计算机网络安全和防火墙技术

1、山西信息职业技术学院毕业论文（设计）计算机网络安全及防火墙技术韩龑论文指导教师 刘鹏 信息工程系 学生所在系部 信息工程系 专业名称 网络系统管理 论文提交日期 2013年 4 月 日 论文答辩日期 2013年 4 月 日2013 年 4 月 日论文题目：计算机网络安全及防火墙技术专 业：网络系统管理学 生：韩龑 签名： 指导老师：刘鹏 签名： 摘 要近年来,网络犯罪的递增、大量黑客网站的诞生，网络系统的安全问题越来越受到重视。网络系统的安全对于国家机关、银行、企业是至关重要的，即使是对于学校、甚至个人也是如此。因此，安全保密工作越来越成为网络建设中的关键技术，防火墙技术就是其中重要的一环。防

2、火墙相当于一个控流器，可用来监视或拒绝应用层的通信业务，它通过建立一整套规则和策略来监测和限制穿过防火墙的数据流，允许合法数据包通过，组织非法数据包通过，从而达到有效保护内部网络安全的目的。【关键词】 计算机网络 网络安全 网络入侵 数据加密【论文类型】应用、硬件或其它Title：Problems and Countemeasures of network secuntyMajor：Network system managementName：Hanyan Signature： Supervisor：Liupeng Signature： AbstractIn recent years,incre

3、asingcyber crime,the birth ofa large number ofhacking sites,networksecurity issuesmore and more attention. Network securityfor the countryoffices, banks,businessis crucial,even forschools,even individualsas well. Therefore, thesecurity and confidentiality ofnetwork constructionis increasinglybecomin

4、ga keytechnology,firewall technologyis oneimportant part. Firewallis equivalent toaflow controldevicecan be used tomonitoror denytheapplication layertraffic. It isthrough the establishment ofa set ofrules and policies tomonitor andrestrictthe flow of datathrough the firewallto allowlegitimatepackets

5、,organizing illegalpackets,so as to achieveeffective protection ofinternal networksecurity.【Keywords】:computer network, Network Security, Firewall, SingleSubnet【Type of Thesis】:Application, hardware or other目 录1计算机网络安全概述21.1计算机网络安全的含义21.2 计算机网络安全面临的威胁21.2.1网络缺陷21.2.2黑客攻击31.2.3各种病毒31.2.4网络资源滥用31.2.5信

6、息泄漏31.3 计算机网络安全产生的原因及缺陷31.3.1 TCP/IP的脆弱性31.3.2网络结构的不安全性31.3.3易被窃听41.3.4缺乏安全意识41.4 影响计算机网络安全的因素41.4.1网络资源的共享性41.4.2网络的开放性41.4.3网络操作系统的漏洞41.4.4网络系统设计的缺陷41.4.5恶意攻击42计算机网络安全防范策略52.1 隐藏IP地址52.2 关闭不必要的端口52.3更换管理员账户52.4 杜绝Guest帐户的入侵52.5 防火墙技术52.6 数据加密与用户授权访问控制技术82.7入侵检测系统82.8 病毒防患技术83防火墙技术93.1 防火墙的定义93.2 防

7、火墙的功能93.3 防火墙的类型93.3.1 包过滤技术防火墙93.3.2 代理服务器防火墙103.3.3 复合型防火墙103.3 防火墙的工作原理103.3.1 包过滤防火墙103.3.2 应用网关防火墙103.3.3 状态监视技术113.3.4 复合型防火墙113.4 防火墙的初始配置123.5 过滤型防火墙的访问控制表（ACL）配置143.6 双宿主机网关(Dual Homed Gateway)183.7 屏蔽主机网关(Screened Host Gateway)183.8 屏蔽子网(Screened Subnet)19总 结20致 谢21参考文献22引 言近年来，随着计算机网络技术的飞

8、速发展，尤其是互联网的应用变得越来越广泛，在带来了前所未有的海量信息的同时，计算机网络的安全性变得日益重要起来，由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素，致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。为确保信息的安全与网络畅通，研究计算机网络的安全与防护措施已迫在眉捷，但网络安全问题至今仍没有能够引起足够的重视，更多的用户认为网络安全问题离自己尚远，这一点从大约有40%以上的用户特别是企业级用户没有安装防火墙(Firewall)便可以窥见一斑，而所有的问题都在向大家证明一个事实，大多数的黑客入侵事件都是由于未能正确安装防火墙而引

