防火墙的架设、配置和安全分析论文_网络安全与防火墙论文

2020-02-27 其他范文下载本文

防火墙的架设、配置和安全分析论文由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“网络安全与防火墙论文”。

云南工商学院防火墙架设配置和安全分析

防火墙架设配置和安全分析

摘要

近年来, 随着计算机网络技术的飞速发展，尤其是互联网的应用变得越来越广泛，在带来了前所未有的海量信息的同时，网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性，网络信息的安全性变得日益重要起来，已被信息社会的各个领域所重视。

网络犯罪的递增、大量黑客网站的诞生，促使人们思考网络的安全性问题。各种网络安全工具也跟着在市场上被炒得火热。其中最受人注目的当属网络安全工具中最早成熟，也是最早产品化的网络防火墙产品了。目前在全球至少有千种以上的防火墙，那么防火墙到底是一种什么东西？它有那些技术指标？我们应该怎样选择一个合适的防火墙呢？

本文讨论了防火墙的安全功能、体系结构、实现防火墙的主要技术手段及配置等。

关键词：网络安全，黑客，病毒，防火墙

Abstract

In recent years, with the rapid development of computer network technology, especially the application of the Internet becomes more and more extensive, in brought an unprecedented huge amounts of information, at the same time, the openne and freedom of the network also produced the poibility of a private information and data breaches or aggreion.So the security of network information becomes more and more important, and various fields in information society attach importance to this security.With a progreive increase in network crime and a large amount of hacker website come into being, it makes people to think about the security of network problems.On the market, all kind of network security tools also in the wake of red-hot growth.One of the most popular product may be the network firewall products, they are the earliest mature and commercialization product in network security tools.Now, there are at least 1000 kinds of firewalls in the world, then what kind of things is a firewall actually become? How many technical indicators does it has? How should we choose a suitable firewall? This thesis discued the firewall’s security function, system structure and the main technical means to realize the firewall and its configuration, etc.Key words:

Network security, Hacker, Virus, Firewall

I 云南工商学院防火墙架设配置和安全分析

第一章绪论.........................................................................................................................................1 1.1 引言...............................................................................................................................................1 1.2 研究意义.......................................................................................................................................1 第二章防火墙的基本原理.................................................................................................................2 2.1 什么是防火墙...............................................................................................................................2 2.2 防火墙的发展历程.......................................................................................................................3 2.3 防火墙的基本类型.......................................................................................................................3

2.3.1 网络级防火墙----------------------3 2.3.2 应用级网关-------------------------4 2.3.3 电路级网关-------------------------4 2.3.4 规则检查防火墙-------------------4 2.4 防火墙工作原理............................................................................................................................5

2.4.1 包过滤防火墙--------------------5 2.4.2 应用网关防火墙-----------------5 2.4.3 状态检测防火墙-----------------6 2.4.4 复合型防火墙--------------------6 2.4.5 新型复合型防火墙的设计-----7 2.4.5.1 合并内外路由器----------------7 2.4.5.2 合并堡垒主机和外部路由器 8 2.4.5.3 多内部路由器-------------------9 第三章防火墙的配置.......................................................................................................................9 3.1 防火墙的初始配置......................................................................................................................10 3.2 过滤型防火墙的访问控制表（ACL）配置...............................................................................11 3.3 双宿主机网关(Dual Homed Gateway)........................................................................................14 3.4 屏蔽主机网关(Screened Host Gateway).....................................................................................15 3.5 屏蔽子网(Screened Subnet).......................................................................................................16 第四章防火墙安全性.....................................................................................................................17

II 云南工商学院防火墙架设配置和安全分析

4.1 防火墙具备的安全功能............................................................................................................17 4.2 对常见攻击方式的策略..............................................................................................................18 4.2.1 病毒18 4.2.4 IP 地址---------------------------18 4.3 火墙的安全技术分析..................................................................................................................18 4.4 防火墙采用的技术比较..............................................................................................................20 4.5 各类防火墙的对比......................................................................................................................21 4.6 防墙的优缺性..............................................................................................................................21 4.6.1 防火墙的优点---------------------21 4.6.2 防火墙的安全脆弱性分析-----22 第五章防火墙的未来发展趋势.................................................................................................22 5.1 高速..............................................................................................................................................22 5.2 多功能化......................................................................................................................................23 5.3 安全..............................................................................................................................................23 第六章总结.................................................................................................................................23

III 云南工商学院防火墙架设配置和安全分析

第一章绪论

1.1 引言

据统计，美国每年因网络安全造成的损失高达75亿美元。据美国金融时报报道，世界上平均每20分钟就发生一次人侵国际互联网络的计算机安全事件，1/3的防火墙被突破。美国联邦调查局计算机犯罪组负责人吉姆·塞特尔称：给我精选10名“黑客”，组成小组，90天内，我将使美国趴下。一位计算机专家毫不夸张地说：如果给我一台普通计算机、一条电话线和一个调制解调器，就可以令某个地区的网络运行失常。

据了解，从2006年底至2010年底，我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。公安机关受理各类信息网络违法犯罪案件逐年剧增，尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。由于我国大量的网络基础设施和网络应用依赖于外国的产品和技术，在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段，以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责。有些集成商仍缺乏足够专业的安全支撑技术力量，同时一些负责网络安全的工程技术人员对许多潜在风险认识不足。缺乏必要的技术设施和相关处理经验，面对形势日益严峻的现状，很多时候都显得有些力不从心。也正是由于受技术条件的限制，很多人对网络安全的意识仅停留在如何防范病毒阶段，对网络安全缺乏整体意识。

