边界网络安全

----边界网络安全

【摘要】随着校园网络的高速建设与发展，在给师生带来上网冲浪、购物便利的同时，网络安全也日益成为一个不

可忽略的问题。本文主要针对现有网络中网络边界上存在的安全问题，进行详尽的安全威胁调研，经过需求分析、概要设计、详细设计、部署安全策略的实施与测试后得出一套完整可行的解决方案。主要解决方案包括：在网络边界部署硬件防火墙设备，防火墙设备的选型，网络地址转换的部署与测试以及网络边界安全策略的制定，其中包括网络信任域的划分，网络互访的限定，网络互访流量的审核。本文中还针对目前网络中普遍存在的DDOS攻击提出相应的解决方案。

【关键字】安全的园区网络；网络安全；边界网络安全

1.福建师范大学福清分校校园网现有网络以及网络安全状况概述 ……………………………………2

1.1在福建师范大学福清分校网络系统中增加网络安全性的意义 ……………………………………2 1.2现有网络概述 …………………………………………………………………………………………2 1.2.1 现有网络的物理连接示意图 …………………………………………………………………2 1.2.2 现有网络的逻辑规划概述 ……………………………………………………………………3 1.3现有网络边界存在的主要安全风险 …………………………………………………………………3 1.3.1 网络互访存在的安全威胁 ……………………………………………………………………3 1.3.2 公共服务存在的安全威胁 …………………………………………………………………… 3 1.4现有网络边界存在的主要安全需求 …………………………………………………………………3

2.网络边界安全的详细设计和配置 …………………………………………………………………… 5 2.1防火墙的基本定义 ………………………………………………………………………………… 5 2.2各种防火墙技术简介 ……………………………………………………………………………… 5 2.2.1包过滤防火墙及其特点 …………………………………………………………………… 5 2.2.2应用代理防洪墙及其特点 …………………………………………………………………… 5 2.2.3状态检测防火墙及其特点 …………………………………………………………………… 6 2.2.4防火墙的附加功能 …………………………………………………………………………… 6 2.3 DMZ区域简介 ……………………………………………………………………………………… 6 2.4防火墙的ASA自适应安全算法 …………………………………………………………………… 6 2.5防火墙设备的选型 ………………………………………………………………………………… 6 2.6网络边界的安全策略的制定 ……………………………………………………………………… 7 2.6.1划分安全信任域 ……………………………………………………………………………… 8 2.6.2用户访问控制策略的制定 …………………………………………………………………… 8 2.6.3流量过滤 ……………………………………………………………………………………… 9 2.6.3.1基本的流量过滤 ………………………………………………………………………… 9 2.6.3.2 RFC1918过滤 ………………………………………………………………………… 10 2.6.3.3 RFC2728过滤 ………………………………………………………………………… 11 2.7在网络边界部署NAT ……………………………………………………………………………… 12 2.7.1 NAT简介及其相关概念 …………………………………………………………………… 12 2.7.2 NAT的优点 ………………………………………………………………………………… 12 2.7.3 边界路由器上NAT的配置 …………………………………………………………………… 13

可信园区网络的设计与部署---网络边界安全

2.7.4 NAT可用性的测试 …………………………………………………………………………… 14 3．总结 ……………………………………………………………………………………………………… 16 4．参考文献 ………………………………………………………………………………………………… 16 5．致谢 ……………………………………………………………………………………………………… 16

1福建师范大学福清分校校园网现有网络以及网络安全状况概述

1.1在福建师范大学福清分校网络系统中增加网络安全性的意义

随着计算机技术、信息技术的发展，计算机网络已经成为广大高校师生学习娱乐的关键平台。与此同时，随着计算机网络系统的发展，计算机网络安全系统必将发挥越来越重要的作用。由于广大师生对网络的需求与日俱增，以及计算机网络朝着多媒体方向发展，对网络的性能，如带宽、延时、延时抖动等都提出了更高的要求，原先的福建师大福清分校的二期校园网已经逐渐不能满足广大师生日益增长的上网需求。

校园网络安全系统的建立，必将为学校的行政管理、信息交流提供一个安全的环境和完整平台。通过先进技术建立起的网络安全系统，可以从根本上解决来自网络外部及内部对网络安全造成的各种威胁，以最优秀的网络安全整体解决方案为基础形成一个更加完善的业务系统和办公自动化系统。利用高性能的网络安全环境，提供整体防病毒、防火墙、防黑客、数据加密、身份验证等于一身的功能，有效地保证秘密、机密文件的安全传输，严格地制止经济情报失、泄密现象发生，避免重大经济案件的发生。

1.2现有网络概述

1.2.1现有网络的物理连接示意图，如图1-1所示： 可信园区网络的总体连接拓扑2007年5月25日图例说明福清城域网课件服务器数据库服务器1000BASE-T千兆以太网防火墙Cisco PIX 525AAA服务器FTP服务器HTTP服务器EthernetChannel以太网通道2M帧中继专线网管服务器交换机网管服务器DMZ区域各种服务器交换机交换机核心三层交换机交换机交换机交换机交换机外语楼新学生公寓无线接入点接入点6#楼科学楼教学楼图书馆昌檀楼4#楼校内校外教工宿舍教工宿舍页 1

