論文-088-防火墻技術(shù)的研究與探討.doc

防火墻技術(shù)的研究與探討摘 要 隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，上網(wǎng)的人數(shù)不斷地增大，網(wǎng)上的資源也不斷地增加，網(wǎng)絡(luò)的開(kāi)放性、共享性、互連程度也隨著擴(kuò)大。政府上網(wǎng)工程的啟動(dòng)和實(shí)施，電子商務(wù)(electronic commerce)、電子貨幣（electronic currency）、網(wǎng)上銀行等網(wǎng)絡(luò)新業(yè)務(wù)的興起和發(fā)展，使得網(wǎng)絡(luò)安全問(wèn)題顯得日益重要和突出。防火墻技術(shù)是近年來(lái)發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施?；趯?duì)計(jì)算機(jī)網(wǎng)絡(luò)的熱愛(ài)，希望能通過(guò)此次的論文書(shū)寫(xiě)使自己能對(duì)防火墻技術(shù)方面的知識(shí)得到進(jìn)一步的充實(shí)。關(guān)鍵詞 防火墻 網(wǎng)絡(luò)安全 體系結(jié)構(gòu) Cisco PIX一、引言隨著互聯(lián)網(wǎng)在中國(guó)的快速發(fā)展，中國(guó)六大經(jīng)營(yíng)性互聯(lián)網(wǎng)和四大非經(jīng)營(yíng)性互聯(lián)網(wǎng)都先后建成并投入使用，據(jù)CNNIC統(tǒng)計(jì)，到2001年6月30日止，中國(guó)互聯(lián)網(wǎng)上網(wǎng)用戶數(shù)達(dá)到2650萬(wàn)左右，上網(wǎng)計(jì)算機(jī)約1002萬(wàn)臺(tái)。目前互聯(lián)網(wǎng)用戶中有ISDN（2B+D）用戶93.8萬(wàn)、專線上網(wǎng)用戶48.8萬(wàn)。目前中國(guó)擁有如此龐大的互聯(lián)網(wǎng)用戶和基礎(chǔ)網(wǎng)絡(luò)，把一個(gè)十分嚴(yán)峻的問(wèn)題擺在了國(guó)人的面前，即互聯(lián)網(wǎng)的安全問(wèn)題。賽迪顧問(wèn)長(zhǎng)期對(duì)互聯(lián)網(wǎng)進(jìn)行跟蹤研究，在目前不斷發(fā)生互聯(lián)網(wǎng)安全事故的時(shí)候，對(duì)互聯(lián)網(wǎng)的安全狀況進(jìn)行了一系列的研究與分析，希望引起用戶和廠商對(duì)網(wǎng)絡(luò)安全的重視。 2000年11月28日下午，CHINAREN的主頁(yè)大巴遭遇了極為罕見(jiàn)的嚴(yán)重硬件故障，導(dǎo)致文件系統(tǒng)崩潰，導(dǎo)致30萬(wàn)個(gè)人主頁(yè)用戶的所有資料丟失；2001年1月30日1點(diǎn)鐘左右，263網(wǎng)絡(luò)集團(tuán)的ISP業(yè)務(wù)頁(yè)面、IDC資料信息港頁(yè)面等幾乎在同一時(shí)刻被黑客攻擊，從2001年互聯(lián)網(wǎng)發(fā)生的幾起事故來(lái)看，互聯(lián)網(wǎng)安全受到非常大的挑戰(zhàn)。 增強(qiáng)互聯(lián)網(wǎng)安全的主要方法和途徑有：1、防火墻技術(shù) 2、數(shù)據(jù)加密技術(shù) 3、加強(qiáng)互聯(lián)網(wǎng)安全管理通過(guò)下面各大安全產(chǎn)品產(chǎn)商的產(chǎn)品線數(shù)量分布圖：我們可以看出。防火墻在網(wǎng)絡(luò)安全中是占據(jù)著極大的比重的。防火墻也是網(wǎng)絡(luò)安全采用的一種最普遍的方法，借此，希望通過(guò)本次論文能夠?qū)Ψ阑饓Φ墓ぷ髟?，?yīng)用及機(jī)制有更深一步的了解。在本文中首先介紹了防火墻的一些基本定義，分類，體系結(jié)構(gòu)，優(yōu)缺點(diǎn)等基本內(nèi)容。再對(duì)防火墻的一些技術(shù)進(jìn)行了進(jìn)一步的講解。最后通過(guò)對(duì)防火墻現(xiàn)今主流產(chǎn)品的介紹，及對(duì)如何選擇防火墻給出了一點(diǎn)建議。并以一個(gè)具體的例子來(lái)進(jìn)一步講述防火墻的配置。 由于本人技術(shù)有限，在文中肯定有很多不足之處，敬請(qǐng)各位老師指導(dǎo)。二、 防火墻基本概念（一）、什么是防火墻防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)此防火墻。AT&T的兩位工程師Willam Cheswick和 steven Beellovin，他們將防火墻定義為置于兩個(gè)網(wǎng)絡(luò)之間的一組構(gòu)件或一個(gè)系統(tǒng)，一個(gè)好的防火墻它具有以下5方面的屬性：1、所有的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過(guò)防火墻；2、只有被授權(quán)的合法數(shù)據(jù)及防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過(guò)防火墻；3、防火墻本身不受各種攻擊的影響；4、使用目前新的信息安全技術(shù)，比如現(xiàn)代密碼技術(shù)等；5、人機(jī)界面良好，用戶配置使用方便，易管理。簡(jiǎn)言之：防火墻是在內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)施安全防范的系統(tǒng)，它用于保護(hù)可信網(wǎng)絡(luò)免受非可信網(wǎng)絡(luò)的威脅，同時(shí)，仍允許雙方通信，目前，許多防火墻都用于Internet內(nèi)部網(wǎng)之間（如圖-1示），但在任何網(wǎng)間和企業(yè)網(wǎng)內(nèi)部均可使用防火墻。因特網(wǎng)防火墻 防火墻 內(nèi)部網(wǎng)圖-1防火墻結(jié)構(gòu)圖（二）、防火墻的分類：防火墻的產(chǎn)生和發(fā)展已經(jīng)歷了相當(dāng)一段時(shí)間，根據(jù)不同的標(biāo)準(zhǔn)，其分類方法也各不相同。按防火墻發(fā)展的先后順序可分為；包過(guò)濾型（pack Filter）防火墻（也叫第一代防火墻）。復(fù)合型（Hybrid）防火墻（也叫第二代防火墻）；以及繼復(fù)合型防火墻之后的第三代防火墻；在第三代防火中最具代表性的有：IGA(Internet Gateway Appciance)防毒墻；Sonic wall防火墻以及Cink Tvust Cyberwall等。