第一篇：計(jì)算機(jī)網(wǎng)絡(luò)安全防火墻技術(shù)畢業(yè)論文

計(jì)算機(jī)網(wǎng)絡(luò)安全防火墻技術(shù)畢業(yè)論文

防火墻原是指建筑物大廈用來(lái)防止火災(zāi)蔓延的隔斷墻。從理論上講,Internet防火墻服務(wù)也屬于類似的用來(lái)防止外界侵入的。它可以防止 Internet上的各種危險(xiǎn)(病毒、資源盜用等)傳播到你的網(wǎng)絡(luò)內(nèi)部。而事實(shí)上,防火墻并不像現(xiàn)實(shí)生活中的防火墻,它有點(diǎn)像古代守護(hù)城池用的護(hù)城河,服務(wù)于以下多個(gè)目的:

1)限定人們從一個(gè)特定的控制點(diǎn)進(jìn)入;

2)限定人們從一個(gè)特定的點(diǎn)離開(kāi);

3)防止侵入者接近你的其他防御設(shè)施;

4)有效地阻止破壞者對(duì)你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。

在現(xiàn)實(shí)生活中,Internet防火墻常常被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)上并接入Internet。

從上圖不難看出,所有來(lái)自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過(guò)防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。從邏輯上講,防火墻是起分隔、限制、分析的作用,這一點(diǎn)同樣可以從圖1中體會(huì)出來(lái)。那么,防火墻究竟是什么呢?實(shí)際上,防火墻是加強(qiáng)Internet(內(nèi)部網(wǎng))之間安全防御的一個(gè)或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。3.防火墻技術(shù)與產(chǎn)品發(fā)展的回顧

防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分,它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能:●過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);

●管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為;

●封堵某些禁止行為;

●記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng);

●對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。

為實(shí)現(xiàn)以上功能,在防火墻產(chǎn)品的開(kāi)發(fā)中,人們廣泛地應(yīng)用了網(wǎng)絡(luò)拓?fù)洹⒂?jì)算機(jī)操作系統(tǒng)、路由、加密、訪問(wèn)控制、安全審計(jì)等成熟或先進(jìn)的技術(shù)和手段?？v觀防火墻近年來(lái)的發(fā)展,可以將其劃分為如下四個(gè)階段(即四代)。

3.1 基于路由器的防火墻

由于多數(shù)路由器本身就包含有分組過(guò)濾功能,故網(wǎng)絡(luò)訪問(wèn)控制可能通過(guò)路控制來(lái)實(shí)現(xiàn),從而使具有分組過(guò)濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點(diǎn)是:

1)利用路由器本身對(duì)分組的解析,以訪問(wèn)控制表(Access List)方式實(shí)現(xiàn)對(duì)分組的過(guò)濾;

2)過(guò)濾判斷的依據(jù)可以是:地址、端口號(hào)、IP旗標(biāo)及其他網(wǎng)絡(luò)特征;

3)只有分組過(guò)濾的功能,且防火墻與路由器是一體的。這樣,對(duì)安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法,而對(duì)安全性要求高的網(wǎng)絡(luò)則需要單獨(dú)利用一臺(tái)路由器作為防火墻。

●路由協(xié)議十分靈活,本身具有安全漏洞,外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如,在使用FTP協(xié)議時(shí),外部服務(wù)器容易從20號(hào)端口上與內(nèi)部網(wǎng)相連,即使在路由器上設(shè)置了過(guò)濾規(guī)則,內(nèi)部網(wǎng)絡(luò)的20號(hào)端口仍可以由外部探尋。

●路由器上分組過(guò)濾規(guī)則的設(shè)置和配置存在安全隱患。對(duì)路由器中過(guò)濾規(guī)則的設(shè)置和配置十分復(fù)雜,它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性,一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任,加之一旦出現(xiàn)新的協(xié)議,管理員就得加上更多的規(guī)則去限制,這往往會(huì)帶來(lái)很多錯(cuò)誤。

●路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的,黑客(Hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。

●路由器防火墻的本質(zhì)缺陷是:由于路由器的主要功能是為網(wǎng)絡(luò)訪問(wèn)提供動(dòng)態(tài)的、靈活的路由,而防火墻則要對(duì)訪問(wèn)行為實(shí)施靜態(tài)的、固定的控制,這是一對(duì)難以調(diào)和的矛盾,防火墻的規(guī)則設(shè)置會(huì)大大降低路由器的性能。

可以說(shuō)基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施,用這種權(quán)宜之計(jì)去對(duì)付黑客的攻擊是十分危險(xiǎn)的。

3.2 用戶化的防火墻工具套

為了彌補(bǔ)路由器防火墻的不足,很多大型用戶紛紛要求以專門(mén)開(kāi)發(fā)的防火墻系統(tǒng)來(lái)保護(hù)自己的網(wǎng)絡(luò),從而推動(dòng)了用戶防火墻工具套的出現(xiàn)。

作為第二代防火墻產(chǎn)品,用戶化的防火墻工具套具有以下特征:

1)將過(guò)濾功能從路由器中獨(dú)立出來(lái),并加上審計(jì)和告警功能;

2)針對(duì)用戶需求,提供模塊化的軟件包;

3)軟件可以通過(guò)網(wǎng)絡(luò)發(fā)送,用戶可以自己動(dòng)手構(gòu)造防火墻;

4)與第一代防火墻相比,安全性提高了,價(jià)格也降低了。

由于是純軟件產(chǎn)品,第二代防火墻產(chǎn)品無(wú)論在實(shí)現(xiàn)上還是在維護(hù)上都對(duì)系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求,并帶來(lái)以下問(wèn)題:

配置和維護(hù)過(guò)程復(fù)雜、費(fèi)時(shí);

對(duì)用戶的技術(shù)要求高;

全軟件實(shí)現(xiàn),使用中出現(xiàn)差錯(cuò)的情況很多。

3.3 建立在通用操作系統(tǒng)上的防火墻

基于軟件的防火墻在銷售、使用和維護(hù)上的問(wèn)題迫使防火墻開(kāi)發(fā)商很快推出了建立在通用操作系統(tǒng)上的商用防火墻產(chǎn)品。近年來(lái)市場(chǎng)上廣泛使用的就是這一代產(chǎn)品,它們具有如下一些特點(diǎn):

1)是批量上市的專用防火墻產(chǎn)品;

2)包括分組過(guò)濾或者借用路由器的分組過(guò)濾功能;

3)裝有專用的代理系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令;

4)保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置;

5)安全性和速度大大提高。

第三代防火墻有以純軟件實(shí)現(xiàn)的,也有以硬件方式實(shí)現(xiàn)的,它們已經(jīng)得到了廣大用戶的認(rèn)同。但隨著安全需求的變化和使用時(shí)間的推延,仍表現(xiàn)出不少問(wèn)題,比如:

1)作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知,由于源碼的保密,其安全性無(wú)從保證;

2)由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商,通用操作系統(tǒng)廠商不會(huì)對(duì)操作系統(tǒng)的安全性負(fù)責(zé);

3)從本質(zhì)上看,第三代防火墻既要防止來(lái)自外部網(wǎng)絡(luò)的攻擊,還要防止來(lái)自操作系統(tǒng)廠商的攻擊;

4)在功能上包括了分組過(guò)濾、應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)且具有加密鑒別功能;

5)透明性好,易于使用。

第二篇：aj-dphba計(jì)算機(jī)網(wǎng)絡(luò)安全防火墻技術(shù)畢業(yè)論文

、.~ ① 我們‖打〈敗〉了敵人。

②我們‖〔把敵人〕打〈敗〉了。

計(jì)算機(jī)網(wǎng)絡(luò)安全防火墻技術(shù)畢業(yè)論文

防火墻原是指建筑物大廈用來(lái)防止火災(zāi)蔓延的隔斷墻。從理論上講,Internet防火墻服務(wù)也屬于類似的用來(lái)防止外界侵入的。它可以防止 Internet上的各種危險(xiǎn)(病毒、資源盜用等)傳播到你的網(wǎng)絡(luò)內(nèi)部。而事實(shí)上,防火墻并不像現(xiàn)實(shí)生活中的防火墻,它有點(diǎn)像古代守護(hù)城池用的護(hù)城河,服務(wù)于以下多個(gè)目的:

1)限定人們從一個(gè)特定的控制點(diǎn)進(jìn)入;2)限定人們從一個(gè)特定的點(diǎn)離開(kāi);3)防止侵入者接近你的其他防御設(shè)施;

4)有效地阻止破壞者對(duì)你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。

在現(xiàn)實(shí)生活中,Internet防火墻常常被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)上并接入Internet。

從上圖不難看出,所有來(lái)自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過(guò)防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。從邏輯上講,防火墻是起分隔、限制、分析的作用,這一點(diǎn)同樣可以從圖1中體會(huì)出來(lái)。那么,防火墻究竟是什么呢?實(shí)際上,防火墻是加強(qiáng)Internet(內(nèi)部網(wǎng))之間安全防御的一個(gè)或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。3.防火墻技術(shù)與產(chǎn)品發(fā)展的回顧

防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分,它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能: ●過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);●管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為;●封堵某些禁止行為;

●記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng);●對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。

為實(shí)現(xiàn)以上功能,在防火墻產(chǎn)品的開(kāi)發(fā)中,人們廣泛地應(yīng)用了網(wǎng)絡(luò)拓?fù)?、?jì)算機(jī)操作系統(tǒng)、路由、加密、訪問(wèn)控制、安全審計(jì)等成熟或先進(jìn)的技術(shù)和手段?？v觀防火墻近年來(lái)的發(fā)展,可以將其劃分為如下四個(gè)階段(即四代)。

3.1 基于路由器的防火墻

由于多數(shù)路由器本身就包含有分組過(guò)濾功能,故網(wǎng)絡(luò)訪問(wèn)控制可能通過(guò)路控制來(lái)實(shí)現(xiàn),從而使具有分組過(guò)濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點(diǎn)是: 1)利用路由器本身對(duì)分組的解析,以訪問(wèn)控制表(Access List)方式實(shí)現(xiàn)對(duì)分組的過(guò)濾;2)過(guò)濾判斷的依據(jù)可以是:地址、端口號(hào)、IP旗標(biāo)及其他網(wǎng)絡(luò)特征;

3)只有分組過(guò)濾的功能,且防火墻與路由器是一體的。這樣,對(duì)安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法,而對(duì)安全性要求高的網(wǎng)絡(luò)則需要單獨(dú)利用一臺(tái)路由器作為防火墻。

●路由協(xié)議十分靈活,本身具有安全漏洞,外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如,在使用FTP協(xié)議時(shí),外部服務(wù)器容易從20號(hào)端口上與內(nèi)部網(wǎng)相連,即使在路由器上設(shè)置了過(guò)濾規(guī)則,內(nèi)部網(wǎng)絡(luò)的20號(hào)端口仍可以由外部探尋。

●路由器上分組過(guò)濾規(guī)則的設(shè)置和配置存在安全隱患。對(duì)路由器中過(guò)濾規(guī)則的設(shè)置和配置十分復(fù)雜,它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性,一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任,加之一旦出現(xiàn)新的協(xié)議,管理員就得加上更多的規(guī)則去限制,這往往會(huì)帶來(lái)很多錯(cuò)誤。

●路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的,黑客(Hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。

●路由器防火墻的本質(zhì)缺陷是:由于路由器的主要功能是為網(wǎng)絡(luò)訪問(wèn)提供動(dòng)態(tài)的、靈活的路由,而防火墻則要對(duì)訪問(wèn)行為實(shí)施靜態(tài)的、固定的控制,這是一對(duì)難以調(diào)和的矛盾,防火墻的規(guī)則設(shè)置會(huì)大大降低路由器的性能。

可以說(shuō)基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施,用這種權(quán)宜之計(jì)去對(duì)付黑客的攻擊是十分危險(xiǎn)的。

3.2 用戶化的防火墻工具套

為了彌補(bǔ)路由器防火墻的不足,很多大型用戶紛紛要求以專門(mén)開(kāi)發(fā)的防火墻系統(tǒng)來(lái)保護(hù)自己的網(wǎng)絡(luò),從而推動(dòng)了用戶防火墻工具套的出現(xiàn)。

作為第二代防火墻產(chǎn)品,用戶化的防火墻工具套具有以下特征: 1)將過(guò)濾功能從路由器中獨(dú)立出來(lái),并加上審計(jì)和告警功能;2)針對(duì)用戶需求,提供模塊化的軟件包;

3)軟件可以通過(guò)網(wǎng)絡(luò)發(fā)送,用戶可以自己動(dòng)手構(gòu)造防火墻;4)與第一代防火墻相比,安全性提高了,價(jià)格也降低了。

由于是純軟件產(chǎn)品,第二代防火墻產(chǎn)品無(wú)論在實(shí)現(xiàn)上還是在維護(hù)上都對(duì)系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求,并帶來(lái)以下問(wèn)題: 配置和維護(hù)過(guò)程復(fù)雜、費(fèi)時(shí);對(duì)用戶的技術(shù)要求高;

全軟件實(shí)現(xiàn),使用中出現(xiàn)差錯(cuò)的情況很多。

3.3 建立在通用操作系統(tǒng)上的防火墻

基于軟件的防火墻在銷售、使用和維護(hù)上的問(wèn)題迫使防火墻開(kāi)發(fā)商很快推出了建立在通用操

作系統(tǒng)上的商用防火墻產(chǎn)品。近年來(lái)市場(chǎng)上廣泛使用的就是這一代產(chǎn)品,它們具有如下一些

特點(diǎn):

1)是批量上市的專用防火墻產(chǎn)品;

2)包括分組過(guò)濾或者借用路由器的分組過(guò)濾功能;3)裝有專用的代理系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令;4)保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置;5)安全性和速度大大提高。

第三代防火墻有以純軟件實(shí)現(xiàn)的,也有以硬件方式實(shí)現(xiàn)的,它們已經(jīng)得到了廣大用戶的認(rèn)同

。但隨著安全需求的變化和使用時(shí)間的推延,仍表現(xiàn)出不少問(wèn)題,比如:

1)作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知,由于源碼的保密,其安全性

無(wú)從保證;

2)由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商,通用操作系統(tǒng)廠商不會(huì)對(duì)操作系統(tǒng)的安全性負(fù)責(zé);

3)從本質(zhì)上看,第三代防火墻既要防止來(lái)自外部網(wǎng)絡(luò)的攻擊,還要防止來(lái)自操作系統(tǒng)廠商的攻擊;

4)在功能上包括了分組過(guò)濾、應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)且具有加密鑒別功能;5)透明性好,易于使用。

第三篇：計(jì)算機(jī)防火墻技術(shù)畢業(yè)論文

本文由yin528855貢獻(xiàn)

doc文檔可能在WAP端瀏覽體驗(yàn)不佳。建議您優(yōu)先選擇TXT，或下載源文件到本機(jī)查看。

計(jì)算機(jī)防火墻技術(shù)論文

畢 業(yè) 論 文

計(jì)算機(jī)防火墻技術(shù)

姓 學(xué)

名： 號(hào)：

指導(dǎo)老師： 系 專 班 名： 業(yè)： 級(jí)：

二零一零年十一月十五日 1 計(jì)算機(jī)防火墻技術(shù)論文

摘要

因特網(wǎng)的迅猛發(fā)展給人們的生活帶來(lái)了極大的方便，但同時(shí)因特網(wǎng)也面臨 著空前的威脅。因此，如何使用有效可行的方法使網(wǎng)絡(luò)危險(xiǎn)降到人們可接受的范 圍之內(nèi)越來(lái)越受到人們的關(guān)注。而如何實(shí)施防范策略，首先取決于當(dāng)前系統(tǒng)的安 全性。所以對(duì)網(wǎng)絡(luò)安全的各獨(dú)立元素——防火墻、漏洞掃描、入侵檢測(cè)和反病毒 等進(jìn)行風(fēng)險(xiǎn)評(píng)估是很有必要的。防火墻技術(shù)作為時(shí)下比較成熟的一種網(wǎng)絡(luò)安全技術(shù)，其安全性直接關(guān)系到用 戶的切身利益。針對(duì)網(wǎng)絡(luò)安全獨(dú)立元素——防火墻技術(shù)，通過(guò)對(duì)防火墻日志文件 的分析，設(shè)計(jì)相應(yīng)的數(shù)學(xué)模型和軟件雛形，采用打分制的方法，判斷系統(tǒng)的安全 等級(jí)，實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。對(duì)網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問(wèn)，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運(yùn)行，利用網(wǎng)絡(luò)傳播病毒，線路竊聽(tīng)等方面。這以要求我們與 Internet 互連所帶來(lái)的安全性問(wèn)題予以足夠重視。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展 使網(wǎng)絡(luò)安全問(wèn)題日益突出,而防火墻是應(yīng)用最廣泛的安全產(chǎn)品。本文闡述了網(wǎng)絡(luò) 防火墻的工作原理并對(duì)傳統(tǒng)防火墻的利弊進(jìn)行了對(duì)比分析,最后結(jié)合計(jì)算機(jī)科學(xué) 其它領(lǐng)域的相關(guān)新技術(shù),提出了新的防火墻技術(shù),并展望了其發(fā)展前景。

關(guān)鍵詞： 關(guān)鍵詞 ：包過(guò)濾 智能防火墻

應(yīng)用層網(wǎng)關(guān)

分布式防火墻

監(jiān)測(cè)型防火墻 嵌入式防火墻

網(wǎng)絡(luò)安全，防火墻，防范策略，發(fā)展趨勢(shì) 2 計(jì)算機(jī)防火墻技術(shù)論文

摘要?? 1 第一章 引言 ?? 4 1.1 研究背景?? 4 1.2 研究目的?? 4 1.3 論文結(jié)構(gòu)?? 5 第二章 網(wǎng)絡(luò)安全 ?? 6 2.1 網(wǎng)絡(luò)安全問(wèn)題?? 6 2.1.1 網(wǎng)絡(luò)安全面臨的主要威脅 ?? 6 2.1.2 影響網(wǎng)絡(luò)安全的因素 ?? 6 2.2 網(wǎng)絡(luò)安全措施?? 7 2.2.1 完善計(jì)算機(jī)安全立法 ?? 7 2.2.2 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) ?? 7 2.3 制定合理的網(wǎng)絡(luò)管理措施?? 8 第三章 防火墻概述 ?? 9 3.1 防火墻的概念?? 9 3.1.1 傳統(tǒng)防火墻介紹 ?? 9 3.1.2 智能防火墻簡(jiǎn)介 ?? 10 3.2 防火墻的功能?? 11 3.2.1 防火墻的主要功能 ?? 11 3.2.2 入侵檢測(cè)功能 ?? 11 3.2.3 虛擬專網(wǎng)功能 ?? 12 3.2.4 其他功能 ?? 12 3.3 防火墻的原理及分類?? 13 3.3.1 包過(guò)濾防火墻 ?? 13 3.3.2 應(yīng)用級(jí)代理防火墻 ?? 13 3.3.3 代理服務(wù)型防火墻 ?? 14 3.3.4 復(fù)合型防火墻 ?? 14 3.4 防火墻包過(guò)濾技術(shù)?? 14 3.4.1 數(shù)據(jù)表結(jié)構(gòu) ?? 15 3.4.2 傳統(tǒng)包過(guò)濾技術(shù) ?? 16 3.4.3 動(dòng)態(tài)包過(guò)濾 ?? 17 3.4.4 深度包檢測(cè) ?? 17 3.4.5 流過(guò)濾技術(shù) ?? 18 第四章 防火墻的配置 ?? 20 4.1 硬件連接與實(shí)施?? 20 4.2 防火墻的特色配置?? 20 4.3 軟件的配置與實(shí)施?? 21 第五章 防火墻發(fā)展趨勢(shì) ?? 23 5.1 防火墻包過(guò)濾技術(shù)發(fā)展趨勢(shì)?? 23 5.2 防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)?? 24 5.3 防火墻的系統(tǒng)管理發(fā)展趨勢(shì)?? 24 結(jié)論?? 25 參考文獻(xiàn)?? 26 致謝?? 27 3 計(jì)算機(jī)防火墻技術(shù)論文

第一章

1.1 研究背景

引言

隨著互聯(lián)網(wǎng)的普及和發(fā)展，尤其是 Internet 的廣泛使用，使計(jì)算機(jī)應(yīng)用更 加廣泛與深入。同時(shí)，我們不得不注意到，網(wǎng)絡(luò)雖然功能強(qiáng)大，也有其脆弱易受 到攻擊的一面。據(jù)美國(guó) FBI 統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全問(wèn)題所造成的經(jīng)濟(jì)損失高 達(dá) 75 億美元，而全求平均每 20 秒鐘就發(fā)生一起 Internet 計(jì)算機(jī)侵入事件[1]。在我國(guó)，每年因黑客入侵、計(jì)算機(jī)病毒的破壞也造成了巨大的經(jīng)濟(jì)損失。人們?cè)?利用網(wǎng)絡(luò)的優(yōu)越性的同時(shí)，對(duì)網(wǎng)絡(luò)安全問(wèn)題也決不能忽視。如何建立比較安全的 網(wǎng)絡(luò)體系，值得我們關(guān)注研究。

1.2 研究目的

為了解決互聯(lián)網(wǎng)時(shí)代個(gè)人網(wǎng)絡(luò)安全的問(wèn)題，近年來(lái)新興了防火墻技術(shù)[2]。防火墻具有很強(qiáng)的實(shí)用性和針對(duì)性，它為個(gè)人上網(wǎng)用戶提供了完整的網(wǎng)絡(luò)安全解 決方案，可以有效地控制個(gè)人電腦用戶信息在互聯(lián)網(wǎng)上的收發(fā)。用戶可以根據(jù)自 己的需要，通過(guò)設(shè)定一些參數(shù)，從而達(dá)到控制本機(jī)與互聯(lián)網(wǎng)之間的信息交流阻止 惡性信息對(duì)本機(jī)的攻擊，比如 ICMPnood 攻擊、聊天室炸彈、木馬信息破譯并修 改郵件密碼等等。而且防火墻能夠?qū)崟r(shí)記錄其它系統(tǒng)試圖對(duì)本機(jī)系統(tǒng)的訪問(wèn)，使 計(jì)算機(jī)在連接到互聯(lián)網(wǎng)的時(shí)候避免受到網(wǎng)絡(luò)攻擊和資料泄漏的安全威脅。防火墻 可以保護(hù)人們?cè)诰W(wǎng)上瀏覽時(shí)免受黑客的攻擊，實(shí)時(shí)防范網(wǎng)絡(luò)黑客的侵襲，還可以 根據(jù)自己的需要?jiǎng)?chuàng)建防火墻規(guī)則，控制互聯(lián)網(wǎng)到 PC 以及 PC 到互聯(lián)網(wǎng)的所有連接，并屏蔽入侵企圖。防火可以有效地阻截各種惡意攻擊、保護(hù)信息的安全;信息泄 漏攔截保證安全地瀏覽網(wǎng)頁(yè)、遏制郵件病毒的蔓延;郵件內(nèi)容檢測(cè)可以實(shí)時(shí)監(jiān)視 郵件系統(tǒng)，阻擋一切針對(duì)硬盤(pán)的惡意活動(dòng)。個(gè)人防火墻就是在單機(jī) Windows 系統(tǒng)上，采取一些安全防護(hù)措施，使得本機(jī) 的息得到一定的保護(hù)。個(gè)人防火墻是面向單機(jī)操作系統(tǒng)的一種小型安全防護(hù)軟 件，按一定的規(guī)則對(duì) TCP，UDP，ICMP 和 IGMP 等報(bào)文進(jìn)行過(guò)濾，對(duì)網(wǎng)絡(luò)的信息流 和系統(tǒng)進(jìn)程進(jìn)行監(jiān)控，防止一些惡意的攻擊。目前市場(chǎng)上大多數(shù)的防火墻產(chǎn)品僅 僅是網(wǎng)關(guān)的，雖然它們的功能相當(dāng)強(qiáng)大，但由于它們基于下述的假設(shè):內(nèi)部網(wǎng)是 安全可靠的，所有的威脅都來(lái)自網(wǎng)外。因此，他們防外不防內(nèi)，難以實(shí)現(xiàn)對(duì)企業(yè) 內(nèi)部局域網(wǎng)內(nèi)主之間的安全通信，也不能很好的解決每一個(gè)撥號(hào)上網(wǎng)用戶所在主 機(jī)的安全問(wèn)題，而多數(shù)個(gè)人上網(wǎng)之時(shí)，并沒(méi)有置身于得到防護(hù)的安全網(wǎng)絡(luò)內(nèi)部。個(gè)人上網(wǎng)用戶多使用 Windows 操作系統(tǒng)，而 Windows 操作系統(tǒng)，特別是

計(jì)算機(jī)防火墻技術(shù)論文

WindowsXP 系統(tǒng)，本身的安全性就不高。各種 Windows 漏洞不斷被公布，對(duì)主機(jī) 的攻擊也越來(lái)越多。一般都是利用操作系統(tǒng)設(shè)計(jì)的安全漏洞和通信協(xié)議的安全漏 洞來(lái)實(shí)現(xiàn)攻擊。如假冒 IP 包對(duì)通信雙方進(jìn)行欺騙:對(duì)主機(jī)大量發(fā)送正數(shù)據(jù)包[3] 進(jìn)行轟炸攻擊，使之際崩潰;以及藍(lán)屏攻擊等。因此，為了保護(hù)主機(jī)的安全通信，研制有效的個(gè)人防火墻技術(shù)很有必要。所謂的防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共 網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合[ 1 ]。它可通過(guò)監(jiān)測(cè)、限制、更改跨 越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況, 以 此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一 個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和 Internet 之間的任何活動(dòng), 保證了內(nèi)部網(wǎng)絡(luò) 的安全。一個(gè)高效可靠的防火墻必須具有以下典型的特性: 1 從里到外和從外到里的所有通信都必須通過(guò)防火墻； 2 只有本地安全策略授權(quán)的通信才允許通過(guò)； 3 防火墻本身是免疫的,不會(huì)被穿透的。防火墻的基本功能有:過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為；封 堵某些禁止的業(yè)務(wù)； 記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè) 和報(bào)警

