防火墻技術(shù)的研究畢業(yè)論文

1、<p><b>　　畢業(yè)論文</b></p><p>　?。ǚ阑饓夹g(shù)的研究）</p><p>　　學(xué) 校： </p><p><b>　　指 導(dǎo) 老 師： </b></p><p>　　學(xué) 生： </p><p>　　學(xué) 號(hào)

2、： </p><p>　　專(zhuān) 業(yè)； 系 統(tǒng) 集 成</p><p><b>　　摘 要：</b></p><p>　　隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的不斷普及與應(yīng)用，網(wǎng)絡(luò)安全越來(lái)越受到人們的重視。防火墻作為一種隔離內(nèi)部安全同時(shí)網(wǎng)絡(luò)內(nèi)部安全與外部不信任網(wǎng)絡(luò)的防御技術(shù)，已經(jīng)成為計(jì)算機(jī)</p><p>　　網(wǎng)絡(luò)安全體

3、機(jī)構(gòu)中的一個(gè)重要組成部分。作者在研究防火墻技術(shù)和使用部分防火墻產(chǎn)品的過(guò)程中，發(fā)現(xiàn)防火墻在抵御部分網(wǎng)絡(luò)攻擊時(shí)還存在缺陷，于是在本文中就存在提出自己的觀點(diǎn)并進(jìn)行技術(shù)改進(jìn)，以使防火墻更好的保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。首先通過(guò)數(shù)據(jù)和案例的分析說(shuō)明網(wǎng)絡(luò)安全的重要性，并介紹了幾種常用的網(wǎng)絡(luò)安全技術(shù)。然后詳細(xì)的介紹了防火墻的概念、內(nèi)涵、技術(shù)原理、體系結(jié)構(gòu)和主要的類(lèi)型。查閱大量的書(shū)籍、網(wǎng)絡(luò)文章、具體的防火墻操作和內(nèi)核分析找出防火墻在應(yīng)對(duì)各種攻擊時(shí)自身的缺陷，通

4、過(guò)深入研究和大量實(shí)驗(yàn)后實(shí)現(xiàn)對(duì)防火墻自身功能得到改進(jìn)，使防火墻更好的工作以保證網(wǎng)絡(luò)不會(huì)受到非法入侵和重要的數(shù)據(jù)不被竊取及破壞。</p><p><b>　　目 錄</b></p><p>　　第一章 緒言·············&#

5、183;····································

6、······</p><p>　　第二章 防火墻的概念·························&

7、#183;······················</p><p>　　第一節(jié) 防火墻的概念········&#

8、183;···································</p

9、><p>　　第二節(jié) 防火墻的優(yōu)缺點(diǎn)································

10、··········</p><p>　　第三節(jié) 防火墻的功能概述·····················

11、;···················</p><p>　　第四節(jié) 防火墻工作原理分析···········

12、83;··························</p><p>　　第三章 幾種典型的防火墻</p><p>　　第一節(jié)

13、 天網(wǎng)防火墻系統(tǒng)···································&#

14、183;····</p><p>　　第二節(jié) FortiGate病毒防火墻·························&

15、#183;··········</p><p>　　第三節(jié) CISCO PIX防火墻···················&#

16、183;··················</p><p>　　第四節(jié) 方正數(shù)碼公司的方御防火墻系列產(chǎn)品···········

17、;···········</p><p>　　第四章 防火墻的實(shí)例配置</p><p>　　第五章 防火墻的基本類(lèi)型</p><p><b>　　第一節(jié) 包過(guò)濾</b></p><p>　　第二節(jié) 網(wǎng)絡(luò)地址轉(zhuǎn)化—

18、NAT</p><p><b>　　第三節(jié) 應(yīng)用代理</b></p><p><b>　　第四節(jié) 狀態(tài)檢測(cè)</b></p><p>　　第六章 防火墻的未來(lái)發(fā)展方向</p><p>　　第七章 總結(jié)········&

19、#183;····································

20、;······</p><p>　　謝 辭 ·························

21、3;·····························</p><p>　　參考文獻(xiàn)···

22、;····································

23、83;···············</p><p><b>　　第一章 緒言</b></p><p>　　隨著社會(huì)信息話進(jìn)程的深入和互聯(lián)網(wǎng)的飛速發(fā)展，人們的工作、學(xué)習(xí)和生活方式通過(guò)與網(wǎng)絡(luò)的緊密聯(lián)系發(fā)生了巨大的變化，信

24、息資源得到最大程度共享。但同時(shí)那我們必須看到，緊隨信息話發(fā)展而來(lái)得網(wǎng)絡(luò)安全問(wèn)題日益突出，它已經(jīng)成為整個(gè)社會(huì)關(guān)注的焦點(diǎn)?；ヂ?lián)網(wǎng)上的病毒、黑客、網(wǎng)絡(luò)犯罪等等給網(wǎng)絡(luò)安全帶來(lái)了巨大威脅，并且隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)安全事故的數(shù)量以及其造成的損失也在成倍的增長(zhǎng)，網(wǎng)絡(luò)犯罪的方式方法也是層出不窮。如果不能很好的解決這個(gè)問(wèn)題，它必將阻礙信息化發(fā)展的進(jìn) 程。</p><p>　　現(xiàn)在網(wǎng)絡(luò)威脅呈現(xiàn)多樣話，如病毒、垃圾郵件、間諜軟

25、件、廣告軟件、網(wǎng)絡(luò)的魚(yú)、拒絕服務(wù)、網(wǎng)絡(luò)挾持等。漏洞被發(fā)現(xiàn)和漏洞病毒出現(xiàn)的時(shí)間間隔越來(lái)越短：病毒傳播方式的途徑正在變的更隱蔽和多樣化。</p><p>　　第二章 防火墻的概述</p><p><b>　　防火墻的概念</b></p><p>　　所謂防火墻，是一種將內(nèi)部旺和公眾訪問(wèn)分開(kāi)的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)通訊時(shí)執(zhí)行的一

26、種訪問(wèn)控制尺度，它能允許你同意的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你不同意的人和數(shù)據(jù)拒之門(mén)外，最大限度的阻止網(wǎng)絡(luò)中黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)。換句話說(shuō)，如果不通過(guò)防火墻，公司內(nèi)部的人無(wú)法訪問(wèn)internet,intenet上的人也無(wú)法和公司內(nèi)部的人進(jìn)行通信。</p><p>　　第二節(jié) 防火墻的優(yōu)缺點(diǎn)</p><p><b>　　包過(guò)濾防火墻</b></p><

27、p>　　使用包過(guò)濾防火墻的優(yōu)點(diǎn)包括：</p><p>　　防火墻對(duì)每條傳入和傳出網(wǎng)絡(luò)的包實(shí)行低水平控制</p><p>　　每個(gè)IP包的字段都被檢查，例如源地址、目的地址、協(xié)議、端口等。防火墻將基于這些應(yīng)用過(guò)濾規(guī)則。</p><p>　　防火墻可以識(shí)別和丟棄帶欺騙性源IP地址的包。</p><p>　　包過(guò)濾防火墻是兩個(gè)網(wǎng)絡(luò)之間的唯一來(lái)

28、源。因?yàn)樗械耐ㄐ疟仨毻ㄟ^(guò)防火墻，繞過(guò)是困難的。</p><p>　　包過(guò)濾通常被包含在路由器包中，所有不必額外的系統(tǒng)來(lái)處理這個(gè)特征。</p><p>　　使用包過(guò)濾防火墻的缺點(diǎn)包括:</p><p>　　配置困難。因?yàn)榘^(guò)濾防火墻很復(fù)雜，人們經(jīng)常會(huì)忽略建立一些必要的規(guī)則，或者錯(cuò)誤配置了已有的規(guī)則，在防火墻留下漏洞。然而，在市場(chǎng)上許多新版本的防火墻對(duì)這個(gè)缺點(diǎn)正在做改

