防火墻課程設計

1、<p><b>　　目錄</b></p><p>　　1.課題研究的目的和意義1</p><p>　　1.1防火墻安全控制的背景1</p><p>　　1.2防火墻安全控制的目的1</p><p>　　1.3防火墻安全控制的意義2</p><p>　　2.防火墻安全控制程序原理

2、4</p><p>　　2.1防火墻安全控制概念4</p><p>　　2.2防火墻安全控制基本原理4</p><p>　　2.3防火墻安全控制常用技術5</p><p>　　2.4防火墻安全控制程序的IP過濾功能7A</p><p>　　3.防火墻安全控制程序總體結(jié)構9</p><p&g

3、t;　　3.1防火墻安全控制程序設計整體架構9</p><p>　　3.2 防火墻安全控制拓撲圖及其分析9</p><p>　　3.3防火墻防火墻安全控制部署方案11</p><p>　　4.防火墻安全控制程序詳細設計14</p><p>　　4.1開發(fā)環(huán)境14</p><p>　　4.2防火墻安全控制程序的

4、實現(xiàn)方法14</p><p>　　4.3主要模塊的程序?qū)崿F(xiàn)15</p><p>　　5.系統(tǒng)結(jié)果與分析18</p><p>　　6.總結(jié)與展望20</p><p><b>　　6.1總結(jié)20</b></p><p><b>　　6.2展望20</b></p&

5、gt;<p><b>　　參考文獻22</b></p><p>　　1.課題研究的目的和意義</p><p>　　1.1防火墻安全控制的背景</p><p>　　據(jù)了解，從1997年底至今，我國的政府部門、證券公司、銀行等機構的計算機網(wǎng)絡相繼遭到多次攻擊。公安機關受理各類信息網(wǎng)絡違法犯罪案件逐年劇增，尤其以電子郵件、特洛伊木馬、

6、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國大量的網(wǎng)絡基礎設施和網(wǎng)絡應用依賴于外國的產(chǎn)品和技術，在電子政務、電子商務和各行業(yè)的計算機網(wǎng)絡應用尚處于發(fā)展階段，以上這些領域的大型計算機網(wǎng)絡工程都由國內(nèi)一些較大的系統(tǒng)集成商負責。有些集成商仍缺乏足夠?qū)I(yè)的安全支撐技術力量，同時一些負責網(wǎng)絡安全的工程技術人員對許多潛在風險認識不足。缺乏必要的技術設施和相關處理經(jīng)驗。也正是由于受技術條件的限制，很多人對網(wǎng)絡安全的意識僅停留在如何防范病毒階段，

7、對網(wǎng)絡安全缺乏整體意識。</p><p>　　隨著網(wǎng)絡的逐步普及，網(wǎng)絡安全的問題已經(jīng)日益突。它關系到互連網(wǎng)的進一步發(fā)展和普及，甚至關系著互連網(wǎng)的生存。目前在互連網(wǎng)上大約有將近80%以上的用戶曾經(jīng)遭受過黑客的困擾，而與此同時，更讓人不安的是，互連網(wǎng)上病毒和黑客的聯(lián)姻、不斷增多的黑客網(wǎng)站，使學習黑客技術、獲得黑客攻擊工具變的輕而易舉。這樣，使原本就十分脆弱的互連網(wǎng)越發(fā)顯得不安全。</p><p&g

8、t;　　1.2防火墻安全控制的目的</p><p>　　一般的防火墻都可以達到以下目的：①限制他人進入內(nèi)部網(wǎng)絡，過濾掉不安全的服務和非法用戶；②防止入侵者接近內(nèi)部網(wǎng)絡的防御設施；③限制人們訪問特殊站點；④為監(jiān)視Internet安全提供方便。由于防火墻是一種被動技術，因此對內(nèi)部的非法訪問難以有效控制，防火墻適合于相對獨立的網(wǎng)絡。由于防火墻是網(wǎng)絡安全的一個屏障，因此一個防火墻能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過

9、濾不安全的服務來降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡安全環(huán)境變得更安全。例如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護的網(wǎng)絡，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡。防火墻還可以同時保護網(wǎng)絡免受基于路由的攻擊。而網(wǎng)絡安全控制是指網(wǎng)絡系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，網(wǎng)絡服務不中斷。計算機和網(wǎng)絡技術具有的

