神州数码大型企业网络防火墙解决方案

齐头并进堵源治本高校校园网ARP攻击防御解决方案DIGTIAL CHINA DIGITAL CAMPUS神州数码网络有限公司2008-07前言自2006年以来，基于病毒的arp攻击愈演愈烈，几乎所有的校园网都有遭遇过。

地址转换协议ARP（Address Resolution Protocol）是个链路层协议，它工作在OSI参考模型的第二层即数据链路层，与下层物理层之间通过硬件接口进行联系，同时为上层网络层提供服务。

ARP攻击原理虽然简单，易于分析，但是网络攻击往往是越简单越易于散布，造成的危害越大。

对于网络协议，可以说只要没有验证机制，那么就可以存在欺骗攻击，可以被非法利用。

下面我们介绍几种常见ARP攻击典型的症状：¾上网的时候经常会弹出一些广告，有弹出窗口形式的，也有嵌入网页形式的。

下载的软件不是原本要下载的，而是其它非法程序。

¾网关设备ARP表项存在大量虚假信息，上网时断时续；网页打开速度让使用者无法接受。

¾终端不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。

对于ARP攻击，可以简单分为两类：一、ARP欺骗攻击，又分为ARP仿冒网关攻击和ARP仿冒主机攻击。

二、ARP泛洪（Flood）攻击，也可以称为ARP扫描攻击。

对于这两类攻击，攻击程序都是通过构造非法的ARP报文，修改报文中的源IP地址与（或）源MAC地址，不同之处在于前者用自己的MAC地址进行欺骗，后者则大量发送虚假的ARP报文，拥塞网络。

主机A主机D主机B主机C图一 ARP仿冒网关攻击示例神州数码网络秉承“IT服务随需而动”的理念，对于困扰高教各位老师已久的ARP 攻击问题，结合各个学校网络现状，推出业内最全、适用面最广、最彻底的ARP整体解决方案。

神州数码网络公司从客户端程序、接入交换机、汇聚交换机，最后到网关设备，都研发了ARP攻击防护功能，高校老师可以通过根据自己学校的网络特点，选取相关的网络设备和方案进行实施。

Juniper防火墙安装手册神州数码（深圳）有限公司二零零五年十二月Juniper 防火墙安装手册项目编号 Juniper200601 文档名称 Juniper防火墙安装手册编写人完成日期 2006.01.18文档修订记录：日期修订版本修订内容修订人2005.12.18 V1.0 NSRP设置、L2TP设置梁文辉2005.12.19 V1.0 透明模式、故障排除技巧刘平、李滨2006.01.16 V1.0 NAT模式和路由模式安装张坤目录一、透明模式 (5)1．1 、网络结构图 (5)1．２、配置文件 (5)二、NAT模式 (8)2．1 、网络结构图 (8)2．２、安装步骤 (8)2.2.1 初始化配置 (8)2.2.2 管理功能设置 (11)2.2.3 安全区 (12)2.2.4 端口设置 (13)2.2.5 设置路由 (14)2.2.6 NAT设置 (16)2.2.7 端口服务 (19)2.2.8 定义策略 (21)三、路由模式 (24)3．1 、网络结构图 (24)3．２、安装步骤 (24)3.2.1 初始化配置 (24)3.2.2 管理功能设置 (27)3.2.3 安全区 (28)3.2.4 端口设置 (29)3.2.5 Route 模式设置 (30)3.2.6 设置路由 (31)3.2.7 定义策略 (32)四、动态路由 (35)五、VPN (35)5.1 C LIENT TO SITE (35)5.2 建立L2TP (44)5.2.1网络结构图 (44)5.2.2配置防火墙 (45)5.5.3 测试 (54)六、HA (56)６．１、网络拓扑结构图 (56)６．２、设置步骤 (56)６．３、命令行配置方式 (57)６．４、图形界面下的配置步骤 (61)七、故障排除 (65)7.1 常用TROUBLESHOOTING命令 (65)7.1.1 get system (65)7.1.2 get route (65)7.1.3 get arp (66)7.1.4 get sess (66)7.1.5 debug (67)7.1.6 set ffilter (68)7.1.7 snoop (69)7.2 T ROUBLESHOOTING ROUTE (70)7.2.1 Example 1- no route (70)7.2.2 Example 2- no policy (70)7.3 T ROUBLESHOOTING NAT (71)7.3.1 Interface NAT-src (71)7.3.2 policy NAT-src (71)7.3.3 policy NAT-dst (72)7.3.4 VIP (74)7.3.5 MIP (74)7.4 T ROUBLESHOOTING VPN (75)7.4.1 常用调试命令 (75)7.4.2 常见错误（以下日志是从VPN接收端收集） (76)一、透明模式1．1 、网络结构图接口为透明模式时，NetScreen设备过滤通过防火墙的数据包，而不会修改IP数据包包头中的任何源或目的地信息。

