畢業(yè)論文---防火墻技術在網(wǎng)絡安全中的實際應用

1、<p>　　畢 業(yè) 設 計（論 文）</p><p>　　論文題目：防火墻技術在網(wǎng)絡安全中的實際應用 </p><p>　　學習中心（或辦學單位）： </p><p>　　指導老師： 職 稱： </p><p>　　學生姓名： 學 號:

2、 </p><p><b>　　專 業(yè)： </b></p><p><b>　　年 10月 23日</b></p><p>　　畢業(yè)設計（論文）任務書</p><p>　　題目 : 防火墻技術在網(wǎng)絡安全中的實際應用</p><p><b>　　摘要<

3、;/b></p><p>　　針對目前面臨的網(wǎng)絡安全問題，對網(wǎng)絡安全和防火墻的基本概念進行了概括。防火墻是一種訪問控制技術，它通過在某個機構的網(wǎng)絡和不安全的網(wǎng)絡之間設置障礙，阻止信息資源的非法訪問。又系統(tǒng)地闡述了主機興網(wǎng)絡防火墻的工作原理和關鍵技術。分析了防火墻技術在Internet安全上的重要作用，并提出其不足之處和解決方案。最后闡述了實例Cisco PIX硬件防火墻，以及防火墻發(fā)展趨勢和防火墻的反戰(zhàn)前景

4、及技術方向。</p><p>　　關鍵詞：網(wǎng)絡安全，防火墻技術，PIX</p><p><b>　　Abstract</b></p><p>　　Aiming at the problem of network security, facing to the network security and the basic concept of f

5、irewall were summarized. A firewall is a kind of access control technology, it through at an institution of network and unsafe network between up barriers, prevent information resources of unauthorized access. And system

6、atically expounds the host xing network firewall working principle and key technology. Analyzes the firewall technology in the Internet security on the important role, and also put</p><p>　　Keywords: network

7、 security, firewall technology, PIX </p><p><b>　　目錄</b></p><p><b>　　第一章 緒 言1</b></p><p>　　第一節(jié) 研究歷史1</p><p><b>　　第二節(jié)……2</b></p&

8、gt;<p><b>　　第三節(jié)……2</b></p><p><b>　　第四節(jié)……2</b></p><p><b>　　第二章……2</b></p><p><b>　　第一節(jié)……2</b></p><p><b>　

9、　第二節(jié)……2</b></p><p><b>　　第n章……2</b></p><p><b>　　第一節(jié)……2</b></p><p><b>　　第二節(jié)……2</b></p><p><b>　　結束語3</b></p&g

10、t;<p><b>　　謝辭4</b></p><p><b>　　參考文獻5</b></p><p><b>　　緒論</b></p><p>　　科學技術的飛速發(fā)展，人們已經生活在信息時代。計算機技術和網(wǎng)絡技術深入到社會的各個領域，因特網(wǎng)把“地球村”的居民緊密地連在了一起。近年來

11、因特網(wǎng)的飛速發(fā)展，給人們的生活帶來了全新地感受，人類社會各種活動對信息網(wǎng)絡地依賴程度已經越來越大。然而，凡事“有利必有一弊”，人們在得益于信息所帶來的新的巨大機遇的同時，也不得不面對信息安全問題的嚴峻考驗?！昂诳凸簟本W(wǎng)站被“黑”，“CIH病毒”無時無刻不充斥在網(wǎng)絡中?！半娮討?zhàn)”已成為國與國之間，商家與商家之間的一種重要的攻擊與防衛(wèi)手段。因此信息安全，網(wǎng)絡安全的問題已經引起各國，各部門，各行各業(yè)以及每個計算機用戶的充分重視。因特網(wǎng)提供給

12、人們的不僅僅是精彩，還無時無刻地存在各種各樣的危險和陷阱。對此，我們既不能對那些潛在的危險不予重視，遭受不必要的損失；也不能因為害怕某些危險而拒絕因特網(wǎng)的各種有益的服務，對個人來說這樣會失去了了解世界、展示自己的場所，對企業(yè)來說還失去了拓展業(yè)務、提高服務、增強競爭力的機會。不斷地提高自身網(wǎng)絡的安全才是行之有效地辦法。</p><p>　　在我國，雖然計算機網(wǎng)絡應用起步比較晚，但在金融界也已發(fā)生過多起盜竊案，在科技

13、界也發(fā)生了用戶帳號被盜用，使被盜用戶一個月的網(wǎng)絡費用損失高達2萬余元的情況。因此，對計算機網(wǎng)絡安全系統(tǒng)采取措施，鑒別合法用戶驚醒的操作就顯得非常重要。這可以拒絕對敏感數(shù)據(jù)進行非授權的訪問、使用，防止黑客的入侵和計算機病毒的破壞，把計算機網(wǎng)絡安全措施落實到實處。</p><p>　　隨著計算機技術的發(fā)展，信息安全已日益引起人們的高度重視。依據(jù)美國CSI及FBI聯(lián)合發(fā)布的《2004年度計算機犯罪及安全調查報告》中提供

14、的數(shù)據(jù)，僅在2003年503家被調查的美國公司因信息安全導致的損失超過38億美元。如何不斷研究和提高信息安全技術已直接關系到社會信息化的發(fā)展。目前，普遍采用的技術主要包括加密、VPN、數(shù)字身份識別、訪問控制、入侵檢測、網(wǎng)絡防火墻、反病毒等技術。依據(jù)上述報告顯示，2003年96%的美國公司采用了網(wǎng)絡防火墻技術，僅比位居第一位的反病毒技術低2個百分點。可見，網(wǎng)絡防火墻技術在信息安全領域扮演著十分重要的角色。</p><p

15、>　　一 網(wǎng)絡安全的基礎知識簡介</p><p><b>　　(一) 網(wǎng)絡安全</b></p><p><b>　　1．網(wǎng)絡安全定義</b></p><p>　　網(wǎng)絡安全的具體含義會隨著“角度”的變化而變化。比如：從用戶(個人、企業(yè)等)的角度來說，他們希望涉及個人隱私火商業(yè)利益的信息在網(wǎng)絡上傳輸受到機密性、完整性和真

16、實性的保護，避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私，同時也避免其他用戶的非法授權訪問和破壞。①從網(wǎng)絡運行和管理者角度說，他們希望對本地網(wǎng)絡信息的訪問、讀寫等操作收到保護和控制，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務和網(wǎng)絡資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡黑客的攻擊。②對安全保密部門來說，他們希望對非法、有害的或涉及國家機密的信息進行過濾和防堵，避免機要信息泄漏，避免對社會產生危害，對國家造成巨

