yè)防火墻的應(yīng)用</p><p><b>　　摘要</b></p><p>　　互聯(lián)網(wǎng)的應(yīng)用在近幾年的時(shí)間有了非常大的發(fā)展,隨著中小企業(yè)商務(wù)網(wǎng)站的增多，資源越來(lái)越豐富，網(wǎng)絡(luò)安全問(wèn)題卻也越來(lái)越嚴(yán)峻。 </p><p>　　在網(wǎng)絡(luò)安全防范中，防火墻具有著不可或缺的地位。防火墻技術(shù)是所有安全技術(shù)當(dāng)中用途最廣泛的，也是最有效的

2、解決方案。</p><p>　　本論文在簡(jiǎn)單介紹防火墻工作原理的基礎(chǔ)上，通過(guò)具體在Router OS上配置防火墻策略，使其實(shí)現(xiàn)中小企業(yè)防火墻的功能。該防火墻在通常的包過(guò)濾防火墻基礎(chǔ)之上，又增加了MAC地址綁定和端口映射等功能，使之具有更完備、更實(shí)用、更穩(wěn)固的特點(diǎn)。通過(guò)對(duì)于具有上述特點(diǎn)的防火墻的配置與測(cè)試工作，一方面使得所配置的防火墻系統(tǒng)本身具有高效、安全、實(shí)用的特點(diǎn)，另一方面也對(duì)今后在此基礎(chǔ)上繼續(xù)測(cè)試其它網(wǎng)絡(luò)產(chǎn)品

3、作好了一系列比較全面的準(zhǔn)備工作。</p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；企業(yè)網(wǎng)；Router OS</p><p><b>　　ABSTRACT</b></p><p>　　Network technology in recent years has been a very big development, but with the n

4、etwork faster and faster, more abundant resources, network security issues become more critical.</p><p>　　In network security, firewalls have an indispensable position. The firewall technology is the most ve

5、rsatile all security technologies, is the most effective solution.</p><p>　　The paper on the Firewall working principle of a brief introduction, through specific Router OS on the configured firewall policy,

6、so that function of SMEs firewall. The firewall in the usual packet filtering firewall based on the added MAC address binding and port mapping functions, so that it has a more complete, more practical, more solid. With t

7、hese characteristics firewall configuration and testing, on the one hand makes the configuration of the firewall system itself has an efficient, safe</p><p>　　Keywords: Network Security; Firewall; Enterprise

8、 Network;Router OS</p><p><b>　　目錄</b></p><p><b>　　摘要I</b></p><p>　　ABSTRACTII</p><p><b>　　目錄III</b></p><p>　　1 概 述-

9、 1 -</p><p>　　1.1 課題意義- 1 -</p><p>　　2 企業(yè)網(wǎng)安全分析- 3 -</p><p>　　2.1中小企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀- 3 -</p><p>　　2.2.1 ARP攻擊- 3 -</p><p>　　2.2.2 網(wǎng)絡(luò)監(jiān)聽- 4 -</p><p

10、>　　2.2.3 蠕蟲病毒- 4 -</p><p>　　2.3 企業(yè)受到外網(wǎng)攻擊分析- 5 -</p><p>　　2.3.1 DoS攻擊- 5 -</p><p>　　2.3.2 SYN Attack(SYN攻擊)- 6 -</p><p>　　2.3.3 ICMP Flood(UDP泛濫)- 6 -</p&g

11、t;<p>　　2.3.4 UDP Flood(UDP泛濫)- 6 -</p><p>　　2.3.5 Port Scan Attack(端口掃描攻擊)- 6 -</p><p>　　3 企業(yè)網(wǎng)防火墻的應(yīng)用- 8 -</p><p>　　3.1 網(wǎng)絡(luò)安全技術(shù)概述- 8 -</p><p>　　3.2 防火墻介紹-

12、 9 -</p><p>　　3.3 防火墻的分類- 9 -</p><p>　　3.3.1 宿主機(jī)網(wǎng)關(guān)（Dual Homed Gateway）- 9 -</p><p>　　3.3.2屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway）- 10 -</p><p>　　3.3.3屏蔽子網(wǎng)（Screened Subnet）- 1

13、0 -</p><p>　　3.4 防火墻技術(shù)發(fā)展趨勢(shì)- 11 -</p><p>　　4 Router OS 在企業(yè)網(wǎng)中的應(yīng)用- 12 -</p><p>　　4.1 Router OS簡(jiǎn)介- 12 -</p><p>　　4.2 Router OS的優(yōu)勢(shì)- 12 -</p><p>　　4.3 Route

14、r OS 在企業(yè)網(wǎng)中的應(yīng)用- 12 -</p><p>　　4.3.1 Router OS的安裝- 13 -</p><p>　　4.2.2 Router OS 的配置- 14 -</p><p>　　4.3 Router OS端口映射配置- 16 -</p><p>　　4.4 設(shè)置防火墻規(guī)則- 17 -</p>

15、<p>　　4.5 進(jìn)入普通用戶界面- 21 -</p><p>　　4.6 測(cè)試- 24 -</p><p>　　4.7 總結(jié)- 25 -</p><p>　　參考文獻(xiàn)- 26 -</p><p>　　結(jié)束語(yǔ)- 27 -</p><p><b>　　致謝- 28 -</b>

16、;</p><p>　　附錄一- 29 -</p><p><b>　　1 概 述</b></p><p>　　中國(guó)經(jīng)濟(jì)的飛速發(fā)展，生活水平的提高， IT信息產(chǎn)業(yè)與我們的生活越來(lái)越密切，人們已經(jīng)生活在信息時(shí)代。計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)應(yīng)用到社會(huì)的各個(gè)領(lǐng)域，因特網(wǎng)把“地球村”的居民緊密地連在了一起。近年來(lái)因特網(wǎng)的飛速發(fā)展，給人們的生活帶來(lái)了全新地感

17、受，人類社會(huì)各種活動(dòng)對(duì)信息網(wǎng)絡(luò)的依賴程度已經(jīng)越來(lái)越大。然而，人們?cè)诘靡嬗谛畔⑺鶐?lái)的新的生活的改變以及生活質(zhì)量的提高機(jī)遇的同時(shí)，也不得不面對(duì)信息安全問(wèn)題的嚴(yán)峻考驗(yàn)?！昂诳凸簟本W(wǎng)站被“黑”，“CIH病毒”無(wú)時(shí)無(wú)刻不充斥在網(wǎng)絡(luò)中?！半娮討?zhàn)”已成為國(guó)與國(guó)之間，商家與商家之間的一種重要的攻擊與防衛(wèi)手段。因此信息安全，網(wǎng)絡(luò)安全的問(wèn)題已經(jīng)引起各國(guó)，各部門，各行各業(yè)以及每個(gè)計(jì)算機(jī)用戶的充分重視。因特網(wǎng)提供給人們的不僅僅是精彩，還無(wú)時(shí)無(wú)刻地存在各種各

