【導讀】究工作及取得的研究成果。據我所知，除文中已經注明引用的內容外，本論文（設計）不包含其他個人已經發(fā)表或撰寫過的研究成果。確說明并表示謝意。計）的電子版和紙質版。有權將論文（設計）用于非贏利目的的少量。復制并允許論文（設計）進入學校圖書館被查閱。保密的論文（設計）在解密后適用本規(guī)。序清單等），文科類論文正文字數不少于萬字。有圖紙應符合國家技術標準規(guī)范。圖表整潔，布局合理，文字注釋必須使用。特網也面臨著空前的威脅。因此，如何使用有效可行的方法使網絡危。險降到人們可接受的范圍之內越來越受到人們的關注。范策略，首先取決于當前系統(tǒng)的安全性。所以對網絡安全的各獨立元。直接關系到用戶的切身利益。術，通過對防火墻日志文件的分析，設計相應的數學模型和軟件雛形，全風險評估，為提高系統(tǒng)的安全性提供科學依據。Keywords：NetworkSecurity，firewall，preventionStrategy，

　　

【正文】 機與屏蔽子網 第四章 防火墻的配置 硬件連接與實施 一般來說硬件防火墻和路由交換設備一樣具備多個以太接口，速度根據檔次與價格不同而在百兆與千兆之間有所區(qū)別。 (如圖 ) 36 圖 對于中小企業(yè)來 說一般出口帶寬都在 100M 以內，所以我們選擇100M 相關產品即可。網絡拓撲圖中防火墻的位置很關鍵，一般介于內網與外網互連中間區(qū)域，針對外網訪問數據進行過濾和監(jiān)控。 如果防火墻上有 WAN 接口，那么直接將 WAN 接口連接外網即可，如果所有接口都標記為 LAN 接口，那么按照常規(guī)標準選擇最后一個 LAN 接口作為外網連接端口。相應的其他 LAN 接口連接內網各個網絡設備。 防火墻的特色配置 從外觀上看防火墻和傳統(tǒng)的路由器交換機沒有太大的差別，一部分防火墻具備 CONSOLE 接口通過超級終端的方式初始化配置，而另外一 部分則直接通過默認的 LAN 接口和管理地址訪問進行配置。 與路由器交換機不同的是在防火墻配置中我們需要劃分多個不同權限不同優(yōu)先級別的區(qū)域，另外還需要針對相應接口隸屬的區(qū)域進行配置，例如 1 接口劃分到 A 區(qū)域， 2 接口劃分到 B 區(qū)域等等，通過不同區(qū)域的訪問權限差別來實現(xiàn)防火墻保護功能。默認情況下防火墻會自動建立 trust 信任區(qū)， untrust 非信任區(qū)， DMZ 堡壘主機區(qū)以及LOCAL 本地區(qū)域。相應的本地區(qū)域優(yōu)先級最高，其次是 trust 信任區(qū)，DMZ 堡壘主機區(qū)，最低的是 untrust 非信任區(qū)域。 37 在實際設置時我們必 須將端口劃分到某區(qū)域后才能對其進行各個訪問操作，否則默認將阻止對該接口的任何數據通訊。 除此之外防火墻的其他相關配置與路由交換設備差不多，無外乎通過超級終端下的命令行參數進行配置或者通過 WEB 管理界面配置。 軟件的配置與實施 以 H3C 的 F100 防火墻為例 ， 當企業(yè)外網 IP 地址固定并通過光纖連接的具體配置。 首先當企業(yè)外網出口指定 IP 時配置防火墻參數。選擇接口四連接外網，接口一連接內網。這里假設電信提供的外網 IP 地址為 。 第一步：通過 CONSOLE 接口以及本機的超級終端連接 F100 防火墻，執(zhí)行 system 命令進入配置模式。 第二步：通過 firewall packet default permit 設置默認的防火墻策略為 “ 容許通過 ” 。 第三步：進入接口四設置其 IP 地址為 ，命令為 int e0/4 ip add 第四步：進入接口一設置其 IP 地址為內網地址，例如 ，命令為 int e0/1 38 ip add 第五步：將兩個接口加入到不同的區(qū)域，外網接口配置到非信任區(qū) untrust，內網接口加入到信任區(qū) trust—— fire zone untrust add int e0/4 fire zone trust add int e0/1 第六步：由于防火墻運行基本是通過 NAT 來實現(xiàn)，各個保護工作也是基于此功能實現(xiàn)的，所以還需要針對防火墻的 NAT 信息進行設置，首先添加一個訪問控制列表 —— acl num 20xx rule per source rule deny 第七步：接下來將這個訪問控制列表應用到外網接口通過啟用NAT—— int e0/4 nat outbound 20xx 第八步：最后添加路由信息，設置缺省路由或者靜態(tài)路由指向外網接口或外網電信下一跳地址 —— ip routestatic (如圖 2) 39 執(zhí)行 save命令保存退出后就可以在企業(yè)外網出口指定 IP時實現(xiàn)防火墻數據轉發(fā)以及安全保護功能 了。 