防火墻的配置及應(yīng)用畢業(yè)論文

1、<p><b>　　畢 業(yè) 論 文</b></p><p><b>　　防火墻的配置及應(yīng)用</b></p><p>　　姓 名： </p><p>　　學(xué) 號： </p><p>　　指導(dǎo)老師： <

2、;/p><p>　　系 名： 電子信息工程系 </p><p>　　專 業(yè)： 計算機(jī)網(wǎng)絡(luò) </p><p>　　班 級： </p><p>　　二零一一年十一月二十五日</p><p><b>　　摘要</b></p>&

3、lt;p>　　本論文主要研究計算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)。論述了網(wǎng)絡(luò)防火墻安全技術(shù)的功能,主要技術(shù)，配置，安全措施和防火墻設(shè)計思路等。隨著計算機(jī)網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)安全問題越來越得到人們的重視。我們可以針對目前網(wǎng)絡(luò)安全的缺點和漏洞以及防火墻設(shè)置等，提出相應(yīng)措施，以期待我們的網(wǎng)絡(luò)能夠更加安全。在確保網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面，有數(shù)據(jù)加密技術(shù)，智能卡技術(shù)，防火墻技術(shù)等，我們在這里主要研究的是防火墻技術(shù)。從防火墻的防范方式和側(cè)重點的不同來看，防火

4、墻可以分為很多類型。然后介紹了防火墻兩種基本實現(xiàn)技術(shù)：分組過濾，應(yīng)用代理。防火墻技術(shù)還處在一個發(fā)展階段，扔有許多問題有待解決。</p><p><b>　　關(guān)鍵字</b></p><p>　　計算機(jī)網(wǎng)絡(luò)安全、防火墻、防范措施、分組過濾、代理、堡壘主機(jī)</p><p><b>　　Abstract</b></p>

5、<p>　　This thesis mainly study computer network security and firewall technology. On the network firewall security technology function, main technical, the configuration, safety measures and firewall design ideas,

6、 etc. With the popularization of computer network, the problem of network security is more and more get people's attention. We can according to the present network safety defects and loopholes and firewall Settings e

7、tc, and proposes the corresponding measures, as we look forward to the networ</p><p><b>　　keyword </b></p><p>　　Computer network security precautions packet filter firewall bastion h

8、ost agent </p><p><b>　　目錄</b></p><p><b>　　摘要2</b></p><p>　　Abstract3</p><p><b>　　前言5</b></p><p>　　第一章 防火墻的概論6</

9、p><p>　　1.1防火墻是什么6</p><p>　　2.1防火墻的分類6</p><p>　　2.1.1靜態(tài)包過濾防火墻：6</p><p>　　2.1.2動態(tài)包過濾防火墻：7</p><p>　　2.1.3 代理（應(yīng)用層網(wǎng)關(guān)）防火墻：7</p><p>　　2.1.4自適應(yīng)代理防火

10、墻：7</p><p>　　3.1防火墻功能概述8</p><p>　　4.1 防火墻主要技術(shù)特點：8</p><p>　　5.1 防火墻的發(fā)展歷程9</p><p>　　5.1.1基于路由器的防火墻9</p><p>　　5.1.2第一代防火墻產(chǎn)品的特點：9</p><p>　

11、　5.1.3第一代防火墻產(chǎn)品的不足之處9</p><p>　　5.1.4用戶化的防火墻工具套10</p><p>　　5.1.5作為第二代防火墻產(chǎn)品，用戶化的防火墻工具套具有以下特征：10</p><p>　　5.1.6第二代防火墻產(chǎn)品的缺點10</p><p>　　5.2 建立在通用操作系統(tǒng)上的防火墻11</p>

12、<p>　　5.2.1作系統(tǒng)上的防火墻的特點：11</p><p>　　5.2.2操作系統(tǒng)上的防火墻的缺點11</p><p>　　第二章 防火墻體系結(jié)構(gòu)13</p><p>　　1.1雙重宿主主機(jī)體系結(jié)構(gòu)13</p><p>　　1.2 屏蔽主機(jī)體系結(jié)構(gòu)13</p><p>　　1.3

13、 被屏蔽子網(wǎng)體系結(jié)構(gòu)14</p><p>　　第三章 防火墻的配置（硬件）17</p><p>　　1.1防火墻的配置17</p><p>　　1.1.1宿主機(jī)網(wǎng)關(guān)（Dual Homed Gateway）17</p><p>　　1.1.2屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway）17</p>&l

14、t;p>　　1.1.3屏蔽子網(wǎng)（Screened Subnet）18</p><p>　　1.2防火墻配置原理19</p><p>　　1.3防火墻配置步驟20</p><p>　　1.4 Cisco PIX配置21</p><p>　　第四章 瑞星個人防火墻的使用（軟件）26</p><p>　　

15、1.1瑞星個人防火墻的使用26</p><p><b>　　致謝32</b></p><p><b>　　參考文獻(xiàn)33</b></p><p><b>　　前言</b></p><p>　　科學(xué)技術(shù)的飛速發(fā)展，人們已經(jīng)生活在信息時代。計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)深入到社會的各個領(lǐng)

16、域，因特網(wǎng)把“地球村”的居民緊密地連在了一起。近年來因特網(wǎng)的飛速發(fā)展，給人們的生活帶來了全新地感受，人類社會各種活動對信息網(wǎng)絡(luò)地依賴程度已經(jīng)越來越大。然而，凡事“有利必有一弊”，人們在得益于信息所帶來的新的巨大機(jī)遇的同時，也不得不面對信息安全問題的嚴(yán)峻考驗?！昂诳凸簟本W(wǎng)站被“黑”，“CIH病毒”無時無刻不充斥在網(wǎng)絡(luò)中?！半娮討?zhàn)”已成為國與國之間，商家與商家之間的一種重要的攻擊與防衛(wèi)手段。因此信息安全，網(wǎng)絡(luò)安全的問題已經(jīng)引起各國，各部門

17、，各行各業(yè)以及每個計算機(jī)用戶的充分重視。</p><p>　　因特網(wǎng)提供給人們的不僅僅是精彩，還無時無刻地存在各種各樣的危險和陷阱。對此，我們既不能對那些潛在的危險不予重視，遭受不必要的損失；也不能因為害怕某些危險而拒絕因特網(wǎng)的各種有益的服務(wù)，對個人來說這樣會失去了了解世界、展示自己的場所，對企業(yè)來說還失去了拓展業(yè)務(wù)、提高服務(wù)、增強(qiáng)競爭力的機(jī)會。不斷地提高自身網(wǎng)絡(luò)的安全才是行之有效地辦法。</p>

18、<p>　　第一章 防火墻的概論 </p><p><b>　　1.1防火墻是什么</b></p><p>　　所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說法，它是一種計算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部

19、網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成，防火墻就是一個位于計算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件(其中硬件防火墻用的較少，例如國防部以及大型機(jī)房等地才用,因為它價格昂貴)。該計算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。</p><p><b>　　2.1防火墻的分類</b></p><p>　　從防火墻的防范方式和側(cè)重

