【正文】 通過這次畢業(yè)設(shè)計(jì),我體會(huì)很多,學(xué)會(huì)是一回事,但真正到用的時(shí)候就發(fā)現(xiàn)了很多缺陷,發(fā)現(xiàn)自己其實(shí)差距很大,.其次,我要感謝我的指導(dǎo)老師,她自始自終都給予了我莫大的幫助,對(duì)的設(shè)計(jì)中每一個(gè)計(jì)劃,每一項(xiàng)安排都提出了至關(guān)重要的建議,使我少走了許多彎路,節(jié)省了大量的時(shí)間,并且能不厭其煩地指導(dǎo)我技術(shù)上的問題,使我的系統(tǒng)更加完善和符合企業(yè)網(wǎng)站的要求. 可以說,我的畢業(yè)設(shè)計(jì)的順利完成凝聚著導(dǎo)師的大量心血.本次畢業(yè)設(shè)計(jì)是我工作前一次很好的演練和實(shí)踐的機(jī)會(huì),是培養(yǎng)獨(dú)立考問題和自學(xué)能力的鍛煉,使我意識(shí)到必須努力學(xué)習(xí)才能才工作中體現(xiàn)自己的價(jià)值,適應(yīng)社會(huì)的需要.致 總之，防火墻只是一種整體安全防范策略的一部分，僅有防火墻是不夠的，安全策略還必須包括全面的安全準(zhǔn)則，即網(wǎng)絡(luò)訪問、本地和遠(yuǎn)程用戶認(rèn)證、撥出撥入呼叫、磁盤和數(shù)據(jù)加密以及病毒防護(hù)等有關(guān)的安全總 　　　　三種流行防火墻配置方案分析(圖四)當(dāng)然，防火墻本身也有其局限性，如不能防范繞過防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸。對(duì)于向Internet公開的服務(wù)器，像WWW、FTP、Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無論是外部用戶，還是內(nèi)部用戶都可訪問。兩個(gè)包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)“緩沖地帶”(如圖4)，兩個(gè)路由器一個(gè)控制Intranet 數(shù)據(jù)流，另一個(gè)控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。通常在路由器上設(shè)立過濾規(guī)則，并使這個(gè)單宿堡壘主機(jī)成為從 Internet惟一可以訪問的主機(jī)，確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。一個(gè)包過濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。它又分為單宿堡壘主機(jī)和雙宿堡壘主機(jī)兩種類型。雙宿主機(jī)網(wǎng)關(guān)有一個(gè)致命弱點(diǎn)，一旦入侵者侵入堡壘主機(jī)并使該主機(jī)只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問有保護(hù)的內(nèi)部網(wǎng)絡(luò)(如圖1)。雙宿主機(jī)用兩個(gè)網(wǎng)絡(luò)適配器分別連接兩個(gè)網(wǎng)絡(luò)，又稱堡壘主機(jī)。目前比較流行的有以下三種防火墻配置方案。 最簡(jiǎn)單的防火墻配置，就是直接在內(nèi)部網(wǎng)和外部網(wǎng)之間加裝一個(gè)包過濾路由器或者應(yīng)用網(wǎng)關(guān)。它與另一個(gè)命令no telnet功能基本一樣，不過它是用來刪除某接口上的Telnet配置，命令格式為：no telnet [ip_address [netmask] [if_name]]。 　　命令格式為：telnet ip_address [netmask] [if_name] 　　其中的ip_address參數(shù)是用來指定用于Telnet登錄的IP地址，netmask為子網(wǎng)掩碼，if_name用于指定用于Telnet登錄的接口，通常不用指定，則表示此IP地址適用于所有端口。這里所說的防火墻狀態(tài)，包括防火墻是否被啟用，啟用防火墻時(shí)是否采用了時(shí)間段包過濾及防火墻的一些統(tǒng)計(jì)信息。例如，現(xiàn)在要顯示當(dāng)前所使用序號(hào)為100的規(guī)則的使用情況，可執(zhí)行Quidwayshow accesslist 100語句即可，隨即系統(tǒng)即顯示這條規(guī)則的使用情況，格式如下： 　　Using normal packetfiltering access rules now. 　　　　100 deny icmp any hostredirect (3 matches,252 bytes rule 1) 　　　　100 permit icmp any echo (no matches rule 2) 　　　　100 deny udp any any eq rip (no matches rule 3) 　　5. show firewall 　　此命令須在特權(quán)用戶模式下執(zhí)行，它顯示當(dāng)前防火墻狀態(tài)。 　　使用此命令來顯示所指定的規(guī)則，同時(shí)查看規(guī)則過濾報(bào)文的情況。 　　