按防火墻在網(wǎng)絡(luò)中的位置可分為：邊界防火墻，分布式防火墻，分布式防火墻又包括主機(jī)防火墻，網(wǎng)絡(luò)防火墻。如果從防火墻的軟、硬件形式來(lái)分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級(jí)防火墻。 1. 軟件防火墻 軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持，一般來(lái)說(shuō)這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個(gè)人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過(guò)于Checkpoint。使用這類防火墻，需要網(wǎng)管對(duì)所工作的操作系統(tǒng)平臺(tái)比較熟悉。 2. 硬件防火墻 這里說(shuō)的硬件防火墻是指“所謂的硬件防火墻”。之所以加上所謂二字是針對(duì)芯片級(jí)防火墻說(shuō)的了。它們最大的差別在于是否基于專用的硬件平臺(tái)。目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)，就是說(shuō)，它們和普通的家庭用的PC沒(méi)有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過(guò)裁剪和簡(jiǎn)化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。 值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因此依然會(huì)受到OS（操作系統(tǒng)）本身的安全性影響。 傳統(tǒng)硬件防火墻一般至少應(yīng)具備三個(gè)端口，分別接內(nèi)網(wǎng)，外網(wǎng)和DMZ區(qū)（非軍事化區(qū)），現(xiàn)在一些新的硬件防火墻往往擴(kuò)展了端口，常見(jiàn)四端口防火墻一般將第四個(gè)端口作為配置口、管理端口。很多防火墻還可以進(jìn)一步擴(kuò)展端口數(shù)目。 3. 芯片級(jí)防火墻 芯片級(jí)防火墻基于專門(mén)的硬件平臺(tái)，沒(méi)有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS（操作系統(tǒng)）,因此防火墻本身的漏洞比較少，不過(guò)價(jià)格相對(duì)比較高昂。（三）、防火墻體系結(jié)構(gòu) 目前,防火墻的體系結(jié)構(gòu)一般有以下幾種: 雙重宿主主機(jī)體系結(jié)構(gòu)； 屏蔽主機(jī)體系結(jié)構(gòu)； 屏蔽子網(wǎng)體系結(jié)構(gòu)。1. .雙重宿主主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主機(jī)計(jì)算機(jī)而構(gòu)筑的，該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器；它能夠從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。然而，實(shí)現(xiàn)雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能。因而，IP數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)（例如，因特網(wǎng)）并不是直接發(fā)送到其它網(wǎng)絡(luò)（例如，內(nèi)部的、被保護(hù)的網(wǎng)絡(luò)）。防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機(jī)通信，同時(shí)防火墻外部的系統(tǒng)（在因特網(wǎng)上）能與雙重宿主主機(jī)通信，但是這些系統(tǒng)不能直接互相通信。它們之間的IP通信被完全阻止。 雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)是相當(dāng)簡(jiǎn)單的：雙重宿主主機(jī)位于兩者之間，并且被連接到因特網(wǎng)和內(nèi)部的網(wǎng)絡(luò)。如圖2。 2. .屏蔽主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)提供來(lái)自與多個(gè)網(wǎng)絡(luò)相連的主機(jī)的服務(wù)(但是路由關(guān)閉),而被屏蔽主機(jī)體系結(jié)構(gòu)使用一個(gè)單獨(dú)的路由器提供來(lái)自僅僅與內(nèi)部的網(wǎng)絡(luò)相連的主機(jī)的服務(wù)。在這種體系結(jié)構(gòu)中,主要的安全由數(shù)據(jù)包過(guò)濾。在屏蔽的路由器上的數(shù)據(jù)包過(guò)濾是按這樣一種方法設(shè)置的:即堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)的橋梁（例如，傳送進(jìn)來(lái)的電子郵件）。即使這樣，也僅有某些確定類型的連接被允許。任何外部的系統(tǒng)試圖訪問(wèn)內(nèi)部的系統(tǒng)或者服務(wù)將必須連接到這臺(tái)堡壘主機(jī)上。因此，堡壘主機(jī)需要擁有高等級(jí)的安全。數(shù)據(jù)包過(guò)濾也允許堡壘主機(jī)開(kāi)放可允許的連接（什么是“可允許”將由用戶的站點(diǎn)的安全策略決定）到外部世界。 在屏蔽的路由器中數(shù)據(jù)包過(guò)濾配置可以按下列之一執(zhí)行：允許其它的內(nèi)部主機(jī)為了某些服務(wù)與因特網(wǎng)上的主機(jī)連接（即允許那些已經(jīng)由數(shù)據(jù)包過(guò)濾的服務(wù)）。不允許來(lái)自內(nèi)部主機(jī)的所有連接（強(qiáng)迫那些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù)）。用戶可以針對(duì)不同的服務(wù)混合使用這些手段；某些服務(wù)可以被允許直接經(jīng)由數(shù)據(jù)包過(guò)濾，而其它服務(wù)可以被允許僅僅間接地經(jīng)過(guò)代理。這完全取決于用戶實(shí)行的安全策略。