網(wǎng)絡防火墻的分類及應用方案

1、網(wǎng)絡防火墻的分類及應用方案系別：信息工程系統(tǒng) 專業(yè)：網(wǎng)絡技術專業(yè) 班級：網(wǎng)絡二班姓名：武連玲學號：0903032209 指導教師：呂秀鑒日期：2011年10月31日星期一- 1 -目錄緒論 . - 3 -1.防火墻的概念 . - 3 -1.1 什么是防火墻 . - 3 -1.2 防火墻的原理 . - 4 -2防火墻的分類 . - 5 -2.1基礎和分類 . - 5 -2.2包過濾防火墻 . - 5 -2.3動態(tài)包過濾防火墻 . - 6 -2.4 代理（應用層網(wǎng)關）防火墻 . - 7 -2.5 自適應代理防火墻 . - 7 -3防火墻的安全策略 . - 7 -3.1校校園網(wǎng)防火墻網(wǎng)絡安全策略 .

2、 - 7 -3.2防火墻的基本配置 . - 9 -4防火墻的功能配置 . - 12 -4.1基于內(nèi)網(wǎng)的防火墻功能及配置 . - 12 -5.外網(wǎng)防火墻功能配置 . - 14 -5.1 基于外網(wǎng)的防火墻功能及配置 . - 14 -緒論隨著計算機技術應用的普及，各個組織機構的運行越來越依賴和離不開計算機，各種業(yè)務的運行架構于現(xiàn)代化的網(wǎng)絡環(huán)境中。企業(yè)計算機系統(tǒng)作為信息化程度較高、計算機網(wǎng)絡應用情況比較先進的一個特殊系統(tǒng)，其業(yè)務也同樣地越來越依賴于計算機。保證業(yè)務系統(tǒng)和工作的正常、可靠和安全地進行是信息系統(tǒng)工作的一個重要話題。但是由于計算機系統(tǒng)的安全威脅，給組織機構帶來了重大的經(jīng)濟損失，這種損失可分為

3、直接損失和間接損失：直接損失是由此而帶來的經(jīng)濟損失，間接損失是由于安全而導致工作效率降低、機密情報數(shù)據(jù)泄露、系統(tǒng)不正常、修復系統(tǒng)而導致工作無法進行等。間接損失往往是很難以數(shù)字來衡量的。在所有計算機安全威脅中，外部入侵和非法訪問是最為嚴重的事。在網(wǎng)絡安全防范中，防火墻具有不可或缺的地位。防火墻技術是在安全技術當中又是最簡單，也是最有效的解決方案。它不僅過濾了來自外部的探測、掃描、拒絕服務等攻擊,還能避免內(nèi)網(wǎng)已中木馬的主機系統(tǒng)信息泄露。本論文在詳細分析防火墻工作原理的基礎上，提出一個功能較為完備、性能較好、防火墻系統(tǒng)的本身也較為安全的防火墻系統(tǒng)的設計方案，同時介紹了具體實現(xiàn)過程中的關鍵步驟和主要方

4、法。該防火墻在通常的包過濾防火墻基礎之上，又增加了MAC地址綁定和端口映射等功能，使之具有更完備、更實用、更穩(wěn)固的特點。通過對于具有上述特點的防火墻的配置與測試工作，一方面使得所設計的防火墻系統(tǒng)本身具有高效、安全、實用的特點，另一方面也對今后在此基礎上繼續(xù)測試其它網(wǎng)絡產(chǎn)品作好了一系列比較全面的準備工作。關鍵詞：網(wǎng)絡安全；防火墻；校園網(wǎng)1.防火墻的概念1.1 什么是防火墻防火墻是指設置在不同網(wǎng)絡（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡的信息流，且本身具有較強的抗攻

5、擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。- 3 -防火墻原是設計用來防止火災從建筑物的一部分傳播到另一部分的設施。從理論上講，Internet防火墻服務也有類似目的，它防止Internet（或外部網(wǎng)絡）上的危險（病毒、資源盜用等）傳播到網(wǎng)絡內(nèi)部。Internet（或外部網(wǎng)絡）防火墻服務于多個目的：1、限制人們從一個特別的控制點進入；2、防止入侵者接近你的其它防御設施；3、限定人們從一個特別的點離開；4、有效地阻止破壞者對你的計算機系統(tǒng)進行破壞。1.2 防火墻的原理隨著網(wǎng)絡規(guī)模的擴大和開放性的增強，網(wǎng)絡上的很多敏感信息和保密數(shù)據(jù)將受到很多主動和被動的人為攻擊。一種解決辦法是為

