計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)VIP

1、山西信息職業(yè)技術(shù)學(xué)院畢業(yè)論文（設(shè)計(jì)）計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)韓龑論文指導(dǎo)教師 劉鵬 信息工程系 學(xué)生所在系部 信息工程系 專業(yè)名稱 網(wǎng)絡(luò)系統(tǒng)管理 論文提交日期 2013年 4 月 日 論文答辯日期 2013年 4 月 日2013 年 4 月 日論文題目：計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)專 業(yè)：網(wǎng)絡(luò)系統(tǒng)管理學(xué) 生：韓龑 簽名： 指導(dǎo)老師：劉鵬 簽名： 摘 要近年來,網(wǎng)絡(luò)犯罪的遞增、大量黑客網(wǎng)站的誕生，網(wǎng)絡(luò)系統(tǒng)的安全問題越來越受到重視。網(wǎng)絡(luò)系統(tǒng)的安全對于國家機(jī)關(guān)、銀行、企業(yè)是至關(guān)重要的，即使是對于學(xué)校、甚至個(gè)人也是如此。因此，安全保密工作越來越成為網(wǎng)絡(luò)建設(shè)中的關(guān)鍵技術(shù)，防火墻技術(shù)就是其中重要的一環(huán)。防

2、火墻相當(dāng)于一個(gè)控流器，可用來監(jiān)視或拒絕應(yīng)用層的通信業(yè)務(wù)，它通過建立一整套規(guī)則和策略來監(jiān)測和限制穿過防火墻的數(shù)據(jù)流，允許合法數(shù)據(jù)包通過，組織非法數(shù)據(jù)包通過，從而達(dá)到有效保護(hù)內(nèi)部網(wǎng)絡(luò)安全的目的?！娟P(guān)鍵詞】 計(jì)算機(jī)網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)入侵 數(shù)據(jù)加密【論文類型】應(yīng)用、硬件或其它Title：Problems and Countemeasures of network secuntyMajor：Network system managementName：Hanyan Signature： Supervisor：Liupeng Signature： AbstractIn recent years,incre

3、asingcyber crime,the birth ofa large number ofhacking sites,networksecurity issuesmore and more attention. Network securityfor the countryoffices, banks,businessis crucial,even forschools,even individualsas well. Therefore, thesecurity and confidentiality ofnetwork constructionis increasinglybecomin

4、ga keytechnology,firewall technologyis oneimportant part. Firewallis equivalent toaflow controldevicecan be used tomonitoror denytheapplication layertraffic. It isthrough the establishment ofa set ofrules and policies tomonitor andrestrictthe flow of datathrough the firewallto allowlegitimatepackets

5、,organizing illegalpackets,so as to achieveeffective protection ofinternal networksecurity.【Keywords】:computer network, Network Security, Firewall, SingleSubnet【Type of Thesis】:Application, hardware or other目 錄1計(jì)算機(jī)網(wǎng)絡(luò)安全概述21.1計(jì)算機(jī)網(wǎng)絡(luò)安全的含義21.2 計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的威脅21.2.1網(wǎng)絡(luò)缺陷21.2.2黑客攻擊31.2.3各種病毒31.2.4網(wǎng)絡(luò)資源濫用31.2.5信

6、息泄漏31.3 計(jì)算機(jī)網(wǎng)絡(luò)安全產(chǎn)生的原因及缺陷31.3.1 TCP/IP的脆弱性31.3.2網(wǎng)絡(luò)結(jié)構(gòu)的不安全性31.3.3易被竊聽41.3.4缺乏安全意識41.4 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素41.4.1網(wǎng)絡(luò)資源的共享性41.4.2網(wǎng)絡(luò)的開放性41.4.3網(wǎng)絡(luò)操作系統(tǒng)的漏洞41.4.4網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷41.4.5惡意攻擊42計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略52.1 隱藏IP地址52.2 關(guān)閉不必要的端口52.3更換管理員賬戶52.4 杜絕Guest帳戶的入侵52.5 防火墻技術(shù)52.6 數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)82.7入侵檢測系統(tǒng)82.8 病毒防患技術(shù)83防火墻技術(shù)93.1 防火墻的定義93.2 防

7、火墻的功能93.3 防火墻的類型93.3.1 包過濾技術(shù)防火墻93.3.2 代理服務(wù)器防火墻103.3.3 復(fù)合型防火墻103.3 防火墻的工作原理103.3.1 包過濾防火墻103.3.2 應(yīng)用網(wǎng)關(guān)防火墻103.3.3 狀態(tài)監(jiān)視技術(shù)113.3.4 復(fù)合型防火墻113.4 防火墻的初始配置123.5 過濾型防火墻的訪問控制表（ACL）配置143.6 雙宿主機(jī)網(wǎng)關(guān)(Dual Homed Gateway)183.7 屏蔽主機(jī)網(wǎng)關(guān)(Screened Host Gateway)183.8 屏蔽子網(wǎng)(Screened Subnet)19總 結(jié)20致 謝21參考文獻(xiàn)22引 言近年來，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛

8、速發(fā)展，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，在帶來了前所未有的海量信息的同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)的安全性變得日益重要起來，由于計(jì)算機(jī)網(wǎng)絡(luò)聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)資源的共享性等因素，致使計(jì)算機(jī)網(wǎng)絡(luò)容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊。為確保信息的安全與網(wǎng)絡(luò)暢通，研究計(jì)算機(jī)網(wǎng)絡(luò)的安全與防護(hù)措施已迫在眉捷，但網(wǎng)絡(luò)安全問題至今仍沒有能夠引起足夠的重視，更多的用戶認(rèn)為網(wǎng)絡(luò)安全問題離自己尚遠(yuǎn)，這一點(diǎn)從大約有40%以上的用戶特別是企業(yè)級用戶沒有安裝防火墻(Firewall)便可以窺見一斑，而所有的問題都在向大家證明一個(gè)事實(shí)，大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻而引

