个功能，必须保证系统有个可靠的时钟。从特权模式开始，您可以通过以下步骤来设置个表时间列表配置命令作用进入全局配置模式。通过个有意义的显示字符串作为名字来标识个设置绝对时间区间可选，具体可参见的配置指南设置周期时间可选，具体可参见的配置指南进入配置模式配置时间区的配置实现方式根据转换地址的对应关系方式只转换报文头中的地址，在地址之间建立对映射，实现简单。方式采用地址端口的映射方式进行地址转换，利用协议的端口号区分不同的主机，建立多对多的映射关系。配置步骤配置接口及路由定义设备的内外口定义地址池子网掩码前缀长度定义转换方法及转换关联关系号定义内部源地址动态定义静态号利用或者路由图定义允许转换的用户列表转换内部主机的源转换内部主机的目标转换外部主机的源防火墙的安全性配置配置防攻击防火墙提供了如下方法防攻击的方法，启用报文限速功能，如下配置表防攻击配置命令作用启用防攻击功能。匹配的配置的速率阀值，单位配置防攻击通过下述配置，可以有效地进行该类攻击的防御。表防攻击配置命令作用启用防攻击功能。匹配的配置的速率阀值，单位配置防不可达攻击不同的系统对不可达报文的处理不同，有的系统在收到网络代码为或主机代码为不可达的报文后，对于后续发往此目的地的报文直接认为不可达，好像切断了目的地与主机的连接，造成攻击。通过下述配置，可以有效地进行该类攻击的防御。表防不可达攻击配置命令作用启用防不可达攻击功能，收到的不可达报文被丢弃配置防攻击通过下述配置，可以有效地进行该类攻击的防御。表防攻击配置命令作用启用防攻击功能。匹配的配置的速率阀值，单位配置静态黑名单所谓黑名单，是指根据报文的源地址进行过滤的种方式。同基于的包过滤功能相比，由于黑名单进行匹配的域非常简单，可以以很高的速度实现报文的过滤，从而有效地将特定地址发送来的报文屏蔽。黑名单最主要的个特色是可以由启用防扫描和端口扫描动态地进行添加或删除，当根据报文的行为特征察觉到特定地址的攻击企图之后，通过主动修改黑名单列表从而将该地址发送的报文过滤掉。因此，黑名单是防火墙个重要的安全特性。表黑名单配置命令作用把值为的地址加入静态黑名单把值为的地址从黑名单中删除显示被列入黑名单的信息清除非手工配置的黑名单安全域配置安全域创建创建安全域表创建安全域配置命令作用创建安全域。安全域名称，长度为个字符配置安全域关联的对于未明确划分入安全域的地址，统划分入安全域。安全域特点默认情况下安全域内的用户不可访问其他安全域，其他安全域也不可访问安全域除非用户明确下发策略安全域内的用户间默认也是不可互访的。表安全域配置命令作用配置安全域关联的。关联的标准名称安全域默认互访规则配置安全域间的默认互访权限表域间权限配置命令作用安全域间互访策略找不到时允许相同的互相访问。如果未配置这个命令，安全域间互访策略找不到时相同的互相不能访问。配置安全域优先级绑定默认情况下高优先级安全域可主动访问低优先级安全域低优先级安全域不可访问高优先级安全域可通过命令设置同等级安全域间的互访权限配置后相等时可访问。未配置该命令时互访策略不存在，即使相等也不能访问。且安全域间的策略优先级高于默认互访控制规则。表安全域优先级配置命令作用安全域可设置优先级为。数值越大优先级别越高。基于安全域的互访策略配置安全域间的互访策略表域间互访配置命令作用配置从个安全域访问另外个安全域的互访策略，单向有效关联的互访策略安全域名称安全域下发的策略至少可包含以下要素的组合源目的协议类型四层端口号携带此关键字时，表明匹配条目的数据流在连接建立撤销时需要打应日志信息安全域间互访策略找不到时允许相同的互相访问。如果未配置这个命令，安全域间互访策略找不到时相同的互相不能访问。配置安全域内的互访策略表域内互访配置命令作用配置安全域内互访策略找不到时允许安全域内的互相访问。如果未配置这个命令，安全域内互访策略找不到时安全域内的互相不能访问虚拟防火墙配置创建虚拟防火墙在根防火墙下全局配置模式执行创建对应的虚拟防火墙，并指定该虚拟防火墙的配置文件，指派网络接口到虚拟防火墙。以下是在根防火墙创建虚拟防火墙的配置步骤表创建虚拟防火墙配置命令作用进入全局配置模配置的安全域以及安全域的各项测率，所在网段能访问所在网段，不能访问所在网段都能访问所在的外网网段外网网段无法访问网段，但是可以访问网段。在上配置两个，分别连接两台虚拟防火墙，并且将连接到两台的接口分别划分到两个中，并且分别建立邻居。配置，测试项表测试记录表可以通不可以通可以通不可以通可以通可以通虚拟防火墙的测试过程可以通可以通可以通不可以通不可以通可以通性能指标测试常见的防火墙的性能指标最大位转发率吞吐量延时丢包率背靠背最大并发连接数最大并发连接建立速率最大策略数平均无故障间隔时间支持的最大用户数等。