計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)畢業(yè)論文

1、 23/24防火墻在網(wǎng)絡(luò)安全中的應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)畢業(yè)論文目錄TOC o 1-2 h u HYPERLINK l _Toc17317 1 我國(guó)網(wǎng)絡(luò)安全現(xiàn)狀 PAGEREF _Toc17317 2 HYPERLINK l _Toc8815 1.1研究背景 PAGEREF _Toc8815 2 HYPERLINK l _Toc17715 1.2研究意義 PAGEREF _Toc17715 3 HYPERLINK l _Toc29546 1.3 計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅 PAGEREF _Toc29546 4 HYPERLINK l _Toc26989 2 防火墻的安全功能與安全網(wǎng)絡(luò)方案 PAG

2、EREF _Toc26989 7 HYPERLINK l _Toc30945 2.1防火墻具備的安全功能 PAGEREF _Toc30945 7 HYPERLINK l _Toc23483 2.2 計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅網(wǎng)絡(luò)安全的解決方案 2.2.1入侵檢測(cè)系統(tǒng)部署 PAGEREF _Toc23483 7 HYPERLINK l _Toc3706 3 計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)并實(shí)現(xiàn) PAGEREF _Toc3706 10 HYPERLINK l _Toc30604 3.1桌面安全系統(tǒng) PAGEREF _Toc30604 10 HYPERLINK l _Toc16089 3.2病毒防護(hù)系統(tǒng) PAGE

3、REF _Toc16089 10 HYPERLINK l _Toc3607 3.3 動(dòng)態(tài)口令系統(tǒng) PAGEREF _Toc3607 11 HYPERLINK l _Toc27356 4 防火墻的配置 PAGEREF _Toc27356 13 HYPERLINK l _Toc1858 4.1防火墻的初始配置 PAGEREF _Toc1858 13 HYPERLINK l _Toc9061 4.2 過(guò)濾防火墻的訪問(wèn)配置 PAGEREF _Toc9061 15 HYPERLINK l _Toc7852 4.3雙宿主機(jī)網(wǎng)關(guān)(Dual Homed Gateway) PAGEREF _Toc7852 19

4、 HYPERLINK l _Toc4787 4.4屏蔽主機(jī)網(wǎng)關(guān)(Screened Host Gateway) PAGEREF _Toc4787 19 HYPERLINK l _Toc17971 4.5屏蔽子網(wǎng)(Screened Subnet) PAGEREF _Toc17971 20 HYPERLINK l _Toc31078 總 結(jié) PAGEREF _Toc31078 22 HYPERLINK l _Toc16741 致 謝 PAGEREF _Toc16741 23 HYPERLINK l _Toc9362 參考文獻(xiàn) PAGEREF _Toc9362 241 我國(guó)網(wǎng)絡(luò)安全現(xiàn)狀1.1研究背景據(jù)

5、美國(guó)聯(lián)邦調(diào)查局統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全造成的損失高達(dá)75億美元。據(jù)美國(guó)金融時(shí)報(bào)報(bào)道，世界上平均每20分鐘就發(fā)生一次人侵國(guó)際互聯(lián)網(wǎng)絡(luò)的計(jì)算機(jī)安全事件，1/3的防火墻被突破。美國(guó)聯(lián)邦調(diào)查局計(jì)算機(jī)犯罪組負(fù)責(zé)人吉姆塞特爾稱：給我精選10名“黑客”，組成小組，90天，我將使美國(guó)趴下。一位計(jì)算機(jī)專家毫不夸地說(shuō)：如果給我一臺(tái)普通計(jì)算機(jī)、一條線和一個(gè)調(diào)制解調(diào)器，就可以令某個(gè)地區(qū)的網(wǎng)絡(luò)運(yùn)行失常。據(jù)了解，從1997年底至今，我國(guó)的政府部門、證券公司、銀行等機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)相繼遭到多次攻擊。公安機(jī)關(guān)受理各類信息網(wǎng)絡(luò)XX犯罪案件逐年劇增，尤其以電子、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國(guó)大量的

6、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用依賴于外國(guó)的產(chǎn)品和技術(shù)，在電子政務(wù)、電子商務(wù)和各行業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用尚處于發(fā)展階段，以上這些領(lǐng)域的大型計(jì)算機(jī)網(wǎng)絡(luò)工程都由國(guó)一些較大的系統(tǒng)集成商負(fù)責(zé)。有些集成商仍缺乏足夠?qū)I(yè)的安全支撐技術(shù)力量，同時(shí)一些負(fù)責(zé)網(wǎng)絡(luò)安全的工程技術(shù)人員對(duì)許多潛在風(fēng)險(xiǎn)認(rèn)識(shí)不足。缺乏必要的技術(shù)設(shè)施和相關(guān)處理經(jīng)驗(yàn)，面對(duì)形勢(shì)日益嚴(yán)峻的現(xiàn)狀，很多時(shí)候都顯得有些力不從心。也正是由于受技術(shù)條件的限制，很多人對(duì)網(wǎng)絡(luò)安全的意識(shí)僅停留在如何防病毒階段，對(duì)網(wǎng)絡(luò)安全缺乏整體意識(shí)。隨著網(wǎng)絡(luò)的逐步普與，網(wǎng)絡(luò)安全的問(wèn)題已經(jīng)日益突。如同其它任何社會(huì)一樣，互連網(wǎng)也受到某些無(wú)聊之人的困擾，某些人喜愛(ài)在網(wǎng)上做這類的事,像在現(xiàn)實(shí)中向其他

7、人的墻上噴染涂鴉、將他人的推倒或者坐在大街上按汽車?yán)纫粯?。網(wǎng)絡(luò)安全已成為互連網(wǎng)上事實(shí)上的焦點(diǎn)問(wèn)題。它關(guān)系到互連網(wǎng)的進(jìn)一步發(fā)展和普與，甚至關(guān)系著互連網(wǎng)的生存。近年來(lái)，無(wú)論在發(fā)達(dá)國(guó)家，還是在發(fā)展中國(guó)家，黑客活動(dòng)越來(lái)越猖狂，他們無(wú)孔不入，對(duì)社會(huì)造成了嚴(yán)重的危害。目前在互連網(wǎng)上大約有將近80%以上的用戶曾經(jīng)遭受過(guò)黑客的困擾。而與此同時(shí)，更讓人不安的是，互連網(wǎng)上病毒和黑客的聯(lián)姻、不斷增多的黑客，使學(xué)習(xí)黑客技術(shù)、獲得黑客攻擊工具變的輕而易舉。這樣，使原本就十分脆弱的互連網(wǎng)越發(fā)顯得不安全。1.2研究意義現(xiàn)在網(wǎng)絡(luò)的觀念已經(jīng)深入人心，越來(lái)越多的人們通過(guò)網(wǎng)絡(luò)來(lái)了解世界，同時(shí)他們也可以通過(guò)網(wǎng)絡(luò)發(fā)布消息，與朋友進(jìn)行

