第一篇：畢業(yè)論文------論防火墻技術(shù)設(shè)計(jì)策略

基于Internet技術(shù)的網(wǎng)絡(luò)教學(xué)平臺(tái)組建 —— 論防火墻技術(shù)設(shè)計(jì)策略

Construction of network teaching platform based on Internet technique

—— Strategy of firewall technique design

[摘要] 防火墻是一種確保網(wǎng)絡(luò)安全的方法，通過(guò)隔離、過(guò)濾、封鎖等技術(shù)，防止來(lái)自外部網(wǎng)絡(luò)的攻擊。本文對(duì)防火墻自我保護(hù)能力的設(shè)計(jì)和防火墻體系結(jié)構(gòu)進(jìn)行了分析，并給出了設(shè)計(jì)方法。

[關(guān)鍵字] 防火墻；攻擊；路由器；分析

[Abstract] The firewall，an efficient measure which is used to protect the safety of network，prevents from attacking of outer network by technologies such as insulating，filtering and blockage etc.This article analyses the structure and self-protect designing of firewall，and also supplies its designing method.[Keyword] firewall;attack;router;analyse 引 言

古時(shí)候，人們常在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生它能夠防止火勢(shì)蔓延到別的寓所。自然，此種磚墻因此而得名“防火墻”。現(xiàn)在，如果一個(gè)網(wǎng)絡(luò)接入到了Internet上，在與外界進(jìn)行通信時(shí)，勢(shì)必也會(huì)存在著受其攻擊的“火災(zāi)發(fā)生”。

如何確保網(wǎng)絡(luò)安全，作為網(wǎng)絡(luò)安全產(chǎn)品中的防火墻技術(shù)，是目前最為成熟的技術(shù)。防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過(guò)濾封鎖機(jī)制，對(duì)內(nèi)連接LAN，對(duì)外連接Internet，通過(guò)隔離、過(guò)濾、封鎖等技術(shù)，阻止信息資源的非法訪問(wèn)。防火墻設(shè)計(jì)首要、重點(diǎn)問(wèn)題

由于防火墻處于內(nèi)外網(wǎng)絡(luò)邊界上，承擔(dān)過(guò)濾、封鎖等工作，自然也是眾多攻擊者的目標(biāo)。因此，其自我保護(hù)能力（安全性）是設(shè)計(jì)時(shí)的首要、重點(diǎn)問(wèn)題。

1.專用服務(wù)器端口

為降低設(shè)計(jì)上的難度，通過(guò)在防火墻上增設(shè)專用服務(wù)器端口，用于與主機(jī)進(jìn)行連接。除專用服務(wù)器外，防火墻不接受任何其他端口的直接訪問(wèn)。由于管理通信是單獨(dú)的通道，所以不管是內(nèi)網(wǎng)主機(jī)還是外網(wǎng)主機(jī)都無(wú)法竊聽(tīng)到該通信，顯然是很安全的。

2.透明應(yīng)用代理

提供對(duì)高層應(yīng)用服務(wù)，如HTTP、FTP、SMTP等的透明代理，終端無(wú)需在客戶機(jī)上進(jìn)行代理服務(wù)器設(shè)置。管理員在防火墻產(chǎn)品上配置相關(guān)規(guī)則，這些配置對(duì)用戶來(lái)說(shuō)完全是透明的，用戶訪問(wèn)Web、FTP等服務(wù)時(shí)，便自由進(jìn)行代理轉(zhuǎn)發(fā)，而外部網(wǎng)絡(luò)是不能通過(guò)代理主動(dòng)訪問(wèn)內(nèi)部網(wǎng)絡(luò)的，從而有效保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻體系結(jié)構(gòu)構(gòu)建

防火墻結(jié)構(gòu)的構(gòu)建可使用多種不同部件的組合，每個(gè)部件根據(jù)所提供的服務(wù)及能接受的安全等級(jí)來(lái)解決不同的問(wèn)題。常見(jiàn)的幾種構(gòu)建方式分析如下：

3.1 雙宿主機(jī)

雙宿主機(jī)將內(nèi)外網(wǎng)絡(luò)隔離，防火墻內(nèi)部的網(wǎng)絡(luò)系統(tǒng)與外部的網(wǎng)絡(luò)系統(tǒng)都與雙宿主機(jī)通信。這樣，內(nèi)外網(wǎng)絡(luò)之間的IP數(shù)據(jù)流是完全切斷的，只有入侵者得到雙宿主機(jī)的訪問(wèn)權(quán)，才會(huì)侵入內(nèi)部網(wǎng)絡(luò)。所以為了保證內(nèi)部網(wǎng)安全，雙宿主機(jī)應(yīng)禁止網(wǎng)絡(luò)層的路由功能，避免防火墻上過(guò)多的用戶賬號(hào)。3.2 屏蔽主機(jī)

主機(jī)與內(nèi)部網(wǎng)相連，使用一臺(tái)單獨(dú)的過(guò)濾路由器強(qiáng)迫所有到達(dá)路由器的數(shù)據(jù)包被發(fā)送到被屏蔽主機(jī)，任何試圖訪問(wèn)內(nèi)部系統(tǒng)或服務(wù)器的外部系統(tǒng)都須與此主機(jī)相連。過(guò)濾路由器能否正確配置是這種防火墻結(jié)構(gòu)安全的關(guān)鍵，因此過(guò)濾路由器中的路由表應(yīng)嚴(yán)格保護(hù)，防止路由表破壞造成數(shù)據(jù)包越過(guò)主機(jī)侵入內(nèi)部網(wǎng)絡(luò)。

3.3 屏蔽子網(wǎng)

在以上基礎(chǔ)上，增加一個(gè)DMZ（隔離區(qū)），進(jìn)一步將內(nèi)網(wǎng)與外網(wǎng)隔開(kāi)。采取兩個(gè)過(guò)濾路由器，攻擊者就算攻入了主機(jī)，還得通過(guò)內(nèi)部路由器。所以原則上說(shuō)，此種方式的網(wǎng)絡(luò)是安全的。應(yīng)對(duì)常見(jiàn)攻擊方式的策略

4.1 病毒

盡管某些防火墻產(chǎn)品提供了在數(shù)據(jù)包通過(guò)時(shí)進(jìn)行病毒掃描的功能，但仍然很難將所有的病毒（或特洛伊木馬程序）阻止在網(wǎng)絡(luò)外面，黑客很容易欺騙用戶下載一個(gè)程序從而讓惡意代碼進(jìn)入內(nèi)部網(wǎng)。

策略：設(shè)定安全等級(jí)，嚴(yán)格阻止系統(tǒng)在未經(jīng)安全檢測(cè)的情況下執(zhí)行下載程序；或者通過(guò)常用的基于主機(jī)的安全方法來(lái)保護(hù)網(wǎng)絡(luò)。

4.2 口令字

對(duì)口令字的攻擊方式有兩種：窮舉和嗅探。窮舉針對(duì)來(lái)自外部網(wǎng)絡(luò)的攻擊，來(lái)猜測(cè)防火墻管理的口令字。嗅探針對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊，通過(guò)監(jiān)測(cè)網(wǎng)絡(luò)獲取主機(jī)給防火墻的口令字。策略：設(shè)計(jì)主機(jī)與防火墻通過(guò)單獨(dú)接口通信（即專用服務(wù)器端口）、采用一次性口令或禁止直接登錄防火墻。

4.3 郵件

來(lái)自于郵件的攻擊方式越來(lái)越突出，在這種攻擊中，垃圾郵件制造者將一條消息復(fù)制成成千上萬(wàn)份，并按一個(gè)巨大的電子郵件地址清單發(fā)送這條信息，當(dāng)不經(jīng)意打開(kāi)郵件時(shí)，惡意代碼即可進(jìn)入。

策略：打開(kāi)防火墻上的過(guò)濾功能，在內(nèi)網(wǎng)主機(jī)上采取相應(yīng)阻止措施。

4.4 IP地址

黑客利用一個(gè)類似于內(nèi)部網(wǎng)絡(luò)的IP地址，以“逃過(guò)”服務(wù)器檢測(cè)，從而進(jìn)入內(nèi)部網(wǎng)達(dá)到攻擊的目的。

策略：通過(guò)打開(kāi)內(nèi)核rp_filter功能，丟棄所有來(lái)自網(wǎng)絡(luò)外部但卻有內(nèi)部地址的數(shù)據(jù)包；同時(shí)將特定IP地址與MAC綁定，只有擁有相應(yīng)MAC地址的用戶才能使用被綁定的IP地址進(jìn)行網(wǎng)絡(luò)訪問(wèn)?；緵Q策

5.1 方案選擇

市場(chǎng)上的防火墻大致有軟件防火墻和硬件防火墻兩大類。軟件防火墻需運(yùn)行在一臺(tái)標(biāo)準(zhǔn)的主機(jī)設(shè)備上，依托網(wǎng)絡(luò)在操作系統(tǒng)上實(shí)現(xiàn)防火墻的各種功能，因此也稱“個(gè)人”防火墻，其功能有限，基本上能滿足單個(gè)用戶。硬件防火墻是一個(gè)把硬件和軟件都單獨(dú)設(shè)計(jì)，并集成在一起，運(yùn)行于自己專用的系統(tǒng)平臺(tái)。由于硬件防火墻集合了軟件方面，從功能上更為強(qiáng)大，目前已普遍使用。

在制造上，硬件防火墻須同時(shí)設(shè)計(jì)硬件和軟件兩方面。國(guó)外廠家基本上是將軟件運(yùn)算硬件化，將主要運(yùn)算程序做成芯片，以減少CPU的運(yùn)算壓力；國(guó)內(nèi)廠家的防火墻硬件平臺(tái)仍使用通用PC系統(tǒng)，增加了內(nèi)存容量，增大了CPU的頻率。在軟件性能方面，國(guó)外一些著名的廠家均采用專用的操作系統(tǒng)，自行設(shè)計(jì)防火墻，提供高性能的產(chǎn)品；而國(guó)內(nèi)廠家大部分基于Linux操作平臺(tái)，有針對(duì)性的修改代碼、增加技術(shù)及系統(tǒng)補(bǔ)丁等。因此，國(guó)產(chǎn)防火墻與國(guó)外的相比仍有一定差距，但科技的進(jìn)步，也生產(chǎn)出了較為優(yōu)秀的產(chǎn)品。如北京天融信的NG系列產(chǎn)品，支持TOPSEC安全體系、多級(jí)過(guò)濾、透明應(yīng)用代理等先進(jìn)技術(shù)。

5.2 結(jié)構(gòu)透明

防火墻的透明性是指防火墻對(duì)于用戶是透明的。以網(wǎng)橋的方式將防火墻接入網(wǎng)絡(luò)，網(wǎng)絡(luò)和用戶無(wú)需做任何設(shè)置和改動(dòng)，也根本意識(shí)不到防火墻的存在。然后根椐自己企業(yè)的網(wǎng)絡(luò)規(guī)模，以及安全策略來(lái)選擇合適的防火墻的構(gòu)造結(jié)構(gòu)（可參照本文第3點(diǎn)分析），如果經(jīng)濟(jì)實(shí)力雄厚的可采用屏蔽子網(wǎng)的拓?fù)浣Y(jié)構(gòu)。

5.3 堅(jiān)持策略

（1）管理主機(jī)與防火墻專用服務(wù)器端口連接，形成單獨(dú)管理通道，防止來(lái)自內(nèi)外部的攻擊。

（2）使用FTP、Telnet、News等服務(wù)代理，以提供高水平的審計(jì)和潛在的安全性。

（3）支持“除非明確允許，否則就禁止”的安全防范原則。

（4）確定可接受的風(fēng)險(xiǎn)水平，如監(jiān)測(cè)什么傳輸，允許和拒絕什么傳輸流通過(guò)。5.4 實(shí)施措施

好的防火墻產(chǎn)品應(yīng)向使用者提供完整的安全檢查功能，應(yīng)有完善及時(shí)的售后服務(wù)。但一個(gè)安全的網(wǎng)絡(luò)仍必須靠使用者的觀察與改進(jìn)，企業(yè)要達(dá)到真正的安全仍需內(nèi)部的網(wǎng)絡(luò)管理者不斷記錄、追蹤、改進(jìn)，定期對(duì)防火墻和相應(yīng)操作系統(tǒng)用補(bǔ)丁程序進(jìn)行升級(jí)。結(jié)束語(yǔ)

以上從防火墻所具有的功能出發(fā)，分別介紹了防火墻技術(shù)在設(shè)計(jì)時(shí)的重點(diǎn)問(wèn)題、防火墻體系結(jié)構(gòu)構(gòu)建、常見(jiàn)攻擊方式的防范及基本設(shè)計(jì)決策。在分析的基礎(chǔ)上給出了具體解決方法，在設(shè)計(jì)過(guò)程中，應(yīng)根據(jù)企業(yè)自身?xiàng)l件出發(fā)，選擇最優(yōu)的策略。

參 考 文 獻(xiàn)

