防火墻設(shè)計方案畢業(yè)設(shè)計論文

1、<p><b>　　畢業(yè)設(shè)計(論文)</b></p><p>　　題目： 防火墻設(shè)計方案 </p><p>　　學(xué) 院 信 息 技 術(shù) 工 程 學(xué) 院 </p><p>　　年 級 2010 級 &l

2、t;/p><p>　　專 業(yè) 通 信 技 術(shù) </p><p>　　學(xué) 號 </p><p>　　學(xué)生姓名 </p><p>　　指導(dǎo)教師

3、 </p><p>　　2011 年 5 月</p><p>　　畢業(yè)設(shè)計(論文)任務(wù)書</p><p>　　發(fā)題日期： 2010 年 5 月 6 日 完成日期： 5 月 7 日</p><p>　　題 目 防火墻設(shè)計方案

4、 </p><p>　　1、本論文的目的、意義 目的:合服網(wǎng)絡(luò)寬帶工程的進展和社會廣大群眾對對網(wǎng)絡(luò)應(yīng) 用的擴大，為了為了保證網(wǎng)絡(luò)的安全，穩(wěn)定，暢通的的運行 </p><p>　　意義：作防火墻設(shè)計方案的意義是讓社會廣大人民知道什么是防火墻，防火墻是如何應(yīng)用的，和防火墻的作用：防火墻是設(shè)置在被保護網(wǎng)絡(luò)

5、和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測的，潛在破壞性的侵入。讓網(wǎng)絡(luò)不在受第三方軟件的入侵，更有利的讓使網(wǎng)絡(luò)的安全與暢通 </p><p>　　2、學(xué)生應(yīng)完成的任務(wù)（1）作設(shè)計方案相關(guān)知識的搜集熟悉相關(guān)系統(tǒng)的操作和原理

6、 </p><p>　?。?）查找系統(tǒng)學(xué)習(xí)的相關(guān)資料和，進行智能規(guī)劃的制定和代碼的編寫。 </p><p>　?。?）代碼的軟件環(huán)境測試和調(diào)試校定。

7、 </p><p>　?。?）軟件代碼加入整個課題系統(tǒng)調(diào)試校定。 </p><p>　?。?）論文的編寫。

8、 </p><p>　　3、論文各部分內(nèi)容及時間分配：(第20周)</p><p>　　第一部分 查找資料，文獻，了解題目 (1-2周）</p><p>　　第二部分 熟悉各種加密方法 (3-4

9、周) </p><p>　　第三部分 開始寫論文（在老師的指導(dǎo)下） (5-6周)</p><p>　　第四部分 參考別人的論文，把自己的完成的更好 (7-8周) </p><p>　　第五部分編寫論文 (9-14

10、周)</p><p>　　評閱及答辯修改論文及答辯 (15-20周)</p><p>　　備 注 防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個

11、安全網(wǎng)關(guān)（Security Gateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成。 </p><p>　　指導(dǎo)教師：孟勇 2010年 5 月 6 日</p><p><b>　　摘

12、要 </b></p><p>　　隨著計算機網(wǎng)絡(luò)的日益普及，安全問題變得越來越重要。當(dāng)今的Internet每時每刻都存在著危險，如果用戶在使用Internet時不采用任何保護措施，就很容易遭受黑客的攻擊。Windows操作系統(tǒng)不開放源代碼，網(wǎng)絡(luò)安全專家無法直接修改、增加操作系統(tǒng)中關(guān)于網(wǎng)絡(luò)協(xié)議實現(xiàn)的代碼來改善操作系統(tǒng)的安全性。因此在Windows平臺下保護個人計算機安全上網(wǎng)是個值得研究的問題。本文

13、主要討論 Windows環(huán)境下的個人防火墻的實現(xiàn)技術(shù)。論文的第一部分介紹了網(wǎng)絡(luò)安全的定義和個人防火墻的概念以及防火墻的發(fā)展史和分類。第二部分分析了各種網(wǎng)絡(luò)協(xié)議架構(gòu)，分析了它們的區(qū)別與聯(lián)系并在此基礎(chǔ)上分析了Windows網(wǎng)絡(luò)體系結(jié)構(gòu)。第三部分分析了內(nèi)核模式下的數(shù)據(jù)包攔截技術(shù)，對TDI和NDIS數(shù)據(jù)包攔截技術(shù)進行了分析，并著重介紹了TDI過濾驅(qū)動程序。第四部分詳細設(shè)計了個人防火墻的實現(xiàn)。第五部分對實現(xiàn)的個人防火墻進行功能和性能測試

14、并分析了結(jié)果。 系統(tǒng)在開發(fā)實現(xiàn)過程中采用模塊化、結(jié)構(gòu)化的程序設(shè)計思想，提高了系統(tǒng)的靈活性和可移植性，可以很方便的通過控管規(guī)則實現(xiàn)對網(wǎng)絡(luò)封包的認證操作，提高了系統(tǒng)的過濾效率。</p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；TDI；NDIS；過濾</p><p><b>　　Abstract</b></p><p>　　Along wi

15、th the popularization of the computer network, security problems are being more and more important. Now the Internet is filled with danger if users who surf on the Internet do not adopt any protective measure，they will b

16、e easily attacked by hackers. Windows operating system do not open their source code, network security professors cannot directly alert or add the code about the realization of network protocols in the operating system t

17、o improve the security of the operating system. So i</p><p>　　This paper mainly discussed the personal firewall realization technique in windows environment. The first section of the paper introduced the def

18、inition of network security, personal firewall, the development and classes of the firewall. In the second part we introduced two types of network architecture, differences and relationships between them，then we analyzed

19、 windows network architecture .The third part analyzed packet filtration technique from core module ,introduced TDI and NDIS packet fil</p><p>　　In the lization of this system, we adopted modularized and str

20、uctured programming idea to improve the flexibility and portability of the system. It is very convenient to achieve authentication operation through control rules, this greatly improve system's filtration efficiency.