8、交流和溝通，展示自己，以與開(kāi)展電子商務(wù)等等。人們的日常生活也越來(lái)越依靠網(wǎng)絡(luò)進(jìn)行。同時(shí)網(wǎng)絡(luò)攻擊也愈演愈烈，時(shí)刻威脅著用戶上網(wǎng)安全，網(wǎng)絡(luò)與信息安全已經(jīng)成為當(dāng)今社會(huì)關(guān)注的重要問(wèn)題之一。黨的十六屆四中全會(huì)，把信息安全和政治安全、經(jīng)濟(jì)安全、文化安全并列為國(guó)家安全的四大疇之一，信息安全的重要性被提升到一個(gè)空前的戰(zhàn)略高度。正是因?yàn)榘踩{的無(wú)處不在，為了解決這個(gè)問(wèn)題防火墻出現(xiàn)了。防火墻的本義原是指古代人們房屋之間修建的那道為防止火災(zāi)蔓延而建立的墻，而現(xiàn)在意義上的防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防措施的總稱。應(yīng)該說(shuō)，在互連網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過(guò)它可以隔離風(fēng)險(xiǎn)

9、區(qū)域(即Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò))與安全區(qū)域(局域網(wǎng))的連接，同時(shí)不會(huì)妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問(wèn)。成而有效的控制用戶的上網(wǎng)安全。防火墻是實(shí)施網(wǎng)絡(luò)安全控制得一種必要技術(shù)，它是一個(gè)或一組系統(tǒng)組成，它在網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略。實(shí)現(xiàn)它的實(shí)際方式各不相同，但是在原則上，防火墻可以被認(rèn)為是這樣同一種機(jī)制：攔阻不安全的傳輸流，允許安全的傳輸流通過(guò)。特定應(yīng)用程序行為控制等獨(dú)特的自我保護(hù)機(jī)制使它可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信信息，僅讓安全的、核準(zhǔn)了的信息進(jìn)入；它可以限制他人進(jìn)入部網(wǎng)絡(luò)，過(guò)濾掉不安全服務(wù)和非法用戶；它可以封鎖特洛伊木馬，防止數(shù)據(jù)的外泄；它可以限定用戶訪問(wèn)特殊站點(diǎn)，禁止用戶對(duì)某些容不健康站點(diǎn)的訪問(wèn)

10、；它還可以為監(jiān)視互聯(lián)網(wǎng)的安全提供方便?，F(xiàn)在國(guó)外的優(yōu)秀防火墻如Outpost不但能完成以上介紹的基本功能，還能對(duì)獨(dú)特的私人信息保護(hù)如防止密碼泄露、對(duì)容進(jìn)行管理以防止小孩子或員工查看不適宜的網(wǎng)頁(yè)容，允許按特定關(guān)鍵字以與特定網(wǎng)地進(jìn)行過(guò)濾等、同時(shí)還能對(duì)DNS 緩存進(jìn)行保護(hù)、對(duì)Web 頁(yè)面的交互元素進(jìn)行控制如過(guò)濾不需要的GIF， Flash動(dòng)畫等界面元素。隨著時(shí)代的發(fā)展和科技的進(jìn)步防火墻功能日益完善和強(qiáng)大，但面對(duì)日益增多的網(wǎng)絡(luò)安全威脅防火墻仍不是完整的解決方案。但不管如何變化防火墻仍然是網(wǎng)絡(luò)安全必不可少的工具之一。1.3 計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅1.3.1 網(wǎng)絡(luò)安全脆弱的原因(1)Internet所用底層T

11、CP/IP網(wǎng)絡(luò)協(xié)議本身易受到攻擊，該協(xié)議本身的安全問(wèn)題極大地影響到上層應(yīng)用的安全。(2)Internet上廣為傳插的易用黑客和解密工具使很多網(wǎng)絡(luò)用戶輕易地獲得了攻擊網(wǎng)絡(luò)的方法和手段。(3)快速的軟件升級(jí)周期，會(huì)造成問(wèn)題軟件的出現(xiàn)，經(jīng)常會(huì)出現(xiàn)操作系統(tǒng)和應(yīng)用程序存在新的攻擊漏洞。(4)現(xiàn)行法規(guī)政策和管理方面存在不足。目前我國(guó)針對(duì)計(jì)算機(jī)與網(wǎng)絡(luò)信息保護(hù)的條款不細(xì)致，網(wǎng)上的法規(guī)制度可操作性不強(qiáng)，執(zhí)行不力。同時(shí)，不少單位沒(méi)有從管理制度、人員和技術(shù)上建立相應(yīng)的安全防機(jī)制。缺乏行之有效的安全檢查保護(hù)措施，甚至有一些網(wǎng)絡(luò)管理員利用職務(wù)之便從事網(wǎng)上XX行為。1.3.1網(wǎng)絡(luò)安全面臨的威脅信息安全是一個(gè)非常關(guān)鍵而又復(fù)

12、雜的問(wèn)題。計(jì)算機(jī)信息系統(tǒng)安全指計(jì)算機(jī)信息系統(tǒng)資產(chǎn)(包括網(wǎng)絡(luò))的安全，即計(jì)算機(jī)信息系統(tǒng)資源(硬件、軟件和信息)不受自然和人為有害因素的威脅和危害。計(jì)算機(jī)信息系統(tǒng)之所以存在著脆弱性，主要是由于技術(shù)本身存在著安全弱點(diǎn)、系統(tǒng)的安全性差、缺乏安全性實(shí)踐等;計(jì)算機(jī)信息系統(tǒng)受到的威脅和攻擊除自然災(zāi)害外，主要來(lái)自計(jì)算機(jī)犯罪、計(jì)算機(jī)病毒、黑客攻擊、信息戰(zhàn)爭(zhēng)和計(jì)算機(jī)系統(tǒng)故障等。由于計(jì)算機(jī)信息系統(tǒng)已經(jīng)成為信息社會(huì)另一種形式的“金庫(kù)”和“室”，因而，成為一些人窺視的目標(biāo)。再者，由于計(jì)算機(jī)信息系統(tǒng)自身所固有的脆弱性，使計(jì)算機(jī)信息系統(tǒng)面臨威脅和攻擊的考驗(yàn)。計(jì)算機(jī)信息系統(tǒng)的安全威脅主要來(lái)自于以下幾個(gè)方面：(1)自然災(zāi)害。計(jì)

13、算機(jī)信息系統(tǒng)僅僅是一個(gè)智能的機(jī)器，易受自然災(zāi)害與環(huán)境(溫度、濕度、振動(dòng)、沖擊、污染)的影響。目前，我們不少計(jì)算機(jī)房并沒(méi)有防震、防火、防水、避雷、防電磁泄漏或干擾等措施，接地系統(tǒng)也疏于周到考慮，抵御自然災(zāi)害和意外事故的能力較差。日常工作中因斷電而設(shè)備損壞、數(shù)據(jù)丟失的現(xiàn)象時(shí)有發(fā)生。由于噪音和電磁輻射，導(dǎo)致網(wǎng)絡(luò)信噪比下降，誤碼率增加，信息的安全性、完整性和可用性受到威脅。(2)黑客的威脅和攻擊。計(jì)算機(jī)信息網(wǎng)絡(luò)上的黑客攻擊事件越演越烈，已經(jīng)成為具有一定經(jīng)濟(jì)條件和技術(shù)專長(zhǎng)的形形色色攻擊者活動(dòng)的舞臺(tái)。他們具有計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)脆弱性的知識(shí)，能使用各種計(jì)算機(jī)工具。境外黑客攻擊破壞網(wǎng)絡(luò)的問(wèn)題十分嚴(yán)重，他們通常采