9、发，所以防火墙技术应当引起我们的注意和重视。本文主要研究网络安全的缺陷原由及网络安全技术的原理和其他技术，如防火墙技术对网络安全起到的不可忽视的影响。1计算机网络安全概述1.1计算机网络安全的含义计算机网络安全【2】的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的认识和要求也就不同。例如从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。从本质上来讲，网络安全包括组成网络系统

10、的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。1.2 计算机网络安全面临的威胁近年来，威胁网络安全的事件不断发生，特别是计算机和网络技术发展迅速的国家和部门发生的网络安全事件越来越频繁和严重。一些国家和部门不断遭到入侵攻击，本文列举以下事例以供分析和研究之用。事件一：2005年7月14日国际报道 英国一名可能被引渡到美国的黑客McKinnon表示，安全性差是他能够入侵美国国防部网站的主要原因。他面临“与计算机有关的欺诈”的指控，控方称，

11、他的活动涉及了美国陆军、海军、空军以及美国航空航天局。可以看出，一方面尽管这位黑客的主动入侵没有恶意，但是事实上对美国国防部的网络信息在安全方面造成威胁，假如这位黑客出于某种目的，那么后果将无法估量；另一方面网络技术很高的国家和部门也会被黑客成功入侵。事件二：2005年6月17日报道万事达信用卡公司称，大约4000万名信用卡用户的账户被一名黑客利用电脑病毒侵入，遭到入侵的数据包括信用卡用户的姓名、银行和账号，这都能够被用来盗用资金。如果该黑客真的用这些信息来盗用资金的话，不但将给这些信用卡用户带来巨大的经济损失，而且侵犯了这些信用卡用户的个人隐私。1.2.1网络缺陷Intemet由于它的开放性

12、迅速在全球范围内普及，但也正是因为开放性使其保护信息安全存在先天不足。Internet最初的设计考虑主要是考虑资源共享，基本没有考虑安全问题，缺乏相应的安全监督机制。1.2.2黑客攻击自1998年后，网上的黑客越来越多，也越来越猖獗；与此同时黑客技术逐渐被越来越多的人掌握现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得黑客攻击的隐蔽性好，“杀伤力”强，这是网络安全的主要威胁之一。1.2.3各种病毒病毒时时刻刻威胁着整个互联网。像Nimda和CodeRed的爆发更是具有深远的影响，促使人们不得不在网络的各个环节考虑对于各种病毒的检测防治，对病毒彻底防御的重要性毋庸置疑。1.2.4网络资源滥用

13、网络有了安全保证和带宽管理，依然不能防止员工对网络资源的滥用。等行为极大地降低了员工的工作效率。管理层希望员工更加有效地使用互联网，尽量避免网络对工作带来负面影响。 1.2.5信息泄漏恶意、过失的不合理信息上传和发布，可能会造成敏感信息泄漏、有害信息扩散，危及社会、国家、体和个人利益。更有基于竞争需要，利用技术手段对目标机信息资源进行窃取。在众多人为威胁中来自用户和恶意软件即计算机病毒的非法侵入严重，计算机病毒是利用程序干扰破坏系统正常工作的一种手段，它的产生和蔓延给信息系统的可靠性和安全性带来严重的威胁和巨大的损失。1.3 计算机网络安全产生的原因及缺陷1.3.1 TCP/IP的脆弱性因特网

14、的基石是TCP/IP协议【3】，不幸的是该协议对于网络的安全性考虑得并不多。并且，由于TCP/IP协议是公布于众的，如果人们对TCP/IP很熟悉，就可以利用它的安全缺陷来实施网络攻击。1.3.2网络结构的不安全性因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时，通常情况下它们之间互相传送的数据流要经过很多机器重重转发，如果攻击者利用一台处于用户的数据流传输路径上的主机，他就可以劫持用户的数据包。1.3.3易被窃听由于因特网上大多数数据流都没有加密，因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。1.3

