【正文】 的一些服務(wù)或協(xié)議，注意rsh服務(wù)是不能改變端口號(hào)的names //解析本地主機(jī)名到ip地址，在配置中可以用名字代替ip地址，當(dāng)前沒(méi)有設(shè)置，所以列表為空pager lines 24 //每24行一分頁(yè)interface ethernet0 autointerface ethernet1 auto // 設(shè)置兩個(gè)網(wǎng)卡的類型為自適應(yīng)mtu outside 1500 mtu inside 1500 //以太網(wǎng)標(biāo)準(zhǔn)的MTU長(zhǎng)度為1500字節(jié)ip address outside ip address inside //，ip audit info action alarm ip audit attack action alarm //pix入侵檢測(cè)的2個(gè)命令。當(dāng)有數(shù)據(jù)包具有攻擊或報(bào)告型特征碼時(shí)，pix將采取報(bào)警動(dòng)作(缺省動(dòng)作)，向指定的日志記錄主機(jī)產(chǎn)生系統(tǒng)日志消 息；此外還可以作出丟棄數(shù)據(jù)包和發(fā)出tcp連接復(fù)位信號(hào)等動(dòng)作，需另外配置。pdm history enable //PIX設(shè)備管理器可以圖形化的監(jiān)視PIX arp timeout 14400 // arp表的超時(shí)時(shí)間global (outside) 1 // 如果你訪問(wèn)外部論壇或用聊天等等，上面顯示的ip就是這個(gè)nat (inside) 1 0 0static(inside, outside) netmask 0 0 conduit permit icmp any anyconduit permit tcp host eq any conduit permit udp host eq domain any //，而且只允許外部用戶訪問(wèn)domain的udp端口route outside 1 //timeout xlate 3:00:00 //某個(gè)內(nèi)部設(shè)備向外部發(fā)出的ip包經(jīng)過(guò)翻譯(global)后，在缺省3個(gè)小時(shí)之后此數(shù)據(jù)包若沒(méi)有活動(dòng)，此前創(chuàng)建的表項(xiàng)將從翻譯表中刪除，釋放該設(shè)備占用的全局地址timeout conn 1:00:00 halfclosed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00timeout uauth 0:05:00 absolute //AAA認(rèn)證的超時(shí)時(shí)間，absolute表示連續(xù)運(yùn)行uauth定時(shí)器，用戶超時(shí)后，將強(qiáng)制重新認(rèn)證aaaserver TACACS+ protocol tacacs+ aaaserver RADIUS protocol radius //AAA服務(wù)器的兩種協(xié)議。AAA是指認(rèn)證，授權(quán)，審計(jì)。Pix防火墻可以通過(guò)AAA服務(wù)器增加內(nèi)部網(wǎng)絡(luò)的安全no snmpserver location no snmpserver contact snmpserver munity public //由于沒(méi)有設(shè)置snmp工作站，也就沒(méi)有snmp工作站的位置和聯(lián)系人no snmpserver enable traps //發(fā)送snmp陷阱 floodguard enable //防止有人偽造大量認(rèn)證請(qǐng)求，將pix的AAA資源用完no sysopt route dnat telnet timeout 5 ssh timeout 5 //使用ssh訪問(wèn)pix的超時(shí)時(shí)間terminal width 80 Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7 PIX525PIX525write memory // 將配置保存上面這個(gè)配置實(shí)例需要說(shuō)明一下，pix防火墻直接擺在了與internet接口處，此處網(wǎng)絡(luò)環(huán)境有十幾個(gè)公ip,可能會(huì)有朋友問(wèn)如果我的公有ip很有限怎么辦？