14、用非法侵人重要信息系統(tǒng)，竊聽(tīng)、獲取、攻擊侵人網(wǎng)的有關(guān)敏感性重要信息，修改和破壞信息網(wǎng)絡(luò)的正常使用狀態(tài)，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給國(guó)家造成重大政治影響和經(jīng)濟(jì)損失。黑客問(wèn)題的出現(xiàn)，并非黑客能夠制造入侵的機(jī)會(huì)，從沒(méi)有路的地方走出一條路，只是他們善于發(fā)現(xiàn)漏洞。即信息網(wǎng)絡(luò)本身的不完善性和缺陷，成為被攻擊的目標(biāo)或利用為攻擊的途徑，其信息網(wǎng)絡(luò)脆弱性引發(fā)了信息社會(huì)脆弱性和安全問(wèn)題，并構(gòu)成了自然或人為破壞的威脅。(3)計(jì)算機(jī)病毒。90年代，出現(xiàn)了曾引起世界性恐慌的“計(jì)算機(jī)病毒”，其蔓延圍廣，增長(zhǎng)速度驚人，損失難以估計(jì)。它像灰色的幽靈將自己附在其他程序上，在這些程序運(yùn)行時(shí)進(jìn)人到系統(tǒng)中進(jìn)行擴(kuò)散。計(jì)算機(jī)感染上病毒后，

15、輕則使系統(tǒng)上作效率下降，重則造成系統(tǒng)死機(jī)或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計(jì)算機(jī)主板等部件的損壞。 (4)垃圾和間諜軟件。一些人利用電子地址的“公開(kāi)性”和系統(tǒng)的“可廣播性”進(jìn)行商業(yè)、XX、政治等活動(dòng)，把自己的電子強(qiáng)行“推入”別人的電子，強(qiáng)迫他人承受垃圾。與計(jì)算機(jī)病毒不同，間諜軟件的主要目的不在于對(duì)系統(tǒng)造成破壞，而是竊取系統(tǒng)或是用戶信息。事實(shí)上，間諜軟件日前還是一個(gè)具有爭(zhēng)議的概念，一種被普遍承受的觀點(diǎn)認(rèn)為間諜軟件是指那些在用戶小知情的情況下進(jìn)行非法安裝發(fā)裝后很難找到其蹤影，并悄悄把截獲的一些信息提供給第下者的軟件。間諜軟件的功能繁多，它可以監(jiān)視用戶行為，或是發(fā)布廣告，修改系統(tǒng)設(shè)置，威脅用

16、戶隱私和計(jì)算機(jī)安全，并可能小同程度的影響系統(tǒng)性能。(5)信息戰(zhàn)的嚴(yán)重威脅。信息戰(zhàn)，即為了國(guó)家的軍事戰(zhàn)略而采取行動(dòng)，取得信息優(yōu)勢(shì)，干擾敵方的信息和信息系統(tǒng)，同時(shí)保衛(wèi)自己的信息和信息系統(tǒng)。這種對(duì)抗形式的目標(biāo)，不是集中打擊敵方的人員或戰(zhàn)斗技術(shù)裝備，而是集中打擊敵方的計(jì)算機(jī)信息系統(tǒng)，使其神經(jīng)中樞的指揮系統(tǒng)癱瘓。信息技術(shù)從根本上改變了進(jìn)行戰(zhàn)爭(zhēng)的方法，其攻擊的首要目標(biāo)主要是連接國(guó)家政治、軍事、經(jīng)濟(jì)和整個(gè)社會(huì)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，信息武器已經(jīng)成為了繼原子武器、生物武器、化學(xué)武器之后的第四類戰(zhàn)略武器?？梢哉f(shuō)，未來(lái)國(guó)與國(guó)之間的對(duì)抗首先將是信息技術(shù)的較量。網(wǎng)絡(luò)信息安全應(yīng)該成為國(guó)家安全的前提。(6)計(jì)算機(jī)犯罪。計(jì)算機(jī)犯

17、罪，通常是利用竊取口令等手段非法侵人計(jì)算機(jī)信息系統(tǒng)，傳播有害信息，惡意破壞計(jì)算機(jī)系統(tǒng)，實(shí)施貪污、盜竊、詐騙和金融犯罪等活動(dòng)。在一個(gè)開(kāi)放的網(wǎng)絡(luò)環(huán)境中，大量信息在網(wǎng)上流動(dòng)，這為不法分子提供了攻擊目標(biāo)。他們利用不同的攻擊手段，獲得訪問(wèn)或修改在網(wǎng)中流動(dòng)的敏感信息，闖入用戶或政府部門的計(jì)算機(jī)系統(tǒng)，進(jìn)行窺視、竊取、篡改數(shù)據(jù)。不受時(shí)間、地點(diǎn)、條件限制的網(wǎng)絡(luò)詐騙，其“低成本和高收益”又在一定程度上刺激了犯罪的增長(zhǎng)。使得針對(duì)計(jì)算機(jī)信息系統(tǒng)的犯罪活動(dòng)日益增多。2 防火墻的安全功能與安全網(wǎng)絡(luò)方案2.1防火墻具備的安全功能防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全

18、的有效管理。從總體上看，防火墻應(yīng)該具有以下基本功能：(1)報(bào)警功能，將任何有網(wǎng)絡(luò)連接請(qǐng)求的程序通知用戶，用戶自行判斷是否放行也或阻斷其程序連接網(wǎng)絡(luò)。(2)黑白功能，可以對(duì)現(xiàn)在或曾經(jīng)請(qǐng)求連接網(wǎng)絡(luò)的程序進(jìn)行規(guī)則設(shè)置。包括以后不準(zhǔn)許連接網(wǎng)網(wǎng)等功能。(3)局域網(wǎng)查詢功能，可以查詢本局域網(wǎng)其用戶，并顯示各用戶主機(jī)名。(4) 流量查看功能，對(duì)計(jì)算機(jī)進(jìn)出數(shù)據(jù)流量進(jìn)行查看，直觀的完整的查看實(shí)時(shí)數(shù)據(jù)量和上傳下載數(shù)據(jù)率。(5)端口掃描功能，戶自可以掃描本機(jī)端口，端口圍為0-65535端口，掃描完后將顯示已開(kāi)放的端口。(6)系統(tǒng)日志功能，日志分為流量日志和安全日志，流量日志是記錄不同時(shí)間數(shù)據(jù)包進(jìn)去計(jì)算機(jī)的情況，分別

