【正文】 ltering），使用包過(guò)濾技術(shù)的防火墻通常工作在 OSI 模型中的網(wǎng)絡(luò)層（Network Layer）上，后來(lái)發(fā)展更新的“動(dòng)態(tài)包過(guò)濾”（Dynamic Packet Filtering）增加了傳輸層（Transport Layer），簡(jiǎn)而言之，包過(guò)濾技術(shù)工作的地方就是各種基于 TCP/IP 協(xié)議的數(shù)據(jù)報(bào)文進(jìn)出的通道，它把這兩層作為數(shù)據(jù)監(jiān)控的對(duì)象，對(duì)每個(gè)數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類(lèi)型等信息進(jìn)行分析，并與預(yù)先設(shè)定好的防火墻過(guò)濾規(guī)則（Filtering Rule）進(jìn)行核對(duì)，一旦發(fā)現(xiàn)某個(gè)包的某個(gè)或多個(gè)部分與過(guò)濾規(guī)則匹配并且條件為“阻止”的時(shí)候，這個(gè)包就會(huì)被丟棄。網(wǎng)絡(luò)處理器架構(gòu):由于網(wǎng)絡(luò)處理器所使用的微碼編寫(xiě)有一定技術(shù)難度，難以實(shí)現(xiàn)產(chǎn)品的最優(yōu)性能，因此網(wǎng)絡(luò)處理器架構(gòu)的防火墻產(chǎn)品難以占有大量的市場(chǎng)份額。ASIC架構(gòu):ASIC（Application Specific Integrated Circuit，專用集成電路）技術(shù)是國(guó)外高端網(wǎng)絡(luò)設(shè)備幾年前廣泛采用的技術(shù)。二、天網(wǎng)防火墻的配置及其測(cè)試：‘開(kāi)機(jī)后自動(dòng)啟用防火墻’選項(xiàng)以及設(shè)定局域網(wǎng)的地址：‘管理權(quán)限設(shè)置’屬性選項(xiàng)卡中點(diǎn)擊‘設(shè)置密碼’按鈕，設(shè)定密碼后點(diǎn)擊‘確定’：‘日志管理’屬性選項(xiàng)卡中勾選‘自動(dòng)保存日志’并選擇保存路徑：‘入侵檢測(cè)設(shè)置’屬性選項(xiàng)卡中，勾選‘啟用入侵檢測(cè)功能’并設(shè)置‘默認(rèn)靜默時(shí)間’：‘應(yīng)用程序規(guī)則’設(shè)置中添加已安裝的應(yīng)用程序的網(wǎng)絡(luò)訪問(wèn)規(guī)則，具體設(shè)置如下：‘IP規(guī)則管理’屬性設(shè)置中，增加必要的IP規(guī)則對(duì)外部網(wǎng)絡(luò)所進(jìn)行的訪問(wèn)進(jìn)行必要的監(jiān)控，具體設(shè)置如下所示： ，應(yīng)用程序網(wǎng)絡(luò)使用狀態(tài)部分顯示界面截圖：：三、ISA企業(yè)級(jí)防火墻（2006版）的配置：打開(kāi)ISA服務(wù)器管理，會(huì)看到已經(jīng)創(chuàng)建好的陣列，點(diǎn)擊陣列名稱——配置會(huì)看到網(wǎng)絡(luò)選項(xiàng)，郵件單擊，選擇啟動(dòng)網(wǎng)絡(luò)負(fù)載平衡集成：點(diǎn)擊后會(huì)彈出網(wǎng)絡(luò)負(fù)責(zé)平衡集成向?qū)?，點(diǎn)擊下一步：選擇啟用負(fù)載均衡的網(wǎng)絡(luò)，我們選擇內(nèi)部：點(diǎn)擊完成，配置好負(fù)載均衡：字防火墻策略中，右鍵單擊——選擇新建——訪問(wèn)規(guī)則：打開(kāi)想到后，添加訪問(wèn)規(guī)則的名稱（名字要比較容易理解，避免以后規(guī)則過(guò)多混亂）：選擇允許，點(diǎn)擊下一步：此處選擇所選協(xié)議，單擊添加：選擇需要允許通過(guò)的協(xié)議，點(diǎn)擊確定：確定協(xié)議后，點(diǎn)擊下一步：1添加源網(wǎng)絡(luò)：1選擇目標(biāo)網(wǎng)絡(luò)：1單擊添加選擇賬戶類(lèi)型點(diǎn)擊下一步：1創(chuàng)建好后，點(diǎn)擊完成：1點(diǎn)擊陣列——網(wǎng)絡(luò)——雙擊內(nèi)部打開(kāi)屬性 ：1在web代理處，選擇“為此網(wǎng)絡(luò)啟用web代理客戶端連接”并設(shè)置代理端口；點(diǎn)擊身份驗(yàn)證配置身份驗(yàn)證方法：1選擇身份驗(yàn)證為“集成”，也就是通過(guò)AD域驗(yàn)證的方式，點(diǎn)擊確定：1配置好ISA服務(wù)器后，在左上角可以看到“應(yīng)用”：1應(yīng)用后，選擇“保存更改并重啟服務(wù)”：保存完成后，5分鐘左右配置生效：四、基于網(wǎng)絡(luò)設(shè)備類(lèi)型X86平臺(tái)的硬件防火墻的結(jié)構(gòu)以及工作原理：防火墻的硬件體系結(jié)構(gòu)曾經(jīng)歷過(guò)通用CPU架構(gòu)、ASIC架構(gòu)和網(wǎng)絡(luò)處理器架構(gòu)，分別如下：通用CPU架構(gòu):通用CPU架構(gòu)最常見(jiàn)的是基于Intel