15、.4缺乏安全意识虽然网络中设置了许多安全保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证，进行直接的PPP连接从而避开了防火墙的保护。 1.4 影响计算机网络安全的因素1.4.1网络资源的共享性资源共享是计算机网络应用的主要目的，但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着互联网需求的日益增长，外部服务请求不可能做到完全隔离，攻击者利用服务请求的机会很容易获取网络数据包。1.4.2网络的开放性网上的任何一个用户很方便访问互联网上的信息资源，从而很容易获取到一个企业、单位以及个人的敏感性信息。1.4.3网络操作系统的漏洞网络操

16、作系统是网络协议和网络服务得以实现的最终载体之一，它不仅负责网络硬件设备的接口封装，同时还提供网络通信所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性，决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。1.4.4网络系统设计的缺陷网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下，还可以提供较好的安全性。不合理的网络设计则会成为网络的安全威胁。1.4.5恶意攻击就是人们常见的黑客攻击及网络病毒，这是最难防范的网络安全威胁。随着电脑教育的大众化，这类攻击也是越来越多，影响越来越大。2计算机网络安

17、全防范策略2.1 隐藏IP地址 黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。 使用代理服务器后，其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。 2.2 关闭不必要的端口 黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序（比如Netwatch），该监视程序则会有

18、警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口，比如，用“NortonInternetSecurity”关闭用来提供网页服务的80和443端口，其他一些不常用的端口也可关闭。 2.3更换管理员账户Administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们要重新配置Administrator帐号。首先是为Administrator帐户设置一个强大复杂的密码，然后我们重命名Administrator帐户，再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来，入

19、侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程度上减少了危险性。 2.4 杜绝Guest帐户的入侵 Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门！禁用或彻底删除Guest帐户是最好的办法，但在某些必须使用到Guest帐户的情况下，就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码，然后详细设置Guest帐户对物理路径的访问权限。 2.5 防火墙技术防火墙网络安全的屏障，配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指一个由软件或和硬件设备组合而成，处于企业或网络群体计算机与外界通

20、道之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。当一个网络接上Internet之后，系统的安全除了考虑计算机病毒、系统的健壮性之外，更主要的是防止非法用户的入侵，而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警

21、，并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分，可实现内部网重点网段的隔离【4】，从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。为了让大家更好地使用防火墙，我们从反面列举2个有代表性的失败案例。例1：未制定完整的企业安全策略 网络环境：某中型企业购买了适合自己网络特点的防火墙，刚投入使用后，发现以前局域网中肆虐横行的蠕虫病毒不见了，企业网站遭受拒绝服务攻击的次数也大大减少了，为此，公司领导特意表扬了负责防火墙安装实施的信息部。 该企业网络环境如图2-1所示：图2-1 企业网络环境图该企业内部网络的核心交换机是带路由模块的三层交换机，出口

22、通过路由器和ISP连接。内部网划分为5个VLAN，VLAN 1、VLAN 2和VLAN 3分配给不同的部门使用，不同的VLAN之间根据部门级别设置访问权限；VLAN 4分配给交换机出口地址和路由器使用；VLAN 5分配给公共服务器使用。在没有加入防火墙之前，各个VLAN中的PC机能够通过交换机和路由器不受限制地访问Internet。加入防火墙后，给防火墙分配一个VLAN 4中的空闲IP地址，并把网关指向路由器；将VLAN 5接入到防火墙的一个网口上。这样，防火墙就把整个网络分为3个区域: 内部网、公共服务器区和外部网，三者之间的通信受到防火墙安全规则的限制。问题描述：防火墙投入运行后，实施了一

23、套较为严格的安全规则，导致公司员工无法使用QQ聊天软件，于是没过多久就有员工自己拨号上网，导致感染了特洛依木马和蠕虫等病毒，并立刻在公司内部局域网中传播开来，造成内部网大面积瘫痪。 问题分析：我们知道，防火墙作为一种保护网络安全的设备，必须部署在受保护网络的边界处，只有这样防火墙才能控制所有出入网络的数据通信，达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一，有很多出入口，那么只部署一台防火墙是不够的。在本案例中，防火墙投入使用后，没有禁止私自拨号上网行为，使得许多PC机通过电话线和Internet相连，导致网络边界不惟一，入侵者可以通过攻击这些PC机然后进一步攻击内部网络，从而成功地避

