摘 要：在信息技術(shù)不斷發(fā)展進步的今天，計算機的網(wǎng)絡(luò)安全技術(shù)成為了網(wǎng)絡(luò)發(fā)展的重要前提。網(wǎng)絡(luò)安全有其先天的脆弱性，所以在面對網(wǎng)絡(luò)黑客攻擊的危險性和破壞手段多樣性的問題上，提高防火墻技術(shù)是解決網(wǎng)絡(luò)安全問題的重要手段和措施。防火墻運用的核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個相對安全子網(wǎng)環(huán)境。文章重點介紹防火墻的定義和分類，功能特性，設(shè)備管理和基本配置。

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；技術(shù)

引言

隨著網(wǎng)絡(luò)的普及和推廣，電子商務(wù)的規(guī)模越來越大，網(wǎng)絡(luò)安全已經(jīng)不僅僅是科技人員和少數(shù)黑客所涉足的領(lǐng)域，龐大的網(wǎng)絡(luò)用戶也必須進行了解和掌握，以便能夠在網(wǎng)絡(luò)交易中確保自己財產(chǎn)和個人信息的安全，如何更有效的保護重要信息數(shù)據(jù)，已經(jīng)成了全世界共同關(guān)注的話題，防火墻可以提高和加強網(wǎng)絡(luò)的安全性，保護當(dāng)今的網(wǎng)絡(luò)安全。所以防火墻的基礎(chǔ)技術(shù)普及是至關(guān)重要的。

1 防火墻概述

防火墻是一種將內(nèi)部網(wǎng)絡(luò)和公眾網(wǎng)絡(luò)分開的方法，其實它是一種隔離技術(shù)，是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，最大限度的阻止黑客訪問你的網(wǎng)絡(luò)。

2 防火墻功能特性與分類

主要功能分為訪問控制和業(yè)務(wù)感知：（1）邏輯區(qū)域過濾器；（2）隱藏內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)；（3）自身安全保障；（4）主動防御攻擊。防火墻按照形態(tài)分為硬件防火墻和軟件防火墻；按照保護對象可分為單機防火墻和網(wǎng)絡(luò)防火墻；按照訪問控制方式可分為包過濾防火墻、代理防火墻和狀態(tài)檢測防火墻，TCP-IP層-數(shù)據(jù)鏈路層-PC-防火墻-服務(wù)器-數(shù)據(jù)鏈路層-IP層-TCP層。防火墻組網(wǎng)方式：二層以太網(wǎng)接口（對網(wǎng)絡(luò)拓撲透明、不需要更改組網(wǎng)）；三層以太網(wǎng)接口（支持更多安全特性、對網(wǎng)絡(luò)拓撲有所影響）

防火墻硬件平臺分類

（1）intel X86適用于百兆網(wǎng)絡(luò)，受CPU處理能力和PCI總線速度的限制。

（2）ASIC硬件集成電路，它把指令或計算機邏輯固化到硬件中，提升防火墻性能。

（3）NP網(wǎng)絡(luò)處理器是專門為處理數(shù)據(jù)包而設(shè)計的可編程處理器，是X86與ASIC之間的折衷方案。

（4）多核新一代的硬件平臺。多核方案，更高的集成度、更高效的核間通信和管理機制。

什么是安全區(qū)域？安全區(qū)域（Security Zone），或者簡稱為區(qū)域（Zone）。Zone是本地邏輯安全區(qū)域的概念。Zone是一個或多個接口所連接的網(wǎng)絡(luò)。

防火墻安全區(qū)域分類：（1）缺省安全區(qū)域：a.非受信區(qū)域Untrust；b.非軍事化區(qū)域DMZ；c.受信區(qū)域Trust；d.本地區(qū)域Local。

防火墻安全攻擊防范：

網(wǎng)絡(luò)攻擊主要分為四大類：（1）流量型攻擊；（2）掃描窺探攻擊；（3）畸形報文攻擊；（4）特殊報文攻擊。

防火墻報文統(tǒng)計：

（1）報文統(tǒng)計。對于防火墻來說，不僅要對數(shù)據(jù)流量進行監(jiān)控，還要對內(nèi)外部網(wǎng)絡(luò)之間的連接發(fā)起情況進行檢測，因此要進行大量的統(tǒng)計、計算與分析。

