【正文】 的一些服務或協議，注意rsh服務是不能改變端口號的names //解析本地主機名到ip地址，在配置中可以用名字代替ip地址，當前沒有設置，所以列表為空pager lines 24 //每24行一分頁interface ethernet0 autointerface ethernet1 auto // 設置兩個網卡的類型為自適應mtu outside 1500 mtu inside 1500 //以太網標準的MTU長度為1500字節(jié)ip address outside ip address inside //，ip audit info action alarm ip audit attack action alarm //pix入侵檢測的2個命令。當有數據包具有攻擊或報告型特征碼時，pix將采取報警動作(缺省動作)，向指定的日志記錄主機產生系統(tǒng)日志消 息；此外還可以作出丟棄數據包和發(fā)出tcp連接復位信號等動作，需另外配置。pdm history enable //PIX設備管理器可以圖形化的監(jiān)視PIX arp timeout 14400 // arp表的超時時間global (outside) 1 // 如果你訪問外部論壇或用聊天等等，上面顯示的ip就是這個nat (inside) 1 0 0static(inside, outside) netmask 0 0 conduit permit icmp any anyconduit permit tcp host eq any conduit permit udp host eq domain any //，而且只允許外部用戶訪問domain的udp端口route outside 1 //timeout xlate 3:00:00 //某個內部設備向外部發(fā)出的ip包經過翻譯(global)后，在缺省3個小時之后此數據包若沒有活動，此前創(chuàng)建的表項將從翻譯表中刪除，釋放該設備占用的全局地址timeout conn 1:00:00 halfclosed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00timeout uauth 0:05:00 absolute //AAA認證的超時時間，absolute表示連續(xù)運行uauth定時器，用戶超時后，將強制重新認證aaaserver TACACS+ protocol tacacs+ aaaserver RADIUS protocol radius //AAA服務器的兩種協議。AAA是指認證，授權，審計。Pix防火墻可以通過AAA服務器增加內部網絡的安全no snmpserver location no snmpserver contact snmpserver munity public //由于沒有設置snmp工作站，也就沒有snmp工作站的位置和聯系人no snmpserver enable traps //發(fā)送snmp陷阱 floodguard enable //防止有人偽造大量認證請求，將pix的AAA資源用完no sysopt route dnat telnet timeout 5 ssh timeout 5 //使用ssh訪問pix的超時時間terminal width 80 Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7 PIX525PIX525write memory // 將配置保存上面這個配置實例需要說明一下，pix防火墻直接擺在了與internet接口處，此處網絡環(huán)境有十幾個公ip,可能會有朋友問如果我的公有ip很有限怎么辦？你可以添加router放在pix的前面，或者global使用單一ip地址，和外部接口的ip地址相同即可。