24、开了防火墙。 解决办法：根据自己企业网的特点，制定一整套安全策略，并彻底地贯彻实施。比如说，制定一套安全管理规章制度，严禁员工私自拨号上网; 同时封掉拨号上网的电话号码，并购买检测拨号上网的软件，这样从管理和技术上杜绝出现网络边界不惟一的情况发生。另外，考虑到企业员工的需求，可以在防火墙上添加按照时间段生效的安全规则，在非工作时间打开QQ使用的TCP/UDP端口，使得企业员工可以在工余时间使用QQ聊天软件。例2：未考虑与其他安全产品的配合使用 问题描述：某公司购买了防火墙后，紧接着又购买了漏洞扫描和IDS（入侵检测系统）产品。当系统管理员利用IDS发现入侵行为后，必须每次都要手工调整防火墙安全

25、策略，使管理员工作量剧增，而且经常调整安全策略，也给整个网络带来不良影响。 问题分析：选购防火墙时未充分考虑到与其他安全产品如IDS的联动功能，导致不能最大程度地发挥安全系统的作用。 解决办法：购买防火墙前应查看企业网是否安装了漏洞扫描或IDS等其他安全产品，以及具体产品名称和型号，然后确定所要购买的防火墙是否有联动功能（即是否支持其他安全产品，尤其是IDS产品），支持的是哪些品牌和型号的产品，是否与已有的安全产品名称相符，如果不符，最好不要选用，而选择能同已有安全产品联动的防火墙。这样，当IDS发现入侵行为后，在通知管理员的同时发送消息给防火墙，由防火墙自动添加相关规则，把入侵者拒之门外。

26、2.6 数据加密与用户授权访问控制技术与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击，虽无法避免，但却可以有效地检测；而对于被动攻击，虽无法检测，但却可以避免，实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法，这种变换是对称密钥算法”。这样的密钥必须秘密保管，只能为授权用户所知，授权用户既可以用该密钥加密信急，也可以用该密钥解密信息，DES是对称加密算法中

27、最具代表性的算法。在公钥加密算法中，公钥是公开的，任何人可以用公钥加密信息，再将密文发送给私钥拥有者。私钥是保密的，用于解密其接收的公钥加密过的信息【5】。典型的公钥加密算法nRSA是目前使用比较广泛的加密算法。2.7入侵检测系统 入侵检测系统(IntrusionDetectionSystem，IDS)是从多种计算机系统及网络系统中收集信息，再通过此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门，它能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击：在入侵攻击过程中，能减少入侵攻击所造成的损失；在被入侵攻击后，收集入侵攻击的相关信息，作为

28、防范系统的知识，添加入策略集中，增强系统的防范能力，避免系统再次受到同类型的入侵【6】。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。2.8 病毒防患技术随着计算机技术的不断发展，计算机病毒变得越来越复杂和高级，对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件，从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台Pc上，即对本地和本地工作站连接的远程资源采用分析扫描的方式检测

29、、清除病毒。网络防病毒软件则主要注重网络防病毒，一旦病毒入侵网络或者从网络向其它资源传染，网络防病毒软件会立刻检测到并加以删除【7】。3防火墙技术3.1 防火墙的定义防火墙是指设置在不同网络或网络安全域之间信息的唯一出入口,能根据网络的安全政策控制(允许拒绝监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。Internet防火墙是一个或一组系统，它能增强机构内部网络的安全性，用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取，防火墙系统还决定了哪些内部服务可以被外界访问，外界

30、的哪些人可以访问内部的服务，以及哪些外部服务何时可以被内部人员访问。要使一个防火墙有效，所有来自和去往Internet的信息都必须经过防火墙并接受检查。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。但是，防火墙系统一旦被攻击突破或迂回绕过，就不能提供任何保护了。3.2 防火墙的功能防火墙(作为阻塞点,控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略,通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令加密身份认证审计等)配置在防火墙上，对网络存取

31、和访问进行监控审计:所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据,当发生可疑动作时，防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。防止内部信息的外泄，通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离,而限制了局部重点或敏感网络安全问题对全局网络造成的影响。3.3 防火墙的类型3.3.1 包过滤技术防火墙包过滤型防火墙(Packet Filter Firewall)通常建立在路由器上，在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型防火墙工作在网络层，基于单个IP包实施网络控制。它对所收到的IP数据包的