20、點的不同來看，防火墻可以分為很多類型，但是根據(jù)防火墻對內(nèi)外來往數(shù)據(jù)處理方法，大致可將防火墻分為兩大體系：包過濾防火墻和代理防火墻。</p><p>　　包過濾防火墻經(jīng)歷了兩代：</p><p>　　2.1.1靜態(tài)包過濾防火墻：</p><p>　　靜態(tài)包過濾防火墻采用的是一個都不放過的原則。它會檢查所有通過信息包里的IP地址號，端口號及其它的包頭信息，并根據(jù)系統(tǒng)管理

21、員給定的過濾規(guī)則和準(zhǔn)備過濾的信息包一一匹配，其中：如果信息包中存在一點與過濾規(guī)則不符合，那么這個信息包里所有的信息都會被防火墻屏蔽掉，這個信息包就不會通過防火墻。相反的，如果每條規(guī)都和過濾規(guī)則相匹配，那么信息包就允許通過。靜態(tài)包的過濾原理就是：將信息分成若干個小數(shù)據(jù)片（數(shù)據(jù)包），確認(rèn)符合防火墻的包過濾規(guī)則后，把這些個小數(shù)據(jù)片按順序發(fā)送，接收到這些小數(shù)據(jù)片后再把它們組織成一個完整的信息這個就是包過濾的原理。這種靜態(tài)包過濾防火墻，對用戶是透

22、明的，它不需要用戶的用戶名和密碼就可以登錄，它的速度快，也易于維護(hù)。但由于用戶的使用記錄沒有記載，如果有不懷好意的人進(jìn)行攻擊的話，我們即不能從訪問記錄中得到它的攻擊記錄，也無法得知它的來源。而一個單純的包過濾的防火墻的防御能力是非常弱的，對于惡意的攻擊者來說是攻破它是非常容易的。其中“信息包沖擊”是攻擊者最常用的攻擊手段：主要是攻擊者對包過濾防火墻發(fā)出一系列地址被替換成一連串順序IP地址的信息包，一旦有一個包通過了防火墻，那么攻擊者停止

23、</p><p>　　2.1.2動態(tài)包過濾防火墻：</p><p>　　靜態(tài)包過濾防火墻的缺點，動態(tài)包過濾防火墻都可以避免。它采用的規(guī)則是發(fā)展為“包狀態(tài)檢測技術(shù)”的動態(tài)設(shè)置包過濾規(guī)則。它可以根據(jù)需要動態(tài)的在過濾原則中增加或更新條目，在這點上靜態(tài)防火墻是比不上它的，它主要對建立的每一個連接都進(jìn)行跟蹤。在這里我們了解的是代理防火墻。代理服務(wù)器型防火墻與包過濾防火墻不同之點在于，它的內(nèi)外網(wǎng)之間不

24、存在直接的連接，一般由兩部分組成：服務(wù)器端程序和客戶端程序，其中客戶端程序通過中間節(jié)點與提供服務(wù)的服務(wù)器連接。代理服務(wù)器型防火墻提供了日志和審記服務(wù)。</p><p>　　代理防火墻也經(jīng)歷了兩代：</p><p>　　2.1.3 代理（應(yīng)用層網(wǎng)關(guān)）防火墻：</p><p>　　這種防火墻被網(wǎng)絡(luò)安全專家認(rèn)為是最安全的防火墻，主要是因為從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻

25、處理后，就像是源于防火墻外部網(wǎng)卡一樣，可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。由于內(nèi)外網(wǎng)的計算機(jī)對話機(jī)會根本沒有，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。</p><p>　　2.1.4自適應(yīng)代理防火墻：</p><p>　　自適應(yīng)代理技術(shù)是商業(yè)應(yīng)用防火墻中實現(xiàn)的一種革命性技術(shù)。它結(jié)合了代理類型防火墻和包過濾防火墻的優(yōu)點，即保證了安全性又保持了高速度，同時它的性能也在代理防火墻的十倍以

26、上，在一般的情況下，用戶更傾向于這種防火墻。我們把兩種防火墻的優(yōu)缺點的對比用下列圖表的形式表示如下：</p><p>　　3.1防火墻功能概述</p><p>　　防火墻是一個保護(hù)裝置，它是一個或一組網(wǎng)絡(luò)設(shè)備裝置。通常是指運行特別編寫或更改過操作系統(tǒng)的計算機(jī)，它的目的就是保護(hù)內(nèi)部網(wǎng)的訪問安全。防火墻可以安裝在兩個組織結(jié)構(gòu)的內(nèi)部網(wǎng)與外部的Internet之間，同時在多個組織結(jié)構(gòu)的內(nèi)部網(wǎng)和In

27、ternet之間也會起到同樣的保護(hù)作用。它主要的保護(hù)就是加強(qiáng)外部Internet對內(nèi)部網(wǎng)的訪問控制，它主要任務(wù)是允許特別的連接通過，也可以阻止其它不允許的連接。防火墻只是網(wǎng)絡(luò)安全策略的一部分，它通過少數(shù)幾個良好的監(jiān)控位置來進(jìn)行內(nèi)部網(wǎng)與Internet的連接。</p><p>　　防火墻的核心功能主要是包過濾。其中入侵檢測，控管規(guī)則過濾，實時監(jiān)控及電子郵件過濾這些功能都是基于封包過濾技術(shù)的。</p>

28、<p>　　防火墻的主體功能歸納為以下幾點：</p><p>　　(1)根據(jù)應(yīng)用程序訪問規(guī)則可對應(yīng)用程序連網(wǎng)動作進(jìn)行過濾</p><p>　　(2)對應(yīng)用程序訪問規(guī)則具有自學(xué)習(xí)功能。</p><p>　　(3)可實時監(jiān)控，監(jiān)視網(wǎng)絡(luò)活動。</p><p>　　(4)具有日志，以記錄網(wǎng)絡(luò)訪問動作的詳細(xì)信息。</p><

29、;p>　　(5)被攔阻時能通過聲音或閃爍圖標(biāo)給用戶報警提示。</p><p>　　防火墻僅靠這些核心技術(shù)功能是遠(yuǎn)遠(yuǎn)不夠的。核心技術(shù)是基礎(chǔ),必須在這個</p><p>　　基礎(chǔ)之上加入輔助功能才能流暢的工作。而實現(xiàn)防火墻的核心功能是封包過濾。</p><p>　　4.1 防火墻主要技術(shù)特點：</p><p>　?。?）應(yīng)用層采用Winso

30、ck 2 SPI進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)控制、過濾；</p><p>　?。?）核心層采用NDIS HOOK進(jìn)行控制，尤其是在Windows 2000 下，此技術(shù)屬微軟未公開技術(shù)。</p><p>　　此防火墻還采用兩種封包過濾技術(shù)：一是應(yīng)用層封包過濾，采用Winsock 2 SPI ；二是核心層封包過濾，采用NDIS_HOOK。</p><p>　　Winsock 2 SPI