图1-1总体连接拓扑

经过三期改造后的校园网，据有如下特点：

 高性能：实现了千兆核心，百兆到桌面。服务器集群与核心交换机之间采用千兆连接，高速的网络

2

可信园区网络的设计与部署---网络边界安全

可以满足未来若干年内对网络带宽的需求。在校园网中部署了OSPF路由协议，借由路由协议可以实现链路间的高速切换，同时也有利于后期的扩展。

 健壮性：在原有单核心交换机的基础上加上了双核心交换机，从而大大提高了网络的健壮性。通过

在两台交换机上部署HSPR协议，提供了第一跳网关冗余。

 可扩展性：采用层次化设计，在原有网络中新增加了汇聚层，将原有的核心层/接入层二层设计变

更成三层模型，即核心层，分布层，接入层。各个层次间的分工和地位明确，有利于故障的排查和隔离。

1.2.2现有网络的逻辑规划概述:

1）外部用户访问学校网站和FTP服务器

外部用户可以通过Internet访问学校的网站。 2）内部用户访问外部网络 存在以下两种情况：

内网用户通过10M光纤专线访问互联网，学校现有的公网IP地址为218.5.6.0/24网段。

内网用户通过2M帧中继专线访问福建师范大学校园网。其IP地址段为202.121.0.0/16网段。 3）内部部门之间的连接

学校的各个部门之间的网络是相互连接的。现存在两个网段，分别是192.168.0.0/16,100.0.0.0/24网段。其中192.168.0.0/16被分配用与普通网络设备的IP地址，例如教师办公用计算机、教师宿舍楼的计算机、学校机房的计算机等，100.0.0.0/24网段被用于关键部门，其中包括教务处的内部网络，课件服务器，学籍管理系统的服务器等。100.0.0.0/24网段由于承载了许多关键服务，故其对安全性的需求较高。

1.3现有网络边界存在的主要安全风险

由于福建师范大学福清分校的校园网上的网络体系越来越复杂，应用系统越来越多，网络规模不断扩大，逐渐由单纯的提供内部互联的网络发展到Intranet，现在已经扩展到Internet，网络用户也已经不单单为内部用户。而网络安全主要是由处于中心节点的相关连接广域网的路由器直接承担对外部用户的访问控制工作，且内部网络直接与外部网络相连，对整个网络安全形成了巨大的威胁。 1.3.1 网络互访存在的安全威胁

内部网络和外部网络之间的连接为直接连接，外部用户不但可以访问对外服务的服务器，同时也可以容易地访问内部的网络服务器和主机。这样，由于内部和外部没有隔离措施，内部系统较容易遭到攻击，且内部的信息也容易遭到外部攻击者的破坏。

由于我国互联网用户众多，而大多数的互联网用户安全意识不足，导致互联网整体安全形势不容乐观。校园网用户在没有适当的防护下，即使正常的访问互联网，如在不知情的情况下打开某些带有木马的网页,下载一些带有病毒的软件，也有可能遭到病毒、木马的侵害，造成不必要的损失。

此外，互联网中的一些有害信息，也需要经过相应的过滤。其中主要包括： 与福建师范大学本部连接的部分；

病毒或不良信息也完全有可能通过与本部相连的2M帧中继专线进入校园网中 1.3.2 公共服务存在的安全威胁

 缺乏对公共服务（public sever）的保护。

现有网络同时还对外开放HTTP服务和FTP服务。由于现今互联网上黑客和不法攻击者甚多，缺乏适当保护的HTTP服务器和FTP服务器无疑将成为黑客和攻击者们的最好目标。常见的攻击手段如DDOS分布式拒绝服务攻击等，随时都将对对外提供服务的服务器造成了重大威胁。  关键部门缺乏有效防护

重要部门的网络和关键敏感主机（这里主要指学校教务处内网和财务处内网）既没有与非关键网段实行必要的物理隔离也没有实行逻辑隔离，没有制定和实施相应的网络安全策略，如访问控制策略等。使得学校教务处内网和财务处内网随时都面临着重大的威胁，例如关键数据被窃取、篡改、删除等。

1.4现有网络边界存在的主要安全需求

3

可信园区网络的设计与部署---网络边界安全

由于在现有网络中，内部网络和外部网络是直接连接的。网络边界的互通性和网络访问的无限制性使得网络边界很容易成为黑客或者恶意份子攻击的入口。如果网络边界没有任何的安全机制，外部连接可以没有任何约束的进入内部网络，窃听、监视内部网络；或者直接对内部网络设备发起攻击，损失可用带宽，造成网络阻塞、甚至瘫痪；或者网络内部的重要数据库或者服务器进行攻击造成机密信息的泄露、甚至篡改。

在网络边界上，即需要保证内部网络的安全与此同时还要提供对外服务，典型的如HTTP服务和FTP服务等，这就需要对内部网络和对外服务之间实行不同的安全策略。 针对通过以上的这些需求分析，可以总结出如下需求：  网络边界必须部署相应的设备，主要也就是防火墙来实现内部网络和外部网络的隔离，从而改变网

络访问的无限制性。目前学校在校师生5000多人，共计1000余个节点有上网需求，其并发连接数和通过网络边界的流量都比较大。因此需要选择合适的网络安全设备来满足网络边界的安全需求。  由于需要同时对外提供服务，主要是HTTP和FTP服务，因此内部网络和对外提供服务的服务器

