防火墙技术的研究毕业论文.doc

1、 毕业论文 （防火墙技术的研究）学 校： 指 导 老 师： 学 生： 学 号： 专 业； 摘 要：随着计算机和网络技术的不断普及与应用，网络安全越来越受到人们的重视。防火墙作为一种隔离内部安全同时网络内部安全与外部不信任网络的防御技术，已经成为计算机网络安全体机构中的一个重要组成部分。作者在研究防火墙技术和使用部分防火墙产品的过程中，发现防火墙在抵御部分网络攻击时还存在缺陷，于是在本文中就存在提出自己的观点并进行技术改进，以使防火墙更好的保护内部网络的安全。首先通过数据和案例的分析说明网络安全的重要性，并介绍了几种常用的网络安全技术。然后详细的介绍了防火墙的概念、内涵、技术原理、体系结构和主要

2、的类型。查阅大量的书籍、网络文章、具体的防火墙操作和内核分析找出防火墙在应对各种攻击时自身的缺陷，通过深入研究和大量实验后实现对防火墙自身功能得到改进，使防火墙更好的工作以保证网络不会受到非法入侵和重要的数据不被窃取及破坏。 目 录 第一章 绪言 第二章 防火墙的概念 第一节 防火墙的概念 第二节 防火墙的优缺点 第三节 防火墙的功能概述 第四节 防火墙工作原理分析 第三章 几种典型的防火墙 第一节 天网防火墙系统 第二节 FortiGate病毒防火墙 第三节 CISCO PIX防火墙 第四节 方正数码公司的方御防火墙系列产品 第四章 防火墙的实例配置 第五章 防火墙的基本类型 第一节 包过滤

3、 第二节 网络地址转化NAT 第三节 应用代理 第四节 状态检测第六章 防火墙的未来发展方向第七章 总结谢 辞 参考文献 第一章 绪言随着社会信息话进程的深入和互联网的飞速发展，人们的工作、学习和生活方式通过与网络的紧密联系发生了巨大的变化，信息资源得到最大程度共享。但同时那我们必须看到，紧随信息话发展而来得网络安全问题日益突出，它已经成为整个社会关注的焦点。互联网上的病毒、黑客、网络犯罪等等给网络安全带来了巨大威胁，并且随着网络规模的不断扩大，网络安全事故的数量以及其造成的损失也在成倍的增长，网络犯罪的方式方法也是层出不穷。如果不能很好的解决这个问题，它必将阻碍信息化发展的进 程。现在网络威

4、胁呈现多样话，如病毒、垃圾邮件、间谍软件、广告软件、网络的鱼、拒绝服务、网络挟持等。漏洞被发现和漏洞病毒出现的时间间隔越来越短：病毒传播方式的途径正在变的更隐蔽和多样化。第二章 防火墙的概述第一节 防火墙的概念所谓防火墙，是一种将内部旺和公众访问分开的方法，它实际上是一种隔离技术。防火墙是在两个通讯时执行的一种访问控制尺度，它能允许你同意的人和数据进入你的网络，同时将你不同意的人和数据拒之门外，最大限度的阻止网络中黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人无法访问internet,intenet上的人也无法和公司内部的人进行通信。第二节 防火墙的优缺点1. 包过滤防火墙使用包

5、过滤防火墙的优点包括： 防火墙对每条传入和传出网络的包实行低水平控制 每个IP包的字段都被检查，例如源地址、目的地址、协议、端口等。防火墙将基于这些应用过滤规则。 防火墙可以识别和丢弃带欺骗性源IP地址的包。 包过滤防火墙是两个网络之间的唯一来源。因为所有的通信必须通过防火墙，绕过是困难的。 包过滤通常被包含在路由器包中，所有不必额外的系统来处理这个特征。使用包过滤防火墙的缺点包括: 配置困难。因为包过滤防火墙很复杂，人们经常会忽略建立一些必要的规则，或者错误配置了已有的规则，在防火墙留下漏洞。然而，在市场上许多新版本的防火墙对这个缺点正在做改进，如开发者实现了基于图形化用户界面（GUI）的配

