【正文】 總之，防火墻只是一種整體安全防范策略的一部分，僅有防火墻是不夠的，安全策略還必須包括全面的安全準(zhǔn)則，即網(wǎng)絡(luò)訪問(wèn)、本地和遠(yuǎn)程用戶(hù)認(rèn)證、撥出撥入呼叫、磁盤(pán)和數(shù)據(jù)加密以及病毒防護(hù)等有關(guān)的安全 總 結(jié) 經(jīng)過(guò)兩個(gè)月艱苦卓絕的努力 ,總于完成了本畢業(yè)設(shè)計(jì) .從當(dāng)初領(lǐng)到題目到最后一個(gè)功能模塊的完成 ,經(jīng)歷了無(wú)數(shù)次的錯(cuò)誤 修改代碼 重啟服務(wù)器 運(yùn)行的過(guò)程 ,感覺(jué)到平時(shí)學(xué)的知識(shí)是多么的淺薄 ,書(shū)到用時(shí)方恨少 ,現(xiàn)在是體驗(yàn)的真真切切 .也充分反應(yīng)了我平時(shí)的基本功不扎實(shí) ,給我以后的工作敲響了警鐘 ,有了努力的方向 . 但通過(guò)本次畢業(yè)設(shè)計(jì) ,我也感受到了開(kāi)源的方便 ,遇到什么問(wèn)題 ,上網(wǎng)一查 ,就知道該怎么弄了 ,以前做個(gè)課程設(shè)計(jì)都是怕別人和我的一樣 ,不愿意給別人看 ,現(xiàn)在知道了程序弄不出來(lái)是多么的著急 ,學(xué)習(xí)都是相互的 ,互相研究才能共同進(jìn)步的 .以后要多多注意這方面的事情 , 本次畢業(yè)設(shè)計(jì)是我工作前一次很好的演練和實(shí)踐的機(jī) 會(huì) ,是培養(yǎng)獨(dú)立考問(wèn)題和自學(xué)能力的鍛煉 ,使我意識(shí)到必須努力學(xué)習(xí)才能才工作中體現(xiàn)自己的價(jià)值 ,適應(yīng)社會(huì)的需要 . 防火墻在網(wǎng)絡(luò)安全中的應(yīng)用 致 謝 經(jīng)過(guò)了三個(gè)月的努力 ,我完成了題目為 :防火墻在網(wǎng)絡(luò)安全中的應(yīng)用。對(duì)于向 Inter公開(kāi)的服務(wù)器，像 WWW、 FTP、 Mail 等 Inter服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無(wú)論是外部用戶(hù)，還是內(nèi)部用戶(hù)都可訪問(wèn)。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。一個(gè)包過(guò)濾 路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。雙宿主機(jī)網(wǎng)關(guān)有一個(gè)致命弱點(diǎn)，一旦入侵者侵入堡壘主機(jī)并使該主機(jī)只具有路由器功能，則任何網(wǎng)上用戶(hù)均可以隨便訪問(wèn)有保護(hù)的內(nèi)部網(wǎng)絡(luò) (如圖 1)。目前比較流行的有以下三種防火墻配置方案。它與另一個(gè)命令 no tel功能基本一樣，不過(guò)它是用來(lái)刪除某接口上的 Tel配置，命令格式為： no tel [ip_address [mask] [if_name]]。這里所說(shuō)的防火墻狀態(tài)，包括防火墻是否被啟用，啟用防火墻時(shí)是否采用了時(shí)間段包過(guò)濾及防火墻的一些統(tǒng)計(jì)信息。 使用此命令來(lái)顯示所指定的規(guī)則，同時(shí)查看規(guī)則過(guò)濾報(bào)文的情況。所以，建議在配置規(guī)則時(shí)，盡量將對(duì)同一個(gè)網(wǎng)絡(luò)配置的規(guī)則放在同一個(gè)序號(hào)的訪問(wèn)列表中；在同一個(gè)序號(hào)的訪問(wèn)列表中，規(guī)則之間的排列和選擇順序可以用 show accesslist 命令來(lái)查看。