18、樣的危險(xiǎn)和陷阱。對(duì)此，我們既不能對(duì)那些潛在的危險(xiǎn)不予重視，遭受不必要的損失；也不能因?yàn)楹ε履承┪ｋU(xiǎn)而拒絕因特網(wǎng)的各種有益的服務(wù)，對(duì)個(gè)人來(lái)說(shuō)這樣會(huì)失去了了解世界、展示自己的場(chǎng)所，對(duì)企業(yè)來(lái)說(shuō)還失去了拓展業(yè)務(wù)、提高服務(wù)、增強(qiáng)競(jìng)爭(zhēng)力的機(jī)會(huì)。只能通過(guò)不斷地提高網(wǎng)絡(luò)環(huán)境的安全才是行之有效的辦法。</p><p>　　本文在導(dǎo)師的指導(dǎo)下，獨(dú)立完成了該防火墻系統(tǒng)方案的配置及安全性能的檢測(cè)工作。在詳細(xì)分析防火墻工作原理基礎(chǔ)上，針對(duì)

19、廣大中小型企業(yè)防火墻的實(shí)際情況，提出了一個(gè)能夠充分發(fā)揮防火墻性能、提高防火墻系統(tǒng)的抗攻擊能力的防火墻系統(tǒng)配置方案，同時(shí)介紹了具體實(shí)現(xiàn)過(guò)程中的關(guān)鍵步驟和主要方法，并針對(duì)中小企業(yè)的防火墻系統(tǒng)模擬黑客進(jìn)行攻擊，檢查防火墻的安全漏洞，并針對(duì)漏洞提供相應(yīng)的解決方案。該防火墻在通常的包過(guò)濾防火墻基礎(chǔ)之上，又增加了MAC地址綁定、端口映射等特殊功能，使之具有鮮明的特點(diǎn)。通過(guò)對(duì)于具有上述特點(diǎn)的防火墻的研究、配置與測(cè)試工作，一方面使得中小企業(yè)防火墻系統(tǒng)本

20、身具有高效、安全、實(shí)用的特點(diǎn)，另一方面在此基礎(chǔ)上對(duì)今后可能出現(xiàn)的新問(wèn)題作好了一系列比較全面的準(zhǔn)備工作。</p><p>　　1.1 課題意義 </p><p>　　安全是一個(gè)不容忽視的問(wèn)題，當(dāng)人們?cè)谙硎芫W(wǎng)絡(luò)帶來(lái)的方便與快捷的同時(shí)，也要時(shí)時(shí)面對(duì)網(wǎng)絡(luò)開放帶來(lái)的數(shù)據(jù)安全方面的新挑戰(zhàn)和新危險(xiǎn)。為了保障網(wǎng)絡(luò)安全，當(dāng)局域網(wǎng)與外部網(wǎng)連接時(shí)，可以在中間加入一個(gè)或多個(gè)中介系統(tǒng)，防止非法入侵者通過(guò)網(wǎng)絡(luò)進(jìn)行攻

21、擊，非法訪問(wèn)，并提供數(shù)據(jù)可靠性、完整性以及保密性等方面的安全和審查控制，這些中間系統(tǒng)就是防火墻(Firewall)技術(shù)如圖1.1。</p><p>　　圖1.1 防火墻功能圖</p><p>　　在此，我們主要研究如何構(gòu)建一個(gè)相對(duì)安全的計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái)，使其免受外部網(wǎng)絡(luò)的攻擊，通過(guò)對(duì)典型中小企業(yè)網(wǎng)絡(luò)的安全性分析，提出一套適合中小企業(yè)應(yīng)用的防火墻系統(tǒng)，該系統(tǒng)應(yīng)該具有可靠性、開放性、伸縮性、性價(jià)

22、比較高等特點(diǎn)，經(jīng)過(guò)比較我們選用Router OS做為中小企業(yè)防火墻平臺(tái)，通過(guò)在Router OS上配置相應(yīng)的策略，使其能夠?qū)崿F(xiàn)面向中小企業(yè)提供網(wǎng)絡(luò)安全服務(wù)的功能。</p><p>　　2 企業(yè)網(wǎng)安全分析</p><p>　　2.1中小企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀</p><p>　　在我國(guó)的工商領(lǐng)域，以中小企業(yè)為主，這些企業(yè)人數(shù)不是很多，少的可能只有十幾人，多的可能有好幾百。

23、而這么多的中小型企業(yè)，一方面，由于資金等問(wèn)題沒(méi)有很好的設(shè)備去防范，而另一方面，可能就沒(méi)有這種防范的意識(shí)。所以它們成為黑客攻擊的主要目標(biāo)。我們以某服裝廠為例，公司面積不是很大，有300人左右，有生活區(qū)，生產(chǎn)區(qū)等，分為各個(gè)部門。公司網(wǎng)絡(luò)拓?fù)鋱D如圖2.1。在最外層有個(gè)路由器，在連接路由器與內(nèi)網(wǎng)之間是防火墻，公司網(wǎng)絡(luò)主要分為四大區(qū)：管理區(qū)，生產(chǎn)區(qū)，宿舍區(qū)和服務(wù)器區(qū)。平時(shí)公司可以實(shí)現(xiàn)正常的上網(wǎng)功能，并且外網(wǎng)訪問(wèn)也很正常。但是最近一段時(shí)間，公司內(nèi)部

24、連互聯(lián)網(wǎng)的時(shí)候很卡，看視頻斷斷續(xù)續(xù)，并且外網(wǎng)訪問(wèn)公司網(wǎng)站打開網(wǎng)頁(yè)的時(shí)間很長(zhǎng)。</p><p>　　圖2.1 某服裝廠網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　2.2.1 ARP攻擊</p><p>　　ARP攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中

25、的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。</p><p>　　ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺(tái)計(jì)算機(jī)感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過(guò)“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。</p><p>　　某機(jī)器A要向主機(jī)B發(fā)送報(bào)文，會(huì)查詢本地的ARP緩存表，找到B的IP地址對(duì)應(yīng)的MAC地址后，就會(huì)進(jìn)行數(shù)據(jù)

26、傳輸。如果未找到，則廣播A一個(gè)ARP請(qǐng)求報(bào)文（攜帶主機(jī)A的IP地址IA——物理地址PA），請(qǐng)求IP地址為IB的主機(jī)B回答物理地址PB。網(wǎng)上所有主機(jī)包括B都收到ARP請(qǐng)求，但只有主機(jī)B識(shí)別自己的IP地址，于是向A主機(jī)發(fā)回一個(gè)ARP響應(yīng)報(bào)文。其中就包含有B的MAC地址，A接收到B的應(yīng)答后，就會(huì)更新本地的ARP緩存。接著使用這個(gè)MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。因此，本地高速緩存的這個(gè)ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個(gè)緩存是動(dòng)態(tài)