19、記錄目標(biāo)地址，對(duì)方地址，端口號(hào)等。安全日志負(fù)責(zé)記錄請(qǐng)求連接網(wǎng)絡(luò)的程序，其中包括記錄下程序的請(qǐng)求連網(wǎng)時(shí)間，程序目錄路徑等。(7)系統(tǒng)服務(wù)功能，可以方便的查看所以存在于計(jì)算機(jī)的服務(wù)程序?？梢躁P(guān)閉，啟動(dòng)，暫停計(jì)算機(jī)的服務(wù)程序。(8)連網(wǎng)/斷網(wǎng)功能，在不使用物理方法下使用戶計(jì)算機(jī)連接網(wǎng)絡(luò)或斷開(kāi)網(wǎng)絡(luò)。完成以上功能使系統(tǒng)能對(duì)程序連接網(wǎng)絡(luò)進(jìn)行管理，大大提高了用戶上網(wǎng)的效率，降低的上網(wǎng)風(fēng)險(xiǎn)。從而用戶上網(wǎng)娛樂(lè)的質(zhì)量達(dá)到提高，同時(shí)也達(dá)到網(wǎng)絡(luò)安全保護(hù)的目的。2.2 計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅網(wǎng)絡(luò)安全的解決方案2.2.1入侵檢測(cè)系統(tǒng)部署入侵檢測(cè)能力是衡量一個(gè)防御體系是否完整有效的重要因素，強(qiáng)大完整的入侵檢測(cè)體系可以彌補(bǔ)防火

20、墻相對(duì)靜態(tài)防御的不足。對(duì)來(lái)自外部網(wǎng)和校園網(wǎng)部的各種行為進(jìn)行實(shí)時(shí)檢測(cè)，與時(shí)發(fā)現(xiàn)各種可能的攻擊企圖，并采取相應(yīng)的措施。具體來(lái)講，就是將入侵檢測(cè)引擎接入中心交換機(jī)上。入侵檢測(cè)系統(tǒng)集入侵檢測(cè)、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實(shí)時(shí)捕獲外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用置的攻擊特征庫(kù)，使用模式匹配和智能分析的方法，檢測(cè)網(wǎng)絡(luò)上發(fā)生的入侵行為和異常現(xiàn)象，并在數(shù)據(jù)庫(kù)中記錄有關(guān)事件，作為網(wǎng)絡(luò)管理員事后分析的依據(jù)；如果情況嚴(yán)重，系統(tǒng)可以發(fā)出實(shí)時(shí)報(bào)警，使得學(xué)校管理員能夠與時(shí)采取應(yīng)對(duì)措施。2.2.2漏洞掃描系統(tǒng) 采用目前最先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安

21、全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。 2.2.3網(wǎng)絡(luò)版殺毒產(chǎn)品部署 在該網(wǎng)絡(luò)防病毒方案中，我們最終要達(dá)到一個(gè)目的就是：要在整個(gè)局域網(wǎng)杜絕病毒的感染、傳播和發(fā)作，為了實(shí)現(xiàn)這一點(diǎn)，我們應(yīng)該在整個(gè)網(wǎng)絡(luò)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺等多種功能。2.2.4 安全服務(wù)配置安全服務(wù)隔離區(qū)( DMZ) 把服務(wù)器機(jī)群和系統(tǒng)管理機(jī)群?jiǎn)为?dú)劃分出來(lái), 設(shè)置為安全服務(wù)隔離區(qū), 它既是部網(wǎng)絡(luò)的一部分, 又是一個(gè)獨(dú)立的局域網(wǎng), 單獨(dú)劃分出來(lái)是為了更好的保護(hù)服務(wù)器上數(shù)據(jù)和系統(tǒng)管理的正常運(yùn)行

22、。建議通過(guò)NAT( 網(wǎng)絡(luò)地址轉(zhuǎn)換) 技術(shù)將受保護(hù)的部網(wǎng)絡(luò)的全部主機(jī)地址映射成防火墻上設(shè)置的少數(shù)幾個(gè)有效公網(wǎng)IP地址。這不僅可以對(duì)外屏蔽部網(wǎng)絡(luò)結(jié)構(gòu)和IP地址, 保護(hù)部網(wǎng)絡(luò)的安全, 也可以大大節(jié)省公網(wǎng)IP地址的使用, 節(jié)省了投資成本。如果單位原來(lái)已有邊界路由器, 則可充分利用原有設(shè)備, 利用邊界路由器的包過(guò)濾功能, 添加相應(yīng)的防火墻配置, 這樣原來(lái)的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護(hù)的部網(wǎng)絡(luò)連接。對(duì)于DMZ區(qū)中的公用服務(wù)器, 則可直接與邊界路由器相連, 不用經(jīng)過(guò)防火墻。它可只經(jīng)過(guò)路由器的簡(jiǎn)單防護(hù)。在此拓?fù)浣Y(jié)構(gòu)中, 邊界路由器與防火墻就一起組成了兩道安全防線, 并且在這兩者之間可

23、以設(shè)置一個(gè)DMZ區(qū), 用來(lái)放置那些允許外部用戶訪問(wèn)的公用服務(wù)器設(shè)施。2.2.5 配置訪問(wèn)策略訪問(wèn)策略是防火墻的核心安全策略, 所以要經(jīng)過(guò)詳盡的信息統(tǒng)計(jì)才可以進(jìn)行設(shè)置。在過(guò)程中我們需要了解本單位對(duì)對(duì)外的應(yīng)用以與所對(duì)應(yīng)的源地址、目的地址、TCP 或UDP的端口, 并根據(jù)不同應(yīng)用的執(zhí)行頻繁程度對(duì)策略在規(guī)則表中的位置進(jìn)行排序, 然后才能實(shí)施配置。原因是防火墻進(jìn)行規(guī)則查找時(shí)是順序執(zhí)行的, 如果將常用的規(guī)則放在首位就可以提高防火墻的工作效率。2.2.6 日志監(jiān)控日志監(jiān)控是十分有效的安全管理手段。往往許多管理員認(rèn)為只要可以做日志的信息就去采集。如: 所有的告警或所有與策略匹配或不匹配的流量等等, 這樣的做法

24、看似日志信息十分完善, 但每天進(jìn)出防火墻的數(shù)據(jù)有上百萬(wàn)甚至更多, 所以, 只有采集到最關(guān)鍵的日志才是真正有用的日志。一般而言, 系統(tǒng)的告警信息是有必要記錄的, 對(duì)于流量信息進(jìn)行選擇, 把影響網(wǎng)絡(luò)安全有關(guān)的流量信息保存下來(lái)。3 HYPERLINK :/hi138 /?b105 計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)并實(shí)現(xiàn)3.1桌面安全系統(tǒng)用戶的重要信息都是以文件的形式存儲(chǔ)在磁盤上，使用戶可以方便地存取、修改、分發(fā)。這樣可以提高辦公的效率，但同時(shí)也造成用戶的信息易受到攻擊，造成泄密。特別是對(duì)于移動(dòng)辦公的情況更是如此。因此，需要對(duì)移動(dòng)用戶的文件與文件夾進(jìn)行本地安全管理，防止文件泄密等安全隱患。本設(shè)計(jì)方案采用清華紫光

