第一篇：防火墻技術(shù)的現(xiàn)狀與展望(畢業(yè)論文)

通信與信息系統(tǒng)管理專業(yè)高等教育自學(xué)考試畢業(yè)論文

防火墻技術(shù)的現(xiàn)狀與展望

摘要：隨著計算機的飛速發(fā)展以及網(wǎng)絡(luò)技術(shù)的普遍應(yīng)用，隨著信息時代的來臨，信息作為一種重要的資源正得到了人們的重視與應(yīng)用。因特網(wǎng)是一個發(fā)展非?；钴S的領(lǐng)域，可能會受到黑客的非法攻擊，所以在任何情況下，對于各種事故，無意或有意的破壞，保護數(shù)據(jù)及其傳送、處理都是非常必要的。比如，計劃如何保護你的局域網(wǎng)免受因特網(wǎng)攻擊帶來的危害時，首先要考慮的是防火墻。防火墻的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。文介紹了防火墻技術(shù)的基本概念、原理、應(yīng)用現(xiàn)狀和發(fā)展趨勢。

關(guān)鍵詞：防火墻；網(wǎng)絡(luò)安全

Abstract: along with the universal application of the rapid development of computer and network technology, with the advent of the information age, information as an important resource is paid attention to and used by people.The Internet is a development of very active domain, may be illegally attacked by hackers, so in any case, for a variety of accident, accidental or intentional damage, protection of data and transfer, processing is very necessary.For example, plans to protect your network from the hazards brought by Internet attack, firewall is the first consideration.The core idea of firewall is the relative safety of the structure of a network environment in the insecure Internet environment.This paper introduces the basic concept of firewall technology, principle, application status and development trend.Keywords: firewall;network security

通信與信息系統(tǒng)管理專業(yè)高等教育自學(xué)考試畢業(yè)論文

目錄

一、背景和意義........................................................................................................................3

二、防火墻概述........................................................................................................................3

（一）防火墻的概念........................................................................................................3

（二）防火墻的功能及原理............................................................................................3

（三）防火墻的分類與技術(shù)............................................................................................4

（一）防火墻現(xiàn)狀概說....................................................................................................6

（二）包過濾防火墻和代理............................................................................................7

（三）狀態(tài)檢測技術(shù)........................................................................................................7

（四）高保障防火墻........................................................................................................7

（一）高速........................................................................................................................8

（二）多功能化................................................................................................................8

（三）安全........................................................................................................................9

通信與信息系統(tǒng)管理專業(yè)高等教育自學(xué)考試畢業(yè)論文

一、背景和意義

防火墻的英文名為“FireWall”，它是目前一種最重要的網(wǎng)絡(luò)防護設(shè)備。從專業(yè)角度講，防火墻是位于兩個(或多個)網(wǎng)絡(luò)間，實施網(wǎng)絡(luò)之間訪問控制的一組組件集合。防火墻的本義是指古代構(gòu)筑和使用木制結(jié)構(gòu)房屋的時候，為防止火災(zāi)的發(fā)生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構(gòu)筑物就被稱之為“防火墻”。其實與防火墻一起起作用的就是“門”。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢？當(dāng)火災(zāi)發(fā)生時，這些人又如何逃離現(xiàn)場呢？這個門就相當(dāng)于我們這里所講的防火墻的“安全策略”，所以在此我們所說的防火墻實際并不是一堵實心墻，而是帶有一些小孔的墻。這些小孔就是用來留給那些允許進行的通信，在這些小孔中安裝了過濾機制，也就是上面所介紹的“單向?qū)ㄐ浴薄?/p>

我們通常所說的網(wǎng)絡(luò)防火墻是借鑒了古代真正用于防火的防火墻的喻義，它指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。防火可以使企業(yè)內(nèi)部局域網(wǎng)（LAN）網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪用來保護內(nèi)部網(wǎng)絡(luò)。

信息安全是國家發(fā)展所面臨的一個重要問題。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應(yīng)該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用。

二、防火墻概述

（一）防火墻的概念

防火墻是指設(shè)臵在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，以此來實現(xiàn)網(wǎng)絡(luò)的安全保護。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。

（二）防火墻的功能及原理

防火墻功能：防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計算機上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端

通信與信息系統(tǒng)管理專業(yè)高等教育自學(xué)考試畢業(yè)論文

口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

防火墻的工作原理：隨著網(wǎng)絡(luò)規(guī)模的擴大和開放性的增強，網(wǎng)絡(luò)上的很多敏感信息和保密數(shù)據(jù)將受到很多主動和被動的人為攻擊。一種解決辦法是為需要保護的網(wǎng)絡(luò)上的每個工作站和服務(wù)器裝備上強大的安全特征(例如入侵檢測)，但這幾乎是一種不切合實際的方法，因為對具有幾百個甚至上千個節(jié)點的網(wǎng)絡(luò)，它們可能運行著不同的操作系統(tǒng)，當(dāng)發(fā)現(xiàn)了安全缺陷時，每個可能被影響的節(jié)點都必須加以改進以修復(fù)這個缺陷。另一種選擇就是防火墻(Firewall)，防火墻是用來在安全私有網(wǎng)絡(luò)(可信任網(wǎng)絡(luò))和外部不可信任網(wǎng)絡(luò)之間安全連接的一個設(shè)備或一組設(shè)備，作為私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間連接的單點存在。防火墻是設(shè)臵在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間的一道屏障，它可以實施比較廣泛的安全策略來控制信息流，防止不可預(yù)料的潛在的入侵破壞.DMZ外網(wǎng)和內(nèi)部局域網(wǎng)的防火墻系統(tǒng)。

（三）防火墻的分類與技術(shù)

1．從軟、硬件形式上分

如果從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。

2．從防火墻技術(shù)分

防火墻技術(shù)雖然出現(xiàn)了許多，但總體來講可分為“包過濾型”和“應(yīng)用代理型”兩大類。

（1）包過濾（Packet filtering）型

包過濾方式是一種通用、廉價和有效的安全手段。在整個防火墻技術(shù)的發(fā)展過程中，包過濾技術(shù)出現(xiàn)了兩種不同版本，稱為“第一代靜態(tài)包過濾”和“第二代動態(tài)包過濾”。

包過濾方式的優(yōu)點是不用改動客戶機和主機上的應(yīng)用程序，因為它工作在網(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。但其弱點也是明顯的：過濾判別的依據(jù)只是網(wǎng)絡(luò)層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會受到很大地影響；由于缺少上下文關(guān)聯(lián)信息，不能有效地過濾如UDP、RPC（遠程過程調(diào)用）一類的協(xié)議；另外，大多數(shù)過濾器中缺少審計和報警機制，它只能依據(jù)包頭信息，而不能對用戶身份進行驗證，很容易受到“地址欺騙型”攻擊。對安全管理人員素質(zhì)要求高，建立安全規(guī)則時，必須對協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此，過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)。

（2）應(yīng)用代理（Application Proxy）型

應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點是完全“阻隔”了網(wǎng)

通信與信息系統(tǒng)管理專業(yè)高等教育自學(xué)考試畢業(yè)論文

絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。在代理型防火墻技術(shù)的發(fā)展過程中，它也經(jīng)歷了兩個不同的版本：第一代應(yīng)用網(wǎng)關(guān)型代理防火和第二代自適應(yīng)代理防火墻。

代理類型防火墻的最突出的優(yōu)點就是安全。由于它工作于最高層，所以它可以對網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進行篩選保護，而不是像包過濾那樣，只是對網(wǎng)絡(luò)層的數(shù)據(jù)進行過濾。轉(zhuǎn)貼于代理防火墻的最大缺點是速度相對比較慢，當(dāng)用戶對內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時，代理防火墻就會成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因為防火墻需要為不同的網(wǎng)絡(luò)服務(wù)建立專門的代理服務(wù)，在自己的代理程序為內(nèi)、外部網(wǎng)絡(luò)用戶建立連接時需要時間，所以給系統(tǒng)性能帶來了一些負面影響，但通常不會很明顯。

（3）網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不需要為其網(wǎng)絡(luò)中每一臺機器取得注冊的IP地址。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。當(dāng)符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當(dāng)不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進行設(shè)臵，用戶只要進行常規(guī)操作即可。

（4）監(jiān)測型

監(jiān)測型防火墻是新一代產(chǎn)品，這一技術(shù)實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的、實時的監(jiān)測，在對這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時，這種監(jiān)測型防火墻產(chǎn)品一般還帶有分布式探測器，這些探測器安臵在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中，不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊，同時對來自內(nèi)部的惡意破壞也有極強的防范作用。據(jù)權(quán)威機構(gòu)統(tǒng)計，在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中，有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此，監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義，而且在安全性上也超越了前兩代產(chǎn)品，雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務(wù)器型防火墻，但由于監(jiān)測型防火墻技術(shù)的實現(xiàn)成本較高，也不易管理，所以目前在實用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主，但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻?；趯ο到y(tǒng)成本與安全技術(shù)成本的綜合考慮，用戶可以選擇性地使用某些監(jiān)測型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求，同時也能有效地控制安全系統(tǒng)的總擁有成本。

通信與信息系統(tǒng)管理專業(yè)高等教育自學(xué)考試畢業(yè)論文

3.從防火墻結(jié)構(gòu)分

從防火墻結(jié)構(gòu)上分，防火墻主要有：單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。

4.按防火墻的應(yīng)用部署位臵分

按防火墻的應(yīng)用部署位臵分，可以分為邊界防火墻、個人防火墻和混合防火墻三大類。

5.按防火墻性能分

按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。

三、防火墻的應(yīng)用現(xiàn)狀

（一）防火墻現(xiàn)狀概說

附圖是一個防火墻典型應(yīng)用的示意圖。

防火墻的功能主要包含以下幾個方面：訪問控制，如應(yīng)用ACL進行訪問控制；攻擊防范，如防止SYN FLOOD等；NAT；VPN；路由；認證和加密;日志記錄;支持網(wǎng)管等。此外為了保證可靠性，支持雙機或多機熱備份；為了滿足日益增多的語音、視頻等需求，對QoS特性的支持和對H.323、SIP 等多種應(yīng)用協(xié)議的支持也必不可少。

為了滿足多樣化的組網(wǎng)需求，方便用戶組網(wǎng)，同時也降低用戶對其他專用設(shè)備的需求，減少用戶建網(wǎng)成本，防火墻上也常常把其他網(wǎng)絡(luò)技術(shù)結(jié)合進來，例如支持DHCP SERVER、DHCP RELAY；支持動態(tài)路由，如RIP、OSPF等；支持撥號、PPPoE等特性；支持廣域網(wǎng)口； 支持透明模式(橋模式);支持內(nèi)容過濾(如URL過濾)、防病毒和IDS等功能。防火墻與其他安全設(shè)備或安全模塊之間進行互動，已經(jīng)成為新一代防火墻的發(fā)展趨勢。

但是，目前防火墻應(yīng)用中的問題也不少。如目前許多防火墻對內(nèi)容過濾，防病毒和

通信與信息系統(tǒng)管理專業(yè)高等教育自學(xué)考試畢業(yè)論文

IDS等的支持，實際的應(yīng)用效果并不好。因為在這些功能支持的情況下，過濾會涉及到應(yīng)用層包分析，對CPU的消耗很大。這些功能的啟動，會導(dǎo)致性能急劇下降，本來100M的處理能力，可能會下降到幾兆，導(dǎo)致網(wǎng)絡(luò)嚴(yán)重阻塞甚至癱瘓，失去了防火墻存在的意義。

（二）包過濾防火墻和代理

防火墻的發(fā)展，經(jīng)歷了從早期的簡單包過濾，到今天廣泛應(yīng)用的狀態(tài)包過濾技術(shù)和應(yīng)用代理。其中狀態(tài)包過濾技術(shù)因為其安全性較好，速度快，得到最廣泛的應(yīng)用。應(yīng)用代理雖然安全性更好，但它需要針對每一種協(xié)議開發(fā)特定的代理協(xié)議，對應(yīng)用的支持不夠好。從國外公開的防火墻測試報告來看，代理防火墻性能表現(xiàn)比較差，因此在網(wǎng)絡(luò)帶寬迅猛發(fā)展的情況下，已經(jīng)不能完全滿足需要。

此外，有的防火墻支持SOCK代理，這種代理屏蔽了協(xié)議本身，只要客戶端支持SOCK代理，該應(yīng)用在防火墻上就可以穿越。這種代理對于部分不公開的協(xié)議，如QQ的語音和視頻協(xié)議，采用其他技術(shù)，在NAT情況下很難實現(xiàn)對該協(xié)議的支持，但QQ軟件本身支持SOCK代理，如果防火墻支持SOCK代理協(xié)議，就可以實現(xiàn)對防火墻的穿越。但對于防火墻而言，不參與協(xié)議解碼，也意味著防火墻對該協(xié)議失去了監(jiān)測能力。

（三）狀態(tài)檢測技術(shù)

狀態(tài)檢測技術(shù)最早是CheckPoint提出的，也就是要監(jiān)視每個連接發(fā)起到結(jié)束的全過程。對于部分協(xié)議，如FTP、H.323 等協(xié)議，是有狀態(tài)的協(xié)議，防火墻必須對這些協(xié)議進行分析，以便知道什么時候，從哪個方向允許特定的連接進入和關(guān)閉。例如FTP，除了開始要建立命令通道外，還要動態(tài)協(xié)商數(shù)據(jù)通道。

（四）高保障防火墻

防火墻因為軟件復(fù)雜，實現(xiàn)的功能較多，必須有操作系統(tǒng)支持，操作系統(tǒng)的安全是防火墻安全的基石。1998年，在中國一家機構(gòu)和美國計算機學(xué)會ACM共同舉辦的國際會議上，我首次提出了高保障防火墻的概念，其核心是防火墻與安全操作系統(tǒng)無縫集成，在防火墻上實現(xiàn)類似B級操作系統(tǒng)的機制，如標(biāo)記、MAC、強實體認證等。入關(guān)具有入關(guān)證，出關(guān)具有出關(guān)證。建立了防止內(nèi)部敏感信息泄漏的機制，達到既防外又防內(nèi)的目標(biāo)，又實現(xiàn)了傳統(tǒng)防火墻的全部功能。不久前，安勝防火墻應(yīng)運而生，通過了國家權(quán)威機構(gòu)的測評認證，是我國第一個研制成功的高保障防火墻，目前已經(jīng)在我國31個省市廣泛應(yīng)用。

四、防火墻的發(fā)展趨勢

通信與信息系統(tǒng)管理專業(yè)高等教育自學(xué)考試畢業(yè)論文

可以預(yù)見，未來防火墻的發(fā)展趨勢是朝高速、多功能化、更安全的方向發(fā)展。

（一）高速

從國內(nèi)外歷次測試的結(jié)果都可以看出，目前防火墻一個很大的局限性是速度不夠，真正達到線速的防火墻少之又少。防范DoS(拒絕服務(wù))是防火墻一個很重要的任務(wù)，防火墻往往用在網(wǎng)絡(luò)出口，如造成網(wǎng)絡(luò)堵塞，再安全的防火墻也無法應(yīng)用。

應(yīng)用ASIC、FPGA和網(wǎng)絡(luò)處理器是實現(xiàn)高速防火墻的主要方法，但尤以采用網(wǎng)絡(luò)處理器最優(yōu)，因為網(wǎng)絡(luò)處理器采用微碼編程，可以根據(jù)需要隨時升級，甚至可以支持IPv6，而采用其他方法就不那么靈活。

實現(xiàn)高速防火墻，算法也是一個關(guān)鍵，因為網(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元，因此比較容易實現(xiàn)高速。對于采用純CPU的防火墻，就必須有算法支撐，例如ACL算法。目前有的應(yīng)用環(huán)境，動輒應(yīng)用數(shù)百乃至數(shù)萬條規(guī)則，沒有算法支撐，對于狀態(tài)防火墻，建立會話的速度會十分緩慢。

上面提到，為什么防火墻不適宜于集成內(nèi)容過濾、防病毒和IDS功能(傳輸層以下的IDS除外，這些檢測對CPU消耗小)呢？說到底還是因為受現(xiàn)有技術(shù)的限制。目前，還沒有有效的對應(yīng)用層進行高速檢測的方法，也沒有哪款芯片能做到這一點。因此，對于IDS，目前最常用的方式還是把網(wǎng)絡(luò)上的流量鏡像到IDS設(shè)備中處理，這樣可以避免流量較大時造成網(wǎng)絡(luò)堵塞。此外，應(yīng)用層漏洞很多，攻擊特征庫需要頻繁升級，對于處在網(wǎng)絡(luò)出口關(guān)鍵位臵的防火墻，如此頻繁地升級也是不現(xiàn)實的。