27、的。</p><p>　　2.2.2 網(wǎng)絡(luò)監(jiān)聽</p><p>　　在網(wǎng)絡(luò)中，當(dāng)信息進(jìn)行傳播的時(shí)候，可以利用工具，將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽的模式，便可將網(wǎng)絡(luò)中正在傳播的信息截獲或者捕獲到，從而進(jìn)行攻擊。</p><p>　　網(wǎng)絡(luò)監(jiān)聽在網(wǎng)絡(luò)中的任何一個(gè)位置模式下都可實(shí)施。而黑客一般都是利用網(wǎng)絡(luò)監(jiān)聽來(lái)截取用戶口令。比如當(dāng)有人占領(lǐng)了一臺(tái)主機(jī)之后，那么他要再想將戰(zhàn)果擴(kuò)大到這個(gè)主

28、機(jī)所在的整個(gè)局域網(wǎng)話，監(jiān)聽往往是他們選擇的捷徑。很多時(shí)候在各類安全論壇上看到一些初學(xué)的愛(ài)好者，在他們認(rèn)為如果占領(lǐng)了某主機(jī)之后那么想進(jìn)入它的內(nèi)部網(wǎng)應(yīng)該是很簡(jiǎn)單的。其實(shí)不是這樣，進(jìn)入了某主機(jī)再想轉(zhuǎn)入它所在的內(nèi)部網(wǎng)絡(luò)里的其它機(jī)器也不是一件容易的事情。因?yàn)槟愠艘玫剿麄兊目诹钪膺€有就是他們共享的絕對(duì)路徑，當(dāng)然了，這個(gè)路徑的盡頭必須是有寫的權(quán)限了。在這個(gè)時(shí)候，運(yùn)行已經(jīng)被控制的主機(jī)上的監(jiān)聽程序就會(huì)有大收獲。不過(guò)這是一件費(fèi)神的事情，而且還需要當(dāng)事

29、者有足夠的耐心和應(yīng)變能力。主要包括： </p><p><b>　　數(shù)據(jù)幀的截獲 </b></p><p>　　對(duì)數(shù)據(jù)幀的分析歸類 </p><p>　　dos攻擊的檢測(cè)和預(yù)防 </p><p>　　IP冒用的檢測(cè)和攻擊 </p><p>　　在網(wǎng)絡(luò)檢測(cè)上的應(yīng)用 </p><p

30、>　　對(duì)垃圾郵件的初步過(guò)濾</p><p>　　2.2.3 蠕蟲病毒</p><p><b>　　蠕蟲病毒攻擊原理</b></p><p>　　蠕蟲也是一種病毒，因此具有病毒的共同特征。一般的病毒是需要寄生的，它可以通過(guò)自己指令的執(zhí)行，將自己的指令代碼寫到其他程序的體內(nèi)，而被感染的文件就被為 “宿主”，例如，windows下可執(zhí)行文件的格

31、式為PE格式(Portable Executable)，當(dāng)需要感染PE文件時(shí)，在宿主程序中，建立一個(gè)新節(jié)，將病毒代碼寫到新節(jié)中，修改的程序入口點(diǎn)等，這樣，宿主程序執(zhí)行的時(shí)候，就可以先執(zhí)行病毒程序，病毒程序運(yùn)行完之后，在把控制權(quán)交給宿主原來(lái)的程序指令?？梢?，病毒主要是感染文件，當(dāng)然也還有像DIRII這種鏈接型病毒，還有引導(dǎo)區(qū)病毒。引導(dǎo)區(qū)病毒他是感染磁盤的引導(dǎo)區(qū)，如果是軟盤被感染，這張軟盤用在其他機(jī)器上后，同樣也會(huì)感染其他機(jī)器，所以傳播方式

32、也是用軟盤等方式。</p><p><b>　　蠕蟲病毒入侵過(guò)程</b></p><p>　　蠕蟲病毒攻擊主要分成三步：</p><p>　?、賿呙瑁河扇湎x的掃描功能模塊負(fù)責(zé)探測(cè)存在漏洞的主機(jī)。當(dāng)程序向某個(gè)主機(jī)發(fā)送探測(cè)漏洞的信息并收到成功的反饋信息后，就得到一個(gè)可傳播的對(duì)象。</p><p>　?、诠簦汗裟K按漏洞攻

33、擊步驟自動(dòng)攻擊步驟1中找到的對(duì)象，取得該主機(jī)的權(quán)限（一般為管理員權(quán)限），獲得一個(gè)shell。</p><p>　?、蹚?fù)制：復(fù)制模塊通過(guò)原主機(jī)和新主機(jī)的交互將蠕蟲程序復(fù)制到新主機(jī)并啟動(dòng)。</p><p>　　2.3 企業(yè)受到外網(wǎng)攻擊分析</p><p>　　2.3.1 DoS攻擊</p><p>　　DoS攻擊(Denial of Servi

34、ce，簡(jiǎn)稱DoS)即拒絕服務(wù)攻擊，是指攻擊者通過(guò)消耗受害網(wǎng)絡(luò)的帶寬，消耗受害主機(jī)的系統(tǒng)資源，發(fā)掘編程缺陷，提供虛假路由或DNS信息，使被攻擊目標(biāo)不能正常工作。實(shí)施DoS攻擊的工具易得易用，而且效果明顯。一般的DoS攻擊是指一臺(tái)主機(jī)向目的主機(jī)發(fā)送攻擊分組(1:1)，它的威力對(duì)于帶寬較寬的站點(diǎn)幾乎沒(méi)有影響;而分布式拒絕服務(wù)攻擊(Distributed Denial of Service，簡(jiǎn)稱DDoS)同時(shí)發(fā)動(dòng)分布于全球的幾千臺(tái)主機(jī)對(duì)目的主機(jī)

35、攻擊,即使對(duì)于帶寬較寬的站點(diǎn)也會(huì)產(chǎn)生致命的效果。隨著電子商業(yè)在電子經(jīng)濟(jì)中扮演越來(lái)越重要的角色，隨著信息戰(zhàn)在軍事領(lǐng)域應(yīng)用的日益廣泛，持續(xù)的DoS攻擊既可能使某些機(jī)構(gòu)破產(chǎn)，也可能使我們?cè)谛畔?zhàn)中不戰(zhàn)而敗?？梢院敛豢鋸埖卣f(shuō)，電子恐怖活動(dòng)的時(shí)代已經(jīng)來(lái)臨。</p><p>　　DoS攻擊中，由于攻擊者不需要接收來(lái)自受害主機(jī)或網(wǎng)絡(luò)的回應(yīng)，它的IP包的源地址就常常是偽造的。特別是對(duì)DDoS攻擊，最后實(shí)施攻擊的若干攻擊器本身就是

