【導(dǎo)讀】會(huì)的各個(gè)領(lǐng)域所重視。本文對(duì)目前計(jì)算機(jī)網(wǎng)絡(luò)存在的安全隱患進(jìn)行了分析，闡述。系統(tǒng)的分析,并探討了針對(duì)計(jì)算機(jī)安全隱患的防范策略.正是因?yàn)榘踩{的無(wú)處不在，為了解決這個(gè)問(wèn)題防火墻出現(xiàn)了。絡(luò)安全控制得一種必要技術(shù)。本文討論了防火墻的安全功能、體系結(jié)構(gòu)、實(shí)現(xiàn)防。火墻的主要技術(shù)手段及配置等。過(guò)濾型防火墻的訪問(wèn)控制表配置…………………據(jù)美國(guó)聯(lián)邦調(diào)查局統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全造成的損失高達(dá)75億美元。美國(guó)聯(lián)邦調(diào)查局計(jì)算機(jī)犯罪組負(fù)責(zé)人吉。姆·塞特爾稱：給我精選10名“黑客”，組成小組，90天內(nèi)，我將使美國(guó)趴下。制解調(diào)器，就可以令某個(gè)地區(qū)的網(wǎng)絡(luò)運(yùn)行失常。算機(jī)網(wǎng)絡(luò)相繼遭到多次攻擊。公安機(jī)關(guān)受理各類信息網(wǎng)絡(luò)違法犯罪案件逐年劇。由于我國(guó)大量的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用依賴于外國(guó)的產(chǎn)品和技術(shù)，在電子。型計(jì)算機(jī)網(wǎng)絡(luò)工程都由國(guó)內(nèi)一些較大的系統(tǒng)集成商負(fù)責(zé)。缺乏必要的技術(shù)設(shè)施和相關(guān)處理經(jīng)驗(yàn)，面對(duì)形勢(shì)日益嚴(yán)峻的現(xiàn)狀，很多時(shí)候都顯得有些力不從心。

　　

【正文】 間按照規(guī)則序號(hào)的大小進(jìn)行排列，序號(hào)大的排在前面，也就是優(yōu)先級(jí)高。對(duì)報(bào)文進(jìn)行過(guò)濾時(shí)，將采用發(fā)現(xiàn)符合的規(guī)則即得出過(guò)濾結(jié)果的方法來(lái)加快過(guò)濾速度。所以，建議在配置規(guī)則時(shí)，盡量將對(duì)同一個(gè)網(wǎng)絡(luò)配置的規(guī)則放在同一個(gè)序號(hào)的訪問(wèn)列表中；在同一個(gè)序號(hào)的訪問(wèn)列表中，規(guī)則之間的排列和選擇順序可以用 show accesslist 命令來(lái)查看。 例如將規(guī)則 100 應(yīng)用于過(guò)濾從外部網(wǎng)絡(luò)接口上接收到的報(bào)文，配置語(yǔ)句為（同樣為在傾為包過(guò)濾路由器上）： ip accessgroup 100 in 如果要?jiǎng)h除某個(gè)訪問(wèn)控制表列綁定設(shè)置，則可用 no ip accessgroup listnumber { in out } 命令。 4. show accesslist 此配置命令用于顯示包過(guò)濾規(guī)則在接口上的應(yīng)用情況。命令格式為： show accesslist [ all listnumber interface interfacename ] 這一命令須在特權(quán)用戶模式下進(jìn)行配置，其中 all 參數(shù)表示顯示所有規(guī)則的應(yīng)用情況，包括普通時(shí)間段內(nèi)及特殊時(shí)間段內(nèi)的規(guī)則；如果選擇 listnumber 參數(shù)，則僅需顯示指定規(guī)則號(hào)的過(guò)濾規(guī)則； interface 表示要顯示在指定接口上應(yīng)用的所有規(guī)則序號(hào)； interfacename 參數(shù)為接口的名稱。 使用此命令來(lái)顯示所指定的規(guī)則，同時(shí)查看規(guī)則過(guò)濾報(bào)文的情況。