17、大損失。③從社會教育和意識形態(tài)角度來講，網(wǎng)絡上不健康的內容，會對社會的穩(wěn)定和人類的發(fā)展造成阻礙，必須對其控制。④從本質上來講，網(wǎng)絡安全就是網(wǎng)絡上的信息安全，是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)的數(shù)據(jù)收到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄密，系統(tǒng)連續(xù)可靠的運行，網(wǎng)絡服務中斷。廣義來說，凡事涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性、和可控制性的相關技術和理論都是網(wǎng)絡安全索要研究的領域。</p><p&

18、gt;　　2．不同環(huán)境和應用中的網(wǎng)絡安全</p><p>　　運行系統(tǒng)安全：保證信息處理和傳輸系統(tǒng)的安全。它側重于保證系統(tǒng)正常運行，避免因為系統(tǒng)的崩潰和損壞而對系統(tǒng)存貯、處理和傳輸造成破壞和損失，避免由于電磁泄漏，產生信息泄漏，干擾他人，受他人干擾。</p><p>　?、?網(wǎng)絡上系統(tǒng)信息的安全：包括用戶口令鑒別，用戶存取權限控制，數(shù)據(jù)存取權限，方式控制，安全審計，安全問題跟蹤，計算機病毒

19、防治，數(shù)據(jù)加密。</p><p>　?、?網(wǎng)絡上信息傳播安全：即信息傳播后果的安全。包括信息過濾等。它側重于防治和控制非法、有害的信息進行傳播后的后果。避免公用網(wǎng)絡上大量自由傳輸?shù)男畔⑹Э亍?lt;/p><p>　　③ 網(wǎng)絡上信息內容的安全：它側重于保護數(shù)據(jù)的保密性、真實性和完整性。避免攻擊者利用系統(tǒng)的安全漏洞進行竊聽、冒充、詐騙等有損于合法用戶的行為。本質上是保護用戶的利益和隱私。</

20、p><p>　　3.網(wǎng)絡安全的威脅源</p><p>　　① 網(wǎng)絡安全性面臨的威脅</p><p>　　對于網(wǎng)絡安全性，可以通過甲、乙兩個用戶在計算機網(wǎng)絡上的通信來考慮計算機網(wǎng)絡</p><p>　　面臨的威脅，主要有一下幾種情況：</p><p><b>　　(1)信息泄露</b></p>

21、;<p>　　當甲通過網(wǎng)絡與乙進行通信時，如果不采取任何保密措施，那么其他人就與可能偷看到他們的通信內容。</p><p><b>　　(2)識別</b></p><p>　　對于進入計算機網(wǎng)絡系統(tǒng)的用戶，系統(tǒng)必須檢驗其合法性。如果不是系統(tǒng)的合法用戶，系統(tǒng)將不給予服務。因此系統(tǒng)要有“身份識別的功能”。</p><p><b&

22、gt;　　(3)假冒</b></p><p>　　甲和乙是系統(tǒng)的合法用戶，網(wǎng)絡為他們提供應有的服務。丙也想獲得這些服務，于是丙系統(tǒng)發(fā)出：“我是乙”。系統(tǒng)怎么才能識別這一服務請求不是由乙發(fā)出的，而是假冒的呢？</p><p><b>　　(4)篡改</b></p><p>　　乙給甲發(fā)了如下一份文報：“請給丁匯100元錢。乙”。文報在

23、轉發(fā)過程中經過了丙的手。丙就把“丁”改成了“丙”。</p><p>　　(5)惡意程序的攻擊</p><p>　　除了上述用戶之間通信中的信息安全問題外，網(wǎng)絡本身也容易遭受一些惡意程序(rogue program)的攻擊。惡意程序種類繁多，對網(wǎng)絡安全威脅較大主要有以下幾種：計算機病毒、計算機蠕蟲特洛伊木馬邏輯炸彈。這里所說的計算機病毒是俠義的也有人把所有的惡意程序指為計算機病毒。目前，計算

24、機病毒被分為3大類型，即分區(qū)病毒、文件病毒和宏病毒。</p><p><b>　　② 人為威脅源</b></p><p>　　人為威脅源有兩種，一種是指計算機黑客闖入用戶的網(wǎng)絡計算機系統(tǒng)，我們把他稱為外部危險；一種來自系統(tǒng)的內部，我們把它稱為內部危險。</p><p>　　(1)網(wǎng)絡內部危險包括一下幾個方面：設計安全過程中，沒有考慮員工和公司之

25、間的關系。網(wǎng)絡安全需要花費管理人員的精力來維護和實施，造成經費的增加。網(wǎng)絡安全主要來自企業(yè)內部松懈的、甚至完全不存在的安全措施。用戶對限制訪問的安全策略有抵觸情緒、不遵守安全標準。</p><p>　　(2)外部危險，網(wǎng)絡外部危險包括一下幾個方面，竊取機密信息，向外部透露敏感信息，非法訪問網(wǎng)絡服務程序和資源，干擾網(wǎng)絡正常服務，故意損壞、修改和刪除數(shù)據(jù)，竊取或損壞硬件和軟件。</p><p>

26、;　　4.網(wǎng)絡安全中的其它技術</p><p>　　網(wǎng)絡安全其它技術還有加密技術、rsa算法、pki技術、認證機構。</p><p>　　信息交換加密技術分為兩類：即對稱加密和非對稱加密。在對稱加密技術中，對信息的加密和解密都是用相同的鑰，也就是說一把鑰匙開一把鎖。這種加密的方法可簡化加密處理過程，信息交換雙方都不彼此研究和交換專用的加密算法。在非對稱加密算法需要</p>&

27、lt;p>　　兩個密鑰：公開密鑰(publickey)和私有密鑰(privatekey)。公開密鑰與私有密鑰是一對，</p><p>　　如果用公開密鑰對數(shù)據(jù)進行加密，只有用對應的私有密鑰才能解密；如果用私有密鑰對數(shù)據(jù)進行加密，那么只有用對應的公開密鑰才能解密。非對稱加密算法的保密性比較好，它消除了最終用戶交換密鑰的需要，但加密和解密花費時間長、速度慢，它不適合于對文件加密而只適用于對少量數(shù)據(jù)進行加密。&l

28、t;/p><p>　　rsa算法是rivest、shamir和adleman于1977年提出的第一個完善的公鑰密碼體制，其安全性是基于分解大整數(shù)的困難性。在rsa體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分解兩大素數(shù)之積。Rsa算法的描述如下：</p><p>　　公開密鑰：n=pq (p、q分別為兩個互異的大素數(shù)，p、q必須保密)</p><p&g

29、t;　　e與(p-1)(q-1)互素</p><p>　　私有密鑰：d=e-1{mod(p-1)(q-1)}</p><p>　　加密：c=me(mod n)，其中m為明文c為密文。</p><p>　　解密：m=cd(mod n)</p><p>　　利用目前已經掌握的知識和理論，分解2048bit的大整數(shù)已經能夠超過64位計算機的運算能力