9、發(fā)，所以防火墻技術(shù)應(yīng)當(dāng)引起我們的注意和重視。本文主要研究網(wǎng)絡(luò)安全的缺陷原由及網(wǎng)絡(luò)安全技術(shù)的原理和其他技術(shù)，如防火墻技術(shù)對網(wǎng)絡(luò)安全起到的不可忽視的影響。1計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.1計(jì)算機(jī)網(wǎng)絡(luò)安全的含義計(jì)算機(jī)網(wǎng)絡(luò)安全【2】的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡(luò)安全的認(rèn)識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)

10、的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。1.2 計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的威脅近年來，威脅網(wǎng)絡(luò)安全的事件不斷發(fā)生，特別是計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)發(fā)展迅速的國家和部門發(fā)生的網(wǎng)絡(luò)安全事件越來越頻繁和嚴(yán)重。一些國家和部門不斷遭到入侵攻擊，本文列舉以下事例以供分析和研究之用。事件一：2005年7月14日國際報(bào)道 英國一名可能被引渡到美國的黑客McKinnon表示，安全性差是他能夠入侵美國國防部網(wǎng)站的主要原因。他面臨“與計(jì)算機(jī)有關(guān)的欺詐”的指控，控方稱，

11、他的活動涉及了美國陸軍、海軍、空軍以及美國航空航天局。可以看出，一方面盡管這位黑客的主動入侵沒有惡意，但是事實(shí)上對美國國防部的網(wǎng)絡(luò)信息在安全方面造成威脅，假如這位黑客出于某種目的，那么后果將無法估量；另一方面網(wǎng)絡(luò)技術(shù)很高的國家和部門也會被黑客成功入侵。事件二：2005年6月17日報(bào)道萬事達(dá)信用卡公司稱，大約4000萬名信用卡用戶的賬戶被一名黑客利用電腦病毒侵入，遭到入侵的數(shù)據(jù)包括信用卡用戶的姓名、銀行和賬號，這都能夠被用來盜用資金。如果該黑客真的用這些信息來盜用資金的話，不但將給這些信用卡用戶帶來巨大的經(jīng)濟(jì)損失，而且侵犯了這些信用卡用戶的個(gè)人隱私。1.2.1網(wǎng)絡(luò)缺陷Intemet由于它的開放性

12、迅速在全球范圍內(nèi)普及，但也正是因?yàn)殚_放性使其保護(hù)信息安全存在先天不足。Internet最初的設(shè)計(jì)考慮主要是考慮資源共享，基本沒有考慮安全問題，缺乏相應(yīng)的安全監(jiān)督機(jī)制。1.2.2黑客攻擊自1998年后，網(wǎng)上的黑客越來越多，也越來越猖獗；與此同時(shí)黑客技術(shù)逐漸被越來越多的人掌握現(xiàn)在還缺乏針對網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，“殺傷力”強(qiáng)，這是網(wǎng)絡(luò)安全的主要威脅之一。1.2.3各種病毒病毒時(shí)時(shí)刻刻威脅著整個(gè)互聯(lián)網(wǎng)。像Nimda和CodeRed的爆發(fā)更是具有深遠(yuǎn)的影響，促使人們不得不在網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)考慮對于各種病毒的檢測防治，對病毒徹底防御的重要性毋庸置疑。1.2.4網(wǎng)絡(luò)資源濫用

13、網(wǎng)絡(luò)有了安全保證和帶寬管理，依然不能防止員工對網(wǎng)絡(luò)資源的濫用。等行為極大地降低了員工的工作效率。管理層希望員工更加有效地使用互聯(lián)網(wǎng)，盡量避免網(wǎng)絡(luò)對工作帶來負(fù)面影響。 1.2.5信息泄漏惡意、過失的不合理信息上傳和發(fā)布，可能會造成敏感信息泄漏、有害信息擴(kuò)散，危及社會、國家、體和個(gè)人利益。更有基于競爭需要，利用技術(shù)手段對目標(biāo)機(jī)信息資源進(jìn)行竊取。在眾多人為威脅中來自用戶和惡意軟件即計(jì)算機(jī)病毒的非法侵入嚴(yán)重，計(jì)算機(jī)病毒是利用程序干擾破壞系統(tǒng)正常工作的一種手段，它的產(chǎn)生和蔓延給信息系統(tǒng)的可靠性和安全性帶來嚴(yán)重的威脅和巨大的損失。1.3 計(jì)算機(jī)網(wǎng)絡(luò)安全產(chǎn)生的原因及缺陷1.3.1 TCP/IP的脆弱性因特網(wǎng)

14、的基石是TCP/IP協(xié)議【3】，不幸的是該協(xié)議對于網(wǎng)絡(luò)的安全性考慮得并不多。并且，由于TCP/IP協(xié)議是公布于眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實(shí)施網(wǎng)絡(luò)攻擊。1.3.2網(wǎng)絡(luò)結(jié)構(gòu)的不安全性因特網(wǎng)是一種網(wǎng)間網(wǎng)技術(shù)。它是由無數(shù)個(gè)局域網(wǎng)所連成的一個(gè)巨大網(wǎng)絡(luò)。當(dāng)人們用一臺主機(jī)和另一局域網(wǎng)的主機(jī)進(jìn)行通信時(shí)，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機(jī)器重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機(jī)，他就可以劫持用戶的數(shù)據(jù)包。1.3.3易被竊聽由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密，因此人們利用網(wǎng)上免費(fèi)提供的工具就很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M(jìn)行竊聽。1.3

