.PAGE.防火墻在網絡安全中的應用PAGEI長江師范學院本科畢業論文計算機網絡安全及防火墻技術專業計算機科學與技術學號張琳學生201013285008指導教師余全..摘要隨著計算機網絡技術的飛速發展,尤其是互聯網的應用變得越來越廣泛,在帶來了前所未有的海量信息的同時,網絡的開放性和自由性也產生了私有信息和數據被破壞或侵犯的可能性,網絡信息的安全性變得日益重要起來,已被信息社會的各個領域所重視。本文對目前計算機網絡存在的安全隱患進行了分析,闡述了我國網絡安全的現狀及網絡安全問題產生的原因,對我們網絡安全現狀進行了系統的分析,并探討了針對計算機安全隱患的防范策略.正是因為安全威脅的無處不在,為了解決這個問題防火墻出現了。防火墻是網絡安全的關鍵技術,是隔離在本地網絡與外界網絡之間的一道防御系統,其核心思想是在不安全的網絡環境中構造一個相對安全的子網環境,防火墻是實施網絡安全控制得一種必要技術。本文討論了防火墻的安全功能、體系結構、實現防火墻的主要技術手段及配置等。關鍵詞網絡安全黑客病毒防火墻英文摘要目錄1我國網絡安全現狀………………….11.1研究背景…………………11.2研究意義…………………11.3計算機網絡面臨的威脅………………2網絡安全脆弱的原因…………………2網絡安全面臨的威脅…………………22防火墻的安全功能及網絡安全的解決方案………2.1防火墻所具備的安全功能………2.2網絡安全的解決方案……..…….3防火墻的配置……….3.1防火墻的初始配置……………3.2過濾型防火墻的訪問控制表〔ACL配置…3.3雙宿主機網關……………………3.4屏蔽主機網關……………………3.5屏蔽子網……………….……………結束語…………………致謝……………………參考文獻………………1我國網絡安全現狀1.1研究背景據美國聯邦調查局統計,美國每年因網絡安全造成的損失高達75億美元。據美國金融時報報道,世界上平均每20分鐘就發生一次人侵國際互聯網絡的計算機安全事件,1/3的防火墻被突破。美國聯邦調查局計算機犯罪組負責人吉姆·塞特爾稱：給我精選10名"黑客",組成小組,90天內,我將使美國趴下。一位計算機專家毫不夸張地說：如果給我一臺普通計算機、一條線和一個調制解調器,就可以令某個地區的網絡運行失常。據了解,從1997年底至今,我國的政府部門、證券公司、銀行等機構的計算機網絡相繼遭到多次攻擊。公安機關受理各類信息網絡違法犯罪案件逐年劇增,尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國大量的網絡基礎設施和網絡應用依賴于外國的產品和技術,在電子政務、電子商務和各行業的計算機網絡應用尚處于發展階段,以上這些領域的大型計算機網絡工程都由國內一些較大的系統集成商負責。有些集成商仍缺乏足夠專業的安全支撐技術力量,同時一些負責網絡安全的工程技術人員對許多潛在風險認識不足。缺乏必要的技術設施和相關處理經驗,面對形勢日益嚴峻的現狀,很多時候都顯得有些力不從心。也正是由于受技術條件的限制,很多人對網絡安全的意識僅停留在如何防范病毒階段,對網絡安全缺乏整體意識。隨著網絡的逐步普及,網絡安全的問題已經日益突。如同其它任何社會一樣,互連網也受到某些無聊之人的困擾,某些人喜愛在網上做這類的事,像在現實中向其他人的墻上噴染涂鴉、將他人的郵箱推倒或者坐在大街上按汽車喇叭一樣。網絡安全已成為互連網上事實上的焦點問題。它關系到互連網的進一步發展和普及,甚至關系著互連網的生存。近年來,無論在發達國家,還是在發展中國家,黑客活動越來越猖狂,他們無孔不入,對社會造成了嚴重的危害。目前在互連網上大約有將近80%以上的用戶曾經遭受過黑客的困擾。而與此同時,更讓人不安的是,互連網上病毒和黑客的聯姻、不斷增多的黑客網站,使學習黑客技術、獲得黑客攻擊工具變的輕而易舉。這樣,使原本就十分脆弱的互連網越發顯得不安全。