之间必须制定不同的安全策略，规划不同的安全等级。  针对目前互联网上黑客和不法攻击者较多的特点，为了防止各种网络攻击，有必要对内部地址进行

隐藏。

 网络边界的公共服务必须受到相应的保护，以防止DOS攻击。

 由于网络安全设备位于网络的最外部，其自身安全性也是设计中需要考虑的重要因素。

 与师大校园网互访的要求，只允许教师办公电脑访问师大校园网，学生电脑发起的请求将被阻断。  由于外部访问量较大，有必要使用虚拟IP地址来对HTTP服务器和FTP服务器进行服务分配。

2.网络边界安全的详细设计和配置

4

可信园区网络的设计与部署---网络边界安全

2.1防火墙的基本定义

防火墙的定义是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使企业内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访，以保护内部网络。通常认为：防火墙是位于两个（或多个）网络间，实施网络之间访问控制的组件集合。它具有以下3个方面的基本特性。  内部网络和外部网络之间的所有网络数据流都必须经过防火墙。因为只有当防火墙是内、外部网络

之间通信的唯一信道，才可以全面、有效地保护企业网部网络不受侵害。  只有符合安全策略的数据流才能通过防火墙。这是防火墙的工作原理特性。防火墙之所以能保护企

业内部网络，就是依据这样的工作原理或者说是防护过滤机制进行的。它可以由管理员自由设置企业内部网络的安全策略，使允许的通信不受影响，而不允许的通信全部拒绝在内部网络之外。  防火墙自身应具有非常强的抗攻击免疫力。这是防火墙之所以能担当企业内部网络安全防护重任的

先决条件[4]。

2.2各种防火墙技术简介

防火墙是用于网络周边安全的关键设备。防火墙的功能是允许或者拒绝那些带有特殊预置规则企图穿过防火墙的访问。所有种类的防火墙都是具备检测网络访问和在规则集基础上制约访问的功能。然而他们所使用的方法是不同的。有3种不同种类的防火墙技术。  分组过滤技术  代理服务器  状态检测

2.2.1包过滤防火墙及其特点

分组过滤防火墙仅仅检测在开放系统互联（OSI）参考模型中传输层的输入流量。分组过滤防火墙分析TCP或者UDP分组，并且把他们跟一组称作访问控制列表（access control list,ACL）的建立好的规则进行比较。分组过滤仅仅检测下列分组元素：  源IP地址（source IP address)  源端口 (source port)

 目的IP地址 (destination IP address)  目的端口(destination port)

 协议 (protocol)：指TCP或者是UDP

包过滤防火墙把这些元素与ACL（规则集）进行比较，以确定是否允许或者拒绝该分组。 分组过滤的一些缺点如下：

 ACL非常复杂并且难于管理。所有的维护工作都是通过手工完成，人为的疏忽很容易造成安全漏

洞。

 分组过滤防火墙能够被欺骗，而错误地允许一个未授权用户的访问。这个未授权用户是使用了一个

由ACL授权的IP地址作为它自己的IP地址进行欺骗的。

 许多新应用（比如多媒体应用）在随机端口创建多个连接，直到建立了连接才能够确定是使用了哪

个端口。因为访问列表是手工配置的，因此对这些应用提供支持是很困难的。 2.2.2应用代理防洪墙及其特点

代理，充当另一个人的替代者的一个代理人；授权充能够充当另一个人

代理防火墙，通常被称为代理服务器，代表在受保护网段上的主机工作。受保护的主机与外界没有任何连接。在受保护网络中的主机发送他们的请求给已认证和已授权的代理服务器。这样，代理服务器代表发送请求的主机向外部发送请求，并且向发送请求的主机转发应答。代理运行在OSI参考模型的上层。大部分代理防火墙被设计成常用信息的高速缓存，以加速对发送请求主机的响应时间。处理执行代理服务所需的工作量是重要的，并且随着发送请求主机数量的增加而增加。大型网络通常使用几个代理服务器，以避免吞吐量的问题。一个发送请求主机通过一个代理能够访问的应用的数量是有限的。通过设计，代理防火墙可以仅仅支持指定的应用和协议。代理服务器的主要缺点是它们是运行在操作系统之上的应用。一个设备只能获得同它运行的操作系统一样的安全性。如果操作系统被攻陷了，未授权用户

5

可信园区网络的设计与部署---网络边界安全

就能控制代理防火墙，并获得对整个受保护网络的访问。

2.2.3状态检测防火墙及其特点

状态检测，也称为状态分组过滤（stateful packet filtering）,是一个过滤和代理服务器的组合。这项技术更安全并且提供了更多的功能性，因为连接不但应用一个ACL，也记录进一个状态表。一个连接建立后，所有的会话数据都要与状态表相比较。如果会话数据与状态表中这个连接的信息不匹配，这个连接就会被丢弃。

状态分组过滤是Cisco PIX防火墙使用的方法。 2.2.4防火墙的附加功能

目前的防火墙还往往能够提供一些附加的功能，如：

1. IP转换即NAT，IP转换主要功能有二，一是隐藏在其后的网络设备的真实IP，从而使入侵者无法直接攻击内部网络，二是可以使用RFC1918的保留IP，这对解决IP地址匮乏的网络是很实用的。 2. 虚拟专用网VPN，它是指在公共网络中建立的专用加密虚拟通道，以确保通讯安全。 3. 杀毒一般都通过插件或联动实现。

