網(wǎng)絡(luò)通信基礎(chǔ)知識

1、三層交換機(jī)與路由器的主要區(qū)別.主要功能不同雖然三層交換機(jī)與路由器都具有路由功能，但我們不能因此而把它們等同起來，正如現(xiàn)在許多網(wǎng)絡(luò) 設(shè)備同時具備多種傳統(tǒng)網(wǎng)絡(luò)設(shè)備功能一樣，就如現(xiàn)在有許多寬帶路由器不僅具有路由功能，還提供 了交換機(jī)端口、硬件防火墻功能，但不能把它與交換機(jī)或者防火墻等同起來一樣。因為這些路由器 的主要功能還是路由功能，其它功能只不過是其附加功能，其目的是使設(shè)備適用面更廣、使其更加 實(shí)用。這里的三層交換機(jī)也一樣，它仍是交換機(jī)產(chǎn)品，只不過它是具備了一些基本的路由功能的交 換機(jī)，它的主要功能仍是數(shù)據(jù)交換。也就是說它同時具備了數(shù)據(jù)交換和路由轉(zhuǎn)發(fā)兩種功能，但其主 要功能還是數(shù)據(jù)交換；而路由器僅

2、具有路由轉(zhuǎn)發(fā)這一種主要功能。.主要適用的環(huán)境不一樣三層交換機(jī)的路由功能通常比較簡單，因為它所面對的主要是簡單的局域網(wǎng)連接。正因如此，三層 交換機(jī)的路由功能通常比較簡單，路由路徑遠(yuǎn)沒有路由器那么復(fù)雜。它用在局域網(wǎng)中的主要用途還 是提供快速數(shù)據(jù)交換功能，滿足局域網(wǎng)數(shù)據(jù)交換頻繁的應(yīng)用特點(diǎn)。而路由器則不同，它的設(shè)計初哀就是為了滿足不同類型的網(wǎng)絡(luò)連接，雖然也適用于局域網(wǎng)之間的連 接，但它的路由功能更多的體現(xiàn)在不同類型網(wǎng)絡(luò)之間的互聯(lián)上，如局域網(wǎng)與廣域網(wǎng)之間的連接、不 同協(xié)議的網(wǎng)絡(luò)之間的連接等，所以路由器主要是用于不同類型的網(wǎng)絡(luò)之間。它最主要的功能就是路 由轉(zhuǎn)發(fā)，解決好各種復(fù)雜路由路徑網(wǎng)絡(luò)的連接就是它的最終

3、目的，所以路由器的路由功能通常非常 強(qiáng)大，不僅適用于同種協(xié)議的局域網(wǎng)間，更適用于不同協(xié)議的局域網(wǎng)與廣域網(wǎng)間。它的優(yōu)勢在于選 擇最佳路由、負(fù)荷分擔(dān)、鏈路備份及和其他網(wǎng)絡(luò)進(jìn)行路由信息的交換等等路由器所具有功能。為了 與各種類型的網(wǎng)絡(luò)連接，路由器的接口類型非常豐富，而三層交換機(jī)則一般僅同類型的局域網(wǎng)接 口，非常簡單。.性能體現(xiàn)不一樣從技術(shù)上講，路由器和三層交換機(jī)在數(shù)據(jù)包交換操作上存在著明顯區(qū)別。路由器一般由基于微處理 器的軟件路由引擎執(zhí)行數(shù)據(jù)包交換，而三層交換機(jī)通過硬件執(zhí)行數(shù)據(jù)包交換。三層交換機(jī)在對第一 個數(shù)據(jù)流進(jìn)行路由后，它將會產(chǎn)生一個MACM址與IP地址的映射表，當(dāng)同樣的數(shù)據(jù)流再次通過時，將根據(jù)

4、此表直接從二層通過而不是再次路由，從而消除了路由器進(jìn)行路由選擇而造成網(wǎng)絡(luò)的延遲， 提高了數(shù)據(jù)包轉(zhuǎn)發(fā)的效率。同時，三層交換機(jī)的路由查找是針對數(shù)據(jù)流的，它利用緩存技術(shù)，很容 易利用ASIC技術(shù)來實(shí)現(xiàn)，因此，可以大大節(jié)約成本，并實(shí)現(xiàn)快速轉(zhuǎn)發(fā)。而路由器的轉(zhuǎn)發(fā)采用最長匹 配的方式，實(shí)現(xiàn)復(fù)雜，通常使用軟件來實(shí)現(xiàn)，轉(zhuǎn)發(fā)效率較低。正因如此，從整體性能上比較的話，三層交換機(jī)的性能要遠(yuǎn)優(yōu)于路由器，非常適用于數(shù)據(jù)交換頻繁 的局域網(wǎng)中；而路由器雖然路由功能非常強(qiáng)大，但它的數(shù)據(jù)包轉(zhuǎn)發(fā)效率遠(yuǎn)低于三層交換機(jī)，更適合 于數(shù)據(jù)交換不是很頻繁的不同類型網(wǎng)絡(luò)的互聯(lián)，如局域網(wǎng)與互聯(lián)網(wǎng)的互聯(lián)。如果把路由器，特別是 高檔路由器用于局域網(wǎng)

5、中，則在相當(dāng)大程度上是一種浪費(fèi)（就其強(qiáng)大的路由功能而言），而且還不能很好地滿足局域網(wǎng)通信性能需求，影響子網(wǎng)間的正常通信。綜上所述，三層交換機(jī)與路由器之間還是存在著非常大的本質(zhì)區(qū)別的。無論從哪方面來說，在局域 網(wǎng)中進(jìn)行多子網(wǎng)連接，最好還選用三層交換機(jī)，特別是在不同子網(wǎng)數(shù)據(jù)交換頻繁的環(huán)境中。一方面 可以確保子網(wǎng)間的通信性能需求，另一方面省去了另外購買交換機(jī)的投資。當(dāng)然，如果子網(wǎng)間的通 信不是很頻繁，采用路由器也無可厚非，也可達(dá)到子網(wǎng)安全隔離相互通信的目的。具體要根據(jù)實(shí)際 需求來定。防火墻的選購有關(guān)防火墻方面的知識，在前幾篇中已作了較全面的介紹，相信各位對防火墻的認(rèn)識已有所提高。 最后在本篇之中，我

6、要向大家介紹的是在防火墻選購方面需注意的有關(guān)事項，也可稱之為選購原則 吧。這是在你決定利用前幾篇知識開始為自己企業(yè)選購防火墻之前需要最后掌握的。其實(shí)防火墻的選購與其它網(wǎng)絡(luò)設(shè)備和選購差不多，主要是考慮到品牌和性能。品牌好說，有名的大 家都或許早已知道一些，但是對于性能，卻非常廣泛，不同品牌、不同型號差別較大，是整個防火 墻選購注意事項中的關(guān)鍵所在。本文所要介紹的選購原則主要是從性能角度考慮。.產(chǎn)品類型防火墻的產(chǎn)品分類標(biāo)準(zhǔn)較多，本篇主要介紹的是硬件防火墻，而且只考慮傳統(tǒng)邊界防火墻。在邊界 防火墻中，如果硬件結(jié)構(gòu)來看的話，基本上有兩大類：路由器集成式和硬件獨(dú)立式防火墻。前者是 在邊界路由器基礎(chǔ)上輔以