15、.4缺乏安全意識雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護(hù)屏障，但人們普遍缺乏安全意識，從而使這些保護(hù)措施形同虛設(shè)。如人們?yōu)榱吮荛_防火墻代理服務(wù)器的額外認(rèn)證，進(jìn)行直接的PPP連接從而避開了防火墻的保護(hù)。 1.4 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素1.4.1網(wǎng)絡(luò)資源的共享性資源共享是計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的主要目的，但這為系統(tǒng)安全的攻擊者利用共享的資源進(jìn)行破壞提供了機(jī)會。隨著互聯(lián)網(wǎng)需求的日益增長，外部服務(wù)請求不可能做到完全隔離，攻擊者利用服務(wù)請求的機(jī)會很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。1.4.2網(wǎng)絡(luò)的開放性網(wǎng)上的任何一個(gè)用戶很方便訪問互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個(gè)企業(yè)、單位以及個(gè)人的敏感性信息。1.4.3網(wǎng)絡(luò)操作系統(tǒng)的漏洞網(wǎng)絡(luò)操

16、作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實(shí)現(xiàn)的最終載體之一，它不僅負(fù)責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝，同時(shí)還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。由于網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種實(shí)現(xiàn)過程所帶來的缺陷和漏洞。1.4.4網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷網(wǎng)絡(luò)設(shè)計(jì)是指拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會直接帶來安全隱患。合理的網(wǎng)絡(luò)設(shè)計(jì)在節(jié)約資源的情況下，還可以提供較好的安全性。不合理的網(wǎng)絡(luò)設(shè)計(jì)則會成為網(wǎng)絡(luò)的安全威脅。1.4.5惡意攻擊就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒，這是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化，這類攻擊也是越來越多，影響越來越大。2計(jì)算機(jī)網(wǎng)絡(luò)安

17、全防范策略2.1 隱藏IP地址 黑客經(jīng)常利用一些網(wǎng)絡(luò)探測技術(shù)來查看我們的主機(jī)信息，主要目的就是得到網(wǎng)絡(luò)中主機(jī)的IP地址。IP地址在網(wǎng)絡(luò)安全上是一個(gè)很重要的概念，如果攻擊者知道了你的IP地址，等于為他的攻擊準(zhǔn)備好了目標(biāo)，他可以向這個(gè)IP發(fā)動各種進(jìn)攻，如DoS(拒絕服務(wù))攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使用代理服務(wù)器。 使用代理服務(wù)器后，其它用戶只能探測到代理服務(wù)器的IP地址而不是用戶的IP地址，這就實(shí)現(xiàn)了隱藏用戶IP地址的目的，保障了用戶上網(wǎng)安全。 2.2 關(guān)閉不必要的端口 黑客在入侵時(shí)常常會掃描你的計(jì)算機(jī)端口，如果安裝了端口監(jiān)視程序（比如Netwatch），該監(jiān)視程序則會有

18、警告提示。如果遇到這種入侵，可用工具軟件關(guān)閉用不到的端口，比如，用“NortonInternetSecurity”關(guān)閉用來提供網(wǎng)頁服務(wù)的80和443端口，其他一些不常用的端口也可關(guān)閉。 2.3更換管理員賬戶Administrator帳戶擁有最高的系統(tǒng)權(quán)限，一旦該帳戶被人利用，后果不堪設(shè)想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator帳號。首先是為Administrator帳戶設(shè)置一個(gè)強(qiáng)大復(fù)雜的密碼，然后我們重命名Administrator帳戶，再創(chuàng)建一個(gè)沒有管理員權(quán)限的Administrator帳戶欺騙入侵者。這樣一來，入

19、侵者就很難搞清哪個(gè)帳戶真正擁有管理員權(quán)限，也就在一定程度上減少了危險(xiǎn)性。 2.4 杜絕Guest帳戶的入侵 Guest帳戶即所謂的來賓帳戶，它可以訪問計(jì)算機(jī)，但受到限制。不幸的是，Guest也為黑客入侵打開了方便之門！禁用或徹底刪除Guest帳戶是最好的辦法，但在某些必須使用到Guest帳戶的情況下，就需要通過其它途徑來做好防御工作了。首先要給Guest設(shè)一個(gè)強(qiáng)壯的密碼，然后詳細(xì)設(shè)置Guest帳戶對物理路徑的訪問權(quán)限。 2.5 防火墻技術(shù)防火墻網(wǎng)絡(luò)安全的屏障，配置防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。防火墻是指一個(gè)由軟件或和硬件設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通

20、道之間，限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。當(dāng)一個(gè)網(wǎng)絡(luò)接上Internet之后，系統(tǒng)的安全除了考慮計(jì)算機(jī)病毒、系統(tǒng)的健壯性之外，更主要的是防止非法用戶的入侵，而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證)配置在防火墻上。其次對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警

21、，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離【4】，從而降低了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。為了讓大家更好地使用防火墻，我們從反面列舉2個(gè)有代表性的失敗案例。例1：未制定完整的企業(yè)安全策略 網(wǎng)絡(luò)環(huán)境：某中型企業(yè)購買了適合自己網(wǎng)絡(luò)特點(diǎn)的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲病毒不見了，企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了，為此，公司領(lǐng)導(dǎo)特意表揚(yáng)了負(fù)責(zé)防火墻安裝實(shí)施的信息部。 該企業(yè)網(wǎng)絡(luò)環(huán)境如圖2-1所示：圖2-1 企業(yè)網(wǎng)絡(luò)環(huán)境圖該企業(yè)內(nèi)部網(wǎng)絡(luò)的核心交換機(jī)是帶路由模塊的三層交換機(jī)，出口

