【正文】 墻壁，把內(nèi)部網(wǎng)絡(luò)(也稱私人網(wǎng)絡(luò))和外部網(wǎng)絡(luò)(也稱公共網(wǎng)絡(luò))隔離開。一種解決辦法是為需要保護的網(wǎng)絡(luò)上的每個工作站和服務(wù)器裝備上強大的安全特征(例如入侵檢測)，但這幾乎是一種不切合實際的方法，因為對具有幾百個甚至上千個節(jié)點的網(wǎng)絡(luò)，它們可能運行著不同的操作系統(tǒng)，當(dāng)發(fā)現(xiàn)了安全缺陷時，每個可能被影響的節(jié)點都必須加以改進以修復(fù)這個缺陷。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。⑥ 小結(jié)：應(yīng)用層受到攻擊的概率越來越大，而傳統(tǒng)的網(wǎng)絡(luò)防火墻在這方面有存在著不足之處。網(wǎng)絡(luò)防火墻的體系結(jié)構(gòu)，決定了網(wǎng)絡(luò)防火墻是針對網(wǎng)絡(luò)端口和網(wǎng)絡(luò)層進行操作的，因此很難對應(yīng)用層競選防護，除非是一些很簡單的應(yīng)用程序。比如，有些防火墻供應(yīng)商，曾經(jīng)聲稱能夠阻止緩存溢出：當(dāng)黑客在瀏覽器的URL中輸入太長數(shù)據(jù)，試圖使用后臺服務(wù)崩潰或使試圖非法訪問的時候，網(wǎng)絡(luò)防火墻能夠檢測并制止這種情況。④ 應(yīng)用防護特征，只適用于簡單情況目前的數(shù)據(jù)中心服務(wù)器，時常會發(fā)生變動，比如：定期需要部署新的應(yīng)用程序；經(jīng)常需要增加或更新軟件模塊；經(jīng)常會發(fā)現(xiàn)代碼中的bug，已部署的系統(tǒng)需要定期打補丁。主流的平臺供應(yīng)商和大的應(yīng)用程序供應(yīng)商，均已轉(zhuǎn)移到基于Web的體系結(jié)構(gòu)，安全防護的目的，不在只是重要的業(yè)務(wù)數(shù)據(jù)。③ 對于Web應(yīng)用程序，防范能力不足網(wǎng)絡(luò)防火墻于1990年發(fā)明，而商用的Web服務(wù)器，則在一年以后才面世。在如今大多數(shù)網(wǎng)絡(luò)防火墻中，依賴的是靜態(tài)的特征庫，與入侵檢測系統(tǒng)(IDS,Intrusion Detect System)的原理類似。傳統(tǒng)的網(wǎng)絡(luò)防火墻，存在著以下不足之處：①無法檢測加密的Web流量如果你正在部署一個關(guān)鍵的門戶網(wǎng)站，希望所有的網(wǎng)絡(luò)層和應(yīng)用層的漏洞都被屏蔽在應(yīng)用程序之外。Pki技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。在rsa體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分解兩大素數(shù)之積。在非對稱加密算法需要兩個密鑰：公開密鑰(publickey)和私有密鑰(privatekey)。網(wǎng)絡(luò)安全其它技術(shù)還有加密技術(shù)、rsa算法、pki技術(shù)、認證機構(gòu)。網(wǎng)絡(luò)安全需要花費管理人員的精力來維護和實施，造成經(jīng)費的增加。這里所說的計算機病毒是俠義的也有人把所有的惡意程序指為計算機病毒。文報在轉(zhuǎn)發(fā)過程中經(jīng)過了丙的手。(3)假冒甲和乙是系統(tǒng)的合法用戶，網(wǎng)絡(luò)為他們提供應(yīng)有的服務(wù)。① 網(wǎng)絡(luò)安全性面臨的威脅對于網(wǎng)絡(luò)安全性，可以通過甲、乙兩個用戶在計算機網(wǎng)絡(luò)上的通信來考慮計算機網(wǎng)絡(luò)面臨的威脅，主要有一下幾種情況：(1)信息泄露當(dāng)甲通過網(wǎng)絡(luò)與乙進行通信時，如果不采取任何保密措施，那么其他人就與可能偷看到他們的通信內(nèi)容。避免公用網(wǎng)絡(luò)上大量自由傳輸?shù)男畔⑹Э?。?網(wǎng)絡(luò)上系統(tǒng)信息的安全：包括用戶口令鑒別，用戶存取權(quán)限控制，數(shù)據(jù)存取權(quán)限，方式控制，安全審計，安全問題跟蹤，計算機病毒防治，數(shù)據(jù)加密。技術(shù)方面主要側(cè)重于防范外部非法用戶的攻擊管理方面則側(cè)重于內(nèi)部認為因素的管理。③從社會教育和意識形態(tài)角度來講，網(wǎng)絡(luò)上不健康的內(nèi)容，會對社會的穩(wěn)定和人類的發(fā)展造成阻礙，必須對其控制。一 網(wǎng)絡(luò)安全的基礎(chǔ)知識簡介(一) 網(wǎng)絡(luò)安全1．網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全的具體含義會隨著“角度”的變化而變化。