7、軟件，添加一些包過濾功能，通常稱之為包過濾防火墻，如Cisco IOS防火墻等；而獨(dú)立式硬件防火墻通常是基于應(yīng)用級網(wǎng)關(guān)、自動代理等較先進(jìn)過濾技術(shù)的，各種過濾技術(shù) 有不同的優(yōu)點(diǎn)和適用環(huán)境，要注意選擇。詳細(xì)防火墻分類，請參照毅面篇介紹。另外防火墻所用的系統(tǒng)也非常關(guān)鍵，它關(guān)系到防火墻自身的安全性能。目前包過濾型的路由器防火 墻是沒有單獨(dú)的操作系統(tǒng)的，而獨(dú)立式的硬件防火墻有的采用通用操作系統(tǒng)；而有的則采用專門開 發(fā)的嵌入式操作系統(tǒng)。相比之下，專門開發(fā)的操作系統(tǒng)比較安全，因為它所包括的服務(wù)比較小，安 全漏洞比較少。. LAN 接口防火墻的接口雖然沒有路由器那么復(fù)雜，但也因具體的應(yīng)用環(huán)境不同，所用的接口類

8、型也不一樣。主要表現(xiàn)在內(nèi)部網(wǎng)絡(luò)接口類型上，防火墻的LAN接口類型要符合應(yīng)用環(huán)境的網(wǎng)絡(luò)連接需求。主要的LAN接口類型有以太網(wǎng)、快速以太網(wǎng)、千兆以太網(wǎng)、ATM令牌環(huán)及FDDI等主流網(wǎng)絡(luò)類型。在企業(yè)局域網(wǎng)中，通常只需要能支持以太網(wǎng)、快速以太網(wǎng)，最多還可選擇支持千兆以太網(wǎng)的。注意支持接口 類型越多，價格越貴，因為在防火墻主板中的電路會越復(fù)雜。不要一味貪全。在防火墻LAN接口支持方面，還要考慮其最大的LAN接口數(shù)，如果企業(yè)只有一個網(wǎng)絡(luò)需要保護(hù)，則呆選擇具有1個LAN接口的，而需組建多宿主機(jī)模式，則需要選擇能提供多個LAN接口的防火墻，以實(shí)現(xiàn)保護(hù)不同內(nèi)網(wǎng)的目的。當(dāng)然接口數(shù)越多，價格也越貴。.協(xié)議支持防火墻

9、要對各種數(shù)據(jù)包進(jìn)行過濾，就必須對相應(yīng)數(shù)據(jù)包通信方式提供支持，除了廣泛受支持的TCP/IP協(xié)議外，還有可能需要支持AppleTalk 、 DECnet IPX及NETBEUI等協(xié)議，當(dāng)然這要根據(jù)具體的應(yīng)用環(huán)境而定。如果防火墻要支持VPN通信，則一定要選擇支持VPN隧道協(xié)議（PPTP和L2TP）,以及IPSec安全協(xié)議等。協(xié)議的選擇與內(nèi)部網(wǎng)絡(luò)所用操作系統(tǒng)關(guān)系密切。.訪問控制配置在防火墻中的訪問規(guī)則表中，不同的防火墻有不同的配置方式。好的防火墻過濾規(guī)則應(yīng)涵蓋所有出 入防火墻的數(shù)據(jù)包的處理方法，對于沒有明確定義的數(shù)據(jù)包，也應(yīng)有一個默認(rèn)處理方法。同時要求 過濾規(guī)則應(yīng)易于理解，易于編輯修改，并具備一致性檢

10、測機(jī)制，防止各條規(guī)則間相互沖突，而不起 作用。防火墻能否在應(yīng)用層提供代理支持也是非常重要的，如HTTR FTP、TELNET SNMP弋理等。在傳輸層是否可以提供代理支持；是否支持FTP文件類型過濾，允許 FTP命令防止某些類型文件通過防火墻；在應(yīng)用級代理方面，是否具有應(yīng)用層高級代理功能，如 HTTR POP3 o在安全策略上，防火墻應(yīng)具有相當(dāng)?shù)撵`活性。首先防火墻的過濾語言應(yīng)該是靈活的，編程對用戶是友好的，還應(yīng)具備若干可能的過濾屬性，如源和目的IP地址、協(xié)議類型、源和目的TCP/UD嘲口及入出接口等。只有這樣用戶才能根據(jù)實(shí)際需求采取靈活的安全策略保護(hù)自己企業(yè)網(wǎng)絡(luò)的安全。另外，防火墻除應(yīng)包含先進(jìn)

11、的鑒別措施，還應(yīng)采用盡量多的先進(jìn)技術(shù)，如包過濾技術(shù)、加密技術(shù)、 可信的信息技術(shù)等。如身份識別及驗證、信息的保密性保護(hù)、信息的完整性校驗、系統(tǒng)的訪問控制 機(jī)制、授權(quán)管理等技術(shù)，這些都是防火墻安全系統(tǒng)所必需考慮的。在身份認(rèn)證支持方面，一般情況下防火墻應(yīng)具有一個以上認(rèn)證方案，如RADIUS Kerberos、TACACS/TACACS、 口令方式、數(shù)字證書等。防火墻能夠為本地或遠(yuǎn)程用戶提供經(jīng)過認(rèn)證與授權(quán)的 對網(wǎng)絡(luò)資源的訪問，防火墻管理員必須決定客戶以何種方式通過認(rèn)證。列出防火墻所能支持的認(rèn)證 標(biāo)準(zhǔn)和CA互操作性（廠商可以選擇自己的認(rèn)證方案，但應(yīng)符合相應(yīng)的國際標(biāo)準(zhǔn)），以及實(shí)現(xiàn)的認(rèn)證協(xié)議是否與其他CA產(chǎn)

12、品兼容互通。.自身的可靠性防火墻本身就是一個用于安全防護(hù)的設(shè)備，當(dāng)然其自身的安全性也就顯得更加重要了。防火墻的安全性能取決于防火墻是否采用了安全的操作系統(tǒng)和是否采用專用的硬件平臺。因為現(xiàn)在第二代防火 墻產(chǎn)品通常不再依靠用戶的操作系統(tǒng)，而是采用自已單獨(dú)開發(fā)的操作系統(tǒng)。應(yīng)用系統(tǒng)的安全性能是 以防火墻自身操作系統(tǒng)的安全性能為基礎(chǔ)的，同時，應(yīng)用系統(tǒng)自身的安全實(shí)現(xiàn)也直接影響到整個系 統(tǒng)的安全性。在硬件配置方面，提高防火墻的可靠性通常是通過提高防火墻部件的強(qiáng)健性、增大設(shè)計閥值和增加 冗余部件進(jìn)行的。.防御功能在提供病毒掃描功能的防火墻中，要驗證其掃描的文檔類型，如是否會對電子郵件附件中的口05口ZIP文件