第五章 防火墻發(fā)展趨勢 針對傳統(tǒng)防火墻不能解決的問題，及新的網絡攻擊的出現(xiàn)，防火墻技術也出現(xiàn)了新的發(fā)展趨勢。主要可以從包過濾技術、防火墻體系結構和防火墻系統(tǒng)管理三方面來體現(xiàn)。 防火墻包過濾技術發(fā)展趨勢 (1)安全策略功能 一些防火墻廠商把在 AAA 系統(tǒng)上運用的用戶認證及其服務擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該 40 功能在無線網絡應用中非常必要。具有用戶身份驗證的防火墻通常是采用應用級網關技術的，包過濾技術的防火墻不具有。用戶身份驗證功能越強，它的安全級別越高，但它給網絡通信 帶來的負面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。 (2)多級過濾技術 所謂多級過濾技術，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾 (網絡層 )一級，過濾掉所有的源路由分組和假冒的IP 源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或 /和入的協(xié)議和有害數據包如 nuke 包、圣誕樹包等；在應用網關 (應用層 )一級，能利用 FTP、 SMTP 等各種網關，控制和監(jiān)測 Inter 提供的所用通用服務。這是針對以上各種已有防火墻技術的不足而產生的一種綜合型過濾技術，它可以彌補以上各種 單獨過濾技術的不足。 這種過濾技術在分層上非常清楚，每種過濾技術對應于不同的網絡層，從這個概念出發(fā)，又有很多內容可以擴展，為將來的防火墻技術發(fā)展打下基礎。 (3)功能擴展 功能擴展是指一種集成多種功能的設計趨勢，包括 VPN、 AAA、PKI、 IPSec 等附加功能，甚至防病毒、入侵檢測這樣的主流功能，都被集成到防火墻產品中了，很多時候我們已經無法分辨這樣的產品到底是以防火墻為主，還是以某個功能為主了，即其已經逐漸向我們普遍稱之為 IPS（入侵防御系統(tǒng)）的產品轉化了。有些防火墻集成了防病毒功能，通常被稱之為“病毒防 火墻”，當然目前主要還是在個 41 人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)。這種防火墻技術可以有效地防止病毒在網絡中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護功能的防火墻可以大大減少公司的損失。 防火墻的體系結構發(fā)展趨勢 隨著網絡應用的增加，對網絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數據。另外，在以后幾年里，多媒體應用將會越來越普遍，它要求數據穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于 ASIC 的防火墻和基于網絡處理器的防火墻。從執(zhí)行速度 的角度看來，基于網絡處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數據層面任務的引擎，從而減輕了 CPU 的負擔，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。 與基于 ASIC 的純硬件防火墻相比，基于網絡處理器的防火墻具有軟件色彩，因而更加具有靈活性。基于 ASIC 的防火墻使用專門的硬件處理網絡數據流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的 ASIC 防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增 加 ASIC 芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。 