基于ISA Serve防火墙高级策略研究与实施Word下载.docx
- 文档编号:17915147
- 上传时间:2022-12-12
- 格式:DOCX
- 页数:9
- 大小:23.83KB
基于ISA Serve防火墙高级策略研究与实施Word下载.docx
《基于ISA Serve防火墙高级策略研究与实施Word下载.docx》由会员分享,可在线阅读,更多相关《基于ISA Serve防火墙高级策略研究与实施Word下载.docx(9页珍藏版)》请在冰豆网上搜索。
第二章帧中继的结构3
第一节帧中继分组的帧结构3
第二节链接方法3
第三节帧中继与X.25协议的主要差别4
第三章帧中继技术及应用5
第一节帧中继技术5
第二节帧中继应用6
第四章帧中继主要特点和优点7
第一节帧中继主要特点7
第二节帧中继优点8
第五章关于帧中继的问题9
第一节关于帧中继的几个问题9
第六章帧中继网络设计11
第一节网络需求11
第二节命令配置13
结束语16
谢辞17
参考文献18
第一章2012年最新网络安全事件
7月19日消息,据国外媒体报道,当互联网用户们对身份曝光事件还惊魂未定时,最新的数据却显示自2010年以来,网络诈骗事件数量上升了300%。
尽管网络安全技术的创新不断增加,但数据显示网络诈骗者已成功交换的个人信息数量达1200万之多。
目前,在发现个人账户有异常现象时,许多用户仅认识到他们成了账户窃贼的受害者。
数据显示,14%的受害者在递交借贷申请或是在申请信用卡遭拒时才恍然大悟,发现自己账户被盗。
大约10%的用户一旦发现积累的债务并非自己造成的时,会警觉地发现自己遇到了网络诈骗。
而7%的用户在签署手机合同遭拒时会怀疑自己遇到了网络诈骗。
专家指出,网络诈骗率上升的一个重要原因是用户使用的账户数量和密码数量存在着巨大差异。
据悉,平均网络账户数量为26,而用户所使用的平均密码数量仅为5。
微软账户系统项目高官EricDoerr称:
“罪犯们已越来越精于从服务器上偷窃一长串的用户名和密码,然后对其他主要的账户系统“重放”这些信息。
当发现有匹配的密码时,他们会越过受攻击的原始账户而滥用这些信息。
”
今年早期公布的数据显示尽管在一些领域的诈骗事件不断增加,但在其他一些领域还是有所下降。
英国信用卡协会(CardAssociation)称,过去三年信用卡诈骗率下降了近45%。
仅去年一年,偷窃数量下降了7%,偷窃资金为3.41亿英镑,而2010年则为3.65亿英镑。
第二章现有防火墙的分析
随着计算机的发展,上网的人数不断增大,网上的资源也不断的增加,网络的开放性、共享性、互连程度也随着扩大。
政府上网工程的启动和实施,电子商务、电子货币、网上银行等网络新业务的兴起和发展,使得网络安全问题显得日益重要和突出。
防火墙技术是近年来发展起来的一种保护计算机网络和不安全之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上非法输出。
换言之,防火墙是一道门槛,控制进出两个方向的通信。
通过限制与网络或某一特定区域的通信,以达到防止非法用户侵犯受保护网络的目的。
防火墙不是一个单独的计算机程序设备。
在理论上,防火墙是由软件和硬件两部分组成,用来阻止所有网络间不受欢迎的信息交换,而允许那些可接受的通信。
随着人们对网络安全意识的提高,防火墙的应用越来越广泛。
有钱的用高级硬件防火墙,没钱的用免费的软件防火墙。
那么,硬件防火墙和软件防火墙相比,有哪些优点呢?