36、受害者。若在防火墻中對(duì)這些攻擊器地址進(jìn)行IP包過(guò)濾，則事實(shí)上造成了新的DoS攻擊。為有效地打擊攻擊者，必須設(shè)法追蹤到攻擊者的真實(shí)地址和身份。　　</p><p>　　2.3.2 SYN Attack(SYN攻擊)</p><p>　　每一個(gè)TCP連接的建立都要經(jīng)過(guò)三次握手的過(guò)程：A向B發(fā)送SYN封包：B用SYN/ACK封包進(jìn)行響應(yīng)；然后A又用ACK封包進(jìn)行響應(yīng)。攻擊者用偽造的IP地址（不

37、存在或不可到達(dá)的地址）發(fā)送大量的SYN封包至防火墻的某一接口，防火墻用SYN/ACK封包對(duì)這些地址進(jìn)行響應(yīng)，然后等待響應(yīng)的ACK封包。因?yàn)镾YN/ACK封包被發(fā)送到不存在或不可到達(dá)的IP地址，所以他們不會(huì)得到響應(yīng)并最終超時(shí)。當(dāng)網(wǎng)絡(luò)中充滿了無(wú)法完成的連接請(qǐng)求SYN封包，以至于網(wǎng)絡(luò)無(wú)法再處理合法的連接請(qǐng)求，從而導(dǎo)致拒絕服務(wù)（DoS）時(shí)，就發(fā)生了SYN泛濫攻擊。防火墻可以對(duì)每秒種允許通過(guò)防火墻的SYN封包數(shù)加以限制。當(dāng)達(dá)到該臨界值時(shí)，防火墻開

38、始代理進(jìn)入的SYN封包，為主機(jī)發(fā)送SYN/ACK響應(yīng)并將未完成的連接存儲(chǔ)在連接隊(duì)列中，未完成的連接保留在隊(duì)列中，直到連接完成或請(qǐng)求超時(shí)。</p><p>　　2.3.3 ICMP Flood(UDP泛濫)</p><p>　　當(dāng)ICMP PING產(chǎn)生的大量回應(yīng)請(qǐng)求超出了系統(tǒng)最大限度，以至于系統(tǒng)耗費(fèi)所有資源來(lái)進(jìn)行響應(yīng)直至再也無(wú)法處理有效的網(wǎng)絡(luò)信息流時(shí)，就發(fā)生了ICMP泛濫。當(dāng)啟用ICMP泛

39、濫保護(hù)功能時(shí)，可以設(shè)置一個(gè)臨界值，一旦超過(guò)了此值就會(huì)調(diào)用ICMP泛濫攻擊保護(hù)功能。（缺省的臨界值為每秒1000個(gè)封包。）如果超過(guò)了該臨界值。NETSCREEN設(shè)備在該秒余下的時(shí)間和下一秒內(nèi)會(huì)忽略其他的ICMP回應(yīng)要求。</p><p>　　2.3.4 UDP Flood(UDP泛濫)</p><p>　　與ICMP泛濫相似，當(dāng)以減慢系統(tǒng)速度為目的向該點(diǎn)發(fā)送UDP封包，以至于系統(tǒng)再也無(wú)法處

40、理有效的連接時(shí)，就發(fā)生了UDP泛濫，當(dāng)啟用了UDP泛濫保護(hù)功能時(shí)，可以設(shè)置一個(gè)臨界值，一旦超過(guò)此臨界值就回調(diào)用UDP泛濫攻擊保護(hù)功能。如果從一個(gè)或多個(gè)源向單個(gè)目標(biāo)發(fā)送的UDP泛濫攻擊超過(guò)了此臨界值，防火墻在該秒余下的時(shí)間和下一秒內(nèi)會(huì)忽略其他到該目標(biāo)的UDP封包。</p><p>　　2.3.5 Port Scan Attack(端口掃描攻擊)</p><p>　　當(dāng)一個(gè)源IP地址在定義的

41、時(shí)間間隔內(nèi)（缺省值為5000微秒）向位于相同目標(biāo)IP地址10個(gè)不同的端口發(fā)送IP封包時(shí)，就會(huì)發(fā)生端口掃描攻擊。這個(gè)方案的目的是掃描可用的服務(wù)，希望會(huì)有一個(gè)端口響應(yīng)，因此識(shí)別出作為目標(biāo)的服務(wù)。防火墻在內(nèi)部記錄從某一遠(yuǎn)程源地點(diǎn)掃描不同端口的數(shù)目。使用缺省設(shè)置，如果遠(yuǎn)程主機(jī)在0.005秒內(nèi)掃描了10個(gè)端口。防火墻會(huì)將這一情況標(biāo)記為端口掃描攻擊，并在該秒余下的時(shí)間內(nèi)拒絕來(lái)自該源地址的其他封包。</p><p>　　3 企

42、業(yè)網(wǎng)防火墻的應(yīng)用</p><p>　　3.1 網(wǎng)絡(luò)安全技術(shù)概述</p><p>　　網(wǎng)絡(luò)安全技術(shù)指致力于解決諸如如何有效進(jìn)行介入控制，以及何如保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段，主要包括物理安全分析技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)，系統(tǒng)安全分析技術(shù)，管理安全分析技術(shù)，及其它的安全服務(wù)和安全機(jī)制策略。</p><p>　　網(wǎng)絡(luò)安全技術(shù)分為：虛擬網(wǎng)技術(shù)、防火墻枝術(shù)、病毒防護(hù)技術(shù)

43、、入侵檢測(cè)技術(shù)、安全掃描技術(shù)、認(rèn)證和數(shù)字簽名技術(shù)、VPN技術(shù)、以及應(yīng)用系統(tǒng)的安全技術(shù)。</p><p>　　其中虛擬網(wǎng)技術(shù)防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。通過(guò)虛擬網(wǎng)設(shè)置的訪問(wèn)控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問(wèn)虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。例如vlan，但是其安全漏洞相對(duì)更多，如IP sweep, teardrop, sync-flood, IP spoofing攻擊等。</p><p>　　防火

44、墻枝術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。但是防火墻無(wú)法防范通過(guò)防火墻以外的其它途徑的攻擊，不能防止來(lái)自內(nèi)部用戶們帶來(lái)的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。防火墻的分類有包過(guò)濾型、

