-30-1概述中國經濟的飛速發(fā)展，生活水平的提高，IT信息產業(yè)與我們的生活越來越密切，人們已經生活在信息時代。計算機技術和網絡技術應用到社會的各個領域，因特網把“地球村”的居民緊密地連在了一起。近年來因特網的飛速發(fā)展，給人們的生活帶來了全新地感受，人類社會各種活動對信息網絡的依賴程度已經越來越大。然而，人們在得益于信息所帶來的新的生活的改變以及生活質量的提高機遇的同時，也不得不面對信息安全問題的嚴峻考驗。“黑客攻擊”網站被“黑”，“CIH病毒”無時無刻不充斥在網絡中。“電子戰(zhàn)”已成為國與國之間，商家與商家之間的一種重要的攻擊與防衛(wèi)手段。因此信息安全，網絡安全的問題已經引起各國，各部門，各行各業(yè)以及每個計算機用戶的充分重視。因特網提供給人們的不僅僅是精彩，還無時無刻地存在各種各樣的危險和陷阱。對此，我們既不能對那些潛在的危險不予重視，遭受不必要的損失；也不能因為害怕某些危險而拒絕因特網的各種有益的服務，對個人來說這樣會失去了了解世界、展示自己的場所，對企業(yè)來說還失去了拓展業(yè)務、提高服務、增強競爭力的機會。只能通過不斷地提高網絡環(huán)境的安全才是行之有效的辦法。本文在導師的指導下，獨立完成了該防火墻系統(tǒng)方案的配置及安全性能的檢測工作。在詳細分析防火墻工作原理基礎上，針對廣大中小型企業(yè)防火墻的實際情況，提出了一個能夠充分發(fā)揮防火墻性能、提高防火墻系統(tǒng)的抗攻擊能力的防火墻系統(tǒng)配置方案，同時介紹了具體實現過程中的關鍵步驟和主要方法，并針對中小企業(yè)的防火墻系統(tǒng)模擬黑客進行攻擊，檢查防火墻的安全漏洞，并針對漏洞提供相應的解決方案。該防火墻在通常的包過濾防火墻基礎之上，又增加了MAC地址綁定、端口映射等特殊功能，使之具有鮮明的特點。通過對于具有上述特點的防火墻的研究、配置與測試工作，一方面使得中小企業(yè)防火墻系統(tǒng)本身具有高效、安全、實用的特點，另一方面在此基礎上對今后可能出現的新問題作好了一系列比較全面的準備工作。1.1課題意義安全是一個不容忽視的問題，當人們在享受網絡帶來的方便與快捷的同時，也要時時面對網絡開放帶來的數據安全方面的新挑戰(zhàn)和新危險。為了保障網絡安全，當局域網與外部網連接時，可以在中間加入一個或多個中介系統(tǒng)，防止非法入侵者通過網絡進行攻擊，非法訪問，并提供數據可靠性、完整性以及保密性等方面的安全和審查控制，這些中間系統(tǒng)就是防火墻(Firewall)技術如圖1.1。圖1.1防火墻功能圖在此，我們主要研究如何構建一個相對安全的計算機網絡平臺，使其免受外部網絡的攻擊，通過對典型中小企業(yè)網絡的安全性分析，提出一套適合中小企業(yè)應用的防火墻系統(tǒng)，該系統(tǒng)應該具有可靠性、開放性、伸縮性、性價比較高等特點，經過比較我們選用RouterOS做為中小企業(yè)防火墻平臺，通過在RouterOS上配置相應的策略，使其能夠實現面向中小企業(yè)提供網絡安全服務的功能。

2企業(yè)網安全分析2.1中小企業(yè)網絡安全現狀在我國的工商領域，以中小企業(yè)為主，這些企業(yè)人數不是很多，少的可能只有十幾人，多的可能有好幾百。而這么多的中小型企業(yè)，一方面，由于資金等問題沒有很好的設備去防范，而另一方面，可能就沒有這種防范的意識。所以它們成為黑客攻擊的主要目標。我們以某服裝廠為例，公司面積不是很大，有300人左右，有生活區(qū)，生產區(qū)等，分為各個部門。公司網絡拓撲圖如圖2.1。在最外層有個路由器，在連接路由器與內網之間是防火墻，公司網絡主要分為四大區(qū)：管理區(qū)，生產區(qū)，宿舍區(qū)和服務器區(qū)。平時公司可以實現正常的上網功能，并且外網訪問也很正常。但是最近一段時間，公司內部連互聯(lián)網的時候很卡，看視頻斷斷續(xù)續(xù)，并且外網訪問公司網站打開網頁的時間很長。圖2.1某服裝廠網絡拓撲圖2.2.1ARP攻擊ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊。ARP攻擊主要是存在于局域網網絡中，局域網中若有一臺計算機感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息，并因此造成網內其它計算機的通信故障。某機器A要向主機B發(fā)送報文，會查詢本地的ARP緩存表，找到B的IP地址對應的MAC地址后，就會進行數據傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機A的IP地址IA——物理地址PA），請求IP地址為IB的主機B回答物理地址PB。網上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，于是向A主機發(fā)回一個ARP響應報文。其中就包含有B的MAC地址，A接收到B的應答后，就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數據（由網卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網絡流通的基礎，而且這個緩存是動態(tài)的。2.2.2網絡監(jiān)聽在網絡中，當信息進行傳播的時候，可以利用工具，將網絡接口設置在監(jiān)聽的模式，便可將網絡中正在傳播的信息截獲或者捕獲到，從而進行攻擊。網絡監(jiān)聽在網絡中的任何一個位置模式下都可實施。而黑客一般都是利用網絡監(jiān)聽來截取用戶口令。比如當有人占領了一臺主機之后，那么他要再想將戰(zhàn)果擴大到這個主機所在的整個局域網話，監(jiān)聽往往是他們選擇的捷徑。很多時候在各類安全論壇上看到一些初學的愛好者，在他們認為如果占領了某主機之后那么想進入它的內部網應該是很簡單的。其實不是這樣，進入了某主機再想轉入它所在的內部網絡里的其它機器也不是一件容易的事情。因為你除了要拿到他們的口令之外還有就是他們共享的絕對路徑，當然了，這個路徑的盡頭必須是有寫的權限了。在這個時候，運行已經被控制的主機上的監(jiān)聽程序就會有大收獲。不過這是一件費神的事情，而且還需要當事者有足夠的耐心和應變能力。主要包括：數據幀的截獲對數據幀的分析歸類dos攻擊的檢測和預防IP冒用的檢測和攻擊在網絡檢測上的應用對垃圾郵件的初步過濾2.2.3蠕蟲病毒蠕蟲病毒攻擊原理蠕蟲也是一種病毒，因此具有病毒的共同特征。一般的病毒是需要寄生的，它可以通過自己指令的執(zhí)行，將自己的指令代碼寫到其他程序的體內，而被感染的文件就被為“宿主”，例如，windows下可執(zhí)行文件的格式為PE格式(PortableExecutable)，當需要感染PE文件時，在宿主程序中，建立一個新節(jié)，將病毒代碼寫到新節(jié)中，修改的程序入口點等，這樣，宿主程序執(zhí)行的時候，就可以先執(zhí)行病毒程序，病毒程序運行完之后，在把控制權交給宿主原來的程序指令。可見，病毒主要是感染文件，當然也還有像DIRII這種鏈接型病毒，還有引導區(qū)病毒。引導區(qū)病毒他是感染磁盤的引導區(qū)，如果是軟盤被感染，這張軟盤用在其他機器上后，同樣也會感染其他機器，所以傳播方式也是用軟盤等方式。蠕蟲病毒入侵過程蠕蟲病毒攻擊主要分成三步：①掃描：由蠕蟲的掃描功能模塊負責探測存在漏洞的主機。當程序向某個主機發(fā)送探測漏洞的信息并收到成功的反饋信息后，就得到一個可傳播的對象。②攻擊：攻擊模塊按漏洞攻擊步驟自動攻擊步驟1中找到的對象，取得該主機的權限（一般為管理員權限），獲得一個shell。