最大位转发率定义防火墙的位转发率指在特定的负载下每秒钟防火墙将允许的数据流转发至正确的目的接口的位数。最大位转发率指在不同的负载下反复测量得出的位转发率数值中的最大值。测试合格吞吐量定义在不丢包的情况下能够达到的最大速率衡量标准吞吐量作为衡量防火墙性能的重要指标之，吞吐量小就会造成网络新的瓶颈，以至影响到整个网络的性能。测试合格延时定义入口处输入帧最后个比特到达至出口处输出帧的第个比特输出所用的时间间隔衡量标准防火墙的延时能够体现它处理数据的速度。测试合格丢包率定义在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧的百分比衡量标准防火墙的丢包率对其稳定性可靠性有很大的影响。缓冲定义从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧。当出现第个帧丢失时，发送的帧数。衡量标准背对背的测试结果能体现出被测防火墙的缓冲容量，网络上经常有些应用会产生大量的突发数据包例如，备份，路由更新等，而且这样的数据包的丢失可能会产生更多的数据包的丢失，强大的缓冲能力可以减少这种突发对网络造成的影响。测试合格总结整个防火墙设计方案利用了现有的防火墙基础技术和最新研究的防火墙技术，对研究防火墙设计，提高网络安全性具有十分重要的实际意义。在网络安全解决方案中，建立或设置防火墙是个非常关键和有效的环节。而本文则设计和实现了个面向校园，企业，数据中心级的网关型防火墙，并为它们提供可靠的安全保护。本文论述了防火墙的背景知识，包括防火墙的基本概念和防火墙技术的发展情况等。然后对设计这款防火墙所需要的主要技术进行了详细介绍，包括访问控制列表技术，网络地址转换技术抗病毒攻击技术安全域技术虚拟防火墙技术与服务器的联动技术日志记录分析技术等。在此基础上，以我设计的防火墙为例，从防火墙的各项功能着手，分析并设计防火墙功能的实现方法及相应的软件配置。并通过各项测试来验证防火墙的功能，全文比较完整地叙述了此款防火墙的技术特点及性能。本文所设计的防火墙，主要的成果有以下几点集合了访问控制列表技术，网络地址转换技术抗病毒攻击技术能很好的满足校园及企业的需求。安全域技术虚拟防火墙技术则对数据中心的安全需求提供了强大的支持。日志的记录与查询为整个网络的监控提供了所有信息的记录。与服务器的联动不仅能提供强大的功能扩展，还能减轻防火墙的负担。经过设备的实际测试和模拟器的测试，证明此款防火墙的功能是完全可行的。本课题所设计的防火墙完全符合现有市场需求，能在真实环境中使用。虽然对防火墙的设计作了大量的工作，取得了些成果，但还是有许多问题需要进步研究。在技术上还不能完全支持，这主要是由于此款防火墙的侧重点不同，而且需要许多相关的隧道应用知识，这需要尽可能的通过实际应用来了解这些功能的使用环境。致谢在此学士学位论文完成之际，首先向辛勤培养我的导师李斌老师和公司熊炜导师致以诚挚的感谢和崇高的敬意。本学位论文是在我的指导老师李斌，公司导师熊炜的悉心指导和关怀下完成的。从论文的选题实验设计结果讨论到论文的撰写及最后的定稿，无不倾注了李斌老师和熊炜老师的心血。是他的热情教诲和帮助，激励着我完成了本文的研究工作。同时还要感谢电信教研室的各位老师，在我本科学习期间他们给了我很多帮助，他们的诲人不倦和勇于探索创新的开拓精神给我留下了深刻印象，为我以后学习和工作树立的榜样。多年来，父母和家人以及许多同学在生活和精神上的帮助，直激励着我，使我的学业得以顺利完成，我衷心地祝福他们,在此，向所有关心和帮助过我的领导老师同学和朋友表示由衷的谢意,衷心地感谢在百忙之中评阅论文和参加答辩的各位老师教授,参考文献美防火墙技术指南机械工业出版社，美路由器防火墙安全人民邮电出版社，海尔美刘成勇翻蒋克防火墙与网络安全机械工业出版社，楚狂等网络安全与防火墙技术人民邮电出版社，杨富国吕志军蔡圣闻网络设备安全与防火墙北京交通大学出版社，杨辉，吴昊防火墙网络安全解决方案国防工业出版社，北京启明星辰信息技术有限公司编防火墙原理与实用技术电子工业出版社，崔佳移动数据穿越防火墙问题的研究和实现重庆大学硕士学位论文，林延福入侵防御系统技术研究与设计西安电子科技大学硕士学位论文刘文涛基于协议分析的网络入侵检测系统研究与设计武汉理工大学硕士学位论文，王文芳防火墙及网络安全技术河南科技崔鹏，文伟军，顾朝灿分布式与智能化防火墙技术兵工自动化黄登玺，卿斯汉，蒙杨防火墙核心技术的研究和高安全等级防火墙的设