【正文】 。 在構(gòu)造防火墻體系時(shí)，一般很少使用單一的技術(shù)，通常都是多種解決方案的組合。這種組合主要取決于網(wǎng)管中心向用戶提供什么服務(wù)，以及網(wǎng)管中心能接受什么等級(jí)的風(fēng)險(xiǎn)。還要看投資經(jīng)費(fèi)、投資大小、技術(shù)人員的水平和時(shí)間等問(wèn)題。一般包括下面幾種形式： （一）使用多個(gè)堡壘主機(jī) （二）合并內(nèi)部路由器和外部路由器 （三）合并堡壘主機(jī)和外部路由器 （四）合并堡壘主機(jī)和內(nèi)部路由器 （五）使用多個(gè)內(nèi)部路由器 （六）使用多個(gè)外部路由器 （七）使用多個(gè)周邊網(wǎng)絡(luò) （八）使用雙宿主主機(jī)與屏蔽子網(wǎng)第四章 防火墻的配置 硬件連接與實(shí)施一般來(lái)說(shuō)硬件防火墻和路由交換設(shè)備一樣具備多個(gè)以太接口，速度根據(jù)檔次與價(jià)格不同而在百兆與千兆之間有所區(qū)別。()對(duì)于中小企業(yè)來(lái)說(shuō)一般出口帶寬都在100M以內(nèi)，所以我們選擇100M相關(guān)產(chǎn)品即可。網(wǎng)絡(luò)拓?fù)鋱D中防火墻的位置很關(guān)鍵，一般介于內(nèi)網(wǎng)與外網(wǎng)互連中間區(qū)域，針對(duì)外網(wǎng)訪問(wèn)數(shù)據(jù)進(jìn)行過(guò)濾和監(jiān)控。如果防火墻上有WAN接口，那么直接將WAN接口連接外網(wǎng)即可，如果所有接口都標(biāo)記為L(zhǎng)AN接口，那么按照常規(guī)標(biāo)準(zhǔn)選擇最后一個(gè)LAN接口作為外網(wǎng)連接端口。相應(yīng)的其他LAN接口連接內(nèi)網(wǎng)各個(gè)網(wǎng)絡(luò)設(shè)備。 防火墻的特色配置從外觀上看防火墻和傳統(tǒng)的路由器交換機(jī)沒(méi)有太大的差別，一部分防火墻具備CONSOLE接口通過(guò)超級(jí)終端的方式初始化配置，而另外一部分則直接通過(guò)默認(rèn)的LAN接口和管理地址訪問(wèn)進(jìn)行配置?！　∨c路由器交換機(jī)不同的是在防火墻配置中我們需要?jiǎng)澐侄鄠€(gè)不同權(quán)限不同優(yōu)先級(jí)別的區(qū)域，另外還需要針對(duì)相應(yīng)接口隸屬的區(qū)域進(jìn)行配置，例如1接口劃分到A區(qū)域，2接口劃分到B區(qū)域等等，通過(guò)不同區(qū)域的訪問(wèn)權(quán)限差別來(lái)實(shí)現(xiàn)防火墻保護(hù)功能。默認(rèn)情況下防火墻會(huì)自動(dòng)建立trust信任區(qū)，untrust非信任區(qū)，DMZ堡壘主機(jī)區(qū)以及LOCAL本地區(qū)域。相應(yīng)的本地區(qū)域優(yōu)先級(jí)最高，其次是trust信任區(qū)，DMZ堡壘主機(jī)區(qū)，最低的是untrust非信任區(qū)域?！　≡趯?shí)際設(shè)置時(shí)我們必須將端口劃分到某區(qū)域后才能對(duì)其進(jìn)行各個(gè)訪問(wèn)操作，否則默認(rèn)將阻止對(duì)該接口的任何數(shù)據(jù)通訊。　　除此之外防火墻的其他相關(guān)配置與路由交換設(shè)備差不多，無(wú)外乎通過(guò)超級(jí)終端下的命令行參數(shù)進(jìn)行配置或者通過(guò)WEB管理界面配置。 軟件的配置與實(shí)施以H3C的F100防火墻為例，當(dāng)企業(yè)外網(wǎng)IP地址固定并通過(guò)光纖連接的具體配置。首先當(dāng)企業(yè)外網(wǎng)出口指定IP時(shí)配置防火墻參數(shù)。選擇接口四連接外網(wǎng)，接口一連接內(nèi)網(wǎng)。 。第一步：通過(guò)CONSOLE接口以及本機(jī)的超級(jí)終端連接F100防火墻，執(zhí)行system命令進(jìn)入配置模式。第二步：通過(guò)firewall packet default permit設(shè)置默認(rèn)的防火墻策略為“容許通過(guò)”。　　第三步：，命令為　　int e0/4　　ip add 　　第四步：進(jìn)入接口一設(shè)置其IP地址為內(nèi)網(wǎng)地址， ，命令為　　int e0/1　　ip add 　　第五步：將兩個(gè)接口加入到不同的區(qū)域，外網(wǎng)接口配置到非信任區(qū)untrust，內(nèi)網(wǎng)接口加入到信任區(qū)trust——　　fire zone untrust　　add int e0/4　　fire zone trust　　add int e0/1　　第六步：由于防火墻運(yùn)行基本是通過(guò)NAT來(lái)實(shí)現(xiàn)，各個(gè)保護(hù)工作也是基于此功能實(shí)現(xiàn)的，所以還需要針對(duì)防火墻的NAT信息進(jìn)行設(shè)置，首先添加一個(gè)訪問(wèn)控制列表——　　acl num 2000　　rule per source 　　rule deny　　第七步：接下來(lái)將這個(gè)訪問(wèn)控制列表應(yīng)用到外網(wǎng)接口通過(guò)啟用NAT——　　int e0/4　　nat outbound 2000　　第八步：最后添加路由信息，設(shè)置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或外網(wǎng)電信下一跳地址——　　ip routestatic (如圖2)執(zhí)行save命令保存退出后就可以在企業(yè)外網(wǎng)出口指定IP時(shí)實(shí)現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)以及安全保護(hù)功能了。