③復制：復制模塊通過原主機和新主機的交互將蠕蟲程序復制到新主機并啟動。2.3企業(yè)受到外網攻擊分析2.3.1DoS攻擊DoS攻擊(DenialofService，簡稱DoS)即拒絕服務攻擊，是指攻擊者通過消耗受害網絡的帶寬，消耗受害主機的系統(tǒng)資源，發(fā)掘編程缺陷，提供虛假路由或DNS信息，使被攻擊目標不能正常工作。實施DoS攻擊的工具易得易用，而且效果明顯。一般的DoS攻擊是指一臺主機向目的主機發(fā)送攻擊分組(1:1)，它的威力對于帶寬較寬的站點幾乎沒有影響;而分布式拒絕服務攻擊(DistributedDenialofService，簡稱DDoS)同時發(fā)動分布于全球的幾千臺主機對目的主機攻擊,即使對于帶寬較寬的站點也會產生致命的效果。隨著電子商業(yè)在電子經濟中扮演越來越重要的角色，隨著信息戰(zhàn)在軍事領域應用的日益廣泛，持續(xù)的DoS攻擊既可能使某些機構破產，也可能使我們在信息戰(zhàn)中不戰(zhàn)而敗。可以毫不夸張地說，電子恐怖活動的時代已經來臨。DoS攻擊中，由于攻擊者不需要接收來自受害主機或網絡的回應，它的IP包的源地址就常常是偽造的。特別是對DDoS攻擊，最后實施攻擊的若干攻擊器本身就是受害者。若在防火墻中對這些攻擊器地址進行IP包過濾，則事實上造成了新的DoS攻擊。為有效地打擊攻擊者，必須設法追蹤到攻擊者的真實地址和身份。2.3.2SYNAttack(SYN攻擊)每一個TCP連接的建立都要經過三次握手的過程：A向B發(fā)送SYN封包：B用SYN/ACK封包進行響應；然后A又用ACK封包進行響應。攻擊者用偽造的IP地址（不存在或不可到達的地址）發(fā)送大量的SYN封包至防火墻的某一接口，防火墻用SYN/ACK封包對這些地址進行響應，然后等待響應的ACK封包。因為SYN/ACK封包被發(fā)送到不存在或不可到達的IP地址，所以他們不會得到響應并最終超時。當網絡中充滿了無法完成的連接請求SYN封包，以至于網絡無法再處理合法的連接請求，從而導致拒絕服務（DoS）時，就發(fā)生了SYN泛濫攻擊。防火墻可以對每秒種允許通過防火墻的SYN封包數加以限制。當達到該臨界值時，防火墻開始代理進入的SYN封包，為主機發(fā)送SYN/ACK響應并將未完成的連接存儲在連接隊列中，未完成的連接保留在隊列中，直到連接完成或請求超時。2.3.3ICMPFlood(UDP泛濫)當ICMPPING產生的大量回應請求超出了系統(tǒng)最大限度，以至于系統(tǒng)耗費所有資源來進行響應直至再也無法處理有效的網絡信息流時，就發(fā)生了ICMP泛濫。當啟用ICMP泛濫保護功能時，可以設置一個臨界值，一旦超過了此值就會調用ICMP泛濫攻擊保護功能。（缺省的臨界值為每秒1000個封包。）如果超過了該臨界值。NETSCREEN設備在該秒余下的時間和下一秒內會忽略其他的ICMP回應要求。2.3.4UDPFlood(UDP泛濫)與ICMP泛濫相似，當以減慢系統(tǒng)速度為目的向該點發(fā)送UDP封包，以至于系統(tǒng)再也無法處理有效的連接時，就發(fā)生了UDP泛濫，當啟用了UDP泛濫保護功能時，可以設置一個臨界值，一旦超過此臨界值就回調用UDP泛濫攻擊保護功能。如果從一個或多個源向單個目標發(fā)送的UDP泛濫攻擊超過了此臨界值，防火墻在該秒余下的時間和下一秒內會忽略其他到該目標的UDP封包。2.3.5PortScanAttack(端口掃描攻擊)當一個源IP地址在定義的時間間隔內（缺省值為5000微秒）向位于相同目標IP地址10個不同的端口發(fā)送IP封包時，就會發(fā)生端口掃描攻擊。這個方案的目的是掃描可用的服務，希望會有一個端口響應，因此識別出作為目標的服務。防火墻在內部記錄從某一遠程源地點掃描不同端口的數目。使用缺省設置，如果遠程主機在0.005秒內掃描了10個端口。防火墻會將這一情況標記為端口掃描攻擊，并在該秒余下的時間內拒絕來自該源地址的其他封包。

3企業(yè)網防火墻的應用3.1網絡安全技術概述網絡安全技術指致力于解決諸如如何有效進行介入控制，以及何如保證數據傳輸的安全性的技術手段，主要包括物理安全分析技術，網絡結構安全分析技術，系統(tǒng)安全分析技術，管理安全分析技術，及其它的安全服務和安全機制策略。網絡安全技術分為：虛擬網技術、防火墻枝術、病毒防護技術、入侵檢測技術、安全掃描技術、認證和數字簽名技術、VPN技術、以及應用系統(tǒng)的安全技術。其中虛擬網技術防止了大部分基于網絡監(jiān)聽的入侵手段。通過虛擬網設置的訪問控制，使在虛擬網外的網絡節(jié)點不能直接訪問虛擬網內節(jié)點。例如vlan，但是其安全漏洞相對更多，如IPsweep,teardrop,sync-flood,IPspoofing攻擊等。防火墻枝術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡訪問內部網絡資源，保護內部網絡操作環(huán)境的特殊網絡互聯(lián)設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許,并監(jiān)視網絡運行狀態(tài)。但是防火墻無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。防火墻的分類有包過濾型、地址轉換型、代理型、以及檢測型。病毒防護技術是指阻止病毒的傳播、檢查和清除病毒、對病毒數據庫進行升級、同時在防火墻、代理服務器及PC上安裝Java及ActiveX控制掃描軟件，禁止未經許可的控件下載和安裝入侵檢測技術（IDS）可以被定義為對計算機和網絡資源的惡意使用行為進行識別和相應處理的技術。是一種用于檢測計算機網絡中違反安全策略行為的技術。安全掃描技術是為管理員能夠及時了解網絡中存在的安全漏洞，并采取相應防范措施，從而降低網絡的安全風險而發(fā)展起來的一種安全技術。認證和數字簽名技術，其中的認證技術主要解決網絡通訊過程中通訊雙方的身份認可，而數字簽名作為身份認證技術中的一種具體技術，同時數字簽名還可用于通信過程中的不可抵賴要求的實現。VPN技術就是在公網上利用隨到技術來傳輸數據。但是由于是在公網上進行傳輸數據，所以有一定的不安全性。應用系統(tǒng)的安全技術主要有域名服務、WebServer應用安全、電子郵件系統(tǒng)安全和操作系統(tǒng)安全。3.2防火墻介紹所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。從而是一種獲取安全的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Internet之間建立起一個安全網關（SecurityGateway），從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。該計算機流入流出的所有網絡通信和數據包均要經過此防火墻。在網絡中，所謂“防火墻”，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說，如果不通過防火墻，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。隨著企業(yè)信息化進程的推進，廣大中小企業(yè)網上運行的應用系統(tǒng)越來越多，信息系統(tǒng)變得越來越龐大和復雜。企業(yè)網的服務器群構成了企業(yè)網的服務系統(tǒng)，主要包括DNS、虛擬主機、Web、FTP、視頻點播以及Mail服務等。企業(yè)網通過不同的專線分別接入了不同的網絡。