【導(dǎo)讀】究工作及取得的研究成果。據(jù)我所知，除文中已經(jīng)注明引用的內(nèi)容外，本論文（設(shè)計(jì)）不包含其他個(gè)人已經(jīng)發(fā)表或撰寫(xiě)過(guò)的研究成果。確說(shuō)明并表示謝意。計(jì)）的電子版和紙質(zhì)版。有權(quán)將論文（設(shè)計(jì)）用于非贏利目的的少量。復(fù)制并允許論文（設(shè)計(jì)）進(jìn)入學(xué)校圖書(shū)館被查閱。保密的論文（設(shè)計(jì)）在解密后適用本規(guī)。序清單等），文科類(lèi)論文正文字?jǐn)?shù)不少于萬(wàn)字。有圖紙應(yīng)符合國(guó)家技術(shù)標(biāo)準(zhǔn)規(guī)范。圖表整潔，布局合理，文字注釋必須使用。特網(wǎng)也面臨著空前的威脅。因此，如何使用有效可行的方法使網(wǎng)絡(luò)危。險(xiǎn)降到人們可接受的范圍之內(nèi)越來(lái)越受到人們的關(guān)注。范策略，首先取決于當(dāng)前系統(tǒng)的安全性。所以對(duì)網(wǎng)絡(luò)安全的各獨(dú)立元。直接關(guān)系到用戶(hù)的切身利益。術(shù)，通過(guò)對(duì)防火墻日志文件的分析，設(shè)計(jì)相應(yīng)的數(shù)學(xué)模型和軟件雛形，全風(fēng)險(xiǎn)評(píng)估，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。Keywords：NetworkSecurity，firewall，preventionStrategy，

　　

【正文】 機(jī)與屏蔽子網(wǎng) 第四章 防火墻的配置 硬件連接與實(shí)施 一般來(lái)說(shuō)硬件防火墻和路由交換設(shè)備一樣具備多個(gè)以太接口，速度根據(jù)檔次與價(jià)格不同而在百兆與千兆之間有所區(qū)別。 (如圖 ) 36 圖 對(duì)于中小企業(yè)來(lái) 說(shuō)一般出口帶寬都在 100M 以?xún)?nèi)，所以我們選擇100M 相關(guān)產(chǎn)品即可。網(wǎng)絡(luò)拓?fù)鋱D中防火墻的位置很關(guān)鍵，一般介于內(nèi)網(wǎng)與外網(wǎng)互連中間區(qū)域，針對(duì)外網(wǎng)訪問(wèn)數(shù)據(jù)進(jìn)行過(guò)濾和監(jiān)控。 如果防火墻上有 WAN 接口，那么直接將 WAN 接口連接外網(wǎng)即可，如果所有接口都標(biāo)記為 LAN 接口，那么按照常規(guī)標(biāo)準(zhǔn)選擇最后一個(gè) LAN 接口作為外網(wǎng)連接端口。相應(yīng)的其他 LAN 接口連接內(nèi)網(wǎng)各個(gè)網(wǎng)絡(luò)設(shè)備。 防火墻的特色配置 從外觀上看防火墻和傳統(tǒng)的路由器交換機(jī)沒(méi)有太大的差別，一部分防火墻具備 CONSOLE 接口通過(guò)超級(jí)終端的方式初始化配置，而另外一 部分則直接通過(guò)默認(rèn)的 LAN 接口和管理地址訪問(wèn)進(jìn)行配置。 與路由器交換機(jī)不同的是在防火墻配置中我們需要?jiǎng)澐侄鄠€(gè)不同權(quán)限不同優(yōu)先級(jí)別的區(qū)域，另外還需要針對(duì)相應(yīng)接口隸屬的區(qū)域進(jìn)行配置，例如 1 接口劃分到 A 區(qū)域， 2 接口劃分到 B 區(qū)域等等，通過(guò)不同區(qū)域的訪問(wèn)權(quán)限差別來(lái)實(shí)現(xiàn)防火墻保護(hù)功能。默認(rèn)情況下防火墻會(huì)自動(dòng)建立 trust 信任區(qū)， untrust 非信任區(qū)， DMZ 堡壘主機(jī)區(qū)以及LOCAL 本地區(qū)域。相應(yīng)的本地區(qū)域優(yōu)先級(jí)最高，其次是 trust 信任區(qū)，DMZ 堡壘主機(jī)區(qū)，最低的是 untrust 非信任區(qū)域。 37 在實(shí)際設(shè)置時(shí)我們必 須將端口劃分到某區(qū)域后才能對(duì)其進(jìn)行各個(gè)訪問(wèn)操作，否則默認(rèn)將阻止對(duì)該接口的任何數(shù)據(jù)通訊。 除此之外防火墻的其他相關(guān)配置與路由交換設(shè)備差不多，無(wú)外乎通過(guò)超級(jí)終端下的命令行參數(shù)進(jìn)行配置或者通過(guò) WEB 管理界面配置。 軟件的配置與實(shí)施 以 H3C 的 F100 防火墻為例 ， 當(dāng)企業(yè)外網(wǎng) IP 地址固定并通過(guò)光纖連接的具體配置。 