1.3 論文結(jié)構(gòu)

在論文中接下來(lái)的幾章里，將會(huì)有下列安排: 第二章，分析研究網(wǎng)絡(luò)安全問(wèn)題，網(wǎng)絡(luò)安全面臨的主要威脅，影響網(wǎng)絡(luò)安 全的因素，及保護(hù)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。第三章，介紹防火墻的相關(guān)技術(shù)，如防火墻的原理、功能、包過(guò)濾技術(shù)等。第四章，以 H3CH3C 的 F100 防火墻為例，介紹防火墻配置方法。第五章，系統(tǒng)闡述防火墻發(fā)展趨勢(shì)。5 計(jì)算機(jī)防火墻技術(shù)論文

第二章 網(wǎng)絡(luò)安全 2.1 網(wǎng)絡(luò)安全問(wèn)題

安全，通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機(jī)制。我國(guó)對(duì)于 計(jì)算機(jī)安全的定義是：“計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的 或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運(yùn)行?！?從技術(shù)講，計(jì)算機(jī)安全分為 3 種： 1）實(shí)體的安全。它保證硬件和軟件本身的安全。2）運(yùn)行環(huán)境的安全性。它保證計(jì)算機(jī)能在良好的環(huán)境里持續(xù)工作。3）信息的安全性。它保障信息不會(huì)被非法閱讀、修改和泄漏。隨著網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)的安全問(wèn)題也延伸到了計(jì)算機(jī)網(wǎng)絡(luò)。2.1.1 網(wǎng)絡(luò)安全面臨的主要威脅 一般認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來(lái)自計(jì)算機(jī)病毒、黑客的攻擊和 拒絕服務(wù)攻擊三個(gè)方面。1）計(jì)算機(jī)病毒的侵襲。當(dāng)前，活性病毒達(dá) 14000 多種，計(jì)算機(jī)病毒侵入 網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)資源進(jìn)行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個(gè)網(wǎng)絡(luò)的癱瘓。2）黑客侵襲。即黑客非法進(jìn)入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。例如通過(guò)隱蔽通 道進(jìn)行非法活動(dòng)；采用匿名用戶訪問(wèn)進(jìn)行攻擊；通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)獲取網(wǎng)上用戶賬號(hào) 和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。3）拒絕服務(wù)攻擊。例如“點(diǎn)在郵件炸彈”，它的表現(xiàn)形式是用戶在很短 的時(shí)間內(nèi)收到大量無(wú)用的電子郵件，從而影響正常業(yè)務(wù)的運(yùn)行。嚴(yán)重時(shí)會(huì)使系統(tǒng) 關(guān)機(jī)，網(wǎng)絡(luò)癱瘓。具體講，網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權(quán)訪 問(wèn)、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶??等。2.1.2 影響網(wǎng)絡(luò)安全的因素 1）單機(jī)安全 購(gòu)買(mǎi)單機(jī)時(shí)，型號(hào)的選擇；計(jì)算機(jī)的運(yùn)行環(huán)境（電壓、濕度、防塵條件、強(qiáng)電磁場(chǎng)以及自然災(zāi)害等）；計(jì)算機(jī)的操作??等等，這些都是影響單機(jī)安全性 的因素。2）網(wǎng)絡(luò)安全 影響網(wǎng)絡(luò)安全的因素有：節(jié)點(diǎn)的安全、數(shù)據(jù)的安全（保存和傳輸方面）、文件的安全等。6 計(jì)算機(jī)防火墻技術(shù)論文 2.2 網(wǎng)絡(luò)安全措施

網(wǎng)絡(luò)信息安全涉及方方面面的問(wèn)題，是一個(gè)復(fù)雜的系統(tǒng)。一個(gè)完整的網(wǎng)絡(luò)

信息安全體系至少應(yīng)包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外 部軟環(huán)境。二是技術(shù)方面，如信息加密存儲(chǔ)傳輸、身份認(rèn)證、防火墻技術(shù)、網(wǎng)絡(luò) 防毒等。三是管理措施，包括技術(shù)與社會(huì)措施。主要措施有：提供實(shí)時(shí)改變安全 策略的能力、實(shí)時(shí)監(jiān)控企業(yè)安全狀態(tài)、對(duì)現(xiàn)有的安全系統(tǒng)實(shí)施漏洞檢查等，以防 患于未然。這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全的保障，管理和審計(jì)是安全的防線。2.2.1 完善計(jì)算機(jī)安全立法 我國(guó)先后出臺(tái)的有關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。但目前，在這方面的立 法還遠(yuǎn)不能適應(yīng)形勢(shì)發(fā)展的需要,應(yīng)該在對(duì)控制計(jì)算機(jī)犯罪的國(guó)內(nèi)外立法評(píng)價(jià)的 基礎(chǔ)上，完善我國(guó)計(jì)算機(jī)犯罪立法，以便為確保我國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)健康有序的 發(fā)展提供強(qiáng)有力的保障。2.2.2 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)(1)數(shù)據(jù)加密 加密就是把明文變成密文，從而使未被授權(quán)的人看不懂它。有兩種主要的 加密類型：私匙加密和公匙加密。(2)認(rèn)證 對(duì)合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對(duì)公司信息系統(tǒng)的訪問(wèn)，使用 認(rèn)證機(jī)制還可以防止合法用戶訪問(wèn)他們無(wú)權(quán)查看的信息。(3)防火墻技術(shù) 防火墻就是用來(lái)阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防 止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問(wèn)。目前，防火墻采取的技術(shù)，主要是包過(guò)濾、應(yīng) 用網(wǎng)關(guān)、子網(wǎng)屏蔽等。但是，防火墻技術(shù)在網(wǎng)絡(luò)安全防護(hù)方面也存在一些不足： 防火墻不能防止內(nèi)部攻擊防火墻不能取代殺毒軟件； 防火墻不易防止反彈端口木 馬攻擊等。(4)檢測(cè)系統(tǒng) 入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全研究的一個(gè)熱點(diǎn)，是一種積極主動(dòng)的安全防護(hù)技 術(shù)，提供了對(duì)內(nèi)部入侵、外部入侵和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之 前攔截相應(yīng)入侵。隨著時(shí)代的發(fā)展，入侵檢測(cè)技術(shù)將朝著三個(gè)方向發(fā)展:分布式入侵檢測(cè)、智 能化入侵檢測(cè)和全面的安全防御方案。7 計(jì)算機(jī)防火墻技術(shù)論文

(5)防病毒技術(shù) 隨著計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)病毒變得越來(lái)越復(fù)雜和高級(jí)，計(jì)算機(jī)病毒 防范不僅僅是一個(gè)產(chǎn)品、一個(gè)策略或一個(gè)制度，它是一個(gè)匯集了硬件、軟件、網(wǎng) 絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。(6)文件系統(tǒng)安全 在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個(gè)關(guān)鍵性的概念，因?yàn)樵L問(wèn)控制實(shí)現(xiàn)在兩個(gè) 方面：本地和遠(yuǎn)程。建立文件權(quán)限的時(shí)候，必須在 Windows 2000 中首先實(shí)行新 技術(shù)文件系統(tǒng)（New Technology File System，NTFS）。一旦實(shí)現(xiàn)了 NTFS，你 可以使用 Windows 資源管理器在文件和文件夾上設(shè)置用戶級(jí)別的權(quán)限。你需要了 解可以分配什么樣的權(quán)限，還有日?；顒?dòng)期間一些規(guī)則是處理權(quán)限的。Windows 2000 操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪問(wèn)控制。2.3 制定合理的網(wǎng)絡(luò)管理措施

（1）加強(qiáng)網(wǎng)絡(luò)用戶及有關(guān)人員的安全意識(shí)、職業(yè)道德和事業(yè)心、責(zé)任心的

培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。（2）建立完善的安全管理體制和制度，以起到對(duì)管理人員和操作人員鼓勵(lì) 和監(jiān)督的作用。（3）管理措施要標(biāo)準(zhǔn)化、規(guī)范化和科學(xué)化。8 計(jì)算機(jī)防火墻技術(shù)論文

第三章

防火墻概述

隨著 Internet 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來(lái)越多的領(lǐng)域，網(wǎng)絡(luò)中各類 重要的、敏感的數(shù)據(jù)逐漸增多;同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問(wèn)題，使得網(wǎng) 絡(luò)安全問(wèn)題越來(lái)越突出。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問(wèn)，阻止病毒的傳播 感染顯得尤為重要。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種 有效的手段，防火墻技術(shù)主要分為包過(guò)濾和應(yīng)用代理兩類。其中包過(guò)濾作為最早 發(fā)展起來(lái)的一種技術(shù)，其應(yīng)用非常廣泛。3.1 防火墻的概念

防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可 預(yù)測(cè)的、潛在破壞性的侵入。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部 網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或 網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服 務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻提供信息安全服務(wù)，是實(shí)現(xiàn)網(wǎng)絡(luò)和 信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè) 分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的 安全。3.1.1 傳統(tǒng)防火墻介紹 目前的防火墻技術(shù)無(wú)論從技術(shù)上還是從產(chǎn)品發(fā)展歷程上，都經(jīng)歷了五個(gè)發(fā) 展歷程。圖 1 表示了防火墻技術(shù)的簡(jiǎn)單發(fā)展歷史。

圖1 第一代防火墻 第 一 代 防 火 墻 技 術(shù) 幾 乎 與 路 由 器 同 時(shí) 出 現(xiàn)，采 用 了 包 過(guò) 濾（Packet filter）技術(shù)。二代、第三代防火墻 第二代、第三代防火墻 1989 年，貝爾實(shí)驗(yàn)室的 Dave Presotto 和 Howard Trickey 推 9 計(jì)算機(jī)防火墻技術(shù)論文

出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻—— 應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。

第四代防火墻 1992 年，USC 信息科學(xué)院的 BobBraden 開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾（Dynamic packet filter）技 術(shù) 的 第 四 代 防 火 墻，后 來(lái) 演 變 為 目 前 所 說(shuō) 的 狀 態(tài) 監(jiān) 視（Stateful inspection）技術(shù)。1994 年，以色列的 CheckPoint 公司開(kāi)發(fā)出了 第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻 1998 年，NAI 公司推出了一種自適應(yīng)代理（Adaptive proxy）技術(shù)，并在 其產(chǎn)品 Gauntlet Firewall for NT 中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全 新的意義，可以稱之為第五代防火墻。[5] [5] 但傳統(tǒng)的防火墻并沒(méi)有解決目前網(wǎng)絡(luò)中主要的安全問(wèn)題。目前網(wǎng)絡(luò)安全的 三大主要問(wèn)題是:以拒絕訪問(wèn)(DDOS)為主要代表的網(wǎng)絡(luò)攻擊，以蠕蟲(chóng)(Worm)為主 要代表的病毒傳播和以垃圾電子郵件(SPAM)為代表的內(nèi)容控制。這三大安全問(wèn)題 占據(jù)網(wǎng)絡(luò)安全問(wèn)題九成以上。而這三大問(wèn)題，傳統(tǒng)防火墻都無(wú)能為力。主要有以 下三個(gè)原因: 一是傳統(tǒng)防火墻的計(jì)算能力的限制。傳統(tǒng)的防火墻是以高強(qiáng)度的檢查為代 價(jià)，檢查的強(qiáng)度越高，計(jì)算的代價(jià)越大。二是傳統(tǒng)防火墻的訪問(wèn)控制機(jī)制是一個(gè) 簡(jiǎn)單的過(guò)濾機(jī)制。它是一個(gè)簡(jiǎn)單的條件過(guò)濾器，不具有智能功能，無(wú)法檢測(cè)復(fù)雜 的攻擊。三是傳統(tǒng)的防火墻無(wú)法區(qū)分識(shí)別善意和惡意的行為。該特征決定了傳統(tǒng) 的防火墻無(wú)法解決惡意的攻擊行為。現(xiàn)在防火墻正在向分布、智能的方向發(fā)展，其中智能防火墻可以很好的解 決上面的問(wèn)題。3.1.2 智能防火墻簡(jiǎn)介 智能防火墻[6]是相對(duì)傳統(tǒng)的防火墻而言的，從技術(shù)特征上智能防火墻是利 用統(tǒng)計(jì)、記憶、概率和決策的智能方法來(lái)對(duì)數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪問(wèn)控制的目 的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特 征值，直接進(jìn)行訪問(wèn)控制。由于這些方法多是人工智能學(xué)科采用的方法，因此，又稱為智能防火墻。10 計(jì)算機(jī)防火墻技術(shù)論文 3.2 防火墻的功能

3.2.1 防火墻的主要功能 1．包過(guò)濾。包過(guò)濾是一種網(wǎng)絡(luò)的數(shù)據(jù)安全保護(hù)機(jī)制，它可用來(lái)控制流出和流入網(wǎng)絡(luò)的數(shù) 據(jù)，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設(shè)置可基于源地址、源端 口、目的地址、目的端口、協(xié)議和時(shí)間;可根據(jù)地址簿進(jìn)行設(shè)置規(guī)則。2．地址轉(zhuǎn)換。網(wǎng)絡(luò)地址變換是將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的 IP 地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換 Source NAT(SNAT)和目的地址轉(zhuǎn)換 Destination NAT(DNAT)。SNAT 用于對(duì)內(nèi)部網(wǎng) 絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì)外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來(lái)自外部其他網(wǎng) 絡(luò)的非授權(quán)訪問(wèn)或惡意攻擊。并將有限的 IP 地址動(dòng)態(tài)或靜態(tài)的與內(nèi)部 IP 地址對(duì) 應(yīng)起來(lái)，用來(lái)緩解地址空間的短缺問(wèn)題，節(jié)省資源，降低成本。DNAT 主要用于 外網(wǎng)主機(jī)訪問(wèn)內(nèi)網(wǎng)主機(jī)。3．認(rèn)證和應(yīng)用代理。認(rèn)證指防火墻對(duì)訪問(wèn)網(wǎng)絡(luò)者合法身分的確定。代理指防火墻內(nèi)置用戶認(rèn)證數(shù) 據(jù)庫(kù);提供 HTTP、FTP 和 SMTP 代理功能，并可對(duì)這三種協(xié)議進(jìn)行訪問(wèn)控制;同時(shí) 支持 URL 過(guò)濾功能。4．透明和路由 指防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提 供了對(duì)互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問(wèn)，同時(shí)阻止了外部未授權(quán)訪問(wèn)者對(duì)專用網(wǎng) 絡(luò)的非法訪問(wèn);防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個(gè)子網(wǎng) 之間的安全訪問(wèn)。3.2.2 入侵檢測(cè)功能 入侵檢測(cè)技術(shù)[7]就是一種主動(dòng)保護(hù)自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技 術(shù)，包括以下內(nèi)容: 1.反端口掃描。端口掃描就是指黑客通過(guò)遠(yuǎn)程端口掃描的工具，從中發(fā)現(xiàn)主 機(jī)的哪些非常用端口是打開(kāi)的;是否支持 FTP、服務(wù);且 FTP 服務(wù)是否支持 Web “匿 名”，以及 IIS 版本，是否有可以被成功攻破的 IIS 漏洞，進(jìn)而對(duì)內(nèi)部網(wǎng)絡(luò)的主 機(jī)進(jìn)行攻擊。顧名思義反端口掃描就是防范端口掃描的方法，目前常用的方法有: 關(guān)閉閑置和有潛在危險(xiǎn)的端口;檢查各端口，有端口掃描的癥狀時(shí)，立即屏蔽該 端口，多數(shù)防火墻設(shè)備采用的都是這種反端口掃描方式。2.檢測(cè)拒絕服務(wù)攻擊。拒絕服務(wù)(DoS)攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用 過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到服務(wù)的響應(yīng)，其攻擊方式有很多種;11 計(jì)算機(jī)防火墻技術(shù)論文

而分布式的拒絕服務(wù)攻擊(DDoS)攻擊手段則是在傳統(tǒng)的 DoS 攻擊基礎(chǔ)之上產(chǎn)生 的一類攻擊方式，分布式的拒絕服務(wù)攻擊(DDoS)。其原理很簡(jiǎn)單，就是利用更多 的受控主機(jī)同時(shí)發(fā)起進(jìn)攻，以比 DoS 更大的規(guī)模(或者說(shuō)以更高于受攻主機(jī)處理 能力的進(jìn)攻能力)來(lái)進(jìn)攻受害者?，F(xiàn)在的防火墻設(shè)備通常都可檢測(cè) Synflod、Land、Ping of Death、TearDrop、ICMP flood 和 UDPflod 等多種 DOS/DDOS 攻 擊。3.檢 測(cè) 多 種 緩 沖 區(qū) 溢 出 攻 擊(Buffer Overflow)。緩 沖 區(qū) 溢 出(Buffer Overflow)攻擊指利用軟件的弱點(diǎn)將任意數(shù)據(jù)添加進(jìn)某個(gè)程序中，造成緩沖區(qū)的 溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。更 為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各 種非法操作，防火墻設(shè)備可檢測(cè)對(duì) FTP、Telnet、SSH、RPC 和 SMTP 等服務(wù)的遠(yuǎn) 程堆棧溢出入侵。4.檢測(cè) CGI/IIS 服務(wù)器入侵。CGI 就是 Common Gateway Inter——face 的 簡(jiǎn)稱。是 World Wide Web 主機(jī)和 CGI 程序間傳輸資訊的定義。IIS 就是 Internet Information server 的簡(jiǎn)稱，也就是微軟的 Internet 信息服務(wù)器。防火墻設(shè)備 可檢測(cè)包括針對(duì) Unicode、ASP 源碼泄漏、PHF、NPH、pfdisPlay.cgi 等已知上 百種的有安全隱患的 CGI/IIS 進(jìn)行的探測(cè)和攻擊方式。5.檢測(cè)后門(mén)、木馬及其網(wǎng)絡(luò)蠕蟲(chóng)。后門(mén)程序是指采用某種方法定義出一個(gè) 特殊的端口并依靠某種程序在機(jī)器啟動(dòng)之前自動(dòng)加載到內(nèi)存，強(qiáng)行控制機(jī)器打開(kāi) 那個(gè)特殊的端口的程序。木馬程序的全稱是 “特洛依木馬” 它們是指尋找后門(mén)、，竊取計(jì)算機(jī)的密碼的一類程序。網(wǎng)絡(luò)蠕蟲(chóng)病毒分為 2 類，一種是面向企業(yè)用戶和 局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動(dòng)進(jìn)行攻擊，可以對(duì)整個(gè)互聯(lián)網(wǎng)造成 癱瘓性的后果，以“紅色代碼”，“尼姆達(dá)”，以及最新的“sql 蠕蟲(chóng)王”為代 表。另外一種是針對(duì)個(gè)人用戶的，通過(guò)網(wǎng)絡(luò)(主要是電子郵件，惡意網(wǎng)頁(yè)形式)迅速傳播的蠕蟲(chóng)病毒，以愛(ài)蟲(chóng)病毒，求職信病毒為例。防火墻設(shè)備可檢測(cè)試圖穿 透防火墻系統(tǒng)的木馬控制端和客戶端程序;檢測(cè)試圖穿透防火墻系統(tǒng)的蠕蟲(chóng)程 序。3.2.3 虛擬專網(wǎng)功能 指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)安全的“加密通道”在公共網(wǎng)絡(luò) 中傳播。VPN 的基本原理是通過(guò) IP 包的封裝及加密、認(rèn)證等手段，從而達(dá)到安 全的目的。3.2.4 其他功能 1.IP 地址/MAC 地址綁定?？芍С秩我痪W(wǎng)絡(luò)接口的 IP 地址和 MAC 地址的綁 12 計(jì)算機(jī)防火墻技術(shù)論文

定，從而禁止用戶隨意修改 IP 地址。2.審計(jì)。要求對(duì)使用身份標(biāo)識(shí)和認(rèn)證的機(jī)制，文件的創(chuàng)建，修改，系統(tǒng)管 理的所有操作以及其他有關(guān)安全事件進(jìn)行記錄，以便系統(tǒng)管理員進(jìn)行安全跟蹤。一般防火墻設(shè)備可以提供三種日志審計(jì)功能:系統(tǒng)管理日志、流量日志和入侵日 志。3.特殊站點(diǎn)封禁。內(nèi)置特殊站點(diǎn)數(shù)據(jù)庫(kù)，用戶可選擇是否封禁色情、反動(dòng) 和暴力等特殊站點(diǎn)。3.3 防火墻的原理及分類

國(guó)際計(jì)算機(jī)安全委員會(huì) ICSA 將防火墻分成三大類:包過(guò)濾防火墻，應(yīng)用級(jí)代

理服務(wù)器[8]以及狀態(tài)包檢測(cè)防火墻。3.3.1 包過(guò)濾防火墻 顧名思義，包過(guò)濾防火墻[9]就是把接收到的每個(gè)數(shù)據(jù)包同預(yù)先設(shè)定的包過(guò) 濾規(guī)則相比較，從而決定是否阻塞或通過(guò)。過(guò)濾規(guī)則是基于網(wǎng)絡(luò)層 IP 包包頭信 息的比較。包過(guò)濾防火墻工作在網(wǎng)絡(luò)層，IP 包的包頭中包含源、目的 IP 地址，封裝協(xié)議類型(TCP，UDP，ICMP 或 IP Tunnel)，TCP/UDP 端口號(hào)，ICMP 消息類型，TCP 包頭中的 ACK 等等。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包 按正常情況處理;如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包;如果沒(méi)有 匹配規(guī)則，則按缺省情況處理。包過(guò)濾防火墻是速度最快的防火墻，這是因?yàn)樗?處于網(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就 可以實(shí)現(xiàn)，對(duì)用戶來(lái)說(shuō)都是透明的。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng) 絡(luò)，使之遭受攻擊。例如，HTTP。通常是使用 80 端口。如果公司的安全策略允 許內(nèi)部員工訪問(wèn)網(wǎng)站，包過(guò)濾防火墻可能設(shè)置允所有 80 端口的連接通過(guò)，這時(shí)，意識(shí)到這一漏洞的外部人員可以在沒(méi)有被認(rèn)證的情況下進(jìn)入私有網(wǎng)絡(luò)。包過(guò)濾防 火墻的維護(hù)比較困難，定義過(guò)濾規(guī)則也比較復(fù)雜，因?yàn)槿魏我粭l過(guò)濾規(guī)則的不完 善都會(huì)給網(wǎng)絡(luò)黑客造成可乘之機(jī)。同時(shí)，包過(guò)濾防火墻一般無(wú)法提供完善的日志。3.3.2 應(yīng)用級(jí)代理防火墻 應(yīng)用級(jí)代理技術(shù)通過(guò)在 OSI 的最高層檢查每一個(gè) IP 包，從而實(shí)現(xiàn)安全策略。代理技術(shù)與包過(guò)濾技術(shù)完全不同，包過(guò)濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代 理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實(shí)現(xiàn)防火墻功能。它的代理功能，就是在防 火墻處終止客戶連接并初始化一個(gè)新的連接到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。這一內(nèi)建代理 13 計(jì)算機(jī)防火墻技術(shù)論文

機(jī)制提供額外的安全，這是因?yàn)樗鼘?nèi)部和外部網(wǎng)絡(luò)隔離開(kāi)來(lái)，使網(wǎng)絡(luò)外部的黑 客在防火墻內(nèi)部網(wǎng)絡(luò)上進(jìn)行探測(cè)變得困難，更重要的是能夠讓網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò) 服務(wù)進(jìn)行全面的控制。但是，這將花費(fèi)更多的處理時(shí)間，并且由于代理防火墻支 持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。比如訪問(wèn) WEB 站點(diǎn)的 HTTP，用于文件傳輸?shù)?FTP，用于 E 一 MAIL 的 SMTP/POP3 等等。如 果某種應(yīng)用沒(méi)有安裝代理程序，那么該項(xiàng)服務(wù)就不被支持并且不能通過(guò)防火墻進(jìn) 行轉(zhuǎn)發(fā);同時(shí)升級(jí)一種應(yīng)用時(shí)，相應(yīng)的代理程序也必須同時(shí)升級(jí)。3.3.3 代理服務(wù)型防火墻 代理服務(wù)(Proxy Service)也稱鏈路級(jí)網(wǎng)關(guān)或 TCP 通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。它是針對(duì)數(shù)據(jù)包 過(guò)濾[10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越 防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代 理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對(duì) 過(guò)往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng) 絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔 離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時(shí) 也常結(jié)合入過(guò)濾器的功能。它工作在 OSI 模型的最高層，掌握著應(yīng)用系統(tǒng)中可用 作安全決策的全部信息。3.3.4 復(fù)合型防火墻 由于對(duì)更高安全性的要求，常把基于包過(guò)濾的方法與基于應(yīng)用代理的方法 結(jié)合起來(lái)，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機(jī)防 火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過(guò)濾路由器或防火墻與 Internet 相連，同時(shí) 一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過(guò)在分組過(guò)濾器路由器或防火墻上過(guò)濾規(guī)則的設(shè) 置，使堡壘機(jī)成為 Internet 上其他節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng) 絡(luò)不受未授權(quán)外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個(gè)子網(wǎng) 內(nèi)，形成非軍事化區(qū)，兩個(gè)分組過(guò)濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與 Internet 及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機(jī)和分組過(guò)濾 路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。

3.4 防火墻包過(guò)濾技術(shù)

隨著 Internet 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來(lái)越多的領(lǐng)域，網(wǎng)絡(luò)中各類 14 計(jì)算機(jī)防火墻技術(shù)論文