随着网络的逐步普及，网络安全的问题已经日益突。如同其它任何社会一样，互连网也受到某些无聊之人的困扰，某些人喜爱在网上做这类的事,像在现实中向其他人的墙上喷染涂鸦、将他人的邮箱推倒或者坐在大街上按汽车喇叭一样。网络安全已成为互连网上事实上的焦点问题。它关系到互连网的进一步发展和普及，甚至关系着互连网的生存。近年来，无论在发达国家，还是在发展中国家，黑客活动越来越猖狂，他们无孔不入，对社会造成了严重的危害。目前在互连网上大约有将近80%以上的用户曾经遭受过黑客的困扰。而与此同时，更让人不安的是，互连网上病毒和黑客的联姻、不断增多的黑客网站，使学习黑客技术、获得黑客攻击工具变的轻而易举。这样，使原本就十分脆弱的互连网越发显得不安全。

1.2 研究意义

现在网络的观念已经深入人心，越来越多的人们通过网络来了解世界，同时他们也可以通过网络发布消息，与朋友进行交流和沟通，展示自己，以及开展电子商务等等。人们的日常生活也越来越依靠网络进行。同时网络攻击也愈演愈烈，时刻威胁着用户上网安全，网络与信息安全已经成为当今社会关注的重要问题之一。党的十六届四中全会，把信息安全和政治安全、云南工商学院防火墙架设配置和安全分析

经济安全、文化安全并列为国家安全的四大范畴之一，信息安全的重要性被提升到一个空前的战略高度。正是因为安全威胁的无处不在，为了解决这个问题防火墙出现了。防火墙的本义原是指古代人们房屋之间修建的那道为防止火灾蔓延而建立的墙，而现在意义上的防火墙是指隔离在本地网络与外界网络之间的一道防御系统，是这一类防范措施的总称。应该说，在互连网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接，同时不会妨碍人们对风险区域的访问。成而有效的控制用户的上网安全。防火墙是实施小孩子或员工查看不合适的网页内容，允许按特定关键字以及特定网地进行过滤等、同时还能对DNS 缓存进行保护、对Web 页面的交互元素进行控制如过滤不需要的GIF，Flash动画等界面元素。随着时代的发展和科技的进步防火墙网络安全控制得一种必要技术，它是一个或一组系统组成，它在网络之间执行访问控制策略。实现它的实际方式各不相同，但是在原则上，防火墙可以被认为是这样同一种机制：拦阻不安全的传输流，允许安全的传输流通过。特定应用程序行为控制等独特的自我保护机制使它可以监控进出网络的通信信息，仅让安全的、核准了的信息进入；它可以限制他人进入内部网络，过滤掉不安全服务和非法用户；它可以封锁特洛伊木马，防止机密数据的外泄；它可以限定用户访问特殊站点，禁止用户对某些内容不健康站点的访问；它还可以为监视互联网的安全提供方便。现在国外的优秀防火墙如Outpost不但能完成以上介绍的基本功能，还能对独特的私人信息保护如防止密码泄露、对内容进行管理以防止功能日益完善和强大，但面对日益增多的网络安全威胁防火墙仍不是完整的解决方案。但不管如何变化防火墙仍然是网络安全必不可少的工具之一。

第二章防火墙的基本原理

2.1 什么是防火墙

“防火墙” 这个术语参考来自应用在建筑结构里的安全技术。在楼宇里用来起分隔作用的墙, 用来隔离不同的公司或房间, 尽可能的起防火作用。一旦某个单元起火这种方法保护了其它的居住者。然而, 多数防火墙里都有一个重要的门, 允许人们进人或离开大楼。因此, 虽然防火墙保护了人们的安全, 但这个门在提供增强安全性的同时允许必要的访问。

在计算机网络中, 一个网络防火墙扮演着防备潜的作用。在简单来说, 今天防火墙的主要概念就是多个组件的应用。到现在你要准备实施你的防火墙, 需要知道你的公司需要什么样的服务并且什么样的服务对于内部用户和外部用户都是有效的。

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。云南工商学院防火墙架设配置和安全分析

2.2 防火墙的发展历程

第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。

第二、三代防火墙。1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。

第四代防火墙。1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。

第五代防火墙。1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

一体化安全网关UTM（Unified Threat Management）。UTM即是统一威胁管理，主要包含入侵防御、VPN、防火墙、网络和电子邮件的过滤等。随着万兆UTM的出现，UTM代替防火墙的趋势不可避免。在国际上，Juniper，飞塔公司高性能的UTM占据了一定的市场份额，国内，启明星辰的高性能UTM则一直领跑国内市场。

2.3 防火墙的基本类型

实现防火墙的技术包括四大类：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。

2.3.1 网络级防火墙

一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。

先进的网络级防火墙可以判断这一点，它可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。

下面是某一网络级防火墙的访问控制规则：

(1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1；

(2)允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主机150.0.0.2上；(3)允许任何地址的E-mail(25口)进入主机150.0.0.3；(4)允许任何WWW数据（80口）通过；云南工商学院防火墙架设配置和安全分析

(5)不允许其他数据包进入。

网络级防火墙简洁、速度快、费用低，并且对用户透明，但是对网络的保护很有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力。

2.3.2 应用级网关

应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。

常用的应用级防火墙已有了相应的代理服务器，例如： HTTP、NNTP、FTP、Telnet、rlogin、X-windows等，但是，对于新开发的应用，尚没有相应的代理服务，它们将通过网络级防火墙和一般的代理服务。

应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏“透明度”。在实际使用中，用户在受信任的网络上通过防火墙访问Internet时，经常会发现存在延迟并且必须进行多次登录（Login）才能访问Internet或Intranet。