每個(gè)規(guī)則都有一個(gè)相應(yīng)的計(jì)數(shù)器，如果用此規(guī)則過(guò)濾了一個(gè)報(bào)文，則計(jì)數(shù)器加 1；通過(guò)對(duì)計(jì)數(shù)器的觀察可以看出所配置的規(guī)則中，哪些規(guī)則是 比較有效，而哪些基本無(wú)效。例如，現(xiàn)在要顯示當(dāng)前所使用序號(hào)為 100 的規(guī)則的使用情況，可執(zhí)行Quidwayshow accesslist 100 語(yǔ)句即可，隨即系統(tǒng)即顯示這條規(guī)則的使用情況，格式如下： Using normal packetfiltering access rules now. 防火墻在網(wǎng)絡(luò)安全中的應(yīng)用 100 deny icmp any hostredirect (3 matches,252 bytes rule 1) 100 permit icmp any echo (no matches rule 2) 100 deny udp any any eq rip (no matches rule 3) 5. show firewall 此命令須在特權(quán)用戶模式下執(zhí)行，它顯示當(dāng)前防火墻狀態(tài)。命令格式非常簡(jiǎn)單，也為： show firewall。這里所說(shuō)的防火墻狀態(tài)，包括防火墻是否被啟用，啟用防火墻時(shí)是否采用了時(shí)間段包過(guò)濾及防火墻的一些統(tǒng)計(jì)信息。 6. Tel 這是用于定義能過(guò)防火配置控制端口進(jìn)行遠(yuǎn)程登錄的有關(guān)參數(shù)選項(xiàng)，也須在全局配置用戶模式下進(jìn)行配置。 命令格式為： tel ip_address [mask] [if_name] 其中的 ip_address 參數(shù)是用來(lái)指定用于 Tel 登錄的 IP 地址， mask為子網(wǎng)掩碼， if_name 用于指定用于 Tel 登錄的接口，通常不用指定，則表示此 IP地址適用于所有端口。如： tel 如果要清除防火墻上某個(gè)端口的 Tel 參數(shù)配置，則須用 clear tel 命令，其格式為： clear tel [ip_address [mask] [if_name]]，其中各選項(xiàng)說(shuō)明同上。它與另一個(gè)命令 no tel功能基本一樣，不過(guò)它是用來(lái)刪除某接口上的 Tel配置，命令格式為： no tel [ip_address [mask] [if_name]]。 如果要顯示當(dāng)前所有的 Tel 配置，則可用 show tel 命令。 最簡(jiǎn)單的防火墻配置，就是直接在內(nèi)部網(wǎng)和外部網(wǎng)之間加裝一個(gè)包過(guò)濾路由器或者應(yīng)用網(wǎng)關(guān)。為更好地實(shí)現(xiàn)網(wǎng)絡(luò)安全，有時(shí)還要將幾種防火墻技術(shù)組合起來(lái)構(gòu)建防火墻系統(tǒng)。目前比較流行的有以下三種防火墻配置方案。 雙宿主機(jī)網(wǎng)關(guān) (Dual Homed Gateway) 這 種配置是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。雙宿主機(jī)用兩個(gè)網(wǎng)絡(luò)適配器分別連接兩個(gè)網(wǎng)絡(luò)，又稱堡壘主機(jī)。堡壘主機(jī)上運(yùn)行著防火墻軟件(通常是代理服務(wù)器 )，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機(jī)網(wǎng)關(guān)有一個(gè)致命弱點(diǎn)，一旦入侵者侵入堡壘主機(jī)并使該主機(jī)只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問(wèn)有保護(hù)的內(nèi)部網(wǎng)絡(luò) (如圖 1)。 