25、公司出品的紫光S鎖產(chǎn)品，“紫光S鎖”是清華紫光“桌面計(jì)算機(jī)信息安全保護(hù)系統(tǒng)”的商品名稱。紫光S鎖的部集成了包括中央處理器（CPU）、加密運(yùn)算協(xié)處理器（CAU）、只讀存儲(chǔ)器（ROM），隨機(jī)存儲(chǔ)器（RAM）、電可擦除可編程只讀存儲(chǔ)器（E2PROM）等，以與固化在ROM部的芯片操作系統(tǒng)COS（ChipOperatingSystem）、硬件ID號(hào)、各種密鑰和加密算法等。紫光S鎖采用了通過(guò)中國(guó)人民銀行認(rèn)證的SmartCOS，其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改，防止非法軟件對(duì)S鎖進(jìn)行操作。3.2病毒防護(hù)系統(tǒng)基于單位目前網(wǎng)絡(luò)的現(xiàn)狀，在網(wǎng)絡(luò)中添加一臺(tái)服務(wù)器，用于安裝IMSS。（1)防毒。采用趨勢(shì)科技的

26、ScanMailforNotes。該產(chǎn)品可以和Domino的群件服務(wù)器無(wú)縫相結(jié)合并嵌到Notes的數(shù)據(jù)庫(kù)中，可防止病毒入侵到LotueNotes的數(shù)據(jù)庫(kù)與電子，實(shí)時(shí)掃描并清除隱藏于數(shù)據(jù)庫(kù)與信件附件中的病毒。可通過(guò)任何Notes工作站或Web界面遠(yuǎn)程控管防毒 HYPERLINK :/hi138 /?k=%B9%DC%C0%ED%B9%A4%D7%F7 管理工作，并提供實(shí)時(shí)監(jiān)控病毒流量的活動(dòng)記錄報(bào)告。ScanMail是NotesDominoServer使用率最高的防病毒軟件。（2)服務(wù)器防毒。采用趨勢(shì)科技的ServerProtect。該產(chǎn)品的最大特點(diǎn)是含集中管理的概念，防毒模塊和管理模塊可分開(kāi)安裝

27、。一方面減少了整個(gè)防毒系統(tǒng)對(duì)原系統(tǒng)的影響，另一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點(diǎn)進(jìn)行部署，管理和更新。（3)客戶端防毒。采用趨勢(shì)科技的OfficeScan。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng)，使 HYPERLINK :/hi138 /?k=%B9%DC%C0%ED%D5%DF 管理者通過(guò)單點(diǎn)控制所有客戶機(jī)上的防毒模塊，并可以自動(dòng)對(duì)所有客戶端的防毒模塊進(jìn)行更新。其最大特點(diǎn)是擁有靈活的產(chǎn)品集中部署方式，不受Windows域管理模式的約束，除支持SMS，登錄域腳本，共享安裝以外，還支持純Web的部署方式。（4)集中控管TVCS。管理員可以通過(guò)此工具在整個(gè)企業(yè)圍進(jìn)行配置、監(jiān)視和維護(hù)趨勢(shì)科技的防病毒軟件

28、，支持跨域和跨網(wǎng)段的管理，并能顯示基于服務(wù)器的防病毒產(chǎn)品狀態(tài)。無(wú)論運(yùn)行于何種平臺(tái)和位置，TVCS在整個(gè)網(wǎng)絡(luò)中總起一個(gè)單一管理控制臺(tái)作用。簡(jiǎn)便的安裝和分發(fā)代理部署，網(wǎng)絡(luò)的分析和病毒統(tǒng)計(jì)功能以與自動(dòng)下載病毒代碼文件和病毒爆發(fā)警報(bào)，給管理帶來(lái)極大的便利。3.3 動(dòng)態(tài)口令系統(tǒng)動(dòng)態(tài)口令系統(tǒng)在國(guó)際公開(kāi)的密碼算法基礎(chǔ)上，結(jié)合生成動(dòng)態(tài)口令的特點(diǎn)，加以精心修改，通過(guò)十次以上的非線性迭代運(yùn)算，完成時(shí)間參數(shù)與密鑰充分的混合擴(kuò)散。在此基礎(chǔ)上，采用先進(jìn)的身份認(rèn)證與加解密流程、先進(jìn)的密鑰管理方式，從整體上保證了系統(tǒng)的安全性。單位安全網(wǎng)由多個(gè)具有不同安全信任度的網(wǎng)絡(luò)部分構(gòu)成，在控制不可信連接、分辨非法訪問(wèn)、辨別身份偽裝等方

29、面存在著很大的缺陷，從而構(gòu)成了對(duì)網(wǎng)絡(luò)安全的重要隱患。本設(shè)計(jì)方案選用四臺(tái)網(wǎng)御防火墻，分別配置在高性能服務(wù)器和三個(gè)重要部門的局域網(wǎng)出入口，實(shí)現(xiàn)這些重要部門的訪問(wèn)控制。通過(guò)在核心交換機(jī)和高性能服務(wù)器群之間與核心交換機(jī)和重要部門之間部署防火墻，通過(guò)防火墻將網(wǎng)絡(luò)部不同部門的網(wǎng)絡(luò)或關(guān)鍵服務(wù)器劃分為不同的網(wǎng)段，彼此隔離。這樣不僅保護(hù)了單位網(wǎng)絡(luò)服務(wù)器，使其不受來(lái)自部的攻擊，也保護(hù)了各部門網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器不受來(lái)自單位網(wǎng)部其他部門的網(wǎng)絡(luò)的攻擊。如果有人闖進(jìn)您的一個(gè)部門，或者如果病毒開(kāi)始蔓延，網(wǎng)段能夠限制造成的損壞進(jìn)一步擴(kuò)大。為有效解決辦公區(qū)之間信息的傳輸安全，可以在多個(gè)子網(wǎng)之間建立起獨(dú)立的安全通道，通過(guò)嚴(yán)格的加密

30、和認(rèn)證措施來(lái)保證通道中傳送的數(shù)據(jù)的完整性、真實(shí)性和私有性。SJW-22網(wǎng)絡(luò)密碼機(jī)系統(tǒng)組成網(wǎng)絡(luò)密碼機(jī)（硬件）:是一個(gè)基于專用核，具有自主的高級(jí)通信保護(hù)控制系統(tǒng)。本地管理器（軟件）:是一個(gè)安裝于密碼機(jī)本地管理平臺(tái)上的基于網(wǎng)絡(luò)或串口方式的網(wǎng)絡(luò)密碼機(jī)本地管理系統(tǒng)軟件。中心管理器（軟件）:是一個(gè)安裝于中心管理平臺(tái)（Windows系統(tǒng)）上的對(duì)全網(wǎng)的密碼機(jī)設(shè)備進(jìn)行統(tǒng)一管理的系統(tǒng)軟件。根據(jù)以上多層次安全防的策略，安全網(wǎng)的安全建設(shè)可采取“加密”、“外防”、“審”相結(jié)合的方法，“審”是對(duì)系統(tǒng)部進(jìn)行監(jiān)視、審查，識(shí)別系統(tǒng)是否正在受到攻擊以與部信息是否泄密，以解決層安全。安全審計(jì)系統(tǒng)能幫助用戶對(duì)安全網(wǎng)的安全進(jìn)行實(shí)時(shí)監(jiān)控