22、通過路由器和ISP連接。內(nèi)部網(wǎng)劃分為5個(gè)VLAN，VLAN 1、VLAN 2和VLAN 3分配給不同的部門使用，不同的VLAN之間根據(jù)部門級別設(shè)置訪問權(quán)限；VLAN 4分配給交換機(jī)出口地址和路由器使用；VLAN 5分配給公共服務(wù)器使用。在沒有加入防火墻之前，各個(gè)VLAN中的PC機(jī)能夠通過交換機(jī)和路由器不受限制地訪問Internet。加入防火墻后，給防火墻分配一個(gè)VLAN 4中的空閑IP地址，并把網(wǎng)關(guān)指向路由器；將VLAN 5接入到防火墻的一個(gè)網(wǎng)口上。這樣，防火墻就把整個(gè)網(wǎng)絡(luò)分為3個(gè)區(qū)域: 內(nèi)部網(wǎng)、公共服務(wù)器區(qū)和外部網(wǎng)，三者之間的通信受到防火墻安全規(guī)則的限制。問題描述：防火墻投入運(yùn)行后，實(shí)施了一

23、套較為嚴(yán)格的安全規(guī)則，導(dǎo)致公司員工無法使用QQ聊天軟件，于是沒過多久就有員工自己撥號上網(wǎng)，導(dǎo)致感染了特洛依木馬和蠕蟲等病毒，并立刻在公司內(nèi)部局域網(wǎng)中傳播開來，造成內(nèi)部網(wǎng)大面積癱瘓。 問題分析：我們知道，防火墻作為一種保護(hù)網(wǎng)絡(luò)安全的設(shè)備，必須部署在受保護(hù)網(wǎng)絡(luò)的邊界處，只有這樣防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信，達(dá)到將入侵者拒之門外的目的。如果被保護(hù)網(wǎng)絡(luò)的邊界不惟一，有很多出入口，那么只部署一臺防火墻是不夠的。在本案例中，防火墻投入使用后，沒有禁止私自撥號上網(wǎng)行為，使得許多PC機(jī)通過電話線和Internet相連，導(dǎo)致網(wǎng)絡(luò)邊界不惟一，入侵者可以通過攻擊這些PC機(jī)然后進(jìn)一步攻擊內(nèi)部網(wǎng)絡(luò)，從而成功地避

24、開了防火墻。 解決辦法：根據(jù)自己企業(yè)網(wǎng)的特點(diǎn)，制定一整套安全策略，并徹底地貫徹實(shí)施。比如說，制定一套安全管理規(guī)章制度，嚴(yán)禁員工私自撥號上網(wǎng); 同時(shí)封掉撥號上網(wǎng)的電話號碼，并購買檢測撥號上網(wǎng)的軟件，這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不惟一的情況發(fā)生。另外，考慮到企業(yè)員工的需求，可以在防火墻上添加按照時(shí)間段生效的安全規(guī)則，在非工作時(shí)間打開QQ使用的TCP/UDP端口，使得企業(yè)員工可以在工余時(shí)間使用QQ聊天軟件。例2：未考慮與其他安全產(chǎn)品的配合使用 問題描述：某公司購買了防火墻后，緊接著又購買了漏洞掃描和IDS（入侵檢測系統(tǒng)）產(chǎn)品。當(dāng)系統(tǒng)管理員利用IDS發(fā)現(xiàn)入侵行為后，必須每次都要手工調(diào)整防火墻安全

25、策略，使管理員工作量劇增，而且經(jīng)常調(diào)整安全策略，也給整個(gè)網(wǎng)絡(luò)帶來不良影響。 問題分析：選購防火墻時(shí)未充分考慮到與其他安全產(chǎn)品如IDS的聯(lián)動功能，導(dǎo)致不能最大程度地發(fā)揮安全系統(tǒng)的作用。 解決辦法：購買防火墻前應(yīng)查看企業(yè)網(wǎng)是否安裝了漏洞掃描或IDS等其他安全產(chǎn)品，以及具體產(chǎn)品名稱和型號，然后確定所要購買的防火墻是否有聯(lián)動功能（即是否支持其他安全產(chǎn)品，尤其是IDS產(chǎn)品），支持的是哪些品牌和型號的產(chǎn)品，是否與已有的安全產(chǎn)品名稱相符，如果不符，最好不要選用，而選擇能同已有安全產(chǎn)品聯(lián)動的防火墻。這樣，當(dāng)IDS發(fā)現(xiàn)入侵行為后，在通知管理員的同時(shí)發(fā)送消息給防火墻，由防火墻自動添加相關(guān)規(guī)則，把入侵者拒之門外。

26、2.6 數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)與防火墻相比，數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活，更加適用于開放的網(wǎng)絡(luò)。用戶授權(quán)訪問控制主要用于對靜態(tài)信息的保護(hù)，需要系統(tǒng)級別的支持，一般在操作系統(tǒng)中實(shí)現(xiàn)。數(shù)據(jù)加密主要用于對動態(tài)信息的保護(hù)。對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。對于主動攻擊，雖無法避免，但卻可以有效地檢測；而對于被動攻擊，雖無法檢測，但卻可以避免，實(shí)現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密實(shí)質(zhì)上是對以符號為基礎(chǔ)的數(shù)據(jù)進(jìn)行移位和置換的變換算法，這種變換是對稱密鑰算法”。這樣的密鑰必須秘密保管，只能為授權(quán)用戶所知，授權(quán)用戶既可以用該密鑰加密信急，也可以用該密鑰解密信息，DES是對稱加密算法中

27、最具代表性的算法。在公鑰加密算法中，公鑰是公開的，任何人可以用公鑰加密信息，再將密文發(fā)送給私鑰擁有者。私鑰是保密的，用于解密其接收的公鑰加密過的信息【5】。典型的公鑰加密算法nRSA是目前使用比較廣泛的加密算法。2.7入侵檢測系統(tǒng) 入侵檢測系統(tǒng)(IntrusionDetectionSystem，IDS)是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息，再通過此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。IDS被認(rèn)為是防火墻之后的第二道安全閘門，它能使在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊：在入侵攻擊過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為