1.2研究意義現在網絡的觀念已經深入人心,越來越多的人們通過網絡來了解世界,同時他們也可以通過網絡發布消息,與朋友進行交流和溝通,展示自己,以及開展電子商務等等。人們的日常生活也越來越依靠網絡進行。同時網絡攻擊也愈演愈烈,時刻威脅著用戶上網安全,網絡與信息安全已經成為當今社會關注的重要問題之一。黨的十六屆四中全會,把信息安全和政治安全、經濟安全、文化安全并列為國家安全的四大范疇之一,信息安全的重要性被提升到一個空前的戰略高度。正是因為安全威脅的無處不在,為了解決這個問題防火墻出現了。防火墻的本義原是指古代人們房屋之間修建的那道為防止火災蔓延而建立的墻,而現在意義上的防火墻是指隔離在本地網絡與外界網絡之間的一道防御系統,是這一類防范措施的總稱。應該說,在互連網上防火墻是一種非常有效的網絡安全模型,通過它可以隔離風險區域<即Internet或有一定風險的網絡>與安全區域<局域網>的連接,同時不會妨礙人們對風險區域的訪問。成而有效的控制用戶的上網安全。防火墻是實施網絡安全控制得一種必要技術,它是一個或一組系統組成,它在網絡之間執行訪問控制策略。實現它的實際方式各不相同,但是在原則上,防火墻可以被認為是這樣同一種機制：攔阻不安全的傳輸流,允許安全的傳輸流通過。特定應用程序行為控制等獨特的自我保護機制使它可以監控進出網絡的通信信息,僅讓安全的、核準了的信息進入；它可以限制他人進入內部網絡,過濾掉不安全服務和非法用戶；它可以封鎖特洛伊木馬,防止機密數據的外泄；它可以限定用戶訪問特殊站點,禁止用戶對某些內容不健康站點的訪問；它還可以為監視互聯網的安全提供方便。現在國外的優秀防火墻如Outpost不但能完成以上介紹的基本功能,還能對獨特的私人信息保護如防止密碼泄露、對內容進行管理以防止小孩子或員工查看不合適的網頁內容,允許按特定關鍵字以及特定網地進行過濾等、同時還能對DNS緩存進行保護、對Web頁面的交互元素進行控制如過濾不需要的GIF,Flash動畫等界面元素。隨著時代的發展和科技的進步防火墻功能日益完善和強大,但面對日益增多的網絡安全威脅防火墻仍不是完整的解決方案。但不管如何變化防火墻仍然是網絡安全必不可少的工具之一。1.3計算機網絡面臨的威脅網絡安全脆弱的原因<1>Internet所用底層TCP/IP網絡協議本身易受到攻擊,該協議本身的安全問題極大地影響到上層應用的安全。<2>Internet上廣為傳插的易用黑客和解密工具使很多網絡用戶輕易地獲得了攻擊網絡的方法和手段。<3>快速的軟件升級周期,會造成問題軟件的出現,經常會出現操作系統和應用程序存在新的攻擊漏洞。<4>現行法規政策和管理方面存在不足。目前我國針對計算機及網絡信息保護的條款不細致,網上保密的法規制度可操作性不強,執行不力。同時,不少單位沒有從管理制度、人員和技術上建立相應的安全防范機制。缺乏行之有效的安全檢查保護措施,甚至有一些網絡管理員利用職務之便從事網上違法行為。網絡安全面臨的威脅信息安全是一個非常關鍵而又復雜的問題。計算機信息系統安全指計算機信息系統資產<包括網絡>的安全,即計算機信息系統資源<硬件、軟件和信息>不受自然和人為有害因素的威脅和危害。計算機信息系統之所以存在著脆弱性,主要是由于技術本身存在著安全弱點、系統的安全性差、缺乏安全性實踐等;計算機信息系統受到的威脅和攻擊除自然災害外,主要來自計算機犯罪、計算機病毒、黑客攻擊、信息戰爭和計算機系統故障等。由于計算機信息系統已經成為信息社會另一種形式的"金庫"和"保密室",因而,成為一些人窺視的目標。再者,由于計算機信息系統自身所固有的脆弱性,使計算機信息系統面臨威脅和攻擊的考驗。計算機信息系統的安全威脅主要來自于以下幾個方面：<1>自然災害。計算機信息系統僅僅是一個智能的機器,易受自然災害及環境<溫度、濕度、振動、沖擊、污染>的影響。目前,我們不少計算機房并沒有防震、防火、防水、避雷、防電磁泄漏或干擾等措施,接地系統也疏于周到考慮,抵御自然災害和意外事故的能力較差。日常工作中因斷電而設備損壞、數據丟失的現象時有發生。