第一篇：防火墻的功能、缺點(diǎn)和分類

一、防火墻能夠作到些什么？

1.包過濾

具備包過濾的就是防火墻？對(duì)，沒錯(cuò)！根據(jù)對(duì)防火墻的定義，凡是能有效阻止網(wǎng)絡(luò)非法連接的方式，都算防火墻。早期的防火墻一般就是利用設(shè)置的條件，監(jiān)測(cè)通過的包的特征來(lái)決定放行或者阻止的，包過濾是很重要的一種特性。雖然防火墻技術(shù)發(fā)展到現(xiàn)在有了很多新的理念提出，但是包過濾依然是非常重要的一環(huán)，如同四層交換機(jī)首要的仍是要具備包的快速轉(zhuǎn)發(fā)這樣一個(gè)交換機(jī)的基本功能一樣。通過包過濾，防火墻可以實(shí)現(xiàn)阻擋攻擊，禁止外部/內(nèi)部訪問某些站點(diǎn)，限制每個(gè)ip的流量和連接數(shù)。

2.包的透明轉(zhuǎn)發(fā)

事實(shí)上，由于防火墻一般架設(shè)在提供某些服務(wù)的服務(wù)器前。如果用示意圖來(lái)表示就是 Server—FireWall—Guest。用戶對(duì)服務(wù)器的訪問的請(qǐng)求與服務(wù)器反饋給用戶的信息，都需要經(jīng)過防火墻的轉(zhuǎn)發(fā),因此，很多防火墻具備網(wǎng)關(guān)的能力。

3.阻擋外部攻擊

如果用戶發(fā)送的信息是防火墻設(shè)置所不允許的，防火墻會(huì)立即將其阻斷，避免其進(jìn)入防火墻之后的服務(wù)器中。

4.記錄攻擊

如果有必要，其實(shí)防火墻是完全可以將攻擊行為都記錄下來(lái)的，但是由于出于效率上的考慮，目前一般記錄攻擊的事情都交給IDS來(lái)完成了，我們?cè)诤竺鏁?huì)提到。

以上是所有防火墻都具備的基本特性，雖然很簡(jiǎn)單，但防火墻技術(shù)就是在此基礎(chǔ)上逐步發(fā)展起來(lái)的。

二、防火墻有哪些缺點(diǎn)和不足？

1.防火墻可以阻斷攻擊，但不能消滅攻擊源。

“各掃自家門前雪，不管他人瓦上霜”，就是目前網(wǎng)絡(luò)安全的現(xiàn)狀?；ヂ?lián)網(wǎng)上病毒、木馬、惡意試探等等造成的攻擊行為絡(luò)繹不絕。設(shè)置得當(dāng)?shù)姆阑饓δ軌蜃钃跛麄?，但是無(wú)法清除攻擊源。即使防火墻進(jìn)行了良好的設(shè)置，使得攻擊無(wú)法穿透防火墻，但各種攻擊仍然會(huì)源源不斷地向防火墻發(fā)出嘗試。例如接主干網(wǎng)10M網(wǎng)絡(luò)帶寬的某站點(diǎn)，其日常流量中平均有512K左右是攻擊行為。那么，即使成功設(shè)置了防火墻后，這512K的攻擊流量依然不會(huì)有絲毫減少。

2.防火墻不能抵抗最新的未設(shè)置策略的攻擊漏洞

就如殺毒軟件與病毒一樣，總是先出現(xiàn)病毒，殺毒軟件經(jīng)過分析出特征碼后加入到病毒庫(kù)內(nèi)才能查殺。防火墻的各種策略，也是在該攻擊方式經(jīng)過專家分析后給出其特征進(jìn)而設(shè)置的。如果世界上新發(fā)現(xiàn)某個(gè)主機(jī)漏洞的cracker的把第一個(gè)攻擊對(duì)象選中了您的網(wǎng)絡(luò)，那么防火墻也沒有辦法幫到您的。

3.防火墻的并發(fā)連接數(shù)限制容易導(dǎo)致?lián)砣蛘咭绯?/p>

由于要判斷、處理流經(jīng)防火墻的每一個(gè)包，因此防火墻在某些流量大、并發(fā)請(qǐng)求多的情況下，很容易導(dǎo)致?lián)砣蔀檎麄€(gè)網(wǎng)絡(luò)的瓶頸影響性能。而當(dāng)防火墻溢出的時(shí)候，整個(gè)防線就如同虛設(shè)，原本被禁止的連接也能從容通過了。

4.防火墻對(duì)服務(wù)器合法開放的端口的攻擊大多無(wú)法阻止

某些情況下，攻擊者利用服務(wù)器提供的服務(wù)進(jìn)行缺陷攻擊。例如利用開放了3389端口取得沒打過sp補(bǔ)丁的win2k的超級(jí)權(quán)限、利用asp程序進(jìn)行腳本攻擊等。由于其行為在防火墻一級(jí)看來(lái)是“合理”和“合法”的，因此就被簡(jiǎn)單地放行了。

5.防火墻對(duì)待內(nèi)部主動(dòng)發(fā)起連接的攻擊一般無(wú)法阻止

“外緊內(nèi)松”是一般局域網(wǎng)絡(luò)的特點(diǎn)?；蛟S一道嚴(yán)密防守的防火墻內(nèi)部的網(wǎng)絡(luò)是一片混亂也有可能。通過社會(huì)工程學(xué)發(fā)送帶木馬的郵件、帶木馬的URL等方式，然后由中木馬的機(jī)器主動(dòng)對(duì)攻擊者連接，將鐵壁一樣的防火墻瞬間破壞掉。另外，防火墻內(nèi)部各主機(jī)間的攻擊行為，防火墻也只有如旁觀者一樣冷視而愛莫能助。

6．防火墻本身也會(huì)出現(xiàn)問題和受到攻擊

防火墻也是一個(gè)os，也有著其硬件系統(tǒng)和軟件，因此依然有著漏洞和bug。所以其本身也可能受到攻擊和出現(xiàn)軟/硬件方面的故障。

7．防火墻不處理病毒

不管是funlove病毒也好，還是CIH也好。在內(nèi)部網(wǎng)絡(luò)用戶下載外網(wǎng)的帶毒文件的時(shí)候，防火墻是不為所動(dòng)的（這里的防火墻不是指單機(jī)/企業(yè)級(jí)的殺毒軟件中的實(shí)時(shí)監(jiān)控功能，雖然它們不少都叫“病毒防火墻”）。