2.3.3 电路级网关

电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Seion)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。

实际上电路级网关并非作为一个独立的产品存在，它与其他的应用级网关结合在一起，如TrustInformationSystems公司的GauntletInternetFirewall；DEC公司的AltaVistaFirewall等产品。另外，电路级网关还提供一个重要的安全功能：代理服务器（ProxyServer），代理服务器是个防火墙，在其上运行一个叫做“地址转移”的进程，来将所有你公司内部的IP地址映射到一个“安全”的IP地址，这个地址是由防火墙使用的。但是，作为电路级网关也存在着一些缺陷，因为该网关是在会话层工作的，它就无法检查应用层级的数据包。

2.3.4 规则检查防火墙

该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样，规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也象电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合公司网络的安全规则。

规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关的是，它并不打破客户机/服务机模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。云南工商学院防火墙架设配置和安全分析

目前在市场上流行的防火墙大多属于规则检查防火墙，因为该防火墙对于用户透明，在OSI最高层上加密数据，不需要你去修改客户端的程序，也不需对每个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1防火墙都是一种规则检查防火墙。

从趋势上看，未来的防火墙将位于网络级防火墙和应用级防火墙之间，也就是说，网络级防火墙将变得更加能够识别通过的信息，而应用级防火墙在目前的功能上则向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽查系统，可保护数据以加密方式通过，使所有组织可以放心地在节点间传送数据

2.4 防火墙工作原理

2.4.1 包过滤防火墙

包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。

（包过滤防火墙工作原理图）

2.4.2 应用网关防火墙

应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破客户机／服务器模式实现的。每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。云南工商学院防火墙架设配置和安全分析

（应用网关防火墙工作原理图）

2.4.3 状态检测防火墙

状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。

（状态检测防火墙工作原理图）

2.4.4 复合型防火墙

复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路。它在网络边界实施OSI七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。复合型防火墙实现了防火墙、入侵检测、安全评估、虚拟专用网4大功能模块。以防火墙功能为基础云南工商学院防火墙架设配置和安全分析

平台，以其他的安全模块为多层次应用环境，构筑了一套完整的立体的网络安全解决方案。

（复合型防火墙工作原理图）

2.4.5 新型复合型防火墙的设计 2.4.5.1 合并内外路由器

如果路由器有足够的功能和灵活性时，可将内、外路由的功能由一台路由器来完成。优点是：凡符合路由器规则的数据包可在内、外部网间互传；缺点：仍需要参数网络，需要一台各端口可以分别设置输入/输出的路由器。如下图：云南工商学院防火墙架设配置和安全分析

2.4.5.2 合并堡垒主机和外部路由器

采用让双宿主主机同时充当堡垒主机（堡垒主机是一种被强化的可以防御进攻的计算机，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的）和外部路由器的机构。优点：是内部网络的性能增强。缺点：使系统效能（信息交换）变差，灵活性低，由于堡垒主机对外更暴露，保护更加困难。如图（见下页）：云南工商学院防火墙架设配置和安全分析

2.4.5.3 多内部路由器

用多台路由器链接参数网络和内部网的各个部分。优点：内部处理数据的速度增快。缺点：使包过滤系统的设置更加复杂，有时会导致站点间不能建立连接。如下图：

第三章防火墙的架设配置云南工商学院防火墙架设配置和安全分析

3.1 防火墙的初始配置

像路由器一样，在使用之前，防火墙也需要经过基本的初始配置。防火墙的初始配置也是通过控制端口（Console）与PC机（通常是便于移动的笔记本电脑）的串口连接，再通过Windows系统自带的超级终端（HyperTerminal）程序进行选项配置。防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样，参见图1所示。

（图1）

防火墙除了以上所说的通过控制端口（Console）进行初始配置外，也可以通过telnet和Tffp配置方式进行高级配置，但Telnet配置方式都是在命令方式中配置，难度较大，而Tffp方式需要专用的Tffp服务器软件，但配置界面比较友好。

防火墙与路由器一样也有四种用户配置模式，即：普通模式（Unprivileged mode）、特权模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），进入这四种用户模式的命令也与路由器一样：

普通用户模式无需特别命令，启动后即进入；

进入特权用户模式的命令为“enable”；进入配置模式的命令为“config terminal”；而进入端口模式的命令为“interface ethernet（）”。不过因为防火墙的端口没有路由器那么复杂，所以通常把端口模式归为配置模式，统称为“全局配置模式”。

防火墙的具体配置步骤如下：

1.将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上，参见图1。

2.打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。

3.运行笔记本电脑Windows系统中的超级终端（HyperTerminal）程序（通常在“附件”程序组中）。对超级终端的配置与交换机或路由器的配置一样，参见本教程前面有关介绍。

4.当PIX防火墙进入系统后即显示“pixfirewall>”的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。

5.输入命令：enable,进入特权用户模式，此时系统提示为：pixfirewall#。

6.输入命令： configure terminal,进入全局配置模式，对系统进行初始化设置。云南工商学院防火墙架设配置和安全分析

（1）.首先配置防火墙的网卡参数（以只有1个LAN和1个WAN接口的防火墙配置为例）

Interface Ethernet()auto # 0号网卡系统自动分配为WAN网卡，“auto”选项为系统自适应网卡类型

Interface ethernet1 auto

（2）.配置防火墙内、外部网卡的IP地址

IP addre inside ip_addre netmask # Inside代表内部网卡

IP addre outside ip_addre netmask # outside代表外部网卡

（3）.指定外部网卡的IP地址范围：

global 1 ip_addre-ip_addre

（4）.指定要进行转换的内部地址

nat 1 ip_addre netmask

（5）.配置某些控制选项：

conduit global_ip port[-port] protocol foreign_ip [netmask]