31、 工作在API之下、Driver之上，屬于應(yīng)用層的范疇。利用這項技術(shù)可以截獲所有的基于Socket的網(wǎng)絡(luò)通信。比如IE、OUTLOOK等常見的應(yīng)用程序都是使用Socket進(jìn)行通信。采用Winsock 2 SPI的優(yōu)點是非常明顯的：其工作在應(yīng)用層以DLL的形式存在，編程、測試方便；跨Windows 平臺，可以直接在Windows98/ME/NT/2000/XP 上通用，Windows95 只需安裝上Winsock 2 for 95，也可以

32、正常運行；效率高，由于工作在應(yīng)用層，CPU 占用率低；封包還沒有按照低層協(xié)議進(jìn)行切片，所以比較完整。而防火墻正是在TCP/IP協(xié)議在windows的基礎(chǔ)上才得以實現(xiàn)。</p><p>　　5.1 防火墻的發(fā)展歷程</p><p>　　5.1.1基于路由器的防火墻</p><p>　　由于多數(shù)路由器本身就包含有分組過濾功能，故網(wǎng)絡(luò)訪問控制可能通過路控制來實現(xiàn)，從而使

33、具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。</p><p>　　5.1.2第一代防火墻產(chǎn)品的特點：</p><p>　　（1）利用路由器本身對分組的解析，以訪問控制表(Access List)方式實現(xiàn)對分組的過濾；</p><p>　?。?）過濾判斷的依據(jù)可以是：地址、端口號、IP旗標(biāo)及其他網(wǎng)絡(luò)特征；</p><p>　?。?）只有

34、分組過濾的功能，且防火墻與路由器是一體的。這樣，對安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法，而對安全性要求高的網(wǎng)絡(luò)則需要單獨利用一臺路由器作為防火墻。</p><p>　　5.1.3第一代防火墻產(chǎn)品的不足之處</p><p><b>　　具體表現(xiàn)為：</b></p><p>　?。?）路由協(xié)議十分靈活，本身具有安全漏洞，外部網(wǎng)絡(luò)要

35、探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如，在使用FTP協(xié)議時，外部服務(wù)器容易從20號端口上與內(nèi)部網(wǎng)相連，即使在路由器上設(shè)置了過濾規(guī)則，內(nèi)部網(wǎng)絡(luò)的20號端口仍可以由外部探尋。</p><p>　?。?）路由器上分組過濾規(guī)則的設(shè)置和配置存在安全隱患。對路由器中過濾規(guī)則的設(shè)置和配置十分復(fù)雜，它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性，一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任，加之一旦出現(xiàn)新的協(xié)議，管理員就得加上更多的規(guī)則去限制

36、，這往往會帶來很多錯誤。</p><p>　?。?）路由器防火墻的最大隱患是：攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的，黑客(Hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。</p><p>　　路由器防火墻的本質(zhì)缺陷是：由于路由器的主要功能是為網(wǎng)絡(luò)訪問提供動態(tài)的、靈活的路由，而防火墻則要對訪問行為實施靜態(tài)的、固定的控制，這是一對難以調(diào)和的矛盾，防火墻的規(guī)則設(shè)置

37、會大大降低路由器的性能。</p><p>　　可以說基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施，用這種權(quán)宜之計去對付黑客的攻擊是十分危險的。</p><p>　　5.1.4用戶化的防火墻工具套</p><p>　　為了彌補路由器防火墻的不足，很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護(hù)自己的網(wǎng)絡(luò)，從而推動了用戶防火墻工具套的出現(xiàn)。</p>

38、;<p>　　5.1.5作為第二代防火墻產(chǎn)品，用戶化的防火墻工具套具有以下特征：</p><p>　　（1）將過濾功能從路由器中獨立出來，并加上審計和告警功能；</p><p>　?。?）針對用戶需求，提供模塊化的軟件包；</p><p>　?。?）軟件可以通過網(wǎng)絡(luò)發(fā)送，用戶可以自己動手構(gòu)造防火墻；</p><p>　　

39、（4）與第一代防火墻相比，安全性提高了，價格也降低了。</p><p>　　5.1.6第二代防火墻產(chǎn)品的缺點</p><p>　?。?）無論在實現(xiàn)上還是在維護(hù)上都對系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求，</p><p>　?。?）配置和維護(hù)過程復(fù)雜、費時；</p><p>　?。?）對用戶的技術(shù)要求高；</p><p>

40、;　?。?）全軟件實現(xiàn)，使用中出現(xiàn)差錯的情況很多。</p><p>　　5.2 建立在通用操作系統(tǒng)上的防火墻</p><p>　　基于軟件的防火墻在銷售、使用和維護(hù)上的問題迫使防火墻開發(fā)商很快推出了建立在通用操</p><p>　　作系統(tǒng)上的商用防火墻產(chǎn)品。</p><p>　　5.2.1作系統(tǒng)上的防火墻的特點：</p>

41、<p>　?。?）是批量上市的專用防火墻產(chǎn)品；</p><p>　?。?）包括分組過濾或者借用路由器的分組過濾功能；</p><p>　?。?）裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；</p><p>　?。?）保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置；</p><p>　?。?）安全性和速度大大提高。</p

42、><p>　　第三代防火墻有以純軟件實現(xiàn)的，也有以硬件方式實現(xiàn)的，它們已經(jīng)得到了廣大用戶的認(rèn)同。但隨著安全需求的變化和使用時間的推延，仍表現(xiàn)出不少問題。</p><p>　　5.2.2操作系統(tǒng)上的防火墻的缺點</p><p>　?。?）作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知，由于源碼的保密，其安全性無從保證；</p><p>　

43、　（2）由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商，通用操作系統(tǒng)廠商不會對操作系統(tǒng)的安全性負(fù)責(zé)；</p><p>　?。?）從本質(zhì)上看，第三代防火墻既要防止來自外部網(wǎng)絡(luò)的攻擊，還要防止來自操作系統(tǒng)廠商的攻擊；</p><p>　?。?）在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級網(wǎng)關(guān)且具有加密鑒別功能；</p><p>　　（5）透明性好，易于使用。</p

44、><p>　　第二章 防火墻體系結(jié)構(gòu) </p><p>　　1.1雙重宿主主機(jī)體系結(jié)構(gòu)</p><p>　　雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主機(jī)計算機(jī)而構(gòu)筑的，該計算機(jī)至少有兩個網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器；它能夠從一個網(wǎng)絡(luò)到另一個網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。然而，實現(xiàn)雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能。因而，IP數(shù)據(jù)包從一個

45、網(wǎng)絡(luò)（例如，因特網(wǎng)）并不是直接發(fā)送到其他網(wǎng)絡(luò)（例如，內(nèi)部的、被保護(hù)的網(wǎng)絡(luò)）。防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機(jī)通信，同時防火墻外部的系統(tǒng)（在因特網(wǎng)上）能與雙重宿主主機(jī)通信，但是這些系統(tǒng)不能直接互相通信。它們之間的IP通信被完全阻止?！　‰p重宿主主機(jī)的防火墻體系結(jié)構(gòu)是相當(dāng)簡單的：雙重宿主主機(jī)位于兩者之間，并且被連接到因特網(wǎng)和內(nèi)部的網(wǎng)絡(luò)，如圖2.1所示。</p><p>　　圖2.1雙重宿主主機(jī)體系結(jié)構(gòu)</p&