看到這里，或許您原本心目中的防火墻已經(jīng)被我拉下了神臺(tái)。是的，防火墻是網(wǎng)絡(luò)安全的重要一環(huán)，但不代表設(shè)置了防火墻就能一定保證網(wǎng)絡(luò)的安全?！罢嬲陌踩且环N意識(shí)，而非技術(shù)!”請(qǐng)牢記這句話。

不管怎么樣，防火墻仍然有其積極的一面。在構(gòu)建任何一個(gè)網(wǎng)絡(luò)的防御工事時(shí)，除了物理上的隔離和目前新近提出的網(wǎng)閘概念外，首要的選擇絕對(duì)是防火墻。那么，怎么選擇需要的防火墻呢？

防火墻的分類

首先大概說(shuō)一下防火墻的分類。就防火墻（本文的防火墻都指商業(yè)用途的網(wǎng)絡(luò)版防火墻，非個(gè)人使用的那種）的組成結(jié)構(gòu)而言，可分為以下三種：

第一種：軟件防火墻

軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持，一般來(lái)說(shuō)這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。軟件防火墻就象其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻，需要網(wǎng)管對(duì)所工作的操作系統(tǒng)平臺(tái)比較熟悉。

第二種：硬件防火墻

這里說(shuō)的硬件防火墻是指所謂的硬件防火墻。之所以加上“所謂”二字是針對(duì)芯片級(jí)防火墻說(shuō)的了。它們最大的差別在于是否基于專用的硬件平臺(tái)。目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)，就是說(shuō)，它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過裁剪和簡(jiǎn)化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因此依然會(huì)受到os本身的安全性影響。國(guó)內(nèi)的許多防火墻產(chǎn)品就屬于此類，因?yàn)椴捎玫氖墙?jīng)過裁減內(nèi)核和定制組件的平臺(tái)，因此國(guó)內(nèi)防火墻的某些銷售人員常常吹噓其產(chǎn)品是“專用的os”等等，其實(shí)是一個(gè)概念誤導(dǎo)，下面我們提到的第三種防火墻才是真正的os專用。

第三種：芯片級(jí)防火墻

它們基于專門的硬件平臺(tái)，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。做這類防火墻最出名的廠商莫過于NetScreen.其他的品牌還有FortiNet,算是后起之秀了。這類防火墻由于是專用OS,因此防火墻本身的漏洞比較少，不過價(jià)格相對(duì)比較高昂，所以一般只有在“確實(shí)需要”的情況下才考慮。

在這里，特別糾正幾個(gè)不正確的觀念：

1.在性能上，芯片級(jí)防火墻>硬件防火墻>軟件防火墻。

在價(jià)格上看來(lái)，的確倒是如此的關(guān)系。但是性能上卻未必。防火墻的“好”，是看其支持的并發(fā)數(shù)、最大流量等等性能，而不是用軟件硬件來(lái)區(qū)分的。事實(shí)上除了芯片級(jí)防火墻外，軟件防火墻與硬件防火墻在硬件上基本是完全一樣的。目前國(guó)內(nèi)的防火墻廠商由于大多采用硬件防火墻而不是軟件防火墻，原因1是考慮到用戶網(wǎng)絡(luò)管理員的素質(zhì)等原因，還有就是基于我國(guó)大多數(shù)民眾對(duì)“看得見的硬件值錢，看不到的軟件不值錢”這樣一種錯(cuò)誤觀點(diǎn)的迎合。不少硬件防火墻廠商大肆詆毀軟件防火墻性能，不外是為了讓自己那加上了外殼的普通pc＋一個(gè)被修改后的內(nèi)核＋一套防火墻軟件能夠賣出一個(gè)好價(jià)錢來(lái)而已。而為什么不作芯片級(jí)防火墻呢？坦白說(shuō)，國(guó)內(nèi)沒有公司有技術(shù)實(shí)力。而且在中國(guó)市場(chǎng)上來(lái)看，某些國(guó)內(nèi)的所謂硬件防火墻的硬件質(zhì)量連diy的兼容機(jī)都比不上。看看國(guó)內(nèi)XX的硬件防火墻那拙劣的硬盤和網(wǎng)卡，使用過的人都能猜到是哪家，我就不點(diǎn)名了。真正看防火墻，應(yīng)該看其穩(wěn)定性和性能，而不是用軟、硬來(lái)區(qū)分的。至少，如果筆者自己選購(gòu)，我會(huì)選擇購(gòu)買CheckPoint而非某些所謂的硬件防火墻的。

2.在效果上，芯片防火墻比其他兩種防火墻好

這同樣也是一種有失公允的觀點(diǎn)。事實(shí)上芯片防火墻由于硬件的獨(dú)立，的確在OS本身出漏洞的機(jī)會(huì)上比較少，但是由于其固化，導(dǎo)致在面對(duì)新興的一些攻擊方式時(shí)，無(wú)法及時(shí)應(yīng)對(duì)；而另外兩種防火墻，則可以簡(jiǎn)單地通過升級(jí)os的內(nèi)核來(lái)獲取系統(tǒng)新特性，通過靈活地策略設(shè)置來(lái)滿足不斷變化的要求，不過其OS出現(xiàn)漏洞的概率相對(duì)高一些。

3.唯技術(shù)指標(biāo)論

請(qǐng)以“防火墻買來(lái)是使用的”為第一前提進(jìn)行購(gòu)買。防火墻本身的質(zhì)量如何是一回事，是否習(xí)慣使用又是另一回事。如果對(duì)一款產(chǎn)品的界面不熟悉，策略設(shè)置方式不理解，那么即使用世界最頂級(jí)的防火墻也沒有多大作用。就如小說(shuō)中武林中人無(wú)不向往的“倚天劍”、“屠龍刀”被我拿到，肯定也敵不過喬峰赤手的少林長(zhǎng)拳是一般道理。防火墻技術(shù)發(fā)展至今，市場(chǎng)已經(jīng)很成熟了，各類產(chǎn)品的存在，自然有其生存于市場(chǎng)的理由。如何把產(chǎn)品用好，遠(yuǎn)比盲目地比較各類產(chǎn)品好。

第二篇：防火墻有哪些缺點(diǎn)和不足

防火墻有哪些缺點(diǎn)和不足？

1.防火墻可以阻斷攻擊，但不能消滅攻擊源。

“各掃自家門前雪，不管他人瓦上霜”，就是目前網(wǎng)絡(luò)安全的現(xiàn)狀。互聯(lián)網(wǎng)上病毒、木馬、惡意試探等等造成的攻擊行為絡(luò)繹不絕。設(shè)置得當(dāng)?shù)姆阑饓δ軌蜃钃跛麄?，但是無(wú)法清除攻擊源。即使防火墻進(jìn)行了良好的設(shè)置，使得攻擊無(wú)法穿透防火墻，但各種攻擊仍然會(huì)源源不斷地向防火墻發(fā)出嘗試。例如接主干網(wǎng)10M網(wǎng)絡(luò)帶寬的某站點(diǎn)，其日常流量中平均有512K左右是攻擊行為。那么，即使成功設(shè)置了防火墻后，這512K的攻擊流量依然不會(huì)有絲毫減少。