如何不斷研究和提高信息安全技術(shù)已直接關(guān)系到社會信息化的發(fā)展。因此，對計算機網(wǎng)絡(luò)安全系統(tǒng)采取措施，鑒別合法用戶驚醒的操作就顯得非常重要。因特網(wǎng)提供給人們的不僅僅是精彩，還無時無刻地存在各種各樣的危險和陷阱。然而，凡事“有利必有一弊”，人們在得益于信息所帶來的新的巨大機遇的同時，也不得不面對信息安全問題的嚴(yán)峻考驗。最后闡述了實例Cisco PIX硬件防火墻，以及防火墻發(fā)展趨勢和防火墻的反戰(zhàn)前景及技術(shù)方向。掌握某一型號防火墻的簡單配置，分析其優(yōu)缺點，并指出改進意見2．畢業(yè)設(shè)計（論文）的原始資料及依據(jù)（包括設(shè)計或論文的工作基礎(chǔ)、研究條件、應(yīng)用環(huán)境等）以宋紅，吳建軍《計算機安全技術(shù)(修訂版)》.此畢業(yè)設(shè)計書依參考文獻等資料嚴(yán)格按照學(xué)院規(guī)格寫作論文工作硬件環(huán)境；1G內(nèi)存，80G硬盤，頂星TP31K主板，集成聲卡，集成網(wǎng)卡，集成顯卡軟件環(huán)境：Windows XP系統(tǒng)，Microsoft Word 20033．主要參考資料、文獻宋紅，吳建軍《計算機安全技術(shù)(修訂版)》中國鐵道出版社,2008年8月.陳斌 等譯《網(wǎng)絡(luò)設(shè)計》電子工業(yè)出版社2005年9月.朱雁輝《WLNDOWS防火墻與網(wǎng)絡(luò)技術(shù)》電子工業(yè)出版社2002年4月.馬 程《防火墻在網(wǎng)絡(luò)安全中的應(yīng)用》甘肅科技2007年4月.網(wǎng)絡(luò)文獻：PIX525 防火墻的應(yīng)用配置. 指導(dǎo)教師 肖丹丹 2011年11 月 1 日指導(dǎo)教師評語建議成績：優(yōu) 良 中 及格 不及格 指導(dǎo)教師簽字 年 月 日最終評定成績：優(yōu) 良 中 及格 不及格系主任簽字 年 月 日摘要針對目前面臨的網(wǎng)絡(luò)安全問題，對網(wǎng)絡(luò)安全和防火墻的基本概念進行了概括。防火墻是一種訪問控制技術(shù)，它通過在某個機構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止信息資源的非法訪問。 關(guān)鍵詞：網(wǎng)絡(luò)安全，防火墻技術(shù)，PIX AbstractAiming at the problem of network security, facing to the network security and the basic concept of firewall were summarized. A firewall is a kind of access control technology, it through at an institution of network and unsafe network between up barriers, prevent information resources of unauthorized access. And systematically expounds the host xing network firewall working principle and key technology. Analyzes the firewall technology in the Internet security on the important role, and also put forward the deficiencies and solutions. Finally expounded Cisco PIX hardware firewall, examples and firewall development trend and firewall antiwar prospect and technical direction.Keywords: network security, firewall technology, PIX 目錄緒論 6一 網(wǎng)絡(luò)安全的基礎(chǔ)知識簡介 1(一) 網(wǎng)絡(luò)安全 11．網(wǎng)絡(luò)安全定義 12．不同環(huán)境和應(yīng)用中的網(wǎng)絡(luò)安全 1 1 2二 防火墻概述 6(一) 防火墻的介紹 6 6 6 6 6(二) 防火墻的發(fā)展歷史 7(三) 防火墻各個階段的特點 8 8 8(應(yīng)用層網(wǎng)關(guān))防火墻 9 9(四) 防火墻的體系結(jié)構(gòu) 9 9 10 11三 防火墻技術(shù) 14(一) 包過濾技術(shù) 14 14 14 14(二) 代理服務(wù)技術(shù) 14(三) 電路層網(wǎng)關(guān)技術(shù) 15(四) 狀態(tài)檢測技術(shù) 15四 防火墻的應(yīng)用方案 17(一) Cisco PIX防火墻的產(chǎn)品特點 17(內(nèi)網(wǎng))： 172..