30、，因此在目前和預見的未來，它是足夠安全的。</p><p>　　pki(public key infrastucture)技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。Pki技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。由于通過網(wǎng)絡進行的電子商務、電子政務、電子事物等活動缺少物理接觸，因此使得用電子方式驗證信任關系變得至關重要。而pki技術恰好是一種適合電子商務、電子政務、電子事物的密碼技術，

31、它能夠有效的解決電子商務應用中的機密性、真實性、安全性、不可否認性和存取控制等安全問題。</p><p>　　ca(certification authorty)就是這樣一個確保信任度發(fā)熱權威實體，它主要職責是頒發(fā)證書、驗證用戶身份的真實性。</p><p>　　傳統(tǒng)的網(wǎng)絡防火墻，存在著以下不足之處：</p><p>　　①無法檢測加密的Web流量</p>

32、;<p>　　如果你正在部署一個關鍵的門戶網(wǎng)站，希望所有的網(wǎng)絡層和應用層的漏洞都被屏蔽在應用程序之外。這個需求，對于傳統(tǒng)的網(wǎng)絡防火墻而言，是個大問題由于網(wǎng)絡防火墻對于加密的SSL流中的數(shù)據(jù)是不可見的，防火墻無法迅速截獲SSL數(shù)據(jù)流并對其解密，因此無法阻止應用程序的攻擊，甚至有些網(wǎng)絡防火墻，根本就不提供數(shù)據(jù)解密的功能。</p><p>　　②普通應用程序加密后，也能輕易躲過防火墻的檢測</p&g

33、t;<p>　　網(wǎng)絡防火墻無法看到的，不僅僅是SSL加密的數(shù)據(jù)。對于應用程序加密的數(shù)據(jù)，同樣也看不到。在如今大多數(shù)網(wǎng)絡防火墻中，依賴的是靜態(tài)的特征庫，與入侵檢測系統(tǒng)(IDS,Intrusion Detect System)的原理類似。只有當應用層攻擊行為的特征與防火墻中的數(shù)據(jù)</p><p>　　庫已有的特征完全匹配時，防火墻才能識別和截獲攻擊數(shù)據(jù)。但如今，采用常見的編碼技術，就能夠將惡意代碼和其它

34、攻擊命令隱藏起來，轉換成形式，既能夠前端的網(wǎng)絡安全系 </p><p>　　統(tǒng)，又能夠在后臺服務器中執(zhí)行。這種加密后的攻擊代碼，只要與防火墻規(guī)則庫中的 不一樣，就能夠躲過防火墻，成功避開特征匹配。</p><p>　?、?對于Web應用程序，防范能力不足</p><p>　　網(wǎng)絡防火墻于1990年發(fā)明，而商用的Web服務器，則在一年以后才面世。基于狀態(tài)檢測的防火墻，

35、其設計原理，是基于網(wǎng)絡層TCP和IP地址，來設置與加強狀態(tài)訪問控制列表(ACLs，Access Control Lists)。在這一方面，網(wǎng)絡防火墻表現(xiàn)確實十分出色。今年來，實際應用過程中，HTTP是主要的傳輸協(xié)議。主流的平臺供應商和大的應用程序供應商，均已轉移到基于Web的體系結構，安全防護的目的，不在只是重要的業(yè)務數(shù)據(jù)。網(wǎng)絡防火墻的防護范圍，也發(fā)生了變化。由于體系結構的原因，即使是最先進的網(wǎng)絡防火墻，在防范Web應用程序時，由于無法

36、全面控制網(wǎng)絡、應用程序和數(shù)據(jù)流也無法截獲應用層的攻擊。由于對正體的應用數(shù)據(jù)流，缺乏完整的、基于會話級別的監(jiān)控能力，因此很難預防新的未知的攻擊。</p><p>　　④ 應用防護特征，只適用于簡單情況</p><p>　　目前的數(shù)據(jù)中心服務器，時常會發(fā)生變動，比如：定期需要部署新的應用程序；經常需要增加或更新軟件模塊；經常會發(fā)現(xiàn)代碼中的bug，已部署的系統(tǒng)需要定期打補丁。雖然一些先進的網(wǎng)絡防

37、火墻供應商，提出了應用防護的特征，但只是適用于簡單的環(huán)境中。細看就會發(fā)現(xiàn)，對于實際的企業(yè)應用來說，這些特征存在著局限性。在多數(shù)情況下，彈性概念(Proof-Of-Concept)的特征無法應用于現(xiàn)實生活中的數(shù)據(jù)中心上。比如，有些防火墻供應商，曾經聲稱能夠阻止緩存溢出：當黑客在瀏覽器的URL中輸入太長數(shù)據(jù)，試圖使用后臺服務崩潰或使試圖非法訪問的時候，網(wǎng)絡防火墻能夠檢測并制止這種情況。細看就會發(fā)現(xiàn)，這些供應商采用對80端口數(shù)據(jù)流中，針對UR

38、L長度進行控制的方法，來實現(xiàn)這個功能的。如果使用這個規(guī)則，講對所有的應用程序生效。如果一個程序或者是一個簡單的Web網(wǎng)頁，確實需要涉及到很長的URL時，就要屏蔽該規(guī)則。網(wǎng)絡防火墻的體系結構，決定了網(wǎng)絡防火墻是針對網(wǎng)絡端口和網(wǎng)絡層進行操作的，因此很難對應用層競選防護，除非是一些很簡單的應用程序。</p><p>　?、?無法擴展帶深度的檢測功能</p><p>　　基于狀態(tài)檢測的網(wǎng)絡防火墻，

39、如果希望只擴展深度檢測(deep inspection)功能，而沒有相應增加網(wǎng)絡性能，這是不行的。真正的針對所有網(wǎng)絡和應用程序流量的深度檢測功能，需要空前的處理能力，來完成大量的計算任務，包括以下幾個方面;SSL 加密/解密功能；完全的雙向有效負載檢測；確保所有合法流量的正?；?；廣泛的協(xié)議性能；這些任務，在基于標準PC硬件上，是無法高效運行的，雖然一些網(wǎng)絡防火墻供應商采用的是基于ASIC </p><p>　　平

40、臺，但進一步研究，就能發(fā)現(xiàn)：舊的基于網(wǎng)絡的ASIC平臺對于新的深度檢測功能是無</p><p><b>　　法支持的。</b></p><p>　?、?小結：應用層受到攻擊的概率越來越大，而傳統(tǒng)的網(wǎng)絡防火墻在這方面有存在著不足之處。對此，少數(shù)防火墻供應商也開始意識到應用層的威脅，在防火墻產品上增加了一些彈性概念(Proof-Of-Concept)的特征，試圖防范這些威

41、脅。傳統(tǒng)的網(wǎng)絡防火墻對于應用安全的防范上效果不佳，對于上述出的五大不足之處，將來需要在網(wǎng)絡層和應用層加強防范。</p><p><b>　　二 防火墻概述</b></p><p>　　(一) 防火墻的介紹</p><p><b>　　1.防火墻</b></p><p>　　防火墻是指設置在不同網(wǎng)絡