由于噪音和電磁輻射,導致網絡信噪比下降,誤碼率增加,信息的安全性、完整性和可用性受到威脅。<2>黑客的威脅和攻擊。計算機信息網絡上的黑客攻擊事件越演越烈,已經成為具有一定經濟條件和技術專長的形形色色攻擊者活動的舞臺。他們具有計算機系統和網絡脆弱性的知識,能使用各種計算機工具。境內外黑客攻擊破壞網絡的問題十分嚴重,他們通常采用非法侵人重要信息系統,竊聽、獲取、攻擊侵人網的有關敏感性重要信息,修改和破壞信息網絡的正常使用狀態,造成數據丟失或系統癱瘓,給國家造成重大政治影響和經濟損失。黑客問題的出現,并非黑客能夠制造入侵的機會,從沒有路的地方走出一條路,只是他們善于發現漏洞。即信息網絡本身的不完善性和缺陷,成為被攻擊的目標或利用為攻擊的途徑,其信息網絡脆弱性引發了信息社會脆弱性和安全問題,并構成了自然或人為破壞的威脅。<3>計算機病毒。90年代,出現了曾引起世界性恐慌的"計算機病毒",其蔓延范圍廣,增長速度驚人,損失難以估計。它像灰色的幽靈將自己附在其他程序上,在這些程序運行時進人到系統中進行擴散。計算機感染上病毒后,輕則使系統上作效率下降,重則造成系統死機或毀壞,使部分文件或全部數據丟失,甚至造成計算機主板等部件的損壞。<4>垃圾郵件和間諜軟件。一些人利用電子郵件地址的"公開性"和系統的"可廣播性"進行商業、宗教、政治等活動,把自己的電子郵件強行"推入"別人的電子郵箱,強迫他人接受垃圾郵件。與計算機病毒不同,間諜軟件的主要目的不在于對系統造成破壞,而是竊取系統或是用戶信息。事實上,間諜軟件日前還是一個具有爭議的概念,一種被普遍接受的觀點認為間諜軟件是指那些在用戶小知情的情況下進行非法安裝發裝后很難找到其蹤影,并悄悄把截獲的一些機密信息提供給第下者的軟件。間諜軟件的功能繁多,它可以監視用戶行為,或是發布廣告,修改系統設置,威脅用戶隱私和計算機安全,并可能小同程度的影響系統性能。<5>信息戰的嚴重威脅。信息戰,即為了國家的軍事戰略而采取行動,取得信息優勢,干擾敵方的信息和信息系統,同時保衛自己的信息和信息系統。這種對抗形式的目標,不是集中打擊敵方的人員或戰斗技術裝備,而是集中打擊敵方的計算機信息系統,使其神經中樞的指揮系統癱瘓。信息技術從根本上改變了進行戰爭的方法,其攻擊的首要目標主要是連接國家政治、軍事、經濟和整個社會的計算機網絡系統,信息武器已經成為了繼原子武器、生物武器、化學武器之后的第四類戰略武器。可以說,未來國與國之間的對抗首先將是信息技術的較量。網絡信息安全應該成為國家安全的前提。<6>計算機犯罪。計算機犯罪,通常是利用竊取口令等手段非法侵人計算機信息系統,傳播有害信息,惡意破壞計算機系統,實施貪污、盜竊、詐騙和金融犯罪等活動。在一個開放的網絡環境中,大量信息在網上流動,這為不法分子提供了攻擊目標。他們利用不同的攻擊手段,獲得訪問或修改在網中流動的敏感信息,闖入用戶或政府部門的計算機系統,進行窺視、竊取、篡改數據。不受時間、地點、條件限制的網絡詐騙,其"低成本和高收益"又在一定程度上刺激了犯罪的增長。使得針對計算機信息系統的犯罪活動日益增多。2防火墻的安全功能及安全網絡方案2.1防火墻具備的安全功能防火墻是網絡安全策略的有機組成部分,它通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理。從總體上看,防火墻應該具有以下基本功能：<1>報警功能,將任何有網絡連接請求的程序通知用戶,用戶自行判斷是否放行也或阻斷其程序連接網絡。<2>黑白名單功能,可以對現在或曾經請求連接網絡的程序進行規則設置。包括以后不準許連接網網等功能。<3>局域網查詢功能,可以查詢本局域網內其用戶,并顯示各用戶主機名。<4>流量查看功能,對計算機進出數據流量進行查看,直觀的完整的查看實時數據量和上傳下載數據率。<5>端口掃描功能,戶自可以掃描本機端口,端口范圍為0-65535端口,掃描完后將顯示已開放的端口。