46、gt;<p>　　1.2 屏蔽主機(jī)體系結(jié)構(gòu)</p><p>　　雙重宿主主機(jī)體系結(jié)構(gòu)提供來自與多個網(wǎng)絡(luò)相連的主機(jī)的服務(wù)(但是路由關(guān)閉),而被屏蔽主機(jī)體系結(jié)構(gòu)使用一個單獨的路由器提供來自僅僅與內(nèi)部的網(wǎng)絡(luò)相連的主機(jī)的服務(wù)。在這種體系結(jié)構(gòu)中,主要的安全由數(shù)據(jù)包過濾，其結(jié)構(gòu)如圖2.2所示。</p><p>　　圖2.2屏蔽主機(jī)體系結(jié)構(gòu)</p><p>　　在屏

47、蔽的路由器上的數(shù)據(jù)包過濾是按這樣一種方法設(shè)置的: 堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)的橋梁（例如，傳送進(jìn)來的電子郵件）。即使這樣，也僅有某些確定類型的連接被允許。任何外部的系統(tǒng)試圖訪問內(nèi)部的系統(tǒng)或服務(wù)將必須連接到這臺堡壘主機(jī)上。因此，堡壘主機(jī)需要擁有高等級的安全?！　?shù)據(jù)包過濾也允許堡壘主機(jī)開放可允許的連接（什么是“可允許”將由用戶的站點的安全策略決定）到外部世界。在屏蔽的路由器中數(shù)據(jù)包過濾配置可以按下列之一執(zhí)行：　　

48、（1）允許其他的內(nèi)部主機(jī)為了某些服務(wù)與因特網(wǎng)上的主機(jī)連接（即允許那些已經(jīng)由數(shù)據(jù)包過濾的服務(wù)）?！　。?）不允許來自內(nèi)部主機(jī)的所有連接（強(qiáng)迫那些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù)）?！　∮脩艨梢葬槍Σ煌姆?wù)混合使用這些手段；某些服務(wù)可以被允許直接經(jīng)由數(shù)據(jù)包過濾，而其他服務(wù)可以被允許僅僅間接地經(jīng)過代理。這完全取決于用戶實行的安全策略?！　∫驗檫@種體系結(jié)構(gòu)允許數(shù)據(jù)包從因特網(wǎng)向內(nèi)部網(wǎng)的移動，所以它的設(shè)計比沒有外部數(shù)據(jù)包能到達(dá)內(nèi)部網(wǎng)絡(luò)的雙重宿主

49、主機(jī)體系結(jié)構(gòu)似乎是更冒風(fēng)險。實際上，雙重宿主主機(jī)體系結(jié)構(gòu)在防備數(shù)據(jù)包從外部網(wǎng)絡(luò)穿過內(nèi)部的網(wǎng)絡(luò)也容易產(chǎn)生失敗（因為這種</p><p>　　1.3 被屏蔽子網(wǎng)體系結(jié)構(gòu)</p><p>　　被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（通常是Internet）隔離開?！　”黄帘巫泳W(wǎng)體系結(jié)構(gòu)的最簡單的形式為：兩個屏蔽路由器，每一個都連

50、接到周邊網(wǎng)。一個位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個位于周邊網(wǎng)與外部網(wǎng)絡(luò)（通常為Internet）之間。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個“隔離帶”。為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機(jī)，它將仍然必須通過內(nèi)部路由器，如圖2.3所示。</p><p>　　圖2.3被屏蔽子網(wǎng)體系結(jié)構(gòu)　</p><p>　　對圖的要點說明如下：　　 （1）

51、周邊網(wǎng)絡(luò)　　周邊網(wǎng)絡(luò)是另一個安全層,是在外部網(wǎng)絡(luò)與用戶的被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間的附加的網(wǎng)絡(luò)。如果侵襲者成功地侵入用戶的防火墻的外層領(lǐng)域，周邊網(wǎng)絡(luò)在那個侵襲者與用戶的內(nèi)部系統(tǒng)之間提供一個附加的保護(hù)層。　　對于周邊網(wǎng)絡(luò)的作用，舉例說明如下。在許多網(wǎng)絡(luò)設(shè)置中，用給定網(wǎng)絡(luò)上的任何機(jī)器來查看這個網(wǎng)絡(luò)上的每一臺機(jī)器的通信是可能的，對大多數(shù)以太網(wǎng)為基礎(chǔ)的網(wǎng)絡(luò)確實如此（而且以太網(wǎng)是當(dāng)今使用最廣泛的局域網(wǎng)技術(shù)）；對若干其他成熟的技術(shù)，諸如令牌環(huán)和FDD

52、I也是如此。探聽者可以通過查看那些在Telnet、FTP以及Rlogin會話期間使用過的口令成功地探測出口令。即使口令沒被攻破，探聽者仍然能偷看或訪問他人的敏感文件的內(nèi)容，或閱讀他們感興趣的電子郵件等；探聽者能完全監(jiān)視何人在使用網(wǎng)絡(luò)。　　對于周邊網(wǎng)絡(luò)，如果某人侵入周邊網(wǎng)上的堡壘主機(jī)，他僅能探聽到周邊網(wǎng)上的通信。因為所有周邊網(wǎng)上的通信來自或通往堡壘主機(jī)或Internet?！　∫驗闆]有嚴(yán)格的內(nèi)部通信（即在兩臺內(nèi)部主機(jī)之間的通信，這通常是

53、敏感的或?qū)Ｓ械模┠茉竭^周邊網(wǎng)。所以，如果堡壘主機(jī)被損害，內(nèi)部的通信仍將是安全的?！?lt;/p><p>　?。?）堡壘主機(jī)　　在屏蔽的子網(wǎng)體系結(jié)構(gòu)中，用戶把堡壘主機(jī)連接到周邊網(wǎng)；這臺主機(jī)便是接受來自外界連接的主要入口。例如：　　1對于進(jìn)來的電子郵件（SMTP）會話，傳送電子郵件到站點?！　?對于進(jìn)來的FTP連接，轉(zhuǎn)接到站點的匿名FTP服務(wù)器。　　3對于進(jìn)來的域名服務(wù)（DNS）站點查詢等?！　×硗?，其出站服

54、務(wù)（從內(nèi)部的客戶端到在Internet上的服務(wù)器）按如下任一方法處理：　　1在外部和內(nèi)部的路由器上設(shè)置數(shù)據(jù)包過濾來允許內(nèi)部的客戶端直接訪問外部的服務(wù)器。　　2設(shè)置代理服務(wù)器在堡壘主機(jī)上運行（如果用戶的防火墻使用代理軟件）來允許內(nèi)部的客戶端間接地訪問外部的服務(wù)器。用戶也可以設(shè)置數(shù)據(jù)包過濾來允許內(nèi)部的客戶端在堡壘主機(jī)上同代理服務(wù)器交談，反之亦然。但是禁止內(nèi)部的客戶端與外部世界之間直接通信（即撥號入網(wǎng)方式）。　?。?）內(nèi)部路由器　　內(nèi)

