校園網建設狀況自評報告

楊威山西師范大學網絡信息中心網絡系統集成與工程設計編著：楊威王云劉景宜第8章

人民郵電出版社

2024/7/18第8章網絡系統安全部署

本章知識要點：網絡威脅與對策，服務器威脅與對策802.1x協議及工作機制，基于RADIUS的認證計費，幾種認證方式比較防止IP地址盜用，802.1x+RADIUS的應用網絡防病毒技術、毒策略與案例使用路由器+防火墻保護網絡邊界使用網絡DMZ，構建入侵檢測系統路由器認證技術及應用標準訪問列表，擴展訪問列表與應用PIX防火墻的配置與應用雙址路由防火墻的應用

第8章網絡系統安全部署

2024/7/18第8章網絡系統安全部署本章重點：802.1x協議及工作機制基于RADIUS的認證計費網絡防病毒技術與策略使用路由器+防火墻保護網絡邊界構建入侵檢測系統擴展訪問列表與應用PIX防火墻的配置與應用本章難點：構建入侵檢測系統擴展訪問列表與應用PIX防火墻的配置與應用

第8章網絡系統安全部署

2024/7/18第8章網絡系統安全部署8.1網絡安全威脅與對策網絡的組成元素網絡節點網絡節點網絡節點網絡節點網絡節點網絡終端

設備網絡終端

設備元素說明：該元素由網絡交換機、路由器、防火墻等網絡傳輸設備組成，進行用戶網絡數據的交換處理。元素說明：該元素由網絡服務器，用戶網絡客戶端等網絡終端設備組成。網絡傳輸網絡終端

設備網絡終端

設備現有網絡中存在的問題導致這些問題的原因是什么現有網絡安全體制網絡安全的演化病毒的演化趨勢木馬程序、黑客應用安全網絡安全保護需求網絡安全保護對策2024/7/18第8章網絡系統安全部署撥號用戶B撥號用戶C撥號用戶A撥號用戶DInternet垃圾郵件病毒破壞黑客攻擊資源濫用信息泄密DOS攻擊不良信息終端安全信息丟失未授權接入非法外聯監控安全事件處理IT系統運維面臨的問題2024/7/18第8章網絡系統安全部署導致這些問題的原因是什么？

病毒泛濫：計算機病毒的感染率比例非常高，高達89.73%

軟件漏洞：軟件系統中的漏洞也不斷被發現，從漏洞公布到出現攻擊代碼的時間為5.8天黑客攻擊：世界上目前有20多萬個黑客網站，各種黑客工具隨時都可以找到，攻擊方法達幾千種之多。

移動用戶越來越多：網絡用戶往往跨越多個工作區域以上相關數據來自Symantec。2024/7/18第8章網絡系統安全部署現有網絡安全防御體制現有網絡安全體制IDS68%殺毒軟件99%防火墻98%ACL（規則控制）71% * 2004CSI/FBIComputerCrimeandSecuritySurvey資料來源： ComputerSecurityInstitute2024/7/18第8章網絡系統安全部署網絡安全的演化第一代引導性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網絡DOS攻擊混合威脅（蠕蟲+病毒+特洛伊）廣泛的系統黑客攻擊下一代網絡基礎設施黑客攻擊瞬間威脅大規模蠕蟲DDoS破壞有效負載的病毒和蠕蟲波及全球的網絡基礎架構地區網絡多個網絡單個網絡單臺計算機周天分鐘秒影響的目標和范圍1980s1990s今天未來安全事件對我們的威脅越來越快2024/7/18第8章網絡系統安全部署病毒的演化趨勢

攻擊和威脅轉移到服務器和網關，對防毒體系提出新的挑戰IDC,2004郵件/互聯網CodeRedNimdafunloveKlez20012002郵件Melissa19992000LoveLetter1969物理介質Brain19861998CIHSQLSlammer20032004沖擊波震蕩波2024/7/18第8章網絡系統安全部署病毒發展史1990199119941996199819992000200120022003主流病毒行態木馬、蠕蟲2024/7/18第8章網絡系統安全部署病毒發展史（續1）引導區病毒臺式電腦第1代第2代第3代第4代臺式電腦臺式電腦臺式電腦臺式電腦LAN服務器基于文件的病毒郵件群發病毒

互聯網防毒墻電子郵件

服務器墻臺式電腦筆記本電腦網絡病毒

互聯網防毒墻服務器服務器服務器服務器臺式電腦臺式電腦臺式電腦筆記本電腦已打補丁的機器網絡擁堵2024/7/18第8章網絡系統安全部署Internet攻擊模式WORM_SASSER.A染毒電腦未修補漏洞的系統已修補漏洞的系統隨機攻擊隨機攻擊隨機攻擊被感染不被感染不被感染被感染被感染不被感染不被感染2024/7/18第8章網絡系統安全部署病毒出現越來越快

沖擊波2003年8月11日補丁：MS03-0262003年7月16日補丁：

MS02-0392002年7月24日蠕蟲王2003年1月25日時間間隔26天185天336天尼姆達補丁：

MS00-0782000年10月17日2001年9月18日震蕩波2004年5月1日補丁：MS04-011

2004年4月13日18

天2024/7/18第8章網絡系統安全部署網絡病毒的特征通過攻擊操作系統或應用軟件的已知安全漏洞來獲得控制權在本地硬盤上并不留下文件由于其在網絡上進行掃描的動作，可能會引起嚴重的網絡負載如果攻擊是屬于常規的應用，例如SQL,IIS等就可能穿過防火墻2024/7/18第8章網絡系統安全部署木馬程序等間諜軟件成為網絡與信息安全保密的重要隱患.在現在的工作中發現,越來越多的木馬程序植入到我國重要信息系統中,根據保守估計,國內80%的網絡系統,都存在木馬程序和間諜軟件問題.中國地區危害最為嚴重的十種木馬病毒，分別是：QQ木馬、網銀木馬、MSN木馬、傳奇木馬、劍網木馬、BOT系列木馬、灰鴿子、蜜峰大盜、黑洞木馬、廣告木馬系統漏洞就像給了木馬病毒一把鑰匙，使它能夠很輕易在電腦中埋伏下來，而木馬病毒又會欺騙用戶偽裝成“好人”，達到其偷取隱私信息的險惡目的木馬程序2024/7/18第8章網絡系統安全部署