10、復雜性和多樣性，使得計算機和網(wǎng)絡安全成為一個需要持續(xù)更新和提高的領域。</p><p>　　1.3防火墻安全控制的意義</p><p>　　現(xiàn)在網(wǎng)絡的觀念已經(jīng)深入人心，越來越多的人們通過網(wǎng)絡來了解世界，人們的日常生活也越來越依靠網(wǎng)絡進行。同時網(wǎng)絡攻擊也愈演愈烈，時刻威脅著用戶上網(wǎng)安全，網(wǎng)絡與信息安全已經(jīng)成為當今社會關注的重要問題之一。正是因為安全威脅的無處不在，為了解決這個問題防火墻出現(xiàn)了

11、。在互連網(wǎng)上防火墻是一種非常有效的網(wǎng)絡安全模型，通過它可以隔離風險區(qū)域(即Internet或有一定風險的網(wǎng)絡)與安全區(qū)域(局域網(wǎng))的連接，同時不會妨礙人們對風險區(qū)域的訪問，而有效的控制用戶的上網(wǎng)安全。防火墻是實施網(wǎng)絡安全控制得一種必要技術，它是一個或一組系統(tǒng)組成，它在網(wǎng)絡之間執(zhí)行訪問控制策略。實現(xiàn)它的實際方式各不相同，但是在原則上，防火墻可以被認為是這樣同一種機制：攔阻不安全的傳輸流，允許安全的傳輸流通過。特定應用程序行為控制等獨特的自

12、我保護機制使它可以監(jiān)控進出網(wǎng)絡的通信信息，僅讓安全的、核準了的信息進入；它可以限制他人進入內(nèi)部網(wǎng)絡，過濾掉不安全服務和非法用戶；它可以封鎖特洛伊木馬，防止機密數(shù)據(jù)的外泄；它可以限定用戶訪問特殊站點，禁止用戶對某些內(nèi)容不健康站點的訪問；它還可以為監(jiān)視互聯(lián)網(wǎng)的安全提供方便?，F(xiàn)在國外的優(yōu)秀防火墻不但能完成以上介紹</p><p>　　2.防火墻安全控制程序原理</p><p>　　2.1防火墻安

13、全控制概念</p><p>　　防火墻【1】的本義原是指古代人們在建造木制結(jié)構的房屋時，為防止火災時不會蔓延到別的房屋而在房屋周圍堆砌的石塊，而計算機網(wǎng)絡中所說的防火墻，是指隔離在本地網(wǎng)絡與外界網(wǎng)絡之間的一道防御系統(tǒng)，是這一類防范措施的總稱。</p><p>　　所謂防火墻指的是一個由軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障.是一種獲取安全性方

14、法的形象說法，它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關【2】（Security Gateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網(wǎng)關4個部分組成，防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件或硬件。該計算機流入流出的所有網(wǎng)絡通信均要經(jīng)過此防火墻。</p><p>　　2.2防火墻安全控制基本原理</p

15、><p>　　最簡單的防火墻是以太網(wǎng)橋，一些應用型的防火墻只對特定類型的網(wǎng)絡連接提供保，還有一些基于硬件的防火墻產(chǎn)品其實應該歸入安全路由器一類。因為他們的工作方式都是一樣的：分析出入防火墻的數(shù)據(jù)包，決定接受還是拒絕。所有的防火墻都具有IP地址過濾功能。這項任務要檢查IP包頭，根據(jù)其IP源地址和目標地址作出放行／丟棄決定。</p><p>　　防火墻就如一道墻壁，把內(nèi)部網(wǎng)絡（也稱私人網(wǎng)絡）和外部

16、網(wǎng)絡（也稱公共網(wǎng)絡）隔離開，起到區(qū)域網(wǎng)絡不同安全區(qū)域的防御性設備的作用。例如：互聯(lián)網(wǎng)絡（internet）與企業(yè)內(nèi)部網(wǎng)絡（intranet）之間，如圖2-1所示。</p><p>　　圖2-1內(nèi)部網(wǎng)絡和外部網(wǎng)絡</p><p>　　其中DMZ(demilitarized zone)【3】的縮寫中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡不能訪問內(nèi)部網(wǎng)絡服務器的