其中，global_ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指的是连接协议，比如：TCP、UDP等；foreign_ip：表示可访问的global_ip外部IP地址；netmask：为可选项，代表要控制的子网掩码。

7.配置保存：wr mem

8.退出当前模式

此命令为exit，可以任何用户模式下执行，执行的方法也相当简单，只输入命令本身即可。它与Quit命令一样。下面三条语句表示了用户从配置模式退到特权模式，再退到普通模式下的操作步骤。

pixfirewall(config)# exit

pixfirewall# exit

pixfirewall>

9.查看当前用户模式下的所有可用命令：show，在相应用户模式下键入这个命令后，即显示出当前所有可用的命令及简单功能描述。

10.查看端口状态：show interface，这个命令需在特权用户模式下执行，执行后即显示出防火墙所有接口配置情况。

11.查看静态地址映射:show static，这个命令也须在特权用户模式下执行，执行后显示防火墙的当前静态地址映射情况。

3.2 过滤型防火墙的访问控制表（ACL）配置

除了以上介绍的基本配置外，在防火墙的安全策略中最重要还是对访问控制列表（ACL）进行配有关置。下面介绍一些用于此方面配置的基本命令。

1.acce-list：用于创建访问规则

这一访问规则配置命令要在防火墙的全局配置模式中进行。同一个序号的规则可以看作一类规则，同一个序号之间的规则按照一定的原则进行排列和选择，这个顺序可以通过 show acce-list 命令看到。在这个命令中，又有几种命令格式，分别执行不同的命令。云南工商学院防火墙架设配置和安全分析

（1）创建标准访问列表

命令格式：acce-list [ normal special ] listnumber1 { permit deny } source-addr [ source-mask ]

（2）创建扩展访问列表

命令格式：acce-list [ normal special ] listnumber2 { permit deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] icmp-type [ icmp-code ] ] [ log ]

（3）删除访问列表

命令格式：no acce-list { normal special } { all listnumber [ subitem ] }

上述命令参数说明如下：

●normal：指定规则加入普通时间段。

●special：指定规则加入特殊时间段。

●listnumber1：是1到99之间的一个数值，表示规则是标准访问列表规则。

●listnumber2：是100到199之间的一个数值，表示规则是扩展访问列表规则。

●permit：表明允许满足条件的报文通过。

●deny：表明禁止满足条件的报文通过。

●protocol：为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。

●source-addr：为源IP地址。

●source-mask：为源IP地址的子网掩码，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。

●dest-addr：为目的IP地址。

●dest-mask：为目的地址的子网掩码。

●operator：端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。

port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。port2 在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。

●icmp-type：在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值（如echo-reply）或者是0~255之间的一个数值。

●icmp-code：在协议为ICMP，且没有选择所设定的预设值时出现；代表ICMP码，是0~255之间的一个数值。

●log：表示如果报文符合条件，需要做日志。

●listnumber：为删除的规则序号，是1~199之间的一个数值。

●subitem：指定删除序号为listnumber的访问列表中规则的序号。

例如，现要在华为的一款防火墙上配置一个“允许源地址为10.20.10.0 网络、目的地址为10.20.30.0网络的WWW访问，但不允许使用FTP”的访问规则。相应配置语句只需两行即可，如下：

Quidway(config)#acce-list 100 permit tcp 10.20.10.0 255.0.0.0 10.20.30.0 255.0.0.0 eq www 云南工商学院防火墙架设配置和安全分析

Quidway(config)#acce-list 100 deny tcp 10.20.10.0 255.0.0.0 10.20.30.0 255.0.0.0 eq ftp

2.clear acce-list counters：清除访问列表规则的统计信息

命令格式：clear acce-list counters [ listnumber ]

这一命令必须在特权用户模式下进行配置。listnumber 参数是用指定要清除统计信息的规则号，如不指定，则清除所有的规则的统计信息。

如要在华为的一款包过滤路由器上清除当前所使用的规则号为100的访问规则统计信息。访问配置语句为：

clear acce-list counters 100

如有清除当前所使用的所有规则的统计信息，则以上语句需改为：Quidway#clear acce-list counters

3.ip acce-group

使用此命令将访问规则应用到相应接口上。使用此命令的no形式来删除相应的设置，对应格式为：

ip acce-group listnumber { in out }

此命令须在端口用户模式下配置，进入端口用户模式的命令为：interface ethernet（），括号中为相应的端口号，通常0为外部接口，而1为内部接口。进入后再用ip acce-group 命令来配置访问规则。listnumber参数为访问规则号，是1~199之间的一个数值（包括标准访问规则和扩展访问规则两类）；in 表示规则应用于过滤从接口接收到的报文；而out表示规则用于过滤从接口转发出去的报文。一个接口的一个方向上最多可以应用20类不同的规则；这些规则之间按照规则序号的大小进行排列，序号大的排在前面，也就是优先级高。对报文进行过滤时，将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以，建议在配置规则时，尽量将对同一个网络配置的规则放在同一个序号的访问列表中；在同一个序号的访问列表中，规则之间的排列和选择顺序可以用show acce-list命令来查看。

例如将规则100应用于过滤从外部网络接口上接收到的报文，配置语句为（同样为在倾为包过滤路由器上）：

ip acce-group 100 in

如果要删除某个访问控制表列绑定设置，则可用no ip acce-group listnumber { in out } 命令。

4.show acce-list

此配置命令用于显示包过滤规则在接口上的应用情况。命令格式为：show acce-list [ all listnumber interface interface-name ]

