【文章內(nèi)容簡介】 address inside ip_address netmask Inside代表內(nèi)部網(wǎng)卡IP address outside ip_address netmask outside代表外部網(wǎng)卡（3）.指定外部網(wǎng)卡的IP地址范圍：global 1 ip_addressip_address（4）.指定要進行轉(zhuǎn)換的內(nèi)部地址nat 1 ip_address netmask（5）.配置某些控制選項：conduit global_ip port[port] protocol foreign_ip [netmask]其中，global_ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指的是連接協(xié)議，比如：TCP、UDP等；foreign_ip：表示可訪問的global_ip外部IP地址；netmask：為可選項，代表要控制的子網(wǎng)掩碼。：wr mem此命令為exit，可以任何用戶模式下執(zhí)行，執(zhí)行的方法也相當簡單，只輸入命令本身即可。它與Quit命令一樣。下面三條語句表示了用戶從配置模式退到特權(quán)模式，再退到普通模式下的操作步驟。pixfirewall(config) exitpixfirewall exitpixfirewall：show，在相應(yīng)用戶模式下鍵入這個命令后，即顯示出當前所有可用的命令及簡單功能描述。：show interface，這個命令需在特權(quán)用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。:show static，這個命令也須在特權(quán)用戶模式下執(zhí)行，執(zhí)行后顯示防火墻的當前靜態(tài)地址映射情況。 過濾防火墻的訪問配置除了以上介紹的基本配置外，在防火墻的安全策略中最重要還是對訪問控制列表（ACL）進行配有關(guān)置。下面介紹一些用于此方面配置的基本命令。：用于創(chuàng)建訪問規(guī)則這一訪問規(guī)則配置命令要在防火墻的全局配置模式中進行。同一個序號的規(guī)則可以看作一類規(guī)則，同一個序號之間的規(guī)則按照一定的原則進行排列和選擇，這個順序可以通過 show accesslist 命令看到。在這個命令中，又有幾種命令格式，分別執(zhí)行不同的命令。（1）創(chuàng)建標準訪問列表命令格式：accesslist [ normalspecial ] listnumber1 { permitdeny } sourceaddr [ sourcemask ]（2）創(chuàng)建擴展訪問列表命令格式：accesslist [ normalspecial ] listnumber2 { permitdeny } protocol sourceaddr sourcemask [ operator port1 [ port2 ] ] destaddr destmask [ operator port1 [ port2 ]icmptype [ icmpcode ] ] [ log ]（3）刪除訪問列表命令格式：no accesslist { normalspecial } { alllistnumber [ subitem ] }上述命令參數(shù)說明如下：●normal：指定規(guī)則加入普通時間段?！駍pecial：指定規(guī)則加入特殊時間段?！駆istnumber1：是1到99之間的一個數(shù)值，表示規(guī)則是標準訪問列表規(guī)則?！駆istnumber2：是100到199之間的一個數(shù)值，表示規(guī)則是擴展訪問列表規(guī)則?！駊ermit：表明允許滿足條件的報文通過?！馾eny：表明禁止?jié)M足條件的報文通過?！駊rotocol：為協(xié)議類型，支持ICMP、TCP、UDP等，其它的協(xié)議也支持，此時沒有端口比較的概念；為IP時有特殊含義，代表所有的IP協(xié)議?！駍ourceaddr：為源IP地址。●sourcemask：為源IP地址的子網(wǎng)掩碼，在標準訪問列表中是可選項?！馾estaddr：為目的IP地址?！馾estmask：為目的地址的子網(wǎng)掩碼?！駉perator：端口操作符，在協(xié)議類型為TCP或UDP時支持端口比較，支持的比較操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符為range，則后面需要跟兩個端口。port1 在協(xié)議類型為TCP或UDP時出現(xiàn)，可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或0~65535之間的一個數(shù)值。port2 在協(xié)議類型為TCP或UDP且操作類型為range時出現(xiàn)；可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或0~65535之間的一個數(shù)值?！駃cmptype：在協(xié)議為ICMP時出現(xiàn)，代表ICMP報文類型；可以是關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如echoreply）或者是0~255之間的一個數(shù)值?！駃cmpcode：在協(xié)議為ICMP，且沒有選擇所設(shè)定的預(yù)設(shè)值時出現(xiàn)；代表ICMP碼，是0~255之間的一個數(shù)值。●log：表示如果報文符合條件，需要做日志。