重要的、敏感的數(shù)據(jù)逐漸增多;同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問(wèn)題，使得網(wǎng) 絡(luò)安全問(wèn)題越來(lái)越突出。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問(wèn)，阻止病毒的傳播 感染顯得尤為重要。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種 有效的手段，防火墻技術(shù)主要分為包過(guò)濾和應(yīng)用代理兩類。其中包過(guò)濾作為最早 發(fā)展起來(lái)的一種技術(shù)，其應(yīng)用非常廣泛。所謂包過(guò)濾，就是對(duì)流經(jīng)網(wǎng)絡(luò)防火墻的所有數(shù)據(jù)包逐個(gè)檢查，并依據(jù)所制定 的安全策略來(lái)決定數(shù)據(jù)包是通過(guò)還是不通過(guò)。包過(guò)濾最主要的優(yōu)點(diǎn)在于其速度與 透明性。也正是由于此。包過(guò)濾技術(shù)歷經(jīng)發(fā)展演變而未被淘汰。由于其主要是對(duì)數(shù)據(jù)包的過(guò)濾操作，所以數(shù)據(jù)包結(jié)構(gòu)是包過(guò)濾技術(shù)的基礎(chǔ)?？紤]包過(guò)濾技術(shù)的發(fā)展過(guò)程，可以認(rèn)為包過(guò)濾的核心問(wèn)題就是如何充分利用數(shù)據(jù) 包中各個(gè)字段的信息，并結(jié)合安全策略來(lái)完成防火墻的功能[11]-[15] 3.4.1 數(shù)據(jù)表結(jié)構(gòu) 當(dāng)應(yīng)用程序用 TCP 傳送數(shù)據(jù)時(shí)，數(shù)據(jù)被送入?yún)f(xié)議棧中，然后逐個(gè)通過(guò)每一層 直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。其中每一層對(duì)接收到的數(shù)據(jù)都要增加一些首部 信息。TCP 傳給 IP 的數(shù)據(jù)單元稱作 TCP 報(bào)文段(TCP Segment);IP 傳給網(wǎng)絡(luò)接口 層的數(shù)據(jù)單元稱作 IP 數(shù)據(jù)報(bào)(IP Datagram)；通過(guò)以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀(Frame)。對(duì)于進(jìn)防火墻的數(shù)據(jù)包，順序正好與此相反，頭部信息逐層剝掉。IP，TCP 首部格式如表 2-1 表 2-2 所示。表 2-1 IP 首部格式 版本 首部長(zhǎng) 服務(wù)類型 標(biāo)識(shí) 生存時(shí)間 協(xié)議 源 IP 地址 目的 IP 地址 選項(xiàng) 標(biāo)志 首部校驗(yàn)和

總 長(zhǎng) 度 片偏移

表 2-2 TCP 首部格式 源端口號(hào) 目的端口號(hào) 序列號(hào) 15 計(jì)算機(jī)防火墻技術(shù)論文

確認(rèn)號(hào) 首 保 L 部 留 R 長(zhǎng) C T B L P R C B C J H T H TCP 校驗(yàn)和 H J R 窗口大小

緊急指針 選項(xiàng)

對(duì)于幀的頭部信息主要是源/目的主機(jī)的 MAC 地址;IP 數(shù)據(jù)報(bào)頭部信息主要 是源/目的主機(jī)的 IP 地址;TCP 頭部的主要字段包括源/目的端口、發(fā)送及確認(rèn)序 號(hào)、狀態(tài)標(biāo)識(shí)等。理論上講，數(shù)據(jù)包所有頭部信息以及有效載荷都可以作為判斷包通過(guò)與否的 依據(jù)，但是在實(shí)際情況中，包過(guò)濾技術(shù)上的問(wèn)題主要是選取哪些字段信息，以及 如何有效地利用這些字段信息并結(jié)合訪問(wèn)控制列表來(lái)執(zhí)行包過(guò)濾操作，并盡可能 提高安全控制力度。3.4.2 傳統(tǒng)包過(guò)濾技術(shù) 傳統(tǒng)包過(guò)濾技術(shù)，大多是在 IP 層實(shí)現(xiàn)，它只是簡(jiǎn)單的對(duì)當(dāng)前正在通過(guò)的單 一數(shù)據(jù)包進(jìn)行檢測(cè)，查看源/目的 IP 地址、端口號(hào)以及協(xié)議類型(UDP/TCP)等，結(jié)合訪問(wèn)控制規(guī)則對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)。這種技術(shù)實(shí)現(xiàn)簡(jiǎn)單，處理速度快，對(duì)應(yīng)用透明，但是它存在的問(wèn)題也很多，主要表現(xiàn)有: 1.所有可能會(huì)用到的端口都必須靜態(tài)放開(kāi)。若允許建立 HTTP 連接，就需 要開(kāi)放 1024 以上所有端口，這無(wú)疑增加了被攻擊的可能性。2.不能對(duì)數(shù)據(jù)傳輸狀態(tài)進(jìn)行判斷。如接收到一個(gè) ACK 數(shù)據(jù)包，就認(rèn)為這是 一個(gè)己建立的連接，這就導(dǎo)致許多安全隱患，一些惡意掃描和拒絕服務(wù)攻擊就是 利用了這個(gè)缺陷。3.無(wú)法過(guò)濾審核數(shù)據(jù)包上層的內(nèi)容。即使通過(guò)防火墻的數(shù)據(jù)包有攻擊性或 包含病毒代碼，也無(wú)法進(jìn)行控制和阻斷。綜合上述問(wèn)題，傳統(tǒng)包過(guò)濾技術(shù)的缺陷在于:(l)缺乏狀態(tài)檢測(cè)能力;(2)缺 乏應(yīng)用防御能力。(3)只對(duì)當(dāng)前正在通過(guò)的單一數(shù)據(jù)包進(jìn)行檢測(cè)，而沒(méi)有考慮前 后數(shù)據(jù)包之間的聯(lián)系;(4)只檢查包頭信息，而沒(méi)有深入檢測(cè)數(shù)據(jù)包的有效載荷。傳統(tǒng)包過(guò)濾技術(shù)必須發(fā)展進(jìn)化，在繼承其優(yōu)點(diǎn)的前提下，采用新的技術(shù)手 段，克服其缺陷，并進(jìn)一步滿足新的安全應(yīng)用要求。從數(shù)據(jù)包結(jié)構(gòu)出發(fā)考慮，目 前包過(guò)濾技術(shù)向兩個(gè)方向發(fā)展:(l)橫向聯(lián)系。即在包檢測(cè)中考慮前后數(shù)據(jù)包之間 的關(guān)系，充分利用包頭信息中能體現(xiàn)此關(guān)系的字段，如 IP 首部的標(biāo)識(shí)字段和片 16 計(jì)算機(jī)防火墻技術(shù)論文

偏移字段、TCP 首部的發(fā)送及確認(rèn)序號(hào)、滑動(dòng)窗口的大小、狀態(tài)標(biāo)識(shí)等，動(dòng)態(tài)執(zhí) 行數(shù)據(jù)包過(guò)濾。(2)縱向發(fā)展。深入檢測(cè)數(shù)據(jù)包有效載荷，識(shí)別并阻止病毒代碼 和基于高層協(xié)議的攻擊，以此來(lái)提高應(yīng)用防御能力。這兩種技術(shù)的發(fā)展并不是獨(dú) 立的，動(dòng)態(tài)包過(guò)濾可以說(shuō)是基于內(nèi)容檢測(cè)技術(shù)的基礎(chǔ)。實(shí)際上，在深度包檢測(cè)技 術(shù)中己經(jīng)體現(xiàn)了兩種技術(shù)的融合趨勢(shì)。3.4.3 動(dòng)態(tài)包過(guò)濾 動(dòng)態(tài)包過(guò)濾[16]又稱為基于狀態(tài)的數(shù)據(jù)包過(guò)濾，是在傳統(tǒng)包過(guò)濾技術(shù)基礎(chǔ) 之上發(fā)展起來(lái)的一項(xiàng)過(guò)濾技術(shù)，最早由 Checkpoint 提出。與傳統(tǒng)包過(guò)濾技術(shù)只檢查單個(gè)、孤立的數(shù)據(jù)包不同，動(dòng)態(tài)包過(guò)濾試圖將數(shù) 據(jù)包的上下文聯(lián)系起來(lái)，建立一種基于狀態(tài)的包過(guò)濾機(jī)制。對(duì)于新建的應(yīng)用連接，防火墻檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過(guò)，并在內(nèi)存中記錄下 該連接的相關(guān)信息，這些相關(guān)信息構(gòu)成一個(gè)狀態(tài)表。這樣，當(dāng)一個(gè)新的數(shù)據(jù)包到 達(dá)，如果屬于已經(jīng)建立的連接，則檢查狀態(tài)表，參考數(shù)據(jù)流上下文決定當(dāng)前數(shù)據(jù) 包通過(guò)與否;如果是新建連接，則檢查靜態(tài)規(guī)則表。動(dòng)態(tài)包過(guò)濾通過(guò)在內(nèi)存中動(dòng)態(tài)地建立和維護(hù)一個(gè)狀態(tài)表，數(shù)據(jù)包到達(dá)時(shí)，對(duì)該數(shù)據(jù)包的處理方式將綜合靜態(tài)安全規(guī)則和數(shù)據(jù)包所處的狀態(tài)進(jìn)行。這種方法 的好處在于由于不需要對(duì)每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查，而是一個(gè)連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過(guò)散列算法，直接進(jìn)行狀態(tài)檢查，從而使性能得到了較 大提高;而且，由于狀態(tài)表是動(dòng)態(tài)的，因而可以有選擇地、動(dòng)態(tài)地開(kāi)通 1024 號(hào)以 上的端口，使安全性得到進(jìn)一步地提高。動(dòng)態(tài)包過(guò)濾技術(shù)克服了傳統(tǒng)包過(guò)濾僅僅孤立的檢查單個(gè)數(shù)據(jù)包和安全規(guī)則 靜態(tài)不可變的缺陷，使得防火墻的安全控制力度更為細(xì)致。3.4.4 深度包檢測(cè) 目前許多造成大規(guī)模損害的網(wǎng)絡(luò)攻擊，比如紅色代碼和尼姆達(dá)，都是利用 了應(yīng)用的弱點(diǎn)。利用高層協(xié)議的攻擊和網(wǎng)絡(luò)病毒的頻繁出現(xiàn)，對(duì)防火墻提出了新 的要求。防火墻必須深入檢查數(shù)據(jù)包的內(nèi)部來(lái)確認(rèn)出惡意行為并阻止它們。深度包檢測(cè)(Deep Packet Inspection)就是針對(duì)這種需求，深入檢測(cè)數(shù)據(jù) 包有效載荷，執(zhí)行基于應(yīng)用層的內(nèi)容過(guò)濾，以此提高系統(tǒng)應(yīng)用防御能力。應(yīng)用防御的技術(shù)問(wèn)題主要包括:(l)需要對(duì)有效載荷知道得更清楚;(2)也需 要高速檢查它的能力。簡(jiǎn)單的數(shù)據(jù)包內(nèi)容過(guò)濾對(duì)當(dāng)前正在通過(guò)的單一數(shù)據(jù)包的有效載荷進(jìn)行掃描 檢測(cè)，但是對(duì)于應(yīng)用防御的要求而言，這是遠(yuǎn)遠(yuǎn)不夠的。如一段攻擊代碼被分割 到 10 個(gè)數(shù)據(jù)包中傳輸，那么這種簡(jiǎn)單的對(duì)單一數(shù)據(jù)包的內(nèi)容檢測(cè)根本無(wú)法對(duì)攻 17 計(jì)算機(jī)防火墻技術(shù)論文

擊特征進(jìn)行匹配: 要清楚地知道有效載荷，必須采取有效方法，將單個(gè)數(shù)據(jù)包重 新組合成完整的數(shù)據(jù)流。應(yīng)用層的內(nèi)容過(guò)濾要求大量的計(jì)算資源，很多情況下高 達(dá) 100 倍甚至更高。因而要執(zhí)行深度包檢測(cè)，帶來(lái)的問(wèn)題必然是性能的下降，這 就是所謂的內(nèi)容處理障礙。為了突破內(nèi)容處理障礙，達(dá)到實(shí)時(shí)地分析網(wǎng)絡(luò)內(nèi)容和 行為，需要重點(diǎn)在加速上采取有效的辦法。通過(guò)采用硬件芯片和更加優(yōu)化的算法，可以解決這個(gè)問(wèn)題。一個(gè)深度包檢測(cè)的流程框圖如圖 3.1 所示。

圖 3.1 深度包檢測(cè)框圖 在接收到網(wǎng)絡(luò)流量后，將需要進(jìn)行內(nèi)容掃描的數(shù)據(jù)流定向到 TCP/IP 堆棧，其他數(shù)據(jù)流直接定向到狀態(tài)檢測(cè)引擎，按基本檢測(cè)方式進(jìn)行處理。定向到 TCP/IP 堆棧的數(shù)據(jù)流，首先轉(zhuǎn)換成內(nèi)容數(shù)據(jù)流。服務(wù)分析器根據(jù)數(shù)據(jù)流服務(wù)類型分離內(nèi) 容數(shù)據(jù)流，傳送數(shù)據(jù)流到一個(gè)命令解析器中。命令解析器定制和分析每一個(gè)內(nèi)容 協(xié)議，分析內(nèi)容數(shù)據(jù)流，檢測(cè)病毒和蠕蟲(chóng)。如果檢測(cè)到信息流是一個(gè) HTTP 數(shù)據(jù) 流，則命令解析器檢查上載和下載的文件;如果數(shù)據(jù)是 Mail 類型，則檢查郵件的 附件。如果數(shù)據(jù)流包含附件或上載/下載文件，附件和文件將傳輸?shù)讲《緬呙枰?擎，所有其他內(nèi)容傳輸?shù)絻?nèi)容過(guò)濾引擎。如果內(nèi)容過(guò)濾啟動(dòng)，數(shù)據(jù)流將根據(jù)過(guò)濾 的設(shè)置進(jìn)行匹配，通過(guò)或拒絕數(shù)據(jù)。3.4.5 流過(guò)濾技術(shù) 流過(guò)濾是東軟集團(tuán)提出的一種新型防火墻技術(shù)架構(gòu)，它融基于狀態(tài)的包過(guò) 濾技術(shù)與基于內(nèi)容的深度包檢測(cè)技術(shù)為一體，提供了一個(gè)較好的應(yīng)用防御解決方 案，它以狀態(tài)監(jiān)測(cè)技術(shù)為基礎(chǔ)，但在此基礎(chǔ)上進(jìn)行了改進(jìn)其基本的原理是:以狀 態(tài)包過(guò)濾的形態(tài)實(shí)現(xiàn)應(yīng)用層的保護(hù)能力:通過(guò)內(nèi)嵌的專門(mén)實(shí)現(xiàn)的 TCP/IP 協(xié)議棧，實(shí)現(xiàn)了透明的應(yīng)用信息過(guò)濾機(jī)制。18 計(jì)算機(jī)防火墻技術(shù)論文

流過(guò)濾技術(shù)[17]的關(guān)鍵在于其架構(gòu)中的專用 TCP/IP 協(xié)議棧:這個(gè)協(xié)議棧是 一個(gè)標(biāo)準(zhǔn)的 TCP 協(xié)議的實(shí)現(xiàn)，依據(jù) TCP 協(xié)議的定義對(duì)出入防火墻的數(shù)據(jù)包進(jìn)行了，完整的重組，重組后的數(shù)據(jù)流交給應(yīng)用層過(guò)濾邏輯進(jìn)行過(guò)濾，從而可以有效地識(shí) 別并攔截應(yīng)用層的攻擊企圖。在這種機(jī)制下，從防火墻外部看，仍然是包過(guò)濾的形態(tài)，工作在鏈路層或 IP 層，在規(guī)則允許下，兩端可以直接訪問(wèn)，但是任何一個(gè)被規(guī)則允許的訪問(wèn)在 防火墻內(nèi)部都存在兩個(gè)完全獨(dú)立的 TCP 會(huì)話，數(shù)據(jù)以“流”的方式從一個(gè)會(huì)話流 向另一個(gè)會(huì)話。由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時(shí)候代 替服務(wù)器或客戶端參與應(yīng)用層的會(huì)話，從而起到了與應(yīng)用代理防火墻相同的控制 能力。如在對(duì) SMTP 協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對(duì) 郵件的存儲(chǔ)轉(zhuǎn)發(fā)，并實(shí)現(xiàn)豐富的對(duì) SMTP 協(xié)議的各種攻擊的防范功能一流過(guò)濾的 示意圖如圖 3.2 所示。

圖 3.2 流過(guò)濾示意圖 19 計(jì)算機(jī)防火墻技術(shù)論文

第四章

4.1 硬件連接與實(shí)施

防火墻的配置

一般來(lái)說(shuō)硬件防火墻和路由交換設(shè)備一樣具備多個(gè)以太接口，速度根據(jù)檔次 與價(jià)格不同而在百兆與千兆之間有所區(qū)別。(如圖 4.1)圖 4.1 對(duì)于中小企業(yè)來(lái)說(shuō)一般出口帶寬都在 100M 以內(nèi)，所以我們選擇 100M 相關(guān)產(chǎn) 品即可。網(wǎng)絡(luò)拓?fù)鋱D中防火墻的位置很關(guān)鍵，一般介于內(nèi)網(wǎng)與外網(wǎng)互連中間區(qū)域，針對(duì)外網(wǎng)訪問(wèn)數(shù)據(jù)進(jìn)行過(guò)濾和監(jiān)控。如果防火墻上有 WAN 接口，那么直接將 WAN 接口連接外網(wǎng)即可，如果所有接 口都標(biāo)記為 LAN 接口，那么按照常規(guī)標(biāo)準(zhǔn)選擇最后一個(gè) LAN 接口作為外網(wǎng)連接端 口。相應(yīng)的其他 LAN 接口連接內(nèi)網(wǎng)各個(gè)網(wǎng)絡(luò)設(shè)備。4.2 防火墻的特色配置

從外觀上看防火墻和傳統(tǒng)的路由器交換機(jī)沒(méi)有太大的差別，一部分防火墻

具備 CONSOLE 接口通過(guò)超級(jí)終端的方式初始化配置，而另外一部分則直接通過(guò)默 認(rèn)的 LAN 接口和管理地址訪問(wèn)進(jìn)行配置。與路由器交換機(jī)不同的是在防火墻配置中我們需要?jiǎng)澐侄鄠€(gè)不同權(quán)限不同 優(yōu)先級(jí)別的區(qū)域，另外還需要針對(duì)相應(yīng)接口隸屬的區(qū)域進(jìn)行配置，例如 1 接口劃 分到 A 區(qū)域，2 接口劃分到 B 區(qū)域等等，通過(guò)不同區(qū)域的訪問(wèn)權(quán)限差別來(lái)實(shí)現(xiàn)防 火墻保護(hù)功能。默認(rèn)情況下防火墻會(huì)自動(dòng)建立 trust 信任區(qū)，untrust 非信任區(qū)，DMZ 堡壘主機(jī)區(qū)以及 LOCAL 本地區(qū)域。相應(yīng)的本地區(qū)域優(yōu)先級(jí)最高，其次是 trust 信任區(qū)，DMZ 堡壘主機(jī)區(qū)，最低的是 untrust 非信任區(qū)域。20 計(jì)算機(jī)防火墻技術(shù)論文 在實(shí)際設(shè)置時(shí)我們必須將端口劃分到某區(qū)域后才能對(duì)其進(jìn)行各個(gè)訪問(wèn)操 作，否則默認(rèn)將阻止對(duì)該接口的任何數(shù)據(jù)通訊。除此之外防火墻的其他相關(guān)配置與路由交換設(shè)備差不多，無(wú)外乎通過(guò)超級(jí) 終端下的命令行參數(shù)進(jìn)行配置或者通過(guò) WEB 管理界面配置。4.3 軟件的配置與實(shí)施

以 H3C 的 F100 防火墻為例，當(dāng)企業(yè)外網(wǎng) IP 地址固定并通過(guò)光纖連接的具體

配置。首先當(dāng)企業(yè)外網(wǎng)出口指定 IP 時(shí)配置防火墻參數(shù)。選擇接口四連接外網(wǎng)，接 口 一 連 接 內(nèi) 網(wǎng)。這 里 假 設(shè) 電 信 提 供 的 外 網(wǎng) IP 地 址 為 202.10.1.194 255.255.255.0。第一步：通過(guò) CONSOLE 接口以及本機(jī)的超級(jí)終端連接 F100 防火墻，執(zhí)行 system 命令進(jìn)入配置模式。第二步：通過(guò) firewall packet default permit 設(shè)置默認(rèn)的防火墻策略為 “容許通過(guò)”。第三步：進(jìn)入接口四設(shè)置其 IP 地址為 202.10.1.194，命令為 int e0/4 ip add 202.10.1.194 255.255.255.0 第四步：進(jìn)入接口一設(shè)置其 IP 地址為內(nèi)網(wǎng)地址，例如 192.168.1.1 255.255.255.0，命令為 int e0/1 ip add 192.168.1.1 255.255.255.0 第五步： 將兩個(gè)接口加入到不同的區(qū)域，外網(wǎng)接口配置到非信任區(qū) untrust，內(nèi)網(wǎng)接口加入到信任區(qū) trust—— fire zone untrust add int e0/4 fire zone trust add int e0/1 第六步：由于防火墻運(yùn)行基本是通過(guò) NAT 來(lái)實(shí)現(xiàn)，各個(gè)保護(hù)工作也是基于此 功能實(shí)現(xiàn)的，所以還需要針對(duì)防火墻的 NAT 信息進(jìn)行設(shè)置，首先添加一個(gè)訪問(wèn)控 制列表—— acl num 2000 21 計(jì)算機(jī)防火墻技術(shù)論文

rule per source 192.168.0.0 0.0.255.255 rule deny 第七步：接下來(lái)將這個(gè)訪問(wèn)控制列表應(yīng)用到外網(wǎng)接口通過(guò)啟用 NAT—— int e0/4 nat outbound 2000 第八步：最后添加路由信息，設(shè)置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或 外網(wǎng)電信下一跳地址—— ip route-static 0.0.0.0 0.0.0.0 202.10.1.193(如圖 2)執(zhí)行 save 命令保存退出后就可以在企業(yè)外網(wǎng)出口指定 IP 時(shí)實(shí)現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā) 以及安全保護(hù)功能了。22 計(jì)算機(jī)防火墻技術(shù)論文

第五章

防火墻發(fā)展趨勢(shì)

針對(duì)傳統(tǒng)防火墻不能解決的問(wèn)題，及新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也 出現(xiàn)了新的發(fā)展趨勢(shì)。主要可以從包過(guò)濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管 理三方面來(lái)體現(xiàn)。5.1 防火墻包過(guò)濾技術(shù)發(fā)展趨勢(shì)

(1)安全策略功能 一些防火墻廠商把在 AAA 系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無(wú)線網(wǎng)絡(luò)應(yīng)用中非常 必要。具有用戶身份驗(yàn)證的防火墻通常是采用應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)的，包過(guò)濾技術(shù)的 防火墻不具有。用戶身份驗(yàn)證功能越強(qiáng)，它的安全級(jí)別越高，但它給網(wǎng)絡(luò)通信帶 來(lái)的負(fù)面影響也越大，因?yàn)橛脩羯矸蒡?yàn)證需要時(shí)間，特別是加密型的用戶身份驗(yàn) 證。(2)多級(jí)過(guò)濾技術(shù) 所謂多級(jí)過(guò)濾技術(shù)，是指防火墻采用多級(jí)過(guò)濾措施，并輔以鑒別手段。在分 組過(guò)濾(網(wǎng)絡(luò)層)一級(jí)，過(guò)濾掉所有的源路由分組和假冒的 IP 源地址；在傳輸層 一級(jí)，遵循過(guò)濾規(guī)則，過(guò)濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如 nuke 包、圣誕樹(shù)包等；在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級(jí)，能利用 FTP、SMTP 等各種網(wǎng)關(guān)，控 制和監(jiān)測(cè) Internet 提供的所用通用服務(wù)。這是針對(duì)以上各種已有防火墻技術(shù)的 不足而產(chǎn)生的一種綜合型過(guò)濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過(guò)濾技術(shù)的不足。這種過(guò)濾技術(shù)在分層上非常清楚，每種過(guò)濾技術(shù)對(duì)應(yīng)于不同的網(wǎng)絡(luò)層，從這 個(gè)概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來(lái)的防火墻技術(shù)發(fā)展打下基礎(chǔ)。(3)功能擴(kuò)展 功能擴(kuò)展是指一種集成多種功能的設(shè)計(jì)趨勢(shì)，包括 VPN、AAA、PKI、IPSec 等附加功能，甚至防病毒、入侵檢測(cè)這樣的主流功能，都被集成到防火墻產(chǎn)品中 了，很多時(shí)候我們已經(jīng)無(wú)法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個(gè)功 能為主了，即其已經(jīng)逐漸向我們普遍稱之為 IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。23 計(jì)算機(jī)防火墻技術(shù)論文

有些防火墻集成了防病毒功能，通常被稱之為“病毒防火墻”，當(dāng)然目前主要還 是在個(gè)人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问剑菀讓?shí)現(xiàn)。這種防火墻技術(shù)可 以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護(hù) 功能的防火墻可以大大減少公司的損失。5.2 防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)

隨著網(wǎng)絡(luò)應(yīng)用的增加，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要

能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會(huì)越來(lái)越普 遍，它要求數(shù)據(jù)穿過(guò)防火墻所帶來(lái)的延遲要足夠小。為了滿足這種需要，一些防 火墻制造商開(kāi)發(fā)了基于 ASIC 的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度 的角度看來(lái)，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大 程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門(mén)用于處理數(shù)據(jù)層面 任務(wù)的引擎，從而減輕了 CPU 的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能 好許多。與基于 ASIC 的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性?；?ASIC 的防火墻使用專門(mén)的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比 起前兩種類型的防火墻具有更好的性能。但是純硬件的 ASIC 防火墻缺乏可編程 性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方 案是增加 ASIC 芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以 同時(shí)滿足來(lái)自靈活性和運(yùn)行性能的要求。5.3 防火墻的系統(tǒng)管理發(fā)展趨勢(shì)