6、置和更直接的规则定义。 为特定服务开放的对口存在着危险，可能会被用于其他传输。例如，Web服务器的端口为80，而计算机上又安装了RealPlayer，那么它会搜寻可以允许连接到RealPlayer服务器的端口，而不管这个端口是否被其他协议所使用，RealPlayer正好是使用80端口二搜寻的。就这样无意中，RealPlayer就利用了Web服务器的端口。 可能还有其他方法绕过防火墙进入网络，例如拨入连接，但这个并不是防火墙自身的缺点而是不应该在网络安全上单纯依赖防火墙的原因。 2.状态/动态检测防火墙状态/动态检测防火墙的有点有：检测IP包的每个字段的能力，并遵从基于包中信息的过滤规则。识别带

7、有欺骗性源IP地址包的能力。包过滤防火墙是两个望楼之间访问的唯一来源。因为所有的通信必须通过防火墙，绕过是困难的。基于应用程序验证一个包的状态的能力，例如基于一个已经建立的FIP连接，允许返回的FTP包通过。基于应用程序验证一个包的状态的能力，例如允许一个先前人证过的连接继续与被授权的服务通信。记录有关通过的每个报的详细信息的能力。基本上，防火墙用来确定包状态的所有信息都可以被记录，包括应用程序对包的请求，连接的持续时间，内部和外部系统所做的连接请求等。状态/动态检测防火墙的缺点： 状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞，特别是在同时有许多连

8、接激活的时候，或者是有大量的过滤网络通信的规则存在时。可是，硬件速度越快，这个问题越不易察觉，而且防火墙的制造商一直致力于他高他们产品的速度。3.应用程序代理防火墙使用应用代理程序防火墙的把优点有：指定对连接的控制，例如允许或拒绝基于服务器IP地址的访问，或者是允许或拒绝基于用户所请求连接的IP地址的访问。通过限制某些协议的传出请求，来减少网络中不必要的服务。大多数代理防火墙能够记录所有的连接，包括地址和持续时间。而写信息对追踪攻击和发生的未授权访问的事件是很有用的。使用应用程序代理防火墙的缺点有：必须在一定范围内定制用户的系统，这取决与所用的应用程序。一些应用程序可能根本不支持代理连接。4.

9、NAT使用NAT的优点有： 所有内部的IP 地址对外面得人来说是隐蔽的。因为这个原因，网络之外没有人可以已通过指定IP地址的方式直接对网络内的任何一台特定的计算机发起攻击。如果因为某种公共IP地址资源比较短缺的话，NAT可以使整个内部网络共享一个IP地址。可以启用基本的包过滤防火墙安全机制，因为所有传入的包如果没有专门指定配置到NAT，那么就会被丢弃。内部网络的计算机就不可能直接访问外部网络。使用NAT的缺点： NAT的缺点和包过滤防火墙的缺点是一样的。虽然可以保障内部网路的安全，但它也是一些类似的局限。而且内网可以利用现流传比较广泛的木马程序可以通过NAT做外部连接，就像它可以穿过包过滤防火

10、墙一样的容易。注意：现在有很多厂商开发的防火墙，特别是状态/动态检测防火墙，出了他们应该具有的功能外也提供了NAT的功能。5.个人防火墙个人防火墙的优点有： 增加了保护级别，不需要额外的硬件资源。 个人防火墙出了可以抵挡攻击的同时，还可以抵挡内部的攻击。 个人防火墙是对公共网络中的单个系统提供了保护。例如一个家庭用户使用的是Modem活ISDN/ADSL上网，可能一个硬件防火墙对于他来说实在是太昂贵了，或者说是太麻烦了。二个人防火墙已经能够用户隐蔽暴露在网路上的信息，比如IP地址之类的信息等。个人防火墙的缺点：个人防火墙主要的缺点就是对公共网络只有一个屋里借口。要记住，真正的防火墙应当监视控制