13、，F(xiàn)TP中的下載或上載文件內(nèi)容進(jìn)行掃描，以發(fā)現(xiàn)其中包含的危險信息。驗證防火墻是否具有抵御 DoS攻擊的能力。在網(wǎng)絡(luò)攻擊中，拒絕服務(wù)攻擊是使用頻率最高的手段。 拒絕服務(wù)攻擊（DoS）就是攻擊者過多地占用共享資源，導(dǎo)致服務(wù)器超載或系統(tǒng)資源耗盡，而使其他用 戶無法享有服務(wù)或沒有資源可用。防火墻通過控制、檢測與報警等機(jī)制，應(yīng)可有效地防止或抵御黑 客客的DoS攻擊。當(dāng)然除了防火墻要具備這這能力外，我們還可對網(wǎng)絡(luò)系統(tǒng)進(jìn)行完善，更加網(wǎng)絡(luò)自身的DoS攻擊防御能力。拒絕服務(wù)攻擊可以分為兩類：一類是由于操作系統(tǒng)或應(yīng)用軟件在設(shè)計或編程上存在缺陷而造成的，這種類型只能通過打補(bǔ)丁的辦法來解決，如我們常見的各種Windo

14、ws系統(tǒng)安全補(bǔ)丁。另一類是由于協(xié)議本身存在缺陷而造成的，這種類型的攻擊雖然較少，但是造成的危害卻非常大。對于第 一類問題，防火墻顯得有些力不從心，因為系統(tǒng)缺陷與病毒感染不同，沒有病毒碼作為依據(jù)，防火 墻常常會作出錯誤的判斷。防火墻有能力對付第二類攻擊。隨著黑客攻擊手段的提高，新的入侵的手段也已開始普遍，如基于ActiveX、Java、Cookies、Javascript 程序的入侵。防火墻應(yīng)該能夠從HTTP頁面剝離Java Applet 、ActiveX等小程序及從Script、PH所口 ASP等代碼檢測出危險代碼或病毒，并向瀏覽器用戶報警。同時，能夠過濾用戶上載的CGI、ASP等程序，當(dāng)發(fā)現(xiàn)

15、危險代碼時，向服務(wù)器報警。.連接性能因為防火墻位于網(wǎng)絡(luò)邊界，需對進(jìn)入網(wǎng)絡(luò)的所有數(shù)據(jù)包進(jìn)行過濾，這就要求防火墻能以最快的速度及時對所有數(shù)據(jù)包進(jìn)行檢測，否則就可能造成比較的延時，甚至死機(jī)。這個指標(biāo)又稱之為吞吐量”,非常重要，它體現(xiàn)了防火墻的可用性，也體現(xiàn)了企業(yè)用戶使用防火墻產(chǎn)品的代價（延時）。如果 防火墻對網(wǎng)絡(luò)造成較大的延時，還會給用戶造成較大的損失。這一點(diǎn)我們在使用個人防火墻時可能 深有感觸，有時我們在打開防火墻時上網(wǎng)速度非常慢，而一旦去掉防火墻速度就上來了，原因就為因為防火墻在過濾數(shù)據(jù)包時效率不高。就防火墻類型來說，包過濾型速度最快，對原有網(wǎng)絡(luò)性能影響最小，在防火墻端口帶寬足夠?qū)挘ㄈ绗F(xiàn)在的千兆

16、防火墻）的情況下，其影響還不足以讓人感覺。而先進(jìn)的動態(tài)包過濾、應(yīng)用級網(wǎng)關(guān)、自適應(yīng) 代理防火墻，雖然其包檢測機(jī)制比包過濾先進(jìn)，但所需時間要比包過濾多，因而在效率方面就不如 包過濾型。當(dāng)然我們知道，包過濾機(jī)制本身就存在許多不安全、不全面的因素，所以這類防火墻對網(wǎng)絡(luò)的防護(hù)能力非常有限，因此在較大型、或者較注重安全的網(wǎng)絡(luò)中建議不要選擇此類防火墻。.管理功能在管理方面，主要是出于網(wǎng)絡(luò)管理員對防火墻的日常管理工作方面便性角度考慮，防火墻要能為管 理員提供足夠的信息或操作便利。通常網(wǎng)絡(luò)管理員需對防火墻墻進(jìn)行如下管理工作：通過防火墻的身份鑒別，編寫防火墻的安全規(guī) 則；配置防火墻的安全參數(shù)；查看防火墻的日志，通

17、過日志記錄信息修改安全規(guī)則、調(diào)整網(wǎng)絡(luò)部署 等。在這些日常管理工作中，有的要在本地執(zhí)行，而有的允許通過遠(yuǎn)程管理方式進(jìn)行遠(yuǎn)程管理。這就要求防火墻支持相應(yīng)的遠(yuǎn)程管理方式。在防火墻配置方面，在上一篇我們介紹到它也有幾種方式，如本地控制端口連接方式、遠(yuǎn)程 Telnet、FTP,甚至HTTP方式，查看所選防火墻所支持的配置方式是否滿足你公司的實(shí)際需求。對于大型網(wǎng)絡(luò)中，如果存在多個防火墻，我們還考慮防火墻是否支持集中管理，通過集成策略集中 管理多個防火墻可以大大減輕網(wǎng)絡(luò)管理負(fù)擔(dān)。另一方面，還要考慮防火墻是否提供基于時間的訪問 控制；是否支持SNM坐視和配置。在大、中型企業(yè)防火墻管理中方面，還需考慮以下幾方面

18、的性能：是否支持帶寬管理；是否支持負(fù)載均衡特性；是否支持失效恢復(fù)特性（failover）。支持帶寬管理的防火墻能夠根據(jù)當(dāng)前的流量動態(tài)調(diào)整某些客戶端占用的帶寬；負(fù)載均衡特性可以看成動態(tài)的端口映射，它將一個外部地址的某一TCP或UDP端口映射到一組內(nèi)部地址的某一端口，負(fù)載均衡主要用于將某項服務(wù)（如HTTP）分?jǐn)偟揭唤M內(nèi)部服務(wù)器上以平衡負(fù)載；而失效恢復(fù)特性是一種容錯技術(shù)，如雙機(jī)熱備份、故障恢復(fù)，雙電源備 份等。.記錄和報表功能這項功能是對采用應(yīng)用級網(wǎng)關(guān)、自適應(yīng)代理服務(wù)器等新技術(shù)的防火墻而言的，對于包過濾路由器防 火墻是不具備此功能的。在防火墻的日志記錄和報表功能上，主要考慮以下幾個方面：防火墻處理完