（2）防火墻對報文統(tǒng)計結(jié)果的分析有兩個方面。a.專門的分析軟件事后分析日志信息。b.防火墻實時完成一部分分析功能。

防火墻黑名單：

（1）黑名單。黑名單是一個IP地址列表。防火墻將檢查報文源地址，如果命中，丟棄所有報文。并且快速有效地屏蔽特定IP地址的用戶。

（2）創(chuàng)建黑名單表項，有如下兩種方式：a.通過命令手工創(chuàng)建。b.通過防火墻攻擊防范模塊或IDS模塊動態(tài)創(chuàng)建。

防火墻性能指標(biāo)：

（1）吞吐量：防火墻能同時處理的最大數(shù)據(jù)量。

（2）有效吞吐量：除掉TCP因為丟包和超時重發(fā)的數(shù)據(jù)，實際的每秒傳輸有效速率。

（3）時延：數(shù)據(jù)包的第一個比特進入防火墻到最后一個比特輸出防火墻的時間間隔指標(biāo)，是用于測量防火墻處理數(shù)據(jù)的速度理想的情況。

（4）每秒新建連接數(shù)：指每秒鐘可以通過防火墻建立起來的完整TCP連接，是用來衡量防火墻數(shù)據(jù)流的實時處理能力。

（5）并發(fā)連接數(shù)：防火墻是針對連接進行處理報文的，并發(fā)連接數(shù)目是指防火墻可以同時容納的最大連接數(shù)目，一個連接就是一個TCP/UDP的訪問。該參數(shù)是用來衡量主機和服務(wù)器間能同時建立的最大連接數(shù)。

3 防火墻設(shè)備管理

3.1 設(shè)備登陸管理

（1）通過console口登陸設(shè)備：USG配置口登陸的缺省用戶名為admin，缺省用戶密碼為Admin@123。其中，用戶名不區(qū)分大小寫，密碼要區(qū)分大小寫。

（2）通過web方式登陸設(shè)備：設(shè)備缺省可以通過GigabitEthernet0/0/0接口來登錄Web界面。將管理員PC的網(wǎng)絡(luò)連接的IP地址獲取方式設(shè)置為“自動獲取IP地址”。將PC的以太網(wǎng)口與設(shè)備的缺省管理接口直接相連，或者通過交換機中轉(zhuǎn)相連。在PC的瀏覽器中訪問http；//192.168.0.1，進入Web界面的登錄頁面。缺省用戶名為admin，密碼為Admin@123。

（3）通過telnet方式登陸設(shè)備：設(shè)備缺省可以通過GigabitEthernet0/0/0接口來實現(xiàn)Telnet登錄。將管理員PC的網(wǎng)絡(luò)連接的IP地址獲取方式設(shè)置為“自動獲取IP地址”。通過Putty telnet192.168.0.1，進入登錄頁面。缺省用戶名為admin，密碼為Admin@123。

（4）通過ssh方式登陸設(shè)備：新建用戶名為Client001的SSH用戶，且認證方式為password。

[USG]ssh user client001

[USG]ssh user client001 authentication-type password

為SSH用戶Client001配置密碼為Admin@123。

[USG]aaa

[USG-aaa]local-user client001 password ciher Admin@123

[USG-aaa]local-user client001 service-type ssh

配置SSH用戶Client001的服務(wù)方式為Stelnet，并啟用Stelnet服務(wù)。

[USG]ssh user client001 service-type stelnet

[USG]stelnet server enable

以上配置完成后，運行支持SSH的客戶端軟件，建立SSH連接。

3.2 設(shè)備文件管理

3.2.1 配置文件類型：saved-configuration current-configuration

3.2.2 配置文件操作

（1）保存配置文件；（2）擦出配置文件（恢復(fù)出廠設(shè)置）；（3）配置下次啟動時的系統(tǒng)軟件和配置文件；（4）重啟設(shè)備。

4 防火墻基本配置

（1）Vrp命令行級別分為：參觀級、監(jiān)控級、配置級、管理級。（2）vrp命令視圖：用戶視圖、系統(tǒng)視圖、接口視圖、協(xié)議視圖。

5 結(jié)束語

網(wǎng)絡(luò)的發(fā)展進步，給我們的生活帶來了極大的便利，讓我們的生活越來越依賴于網(wǎng)絡(luò)，隨著網(wǎng)絡(luò)的復(fù)雜多樣變化，人們對網(wǎng)絡(luò)安全也越來越關(guān)注，如何保護網(wǎng)絡(luò)的安全成為人們關(guān)注的焦點，防火墻技術(shù)的運用是最好的選擇，為了讓與我們息息相關(guān)的網(wǎng)絡(luò)更安全，我們要不斷加強和發(fā)展防火墻技術(shù)，營造一個健康安全的網(wǎng)絡(luò)環(huán)境。