另外有幾個維護命令也很有用,show interface查看端口狀態(tài)，show static查看靜態(tài)地址映射，show ip查看接口ip地址， ping outside | inside ip_address確定連通性。五 防火墻的未來發(fā)展(一) 防火墻發(fā)展趨勢1．優(yōu)良的性能新一代的防火墻系統(tǒng)不僅應該能夠更好的保護防火墻后面內部網絡的安全，而且應該具有更為優(yōu)良的整體性能。傳統(tǒng)的代理型防火墻雖然可以提供較高級別的安全保護，但是同時成為限制網絡寬帶的瓶頸，這極大的制約了在網絡中的實際應用。數據通過率是表示防火墻性能的參數，由于不同防火墻的不同功能有不同的工作量和系統(tǒng)資源要求，因此數據在通過防火墻時會產生延時。自然，數據通過率越高，防火墻性能越好。現在大多數的防火墻產品都支持NAT功能，它可以讓防火墻系統(tǒng)的性能有所影響。目前如何盡量減少這種影響也成為防火墻產品的賣點之一。另外防火墻系統(tǒng)中集成的VPN解決方案必須是真正的線速運行，否則將成為網絡通信的瓶頸。對于一個好的防火墻系統(tǒng)而言，它的規(guī)模和功能應該能夠適應內部網絡的規(guī)模和安全策略的變化。選擇哪種防火墻，除了應該考慮它的基本形象之外，毫無疑問，還應該考慮用戶的實際需求與未來網絡的升級。未來的防火墻系統(tǒng)應是一個可隨意伸縮的模塊化解決方案，從最為基本的包過濾器到帶加密功能的VPN型報過濾器，直至一個獨立的應用網關，使用戶有充分的余地構建自己所需要的防火墻體系。防火墻的卻可以幫助管理員加強內部網的安全性。一個不具體實施任何安全策略的防火墻無異于高級擺設。防火墻產品配置和管理的難易程度是防火墻能否達到目的的主要考慮因素之一。實踐證明許多防火墻產品并未起到預期作用的一個不容忽視的原因在于配置和實現上的錯誤。同時，若防火墻的管理過于困難，則可能會造成設定上的錯誤，反而不能達到其功能。因此未來的防火墻將具有非常易于安裝和易于管理的基礎。盡管在基于NT的防火墻通常落后于基于Unix的防火墻，但NT平臺的簡單性以及它方便的可用性大大推動了基于NT的防火墻的銷售。防火墻開放商通過建立功能強大的Web代理對中這種需要作出了回應。例如，許多防火墻具有內置病毒和內容掃描功能或允許用戶與病毒與內容掃描程序進行集成。今天許多防火墻都包括對過濾產品的支持，并可以與第三方過濾服務連接，這些服務提供了不受歡迎Internet站點的分類清單。防火墻還在他們的Web代理中包括時間限制功能，允許非工作時間的沖浪和登陸，并提供沖浪活動的報告。盡管防火墻在防止不良分子進入上發(fā)揮了很好的作用，但TCP/IP協議套件中存在的脆弱性使Internet對拒絕服務攻擊敞開了大門。在拒絕服務攻擊中，攻擊者試圖使企業(yè)Internet服務飽和或使與它連接的系統(tǒng)崩潰，使Internet無法供企業(yè)使用。防火墻市場已經對此做出了反應。雖然沒有防火墻可以防止所有的拒絕服務攻擊，但防火墻廠商一直在近期可能阻止拒絕服務攻擊。像序列號預測和IP欺騙這類簡單攻擊，這些年來已經成為了防火墻工具箱的一部分。像SYN泛濫這類更復雜的拒絕服務攻擊需要廠商部署更先進的檢測和避免方案來應付。SYN泛濫可以鎖死Web和郵件服務，這樣沒有數據流可以進入。(二) 防火墻的反戰(zhàn)前景及技術方向伴隨著Internet的飛速發(fā)展，防火墻技術與產品的更新步伐必然會加強，而要全面展望防火墻技術的發(fā)展幾乎是不可能的。但是，從產品及功能上，卻又可以看到一些動向和趨勢。下面幾點可能是下一步的走向和選擇：① 防火墻將從目前對子網或內部網管理的方式向遠程上網集中管理的方式發(fā)展。② 過濾深度會不斷加強，從目前的地址、服務過濾，發(fā)展到URL(頁面)過濾、關鍵字過濾和對ActiveX、Java等的過濾，并逐漸有病毒掃描功能。③ 利用防火墻建立專用網是較長一段時間哎用戶使用的主流，IP的加密需求越來越強，安全協議的開發(fā)是一大熱點。