4. 与IDS联动 目前实现这一功能的产品也有逐渐增多的趋势。 5. GUI界面管理，目前大多数的商用防火墙一般都提供了WEB和GUI的界面，以便于管理员进行配置工作。

6. 自我保护，流控和计费等其它功能。

2.3 DMZ区域简介

DMZ（非军事区）作为内外网都可以访问的公共计算机系统和资源的连接点，在其中放置的都是一些可供内、外部用户公共访问的服务器，或提供通信基础服务的服务器及设备。比如企事业单位的WEB服务器、E-MAIL（邮件）服务器、VPN网关、DNS服务器、拨号所用的MODEM池等。这些系统和资源都不能放置在内部保护网络内，否则会因内部网络受到防火墙的访问限制而无法正常工作。DMZ区通常放置在带包过滤功能的边界路由器与防火墙之间。因为边界路由器作为网络安全的第一道防线，可以起到一定的安全过滤作用，因为它具有包过滤功能，通常不会设置得太严。而防火墙作为网络的第二道，也是最后一道防线，它的安全级别肯定要比边界路由器上的设置高许多。如果把用于公共服务器的一些服务器放置在防火墙之后，显然因安全级别太高，外部用户无法访问这些服务器，达不到公共服务的目的[4]。

2.4防火墙的ASA自适应安全算法

每个防火墙的接口都被分配上相应的安全等级（security level）。PIX防火墙允许流量从安全等级较高的接口流向安全级别较低的接口而不需要在较高安全等级的段上定义任何的显式的安全规则。从较低安全级别接口流向较高安全级别端口的流量则必须满足以下两个条件。  对于目的必须存在一个静态的转换（translation）  必须存在一条ACL或者是conduit来允许该流量。

2.5防火墙设备的选型

根据2.2节对各种防火墙技术的分析，结合目前学校对网络边界安全的需求，决定采用状态检测防火墙。主要原因如下：

包过滤防火墙虽然速度快，但已属于上一代防火墙技术，包过滤防火墙只能工作在OSI网络模型的第三层和第四层，对于更高层次的信息无法进行有效过滤，此外包防火墙的可扩展性，智能性方面存在着不足，容易造成安全漏洞。

应用代理防火墙虽然价格低廉，易于部署。但由于应用代理防火墙是基于软件实现的，其过滤速度有限，最大吞吐量等指标不能满足现有网络边界的安全需求。另外应用代理防火墙的自身安全性能有限，部署在网络边界上有被攻破的危险。

综上分析，在网络边界才用状态检测防火墙是较为合理的，主要理由如下： 1． 状态检测防火墙基于硬件实现性能较高。我校目前有需要访问Internet的主机1000余台，以每

6

可信园区网络的设计与部署---网络边界安全

个主机3-4个TCP连接计算，网络边界至少需要维护3000-4000个并发连接，这是普通的应用代理防火墙无法实现的。

2． 状态检测防火墙灵活性好。由于状态检测防火墙是基于连接状态来进行检测的，当网络出现新

的应用是，它并不需要人为的增加新的过滤条目，从而大大提高了防火墙的灵活性。

3． 状态检测防火墙可以检测更深层次的信息。例如状态检测防火墙可以根据应用层的协议来检测

报文。

4． 状态检测防火墙自身安全性好。状态检测防火墙往往是基于专门的软件和硬件开发的，其系统

具有一定的封闭性，故其自身安全性较好。

CISCO PIX系列防火墙的主要特性：

高级防火墙服务——深层检测防火墙服务，如HTTP、FTP和ESMTP；即时消息；对等和隧道化应用阻拦；采用基于流量的安全策略的思科模块化策略框架；虚拟防火墙服务；第二层透明防火墙；3G移动无线安全服务。

强大的IP Sec VPN服务——VPN客户端安全状实施；自动 VPN客户端软件升级；VPN隧道上的OSPF动态路由。

PIX-525 的相关参数如表2-1

表2-1 PIX-525的相关参数

参数类型 设备类型 并发连接数 网络吞吐量 安全过滤带宽 用户数限制 入侵检测 安全标准 控制端口 管理 适用环境 电源 防火墙尺寸 防火墙重量 其他性能 企业级防火墙 280000 370Mpps 100MB 无限制 DOS、IDS UL, C-UL, TUV, IEC 950 RS-232(RJ-45) CSPM、PDM 工作温度（℃） -5 - 55 工作湿度 95%相对湿度（RH） 220V,135W 464*445*90mm 14.5kg 处理器：600MHz Intel Pentium III；随机读写内存：高达256 MB；闪存：16 MB,接口：双集成10 Base-T快速以太网，RJ45,PCI插槽：3个 PIX-525参数 高可用性服务——屡获大奖的主用/备用或更为先进的主用/主用故障切换，支持不对称路由；远程接入和站点间VPN状态化故障切换；无需停机的软件升级 智能网络服务——PIM组播路由；服务质量（QoS）；IPv6网络