2.防火墻不能抵抗最新的未設(shè)置策略的攻擊漏洞

就如殺毒軟件與病毒一樣，總是先出現(xiàn)病毒，殺毒軟件經(jīng)過分析出特征碼后加入到病毒庫(kù)內(nèi)才能查殺。防火墻的各種策略，也是在該攻擊方式經(jīng)過專家分析后給出其特征進(jìn)而設(shè)置的。如果世界上新發(fā)現(xiàn)某個(gè)主機(jī)漏洞的cracker的把第一個(gè)攻擊對(duì)象選中了您的網(wǎng)絡(luò)，那么防火墻也沒有辦法幫到您的。

3.防火墻的并發(fā)連接數(shù)限制容易導(dǎo)致?lián)砣蛘咭绯?/p>

由于要判斷、處理流經(jīng)防火墻的每一個(gè)包，因此防火墻在某些流量大、并發(fā)請(qǐng)求多的情況下，很容易導(dǎo)致?lián)砣?，成為整個(gè)網(wǎng)絡(luò)的瓶頸影響性能。而當(dāng)防火墻溢出的時(shí)候，整個(gè)防線就如同虛設(shè)，原本被禁止的連接也能從容通過了。

4.防火墻對(duì)服務(wù)器合法開放的端口的攻擊大多無(wú)法阻止

某些情況下，攻擊者利用服務(wù)器提供的服務(wù)進(jìn)行缺陷攻擊。例如利用開放了3389端口取得沒打過sp補(bǔ)丁的win2k的超級(jí)權(quán)限、利用asp程序進(jìn)行腳本攻擊等。由于其行為在防火墻一級(jí)看來(lái)是“合理”和“合法”的，因此就被簡(jiǎn)單地放行了。

5.防火墻對(duì)待內(nèi)部主動(dòng)發(fā)起連接的攻擊一般無(wú)法阻止

“外緊內(nèi)松”是一般局域網(wǎng)絡(luò)的特點(diǎn)。或許一道嚴(yán)密防守的防火墻內(nèi)部的網(wǎng)絡(luò)是一片混亂也有可能。通過社會(huì)工程學(xué)發(fā)送帶木馬的郵件、帶木馬的URL等方式，然后由中木馬的機(jī)器主動(dòng)對(duì)攻擊者連接，將鐵壁一樣的防火墻瞬間破壞掉。另外，防火墻內(nèi)部各主機(jī)間的攻擊行為，防火墻也只有如旁觀者一樣冷視而愛莫能助。

6.防火墻本身也會(huì)出現(xiàn)問題和受到攻擊

防火墻也是一個(gè)os，也有著其硬件系統(tǒng)和軟件，因此依然有著漏洞和bug。所以其本身也可能受到攻擊和出現(xiàn)軟/硬件方面的故障。

7.防火墻不處理病毒

不管是funlove病毒也好，還是CIH也好。在內(nèi)部網(wǎng)絡(luò)用戶下載外網(wǎng)的帶毒文件的時(shí)候，防火墻是不為所動(dòng)的（這里的防火墻不是指單機(jī)/企業(yè)級(jí)的殺毒軟件中的實(shí)時(shí)監(jiān)控功能，雖然它們不少都叫“病毒防火墻”）。

看到這里，或許您原本心目中的防火墻已經(jīng)被我拉下了神臺(tái)。是的，防火墻是網(wǎng)絡(luò)安全的重要一環(huán)，但不代表設(shè)置了防火墻就能一定保證網(wǎng)絡(luò)的安全。“真正的安全是一種意識(shí)，而非技術(shù)!”請(qǐng)牢記這句話。

不管怎么樣，防火墻仍然有其積極的一面。在構(gòu)建任何一個(gè)網(wǎng)絡(luò)的防御工事時(shí)，除了物理上的隔離和目前新近提出的網(wǎng)閘概念外，首要的選擇絕對(duì)是防火墻。那么，怎么選擇需要的防火墻呢？

第三篇：功能食品分類

功能性食品依制造過程不同，可以分類如下：

第一代功能性食品：如靈芝、綠茶和小麥苗等原本不為人所知的生理調(diào)節(jié)功能，經(jīng)研究

發(fā)現(xiàn)并證實(shí)其功效后，此類原被當(dāng)作普通食品者被重新定位為功能性食品。

第二代功能性食品：將食品中所含的功能性因子加以定量后，利用改良的制造加工過

程，提高功能性因素的含量，以期達(dá)到更有效的生理功能調(diào)節(jié)功效。卵磷脂、魚油、甲殼素

和鯊魚軟骨等為典型的第二代功能性食品。

第三代功能性食品：它是第二代功能性食品的復(fù)合性功能產(chǎn)物，主要是以特定目標(biāo)作

用設(shè)計(jì)理念而開發(fā)，因此具有高度的專一性。但在成分上結(jié)合了多種具有共同特性的生理

功能調(diào)節(jié)因子，因此可以達(dá)到更高效率的調(diào)節(jié)功能。第三代功能性食品的開發(fā)是生物技術(shù)

與食品相結(jié)合的最好契機(jī)。

1、第一代產(chǎn)品（強(qiáng)化食品）：舉例如：各類強(qiáng)化食品及滋補(bǔ)食品，如高鈣奶、益智奶、鱉精、蜂產(chǎn)品、烏骨雞、螺旋藻等。

2、第二代產(chǎn)品（初級(jí)產(chǎn)品）：舉例如：三株口服液、腦黃金、腦白金、太太口服液、恒寧固之寶等。

3、第三代產(chǎn)品（高級(jí)產(chǎn)品）：舉例如：防感寶貝、魚油、多糖、大豆異黃酮、輔酶Q10、納豆、金御穩(wěn)糖等。

第一代食品大多是廠家用某些活性成分的基料加工而成，根據(jù)基料推斷該產(chǎn)品的功能缺乏功能性評(píng)價(jià)和科學(xué)性，同時(shí)原材料的加工粗糙，活