17、問題，而設立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的小網(wǎng)絡區(qū)域內(nèi)，在這個小網(wǎng)絡區(qū)域內(nèi)可以放置一些必須公開的服務器設施，如企業(yè)Web服務器、FTP服務器和論壇等。另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護了內(nèi)部網(wǎng)絡，因為這種網(wǎng)絡部署，比起一般的防火墻方案，對攻擊者來說又多了一道關卡。</p><p>　　根據(jù)已經(jīng)設置好的安全規(guī)則，決定是允許（allow）或者拒絕（de

18、ny）內(nèi)部網(wǎng)絡和外部網(wǎng)絡的連接，如圖2-2所示。</p><p>　　2.3防火墻安全控制常用技術</p><p>　　2.3.1防火墻技術</p><p>　　網(wǎng)絡安全所說的防火墻(Fire Wall)是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)。它使得內(nèi)部網(wǎng)絡與因特網(wǎng)之間或與其它外部網(wǎng)絡之間互相隔離、限制網(wǎng)絡互訪，用來保護內(nèi)部網(wǎng)絡。防火墻通常安裝在內(nèi)部網(wǎng)與外部網(wǎng)的連接點

19、上。所有來自Internet（外部網(wǎng)）的傳輸信息或從內(nèi)部網(wǎng)發(fā)出的信息都必須穿過防火墻。</p><p>　　圖2-2內(nèi)部網(wǎng)絡與外部網(wǎng)絡的連接</p><p>　　2.3.2數(shù)據(jù)加密技術</p><p>　　數(shù)據(jù)加密【4】技術就是對信息進行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無法獲取信息、的真實內(nèi)容的一種技術手段。數(shù)據(jù)加密技術是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，

20、防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。</p><p>　　數(shù)據(jù)加密技術按作用不同可分為數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別以及密匙管理技術4種。數(shù)據(jù)存儲加密技術是以防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密為目的，可分為密文存儲和存取控制兩種;數(shù)據(jù)傳輸加密技術的目的是對傳輸中的數(shù)據(jù)流加密，常用的有線路加密和端口加密兩種方法;數(shù)據(jù)完整性鑒別技術的目的是對介入信息的傳送、存取、處理人的身份和相關數(shù)據(jù)內(nèi)容進行驗證，達到保密的要

21、求，系統(tǒng)通過對比驗證對象輸入的特征值是否符合預先設定的參數(shù)，實現(xiàn)對數(shù)據(jù)的安全保護。</p><p>　　2.3.3系統(tǒng)容災技術</p><p>　　集群技術是一種系統(tǒng)級的系統(tǒng)容錯技術，通過對系統(tǒng)的整體冗余和容錯來解決系統(tǒng)任何部件失效而引起的系統(tǒng)死機和不可用問題。集群系統(tǒng)可以采用雙機熱備份、本地集群網(wǎng)絡和異地集群網(wǎng)絡等多種形式實現(xiàn)，分別提供不同的系統(tǒng)可用性和容災性。其中異地集群網(wǎng)絡的容災性是

22、最好的。存儲、備份和容災技術的充分結(jié)合，構成的數(shù)據(jù)存儲系統(tǒng)，是數(shù)據(jù)技術發(fā)展的重要階段。隨著存儲網(wǎng)絡化時代的發(fā)展，傳統(tǒng)的功能單一的存儲器，將越來越讓位于一體化的多功能網(wǎng)絡存儲器。</p><p>　　2.3.4入侵檢測技術</p><p>　　入侵檢測【5】技術是從各種各樣的系統(tǒng)和網(wǎng)絡資源中采集信息（系統(tǒng)運行狀態(tài)、網(wǎng)絡流經(jīng)的信息等），并對這些信息進行分析和判斷。通過檢測網(wǎng)絡系統(tǒng)中發(fā)生的攻擊行

23、為或異常行為，入侵檢測系統(tǒng)可以及時發(fā)現(xiàn)攻擊或異常行為并進行阻斷、記錄、報警等響應，從而將攻擊行為帶來的破壞和影響降至最低。同時，入侵檢測系統(tǒng)也可用于監(jiān)控分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、識別異常行為和攻擊行為（通過異常檢測和模式匹配等技術）、對攻擊行為或異常行為進行響應、審計和跟蹤等。 </p><p>　　2.4防火墻安全控制程序?qū)υ碔P地址和目的IP過濾功能</p><p>　