X86架構(gòu)的防火墻，在百兆防火墻中Intel X86架構(gòu)的硬件以其高靈活性和擴(kuò)展性一直受到防火墻廠商的青睞；由于采用了PCI總線接口，Intel X86架構(gòu)的硬件雖然理論上能達(dá)到2Gbps的吞吐量甚至更高，但是在實(shí)際應(yīng)用中，尤其是在小包情況下，遠(yuǎn)遠(yuǎn)達(dá)不到標(biāo)稱性能，通用CPU的處理能力也很有限。參考文獻(xiàn)：1）袁津生 吳硯農(nóng) 《計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)》 北京：人民郵電出版社 2013 2）黎連業(yè)，張維，防火墻及其應(yīng)用技術(shù)， 3）程代偉，網(wǎng)絡(luò)安全完全手冊(cè)， 4）李濤，網(wǎng)絡(luò)安全概論，第二篇：防火墻技術(shù)實(shí)訓(xùn)報(bào)告XXXXXXXXX學(xué)校防火墻技術(shù)課程設(shè)計(jì)總結(jié)報(bào)告課程： 班級(jí)： 姓名： 學(xué)號(hào)： 指導(dǎo)老師： 實(shí)訓(xùn)地點(diǎn)： 成績(jī)：目錄： 2003防火墻的配置；；（2006版）的配置。事實(shí)上60%以上的網(wǎng)絡(luò)安全問(wèn)題來(lái)自網(wǎng)絡(luò)內(nèi)部。如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)安全。數(shù)據(jù)庫(kù)的連接與上文所說(shuō)的一樣，因此，此處存入的是被拒絕的數(shù)據(jù)包頭信息。外部命令，在C語(yǔ)言中可以用execlp()這一函數(shù)來(lái)執(zhí)行外部命令。數(shù)據(jù)處理模塊用到的過(guò)濾規(guī)則將在用戶界面中直接對(duì)規(guī)則數(shù)據(jù)庫(kù)操作進(jìn)而來(lái)設(shè)置要過(guò)濾的規(guī)則，而數(shù)據(jù)處理模塊則從數(shù)據(jù)庫(kù)中直接調(diào)用。比如:想禁止某一服務(wù)的業(yè)務(wù)功能，就可以在相應(yīng)的IP 號(hào)下同時(shí)設(shè)置端口號(hào)，就是表示對(duì)任一用戶的這一服務(wù)被禁止。比如:(局域網(wǎng)內(nèi)的一主機(jī)的IP地址)的主機(jī)與本地主機(jī)通信，在用戶相應(yīng)的選項(xiàng)卡中，填上這一I地址就是表示拒絕此IP地址主機(jī)向本機(jī)發(fā)出的所有數(shù)據(jù)包，這就是數(shù)據(jù)包的IP 過(guò)濾功能。接收所有本地環(huán)路接口上的進(jìn)出包。（5）應(yīng)用更為廣泛，支持VPN通信。（3）系統(tǒng)的擴(kuò)展性：分布式防火墻隨系統(tǒng)擴(kuò)充提供了安全防護(hù)無(wú)限擴(kuò)充的能力。防火墻內(nèi)部的網(wǎng)絡(luò)系統(tǒng)能與雙重宿主主機(jī)通信，同時(shí)防火墻分布式防火墻的優(yōu)勢(shì)：（1）增強(qiáng)了系統(tǒng)安全性：增加了針對(duì)主機(jī)的入侵檢測(cè)和防護(hù)功能，加強(qiáng)了對(duì)來(lái)自內(nèi)部攻擊防范，可以實(shí)施全方位的安全策略。（1）雙重宿主主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主體計(jì)算機(jī)而構(gòu)筑的。l 防火墻是一個(gè)安全策略的檢查站所有進(jìn)出網(wǎng)絡(luò)的信息都必須通過(guò)防火墻，防火墻便成為一個(gè)安全檢查點(diǎn)，使可疑的訪問(wèn)被拒絕于門(mén)外。l 防火墻限制暴露用戶點(diǎn)防火墻駒用來(lái)隔開(kāi)網(wǎng)絡(luò)中的一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。l 防火墻能有效地記錄因特網(wǎng)上的活動(dòng)因?yàn)樗羞M(jìn)出信息都必須通過(guò)防火墻，所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。（2）防火墻的基本功能l 防火墻能夠強(qiáng)化安全策略因?yàn)橐蛱鼐W(wǎng)上每天都有上百萬(wàn)人瀏覽信息、交換信息，不可避免地會(huì)出現(xiàn)個(gè)別品德不良或違反規(guī)則的人。