灵活的管理解决方案——SSHv2和SNMPv2c；配置回退；可用性增强；基于Web的自适应安全设备管理器（ASDM）

2.6网络边界的安全策略的制定

网络边界的安全策略的制定主要包括如下内容：  划分安全信任域。

 用户访问控制策略的制定  审核和过滤 2.6.1划分安全信任域

7

可信园区网络的设计与部署---网络边界安全

根据对现有网络边界安全的需求分析，网络可以划分为以下几个安全区域：

 内部网段：即校园网内网，是防火墙重点保护的对象，其拥有最高的安全级别和受信级别。其主要

的承载对象为广大师生的计算机。

 外部网段：在本设计中是指边界路由器以外的网络。即INTERNET和福建师大校园网，其安全级

别和受信级别最低，一切从外部网络发起的流量都将被禁止。

 DMZ网段：被规划用于放置对外服务器，其安全级别和受信级别介于内部网络和外部网络之间。

允许外部网络访问其中的资源。

具体的安全区域规划和各个区域与防火墙相连的接口，以及各个接口的安全级别如图2-2所示：

福建师范大学福清分校网络边界DMZ区域172.16.1.0/24FTP服务器HTTP服务器interface e2nameif DMZsecurity-level 50 接口e0连接外部网络,将其安全级别设定为50 外部网络师大校园网INTERNET WAN Router内部网络Campus Networks192.168.0.0/16FirewallCisco PIX-525interntetISP routerinterface e0nameif outsidesecurity-level 0 接口e0连接外部网络,将其安全级别设定为0 interface e1nameif insidesecurity-level 100 接口e0连接外部网络,将其安全级别设定为100 图2-2网络边界安全区域的划分

分属于两个安全区域的网段通过PIX防火墙进行互连，各个区域的安全级别和访问级别如表2-3所示：

表2-3

No. 1 2 3 安全区域 外部网段 DMZ网段 内部网段 安全级别 低级 中级 高级 无。提供网络连接。 受限访问；对外可见；对外提供受限的服务 可自由访问外部网络资源；对外不可见。 访问级别 2.6.2用户访问控制策略的制定

根据需求分析，网络边界上存在的主要的访问方式如图2-4所示：

8

可信园区网络的设计与部署---网络边界安全

福建师范大学福清分校网络边界DMZ区域172.16.1.0/24所允许的流量为:HTTP TCP 端口80FTP TCP 端口21外部网络FTP服务器HTTP服务器师大校园网INTERNET WAN Router132内部网络Campus Networks192.168.0.0/16interntetISP router4FirewallCisco PIX-525stop 图2-4 网络边界上存在的主要的访问方式

1．外部用户访问DMZ区域中的服务器。这种访问方式的情况较为特殊，默认情况下是不允许的。但实际应用中又需要外部用户可以访问到公共服务器，所以必须在防火墙上增加相应的访问控制列表来允许外部用户对DMZ区域的访问。

2．内部用户访问外部网络。根据ASA自适应安全算法，从高安全等级接口流向低安全等级的接口的流量默认情况下是被允许的，内部网络的安全级别高于外部网络，故这种访问方式默认情况下是被允许的，但实际应用中，还会对访问外部网络的流量加以一定限制。例如，本网络中用户要求只允许教师的主机访问师大校园网络，此时，就必须对访问外部的流量加以一定的限制，详细内容将在2.6.3.1基本的流量过滤中叙述。

3．内部用户访问DMZ区域中的服务器。根据ASA自适应安全算法，从高安全等级接口流向低安全等级的接口的流量默认情况下是被允许的，内部网络的安全级别高于外部网络，故这种访问方式默认情况下是被允许的。

4．外部用户访问内部网络。默认情况下不允许，从而防止了外部用户对内部非法访问。 2.6.3流量过滤

2.6.3.1基本的流量过滤

外部用户需要访问DMZ区域中的公共服务器，现有需要进行审核和过滤的应用和服务类型包括： （如表2-5所示）

表2-5

服务类型 WWW FTP 端口范围/协议类型 80, tcp 21, tcp 说明 WWW服务 文件传输服务 为了使外部用户可以访问内部的ＤＭＺ网段，在防火墙上创建一个访问控制列表允许外部网络访问内部网络：

access-list permit DMZ extended permit tcp any host 172.16.1.1 eq http //允许互联网主机访问DMZ中的HTTP服务器#1

access-list permit DMZ extended permit tcp any host 172.16.1.2 eq http //允许互联网主机访问DMZ中的HTTP服务器#2

access-list permit DMZ extended permit tcp any host 172.16.1.3 eq ftp

9

可信园区网络的设计与部署---网络边界安全

//允许互联网主机访问DMZ中的FTP服务器 access-list permit DMZ extended deny ip any any //拒绝其他一切的访问

access-list permit DMZ in interface outside //在防火墙的outside接口上部署

学校还要求只能允许教师主机访问福建师大校园网，因此定义访问控制列表如下：

这里教师的主机所在的网络地址为192.168.3.0/24，师大校园网的IP地址范围为202.121.0.0/16 access-list to_fjsd extended permit ip 192.168.3.0 0.0.0.255 202.121.0.0 0.0.255.255 //允许教师主机访问师大校园网络

access-list to_fjsd extended deny ip any 202.121.0.0 0.0.255.255 //拒绝其余主机访问师大校园网

access-list to_fjsd in internface inside //在inside接口上应用该ACL

由于互联网上的带有不少有害信息，因此也有需要在网络边界上对这些有害信息进行过滤，下面以过滤用户访问sina的图片为例子，介绍HTTP过滤的基本方法与使用 ！阻止访问sina的图片

class-map type regex match-any url_list //定义一个正则表达式url_to_sina match regex www.sina.com/*.jpg //过滤所有的图片 match regex www.sina.com/*.gif match regex www.sina.com/*.jpeg exit

class-map type regex match-all methods //定义一个正则表达式methods

match regex ―GET‖ exit

class-map type http http_url_policy //定义一个用于过滤HTTP的MAP match request url regex class url //匹配HTTP的request请求报文中的URL字段 match request method regex class methods //匹配HTTP的request报文中的GET命令 exit

policy-map type http http_polisy class http_url_policy

drop //阻止用户访问sina上的图片 service-policy http_policy interface outside //在接口outside上应用 2.6.3.2 RFC1918过滤