<6>系統日志功能,日志分為流量日志和安全日志,流量日志是記錄不同時間數據包進去計算機的情況,分別記錄目標地址,對方地址,端口號等。安全日志負責記錄請求連接網絡的程序,其中包括記錄下程序的請求連網時間,程序目錄路徑等。<7>系統服務功能,可以方便的查看所以存在于計算機內的服務程序。可以關閉,啟動,暫停計算機內的服務程序。<8>連網/斷網功能,在不使用物理方法下使用戶計算機連接網絡或斷開網絡。完成以上功能使系統能對程序連接網絡進行管理,大大提高了用戶上網的效率,降低的上網風險。從而用戶上網娛樂的質量達到提高,同時也達到網絡安全保護的目的。2.2網絡安全的解決方案2.2.1入侵檢測系統部署入侵檢測能力是衡量一個防御體系是否完整有效的重要因素,強大完整的入侵檢測體系可以彌補防火墻相對靜態防御的不足。對來自外部網和校園網內部的各種行為進行實時檢測,及時發現各種可能的攻擊企圖,并采取相應的措施。具體來講,就是將入侵檢測引擎接入中心交換機上。入侵檢測系統集入侵檢測、網絡管理和網絡監視功能于一身,能實時捕獲內外網之間傳輸的所有數據,利用內置的攻擊特征庫,使用模式匹配和智能分析的方法,檢測網絡上發生的入侵行為和異常現象,并在數據庫中記錄有關事件,作為網絡管理員事后分析的依據；如果情況嚴重,系統可以發出實時報警,使得學校管理員能夠及時采取應對措施。漏洞掃描系統采用目前最先進的漏洞掃描系統定期對工作站、服務器、交換機等進行安全檢查,并根據檢查結果向系統管理員提供詳細可靠的安全性分析報告,為提高網絡安全整體水平產生重要依據。網絡版殺毒產品部署在該網絡防病毒方案中,我們最終要達到一個目的就是：要在整個局域網內杜絕病毒的感染、傳播和發作,為了實現這一點,我們應該在整個網絡內可能感染和傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網絡的防病毒體系,應能實現遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。安全服務配置安全服務隔離區<DMZ>把服務器機群和系統管理機群單獨劃分出來,設置為安全服務隔離區,它既是內部網絡的一部分,又是一個獨立的局域網,單獨劃分出來是為了更好的保護服務器上數據和系統管理的正常運行。建議通過NAT<網絡地址轉換>技術將受保護的內部網絡的全部主機地址映射成防火墻上設置的少數幾個有效公網IP地址。這不僅可以對外屏蔽內部網絡結構和IP地址,保護內部網絡的安全,也可以大大節省公網IP地址的使用,節省了投資成本。如果單位原來已有邊界路由器,則可充分利用原有設備,利用邊界路由器的包過濾功能,添加相應的防火墻配置,這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護的內部網絡連接。對于DMZ區中的公用服務器,則可直接與邊界路由器相連,不用經過防火墻。它可只經過路由器的簡單防護。在此拓撲結構中,邊界路由器與防火墻就一起組成了兩道安全防線,并且在這兩者之間可以設置一個DMZ區,用來放置那些允許外部用戶訪問的公用服務器設施。2.2.5配置訪問策略訪問策略是防火墻的核心安全策略,所以要經過詳盡的信息統計才可以進行設置。在過程中我們需要了解本單位對內對外的應用以及所對應的源地址、目的地址、TCP或UDP的端口,并根據不同應用的執行頻繁程度對策略在規則表中的位置進行排序,然后才能實施配置。原因是防火墻進行規則查找時是順序執行的,如果將常用的規則放在首位就可以提高防火墻的工作效率。日志監控日志監控是十分有效的安全管理手段。往往許多管理員認為只要可以做日志的信息就去采集。如:所有的告警或所有與策略匹配或不匹配的流量等等,這樣的做法看似日志信息十分完善,但每天進出防火墻的數據有上百萬甚至更多,所以,只有采集到最關鍵的日志才是真正有用的日志。一般而言,系統的告警信息是有必要記錄的,對于流量信息進行選擇,把影響網絡安全有關的流量信息保存下來。計算機網絡安全方案設計并實現