42、(如可信任的企業(yè)內部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。</p><p><b>　　2.防火墻的原理</b></p><p>　　隨著網(wǎng)絡規(guī)模的擴大和開放性的增

43、強，網(wǎng)絡上的很多敏感信息和保密數(shù)據(jù)將受到很多主動和被動的人為攻擊。一種解決辦法是為需要保護的網(wǎng)絡上的每個工作站和服務器裝備上強大的安全特征(例如入侵檢測)，但這幾乎是一種不切合實際的方法，因為對具有幾百個甚至上千個節(jié)點的網(wǎng)絡，它們可能運行著不同的操作系統(tǒng)，當發(fā)現(xiàn)了安全缺陷時，每個可能被影響的節(jié)點都必須加以改進以修復這個缺陷。另一種選擇就是防火墻 (Firewall)，防火墻是用來在安全私有網(wǎng)絡(可信任網(wǎng)絡)和外部不可信任網(wǎng)絡之間安全連接

44、的一個設備或一組設備，作為私有網(wǎng)絡和外部網(wǎng)絡之間連接的單點存在。防火墻是設置在可信任的內部網(wǎng)絡和不可信任的外部網(wǎng)絡之間的一道屏障，它可以實施比較廣泛的安全策略來控制信息流，防止不可預料的潛在的入侵破壞DMZ外網(wǎng)和內部局域網(wǎng)的防火墻系統(tǒng)。</p><p><b>　　3.防火墻的架構</b></p><p>　　防火墻產品的三代體系架構主要為： </p>

45、<p>　　第一代架構：主要是以單一cpu作為整個系統(tǒng)業(yè)務和管理的核心，cpu有x86、powerpc、mips等多類型，產品主要表現(xiàn)形式是pc機、工控機、pc-box或risc-box等；</p><p>　　第二代架構：以np或asic作為業(yè)務處理的主要核心，對一般安全業(yè)務進行加速，嵌入式cpu為管理核心，產品主要表現(xiàn)形式為box等； </p><p>　　第三代架構：iss

46、(integrated security system)集成安全體系架構，以高速安全處理芯片作為業(yè)務處理的主要核心，采用高性能cpu發(fā)揮多種安全業(yè)務的高層應用，產品主要表現(xiàn)形式為基于電信級的高可靠、背板交換式的機架式設備，容量大性能高，各單元及系統(tǒng)更為靈活。</p><p>　　4.防火墻系統(tǒng)的解決方案</p><p>　　防火墻就如一道墻壁，把內部網(wǎng)絡(也稱私人網(wǎng)絡)和外部網(wǎng)絡(也稱公共

47、網(wǎng)絡)隔離開。起到區(qū)域網(wǎng)絡不同安全區(qū)域的防御性設備的作用，例如：互聯(lián)網(wǎng)絡(internet)與企業(yè)內部網(wǎng)絡(intranet)之間，如圖1所示。</p><p>　　圖1內部網(wǎng)絡和外部網(wǎng)絡</p><p>　　根據(jù)已經設置好的安全規(guī)則，決定是允許(allow)或者拒絕(deny)內部網(wǎng)絡和外部網(wǎng)絡的連接，如圖2所示。</p><p>　　圖2內部網(wǎng)絡與外部網(wǎng)絡的連接

48、</p><p>　　(二) 防火墻的發(fā)展歷史</p><p>　　防火墻的發(fā)展歷程可分為5代，即：</p><p><b>　　第一代防火墻</b></p><p>　　第一代防火墻技術幾乎與路由器同時出現(xiàn)，采用了包過濾(Packet filter)技術。下圖圖 3表示了防火墻技術的簡單發(fā)展歷史。</p>

49、<p>　　自適應代理 </p><p>　　動態(tài)包過濾 ∣ </p><p>　　代理 ∣ ∣ </p><p>　　包過濾 電路層 ∣ ∣ ∣ </p>

50、<p>　　1980 ↓ ↓1990 ↓ ↓ ↓ 2000 </p><p>　　圖 3防火墻技術的發(fā)展歷史</p><p><b>　　第二、三代防火墻</b></p><p>　　1989年，貝爾實驗室的Dave Presotto和Howard Tric

51、key推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應用層防火墻(代理防火墻)的初步結構。</p><p><b>　　第四代防火墻</b></p><p>　　1992年，USC信息科學院的BobBraden開發(fā)出了基于動態(tài)包過濾(Dynamic packet filter)技術的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful insp

52、ection)技術。1994年，以色列的CheckPoint公司開發(fā)出了第一個采用這種技術的商業(yè)化的產品。</p><p><b>　　第五代防火墻 </b></p><p>　　1998年，NAI公司推出了一種自適應代理(Adaptive proxy)技術，并在其產品Gauntlet Firewall for NT中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以

53、稱之為第五代防火墻。</p><p>　　(三) 防火墻各個階段的特點</p><p>　　防火墻技術經歷了以下幾個階段：</p><p>　　1.靜態(tài)包過濾防火墻</p><p>　　靜態(tài)包過濾防火墻采用的是一個都不放過的原則。它會檢查所有通過信息包里的IP地址號，端口號及其它的包頭信息，并根據(jù)系統(tǒng)管理員給定的過濾規(guī)則和準備過濾的信息包一一

54、匹配，其中：如果信息包中存在一點與過濾規(guī)則不符合，那么這個信息包里所有的信息都會被防火墻屏蔽掉，這個信息包就不會通過防火墻。相反的，如果每條規(guī)都和過濾規(guī)則相匹配，那么信息包就允許通過。靜態(tài)包的過濾原理就是：將信息分成若干個小數(shù)據(jù)片(數(shù)據(jù)包)，確認符合防火墻的包過濾規(guī)則后，把這些個小數(shù)據(jù)片按順序發(fā)送，接收到這 </p><p>　　些小數(shù)據(jù)片后再把它們組織成一個完整的信息這個就是包過濾的原理。這種靜態(tài)包過濾防火墻，

55、對用戶是透明的，它不需要用戶的用戶名和密碼就可以登錄，它的速度快，也易于</p><p>　　維護。但由于用戶的使用記錄沒有記載，如果有不懷好意的人進行攻擊的話，我們即不能</p><p>　　從訪問記錄中得到它的攻擊記錄，也無法得知它的來源。而一個單純的包過濾的防火墻的防御能力是非常弱的，對于惡意的攻擊者來說是攻破它是非常容易的。其中“信息包沖擊”是攻擊者最常用的攻擊手段：主要是攻擊者對

56、包過濾防火墻發(fā)出一系列地址被替換成一連串順序IP地址的信息包，一旦有一個包通過了防火墻，那么攻擊者停止再發(fā)測試IP地址的信息包，用這個成功發(fā)送的地址來偽裝他們所發(fā)出的對內部網(wǎng)有攻擊性的信息。</p><p>　　2.動態(tài)包過濾防火墻</p><p>　　靜態(tài)包過濾防火墻的缺點，動態(tài)包過濾防火墻都可以避免。它采用的規(guī)則是發(fā)展為“包狀態(tài)檢測技術”的動態(tài)設置包過濾規(guī)則。它可以根據(jù)需要動態(tài)的在過濾