性成分為加以有效保護(hù)難以成為穩(wěn)定態(tài)勢(shì)，產(chǎn)品所列功能難以相符，這些沒有經(jīng)過任何實(shí)驗(yàn)予以驗(yàn)證的食品充其量只能算

是營(yíng)養(yǎng)品。我國(guó)目前相當(dāng)多的產(chǎn)品上屬于這一代產(chǎn)品，目前歐洲、美國(guó)、日本等發(fā)達(dá)國(guó)家將這類性產(chǎn)品列入一般食品。第二代功能性食品是經(jīng)過動(dòng)物和人體實(shí)驗(yàn)確知其具有調(diào)節(jié)人體生理節(jié)律功能，建立在量效基礎(chǔ)上，歐美一些發(fā)達(dá)國(guó)家規(guī)定功

能性食品必須經(jīng)過嚴(yán)格的審查程序，提供確有保健功能，才能允許貼有功能性食品標(biāo)簽，目前第二代功能性食品在我國(guó)已

經(jīng)嶄露頭角。在具有某些生物調(diào)節(jié)功能的第二代功能性食品的基礎(chǔ)上進(jìn)一步提取、分立、純化起有效的生理活性成分，鑒

定活性成分的結(jié)構(gòu)，研究其構(gòu)效和量效關(guān)系，保持生理活性成分在食品中有較穩(wěn)定態(tài)勢(shì)，或者直接將生理活性成分處理成功能性食品成為第三代功能性食品。目前在美國(guó)、日本等發(fā)達(dá)國(guó)家的市場(chǎng)上，大部分是第三代功能性食品，而我國(guó)第三代

功能性食品在市場(chǎng)上才開始初具一定規(guī)模，與發(fā)達(dá)國(guó)家相比還有不小的差距。第三代功能性食品的迅速成長(zhǎng)標(biāo)志著我國(guó)功

能性食品與國(guó)際接軌，同時(shí)也是給予功能性食品行業(yè)的發(fā)展提供很好的良機(jī)。

值得一提的是第三代功能性新型食品很多都與活性多糖產(chǎn)品的相配組合分不開，因此產(chǎn)品原料單一逐漸出現(xiàn)組合，功效為之提高，所以有人

稱呼21世紀(jì)為多糖實(shí)際，多糖的研究成為反映一個(gè)國(guó)家生物高科技發(fā)展水平的衡量尺度?；钚远嗵鞘侵妇哂心撤N特殊活

性的多糖化合物。主要分為真菌多糖和植物多糖兩大類。真菌多糖主要有香菇多糖、銀耳多糖（又稱白木耳）、金針菇多

糖、云芝多糖、茯苓多糖、冬蟲夏草多糖、靈芝多糖、黑木耳多糖、灰樹花多糖等10種，尚有核盤多糖、裂褶多糖、滑

菇多糖、平菇多糖、竹筍多糖和草菇多糖等。植物多糖包括海藻多糖：從螺旋藻中提取的螺旋藻多糖，從褐藻中提取的海

帶多糖，還有羊棲菜多糖和鼠尾藻多糖等。藥用植物多糖：包括從人參中提取的人參多糖，從刺五加中提取的刺五加多糖，從黃芪、紅芪和黃精中提取的多糖等等。這些活性多糖具有抗腫瘤的活性，可以起到保肝、降血糖、降血脂和抗血栓作用，并且能改善骨髓的造血功能等。多糖對(duì)人類健康有舉足輕重的作用，它能控制細(xì)胞分裂和分化，調(diào)節(jié)細(xì)胞的生長(zhǎng)于衰老，它具有調(diào)節(jié)免疫力的功能，是當(dāng)今已知的最佳免疫增強(qiáng)劑、促進(jìn)劑和調(diào)節(jié)劑。這項(xiàng)高科技出現(xiàn)需要較復(fù)雜的加工手段，在國(guó)內(nèi)也已出現(xiàn)，現(xiàn)舉兩例如下：上海復(fù)旦大學(xué)生物工程研究席在美國(guó)嵇慶生學(xué)博士和美國(guó)拉里博士等大力支持下利用香菇

提純工藝研制出國(guó)產(chǎn)好爾多糖初乳粉功能性保健食品已經(jīng)面市。另山東魯東大學(xué)蔡德華教授（山東省政府農(nóng)業(yè)專家顧問團(tuán)

食用菌份團(tuán)團(tuán)長(zhǎng)）用菇蕈液體深層發(fā)酵技術(shù)研究與應(yīng)用對(duì)靈芝黃傘等品種研究出十種菇蕈菌絲體多糖，其中有8個(gè)菇類液

體菌種應(yīng)用于生產(chǎn)已產(chǎn)生明顯的經(jīng)濟(jì)效益和社會(huì)效益。

第四篇：社會(huì)福利功能的分類

社會(huì)福利的動(dòng)機(jī)/功能

補(bǔ)救性功能：縮小貧富差距/弘揚(yáng)先進(jìn)文化、幫助弱勢(shì)群體/完善基礎(chǔ)設(shè)施與服務(wù)，促進(jìn)幸福/公平正義/促進(jìn)整個(gè)社會(huì)功能的健全/保護(hù)生存權(quán)/滿足基本公民權(quán)/救死扶傷/提升生存質(zhì)量，增進(jìn)福祉/彌補(bǔ)了市場(chǎng)失靈/調(diào)節(jié)收入差距/享受教育機(jī)會(huì)/增加文明禮貌意識(shí)/提升國(guó)民的權(quán)利意識(shí)/恢復(fù)弱勢(shì)群體的社會(huì)功能/彌補(bǔ)家庭功能不足/財(cái)富再分配

維持性功能：社會(huì)控制/緩解社會(huì)矛盾/給予基本經(jīng)濟(jì)保障/促進(jìn)公民認(rèn)同，增加凝聚力/政治關(guān)系調(diào)節(jié)/公民分享發(fā)展成果/宏觀調(diào)控的手段/減少犯罪/維護(hù)統(tǒng)治/促進(jìn)社會(huì)凝聚與整合/穩(wěn)定人心/體現(xiàn)國(guó)家責(zé)任/促進(jìn)社會(huì)平等/增加利他主義觀念，幫助他人/取之于民、用之于民/人類共享文明的發(fā)展成果/促進(jìn)民族團(tuán)結(jié)/改善政府與民眾的關(guān)系