1.桌面安全系統用戶的重要信息都是以文件的形式存儲在磁盤上,使用戶可以方便地存取、修改、分發。這樣可以提高辦公的效率,但同時也造成用戶的信息易受到攻擊,造成泄密。特別是對于移動辦公的情況更是如此。因此,需要對移動用戶的文件及文件夾進行本地安全管理,防止文件泄密等安全隱患。

本設計方案采用清華紫光公司出品的紫光S鎖產品,"紫光S鎖"是清華紫光"桌面計算機信息安全保護系統"的商品名稱。紫光S鎖的內部集成了包括中央處理器〔CPU、加密運算協處理器〔CAU、只讀存儲器〔ROM,隨機存儲器〔RAM、電可擦除可編程只讀存儲器〔E2PROM等,以及固化在ROM內部的芯片操作系統COS〔Chip

Operating

System、硬件ID號、各種密鑰和加密算法等。紫光S鎖采用了通過中國人民銀行認證的SmartCOS,其安全模塊可防止非法數據的侵入和數據的篡改,防止非法軟件對S鎖進行操作。

2.病毒防護系統

基于單位目前網絡的現狀,在網絡中添加一臺服務器,用于安裝IMSS。

〔1>郵件防毒。采用趨勢科技的ScanMail

for

Notes。該產品可以和Domino的群件服務器無縫相結合并內嵌到Notes的數據庫中,可防止病毒入侵到LotueNotes的數據庫及電子郵件,實時掃描并清除隱藏于數據庫及信件附件中的病毒。可通過任何Notes工作站或Web界面遠程控管防毒管理工作,并提供實時監控病毒流量的活動記錄報告。ScanMail是Notes

Domino

Server使用率最高的防病毒軟件。

〔2>服務器防毒。采用趨勢科技的ServerProtect。該產品的最大特點是內含集中管理的概念,防毒模塊和管理模塊可分開安裝。一方面減少了整個防毒系統對原系統的影響,另一方面使所有服務器的防毒系統可以從單點進行部署,管理和更新。

〔3>客戶端防毒。采用趨勢科技的OfficeScan。該產品作為網絡版的客戶端防毒系統,使管理者通過單點控制所有客戶機上的防毒模塊,并可以自動對所有客戶端的防毒模塊進行更新。其最大特點是擁有靈活的產品集中部署方式,不受Windows域管理模式的約束,除支持SMS,登錄域腳本,共享安裝以外,還支持純Web的部署方式。

〔4>集中控管TVCS。管理員可以通過此工具在整個企業范圍內進行配置、監視和維護趨勢科技的防病毒軟件,支持跨域和跨網段的管理,并能顯示基于服務器的防病毒產品狀態。無論運行于何種平臺和位置,TVCS在整個網絡中總起一個單一管理控制臺作用。簡便的安裝和分發代理部署,網絡的分析和病毒統計功能以及自動下載病毒代碼文件和病毒爆發警報,給管理帶來極大的便利。

3.動態口令身份認證系統

動態口令系統在國際公開的密碼算法基礎上,結合生成動態口令的特點,加以精心修改,通過十次以上的非線性迭代運算,完成時間參數與密鑰充分的混合擴散。在此基礎上,采用先進的身份認證及加解密流程、先進的密鑰管理方式,從整體上保證了系統的安全性。

4.訪問控制"防火墻"

單位安全網由多個具有不同安全信任度的網絡部分構成,在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷,從而構成了對網絡安全的重要隱患。本設計方案選用四臺網御防火墻,分別配置在高性能服務器和三個重要部門的局域網出入口,實現這些重要部門的訪問控制。

通過在核心交換機和高性能服務器群之間及核心交換機和重要部門之間部署防火墻,通過防火墻將網絡內部不同部門的網絡或關鍵服務器劃分為不同的網段,彼此隔離。這樣不僅保護了單位網絡服務器,使其不受來自內部的攻擊,也保護了各部門網絡和數據服務器不受來自單位網內部其他部門的網絡的攻擊。如果有人闖進您的一個部門,或者如果病毒開始蔓延,網段能夠限制造成的損壞進一步擴大。

5.信息加密、信息完整性校驗

為有效解決辦公區之間信息的傳輸安全,可以在多個子網之間建立起獨立的安全通道,通過嚴格的加密和認證措施來保證通道中傳送的數據的完整性、真實性和私有性。

SJW-22網絡密碼機系統組成

網絡密碼機〔硬件:是一個基于專用內核,具有自主版權的高級通信保護控制系統。

本地管理器〔軟件:是一個安裝于密碼機本地管理平臺上的基于網絡或串口方式的網絡密碼機本地管理系統軟件。

中心管理器〔軟件:是一個安裝于中心管理平臺〔Windows系統上的對全網的密碼機設備進行統一管理的系統軟件。

6.安全審計系統

根據以上多層次安全防范的策略,安全網的安全建設可采取"加密"、"外防"、"內審"相結合的方法,"內審"是對系統內部進行監視、審查,識別系統是否正在受到攻擊以及內部機密信息是否泄密,以解決內層安全。

安全審計系統能幫助用戶對安全網的安全進行實時監控,及時發現整個網絡上的動態,發現網絡入侵和違規行為,忠實記錄網絡上發生的一切,提供取證手段。作為網絡安全十分重要的一種手段,安全審計系統包括識別、記錄、存儲、分析與安全相關行為有關的信息。

在安全網中使用的安全審計系統應實現如下功能：安全審計自動響應、安全審計數據生成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。