6、需要保護的網(wǎng)絡上的每個工作站和服務器裝備上強大的安全特征(例如入侵檢測)，但這幾乎是一種不切合實際的方法，因為對具有幾百個甚至上千個節(jié)點的網(wǎng)絡，它們可能運行著不同的操作系統(tǒng)，當發(fā)現(xiàn)了安全缺陷時，每個可能被影響的節(jié)點都必須加以改進以修復這個缺陷。另一種選擇就是防火墻 (Firewall)，防火墻是用來在安全私有網(wǎng)絡(可信任網(wǎng)絡)和外部不可信任網(wǎng)絡之間安全連接的一個設備或一組設備，作為私有網(wǎng)絡和外部網(wǎng)絡之間連接的單點存在。防火墻是設置在可信任的內(nèi)部網(wǎng)絡和不可信任的外部網(wǎng)絡之間的一道屏障，它可以實施比較廣泛的安全策略來控制信息流，防止不可預料的潛在的入侵破壞. DMZ外網(wǎng)和內(nèi)部局域網(wǎng)的防火墻系統(tǒng)。-

7、 4 -圖1-2-12防火墻的分類2.1基礎和分類從防火墻的防范方式和側(cè)重點的不同來看，防火墻可以分為很多類型，但是根據(jù)防火墻對內(nèi)外來往數(shù)據(jù)處理方法，大致可將防火墻分為兩大體系：包過濾防火墻和代理防火墻。包過濾防火墻經(jīng)歷了兩代：2.2包過濾防火墻靜態(tài)包過濾防火墻采用的是一個都不放過的原則。它會檢查所有通過信息包里的IP地址號，端口號及其它的包頭信息，并根據(jù)系統(tǒng)管理員給定的過濾規(guī)則和準備過濾的信息包一一匹配，其中：如果信息包中存在一點與過濾規(guī)則不符合，那么這個信息包里所有的信息都會被防火墻屏蔽掉，這個信息包就不會通過防火墻。相反的，如果每條規(guī)都和過濾規(guī)則相匹配，那么信息包就允許通過。靜態(tài)包的過濾

8、原理就是：將信息分成若干個小數(shù)據(jù)片（數(shù)據(jù)包），確認符合防火墻的包過濾規(guī)則后，把這些個小數(shù)據(jù)片按順序發(fā)送，接收到這些小數(shù)據(jù)片后再把它們組織成一個完整的信息這個就是包過濾的原理。這種靜態(tài)包過濾防火墻，對用戶是透明的，它不需要用戶的用戶名和密碼就可以登錄，它的速度快，也易于維護。但由于用戶的使用記錄沒有記載，如果有不懷好意的人進行攻擊的話，我們即不能從訪問記錄中得到它的攻擊記錄，也無法得知它的來源。而一個單純的包過濾的防火墻的防御能力是非常弱的，對于惡意的攻擊者來說是攻破它是非常容易的。其中“信息包沖擊”是攻擊者最常用的攻擊手段：主要是攻擊者對包過濾防火墻發(fā)出一系列地址被替換成一連串順序IP地址的信

9、息包，一旦有一個包通過了防火墻，那么攻擊者停止再發(fā)測試IP地址的信息包，用這個成功發(fā)送的地址來偽裝他們所發(fā)出的對內(nèi)部網(wǎng)有攻擊性的信息。- 5 -圖2-2-12.3動態(tài)包過濾防火墻靜態(tài)包過濾防火墻的缺點，動態(tài)包過濾防火墻都可以避免。它采用的規(guī)則是發(fā)展為“包狀態(tài)檢測技術”的動態(tài)設置包過濾規(guī)則。它可以根據(jù)需要動態(tài)的在過濾原則中增加或更新條目，在這點上靜態(tài)防火墻是比不上它的，它主要對建立的每一個連接都進行跟蹤。在這里我們了解的是代理防火墻。代理服務器型防火墻與包過濾防火墻不同之點在于，它的內(nèi)外網(wǎng)之間不存在直接的連接，一般由兩部分組成：服務器端程序和客戶端程序，其中客戶端程序通過中間節(jié)點與提供服務的服務