42 防火墻的系統(tǒng)管理發(fā)展趨勢 (1)集中式管理，分布式和分層的安全結構。 (2)強大的審計功能和自動日志分析功能。 (3)網絡安全產品的系統(tǒng)化 縱觀防火墻技術的發(fā)展，黑客入侵系統(tǒng)技術的不斷進步以及網絡病毒朝智能化和多樣化發(fā)展，對防火墻技術的同步發(fā)展提出了更高的要求。防火墻技術只有不斷向主動型和智能型等方向發(fā)展，才能更好的滿足人們對防火墻技術日益增長的需求。 43 結束語 不積跬步 何以至千里，本設計能夠順利的完成，也歸功于各位任課老師的認真負責，使我能夠很好的掌握和運用專業(yè)知識，并在設計中得以體現(xiàn)。正是有了他們的悉心幫助和支持，才使我的畢業(yè)論文工作順利完成，在此向 安徽水利水電職業(yè)技術學院 ， 電子信息工程 系計算機網絡系統(tǒng) 的全體老師表示由衷的謝意。感謝他們四年來的辛勤栽培。 44 參考文獻 [1] 艾軍 .防火墻體系結構及功能分析 [J].電腦知識與技術 .20xx， (s):79 一 82. [2] 高峰 .許南山 .防火墻包過濾規(guī)則問題的研究 [M].計算機應用 .20xx， 23(6):311 一 312. [3] 孟濤 、 楊磊 .防火墻和安全審計 [M].計算機安全 .20xx， (4):17 一 18. [4] 鄭林 .防火墻原理入門 [Z]. E 企業(yè) .20xx. [5] 魏利華 .防火墻技術及其性能研究 .能源研究與信息 .20xx， 20(l):57 一 62 [6] 李劍，劉美華，曹元大 .分布式防火墻系統(tǒng) .安全與環(huán)境學報 .20xx， 2(l):59 一 61 [7] 王衛(wèi)平，陳文惠，朱衛(wèi)未 .防火墻技術分析 .信息安全與通信保密 .20xx， (8):24 一 27 [8] 付歌，楊明福 .一個快速的二維數據包分類 算法 .計算機工程 .20xx， 30(6):76 一 78 [9] 付歌，楊明福，王興軍 .基于空間分解的數據包分類技術 .計算機工程與應用 .20xx(8):63一 65 [10] 〕韓曉非，王學光，楊明福 .位并行數據包分類算法研究 .華東理工大學學報 .20xx，29(5):504 一 508 [11] 韓曉非，楊明福，王學光 .基于元組空間的位并行包分類算法 .計算機工程與應用 .20xx，(29):188 一 192 [12] 馮東雷，張勇，白英彩 .一種高性能包分類漸增式更新算法 .計算機研究與發(fā)展 .20xx，40(3):387 一 392 45 致謝 從論文選題到搜集資料，從寫稿到反復修改，期間經歷了喜悅、聒噪、痛苦和彷徨，在寫作論文的過程中心情是如此復雜。如今，伴隨著這篇畢業(yè)論文的最終成稿，復雜的心情煙消云散，自己甚至還有一點成就感。那種感覺就宛如在一場盛大的頒獎晚會上，我在晚會現(xiàn)場看著其他人一個接著一個上臺領獎，自己卻始終未能被念到名字，經過了很長很長的時間后，終于有位嘉賓高喊我的大名，這時我忘記了先前漫長的無聊的等待時間，欣喜萬分地走向舞臺，然后迫不及待地開始抒發(fā)自己的心情，發(fā)表自己的感想。這篇畢業(yè) 論文的就是我的舞臺，以下的言語便是有點成就感后在舞臺上發(fā)表的發(fā)自肺腑的誠摯謝意與感想： 感謝培養(yǎng)教育我的 安徽水利水電職業(yè)技術學院 ， 學院 濃厚的學術氛圍，舒適的學習環(huán)境我將終生難忘！祝母校蒸蒸日上，永創(chuàng)輝煌！祝校長財源滾滾，仕途順利！感謝對我傾囊賜教、鞭策鼓勵的 安徽水利水電職業(yè)技術學院電子信息工程系 諸位師長，諸位恩師的諄諄訓誨我將銘記在心。祝恩師們身體健康，家庭幸福！感謝論文中引文的原作者，他們都是 計算機 界的名師大家，大師風范，高山仰止。祝他們壽域無疆，德業(yè)永輝！感謝同窗好友 龔帥 、 王康 、 康健 、 卞華林 、陶趙偉等 以 及更多我無法逐一列出名字的朋友，他們和我共同度過了四年美好難忘的大學時光，我非常珍視和他們的友誼！祝他們前程似錦，事業(yè)有成！家有嬌妻，外有二房！最最感謝生我養(yǎng)我的父母，他們給予了我最無私的愛，為我的成長付出了許多許多，焉得諼草，言樹之背，養(yǎng)育之恩，無以回報，惟愿他們健康長壽！感謝我以最大的毅力完成了四年大學學習，在這個環(huán)境里我能潔身自愛，出淤泥而不染保持一顆純潔的心，真的是很不容易！祝自己身體健康，權財兩旺！家里紅旗不倒，外面彩旗飄飄 ！