硬件防火墙采用专用的硬件设备,然后集成生产厂商的专用防火墙软件。
从功能上看,硬件防火墙内建安全软件,使用专属或强化的操作系统,管理方便,更换容易,软硬件搭配较固定。
硬件防火墙效率高,解决了防火墙效率、性能之间的矛盾,可以达到线性。
软件防火墙一般基于某个操作系统平台开发,直接在计算机上进行软件的安装和配置。
由于客户平台的多样性,软件防火墙需支持多操作系统,如Unix、Linux、SCO-Unix、Windows等,代码庞大、安装成本高、售后支持成本高、效率低。
1、性能优势。
防火墙的性能对防火墙来说是至关重要的。
它决定了每秒钟通过防火墙的数据流量。
单位是Bps,从几十M到几百M不等,还有千兆防火墙甚至达到几G的防火墙。
而软件防火墙则不可能达到如此高的速率。
2、CPU占用率的优势。
硬件防火墙的CPU占用率当然是0了,而软件防火墙就不同了,如果处于节约成本的考虑将防火墙软件安装在提供服务的主机上,当数据流量较大时,CPU占用率将是主机的杀手,将拖跨主机服务器防入侵。
3、售后支持。
硬件防火墙厂家会对防火墙产品有跟踪的服务支持,而软件防火墙的用户能得到这种机会的相对较少,而且厂家也不会在软件防火墙上下太大的功夫和研发经费
第一节防火墙技术
网络防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,其中被保护的网络称为内部网络或者私有网络,另一方则被称为外部网络或者公用网络。
防火墙能有效得控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不与外部非授权用户的访问和过滤不良信息的目的。
实现防火墙的主要技术有:
数据包过滤,应用网关和代理服务等。
在安装ISAServer2006的计算机中,系统中的每块网卡都连接一个网络。
ISAServer2006中的网络分为“内部”、“外部”、“本地主机”、“VPN客户端”、“被隔离的VPN客户端”,如果ISAServer2006配置为“3向外围网络”,还将包括“外围”网络,下面分别介绍。
(1)“内部”,代表企业内部局域网,此网络的地址范围在ISAServer2006安装的过程中指定,并且在安装以后可以更改。
建议你总是通过添加适配器来添加内部网络地址。
ISA防火墙认为此默认的内部网络来代表受信任的受保护的网络。
ISA防火墙的默认防火墙策略会通过系统策略允许本地主机访问此内部网络上的资源,但是拒绝所有其他网络到内部网络的访问,您必须自行创建规则来允许到内部网络的访问。
你不能删除默认内部网络。
(2)“本地主机”,此网络代表ISA防火墙本身计算机,与ISA防火墙之间的所有通讯都被认为是和本地主机网络之间的通讯,你不能修改或删除本地主机网络。
(3)“外部”,指连接到Internet的网络,此网络包含未明确包含在其他任何网络中的所有IP地址,通常被视为不受信任的网络。
在刚结束ISA防火墙的安装时,外部网络包含所有未包含在内部网络中的地址、本地主机网络的IP地址(127.0.0.1)以及ISA防火墙上其他所有网络适配器的IP地址。
通常情况下,设置了“网关地址”的网卡被认为“默认的外部网络”。
(4)“VPN客户端”,它代表通过VPN连接到ISA服务器的客户端计算机,由ISA防火墙动态生成,不能删除VPN客户端网络。
(5)“被隔离的VPN客户端”,此网络包含尚未解除隔离的VPN客户端的地址,由ISA防火墙动态生成,不能删除被隔离的VPN客户端网络。
在通常情况下,ISAServer2006包含上面的5部分网络,如果ISAServer被配置成“3向外围网络”,还包括“外围”网络。
“外围”网络也称为DMZ(DemilitarizedZone)、第三区域和被筛选的子网,DMZ是放置公共信息的最佳位置,这样用户、潜在用户和外部访问者都可以直接获得他们所需的关于公司的一些信息,而不用通过内网。
通常把公司中的机密的和私人的信息存放在内网中,DMZ中的服务器不应包含任何商业机密、资源代码或是私人信息。
DMZ服务器上的破坏最多只可能造成在你恢复服务器时的一段时间中断服务。
目前许多的硬件防火墙都集成了DMZ接口。
ISAServer2006也可以在安装三块网卡(甚至三块以上网卡)的情况下,配置成“3向外围网络”。
一、包过滤技术
包过滤技术是在网络层中数据包实施有选择的通过。
依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、TCP/UDP源端口及数据包头中的各种标志位等因素来确定是否数据包通过,其核心是安全策略即过滤法的设计。
二、应用网关技术
应用网关技术是建立在应用层协议上的协议过滤,它针对特别的网络应用服务协议数据包过滤协议,并且能够对数据包分析并形成相关的报告。