55、部路由器（在有關(guān)防火墻著作中有時被稱為阻塞路由器）保護(hù)內(nèi)部的網(wǎng)絡(luò)使之免受Internet和周邊網(wǎng)的侵犯?！　?nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作。它允許從內(nèi)部網(wǎng)到Internet的有選擇的出站服務(wù)。這些服務(wù)是用戶的站點能使用數(shù)據(jù)包過濾</p><p>　　（4）外部路由器　　在理論上，外部路由器（在有關(guān)防火墻著作中有時被稱為訪問路由器）保護(hù)周邊網(wǎng)和內(nèi)部網(wǎng)使之免受來自Internet的侵犯。實際上

56、，外部路由器傾向于允許幾乎任何東西從周邊網(wǎng)出站，并且它們通常只執(zhí)行非常少的數(shù)據(jù)包過濾。保護(hù)內(nèi)部機(jī)器的數(shù)據(jù)包過濾規(guī)則在內(nèi)部路由器和外部路由器上基本上應(yīng)該是一樣的；如果在規(guī)則中有允許侵襲者訪問的錯誤，錯誤就可能出現(xiàn)在兩個路由器上。　　一般地，外部路由器由外部群組提供（例如，用戶的Internet供應(yīng)商），同時用戶對它的訪問被限制。外部群組可能愿意放入一些通用型數(shù)據(jù)包過濾規(guī)則來維護(hù)路由器，但是不愿意使維護(hù)復(fù)雜或使用頻繁變化的規(guī)則組?！　⊥?/p>

57、部路由器實際上需要做什么呢？外部路由器能有效地執(zhí)行的安全任務(wù)之一（通常別的任何地方不容易做的任務(wù)）是：阻止從Internet上偽造源地址進(jìn)來的任何數(shù)據(jù)包。這樣的數(shù)據(jù)包自稱來自內(nèi)部的網(wǎng)絡(luò)，但實際上是來自Internet。</p><p>　　第三章 防火墻的配置（硬件）</p><p>　　1.1防火墻的配置 </p><p>　　目前比較流行的有以下三種防火墻配

58、置方案。 </p><p>　　1.1.1宿主機(jī)網(wǎng)關(guān)（Dual Homed Gateway） </p><p>　　這種配置是用一臺裝有兩個網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。雙宿主機(jī)用兩個網(wǎng)絡(luò)適配器分別連接兩個網(wǎng)絡(luò)，又稱堡壘主機(jī)。 </p><p>　　堡壘主機(jī)上運行著防火墻軟件（通常是代理服務(wù)器），可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機(jī)網(wǎng)關(guān)有一個致命弱點， <

59、;/p><p>　　一旦入侵者侵入堡壘主機(jī)并使該主機(jī)只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問有保護(hù)的內(nèi)部網(wǎng)絡(luò)（如圖3.1）。</p><p>　　圖3.1 雙宿主機(jī)網(wǎng)關(guān)</p><p>　　1.1.2屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway） </p><p>　　屏蔽主機(jī)網(wǎng)關(guān)易于實現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘

60、主機(jī)和雙宿堡壘主機(jī)兩種類型。先來看單宿堡壘主機(jī)類型。 </p><p>　　一個包過濾路由器連接外部網(wǎng)絡(luò)，同時一個堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機(jī)只有一個網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接（如圖3.2）。通常在路由器上設(shè)立過濾規(guī)則，并使這個單宿堡壘主機(jī)成為從Internet惟一可以訪問的主機(jī)，確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而Intranet內(nèi)部的客戶機(jī)，可以受控制地通過屏蔽主機(jī)和路由器訪問Internet。&l

61、t;/p><p>　　圖3.2 屏蔽主機(jī)網(wǎng)關(guān)（單宿堡壘主機(jī)）</p><p>　　雙宿堡壘主機(jī)型與單宿堡壘主機(jī)型的區(qū)別是，堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接包過濾路由器（如圖3.3）。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。</p><p>　　圖3.3 屏蔽主機(jī)網(wǎng)關(guān)（雙宿堡壘主機(jī)）</p><p>　　1.1.3屏蔽

62、子網(wǎng)（Screened Subnet） </p><p>　　這種方法是在Intranet和Internet之間建立一個被隔離的子網(wǎng)，用兩個包過濾路由器將這一子網(wǎng)分別與Intranet和Internet分開。兩個包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個“緩沖地帶”（如圖3.4），兩個路由器一個控制Intranet 數(shù)據(jù)流，另一個控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問屏蔽子網(wǎng)，

63、但禁止它們穿過屏蔽子網(wǎng)通信?？筛鶕?jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問提供代理服務(wù)， </p><p>　　但是來自兩網(wǎng)絡(luò)的訪問都必須通過兩個包過濾路由器的檢查。對于向Internet公開的服務(wù)器，像WWW、FTP、Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無論是外部用戶，還是內(nèi)部用戶都可訪問。 </p><p>　　這種結(jié)構(gòu)的防火墻安全性能高，具有

64、很強(qiáng)的抗攻擊能力，但需要的設(shè)備多，造價高。</p><p>　　圖3.4 屏蔽子網(wǎng)防火墻</p><p>　　當(dāng)然，防火墻本身也有其局限性，如不能防范繞過防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸；難以避免來自內(nèi)部的攻擊等等。總之，防火墻只是一種整體安全防范策略的一部分，僅有防火墻是不夠的，安全策略還必須包括全面的安全準(zhǔn)則，即網(wǎng)絡(luò)訪問、本地和遠(yuǎn)程用戶認(rèn)證、撥出撥入呼

65、叫、磁盤和數(shù)據(jù)加密以及病毒防護(hù)等有關(guān)的安全策略。</p><p>　　1.2防火墻配置原理</p><p>　　防火墻通常有3個接口，分別連接3個網(wǎng)絡(luò)：</p><p>　　內(nèi)部區(qū)域（內(nèi)網(wǎng)）：內(nèi)部區(qū)域通常就是指企業(yè)內(nèi)部網(wǎng)絡(luò)或者是企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分。它是互連網(wǎng)絡(luò)的信任區(qū)域，即收到了防火墻的保護(hù)。</p><p>　　外部區(qū)域（外網(wǎng)）：外部區(qū)域

66、內(nèi)部區(qū)域的主機(jī)和服務(wù)，通過防火墻，就可以實現(xiàn)有限的訪問。</p><p>　　?；饏^(qū)（DMZ）：?；饏^(qū)是一個隔離的網(wǎng)絡(luò)，或幾個網(wǎng)絡(luò)。位于停火區(qū)中的主機(jī)或服務(wù)器被稱為為堡壘主機(jī)。一般在?；饏^(qū)內(nèi)可以放置Web服務(wù)器，Mail服務(wù)器等。停火區(qū)對于外部用戶通常是可以訪問的，這種方式讓外部用戶可以訪問企業(yè)的公開信息，但卻不允許他們訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。</p><p>　　配置PIX防火墻有6個基本命令

67、：nameif,interface,ip address,nat,global,route.</p><p>　　這些命令在配置PIX時是必須的。以下是配置的基本歩驟：</p><p>　　配置防火墻接口的名字，并指定安全級別（nameif）。</p><p>　　Pixfirewall (config)#nameif ethernet0 outside se