因?yàn)檫@種體系結(jié)構(gòu)允許數(shù)據(jù)包從因特網(wǎng)向內(nèi)部網(wǎng)的移動(dòng)，所以，它的設(shè)計(jì)比沒(méi)有外部數(shù)據(jù)包能到達(dá)內(nèi)部網(wǎng)絡(luò)的雙重宿主主機(jī)體系結(jié)構(gòu)似乎是更冒風(fēng)險(xiǎn)。話說(shuō)回來(lái)，實(shí)際上雙重宿主主機(jī)體系結(jié)構(gòu)在防備數(shù)據(jù)包從外部網(wǎng)絡(luò)穿過(guò)內(nèi)部的網(wǎng)絡(luò)也容易產(chǎn)生失?。ㄒ?yàn)檫@種失敗類型是完全出乎預(yù)料的，不大可能防備黑客侵襲）。進(jìn)而言之，保衛(wèi)路由器比保衛(wèi)主機(jī)較易實(shí)現(xiàn)，因?yàn)樗峁┓浅Ｓ邢薜姆?wù)組。多數(shù)情況下，被屏蔽的主機(jī)體系結(jié)構(gòu)提供比雙重宿主主機(jī)體系結(jié)構(gòu)具有更好的安全性和可用性。 然而，比較其它體系結(jié)構(gòu)，如在下面要討論的屏蔽子網(wǎng)體系結(jié)構(gòu)也有一些缺點(diǎn)。主要的是如果侵襲者沒(méi)有辦法侵入堡壘主機(jī)時(shí)，而且在堡壘主機(jī)和其余的內(nèi)部主機(jī)之間沒(méi)有任何保護(hù)網(wǎng)絡(luò)安全的東西存在的情況下，路由器同樣出現(xiàn)一個(gè) 單點(diǎn)失效。如果路由器被損害，整個(gè)網(wǎng)絡(luò)對(duì)侵襲者是開(kāi)放的。其結(jié)構(gòu)圖，如圖-3 圖-33.屏蔽子網(wǎng)體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機(jī)體系結(jié)構(gòu)一樣，但添加了額外的一層保護(hù)體系周邊網(wǎng)絡(luò)。堡壘主機(jī)位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開(kāi)。 原因：堡壘主機(jī)是用戶網(wǎng)絡(luò)上最容易受侵襲的機(jī)器。通過(guò)在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減少在堡壘主機(jī)被侵入的影響。如圖-4所示： 圖-4周邊網(wǎng)絡(luò)：周邊網(wǎng)絡(luò)是一個(gè)防護(hù)層，在其上可放置一些信息服務(wù)器，它們是犧牲主機(jī)，可能會(huì)受到攻擊，因此又被稱為非軍事區(qū)（DMZ）。周邊網(wǎng)絡(luò)的作用：即使堡壘主機(jī)被入侵者控制，它仍可消除對(duì)內(nèi)部網(wǎng)的偵聽(tīng)。E.g.: netxray等的工作原理。堡壘主機(jī)：堡壘主機(jī)位于周邊網(wǎng)絡(luò)，是整個(gè)防御體系的核心。堡壘主機(jī)可被認(rèn)為是應(yīng)用層網(wǎng)關(guān)，可以運(yùn)行各種代理服務(wù)程序。對(duì)于出站服務(wù)不一定要求所有的服務(wù)經(jīng)過(guò)堡壘主機(jī)代理，但對(duì)于入站服務(wù)應(yīng)要求所有服務(wù)都通過(guò)堡壘主機(jī)。外部路由器（訪問(wèn)路由器）的作用：保護(hù)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的侵犯。它把入站的數(shù)據(jù)包路由到堡壘主機(jī)。防止部分IP欺騙，它可分辨出數(shù)據(jù)包是否真正來(lái)自周邊網(wǎng)絡(luò)，而內(nèi)部路由器不可。內(nèi)部路由器（阻塞路由器）的作用：保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)的侵害，它執(zhí)行大部分過(guò)濾工作。外部路由器一般與內(nèi)部路由器應(yīng)用相同的規(guī)則。（四） .防火墻的優(yōu)缺點(diǎn)1.防火墻的優(yōu)點(diǎn) 防火墻能強(qiáng)化安全策略 因?yàn)镮nternet上每天都有上百萬(wàn)人在那里收集信息、交換信息，不可避免地會(huì)出現(xiàn)個(gè)別品德不良的人，或違反規(guī)則的人，防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點(diǎn)的安全策略，僅僅容許“認(rèn)可的”和符合規(guī)則的請(qǐng)求通過(guò)。 防火墻能有效地記錄Internet上的活動(dòng) 因?yàn)樗羞M(jìn)出信息都必須通過(guò)防火墻，所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問(wèn)的唯一點(diǎn)，防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄。 防火墻限制暴露用戶點(diǎn) 防火墻能夠用來(lái)隔開(kāi)網(wǎng)絡(luò)中一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。這樣，能夠防止影響一個(gè)網(wǎng)段的問(wèn)題通過(guò)整個(gè)網(wǎng)絡(luò)傳播。 防火墻是一個(gè)安全策略的檢查站 所有進(jìn)出的信息都必須通過(guò)防火墻，防火墻便成為安全問(wèn)題的檢查點(diǎn)，使可疑的訪問(wèn)被拒絕于門(mén)外。2.防火墻的不足之處 上面我們敘述了防火墻的優(yōu)點(diǎn)，但它還是有缺點(diǎn)的，主要表現(xiàn)在： 不能防范惡意的知情者 防火墻可以禁止系統(tǒng)用戶經(jīng)過(guò)網(wǎng)絡(luò)連接發(fā)送專有的信息，但用戶可以將數(shù)據(jù)復(fù)制到磁盤(pán)、磁帶上，放在公文包中帶出去。如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無(wú)能為力的。內(nèi)部用戶偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對(duì)于來(lái)自知情者的威脅只能要求加強(qiáng)內(nèi)部管理，如主機(jī)安全和用戶教育等。 不能防范不通過(guò)它的連接 防火墻能夠有效地防止通過(guò)它進(jìn)行傳輸信息，然而不能防止不通過(guò)它而傳輸?shù)男畔ⅰ＠?，如果站點(diǎn)允許對(duì)防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號(hào)訪問(wèn)，那么防火墻絕對(duì)沒(méi)有辦法阻止入侵者進(jìn)行撥號(hào)入侵。 