【文章內(nèi)容簡(jiǎn)介】 address inside ip_address netmask Inside代表內(nèi)部網(wǎng)卡IP address outside ip_address netmask outside代表外部網(wǎng)卡（3）.指定外部網(wǎng)卡的IP地址范圍：global 1 ip_addressip_address（4）.指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址nat 1 ip_address netmask（5）.配置某些控制選項(xiàng)：conduit global_ip port[port] protocol foreign_ip [netmask]其中，global_ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指的是連接協(xié)議，比如：TCP、UDP等；foreign_ip：表示可訪問(wèn)的global_ip外部IP地址；netmask：為可選項(xiàng)，代表要控制的子網(wǎng)掩碼。：wr mem此命令為exit，可以任何用戶模式下執(zhí)行，執(zhí)行的方法也相當(dāng)簡(jiǎn)單，只輸入命令本身即可。它與Quit命令一樣。下面三條語(yǔ)句表示了用戶從配置模式退到特權(quán)模式，再退到普通模式下的操作步驟。pixfirewall(config) exitpixfirewall exitpixfirewall：show，在相應(yīng)用戶模式下鍵入這個(gè)命令后，即顯示出當(dāng)前所有可用的命令及簡(jiǎn)單功能描述。：show interface，這個(gè)命令需在特權(quán)用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。:show static，這個(gè)命令也須在特權(quán)用戶模式下執(zhí)行，執(zhí)行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況。 過(guò)濾防火墻的訪問(wèn)配置除了以上介紹的基本配置外，在防火墻的安全策略中最重要還是對(duì)訪問(wèn)控制列表（ACL）進(jìn)行配有關(guān)置。下面介紹一些用于此方面配置的基本命令。：用于創(chuàng)建訪問(wèn)規(guī)則這一訪問(wèn)規(guī)則配置命令要在防火墻的全局配置模式中進(jìn)行。同一個(gè)序號(hào)的規(guī)則可以看作一類規(guī)則，同一個(gè)序號(hào)之間的規(guī)則按照一定的原則進(jìn)行排列和選擇，這個(gè)順序可以通過(guò) show accesslist 命令看到。在這個(gè)命令中，又有幾種命令格式，分別執(zhí)行不同的命令。（1）創(chuàng)建標(biāo)準(zhǔn)訪問(wèn)列表命令格式：accesslist [ normalspecial ] listnumber1 { permitdeny } sourceaddr [ sourcemask ]（2）創(chuàng)建擴(kuò)展訪問(wèn)列表命令格式：accesslist [ normalspecial ] listnumber2 { permitdeny } protocol sourceaddr sourcemask [ operator port1 [ port2 ] ] destaddr destmask [ operator port1 [ port2 ]icmptype [ icmpcode ] ] [ log ]（3）刪除訪問(wèn)列表命令格式：no accesslist { normalspecial } { alllistnumber [ subitem ] }上述命令參數(shù)說(shuō)明如下：●normal：指定規(guī)則加入普通時(shí)間段?！駍pecial：指定規(guī)則加入特殊時(shí)間段?！駆istnumber1：是1到99之間的一個(gè)數(shù)值，表示規(guī)則是標(biāo)準(zhǔn)訪問(wèn)列表規(guī)則?！駆istnumber2：是100到199之間的一個(gè)數(shù)值，表示規(guī)則是擴(kuò)展訪問(wèn)列表規(guī)則?！駊ermit：表明允許滿足條件的報(bào)文通過(guò)?！馾eny：表明禁止?jié)M足條件的報(bào)文通過(guò)?！駊rotocol：為協(xié)議類型，支持ICMP、TCP、UDP等，其它的協(xié)議也支持，此時(shí)沒(méi)有端口比較的概念；為IP時(shí)有特殊含義，代表所有的IP協(xié)議。●sourceaddr：為源IP地址?！駍ourcemask：為源IP地址的子網(wǎng)掩碼，在標(biāo)準(zhǔn)訪問(wèn)列表中是可選項(xiàng)?！馾estaddr：為目的IP地址?！馾estmask：為目的地址的子網(wǎng)掩碼?！