31、，與時(shí)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)上的動(dòng)態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為，忠實(shí)記錄網(wǎng)絡(luò)上發(fā)生的一切，提供取證手段。作為網(wǎng)絡(luò)安全十分重要的一種手段，安全審計(jì)系統(tǒng)包括識(shí)別、記錄、存儲(chǔ)、分析與安全相關(guān)行為有關(guān)的信息。在安全網(wǎng)中使用的安全審計(jì)系統(tǒng)應(yīng)實(shí)現(xiàn)如下功能：安全審計(jì)自動(dòng)響應(yīng)、安全審計(jì)數(shù)據(jù)生成、安全審計(jì)分析、安全審計(jì)瀏覽、安全審計(jì)事件存儲(chǔ)、安全審計(jì)事件選擇等。本設(shè)計(jì)方案選用“漢邦軟科”的安全審計(jì)系統(tǒng)作為安全審計(jì)工具。漢邦安全審計(jì)系統(tǒng)是針對(duì)目前網(wǎng)絡(luò)發(fā)展現(xiàn)狀與存在的安全問(wèn)題，面向企事業(yè)的網(wǎng)絡(luò)管理人員而設(shè)計(jì)的一套網(wǎng)絡(luò)安全產(chǎn)品，是一個(gè)分布在整個(gè)安全網(wǎng)圍的網(wǎng)絡(luò)安全監(jiān)視監(jiān)測(cè)、控制系統(tǒng)。（1）安全審計(jì)系統(tǒng)由安全監(jiān)控中心和主機(jī)傳感器兩個(gè)

32、部分構(gòu)成。主機(jī)傳感器安裝在要監(jiān)視的目標(biāo)主機(jī)上，其監(jiān)視目標(biāo)主機(jī)的人機(jī)界面操作、監(jiān)控RAS連接、監(jiān)控網(wǎng)絡(luò)連接情況與共享資源的使用情況。安全監(jiān)控中心是管理平臺(tái)和監(jiān)控平臺(tái)，網(wǎng)絡(luò)管理員通過(guò)安全監(jiān)控中心為主機(jī)傳感器設(shè)定監(jiān)控規(guī)則，同時(shí)獲得監(jiān)控結(jié)果、報(bào)警信息以與日志的審計(jì)。主要功能有文件保護(hù)審計(jì)和主機(jī)信息審計(jì)。文件保護(hù)審計(jì)：文件保護(hù)安裝在審計(jì)中心，可有效的對(duì)被審計(jì)主機(jī)端的文件進(jìn)行管理規(guī)則設(shè)置，包括禁止讀、禁止寫、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報(bào)警等功能。以與對(duì)文件保護(hù)進(jìn)行用戶管理。主機(jī)信息審計(jì):對(duì)網(wǎng)絡(luò)公共資源中，所有主機(jī)進(jìn)行審計(jì)，可以審計(jì)到主機(jī)的機(jī)器名、當(dāng)前用戶、操作系統(tǒng)類型、IP地址信息

33、。（2)資源監(jiān)控系統(tǒng)主要有四類功能。監(jiān)視屏幕:在用戶指定的時(shí)間段，系統(tǒng)自動(dòng)每隔數(shù)秒或數(shù)分截獲一次屏幕;用戶實(shí)時(shí)控制屏幕截獲的開(kāi)始和完畢。4 防火墻的配置4.1防火墻的初始配置像路由器一樣，在使用之前，防火墻也需要經(jīng)過(guò)基本的初始配置。但因各種防火墻的初始配置基本類似，所以在此僅以Cisco PIX防火墻為例進(jìn)行介紹。 防火墻的初始配置也是通過(guò)控制端口（Console）與PC機(jī)（通常是便于移動(dòng)的筆記本電腦）的串口連接，再通過(guò)Windows系統(tǒng)自帶的超級(jí)終端（HyperTerminal）程序進(jìn)行選項(xiàng)配置。防火墻的初始配置物理連接與前面介紹的交換機(jī)初始配置連接方法一樣，參見(jiàn)圖1所示。 防火墻除了以上所

34、說(shuō)的通過(guò)控制端口（Console）進(jìn)行初始配置外，也可以通過(guò)telnet和Tffp配置方式進(jìn)行高級(jí)配置，但Telnet配置方式都是在命令方式中配置，難度較大，而Tffp方式需要專用的Tffp服務(wù)器軟件，但配置界面比較友好。 防火墻與路由器一樣也有四種用戶配置模式，即：普通模式（Unprivileged mode）、特權(quán)模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），進(jìn)入這四種用戶模式的命令也與路由器一樣： 普通用戶模式無(wú)需特別命令，啟動(dòng)后即進(jìn)入； 進(jìn)入特權(quán)用戶模式的命令為enable；進(jìn)入配置模式的命令為con

35、fig terminal；而進(jìn)入端口模式的命令為interface ethernet（）。不過(guò)因?yàn)榉阑饓Φ亩丝跊](méi)有路由器那么復(fù)雜，所以通常把端口模式歸為配置模式，統(tǒng)稱為全局配置模式。 防火墻的具體配置步驟如下： 1. 將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個(gè)空余串口上，參見(jiàn)圖1。 2. 打開(kāi)PIX防火電源，讓系統(tǒng)加電初始化，然后開(kāi)啟與防火墻連接的主機(jī)。 3. 運(yùn)行筆記本電腦Windows系統(tǒng)中的超級(jí)終端（HyperTerminal）程序（通常在附件程序組中）。對(duì)超級(jí)終端的配置與交換機(jī)或路由器的配置一樣，參見(jiàn)本教程前面有關(guān)介紹。 4. 當(dāng)PIX防火墻進(jìn)入系統(tǒng)后

36、即顯示pixfirewall的提示符，這就證明防火墻已啟動(dòng)成功，所進(jìn)入的是防火墻用戶模式。可以進(jìn)行進(jìn)一步的配置了。 5. 輸入命令：enable,進(jìn)入特權(quán)用戶模式，此時(shí)系統(tǒng)提示為：pixfirewall#。 6. 輸入命令： configure terminal,進(jìn)入全局配置模式，對(duì)系統(tǒng)進(jìn)行初始化設(shè)置。 （1）. 首先配置防火墻的網(wǎng)卡參數(shù)（以只有1個(gè)LAN和1個(gè)WAN接口的防火墻配置為例） Interface ethernet0 auto # 0號(hào)網(wǎng)卡系統(tǒng)自動(dòng)分配為WAN網(wǎng)卡，auto選項(xiàng)為系統(tǒng)自適應(yīng)網(wǎng)卡類型 Interface ethernet1 auto （2）. 配置防火墻、外部網(wǎng)卡的I

37、P地址 IP address inside ip_address netmask # Inside代表部網(wǎng)卡 IP address outside ip_address netmask # outside代表外部網(wǎng)卡 （3）. 指定外部網(wǎng)卡的IP地址圍： global 1 ip_address-ip_address （4）. 指定要進(jìn)行轉(zhuǎn)換的部地址 nat 1 ip_address netmask （5）. 配置某些控制選項(xiàng)： conduit global_ip port-port protocol foreign_ip netmask 其中，global_ip：指的是要控制的地址；port：