29、進(jìn)，如開(kāi)發(fā)者實(shí)現(xiàn)了基于圖形化用戶界面（GUI）的配置和更直接的規(guī)則定義。</p><p>　　為特定服務(wù)開(kāi)放的對(duì)口存在著危險(xiǎn)，可能會(huì)被用于其他傳輸。例如，Web服務(wù)器的端口為80，而計(jì)算機(jī)上又安裝了RealPlayer，那么它會(huì)搜尋可以允許連接到RealPlayer服務(wù)器的端口，而不管這個(gè)端口是否被其他協(xié)議所使用，RealPlayer正好是使用80端口二搜尋的。就這樣無(wú)意中，RealPlayer就利用了Web服務(wù)

30、器的端口。</p><p>　　可能還有其他方法繞過(guò)防火墻進(jìn)入網(wǎng)絡(luò)，例如撥入連接，但這個(gè)并不是防火墻自身的缺點(diǎn)而是不應(yīng)該在網(wǎng)絡(luò)安全上單純依賴防火墻的原因。</p><p>　　2.狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻</p><p>　　狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻的有點(diǎn)有：</p><p>　　檢測(cè)IP包的每個(gè)字段的能力，并遵從基于包中信息的過(guò)濾規(guī)則。</p

31、><p>　　識(shí)別帶有欺騙性源IP地址包的能力。</p><p>　　包過(guò)濾防火墻是兩個(gè)望樓之間訪問(wèn)的唯一來(lái)源。因?yàn)樗械耐ㄐ疟仨毻ㄟ^(guò)防火墻，繞過(guò)是困難的。</p><p>　　基于應(yīng)用程序驗(yàn)證一個(gè)包的狀態(tài)的能力，例如基于一個(gè)已經(jīng)建立的FIP連接，允許返回的FTP包通過(guò)。</p><p>　　基于應(yīng)用程序驗(yàn)證一個(gè)包的狀態(tài)的能力，例如允許一個(gè)先前人

32、證過(guò)的連接繼續(xù)與被授權(quán)的服務(wù)通信。</p><p>　　記錄有關(guān)通過(guò)的每個(gè)報(bào)的詳細(xì)信息的能力。基本上，防火墻用來(lái)確定包狀態(tài)的所有信息都可以被記錄，包括應(yīng)用程序?qū)Π恼?qǐng)求，連接的持續(xù)時(shí)間，內(nèi)部和外部系統(tǒng)所做的連接請(qǐng)求等。</p><p>　　狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻的缺點(diǎn)：</p><p>　　狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻唯一的缺點(diǎn)就是所有這些記錄、測(cè)試和分析工作可能會(huì)造成網(wǎng)絡(luò)連

33、接的某種遲滯，特別是在同時(shí)有許多連接激活的時(shí)候，或者是有大量的過(guò)濾網(wǎng)絡(luò)通信的規(guī)則存在時(shí)?？墒?，硬件速度越快，這個(gè)問(wèn)題越不易察覺(jué)，而且防火墻的制造商一直致力于他高他們產(chǎn)品的速度。</p><p>　　3.應(yīng)用程序代理防火墻</p><p>　　使用應(yīng)用代理程序防火墻的把優(yōu)點(diǎn)有：</p><p>　　指定對(duì)連接的控制，例如允許或拒絕基于服務(wù)器IP地址的訪問(wèn)，或者是允許或

34、拒絕基于用戶所請(qǐng)求連接的IP地址的訪問(wèn)。</p><p>　　通過(guò)限制某些協(xié)議的傳出請(qǐng)求，來(lái)減少網(wǎng)絡(luò)中不必要的服務(wù)。</p><p>　　大多數(shù)代理防火墻能夠記錄所有的連接，包括地址和持續(xù)時(shí)間。而寫(xiě)信息對(duì)追蹤攻擊和發(fā)生的未授權(quán)訪問(wèn)的事件是很有用的。</p><p>　　使用應(yīng)用程序代理防火墻的缺點(diǎn)有：</p><p>　　必須在一定范圍內(nèi)定制

35、用戶的系統(tǒng)，這取決與所用的應(yīng)用程序。</p><p>　　一些應(yīng)用程序可能根本不支持代理連接。</p><p><b>　　4.NAT</b></p><p>　　使用NAT的優(yōu)點(diǎn)有：</p><p>　　所有內(nèi)部的IP 地址對(duì)外面得人來(lái)說(shuō)是隱蔽的。因?yàn)檫@個(gè)原因，網(wǎng)絡(luò)之外沒(méi)有人可以已通過(guò)指定IP地址的方式直接對(duì)網(wǎng)絡(luò)內(nèi)的任

36、何一臺(tái)特定的計(jì)算機(jī)發(fā)起攻擊。</p><p>　　如果因?yàn)槟撤N公共IP地址資源比較短缺的話，NAT可以使整個(gè)內(nèi)部網(wǎng)絡(luò)共享一個(gè)IP地址。</p><p>　　可以啟用基本的包過(guò)濾防火墻安全機(jī)制，因?yàn)樗袀魅氲陌绻麤](méi)有專(zhuān)門(mén)指定配置到NAT，那么就會(huì)被丟棄。內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)就不可能直接訪問(wèn)外部網(wǎng)絡(luò)。</p><p><b>　　使用NAT的缺點(diǎn)：</b&

37、gt;</p><p>　　NAT的缺點(diǎn)和包過(guò)濾防火墻的缺點(diǎn)是一樣的。雖然可以保障內(nèi)部網(wǎng)路的安全，但它也是一些類(lèi)似的局限。而且內(nèi)網(wǎng)可以利用現(xiàn)流傳比較廣泛的木馬程序可以通過(guò)NAT做外部連接，就像它可以穿過(guò)包過(guò)濾防火墻一樣的容易。</p><p>　　注意：現(xiàn)在有很多廠商開(kāi)發(fā)的防火墻，特別是狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻，出了他們應(yīng)該具有的功能外也提供了NAT的功能。</p><p&

38、gt;<b>　　5.個(gè)人防火墻</b></p><p>　　個(gè)人防火墻的優(yōu)點(diǎn)有：</p><p>　　增加了保護(hù)級(jí)別，不需要額外的硬件資源。</p><p>　　個(gè)人防火墻出了可以抵擋攻擊的同時(shí)，還可以抵擋內(nèi)部的攻擊。</p><p>　　個(gè)人防火墻是對(duì)公共網(wǎng)絡(luò)中的單個(gè)系統(tǒng)提供了保護(hù)。例如一個(gè)家庭用戶使用的是Modem

39、活I(lǐng)SDN/ADSL上網(wǎng)，可能一個(gè)硬件防火墻對(duì)于他來(lái)說(shuō)實(shí)在是太昂貴了，或者說(shuō)是太麻煩了。二個(gè)人防火墻已經(jīng)能夠用戶隱蔽暴露在網(wǎng)路上的信息，比如IP地址之類(lèi)的信息等。</p><p><b>　　個(gè)人防火墻的缺點(diǎn)：</b></p><p>　　個(gè)人防火墻主要的缺點(diǎn)就是對(duì)公共網(wǎng)絡(luò)只有一個(gè)屋里借口。要記住，真正的防火墻應(yīng)當(dāng)監(jiān)視控制兩個(gè)或更多的網(wǎng)絡(luò)接口之間的通信。這樣一來(lái)的話，