21、</p><p>　　key words：network security; firewall; TDI; NDIS; filtration;</p><p><b>　　目 錄</b></p><p>　　第一章 防火墻的介紹2</p><p>　　1.1防火墻的定義2</p><p>

22、;　　1.2防火墻的類型2</p><p>　　1.3防火墻的拓撲3</p><p>　　第二章 陳龍公司網(wǎng)絡(luò)安全需求分析6</p><p>　　2.1公司網(wǎng)絡(luò)安全需求分析6</p><p>　　2.2 公司網(wǎng)絡(luò)存在的風(fēng)險6</p><p>　　2.3企業(yè)網(wǎng)絡(luò)安全防范分析9</p><

23、p>　　2.4陳龍公司安全系統(tǒng)建設(shè)目標(biāo)10</p><p>　　第三章 陳龍公司防火墻布置12</p><p>　　3．1陳龍公司防火墻設(shè)計需求分析12</p><p>　　3．2防火墻選型12</p><p>　　3．3陳龍公司防火墻基本配置20</p><p>　　第四章 防火墻的安全管理和維護

24、27</p><p>　　4.1 日常管理27</p><p>　　4.2 監(jiān)視系統(tǒng)28</p><p>　　4.3 保持最新狀態(tài)30</p><p><b>　　結(jié) 論31</b></p><p><b>　　致 謝32</b></p><p

25、><b>　　參考文獻33</b></p><p>　　第一章 防火墻的介紹</p><p><b>　　1.1防火墻的定義</b></p><p>　　所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和

26、軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)（Security Gateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成。 防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件或硬件(其中硬件防火墻用的較少，例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。 防火墻 英語為firewall 《英漢證券投資詞

27、典》的解釋為：金融機構(gòu)內(nèi)部將銀行業(yè)務(wù)與證券業(yè)務(wù)嚴格區(qū)分開來的法律屏障，旨在防止可能出現(xiàn)的內(nèi)幕消息共享等不公平交易出現(xiàn)。使用防火墻比喻不要引火燒身。 </p><p>　　當(dāng)然，既然打算由淺入深的來了解，就要先看看防火墻的概念了。防火墻是汽車中一個部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護乘客安全，而同時還能讓司機繼續(xù)控制引擎。在電腦術(shù)語中，當(dāng)然就不是這個意思了，我們可

28、以類比來理解，在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進行通信。</p>

29、<p><b>　　1.2防火墻的類型</b></p><p><b>　　1.包過濾防火墻</b></p><p>　　包過濾(Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的訪問控制列表(Access Control List)。通過檢查數(shù)據(jù)包的的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因

30、素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。包過濾防火墻的優(yōu)點是費用不高且不用改動客戶機和主機上的應(yīng)用程序；缺點是數(shù)據(jù)包可能被竊聽或假冒，一般無報警功能，無高質(zhì)量的監(jiān)控或日志記錄功能，只要這一單一的設(shè)備被突破，即會受到危害。</p><p><b>　　2.應(yīng)用層代理</b></p><p>　　應(yīng)用層代理(Application-level proxy)是在網(wǎng)絡(luò)應(yīng)用

31、層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進行必要的分析、登記和統(tǒng)計，形成報告。</p><p><b>　　3.鏈路層代理</b></p><p>　　鏈路層代理(Circuit-level Proxy)是針對數(shù)據(jù)包過濾和應(yīng)用層代理技術(shù)存在的缺點，將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機系

32、統(tǒng)間應(yīng)用層的“鏈接”，由兩個終止代理服務(wù)器上的“鏈路”來實現(xiàn)，外部計算機的網(wǎng)絡(luò)鏈路只能到達代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。</p><p><b>　　4.復(fù)合型防火墻</b></p><p>　　復(fù)合型防火墻是指將包過濾的方法和基于應(yīng)用層代理的方法結(jié)合起來形成的防火墻。</p><p><b>　　1.3防火墻

33、的拓撲</b></p><p><b>　　1.屏蔽路由器</b></p><p>　　屏蔽路由器(圖1-1)是包過濾路由器的另一種稱呼，它是一個多端口的IP路由器，通過對每一個到來的IP包依據(jù)組規(guī)則進行檢查來判斷是否對之進行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息，例如協(xié)議號、收發(fā)報文的IP地址和端口號、連接標(biāo)志以及另外一些IP選項，對IP包進行過濾。</p

34、><p>　　屏蔽路由器的最大優(yōu)點就是架構(gòu)簡單且硬件成本較低，缺點則是建立包過濾規(guī)則比較困難，加之屏蔽路由器的管理成本以及用戶級身份認證的缺乏等。</p><p>　　圖1-1包過濾路由器</p><p><b>　　2.單目壁壘主機</b></p><p>　　第二種流行的防火墻類型是使用一臺單目主機加一臺屏蔽路由器的屏蔽

35、主機。單目壁壘主機(圖1-2)既可以被配置成鏈路級也可以是應(yīng)用級網(wǎng)關(guān)。當(dāng)使用這兩種類型中的任意一種時，每一個都是代理服務(wù)器，壁壘主機可以隱藏內(nèi)部網(wǎng)絡(luò)的配置。單目壁壘主機使用網(wǎng)絡(luò)地址翻譯(NAT)來提供這種功能。</p><p>　　這種實施方式更優(yōu)于包過濾防火墻，因為它增加了一臺壁壘主機，對于黑客來說他不僅需要攻破包過濾路由器還需要攻破壁壘主機。但比起包過濾器來說，這種方法的缺點在于成本的增加和性能的下降，因為多

36、了一臺設(shè)備且壁壘主機要對信息進行處理，網(wǎng)絡(luò)需要更多的時間對用戶的請求進行回應(yīng)。</p><p>　　圖1-2單目壁壘主機</p><p><b>　　3.多目壁壘主機</b></p><p>　　多目壁壘主機(雙目壁壘主機如圖1-3)的方法顯著地增加安全性，因為你可以配置2塊或更多的網(wǎng)卡在主機上，這樣，這種防火墻在網(wǎng)絡(luò)和任意外部網(wǎng)絡(luò)之間建立了一

37、個完全的物理間隔。在這種方法中，黑客繞不過防火墻，此外，即使黑客能夠使屏蔽路由器或多目壁壘主機失效，他仍將不得不滲透其他的防火墻實現(xiàn)類型，大大降低了攻擊進行的速度。同單目壁壘主機一樣，多目壁壘主機也允許網(wǎng)絡(luò)管理員實施NAT。</p><p>　　圖1-3雙目目壁壘主機</p><p>　　4.DMZ(屏蔽子網(wǎng)防火墻)</p><p>　　DMZ(Demilitari