68、curity0</p><p>　　Pixfirewall (config)#nameif ethernet1 inside securyty100</p><p>　　Pixfirewall (config)#nameif dmz security50</p><p>　　提示：在缺省配置中，以太網(wǎng)0被命名為外部接口（outside）,安全級別是0;

69、以太網(wǎng)1被命名為內(nèi)部接口（inside）,安全級別是100，安全級別取值范圍為1~99，數(shù)字越大安全級別越高。若添加新的接口，語句可以這樣寫：</p><p>　　Pixfirewall (config)#nameif pix/intf3 security40(安全級別任取)</p><p>　　配置以太口參數(shù)（interface）</p><p>　　Pixfi

70、rewall (config)#interface ethernet0 aut0 (auto 選項表明系統(tǒng)自適應(yīng)網(wǎng)卡類型)</p><p>　　Pixfirewall (config)#interface ethernet1 100full (shutdiwn 選項表示關(guān)閉這個接口，若啟用接口去掉shutdown)</p><p>　　配置內(nèi)外網(wǎng)卡的IP地址（ip addr

71、ess）</p><p>　　Pixfirewall (config)#ip address outside 1.1.1.1 255.0.0.0</p><p>　　Pixfirewall (config)#ip address inside 10.1.1.1 255.0.0.0</p><p>　　Pix防火墻在外網(wǎng)的IP地址是1.1.1.1，內(nèi)網(wǎng)IP地址

72、是10.1.1.1</p><p>　　進(jìn)行轉(zhuǎn)換的內(nèi)部地址（nat）</p><p>　　網(wǎng)絡(luò)地址翻譯（nat）作用是將內(nèi)網(wǎng)的私有ip轉(zhuǎn)換為外網(wǎng)的公有IP。Nat命令總是與glibal命令一起使用，這是因為nat命令可以指定一臺主機(jī)或一段范圍的主機(jī)訪問外網(wǎng)，訪問外網(wǎng)時需要利用global所指定的地址池進(jìn)行對外訪問。</p><p>　　Nat命令配置語法：</

73、p><p>　　Nat(if_name) nat_id local_ip [netmark]</p><p>　　其中（if_name）表示內(nèi)網(wǎng)接口名字，例如inside.nat_id用來標(biāo)識全局地址池，使它與其相應(yīng)的global命令相匹配，local_ip表示內(nèi)網(wǎng)被分配的IP地址。例如0.0.0.0表示內(nèi)網(wǎng)所有主機(jī)可以對外訪問。[netmark]表示內(nèi)網(wǎng)ip地址的子網(wǎng)掩碼。</p>

74、;<p>　　例1.pixfirewall(config)#nat (inside) 1 0 0</p><p>　　表示啟用nat,內(nèi)網(wǎng)的所有主機(jī)都可以訪問外網(wǎng)，用0可以代表0.0.0.0</p><p>　　例2.pixfirewall(config)#nat (inside) 1 172.16.5.0 255.255.0.0</p><p&g

75、t;　　表示只有172.16.5.0這個網(wǎng)段內(nèi)的主機(jī)可以訪問外網(wǎng)。</p><p>　　5.指定外部地址范圍（global） global命令把內(nèi)網(wǎng)的IP地址翻譯成外網(wǎng)的IP地址或一段地址范圍。</p><p>　　Global 命令的配置語法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]<

76、/p><p>　　其中(if_name)表示外網(wǎng)接口名字，例如outside.nat_id用來標(biāo)識全局地址池，使它與其相應(yīng)的nat命令相匹配，ip_address-ip_address 表示翻譯后的單個ip地址或一段ip地址范圍。[netmark global_mask]表示全局ip地址的網(wǎng)絡(luò)掩碼。</p><p>　　例1.pixfirewall（config）#global(outside

77、) 1 61.144.51.42-61.144.51.48</p><p>　　表示內(nèi)網(wǎng)的主機(jī)通過pix防火墻要訪問外網(wǎng)時，pix防火墻將使用61.144.51.42-61.144.51.48這段ip地址池為要訪問外網(wǎng)的主機(jī)分配一個全局ip地址。</p><p>　　例2.pixfirewall(config)#global(outside) 1 61.144.51.42 表示內(nèi)網(wǎng)要訪問外

78、網(wǎng)時，pix防火墻將為訪問外網(wǎng)的所有主機(jī)統(tǒng)一使用61.144.51.42 這個單一ip地址。</p><p>　　例3.pixfirewall（config）#no global (outside) 1 61.144.51.42表示刪除這個全局表項。</p><p>　　設(shè)置指向內(nèi)網(wǎng)和外網(wǎng)的靜態(tài)路由（route）定義一條靜態(tài)路由。</p><p>　　Route命

79、令配置語法：route(if_name) 0 0 gateway_ip[metric]</p><p>　　其中（if_name）表示接口名字，例如inside，outside。Gateway_ip表示網(wǎng)關(guān)路由器的ip地址。[metric]表示到gateway_ip的跳數(shù)。通常缺省是1.</p><p>　　例1.pixfirewall(config)#route outside 0 0

80、 61.144.51.168 1</p><p>　　表示一條指向邊界路由器（ip地址61.144.51.168）的缺省路由。</p><p>　　例2.pixfirewall(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.0 1</p><p>　　Pixfirewall(config)#route in

81、side 10.2.0.0 255.255.0.0 172.16.0.0 1</p><p>　　1.3防火墻配置步驟 </p><p>　　防火墻接口名字，并指定安全級別</p><p>　　Pixfirewall (config)#nameif ethernetl outside security0</p><p>　　Pixf

82、irewall (config)#nameif ethernet0 inside security100是10.0.0.0，子網(wǎng)掩碼為255.0.0.0.PIX防火墻的內(nèi)部IP地址是10.1.1.1.Pixfirewall（config）# ip add inside 10.1.1.1 255.0.0.0</p><p>　　網(wǎng)絡(luò)是1.1.1.0，子網(wǎng)掩碼為255.0.0.0，PIX防火墻的外部

83、IP地址是1.1.1.1 Pixfirewall(config)# ip add outside 1.1.1.1 255.0.0.0</p><p>　　火墻上配置地址轉(zhuǎn)換，使內(nèi)部PC機(jī)使用IP地址1.1.1.3訪問外部網(wǎng)絡(luò)。</p><p>　　Pixfirewall(config)# nat (inside) 1 10.0.0.0 255.0.0.0</p&g

84、t;<p>　　Pixfirewall(config)# global (outside) 1 10.0.0.0 255.0.0.0</p><p>　　外部網(wǎng)絡(luò)的默認(rèn)路由是1.1.1.254.</p><p>　　Pixfirewall(config)# route outside 0 0 1.1.1.254 1絡(luò)上的計算機(jī)只能訪問內(nèi)部網(wǎng)絡(luò)FT

85、P服務(wù)。</p><p>　　Pixfirewall(config)# conduit permit tcp any eq ftp any</p><p>　　1.1.0網(wǎng)段的電腦telnet到防火墻上。</p><p>　　Pixfirewall(config)# telnet 1.1.1.0 255.0.0.0</p><p