11、两个或更多的网络接口之间的通信。这样一来的话，个人防火墙本身可能会容易受到威胁，或者说是具有这样一个弱点，网络通信可以绕过防火墙的规则。 好了，在上面我们已经介绍了积累防火墙，并讨论了每种防火墙的优缺点。要记住，任何一种防火墙只是为网络通信或者数据传输提供了更有保障的安全性，但是我们也不能完全依赖于防火墙。除了靠防火墙保障安全的同时，我们也要加固系统的安全性，提高自身的安全意识。这样一来，数据以及Web站点就会更有安全保障。 第三节 防火墙的功能概述防火墙是网络安全的屏障： 一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的

12、应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全NFS协议进出受保护网络，这样外部的攻击者就不可以利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 防火墙可以强化网络安全策略： 通过防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全网络问题分散到个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各主机上，而集

13、中在防火墙一身上。 对网络存取和访问进行监控审计： 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够低档攻击者的探索和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。防止内部信息的外泄：通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络

14、非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露了内部的某些安全漏洞。使用防火墙就可以隐蔽哪些内部细节如Finger，DNS等服务。Finger显示了宿主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以指导一个系统使用的频繁程度，这个系统是否有用户在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用防火墙还支持具有Internet服务特性的企业内部网路技术体系

15、VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障 第四节 防火墙工作原理分析 防火墙就是一种过滤塞，你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。天下的防火墙至少都会说两个词：Yes或是No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：由的取代系统上已经装备的TCP/IP协议栈；由的在已有的协议栈上建立自己的软件

16、模块；有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护（比如SMTP或者HTTP协议等）。还有一些基于硬件的防火墙产品其实应该归入安全路由起一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。所有的防火墙都具有IP地址过滤功能，这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。当PC客户机向UNIX计算机发起telnet请求时，PC的telnet客户程序就产生一个TCP

17、包并把它传给本地的协议栈准备发送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里，这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机现在我们“命令”（用专业术语来说就是配制）防火墙吧所有发给UNIX计算机的数据包都给拒了，完成这项工作以后，“心肠”比较好的防火墙还会通知客户程序一声呢！既然发向目标的IP数据没法转发，那么只有和UNIX计算机的在一个网段的用户才能访问UNIX计算机了。还有一种情况，你可以命令防火墙专给那台可怜的PC机找茬，别人的数据包都让过就它不行。这正是防火墙最基本的功

18、能：根本IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们可以采用IP地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根本地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用DNS主机名建立过滤表，对DNS的伪造比IP地址欺骗要容易多了。服务器TCP/UDP端口过滤仅仅依靠地址进行数据过滤在实际运用中是不可行的，还有个原因就是目标主机上往往运行着多重通信服务，比方说，我们不想让用户采用telnet的方式连到系统，但这绝不等于我们非得同时禁止他们使用SMTP/POP邮箱服务器吧？所以说，在地址外我们还要对服务器的TCP/UDP端口进行过滤。比

19、如，默认的telnet服务连接端口号是23.假如我们不许PC客户机建立对UNIX计算机（在这时我们当它是服务器）的telnet连接，那么我们只需命令防火墙检查发送目标是UNIX服务器的数据包，把其中具有23目标端口号的包过滤就行了。这样，我们把IP地址和目标服务器TCP/UDP端口结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗？不，没这么简单。客户机也有TCP/UDP端口TCP/UDP是一种端对端协议，每个网络节点都能具有唯一的地址。网络节点的应用层也是这样，处于应用层的每个层的每个应用程序和服务都具有自己对应“地址”，也就是端口号。地址和端口都具备了才能建立客户机和服务起器的各种应用

20、之间的有效通信联系。比如，telnet服务器在端口23侦听入站连接。同时telnet客户也有一个端口号，否则客户机的IP桟怎么知道某个数据包是属于那个应用程序的呢？由于历史的原因，几乎所有的TCP/IP客户程序都使用大于1023的随机分配端口号。只有UNIX计算机上的root用户才可以访问1024以下的端口，而这些端口还保留为服务器上的服务所用。所以，除非我们让所有具有大于1023端口号的数据包进入网络，否则各种网络连接都没法正常工作。第三章 几种典型的防火墙第一节 天网防火墙系统天网防火墙系列产品功能全面，其代表产品有天网防火墙、天网防火墙个人版、天网在线检测系统等这些产品都具有较高的功能。