你可以添加router放在pix的前面，或者global使用單一ip地址，和外部接口的ip地址相同即可。另外有幾個(gè)維護(hù)命令也很有用,show interface查看端口狀態(tài)，show static查看靜態(tài)地址映射，show ip查看接口ip地址， ping outside | inside ip_address確定連通性。五 防火墻的未來(lái)發(fā)展(一) 防火墻發(fā)展趨勢(shì)1．優(yōu)良的性能新一代的防火墻系統(tǒng)不僅應(yīng)該能夠更好的保護(hù)防火墻后面內(nèi)部網(wǎng)絡(luò)的安全，而且應(yīng)該具有更為優(yōu)良的整體性能。傳統(tǒng)的代理型防火墻雖然可以提供較高級(jí)別的安全保護(hù)，但是同時(shí)成為限制網(wǎng)絡(luò)寬帶的瓶頸，這極大的制約了在網(wǎng)絡(luò)中的實(shí)際應(yīng)用。數(shù)據(jù)通過(guò)率是表示防火墻性能的參數(shù)，由于不同防火墻的不同功能有不同的工作量和系統(tǒng)資源要求，因此數(shù)據(jù)在通過(guò)防火墻時(shí)會(huì)產(chǎn)生延時(shí)。自然，數(shù)據(jù)通過(guò)率越高，防火墻性能越好?，F(xiàn)在大多數(shù)的防火墻產(chǎn)品都支持NAT功能，它可以讓防火墻系統(tǒng)的性能有所影響。目前如何盡量減少這種影響也成為防火墻產(chǎn)品的賣點(diǎn)之一。另外防火墻系統(tǒng)中集成的VPN解決方案必須是真正的線速運(yùn)行，否則將成為網(wǎng)絡(luò)通信的瓶頸。對(duì)于一個(gè)好的防火墻系統(tǒng)而言，它的規(guī)模和功能應(yīng)該能夠適應(yīng)內(nèi)部網(wǎng)絡(luò)的規(guī)模和安全策略的變化。選擇哪種防火墻，除了應(yīng)該考慮它的基本形象之外，毫無(wú)疑問(wèn)，還應(yīng)該考慮用戶的實(shí)際需求與未來(lái)網(wǎng)絡(luò)的升級(jí)。未來(lái)的防火墻系統(tǒng)應(yīng)是一個(gè)可隨意伸縮的模塊化解決方案，從最為基本的包過(guò)濾器到帶加密功能的VPN型報(bào)過(guò)濾器，直至一個(gè)獨(dú)立的應(yīng)用網(wǎng)關(guān)，使用戶有充分的余地構(gòu)建自己所需要的防火墻體系。防火墻的卻可以幫助管理員加強(qiáng)內(nèi)部網(wǎng)的安全性。一個(gè)不具體實(shí)施任何安全策略的防火墻無(wú)異于高級(jí)擺設(shè)。防火墻產(chǎn)品配置和管理的難易程度是防火墻能否達(dá)到目的的主要考慮因素之一。實(shí)踐證明許多防火墻產(chǎn)品并未起到預(yù)期作用的一個(gè)不容忽視的原因在于配置和實(shí)現(xiàn)上的錯(cuò)誤。同時(shí)，若防火墻的管理過(guò)于困難，則可能會(huì)造成設(shè)定上的錯(cuò)誤，反而不能達(dá)到其功能。因此未來(lái)的防火墻將具有非常易于安裝和易于管理的基礎(chǔ)。盡管在基于NT的防火墻通常落后于基于Unix的防火墻，但NT平臺(tái)的簡(jiǎn)單性以及它方便的可用性大大推動(dòng)了基于NT的防火墻的銷售。防火墻開(kāi)放商通過(guò)建立功能強(qiáng)大的Web代理對(duì)中這種需要作出了回應(yīng)。例如，許多防火墻具有內(nèi)置病毒和內(nèi)容掃描功能或允許用戶與病毒與內(nèi)容掃描程序進(jìn)行集成。今天許多防火墻都包括對(duì)過(guò)濾產(chǎn)品的支持，并可以與第三方過(guò)濾服務(wù)連接，這些服務(wù)提供了不受歡迎Internet站點(diǎn)的分類清單。防火墻還在他們的Web代理中包括時(shí)間限制功能，允許非工作時(shí)間的沖浪和登陸，并提供沖浪活動(dòng)的報(bào)告。