28、防范系統(tǒng)的知識，添加入策略集中，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵【6】。入侵檢測的作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和起訴支持。入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。2.8 病毒防患技術(shù)隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，計(jì)算機(jī)病毒變得越來越復(fù)雜和高級，對計(jì)算機(jī)信息系統(tǒng)構(gòu)成極大的威脅。在病毒防范中普遍使用的防病毒軟件，從功能上可以分為網(wǎng)絡(luò)防病毒軟件和單機(jī)防病毒軟件兩大類。單機(jī)防病毒軟件一般安裝在單臺Pc上，即對本地和本地工作站連接的遠(yuǎn)程資源采用分析掃描的方式檢測

29、、清除病毒。網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒，一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源傳染，網(wǎng)絡(luò)防病毒軟件會立刻檢測到并加以刪除【7】。3防火墻技術(shù)3.1 防火墻的定義防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)網(wǎng)絡(luò)的安全政策控制(允許拒絕監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。Internet防火墻是一個(gè)或一組系統(tǒng)，它能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性，用于加強(qiáng)網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取，防火墻系統(tǒng)還決定了哪些內(nèi)部服務(wù)可以被外界訪問，外界

30、的哪些人可以訪問內(nèi)部的服務(wù)，以及哪些外部服務(wù)何時(shí)可以被內(nèi)部人員訪問。要使一個(gè)防火墻有效，所有來自和去往Internet的信息都必須經(jīng)過防火墻并接受檢查。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，并且防火墻本身也必須能夠免于滲透。但是，防火墻系統(tǒng)一旦被攻擊突破或迂回繞過，就不能提供任何保護(hù)了。3.2 防火墻的功能防火墻(作為阻塞點(diǎn),控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略,通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令加密身份認(rèn)證審計(jì)等)配置在防火墻上，對網(wǎng)絡(luò)存取

31、和訪問進(jìn)行監(jiān)控審計(jì):所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù),當(dāng)發(fā)生可疑動作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。防止內(nèi)部信息的外泄，通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。3.3 防火墻的類型3.3.1 包過濾技術(shù)防火墻包過濾型防火墻(Packet Filter Firewall)通常建立在路由器上，在服務(wù)器或計(jì)算機(jī)上也可以安裝包過濾防火墻軟件。包過濾型防火墻工作在網(wǎng)絡(luò)層，基于單個(gè)IP包實(shí)施網(wǎng)絡(luò)控制。它對所收到的IP數(shù)據(jù)包的

32、源地址、目的地址、TCP數(shù)據(jù)分組或UDP報(bào)文的源端口號及目的端口號、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志位等參數(shù)，與網(wǎng)絡(luò)管理員預(yù)先設(shè)定的訪問控制表進(jìn)行比較，確定是否符合預(yù)定義好的安全策略并決定數(shù)據(jù)包的放行或丟棄。這種防火墻的優(yōu)點(diǎn)是簡單、方便、速度快、透明性好，對網(wǎng)絡(luò)性能影響不大，可以用于禁止外部不合法用戶對企業(yè)內(nèi)部網(wǎng)的訪問，也可以用來禁止訪問某些服務(wù)類型，但是不能識別內(nèi)容有危險(xiǎn)的信息包，無法實(shí)施對應(yīng)用級協(xié)議的安全處理。3.3.2 代理服務(wù)器防火墻它作用在應(yīng)用層,其特點(diǎn)是完全 阻隔 了網(wǎng)絡(luò)通信流通過對每種應(yīng)用服務(wù)編制專門的代理程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用,實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用

33、工作站實(shí)現(xiàn)【8】。這種技術(shù)使得外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間需要建立的連接必須通過代理服務(wù)器的中間轉(zhuǎn)換，實(shí)現(xiàn)了安全的網(wǎng)絡(luò)訪問，并可以實(shí)現(xiàn)用戶認(rèn)證、詳細(xì)日志、審計(jì)跟蹤和數(shù)據(jù)加密等功能，實(shí)現(xiàn)協(xié)議及應(yīng)用的過濾及會話過程的控制，具有很好的靈活性。3.3.3 復(fù)合型防火墻復(fù)合型防火墻就是把包過濾、代理服務(wù)和許多其他的網(wǎng)絡(luò)安全防護(hù)功能結(jié)合起來，形成新的網(wǎng)絡(luò)安全平臺，以提高防火墻的靈活性和安全性。3.3 防火墻的工作原理3.3.1 包過濾防火墻包過濾防火墻一般在路由器上實(shí)現(xiàn)，用以過濾用戶定義的內(nèi)容，如IP地址。包過濾防火墻的工作原理是：系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無關(guān)。這樣系統(tǒng)就具 有很好的傳輸性能，可擴(kuò)展能力

34、強(qiáng)。但是，包過濾防火墻的安全性有一定的缺陷，因?yàn)橄到y(tǒng)對應(yīng)用層信息無感知，也就是說，防火墻不理解通信的內(nèi)容，所以可能被 黑客所攻破。（如圖3-1所示）缺點(diǎn)：1）過濾規(guī)則難以配置和測試。2）包過濾只訪問網(wǎng)絡(luò)層和傳輸層的信息，訪問信息有限，對網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力。3）對一些協(xié)議，如UDP和RPC難以有效的過濾。圖3-1 包過濾防火墻3.3.2 應(yīng)用網(wǎng)關(guān)防火墻 應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過程，從 而提高網(wǎng)絡(luò)的安全性。然而，應(yīng)用網(wǎng)關(guān)防火墻是通過打破客戶機(jī)服務(wù)器模式實(shí)現(xiàn)的。每個(gè)客戶機(jī)服務(wù)器通信需要兩個(gè)連接：一個(gè)是從客戶端到防火墻，另一個(gè)是 從防火墻到服務(wù)器。