38、zed Zone非軍事化區(qū)域)(圖1-4)也被稱作屏蔽子網(wǎng)防火墻，它在Internet和你的網(wǎng)絡(luò)之間建立了一個相當(dāng)安全的空間。它在定義時使用壁壘主機支持鏈路級和應(yīng)用級網(wǎng)關(guān)，在這個配置中，所有公共的可訪問的設(shè)備都被放在這個區(qū)域中。然后，這個DMZ像一個小的隔離的網(wǎng)絡(luò)一樣工作，安置于Internet和內(nèi)部網(wǎng)絡(luò)之間。這樣的好處在于，黑客必須破壞三個分離的設(shè)備而且不被發(fā)現(xiàn)才能接近網(wǎng)絡(luò)；內(nèi)部網(wǎng)絡(luò)不會被暴露；內(nèi)部用戶不能穿越壁壘主機而訪問到Inte

39、rnet。</p><p>　　圖1-4數(shù)據(jù)避開雙主機防火墻</p><p>　　第二章 陳龍公司網(wǎng)絡(luò)安全需求分析</p><p>　　2.1公司網(wǎng)絡(luò)安全需求分析</p><p><b>　　公司的網(wǎng)絡(luò)現(xiàn)狀</b></p><p>　　公司采用固定IP地址接入互連網(wǎng)，網(wǎng)絡(luò)拓撲如圖2-1。公司一共

40、有2個工作組，為全交換式的工作組網(wǎng)絡(luò)，工作組1是1臺Web服務(wù)器和1臺FTP服務(wù)器分別向外部用戶和內(nèi)部用戶提供Web服務(wù)和Ftp服務(wù)；工作組2是公司的內(nèi)部用戶。2個工作組交換機通過一個總的節(jié)點交換機連接到代理服務(wù)器再連接到Internet。</p><p>　　圖2-1公司網(wǎng)絡(luò)拓撲</p><p>　　2.2 公司網(wǎng)絡(luò)存在的風(fēng)險</p><p>　　由于企業(yè)網(wǎng)絡(luò)由內(nèi)

41、部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和企業(yè)廣域網(wǎng)組成，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，威脅主要來自：病毒的侵襲、黑客的非法闖入、數(shù)據(jù)"竊聽"和攔截、拒絕服務(wù)、內(nèi)部網(wǎng)絡(luò)安全、電子商務(wù)攻擊、惡意掃描、密碼破解、數(shù)據(jù)篡改、垃圾郵件、地址欺騙和基礎(chǔ)設(shè)施破壞等。</p><p>　　下面來分析幾個典型的網(wǎng)絡(luò)攻擊方式：</p><p><b>　　1.病毒的侵襲</b></p>&l

42、t;p>　　幾乎有計算機的地方，就有出現(xiàn)計算機病毒的可能性。計算機病毒通常隱藏在文件或程序代碼內(nèi)，伺機進行自我復(fù)制，并能夠通過網(wǎng)絡(luò)、磁盤、光盤等諸多手段進行傳播。正因為計算機病毒傳播速度相當(dāng)快、影響面大，所以它的危害最能引起人們的關(guān)注。</p><p>　　病毒的"毒性"不同，輕者只會玩笑性地在受害機器上顯示幾個警告信息，重則有可能破壞或危及個人計算機乃至整個企業(yè)網(wǎng)絡(luò)的安全。</p

43、><p>　　有些黑客會有意釋放病毒來破壞數(shù)據(jù)，而大部分病毒是在不經(jīng)意之間被擴散出去的。員工在不知情的情況下打開了已感染病毒的電子郵件附件或下載了帶有病毒的文件，這導(dǎo)致了病毒的傳播。這些病毒會從一臺個人計算機傳播到另一臺，因而很難從某一中心點對其進行檢測。</p><p>　　任何類型的網(wǎng)絡(luò)免受病毒攻擊最保險和最有效的方法是對網(wǎng)絡(luò)中的每一臺計算機安裝防病毒軟件，并定期對軟件中的病毒定義進行更新

44、。值得用戶信賴的防病毒軟件包括Symantec、Norton和McAfee等。然而，如果沒有"憂患意識"，很容易陷入"盲從殺毒軟件"的誤區(qū)。</p><p>　　因此，光有工具不行，還必須在意識上加強防范，并且注重操作的正確性；重要的是在企業(yè)培養(yǎng)集體防毒意識，部署統(tǒng)一的防毒策略，高效、及時地應(yīng)對病毒的入侵。</p><p><b>　　2.

45、黑客的非法闖入</b></p><p>　　隨著越來越多黑客案件的報道，企業(yè)不得不意識到黑客的存在。黑客的非法闖入是指黑客利用企業(yè)網(wǎng)絡(luò)的安全漏洞，不經(jīng)允許非法訪問企業(yè)內(nèi)部網(wǎng)絡(luò)或數(shù)據(jù)資源，從事刪除、復(fù)制甚至毀壞數(shù)據(jù)的活動。一般來說，黑客常用的入侵動機和形式可以分為兩種。</p><p>　　黑客通過尋找未設(shè)防的路徑進入網(wǎng)絡(luò)或個人計算機，一旦進入，他們便能夠竊取數(shù)據(jù)、毀壞文件和應(yīng)用

46、、阻礙合法用戶使用網(wǎng)絡(luò)，所有這些都會對企業(yè)造成危害。黑客非法闖入將具備企業(yè)殺手的潛力，企業(yè)不得不加以謹慎預(yù)防。</p><p>　　防火墻是防御黑客攻擊的最好手段。位于企業(yè)內(nèi)部網(wǎng)與外部之間的防火墻產(chǎn)品能夠?qū)λ衅髨D進入內(nèi)部網(wǎng)絡(luò)的流量進行監(jiān)控。不論是基于硬件還是軟件的防火墻都能識別、記錄并阻塞任何有非法入侵企圖的可疑的網(wǎng)絡(luò)活動。硬件防火墻產(chǎn)品應(yīng)該具備以下先進功能：</p><p>　　（1）

47、狀態(tài)檢查:在數(shù)據(jù)包通過防火墻時對數(shù)據(jù)進行檢查，以確定是否允許進入局域網(wǎng)絡(luò)。 </p><p>　?。?）流量控制:根據(jù)數(shù)據(jù)的重要性管理流入的數(shù)據(jù)。</p><p>　?。?）虛擬專用網(wǎng)(VPN)技術(shù):使遠程用戶能夠安全地連接局域網(wǎng)。</p><p>　?。?）Java、ActiveX以及Cookie屏蔽:只允許來自可靠Web站點上的應(yīng)用程序運行。</p>