盡管防火墻在防止不良分子進(jìn)入上發(fā)揮了很好的作用，但TCP/IP協(xié)議套件中存在的脆弱性使Internet對(duì)拒絕服務(wù)攻擊敞開(kāi)了大門。在拒絕服務(wù)攻擊中，攻擊者試圖使企業(yè)Internet服務(wù)飽和或使與它連接的系統(tǒng)崩潰，使Internet無(wú)法供企業(yè)使用。防火墻市場(chǎng)已經(jīng)對(duì)此做出了反應(yīng)。雖然沒(méi)有防火墻可以防止所有的拒絕服務(wù)攻擊，但防火墻廠商一直在近期可能阻止拒絕服務(wù)攻擊。像序列號(hào)預(yù)測(cè)和IP欺騙這類簡(jiǎn)單攻擊，這些年來(lái)已經(jīng)成為了防火墻工具箱的一部分。像SYN泛濫這類更復(fù)雜的拒絕服務(wù)攻擊需要廠商部署更先進(jìn)的檢測(cè)和避免方案來(lái)應(yīng)付。SYN泛濫可以鎖死Web和郵件服務(wù)，這樣沒(méi)有數(shù)據(jù)流可以進(jìn)入。(二) 防火墻的反戰(zhàn)前景及技術(shù)方向伴隨著Internet的飛速發(fā)展，防火墻技術(shù)與產(chǎn)品的更新步伐必然會(huì)加強(qiáng)，而要全面展望防火墻技術(shù)的發(fā)展幾乎是不可能的。但是，從產(chǎn)品及功能上，卻又可以看到一些動(dòng)向和趨勢(shì)。下面幾點(diǎn)可能是下一步的走向和選擇：① 防火墻將從目前對(duì)子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠(yuǎn)程上網(wǎng)集中管理的方式發(fā)展。② 過(guò)濾深度會(huì)不斷加強(qiáng)，從目前的地址、服務(wù)過(guò)濾，發(fā)展到URL(頁(yè)面)過(guò)濾、關(guān)鍵字過(guò)濾和對(duì)ActiveX、Java等的過(guò)濾，并逐漸有病毒掃描功能。③ 利用防火墻建立專用網(wǎng)是較長(zhǎng)一段時(shí)間哎用戶使用的主流，IP的加密需求越來(lái)越強(qiáng)，安全協(xié)議的開(kāi)發(fā)是一大熱點(diǎn)。④ 單向防火墻(又叫做網(wǎng)絡(luò)二極管)將作為一種產(chǎn)品門類而出現(xiàn)。⑤ 對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和各種警告將成為防火墻的重要功能。⑥ 安全管理工具不斷完善，特別是可以活動(dòng)的日志分析工具等將成為防火墻產(chǎn)品中的一部分另外值得一提的是，伴隨著防火墻技術(shù)的不斷發(fā)展，人們選擇防火墻的標(biāo)準(zhǔn)將主要集中在易于管理、應(yīng)用透明性、鑒別與加密功能、操作環(huán)境和硬件要求、VPN的功能與CA的功能、接口的數(shù)量、成本的幾個(gè)方面。網(wǎng)絡(luò)已經(jīng)成為了人類所構(gòu)建的最豐富多彩的虛擬世界，網(wǎng)絡(luò)的迅速發(fā)展，給我們的工作和學(xué)習(xí)生活帶來(lái)了巨大的改變。我們通過(guò)網(wǎng)絡(luò)獲得信息，共享資源。如今，Internet遍布世界任何一個(gè)角落，并且歡迎任何一個(gè)人加入其中，相互交流。隨著網(wǎng)絡(luò)的延伸，安全問(wèn)題受到人們?cè)絹?lái)越多的關(guān)注。在網(wǎng)絡(luò)日益復(fù)雜化，多樣化的今天，如何保護(hù)各類網(wǎng)絡(luò)和應(yīng)用的安全，如何保護(hù)信息安全，成為了本文討論的重點(diǎn)。幾乎所有接觸網(wǎng)絡(luò)的人都知道網(wǎng)絡(luò)中有一些費(fèi)盡心機(jī)闖入他人計(jì)算機(jī)系統(tǒng)的人，他們利用各種網(wǎng)絡(luò)和系統(tǒng)漏洞，非法獲取未授權(quán)的訪問(wèn)信息。不幸的是如今攻擊網(wǎng)絡(luò)系統(tǒng)和竊取信息已經(jīng)不需要什么高深的技巧。網(wǎng)絡(luò)中有大量的攻擊工具和攻擊文章等資源，可以任意使用和共享。