【導讀】本文對目前計算機網(wǎng)絡存在的安全隱患進行了分析，闡述了我國網(wǎng)絡安全的。正是因為安全威脅的無處不在，為了解決這個問題防火墻出現(xiàn)了。本文討論了防火墻的安全功能、體系結構、實現(xiàn)防火墻的主要技術手。據(jù)美國聯(lián)邦調(diào)查局統(tǒng)計，美國每年因網(wǎng)絡安全造成的損失高達75億美元。美國聯(lián)邦調(diào)查局計算機犯罪組負責人吉姆·塞特爾稱：。給我精選10名“黑客”，組成小組，90天內(nèi)，我將使美國趴下。網(wǎng)絡相繼遭到多次攻擊。公安機關受理各類信息網(wǎng)絡違法犯罪案件逐年劇增，尤其以。絡安全缺乏整體意識。隨著網(wǎng)絡的逐步普及，網(wǎng)絡安全的問題已經(jīng)日益突。近年來，無論在發(fā)達國家，還是在發(fā)展中國家，黑客活動越來越猖狂，他們無孔不入，對社會造成了嚴重的危害。戶曾經(jīng)遭受過黑客的困擾。而與此同時，更讓人不安的是，互連網(wǎng)上病毒和黑客的聯(lián)。姻、不斷增多的黑客網(wǎng)站，使學習黑客技術、獲得黑客攻擊工具變的輕而易舉。網(wǎng)絡之間的一道防御系統(tǒng)，是這一類防范措施的總稱。

　　

【正文】 刪除某個訪問控制表列綁定設置，則可用 no ip accessgroup listnumber { in out } 命令。 4. show accesslist 此配置命令用于顯示包過濾規(guī)則在接口上的應用情況。命令格式為： show accesslist [ all listnumber interface interfacename ] 這一命令須在特權用戶模式下進行配置，其中 all 參數(shù)表示顯示所有規(guī)則的應用情況，包括普通時間段內(nèi)及特殊時間段內(nèi)的規(guī)則；如果選擇 listnumber 參數(shù)，則僅需顯示指定規(guī)則號的過濾規(guī)則； interface 表示要顯示在指定接口上應用的所有規(guī)則序號； interfacename 參數(shù)為接口的名稱。 使用此命令來顯示所指定的規(guī)則，同時查看規(guī)則過濾報文的情況。每個規(guī)則都有一個相應的計數(shù)器，如果用此規(guī)則過濾了一個報文，則計數(shù)器加 1；通過對計數(shù)器的觀察可以看出所配置的規(guī)則中，哪些規(guī)則是 比較有效，而哪些基本無效。例如，現(xiàn)在要顯示當前所使用序號為 100 的規(guī)則的使用情況，可執(zhí)行 Quidwayshow accesslist 100 語句即可，隨即系統(tǒng)即顯示這條規(guī)則的使用情況，格式如下： Using normal packetfiltering access rules now. 100 deny icmp any hostredirect (3 matches,252 bytes rule 1) 100 permit icmp any echo (no matches rule 2) 100 deny udp any any eq rip (no matches rule 3) 5. show firewall 此命令須在特權用戶模式下執(zhí)行，它顯示當前防火墻狀態(tài)。命令格式非常簡單，也為： show firewall。這里所說的防火墻狀態(tài)，包括防火墻是否被啟用，啟用防火墻時是否采用了時間段包過濾及防火墻的一些統(tǒng)計信息。 6. Tel 這是用于定義能過防火配置控制端口進行遠程登錄的有關參數(shù)選項，也須在全局配置用戶模式下進行配置。 命令格式為： tel ip_address [mask] [if_name] 其中的 ip_address 參數(shù)是用來指定用于 Tel 登錄的 IP 地址， mask 為子網(wǎng)掩碼， if_name 用于指定用于 Tel 登錄的接口，通常不用指定，則表示此 IP 地址適用于所有端口。