19、整日志的方法：防火墻應(yīng)該規(guī)定對于符合條件的報文進(jìn)行日志記錄，同時還需提供 日志信息管理和存儲方法。是否提供自動日志掃描：指防火墻是否具有日志的自動分析和掃描功能對于幫助管理員進(jìn)行有效地管理非常重要，通過防火墻的自動分析和掃描功能，管理員可以獲得更詳細(xì)的統(tǒng)計結(jié)果，以便管 理員針對性進(jìn)行相應(yīng)方面的完善。是否具人警告通知機(jī)制：防火墻應(yīng)提供警告機(jī)制，在檢測到網(wǎng)絡(luò)入侵，及設(shè)備運(yùn)轉(zhuǎn)異常情況時，通過警告信息來通知管理員采取必要的措施，警告方式包括E- mail、狀態(tài)顯示、聲音報警、呼叫報警等。是否提供簡要報表（按照用戶ID或IP地址）：這是防火墻日志記錄的一種輸出方式，具有這種功能的防火墻可按管理員要求提供

20、相應(yīng)的報表，分類打印。這樣可靈活滿足各種管理需求。是否提供實(shí)時統(tǒng)計：這也是防火墻日志記錄的一種輸出方式，通過實(shí)時統(tǒng)計狀態(tài)顯示，管理員可 及時地分析當(dāng)前網(wǎng)絡(luò)安全狀態(tài)，及時地發(fā)現(xiàn)和解決安全隱患，一般是以圖表方式顯示的。.靈活的可擴(kuò)展和可升級性用戶的網(wǎng)絡(luò)不可能永遠(yuǎn)一成不變，隨著業(yè)務(wù)的發(fā)展，公司內(nèi)部可能組建不同安全級別的子網(wǎng)，這樣防火墻不僅要在公司內(nèi)部網(wǎng)和外部網(wǎng)之間進(jìn)行過濾，還要在公司內(nèi)部子網(wǎng)之間進(jìn)行過濾（現(xiàn)在的分布式防火墻不僅可以做到這一點(diǎn)，而且還可在內(nèi)部網(wǎng)各用戶之間過濾）。目前的防火墻一般標(biāo)配三個網(wǎng)絡(luò)接口，分別連接外部網(wǎng)、內(nèi)部網(wǎng)和SSN用戶在購買防火墻時必須弄清楚是否可以增加網(wǎng)絡(luò)接口，因為有些防火

21、墻無法擴(kuò)展。用戶購買或配置防火墻，首先要對自身的安全需求、網(wǎng)絡(luò)特性和成本預(yù) 算做出分析，然后對防火墻產(chǎn)品進(jìn)行評估和審核，選出24家主要品牌產(chǎn)品進(jìn)行洽談，最后再確定優(yōu)選方案。通常小型企業(yè)接入互聯(lián)網(wǎng)的目的一般是為了方便內(nèi)部用戶瀏覽Web收發(fā)E-mail以及發(fā)布主頁。這類用戶在選購防火墻時，主要要注意考慮保護(hù)內(nèi)部（敏感）數(shù)據(jù)的安全，特別要注重安全性，對服務(wù)協(xié)議的多樣性以及速度等可以不作特殊要求。建議這類用戶選用一般的代理型防火墻，具有http、mail等代理功能即可。而對于有電子商務(wù)應(yīng)用的企業(yè)和網(wǎng)站等用戶來說，這些企業(yè)每天都會有大量的商務(wù)信息通過防火墻。如果這些用戶需要在外部網(wǎng)絡(luò)發(fā)布Welb （將W

22、eb服務(wù)器置于外部的情況），同時需要保護(hù)數(shù)據(jù)庫或應(yīng)用服務(wù)器（置于防火墻內(nèi)），這就要求所采用的防火墻具有傳送SQL數(shù)據(jù)的功能，而且必須具有較快的傳送速度。建議這些用戶采用高效的包過濾型防火墻，并將其配置為只允許外部Web服務(wù)器和內(nèi)部傳送 SQL數(shù)據(jù)使用。未來的防火墻系統(tǒng)應(yīng)該是一個可隨意伸縮的模塊化解決方案，包括從最基本的包過濾器到帶加密功能的VPN型包過濾器，直至一個獨(dú)立的應(yīng)用網(wǎng)關(guān)，使用戶有充分的余地構(gòu)建自己所需要的防火墻體 系。.協(xié)同工作能力因為防火墻只是一個基礎(chǔ)的網(wǎng)絡(luò)安全設(shè)備，它不代表網(wǎng)絡(luò)安全防護(hù)體系的全部，通常它需要與防病 毒系統(tǒng)和入侵檢測系統(tǒng)等安全產(chǎn)品協(xié)同配合，才能從根本上保證整個系統(tǒng)的

23、安全，所以在選購防火墻時就要考慮它是否能夠與其他安全產(chǎn)品協(xié)同工作。如何檢驗它是否具有這個能力，通常是看它是否支持OPSEC（開放安全結(jié)構(gòu)）標(biāo)準(zhǔn)，通過這個接口與入侵檢測系統(tǒng)協(xié)同工作，通過CVP（內(nèi)容引導(dǎo)協(xié)議）與防病毒系統(tǒng)協(xié)同工作。.品牌知名度之所以把它放在最后介紹，那是因為它不能說是一項硬件選購指標(biāo)，只能是一項參考指標(biāo)。防火墻產(chǎn)品屬高科技產(chǎn)品，生產(chǎn)這樣的設(shè)備不僅需要強(qiáng)大的資金作后盾，而且在技術(shù)實(shí)力需要有強(qiáng)大的保障。選擇了好的品牌在一定程度上也就選擇了好的技術(shù)和服務(wù)，對將來的使用更加有保障。所以在選購防火墻產(chǎn)品時千萬別隨便貪圖一時便宜，選購一些雜牌產(chǎn)品。目前國外在防火墻產(chǎn)品的開發(fā)、生產(chǎn)中比較著名的

24、品牌有：3COM Cisco、Nokia、NetScreen、Check Point 等，這些品牌技術(shù)實(shí)力比較強(qiáng)，而且都能提供高檔產(chǎn)品，當(dāng)然價格也相比下面要介紹的國產(chǎn)品牌要貴許多（通常在15萬元以上）甚至貴一倍以上。這些品牌對于大、中型有資金實(shí)力的企業(yè)來說比較理想，因為購買了這類品牌產(chǎn)品，相對來說在技術(shù)方面更有保障，能滿足公司各方面的特殊需求，而且可擴(kuò)展性比 較強(qiáng)，適宜公司的發(fā)展需要。國內(nèi)開發(fā)、生產(chǎn)防火墻的品牌主要有：聯(lián)想 -Dlink、天網(wǎng)、實(shí)達(dá)、東軟、天融信等。這些品牌相對國外著名品牌來說都處于中、低檔次。當(dāng)然價格要便宜許多（通常在10萬元以下），而且還能提供全中文的使用說明書，方便安裝、