[1] 陶篤純，饒友玲，康曉東.網(wǎng)站建設(shè)項(xiàng)目管理[M].北京：人民郵電出版社，2002.[2] 彭濤.計(jì)算機(jī)網(wǎng)絡(luò)教程[M].北京：機(jī)械工業(yè)出版社，2002.[3] IBON.Marshield網(wǎng)絡(luò)安全技術(shù)白皮書(shū).艾邦公司資料，2002.致

謝

在這次畢業(yè)設(shè)計(jì)中，我得到了XXX教師的大力支持和幫助，特表示衷心的感謝。同時(shí)也感謝同組同學(xué)。馬上就要踏上工作的崗位，本文是也算是我人生中的一段的總結(jié)。真心感謝所有傳授給我知識(shí)的敬愛(ài)的老師們。在你們的精心教導(dǎo)下，讓我擁有一段充實(shí)，精彩的大學(xué)生活，謝謝你們！

第二篇：現(xiàn)代網(wǎng)絡(luò)安全及防火墻畢業(yè)論文

摘要

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來(lái)越廣泛，在帶來(lái)了前所未有的海量信息的同時(shí)，網(wǎng)絡(luò)的開(kāi)放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡(luò)信息的安全性變得日益重要起來(lái)，已被信息社會(huì)的各個(gè)領(lǐng)域所重視。本文對(duì)目前計(jì)算機(jī)網(wǎng)絡(luò)存在的安全隱患進(jìn)行了分析，闡述了我國(guó)網(wǎng)絡(luò)安全的現(xiàn)狀及網(wǎng)絡(luò)安全問(wèn)題產(chǎn)生的原因，對(duì)我們網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行了系統(tǒng)的分析,并探討了針對(duì)計(jì)算機(jī)安全隱患的防范策略.正是因?yàn)榘踩{的無(wú)處不在，為了解決這個(gè)問(wèn)題防火墻出現(xiàn)了。防火墻是網(wǎng)絡(luò)安全的關(guān)鍵技術(shù),是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，其核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境,防火墻是實(shí)施網(wǎng)絡(luò)安全控制得一種必要技術(shù)。本文討論了防火墻的安全功能、體系結(jié)構(gòu)、實(shí)現(xiàn)防火墻的主要技術(shù)手段及配置等。

關(guān)鍵詞

網(wǎng)絡(luò)安全/黑客/病毒/防火墻

0 我國(guó)網(wǎng)絡(luò)安全現(xiàn)狀...........................................................................................................2 1.1研究背景..................................................................................................................2 1.2研究意義..................................................................................................................3 1.3 計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅.........................................................................................4 2 防火墻的安全功能及安全網(wǎng)絡(luò)方案...............................................................................7 2.1防火墻具備的安全功能..........................................................................................7 2.2 計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅網(wǎng)絡(luò)安全的解決方案 2.2.1入侵檢測(cè)系統(tǒng)部署..........7 3 計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)并實(shí)現(xiàn)................................................................................10 3.1桌面安全系統(tǒng)........................................................................................................10 3.2病毒防護(hù)系統(tǒng)......................................................................................................10 3.3 動(dòng)態(tài)口令系統(tǒng)........................................................................................................11 4 防火墻的配置.................................................................................................................13 4.1防火墻的初始配置................................................................................................13 4.2 過(guò)濾防火墻的訪問(wèn)配置.......................................................................................15 4.3雙宿主機(jī)網(wǎng)關(guān)(Dual Homed Gateway)................................................................19 4.4屏蔽主機(jī)網(wǎng)關(guān)(Screened Host Gateway).............................................................19 4.5屏蔽子網(wǎng)(Screened Subnet).................................................................................20 總

結(jié)................................................................................................................................22 致

謝................................................................................................................................23 參考文獻(xiàn).............................................................................................................................24 我國(guó)網(wǎng)絡(luò)安全現(xiàn)狀

1.1研究背景

據(jù)美國(guó)聯(lián)邦調(diào)查局統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全造成的損失高達(dá)75億美元。據(jù)美國(guó)金融時(shí)報(bào)報(bào)道，世界上平均每20分鐘就發(fā)生一次人侵國(guó)際互聯(lián)網(wǎng)絡(luò)的計(jì)算機(jī)安全事件，1/3的防火墻被突破。美國(guó)聯(lián)邦調(diào)查局計(jì)算機(jī)犯罪組負(fù)責(zé)人吉姆·塞特爾稱：給我精選10名“黑客”，組成小組，90天內(nèi)，我將使美國(guó)趴下。一位計(jì)算機(jī)專家毫不夸張地說(shuō)：如果給我一臺(tái)普通計(jì)算機(jī)、一條電話線和一個(gè)調(diào)制解調(diào)器，就可以令某個(gè)地區(qū)的網(wǎng)絡(luò)運(yùn)行失常。

據(jù)了解，從1997年底至今，我國(guó)的政府部門(mén)、證券公司、銀行等機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)相繼遭到多次攻擊。公安機(jī)關(guān)受理各類信息網(wǎng)絡(luò)違法犯罪案件逐年劇增，尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國(guó)大量的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用依賴于外國(guó)的產(chǎn)品和技術(shù)，在電子政務(wù)、電子商務(wù)和各行業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用尚處于發(fā)展階段，以上這些領(lǐng)域的大型計(jì)算機(jī)網(wǎng)絡(luò)工程都由國(guó)內(nèi)一些較大的系統(tǒng)集成商負(fù)責(zé)。有些集成商仍缺乏足夠?qū)I(yè)的安全支撐技術(shù)力量，同時(shí)一些負(fù)責(zé)網(wǎng)絡(luò)安全的工程技術(shù)人員對(duì)許多潛在風(fēng)險(xiǎn)認(rèn)識(shí)不足。缺乏必要的技術(shù)設(shè)施和相關(guān)處理經(jīng)驗(yàn)，面對(duì)形勢(shì)日益嚴(yán)峻的現(xiàn)狀，很多時(shí)候都顯得有些力不從心。也正是由于受技術(shù)條件的限制，很多人對(duì)網(wǎng)絡(luò)安全的意識(shí)僅停留在如何防范病毒階段，對(duì)網(wǎng)絡(luò)安全缺乏整體意識(shí)。

隨著網(wǎng)絡(luò)的逐步普及，網(wǎng)絡(luò)安全的問(wèn)題已經(jīng)日益突。如同其它任何社會(huì)一樣，互連網(wǎng)也受到某些無(wú)聊之人的困擾，某些人喜愛(ài)在網(wǎng)上做這類的事,像在現(xiàn)實(shí)中向其他人的墻上噴染涂鴉、將他人的郵箱推倒或者坐在大街上按汽車(chē)?yán)纫粯?。網(wǎng)絡(luò)安全已成為互連網(wǎng)上事實(shí)上的焦點(diǎn)問(wèn)題。它關(guān)系到互連網(wǎng)的進(jìn)一步發(fā)展和普及，甚至關(guān)系著互連網(wǎng)的生存。近年來(lái)，無(wú)論在發(fā)達(dá)國(guó)家，還是在發(fā)展中國(guó)家，黑客活動(dòng)越來(lái)越猖狂，他們無(wú)孔不入，對(duì)社會(huì)造成了嚴(yán)重的危害。目前在互連網(wǎng)上大約有將近80%以上的用戶曾經(jīng)遭受過(guò)黑客的困擾。而與此同時(shí)，更讓人不安的是，互連網(wǎng)上病毒和黑客的聯(lián)姻、不斷增多的黑客網(wǎng)站，使學(xué)習(xí)黑客技術(shù)、獲得黑客攻擊工具變的輕而易舉。這樣，使原本就十分脆弱的互連網(wǎng)越發(fā)顯得不安全。

1.2研究意義

現(xiàn)在網(wǎng)絡(luò)的觀念已經(jīng)深入人心，越來(lái)越多的人們通過(guò)網(wǎng)絡(luò)來(lái)了解世界，同時(shí)他們也可以通過(guò)網(wǎng)絡(luò)發(fā)布消息，與朋友進(jìn)行交流和溝通，展示自己，以及開(kāi)展電子商務(wù)等等。人們的日常生活也越來(lái)越依靠網(wǎng)絡(luò)進(jìn)行。同時(shí)網(wǎng)絡(luò)攻擊也愈演愈烈，時(shí)刻威脅著用戶上網(wǎng)安全，網(wǎng)絡(luò)與信息安全已經(jīng)成為當(dāng)今社會(huì)關(guān)注的重要問(wèn)題之一。黨的十六屆四中全會(huì)，把信息安全和政治安全、經(jīng)濟(jì)安全、文化安全并列為國(guó)家安全的四大范疇之一，信息安全的重要性被提升到一個(gè)空前的戰(zhàn)略高度。正是因?yàn)榘踩{的無(wú)處不在，為了解決這個(gè)問(wèn)題防火墻出現(xiàn)了。防火墻的本義原是指古代人們房屋之間修建的那道為防止火災(zāi)蔓延而建立的墻，而現(xiàn)在意義上的防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施的總稱。應(yīng)該說(shuō)，在互連網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過(guò)它可以隔離風(fēng)險(xiǎn)區(qū)域(即Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò))與安全區(qū)域(局域網(wǎng))的連接，同時(shí)不會(huì)妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問(wèn)。成而有效的控制用戶的上網(wǎng)安全。防火墻是實(shí)施網(wǎng)絡(luò)安全控制得一種必要技術(shù)，它是一個(gè)或一組系統(tǒng)組成，它在網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略。實(shí)現(xiàn)它的實(shí)際方式各不相同，但是在原則上，防火墻可以被認(rèn)為是這樣同一種機(jī)制：攔阻不安全的傳輸流，允許安全的傳輸流通過(guò)。特定應(yīng)用程序行為控制等獨(dú)特的自我保護(hù)機(jī)制使它可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信信息，僅讓安全的、核準(zhǔn)了的信息進(jìn)入；它可以限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過(guò)濾掉不安全服務(wù)和非法用戶；它可以封鎖特洛伊木馬，防止機(jī)密數(shù)據(jù)的外泄；它可以限定用戶訪問(wèn)特殊站點(diǎn)，禁止用戶對(duì)某些內(nèi)容不健康站點(diǎn)的訪問(wèn)；它還可以為監(jiān)視互聯(lián)網(wǎng)的安全提供方便。現(xiàn)在國(guó)外的優(yōu)秀防火墻如Outpost不但能完成以上介紹的基本功能，還能對(duì)獨(dú)特的私人信息保護(hù)如防止密碼泄露、對(duì)內(nèi)容進(jìn)行管理以防止小孩子或員工查看不合適的網(wǎng)頁(yè)內(nèi)容，允許按特定關(guān)鍵字以及特定網(wǎng)地進(jìn)行過(guò)濾等、同時(shí)還能對(duì)DNS 緩存進(jìn)行保護(hù)、對(duì)Web 頁(yè)面的交互元素進(jìn)行控制如過(guò)濾不需要的GIF，F(xiàn)lash動(dòng)畫(huà)等界面元素。隨著時(shí)代的發(fā)展和科技的進(jìn)步防火墻功能日益完善和強(qiáng)大，但面對(duì)日益增多的網(wǎng)絡(luò)安全威脅防火墻仍不是完整的解決方案。但不管如何變化防火墻仍然是網(wǎng)絡(luò)安全必不可少的工具之一。

1.3 計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅

1.3.1 網(wǎng)絡(luò)安全脆弱的原因

(1)Internet所用底層TCP/IP網(wǎng)絡(luò)協(xié)議本身易受到攻擊，該協(xié)議本身的安全問(wèn)題極大地影響到上層應(yīng)用的安全。

(2)Internet上廣為傳插的易用黑客和解密工具使很多網(wǎng)絡(luò)用戶輕易地獲得了攻擊網(wǎng)絡(luò)的方法和手段。

(3)快速的軟件升級(jí)周期，會(huì)造成問(wèn)題軟件的出現(xiàn)，經(jīng)常會(huì)出現(xiàn)操作系統(tǒng)和應(yīng)用程序存在新的攻擊漏洞。

(4)現(xiàn)行法規(guī)政策和管理方面存在不足。目前我國(guó)針對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)信息保護(hù)的條款不細(xì)致，網(wǎng)上保密的法規(guī)制度可操作性不強(qiáng)，執(zhí)行不力。同時(shí)，不少單位沒(méi)有從管理制度、人員和技術(shù)上建立相應(yīng)的安全防范機(jī)制。缺乏行之有效的安全檢查保護(hù)措施，甚至有一些網(wǎng)絡(luò)管理員利用職務(wù)之便從事網(wǎng)上違法行為。

1.3.1網(wǎng)絡(luò)安全面臨的威脅

信息安全是一個(gè)非常關(guān)鍵而又復(fù)雜的問(wèn)題。計(jì)算機(jī)信息系統(tǒng)安全指計(jì)算機(jī)信息系統(tǒng)資產(chǎn)(包括網(wǎng)絡(luò))的安全，即計(jì)算機(jī)信息系統(tǒng)資源(硬件、軟件和信息)不受自然和人為有害因素的威脅和危害。