57、原則中增加或更新條目，在這點上靜態(tài)防火墻是比不上它的，它主要對建立的每一個連接都進行跟蹤。在這里我們了解的是代理防火墻。代理服務器型防火墻與包過濾防火墻不同之點在于，它的內外網(wǎng)之間不存在直接的連接，一般由兩部分組成：服務器端程序和客戶端程序，其中客戶端程序通過中間節(jié)點與提供服務的服務器連接。代理服務器型防火墻提供了日志和審記服務。</p><p>　　3.代理(應用層網(wǎng)關)防火墻</p><p

58、>　　這種防火墻被網(wǎng)絡安全專家認為是最安全的防火墻，主要是因為從內部發(fā)出的數(shù)據(jù)包經過這樣的防火墻處理后，就像是源于防火墻外部網(wǎng)卡一樣，可以達到隱藏內部網(wǎng)結構的作用。由于內外網(wǎng)的計算機對話機會根本沒有，從而避免了入侵者使用數(shù)據(jù)驅動類型的攻擊方式入侵內部網(wǎng)。</p><p>　　4.自適應代理防火墻</p><p>　　自適應代理技術是商業(yè)應用防火墻中實現(xiàn)的一種革命性技術。它結合了代理類

59、型防火墻和包過濾防火墻的優(yōu)點，即保證了安全性又保持了高速度，同時它的性能也在代理防火墻的十倍以上，在一般的情況下，用戶更傾向于這種防火墻。</p><p>　　我們把兩種防火墻的優(yōu)缺點的對比用下列圖表的形式表示如下：</p><p>　　(四) 防火墻的體系結構</p><p>　　目前,防火墻的體系結構一般有以下幾種：</p><p>　　

60、① 雙重宿主主機體系結構</p><p>　　② 被屏蔽主機體系結構</p><p>　?、?被屏蔽子網(wǎng)體系結構</p><p>　　1.雙重宿主主機體系結構</p><p>　　雙重宿主主機體系結構是圍繞具有雙重宿主的主機計算機而構筑的，該計算機至少有兩個網(wǎng)絡接口。這樣的主機可以充當與這些接口相連的網(wǎng)絡之間的路由器；它能夠從一個網(wǎng)絡到另一個

61、網(wǎng)絡發(fā)送IP數(shù)據(jù)包。然而，實現(xiàn)雙重宿主主機的防火墻體系結構禁止這種發(fā)送功能。因而，IP數(shù)據(jù)包從一個網(wǎng)絡(例如，因特網(wǎng))并不是直接發(fā)送到其他網(wǎng)絡(例如，內部的、被保護的網(wǎng)絡)。防火墻內部的系統(tǒng)能與雙重宿主主機通信，同時防火墻外部的系統(tǒng)(在因特網(wǎng)上)能與雙重宿主主機通信，但是這些系統(tǒng)不能直接互相通信。它們之間的IP通信被完全阻止。</p><p>　　雙重宿主主機的防火墻體系結構是相當簡單的：雙重宿主主機位于兩者之間

62、，并且被連接到因特網(wǎng)和內部的網(wǎng)絡，如圖4所示</p><p>　　圖4雙重宿主主機體系結構</p><p>　　2.被屏蔽主機體系結構</p><p>　　雙重宿主主機體系結構提供來自與多個網(wǎng)絡相連的主機的服務(但是路由關閉),而被屏蔽主機體系結構使用一個單獨的路由器提供來自僅僅與內部的網(wǎng)絡相連的主機的服務。在這種體系結構中,主要的安全由數(shù)據(jù)包過濾，其結構如 圖5所

63、示。</p><p><b>　　圖</b></p><p>　　圖5 被屏蔽主機體系結構</p><p>　　在屏蔽的路由器上的數(shù)據(jù)包過濾是按這樣一種方法設置的: 堡壘主機是因特網(wǎng)上的主機能連接到內部網(wǎng)絡上的系統(tǒng)的橋梁(例如，傳送進來的電子郵件)。即使這樣，也僅有某些確定類型的連接被允許。任何外部的系統(tǒng)試圖訪問內部的系統(tǒng)或服務將必須連接到這臺

64、堡壘主機上。因此，堡壘主機需要擁有高等級的安全。</p><p>　　數(shù)據(jù)包過濾也允許堡壘主機開放可允許的連接(什么是“可允許”將由用戶的站點的安全策略決定)到外部世界。在屏蔽的路由器中數(shù)據(jù)包過濾配置可以按下列之一執(zhí)行：</p><p>　　⑴允許其他的內部主機為了某些服務與因特網(wǎng)上的主機連接(即允許那些已經由數(shù)據(jù)包過濾的服務)。</p><p>　?、撇辉试S來自內

65、部主機的所有連接(強迫那些主機經由堡壘主機使用代理服務)。</p><p>　　用戶可以針對不同的服務混合使用這些手段；某些服務可以被允許直接經由數(shù)據(jù)包過濾，而其他服務可以被允許僅僅間接地經過代理。這完全取決于用戶實行的安全策略。</p><p>　　因為這種體系結構允許數(shù)據(jù)包從因特網(wǎng)向內部網(wǎng)的移動，所以它的設計比沒有外部數(shù)據(jù)包能到達內部網(wǎng)絡的雙重宿主主機體系結構似乎是更冒風險。實際上，雙

66、重宿主主機體系結構在防備數(shù)據(jù)包從外部網(wǎng)絡穿過內部的網(wǎng)絡也容易產生失敗(因為這種失敗類型是完全出乎預料的，不太可能防備黑客侵襲)。進而言之，保衛(wèi)路由器比保衛(wèi)主機較易實現(xiàn)，因為它提供非常有限的服務組。多數(shù)情況下，被屏蔽的主機體系結構提供比雙重宿主主機體系結構具有更好的安全性和可用性。</p><p>　　然而，比較其他體系結構，如在下面要討論的屏蔽子網(wǎng)體系結構也有一些缺點。主要</p><p>

67、;　　是如果侵襲者沒有辦法侵入堡壘主機時，而且在堡壘主機和其余的內部主機之間沒有任何保護網(wǎng)絡安全的東西存在的情況下，路由器同樣出現(xiàn)一個單點失效。如果路由器被損害，整個網(wǎng)絡對侵襲者是開放的。</p><p>　　3.被屏蔽子網(wǎng)體系結構</p><p>　　被屏蔽子網(wǎng)體系結構添加額外的安全層到被屏蔽主機體系結構，即通過添加周邊網(wǎng)絡更進一步地把內部網(wǎng)絡和外部網(wǎng)絡(通常是Internet)隔離開。