35、另外，每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺運(yùn)行的服務(wù)程序，對每個(gè)新的應(yīng)用必須添加針對此應(yīng)用的服務(wù)程序，否則不能使用該服 務(wù)。所以，應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)。（如圖3-2所示）優(yōu)點(diǎn)：它將內(nèi)部用戶和外界隔離開來，使得從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。與包過濾技術(shù)相比，代理技術(shù)是一種更安全的技術(shù)【9】。缺點(diǎn)：在應(yīng)用支持方面存在不足，執(zhí)行速度較慢。圖3-2 應(yīng)用網(wǎng)關(guān)防火墻3.3.3 狀態(tài)監(jiān)視技術(shù)狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點(diǎn)，性能比較好，同時(shí)對應(yīng)用是透明的，在此基礎(chǔ)上，對于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防 火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心

36、數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來處理?？梢?這樣說，狀態(tài)檢測包過濾防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理型防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。（如圖3-3所示）圖3-3 狀態(tài)檢測防火墻3.3.4 復(fù)合型防火墻復(fù)合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代的防火墻，進(jìn)一步基于ASIC架構(gòu)，把防病毒、內(nèi)容過濾整合到防火墻里，其中還包括VPN、IDS功 能，多單元融為一體，是一種新突破。常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡(luò)流量里的攻擊，在網(wǎng)絡(luò)界面對應(yīng)用層掃描，把防病毒、內(nèi)容過濾與防火墻結(jié)合起來，這體 現(xiàn)了網(wǎng)絡(luò)與信息安全的新思路。

37、它在網(wǎng)絡(luò)邊界實(shí)施OSI第七層的內(nèi)容掃描，實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣布署病毒防護(hù)、內(nèi)容過濾等應(yīng)用層服務(wù)措施。（如圖3-4所示）圖3-4 復(fù)合型防火墻3.4 防火墻的初始配置 像路由器一樣，在使用之前，防火墻也需要經(jīng)過基本的初始配置。但因各種防火墻的初始配置【10】基本類似，所以在此僅以Cisco PIX防火墻為例進(jìn)行介紹。 防火墻的初始配置也是通過控制端口（Console）與PC機(jī)（通常是便于移動的筆記本電腦）的串口連接，再通過Windows系統(tǒng)自帶的超級終端（HyperTerminal）程序進(jìn)行選項(xiàng)配置。防火墻的初始配置物理連接與前面介紹的交換機(jī)初始配置連接方法一樣，參見圖3-1所示。 圖3-5 防

38、火墻配置接口防火墻除了以上所說的通過控制端口（Console）進(jìn)行初始配置外，也可以通過telnet和Tffp配置方式進(jìn)行高級配置，但Telnet配置方式都是在命令方式中配置，難度較大，而Tffp方式需要專用的Tffp服務(wù)器軟件，但配置界面比較友好。 防火墻與路由器一樣也有四種用戶配置模式，即：普通模式（Unprivileged mode）、特權(quán)模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），進(jìn)入這四種用戶模式的命令也與路由器一樣： 普通用戶模式無需特別命令，啟動后即進(jìn)入； 進(jìn)入特權(quán)用戶模式的命令為enable

39、；進(jìn)入配置模式的命令為config terminal；而進(jìn)入端口模式的命令為interface ethernet（）。不過因?yàn)榉阑饓Φ亩丝跊]有路由器那么復(fù)雜，所以通常把端口模式歸為配置模式，統(tǒng)稱為全局配置模式。 防火墻的具體配置步驟如下： 1. 將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個(gè)空余串口上，參見圖1。 2. 打開PIX防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機(jī)。 3. 運(yùn)行筆記本電腦Windows系統(tǒng)中的超級終端（HyperTerminal）程序（通常在附件程序組中）。對超級終端的配置與交換機(jī)或路由器的配置一樣，參見本教程前面有關(guān)介紹。 4

40、. 當(dāng)PIX防火墻進(jìn)入系統(tǒng)后即顯示pixfirewall的提示符，這就證明防火墻已啟動成功，所進(jìn)入的是防火墻用戶模式?？梢赃M(jìn)行進(jìn)一步的配置了。 5. 輸入命令：enable,進(jìn)入特權(quán)用戶模式，此時(shí)系統(tǒng)提示為：pixfirewall#。 6. 輸入命令： configure terminal,進(jìn)入全局配置模式，對系統(tǒng)進(jìn)行初始化設(shè)置。 （1）. 首先配置防火墻的網(wǎng)卡參數(shù)（以只有1個(gè)LAN和1個(gè)WAN接口的防火墻配置為例） Interface ethernet0 auto # 0號網(wǎng)卡系統(tǒng)自動分配為WAN網(wǎng)卡，auto選項(xiàng)為系統(tǒng)自適應(yīng)網(wǎng)卡類型 Interface ethernet1 auto （2）

41、. 配置防火墻內(nèi)、外部網(wǎng)卡的IP地址 IP address inside ip_address netmask # Inside代表內(nèi)部網(wǎng)卡 IP address outside ip_address netmask # outside代表外部網(wǎng)卡 （3）. 指定外部網(wǎng)卡的IP地址范圍： global 1 ip_address-ip_address （4）. 指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址 nat 1 ip_address netmask （5）. 配置某些控制選項(xiàng)： conduit global_ip port-port protocol foreign_ip netmask 其中，global_