計(jì)算機(jī)信息系統(tǒng)之所以存在著脆弱性，主要是由于技術(shù)本身存在著安全弱點(diǎn)、系統(tǒng)的安全性差、缺乏安全性實(shí)踐等;計(jì)算機(jī)信息系統(tǒng)受到的威脅和攻擊除自然災(zāi)害外，主要來(lái)自計(jì)算機(jī)犯罪、計(jì)算機(jī)病毒、黑客攻擊、信息戰(zhàn)爭(zhēng)和計(jì)算機(jī)系統(tǒng)故障等。由于計(jì)算機(jī)信息系統(tǒng)已經(jīng)成為信息社會(huì)另一種形式的“金庫(kù)”和“保密室”，因而，成為一些人窺視的目標(biāo)。再者，由于計(jì)算機(jī)信息系統(tǒng)自身所固有的脆弱性，使計(jì)算機(jī)信息系統(tǒng)面臨威脅和攻擊的考驗(yàn)。計(jì)算機(jī)信息系統(tǒng)的安全威脅主要來(lái)自于以下幾個(gè)方面：

(1)自然災(zāi)害。計(jì)算機(jī)信息系統(tǒng)僅僅是一個(gè)智能的機(jī)器，易受自然災(zāi)害及環(huán)境(溫度、濕度、振動(dòng)、沖擊、污染)的影響。目前，我們不少計(jì)算機(jī)房并沒(méi)有防震、防火、防水、避雷、防電磁泄漏或干擾等措施，接地系統(tǒng)也疏于周到考慮，抵御自然災(zāi)害和意外事故的能力較差。日常工作中因斷電而設(shè)備損壞、數(shù)據(jù)丟失的現(xiàn)象時(shí)有發(fā)生。由于噪音和電磁輻射，導(dǎo)致網(wǎng)絡(luò)信噪比下降，誤碼率增加，信息的安全性、完整性和可用

性受到威脅。

(2)黑客的威脅和攻擊。計(jì)算機(jī)信息網(wǎng)絡(luò)上的黑客攻擊事件越演越烈，已經(jīng)成為具有一定經(jīng)濟(jì)條件和技術(shù)專長(zhǎng)的形形色色攻擊者活動(dòng)的舞臺(tái)。他們具有計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)脆弱性的知識(shí)，能使用各種計(jì)算機(jī)工具。境內(nèi)外黑客攻擊破壞網(wǎng)絡(luò)的問(wèn)題十分嚴(yán)重，他們通常采用非法侵人重要信息系統(tǒng)，竊聽(tīng)、獲取、攻擊侵人網(wǎng)的有關(guān)敏感性重要信息，修改和破壞信息網(wǎng)絡(luò)的正常使用狀態(tài)，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給國(guó)家造成重大政治影響和經(jīng)濟(jì)損失。黑客問(wèn)題的出現(xiàn)，并非黑客能夠制造入侵的機(jī)會(huì)，從沒(méi)有路的地方走出一條路，只是他們善于發(fā)現(xiàn)漏洞。即信息網(wǎng)絡(luò)本身的不完善性和缺陷，成為被攻擊的目標(biāo)或利用為攻擊的途徑，其信息網(wǎng)絡(luò)脆弱性引發(fā)了信息社會(huì)脆弱性和安全問(wèn)題，并構(gòu)成了自然或人為破壞的威脅。

(3)計(jì)算機(jī)病毒。90年代，出現(xiàn)了曾引起世界性恐慌的“計(jì)算機(jī)病毒”，其蔓延范圍廣，增長(zhǎng)速度驚人，損失難以估計(jì)。它像灰色的幽靈將自己附在其他程序上，在這些程序運(yùn)行時(shí)進(jìn)人到系統(tǒng)中進(jìn)行擴(kuò)散。計(jì)算機(jī)感染上病毒后，輕則使系統(tǒng)上作效率下降，重則造成系統(tǒng)死機(jī)或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計(jì)算機(jī)主板等部件的損壞。

(4)垃圾郵件和間諜軟件。一些人利用電子郵件地址的“公開(kāi)性”和系統(tǒng)的“可廣播性”進(jìn)行商業(yè)、宗教、政治等活動(dòng)，把自己的電子郵件強(qiáng)行“推入”別人的電子郵箱，強(qiáng)迫他人接受垃圾郵件。與計(jì)算機(jī)病毒不同，間諜軟件的主要目的不在于對(duì)系統(tǒng)造成破壞，而是竊取系統(tǒng)或是用戶信息。事實(shí)上，間諜軟件日前還是一個(gè)具有爭(zhēng)議的概念，一種被普遍接受的觀點(diǎn)認(rèn)為間諜軟件是指那些在用戶小知情的情況下進(jìn)行非法安裝發(fā)裝后很難找到其蹤影，并悄悄把截獲的一些機(jī)密信息提供給第下者的軟件。間諜軟件的功能繁多，它可以監(jiān)視用戶行為，或是發(fā)布廣告，修改系統(tǒng)設(shè)置，威脅用戶隱私和計(jì)算機(jī)安全，并可能小同程度的影響系統(tǒng)性能。

(5)信息戰(zhàn)的嚴(yán)重威脅。信息戰(zhàn)，即為了國(guó)家的軍事戰(zhàn)略而采取行動(dòng)，取得信息優(yōu)勢(shì)，干擾敵方的信息和信息系統(tǒng)，同時(shí)保衛(wèi)自己的信息和信息系統(tǒng)。這種對(duì)抗形式的目標(biāo)，不是集中打擊敵方的人員或戰(zhàn)斗技術(shù)裝備，而是集中打擊敵方的計(jì)算機(jī)信息系統(tǒng)，使其神經(jīng)中樞的指揮系統(tǒng)癱瘓。信息技術(shù)從根本上改變了進(jìn)行戰(zhàn)爭(zhēng)的方法，其攻擊的首要目標(biāo)主要是連接國(guó)家政治、軍事、經(jīng)濟(jì)和整個(gè)社會(huì)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，信息武器已經(jīng)成為了繼原子武器、生物武器、化學(xué)武器之后的第四類戰(zhàn)略武器?？梢哉f(shuō)，未來(lái)國(guó)與國(guó)之間的對(duì)抗首先將是信息技術(shù)的較量。網(wǎng)絡(luò)信息安全應(yīng)該成為國(guó)家安全的前提。

(6)計(jì)算機(jī)犯罪。計(jì)算機(jī)犯罪，通常是利用竊取口令等手段非法侵人計(jì)算機(jī)信息系統(tǒng)，傳播有害信息，惡意破壞計(jì)算機(jī)系統(tǒng)，實(shí)施貪污、盜竊、詐騙和金融犯罪等活動(dòng)。

在一個(gè)開(kāi)放的網(wǎng)絡(luò)環(huán)境中，大量信息在網(wǎng)上流動(dòng)，這為不法分子提供了攻擊目標(biāo)。他們利用不同的攻擊手段，獲得訪問(wèn)或修改在網(wǎng)中流動(dòng)的敏感信息，闖入用戶或政府部門(mén)的計(jì)算機(jī)系統(tǒng)，進(jìn)行窺視、竊取、篡改數(shù)據(jù)。不受時(shí)間、地點(diǎn)、條件限制的網(wǎng)絡(luò)詐騙，其“低成本和高收益”又在一定程度上刺激了犯罪的增長(zhǎng)。使得針對(duì)計(jì)算機(jī)信息系統(tǒng)的犯罪活動(dòng)日益增多。防火墻的安全功能及安全網(wǎng)絡(luò)方案

2.1防火墻具備的安全功能

防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。從總體上看，防火墻應(yīng)該具有以下基本功能：

(1)報(bào)警功能，將任何有網(wǎng)絡(luò)連接請(qǐng)求的程序通知用戶，用戶自行判斷是否放行也或阻斷其程序連接網(wǎng)絡(luò)。

(2)黑白名單功能，可以對(duì)現(xiàn)在或曾經(jīng)請(qǐng)求連接網(wǎng)絡(luò)的程序進(jìn)行規(guī)則設(shè)置。包括以后不準(zhǔn)許連接網(wǎng)網(wǎng)等功能。

(3)局域網(wǎng)查詢功能，可以查詢本局域網(wǎng)內(nèi)其用戶，并顯示各用戶主機(jī)名。

(4)流量查看功能，對(duì)計(jì)算機(jī)進(jìn)出數(shù)據(jù)流量進(jìn)行查看，直觀的完整的查看實(shí)時(shí)數(shù)據(jù)量和上傳下載數(shù)據(jù)率。

(5)端口掃描功能，戶自可以掃描本機(jī)端口，端口范圍為0-65535端口，掃描完后將顯示已開(kāi)放的端口。

(6)系統(tǒng)日志功能，日志分為流量日志和安全日志，流量日志是記錄不同時(shí)間數(shù)據(jù)包進(jìn)去計(jì)算機(jī)的情況，分別記錄目標(biāo)地址，對(duì)方地址，端口號(hào)等。安全日志負(fù)責(zé)記錄請(qǐng)求連接網(wǎng)絡(luò)的程序，其中包括記錄下程序的請(qǐng)求連網(wǎng)時(shí)間，程序目錄路徑等。(7)系統(tǒng)服務(wù)功能，可以方便的查看所以存在于計(jì)算機(jī)內(nèi)的服務(wù)程序?？梢躁P(guān)閉，啟動(dòng)，暫停計(jì)算機(jī)內(nèi)的服務(wù)程序。

(8)連網(wǎng)/斷網(wǎng)功能，在不使用物理方法下使用戶計(jì)算機(jī)連接網(wǎng)絡(luò)或斷開(kāi)網(wǎng)絡(luò)。完成以上功能使系統(tǒng)能對(duì)程序連接網(wǎng)絡(luò)進(jìn)行管理，大大提高了用戶上網(wǎng)的效率，降低的上網(wǎng)風(fēng)險(xiǎn)。從而用戶上網(wǎng)娛樂(lè)的質(zhì)量達(dá)到提高，同時(shí)也達(dá)到網(wǎng)絡(luò)安全保護(hù)的目的。

2.2 計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅網(wǎng)絡(luò)安全的解決方案

2.2.1入侵檢測(cè)系統(tǒng)部署

入侵檢測(cè)能力是衡量一個(gè)防御體系是否完整有效的重要因素，強(qiáng)大完整的入侵檢

測(cè)體系可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足。對(duì)來(lái)自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測(cè)，及時(shí)發(fā)現(xiàn)各種可能的攻擊企圖，并采取相應(yīng)的措施。具體來(lái)講，就是將入侵檢測(cè)引擎接入中心交換機(jī)上。入侵檢測(cè)系統(tǒng)集入侵檢測(cè)、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫(kù)，使用模式匹配和智能分析的方法，檢測(cè)網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫(kù)中記錄有關(guān)事件，作為網(wǎng)絡(luò)管理員事后分析的依據(jù)；如果情況嚴(yán)重，系統(tǒng)可以發(fā)出實(shí)時(shí)報(bào)警，使得學(xué)校管理員能夠及時(shí)采取應(yīng)對(duì)措施。

2.2.2漏洞掃描系統(tǒng)

采用目前最先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。

2.2.3網(wǎng)絡(luò)版殺毒產(chǎn)品部署

在該網(wǎng)絡(luò)防病毒方案中，我們最終要達(dá)到一個(gè)目的就是：要在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作，為了實(shí)現(xiàn)這一點(diǎn)，我們應(yīng)該在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺等多種功能。

2.2.4 安全服務(wù)配置

安全服務(wù)隔離區(qū)(DMZ)把服務(wù)器機(jī)群和系統(tǒng)管理機(jī)群?jiǎn)为?dú)劃分出來(lái), 設(shè)置為安全服務(wù)隔離區(qū), 它既是內(nèi)部網(wǎng)絡(luò)的一部分, 又是一個(gè)獨(dú)立的局域網(wǎng)，單獨(dú)劃分出來(lái)是為了更好的保護(hù)服務(wù)器上數(shù)據(jù)和系統(tǒng)管理的正常運(yùn)行。建議通過(guò)NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)

技術(shù)將受保護(hù)的內(nèi)部網(wǎng)絡(luò)的全部主機(jī)地址映射成防火墻上設(shè)置的少數(shù)幾個(gè)有效公網(wǎng)IP地址。這不僅可以對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和IP地址, 保護(hù)內(nèi)部網(wǎng)絡(luò)的安全, 也可以大大節(jié)省公網(wǎng)IP地址的使用, 節(jié)省了投資成本。

如果單位原來(lái)已有邊界路由器, 則可充分利用原有設(shè)備, 利用邊界路由器的包過(guò)

濾功能, 添加相應(yīng)的防火墻配置，這樣原來(lái)的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接。對(duì)于DMZ區(qū)中的公用服務(wù)器, 則可直接與邊界路由器相連，不用經(jīng)過(guò)防火墻。它可只經(jīng)過(guò)路由器的簡(jiǎn)單防護(hù)。在此拓?fù)浣Y(jié)構(gòu)中, 邊界路由器與防火墻就一起組成了兩道安全防線, 并且在這兩者之間可以設(shè)置一個(gè)DMZ區(qū), 用來(lái)放置那些允許外部用戶訪問(wèn)的公用服務(wù)器設(shè)施。