三種流行防火墻配置方案分析 (圖一 ) 防火墻在網(wǎng)絡(luò)安全中的應(yīng)用 屏蔽主機(jī)網(wǎng)關(guān) (Screened Host Gateway) 屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機(jī)和雙宿堡壘主機(jī)兩種類型。先來(lái)看單宿堡壘主機(jī)類型。一個(gè)包過(guò)濾 路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機(jī)只有一個(gè)網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接 (如圖 2)。通常在路由器上設(shè)立過(guò)濾規(guī)則，并使這個(gè)單宿堡壘主機(jī)成為從 Inter 惟一可以訪問(wèn)的主機(jī)，確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的 攻擊 。而 Intra 內(nèi)部的客戶機(jī)，可以受控制地通過(guò)屏蔽主機(jī)和路由器訪問(wèn) Inter. 三種流行防火墻配置方案分析 (圖二 ) 雙宿堡壘主機(jī)型與單宿堡壘主機(jī)型的區(qū)別是，堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng) 絡(luò)，一塊連接包過(guò)濾路由器 (如圖 3)。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。 三種流行防火墻配置方案分析 (圖三 ) 屏蔽子網(wǎng) (Screened Sub) 這種方法是在 Intra 和 Inter 之間建立一個(gè)被隔離的子網(wǎng)，用兩個(gè)包過(guò)濾路由器將這一子網(wǎng)分別與 Intra 和 Inter 分開(kāi)。兩個(gè)包過(guò)濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè) “緩沖地帶 ”(如圖 4)，兩個(gè)路由器一個(gè)控制 Intra 數(shù)據(jù)流，另一個(gè)控制 Inter 數(shù)據(jù)流， Intra 和 Inter 均可訪問(wèn)屏蔽子網(wǎng)，但禁防火墻在網(wǎng)絡(luò)安全中的應(yīng)用 止它們穿過(guò)屏蔽子網(wǎng)通信?？筛鶕?jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，為內(nèi)部網(wǎng) 絡(luò)和外部網(wǎng)絡(luò)的互相訪問(wèn)提供代理服務(wù)，但是來(lái)自兩網(wǎng)絡(luò)的訪問(wèn)都必須通過(guò)兩個(gè)包過(guò)濾路由器的檢查。對(duì)于向 Inter公開(kāi)的服務(wù)器，像 WWW、 FTP、 Mail 等 Inter服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無(wú)論是外部用戶，還是內(nèi)部用戶都可訪問(wèn)。這種結(jié)構(gòu)的防火墻安全性能高，具有很強(qiáng)的抗攻擊能力，但需要的設(shè)備多，造價(jià)高。 三種流行防火墻配置方案分析 (圖四 ) 當(dāng)然，防火墻本身也有其局限性，如不能防范繞過(guò)防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸 。難以避免來(lái)自內(nèi)部的攻擊等等?？傊?，防火墻只是一種整體安全防范策略的一部分，僅有防火墻是不夠的，安全策略還必須包括全面的安全準(zhǔn)則，即網(wǎng)絡(luò)訪問(wèn)、本地和遠(yuǎn)程用戶認(rèn)證、撥出撥入呼叫、磁盤(pán)和數(shù)據(jù)加密以及病毒防護(hù)等有關(guān)的安全 總 結(jié) 經(jīng)過(guò)兩個(gè)月艱苦卓絕的努力 ,總于完成了本畢業(yè)設(shè)計(jì) .