38、指的是所作用的端口，0代表所有端口；protocol：指的是連接協(xié)議，比如：TCP、UDP等；foreign_ip：表示可訪問(wèn)的global_ip外部IP地址；netmask：為可選項(xiàng)，代表要控制的子網(wǎng)掩碼。 7. 配置保存：wr mem 8. 退出當(dāng)前模式 此命令為exit，可以任何用戶模式下執(zhí)行，執(zhí)行的方法也相當(dāng)簡(jiǎn)單，只輸入命令本身即可。它與Quit命令一樣。下面三條語(yǔ)句表示了用戶從配置模式退到特權(quán)模式，再退到普通模式下的操作步驟。 pixfirewall(config)# exit pixfirewall# exit pixfirewall 9. 查看當(dāng)前用戶模式下的所有可用命令：sho

39、w，在相應(yīng)用戶模式下鍵入這個(gè)命令后，即顯示出當(dāng)前所有可用的命令與簡(jiǎn)單功能描述。 10. 查看端口狀態(tài)：show interface，這個(gè)命令需在特權(quán)用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。 11. 查看靜態(tài)地址映射:show static，這個(gè)命令也須在特權(quán)用戶模式下執(zhí)行，執(zhí)行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況。4.2 過(guò)濾防火墻的訪問(wèn)配置除了以上介紹的基本配置外，在防火墻的安全策略中最重要還是對(duì)訪問(wèn)控制列表（ACL）進(jìn)行配有關(guān)置。下面介紹一些用于此方面配置的基本命令。 1. access-list：用于創(chuàng)建訪問(wèn)規(guī)則 這一訪問(wèn)規(guī)則配置命令要在防火墻的全局配置模式中進(jìn)行。同一個(gè)序號(hào)

40、的規(guī)則可以看作一類規(guī)則，同一個(gè)序號(hào)之間的規(guī)則按照一定的原則進(jìn)行排列和選擇，這個(gè)順序可以通過(guò) show access-list 命令看到。在這個(gè)命令中，又有幾種命令格式，分別執(zhí)行不同的命令。 （1）創(chuàng)建標(biāo)準(zhǔn)訪問(wèn)列表 命令格式：access-list normal special listnumber1 permit deny source-addr source-mask （2）創(chuàng)建擴(kuò)展訪問(wèn)列表 命令格式：access-list normal special listnumber2 permit deny protocol source-addr source-mask operator por

41、t1 port2 dest-addr dest-mask operator port1 port2 icmp-type icmp-code log （3）刪除訪問(wèn)列表 命令格式：no access-list normal special all listnumber subitem 上述命令參數(shù)說(shuō)明如下： normal：指定規(guī)則加入普通時(shí)間段。 special：指定規(guī)則加入特殊時(shí)間段。 listnumber1：是1到99之間的一個(gè)數(shù)值，表示規(guī)則是標(biāo)準(zhǔn)訪問(wèn)列表規(guī)則。 listnumber2：是100到199之間的一個(gè)數(shù)值，表示規(guī)則是擴(kuò)展訪問(wèn)列表規(guī)則。 permit：說(shuō)明允許滿足條件的報(bào)文通過(guò)。

42、deny：說(shuō)明禁止?jié)M足條件的報(bào)文通過(guò)。 protocol：為協(xié)議類型，支持ICMP、TCP、UDP等，其它的協(xié)議也支持，此時(shí)沒(méi)有端口比較的概念；為IP時(shí)有特殊含義，代表所有的IP協(xié)議。 source-addr：為源IP地址。 source-mask：為源IP地址的子網(wǎng)掩碼，在標(biāo)準(zhǔn)訪問(wèn)列表中是可選項(xiàng)，不輸入則代表通配位為。 dest-addr：為目的IP地址。 dest-mask：為目的地址的子網(wǎng)掩碼。 operator：端口操作符，在協(xié)議類型為TCP或UDP時(shí)支持端口比較，支持的比較操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符為range，

43、則后面需要跟兩個(gè)端口。 port1 在協(xié)議類型為TCP或UDP時(shí)出現(xiàn)，可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或065535之間的一個(gè)數(shù)值。port2 在協(xié)議類型為TCP或UDP且操作類型為range時(shí)出現(xiàn)；可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或065535之間的一個(gè)數(shù)值。 icmp-type：在協(xié)議為ICMP時(shí)出現(xiàn)，代表ICMP報(bào)文類型；可以是關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如echo-reply）或者是0255之間的一個(gè)數(shù)值。 icmp-code：在協(xié)議為ICMP，且沒(méi)有選擇所設(shè)定的預(yù)設(shè)值時(shí)出現(xiàn)；代表ICMP碼，是0255之間的一個(gè)數(shù)值。 log：表示如果報(bào)文符合條件，需要做日志。 li

44、stnumber：為刪除的規(guī)則序號(hào)，是1199之間的一個(gè)數(shù)值。 subitem：指定刪除序號(hào)為listnumber的訪問(wèn)列表中規(guī)則的序號(hào)。 例如，現(xiàn)要在華為的一款防火墻上配置一個(gè)允許源地址為 網(wǎng)絡(luò)、目的地址為網(wǎng)絡(luò)的WWW訪問(wèn)，但不允許使用FTP的訪問(wèn)規(guī)則。相應(yīng)配置語(yǔ)句只需兩行即可，如下： Quidway (config)#access-list 100 permit tcp eq Quidway (config)#access-list 100 deny tcp eq ftp 2. clear access-list counters：清除訪問(wèn)列表規(guī)則的統(tǒng)計(jì)信息 命令格式：clear acce

45、ss-list counters listnumber 這一命令必須在特權(quán)用戶模式下進(jìn)行配置。listnumber 參數(shù)是用指定要清除統(tǒng)計(jì)信息的規(guī)則號(hào)，如不指定，則清除所有的規(guī)則的統(tǒng)計(jì)信息。 如要在華為的一款包過(guò)濾路由器上清除當(dāng)前所使用的規(guī)則號(hào)為100的訪問(wèn)規(guī)則統(tǒng)計(jì)信息。訪問(wèn)配置語(yǔ)句為： clear access-list counters 100 如有清除當(dāng)前所使用的所有規(guī)則的統(tǒng)計(jì)信息，則以上語(yǔ)句需改為：Quidway#clear access-list counters 3. ip access-group 使用此命令將訪問(wèn)規(guī)則應(yīng)用到相應(yīng)接口上。使用此命令的no形式來(lái)刪除相應(yīng)的設(shè)置，對(duì)應(yīng)格