隨著企業(yè)網絡出口帶寬不斷加大，應用服務系統(tǒng)逐漸增多，企業(yè)網用戶數烈劇上升，網絡的安全也就越來越嚴峻。3.3防火墻的分類3.3.1宿主機網關（DualHomedGateway）這種配置是用一臺裝有兩個網絡適配器的雙宿主機做防火墻。雙宿主機用兩個網絡適配器分別連接兩個網絡，又稱堡壘主機。堡壘主機上運行著防火墻軟件（通常是代理服務器），可以轉發(fā)應用程序，提供服務等。雙宿主機網關有一個致命弱點，一旦入侵者侵入堡壘主機并使該主機只具有路由器功能，則任何網上用戶均可以隨便訪問有保護的內部網絡如圖4.1。圖4.1宿主機網關防火墻3.3.2屏蔽主機網關（ScreenedHostGateway）屏蔽主機網關易于實現，安全性好，應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。單宿堡壘主機類型是一個包過濾路由器連接外部網絡，同時一個堡壘主機安裝在內部網絡上。堡壘主機只有一個網卡，與內部網絡連接如圖4.2。通常在路由器上設立過濾規(guī)則，并使這個單宿堡壘主機成為從Internet惟一可以訪問的主機，確保了內部網絡不受未被授權的外部用戶的攻擊。而Intranet內部的客戶機，可以受控制地通過屏蔽主機和路由器訪問Internet。圖4.2單宿堡壘主機防火墻雙宿堡壘主機型與單宿堡壘主機型的區(qū)別是，堡壘主機有兩塊網卡，一塊連接內部網絡，一塊連接包過濾路由器如圖4.3。雙宿堡壘主機在應用層提供代理服務，與單宿型相比更加安全。圖4.3雙宿堡壘主機防火墻3.3.3屏蔽子網（ScreenedSubnet）這種方法是在Intranet和Internet之間建立一個被隔離的子網，用兩個包過濾路由器將這一子網分別與Intranet和Internet分開。兩個包過濾路由器放在子網的兩端，在子網內構成一個“緩沖地帶”如圖4.4，兩個路由器一個控制Intranet數據流，另一個控制Internet數據流，Intranet和Internet均可訪問屏蔽子網，但禁止它們穿過屏蔽子網通信。可根據需要在屏蔽子網中安裝堡壘主機，為內部網絡和外部網絡的互相訪問提供代理服務，但是來自兩網絡的訪問都必須通過兩個包過濾路由器的檢查。對于向Internet公開的服務器，像WWW、FTP、Mail等Internet服務器也可安裝在屏蔽子網內，這樣無論是外部用戶，還是內部用戶都可訪問。這種結構的防火墻安全性能高，具有很強的抗攻擊能力，但需要的設備多，造價高。圖4.4屏蔽子網防火墻3.4防火墻技術發(fā)展趨勢防火墻技術的發(fā)展離不開社會需求的變化，著眼未來，我們可能需要其他新的需求。全國主要城市先后受到H7N9病毒的侵襲，直接促成大量的企事業(yè)在家辦公，這就要求防火墻既能抵抗外部攻擊，又能允許合法的遠程訪問，做到更細粒度的訪問控制。1、VPN（虛擬專用網）技術就是很好的解決方式。只有以指定方式加密的數據包才能通過防火墻，這樣可以確保信息的保密性，又能成為識別入侵行為的手段。2、內部網絡“包廂化”（compartmentalizing）。人們通常認為處在防火墻保護下的內網是可信的，只有Internet是不可信的。由于黑客攻擊技術和工具在Internet上隨手可及，使得內部網絡的潛在威脅大大增加，這種威脅既可以是外網的人員，也可能是內網用戶，不再存在一個可信網絡環(huán)境。3、RouterOS技術。RouterOS以其設備要求簡單，配置策略簡單，性價比較低，受到廣大中小企業(yè)的歡迎。尤其是其具有強大的VPN功能、端口映射功能、防火墻功能，更是為其在中小企業(yè)中奠定的了堅實的基礎。

4RouterOS在企業(yè)網中的應用中小企業(yè)網一般都是采用性價比合適的網絡技術架構的，用戶較多，使用面較廣，但是存在的安全隱患和漏洞相對較廣泛。鑒于上述因素，有必要為中小企業(yè)量身定制一個使用的防火墻。4.1RouterOS簡介RouterOS是一種源碼開放式防火墻操作系統(tǒng)，并通過該系統(tǒng)將標準的PC電腦變成專業(yè)防火墻，在眾多用RouterOS系統(tǒng)作為企業(yè)防火墻的愛好者的開發(fā)下，每年都會有更新和改變，系統(tǒng)經歷了多次更新和改進，使其功能在不斷增強和完善。特別在無線、認證、策略路由、帶寬控制和防火墻過濾等功能上有著非常突出的功能，其極高的性價比，受到許多網絡人士的青睞。4.2RouterOS的優(yōu)勢RouterOS是一個基于Linux內核的開源的免費的防火墻操作系統(tǒng)，通過安裝該系統(tǒng)可使標準的PC電腦具備專業(yè)防火墻的各種功能，系統(tǒng)經歷了多次更新和改進，其功能不斷增強和完善。特別在策略路由、帶寬控制和防火墻過濾等功能上有著非常突出的優(yōu)勢和極高的性價比。RouterOS高級防火墻從底層系統(tǒng)核心、核心安全模塊和硬件兼容性等各個層次進行了精心的的設計和優(yōu)化，使得這款路由產品在性能上具有出眾的優(yōu)勢。線速轉發(fā)的高吞吐量可滿足大型企業(yè)/網吧等機構的絕大部分應用，也可為運營商的以太網接入提供高負載的支持，高轉發(fā)低時延為增加用戶數量提供了強有力的保障。4.3RouterOS在企業(yè)網中的應用某服裝廠網絡拓撲圖如下圖4.1。由于最近公司網絡受到黑客的攻擊，現在公司又在一臺PC上安裝了RouterOS。利用RouterOS的防火墻功能，來保障公司網絡的安全。圖4.1某服裝廠拓撲圖4.3.1RouterOS的安裝某服裝廠使用的MikrotikRouterOS3.16版本。在我們安裝RouterOS的PC硬件配置如下：處理器英特爾Corei3M380@2.53GHz四核處理器主板聯(lián)想0579A12(英特爾HM55芯片組)內存4GB(記憶科技DDR31333MHz)主硬盤西數WDCWD3200BEKT-08PVMT1(320GB/7200轉/分)顯卡ATIMobilityRadeonHD545v(1GBMB/聯(lián)想)顯示器LGLGD02E9(14英寸)光驅日立-LGDVDRAMGT33NDVD刻錄機聲卡瑞昱ALC269@英特爾5Series/3400SeriesChipset高保真音頻網卡RS-SUNNET千兆PCI-E光纖網卡（兩塊）使用光盤啟動計算機時，會出現下面的界面：讓你選擇安裝的模塊，選擇全部安裝，鍵盤輸入ａ，然后輸入ｉ開始安裝圖4.2。圖4.2routeros安裝選擇全部計算機提醒你是不是要保留以前的設置，我是全新安裝的，按ｎ回車，不保留。然后計算機提示是否繼續(xù)，按y鍵。開始安裝圖4.3。圖4.3routeros安裝過程你就等著安裝完成出現讓你按回車鍵繼續(xù)的畫面，計算機重新啟動后就行了。4.2.2RouterOS的配置系統(tǒng)安裝之后重新啟動，然后出現登陸界面，輸入初始用戶名admin，口令直接回車。進入RouterOS的字符界面，好了，現在開始我們的簡單初始設置階段。由于我們是新配置的機器，所以我們應該先給它的每張網卡配置新的ip。先看一下網卡的個數以及是否啟動圖4.4。圖4.4網卡的屬性更改網卡的名稱以方便區(qū)分不同的網絡接口。為方便區(qū)分我們作如下規(guī)定：接入外網的網絡接口命名為Wan，其接入外網的方式是通過dhcp客戶端設自動獲取IP地址。接入局域網的網絡接口我們命名為Lan。命令執(zhí)行過程和顯示界面如下圖4.5：圖4.5更改網卡名字輸入命令更改網卡的名稱后。退回到根目錄，設定網卡地址等信息。設定網卡的ip地址，我們要設定局域網接口Lan的地址，（備注，若這里出現的不是Lan，而是Wan，你需要把它改成Lan）。