10、器連接。代理服務器型防火墻提供了日志和審記服務。圖2-2-3- 6 -2.4 代理（應用層網(wǎng)關）防火墻這種防火墻被網(wǎng)絡安全專家認為是最安全的防火墻，主要是因為從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就像是源于防火墻外部網(wǎng)卡一樣，可以達到隱藏內(nèi)部網(wǎng)結構的作用。由于內(nèi)外網(wǎng)的計算機對話機會根本沒有，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。2.5 自適應代理防火墻自適應代理技術是商業(yè)應用防火墻中實現(xiàn)的一種革命性技術。它結合了代理類型防火墻和包過濾防火墻的優(yōu)點，即保證了安全性又保持了高速度，同時它的性能也在代理防火墻的十倍以上，在一般的情況下，用戶更傾向于這種防火墻。圖2-2-23防火墻

11、的安全策略3.1校校園網(wǎng)防火墻網(wǎng)絡安全策略討論防火墻安全策略一般實施兩個基本設計方針之一：1拒絕訪問除明確許可以外的任何一種服務，即拒絕一切未予特許的東西2允許訪問除明確拒絕以外的任何一種服務，即允許一切未被特別拒絕的東西校園網(wǎng)防火墻的網(wǎng)絡安全策略采取第一種安全控制的方針，確定所有可以被提供的服務以及它們的安全特性，然后開放這些服務，并將所有其它未被列入的服務排斥在外，禁止訪問。- 7 -校園網(wǎng)網(wǎng)絡結構拓撲圖如圖4-1所示:圖3-1-1校園網(wǎng)網(wǎng)絡總拓撲結構圖在實際應用環(huán)境中，一般情況下防火墻網(wǎng)絡可劃分為三個不同級別的安全區(qū)域：內(nèi)部網(wǎng)絡：這是防火墻要保護的對象，包括全部的內(nèi)部網(wǎng)絡設備及用戶主機。

12、這個區(qū)域是防火墻的可信區(qū)域(這是由傳統(tǒng)邊界防火墻的設計理念決定的)。外部網(wǎng)絡：這是防火墻要防護的對象，包括外部網(wǎng)主機和設備。這個區(qū)域為防火墻的非可信網(wǎng)絡區(qū)域(也是由傳統(tǒng)邊界防火墻的設計理念決定的)。DMZ(非軍事區(qū))：它是從內(nèi)部網(wǎng)絡中劃分的一個小區(qū)域，在其中就包括內(nèi)部網(wǎng)絡中用于公眾服務的外部服務器，如Web服務器、郵件服務器、DNS服務器等，它們都是為互聯(lián)網(wǎng)提供某種信息服務。在以上三個區(qū)域中，用戶需要對不同的安全區(qū)域制訂不同的安全策略。雖然內(nèi)部網(wǎng)絡和DMZ區(qū)都屬于內(nèi)部網(wǎng)絡的一部分，但它們的安全級別(策略)是不同的。對于要保護的大部分內(nèi)部網(wǎng)絡，一般情況下禁止所有來自互聯(lián)網(wǎng)用戶的訪問；而由內(nèi)部網(wǎng)絡

13、劃分出去的DMZ區(qū)，因需為互聯(lián)網(wǎng)應用提供相關的服務，這些服務器上所安裝的服務非常少，所允許的權限非常低，真正有服務器數(shù)據(jù)是在受保護的內(nèi)部網(wǎng)絡主機上，所以黑客攻擊這些服務器沒有任何意義，既不能獲取什么有用的信息，也不能通過攻擊它而獲得過高的網(wǎng)絡訪問權限。通過NAT(網(wǎng)絡地址轉(zhuǎn)換)技術將受保護的內(nèi)部網(wǎng)絡的全部主機地址映射成防火墻上設置的少數(shù)幾個有效公網(wǎng)IP地址。這樣可以對外屏蔽內(nèi)部網(wǎng)絡構和IP地址，保護內(nèi)部網(wǎng)絡的 - 8 -安全；同時因為是公網(wǎng)IP地址共享，所以可以大大節(jié)省公網(wǎng)IP地址的使用。在這種應用環(huán)境中，在網(wǎng)絡拓撲結構上校園網(wǎng)可以有兩種選擇，這主要是根擁有網(wǎng)絡設備情況而定。如果原來已有邊界路