本設計方案選用"漢邦軟科"的安全審計系統作為安全審計工具。

漢邦安全審計系統是針對目前網絡發展現狀及存在的安全問題,面向企事業的網絡管理人員而設計的一套網絡安全產品,是一個分布在整個安全網范圍內的網絡安全監視監測、控制系統。

〔1安全審計系統由安全監控中心和主機傳感器兩個部分構成。主機傳感器安裝在要監視的目標主機上,其監視目標主機的人機界面操作、監控RAS連接、監控網絡連接情況及共享資源的使用情況。安全監控中心是管理平臺和監控平臺,網絡管理員通過安全監控中心為主機傳感器設定監控規則,同時獲得監控結果、報警信息以及日志的審計。主要功能有文件保護審計和主機信息審計。

①文件保護審計：文件保護安裝在審計中心,可有效的對被審計主機端的文件進行管理規則設置,包括禁止讀、禁止寫、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報警等功能。以及對文件保護進行用戶管理。

②主機信息審計:對網絡內公共資源中,所有主機進行審計,可以審計到主機的機器名、當前用戶、操作系統類型、IP地址信息。

〔2>資源監控系統主要有四類功能。①監視屏幕:在用戶指定的時間段內,系統自動每隔數秒或數分截獲一次屏幕;用戶實時控制屏幕截獲的開始和結束。

3防火墻的配置3.1防火墻的初始配置像路由器一樣,在使用之前,防火墻也需要經過基本的初始配置。但因各種防火墻的初始配置基本類似,所以在此僅以CiscoPIX防火墻為例進行介紹。

防火墻的初始配置也是通過控制端口〔Console與PC機〔通常是便于移動的筆記本電腦的串口連接,再通過Windows系統自帶的超級終端〔HyperTerminal程序進行選項配置。防火墻的初始配置物理連接與前面介紹的交換機初始配置連接方法一樣,參見圖1所示。

防火墻除了以上所說的通過控制端口〔Console進行初始配置外,也可以通過telnet和Tffp配置方式進行高級配置,但Telnet配置方式都是在命令方式中配置,難度較大,而Tffp方式需要專用的Tffp服務器軟件,但配置界面比較友好。

防火墻與路由器一樣也有四種用戶配置模式,即：普通模式〔Unprivilegedmode、特權模式〔PrivilegedMode、配置模式〔ConfigurationMode和端口模式〔InterfaceMode,進入這四種用戶模式的命令也與路由器一樣：

普通用戶模式無需特別命令,啟動后即進入；

進入特權用戶模式的命令為"enable"；進入配置模式的命令為"configterminal"；而進入端口模式的命令為"interfaceethernet〔"。不過因為防火墻的端口沒有路由器那么復雜,所以通常把端口模式歸為配置模式,統稱為"全局配置模式"。

防火墻的具體配置步驟如下：

1.將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個空余串口上,參見圖1。

2.打開PIX防火電源,讓系統加電初始化,然后開啟與防火墻連接的主機。

3.運行筆記本電腦Windows系統中的超級終端〔HyperTerminal程序〔通常在"附件"程序組中。對超級終端的配置與交換機或路由器的配置一樣,參見本教程前面有關介紹。

4.當PIX防火墻進入系統后即顯示"pixfirewall>"的提示符,這就證明防火墻已啟動成功,所進入的是防火墻用戶模式。可以進行進一步的配置了。

5.輸入命令：enable,進入特權用戶模式,此時系統提示為：pixfirewall#。

6.輸入命令：configureterminal,進入全局配置模式,對系統進行初始化設置。

〔1.首先配置防火墻的網卡參數〔以只有1個LAN和1個WAN接口的防火墻配置為例

Interfaceethernet0auto#0號網卡系統自動分配為WAN網卡,"auto"選項為系統自適應網卡類型

Interfaceethernet1auto

〔2.配置防火墻內、外部網卡的IP地址

IPaddressinsideip_addressnetmask#Inside代表內部網卡

IPaddressoutsideip_addressnetmask#outside代表外部網卡

〔3.指定外部網卡的IP地址范圍：

global1ip_address-ip_address

〔4.指定要進行轉換的內部地址

nat1ip_addressnetmask

〔5.配置某些控制選項：

conduitglobal_ipport[-port]protocolforeign_ip[netmask]

其中,global_ip：指的是要控制的地址；port：指的是所作用的端口,0代表所有端口；protocol：指的是連接協議,比如：TCP、UDP等；foreign_ip：表示可訪問的global_ip外部IP地址；netmask：為可選項,代表要控制的子網掩碼。