④ 單向防火墻(又叫做網絡二極管)將作為一種產品門類而出現。⑤ 對網絡攻擊的檢測和各種警告將成為防火墻的重要功能。⑥ 安全管理工具不斷完善，特別是可以活動的日志分析工具等將成為防火墻產品中的一部分另外值得一提的是，伴隨著防火墻技術的不斷發(fā)展，人們選擇防火墻的標準將主要集中在易于管理、應用透明性、鑒別與加密功能、操作環(huán)境和硬件要求、VPN的功能與CA的功能、接口的數量、成本的幾個方面。網絡已經成為了人類所構建的最豐富多彩的虛擬世界，網絡的迅速發(fā)展，給我們的工作和學習生活帶來了巨大的改變。我們通過網絡獲得信息，共享資源。如今，Internet遍布世界任何一個角落，并且歡迎任何一個人加入其中，相互交流。隨著網絡的延伸，安全問題受到人們越來越多的關注。在網絡日益復雜化，多樣化的今天，如何保護各類網絡和應用的安全，如何保護信息安全，成為了本文討論的重點。幾乎所有接觸網絡的人都知道網絡中有一些費盡心機闖入他人計算機系統(tǒng)的人，他們利用各種網絡和系統(tǒng)漏洞，非法獲取未授權的訪問信息。不幸的是如今攻擊網絡系統(tǒng)和竊取信息已經不需要什么高深的技巧。網絡中有大量的攻擊工具和攻擊文章等資源，可以任意使用和共享。不需要去了解那些攻擊程序是如何運行的，只需要簡單的執(zhí)行就可以給網絡造成巨大的威脅，甚至部分程序不需要認為的參與，非常智能化的掃描和破壞整個網絡。這種情況使得近幾年的攻擊頻率和密度顯著增長，給網絡安全帶來越來越多的安全隱患。結束語在lnternet迅速的發(fā)展，網絡安全的問題越來越得到重視。防火墻的技術也引起了各方面的廣泛關注。我們國家除了自行開展了對防火墻的研究，使得更快網絡方面的信息，防火墻能保護網絡安全，但并不是絕對安全的。防火墻還處于發(fā)展階段，仍須許多問題解決。感謝肖丹丹老師指引我們的論文的寫作的方向和架構，并對本論文初稿進行逐字批閱，指正出其中誤謬之處，使我們有了思考的方向。在此，謹向肖老師表示崇高的敬意和衷心的感謝！謝謝肖老師在我們撰寫論文的過程中給與我的極大地幫助。 通過此次的論文，我們學到了很多知識，跨越了傳統(tǒng)方式下的教與學的體制束縛，在論文的寫作過程中，通過查資料和搜集有關的文獻，培養(yǎng)了自學能力和動手能力。并且由原先的被動的接受知識轉換為主動的尋求知識，這可以說是學習方法上的一個很大的突破。在以往的傳統(tǒng)的學習模式下，我們可能會記住很多的書本知識，但是通過畢業(yè)論文，我們學會了如何將學到的知識轉化為自己的東西，學會了怎么更好的處理知識和實踐相結合的問題。 總之，此次論文的寫作過程，我們收獲了很多，即為大學三年劃上了一個完美的句號，也為將來的人生之路做好了一個很好的鋪墊。 參考文獻[1]宋紅，吳建軍《計算機安全技術(修訂版)》中國鐵道出版社2008年8月.[2]陳斌 等譯《網絡設計》電子工業(yè)出版社2005年9月.[3]朱雁輝《WLNDOWS防火墻與網絡技術》電子工業(yè)出版社2002年4月.[4]常紅等《網絡安全技術與反黑客》冶金工業(yè)出版社2001年6月.[5]袁家政《計算機網絡安全與應用技術》清華大學出版社2002年5月.[6]胡道元《計算機網絡》清華大學出版社1999年1月.[7]刑 鈞《網絡安全與防火墻技術》電子科技大學出版社2004年3月.[8]謝希仁《計算機網絡工程基礎》電子工業(yè)出版社2002年5月.[9]石彥杰《計算機網絡系統(tǒng)集成技術》高等教育出版社2006年2月.[10]馬 程《防火墻在網絡安全中的應用》甘肅科技2007年4月.[11]楚 狂《網絡安全與Firewall技術》人民郵電出版社. [12] 《網絡安全技術白皮書》艾邦公司資料.[13]嚴 明《多媒體技術應用基礎》華中科技大學出版社，2004． [14]朱理森，張守連《計算機網絡應用技術》專利文獻出版社，2001. 25