【正文】 在無數(shù)個難熬的日日夜夜，我們給了彼此很多鼓勵，也要在這里感謝你們陪伴我度過了這些時光。 感謝教導過我 的其他 老 師，您們從生活和教學中流露出的言行，您們的學識和修養(yǎng)，使我不禁對自己的要求也更高了一分。將 局域網(wǎng)安全 這個全新的領域引入我的視野，在我研究的最初階段，為我指明了方向。在這個忙碌的行業(yè)中，我總算找到了一個時間能夠深沉的思考，考量我的課題，以及我未來的事業(yè)。時間終是短暫，但是這兩年我在 婁底職業(yè)技術 學院卻經(jīng)歷了重要的人生蛻變。本論文從防火墻方面解決網(wǎng)絡安全問題，對網(wǎng)絡安全技術的有深刻的了解。新型防火墻技術產(chǎn)生，就是為了解決來自企業(yè)網(wǎng)絡內(nèi)和外的攻擊；克服傳統(tǒng)“邊界防火墻”的缺點，集成了 IDS、 VPN 和放病毒等安全技術，實現(xiàn)從網(wǎng)絡到服務器以及客戶端全方位的安全解決方案，滿足企業(yè)實際應用和發(fā)展的安全要求。 當前版本及更新日期： 位于主界面右上角，顯示防火墻當前版本及更新日期。 標簽頁： 位于主界面 上部，分【工作狀態(tài)】、【系統(tǒng)狀態(tài)】、【游戲保護】、【安全資訊】、【漏洞掃描】、【啟動選項】六個標簽。其他人都不能訪問您的計算機，但是您也不能再訪問網(wǎng)絡。如圖 : 圖 操作 按鈕： 位于主界面右側(cè)，包括【啟動 /停止保護】、【連接 /斷開網(wǎng)絡】、【智能升級】、【查看日志】。 方法三：用鼠標單擊任務欄“快速啟動”上的【瑞星個人防火墻】 快捷圖標即可啟動。 第二步：智能升級 完成網(wǎng)絡配置后，進行智能升級的操作方法： 方法一：點擊主界面右側(cè)的【智能升級】按鈕 ，圖 : 圖 方法二：在菜單中依次選擇【操作】 /【智能升級】 方法三：右鍵點擊防火墻托盤圖標，在彈出菜單中選擇【啟動智能升級】 3啟動瑞星個人防火墻下載版程序 啟動瑞星個人防火墻軟件主程序有三種方法： 方法一：進入【開始】 /【所有程序】 /【瑞星個人防火墻】，選擇【瑞星個人防火墻】即可啟動。 3。 【使用安全升級模式】，確保升級期間阻止新的網(wǎng)絡連接 【確定】 按鈕完成設置 小提示： ，說明網(wǎng)絡設置已經(jīng)配置好了，這里直接使用默認設置即可。 圖 常見問題 ：不 輸入產(chǎn)品序列號和用戶 ID，產(chǎn)品將無法升級，防火墻保護功能將全部失效，您的計算機將無法抵御黑客攻擊。 第二步完成安裝 后，如圖 ： 圖 第三步輸入產(chǎn)品序列號和用戶 ID。 一、瑞星個人防火墻的應用 1） 安裝 第一步啟動安裝程序 。國內(nèi)外的個人版防火墻有很多品牌，如瑞星、金山網(wǎng)鏢、天網(wǎng)、卡巴斯基等。 PIX525(config)static (inside,outside) tcp mask 0 0 !外部用戶直接訪問地址 HTTP(8080 端口 )，通過 PIX 重定向到內(nèi)部 的主機的 (即 80 端口 )。 PIX525(config)static (inside,outside) tcp tel tel mask 0 0 !外部用戶直接訪問地址 FTP，通過 PIX 重定向到內(nèi)部 的 FTP Server。這種功能也就是可以發(fā)布內(nèi)部 WWW、 FTP、 Mail 等服務器了，這種方式并不是直接連接，而是通過端口重定向，使得內(nèi)部服務器很安全。 PIX525(config)global (outside) 1 mask PIX525(config)nat (outside) 1 如果是內(nèi)部全部地址都可以轉(zhuǎn)換出去則： PIX525(config)nat (outside) 1 則某些情況下，外部地址是很有限的，有些主機必須單獨占用一個 IP 地址，必須解決的是公用一個外部 IP(),則 必須多配置一條命令，這種稱為（ PAT），這樣就能解決更多用戶同時共享一個 IP,有點像代理服務器一樣的功能。Inside 端口可以做 tel 就能用了 ,但 outside 端口還跟一些安全配置有關。 