進(jìn)入后再用 ip accessgroup 命令來(lái)配置訪問(wèn)規(guī)則。 listnumber 參數(shù)是用指定要清除統(tǒng)計(jì)信息的規(guī)則號(hào)，如不指定，則清除所有的規(guī)則的統(tǒng)計(jì)信息。 ●listnumber：為刪除的規(guī)則序號(hào)，是 1~199 之間的一個(gè)數(shù)值。 port2 在協(xié)議類(lèi)型為 TCP 或 UDP 且操作類(lèi)型為 range 時(shí)出現(xiàn)；可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如 tel）或 0~65535之間的一個(gè)數(shù)值。 ●destaddr：為目的 IP 地址。 ●deny：表明禁止?jié)M足條件的報(bào)文通過(guò)。 ●special：指定規(guī)則加入特殊時(shí)間段。 1. accesslist：用于創(chuàng)建訪問(wèn)規(guī)則 這一訪問(wèn)規(guī)則配置命令要在防火墻的全局配置模式中進(jìn)行。 10. 查看端口狀態(tài)： show interface，這個(gè)命令需在特權(quán)用戶(hù)模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。 7. 配置保存： wr mem 8. 退出當(dāng)前模式 此命令為 exit，可以任何用戶(hù)模式 下執(zhí)行，執(zhí)行的方法也相當(dāng)簡(jiǎn)單，只輸入命令本身即可?？梢?進(jìn)行進(jìn)一步的配置了。 2. 打開(kāi) PIX 防火電源，讓系統(tǒng)加電初始化，然后開(kāi)啟與防火墻連接的主機(jī)。 防火墻除了以上所說(shuō)的通過(guò)控制端口（ Console）進(jìn)行初始配置外，也可以通過(guò) tel 和 Tffp 配置方式進(jìn)行高級(jí)配置，但 Tel 配置方式都是在命令方式中配置，難度較大，而 Tffp 方式需要專(zhuān)用的 Tffp 服務(wù)器軟件，但配置界面比較友好。 3 防火墻的配置 防火墻的初始配置 像路由器一樣，在使用之前，防火墻也需要經(jīng)過(guò)基本的初始配置。 ② 主機(jī)信息審計(jì) :對(duì)網(wǎng)絡(luò)內(nèi)公共資源中，所有主機(jī)進(jìn)行審計(jì)，可以審計(jì)到主防火墻在網(wǎng)絡(luò)安全中的應(yīng)用 機(jī)的機(jī)器名、當(dāng)前用戶(hù)、操作系統(tǒng)類(lèi)型、 IP 地址信息。安全監(jiān)控中心是管理平臺(tái)和監(jiān)控平臺(tái)，網(wǎng)絡(luò)管理員通過(guò)安全監(jiān)控中心為主機(jī)傳感器設(shè)定監(jiān)控規(guī)則，同時(shí)獲得監(jiān)控結(jié)果、報(bào)警信息以及日志的審計(jì)。 本設(shè)計(jì)方案選用 “漢邦軟科 ”的安全審計(jì)系統(tǒng)作為安全審計(jì)工具。 根據(jù)以上多層次安全防范的策略，安全網(wǎng)的安全建設(shè)可采取 “加密 ”、 “外防 ”、“內(nèi)審 ”相結(jié)合的方法， “內(nèi)審 ”是對(duì)系統(tǒng)內(nèi)部進(jìn)行監(jiān)視、審查，識(shí)別系統(tǒng)是否正在受到攻擊以及內(nèi)部機(jī)密信息是否泄密，以解決內(nèi)層安全。 