40、個(gè)人防火墻本身可能會(huì)容易受到威脅，或者說(shuō)是具有這樣一個(gè)弱點(diǎn)，網(wǎng)絡(luò)通信可以繞過(guò)防火墻的規(guī)則。</p><p>　　好了，在上面我們已經(jīng)介紹了積累防火墻，并討論了每種防火墻的優(yōu)缺點(diǎn)。要記住，任何一種防火墻只是為網(wǎng)絡(luò)通信或者數(shù)據(jù)傳輸提供了更有保障的安全性，但是我們也不能完全依賴于防火墻。除了靠防火墻保障安全的同時(shí)，我們也要加固系統(tǒng)的安全性，提高自身的安全意識(shí)。這樣一來(lái)，數(shù)據(jù)以及Web站點(diǎn)就會(huì)更有安全保障。</p&

41、gt;<p>　　第三節(jié) 防火墻的功能概述</p><p>　　防火墻是網(wǎng)絡(luò)安全的屏障：</p><p>　　一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可以利用這些脆弱的

42、協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向路徑。防火墻應(yīng)該可以拒絕所有以上類(lèi)型攻擊的報(bào)文并通知防火墻管理員。</p><p>　　防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略：</p><p>　　通過(guò)防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全網(wǎng)絡(luò)問(wèn)題分散到個(gè)主機(jī)上相比，防火墻的集中安

43、全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問(wèn)時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各主機(jī)上，而集中在防火墻一身上。</p><p>　　對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)：</p><p>　　如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收

44、集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠低檔攻擊者的探索和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。</p><p>　　防止內(nèi)部信息的外泄：</p><p>　　通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)

45、非常關(guān)心的問(wèn)題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴露了內(nèi)部的某些安全漏洞。使用防火墻就可以隱蔽哪些內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。Finger顯示了宿主機(jī)的所有用戶的注冊(cè)名、真名，最后登錄時(shí)間和使用shell類(lèi)型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以指導(dǎo)一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可

46、以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。</p><p>　　除了安全作用防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)路技術(shù)體系VPN。通過(guò)VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專(zhuān)用通信線路，而且為信息共享提供了技術(shù)保障</p><p>　　第四節(jié) 防火墻工作原理分析</p

47、><p>　　防火墻就是一種過(guò)濾塞，你可以讓你喜歡的東西通過(guò)這個(gè)塞子，別的玩意都統(tǒng)統(tǒng)過(guò)濾掉。在網(wǎng)絡(luò)的世界里，要由防火墻過(guò)濾的就是承載通信數(shù)據(jù)的通信包。</p><p>　　天下的防火墻至少都會(huì)說(shuō)兩個(gè)詞：Yes或是No。直接說(shuō)就是接受或者拒絕。最簡(jiǎn)單的防火墻是以太網(wǎng)橋。但幾乎沒(méi)有人會(huì)認(rèn)為這種原始防火墻能管多大用。大多數(shù)防火墻采用的技術(shù)和標(biāo)準(zhǔn)可謂五花八門(mén)。這些防火墻的形式多種多樣：由的取代系統(tǒng)上已

48、經(jīng)裝備的TCP/IP協(xié)議棧；由的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨(dú)立的一套操作系統(tǒng)。還有一些應(yīng)用型的防火墻只對(duì)特定類(lèi)型的網(wǎng)絡(luò)連接提供保護(hù)（比如SMTP或者HTTP協(xié)議等）。還有一些基于硬件的防火墻產(chǎn)品其實(shí)應(yīng)該歸入安全路由起一類(lèi)。以上的產(chǎn)品都可以叫做防火墻，因?yàn)樗麄兊墓ぷ鞣绞蕉际且粯拥模悍治龀鋈敕阑饓Φ臄?shù)據(jù)包，決定放行還是把他們?nèi)拥揭贿叀?lt;/p><p>　　所有的防火墻都具有IP地址過(guò)濾功能，這項(xiàng)

49、任務(wù)要檢查IP包頭，根據(jù)其IP源地址和目標(biāo)地址作出放行/丟棄決定?？纯聪旅孢@張圖，兩個(gè)網(wǎng)段之間隔了一個(gè)防火墻，防火墻的一端有臺(tái)UNIX計(jì)算機(jī)，另一邊的網(wǎng)段則擺了臺(tái)PC客戶機(jī)。</p><p>　　當(dāng)PC客戶機(jī)向UNIX計(jì)算機(jī)發(fā)起telnet請(qǐng)求時(shí)，PC的telnet客戶程序就產(chǎn)生一個(gè)TCP包并把它傳給本地的協(xié)議棧準(zhǔn)備發(fā)送。接下來(lái)，協(xié)議棧將這個(gè)TCP包“塞”到一個(gè)IP包里，然后通過(guò)PC機(jī)的TCP/IP棧所定義的路徑

50、將它發(fā)送給UNIX計(jì)算機(jī)。在這個(gè)例子里，這個(gè)IP包必須經(jīng)過(guò)橫在PC和UNIX計(jì)算機(jī)中的防火墻才能到達(dá)UNIX計(jì)算機(jī)</p><p>　　現(xiàn)在我們“命令”（用專(zhuān)業(yè)術(shù)語(yǔ)來(lái)說(shuō)就是配制）防火墻吧所有發(fā)給UNIX計(jì)算機(jī)的數(shù)據(jù)包都給拒了，完成這項(xiàng)工作以后，“心腸”比較好的防火墻還會(huì)通知客戶程序一聲呢！既然發(fā)向目標(biāo)的IP數(shù)據(jù)沒(méi)法轉(zhuǎn)發(fā)，那么只有和UNIX計(jì)算機(jī)的在一個(gè)網(wǎng)段的用戶才能訪問(wèn)UNIX計(jì)算機(jī)了。</p>&

51、lt;p>　　還有一種情況，你可以命令防火墻專(zhuān)給那臺(tái)可憐的PC機(jī)找茬，別人的數(shù)據(jù)包都讓過(guò)就它不行。這正是防火墻最基本的功能：根本IP地址做轉(zhuǎn)發(fā)判斷。但要上了大場(chǎng)面這種小伎倆就玩不轉(zhuǎn)了，由于黑客們可以采用IP地址欺騙技術(shù)，偽裝成合法地址的計(jì)算機(jī)就可以穿越信任這個(gè)地址的防火墻了。不過(guò)根本地址的轉(zhuǎn)發(fā)決策機(jī)制還是最基本和必需的。另外要注意的一點(diǎn)是，不要用DNS主機(jī)名建立過(guò)濾表，對(duì)DNS的偽造比IP地址欺騙要容易多了。</p>

52、<p>　　服務(wù)器TCP/UDP端口過(guò)濾</p><p>　　僅僅依靠地址進(jìn)行數(shù)據(jù)過(guò)濾在實(shí)際運(yùn)用中是不可行的，還有個(gè)原因就是目標(biāo)主機(jī)上往往運(yùn)行著多重通信服務(wù)，比方說(shuō)，我們不想讓用戶采用telnet的方式連到系統(tǒng)，但這絕不等于我們非得同時(shí)禁止他們使用SMTP/POP郵箱服務(wù)器吧？所以說(shuō)，在地址外我們還要對(duì)服務(wù)器的TCP/UDP端口進(jìn)行過(guò)濾。</p><p>　　比如，默認(rèn)的tel

53、net服務(wù)連接端口號(hào)是23.假如我們不許PC客戶機(jī)建立對(duì)UNIX計(jì)算機(jī)（在這時(shí)我們當(dāng)它是服務(wù)器）的telnet連接，那么我們只需命令防火墻檢查發(fā)送目標(biāo)是UNIX服務(wù)器的數(shù)據(jù)包，把其中具有23目標(biāo)端口號(hào)的包過(guò)濾就行了。這樣，我們把IP地址和目標(biāo)服務(wù)器TCP/UDP端口結(jié)合起來(lái)不就可以作為過(guò)濾標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)相當(dāng)可靠的防火墻了嗎？不，沒(méi)這么簡(jiǎn)單。</p><p>　　客戶機(jī)也有TCP/UDP端口</p>&l