这一命令须在特权用户模式下进行配置，其中all参数表示显示所有规则的应用情况，包括普通时间段内及特殊时间段内的规则；如果选择listnumber参数，则仅需显示指定规则号的过滤规则；interface 表示要显示在指定接口上应用的所有规则序号；interface-name参数为接口的名称。

使用此命令来显示所指定的规则，同时查看规则过滤报文的情况。每个规则都有一个相应的计数器，如果用此规则过滤了一个报文，则计数器加1；通过对计数器的观察可以看出所配置的规则中，哪些规则是比较有效，而哪些基本无效。例如，现在要显示当前所使用序号为100的规则的使用情况，可执行Quidway#show acce-list 100语句即可，随即系统即显示这条规则的使用情况，格式如下：云南工商学院防火墙架设配置和安全分析

Using normal packet-filtering acce rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)

permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)

deny udp any any eq rip(no matches--rule 3)

5.show firewall

此命令须在特权用户模式下执行，它显示当前防火墙状态。命令格式非常简单，也为：show firewall。这里所说的防火墙状态，包括防火墙是否被启用，启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。

6.Telnet

这是用于定义能过防火配置控制端口进行远程登录的有关参数选项，也须在全局配置用户模式下进行配置。

命令格式为：telnet ip_addre [netmask] [if_name]

其中的ip_addre参数是用来指定用于Telnet登录的IP地址，netmask为子网掩码，if_name用于指定用于Telnet登录的接口，通常不用指定，则表示此IP地址适用于所有端口。如：

telnet 192.168.1.1

如果要清除防火墙上某个端口的Telnet参数配置，则须用clear telnet命令，其格式为：clear telnet [ip_addre [netmask] [if_name]]，其中各选项说明同上。它与另一个命令no telnet功能基本一样，不过它是用来删除某接口上的Telnet配置，命令格式为：no telnet [ip_addre [netmask] [if_name]]。

如果要显示当前所有的Telnet配置，则可用show telnet命令。

最简单的防火墙配置，就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。为更好地实现网络安全，有时还要将几种防火墙技术组合起来构建防火墙系统。目前比较流行的有以下三种防火墙配置方案。

3.3 双宿主机网关(Dual Homed Gateway)这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。堡垒主机上运行着防火墙软件(通常是代理服务器)，可以转发应用程序，提供服务等。双宿主机网关有一个致命弱点，一旦入侵者侵入堡垒主机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有保护的内部网络(如图1)。云南工商学院防火墙架设配置和安全分析

三种流行防火墙配置方案分析(图一)

3.4 屏蔽主机网关(Screened Host Gateway)屏蔽主机网关易于实现，安全性好，应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡，与内部网络连接(如图2)。通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从 Internet惟一可以访问的主机，确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机，可以受控制地通过屏蔽主机和路由器访问Internet.三种流行防火墙配置方案分析(图二)双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器(如图3)。双宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。云南工商学院防火墙架设配置和安全分析

三种流行防火墙配置方案分析(图三)

3.5 屏蔽子网(Screened Subnet)这种方法是在Intranet和Internet之间建立一个被隔离的子网，用两个包过滤路由器将这一子网分别与Intranet和 Internet 分开。两个包过滤路由器放在子网的两端，在子网内构成一个“缓冲地带”(如图4)，两个路由器一个控制Intranet 数据流，另一个控制Internet数据流，Intranet和Internet均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机，为内部网络和外部网络的互相访问提供代理服务，但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器，像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内，这样无论是外部用户，还是内部用户都可访问。这种结构的防火墙安全性能高，具有很强的抗攻击能力，但需要的设备多，造价高。

三种流行防火墙配置方案分析(图四)云南工商学院防火墙架设配置和安全分析

当然，防火墙本身也有其局限性，如不能防范绕过防火墙的入侵，像一般的防火墙不能防止受到病毒感染的软件或文件的传输;难以避免来自内部的攻击等等。总之，防火墙只是一种整体安全防范策略的一部分，仅有防火墙是不够的，安全策略还必须包括全面的安全准则，即网络访问、本地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全。

第四章防火墙安全性

4.1 防火墙具备的安全功能

防火墙是网络安全策略的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看，防火墙应该具有以下基本功能：

(1)报警功能，将任何有网络连接请求的程序通知用户，用户自行判断是否放行也或阻断其程序连接网络。

(2)黑白名单功能，可以对现在或曾经请求连接网络的程序进行规则设置。包括以后不准许连接网网等功能。

(3)局域网查询功能，可以查询本局域网内其用户，并显示各用户主机名。

(4)流量查看功能，对计算机进出数据流量进行查看，直观的完整的查看实时数据量和上传下载数据率。

(5)端口扫描功能，户自可以扫描本机端口，端口范围为0-65535端口，扫描完后将显示已开放的端口。

(6)系统日志功能，日志分为流量日志和安全日志，流量日志是记录不同时间数据包进去计算机的情况，分别记录目标地址，对方地址，端口号等。安全日志负责记录请求连接网络的程序，其中包括记录下程序的请求连网时间，程序目录路径等。

(7)系统服务功能，可以方便的查看所以存在于计算机内的服务程序。可以关闭，启动，暂停计算机内的服务程序。

(8)连网/断网功能，在不使用物理方法下使用户计算机连接网络或断开网络。

完成以上功能使系统能对程序连接网络进行管理，大大提高了用户上网的效率，降低的上网风险。从而用户上网娱乐的质量达到提高，同时也达到网络安全保护的目的。云南工商学院防火墙架设配置和安全分析