48、;<p>　?。?）代理服務(wù)器屏蔽(Proxyblocking):防止局域網(wǎng)用戶繞過互聯(lián)網(wǎng)過濾系統(tǒng)。</p><p>　?。?）電子郵件發(fā)信監(jiān)控(Outgoinge-mailscreening):能夠阻塞帶有特定詞句電子郵件的發(fā)送，以避免企業(yè)員工故意或無意的泄露某些特定信息。</p><p>　　3.數(shù)據(jù)"竊聽"和攔截</p><p&g

49、t;　　這種方式是直接或間接截獲網(wǎng)絡(luò)上的特定數(shù)據(jù)包并進行分析來獲取所需信息。一些企業(yè)在與第三方網(wǎng)絡(luò)進行傳輸時，需要采取有效措施來防止重要數(shù)據(jù)被中途截獲，如用戶信用卡號碼等。加密技術(shù)是保護傳輸數(shù)據(jù)免受外部竊聽的最好辦法，其可以將數(shù)據(jù)變成只有授權(quán)接收者才能還原并閱讀的編碼。</p><p>　　進行加密的最好辦法是采用虛擬專用網(wǎng)(VPN)技術(shù)。一條VPN鏈路是一條采用加密隧道(tunnel)構(gòu)成的遠程安全鏈路，它能夠

50、將數(shù)據(jù)從企業(yè)網(wǎng)絡(luò)中安全地輸送出去。兩家企業(yè)可以通過Internet建立起VPN隧道。一個遠程用戶也可以通過建立一條連接企業(yè)局域網(wǎng)的VPN鏈路來安全地訪問企業(yè)內(nèi)部數(shù)據(jù)。</p><p><b>　　4.拒絕服務(wù)</b></p><p>　　這類攻擊一般能使單個計算機或整個網(wǎng)絡(luò)癱瘓，黑客使用這種攻擊方式的意圖很明顯，就是要阻礙合法網(wǎng)絡(luò)用戶使用該服務(wù)或破壞正常的商務(wù)活動。例

51、如，通過破壞兩臺計算機之間的連接而阻止用戶訪問服務(wù)；通過向企業(yè)的網(wǎng)絡(luò)發(fā)送大量信息而堵塞合法的網(wǎng)絡(luò)通信，最后不僅摧毀網(wǎng)絡(luò)架構(gòu)本身，也破壞整個企業(yè)運作。</p><p><b>　　5.內(nèi)部網(wǎng)絡(luò)安全</b></p><p>　　為特定文件或應(yīng)用設(shè)定密碼保護能夠?qū)⒃L問限制在授權(quán)用戶范圍內(nèi)。例如，銷售人員不能夠瀏覽企業(yè)人事信息等。但是，大多數(shù)小型企業(yè)無法按照這一安全要求操作，

52、企業(yè)規(guī)模越小，越要求每一個人承擔(dān)更多的工作。如果一家企業(yè)在近期內(nèi)會迅速成長，內(nèi)部網(wǎng)絡(luò)的安全性將是需要認真考慮的問題。</p><p><b>　　6.電子商務(wù)攻擊</b></p><p>　　從技術(shù)層次分析，試圖非法入侵的黑客，或者通過猜測程序?qū)孬@的用戶賬號和口令進行破譯，以便進入系統(tǒng)后做更進一步的操作；或者利用服務(wù)器對外提供的某些服務(wù)進程的漏洞，獲取有用信息從而進

53、入系統(tǒng)；或者利用網(wǎng)絡(luò)和系統(tǒng)本身存在的或設(shè)置錯誤引起的薄弱環(huán)節(jié)和安全漏洞實施電子引誘，以獲取進一步的有用信息；或者通過系統(tǒng)應(yīng)用程序的漏洞獲得用戶口令，侵入系統(tǒng)。</p><p>　　除上述威脅企業(yè)網(wǎng)絡(luò)安全的主要因素外，還有如下網(wǎng)絡(luò)安全隱患： </p><p>　　惡意掃描：這種方式是利用掃描工具(軟件)對特定機器進行掃描，發(fā)現(xiàn)漏洞進而發(fā)起相應(yīng)攻擊。 </p><p>

54、　　密碼破解：這種方式是先設(shè)法獲取對方機器上的密碼文件，然后再設(shè)法運用密碼破解工具獲得密碼。除了密碼破解攻擊，攻擊者也有可能通過猜測或網(wǎng)絡(luò)竊聽等方式獲取密碼。 </p><p>　　數(shù)據(jù)篡改：這種方式是截獲并修改網(wǎng)絡(luò)上特定的數(shù)據(jù)包來破壞目標(biāo)數(shù)據(jù)的完整性。 </p><p>　　地址欺騙：這種方式是攻擊者將自身IP偽裝成目標(biāo)機器信任機器的IP 地址，以此來獲得對方的信任。 </p>

55、;<p>　　垃圾郵件 主要表現(xiàn)為黑客利用自己在網(wǎng)絡(luò)上所控制的計算機向企業(yè)的郵件服務(wù)器發(fā)送大量的垃圾郵件，或者利用企業(yè)的郵件服務(wù)器把垃圾郵件發(fā)送到網(wǎng)絡(luò)上其他的服務(wù)器上。 </p><p>　　基礎(chǔ)設(shè)施破壞：這種方式是破壞DNS或路由器等基礎(chǔ)設(shè)施，使得目標(biāo)機器無法正常使用網(wǎng)絡(luò)。 </p><p>　　由上述諸多入侵方式可見，企業(yè)可以做的是如何盡可能降低危害程度。除了采用防火墻、

56、數(shù)據(jù)加密以及借助公鑰密碼體制等手段以外，對安全系數(shù)要求高的企業(yè)還可以充分利用網(wǎng)絡(luò)上專門機構(gòu)公布的常見入侵行為特征數(shù)據(jù)-通過分析這些數(shù)據(jù)，企業(yè)可以形成適合自身的安全性策略，努力使風(fēng)險降低到企業(yè)可以接受且可以管理的程度。 </p><p>　　2.3企業(yè)網(wǎng)絡(luò)安全防范分析 </p><p>　　要保證系統(tǒng)安全的關(guān)鍵，首先要做到重視安全管理，不要"坐以待斃"，可以說，企業(yè)的信息