不能防備全部的威脅 防火墻被用來(lái)防備已知的威脅，如果是一個(gè)很好的防火墻設(shè)計(jì)方案，可以防備新的威脅，但沒(méi)有一個(gè)防火墻能自動(dòng)防御所有的新的威脅。 防火墻不能防范病毒 防火墻不能消除網(wǎng)絡(luò)上的PC機(jī)的病毒。三、防火墻技術(shù)（一）、防火墻的技術(shù)防火墻的種類多種多樣，在不同的發(fā)展階段，采用的技術(shù)也各不相同，采用不同的技術(shù)，因而也就產(chǎn)生了不同類型的防火型。防火墻所采用的技術(shù)主要有：1、屏蔽路由技術(shù)最簡(jiǎn)單和最流行的防火墻形式是“屏蔽路由器”。多數(shù)商業(yè)路由器具有內(nèi)置的限制目的地間通信的能力。屏蔽路由器一般只在網(wǎng)絡(luò)層工作（有的還包括傳輸層），采用包過(guò)濾或虛電路技術(shù)，包過(guò)濾通過(guò)檢查每個(gè)網(wǎng)絡(luò)包，取得其頭信息，一般包括：到達(dá)的物理網(wǎng)絡(luò)接口，源地址，目標(biāo)地址，傳輸層類型（），源端口和目的端口。根據(jù)這些信息，判別是否規(guī)則集中的某條目匹配，并對(duì)匹配包執(zhí)行規(guī)則中指定的動(dòng)作（禁止或允許）。包過(guò)濾系統(tǒng)通?？梢灾刂镁W(wǎng)絡(luò)包地址，從而流出的通信包看來(lái)不同于其原始主機(jī)地址轉(zhuǎn)換（），通過(guò)可以隱藏內(nèi)部網(wǎng)絡(luò)拓樸和地址表，而虛電路技術(shù)的核心是驗(yàn)證通信包是一個(gè)連接中的數(shù)據(jù)包（兩個(gè)傳輸層之間的虛電路）。首先，它檢查每個(gè)連接的建立以確保其發(fā)生在合法的握手之后。并且，在握手完成前不轉(zhuǎn)發(fā)數(shù)據(jù)包，系統(tǒng)維護(hù)一個(gè)有效連接表（包括完整的會(huì)話狀態(tài)和序列信息），當(dāng)網(wǎng)絡(luò)包信息與虛電路表中的某一入口匹配時(shí)才允許包含數(shù)據(jù)的網(wǎng)絡(luò)包通過(guò)。當(dāng)連接終止后，它在表中的入口就被刪除，從而兩個(gè)會(huì)話層之間的虛電路也就被關(guān)閉了。屏蔽路由器類型的防火墻的優(yōu)點(diǎn)：.性能要優(yōu)于其他類型的防火墻，因?yàn)樗鼒?zhí)行較少的計(jì)算。并且，可以很容易地以硬件方式實(shí)現(xiàn)。規(guī)則設(shè)置簡(jiǎn)單，通過(guò)禁止內(nèi)部計(jì)算機(jī)和特定Internet 資源的連接，單一規(guī)則即可保護(hù)整個(gè)網(wǎng)絡(luò)。.不需對(duì)客戶端計(jì)算機(jī)進(jìn)行專門(mén)的配置。.通過(guò)，可以對(duì)外部用戶屏蔽內(nèi)部。.其缺點(diǎn)是：.無(wú)法識(shí)別到應(yīng)用層協(xié)議，也無(wú)法對(duì)協(xié)議子集進(jìn)行約束。.處理包內(nèi)信息的能力有限。.通常不能提供其他附加功能，如http的目標(biāo)緩存，過(guò)濾以及認(rèn)證。.無(wú)法約束由內(nèi)部主機(jī)到防火墻服務(wù)器上的信息，只能控制什么信息可以過(guò)去，從而入侵者可能防問(wèn)到防火墻主機(jī)的服務(wù)，從而帶來(lái)安舍隱患，.沒(méi)有或缺乏審計(jì)追蹤，從而也就缺乏報(bào)警機(jī)制。.由于對(duì)眾多網(wǎng)絡(luò)服務(wù)的“廣泛”支持所造成的復(fù)雜性，很難對(duì)規(guī)則有效性進(jìn)行測(cè)試。綜上所述：屏蔽路由技術(shù)往往比較脆弱，因?yàn)樗€要依賴其背后主機(jī)上應(yīng)用軟件的正確配置。因此，在使用此類型的防火墻時(shí)，通常配合其他系統(tǒng)使用。、2、基于代理的（也稱應(yīng)用網(wǎng)關(guān)）防火墻壁技術(shù)它通常被配置為“雙宿主網(wǎng)關(guān)”，具有兩個(gè)網(wǎng)絡(luò)接口卡，同時(shí)接入內(nèi)部和外部網(wǎng)。由于網(wǎng)關(guān)可以與兩個(gè)網(wǎng)絡(luò)通信，它是安裝傳遞數(shù)據(jù)軟件的理想位置。這種軟件就稱為“代理”，通常是為其所提供的服務(wù)定制的。代理服務(wù)不允許直接與真正的服務(wù)通信，而是與代理服務(wù)器通信（用戶的默認(rèn)網(wǎng)關(guān)指向代理服務(wù)器）。各個(gè)應(yīng)用代理在用戶和服務(wù)之間處理所有的通信。能夠?qū)νㄟ^(guò)它的數(shù)據(jù)進(jìn)行詳細(xì)的審計(jì)追蹤，許多專家也認(rèn)為它更加安全，因?yàn)榇碥浖梢愿鶕?jù)防火墻后面的主機(jī)的脆弱性來(lái)制定，以專門(mén)防范已知的攻擊。如圖-5所示應(yīng)用層傳輸層外部網(wǎng)鏈路層內(nèi)部網(wǎng)物理層圖-5代理服務(wù)原理結(jié)構(gòu)代理防火墻的主要優(yōu)點(diǎn)：.代理服務(wù)可以識(shí)別并實(shí)施高層的協(xié)議，如http和ftp等。.代理服務(wù)包含通過(guò)防火墻服務(wù)器的通信信息，可以提供源于部分傳輸層，全部應(yīng)用層和部分會(huì)話層的信息。.代理服務(wù)可以用于禁止訪問(wèn)特定的網(wǎng)絡(luò)服務(wù)，而允許其他服務(wù)的使用。代理服務(wù)能處理數(shù)據(jù)包 通過(guò)提供透明服務(wù)，可以讓使用代理的用戶感覺(jué)在直接與外部通信。.代理服務(wù)還可以提供屏蔽路由器不具備的附加功能。代理防火墻的主要缺點(diǎn) .代理服務(wù)有性能上的延遲，因?yàn)榱魅霐?shù)據(jù)需要被處理兩次（應(yīng)用程序和其代理） .代理防火墻一般需要客戶端的修改或設(shè)置，因此，配置過(guò)程繁瑣。 代理由于通常需要附加的口令和認(rèn)證而造成延遲，可以會(huì)給用戶帶來(lái)不便。 .應(yīng)用級(jí)防火墻一般不能提供UDP，RPC等特殊協(xié)議類的代理。 .應(yīng)用層有時(shí)會(huì)忽略那些底層的網(wǎng)絡(luò)包信息。3、包過(guò)濾技術(shù)系統(tǒng)按照一定的信息過(guò)濾規(guī)則，對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行限制，允許授權(quán)信息通過(guò)，而拒絕非授權(quán)信息通過(guò)。