24、　所有基于Windows操作系統(tǒng)的個人防火墻核心技術在于Windows操作系統(tǒng)下數(shù)據(jù)包攔截技術。包過濾系統(tǒng)工作在OSI模型中的網(wǎng)絡層，可以根據(jù)數(shù)據(jù)包報頭等信息來制定規(guī)則。數(shù)據(jù)包過濾是包過濾路由器可以決定對它所收到的每個數(shù)據(jù)包的取舍。是基于路由器技術的，建立在網(wǎng)絡層、傳輸層上。路由器對每發(fā)送或接收來的數(shù)據(jù)包審查是否與某個包過濾規(guī)則相匹配。包過濾規(guī)則即訪問控制表，通過檢查每個分組的源IP地址、目的地址來決定該分組是否應該轉(zhuǎn)發(fā)。如果找到一個匹

25、配，且規(guī)則允許該數(shù)據(jù)包通過，則該數(shù)據(jù)包根據(jù)路由表中的信息向前轉(zhuǎn)發(fā)。如果找到一個與規(guī)則不相匹配的，且規(guī)則拒絕此數(shù)據(jù)包，則該數(shù)據(jù)包將被舍棄。 包過濾系統(tǒng)的工作流程圖如圖2-3所示</p><p>　　圖2-3 防火墻過濾系統(tǒng)工作流程</p><p>　　3.防火墻安全控制程序總體結(jié)構</p><p>　　3.1防火墻安全控制程序設計整體架構</p><

26、;p>　　如圖3-1所示，如果內(nèi)部網(wǎng)絡地址為10.0.1.1的主機希望訪問Internet上地址為202.0.1.1的Web服務器，那么它就會產(chǎn)生一個源地址S=10.0.1.1，目的地址為202.0.1.1的分組為1。NAT常與代理、防火墻技術一起使用。在防火墻中起到了重要的作用。</p><p><b>　　圖3-1工作原理圖</b></p><p>　　防火

27、墻安全控制程序設計的實現(xiàn)框圖如圖3-2所示:</p><p>　　3.2 防火墻安全控制拓撲圖及其分析</p><p>　　分層設計將一個規(guī)模較大的網(wǎng)絡系統(tǒng)分為幾個較小的層次，這些層次之間既相對獨立又相對關聯(lián)，他們之間可以看做是一個層次疊加的關系。每一層都有自己特定的作用。</p><p>　　核心層主要高速處理數(shù)據(jù)流，提供節(jié)點之間的高速數(shù)據(jù)轉(zhuǎn)發(fā)，優(yōu)化傳輸鏈路，并實

28、現(xiàn)安全通信。從網(wǎng)絡設計來看，它的結(jié)構相對簡單，但是對核心層的設備性能的十分嚴格。一般采用高性能的多層模塊化交換機，并要盡量減少核心層的路由器配置的復雜程度，并且核心層設備應該具有足夠的路由信息，將數(shù)據(jù)包發(fā)往網(wǎng)絡中的任意目的主機。</p><p>　　圖3-2防火墻安全控制程序設計實現(xiàn)框圖</p><p>　　匯聚層主要提供基于策略的網(wǎng)絡連接，負責路由聚合，收斂數(shù)據(jù)流量，將網(wǎng)絡服連接到接入層

29、。匯聚層是核心層與接入層的分界面，接入層經(jīng)常處于變化之中，為了避免接入層的變化對核心層的影響，可以利用匯聚層隔離接入層拓撲結(jié)構的變化，是核心層的交換機處于穩(wěn)定，不受外界的干擾。</p><p>　　圖3-3 防火墻安全控制拓撲圖</p><p>　　接入層為用戶提供網(wǎng)絡訪問功能，并負責將網(wǎng)絡流量饋入到匯聚層，執(zhí)行用戶認證和訪問控制，并提供相關的網(wǎng)絡服務。接入層一般采用星型的拓撲結(jié)構，而且一

30、般不提供路由功能，也不進行路由信息的交換。</p><p>　　通過這樣三層的網(wǎng)絡設計，可以將網(wǎng)絡分解程序多的小單元，降低了網(wǎng)絡的整體復雜性；可以使網(wǎng)絡更容易的處理廣播風暴、信號循環(huán)問題；而且分層的設計模型降低了設備配置的復雜性，網(wǎng)絡故障也會更容易的排除，是網(wǎng)絡更容易的管理，使企業(yè)的網(wǎng)絡更安全、穩(wěn)定。</p><p>　　3.3防火墻防火墻安全控制部署方案</p><p

