【正文】 ber 　 interface interfacename ] 　　這一命令須在特權(quán)用戶模式下進(jìn)行配置，其中all參數(shù)表示顯示所有規(guī)則的應(yīng)用情況，包括普通時(shí)間段內(nèi)及特殊時(shí)間段內(nèi)的規(guī)則；如果選擇listnumber參數(shù)，則僅需顯示指定規(guī)則號(hào)的過濾規(guī)則；interface 表示要顯示在指定接口上應(yīng)用的所有規(guī)則序號(hào)；interfacename參數(shù)為接口的名稱。 　　使用此命令來顯示所指定的規(guī)則，同時(shí)查看規(guī)則過濾報(bào)文的情況。每個(gè)規(guī)則都有一個(gè)相應(yīng)的計(jì)數(shù)器，如果用此規(guī)則過濾了一個(gè)報(bào)文，則計(jì)數(shù)器加1；通過對(duì)計(jì)數(shù)器的觀察可以看出所配置的規(guī)則中，哪些規(guī)則是比較有效，而哪些基本無效。例如，現(xiàn)在要顯示當(dāng)前所使用序號(hào)為100的規(guī)則的使用情況，可執(zhí)行Quidwayshow accesslist 100語(yǔ)句即可，隨即系統(tǒng)即顯示這條規(guī)則的使用情況，格式如下： 　　Using normal packetfiltering access rules now. 　　　　100 deny icmp any hostredirect (3 matches,252 bytes rule 1) 　　　　100 permit icmp any echo (no matches rule 2) 　　　　100 deny udp any any eq rip (no matches rule 3) 　　5. show firewall 　　此命令須在特權(quán)用戶模式下執(zhí)行，它顯示當(dāng)前防火墻狀態(tài)。命令格式非常簡(jiǎn)單，也為：show firewall。這里所說的防火墻狀態(tài)，包括防火墻是否被啟用，啟用防火墻時(shí)是否采用了時(shí)間段包過濾及防火墻的一些統(tǒng)計(jì)信息。 　　6. Telnet 　　這是用于定義能過防火配置控制端口進(jìn)行遠(yuǎn)程登錄的有關(guān)參數(shù)選項(xiàng)，也須在全局配置用戶模式下進(jìn)行配置。 　　命令格式為：telnet ip_address [netmask] [if_name] 　　其中的ip_address參數(shù)是用來指定用于Telnet登錄的IP地址，netmask為子網(wǎng)掩碼，if_name用于指定用于Telnet登錄的接口，通常不用指定，則表示此IP地址適用于所有端口。如： 　　telnet 　　如果要清除防火墻上某個(gè)端口的Telnet參數(shù)配置，則須用clear telnet命令，其格式為：clear telnet [ip_address [netmask] [if_name]]，其中各選項(xiàng)說明同上。它與另一個(gè)命令no telnet功能基本一樣，不過它是用來刪除某接口上的Telnet配置，命令格式為：no telnet [ip_address [netmask] [if_name]]。 　　如果要顯示當(dāng)前所有的Telnet配置，則可用show telnet命令。 最簡(jiǎn)單的防火墻配置，就是直接在內(nèi)部網(wǎng)和外部網(wǎng)之間加裝一個(gè)包過濾路由器或者應(yīng)用網(wǎng)關(guān)。為更好地實(shí)現(xiàn)網(wǎng)絡(luò)安全，有時(shí)還要將幾種防火墻技術(shù)組合起來構(gòu)建防火墻系統(tǒng)。目前比較流行的有以下三種防火墻配置方案。(Dual Homed Gateway)這種配置是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。雙宿主機(jī)用兩個(gè)網(wǎng)絡(luò)適配器分別連接兩個(gè)網(wǎng)絡(luò)，又稱堡壘主機(jī)。堡壘主機(jī)上運(yùn)行著防火墻軟件(通常是代理服務(wù)器)，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機(jī)網(wǎng)關(guān)有一個(gè)致命弱點(diǎn)，一旦入侵者侵入堡壘主機(jī)并使該主機(jī)只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問有保護(hù)的內(nèi)部網(wǎng)絡(luò)(如圖1)。　　三種流行防火墻配置方案分析(圖一)(Screened Host Gateway)　　屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機(jī)和雙宿堡壘主機(jī)兩種類型。先來看單宿堡壘主機(jī)類型。一個(gè)包過濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機(jī)只有一個(gè)網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接(如圖2)。