14、由器，則此可充分利用原有設備，利用邊界路由器的包過濾功能，添加相應的防火墻配置，這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護的內(nèi)部網(wǎng)絡連接。對于DMZ區(qū)中的公用服務器，則可直接與邊界路由器相連，不用經(jīng)過防火墻。它可只經(jīng)過路由器的簡單防護。在此拓撲結構中，邊界路由器與防火墻就一起組成了兩道安全防線，并且在這兩者之間可以設置一個DMZ區(qū)，用來放置那些允許外部用戶訪問的公用服務器設施。依照學院的網(wǎng)絡拓撲將網(wǎng)絡劃分成三個部份，如圖4-2所示：外網(wǎng)、DMZ區(qū)和內(nèi)部網(wǎng)絡。外網(wǎng)與Internet相連；DMZ放置各種應用服務器；內(nèi)部網(wǎng)絡連接校內(nèi)用戶；圖3-1-2學院防火墻結構圖應用服務當中

15、EMAIL、DNS和WWW服務需要外網(wǎng)能夠訪問，因此將這些服務規(guī)劃到DMZ區(qū)。3.2防火墻的基本配置學院采用的是防火墻，它的初始配置也是通過控制端口（Console）與PC機的串口連接，再通過超級終端（HyperTerminal）程序進行選項配置。也可以通過telnet和Tffp配置方式進行高級配置，但必需先由Console將防火墻的這些功能打開。NETSCREEN防火墻有四種用戶配置模式，即：普通模式（Unprivilegedmode）、特權模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode）。顯示基本信息：net

16、screenget syst（得到系統(tǒng)信息）- 9 -netscreenget config（得到config信息）netscreenget log event（得到日志）netscreenset ffiliter?（設置過濾器）netscreendebug flow basic是開啟基本的debug功能netscreenclear db是清除debug的緩沖區(qū)netscreenget dbuf stream就可以看到debug的信息了性能問題需收集下列信息：得到下列信息前，請不要重新啟動機器，否則信息都會丟失，無法判定問題所在。netscreenGet per cpu detail（得到CP

17、U使用率）netscreenGet session info（得到會話信息）netscreenGet per session detail（得到會話詳細信息）netscreenGet mac-learn（透明方式下使用，獲取MAC硬件地址）netscreenGet alarm event（得到告警日志）netscreenGet log system（得到系統(tǒng)日志信息）netscreenGet log system saved（得到系統(tǒng)出錯后，系統(tǒng)自動記錄信息，該記錄重啟后不會丟失。設置接口-帶寬,網(wǎng)關設置所指定的各個端口的帶寬速率,單位為kb/sSet interface interface

18、bandwidth numberunset interface interface bandwidth設置接口的網(wǎng)關set interface interface gateway ip_addrunset interface interface gateway設置接口的接口的區(qū)域,IP地址zone就是網(wǎng)絡邏輯上劃分成區(qū),可以在安全區(qū)或安全區(qū)內(nèi)部設置接口的接口的區(qū)域set interface interface zone zone- 10 -unset interface interface zone設置接口的IP地址set interface interface ip ip_addr/mask

19、set interface interface ip unnumbered interface interface2unset interface interface ip ip_addrset interface interface manageident-reset|nsmgmt|ping|snmp|ssh|ssl|telnet|webuiunset interface interface manageident-reset|nsmgmt|ping|snmp|ssh|telnet|webuiWebUI：允許接口通過Web用戶界面(WebUI)接收HTTP管理信息流。Telnet:選擇此選項

20、可啟用Telnet管理功能。SSH:可使用“安全命令外殼”(SSH)通過以太網(wǎng)連接或撥號調(diào)制解調(diào)器管理NetScreen設備。必須具有與SSH協(xié)議版本1.5兼容的SSH客戶端。選擇此選項可啟用SSH管理功能。SNMP:選擇此選項可啟用SNMP管理功能。SSL:選擇此選項將允許接口通過WebUI接收NetScreen設備的HTTPS安全管理信息流。 NS Security Manager:選擇此選項將允許接口接收NetScreen-SecurityManager信息流。Ping:選此選項將允許NetScreen設備響應ICMP回應請求，以確定是否可通過網(wǎng)絡訪問特定的IP地址。Ident-Rese