57、安全，是一個整體的問題，需要從管理與技術(shù)相結(jié)合的高度，制定與時俱進的整體管理策略，并切實認真地實施這些策略 ，才能達到提高企業(yè)信息系統(tǒng)安全性的目的。 </p><p><b>　　因此我們要做到：</b></p><p>　　風(fēng)險評估：要求企業(yè)清楚自身有哪些系統(tǒng)已經(jīng)聯(lián)網(wǎng)、企業(yè)網(wǎng)絡(luò)有哪些弱點、這些弱點對企業(yè)運作都有哪些具體風(fēng)險，以及這些風(fēng)險對于公司整體會有怎樣的影響。

58、</p><p>　　安全計劃：包括建立企業(yè)的安全政策，掌握保障安全性所需的基礎(chǔ)技術(shù)，并規(guī)劃好發(fā)生特定安全事故時企業(yè)應(yīng)該采取的解決方案。企業(yè)網(wǎng)絡(luò)安全的防范策略目的就是決定一個組織機構(gòu)怎樣來保護自己。 </p><p>　　一般來說，安全策略包括兩個部分：一個總體的安全策略和具體的規(guī)則?？傮w安全策略制定一個組織機構(gòu)的戰(zhàn)略性安全指導(dǎo)方針，并為實現(xiàn)這個方針分配必要的人力物力。 </p>

59、;<p>　　計劃實施：所有的安全政策，必須由一套完善的管理控制架構(gòu)所支持，其中最重要的要素是要建立完整的安全性解決方案。 </p><p>　　技術(shù)與管理不是孤立的，此技術(shù)與管理是： </p><p>　　物理隔離：即在網(wǎng)絡(luò)建設(shè)的時候單獨建立兩套相互獨立的網(wǎng)絡(luò)，一套用于部門內(nèi)部辦公自動化，另一套用于連接到Internet，在同一時候，始終只有一塊硬盤處于工作狀態(tài)，這樣就達到

60、了真正意義上的物理安全隔離。 </p><p>　　遠程訪問控制：主要是針對于企業(yè)遠程撥號用戶，在內(nèi)部網(wǎng)絡(luò)中配置用戶身份認證服務(wù)器。在技術(shù)上通過對接入的用戶進行身份和密碼驗證，并對所有的用戶機器的MAC地址進行注冊，采用IP地址與MAC地址的動態(tài)綁定，以保證非授權(quán)用戶不能進入。 </p><p>　　病毒的防護：培養(yǎng)企業(yè)的集體防毒意識，部署統(tǒng)一的防毒策略，高效、及時地應(yīng)對病毒的入侵。 &l

61、t;/p><p>　　防火墻：目前技術(shù)最為復(fù)雜而且安全級別最高的防火墻是隱蔽智能網(wǎng)關(guān), 它將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服務(wù)進行幾乎透明的訪問, 同時阻止了外部未授權(quán)訪問對專用網(wǎng)絡(luò)的非法訪問。一般來說, 這種防火墻的安全性能很高，是最不容易被破壞和入侵的。 </p><p>　　因此，公司的的網(wǎng)絡(luò)安全必須依賴于防火墻，防御外來的侵入。</p>

62、<p>　　2.4陳龍公司安全系統(tǒng)建設(shè)目標(biāo)</p><p>　　隨著公司的發(fā)展，互連網(wǎng)的發(fā)展，一方面，公司的工作站數(shù)量增加且需求或任務(wù)多樣化給管理帶來了更多的麻煩；另一方面，網(wǎng)絡(luò)安全也面臨著更大挑戰(zhàn)。公司原來的網(wǎng)絡(luò)安全方案早已經(jīng)不能滿足新的需求了。現(xiàn)在將公司安全系統(tǒng)建設(shè)目標(biāo)羅列如下：</p><p>　　1.互連網(wǎng)用戶和公司內(nèi)部用戶能夠訪問Web服務(wù)器</p>&

63、lt;p>　　2.只有內(nèi)部用戶可以訪問Ftp服務(wù)器</p><p>　　3.只允許做客戶服務(wù)的員工(IP地址范圍為：10.2.1.2--10.2.1.50)在工作時間上互連網(wǎng)瀏覽網(wǎng)頁和收發(fā)郵件</p><p>　　4.允許出差員工通過VPN連接和內(nèi)部網(wǎng)絡(luò)進行互相訪問</p><p>　　5.禁止除以上要求外的所有通訊第三章 陳龍公司防火墻布置</p&g

64、t;<p>　　3．1陳龍公司防火墻設(shè)計需求分析</p><p>　　通過公司網(wǎng)絡(luò)了解，公司的網(wǎng)絡(luò)主要由辦公室，財務(wù)處，科研室，服務(wù)中心，職工就業(yè)中心，公司機房這六個部分組成．整個網(wǎng)絡(luò)沒有防火墻設(shè)備，只用一款軟件防火墻，故效率低，抗攻擊力效弱；因為網(wǎng)絡(luò)安全的問題，目前財務(wù)處不能上網(wǎng)，這使嚴重影響本部門辦事的效率，沒有充分的利用網(wǎng)絡(luò)給人們帶來的方便和快捷；各個部門均在同一個網(wǎng)絡(luò)中，這樣使整個網(wǎng)絡(luò)在一個

65、沖突域中，在信息高峰時間會導(dǎo)致網(wǎng)絡(luò)阻塞；內(nèi)部是通過使用代理服務(wù)器上網(wǎng)，所有信息都通過服務(wù)器中的兩個網(wǎng)卡進行轉(zhuǎn)發(fā)，這樣會導(dǎo)致網(wǎng)絡(luò)速度很慢；為了實現(xiàn)本院網(wǎng)絡(luò)發(fā)展趨勢，故需在內(nèi)網(wǎng)與外網(wǎng)之間布署一款硬件防火墻．來補充目前網(wǎng)絡(luò)面臨的缺點．</p><p><b>　　3．2防火墻選型</b></p><p><b>　　3．2．1選型類型</b></

66、p><p><b>　　防火墻選型的類別：</b></p><p>　　第一，以需求為導(dǎo)向，選擇最適合本企業(yè)需求的產(chǎn)品。由于防火墻的各項指標(biāo)具有較強的專業(yè)性，因此企業(yè)在選擇時，有必要把防火墻的主要指標(biāo)和需求聯(lián)系起來。另外，還要考慮到企業(yè)可承受的性價比。 </p><p>　　第二， 對于產(chǎn)品的選型，可參考的指標(biāo)來源有廠家提供的技術(shù)白皮書、各種測評機

