【正文】 總之，此次論文的寫作過程，我們收獲了很多，即為大學(xué)三年劃上了一個完美的句號，也為將來的人生之路做好了一個很好的鋪墊。并且由原先的被動的接受知識轉(zhuǎn)換為主動的尋求知識，這可以說是學(xué)習(xí)方法上的一個很大的突破。在此，謹(jǐn)向肖老師表示崇高的敬意和衷心的感謝！謝謝肖老師在我們撰寫論文的過程中給與我的極大地幫助。防火墻還處于發(fā)展階段，仍須許多問題解決。防火墻的技術(shù)也引起了各方面的廣泛關(guān)注。這種情況使得近幾年的攻擊頻率和密度顯著增長，給網(wǎng)絡(luò)安全帶來越來越多的安全隱患。網(wǎng)絡(luò)中有大量的攻擊工具和攻擊文章等資源，可以任意使用和共享。幾乎所有接觸網(wǎng)絡(luò)的人都知道網(wǎng)絡(luò)中有一些費(fèi)盡心機(jī)闖入他人計算機(jī)系統(tǒng)的人，他們利用各種網(wǎng)絡(luò)和系統(tǒng)漏洞，非法獲取未授權(quán)的訪問信息。隨著網(wǎng)絡(luò)的延伸，安全問題受到人們越來越多的關(guān)注。我們通過網(wǎng)絡(luò)獲得信息，共享資源。⑥ 安全管理工具不斷完善，特別是可以活動的日志分析工具等將成為防火墻產(chǎn)品中的一部分另外值得一提的是，伴隨著防火墻技術(shù)的不斷發(fā)展，人們選擇防火墻的標(biāo)準(zhǔn)將主要集中在易于管理、應(yīng)用透明性、鑒別與加密功能、操作環(huán)境和硬件要求、VPN的功能與CA的功能、接口的數(shù)量、成本的幾個方面。④ 單向防火墻(又叫做網(wǎng)絡(luò)二極管)將作為一種產(chǎn)品門類而出現(xiàn)。② 過濾深度會不斷加強(qiáng)，從目前的地址、服務(wù)過濾，發(fā)展到URL(頁面)過濾、關(guān)鍵字過濾和對ActiveX、Java等的過濾，并逐漸有病毒掃描功能。但是，從產(chǎn)品及功能上，卻又可以看到一些動向和趨勢。SYN泛濫可以鎖死Web和郵件服務(wù)，這樣沒有數(shù)據(jù)流可以進(jìn)入。像序列號預(yù)測和IP欺騙這類簡單攻擊，這些年來已經(jīng)成為了防火墻工具箱的一部分。防火墻市場已經(jīng)對此做出了反應(yīng)。盡管防火墻在防止不良分子進(jìn)入上發(fā)揮了很好的作用，但TCP/IP協(xié)議套件中存在的脆弱性使Internet對拒絕服務(wù)攻擊敞開了大門。今天許多防火墻都包括對過濾產(chǎn)品的支持，并可以與第三方過濾服務(wù)連接，這些服務(wù)提供了不受歡迎Internet站點的分類清單。防火墻開放商通過建立功能強(qiáng)大的Web代理對中這種需要作出了回應(yīng)。因此未來的防火墻將具有非常易于安裝和易于管理的基礎(chǔ)。實踐證明許多防火墻產(chǎn)品并未起到預(yù)期作用的一個不容忽視的原因在于配置和實現(xiàn)上的錯誤。一個不具體實施任何安全策略的防火墻無異于高級擺設(shè)。未來的防火墻系統(tǒng)應(yīng)是一個可隨意伸縮的模塊化解決方案，從最為基本的包過濾器到帶加密功能的VPN型報過濾器，直至一個獨(dú)立的應(yīng)用網(wǎng)關(guān)，使用戶有充分的余地構(gòu)建自己所需要的防火墻體系。對于一個好的防火墻系統(tǒng)而言，它的規(guī)模和功能應(yīng)該能夠適應(yīng)內(nèi)部網(wǎng)絡(luò)的規(guī)模和安全策略的變化。目前如何盡量減少這種影響也成為防火墻產(chǎn)品的賣點之一。自然，數(shù)據(jù)通過率越高，防火墻性能越好。傳統(tǒng)的代理型防火墻雖然可以提供較高級別的安全保護(hù)，但是同時成為限制網(wǎng)絡(luò)寬帶的瓶頸，這極大的制約了在網(wǎng)絡(luò)中的實際應(yīng)用。另外有幾個維護(hù)命令也很有用,show interface查看端口狀態(tài)，show static查看靜態(tài)地址映射，show ip查看接口ip地址， ping outside | inside ip_address確定連通性。AAA是指認(rèn)證，授權(quán)，審計。