7.配置保存：wrmem

8.退出當前模式

此命令為exit,可以任何用戶模式下執行,執行的方法也相當簡單,只輸入命令本身即可。它與Quit命令一樣。下面三條語句表示了用戶從配置模式退到特權模式,再退到普通模式下的操作步驟。

pixfirewall<config>#exit

pixfirewall#exit

pixfirewall>

9.查看當前用戶模式下的所有可用命令：show,在相應用戶模式下鍵入這個命令后,即顯示出當前所有可用的命令及簡單功能描述。

10.查看端口狀態：showinterface,這個命令需在特權用戶模式下執行,執行后即顯示出防火墻所有接口配置情況。

11.查看靜態地址映射:showstatic,這個命令也須在特權用戶模式下執行,執行后顯示防火墻的當前靜態地址映射情況。3.2過濾型防火墻的訪問控制表〔ACL配置除了以上介紹的基本配置外,在防火墻的安全策略中最重要還是對訪問控制列表〔ACL進行配有關置。下面介紹一些用于此方面配置的基本命令。

1.access-list：用于創建訪問規則

這一訪問規則配置命令要在防火墻的全局配置模式中進行。同一個序號的規則可以看作一類規則,同一個序號之間的規則按照一定的原則進行排列和選擇,這個順序可以通過showaccess-list命令看到。在這個命令中,又有幾種命令格式,分別執行不同的命令。

〔1創建標準訪問列表

命令格式：access-list[normalspecial]listnumber1{permitdeny}source-addr[source-mask]

〔2創建擴展訪問列表

命令格式：access-list[normalspecial]listnumber2{permitdeny}protocolsource-addrsource-mask[operatorport1[port2]]dest-addrdest-mask[operatorport1[port2]icmp-type[icmp-code]][log]

〔3刪除訪問列表

命令格式：noaccess-list{normalspecial}{alllistnumber[subitem]}

上述命令參數說明如下：

●normal：指定規則加入普通時間段。

●special：指定規則加入特殊時間段。

●listnumber1：是1到99之間的一個數值,表示規則是標準訪問列表規則。

●listnumber2：是100到199之間的一個數值,表示規則是擴展訪問列表規則。

●permit：表明允許滿足條件的報文通過。

●deny：表明禁止滿足條件的報文通過。

●protocol：為協議類型,支持ICMP、TCP、UDP等,其它的協議也支持,此時沒有端口比較的概念；為IP時有特殊含義,代表所有的IP協議。

●source-addr：為源IP地址。

●source-mask：為源IP地址的子網掩碼,在標準訪問列表中是可選項,不輸入則代表通配位為.0。

●dest-addr：為目的IP地址。

●dest-mask：為目的地址的子網掩碼。

●operator：端口操作符,在協議類型為TCP或UDP時支持端口比較,支持的比較操作有：等于〔eq、大于〔gt、小于〔lt、不等于〔neq或介于〔range；如果操作符為range,則后面需要跟兩個端口。

port1在協議類型為TCP或UDP時出現,可以為關鍵字所設定的預設值〔如telnet或0~65535之間的一個數值。port2在協議類型為TCP或UDP且操作類型為range時出現；可以為關鍵字所設定的預設值〔如telnet或0~65535之間的一個數值。

●icmp-type：在協議為ICMP時出現,代表ICMP報文類型；可以是關鍵字所設定的預設值〔如echo-reply或者是0~255之間的一個數值。

●icmp-code：在協議為ICMP,且沒有選擇所設定的預設值時出現；代表ICMP碼,是0~255之間的一個數值。

●log：表示如果報文符合條件,需要做日志。

●listnumber：為刪除的規則序號,是1~199之間的一個數值。

●subitem：指定刪除序號為listnumber的訪問列表中規則的序號。

例如,現要在華為的一款防火墻上配置一個"允許源地址為網絡、目的地址為網絡的WWW訪問,但不允許使用FTP"的訪問規則。相應配置語句只需兩行即可,如下：

Quidway<config>#access-list100permittc.0eqwww

Quidway<config>#access-list100denytc.0eqftp

2.clearaccess-listcounters：清除訪問列表規則的統計信息

命令格式：clearaccess-listcounters[listnumber]