包過(guò)虎防火墻工作在網(wǎng)絡(luò)層和邏輯鏈路層之間。截獲所有流經(jīng)的IP包，從其IP頭、傳輸層協(xié)議頭，甚至應(yīng)用層協(xié)議數(shù)據(jù)中獲取過(guò)濾所需的相關(guān)信息。然后依次按順序與事先設(shè)定的訪問(wèn)控制規(guī)則進(jìn)行一一匹配比較，執(zhí)行其相關(guān)的動(dòng)作。其原理和結(jié)構(gòu)如圖-6所示外部網(wǎng)內(nèi)部網(wǎng) 包過(guò)過(guò)例 網(wǎng)絡(luò)層 鏈路層 物理 圖-6 包過(guò)濾結(jié)構(gòu)4、動(dòng)態(tài)防火墻技術(shù)它是針對(duì)靜態(tài)包過(guò)濾技術(shù)而提出的一項(xiàng)新技術(shù)。靜態(tài)包過(guò)濾技術(shù)局限于過(guò)濾基于源及目的的端口，IP地址的輸入輸出業(yè)務(wù)，因而限制了控制能力，并且由于網(wǎng)絡(luò)的所有高位（102465535）端要么開(kāi)放，要么關(guān)閉，使網(wǎng)絡(luò)處于很不完全的境地。而動(dòng)態(tài)防火墻技術(shù)可創(chuàng)建動(dòng)態(tài)的規(guī)則，使其適應(yīng)不斷改變的網(wǎng)絡(luò)業(yè)務(wù)量。根據(jù)用戶的不同要求，規(guī)則能被修改并接受或拒絕條件。具體地講，動(dòng)態(tài)防火墻技術(shù)并不是根據(jù)狀態(tài)來(lái)對(duì)包進(jìn)行有效性檢查，而是通過(guò)為每個(gè)會(huì)話維護(hù)其狀態(tài)信息，來(lái)提供一種防御措施和方法。它可分辨通訊是初始請(qǐng)求還是對(duì)請(qǐng)求的回應(yīng)，即是否是新的會(huì)話通訊，以實(shí)現(xiàn)“單向規(guī)則”即在過(guò)濾規(guī)則中可以只允許一個(gè)方向上的通訊。在該方向上的初始請(qǐng)求被允許和記錄后，其連接的另一方向的回應(yīng)也將被允許，這樣不必在過(guò)濾規(guī)則中為其回應(yīng)考慮，大大減少過(guò)濾規(guī)則的數(shù)量和復(fù)雜性。同時(shí)，它還為協(xié)議和服務(wù)的過(guò)濾提供了理想解決方案，能很好地實(shí)現(xiàn)“只允許內(nèi)部訪問(wèn)外部”的策略，使內(nèi)部網(wǎng)絡(luò)更安全。從處部看，在沒(méi)有合法的通訊時(shí)，除規(guī)則允許外部訪問(wèn)的所有內(nèi)部主機(jī)端口開(kāi)放。并且當(dāng)連接結(jié)束進(jìn)，也隨之關(guān)閉；而從內(nèi)部看，除規(guī)則明確拒絕處，所有外部資源都是開(kāi)放的，并且它還為一些針對(duì)TCP的攻擊提供了在包過(guò)濾上進(jìn)行防御的手段。動(dòng)態(tài)防火墻技術(shù)的實(shí)現(xiàn)動(dòng)態(tài)防火墻為了跟蹤 維護(hù)連接狀態(tài)，它必須對(duì)所有進(jìn)出的數(shù)據(jù)包進(jìn)行分析，從其傳輸層，應(yīng)用層中提取相關(guān)的通訊和應(yīng)用狀態(tài)信息，根據(jù)其源和目的IP地址，傳輸層協(xié)議和源目的端口及目的端口來(lái)區(qū)分每一連接，并建立動(dòng)態(tài)連接表為所有連接存儲(chǔ)其狀態(tài)和上下文信息；同時(shí)為檢查后續(xù)通訊。應(yīng)及時(shí)更新這些信息，當(dāng)連接結(jié)束時(shí)，也應(yīng)及時(shí)從連接表中刪除其相應(yīng)信息。其原理如圖-7所示。動(dòng)態(tài)包過(guò)濾記錄連接表中Src port dst pohSrc port dst poh在連接表中查找客戶機(jī) 服務(wù)器圖-7 動(dòng)態(tài)防火墻動(dòng)態(tài)連接表是動(dòng)態(tài)防火墻技術(shù)的核心，對(duì)所有進(jìn)出的數(shù)據(jù)包，首先在動(dòng)態(tài)連接表中查找相應(yīng)的連接表項(xiàng)，若其存在，便可得到過(guò)濾結(jié)果，否則，查找相應(yīng)過(guò)濾規(guī)則，并為某創(chuàng)建一連接表項(xiàng)。這樣，就不必為每個(gè)數(shù)據(jù)包都在過(guò)濾規(guī)則中依次進(jìn)行比較來(lái)查找響應(yīng)規(guī)則，從而大大提高了過(guò)濾效率和網(wǎng)絡(luò)通訊速度，但是，動(dòng)態(tài)防火墻包過(guò)濾技術(shù)在實(shí)現(xiàn)中也有一些缺陷；它通過(guò)檢查關(guān)鍵詞來(lái)實(shí)現(xiàn)對(duì)應(yīng)用協(xié)議和數(shù)據(jù)的過(guò)濾，但無(wú)法對(duì)跨分組的關(guān)鍵詞進(jìn)行檢查，而且一旦過(guò)濾掉分組后，它只能簡(jiǎn)單地關(guān)閉連接，不會(huì)向源端口傳送任何錯(cuò)誤信息。5、一種改進(jìn)的防火墻技術(shù)（或稱復(fù)合型防火墻技術(shù)）由于過(guò)濾型防火墻安全性不高，代理服務(wù)器型防火墻速度較慢，因而出現(xiàn)了一種綜合上述兩種技術(shù)優(yōu)點(diǎn)的改進(jìn)型防火墻技術(shù)，它保證了一定的安全性，又使通過(guò)它的信息傳輸速度不至于受到太大的影響，其系統(tǒng)結(jié)構(gòu)如圖-8所示： 圖-8 復(fù)合型防火墻在上述防火墻結(jié)構(gòu)中，對(duì)于那些從內(nèi)部網(wǎng)向外部網(wǎng)發(fā)出的請(qǐng)求，由于對(duì)內(nèi)部網(wǎng)的安全威脅不大，因此可直接下外部網(wǎng)建立連接，對(duì)于那些從外部網(wǎng)向內(nèi)部網(wǎng)提出的請(qǐng)求，先要通過(guò)包過(guò)濾型防火墻，在此經(jīng)過(guò)初步安全檢查，兩次檢查確定無(wú)疑后可接受其請(qǐng)求，否則，就需要丟棄或作其它處理。