(1)集中式管理，分布式和分層的安全結(jié)構(gòu)。(2)強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能。(3)網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化 縱觀防火墻技術(shù)的發(fā)展，黑客入侵系統(tǒng)技術(shù)的不斷進(jìn)步以及網(wǎng)絡(luò)病毒朝智

能化和多樣化發(fā)展，對(duì)防火墻技術(shù)的同步發(fā)展提出了更高的要求。防火墻技術(shù)只 有不斷向主動(dòng)型和智能型等方向發(fā)展，才能更好的滿足人們對(duì)防火墻技術(shù)日益增 長(zhǎng)的需求。24 計(jì)算機(jī)防火墻技術(shù)論文

結(jié)論

隨著 Internet 和 Intranet 技術(shù)的發(fā)展,網(wǎng)絡(luò)的安全已經(jīng)顯得越來(lái)越重要, 網(wǎng)絡(luò)病毒對(duì)企業(yè)造成的危害已經(jīng)相當(dāng)廣泛和嚴(yán)重, 其中也會(huì)涉及到是否構(gòu)成犯 罪行為的問(wèn)題，相應(yīng)的病毒防范技術(shù)也發(fā)展到了網(wǎng)絡(luò)層面,并且愈來(lái)愈有與黑客 技術(shù)和漏洞相結(jié)合的趨勢(shì)。新型防火墻技術(shù)產(chǎn)生,就是為了解決來(lái)自企業(yè)網(wǎng)絡(luò)內(nèi) 和外的攻擊;克服傳統(tǒng)“邊界防火墻”的缺點(diǎn),集成了 IDS、VPN 和防病毒等安 全技術(shù),實(shí)現(xiàn)從網(wǎng)絡(luò)到服務(wù)器以及客戶端全方位的安全解決方案,滿足企業(yè)實(shí)際 應(yīng)用和發(fā)展的安全要求。防火墻目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中 的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。本論文從防火墻方面解決網(wǎng)絡(luò)安全問(wèn)題，對(duì)網(wǎng)絡(luò)安全技術(shù)的有深刻的了解。25 計(jì)算機(jī)防火墻技術(shù)論文

參考文獻(xiàn)

[1] 王艷.淺析計(jì)算機(jī)安全[J].電腦知識(shí)與技術(shù).2010，(s):1054 一 1055.[2] 艾軍.防火墻體系結(jié)構(gòu)及功能分析[J].電腦知識(shí)與技術(shù).2004，(s):79 一 82.[3] 高峰.許南山.防火墻包過(guò)濾規(guī)則問(wèn)題的研究[M].計(jì)算機(jī)應(yīng)用.2003，23(6):311 一 312.[4] 孟濤、楊磊.防火墻和安全審計(jì)[M].計(jì)算機(jī)安全.2004，(4):17 一 18.[5] 鄭林.防火墻原理入門(mén)[Z].E 企業(yè).2000.[6] 魏利華.防火墻技術(shù)及其性能研究.能源研究與信息.2004，20(l):57 一 62 [7] 李劍，劉美華，曹元大.分布式防火墻系統(tǒng).安全與環(huán)境學(xué)報(bào).2002，2(l):59 一 61 [8] 王衛(wèi)平，陳文惠，朱衛(wèi)未.防火墻技術(shù)分析.信息安全與通信保密.2006，(8):24 一 27 [9] A.Feldman, S.Muthukrishnan.Tradeoffs for Packet ClassifiCation.Proc.Of the 9 th Annual Joint Conference of the IEEE Computer and Communieations Soeieties.2000,vo1.3, 1193-1202.[10] ]王永綱，石江濤，戴雪龍，顏天信.網(wǎng)絡(luò)包分類算法仿真測(cè)試與比較研究.中國(guó)科學(xué)技 術(shù)大學(xué)學(xué)報(bào).2004，34(4):400 一 409 [11] 邵華鋼，楊明福.基于空間分解技術(shù)的多維數(shù)據(jù)包分類.計(jì)算機(jī)工程.2003，29(12):123 一 124 [12] 付歌，楊明福.一個(gè)快速的二維數(shù)據(jù)包分類算法.計(jì)算機(jī)工程.2004，30(6):76 一 78 [13] 付 歌，楊 明 福，王 興 軍.基 于 空 間 分 解 的 數(shù) 據(jù) 包 分 類 技 術(shù).計(jì) 算 機(jī) 工 程 與 應(yīng) 用.2004(8):63 一 65 [14] 〕韓曉非，王學(xué)光，楊明福.位并行數(shù)據(jù)包分類算法研究.華東理工大學(xué)學(xué)報(bào).2003，29(5):504 一 508 [15] 韓曉非，楊明福，王學(xué)光.基于元組空間的位并行包分類算法.計(jì)算機(jī)工程與應(yīng)用.2003，(29):188 一 192 [16] 馮東雷，張勇，白英彩.一種高性能包分類漸增式更新算法.計(jì)算機(jī)研究與發(fā)展.2003，40(3):387 一 392 [17] 余勝生，張寧，周敬利，胡熠峰.一種用于大規(guī)模規(guī)則庫(kù)的快速包分類算法.計(jì)算機(jī)工 程.2004，30(7):49 一 51 26 計(jì)算機(jī)防火墻技術(shù)論文

致謝

本文是在李老師的悉心指導(dǎo)卜完成的，從文獻(xiàn)的查閱、論文的選題、撰寫(xiě)、修改、定稿，我的每一個(gè)進(jìn)步都和李老師的關(guān)注與指導(dǎo)密不可分。李老師在研究 方向、資料的收集、論文的選題、研究工作作的開(kāi)展以及論文的最終定稿，給子 我巨大、無(wú)私的幫助。論文的字里行間無(wú)不凝結(jié)著老師的悉心指導(dǎo)和浮淳教海，老師淵博的學(xué)識(shí)和嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度給我留下了深刻的印象，我從他那里學(xué)到的不 僅僅是專業(yè)知識(shí)，更重要的是嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度、對(duì)事業(yè)忘我的追求、高度的使命 感、責(zé)任感及和藹熱情的品質(zhì)和做人的道理，這些將使我受益一生，并將激勵(lì)我 不斷向前奮進(jìn)。還 有 就 是 在 這 次 的 實(shí)習(xí)中 更要對(duì)和我一起并肩戰(zhàn)斗的其他幾位小組成 員說(shuō)一聲辛苦了，我們有了今天的成績(jī)是我們不懈與團(tuán)結(jié)。讓我們共同努力創(chuàng)造 更好的明天。在此過(guò)程中我們互相幫助，勉勵(lì)是我們能完成這次任務(wù)的最大動(dòng)力，也是我們之間最大的收獲，最好的精神財(cái)富，愿我們還會(huì)有更好的合作！經(jīng) 過(guò) 了 這 次 的 實(shí)習(xí)也 意 味 著 我 學(xué)習(xí)生 涯 的 結(jié) 束。在 TOP 的 三 年 時(shí) 間 轉(zhuǎn) 瞬 即 逝，借 此 機(jī) 會(huì) 我 要 感 謝 兩年來(lái)傳授我知識(shí)的老師們，更要感謝所 有對(duì)我學(xué)業(yè)、生活上的支持和鼓勵(lì)，感謝所有關(guān)心幫助過(guò)我的人。27

第四篇：淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù) 論文

JIU JIANG UNIVERSITY

畢 業(yè) 論 文

題 目： 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)

院 系： 信息科學(xué)與技術(shù)學(xué)院 專 業(yè)： 網(wǎng)絡(luò)系統(tǒng)管理 姓 名：

年 級(jí)： 指導(dǎo)老師 ：

二零一一年十一月二十日

摘 要

隨著時(shí)代的發(fā)展，Internet日益普及，網(wǎng)絡(luò)已經(jīng)成為信息資源的海洋，給人們帶來(lái)了極大的方便。但由于Internet是一個(gè)開(kāi)放的，無(wú)控制機(jī)構(gòu)的網(wǎng)絡(luò)，經(jīng)常會(huì)受到計(jì)算機(jī)病毒、黑客的侵襲。它可使計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)和文件丟失，系統(tǒng)癱瘓。因此，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題必須放在首位。作為保護(hù)局域子網(wǎng)的一種有效手段，防火墻技術(shù)備受睞。

本文主要闡述了網(wǎng)絡(luò)安全技術(shù)所要受到的各方面威脅以及自身存在的一些缺陷，所謂知己知彼，百戰(zhàn)不殆。只有了解了網(wǎng)絡(luò)安全存在的內(nèi)憂外患，才能更好的改善網(wǎng)絡(luò)安全技術(shù)，發(fā)展網(wǎng)絡(luò)安全技術(shù)。然后主要闡述防火墻在網(wǎng)絡(luò)安全中起到的巨大的作用，防火墻的優(yōu)缺點(diǎn)及各種類型防火墻的使用和效果。

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的在飛速發(fā)展中，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來(lái)越廣泛，在帶來(lái)了前所未有的海量信息的同時(shí)，網(wǎng)絡(luò)的開(kāi)放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡(luò)信息的安全性變得日益重要，只有熟悉了各種對(duì)網(wǎng)絡(luò)安全的威脅，熟悉各種保護(hù)網(wǎng)路安全的技術(shù)，我們才能更好的保護(hù)計(jì)算機(jī)和信息的安全。

關(guān)鍵字：計(jì)算機(jī)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；防范措施；防火墻技術(shù)

II

Abstract With the development of The Times, the Internet has become increasingly popular and network information resources of the sea, and bring great convenience。But because of the Internet is an open, without control network, computer virus, often by hackers。It can make the computer and the computer network, the system files and data loss。Therefore, the computer network system security problems must be given priority。As the protection of local subnet an effective means, firewall technology。

This article mainly elaborated by network security technology to every aspect of the threat and its existence, some defects, so-called awareness。The existence of the 1930's and network security, can improve network security technology, the development of network security technology。And then expounds mainly firewall in network security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。

The computer network technology, especially in the rapid development of the Internet is becoming more and more widely applied in brought an unprecedented huge amounts of information, network of openness and freedom in the private information and data were damaged or infringed, the possibility of network information security is becoming increasingly important, only familiar to all kinds of network security threats, familiar with various protection network security technology, we can better protect the computer and information security。

Key words: Computer network, Network security, The prevention measures, Firewall technology

III

目錄

摘 要..................................................................II Abstract..............................................................III 引言....................................................................5 第一章 網(wǎng)絡(luò)安全概述.....................................................6 1.1計(jì)算機(jī)網(wǎng)絡(luò)安全的含義...........................................................6 1.2網(wǎng)絡(luò)信息安全的主要威脅.........................................................6 1.2.1自然威脅...................................................................6 1.2.2人為威脅—黑客攻擊與計(jì)算機(jī)病毒.............................................6 1.3計(jì)算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生原因...............................................8 1.5影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素.......................................................8 第二章 計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略..........................................10 2.1防火墻技術(shù)....................................................................10 2.2 數(shù)據(jù)加密與用戶授權(quán)訪問(wèn)控制技術(shù)..............................................12 2.3 入侵檢測(cè)技術(shù).................................................................13 2.4防病毒技術(shù)....................................................................13 2.4.1 對(duì)付病毒有以下四種基本方法.................................................14 2.5安全管理隊(duì)伍的建設(shè)............................................................17 第三章防火墻技術(shù)........................................................18 3.1防火墻的定義..................................................................18 3.2防火墻的功能..................................................................18 3.2.1防火墻是網(wǎng)絡(luò)安全的屏障......................................................18 3.2.2防火墻的種類................................................................18 3.3 防火墻的技術(shù)原理............................................................18 3.4 防火墻的應(yīng)用.................................................................19 3.4.1個(gè)人防火墻的應(yīng)用............................................................19 3.4.2防火墻技術(shù)在校園網(wǎng)中應(yīng)用....................................................23 結(jié)論...................................................................25 致謝...................................................................26 參考文獻(xiàn)...............................................................27 IV

引言

近年來(lái)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來(lái)越廣泛，在帶來(lái)了前所未有的海量信息的同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)的安全性變得日益重要起來(lái)，由于計(jì)算機(jī)網(wǎng)絡(luò)聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)的開(kāi)放性和網(wǎng)絡(luò)資源的共享性等因素，致使計(jì)算機(jī)網(wǎng)絡(luò)容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊【1】。

為確保信息的安全與網(wǎng)絡(luò)暢通，研究計(jì)算機(jī)網(wǎng)絡(luò)的安全與防護(hù)措施已迫在眉捷，但網(wǎng)絡(luò)安全問(wèn)題至今仍沒(méi)有能夠引起足夠的重視，更多的用戶認(rèn)為網(wǎng)絡(luò)安全問(wèn)題離自己尚遠(yuǎn)，這一點(diǎn)從大約有40%以上的用戶特別是企業(yè)級(jí)用戶沒(méi)有安裝防火墻(Firewall)便可以窺見(jiàn)一斑，而所有的問(wèn)題都在向大家證明一個(gè)事實(shí)，大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻而引發(fā)，所以防火墻技術(shù)應(yīng)當(dāng)引起我們的注意和重視。

本文主要研究網(wǎng)絡(luò)安全的缺陷原由及網(wǎng)絡(luò)安全技術(shù)的原理和其他技術(shù)，如防火墻技術(shù)對(duì)網(wǎng)絡(luò)安全起到的不可忽視的影響。

第一章 網(wǎng)絡(luò)安全概述

1.1計(jì)算機(jī)網(wǎng)絡(luò)安全的含義

計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會(huì)隨著使用者的變化而變化，使用者不同，對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和要求也就不同。例如從普通使用者的角度來(lái)說(shuō)，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽(tīng)、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對(duì)網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

從本質(zhì)上來(lái)講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問(wèn)題，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

1.2網(wǎng)絡(luò)信息安全的主要威脅

網(wǎng)絡(luò)安全所面臨的威脅來(lái)自很多方面，并且隨著時(shí)問(wèn)的變化而變化。這些威脅可以宏觀地分為自然威脅和人為威脅。

1.2.1自然威脅

自然威脅可能來(lái)自于各種自然災(zāi)害、惡劣的場(chǎng)地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。這些無(wú)目的的事件，有時(shí)會(huì)直接威脅網(wǎng)絡(luò)的安全，影響信息的存儲(chǔ)媒體。威脅分別有：

1.自然災(zāi)害（如雷電、地震、火災(zāi)、水災(zāi)等），物理?yè)p壞（如硬盤(pán)損壞、設(shè)備使用壽命到期、外力破損等），設(shè)備故障（如停電斷電、電磁干擾等），意外事故。

2.電磁泄漏（如偵聽(tīng)微機(jī)操作過(guò)程）。

3.操作失誤（如刪除文件，格式化硬盤(pán)，線路拆除等），意外疏漏（如系統(tǒng)掉電、死機(jī)等系統(tǒng)崩潰）

4.計(jì)算機(jī)系統(tǒng)機(jī)房環(huán)境的安全。

1.2.2人為威脅—黑客攻擊與計(jì)算機(jī)病毒

人為威脅就是說(shuō)對(duì)網(wǎng)絡(luò)的人為攻擊。這些攻擊手段都是通過(guò)尋找系統(tǒng)的弱點(diǎn)【2】，以便達(dá)到破壞、欺騙、竊取數(shù)據(jù)等目的，造成經(jīng)濟(jì)上和政治上不可估量的損失。網(wǎng)絡(luò)安全的人為威脅主要分為以下幾種： ? 網(wǎng)絡(luò)缺陷

Intemet由于它的開(kāi)放性迅速在全球范圍內(nèi)普及，但也正是因?yàn)殚_(kāi)放性使其保護(hù)信息安全存在先天不足。Internet最初的設(shè)計(jì)考慮主要是考慮資源共享，基本沒(méi)有考慮安全問(wèn)題，缺乏相應(yīng)的安全監(jiān)督機(jī)制。

? 黑客攻擊

自1998年后，網(wǎng)上的黑客越來(lái)越多，也越來(lái)越猖獗；與此同時(shí)黑客技術(shù)逐漸被越來(lái)越多的人掌握現(xiàn)在還缺乏針對(duì)網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，“殺傷力”強(qiáng)，這是網(wǎng)絡(luò)安全的主要威脅之一。? 各種病毒

病毒時(shí)時(shí)刻刻威脅著整個(gè)互聯(lián)網(wǎng)。像Nimda和CodeRed的爆發(fā)更是具有深遠(yuǎn)的影響，促使人們不得不在網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)考慮對(duì)于各種病毒的檢測(cè)防治，對(duì)病毒徹底防御的重要性毋庸置疑。? 管理的欠缺及資源濫用

很多上了互聯(lián)網(wǎng)的企業(yè)缺乏對(duì)于網(wǎng)絡(luò)安全的認(rèn)識(shí)，管理上存在很多漏洞，特別是國(guó)內(nèi)的企業(yè)，只是提供了接入Internet的通道，對(duì)于網(wǎng)絡(luò)上黑客的攻擊缺乏基本的應(yīng)對(duì)措施，同時(shí)企業(yè)內(nèi)部普遍存在資源濫用現(xiàn)象，這是造成網(wǎng)絡(luò)安全問(wèn)題的根本原因。軟件的漏洞和后門(mén)：隨著CPU的頻率越來(lái)越高，軟件的規(guī)模越來(lái)越大，軟件系統(tǒng)中的漏洞也不可避免的存在，強(qiáng)大如微軟所開(kāi)發(fā)的Windows也存在。各種各樣的安全漏洞和“后門(mén)”，這是網(wǎng)絡(luò)安全的主要威脅之一。? 網(wǎng)絡(luò)內(nèi)部用戶的誤操作和惡意行為

對(duì)于來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊，主流的網(wǎng)絡(luò)安全產(chǎn)品防火墻基本無(wú)能為力，這類攻擊及其誤操作行為需要網(wǎng)絡(luò)信息審計(jì)、IDS等主要針對(duì)內(nèi)部網(wǎng)絡(luò)安全的安全產(chǎn)品來(lái)抵御。

? 網(wǎng)絡(luò)資源濫用

網(wǎng)絡(luò)有了安全保證和帶寬管理，依然不能防止員工對(duì)網(wǎng)絡(luò)資源的濫用。等行為極大地降低了員工的工作效率。管理層希望員工更加有效地使用互聯(lián)網(wǎng)，盡量避免網(wǎng)絡(luò)對(duì)工作帶來(lái)負(fù)面影響。? 信息泄漏

惡意、過(guò)失的不合理信息上傳和發(fā)布，可能會(huì)造成敏感信息泄漏、有害信息擴(kuò)散，危及社會(huì)、國(guó)家、體和個(gè)人利益。更有基于競(jìng)爭(zhēng)需要，利用技術(shù)手段對(duì)目標(biāo)機(jī)信息資源進(jìn)行竊取。在眾多人為威脅中來(lái)自用戶和惡意軟件即計(jì)算機(jī)病毒的非法侵入嚴(yán)重，計(jì)算機(jī)病毒是利用程序干擾破壞系統(tǒng)正常工作的一種手段，它的產(chǎn)生和蔓延給信息系統(tǒng)的可靠性和安全性帶來(lái)嚴(yán)重的威脅和巨大的損失。? 操作系統(tǒng)存在的安全問(wèn)題

操作系統(tǒng)是作為一個(gè)支撐軟件，使得你的程序或別的應(yīng)用系統(tǒng)在上面正常運(yùn)行的一個(gè)環(huán)境。操作系統(tǒng)提供了很多的管理功能，主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性，系統(tǒng)開(kāi)發(fā)設(shè)計(jì)的不周而留下的破綻，都給網(wǎng)絡(luò)安全留下隱患。

? 數(shù)據(jù)庫(kù)存儲(chǔ)的內(nèi)容存在的安全問(wèn)題

數(shù)據(jù)庫(kù)管理系統(tǒng)大量的信息存儲(chǔ)在各種各樣的數(shù)據(jù)庫(kù)里面，包括我們上網(wǎng)看到的所有信息，數(shù)據(jù)庫(kù)主要考慮的是信息方便存儲(chǔ)、利用和管理，但在安全方面考慮的比較少。例如：授權(quán)用戶超出了訪問(wèn)權(quán)限進(jìn)行數(shù)據(jù)的更改活動(dòng)；非法用戶繞過(guò)安全內(nèi)核，竊取信息。對(duì)于數(shù)據(jù)庫(kù)的安全而言，就是要保證數(shù)據(jù)的安全可靠和正確有效，即確保數(shù)據(jù)的安全性、完整性。數(shù)據(jù)的安全性是防止數(shù)據(jù)庫(kù)被破壞和非法的存??；數(shù)據(jù)庫(kù)的完整性是防止數(shù)據(jù)庫(kù)中存在不符合語(yǔ)義的數(shù)據(jù)。

1.3計(jì)算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生原因

①網(wǎng)絡(luò)安全天生脆弱

計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的脆弱性是伴隨計(jì)算機(jī)網(wǎng)絡(luò)一同產(chǎn)生的，換句話說(shuō)，安全系統(tǒng)脆弱是計(jì)算機(jī)網(wǎng)絡(luò)與生俱來(lái)的致命弱點(diǎn)。在網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)特性決定了不可能無(wú)條件、無(wú)限制的提高其安全性能。要使網(wǎng)絡(luò)更方便快捷，又要保證網(wǎng)絡(luò)安全，這是一個(gè)非常棘手的“兩難選擇”，而網(wǎng)絡(luò)安全只能在“兩難選擇”所允許的范圍中尋找支撐點(diǎn)。可以說(shuō)世界上任何一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)都不是絕對(duì)安全的

②黑客攻擊后果嚴(yán)重

近幾年，黑客猖狂肆虐，四面出擊，使交通通訊網(wǎng)絡(luò)中斷，軍事指揮系統(tǒng)失靈，電力供水系統(tǒng)癱瘓，銀行金融系統(tǒng)混亂??危及國(guó)家的政治、軍事、經(jīng)濟(jì)的安全與穩(wěn)定，在世界各國(guó)造成了難以估量的損失。

③網(wǎng)絡(luò)殺手集團(tuán)化

目前，網(wǎng)絡(luò)殺手除了一般的黑客外，還有一批具有高精尖技術(shù)的“專業(yè)殺手”，更令人擔(dān)憂的是出現(xiàn)了具有集團(tuán)性質(zhì)的“網(wǎng)絡(luò)恐怖分子”甚至政府出面組織的“網(wǎng)絡(luò)戰(zhàn)”、“黑客戰(zhàn)”，其規(guī)?；?、專業(yè)性和破壞程度都使其他黑客望塵莫及?？梢哉f(shuō)，由政府組織的“網(wǎng)絡(luò)戰(zhàn)”、“黑客戰(zhàn)”是當(dāng)前網(wǎng)絡(luò)安全的最大隱患。目前，美國(guó)正開(kāi)展用無(wú)線電方式、衛(wèi)星輻射式注入方式、網(wǎng)絡(luò)方式把病毒植入敵方計(jì)算機(jī)主機(jī)或各類傳感器、網(wǎng)橋中的研究以伺機(jī)破壞敵方的武器系統(tǒng)、指揮控制系統(tǒng)、通信系統(tǒng)等高敏感的網(wǎng)絡(luò)系統(tǒng)。另外，為達(dá)到預(yù)定目的，對(duì)出售給潛在敵手的計(jì)算機(jī)芯片進(jìn)行暗中修改，在CPU中設(shè)置“芯片陷阱”，可使美國(guó)通過(guò)因特網(wǎng)發(fā)布指令讓敵方電腦停止工作，以起到“定時(shí)炸彈”的作用。

1.5影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素

①網(wǎng)絡(luò)資源的共享性

資源共享是計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的主要目的，但這為系統(tǒng)安全的攻擊者利用共享的資源進(jìn)行破壞提供了機(jī)會(huì)。隨著互聯(lián)網(wǎng)需求的日益增長(zhǎng)，外部服務(wù)請(qǐng)求不可能做到完全隔離，攻擊者利用服務(wù)請(qǐng)求的機(jī)會(huì)很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。

②網(wǎng)絡(luò)的開(kāi)放性

網(wǎng)上的任何一個(gè)用戶很方便訪問(wèn)互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個(gè)企業(yè)、單位以及個(gè)人的敏感性信息。

③網(wǎng)絡(luò)操作系統(tǒng)的漏洞

網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實(shí)現(xiàn)的最終載體之一，它不僅

負(fù)責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝，同時(shí)還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。由于網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種實(shí)現(xiàn)過(guò)程所帶來(lái)的缺陷和漏洞。

④網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷

網(wǎng)絡(luò)設(shè)計(jì)是指拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會(huì)直接帶來(lái)安全隱患。合理的網(wǎng)絡(luò)設(shè)計(jì)在節(jié)約資源的情況下，還可以提供較好的安全性。不合理的網(wǎng)絡(luò)設(shè)計(jì)則會(huì)成為網(wǎng)絡(luò)的安全威脅。

⑤惡意攻擊

就是人們常見(jiàn)的黑客攻擊及網(wǎng)絡(luò)病毒，這是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化，這類攻擊也是越來(lái)越多，影響越來(lái)越大。

第二章 計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略

計(jì)算機(jī)網(wǎng)絡(luò)安全從技術(shù)上來(lái)說(shuō)，主要由防病毒、防火墻、入侵檢測(cè)等多個(gè)安全組件組成，任何一個(gè)單獨(dú)的組件都無(wú)法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運(yùn)用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有：防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測(cè)技術(shù)、防病毒技術(shù)等，以下就此幾項(xiàng)技術(shù)分別進(jìn)行分析。2.1防火墻技術(shù)

防火墻

防火墻是汽車中一個(gè)部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開(kāi)，以便汽車引擎一旦著火，防火墻不但能保護(hù)乘客安全，而同時(shí)還能讓司機(jī)繼續(xù)控制引擎。在電腦術(shù)語(yǔ)中，當(dāng)然就不是這個(gè)意思了，我們可 以類比來(lái)理解，在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)(如Internet)分開(kāi)的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門(mén)外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)。換句話說(shuō)，如果不通過(guò)防火墻，公司內(nèi)部的人就無(wú)法訪問(wèn)Internet，Internet上的人也無(wú)法和公司內(nèi)部的人進(jìn)行通信。

