【正文】 器。 如果防火墻上有 WAN 接口，那么直接將 WAN 接口連接外網(wǎng)即可，如果所有接口都標記為 LAN 接口，那么按照常規(guī)標準選擇最后一個 LAN 接口作為外網(wǎng)連接端口。 軟件的配置與實施 以 H3C 的 F100 防火墻為例 ， 當(dāng)企業(yè)外網(wǎng) IP 地址固定并通過光纖連接的具體配置。主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)。 這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對應(yīng)于不同的網(wǎng)絡(luò)層，從這個概念出發(fā)，又有很多內(nèi)容可以擴展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。為了滿足這種需要，一些防火墻制造商開發(fā)了基于 ASIC 的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。 (2)強大的審計功能和自動日志分析功能。那種感覺就宛如在一場盛大的頒獎晚會上，我在晚會現(xiàn)場看著其他人一個接著一個上臺領(lǐng)獎，自己卻始終未能被念到名字，經(jīng)過了很長很長的時間后，終于有位嘉賓高喊我的大名，這時我忘記了先前漫長的無聊的等待時間，欣喜萬分地走向舞臺，然后迫不及待地開始抒發(fā)自己的心情，發(fā)表自己的感想。 44 參考文獻 [1] 艾軍 .防火墻體系結(jié)構(gòu)及功能分析 [J].電腦知識與技術(shù) .20xx， (s):79 一 82. [2] 高峰 .許南山 .防火墻包過濾規(guī)則問題的研究 [M].計算機應(yīng)用 .20xx， 23(6):311 一 312. [3] 孟濤 、 楊磊 .防火墻和安全審計 [M].計算機安全 .20xx， (4):17 一 18. [4] 鄭林 .防火墻原理入門 [Z]. E 企業(yè) .20xx. [5] 魏利華 .防火墻技術(shù)及其性能研究 .能源研究與信息 .20xx， 20(l):57 一 62 [6] 李劍，劉美華，曹元大 .分布式防火墻系統(tǒng) .安全與環(huán)境學(xué)報 .20xx， 2(l):59 一 61 [7] 王衛(wèi)平，陳文惠，朱衛(wèi)未 .防火墻技術(shù)分析 .信息安全與通信保密 .20xx， (8):24 一 27 [8] 付歌，楊明福 .一個快速的二維數(shù)據(jù)包分類 算法 .計算機工程 .20xx， 30(6):76 一 78 [9] 付歌，楊明福，王興軍 .基于空間分解的數(shù)據(jù)包分類技術(shù) .計算機工程與應(yīng)用 .20xx(8):63一 65 [10] 〕韓曉非，王學(xué)光，楊明福 .位并行數(shù)據(jù)包分類算法研究 .華東理工大學(xué)學(xué)報 .20xx，29(5):504 一 508 [11] 韓曉非，楊明福，王學(xué)光 .基于元組空間的位并行包分類算法 .計算機工程與應(yīng)用 .20xx，(29):188 一 192 [12] 馮東雷，張勇，白英彩 .一種高性能包分類漸增式更新算法 .計算機研究與發(fā)展 .20xx，40(3):387 一 392 45 致謝 從論文選題到搜集資料，從寫稿到反復(fù)修改，期間經(jīng)歷了喜悅、聒噪、痛苦和彷徨，在寫作論文的過程中心情是如此復(fù)雜。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。在分組過濾 (網(wǎng)絡(luò)層 )一級，過濾掉所有的源路由分組和假冒的IP 源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或 /和入的協(xié)議和有害數(shù)據(jù)包如 nuke 包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān) (應(yīng)用層 )一級，能利用 FTP、 SMTP 等各種網(wǎng)關(guān)，控制和監(jiān)測 Inter 提供的所用通用服務(wù)。 第三步：進入接口四設(shè)置其 IP 地址為 ，命令為 int e0/4 ip add 第四步：進入接口一設(shè)置其 IP 地址為內(nèi)網(wǎng)地址，例如 ，命令為 int e0/1 38 ip add 第五步：將兩個接口加入到不同的區(qū)域，外網(wǎng)接口配置到非信任區(qū) untrust，內(nèi)網(wǎng)接口加入到信任區(qū) trust—— fire zone untrust add int e0/4 fire zone trust add int e0/1 第六步：由于防火墻運行基本是通過 NAT 來實現(xiàn)，各個保護工作也是基于此功能實現(xiàn)的，所以還需要針對防火墻的 NAT 信息進行設(shè)置，首先添加一個訪問控制列表 —— acl num 20xx rule per source rule deny 第七步：接下來將這個訪問控制列表應(yīng)用到外網(wǎng)接口通過啟用NAT—— int e0/4 nat outbound 20xx 第八步：最后添加路由信息，設(shè)置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或外網(wǎng)電信下一跳地址 —— ip routestatic (如圖 2) 39 執(zhí)行 save命令保存退出后就可以在企業(yè)外網(wǎng)出口指定 IP時實現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)以及安全保護功能 了。 