45、地址轉(zhuǎn)換型、代理型、以及檢測(cè)型。</p><p>　　病毒防護(hù)技術(shù)是指阻止病毒的傳播、檢查和清除病毒、對(duì)病毒數(shù)據(jù)庫(kù)進(jìn)行升級(jí)、同時(shí)在防火墻、代理服務(wù)器及PC上安裝Java及ActiveX控制掃描軟件，禁止未經(jīng)許可的控件下載和安裝</p><p>　　入侵檢測(cè)技術(shù)（IDS）可以被定義為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的技術(shù)。是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。&

46、lt;/p><p>　　安全掃描技術(shù)是為管理員能夠及時(shí)了解網(wǎng)絡(luò)中存在的安全漏洞，并采取相應(yīng)防范措施，從而降低網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)而發(fā)展起來(lái)的一種安全技術(shù)。</p><p>　　認(rèn)證和數(shù)字簽名技術(shù)，其中的認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊過(guò)程中通訊雙方的身份認(rèn)可，而數(shù)字簽名作為身份認(rèn)證技術(shù)中的一種具體技術(shù)，同時(shí)數(shù)字簽名還可用于通信過(guò)程中的不可抵賴要求的實(shí)現(xiàn)。</p><p>　　VPN技

47、術(shù)就是在公網(wǎng)上利用隨到技術(shù)來(lái)傳輸數(shù)據(jù)。但是由于是在公網(wǎng)上進(jìn)行傳輸數(shù)據(jù)，所以有一定的不安全性。</p><p>　　應(yīng)用系統(tǒng)的安全技術(shù)主要有域名服務(wù)、Web Server應(yīng)用安全、電子郵件系統(tǒng)安全和操作系統(tǒng)安全。</p><p>　　3.2 防火墻介紹 </p><p>　　所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上

48、構(gòu)造的保護(hù)屏障。從而是一種獲取安全的形象說(shuō)法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Internet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過(guò)此防火墻。</p><p>　　在網(wǎng)絡(luò)

49、中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)(如Internet)分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)。換句話說(shuō)，如果不通過(guò)防火墻，公司內(nèi)部的人就無(wú)法訪問(wèn)Internet，Internet上的人也無(wú)法和公司內(nèi)部的人進(jìn)行通信。</p><p>　

50、　隨著企業(yè)信息化進(jìn)程的推進(jìn)，廣大中小企業(yè)網(wǎng)上運(yùn)行的應(yīng)用系統(tǒng)越來(lái)越多，信息系統(tǒng)變得越來(lái)越龐大和復(fù)雜。企業(yè)網(wǎng)的服務(wù)器群構(gòu)成了企業(yè)網(wǎng)的服務(wù)系統(tǒng)，主要包括DNS、虛擬主機(jī)、Web、FTP、視頻點(diǎn)播以及Mail服務(wù)等。企業(yè)網(wǎng)通過(guò)不同的專線分別接入了不同的網(wǎng)絡(luò)。隨著企業(yè)網(wǎng)絡(luò)出口帶寬不斷加大，應(yīng)用服務(wù)系統(tǒng)逐漸增多，企業(yè)網(wǎng)用戶數(shù)烈劇上升，網(wǎng)絡(luò)的安全也就越來(lái)越嚴(yán)峻。</p><p>　　3.3 防火墻的分類 </p>

51、<p>　　3.3.1 宿主機(jī)網(wǎng)關(guān)（Dual Homed Gateway） </p><p>　　這種配置是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。雙宿主機(jī)用兩個(gè)網(wǎng)絡(luò)適配器分別連接兩個(gè)網(wǎng)絡(luò)，又稱堡壘主機(jī)。 堡壘主機(jī)上運(yùn)行著防火墻軟件（通常是代理服務(wù)器），可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機(jī)網(wǎng)關(guān)有一個(gè)致命弱點(diǎn)， 一旦入侵者侵入堡壘主機(jī)并使該主機(jī)只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問(wèn)有保護(hù)

52、的內(nèi)部網(wǎng)絡(luò)如圖4.1。</p><p>　　圖4.1 宿主機(jī)網(wǎng)關(guān)防火墻</p><p>　　3.3.2屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway） </p><p>　　屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機(jī)和雙宿堡壘主機(jī)兩種類型。單宿堡壘主機(jī)類型是一個(gè)包過(guò)濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機(jī)只有一

53、個(gè)網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接如圖4.2。通常在路由器上設(shè)立過(guò)濾規(guī)則，并使這個(gè)單宿堡壘主機(jī)成為從Internet惟一可以訪問(wèn)的主機(jī)，確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而Intranet內(nèi)部的客戶機(jī)，可以受控制地通過(guò)屏蔽主機(jī)和路由器訪問(wèn)Internet。</p><p>　　圖4.2 單宿堡壘主機(jī)防火墻</p><p>　　雙宿堡壘主機(jī)型與單宿堡壘主機(jī)型的區(qū)別是，堡壘主機(jī)有兩塊網(wǎng)卡，一塊連

54、接內(nèi)部網(wǎng)絡(luò)，一塊連接包過(guò)濾路由器如圖4.3。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。</p><p>　　圖4.3雙宿堡壘主機(jī)防火墻</p><p>　　3.3.3屏蔽子網(wǎng)（Screened Subnet） </p><p>　　這種方法是在Intranet和Internet之間建立一個(gè)被隔離的子網(wǎng)，用兩個(gè)包過(guò)濾路由器將這一子網(wǎng)分別與Intrane

55、t和Internet分開。兩個(gè)包過(guò)濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)“緩沖地帶”如圖4.4，兩個(gè)路由器一個(gè)控制Intranet 數(shù)據(jù)流，另一個(gè)控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問(wèn)屏蔽子網(wǎng)，但禁止它們穿過(guò)屏蔽子網(wǎng)通信?？筛鶕?jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問(wèn)提供代理服務(wù)， 但是來(lái)自兩網(wǎng)絡(luò)的訪問(wèn)都必須通過(guò)兩個(gè)包過(guò)濾路由器的檢查。對(duì)于向Internet公開的服務(wù)器，像WWW、F

56、TP、Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無(wú)論是外部用戶，還是內(nèi)部用戶都可訪問(wèn)。 </p><p>　　這種結(jié)構(gòu)的防火墻安全性能高，具有很強(qiáng)的抗攻擊能力，但需要的設(shè)備多，造價(jià)高。</p><p>　　圖4.4 屏蔽子網(wǎng)防火墻</p><p>　　3.4 防火墻技術(shù)發(fā)展趨勢(shì) </p><p>　　防火墻技術(shù)的發(fā)展離不開社