這里還要提到日志問題，根據(jù)國家有關(guān)標(biāo)準(zhǔn)和要求，防火墻日志要求記錄的內(nèi)容相當(dāng)多。網(wǎng)絡(luò)流量越來越大，如此龐大的日志對日志服務(wù)器提出了很高的要求。目前，業(yè)界應(yīng)用較多的是SYSLOG日志，采用的是文本方式，每一個字符都需要一個字節(jié)，存儲量很大，對防火墻的帶寬也是一個很大的消耗。二進制日志可以大大減小數(shù)據(jù)傳送量，也方便數(shù)據(jù)庫的存儲、加密和事后分析?？梢哉f，支持二進制格式和日志數(shù)據(jù)庫，是未來防火墻日志和日志服務(wù)器軟件的一個基本要求。

（二）多功能化

多功能也是防火墻的發(fā)展方向之一，鑒于目前路由器和防火墻價格都比較高，組網(wǎng)環(huán)境也越來越復(fù)雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網(wǎng)和節(jié)省投資的需要。例如，防火墻支持廣域網(wǎng)口，并不影響安全性，但在某些情況下卻可以為用戶節(jié)省一臺路由器;支持部分路由器協(xié)議，如路由、撥號等，可以更好地滿足組網(wǎng)需要；支持IPSec VPN，可以利用因特網(wǎng)組建安全的專用通道，既安全又節(jié)省了專線投資。據(jù)IDC統(tǒng)計，國外90%的加密VPN都是通過防火墻實現(xiàn)的。

通信與信息系統(tǒng)管理專業(yè)高等教育自學(xué)考試畢業(yè)論文

（三）安全

未來防火墻的操作系統(tǒng)會更安全。隨著算法和芯片技術(shù)的發(fā)展，防火墻會更多地參與應(yīng)用層分析，為應(yīng)用提供更安全的保障?！澳Ц咭怀撸栏咭徽伞?，在信息安全的發(fā)展與對抗過程中，防火墻的技術(shù)一定會不斷更新，日新月異，在信息安全的防御體系中，起到堡壘的作用。未來防火墻的操作系統(tǒng)會更安全。隨著算法和芯片技術(shù)的發(fā)展，防火墻會更多地參與應(yīng)用層分析，為應(yīng)用提供更安全的保障。

結(jié)束語

近年來，計算機網(wǎng)絡(luò)獲得了飛速的發(fā)展。它不知不覺的占據(jù)了我們生活的大半部分，成為我們社會結(jié)構(gòu)的一個基本組成部分。從Internet的誕生之日起，就不可避免的面臨著網(wǎng)絡(luò)信息安全的問題。而隨著Internet的迅速發(fā)展，計算機網(wǎng)絡(luò)對安全的要求也日益增高。越來越多的網(wǎng)站因為安全性問題而癱瘓，公司的機密信息不斷被竊取，政府機構(gòu)和組織不斷遭受著安全問題的威脅等等。

計算機的安全問題正面臨著前所未有的挑戰(zhàn)。在這場網(wǎng)絡(luò)安全的攻擊和反攻擊的信息戰(zhàn)中，永遠沒有終點。黑客的攻擊手段不斷翻新，決定了信息安全技術(shù)也必須進 行革新，防火墻是防范黑客攻擊的常用手段，但這樣的技術(shù)必須與當(dāng)今最前沿的其他安全技術(shù)結(jié)合在一起，才能更有效地防范各種新的攻擊手段。

在本次學(xué)習(xí)中，因為時間緊，加之本身對這方面的知識的掌握有限，論文必定有考慮不周的地方，懇請老師批評指正。

參考文獻

[1] 謝希仁.計算機網(wǎng)絡(luò)（第5版）[M].北京：電子工業(yè)出版社，2009 170-231 [2] 吳秀梅，畢燁，王見，傅嘉偉編著.防火墻技術(shù)及應(yīng)用教程.北京：清華大學(xué)出版社

[3] 張紅旗，王魯 等編著.信息安全技術(shù).高等教育出版社，2010

235-254 [4] 張華貴，王海燕.計算機網(wǎng)絡(luò)在安全分析與對策[J].電腦知識與技術(shù)，2005.7 46-52 [5] 黃思育.淺議防火墻.達縣師范高等?？茖W(xué)校學(xué)報（自然科學(xué)版）[J].2005

第二篇：計算機防火墻技術(shù)畢業(yè)論文

本文由yin528855貢獻

doc文檔可能在WAP端瀏覽體驗不佳。建議您優(yōu)先選擇TXT，或下載源文件到本機查看。

計算機防火墻技術(shù)論文

畢 業(yè) 論 文

計算機防火墻技術(shù)

姓 學(xué)

名： 號：

指導(dǎo)老師： 系 專 班 名： 業(yè)： 級：

二零一零年十一月十五日 1 計算機防火墻技術(shù)論文

摘要

因特網(wǎng)的迅猛發(fā)展給人們的生活帶來了極大的方便，但同時因特網(wǎng)也面臨 著空前的威脅。因此，如何使用有效可行的方法使網(wǎng)絡(luò)危險降到人們可接受的范 圍之內(nèi)越來越受到人們的關(guān)注。而如何實施防范策略，首先取決于當(dāng)前系統(tǒng)的安 全性。所以對網(wǎng)絡(luò)安全的各獨立元素——防火墻、漏洞掃描、入侵檢測和反病毒 等進行風(fēng)險評估是很有必要的。防火墻技術(shù)作為時下比較成熟的一種網(wǎng)絡(luò)安全技術(shù)，其安全性直接關(guān)系到用 戶的切身利益。針對網(wǎng)絡(luò)安全獨立元素——防火墻技術(shù)，通過對防火墻日志文件 的分析，設(shè)計相應(yīng)的數(shù)學(xué)模型和軟件雛形，采用打分制的方法，判斷系統(tǒng)的安全 等級，實現(xiàn)對目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險評估，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。對網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運行，利用網(wǎng)絡(luò)傳播病毒，線路竊聽等方面。這以要求我們與 Internet 互連所帶來的安全性問題予以足夠重視。計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展 使網(wǎng)絡(luò)安全問題日益突出,而防火墻是應(yīng)用最廣泛的安全產(chǎn)品。本文闡述了網(wǎng)絡(luò) 防火墻的工作原理并對傳統(tǒng)防火墻的利弊進行了對比分析,最后結(jié)合計算機科學(xué) 其它領(lǐng)域的相關(guān)新技術(shù),提出了新的防火墻技術(shù),并展望了其發(fā)展前景。

關(guān)鍵詞： 關(guān)鍵詞 ：包過濾 智能防火墻

應(yīng)用層網(wǎng)關(guān)

分布式防火墻

監(jiān)測型防火墻 嵌入式防火墻

網(wǎng)絡(luò)安全，防火墻，防范策略，發(fā)展趨勢 2 計算機防火墻技術(shù)論文

摘要?? 1 第一章 引言 ?? 4 1.1 研究背景?? 4 1.2 研究目的?? 4 1.3 論文結(jié)構(gòu)?? 5 第二章 網(wǎng)絡(luò)安全 ?? 6 2.1 網(wǎng)絡(luò)安全問題?? 6 2.1.1 網(wǎng)絡(luò)安全面臨的主要威脅 ?? 6 2.1.2 影響網(wǎng)絡(luò)安全的因素 ?? 6 2.2 網(wǎng)絡(luò)安全措施?? 7 2.2.1 完善計算機安全立法 ?? 7 2.2.2 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) ?? 7 2.3 制定合理的網(wǎng)絡(luò)管理措施?? 8 第三章 防火墻概述 ?? 9 3.1 防火墻的概念?? 9 3.1.1 傳統(tǒng)防火墻介紹 ?? 9 3.1.2 智能防火墻簡介 ?? 10 3.2 防火墻的功能?? 11 3.2.1 防火墻的主要功能 ?? 11 3.2.2 入侵檢測功能 ?? 11 3.2.3 虛擬專網(wǎng)功能 ?? 12 3.2.4 其他功能 ?? 12 3.3 防火墻的原理及分類?? 13 3.3.1 包過濾防火墻 ?? 13 3.3.2 應(yīng)用級代理防火墻 ?? 13 3.3.3 代理服務(wù)型防火墻 ?? 14 3.3.4 復(fù)合型防火墻 ?? 14 3.4 防火墻包過濾技術(shù)?? 14 3.4.1 數(shù)據(jù)表結(jié)構(gòu) ?? 15 3.4.2 傳統(tǒng)包過濾技術(shù) ?? 16 3.4.3 動態(tài)包過濾 ?? 17 3.4.4 深度包檢測 ?? 17 3.4.5 流過濾技術(shù) ?? 18 第四章 防火墻的配置 ?? 20 4.1 硬件連接與實施?? 20 4.2 防火墻的特色配置?? 20 4.3 軟件的配置與實施?? 21 第五章 防火墻發(fā)展趨勢 ?? 23 5.1 防火墻包過濾技術(shù)發(fā)展趨勢?? 23 5.2 防火墻的體系結(jié)構(gòu)發(fā)展趨勢?? 24 5.3 防火墻的系統(tǒng)管理發(fā)展趨勢?? 24 結(jié)論?? 25 參考文獻?? 26 致謝?? 27 3 計算機防火墻技術(shù)論文

第一章

1.1 研究背景

引言

隨著互聯(lián)網(wǎng)的普及和發(fā)展，尤其是 Internet 的廣泛使用，使計算機應(yīng)用更 加廣泛與深入。同時，我們不得不注意到，網(wǎng)絡(luò)雖然功能強大，也有其脆弱易受 到攻擊的一面。據(jù)美國 FBI 統(tǒng)計，美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟損失高 達 75 億美元，而全求平均每 20 秒鐘就發(fā)生一起 Internet 計算機侵入事件[1]。在我國，每年因黑客入侵、計算機病毒的破壞也造成了巨大的經(jīng)濟損失。人們在 利用網(wǎng)絡(luò)的優(yōu)越性的同時，對網(wǎng)絡(luò)安全問題也決不能忽視。如何建立比較安全的 網(wǎng)絡(luò)體系，值得我們關(guān)注研究。

1.2 研究目的

為了解決互聯(lián)網(wǎng)時代個人網(wǎng)絡(luò)安全的問題，近年來新興了防火墻技術(shù)[2]。防火墻具有很強的實用性和針對性，它為個人上網(wǎng)用戶提供了完整的網(wǎng)絡(luò)安全解 決方案，可以有效地控制個人電腦用戶信息在互聯(lián)網(wǎng)上的收發(fā)。用戶可以根據(jù)自 己的需要，通過設(shè)定一些參數(shù)，從而達到控制本機與互聯(lián)網(wǎng)之間的信息交流阻止 惡性信息對本機的攻擊，比如 ICMPnood 攻擊、聊天室炸彈、木馬信息破譯并修 改郵件密碼等等。而且防火墻能夠?qū)崟r記錄其它系統(tǒng)試圖對本機系統(tǒng)的訪問，使 計算機在連接到互聯(lián)網(wǎng)的時候避免受到網(wǎng)絡(luò)攻擊和資料泄漏的安全威脅。防火墻 可以保護人們在網(wǎng)上瀏覽時免受黑客的攻擊，實時防范網(wǎng)絡(luò)黑客的侵襲，還可以 根據(jù)自己的需要創(chuàng)建防火墻規(guī)則，控制互聯(lián)網(wǎng)到 PC 以及 PC 到互聯(lián)網(wǎng)的所有連接，并屏蔽入侵企圖。防火可以有效地阻截各種惡意攻擊、保護信息的安全;信息泄 漏攔截保證安全地瀏覽網(wǎng)頁、遏制郵件病毒的蔓延;郵件內(nèi)容檢測可以實時監(jiān)視 郵件系統(tǒng)，阻擋一切針對硬盤的惡意活動。個人防火墻就是在單機 Windows 系統(tǒng)上，采取一些安全防護措施，使得本機 的息得到一定的保護。個人防火墻是面向單機操作系統(tǒng)的一種小型安全防護軟 件，按一定的規(guī)則對 TCP，UDP，ICMP 和 IGMP 等報文進行過濾，對網(wǎng)絡(luò)的信息流 和系統(tǒng)進程進行監(jiān)控，防止一些惡意的攻擊。目前市場上大多數(shù)的防火墻產(chǎn)品僅 僅是網(wǎng)關(guān)的，雖然它們的功能相當(dāng)強大，但由于它們基于下述的假設(shè):內(nèi)部網(wǎng)是 安全可靠的，所有的威脅都來自網(wǎng)外。因此，他們防外不防內(nèi)，難以實現(xiàn)對企業(yè) 內(nèi)部局域網(wǎng)內(nèi)主之間的安全通信，也不能很好的解決每一個撥號上網(wǎng)用戶所在主 機的安全問題，而多數(shù)個人上網(wǎng)之時，并沒有置身于得到防護的安全網(wǎng)絡(luò)內(nèi)部。個人上網(wǎng)用戶多使用 Windows 操作系統(tǒng)，而 Windows 操作系統(tǒng)，特別是

計算機防火墻技術(shù)論文

WindowsXP 系統(tǒng)，本身的安全性就不高。各種 Windows 漏洞不斷被公布，對主機 的攻擊也越來越多。一般都是利用操作系統(tǒng)設(shè)計的安全漏洞和通信協(xié)議的安全漏 洞來實現(xiàn)攻擊。如假冒 IP 包對通信雙方進行欺騙:對主機大量發(fā)送正數(shù)據(jù)包[3] 進行轟炸攻擊，使之際崩潰;以及藍屏攻擊等。因此，為了保護主機的安全通信，研制有效的個人防火墻技術(shù)很有必要。所謂的防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共 網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合[ 1 ]。它可通過監(jiān)測、限制、更改跨 越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況, 以 此來實現(xiàn)網(wǎng)絡(luò)的安全保護。在邏輯上,防火墻是一個分離器,一個限制器,也是一 個分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和 Internet 之間的任何活動, 保證了內(nèi)部網(wǎng)絡(luò) 的安全。一個高效可靠的防火墻必須具有以下典型的特性: 1 從里到外和從外到里的所有通信都必須通過防火墻； 2 只有本地安全策略授權(quán)的通信才允許通過； 3 防火墻本身是免疫的,不會被穿透的。防火墻的基本功能有:過濾進出網(wǎng)絡(luò)的數(shù)據(jù)；管理進出網(wǎng)絡(luò)的訪問行為；封 堵某些禁止的業(yè)務(wù)； 記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊進行檢測 和報警

1.3 論文結(jié)構(gòu)

在論文中接下來的幾章里，將會有下列安排: 第二章，分析研究網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全面臨的主要威脅，影響網(wǎng)絡(luò)安 全的因素，及保護網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。第三章，介紹防火墻的相關(guān)技術(shù)，如防火墻的原理、功能、包過濾技術(shù)等。第四章，以 H3CH3C 的 F100 防火墻為例，介紹防火墻配置方法。第五章，系統(tǒng)闡述防火墻發(fā)展趨勢。5 計算機防火墻技術(shù)論文

第二章 網(wǎng)絡(luò)安全 2.1 網(wǎng)絡(luò)安全問題

安全，通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機制。我國對于 計算機安全的定義是：“計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護，不因偶然的 或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運行?！?從技術(shù)講，計算機安全分為 3 種： 1）實體的安全。它保證硬件和軟件本身的安全。2）運行環(huán)境的安全性。它保證計算機能在良好的環(huán)境里持續(xù)工作。3）信息的安全性。它保障信息不會被非法閱讀、修改和泄漏。隨著網(wǎng)絡(luò)的發(fā)展，計算機的安全問題也延伸到了計算機網(wǎng)絡(luò)。2.1.1 網(wǎng)絡(luò)安全面臨的主要威脅 一般認為，計算機網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自計算機病毒、黑客的攻擊和 拒絕服務(wù)攻擊三個方面。1）計算機病毒的侵襲。當(dāng)前，活性病毒達 14000 多種，計算機病毒侵入 網(wǎng)絡(luò)，對網(wǎng)絡(luò)資源進行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個網(wǎng)絡(luò)的癱瘓。2）黑客侵襲。即黑客非法進入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。例如通過隱蔽通 道進行非法活動；采用匿名用戶訪問進行攻擊；通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶賬號 和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。3）拒絕服務(wù)攻擊。例如“點在郵件炸彈”，它的表現(xiàn)形式是用戶在很短 的時間內(nèi)收到大量無用的電子郵件，從而影響正常業(yè)務(wù)的運行。嚴(yán)重時會使系統(tǒng) 關(guān)機，網(wǎng)絡(luò)癱瘓。具體講，網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權(quán)訪 問、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶??等。2.1.2 影響網(wǎng)絡(luò)安全的因素 1）單機安全 購買單機時，型號的選擇；計算機的運行環(huán)境（電壓、濕度、防塵條件、強電磁場以及自然災(zāi)害等）；計算機的操作??等等，這些都是影響單機安全性 的因素。2）網(wǎng)絡(luò)安全 影響網(wǎng)絡(luò)安全的因素有：節(jié)點的安全、數(shù)據(jù)的安全（保存和傳輸方面）、文件的安全等。6 計算機防火墻技術(shù)論文 2.2 網(wǎng)絡(luò)安全措施