在RFC1918中定义了一段永久保留的IP地址，它们只能被用于私有的网络中。许多组织和机构都利用RFC1918中的IP地址来对它们的内部网络进行编址，然后使用NAT技术来对Internet进行访问。RFC1918所定义的IP地址如下：

10.0.0.0 – 10.255.255.255(10/8 prefix)

172.16.0.0 – 172.31.255.255(172.16/12 prefix) 192.168.0.0 – 192.168.255.255(192.168/16 prefix)

RFC1918过滤的基本原理是如果在网络边界上收到以RFC1918中所定义的IP地址为源地址的IP报文，那么这些报文都应该被视为是非法的，而且出现这种情况往往表明网络边界出现了DOS攻击。在网络边界上部署RFC1918过滤一定程度上可以减轻以RFC1918中定义的IP地址作为源地址的DOS攻击。 在本网络中，RFC1918过滤将部署在与INTERNT相连的接口上。如图2-6所示：

10

可信园区网络的设计与部署---网络边界安全

RFC1918过滤interface fa0/0福建师范大学福清分校网络边界ip access-group denyRFC1918 in！ip access-list extended denyRFC1918 deny ip 10.0.0.0 0.255.255.255 any logDMZ区域 deny ip 172.16.0.0 0.15.255.255 any log172.16.1.0/24 deny ip 192.168.0.0 0.0.255.255 any log permit ip any anyFTPHTTP定义一个扩展访问控制列表过滤所有的以RFC1918为源地址的IP报文。并在与INTERNET连接的接口服务器服务器上部署师大校园网外部网络INTERNET WAN Routere2e0FirewallCisco PIX-525内部网络Campus Networks192.168.0.0/16interntetISP routere1 图2-6在网络边界上部署RFC1918过滤示意图

2.6.3.3 RFC2728过滤

RFC2827过滤的主要作用是用来防止IP欺骗攻击。RFC2827定义了一种基于内部分配的网络进行过滤进站和出站流量的方法。以本网络为例，网络内部地址为192.168.0.0/16，DMZ区域的IP地址为172.16.1.0/24，为了防止IP源地址欺骗，首先在防火墙的接口E0上进行过滤，仅允许内部的192.168.0.0/16的网段和DMZ区域的172.16.1.0/24通过，从而防止了内部用户对源IP地址进行欺骗。同理，在边界路由器上也应进行相应的过滤。具体的过滤方向和方式如图2-7所示：

福建师范大学福清分校网络边界RFC2827过滤access-list 101 permit ip 192.168.0.0 0.0.255.255access-list 101 permit ip 172.16.1.0 0.0.0.255access-list 101 deny ip any any!access-list 102 deny ip 192.168.0.0 0.0.255.255access-list 102 deny ip 172.16.1.0 0.0.0.255access-list 102 permit ip any any！access-list 101 out interface outsideaccess-list 102 in interface outsideDMZ区域172.16.1.0/24FTP服务器HTTP服务器师大校园网外部网络来自INTERNT的流量INTERNET WAN Routere2e0e1内部网络Campus Networks192.168.0.0/16interntetISP routerFirewallCisco PIX-525去往INTERNT的流量RFC2827过滤interface fa0/1ip access-group 101 inip access-group 102 out!access-list 101 permit ip 192.168.0.0 0.0.255.255access-list 101 permit ip 172.16.1.0 0.0.0.255access-list 101 deny ip any any!access-list 102 deny ip 192.168.0.0 0.0.255.255access-list 102 deny ip 172.16.1.0 0.0.0.255access-list 102 permit ip any any 图2-7在网络边界上部署RFC2728过滤示意图

11

可信园区网络的设计与部署---网络边界安全

2.7在网络边界部署NAT

2.7.1 NAT简介及其相关概念

NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。在网络内部，各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。 下面简要的介绍NAT的一些相关概念：  内部本地地址（Inside local address）：分配给内部网络中的计算机的内部IP地址。 在本设计中Inside

local address分别为192.168.0.0/16（内部网络）和172.16.1.0/24（DMZ区域）  内部合法地址（Inside global address）：对外进入IP通信时，代表一个或多个内部本地地址的合法

IP地址。需要申请才可取得的IP地址。在本设计中即为：218.5.6.0/24（与INTERNET相连的地址）和Y。Y。Y。Y(和师大校园网相连的地址)  外部合法地址（outside global address）：指任意一个合法的全球有效的单播地址。 2.7.2 NAT的优点  地址隐藏

当一个机构不想让外部网络用户知道自己的网络内部结构（如内部IP地址分配），可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。 在本设计中通过部署NAT，可以对外部网络隐藏内部的网络细节，从而提高了安全性  解决IPv4地址不足的问题