防火墻（FireWall）成為近年來(lái)新興的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)性措施。它是一種隔離控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如Internet）之間設(shè)置屏障，阻止對(duì)信息資源的非法訪問(wèn)，也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。作為Internet網(wǎng)的安全性保護(hù)軟件，F(xiàn)ireWall已經(jīng)得到廣泛的應(yīng)用。通常企業(yè)為了維護(hù)內(nèi)部的信息系統(tǒng)安全，在企業(yè)網(wǎng)和Internet間設(shè)立FireWall軟件。企業(yè)信息系統(tǒng)對(duì)于來(lái)自Internet的訪問(wèn)，采取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問(wèn)，也可以接收或拒絕TCP/IP上的某一類具體的應(yīng)用。如果在某一臺(tái)IP主機(jī)上有需要禁止的信息或危險(xiǎn)的用戶，則可以通過(guò)設(shè)置使用FireWall過(guò)濾掉從該主機(jī)發(fā)出的包。如果一個(gè)企業(yè)只是使用Internet的電子郵件和WWW服務(wù)器向外部提供信息，那么就可以在FireWall上設(shè)置使得只有這兩類應(yīng)用的數(shù)據(jù)包可以通過(guò)。這對(duì)于路由器來(lái)說(shuō)，就要不僅分析IP層的信息，而且還要進(jìn)一步了解TCP傳輸層甚至應(yīng)用層的信息以進(jìn)行取舍。FireWall一般安裝在路由器 上以保護(hù)一個(gè)子網(wǎng)，也可以安裝在一臺(tái)主機(jī)上，保護(hù)這臺(tái)主機(jī)不受侵犯。

為了讓大家更好地使用防火墻，我們從反面列舉4個(gè)有代表性的失敗案例。例1：未制定完整的企業(yè)安全策略

網(wǎng)絡(luò)環(huán)境：某中型企業(yè)購(gòu)買(mǎi)了適合自己網(wǎng)絡(luò)特點(diǎn)的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲(chóng)病毒不見(jiàn)了，企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了，為此，公司領(lǐng)導(dǎo)特意表?yè)P(yáng)了負(fù)責(zé)防火墻安裝實(shí)施的信息部。

該企業(yè)網(wǎng)絡(luò)環(huán)境如圖2.1所示：

圖2.1 該企業(yè)內(nèi)部網(wǎng)絡(luò)的核心交換機(jī)是帶路由模塊的三層交換機(jī)，出口通過(guò)路由器和ISP連接。內(nèi)部網(wǎng)劃分為5個(gè)VLAN，VLAN

1、VLAN 2和VLAN 3分配給不同的部門(mén)使用，不同的VLAN之間根據(jù)部門(mén)級(jí)別設(shè)置訪問(wèn)權(quán)限；VLAN 4分配給交換機(jī)出口地址和路由器使用；VLAN 5分配給公共服務(wù)器使用。在沒(méi)有加入防火墻之前，各個(gè)VLAN中的PC機(jī)能夠通過(guò)交換機(jī)和路由器不受限制地訪問(wèn)Internet。加入防火墻后，給防火墻分配一個(gè)VLAN 4中的空閑IP地址，并把網(wǎng)關(guān)指向路由器；將VLAN 5接入到防火墻的一個(gè)網(wǎng)口上。這樣，防火墻就把整個(gè)網(wǎng)絡(luò)分為3個(gè)區(qū)域: 內(nèi)部網(wǎng)、公共服務(wù)器區(qū)和外部網(wǎng)，三者之間的通信受到防火墻安全規(guī)則的限制。

問(wèn)題描述：防火墻投入運(yùn)行后，實(shí)施了一套較為嚴(yán)格的安全規(guī)則，導(dǎo)致公司員工無(wú)法使用QQ聊天軟件，于是沒(méi)過(guò)多久就有員工自己撥號(hào)上網(wǎng)，導(dǎo)致感染了特洛依木馬和蠕蟲(chóng)等病毒，并立刻在公司內(nèi)部局域網(wǎng)中傳播開(kāi)來(lái)，造成內(nèi)部網(wǎng)大面積癱瘓。

問(wèn)題分析：我們知道，防火墻作為一種保護(hù)網(wǎng)絡(luò)安全的設(shè)備，必須部署在受保護(hù)網(wǎng)絡(luò)的邊界處，只有這樣防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信，達(dá)到將入侵者拒之門(mén)外的目的。如果被保護(hù)網(wǎng)絡(luò)的邊界不惟一，有很多出入口，那么只部署一臺(tái)防火墻是不夠的。在本案例中，防火墻投入使用后，沒(méi)有禁止私自撥號(hào)上網(wǎng)行為，使得許多PC機(jī)通過(guò)電話線和Internet相連，導(dǎo)致網(wǎng)絡(luò)邊界不惟一，入侵者可以通過(guò)攻擊這些PC機(jī)然后進(jìn)一步攻擊內(nèi)部網(wǎng)絡(luò)，從而成功地避開(kāi)了防火墻。

解決辦法：根據(jù)自己企業(yè)網(wǎng)的特點(diǎn)，制定一整套安全策略，并徹底地貫徹實(shí)施。比如說(shuō)，制定一套安全管理規(guī)章制度，嚴(yán)禁員工私自撥號(hào)上網(wǎng);同時(shí)封掉撥號(hào)上網(wǎng)的電話號(hào)碼，并購(gòu)買(mǎi)檢測(cè)撥號(hào)上網(wǎng)的軟件，這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不惟一的情況發(fā)生。另外，考慮到企業(yè)員工的需求，可以在防火墻上添加按照時(shí)間段生效的安全規(guī)則，在非工作時(shí)間打開(kāi)QQ使用的TCP/UDP端口，使得企業(yè)員工可以在工余時(shí)間使用QQ聊天軟件。

例2：未考慮與其他安全產(chǎn)品的配合使用

問(wèn)題描述：某公司購(gòu)買(mǎi)了防火墻后，緊接著又購(gòu)買(mǎi)了漏洞掃描和IDS（入侵檢測(cè)系統(tǒng)）產(chǎn)品。當(dāng)系統(tǒng)管理員利用IDS發(fā)現(xiàn)入侵行為后，必須每次都要手工調(diào)

整防火墻安全策略，使管理員工作量劇增，而且經(jīng)常調(diào)整安全策略，也給整個(gè)網(wǎng)絡(luò)帶來(lái)不良影響。

問(wèn)題分析：選購(gòu)防火墻時(shí)未充分考慮到與其他安全產(chǎn)品如IDS的聯(lián)動(dòng)功能，導(dǎo)致不能最大程度地發(fā)揮安全系統(tǒng)的作用。

解決辦法：購(gòu)買(mǎi)防火墻前應(yīng)查看企業(yè)網(wǎng)是否安裝了漏洞掃描或IDS等其他安全產(chǎn)品，以及具體產(chǎn)品名稱和型號(hào)，然后確定所要購(gòu)買(mǎi)的防火墻是否有聯(lián)動(dòng)功能（即是否支持其他安全產(chǎn)品，尤其是IDS產(chǎn)品），支持的是哪些品牌和型號(hào)的產(chǎn)品，是否與已有的安全產(chǎn)品名稱相符，如果不符，最好不要選用，而選擇能同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻。這樣，當(dāng)IDS發(fā)現(xiàn)入侵行為后，在通知管理員的同時(shí)發(fā)送消息給防火墻，由防火墻自動(dòng)添加相關(guān)規(guī)則，把入侵者拒之門(mén)外。

例3：未經(jīng)常維護(hù)升級(jí)防火墻 問(wèn)題描述：某政府機(jī)構(gòu)購(gòu)置防火墻后已安全運(yùn)行一年多，由于該機(jī)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)一直很穩(wěn)定，沒(méi)有什么變化，各種應(yīng)用也運(yùn)行穩(wěn)定，因此管理員逐漸放松了對(duì)防火墻的管理，只要網(wǎng)絡(luò)一直保持暢通即可，不再關(guān)心防火墻的規(guī)則是否需要調(diào)整，軟件是否需要升級(jí)。而且由于該機(jī)構(gòu)處于政府專網(wǎng)內(nèi)，與Internet物理隔離，防火墻無(wú)法實(shí)現(xiàn)在線升級(jí)。因此該機(jī)構(gòu)的防火墻軟件版本一直還是購(gòu)買(mǎi)時(shí)的舊版本，雖然管理員一直都收到防火墻廠家通過(guò)電子郵件發(fā)來(lái)的軟件升級(jí)包，但從未手工升級(jí)過(guò)。在一次全球范圍的蠕蟲(chóng)病毒迅速蔓延事件中，政府專網(wǎng)也受到蠕蟲(chóng)病毒的感染，該機(jī)構(gòu)防火墻因?yàn)闆](méi)有及時(shí)升級(jí)，無(wú)法抵御這種蠕蟲(chóng)病毒的攻擊，造成整個(gè)機(jī)構(gòu)的內(nèi)部網(wǎng)大面積受感染，網(wǎng)絡(luò)陷于癱瘓之中。

問(wèn)題分析：安全與入侵永遠(yuǎn)是一對(duì)矛盾。防火墻軟件作為一種安全工具，必須不斷地升級(jí)與更新才能應(yīng)付不斷發(fā)展的入侵手段，過(guò)時(shí)的防護(hù)盾牌是無(wú)法抵擋最先進(jìn)的長(zhǎng)矛的。作為安全管理員來(lái)說(shuō)，應(yīng)當(dāng)時(shí)刻留心廠家發(fā)布的升級(jí)包，及時(shí)給防火墻打上最新的補(bǔ)丁。

解決辦法：及時(shí)維護(hù)防火墻，當(dāng)本機(jī)構(gòu)發(fā)生人員變動(dòng)、網(wǎng)絡(luò)調(diào)整和應(yīng)用變化時(shí)，要及時(shí)調(diào)整防火墻的安全規(guī)則，及時(shí)升級(jí)防火墻。

從以上三個(gè)案例我們可以得出一些結(jié)論：防火墻只是保證安全的一種技術(shù)手段，要想真正實(shí)現(xiàn)安全，安全策略是核心問(wèn)題。保護(hù)網(wǎng)絡(luò)安全不僅僅是防火墻一種產(chǎn)品，只有將多種安全產(chǎn)品無(wú)縫地結(jié)合起來(lái)，充分利用它們各自的優(yōu)點(diǎn)，才能最大限度地保證網(wǎng)絡(luò)安全。而保護(hù)網(wǎng)絡(luò)安全是動(dòng)態(tài)的過(guò)程，防火墻需要積極地維護(hù)和升級(jí)。

2.2 數(shù)據(jù)加密與用戶授權(quán)訪問(wèn)控制技術(shù)

與防火墻相比，數(shù)據(jù)加密與用戶授權(quán)訪問(wèn)控制技術(shù)比較靈活，更加適用于開(kāi)放的網(wǎng)絡(luò)。用戶授權(quán)訪問(wèn)控制主要用于對(duì)靜態(tài)信息的保護(hù)，需要系統(tǒng)級(jí)別的支持，一般在操作系統(tǒng)中實(shí)現(xiàn)。數(shù)據(jù)加密主要用于對(duì)動(dòng)態(tài)信息的保護(hù)。對(duì)動(dòng)態(tài)數(shù)據(jù)的攻擊分為主動(dòng)攻擊和被動(dòng)攻擊。對(duì)于主動(dòng)攻擊，雖無(wú)法避免，但卻可以有效地檢測(cè)；而對(duì)于被動(dòng)攻擊，雖無(wú)法檢測(cè)，但卻可以避免，實(shí)現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密實(shí)質(zhì)上是對(duì)以符號(hào)為基礎(chǔ)的數(shù)據(jù)進(jìn)行移位和置換的變換算法，這種變換是對(duì)稱密鑰算法”。這樣的密鑰必須秘密保管，只能為授權(quán)用戶所知，授權(quán)用戶既可以用該密鑰加密信急，也可以用該密鑰解密信息，DES是對(duì)稱加密算法中最具代表性的算法。在公鑰加密算法中，公鑰是公開(kāi)的，任何人可以用公鑰加密信息，再將密文發(fā)送給私鑰擁有者。私鑰是保密的，用于解密其接收的公鑰加密過(guò)的信息【5】。典型的公鑰加密算法~nRSA是目前使用比較廣泛的加密算法

2.3 入侵檢測(cè)技術(shù)

入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem，IDS)是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息，再通過(guò)此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。IDS被認(rèn)為是防火墻之后的第二道安全閘門(mén)，它能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊：在入侵攻擊過(guò)程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)，添加入策略集中，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵【6】。

入侵檢測(cè)的作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和起訴支持。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測(cè)技術(shù)的功能主要體現(xiàn)在以下方面： 1)分析用戶及系統(tǒng)活動(dòng)，查找非法用戶和合法用戶的越權(quán)操作； 2)檢測(cè)系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補(bǔ)漏洞； 3)識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人上報(bào)警； 4)對(duì)異常行為模式的統(tǒng)計(jì)分析；

5)能夠?qū)崟r(shí)地對(duì)檢測(cè)到的入侵行為進(jìn)行反應(yīng)； 6)評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性； 7)可以發(fā)現(xiàn)新的攻擊模式； 入侵檢測(cè)方法

方法有很多，如基于專家系統(tǒng)入侵檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法等。目前一些入侵檢測(cè)系統(tǒng)在應(yīng)用層入侵檢測(cè)中已有實(shí)現(xiàn)

1.監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；

2.系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；

3.識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；

4.異常行為模式的統(tǒng)計(jì)分析；

5.評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；

6.操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。

入侵檢測(cè)技術(shù)同樣存在問(wèn)題

1.現(xiàn)有的入侵檢測(cè)系統(tǒng)檢測(cè)速度遠(yuǎn)小于網(wǎng)絡(luò)傳輸速度, 導(dǎo)致誤報(bào)率和漏報(bào)率

2.入侵檢測(cè)產(chǎn)品和其它網(wǎng)絡(luò)安全產(chǎn)品結(jié)合問(wèn)題, 即期間的信息交換,共同協(xié)作發(fā)現(xiàn)攻擊并阻擊攻擊

3.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)對(duì)加密的數(shù)據(jù)流及交換網(wǎng)絡(luò)下的數(shù)據(jù)流不能進(jìn)行檢測(cè), 并且其本身構(gòu)建易受攻擊

4.入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)問(wèn)題

2.4 防病毒技術(shù)

計(jì)算機(jī)病毒的預(yù)防技術(shù)就是通過(guò)一定的技術(shù)手段防止計(jì)算機(jī)病毒對(duì)系統(tǒng)的傳染和

破壞。實(shí)際上這是一種動(dòng)態(tài)判定技術(shù)，即一種行為規(guī)則判定技術(shù)。也就是說(shuō)，計(jì)算機(jī)病毒的預(yù)防是采用對(duì)病毒的規(guī)則進(jìn)行分類處理，而后在程序運(yùn)作中凡有類似的規(guī)則出現(xiàn)則認(rèn)定是計(jì)算機(jī)病毒。具體來(lái)說(shuō)，計(jì)算機(jī)病毒的預(yù)防是通過(guò)阻止計(jì)算機(jī)病毒進(jìn)入系統(tǒng)內(nèi)存或阻止計(jì)算機(jī)病毒對(duì)磁盤(pán)的操作，尤其是寫(xiě)操作。

預(yù)防病毒技術(shù)包括：磁盤(pán)引導(dǎo)區(qū)保護(hù)、加密可執(zhí)行程序、讀寫(xiě)控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。例如，大家所熟悉的防病毒卡，其主要功能是對(duì)磁盤(pán)提供寫(xiě)保護(hù)，監(jiān)視在計(jì)算機(jī)和驅(qū)動(dòng)器之間產(chǎn)生的信號(hào)。以及可能造成危害的寫(xiě)命令，并且判斷磁盤(pán)當(dāng)前所處的狀態(tài)：哪一個(gè)磁盤(pán)將要進(jìn)行寫(xiě)操作，是否正在進(jìn)行寫(xiě)操作，磁盤(pán)是否處于寫(xiě)保護(hù)等，來(lái)確定病毒是否將要發(fā)作。計(jì)算機(jī)病毒的預(yù)防應(yīng)用包括對(duì)已知病毒的預(yù)防和對(duì)未知病毒的預(yù)防兩個(gè)部分。目前，對(duì)已知病毒的預(yù)防可以采用特征判定技術(shù)或靜態(tài)判定技術(shù)，而對(duì)未知病毒的預(yù)防則是一種行為規(guī)則的判定技術(shù)，即動(dòng)態(tài)判定技術(shù)。

一、計(jì)算機(jī)病毒的預(yù)防技術(shù)

計(jì)算機(jī)病毒的預(yù)防技術(shù)就是通過(guò)一定的技術(shù)手段防止計(jì)算機(jī)病毒對(duì)系統(tǒng)的傳染和破壞。實(shí)際上這是一種動(dòng)態(tài)判定技術(shù)，即一種行為規(guī)則判定技術(shù)。也就是說(shuō)，計(jì)算機(jī)病毒的預(yù)防是采用對(duì)病毒的規(guī)則進(jìn)行分類處理，而后在程序運(yùn)作中凡有類似的規(guī)則出現(xiàn)則認(rèn)定是計(jì)算機(jī)病毒。具體來(lái)說(shuō)，計(jì)算機(jī)病毒的預(yù)防是通過(guò)阻止計(jì)算機(jī)病毒進(jìn)入系統(tǒng)內(nèi)存或阻止計(jì)算機(jī)病毒對(duì)磁盤(pán)的操作，尤其是寫(xiě)操作。

預(yù)防病毒技術(shù)包括：磁盤(pán)引導(dǎo)區(qū)保護(hù)、加密可執(zhí)行程序、讀寫(xiě)控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。例如，大家所熟悉的防病毒卡，其主要功能是對(duì)磁盤(pán)提供寫(xiě)保護(hù)，監(jiān)視在計(jì)算機(jī)和驅(qū)動(dòng)器之間產(chǎn)生的信號(hào)。以及可能造成危害的寫(xiě)命令，并且判斷磁盤(pán)當(dāng)前所處的狀態(tài)：哪一個(gè)磁盤(pán)將要進(jìn)行寫(xiě)操作，是否正在進(jìn)行寫(xiě)操作，磁盤(pán)是否處于寫(xiě)保護(hù)等，來(lái)確定病毒是否將要發(fā)作。計(jì)算機(jī)病毒的預(yù)防應(yīng)用包括對(duì)已知病毒的預(yù)防和對(duì)未知病毒的預(yù)防兩個(gè)部分。目前，對(duì)已知病毒的預(yù)防可以采用特征判定技術(shù)或靜態(tài)判定技術(shù)，而對(duì)未知病毒的預(yù)防則是一種行為規(guī)則的判定技術(shù)，即動(dòng)態(tài)判定技術(shù)。

二、檢測(cè)病毒技術(shù)

計(jì)算機(jī)病毒的檢測(cè)技術(shù)是指通過(guò)一定的技術(shù)手段判定出特定計(jì)算機(jī)病毒的一種技術(shù)。它有兩種：一種是根據(jù)計(jì)算機(jī)病毒的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及傳染方式、文件長(zhǎng)度的變化，在特征分類的基礎(chǔ)上建立的病毒檢測(cè)技術(shù)。另一種是不針對(duì)具體病毒程序的自身校驗(yàn)技術(shù)。即對(duì)某個(gè)文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)和計(jì)算并保存其結(jié)果，以后定期或不定期地以保存的結(jié)果對(duì)該文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)，若出現(xiàn)差異，即表示該文件或數(shù)據(jù)段完整性已遭到破壞，感染上了病毒，從而檢測(cè)到病毒的存在。

三、清除病毒技術(shù)

計(jì)算機(jī)病毒的清除技術(shù)是計(jì)算機(jī)病毒檢測(cè)技術(shù)發(fā)展的必然結(jié)果，是計(jì)算機(jī)病毒傳染程序的一種逆過(guò)程。目前，清除病毒大都是在某種病毒出現(xiàn)后，通過(guò)對(duì)其進(jìn)行分析研究而研制出來(lái)的具有相應(yīng)解毒功能的軟件。這類軟件技術(shù)發(fā)展往往是被動(dòng)的，帶有滯后性。而且由于計(jì)算機(jī)軟件所要求的精確性，解毒軟件有其局限性，對(duì)有些變種病毒的清除無(wú)能為力。目前市場(chǎng)上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPAV，及我國(guó)的LANClear和Kill89等產(chǎn)品均采用上述三種防病毒技術(shù)

2.4.1 對(duì)付病毒有以下四種基本方法

1、基于網(wǎng)絡(luò)目錄和文件安全性方法

以NetWare為例，在NetWare中，提供了目錄和文件訪問(wèn)權(quán)限與屬性兩種安全性措施?！霸L問(wèn)權(quán)限有：防問(wèn)控制權(quán)、建立權(quán)、刪除權(quán)、文件掃描權(quán)、修改權(quán)、讀權(quán)、寫(xiě)權(quán)和管理權(quán)。屬性有：需歸檔、拷貝禁止、刪除禁止、僅執(zhí)行、隱含、索引、清洗、讀審記、寫(xiě)審記、只讀、讀寫(xiě)、改名禁止、可共享、系統(tǒng)和交易。屬性優(yōu)先于訪問(wèn)權(quán)限。根據(jù)用戶對(duì)目錄和文件的操作能力，分配不同的訪問(wèn)權(quán)限和屬性。例如，對(duì)于公用目錄中的系統(tǒng)文件和工具軟件，應(yīng)該只設(shè)置只讀屬性，系統(tǒng)程序所在的目錄不要授予修改權(quán)和管理權(quán)。這樣，病毒就無(wú)法對(duì)系統(tǒng)程序?qū)嵤└腥竞图纳渌脩粢簿筒粫?huì)感染病毒。

由此可見(jiàn)，網(wǎng)絡(luò)上公用目錄或共享目錄的安全性措施，對(duì)于防止病毒在網(wǎng)上傳播起到積極作用。至于網(wǎng)絡(luò)用戶的私人目錄，由于其限于個(gè)別使用，病毒很難傳播給其它用戶。采用基于網(wǎng)絡(luò)目錄和文件安全性的方法對(duì)防止病毒起到了一定作用，但是這種方法畢竟是基于網(wǎng)絡(luò)操作系統(tǒng)的安全性的設(shè)計(jì)，存在著局限性?，F(xiàn)在市場(chǎng)上還沒(méi)有一種能夠完全抵御計(jì)算機(jī)病毒侵染的網(wǎng)絡(luò)操作系統(tǒng)，從網(wǎng)絡(luò)安全性措施角度來(lái)看，在網(wǎng)絡(luò)上也是無(wú)法防止帶毒文件的入侵。

2、采用工作站防病毒芯片

這種方法是將防病毒功能集成在一個(gè)芯片上，安裝在網(wǎng)絡(luò)工作站上，以便經(jīng)常性地保護(hù)工作站及其通往服務(wù)器的路徑。工作站是網(wǎng)絡(luò)的門(mén)戶，只要將這扇門(mén)戶關(guān)好，就能有效地防止病毒的入侵。將工作站存取控制與病毒保護(hù)能力合二為一插在網(wǎng)卡的EPROM槽內(nèi)，用戶也可以免除許多繁瑣的管理工作。

Trend Micro Devices公司解決的辦法是基于網(wǎng)絡(luò)上每個(gè)工作站都要求安裝網(wǎng)絡(luò)接口卡網(wǎng)絡(luò)接口卡上有一個(gè)Boot Rom芯片，因?yàn)槎鄶?shù)網(wǎng)卡的Boot Rom并沒(méi)有充分利用，都會(huì)剩余一些使用空間，所以如果安全程序夠小的話，就可以把它安裝在網(wǎng)絡(luò)的Boot Rom的剩余空間內(nèi)，而不必另插一塊芯片。

市場(chǎng)上Chipway防病毒芯片就是采用了這種網(wǎng)絡(luò)防病毒技術(shù)。在工作站DOS引導(dǎo)過(guò)程中，ROMBIOS，Extended BIOS裝入后，Partition Table裝入之前，Chipway獲得控制權(quán)，這樣可以防止引導(dǎo)型病毒。Chipway的特點(diǎn)是：①不占主板插槽，避免了沖突；②遵循網(wǎng)絡(luò)上國(guó)際標(biāo)準(zhǔn)，兼容性好；③具有他工作站防毒產(chǎn)品的優(yōu)點(diǎn)。但目前，Chipway對(duì)防止網(wǎng)絡(luò)上廣為傳播的文件型病毒能力還十分有限。

3、采用Station Lock網(wǎng)絡(luò)防毒方法

Station Lock是著名防病毒產(chǎn)品開(kāi)發(fā)商Trend Micro Devices公司的新一代網(wǎng)絡(luò)防病毒產(chǎn)品。其防毒概念是建立在”病毒必須執(zhí)行有限數(shù)量的程序之后，才會(huì)產(chǎn)生感染效力“的基礎(chǔ)之上。例如，病毒是一個(gè)不具自我辨別能力的小程序，在病毒傳染過(guò)程中至少必須攔截一個(gè)DOS中斷請(qǐng)求，而且必須試圖改變程序指針，以便讓系統(tǒng)優(yōu)先執(zhí)行病毒程序從而獲得系統(tǒng)控制權(quán)。引導(dǎo)型病毒必須使用系統(tǒng)的BIOS功能調(diào)用，文件型病毒必須將自己所有的程序代碼拷貝到另一個(gè)系統(tǒng)執(zhí)行文件時(shí)才能復(fù)制感染?；旌闲筒《竞投嘈误w病毒在實(shí)施感染之前也必須獲取系統(tǒng)控制權(quán)，才能運(yùn)行病毒體程序而實(shí)施感染。Station Lock就是通過(guò)這些特點(diǎn)，用間接方法觀察，精確地預(yù)測(cè)病毒的攻擊行為。其作用對(duì)象包括多型體病毒和未來(lái)型病毒。