神州数码DCFW-1800防火墙快速配置多核防火墙快速配置手册防火墙配置一：SNAT配置 (2)防火墙配置二：DNAT配置 (5)防火墙配置三：透明模式配置 (11)防火墙配置四：混合模式配置 (14)防火墙配置五：DHCP配置 (17)防火墙配置六：DNS代理配置 (19)防火墙配置七：DDNS配置 (21)防火墙配置八：负载均衡配置 (24)防火墙配置九：源路由配置 (26)防火墙配置十：双机热备配置 (28)防火墙配置十一：QoS配置 (32)防火墙配置十二：Web认证配置 (36)防火墙配置十三：会话统计和会话控制配置 (44)防火墙配置十四：IP-MAC绑定配置 (46)防火墙配置十五：禁用IM配置 (48)防火墙配置十六：URL过滤配置 (50)防火墙配置十七：网页内容过滤配置 (54)防火墙配置十八：IPSEC VPN配置 (58)防火墙配置十九：SSL VPN配置 (65)防火墙配置二十：日志服务器配置 (74)防火墙配置二十一：记录上网URL配置 (76)防火墙配置二十二：配置管理及恢复出厂 (79)防火墙配置二十三：软件版本升级 (82)防火墙配置一：SNAT 配置一、网络拓扑Internet网络拓扑二、需求描述配置防火墙使内网192.168.1.0/24网段可以访问internet三、配置步骤第一步：配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置通过Webui 登录防火墙界面输入缺省用户名admin ，密码admin 后点击登录，配置外网接口地址内口网地址使用缺省192.168.1.1第二步：添加路由添加到外网的缺省路由，在目的路由中新建路由条目添加下一条地址成0.0.0.0，防火墙会自动识别第三步：添加SNAT策略在网络/NAT/SNAT中添加源NAT策略第四步：添加安全策略在安全/策略中，选择好源安全域和目的安全域后，新建策略关于SNAT ，我们只需要建立一条内网口安全域到外网口安全域放行的一条策略就可以保证内网能够访问到外网。

