【正文】 。 在構造防火墻體系時，一般很少使用單一的技術，通常都是多種解決方案的組合。這種組合主要取決于網(wǎng)管中心向用戶提供什么服務，以及網(wǎng)管中心能接受什么等級的風險。還要看投資經(jīng)費、投資大小、技術人員的水平和時間等問題。一般包括下面幾種形式： （一）使用多個堡壘主機 （二）合并內部路由器和外部路由器 （三）合并堡壘主機和外部路由器 （四）合并堡壘主機和內部路由器 （五）使用多個內部路由器 （六）使用多個外部路由器 （七）使用多個周邊網(wǎng)絡 （八）使用雙宿主主機與屏蔽子網(wǎng)第四章 防火墻的配置 硬件連接與實施一般來說硬件防火墻和路由交換設備一樣具備多個以太接口，速度根據(jù)檔次與價格不同而在百兆與千兆之間有所區(qū)別。()對于中小企業(yè)來說一般出口帶寬都在100M以內，所以我們選擇100M相關產(chǎn)品即可。網(wǎng)絡拓撲圖中防火墻的位置很關鍵，一般介于內網(wǎng)與外網(wǎng)互連中間區(qū)域，針對外網(wǎng)訪問數(shù)據(jù)進行過濾和監(jiān)控。如果防火墻上有WAN接口，那么直接將WAN接口連接外網(wǎng)即可，如果所有接口都標記為LAN接口，那么按照常規(guī)標準選擇最后一個LAN接口作為外網(wǎng)連接端口。相應的其他LAN接口連接內網(wǎng)各個網(wǎng)絡設備。 防火墻的特色配置從外觀上看防火墻和傳統(tǒng)的路由器交換機沒有太大的差別，一部分防火墻具備CONSOLE接口通過超級終端的方式初始化配置，而另外一部分則直接通過默認的LAN接口和管理地址訪問進行配置?！　∨c路由器交換機不同的是在防火墻配置中我們需要劃分多個不同權限不同優(yōu)先級別的區(qū)域，另外還需要針對相應接口隸屬的區(qū)域進行配置，例如1接口劃分到A區(qū)域，2接口劃分到B區(qū)域等等，通過不同區(qū)域的訪問權限差別來實現(xiàn)防火墻保護功能。默認情況下防火墻會自動建立trust信任區(qū)，untrust非信任區(qū)，DMZ堡壘主機區(qū)以及LOCAL本地區(qū)域。相應的本地區(qū)域優(yōu)先級最高，其次是trust信任區(qū)，DMZ堡壘主機區(qū)，最低的是untrust非信任區(qū)域?！　≡趯嶋H設置時我們必須將端口劃分到某區(qū)域后才能對其進行各個訪問操作，否則默認將阻止對該接口的任何數(shù)據(jù)通訊?！　〕酥夥阑饓Φ钠渌嚓P配置與路由交換設備差不多，無外乎通過超級終端下的命令行參數(shù)進行配置或者通過WEB管理界面配置。 軟件的配置與實施以H3C的F100防火墻為例，當企業(yè)外網(wǎng)IP地址固定并通過光纖連接的具體配置。首先當企業(yè)外網(wǎng)出口指定IP時配置防火墻參數(shù)。選擇接口四連接外網(wǎng)，接口一連接內網(wǎng)。 。第一步：通過CONSOLE接口以及本機的超級終端連接F100防火墻，執(zhí)行system命令進入配置模式。第二步：通過firewall packet default permit設置默認的防火墻策略為“容許通過”?！　〉谌剑?，命令為　　int e0/4　　ip add 　　第四步：進入接口一設置其IP地址為內網(wǎng)地址， ，命令為　　int e0/1　　ip add 　　第五步：將兩個接口加入到不同的區(qū)域，外網(wǎng)接口配置到非信任區(qū)untrust，內網(wǎng)接口加入到信任區(qū)trust——　　fire zone untrust　　add int e0/4　　fire zone trust　　add int e0/1　　第六步：由于防火墻運行基本是通過NAT來實現(xiàn)，各個保護工作也是基于此功能實現(xiàn)的，所以還需要針對防火墻的NAT信息進行設置，首先添加一個訪問控制列表——　　acl num 2000　　rule per source 　　rule deny　　第七步：接下來將這個訪問控制列表應用到外網(wǎng)接口通過啟用NAT——　　int e0/4　　nat outbound 2000　　第八步：最后添加路由信息，設置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或外網(wǎng)電信下一跳地址——　　ip routestatic (如圖2)執(zhí)行save命令保存退出后就可以在企業(yè)外網(wǎng)出口指定IP時實現(xiàn)防火墻數(shù)據(jù)轉發(fā)以及安全保護功能了。第五章 防火墻發(fā)展趨勢針對傳統(tǒng)防火墻不能解決的問題，及新的網(wǎng)絡攻擊的出現(xiàn)，防火墻技術也出現(xiàn)了新的發(fā)展趨勢。主要可以從包過濾技術、防火墻體系結構和防火墻系統(tǒng)管理三方面來體現(xiàn)。(1)安全策略功能一些防火墻廠商把在AAA系統(tǒng)上運用的用戶認證及其服務擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡應用中非常必要。具有用戶身份驗證的防火墻通常是采用應用級網(wǎng)關技術的，包過濾技術的防火墻不具有。用戶身份驗證功能越強，它的安全級別越高，但它給網(wǎng)絡通信帶來的負面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。(2)多級過濾技術所謂多級過濾技術，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾(網(wǎng)絡層)一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應用網(wǎng)關(應用層)一級，能利用FTP、SMTP等各種網(wǎng)關，控制和監(jiān)測Internet提供的所用通用服務。