木馬病毒有可能洗劫用戶網上銀行存款、造成網絡游戲玩家裝備丟失、被黑客利用執行不法行為等。如今，針對以上各種現象的危害越來越多，木馬病毒已成為威脅數字娛樂的大敵根據木馬病毒的特點與其危害范圍來講，木馬病毒又分為以下五大類別：針對網游的木馬病毒、針對網上銀行的木馬病毒、針對即時通訊工具的木馬病毒、給計算機開后門的木馬病毒、推廣廣告的木馬病毒。木馬程序2024/7/18第8章網絡系統安全部署

黑客攻擊愈加猖獗據國家計算機應急處理協調中心（CNCERT/CC）統計：2003年，我國互聯網內共有272萬臺主機受到攻擊，造成的損失數以億計；攻擊向縱深發展,以經濟和商業利益為目的的網絡攻擊行為漸為主流2024/7/18第8章網絡系統安全部署垃圾郵件成為公害據中國互聯網中心統計，現在，我國用戶平均每周受到的垃圾郵件數超過郵件總數的60%，部分企業每年為此投入上百萬元的設備和人力，垃圾郵件泛濫造成嚴重后果它不但阻塞網絡,降低系統效率和生產力,同時有些郵件還包括色情和反動的內容2024/7/18第8章網絡系統安全部署垃圾郵件的發展速度和趨勢數據來源：Radicati，2004.62024/7/18第8章網絡系統安全部署應用安全設計階段開發階段實施階段使用階段管理制度監督機制使用方法在應用安全問題中,在Windows平臺上利用Windows系統新漏洞的攻擊占70%左右,30%的安全問題與Linux相關2024/7/18第8章網絡系統安全部署移動用戶D廣域網如何進行信息系統的等級化保護？

各信息系統依據重要程度的等級需要劃分不同安全強度的安全域，采取不同的安全控制措施和制定安全策略2024/7/18第8章網絡系統安全部署完成安全設施的重新部署或響應如何從全局角度對安全狀況分析、評估與管理獲得全局安全視圖制定安全策略指導或自動Internetp用戶如何管理現有安全資源并執行策略機制？補丁服務器p打補丁了嗎？更新補丁了嗎？ppppppppppp困境無法知道哪些機器沒有安裝漏洞補丁知道哪些機器但是找不到機器在哪里機器太多不知如何做起系統安全漏洞微軟每周都有數個修正檔需要更新2003年Windows2000Server有50個漏洞補丁2024/7/18第8章網絡系統安全部署Internet用戶如何防止內部信息的泄露？未經安全檢查與過濾，違規接入內部網絡私自撥號上網2024/7/18第8章網絡系統安全部署Internet用戶如何實現積極防御和綜合防范？怎樣定位病毒源或者攻擊源，怎樣實時監控病毒與攻擊2024/7/18第8章網絡系統安全部署我們怎么辦?2024/7/18第8章網絡系統安全部署語音教室網段財務網段多媒體教室網段內部辦公網段1數字圖書館網段教學網段1網站OA網段教學網段3教學網段2教學網段4網管網段校園網服務器群Internet保戶網絡與基礎設施的安全1、網絡設備2、通訊設備3、通訊線路4、可用性5、機密性6、完整性7、可管理性保護邊界與外部連接邊界進出數據流的有效控制與監視保護計算環境操作系統數據庫系統終端保護應用業務系統辦公自動化系統其他應用系統......網絡基礎設施保護需求教學網段5內部辦公N2024/7/18第8章網絡系統安全部署Intranet2邊界處的訪問控制4邊界處的病毒與惡意代碼防護5邊界內部的網絡掃描與撥號監控3邊界處的網絡入侵檢測1邊界處的認證與授權網絡邊界與外部連接的保護需求6邊界處的垃圾郵件和內容過濾2024/7/18第8章網絡系統安全部署計算環境的保護需求1基于主機的入侵檢測2基于主機的惡意代碼和病毒檢測3主機脆弱性掃描4主機系統加固5主機文件完整性檢查6主機用戶認證與授權7主機數據存儲安全8主機訪問控制2024/7/18第8章網絡系統安全部署DMZ?E-Mail

??HTTPIntranet學校網絡教學區教務區財務部人事部路由Internet中繼管理分析&實施策略安全隱患外部/個體外部/組織內部/個體內部/組織關閉安全維護“后門”更改缺省的系統口令Modem用戶安全培訓授權復查入侵檢測實時監控安裝認證&授權數據文件加密添加所有操作系統Patch2024/7/18第8章網絡系統安全部署看不懂進不來拿不走改不了跑不了可審查信息安全的目的打不垮2024/7/18第8章網絡系統安全部署采取的解決辦法一對于非法訪問及攻擊類

-----在非可信網絡接口處安裝訪問控制防火墻、蠕蟲墻、Dos/DDos墻、IPsecVPN、SSLVPN、內容過濾系統2024/7/18第8章網絡系統安全部署領導網段Internet防火墻、IPSECVPN、SSLVPN、內容過濾等防DOS/DDOS設備個人安全套件語音教室網段財務網段多媒體教室網段內部辦公網段1數字圖書館網段內部辦公NOA網段教學網段3教學網段2教學網段4網管網段校園網服務器群教學網段52024/7/18第8章網絡系統安全部署采取的解決辦法二對于病毒、蠕蟲、木馬類

-----實施全網絡防病毒系統對于垃圾郵件類

-----在網關處實施防垃圾郵件系統2024/7/18第8章網絡系統安全部署Internet郵件過濾網關、反垃圾郵件系統在MAIL系統中郵件病毒過濾系統、反垃圾郵件系統領導網段語音教室網段財務網段多媒體教室網段內部辦公網段1數字圖書館網段內部辦公NOA網段教學網段3教學網段2教學網段4網管網段校園網服務器群教學網段52024/7/18第8章網絡系統安全部署采取的解決辦法三對于內部信息泄露、非法外聯、內部攻擊類

-----在各網絡中安裝IDS系統

-----在系統中安裝安全隱患掃描系統

-----在系統中安裝事件分析響應系統

-----在主機中安裝資源管理系統

-----在主機中安裝防火墻系統

-----在重要主機中安裝內容過濾系統

-----在重要主機中安裝VPN系統2024/7/18第8章網絡系統安全部署人事商務網段Internet領導網段語音教室網段財務網段多媒體教室網段內部辦公網段1數字圖書館網段內部辦公NOA網段教學網段3教學網段2教學網段4網管網段校園網服務器群教學網段52024/7/18第8章網絡系統安全部署采取的解決辦法四對于系統統一管理、信息分析、事件分析響應

