防火墙在企业局域网中地架设及配置方法

《防火墙在企业局域网中地架设及配置方法》由会员分享，可在线阅读，更多相关《防火墙在企业局域网中地架设及配置方法（23页珍藏版）》请在装配图网上搜索。

1、word防火墙在企业局域网中的架设与配置方法专业：软件工程学生：吴双 指导教师：乔少杰摘 要随着网络以与计算机技术日新月异的开展，在带给人们更加方便的信息交换，信息处理方式的同时，也产生了各种类型的网络安全问题。诸如病毒入侵，骇客攻击等等能导致企业蒙受巨大损失的安全攻击方式。因为组网时要全面考虑到企业中网络的安全问题，我们应该思考如何在企业部网络和公网之间保证部网的安全，因为网络实际上就是计算机与计算机之间的信息共享。所以，我们可以在中间参加一个或者多个介质系统，然后编写这个系统的性质与功能，就能有效阻挡那些恶意信息进入，攻击。而且能够提供数据可支持性、整体性以与性等方面监察和控制，这些介质系

2、统就是防火墙。防火墙的重要性不言而喻，它是企业部网与外网之间的第一道也是最重要的屏障，因此如何配置并管理好一个防火墙成了一个对于企业来说至关重要的问题。到底哪一种配置方式更加适合企业，这是因人而异的。需要采取什么策略，都需要由网络管理员来分析。在本文中主要对防火墙有一个系统的介绍，以与阐述现在存在的大局部网络安全问题，还有不同企业中对防火墙的配置以防止这些网络安全问题的发生。关键词：防火墙 安全策略 网络安全 防火墙配置16 / 23The method of building a firewall in enterprises VlanMajor:Software engineeringSt

3、udent:Wu Shuang Supervisor: Qiao ShaojieAbstract With the development of the technology of the internet,our peoples life are getting better and better.But it also brings kinds of problems of the security of internet. Like virus intrusion and hackers attack. Which can lead Serious losses for a enterp

4、rise in many different ways. To protect the enterprise, when having connection between outside and inside, there is a system by human write, to protect the inside from illegal visited and attack. It also can provide consoles on examination and so on. It is called firewall.It goes without saying that

5、 the important of the firewall to a enterprise. Like it says, its a wall between the inside and outside of the internet. So its a key problem to set and manage firewall for the enterprise. Which way is more valuable for you, what strategies can be take? The manager should think it carefully.In this

6、passage, the main content is about the firewall and the most of the problems of internet which are still there. And how to set the firewall to pre-seeing these problems. Key words:Firewall Security Strategies Security of the Internet setting firewall目 录1 前 言11.1 选题背景11.2 研究目的122防火墙概述223墙44442.2.3对网络

7、存取和访问进展监控审计7452.3防火墙分类852.3.1包过滤防火墙956663企业网络安全分析7777889993.3.3Port Scan Attack(端口扫描攻击)103.3.4ICMP Flood(UDP泛滥)10104防火墙在企业中的应用配置1010101111111111111111121212121212131313145结论14参考文献15致 161 前 言1.1 选题背景 伴随着网络的遍布和迅速壮大，特别是Internet被普遍的运用，使得计算机的应用更为广泛与深刻。与此同时，咱们还必须注意到，尽管网络的容多，功能也强，但是它也有其软弱并且易受到攻击的地方。根据美国方面权

8、威统计，因为网络安全问题，美国每一年承受的经济损失高达75亿美元，与此同时全球平均每20秒钟就会发生一起网络有关的计算机侵入事件1。我们国家也会因为网络安全问题诸如骇客的侵入，计算机网络病毒等等，蒙受相当大的经济方面的损失。虽然对于网络的使用给人们带来了巨变，可以说时代因为网络而改变，但是同时我们更加不能忽略网络可能会对人们的生活产生的危害。那么要怎么样建立起一个完善，有效，能切实的给人们带来便利的网络安全措施呢，这需要我们一起探讨，研究。1.2 研究目的防火墙技术的迅速兴起归根结底还是因为网络技术的全面快速开展，因为网络能够产生许多安全方面的问题，而防火墙也由此应运而生2。防火墙因为具有很强