2.2.5 配置訪問(wèn)策略

訪問(wèn)策略是防火墻的核心安全策略, 所以要經(jīng)過(guò)詳盡的信息統(tǒng)計(jì)才可以進(jìn)行設(shè)置。在過(guò)程中我們需要了解本單位對(duì)內(nèi)對(duì)外的應(yīng)用以及所對(duì)應(yīng)的源地址、目的地址、TCP 或UDP的端口, 并根據(jù)不同應(yīng)用的執(zhí)行頻繁程度對(duì)策略在規(guī)則表中的位置進(jìn)行排序, 然后才能實(shí)施配置。原因是防火墻進(jìn)行規(guī)則查找時(shí)是順序執(zhí)行的, 如果將常用的規(guī)則放在首位就可以提高防火墻的工作效率。

2.2.6 日志監(jiān)控

日志監(jiān)控是十分有效的安全管理手段。往往許多管理員認(rèn)為只要可以做日志的信息就去采集。如: 所有的告警或所有與策略匹配或不匹配的流量等等，這樣的做法看似日志信息十分完善, 但每天進(jìn)出防火墻的數(shù)據(jù)有上百萬(wàn)甚至更多, 所以, 只有采集到最關(guān)鍵的日志才是真正有用的日志。一般而言，系統(tǒng)的告警信息是有必要記錄的, 對(duì)于流量信息進(jìn)行選擇, 把影響網(wǎng)絡(luò)安全有關(guān)的流量信息保存下來(lái)。計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)并實(shí)現(xiàn)

3.1桌面安全系統(tǒng)

用戶的重要信息都是以文件的形式存儲(chǔ)在磁盤(pán)上，使用戶可以方便地存取、修改、分發(fā)。這樣可以提高辦公的效率，但同時(shí)也造成用戶的信息易受到攻擊，造成泄密。特別是對(duì)于移動(dòng)辦公的情況更是如此。因此，需要對(duì)移動(dòng)用戶的文件及文件夾進(jìn)行本地安全管理，防止文件泄密等安全隱患。

本設(shè)計(jì)方案采用清華紫光公司出品的紫光S鎖產(chǎn)品，“紫光S鎖”是清華紫光“桌面計(jì)算機(jī)信息安全保護(hù)系統(tǒng)”的商品名稱。紫光S鎖的內(nèi)部集成了包括中央處理器（CPU）、加密運(yùn)算協(xié)處理器（CAU）、只讀存儲(chǔ)器（ROM），隨機(jī)存儲(chǔ)器（RAM）、電可擦除可編程只讀存儲(chǔ)器（E2PROM）等，以及固化在ROM內(nèi)部的芯片操作系統(tǒng)COS（Chip Operating System）、硬件ID號(hào)、各種密鑰和加密算法等。紫光S鎖采用了通過(guò)中國(guó)人民銀行認(rèn)證的SmartCOS，其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改，防止非法軟件對(duì)S鎖進(jìn)行操作。

3.2病毒防護(hù)系統(tǒng)

基于單位目前網(wǎng)絡(luò)的現(xiàn)狀，在網(wǎng)絡(luò)中添加一臺(tái)服務(wù)器，用于安裝IMSS。

（1)郵件防毒。采用趨勢(shì)科技的ScanMail for Notes。該產(chǎn)品可以和Domino的群件服務(wù)器無(wú)縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫(kù)中，可防止病毒入侵到LotueNotes的數(shù)據(jù)庫(kù)及電子郵件，實(shí)時(shí)掃描并清除隱藏于數(shù)據(jù)庫(kù)及信件附件中的病毒?？赏ㄟ^(guò)任何Notes工作站或Web界面遠(yuǎn)程控管防毒管理工作，并提供實(shí)時(shí)監(jiān)控病毒流量的活動(dòng)記錄報(bào)告。ScanMail是Notes Domino Server使用率最高的防病毒軟件。

（2)服務(wù)器防毒。采用趨勢(shì)科技的ServerProtect。該產(chǎn)品的最大特點(diǎn)是內(nèi)含集中管理的概念，防毒模塊和管理模塊可分開(kāi)安裝。一方面減少了整個(gè)防毒系統(tǒng)對(duì)原系統(tǒng)的影響，另一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點(diǎn)進(jìn)行部署，管理和更新。

（3)客戶端防毒。采用趨勢(shì)科技的OfficeScan。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng)，使管理者通過(guò)單點(diǎn)控制所有客戶機(jī)上的防毒模塊，并可以自動(dòng)對(duì)所有客戶端的防

毒模塊進(jìn)行更新。其最大特點(diǎn)是擁有靈活的產(chǎn)品集中部署方式，不受Windows域管理模式的約束，除支持SMS，登錄域腳本，共享安裝以外，還支持純Web的部署方式。

（4)集中控管TVCS。管理員可以通過(guò)此工具在整個(gè)企業(yè)范圍內(nèi)進(jìn)行配置、監(jiān)視和維護(hù)趨勢(shì)科技的防病毒軟件，支持跨域和跨網(wǎng)段的管理，并能顯示基于服務(wù)器的防病毒產(chǎn)品狀態(tài)。無(wú)論運(yùn)行于何種平臺(tái)和位置，TVCS在整個(gè)網(wǎng)絡(luò)中總起一個(gè)單一管理控制臺(tái)作用。簡(jiǎn)便的安裝和分發(fā)代理部署，網(wǎng)絡(luò)的分析和病毒統(tǒng)計(jì)功能以及自動(dòng)下載病毒代碼文件和病毒爆發(fā)警報(bào)，給管理帶來(lái)極大的便利。

3.3 動(dòng)態(tài)口令系統(tǒng)

動(dòng)態(tài)口令系統(tǒng)在國(guó)際公開(kāi)的密碼算法基礎(chǔ)上，結(jié)合生成動(dòng)態(tài)口令的特點(diǎn)，加以精心修改，通過(guò)十次以上的非線性迭代運(yùn)算，完成時(shí)間參數(shù)與密鑰充分的混合擴(kuò)散。在此基礎(chǔ)上，采用先進(jìn)的身份認(rèn)證及加解密流程、先進(jìn)的密鑰管理方式，從整體上保證了系統(tǒng)的安全性。

單位安全網(wǎng)由多個(gè)具有不同安全信任度的網(wǎng)絡(luò)部分構(gòu)成，在控制不可信連接、分辨非法訪問(wèn)、辨別身份偽裝等方面存在著很大的缺陷，從而構(gòu)成了對(duì)網(wǎng)絡(luò)安全的重要隱患。本設(shè)計(jì)方案選用四臺(tái)網(wǎng)御防火墻，分別配置在高性能服務(wù)器和三個(gè)重要部門(mén)的局域網(wǎng)出入口，實(shí)現(xiàn)這些重要部門(mén)的訪問(wèn)控制。

通過(guò)在核心交換機(jī)和高性能服務(wù)器群之間及核心交換機(jī)和重要部門(mén)之間部署防火墻，通過(guò)防火墻將網(wǎng)絡(luò)內(nèi)部不同部門(mén)的網(wǎng)絡(luò)或關(guān)鍵服務(wù)器劃分為不同的網(wǎng)段，彼此隔離。這樣不僅保護(hù)了單位網(wǎng)絡(luò)服務(wù)器，使其不受來(lái)自內(nèi)部的攻擊，也保護(hù)了各部門(mén)網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器不受來(lái)自單位網(wǎng)內(nèi)部其他部門(mén)的網(wǎng)絡(luò)的攻擊。如果有人闖進(jìn)您的一個(gè)部門(mén)，或者如果病毒開(kāi)始蔓延，網(wǎng)段能夠限制造成的損壞進(jìn)一步擴(kuò)大。

為有效解決辦公區(qū)之間信息的傳輸安全，可以在多個(gè)子網(wǎng)之間建立起獨(dú)立的安全通道，通過(guò)嚴(yán)格的加密和認(rèn)證措施來(lái)保證通道中傳送的數(shù)據(jù)的完整性、真實(shí)性和私有性。

SJW-22網(wǎng)絡(luò)密碼機(jī)系統(tǒng)組成

網(wǎng)絡(luò)密碼機(jī)（硬件）:是一個(gè)基于專用內(nèi)核，具有自主版權(quán)的高級(jí)通信保護(hù)控制系

統(tǒng)。

本地管理器（軟件）:是一個(gè)安裝于密碼機(jī)本地管理平臺(tái)上的基于網(wǎng)絡(luò)或串口方式的網(wǎng)絡(luò)密碼機(jī)本地管理系統(tǒng)軟件。

中心管理器（軟件）:是一個(gè)安裝于中心管理平臺(tái)（Windows系統(tǒng)）上的對(duì)全網(wǎng)的密碼機(jī)設(shè)備進(jìn)行統(tǒng)一管理的系統(tǒng)軟件。

根據(jù)以上多層次安全防范的策略，安全網(wǎng)的安全建設(shè)可采取“加密”、“外防”、“內(nèi)審”相結(jié)合的方法，“內(nèi)審”是對(duì)系統(tǒng)內(nèi)部進(jìn)行監(jiān)視、審查，識(shí)別系統(tǒng)是否正在受到攻擊以及內(nèi)部機(jī)密信息是否泄密，以解決內(nèi)層安全。

安全審計(jì)系統(tǒng)能幫助用戶對(duì)安全網(wǎng)的安全進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)上的動(dòng)態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為，忠實(shí)記錄網(wǎng)絡(luò)上發(fā)生的一切，提供取證手段。作為網(wǎng)絡(luò)安全十分重要的一種手段，安全審計(jì)系統(tǒng)包括識(shí)別、記錄、存儲(chǔ)、分析與安全相關(guān)行為有關(guān)的信息。

在安全網(wǎng)中使用的安全審計(jì)系統(tǒng)應(yīng)實(shí)現(xiàn)如下功能：安全審計(jì)自動(dòng)響應(yīng)、安全審計(jì)數(shù)據(jù)生成、安全審計(jì)分析、安全審計(jì)瀏覽、安全審計(jì)事件存儲(chǔ)、安全審計(jì)事件選擇等。

本設(shè)計(jì)方案選用“漢邦軟科”的安全審計(jì)系統(tǒng)作為安全審計(jì)工具。

漢邦安全審計(jì)系統(tǒng)是針對(duì)目前網(wǎng)絡(luò)發(fā)展現(xiàn)狀及存在的安全問(wèn)題，面向企事業(yè)的網(wǎng)絡(luò)管理人員而設(shè)計(jì)的一套網(wǎng)絡(luò)安全產(chǎn)品，是一個(gè)分布在整個(gè)安全網(wǎng)范圍內(nèi)的網(wǎng)絡(luò)安全監(jiān)視監(jiān)測(cè)、控制系統(tǒng)。

（1）安全審計(jì)系統(tǒng)由安全監(jiān)控中心和主機(jī)傳感器兩個(gè)部分構(gòu)成。主機(jī)傳感器安裝在要監(jiān)視的目標(biāo)主機(jī)上，其監(jiān)視目標(biāo)主機(jī)的人機(jī)界面操作、監(jiān)控RAS連接、監(jiān)控網(wǎng)絡(luò)連接情況及共享資源的使用情況。安全監(jiān)控中心是管理平臺(tái)和監(jiān)控平臺(tái)，網(wǎng)絡(luò)管理員通過(guò)安全監(jiān)控中心為主機(jī)傳感器設(shè)定監(jiān)控規(guī)則，同時(shí)獲得監(jiān)控結(jié)果、報(bào)警信息以及日志的審計(jì)。主要功能有文件保護(hù)審計(jì)和主機(jī)信息審計(jì)。

①文件保護(hù)審計(jì)：文件保護(hù)安裝在審計(jì)中心，可有效的對(duì)被審計(jì)主機(jī)端的文件進(jìn)行管理規(guī)則設(shè)置，包括禁止讀、禁止寫(xiě)、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報(bào)警等功能。以及對(duì)文件保護(hù)進(jìn)行用戶管理。

②主機(jī)信息審計(jì):對(duì)網(wǎng)絡(luò)內(nèi)公共資源中，所有主機(jī)進(jìn)行審計(jì)，可以審計(jì)到主機(jī)的機(jī)器名、當(dāng)前用戶、操作系統(tǒng)類型、IP地址信息。

（2)資源監(jiān)控系統(tǒng)主要有四類功能。①監(jiān)視屏幕:在用戶指定的時(shí)間段內(nèi)，系統(tǒng)自動(dòng)每隔數(shù)秒或數(shù)分截獲一次屏幕;用戶實(shí)時(shí)控制屏幕截獲的開(kāi)始和結(jié)束。防火墻的配置

4.1防火墻的初始配置

像路由器一樣，在使用之前，防火墻也需要經(jīng)過(guò)基本的初始配置。但因各種防火墻的初始配置基本類似，所以在此僅以Cisco PIX防火墻為例進(jìn)行介紹。