21、功能概述：天网防火墙能提供强大的访问控制、身份认证、数据过滤、流量控制、虚拟网桥等功能。它还具有DdoS、DoS攻击防御网关、完全高保密的VPN功能、先进行的负载分担能力、特有的TCP标志检测功能，以及强大的URL级拦截与内容过滤的级数。它可以实现方便的地址转换、透明网桥、网络黑洞、双机热备份等技术。第二节 FortiGate病毒防火墙Fortonet病毒防火墙是一种基于ASIC硬件体系结构的新型网络安全设备。FortiGate系列拥有十二款不同产品，包括合适于个人办公环境、小型商务、中小型企业产品、以及大型企业和运营服务商的千兆防御网关。 功能概述： 该防火墙是一个易于管理的安全设备，它提供

22、了以套完整的功能，包括：应用层服务和网络服务。它支持应用层服务，包括防病毒保护和全内容扫描过滤。FortiGate防病毒增强了网络的安全性，避免了网络泽源的误用和滥用，可以更好地使用通信资源而不降低网络功能。 第三节 CISCO PIX防火墙系统Cisco pix防火墙是CISCO防火墙家族中的专业防火墙。Cisco pix防火墙提供全方位的保护，对外部网络完全屏蔽内部网络的系统结构，并采用了基于适应性安全算法为用户提供很高级别安全保护。 功能概述： Cisco pix防火墙的主要功能有企业级的安全性，包括状态监测防火钱、VPN、入侵检测、多媒体支持和语言安全等，强大的办公室联网功能，可以提供

23、动静态的网络地址解析和端口地址解析等功能，丰富的远程管理功能。第四节 方正数码公司的方御防火墙系列产品 方御防火墙是一体化的硬件产品，通过与硬件的深层结合，采用3I技术，实现快速匹配。它可根据数据包的地址、协议和端口进行访问和监测。同时还对任何网络连接和会话的当前状态进行分析和监控 功能概述： 方御防火墙入侵检测系列集成了网络监听监控、实时协议分析、通过对入侵行为分析以及详细日志审计跟踪，对黑客入侵进行全方位的检测。它有较完备的网络上的计算机的恶意用户和程序 在windows xp sp2中， windows防火墙有了许多新增特性，其中包括： 默认对计算机的所有连接启用、应用于所有连接的全新的

24、全局配置选项、用于全局配置的新增对话框集、全新的操作模式、启用安全性、本地网络限制、异常流量可以通过应用程序文件指定对internet协议第6版（ipv6）的内建支持 采用netsh和组策略的新增配置选项 本文将详细描述用于手动配置全新的windows防火墙的对话框集。与windows xp（sp2之前的版本）中的icf设置不同，这些配置对话框可同时配置ipv4和ipv6流量。 Windows xp（sp2之前的版本）中的icf设置包含单个复选框（在连接属性的“高级”复选框）和一个“设置”按钮，您可以使用该按钮来设置流量、日志设置和允许的icmp流量。 在windows xp sp2中，连接属

25、性的“高级”选项卡上的复制框被替换成了一个“设置”按钮，您可以使用该按钮来配置常规设置、程序和服务的权限，指定于连接的设置、日志设置和允许的icmp流量。 “设置”按钮将运行全新的windows防火墙控制面板程序（可在“网络和internet连接与安全中心”类别中找到）. 新的windows防火墙对话框包含以下选项卡：“常规”“异常” “高级” “常规”选项卡在“常规”选项卡上，您可以选择以下选项： “启用(推荐)”选择这个选项来对“高级”选项卡上选择的所有网络连接就用windows防火墙。Windows防火墙居用将仅允许请求的和异常的传入流量。异常流量可在“异常”选项卡上进行配置。“不允许异