9、大的实效性和针对性，防火墙中预置的防御方案，或者由网络管理员自己配置的防御方案，不仅能够实时掌管企业中用户的数据管理，而且能帮助用户建立有效的保护机制。防火墙的设置是可以通过不同的企业需求来更改的，可以通过配置防火墙命令来实现控制主机和网络之间的信息交换，达到防止有心人的恶意袭击，发送木马，盗取企业隐秘，关键的信息等等。防火墙可以记录实时访问企业部系统的其他系统，使企业在计算机防止安全威胁网络攻击和数据泄漏，当连接到互联网的时候。防火墙可以保护企业在需要用到互联网的时候被骇客攻击，还可以根据自己的需要创建防火墙规如此，这样就能把企业到外网的所有信息交流限制住，任何信息交流都会通过防火墙的检测，

10、来保障企业中各类信息的安全。企业防火墙与个人防火墙不同在于，企业防火墙加强了局域网的管理和防护，如ARP攻击3。个人版的更多的是单机防护，其实功能更加类似于网关，只能起到很小的作用。 防火墙实际上是指搭建在不同网络(像是能够相信的完全没问题的网和具有威胁与不安全的外网间的)或者是域之间的一系列功能的组合。它通过检查、局限经过防火墙的数据流的分析,最大限度的屏蔽网络部的信息、结构和运行状态,防止被外部监察到，通过这种方法来实现对整个网络的安全的保证。普遍来说,防火墙不仅仅充当着分割器,限制器的角色,同时也是一个分析器,它监视管理我们刚刚提到的网和外网之间全部的进程，活动。安全有效的防火墙需要具备

11、下面的的特性:1从网到外网和从外网到网所有通信都必须通过防火墙2防火墙在配置了安全策略之后，所有信息交流，只会在这个规如此保护下进展3防火墙本身是免疫的,不会被穿透的。 防火墙的根本功能：能够监控所有的数据在网络中的行为；当有请求访问来到时，要进展有效监测，询问，和管理；封杀一些不被网络规如此允许的事务；只要是经过了防火墙的那些信息以与事务，都会被防火墙生成的日志文件记录下来；实时监测的网络攻击和攻击警报。在论文接下来局部中，会分别系统介绍防火墙，当前国企业安全现状分析，以与防火墙在企业中的应用架设。2防火墙概述随着网络的开展，网络应用几乎已经渗透入家家户户，每个人都离不开网络，不管是通信网络

12、或是电脑网络都好，企业也是一样。而相较于个人用户而言，企业用户的信息量更加庞大，敏感的数据也更多。这些数据的损坏或者丢失会带给企业不可弥补的损失，因此为了防止各种人为破坏与企业信息安全，防火墙的开展不可阻挡。在防火墙中，最核心也是最重要的技术就是包过滤技术还有应用代理技术。而包过滤实现和开展的时间较应用代理更早，因此被广泛应用到了各个领域之中。作为一个保护屏障，防火墙指的是一个在inside部网/专网和outside外部网/公网之间由硬件系统和软件系统组成的。其原理是在网络上建立一个安全网关和网络，以实现网络的保护不被非法用户的入侵的影响。防火墙会检测所有流经的数据还有网络通信的容。在网络中，

13、所谓的“防火墙，变成了一种隔离技术，是一种叫法，而非实际的硬件与软件的结合。用在连接网络信息交换时执行的一种访问标准，允许你同意的人进入部网，而不允许的不能进来。能最大限度的限制骇客的侵入。伴随着企业信息化进程的推动，各个企业需要运用到网络来运行的系统也更加的多了，信息系统变得越来越巨大和驳杂。企业网络的服务器机组组成了企业网络的服务系统，这其中主要包含了DNS服务、虚拟主机服务、Web服务、FTP服务、视频点播服务和Mail服务等等。企业网通过不同的线路分别接入了不同的网络。随着这些企业的增多，企业对应用的需求增大，客户数量的增大，网络安全问题已经是迫在眉睫了。从防火墙诞生到如今这个时候，人