32、源地址、目的地址、TCP数据分组或UDP报文的源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与网络管理员预先设定的访问控制表进行比较，确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。这种防火墙的优点是简单、方便、速度快、透明性好，对网络性能影响不大，可以用于禁止外部不合法用户对企业内部网的访问，也可以用来禁止访问某些服务类型，但是不能识别内容有危险的信息包，无法实施对应用级协议的安全处理。3.3.2 代理服务器防火墙它作用在应用层,其特点是完全 阻隔 了网络通信流通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用,实际中的应用网关通常由专用

33、工作站实现【8】。这种技术使得外部网络与内部网络之间需要建立的连接必须通过代理服务器的中间转换，实现了安全的网络访问，并可以实现用户认证、详细日志、审计跟踪和数据加密等功能，实现协议及应用的过滤及会话过程的控制，具有很好的灵活性。3.3.3 复合型防火墙复合型防火墙就是把包过滤、代理服务和许多其他的网络安全防护功能结合起来，形成新的网络安全平台，以提高防火墙的灵活性和安全性。3.3 防火墙的工作原理3.3.1 包过滤防火墙包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。这样系统就具 有很好的传输性能，可扩展能力

34、强。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被 黑客所攻破。（如图3-1所示）缺点：1）过滤规则难以配置和测试。2）包过滤只访问网络层和传输层的信息，访问信息有限，对网络更高协议层的信息无理解能力。3）对一些协议，如UDP和RPC难以有效的过滤。图3-1 包过滤防火墙3.3.2 应用网关防火墙 应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从 而提高网络的安全性。然而，应用网关防火墙是通过打破客户机服务器模式实现的。每个客户机服务器通信需要两个连接：一个是从客户端到防火墙，另一个是 从防火墙到服务器。

35、另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服 务。所以，应用网关防火墙具有可伸缩性差的缺点。（如图3-2所示）优点：它将内部用户和外界隔离开来，使得从外面只能看到代理服务器而看不到任何内部资源。与包过滤技术相比，代理技术是一种更安全的技术【9】。缺点：在应用支持方面存在不足，执行速度较慢。图3-2 应用网关防火墙3.3.3 状态监视技术状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防 火墙仅仅考察进出网络的数据包，不关心

36、数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以 这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。（如图3-3所示）图3-3 状态检测防火墙3.3.4 复合型防火墙复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功 能，多单元融为一体，是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体 现了网络与信息安全的新思路。

37、它在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。（如图3-4所示）图3-4 复合型防火墙3.4 防火墙的初始配置 像路由器一样，在使用之前，防火墙也需要经过基本的初始配置。但因各种防火墙的初始配置【10】基本类似，所以在此仅以Cisco PIX防火墙为例进行介绍。 防火墙的初始配置也是通过控制端口（Console）与PC机（通常是便于移动的笔记本电脑）的串口连接，再通过Windows系统自带的超级终端（HyperTerminal）程序进行选项配置。防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样，参见图3-1所示。 图3-5 防

38、火墙配置接口防火墙除了以上所说的通过控制端口（Console）进行初始配置外，也可以通过telnet和Tffp配置方式进行高级配置，但Telnet配置方式都是在命令方式中配置，难度较大，而Tffp方式需要专用的Tffp服务器软件，但配置界面比较友好。 防火墙与路由器一样也有四种用户配置模式，即：普通模式（Unprivileged mode）、特权模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），进入这四种用户模式的命令也与路由器一样： 普通用户模式无需特别命令，启动后即进入； 进入特权用户模式的命令为enable

39、；进入配置模式的命令为config terminal；而进入端口模式的命令为interface ethernet（）。不过因为防火墙的端口没有路由器那么复杂，所以通常把端口模式归为配置模式，统称为全局配置模式。 防火墙的具体配置步骤如下： 1. 将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上，参见图1。 2. 打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。 3. 运行笔记本电脑Windows系统中的超级终端（HyperTerminal）程序（通常在附件程序组中）。对超级终端的配置与交换机或路由器的配置一样，参见本教程前面有关介绍。 4