如： tel 如果要清除防火墻上某個端口的 Tel 參數(shù)配置，則須用 clear tel 命令，其格式為： clear tel [ip_address [mask] [if_name]]，其中各選項說明同上。它與另一個命令 no tel 功能基本一樣，不過它是用來刪除某接口上的 Tel 配置，命令格式為：no tel [ip_address [mask] [if_name]]。 14 如果要顯示當前所有的 Tel 配置，則可用 show tel 命令。 最簡單的防火墻配置，就是直接在內(nèi)部網(wǎng)和外部網(wǎng)之間加裝一個包過濾路由器或者應用網(wǎng)關。為 更好地實現(xiàn)網(wǎng)絡安全，有時還要將幾種防火墻技術組合起來構建防火墻系統(tǒng)。目前比較流行的有以下三種防火墻配置方案。 雙宿主機網(wǎng)關 (Dual Homed Gateway) 這 種配置是用一臺裝有兩個網(wǎng)絡適配器的雙宿主機做防火墻。雙宿主機用兩個網(wǎng)絡適配器分別連接兩個網(wǎng)絡，又稱堡壘主機。堡壘主機上運行著防火墻軟件 (通常是代理服務器 )，可以轉發(fā)應用 程序，提供服務等。雙宿主機網(wǎng)關有一個致命弱點，一旦入侵者侵入堡壘主機并使該主機只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問有保護的內(nèi)部網(wǎng)絡 (如圖 1)。 三種流行防火墻配置方案分析 (圖一 ) 屏蔽主機網(wǎng)關 (Screened Host Gateway) 屏蔽主機網(wǎng)關易于實現(xiàn)，安全性好，應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。先來看單宿堡壘主機類型。一個包過濾路由器連接外部網(wǎng)絡，同時一個堡壘主機安裝在內(nèi)部網(wǎng)絡上。堡壘主機只有一個網(wǎng)卡，與內(nèi)部網(wǎng)絡連接 (如圖 2)。通常在路由器上設立過濾規(guī)則，并使這個單宿堡壘主機成為從 Inter 惟一可以訪問的主機，確保了內(nèi)部網(wǎng)絡不受未被授權的外部用戶 的 攻擊 。而 Intra 內(nèi)部的客戶機，可以受控制地通過屏蔽主機和路由器訪問 Inter. 15 三種流行防火墻配置方案分析 (圖二 ) 雙宿堡壘主機型與單宿堡壘主機型的區(qū)別是，堡壘主機有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡，一塊連接包過濾路由器 (如圖 3)。雙宿堡壘主機在應用層提供代理服務，與單宿型相比更加安全。 三種流行防火墻配置方案分析 (圖三 ) 屏蔽子網(wǎng) (Screened Sub) 這種方法是在 Intra 和 Inter 之間建立一個被隔離的子網(wǎng)，用兩個包過濾路由器將這一子網(wǎng)分別與 Intra 和 Inter 分開。兩個包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構成一個 “緩沖地帶 ”(如圖 4)，兩個路由器一個控制 Intra 數(shù)據(jù)流，另一個控制 Inter 數(shù)據(jù)流， Intra 和 Inter 均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信?？筛鶕?jù)需要在屏蔽子網(wǎng)中安裝堡壘主機，為內(nèi)部網(wǎng)絡和外部網(wǎng)絡的互相訪問提供代理服務，但是來自兩網(wǎng)絡的訪問都必須通過兩個包過濾路由器的檢查。