網(wǎng)絡(luò)信息安全涉及方方面面的問題，是一個復(fù)雜的系統(tǒng)。一個完整的網(wǎng)絡(luò)

信息安全體系至少應(yīng)包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外 部軟環(huán)境。二是技術(shù)方面，如信息加密存儲傳輸、身份認證、防火墻技術(shù)、網(wǎng)絡(luò) 防毒等。三是管理措施，包括技術(shù)與社會措施。主要措施有：提供實時改變安全 策略的能力、實時監(jiān)控企業(yè)安全狀態(tài)、對現(xiàn)有的安全系統(tǒng)實施漏洞檢查等，以防 患于未然。這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全的保障，管理和審計是安全的防線。2.2.1 完善計算機安全立法 我國先后出臺的有關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。但目前，在這方面的立 法還遠不能適應(yīng)形勢發(fā)展的需要,應(yīng)該在對控制計算機犯罪的國內(nèi)外立法評價的 基礎(chǔ)上，完善我國計算機犯罪立法，以便為確保我國計算機信息網(wǎng)絡(luò)健康有序的 發(fā)展提供強有力的保障。2.2.2 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)(1)數(shù)據(jù)加密 加密就是把明文變成密文，從而使未被授權(quán)的人看不懂它。有兩種主要的 加密類型：私匙加密和公匙加密。(2)認證 對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用 認證機制還可以防止合法用戶訪問他們無權(quán)查看的信息。(3)防火墻技術(shù) 防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防 止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。目前，防火墻采取的技術(shù)，主要是包過濾、應(yīng) 用網(wǎng)關(guān)、子網(wǎng)屏蔽等。但是，防火墻技術(shù)在網(wǎng)絡(luò)安全防護方面也存在一些不足： 防火墻不能防止內(nèi)部攻擊防火墻不能取代殺毒軟件； 防火墻不易防止反彈端口木 馬攻擊等。(4)檢測系統(tǒng) 入侵檢測技術(shù)是網(wǎng)絡(luò)安全研究的一個熱點，是一種積極主動的安全防護技 術(shù)，提供了對內(nèi)部入侵、外部入侵和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之 前攔截相應(yīng)入侵。隨著時代的發(fā)展，入侵檢測技術(shù)將朝著三個方向發(fā)展:分布式入侵檢測、智 能化入侵檢測和全面的安全防御方案。7 計算機防火墻技術(shù)論文

(5)防病毒技術(shù) 隨著計算機技術(shù)的發(fā)展，計算機病毒變得越來越復(fù)雜和高級，計算機病毒 防范不僅僅是一個產(chǎn)品、一個策略或一個制度，它是一個匯集了硬件、軟件、網(wǎng) 絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。(6)文件系統(tǒng)安全 在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個關(guān)鍵性的概念，因為訪問控制實現(xiàn)在兩個 方面：本地和遠程。建立文件權(quán)限的時候，必須在 Windows 2000 中首先實行新 技術(shù)文件系統(tǒng)（New Technology File System，NTFS）。一旦實現(xiàn)了 NTFS，你 可以使用 Windows 資源管理器在文件和文件夾上設(shè)置用戶級別的權(quán)限。你需要了 解可以分配什么樣的權(quán)限，還有日?；顒悠陂g一些規(guī)則是處理權(quán)限的。Windows 2000 操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪問控制。2.3 制定合理的網(wǎng)絡(luò)管理措施

（1）加強網(wǎng)絡(luò)用戶及有關(guān)人員的安全意識、職業(yè)道德和事業(yè)心、責(zé)任心的

培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。（2）建立完善的安全管理體制和制度，以起到對管理人員和操作人員鼓勵 和監(jiān)督的作用。（3）管理措施要標(biāo)準(zhǔn)化、規(guī)范化和科學(xué)化。8 計算機防火墻技術(shù)論文

第三章

防火墻概述

隨著 Internet 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類 重要的、敏感的數(shù)據(jù)逐漸增多;同時由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng) 絡(luò)安全問題越來越突出。因此，保護網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播 感染顯得尤為重要。就目前而言，對于局部網(wǎng)絡(luò)的保護，防火墻仍然不失為一種 有效的手段，防火墻技術(shù)主要分為包過濾和應(yīng)用代理兩類。其中包過濾作為最早 發(fā)展起來的一種技術(shù)，其應(yīng)用非常廣泛。3.1 防火墻的概念

防火墻是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可 預(yù)測的、潛在破壞性的侵入。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部 網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或 網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服 務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻提供信息安全服務(wù)，是實現(xiàn)網(wǎng)絡(luò)和 信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個 分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的 安全。3.1.1 傳統(tǒng)防火墻介紹 目前的防火墻技術(shù)無論從技術(shù)上還是從產(chǎn)品發(fā)展歷程上，都經(jīng)歷了五個發(fā) 展歷程。圖 1 表示了防火墻技術(shù)的簡單發(fā)展歷史。

圖1 第一代防火墻 第 一 代 防 火 墻 技 術(shù) 幾 乎 與 路 由 器 同 時 出 現(xiàn)，采 用 了 包 過 濾（Packet filter）技術(shù)。二代、第三代防火墻 第二代、第三代防火墻 1989 年，貝爾實驗室的 Dave Presotto 和 Howard Trickey 推 9 計算機防火墻技術(shù)論文

出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻—— 應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。

第四代防火墻 1992 年，USC 信息科學(xué)院的 BobBraden 開發(fā)出了基于動態(tài)包過濾（Dynamic packet filter）技 術(shù) 的 第 四 代 防 火 墻，后 來 演 變 為 目 前 所 說 的 狀 態(tài) 監(jiān) 視（Stateful inspection）技術(shù)。1994 年，以色列的 CheckPoint 公司開發(fā)出了 第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻 1998 年，NAI 公司推出了一種自適應(yīng)代理（Adaptive proxy）技術(shù)，并在 其產(chǎn)品 Gauntlet Firewall for NT 中得以實現(xiàn)，給代理類型的防火墻賦予了全 新的意義，可以稱之為第五代防火墻。[5] [5] 但傳統(tǒng)的防火墻并沒有解決目前網(wǎng)絡(luò)中主要的安全問題。目前網(wǎng)絡(luò)安全的 三大主要問題是:以拒絕訪問(DDOS)為主要代表的網(wǎng)絡(luò)攻擊，以蠕蟲(Worm)為主 要代表的病毒傳播和以垃圾電子郵件(SPAM)為代表的內(nèi)容控制。這三大安全問題 占據(jù)網(wǎng)絡(luò)安全問題九成以上。而這三大問題，傳統(tǒng)防火墻都無能為力。主要有以 下三個原因: 一是傳統(tǒng)防火墻的計算能力的限制。傳統(tǒng)的防火墻是以高強度的檢查為代 價，檢查的強度越高，計算的代價越大。二是傳統(tǒng)防火墻的訪問控制機制是一個 簡單的過濾機制。它是一個簡單的條件過濾器，不具有智能功能，無法檢測復(fù)雜 的攻擊。三是傳統(tǒng)的防火墻無法區(qū)分識別善意和惡意的行為。該特征決定了傳統(tǒng) 的防火墻無法解決惡意的攻擊行為?，F(xiàn)在防火墻正在向分布、智能的方向發(fā)展，其中智能防火墻可以很好的解 決上面的問題。3.1.2 智能防火墻簡介 智能防火墻[6]是相對傳統(tǒng)的防火墻而言的，從技術(shù)特征上智能防火墻是利 用統(tǒng)計、記憶、概率和決策的智能方法來對數(shù)據(jù)進行識別，并達到訪問控制的目 的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特 征值，直接進行訪問控制。由于這些方法多是人工智能學(xué)科采用的方法，因此，又稱為智能防火墻。10 計算機防火墻技術(shù)論文 3.2 防火墻的功能

3.2.1 防火墻的主要功能 1．包過濾。包過濾是一種網(wǎng)絡(luò)的數(shù)據(jù)安全保護機制，它可用來控制流出和流入網(wǎng)絡(luò)的數(shù) 據(jù)，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設(shè)置可基于源地址、源端 口、目的地址、目的端口、協(xié)議和時間;可根據(jù)地址簿進行設(shè)置規(guī)則。2．地址轉(zhuǎn)換。網(wǎng)絡(luò)地址變換是將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的 IP 地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換 Source NAT(SNAT)和目的地址轉(zhuǎn)換 Destination NAT(DNAT)。SNAT 用于對內(nèi)部網(wǎng) 絡(luò)地址進行轉(zhuǎn)換，對外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來自外部其他網(wǎng) 絡(luò)的非授權(quán)訪問或惡意攻擊。并將有限的 IP 地址動態(tài)或靜態(tài)的與內(nèi)部 IP 地址對 應(yīng)起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本。DNAT 主要用于 外網(wǎng)主機訪問內(nèi)網(wǎng)主機。3．認證和應(yīng)用代理。認證指防火墻對訪問網(wǎng)絡(luò)者合法身分的確定。代理指防火墻內(nèi)置用戶認證數(shù) 據(jù)庫;提供 HTTP、FTP 和 SMTP 代理功能，并可對這三種協(xié)議進行訪問控制;同時 支持 URL 過濾功能。4．透明和路由 指防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提 供了對互聯(lián)網(wǎng)服務(wù)進行幾乎透明的訪問，同時阻止了外部未授權(quán)訪問者對專用網(wǎng) 絡(luò)的非法訪問;防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個子網(wǎng) 之間的安全訪問。3.2.2 入侵檢測功能 入侵檢測技術(shù)[7]就是一種主動保護自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技 術(shù)，包括以下內(nèi)容: 1.反端口掃描。端口掃描就是指黑客通過遠程端口掃描的工具，從中發(fā)現(xiàn)主 機的哪些非常用端口是打開的;是否支持 FTP、服務(wù);且 FTP 服務(wù)是否支持 Web “匿 名”，以及 IIS 版本，是否有可以被成功攻破的 IIS 漏洞，進而對內(nèi)部網(wǎng)絡(luò)的主 機進行攻擊。顧名思義反端口掃描就是防范端口掃描的方法，目前常用的方法有: 關(guān)閉閑置和有潛在危險的端口;檢查各端口，有端口掃描的癥狀時，立即屏蔽該 端口，多數(shù)防火墻設(shè)備采用的都是這種反端口掃描方式。2.檢測拒絕服務(wù)攻擊。拒絕服務(wù)(DoS)攻擊就是利用合理的服務(wù)請求來占用 過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)，其攻擊方式有很多種;11 計算機防火墻技術(shù)論文

而分布式的拒絕服務(wù)攻擊(DDoS)攻擊手段則是在傳統(tǒng)的 DoS 攻擊基礎(chǔ)之上產(chǎn)生 的一類攻擊方式，分布式的拒絕服務(wù)攻擊(DDoS)。其原理很簡單，就是利用更多 的受控主機同時發(fā)起進攻，以比 DoS 更大的規(guī)模(或者說以更高于受攻主機處理 能力的進攻能力)來進攻受害者?，F(xiàn)在的防火墻設(shè)備通常都可檢測 Synflod、Land、Ping of Death、TearDrop、ICMP flood 和 UDPflod 等多種 DOS/DDOS 攻 擊。3.檢 測 多 種 緩 沖 區(qū) 溢 出 攻 擊(Buffer Overflow)。緩 沖 區(qū) 溢 出(Buffer Overflow)攻擊指利用軟件的弱點將任意數(shù)據(jù)添加進某個程序中，造成緩沖區(qū)的 溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達到攻擊的目的。更 為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進而進行各 種非法操作，防火墻設(shè)備可檢測對 FTP、Telnet、SSH、RPC 和 SMTP 等服務(wù)的遠 程堆棧溢出入侵。4.檢測 CGI/IIS 服務(wù)器入侵。CGI 就是 Common Gateway Inter——face 的 簡稱。是 World Wide Web 主機和 CGI 程序間傳輸資訊的定義。IIS 就是 Internet Information server 的簡稱，也就是微軟的 Internet 信息服務(wù)器。防火墻設(shè)備 可檢測包括針對 Unicode、ASP 源碼泄漏、PHF、NPH、pfdisPlay.cgi 等已知上 百種的有安全隱患的 CGI/IIS 進行的探測和攻擊方式。5.檢測后門、木馬及其網(wǎng)絡(luò)蠕蟲。后門程序是指采用某種方法定義出一個 特殊的端口并依靠某種程序在機器啟動之前自動加載到內(nèi)存，強行控制機器打開 那個特殊的端口的程序。木馬程序的全稱是 “特洛依木馬” 它們是指尋找后門、，竊取計算機的密碼的一類程序。網(wǎng)絡(luò)蠕蟲病毒分為 2 類，一種是面向企業(yè)用戶和 局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動進行攻擊，可以對整個互聯(lián)網(wǎng)造成 癱瘓性的后果，以“紅色代碼”，“尼姆達”，以及最新的“sql 蠕蟲王”為代 表。另外一種是針對個人用戶的，通過網(wǎng)絡(luò)(主要是電子郵件，惡意網(wǎng)頁形式)迅速傳播的蠕蟲病毒，以愛蟲病毒，求職信病毒為例。防火墻設(shè)備可檢測試圖穿 透防火墻系統(tǒng)的木馬控制端和客戶端程序;檢測試圖穿透防火墻系統(tǒng)的蠕蟲程 序。3.2.3 虛擬專網(wǎng)功能 指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò) 中傳播。VPN 的基本原理是通過 IP 包的封裝及加密、認證等手段，從而達到安 全的目的。3.2.4 其他功能 1.IP 地址/MAC 地址綁定。可支持任一網(wǎng)絡(luò)接口的 IP 地址和 MAC 地址的綁 12 計算機防火墻技術(shù)論文

定，從而禁止用戶隨意修改 IP 地址。2.審計。要求對使用身份標(biāo)識和認證的機制，文件的創(chuàng)建，修改，系統(tǒng)管 理的所有操作以及其他有關(guān)安全事件進行記錄，以便系統(tǒng)管理員進行安全跟蹤。一般防火墻設(shè)備可以提供三種日志審計功能:系統(tǒng)管理日志、流量日志和入侵日 志。3.特殊站點封禁。內(nèi)置特殊站點數(shù)據(jù)庫，用戶可選擇是否封禁色情、反動 和暴力等特殊站點。3.3 防火墻的原理及分類

國際計算機安全委員會 ICSA 將防火墻分成三大類:包過濾防火墻，應(yīng)用級代

理服務(wù)器[8]以及狀態(tài)包檢測防火墻。3.3.1 包過濾防火墻 顧名思義，包過濾防火墻[9]就是把接收到的每個數(shù)據(jù)包同預(yù)先設(shè)定的包過 濾規(guī)則相比較，從而決定是否阻塞或通過。過濾規(guī)則是基于網(wǎng)絡(luò)層 IP 包包頭信 息的比較。包過濾防火墻工作在網(wǎng)絡(luò)層，IP 包的包頭中包含源、目的 IP 地址，封裝協(xié)議類型(TCP，UDP，ICMP 或 IP Tunnel)，TCP/UDP 端口號，ICMP 消息類型，TCP 包頭中的 ACK 等等。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包 按正常情況處理;如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包;如果沒有 匹配規(guī)則，則按缺省情況處理。包過濾防火墻是速度最快的防火墻，這是因為它 處于網(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就 可以實現(xiàn)，對用戶來說都是透明的。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng) 絡(luò)，使之遭受攻擊。例如，HTTP。通常是使用 80 端口。如果公司的安全策略允 許內(nèi)部員工訪問網(wǎng)站，包過濾防火墻可能設(shè)置允所有 80 端口的連接通過，這時，意識到這一漏洞的外部人員可以在沒有被認證的情況下進入私有網(wǎng)絡(luò)。包過濾防 火墻的維護比較困難，定義過濾規(guī)則也比較復(fù)雜，因為任何一條過濾規(guī)則的不完 善都會給網(wǎng)絡(luò)黑客造成可乘之機。同時，包過濾防火墻一般無法提供完善的日志。3.3.2 應(yīng)用級代理防火墻 應(yīng)用級代理技術(shù)通過在 OSI 的最高層檢查每一個 IP 包，從而實現(xiàn)安全策略。代理技術(shù)與包過濾技術(shù)完全不同，包過濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代 理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實現(xiàn)防火墻功能。它的代理功能，就是在防 火墻處終止客戶連接并初始化一個新的連接到受保護的內(nèi)部網(wǎng)絡(luò)。這一內(nèi)建代理 13 計算機防火墻技術(shù)論文