4.2 对常见攻击方式的策略

4.2.1 病毒

尽管某些防火墙产品提供了在数据包通过时进行病毒扫描的功能, 但仍然很难将所有的病毒(或特洛伊木马程序)阻止在网络外面, 黑客很容易欺骗用户下载一个程序从而让恶意代码进入内部网。

策略: 设定安全等级, 严格阻止系统在未经安全检测的情况下执行下载程序;或者通过常用的基于主机的安全方法来保护网络。

4.2.2 口令字

对口令字的攻击方式有两种: 穷举和嗅探。穷举针对来自外部网络的攻击, 来猜测防火墙管理的口令字。嗅探针对内部网络的攻击, 通过监测网络获取主机给防火墙的口令字。

策略: 设计主机与防火墙通过单独接口通信(即专用服务器端口)、采用一次性口令或禁止直接登录防火墙。

4.2.3 邮件

来自于邮件的攻击方式越来越突出, 在这种攻击中, 垃圾邮件制造者将一条消息复制成成千上万份, 并按一个巨大的电子邮件地址清单发送这条信息, 当用户不经意打开邮件时, 恶意代码即可进入。

策略: 打开防火墙上的过滤功能, 在内网主机上采取相应阻止措施。

4.2.4 IP 地址

黑客利用一个类似于内部网络的IP 地址, 以“逃过”服务器检测, 从而进入内部网达到攻击的目的。

策略: 通过打开内核rp f ilter 功能, 丢弃所有来自网络外部但却有内部地址的数据包;同时将特定IP地址与MAC 绑定, 只有拥有相应MAC 地址的用户才能使用被绑定的IP 地址进行网络访问。本文比较了攻击者通常采用的一些攻击手段, 提出了防火墙的安全脆弱点。介绍了容入带防火墙入侵检测技术(IDS)的VPN, 设计了防火墙技术体系结构,并提出了相应的网络安全防护措施和应对常见攻击方式的策略。

4.3 火墙的安全技术分析

防火墙对网络的安全起到了一定的保护作用，但并非万无一失。通过对防火墙的基本原云南工商学院防火墙架设配置和安全分析

理和实现方式进行分析和研究，我对防火墙的安全性有如下几点认识。

1．正确选用、合理配置防火墙非常不容易

防火墙作为网络安全的一种防护手段，有多种实现方式。建立合理的防护系统，配置有效的防火墙应遵循这样四个基本步骤：

风险分析；需求分析；确立安全政策；

选择准确的防护手段，并使之与安全政策保持一致。

然而，多数防火墙的设立没有或很少进行充分的风险分析和需求分析，而只是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙，这样的防火墙能否“防火”还是个问题。

2．需要正确评估防火墙的失效状态

评价防火墙性能如何及能否起到安全防护作用，不仅要看它工作是否正常，能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马纪，而且要看到一旦防火墙被攻破，它的状态如何? 按级别来分，它应有这样四种状态：a.未受伤害能够继续正常工作；b.关闭并重新启动，同时恢复到正常工作状态；c.关闭并禁止所有的数据通行；d.关闭并允许所有的数据通行。

前两种状态比较理想，而第四种最不安全。但是许多防火墙由于没有条件进行失效状态测试和验证，无法确定其失效状态等级，因此网络必然存在安全隐患。

3.防火墙必须进行动态维护

防火墙安装和投入使用后，并非万事大吉。要想充分发挥它的安全防护作用，必须对它进行跟踪和维护，要与商家保持密切的联系，时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞，就会尽快发布补救(Patch)产品，此时应尽快确认真伪(防止特洛伊木马等病毒)，并对防火墙软件进行更新。

4.目前很难对防火墙进行测试验证防火墙能否起到防护作用，最根本、最有效的证明方法是对其进行测试，甚至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较大：

(1)防火墙性能测试目前还是一种很新的技术，尚无正式出版刊物，可用的工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试的工具软件。

(2)防火墙测试技术尚不先进，与防火墙设计并非完全吻合，使得测试工作难以达到既定的效果。

(3)选择“谁”进行公正的测试也是一个问题。

可见，防火墙的性能测试决不是一件简单的事情，但这种测试又相当必要，进而提出这样一个问题：不进行测试，何以证明防火墙安全？

5．非法攻击防火墙的基本“招数”

(1)通常情况下，有效的攻击都是从相关的子网进行的。因为这些网址得到了防火墙的信赖，虽说成功与否尚取决于机遇等其他因素，但对攻击者而言很值得一试。下面我们以数据包过滤防火墙为例，简要描述可能的攻击过程。这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件，而这恰恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接口，因此攻击者无需表明进攻数据包的真正来源，只需伪装IP地址，取得目标的信任，使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地址缺乏识别和验证的机制。通常主机A与主机B的TCP连接(中间有或无防火墙)是通过主机A向主云南工商学院防火墙架设配置和安全分析

机B提出请求建立起来的，而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初始序列号ISN。具体分三个步骤：