對于向 Inter 公開的服務器，像 WWW、 FTP、 Mail等 Inter 服務器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無論是外部用戶，還是內(nèi)部用戶 都可訪問。這種結構的防火墻安全性能高，具有很強的抗攻擊能力，但需要的設備多，造價高。 三種流行防火墻配置方案分析 (圖四 ) 當然，防火墻本身也有其局限性，如不能防范繞過防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸 。難以避免來自內(nèi)部的攻擊等等?？傊阑饓χ皇且环N整體安全防范策略的一部分，僅有防火墻是不夠的，安全策略還必須16 包括全面的安全準則，即網(wǎng)絡訪問、本地和遠程用戶認證、撥出撥入呼叫、磁盤和數(shù)據(jù)加密以及病毒防護等有關的安全 總 結 經(jīng)過兩個月艱苦卓絕的努力 ,總于完成了本畢業(yè)設計 .從當初領到題目到最后一個功能模塊的完成 ,經(jīng)歷了無數(shù)次的錯誤 修改代碼 重啟服務器 運行的過程 ,感覺到平時學的知識是多么的淺薄 ,書到用時方恨少 ,現(xiàn)在是體驗的真真切切 .也充分反應了我平時的基本功不扎實 ,給我以后的工作敲響了警鐘 ,有了努力的方向 . 但通過本次畢業(yè)設計 ,我也感受到了開源的方便 ,遇到什么問題 ,上網(wǎng)一查 ,就知道該怎么弄了 ,以前做個課程設計都是怕別人和我的一樣 ,不愿意給別人看 ,現(xiàn)在知道了程序弄不出來是多么的著急 ,學習都是相互的 ,互相研究才能共同進步的 .以后要多多注意這方面的事情 , 本次畢業(yè)設計是我工作前一次很好的演練和實踐的機會 ,是培養(yǎng)獨立考問題和自學能力的鍛煉 ,使我意識到必須努力學習才能才工作中體現(xiàn)自己的價值 ,適應社會的需要 . 致 謝 經(jīng)過了三個月的努力 ,我完成了題目為 :計算機網(wǎng)絡安全及 防火墻技術 。 本次設計能夠順利完成 ,我 首先要感謝一些發(fā)表書籍的老師們。其次 ,我要感謝我的指導老師 ,她自始自終都給予了我莫大的幫助 ,對的設計中每一個計劃 ,每一項安排都提出了至關重要的建議 ,使我少走了許多彎路 ,節(jié)省了大量的時間 ,并且能不厭其煩地指導我技術上的問題 ,使我的系統(tǒng)更加完善和符合企業(yè)網(wǎng)站的要求 . 可以說 ,我的畢業(yè)設計的順利完成凝聚著導師的大量心血 . 另外 ,我還要感謝那些網(wǎng)上的朋友 ,他們毫不吝嗇的將自己所掌握的知識拿出來資源共享 ,才使我部分功能模塊得以實現(xiàn) ,謝謝他們 . 通過這次畢業(yè)設計 ,我體會很多 ,學會是一回事 ,會用則就是另一回事了 .以前 感到自己專業(yè)技能還可以 ,但真正到用的時候就發(fā)現(xiàn)了很多缺陷 ,發(fā)現(xiàn)自己其實差距很大 ,還不能適應工作 .為我今后指明了努力方向 . 再一次，我向多方面支持和幫助過我的人表示由衷的感謝！ 參考文獻 [1]張寶劍 .計算機安全與防護技術 [M].機械工業(yè)出版社 ,2020. [2]林海波 ,網(wǎng)絡安全與防火墻技術 [M].北京清華大學出版社 ,2020. [3]凌雨欣 ,常紅 .網(wǎng)絡安全技術與反網(wǎng)絡入侵者 [M].冶金工業(yè)出版社 ,2020. [4]王蓉 ,林海波 .網(wǎng)絡安全與防火墻技術 [M].清華大學出版社 ,2020. 17 [5]余建斌 .黑客的攻 擊手段及用戶對策［ M］ .北京人民郵電出版社 ,2020. [6](美 )布萊克赫茲 .Microsoft， UNIX 及 0racle 主機和網(wǎng)絡安全［ M］ .電子工業(yè)出版社 ,2020. [7] 馬程 .防火墻在網(wǎng)絡安全中的應用［ J］ .甘肅科技 ,202