駉perator：端口操作符，在協(xié)議類型為T(mén)CP或UDP時(shí)支持端口比較，支持的比較操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符為range，則后面需要跟兩個(gè)端口。port1 在協(xié)議類型為T(mén)CP或UDP時(shí)出現(xiàn)，可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或0~65535之間的一個(gè)數(shù)值。port2 在協(xié)議類型為T(mén)CP或UDP且操作類型為range時(shí)出現(xiàn)；可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或0~65535之間的一個(gè)數(shù)值?！駃cmptype：在協(xié)議為ICMP時(shí)出現(xiàn)，代表ICMP報(bào)文類型；可以是關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如echoreply）或者是0~255之間的一個(gè)數(shù)值?！駃cmpcode：在協(xié)議為ICMP，且沒(méi)有選擇所設(shè)定的預(yù)設(shè)值時(shí)出現(xiàn)；代表ICMP碼，是0~255之間的一個(gè)數(shù)值?！駆og：表示如果報(bào)文符合條件，需要做日志?！駆istnumber：為刪除的規(guī)則序號(hào)，是1~199之間的一個(gè)數(shù)值。●subitem：指定刪除序號(hào)為listnumber的訪問(wèn)列表中規(guī)則的序號(hào)。例如，現(xiàn)要在華為的一款防火墻上配置一個(gè)“ 網(wǎng)絡(luò)、但不允許使用FTP”的訪問(wèn)規(guī)則。相應(yīng)配置語(yǔ)句只需兩行即可，如下：Quidway(config)accesslist 100 permit tcp eq Quidway(config)accesslist 100 deny tcp eq ftp accesslist counters：清除訪問(wèn)列表規(guī)則的統(tǒng)計(jì)信息命令格式：clear accesslist counters [ listnumber ]這一命令必須在特權(quán)用戶模式下進(jìn)行配置。listnumber 參數(shù)是用指定要清除統(tǒng)計(jì)信息的規(guī)則號(hào)，如不指定，則清除所有的規(guī)則的統(tǒng)計(jì)信息。如要在華為的一款包過(guò)濾路由器上清除當(dāng)前所使用的規(guī)則號(hào)為100的訪問(wèn)規(guī)則統(tǒng)計(jì)信息。訪問(wèn)配置語(yǔ)句為：clear accesslist counters 100如有清除當(dāng)前所使用的所有規(guī)則的統(tǒng)計(jì)信息，則以上語(yǔ)句需改為：Quidwayclear accesslist counters accessgroup使用此命令將訪問(wèn)規(guī)則應(yīng)用到相應(yīng)接口上。使用此命令的no形式來(lái)刪除相應(yīng)的設(shè)置，對(duì)應(yīng)格式為：ip accessgroup listnumber { inout }此命令須在端口用戶模式下配置，進(jìn)入端口用戶模式的命令為：interface ethernet（），括號(hào)中為相應(yīng)的端口號(hào)，通常0為外部接口，而1為內(nèi)部接口。進(jìn)入后再用ip accessgroup 命令來(lái)配置訪問(wèn)規(guī)則。listnumber參數(shù)為訪問(wèn)規(guī)則號(hào)，是1~199之間的一個(gè)數(shù)值（包括標(biāo)準(zhǔn)訪問(wèn)規(guī)則和擴(kuò)展訪問(wèn)規(guī)則兩類）；in 表示規(guī)則應(yīng)用于過(guò)濾從接口接收到的報(bào)文；而out表示規(guī)則用于過(guò)濾從接口轉(zhuǎn)發(fā)出去的報(bào)文。一個(gè)接口的一個(gè)方向上最多可以應(yīng)用20類不同的規(guī)則；這些規(guī)則之間按照規(guī)則序號(hào)的大小進(jìn)行排列，序號(hào)大的排在前面，也就是優(yōu)先級(jí)高。對(duì)報(bào)文進(jìn)行過(guò)濾時(shí)，將采用發(fā)現(xiàn)符合的規(guī)則即得出過(guò)濾結(jié)果的方法來(lái)加快過(guò)濾速度。所以，建議在配置規(guī)則時(shí)，盡量將對(duì)同一個(gè)網(wǎng)絡(luò)配置的規(guī)則放在同一個(gè)序號(hào)的訪問(wèn)列表中；在同一個(gè)序號(hào)的訪問(wèn)列表中，規(guī)則之間的排列和選擇順序可以用show accesslist命令來(lái)查看。