67、構(gòu)的橫向?qū)Ρ葴y試報告，從中可以了解產(chǎn)品的一些基本性能情況。 </p><p>　　第三，要完全按照企業(yè)的實際需求來對比各種品牌的滿足程度，最好是根據(jù)需求，定制一套解決方案，并對防火墻在統(tǒng)一測試條件和測試環(huán)境下進行橫向?qū)Ρ取?lt;/p><p>　　第四，了解產(chǎn)品的性能指標(biāo)、性能指標(biāo)主要包括吞吐量、丟包率、延遲、最大并發(fā)連接數(shù)、并發(fā)連接處理速率等。用戶在選擇時，應(yīng)該根據(jù)自身的網(wǎng)絡(luò)規(guī)模和需求，對上

68、述幾個指標(biāo)參數(shù)進行詳細了解，選擇適合的產(chǎn)品。</p><p>　　因此：我們在防火墻選型上必要先了解防火墻的類別。</p><p>　　3．2．2 PIX防火墻介紹</p><p><b>　　強壯的安全特性</b></p><p>　　Internet的發(fā)展為公司網(wǎng)絡(luò)帶來了更大的安全風(fēng)險?，F(xiàn)有的解決方案如運行在應(yīng)用層的

69、基于代理的防火墻具有很多限制條件，包括性能低、需要昂貴的通用平臺、使用開放系統(tǒng)如UNIX時本身具有安全風(fēng)險等。</p><p>　　而Cisco Secure PIX防火墻能夠提供空前的安全保護能力，它的保護機制的核心是能夠提供面向靜態(tài)連接防火墻功能的自適應(yīng)安全算法（ASA）。靜態(tài)安全性雖然比較簡單，但與包過濾相比，功能卻更加強勁；另外，與應(yīng)用層代理防火墻相比，其性能更高，擴展性更強。ASA可以跟蹤源和目的地址、

70、傳輸控制協(xié)議（TCP）序列號、端口號和每個數(shù)據(jù)包的附加TCP標(biāo)志。只有存在已確定連接關(guān)系的正確的連接時，訪問才被允許通過Cisco Secure PIX防火墻。這樣做，內(nèi)部和外部的授權(quán)用戶就可以透明地訪問企業(yè)資源，而同時保護了內(nèi)部網(wǎng)絡(luò)不會受到非授權(quán)訪問的侵襲。</p><p>　　另外，實時嵌入式系統(tǒng)還能進一步提高Cisco Secure PIX防火墻系列的安全性。雖然UNIX服務(wù)器是廣泛采用公開源代碼的理想開放

71、開發(fā)平臺，但通用的操作系統(tǒng)并不能提供最佳的性能和安全性。而專用的Cisco Secure PIX防火墻是為了實現(xiàn)安全、高性能的保護而專門設(shè)計。</p><p>　　與IPsec互操作的安全VPN</p><p>　　從傳統(tǒng)上來說，防火墻通過維護所連接網(wǎng)段之間所有連接的靜態(tài)控制實現(xiàn)了邊界安全性。目前，越來越多的客戶正在尋求除了提供訪問控制以外，還能提供VPN服務(wù)的防火墻。利用VPN，遠程用戶

72、或分布在各地的分支機構(gòu)能夠以更低的成本安全地訪問企業(yè)網(wǎng)，同時，使用Internet訪問可以大大降低與以前的專線或其它專用網(wǎng)絡(luò)相關(guān)的電信費用。公司就不需要維護大型的Modem池和訪問服務(wù)器來處理遠程的撥號用戶，而這些都是需要花費大量資金并且讓管理員頭痛的事情?，F(xiàn)在，只需要向ISP進行本地呼叫，用戶就可以通過Internet安全的訪問專用的企業(yè)Intranet。</p><p>　　PIX 525實現(xiàn)了在Intern

73、et或所有IP網(wǎng)絡(luò)上的安全保密通信。它集成了VPN的主要功能 - 隧道、數(shù)據(jù)加密、安全性和防火墻，能夠提供一種安全、可擴展的平臺來更好、更經(jīng)濟高效地使用公共數(shù)據(jù)服務(wù)來實現(xiàn)遠程訪問、遠程辦公和外部網(wǎng)連接。525可以同時連接高達4個VPN層，為用戶提供完整的IPsec標(biāo)準(zhǔn)實施方法，其中IPsec保證了保密性、完整性和認證能力。對于安全數(shù)據(jù)加密，Cisco的IPsec實現(xiàn)方法全部支持56位數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）和168位三重DES算法。<

74、;/p><p><b>　　極端的可靠性　</b></p><p>　　PIX防火墻提供了空前的可靠性，其平均無故障時間（MTBF）超過60000小時。即使是達到了這樣高的水平，那些Internet、Intranet或Extranet連接是企業(yè)生命線的企業(yè)還是認識到了防火墻冗余是一項關(guān)鍵因素。防火墻的每一分鐘停止運行都意味著收入、機會或關(guān)鍵信息的損失。Cisco已經(jīng)創(chuàng)建了

75、配合PIX 525-UR使用的故障切換捆綁程序，能夠簡單、便宜地滿足上述要求。該程序包為企業(yè)提供了特別設(shè)計在故障切換模式下運行的第二個防火墻，而其價格僅是標(biāo)準(zhǔn)PIX 525 UR捆綁件的一小部分。</p><p><b>　　令人驚奇的靈活性</b></p><p>　　Cisco Secure PIX 525防火墻支持各種網(wǎng)絡(luò)接口卡（NIC）。標(biāo)準(zhǔn)NIC包括單端口或

76、4端口10/100快速以太網(wǎng)、千兆位以太網(wǎng)、4/16令牌環(huán)和雙連接多模FDDI卡。</p><p>　　另外，PIX 525還提供多種電源選件，用戶可以選擇交流或48V直流電源。每一種選件都配有為第二個"故障切換"PIX系統(tǒng)準(zhǔn)備的成對兒產(chǎn)品，從而實現(xiàn)最高的冗余和高可用性。</p><p><b>　　主要特性和優(yōu)點</b></p>&

77、lt;p>　　Cisco端到端解決方案的組成部分 - 允許各公司將經(jīng)濟高效、無縫的網(wǎng)絡(luò)基礎(chǔ)設(shè)施擴展到分支機構(gòu)。</p><p>　　最低的擁有成本 - 安裝、配置簡單，網(wǎng)絡(luò)中斷時間更少。另外，允許透明地支持Internet多媒體應(yīng)用，不再需要實際調(diào)整和重新配置每一臺客戶工作站或PC機。</p><p>　　UNIX的安全、實時和嵌入式系統(tǒng) - 消除了通用操作系統(tǒng)所帶來的風(fēng)險，提供了突