發(fā)展性功能：促進(jìn)消費(fèi)，促進(jìn)經(jīng)濟(jì)發(fā)展/提升社會(huì)活力、根據(jù)能力和興趣行事/提高勞動(dòng)者素質(zhì)，增進(jìn)就業(yè)機(jī)會(huì)/投資，提升人力資本/實(shí)現(xiàn)人的自由與全面發(fā)展/良好國(guó)家形象，政權(quán)穩(wěn)定，國(guó)際競(jìng)爭(zhēng)力/利于政治意識(shí)覺醒，提高政治活力/拉動(dòng)內(nèi)需/激發(fā)勞動(dòng)熱情/資源有效分配/激發(fā)潛能/吸引人才/促進(jìn)社工人才壯大/增加就業(yè)崗位/減輕企業(yè)的社會(huì)負(fù)擔(dān)/減緩經(jīng)濟(jì)危機(jī)的沖擊，提升公民責(zé)任感/促進(jìn)個(gè)人社會(huì)參與/促進(jìn)醫(yī)療、教學(xué)的發(fā)展

分類之間的關(guān)系：

社會(huì)福利的所有功能可以概括為補(bǔ)救性功能、維持性功能以及發(fā)展性功能，這三種功能的落腳點(diǎn)各有不同，補(bǔ)救性功能的落腳點(diǎn)在于緩解當(dāng)前的一些社會(huì)問題，改善人們的日常生活，使人們生活的更有質(zhì)量；維持性功能的落腳點(diǎn)在于維持當(dāng)前的這種現(xiàn)有的局面，以不至于造成不必要的內(nèi)亂，從而影響社會(huì)的持續(xù)發(fā)展和社會(huì)福利功能的體現(xiàn)；發(fā)展性功能的落腳點(diǎn)在于為整個(gè)社會(huì)和人類福祉的發(fā)展提供一些資源和做出一些探索，使社會(huì)福利能更好的為人們服務(wù)。

雖然社會(huì)福利的這三類功能的落腳點(diǎn)不一樣，但它們?cè)谶壿嬌鲜怯幸欢ǖ穆?lián)系，是一種層層遞進(jìn)和螺旋上升的過程，背后的邏輯是在維持現(xiàn)有狀況不亂的前提下，一方面解決現(xiàn)存的問題，另一方面嘗試用發(fā)展性的方式和方法進(jìn)行一些探索。這也符合一般人類社會(huì)的發(fā)展以及體制的革新，符合社會(huì)工作治療、預(yù)防、發(fā)展的三大目標(biāo)。個(gè)人覺得這樣一種有攻有守的分類方式能夠更加體現(xiàn)社會(huì)福利的功能。

第五篇：網(wǎng)絡(luò)防火墻的分類及應(yīng)用方案

網(wǎng)絡(luò)防火墻的分類及應(yīng)用方案

系別：信息工程系統(tǒng) 專業(yè)：網(wǎng)絡(luò)技術(shù)專業(yè) 班級(jí)：網(wǎng)絡(luò)二班 姓名：武連玲 學(xué)號(hào)：0903032209 指導(dǎo)教師：呂秀鑒

日期：2011年10月31日星期一

目錄

緒論.................................................................................................................................1.防火墻的概念...............................................................................................................1.1 什么是防火墻.......................................................................................................................1.2 防火墻的原理.......................................................................................................................2．防火墻的分類.............................................................................................................2.1基礎(chǔ)和分類............................................................................................................................2.2包過濾防火墻........................................................................................................................2.3動(dòng)態(tài)包過濾防火墻................................................................................................................2.4 代理（應(yīng)用層網(wǎng)關(guān)）防火墻...............................................................................................2.5 自適應(yīng)代理防火墻...............................................................................................................3．防火墻的安全策略.....................................................................................................3.1校校園網(wǎng)防火墻網(wǎng)絡(luò)安全策略............................................................................................3.2防火墻的基本配置................................................................................................................3.2.1命令行基本信息收集：.....................................................................................................3.2.2能問題需收集下列信息：...............................................................................................3.2.3接口之間實(shí)施策略：.......................................................................................................3.2.4接口管理設(shè)置...................................................................................................................3.2.5用戶帳號(hào)的操作...............................................................................................................4．防火墻的功能配置...................................................................................................4.1基于內(nèi)網(wǎng)的防火墻功能及配置..........................................................................................4.1.1 IP與MAC（用戶）綁定功能........................................................................................4.1.2 MAP（端口映射）功能..................................................................................................4.1.3NAT（地址轉(zhuǎn)換）功能....................................................................................................5.外網(wǎng)防火墻功能配置..................................................................................................5.1 基于外網(wǎng)的防火墻功能及配置.........................................................................................5.1.1 DOS攻擊防范..................................................................................................................5.1.2訪問控制功能...................................................................................................................結(jié)論...............................................................................................................................參考文獻(xiàn)........................................................................................................................防火墻原是設(shè)計(jì)用來(lái)防止火災(zāi)從建筑物的一部分傳播到另一部分的設(shè)施。從理論上講，Internet防火墻服務(wù)也有類似目的，它防止Internet（或外部網(wǎng)絡(luò)）上的危險(xiǎn)（病毒、資源盜用等）傳播到網(wǎng)絡(luò)內(nèi)部。Internet（或外部網(wǎng)絡(luò)）防火墻服務(wù)于多個(gè)目的：

1、限制人們從一個(gè)特別的控制點(diǎn)進(jìn)入；

2、防止入侵者接近你的其它防御設(shè)施；

3、限定人們從一個(gè)特別的點(diǎn)離開；

4、有效地阻止破壞者對(duì)你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。

1.2 防火墻的原理

隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和開放性的增強(qiáng)，網(wǎng)絡(luò)上的很多敏感信息和保密數(shù)據(jù)將受到很多主動(dòng)和被動(dòng)的人為攻擊。一種解決辦法是為需要保護(hù)的網(wǎng)絡(luò)上的每個(gè)工作站和服務(wù)器裝備上強(qiáng)大的安全特征(例如入侵檢測(cè))，但這幾乎是一種不切合實(shí)際的方法，因?yàn)閷?duì)具有幾百個(gè)甚至上千個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)，它們可能運(yùn)行著不同的操作系統(tǒng)，當(dāng)發(fā)現(xiàn)了安全缺陷時(shí)，每個(gè)可能被影響的節(jié)點(diǎn)都必須加以改進(jìn)以修復(fù)這個(gè)缺陷。另一種選擇就是防火墻(Firewall)，防火墻是用來(lái)在安全私有網(wǎng)絡(luò)(可信任網(wǎng)絡(luò))和外部不可信任網(wǎng)絡(luò)之間安全連接的一個(gè)設(shè)備或一組設(shè)備，作為私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間連接的單點(diǎn)存在。防火墻是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間的一道屏障，它可以實(shí)施比較廣泛的安全策略來(lái)控制信息流，防止不可預(yù)料的潛在的入侵破壞.DMZ外網(wǎng)和內(nèi)部局域網(wǎng)的防火墻系統(tǒng)。