当一个机构申请的合法Internet IP地址很少，而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。在本设计中，由于学校只申请了若干个外部合法地址，远远不能满足全校师生的需要。因此，必须在网络边界部署NAT来解决这个问题  用于实现TCP连接的负载均衡： 当外部向内部的连接比较大时，很可能超过一台服务器的承受范围外部主机向虚拟主机（定义为内部全局地址）通讯，NAT 路由器接受外部主机的请求并依据NAT表建立与内部主机的连接，把内部全局地址（目的地址）翻译成内部局部地址，并转发数据包到内部主机，内部主机接受包并作出响应。NAT router再使用内部局部地址和端口查询数据表，根据查询到的外部地址和端口做出响应。

福建师范大学福清分校网络边界部署静态目的地址转换（static destination NAT）分别将218.5.6.5和218.5.6.6分配用于HTTP和FTP服务的公网地址。FTP定义静态目的地址转换将目的地址为218.5.6.6的数据报的服务器目的IP地址转换为172.16.1.3。定义可轮询的静态目的地址转换将目的地址为218.5.6.5的数据报的目的IP地址转换为172.16.1.1和172.16.1.2，以实现简单的TCP负载均衡师大校园网外部网络DMZ区域172.16.1.0/24HTTP服务器NAT outside interfaceNAT outside interface218.5.6.1-218.5.6.6ISP routere2e0FirewallCisco PIX-525NAT inside interface内部网络Campus Networks192.168.0.0/16interntete1部署动态源地址转换（source NAT）从内网访问INTERNET的IP源地址将被转换成218.5.6.1到218.5.6.4从内网访问师大校园网的流量的源IP地址将被转换成202.121.48.1图2-8 IP地址转换示意图

12

可信园区网络的设计与部署---网络边界安全

2.7.3边界路由器的NAT配置

ip nat pool to_internet 218.5.6.1 218.5.6.4 prefix-length 24

//定义一个地址池to_internet，该地址池中的地址范围为218.5.6.1到218.5.6.4，用户师生日常的上网服务

ip nat pool to_intranet 202.121.48.1 202.121.48.1 prefix-length 24

//定义一个地址池to_intranet，地址为202.121.48.1用于访问师大校园网时使用 ip nat pool to_DMZ 172.16.1.1 172.16.1.2 prefix-length 24 type rotary

//定义一个地址池to_DMZ地址范围为172.16.1.1到172.16.1.2，用于外部用户访问DMZ区域时使用 ip nat inside source list internet pool to_internet overload //定义一个动态的源地址转换，用于师生访问INTERNET ip nat inside source list intranet pool to_intranet overload //定义一个动态的源地址转换，用于用户访问师大校园网 ip nat inside destination list DMZ pool to_DMZ //定义一个静态的目的地址转换

ip route 0.0.0.0 0.0.0.0 218.5.6.12 ！

ip access-list extended DMZ

permit tcp any host 218.5.6.5 eq www permit tcp any host 218.5.6.6 eq www

//允许外部主机访问DMZ区域中的WWW服务器 ip access-list extended internet

permit ip 192.168.0.0 0.0.255.255 any ip access-list extended intranet

permit ip 192.168.100.0 0.0.0.255 202.121.0.0 0.0.255.255 //定义可以访问师大校园网的源IP地址

13

//默认路由，指向ISP的路由器 //定义可以访问internet的源IP地址 可信园区网络的设计与部署---网络边界安全

2.7.4 测试NAT的可用性 student'compute

//学生的计算机，在这里其IP地址为192.168.1.1

student'computer#ping ip 1.1.1.1 source 192.168.3.1 repeat 1 Type escape sequence to abort.

Sending 1, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1 !//测试学生主机与教师主机的互通性

Success rate is 100 percent (1/1), round-trip min/avg/max = 220/220/220 ms student'computer#ping ip 1.1.1.1 source 192.168.2.1 repeat 1 Type escape sequence to abort.

Sending 1, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1

Success rate is 100 percent (1/1), round-trip min/avg/max = 240/240/240 ms student'computer#ping ip 1.1.1.1 source 192.168.1.1 repeat 1 Type escape sequence to abort.

Sending 1, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.1.1

Success rate is 100 percent (1/1), round-trip min/avg/max = 164/164/164 ms

premeter_router边界路由器上的DEBUG信息 Router#debug ip nat

*Mar 1 00:33:48.815: IP: tableid=0, s=192.168.3.1 (Ethernet0/0), d=1.1.1.1 (Serial1/0), routed via FIB *Mar 1 00:33:48.819: NAT: s=192.168.3.1->218.5.6.1, d=1.1.1.1 [44]

*Mar 1 00:33:48.823: IP: s=218.5.6.1 (Ethernet0/0), d=1.1.1.1 (Serial1/0), g=218.5.6.12, len 100, forward *Mar 1 00:33:48.959: NAT*: s=1.1.1.1, d=218.5.6.1->192.168.3.1 [44] Router#

*Mar 1 00:33:54.527: IP: tableid=0, s=192.168.2.1 (Ethernet0/0), d=1.1.1.1 (Serial1/0), routed via FIB *Mar 1 00:33:54.531: NAT: s=192.168.2.1->218.5.6.1, d=1.1.1.1 [45]

*Mar 1 00:33:54.531: IP: s=218.5.6.1 (Ethernet0/0), d=1.1.1.1 (Serial1/0), g=218.5.6.12, len 100, forward *Mar 1 00:33:54.671: NAT*: s=1.1.1.1, d=218.5.6.1->192.168.2.1 [45] Router#