首先當(dāng)企業(yè)外網(wǎng)出口指定 IP 時(shí)配置防火墻參數(shù)。選擇接口四連接外網(wǎng)，接口一連接內(nèi)網(wǎng)。這里假設(shè)電信提供的外網(wǎng) IP 地址為 。 第一步：通過(guò) CONSOLE 接口以及本機(jī)的超級(jí)終端連接 F100 防火墻，執(zhí)行 system 命令進(jìn)入配置模式。 第二步：通過(guò) firewall packet default permit 設(shè)置默認(rèn)的防火墻策略為 “ 容許通過(guò) ” 。 第三步：進(jìn)入接口四設(shè)置其 IP 地址為 ，命令為 int e0/4 ip add 第四步：進(jìn)入接口一設(shè)置其 IP 地址為內(nèi)網(wǎng)地址，例如 ，命令為 int e0/1 38 ip add 第五步：將兩個(gè)接口加入到不同的區(qū)域，外網(wǎng)接口配置到非信任區(qū) untrust，內(nèi)網(wǎng)接口加入到信任區(qū) trust—— fire zone untrust add int e0/4 fire zone trust add int e0/1 第六步：由于防火墻運(yùn)行基本是通過(guò) NAT 來(lái)實(shí)現(xiàn)，各個(gè)保護(hù)工作也是基于此功能實(shí)現(xiàn)的，所以還需要針對(duì)防火墻的 NAT 信息進(jìn)行設(shè)置，首先添加一個(gè)訪問(wèn)控制列表 —— acl num 20xx rule per source rule deny 第七步：接下來(lái)將這個(gè)訪問(wèn)控制列表應(yīng)用到外網(wǎng)接口通過(guò)啟用NAT—— int e0/4 nat outbound 20xx 第八步：最后添加路由信息，設(shè)置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或外網(wǎng)電信下一跳地址 —— ip routestatic (如圖 2) 39 執(zhí)行 save命令保存退出后就可以在企業(yè)外網(wǎng)出口指定 IP時(shí)實(shí)現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)以及安全保護(hù)功能 了。 第五章 防火墻發(fā)展趨勢(shì) 針對(duì)傳統(tǒng)防火墻不能解決的問(wèn)題，及新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也出現(xiàn)了新的發(fā)展趨勢(shì)。主要可以從包過(guò)濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來(lái)體現(xiàn)。 防火墻包過(guò)濾技術(shù)發(fā)展趨勢(shì) (1)安全策略功能 一些防火墻廠商把在 AAA 系統(tǒng)上運(yùn)用的用戶(hù)認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶(hù)角色的安全策略功能。該 40 功能在無(wú)線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶(hù)身份驗(yàn)證的防火墻通常是采用應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)的，包過(guò)濾技術(shù)的防火墻不具有。用戶(hù)身份驗(yàn)證功能越強(qiáng)，它的安全級(jí)別越高，但它給網(wǎng)絡(luò)通信 帶來(lái)的負(fù)面影響也越大，因?yàn)橛脩?hù)身份驗(yàn)證需要時(shí)間，特別是加密型的用戶(hù)身份驗(yàn)證。 (2)多級(jí)過(guò)濾技術(shù) 所謂多級(jí)過(guò)濾技術(shù)，是指防火墻采用多級(jí)過(guò)濾措施，并輔以鑒別手段。在分組過(guò)濾 (網(wǎng)絡(luò)層 )一級(jí)，過(guò)濾掉所有的源路由分組和假冒的IP 源地址；在傳輸層一級(jí)，遵循過(guò)濾規(guī)則，過(guò)濾掉所有禁止出或 /和入的協(xié)議和有害數(shù)據(jù)包如 nuke 包、圣誕樹(shù)包等；在應(yīng)用網(wǎng)關(guān) (應(yīng)用層 )一級(jí)，能利用 FTP、 SMTP 等各種網(wǎng)關(guān)，控制和監(jiān)測(cè) Inter 提供的所用通用服務(wù)。這是針對(duì)以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過(guò)濾技術(shù)，它可以彌補(bǔ)以上各種 單獨(dú)過(guò)濾技術(shù)的不足。 