圖1-2-1

2．防火墻的分類

2.1基礎(chǔ)和分類

從防火墻的防范方式和側(cè)重點(diǎn)的不同來(lái)看，防火墻可以分為很多類型，但是根據(jù)防火墻對(duì)內(nèi)外來(lái)往數(shù)據(jù)處理方法，大致可將防火墻分為兩大體系：包過濾防火墻和代理防火墻。包過濾防火墻經(jīng)歷了兩代：

2.2包過濾防火墻

靜態(tài)包過濾防火墻采用的是一個(gè)都不放過的原則。它會(huì)檢查所有通過信息包里的IP地址號(hào)，端口號(hào)及其它的包頭信息，并根據(jù)系統(tǒng)管理員給定的過濾規(guī)則和準(zhǔn)備過濾的信息包一一匹配，其中：如果信息包中存在一點(diǎn)與過濾規(guī)則不符合，那么這個(gè)信息包里所有的信息都會(huì)被防火墻屏蔽掉，這個(gè)信息包就不會(huì)通過防火墻。相反的，如果每條規(guī)都和過濾規(guī)則相匹配，那么信息包就允許通過。靜態(tài)包的過濾原理就是：將信息分成若干個(gè)小數(shù)據(jù)片（數(shù)據(jù)包），確認(rèn)符合防火墻的包過濾規(guī)則后，把這些個(gè)小數(shù)據(jù)片按順序發(fā)送，接收到這些小數(shù)據(jù)片后再把它們組織成一個(gè)完整的信息這個(gè)就是包過濾的原理。這種靜態(tài)包過濾防火墻，對(duì)用戶是透明的，它不需要用戶的用戶名和密碼就可以登錄，它的速度快，也易于維護(hù)。但由于用戶的使用記錄沒有記載，如果有不懷好意的人進(jìn)行攻擊的話，我們即不能從訪問記錄中得到它的攻擊記錄，也無(wú)法得知它的來(lái)源。而一個(gè)單純的包過濾的防火墻的防御能力是非常弱的，對(duì)于惡意的攻擊者來(lái)說(shuō)是攻破它是非常容易的。其中“信息包沖擊”是攻擊者最常用的攻擊手段：主要是攻擊者對(duì)包過濾防火墻發(fā)出一系列地址被替換成一連串順序IP地址的信息包，一旦有一個(gè)包通過了防火墻，那么攻擊者停止再發(fā)測(cè)試IP地址的信息包，用這個(gè)成功發(fā)送的地址來(lái)偽裝他們所發(fā)出的對(duì)內(nèi)部網(wǎng)有攻擊性的信息。

圖2-2-1 2.3動(dòng)態(tài)包過濾防火墻

靜態(tài)包過濾防火墻的缺點(diǎn)，動(dòng)態(tài)包過濾防火墻都可以避免。它采用的規(guī)則是發(fā)展為“包狀態(tài)檢測(cè)技術(shù)”的動(dòng)態(tài)設(shè)置包過濾規(guī)則。它可以根據(jù)需要?jiǎng)討B(tài)的在過濾原則中增加或更新條目，在這點(diǎn)上靜態(tài)防火墻是比不上它的，它主要對(duì)建立的每一個(gè)連接都進(jìn)行跟蹤。在這里我們了解的是代理防火墻。代理服務(wù)器型防火墻與包過濾防火墻不同之點(diǎn)在于，它的內(nèi)外網(wǎng)之間不存在直接的連接，一般由兩部分組成：服務(wù)器端程序和客戶端程序，其中客戶端程序通過中間節(jié)點(diǎn)與提供服務(wù)的服務(wù)器連接。代理服務(wù)器型防火墻提供了日志和審記服務(wù)。

圖2-2-3

校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D如圖4-1所示:

圖3-1-1校園網(wǎng)網(wǎng)絡(luò)總拓?fù)浣Y(jié)構(gòu)圖

在實(shí)際應(yīng)用環(huán)境中，一般情況下防火墻網(wǎng)絡(luò)可劃分為三個(gè)不同級(jí)別的安全區(qū)域： 內(nèi)部網(wǎng)絡(luò)：這是防火墻要保護(hù)的對(duì)象，包括全部的內(nèi)部網(wǎng)絡(luò)設(shè)備及用戶主機(jī)。這個(gè)區(qū)域是防火墻的可信區(qū)域(這是由傳統(tǒng)邊界防火墻的設(shè)計(jì)理念決定的)。

外部網(wǎng)絡(luò)：這是防火墻要防護(hù)的對(duì)象，包括外部網(wǎng)主機(jī)和設(shè)備。這個(gè)區(qū)域?yàn)榉阑饓Φ姆强尚啪W(wǎng)絡(luò)區(qū)域(也是由傳統(tǒng)邊界防火墻的設(shè)計(jì)理念決定的)。

DMZ(非軍事區(qū))：它是從內(nèi)部網(wǎng)絡(luò)中劃分的一個(gè)小區(qū)域，在其中就包括內(nèi)部網(wǎng)絡(luò)中用于公眾服務(wù)的外部服務(wù)器，如Web服務(wù)器、郵件服務(wù)器、DNS服務(wù)器等，它們都是為互聯(lián)網(wǎng)提供某種信息服務(wù)。

在以上三個(gè)區(qū)域中，用戶需要對(duì)不同的安全區(qū)域制訂不同的安全策略。雖然內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)都屬于內(nèi)部網(wǎng)絡(luò)的一部分，但它們的安全級(jí)別(策略)是不同的。對(duì)于要保護(hù)的大部分內(nèi)部網(wǎng)絡(luò)，一般情況下禁止所有來(lái)自互聯(lián)網(wǎng)用戶的訪問；而由內(nèi)部網(wǎng)絡(luò)劃分出去的DMZ區(qū)，因需為互聯(lián)網(wǎng)應(yīng)用提供相關(guān)的服務(wù)，這些服務(wù)器上所安裝的服務(wù)非常少，所允許的權(quán)限非常低，真正有服務(wù)器數(shù)據(jù)是在受保護(hù)的內(nèi)部網(wǎng)絡(luò)主機(jī)上，所以黑客攻擊這些服務(wù)器沒有任何意義，既不能獲取什么有用的信息，也不能通過攻擊它而獲得過高的網(wǎng)絡(luò)訪問權(quán)限。