40、. 当PIX防火墙进入系统后即显示pixfirewall的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。 5. 输入命令：enable,进入特权用户模式，此时系统提示为：pixfirewall#。 6. 输入命令： configure terminal,进入全局配置模式，对系统进行初始化设置。 （1）. 首先配置防火墙的网卡参数（以只有1个LAN和1个WAN接口的防火墙配置为例） Interface ethernet0 auto # 0号网卡系统自动分配为WAN网卡，auto选项为系统自适应网卡类型 Interface ethernet1 auto （2）

41、. 配置防火墙内、外部网卡的IP地址 IP address inside ip_address netmask # Inside代表内部网卡 IP address outside ip_address netmask # outside代表外部网卡 （3）. 指定外部网卡的IP地址范围： global 1 ip_address-ip_address （4）. 指定要进行转换的内部地址 nat 1 ip_address netmask （5）. 配置某些控制选项： conduit global_ip port-port protocol foreign_ip netmask 其中，global_

42、ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指的是连接协议，比如：TCP、UDP等；foreign_ip：表示可访问的global_ip外部IP地址；netmask：为可选项，代表要控制的子网掩码。 7. 配置保存：wr mem 8. 退出当前模式 此命令为exit，可以任何用户模式下执行，执行的方法也相当简单，只输入命令本身即可。它与Quit命令一样。下面三条语句表示了用户从配置模式退到特权模式，再退到普通模式下的操作步骤。 pixfirewall(config)# exit pixfirewall# exit pixfirewall 9. 查看

43、当前用户模式下的所有可用命令：show，在相应用户模式下键入这个命令后，即显示出当前所有可用的命令及简单功能描述。 10. 查看端口状态：show interface，这个命令需在特权用户模式下执行，执行后即显示出防火墙所有接口配置情况。 11. 查看静态地址映射:show static，这个命令也须在特权用户模式下执行，执行后显示防火墙的当前静态地址映射情况。3.5 过滤型防火墙的访问控制表（ACL）配置 除了以上介绍的基本配置外，在防火墙的安全策略中最重要还是对访问控制列表（ACL）进行配有关置。下面介绍一些用于此方面配置的基本命令。 1. access-list：用于创建访问规则 这一访

44、问规则配置命令要在防火墙的全局配置模式中进行。同一个序号的规则可以看作一类规则，同一个序号之间的规则按照一定的原则进行排列和选择，这个顺序可以通过 show access-list 命令看到。在这个命令中，又有几种命令格式，分别执行不同的命令。 （1）创建标准访问列表 命令格式：access-list normal special listnumber1 permit deny source-addr source-mask （2）创建扩展访问列表 命令格式：access-list normal special listnumber2 permit deny protocol source-a

45、ddr source-mask operator port1 port2 dest-addr dest-mask operator port1 port2 icmp-type icmp-code log （3）删除访问列表 命令格式：no access-list normal special all listnumber subitem 上述命令参数说明如下： normal：指定规则加入普通时间段。 special：指定规则加入特殊时间段。 listnumber1：是1到99之间的一个数值，表示规则是标准访问列表规则。 listnumber2：是100到199之间的一个数值，表示规则是扩展访问

46、列表规则。 permit：表明允许满足条件的报文通过。 deny：表明禁止满足条件的报文通过。 protocol：为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。 source-addr：为源IP地址。 source-mask：为源IP地址的子网掩码，在标准访问列表中是可选项，不输入则代表通配位为。 dest-addr：为目的IP地址。 dest-mask：为目的地址的子网掩码。 operator：端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（

47、lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。 port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值（如telnet）或065535之间的一个数值。port2 在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值（如telnet）或065535之间的一个数值。 icmp-type：在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值（如echo-reply）或者是0255之间的一个数值。 icmp-code：在协议为ICMP，且没有选择所设定的预设值时出现；代表ICMP码，是02

48、55之间的一个数值。 log：表示如果报文符合条件，需要做日志。 listnumber：为删除的规则序号，是1199之间的一个数值。 subitem：指定删除序号为listnumber的访问列表中规则的序号。 例如，现要在华为的一款防火墙上配置一个允许源地址为 网络、目的地址为网络的WWW访问，但不允许使用FTP的访问规则。相应配置语句只需两行即可，如下： Quidway (config)#access-list 100 permit tcp eq www Quidway