-----在網絡中配置管理系統

-----在網絡中配置信息審計系統

-----在網絡中配置日志審計系統

-----在網絡中補丁分發系統

-----在網絡中配置安全管理中心2024/7/18第8章網絡系統安全部署銷售體系網段NInternet安全審計中心領導網段語音教室網段財務網段多媒體教室網段內部辦公網段1數字圖書館網段內部辦公NOA網段教學網段3教學網段2教學網段4網管網段校園網服務器群教學網段52024/7/18第8章網絡系統安全部署安全管理中心專家庫Internet領導網段語音教室網段財務網段多媒體教室網段內部辦公網段1數字圖書館網段內部辦公NOA網段教學網段3安服網段教學網段4網管網段校園網服務器群教學網段52024/7/18第8章網絡系統安全部署問題時間2024/7/18第8章網絡系統安全部署8.2網絡安全接入與認證802.1x協議及工作機制基于RADIUS的認證計費基于802.1x的認證計費幾種認證方式比較防止IP地址盜用

802.1x+RADIUS的應用案例

2024/7/18第8章網絡系統安全部署8.2.1802.1x協議及工作機制802.1x協議稱為基于端口的訪問控制協議（PortBasedNetworkAccessControlProtocol），該協議的核心內容如下圖所示。靠近用戶一側的以太網交換機上放置一個EAP（ExtensibleAuthenticationProtocol，可擴展的認證協議）代理，用戶PC機運行EAPoE（EAPoverEthernet）的客戶端軟件與交換機通信。2024/7/18第8章網絡系統安全部署802.1x協議包括三個重要部分：客戶端請求系統（SupplicantSystem）認證系統（AuthenticatorSystem）認證服務器（AuthenticationServerSystem）8.2.1802.1x協議及工作機制上圖描述了三者之間的關系以及互相之間的通信。客戶機安裝一個EAPoE客戶端軟件，該軟件支持交換機端口的接入控制，用戶通過啟動客戶端軟件發起802.1x協議的認證過程。認證系統通常為支持802.1x協議的交換機。該交換機有兩個邏輯端口：受控端口和非受控端口。非受控端口始終處于雙向連通狀態，主要用來傳遞EAPoE協議幀，保證客戶端始終可以發出或接受認證。受控端口只有在認證通過之后才導通，用于傳遞網絡信息。如果用戶未通過認證，受控端口處于非導通狀態，則用戶無法訪問網絡信息。受控端口可配置為雙向受控和僅輸入受控兩種方式，以適應不同的應用環境。2024/7/18第8章網絡系統安全部署8.2.2基于RADIUS的認證計費衡量RADIUS的標準

RADIUS的性能是用戶該關注的地方，比如，能接受多少請求以及能處理多少事務。同時遵循標準，并具備良好的與接入控制設備的互操作性是RADIUS服務器好壞的重要指標。安全性也是關注的重點，服務器在和網絡接入服務器（NAS，NetworkAccessServers）通信的過程中是如何保證安全和完整性的。另外，RADIUS是否能夠讓管理員實現諸多管理安全特性和策略是非常重要的一環。是否支持強制時間配額，這種功能使網絡管理員可以限制用戶或用戶組能夠通過RADIUS服務器接入網絡多長時間。RADIUS服務器是否都通過ODBC或JDBC，利用SQLServer數據庫保存和訪問用戶配置文件。

RADIUS認證系統的組成RADIUS是一種C/S結構的協議。RadiusClient一般是指與NAS通信的、處理用戶上網驗證的軟件；RadiusServer一般是指認證服務器上的計費和用戶驗證軟件。Server與Client通信進行認證處理，這兩個軟件都是遵循RFC相關Radius協議設計的。RADIUS的客戶端最初就是NAS，現在任何運行RADIUS客戶端軟件的計算機都可以成為RADIUS的客戶端。如下圖。

RADIUS的工作原理用戶接入NAS，NAS向RADIUS服務器使用Access-Require數據包提交用戶信息，包括用戶名、口令等相關信息。其中用戶口令是經過MD5加密的，雙方使用共享密鑰，這個密鑰不經過網絡傳播。RADIUS服務器對用戶名和密碼的合法性進行檢驗，必要時可以提出一個Challenge，要求進一步對用戶認證，也可以對NAS進行類似的認證。如果合法，給NAS返回Access-Accept數據包，允許用戶進行下一步工作，否則返回Access-Reject數據包，拒絕用戶訪問。如果允許訪問，NAS向RADIUS服務器提出計費請求Account-Require，RADIUS服務器響應Account-Accept，對用戶的計費開始，同時用戶可以進行自己的相關操作。2024/7/18第8章網絡系統安全部署8.2.3基于802.1x的認證計費（1）用戶開始上網時，啟動802.1x客戶端軟件。該軟件查詢網絡上能處理EAPoE數據包的交換機。當支持802.1x協議的交換機接收到EAPoE數據包時，就會向請求者發送響應的包，要求用戶輸入登錄用戶名及口令。（2）客戶端收到交換機的響應后，提供身份標識給認證服務器。由于此時客戶端還未經過驗證，因此認證流只能從交換機未受控邏輯端口經過。交換機通過EAP協議將認證流轉發到AAA服務器，進行認證。（3）如果認證通過，則認證系統的交換機的受控邏輯端口打開。（4）客戶端軟件發起DHCP請求，經認證交換機轉發到DHCPServer。（5）DHCPServer為用戶分配IP地址。（6）DHCPServer分配的地址信息返回給認證系統的服務器，服務器記錄用戶的相關信息，如用戶ID，MAC，IP地址等信息，并建立動態的ACL訪問列表，以限制用戶的權限。（7）當認證交換機檢測到用戶的上網流量，就會向認證服務器發送計費信息，開始對用戶計費。（8）當用戶退出網絡時間，可用鼠標點擊客戶端軟件（在用戶上網期間，該軟件處于運行狀態）的“退出”按鈕。認證系統檢測到該數據包后，會通知AAA（Authentication，Authorization，Accounting）服務器停止計費，并刪除用戶的相關信息（如MAC和IP地址），受控邏輯端口關閉。用戶進入再認證狀態。（9）如果上網的PC機異常死機，當驗證設備檢測不到PC機在線狀態后，則認為用戶已經下線，即向認證服務器發送終止計費的信息。2024/7/18第8章網絡系統安全部署8.2.4幾種認證方式比較PPPoE：