应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序被窃取。
它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时候连接什么站点。
在实际工作中,应用网关一般由专用工作站系统来完成。
三、代理服务器技术
代理服务器作用在应用层,它用来提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用。
内部网络只接受提出的服务请求,拒绝外部网络其他接点的直接请求。
“SecureNAT客户端”是指尚未安装防火墙客户端软件的计算机。
来自SecureNAT客户端的请求首先会定向到网络地址转换(NAT)驱动程序。
该驱动程序将用Internet上有效的全局IP地址替换SecureNAT客户端的内部IP地址。
然后,该客户端请求会定向到防火墙服务,以确定是否允许访问。
最后,可以使用应用程序筛选器和其他扩展组件对该请求进行筛选。
防火墙服务还可以缓存所请求的对象,或者从ISAServer缓存提供对象。
通常情况下,大多数的客户端、以及将要使用ISAServer发布的服务器,都必须是“SecureNAT客户端”。
“Web代理客户端”是指与CERN兼容的Web应用程序。
来自Web代理客户端的请求会定向到ISAServer计算机上的防火墙服务,以确定是否允许访问。
防火墙服务还可以缓存所请求的对象,或者从ISA服务器缓存提供对象。
“防火墙客户端”和“SecureNAT”客户端必须是ISAServer“内网”中的计算机,而“Web代理客户端”可以是Internet上的计算机。
无论客户端的类型如何,当ISAServer接收到HTTP请求时,客户端都被视为Web代理客户端。
即使是防火墙客户端或SecureNAT客户端发出HTTP请求,该客户端仍然被视为Web代理客户端。
这对于验证该客户端身份的方式具有特定的含义。
防火墙客户端计算机和SecureNAT客户端计算机都可以作为Web代理客户端。
如果将计算机上的Web应用程序明确配置为使用ISAServer,则所有Web请求将直接发送到防火墙服务,包括HTTP、FTP和安全HTTP(HTTPS)。
防火墙服务将首先处理所有其他请求。
第二节防火墙的几种结构及组合形式
一、屏蔽路由器
这是防火墙最基本的构件。
它可以由厂家专门生产的路由器实现,也可以用主机来实现。
屏蔽路由器作为内外连接的唯一通道,要求所有的报文都必须在通过检查。
路由器上可以装基于IP层的报文过滤软件,实现报文过滤功能。
许多路由器本身带有报文过滤配置选项,但一般比较简单。
单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问主机。
它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户。
二、双宿主机网关
任何拥有多个接口卡系统都被称为多宿的,双宿主机网关是用一台装有两块网卡的主机做防火墙。
两块网卡各自与受保护网和外部网相连。
主机上运行着防火墙软件,可以转发社应用程序,提供服务等。
双宿主机网关优于屏蔽路由器的地方是:
堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。
这对于日后的检查很有用。
但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。
双宿主机网关的一个致命弱点是:
一旦入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户均可随便访问内网。
三、被屏蔽主机网关
屏蔽主机网关易于实现也很安全,因此应用广泛。
如,一个分组过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒成为从外部网络唯一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。
如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内网的变化不影响堡垒主机和屏蔽路由器的配置。
危险限制在堡垒主机和屏蔽路由器。
网关的基本控制策略由安装在上面的软件决定。
如果攻击者设法登录到它上面,内网中的其余主机就会受到很大威胁。
这与双穴主机网关攻击时的情形差不多。
四、被屏蔽主网
这种方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。
在很多实现中,两个分组过滤路由器放在子网的两端,在子网内构成一个“非军事区”DMZ。