31、>　　防火墻是一個或一組系統(tǒng),隔離堡壘主機通過運行在其上面的防火墻軟件，控制應用程序的轉(zhuǎn)發(fā)以及提供其他服務，它在網(wǎng)絡之間執(zhí)行訪問控制策略,同時也是一種綜合性的技術，涉及計算機網(wǎng)絡技術、密碼技術安全技術、軟件技術、安全協(xié)議、網(wǎng)絡標準化組織的服務。</p><p>　　防火墻的主要實現(xiàn)功能：</p><p>　　1.防止外部的IP地址欺騙：IP地址欺騙是一種常見的對企業(yè)內(nèi)部服務器的攻擊手

32、段外部網(wǎng)的攻擊者將其數(shù)據(jù)包的源地址偽裝成內(nèi)部網(wǎng)合法的IP 地址或Loopback 地址，以繞過防火墻，實現(xiàn)非法訪問?？梢栽诜阑饓Φ娜趾徒涌谂渲弥?，通過命令來實現(xiàn)防止外部IP地址的欺騙.</p><p>　　2.控制內(nèi)部網(wǎng)的非法IP 地址進入外部網(wǎng);通過設置訪問列表，可以控制內(nèi)部網(wǎng)的哪些機器可以進入外部網(wǎng)，哪些機器不可以進入外部網(wǎng)，保障內(nèi)部網(wǎng)的安全和可靠。</p><p>　　3.對內(nèi)部網(wǎng)

33、資源主機的訪問控制：企業(yè)內(nèi)部網(wǎng)的服務器是非法訪問者的重點攻擊對象，同時它又必須為外部用戶提供一定的服務，對于特定的服務器，可以只允許訪問特定的服務。也就是說，對于Web 服務器只允許訪問Web 服務；而對FTP服務器，只允許訪問FTP 服務。</p><p>　　4.防止外部的ICMP重定向欺騙</p><p>　　5.防止外部的資源路由選擇欺騙</p><p>　

34、　6.對撥號上網(wǎng)用戶的訪問控制</p><p>　　7.防止內(nèi)部用戶盜用IP方法</p><p>　　8.防止對路由器的攻擊</p><p>　　9.內(nèi)部網(wǎng)絡流量的控制</p><p>　　防火墻的核心技術：包過濾防火墻【6】。包過濾防火墻也稱為訪問控制表或屏蔽路由器，它通過查看所流經(jīng)的數(shù)據(jù)包，根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包，并根據(jù)是否與

35、規(guī)則匹配來決定是否讓該數(shù)據(jù)包通過。包過濾防火墻將對每一個接收到的包做出允許或拒絕的決定。具體地講，它針對每一個數(shù)據(jù)報的報頭，按照包過濾規(guī)則進行判定，與規(guī)則相匹配的包依據(jù)路由信息繼續(xù)轉(zhuǎn)發(fā)，否則就丟棄。包過濾是在IP層實現(xiàn)的，包過濾根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議類型（TCP包、UDP包、ICMP包）、源端口、目的端口等報頭信息及數(shù)據(jù)包傳輸方向等信息來判斷是否允許數(shù)據(jù)包通過。包過濾也包括與服務相關的過濾，這是指基于特定的服務進行包

36、過濾，由于絕大多數(shù)服務的監(jiān)聽都駐留在特定TCP/UDP端口，因此，為阻斷所有進入特定服務的鏈接，防火墻只需將所有包含特定TCP/UDP目的端口的包丟棄即可。</p><p><b>　　包過濾的原則：</b></p><p>　　(1)包過濾規(guī)則必須被包過濾設備端口存儲起來。 </p><p>　　(2)當包到達端口時，對包報頭進行語法分析。大

37、多數(shù)包過濾設備只檢查IP、TCP、或UDP報頭中的字段。 </p><p>　　(3)包過濾規(guī)則以特殊的方式存儲。應用于包的規(guī)則的順序與包過濾器規(guī)則存儲順序必須相同。 </p><p>　　(4)若一條規(guī)則阻止包傳輸或接收，則此包便不被允許。 </p><p>　　(5)若一條規(guī)則允許包傳輸或接收，則此包便可以被繼續(xù)處理。 </p><p>