Station Lock也能處理一些基本的網(wǎng)絡(luò)安全性問(wèn)題，例如存取控制、預(yù)放未授權(quán)拷貝以及在一個(gè)點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)環(huán)境下限制工作站資源相互存取等。Station Lock能根據(jù)病毒活動(dòng)辯別可能的病毒攻擊意圖，并在它造成任

何破壞之前予以攔截。由于Station Lock是在啟動(dòng)系統(tǒng)開(kāi)始之前，就接管了工作站上的硬件和軟件，所以病毒攻擊Station Lock是很困難的。Station Lock是目前網(wǎng)絡(luò)環(huán)境下防治病毒比較有效的方法。

4、基于服務(wù)器的防毒技術(shù)

服務(wù)器是網(wǎng)絡(luò)的核心，一旦服務(wù)器被病毒感染，就會(huì)使服務(wù)器無(wú)法啟動(dòng)，整個(gè)網(wǎng)絡(luò)陷于癱瘓，造成災(zāi)難性后果。目前基于服務(wù)器的防治病毒方法大都采用了NLM(NetWare Load Module)技術(shù)以NLM模塊方式進(jìn)行程序設(shè)計(jì)，以服務(wù)器為基礎(chǔ)，提供實(shí)時(shí)掃描病毒能力。市場(chǎng)上的產(chǎn)品如Central Point公司的AntiVirus for Networks，Intel公司的LANdesk Virus Protect以及南京威爾德電腦公司的Lanclear for NetWare等都是采用了以服務(wù)器為基礎(chǔ)的防病毒技術(shù)。這些產(chǎn)品的目的都是保護(hù)服務(wù)器，使服務(wù)器不被感染。這樣，病毒也就失去了傳播途徑，因而從根本上杜絕了病毒在網(wǎng)上蔓延。

(1)對(duì)服務(wù)器中所有文件掃描

這一方法是對(duì)服務(wù)器的所有文件進(jìn)行集中檢查看其是否帶毒，若有帶毒文件，則提供給網(wǎng)絡(luò)管理員幾種處理方法。允許用戶清除病毒，或刪除帶毒文件，或更改帶毒文件名成為不可執(zhí)行文件名并隔離到一個(gè)特定的病毒文件目錄中。

(2)實(shí)時(shí)在線掃描

網(wǎng)絡(luò)防病毒技術(shù)必須保持全天24小時(shí)監(jiān)控網(wǎng)絡(luò)是否有帶毒文件進(jìn)入服務(wù)器。為了保證病毒監(jiān)測(cè)實(shí)時(shí)性，通常采用多線索的設(shè)計(jì)方法，讓檢測(cè)程序作為一個(gè)隨時(shí)可以激活的功能模塊，且在NetWare運(yùn)行環(huán)境中，不影響其它線索的運(yùn)行。這往往是設(shè)計(jì)一個(gè)NLM最重要的部分，即多線索的調(diào)度。實(shí)時(shí)在線掃描能非常及時(shí)地追蹤病毒的活動(dòng)，及時(shí)告之網(wǎng)絡(luò)管理員和工作站用戶。

(3)掃描選擇

該功能允許網(wǎng)絡(luò)管理員定期檢查服務(wù)器中是否帶毒，例如可按每月、每星期、每天集中掃描一下網(wǎng)絡(luò)服務(wù)器，這樣就使網(wǎng)絡(luò)用戶擁有極大的操作選擇余地。

(4)自動(dòng)報(bào)告功能及病毒存檔

當(dāng)網(wǎng)絡(luò)用戶將帶毒文件有意或無(wú)意地拷入服務(wù)器中時(shí)，網(wǎng)絡(luò)防病毒系統(tǒng)必須立即通知網(wǎng)絡(luò)管理員，或涉嫌病毒的使用者，同時(shí)自己記入病毒檔案。病毒檔案一般包括：病毒類型、病毒名稱、帶毒文件所存的目錄及工作站標(biāo)識(shí)等，另外，記錄對(duì)病毒文件處理方法。

(5)工作站掃描

基于服務(wù)器的防病毒軟件不能保護(hù)本地工作站的硬盤(pán)，有效的方法是在服務(wù)器上安裝防毒軟件，同時(shí)在上網(wǎng)的工作站內(nèi)存中調(diào)入一個(gè)常駐掃毒程序，實(shí)時(shí)檢測(cè)在工作站中運(yùn)行的程序。如LANdesk Virus Protect采用Lpscan，而LANClear for NetWare采用world程序等。

(6)對(duì)用戶開(kāi)放的病毒特征接口

大家知道病毒及其變種層出不窮。據(jù)有關(guān)資料報(bào)道，截止1994年2月25日，全世界流傳的MSDOS病毒達(dá)2700多種。如何使防病毒系統(tǒng)能對(duì)付不斷出現(xiàn)的新病毒？這要求開(kāi)發(fā)商能夠使自己的產(chǎn)品具有自動(dòng)升級(jí)功能，也就是真正交給網(wǎng)絡(luò)

用戶防治病毒的一把金鑰匙。其典型的做法是開(kāi)放病毒特征數(shù)據(jù)庫(kù)。用戶隨時(shí)將遇到的帶毒文件，經(jīng)過(guò)病毒特征分析程序，自動(dòng)將病毒特征加入特征庫(kù)，以隨時(shí)增強(qiáng)抗毒能力。當(dāng)然這一工作難度極大，需要不懈的努力。在上述四種網(wǎng)絡(luò)防毒技術(shù)中，Station Lock是一種針對(duì)病毒行為的防治方法，StationLock目前已能提供Intel以太網(wǎng)絡(luò)接口卡支持，而且未來(lái)還將支持各種普及型的以太令牌環(huán)(Token-Ring)網(wǎng)絡(luò)接口卡?；诜?wù)器的防治病毒方法，表現(xiàn)在可以集中式掃毒，能實(shí)現(xiàn)實(shí)時(shí)掃描功能，軟件升級(jí)方便。特別是當(dāng)連網(wǎng)的機(jī)器很多時(shí)，利用這種方法比為每臺(tái)工作站都安裝防病毒產(chǎn)品要節(jié)省成本。其代表性的產(chǎn)品有LANdesk、LANClear for NetWare等。

2.5 安全管理隊(duì)伍的建設(shè)

在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，絕對(duì)的安全是不存在的，制定健全的安全管理體制是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保證，只有通過(guò)網(wǎng)絡(luò)管理人員與使用人員的共同努力，運(yùn)用一切可以使用的工具和技術(shù)，盡一切可能去控制、減小一切非法的行為，盡可能地把不安全的因素降到最低。同時(shí)，要不斷地加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)的安全規(guī)范化管理力度，大力加強(qiáng)安全技術(shù)建設(shè)，強(qiáng)化使用人員和管理人員的安全防范意識(shí)。網(wǎng)絡(luò)內(nèi)使用的IP地址作為一種資源以前一直為某些管理人員所忽略，為了更好地進(jìn)行安全管理工作，應(yīng)該對(duì)本網(wǎng)內(nèi)的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對(duì)于盜用IP資源的用戶必須依據(jù)管理制度嚴(yán)肅處理。只有共同努力，才能使計(jì)算機(jī)網(wǎng)絡(luò)的安全可靠得到保障，從而使廣大網(wǎng)絡(luò)用戶的利益得到保障。

第三章 防火墻技術(shù)

3.1 防火墻的定義

防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)網(wǎng)絡(luò)的安全政策控制(允許拒絕監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

Internet防火墻是一個(gè)或一組系統(tǒng)，它能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性，用于加強(qiáng)網(wǎng)絡(luò)間的訪問(wèn)控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取，防火墻系統(tǒng)還決定了哪些內(nèi)部服務(wù)可以被外界訪問(wèn)，外界的哪些人可以訪問(wèn)內(nèi)部的服務(wù)，以及哪些外部服務(wù)何時(shí)可以被內(nèi)部人員訪問(wèn)。要使一個(gè)防火墻有效，所有來(lái)自和去往Internet的信息都必須經(jīng)過(guò)防火墻并接受檢查。防火墻必須只允許授權(quán)的數(shù)據(jù)通過(guò)，并且防火墻本身也必須能夠免于滲透。但是，防火墻系統(tǒng)一旦被攻擊突破或迂回繞過(guò)，就不能提供任何保護(hù)了。3.2防火墻的功能

3.2.1 防火墻是網(wǎng)絡(luò)安全的屏障

防火墻(作為阻塞點(diǎn),控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。

防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略,通過(guò)以防火墻為中心的安全方案配置,能將所有安全軟件(如口令加密身份認(rèn)證審計(jì)等)配置在防火墻上，對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì):所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù),當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。防止內(nèi)部信息的外泄，通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。3.2.2防火墻的種類

防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同,總體來(lái)講可分為二大類:分組過(guò)濾,應(yīng)用代理。

分組過(guò)濾(Packetfiltering);作用在網(wǎng)絡(luò)層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號(hào),協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過(guò)。只有滿足過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。

應(yīng)用代理(ApplicationProxy):也叫應(yīng)用網(wǎng)關(guān)(ApplicationGateway), 它作用在應(yīng)用層,其特點(diǎn)是完全 “ 阻隔 ” 了網(wǎng)絡(luò)通信流通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門(mén)的代理程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用,實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)【8】。

3.3 防火墻的技術(shù)原理

目前，防火墻系統(tǒng)的工作原理因?qū)崿F(xiàn)技術(shù)不同，大致可分為三種：（1）包過(guò)濾技術(shù)

包過(guò)濾技術(shù)是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)。根據(jù)設(shè) 置好的過(guò)濾規(guī)則，通

過(guò)檢查IP數(shù)據(jù)包來(lái)確定是否該數(shù)據(jù)包通過(guò)。而那些不符合規(guī)定的IP地址會(huì)被防火墻過(guò)濾掉，由此保證網(wǎng)絡(luò)系統(tǒng)的安全。該技術(shù)通?？梢赃^(guò)濾基于某些或所有下列信息組的IP包：源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包過(guò)濾技術(shù)實(shí)際上是一種基于路由器的技術(shù)，其最大優(yōu)點(diǎn)就是價(jià)格便宜，實(shí)現(xiàn)邏輯簡(jiǎn)單便于安裝和使用。

缺點(diǎn)：1）過(guò)濾規(guī)則難以配置和測(cè)試。2）包過(guò)濾只訪問(wèn)網(wǎng)絡(luò)層和傳輸層的信息，訪問(wèn)信息有限，對(duì)網(wǎng)絡(luò)更高協(xié)議層的信息無(wú)理解能力。3）對(duì)一些協(xié)議，如UDP和RPC難以有效的過(guò)濾。

（2）代理技術(shù)

代理技術(shù)是與包過(guò)濾技術(shù)完全不同的另一種防火墻技術(shù)。其主要思想就是在兩個(gè)網(wǎng)絡(luò)之間設(shè)置一個(gè)“中間檢查站”，兩邊的網(wǎng)絡(luò)應(yīng)用可以通過(guò)這個(gè)檢查站相互通信，但是它們之間不能越過(guò)它直接通信。這個(gè)“中間檢查站”就是代理服務(wù)器，它運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，對(duì)網(wǎng)絡(luò)之間的每一個(gè)請(qǐng)求進(jìn)行檢查。當(dāng)代理服務(wù)器接收到用戶請(qǐng)求后，會(huì)檢查用戶請(qǐng)求合法性。若合法，則把請(qǐng)求轉(zhuǎn)發(fā)到真實(shí)的服務(wù)器上，并將答復(fù)再轉(zhuǎn)發(fā)給用戶。代理服務(wù)器是針對(duì)某種應(yīng)用服務(wù)而寫(xiě)的，工作在應(yīng)用層。

優(yōu)點(diǎn)：它將內(nèi)部用戶和外界隔離開(kāi)來(lái)，使得從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。與包過(guò)濾技術(shù)相比，代理技術(shù)是一種更安全的技術(shù)【9】。

缺點(diǎn)：在應(yīng)用支持方面存在不足，執(zhí)行速度較慢。（3）狀態(tài)監(jiān)視技術(shù) 這是第三代防火墻技術(shù)，集成了前兩者的優(yōu)點(diǎn)。能對(duì)網(wǎng)絡(luò)通信的各層實(shí)行檢測(cè)。同包過(guò)濾技術(shù)一樣，它能夠檢測(cè)通過(guò)IP地址、端口號(hào)以及TCP標(biāo)記，過(guò)濾進(jìn)出的數(shù)據(jù)包。它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接，不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來(lái)識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù)，這些算法通過(guò)己知合法數(shù)據(jù)包的模式來(lái)比較進(jìn)出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級(jí)代理在過(guò)濾數(shù)據(jù)包上更有效。

狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應(yīng)用程序，可方便地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。此外，它還可監(jiān)測(cè)RPC和UDP端口信息，而包過(guò)濾和代理都不支持此類端口。這樣，通過(guò)對(duì)各層進(jìn)行監(jiān)測(cè)，狀態(tài)監(jiān)視器實(shí)現(xiàn)網(wǎng)絡(luò)安全的目的。目前，多使用狀態(tài)監(jiān)測(cè)防火墻，它對(duì)用戶透明，在OSI最高層上加密數(shù)據(jù)，而無(wú)需修改客戶端程序，也無(wú)需對(duì)每個(gè)需在防火墻上運(yùn)行的服務(wù)額外增加一個(gè)代理。

要想建立一個(gè)真正行之有效的安全的計(jì)算機(jī)網(wǎng)絡(luò)，僅使用防火墻還是不夠，在實(shí)際的應(yīng)用中，防火墻常與其它安全措施，比如加密技術(shù)、防病毒技術(shù)等綜合應(yīng)用，才起到防御的最大化的效果。3.4 防火墻的應(yīng)用

3.4.1 個(gè)人防火墻的應(yīng)用 瑞星個(gè)人防火墻的應(yīng)用 1）安裝

第一步啟動(dòng)安裝程序。

當(dāng)把瑞星個(gè)人防火墻下載版安裝程序保存到您電腦中的指定目錄后，找到該目錄，雙擊運(yùn)行安裝程序，就可以進(jìn)行瑞星個(gè)人防火墻下載版的安裝了。

第二步完成安裝后，如圖3.1：

圖3.1 第三步輸入產(chǎn)品序列號(hào)和用戶ID。

啟動(dòng)個(gè)人防火墻，當(dāng)出現(xiàn)如圖3.2下所示的窗口后，在相應(yīng)位置輸入您購(gòu)買(mǎi)獲得的產(chǎn)品序列號(hào)和用戶ID，點(diǎn)擊“確定”，通過(guò)驗(yàn)證后則會(huì)提示“您的瑞星個(gè)人防火墻現(xiàn)在可以正常使用”。

圖3.2 常見(jiàn)問(wèn)題：不輸入產(chǎn)品序列號(hào)和用戶ID，產(chǎn)品將無(wú)法升級(jí)，防火墻保護(hù)功能將全部失效，您的計(jì)算機(jī)將無(wú)法抵御黑客攻擊。

2）升級(jí)

第一步網(wǎng)絡(luò)配置：

?打開(kāi)防火墻主程序

?在菜單中依次選擇【設(shè)置】/【設(shè)置網(wǎng)絡(luò)】，打開(kāi)【網(wǎng)絡(luò)設(shè)置】窗口,如圖3.3

圖3.3 1。設(shè)定網(wǎng)絡(luò)連接方式，如果設(shè)定“通過(guò)代理服務(wù)器訪問(wèn)網(wǎng)絡(luò)”，還需要輸入代理服務(wù)器IP、端口、身份驗(yàn)證信息。

2。您可以選中【使用安全升級(jí)模式】，確保升級(jí)期間阻止新的網(wǎng)絡(luò)連接 3。點(diǎn)擊【確定】按鈕完成設(shè)置

小提示：

1。如果您已經(jīng)可以瀏覽網(wǎng)頁(yè)，說(shuō)明網(wǎng)絡(luò)設(shè)置已經(jīng)配置好了，這里直接使用默認(rèn)設(shè)置即可。

2。如果您不使用撥號(hào)方式上網(wǎng)，將不會(huì)看到界面中【使用撥號(hào)網(wǎng)絡(luò)連接】的選項(xiàng)以及相關(guān)設(shè)置。

3。請(qǐng)確保此步設(shè)置正確，否則可能無(wú)法完成智能升級(jí)。

第二步：智能升級(jí)

完成網(wǎng)絡(luò)配置后，進(jìn)行智能升級(jí)的操作方法：

方法一：點(diǎn)擊主界面右側(cè)的【智能升級(jí)】按鈕，圖3.4示:

圖3.4 方法二：在菜單中依次選擇【操作】/【智能升級(jí)】

方法三：右鍵點(diǎn)擊防火墻托盤(pán)圖標(biāo)，在彈出菜單中選擇【啟動(dòng)智能升級(jí)】 3)啟動(dòng)瑞星個(gè)人防火墻下載版程序

啟動(dòng)瑞星個(gè)人防火墻軟件主程序有三種方法：

方法一：進(jìn)入【開(kāi)始】/【所有程序】/【瑞星個(gè)人防火墻】，選擇【瑞星個(gè)人防火墻】即可啟動(dòng)。

方法二：用鼠標(biāo)雙擊桌面上的【瑞星個(gè)人防火墻】快捷圖標(biāo)即可啟動(dòng)。方法三：用鼠標(biāo)單擊任務(wù)欄“快速啟動(dòng)”上的【瑞星個(gè)人防火墻】快捷圖標(biāo)

即可啟動(dòng)。

成功啟動(dòng)程序后的界面如下圖3.5所示:

圖3.5 主要界面元素

1、菜單欄：

用于進(jìn)行菜單操作的窗口，包括【操作】、【設(shè)置】、【幫助】三個(gè)菜單。如圖3.6示:

圖3.6

2、操作按鈕：

位于主界面右側(cè)，包括【啟動(dòng)/停止保護(hù)】、【連接/斷開(kāi)網(wǎng)絡(luò)】、【智能升級(jí)】、【查看日志】。如圖3。7示:

圖3.7 功能：停止防火墻的保護(hù)功能，執(zhí)行此功能后，您計(jì)算機(jī)將不再受瑞星防火墻的保護(hù)已處于停止保護(hù)狀態(tài)時(shí)，此按鈕將變?yōu)椤締⒂帽Ｗo(hù)】；點(diǎn)擊將重新啟用防火墻的保護(hù)功能，您也可以通過(guò)菜單項(xiàng)【操作】/【停止保護(hù)】來(lái)執(zhí)行此功能；將您的計(jì)算機(jī)完全與網(wǎng)絡(luò)斷開(kāi)，就如同拔掉網(wǎng)線或是關(guān)掉Modem一樣。其他人都不能訪問(wèn)您的計(jì)算機(jī)，但是您也不能再訪問(wèn)網(wǎng)絡(luò)。這是在遇到頻繁攻擊時(shí)最為有效的應(yīng)對(duì)方法；已經(jīng)斷開(kāi)網(wǎng)絡(luò)后，此項(xiàng)將變?yōu)椤具B接網(wǎng)絡(luò)】，點(diǎn)擊將恢復(fù)網(wǎng)絡(luò)連接；您也可以通過(guò)菜單項(xiàng)【操作】/【斷開(kāi)網(wǎng)絡(luò)】來(lái)執(zhí)行此功能；啟動(dòng)智能升級(jí)程序?qū)Ψ阑饓M(jìn)行升級(jí)更新；您也可以通過(guò)菜單項(xiàng)【操作】/【智能升級(jí)】來(lái)執(zhí)行此功能；啟動(dòng)日志顯示程序；您也可能通過(guò)【操作】/【顯示日志】來(lái)執(zhí)行此

功能。

3、標(biāo)簽頁(yè)：

位于主界面上部，分【工作狀態(tài)】、【系統(tǒng)狀態(tài)】、【游戲保護(hù)】、【安全資訊】、【漏洞掃描】、【啟動(dòng)選項(xiàng)】六個(gè)標(biāo)簽。如圖3。8示:

圖3。8

4、安全級(jí)別：

位于主界面右下角，拖動(dòng)滑塊到對(duì)應(yīng)的安全級(jí)別，修改立即生效。

5、當(dāng)前版本及更新日期：

位于主界面右上角，顯示防火墻當(dāng)前版本及更新日期。

6、規(guī)則設(shè)置

配置防火墻的過(guò)濾規(guī)則（如圖3。9），包括： 黑名單：在黑名單中的計(jì)算機(jī)禁止與本機(jī)通訊

白名單：在白名單中的計(jì)算機(jī)對(duì)本地具有完全的訪問(wèn)權(quán)限

端口開(kāi)關(guān)：允許或禁止端口中的通訊，可簡(jiǎn)單開(kāi)關(guān)本機(jī)與遠(yuǎn)程的端口 可信區(qū)：通過(guò)可信區(qū)的設(shè)置，可以把局域網(wǎng)和互聯(lián)網(wǎng)區(qū)分對(duì)待 IP規(guī)則：在IP層過(guò)濾的規(guī)則

訪問(wèn)規(guī)則：本機(jī)中訪問(wèn)網(wǎng)絡(luò)的程序的過(guò)濾規(guī)則

圖3。9 3.4.2 防火墻技術(shù)在校園網(wǎng)中應(yīng)用

一、安裝防火墻

防火墻技術(shù)在校園網(wǎng)安全建設(shè)中得到廣泛的應(yīng)用。由于防火墻是一種按某種規(guī)則對(duì)專網(wǎng)和互聯(lián)網(wǎng),或?qū)ヂ?lián)網(wǎng)的一部分和其余部分之間的信息交換進(jìn)行有條件的控制(包括隔離),從而阻斷不希望發(fā)生的網(wǎng)絡(luò)間通信的系統(tǒng)部署防火墻技術(shù)[10],構(gòu)筑內(nèi)外網(wǎng)之間的安全屏障,可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開(kāi)來(lái),保護(hù)校園網(wǎng)絡(luò)不受未經(jīng)授權(quán)的第三方侵入。

二、校園網(wǎng)防火墻系統(tǒng)的配置

假定校園網(wǎng)通過(guò)Cisco路由器與INTERNET相連。校園內(nèi)的IP地址范圍是確

定的,且有明確的閉和邊界,它有一個(gè)C類的IP地址,有DNS、Email、WWW、FTP等服務(wù)器,可采用以下存取控制策略。

1)對(duì)進(jìn)入CERNET主干網(wǎng)的存取控制

2)對(duì)網(wǎng)絡(luò)中心資源主機(jī)的訪問(wèn)控制,網(wǎng)絡(luò)中心的DNS、Email、FTP、WWW等服務(wù)器是重要的資源,要特別的保護(hù),可對(duì)網(wǎng)絡(luò)中心所在子網(wǎng)禁止,DNS,Email,WWW,FTP以外的一切服務(wù)。

3)對(duì)校外非法網(wǎng)址的訪問(wèn),一般情況,一些傳播非法信息的站點(diǎn)主要在校外,而這些站點(diǎn)的域名可能是已知的。為防止IP地址欺騙和盜用需為對(duì)網(wǎng)絡(luò)內(nèi)部人員訪問(wèn)Internet進(jìn)行一定限制在連接內(nèi)部網(wǎng)絡(luò)的端口接收數(shù)據(jù)時(shí)進(jìn)行IP地址和以太網(wǎng)地址檢查,盜用IP地址的數(shù)據(jù)包將被丟棄,并記錄有關(guān)信息;再連接 Internet 端接收數(shù)據(jù)時(shí),如從外部網(wǎng)絡(luò)收到一段假冒內(nèi)部IP地址發(fā)出的報(bào)文,也應(yīng)丟棄,并記錄有關(guān)信息。防止IP地址被盜用的徹底解決辦法是:代理服務(wù)器防火墻和捆綁IP地址和以太網(wǎng)地址,對(duì)非法訪問(wèn)的動(dòng)態(tài)禁止一旦獲得某個(gè)IP地址的訪問(wèn)是非法的,可立即更改路由器中的存取控制表,從而禁止其對(duì)外的非法訪問(wèn)。首先應(yīng)在路由器和校園網(wǎng)的以太口預(yù)設(shè)控制組102,然后過(guò)濾掉來(lái)自非法地址的所有IP包。

結(jié)論

計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題越來(lái)越受到人們的重視，一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的保護(hù)不僅和系統(tǒng)管理員的系統(tǒng)安全知識(shí)有關(guān)，而且和每個(gè)使用者的安全操作等都有關(guān)系。網(wǎng)絡(luò)安全是動(dòng)態(tài)的，新的Internet黑客站點(diǎn)、病毒與安全技術(shù)每日劇增，世界上不存在絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

防火墻不能完全解決網(wǎng)絡(luò)安全的全部問(wèn)題，如不能防范內(nèi)部攻擊等，因此還需要考慮其他技術(shù)的和非技術(shù)的因素，如身份鑒別，信息加密術(shù)，提高網(wǎng)絡(luò)管理人員的安全意識(shí)等，總之，防火墻是網(wǎng)絡(luò)安全的第一道重要的安全屏障，如何提高防火墻的防護(hù)能力并保證系統(tǒng)的高速高效運(yùn)行，不斷提高網(wǎng)絡(luò)安全水平，這將是一個(gè)隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而不斷研究的課題。

致謝

本文是在指導(dǎo)老師胡楠老師的悉心教導(dǎo)下完成的。寫(xiě)論文的這段時(shí)間，老師淵博的學(xué)識(shí)，嚴(yán)謹(jǐn)?shù)闹螌W(xué)太多和細(xì)心指導(dǎo)，以及他給我的支持和鼓勵(lì)使我終身難忘，我所取得的每一點(diǎn)成就都與導(dǎo)師的熱心關(guān)懷和精心指導(dǎo)是分不開(kāi)的，值此論文完成之際，特別向?qū)熤乱灾孕牡母兄x各崇高的敬意。