它是一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)(如Internet)分開(kāi)的封包，并且封鎖其他的封包(通常是直接將封包丟棄)。對(duì)網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問(wèn)，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)的安全等級(jí)；其中，對(duì)網(wǎng)絡(luò)安全的威脅表現(xiàn)在：非授權(quán)訪問(wèn)，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾正常運(yùn)行，利用網(wǎng)絡(luò)傳播病毒，線路竊聽(tīng)等方面，實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估以及對(duì)風(fēng)險(xiǎn)的防范，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。防火墻技術(shù)作為時(shí)下比較成熟的一 種技術(shù)，其安全性直接關(guān)系到用戶的切身利益。而如何實(shí)施防范策略，首先取決于當(dāng)前系統(tǒng)的安全性。關(guān)鍵詞：防火墻技術(shù) 數(shù)據(jù)包過(guò)濾 數(shù)據(jù)庫(kù)引言網(wǎng)絡(luò)的安全問(wèn)題正越來(lái)越成為人們現(xiàn)在十分重視的問(wèn)題。所以，網(wǎng)絡(luò)的安全問(wèn)題也越來(lái)越成為人們現(xiàn)在考慮的十分重視的問(wèn)題。第一篇：防火墻技術(shù)報(bào)告《網(wǎng)絡(luò)與信息安全技術(shù)》防火墻技術(shù)淺談班 級(jí)：11計(jì)算機(jī)科學(xué)與技術(shù)3班學(xué) 號(hào)：2011404010306姓 名： 王 志 成 分 數(shù)：2013年12月12日防火墻技術(shù)淺談?wù)弘S著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，全球上網(wǎng)的人數(shù)在不斷地增大，網(wǎng)上的資源也不斷地增加，網(wǎng)絡(luò)的開(kāi)放性、共享性、互連程度也隨之不斷擴(kuò)大。然而，因特網(wǎng)的迅猛發(fā)展在給人們的生活帶來(lái)了極大方便的同時(shí)，因特網(wǎng)本身也正遭遇著前所未有的威脅。本文主要介紹討論了防火墻的定義、特點(diǎn)、基本功能，數(shù)據(jù)包頭分析后與過(guò)濾規(guī)則的匹配、對(duì)數(shù)據(jù)包的拒絕和日志數(shù)據(jù)庫(kù)的存儲(chǔ)。如何使用有效、可行的方法使網(wǎng)絡(luò)危險(xiǎn)降到人們可接受的范圍之內(nèi)已越來(lái)越受到人們的關(guān)注。對(duì)網(wǎng)絡(luò)安全的各獨(dú)立元素——防火墻、漏洞掃描、入侵檢測(cè)和反病毒等進(jìn)行風(fēng)險(xiǎn)評(píng)估也是很有必要的。針對(duì)網(wǎng)絡(luò)安全獨(dú)立元素——防火墻技術(shù)，判斷系統(tǒng)的安全等級(jí)，實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。所謂“防火墻”，是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行說(shuō)控制策略的一個(gè)或一組系統(tǒng)，包括硬伯和軟件，目的是保護(hù)網(wǎng)絡(luò)不被他人侵?jǐn)_。理論上，這一類(lèi)的防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機(jī)器里。防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點(diǎn)的安全策略，僅僅容許“認(rèn)可的”和符合規(guī)則的請(qǐng)求通過(guò)。作為訪問(wèn)的唯一點(diǎn)，防火墻記錄著被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行的所有事件。這樣，就能夠有效控制影響一個(gè)網(wǎng)段的問(wèn)題通過(guò)整個(gè)網(wǎng)絡(luò)傳播。目前，防火墻的體系結(jié)構(gòu)一般有3種：雙重宿主主機(jī)體系結(jié)構(gòu)、主機(jī)過(guò)濾體系結(jié)構(gòu)和子網(wǎng)過(guò)濾體系結(jié)構(gòu)。