54、t;p>　　TCP/UDP是一種端對(duì)端協(xié)議，每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)都能具有唯一的地址。網(wǎng)絡(luò)節(jié)點(diǎn)的應(yīng)用層也是這樣，處于應(yīng)用層的每個(gè)層的每個(gè)應(yīng)用程序和服務(wù)都具有自己對(duì)應(yīng)“地址”，也就是端口號(hào)。地址和端口都具備了才能建立客戶機(jī)和服務(wù)起器的各種應(yīng)用之間的有效通信聯(lián)系。比如，telnet服務(wù)器在端口23偵聽(tīng)入站連接。同時(shí)telnet客戶也有一個(gè)端口號(hào)，否則客戶機(jī)的IP桟怎么知道某個(gè)數(shù)據(jù)包是屬于那個(gè)應(yīng)用程序的呢？</p><p>

55、;　　由于歷史的原因，幾乎所有的TCP/IP客戶程序都使用大于1023的隨機(jī)分配端口號(hào)。只有UNIX計(jì)算機(jī)上的root用戶才可以訪問(wèn)1024以下的端口，而這些端口還保留為服務(wù)器上的服務(wù)所用。所以，除非我們讓所有具有大于1023端口號(hào)的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)，否則各種網(wǎng)絡(luò)連接都沒(méi)法正常工作。</p><p><b>　　幾種典型的防火墻</b></p><p><b>

56、;　　天網(wǎng)防火墻系統(tǒng)</b></p><p>　　天網(wǎng)防火墻系列產(chǎn)品功能全面，其代表產(chǎn)品有天網(wǎng)防火墻、天網(wǎng)防火墻個(gè)人版、天網(wǎng)在線檢測(cè)系統(tǒng)等這些產(chǎn)品都具有較高的功能。</p><p><b>　　功能概述：</b></p><p>　　天網(wǎng)防火墻能提供強(qiáng)大的訪問(wèn)控制、身份認(rèn)證、數(shù)據(jù)過(guò)濾、流量控制、虛擬網(wǎng)橋等功能。它還具有DdoS、Do

57、S攻擊防御網(wǎng)關(guān)、完全高保密的VPN功能、先進(jìn)行的負(fù)載分擔(dān)能力、特有的TCP標(biāo)志檢測(cè)功能，以及強(qiáng)大的URL級(jí)攔截與內(nèi)容過(guò)濾的級(jí)數(shù)。它可以實(shí)現(xiàn)方便的地址轉(zhuǎn)換、透明網(wǎng)橋、網(wǎng)絡(luò)黑洞、雙機(jī)熱備份等技術(shù)。</p><p>　　第二節(jié) FortiGate病毒防火墻</p><p>　　Fortonet病毒防火墻是一種基于ASIC硬件體系結(jié)構(gòu)的新型網(wǎng)絡(luò)安全設(shè)備。</p><p>　

58、　FortiGate系列擁有十二款不同產(chǎn)品，包括合適于個(gè)人辦公環(huán)境、小型商務(wù)、中小型企業(yè)產(chǎn)品、以及大型企業(yè)和運(yùn)營(yíng)服務(wù)商的千兆防御網(wǎng)關(guān)。</p><p><b>　　功能概述：</b></p><p>　　該防火墻是一個(gè)易于管理的安全設(shè)備，它提供了以套完整的功能，包括：應(yīng)用層服務(wù)和網(wǎng)絡(luò)服務(wù)。它支持應(yīng)用層服務(wù)，包括防病毒保護(hù)和全內(nèi)容掃描過(guò)濾。</p><

59、;p>　　FortiGate防病毒增強(qiáng)了網(wǎng)絡(luò)的安全性，避免了網(wǎng)絡(luò)澤源的誤用和濫用，可以更好地使用通信資源而不降低網(wǎng)絡(luò)功能。</p><p>　　www.doc88.com/p-706555543301.html</p><p>　　第三節(jié) CISCO PIX防火墻系統(tǒng)</p><p>　　Cisco pix防火墻是CISCO防火墻家族中的專(zhuān)業(yè)防火墻。Cisc

60、o pix防火墻提供全方位的保護(hù)，對(duì)外部網(wǎng)絡(luò)完全屏蔽內(nèi)部網(wǎng)絡(luò)的系統(tǒng)結(jié)構(gòu)，并采用了基于適應(yīng)性安全算法為用戶提供很高級(jí)別安全保護(hù)。</p><p><b>　　功能概述：</b></p><p>　　Cisco pix防火墻的主要功能有企業(yè)級(jí)的安全性，包括狀態(tài)監(jiān)測(cè)防火錢(qián)、VPN、入侵檢測(cè)、多媒體支持和語(yǔ)言安全等，強(qiáng)大的辦公室聯(lián)網(wǎng)功能，可以提供動(dòng)靜態(tài)的網(wǎng)絡(luò)地址解析和端口地址

61、解析等功能，豐富的遠(yuǎn)程管理功能。</p><p>　　第四節(jié) 方正數(shù)碼公司的方御防火墻系列產(chǎn)品</p><p>　　方御防火墻是一體化的硬件產(chǎn)品，通過(guò)與硬件的深層結(jié)合，采用3I技術(shù)，實(shí)現(xiàn)快速匹配。它可根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進(jìn)行訪問(wèn)和監(jiān)測(cè)。同時(shí)還對(duì)任何網(wǎng)絡(luò)連接和會(huì)話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控</p><p><b>　　功能概述：</b>&l

62、t;/p><p>　　方御防火墻入侵檢測(cè)系列集成了網(wǎng)絡(luò)監(jiān)聽(tīng)監(jiān)控、實(shí)時(shí)協(xié)議分析、通過(guò)對(duì)入侵行為分析以及詳細(xì)日志審計(jì)跟蹤，對(duì)黑客入侵進(jìn)行全方位的檢測(cè)。它有較完備的網(wǎng)絡(luò)上的計(jì)算機(jī)的惡意用戶和程序</p><p>　　在windows xp sp2中， windows防火墻有了許多新增特性，其中包括：</p><p>　　默認(rèn)對(duì)計(jì)算機(jī)的所有連接啟用、應(yīng)用于所有連接的全新的全

63、局配置選項(xiàng)、用于全局配置的新增對(duì)話框集、全新的操作模式、啟用安全性、本地網(wǎng)絡(luò)限制、異常流量可以通過(guò)應(yīng)用程序文件指定對(duì)internet協(xié)議第6版（ipv6）的內(nèi)建支持</p><p>　　采用netsh和組策略的新增配置選項(xiàng)</p><p>　　本文將詳細(xì)描述用于手動(dòng)配置全新的windows防火墻的對(duì)話框集。與windows xp（sp2之前的版本）中的icf設(shè)置不同，這些配置對(duì)話框可同時(shí)配

64、置ipv4和ipv6流量。</p><p>　　Windows xp（sp2之前的版本）中的icf設(shè)置包含單個(gè)復(fù)選框（在連接屬性的“高級(jí)”復(fù)選框）和一個(gè)“設(shè)置”按鈕，您可以使用該按鈕來(lái)設(shè)置流量、日志設(shè)置和允許的icmp流量。</p><p>　　在windows xp sp2中，連接屬性的“高級(jí)”選項(xiàng)卡上的復(fù)制框被替換成了一個(gè)“設(shè)置”按鈕，您可以使用該按鈕來(lái)配置常規(guī)設(shè)置、程序和服務(wù)的權(quán)限，