第五章 防火墻發(fā)展趨勢(shì)針對(duì)傳統(tǒng)防火墻不能解決的問(wèn)題，及新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也出現(xiàn)了新的發(fā)展趨勢(shì)。主要可以從包過(guò)濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來(lái)體現(xiàn)。(1)安全策略功能一些防火墻廠商把在AAA系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無(wú)線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗(yàn)證的防火墻通常是采用應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)的，包過(guò)濾技術(shù)的防火墻不具有。用戶身份驗(yàn)證功能越強(qiáng)，它的安全級(jí)別越高，但它給網(wǎng)絡(luò)通信帶來(lái)的負(fù)面影響也越大，因?yàn)橛脩羯矸蒡?yàn)證需要時(shí)間，特別是加密型的用戶身份驗(yàn)證。(2)多級(jí)過(guò)濾技術(shù)所謂多級(jí)過(guò)濾技術(shù)，是指防火墻采用多級(jí)過(guò)濾措施，并輔以鑒別手段。在分組過(guò)濾(網(wǎng)絡(luò)層)一級(jí)，過(guò)濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級(jí)，遵循過(guò)濾規(guī)則，過(guò)濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹(shù)包等；在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供的所用通用服務(wù)。這是針對(duì)以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過(guò)濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過(guò)濾技術(shù)的不足。這種過(guò)濾技術(shù)在分層上非常清楚，每種過(guò)濾技術(shù)對(duì)應(yīng)于不同的網(wǎng)絡(luò)層，從這個(gè)概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來(lái)的防火墻技術(shù)發(fā)展打下基礎(chǔ)。(3)功能擴(kuò)展功能擴(kuò)展是指一種集成多種功能的設(shè)計(jì)趨勢(shì)，包括VPN、AAA、PKI、IPSec等附加功能，甚至防病毒、入侵檢測(cè)這樣的主流功能，都被集成到防火墻產(chǎn)品中了，很多時(shí)候我們已經(jīng)無(wú)法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個(gè)功能為主了，即其已經(jīng)逐漸向我們普遍稱之為IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。有些防火墻集成了防病毒功能，通常被稱之為“病毒防火墻”，當(dāng)然目前主要還是在個(gè)人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问剑菀讓?shí)現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護(hù)功能的防火墻可以大大減少公司的損失。隨著網(wǎng)絡(luò)應(yīng)用的增加，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會(huì)越來(lái)越普遍，它要求數(shù)據(jù)穿過(guò)防火墻所帶來(lái)的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開(kāi)發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來(lái)，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類(lèi)防火墻中有一些專門(mén)用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類(lèi)防火墻的性能要比傳統(tǒng)防火墻的性能好許多。