86、>　　1.4 Cisco PIX配置</p><p>　　硬件防火墻，是網(wǎng)絡(luò)間的墻，防止非法侵入，過濾信息等，從結(jié)構(gòu)上講，簡單地說是一種PC式的電腦主機(jī)加上閃存（Flash）和防火墻操作系統(tǒng)。它的硬件跟共控機(jī)差不多，都是屬于能適合24小時工作的，外觀造型也是相類似。閃存基本上跟路由器一樣，都是那中EEPROM，操作系統(tǒng)跟Cisco IOS相似,都是命令行（Command）式?！　　　∠旅媸欠阑饓?/p>

87、配置　　1、建立用戶和修改密碼　　跟Cisco IOS路由器基本一樣?！　?、激活以太端口　　必須用enable進(jìn)入，然后進(jìn)入configure模式　　PIX525>enable　　Password:　　PIX525#config t　　PIX525(config)#interface ethernet0 auto　　PIX525(config)#interface ethernet1 auto

88、　　在默然情況下ethernet0是屬外部網(wǎng)卡outside, ethernet1是屬內(nèi)部網(wǎng)卡inside, inside在初始化配置成功的情況下已經(jīng)被激活生效了，但是outside必須命令配置激活?！　?</p><p>　　第四章 瑞星個人防火墻的使用（軟件）</p><p>　　1.1瑞星個人防火墻的使用</p><p>　　個人版的防火墻安裝在個

89、人用戶的PC系統(tǒng)上，用于保護(hù)個人系統(tǒng)，在不防礙用戶正常上網(wǎng)的同時，能夠阻止Internet上的其他用戶對計算機(jī)系統(tǒng)進(jìn)行非法訪問。國內(nèi)外的個人版防火墻有很多品牌，如瑞星、金山網(wǎng)鏢、天網(wǎng)、卡巴斯基等。不同品牌的功能大致相同，下面以瑞星個人防火墻為例進(jìn)行介紹。</p><p>　　一、瑞星個人防火墻的應(yīng)用</p><p>　　1）安裝　　第一步啟動安裝程序。</p><p&

90、gt;　　當(dāng)把瑞星個人防火墻下載版安裝程序保存到您電腦中的指定目錄后，找到該目錄，雙擊運行安裝程序，就可以進(jìn)行瑞星個人防火墻下載版的安裝了。　　第二步完成安裝后，如圖4.1：</p><p><b>　　圖4.1</b></p><p>　　第三步輸入產(chǎn)品序列號和用戶ID。</p><p>　　啟動個人防火墻，當(dāng)出現(xiàn)如圖4.2下所示的窗口后，

91、在相應(yīng)位置輸入您購買獲得的產(chǎn)品序列號和用戶ID，點擊“確定”，通過驗證后則會提示“您的瑞星個人防火墻現(xiàn)在可以正常使用”。</p><p><b>　　圖4.2</b></p><p>　　常見問題：不輸入產(chǎn)品序列號和用戶ID，產(chǎn)品將無法升級，防火墻保護(hù)功能將全部失效，您的計算機(jī)將無法抵御黑客攻擊。</p><p>　　2升級第一步網(wǎng)絡(luò)配置：&

92、lt;/p><p><b>　　?打開防火墻主程序</b></p><p>　　?在菜單中依次選擇【設(shè)置】/【設(shè)置網(wǎng)絡(luò)】，打開【網(wǎng)絡(luò)設(shè)置】窗口,如圖4.3</p><p><b>　　圖4.3</b></p><p>　　1.設(shè)定網(wǎng)絡(luò)連接方式，如果設(shè)定“通過代理服務(wù)器訪問網(wǎng)絡(luò)”，還需要輸入代理服務(wù)器IP

93、、端口、身份驗證信息。</p><p>　　2.您可以選中【使用安全升級模式】，確保升級期間阻止新的網(wǎng)絡(luò)連接</p><p>　　3.點擊【確定】按鈕完成設(shè)置　</p><p>　　小提示：　　1.如果您已經(jīng)可以瀏覽網(wǎng)頁，說明網(wǎng)絡(luò)設(shè)置已經(jīng)配置好了，這里直接使用默認(rèn)設(shè)置即可。　　2.如果您不使用撥號方式上網(wǎng)，將不會看到界面中【使用撥號網(wǎng)絡(luò)連接】的選項以及相關(guān)設(shè)置。

94、　　3。請確保此步設(shè)置正確，否則可能無法完成智能升級。　　第二步：智能升級　　完成網(wǎng)絡(luò)配置后，進(jìn)行智能升級的操作方法：　　方法一：點擊主界面右側(cè)的【智能升級】按鈕，圖4.4示:　　</p><p><b>　　圖4.4</b></p><p>　　方法二：在菜單中依次選擇【操作】/【智能升級】</p><p>　　方法三：右鍵點擊防火

95、墻托盤圖標(biāo)，在彈出菜單中選擇【啟動智能升級】</p><p>　　3啟動瑞星個人防火墻下載版程序</p><p>　　啟動瑞星個人防火墻軟件主程序有三種方法：</p><p>　　方法一：進(jìn)入【開始】/【所有程序】/【瑞星個人防火墻】，選擇【瑞星個人防火墻】即可啟動。</p><p>　　方法二：用鼠標(biāo)雙擊桌面上的【瑞星個人防火墻】快捷圖標(biāo)即

96、可啟動。</p><p>　　方法三：用鼠標(biāo)單擊任務(wù)欄“快速啟動”上的【瑞星個人防火墻】快捷圖標(biāo)即可啟動。成功啟動程序后的界面如下圖4.5所示:</p><p><b>　　圖4.5</b></p><p><b>　　主要界面元素</b></p><p><b>　　1、菜單欄：<

97、;/b></p><p>　　用于進(jìn)行菜單操作的窗口，包括【操作】、【設(shè)置】、【幫助】三個菜單。如圖4.6示:</p><p><b>　　圖4.6</b></p><p><b>　　2、操作按鈕：</b></p><p>　　位于主界面右側(cè)，包括【啟動/停止保護(hù)】、【連接/斷開網(wǎng)絡(luò)】、【智

98、能升級】、【查看日志】。如圖4.7示:　　</p><p><b>　　圖4.7</b></p><p>　　功能：停止防火墻的保護(hù)功能，執(zhí)行此功能后，您計算機(jī)將不再受瑞星防火墻的保護(hù)已處于停止保護(hù)狀態(tài)時，此按鈕將變?yōu)椤締⒂帽Ｗo(hù)】；點擊將重新啟用防火墻的保護(hù)功能，您也可以通過菜單項【操作】/【停止保護(hù)】來執(zhí)行此功能；將您的計算機(jī)完全與網(wǎng)絡(luò)斷開，就如同拔掉網(wǎng)線或是關(guān)掉