PPPoE的本質就是在以太網上運行PPP協議。由于PPP協議認證過程的第一階段是發現階段，廣播只能在二層網絡，才能發現寬帶接入服務器。因此，也就決定了在客戶機和服務器之間，不能有路由器或三層交換機。另外，由于PPPoE點對點的本質，在客戶機和服務器之間，限制了組播協議存在。這樣，將會在一定程度上，影響視頻業務的開展。除此之外，PPP協議需要再次封裝到以太網中，所以效率較低。

Web＋DHCP：采用旁路方式網絡架構時，不能對用戶進行類似帶寬管理。另外，DHCP是動態分配IP地址，但其本身的成熟度加上設備對這種方式支持力度還較小，故在防止用戶盜用IP地址等方面，還需要額外的手段來控制。除此之外，用戶連接性差，易用性不夠好。802.1x：802.1x協議為二層協議，不需要到達三層，而且接入交換機無須支持802.1q的VLAN，對設備的整體性能要求不高，可以有效降低建網成本。業務報文直接承載在正常的二層報文上，用戶通過認證后，業務流和認證流實現分離，對后續的數據包處理沒有特殊要求。在認證過程中，802.1x不用封裝幀到以太網中，效率相對較高。2024/7/18第8章網絡系統安全部署8.2.5防止IP地址盜用1.使用ARP命令（1）使用操作系統的ARP命令進入“MS-DOS方式”或“命令提示符”，在命令提示符下輸入命令：ARP–s00-10-5C-AD-72-E3，即可把MAC地址00-10-5C-AD-72-E3和IP地址捆綁在一起。這樣，就不會出現客戶機IP地址被盜用而不能正常使用網絡的情況發生。ARP命令僅對局域網的上網服務器、客戶機的靜態IP地址有效。當被綁定IP地址的計算機宕機后，地址幫綁定關系解除。如果采用Modem撥號上網或是動態IP地址就不起作用。ARP命令的參數的功能如下：ARP-s-d-a-s：將相應的IP地址與物理地址的捆綁，如以上所舉的例子。-d：刪除相應的IP地址與物理地址的捆綁。-a：通過查詢ARP協議表顯示IP地址和對應物理地址的情況。（2）使用交換機的ARP命令例如，Cisco的二層和三層交換機。在二層交換機只能綁定與該交換機IP地址具有相同網絡地址的IP地址。在三層交換機可以綁定該設備所有VLAN的IP地址。交換機支持靜態綁定和動態幫綁定，一般采用靜態綁定。其綁定操作過程是：采用Telnet命令或Console口連接交換機，進入特權模式；輸入config，進入全局配置模式；輸入綁定命令：arp0010.5CAD.72E3arpa；至此，即可完成綁定。綁定的解除，在全局配置模式下輸入：noarp即可。2024/7/18第8章網絡系統安全部署8.2.5防止IP地址盜用2.使用802.1x的安全接入與Radius認證（1）采用IP和賬號綁定，防止靜態IP沖突

用戶進行802.1x認證時，用戶還沒有通過認證，該用戶與網絡是隔離的，其指定的IP不會與別的用戶IP沖突。當用戶使用賬號密碼試圖通過認證時，因為認證服務器端該用戶賬號和其IP做了綁定，認證服務器對其不予通過認證，從而同樣不會造成IP沖突。當用戶使用正確的賬號IP通過認證后，再更改IP時，Radius客戶端軟件能夠檢測到IP的更改，即刻剔除用戶下線，從而不會造成IP沖突。（2）采用客戶IP屬性校驗，防止動態IP沖突

用戶進行802.1X認證前不用動態獲得IP，而是靜態指定。認證前用戶還沒有通過認證，該用戶與網絡是隔離的，其指定的IP不會與別的用戶IP沖突。當用戶使用賬號密碼試圖通過認證，因為認證服務器端該用戶賬號的IP屬性是動態IP，認證報文中該用戶的IP屬性確是靜態IP，則認證服務器對其不予通過認證，從而同樣不會造成IP沖突。2024/7/18第8章網絡系統安全部署8.2.6802.1x+RADIUS的應用案例2024/7/18第8章網絡系統安全部署8.3網絡病毒及防御瑞星網絡版的防殺毒系統2024/7/18第8章網絡系統安全部署8.4保護網絡邊界網絡邊界防火墻和路由器應用使用網絡DMZ構建入侵檢測系統路由器認證技術及應用

2024/7/18第8章網絡系統安全部署防火墻和路由器應用

-1邊界安全設備叫做防火墻。防火墻阻止試圖對組織內部網絡進行掃描，阻止企圖闖入網絡的活動，防止外部進行拒絕服務（DoS，DenialofService）攻擊，禁止一定范圍內黑客利用Internet來探測用戶內部網絡的行為。阻塞和篩選規則由網管員所在機構的安全策略來決定。防火墻也可以用來保護在Intranet中的資源不會受到攻擊。不管在網絡中每一段用的是什么類型的網絡（公共的或私有的）或系統，防火墻都能把網絡中的各個段隔離開并進行保護。

雙防火墻體系結構

2024/7/18第8章網絡系統安全部署防火墻和路由器應用

-2防火墻通常與連接兩個圍繞著防火墻網絡中的邊界路由器一起協同工作（下圖），邊界路由器是安全的第一道屏障。通常的做法是，將路由器設置為執報文篩選和NAT，而讓防火墻來完成特定的端口阻塞和報文檢查，這樣的配置將整體上提高網絡的性能。根據這個網絡結構設置防火墻，最安全也是最簡單的方法就是：首先阻塞所有的端口號并且檢查所有的報文，然后對需要提供的服務有選擇地開放其端口號。通常來說，要想讓一臺Web服務器在Internet上僅能夠被匿名訪問，只開放80端口（http協議）或443端口（https–SSL協議）即可。2024/7/18第8章網絡系統安全部署使用網絡DMZ