21、t:與“郵件”或FTP發(fā)送標識請求相類似的服務。如果它們未收到確認，會再次發(fā)送請求。處理請求期間禁止用戶訪問。啟用Ident-reset選項后，NetScreen設備將發(fā)送TCP重置通知以響應發(fā)往端口113的IDENT請求，然后恢復因未確認標識請求而被阻止的訪問。指定允許進行管理的ip地址set interface interface manage-ip ip_addrunset interface interface manage-ip添加只讀權限管理員set admin user Roger password 2bd21wG7 privilege read-only修改帳戶為可讀寫權限-

22、11 -unset admin user Rogerset admin user Roger password 2bd21wG7 privilege all刪除用戶unset admin user Roger清除所有會話,并注銷帳戶clear admin name Roger4防火墻的功能配置4.1基于內(nèi)網(wǎng)的防火墻功能及配置如果在一個局域網(wǎng)內(nèi)部允許Host A上網(wǎng)而不允許Host B上網(wǎng)，則有一種方式可以欺騙防火墻進行上網(wǎng)，就是在HostA還沒有開機的時候，將HostB的IP地址換成Host A的IP地址就可以上網(wǎng)了。那么針對IP欺騙的行為，解決方法是將工作站的IP地址與網(wǎng)卡的MAC地址進行綁

23、定，這樣再改換IP地址就不行了，除非將網(wǎng)卡和IP地址都換過來才行，所以將IP地址與MAC地址進行綁定，可以防止內(nèi)部的IP盜用。但是這種綁定只適合與防火墻同網(wǎng)段的節(jié)點，如果其他網(wǎng)段的節(jié)點通過防火墻進行訪問時，通過網(wǎng)段的源IP地址與目的IP地址是不同的，無法實現(xiàn)IP地址與MAC的綁定。但是可以通過IP地址與用戶的綁定，因為用戶是可以跨網(wǎng)段的。另外對DHCP用戶的支持，如果在用DHCP服務器來動態(tài)分配IP地址的網(wǎng)絡中，主機沒有固定的IP地址，如何解決這樣的問題呢？目前主要有兩種方式可以解決這個問題，第一種是在防火墻中內(nèi)置DHCP服務器，但這種方式由于防火墻內(nèi)置DHCP服務器，會導致防火墻本身的不安全

24、，如果有一天防火墻失效，造成DHCP服務器宕機會影響整個網(wǎng)絡而并不僅僅只對出口造成影響。另一種比較好的解決方法是防火墻支持基于MAC地址的訪問控制，在配置之前，先不添IP地址只添網(wǎng)卡的MAC地址，開機后自動將獲得的IP地址傳給防火墻，防火墻根據(jù)這個IP地址與MAC地址進行綁定來實現(xiàn)訪問控制，這種方式可以實現(xiàn)IP地址與MAC地址的綁定。這種方式的好處是防火墻受到破壞并不會對這個局域網(wǎng)的通訊產(chǎn)生影響，DHCP服務器不會受到影響，整個網(wǎng)絡也不需要進行改動。（用戶）綁定針對IP欺騙的行為，我校校園網(wǎng)網(wǎng)絡設置中將工作站的IP地址與網(wǎng)卡的MAC地址進行綁定。- 12 -這樣再改換IP地址就不行了，除非將網(wǎng)

25、卡和IP地址都換過來才行，所以將IP地址與MAC地址進行綁定，可以防止內(nèi)部的IP盜用。上面的綁定方式只適合與防火墻同網(wǎng)段的節(jié)點，如果其他網(wǎng)段的節(jié)點通過防火墻進行訪問時，通過網(wǎng)段的源IP地址與目的IP地址是不同的，無法實現(xiàn)IP地址與MAC的綁定。實現(xiàn)方法是通過IP地址與用戶的綁定，因為用戶是可以跨網(wǎng)段的。另外對我校DHCP用戶的支持，如果在用DHCP服務器來動態(tài)分配IP地址的網(wǎng)絡中，主機沒有固定的IP地址，解決方法是設置防火墻支持基于MAC地址的訪問控制，在配置之前，先不添IP地址，只添加網(wǎng)卡的MAC地址，開機后自動將獲得的IP地址傳給防火墻，防火墻根據(jù)這個IP地址與MAC地址進行綁定來實現(xiàn)訪問