輸入我們設定的Lan的IP地址54/24。系統(tǒng)然后讓你輸入網關的地址，千萬要注意不要輸入默認的地址，而是要改為圖4.6。圖4.6設置Lan網卡信息因為公司里面看視頻，上網聊天沒人所需流量不同，因此需要全局限制速度和限制線程。設置~54connection-limit=50是線程數這里為50。for5from2to254do={/ipfirewallfilteraddchain=forwardsrc-address=()protocol=tcpconnection-limit=50,32action=drop}設置是上行／下行的網速為2M/1M。:foruserfrom2to254do={/queuesimpleaddname=("")dst-address=("/32")max-limit=2048000/1024000}外網連接是采用靜態(tài)IP的方式，IP為。連接到網卡Wan。為網卡Wan設置IP地址：ipaddress>addaddress=/24interface=Wan為路由器配置靜態(tài)路由網關地址為，讓所有數據的下一跳都將指向這個網關。iproute>adddst—address=/0gateway=。給客戶端的IP進行綁定，客戶機的MAC地址為00:0C:29:61:BD:40，IP地址為，可以用以下命令進行綁定：．iparp>addaddress=interface=Lanmac-address=00:0C:29:61:BD:40查看綁定結果圖4.7。圖4.7MAC地方綁定4.3RouterOS端口映射配置1、改變www服務端口為8081：/ipservicesetwwwport=80812、改變hotspot服務端口為80,為用戶登錄頁面做準備：/ipservicesethotspotport=80Setuphotspotprofiletomarkauthenticateduserswithflowname"hs-auth":/iphotspotprofilesetdefaultmark-flow="hs-auth"login-method=enabled-address3、增加一個用戶：/iphotspotuseraddname=user1password=14、重定向所有未授權用戶的tcp請求到hotspot服務/ipfirewalldst-nataddin-interface="ether2"flow="!hs-auth"protocol=tcpaction=redirect

to-dst-port=80comment="redirectunauthorizedclientstohotspotservice"5、允許dns請求、icmpping；拒絕其他未經認證的所有請求：/ipfirewalladdname=hotspot-tempcomment="limitunauthorizedhotspotclients"/ipfirewallruleforwardaddin-interface=ether2action=jumpjump-target=hotspot-tempcomment="limitaccessforunauthorizedhotspotclients"/ipfirewallruleinputaddin-interface=ether2dst-port=80protocol=tcpaction=acceptcomment="acceptrequestsforhotspotservlet"/ipfirewallruleinputaddin-interface=ether2dst-port=67protocol=udpaction=acceptcomment="acceptrequestsforlocalDHCPserver"/ipfirewallruleinputaddin-interface=ether2action=jumpjump-target=hotspot-tempcomment="limitaccessforunauthorizedhotspotclients"/ipfirewallrulehotspot-tempaddflow="hs-auth"action=returncomment="returnifconnectionisauthorized"/ipfirewallrulehotspot-tempaddprotocol=icmpaction=returncomment="allowpingrequests"/ipfirewallrulehotspot-tempaddprotocol=udpdst-port=53action=returncomment="allowdnsrequests"/ipfirewallrulehotspot-tempaddaction=rejectcomment="rejectaccessforunauthorizedclients"6、創(chuàng)建hotspot通道給認證后的hotspot用戶Createhotspotchainforauthorizedhotspotclients:/ipfirewalladdname=hotspotcomment="accountauthorizedhotspotclients"Passallthroughgoingtraffictohotspotchain:/ipfirewallruleforwardaddaction=jumpjump-target=hotspotcomment="accounttrafficforauthorizedhotspotclients"客戶機輸入任何網址，都自動跳轉到登陸頁面，輸入賬號密碼，繼續(xù)瀏覽。4.4設置防火墻規(guī)則RouterOS防火墻功能非常靈活。RouterOS防火墻屬于包過濾防火墻，可以自己定義一系列的規(guī)則過濾掉發(fā)往RouterOS、從RouterOS發(fā)出、通過RouterOS轉發(fā)的數據包。在RouterOS防火墻中定義了三個防火墻鏈（即input、forward、output），可以在這三個鏈當中定義自己的規(guī)則。input意思是指發(fā)往RouterOS自己的數據（也就是目的ip是RouterOS接口中的一個ip地址）；output意思是指從RouterOS發(fā)出去的數據（也就是數據包源ip是RouterOS接口中的一個ip地址）；forward意思是指通過RouterOS轉發(fā)的（比如你內部計算機訪問外部網絡，數據需要通過你的RouterOS進行轉發(fā)出去）。禁止pingRouterOS，需要在input鏈中添加規(guī)則，因為數據包是發(fā)給RouterOS的，數據包的目標ip是RouterOS的一個接口ip地址。在每條鏈中的每條規(guī)則都有目標ip，源ip，進入的接口，非常靈活的去建立規(guī)則。