防火墻的初始配置也是通過(guò)控制端口（Console）與PC機(jī)（通常是便于移動(dòng)的筆記本電腦）的串口連接，再通過(guò)Windows系統(tǒng)自帶的超級(jí)終端（HyperTerminal）程序進(jìn)行選項(xiàng)配置。防火墻的初始配置物理連接與前面介紹的交換機(jī)初始配置連接方法一樣，參見(jiàn)圖1所示。

防火墻除了以上所說(shuō)的通過(guò)控制端口（Console）進(jìn)行初始配置外，也可以通過(guò)telnet和Tffp配置方式進(jìn)行高級(jí)配置，但Telnet配置方式都是在命令方式中配置，難度較大，而Tffp方式需要專用的Tffp服務(wù)器軟件，但配置界面比較友好。

防火墻與路由器一樣也有四種用戶配置模式，即：普通模式（Unprivileged mode）、特權(quán)模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），進(jìn)入這四種用戶模式的命令也與路由器一樣：

普通用戶模式無(wú)需特別命令，啟動(dòng)后即進(jìn)入；

進(jìn)入特權(quán)用戶模式的命令為“enable”；進(jìn)入配置模式的命令為“config terminal”；而進(jìn)入端口模式的命令為“interface ethernet（）”。不過(guò)因?yàn)榉阑饓Φ亩丝跊](méi)有路由器那么復(fù)雜，所以通常把端口模式歸為配置模式，統(tǒng)稱為“全局配置模式”。

防火墻的具體配置步驟如下：

1.將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的

一個(gè)空余串口上，參見(jiàn)圖1。

2.打開(kāi)PIX防火電源，讓系統(tǒng)加電初始化，然后開(kāi)啟與防火墻連接的主機(jī)。

3.運(yùn)行筆記本電腦Windows系統(tǒng)中的超級(jí)終端（HyperTerminal）程序（通常在“附件”程序組中）。對(duì)超級(jí)終端的配置與交換機(jī)或路由器的配置一樣，參見(jiàn)本教程前面有關(guān)介紹。

4.當(dāng)PIX防火墻進(jìn)入系統(tǒng)后即顯示“pixfirewall>”的提示符，這就證明防火墻已啟動(dòng)成功，所進(jìn)入的是防火墻用戶模式?？梢赃M(jìn)行進(jìn)一步的配置了。

5.輸入命令：enable,進(jìn)入特權(quán)用戶模式，此時(shí)系統(tǒng)提示為：pixfirewall#。

6.輸入命令： configure terminal,進(jìn)入全局配置模式，對(duì)系統(tǒng)進(jìn)行初始化設(shè)置。

（1）.首先配置防火墻的網(wǎng)卡參數(shù)（以只有1個(gè)LAN和1個(gè)WAN接口的防火墻配置為例）

Interface ethernet0 auto # 0號(hào)網(wǎng)卡系統(tǒng)自動(dòng)分配為WAN網(wǎng)卡，“auto”選項(xiàng)為系統(tǒng)自適應(yīng)網(wǎng)卡類型

Interface ethernet1 auto

（2）.配置防火墻內(nèi)、外部網(wǎng)卡的IP地址

IP address inside ip_address netmask # Inside代表內(nèi)部網(wǎng)卡

IP address outside ip_address netmask # outside代表外部網(wǎng)卡

（3）.指定外部網(wǎng)卡的IP地址范圍：

global 1 ip_address-ip_address

（4）.指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址

nat 1 ip_address netmask

（5）.配置某些控制選項(xiàng)：

conduit global_ip port[-port] protocol foreign_ip [netmask]

其中，global_ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指的是連接協(xié)議，比如：TCP、UDP等；foreign_ip：表示可訪問(wèn)的global_ip外部IP地址；netmask：為可選項(xiàng)，代表要控制的子網(wǎng)掩碼。

7.配置保存：wr mem

8.退出當(dāng)前模式

此命令為exit，可以任何用戶模式下執(zhí)行，執(zhí)行的方法也相當(dāng)簡(jiǎn)單，只輸入命令本身即可。它與Quit命令一樣。下面三條語(yǔ)句表示了用戶從配置模式退到特權(quán)模式，再退到普通模式下的操作步驟。

pixfirewall(config)# exit

pixfirewall# exit

pixfirewall>

9.查看當(dāng)前用戶模式下的所有可用命令：show，在相應(yīng)用戶模式下鍵入這個(gè)命令后，即顯示出當(dāng)前所有可用的命令及簡(jiǎn)單功能描述。

10.查看端口狀態(tài)：show interface，這個(gè)命令需在特權(quán)用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。

11.查看靜態(tài)地址映射:show static，這個(gè)命令也須在特權(quán)用戶模式下執(zhí)行，執(zhí)行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況。

4.2 過(guò)濾防火墻的訪問(wèn)配置

除了以上介紹的基本配置外，在防火墻的安全策略中最重要還是對(duì)訪問(wèn)控制列表（ACL）進(jìn)行配有關(guān)置。下面介紹一些用于此方面配置的基本命令。

1.access-list：用于創(chuàng)建訪問(wèn)規(guī)則

這一訪問(wèn)規(guī)則配置命令要在防火墻的全局配置模式中進(jìn)行。同一個(gè)序號(hào)的規(guī)則可以看作一類規(guī)則，同一個(gè)序號(hào)之間的規(guī)則按照一定的原則進(jìn)行排列和選擇，這個(gè)順序可以通過(guò) show access-list 命令看到。在這個(gè)命令中，又有幾種命令格式，分別執(zhí)行不同的命令。

（1）創(chuàng)建標(biāo)準(zhǔn)訪問(wèn)列表

命令格式：access-list [ normal

special ] listnumber1 { permit

deny } source-addr [ source-mask ]

（2）創(chuàng)建擴(kuò)展訪問(wèn)列表

命令格式：access-list [ normal

special ] listnumber2 { permit

deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ]

icmp-type [ icmp-code ] ] [ log ]

（3）刪除訪問(wèn)列表

命令格式：no access-list { normal

special } { all

listnumber [ subitem ] }

上述命令參數(shù)說(shuō)明如下：

●normal：指定規(guī)則加入普通時(shí)間段。

●special：指定規(guī)則加入特殊時(shí)間段。

●listnumber1：是1到99之間的一個(gè)數(shù)值，表示規(guī)則是標(biāo)準(zhǔn)訪問(wèn)列表規(guī)則。

●listnumber2：是100到199之間的一個(gè)數(shù)值，表示規(guī)則是擴(kuò)展訪問(wèn)列表規(guī)則。

●permit：表明允許滿足條件的報(bào)文通過(guò)。

●deny：表明禁止?jié)M足條件的報(bào)文通過(guò)。

●protocol：為協(xié)議類型，支持ICMP、TCP、UDP等，其它的協(xié)議也支持，此時(shí)沒(méi)有端口比較的概念；為IP時(shí)有特殊含義，代表所有的IP協(xié)議。

●source-addr：為源IP地址。

●source-mask：為源IP地址的子網(wǎng)掩碼，在標(biāo)準(zhǔn)訪問(wèn)列表中是可選項(xiàng)，不輸入則代表通配位為0.0.0.0。

●dest-addr：為目的IP地址。

●dest-mask：為目的地址的子網(wǎng)掩碼。

●operator：端口操作符，在協(xié)議類型為T(mén)CP或UDP時(shí)支持端口比較，支持的比較操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符為range，則后面需要跟兩個(gè)端口。

port1 在協(xié)議類型為T(mén)CP或UDP時(shí)出現(xiàn)，可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或0~65535之間的一個(gè)數(shù)值。port2 在協(xié)議類型為T(mén)CP或UDP且操作類型為range時(shí)出現(xiàn)；可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或0~65535之間的一個(gè)數(shù)值。

●icmp-type：在協(xié)議為ICMP時(shí)出現(xiàn)，代表ICMP報(bào)文類型；可以是關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如echo-reply）或者是0~255之間的一個(gè)數(shù)值。

●icmp-code：在協(xié)議為ICMP，且沒(méi)有選擇所設(shè)定的預(yù)設(shè)值時(shí)出現(xiàn)；代表ICMP碼，是0~255之間的一個(gè)數(shù)值。

●log：表示如果報(bào)文符合條件，需要做日志。

●listnumber：為刪除的規(guī)則序號(hào)，是1~199之間的一個(gè)數(shù)值。

●subitem：指定刪除序號(hào)為listnumber的訪問(wèn)列表中規(guī)則的序號(hào)。

例如，現(xiàn)要在華為的一款防火墻上配置一個(gè)“允許源地址為10.20.10.0 網(wǎng)絡(luò)、目的地址為10.20.30.0網(wǎng)絡(luò)的WWW訪問(wèn)，但不允許使用FTP”的訪問(wèn)規(guī)則。相應(yīng)配置語(yǔ)句只需兩行即可，如下：

Quidway(config)#access-list 100 permit tcp 10.20.10.0 255.0.0.0 10.20.30.0

255.0.0.0 eq www

Quidway(config)#access-list 100 deny tcp 10.20.10.0 255.0.0.0 10.20.30.0 255.0.0.0 eq ftp

2.clear access-list counters：清除訪問(wèn)列表規(guī)則的統(tǒng)計(jì)信息

命令格式：clear access-list counters [ listnumber ]

這一命令必須在特權(quán)用戶模式下進(jìn)行配置。listnumber 參數(shù)是用指定要清除統(tǒng)計(jì)信息的規(guī)則號(hào)，如不指定，則清除所有的規(guī)則的統(tǒng)計(jì)信息。

如要在華為的一款包過(guò)濾路由器上清除當(dāng)前所使用的規(guī)則號(hào)為100的訪問(wèn)規(guī)則統(tǒng)計(jì)信息。訪問(wèn)配置語(yǔ)句為：

clear access-list counters 100

如有清除當(dāng)前所使用的所有規(guī)則的統(tǒng)計(jì)信息，則以上語(yǔ)句需改為：Quidway#clear access-list counters

3.ip access-group

使用此命令將訪問(wèn)規(guī)則應(yīng)用到相應(yīng)接口上。使用此命令的no形式來(lái)刪除相應(yīng)的設(shè)置，對(duì)應(yīng)格式為：

ip access-group listnumber { in

out }

此命令須在端口用戶模式下配置，進(jìn)入端口用戶模式的命令為：interface ethernet（），括號(hào)中為相應(yīng)的端口號(hào)，通常0為外部接口，而1為內(nèi)部接口。進(jìn)入后再用ip access-group 命令來(lái)配置訪問(wèn)規(guī)則。listnumber參數(shù)為訪問(wèn)規(guī)則號(hào)，是1~199之間的一個(gè)數(shù)值（包括標(biāo)準(zhǔn)訪問(wèn)規(guī)則和擴(kuò)展訪問(wèn)規(guī)則兩類）；in 表示規(guī)則應(yīng)用于過(guò)濾從接口接收到的報(bào)文；而out表示規(guī)則用于過(guò)濾從接口轉(zhuǎn)發(fā)出去的報(bào)文。一個(gè)接口的一個(gè)方向上最多可以應(yīng)用20類不同的規(guī)則；這些規(guī)則之間按照規(guī)則序號(hào)的大小進(jìn)行排列，序號(hào)大的排在前面，也就是優(yōu)先級(jí)高。對(duì)報(bào)文進(jìn)行過(guò)濾時(shí)，將采用發(fā)現(xiàn)符合的規(guī)則即得出過(guò)濾結(jié)果的方法來(lái)加快過(guò)濾速度。所以，建議在配置規(guī)則時(shí)，盡量將對(duì)同一個(gè)網(wǎng)絡(luò)配置的規(guī)則放在同一個(gè)序號(hào)的訪問(wèn)列表中；在同一個(gè)序號(hào)的訪問(wèn)列表中，規(guī)則之間的排列和選擇順序可以用show access-list命令來(lái)查看。

例如將規(guī)則100應(yīng)用于過(guò)濾從外部網(wǎng)絡(luò)接口上接收到的報(bào)文，配置語(yǔ)句為（同樣為在傾為包過(guò)濾路由器上）：

ip access-group 100 in

如果要?jiǎng)h除某個(gè)訪問(wèn)控制表列綁定設(shè)置，則可用no ip access-group listnumber { in

out } 命令。

4.show access-list

此配置命令用于顯示包過(guò)濾規(guī)則在接口上的應(yīng)用情況。命令格式為：show access-list [ all

listnumber

interface interface-name ]

這一命令須在特權(quán)用戶模式下進(jìn)行配置，其中all參數(shù)表示顯示所有規(guī)則的應(yīng)用情況，包括普通時(shí)間段內(nèi)及特殊時(shí)間段內(nèi)的規(guī)則；如果選擇listnumber參數(shù)，則僅需顯示指定規(guī)則號(hào)的過(guò)濾規(guī)則；interface 表示要顯示在指定接口上應(yīng)用的所有規(guī)則序號(hào)；interface-name參數(shù)為接口的名稱。