不需要去了解那些攻擊程序是如何運(yùn)行的，只需要簡(jiǎn)單的執(zhí)行就可以給網(wǎng)絡(luò)造成巨大的威脅，甚至部分程序不需要認(rèn)為的參與，非常智能化的掃描和破壞整個(gè)網(wǎng)絡(luò)。這種情況使得近幾年的攻擊頻率和密度顯著增長(zhǎng)，給網(wǎng)絡(luò)安全帶來(lái)越來(lái)越多的安全隱患。結(jié)束語(yǔ)在lnternet迅速的發(fā)展，網(wǎng)絡(luò)安全的問(wèn)題越來(lái)越得到重視。防火墻的技術(shù)也引起了各方面的廣泛關(guān)注。我們國(guó)家除了自行開(kāi)展了對(duì)防火墻的研究，使得更快網(wǎng)絡(luò)方面的信息，防火墻能保護(hù)網(wǎng)絡(luò)安全，但并不是絕對(duì)安全的。防火墻還處于發(fā)展階段，仍須許多問(wèn)題解決。感謝肖丹丹老師指引我們的論文的寫作的方向和架構(gòu)，并對(duì)本論文初稿進(jìn)行逐字批閱，指正出其中誤謬之處，使我們有了思考的方向。在此，謹(jǐn)向肖老師表示崇高的敬意和衷心的感謝！謝謝肖老師在我們撰寫論文的過(guò)程中給與我的極大地幫助。 通過(guò)此次的論文，我們學(xué)到了很多知識(shí)，跨越了傳統(tǒng)方式下的教與學(xué)的體制束縛，在論文的寫作過(guò)程中，通過(guò)查資料和搜集有關(guān)的文獻(xiàn)，培養(yǎng)了自學(xué)能力和動(dòng)手能力。并且由原先的被動(dòng)的接受知識(shí)轉(zhuǎn)換為主動(dòng)的尋求知識(shí)，這可以說(shuō)是學(xué)習(xí)方法上的一個(gè)很大的突破。在以往的傳統(tǒng)的學(xué)習(xí)模式下，我們可能會(huì)記住很多的書本知識(shí)，但是通過(guò)畢業(yè)論文，我們學(xué)會(huì)了如何將學(xué)到的知識(shí)轉(zhuǎn)化為自己的東西，學(xué)會(huì)了怎么更好的處理知識(shí)和實(shí)踐相結(jié)合的問(wèn)題。 總之，此次論文的寫作過(guò)程，我們收獲了很多，即為大學(xué)三年劃上了一個(gè)完美的句號(hào)，也為將來(lái)的人生之路做好了一個(gè)很好的鋪墊。 參考文獻(xiàn)[1]宋紅，吳建軍《計(jì)算機(jī)安全技術(shù)(修訂版)》中國(guó)鐵道出版社2008年8月.[2]陳斌 等譯《網(wǎng)絡(luò)設(shè)計(jì)》電子工業(yè)出版社2005年9月.[3]朱雁輝《WLNDOWS防火墻與網(wǎng)絡(luò)技術(shù)》電子工業(yè)出版社2002年4月.[4]常紅等《網(wǎng)絡(luò)安全技術(shù)與反黑客》冶金工業(yè)出版社2001年6月.[5]袁家政《計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用技術(shù)》清華大學(xué)出版社2002年5月.[6]胡道元《計(jì)算機(jī)網(wǎng)絡(luò)》清華大學(xué)出版社1999年1月.[7]刑 鈞《網(wǎng)絡(luò)安全與防火墻技術(shù)》電子科技大學(xué)出版社2004年3月.[8]謝希仁《計(jì)算機(jī)網(wǎng)絡(luò)工程基礎(chǔ)》電子工業(yè)出版社2002年5月.[9]石彥杰《計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)集成技術(shù)》高等教育出版社2006年2月.[10]馬 程《防火墻在網(wǎng)絡(luò)安全中的應(yīng)用》甘肅科技2007年4月.[11]楚 狂《網(wǎng)絡(luò)安全與Firewall技術(shù)》人民郵電出版社. [12] 《網(wǎng)絡(luò)安全技術(shù)白皮書》艾邦公司資料.[13]嚴(yán) 明《多媒體技術(shù)應(yīng)用基礎(chǔ)》華中科技大學(xué)出版社，2004． [14]朱理森，張守連《計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)》專利文獻(xiàn)出版社，2001. 25