65、指定于連接的設(shè)置、日志設(shè)置和允許的icmp流量。</p><p>　　“設(shè)置”按鈕將運(yùn)行全新的windows防火墻控制面板程序（可在“網(wǎng)絡(luò)和internet連接與安全中心”類(lèi)別中找到）. 新的windows防火墻對(duì)話框包含以下選項(xiàng)卡：</p><p>　　“常規(guī)”“異常” “高級(jí)” “常規(guī)”選項(xiàng)卡在“常規(guī)”選項(xiàng)卡上，您可以選擇以下選項(xiàng)：</p><p><b&

66、gt;　　“啟用(推薦)”</b></p><p>　　選擇這個(gè)選項(xiàng)來(lái)對(duì)“高級(jí)”選項(xiàng)卡上選擇的所有網(wǎng)絡(luò)連接就用windows防火墻。</p><p>　　Windows防火墻居用將僅允許請(qǐng)求的和異常的傳入流量。異常流量可在“異?！边x項(xiàng)卡上進(jìn)行配置。</p><p>　　“不允許異常流量”單擊這個(gè)選項(xiàng)來(lái)僅允許請(qǐng)求的傳入流量。這樣將不允許異常的傳入流量?！爱?/p>

67、?！边x項(xiàng)卡上的設(shè)置將被忽，所有的連接都將受到保護(hù)，而不管“高級(jí)”選項(xiàng)卡上的設(shè)置如何。</p><p>　　“禁用”選項(xiàng)這個(gè)選項(xiàng)來(lái)禁用windows防火墻。不推薦這樣做，特別是對(duì)于通過(guò)internet直接訪問(wèn)的網(wǎng)絡(luò)連接。</p><p>　　注意對(duì)于運(yùn)行windows xp sp2的計(jì)算機(jī)的所有連接和新創(chuàng)建的連接，windows防火墻的默認(rèn)設(shè)置是“啟用（推薦）”。這可能會(huì)影響哪些依賴未請(qǐng)求

68、的傳入流量的程序或服務(wù)的通信。在這樣的情況下，您必須識(shí)別出哪些已不再運(yùn)作的程序，將它們或它們的流量添加為異常流量。許多程序，比如internet瀏覽器和電子郵件客戶端（如：outlook express），不依賴未請(qǐng)求的傳入流量，因而能夠在啟用windows防火墻的情況下正確地運(yùn)作。</p><p>　　如果您在使用組策配置運(yùn)行windows xp sp2的計(jì)算機(jī)的windows的防火墻，您所配置的組策設(shè)置可能不

69、允許進(jìn)行本地配置。在這樣的情況下，“常規(guī)”選項(xiàng)卡和其他選項(xiàng)卡上的選項(xiàng)可能是灰色的，而無(wú)法選項(xiàng)，甚至本地管理員也無(wú)法進(jìn)行選項(xiàng)。</p><p>　　其于組策的windows防火墻設(shè)置允許您配置文件（一組將在您連接到一個(gè)包含域控制器的網(wǎng)絡(luò)時(shí)所應(yīng)用的windows防火墻設(shè)置）和標(biāo)準(zhǔn)配置文件（一組將在您連接到像internet這樣沒(méi)有包含域控制器的網(wǎng)絡(luò)時(shí)所應(yīng)用的windows防火墻設(shè)置）。這些配置對(duì)話框僅顯示當(dāng)前所應(yīng)用的

70、配置文件的windows防火墻設(shè)置。要查看當(dāng)前未應(yīng)用的配置文件的設(shè)置，可使用netsh firewall show命令。要更改當(dāng)前沒(méi)有被應(yīng)用的配置文件的設(shè)置，可使用netsh firewall set 命令。</p><p>　　“異?！边x項(xiàng)卡在“異?！边x項(xiàng)卡上，您可以啟用或禁用某個(gè)現(xiàn)有的程序或服務(wù)，或者維護(hù)用于定義異常流量的程序或服務(wù)的列表。當(dāng)選中“常規(guī)”選項(xiàng)卡上“不允許異常流量”選項(xiàng)時(shí)，異常流量將被拒絕。&l

71、t;/p><p>　　對(duì)于windows xp (sp2 之前的版本)，您只能根據(jù)傳輸控制協(xié)議（tcp）或用戶數(shù)據(jù)報(bào)協(xié)議（udp）端口來(lái)定義異常流量。對(duì)于windows xp sp2,您可以根據(jù)tcp和udp端口或者程序或服務(wù)的文件名來(lái)定義異常流量。在程序或服務(wù)的tcp和udp端口未知或需要在程序或服務(wù)啟動(dòng)時(shí)動(dòng)態(tài)確定的情況下，這種配置靈活性使得配置異常流量更加容易。</p><p>　　已有一

72、組預(yù)先配置的程序和服務(wù)，其中包括：</p><p>　　文件和打印共享、遠(yuǎn)程助手（默認(rèn)啟用）、遠(yuǎn)程桌面、upnp框架，這些預(yù)定義的程序和服務(wù)不可刪除。</p><p>　　如果組策允許，您還可以通過(guò)單擊“添加程序”，創(chuàng)建其于指定的程序名稱(chēng)的附加異常流量，以及通過(guò)單擊“添加端口”，創(chuàng)建其于指定的tcp或udp端口的異常流量。</p><p>　　當(dāng)您單擊“添加端口”時(shí)

73、，將單出“添加端口”對(duì)話框，您可以在其中配置一個(gè)tcp或udp端口。</p><p>　　全新的windows防火墻的特性之一就是能夠定義傳入流量的范圍。范圍定義了允許發(fā)起異常流量的網(wǎng)段。在定義程序或端口的范圍時(shí)，您有兩種選擇：</p><p>　　“任何計(jì)算機(jī)”允許異常流量來(lái)自任何ip地址?！皟H只是我的網(wǎng)絡(luò)（子網(wǎng)）”</p><p>　　僅允許異常流量來(lái)自如下ip

74、地址，它與接收該流量的網(wǎng)絡(luò)連接所連接到的本地網(wǎng)段（子網(wǎng)）相配。列 如，如果該網(wǎng)絡(luò)連接的ip地址被配置為 192 .168.0.99，子網(wǎng)掩得碼為255.255.0.0，那么異常流量?jī)H允許來(lái)自192.168.0.1到192.168.255.254范圍內(nèi)的ip地址。</p><p>　　當(dāng)您希望允許本地家庭網(wǎng)絡(luò)上全都連接到相同子網(wǎng)上的計(jì)算機(jī)以訪問(wèn)某個(gè)程序或服務(wù)，但是又不希望允許替在的惡意internet用戶進(jìn)行訪問(wèn)，

75、那么“僅只是我的網(wǎng)絡(luò)（子網(wǎng)）”設(shè)定的地址范圍很有用。</p><p>　　一旦添加了某個(gè)程序或端口，它在“程序和服務(wù)”列表中就被默認(rèn)禁用。</p><p>　　在“異?！边x項(xiàng)卡上啟用的所有程序或服務(wù)對(duì)“高級(jí)”選項(xiàng)卡上選擇的所有連接都處于啟用狀態(tài)。</p><p>　　“高級(jí)”選項(xiàng)卡“高級(jí)”選項(xiàng)卡包含以下選項(xiàng)：網(wǎng)絡(luò)連接設(shè)置、安全日志、icmp、默認(rèn)設(shè)置</p&g

76、t;<p>　　第四章 防火墻的實(shí)例配置·</p><p><b>　　“網(wǎng)絡(luò)連接設(shè)置”</b></p><p>　　在“網(wǎng)絡(luò)連接設(shè)置”中，您可以：</p><p>　　1指定要在其上啟用windows防火墻的接口集。要啟用windows防火墻，請(qǐng)選中網(wǎng)絡(luò)連接名稱(chēng)后面的復(fù)選框。要禁用windows防火墻，則清除該復(fù)選框。

