【正文】 個網(wǎng)絡設備。 防火墻的特色配置從外觀上看防火墻和傳統(tǒng)的路由器交換機沒有太大的差別，一部分防火墻具備 CONSOLE 接口通過超級終端的方式初始化配置，而另外一部分則直接通過默 認的 LAN 接口和管理地址訪問進行配置。與路由器交換機不同的是在防火墻配置中我們需要劃分多個不同權限不同 優(yōu)先級別的區(qū)域，另外還需要針對相應接口隸屬的區(qū)域進行配置，例如 1 接口劃 分到 A 區(qū)域，2 接口劃分到 B 區(qū)域等等，通過不同區(qū)域的訪問權限差別來實現(xiàn)防 火墻保護功能。默認情況下防火墻會自動建立 trust 信任區(qū)，untrust 非信任區(qū)，DMZ 堡壘主機區(qū)以及 LOCAL 本地區(qū)域。相應的本地區(qū)域優(yōu)先級最高，其次是 trust 信任區(qū)，DMZ 堡壘主機區(qū)，最低的是 untrust 非信任區(qū)域。20 計算機防火墻技術論文 在實際設置時我們必須將端口劃分到某區(qū)域后才能對其進行各個訪問操 作，否則默認將阻止對該接口的任何數(shù)據(jù)通訊。除此之外防火墻的其他相關配置與路由交換設備差不多，無外乎通過超級 終端下的命令行參數(shù)進行配置或者通過 WEB 管理界面配置。 軟件的配置與實施以 H3C 的 F100 防火墻為例，當企業(yè)外網(wǎng) IP 地址固定并通過光纖連接的具體配置。首先當企業(yè)外網(wǎng)出口指定 IP 時配置防火墻參數(shù)。選擇接口四連接外網(wǎng)，接 口 一 連 接 內(nèi) 網(wǎng)。這 里 假 設 電 信 提 供 的 外 網(wǎng) IP 地 址 為 。第一步：通過 CONSOLE 接口以及本機的超級終端連接 F100 防火墻，執(zhí)行 system 命令進入配置模式。第二步：通過 firewall packet default permit 設置默認的防火墻策略為 “容許通過”。第三步：進入接口四設置其 IP 地址為 ，命令為 int e0/4 ip add 第四步：進入接口一設置其 IP 地址為內(nèi)網(wǎng)地址，例如 ，命令為 int e0/1 ip add 第五步： 將兩個接口加入到不同的區(qū)域，外網(wǎng)接口配置到非信任區(qū) untrust，內(nèi)網(wǎng)接口加入到信任區(qū) trust—— fire zone untrust add int e0/4 fire zone trust add int e0/1 第六步：由于防火墻運行基本是通過 NAT 來實現(xiàn)，各個保護工作也是基于此 功能實現(xiàn)的，所以還需要針對防火墻的 NAT 信息進行設置，首先添加一個訪問控 制列表—— acl num 2000 21 計算機防火墻技術論文rule per source rule deny 第七步：接下來將這個訪問控制列表應用到外網(wǎng)接口通過啟用 NAT—— int e0/4 nat outbound 2000 第八步：最后添加路由信息，設置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或 外網(wǎng)電信下一跳地址—— ip routestatic (如圖 2)執(zhí)行 save 命令保存退出后就可以在企業(yè)外網(wǎng)出口指定 IP 時實現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā) 以及安全保護功能了。22 計算機防火墻技術論文第五章防火墻發(fā)展趨勢針對傳統(tǒng)防火墻不能解決的問題，及新的網(wǎng)絡攻擊的出現(xiàn)，防火墻技術也 出現(xiàn)了新的發(fā)展趨勢。主要可以從包過濾技術、防火墻體系結(jié)構和防火墻系統(tǒng)管 理三方面來體現(xiàn)。 防火墻包過濾技術發(fā)展趨勢(1)安全策略功能 一些防火墻廠商把在 AAA 系統(tǒng)上運用的用戶認證及其服務擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡應用中非常 必要。具有用戶身份驗證的防火墻通常是采用應用級網(wǎng)關技術的，包過濾技術的 防火墻不具有。