57、會(huì)需求的變化，著眼未來(lái)，我們可能需要其他新的需求。 全國(guó)主要城市先后受到H7N9病毒的侵襲，直接促成大量的企事業(yè)在家辦公，這就要求防火墻既能抵抗外部攻擊，又能允許合法的遠(yuǎn)程訪問(wèn)，做到更細(xì)粒度的訪問(wèn)控制。</p><p>　　1、VPN（虛擬專用網(wǎng)）技術(shù)就是很好的解決方式。只有以指定方式加密的數(shù)據(jù)包才能通過(guò)防火墻，這樣可以確保信息的保密性，又能成為識(shí)別入侵行為的手段。 </p><p>　　

58、2、內(nèi)部網(wǎng)絡(luò)“包廂化”（compartmentalizing）。人們通常認(rèn)為處在防火墻保護(hù)下的內(nèi)網(wǎng)是可信的，只有Internet是不可信的。由于黑客攻擊技術(shù)和工具在Internet上隨手可及，使得內(nèi)部網(wǎng)絡(luò)的潛在威脅大大增加，這種威脅既可以是外網(wǎng)的人員，也可能是內(nèi)網(wǎng)用戶，不再存在一個(gè)可信網(wǎng)絡(luò)環(huán)境。</p><p>　　3、Router OS技術(shù)。Router OS以其設(shè)備要求簡(jiǎn)單，配置策略簡(jiǎn)單，性價(jià)比較低，受到廣大

59、中小企業(yè)的歡迎。尤其是其具有強(qiáng)大的VPN功能、端口映射功能、防火墻功能，更是為其在中小企業(yè)中奠定的了堅(jiān)實(shí)的基礎(chǔ)。</p><p>　　4 Router OS 在企業(yè)網(wǎng)中的應(yīng)用</p><p>　　中小企業(yè)網(wǎng)一般都是采用性價(jià)比合適的網(wǎng)絡(luò)技術(shù)架構(gòu)的，用戶較多，使用面較廣，但是存在的安全隱患和漏洞相對(duì)較廣泛。鑒于上述因素，有必要為中小企業(yè)量身定制一個(gè)使用的防火墻。</p><

60、;p>　　4.1 Router OS簡(jiǎn)介</p><p>　　Router OS是一種源碼開放式防火墻操作系統(tǒng)，并通過(guò)該系統(tǒng)將標(biāo)準(zhǔn)的PC電腦變成專業(yè)防火墻，在眾多用Router OS系統(tǒng)作為企業(yè)防火墻的愛(ài)好者的開發(fā)下，每年都會(huì)有更新和改變，系統(tǒng)經(jīng)歷了多次更新和改進(jìn)，使其功能在不斷增強(qiáng)和完善。特別在無(wú)線、認(rèn)證、策略路由、帶寬控制和防火墻過(guò)濾等功能上有著非常突出的功能，其極高的性價(jià)比，受到許多網(wǎng)絡(luò)人士的青睞。&

61、lt;/p><p>　　4.2 Router OS的優(yōu)勢(shì) </p><p>　　Router OS是一個(gè)基于Linux內(nèi)核的開源的免費(fèi)的防火墻操作系統(tǒng)，通過(guò)安裝該系統(tǒng)可使標(biāo)準(zhǔn)的PC電腦具備專業(yè)防火墻的各種功能，系統(tǒng)經(jīng)歷了多次更新和改進(jìn)，其功能不斷增強(qiáng)和完善。特別在策略路由、帶寬控制和防火墻過(guò)濾等功能上有著非常突出的優(yōu)勢(shì)和極高的性價(jià)比。</p><p>　　Router

62、 OS高級(jí)防火墻從底層系統(tǒng)核心、核心安全模塊和硬件兼容性等各個(gè)層次進(jìn)行了精心的的設(shè)計(jì)和優(yōu)化，使得這款路由產(chǎn)品在性能上具有出眾的優(yōu)勢(shì)。線速轉(zhuǎn)發(fā)的高吞吐量可滿足大型企業(yè)/網(wǎng)吧等機(jī)構(gòu)的絕大部分應(yīng)用，也可為運(yùn)營(yíng)商的以太網(wǎng)接入提供高負(fù)載的支持，高轉(zhuǎn)發(fā)低時(shí)延為增加用戶數(shù)量提供了強(qiáng)有力的保障。</p><p>　　4.3 Router OS 在企業(yè)網(wǎng)中的應(yīng)用</p><p>　　某服裝廠網(wǎng)絡(luò)拓?fù)鋱D如下圖

63、4.1。由于最近公司網(wǎng)絡(luò)受到黑客的攻擊，現(xiàn)在公司又在一臺(tái)PC上安裝了Router OS。利用Router OS的防火墻功能，來(lái)保障公司網(wǎng)絡(luò)的安全。</p><p>　　圖4.1 某服裝廠拓?fù)鋱D</p><p>　　4.3.1 Router OS的安裝</p><p>　　某服裝廠使用的Mikrotik Router OS 3.16版本。在我們安裝Router O

64、S的PC硬件配置如下：</p><p>　　處理器 英特爾 Core i3 M 380 @ 2.53GHz 四核處理器</p><p>　　主板 聯(lián)想 0579A12 (英特爾 HM55 芯片組)</p><p>　　內(nèi)存 4 GB ( 記憶科技 DDR3 1333MHz)</p><

65、p>　　主硬盤 西數(shù) WDC WD3200BEKT-08PVMT1 ( 320 GB / 7200 轉(zhuǎn)/分 )</p><p>　　顯卡 ATI Mobility Radeon HD 545v ( 1GB MB / 聯(lián)想 )</p><p>　　顯示器 LG LGD02E9 ( 14 英寸 )</p><

66、p>　　光驅(qū) 日立-LG DVDRAM GT33N DVD刻錄機(jī)</p><p>　　聲卡 瑞昱 ALC269 @ 英特爾 5 Series/3400 Series Chipset 高保真音頻</p><p>　　網(wǎng)卡 RS-SUNNET千兆PCI-E光纖網(wǎng)卡（兩塊）</p><p>　　使用光

67、盤啟動(dòng)計(jì)算機(jī)時(shí)，會(huì)出現(xiàn)下面的界面：讓你選擇安裝的模塊，選擇全部安裝，鍵盤輸入ａ，然后輸入ｉ開始安裝圖4.2。</p><p>　　圖 4.2 router os 安裝選擇全部</p><p>　　計(jì)算機(jī)提醒你是不是要保留以前的設(shè)置，我是全新安裝的，按ｎ回車，不保留。然后計(jì)算機(jī)提示是否繼續(xù)，按y鍵。開始安裝圖4.3。</p><p>　　圖 4.3 router os

68、安裝過(guò)程</p><p>　　你就等著安裝完成出現(xiàn)讓你按回車鍵繼續(xù)的畫面，計(jì)算機(jī)重新啟動(dòng)后就行了。</p><p>　　4.2.2 Router OS 的配置</p><p>　　系統(tǒng)安裝之后重新啟動(dòng)，然后出現(xiàn)登陸界面，</p><p>　　輸入初始用戶名 admin，口令直接回車。進(jìn)入 Router OS 的字符界面，好了，現(xiàn)在開始我們的