25、調(diào)試和維護(hù)。對于中小企業(yè)來說國產(chǎn)品牌是理想的選擇。以上介紹了在選購防火墻時所要注意的各個方面，事實(shí)上很難找到完全符合以上各項要求的防火墻產(chǎn)品。事實(shí)上如何評估防火墻是一個十分復(fù)雜的問題。一般說來，防火墻的安全和性能（速度等）是最重要的指標(biāo)，用戶接口（管理和配置界面）和審計追蹤次之，然后才是功能上的擴(kuò)展性。用戶時常會面對安全和性能之間的矛盾，代理型防火墻通常更具安全性，但是性能要差于包過濾型防火墻。好了，關(guān)于防火墻的選購就介紹至此。這樣有關(guān)防火墻方面的知識就介紹完了，從下篇開始就介紹 本教程的最后，也是最重要的一個網(wǎng)絡(luò)硬件設(shè)備-服務(wù)器。防火墻的配置在前幾篇對防火墻的有關(guān)知識和技術(shù)作了一個較全面的介

26、紹，本篇要為大家介紹一些實(shí)用的知識， 那就是如何配置防火中的安全策略。但要注意的是，防火墻的具體配置方法也不是千篇一律的，不 要說不同品牌，就是同一品牌的不同型號也不完全一樣，所以在此也只能對一些通用防火墻配置方 法作一基本介紹。同時，具體的防火墻策略配置會因具體的應(yīng)用環(huán)境不同而有較大區(qū)別。首先介紹 一些基本的配置原則。一.防火墻的基本配置原則默認(rèn)情況下，所有的防火墻都是按以下兩種情況配置的：拒絕所有的流量，這需要在你的網(wǎng)絡(luò)中特殊指定能夠進(jìn)入和出去的流量的一些類型。允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類型?？烧撟C地，大多數(shù)防火墻默認(rèn) 都是拒絕所有的流量作為安全選項。一旦你安裝防

27、火墻后，你需要打開一些必要的端口來使防火墻 內(nèi)的用戶在通過驗證之后可以訪問系統(tǒng)。換句話說，如果你想讓你的員工們能夠發(fā)送和接收Email ,你必須在防火墻上設(shè)置相應(yīng)的規(guī)則或開啟允許POP笏口 SMTP勺進(jìn)程。在防火墻的配置中，我們首先要遵循的原則就是安全實(shí)用，從這個角度考慮，在防火墻的配置過程 中需堅持以下三個基本原則：.簡單實(shí)用：對防火墻環(huán)境設(shè)計來講，首要的就是越簡單越好。其實(shí)這也是任何事物的基本原 則。越簡單的實(shí)現(xiàn)方式，越容易理解和使用。而且是設(shè)計越簡單，越不容易出錯，防火墻的安全功 能越容易得到保證，管理也越可靠和簡便。每種產(chǎn)品在開發(fā)前都會有其主要功能定位，比如防火墻產(chǎn)品的初衷就是實(shí)現(xiàn)網(wǎng)絡(luò)

28、之間的安全控制， 入侵檢測產(chǎn)品主要針對網(wǎng)絡(luò)非法行為進(jìn)行監(jiān)控。但是隨著技術(shù)的成熟和發(fā)展，這些產(chǎn)品在原來的主 要功能之外或多或少地增加了一些增值功能，比如在防火墻上增加了查殺病毒、入侵檢測等功能， 在入侵檢測上增加了病毒查殺功能。但是這些增值功能并不是所有應(yīng)用環(huán)境都需要，在配置時我們 也可針對具體應(yīng)用環(huán)境進(jìn)行配置，不必要對每一功能都詳細(xì)配置，這樣一則會大大增強(qiáng)配置難度， 同時還可能因各方面配置不協(xié)調(diào)，引起新的安全漏洞，得不償失。.全面深入：單一的防御措施是難以保障系統(tǒng)的安全的，只有采用全面的、多層次的深層防御戰(zhàn)略體系才能實(shí)現(xiàn)系統(tǒng)的真正安全。在防火墻配置中，我們不要停留在幾個表面的防火墻語句上，而應(yīng)

29、系統(tǒng)地看等整個網(wǎng)絡(luò)的安全防護(hù)體系，盡量使各方面的配置相互加強(qiáng)，從深層次上防護(hù)整個系 統(tǒng)。這方面可以體現(xiàn)在兩個方面：一方面體現(xiàn)在防火墻系統(tǒng)的部署上，多層次的防火墻部署體系， 即采用集互聯(lián)網(wǎng)邊界防火墻、部門邊界防火墻和主機(jī)防火墻于一體的層次防御；另一方面將入侵檢 測、網(wǎng)絡(luò)加密、病毒查殺等多種安全措施結(jié)合在一起的多層安全體系。.內(nèi)外兼顧：防火墻的一個特點(diǎn)是防外不防內(nèi)，其實(shí)在現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境中，80%以上的威脅都來自內(nèi)部，所以我們要樹立防內(nèi)的觀念，從根本上改變過去那種防外不防內(nèi)的傳統(tǒng)觀念。對內(nèi)部威脅 可以采取其它安全措施，比如入侵檢測、主機(jī)防護(hù)、漏洞掃描、病毒查殺。這方面體現(xiàn)在防火墻配 置方面就是要引入

30、全面防護(hù)的觀念，最好能部署與上述內(nèi)部防護(hù)手段一起聯(lián)動的機(jī)制。目前來說，要做到這一點(diǎn)比較困難。二、防火墻的初始配置像路由器一樣，在使用之前，防火墻也需要經(jīng)過基本的初始配置。但因各種防火墻的初始配置基本 類似，所以在此僅以Cisco PIX防火墻為例進(jìn)行介紹。防火墻的初始配置也是通過控制端口(Console )與PC機(jī)(通常是便于移動的筆記本電腦)的串口連接，再通過 Windows系統(tǒng)自帶的超級終端(HyperTerminal )程序進(jìn)行選項配置。防火墻的初始配置 物理連接與前面介紹的交換機(jī)初始配置連接方法一樣，參見圖1所示。圖1防火墻除了以上所說的通過控制端口( Console )進(jìn)行初始配置外

31、，也可以通過telnet和Tffp配置方式進(jìn)行高級配置，但Telnet配置方式都是在命令方式中配置，難度較大，而 Tffp方式需要專用的Tffp服務(wù)器軟件，但配置界面比較友好。防火墻與路由器一樣也有四種用戶配置模式，即：普通模式( Unprivileged mode )、特權(quán)模式(Privileged Mode )、配置模式(Configuration Mode )和端口模式(Interface Mode ),進(jìn)入這 四種用戶模式的命令也與路由器一樣：普通用戶模式無需特別命令，啟動后即進(jìn)入；進(jìn)入特權(quán)用戶模式的命令為enable；進(jìn)入配置模式的命令為 config terminal ；而進(jìn)入端口

32、模式的命令為interface ethernet ()。不過因為防火墻的端口沒有路由器那么復(fù)雜，所以通常把端口 模式歸為配置模式，統(tǒng)稱為“全局配置模式o防火墻的具體配置步驟如下：.將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個空余串口上，參 見圖1。.打開PIX防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機(jī)。.運(yùn)行筆記本電腦 Windows系統(tǒng)中的超級終端(HyperTerminal )程序(通常在附件程序組中)。 對超級終端的配置與交換機(jī)或路由器的配置一樣，參見本教程前面有關(guān)介紹。.當(dāng)PIX防火墻進(jìn)入系統(tǒng)后即顯示pixfirewall的提示符，這就證明防