42、ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指的是連接協(xié)議，比如：TCP、UDP等；foreign_ip：表示可訪問的global_ip外部IP地址；netmask：為可選項(xiàng)，代表要控制的子網(wǎng)掩碼。 7. 配置保存：wr mem 8. 退出當(dāng)前模式 此命令為exit，可以任何用戶模式下執(zhí)行，執(zhí)行的方法也相當(dāng)簡單，只輸入命令本身即可。它與Quit命令一樣。下面三條語句表示了用戶從配置模式退到特權(quán)模式，再退到普通模式下的操作步驟。 pixfirewall(config)# exit pixfirewall# exit pixfirewall 9. 查看

43、當(dāng)前用戶模式下的所有可用命令：show，在相應(yīng)用戶模式下鍵入這個(gè)命令后，即顯示出當(dāng)前所有可用的命令及簡單功能描述。 10. 查看端口狀態(tài)：show interface，這個(gè)命令需在特權(quán)用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。 11. 查看靜態(tài)地址映射:show static，這個(gè)命令也須在特權(quán)用戶模式下執(zhí)行，執(zhí)行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況。3.5 過濾型防火墻的訪問控制表（ACL）配置 除了以上介紹的基本配置外，在防火墻的安全策略中最重要還是對訪問控制列表（ACL）進(jìn)行配有關(guān)置。下面介紹一些用于此方面配置的基本命令。 1. access-list：用于創(chuàng)建訪問規(guī)則 這一訪

44、問規(guī)則配置命令要在防火墻的全局配置模式中進(jìn)行。同一個(gè)序號的規(guī)則可以看作一類規(guī)則，同一個(gè)序號之間的規(guī)則按照一定的原則進(jìn)行排列和選擇，這個(gè)順序可以通過 show access-list 命令看到。在這個(gè)命令中，又有幾種命令格式，分別執(zhí)行不同的命令。 （1）創(chuàng)建標(biāo)準(zhǔn)訪問列表 命令格式：access-list normal special listnumber1 permit deny source-addr source-mask （2）創(chuàng)建擴(kuò)展訪問列表 命令格式：access-list normal special listnumber2 permit deny protocol source-a

45、ddr source-mask operator port1 port2 dest-addr dest-mask operator port1 port2 icmp-type icmp-code log （3）刪除訪問列表 命令格式：no access-list normal special all listnumber subitem 上述命令參數(shù)說明如下： normal：指定規(guī)則加入普通時(shí)間段。 special：指定規(guī)則加入特殊時(shí)間段。 listnumber1：是1到99之間的一個(gè)數(shù)值，表示規(guī)則是標(biāo)準(zhǔn)訪問列表規(guī)則。 listnumber2：是100到199之間的一個(gè)數(shù)值，表示規(guī)則是擴(kuò)展訪問

46、列表規(guī)則。 permit：表明允許滿足條件的報(bào)文通過。 deny：表明禁止?jié)M足條件的報(bào)文通過。 protocol：為協(xié)議類型，支持ICMP、TCP、UDP等，其它的協(xié)議也支持，此時(shí)沒有端口比較的概念；為IP時(shí)有特殊含義，代表所有的IP協(xié)議。 source-addr：為源IP地址。 source-mask：為源IP地址的子網(wǎng)掩碼，在標(biāo)準(zhǔn)訪問列表中是可選項(xiàng)，不輸入則代表通配位為。 dest-addr：為目的IP地址。 dest-mask：為目的地址的子網(wǎng)掩碼。 operator：端口操作符，在協(xié)議類型為TCP或UDP時(shí)支持端口比較，支持的比較操作有：等于（eq）、大于（gt）、小于（

47、lt）、不等于（neq）或介于（range）；如果操作符為range，則后面需要跟兩個(gè)端口。 port1 在協(xié)議類型為TCP或UDP時(shí)出現(xiàn)，可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或065535之間的一個(gè)數(shù)值。port2 在協(xié)議類型為TCP或UDP且操作類型為range時(shí)出現(xiàn)；可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或065535之間的一個(gè)數(shù)值。 icmp-type：在協(xié)議為ICMP時(shí)出現(xiàn)，代表ICMP報(bào)文類型；可以是關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如echo-reply）或者是0255之間的一個(gè)數(shù)值。 icmp-code：在協(xié)議為ICMP，且沒有選擇所設(shè)定的預(yù)設(shè)值時(shí)出現(xiàn)；代表ICMP碼，是02

48、55之間的一個(gè)數(shù)值。 log：表示如果報(bào)文符合條件，需要做日志。 listnumber：為刪除的規(guī)則序號，是1199之間的一個(gè)數(shù)值。 subitem：指定刪除序號為listnumber的訪問列表中規(guī)則的序號。 例如，現(xiàn)要在華為的一款防火墻上配置一個(gè)允許源地址為 網(wǎng)絡(luò)、目的地址為網(wǎng)絡(luò)的WWW訪問，但不允許使用FTP的訪問規(guī)則。相應(yīng)配置語句只需兩行即可，如下： Quidway (config)#access-list 100 permit tcp eq www Quidway

49、 (config)#access-list 100 deny tcp eq ftp 2. clear access-list counters：清除訪問列表規(guī)則的統(tǒng)計(jì)信息 命令格式：clear access-list counters listnumber 這一命令必須在特權(quán)用戶模式下進(jìn)行配置。listnumber 參數(shù)是用指定要清除統(tǒng)計(jì)信息的規(guī)則號，如不指定，則清除所有的規(guī)則的統(tǒng)計(jì)信息。 如要在華為的一款包過濾路由器上清除當(dāng)前所使用的規(guī)則號為100的訪問規(guī)則統(tǒng)計(jì)信息。訪問配置語句為： clear access