transferedthroughtheparticularconnection0的意思是無限的,例如connection-bytes=2000000-0意思是2MB以上HTBQOS流量質量控制/ipfirewallmangleaddchain=forwardp2p=all-p2paction=mark-connectionnew-connection-mark=p2p_connpassthrough=yescomment=""disabled=noaddchain=forwardconnection-mark=p2p_connaction=mark-packetnew-packet-mark=p2ppassthrough=yescomment=""disabled=noaddchain=forwardconnection-mark=!p2p_connaction=mark-packetnew-packet-mark=generalpassthrough=yescomment=""disabled=noaddchain=forwardpacket-size=32-512action=mark-packetnew-packet-mark=smallpassthrough=yescomment=""disabled=noaddchain=forwardpacket-size=512-1200action=mark-packetnew-packet-mark=bigpassthrough=yescomment=""disabled=no/queuetreeaddname="p2p1"parent=TELpacket-mark=p2plimit-at=2000000queue=defaultpriority=8max-limit=6000000burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="p2p2"parent=LANpacket-mark=p2plimit-at=2000000queue=defaultpriority=8max-limit=6000000burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="ClassA"parent=LANpacket-mark=""limit-at=0queue=defaultpriority=8max-limit=100000000burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="ClassB"parent=ClassApacket-mark=""limit-at=0queue=defaultpriority=8max-limit=0burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="Leaf1"parent=ClassApacket-mark=generallimit-at=0queue=defaultpriority=7max-limit=0burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="Leaf2"parent=ClassBpacket-mark=smalllimit-at=0queue=defaultpriority=5max-limit=0burst-limit=0burst-threshold=0burst-time=0sdisabled=noaddname="Leaf3"parent=ClassBpacket-mark=biglimit-at=0queue=defaultpriority=6max-limit=0burst-limit=0burst-threshold=0burst-time=0sdisabled=no設置丟棄非法連接數據/ipfirewallfilteraddchain=inputconnection-state=invalidaction=drop\comment="丟棄非法連接數據"disabled=no設置限制總http連接數為20addchain=inputprotocol=tcpdst-port=80connection-limit=20,0action=drop\comment="限制總http連接數為20"disabled=no設置探測并丟棄端口掃描連接addchain=inputprotocol=tcppsd=21,3s,3,1action=drop\comment="探測并丟棄端口掃描連接"disabled=no設置壓制DoS攻擊addchain=inputprotocol=tcpconnection-limit=3,32src-address-list=black_list\action=tarpitcomment="壓制DoS攻擊"disabled=no設置探測DoS攻擊addchain=inputprotocol=tcpconnection-limit=10,32\action=add-src-to-address-listaddress-list=black_list\address-list-timeout=1dcomment="探測DoS攻擊"disabled=no設置丟棄掉非本地數據addchain=inputdst-address-type=!localaction=dropcomment="丟棄掉非本地數據"\disabled=no設置跳轉到ICMP鏈表addchain=inputprotocol=icmpaction=jumpjump-target=ICMP\comment="跳轉到ICMP鏈表"disabled=no設置Ping應答限制為每秒5個包addchain=ICMPprotocol=icmpicmp-options=0:0-255limit=5,5action=accept\comment="Ping應答限制為每秒5個包"disabled=no設置Traceroute限制為每秒5個包addchain=ICMPprotocol=icmpicmp-options=3:3limit=5,5action=accept\comment="Traceroute限制為每秒5個包"disabled=no設置MTU線路探測限制為每秒5個包addchain=ICMPprotocol=icmpicmp-options=3:4limit=5,5action=accept\comment="MTU線路探測限制為每秒5個包"disabled=no設置Ping請求限制為每秒5個包addchain=ICMPprotocol=icmpicmp-options=8:0-255limit=5,5action=accept\comment="Ping請求限制為每秒5個包"disabled=no設置TraceTTL限制為每秒5個包addchain=ICMPprotocol=icmpicmp-options=11:0-255limit=5,5action=accept\comment="TraceTTL限制為每秒5個包"disabled=no設置丟棄掉任何ICMP數據addchain=ICMPprotocol=icmpaction=dropcomment="丟棄掉任何ICMP數據"\disabled=no設置丟棄非法數據包addchain=forwardconnection-state=invalidaction=drop\comment="丟棄非法數據包"disabled=no設置限制每個主機TCP連接數為80條addchain=forwardprotocol=tcpconnection-limit=80,32action=drop\comment="限制每個主機TCP連接數為80條"disabled=no設置丟棄掉所有非單播數據addchain=forwardsrc-address-type=!unicastaction=drop\comment="丟棄掉所有非單播數據"disabled=no設置禁止.dll文件通過addchain=forwardcontent=.dllaction=dropcomment="禁止.dll文件通過"\disabled=yes設置跳轉到ICMP鏈表addchain=forwardprotocol=icmpaction=jumpjump-target=ICMP\comment="跳轉到ICMP鏈表"disabled=no設置tcp鏈接目的端口為41的數據包丟掉addchain=virusprotocol=tcpdst-port=41action=drop\comment="DeepThroat.Trojan-1"disabled=noaddchain=forwardaction=acceptcomment="接受所有數據"disabled=no另：詳細防火墻規(guī)則配置見附錄一4.5進入普通用戶界面Winbox是基于windows下遠程管理RouterOS的軟件，提供直觀方便的圖形界面。