通過NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)將受保護(hù)的內(nèi)部網(wǎng)絡(luò)的全部主機(jī)地址映射成防火墻上設(shè)置的少數(shù)幾個(gè)有效公網(wǎng)IP地址。這樣可以對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)構(gòu)和IP地址，保護(hù)內(nèi)部網(wǎng)絡(luò)的

netscreen>get config（得到config信息）netscreen>get log event（得到日志）

3.2.2能問題需收集下列信息：

netscreen>set ffiliter?（設(shè)置過濾器）

netscreen>debug flow basic是開啟基本的debug功能 netscreen>clear db是清除debug的緩沖區(qū)

netscreen>get dbuf stream就可以看到debug的信息了 性能問題需收集下列信息：

得到下列信息前，請(qǐng)不要重新啟動(dòng)機(jī)器，否則信息都會(huì)丟失，無(wú)法判定問題所在。netscreen>Get per cpu detail（得到CPU使用率）

netscreen>Get session info（得到會(huì)話信息）

netscreen>Get per session detail（得到會(huì)話詳細(xì)信息）netscreen>Get mac-learn（透明方式下使用，獲取MAC硬件地址）netscreen>Get alarm event（得到告警日志）

netscreen>Get tech>tftp 202.101.98.36 tech.txt（導(dǎo)出系統(tǒng)信息）netscreen>Get log system（得到系統(tǒng)日志信息）

netscreen>Get log system saved（得到系統(tǒng)出錯(cuò)后，系統(tǒng)自動(dòng)記錄信息，該記錄重啟后不會(huì)丟失。

設(shè)置接口-帶寬,網(wǎng)關(guān)

設(shè)置所指定的各個(gè)端口的帶寬速率,單位為kb/s Set interface interface bandwidth number unset interface interface bandwidth 設(shè)置接口的網(wǎng)關(guān)

set interface interface gateway ip_addr unset interface interface gateway 設(shè)置接口的接口的區(qū)域,IP地址zone就是網(wǎng)絡(luò)邏輯上劃分成區(qū),可以在安全區(qū)或安全區(qū)內(nèi)部

3.2.3接口之間實(shí)施策略：

設(shè)置接口的接口的區(qū)域

set interface interface zone zone unset interface interface zone 設(shè)置接口的IP地址

set interface interface ip ip_addr/mask set interface interface ip unnumbered interface interface2 unset interface interface ip ip_addr 3.2.4接口管理設(shè)置

①set interface interface manage {ident-reset|nsmgmt|ping|snmp|ssh|ssl|telnet|webui} unset interface interface manage {ident-reset|nsmgmt|ping|snmp|ssh|telnet|webui} WebUI：允許接口通過Web用戶界面(WebUI)接收HTTP管理信息流。Telnet:選擇此選項(xiàng)可啟用Telnet管理功能。

SSH:可使用“安全命令外殼”(SSH)通過以太網(wǎng)連接或撥號(hào)調(diào)制解調(diào)器管理NetScreen設(shè)備。必須具有與SSH協(xié)議版本1.5兼容的SSH客戶端。選擇此選項(xiàng)可啟用SSH管理功能。SNMP:選擇此選項(xiàng)可啟用SNMP管理功能。

SSL:選擇此選項(xiàng)將允許接口通過WebUI接收NetScreen設(shè)備的HTTPS安全管理信息流。NS Security Manager:選擇此選項(xiàng)將允許接口接收NetScreen-SecurityManager信息流。

Ping:選此選項(xiàng)將允許NetScreen設(shè)備響應(yīng)ICMP回應(yīng)請(qǐng)求，以確定是否可通過網(wǎng)絡(luò)訪問特定的IP地址。

Ident-Reset:與“郵件”或FTP發(fā)送標(biāo)識(shí)請(qǐng)求相類似的服務(wù)。如果它們未收到確認(rèn)，會(huì)再次發(fā)送請(qǐng)求。處理請(qǐng)求期間禁止用戶訪問。啟用Ident-reset選項(xiàng)后，NetScreen設(shè)備將發(fā)送TCP重置通知以響應(yīng)發(fā)往端口113的IDENT請(qǐng)求，然后恢復(fù)因未確認(rèn)標(biāo)識(shí)請(qǐng)求而被阻止的訪問。②指定允許進(jìn)行管理的ip地址

set interface interface manage-ip ip_addr unset interface interface manage-ip 3.2.5用戶帳號(hào)的操作

①添加只讀權(quán)限管理員

set admin user Roger password 2bd21wG7 privilege read-only ②修改帳戶為可讀寫權(quán)限

unset admin user Roger set admin user Roger password 2bd21wG7 privilege all ③刪除用戶

unset admin user Roger ④清除所有會(huì)話,并注銷帳戶 clear admin name Roger

4．防火墻的功能配置

4.1基于內(nèi)網(wǎng)的防火墻功能及配置 4.1.1 IP與MAC（用戶）綁定功能

如果在一個(gè)局域網(wǎng)內(nèi)部允許Host A上網(wǎng)而不允許Host B上網(wǎng)，則有一種方式可以欺騙防火墻進(jìn)行上網(wǎng)，就是在HostA還沒有開機(jī)的時(shí)候，將HostB的IP地址換成Host A的IP地址就可以上網(wǎng)了。那么針對(duì)IP欺騙的行為，解決方法是將工作站的IP地址與網(wǎng)卡的MAC地址進(jìn)行綁定，這樣再改換IP地址就不行了，除非將網(wǎng)卡和IP地址都換過來(lái)才行，所以將IP地址與MAC地址進(jìn)行綁定，可以防止內(nèi)部的IP盜用。但是這種綁定只適合與防火墻同網(wǎng)段的節(jié)點(diǎn)，如果其他網(wǎng)段的節(jié)點(diǎn)通過防火墻進(jìn)行訪問時(shí)，通過網(wǎng)段的源IP地址與目的IP地址是不同的，無(wú)法實(shí)現(xiàn)IP地址與MAC的綁定。但是可以通過IP地址與用戶的綁定，因?yàn)橛脩羰强梢钥缇W(wǎng)段的。