（二）、 防火墻的功能評(píng)價(jià) 如何評(píng)價(jià)防火墻是一個(gè)復(fù)雜的問(wèn)題，因?yàn)橛脩粼谶@方面有不同的需求，很難給出統(tǒng)一的標(biāo)準(zhǔn)，一般說(shuō)來(lái)，防火墻的安全和性能（速度等）是最主要的指標(biāo)，從安全需求來(lái)看，理想的防火墻應(yīng)具：訪問(wèn)控制，防御功能，安全特性，管理功能，記錄和報(bào)表這幾方面的功能。1、訪問(wèn)控制訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問(wèn)控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。2、防御功能防御功能主要包括：支持病毒掃描；提供內(nèi)容過(guò)濾；能防御的DOS攻擊類型；阻止ActiveX、 Java、Cookies、javascript等進(jìn)行HTTP內(nèi)容過(guò)濾，防火墻應(yīng)該能夠從HTTP頁(yè)面剝離Java Applet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測(cè)出危險(xiǎn)代碼或病毒，并向?yàn)g覽器用戶報(bào)警。同時(shí)，能夠過(guò)、過(guò)濾用戶上載的CGI、ASP等程序，當(dāng)發(fā)現(xiàn)危險(xiǎn)代碼時(shí)，向服務(wù)器報(bào)警。3、安全特性安全特性只要是指防火墻能夠支持轉(zhuǎn)發(fā)和跟蹤ICMP協(xié)議（ICMP代理）；提供入侵實(shí)行時(shí)警告；提供實(shí)時(shí)入侵防范；識(shí)別/記錄/防止企圖進(jìn)行IP地址欺騙。4、管理功能通過(guò)集成策略集中管理多個(gè)防火墻：是否支持集中管理，防火墻管理是指對(duì)防火墻具有管理權(quán)限的管理員行為和防火墻運(yùn)行狀態(tài)的管理，管理員的行為主要包括：通過(guò)防火墻的身份鑒別，編寫(xiě)防火墻的安全規(guī)則，配置防火墻的安全參數(shù)，查看防火墻的日志等。防火墻的管理一般分為本地管理、遠(yuǎn)程管理和集中管理等。5、記錄和報(bào)表功能記錄和報(bào)表功能是指：防火墻處理完整日志的方法；提供自動(dòng)日志掃描；提供自動(dòng)報(bào)表、日志報(bào)告書(shū)寫(xiě)器；警告通知機(jī)制；提供簡(jiǎn)要報(bào)表（按照用戶ID或IP地址）；提供實(shí)時(shí)統(tǒng)計(jì)； 列出獲得的國(guó)內(nèi)有關(guān)部門(mén)許可證類別及號(hào)碼。四、防火墻的選擇及配置（一）、防火墻主流產(chǎn)品介紹防火墻可以分為硬件防火墻和軟件防火墻兩種，對(duì)于硬件防火墻。SonicWALL，Netscreen，Cisco，F(xiàn)ortigate，華為， 天融信等公司生產(chǎn)的硬件防火墻都是現(xiàn)今市面上比較流行的。比如CISCO PIX 525，F(xiàn)ORTINET FortiGate 3600LX2，華為3Com Eudemon1000等?，F(xiàn)主要對(duì)CISCO PIX 525的性能指標(biāo)進(jìn)行介紹，其具體產(chǎn)品性能指標(biāo)見(jiàn)附錄一?，F(xiàn)在運(yùn)用比較廣泛的軟件防火墻有天網(wǎng)，瑞星，KV3000，江民等。 （二）、防火墻選擇說(shuō)明防火墻作為網(wǎng)絡(luò)邊界的安全哨卡，其重要性已經(jīng)越來(lái)越得到企業(yè)的認(rèn)可。這就意味著防火墻的市場(chǎng)需求越來(lái)越大。也因此，國(guó)內(nèi)外眾多商家紛紛投身防火墻市場(chǎng)的激烈競(jìng)爭(zhēng)，這樣就形成了防火墻產(chǎn)品的品牌、檔次五花八門(mén)，參差不齊，企業(yè)選擇防火墻也就眼花繚亂，無(wú)所適從。那么，作為企業(yè)級(jí)用戶，如何來(lái)選擇一款既滿足需求，又價(jià)格合理的防火墻產(chǎn)品呢？1、做好需求分析 選擇合適產(chǎn)品的一個(gè)前提條件就是，明確企業(yè)本身的具體需求。因此，選擇產(chǎn)品的第一個(gè)步驟就是針對(duì)企業(yè)自身的網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)應(yīng)用系統(tǒng)、用戶及通信流量規(guī)模、防攻擊能力、可靠性、可用性、易用性等具體需求進(jìn)行分析。 2、選擇原則 在整理出具體的需求以后，可以得到一份防火墻的需求分析報(bào)告。下一步的工作就是在眾多的品牌和檔次中選出滿足各種需求的品牌，并考慮一定的擴(kuò)展性要求。選擇的主要原則有：.以需求為導(dǎo)向，選擇最適合本企業(yè)需求的產(chǎn)品。由于防火墻的各項(xiàng)指標(biāo)具有較強(qiáng)的專業(yè)性，因此企業(yè)在選擇時(shí)，有必要把防火墻的主要指標(biāo)和需求聯(lián)系起來(lái)。另外，還要考慮到企業(yè)可承受的性價(jià)比。.對(duì)于產(chǎn)品的選型，可參考的指標(biāo)來(lái)源有廠家提供的技術(shù)白皮書(shū)、各種測(cè)評(píng)機(jī)構(gòu)的橫向?qū)Ρ葴y(cè)試報(bào)告，從中可以了解產(chǎn)品的一些基本性能情況。.要完全按照企業(yè)的實(shí)際需求來(lái)對(duì)比各種品牌的滿足程度，最好是根據(jù)需求，定制一套解決方案，并對(duì)防火墻在統(tǒng)一測(cè)試條件和測(cè)試環(huán)境下進(jìn)行橫向?qū)Ρ取?、了解產(chǎn)品的性能指標(biāo)性能指標(biāo)主要包括吞吐量、丟包率、延遲、背靠背包、最大并發(fā)連接數(shù)、并發(fā)連接處理速率等。吞吐量是防火墻在各種幀長(zhǎng)的滿負(fù)載（100M或1000M）雙向（Bidirectional Traffic）UDP數(shù)據(jù)包情況下的穩(wěn)定性表現(xiàn)，是其它指標(biāo)的基礎(chǔ)。它反映的是防火墻的數(shù)據(jù)包轉(zhuǎn)發(fā)能力。其中， 64字節(jié)幀長(zhǎng)小包的處理能力，對(duì)于反映防火墻數(shù)據(jù)包的轉(zhuǎn)發(fā)能力尤其重要，現(xiàn)已引起國(guó)內(nèi)外廠商和用戶的關(guān)注。防火墻丟包率這項(xiàng)測(cè)試，是用來(lái)確定防火墻在不同傳輸速率下丟失數(shù)據(jù)包的百分?jǐn)?shù)，目的在于測(cè)試防火墻在超負(fù)載情況下的性能。