14、们一共归纳总结了5个防火墙的开展归类。图一表示简单的开展史。图一：防火墙开展史 第一代防火墙 防火墙和路由器的第一代可以说是在同一时期产生的，采取包过滤的技术。 第二、三代防火墙 1989年，贝尔实验室的戴夫Presotto和霍华德特里基发明二防火墙，电路级的防火墙，第三代防火墙的思路也被提与应用层防火墙。 第四代防火墙 第四代防火墙的核心技术主要是透明代理技术，这样使得它的容错率大大提高，不管是在监测方面，还是在隔离方面，不仅包含了前三代防火墙几乎所有的有点，它的安全核，多级过滤，正是这第四代防火墙的关键所在。 第五代防火墙 第五代防火墙实际上就是现在所说的智能防火墙的前身，它的核心技术实际

15、上就是自适应代理技术。4 但是当今网络中的主要安全问题并不能被传统防火墙完全解决。当今网络中主要的三个安全问题是:首先是拒绝访问类型的网络攻击方式，然后是蠕虫类型的病毒传播，最后是代表容控制方式的垃圾电子。这三种类型的网络攻击在整个网络的攻击类型中占据了9成甚至以上。但在面对这三种类型的网络攻击时，传统防火墙都找不到地方下手。主要是下面三个原因: 第一个是防火墙硬件配置的问题。在计算机世界中，更快的计算能力意味着更强大的硬件配置，而更强大的硬件配置如此意味着更加昂贵的价格，而对于防火墙这种关乎一个企业命脉的东西计算能力自然是越强大越好，不过，技术的限制成了一个问题，最重要确实实本钱的问题。第二

16、是一般的防火墙其核心技术的表现仅仅是对数据，信息的过滤，很难起到非常大的作用。仅仅作为一个简易的条件过滤器，条件通过，那么数据就能通过，反之如此不能，如果攻击者计算一个相对复杂的攻击方式，那么这种防火墙在安全防护方面就很难做到面面俱到了。第三是传统防火墙不能区别识别好的和坏的行为。这样会带来非常大的坏处，因为当防火墙不能判断一个行为的好坏时，它不会做出有效的响应的，无论是什么行为，只要通过了它的条件判断，那么就是一棍打死制。但是随着技术的不断开展，各种电子，电器方面的产品更加的智能化。防火墙的智能化肯定也是在其中的。这样的话，防火墙一智能化，它就能对攻击进展判断，更好的保障企业的安全了。墙智能

17、防火墙是指只要没有程序的问题，已被公认为病毒防火墙程序，智能防火墙不要求用户，只有当不确定进程访问行动，才会请求用户帮助的防火墙。它不同于传统的防火墙，不能每个进程访问必须询问用户是否通过。有效克制了一般防火墙时常报警并且请求，不能帮助用户判断程序是否有问题，会给用户带来十分困扰的问题，这样它自己就会陷入死循环，导致十分严重的问题发生。5当一个企业或者用户使用防火墙之后，因为防火墙具有阻塞，控制的作用，这样的话网的安全能得到极大的保证，而且它能屏蔽那些未知的服务来达到减少安全危险的目的。防火墙只会任由通过了它检测的应用协议，因此网络的环境会被防火墙净化并不是空穴来风。例如，防火墙可以防止被称为

