【正文】 lInspection)： 狀態(tài)監(jiān)視器作為防火墻技術(shù)其安全特性最佳，它采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為檢測模塊。檢測模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)測，抽取部分?jǐn)?shù)據(jù)，即狀態(tài)信息，并動態(tài)地保存起來作為以后制定安全決策的參考。檢測模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。與其它安全方案不同，當(dāng)用戶訪問到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前， 狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定做出接納、拒絕、鑒定或給該通信加密等決定。一旦某個訪問違反安全規(guī)定，安全報警器就會拒絕該訪問，并作下記錄向系統(tǒng)管理器報告網(wǎng)絡(luò)狀態(tài)。狀 態(tài)監(jiān)視器 的另一個 優(yōu)點就是 可以監(jiān)測 RemoteProcedureCall 和 User DatagrqamProtocol 類的端口信息。問題當(dāng)然也有，即狀態(tài)監(jiān)視器的配置非常復(fù)雜，而且會降低網(wǎng)絡(luò)的速度。 （三）、代理服務(wù)器和數(shù)據(jù)包過濾的不同 最終，代理服務(wù)器和數(shù)據(jù)包過濾器將同時被使用在防火墻中，提供多層多種類的安全保護(hù)它們都在應(yīng)用 層工作，但它們檢查 IP 地址數(shù)據(jù)包的不同部分，并且對 IP 地址數(shù)據(jù)包進(jìn)行處理的方式不同。 對代理服務(wù)器和數(shù)據(jù)包過濾器進(jìn)行比較是很有用的。通過比較，對它們提供的不同網(wǎng)絡(luò)安全有一個清楚的了解： 15 因為代理服務(wù)器對整個 IP 數(shù)據(jù)包的數(shù)據(jù)都進(jìn)行掃描，所以它可比數(shù)據(jù)包過濾器建立更多、更詳細(xì)的文件日志列表。數(shù)據(jù)包過濾器僅記錄報頭信息，而代理服務(wù)器可記錄更多的信息。 如果數(shù)據(jù)包和某一包過濾器規(guī)則匹配，數(shù)據(jù)包被允許通過，原封不動的到達(dá)目標(biāo)計算機。然而，代理服務(wù)器則用新的源 IP 地址對數(shù)據(jù)包進(jìn)行重建，對外部用戶隱藏內(nèi)部用戶。 使用代理服務(wù)器意味著在 Inter 上必須有一個服務(wù)器，一個內(nèi)部主機不直接和外部主機相連。因為代理服務(wù)器要對經(jīng)過它的所有數(shù)據(jù)包進(jìn)行重建，所以那些帶有惡意攻擊的數(shù)據(jù)包將不能到達(dá)內(nèi)部主機。 對網(wǎng)絡(luò)通信而言，代理服務(wù)器比數(shù)據(jù)包過濾器重要得多。假如包過濾器由于某種原因而不能工作，可能出現(xiàn)的結(jié)果是所有的數(shù)據(jù)包都能通過且到達(dá)內(nèi)部網(wǎng)絡(luò)。如果一個代理服務(wù)器的網(wǎng)關(guān)或防火墻壞了，那么整個網(wǎng)絡(luò)通信將被終止。 五、 防火墻應(yīng)用方案 （一）、 Cisco PIX 防火墻的產(chǎn)品特點 任何企業(yè)安全策略的一個主要部分都是實現(xiàn)和維護(hù)防火 墻，因此防火墻在網(wǎng)絡(luò)安全的實現(xiàn)當(dāng)中扮演著重要的角色。防火墻通常位于企業(yè)網(wǎng)絡(luò)的邊緣，這使得內(nèi)部網(wǎng)絡(luò)與 Inter之間或者與其他外部網(wǎng)絡(luò)互相隔離，并限制網(wǎng)絡(luò)互訪從而保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)。設(shè)置防火墻目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡化網(wǎng)絡(luò)的安全管理。 在眾多的企業(yè)級主流防火墻中， Cisco PIX 防火墻是所有同類產(chǎn)品性能最好的一種。Cisco PIX 系列防火墻目前有 5 種型號 PIX506， 515， 520， 525， 535。其中 PIX535是 PIX 500系列中最新，功能也是最強大的一款。它可以提供運 營商級別的處理能力，適用于大型的ISP 等服務(wù)提供商。但是 PIX 特有的 OS 操作系統(tǒng)，使得大多數(shù)管理是通過命令行來實現(xiàn)的，不象其他同類的防火墻通過 Web 管理界面來進(jìn)行網(wǎng)絡(luò)管理，這樣會給初學(xué)者帶來不便。本文將通過實例介紹如何配置 Cisco PIX 防火墻。 在配置 PIX 防火墻之前，先來介紹一下防火墻的物理特性。