用它能登陸防火墻，這個防火墻是由RouterOS制作的，用Winbox登陸后，就可以配置防火墻了，用這個軟件便于配置防火墻。Winbox控制臺使用TCP8291端口，在登陸到防火墻后可以通過Winbox控制臺操作MikroTik路由器的配置并執(zhí)行與本地控制臺同樣的任務。這樣，即便在字符界面下操作不是很熟練的人也能進行管理了。在局域網的另外一臺安裝有windows的計算機上，設定其ip地址為-53中的任意一個就行，然后掩碼輸入，網關設定為54圖4.8。圖4.8window主機網卡配置設定完成之后，就可以打開IE瀏覽器，在地址欄中輸入54就能訪問RouterOS服務器了圖4.9。圖4.9winbox下載點擊Winbox的圖標來下載winbox.exe程序，然后運行這個程序。在connectto中輸入我們的RouterOS服務器的地址54，用戶名中輸入admin，沒有設定密碼，所以密碼不輸入，為了便于以后進入服務器，按save按鈕保存此次設置圖4.10。圖4.10連接winbox進入winbox界面圖4.11。圖4.11進入winbox界面點擊winbox里的第一項Interfaces在彈出畫面里，可以看到我們已經建立的兩張網卡Wan和Lan圖4.12。圖4.12建立的兩張網卡設定公網網絡接口Wan。依次點擊ip/address,按“+”號，在interface中選擇公網接口Wan，輸入公網地址0等信息然后apply，接著OK就行了圖4.13。圖4.13圖形界面設定ip查看Routes和Ruls圖4.14。圖4.14Routes和Ruls4.6測試在RouterOS上面配置好防火墻規(guī)則后，我們對其功能進行測試。利用瘋狂Ping之攻擊器進行攻擊。安全圖4.15。圖4.15利用瘋狂Ping進行攻擊同時，我還利用幽幽DDoS攻擊器就行DDoS攻擊，利用ICMP洪水攻擊器進行ICMP攻擊，利用synFlood攻擊軟件進行syn攻擊，利用SafeWeb漏洞掃描系統(tǒng)就行漏洞掃描，利用VirEasyCH就行病毒掃描，利用ISAtrpeSSL端口開發(fā)工具就行掃描，都證明RouterOS作為中小企業(yè)防火墻是成功的。4.7總結中小企業(yè)中，利用RouterOS作為防火墻，在其系統(tǒng)提供的強大防護功能下，成功的偵測及阻擋了IP欺騙、源路由攻擊、DoS等網絡攻擊，并且有效的阻止了端口掃描、防SYNflood,UDPflood,ICMPflood,Smurf/Fraggle攻擊，分片報文攻擊等，為中小企業(yè)網絡提供了可靠的安全保障；根據其提供MAC和IP地址綁定功能，有效防范了ARP攻擊，并且監(jiān)視局域網內的ARP數據包，發(fā)現有攻擊自動報警。

參考文獻[1]《信息網絡安全概論》，周良洪編著，群眾出版社，2005.[2]《計算機安全技術及應用》，邵波編著，電子工業(yè)出版社，2005.[3]《信息安全管理教程》，主編：龐南，中國人民公安大學出版社，2007.[4]《計算機網絡安全技術》，蔡立軍編著，國水利水電出版社,2002.[5]《企業(yè)網絡安全》，蕭文龍編著，中國鐵道出版社，2001.[6]《黑客的攻擊手段及用戶對策》，余建斌編著，北京人民郵電出版社,2005.[7]《網絡安全與防火墻技術應用大全》，王睿林海波等,清華大學出版社，2000.[8]《防火墻技術大全》，[美]KeithE.StrassbergRichardJ.GondekGaryRollie，機械工業(yè)出版社，2003.[9]《Thereisnoloophole-InformationSecurityImplementationGuide》[美]MarkEgan,TimMather著，電子工業(yè)出版社，2006.

結束語網絡安全問題越來越引起世界各國的嚴密關注，隨著計算機網絡在人類生活各個領域的廣泛應用，不斷出現網絡被非法入侵，重要資料被竊取，網絡系統(tǒng)癱瘓等嚴重問題，網絡、應用程序的安全漏洞越來越多；各種病毒泛濫成災。這一切，已給各個國家以及眾多商業(yè)公司造成巨大的經濟損失，甚至危害到國家安全，加強網絡安全管理已刻不容緩。經過這段時間對畢業(yè)論文的設計，讓我了解到了網絡安全的重要性，防火墻在網絡安全的重要性，從對防火墻的研究，認識到了它在網絡中何其的重要，以前的對防火墻不甚了解，通過在讀書館，網上查資料等各種途徑去了解它，去認識它。使得我頭腦里本來對它模模糊糊的印象逐漸變得清晰。在做畢業(yè)設計的時候才發(fā)現，認真的，專心的去做著一件事，去學習這其中的知識，去感受這中間的過程原來是這么輕松，愉快的一件事，雖然我這個畢業(yè)設計做的并不完美，但這是我用心努力的成果。斷向前。

致謝四年的大學生活就快走入尾聲，我們的學生生活就要劃上句號，心中是無盡的難舍與眷戀。從這里走出，對我的人生來說，將是踏上一個新的征程，要把所學的知識應用到實際工作中去。回首四年，取得了些許成績，生活中有快樂也有艱辛。感謝老師們四年來對我孜孜不倦的教誨，對我成長的關心和愛護。學友情深，情同兄妹。四年的風風雨雨，我們一同走過，充滿著關愛，給我留下了值得珍藏的最美好的記憶。不積跬步何以至千里，本設計能夠順利的完成，要歸功于指導老師的認真負責，使我能夠很好的掌握和運用專業(yè)知識，并在設計中得以體現。正是有了他們的悉心幫助和支持，才使我的畢業(yè)論文工作順利完成，在此向寧夏理工學院，電氣信息工程學院網絡工程專業(yè)的全體老師表示由衷的謝意！在此要特別感謝我的導師X老師在我畢業(yè)的最后關頭給了我巨大的幫助與鼓勵,使我能夠順利完成畢業(yè)設計，在此表示衷心的感激。

附錄一/ipfirewallfilteraddchain=inputconnection-state=invalidaction=drop\comment="丟棄非法連接數據"disabled=noaddchain=inputprotocol=tcpdst-port=80connection-limit=20,0action=drop\comment="限制總http連接數為20"disabled=noaddchain=inputprotocol=tcppsd=21,3s,3,1action=drop\comment="探測并丟棄端口掃描連接"disabled=noaddchain=inputprotocol=tcpconnection-limit=3,32src-address-list=black_list\action=tarpitcomment="壓制DoS攻擊"disabled=noaddchain=inputprotocol=tcpconnection-limit=10,32\action=add-src-to-address-listaddress-list=black_list\address-list-timeout=1dcomment="探測DoS攻擊"disabled=noaddchain=inputdst-address-type=!localaction=dropcomment