例如將規(guī)則100應(yīng)用于過(guò)濾從外部網(wǎng)絡(luò)接口上接收到的報(bào)文，配置語(yǔ)句為（同樣為在傾為包過(guò)濾路由器上）：ip accessgroup 100 in如果要?jiǎng)h除某個(gè)訪問(wèn)控制表列綁定設(shè)置，則可用no ip accessgroup listnumber { inout } 命令。 accesslist此配置命令用于顯示包過(guò)濾規(guī)則在接口上的應(yīng)用情況。命令格式為：show accesslist [ alllistnumberinterface interfacename ]這一命令須在特權(quán)用戶模式下進(jìn)行配置，其中all參數(shù)表示顯示所有規(guī)則的應(yīng)用情況，包括普通時(shí)間段內(nèi)及特殊時(shí)間段內(nèi)的規(guī)則；如果選擇listnumber參數(shù)，則僅需顯示指定規(guī)則號(hào)的過(guò)濾規(guī)則；interface 表示要顯示在指定接口上應(yīng)用的所有規(guī)則序號(hào)；interfacename參數(shù)為接口的名稱。使用此命令來(lái)顯示所指定的規(guī)則，同時(shí)查看規(guī)則過(guò)濾報(bào)文的情況。每個(gè)規(guī)則都有一個(gè)相應(yīng)的計(jì)數(shù)器，如果用此規(guī)則過(guò)濾了一個(gè)報(bào)文，則計(jì)數(shù)器加1；通過(guò)對(duì)計(jì)數(shù)器的觀察可以看出所配置的規(guī)則中，哪些規(guī)則是比較有效，而哪些基本無(wú)效。例如，現(xiàn)在要顯示當(dāng)前所使用序號(hào)為100的規(guī)則的使用情況，可執(zhí)行Quidwayshow accesslist 100語(yǔ)句即可，隨即系統(tǒng)即顯示這條規(guī)則的使用情況，格式如下：Using normal packetfiltering access rules deny icmp any hostredirect(3 matches,252 bytesrule 1)permit icmp any echo(no matchesrule 2)deny udp any any eq rip(no matchesrule 3) firewall此命令須在特權(quán)用戶模式下執(zhí)行，它顯示當(dāng)前防火墻狀態(tài)。命令格式非常簡(jiǎn)單，也為：show firewall。這里所說(shuō)的防火墻狀態(tài)，包括防火墻是否被啟用，啟用防火墻時(shí)是否采用了時(shí)間段包過(guò)濾及防火墻的一些統(tǒng)計(jì)信息。這是用于定義能過(guò)防火配置控制端口進(jìn)行遠(yuǎn)程登錄的有關(guān)參數(shù)選項(xiàng)，也須在全局配置用戶模式下進(jìn)行配置。命令格式為：telnet ip_address [netmask] [if_name]其中的ip_address參數(shù)是用來(lái)指定用于Telnet登錄的IP地址，netmask為子網(wǎng)掩碼，if_name用于指定用于Telnet登錄的接口，通常不用指定，則表示此IP地址適用于所有端口。如：telnet 如果要清除防火墻上某個(gè)端口的Telnet參數(shù)配置，則須用clear telnet命令，其格式為：clear telnet [ip_address [netmask] [if_name]]，其中各選項(xiàng)說(shuō)明同上。它與另一個(gè)命令no telnet功能基本一樣，不過(guò)它是用來(lái)刪除某接口上的Telnet配置，命令格式為：no telnet [ip_address [netmask] [if_name]]。如果要顯示當(dāng)前所有的Telnet配置，則可用show telnet命令。最簡(jiǎn)單的防火墻配置，就是直接在內(nèi)部網(wǎng)和外部網(wǎng)之間加裝一個(gè)包過(guò)濾路由器或者應(yīng)用網(wǎng)關(guān)。為更好地實(shí)現(xiàn)網(wǎng)絡(luò)安全，有時(shí)還要將幾種防火墻技術(shù)組合起來(lái)構(gòu)建防火墻系統(tǒng)。目前比較流行的有以下三種防火墻配置方案。(Dual Homed Gateway)這種配置是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。雙宿主機(jī)用兩個(gè)網(wǎng)絡(luò)適配器分別連接兩個(gè)網(wǎng)絡(luò)，又稱堡壘主機(jī)。