本課題的完成過(guò)程中，本人還得到了同學(xué)們及其他各方面的支持和幫助，特別感謝致謝在一起愉快的度過(guò)大學(xué)生活的各位室友，正是由于你們的幫助和支持，我才能克服一個(gè)一個(gè)的困難和疑惑，直至本文的順利完成。

在論文即將完成之際，我的心情無(wú)法平靜，從開(kāi)始進(jìn)入課題到論文的順利完成，有多少可敬的師長(zhǎng)、同學(xué)、朋友給了我無(wú)言的幫助，在這里請(qǐng)接受我誠(chéng)摯的謝意!我還要感謝培養(yǎng)我長(zhǎng)大含辛茹苦的父母，謝謝你們!最后，我要向百忙之中抽時(shí)間對(duì)本文進(jìn)行審閱，評(píng)議和參與本人論文答辯的各位老師表示感謝。

參考文獻(xiàn)

[1]張斌,黑客與反黑客,北京郵電大學(xué)出版社,Pag56-75 [2]石淑華,池瑞楠,計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)(第二版),北京人民郵電出版社,Pag267-283 [3]肖新峰,宋強(qiáng),王立新等,TCP/IP協(xié)議與網(wǎng)絡(luò)管理,北京清華大學(xué)出版社,Pag83-99 [4]李軍,防火墻上臺(tái)階,信息網(wǎng)絡(luò)安全2004年07期,Pag28—29 [5]陳愛(ài)民,計(jì)算機(jī)的安全與保密,北京電子工業(yè)出版社,pag35-42 [6]蔣建春,馬恒太,任黨恩等,網(wǎng)絡(luò)安全入侵檢測(cè)研究綜述軟件學(xué)報(bào)

[7]石淑華,池瑞楠,計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)(第二版),北京人民郵電出版社,Pag70-104 [8]老聃,安全網(wǎng)關(guān)—網(wǎng)絡(luò)邊界防護(hù)的利器,信息安全與通信保密,2004年08期75 [9]陳平,何慶等主編,電腦2003合訂本，西南師范大學(xué)出版社,2004年1月 [10] 張穎,劉軍,王磊,計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀及解決方法[N]電腦商情報(bào) ,2007年1月

第五篇：淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)論文

婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)

摘 要

隨著時(shí)代的發(fā)展，Internet日益普及，網(wǎng)絡(luò)已經(jīng)成為信息資源的海洋，給人們帶來(lái)了極大的方便。但由于Internet是一個(gè)開(kāi)放的，無(wú)控制機(jī)構(gòu)的網(wǎng)絡(luò)，經(jīng)常會(huì)受到計(jì)算機(jī)病毒、黑客的侵襲。它可使計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)和文件丟失，系統(tǒng)癱瘓。因此，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題必須放在首位。作為保護(hù)局域子網(wǎng)的一種有效手段，防火墻技術(shù)備受睞。

本文主要闡述了網(wǎng)絡(luò)安全技術(shù)所要受到的各方面威脅以及自身存在的一些缺陷，所謂知己知彼，百戰(zhàn)不殆。只有了解了網(wǎng)絡(luò)安全存在的內(nèi)憂外患，才能更好的改善網(wǎng)絡(luò)安全技術(shù)，發(fā)展網(wǎng)絡(luò)安全技術(shù)。然后主要闡述防火墻在網(wǎng)絡(luò)安全中起到的巨大的作用，防火墻的優(yōu)缺點(diǎn)及各種類型防火墻的使用和效果。

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的在飛速發(fā)展中，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來(lái)越廣泛，在帶來(lái)了前所未有的海量信息的同時(shí)，網(wǎng)絡(luò)的開(kāi)放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡(luò)信息的安全性變得日益重要，只有熟悉了各種對(duì)網(wǎng)絡(luò)安全的威脅，熟悉各種保護(hù)網(wǎng)路安全的技術(shù)，我們才能更好的保護(hù)計(jì)算機(jī)和信息的安全。

關(guān)鍵字：計(jì)算機(jī)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；防范措施；防火墻技術(shù)

婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)

Abstract With the development of The Times, the Internet has become increasingly popular and network information resources of the sea, and bring great convenience。But because of the Internet is an open, without control network, computer virus, often by hackers。It can make the computer and the computer network, the system files and data loss。Therefore, the computer network system security problems must be given priority。As the protection of local subnet an effective means, firewall technology。

This article mainly elaborated by network security technology to every aspect of the threat and its existence, some defects, so-called awareness。The existence of the 1930's and network security, can improve network security technology, the development of network security technology。And then expounds mainly firewall in network security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。

The computer network technology, especially in the rapid development of the Internet is becoming more and more widely applied in brought an unprecedented huge amounts of information, network of openness and freedom in the private information and data were damaged or infringed, the possibility of network information security is becoming increasingly important, only familiar to all kinds of network security threats, familiar with various protection network security technology, we can better protect the computer and information security。

Key words: Computer network, Network security, The prevention measures, Firewall technology

II 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)

目錄

摘 要................................................I Abstract.............................................II 引言.................................................1 第一章 網(wǎng)絡(luò)安全概述.................................2 1.1 計(jì)算機(jī)網(wǎng)絡(luò)安全的含義..........................2 1.2 網(wǎng)絡(luò)信息安全的主要威脅........................2 1.2.1 自然威脅..................................2 1.2.2 人為威脅—黑客攻擊與計(jì)算機(jī)病毒............3 1.3 計(jì)算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生原因..............4 1.4 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素......................5 第二章 計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略.......................6 2.1 防火墻技術(shù)....................................6 2.2 數(shù)據(jù)加密與用戶授權(quán)訪問(wèn)控制技術(shù)................9 2.3 入侵檢測(cè)技術(shù).................................10 2.4 防病毒技術(shù)...................................11 2.5 安全管理隊(duì)伍的建設(shè)...........................11 第三章 防火墻技術(shù)..................................12 3.1 防火墻的定義.................................12 3.2 防火墻的功能.................................12 3.2.1 防火墻是網(wǎng)絡(luò)安全的屏障...................12 3.2.2 防火墻的種類.............................13 3.3 防火墻的技術(shù)原理.............................13 3.4 防火墻的應(yīng)用.................................15 3.4.1 個(gè)人防火墻的應(yīng)用.........................15 3.4.2 防火墻技術(shù)在校園網(wǎng)中應(yīng)用.................20 結(jié)論................................................22

III 婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)

致謝................................................23 參考文獻(xiàn).............................................24 IV 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)

引言

近年來(lái)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來(lái)越廣泛，在帶來(lái)了前所未有的海量信息的同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)的安全性變得日益重要起來(lái)，由于計(jì)算機(jī)網(wǎng)絡(luò)聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)的開(kāi)放性和網(wǎng)絡(luò)資源的共享性等因素，致使計(jì)算機(jī)網(wǎng)絡(luò)容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊【1】。

為確保信息的安全與網(wǎng)絡(luò)暢通，研究計(jì)算機(jī)網(wǎng)絡(luò)的安全與防護(hù)措施已迫在眉捷，但網(wǎng)絡(luò)安全問(wèn)題至今仍沒(méi)有能夠引起足夠的重視，更多的用戶認(rèn)為網(wǎng)絡(luò)安全問(wèn)題離自己尚遠(yuǎn)，這一點(diǎn)從大約有40%以上的用戶特別是企業(yè)級(jí)用戶沒(méi)有安裝防火墻(Firewall)便可以窺見(jiàn)一斑，而所有的問(wèn)題都在向大家證明一個(gè)事實(shí)，大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻而引發(fā)，所以防火墻技術(shù)應(yīng)當(dāng)引起我們的注意和重視。

本文主要研究網(wǎng)絡(luò)安全的缺陷原由及網(wǎng)絡(luò)安全技術(shù)的原理和其他技術(shù)，如防火墻技術(shù)對(duì)網(wǎng)絡(luò)安全起到的不可忽視的影響。

婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)

第一章網(wǎng)絡(luò)安全概述

1.1 計(jì)算機(jī)網(wǎng)絡(luò)安全的含義

計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會(huì)隨著使用者的變化而變化，使用者不同，對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和要求也就不同。例如從普通使用者的角度來(lái)說(shuō)，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽(tīng)、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對(duì)網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

從本質(zhì)上來(lái)講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問(wèn)題，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

1.2 網(wǎng)絡(luò)信息安全的主要威脅

網(wǎng)絡(luò)安全所面臨的威脅來(lái)自很多方面，并且隨著時(shí)問(wèn)的變化而變化。這些威脅可以宏觀地分為自然威脅和人為威脅。

1.2.1 自然威脅

自然威脅可能來(lái)自于各種自然災(zāi)害、惡劣的場(chǎng)地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。這些無(wú)目的的事件，有時(shí)會(huì)直接威脅網(wǎng)絡(luò)的安全，影響信息的存儲(chǔ)媒體。

淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)

1.2.2 人為威脅—黑客攻擊與計(jì)算機(jī)病毒

人為威脅就是說(shuō)對(duì)網(wǎng)絡(luò)的人為攻擊。這些攻擊手段都是通過(guò)尋找系統(tǒng)的弱點(diǎn)【2】，以便達(dá)到破壞、欺騙、竊取數(shù)據(jù)等目的，造成經(jīng)濟(jì)上和政治上不可估量的損失。網(wǎng)絡(luò)安全的人為威脅主要分為以下幾種：

? 網(wǎng)絡(luò)缺陷

Intemet由于它的開(kāi)放性迅速在全球范圍內(nèi)普及，但也正是因?yàn)殚_(kāi)放性使其保護(hù)信息安全存在先天不足。Internet最初的設(shè)計(jì)考慮主要是考慮資源共享，基本沒(méi)有考慮安全問(wèn)題，缺乏相應(yīng)的安全監(jiān)督機(jī)制。? 黑客攻擊

自1998年后，網(wǎng)上的黑客越來(lái)越多，也越來(lái)越猖獗；與此同時(shí)黑客技術(shù)逐漸被越來(lái)越多的人掌握現(xiàn)在還缺乏針對(duì)網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，“殺傷力”強(qiáng)，這是網(wǎng)絡(luò)安全的主要威脅之一。

? 各種病毒

病毒時(shí)時(shí)刻刻威脅著整個(gè)互聯(lián)網(wǎng)。像Nimda和CodeRed的爆發(fā)更是具有深遠(yuǎn)的影響，促使人們不得不在網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)考慮對(duì)于各種病毒的檢測(cè)防治，對(duì)病毒徹底防御的重要性毋庸置疑。

? 管理的欠缺及資源濫用

很多上了互聯(lián)網(wǎng)的企業(yè)缺乏對(duì)于網(wǎng)絡(luò)安全的認(rèn)識(shí)，管理上存在很多漏洞，特別是國(guó)內(nèi)的企業(yè)，只是提供了接入Internet的通道，對(duì)于網(wǎng)絡(luò)上黑客的攻擊缺乏基本的應(yīng)對(duì)措施，同時(shí)企業(yè)內(nèi)部普遍存在資源濫用現(xiàn)象，這是造成網(wǎng)絡(luò)安全問(wèn)題的根本原因。軟件的漏洞和后門(mén)：隨著CPU的頻率越來(lái)越高，軟件的規(guī)模越來(lái)越大，軟件系統(tǒng)中的漏洞也不可避免的存在，強(qiáng)大如微軟所開(kāi)發(fā)的Windows也存在。各種各樣的安全漏洞和“后門(mén)”，這是網(wǎng)絡(luò)安全的主要威脅之一。

? 網(wǎng)絡(luò)內(nèi)部用戶的誤操作和惡意行為

對(duì)于來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊，主流的網(wǎng)絡(luò)安全產(chǎn)品防火墻基本無(wú)能為力，這類攻擊及其誤操作行為需要網(wǎng)絡(luò)信息 3 婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)

審計(jì)、IDS等主要針對(duì)內(nèi)部網(wǎng)絡(luò)安全的安全產(chǎn)品來(lái)抵御。? 網(wǎng)絡(luò)資源濫用

網(wǎng)絡(luò)有了安全保證和帶寬管理，依然不能防止員工對(duì)網(wǎng)絡(luò)資源的濫用。等行為極大地降低了員工的工作效率。管理層希望員工更加有效地使用互聯(lián)網(wǎng)，盡量避免網(wǎng)絡(luò)對(duì)工作帶來(lái)負(fù)面影響。? 信息泄漏

惡意、過(guò)失的不合理信息上傳和發(fā)布，可能會(huì)造成敏感信息泄漏、有害信息擴(kuò)散，危及社會(huì)、國(guó)家、體和個(gè)人利益。更有基于競(jìng)爭(zhēng)需要，利用技術(shù)手段對(duì)目標(biāo)機(jī)信息資源進(jìn)行竊取。在眾多人為威脅中來(lái)自用戶和惡意軟件即計(jì)算機(jī)病毒的非法侵入嚴(yán)重，計(jì)算機(jī)病毒是利用程序干擾破壞系統(tǒng)正常工作的一種手段，它的產(chǎn)生和蔓延給信息系統(tǒng)的可靠性和安全性帶來(lái)嚴(yán)重的威脅和巨大的損失。

1.3 計(jì)算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生原因

網(wǎng)絡(luò)安全缺陷產(chǎn)生的原因主要有：

第一TCP/IP的脆弱性。因特網(wǎng)的基石是TCP/IP協(xié)議【3】，不幸的是該協(xié)議對(duì)于網(wǎng)絡(luò)的安全性考慮得并不多。并且，由于TCP/IP協(xié)議是公布于眾的，如果人們對(duì)TCP/IP很熟悉，就可以利用它的安全缺陷來(lái)實(shí)施網(wǎng)絡(luò)攻擊。

第二，網(wǎng)絡(luò)結(jié)構(gòu)的不安全性。因特網(wǎng)是一種網(wǎng)間網(wǎng)技術(shù)。它是由無(wú)數(shù)個(gè)局域網(wǎng)所連成的一個(gè)巨大網(wǎng)絡(luò)。當(dāng)人們用一臺(tái)主機(jī)和另一局域網(wǎng)的主機(jī)進(jìn)行通信時(shí)，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過(guò)很多機(jī)器重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺(tái)處于用戶的數(shù)據(jù)流傳輸路徑上的主機(jī)，他就可以劫持用戶的數(shù)據(jù)包。

第三，易被竊聽(tīng)。由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒(méi)有加密，因此人們利用網(wǎng)上免費(fèi)提供的工具就很容易對(duì)網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M(jìn)行竊聽(tīng)。

第四，缺乏安全意識(shí)。雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護(hù)屏障，但人們普遍缺乏安全意識(shí)，從而使這些保護(hù)措施形同虛設(shè)。如人們?yōu)榱吮荛_(kāi)防火墻代理服務(wù)器的額外認(rèn)證，進(jìn)行直接的PPP連接從而避開(kāi)了防火墻的保護(hù)。淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)

1.4 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素

①網(wǎng)絡(luò)資源的共享性。資源共享是計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的主要目的，但這為系統(tǒng)安全的攻擊者利用共享的資源進(jìn)行破壞提供了機(jī)會(huì)。隨著互聯(lián)網(wǎng)需求的日益增長(zhǎng)，外部服務(wù)請(qǐng)求不可能做到完全隔離，攻擊者利用服務(wù)請(qǐng)求的機(jī)會(huì)很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。

②網(wǎng)絡(luò)的開(kāi)放性。網(wǎng)上的任何一個(gè)用戶很方便訪問(wèn)互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個(gè)企業(yè)、單位以及個(gè)人的敏感性信息。

③網(wǎng)絡(luò)操作系統(tǒng)的漏洞。網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實(shí)現(xiàn)的最終載體之一，它不僅負(fù)責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝，同時(shí)還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。由于網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種實(shí)現(xiàn)過(guò)程所帶來(lái)的缺陷和漏洞。

④網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷。網(wǎng)絡(luò)設(shè)計(jì)是指拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會(huì)直接帶來(lái)安全隱患。合理的網(wǎng)絡(luò)設(shè)計(jì)在節(jié)約資源的情況下，還可以提供較好的安全性。不合理的網(wǎng)絡(luò)設(shè)計(jì)則會(huì)成為網(wǎng)絡(luò)的安全威脅。

⑤惡意攻擊。就是人們常見(jiàn)的黑客攻擊及網(wǎng)絡(luò)病毒，這是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化，這類攻擊也是越來(lái)越多，影響越來(lái)越大。婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)

第二章計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略

計(jì)算機(jī)網(wǎng)絡(luò)安全從技術(shù)上來(lái)說(shuō)，主要由防病毒、防火墻、入侵檢測(cè)等多個(gè)安全組件組成，任何一個(gè)單獨(dú)的組件都無(wú)法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運(yùn)用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有：防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測(cè)技術(shù)、防病毒技術(shù)等，以下就此幾項(xiàng)技術(shù)分別進(jìn)行分析。

2.1 防火墻技術(shù)

防火墻網(wǎng)絡(luò)安全的屏障，配置防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。防火墻是指一個(gè)由軟件或和硬件設(shè)備組合而成，處于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道之間，限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問(wèn)及管理內(nèi)部用戶訪問(wèn)外界網(wǎng)絡(luò)的權(quán)限。當(dāng)一個(gè)網(wǎng)絡(luò)接上Internet之后，系統(tǒng)的安全除了考慮計(jì)算機(jī)病毒、系統(tǒng)的健壯性之外，更主要的是防止非法用戶的入侵，而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。

防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證)配置在防火墻上。其次對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)。如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并做出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。再次防止內(nèi)部信息的外泄。利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離【4】，從而降低了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。

為了讓大家更好地使用防火墻，我們從反面列舉4個(gè)有代表性的失敗案例。

例1：未制定完整的企業(yè)安全策略 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)

網(wǎng)絡(luò)環(huán)境：某中型企業(yè)購(gòu)買(mǎi)了適合自己網(wǎng)絡(luò)特點(diǎn)的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲(chóng)病毒不見(jiàn)了，企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了，為此，公司領(lǐng)導(dǎo)特意表?yè)P(yáng)了負(fù)責(zé)防火墻安裝實(shí)施的信息部。

該企業(yè)網(wǎng)絡(luò)環(huán)境如圖2.1所示：

圖2.1 該企業(yè)內(nèi)部網(wǎng)絡(luò)的核心交換機(jī)是帶路由模塊的三層交換機(jī)，出口通過(guò)路由器和ISP連接。內(nèi)部網(wǎng)劃分為5個(gè)VLAN，VLAN

1、VLAN 2和VLAN 3分配給不同的部門(mén)使用，不同的VLAN之間根據(jù)部門(mén)級(jí)別設(shè)置訪問(wèn)權(quán)限；VLAN 4分配給交換機(jī)出口地址和路由器使用；VLAN 5分配給公共服務(wù)器使用。在沒(méi)有加入防火墻之前，各個(gè)VLAN中的PC機(jī)能夠通過(guò)交換機(jī)和路由器不受限制地訪問(wèn)Internet。加入防火墻后，給防火墻分配一個(gè)VLAN 4中的空閑IP地址，并把網(wǎng)關(guān)指向路由器；將VLAN 5接入到防火墻的一個(gè)網(wǎng)口上。這樣，防火墻就把整個(gè)網(wǎng)絡(luò)分為3個(gè)區(qū)域: 內(nèi)部網(wǎng)、公共服務(wù)器區(qū)和外部網(wǎng)，三者之間的通信受到防火墻安全規(guī)則的限制。

問(wèn)題描述：防火墻投入運(yùn)行后，實(shí)施了一套較為嚴(yán)格的安全規(guī)則，導(dǎo)致公司員工無(wú)法使用QQ聊天軟件，于是沒(méi)過(guò)多久就有員工自己撥號(hào)上網(wǎng)，導(dǎo)致感染了特洛依木馬 婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)

和蠕蟲(chóng)等病毒，并立刻在公司內(nèi)部局域網(wǎng)中傳播開(kāi)來(lái)，造成內(nèi)部網(wǎng)大面積癱瘓。

問(wèn)題分析：我們知道，防火墻作為一種保護(hù)網(wǎng)絡(luò)安全的設(shè)備，必須部署在受保護(hù)網(wǎng)絡(luò)的邊界處，只有這樣防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信，達(dá)到將入侵者拒之門(mén)外的目的。如果被保護(hù)網(wǎng)絡(luò)的邊界不惟一，有很多出入口，那么只部署一臺(tái)防火墻是不夠的。在本案例中，防火墻投入使用后，沒(méi)有禁止私自撥號(hào)上網(wǎng)行為，使得許多PC機(jī)通過(guò)電話線和Internet相連，導(dǎo)致網(wǎng)絡(luò)邊界不惟一，入侵者可以通過(guò)攻擊這些PC機(jī)然后進(jìn)一步攻擊內(nèi)部網(wǎng)絡(luò)，從而成功地避開(kāi)了防火墻。

解決辦法：根據(jù)自己企業(yè)網(wǎng)的特點(diǎn)，制定一整套安全策略，并徹底地貫徹實(shí)施。比如說(shuō)，制定一套安全管理規(guī)章制度，嚴(yán)禁員工私自撥號(hào)上網(wǎng);同時(shí)封掉撥號(hào)上網(wǎng)的電話號(hào)碼，并購(gòu)買(mǎi)檢測(cè)撥號(hào)上網(wǎng)的軟件，這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不惟一的情況發(fā)生。另外，考慮到企業(yè)員工的需求，可以在防火墻上添加按照時(shí)間段生效的安全規(guī)則，在非工作時(shí)間打開(kāi)QQ使用的TCP/UDP端口，使得企業(yè)員工可以在工余時(shí)間使用QQ聊天軟件。

例2：未考慮與其他安全產(chǎn)品的配合使用 問(wèn)題描述：某公司購(gòu)買(mǎi)了防火墻后，緊接著又購(gòu)買(mǎi)了漏洞掃描和IDS（入侵檢測(cè)系統(tǒng)）產(chǎn)品。當(dāng)系統(tǒng)管理員利用IDS發(fā)現(xiàn)入侵行為后，必須每次都要手工調(diào)整防火墻安全策略，使管理員工作量劇增，而且經(jīng)常調(diào)整安全策略，也給整個(gè)網(wǎng)絡(luò)帶來(lái)不良影響。

問(wèn)題分析：選購(gòu)防火墻時(shí)未充分考慮到與其他安全產(chǎn)品如IDS的聯(lián)動(dòng)功能，導(dǎo)致不能最大程度地發(fā)揮安全系統(tǒng)的作用。

解決辦法：購(gòu)買(mǎi)防火墻前應(yīng)查看企業(yè)網(wǎng)是否安裝了漏洞掃描或IDS等其他安全產(chǎn)品，以及具體產(chǎn)品名稱和型號(hào)，然后確定所要購(gòu)買(mǎi)的防火墻是否有聯(lián)動(dòng)功能（即是否支持其他安全產(chǎn)品，尤其是IDS產(chǎn)品），支持的是哪些品牌和型號(hào)的產(chǎn)品，是否與已有的安全產(chǎn)品名稱相符，如果不符，最好不要選用，而選擇能同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻。這樣，當(dāng)IDS發(fā)現(xiàn)入侵行為后，在通知管理員的同 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)

時(shí)發(fā)送消息給防火墻，由防火墻自動(dòng)添加相關(guān)規(guī)則，把入侵者拒之門(mén)外。

例3：未經(jīng)常維護(hù)升級(jí)防火墻 問(wèn)題描述：某政府機(jī)構(gòu)購(gòu)置防火墻后已安全運(yùn)行一年多，由于該機(jī)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)一直很穩(wěn)定，沒(méi)有什么變化，各種應(yīng)用也運(yùn)行穩(wěn)定，因此管理員逐漸放松了對(duì)防火墻的管理，只要網(wǎng)絡(luò)一直保持暢通即可，不再關(guān)心防火墻的規(guī)則是否需要調(diào)整，軟件是否需要升級(jí)。而且由于該機(jī)構(gòu)處于政府專網(wǎng)內(nèi)，與Internet物理隔離，防火墻無(wú)法實(shí)現(xiàn)在線升級(jí)。因此該機(jī)構(gòu)的防火墻軟件版本一直還是購(gòu)買(mǎi)時(shí)的舊版本，雖然管理員一直都收到防火墻廠家通過(guò)電子郵件發(fā)來(lái)的軟件升級(jí)包，但從未手工升級(jí)過(guò)。在一次全球范圍的蠕蟲(chóng)病毒迅速蔓延事件中，政府專網(wǎng)也受到蠕蟲(chóng)病毒的感染，該機(jī)構(gòu)防火墻因?yàn)闆](méi)有及時(shí)升級(jí)，無(wú)法抵御這種蠕蟲(chóng)病毒的攻擊，造成整個(gè)機(jī)構(gòu)的內(nèi)部網(wǎng)大面積受感染，網(wǎng)絡(luò)陷于癱瘓之中。

問(wèn)題分析：安全與入侵永遠(yuǎn)是一對(duì)矛盾。防火墻軟件作為一種安全工具，必須不斷地升級(jí)與更新才能應(yīng)付不斷發(fā)展的入侵手段，過(guò)時(shí)的防護(hù)盾牌是無(wú)法抵擋最先進(jìn)的長(zhǎng)矛的。作為安全管理員來(lái)說(shuō)，應(yīng)當(dāng)時(shí)刻留心廠家發(fā)布的升級(jí)包，及時(shí)給防火墻打上最新的補(bǔ)丁。

解決辦法：及時(shí)維護(hù)防火墻，當(dāng)本機(jī)構(gòu)發(fā)生人員變動(dòng)、網(wǎng)絡(luò)調(diào)整和應(yīng)用變化時(shí)，要及時(shí)調(diào)整防火墻的安全規(guī)則，及時(shí)升級(jí)防火墻。