另外對(duì)DHCP用戶的支持，如果在用DHCP服務(wù)器來(lái)動(dòng)態(tài)分配IP地址的網(wǎng)絡(luò)中，主機(jī)沒有固定的IP地址，如何解決這樣的問題呢？目前主要有兩種方式可以解決這個(gè)問題，第一種是在防火墻中內(nèi)置DHCP服務(wù)器，但這種方式由于防火墻內(nèi)置DHCP服務(wù)器，會(huì)導(dǎo)致防火墻本身的不安全，如果有一天防火墻失效，造成DHCP服務(wù)器宕機(jī)會(huì)影響整個(gè)網(wǎng)絡(luò)而并不僅僅只對(duì)出口造成影響。另一種比較好的解決方法是防火墻支持基于MAC地址的訪問控制，在配置之前，先不添IP地址只添網(wǎng)卡的MAC地址，開機(jī)后自動(dòng)將獲得的IP地址傳給防火墻，防火墻根據(jù)這個(gè)IP地址與MAC地址進(jìn)行綁定來(lái)實(shí)現(xiàn)訪問控制，這種方式可以實(shí)現(xiàn)IP地址與MAC地址的綁定。這種方式的好處是防火墻受到破壞并不會(huì)對(duì)這個(gè)局域網(wǎng)的通訊產(chǎn)生影響，DHCP服務(wù)器不會(huì)受到影響，整個(gè)網(wǎng)絡(luò)也不需要進(jìn)行改動(dòng)。

（用戶）綁定針對(duì)IP欺騙的行為，我校校園網(wǎng)網(wǎng)絡(luò)設(shè)置中將工作站的IP地址與網(wǎng)卡的MAC地址進(jìn)行綁定。

2個(gè)WEB服務(wù)器。因此，通過這種方式有兩個(gè)優(yōu)點(diǎn)，第一是這些服務(wù)器可以使用私有地址，同時(shí)也隱藏了內(nèi)網(wǎng)的結(jié)構(gòu)，如果這時(shí)黑客進(jìn)行攻擊進(jìn)行掃描，內(nèi)網(wǎng)是安全的，因?yàn)?1.235.51.6地址是防火墻的外端口，真正的WEB服務(wù)器的地址是192.168.0.1不會(huì)受到攻擊，這樣可以增加網(wǎng)絡(luò)的安全性

4.1.3NAT（地址轉(zhuǎn)換）功能

網(wǎng)絡(luò)地址轉(zhuǎn)換可以將內(nèi)網(wǎng)的私有地址利用防火墻的地址轉(zhuǎn)換功能，來(lái)實(shí)現(xiàn)對(duì)地址的轉(zhuǎn)換，防火墻可以隨機(jī)設(shè)置靜態(tài)合發(fā)地址或者動(dòng)態(tài)地址池，防火墻向外的報(bào)文可以從地址池里隨機(jī)找一個(gè)報(bào)文轉(zhuǎn)發(fā)出來(lái)。利用這個(gè)方式也有兩個(gè)優(yōu)點(diǎn)：第一可隱藏內(nèi)網(wǎng)的結(jié)構(gòu)，第二是內(nèi)部網(wǎng)絡(luò)可以使用保留地址，提供IP復(fù)用功能。

具體NAT功能配置如下：

nat inside source list 22 pool pool100 nat inside destination static 10.106.1.16172.1.1.15 nat inside destination static tcp 10.106.1.16 21 172.1.1.11 21 nat inside destination static tcp 10.106.1.16 80 172.1.1.12 80

5.外網(wǎng)防火墻功能配置

5.1 基于外網(wǎng)的防火墻功能及配置 5.1.1 DOS攻擊防范

防范DOS攻擊的傳統(tǒng)技術(shù)主要有4種：

①加固操作系統(tǒng)，即配置操作系統(tǒng)各種參數(shù)以加強(qiáng)系統(tǒng)穩(wěn)固性 ②利用防火墻

③負(fù)載均衡技術(shù)，即把應(yīng)用業(yè)務(wù)分布到幾臺(tái)不同的服務(wù)器上 ④帶寬限制和QOS保證

本論文主要介紹利用防火墻來(lái)應(yīng)對(duì)DOS的攻擊。目前絕大數(shù)的主流防火墻都支持IPInspect功能，防火墻會(huì)對(duì)進(jìn)入防火墻的信息進(jìn)行嚴(yán)格的檢測(cè)。這樣，各種針對(duì)系統(tǒng)漏洞的攻擊包會(huì)自動(dòng)被系統(tǒng)過濾掉，從而保護(hù)了網(wǎng)絡(luò)免受來(lái)自外部的系統(tǒng)漏洞攻擊。通過設(shè)置ACL過濾、TCP監(jiān)聽功能，過濾不必要的UDP和ICMP數(shù)據(jù)報(bào)。

防火墻的基本配置如下：

firewall(config)#nameif fa0/1 inside security 100 firewall(config)#nameif fa0/2 inside security 100 firewall(config)#nameif fa0/3 outside security 0 firewall(config)#int fa0/1 auto firewall(config-if)#ip add inside 192.168.6.1 255.255.255.0 firewall(config-if)#no shutdown firewall(config-if)#int fa0/2 auto firewall(config-if)#ip add inside 192.168.7.1 255.255.255.0 firewall(config-if)#no shutdown firewall(config-if)#int fa0/3 auto firewall(config-if)#ip add outside 192.168.5.2 255.255.255.0 firewall(config-if)#no shutdown firewall(config-if)#exit 由于我們經(jīng)常會(huì)開啟一些小服務(wù)，例如echo(回顯)端口和discard(丟棄)端口，用于診斷，回顯端口將重放那些端口所接受到的數(shù)據(jù)包，而丟棄端口則將數(shù)據(jù)包丟棄，由于丟棄數(shù)據(jù)包或回顯數(shù)據(jù)包都會(huì)消耗Pcu周期，一些DOS攻擊就采用這些端口。所以建議在防火墻接口上關(guān)閉這些服務(wù)

firewall(config)#no service tcp-small-servers firewall(config)#no service udp-small-servers firewall(config)#no service finner firewall(config)#no ip directed-broadcast 5.1.2訪問控制功能

防火墻最基本的功能是訪問控制功能，一個(gè)域的信息流穿過防火墻對(duì)另一個(gè)域進(jìn)行訪問的時(shí)候，防火墻可以截獲信息并對(duì)信息進(jìn)行檢查，按著管理員設(shè)置的安全策略逐條進(jìn)行匹配，如果符合安全策略，則逐條進(jìn)行轉(zhuǎn)發(fā)；不符合則進(jìn)行堵斷。因此防火墻基本的訪問控制功能是基于源IP地址、目的IP地址、源端口、目的端口、時(shí)間、流量、用戶、文件、網(wǎng)址和MAC地址來(lái)做訪問控制功能，這是防火墻最基本的訪問控制技術(shù)。

配置命令如下：

access-list extended 500 permit icmp ip access-list service 1021 ftp any 10.106.1.160.0.0.255 ip access-list service 1025 smtp any 10.106.1.160.0.0.255

51617-