堡壘主機(jī)上運(yùn)行著防火墻軟件(通常是代理服務(wù)器)，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機(jī)網(wǎng)關(guān)有一個(gè)致命弱點(diǎn)，一旦入侵者侵入堡壘主機(jī)并使該主機(jī)只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問(wèn)有保護(hù)的內(nèi)部網(wǎng)絡(luò)(如圖1)。三種流行防火墻配置方案分析(圖一)(Screened Host Gateway)屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機(jī)和雙宿堡壘主機(jī)兩種類型。先來(lái)看單宿堡壘主機(jī)類型。一個(gè)包過(guò)濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機(jī)只有一個(gè)網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接(如圖2)。通常在路由器上設(shè)立過(guò)濾規(guī)則，并使這個(gè)單宿堡壘主機(jī)成為從 Internet惟一可以訪問(wèn)的主機(jī)，確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而Intranet內(nèi)部的客戶機(jī)，(圖二)雙宿堡壘主機(jī)型與單宿堡壘主機(jī)型的區(qū)別是，堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接包過(guò)濾路由器(如圖3)。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。三種流行防火墻配置方案分析(圖三)(Screened Subnet)這種方法是在Intranet和Internet之間建立一個(gè)被隔離的子網(wǎng)，用兩個(gè)包過(guò)濾路由器將這一子網(wǎng)分別與Intranet和 Internet 分開(kāi)。兩個(gè)包過(guò)濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)“緩沖地帶”(如圖4)，兩個(gè)路由器一個(gè)控制Intranet 數(shù)據(jù)流，另一個(gè)控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問(wèn)屏蔽子網(wǎng)，但禁止它們穿過(guò)屏蔽子網(wǎng)通信。可根據(jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問(wèn)提供代理服務(wù)，但是來(lái)自兩網(wǎng)絡(luò)的訪問(wèn)都必須通過(guò)兩個(gè)包過(guò)濾路由器的檢查。對(duì)于向Internet公開(kāi)的服務(wù)器，像WWW、FTP、Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無(wú)論是外部用戶，還是內(nèi)部用戶都可訪問(wèn)。這種結(jié)構(gòu)的防火墻安全性能高，具有很強(qiáng)的抗攻擊能力，但需要的設(shè)備多，造價(jià)高。三種流行防火墻配置方案分析(圖四)當(dāng)然，防火墻本身也有其局限性，如不能防范繞過(guò)防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸。難以避免來(lái)自內(nèi)部的攻擊等等?？傊阑饓χ皇且环N整體安全防范策略的一部分，僅有防火墻是不夠的，安全策略還必須包括全面的安全準(zhǔn)則，即網(wǎng)絡(luò)訪問(wèn)、本地和遠(yuǎn)程用戶認(rèn)證、撥出撥入呼叫、磁盤(pán)和數(shù)據(jù)加密以及病毒防護(hù)等有關(guān)的安全總 結(jié)經(jīng)過(guò)兩個(gè)月艱苦卓絕的努力,經(jīng)歷了無(wú)數(shù)次的錯(cuò)誤修改代碼重啟服務(wù)器運(yùn)行的過(guò)程,感覺(jué)到平時(shí)學(xué)的知識(shí)是多么的淺薄,書(shū)到用時(shí)方恨少,給我以后的工作敲響了警鐘,我也感受到了開(kāi)源的方便,遇到什么問(wèn)題,上網(wǎng)一查,就知道該怎么弄了,以前做個(gè)課程設(shè)計(jì)都是怕別人和我的一樣,不愿意給別人看,現(xiàn)在知道了程序弄不出來(lái)是多么的著急,學(xué)習(xí)都是相互的, 本次畢業(yè)設(shè)計(jì)是我工作前一次很好的演練和實(shí)踐的機(jī)會(huì),是培養(yǎng)獨(dú)立考問(wèn)題和自學(xué)能力的鍛煉,使我意識(shí)到必須努力學(xué)習(xí)才能才工作中體現(xiàn)自己的價(jià)值, 謝經(jīng)過(guò)了三個(gè)月的努力,我完成了題目為:計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)。