68、</p><p>　　被屏蔽子網(wǎng)體系結構的最簡單的形式為：兩個屏蔽路由器，每一個都連接到周邊網(wǎng)。</p><p>　　一個位于周邊網(wǎng)與內部網(wǎng)絡之間，另一個位于周邊網(wǎng)與外部網(wǎng)絡(通常為Internet)之間。這樣就在內部網(wǎng)絡與外部網(wǎng)絡之間形成了一個“隔離帶”。為了侵入用這種體系結構構筑的內部網(wǎng)絡，侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機，它將仍然必須通過內部路由器，如圖6所示。<

69、;/p><p>　　圖6被屏蔽子網(wǎng)體系結構</p><p>　　對圖6的要點說明如下：</p><p><b>　?、僦苓吘W(wǎng)絡</b></p><p>　　周邊網(wǎng)絡是另一個安全層,是在外部網(wǎng)絡與用戶的被保護的內部網(wǎng)絡之間的附加的網(wǎng)絡。如果侵襲者成功地侵入用戶的防火墻的外層領域，周邊網(wǎng)絡在那個侵襲者與用戶的內部系統(tǒng)之間提供一個

70、附加的保護層。</p><p>　　對于周邊網(wǎng)絡的作用，舉例說明如下。在許多網(wǎng)絡設置中，用給定網(wǎng)絡上的任何機器來查看這個網(wǎng)絡上的每一臺機器的通信是可能的，對大多數(shù)以太網(wǎng)為基礎的網(wǎng)絡確實如此(而且以太網(wǎng)是當今使用最廣泛的局域網(wǎng)技術)；對若干其他成熟的技術，諸如令牌環(huán)和FDDI也是如此。探聽者可以通過查看那些在Telnet、FTP以及Rlogin會話期間使用過的口令成功地探測出口令。即使口令沒被攻破，探聽者仍然能偷看

71、或訪問他人的敏感文件的內容，或閱讀他們感興趣的電子郵件等；探聽者能完全監(jiān)視何人在使用網(wǎng)絡。</p><p>　　對于周邊網(wǎng)絡，如果某人侵入周邊網(wǎng)上的堡壘主機，他僅能探聽到周邊網(wǎng)上的通信。因為所有周邊網(wǎng)上的通信來自或通往堡壘主機或Internet。</p><p>　　因為沒有嚴格的內部通信(即在兩臺內部主機之間的通信，這通常是敏感的或專有的)能越過周邊網(wǎng)。所以，如果堡壘主機被損害，內部的通

72、信仍將是安全的。</p><p>　　一般來說，來往于堡壘主機，或者外部世界的通信，仍然是可監(jiān)視的。防火墻設計工作的一部分就是確保這種通信不至于機密到閱讀它將損害你的站點的完整性。</p><p><b>　?、诒局鳈C</b></p><p>　　在屏蔽的子網(wǎng)體系結構中，用戶把堡壘主機連接到周邊網(wǎng)；這臺主機便是接受來自外界連接的主要入口。例如

73、：</p><p>　?、艑τ谶M來的電子郵件(SMTP)會話，傳送電子郵件到站點。</p><p>　?、茖τ谶M來的FTP連接，轉接到站點的匿名FTP服務器。</p><p>　?、菍τ谶M來的域名服務(DNS)站點查詢等。</p><p>　　另外，其出站服務(從內部的客戶端到在Internet上的服務器)按如下任一方法處理：</p&g

74、t;<p>　?、旁谕獠亢蛢炔康穆酚善魃显O置數(shù)據(jù)包過濾來允許內部的客戶端直接訪問外部的服務器。</p><p>　?、圃O置代理服務器在堡壘主機上運行(如果用戶的防火墻使用代理軟件)來允許內部的客戶端間接地訪問外部的服務器。用戶也可以設置數(shù)據(jù)包過濾來允許內部的客戶端在堡壘主機上同代理服務器交談，反之亦然。但是禁止內部的客戶端與外部世界之間直接通信(即撥號入網(wǎng)方式)。</p><p&

75、gt;<b>　?、蹆炔柯酚善?lt;/b></p><p>　　內部路由器(在有關防火墻著作中有時被稱為阻塞路由器)保護內部的網(wǎng)絡使之免受Internet和周邊網(wǎng)的侵犯。</p><p>　　內部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作。它允許從內部網(wǎng)到Internet的有選擇的出站服務。這些服務是用戶的站點能使用數(shù)據(jù)包過濾而不是代理服務安全支持和安全提供的服務。&

76、lt;/p><p>　　內部路由器所允許的在堡壘主機(在周邊網(wǎng)上)和用戶的內部網(wǎng)之間服務可以不同于內部路由器所允許的在Internet和用戶的內部網(wǎng)之間的服務。限制堡壘主機和內部網(wǎng)之間服務的理由是減少由此而導致的受到來自堡壘主機侵襲的機器的數(shù)量。</p><p><b>　　④外部路由器</b></p><p>　　在理論上，外部路由器(在有關防火

77、墻著作中有時被稱為訪問路由器)保護周邊網(wǎng)和內部網(wǎng)使之免受來自Internet的侵犯。實際上，外部路由器傾向于允許幾乎任何東西從周邊網(wǎng)出站，并且它們通常只執(zhí)行非常少的數(shù)據(jù)包過濾。保護內部機器的數(shù)據(jù)包過濾規(guī)則在內部路由器和外部路由器上基本上應該是一樣的；如果在規(guī)則中有允許侵襲者訪問的錯誤，錯誤就可能出現(xiàn)在兩個路由器上。</p><p>　　一般地，外部路由器由外部群組提供(例如，用戶的Internet供應商)，同時用

78、戶對它的訪問被限制。外部群組可能愿意放入一些通用型數(shù)據(jù)包過濾規(guī)則來維護路由器，但是不愿 </p><p>　　意使維護復雜或使用頻繁變化的規(guī)則組。</p><p>　　外部路由器實際上需要做什么呢？外部路由器能有效地執(zhí)行的安全任務之一(通常別</p><p>　　的任何地方不容易做的任務)是：阻止從Internet上偽造源地址進來的任何數(shù)據(jù)包。這樣的數(shù)據(jù)包自稱來自內

79、部的網(wǎng)絡，但實際上是來自Internet。</p><p><b>　　三 防火墻技術</b></p><p>　　關于防火墻技術，主要包括兩方面內容：即包過濾技術和代理技術。</p><p><b>　　包過濾技術</b></p><p>　　包過濾(PacketFilter)技術是基于IP地址來

80、監(jiān)視并過濾網(wǎng)絡上流入和流出的IP包，它只 </p><p>　　允許與指定的IP地址通信。它的作用是在可信任網(wǎng)絡和不可信任網(wǎng)絡之間有選擇地安排數(shù)據(jù)包的去向。信息過濾規(guī)則是以其所收到的數(shù)據(jù)包頭信息為基礎，包頭信息中包括IP源地址，IP目標端地址、封裝協(xié)議類型等。當一個數(shù)據(jù)包滿足過濾規(guī)則，則允許此數(shù)據(jù)包通過，否則拒絕此包通過，起到了保護內部網(wǎng)絡的作用。</p><p><b>　　