這一命令必須在特權用戶模式下進行配置。listnumber參數是用指定要清除統計信息的規則號,如不指定,則清除所有的規則的統計信息。

如要在華為的一款包過濾路由器上清除當前所使用的規則號為100的訪問規則統計信息。訪問配置語句為：

clearaccess-listcounters100

如有清除當前所使用的所有規則的統計信息,則以上語句需改為：Quidway#clearaccess-listcounters

3.ipaccess-group

使用此命令將訪問規則應用到相應接口上。使用此命令的no形式來刪除相應的設置,對應格式為：

ipaccess-grouplistnumber{inout}

此命令須在端口用戶模式下配置,進入端口用戶模式的命令為：interfaceethernet〔,括號中為相應的端口號,通常0為外部接口,而1為內部接口。進入后再用ipaccess-group命令來配置訪問規則。listnumber參數為訪問規則號,是1~199之間的一個數值〔包括標準訪問規則和擴展訪問規則兩類；in表示規則應用于過濾從接口接收到的報文；而out表示規則用于過濾從接口轉發出去的報文。一個接口的一個方向上最多可以應用20類不同的規則；這些規則之間按照規則序號的大小進行排列,序號大的排在前面,也就是優先級高。對報文進行過濾時,將采用發現符合的規則即得出過濾結果的方法來加快過濾速度。所以,建議在配置規則時,盡量將對同一個網絡配置的規則放在同一個序號的訪問列表中；在同一個序號的訪問列表中,規則之間的排列和選擇順序可以用showaccess-list命令來查看。

例如將規則100應用于過濾從外部網絡接口上接收到的報文,配置語句為〔同樣為在傾為包過濾路由器上：

ipaccess-group100in

如果要刪除某個訪問控制表列綁定設置,則可用noipaccess-grouplistnumber{inout}命令。

4.showaccess-list

此配置命令用于顯示包過濾規則在接口上的應用情況。命令格式為：showaccess-list[alllistnumberinterfaceinterface-name]

這一命令須在特權用戶模式下進行配置,其中all參數表示顯示所有規則的應用情況,包括普通時間段內及特殊時間段內的規則；如果選擇listnumber參數,則僅需顯示指定規則號的過濾規則；interface表示要顯示在指定接口上應用的所有規則序號；interface-name參數為接口的名稱。

使用此命令來顯示所指定的規則,同時查看規則過濾報文的情況。每個規則都有一個相應的計數器,如果用此規則過濾了一個報文,則計數器加1；通過對計數器的觀察可以看出所配置的規則中,哪些規則是比較有效,而哪些基本無效。例如,現在要顯示當前所使用序號為100的規則的使用情況,可執行Quidway#showaccess-list100語句即可,隨即系統即顯示這條規則的使用情況,格式如下：

Usingnormalpacket-filteringaccessrulesnow.

100denyicm.055anyhost-redirect<3matches,252bytes--rule1>

100permiticm.055anyecho<nomatches--rule2>

100denyudpanyanyeqrip<nomatches--rule3>

5.showfirewall

此命令須在特權用戶模式下執行,它顯示當前防火墻狀態。命令格式非常簡單,也為：showfirewall。這里所說的防火墻狀態,包括防火墻是否被啟用,啟用防火墻時是否采用了時間段包過濾及防火墻的一些統計信息。

6.Telnet

這是用于定義能過防火配置控制端口進行遠程登錄的有關參數選項,也須在全局配置用戶模式下進行配置。

命令格式為：telnetip_address[netmask][if_name]

其中的ip_address參數是用來指定用于Telnet登錄的IP地址,netmask為子網掩碼,if_name用于指定用于Telnet登錄的接口,通常不用指定,則表示此IP地址適用于所有端口。如：

telnet

如果要清除防火墻上某個端口的Telnet參數配置,則須用cleartelnet命令,其格式為：cleartelnet[ip_address[netmask][if_name]],其中各選項說明同上。它與另一個命令notelnet功能基本一樣,不過它是用來刪除某接口上的Telnet配置,命令格式為：notelnet[ip_address[netmask][if_name]]。

如果要顯示當前所有的Telnet配置,則可用showtelnet命令。最簡單的防火墻配置,就是直接在內部網和外部網之間加裝一個包過濾路由器或者應用網關。為更好地實現網絡安全,有時還要將幾種防火墻技術組合起來構建防火墻系統。目前比較流行的有以下三種防火墻配置方案。3.3雙宿主機網關<DualHomedGateway>這種配置是用一臺裝有兩個網絡適配器的雙宿主機做防火墻。雙宿主機用兩個網絡適配器分別連接兩個網絡,又稱堡壘主機。堡壘主機上運行著防火墻軟件<通常是代理服務器>,可以轉發應用程序,提供服務等。雙宿主機網關有一個致命弱點,一旦入侵者侵入堡壘主機并使該主機只具有路由器功能,則任何網上用戶均可以隨便訪問有保護的內部網絡<如圖1>。三種流行防火墻配置方案分析<圖一>3.4屏蔽主機網關<ScreenedHostGateway>屏蔽主機網關易于實現,安全性好,應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。先來看單宿堡壘主機類型。一個包過濾路由器連接外部網絡,同時一個堡壘主機安裝在內部網絡上。堡壘主機只有一個網卡,與內部網絡連接<如圖2>。通常在路由器上設立過濾規則,并使這個單