使用此命令來(lái)顯示所指定的規(guī)則，同時(shí)查看規(guī)則過(guò)濾報(bào)文的情況。每個(gè)規(guī)則都有一個(gè)相應(yīng)的計(jì)數(shù)器，如果用此規(guī)則過(guò)濾了一個(gè)報(bào)文，則計(jì)數(shù)器加1；通過(guò)對(duì)計(jì)數(shù)器的觀察可以看出所配置的規(guī)則中，哪些規(guī)則是比較有效，而哪些基本無(wú)效。例如，現(xiàn)在要顯示當(dāng)前所使用序號(hào)為100的規(guī)則的使用情況，可執(zhí)行Quidway#show access-list 100語(yǔ)句即可，隨即系統(tǒng)即顯示這條規(guī)則的使用情況，格式如下：

Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)

permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)

deny udp any any eq rip(no matches--rule 3)

5.show firewall

此命令須在特權(quán)用戶模式下執(zhí)行，它顯示當(dāng)前防火墻狀態(tài)。命令格式非常簡(jiǎn)單，也為：show firewall。這里所說(shuō)的防火墻狀態(tài)，包括防火墻是否被啟用，啟用防火墻時(shí)是否采用了時(shí)間段包過(guò)濾及防火墻的一些統(tǒng)計(jì)信息。

6.Telnet

這是用于定義能過(guò)防火配置控制端口進(jìn)行遠(yuǎn)程登錄的有關(guān)參數(shù)選項(xiàng)，也須在全局配置用戶模式下進(jìn)行配置。

命令格式為：telnet ip_address [netmask] [if_name]

其中的ip_address參數(shù)是用來(lái)指定用于Telnet登錄的IP地址，netmask為子網(wǎng)掩碼，if_name用于指定用于Telnet登錄的接口，通常不用指定，則表示此IP地址適用于所有端口。如：

telnet 192.168.1.1

如果要清除防火墻上某個(gè)端口的Telnet參數(shù)配置，則須用clear telnet命令，其格式為：clear telnet [ip_address [netmask] [if_name]]，其中各選項(xiàng)說(shuō)明同上。它與另一個(gè)命令no telnet功能基本一樣，不過(guò)它是用來(lái)刪除某接口上的Telnet配置，命令格式為：no telnet [ip_address [netmask] [if_name]]。

如果要顯示當(dāng)前所有的Telnet配置，則可用show telnet命令。

最簡(jiǎn)單的防火墻配置，就是直接在內(nèi)部網(wǎng)和外部網(wǎng)之間加裝一個(gè)包過(guò)濾路由器或者應(yīng)用網(wǎng)關(guān)。為更好地實(shí)現(xiàn)網(wǎng)絡(luò)安全，有時(shí)還要將幾種防火墻技術(shù)組合起來(lái)構(gòu)建防火墻系統(tǒng)。目前比較流行的有以下三種防火墻配置方案。

4.3雙宿主機(jī)網(wǎng)關(guān)(Dual Homed Gateway)這種配置是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。雙宿主機(jī)用兩個(gè)網(wǎng)絡(luò)適配器分別連接兩個(gè)網(wǎng)絡(luò)，又稱堡壘主機(jī)。堡壘主機(jī)上運(yùn)行著防火墻軟件(通常是代理服務(wù)器)，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機(jī)網(wǎng)關(guān)有一個(gè)致命弱點(diǎn)，一旦入侵者侵入堡壘主機(jī)并使該主機(jī)只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問(wèn)有保護(hù)的內(nèi)部網(wǎng)絡(luò)(如圖1)。

三種流行防火墻配置方案分析(圖一)

4.4屏蔽主機(jī)網(wǎng)關(guān)(Screened Host Gateway)

屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機(jī)和雙宿堡壘主機(jī)兩種類型。先來(lái)看單宿堡壘主機(jī)類型。一個(gè)包過(guò)濾路由器連接外部網(wǎng)絡(luò)，同時(shí)

一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機(jī)只有一個(gè)網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接(如圖2)。通常在路由器上設(shè)立過(guò)濾規(guī)則，并使這個(gè)單宿堡壘主機(jī)成為從 Internet惟一可以訪問(wèn)的主機(jī)，確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而Intranet內(nèi)部的客戶機(jī)，可以受控制地通過(guò)屏蔽主機(jī)和路由器訪問(wèn)Internet.三種流行防火墻配置方案分析(圖二)

雙宿堡壘主機(jī)型與單宿堡壘主機(jī)型的區(qū)別是，堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接包過(guò)濾路由器(如圖3)。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。

三種流行防火墻配置方案分析(圖三)

4.5屏蔽子網(wǎng)(Screened Subnet)

這種方法是在Intranet和Internet之間建立一個(gè)被隔離的子網(wǎng)，用兩個(gè)包過(guò)濾路由器將這一子網(wǎng)分別與Intranet和 Internet 分開(kāi)。兩個(gè)包過(guò)濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)“緩沖地帶”(如圖4)，兩個(gè)路由器一個(gè)控制Intranet 數(shù)據(jù)流，另一個(gè)控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問(wèn)屏蔽子網(wǎng)，但禁止它們穿過(guò)屏蔽

子網(wǎng)通信?？筛鶕?jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問(wèn)提供代理服務(wù)，但是來(lái)自兩網(wǎng)絡(luò)的訪問(wèn)都必須通過(guò)兩個(gè)包過(guò)濾路由器的檢查。對(duì)于向Internet公開(kāi)的服務(wù)器，像WWW、FTP、Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無(wú)論是外部用戶，還是內(nèi)部用戶都可訪問(wèn)。這種結(jié)構(gòu)的防火墻安全性能高，具有很強(qiáng)的抗攻擊能力，但需要的設(shè)備多，造價(jià)高。

三種流行防火墻配置方案分析(圖四)當(dāng)然，防火墻本身也有其局限性，如不能防范繞過(guò)防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸;難以避免來(lái)自內(nèi)部的攻擊等等?？傊?，防火墻只是一種整體安全防范策略的一部分，僅有防火墻是不夠的，安全策略還必須包括全面的安全準(zhǔn)則，即網(wǎng)絡(luò)訪問(wèn)、本地和遠(yuǎn)程用戶認(rèn)證、撥出撥入呼叫、磁盤(pán)和數(shù)據(jù)加密以及病毒防護(hù)等有關(guān)的安全

總 結(jié)

經(jīng)過(guò)兩個(gè)月艱苦卓絕的努力,總于完成了本畢業(yè)設(shè)計(jì).從當(dāng)初領(lǐng)到題目到最后一個(gè)功能模塊的完成,經(jīng)歷了無(wú)數(shù)次的錯(cuò)誤->修改代碼->重啟服務(wù)器->運(yùn)行的過(guò)程,感覺(jué)到平時(shí)學(xué)的知識(shí)是多么的淺薄,書(shū)到用時(shí)方恨少,現(xiàn)在是體驗(yàn)的真真切切.也充分反應(yīng)了我平時(shí)的基本功不扎實(shí),給我以后的工作敲響了警鐘,有了努力的方向.但通過(guò)本次畢業(yè)設(shè)計(jì),我也感受到了開(kāi)源的方便,遇到什么問(wèn)題,上網(wǎng)一查,就知道該怎么弄了,以前做個(gè)課程設(shè)計(jì)都是怕別人和我的一樣,不愿意給別人看,現(xiàn)在知道了程序弄不出來(lái)是多么的著急,學(xué)習(xí)都是相互的,互相研究才能共同進(jìn)步的.以后要多多注意這方面的事情, 本次畢業(yè)設(shè)計(jì)是我工作前一次很好的演練和實(shí)踐的機(jī)會(huì),是培養(yǎng)獨(dú)立考問(wèn)題和自學(xué)能力的鍛煉,使我意識(shí)到必須努力學(xué)習(xí)才能才工作中體現(xiàn)自己的價(jià)值,適應(yīng)社會(huì)的需要.致 謝

經(jīng)過(guò)了三個(gè)月的努力,我完成了題目為:計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)。

本次設(shè)計(jì)能夠順利完成,我首先要感謝一些發(fā)表書(shū)籍的老師們。其次,我要感謝我的指導(dǎo)老師,她自始自終都給予了我莫大的幫助,對(duì)的設(shè)計(jì)中每一個(gè)計(jì)劃,每一項(xiàng)安排都提出了至關(guān)重要的建議,使我少走了許多彎路,節(jié)省了大量的時(shí)間,并且能不厭其煩地指導(dǎo)我技術(shù)上的問(wèn)題,使我的系統(tǒng)更加完善和符合企業(yè)網(wǎng)站的要求.可以說(shuō),我的畢業(yè)設(shè)計(jì)的順利完成凝聚著導(dǎo)師的大量心血.另外,我還要感謝那些網(wǎng)上的朋友,他們毫不吝嗇的將自己所掌握的知識(shí)拿出來(lái)資源共享,才使我部分功能模塊得以實(shí)現(xiàn),謝謝他們.通過(guò)這次畢業(yè)設(shè)計(jì),我體會(huì)很多,學(xué)會(huì)是一回事,會(huì)用則就是另一回事了.以前感到自己專業(yè)技能還可以,但真正到用的時(shí)候就發(fā)現(xiàn)了很多缺陷,發(fā)現(xiàn)自己其實(shí)差距很大,還不能適應(yīng)工作.為我今后指明了努力方向.再一次，我向多方面支持和幫助過(guò)我的人表示由衷的感謝！

參考文獻(xiàn)

[1]張寶劍.計(jì)算機(jī)安全與防護(hù)技術(shù)[M].機(jī)械工業(yè)出版社,2003.[2]林海波,網(wǎng)絡(luò)安全與防火墻技術(shù)[M].北京清華大學(xué)出版社,2000.[3]凌雨欣,常紅.網(wǎng)絡(luò)安全技術(shù)與反網(wǎng)絡(luò)入侵者[M].冶金工業(yè)出版社,2001.[4]王蓉,林海波.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].清華大學(xué)出版社,2000.[5]余建斌.黑客的攻擊手段及用戶對(duì)策［M］.北京人民郵電出版社,2005.[6](美)布萊克赫茲.Microsoft，UNIX及0racle主機(jī)和網(wǎng)絡(luò)安全［M］.電子工業(yè)出版社,2004.[7] 馬程.防火墻在網(wǎng)絡(luò)安全中的應(yīng)用［J］.甘肅科技,2008

第三篇：計(jì)算機(jī)防火墻技術(shù)畢業(yè)論文

本文由yin528855貢獻(xiàn)

doc文檔可能在WAP端瀏覽體驗(yàn)不佳。建議您優(yōu)先選擇TXT，或下載源文件到本機(jī)查看。

計(jì)算機(jī)防火墻技術(shù)論文

畢 業(yè) 論 文

計(jì)算機(jī)防火墻技術(shù)

姓 學(xué)

名： 號(hào)：

指導(dǎo)老師： 系 專 班 名： 業(yè)： 級(jí)：

二零一零年十一月十五日 1 計(jì)算機(jī)防火墻技術(shù)論文

摘要

因特網(wǎng)的迅猛發(fā)展給人們的生活帶來(lái)了極大的方便，但同時(shí)因特網(wǎng)也面臨 著空前的威脅。因此，如何使用有效可行的方法使網(wǎng)絡(luò)危險(xiǎn)降到人們可接受的范 圍之內(nèi)越來(lái)越受到人們的關(guān)注。而如何實(shí)施防范策略，首先取決于當(dāng)前系統(tǒng)的安 全性。所以對(duì)網(wǎng)絡(luò)安全的各獨(dú)立元素——防火墻、漏洞掃描、入侵檢測(cè)和反病毒 等進(jìn)行風(fēng)險(xiǎn)評(píng)估是很有必要的。防火墻技術(shù)作為時(shí)下比較成熟的一種網(wǎng)絡(luò)安全技術(shù)，其安全性直接關(guān)系到用 戶的切身利益。針對(duì)網(wǎng)絡(luò)安全獨(dú)立元素——防火墻技術(shù)，通過(guò)對(duì)防火墻日志文件 的分析，設(shè)計(jì)相應(yīng)的數(shù)學(xué)模型和軟件雛形，采用打分制的方法，判斷系統(tǒng)的安全 等級(jí)，實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。對(duì)網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問(wèn)，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運(yùn)行，利用網(wǎng)絡(luò)傳播病毒，線路竊聽(tīng)等方面。這以要求我們與 Internet 互連所帶來(lái)的安全性問(wèn)題予以足夠重視。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展 使網(wǎng)絡(luò)安全問(wèn)題日益突出,而防火墻是應(yīng)用最廣泛的安全產(chǎn)品。本文闡述了網(wǎng)絡(luò) 防火墻的工作原理并對(duì)傳統(tǒng)防火墻的利弊進(jìn)行了對(duì)比分析,最后結(jié)合計(jì)算機(jī)科學(xué) 其它領(lǐng)域的相關(guān)新技術(shù),提出了新的防火墻技術(shù),并展望了其發(fā)展前景。

關(guān)鍵詞： 關(guān)鍵詞 ：包過(guò)濾 智能防火墻

應(yīng)用層網(wǎng)關(guān)

