【正文】 主域)等，完成后也就建立了一個初始化設置了。3. 輸入enable命令，進入Pix 525特權用戶模式，默然密碼為空。Encrypted選項是確定所加密碼是否需要加密。具體配置Pix525enable Password: Pix525config t Pix525(config)interface ethernet0 auto Pix525(config)interface ethernet1 auto在默認情況下ethernet0是屬外部網卡outside, ethernet1是屬內部網卡inside,inside在初始化配置成功的情況下已經被激活生效了，但是outside必須命令配置激活。這須在全局配置模式下進行。在時間上如果為0，可以為一位，如：21:0:0指定接口的安全級別 指定接口安全級別的命令為nameif，分別為內、外部網絡接口指定一個適當的安全級別。在Cisco PIX系統(tǒng)防火墻中，安全級別的定義是由security()這個參數決定的，數字越小安全級別越高，所以security0是最高的，隨后通常是以10的倍數遞增，安全級別也相應降低，如下列： Pix525(config)nameif Ethernet0 outside security0outside是指外部接口 Pix525(config)nameif ethernet1 inside security100inside 是指內部接口 7．配置以太網接口IP地址 所用命令為:ip address,如需配置防火墻上的內部網接口IP地址為： ；外部網接口IP地址： ： Pix525（config）ip address inside Pix525(config)ip address outside 這個命令是把訪問控制列表綁定在特定的接口上。命令格式為：accessgroup aclID in interface interfacename,其中的’’aclID”是指訪問控制列表名稱，interfacename為網絡接口名稱。clear accessgrouta：清除所有綁定的訪問控制綁定設置。show accessgroup aclID in interface interfacename:顯示指定的訪問控制綁定設置。標準規(guī)則號（listnumber1）是1~99之間的整數，而擴展規(guī)則號（listnumber2）是100~199之間的整數。網絡協(xié)議一般有IP TCP UDP ICMP等等。254進行訪問，則可按以下配置：Pix525(config)accessliet 100 permit ep 其中的100表示訪問規(guī)則號，根據當前已配置的規(guī)則條數來確定，不能與原來規(guī)則的重要，也必須是正整數。 （NAT）防火墻的NAT配置路由器的NAT配置基本一樣，首先也必須定義供NAT轉換的內部IP地址組，接著定義內部網段。如：Nat(inside)1 ,。如：Global(outside)1 netmask ,~，. Redirection with Statics這是靜態(tài)端口重定向命令。其中重定向后的地址可以是單一外部地址、共享的外部地址轉換端口（PAI），或者是共享的外部端口。命令格式有兩種，分別適用于TCP/UDP通信；（1） static[(internal_if_name, external_if_name)]{global_ip interface}local_ip【netmask mask】 max_conns [emb_limit[norandomseq]]]（2） static[(internal_if_name,external_if_name)]{tcpudp}[global_ipinterface]global_port local_ip local_part local_ip local_port [netmask mask][mas_conns [emb_limit[norandomseq]]]此命令中的以上各參數解釋如下；Internal_if_name。 第三節(jié) 防火墻典型配置舉例組網需求該公司通過一臺Quidway路由器的來接口Serial 0訪問Internet,格公司內部對外提供WWW、FTP和Telnet服務，這樣內部PC及可以訪問Internet,外部PC可以訪問內部服務器。[Quidwayacl101]acl 102[Quidwayacl102]rule permit tcp source any202 .