把Web服務器放在DMZ中，必須保證Web服務器與的Intranet處于不同的子網。這樣當網絡流量進入路由器時，連接到Internet上的路由器和防火墻就能對網絡流量進行篩選和檢查了。這樣，就證實了DMZ是一種安全性較高的措施；所以除了Web服務器，還應該考慮把E-mail（SMTP/POP）服務器和FTP服務器等，也一同放在DMZ中。2024/7/18第8章網絡系統安全部署8.4.3構建入侵檢測系統入侵檢測系統可分為基于網絡的IDS，基于主機的IDS、分布式IDS和智能IDS。基于網絡的IDS適應能力強，其開發難度略小于其他幾種。根據CIDF規范，一般從功能上將入侵檢測系統劃分為四個基本部分：數據采集子系統、數據分析子系統、控制臺子系統、數據庫管理子系統，如下圖所示。2024/7/18第8章網絡系統安全部署構建入侵檢測系統建構步驟獲取libpcap和tcpdump審計蹤跡是IDS的數據來源，而數據采集機制是實現IDS的基礎，否則，入侵檢測就無從談起。數據采集子系統位于IDS的最底層，其主要目的是從網絡環境中獲取事件，并向其他部分提供事件。目前比較流行的做法是：使用libpcap和tcpdump，將網卡置于“混雜”模式，捕獲某個網段上所有的數據流。libpcap和tcpdump在網上廣為流傳，讀者可以到相關網站下載。

libpcap是Unix或Linux從內核捕獲網絡數據包的必備工具，它是獨立于系統的API接口，為底層網絡監控提供了一個可移植的框架，可用于網絡統計收集、安全監控、網絡調試等應用。

tcpdump是用于網絡監控的工具，是Unix上常用的sniffer。它的實現基于libpcap接口，通過應用布爾表達式進行過濾轉換、包獲取和包顯示等功能。tcpdump可以幫助網管員描述系統的正常行為，并最終識別出那些不正常的行為。當然，它只是有益于收集關于某網段上的數據流（網絡流類型、連接等）信息，至于分析網絡活動是否正常，那是程序員和管理員所要做的工作。

構建并配置探測器，實現數據采集

應根據自己網絡的具體情況，選用合適的軟件及硬件設備。如果網絡數據流量很小，用一般的PC機安裝Linux即可，如果所監控的網絡流量非常大，則需要用一臺性能較高的機器。在Linux服務器上開出一個日志分區，用于采集數據的存儲。①創建libpcap庫。從網上下載的通常都是libpcap.tar.z的壓縮包，所以，應先將其解壓縮、解包，然后執行配置腳本，創建適合于自己系統環境的Makefile，再用make命令創建ibpcap庫。libpcap安裝完畢之后，將生成一個libpcap庫三個include文件和一個man頁面（即用戶手冊）。②創建tcpdump。與創建libpcap的過程一樣，先將壓縮包解壓縮、解包到與libpcap相同的父目錄下，然后配置、安裝tcpdump。

建立數據分析模塊數據分析模塊相當于IDS的大腦，必須具備高度的“智慧”和“判斷能力”。所以，在設計此模塊之前，需要對各種網絡協議、系統漏洞、攻擊手法、可疑行為等有一個很清晰、深入的研究，然后制訂出相應的安全規則庫和安全策略；再分別建立濫用檢測模型和異常檢測模型，讓機器模擬人腦的分析過程，識別確知特征的攻擊和異常行為，最后將分析結果形成報警消息，發送給控制管理中心。設計數據分析模塊的工作量浩大，需要特別注意三個問題：①應優化檢測模型和算法的設計，確保系統的執行效率；②安全規則的制訂要充分考慮包容性和可擴展性，以提高系統的伸縮性；③報警消息要遵循特定的標準格式，增強其共享與互操作能力，切忌隨意制訂消息格式的不規范做法。

構建控制臺子系統

控制臺子系統的主要任務有兩個：①管理數據采集分析中心，以友好、便于查詢的方式顯示數據采集分析中心發送過來的警報消息；②根據安全策略進行一系列的響應動作，以阻止非法行為，確保網絡的安全。控制臺子系統的設計重點是：警報信息查詢、探測器管理、規則管理及用戶管理。

構建數據庫管理子系統

該模塊的數據來源有兩個：①數據分析子系統發來的報警信息及其他重要信息；②管理員經過條件查詢后對查詢結果處理所得的數據，如生成的本地文件、格式報表等。

聯調

以上幾步完成之后，一個IDS的最基本框架已被實現。但要使這個IDS順利地運轉起來，還需要保持各個部分之間安全、順暢地通信和交互，這就是聯調工作所要解決的問題。首先，要實現數據采集分析中心和控制管理中心之間的通信，二者之間是雙向的通信。控制管理中心顯示、整理數據采集分析中心發送過來的分析結果及其他信息，數據采集分析中心接收控制管理中心發來的配置、管理等命令。注意確保這二者之間通信的安全性，最好對通信數據流進行加密操作，以防止被竊聽或篡改。同時，控制管理中心的控制臺子系統和數據庫子系統之間也有大量的交互操作，如警報信息查詢、網絡事件重建等。聯調通過之后，一個基本的IDS就搭建完畢。后面要做的就是不斷完善各部分功能，尤其是提高系統的檢測能力。2024/7/18第8章網絡系統安全部署8.4.5路由器認證技術及應用1.OSPF協議

OSPF（OpenShortestPathFirst）是一個內部網關協議（IGP，InteriorGatewayProtocol），用于在單一自治系統（AS，AutonomousSystem）內決策路由。與RIP相對，OSPF是鏈路狀態路由協議，而RIP是距離向量路由協議。任務命令指定使用OSPF協議routerospfprocess-id1指定與該路由器相連的網絡networkaddress

wildcard-maskareaarea-id指定與該路由器相鄰的節點地址neighborip-address2024/7/18第8章網絡系統安全部署OSPF基本配置舉例由4臺Cisco2621路由器組成的網絡互連拓撲，如上圖所示。路由器之間的連接采用OSPF協議，組成3個區域。路由器子網IPv4地址設置，如上圖所示。2024/7/18第8章網絡系統安全部署OSPF基本配置舉例

Router1:interfaceethernet0ipaddress2992interfaceserial0ipaddress52routerospf100networkarea0network283area1Router2:interfaceethernet0ipaddress592interfaceserial0ipaddress52routerospf200networkarea0network43area2Router3:interfaceethernet0ipaddress3092routerospf300network283area1Router4:interfaceethernet0ipaddress692routerospf400network43area12024/7/18第8章網絡系統安全部署使用身份驗證