從以上三個(gè)案例我們可以得出一些結(jié)論：防火墻只是保證安全的一種技術(shù)手段，要想真正實(shí)現(xiàn)安全，安全策略是核心問(wèn)題。保護(hù)網(wǎng)絡(luò)安全不僅僅是防火墻一種產(chǎn)品，只有將多種安全產(chǎn)品無(wú)縫地結(jié)合起來(lái)，充分利用它們各自的優(yōu)點(diǎn)，才能最大限度地保證網(wǎng)絡(luò)安全。而保護(hù)網(wǎng)絡(luò)安全是動(dòng)態(tài)的過(guò)程，防火墻需要積極地維護(hù)和升級(jí)。

2.2

數(shù)據(jù)加密與用戶授權(quán)訪問(wèn)控制技術(shù)

與防火墻相比，數(shù)據(jù)加密與用戶授權(quán)訪問(wèn)控制技術(shù)比 婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)

較靈活，更加適用于開(kāi)放的網(wǎng)絡(luò)。用戶授權(quán)訪問(wèn)控制主要用于對(duì)靜態(tài)信息的保護(hù)，需要系統(tǒng)級(jí)別的支持，一般在操作系統(tǒng)中實(shí)現(xiàn)。數(shù)據(jù)加密主要用于對(duì)動(dòng)態(tài)信息的保護(hù)。對(duì)動(dòng)態(tài)數(shù)據(jù)的攻擊分為主動(dòng)攻擊和被動(dòng)攻擊。對(duì)于主動(dòng)攻擊，雖無(wú)法避免，但卻可以有效地檢測(cè)；而對(duì)于被動(dòng)攻擊，雖無(wú)法檢測(cè)，但卻可以避免，實(shí)現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密實(shí)質(zhì)上是對(duì)以符號(hào)為基礎(chǔ)的數(shù)據(jù)進(jìn)行移位和置換的變換算法，這種變換是對(duì)稱密鑰算法”。這樣的密鑰必須秘密保管，只能為授權(quán)用戶所知，授權(quán)用戶既可以用該密鑰加密信急，也可以用該密鑰解密信息，DES是對(duì)稱加密算法中最具代表性的算法。在公鑰加密算法中，公鑰是公開(kāi)的，任何人可以用公鑰加密信息，再將密文發(fā)送給私鑰擁有者。私鑰是保密的，用于解密其接收的公鑰加密過(guò)的信息【5】。典型的公鑰加密算法~nRSA是目前使用比較廣泛的加密算法。

2.3 入侵檢測(cè)技術(shù)

入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem，IDS)是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息，再通過(guò)此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。IDS被認(rèn)為是防火墻之后的第二道安全閘門(mén)，它能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊：在入侵攻擊過(guò)程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)，添加入策略集中，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵【6】。

入侵檢測(cè)的作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和起訴支持。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測(cè)技術(shù)的功能主要體現(xiàn)在以下方面：

1)分析用戶及系統(tǒng)活動(dòng)，查找非法用戶和合法用戶的越權(quán)操作；

2)檢測(cè)系統(tǒng)配置的正確性和安全漏洞，并提示管理員修 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)

3)4)5)6)7)補(bǔ)漏洞；

識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人上報(bào)警； 對(duì)異常行為模式的統(tǒng)計(jì)分析；

能夠?qū)崟r(shí)地對(duì)檢測(cè)到的入侵行為進(jìn)行反應(yīng)； 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性； 可以發(fā)現(xiàn)新的攻擊模式；

2.4 防病毒技術(shù)

隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，計(jì)算機(jī)病毒變得越來(lái)越復(fù)雜和高級(jí)，對(duì)計(jì)算機(jī)信息系統(tǒng)構(gòu)成極大的威脅。在病毒防范中普遍使用的防病毒軟件，從功能上可以分為網(wǎng)絡(luò)防病毒軟件和單機(jī)防病毒軟件兩大類。單機(jī)防病毒軟件一般安裝在單臺(tái)Pc上，即對(duì)本地和本地工作站連接的遠(yuǎn)程資源采用分析掃描的方式檢測(cè)、清除病毒。網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒，一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源傳染，網(wǎng)絡(luò)防病毒軟件會(huì)立刻檢測(cè)到并加以刪除【7】。

2.5 安全管理隊(duì)伍的建設(shè)

在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，絕對(duì)的安全是不存在的，制定健全的安全管理體制是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保證，只有通過(guò)網(wǎng)絡(luò)管理人員與使用人員的共同努力，運(yùn)用一切可以使用的工具和技術(shù)，盡一切可能去控制、減小一切非法的行為，盡可能地把不安全的因素降到最低。同時(shí)，要不斷地加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)的安全規(guī)范化管理力度，大力加強(qiáng)安全技術(shù)建設(shè)，強(qiáng)化使用人員和管理人員的安全防范意識(shí)。網(wǎng)絡(luò)內(nèi)使用的IP地址作為一種資源以前一直為某些管理人員所忽略，為了更好地進(jìn)行安全管理工作，應(yīng)該對(duì)本網(wǎng)內(nèi)的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對(duì)于盜用IP資源的用戶必須依據(jù)管理制度嚴(yán)肅處理。只有共同努力，才能使計(jì)算機(jī)網(wǎng)絡(luò)的安全可靠得到保障，從而使廣大網(wǎng)絡(luò)用戶的利益得到保障。婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)

第三章防火墻技術(shù)

3.1 防火墻的定義

防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)網(wǎng)絡(luò)的安全政策控制(允許拒絕監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

Internet防火墻是一個(gè)或一組系統(tǒng)，它能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性，用于加強(qiáng)網(wǎng)絡(luò)間的訪問(wèn)控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取，防火墻系統(tǒng)還決定了哪些內(nèi)部服務(wù)可以被外界訪問(wèn)，外界的哪些人可以訪問(wèn)內(nèi)部的服務(wù)，以及哪些外部服務(wù)何時(shí)可以被內(nèi)部人員訪問(wèn)。要使一個(gè)防火墻有效，所有來(lái)自和去往Internet的信息都必須經(jīng)過(guò)防火墻并接受檢查。防火墻必須只允許授權(quán)的數(shù)據(jù)通過(guò)，并且防火墻本身也必須能夠免于滲透。但是，防火墻系統(tǒng)一旦被攻擊突破或迂回繞過(guò)，就不能提供任何保護(hù)了。

3.2 防火墻的功能

3.2.1 防火墻是網(wǎng)絡(luò)安全的屏障

防火墻(作為阻塞點(diǎn),控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。

防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略,通過(guò)以防火墻為中心的安全方案配置,能將所有安全軟件(如口令加密身份認(rèn)證審計(jì)等)配置在防火墻上，對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì):所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù),當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。防止內(nèi) 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)

部信息的外泄，通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。

3.2.2 防火墻的種類

防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同,總體來(lái)講可分為二大類:分組過(guò)濾,應(yīng)用代理。

分組過(guò)濾(Packetfiltering);作用在網(wǎng)絡(luò)層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號(hào),協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過(guò)。只有滿足過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。

應(yīng)用代理(ApplicationProxy):也叫應(yīng)用網(wǎng)關(guān)(ApplicationGateway), 它作用在應(yīng)用層,其特點(diǎn)是完全 “ 阻隔 ” 了網(wǎng)絡(luò)通信流通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門(mén)的代理程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用,實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)【8】。

3.3 防火墻的技術(shù)原理

目前，防火墻系統(tǒng)的工作原理因?qū)崿F(xiàn)技術(shù)不同，大致可分為三種：

（1）包過(guò)濾技術(shù)

包過(guò)濾技術(shù)是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)。根據(jù)設(shè) 置好的過(guò)濾規(guī)則，通過(guò)檢查IP數(shù)據(jù)包來(lái)確定是否該數(shù)據(jù)包通過(guò)。而那些不符合規(guī)定的IP地址會(huì)被防火墻過(guò)濾掉，由此保證網(wǎng)絡(luò)系統(tǒng)的安全。該技術(shù)通?？梢赃^(guò)濾基于某些或所有下列信息組的IP包：源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包過(guò)濾技術(shù)實(shí)際上是一種基于路由器的技術(shù)，其最大優(yōu)點(diǎn)就是價(jià)格便宜，實(shí)現(xiàn)邏輯簡(jiǎn)單便于安裝和使用。

缺點(diǎn)：1）過(guò)濾規(guī)則難以配置和測(cè)試。2）包過(guò)濾只訪問(wèn)網(wǎng)絡(luò)層和傳輸層的信息，訪問(wèn)信息有限，對(duì)網(wǎng)絡(luò)更高協(xié)議層的信息無(wú)理解能力。3）對(duì)一些協(xié)議，如UDP和RPC難以有效的過(guò)濾。婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)

（2）代理技術(shù)

代理技術(shù)是與包過(guò)濾技術(shù)完全不同的另一種防火墻技術(shù)。其主要思想就是在兩個(gè)網(wǎng)絡(luò)之間設(shè)置一個(gè)“中間檢查站”，兩邊的網(wǎng)絡(luò)應(yīng)用可以通過(guò)這個(gè)檢查站相互通信，但是它們之間不能越過(guò)它直接通信。這個(gè)“中間檢查站”就是代理服務(wù)器，它運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，對(duì)網(wǎng)絡(luò)之間的每一個(gè)請(qǐng)求進(jìn)行檢查。當(dāng)代理服務(wù)器接收到用戶請(qǐng)求后，會(huì)檢查用戶請(qǐng)求合法性。若合法，則把請(qǐng)求轉(zhuǎn)發(fā)到真實(shí)的服務(wù)器上，并將答復(fù)再轉(zhuǎn)發(fā)給用戶。代理服務(wù)器是針對(duì)某種應(yīng)用服務(wù)而寫(xiě)的，工作在應(yīng)用層。

優(yōu)點(diǎn)：它將內(nèi)部用戶和外界隔離開(kāi)來(lái)，使得從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。與包過(guò)濾技術(shù)相比，代理技術(shù)是一種更安全的技術(shù)【9】。

缺點(diǎn)：在應(yīng)用支持方面存在不足，執(zhí)行速度較慢。（3）狀態(tài)監(jiān)視技術(shù) 這是第三代防火墻技術(shù)，集成了前兩者的優(yōu)點(diǎn)。能對(duì)網(wǎng)絡(luò)通信的各層實(shí)行檢測(cè)。同包過(guò)濾技術(shù)一樣，它能夠檢測(cè)通過(guò)IP地址、端口號(hào)以及TCP標(biāo)記，過(guò)濾進(jìn)出的數(shù)據(jù)包。它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接，不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來(lái)識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù)，這些算法通過(guò)己知合法數(shù)據(jù)包的模式來(lái)比較進(jìn)出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級(jí)代理在過(guò)濾數(shù)據(jù)包上更有效。

狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應(yīng)用程序，可方便地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。此外，它還可監(jiān)測(cè)RPC和UDP端口信息，而包過(guò)濾和代理都不支持此類端口。這樣，通過(guò)對(duì)各層進(jìn)行監(jiān)測(cè)，狀態(tài)監(jiān)視器實(shí)現(xiàn)網(wǎng)絡(luò)安全的目的。目前，多使用狀態(tài)監(jiān)測(cè)防火墻，它對(duì)用戶透明，在OSI最高層上加密數(shù)據(jù)，而無(wú)需修改客戶端程序，也無(wú)需對(duì)每個(gè)需在防火墻上運(yùn)行的服務(wù)額外增加一個(gè)代理。

要想建立一個(gè)真正行之有效的安全的計(jì)算機(jī)網(wǎng)絡(luò)，僅使用防火墻還是不夠，在實(shí)際的應(yīng)用中，防火墻常與其它安全措施，比如加密技術(shù)、防病毒技術(shù)等綜合應(yīng)用，才起到防御的最大化的效果。淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)

3.4 防火墻的應(yīng)用

3.4.1 個(gè)人防火墻的應(yīng)用

瑞星個(gè)人防火墻的應(yīng)用 1）安裝

第一步啟動(dòng)安裝程序。

當(dāng)把瑞星個(gè)人防火墻下載版安裝程序保存到您電腦中的指定目錄后，找到該目錄，雙擊運(yùn)行安裝程序，就可以進(jìn)行瑞星個(gè)人防火墻下載版的安裝了。

第二步完成安裝后，如圖3.1：

圖3.1 第三步輸入產(chǎn)品序列號(hào)和用戶ID。

啟動(dòng)個(gè)人防火墻，當(dāng)出現(xiàn)如圖3.2下所示的窗口后，在相應(yīng)位置輸入您購(gòu)買(mǎi)獲得的產(chǎn)品序列號(hào)和用戶ID，點(diǎn)擊“確定”，通過(guò)驗(yàn)證后則會(huì)提示“您的瑞星個(gè)人防火墻現(xiàn)在可以正常使用”。

婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)

圖3.2 常見(jiàn)問(wèn)題：不輸入產(chǎn)品序列號(hào)和用戶ID，產(chǎn)品將無(wú)法升級(jí)，防火墻保護(hù)功能將全部失效，您的計(jì)算機(jī)將無(wú)法抵御黑客攻擊。

2）升級(jí)

第一步網(wǎng)絡(luò)配置：

?打開(kāi)防火墻主程序 ?在菜單中依次選擇【設(shè)置】/【設(shè)置網(wǎng)絡(luò)】，打開(kāi)【網(wǎng)絡(luò)設(shè)置】窗口,如圖3.3 圖3.3 1。設(shè)定網(wǎng)絡(luò)連接方式，如果設(shè)定“通過(guò)代理服務(wù)器訪問(wèn)網(wǎng)絡(luò)”，還需要輸入代理服務(wù)器IP、端口、身份驗(yàn)證信息。

2。您可以選中【使用安全升級(jí)模式】，確保升級(jí)期間阻止新的網(wǎng)絡(luò)連接 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)

3。點(diǎn)擊【確定】按鈕完成設(shè)置

小提示：

1。如果您已經(jīng)可以瀏覽網(wǎng)頁(yè)，說(shuō)明網(wǎng)絡(luò)設(shè)置已經(jīng)配置好了，這里直接使用默認(rèn)設(shè)置即可。

2。如果您不使用撥號(hào)方式上網(wǎng)，將不會(huì)看到界面中【使用撥號(hào)網(wǎng)絡(luò)連接】的選項(xiàng)以及相關(guān)設(shè)置。

3。請(qǐng)確保此步設(shè)置正確，否則可能無(wú)法完成智能升級(jí)。

第二步：智能升級(jí)

完成網(wǎng)絡(luò)配置后，進(jìn)行智能升級(jí)的操作方法：

方法一：點(diǎn)擊主界面右側(cè)的【智能升級(jí)】按鈕，圖3.4示:

圖3.4 方法二：在菜單中依次選擇【操作】/【智能升級(jí)】 方法三：右鍵點(diǎn)擊防火墻托盤(pán)圖標(biāo)，在彈出菜單中選擇【啟動(dòng)智能升級(jí)】

3)啟動(dòng)瑞星個(gè)人防火墻下載版程序

啟動(dòng)瑞星個(gè)人防火墻軟件主程序有三種方法：

方法一：進(jìn)入【開(kāi)始】/【所有程序】/【瑞星個(gè)人防火墻】，選擇【瑞星個(gè)人防火墻】即可啟動(dòng)。

方法二：用鼠標(biāo)雙擊桌面上的【瑞星個(gè)人防火墻】快捷圖標(biāo)即可啟動(dòng)。

方法三：用鼠標(biāo)單擊任務(wù)欄“快速啟動(dòng)”上的【瑞星 婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)

個(gè)人防火墻】快捷圖標(biāo)即可啟動(dòng)。

成功啟動(dòng)程序后的界面如下圖3.5所示:

圖3.5 主要界面元素

1、菜單欄：

用于進(jìn)行菜單操作的窗口，包括【操作】、【設(shè)置】、【幫助】三個(gè)菜單。如圖3.6示:

圖3.6

2、操作按鈕：

位于主界面右側(cè)，包括【啟動(dòng)/停止保護(hù)】、【連接/斷開(kāi)網(wǎng)絡(luò)】、【智能升級(jí)】、【查看日志】。如圖3。7示:

圖3.7 功能：停止防火墻的保護(hù)功能，執(zhí)行此功能后，您計(jì) 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)

算機(jī)將不再受瑞星防火墻的保護(hù)已處于停止保護(hù)狀態(tài)時(shí)，此按鈕將變?yōu)椤締⒂帽Ｗo(hù)】；點(diǎn)擊將重新啟用防火墻的保護(hù)功能，您也可以通過(guò)菜單項(xiàng)【操作】/【停止保護(hù)】來(lái)執(zhí)行此功能；將您的計(jì)算機(jī)完全與網(wǎng)絡(luò)斷開(kāi)，就如同拔掉網(wǎng)線或是關(guān)掉Modem一樣。其他人都不能訪問(wèn)您的計(jì)算機(jī)，但是您也不能再訪問(wèn)網(wǎng)絡(luò)。這是在遇到頻繁攻擊時(shí)最為有效的應(yīng)對(duì)方法；已經(jīng)斷開(kāi)網(wǎng)絡(luò)后，此項(xiàng)將變?yōu)椤具B接網(wǎng)絡(luò)】，點(diǎn)擊將恢復(fù)網(wǎng)絡(luò)連接；您也可以通過(guò)菜單項(xiàng)【操作】/【斷開(kāi)網(wǎng)絡(luò)】來(lái)執(zhí)行此功能；啟動(dòng)智能升級(jí)程序?qū)Ψ阑饓M(jìn)行升級(jí)更新；您也可以通過(guò)菜單項(xiàng)【操作】/【智能升級(jí)】來(lái)執(zhí)行此功能；啟動(dòng)日志顯示程序；您也可能通過(guò)【操作】/【顯示日志】來(lái)執(zhí)行此功能。

3、標(biāo)簽頁(yè)：

位于主界面上部，分【工作狀態(tài)】、【系統(tǒng)狀態(tài)】、【游戲保護(hù)】、【安全資訊】、【漏洞掃描】、【啟動(dòng)選項(xiàng)】六個(gè)標(biāo)簽。如圖3。8示:

圖3。8

4、安全級(jí)別： 位于主界面右下角，拖動(dòng)滑塊到對(duì)應(yīng)的安全級(jí)別，修改立即生效。

5、當(dāng)前版本及更新日期：

位于主界面右上角，顯示防火墻當(dāng)前版本及更新日期。

6、規(guī)則設(shè)置

配置防火墻的過(guò)濾規(guī)則（如圖3。9），包括： 黑名單：在黑名單中的計(jì)算機(jī)禁止與本機(jī)通訊 白名單：在白名單中的計(jì)算機(jī)對(duì)本地具有完全的訪問(wèn)權(quán)限

端口開(kāi)關(guān)：允許或禁止端口中的通訊，可簡(jiǎn)單開(kāi)關(guān)本機(jī)與遠(yuǎn)程的端口 婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)

可信區(qū)：通過(guò)可信區(qū)的設(shè)置，可以把局域網(wǎng)和互聯(lián)網(wǎng)區(qū)分對(duì)待

IP規(guī)則：在IP層過(guò)濾的規(guī)則

訪問(wèn)規(guī)則：本機(jī)中訪問(wèn)網(wǎng)絡(luò)的程序的過(guò)濾規(guī)則

圖3。9 3.4.2 防火墻技術(shù)在校園網(wǎng)中應(yīng)用

一、安裝防火墻

防火墻技術(shù)在校園網(wǎng)安全建設(shè)中得到廣泛的應(yīng)用。由于防火墻是一種按某種規(guī)則對(duì)專網(wǎng)和互聯(lián)網(wǎng),或?qū)ヂ?lián)網(wǎng)的一部分和其余部分之間的信息交換進(jìn)行有條件的控制(包括隔離),從而阻斷不希望發(fā)生的網(wǎng)絡(luò)間通信的系統(tǒng)部署防火墻技術(shù)[10],構(gòu)筑內(nèi)外網(wǎng)之間的安全屏障,可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開(kāi)來(lái),保護(hù)校園網(wǎng)絡(luò)不受未經(jīng)授權(quán)的第三方侵入。

二、校園網(wǎng)防火墻系統(tǒng)的配置

假定校園網(wǎng)通過(guò)Cisco路由器與INTERNET相連。校園內(nèi)的IP地址范圍是確定的,且有明確的閉和邊界,它有一個(gè)C類的IP地址,有DNS、Email、WWW、FTP等服務(wù)器,可采用以下存取控制策略。

1)對(duì)進(jìn)入CERNET主干網(wǎng)的存取控制

2)對(duì)網(wǎng)絡(luò)中心資源主機(jī)的訪問(wèn)控制,網(wǎng)絡(luò)中心的DNS、Email、FTP、WWW等服務(wù)器是重要的資源,要特別的保護(hù),可對(duì)網(wǎng)絡(luò)中心所在子網(wǎng)禁止,DNS,Email,WWW,FTP 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)

以外的一切服務(wù)。

3)對(duì)校外非法網(wǎng)址的訪問(wèn),一般情況,一些傳播非法信息的站點(diǎn)主要在校外,而這些站點(diǎn)的域名可能是已知的。為防止IP地址欺騙和盜用需為對(duì)網(wǎng)絡(luò)內(nèi)部人員訪問(wèn)Internet進(jìn)行一定限制在連接內(nèi)部網(wǎng)絡(luò)的端口接收數(shù)據(jù)時(shí)進(jìn)行IP地址和以太網(wǎng)地址檢查,盜用IP地址的數(shù)據(jù)包將被丟棄,并記錄有關(guān)信息;再連接 Internet 端接收數(shù)據(jù)時(shí),如從外部網(wǎng)絡(luò)收到一段假冒內(nèi)部IP地址發(fā)出的報(bào)文,也應(yīng)丟棄,并記錄有關(guān)信息。防止IP地址被盜用的徹底解決辦法是:代理服務(wù)器防火墻和捆綁IP地址和以太網(wǎng)地址,對(duì)非法訪問(wèn)的動(dòng)態(tài)禁止一旦獲得某個(gè)IP地址的訪問(wèn)是非法的,可立即更改路由器中的存取控制表,從而禁止其對(duì)外的非法訪問(wèn)。首先應(yīng)在路由器和校園網(wǎng)的以太口預(yù)設(shè)控制組102,然后過(guò)濾掉來(lái)自非法地址的所有IP包。婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)

結(jié)論

計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題越來(lái)越受到人們的重視，一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的保護(hù)不僅和系統(tǒng)管理員的系統(tǒng)安全知識(shí)有關(guān)，而且和每個(gè)使用者的安全操作等都有關(guān)系。網(wǎng)絡(luò)安全是動(dòng)態(tài)的，新的Internet黑客站點(diǎn)、病毒與安全技術(shù)每日劇增，世界上不存在絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

防火墻不能完全解決網(wǎng)絡(luò)安全的全部問(wèn)題，如不能防范內(nèi)部攻擊等，因此還需要考慮其他技術(shù)的和非技術(shù)的因素，如身份鑒別，信息加密術(shù)，提高網(wǎng)絡(luò)管理人員的安全意識(shí)等，總之，防火墻是網(wǎng)絡(luò)安全的第一道重要的安全屏障，如何提高防火墻的防護(hù)能力并保證系統(tǒng)的高速高效運(yùn)行，不斷提高網(wǎng)絡(luò)安全水平，這將是一個(gè)隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而不斷研究的課題。淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)

致謝

本文是在指導(dǎo)老師胡楠老師的悉心教導(dǎo)下完成的。寫(xiě)論文的這段時(shí)間，老師淵博的學(xué)識(shí)，嚴(yán)謹(jǐn)?shù)闹螌W(xué)太多和細(xì)心指導(dǎo)，以及他給我的支持和鼓勵(lì)使我終身難忘，我所取得的每一點(diǎn)成就都與導(dǎo)師的熱心關(guān)懷和精心指導(dǎo)是分不開(kāi)的，值此論文完成之際，特別向?qū)熤乱灾孕牡母兄x各崇高的敬意。

本課題的完成過(guò)程中，本人還得到了同學(xué)們及其他各方面的支持和幫助，特別感謝致謝在一起愉快的度過(guò)大學(xué)生活的各位室友，正是由于你們的幫助和支持，我才能克服一個(gè)一個(gè)的困難和疑惑，直至本文的順利完成。

在論文即將完成之際，我的心情無(wú)法平靜，從開(kāi)始進(jìn)入課題到論文的順利完成，有多少可敬的師長(zhǎng)、同學(xué)、朋友給了我無(wú)言的幫助，在這里請(qǐng)接受我誠(chéng)摯的謝意!我還要感謝培養(yǎng)我長(zhǎng)大含辛茹苦的父母，謝謝你們!最后，我要向百忙之中抽時(shí)間對(duì)本文進(jìn)行審閱，評(píng)議和參與本人論文答辯的各位老師表示感謝。

婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)

參考文獻(xiàn)

[1]張斌,黑客與反黑客,北京郵電大學(xué)出版社,Pag56-75 [2]石淑華,池瑞楠,計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)(第二版),北京人民郵電出版社,Pag267-283 [3]肖新峰,宋強(qiáng),王立新等,TCP/IP協(xié)議與網(wǎng)絡(luò)管理,北京清華大學(xué)出版社,Pag83-99 [4]李軍,防火墻上臺(tái)階,信息網(wǎng)絡(luò)安全2004年07期,Pag28—29 [5]陳愛(ài)民,計(jì)算機(jī)的安全與保密,北京電子工業(yè)出版社,pag35-42 [6]蔣建春,馬恒太,任黨恩等,網(wǎng)絡(luò)安全入侵檢測(cè)研究綜述軟件學(xué)報(bào) [7]石淑華,池瑞楠,計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)(第二版),北京人民郵電出版社,Pag70-104 [8]老聃,安全網(wǎng)關(guān)—網(wǎng)絡(luò)邊界防護(hù)的利器,信息安全與通信保密,2004年08期75

[9]陳平,何慶等主編,電腦2003合訂本，西南師范大學(xué)出版社,2004年1月

[10] 張穎,劉軍,王磊,計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀及解決方法[N]電腦商情報(bào) ,2007年1月