38、　　(6)若包不滿足任何一條規(guī)則，則此包便被阻塞。</p><p>　　4.防火墻安全控制程序詳細設計</p><p><b>　　4.1開發(fā)環(huán)境</b></p><p>　　Visual C++6.0【7】簡稱VC或者VC6.0. 是一個基于Windows操作系統(tǒng)的可視化集成開發(fā)環(huán)境（integrated development enviro

39、nment，IDE）。Visual C++6.0由許多組件組成，包括編輯器、調(diào)試器以及程序向?qū)ppWizard、類向?qū)lass Wizard等開發(fā)工具。 這些組件通過一個名為Developer Studio的組件集成為和諧的開發(fā)環(huán)境。</p><p>　　Visual C++它大概可以分成三個主要的部分：</p><p>　　Developer Studio，這是一個集成開發(fā)環(huán)境，我們

40、日常工作的99%都是在它上面完成的，Developer Studio提供了一個很好的編輯器和很多Wizard，但實際上它沒有任何編譯和鏈接程序的功能。</p><p>　　MFC，從理論上來講，MFC也不是專用于Visual C++，Borland C++，C++Builder和Symantec C++同樣可以處理MFC。</p><p>　　Platform SDK，這才是Visual

41、C++和整個Visual Studio的精華和靈魂，Platform SDK是以Microsoft C/C++編譯器為核心，配合MASM，輔以其他一些工具和文檔資料。</p><p>　　4.2防火墻安全控制程序的實現(xiàn)方法</p><p>　　這次設計的重點在于防火墻安全控制程序的配置，在配置防火墻的過程中，重點在于設置NAT和ACL，NAT用來配置內(nèi)網(wǎng)計算機訪問外網(wǎng)時的地址轉(zhuǎn)換，保證內(nèi)網(wǎng)

42、與外網(wǎng)的計算機相互之間能夠成功地訪問對方。ACL是訪問控制，主要用來設置內(nèi)網(wǎng)計算機的訪問權限，通過配置ACL，可以禁止或允許內(nèi)網(wǎng)中的計算機之間的相互訪問以及內(nèi)網(wǎng)計算機訪問外網(wǎng)。防火墻是在內(nèi)網(wǎng)和外網(wǎng)中設置的氣到網(wǎng)絡安全的。實現(xiàn)防火墻技術的實驗就需要建立內(nèi)部網(wǎng)絡、外部網(wǎng)絡，內(nèi)部網(wǎng)絡和外部網(wǎng)絡中的局域網(wǎng)都是通過交換機來設計的。</p><p>　　首先是內(nèi)部網(wǎng)絡是將PC2、Edge和Core連接起來，然后利用超級終端軟

43、件對各個設備進行配置， 配置如下：首先在PC2計算機中對網(wǎng)絡地址進行配置，IP地址設置為10.10.10.15，子網(wǎng)掩碼為255.255.255.0；其次對交換機2626B進行配置，將其分為多個局域網(wǎng)，此次實驗只分配Vlan 1，其IP地址的范10.1.1.3/24。</p><p>　　其次是對HP ProCurve 5308xl三層交換機，其背板交換引擎速度為76.8G bps，吞吐量高達48mpps，并配置

44、雙冗余電影，保證核心層高速、可靠的三層交換；給它配置兩個Vlan，Vlan 1的地址為10.1.1.1/24，Vlan 10的地址為10.10.110.1/24，并在vlan 10上配置中繼端口B1，在vlan 1上配置中繼端口在vlan 10上配置中繼端口B2，啟用三層轉(zhuǎn)發(fā)協(xié)議。</p><p>　　在內(nèi)部網(wǎng)絡的各個設備設置完后，嘗試使用PC2 ping 7102A的出口地址，但是因為缺少路由，所以ping不通

45、。所以我們還需要在5308上寫上內(nèi)網(wǎng)默認路由，在7102A上添加10.10.110.0網(wǎng)絡的出口路由，指令如下：</p><p>　　Core(config)#Ip route 0.0.0.0 0.0.0.0 10.1.1.2</p><p>　　NAT (config)#Ip route 10.10.10.15 255.255.255.0 10.1.1.1</p><