33、火墻已啟動成功，所進(jìn)入的是防火墻用戶模式?？梢赃M(jìn)行進(jìn)一步的配置了。.輸入命令：enable,進(jìn)入特權(quán)用戶模式，此時系統(tǒng)提示為：pixfirewall# 。.輸入命令：configure terminal,進(jìn)入全局配置模式，對系統(tǒng)進(jìn)行初始化設(shè)置。.首先配置防火墻的網(wǎng)卡參數(shù)(以只有1個LAN和1個WA冷口的防火墻配置為例)Interface ethernet。auto # 0號網(wǎng)卡系統(tǒng)自動分配為WAN3卡，auto選項為系統(tǒng)自適應(yīng)網(wǎng)卡類型Interface ethernet1 auto.配置防火墻內(nèi)、外部網(wǎng)卡的 IP地址IP address inside ip_address netmask #

34、Inside代表內(nèi)部網(wǎng)卡IP address outside ip_address netmask # outside代表夕卜部網(wǎng)卡.指定外部網(wǎng)卡的IP地址范圍：global 1 ip_address-ip_address.指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址 nat 1 ip_address netmask （5）.配置某些控制選項： conduit global_ip port-port protocol foreign_ip netmask 其中，global_ip :指的是要控制的地址； port :指的是所作用的端口，0代表所有端口；protocol :指的是連接協(xié)議，比如：TCR UD瞪；fo

35、reign_ip :表示可訪問的 global_ip 外部IP地址；netmask ：為可選項，代表要控制的子網(wǎng)掩碼。. 配置保存： wr mem.退出當(dāng)前模式此命令為exit ,可以任何用戶模式下執(zhí)行，執(zhí)行的方法也相當(dāng)簡單，只輸入命令本身即可。它與 Quit命令一樣。下面三條語句表示了用戶從配置模式退到特權(quán)模式，再退到普通模式下的操作步 驟。pixfirewall（config）# exitpixfirewall# exitpixfirewall9.查看當(dāng)前用戶模式下的所有可用命令：show,在相應(yīng)用戶模式下鍵入這個命令后，即顯示出當(dāng)前所有可用的命令及簡單功能描述。.查看端口狀態(tài)：show

36、interface ,這個命令需在特權(quán)用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻 所有接口配置情況。.查看靜態(tài)地址映射:show static ,這個命令也須在特權(quán)用戶模式下執(zhí)行，執(zhí)行后顯示防火墻的 當(dāng)前靜態(tài)地址映射情況。三、Cisco PIX防火墻的基本配置.同樣是用一條串行電纜從電腦的COMH連到Cisco PIX 525 防火墻的console 口；.開啟所連電腦和防火墻的電源，進(jìn)入 Windows系統(tǒng)自帶的超級終端，通訊參數(shù)可按系統(tǒng)默然。進(jìn)入防火墻初始化配置，在其中主要設(shè)置有：Date（日期）、time（時間）、hostname（主機(jī)名稱）、inside ip address（內(nèi)部網(wǎng)卡IP地

37、址）、domain（主域）等，完成后也就建立了一個初始化設(shè)置了。此時的提示符為：pix255。.輸入enable命令，進(jìn)入Pix 525特權(quán)用戶模式，默然密碼為空。如果要修改此特權(quán)用戶模式密碼，則可用 enable password 命令，命令格式為：enable passwordpassword encrypted ,這個密碼必須大于16位。Encrypted選項是確定所加密碼是否需要加密。4、定義以太端口：先必須用 enable命令進(jìn)入特權(quán)用戶模式，然后輸入configure terminal （可簡稱為config t ）,進(jìn)入全局配置模式模式。具體配置pix525enablePassw

38、ord:pix525#config tpix525 （config）#interface ethernetO autopix525 （config）#interface ethernet1 auto在默然T普況下 ethernetO 是屬外部網(wǎng)卡 outside, ethernet1 是屬內(nèi)部網(wǎng)卡inside, inside 在初始化配置成功的情況下已經(jīng)被激活生效了，但是 outside必須命令配置激活。. clock配置時鐘，這也非常重要，這主要是為防火墻的日志記錄而資金積累的，如果日志記錄時間和日期 都不準(zhǔn)確，也就無法正確分析記錄中的信息。這須在全局配置模式下進(jìn)行。時鐘設(shè)置命令格式有兩種，

39、主要是日期格式不同，分別為：clock set hh:mm:ss month day month year 和 clock set hh:mm:ss day month year前一種格式為：小時：分鐘：秒月 日年；而后一種格式為：小時：分鐘：秒 日月年，主要在日、月份的前后順序不同。在時間上如果為0,可以為一位，如：21:0:0 o.指定接口的安全級別指定接口安全級別的命令為nameif ,分別為內(nèi)、外部網(wǎng)絡(luò)接口指定一個適當(dāng)?shù)陌踩墑e。在此要注意，防火墻是用來保護(hù)內(nèi)部網(wǎng)絡(luò)的，外部網(wǎng)絡(luò)是通過外部接口對內(nèi)部網(wǎng)絡(luò)構(gòu)成威脅的，所以要從根 本上保障內(nèi)部網(wǎng)絡(luò)的安全，需要對外部網(wǎng)絡(luò)接口指定較高的安全級別，

40、而內(nèi)部網(wǎng)絡(luò)接口的安全級別 稍低，這主要是因為內(nèi)部網(wǎng)絡(luò)通信頻繁、可信度高。在 Cisco PIX系列防火墻中，安全級別的定義是 由security ()這個參數(shù)決定的，數(shù)字越小安全級別越高，所以 security0是最高的，隨后通常是以10的倍數(shù)遞增，安全級別也相應(yīng)降低。如下例：pix525(config)#nameif ethernet0 outside security0 # outside是指夕卜部接口pix525(config)#nameif ethernet1 inside security100 # inside是指內(nèi)部接口.配置以太網(wǎng)接口 IP地址. access-group這個命

41、令是把訪問控制列表綁定在特定的接口上。須在配置模式下進(jìn)行配置。命令格式為：access-group acl_ID in interface interface_name,其中的acl_ID 是指訪問控制列表名稱，interface_name 為網(wǎng)絡(luò)接口名稱。如：access-group acl_out in interface outside,在外部網(wǎng)絡(luò)接口上綁定名稱為acl_out 的訪問控制列表。clear access-group :清除所有綁定的訪問控制綁定設(shè)置。no access-group acl_ID in interface interface_name: 清除指定的訪問控制綁

42、定設(shè)置。show access-group acl_ID in interface interface_name: 顯示指定的訪問控制綁定設(shè)置。.配置訪問列表所用配置命令為：access-list ,合格格式比較復(fù)雜，如下：標(biāo)準(zhǔn)規(guī)貝 U 的創(chuàng)建命令：access-list normal | special listnumberl permit | deny source-addr source-mask 擴(kuò)展規(guī)貝U的倉U建命令：access-list normal | special listnumber2 permit | deny protocolsource-addr source-ma