18、不安全的NFS协议和网络功能可得到保证，从而有效地阻止外部攻击者使用该协议来攻击部网络安全。保护网络不受路由之类的攻击不仅是防火墙一个重要功能之一。防火墙理论上可以保护网络不受以上全部类型攻击的报文再通知网络管理员。6每台计算机都是自带网络安全策略的，不过只要有了防火墙的介入，并且提前设置好防火墙部所拥有的网络安全策略之后，防火墙就能对这些安全策略进展统一的集中管理。这比安全策略们单独运行，一一实现要效率的多。比如当产生网络访问时，验证身份的系统就可以不必被分发到各个独立的主机上完成，而是集中在防火墙这一个系统上来。2.2.3对网络存取和访问进展监控审计7当所有的数据交流都被防火墙监控到的时候

19、，防火墙就能够记录下这些数据交流并且放到生成的日志文件中去，而且这些日志文件中也能记录下网络交流的统计数据。防火墙的报警会在检测到有嫌疑的机器操作时启动，并且网络是否遭受到其他监测以与攻击的更加详细的信息。此外，防火墙会采集网络的运用和误用情况来保障网络安全问题。首先是能够判断防火墙是否能够有效抵挡外来攻击，另一方面清晰了解防火墙的对网络的制约是不是达到了预期效果。可以使用网络防火墙的有效分割，实现网络的分割的一个重要环节，它可以限制网络安全问题在全球网络问题非常有效的影响。而且，还有一个重要的问题，即隐私，一个网中非常小的细节也有极大可能引起攻击者对这个网络的兴趣从而找到网络的漏洞来进展攻击

20、。运用防火墙可以覆盖那些部细节的泄露，就像finger，DNS和其他服务。与此同时在Finger上出现的信息轻易就能被攻击者得到。攻击者可以很容易的知道系统的频率，该系统是网络用户，系统能够攻击时有足够的反响时间等。防火墙同样能够阻断网络中的域名服务信息，只要防火墙这样做了，主机的ip地址和域名就很难被攻击者获悉了。 2.3防火墙分类82.3.1包过滤防火墙9在Linux中，包过滤的功能是对系统的直接影响核在系统的核心模块，或是在系统直接建立，虽然是经常看到只能是由来决定，不过还是有一些能够用在数据包上的技巧。当收到一个包时，包过滤防火墙就会对这些包判定通过或者否决它来达到包过滤的目的。更加具

21、体地说，包过滤是对每个数据包的头，按照它自己的一套规律来判断的，与规律配对成功的包由路由信息转发，不然就舍弃。根据数据报的源IP地址的包过滤，指定IP地址，协议类型，port端口，指定端口和信息和数据包传输方向信息来决定是否允许数据包通过源。包过滤还包含和服务有关的过滤，就是针对特殊的服务，进程，进展包过滤，因为大局部的服务的监听都停留在指定TCP/UDP端口，所以，作为屏障进入特殊服务环节，防火墙需要包括所有特殊的TCP / UDP目的端口报文丢弃它。这里我们会提到一个十分简单的包过滤类型的防火墙的运行情况：1包过滤硬件设备端口必要把包过滤规如此存起来。2会产生对报头的语法的分析，只要端口接

22、收到了。当然大局部的包过滤设备只检查IP、TCP头里面的片段。3包过滤规如此存储在一个特殊的方式。在包上面使用的那些顺序和规律是必须要和它之前已经设置好的顺序和规律一致，否如此是不会生效的。4只要当其中的一条规如此不能被通过，那么这个包就会被判定为无效包，是不会允许通过的。5反之只要一条规如此同意了包的通行，那么这个包才可以继续在防火墙中运行。6如果这个包连其中一条规如此都不能通过的话，那么这个包就可能通过防火墙的保护了，会直接被挡在门外。实际上这种类型的防火墙就是在防火墙上面运行代理程序，就像字面意思一样，但是呢代理程序只能在职能是网关的计算机上面运行，其中有两个局部组成了应用代理防火墙的运