為了安全的原因，可以在相同OSPF區域的路由器上啟用身份驗證的功能，只有經過身份驗證的同一區域的路由器才能互相通告路由信息。在默認情況下OSPF不使用區域驗證。通過兩種方法可啟用身份驗證功能，純文本身份驗證和消息摘要(md5)身份驗證。純文本身份驗證傳送的身份驗證口令為純文本，它會被網絡探測器確定，所以不安全，不建議使用。而消息摘要(md5)身份驗證在傳輸身份驗證口令前，要對口令進行加密，因此一般建議使用此種方法進行身份驗證。使用身份驗證時，區域內所有的路由器接口必須使用相同的身份驗證方法。為起用身份驗證，必須在路由器接口配置模式下，為區域的每個路由器接口配置口令。如上表所示。任務命令指定身份驗證areaarea-idauthentication[message-digest]使用純文本身份驗證ipospfauthentication-keypassword使用消息摘要(md5)身份驗證ipospfmessage-digest-keykeyidmd5key2024/7/18第8章網絡系統安全部署身份驗證案例例1.使用純文本身份驗證：Router1:interfaceethernet0ipaddress2992interfaceserial0ipaddress52ipospfauthentication-keyciscorouterospf100networkarea0network283area1area0authenticationRouter2:interfaceethernet0ipaddress592interfaceserial0ipaddress52ipospfauthentication-keyciscorouterospf200networkarea0network43area2area0authentication例2.消息摘要（md5）身份驗證：Router1:interfaceethernet0ipaddress2992interfaceserial0ipaddress52ipospfmessage-digest-key1md5ciscorouterospf100networkarea0network283area1area0authenticationmessage-digestRouter2:interfaceethernet0ipaddress592interfaceserial0ipaddress52ipospfmessage-digest-key1md5ciscorouterospf200networkarea0network43area2area0authenticationmessage-digest2024/7/18第8章網絡系統安全部署8.5訪問控制列表與應用ACL概貌ACL配置擴展ACLACL應用2024/7/18第8章網絡系統安全部署什么是ACL?ACL是針對路由器處理數據報轉發的一組規則，路由器利用這組規則來決定數據報允許轉發還是拒絕轉發如果不設置ACL路由器將轉發網絡鏈路上所有數據報，當網絡管理設置了ACL以后可以決定哪些數據報可以轉發那些不可以可以利用下列參數允許或拒絕發送數據報：源地址目的地址上層協議(例如：TCP&UDP端口號)ACL可以應用于該路由器上所有的可路由協議，對于一個接口上的不同網絡協議需要配置不同的ACL2024/7/18第8章網絡系統安全部署使用ACL檢測數據報為了決定是轉發還是拒絕數據報，路由器按照ACL中各條語句的順序來依次匹配該數據報當數據報與一條語句的條件匹配了，則將忽略ACL中的剩余所有語句的匹配處理，該數據報將按照當前語句的設定來進行轉發或拒絕轉發的處理在ACL的最后都有一條缺省的“denyany”語句如果ACL中的所有顯式語句沒有匹配上，那么將匹配這條缺省的語句ACL可以實時的創建，即實時有效的；因此不能單獨修改其中的任何一條或幾條，只能全部重寫因此，不要在路由器上直接編寫一個大型的ACL，最好使用文字編輯器編寫好整個ACL后傳送到路由器上，傳送的方法有多種：TFTP、HyperTerm軟件的“PastetoHost”功能2024/7/18第8章網絡系統安全部署路由器如何使用ACL（出站）檢查數據報是否可以被路由，可路由地將在路由表中查詢路由檢查出站接口的ACL如果沒有ACL，將數據報交換到出站的接口如果有ACL，按照ACL語句的次序檢測數據報直至有了匹配條件，按照匹配條件的語句對數據報進行數據報的允許轉發或拒絕轉發如果沒有任何語句匹配，將怎樣？——使用缺省的“denyany”(拒絕所有)語句2024/7/18第8章網絡系統安全部署出站標準ACL處理流程出站數據報進行路由表的查詢接口有ACL?源地址匹配？列表中的下一項更多的項目？執行條件允許Permit拒絕Deny否否無是是有向源站發送ICMP信息轉發數據報2024/7/18第8章網絡系統安全部署在全局配置模式下按序輸入ACL語句Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}Lab-D(config)#access-list1deny0在接口配置模式中配置接口使用的ACLRouter(config-if)#{protocol}access-group

access-list-number{in/out}Lab-D(config-if)#ipaccess-group1out兩個基本的步驟（標準ACL）2024/7/18第8章網絡系統安全部署access-list-number參數ACL有多種類型，access-list-number與ACL的類型有關下表顯示了主要的一些ACL類型與access-list-number的關系ACL類型access-list-number標準IP1to99擴展IP100to199AppleTalk600to699標準IPX800to899擴展IPX900to999IPXSAP1000to1099Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}2024/7/18第8章網絡系統安全部署permit/deny參數在輸入了access-list命令并選擇了正確的

access-list-number后，需要使用permit或

deny參數來選擇希望路由器采取的動作PermitDeny向源站發送ICMP消息轉發數據報Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}2024/7/18第8章網絡系統安全部署{test-conditions}參數在ACL的{testconditions}部分，需要根據存取列表的不同輸入不同的參數使用最多的是希望控制的IP地址和通配符掩碼IP地址可以是子網、一組地址或單一節點地址路由器使用通配符掩碼來決定檢查地址的哪些位Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}Lab-A(config)#access-list1deny0IP地址通配符掩碼2024/7/18第8章網絡系統安全部署通配符掩碼通配符掩碼指定了路由器在匹配地址時檢查哪些位忽略哪些位通配符掩碼中為“0”的位表示需要檢查的位，為“1”的位表示忽略檢查的位，這與子網掩碼中的意義是完全不同的0二進制方式的表示如下：11000000.00000101.00000101.00001010(源地址)00000000.00000000.00000000.00000000(通配符掩碼)2024/7/18第8章網絡系統安全部署通配符掩碼2024/7/18第8章網絡系統安全部署之后若干張幻燈片中將練習處理通配符掩碼，類似于子網掩碼，這需要一段時間掌握計算表示下列網絡中的所有節點的通配符掩碼：