通常在路由器上設(shè)立過濾規(guī)則，并使這個(gè)單宿堡壘主機(jī)成為從 Internet惟一可以訪問的主機(jī)，確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而Intranet內(nèi)部的客戶機(jī)，可以受控制地通過屏蔽主機(jī)和路由器訪問Internet.　　　　三種流行防火墻配置方案分析(圖二)　　雙宿堡壘主機(jī)型與單宿堡壘主機(jī)型的區(qū)別是，堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接包過濾路由器(如圖3)。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。　　三種流行防火墻配置方案分析(圖三)(Screened Subnet)　　這種方法是在Intranet和Internet之間建立一個(gè)被隔離的子網(wǎng)，用兩個(gè)包過濾路由器將這一子網(wǎng)分別與Intranet和 Internet 分開。兩個(gè)包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)“緩沖地帶”(如圖4)，兩個(gè)路由器一個(gè)控制Intranet 數(shù)據(jù)流，另一個(gè)控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信?？筛鶕?jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問提供代理服務(wù)，但是來自兩網(wǎng)絡(luò)的訪問都必須通過兩個(gè)包過濾路由器的檢查。對(duì)于向Internet公開的服務(wù)器，像WWW、FTP、Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無論是外部用戶，還是內(nèi)部用戶都可訪問。這種結(jié)構(gòu)的防火墻安全性能高，具有很強(qiáng)的抗攻擊能力，但需要的設(shè)備多，造價(jià)高?！　　　∪N流行防火墻配置方案分析(圖四)當(dāng)然，防火墻本身也有其局限性，如不能防范繞過防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸。難以避免來自內(nèi)部的攻擊等等?？傊?，防火墻只是一種整體安全防范策略的一部分，僅有防火墻是不夠的，安全策略還必須包括全面的安全準(zhǔn)則，即網(wǎng)絡(luò)訪問、本地和遠(yuǎn)程用戶認(rèn)證、撥出撥入呼叫、磁盤和數(shù)據(jù)加密以及病毒防護(hù)等有關(guān)的安全總 結(jié)經(jīng)過兩個(gè)月艱苦卓絕的努力,經(jīng)歷了無數(shù)次的錯(cuò)誤修改代碼重啟服務(wù)器運(yùn)行的過程,感覺到平時(shí)學(xué)的知識(shí)是多么的淺薄,書到用時(shí)方恨少,給我以后的工作敲響了警鐘,有了努力的方向.但通過本次畢業(yè)設(shè)計(jì),我也感受到了開源的方便,遇到什么問題,上網(wǎng)一查,就知道該怎么弄了,以前做個(gè)課程設(shè)計(jì)都是怕別人和我的一樣,不愿意給別人看,現(xiàn)在知道了程序弄不出來是多么的著急,學(xué)習(xí)都是相互的,本次畢業(yè)設(shè)計(jì)是我工作前一次很好的演練和實(shí)踐的機(jī)會(huì),是培養(yǎng)獨(dú)立考問題和自學(xué)能力的鍛煉,使我意識(shí)到必須努力學(xué)習(xí)才能才工作中體現(xiàn)自己的價(jià)值,適應(yīng)社會(huì)的需要.致 謝 經(jīng)過了三個(gè)月的努力,我完成了題目為:計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)。 本次設(shè)計(jì)能夠順利完成,我首先要感謝一些發(fā)表書籍的老師們。其次,我要感謝我的指導(dǎo)老師,她自始自終都給予了我莫大的幫助,對(duì)的設(shè)計(jì)中每一個(gè)計(jì)劃,每一項(xiàng)安排都提出了至關(guān)重要的建議,使我少走了許多彎路,節(jié)省了大量的時(shí)間,并且能不厭其煩地指導(dǎo)我技術(shù)上的問題,使我的系統(tǒng)更加完善和符合企業(yè)網(wǎng)站的要求. 可以說,我的畢業(yè)設(shè)計(jì)的順利完成凝聚著導(dǎo)師的大量心血.另外,我還要感謝那些網(wǎng)上的朋友,他們毫不吝嗇的將自己所掌握的知識(shí)拿出來資源共享,才使我部分功能模塊得以實(shí)現(xiàn),謝謝他們.通過這次畢業(yè)設(shè)計(jì),我體會(huì)很多,學(xué)會(huì)是一回事,但真正到用的時(shí)候就發(fā)現(xiàn)了很多缺陷,發(fā)現(xiàn)自己其實(shí)差距很大,.再一次，我向多方面支持和幫助過我的人表示由衷的感謝！參考文獻(xiàn)[1][M].機(jī)械工業(yè)出版社,2003.[2]林海波,網(wǎng)絡(luò)安全與防火墻技術(shù)[M].北京清華大學(xué)出版社,2000.[3]凌雨欣,[M].冶金工業(yè)出版社,2001.[4]王蓉,[M].清華大學(xué)出版社,2000.[5]［M］.北京人民郵電出版社,2005.[6](美)，UNIX及0racle主機(jī)和網(wǎng)絡(luò)安全［M］.電子工業(yè)出版社,2004.[7] ［J］.甘肅科技,200823