分布式防火墻

監(jiān)測(cè)型防火墻 嵌入式防火墻

網(wǎng)絡(luò)安全，防火墻，防范策略，發(fā)展趨勢(shì) 2 計(jì)算機(jī)防火墻技術(shù)論文

摘要?? 1 第一章 引言 ?? 4 1.1 研究背景?? 4 1.2 研究目的?? 4 1.3 論文結(jié)構(gòu)?? 5 第二章 網(wǎng)絡(luò)安全 ?? 6 2.1 網(wǎng)絡(luò)安全問(wèn)題?? 6 2.1.1 網(wǎng)絡(luò)安全面臨的主要威脅 ?? 6 2.1.2 影響網(wǎng)絡(luò)安全的因素 ?? 6 2.2 網(wǎng)絡(luò)安全措施?? 7 2.2.1 完善計(jì)算機(jī)安全立法 ?? 7 2.2.2 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) ?? 7 2.3 制定合理的網(wǎng)絡(luò)管理措施?? 8 第三章 防火墻概述 ?? 9 3.1 防火墻的概念?? 9 3.1.1 傳統(tǒng)防火墻介紹 ?? 9 3.1.2 智能防火墻簡(jiǎn)介 ?? 10 3.2 防火墻的功能?? 11 3.2.1 防火墻的主要功能 ?? 11 3.2.2 入侵檢測(cè)功能 ?? 11 3.2.3 虛擬專網(wǎng)功能 ?? 12 3.2.4 其他功能 ?? 12 3.3 防火墻的原理及分類?? 13 3.3.1 包過(guò)濾防火墻 ?? 13 3.3.2 應(yīng)用級(jí)代理防火墻 ?? 13 3.3.3 代理服務(wù)型防火墻 ?? 14 3.3.4 復(fù)合型防火墻 ?? 14 3.4 防火墻包過(guò)濾技術(shù)?? 14 3.4.1 數(shù)據(jù)表結(jié)構(gòu) ?? 15 3.4.2 傳統(tǒng)包過(guò)濾技術(shù) ?? 16 3.4.3 動(dòng)態(tài)包過(guò)濾 ?? 17 3.4.4 深度包檢測(cè) ?? 17 3.4.5 流過(guò)濾技術(shù) ?? 18 第四章 防火墻的配置 ?? 20 4.1 硬件連接與實(shí)施?? 20 4.2 防火墻的特色配置?? 20 4.3 軟件的配置與實(shí)施?? 21 第五章 防火墻發(fā)展趨勢(shì) ?? 23 5.1 防火墻包過(guò)濾技術(shù)發(fā)展趨勢(shì)?? 23 5.2 防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)?? 24 5.3 防火墻的系統(tǒng)管理發(fā)展趨勢(shì)?? 24 結(jié)論?? 25 參考文獻(xiàn)?? 26 致謝?? 27 3 計(jì)算機(jī)防火墻技術(shù)論文

第一章

1.1 研究背景

引言

隨著互聯(lián)網(wǎng)的普及和發(fā)展，尤其是 Internet 的廣泛使用，使計(jì)算機(jī)應(yīng)用更 加廣泛與深入。同時(shí)，我們不得不注意到，網(wǎng)絡(luò)雖然功能強(qiáng)大，也有其脆弱易受 到攻擊的一面。據(jù)美國(guó) FBI 統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全問(wèn)題所造成的經(jīng)濟(jì)損失高 達(dá) 75 億美元，而全求平均每 20 秒鐘就發(fā)生一起 Internet 計(jì)算機(jī)侵入事件[1]。在我國(guó)，每年因黑客入侵、計(jì)算機(jī)病毒的破壞也造成了巨大的經(jīng)濟(jì)損失。人們?cè)?利用網(wǎng)絡(luò)的優(yōu)越性的同時(shí)，對(duì)網(wǎng)絡(luò)安全問(wèn)題也決不能忽視。如何建立比較安全的 網(wǎng)絡(luò)體系，值得我們關(guān)注研究。

1.2 研究目的

為了解決互聯(lián)網(wǎng)時(shí)代個(gè)人網(wǎng)絡(luò)安全的問(wèn)題，近年來(lái)新興了防火墻技術(shù)[2]。防火墻具有很強(qiáng)的實(shí)用性和針對(duì)性，它為個(gè)人上網(wǎng)用戶提供了完整的網(wǎng)絡(luò)安全解 決方案，可以有效地控制個(gè)人電腦用戶信息在互聯(lián)網(wǎng)上的收發(fā)。用戶可以根據(jù)自 己的需要，通過(guò)設(shè)定一些參數(shù)，從而達(dá)到控制本機(jī)與互聯(lián)網(wǎng)之間的信息交流阻止 惡性信息對(duì)本機(jī)的攻擊，比如 ICMPnood 攻擊、聊天室炸彈、木馬信息破譯并修 改郵件密碼等等。而且防火墻能夠?qū)崟r(shí)記錄其它系統(tǒng)試圖對(duì)本機(jī)系統(tǒng)的訪問(wèn)，使 計(jì)算機(jī)在連接到互聯(lián)網(wǎng)的時(shí)候避免受到網(wǎng)絡(luò)攻擊和資料泄漏的安全威脅。防火墻 可以保護(hù)人們?cè)诰W(wǎng)上瀏覽時(shí)免受黑客的攻擊，實(shí)時(shí)防范網(wǎng)絡(luò)黑客的侵襲，還可以 根據(jù)自己的需要?jiǎng)?chuàng)建防火墻規(guī)則，控制互聯(lián)網(wǎng)到 PC 以及 PC 到互聯(lián)網(wǎng)的所有連接，并屏蔽入侵企圖。防火可以有效地阻截各種惡意攻擊、保護(hù)信息的安全;信息泄 漏攔截保證安全地瀏覽網(wǎng)頁(yè)、遏制郵件病毒的蔓延;郵件內(nèi)容檢測(cè)可以實(shí)時(shí)監(jiān)視 郵件系統(tǒng)，阻擋一切針對(duì)硬盤(pán)的惡意活動(dòng)。個(gè)人防火墻就是在單機(jī) Windows 系統(tǒng)上，采取一些安全防護(hù)措施，使得本機(jī) 的息得到一定的保護(hù)。個(gè)人防火墻是面向單機(jī)操作系統(tǒng)的一種小型安全防護(hù)軟 件，按一定的規(guī)則對(duì) TCP，UDP，ICMP 和 IGMP 等報(bào)文進(jìn)行過(guò)濾，對(duì)網(wǎng)絡(luò)的信息流 和系統(tǒng)進(jìn)程進(jìn)行監(jiān)控，防止一些惡意的攻擊。目前市場(chǎng)上大多數(shù)的防火墻產(chǎn)品僅 僅是網(wǎng)關(guān)的，雖然它們的功能相當(dāng)強(qiáng)大，但由于它們基于下述的假設(shè):內(nèi)部網(wǎng)是 安全可靠的，所有的威脅都來(lái)自網(wǎng)外。因此，他們防外不防內(nèi)，難以實(shí)現(xiàn)對(duì)企業(yè) 內(nèi)部局域網(wǎng)內(nèi)主之間的安全通信，也不能很好的解決每一個(gè)撥號(hào)上網(wǎng)用戶所在主 機(jī)的安全問(wèn)題，而多數(shù)個(gè)人上網(wǎng)之時(shí)，并沒(méi)有置身于得到防護(hù)的安全網(wǎng)絡(luò)內(nèi)部。個(gè)人上網(wǎng)用戶多使用 Windows 操作系統(tǒng)，而 Windows 操作系統(tǒng)，特別是

計(jì)算機(jī)防火墻技術(shù)論文

WindowsXP 系統(tǒng)，本身的安全性就不高。各種 Windows 漏洞不斷被公布，對(duì)主機(jī) 的攻擊也越來(lái)越多。一般都是利用操作系統(tǒng)設(shè)計(jì)的安全漏洞和通信協(xié)議的安全漏 洞來(lái)實(shí)現(xiàn)攻擊。如假冒 IP 包對(duì)通信雙方進(jìn)行欺騙:對(duì)主機(jī)大量發(fā)送正數(shù)據(jù)包[3] 進(jìn)行轟炸攻擊，使之際崩潰;以及藍(lán)屏攻擊等。因此，為了保護(hù)主機(jī)的安全通信，研制有效的個(gè)人防火墻技術(shù)很有必要。所謂的防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共 網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合[ 1 ]。它可通過(guò)監(jiān)測(cè)、限制、更改跨 越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況, 以 此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一 個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和 Internet 之間的任何活動(dòng), 保證了內(nèi)部網(wǎng)絡(luò) 的安全。一個(gè)高效可靠的防火墻必須具有以下典型的特性: 1 從里到外和從外到里的所有通信都必須通過(guò)防火墻； 2 只有本地安全策略授權(quán)的通信才允許通過(guò)； 3 防火墻本身是免疫的,不會(huì)被穿透的。防火墻的基本功能有:過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為；封 堵某些禁止的業(yè)務(wù)； 記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè) 和報(bào)警

1.3 論文結(jié)構(gòu)

在論文中接下來(lái)的幾章里，將會(huì)有下列安排: 第二章，分析研究網(wǎng)絡(luò)安全問(wèn)題，網(wǎng)絡(luò)安全面臨的主要威脅，影響網(wǎng)絡(luò)安 全的因素，及保護(hù)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。第三章，介紹防火墻的相關(guān)技術(shù)，如防火墻的原理、功能、包過(guò)濾技術(shù)等。第四章，以 H3CH3C 的 F100 防火墻為例，介紹防火墻配置方法。第五章，系統(tǒng)闡述防火墻發(fā)展趨勢(shì)。5 計(jì)算機(jī)防火墻技術(shù)論文

第二章 網(wǎng)絡(luò)安全 2.1 網(wǎng)絡(luò)安全問(wèn)題

安全，通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機(jī)制。我國(guó)對(duì)于 計(jì)算機(jī)安全的定義是：“計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的 或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運(yùn)行?！?從技術(shù)講，計(jì)算機(jī)安全分為 3 種： 1）實(shí)體的安全。它保證硬件和軟件本身的安全。2）運(yùn)行環(huán)境的安全性。它保證計(jì)算機(jī)能在良好的環(huán)境里持續(xù)工作。3）信息的安全性。它保障信息不會(huì)被非法閱讀、修改和泄漏。隨著網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)的安全問(wèn)題也延伸到了計(jì)算機(jī)網(wǎng)絡(luò)。2.1.1 網(wǎng)絡(luò)安全面臨的主要威脅 一般認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來(lái)自計(jì)算機(jī)病毒、黑客的攻擊和 拒絕服務(wù)攻擊三個(gè)方面。1）計(jì)算機(jī)病毒的侵襲。當(dāng)前，活性病毒達(dá) 14000 多種，計(jì)算機(jī)病毒侵入 網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)資源進(jìn)行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個(gè)網(wǎng)絡(luò)的癱瘓。2）黑客侵襲。即黑客非法進(jìn)入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。例如通過(guò)隱蔽通 道進(jìn)行非法活動(dòng)；采用匿名用戶訪問(wèn)進(jìn)行攻擊；通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)獲取網(wǎng)上用戶賬號(hào) 和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。3）拒絕服務(wù)攻擊。例如“點(diǎn)在郵件炸彈”，它的表現(xiàn)形式是用戶在很短 的時(shí)間內(nèi)收到大量無(wú)用的電子郵件，從而影響正常業(yè)務(wù)的運(yùn)行。嚴(yán)重時(shí)會(huì)使系統(tǒng) 關(guān)機(jī)，網(wǎng)絡(luò)癱瘓。具體講，網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權(quán)訪 問(wèn)、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶??等。2.1.2 影響網(wǎng)絡(luò)安全的因素 1）單機(jī)安全 購(gòu)買(mǎi)單機(jī)時(shí)，型號(hào)的選擇；計(jì)算機(jī)的運(yùn)行環(huán)境（電壓、濕度、防塵條件、強(qiáng)電磁場(chǎng)以及自然災(zāi)害等）；計(jì)算機(jī)的操作??等等，這些都是影響單機(jī)安全性 的因素。2）網(wǎng)絡(luò)安全 影響網(wǎng)絡(luò)安全的因素有：節(jié)點(diǎn)的安全、數(shù)據(jù)的安全（保存和傳輸方面）、文件的安全等。6 計(jì)算機(jī)防火墻技術(shù)論文 2.2 網(wǎng)絡(luò)安全措施

網(wǎng)絡(luò)信息安全涉及方方面面的問(wèn)題，是一個(gè)復(fù)雜的系統(tǒng)。一個(gè)完整的網(wǎng)絡(luò)