="丟棄掉非本地數據"\disabled=noaddchain=inputprotocol=icmpaction=jumpjump-target=ICMP\comment="跳轉到ICMP鏈表"disabled=noaddchain=ICMPprotocol=icmpicmp-options=0:0-255limit=5,5action=accept\comment="Ping應答限制為每秒5個包"disabled=noaddchain=ICMPprotocol=icmpicmp-options=3:3limit=5,5action=accept\comment="Traceroute限制為每秒5個包"disabled=noaddchain=ICMPprotocol=icmpicmp-options=3:4limit=5,5action=accept\comment="MTU線路探測限制為每秒5個包"disabled=noaddchain=ICMPprotocol=icmpicmp-options=8:0-255limit=5,5action=accept\comment="Ping請求限制為每秒5個包"disabled=noaddchain=ICMPprotocol=icmpicmp-options=11:0-255limit=5,5action=accept\comment="TraceTTL限制為每秒5個包"disabled=noaddchain=ICMPprotocol=icmpaction=dropcomment="丟棄掉任何ICMP數據"\disabled=noaddchain=forwardconnection-state=invalidaction=drop\comment="丟棄非法數據包"disabled=noaddchain=forwardprotocol=tcpconnection-limit=80,32action=drop\comment="限制每個主機TCP連接數為80條"disabled=noaddchain=forwardsrc-address-type=!unicastaction=drop\comment="丟棄掉所有非單播數據"disabled=noaddchain=forwardcontent=.exeaction=dropcomment="禁止.exe文件通過"\disabled=yesaddchain=forwardcontent=.dllaction=dropcomment="禁止.dll文件通過"\disabled=yesaddchain=forwardprotocol=icmpaction=jumpjump-target=ICMP\comment="跳轉到ICMP鏈表"disabled=noaddchain=forwardaction=jumpjump-target=viruscomment="跳轉到病毒鏈表"\disabled=noaddchain=virusprotocol=tcpdst-port=41action=drop\comment="DeepThroat.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=82action=drop\comment="Worm.NetSky.Y@mm"disabled=noaddchain=virusprotocol=tcpdst-port=113action=drop\comment="W32.Korgo.A/B/C/D/E/F-1"disabled=noaddchain=virusprotocol=tcpdst-port=2041action=drop\comment="W33.Korgo.A/B/C/D/E/F-2"disabled=noaddchain=virusprotocol=tcpdst-port=3150action=drop\comment="DeepThroat.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=3067action=drop\comment="W32.Korgo.A/B/C/D/E/F-3"disabled=noaddchain=virusprotocol=tcpdst-port=3422action=drop\comment="Backdoor.IRC.Aladdinz.R-1"disabled=noaddchain=virusprotocol=tcpdst-port=6667action=drop\comment="W32.Korgo.A/B/C/D/E/F-4"disabled=noaddchain=virusprotocol=tcpdst-port=6789action=drop\comment="Worm.NetSky.S/T/U@mm"disabled=noaddchain=virusprotocol=tcpdst-port=8787action=drop\comment="Back.Orifice.2000.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=8879action=drop\comment="Back.Orifice.2000.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=8967action=drop\comment="W32.Dabber.A/B-2"disabled=noaddchain=virusprotocol=tcpdst-port=9999action=drop\comment="W32.Dabber.A/B-3"disabled=noaddchain=virusprotocol=tcpdst-port=20034action=drop\comment="Block.NetBus.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=21554action=drop\comment="GirlFriend.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=31666action=drop\comment="Back.Orifice.2000.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=43958action=drop\comment="Backdoor.IRC.Aladdinz.R-2"disabled=noaddchain=virusprotocol=tcpdst-port=999action=drop\comment="DeepThroat.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=6670action=drop\comment="DeepThroat.Trojan-4"disabled=noaddchain=virusprotocol=tcpdst-port=6771action=drop\comment="DeepThroat.Trojan-5"disabled=noaddchain=virusprotocol=tcpdst-port=60000action=drop\comment="DeepThroat.Trojan-6"disabled=noaddchain=virusprotocol=tcpdst-port=2140action=drop\comment="DeepThroat.Trojan-7"disabled=noaddchain=virusprotocol=tcpdst-port=10067action=drop\comment="Portal.of.Doom.