、信息完整性校驗(yàn) 為有效解決辦公區(qū)之間信息的傳輸安全，可以在多個(gè)子網(wǎng)之間建立起獨(dú)立的安全通道，通過(guò)嚴(yán)格的加密和認(rèn)證措施來(lái)保證通道中傳送的數(shù)據(jù)的完整性、真實(shí)性和私有性。本設(shè)計(jì)方案選用四臺(tái)網(wǎng)御防火墻，分別配置在高性能服務(wù)器和三個(gè)重要部門(mén)的局域網(wǎng)出入口，實(shí)現(xiàn)這些重要部門(mén)的訪問(wèn)控制。簡(jiǎn)便的安裝和分發(fā)代理部署，網(wǎng)絡(luò)的分析和病毒統(tǒng)計(jì)功能以及自動(dòng)下載病毒代碼文件和病毒爆發(fā)警報(bào)，給管理帶來(lái)極大的便利。其最大特點(diǎn)是擁有靈活的產(chǎn)品集中部署方式，不受Windows 域管理模式的約束，除支持 SMS，登錄域腳本，共享安裝以外，還支持純 Web 的部署方式。一方面減少了整個(gè)防毒系統(tǒng)對(duì)原系統(tǒng)的影響，另一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點(diǎn)進(jìn)行部署，管理和更新。 ScanMail 是 Notes Domino Server 使用率最高的防病毒軟件。 （ 1)郵件防毒。 本設(shè)計(jì)方案采用清華紫光公司出品的紫光 S 鎖產(chǎn)品， “紫光 S 鎖 ”是清華紫光“桌面計(jì)算機(jī)信息安全保護(hù)系統(tǒng) ”的商品名稱(chēng)。 計(jì)算機(jī)網(wǎng)絡(luò) 安全方案設(shè)計(jì)并實(shí)現(xiàn) 用戶(hù)的重要信息都是以文件的形式存儲(chǔ)在磁盤(pán)上，使用戶(hù)可 以方便地存取、修改、分發(fā)。 日志監(jiān)控 日志監(jiān)控是十分有效的安全管理手段。在此拓?fù)浣Y(jié)構(gòu)中 , 邊界路由器與防火墻就一起組成了兩道安全防線 , 并且在這兩者之間可 以設(shè)置一個(gè) DMZ區(qū) , 用來(lái)放置那些允許外部用戶(hù)訪問(wèn)的公用服務(wù)器設(shè)施。 如果單位原來(lái)已有邊界路由器 , 則可充分利用原有設(shè)備 , 利用邊界路由器的包過(guò)濾功能 , 添加相應(yīng)的防火墻配置 , 這樣原來(lái)的路由器也就具有防火墻功能了。同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺等多種功能。具體來(lái)講，就是將入侵檢測(cè)引擎接入中心交換機(jī)上。 完成以上功能使系統(tǒng)能對(duì)程序連接網(wǎng)絡(luò)進(jìn)行管理，大大提高了用戶(hù)上網(wǎng)的效率，降低的上網(wǎng)風(fēng)險(xiǎn)。安全日志負(fù)責(zé)記錄請(qǐng)求連接網(wǎng)絡(luò)的程序，其中包括記錄下程序的請(qǐng)求連網(wǎng)時(shí)間，程序目錄路徑等。 (3)局域網(wǎng)查詢(xún)功能，可以查詢(xún)本局域網(wǎng)內(nèi)其用戶(hù)，并顯示各用戶(hù)主機(jī)名。 2 防火墻的安全功能及安全網(wǎng)絡(luò)方案 防火墻具備的安全功能 防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管 理。 在一個(gè)開(kāi)放的網(wǎng)絡(luò)環(huán)境中，大量信息在網(wǎng)上流動(dòng)，這為不法分子提供了攻擊目標(biāo)?？梢哉f(shuō)，未來(lái)國(guó)與國(guó)之間的對(duì)抗首先將是信息技術(shù)的較量。 (5)信息戰(zhàn)的嚴(yán)重威脅。一些人利用電子郵件地址的“公開(kāi)性”和系統(tǒng)的“可廣播性”進(jìn)行商業(yè)、宗教、政治等活動(dòng)，把自己的電子郵件強(qiáng)行“推入”別人的電子郵箱，強(qiáng)迫他人接受垃圾郵件。 90 年代，出現(xiàn)了曾引起世界性恐慌的“計(jì)算機(jī)病毒”，其蔓延范圍廣，增長(zhǎng)速度驚人，損失難以估計(jì)。境內(nèi)外黑客攻擊破壞網(wǎng)絡(luò)的問(wèn)題十分嚴(yán)重，他們通常采用非法侵人重要信息系統(tǒng)，竊聽(tīng)、獲取、攻擊侵人網(wǎng)的有關(guān)敏感性重要信息，修改和破壞信息網(wǎng)絡(luò)的正常使用狀態(tài)，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給國(guó)家造成重大政治影響和經(jīng)濟(jì)損失。由于噪音和電磁輻射，導(dǎo)致網(wǎng)絡(luò)信噪比下降，誤碼率增加，信息的安全性、完整性和可用性受到威脅。計(jì)算機(jī)信息系統(tǒng)的安全威脅主要來(lái)自于以下幾個(gè)方面： (1)自 然災(zāi)害。 計(jì)算機(jī)信息系統(tǒng)之所以存在著脆弱性，主要是由于技術(shù)本身存在著安全弱點(diǎn)、系統(tǒng)的安全性差、缺乏安全性實(shí)踐等 。同時(shí)，不少單位沒(méi)有從管理制度、人員和技術(shù)上建立相應(yīng)的安全防范機(jī)制。 (2)Inter 上廣為傳插的易用黑客和解密工具使很多網(wǎng)絡(luò)用戶(hù)輕易地獲得了攻擊網(wǎng)絡(luò)的方法和手段。現(xiàn)在國(guó)外的優(yōu)秀防火墻如 Outpost不但能完成以上介紹的基本功能，還能對(duì)獨(dú)特的私人信息保護(hù)如防止密碼泄露、對(duì)內(nèi)容進(jìn)行管理以防止小孩子或員工查看不合適的網(wǎng)頁(yè)內(nèi)容，允許按特定關(guān)鍵字以及特定網(wǎng)地進(jìn)行過(guò)濾等、同時(shí)還能對(duì) DNS 緩存進(jìn)行保護(hù)、對(duì) Web 頁(yè)面的交互元 素進(jìn)行控制如過(guò)濾不需要的GIF， Flash 動(dòng)畫(huà)等界面元素。成而有 效的控制用戶(hù)的上網(wǎng)安全。黨的十六屆四中全會(huì)，把信息安全和政治安全、經(jīng)濟(jì)安全、文化安全并列為國(guó)家安全的四大范疇之一，信息安全的重要性被提升到一個(gè)空前的戰(zhàn)略高度。這樣，使原本就十分脆弱的互連網(wǎng)越發(fā)顯得不安全。它關(guān)系到互連網(wǎng)的進(jìn)一步發(fā)展和普及，甚至關(guān)系著互連網(wǎng)的生存。也正是由于受技術(shù)條件的限制，很多人對(duì)網(wǎng)絡(luò)安全的意識(shí)僅停留在如何防范病毒階段，對(duì)網(wǎng)絡(luò)安全缺乏整體意識(shí)。公安機(jī)關(guān)受理各類(lèi)信息網(wǎng)絡(luò)違法犯罪案件逐年劇增，尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。美國(guó)聯(lián)邦調(diào)查局計(jì)算機(jī)犯罪組負(fù)責(zé)人吉姆 本文討論了防火墻的安全功能、 體系結(jié)構(gòu)、 實(shí)現(xiàn)防火墻的主要技術(shù)手段 及配置等。防火墻在網(wǎng)絡(luò)安全中的應(yīng)用 鄭州輕院輕工職業(yè)學(xué)院 專(zhuān)科畢業(yè)設(shè)計(jì)（論文）