命名端口與安全級別 采用命令 nameif PIX525(config)nameif ether0 outside security0 PIX525(config)nameif ether0 outside security100 security0 是外部端口 outside 的安全級別（ 0 安全級別最高） security100 是內(nèi)部端口 inside 的安全級別 ,如果中間還有以太口，則security10， security20 等等命名，多個網(wǎng)卡組成多個網(wǎng) 絡，一般情況下增加一個以太口作為 DMZ(Demilitarized Zones 非武裝區(qū)域 )。 下面 是防火墻 基本配置 建立用戶和修改密碼 跟 Cisco IOS 路由器基本一樣。它的硬件跟共控機差不多，都是屬于能適合 24 小時工作的，外觀造型也是相類似。 Pixfirewall(config) conduit permit tcp any eq ftp any 網(wǎng)段的電腦 tel 到防火墻上。 例 (config)route inside 1 Pixfirewall(config)route inside 1 防火墻接口名字，并指定安全級別 Pixfirewall (config)nameif etherl outside security0 Pixfirewall (config)nameif ether0 inside security100 是 ，子網(wǎng)掩碼為 防火墻的內(nèi)部 IP 地址是（ config） ip add inside 網(wǎng)絡是 ，子網(wǎng) 掩碼為 ， PIX 防火墻的外部 IP地址是 Pixfirewall(config) ip add outside 火墻上配置地址轉(zhuǎn)換，使內(nèi)部 PC 機使用 IP 地址 訪問外部網(wǎng)絡。 [metric]表示到 gateway_ip 的跳數(shù)。 Route 命令配置語法： route(if_name) 0 0 gateway_ip[metric] 其中（ if_name）表示接口名字，例如 inside， outside。 例 （ config） no global (outside) 1 表示刪除這個全局表項。 例 （ config） global(outside) 1 表示內(nèi)網(wǎng)的主機通過 pix 防火墻要訪問外網(wǎng)時， pix 防火墻將使用 這段 ip 地址池為要訪問外網(wǎng)的主機分配一個全局ip 地址。 Global 命令的配置語法： global (if_name) nat_id ip_addressip_address [mark global_mask] 其中 (if_name)表示外網(wǎng)接口名字，例如 用來標識全局地址池，使它與其相應的 nat 命令相匹配， ip_addressip_address 表示翻譯后的單個 ip 地址或一段 ip 地址范圍。 例 (config)nat (inside) 1 0 0 表示啟用 nat,內(nèi)網(wǎng)的所有主機都可以訪問外網(wǎng)，用 0 可以代表 例 (config)nat (inside) 1 表示只有 這個網(wǎng)段內(nèi)的主機可以訪問外網(wǎng)。例如 表示內(nèi)網(wǎng)所有主機可以對外訪問。 Nat 命令總是與 glibal 命令一起使用，這是因為 nat 命令可以指定一臺主機或一段范圍的主機訪問外網(wǎng)，訪問外網(wǎng)時需要利用 global 所指定的地址池進行對外訪問。以太網(wǎng) 1 被命名為內(nèi)部接口（ inside） ,安全級別是 100，安全級別取值范圍為 1~99，數(shù)字越大安全級別越高。以下是配置的基本歩驟： 配置防火墻接口的名字，并指定安全級別（ nameif）。?；饏^(qū)對于外部用戶通常是可以訪問的，這種方式讓外部用戶可以訪問企業(yè)的公開信息，但卻不允許他們訪問企業(yè)內(nèi)部網(wǎng)絡。位于?；饏^(qū)中的主機或服務器被稱為為堡壘主機。 外部區(qū)域（外網(wǎng)）：外部區(qū)域內(nèi)部區(qū)域的主機和服務，通過防火墻，就可以實現(xiàn)有限的訪問。 防火墻配置原理 防火墻通常有 3 個接口，分別連接 3 個網(wǎng)絡： 內(nèi)部區(qū)域（內(nèi)網(wǎng)）：內(nèi)部區(qū)域通常就是指企業(yè)內(nèi)部網(wǎng)絡或者是企業(yè)內(nèi)部網(wǎng)絡的一部分。 