1．主机A产生它的ISN，传送给主机B，请求建立连接； 2．B接收到来自A的带有SYN标志的ISN后，将自己本身的ISN连同应答信息ACK一同返回给A；

3．A再将B传送来的ISN及应答信息ACK返回给B。至此，正常情况，主机A与B的TCP连接就建立起来了。IP地址欺骗攻击的第一步是切断可信赖主机。这样可以使用TCP淹没攻击(TCPSynFloodAttack)，使得信赖主机处于“自顾不暇”的忙碌状态，相当于被切断，这时目标主机会认为信赖主机出现了故障，只能发出无法建立连接的RST包而无暇顾及其他。攻击者最关心的是猜测目标主机的ISN。为此，可以利用SMTP的端口(25)，通常它是开放的，邮件能够通过这个端口，与目标主机打开(Open)一个TCP连接，因而得到它的ISN。在此有效期间，重复这一过程若干次，以便能够猜测和确定ISN的产生和变化规律，这样就可以使用被切断的可信赖主机的IP地址向目标主机发出连接请求。请求发出后，目标主机会认为它是TCP连接的请求者，从而给信赖主机发送响应(包括SYN)，而信赖主机目前仍忙于处理Flood淹没攻击产生的“合法”请求，因此目标主机不能得到来自于信赖主机的响应。现在攻击者发出回答响应，并连同预测的目标主机的ISN一同发给目标主机。随着不断地纠正预测的ISN，攻击者最终会与目标主机建立一个会晤。通过这种方式，攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果反复试验使得目标主机能够接收对网络的ROOT登录，那么就可以完全控制整个网络。

归纳起来，防火墙安全防护面临威胁的几个主要原因有：SOCK的错误配置；不适当的安全政策；强力攻击；允许匿名的FTP协议；允许TFTP协议；允许Rlogin命令；允许X－Windows或OpenWindows；端口映射；可加载的NFS协议；允许Windows文件共享；Open端口。

(2)破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的职能，处于失效状态。

(3)需要特别注意的是，防火墙也可能被内部攻击。因为安装了防火墙后，随意访问被严格禁止了，这样内部人员无法在闲暇的时间通过Telnet浏览邮件或使用FTP向外发送信息，个别人会对防火墙不满进而可能攻击它、破坏它，期望回到从前的状态。这里，攻击的目标常常是防火墙或防火墙运行的操作系统，因此不仅涉及网络安全，还涉及主机安全问题。

以上分析表明，防火墙的安全防护性能依赖的因素很多。防火墙并非万能，它最多只能防护经过其本身的非法访问和攻击，而对不经防火墙的访问和攻击则无能为力。从技术来讲，绕过防火墙进入网络并非不可能。

目前大多数防火墙都是基于路由器的数据包分组过滤类型，防护能力差，存在各种网络外部或网络内部攻击防火墙的技术手段。

4.4 防火墙采用的技术比较

根据防火墙对进、出网络数据的处理方法, 大致可以将防火墙分为两大体系: 包过滤防火墙和代理防火墙。云南工商学院防火墙架设配置和安全分析

传统的包过滤防火墙基于路由器在网络层进行过滤, 根据事先定义好的过滤规则来检测每个IP 包头的相关信息来决定数据流的通过还是拒绝, 这些相关信

息包括IP 源地址、IP 目标地址、传输协议(T CP、UDP、ICMP 等等)、T CP/ U DP 目标端口、ICMP 消息类型等。过滤规则明确指出希望通过的数据包以及禁止的数据包。包过滤防火墙是安全性最低的防火墙。

状态检测技术是防火墙近几年才采用的新技术,该技术采用一种基于连接的状态检测机制, 读取、分析和利用了全面的网络通信信息和状态, 包括: 通信信息、通状态、应用状态、操作信息。状态检测防火墙仍采用客户端/ 服务器模式, 数据包在网络层被拦截, 属于同一连接的所有包作为一个整体的数据流看待, 构成连接状态表, 接着与定义好的规则表共同配合, 对表中的各个连接状态加以识别。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪, 并且根据需要可动态地在过滤规则中增加或更新条目。对于UDP这样无状态的连接, 以虚拟连接的方式构成连接表。代理服务器代表客户来处理向服务器的连接请求。当代理服务器得到一个客户的连接意图时, 它们将核实客户请求, 并经过特定的安全化的Prox y 应用程序处理连接请求, 将处理后的请求传递到真实的服务器上, 然后接受服务器应答, 进一步处理后将答复交给发出请求的最终客户。代理类型防火墙最突出的优点就是安全。它打破了客户端/ 服务器模式, 由于每一个内外网络之间的连接都要通过Prox y 的介入和转换,每个客户端/ 服务器通讯需要两个连接: 一个是从客户到防火墙, 一个是从防火墙到服务器。而且每个代理需要一个不同的应用软件进程或守护进程, 可移植性较差。新发展起来的第五代防火墙采用自适应代理技术,它结合了代理类型防火墙的安全性和包过滤防火墙的高速度等优点。

4.5 各类防火墙的对比

防火墙：包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。

应用网关防火墙：不检查IP、TCP报头，不建立连接状态表，网络层保护比较弱。

状态检测防火墙：不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。

复合型防火墙：可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱

4.6 防墙的优缺性

4.6.1 防火墙的优点

（1）防火墙能强化安全策略。

（2）防火墙能有效地记录Internet上的活动。

（3）防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，云南工商学院防火墙架设配置和安全分析

能够防止影响一个网段的问题通过整个网络传播。

（4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。

4.6.2 防火墙的安全脆弱性分析

效地保障了内部网络的安全, 但是防火墙也不是绝对安全的防护手段, 不同的防火墙在具体实现上存在不同的安全脆弱点。对防火墙安全脆弱性分析是为有效地进行防火墙的安全防护提供帮助, 要想获得较高级别的安全保障, 必须全面了解自身防火墙的安全弱点。不同防火墙存在不同程度的安全脆弱点。攻击防火墙可以分为三部分: 防火墙探测、绕过防火墙的攻击和破坏性攻击。

在防火墙探测攻击中, 一旦攻击者标识出目标网络的防火墙, 就能确定它的部分脆弱点。对于这一类攻击, 可以通过设置防火墙过滤规则把出去的ICMP数据过滤掉, 或者可以在数据包进入防火墙时, 检查IP 数据包的TT L 值, 如果为1 者0 则丢弃, 且不发出任何ICMP 数据包来达到防止这种探测的目的;还有防火墙关闭自身不必要的端口也是很关键的。