81、1.過濾規(guī)則</b></p><p>　　一般包過濾規(guī)則如下：</p><p>　?、?過濾規(guī)則序號FRNO(Filter rule Number)，它決定過濾算法執(zhí)行時過濾規(guī)則排列的順序。</p><p>　?、?過濾方式( Action)包括允許( Allow)和阻止( Block)。</p><p>　?、?源IP地址SIP

82、(Source IP address)。</p><p>　?、?源端口SP(Source Port)。</p><p>　?、?目的IP地址DIP (Destination IP address)。</p><p>　?、?目的端口DP(Destination Port)。</p><p>　?、?協(xié)議標志PF(Protocol Flags

83、 )。</p><p>　　⑧ 最后一項是注釋(Comment)。 </p><p>　　2.包過濾規(guī)則的制定過程</p><p>　?、?確定自己的安全需求及包過濾規(guī)則要達到的安全目標，明確什么是應該和不應該被允許的，然后制定合適的安全策略。</p><p>　?、?必須正式規(guī)定允許的包類型、包字段的邏輯表達。</p><

84、;p>　　③ 必須用防火墻支持的語法重寫表達式。</p><p><b>　　3.包過濾策略</b></p><p>　　包過濾路由器根據(jù)過濾規(guī)則來過濾基于標準的數(shù)據(jù)包，完成包過濾功能。這里主要從以下幾個方面來考慮包過濾策略：</p><p><b>　　① 包過濾控制點</b></p><p&g

85、t;<b>　　② 包過濾操作過程</b></p><p><b>　?、?包過濾規(guī)則</b></p><p>　　④ 防止不安全設計的措施</p><p>　?、?對特定協(xié)議包的過濾</p><p>　　(二) 代理服務技術</p><p>　　代理服務是運行在防火墻主機上

86、的專門的應用程序，它位于內部網(wǎng)絡上的用戶和外部網(wǎng)上的服務之間，內部用戶和外部網(wǎng)服務彼此不能直接通信，只能分別與代理打交道。代理負責接收外部網(wǎng)服務請求，再把它們轉發(fā)到具體的服務中。</p><p>　　代理服務防火墻可以配置成允許來自內部網(wǎng)絡的任何連接，它也可以配置成要求用戶認證后才建立連接，為安全性提供了額外的保證，使得從內部發(fā)動攻擊的可能性大大減少。 </p><p>　　例如，一個公司

87、決定將一個Telnet服務器作為主機，以使得遠程的管理員能夠對其執(zhí)行某些特定的操作。它代理一個連接過程如下：</p><p>　?、?有一個用戶通過23端口Telnet到這個代理服務器上。屏蔽設備檢測這個連接的源IP地址是否在允許的源地址列表中。如果在的話，就對該連接進行下一步的處理；如果不在的話，則拒絕該次連接。</p><p>　?、?提示用戶進行身份驗證。</p>&l

88、t;p>　　③ 在通過了身份驗證后，系統(tǒng)就會提示用戶給用戶一個系統(tǒng)菜單來允許用戶連接到目的主機</p><p>　　④ 用戶選擇要連接的系統(tǒng)。</p><p>　　⑤ 如果有要求，系統(tǒng)會提示用戶再輸入另外的身份驗證信息。</p><p>　　(三) 電路層網(wǎng)關技術</p><p>　　電路層網(wǎng)關的運行方式與代理服務器相似，它把數(shù)據(jù)包提交

89、給應用層過濾，并只依賴于TCP的連接。它遵循SOCKS 協(xié)議，即電路層網(wǎng)關的標準。它是在網(wǎng)絡的傳輸層實施訪問策略，是在內部網(wǎng)和外部網(wǎng)之間建立一個虛擬電路進行通信。</p><p>　　電路層網(wǎng)關的工作過程如下：</p><p>　?、?假設有一個用戶正在試圖和一個目的URL進行連接。</p><p>　?、?該用戶所使用的客戶應用程序是將請求發(fā)到地址已被解析的代理服

90、務器的內部上。③ 如果需要身份驗證的話，網(wǎng)關就會提示用戶進行身份驗證。</p><p>　?、?如果用戶通過了身份驗證的話，代理服務器就會執(zhí)行一些另外的任務，然后代理服務器為目的URL發(fā)出一個DNS請求，接著它再用自己的源IP地址和目的IP地址建立一個連接。</p><p>　?、?代理服務器將Web服務器上的應答轉發(fā)給客戶。</p><p>　　(四) 狀態(tài)檢測技

91、術</p><p>　　狀態(tài)檢測技術是包過濾技術的延伸，使用各種狀態(tài)表(state tables)來追蹤活躍的TCP會話。由用戶定義的訪問控制列表(ACL)決定允許建立哪些會話(session)，只有與活躍會話相關聯(lián)的數(shù)據(jù)才能穿過防火墻。</p><p>　　狀態(tài)檢測技術防火墻的工作過程如下：</p><p>　?、?防火墻檢查數(shù)據(jù)包是否是一個已經建立并且正在使用的

92、通信流的一部分。</p><p>　?、?根據(jù)所使用的協(xié)議，決定對數(shù)據(jù)包的檢查程度。</p><p>　?、?如果數(shù)據(jù)包和連接表的各項都不匹配，那么防火墻就會檢測數(shù)據(jù)包是否與它所配置的規(guī)則集相匹配。</p><p>　　④ 在數(shù)據(jù)包檢測后，防火墻就會將該數(shù)據(jù)包轉發(fā)到它的目的地址，并且防火墻會在其連接表中為此次對話創(chuàng)建或者更新一個連接項，防火墻將使用這個連接項對返回的

93、數(shù)據(jù)包進行校驗。</p><p>　?、?防火墻通常對TCP包中被設置的FIN位進行檢測或者通過使用計時器來決定何時從連接表中刪除某連接項。 </p><p>　　四 防火墻的應用方案</p><p>　　本章主要以Cisco PIX 525防火墻為例來說明防火墻的應用方案</p><p>　　(一) Cisco PIX防火墻的產品特點<

94、;/p><p>　　任何企業(yè)安全策略的一個主要部分都是實現(xiàn)和維護防火墻，因此防火墻在網(wǎng)絡安全的實現(xiàn)當中扮演著重要的角色。防火墻通常位于企業(yè)網(wǎng)絡的邊緣，這使得內部網(wǎng)絡與Internet之間或者與其它外部網(wǎng)絡相互隔離，并限制網(wǎng)絡互訪從而保護企業(yè)內部的網(wǎng)絡。設置防火墻目的都是為了在內部網(wǎng)與外部網(wǎng)之間設立唯一的通道，簡化網(wǎng)絡的安全管理。</p><p>　　在眾多的企業(yè)級主流防火墻中，Cisco PI