圖 屏蔽子網(wǎng)防火墻 當然，防火墻本身也有其局限性，如不能防范繞過防火墻的入侵，像一般的防火墻不能防止受到病毒感 染的軟件或文件的傳輸；難以避免來自內(nèi)部的攻擊等等。對于向 Inter公開的服務器，像 WWW、 FTP、 Mail 等 Inter 服務器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無論是外部用戶，還是內(nèi)部用戶都可訪問。兩個包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個“緩沖地帶”（如圖 ），兩個路由器一個控制 Intra 數(shù)據(jù)流，另一個控制 Inter 數(shù)據(jù)流， Intra 和 Inter均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏 蔽子網(wǎng)通信。雙宿堡壘主機在應 用層提供代理服務，與單宿型相比更加安全。而 Intra 內(nèi)部的客戶機，可以受控制地通過屏蔽主機和路由器訪問 Inter。堡壘主機只有一個網(wǎng)卡，與內(nèi)部網(wǎng)絡連接（如圖 ）。先來看單宿堡壘主機類型。 圖 雙宿主機網(wǎng)關 屏蔽主機網(wǎng)關（ Screened Host Gateway） 屏蔽主機網(wǎng)關易于實現(xiàn)，安全性好，應用廣泛。 堡壘主機上運行著防火墻軟件（通常是代理服務器），可以轉(zhuǎn)發(fā)應用程序，提供服務等。 宿主機網(wǎng)關（ Dual Homed Gateway） 這種配置是用一臺裝有兩個網(wǎng)絡適配器的雙宿主機做防火墻。這樣的數(shù)據(jù)包自稱來自內(nèi)部的網(wǎng)絡，但實際上是來自 Inter。外部群組可能愿意放入一些通用型數(shù)據(jù)包過濾規(guī)則來維護路由器，但是不愿意使維護復雜或使用頻繁變化的規(guī)則 組。保護內(nèi)部機器的數(shù)據(jù)包過濾規(guī)則在內(nèi)部路由器和外部路由器上基本上應該是一樣的 ； 如果在規(guī)則中有允許侵襲者訪問的錯誤，錯誤就可能出現(xiàn)在兩個路由器上。 （ 4）外部路由器 在理論上，外部路由器（在有關防火墻著作 中有時被稱為訪問路由器）保護周邊網(wǎng)和內(nèi)部網(wǎng)使之免受來自 Inter 的侵犯。 內(nèi)部路由器所允許的在堡壘主機（在周邊網(wǎng)上）和用戶的內(nèi)部網(wǎng)之間服務可以不同于內(nèi)部路由器所允許的在 Inter 和用戶的內(nèi)部網(wǎng)之間的服務。它允許從內(nèi)部網(wǎng)到 Inter 的有選擇的出站服務。 （ 3）內(nèi)部路由器 內(nèi)部路由器（在有關防火墻著作中有時被稱為阻塞路由器）保護內(nèi)部的網(wǎng)絡使之 免受 Inter 和周邊網(wǎng)的侵犯。用戶也可以設置數(shù)據(jù)包過濾來允許內(nèi)部的客戶端在堡壘主機上同代理服務器交談，反之亦然。 另外，其出 站服務（從內(nèi)部的客戶端到在 Inter 上的服務器）按如下任一方法處理： 1 在外部和內(nèi)部的路由器上設置數(shù)據(jù)包過濾來允許內(nèi)部的客戶端直接訪問外部的服務器。 2 對于進來的 FTP 連接，轉(zhuǎn)接到站點的匿名 FTP 服務器。 （ 2）堡壘主機 在屏蔽的子網(wǎng)體系結(jié)構(gòu)中，用戶把堡壘主機連接到周邊網(wǎng)；這臺主機便是接受來自外界連接的主要入口。 一般來說，來往于堡壘主機，或者外部世界的通信，仍然是可監(jiān)視的。 因為沒有嚴格的內(nèi)部通信（即在兩臺內(nèi)部主機之間的通信，這通常是敏感的或?qū)Ｓ械模┠茉竭^周 邊網(wǎng)。 對于周邊網(wǎng)絡，如果某人侵入周邊網(wǎng)上的堡壘主機，他僅能探聽到周邊網(wǎng)上的通信。探聽者可以通過查看那些在 Tel、FTP 以及 Rlogin 會話期間使用過的口令成功地探測出口令。 對于周邊網(wǎng)絡的作用，舉例說明如下。 圖 被屏蔽子網(wǎng)體系結(jié)構(gòu) 對圖的要點說