绕过防火墙攻击通常是利用地址欺骗、T CP 序列号等手段绕过防火墙的认证机制。可以在配置防火墙时过滤掉那些进来数据包的源地址是内部地址的数据

包来达到防范IP 欺骗攻击;对源路由攻击所采取的防__御方法就是简单丢弃所有包含源路由选项的数据包;对于分片攻击目前可行的解决方案是在分片进入内部网络之前防火墙对其进行重组, 但是这增加了防火墙的负担, 也影响防火墙传发数据包的效率;木马攻击是比较常用的攻击手段, 最好的防范就是避免木马的安

装以及在系统上安装木马检测工具。

防火墙的未来发展趋势

可以预见，未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。

5.1 高速

从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够，真正达到线速的防火墙少之又少。防范DoS(拒绝服务)是防火墙一个很重要的任务，防火墙往往用在网络出口，如造成网络堵塞，再安全的防火墙也无法应用。

应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法，但尤以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPv6，而采用其他方法就不那么灵活。

实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实现高速。对于采用纯CPU的防火墙，就必须有算法支撑，例如ACL算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓慢。云南工商学院防火墙架设配置和安全分析

根据国家有关标准和要求，防火墙日志要求记录的内容相当多。网络流量越来越大，如此庞大的日志对日志服务器提出了很高的要求。目前，业界应用较多的是SYSLOG日志，采用的是文本方式，每一个字符都需要一个字节，存储量很大，对防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传送量，也方便数据库的存储、加密和事后分析。可以说，支持二进制格式和日志数据库，是未来防火墙日志和日志服务器软件的一个基本要求。

5.2 多功能化

多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组网环境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足组网和节省投资的需要。例如，防火墙支持广域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要；支持IPSec VPN，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。据IDC统计，国外90%的加密VPN都是通过防火墙实现的。

5.3 安全

未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。“魔高一尺，道高一丈”，在信息安全的发展与对抗过程中，防火墙的技术一定会不断更新，日新月异，在信息安全的防御体系中，起到堡垒的作用。

总结

经过两个月艰苦卓绝的努力,总于完成了本毕业设计.从当初领到题目到最后一个功能模块的完成,经历了无数次的错误->修改代码->重启服务器->运行的过程,感觉到平时学的知识是多么的浅薄,书到用时方恨少,现在是体验的真真切切.也充分反应了我平时的基本功不扎实,给我以后的工作敲响了警钟,有了努力的方向.但通过本次毕业设计,我也感受到了开源的方便,遇到什么问题,上网一查,就知道该怎么弄了,以前做个课程设计都是怕别人和我的一样,不愿意给别人看,现在知道了程序弄不出来是多么的着急,学习都是相互的,互相研究才能共同进步的.以后要多多注意这方面的事情, 本次毕业设计是我工作前一次很好的演练和实践的机会,是培养独立考问题和自学能力的锻炼,使我意识到必须努力学习才能才工作中体现自己的价值,适应社会的需要.参考文献

[1] 王新宇.防火墙技术浅析[M].宁夏：宁夏机械出版社,2009 [2] 周启辉.防火墙的现状与发展趋势分析[J].涟钢科技与管理,2009,(06)[3]张宝剑.计算机安全与防护技术[M].机械工业出版社,2008.云南工商学院防火墙架设配置和安全分析

[4]林海波,网络安全与防火墙技术[M].北京清华大学出版社,2008.[5]凌雨欣,常红.网络安全技术与反网络入侵者[M].冶金工业出版社,2008.[6]王蓉,林海波.网络安全与防火墙技术[M].清华大学出版社,2009.[7]余建斌.黑客的攻击手段及用户对策［M］.北京人民邮电出版社,2008.[8](美)布莱克赫兹.Microsoft，UNIX及0racle主机和网络安全［M］.电子工业出版社,2009.[9] 马程.防火墙在网络安全中的应用［J］.甘肃科技,2008 [10]蒋建春, 冯登国.网络入侵检测原理与技术[ M].北京.国防工业出版社, 2009.[11] 钱桂琼, 杨泽明, 许生.计算机取证的研究与设计[ J].计算机工程, 2008, 28(6): 56-58.致谢

经过长时间的努力,我完成了题目为: 防火墙的安全性分析的论文撰写。

本次设计能够顺利完成,我首先要感谢一些发表书籍的老师们。其次,我要感谢我的指导老师陈春老师,他自始自终都给予了我莫大的帮助,对的设计中每一个计划,每一项安排都提出了至关重要的建议,使我少走了许多弯路,节省了大量的时间,并且能不厌其烦地指导我技术上的问题,使我的系统更加完善和符合企业网站的要求.可以说,我的毕业设计的顺利完成凝聚着导师的大量心血。

另外,我还要感谢那些网上的朋友,他们毫不吝啬的将自己所掌握的知识拿出来资源共享,才使我部分功能模块得以实现,谢谢他们。

通过这次毕业设计,我体会很多,学会是一回事,会用则就是另一回事了.以前感到自己专业技能还可以,但真正到用的时候就发现了很多缺陷,发现自己其实差距很大,还不能适应工作.为我今后指明了努力方向。

再一次，我向多方面支持和帮助过我的人表示由衷的感谢！

《防火墙的架设、配置和安全分析论文.docx》

将本文的Word文档下载，方便收藏和打印

推荐度：

点击下载文档

相关专题网络安全与防火墙论文论文防火墙网络安全与防火墙论文论文防火墙

[其他范文]相关推荐

[其他范文]热门文章