延遲這項(xiàng)測(cè)試通常是指測(cè)試從測(cè)試數(shù)據(jù)幀的最后一個(gè)比特進(jìn)入被測(cè)設(shè)備端口開(kāi)始，至測(cè)試數(shù)據(jù)包的第一個(gè)比特從被測(cè)設(shè)備另一端口離開(kāi)的時(shí)間間隔。背靠背包是指以最小幀間隔發(fā)送最多數(shù)據(jù)包而不引起丟包時(shí)的數(shù)據(jù)包數(shù)量。最后兩項(xiàng)分別測(cè)試防火墻的每秒所能建立起的TCP/HTTP連接數(shù)及防火墻所能保持的最大TCP/HTTP連接數(shù)。了解這些之后，我們會(huì)明白，采用具有優(yōu)異性能的防火墻，是我們保護(hù)投資的一種有效方式。用戶在選擇時(shí)，應(yīng)該根據(jù)自身的網(wǎng)絡(luò)規(guī)模和需求，對(duì)上述幾個(gè)指標(biāo)參數(shù)進(jìn)行詳細(xì)了解，選擇適合的產(chǎn)品。 （三）、 配置實(shí)例 硬件防火墻，是網(wǎng)絡(luò)間的墻，防止非法侵入，過(guò)濾信息等，從結(jié)構(gòu)上講，簡(jiǎn)單地說(shuō)是一種PC式的電腦主機(jī)加上閃存（Flash）和防火墻操作系統(tǒng)。它的硬件跟共控機(jī)差不多，都是屬于能適合24小時(shí)工作的，外觀造型也是相類似。閃存基本上跟路由器一樣，都是那中EEPROM，操作系統(tǒng)跟Cisco IOS相似,都是命令行（Command）式。 Cisco Firewall Pix 525，是一種機(jī)架式標(biāo)準(zhǔn)（即能安裝在標(biāo)準(zhǔn)的機(jī)柜里），有2U的高度，正面看跟Cisco 路由器一樣，只有一些指示燈，從背板看，有兩個(gè)以太口（RJ-45網(wǎng)卡）,一個(gè)配置口（console）,2個(gè)USB,一個(gè)15針的Failover口，還有三個(gè)PCI擴(kuò)展口。 如何開(kāi)始Cisco Firewall Pix呢？我想應(yīng)該是跟Cisco 路由器使用差不多吧，于是用配置線從電腦的COM2連到PIX 525的console口，進(jìn)入PIX操作系統(tǒng)采用windows系統(tǒng)里的“超級(jí)終端”，通訊參數(shù)設(shè)置為默然。初始使用有一個(gè)初始化過(guò)程，主要設(shè)置： Date(日期)、time(時(shí)間)、hostname(主機(jī)名稱)、inside ip address(內(nèi)部網(wǎng)卡IP地址)、domain(主域)等，如果以上設(shè)置正確，就能保存以上設(shè)置，也就建立了一個(gè)初始化設(shè)置了。 下面我講一下一般用到的最基本配置 1、 建立用戶和密碼用enable進(jìn)入特權(quán)模式（附錄二），然后用config t進(jìn)入全局模式（附錄二）建立用戶及密碼PIX525enable /進(jìn)入特權(quán)模式PIX525#congfig t /進(jìn)入全局模式PIX525(config)#username username /創(chuàng)建用戶PIX525config)# password password /攝制密碼2、 激活以太端口 必須用enable進(jìn)入，然后進(jìn)入configure模式 PIX525enable Password: PIX525#config t PIX525(config)#interface ethernet0 auto PIX525(config)#interface ethernet1 auto 在默然情況下ethernet0是屬外部網(wǎng)卡outside, ethernet1是屬內(nèi)部網(wǎng)卡inside, inside在初始化配置成功的情況下已經(jīng)被激活生效了，但是outside必須命令配置激活。 3、 命名端口與安全級(jí)別 采用命令nameif PIX525(config)#nameif ethernet0 outside security0 PIX525(config)#nameif ethernet0 outside security100 security0是外部端口outside的安全級(jí)別（0安全級(jí)別最高） security100是內(nèi)部端口inside的安全級(jí)別,如果中間還有以太口，則security10，security20等等命名，多個(gè)網(wǎng)卡組成多個(gè)網(wǎng)絡(luò)，一般情況下增加一個(gè)以太口作為DMZ(Demilitarized Zones非武裝區(qū)域)。 4、 配置以太端口IP 地址 采用命令為：ip address 如：內(nèi)部網(wǎng)絡(luò)為： 外部網(wǎng)絡(luò)為： PIX525(config)#ip address inside PIX525(config)#ip address outside 5、 配置遠(yuǎn)程訪問(wèn)telnet 在默然情況下，PIX的以太端口是不允許telnet的，這一點(diǎn)與路由器有區(qū)別。Inside端口可以做telnet就能用了,但outside端口還跟一些安全配置有關(guān)。 PIX525(config)#telnet inside PIX525(config)#telnet outside 測(cè)試telnet 在開(kāi)始-運(yùn)行 telnet PIX passwd: 輸入密碼：cisco 6、 訪問(wèn)列表(access-list) 此功能與Cisco IOS基本上是相似的，也是Firewall的主要部分，有permit和deny兩個(gè)功能，網(wǎng)絡(luò)協(xié)議一般有IP|TCP|UDP|ICMP等等，如：只允許訪問(wèn)主機(jī):54的www,端口為：80 PIX525(config)#access-list 100 permit ip any host 54 eq www PIX525(config)#access-list 100 deny ip any any PIX525(config)#access-group 100 in interface outside 7、 地址轉(zhuǎn)換（NAT）和端口轉(zhuǎn)換(PAT) NAT跟路由器基本是一樣的， 首先必須定義IP Pool，提供給內(nèi)部IP地址轉(zhuǎn)換的地址段，接著定義內(nèi)部網(wǎng)段。 