网络安全企业上海排名上海作为中国的商业中心和科技创新中心，吸引了许多网络安全企业的进驻。

随着信息技术的快速发展和网络安全威胁的日益严重，网络安全企业在上海的数量和竞争也在不断增加。

以下是上海网络安全企业的排名：1. 360企业安全集团有限公司：360是中国著名的网络安全企业，总部位于北京，但也在上海设有分支机构。

360以提供网络安全技术和解决方案而闻名，为许多企事业单位提供了全面的网络安全服务。

2. 太平洋安全：太平洋安全是上海的一家领先的网络安全服务提供商，提供防火墙、入侵检测与防护、网络内容过滤、网络应用防护等服务。

太平洋安全在上海市场上占据了一定的份额。

3. 灵盾网络：灵盾网络是一家专注于网络安全的科技公司，总部位于上海，在上海有很高的知名度和影响力。

灵盾网络致力于提供贴合企业需求的高级安全产品和解决方案，满足企业对于网络安全的要求。

4. 神州数码：神州数码是一家在上海设立的国内领先的IT技术与服务提供商，其子公司神州安信是一家专业从事网络与信息安全服务的企业。

神州安信在上海拥有良好的口碑和客户基础。

5. 同煤集团信息安全公司：同煤集团信息安全公司是集团内部设立的信息安全子公司，总部位于上海。

同煤集团信息安全公司提供从基础设施到应用系统的全面信息安全解决方案，具备较强的技术实力和市场竞争力。

6. 腾讯安全：腾讯是中国领先的互联网企业，在网络安全领域也有自己的业务板块。

腾讯安全在上海设有分支机构，向企业和个人用户提供全方位的网络安全产品和服务，有着很高的知名度和影响力。

7. 美通科技：美通科技是一家在上海设立的网络安全解决方案提供商，专注于提供企业级网络安全产品和服务。

美通科技在企业级市场上积累了丰富的经验和客户资源，在上海市场具有一定的竞争力。

总之，上海作为一个经济发达且政府高度重视信息化建设的城市，网络安全企业也在快速发展。

上述列举的企业仅为一部分，市场上还有许多其他具有一定知名度和影响力的网络安全企业。

防火墙多出口配置实例目前国内的骨干网南有电信北有网通，除此之外还有移动、教育网等。

考虑到不同运营商之间的通信都需要到骨干网进行数据交换，因此跨运营商访问时比较慢。

由此很多大型网络设置双出口、甚至多出口来规避这个问题。

本文档以某高校实际环境、实际需求为例来讲解神州数码多核防火墙在多出口环境下的配置实例。

文档中涉及到目的路由、ISP路由、源路由和策略路由，涉及到等价路由的负载均衡，路由转发权值、线路监控，还有多线路服务器映射后的逆向路由问题。

一、网络拓扑及描述用户环境描述：用户出口设备使用神州数码DCFW-1800E-10G防火墙，内网主要分成宿舍子网区、教学子网区、服务应用区及服务器区。

外线总共有八条，四条电信线路都是100M带宽，一条网通线路100M，一条教育网线路100M，两条移动线路都是1G。

二、用户需求描述a)禁止banip_class地址列表中地址访问外网;b)cernet_host地址列表外的地址禁止访问discardsite列表中的外网地址（只有前者才能访问后者）；c)cernet_host地址列表中的地址只通过教育网链路对外进行访问，同时对外访问时不做地址转换；d)目标地址在zdserver列表中，使用电信3链路进行访问（银行或其他部分对访问地址比较严格的站点）;e)目标地址是教育网地址段的，通过教育网链路进行访问;f)目标地址是移动cmhost列表铁通crc列表的通过移动链路进行访问;g)目的地址是电信段的走电信线路，其中电信1和其他三条按8:10比例；h)目的地址是网通和unicom地址段的通过网通线路访问外网；i)源地址在hcsp列表中的使用电信3链路进行访问（测试或内网特殊用户）;j)P2P流量走移动线路;k)考虑到八条外线带宽不同转发流量时要按照实际带宽的比例转发，另外很多服务器都是通过电信1映射，因此电信1和其他电信线路流量转发按照8:10的比例。

l)一旦某条链路出现故障后，该链路不再转发流量。

企业网络安全解决方案摘要近几年来，Internet技术日趋成熟，已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。

这些都促使了计算机网络互联技术迅速的大规模使用。

众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机连网，拓宽了共享资源。

但是，由于在早期网络协议设计上对安全问题的忽视，以及在管理和使用上的无政府状态，逐渐使Internet自身安全受到严重威胁，与它有关的安全事故屡有发生。

网络安全的威胁主要表现在：非授权访问，冒充合法用户，破坏数据完整性，干扰系统正常运行，利用网络传播病毒，线路窃听等方面。

因此本论文为企业（宏锦企业网络）构架网络安全体系，主要运用vlan划分、防火墙技术、vpn、病毒防护等技术，来实现企业的网络安全。

关键词：网络，安全，VPN，防火墙，防病毒目录绪论 (1)第一章企业网络安全概述 (2)1.1企业网络的主要安全隐患 (2)1.2企业网络的安全误区 (2)第二章企业网络安全现状分析 (4)2.1公司背景 (4)2.2企业网络安全需求 (4)2.3需求分析 (4)2.4企业网络结构 (5)第三章企业网络安全解决实施 (6)3.1宏锦网络企业物理安全 (6)3.2宏锦企业网络VLAN划分 (7)3.4宏锦企业网络防火墙配置 (9)3.4宏锦企业网络VPN配置 (12)3.5宏锦企业网络防病毒措施 (13)第四章宏锦企业的网络管理 (16)4.1宏锦企业网络管理的问题 (16)4.2宏锦企业网络管理实施 (16)总结 (18)致谢 (19)参考文献 (20)绪论随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。