26、常流量”单击这个选项来仅允许请求的传入流量。这样将不允许异常的传入流量。“异常”选项卡上的设置将被忽，所有的连接都将受到保护，而不管“高级”选项卡上的设置如何。“禁用”选项这个选项来禁用windows防火墙。不推荐这样做，特别是对于通过internet直接访问的网络连接。注意对于运行windows xp sp2的计算机的所有连接和新创建的连接，windows防火墙的默认设置是“启用（推荐）”。这可能会影响哪些依赖未请求的传入流量的程序或服务的通信。在这样的情况下，您必须识别出哪些已不再运作的程序，将它们或它们的流量添加为异常流量。许多程序，比如internet浏览器和电子邮件客户端（如：out

27、look express），不依赖未请求的传入流量，因而能够在启用windows防火墙的情况下正确地运作。如果您在使用组策配置运行windows xp sp2的计算机的windows的防火墙，您所配置的组策设置可能不允许进行本地配置。在这样的情况下，“常规”选项卡和其他选项卡上的选项可能是灰色的，而无法选项，甚至本地管理员也无法进行选项。其于组策的windows防火墙设置允许您配置文件（一组将在您连接到一个包含域控制器的网络时所应用的windows防火墙设置）和标准配置文件（一组将在您连接到像internet这样没有包含域控制器的网络时所应用的windows防火墙设置）。这些配置对话框仅显示当

28、前所应用的配置文件的windows防火墙设置。要查看当前未应用的配置文件的设置，可使用netsh firewall show命令。要更改当前没有被应用的配置文件的设置，可使用netsh firewall set 命令。“异常”选项卡在“异常”选项卡上，您可以启用或禁用某个现有的程序或服务，或者维护用于定义异常流量的程序或服务的列表。当选中“常规”选项卡上“不允许异常流量”选项时，异常流量将被拒绝。对于windows xp (sp2 之前的版本)，您只能根据传输控制协议（tcp）或用户数据报协议（udp）端口来定义异常流量。对于windows xp sp2,您可以根据tcp和udp端口或者程序或

29、服务的文件名来定义异常流量。在程序或服务的tcp和udp端口未知或需要在程序或服务启动时动态确定的情况下，这种配置灵活性使得配置异常流量更加容易。已有一组预先配置的程序和服务，其中包括：文件和打印共享、远程助手（默认启用）、远程桌面、upnp框架，这些预定义的程序和服务不可删除。如果组策允许，您还可以通过单击“添加程序”，创建其于指定的程序名称的附加异常流量，以及通过单击“添加端口”，创建其于指定的tcp或udp端口的异常流量。当您单击“添加端口”时，将单出“添加端口”对话框，您可以在其中配置一个tcp或udp端口。全新的windows防火墙的特性之一就是能够定义传入流量的范围。范围定义了允许

30、发起异常流量的网段。在定义程序或端口的范围时，您有两种选择：“任何计算机”允许异常流量来自任何ip地址。“仅只是我的网络（子网）”仅允许异常流量来自如下ip地址，它与接收该流量的网络连接所连接到的本地网段（子网）相配。列 如，如果该网络连接的ip地址被配置为 192 .168.0.99，子网掩得码为255.255.0.0，那么异常流量仅允许来自192.168.0.1到192.168.255.254范围内的ip地址。当您希望允许本地家庭网络上全都连接到相同子网上的计算机以访问某个程序或服务，但是又不希望允许替在的恶意internet用户进行访问，那么“仅只是我的网络（子网）”设定的地址范围很有用

31、。一旦添加了某个程序或端口，它在“程序和服务”列表中就被默认禁用。在“异常”选项卡上启用的所有程序或服务对“高级”选项卡上选择的所有连接都处于启用状态。“高级”选项卡“高级”选项卡包含以下选项：网络连接设置、安全日志、icmp、默认设置第四章 防火墙的实例配置“网络连接设置”在“网络连接设置”中，您可以：1指定要在其上启用windows防火墙的接口集。要启用windows防火墙，请选中网络连接名称后面的复选框。要禁用windows防火墙，则清除该复选框。默认情况下，所有网络连接都启用了windows防火墙。如果某个网络连接没有出现在这个列表中，那么它就不是一个标准的网络连接。这样的列子包括in