機制提供額外的安全，這是因為它將內(nèi)部和外部網(wǎng)絡(luò)隔離開來，使網(wǎng)絡(luò)外部的黑 客在防火墻內(nèi)部網(wǎng)絡(luò)上進行探測變得困難，更重要的是能夠讓網(wǎng)絡(luò)管理員對網(wǎng)絡(luò) 服務(wù)進行全面的控制。但是，這將花費更多的處理時間，并且由于代理防火墻支 持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。比如訪問 WEB 站點的 HTTP，用于文件傳輸?shù)?FTP，用于 E 一 MAIL 的 SMTP/POP3 等等。如 果某種應(yīng)用沒有安裝代理程序，那么該項服務(wù)就不被支持并且不能通過防火墻進 行轉(zhuǎn)發(fā);同時升級一種應(yīng)用時，相應(yīng)的代理程序也必須同時升級。3.3.3 代理服務(wù)型防火墻 代理服務(wù)(Proxy Service)也稱鏈路級網(wǎng)關(guān)或 TCP 通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類。它是針對數(shù)據(jù)包 過濾[10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，其特點是將所有跨越 防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應(yīng)用層的“鏈接”，由兩個終止代理服務(wù)器上的“鏈接”來實現(xiàn)，外部計算機的網(wǎng)絡(luò)鏈路只能到達代 理服務(wù)器，從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。此外，代理服務(wù)也對 過往的數(shù)據(jù)包進行分析、注冊登記，形成報告，同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng) 絡(luò)管理員發(fā)出警報，并保留攻擊痕跡。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔 離點，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時 也常結(jié)合入過濾器的功能。它工作在 OSI 模型的最高層，掌握著應(yīng)用系統(tǒng)中可用 作安全決策的全部信息。3.3.4 復(fù)合型防火墻 由于對更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法 結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機防 火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過濾路由器或防火墻與 Internet 相連，同時 一個堡壘機安裝在內(nèi)部網(wǎng)絡(luò)，通過在分組過濾器路由器或防火墻上過濾規(guī)則的設(shè) 置，使堡壘機成為 Internet 上其他節(jié)點所能到達的唯一節(jié)點，這確保了內(nèi)部網(wǎng) 絡(luò)不受未授權(quán)外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機放在一個子網(wǎng) 內(nèi)，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與 Internet 及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機和分組過濾 路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。

3.4 防火墻包過濾技術(shù)

隨著 Internet 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類 14 計算機防火墻技術(shù)論文

重要的、敏感的數(shù)據(jù)逐漸增多;同時由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng) 絡(luò)安全問題越來越突出。因此，保護網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播 感染顯得尤為重要。就目前而言，對于局部網(wǎng)絡(luò)的保護，防火墻仍然不失為一種 有效的手段，防火墻技術(shù)主要分為包過濾和應(yīng)用代理兩類。其中包過濾作為最早 發(fā)展起來的一種技術(shù)，其應(yīng)用非常廣泛。所謂包過濾，就是對流經(jīng)網(wǎng)絡(luò)防火墻的所有數(shù)據(jù)包逐個檢查，并依據(jù)所制定 的安全策略來決定數(shù)據(jù)包是通過還是不通過。包過濾最主要的優(yōu)點在于其速度與 透明性。也正是由于此。包過濾技術(shù)歷經(jīng)發(fā)展演變而未被淘汰。由于其主要是對數(shù)據(jù)包的過濾操作，所以數(shù)據(jù)包結(jié)構(gòu)是包過濾技術(shù)的基礎(chǔ)?？紤]包過濾技術(shù)的發(fā)展過程，可以認為包過濾的核心問題就是如何充分利用數(shù)據(jù) 包中各個字段的信息，并結(jié)合安全策略來完成防火墻的功能[11]-[15] 3.4.1 數(shù)據(jù)表結(jié)構(gòu) 當(dāng)應(yīng)用程序用 TCP 傳送數(shù)據(jù)時，數(shù)據(jù)被送入?yún)f(xié)議棧中，然后逐個通過每一層 直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。其中每一層對接收到的數(shù)據(jù)都要增加一些首部 信息。TCP 傳給 IP 的數(shù)據(jù)單元稱作 TCP 報文段(TCP Segment);IP 傳給網(wǎng)絡(luò)接口 層的數(shù)據(jù)單元稱作 IP 數(shù)據(jù)報(IP Datagram)；通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀(Frame)。對于進防火墻的數(shù)據(jù)包，順序正好與此相反，頭部信息逐層剝掉。IP，TCP 首部格式如表 2-1 表 2-2 所示。表 2-1 IP 首部格式 版本 首部長 服務(wù)類型 標(biāo)識 生存時間 協(xié)議 源 IP 地址 目的 IP 地址 選項 標(biāo)志 首部校驗和

總 長 度 片偏移

表 2-2 TCP 首部格式 源端口號 目的端口號 序列號 15 計算機防火墻技術(shù)論文

確認號 首 保 L 部 留 R 長 C T B L P R C B C J H T H TCP 校驗和 H J R 窗口大小

緊急指針 選項

對于幀的頭部信息主要是源/目的主機的 MAC 地址;IP 數(shù)據(jù)報頭部信息主要 是源/目的主機的 IP 地址;TCP 頭部的主要字段包括源/目的端口、發(fā)送及確認序 號、狀態(tài)標(biāo)識等。理論上講，數(shù)據(jù)包所有頭部信息以及有效載荷都可以作為判斷包通過與否的 依據(jù)，但是在實際情況中，包過濾技術(shù)上的問題主要是選取哪些字段信息，以及 如何有效地利用這些字段信息并結(jié)合訪問控制列表來執(zhí)行包過濾操作，并盡可能 提高安全控制力度。3.4.2 傳統(tǒng)包過濾技術(shù) 傳統(tǒng)包過濾技術(shù)，大多是在 IP 層實現(xiàn)，它只是簡單的對當(dāng)前正在通過的單 一數(shù)據(jù)包進行檢測，查看源/目的 IP 地址、端口號以及協(xié)議類型(UDP/TCP)等，結(jié)合訪問控制規(guī)則對數(shù)據(jù)包實施有選擇的通過。這種技術(shù)實現(xiàn)簡單，處理速度快，對應(yīng)用透明，但是它存在的問題也很多，主要表現(xiàn)有: 1.所有可能會用到的端口都必須靜態(tài)放開。若允許建立 HTTP 連接，就需 要開放 1024 以上所有端口，這無疑增加了被攻擊的可能性。2.不能對數(shù)據(jù)傳輸狀態(tài)進行判斷。如接收到一個 ACK 數(shù)據(jù)包，就認為這是 一個己建立的連接，這就導(dǎo)致許多安全隱患，一些惡意掃描和拒絕服務(wù)攻擊就是 利用了這個缺陷。3.無法過濾審核數(shù)據(jù)包上層的內(nèi)容。即使通過防火墻的數(shù)據(jù)包有攻擊性或 包含病毒代碼，也無法進行控制和阻斷。綜合上述問題，傳統(tǒng)包過濾技術(shù)的缺陷在于:(l)缺乏狀態(tài)檢測能力;(2)缺 乏應(yīng)用防御能力。(3)只對當(dāng)前正在通過的單一數(shù)據(jù)包進行檢測，而沒有考慮前 后數(shù)據(jù)包之間的聯(lián)系;(4)只檢查包頭信息，而沒有深入檢測數(shù)據(jù)包的有效載荷。傳統(tǒng)包過濾技術(shù)必須發(fā)展進化，在繼承其優(yōu)點的前提下，采用新的技術(shù)手 段，克服其缺陷，并進一步滿足新的安全應(yīng)用要求。從數(shù)據(jù)包結(jié)構(gòu)出發(fā)考慮，目 前包過濾技術(shù)向兩個方向發(fā)展:(l)橫向聯(lián)系。即在包檢測中考慮前后數(shù)據(jù)包之間 的關(guān)系，充分利用包頭信息中能體現(xiàn)此關(guān)系的字段，如 IP 首部的標(biāo)識字段和片 16 計算機防火墻技術(shù)論文

偏移字段、TCP 首部的發(fā)送及確認序號、滑動窗口的大小、狀態(tài)標(biāo)識等，動態(tài)執(zhí) 行數(shù)據(jù)包過濾。(2)縱向發(fā)展。深入檢測數(shù)據(jù)包有效載荷，識別并阻止病毒代碼 和基于高層協(xié)議的攻擊，以此來提高應(yīng)用防御能力。這兩種技術(shù)的發(fā)展并不是獨 立的，動態(tài)包過濾可以說是基于內(nèi)容檢測技術(shù)的基礎(chǔ)。實際上，在深度包檢測技 術(shù)中己經(jīng)體現(xiàn)了兩種技術(shù)的融合趨勢。3.4.3 動態(tài)包過濾 動態(tài)包過濾[16]又稱為基于狀態(tài)的數(shù)據(jù)包過濾，是在傳統(tǒng)包過濾技術(shù)基礎(chǔ) 之上發(fā)展起來的一項過濾技術(shù)，最早由 Checkpoint 提出。與傳統(tǒng)包過濾技術(shù)只檢查單個、孤立的數(shù)據(jù)包不同，動態(tài)包過濾試圖將數(shù) 據(jù)包的上下文聯(lián)系起來，建立一種基于狀態(tài)的包過濾機制。對于新建的應(yīng)用連接，防火墻檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下 該連接的相關(guān)信息，這些相關(guān)信息構(gòu)成一個狀態(tài)表。這樣，當(dāng)一個新的數(shù)據(jù)包到 達，如果屬于已經(jīng)建立的連接，則檢查狀態(tài)表，參考數(shù)據(jù)流上下文決定當(dāng)前數(shù)據(jù) 包通過與否;如果是新建連接，則檢查靜態(tài)規(guī)則表。動態(tài)包過濾通過在內(nèi)存中動態(tài)地建立和維護一個狀態(tài)表，數(shù)據(jù)包到達時，對該數(shù)據(jù)包的處理方式將綜合靜態(tài)安全規(guī)則和數(shù)據(jù)包所處的狀態(tài)進行。這種方法 的好處在于由于不需要對每個數(shù)據(jù)包進行規(guī)則檢查，而是一個連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過散列算法，直接進行狀態(tài)檢查，從而使性能得到了較 大提高;而且，由于狀態(tài)表是動態(tài)的，因而可以有選擇地、動態(tài)地開通 1024 號以 上的端口，使安全性得到進一步地提高。動態(tài)包過濾技術(shù)克服了傳統(tǒng)包過濾僅僅孤立的檢查單個數(shù)據(jù)包和安全規(guī)則 靜態(tài)不可變的缺陷，使得防火墻的安全控制力度更為細致。3.4.4 深度包檢測 目前許多造成大規(guī)模損害的網(wǎng)絡(luò)攻擊，比如紅色代碼和尼姆達，都是利用 了應(yīng)用的弱點。利用高層協(xié)議的攻擊和網(wǎng)絡(luò)病毒的頻繁出現(xiàn)，對防火墻提出了新 的要求。防火墻必須深入檢查數(shù)據(jù)包的內(nèi)部來確認出惡意行為并阻止它們。深度包檢測(Deep Packet Inspection)就是針對這種需求，深入檢測數(shù)據(jù) 包有效載荷，執(zhí)行基于應(yīng)用層的內(nèi)容過濾，以此提高系統(tǒng)應(yīng)用防御能力。應(yīng)用防御的技術(shù)問題主要包括:(l)需要對有效載荷知道得更清楚;(2)也需 要高速檢查它的能力。簡單的數(shù)據(jù)包內(nèi)容過濾對當(dāng)前正在通過的單一數(shù)據(jù)包的有效載荷進行掃描 檢測，但是對于應(yīng)用防御的要求而言，這是遠遠不夠的。如一段攻擊代碼被分割 到 10 個數(shù)據(jù)包中傳輸，那么這種簡單的對單一數(shù)據(jù)包的內(nèi)容檢測根本無法對攻 17 計算機防火墻技術(shù)論文

擊特征進行匹配: 要清楚地知道有效載荷，必須采取有效方法，將單個數(shù)據(jù)包重 新組合成完整的數(shù)據(jù)流。應(yīng)用層的內(nèi)容過濾要求大量的計算資源，很多情況下高 達 100 倍甚至更高。因而要執(zhí)行深度包檢測，帶來的問題必然是性能的下降，這 就是所謂的內(nèi)容處理障礙。為了突破內(nèi)容處理障礙，達到實時地分析網(wǎng)絡(luò)內(nèi)容和 行為，需要重點在加速上采取有效的辦法。通過采用硬件芯片和更加優(yōu)化的算法，可以解決這個問題。一個深度包檢測的流程框圖如圖 3.1 所示。

圖 3.1 深度包檢測框圖 在接收到網(wǎng)絡(luò)流量后，將需要進行內(nèi)容掃描的數(shù)據(jù)流定向到 TCP/IP 堆棧，其他數(shù)據(jù)流直接定向到狀態(tài)檢測引擎，按基本檢測方式進行處理。定向到 TCP/IP 堆棧的數(shù)據(jù)流，首先轉(zhuǎn)換成內(nèi)容數(shù)據(jù)流。服務(wù)分析器根據(jù)數(shù)據(jù)流服務(wù)類型分離內(nèi) 容數(shù)據(jù)流，傳送數(shù)據(jù)流到一個命令解析器中。命令解析器定制和分析每一個內(nèi)容 協(xié)議，分析內(nèi)容數(shù)據(jù)流，檢測病毒和蠕蟲。如果檢測到信息流是一個 HTTP 數(shù)據(jù) 流，則命令解析器檢查上載和下載的文件;如果數(shù)據(jù)是 Mail 類型，則檢查郵件的 附件。如果數(shù)據(jù)流包含附件或上載/下載文件，附件和文件將傳輸?shù)讲《緬呙枰?擎，所有其他內(nèi)容傳輸?shù)絻?nèi)容過濾引擎。如果內(nèi)容過濾啟動，數(shù)據(jù)流將根據(jù)過濾 的設(shè)置進行匹配，通過或拒絕數(shù)據(jù)。3.4.5 流過濾技術(shù) 流過濾是東軟集團提出的一種新型防火墻技術(shù)架構(gòu)，它融基于狀態(tài)的包過 濾技術(shù)與基于內(nèi)容的深度包檢測技術(shù)為一體，提供了一個較好的應(yīng)用防御解決方 案，它以狀態(tài)監(jiān)測技術(shù)為基礎(chǔ)，但在此基礎(chǔ)上進行了改進其基本的原理是:以狀 態(tài)包過濾的形態(tài)實現(xiàn)應(yīng)用層的保護能力:通過內(nèi)嵌的專門實現(xiàn)的 TCP/IP 協(xié)議棧，實現(xiàn)了透明的應(yīng)用信息過濾機制。18 計算機防火墻技術(shù)論文

流過濾技術(shù)[17]的關(guān)鍵在于其架構(gòu)中的專用 TCP/IP 協(xié)議棧:這個協(xié)議棧是 一個標(biāo)準(zhǔn)的 TCP 協(xié)議的實現(xiàn)，依據(jù) TCP 協(xié)議的定義對出入防火墻的數(shù)據(jù)包進行了，完整的重組，重組后的數(shù)據(jù)流交給應(yīng)用層過濾邏輯進行過濾，從而可以有效地識 別并攔截應(yīng)用層的攻擊企圖。在這種機制下，從防火墻外部看，仍然是包過濾的形態(tài)，工作在鏈路層或 IP 層，在規(guī)則允許下，兩端可以直接訪問，但是任何一個被規(guī)則允許的訪問在 防火墻內(nèi)部都存在兩個完全獨立的 TCP 會話，數(shù)據(jù)以“流”的方式從一個會話流 向另一個會話。由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時候代 替服務(wù)器或客戶端參與應(yīng)用層的會話，從而起到了與應(yīng)用代理防火墻相同的控制 能力。如在對 SMTP 協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實現(xiàn)完全的對 郵件的存儲轉(zhuǎn)發(fā)，并實現(xiàn)豐富的對 SMTP 協(xié)議的各種攻擊的防范功能一流過濾的 示意圖如圖 3.2 所示。