43、sk operator portl port2 dest-addr dest-mask operator portlport2 | icmp-type icmp-code log 其中的100表示訪問規(guī)則號，根據(jù)當(dāng)前已配置的規(guī)則條數(shù)來確定，不能與原來規(guī)則的重復(fù)，也必須 是正整數(shù)。關(guān)于這個命令還將在下面的高級配置命令中詳細(xì)介紹。.地址轉(zhuǎn)換(NAT)防火墻的NAT配置與路由器的NAT配置基本一樣，首先也必須定義供NAT轉(zhuǎn)換的內(nèi)部IP地址組，接著定義內(nèi)部網(wǎng)段。定義供 NAT轉(zhuǎn)換的內(nèi)部地址組的命令是nat ,它的格式為：nat (if_name) nat_id local_ipnetmask max_

44、conns em_limit ,其中if_name 為接口名；nat_id 參數(shù)代表內(nèi)部地址組號；而 local_ip 為本地網(wǎng)絡(luò)地址；netmask為子網(wǎng)掩碼；max_conns為此接口上所允許的最大TCPil接數(shù)，默認(rèn)為0,表示不限制連接；em_limit為允許從此端口發(fā)出的連接數(shù)，默認(rèn)也為0,即不限制。如：隨后再定義內(nèi)部地址轉(zhuǎn)換后可用的外部地址池，它所用的命令為global,基本命令格式為：global (if_name) nat_id global_ip netmask max_conns em_limit, 各參數(shù)解釋同上。如：global (o11. Port Redirectio

45、n with Statics這是靜態(tài)端口重定向命令。在Cisco PIX版本以上，增加了端口重定向的功能，允許外部用戶通過一個特殊的IP地址/端口通過防火墻傳輸?shù)絻?nèi)部指定的內(nèi)部服務(wù)器。其中重定向后的地址可以是單一 外部地址、共享的外部地址轉(zhuǎn)換端口(PAID ,或者是共享的外部端口。這種功能也就是可以發(fā)布內(nèi)部WWW FTP、Mail等服務(wù)器，這種方式并不是直接與內(nèi)部服務(wù)器連接，而是通過端口重定向連接的，所以可使內(nèi)部服務(wù)器很安全。命令格式有兩種，分別適用于TCP/UDPS信和非TCP/UDPS信：(1). static(internal_if_name, external_if_name)glob

46、al_ip|interfacelocal_ipnetmask mask max_conns emb_limitnorandomseq .static (internal_if_name, external_if_name) tcp|udpglobal_ip|interface global_port local_ip local_port netmask mask max_conns emb_limit norandomseq 此命令中的以上各參數(shù)解釋如下：internal_if_name :內(nèi)部接口名稱； external_if_name :外部接口名稱；tcp|udp:選擇通信協(xié)議類型；g

47、lobal_ip|interface :重定向后的外部 IP地址或共享端口；local_ip :本地IP地址；netmask mask:本地子網(wǎng)掩碼；max_conns：允許的最大 TCP連接數(shù)，默認(rèn)為0,即不限制；emb_limit :允許從此端口發(fā)起的連接數(shù)，默認(rèn)也為0,即不限制；norandomseq :不對數(shù)據(jù)包排序，此參數(shù)通常不用選?，F(xiàn)在我們舉一個實(shí)例，實(shí)例要求如下圖2以上各項重定向要求對應(yīng)的配置語句如下：12.顯示與保存結(jié)果顯示結(jié)果所用命令為：show config ；保存結(jié)果所用命令為：write memory。四、包過濾型防火墻的訪問控制表(ACL)配置除了以上介紹的基本配置外

48、，在防火墻的安全策略中最重要還是對訪問控制列表(ACD進(jìn)行配有關(guān)置。下面介紹一些用于此方面配置的基本命令。1. access-list :用于創(chuàng)建訪問規(guī)則這一訪問規(guī)則配置命令要在防火墻的全局配置模式中進(jìn)行。同一個序號的規(guī)則可以看作一類規(guī)則，同一個序號之間的規(guī)則按照一定的原則進(jìn)行排列和選擇，這個順序可以通過show access-list 命令看到。在這個命令中，又有幾種命令格式，分別執(zhí)行不同的命令。(1)創(chuàng)建標(biāo)準(zhǔn)訪問列表命令格式： access-list normal | special listnumber1 permit | deny source-addr source-mask (2)

49、創(chuàng)建擴(kuò)展訪問列表命令格式：access-list normal | special listnumber2 permit | deny protocol source-addrsource-mask operator port1 port2 dest-addr dest-mask operator port1 port2 |icmp-type icmp-code log (3)刪除訪問列表命令格式：no access-list normal | special all | listnumber subitem 上述命令參數(shù)說明如下： normal:指定規(guī)則加入普通時間段。 special ：指

50、定規(guī)則加入特殊時間段。listnumber1 :是1到99之間的一個數(shù)值，表示規(guī)則是標(biāo)準(zhǔn)訪問列表規(guī)則。listnumber2 :是100至U 199之間的一個數(shù)值，表示規(guī)則是擴(kuò)展訪問列表規(guī)則。 permit :表明允許滿足條件的報文通過。 deny：表明禁止?jié)M足條件的報文通過。 protocol :為協(xié)議類型，支持ICMP、TCR UD瞪，其它的協(xié)議也支持，此時沒有端口比較的概念；為IP時有特殊含義，代表所有的IP協(xié)議。 source -addr :為源 IP 地址。 dest -addr ：為目的IP地址。 dest -mask：為目的地址的子網(wǎng)掩碼。 operator ：端口操作符，在協(xié)議

51、類型為 TCP或UDP時支持端口比較，支持的比較操作有：等于 (eq)、大于(gt)、小于(lt )、不等于(neq)或介于(range )；如果操作符為range ,則后面需要跟兩個端口。portl 在協(xié)議類型為 TCP或UDP時出現(xiàn)，可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如 telnet ）或065535之 間的一個數(shù)值。port2 在協(xié)議類型為TCP或UDPM操作類型為range時出現(xiàn)；可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet ）或065535之間的一個數(shù)值。 icmp -type :在協(xié)議為ICMP時出現(xiàn)，代表ICMP報文類型；可以是關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如echo-reply ）或者是025

52、5之間的一個數(shù)值。 icmp-code：在協(xié)議為ICMP,且沒有選擇所設(shè)定的預(yù)設(shè)值時出現(xiàn)；代表 ICMP碼，是0255之間的 一個數(shù)值。 log：表示如果報文符合條件，需要做日志。 listnumber :為刪除的規(guī)則序號，是1199之間的一個數(shù)值。 subitem :指定刪除序號為listnumber 的訪問列表中規(guī)則的序號。Quidway （config）#aclear access-list counters:清除訪問列表規(guī)則的統(tǒng)計信息命令格式： clear access-list counters listnumber 這一命令必須在特權(quán)用戶模式下進(jìn)行配置。listnumber參數(shù)是用