PIX525(config)#global (outside) 1 00-00 netmask PIX525(config)#nat (inside) 1 如果是內(nèi)部全部地址都可以轉(zhuǎn)換出去則： PIX525(config)#nat (inside) 1 則某些情況下，外部地址是很有限的，有些主機(jī)必須單獨(dú)占用一個(gè)IP地址，必須解決的是公用一個(gè)外部IP(01),則必須多配置一條命令，這種稱為（PAT），這樣就能解決更多用戶同時(shí)共享一個(gè)IP,有點(diǎn)像代理服務(wù)器一樣的功能。配置如下： PIX525(config)#global (outside) 1 00-00 netmask PIX525(config)#global (outside) 1 01 netmask PIX525(config)#nat (inside) 1 8、 DHCP Server 在內(nèi)部網(wǎng)絡(luò)，為了維護(hù)的集中管理和充分利用有限IP地址，都會(huì)啟用動(dòng)態(tài)主機(jī)分配IP地址服務(wù)器（DHCP Server），Cisco Firewall PIX都具有這種功能，下面簡(jiǎn)單配置DHCP Server,地址段為0000 DNS: 主8 備7 主域名稱： DHCP Client 通過(guò)PIX Firewall PIX525(config)#ip address dhcp DHCP Server配置 PIX525(config)#dhcpd address 00-00 inside PIX525(config)#dhcp dns 8 7 PIX525(config)#dhcp domain 9、 靜態(tài)端口重定向(Port Redirection with Statics) 在PIX 版本6.0以上，增加了端口重定向的功能，允許外部用戶通過(guò)一個(gè)特殊的IP地址/端口通過(guò)Firewall PIX 傳輸?shù)絻?nèi)部指定的內(nèi)部服務(wù)器。這種功能也就是可以發(fā)布內(nèi)部WWW、FTP、Mail等服務(wù)器了，這種方式并不是直接連接，而是通過(guò)端口重定向，使得內(nèi)部服務(wù)器很安全。 命令格式： static (internal_if_name,external_if_name)global_ip|interface local_ip netmask maskmax_consmax_consemb_limitnorandomseq static (internal_if_name,external_if_name)tcp|udpglobal_ip|interface local_ip netmask maskmax_consmax_consemb_limitnorandomseq !-外部用戶直接訪問(wèn)地址9 telnet端口，通過(guò)PIX重定向到內(nèi)部主機(jī)9的telnet端口（23）。 PIX525(config)#static (inside,outside) tcp 9 telnet 9 telnet netmask 55 0 0 !-外部用戶直接訪問(wèn)地址9 FTP，通過(guò)PIX重定向到內(nèi)部的FTP Server。 PIX525(config)#static (inside,outside) tcp 9 ftp ftp netmask 55 0 0 !-外部用戶直接訪問(wèn)地址08 www(即80端口)，通過(guò)PIX重定向到內(nèi)部192.168.123的主機(jī)的www(即80端口)。 PIX525(config)#static (inside,outside) tcp 08 www www netmask 55 0 0 !-外部用戶直接訪問(wèn)地址01 HTTP(8080端口)，通過(guò)PIX重定向到內(nèi)部的主機(jī)的www(即80端口)。 PIX525(config)#static (inside,outside) tcp 08 8080 www netmask 55 0 0 !-外部用戶直接訪問(wèn)地址 smtp(25端口)，通過(guò)PIX重定向到內(nèi)部的郵件主機(jī)的smtp(即25端口) PIX525(config)#static (inside,outside) tcp 08 smtp smtp netmask 55 0 0 10、顯示與保存結(jié)果 采用命令show config 保存采用write memory總結(jié)隨著Internet/Intranet技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題必將愈來(lái)愈引起人們的重視。防火墻技術(shù)作為目前用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，它主要是用來(lái)拒絕未經(jīng)授權(quán)用戶的訪問(wèn)，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時(shí)允許合法用戶不受妨礙的訪問(wèn)網(wǎng)絡(luò)資源。如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)安全。但是沒(méi)有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問(wèn)題，比如防火墻雖然能對(duì)來(lái)自外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的保護(hù)，但對(duì)于來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊卻無(wú)能為力。事實(shí)上60%以上的網(wǎng)絡(luò)安全問(wèn)題來(lái)自網(wǎng)絡(luò)內(nèi)部。因此網(wǎng)絡(luò)安全單靠防火墻是不夠的，還需要有其它技術(shù)和非技術(shù)因素的考慮，如信息加密技術(shù)、身份驗(yàn)證技術(shù)、制定網(wǎng)絡(luò)法規(guī)、提高網(wǎng)絡(luò)管理人員的安全意識(shí)等等。參考文獻(xiàn)1. 防火墻技術(shù)論壇 （/zh/ScienceFields/netSF/517.aspx）2. 瑞星 (/newSite/)3 防火墻技術(shù)網(wǎng) （/article_view.asp?id=40）4 .中國(guó)cisco技術(shù)論壇 （/）5. （美）Greg Holden 著 王斌 孔璐 譯 防火墻與網(wǎng)絡(luò)安全入侵檢測(cè)VPNs清華大學(xué)出版社6. 美） David W. Chapmen Jr. Andy Fox 著劉興初李逢天 譯 李逢天 審CISCO 安全PIX防火墻 人民郵電出版社 附錄一：CISCO PIX