99、Modem一樣。其他人都不能訪問您的計算機(jī)，但是您也不能再訪問網(wǎng)絡(luò)。這是在遇到頻繁攻擊時最為有效的應(yīng)對方法；已經(jīng)斷開網(wǎng)絡(luò)后，此項將變?yōu)椤具B接網(wǎng)絡(luò)】，點擊將恢復(fù)網(wǎng)絡(luò)連接；您也可以通過菜單項【操作】/【斷開網(wǎng)絡(luò)】來執(zhí)行此功能；啟動智能升級程序?qū)Ψ阑饓M(jìn)行升級更新；您也可以通過菜單項【操作】/【智能升級】來執(zhí)行此功能；啟動日志顯示程序；您也可能通過【操作】/【顯示日志】來執(zhí)行此功能。</p><p><b>

100、　　3、標(biāo)簽頁：</b></p><p>　　位于主界面上部，分【工作狀態(tài)】、【系統(tǒng)狀態(tài)】、【游戲保護(hù)】、【安全資訊】、【漏洞掃描】、【啟動選項】六個標(biāo)簽。如圖4.8示: 圖4.8</p><p><b>　　4、安全級別：</b></p><p&g

101、t;　　位于主界面右下角，拖動滑塊到對應(yīng)的安全級別，修改立即生效。</p><p>　　5、當(dāng)前版本及更新日期：</p><p>　　位于主界面右上角，顯示防火墻當(dāng)前版本及更新日期。</p><p><b>　　6、規(guī)則設(shè)置</b></p><p>　　配置防火墻的過濾規(guī)則（如圖4.9），包括：</p>&

102、lt;p>　　黑名單：在黑名單中的計算機(jī)禁止與本機(jī)通訊</p><p>　　白名單：在白名單中的計算機(jī)對本地具有完全的訪問權(quán)限</p><p>　　端口開關(guān)：允許或禁止端口中的通訊，可簡單開關(guān)本機(jī)與遠(yuǎn)程的端口</p><p>　　可信區(qū)：通過可信區(qū)的設(shè)置，可以把局域網(wǎng)和互聯(lián)網(wǎng)區(qū)分對待</p><p>　　IP規(guī)則：在IP層過濾的規(guī)則&l

103、t;/p><p>　　訪問規(guī)則：本機(jī)中訪問網(wǎng)絡(luò)的程序的過濾規(guī)則</p><p><b>　　圖4.9</b></p><p><b>　　結(jié)論</b></p><p>　　隨著Internet和Intranet技術(shù)的發(fā)展，網(wǎng)絡(luò)的安全已經(jīng)顯得越來越重要，網(wǎng)絡(luò)病毒對企業(yè)造成的危害已經(jīng)相當(dāng)廣泛和嚴(yán)重，其中也會

104、涉及到是否構(gòu)成犯罪行為的問題，相應(yīng)的病毒防范技術(shù)也發(fā)展到了網(wǎng)絡(luò)層面，并且愈來愈有與黑客技術(shù)和漏洞相結(jié)合的趨勢。新型防火墻技術(shù)產(chǎn)生，就是為了解決來自企業(yè)網(wǎng)絡(luò)內(nèi)和外的攻擊；克服傳統(tǒng)“邊界防火墻”的缺點，集成了IDS、VPN和放病毒等安全技術(shù)，實現(xiàn)從網(wǎng)絡(luò)到服務(wù)器以及客戶端全方位的安全解決方案，滿足企業(yè)實際應(yīng)用和發(fā)展的安全要求。</p><p>　　防火墻目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)

105、，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。本論文從防火墻方面解決網(wǎng)絡(luò)安全問題，對網(wǎng)絡(luò)安全技術(shù)的有深刻的了解。</p><p><b>　　致謝</b></p><p>　　三年的大學(xué)生活伴隨著論文的完成，也將走向了終點。時間終是短暫，但是這兩年我在xx卻經(jīng)歷了重要的人生蛻變。做學(xué)問總是枯燥和寂寞的，而生活本身又是那么豐富多彩。在這個忙碌的行業(yè)中，我總算找到了一個時間能夠深沉的思考

106、，考量我的課題，以及我未來的事業(yè)。</p><p>　　感謝指導(dǎo)老師xx帶來的辛勤培育，你多年的行業(yè)經(jīng)驗和活躍的思考，給我的論文增加了很多有現(xiàn)實意義的觀點，更啟發(fā)了我從一個新的思路闡述我的論題。將局域網(wǎng)安全這個全新的領(lǐng)域引入我的視野，在我研究的最初階段，為我指明了方向。從導(dǎo)師的身上，我遭遇了一個始終關(guān)注行業(yè)最前沿的目光，這種眼界和思維方式，將使我受益終生。</p><p>　　感謝教導(dǎo)過我

107、的其他老師，您們從生活和教學(xué)中流露出的言行，您們的學(xué)識和修養(yǎng)，使我不禁對自己的要求也更高了一分。</p><p>　　網(wǎng)大一班的同學(xué)們，你們是各具特點的，跟你們的交流和思維碰撞中，也開拓了我的視界。在無數(shù)個難熬的日日夜夜，我們給了彼此很多鼓勵，也要在這里感謝你們陪伴我度過了這些時光。</p><p>　　在論文的撰寫和資料搜集期間，前人的資料對我提供了莫大的幫助，這里再次感謝.</p

108、><p><b>　　參考文獻(xiàn)</b></p><p>　　(1) 顧巧論，高鐵紅，賈春福.計算機(jī)網(wǎng)絡(luò)安全 清華大學(xué)出版社，2008</p><p>　　(2) 寧紅.計算機(jī)安全技術(shù)  中國鐵道出版社，2009</p><p>　　(3) 韓筱卿.計算機(jī)病毒分析與防范大全 電

109、子工業(yè)出版社，2006</p><p>　　(4) 張斌,黑客與反黑客,北京郵電大學(xué)出版社,Pag56-75</p><p>　　(5) 石淑華,池瑞楠,計算機(jī)網(wǎng)絡(luò)安全技術(shù)(第二版),北京人民郵電出版社,Pag267-283</p><p>　　(6) 肖新峰,宋強(qiáng),王立新等,TCP/IP協(xié)議與網(wǎng)絡(luò)管理,北京清華大學(xué)出版社,Pag83-99</p>&

110、lt;p>　　(7) 李軍,防火墻上臺階,信息網(wǎng)絡(luò)安全2004年07期,Pag28—29 </p><p>　　(8) 陳愛民,計算機(jī)的安全與保密,北京電子工業(yè)出版社,pag35-42</p><p>　　(9) 蔣建春,馬恒太,任黨恩等,網(wǎng)絡(luò)安全入侵檢測研究綜述軟件學(xué)報</p><p>　　(10) 石淑華,池瑞楠,計算機(jī)網(wǎng)絡(luò)安全技術(shù)(第二版),北京人民郵電

111、出版社,Pag70-104</p><p>　　(11) 老聃,安全網(wǎng)關(guān)—網(wǎng)絡(luò)邊界防護(hù)的利器,信息安全與通信保密,2004年08期75 </p><p>　　(12) 陳平,何慶等主編,電腦2003合訂本，西南師范大學(xué)出版社,2004年1月</p><p>　　(13) 張穎,劉軍,王磊,計算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀及解決方法[N]電腦商情報 ,2007年1月</p