用戶身份驗證功能越強，它的安全級別越高，但它給網(wǎng)絡通信帶 來的負面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗 證。(2)多級過濾技術 所謂多級過濾技術，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分 組過濾(網(wǎng)絡層)一級，過濾掉所有的源路由分組和假冒的 IP 源地址；在傳輸層 一級，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如 nuke 包、圣誕樹包等；在應用網(wǎng)關(應用層)一級，能利用 FTP、SMTP 等各種網(wǎng)關，控 制和監(jiān)測 Internet 提供的所用通用服務。這是針對以上各種已有防火墻技術的 不足而產(chǎn)生的一種綜合型過濾技術，它可以彌補以上各種單獨過濾技術的不足。這種過濾技術在分層上非常清楚，每種過濾技術對應于不同的網(wǎng)絡層，從這 個概念出發(fā)，又有很多內(nèi)容可以擴展，為將來的防火墻技術發(fā)展打下基礎。(3)功能擴展 功能擴展是指一種集成多種功能的設計趨勢，包括 VPN、AAA、PKI、IPSec 等附加功能，甚至防病毒、入侵檢測這樣的主流功能，都被集成到防火墻產(chǎn)品中 了，很多時候我們已經(jīng)無法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個功 能為主了，即其已經(jīng)逐漸向我們普遍稱之為 IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。23 計算機防火墻技術論文有些防火墻集成了防病毒功能，通常被稱之為“病毒防火墻”，當然目前主要還 是在個人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)。這種防火墻技術可 以有效地防止病毒在網(wǎng)絡中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護 功能的防火墻可以大大減少公司的損失。 防火墻的體系結(jié)構發(fā)展趨勢隨著網(wǎng)絡應用的增加，對網(wǎng)絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應用將會越來越普 遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防 火墻制造商開發(fā)了基于 ASIC 的防火墻和基于網(wǎng)絡處理器的防火墻。從執(zhí)行速度 的角度看來，基于網(wǎng)絡處理器的防火墻也是基于軟件的解決方案，它需要在很大 程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面 任務的引擎，從而減輕了 CPU 的負擔，該類防火墻的性能要比傳統(tǒng)防火墻的性能 好許多。與基于 ASIC 的純硬件防火墻相比，基于網(wǎng)絡處理器的防火墻具有軟件色彩，因而更加具有靈活性?；?ASIC 的防火墻使用專門的硬件處理網(wǎng)絡數(shù)據(jù)流，比 起前兩種類型的防火墻具有更好的性能。但是純硬件的 ASIC 防火墻缺乏可編程 性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方 案是增加 ASIC 芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以 同時滿足來自靈活性和運行性能的要求。 防火墻的系統(tǒng)管理發(fā)展趨勢(1)集中式管理，分布式和分層的安全結(jié)構。(2)強大的審計功能和自動日志分析功能。(3)網(wǎng)絡安全產(chǎn)品的系統(tǒng)化 縱觀防火墻技術的發(fā)展，黑客入侵系統(tǒng)技術的不斷進步以及網(wǎng)絡病毒朝智能化和多樣化發(fā)展，對防火墻技術的同步發(fā)展提出了更高的要求。防火墻技術只 有不斷向主動型和智能型等方向發(fā)展，才能更好的滿足人們對防火墻技術日益增 長的需求。