與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性?；贏SIC的防火墻使用專門(mén)的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類(lèi)型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時(shí)滿足來(lái)自靈活性和運(yùn)行性能的要求。(1)集中式管理，分布式和分層的安全結(jié)構(gòu)。(2)強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能。(3)網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化縱觀防火墻技術(shù)的發(fā)展，黑客入侵系統(tǒng)技術(shù)的不斷進(jìn)步以及網(wǎng)絡(luò)病毒朝智能化和多樣化發(fā)展，對(duì)防火墻技術(shù)的同步發(fā)展提出了更高的要求。防火墻技術(shù)只有不斷向主動(dòng)型和智能型等方向發(fā)展，才能更好的滿足人們對(duì)防火墻技術(shù)日益增長(zhǎng)的需求。結(jié)束語(yǔ)不積跬步何以至千里，本設(shè)計(jì)能夠順利的完成，也歸功于各位任課老師的認(rèn)真負(fù)責(zé)，使我能夠很好的掌握和運(yùn)用專業(yè)知識(shí)，并在設(shè)計(jì)中得以體現(xiàn)。正是有了他們的悉心幫助和支持，才使我的畢業(yè)論文工作順利完成，在此向安徽水利水電職業(yè)技術(shù)學(xué)院，電子信息工程系計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的全體老師表示由衷的謝意。感謝他們四年來(lái)的辛勤栽培。參考文獻(xiàn)[1] [J].，(s):79一82.[2] [M].，23(6):311一312.[3] 孟濤、[M].，(4):17一18.[4] [Z]. .[5] ，20(l):57一62[6] 李劍，劉美華，2(l):59一61[7] 王衛(wèi)平，陳文惠，(8):24一27[8] 付歌，30(6):76一78[9] 付歌，楊明福，(8):63一65[10] 〕韓曉非，王學(xué)光，29(5):504一508[11] 韓曉非，楊明福，(29):188一192[12] 馮東雷，張勇，40(3):387一392致謝從論文選題到搜集資料，從寫(xiě)稿到反復(fù)修改，期間經(jīng)歷了喜悅、聒噪、痛苦和彷徨，在寫(xiě)作論文的過(guò)程中心情是如此復(fù)雜。如今，伴隨著這篇畢業(yè)論文的最終成稿，復(fù)雜的心情煙消云散，自己甚至還有一點(diǎn)成就感。那種感覺(jué)就宛如在一場(chǎng)盛大的頒獎(jiǎng)晚會(huì)上，我在晚會(huì)現(xiàn)場(chǎng)看著其他人一個(gè)接著一個(gè)上臺(tái)領(lǐng)獎(jiǎng)，自己卻始終未能被念到名字，經(jīng)過(guò)了很長(zhǎng)很長(zhǎng)的時(shí)間后，終于有位嘉賓高喊我的大名，這時(shí)我忘記了先前漫長(zhǎng)的無(wú)聊的等待時(shí)間，欣喜萬(wàn)分地走向舞臺(tái)，然后迫不及待地開(kāi)始抒發(fā)自己的心情，發(fā)表自己的感想。這篇畢業(yè)論文的就是我的舞臺(tái)，以下的言語(yǔ)便是有點(diǎn)成就感后在舞臺(tái)上發(fā)表的發(fā)自肺腑的誠(chéng)摯謝意與感想：感謝培養(yǎng)教育我的安徽水利水電職業(yè)技術(shù)學(xué)院，學(xué)院濃厚的學(xué)術(shù)氛圍，舒適的學(xué)習(xí)環(huán)境我將終生難忘！祝母校蒸蒸日上，永創(chuàng)輝煌！祝校長(zhǎng)財(cái)源滾滾，仕途順利！感謝對(duì)我傾囊賜教、鞭策鼓勵(lì)的安徽水利水電職業(yè)技術(shù)學(xué)院電子信息工程系諸位師長(zhǎng)，諸位恩師的諄諄訓(xùn)誨我將銘記在心。祝恩師們身體健康，家庭幸福！感謝論文中引文的原作者，他們都是計(jì)算機(jī)界的名師大家，大師風(fēng)范，高山仰止。祝他們壽域無(wú)疆，德業(yè)永輝！感謝同窗好友龔帥、王康、康健、卞華林、陶趙偉等以及更多我無(wú)法逐一列出名字的朋友，他們和我共同度過(guò)了四年美好難忘的大學(xué)時(shí)光，我非常珍視和他們的友誼！祝他們前程似錦，事業(yè)有成！家有嬌妻，外有二房！最最感謝生我養(yǎng)我的父母，他們給予了我最無(wú)私的愛(ài)，為我的成長(zhǎng)付出了許多許多，焉得諼草，言樹(shù)之背，養(yǎng)育之恩，無(wú)以回報(bào)，惟愿他們健康長(zhǎng)壽！感謝我以最大的毅力完成了四年大學(xué)學(xué)習(xí)，在這個(gè)環(huán)境里我能潔身自愛(ài)，出淤泥而不染保持一顆純潔的心，真的是很不容易！祝自己身體健康，權(quán)財(cái)兩旺！家里紅旗不倒，外面彩旗飄飄