*Mar 1 00:33:58.295: IP: tableid=0, s=192.168.1.1 (Ethernet0/0), d=1.1.1.1 (Serial1/0), routed via FIB *Mar 1 00:33:58.299: NAT: s=192.168.1.1->218.5.6.1, d=1.1.1.1 [46]

*Mar 1 00:33:58.299: IP: s=218.5.6.1 (Ethernet0/0), d=1.1.1.1 (Serial1/0), g=218.5.6.12, len 100, forward *Mar 1 00:33:58.415: NAT*: s=1.1.1.1, d=218.5.6.1->192.168.1.1 [46] Router#show ip nat translations

Pro Inside global Inside local Outside local Outside global icmp 218.5.6.1:12 192.168.3.1:12 1.1.1.1:12 1.1.1.1:12 icmp 218.5.6.1:13 192.168.2.1:13 1.1.1.1:13 1.1.1.1:13 icmp 218.5.6.1:14 192.168.1.1:14 1.1.1.1:14 1.1.1.1:14

教师电脑访问INTERNET和师大校园网测试： teacher'computer#ping 1.1.1.1 repeat 1 Type escape sequence to abort.

Sending 1, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:

14

可信园区网络的设计与部署---网络边界安全

!

Success rate is 100 percent (1/1), round-trip min/avg/max = 288/288/288 ms teacher'computer#ping 202.121.48.2 repeat 1 Type escape sequence to abort.

Sending 1, 100-byte ICMP Echos to 202.121.48.2, timeout is 2 seconds: !

Success rate is 100 percent (1/1), round-trip min/avg/max = 240/240/240 ms teacher'computer#

Router#

*Mar 1 00:40:31.679: IP: tableid=0, s=192.168.100.1 (Ethernet0/0), d=1.1.1.1 (Serial1/0), routed via FIB *Mar 1 00:40:31.683: NAT: s=192.168.100.1->218.5.6.1, d=1.1.1.1 [21]

*Mar 1 00:40:31.683: IP: s=218.5.6.1 (Ethernet0/0), d=1.1.1.1 (Serial1/0), g=218.5.6.12, len 100, forward *Mar 1 00:40:31.823: NAT*: s=1.1.1.1, d=218.5.6.1->192.168.100.1 [21] Router#

*Mar 1 00:40:44.735: IP: tableid=0, s=192.168.100.1 (Ethernet0/0), d=202.121.48.2 (Serial1/1), routed via FIB

*Mar 1 00:40:44.739: NAT: s=192.168.100.1->218.5.6.1, d=202.121.48.2 [22]

*Mar 1 00:40:44.739: IP: s=218.5.6.1 (Ethernet0/0), d=202.121.48.2 (Serial1/1), g=202.121.48.2, len 100, forward

*Mar 1 00:40:44.879: NAT*: s=202.121.48.2, d=218.5.6.1->192.168.100.1 [22] Router#show ip nat translations

Pro Inside global Inside local Outside local Outside global icmp 218.5.6.1:5 192.168.100.1:5 1.1.1.1:5 1.1.1.1:5

icmp 218.5.6.1:6 192.168.100.1:6 202.121.48.2:6 202.121.48.2:6

外网访问DMZ区域的测试 Router#show ip nat translations

Pro Inside global Inside local Outside local Outside global tcp 218.5.6.5:80 172.16.1.1:80 218.5.6.12:31483 218.5.6.12:31483 tcp 218.5.6.5:80 172.16.1.2:80 218.5.6.12:50808 218.5.6.12:50808

15

可信园区网络的设计与部署---网络边界安全

结 论

经过本文的设计和部署，网络边界的安全性能已经得到了显著改善。通过防火墙的部署，安全区域的划分和相应安全策略的部署，已经使内部受到了较为充分的保护。与此同时，通过DMZ区域的规划与使用，使得对外公共服务的安全也得到了保障。

当然，由于时间仓促，设计者水平认识有限等原因，本设计并非尽善尽美。主要存在的问题在于缺乏对DOS，DDOS攻击的防护，使得对外公共服务依然面临一定的安全风险。另外，由于投资有限，在本网络中只部署了一个防火墙，这给网络引入了单点故障。

此外，在现实的网络应用中，VPN技术已经越来越成为一种主流安全技术。在本设计中并未提及，主要原因是现在的校园网规模较小，还没有远程安全访问的需求。然而，随着校园网规模的扩大，广大师生对网络的需求的增大，远程安全访问的需求终将出现。届时，需要在网络边界部署相应的VPN网关等来满足这方面的需求。

参考文献

[1] Greg Bastien, Earl Carter, Christian Degu .CCSP Cisco Secure PIX® Firewall Advanced Exam Certification Guide, Second Edition[M] .Cisco Press,2004

[2] Sean Convery. Network Security Architectures[M].Cisco Press,2004

[3] Cisco Security Appliance Command Line Configuration Guide For the Cisco ASA 5500 Series and Cisco PIX 500 Series Software Version 7.2(2)[EB/OL],2006

[4] 王达.网络管理员必读—网络基础.北京:电子工业出版社[M],2004 [5] Todd Lammle. CCNA学习指南.北京:电子工业出版社[M],2005

致 谢

16