●listnumber：為刪除的規(guī)則序號，是1~199之間的一個數(shù)值?！駍ubitem：指定刪除序號為listnumber的訪問列表中規(guī)則的序號。例如，現(xiàn)要在華為的一款防火墻上配置一個“ 網(wǎng)絡(luò)、但不允許使用FTP”的訪問規(guī)則。相應(yīng)配置語句只需兩行即可，如下：Quidway(config)accesslist 100 permit tcp eq Quidway(config)accesslist 100 deny tcp eq ftp accesslist counters：清除訪問列表規(guī)則的統(tǒng)計信息命令格式：clear accesslist counters [ listnumber ]這一命令必須在特權(quán)用戶模式下進行配置。listnumber 參數(shù)是用指定要清除統(tǒng)計信息的規(guī)則號，如不指定，則清除所有的規(guī)則的統(tǒng)計信息。如要在華為的一款包過濾路由器上清除當前所使用的規(guī)則號為100的訪問規(guī)則統(tǒng)計信息。訪問配置語句為：clear accesslist counters 100如有清除當前所使用的所有規(guī)則的統(tǒng)計信息，則以上語句需改為：Quidwayclear accesslist counters accessgroup使用此命令將訪問規(guī)則應(yīng)用到相應(yīng)接口上。使用此命令的no形式來刪除相應(yīng)的設(shè)置，對應(yīng)格式為：ip accessgroup listnumber { inout }此命令須在端口用戶模式下配置，進入端口用戶模式的命令為：interface ethernet（），括號中為相應(yīng)的端口號，通常0為外部接口，而1為內(nèi)部接口。進入后再用ip accessgroup 命令來配置訪問規(guī)則。listnumber參數(shù)為訪問規(guī)則號，是1~199之間的一個數(shù)值（包括標準訪問規(guī)則和擴展訪問規(guī)則兩類）；in 表示規(guī)則應(yīng)用于過濾從接口接收到的報文；而out表示規(guī)則用于過濾從接口轉(zhuǎn)發(fā)出去的報文。一個接口的一個方向上最多可以應(yīng)用20類不同的規(guī)則；這些規(guī)則之間按照規(guī)則序號的大小進行排列，序號大的排在前面，也就是優(yōu)先級高。對報文進行過濾時，將采用發(fā)現(xiàn)符合的規(guī)則即得出過濾結(jié)果的方法來加快過濾速度。所以，建議在配置規(guī)則時，盡量將對同一個網(wǎng)絡(luò)配置的規(guī)則放在同一個序號的訪問列表中；在同一個序號的訪問列表中，規(guī)則之間的排列和選擇順序可以用show accesslist命令來查看。例如將規(guī)則100應(yīng)用于過濾從外部網(wǎng)絡(luò)接口上接收到的報文，配置語句為（同樣為在傾為包過濾路由器上）：ip accessgroup 100 in如果要刪除某個訪問控制表列綁定設(shè)置，則可用no ip accessgroup listnumber { inout } 命令。 accesslist此配置命令用于顯示包過濾規(guī)則在接口上的應(yīng)用情況。命令格式為：show accesslist [ alllistnumberinterface interfacename ]這一命令須在特權(quán)用戶模式下進行配置，其中all參數(shù)表示顯示所有規(guī)則的應(yīng)用情況，包括普通時間段內(nèi)及特殊時間段內(nèi)的規(guī)則；如果選擇listnumber參數(shù)，則僅需顯示指定規(guī)則號的過濾規(guī)則；interface 表示要顯示在指定接口上應(yīng)用的所有規(guī)則序號；interfacename參數(shù)為接口的名稱。使用此命令來顯示所指定的規(guī)則，同時查看規(guī)則過濾報文的情況。每個規(guī)則都有一個相應(yīng)的計數(shù)器，如果用此規(guī)則過濾了一個報文，則計數(shù)器加1；通過對計數(shù)器的觀察可以看出所配置的規(guī)則中，哪些規(guī)則是比較有效，而哪些基本無效。例如，現(xiàn)在要顯示當前所使用序號為100的規(guī)則的使用情況，可執(zhí)行Quidwayshow accesslist 100語句即可，隨即系統(tǒng)即顯示這條規(guī)則的使用情況，格式如下：Using normal packetfiltering access rules deny icmp any hostredirect(3 matches,252 bytesrule 1)permit icmp any echo(no matchesrule 2)deny udp any any eq rip(no matchesrule 3) firewall此命令須在特權(quán)用戶模式下執(zhí)行，它顯示當前防火墻狀態(tài)。命令格式非常簡單，也為：show firewall。這里所說的防火墻狀態(tài)，包括防火墻是否被啟用，啟用防火墻時是否采用了時間段包過濾及防火墻的一些統(tǒng)計信息。這是用于定義能過防火配置控制端口進行遠程登錄的有關(guān)參數(shù)選項，也須在全局配置用戶模式下進行配置。命令格式為：telnet ip_address [netmask] [if_name]其中的ip_address參數(shù)是用來指定用于Telnet登錄的IP地址，netmask為子網(wǎng)掩碼，if_name用于指定用于Telnet登錄的接口，通常不用指定，則表示此IP地址適用于所有端口。