49、 (config)#access-list 100 deny tcp eq ftp 2. clear access-list counters：清除访问列表规则的统计信息 命令格式：clear access-list counters listnumber 这一命令必须在特权用户模式下进行配置。listnumber 参数是用指定要清除统计信息的规则号，如不指定，则清除所有的规则的统计信息。 如要在华为的一款包过滤路由器上清除当前所使用的规则号为100的访问规则统计信息。访问配置语句为： clear access

50、-list counters 100 如有清除当前所使用的所有规则的统计信息，则以上语句需改为：Quidway#clear access-list counters 3. ip access-group 使用此命令将访问规则应用到相应接口上。使用此命令的no形式来删除相应的设置，对应格式为： ip access-group listnumber in out 此命令须在端口用户模式下配置，进入端口用户模式的命令为：interface ethernet（），括号中为相应的端口号，通常0为外部接口，而1为内部接口。进入后再用ip access-group 命令来配置访问规则。listnumber参

51、数为访问规则号，是1199之间的一个数值（包括标准访问规则和扩展访问规则两类）；in 表示规则应用于过滤从接口接收到的报文；而out表示规则用于过滤从接口转发出去的报文。一个接口的一个方向上最多可以应用20类不同的规则；这些规则之间按照规则序号的大小进行排列，序号大的排在前面，也就是优先级高。对报文进行过滤时，将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以，建议在配置规则时，尽量将对同一个网络配置的规则放在同一个序号的访问列表中；在同一个序号的访问列表中，规则之间的排列和选择顺序可以用show access-list命令来查看。 例如将规则100应用于过滤从外部网络接口上接收到的

52、报文，配置语句为（同样为在倾为包过滤路由器上）： ip access-group 100 in 如果要删除某个访问控制表列绑定设置，则可用no ip access-group listnumber in out 命令。 4. show access-list 此配置命令用于显示包过滤规则在接口上的应用情况。命令格式为：show access-list all listnumber interface interface-name 这一命令须在特权用户模式下进行配置，其中all参数表示显示所有规则的应用情况，包括普通时间段内及特殊时间段内的规则；如果选择listnumber参数，则仅需显示指定规

53、则号的过滤规则；interface 表示要显示在指定接口上应用的所有规则序号；interface-name参数为接口的名称。 使用此命令来显示所指定的规则，同时查看规则过滤报文的情况。每个规则都有一个相应的计数器，如果用此规则过滤了一个报文，则计数器加1；通过对计数器的观察可以看出所配置的规则中，哪些规则是比较有效，而哪些基本无效。例如，现在要显示当前所使用序号为100的规则的使用情况，可执行Quidway#show access-list 100语句即可，随即系统即显示这条规则的使用情况，格式如下： Using normal packet-filtering access rules now

54、. 100 deny icmp 55 any host-redirect (3 matches,252 bytes - rule 1) 100 permit icmp 55 any echo (no matches - rule 2) 100 deny udp any any eq rip (no matches - rule 3) 5. show firewall 此命令须在特权用户模式下执行，它显示当前防火墙状态。命令格式非常简单，也为：show firewall。这里所说的防火墙状态，包括防火墙是否被启用，启用防火墙

55、时是否采用了时间段包过滤及防火墙的一些统计信息。 6. Telnet 这是用于定义能过防火配置控制端口进行远程登录的有关参数选项，也须在全局配置用户模式下进行配置。 命令格式为：telnet ip_address netmask if_name 其中的ip_address参数是用来指定用于Telnet登录的IP地址，netmask为子网掩码，if_name用于指定用于Telnet登录的接口，通常不用指定，则表示此IP地址适用于所有端口。如： telnet 如果要清除防火墙上某个端口的Telnet参数配置，则须用clear telnet命令，其格式为：clear teln

56、et ip_address netmask if_name，其中各选项说明同上。它与另一个命令no telnet功能基本一样，不过它是用来删除某接口上的Telnet配置，命令格式为：no telnet ip_address netmask if_name。 如果要显示当前所有的Telnet配置，则可用show telnet命令。 最简单的防火墙配置，就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。为更好地实现网络安全，有时还要将几种防火墙技术组合起来构建防火墙系统。3.6 双宿主机网关(Dual Homed Gateway)这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。堡垒主机上运行着防火墙软件(通常是代理服务器)，可以转