有的屏蔽子网中还设有一堡垒主机作为唯一可访问点,支持终端交互或作为应用网关代理。
这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网路由器。
第三节硬件防火墙与软件防火墙的简单比较
由于客户平台的多样性,软件防火墙需支持多操作系统,如Unix、Linux、Windows等。
代码庞大、安装成本高、售后支持成本高、效率低。
性能优势。
防火墙的性能对防火墙来说至关重要的。
它决定了每秒钟通过的防火墙的数据流量。
CPU占用率的优势。
硬件防火墙的CPU占用率当然是0了,而软件防火墙就不同了,如果处于节约成本的考虑防火墙软件安装在提供服务的主机上当数据流量大时,CPU占用率将是主机的杀手,将拖垮主机服务器防入侵。
售后支持。
硬件防火墙厂家会对防火墙产品有跟踪的服务支持,而软件防火墙的用户能得到这种机会的相对较少,而且厂家也不会在软件防火墙上下太大功夫和研发经费。
第四节isaserver2006的主要功能及特色
MicrosoftInternetsecurityandserver2006简称ISAServer2006,是微软公司推出的一款重量级的网络安全产品,被公认为X86架构下最优秀的企业级路由软件防火墙。
ISAserver2006具备着防火墙、应用层防护、VPN与网页缓存等优异功能,凭借其灵活的多网络支持、易于使用且高度集成的VPN配置、可扩展的用户身份验证模型,是企业网络安全防护的最佳选择。
ISAserver2006提供了“代理服务器”、“缓存服务器”、“防火墙”等7个方面的功能。
第五节代理服务器—提供安全性非常高的共享Internet服务
将网络和用户连接到internet会引入安全性和效率问题。
ISAserver2006为组织提供了在每个用户的基础上控制访问和监视使用率的综合能力。
ISAserver保护网络免受为经授权的访问、执行状态筛选和检查,并在防火墙或保护的网络受到攻击时向管理员发出警报
ISAserver是防火墙,通过数据包级别、电路级别和应用程序级别的通讯筛选、状态筛选和检查、广泛的网络应用程序支持、紧密的集成虚拟专用网络(VPN)、系统坚固、集成的入侵检测、智能的第七层应用程序筛选器、对所有客户端的防火墙透明性、高级身份验证、安全的服务器发布等等增强安全性。
ISAserver2006可实现以下功能:
保护网络免受XX的访问
保护Web和电子邮件服务器防御外来攻击
检查传入和传出的网络通讯以确保安全性
接收可疑活动警报
第六节加快Web访问速度——业界最好的缓存服务器
Internet提高了组织的工作效率,但这是以内容可访问、访问速度且成本合理为前提的。
ISAserver2006缓存通过提供本地缓存的Web内容将性能瓶颈控制在最少,并节省网络带宽。
ISAserver可实现下列功能:
通过从web缓存(而不是的Internet)提供对象来提高用户的web访问速度通过减少链路上的网络通讯来减少Internet带宽成本
分布web服务器内容和电子商务应用程序,从而有效的覆盖了全世界的客户并有效的控制了成本,从ISAserverweb缓存中提供常用的web内容,并将节省出来的内部网络带宽用于其他内容请求
第七节虚拟专用网络(VPN)支持——代理服务器、防火墙服务器与VPN可以共存
ISAserver2006支持安全的虚拟专用网络(VPN)访问,分支机构远程用户可以通过这种类型访问连接到公司网络。
ISAserver防火墙策略应用于VPN连接,以控制VPN用户可以访问的资源和协议。
ISAserver2006支持的功能如下:
功能
描述
VPN管理
ISAserver包含一种完全集成的虚拟专用网络机制,该机制基于MicrosoftWindowsserver2003和Windows2000server功能
对VPN的状态筛选和检查
由于VPN客户端配置为独立的网络,因此可以为VPN客户端创建单独的策略。
防火墙策略引擎有差别的检查来自VPN客户端的请求,对这些请求进行状态筛选和检查,并根据访问策略动态的打开连接。
结束语
通过本次防火墙论文的设计,使我对isaserver防火墙更加认识和熟悉。
让我知道了防火墙在生活中的重要性,网络安全的重要性。
在本次论文的完成过程中,我也明显感觉到了自己知识的不足,因而遇到了一些问题,参考了一些有关方面的书籍。
通过此次论文的完成,使我在DNS这块的知识有所增加,也让我感动知识海洋的无穷无尽。
也使我在今后的学习有强劲的动力。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于ISA Serve防火墙高级策略研究与实施 基于 ISA Serve 防火墙 高级 策略 研究 实施