23、行条件：一个局部与网络创建衔接，另一个局部与用户衔接，相当于在用户和部网之间多出一个中间人，受理他们之间的信息交换请求。只要有了代理服务，网用户才能快捷有效的通过作为网关的计算器的限制利用万维网的服务，而且那些不安全的用户群就不能正常的使用了，连他们的请求都是不能通过的。不同的代理服务技术和包过滤技术，是在部网络和外部网络之间没有直接的联系，同时提供日志和审计服务。代理技术在应用层实现防火墙功能，和包过滤技术不同，可以提供额外的安全防护。基于IP的智能识别技术的混合型防火墙，可以是一个完美的控制应用服务类别。而各类新兴技术的使用也使得这种防火墙的应用更加广泛，原理如图二。检查整个报文内容IP建

24、立连接状态表开始攻击TCP图二：复合型防火墙原理 这种防火墙算是囊括了包过滤防火墙的大局部容易实现的有点，在性能方面具有一定的优势，值得一提的是，在应用程序方面，可以说它是透明的，因此，它的安全性有较大提高。它不再是简单的包过滤技术只检查访问网络数据包，也关心数据包的状态。它会在防火墙核心设立起状态连接表，把进出网络的数据当做一些事件来处理。3企业网络安全分析现在企业中主要出现的网络问题大多以网速慢，开视频卡，无法进入公司部网络完成工作的问题。而且一般的公司员工对此也没太多防意识，当出现这些问题时就需要网络管理员注意了，哪怕事一个很小的问题，如网速变慢等，其最终结果也可能导致企业的巨大损失。A

25、RP协议包含在了TCPIP协议里面，主要目的是为了解决IP地址和MAC地址的对应关系。通过假冒的IP地址和MAC地址来欺骗ARP，这边是ARP攻击的原理，可以在当前局域网中生成非常多的APR通信量来达到网络阻塞的目的，而骇客只要利用这一点不断的向主机发送ARP响应包就能造成网络的中断。ARP攻击主要存在于局域网络中，当局域网中的一台电脑感染了ARP木马之后，这台电脑就会试图截获所在网络其他计算机的通信量，这会对计算机造成非常大的危害，特别是针对已经在网络中部署好了的计算机会发生信息交流的问题。攻击者会向主机A发送一个假冒的ARP响应，告诉主机A：主机B的IP地址对应的MAC地址是00-aa-0

26、0-62-c6-03，主机A将会信以为真，它会将这个ip和mac地址的对应编入自己的ARP缓存表中，再发送数据时，本来会发送给主机B的数据就会发给攻击的人。同样的，攻击者向主机B也发送一个假冒的ARP响应，告诉主机B：主机A的IP地址对应的MAC地址是00-aa-00-62-c6-03，主机B也会将数据发送给攻击者。这样一来的话我们就需要对802.1x协议进展配置了，才能尽量减少可能存在的那些arp攻击。是在端口的访问控制协议的根底下设立的协议，对用户的认证和授权操作就是由它来完成的。攻击者需要进展身份认证的连接开关与MAC VLAN，端口，密码，只有通过认证的网络数据传输。攻击者可以不经过授

27、权就能向网络发送假冒的ARP报文。如图三图三网络监控是一种工具，主要目的是监视网络的状态，数据流和信息传递过程和网络传输的信息。它可以将网络端口设置为监听模式，以此来截取网络上所传输的信息。对于企业危险的是当骇客侵入之后，并且取得了超级用户权限，使用网络监听便能非常容易的获得用户的账号密码信息，导致非常大的损失。10蠕虫病毒也是病毒，所以与其他电脑病毒具有一定的同性，通过感染系统重要文件来篡改文件代码，改变电脑系统、网络设置以此方式来造成损失。蠕虫病毒入侵过程一般情况下蠕虫病毒的攻击分为三步进展，分别是：扫描：在计算机上存在的漏洞会被蠕虫带有的扫描模组扫描到。只要预定程序向一个计算机发送检测漏