當(dāng)有數(shù)據(jù)包具有攻擊或報告型特征碼時，pix將采取報警動作(缺省動作)，向指定的日志記錄主機(jī)產(chǎn)生系統(tǒng)日志消 息；此外還可以作出丟棄數(shù)據(jù)包和發(fā)出tcp連接復(fù)位信號等動作，需另外配置。?39。說了這么多，下面給出一個配置實例供大家參考。telnet配置語法：telnet local_ip [netmask] local_ip表示被授權(quán)通過telnet訪問到pix的ip地址。另外就是在PIX上配置SSH，然后用 SSH client從外部telnet到PIX防火墻，PIX支持SSH1和SSH2，不過SSH1是免費(fèi)軟件，SSH2是商業(yè)軟件。在pix OS 及后續(xù)版本中，可以在所有的接口上啟用telnet到pix的訪問。⑤ 設(shè)置telnettelnet 有一個版本的變化。 //為協(xié)議指定80和1080兩個端口。④ 配置fixup協(xié)議 fixup命令作用是啟用，禁止，改變一個服務(wù)或協(xié)議通過pix防火墻，由fixup命令指定的端口是pix防火墻要偵聽的服務(wù)。現(xiàn)在希望外網(wǎng)的用戶能夠通過pix防火墻得到web服 務(wù)。(config)conduit permit icmp any any 表示允許icmp消息向內(nèi)部和外部通過。Eq ftp 就是指允許或拒絕只對ftp的訪問。 (100full選項表示100Mbit/s以太網(wǎng)全雙工通信 )Pix525(config)interface ethernet1 100full shutdown (shutdown選項表示關(guān)閉這個接口，若啟用接口去掉shutdown )③ 配置內(nèi)外網(wǎng)卡的IP地址(ip address)Pix525(config)ip address outside Pix525(config)ip address inside 很明顯，(config)conduit permit tcp host eq any 。(auto選項表明系統(tǒng)自適應(yīng)網(wǎng)卡類型 )Pix525(config)interface ethernet1 100fullPix525(config)nameif ethernet0 outside security0 Pix525(config)nameif ethernet9 inside security100 Pix525(config)nameif dmz security50提示：在缺省配置中，以太網(wǎng)0被命名為外部接口(outside)，安全級別是0；以太網(wǎng)9被命名為內(nèi)部接口(inside)，～99，數(shù)字越大安全級別越高。顯示為monitor2. PIX525配置的基本步驟配置PIX防火墻有6個基本命令：nameif，interface，ip address，nat，global，route.這些命令在配置PIX時是必須的。顯示為pixfirewall(config)④ 監(jiān)視模式：PIX防火墻在開機(jī)或重啟過程中，按住Escape鍵或發(fā)送一個Break字符，進(jìn)入監(jiān)視模式。系統(tǒng)顯示為pixfirewall ② 特權(quán)模式：輸入enable進(jìn)入特權(quán)模式，可以改變當(dāng)前配置。(二) Cisco PIX525防火墻的配置1．PIX管理訪問模式由于PIX535在企業(yè)級別不具有普遍性，因此下面主要說明PIX525在企業(yè)網(wǎng)絡(luò)中的應(yīng)用。一般在?；饏^(qū)內(nèi)可以放置Web服務(wù)器，Mail服務(wù)器 等。(DMZ)：?；饏^(qū)是一個隔離的網(wǎng)絡(luò)，或幾個網(wǎng)絡(luò)。 2..外部區(qū)域(外網(wǎng))：外部區(qū)域通常指Internet或者非企業(yè)內(nèi)部網(wǎng)絡(luò)。