該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，并能夠從一個(gè)網(wǎng)絡(luò)向另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。（2）提高了系統(tǒng)性能：消除了結(jié)構(gòu)性瓶頸問(wèn)題，提高了系統(tǒng)性能。（4）實(shí)施主機(jī)策略：對(duì)網(wǎng)絡(luò)中的各節(jié)點(diǎn)可以起到更安全的防護(hù)。防火墻技術(shù)其實(shí)是基于對(duì)工作在網(wǎng)絡(luò)層中的數(shù)據(jù)包的過(guò)濾，數(shù)據(jù)包的過(guò)濾原理要遵揗一些過(guò)濾規(guī)則：（1）過(guò)濾規(guī)則本系統(tǒng)采用的默認(rèn)過(guò)濾規(guī)則是：默認(rèn)接收所有的進(jìn)入、外出和轉(zhuǎn)發(fā)數(shù)據(jù)包。當(dāng)要有選擇地接收數(shù)據(jù)包時(shí)，本地的過(guò)濾規(guī)則需要進(jìn)行相應(yīng)的設(shè)置。當(dāng)然也要實(shí)現(xiàn)端口的過(guò)濾功能。其實(shí)，這只能對(duì)某一些常用的端口號(hào)進(jìn)行過(guò)濾，如：對(duì)HTTP(端口80)進(jìn)行過(guò)濾，就是禁止外部用戶通過(guò)防火墻訪問(wèn)內(nèi)部HTTP 服務(wù)器；對(duì)FTP(端口20，21)進(jìn)行過(guò)濾，就是禁止外部主機(jī)通過(guò)防火墻訪問(wèn)內(nèi)部FTP服務(wù)器。因此，過(guò)濾規(guī)則是在數(shù)據(jù)庫(kù)中定義，由用戶在數(shù)據(jù)庫(kù)操作界面上輸入的，供底層應(yīng)用程序調(diào)用。（4）存入日志數(shù)據(jù)庫(kù)對(duì)數(shù)據(jù)包頭分析處理后，可以得到此IP訪問(wèn)的源IP地址、目的IP 地址、端口以及被拒絕通過(guò)的情況。防火墻技術(shù)作為目前用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種用來(lái)拒絕未經(jīng)授權(quán)用戶的訪問(wèn)，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時(shí)允許合法用戶不受妨礙的訪問(wèn)網(wǎng)絡(luò)資源的主要手段。但是沒(méi)有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問(wèn)題，比如防火墻雖然能對(duì)來(lái)自外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的保護(hù)，但對(duì)于來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊卻無(wú)能為力。因此網(wǎng)絡(luò)安全單靠防火墻是不夠的，還需要有其它技術(shù)和非技術(shù)因素的考慮，如信息加密技術(shù)、身份驗(yàn)證技術(shù)、制定網(wǎng)絡(luò)法規(guī)、提高網(wǎng)絡(luò)管理人員的安全意識(shí)等等。一、windows 2003防火墻的配置： 2003 中啟用防火墻服務(wù)：‘Windows 防火墻’ 屬性窗口，在常規(guī)對(duì)話框中選擇‘啟用’并勾選‘不允許例外’：‘例外’屬性，在選擇按鈕中點(diǎn)擊‘添加程序’：‘瀏覽’按鈕：，點(diǎn)擊‘打開(kāi)’按鈕，確定后完成此步驟的操作：，在勾選對(duì)話框中的‘本地連接’后單擊‘設(shè)置’按鈕：‘服務(wù)’屬性選項(xiàng)卡，勾選在啟用防火墻的情況下允許運(yùn)行在本地連接上的網(wǎng)絡(luò)服務(wù)： ‘ICMP’屬性，選擇來(lái)自Internet的此計(jì)算機(jī)將要響應(yīng)的信息請(qǐng)求類(lèi)型：windows 2003防火墻的配置完成。國(guó)內(nèi)安全設(shè)備主要采用的就是基于X86的通用CPU架構(gòu)。由于采用了硬件轉(zhuǎn)發(fā)模式、多總線技術(shù)、數(shù)據(jù)層面與控制層面分離等技術(shù)，ASIC架構(gòu)防火墻解決了帶寬容量和性能不足的問(wèn)題，穩(wěn)定性也得到了很好的保證。工作原理：防火墻技術(shù) 傳統(tǒng)意義上的防火墻技術(shù)分為三大類(lèi)，“ 包過(guò)濾 ”（Packet Filtering）“ 應(yīng)用代、理”（Application Proxy）和“狀態(tài)監(jiān)