24 計算機防火墻技術論文結(jié)論隨著 Internet 和 Intranet 技術的發(fā)展,網(wǎng)絡的安全已經(jīng)顯得越來越重要, 網(wǎng)絡病毒對企業(yè)造成的危害已經(jīng)相當廣泛和嚴重, 其中也會涉及到是否構成犯 罪行為的問題，相應的病毒防范技術也發(fā)展到了網(wǎng)絡層面,并且愈來愈有與黑客 技術和漏洞相結(jié)合的趨勢。新型防火墻技術產(chǎn)生,就是為了解決來自企業(yè)網(wǎng)絡內(nèi) 和外的攻擊?？朔鹘y(tǒng)“邊界防火墻”的缺點,集成了 IDS、VPN 和防病毒等安 全技術,實現(xiàn)從網(wǎng)絡到服務器以及客戶端全方位的安全解決方案,滿足企業(yè)實際 應用和發(fā)展的安全要求。防火墻目的在于為用戶提供信息的保密，認證和完整性保護機制，使網(wǎng)絡中 的服務，數(shù)據(jù)以及系統(tǒng)免受侵擾和破壞。本論文從防火墻方面解決網(wǎng)絡安全問題，對網(wǎng)絡安全技術的有深刻的了解。25 計算機防火墻技術論文參考文獻[1] [J].，(s):1054 一 1055.[2] [J].，(s):79 一 82.[3] [M].，23(6):311 一 312.[4] 孟濤、[M].，(4):17 一 18.[5] [Z].E .[6] ，20(l):57 一 62 [7] 李劍，劉美華，2(l):59 一 61 [8] 王衛(wèi)平，陳文惠，(8):24 一 27 [9] , for Packet the 9 th Annual Joint Conference of the IEEE Computer and Communieations , 11931202.[10] ]王永綱，石江濤，戴雪龍， ，34(4):400 一 409 [11] 邵華鋼，29(12):123 一 124 [12] 付歌，30(6):76 一 78 [13] 付 歌，楊 明 福，王 興 于 空 間 分 解 的 數(shù) 據(jù) 包 分 類 技 算 機 工 程 與 應 (8):63 一 65 [14] 〕韓曉非，王學光，29(5):504 一 508 [15] 韓曉非，楊明福，(29):188 一 192 [16] 馮東雷，張勇，40(3):387 一 392 [17] 余勝生，張寧，周敬利， ，30(7):49 一 51 26 計算機防火墻技術論文致謝本文是在李老師的悉心指導卜完成的，從文獻的查閱、論文的選題、撰寫、修改、定稿，我的每一個進步都和李老師的關注與指導密不可分。李老師在研究 方向、資料的收集、論文的選題、研究工作作的開展以及論文的最終定稿，給子 我巨大、無私的幫助。論文的字里行間無不凝結(jié)著老師的悉心指導和浮淳教海，老師淵博的學識和嚴謹?shù)闹螌W態(tài)度給我留下了深刻的印象，我從他那里學到的不 僅僅是專業(yè)知識，更重要的是嚴謹?shù)闹螌W態(tài)度、對事業(yè)忘我的追求、高度的使命 感、責任感及和藹熱情的品質(zhì)和做人的道理，這些將使我受益一生，并將激勵我 不斷向前奮進。還 有 就 是 在 這 次 的 實習中 更要對和我一起并肩戰(zhàn)斗的其他幾位小組成 員說一聲辛苦了，我們有了今天的成績是我們不懈與團結(jié)。讓我們共同努力創(chuàng)造 更好的明天。在此過程中我們互相幫助，勉勵是我們能完成這次任務的最大動力，也是我們之間最大的收獲，最好的精神財富，愿我們還會有更好的合作！經(jīng) 過 了 這 次 的 實習也 意 味 著 我 學習生 涯 的 結(jié) 束。在 TOP 的 三 年 時 間 轉(zhuǎn) 瞬 即 逝，借 此 機 會 我 要 感 謝 兩年來傳授我知識的老師們，更要感謝所 有對我學業(yè)、生活上的支持和鼓勵，感謝所有關心幫助過我的人。27第三篇：防火墻技術的應用防火墻技術的應用作 者：郭 麗 指導老師：李爭艷摘 要：為了保護計算機、服務器和網(wǎng)絡資源免遭攻擊破壞, 提出了防火墻技術是當前比較流行而且是比較可行的一種網(wǎng)絡安全防護技術。本論文從實際應用的角度對防火墻的應用問題進行了探討分析，闡述了防火墻的幾種技術及其應用模式。最后，詳細介紹了防火墻的應用設計。