50、-list counters 100 如有清除當(dāng)前所使用的所有規(guī)則的統(tǒng)計(jì)信息，則以上語句需改為：Quidway#clear access-list counters 3. ip access-group 使用此命令將訪問規(guī)則應(yīng)用到相應(yīng)接口上。使用此命令的no形式來刪除相應(yīng)的設(shè)置，對應(yīng)格式為： ip access-group listnumber in out 此命令須在端口用戶模式下配置，進(jìn)入端口用戶模式的命令為：interface ethernet（），括號中為相應(yīng)的端口號，通常0為外部接口，而1為內(nèi)部接口。進(jìn)入后再用ip access-group 命令來配置訪問規(guī)則。listnumber參

51、數(shù)為訪問規(guī)則號，是1199之間的一個(gè)數(shù)值（包括標(biāo)準(zhǔn)訪問規(guī)則和擴(kuò)展訪問規(guī)則兩類）；in 表示規(guī)則應(yīng)用于過濾從接口接收到的報(bào)文；而out表示規(guī)則用于過濾從接口轉(zhuǎn)發(fā)出去的報(bào)文。一個(gè)接口的一個(gè)方向上最多可以應(yīng)用20類不同的規(guī)則；這些規(guī)則之間按照規(guī)則序號的大小進(jìn)行排列，序號大的排在前面，也就是優(yōu)先級高。對報(bào)文進(jìn)行過濾時(shí)，將采用發(fā)現(xiàn)符合的規(guī)則即得出過濾結(jié)果的方法來加快過濾速度。所以，建議在配置規(guī)則時(shí)，盡量將對同一個(gè)網(wǎng)絡(luò)配置的規(guī)則放在同一個(gè)序號的訪問列表中；在同一個(gè)序號的訪問列表中，規(guī)則之間的排列和選擇順序可以用show access-list命令來查看。 例如將規(guī)則100應(yīng)用于過濾從外部網(wǎng)絡(luò)接口上接收到的

52、報(bào)文，配置語句為（同樣為在傾為包過濾路由器上）： ip access-group 100 in 如果要?jiǎng)h除某個(gè)訪問控制表列綁定設(shè)置，則可用no ip access-group listnumber in out 命令。 4. show access-list 此配置命令用于顯示包過濾規(guī)則在接口上的應(yīng)用情況。命令格式為：show access-list all listnumber interface interface-name 這一命令須在特權(quán)用戶模式下進(jìn)行配置，其中all參數(shù)表示顯示所有規(guī)則的應(yīng)用情況，包括普通時(shí)間段內(nèi)及特殊時(shí)間段內(nèi)的規(guī)則；如果選擇listnumber參數(shù)，則僅需顯示指定規(guī)

53、則號的過濾規(guī)則；interface 表示要顯示在指定接口上應(yīng)用的所有規(guī)則序號；interface-name參數(shù)為接口的名稱。 使用此命令來顯示所指定的規(guī)則，同時(shí)查看規(guī)則過濾報(bào)文的情況。每個(gè)規(guī)則都有一個(gè)相應(yīng)的計(jì)數(shù)器，如果用此規(guī)則過濾了一個(gè)報(bào)文，則計(jì)數(shù)器加1；通過對計(jì)數(shù)器的觀察可以看出所配置的規(guī)則中，哪些規(guī)則是比較有效，而哪些基本無效。例如，現(xiàn)在要顯示當(dāng)前所使用序號為100的規(guī)則的使用情況，可執(zhí)行Quidway#show access-list 100語句即可，隨即系統(tǒng)即顯示這條規(guī)則的使用情況，格式如下： Using normal packet-filtering access rules now

54、. 100 deny icmp 55 any host-redirect (3 matches,252 bytes - rule 1) 100 permit icmp 55 any echo (no matches - rule 2) 100 deny udp any any eq rip (no matches - rule 3) 5. show firewall 此命令須在特權(quán)用戶模式下執(zhí)行，它顯示當(dāng)前防火墻狀態(tài)。命令格式非常簡單，也為：show firewall。這里所說的防火墻狀態(tài)，包括防火墻是否被啟用，啟用防火墻

55、時(shí)是否采用了時(shí)間段包過濾及防火墻的一些統(tǒng)計(jì)信息。 6. Telnet 這是用于定義能過防火配置控制端口進(jìn)行遠(yuǎn)程登錄的有關(guān)參數(shù)選項(xiàng)，也須在全局配置用戶模式下進(jìn)行配置。 命令格式為：telnet ip_address netmask if_name 其中的ip_address參數(shù)是用來指定用于Telnet登錄的IP地址，netmask為子網(wǎng)掩碼，if_name用于指定用于Telnet登錄的接口，通常不用指定，則表示此IP地址適用于所有端口。如： telnet 如果要清除防火墻上某個(gè)端口的Telnet參數(shù)配置，則須用clear telnet命令，其格式為：clear teln

56、et ip_address netmask if_name，其中各選項(xiàng)說明同上。它與另一個(gè)命令no telnet功能基本一樣，不過它是用來刪除某接口上的Telnet配置，命令格式為：no telnet ip_address netmask if_name。 如果要顯示當(dāng)前所有的Telnet配置，則可用show telnet命令。 最簡單的防火墻配置，就是直接在內(nèi)部網(wǎng)和外部網(wǎng)之間加裝一個(gè)包過濾路由器或者應(yīng)用網(wǎng)關(guān)。為更好地實(shí)現(xiàn)網(wǎng)絡(luò)安全，有時(shí)還要將幾種防火墻技術(shù)組合起來構(gòu)建防火墻系統(tǒng)。3.6 雙宿主機(jī)網(wǎng)關(guān)(Dual Homed Gateway)這種配置是用一臺裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。雙宿主機(jī)用兩個(gè)網(wǎng)絡(luò)適配器分別連接兩個(gè)網(wǎng)絡(luò)，又稱堡壘主機(jī)。堡壘主機(jī)上運(yùn)行著防火墻軟件(通常是代理服務(wù)器)，可以轉(zhuǎn)