95、X防火墻是所有同類產品中性能最好的一種。Cisco PIX系列防火墻目前有5種型號PIX506，515，520，525，535，其中PIX535是PIX500系列中最新的，功能也是最強大的一款。它可以提供運營商級別的處理能力，適用于大型的ISP等服務提供商，但是PIX特有的OS操作系統(tǒng)，使得大多數(shù)管理是通過命令來實現(xiàn) </p><p>　　的不像其它同類型的防火墻通過Web管理界面來進行網(wǎng)絡管理以下通過實例介紹如

96、何配置Cisco PIX防火墻。</p><p>　　在配置PIX防火墻之前，先來介紹一下防火墻的物理特性。防火墻通常具有至少3個接口，但許多早期的防火墻只具有2個接口；當使用具有3個接口的防火墻時，就至少產生了3個網(wǎng)絡，描述如下：</p><p>　　1.內部區(qū)域(內網(wǎng))：</p><p>　　內部區(qū)域通常就是指企業(yè)內部網(wǎng)絡或者是企業(yè)內部網(wǎng)絡的一部分。它是互連網(wǎng)絡

97、的信任區(qū)域，即受到了防火墻的保護。 </p><p>　　2..外部區(qū)域(外網(wǎng))：</p><p>　　外部區(qū)域通常指Internet或者非企業(yè)內部網(wǎng)絡。它是互連網(wǎng)絡中不被信任的區(qū)域，當外部區(qū)域想要訪問內部區(qū)域的主機和服務，通過防火墻，就可以實現(xiàn)有限制的訪問。</p><p>　　3.?；饏^(qū)(DMZ)：</p><p>　　?；饏^(qū)是一個隔離的

98、網(wǎng)絡，或幾個網(wǎng)絡。位于?；饏^(qū)中的主機或服務器被稱為堡壘主機。一般在?；饏^(qū)內可以放置Web服務器，Mail服務器 等。停火區(qū)對于外部用戶通常是可以訪問的，這種方式讓外部用戶可以訪問企業(yè)的公開信息，但卻不允許他們訪問企業(yè)內部網(wǎng)絡</p><p>　　注意：2個接口的防火墻是沒有?；饏^(qū)的。</p><p>　　Cisco PIX525防火墻的配置</p><p>　　1．

99、PIX管理訪問模式</p><p>　　由于PIX535在企業(yè)級別不具有普遍性，因此下面主要說明PIX525在企業(yè)網(wǎng)絡中的應用。PIX防火墻提供4種管理訪問模式： ① 非特權模式：PIX防火墻開機自檢后，就是處于這種模式。系統(tǒng)顯示為pixfirewall> </p><p>　?、?特權模式：輸入enable進入特權模式，可以改變當前配置。顯示為pixfirewall# &l

100、t;/p><p>　?、?配置模式：輸入configure terminal進入此模式，絕大部分的系統(tǒng)配置都在這里進行。顯示為pixfirewall(config)#</p><p>　?、?監(jiān)視模式：PIX防火墻在開機或重啟過程中，按住Escape鍵或發(fā)送一個"Break"字符，進入監(jiān)視模式。這里可以更新*作系統(tǒng)映象和口令恢復。顯示為monitor></p&g

101、t;<p>　　2. PIX525配置的基本步驟</p><p>　　配置PIX防火墻有6個基本命令：nameif，interface，ip address，nat，global，route.</p><p>　　這些命令在配置PIX時是必須的。以下是配置的基本步驟：</p><p>　?、?配置防火墻接口的名字，并指定安全級別(nameif)。<

102、;/p><p>　　Pix525(config)#nameif ethernet0 outside security0 </p><p>　　Pix525(config)#nameif ethernet9 inside security100 </p><p>　　Pix525(config)#nameif dmz security50</p><p

103、>　　提示：在缺省配置中，以太網(wǎng)0被命名為外部接口(outside)，安全級別是0；以太網(wǎng)9被命名為內部接口(inside)，安全級別是100.安全級別取值范圍為1～99，數(shù)字越大安全級別越高。若添加新的接口，語句可以這樣寫： </p><p>　　Pix525(config)#nameif pix/intf3 security40 (安全級別任取)</p><p>

104、　?、?配置以太口參數(shù)(interface)</p><p>　　Pix525(config)#interface ethernet0 auto (auto選項表明系統(tǒng)自適應網(wǎng)卡類型 )</p><p>　　Pix525(config)#interface ethernet1 100full       

105、60; (100full選項表示100Mbit/s以太網(wǎng)全雙工通信 )</p><p>　　Pix525(config)#interface ethernet1 100full shutdown (shutdown選項表示關閉這個接口，若啟用接口去掉shutdown )</p><p>　?、?配置內外網(wǎng)卡的IP地址(ip address)</p><p>　　Pi

106、x525(config)#ip address outside 61.144.51.42 255.255.255.248 </p><p>　　Pix525(config)#ip address inside 192.168.0.1 255.255.255.0</p><p>　　很明顯，Pix525防火墻在外網(wǎng)的ip地址是61.144.51.42，內網(wǎng)ip地址是192.168.0.1&l

107、t;/p><p>　　例1.Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any </p><p>　　這個例子表示允許任何外部主機對全局地址192.168.0.8的這臺主機進行http訪問。其中使用eq和一個端口來允許或拒絕對這個端口的訪問。Eq ftp 就是指允許或拒絕只對ftp的訪問。</p><p

108、>　　例2.Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89 </p><p>　　表示不允許外部主機61.144.51.89對任何全局地址進行ftp訪問。</p><p>　　例3.Pix525(config)#conduit permit icmp any any </p><p>　

109、　表示允許icmp消息向內部和外部通過。</p><p>　　例4.Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3</p><p>　　Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any </p><p>　　這

110、個例子說明static和conduit的關系。192.168.0.3在內網(wǎng)是一臺web服務器，現(xiàn)在希望外網(wǎng)的用戶能夠通過pix防火墻得到web服 務。所以先做static靜態(tài)映射：192.168.0.3－>61.144.51.62(全局)，然后利用conduit命令允許任何外部主機對 全局地址61.144.51.62進行http訪問。</p><p>　?、?配置fixup協(xié)議 </p>&l

111、t;p>　　fixup命令作用是啟用，禁止，改變一個服務或協(xié)議通過pix防火墻，由fixup命令指定的端口是pix防火墻要偵聽的服務。見下面例子： </p><p>　　例5.Pix525(config)#fixup protocol ftp 21             //啟用ftp協(xié)

112、議，并指定ftp的端口號為21</p><p>　　例6.Pix525(config)#fixup protocol http 80Pix525(config)#fixup protocol http 1080          //為http協(xié)議指定80和1080兩個端口。</p><p>　　例