答案：55這個通配符掩碼與C類地址的子網掩碼正好相反注意：針對整個網絡或子網中所有節點的通配符掩碼一般都是這樣的通配符掩碼練習2024/7/18第8章網絡系統安全部署計算表示下列子網中所有節點的通配符掩碼：224答案是：211與24正好相反二進制的形式11111111.11111111.11111111.11100000(24)00000000.00000000.00000000.00011111(1)為了證明通配符掩碼的工作，請看.32子網中的節點地址——511000000.00000101.00000101.00110111(5)節點地址11000000.00000101.00000101.00100000(2)IP地址00000000.00000000.00000000.00011111(1)通配符掩碼通配符掩碼練習2024/7/18第8章網絡系統安全部署在下面的例子中，藍色的位是必須匹配檢查的位11000000.00000101.00000101.00110111(5)節點地址11000000.00000101.00000101.00100000(2)控制的ip地址00000000.00000000.00000000.00011111(1)通配符掩碼必須牢記：通配符掩碼中為“0”的位表示需要檢查的位，為“1”的位表示忽略檢查的位在本例中，根據通配符掩碼中為0的位，比較數據報的源地址和控制的IP地址中相關的各個位，當每位都相同時，說明兩者匹配針對掩碼為92的4子網的控制IP地址和通配符掩碼?答案：43通配符掩碼練習2024/7/18第8章網絡系統安全部署針對掩碼為的子網的控制IP地址和通配符掩碼?答案：55針對掩碼為的子網的控制IP地址和通配符掩碼?答案：55針對掩碼為的子網的控制IP地址和通配符掩碼?答案：55通配符掩碼練習2024/7/18第8章網絡系統安全部署計算控制的IP地址和通配符掩碼是比較復雜的，尤其是控制網絡中的一部分節點時為了控制網絡中一部分節點往往需要在二進制方式下進行計算例如：學生使用到27地址范圍，教師使用28到55地址范圍。這些地址處在相同的網絡中/24怎樣來計算？控制一段地址范圍內的節點2024/7/18第8章網絡系統安全部署對于學生使用的地址范圍首先，以二進制方式寫出第一個和最后一個節點地址。由于前三個8位組是相同的，所以可以忽略它們，在通配符掩碼中相應的位必須為“0”第一個地址：最后一個地址：其次，查找前面的兩者相同的位(下圖的藍色部分)00這些相同的位將與前面的網絡地址部分(192.5.5)一樣進行匹配檢驗例子：地址區域到.127和.128到.255控制一段地址范圍內的節點2024/7/18第8章網絡系統安全部署第三，計算剩余節點地址部分的十進制值(127)最后，決定控制的IP地址和通配符掩碼控制的IP地址可以使用所控制范圍內的任何一個節點地址，但約定俗成的使用所控制范圍的第一個節點地址相對于上述相同的位在通配符掩碼中為“0”27對于教師部分地址：28(10000000)到55(11111111)答案：2827請思考兩者的不同例子：地址區域到.127和.128到.255控制一段地址范圍內的節點2024/7/18第8章網絡系統安全部署控制網絡/24中的所有偶數地址的控制IP地址和通配符掩碼？答案：54控制網絡/24中的所有奇數地址的控制IP地址和通配符掩碼？答案：54控制一段地址范圍內的節點2024/7/18第8章網絡系統安全部署由于ACL末尾都有一個隱含的“denyany”語句，需要在ACL前面部分寫入其他“允許”的語句使用上面的例子，如果不允許學生訪問而其他的訪問都允許，需要如下兩條語句：Lab-A(config)#access-list1deny27Lab-A(config)#access-list1permit55由于最后的一條語句通常用來防止由于隱含語句使得所有網絡功能失效，為了方便輸入，可以使用any

命令：Lab-A(config)#access-list1permitanyany命令2024/7/18第8章網絡系統安全部署眾多情況下，網絡管理員需要在ACL處理單獨節點的情況，可以使用兩種命令：Lab-A(config)#access-list1permit0或...Lab-A(config)#access-list1permithost0host命令2024/7/18第8章網絡系統安全部署標準ACL不處理目的地相關參數，因此，標準ACL應該放置在最接近目的地的地點請參考下圖來考慮上述放置地點的原因，如果將語句“deny55”放置在Lab-A路由器的E0接口上時，網絡中的數據通訊情況這樣所有網絡向外的通訊數據全部被拒絕標準ACL的正確放置位置2024/7/18第8章網絡系統安全部署擴展ACL的編號為100–199，擴展ACL增強了標準ACL的功能增強ACL可以基于下列參數進行網絡傳輸的過濾目的地址IP協議可以使用協議的名字來設定檢測的網絡協議或路由協議，例如：icmp、rip和igrpTCP/IP協議族中的上層協議可以使用名稱來表示上層協議，例如：“tftp”或“http”也可以使用操作符eq、gt、lt和neg(equalto,greaterthan,lessthan和notequalto)來處理部分協議例如：希望允許除了http之外的所有通訊，其余語句是permitipanyanyneg80擴展ACL概貌2024/7/18第8章網絡系統安全部署在全局配置模式下逐條輸入ACL語句Router(config)#access-list

access-list-number

{permit|deny}{protocol|protocol-keyword}{sourcesource-wildcard}{destinationdestination-wildcard}[protocol-specificoptions][log]Lab-A(config)#access-list101denytcp5555eqtelnetlog在接口配置中將接口劃分到各個ACL中(與標準ACL的語法一樣)Router(config-if)#{protocol}access-group

access-list-number

{in/out}Lab-A(config-if)#ipaccess-group101out兩個步驟（擴展ACL）2024/7/18第8章網絡系統安全部署access-list-number

從100到199中選擇一個{protocol|protocol-number}

對于CCNA，僅僅需要了解ip和tcp——實際上有更多的參數選項{sourcesource-wildcard}與標準ACL相同{destinationdestination-wildcard}與標準ACL相同，但是是指定傳輸的目的[protocol-specificoptions]本參數用來指定需要過濾的協議擴展的參數2024/7/18第8章網絡系統安全部署請復習TCP和UDP的端口號也可以使用名稱來代替端口號，例如：使用telnet來代替端口號23端口號協議名稱21FTP23Telnet25SMTP53DNS6980TFTPWWW端口號2024/7/18第8章網絡系統安全部署由于擴展ACL可以控制目的地地址，所以應該放置在盡量接近數據發送源放置擴展ACL的正確位置2024/7/18第8章網絡系統安全部署放置擴展ACL的正確位置在下圖中，需要設定網絡中的所有節點不能訪問地址為4服務器在哪個路由器的哪個接口上放置ACL?在RouterC的E0接口上放置這將防止中的所有機器訪問4，但是他們可以繼續訪問Internet2024/7/18第8章網絡系統安全部署Router-C(config)#access-list100denyip554Router-C(config)#access-list100permitipanyanyRouter-C(config)#inte0Router-C(config-if)#ipaccess-group100in使用ACL2024/7/18第8章網絡系統安全部署在CiscoIOS可以命名ACL；當在一個路由器上使用多于99個ACL時這個功能特別有用當輸入一個命名的ACL，不需要緊接著輸入access-list和access-list-number參數下例中，ACL的名字是over_and，并被使用在接口的出站處理上Lab-A(config)#ipaccess-liststandardover_andLab-A(config-std-nacl)#denyhost0.........Lab-A(config-if)#ipaccess-groupover_andout命名的ACL2024/7/18第8章網絡系統安全部署Show命令showaccess-lists顯示在路由器上的所有配置好的ACLshowaccess-lists{name|number}顯示指定的ACLshowipinterface顯示接口上使用的ACL——入站和出站showrunning-config顯示當前的路由器的整個配置驗證ACL2024/7/18第8章網絡系統安全部署ACL不檢查路由器本身自己產生的數據報ACL只檢查其他來源的數據報ACL的特點2024/7/18第8章網絡系統安全部署擴展ACL的應用