78、出的性能。</p><p>　　于標(biāo)準(zhǔn)的虛擬專網(wǎng) - 使管理員可以降低通過Internet或其它公共IP網(wǎng)絡(luò)將移動用戶和遠程站點與企業(yè)網(wǎng)絡(luò)相連的成本。</p><p>　　適應(yīng)安全算法 - 為所有的TCP/IP對話提供靜態(tài)安全性，以保護敏感的保密資源。</p><p>　　靜態(tài)故障切換/熱備用 - 提供高可用性，使網(wǎng)絡(luò)可靠性最大。</p><p&

79、gt;　　網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）-- 節(jié)省寶貴的IP地址；擴展網(wǎng)絡(luò)地址空間；隱藏IP地址，使之不被外部得到。</p><p>　　斷通過代理 - 提供業(yè)界最高的認證性能；通過重新使用現(xiàn)有認證數(shù)據(jù)庫降低擁有成本。</p><p>　　多種網(wǎng)絡(luò)接口卡 - 為Web和所有其它的公共訪問服務(wù)器、與不同合作伙伴的多種外部網(wǎng)鏈路、得到保護的記錄和URL過濾服務(wù)器提供強大的安全性。</p>

80、<p>　　支持多達28萬個同時連接 - 部署很少的防火墻就能極大地提高代理服務(wù)器的性能。</p><p>　　防止拒絕服務(wù)攻擊 - 保護防火墻及其后面的服務(wù)器和客戶機不受破壞性的黑客攻擊。</p><p>　　支持各種應(yīng)用 - 全面降低防火墻對網(wǎng)絡(luò)用戶的影響。</p><p>　　Java Applet過濾 - 使防火墻可以在每個客戶機或每個IP地址上

81、終止具有潛在危險的Java應(yīng)用。</p><p>　　支持多媒體應(yīng)用 - 降低了支持這些協(xié)議所需要的管理時間和成本。無需特殊的客戶機配置。</p><p>　　設(shè)置簡單 - 只需6條命令就能實現(xiàn)一般的安全策略。</p><p>　　緊湊設(shè)計 - 可以更加容易地部署在桌面或更小的辦公設(shè)置中。</p><p>　　URL過濾 - 當(dāng)與Websen

82、se企業(yè)軟件配合使用時，可以提供控制哪些Web站點的用戶可以出于計費的目的來訪問和維護審計跟蹤數(shù)據(jù)的能力。對PIX防火墻性能的影響最小。郵件保護 - 不再需要外部郵件在外圍網(wǎng)絡(luò)中轉(zhuǎn)發(fā)，也防止了外部郵件轉(zhuǎn)發(fā)過程中的拒絕服務(wù)攻擊。</p><p>　　3．2．3 技術(shù)規(guī)范</p><p><b>　　硬件</b></p><p>　　處理器：600

83、MHz Intel Pentium III</p><p>　　隨機讀寫內(nèi)存：高達256 MB</p><p><b>　　閃存：16 MB</b></p><p>　　接口：雙集成10 Base-T快速以太網(wǎng)，RJ45</p><p><b>　　PCI插槽：3個</b></p>&

84、lt;p>　　控制臺端口：RJ-45</p><p>　　設(shè)備更新處理：僅使用小型文件傳輸協(xié)議（TFTP）</p><p>　　故障切換端口：DB-15（RS 232）</p><p><b>　　物理指標(biāo)</b></p><p>　　高度：3.5英寸（8.89厘米）</p><p>　　寬

85、度：17.5英寸（44.45厘米）</p><p>　　長度：18.25英寸（46.36厘米）</p><p>　　重量：約32磅（14.5千克）</p><p><b>　　電源需要</b></p><p>　　自適應(yīng)：100 - 240VAC</p><p>　　頻率：50-60 Hz<

86、/p><p>　　電流：5 - 2.5安培</p><p><b>　　工作環(huán)境</b></p><p>　　工作溫度：-5° -- 55°C（-25° -- 131°F）</p><p>　　非工作溫度： -25° -- 70°C（-13° -- 158

87、°F）</p><p>　　工作濕度：95%相對濕度（RH）</p><p>　　工作高度：3000米（9843英尺），40°C（104°F）</p><p>　　非工作高度：4570米（15000英尺），25°C（77°F）</p><p>　　工作沖擊：1.14 m/s（45 in/s），

88、1/2正弦輸入</p><p><b>　　非工作沖擊：30G</b></p><p>　　工作震動：0.41 Grms2（3-500Hz）隨機輸入</p><p>　　非工作震動：0.41 Grms2（3-500Hz）隨機輸入</p><p>　　熱耗（滿功率使用時的最壞情況）：410 BTU/小時（基于30W的PS）

89、</p><p>　　EMI：CE、VCCI Class II、FCC、BCIQ、Austel</p><p>　　安全認證：UL, C-UL, TUV, IEC 950</p><p>　　UL-1950標(biāo)準(zhǔn)：第三版</p><p>　　TUV EN 60950：第二版，Am. 1-4</p><p>　　陳龍公司防

90、火墻的配置</p><p>　　圖3-1陳龍公司網(wǎng)絡(luò)結(jié)構(gòu)圖</p><p>　　以上是我公司的網(wǎng)絡(luò)結(jié)構(gòu)圖，我公司的網(wǎng)絡(luò)主要由政務(wù)處，財務(wù)處，科研室，服務(wù)中心，職員就業(yè)中心，公司機房這六個部分組成，整個網(wǎng)絡(luò)由防火墻，交換機，服務(wù)器和PC組成，通過cisco pix 525防火墻與internet連接，向電信審請一個獨立的公網(wǎng)IP：202.12.12.12 ,公司機房和職工就業(yè)中心連接在PIX

91、525 的E1接口，政務(wù)處和財務(wù)處分別連接在PIX525的E2和Ｅ3接口，科研室和服務(wù)中心連接在Pix525 E4接口上．所有的服務(wù)器均連接在PIX525的DMZ區(qū)上.如下是各個分區(qū)IP規(guī)劃:</p><p>　　公司機房: IP:192.168.5.101/24~192.168.5.254/24 </p><p>　　網(wǎng)關(guān):192.168.5.1</p><p>