26、控制，這種方式可以實現(xiàn)IP地址與MAC地址的綁定。這種方式的好處是防火墻受到破壞并不會對這個局域網(wǎng)的通訊產(chǎn)生影響，DHCP服務器不會受到影響，整個網(wǎng)絡也不需要進行改動。通過遠程訪問WEB服務器域名地址就可以訪問到Web服務器的主頁，但這樣是直接對我的WEB服務器進行訪問和操作很不安全。如果有防火墻，可以把將WEB服務器的地址映射到防火墻的外端口地址，做完映射以后，這些服務器可以使用私有地址，或者這些地址不公開保護起來，對外公開的WEB服務器的地址是防火墻的外端口地址。因此，通過這種方式有兩個優(yōu)點，第一是這些服務器可以使用私有地址，同時也隱藏了內(nèi)網(wǎng)的結構，如果這時黑客進行攻擊，內(nèi)網(wǎng)是安全的，因為

27、Web服務器公開的地址是防火墻的外端口，真正的WEB服務器的地址不會受到攻擊，這樣可以增加網(wǎng)絡的安全性。網(wǎng)絡地址轉(zhuǎn)換可以將內(nèi)網(wǎng)的私有地址利用防火墻的地址轉(zhuǎn)換功能，來實現(xiàn)對地址的轉(zhuǎn)換，防火墻可以隨機設置靜態(tài)合發(fā)地址或者動態(tài)地址池，防火墻向外的報文可以從地址池里隨機找一個報文轉(zhuǎn)發(fā)出來。利用這個方式也有兩個優(yōu)點：第一可隱藏內(nèi)網(wǎng)的結構，第二是內(nèi)部網(wǎng)絡可以使用保留地址，提供IP復用功能。具體NAT功能配置如下：nat inside source list 22 pool pool1005.外網(wǎng)防火墻功能配置5.1 基于外網(wǎng)的防火墻功能及配置防范DOS攻擊的傳統(tǒng)技術主要有4種：加固操作系統(tǒng)，即配置操作系統(tǒng)

28、各種參數(shù)以加強系統(tǒng)穩(wěn)固性利用防火墻負載均衡技術，即把應用業(yè)務分布到幾臺不同的服務器上帶寬限制和QOS保證本論文主要介紹利用防火墻來應對DOS的攻擊。目前絕大數(shù)的主流防火墻都支持IPInspect功能，防火墻會對進入防火墻的信息進行嚴格的檢測。這樣，各種針對系統(tǒng)漏洞的攻擊包會自動被系統(tǒng)過濾掉，從而保護了網(wǎng)絡免受來自外部的系統(tǒng)漏洞攻擊。通過設置ACL過濾、TCP監(jiān)聽功能，過濾不必要的UDP和ICMP數(shù)據(jù)報。防火墻的基本配置如下：firewall(config)#nameif fa0/1 inside security 100- 14 -firewall(config)#nameif fa0/2 i

29、nside security 100firewall(config)#nameif fa0/3 outside security 0firewall(config)#int fa0/1 autofirewall(config-if)#no shutdownfirewall(config-if)#int fa0/2 autofirewall(config-if)#no shutdownfirewall(config-if)#int fa0/3 autofirewall(config-if)#no shutdownfirewall(config-if)#exit由于我們經(jīng)常會開啟一些小服務，例如e

30、cho(回顯)端口和discard(丟棄)端口，用于診斷，回顯端口將重放那些端口所接受到的數(shù)據(jù)包，而丟棄端口則將數(shù)據(jù)包丟棄，由于丟棄數(shù)據(jù)包或回顯數(shù)據(jù)包都會消耗Pcu周期，一些DOS攻擊就采用這些端口。所以建議在防火墻接口上關閉這些服務firewall(config)#no service tcp-small-serversfirewall(config)#no service udp-small-serversfirewall(config)#no service finnerfirewall(config)#no ip directed-broadcast防火墻最基本的功能是訪問控制功能，一個域的信息流穿過防火墻對另一個域進行訪問的時候，防火墻可以截獲信息并對信息進行檢查，按著管理員設置的安全策略逐條進行匹配，如果符合安全策略，則逐條進行轉(zhuǎn)發(fā)；不符合則進行堵斷。因此防火墻基本的