69、簡(jiǎn)單初始設(shè)置階段。</p><p>　　由于我們是新配置的機(jī)器，所以我們應(yīng)該先給它的每張網(wǎng)卡配置新的ip。先看一下網(wǎng)卡的個(gè)數(shù)以及是否啟動(dòng)圖4.4。</p><p>　　圖4.4 網(wǎng)卡的屬性</p><p>　　更改網(wǎng)卡的名稱以方便區(qū)分不同的網(wǎng)絡(luò)接口。為方便區(qū)分我們作如下規(guī)定：接入外網(wǎng)的網(wǎng)絡(luò)接口命名為 Wan，其接入外網(wǎng)的方式是通過(guò) dhcp 客戶端設(shè)自動(dòng)獲取IP地址

70、。接入局域網(wǎng)的網(wǎng)絡(luò)接口我們命名為 Lan。命令執(zhí)行過(guò)程和顯示界面如下圖 4.5：</p><p>　　圖 4.5 更改網(wǎng)卡名字</p><p>　　輸入命令更改網(wǎng)卡的名稱后。退回到根目錄，設(shè)定網(wǎng)卡地址等信息。設(shè)定網(wǎng)卡的 ip 地址，我們要設(shè)定局域網(wǎng)接口 Lan 的地址，（備注，若這里出現(xiàn)的不是 Lan，而是 Wan，你需要把它改成 Lan）。輸入我們?cè)O(shè)定的 Lan 的 IP 地址 192.

71、168.0.254/24。系統(tǒng)然后讓你輸入網(wǎng)關(guān)的地址，千萬(wàn)要注意不要輸入默認(rèn)的地址，而是要改為 0.0.0.0圖4.6。</p><p>　　圖 4.6 設(shè)置Lan網(wǎng)卡信息</p><p>　　因?yàn)楣纠锩婵匆曨l，上網(wǎng)聊天沒(méi)人所需流量不同，因此需要全局限制速度和限制線程。設(shè)置192.168.0.2~192.168.0.254 connection-limit=50是線程數(shù)這里為50。<

72、;/p><p>　　for 5 from 2 to 254 do={/ip firewall filter add chain=forward</p><p>　　src-address=(192.168.0.5) protocol=tcp connection-limit=50,32 action=drop}</p><p>　　設(shè)置是上行／下行的網(wǎng)速為2M/1M。&

73、lt;/p><p>　　:for user from 2 to 254 do={/queue simple add name=("192.168.0.3") dst-address=("192.168.0.3 /32") max-limit=2048000/1024000}</p><p>　　外網(wǎng)連接是采用靜態(tài)IP的方式，IP為10.10.0.1。連

74、接到網(wǎng)卡Wan。為網(wǎng)卡Wan設(shè)置IP地址：</p><p>　　ip address>add address=10.10.0.1/24 interface=Wan</p><p>　　為路由器配置靜態(tài)路由</p><p>　　網(wǎng)關(guān)地址為10.10.0.1，讓所有數(shù)據(jù)的下一跳都將指向這個(gè)網(wǎng)關(guān)。</p><p>　　ip route>

75、add dst—address=0.0.0.0/0</p><p>　　gateway=0.0.0.0。</p><p>　　給客戶端的IP進(jìn)行綁定，客戶機(jī)的MAC地址為00:0C:29:61:BD:40，IP地址為192.168.0.1，可以用以下命令進(jìn)行綁定： ．</p><p>　　ip arp>add address=192.168.0.1 inter

76、face=Lan mac-address=00:0C:29:61:BD:40查看綁定結(jié)果圖 4.7。</p><p>　　圖 4.7 MAC地方綁定</p><p>　　4.3 Router OS端口映射配置</p><p>　　1、改變www服務(wù)端口為8081：</p><p>　　/ip service set www port=8081

77、</p><p>　　2、改變hotspot服務(wù)端口為80,為用戶登錄頁(yè)面做準(zhǔn)備：</p><p>　　/ip service set hot spot port=80</p><p>　　Set uphotspotprofiletomarkauthenticateduserswithflowname"hs-auth":</p>&

78、lt;p>　　/iphotspotprofilesetdefaultmark-flow="hs-auth"login-method=enabled-address</p><p>　　3、增加一個(gè)用戶： </p><p>　　/ip hot spot user addname = user1 password = 1</p><p>　　4

79、、重定向所有未授權(quán)用戶的tcp請(qǐng)求到hotspot服務(wù)</p><p>　　/ipfirewalldst-nataddin-interface="ether2"flow="!hs-auth"protocol=tcpaction=redirectto-dst-port=80comment="redirectunauthorizedclientstohotspots

80、ervice"</p><p>　　5、允許dns請(qǐng)求、icmpping；拒絕其他未經(jīng)認(rèn)證的所有請(qǐng)求：</p><p>　　/ipfirewalladdname=hotspot-tempcomment="limitunauthorizedhotspotclients"</p><p>　　/ipfirewallruleforwardad

81、din-interface=ether2action=jump</p><p>　　jump-target=hotspot-tempcomment="limitaccessforunauthorizedhotspotclients"</p><p>　　/ipfirewallruleinputaddin-interface=ether2dst-port=80protoc

82、ol=tcp</p><p>　　action=acceptcomment="acceptrequestsforhotspotservlet"</p><p>　　/ipfirewallruleinputaddin-interface=ether2dst-port=67protocol=udp</p><p>　　action=acceptcom

83、ment="acceptrequestsforlocalDHCPserver"</p><p>　　/ipfirewallruleinputaddin-interface=ether2action=jump</p><p>　　jump-target=hotspot-tempcomment="limitaccessforunauthorizedhotspotc

84、lients"</p><p>　　/ipfirewallrulehotspot-tempaddflow="hs-auth"action=return</p><p>　　comment="returnifconnectionisauthorized"</p><p>　　/ipfirewallrulehotspot

85、-tempaddprotocol=icmpaction=return</p><p>　　comment="allowpingrequests"</p><p>　　/ipfirewallrulehotspot-tempaddprotocol=udpdst-port=53action=return</p><p>　　comment="

86、allowdnsrequests"</p><p>　　/ipfirewallrulehotspot-tempaddaction=reject</p><p>　　comment="rejectaccessforunauthorizedclients"</p><p>　　6、創(chuàng)建hotspot通道給認(rèn)證后的hotspot用戶</

87、p><p>　　Createhotspotchainforauthorizedhotspotclients:</p><p>　　/ipfirewalladdname=hotspotcomment="accountauthorizedhotspotclients"</p><p>　　Passallthroughgoingtraffictohotsp