這種過(guò)濾技術(shù)在分層上非常清楚，每種過(guò)濾技術(shù)對(duì)應(yīng)于不同的網(wǎng)絡(luò)層，從這個(gè)概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來(lái)的防火墻技術(shù)發(fā)展打下基礎(chǔ)。 (3)功能擴(kuò)展 功能擴(kuò)展是指一種集成多種功能的設(shè)計(jì)趨勢(shì)，包括 VPN、 AAA、PKI、 IPSec 等附加功能，甚至防病毒、入侵檢測(cè)這樣的主流功能，都被集成到防火墻產(chǎn)品中了，很多時(shí)候我們已經(jīng)無(wú)法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個(gè)功能為主了，即其已經(jīng)逐漸向我們普遍稱(chēng)之為 IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。有些防火墻集成了防病毒功能，通常被稱(chēng)之為“病毒防 火墻”，當(dāng)然目前主要還是在個(gè) 41 人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问?，更容易?shí)現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護(hù)功能的防火墻可以大大減少公司的損失。 防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì) 隨著網(wǎng)絡(luò)應(yīng)用的增加，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會(huì)越來(lái)越普遍，它要求數(shù)據(jù)穿過(guò)防火墻所帶來(lái)的延遲要足夠小。為了滿(mǎn)足這種需要，一些防火墻制造商開(kāi)發(fā)了基于 ASIC 的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度 的角度看來(lái)，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴(lài)于軟件的性能，但是由于這類(lèi)防火墻中有一些專(zhuān)門(mén)用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了 CPU 的負(fù)擔(dān)，該類(lèi)防火墻的性能要比傳統(tǒng)防火墻的性能好許多。 與基于 ASIC 的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性。基于 ASIC 的防火墻使用專(zhuān)門(mén)的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類(lèi)型的防火墻具有更好的性能。但是純硬件的 ASIC 防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增 加 ASIC 芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時(shí)滿(mǎn)足來(lái)自靈活性和運(yùn)行性能的要求。 42 防火墻的系統(tǒng)管理發(fā)展趨勢(shì) (1)集中式管理，分布式和分層的安全結(jié)構(gòu)。 (2)強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能。 (3)網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化 縱觀防火墻技術(shù)的發(fā)展，黑客入侵系統(tǒng)技術(shù)的不斷進(jìn)步以及網(wǎng)絡(luò)病毒朝智能化和多樣化發(fā)展，對(duì)防火墻技術(shù)的同步發(fā)展提出了更高的要求。防火墻技術(shù)只有不斷向主動(dòng)型和智能型等方向發(fā)展，才能更好的滿(mǎn)足人們對(duì)防火墻技術(shù)日益增長(zhǎng)的需求。 43 結(jié)束語(yǔ) 不積跬步 何以至千里，本設(shè)計(jì)能夠順利的完成，也歸功于各位任課老師的認(rèn)真負(fù)責(zé)，使我能夠很好的掌握和運(yùn)用專(zhuān)業(yè)知識(shí)，并在設(shè)計(jì)中得以體現(xiàn)。正是有了他們的悉心幫助和支持，才使我的畢業(yè)論文工作順利完成，在此向 安徽水利水電職業(yè)技術(shù)學(xué)院 ， 電子信息工程 系計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng) 的全體老師表示由衷的謝意。