4. show accesslist 　　此配置命令用于顯示包過濾規(guī)則在接口上的應(yīng)用情況。所以，建議在配置規(guī)則時(shí)，盡量將對(duì)同一個(gè)網(wǎng)絡(luò)配置的規(guī)則放在同一個(gè)序號(hào)的訪問列表中；在同一個(gè)序號(hào)的訪問列表中，規(guī)則之間的排列和選擇順序可以用show accesslist命令來查看。一個(gè)接口的一個(gè)方向上最多可以應(yīng)用20類不同的規(guī)則；這些規(guī)則之間按照規(guī)則序號(hào)的大小進(jìn)行排列，序號(hào)大的排在前面，也就是優(yōu)先級(jí)高。進(jìn)入后再用ip accessgroup 命令來配置訪問規(guī)則。訪問配置語句為： 　　clear accesslist counters 100 　　　　如有清除當(dāng)前所使用的所有規(guī)則的統(tǒng)計(jì)信息，則以上語句需改為：Quidwayclear accesslist counters 　　3. ip accessgroup 　　使用此命令將訪問規(guī)則應(yīng)用到相應(yīng)接口上。listnumber 參數(shù)是用指定要清除統(tǒng)計(jì)信息的規(guī)則號(hào)，如不指定，則清除所有的規(guī)則的統(tǒng)計(jì)信息。 　　　　例如，現(xiàn)要在華為的一款防火墻上配置一個(gè) 網(wǎng)絡(luò)、但不允許使用FTP的訪問規(guī)則。 　　●listnumber：為刪除的規(guī)則序號(hào)，是1~199之間的一個(gè)數(shù)值。 　　●icmpcode：在協(xié)議為ICMP，且沒有選擇所設(shè)定的預(yù)設(shè)值時(shí)出現(xiàn)；代表ICMP碼，是0~255之間的一個(gè)數(shù)值。port2 在協(xié)議類型為TCP或UDP且操作類型為range時(shí)出現(xiàn)；可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或0~65535之間的一個(gè)數(shù)值。 　　●operator：端口操作符，在協(xié)議類型為TCP或UDP時(shí)支持端口比較，支持的比較操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符為range，則后面需要跟兩個(gè)端口。 　　●destaddr：為目的IP地址。 　　●sourceaddr：為源IP地址。 　　●deny：表明禁止?jié)M足條件的報(bào)文通過。 　　●listnumber2：是100到199之間的一個(gè)數(shù)值，表示規(guī)則是擴(kuò)展訪問列表規(guī)則。 　　●special：指定規(guī)則加入特殊時(shí)間段。在這個(gè)命令中，又有幾種命令格式，分別執(zhí)行不同的命令。 　　1. accesslist：用于創(chuàng)建訪問規(guī)則 　　這一訪問規(guī)則配置命令要在防火墻的全局配置模式中進(jìn)行。 過濾防火墻的訪問配置除了以上介紹的基本配置外，在防火墻的安全策略中最重要還是對(duì)訪問控制列表（ACL）進(jìn)行配有關(guān)置。 　　10. 查看端口狀態(tài)：show interface，這個(gè)命令需在特權(quán)用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。下面三條語句表示了用戶從配置模式退到特權(quán)模式，再退到普通模式下的操作步驟。 　　7. 配置保存：wr mem 　　8. 退出當(dāng)前模式 　　此命令為exit，可以任何用戶模式下執(zhí)行，執(zhí)行的方法也相當(dāng)簡(jiǎn)單，只輸入命令本身即可。 　　6. 輸入命令： configure terminal,進(jìn)入全局配置模式，對(duì)系統(tǒng)進(jìn)行初始化設(shè)置。可以進(jìn)行進(jìn)一步的配置了。對(duì)超級(jí)終端的配置與交換機(jī)或路由器的配置一樣，參見本教程前面有關(guān)介紹。 　　2. 打開PIX防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機(jī)。不過因?yàn)榉阑饓Φ亩丝跊]有路由器那么復(fù)雜，所以通常把端口模式歸為配置模式，統(tǒng)稱為全局配置模式。 　　　　 　　防火墻除了以上所說的通過控制端口（Console）進(jìn)行初始配置外，也可以通過telnet和Tffp配置方式進(jìn)行高級(jí)配置，但Telnet配置方式都是在命令方式中配置，難度較大，而Tffp方式需要專用的Tffp服務(wù)器軟件，但配置界面比較友好。 　　防火墻的初始配置也是通過控制端口（Console）與PC機(jī)（通常是便于移動(dòng)的筆記本電腦）的串口連接，再通過Windows系統(tǒng)自帶的超級(jí)終端（HyperTerminal）程序進(jìn)行選項(xiàng)配置。4 防火墻的配置像路由器一樣，在使用之前，防火墻也需要經(jīng)過基本的初始配置。用戶實(shí)時(shí)控制屏幕截獲的開始和結(jié)束?！。?