88、otchain:</p><p>　　/ipfirewallruleforwardaddaction=jumpjump-target=hotspot</p><p>　　comment="accounttrafficforauthorizedhotspotclients"</p><p>　　客戶機(jī)輸入任何網(wǎng)址，都自動(dòng)跳轉(zhuǎn)到登陸頁(yè)面，輸入賬號(hào)密碼

89、，繼續(xù)瀏覽。</p><p>　　4.4 設(shè)置防火墻規(guī)則</p><p>　　Router OS防火墻功能非常靈活。Router OS防火墻屬于包過(guò)濾防火墻，可以自己定義一系列的規(guī)則過(guò)濾掉發(fā)往Router OS、從Router OS發(fā)出、通過(guò)Router OS轉(zhuǎn)發(fā)的數(shù)據(jù)包。在Router OS防火墻中定義了三個(gè)防火墻鏈（即input、forward、output），可以在這三個(gè)鏈當(dāng)中定義自

90、己的規(guī)則。</p><p>　　input意思是指發(fā)往Router OS自己的數(shù)據(jù)（也就是目的ip是Router OS接口中的一個(gè)ip地址）；</p><p>　　output意思是指從Router OS發(fā)出去的數(shù)據(jù)（也就是數(shù)據(jù)包源ip是Router OS接口中的一個(gè)ip地址）；</p><p>　　forward意思是指通過(guò)Router OS轉(zhuǎn)發(fā)的（比如你內(nèi)部計(jì)算

91、機(jī)訪問(wèn)外部網(wǎng)絡(luò)，數(shù)據(jù)需要通過(guò)你的Router OS進(jìn)行轉(zhuǎn)發(fā)出去）。</p><p>　　禁止ping Router OS，需要在input鏈中添加規(guī)則，因?yàn)閿?shù)據(jù)包是發(fā)給Router OS的，數(shù)據(jù)包的目標(biāo)ip是Router OS的一個(gè)接口ip地址。在每條鏈中的每條規(guī)則都有目標(biāo)ip，源ip，進(jìn)入的接口，非常靈活的去建立規(guī)則。</p><p>　　transfered through the p

92、articular connection</p><p>　　0的意思是無(wú)限的,例如 connection-bytes=2000000-0 意思是2MB以上</p><p>　　HTB QOS 流量質(zhì)量控制</p><p>　　/ ip firewall mangle</p><p>　　add chain=forward p2p=all-p

93、2p action=mark-connection new-connection-mark=p2p_conn passthrough=yes comment="" disabled=no</p><p>　　add chain=forward connection-mark=p2p_conn action=mark-packet new-packet-mark=p2p passthrough=

94、yes comment="" disabled=no</p><p>　　add chain=forward connection-mark=!p2p_conn action=mark-packet new-packet-mark=general passthrough=yes comment="" disabled=no</p><p>　　add

95、 chain=forward packet-size=32-512 action=mark-packet new-packet-mark=small passthrough=yes comment="" disabled=no</p><p>　　add chain=forward packet-size=512-1200 action=mark-packet new-packet-mark=

96、big passthrough=yes comment="" disabled=no</p><p>　　/ queue tree</p><p>　　add name="p2p1" parent=TEL packet-mark=p2p limit-at=2000000 queue=default priority=8 max-limit=60000

97、00 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no</p><p>　　add name="p2p2" parent=LAN packet-mark=p2p limit-at=2000000 queue=default priority=8 max-limit=6000000 burst-limit=0 burst-thre

98、shold=0 burst-time=0s disabled=no</p><p>　　add name="ClassA" parent=LAN packet-mark="" limit-at=0 queue=default priority=8 max-limit=100000000 burst-limit=0 burst-threshold=0 burst-time=0

99、s disabled=no</p><p>　　add name="ClassB" parent=ClassA packet-mark="" limit-at=0 queue=default priority=8 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no</p>

100、<p>　　add name="Leaf1" parent=ClassA packet-mark=general limit-at=0 queue=default priority=7 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no</p><p>　　add name="Leaf2

101、" parent=ClassB packet-mark=small limit-at=0 queue=default priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no</p><p>　　add name="Leaf3" parent=ClassB packet-mark=

102、big limit-at=0 queue=default priority=6 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no</p><p>　　設(shè)置丟棄非法連接數(shù)據(jù)</p><p>　　/ ip firewall filter </p><p>　　add chain=i

103、nput connection -state=invalid action=drop \</p><p>　　comment="丟棄非法連接數(shù)據(jù)" disabled=no </p><p>　　設(shè)置限制總http連接數(shù)為20</p><p>　　add chain=input protocol=tcp dst -port=80 connectio

104、n -limit=20,0 action=drop \</p><p>　　comment="限制總http連接數(shù)為20" disabled=no </p><p>　　設(shè)置探測(cè)并丟棄端口掃描連接</p><p>　　add chain=input protocol=tcp psd=21,3s,3,1 action=drop \</p&

105、gt;<p>　　comment="探測(cè)并丟棄端口掃描連接" disabled=no </p><p><b>　　設(shè)置壓制DoS攻擊</b></p><p>　　add chain=input protocol=tcp connection -limit=3,32 src-address-list=black_list \<

106、/p><p>　　action=tarpit comment=" 壓制DoS攻擊" disabled=no </p><p><b>　　設(shè)置探測(cè)DoS攻擊</b></p><p>　　add chain=input protocol=tcp connection -limit=10,32 \</p><p&

107、gt;　　action=add-src-to-address-list address -list=black_list \</p><p>　　address-list-timeout=1d comment=" 探測(cè)DoS攻擊" disabled=no </p><p>　　設(shè)置丟棄掉非本地?cái)?shù)據(jù)</p><p>　　add chain=inpu

108、t dst-address-type=!local action=drop comment=" 丟棄掉非本地?cái)?shù)據(jù)" \</p><p>　　disabled=no </p><p>　　設(shè)置跳轉(zhuǎn)到ICMP鏈表</p><p>　　add chain=input protocol=icmp action=jump jump-target=ICMP

109、\</p><p>　　comment="跳轉(zhuǎn)到ICMP鏈表" disabled=no </p><p>　　設(shè)置Ping應(yīng)答限制為每秒5個(gè)包</p><p>　　add chain=ICMP protocol=icmp icmp -options=0:0-255 limit=5,5 action=accept \</p><

110、p>　　comment="Ping應(yīng)答限制為每秒5個(gè)包" disabled=no </p><p>　　設(shè)置Traceroute 限制為每秒5個(gè)包</p><p>　　add chain=ICMP protocol=icmp icmp -options=3:3 limit=5,5 action=accept \</p><p>　　com