46、p>　　添加上默認路由后，內(nèi)部網(wǎng)絡即構建完畢。如果從PC2 ping 7102A的出口地址10.1.1.2，不通的話，還需要認真的檢查確保各vlan或端口之間的tagged和untagged配置是否正確。</p><p>　　4.3主要模塊的程序?qū)崿F(xiàn)</p><p><b>　　具體程序如下：</b></p><p>　　typedef

47、struct IpHeader</p><p>　　{ UCHAR iph VerLen； // 版本號和頭長度</p><p>　　UCHAR ipTos； // 服務類型</p><p>　　USHORT ipLength； // 總的數(shù)據(jù)包大小</p><p>　　USHORT ipID； // 特殊標識符</p><

48、;p>　　USHORT ipFlags； // 標志</p><p>　　USHORT ipTTL； // 生存期</p><p>　　UCHAR ipProtocol； // 協(xié)議</p><p>　　USHORT ipChecksum； // 數(shù)據(jù)包檢驗和</p><p>　　ULONG ipSource； // 源地址</p

49、><p>　　ULONG ipDestination； // 目的地址</p><p>　　} IPPacket；</p><p>　?。?）TCP數(shù)據(jù)包數(shù)據(jù)結(jié)構</p><p><b>　　TCP數(shù)據(jù)定義：</b></p><p>　　typedef struct_TCPHeader</p&g

50、t;<p>　　{ USHORT sourcePort； // 源端口號</p><p>　　USHORT destinationPort； // 目的端口號</p><p>　　ULONG sequenceNumber； // 序號</p><p>　　ULONG acknowledgeNumber； // 確認序號</p><p

51、>　　UCHAR dataoffset； // 數(shù)據(jù)指針</p><p>　　UCHAR flags； // 標志</p><p>　　USHORT windows； // 窗口大小</p><p>　　USHORT checksum； // 校驗和</p><p>　　USHORT urgentPointer； // 緊急指針<

52、/p><p>　　} TCPHeader；</p><p>　?。?）UDP數(shù)據(jù)包數(shù)據(jù)結(jié)構</p><p><b>　　UDP數(shù)據(jù)定義：</b></p><p>　　typedef struct_UDPHeader</p><p>　　{ USHORT sourcePort； // 源端口號</

53、p><p>　　USHORT destinationPort； // 目的端口號</p><p>　　USHORT len； // 封包長度</p><p>　　USHORT checksum； // 校驗和</p><p>　　} UDPHeader；</p><p>　　（4）過濾規(guī)則的設計</p>&l

54、t;p><b>　　過濾規(guī)則定義：</b></p><p>　　struct CIPFilter</p><p>　　{ USHORT protocol； // 使用的協(xié)議</p><p>　　ULONG sourceIP； // 源IP地址</p><p>　　ULONG destinationIP； // 目標

55、IP地址</p><p>　　ULONG sourceMask； // 源地址屏蔽碼</p><p>　　ULONG destinationMask； // 目的地址屏蔽碼</p><p>　　USHORT sourcePort； // 源端口號</p><p>　　USHORT destinationPort； // 目的端口號</p

56、><p>　　BOOLEAN bDrop； // 是否丟棄此封包</p><p><b>　　}；</b></p><p><b>　　規(guī)則列表定義：</b></p><p>　　struct CFilterList</p><p>　　{ CIPFilter ipf； // 過

57、濾規(guī)則</p><p>　　CFilterList* pNext； // 指向下一個CFilterList結(jié)構</p><p><b>　　}；</b></p><p><b>　　5.系統(tǒng)結(jié)果與分析</b></p><p>　　在超級終端上的命令是：</p><p>　　2

58、626B(config)#Vlan 1 </p><p>　　2626B(Vlan-1)#ip address 10.1.1.3/24</p><p>　　2626B(Vlan-1)#Vlan 110 tagged 25</p><p>　　調(diào)試結(jié)果如圖5-1所示：</p><p><b>　　圖5-1調(diào)試結(jié)果</b>&

59、lt;/p><p>　　設置局域網(wǎng)Vlan 1：</p><p>　　Core (config)#Vlan 1 </p><p>　　Core（Vlan-1）# ip address 10.1.1.1/24</p><p>　　Core（Vlan-1）#tagged B2</p><p>　　設置局域網(wǎng)Vlan 10：&l

60、t;/p><p>　　Core (config)#Vlan 10 ip address 10.10.110.1/24</p><p>　　Core (config)#Vlan 110 tagged B1</p><p>　　調(diào)試結(jié)果如圖5-2所示：</p><p>　　給7102的兩個以太網(wǎng)口配置地址，并激活。ETH0/1的地址為10.1.1.2