某企業網絡信息中心拓撲結構下圖所示。非軍事區（DMZ）包括交換機、企業WWW服務器、E-Mail服務器、防火墻、路由器（Cisco2651）和Internet專線連接設施。企業內網包括認證和計費系統（RADIUS）、網絡OA系統、ERP系統、核心交換機（Catalyst4506）和匯聚交換機（Catalyst2950G）等設施。2024/7/18第8章網絡系統安全部署外網擴展訪問控制列表/*僅允許DMZ區服務器的匿名端口開放*/access-list101permittcpanyhosteqpop3access-list101permittcpanyhosteqsmtpaccess-list101permittcpanyhosteqwwwaccess-list101permittcpanyhosteqwwwaccess-list102permittcpanyhosteqftpaccess-list102denyipanyhostaccess-list102denyipanyhost/*保護內網主機的敏感端口，防止病毒、特洛伊木馬和蠕蟲的攻擊*/access-list110denyicmpanyanyechoaccess-list110denytcpanyanyeq4444access-list110denyudpanyanyeqtftpaccess-list110denyudpanyanyeq1434access-list110denytcpanyanyeq445access-list110denytcpanyanyeq139access-list110denyudpanyanyeqnetbios-ssaccess-list110denytcpanyanyeq135access-list110denyudpanyanyeq135access-list110denyudpanyanyeqnetbios-nsaccess-list110denyudpanyanyeqnetbios-dgmaccess-list110denyudpanyanyeq445access-list110denytcpanyanyeq593access-list110denyudpanyanyeq593access-list110denytcpanyanyeq5800access-list110denytcpanyanyeq5900access-list110denyudpanyanyeq6667access-list110deny255anyanyaccess-list110deny0anyanyaccess-list110permitipanyany/*將此訪問控制列表應用于邊界路由器的外網接口*/interfaces0/0ipaccess-group110in2024/7/18第8章網絡系統安全部署內網擴展訪問控制列表為了防止內網用戶攻擊或網絡病毒攻擊內網服務器和主機的敏感端口，在三層交換機設置第二道安全屏障。擴展訪問控制列表配置如下：/*僅允許內網服務器的匿名端口開放*/access-list102permittcphost212.207.160.access-list102permittcpanyhosteqwwwaccess-list102permittcpanyhosteqwwwaccess-list102permittcpanyhosteqftpaccess-list102denyipanyhostaccess-list102denyipanyhostaccess-list102denyipanyhost/*保護內網主機的敏感端口，防止病毒、特洛伊木馬和蠕蟲的攻擊*/以下部分與路由器配置相同。/*將此訪問控制列表應用于三層交換機的各個VLAN接口*/interfaceVlan20descriptionvlan20ipaddressipaccess-group102in2024/7/18第8章網絡系統安全部署8.6防火墻的配置與應用桌面型防火墻普通百兆防火墻防火墻+VPN高端百兆防火墻高端千兆防火墻8.6.1PIX防火墻的配置8.6.2PIX防火墻的應用8.6.3雙址路由防火墻的應用天融信系列安全產品2024/7/18第8章網絡系統安全部署8.6.1PIX防火墻的配置防火墻通常具有至少三個接口，這樣就產生了三個網絡。（1）內部區域（內網）。內部區域通常就是指企業內部網絡或者是企業內部網絡的一部分。它是互連網絡的信任區域，即受到了防火墻的保護。（2）外部區域（外網）。外部區域通常指Internet或者非企業內部網絡。它是互連網絡中不被信任的區域，當外部區域想要訪問內部區域的主機和服務時，通過防火墻，就可以實現有限制的訪問。（3）停火區（DMZ）。停火區是一個隔離的網絡，或幾個網絡。位于停火區中的主機或服務器被稱為堡壘主機。一般在停火區內可以放置Web服務器，Mail服務器等。停火區對于外部用戶通常是可以訪問的，這種方式讓外部用戶可以訪問企業的公開信息，但卻不允許他們訪問企業內部網絡。PIX防火墻提供四種管理訪問模式：（1）非特權模式。PIX防火墻開機自檢后，就是處于這種模式，系統顯示為pixfirewall>。（2）特權模式。輸入enable進入特權模式，可以改變當前配置，顯示為pixfirewall#。（3）配置模式。輸入configureterminal進入此模式，絕大部分的系統配置都在這里進行，顯示為pixfirewall(config)#。（4）監視模式。PIX防火墻在開機或重啟過程中，按住Escape鍵或發送一個“Break”字符，進入監視模式。這里可以更新操作系統映像和口令恢復，顯示為monitor>。配置PIX防火墻有六個基本命令：nameif，interface，ipaddress，nat，global，route。這些命令在配置PIX時是必須的。2024/7/18第8章網絡系統安全部署PIX525防火墻配置的基本步驟（1）配置防火墻接口的名字，并指定安全級別（nameif）。Pix525(config)#nameifethernet0outsidesecurity0Pix525(config)#nameifethernet1insidesecurity100Pix525(config)#nameifdmzsecurity50在缺省配置中，以太網0被命名為外部接口（outside），安全級別是0；以太網1被命名為內部接口（inside），安全級別是100。安全級別取值范圍為1～99，數字越大安全級別越高。若添加新的接口，語句可以這樣寫：Pix525(config)#nameifpix/intf3security40（安全級別任取）（2）配置以太口參數（interface）Pix525(config)#interfaceethernet0auto（auto選項表明系統自適應網卡類型）Pix525(config)#interfaceethernet1100full（100full選項表示100Mbps以太網全雙工通信）Pix525(config)#interfaceethernet1100fullshutdown（shutdown選項表示關閉這個接口，若啟用接口去掉shutdown）（3）配置內外網卡的IP地址（ipaddress）Pix525(config)#ipaddressout