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=10167action=drop\comment="Portal.of.Doom.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=3700action=drop\comment="Portal.of.Doom.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=9872-9875action=drop\comment="Portal.of.Doom.Trojan-4"disabled=noaddchain=virusprotocol=tcpdst-port=6883action=drop\comment="Delta.Source.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=26274action=drop\comment="Delta.Source.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=4444action=drop\comment="Delta.Source.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=47262action=drop\comment="Delta.Source.Trojan-4"disabled=noaddchain=virusprotocol=tcpdst-port=3791action=drop\comment="Eclypse.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=3801action=drop\comment="Eclypse.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=65390action=drop\comment="Eclypse.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=5880-5882action=drop\comment="Y3K.RAT.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=5888-5889action=drop\comment="Y3K.RAT.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=30100-30103action=drop\comment="NetSphere.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=30133action=drop\comment="NetSphere.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=7300-7301action=drop\comment="NetMonitor.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=7306-7308action=drop\comment="NetMonitor.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=79action=drop\comment="FireHotcker.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=5031action=drop\comment="FireHotcker.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=5321action=drop\comment="FireHotcker.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=6400action=drop\comment="TheThing.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=7777action=drop\comment="TheThing.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=1047action=drop\comment="GateCrasher.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=6969-6970action=drop\comment="GateCrasher.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=2774action=dropcomment="SubSeven-1"\disabled=noaddchain=virusprotocol=tcpdst-port=27374action=dropcomment="SubSeven-2"\disabled=noaddchain=virusprotocol=tcpdst-port=1243action=dropcomment="SubSeven-3"\disabled=noaddchain=virusprotocol=tcpdst-port=1234action=dropcomment="SubSeven-4"\disabled=noaddchain=virusprotocol=tcpdst-port=6711-6713action=drop\comment="SubSeven-5"disabled=noaddchain=virusprotocol=tcpdst-port=16959action=dropcomment="SubSeven-7"\disabled=noaddchain=virusprotocol=tcpdst-port=25685-25686action=drop\comment="Moonpie.Trojan-1"disabled=noaddchain=virusprotocol=tcpdst-port=25982action=drop\comment="Moonpie.Trojan-2"disabled=noaddchain=virusprotocol=tcpdst-port=31337-31339action=drop\comment="NetSpy.Trojan-3"disabled=noaddchain=virusprotocol=tcpdst-port=8102action=dropcomment="Trojan"\disabled=noaddchain=virusprotocol=tcpdst-port=8011action=dropcomment="WAY.Trojan"\disabled=noaddchain=virusprotocol=tcpdst-port=7626action=dropcomment="Trojan.BingHe"\disabled=noaddchain=virusprotocol=tcpdst-por