28、洞的信息并且收到存在的反响信息后，就相当于一个可传播的对象产生了。攻击：步骤一中的对象会被按照预定步骤被蠕虫病毒的攻击功能袭击，可以得到这个计算机的权限一般情况下是管理员权限，获得一个shell。复制：简单来说就是当老主机和新主机有任何互动的行为，蠕虫病毒就会自动复制进入新主机达到传播的目的。DoS是Denial of Service的简称，是一个拒绝服务，它虽然看似简单，但实际上产生的危害很大，因为他会阻止计算机或着网络提供正常有效的服务。最简单的Dos攻击非常容易实现，在Dos界面下，当两台电脑能够ping通的时候，不断的ping对方的ip地址，不断的发送数据包，这时对方电脑的网络就会阻塞

29、从而导致其他数据包发送的信息无法送达。Dos攻击非常实用的一点就是不需要收到来自受害计算机的回应，它只是单方面的发送很多无用的请求，因此很多的源ip地址都是伪造的，所以很多时候Dos攻击防不胜防，唯一有效的打击途径就是找出源ip对攻击者的身份和地址详查来打击Dos攻击。如果发生了一次标准的TCP连接，那么会产生一个需要三次握手的方式。第一是要求方发送一个SYN消息，另一方收到SYN后，会向要求方发送一个回应示意确认，当要求方收到这个回应后，会又一次向服务方发送一个回应ack消息，那就表示这一次TCP连接建立成功。“SYNFlooding如此不同，是只当TCP协议栈在两台计算机之间第一次连接握手

30、的过程进展DoS攻击，它只会在进攻时间的两个步骤：一是当服务回执要求SYN-ACK确认消息，请求方将使用源地址欺骗等方式使服务不接收响应ACK，这样的话服务方会在一段时间都会在等候接收要求方ACK消息的状态。另一方面TCP连接对一台服务器的连接状态是有限的，因为它们在建立连接的时候没有太多的存缓冲区，如果这一缓冲区全都是无效的连接的信息，这个服务器就不会对接下来的连接请求产生回应，直到缓冲区里的连接企图超时。当攻击者不断发送连接请求，服务器将使用TCP连接队列产生相当大的拥堵，可用资源的快速减少，网络可用带宽的迅速萎缩，所以，只有小局部的用户请求能够通过应答，因为带宽已经几乎被无效的请求占满了

31、，服务器就不能向广阔用户提供有效，安全的服务了。3.3.3Port Scan Attack(端口扫描攻击)在时间的源IP地址已经设置默认值是5000微秒到一样的目的地IP地址位于10个不同的端口密封包装，端口扫描攻击将产生。这个方式的目的是检索可用的服务，如果有一个端口响应，那么就能找出出作为目标的服务。在部记录从一个源位置检索不同的端口号的防火墙。运用默认配置，当远端主机在极短时间大约秒扫描了十个不同的port端口。防火墙把这个事件记录为port端口的扫描攻击，而且会否认这一秒剩下的时间从这个原地址发来的其他封包。3.3.4ICMP Flood(UDP泛滥)ICMP也是TCP/IP协议簇中的

32、一员，控制报文协议，它被用在在计算机和路由器中间传导用于控制路由的信息。控制信息代表类似于网络的通常度，主机能否达到，消息在网络中是否可用。类似这类消息就是我们所说的控制消息了，它不会对用户的数据产生影响，但对于用户传递数据来说是非常有用的。这是一个ICMP洪水攻击，发送超过65535字节的包的目标，使目标主机瘫痪，如果大量发送成为洪水攻击当有人发送一组端口扫描信息的时候，那就要小心了，可能是某些人想要入侵你的网络了。端口扫描实际上是在探测端口的弱点，通过找出这些弱点来入侵计算机。扫描器是一种程序，用于找到其他计算机或者本机的安全弱点，运行扫描器的话能够不留下痕迹的找到远端服务设备的各个TCP

