【正文】 用防護的特征，但只是適用于簡單的環(huán)境中。細看就會發(fā)現(xiàn)，這些供應商采用對80端口數(shù)據(jù)流中，針對URL長度進行控制的方法，來實現(xiàn)這個功能的。⑤ 無法擴展帶深度的檢測功能基于狀態(tài)檢測的網(wǎng)絡防火墻，如果希望只擴展深度檢測(deep inspection)功能，而沒有相應增加網(wǎng)絡性能，這是不行的。對此，少數(shù)防火墻供應商也開始意識到應用層的威脅，在防火墻產(chǎn)品上增加了一些彈性概念(ProofOfConcept)的特征，試圖防范這些威脅。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。另一種選擇就是防火墻 (Firewall)，防火墻是用來在安全私有網(wǎng)絡(可信任網(wǎng)絡)和外部不可信任網(wǎng)絡之間安全連接的一個設備或一組設備，作為私有網(wǎng)絡和外部網(wǎng)絡之間連接的單點存在。起到區(qū)域網(wǎng)絡不同安全區(qū)域的防御性設備的作用，例如：互聯(lián)網(wǎng)絡(internet)與企業(yè)內(nèi)部網(wǎng)絡(intranet)之間，如圖1所示。 自適應代理 動態(tài)包過濾 ∣ 代理 ∣ ∣ 包過濾 電路層 ∣ ∣ ∣ 1980 ↓ ↓1990 ↓ ↓ ↓ 2000 圖 3防火墻技術的發(fā)展歷史第二、三代防火墻1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應用層防火墻(代理防火墻)的初步結構。(三) 防火墻各個階段的特點防火墻技術經(jīng)歷了以下幾個階段：靜態(tài)包過濾防火墻采用的是一個都不放過的原則。這種靜態(tài)包過濾防火墻，對用戶是透明的，它不需要用戶的用戶名和密碼就可以登錄，它的速度快，也易于維護。靜態(tài)包過濾防火墻的缺點，動態(tài)包過濾防火墻都可以避免。代理服務器型防火墻與包過濾防火墻不同之點在于，它的內(nèi)外網(wǎng)之間不存在直接的連接，一般由兩部分組成：服務器端程序和客戶端程序，其中客戶端程序通過中間節(jié)點與提供服務的服務器連接。自適應代理技術是商業(yè)應用防火墻中實現(xiàn)的一種革命性技術。包過濾防火墻價格較低性能開銷小，處理速度較快定義復雜，容易出現(xiàn)速度較慢，不太適用于高速網(wǎng)之間的應用這樣的主機可以充當與這些接口相連的網(wǎng)絡之間的路由器；它能夠從一個網(wǎng)絡到另一個網(wǎng)絡發(fā)送IP數(shù)據(jù)包。它們之間的IP通信被完全阻止。即使這樣，也僅有某些確定類型的連接被允許。在屏蔽的路由器中數(shù)據(jù)包過濾配置可以按下列之一執(zhí)行：⑴允許其他的內(nèi)部主機為了某些服務與因特網(wǎng)上的主機連接(即允許那些已經(jīng)由數(shù)據(jù)包過濾的服務)。因為這種體系結構允許數(shù)據(jù)包從因特網(wǎng)向內(nèi)部網(wǎng)的移動，所以它的設計比沒有外部數(shù)據(jù)包能到達內(nèi)部網(wǎng)絡的雙重宿主主機體系結構似乎是更冒風險。然而，比較其他體系結構，如在下面要討論的屏蔽子網(wǎng)體系結構也有一些缺點。被屏蔽子網(wǎng)體系結構的最簡單的形式為：兩個屏蔽路由器，每一個都連接到周邊網(wǎng)。即使侵襲者侵入堡壘主機，它將仍然必須通過內(nèi)部路由器，如圖6所示。在許多網(wǎng)絡設置中，用給定網(wǎng)絡上的任何機器來查看這個網(wǎng)絡上的每一臺機器的通信是可能的，對大多數(shù)以太網(wǎng)為基礎的網(wǎng)絡確實如此(而且以太網(wǎng)是當今使用最廣泛的局域網(wǎng)技術)；對若干其他成熟的技術，諸如令牌環(huán)和FDDI也是如此。因為所有周邊網(wǎng)上的通信來自或通往堡壘主機或Internet。防火墻設計工作的一部分就是確保這種通信不至于機密到閱讀它將損害你的站點的完整性。⑶對于進來的域名服務(DNS)站點查詢等。但是禁止內(nèi)部的客戶端與外部世界之間直接通信(即撥號入網(wǎng)方式)。這些服務是用戶的站點能使用數(shù)據(jù)包過濾而不是代理服務安全支持和安全提供的服務。實際上，外部路由器傾向于允許幾乎任何東西從周邊網(wǎng)出站，并且它們通常只執(zhí)行非常少的數(shù)據(jù)包過濾。