防火墻通常具有至少3個接口，但許多早期的防火墻只具有2個接口；當(dāng)使用具有3個接口的防火墻時，就至少產(chǎn)生了3個網(wǎng)絡(luò)，描述如下：(內(nèi)網(wǎng))：內(nèi)部區(qū)域通常就是指企業(yè)內(nèi)部網(wǎng)絡(luò)或者是企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分。它可以提供運(yùn)營商級別的處理能力，適用于大型的ISP等服務(wù)提供商，但是PIX特有的OS操作系統(tǒng)，使得大多數(shù)管理是通過命令來實現(xiàn) 的不像其它同類型的防火墻通過Web管理界面來進(jìn)行網(wǎng)絡(luò)管理以下通過實例介紹如何配置Cisco PIX防火墻。在眾多的企業(yè)級主流防火墻中，Cisco PIX防火墻是所有同類產(chǎn)品中性能最好的一種。防火墻通常位于企業(yè)網(wǎng)絡(luò)的邊緣，這使得內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其它外部網(wǎng)絡(luò)相互隔離，并限制網(wǎng)絡(luò)互訪從而保護(hù)企業(yè)內(nèi)部的網(wǎng)絡(luò)。這種結(jié)合是對包過濾技術(shù)和代理服務(wù)技術(shù)的折中。 狀態(tài)檢測技術(shù)防火墻是對包過濾技術(shù)、電路層網(wǎng)關(guān)和代理服務(wù)技術(shù)的折中，它的速度和靈活性沒有包過濾機(jī)制好，但比代理服務(wù)技術(shù)好。④ 在數(shù)據(jù)包檢測后，防火墻就會將該數(shù)據(jù)包轉(zhuǎn)發(fā)到它的目的地址，并且防火墻會在其連接表中為此次對話創(chuàng)建或者更新一個連接項，防火墻將使用這個連接項對返回的數(shù)據(jù)包進(jìn)行校驗。② 根據(jù)所使用的協(xié)議，決定對數(shù)據(jù)包的檢查程度。由用戶定義的訪問控制列表(ACL)決定允許建立哪些會話(session)，只有與活躍會話相關(guān)聯(lián)的數(shù)據(jù)才能穿過防火墻。⑤ 代理服務(wù)器將Web服務(wù)器上的應(yīng)答轉(zhuǎn)發(fā)給客戶。③ 如果需要身份驗證的話，網(wǎng)關(guān)就會提示用戶進(jìn)行身份驗證。電路層網(wǎng)關(guān)的工作過程如下：① 假設(shè)有一個用戶正在試圖和一個目的URL進(jìn)行連接。它遵循SOCKS 協(xié)議，即電路層網(wǎng)關(guān)的標(biāo)準(zhǔn)。⑤ 如果有要求，系統(tǒng)會提示用戶再輸入另外的身份驗證信息。② 提示用戶進(jìn)行身份驗證。屏蔽設(shè)備檢測這個連接的源IP地址是否在允許的源地址列表中。 例如，一個公司決定將一個Telnet服務(wù)器作為主機(jī)，以使得遠(yuǎn)程的管理員能夠?qū)ζ鋱?zhí)行某些特定的操作。代理負(fù)責(zé)接收外部網(wǎng)服務(wù)請求，再把它們轉(zhuǎn)發(fā)到具體的服務(wù)中。包過濾路由器根據(jù)過濾規(guī)則來過濾基于標(biāo)準(zhǔn)的數(shù)據(jù)包，完成包過濾功能。② 必須正式規(guī)定允許的包類型、包字段的邏輯表達(dá)。⑧ 最后一項是注釋(Comment)。⑥ 目的端口DP(Destination Port)。④ 源端口SP(Source Port)。② 過濾方式( Action)包括允許( Allow)和阻止( Block)。當(dāng)一個數(shù)據(jù)包滿足過濾規(guī)則，則允許此數(shù)據(jù)包通過，否則拒絕此包通過，起到了保護(hù)內(nèi)部網(wǎng)絡(luò)的作用。它的作用是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間有選擇地安排數(shù)據(jù)包的去向。三 防火墻技術(shù)關(guān)于防火墻技術(shù)，主要包括兩方面內(nèi)容：即包過濾技術(shù)和代理技術(shù)。外部路由器實際上需要做什么呢？