77、默認(rèn)情況下，所有網(wǎng)絡(luò)連接都啟用了windows防火墻。如果某個(gè)網(wǎng)絡(luò)連接沒(méi)有出現(xiàn)在這個(gè)列表中，那么它就不是一個(gè)標(biāo)準(zhǔn)的網(wǎng)絡(luò)連接。這樣的列子包括internet服務(wù)提供商（isp）提供的自定義發(fā)號(hào)程序。</p><p>　　2、通過(guò)單擊網(wǎng)絡(luò)連接名稱(chēng)，然后單擊“設(shè)置”，配置單獨(dú)的網(wǎng)絡(luò)連接的高級(jí)配置。</p><p>　　如果清除“網(wǎng)絡(luò)連接設(shè)置”中的所有復(fù)選框，那么windows防火墻就不會(huì)保護(hù)您的

78、計(jì)算機(jī)，而不管您是否在“常規(guī)”選項(xiàng)卡上中的“啟用（推薦）”。如果您在“常規(guī)”選項(xiàng)卡上選中了“不允許異常流量”，那么“網(wǎng)絡(luò)連接設(shè)置”中的設(shè)置將被忽，這種情況下所有接口都將受到保護(hù)。</p><p>　　當(dāng)您單擊“設(shè)置”時(shí)，將單出“高級(jí)設(shè)置”對(duì)話框。</p><p>　　在“高級(jí)設(shè)置”對(duì)話框上，您可以在“服務(wù)”選項(xiàng)卡上配置特定的服務(wù)（僅根據(jù)tcp或udp端口來(lái)配置），或者在“icmp”選項(xiàng)卡上

79、啟用特定類(lèi)型的icmp流量。</p><p>　　這兩個(gè)選項(xiàng)卡等價(jià)于windows xp (sp2 之前的版本)中的icf配置的設(shè)置選項(xiàng)卡。</p><p>　　“安全日志”在“安全日志”中，請(qǐng)單擊“設(shè)置”，以便在“日志設(shè)置”對(duì)話框中指定windows防火墻日志的設(shè)置，在“日志設(shè)置”對(duì)話框中，您可以配置是否要記錄丟棄的數(shù)據(jù)包或成功的連接，以及指定日志文件的名稱(chēng)和位置（默認(rèn)設(shè)置為system

80、rootpfirewall.log）及其最大容量。“icmp”在“icmp”中，請(qǐng)單擊“設(shè)置”以便在“icmp”對(duì)話框中指定允許的icmp流量類(lèi)型，在“icmp”對(duì)話框中，您可以啟用和jywindows防火墻允許在“高級(jí)”選項(xiàng)卡上選擇的所有連接傳入的icmp消息的類(lèi)型。icmp消息用于診斷、報(bào)告錯(cuò)誤情況和配置。默認(rèn)情況下，該列表中不允許任何icmp消息。</p><p>　　診斷連接問(wèn)題的一個(gè)常用步驟是使用pin

81、g工具檢驗(yàn)?zāi)鷩L試連接到的計(jì)算機(jī)地址。在檢驗(yàn)時(shí)，您可以發(fā)送一條icmp echo消息，然后獲得一條icmp echo reply消息作為響應(yīng)。默認(rèn)情況下，windows防火墻不允許傳入icmp echo消息，因此該計(jì)算機(jī)無(wú)法發(fā)回一條icmp echo reply消息作為響應(yīng)。為了配置windows防火墻允許傳入icmp echo消息，您必須啟用“允許傳入的echo請(qǐng)求”設(shè)置。</p><p>　　“默認(rèn)設(shè)置”單擊“

82、還原默認(rèn)設(shè)置”，將windows防火墻重設(shè)回它的初始安裝狀態(tài)。</p><p>　　當(dāng)您單擊“還原默認(rèn)設(shè)置”時(shí)，系統(tǒng)會(huì)在windows防火墻設(shè)置改變之前提示您核實(shí)自己的決定。</p><p>　　詳解防火墻的配置方法</p><p>　　防火墻的具體配置方法不是千遍的，不要說(shuō)不同品牌，就是同一品牌的不同型號(hào)也不完全一樣，所以在此也只能對(duì)一些通用防火墻配置方法作一其本

83、介紹。同時(shí)，具體的防火墻策略配置會(huì)因具體的應(yīng)用環(huán)境不同而有較大區(qū)別。首先介紹一些基本的配置原則。</p><p>　　Cisco PIX防火墻的基本配置</p><p>　　同樣是用一條竄行電纜從電腦的COM 口連到Cisco PIX 525防火墻的console口；</p><p>　　開(kāi)啟所連電腦和防火墻的電源，進(jìn)入Windows系統(tǒng)自帶的”超級(jí)終端”，通訊參數(shù)

84、可按系統(tǒng)默然。進(jìn)入防火墻初始配置，在其中主要設(shè)置有：Date(日期)、time(時(shí)間)、hostname(主機(jī)名稱(chēng))、inside ip address(內(nèi)部網(wǎng)卡IP地址)、domain(主域)等，完成后也就建立了一個(gè)初始化設(shè)置了。此時(shí)的提示符為：pix255>。</p><p>　　輸入enable命令，進(jìn)入Pix 525特權(quán)用戶模式，默然密碼為空。</p><p>　　如果要修改

85、此特權(quán)用戶模式密碼，則可用enable password命令，命令格式為：enable password [encrypred]，這個(gè)密碼必須大于16位。Encrypted選項(xiàng)是確定所加密碼是否需要加密。</p><p>　　4、定義以太端口：先必須用enable命令進(jìn)入特權(quán)用戶模式，然后輸入configure terminal（可簡(jiǎn)稱(chēng)為config t）,進(jìn)入全局配置模式模式。具體配置</p>&

86、lt;p>　　Pix525>enable</p><p><b>　　Password:</b></p><p>　　Pix525#config t</p><p>　　Pix525(config)#interface ethernet0 auto</p><p>　　Pix525(config)#inter

87、face ethernet1 auto</p><p>　　在默認(rèn)情況下ethernet0是屬外部網(wǎng)卡outside, ethernet1是屬內(nèi)部網(wǎng)卡inside,inside在初始化配置成功的情況下已經(jīng)被激活生效了，但是outside必須命令配置激活。</p><p><b>　　5、clook</b></p><p>　　配置時(shí)鐘，這也非常

88、重要，這主要是為防火墻的日志記錄而資金積累的，如果日志記錄時(shí)間和日期都不準(zhǔn)確，也就無(wú)法正確分析記錄中的信息。這須在全局配置模式下進(jìn)行。</p><p>　　時(shí)鐘時(shí)鐘命令格式有兩種，主要日期格式不同，分別為：</p><p>　　Clock set hh:mm:ss month day month year 和clock set hh:mm:ss day month year</p&g

89、t;<p>　　前一種格式為：小時(shí)：分鐘：秒 月 日 年；而后一種格式為：小時(shí)：分鐘：秒 日 月 年，主要在日、月份的前后順序不同。在時(shí)間上如果為0，可以為一位，如：21:0:0</p><p>　　6、指定接口的安全級(jí)別</p><p>　　指定接口安全級(jí)別的命令為nameif，分別為內(nèi)、外部網(wǎng)絡(luò)接口指定一個(gè)適當(dāng)?shù)陌踩?jí)別。在此要注意，防火墻是用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的，外部網(wǎng)絡(luò)是