33、端口的分配方式和提供的服务和它们的软件版本，这样的话能有效帮助我们知道那些远程计算机存在有哪些需要重视的安全方面的问题。4防火墙在企业中的应用配置首先防火墙本身需要具有强大的防攻击免疫力，这一点非常重要，自身非常难于攻破，否如此一切都是空话。正如它本身的字面意思一样，它就是一面墙，一面在网络与网络之间，网络与用户之间的墙，保护从网络到网络，网络到用户的数据安全可靠，不被侵犯。因此，防火墙本身一定要具有这种强大的免疫力。企业在选购防火墙的时候一定要注意购置信得过的大厂商，他们出产的产品不仅质量可靠，而且售后方面也很让人省心，如思科、华为等厂商的产品。防火墙的配置流程尽量简单，方便管理员配置，方便

34、网络出错时查找出问题根源。而管理也尽量简化，免得给管理员增添多余负担。因为防火墙本质上来讲也是硬件服务器，因此可升级与可扩展性就非常的重要了，随着企业的一步步壮大，需要防火墙做的处理也会越来越多，因此，留下足够的空间扩大，以适应未来变化的安全需求的快速开展，支持服务和新功能。防火墙应能防止网络病毒的传播，比等待更有效的其他攻击的到来，因为最好的防御就是攻击。电子是一种广泛使用的服务，让我们利用互联网服务非常方便，但是给我们带来便利的同时，也不可防止地产生一些麻烦。其中往往是Sendmail程序和SMTP协议带来的问题。为了解决这个问题，防火墙中必须要安装有SMAP和SMAPD这两个协议程序来达

35、到减少Sendmail的权利，通过控制一些SMTP的功能来减少命令，优化处理过程。Telnet服务主要用于访问论坛站点和实行远程调用。而问题就在于访问时口令的验证根本上都是明文验证。这样的话就会产生监听的问题，因此在配置防火墙时需要配置部的用户可以访问出站的Telnet服务，而入站的Telnet服务不能访问自己的站点，被严格的控制起来。服务这种方便强大的图形交互页面访问服务已经被全世界认可，但是也存在着一定的安全隐患。第一个就是协议，它允许远程用户对远程服务器请求通信与远程执行命令，这样Web服务器和用户就处在了危险的地步。另一个问题就是服务器日志，在Web服务器上会对所有使用者的数据以与要求

36、信息进展收录，如果不对这些要求设置一些限制，这样会带来一系列比拟麻烦的问题。不过也不用担心，我们可以使用防火墙设置代理服务器和加密通信来解决了。FTP下载服务的安全性也是非常重要的一环，很大程度上，FTP的安全性依靠于身份认证是否强大上。首先，匿名的用户不应该具有任何特殊的权限，否如此会导致不可估计的错误，并且要保证FTP的根目录访问权限被设置为了555read notwrite execute，把文件持有者的设置设置为ROOT来保证权限。 我们使用enable命令来启用这个以太端口，输入configure来进入这个模式 enable Password: #config t (config)#

37、interface ethernet0 auto (config)#interface ethernet1 auto 大多数情况下“以太0代表的是外部的网卡outside, “以太1代表的是部的网卡inside,Inside是在配置出厂设置时就会被配置成功并且产生作用的，不过outside需要用代码的方式设置启动。 外部端口outside拥有的顶级安全级别即Security0security100表示inside的安全级别,当其中仍存在其他以太端口，那么就用security10，security20等等来为它取名，多个网卡组成多个网络，如果你需要添加一个以太网端口，然后把它作为一个DMZ非军事

38、区的非军事区。 采用命令为：ip address 在大多数情况之下，telnet是不能在PIX的端口上面成功运行的，就这个方面来说它和路由器是不同的。部端口可以远程登录可以使用外部端口，但也有一些安全相关的配置。 (config)#telnet 192.168.1.1 255.255.255.0 inside (config)#telnet 222.20.16.1 255.255.255.0 outside 测试telnet 在开始-运行 PIX passwd:输入密码：cisco 这个功用与思科iOS根本相似，这是防火墙的主要组成局部，许可和拒绝两功能，其中的协议包含IP，TCP，UDP，I