防火墻通常具有至少 3 個接口，但許多早期的防火墻只具有 2 個接口；當(dāng)使用具有 3 個接口的防火墻時，就至少產(chǎn)生了3 個網(wǎng)絡(luò)，描述如下 ： 內(nèi)部區(qū)域（內(nèi)網(wǎng)）。 內(nèi)部區(qū)域通常就是指企業(yè)內(nèi)部網(wǎng)絡(luò)或者是企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分。 它是互連網(wǎng)絡(luò)的信任區(qū)域，即受到了防火墻的保護(hù)。 外部區(qū)域（外網(wǎng)）。 外部區(qū)域通常指 Inter 或者非企業(yè)內(nèi)部網(wǎng)絡(luò)。它是互 連 網(wǎng)絡(luò)中不被信任的區(qū)域，當(dāng)外部區(qū)域想要訪問內(nèi)部區(qū)域的主機和服務(wù)，通過防火墻，就可以實現(xiàn)有限制的訪問。 ?；饏^(qū)（ DMZ）。 ?；饏^(qū)是一個隔離的網(wǎng)絡(luò)，或幾個網(wǎng)絡(luò)。位于停火區(qū)中的主 機 或服務(wù)器被稱為堡壘主機。一般在?；饏^(qū)內(nèi)可以放置 Web 服務(wù)器， Mail 服務(wù)器等。?；饏^(qū)對于外部用戶通常是可以訪問的，這種方式讓外部用戶可以訪問企業(yè)的公開信息，但卻不允許他們訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。注意： 2 個接口的 防火墻是沒有?；饏^(qū)的。 16 （二）、 Cisco PIX525 配置步 驟 由于 PIX535 在企業(yè)級別不具有普遍性，因此下面主要說明 PIX525 在企業(yè)網(wǎng)絡(luò)中的應(yīng)用。 PIX 防火墻提供 4 種管理訪問模式： ① 非特權(quán)模式。 PIX 防火墻開機自檢后，就是處于這種模式。系統(tǒng)顯示為 pixfirewall ② 特權(quán)模式。 輸入 enable 進(jìn)入特權(quán)模式，可以改變當(dāng)前配置。顯示為 pixfirewall ③ 配置模式。 輸入 configure terminal 進(jìn)入此模式，絕大部分的系統(tǒng)配置都在這里進(jìn)行。顯示為 pixfirewall(config) ④ 監(jiān)視模式。 PIX 防火墻在開機或重啟過程中，按住 Escape 鍵或發(fā)送一個 “Break” 字符，進(jìn)入監(jiān)視模式。這里可以更新操作系統(tǒng)映象和口令恢復(fù)。顯示為 monitor 配置 PIX 防火墻有 6 個基本命令： nameif， interface， ip address， nat， global， route. 這些命令在配置 PIX 是必須的。以下是配置的基本步驟： ① 配置防火墻接口的名字，并指定安全級別（ nameif）。 Pix525(config)nameif ether0 outside security0 Pix525(config)nameif ether1 inside security100 Pix525(config)nameif dmz security50 提示：在缺省配置中，以太網(wǎng) 0 被命名為外部接口（ outside），安全級別是 0；以太網(wǎng) 1 被命名為內(nèi)部接口（ inside），安全級別是 1～ 99，數(shù)字越大安全級別越高。若添加新的接口，語句可以這樣寫 ： Pix525(config)nameif pix/intf3 security40 （安全級別 任取 ） ② 配置以太口參數(shù)（ interface） Pix525(config)interface ether0 auto（ auto 選項表明系統(tǒng)自適應(yīng)網(wǎng)卡類型 ） Pix525(config)interface ether1 100full（ 100full 選項表示 100Mbit/s 以太網(wǎng)全雙工通信 ） Pix525(config)interface ether1 100full shutdown （ shutdown 選項表示關(guān)閉這個接口，若啟用接口去掉 shutdown ） ③ 配置內(nèi)外網(wǎng) 卡的 IP 地址（ ip address） Pix525(config)ip address outside Pix525(config)ip address inside 很明顯， Pix525 防火墻在外網(wǎng)的 ip 地址是 ，內(nèi)網(wǎng) ip 地址是 ④ 指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址（ nat） 網(wǎng)絡(luò)地址翻譯（ nat）作用是將內(nèi)網(wǎng)的私有 ip 轉(zhuǎn)換為外網(wǎng)的公有 命令總是與global 命令一起使用，這是因為 nat 命令可以指定一臺主機或一段范圍的主機訪問外網(wǎng)，訪問外網(wǎng)時需要利用 global 所指定的地址池進(jìn)行對外訪問。 