關鍵詞：防火墻；防火墻技術；防火墻應用模式；防火墻應用設計 防火墻概述防火墻是設置在不同網(wǎng)絡（如可信任的企業(yè)內(nèi)部網(wǎng)絡與不可信任的外部公共網(wǎng)絡）或者不同網(wǎng)絡安全域之間的一系列部件（包括軟件和硬件）的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息和數(shù)據(jù)的唯一出入口，能夠根據(jù)網(wǎng)絡管理人員制定的網(wǎng)絡安全策略控制出入網(wǎng)絡的各種數(shù)據(jù)信息流，從而對所受保護的網(wǎng)絡提供信息安全服務。在邏輯上，防火墻是一個分離器、一個限制器，也是一個分析器，它有效地監(jiān)控了所要保護的內(nèi)部網(wǎng)和外部公共網(wǎng)絡之間的任何活動，用于確定網(wǎng)絡哪些內(nèi)部服務允許外部訪問，以及內(nèi)部網(wǎng)絡主機訪問哪些外部服務等，從而保證了所要保護的內(nèi)部計算機網(wǎng)絡的穩(wěn)定正常運行以及內(nèi)部網(wǎng)絡上數(shù)據(jù)和信息資源的完整性、可用性和保密性。不同技術的防火墻實現(xiàn)的功能的側(cè)重點不同，從某種意義來說，防火墻實際上代表了一個網(wǎng)絡的訪問控制原則。防火墻技術是計算機網(wǎng)絡安全領域中最為關鍵和有效的技術之一，它設置在相對安全的內(nèi)部網(wǎng)和相對不安全的而又具有大量資源和信息的外部網(wǎng)之間，執(zhí)行網(wǎng)絡安全策略，以有效地阻止來自外界的網(wǎng)絡攻擊，保護內(nèi)部網(wǎng)絡正常運行以及資源和信息的安全。通過以上分析我們可以看出防火墻從理論上應該具有下列特點：內(nèi)部和外部的所有網(wǎng)絡數(shù)據(jù)流必須經(jīng)過防火墻；只有符合安全策略的數(shù)據(jù)流才能通過防火墻；防火墻本身應該堅固安全可靠。第1頁(共14頁)2 防火墻技術防火墻技術分為包過濾，代理，NAT，狀態(tài)監(jiān)測等幾種技術。 包過濾技術包過濾工作在網(wǎng)絡層和邏輯鏈路層之間。日益增多的眾多IP路由產(chǎn)品正使包過濾成為一種改善網(wǎng)絡安全的工具。如果恰當使用，對具有安全意識的網(wǎng)絡管理者來說，包過濾是一種有用的工具。但它的有效利用需要對它的實際能力和缺點的充分了解，以及對用于過濾器的特定協(xié)議的特點的充分了解。首先檢查包過濾作為一種網(wǎng)絡安全度量的效用，簡要地比較了IP包過濾和其它的網(wǎng)絡安全方法如應用級網(wǎng)關，描述了包過濾在每一個包中檢查什么，及涉及包過濾時的通用應用協(xié)議的特性。然后鑒別和檢查了許多當前包過濾實現(xiàn)中出現(xiàn)的一些共同問題，說明這些問題怎樣不費力地破壞網(wǎng)絡管理者的意圖并導致一種虛假的安全感，并對這些問題提出解決方案。這里把包過濾看作一種實現(xiàn)網(wǎng)絡安全策略的機制。需要考慮的事項是來自站點或網(wǎng)絡管理者的觀點(他們是那些在維持他們的站點或網(wǎng)絡足夠的安全時，對提供好的可能的服務給他們的用戶感興趣的人)，站點或網(wǎng)絡管理者的觀點必定和服務提供者或路由器供應商所有的觀點不一樣(他們感興趣的是提供網(wǎng)絡服務或產(chǎn)品給用戶)。始終假定站點管理者通常對于阻止外面的人進入更感興趣，而不是設法管轄內(nèi)部的人，并假定目的是阻止外而的人侵入和內(nèi)部的人偶爾接觸到有價值的數(shù)據(jù)或服務，而不是防止內(nèi)部的人有意地或惡意地暗中破壞安全措施。包過濾能被用于實現(xiàn)各種不同的網(wǎng)絡安全策略。這些策略的第一個目的通常在于防止未經(jīng)授權的網(wǎng)絡訪問，而沒有阻礙授權的訪問。未經(jīng)授權的訪問和授權的訪問的定義在不同機構有很大的不同。第二個目的通常為機制在執(zhí)行用戶了解和安全措施的應用程序認識方面是透明的。另一個目的是機制對于配置和維護是簡單的，從而提高策略被正確和徹底的實現(xiàn)的可能性?；蚨嗷蛏俚模^濾是完成所有這些目的的一種機制，但這只能通過對于它的優(yōu)勢和缺點的透徹地了解及它的實際能力的小心運用來達到。為了網(wǎng)絡安全，包過濾的一般的可供選擇的方法包括用網(wǎng)絡訪問保護第2頁(共14頁)每一臺機器和使用應用網(wǎng)關。以全有或全無(一種非常粗糙的包過濾形式)為基礎允許網(wǎng)絡訪問，然后嘗試去保護具有網(wǎng)絡訪問權的每一臺機器一般是不切實際的，沒有幾個站點有辦法去保護并監(jiān)