這是針對以上各種已有防火墻技術的不足而產(chǎn)生的一種綜合型過濾技術，它可以彌補以上各種單獨過濾技術的不足。這種過濾技術在分層上非常清楚，每種過濾技術對應于不同的網(wǎng)絡層，從這個概念出發(fā)，又有很多內容可以擴展，為將來的防火墻技術發(fā)展打下基礎。(3)功能擴展功能擴展是指一種集成多種功能的設計趨勢，包括VPN、AAA、PKI、IPSec等附加功能，甚至防病毒、入侵檢測這樣的主流功能，都被集成到防火墻產(chǎn)品中了，很多時候我們已經(jīng)無法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個功能為主了，即其已經(jīng)逐漸向我們普遍稱之為IPS（入侵防御系統(tǒng)）的產(chǎn)品轉化了。有些防火墻集成了防病毒功能，通常被稱之為“病毒防火墻”，當然目前主要還是在個人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)。這種防火墻技術可以有效地防止病毒在網(wǎng)絡中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護功能的防火墻可以大大減少公司的損失。隨著網(wǎng)絡應用的增加，對網(wǎng)絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應用將會越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡處理器的防火墻。從執(zhí)行速度的角度看來，基于網(wǎng)絡處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務的引擎，從而減輕了CPU的負擔，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡處理器的防火墻具有軟件色彩，因而更加具有靈活性。基于ASIC的防火墻使用專門的硬件處理網(wǎng)絡數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。(1)集中式管理，分布式和分層的安全結構。(2)強大的審計功能和自動日志分析功能。(3)網(wǎng)絡安全產(chǎn)品的系統(tǒng)化縱觀防火墻技術的發(fā)展，黑客入侵系統(tǒng)技術的不斷進步以及網(wǎng)絡病毒朝智能化和多樣化發(fā)展，對防火墻技術的同步發(fā)展提出了更高的要求。防火墻技術只有不斷向主動型和智能型等方向發(fā)展，才能更好的滿足人們對防火墻技術日益增長的需求。結束語不積跬步何以至千里，本設計能夠順利的完成，也歸功于各位任課老師的認真負責，使我能夠很好的掌握和運用專業(yè)知識，并在設計中得以體現(xiàn)。正是有了他們的悉心幫助和支持，才使我的畢業(yè)論文工作順利完成，在此向安徽水利水電職業(yè)技術學院，電子信息工程系計算機網(wǎng)絡系統(tǒng)的全體老師表示由衷的謝意。感謝他們四年來的辛勤栽培。參考文獻[1] [J].，(s):79一82.[2] [M].，23(6):311一312.[3] 孟濤、[M].，(4):17一18.[4] [Z]. .[5] ，20(l):57一62[6] 李劍，劉美華，2(l):59一61[7] 王衛(wèi)平，陳文惠，(8):24一27[8] 付歌，30(6):76一78[9] 付歌，楊明福，(8):63一65[10] 〕韓曉非，王學光，29(5):504一508[11] 韓曉非，楊明福，(29):188一192[12] 馮東雷，張勇，40(3):387一392致謝從論文選題到搜集資料，從寫稿到反復修改，期間經(jīng)歷了喜悅、聒噪、痛苦和彷徨，在寫作論文的過程中心情是如此復雜。如今，伴隨著這篇畢業(yè)論文的最終成稿，復雜的心情煙消云散，自己甚至還有一點成就感。那種感覺就宛如在一場盛大的頒獎晚會上，我在晚會現(xiàn)場看著其他人一個接著一個上臺領獎，自己卻始終未能被念到名字，經(jīng)過了很長很長的時間后，終于有位嘉賓高喊我的大名，這時我忘記了先前漫長的無聊的等待時間，欣喜萬分地走向舞臺，然后迫不及待地開始抒發(fā)自己的心情，發(fā)表自己的感想。這篇畢業(yè)論文的就是我的舞臺，以下的言語便是有點成就感后在舞臺上發(fā)表的發(fā)自肺腑的誠摯謝意與感想：感謝培養(yǎng)教育我的安徽水利水電職業(yè)技術學院，學院濃厚的學術氛圍，舒適的學習環(huán)境我將終生難忘！祝母校蒸蒸日上，永創(chuàng)輝煌！祝校長財源滾滾，仕途順利！感謝對我傾囊賜教、鞭策鼓勵的安徽水利水電職業(yè)技術學院電子信息工程系諸位師長，諸位恩師的諄諄訓誨我將銘記在心。祝恩師們身體健康，家庭幸福！感謝論文中引文的原作者，他們都是計算機界的名師大家，大師風范，高山仰止。祝他們壽域無疆，德業(yè)永輝！感謝同窗好友龔帥、王康、康健、卞華林、陶趙偉等以及更多我無法逐一列出名字的朋友，他們和我共同度過了四年美好難忘的大學時光，我非常珍視和他們的友誼！祝他們前程似錦，事業(yè)有成！家有嬌妻，外有二房！最最感謝生我養(yǎng)我的父母，他們給予了我最無私的愛，為我的成長付出了許多許多，焉得諼草，言樹之背，養(yǎng)育之恩，無以回報，惟愿他們健康長壽！感謝我以最大的毅力完成了四年大學學習，在這個環(huán)境里我能潔身自愛，出淤泥而不染保持一顆純潔的心，真的是很不容易！祝自己身體健康，權財兩旺！家里紅旗不倒，外面彩旗飄飄