外部路由器實際上需要做什么呢？外部路由器能有效地執(zhí)行的安全任務之一(通常別的任何地方不容易做的任務)是：阻止從Internet上偽造源地址進來的任何數(shù)據(jù)包。它的作用是在可信任網(wǎng)絡和不可信任網(wǎng)絡之間有選擇地安排數(shù)據(jù)包的去向。② 過濾方式( Action)包括允許( Allow)和阻止( Block)。⑥ 目的端口DP(Destination Port)。② 必須正式規(guī)定允許的包類型、包字段的邏輯表達。代理負責接收外部網(wǎng)服務請求，再把它們轉(zhuǎn)發(fā)到具體的服務中。屏蔽設備檢測這個連接的源IP地址是否在允許的源地址列表中。⑤ 如果有要求，系統(tǒng)會提示用戶再輸入另外的身份驗證信息。電路層網(wǎng)關的工作過程如下：① 假設有一個用戶正在試圖和一個目的URL進行連接。⑤ 代理服務器將Web服務器上的應答轉(zhuǎn)發(fā)給客戶。② 根據(jù)所使用的協(xié)議，決定對數(shù)據(jù)包的檢查程度。 狀態(tài)檢測技術防火墻是對包過濾技術、電路層網(wǎng)關和代理服務技術的折中，它的速度和靈活性沒有包過濾機制好，但比代理服務技術好。防火墻通常位于企業(yè)網(wǎng)絡的邊緣，這使得內(nèi)部網(wǎng)絡與Internet之間或者與其它外部網(wǎng)絡相互隔離，并限制網(wǎng)絡互訪從而保護企業(yè)內(nèi)部的網(wǎng)絡。它可以提供運營商級別的處理能力，適用于大型的ISP等服務提供商，但是PIX特有的OS操作系統(tǒng)，使得大多數(shù)管理是通過命令來實現(xiàn) 的不像其它同類型的防火墻通過Web管理界面來進行網(wǎng)絡管理以下通過實例介紹如何配置Cisco PIX防火墻。 2..外部區(qū)域(外網(wǎng))：外部區(qū)域通常指Internet或者非企業(yè)內(nèi)部網(wǎng)絡。一般在停火區(qū)內(nèi)可以放置Web服務器，Mail服務器 等。系統(tǒng)顯示為pixfirewall ② 特權模式：輸入enable進入特權模式，可以改變當前配置。顯示為monitor2. PIX525配置的基本步驟配置PIX防火墻有6個基本命令：nameif，interface，ip address，nat，global，route.這些命令在配置PIX時是必須的。(auto選項表明系統(tǒng)自適應網(wǎng)卡類型 )Pix525(config)interface ethernet1 100full (100full選項表示100Mbit/s以太網(wǎng)全雙工通信 )Pix525(config)interface ethernet1 100full shutdown (shutdown選項表示關閉這個接口，若啟用接口去掉shutdown )③ 配置內(nèi)外網(wǎng)卡的IP地址(ip address)Pix525(config)ip address outside Pix525(config)ip address inside 很明顯，(config)conduit permit tcp host eq any 。(config)conduit permit icmp any any 表示允許icmp消息向內(nèi)部和外部通過。④ 配置fixup協(xié)議 fixup命令作用是啟用，禁止，改變一個服務或協(xié)議通過pix防火墻，由fixup命令指定的端口是pix防火墻要偵聽的服務。⑤ 設置telnettelnet 有一個版本的變化。另外就是在PIX上配置SSH，然后用 SSH client從外部telnet到PIX防火墻，PIX支持SSH1和SSH2，不過SSH1是免費軟件，SSH2是商業(yè)軟件。說了這么多，下面給出一個配置實例供大家參考。當有數(shù)據(jù)包具有攻擊或報告型特征碼時，pix將采取報警動作(缺省動作)，向指定的日志記錄主機產(chǎn)生系統(tǒng)日志消 息；此外還可以作出丟棄數(shù)據(jù)包和發(fā)出tcp連接復位信號等動作，需另外配置。另外有幾個維護命令也很有用,show interface查看端口狀態(tài)，show static查看靜態(tài)地址映射，show ip查看接口ip地址， ping outside | inside ip_address確定連通性。