感謝他們四年來(lái)的辛勤栽培。 44 參考文獻(xiàn) [1] 艾軍 .防火墻體系結(jié)構(gòu)及功能分析 [J].電腦知識(shí)與技術(shù) .20xx， (s):79 一 82. [2] 高峰 .許南山 .防火墻包過(guò)濾規(guī)則問(wèn)題的研究 [M].計(jì)算機(jī)應(yīng)用 .20xx， 23(6):311 一 312. [3] 孟濤 、 楊磊 .防火墻和安全審計(jì) [M].計(jì)算機(jī)安全 .20xx， (4):17 一 18. [4] 鄭林 .防火墻原理入門(mén) [Z]. E 企業(yè) .20xx. [5] 魏利華 .防火墻技術(shù)及其性能研究 .能源研究與信息 .20xx， 20(l):57 一 62 [6] 李劍，劉美華，曹元大 .分布式防火墻系統(tǒng) .安全與環(huán)境學(xué)報(bào) .20xx， 2(l):59 一 61 [7] 王衛(wèi)平，陳文惠，朱衛(wèi)未 .防火墻技術(shù)分析 .信息安全與通信保密 .20xx， (8):24 一 27 [8] 付歌，楊明福 .一個(gè)快速的二維數(shù)據(jù)包分類(lèi) 算法 .計(jì)算機(jī)工程 .20xx， 30(6):76 一 78 [9] 付歌，楊明福，王興軍 .基于空間分解的數(shù)據(jù)包分類(lèi)技術(shù) .計(jì)算機(jī)工程與應(yīng)用 .20xx(8):63一 65 [10] 〕韓曉非，王學(xué)光，楊明福 .位并行數(shù)據(jù)包分類(lèi)算法研究 .華東理工大學(xué)學(xué)報(bào) .20xx，29(5):504 一 508 [11] 韓曉非，楊明福，王學(xué)光 .基于元組空間的位并行包分類(lèi)算法 .計(jì)算機(jī)工程與應(yīng)用 .20xx，(29):188 一 192 [12] 馮東雷，張勇，白英彩 .一種高性能包分類(lèi)漸增式更新算法 .計(jì)算機(jī)研究與發(fā)展 .20xx，40(3):387 一 392 45 致謝 從論文選題到搜集資料，從寫(xiě)稿到反復(fù)修改，期間經(jīng)歷了喜悅、聒噪、痛苦和彷徨，在寫(xiě)作論文的過(guò)程中心情是如此復(fù)雜。如今，伴隨著這篇畢業(yè)論文的最終成稿，復(fù)雜的心情煙消云散，自己甚至還有一點(diǎn)成就感。那種感覺(jué)就宛如在一場(chǎng)盛大的頒獎(jiǎng)晚會(huì)上，我在晚會(huì)現(xiàn)場(chǎng)看著其他人一個(gè)接著一個(gè)上臺(tái)領(lǐng)獎(jiǎng)，自己卻始終未能被念到名字，經(jīng)過(guò)了很長(zhǎng)很長(zhǎng)的時(shí)間后，終于有位嘉賓高喊我的大名，這時(shí)我忘記了先前漫長(zhǎng)的無(wú)聊的等待時(shí)間，欣喜萬(wàn)分地走向舞臺(tái)，然后迫不及待地開(kāi)始抒發(fā)自己的心情，發(fā)表自己的感想。這篇畢業(yè) 論文的就是我的舞臺(tái)，以下的言語(yǔ)便是有點(diǎn)成就感后在舞臺(tái)上發(fā)表的發(fā)自肺腑的誠(chéng)摯謝意與感想： 感謝培養(yǎng)教育我的 安徽水利水電職業(yè)技術(shù)學(xué)院 ， 學(xué)院 濃厚的學(xué)術(shù)氛圍，舒適的學(xué)習(xí)環(huán)境我將終生難忘！祝母校蒸蒸日上，永創(chuàng)輝煌！祝校長(zhǎng)財(cái)源滾滾，仕途順利！感謝對(duì)我傾囊賜教、鞭策鼓勵(lì)的 安徽水利水電職業(yè)技術(shù)學(xué)院電子信息工程系 諸位師長(zhǎng)，諸位恩師的諄諄訓(xùn)誨我將銘記在心。祝恩師們身體健康，家庭幸福！感謝論文中引文的原作者，他們都是 計(jì)算機(jī) 界的名師大家，大師風(fēng)范，高山仰止。祝他們壽域無(wú)疆，德業(yè)永輝！感謝同窗好友 龔帥 、 王康 、 康健 、 卞華林 、陶趙偉等 以 及更多我無(wú)法逐一列出名字的朋友，他們和我共同度過(guò)了四年美好難忘的大學(xué)時(shí)光，我非常珍視和他們的友誼！祝他們前程似錦，事業(yè)有成！家有嬌妻，外有二房！最最感謝生我養(yǎng)我的父母，他們給予了我最無(wú)私的愛(ài)，為我的成長(zhǎng)付出了許多許多，焉得諼草，言樹(shù)之背，養(yǎng)育之恩，無(wú)以回報(bào)，惟愿他們健康長(zhǎng)壽！感謝我以最大的毅力完成了四年大學(xué)學(xué)習(xí)，在這個(gè)環(huán)境里我能潔身自愛(ài)，出淤泥而不染保持一顆純潔的心，真的是很不容易！祝自己身體健康，權(quán)財(cái)兩旺！家里紅旗不倒，外面彩旗飄飄 ！