nat 命令配置語法： nat 17 (if_name) nat_id local_ip [mark] 其中（ if_name）表示內(nèi)網(wǎng)接口名字，例如 inside. Nat_id 用來標(biāo)識全局地址池，使它與其相應(yīng)的 global 命令相匹配， local_ip 表示內(nèi)網(wǎng)被分配的 ip 地址。例如 表示內(nèi)網(wǎng)所有主機可以對外訪問。 [mark]表示內(nèi)網(wǎng) ip 地址的 子網(wǎng)掩碼。 例 1． Pix525(config)nat (inside) 1 0 0 表示啟用 nat,內(nèi)網(wǎng)的所有主機都可以訪問外網(wǎng)，用 0 可以代表 例 2． Pix525(config)nat (inside) 1 表示只有 這個網(wǎng)段內(nèi)的主機可以訪問外網(wǎng)。 ⑤ 指定外部地址范圍（ global） global 命令把內(nèi)網(wǎng)的 ip 地址翻譯成外網(wǎng)的 ip 地址或一段地址范圍。 Global 命令的配置語法： global (if_name) nat_id ip_addressip_address [mark global_mask] 其中（ if_name）表示外網(wǎng)接口名字，例如 outside.。 Nat_id 用來標(biāo)識全局地址池，使它與其相應(yīng)的 nat 命令相匹配， ip_addressip_address 表示翻譯后的單個 ip 地址或一段 ip 地址范圍。 [mark global_mask]表示全局 ip 地址的網(wǎng)絡(luò)掩碼。 例 1． Pix525(config)global (outside) 1 表示內(nèi)網(wǎng)的主機通過 pix 防火墻要訪問外網(wǎng)時， pix 防火墻將使用 這段 ip 地址池為要訪問外網(wǎng)的主機分配一個全局 ip 地址。 例 2． Pix525(config)global (outside) 1 表示內(nèi)網(wǎng)要訪問外網(wǎng)時， pix 防火墻將為訪問外網(wǎng)的所有主機統(tǒng)一使用 這個單一 ip 地址。 例 3. Pix525(config)no global (outside) 1 表示刪除這個全局表項。 總結(jié) 隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展和 Inter 的廣泛普及，網(wǎng)絡(luò)安全事故也逐年增多，網(wǎng)絡(luò)系統(tǒng)的管理責(zé)任越來越重大。尤其網(wǎng)上“黑客”、計算機病毒對網(wǎng)絡(luò)安全的危害，使得人們不得不重視防火墻技術(shù)。防火墻是一種行之有效的網(wǎng)絡(luò)安全機制，它是在網(wǎng)絡(luò)的內(nèi)部與外部之間實施安全防范的系統(tǒng)。為使網(wǎng)絡(luò)管理人員即能對網(wǎng)絡(luò)進(jìn)行輕松管理，又對防火墻有一個詳盡的了解。 介紹了計算機網(wǎng)絡(luò)安全的具體內(nèi)容及其威脅源，網(wǎng)絡(luò)安全技術(shù)，以及防火墻的作用、分類、體系結(jié)構(gòu)。包括防火墻技術(shù)里的數(shù)據(jù)包過濾技術(shù)原理，以及包過濾的優(yōu) 、缺點，代理服務(wù)的技術(shù)的原理，以及代理技術(shù)的類型 最后介紹了硬件防火墻的產(chǎn)品功能和特點， Cisco PIX 防火墻 的配置方案。 18 參考文獻(xiàn) ［ 1］ Peter Norton， Mike Stockman．網(wǎng)絡(luò)安全指南［ M］．瀟湘工作室譯．北京：人民郵電出版社， 2020． ［ 2］ 趙斌斌．網(wǎng)絡(luò)安全與黑客工具防范［ M］．北京：科學(xué)出版社， 2020． ［ 3］ (美 )Greg Holden. 防火墻與網(wǎng)絡(luò)安全 —— 入侵檢測和 ：清華大學(xué)出版社 2020 ［ 3］黎連業(yè)、張維、向東明、 防火墻及其應(yīng)用技術(shù) 北京：清 華大學(xué)出版社 2020 Application Study in the Online Security of Technology of Firewall Abstract: To the online security problem that faces at present , have summarized to online security and fire wall basic conception. Have explained operation principle of the host puter type work fire wall and key technology, explained the instance Cisco PIX525 hardware fire wall finally. Keywords: Online security。 Fire wall 。 Wrap up and filter。 Acting server。 Cisco PIX525 (the fire wall of hardware)