39、CMP这些，就像：只有:的是能够被访问的,端口号是：八十 NAT跟路由器根本是一样的， 防火墙的操作呢就是首先要自己创立一个库，全部存放ip地址，然后通过这个库中的地址来进展地址的转换，实际上也是部的一个转换。 如果所有的部地址可以转换了： 但是在一些情况中，一些计算机必须要在外部地址十分稀少的时候利用一个独立的IP地址，这样的话亟待讨论的是某外部IP(222.20.16.201),那么就要设置好一条命令，我们叫它PAT，这样处理的话用户们就能更加有效的共用一个IP地址了,类似于代理服务器的局部功能。配置如下： 因为要更加有效的利用以与方便的管理在数量上不多的IP地址，我们在网中都会使用动态主

40、机分配IP地址服务器DHCP Server，思科防火墙PIX都能使用这能力，以下的就是一个容易设立的DHCP 服务器,地址段为 域名解析: 主要地址202.96.128.68 后备地址 主域名称： DHCP 客户 通过PIX 防火墙 PIX525(config)#ip address dhcp DHCP Server配置 insidePIX525(config)#dhcp domain显示命令show config保存命令write memory5结论通过本文对防火墙的大致介绍与细致讲解，分析了防火墙在企业中起到了何种关键的作用。可以说，企业大局部的网络安全，都取决于防火墙的优劣，而防火墙的配

41、置又要根据企业自己的实际情况由网络管理员来做出细致调整，以适应企业的业务和信息保护。而随着网络技术不断地更新换代，防火墙技术也需要不断地提高以适应这个时代节奏的开展，新技术的开发，老技术的更替，总之，在防火墙的应用上，我们更应该一步一步的向上攀爬，给企业的网络营造一个更加可靠，更加安全的环境。参考文献1王艳.浅析计算机安全J.电脑知识与技术.2010(s):1054-1055.2艾军.防火墙体系结构与功能分析J.电脑知识与技术.2004(s):79-82.3军锋.基于计算机网络安全防ARP攻击的研究J.工业学院学报.2009(s):15-204林.防火墙原理入门Z.E企业.2000.5百度百科

42、baike.baidu./link?url=YZYQiyT7OQf5k75lfNCwwdEUlepLfs-VrYbyaUfhz679Tyq-IYp99Lc4CUN2GdWvHmY4GNvXw-wsStpJWWzM_K6百度文库wenku.baidu./link?url=cKTDNMkntIzbaPP0vloFD-klaJWmF7Zpu3eXhZekusQosgO7Fe-eXR5d0bqK4ZHOQGzfd3acKvSyc7slTG9cW1VcBfAV6nDcUeBSyjx-erG7剑，美华，元大.分布式防火墙系统.安全与环境学报N.2002，2(l):59-618王卫平，文惠，朱卫未.防火墙技

43、术分析.信息安全与通信J.2006，(8):24-279A.Feldman,S.Muthukrishnan.TradeoffsforPacketClassifiCation.Proc.Ofthe9thAnnualJointConferenceoftheIEEEputerandmunieationsSoeieties.2000,vo1.3,1193-1202.10百度百科baike.baidu./link?url=UWPgRd_MbVbR0jnbwUTFlI692Ejl4YpFrttrojTm1fn5HUCdS6upnfONqDRkKjU5rznL07E0xR0y6N6YJ509q致 本文得到了来自指导教师乔少杰教师和小组给位同学们的共同帮助，正是因为有你们的帮助，我才能如此顺利的完成这篇论文。在这里尤其感我的指导教师乔少杰教师，不管是从题目的选取与确定，还是写作中途遇到的各种问题，以与写作末期在文章各种问题上的指导与帮助，可以说这篇文章没有您的帮助很难完成。感您的悉心指导！