圖 3.2 流過濾示意圖 19 計算機防火墻技術(shù)論文

第四章

4.1 硬件連接與實施

防火墻的配置

一般來說硬件防火墻和路由交換設(shè)備一樣具備多個以太接口，速度根據(jù)檔次 與價格不同而在百兆與千兆之間有所區(qū)別。(如圖 4.1)圖 4.1 對于中小企業(yè)來說一般出口帶寬都在 100M 以內(nèi)，所以我們選擇 100M 相關(guān)產(chǎn) 品即可。網(wǎng)絡(luò)拓撲圖中防火墻的位置很關(guān)鍵，一般介于內(nèi)網(wǎng)與外網(wǎng)互連中間區(qū)域，針對外網(wǎng)訪問數(shù)據(jù)進行過濾和監(jiān)控。如果防火墻上有 WAN 接口，那么直接將 WAN 接口連接外網(wǎng)即可，如果所有接 口都標(biāo)記為 LAN 接口，那么按照常規(guī)標(biāo)準(zhǔn)選擇最后一個 LAN 接口作為外網(wǎng)連接端 口。相應(yīng)的其他 LAN 接口連接內(nèi)網(wǎng)各個網(wǎng)絡(luò)設(shè)備。4.2 防火墻的特色配置

從外觀上看防火墻和傳統(tǒng)的路由器交換機沒有太大的差別，一部分防火墻

具備 CONSOLE 接口通過超級終端的方式初始化配置，而另外一部分則直接通過默 認的 LAN 接口和管理地址訪問進行配置。與路由器交換機不同的是在防火墻配置中我們需要劃分多個不同權(quán)限不同 優(yōu)先級別的區(qū)域，另外還需要針對相應(yīng)接口隸屬的區(qū)域進行配置，例如 1 接口劃 分到 A 區(qū)域，2 接口劃分到 B 區(qū)域等等，通過不同區(qū)域的訪問權(quán)限差別來實現(xiàn)防 火墻保護功能。默認情況下防火墻會自動建立 trust 信任區(qū)，untrust 非信任區(qū)，DMZ 堡壘主機區(qū)以及 LOCAL 本地區(qū)域。相應(yīng)的本地區(qū)域優(yōu)先級最高，其次是 trust 信任區(qū)，DMZ 堡壘主機區(qū)，最低的是 untrust 非信任區(qū)域。20 計算機防火墻技術(shù)論文 在實際設(shè)置時我們必須將端口劃分到某區(qū)域后才能對其進行各個訪問操 作，否則默認將阻止對該接口的任何數(shù)據(jù)通訊。除此之外防火墻的其他相關(guān)配置與路由交換設(shè)備差不多，無外乎通過超級 終端下的命令行參數(shù)進行配置或者通過 WEB 管理界面配置。4.3 軟件的配置與實施

以 H3C 的 F100 防火墻為例，當(dāng)企業(yè)外網(wǎng) IP 地址固定并通過光纖連接的具體

配置。首先當(dāng)企業(yè)外網(wǎng)出口指定 IP 時配置防火墻參數(shù)。選擇接口四連接外網(wǎng)，接 口 一 連 接 內(nèi) 網(wǎng)。這 里 假 設(shè) 電 信 提 供 的 外 網(wǎng) IP 地 址 為 202.10.1.194 255.255.255.0。第一步：通過 CONSOLE 接口以及本機的超級終端連接 F100 防火墻，執(zhí)行 system 命令進入配置模式。第二步：通過 firewall packet default permit 設(shè)置默認的防火墻策略為 “容許通過”。第三步：進入接口四設(shè)置其 IP 地址為 202.10.1.194，命令為 int e0/4 ip add 202.10.1.194 255.255.255.0 第四步：進入接口一設(shè)置其 IP 地址為內(nèi)網(wǎng)地址，例如 192.168.1.1 255.255.255.0，命令為 int e0/1 ip add 192.168.1.1 255.255.255.0 第五步： 將兩個接口加入到不同的區(qū)域，外網(wǎng)接口配置到非信任區(qū) untrust，內(nèi)網(wǎng)接口加入到信任區(qū) trust—— fire zone untrust add int e0/4 fire zone trust add int e0/1 第六步：由于防火墻運行基本是通過 NAT 來實現(xiàn)，各個保護工作也是基于此 功能實現(xiàn)的，所以還需要針對防火墻的 NAT 信息進行設(shè)置，首先添加一個訪問控 制列表—— acl num 2000 21 計算機防火墻技術(shù)論文

rule per source 192.168.0.0 0.0.255.255 rule deny 第七步：接下來將這個訪問控制列表應(yīng)用到外網(wǎng)接口通過啟用 NAT—— int e0/4 nat outbound 2000 第八步：最后添加路由信息，設(shè)置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或 外網(wǎng)電信下一跳地址—— ip route-static 0.0.0.0 0.0.0.0 202.10.1.193(如圖 2)執(zhí)行 save 命令保存退出后就可以在企業(yè)外網(wǎng)出口指定 IP 時實現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā) 以及安全保護功能了。22 計算機防火墻技術(shù)論文

第五章

防火墻發(fā)展趨勢

針對傳統(tǒng)防火墻不能解決的問題，及新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也 出現(xiàn)了新的發(fā)展趨勢。主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管 理三方面來體現(xiàn)。5.1 防火墻包過濾技術(shù)發(fā)展趨勢

(1)安全策略功能 一些防火墻廠商把在 AAA 系統(tǒng)上運用的用戶認證及其服務(wù)擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡(luò)應(yīng)用中非常 必要。具有用戶身份驗證的防火墻通常是采用應(yīng)用級網(wǎng)關(guān)技術(shù)的，包過濾技術(shù)的 防火墻不具有。用戶身份驗證功能越強，它的安全級別越高，但它給網(wǎng)絡(luò)通信帶 來的負面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗 證。(2)多級過濾技術(shù) 所謂多級過濾技術(shù)，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分 組過濾(網(wǎng)絡(luò)層)一級，過濾掉所有的源路由分組和假冒的 IP 源地址；在傳輸層 一級，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如 nuke 包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級，能利用 FTP、SMTP 等各種網(wǎng)關(guān)，控 制和監(jiān)測 Internet 提供的所用通用服務(wù)。這是針對以上各種已有防火墻技術(shù)的 不足而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補以上各種單獨過濾技術(shù)的不足。這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對應(yīng)于不同的網(wǎng)絡(luò)層，從這 個概念出發(fā)，又有很多內(nèi)容可以擴展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。(3)功能擴展 功能擴展是指一種集成多種功能的設(shè)計趨勢，包括 VPN、AAA、PKI、IPSec 等附加功能，甚至防病毒、入侵檢測這樣的主流功能，都被集成到防火墻產(chǎn)品中 了，很多時候我們已經(jīng)無法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個功 能為主了，即其已經(jīng)逐漸向我們普遍稱之為 IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。23 計算機防火墻技術(shù)論文

有些防火墻集成了防病毒功能，通常被稱之為“病毒防火墻”，當(dāng)然目前主要還 是在個人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)。這種防火墻技術(shù)可 以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護 功能的防火墻可以大大減少公司的損失。5.2 防火墻的體系結(jié)構(gòu)發(fā)展趨勢

隨著網(wǎng)絡(luò)應(yīng)用的增加，對網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要

能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會越來越普 遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防 火墻制造商開發(fā)了基于 ASIC 的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度 的角度看來，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大 程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面 任務(wù)的引擎，從而減輕了 CPU 的負擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能 好許多。與基于 ASIC 的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性?；?ASIC 的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比 起前兩種類型的防火墻具有更好的性能。但是純硬件的 ASIC 防火墻缺乏可編程 性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方 案是增加 ASIC 芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以 同時滿足來自靈活性和運行性能的要求。5.3 防火墻的系統(tǒng)管理發(fā)展趨勢

(1)集中式管理，分布式和分層的安全結(jié)構(gòu)。(2)強大的審計功能和自動日志分析功能。(3)網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化 縱觀防火墻技術(shù)的發(fā)展，黑客入侵系統(tǒng)技術(shù)的不斷進步以及網(wǎng)絡(luò)病毒朝智

能化和多樣化發(fā)展，對防火墻技術(shù)的同步發(fā)展提出了更高的要求。防火墻技術(shù)只 有不斷向主動型和智能型等方向發(fā)展，才能更好的滿足人們對防火墻技術(shù)日益增 長的需求。24 計算機防火墻技術(shù)論文

結(jié)論

隨著 Internet 和 Intranet 技術(shù)的發(fā)展,網(wǎng)絡(luò)的安全已經(jīng)顯得越來越重要, 網(wǎng)絡(luò)病毒對企業(yè)造成的危害已經(jīng)相當(dāng)廣泛和嚴(yán)重, 其中也會涉及到是否構(gòu)成犯 罪行為的問題，相應(yīng)的病毒防范技術(shù)也發(fā)展到了網(wǎng)絡(luò)層面,并且愈來愈有與黑客 技術(shù)和漏洞相結(jié)合的趨勢。新型防火墻技術(shù)產(chǎn)生,就是為了解決來自企業(yè)網(wǎng)絡(luò)內(nèi) 和外的攻擊;克服傳統(tǒng)“邊界防火墻”的缺點,集成了 IDS、VPN 和防病毒等安 全技術(shù),實現(xiàn)從網(wǎng)絡(luò)到服務(wù)器以及客戶端全方位的安全解決方案,滿足企業(yè)實際 應(yīng)用和發(fā)展的安全要求。防火墻目的在于為用戶提供信息的保密，認證和完整性保護機制，使網(wǎng)絡(luò)中 的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。本論文從防火墻方面解決網(wǎng)絡(luò)安全問題，對網(wǎng)絡(luò)安全技術(shù)的有深刻的了解。25 計算機防火墻技術(shù)論文

參考文獻

[1] 王艷.淺析計算機安全[J].電腦知識與技術(shù).2010，(s):1054 一 1055.[2] 艾軍.防火墻體系結(jié)構(gòu)及功能分析[J].電腦知識與技術(shù).2004，(s):79 一 82.[3] 高峰.許南山.防火墻包過濾規(guī)則問題的研究[M].計算機應(yīng)用.2003，23(6):311 一 312.[4] 孟濤、楊磊.防火墻和安全審計[M].計算機安全.2004，(4):17 一 18.[5] 鄭林.防火墻原理入門[Z].E 企業(yè).2000.[6] 魏利華.防火墻技術(shù)及其性能研究.能源研究與信息.2004，20(l):57 一 62 [7] 李劍，劉美華，曹元大.分布式防火墻系統(tǒng).安全與環(huán)境學(xué)報.2002，2(l):59 一 61 [8] 王衛(wèi)平，陳文惠，朱衛(wèi)未.防火墻技術(shù)分析.信息安全與通信保密.2006，(8):24 一 27 [9] A.Feldman, S.Muthukrishnan.Tradeoffs for Packet ClassifiCation.Proc.Of the 9 th Annual Joint Conference of the IEEE Computer and Communieations Soeieties.2000,vo1.3, 1193-1202.[10] ]王永綱，石江濤，戴雪龍，顏天信.網(wǎng)絡(luò)包分類算法仿真測試與比較研究.中國科學(xué)技 術(shù)大學(xué)學(xué)報.2004，34(4):400 一 409 [11] 邵華鋼，楊明福.基于空間分解技術(shù)的多維數(shù)據(jù)包分類.計算機工程.2003，29(12):123 一 124 [12] 付歌，楊明福.一個快速的二維數(shù)據(jù)包分類算法.計算機工程.2004，30(6):76 一 78 [13] 付 歌，楊 明 福，王 興 軍.基 于 空 間 分 解 的 數(shù) 據(jù) 包 分 類 技 術(shù).計 算 機 工 程 與 應(yīng) 用.2004(8):63 一 65 [14] 〕韓曉非，王學(xué)光，楊明福.位并行數(shù)據(jù)包分類算法研究.華東理工大學(xué)學(xué)報.2003，29(5):504 一 508 [15] 韓曉非，楊明福，王學(xué)光.基于元組空間的位并行包分類算法.計算機工程與應(yīng)用.2003，(29):188 一 192 [16] 馮東雷，張勇，白英彩.一種高性能包分類漸增式更新算法.計算機研究與發(fā)展.2003，40(3):387 一 392 [17] 余勝生，張寧，周敬利，胡熠峰.一種用于大規(guī)模規(guī)則庫的快速包分類算法.計算機工 程.2004，30(7):49 一 51 26 計算機防火墻技術(shù)論文

致謝

本文是在李老師的悉心指導(dǎo)卜完成的，從文獻的查閱、論文的選題、撰寫、修改、定稿，我的每一個進步都和李老師的關(guān)注與指導(dǎo)密不可分。李老師在研究 方向、資料的收集、論文的選題、研究工作作的開展以及論文的最終定稿，給子 我巨大、無私的幫助。論文的字里行間無不凝結(jié)著老師的悉心指導(dǎo)和浮淳教海，老師淵博的學(xué)識和嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度給我留下了深刻的印象，我從他那里學(xué)到的不 僅僅是專業(yè)知識，更重要的是嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度、對事業(yè)忘我的追求、高度的使命 感、責(zé)任感及和藹熱情的品質(zhì)和做人的道理，這些將使我受益一生，并將激勵我 不斷向前奮進。還 有 就 是 在 這 次 的 實習(xí)中 更要對和我一起并肩戰(zhàn)斗的其他幾位小組成 員說一聲辛苦了，我們有了今天的成績是我們不懈與團結(jié)。讓我們共同努力創(chuàng)造 更好的明天。在此過程中我們互相幫助，勉勵是我們能完成這次任務(wù)的最大動力，也是我們之間最大的收獲，最好的精神財富，愿我們還會有更好的合作！經(jīng) 過 了 這 次 的 實習(xí)也 意 味 著 我 學(xué)習(xí)生 涯 的 結(jié) 束。在 TOP 的 三 年 時 間 轉(zhuǎn) 瞬 即 逝，借 此 機 會 我 要 感 謝 兩年來傳授我知識的老師們，更要感謝所 有對我學(xué)業(yè)、生活上的支持和鼓勵，感謝所有關(guān)心幫助過我的人。27

第三篇：畢業(yè)論文(防火墻的技術(shù)與應(yīng)用)

* * * * 學(xué)院

畢業(yè)論文

課題名稱： 防火墻的技術(shù)與應(yīng)用 作 者： 學(xué) 號： 系 別： 電子工程系 專 業(yè)： 指導(dǎo)教師：

20**年**月**日

中文摘要

防火墻的技術(shù)與應(yīng)用

摘要

計算機網(wǎng)絡(luò)安全已成為當(dāng)今信息時代的關(guān)鍵技術(shù)。當(dāng)前網(wǎng)絡(luò)安全問題存在著計算機病毒，計算機黑客攻擊等問題。網(wǎng)絡(luò)安全問題有其先天的脆弱性，黑客攻擊的嚴(yán)重性，網(wǎng)絡(luò)殺手集團性和破壞手段的多無性，解決網(wǎng)絡(luò)安全問題重要手段就是防火墻技術(shù)。走在中國特色的防火墻技術(shù)發(fā)展之路,是確保我國網(wǎng)絡(luò)安全的有效途徑。防火墻技術(shù)的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。本文重點介紹防火墻技術(shù)的基本概念和系統(tǒng)結(jié)構(gòu)，討論了實現(xiàn)防火墻的兩種主要技術(shù)手段：一種是基于分組過濾技術(shù)(Packet filtering)，它的代表是在篩選路由器上實現(xiàn)的防火墻功能；一種是基于代理技術(shù)(Proxy)，它的代表是在應(yīng)用層網(wǎng)關(guān)上實現(xiàn)的防火墻功能。

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；技術(shù)；功能

I 鄭州電子信息職業(yè)技術(shù)學(xué)院2011屆畢業(yè)論文

目 錄

中文摘要.................................................................I 1 引言..................................................................1 2 網(wǎng)絡(luò)安全概述..........................................................1 3 協(xié)議安全分析..........................................................2 3.1 物理層安全........................................................2 3.2 網(wǎng)絡(luò)層安全........................................................2 3.3 傳輸層安全........................................................3 4 網(wǎng)絡(luò)安全組件..........................................................3 4.1 防火墻............................................................3 4.2 掃描器............................................................3 4.3 防毒軟件..........................................................3 4.4 安全審計系統(tǒng)......................................................3 4.5 IDS...............................................................4 5 網(wǎng)絡(luò)安全的看法........................................................4 5.1 隱藏IP地址有兩種方法.............................................5 5.2 更換管理及賬戶....................................................5 6 防火墻概述............................................................5 6.1 防火墻定義........................................................5 6.2 防火墻的功能......................................................5 6.3 防火墻技術(shù)........................................................6 6.4 防火墻系統(tǒng)的優(yōu)點..................................................7 6.5 防火墻系統(tǒng)的局限性................................................7 7 結(jié)論..................................................................8 參考文獻.................................................................9 致 謝..................................................................10 鄭州電子信息職業(yè)技術(shù)學(xué)院2011屆畢業(yè)論文 引言