90、通過(guò)外部接口對(duì)內(nèi)網(wǎng)絡(luò)構(gòu)成威脅的，所以要從根本上保障內(nèi)部網(wǎng)絡(luò)的安全，需要對(duì)外部網(wǎng)絡(luò)接口指定較高的安全級(jí)別，而內(nèi)部網(wǎng)絡(luò)接口的安全級(jí)別稍低，這主要是因?yàn)閮?nèi)部網(wǎng)絡(luò)通信頻繁、可信度高。在Cisco PIX系統(tǒng)防火墻中，安全級(jí)別的定義是由security()這個(gè)參數(shù)決定的，數(shù)字越小安全級(jí)別越高，所以security0是最高的，隨后通常是以10的倍數(shù)遞增，安全級(jí)別也相應(yīng)降低，如下列：</p><p>　　Pix525(conf

91、ig)#nameif Ethernet0 outside security0#outside是指外部接口</p><p>　　Pix525(config)#nameif ethernet1 inside security100#inside 是指內(nèi)部接口</p><p>　　7．配置以太網(wǎng)接口IP地址</p><p>　　所用命令為:ip address,如需配置防

92、火墻上的內(nèi)部網(wǎng)接口IP地址為：192.168.1.0 255.255.255.0；外部網(wǎng)接口IP地址：220.154.20.0 255.255.255.0.配置方法如下：</p><p>　　Pix525（config）#ip address inside 192.168.1.0 255.255.255.0</p><p>　　Pix525(config)#ip address outsi

93、de 220.154.20.0 255.255.255.0</p><p>　　8.access-group</p><p>　　這個(gè)命令是把訪問(wèn)控制列表綁定在特定的接口上。須在配置模式下進(jìn)行配置。命令格式為：access-group acl-ID in interface interface-name,其中的’’acl-ID”是指訪問(wèn)控制列表名稱(chēng)，interface-name為網(wǎng)絡(luò)接口名

94、稱(chēng)。如：</p><p>　　access-group acl-out in interface outside,在外部網(wǎng)絡(luò)接口上綁定名稱(chēng)為”acl-out”的訪問(wèn)控制列表。</p><p>　　clear access-grouta：清除所有綁定的訪問(wèn)控制綁定設(shè)置。</p><p>　　no access-group acl-ID in interface-nam

95、e:清除指定的訪問(wèn)控制綁定設(shè)置。</p><p>　　show access-group acl-ID in interface interface-name:顯示指定的訪問(wèn)控制綁定設(shè)置。</p><p><b>　　9.配置訪問(wèn)列表</b></p><p>　　所用配置命令為：access-list,合格格式比較復(fù)雜，如下：</p>

96、;<p>　　標(biāo)準(zhǔn)規(guī)則的創(chuàng)建命令：access-list[normal special ] listnumber1 {permit deny}source-addr[soutce-mask]</p><p>　　擴(kuò)展規(guī)則的創(chuàng)建命令：access-list[normal special ] listnumber2{permit deny} source-addr source-mask

97、 [operator port1[port2] ]dest-addr dest-mask[operatot port1[port2] icmp-type[icmp-code] ] [log]</p><p>　　它是防火墻的主要配置部分，上述格式中帶“[]”部分是可選項(xiàng)，listnumber參數(shù)是規(guī)則號(hào)。標(biāo)準(zhǔn)規(guī)則號(hào)（listnumber1）是1~99之間的整數(shù)，而擴(kuò)展規(guī)則號(hào)（listnumber2）是100~19

98、9之間的整數(shù)。它主要是通過(guò)服務(wù)權(quán)限“permit”和”deny”來(lái)指定的。網(wǎng)絡(luò)協(xié)議一般有IP TCP UDP ICMP等等。如只允許訪問(wèn)通過(guò)防火墻對(duì)主機(jī)：220.154.20,。254進(jìn)行www訪問(wèn)，則可按以下配置：</p><p>　　Pix525(config)#access-liet 100 permit 220.154.20.254 ep www</p><p>　　其中的

99、100表示訪問(wèn)規(guī)則號(hào)，根據(jù)當(dāng)前已配置的規(guī)則條數(shù)來(lái)確定，不能與原來(lái)規(guī)則的重要，也必須是正整數(shù)。關(guān)于這個(gè)命令還將在下面的高級(jí)配置命令中詳細(xì)介紹。</p><p>　　10.地址轉(zhuǎn)換（NAT）</p><p>　　防火墻的NAT配置路由器的NAT配置基本一樣，首先也必須定義供NAT轉(zhuǎn)換的內(nèi)部IP地址組，接著定義內(nèi)部網(wǎng)段。</p><p>　　定義供NAT轉(zhuǎn)換的內(nèi)部地址組的

100、命令是nat，它的格式為：NAT[(if-name)] nat-id local-ip [netmask[max-conns[]em-limit]]],其中if-name為接口名；nat-id參數(shù)代表內(nèi)部地址組號(hào)；而local-ip為本地網(wǎng)絡(luò)地址；netmask為子網(wǎng)掩碼；max-conns 為此接口上允許的最大TCP連接數(shù)，默認(rèn)為“0”，表示不限制連接；em-limit為允許從此端口發(fā)出的連接數(shù)，默認(rèn)也為“0”，不限制。如：</

101、p><p>　　Nat(inside)1 10.1.6.0 255.255.255.0</p><p>　　表示把所有網(wǎng)絡(luò)地址10.1.6.0,子網(wǎng)掩碼255.255.255.0的主機(jī)地址定義為1號(hào)NAT地址組。</p><p>　　隨后再定義內(nèi)部地址轉(zhuǎn)換后可用的外部地址池，它搜用的命令為global,基本命令格式為Global[(if-name)]nat-id glo

102、bal-ip [natmask[max-conns[em-limit]]],各參數(shù)解釋同上。如：</p><p>　　Global(outside)1 175.1.1.3-175.1.1.64 netmask 255.255,255.0</p><p>　　將上述nat命令所定的內(nèi)部IP地址組轉(zhuǎn)換成175.1.1.3~175.1.1.64的外部地址池中的外部IP地址，其子網(wǎng)掩碼為255.2

103、55.255.0.</p><p>　　11.port Redirection with Statics</p><p>　　這是靜態(tài)端口重定向命令。在Cisco PIX版本6.0以上，增加了端口重定向的功能，允許外部用戶提通過(guò)一個(gè)特殊的IP地址、端口通過(guò)防火墻傳輸?shù)絻?nèi)部指定的內(nèi)部服務(wù)器。其中重定向后的地址可以是單一外部地址、共享的外部地址轉(zhuǎn)換端口（PAI），或者是共享的外部端口。這

104、種功能也就是可以發(fā)布內(nèi)部WWW、FTP、Mail等服務(wù)器，這種方式并不是直接與內(nèi)部服務(wù)器連接，而是通過(guò)端口重定向連接的，所以可使用內(nèi)部服務(wù)器很安全。</p><p>　　命令格式有兩種，分別適用于TCP/UDP通信；</p><p>　　static[(internal_if_name, external_if_name)]{global_ip interface}local_ip【net

105、mask mask】 max_conns [emb_limit[norandomseq]]]</p><p>　　static[(internal_if_name,external_if_name)]{tcpudp}[global_ipinterface]global_port local_ip local_part local_ip local_port [netmask mask][mas_conns [em

106、b_limit[norandomseq]]]</p><p>　　此命令中的以上各參數(shù)解釋如下；</p><p>　　Internal_if_name;內(nèi)部接口名稱(chēng)；external_if_name：外部接口名稱(chēng)；{tcpudp}:選擇通信協(xié)議類(lèi)型；{global_ip interface}:重定向后的外部IP地址或共享端口；local_ip:代本地IP地址：[netmask mask]