如：telnet 如果要清除防火墻上某個端口的Telnet參數(shù)配置，則須用clear telnet命令，其格式為：clear telnet [ip_address [netmask] [if_name]]，其中各選項說明同上。它與另一個命令no telnet功能基本一樣，不過它是用來刪除某接口上的Telnet配置，命令格式為：no telnet [ip_address [netmask] [if_name]]。如果要顯示當前所有的Telnet配置，則可用show telnet命令。最簡單的防火墻配置，就是直接在內(nèi)部網(wǎng)和外部網(wǎng)之間加裝一個包過濾路由器或者應(yīng)用網(wǎng)關(guān)。為更好地實現(xiàn)網(wǎng)絡(luò)安全，有時還要將幾種防火墻技術(shù)組合起來構(gòu)建防火墻系統(tǒng)。目前比較流行的有以下三種防火墻配置方案。(Dual Homed Gateway)這種配置是用一臺裝有兩個網(wǎng)絡(luò)適配器的雙宿主機做防火墻。雙宿主機用兩個網(wǎng)絡(luò)適配器分別連接兩個網(wǎng)絡(luò)，又稱堡壘主機。堡壘主機上運行著防火墻軟件(通常是代理服務(wù)器)，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機網(wǎng)關(guān)有一個致命弱點，一旦入侵者侵入堡壘主機并使該主機只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問有保護的內(nèi)部網(wǎng)絡(luò)(如圖1)。三種流行防火墻配置方案分析(圖一)(Screened Host Gateway)屏蔽主機網(wǎng)關(guān)易于實現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。先來看單宿堡壘主機類型。一個包過濾路由器連接外部網(wǎng)絡(luò)，同時一個堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機只有一個網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接(如圖2)。通常在路由器上設(shè)立過濾規(guī)則，并使這個單宿堡壘主機成為從 Internet惟一可以訪問的主機，確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而Intranet內(nèi)部的客戶機，(圖二)雙宿堡壘主機型與單宿堡壘主機型的區(qū)別是，堡壘主機有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接包過濾路由器(如圖3)。雙宿堡壘主機在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。三種流行防火墻配置方案分析(圖三)(Screened Subnet)這種方法是在Intranet和Internet之間建立一個被隔離的子網(wǎng)，用兩個包過濾路由器將這一子網(wǎng)分別與Intranet和 Internet 分開。兩個包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個“緩沖地帶”(如圖4)，兩個路由器一個控制Intranet 數(shù)據(jù)流，另一個控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信。可根據(jù)需要在屏蔽子網(wǎng)中安裝堡壘主機，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問提供代理服務(wù)，但是來自兩網(wǎng)絡(luò)的訪問都必須通過兩個包過濾路由器的檢查。對于向Internet公開的服務(wù)器，像WWW、FTP、Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無論是外部用戶，還是內(nèi)部用戶都可訪問。這種結(jié)構(gòu)的防火墻安全性能高，具有很強的抗攻擊能力，但需要的設(shè)備多，造價高。三種流行防火墻配置方案分析(圖四)當然，防火墻本身也有其局限性，如不能防范繞過防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸。難以避免來自內(nèi)部的攻擊等等?？傊?，防火墻只是一種整體安全防范策略的一部分，僅有防火墻是不夠的，安全策略還必須包括全面的安全準則，即網(wǎng)絡(luò)訪問、本地和遠程用戶認證、撥出撥入呼叫、磁盤和數(shù)據(jù)加密以及病毒防護等有關(guān)的安全總 結(jié)經(jīng)過兩個月艱苦卓絕的努力,經(jīng)歷了無數(shù)次的錯誤修改代碼重啟服務(wù)器運行的過程,感覺到平時學(xué)的知識是多么的淺薄,書到用時方恨少,給我以后的工作敲響了警鐘,我也感受到了開源的方便,遇到什么問題,上網(wǎng)一查,就知道該怎么弄了,以前做個課程設(shè)計都是怕別人和我的一樣,不愿意給別人看,現(xiàn)在知道了程序弄不出來是多么的著急,學(xué)習(xí)都是相互的, 本次畢業(yè)設(shè)計是我工作前一次很好的演練和實踐的機會,是培養(yǎng)獨立考問題和自學(xué)能力的鍛煉,使我意識到必須努力學(xué)習(xí)才能才工作中體現(xiàn)自己的價值, 謝經(jīng)過了三個月的努力,我完成了題目為:計算機網(wǎng)絡(luò)安全及防火墻技術(shù)。