自然，數(shù)據(jù)通過率越高，防火墻性能越好。對于一個好的防火墻系統(tǒng)而言，它的規(guī)模和功能應該能夠適應內(nèi)部網(wǎng)絡的規(guī)模和安全策略的變化。一個不具體實施任何安全策略的防火墻無異于高級擺設。因此未來的防火墻將具有非常易于安裝和易于管理的基礎。今天許多防火墻都包括對過濾產(chǎn)品的支持，并可以與第三方過濾服務連接，這些服務提供了不受歡迎Internet站點的分類清單。防火墻市場已經(jīng)對此做出了反應。SYN泛濫可以鎖死Web和郵件服務，這樣沒有數(shù)據(jù)流可以進入。② 過濾深度會不斷加強，從目前的地址、服務過濾，發(fā)展到URL(頁面)過濾、關鍵字過濾和對ActiveX、Java等的過濾，并逐漸有病毒掃描功能。⑥ 安全管理工具不斷完善，特別是可以活動的日志分析工具等將成為防火墻產(chǎn)品中的一部分另外值得一提的是，伴隨著防火墻技術的不斷發(fā)展，人們選擇防火墻的標準將主要集中在易于管理、應用透明性、鑒別與加密功能、操作環(huán)境和硬件要求、VPN的功能與CA的功能、接口的數(shù)量、成本的幾個方面。隨著網(wǎng)絡的延伸，安全問題受到人們越來越多的關注。網(wǎng)絡中有大量的攻擊工具和攻擊文章等資源，可以任意使用和共享。防火墻的技術也引起了各方面的廣泛關注。在此，謹向肖老師表示崇高的敬意和衷心的感謝！謝謝肖老師在我們撰寫論文的過程中給與我的極大地幫助。 總之，此次論文的寫作過程，我們收獲了很多，即為大學三年劃上了一個完美的句號，也為將來的人生之路做好了一個很好的鋪墊。并且由原先的被動的接受知識轉(zhuǎn)換為主動的尋求知識，這可以說是學習方法上的一個很大的突破。防火墻還處于發(fā)展階段，仍須許多問題解決。這種情況使得近幾年的攻擊頻率和密度顯著增長，給網(wǎng)絡安全帶來越來越多的安全隱患。幾乎所有接觸網(wǎng)絡的人都知道網(wǎng)絡中有一些費盡心機闖入他人計算機系統(tǒng)的人，他們利用各種網(wǎng)絡和系統(tǒng)漏洞，非法獲取未授權的訪問信息。我們通過網(wǎng)絡獲得信息，共享資源。④ 單向防火墻(又叫做網(wǎng)絡二極管)將作為一種產(chǎn)品門類而出現(xiàn)。但是，從產(chǎn)品及功能上，卻又可以看到一些動向和趨勢。像序列號預測和IP欺騙這類簡單攻擊，這些年來已經(jīng)成為了防火墻工具箱的一部分。盡管防火墻在防止不良分子進入上發(fā)揮了很好的作用，但TCP/IP協(xié)議套件中存在的脆弱性使Internet對拒絕服務攻擊敞開了大門。防火墻開放商通過建立功能強大的Web代理對中這種需要作出了回應。實踐證明許多防火墻產(chǎn)品并未起到預期作用的一個不容忽視的原因在于配置和實現(xiàn)上的錯誤。未來的防火墻系統(tǒng)應是一個可隨意伸縮的模塊化解決方案，從最為基本的包過濾器到帶加密功能的VPN型報過濾器，直至一個獨立的應用網(wǎng)關，使用戶有充分的余地構建自己所需要的防火墻體系。目前如何盡量減少這種影響也成為防火墻產(chǎn)品的賣點之一。傳統(tǒng)的代理型防火墻雖然可以提供較高級別的安全保護，但是同時成為限制網(wǎng)絡寬帶的瓶頸，這極大的制約了在網(wǎng)絡中的實際應用。AAA是指認證，授權，審計。?39。telnet配置語法：telnet local_ip [netmask] local_ip表示被授權通過telnet訪問到pix的ip地址。在pix OS 及后續(xù)版本中，可以在所有的接口上啟用telnet到pix的訪問。 //為協(xié)議指定80和1080兩個端口?，F(xiàn)在希望外網(wǎng)的用戶能夠通過pix防火墻得到web服 務。Eq ftp 就是指允許或拒絕只對ftp的訪問。Pix525(config)nameif ethernet0 outside security0 Pix525(config)nameif ethernet9 inside security100 Pix525(config)nameif dmz security50提示：在缺省配置中，以太網(wǎng)0被命名為外部接口(outside)，安全級別是0；以太網(wǎng)9被命名為內(nèi)部接口(inside)，～99，數(shù)字越大安全級別越高。顯示