53、指定要清除統(tǒng)計信息的規(guī)則號，如不指定，則清除所有的規(guī)則的統(tǒng)計信息。如要在華為的一款包過濾路由器上清除當(dāng)前所使用的規(guī)則號為100的訪問規(guī)則統(tǒng)計信息。訪問配置語句為：clear access-list counters 100如有清除當(dāng)前所使用的所有規(guī)則的統(tǒng)計信息，則以上語句需改為：Quidway#clear access-listcountersip access-group 使用此命令將訪問規(guī)則應(yīng)用到相應(yīng)接口上。使用此命令的no形式來刪除相應(yīng)的設(shè)置，對應(yīng)格式為：ip access-group listnumber in | out 此命令須在端口用戶模式下配置，進(jìn)入端口用戶模式的命令為：int

54、erface ethernet （）,括號中為相應(yīng)的端口號，通常 0為外部接口，而1為內(nèi)部接口。進(jìn)入后再用 ip access-group 命令來配置訪 問規(guī)則。listnumber 參數(shù)為訪問規(guī)則號，是1199之間的一個數(shù)值（包括標(biāo)準(zhǔn)訪問規(guī)則和擴(kuò)展訪問規(guī)則兩類）；in表示規(guī)則應(yīng)用于過濾從接口接收到的報文；而 out表示規(guī)則用于過濾從接口轉(zhuǎn)發(fā)出 去的報文。一個接口的一個方向上最多可以應(yīng)用20類不同的規(guī)則；這些規(guī)則之間按照規(guī)則序號的大小進(jìn)行排列，序號大的排在前面，也就是優(yōu)先級高。對報文進(jìn)行過濾時，將采用發(fā)現(xiàn)符合的規(guī)則即 得出過濾結(jié)果的方法來加快過濾速度。所以，建議在配置規(guī)則時，盡量將對同一個網(wǎng)絡(luò)

55、配置的規(guī)則放在同一個序號的訪問列表中；在同一個序號的訪問列表中，規(guī)則之間的排列和選擇順序可以用 show access-list命令來查看。例如將規(guī)則100應(yīng)用于過濾從外部網(wǎng)絡(luò)接口上接收到的報文，配置語句為（同樣為在傾為包過濾路由器上）：ip access-group 100 in如果要刪除某個訪問控制表列綁定設(shè)置，則可用no ip access-group listnumber in | out 命令。show access-list此配置命令用于顯示包過濾規(guī)則在接口上的應(yīng)用情況。命令格式為：show access-list all |listnumber | interface inter

56、face-name 這一命令須在特權(quán)用戶模式下進(jìn)行配置，其中all參數(shù)表示顯示所有規(guī)則的應(yīng)用情況，包括普通時間段內(nèi)及特殊時間段內(nèi)的規(guī)則；如果選擇listnumber參數(shù)，則僅需顯示指定規(guī)則號的過濾規(guī)則；interface表示要顯示在指定接口上應(yīng)用的所有規(guī)則序號；interface-name參數(shù)為接口的名稱。使用此命令來顯示所指定的規(guī)則，同時查看規(guī)則過濾報文的情況。每個規(guī)則都有一個相應(yīng)的計數(shù)器，如果用此規(guī)則過濾了一個報文，則計數(shù)器加1;通過對計數(shù)器的觀察可以看出所配置的規(guī)則中，哪些規(guī)則是比較有效，而哪些基本無效。例如，現(xiàn)在要顯示當(dāng)前所使用序號為100的規(guī)則的使用情況，可執(zhí)行 Quidway#sh

57、ow access-list 100語句即可，隨即系統(tǒng)即顯示這條規(guī)則的使用情況，格式如下：Using normal packet-filtering access rules now.100 deny udp any any eq rip (no matches - rule 3)show firewall此命令須在特權(quán)用戶模式下執(zhí)行，它顯示當(dāng)前防火墻狀態(tài)。命令格式非常簡單，也為：showfirewall 。這里所說的防火墻狀態(tài)，包括防火墻是否被啟用，啟用防火墻時是否采用了時間段包過濾及防火墻的一些統(tǒng)計信息。Telnet這是用于定義能過防火配置控制端口進(jìn)行遠(yuǎn)程登錄的有關(guān)參數(shù)選項，也須在全局配置

58、用戶模式下進(jìn) 行配置。命令格式為： telnet ip_address netmask if_name其中的ip_address 參數(shù)是用來指定用于 Telnet登錄的IP地址，netmask為子網(wǎng)掩碼，if_name用于 指定用于Telnet登錄的接口，通常不用指定，則表示此 IP地址適用于所有端口。如：如果要清除防火墻上某個端口的Telnet參數(shù)配置，則須用 clear telnet 命令，其格式為：cleartelnet ip_address netmask if_name,其中各選項說明同上。它與另一個命令no telnet 功能基本一樣，不過它是用來刪除某接口上的Telnet配置，命

59、令格式為：no telnet ip_addressnetmask if_name 。如果要顯示當(dāng)前所有的Telnet配置，則可用show telnet 命令。關(guān)于防火墻的配置就介紹至此，下一篇將是防火墻的最后一篇，將介紹防火墻選購方面的知識。最新防火墻技術(shù)一、防火墻技術(shù)發(fā)展概述傳統(tǒng)的防火墻通常是基于訪問控制列表(ACL)進(jìn)行包過濾的，位于在內(nèi)部專用網(wǎng)的入口處，所以也俗稱“邊界防火墻。隨著防火墻技術(shù)的發(fā)展，防火墻技術(shù)也得到了發(fā)展，出現(xiàn)了一些新的防火墻技術(shù)，如電路級網(wǎng)關(guān)技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)和動態(tài)包過濾技術(shù)，在實(shí)際運(yùn)用中，這些技術(shù)差別非常大， 有的工作在 OSI參考模式的網(wǎng)絡(luò)層，；有的工作在傳輸層，還

60、有的工作在應(yīng)用層。在這些已出現(xiàn)的防火墻技術(shù)中，靜態(tài)包過濾是最差的安全解決方案，其應(yīng)用存在著一些不可克服的限制，最明顯的表現(xiàn)就是不能檢測出基于用戶身份的地址欺騙型數(shù)據(jù)包，并且很容易受到諸如DoS(拒絕服務(wù))、IP地址欺詐等黑客攻擊?，F(xiàn)在已基本上沒有防火墻廠商單獨(dú)使用這種技術(shù)。應(yīng)用層網(wǎng)關(guān)和電路級網(wǎng)關(guān)是比較好的安全解決方案，它們在應(yīng)用層檢查數(shù)據(jù)包。但是，我們不可能對每一 個應(yīng)用都運(yùn)行這樣一個代理服務(wù)器，而且部分應(yīng)用網(wǎng)關(guān)技術(shù)還要求客戶端安裝有特殊的軟件。這兩 種解決方案在性能上也有很大的不足之處。動態(tài)包過濾是基于連接狀態(tài)對數(shù)據(jù)包進(jìn)行檢查，由于動 態(tài)包過濾解決了靜態(tài)包過濾的安全限制，并且比代理技術(shù)在性能