配置規(guī)則允許特定用戶從外部網取得數據（只允許端口大小1024的包）[Quidwayacl102]rule permit tcp source any destination destinationport greaterthan 1024將規(guī)則101作用于從接口Ethernet0進入的包。[QuidwaySeria10]firewall packetfilter 102 inbound 第五章、防火墻的基本類型　　防火墻的基本類型包括包過濾、網絡地址轉化—NAT、應用代理和狀態(tài)檢測。它通常由定義的各條數據安全規(guī)則所組成，防火墻設置可基于源地址、源端口、目的地址、目的端口、協(xié)議和時間；可根據地址薄進行設置規(guī)則。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。系統(tǒng)管理員也可以根據實際情況靈活制訂判規(guī)則。網絡地址轉換允許具有私有IP地址的內部網絡通過地址轉換訪問因特網，用戶不許要為其網絡中每一臺機器取得注冊的IP地址。使得有限的外網IP就能滿足內網用戶對外網的訪問，同時還能夠避免受到來自外部其他網絡的非授權訪問或惡意攻擊。在外部網絡通過非安全網卡訪問內部網絡時，它并不知道內部網絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。應用代理完全接管了用戶與服務器的訪問，把用戶主機與服務器之間的數據包的交換通道給隔離起來。在實際的應用中，應用代理的功能是由代理服務器來完成的。它監(jiān)視每一個有效連接的狀態(tài)，并根據這些信息決定網絡數據包是否能夠通過防火墻。狀態(tài)檢測在包過濾的同時，檢查數據包之間的關聯性和數據包中的動態(tài)變化。 第一節(jié) 防火墻的性能將不斷突破。 第二節(jié) 防火墻將不斷的深入應用防護。 第三節(jié) 防火墻將支持更多的應用層協(xié)議。 第四屆 防火墻將作為企業(yè)安全管理平臺的一個組件?！　〉谖鍖?防火墻將更可靠、更智能化?！　‖F有防火墻技術仍無法給我們一個相當安全的網絡。未來，防火墻將成為網絡安全技術中不可缺少的一部分。如何增加安全產品的可靠性和性能成為業(yè)界研究的課題，目前看來安全產品的軟硬件一體化的設計，符合這一發(fā)展趨勢。一件可靠的網絡安全產品設計和患珍珠項鏈非常相似：項鏈的任何一個環(huán)節(jié)出問題，整項鏈都會散落，不再是一完成的項鏈；網絡安全產品系統(tǒng)的任何意個組成部分不安全、不穩(wěn)定，則整件系統(tǒng)安全性就無從談起。網絡安全產品系統(tǒng)體系架構也一樣：薄弱的組成部分越少，整體組成的部件越少，網絡安全產品的可靠性就越高。所以防火墻的自身可靠性與就對整個網絡的可靠與高校產生很的影響。從電氣產品設計角度來說，多接插件導致整個系統(tǒng)有多個故障點，然任何一個故障點除問題都會導致系統(tǒng)崩貴，而一體化的設計獎故障點減最少，基本硬件一體化設計的系統(tǒng)的故障是傳統(tǒng)的多接插件設計系統(tǒng)的五分之一，甚至是十分之一。這些，對于保障用戶的網絡安全都會造成不良影響。 硬件一體華的設計獎一態(tài)網控制器、內存控制器以及策制器有機地集成在一塊芯中。 傳統(tǒng)的防火墻大多采用Linux或BSD通用操作系統(tǒng)控制硬件、基本輸入和運算，然后再加上ipchains，iptables或pf等包過虛軟件來實現包過功能，并在上層建立應理等功能。眾所周所，Linux/RSD系統(tǒng)的源代碼都是公開的，即使防火墻廠商對其進行了精簡和修改，也不能排除仍然有漏洞的可能性，這樣就會對防火墻構成極大的自身安全威脅。 這樣對防火墻的軟件進行優(yōu)化就成了當務之急。采用微核結構的防火墻，在網絡數據通過微核結構的防火墻專用硬件后，就直接到達了包過的核心。轉發(fā)和調用環(huán)節(jié)的減少是防火墻的穩(wěn)定性和安全性得到了極大地提高。 謝 辭在論文選題、理論研究分析以及論文寫作的整個過程中，處處參透著老師的心血。在論文完成之際，在此致以宗高的謝意，心希望李健軍老師表示衷心的感謝和崇高的敬意。希望他們在今后工作順利、生活愉快！參考文獻《中華人民共和國計算機信息系統(tǒng)安全保護條例》網絡參考文獻《計算機學報》2010年3月出版（美）Mandy Andress薯。計算機安全原理。計算機病毒與木馬程序部折。李昂等。北京：機械工業(yè)出版社。個人防火墻。網絡安全與防火墻技術。Windows 防火墻于網絡封包載獲技術。電子工業(yè)出版社。入侵檢測系統(tǒng)實列部折 北京：清華大學出版社2002年5月1石志國等編薯。北京：清華大學出版社，