外部路由器能有效地執(zhí)行的安全任務(wù)之一(通常別的任何地方不容易做的任務(wù))是：阻止從Internet上偽造源地址進(jìn)來的任何數(shù)據(jù)包。一般地，外部路由器由外部群組提供(例如，用戶的Internet供應(yīng)商)，同時用戶對它的訪問被限制。實際上，外部路由器傾向于允許幾乎任何東西從周邊網(wǎng)出站，并且它們通常只執(zhí)行非常少的數(shù)據(jù)包過濾。限制堡壘主機(jī)和內(nèi)部網(wǎng)之間服務(wù)的理由是減少由此而導(dǎo)致的受到來自堡壘主機(jī)侵襲的機(jī)器的數(shù)量。這些服務(wù)是用戶的站點能使用數(shù)據(jù)包過濾而不是代理服務(wù)安全支持和安全提供的服務(wù)。內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作。但是禁止內(nèi)部的客戶端與外部世界之間直接通信(即撥號入網(wǎng)方式)。⑵設(shè)置代理服務(wù)器在堡壘主機(jī)上運(yùn)行(如果用戶的防火墻使用代理軟件)來允許內(nèi)部的客戶端間接地訪問外部的服務(wù)器。⑶對于進(jìn)來的域名服務(wù)(DNS)站點查詢等。例如：⑴對于進(jìn)來的電子郵件(SMTP)會話，傳送電子郵件到站點。防火墻設(shè)計工作的一部分就是確保這種通信不至于機(jī)密到閱讀它將損害你的站點的完整性。所以，如果堡壘主機(jī)被損害，內(nèi)部的通信仍將是安全的。因為所有周邊網(wǎng)上的通信來自或通往堡壘主機(jī)或Internet。即使口令沒被攻破，探聽者仍然能偷看或訪問他人的敏感文件的內(nèi)容，或閱讀他們感興趣的電子郵件等；探聽者能完全監(jiān)視何人在使用網(wǎng)絡(luò)。在許多網(wǎng)絡(luò)設(shè)置中，用給定網(wǎng)絡(luò)上的任何機(jī)器來查看這個網(wǎng)絡(luò)上的每一臺機(jī)器的通信是可能的，對大多數(shù)以太網(wǎng)為基礎(chǔ)的網(wǎng)絡(luò)確實如此(而且以太網(wǎng)是當(dāng)今使用最廣泛的局域網(wǎng)技術(shù))；對若干其他成熟的技術(shù)，諸如令牌環(huán)和FDDI也是如此。如果侵襲者成功地侵入用戶的防火墻的外層領(lǐng)域，周邊網(wǎng)絡(luò)在那個侵襲者與用戶的內(nèi)部系統(tǒng)之間提供一個附加的保護(hù)層。即使侵襲者侵入堡壘主機(jī)，它將仍然必須通過內(nèi)部路由器，如圖6所示。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個“隔離帶”。被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為：兩個屏蔽路由器，每一個都連接到周邊網(wǎng)。如果路由器被損害，整個網(wǎng)絡(luò)對侵襲者是開放的。然而，比較其他體系結(jié)構(gòu)，如在下面要討論的屏蔽子網(wǎng)體系結(jié)構(gòu)也有一些缺點。進(jìn)而言之，保衛(wèi)路由器比保衛(wèi)主機(jī)較易實現(xiàn)，因為它提供非常有限的服務(wù)組。因為這種體系結(jié)構(gòu)允許數(shù)據(jù)包從因特網(wǎng)向內(nèi)部網(wǎng)的移動，所以它的設(shè)計比沒有外部數(shù)據(jù)包能到達(dá)內(nèi)部網(wǎng)絡(luò)的雙重宿主主機(jī)體系結(jié)構(gòu)似乎是更冒風(fēng)險。用戶可以針對不同的服務(wù)混合使用這些手段；某些服務(wù)可以被允許直接經(jīng)由數(shù)據(jù)包過濾，而其他服務(wù)可以被允許僅僅間接地經(jīng)過代理。在屏蔽的路由器中數(shù)據(jù)包過濾配置可以按下列之一執(zhí)行：⑴允許其他的內(nèi)部主機(jī)為了某些服務(wù)與因特網(wǎng)上的主機(jī)連接(即允許那些已經(jīng)由數(shù)據(jù)包過濾的服務(wù))。因此，堡壘主機(jī)需要擁有高等級的安全。即使這樣，也