61、/24，ETH0/2的地址為202.100.1.2/24，指令如下：</p><p>　　NAT (config)#interface Ethernet 0/1</p><p>　　NAT (config-eth 0/1)#ip address 10.1.1.2 255.255.255.0</p><p>　　NAT (config-eth 0/1)#no shut

62、down</p><p>　　NAT (config)#interface Ethernet 0/2</p><p>　　NAT (config-eth 0/2)#ip address 202.100.1.2 255.255.255.0</p><p>　　運行如圖5-3所示：</p><p><b>　　圖5-2調(diào)試結(jié)果</

63、b></p><p><b>　　圖5-3 調(diào)試結(jié)果</b></p><p><b>　　6.總結(jié)與展望</b></p><p><b>　　6.1總結(jié)</b></p><p>　　課程設計是培養(yǎng)學生綜合運用所學知識,發(fā)現(xiàn),提出,分析和解決實際問題,鍛煉實踐能力的重要環(huán)節(jié)

64、,是對學生實際工作能力的具體訓練和考察過程.　　</p><p>　　回顧起此次課程設計，至今我仍感慨頗多，從理論到實踐，在整整兩星期的日子里，不僅鞏固了以前所學過的知識，而且學到了很多在書本上所沒有學到過的知識。這次課程設計使我懂得了理論與實際相結(jié)合是很重要的，只有把所學的理論知識與實踐相結(jié)合起來，才能提高自己的實際動手能力和獨立思考的能力。我們通過查閱大量有關資料，并在小組中互相討論，交流經(jīng)驗和自學，若遇到實

65、在搞不明白的問題就會及時請教老師，使自己學到了不少知識，收獲同樣巨大。也使我也發(fā)現(xiàn)了自身存在的不足之處，理論知識掌握不夠，運用到實踐的過程中就會有很多困惑，經(jīng)過一番努力才得以解決。這也激發(fā)了我今后努力學習的興趣，我想這將對我以后的學習產(chǎn)生積極的影響。</p><p>　　通過這次設計，我懂得了學習的重要性，了解到理論知識與實踐相結(jié)合的重要意義，學會了堅持、耐心和努力，這將為自己今后的學習和工作做出了最好的榜樣&l

66、t;/p><p><b>　　6.2展望</b></p><p>　　網(wǎng)絡已成為人們生活當中信息來源不可缺少的一部分，網(wǎng)絡的安全是每位用戶必須了解的常識，可見人們追求的操作系統(tǒng)不僅僅是新鮮、易用，更多的是安全、穩(wěn)定、高效、免費、開源。 </p><p>　　未來防火墻的發(fā)展方向：第一，防火墻的性能將不斷突破。隨著網(wǎng)絡應用的不斷豐富，網(wǎng)絡帶寬需求會不

67、斷的增長，并對防火墻的性能提出更高的要求，滿足千兆、萬兆以及更高的帶寬要求是防火墻發(fā)展的一個方向。第二，防火墻將不斷的深入應用防護。隨著網(wǎng)絡安全技術的發(fā)展，網(wǎng)絡層和操作系統(tǒng)的漏洞將越來越少，但應用層的安全問題卻越來越突出，防火墻將會把更多的注意力放在深度應用防護上，不斷挖掘應用防護的深度。第三，防火墻將支持更多的應用層協(xié)議。對應用協(xié)議支持的廣度，也是防火墻的發(fā)展趨勢，它將支持更多新的應用協(xié)議，使更多的應用程序能和防火墻協(xié)同工作。第四，防

68、火墻將作為企業(yè)安全管理平臺的一個組件。隨著安全管理平臺的發(fā)展，未來企業(yè)所有的安全設備將由安全管理平臺統(tǒng)一調(diào)度和管理，防火墻需要向安全管理平臺提供安全策略管理接口、安全事件管理接口、安全審計接口。第五，防火墻將更可靠、更智能化。一方面，防火墻越來越穩(wěn)定可靠，同時也更趨于智能化，并將解決IPV6未來會出現(xiàn)的安全問題</p><p>　　未來防火墻的操作系統(tǒng)會更安全。隨著算法和芯片技術的發(fā)展，防火墻會更多地參與應用層分