46、式為： ip access-group listnumber in out 此命令須在端口用戶模式下配置，進(jìn)入端口用戶模式的命令為：interface ethernet（），括號(hào)中為相應(yīng)的端口號(hào)，通常0為外部接口，而1為部接口。進(jìn)入后再用ip access-group 命令來(lái)配置訪問(wèn)規(guī)則。listnumber參數(shù)為訪問(wèn)規(guī)則號(hào)，是1199之間的一個(gè)數(shù)值（包括標(biāo)準(zhǔn)訪問(wèn)規(guī)則和擴(kuò)展訪問(wèn)規(guī)則兩類）；in 表示規(guī)則應(yīng)用于過(guò)濾從接口接收到的報(bào)文；而out表示規(guī)則用于過(guò)濾從接口轉(zhuǎn)發(fā)出去的報(bào)文。一個(gè)接口的一個(gè)方向上最多可以應(yīng)用20類不同的規(guī)則；這些規(guī)則之間按照規(guī)則序號(hào)的大小進(jìn)行排列，序號(hào)大的排在前面，也就是優(yōu)先

47、級(jí)高。對(duì)報(bào)文進(jìn)行過(guò)濾時(shí)，將采用發(fā)現(xiàn)符合的規(guī)則即得出過(guò)濾結(jié)果的方法來(lái)加快過(guò)濾速度。所以，建議在配置規(guī)則時(shí)，盡量將對(duì)同一個(gè)網(wǎng)絡(luò)配置的規(guī)則放在同一個(gè)序號(hào)的訪問(wèn)列表中；在同一個(gè)序號(hào)的訪問(wèn)列表中，規(guī)則之間的排列和選擇順序可以用show access-list命令來(lái)查看。 例如將規(guī)則100應(yīng)用于過(guò)濾從外部網(wǎng)絡(luò)接口上接收到的報(bào)文，配置語(yǔ)句為（同樣為在傾為包過(guò)濾路由器上）： ip access-group 100 in 如果要?jiǎng)h除某個(gè)訪問(wèn)控制表列綁定設(shè)置，則可用no ip access-group listnumber in out 命令。 4. show access-list 此配置命令用于顯示包過(guò)濾規(guī)則

48、在接口上的應(yīng)用情況。命令格式為：show access-list all listnumber interface interface-name 這一命令須在特權(quán)用戶模式下進(jìn)行配置，其中all參數(shù)表示顯示所有規(guī)則的應(yīng)用情況，包括普通時(shí)間段與特殊時(shí)間段的規(guī)則；如果選擇listnumber參數(shù)，則僅需顯示指定規(guī)則號(hào)的過(guò)濾規(guī)則；interface 表示要顯示在指定接口上應(yīng)用的所有規(guī)則序號(hào)；interface-name參數(shù)為接口的名稱。 使用此命令來(lái)顯示所指定的規(guī)則，同時(shí)查看規(guī)則過(guò)濾報(bào)文的情況。每個(gè)規(guī)則都有一個(gè)相應(yīng)的計(jì)數(shù)器，如果用此規(guī)則過(guò)濾了一個(gè)報(bào)文，則計(jì)數(shù)器加1；通過(guò)對(duì)計(jì)數(shù)器的觀察可以看出所配置的規(guī)

49、則中，哪些規(guī)則是比較有效，而哪些基本無(wú)效。例如，現(xiàn)在要顯示當(dāng)前所使用序號(hào)為100的規(guī)則的使用情況，可執(zhí)行Quidway#show access-list 100語(yǔ)句即可，隨即系統(tǒng)即顯示這條規(guī)則的使用情況，格式如下： Using normal packet-filtering access rules now. 100 deny icmp 55 any host-redirect (3 matches,252 bytes - rule 1) 100 permit icmp 55 any echo (no matches - rule 2) 100 deny udp any any eq rip

50、(no matches - rule 3) 5. show firewall 此命令須在特權(quán)用戶模式下執(zhí)行，它顯示當(dāng)前防火墻狀態(tài)。命令格式非常簡(jiǎn)單，也為：show firewall。這里所說(shuō)的防火墻狀態(tài)，包括防火墻是否被啟用，啟用防火墻時(shí)是否采用了時(shí)間段包過(guò)濾與防火墻的一些統(tǒng)計(jì)信息。 6. Telnet 這是用于定義能過(guò)防火配置控制端口進(jìn)行遠(yuǎn)程登錄的有關(guān)參數(shù)選項(xiàng)，也須在全局配置用戶模式下進(jìn)行配置。 命令格式為：telnet ip_address netmask if_name 其中的ip_address參數(shù)是用來(lái)指定用于Telnet登錄的IP地址，netmask為子網(wǎng)掩碼，if_name用于指

51、定用于Telnet登錄的接口，通常不用指定，則表示此IP地址適用于所有端口。如： telnet 如果要清除防火墻上某個(gè)端口的Telnet參數(shù)配置，則須用clear telnet命令，其格式為：clear telnet ip_address netmask if_name，其中各選項(xiàng)說(shuō)明同上。它與另一個(gè)命令no telnet功能基本一樣，不過(guò)它是用來(lái)刪除某接口上的Telnet配置，命令格式為：no telnet ip_address netmask if_name。 如果要顯示當(dāng)前所有的Telnet配置，則可用show telnet命令。 最簡(jiǎn)單的防火墻配置，就是直接在部網(wǎng)和外部網(wǎng)之間加裝一個(gè)包

52、過(guò)濾路由器或者應(yīng)用網(wǎng)關(guān)。為更好地實(shí)現(xiàn)網(wǎng)絡(luò)安全，有時(shí)還要將幾種防火墻技術(shù)組合起來(lái)構(gòu)建防火墻系統(tǒng)。目前比較流行的有以下三種防火墻配置方案。4.3雙宿主機(jī)網(wǎng)關(guān)(Dual Homed HYPERLINK :/whatis.ctocio .cn/searchwhatis/110/6093110.shtml t _bank Gateway)這種配置是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。雙宿主機(jī)用兩個(gè)網(wǎng)絡(luò)適配器分別連接兩個(gè)網(wǎng)絡(luò)，又稱堡壘主機(jī)。堡壘主機(jī)上運(yùn)行著防火墻軟件(通常是代理服務(wù)器)，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機(jī)網(wǎng)關(guān)有一個(gè)致命弱點(diǎn)，一旦入侵者侵入堡壘主機(jī)并使該主機(jī)只具有路由器功能，則任

53、何網(wǎng)上用戶均可以隨便訪問(wèn)有保護(hù)的部網(wǎng)絡(luò)(如圖1)。三種流行防火墻配置方案分析(圖一)4.4屏蔽主機(jī)網(wǎng)關(guān)(Screened HYPERLINK :/whatis.ctocio .cn/searchwhatis/128/5948128.shtml t _bank Host Gateway)屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機(jī)和雙宿堡壘主機(jī)兩種類型。先來(lái)看單宿堡壘主機(jī)類型。一個(gè)包過(guò)濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在部網(wǎng)絡(luò)上。堡壘主機(jī)只有一個(gè)網(wǎng)卡，與部網(wǎng)絡(luò)連接(如圖2)。通常在路由器上設(shè)立過(guò)濾規(guī)則，并使這個(gè)單宿堡壘主機(jī)成為從 Internet惟一可以訪問(wèn)的主機(jī)，確保了部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的 HYPERLINK :/whatis.ctocio .cn/searchwhatis/308/7333808.shtml t _bank 攻擊。而 HYPERLINK :/whatis.ctocio .cn/se