隨著網(wǎng)絡(luò)技術(shù)的普遍推廣，電子商務(wù)的開展，實施和應(yīng)用網(wǎng)絡(luò)安全已經(jīng)不再僅僅為科學(xué)研究人員和少數(shù)黑客所涉足，日益龐大的網(wǎng)絡(luò)用戶群同樣需要掌握網(wǎng)絡(luò)安全知識。由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計上對安全問題的忽視，以及在管理和使用上的無政府狀態(tài)，逐漸使Internet自身安全受到嚴(yán)重威脅，與它有關(guān)的安全事故屢次發(fā)生，一些黑客把先進的計算機網(wǎng)絡(luò)技術(shù)，當(dāng)成一種犯罪工具，不僅影響了網(wǎng)絡(luò)的穩(wěn)定運行和用戶的正常使用,造成許多經(jīng)濟損失,而且還會威脅到國家的安全，一些國家的機密被黑客破壞造成網(wǎng)絡(luò)癱瘓。如何更有效地保護重要信息數(shù)據(jù)，提高計算機網(wǎng)絡(luò)的安全性已經(jīng)成為世界各國共同關(guān)注的話題，防火墻可以提供增強網(wǎng)絡(luò)的安全性，是當(dāng)今網(wǎng)絡(luò)系統(tǒng)最基礎(chǔ)設(shè)施，側(cè)重干網(wǎng)絡(luò)層安全，對于從事網(wǎng)絡(luò)建設(shè)與管理工作而言，充分發(fā)揮防火墻的安全防護功能和網(wǎng)絡(luò)管理功能至關(guān)重要。網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到了保護，不因偶然的或惡意的原因而遭受到破壞、更改、泄露、系統(tǒng)正常地運行網(wǎng)絡(luò)服務(wù)不中斷，網(wǎng)絡(luò)安全的定義從保護角度來看，是指計算機及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，從廣義上來說，凡是涉及到計算機網(wǎng)絡(luò)上信息的機密性，完整性、可用性、可控性、可審查性的相關(guān)技術(shù)和理論都是計算機網(wǎng)絡(luò)安全的研究領(lǐng)域。

網(wǎng)絡(luò)安全的具體含義會隨著“角度”的變化而變化，比如：從個人的角度來說，凡是涉及到個人隱私的信息在網(wǎng)絡(luò)上傳輸時受到機密性完整性和真實性的保護避免其他人利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。

網(wǎng)絡(luò)安全應(yīng)具有以下五個方面的特征：機密性：確保信息不暴露給未授權(quán)的實體或進程。完整性：只有得到授權(quán)的實體才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改?？捎眯裕旱玫绞跈?quán)的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作?？煽匦裕嚎梢钥刂剖跈?quán)范圍內(nèi)的信息流向及行為方式?？蓪彶樾裕簩Τ霈F(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。

從管理者角度說網(wǎng)絡(luò)信息的訪問讀寫操作受到保護和控制避免病毒侵入，非法存取、非法占用、非法控制等威脅，防止網(wǎng)絡(luò)黑客的攻擊，對安全保密部門來說，對于非 鄭州電子信息職業(yè)技術(shù)學(xué)院2011屆畢業(yè)論文

法的有害的或涉及國家機密的信息進行過濾和防止，對社會造成危害，對國家造成巨大損失的機要信息的泄漏進行防止，做到杜絕。

現(xiàn)在全球普遍存在缺乏網(wǎng)絡(luò)安全的重要性，這導(dǎo)致大多數(shù)網(wǎng)絡(luò)存在著先天性的安全漏洞和安全威脅，使用TCP/IP協(xié)議的網(wǎng)絡(luò)所提供的網(wǎng)絡(luò)服務(wù)都包含許多不安全的因素，存在著一些漏洞網(wǎng)絡(luò)的普及使信息共享達到了一個新的層次，信息被暴露的機會大大增多，特別是Internet網(wǎng)絡(luò)就是一個不設(shè)防的開放大系統(tǒng)，近年來，計算機犯罪案件也急劇上升，計算機犯罪是商業(yè)犯罪中最大的犯罪類型之一，每年計算機犯罪造成的經(jīng)濟損失高達50億美元，在信息安全的發(fā)展過程中企業(yè)和政府的的要求有一致的地方，也不有一致的地方，企業(yè)注重于信息和網(wǎng)絡(luò)安全的可靠性，政府注重于信息和網(wǎng)絡(luò)安全的可管性和可控性，在發(fā)展中國家，對信息安全的投入還滿足不了信息安全的需求，同時投入也常常被挪用和借用。協(xié)議安全分析

3.1 物理層安全

物理層安全威脅主要指網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用而造成的網(wǎng)絡(luò)系統(tǒng)的不可用，如：設(shè)備老化、設(shè)備被盜、意外故障，設(shè)備損毀等。由于以太局域網(wǎng)中采用廣播方式，因此在某個廣播域中利用嗅探器可以在設(shè)定的偵聽端口偵聽到所有的信息包，并且對信息包進分析，那么本廣播域的信息傳遞都會暴露無遺，所以需將兩個網(wǎng)絡(luò)從物理上隔斷同時保證在邏輯上兩個網(wǎng)絡(luò)能夠連通。3.2 網(wǎng)絡(luò)層安全

網(wǎng)絡(luò)層的安全威脅主要有兩類：IP欺騙和ICMP攻擊。IP欺騙技術(shù)的一種實現(xiàn)方法是把源IP地址改成一個錯誤的IP地址，而接收主機不能判斷源IP地址的正確性，由此形成欺騙，另外一種方法是利用源路由IP數(shù)據(jù)包讓它僅僅被用于一個特殊的路徑中傳輸，這種數(shù)據(jù)包被用于攻擊防火墻。

ICMP在IP層檢查錯誤和其他條件。ICMP信息、對于判斷網(wǎng)絡(luò)狀況非常有用，例如：當(dāng)PING一臺主機想看它是否運去時，就產(chǎn)生了一條ICMP信息。遠程主機將用它自己的ICMP信息對PING請求作出回應(yīng)，這種過程在網(wǎng)絡(luò)中普遍存在。然而，ICMP信息能夠被用于攻擊遠程網(wǎng)絡(luò)或主機，利用ICMP來消耗帶寬從而有效地摧毀站點。

鄭州電子信息職業(yè)技術(shù)學(xué)院2011屆畢業(yè)論文

3.3 傳輸層安全

具體的傳輸層安全措施要取決于具體的協(xié)議，傳輸層安全協(xié)議在TCP的頂部提供了如身份驗證，完整性檢驗以及機密性保證這樣的安全服務(wù)，傳輸層安全需要為一個連接維持相應(yīng)的場景，它是基于可靠的傳輸協(xié)議TCP的。由于安全機制與特定的傳輸協(xié)議有關(guān)所以像密鑰管理這樣的安全服務(wù)可為每種傳輸協(xié)議重復(fù)使用?，F(xiàn)在，應(yīng)用層安全已被分解成網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫的安全，由于應(yīng)用系統(tǒng)復(fù)雜多樣不存在一種安全技術(shù)能夠完全解決一些特殊應(yīng)用系統(tǒng)的安全問題。網(wǎng)絡(luò)安全組件

網(wǎng)絡(luò)的整體安全是由安全操作系統(tǒng)、應(yīng)用系統(tǒng)、防火墻、網(wǎng)絡(luò)監(jiān)控安全掃描、信息審計、通信加密、災(zāi)難恢復(fù)、網(wǎng)絡(luò)反病毒等多個安全組件共同組成的，每一個單獨的組件只能完成其中部分功能，而不能完成全部功能。4.1 防火墻

防火墻是指在兩個網(wǎng)絡(luò)之間加強訪問控制的一整套裝置，是軟件和硬件的組合體，通常被比喻為網(wǎng)絡(luò)安全的大門，在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)造一個保護層，用來鑒別什么樣的數(shù)據(jù)包可以進出企業(yè)內(nèi)部網(wǎng)。防火墻可以阻止基于IP包頭的攻擊和非信任地址的訪問，但無法阻止基于數(shù)據(jù)內(nèi)容的黑客攻擊和病毒入侵，同時也無法控制內(nèi)部網(wǎng)絡(luò)之間的攻擊行為。4.2 掃描器

掃描器是一種自動檢測遠程或本地主機安全性弱點的程序，通過使用掃描器可以自動發(fā)現(xiàn)系統(tǒng)的安全缺陷，掃描器可以分為主機掃描器和網(wǎng)絡(luò)掃描器，但是掃描器無法發(fā)現(xiàn)正在進行的入侵行為，而且它也可以被攻擊者加以利用。4.3 防毒軟件

防毒軟件可以實時檢測，清除各種已知病毒，具有一定的對未知病毒的預(yù)測能力利用代碼分析等手段能夠檢查出最新病毒。在應(yīng)用對網(wǎng)絡(luò)入侵方面，它可以查殺特洛伊木馬和蠕蟲等病毒程序，但不能有效阻止基于網(wǎng)絡(luò)的攻擊行為。4.4 安全審計系統(tǒng)

安全審計系統(tǒng)對網(wǎng)絡(luò)行為和主機操作提供全面詳實的記錄，其目的是測試安全策略是否完善，證實安全策略的一致性，方便用戶分析與審查事故原因，協(xié)助攻擊的分析收 鄭州電子信息職業(yè)技術(shù)學(xué)院2011屆畢業(yè)論文

集證據(jù)以用于起訴攻擊者。4.5 IDS 由于防火墻所暴露出來的不足，引發(fā)人們對IDS（入侵檢測系統(tǒng)）技術(shù)的研究和開發(fā)。它被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊，外部攻擊和誤操作的實時保護。

IDS的主要功能：監(jiān)控、分析用戶和系統(tǒng)的活動。核查系統(tǒng)配置和漏洞。評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性。識別攻擊的活動模式，并向網(wǎng)管人員報警。對異?；顒拥慕y(tǒng)計分析。操作系統(tǒng)審計跟蹤管理，識別違反政策的用戶活動。評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。

IDS可分為主機型和網(wǎng)絡(luò)型兩種：主機型入侵檢測系統(tǒng)，主要用于保護運行關(guān)鍵應(yīng)用的服務(wù)器，它通過監(jiān)視與分析主機的審計記錄和日志文件來檢測入侵。網(wǎng)絡(luò)型入侵檢測系統(tǒng)主要用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑信息，它通過偵聽網(wǎng)絡(luò)上的所有分組來采集數(shù)據(jù)、分析可疑現(xiàn)象。網(wǎng)絡(luò)入侵檢測系統(tǒng)通常利用一個運行在混雜模式下的網(wǎng)絡(luò)適配器來實時監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。

由于每個網(wǎng)絡(luò)安全組件自身的限制，不可能把入侵檢測和防護做到一應(yīng)俱全所以不能指望通過使用某一種網(wǎng)絡(luò)安全產(chǎn)品實現(xiàn)絕對的安全，只有根據(jù)具體的網(wǎng)絡(luò)環(huán)境，有機整合這些網(wǎng)絡(luò)安全組件才能最大限度地滿足用戶的安全需求，在這個通信發(fā)達的時代，網(wǎng)絡(luò)安全組件是不可缺少的，用戶的安全要得到保障那就使用網(wǎng)絡(luò)安全組件吧！它能給你帶來意想不到的效果。網(wǎng)絡(luò)安全的看法

隨著互聯(lián)網(wǎng)在家庭中的普及，家庭網(wǎng)絡(luò)安全越來越受歡迎。家庭網(wǎng)絡(luò)安全主要表現(xiàn)在兩個方面，一是個人電腦中毒，二是被非法用戶入侵。個人以為可以從“內(nèi)”和“外”兩個方面來解決。

從內(nèi)的方面來講“內(nèi)”指用戶本身，防止由于自己的疏忽而造成的損失。主要包括安裝一些必要的軟件，主要是防火墻、殺毒、防木馬等安全軟件。要有一個安全的工作習(xí)慣。積極備份。積極防范。打好補丁。這幾種方法只是網(wǎng)絡(luò)安全方面常用的方法，實際上保證安全從“內(nèi)”的方面來說還包括很多方面，如操作不當(dāng)造成軟硬件損壞等。當(dāng)然這些就不僅僅是網(wǎng)絡(luò)安全方面了，實際上只要用戶在以上所說的五個方面做得不錯的 鄭州電子信息職業(yè)技術(shù)學(xué)院2011屆畢業(yè)論文

話，基本上網(wǎng)絡(luò)安全方面可以放60%以上的心了。只不過許多用戶在這些方面一般不太在意結(jié)果造成數(shù)據(jù)的損失。從外的方面來講“外”指由外界而來的攻擊，一般指黑客攻擊。要防止黑客的攻擊，我介紹幾種簡單容易上手同時效果也不錯的方法供大家參考。5.1 隱藏IP地址有兩種方法

代理服務(wù)器的原理是在客戶機和遠程服務(wù)器之間架設(shè)一個“中轉(zhuǎn)站”，當(dāng)客戶機向遠程服務(wù)器提出服務(wù)要求后，代理服務(wù)器首先截取用戶的請求，然后代理服務(wù)器將服務(wù)請求轉(zhuǎn)交遠程服務(wù)器，從而實現(xiàn)客戶機和遠程服務(wù)器之間的聯(lián)系。使用代理服務(wù)器后，其它用戶只能探測到代理服務(wù)器的IP地址而不是用戶的IP地址，這就實現(xiàn)了隱藏用戶IP地址的目的，保障了用戶上網(wǎng)安全。二是使用一些隱藏IP的軟件，如賽門鐵克公司的Norton Internet security,不論黑客使用哪一個IP掃描工具，都會告訴你根本沒有這個IP地址，黑客就無法攻擊你的計算機了。5.2 更換管理及賬戶

Administrator賬戶擁有最高的系統(tǒng)權(quán)限，一旦該賬戶被人利用，后果不堪設(shè)想。黑客入侵的常用手段之一就是試圖獲得Administrator賬戶的密碼，所以我們要重新配置Administrator賬戶首先為Administrator賬戶設(shè)置一個強大復(fù)雜的密碼，然后我們重命名Administrator賬戶再創(chuàng)建一個沒有管理員權(quán)限，也就在一定程度上減少了危險。在WINDOWSXP系統(tǒng)中打開控制面板，單擊“用戶帳戶/更改帳戶”，彈出“用戶帳戶”窗口，再點“禁用來賓賬戶”即可。防火墻概述

6.1 防火墻定義

在計算機網(wǎng)絡(luò)中，防火墻是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的方法，它實際是一種隔離技術(shù)，它允許“可以訪問”的人和數(shù)據(jù)進入網(wǎng)絡(luò)，同時將“不允許訪問”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問網(wǎng)絡(luò)，如果不通過防火墻，人們就無法訪問Internet，也無法和其它人進行通信，它具有較強的抗攻擊能力，提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。6.2 防火墻的功能

防火墻的訪問控制功能；訪問控制功能是防火墻設(shè)備的最基本功能，其作用就是對經(jīng)過防火墻的所有通信進行連通或阻斷的安全控制，以實現(xiàn)連接到防火墻上的各個網(wǎng)段 鄭州電子信息職業(yè)技術(shù)學(xué)院2011屆畢業(yè)論文 的邊界安全性，為實施訪問控制功能，可以根據(jù)網(wǎng)絡(luò)地址、網(wǎng)絡(luò)協(xié)議以及TCP UDP端口進行過濾；可以實施簡單的內(nèi)容過濾，如電子郵件附件的文件類型等可以將IP與MAC地址綁定以防止盜用IP的現(xiàn)象發(fā)生，可以對上網(wǎng)時間段進行控制，不同時段執(zhí)行不同的安全策略。防火墻的訪問控制采用兩種基本策略，即“黑名單”策略和“白名單”策略，指除了規(guī)則允許的訪問，其他都是禁止的。支持一定的安全策略，過濾掉不安全服務(wù)和非法用戶。利用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)將有限的IP地址動態(tài)或靜態(tài)地址與內(nèi)部的IP地址對應(yīng)起來，用來緩解地址空間短缺的問題?？梢赃B接到一個單獨的網(wǎng)絡(luò)上，在物理上與內(nèi)部網(wǎng)絡(luò)隔開并部署WWW服務(wù)器和FTP服務(wù)器，作為向外部外發(fā)布內(nèi)部信息的地點。防火墻支持基于用戶身份的網(wǎng)絡(luò)訪問控制，不僅具有內(nèi)置的用戶管理及認證接口，同時也支持用戶進行外部身份認證。防火墻可以根據(jù)用戶認證的情況動態(tài)地調(diào)整安全策略實現(xiàn)用戶對網(wǎng)絡(luò)的授權(quán)訪問。6.3 防火墻技術(shù)