107、:本地子網(wǎng)掩碼：max_conns:允許的最大TCP連接數(shù)，默認(rèn)為“0”，不限制：emb_limit:允許從此端口發(fā)起的連接數(shù)，默認(rèn)也為“0”，不限制；norandomseq:不對(duì)數(shù)據(jù)包，此參守護(hù)通常不用選。</p><p>　　第三節(jié) 防火墻典型配置舉例</p><p><b>　　組網(wǎng)需求</b></p><p>　　該公司通過(guò)一臺(tái)Qu

108、idway路由器的來(lái)接口Serial 0訪問(wèn)Internet,格公司內(nèi)部對(duì)外提供WWW、FTP和Telnet服務(wù)，公司內(nèi)部子網(wǎng)為129.38.1.0其中，內(nèi)部FTP服務(wù)器地址為129.38.1.1，內(nèi)部Telnet服務(wù)器地址為129.38.1.2，內(nèi)部WWW服務(wù)器地址為129.38.1.3，公司對(duì)外電子為202.38.160.1.在路由器上配置了地址轉(zhuǎn)換，這樣內(nèi)部PC及可以訪問(wèn)Internet,外部PC可以訪問(wèn)內(nèi)部服務(wù)器。通過(guò)配置防火墻

109、，希望實(shí)現(xiàn)以下要求：</p><p>　　外部網(wǎng)絡(luò)只是特定用戶可以訪問(wèn)內(nèi)部服務(wù)器</p><p>　　內(nèi)部網(wǎng)絡(luò)只有特定主機(jī)可以訪問(wèn)外部網(wǎng)絡(luò)</p><p>　　在本咧中，假定外部特定用戶的IP地址為202.39.2.3</p><p><b>　　組網(wǎng)圖</b></p><p><b>

110、　　配置步驟</b></p><p><b>　　#打開(kāi)防火墻功能</b></p><p>　　[Quidway]firewall enable</p><p>　　#配置防火墻缺省過(guò)方式允許包通過(guò)</p><p>　　[Quidway]firewall enable</p><p>

111、　　#配置訪問(wèn)規(guī)則禁止所有包通過(guò)</p><p>　　[Quidway]acl 101</p><p>　　[Quidway-acl-101]ruledeny ip source any destination any</p><p>　　#配置規(guī)則允許特定主機(jī)服務(wù)外部網(wǎng)，允許內(nèi)部服務(wù)器訪問(wèn)外部網(wǎng)</p><p>　　[Quidway-acl

112、-101]rule permit ip source 129.38.1.4.0 destination any</p><p>　　[Quidway-acl-101]rule permit ip source 129.38.1.1.0destination any</p><p>　　[Quidway-acl-101]rule permit ip source 129.38.1.2.0 d

113、estination any</p><p>　　[Quidway-acl-101]rule permit ip source 129.38.1.3.0destination any</p><p>　　#配置規(guī)則允許特定用戶從外部網(wǎng)訪問(wèn)內(nèi)部服務(wù)器。</p><p>　　[Quidway-acl-101]acl 102</p><p>　　[

114、Quidway-acl-102]rule permit tcp source 202.39.2.3.0dstination any202 .38.160.1.0</p><p>　　#配置規(guī)則允許特定用戶從外部網(wǎng)取得數(shù)據(jù)（只允許端口大小1024的包）</p><p>　　[Quidway-acl-102]rule permit tcp source any destination 202.

115、38.160.1 0.0.0-filt.0 destination-port greater-than 1024</p><p>　　#將規(guī)則101作用于從接口Ethernet0進(jìn)入的包。</p><p>　　[Quidway-Ethernet0]firewall packet-filter 101 inbound</p><p>　　#將規(guī)則102作用于接口Ser

116、ia10進(jìn)入的包。</p><p>　　[Quidway-Seria10]firewall packet-filter 102 inbound</p><p>　　第五章、防火墻的基本類(lèi)型</p><p>　　防火墻的基本類(lèi)型包括包過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT、應(yīng)用代理和狀態(tài)檢測(cè)。</p><p>　　第一節(jié) 包過(guò)濾　　</p>

117、<p>　　包過(guò)濾是防火墻的初級(jí)類(lèi)型,依靠自身的數(shù)據(jù)安全保護(hù)機(jī)制來(lái)控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)。它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設(shè)置可基于源地址、源端口、目的地址、目的端口、協(xié)議和時(shí)間；可根據(jù)地址薄進(jìn)行設(shè)置規(guī)則。其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火

118、墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門(mén)外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判規(guī)則。</p><p>　　第二節(jié) 網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT</p><p>　　網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把內(nèi)部IP地址轉(zhuǎn)換成臨時(shí)的、注冊(cè)的外部IP地址。網(wǎng)絡(luò)地址轉(zhuǎn)換允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)通過(guò)地址轉(zhuǎn)換訪問(wèn)因特網(wǎng)，用戶不許

119、要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。全網(wǎng)卡訪問(wèn)外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄，系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過(guò)非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。使得有限的外網(wǎng)IP就能滿足內(nèi)網(wǎng)用戶對(duì)外網(wǎng)的訪問(wèn)，同時(shí)還能夠避免受到來(lái)自外部其他網(wǎng)絡(luò)的非授權(quán)訪問(wèn)或惡意攻擊。緩解了地址空間的短缺問(wèn)題，節(jié)省了資源，降低了成本。在外部網(wǎng)絡(luò)通過(guò)非安全網(wǎng)卡訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)

120、的連接情況，而只是通過(guò)一個(gè)開(kāi)放的IP地址和端口來(lái)請(qǐng)求訪問(wèn)。 </p><p><b>　　第三節(jié) 應(yīng)用代理</b></p><p>　　代理型防火墻的優(yōu)點(diǎn)是安全性較高。應(yīng)用代理完全接管了用戶與服務(wù)器的訪問(wèn)，把用戶主機(jī)與服務(wù)器之間的數(shù)據(jù)包的交換通道給隔離起來(lái)。應(yīng)用代理不允許外部主機(jī)連接到內(nèi)部的網(wǎng)絡(luò)，只允許內(nèi)部主機(jī)使用代理服務(wù)器訪問(wèn)Internet主機(jī)，同時(shí)只有被認(rèn)

121、為""可信任的""代理服務(wù)器才可以允許通過(guò)應(yīng)用代理。在實(shí)際的應(yīng)用中，應(yīng)用代理的功能是由代理服務(wù)器來(lái)完成的。[本文轉(zhuǎn)自：lunwen.1kejian.com]</p><p><b>　　第四屆 狀態(tài)檢測(cè)</b></p><p>　　狀態(tài)檢測(cè)防火墻是新一代的防火墻技術(shù)，由Check Point公司引入。它監(jiān)視每一個(gè)有效連接的狀態(tài)，

122、并根據(jù)這些信息決定網(wǎng)絡(luò)數(shù)據(jù)包是否能夠通過(guò)防火墻。通過(guò)狀態(tài)檢測(cè)技術(shù)，動(dòng)態(tài)地維護(hù)各個(gè)連接的協(xié)議狀態(tài)。狀態(tài)檢測(cè)在包過(guò)濾的同時(shí)，檢查數(shù)據(jù)包之間的關(guān)聯(lián)性和數(shù)據(jù)包中的動(dòng)態(tài)變化。</p><p>　　第六章 防火墻的未來(lái)發(fā)展方向</p><p>　　在防火墻性能和功能不斷發(fā)展的同時(shí), 大多數(shù)業(yè)內(nèi)專(zhuān)家認(rèn)為, 以下五個(gè)方面將是未來(lái)防火墻的發(fā)展方向。</p><p>　　第一節(jié) 防火墻