37 在實際設(shè)置時我們必 須將端口劃分到某區(qū)域后才能對其進行各個訪問操作，否則默認將阻止對該接口的任何數(shù)據(jù)通訊。 (如圖 ) 36 圖 對于中小企業(yè)來 說一般出口帶寬都在 100M 以內(nèi)，所以我們選擇100M 相關(guān)產(chǎn)品即可?？梢哉f它只給入侵者一些訪問的機會，但不是全部。 屏蔽路由器配置要根據(jù)實際的網(wǎng)絡(luò)安全策略來進行，如服務(wù)器提供 WEB服務(wù)就需要屏蔽路由器開放 80 端口。建立雙宿主主機的關(guān)鍵是要禁止路由，網(wǎng)絡(luò)之間通信的唯一路徑是通過應(yīng)用層的代理軟件。在歷史上，多宿主主機可以在網(wǎng)段之間傳送流量，今天一般都使用專門的 路由器 來完成 IP 路由轉(zhuǎn)發(fā)。由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時候代替服務(wù)器或客戶端參與應(yīng)用層的會話，從而起到了與應(yīng)用代理防火墻相同的控制能力。命令解析器定 制和分析每一個內(nèi)容協(xié)議，分析內(nèi)容數(shù)據(jù)流，檢測病毒和蠕蟲。應(yīng)用層的內(nèi)容過濾要求大量的計算資源，很多情況下高達 100倍甚至更高。 26 深度包檢測 目前許多造成大規(guī)模損害的網(wǎng)絡(luò)攻擊，比如紅色代碼和尼姆達，都是利用了應(yīng)用的弱點。 與傳統(tǒng)包過濾技術(shù)只檢查單個、孤立的數(shù)據(jù)包不同，動態(tài)包過濾試圖將數(shù)據(jù)包的上下文聯(lián)系起來，建立一種基于狀態(tài)的包過濾機制。 傳統(tǒng)包過濾技術(shù)必須發(fā)展進化，在繼承其優(yōu)點的前提下，采用新的技術(shù)手段，克服其缺陷，并進一步滿足新的安全應(yīng)用要求。 。 IP， TCP首部格式如表 21 表 22 所示。也正是由于此。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機和分組過濾路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。此外，代理服務(wù)也對過往的數(shù)據(jù)包進行分析、注冊登記，形成報告，同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報，并保留攻擊痕跡。這一內(nèi)建代理機制提供額外的安全，這是因為它將內(nèi)部和外部網(wǎng)絡(luò)隔離開來，使網(wǎng)絡(luò)外部的黑客在防火墻內(nèi)部網(wǎng)絡(luò)上進行探測變得困難，更重要的是能夠讓網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)服務(wù)進行全面的控制。例如， HTTP。 包過濾防火墻 19 顧名思義，包過濾防火墻 [9]就是把接收到的每個數(shù)據(jù)包同預(yù)先設(shè)定的包過濾規(guī)則相比較，從而決定是否阻 塞或通過。 其他功能 地址 /MAC 地址綁定。后門程序是指采用某種方法定義出一個特殊的端口并依靠某種程序在機器啟動之前自動加載到內(nèi)存，強行控制機器打開那個特殊的端口的程序。緩沖區(qū)溢出(Buffer Overflow)攻擊指利用軟件的弱點將任意數(shù)據(jù)添加進某個程序中，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達到攻擊的目的。顧名思義反端口掃描就是 防范端口掃描的方法，目前常用的方法有 :關(guān)閉閑置和有潛在危險的端口 。同時支持 URL 過濾功能。 網(wǎng)絡(luò)地址變換是將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的 IP 地址轉(zhuǎn)換，可分為源地 址轉(zhuǎn)換 Source NAT(SNAT)和目的 地址轉(zhuǎn) 換 Destination NAT(DNAT)。 現(xiàn)在防火墻正在向分布、智能的方向發(fā)展，其中智能防火墻可以很好的解決上面的問題。這三大安全問題占據(jù)網(wǎng)絡(luò)安全問題九成以上。 圖 1 表示了防火墻技術(shù)的簡單發(fā)展歷史。其中包過濾作為最早發(fā)展起來的一種技術(shù)，其應(yīng)用非常廣泛。 