按照實現(xiàn)技術(shù)分類防火墻的基本類型有：包過濾型、代理服務(wù)型和狀態(tài)包過濾型。包過濾技術(shù)；包過濾通常安裝在路由器上，并且大多數(shù)商用路由器都提供了包過濾的功能。包過濾是一種安全篩選機制，它控制哪些數(shù)據(jù)包可以進出網(wǎng)絡(luò)而哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)所拒絕。包過濾是一種通用有效的安全手段。它在網(wǎng)絡(luò)層和傳輸層起作用。它根據(jù)分組包的源宿地址端口號及協(xié)議類型，來確定是否允許分組包通過。包過濾的優(yōu)點是它對于用戶來說是透明的，處理速度快且易于維護，通常作為第一道防線。

代理服務(wù)技術(shù)；代理服務(wù)系統(tǒng)一般安裝并運行在雙宿主機上，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的拓撲，比包過濾防火墻安全，由于安全性比較高，所以是使用較多的防火墻技術(shù)。代理服務(wù)軟件運行在一臺主機上構(gòu)成代理服務(wù)器，負責(zé)截客戶的請求。根據(jù)安全規(guī)則判斷這個請求是否允許，如果允許才能傳給真正的防火墻。代理系統(tǒng)是客戶機和真實服務(wù)器之間的中介，完全控制客戶機和真實服務(wù)器之間的流量并對流量情況加以記錄，它具有靈活性和安全性，但可能影響網(wǎng)絡(luò)的性能對用戶透明，且對每一個服務(wù)器都要設(shè)計一個代理模塊，建立對應(yīng)的網(wǎng)關(guān)層實現(xiàn)起來比較復(fù)雜。

代理服務(wù)技術(shù)的優(yōu)點：1.提供的安全級別高于包過濾型防火墻。2.代理服務(wù)型防火墻可以配置成惟一的可被外部看見的主機，以保護內(nèi)部主機免受外部攻擊。3.可能強制執(zhí)行用戶認證。4.代理工作在客戶機和真實服務(wù)器之間，完全控制會話，所以能提供較詳細的審計日志。鄭州電子信息職業(yè)技術(shù)學(xué)院2011屆畢業(yè)論文

狀態(tài)檢測技術(shù)；狀態(tài)檢測防火墻在網(wǎng)絡(luò)層由一個檢測模塊截獲數(shù)據(jù)包，并抽取與應(yīng)用層狀態(tài)有關(guān)的信息，并以此作為依據(jù)決定對該連接是接受還是拒絕。檢測模塊維護一個動態(tài)的狀態(tài)信息表，并對后續(xù)的數(shù)據(jù)包進行檢查。一旦發(fā)現(xiàn)任何連接的參數(shù)有意外的變化該連接就被中止。這種技術(shù)提供了高度安全的解決方案，同時也具有較好的適應(yīng)性和可擴展性。狀態(tài)檢測防火墻克服了包過濾防火墻和應(yīng)用代理服務(wù)器的局限性不要求每個被訪問的應(yīng)用都有代理，狀態(tài)檢測模塊能夠理解各種協(xié)議和應(yīng)用以支持各種最新的應(yīng)用服務(wù)。狀態(tài)檢測模塊截獲分析并處理所有試圖通過防火墻的數(shù)據(jù)包，保證網(wǎng)絡(luò)的高度安全和數(shù)據(jù)完整網(wǎng)絡(luò)和各種應(yīng)用的通信狀態(tài)動態(tài)存儲更新到動態(tài)狀態(tài)表中，結(jié)合預(yù)定義好的規(guī)則實現(xiàn)安全策略，狀態(tài)檢測不僅僅對網(wǎng)絡(luò)層檢測而對OSI七層模型的所有層進行檢測，它與前面兩種防火墻技術(shù)不同，當(dāng)用戶訪問請求到達網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)器要抽取有關(guān)數(shù)據(jù)進行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定做出接納拒絕，身份認證，報警或給該通信加密等處理動作。狀態(tài)檢測技術(shù)的特點：安全性、高效性、可伸縮性和易擴展性。

6.4 防火墻系統(tǒng)的優(yōu)點

可以對網(wǎng)絡(luò)安全進行集中控制和管理；防火墻將受信任的專用網(wǎng)與不受信任的公用網(wǎng)隔離開來，將承擔(dān)風(fēng)險的范圍從整個內(nèi)部網(wǎng)絡(luò)縮小到組成防火墻系統(tǒng)的一臺或幾臺主機上在結(jié)構(gòu)上形成了一個控制中心，大大加強了網(wǎng)絡(luò)安全性，并且簡化了網(wǎng)絡(luò)管理。由于防火墻在結(jié)構(gòu)上的特殊位置，使其方便地提供了監(jiān)視管理與審計網(wǎng)絡(luò)的使用及預(yù)警。為解決IP的地址危機提供了可行方案。由于Internet的日益發(fā)展及其IP地址空間的有限，使用戶無法獲得足夠的注冊IP地址，防火墻系統(tǒng)則正處于設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的最佳位置，NAT有助于緩和IP地址空間的不足，并使得一個結(jié)構(gòu)改變Internet服務(wù)提供商時而不必重新編址。防火墻系統(tǒng)可以作為Internet信息服務(wù)器的安裝地點，對外發(fā)布信息。

6.5 防火墻系統(tǒng)的局限性

防火墻系統(tǒng)存在著如下局限性：常常需要有特殊的較為封閉的網(wǎng)絡(luò)拓撲結(jié)構(gòu)來支持，對網(wǎng)絡(luò)安全功能的加強往往以網(wǎng)絡(luò)服務(wù)的靈活性、多樣性和開放性為代價。防火墻系統(tǒng)的防范對象來自外部對內(nèi)部網(wǎng)絡(luò)攻擊，而不能防范不經(jīng)由防火墻的攻擊。比如通過SLIP或PPP的撥號攻擊，繞過了防火墻系統(tǒng)而直接撥號進入內(nèi)部網(wǎng)絡(luò)，防火墻對這樣的 7 鄭州電子信息職業(yè)技術(shù)學(xué)院2011屆畢業(yè)論文

攻擊很難防范。防火墻在技術(shù)原理上對來自內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全威脅不具備防范作用。比如不能防范內(nèi)奸或由用戶造成的危害。結(jié)論

網(wǎng)絡(luò)的迅速發(fā)展，給我們的工作和生活帶來了巨大的改變。在網(wǎng)絡(luò)日益復(fù)雜化，多樣化的今天，安全受到人們越來越多的關(guān)注。如何保護各類網(wǎng)絡(luò)和信息的安全，成為人們研究的焦點，其中防火墻是運用非常廣泛和效果最好的選擇。但是，防火墻技術(shù)也有它的不足之處，為了更好的維護網(wǎng)絡(luò)安全，還需要其他的技術(shù)相結(jié)合，以及更先進的技術(shù)的發(fā)現(xiàn)。鄭州電子信息職業(yè)技術(shù)學(xué)院2011屆畢業(yè)論文

參考文獻

[1] 鄧亞平.計算機網(wǎng)絡(luò)安全[M].北京:北京人民郵電出版社.2004.50-75.[2] 馮 元.計算機網(wǎng)絡(luò)安全基礎(chǔ)[M].北京:科學(xué)出版社.2004.120-150.[3] 穆紅濤.Internet實用技術(shù)[M].北京:大連理工大學(xué)出版社.2005.150-198.[4] 張仕斌.網(wǎng)絡(luò)安全技術(shù)[M].北京:清華大學(xué)出版社.2001.17-38.[5] 梁亞聲.計算機網(wǎng)絡(luò)安全技術(shù)教程[M].北京:機械工業(yè)出版社.2004.110-187.鄭州電子信息職業(yè)技術(shù)學(xué)院2011屆畢業(yè)論文

致 謝

首先，我要特別感謝***老師對我的悉心指導(dǎo)，在本文完成期間他幫助我收集文獻資料，理清設(shè)計思路，指導(dǎo)方法。**老師淵博的知識、嚴(yán)謹(jǐn)?shù)膶W(xué)風(fēng)、誨人不倦的態(tài)度和學(xué)術(shù)上精益求精的精神使我有了進一步的提高。

另外，要感謝母校****學(xué)院所有老師與同學(xué)兩年來對我的關(guān)心與支持。最后，我要向我的父母致以最崇高的敬意，沒有你們無私的支持，就沒有我今天的成績。寫作畢業(yè)論文是一次再系統(tǒng)學(xué)習(xí)的過程，畢業(yè)論文的完成，同樣也意味著新的學(xué)習(xí)生活的開始。

第四篇：網(wǎng)絡(luò)安全技術(shù)現(xiàn)狀與展望

計算機前沿講座論文

《網(wǎng)絡(luò)安全技術(shù)現(xiàn)狀與展望》

班級： 計算機民本（12-1）

姓名：吐爾遜阿依.達吾提 學(xué)號： 5011107127 講師： 李鵬 日期： 2011-12-02

塔里木大學(xué)教務(wù)處制

網(wǎng)絡(luò)安全技術(shù)現(xiàn)狀與展望

1、引言

安全問題是伴隨人類社會進步和發(fā)展而日顯其重要性的。信息技術(shù)革命不僅給人們帶來工作和生活上的方便，同時也使人們處于一個更易受到侵犯和攻擊的境地。例如，個人隱私的保密性就是在信息技術(shù)中使人們面對的最困難的問題之一。在“全球一村”的網(wǎng)絡(luò)化時代，傳統(tǒng)的物理安全技術(shù)和措施不再足以充分保證信息和系統(tǒng)的安全了。

近年來，世界各國相繼提出自己的信息高速公路計劃──國家信息基礎(chǔ)設(shè)施NII(National Information Infrastructure)，同時，建立全球的信息基礎(chǔ)設(shè)施GII(Global Information Infrastructure)也已被提上了議事日程。問題在于，僅從物理通信基礎(chǔ)的角度來看，這種基礎(chǔ)設(shè)施因主要涉及技術(shù)問題而相對容易解決得多。然而，這是遠遠不夠的。以將影響人類未來生活方式的電子商務(wù)應(yīng)用來說，它不僅涉及技術(shù)問題，而且更多地與社會、生活、道德、法律等相關(guān)，更有甚者，有些問題可能是道德和法律都無能為力的，這個時侯，人們又想到了技術(shù)，寄期望于技術(shù)能解決一切問題。不幸的是，當(dāng)前的技術(shù)離我們的目標(biāo)還有一定的距離。

在信息技術(shù)領(lǐng)域，信息安全和計算機系統(tǒng)安全是兩個相互依賴而又很難分開的問題。保證信息安全的一個必要條件是實現(xiàn)計算機系統(tǒng)的安全，而保證計算機系統(tǒng)安全的一個必要條件也是實現(xiàn)信息安全。這或許就是此問題是如此之難的原因。如果說兩者有什么基本的共同之處的話，那就是在于兩者的實現(xiàn)都是通過“存取控制”或“訪問控制”來作為最后一道安全防線(如果不考慮基于審計或其它信息的攻擊檢測方法的話)。在這道防線之前，自然就是“身份鑒別”或“身份認證”。為此，各種“授權(quán)”或“分配”技術(shù)就應(yīng)運而生了。從根本上說，操作系統(tǒng)安全、數(shù)據(jù)庫安全和計算機網(wǎng)絡(luò)安全的基本理論是相通的。由于此問題的復(fù)雜性，以及在當(dāng)前的計算機網(wǎng)絡(luò)環(huán)境下，在某種意義上說計算機網(wǎng)絡(luò)的安全為操作系統(tǒng)安全和數(shù)據(jù)庫安全提供了一個基礎(chǔ)，在本文中我們主要討論計算機網(wǎng)絡(luò)安全的問題。

2、計算機網(wǎng)絡(luò)安全研究的現(xiàn)狀

人類社會發(fā)展歷程中，必須與各種困難作頑強的斗爭。這些困難對他們生存的威脅不僅來自自然災(zāi)害如風(fēng)、雨、雷、電等，還來自野獸或異族的攻擊。在石器時代，雖然人類可以有了簡單的生產(chǎn)工具甚至武器，但人們對山洞的依賴性可能怎么強調(diào)都不會過分。這個時期的身份“鑒別”或“認證”技術(shù)可能只需要山洞的看門人認識其每一個成員即可。到了中世紀(jì)，人們不僅可以有金屬制的更為強有力的裝備，同時也有了更為堅固的城堡。這個時期的身份“鑒別”或“認證”技術(shù)可能需要每一個成員佩帶一個特殊的標(biāo)志。在當(dāng)代，人類有了諸如原子彈這種大規(guī)模殺傷性武器的同時，人們也試圖實現(xiàn)諸如“太空防御”計劃這種“反武器”，與此相應(yīng)的是，用于身份“鑒別”或“認證”的技術(shù)也從傳統(tǒng)的物理身份發(fā)展到了 1

基于計算、生物統(tǒng)計學(xué)特征的數(shù)字身份。

縱觀整個人類社會發(fā)展史，可以清楚地看到，安全技術(shù)是“矛”和“盾”的對立統(tǒng)一，兩者相輔相承，相互促進。所謂“道高一尺，魔高一丈”，緊接其后的“魔高一尺，道高一丈”，就是當(dāng)前這種相互刺激的寫照。

2.1基于密碼術(shù)的網(wǎng)絡(luò)安全

密碼術(shù)在歷史上對軍事、國防和外交的重要性是不言而喻的，尤其是在第二次世界大戰(zhàn)中，盟軍成功破譯德國和日本密碼系統(tǒng)為早日結(jié)束這埸戰(zhàn)爭起了相當(dāng)大的作用。然而，到那時為止的密碼術(shù)在很大程度上是一門藝術(shù)而非科學(xué)，它過分依賴于密碼設(shè)計人員的創(chuàng)造性甚至“小聰明”。

在本世紀(jì)30年代，Shannon成功地建立了通信保密系統(tǒng)的數(shù)學(xué)原理，從此，密碼術(shù)的研究開始進入一個科學(xué)領(lǐng)域的時代。盡管不實用，畢競?cè)藗兛吹搅舜嬖谕昝辣Ｃ艿拿艽a系統(tǒng)。但真正使密碼術(shù)為廣大民間人士作囑目的里程碑是70年代由IBM最先發(fā)表而由美國國家標(biāo)準(zhǔn)局和商業(yè)部采用的DES(Data Encryption Standard)──這是傳統(tǒng)的對稱密鑰體制的里程碑，以及幾年之后由Diffie和Hellman發(fā)表的基于離散對數(shù)求解困難性的公鑰密碼系統(tǒng)，Rivest、Shamir和Adleman發(fā)表了基于大合數(shù)因子分解困難性的公鑰密碼系統(tǒng)RSA──開創(chuàng)了密碼學(xué)研究的新紀(jì)元。

應(yīng)該注意到，實用的密碼系統(tǒng)的建立是基于當(dāng)前計算機的計算能力，同時也是基于計算機科學(xué)理論中的計算復(fù)雜性和結(jié)構(gòu)復(fù)雜性研究成果的。由于眾所周知的原因，當(dāng)前的計算密碼學(xué)成果都是基于尚未證明的假設(shè)即P和NP不是同一個集合的。而且，由于復(fù)雜性理論研究本身的復(fù)雜性，當(dāng)前的復(fù)雜性成果是基于最壞情形復(fù)雜性而不是平均情形復(fù)雜性的，這又使我們感到了問題的嚴(yán)重性。然而，無論如何可以自慰的是，越來越有理由使我們相信我們所基于的復(fù)雜性假設(shè)是正確的。而且，最近的有關(guān)研究成果表明，人們在基于平均復(fù)雜性的密碼系統(tǒng)研究和設(shè)計方面有期望會取得突破。當(dāng)前已取得的成果主要是基于傳統(tǒng)的“數(shù)的幾何”這門學(xué)科中的與格有關(guān)的計算難題而構(gòu)造出來的，基于一個自然問題的密碼系統(tǒng)還有待進一步的工作。