32、ternet服务提供商（isp）提供的自定义发号程序。2、通过单击网络连接名称，然后单击“设置”，配置单独的网络连接的高级配置。如果清除“网络连接设置”中的所有复选框，那么windows防火墙就不会保护您的计算机，而不管您是否在“常规”选项卡上中的“启用（推荐）”。如果您在“常规”选项卡上选中了“不允许异常流量”，那么“网络连接设置”中的设置将被忽，这种情况下所有接口都将受到保护。当您单击“设置”时，将单出“高级设置”对话框。 在“高级设置”对话框上，您可以在“服务”选项卡上配置特定的服务（仅根据tcp或udp端口来配置），或者在“icmp”选项卡上启用特定类型的icmp流量。这两个选项卡等价

33、于windows xp (sp2 之前的版本)中的icf配置的设置选项卡。“安全日志”在“安全日志”中，请单击“设置”，以便在“日志设置”对话框中指定windows防火墙日志的设置，在“日志设置”对话框中，您可以配置是否要记录丢弃的数据包或成功的连接，以及指定日志文件的名称和位置（默认设置为systemrootpfirewall.log）及其最大容量。“icmp”在“icmp”中，请单击“设置”以便在“icmp”对话框中指定允许的icmp流量类型，在“icmp”对话框中，您可以启用和jywindows防火墙允许在“高级”选项卡上选择的所有连接传入的icmp消息的类型。icmp消息用于诊断、报告

34、错误情况和配置。默认情况下，该列表中不允许任何icmp消息。诊断连接问题的一个常用步骤是使用ping工具检验您尝试连接到的计算机地址。在检验时，您可以发送一条icmp echo消息，然后获得一条icmp echo reply消息作为响应。默认情况下，windows防火墙不允许传入icmp echo消息，因此该计算机无法发回一条icmp echo reply消息作为响应。为了配置windows防火墙允许传入icmp echo消息，您必须启用“允许传入的echo请求”设置。“默认设置”单击“还原默认设置”，将windows防火墙重设回它的初始安装状态。当您单击“还原默认设置”时，系统会在windo

35、ws防火墙设置改变之前提示您核实自己的决定。第二节 详解防火墙的配置方法防火墙的具体配置方法不是千遍的，不要说不同品牌，就是同一品牌的不同型号也不完全一样，所以在此也只能对一些通用防火墙配置方法作一其本介绍。同时，具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。Cisco PIX防火墙的基本配置1. 同样是用一条窜行电缆从电脑的COM 口连到Cisco PIX 525防火墙的console口；2. 开启所连电脑和防火墙的电源，进入Windows系统自带的”超级终端”，通讯参数可按系统默然。进入防火墙初始配置，在其中主要设置有：Date(日期)、time(时间

36、)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等，完成后也就建立了一个初始化设置了。此时的提示符为：pix255。3. 输入enable命令，进入Pix 525特权用户模式，默然密码为空。如果要修改此特权用户模式密码，则可用enable password命令，命令格式为：enable password encrypred，这个密码必须大于16位。Encrypted选项是确定所加密码是否需要加密。4、定义以太端口：先必须用enable命令进入特权用户模式，然后输入configure terminal（可简称为config t）,进入

37、全局配置模式模式。具体配置Pix525enable Password: Pix525#config t Pix525(config)#interface ethernet0 auto Pix525(config)#interface ethernet1 auto在默认情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside,inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。5、clook配置时钟，这也非常重要，这主要是为防火墙的日志记录而资金积累的，如果日志记录时间和日期都不准确，也就无法正确分析记录中的信息。这须