Windows 20xx 操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪問控制。但是，防火墻技術(shù)在網(wǎng)絡(luò)安全防護方面也存在一些不足：防火墻不能防止內(nèi)部攻擊防火墻不 10 能取代殺毒軟件；防火墻不易防止反彈端口木馬攻擊等。這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全 的保障，管理和審計是安全的防線。 具體講，網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權(quán)訪問、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶??等。 1）計算機病毒的侵襲?！? 從技術(shù)講，計算機安全分為 3 種： 1）實體的安全。 個人上網(wǎng)用戶多使用 Windows 操作系統(tǒng)，而 Windows 操作系統(tǒng)， 6 特別是 WindowsXP 系統(tǒng)，本身的安全性就不高。防火墻可以保護人們在網(wǎng)上瀏覽時免受黑客的攻擊，實時防范網(wǎng)絡(luò)黑客的侵襲，還可以根據(jù)自己的需要創(chuàng)建防火墻規(guī)則，控制互聯(lián)網(wǎng)到 PC 以及 PC 到互聯(lián)網(wǎng)的所有連接，并屏蔽入侵企圖。據(jù)美國 FBI 統(tǒng)計，美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟損失高達 75 億美元，而全求平均每 20秒鐘就發(fā)生一起 Inter 計算機侵入事件。 防火墻技術(shù)作為時下比較成熟的一種網(wǎng)絡(luò)安全技術(shù)，其安全性直接關(guān)系到用戶的切身利益。保密的論文（設(shè)計）在解密后適用本規(guī)定。據(jù)我所知， 除文中已經(jīng)注明引用的內(nèi)容外，本論文（設(shè)計）不包含其他個人已經(jīng)發(fā)表或撰寫過的研究成果。 、圖表要求： 1）文字通順，語言流暢，書寫字跡工整，打印字體及大小符合要求，無錯別字， 不準請他人代寫 2）工程設(shè)計類題目的圖紙，要求部分用尺規(guī)繪制，部分用計算機繪制，所有圖紙應(yīng)符合國家技術(shù)標準規(guī)范。s lives, but at the same time, the Inter is also faced with an unprecedented threat. Therefore, how to use effective and feasible ways of making the work can be dangerous to the people within the scope of the receiver have taken more and more people39。如何建立比較安全的網(wǎng)絡(luò)體系，值得我們關(guān)注研究。郵件內(nèi)容檢測可以實時監(jiān)視郵件系統(tǒng)，阻擋一切針對硬盤的惡意活動。如假冒 IP 包對通信雙方進行欺騙 :對主機大量發(fā)送正數(shù)據(jù)包 [3]進行轟炸攻擊，使之際崩潰 。它保證計算機能在良好的環(huán)境里持續(xù)工作。即黑客非法進入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。 網(wǎng)絡(luò)安全措施 網(wǎng)絡(luò)信息安全涉及方方面面的問題，是一個復(fù)雜的系統(tǒng)。 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) (1) 數(shù)據(jù)加密 加密就是把明文變成密文，從而使未被授權(quán)的人看不懂它。 (5)防病毒技術(shù) 隨著計算機技術(shù)的發(fā)展，計算機病毒變得越來越復(fù)雜和高級，計算機病毒防范不僅僅是一個產(chǎn)品、一個策略或一個制度，它是一個匯集了硬件、軟件、網(wǎng)絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。 （ 3）管理措施要標準化、規(guī)范化和科學(xué)化。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制 (允許、拒絕、監(jiān)測 )出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。 第 四代防火墻 1992 年， USC信息科學(xué)院的 BobBraden 開發(fā)出了基于動態(tài)包過濾（ Dynamic packet filter）技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（ Stateful inspection）技術(shù)。傳統(tǒng)的防火墻是以高強度的檢查為代價，檢查的強度越高，計