外部區(qū)域(外網(wǎng))： 17(DMZ)： 17(二) Cisco PIX525防火墻的配置 171．PIX管理訪問模式 172. PIX525配置的基本步驟 18五 防火墻的未來發(fā)展 22(一) 防火墻發(fā)展趨勢 221．優(yōu)良的性能 22 22 22 22 22(二) 防火墻的反戰(zhàn)前景及技術(shù)方向 23結(jié)束語 24參考文獻 25緒論科學(xué)技術(shù)的飛速發(fā)展，人們已經(jīng)生活在信息時代。“黑客攻擊”網(wǎng)站被“黑”，“CIH病毒”無時無刻不充斥在網(wǎng)絡(luò)中。對此，我們既不能對那些潛在的危險不予重視，遭受不必要的損失；也不能因為害怕某些危險而拒絕因特網(wǎng)的各種有益的服務(wù)，對個人來說這樣會失去了了解世界、展示自己的場所，對企業(yè)來說還失去了拓展業(yè)務(wù)、提高服務(wù)、增強競爭力的機會。這可以拒絕對敏感數(shù)據(jù)進行非授權(quán)的訪問、使用，防止黑客的入侵和計算機病毒的破壞，把計算機網(wǎng)絡(luò)安全措施落實到實處。目前，普遍采用的技術(shù)主要包括加密、VPN、數(shù)字身份識別、訪問控制、入侵檢測、網(wǎng)絡(luò)防火墻、反病毒等技術(shù)。比如：從用戶(個人、企業(yè)等)的角度來說，他們希望涉及個人隱私火商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸受到機密性、完整性和真實性的保護，避免其他人或?qū)κ掷酶`聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私，同時也避免其他用戶的非法授權(quán)訪問和破壞。④從本質(zhì)上來講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)的數(shù)據(jù)收到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄密，系統(tǒng)連續(xù)可靠的運行，網(wǎng)絡(luò)服務(wù)中斷。如何更有效的保護重要的信息數(shù)據(jù)、提高計算機網(wǎng)絡(luò)系統(tǒng)的安全性已成為所有計算機網(wǎng)絡(luò)應(yīng)用必須考慮和必須解決的一個重要問題。② 網(wǎng)絡(luò)上信息傳播安全：即信息傳播后果的安全。③ 網(wǎng)絡(luò)上信息內(nèi)容的安全：它側(cè)重于保護數(shù)據(jù)的保密性、真實性和完整性。(2)識別對于進入計算機網(wǎng)絡(luò)系統(tǒng)的用戶，系統(tǒng)必須檢驗其合法性。丙也想獲得這些服務(wù)，于是丙系統(tǒng)發(fā)出：“我是乙”。丙就把“丁”改成了“丙”。目前，計算機病毒被分為3大類型，即分區(qū)病毒、文件病毒和宏病毒。網(wǎng)絡(luò)安全主要來自企業(yè)內(nèi)部松懈的、甚至完全不存在的安全措施。信息交換加密技術(shù)分為兩類：即對稱加密和非對稱加密。公開密鑰與私有密鑰是一對，如果用公開密鑰對數(shù)據(jù)進行加密，只有用對應(yīng)的私有密鑰才能解密；如果用私有密鑰對數(shù)據(jù)進行加密，那么只有用對應(yīng)的公開密鑰才能解密。Rsa算法的描述如下： 公開密鑰：n=pq (p、q分別為兩個互異的大素數(shù)，p、q必須保密) e與(p1)(q1)互素 私有密鑰：d=e1{mod(p1)(q1)} 加密：c=me(mod n)，其中m為明文c為密文。由于通過網(wǎng)絡(luò)進行的電子商務(wù)、電子政務(wù)、電子事物等活動缺少物理接觸，因此使得用電子方式驗證信任關(guān)系變得至關(guān)重要。這個需求，對于傳統(tǒng)的網(wǎng)絡(luò)防火墻而言，是個大問題由于網(wǎng)絡(luò)防火墻對于加密的SSL流中的數(shù)據(jù)是不可見的，防火墻無法迅速截獲SSL數(shù)據(jù)流并對其解密，因此無法阻止應(yīng)用程序的攻擊，甚至有些網(wǎng)絡(luò)防火墻，根本就不提供數(shù)據(jù)解密的功能。只有當(dāng)應(yīng)用層攻擊行為的特征與防火墻中的數(shù)據(jù)庫已有的特征完全匹配時，防火墻才能識別和截獲攻擊數(shù)據(jù)。基于狀態(tài)檢測的防火墻，其設(shè)計原理，是基于網(wǎng)絡(luò)層TCP和IP地址，來設(shè)置與加強狀態(tài)訪問控制列表(ACLs，Access Control Lists)。網(wǎng)絡(luò)防火墻的防護范圍，也發(fā)生了變化。雖然一些先進的網(wǎng)絡(luò)防火墻供應(yīng)商，提出了應(yīng)