92、;　　DNS 192.168.1.1 61.139.2.69</p><p>　　Domain:Schoolnetwork.com</p><p>　　職工就業(yè)中心: IP:192.168.5.10/24~192.168.5.100/24 </p><p>　　網(wǎng)關(guān):192.168.5.1</p><p>　　DNS 192.168.1.1

93、 61.139.2.69</p><p>　　Domain:Schoolnetwork.com</p><p>　　政務(wù)處: IP:192.168.4.10/24~192.168.4.100/24 </p><p>　　網(wǎng)關(guān):192.168.4.1</p><p>　　DNS 192.168.1.1 61.139.2.69</p>

94、;<p>　　Domain:Schoolnetwork.com</p><p>　　財務(wù)處: IP:192.168.3.10/24~192.168.3.100/24 </p><p>　　網(wǎng)關(guān):192.168.3.1</p><p>　　DNS 192.168.1.1 61.139.2.69</p><p>　　Domain:

95、Schoolnetwork.com</p><p>　　科研室: IP:192.168.2.51/24~192.168.2.100/24 </p><p>　　網(wǎng)關(guān):192.168.2.1</p><p>　　DNS 192.168.1.1 61.139.2.69</p><p>　　Domain:Schoolnetwork.com</

96、p><p>　　服務(wù)中心: IP:192.168.2.10/24~192.168.2.50/24 </p><p>　　網(wǎng)關(guān):192.168.2.1</p><p>　　DNS 192.168.1.1 61.139.2.69</p><p>　　Domain:Schoolnetwork.com</p><p>　　DMZ

97、: DNS server: (DC,RADIUS,公司業(yè)務(wù)系統(tǒng),)</p><p>　　IP: 192.168.1.2/24 </p><p>　　網(wǎng)關(guān):192.168.1.1</p><p>　　DNS 192.168.1.1 61.139.2.69</p><p>　　Domain:Schoolnetwork.com</p>

98、<p>　　WEB server IP:192.168.1.3/24</p><p>　　網(wǎng)關(guān):192.168.1.1</p><p>　　DNS 192.168.1.1 61.139.2.69</p><p>　　Domain:Schoolnetwork.com</p><p>　　PIX : E0(outside): 202

99、.12.12.12 /28</p><p>　　E1(xuechuang) 192.168.5.1 /24</p><p>　　E2(jiaowu)192.168.4.1/24</p><p>　　E3(chaiwu)192.168.3.1/24</p><p>　　E4(jiaohu)192.168.2.1/24</p>&l

100、t;p>　　E5(DMZ)192.168.1.1/24</p><p><b>　　陳龍公司防火墻連接</b></p><p><b>　　圖3-2</b></p><p>　　PIX防火墻從外觀上和路由器差不多。（如圖3-2）正面沒有任何接口，只顯示指示燈。所有的接口都在PIX防火墻的背面。（如圖3-3）</

101、p><p><b>　　圖3-3</b></p><p>　　大家會發(fā)現(xiàn)該設(shè)備接口很多，從RJ45到USB接口，從顯示器接口到電源接口。我們進一步放大背面各個接口可以看得更加清晰。（如圖3-4）　　 </p><p><b>　　圖3-4</b></p><p>　　可以根據(jù)圖中的指示找到對應(yīng)的接口，當(dāng)

102、然默認情況下只有這些接口，在公司我又增加了三張網(wǎng)卡。我們用到最多的是console口（控制臺）和六個RJ45網(wǎng)線接口。安裝PIX和安裝普通的路由器和交換機一樣，用鑼釘將設(shè)備固定在本院的機柜上即可，同時注意散熱和UPS不間斷電源的供應(yīng)?！∫慌_新的PIX防火墻不經(jīng)過任何配置是無法投入使用的。我們需要用CONSOLE線連接設(shè)備的CONSOLE口并根據(jù)實際應(yīng)用環(huán)境進行設(shè)置，登錄PIX的管理界面很簡單，將CONSOLE線連接控制臺接口即可。&

103、lt;/p><p><b>　　圖3-5</b></p><p>　　3．3陳龍公司防火墻基本配置</p><p><b>　　防火墻命名</b></p><p>　　Pix>enable</p><p>　　Pix#configure terminal</p>

104、<p>　　Pix(config)#hostname Pix525</p><p>　　Pix525（config）#enable password cisco enctypted</p><p>　　Pix525（config）# password cisco enctypted</p><p>　　Pix525（config）# domain-na

105、me schooldomain.com</p><p>　　配置防火墻接口的名字，并指定安全級別（nameif）：</p><p>　　Pix525(config)#nameif Ethernet0 outside security 0</p><p>　　Pix525(config)#nameif Ethernet1 jichuang security 30<

106、;/p><p>　　Pix525(config)#nameif Ethernet2 jiaowu security 100</p><p>　　Pix525(config)#nameif Ethernet3 chaiwu security 70</p><p>　　Pix525(config)#nameif Ethernet4 jiaohu security 30<

107、;/p><p>　　Pix525(config)#nameif DMZ security 50</p><p>　　配置以太口參數(shù)（interface）：</p><p>　　Pix525(config)#interface Ehternet0 auto</p><p>　　Pix525(config)#interface Ehternet1 1

108、00full</p><p>　　Pix525(config)#interface Ehternet2 100full</p><p>　　Pix525(config)#interface Ehternet3 100full</p><p>　　Pix525(config)#interface Ehternet4 auto</p><p>　

109、　Pix525(config)#interface DMZ auto</p><p>　　配置內(nèi)外網(wǎng)卡的IP地址（ip address）：</p><p>　　Pix525(config)#ip address jichuang 192.168.5.1 255.255.255.0</p><p>　　Pix525(config)#ip address jiaowu

110、192.168.4.1 255.255.255.0</p><p>　　Pix525(config)#ip address chaiwu 192.168.3.1 255.255.255.0</p><p>　　Pix525(config)#ip address jiaohu 192.168.2.1 255.255.255.0</p><p>　　Pix525(con

111、fig)#ip address outside 202.12.12.12 255.255.255.252</p><p>　　Pix525(config)#ip address DMZ 192.168.1.1 255.255.255.0</p><p>　　配置fixup協(xié)議：</p><p>　　fixup命令作用是啟用，禁止，改變一個服務(wù)或協(xié)議通過pix防火墻，

112、由fixup命令指定的端口是pix防火墻要偵聽的服務(wù)。</p><p>　　Pix525(config)#no fixup protocol smtp 80</p><p>　　Pix525(config)#fixup protocol dns maximum-length 512</p><p>　　Pix525(config)#fixup protocol ft