经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。

实训三 WAF基础配置一、实训目的1、了解WAF透明模式下使用方法；2、掌握WAF基础配置方法。

二、应用环境本次实训通过实训环境了解WAF使用方法，掌握基础配置三、实训设备1、WAF设备1台2、PC机2台3、双绞线（直通）2根四、实训拓扑透明部署模式五、实训要求1、按照拓扑图中接线方式连接网络2、分别按照拓扑中表示的IP配置WAF和PC机IP地址3、在PC2上搭建web网站，并将该网站添加到WAF的保护中4、配置web攻击防护功能保护网站5、使用DDOS攻击防护功能保护网站6、使用网页防篡改功能保护网站7、使用站点加速功能8、配置告警功能9、配置日志功能10、报表功能使用11、对象管理配置六、实训步骤第一步：将保护网站添加到WAF站点管理中，登录WAF设备，左侧功能树进入站点->站点管理，点击新建按钮输入web服务器IP地址和端口，点击确定，将网站加入WAF保护中第二步：配置web防护，此部分含有很多内容，但是大部分内容配置类似，在此只讲一种的配置步骤，例如配置防护SQL注入攻击：1、进入防护->web攻击防护->基本攻击防护->防护规则->新建->点击确定按钮新建一条规则2、将新建的规则加入规则组，点击防护规则组->SQL注入修改按钮，勾选新建的规则点击确定3、将规则组加入到防护策略，点击防护策略->新建，新建一条策略新建策略完成，点击修改按钮4、将新建的策略加入到整体防护策略集，进入整体防护策略集->新建新建完成，点击修改应用web攻击策略，点击确定5、将整体策略集应用到防护站点，进入站点->站点管理->点击修改->确定此时该保护网站应用了一条我们自定义的SQL注入防护规则，其他类型的防护与此类似，并且WAF集成了默认的一些防护规则，用户可直接使用，省掉配置的繁琐。

第三步：DDOS防护功能配置，进入防护->DDOS攻击防护->配置，这里主要配置各种类型数据包的阈值、比例，要根据自身的网络情况进行配置，如果不能确定数值如何填写，可配置参数自学习功能，WAF设备会自动学习网络中数据情况，并可将学习到的数值应用到配置参数中，参数配置完毕，点击开启DDOS攻击防护按钮配置参数自学习，学习时间越长越准确开启DDOS攻击防护第四步：网页防篡改功能配置，进入防护->防篡改->配置与初始化，配置初始化话内容，一般情况下，默认即可，点击保持设备并初始化，初始化完毕后，橙色状态显示为绿色当管理员更新网页页面后，需要进行WAF与服务器的同步操作，点击镜像同步进行同步启用防篡改功能，点击开启防篡改保护按钮，此时外网用户访问的页面就是WAF上的镜像篡改检测功能，当防篡改初始化完成后，篡改检测功能即自动开启第五步：站点加速功能，进入站点加速->点击开启站点加速按钮第六步：告警功能配置，进入配置->告警配置1、web攻击告警，当web服务器受到web攻击时，进行邮件和短信告警2、DDOS攻击告警，当web服务器受到DDOS攻击时，进行邮件和短信告警3、主机状态告警，当web服务器不能访问时，进行邮件和短信告警其他功能的告警配置同以上列举的三种，在配置告警结束后，必须进行下面两项的配置3、邮件发送配置，进入配置->邮件发送配置，进行发送邮箱和发送服务器的配置，如下，配置完毕可通过邮件测试项进行发送测试，确认测试成功4、短信发送配置，进入配置->短信发送配置，进行短信设备检测，当检测成功后，输入手机号进行测试第七步：日志配置，进入配置->日志配置1、日志归档，设置系统保持日志的天数和使用空间，超出设置条件将删除2、日志自动导出，通过FTP方式自动导出日志3、日志手动导出，通过FTP方式手动导出日志4、日志清空，点击清空按钮删除全部系统日志5、访问日志配置，当选择都关闭时不记录日志，选择网站分析关闭时，系统的报表功能不可用；关闭访问日志入库时，攻击日志不记录，系统报表不可用，系统默认全部开启第八步：报表功能，进入报表，里面有各种类型的报表，下面我们以时段分析报表为例，服务名称即我们要保护的网站的名称，统计时间选择，可查询某一区间的统计数据，图形显示可以以柱状图或者折线图显示，快捷查询有昨天、今天、最近7天、最近30天，再往下就是显示出的查询数据，统计图中即是柱状图或者折线图第九步：对象管理配置，进入对象，这里我们以关键字为例，点击关键字->新建，新建一个关键字点击确定按钮即新建了一条关键字对象。