從當(dāng)初領(lǐng)到題目到最后一個(gè)功能模塊的完成 ,經(jīng)歷了無(wú)數(shù)次的錯(cuò)誤 修改代碼 重啟服務(wù)器 運(yùn)行的過(guò)程 ,感覺(jué)到平時(shí)學(xué)的知識(shí)是多么的淺薄 ,書(shū)到用時(shí)方恨少 ,現(xiàn)在是體驗(yàn)的真真切切 .也充分反應(yīng)了我平時(shí)的基本功不扎實(shí) ,給我以后的工作敲響了警鐘 ,有了努力的方向 . 但通過(guò)本次畢業(yè)設(shè)計(jì) ,我也感受到了開(kāi)源的方便 ,遇到什么問(wèn)題 ,上網(wǎng)一查 ,就知道該怎么弄了 ,以前做個(gè)課程設(shè)計(jì)都是怕別人和我的一樣 ,不愿意給別人看 ,現(xiàn)在知道了程序弄不出來(lái)是多么的著急 ,學(xué)習(xí)都是相互的 ,互相研究才能共同進(jìn)步的 .以后要多多注意這方面的事情 , 本次畢業(yè)設(shè)計(jì)是我工作前一次很好的演練和實(shí)踐的機(jī) 會(huì) ,是培養(yǎng)獨(dú)立考問(wèn)題和自學(xué)能力的鍛煉 ,使我意識(shí)到必須努力學(xué)習(xí)才能才工作中體現(xiàn)自己的價(jià)值 ,適應(yīng)社會(huì)的需要 . 防火墻在網(wǎng)絡(luò)安全中的應(yīng)用 致 謝 經(jīng)過(guò)了三個(gè)月的努力 ,我完成了題目為 :防火墻在網(wǎng)絡(luò)安全中的應(yīng)用。 本次設(shè)計(jì)能夠順利完成 ,我首先要感謝一些發(fā)表書(shū)籍的老師們。其次 ,我要感謝我的指導(dǎo)老師 ,她自始自終都給予了我莫大的幫助 ,對(duì)的設(shè)計(jì)中每一個(gè)計(jì)劃 ,每一項(xiàng)安排都提出了至關(guān)重要的建議 ,使我少走了許多彎路 ,節(jié)省了大量的時(shí)間 ,并且能不厭其煩地指導(dǎo)我技術(shù)上的問(wèn)題 ,使我的系統(tǒng)更加完善和符合企業(yè)網(wǎng)站的要求 . 可以說(shuō) ,我的畢業(yè)設(shè)計(jì) 的順利完成凝聚著導(dǎo)師的大量心血 . 另外 ,我還要感謝那些網(wǎng)上的朋友 ,他們毫不吝嗇的將自己所掌握的知識(shí)拿出來(lái)資源共享 ,才使我部分功能模塊得以實(shí)現(xiàn) ,謝謝他們 . 通過(guò)這次畢業(yè)設(shè)計(jì) ,我體會(huì)很多 ,學(xué)會(huì)是一回事 ,會(huì)用則就是另一回事了 .以前感到自己專業(yè)技能還可以 ,但真正到用的時(shí)候就發(fā)現(xiàn)了很多缺陷 ,發(fā)現(xiàn)自己其實(shí)差距很大 ,還不能適應(yīng)工作 .為我今后指明了努力方向 . 再一次，我向多方面支持和幫助過(guò)我的人表示由衷的感謝！ 參考文獻(xiàn) [1]張寶劍 .計(jì)算機(jī)安全與防護(hù)技術(shù) [M].機(jī)械工業(yè)出版社 ,2021. [2]林海波 ,網(wǎng)絡(luò)安全與防 火墻技術(shù) [M].北京清華大學(xué)出版社 ,2021. [3]凌雨欣 ,常紅 .網(wǎng)絡(luò)安全技術(shù)與反網(wǎng)絡(luò)入侵者 [M].冶金工業(yè)出版社 ,2021. [4]王蓉 ,林海波 .網(wǎng)絡(luò)安全與防火墻技術(shù) [M].清華大學(xué)出版社 ,2021. [5]余建斌 .黑客的攻擊手段及用戶對(duì)策［ M］ .北京人民郵電出版社 ,2021. [6](美 )布萊克赫茲 .Microsoft， UNIX 及 0racle 主機(jī)和網(wǎng)絡(luò)安全［ M］ .電子工業(yè)出版社 ,2021. [7] 馬程 .防火墻在網(wǎng)絡(luò)安全中的應(yīng)用［ J］ .甘肅科技 ,2021 [8]更多資源下載： 大學(xué)堂博客 ：