38、在全局配置模式下进行。时钟时钟命令格式有两种，主要日期格式不同，分别为：Clock set hh:mm:ss month day month year 和clock set hh:mm:ss day month year前一种格式为：小时：分钟：秒 月 日 年；而后一种格式为：小时：分钟：秒 日 月 年，主要在日、月份的前后顺序不同。在时间上如果为0，可以为一位，如：21:0:06、指定接口的安全级别 指定接口安全级别的命令为nameif，分别为内、外部网络接口指定一个适当的安全级别。在此要注意，防火墙是用来保护内部网络的，外部网络是通过外部接口对内网络构成威胁的，所以要从根本上保障内部网络的

39、安全，需要对外部网络接口指定较高的安全级别，而内部网络接口的安全级别稍低，这主要是因为内部网络通信频繁、可信度高。在Cisco PIX系统防火墙中，安全级别的定义是由security()这个参数决定的，数字越小安全级别越高，所以security0是最高的，随后通常是以10的倍数递增，安全级别也相应降低，如下列： Pix525(config)#nameif Ethernet0 outside security0#outside是指外部接口 Pix525(config)#nameif ethernet1 inside security100#inside 是指内部接口 7配置以太网接口IP地址 所

40、用命令为:ip address,如需配置防火墙上的内部网接口IP地址为：192.168.1.0 255.255.255.0；外部网接口IP地址：220.154.20.0 255.255.255.0.配置方法如下： Pix525（config）#ip address inside 192.168.1.0 255.255.255.0Pix525(config)#ip address outside 220.154.20.0 255.255.255.08.access-group这个命令是把访问控制列表绑定在特定的接口上。须在配置模式下进行配置。命令格式为：access-group acl-ID i

41、n interface interface-name,其中的acl-ID”是指访问控制列表名称，interface-name为网络接口名称。如：access-group acl-out in interface outside,在外部网络接口上绑定名称为”acl-out”的访问控制列表。clear access-grouta：清除所有绑定的访问控制绑定设置。no access-group acl-ID in interface-name:清除指定的访问控制绑定设置。show access-group acl-ID in interface interface-name:显示指定的访问控制绑定设

42、置。 9.配置访问列表所用配置命令为：access-list,合格格式比较复杂，如下：标准规则的创建命令：access-listnormal special listnumber1 permit denysource-addrsoutce-mask 扩展规则的创建命令：access-listnormal special listnumber2permit deny source-addr source-mask operator port1port2 dest-addr dest-maskoperatot port1port2 icmp-typeicmp-code log它是防火墙的主要配置部

43、分，上述格式中带“”部分是可选项，listnumber参数是规则号。标准规则号（listnumber1）是199之间的整数，而扩展规则号（listnumber2）是100199之间的整数。它主要是通过服务权限“permit”和”deny”来指定的。网络协议一般有IP TCP UDP ICMP等等。如只允许访问通过防火墙对主机：220.154.20,。254进行www访问，则可按以下配置：Pix525(config)#access-liet 100 permit 220.154.20.254 ep www其中的100表示访问规则号，根据当前已配置的规则条数来确定，不能与原来规则的重要，也必须是正

44、整数。关于这个命令还将在下面的高级配置命令中详细介绍。 10.地址转换（NAT）防火墙的NAT配置路由器的NAT配置基本一样，首先也必须定义供NAT转换的内部IP地址组，接着定义内部网段。定义供NAT转换的内部地址组的命令是nat，它的格式为：NAT(if-name) nat-id local-ip netmaskmax-connsem-limit,其中if-name为接口名；nat-id参数代表内部地址组号；而local-ip为本地网络地址；netmask为子网掩码；max-conns 为此接口上允许的最大TCP连接数，默认为“0”，表示不限制连接；em-limit为允许从此端口发出的连接数，默认也为“0”，不限制。如：Nat(inside)1 10.1.6.0 255.255.255.0表示把所有网络地址10.1.6.0,子网掩码255.255.255.0的主机地址定义为1号NAT地址组。随后再定义内部地址转换后可用的外部地址池，它搜用的命令为global,基本命令格式为Global(if-name)nat-id global-ip natmaskmax-connsem-limit,各参数解释同上。如：Glo