自從計算機網(wǎng)絡(luò)技術(shù)和系統(tǒng)被人們使用一開始，密碼術(shù)就被應(yīng)用到計算機網(wǎng)絡(luò)和系統(tǒng)中實現(xiàn)信息的機密性、完整性，并用于用戶身份的鑒別或認證。在計算機網(wǎng)絡(luò)體系結(jié)構(gòu)的各個層次，都成功的應(yīng)用過密碼術(shù)。但是，一個明顯的趨勢是，安全機制已從傳統(tǒng)的通信子網(wǎng)(如鏈路層或物理層)上升到資源子網(wǎng)(如應(yīng)用層或會話層)。一個重要的原因是，由于當(dāng)前條件下存在多種異構(gòu)的計算機通信網(wǎng)絡(luò)。在這方面，國際標(biāo)準(zhǔn)化組織發(fā)表的一系列網(wǎng)絡(luò)安全框架起了指導(dǎo)作用。由于計算機網(wǎng)絡(luò)領(lǐng)域的一個典型特征是，先有應(yīng)用或平臺后有標(biāo)準(zhǔn)，這種市場驅(qū)動帶來的一個直接結(jié)果是，各層都有相應(yīng)的安全機制。下面我們將從協(xié)議棧的低層到高層分別介紹已有的安全機制。由于TCP/IP已成為事實上的工業(yè)標(biāo)準(zhǔn)，在以下的討論中，我們基于TCP/IP協(xié)議棧而不是ISO/OSI的標(biāo)準(zhǔn)的七層模式。

2.1.1網(wǎng)絡(luò)層安全機制

安全的IP層已成為網(wǎng)絡(luò)安全研究中的重點之一。安全的IP層應(yīng)該提供報文鑒別機制以實現(xiàn)信息完整性，提供數(shù)據(jù)加密機制以實現(xiàn)信息的機密性，還要提供路由加密機制來對付通信量分析的攻擊。關(guān)于IP層的數(shù)據(jù)完整性(通過MD5報文摘要算法實現(xiàn))機制和數(shù)據(jù)機密性(通過對稱的或非對稱的密碼算法實現(xiàn))機制實現(xiàn)已在RFC 1826和RFC 1825中討論，該兩份文檔基本上給出了一個可行的方案。在RFC 1826中定義了鑒別頭AH(Authentication Header)來實現(xiàn)報文完整性，在RFC 1825中定義了封裝安全載荷頭ESP(Encapsulation Security Payload)來實現(xiàn)報文機密性。

IP的功能和實現(xiàn)決定了通信量分析攻擊是IP網(wǎng)絡(luò)中一個固有的脆弱點，因為IP數(shù)據(jù)分組中的路由信息對攻擊方是可讀的。通信量分析指攻擊方通過分析協(xié)議實體間報文頻率、長度等信息，并據(jù)此推斷出有用信息。為了對付通信量分析的攻擊，一種最簡單的方法即所謂的通信量填充機制，但這種方法顯然會浪費網(wǎng)絡(luò)帶寬，更進一步，這種方法僅能用于當(dāng)某兩個節(jié)點之間的通信量突然減少時這種情況。如果與此相反，通信量填充就無能為力了。

我們已有工作成果表明，不僅在鏈路層或物理層實現(xiàn)抗通信量分析攻擊,而且可在IP層本身解決此問題。有關(guān)技術(shù)細節(jié)就不在這里介紹了。有趣的是，網(wǎng)絡(luò)層防火墻的有效性也依賴于IP層的安全性。

2.1.2 會話層安全機制

到目前為止最引人注目的會話層安全機制是Netscape公司提出的安全套接字層SSL(Secure Socket Layer)。SSL提供位于TCP層之上的安全服務(wù)。它使用的安全機制包括通過對稱密碼算法和非對稱密碼算法來實現(xiàn)機密性、完整性、身份鑒別或認證。SSL已用于瀏覽器和004km.cnmunication Technology)。

2.1.3 應(yīng)用層安全機制

在人們注重于會話層安全機制的同時，應(yīng)用層安全機制也受到了同樣的重視。從類似于電子商務(wù)這種應(yīng)用的角度出發(fā)，已提出了兩種實用的應(yīng)用。就安全電子郵件而言，因特網(wǎng)工程任務(wù)組IETF(Internet Engineering Task Force)在1993年提出了加強保密的電子郵件方案PEM(Privacy-Enhanced Mail)。但是，由于多種原因，該方案并未得到廣泛支持。后來，由于RSA數(shù)據(jù)安全公司的介入，在1995年提出了S/MIME協(xié)議(Secure/Multipurpose Internet Mail Extensions)。從World-Wide Web角度來看，人們提出了三種安全的HTTP協(xié)議或協(xié)議簇。第一個是HTTPS，它事實上就是基于SSL來實現(xiàn)安全的HTTP。第二個是SHTTP(Secure HTTP)，是CommerceNet在1994年提出的，其最初的目的是用于電子商務(wù)。該協(xié)議后來也提交給了因特網(wǎng)工程任務(wù)組IETF的WEB事務(wù)安全工作組討論。象SSL一樣，SHTTP提供了數(shù)據(jù)機密性、數(shù)據(jù)完整性和身份鑒別或認證服務(wù)。二者的不同之處在于，SHTTP是HTTP的一個擴展，它把安全機制嵌入到HTTP中。顯然，由于SHTTP較之SSL更面向應(yīng)用，3

因此實現(xiàn)起來要復(fù)雜一些。在早期，各廠商一般只選擇支持上述兩個協(xié)議之一，但現(xiàn)在許多廠商對兩者都支持。第三個是安全電子交易(Secure Electronic Transaction)SET。這是一個龐大的協(xié)議，它主要涉及電子商務(wù)中的支付處理。它不僅定義了電子支付協(xié)議，還定義了證書管理過程。SET是由Visa和MasterCard共同提出的。

2.1.4基于密碼術(shù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)

綜合本節(jié)的討論，我們可以從下圖中看出當(dāng)前已提出和實現(xiàn)的在網(wǎng)絡(luò)體系結(jié)構(gòu)各層實現(xiàn)的安全機制。

2.2 基于網(wǎng)絡(luò)技術(shù)本身的網(wǎng)絡(luò)安全

我們認為，基于密碼術(shù)的安全機制不能完全解決網(wǎng)絡(luò)中的安全問題的一個主要原因在于，盡管密碼算法的安全強度是很強的，但當(dāng)前的軟件技術(shù)不足以證明任一個軟件恰好實現(xiàn)的是該軟件的規(guī)格說明所需要的功能。由于象操作系統(tǒng)這種核心的系統(tǒng)軟件的正確性也不能形式地證明，因此不能保證任何重要的軟件中沒有安全漏洞。事實告訴我們，那些被黑客們發(fā)現(xiàn)的系統(tǒng)軟件中的安全漏洞恰好成了他們使用的攻擊點。在本節(jié)中我們不討論這種原因?qū)е碌陌踩珕栴}。這種安全漏洞或許只有等到形式的軟件開發(fā)和正確性證明技術(shù)取得突破后，才能得到很好地解決。

基于網(wǎng)絡(luò)技術(shù)本身的網(wǎng)絡(luò)安全機制方面，主要是防火墻技術(shù)。常用的主要有網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻兩種。

目前常用的網(wǎng)絡(luò)層防火墻主要工作在IP層，通過分析IP包頭來決定允許或禁止某個信息包通過該防火墻，如路由器過濾就是一種最常見的類型。

應(yīng)用層防火墻是主要是通過應(yīng)用層網(wǎng)關(guān)或服務(wù)代理來實現(xiàn)的。即當(dāng)來自內(nèi)部網(wǎng)絡(luò)的請求到達應(yīng)用層網(wǎng)關(guān)時，它代理內(nèi)部主機與外部公共網(wǎng)上的服務(wù)器建立連接，進而轉(zhuǎn)發(fā)來自外部服務(wù)器的請求響應(yīng)。這種代理對內(nèi)部主機來說可以是透明的，對外部服務(wù)器來說也可以是透明的。

由于目前已有許多介紹防火墻的文章，本文不擬介紹有關(guān)的技術(shù)實現(xiàn)細節(jié)。

2.3 問題

盡管到目前為止人們已實現(xiàn)了許多安全機制，但安全問題仍然倍受懷疑和關(guān)注。事實上，象電子商務(wù)這種應(yīng)用是否會得到充分的推廣，將在很大程度上取決于人們對網(wǎng)絡(luò)安全機制的信心。雖然目前有關(guān)計算機犯罪中，非技術(shù)因素導(dǎo)致的損失大于技術(shù)因素(如黑客或密碼分析)的損失，但對于安全技術(shù)和機制的要求將越來越高。這種需求將不僅驅(qū)動理論研究的進展，還必將促進實際安全產(chǎn)品的進一步發(fā)展。

3.展望

對網(wǎng)絡(luò)安全本質(zhì)的認識卻還處于一個相當(dāng)原始的階段，其表現(xiàn)形式是基于密碼術(shù)的網(wǎng)絡(luò)安全和基于防火墻的網(wǎng)絡(luò)安全尚不能完美地結(jié)合成一種更加有效的安全機制。我們期望，如果能夠提出一個合理的數(shù)學(xué)模型，將會對網(wǎng)絡(luò)安全的研究和可實際應(yīng)用網(wǎng)絡(luò)安全系統(tǒng)的開發(fā) 4

起非常大的促進作用。

從實用的角度出發(fā)，目前人們已提出了一些基于人工智能的網(wǎng)絡(luò)安全檢測專家系統(tǒng)。這方面，SRI(Stanford Research Institute)和Purdue大學(xué)已做了許多工作。同時，基于主動網(wǎng)絡(luò)安全檢測的安全系統(tǒng)的研究也已起步，在這方面，Internet Security Systems也已有一些產(chǎn)品問世。

參考文獻

[1]孟令奎,史文中,張鵬林.網(wǎng)絡(luò)地理信息系統(tǒng)原理與技術(shù)[M].北京:科學(xué)出版社.2005 [2]劉南,劉仁義.地理信息系統(tǒng)[M].北京:高等教育出版社.2002 [3]姬婧,孟景風(fēng).淺論WebGIS系統(tǒng)[J].煤炭技術(shù),2006 [4]田洪陣,劉沁萍,劉軍偉.WebGIS的現(xiàn)狀及其發(fā)展趨勢[J].許昌學(xué)院學(xué)報.2004 [5]尚武.網(wǎng)絡(luò)地理信息系統(tǒng)(WebGIS)的現(xiàn)狀及前景[J].地質(zhì)通報.2006 [6]龔健雅.當(dāng)代GIS的若干理論與技術(shù)[J].武漢:武漢測繪科技大學(xué)出版社.1999 [7]李一鳴.基于Internet的地理信息系統(tǒng)——WEBGIS[J].電腦知識與技術(shù).2005

第五篇：計算機網(wǎng)絡(luò)安全防火墻技術(shù)畢業(yè)論文

計算機網(wǎng)絡(luò)安全防火墻技術(shù)畢業(yè)論文

防火墻原是指建筑物大廈用來防止火災(zāi)蔓延的隔斷墻。從理論上講,Internet防火墻服務(wù)也屬于類似的用來防止外界侵入的。它可以防止 Internet上的各種危險(病毒、資源盜用等)傳播到你的網(wǎng)絡(luò)內(nèi)部。而事實上,防火墻并不像現(xiàn)實生活中的防火墻,它有點像古代守護城池用的護城河,服務(wù)于以下多個目的:

1)限定人們從一個特定的控制點進入;

2)限定人們從一個特定的點離開;

3)防止侵入者接近你的其他防御設(shè)施;

4)有效地阻止破壞者對你的計算機系統(tǒng)進行破壞。

在現(xiàn)實生活中,Internet防火墻常常被安裝在受保護的內(nèi)部網(wǎng)絡(luò)上并接入Internet。

從上圖不難看出,所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻。這樣,防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統(tǒng)間進行信息交換等安全的作用。從邏輯上講,防火墻是起分隔、限制、分析的作用,這一點同樣可以從圖1中體會出來。那么,防火墻究竟是什么呢?實際上,防火墻是加強Internet(內(nèi)部網(wǎng))之間安全防御的一個或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。3.防火墻技術(shù)與產(chǎn)品發(fā)展的回顧

防火墻是網(wǎng)絡(luò)安全策略的有機組成部分,它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能:●過濾進、出網(wǎng)絡(luò)的數(shù)據(jù);

●管理進、出網(wǎng)絡(luò)的訪問行為;

●封堵某些禁止行為;

●記錄通過防火墻的信息內(nèi)容和活動;

●對網(wǎng)絡(luò)攻擊進行檢測和告警。

為實現(xiàn)以上功能,在防火墻產(chǎn)品的開發(fā)中,人們廣泛地應(yīng)用了網(wǎng)絡(luò)拓撲、計算機操作系統(tǒng)、路由、加密、訪問控制、安全審計等成熟或先進的技術(shù)和手段。縱觀防火墻近年來的發(fā)展,可以將其劃分為如下四個階段(即四代)。

3.1 基于路由器的防火墻

由于多數(shù)路由器本身就包含有分組過濾功能,故網(wǎng)絡(luò)訪問控制可能通過路控制來實現(xiàn),從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點是:

1)利用路由器本身對分組的解析,以訪問控制表(Access List)方式實現(xiàn)對分組的過濾;

2)過濾判斷的依據(jù)可以是:地址、端口號、IP旗標(biāo)及其他網(wǎng)絡(luò)特征;

3)只有分組過濾的功能,且防火墻與路由器是一體的。這樣,對安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法,而對安全性要求高的網(wǎng)絡(luò)則需要單獨利用一臺路由器作為防火墻。

●路由協(xié)議十分靈活,本身具有安全漏洞,外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如,在使用FTP協(xié)議時,外部服務(wù)器容易從20號端口上與內(nèi)部網(wǎng)相連,即使在路由器上設(shè)置了過濾規(guī)則,內(nèi)部網(wǎng)絡(luò)的20號端口仍可以由外部探尋。

●路由器上分組過濾規(guī)則的設(shè)置和配置存在安全隱患。對路由器中過濾規(guī)則的設(shè)置和配置十分復(fù)雜,它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性,一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任,加之一旦出現(xiàn)新的協(xié)議,管理員就得加上更多的規(guī)則去限制,這往往會帶來很多錯誤。

●路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的,黑客(Hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。

●路由器防火墻的本質(zhì)缺陷是:由于路由器的主要功能是為網(wǎng)絡(luò)訪問提供動態(tài)的、靈活的路由,而防火墻則要對訪問行為實施靜態(tài)的、固定的控制,這是一對難以調(diào)和的矛盾,防火墻的規(guī)則設(shè)置會大大降低路由器的性能。

可以說基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施,用這種權(quán)宜之計去對付黑客的攻擊是十分危險的。

3.2 用戶化的防火墻工具套

為了彌補路由器防火墻的不足,很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護自己的網(wǎng)絡(luò),從而推動了用戶防火墻工具套的出現(xiàn)。

作為第二代防火墻產(chǎn)品,用戶化的防火墻工具套具有以下特征:

1)將過濾功能從路由器中獨立出來,并加上審計和告警功能;

2)針對用戶需求,提供模塊化的軟件包;

3)軟件可以通過網(wǎng)絡(luò)發(fā)送,用戶可以自己動手構(gòu)造防火墻;

4)與第一代防火墻相比,安全性提高了,價格也降低了。

由于是純軟件產(chǎn)品,第二代防火墻產(chǎn)品無論在實現(xiàn)上還是在維護上都對系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求,并帶來以下問題:

配置和維護過程復(fù)雜、費時;

對用戶的技術(shù)要求高;

全軟件實現(xiàn),使用中出現(xiàn)差錯的情況很多。

3.3 建立在通用操作系統(tǒng)上的防火墻

基于軟件的防火墻在銷售、使用和維護上的問題迫使防火墻開發(fā)商很快推出了建立在通用操作系統(tǒng)上的商用防火墻產(chǎn)品。近年來市場上廣泛使用的就是這一代產(chǎn)品,它們具有如下一些特點:

1)是批量上市的專用防火墻產(chǎn)品;

2)包括分組過濾或者借用路由器的分組過濾功能;

3)裝有專用的代理系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令;

4)保護用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置;

5)安全性和速度大大提高。

第三代防火墻有以純軟件實現(xiàn)的,也有以硬件方式實現(xiàn)的,它們已經(jīng)得到了廣大用戶的認同。但隨著安全需求的變化和使用時間的推延,仍表現(xiàn)出不少問題,比如:

1)作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知,由于源碼的保密,其安全性無從保證;

2)由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商,通用操作系統(tǒng)廠商不會對操作系統(tǒng)的安全性負責(zé);

3)從本質(zhì)上看,第三代防火墻既要防止來自外部網(wǎng)絡(luò)的攻擊,還要防止來自操作系統(tǒng)廠商的攻擊;

4)在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級網(wǎng)關(guān)且具有加密鑒別功能;

5)透明性好,易于使用。