信息安全體系至少應(yīng)包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外 部軟環(huán)境。二是技術(shù)方面，如信息加密存儲(chǔ)傳輸、身份認(rèn)證、防火墻技術(shù)、網(wǎng)絡(luò) 防毒等。三是管理措施，包括技術(shù)與社會(huì)措施。主要措施有：提供實(shí)時(shí)改變安全 策略的能力、實(shí)時(shí)監(jiān)控企業(yè)安全狀態(tài)、對(duì)現(xiàn)有的安全系統(tǒng)實(shí)施漏洞檢查等，以防 患于未然。這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全的保障，管理和審計(jì)是安全的防線。2.2.1 完善計(jì)算機(jī)安全立法 我國(guó)先后出臺(tái)的有關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。但目前，在這方面的立 法還遠(yuǎn)不能適應(yīng)形勢(shì)發(fā)展的需要,應(yīng)該在對(duì)控制計(jì)算機(jī)犯罪的國(guó)內(nèi)外立法評(píng)價(jià)的 基礎(chǔ)上，完善我國(guó)計(jì)算機(jī)犯罪立法，以便為確保我國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)健康有序的 發(fā)展提供強(qiáng)有力的保障。2.2.2 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)(1)數(shù)據(jù)加密 加密就是把明文變成密文，從而使未被授權(quán)的人看不懂它。有兩種主要的 加密類型：私匙加密和公匙加密。(2)認(rèn)證 對(duì)合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對(duì)公司信息系統(tǒng)的訪問(wèn)，使用 認(rèn)證機(jī)制還可以防止合法用戶訪問(wèn)他們無(wú)權(quán)查看的信息。(3)防火墻技術(shù) 防火墻就是用來(lái)阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防 止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問(wèn)。目前，防火墻采取的技術(shù)，主要是包過(guò)濾、應(yīng) 用網(wǎng)關(guān)、子網(wǎng)屏蔽等。但是，防火墻技術(shù)在網(wǎng)絡(luò)安全防護(hù)方面也存在一些不足： 防火墻不能防止內(nèi)部攻擊防火墻不能取代殺毒軟件； 防火墻不易防止反彈端口木 馬攻擊等。(4)檢測(cè)系統(tǒng) 入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全研究的一個(gè)熱點(diǎn)，是一種積極主動(dòng)的安全防護(hù)技 術(shù)，提供了對(duì)內(nèi)部入侵、外部入侵和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之 前攔截相應(yīng)入侵。隨著時(shí)代的發(fā)展，入侵檢測(cè)技術(shù)將朝著三個(gè)方向發(fā)展:分布式入侵檢測(cè)、智 能化入侵檢測(cè)和全面的安全防御方案。7 計(jì)算機(jī)防火墻技術(shù)論文

(5)防病毒技術(shù) 隨著計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)病毒變得越來(lái)越復(fù)雜和高級(jí)，計(jì)算機(jī)病毒 防范不僅僅是一個(gè)產(chǎn)品、一個(gè)策略或一個(gè)制度，它是一個(gè)匯集了硬件、軟件、網(wǎng) 絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。(6)文件系統(tǒng)安全 在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個(gè)關(guān)鍵性的概念，因?yàn)樵L問(wèn)控制實(shí)現(xiàn)在兩個(gè) 方面：本地和遠(yuǎn)程。建立文件權(quán)限的時(shí)候，必須在 Windows 2000 中首先實(shí)行新 技術(shù)文件系統(tǒng)（New Technology File System，NTFS）。一旦實(shí)現(xiàn)了 NTFS，你 可以使用 Windows 資源管理器在文件和文件夾上設(shè)置用戶級(jí)別的權(quán)限。你需要了 解可以分配什么樣的權(quán)限，還有日?；顒?dòng)期間一些規(guī)則是處理權(quán)限的。Windows 2000 操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪問(wèn)控制。2.3 制定合理的網(wǎng)絡(luò)管理措施

（1）加強(qiáng)網(wǎng)絡(luò)用戶及有關(guān)人員的安全意識(shí)、職業(yè)道德和事業(yè)心、責(zé)任心的

培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。（2）建立完善的安全管理體制和制度，以起到對(duì)管理人員和操作人員鼓勵(lì) 和監(jiān)督的作用。（3）管理措施要標(biāo)準(zhǔn)化、規(guī)范化和科學(xué)化。8 計(jì)算機(jī)防火墻技術(shù)論文

第三章

防火墻概述

隨著 Internet 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來(lái)越多的領(lǐng)域，網(wǎng)絡(luò)中各類 重要的、敏感的數(shù)據(jù)逐漸增多;同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問(wèn)題，使得網(wǎng) 絡(luò)安全問(wèn)題越來(lái)越突出。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問(wèn)，阻止病毒的傳播 感染顯得尤為重要。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種 有效的手段，防火墻技術(shù)主要分為包過(guò)濾和應(yīng)用代理兩類。其中包過(guò)濾作為最早 發(fā)展起來(lái)的一種技術(shù)，其應(yīng)用非常廣泛。3.1 防火墻的概念

防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可 預(yù)測(cè)的、潛在破壞性的侵入。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部 網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或 網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服 務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻提供信息安全服務(wù)，是實(shí)現(xiàn)網(wǎng)絡(luò)和 信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè) 分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的 安全。3.1.1 傳統(tǒng)防火墻介紹 目前的防火墻技術(shù)無(wú)論從技術(shù)上還是從產(chǎn)品發(fā)展歷程上，都經(jīng)歷了五個(gè)發(fā) 展歷程。圖 1 表示了防火墻技術(shù)的簡(jiǎn)單發(fā)展歷史。

圖1 第一代防火墻 第 一 代 防 火 墻 技 術(shù) 幾 乎 與 路 由 器 同 時(shí) 出 現(xiàn)，采 用 了 包 過(guò) 濾（Packet filter）技術(shù)。二代、第三代防火墻 第二代、第三代防火墻 1989 年，貝爾實(shí)驗(yàn)室的 Dave Presotto 和 Howard Trickey 推 9 計(jì)算機(jī)防火墻技術(shù)論文

出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻—— 應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。

第四代防火墻 1992 年，USC 信息科學(xué)院的 BobBraden 開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾（Dynamic packet filter）技 術(shù) 的 第 四 代 防 火 墻，后 來(lái) 演 變 為 目 前 所 說(shuō) 的 狀 態(tài) 監(jiān) 視（Stateful inspection）技術(shù)。1994 年，以色列的 CheckPoint 公司開(kāi)發(fā)出了 第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻 1998 年，NAI 公司推出了一種自適應(yīng)代理（Adaptive proxy）技術(shù)，并在 其產(chǎn)品 Gauntlet Firewall for NT 中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全 新的意義，可以稱之為第五代防火墻。[5] [5] 但傳統(tǒng)的防火墻并沒(méi)有解決目前網(wǎng)絡(luò)中主要的安全問(wèn)題。目前網(wǎng)絡(luò)安全的 三大主要問(wèn)題是:以拒絕訪問(wèn)(DDOS)為主要代表的網(wǎng)絡(luò)攻擊，以蠕蟲(chóng)(Worm)為主 要代表的病毒傳播和以垃圾電子郵件(SPAM)為代表的內(nèi)容控制。這三大安全問(wèn)題 占據(jù)網(wǎng)絡(luò)安全問(wèn)題九成以上。而這三大問(wèn)題，傳統(tǒng)防火墻都無(wú)能為力。主要有以 下三個(gè)原因: 一是傳統(tǒng)防火墻的計(jì)算能力的限制。傳統(tǒng)的防火墻是以高強(qiáng)度的檢查為代 價(jià)，檢查的強(qiáng)度越高，計(jì)算的代價(jià)越大。二是傳統(tǒng)防火墻的訪問(wèn)控制機(jī)制是一個(gè) 簡(jiǎn)單的過(guò)濾機(jī)制。它是一個(gè)簡(jiǎn)單的條件過(guò)濾器，不具有智能功能，無(wú)法檢測(cè)復(fù)雜 的攻擊。三是傳統(tǒng)的防火墻無(wú)法區(qū)分識(shí)別善意和惡意的行為。該特征決定了傳統(tǒng) 的防火墻無(wú)法解決惡意的攻擊行為。現(xiàn)在防火墻正在向分布、智能的方向發(fā)展，其中智能防火墻可以很好的解 決上面的問(wèn)題。3.1.2 智能防火墻簡(jiǎn)介 智能防火墻[6]是相對(duì)傳統(tǒng)的防火墻而言的，從技術(shù)特征上智能防火墻是利 用統(tǒng)計(jì)、記憶、概率和決策的智能方法來(lái)對(duì)數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪問(wèn)控制的目 的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特 征值，直接進(jìn)行訪問(wèn)控制。由于這些方法多是人工智能學(xué)科采用的方法，因此，又稱為智能防火墻。10 計(jì)算機(jī)防火墻技術(shù)論文 3.2 防火墻的功能

3.2.1 防火墻的主要功能 1．包過(guò)濾。包過(guò)濾是一種網(wǎng)絡(luò)的數(shù)據(jù)安全保護(hù)機(jī)制，它可用來(lái)控制流出和流入網(wǎng)絡(luò)的數(shù) 據(jù)，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設(shè)置可基于源地址、源端 口、目的地址、目的端口、協(xié)議和時(shí)間;可根據(jù)地址簿進(jìn)行設(shè)置規(guī)則。2．地址轉(zhuǎn)換。網(wǎng)絡(luò)地址變換是將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的 IP 地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換 Source NAT(SNAT)和目的地址轉(zhuǎn)換 Destination NAT(DNAT)。SNAT 用于對(duì)內(nèi)部網(wǎng) 絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì)外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來(lái)自外部其他網(wǎng) 絡(luò)的非授權(quán)訪問(wèn)或惡意攻擊。并將有限的 IP 地址動(dòng)態(tài)或靜態(tài)的與內(nèi)部 IP 地址對(duì) 應(yīng)起來(lái)，用來(lái)緩解地址空間的短缺問(wèn)題，節(jié)省資源，降低成本。DNAT 主要用于 外網(wǎng)主機(jī)訪問(wèn)內(nèi)網(wǎng)主機(jī)。3．認(rèn)證和應(yīng)用代理。認(rèn)證指防火墻對(duì)訪問(wèn)網(wǎng)絡(luò)者合法身分的確定。代理指防火墻內(nèi)置用戶認(rèn)證數(shù) 據(jù)庫(kù);提供 HTTP、FTP 和 SMTP 代理功能，并可對(duì)這三種協(xié)議進(jìn)行訪問(wèn)控制;同時(shí) 支持 URL 過(guò)濾功能。4．透明和路由 指防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提 供了對(duì)互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問(wèn)，同時(shí)阻止了外部未授權(quán)訪問(wèn)者對(duì)專用網(wǎng) 絡(luò)的非法訪問(wèn);防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個(gè)子網(wǎng) 之間的安全訪問(wèn)。3.2.2 入侵檢測(cè)功能 入侵檢測(cè)技術(shù)[7]就是一種主動(dòng)保護(hù)自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技 術(shù)，包括以下內(nèi)容: 1.反端口掃描。端口掃描就是指黑客通過(guò)遠(yuǎn)程端口掃描的工具，從中發(fā)現(xiàn)主 機(jī)的哪些非常用端口是打開(kāi)的;是否支持 FTP、服務(wù);且 FTP 服務(wù)是否支持 Web “匿 名”，以及 IIS 版本，是否有可以被成功攻破的 IIS 漏洞，進(jìn)而對(duì)內(nèi)部網(wǎng)絡(luò)的主 機(jī)進(jìn)行攻擊。顧名思義反端口掃描就是防范端口掃描的方法，目前常用的方法有: 關(guān)閉閑置和有潛在危險(xiǎn)的端口;檢查各端口，有端口掃描的癥狀時(shí)，立即屏蔽該 端口，多數(shù)防火墻設(shè)備采用的都是這種反端口掃描方式。2.檢測(cè)拒絕服務(wù)攻擊。拒絕服務(wù)(DoS)攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用 過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到服務(wù)的響應(yīng)，其攻擊方式有很多種;11 計(jì)算機(jī)防火墻技術(shù)論文

而分布式的拒絕服務(wù)攻擊(DDoS)攻擊手段則是在傳統(tǒng)的 DoS 攻擊基礎(chǔ)之上產(chǎn)生 的一類攻擊方式，分布式的拒絕服務(wù)攻擊(DDoS)。其原理很簡(jiǎn)單，就是利用更多 的受控主機(jī)同時(shí)發(fā)起進(jìn)攻，以比 DoS 更大的規(guī)模(或者說(shuō)以更高于受攻主機(jī)處理 能力的進(jìn)攻能力)來(lái)進(jìn)攻受害者。現(xiàn)在的防火墻設(shè)備通常都可檢測(cè) Synflod、Land、Ping of Death、TearDrop、ICMP flood 和 UDPflod 等多種 DOS/DDOS 攻 擊。3.檢 測(cè) 多 種 緩 沖 區(qū) 溢 出 攻 擊(Buffer Overflow)。緩 沖 區(qū) 溢 出(Buffer Overflow)攻擊指利用軟件的弱點(diǎn)將任意數(shù)據(jù)添加進(jìn)某個(gè)程序中，造成緩沖區(qū)的 溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。更 為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各 種非法操作，防火墻設(shè)備可檢測(cè)對(duì) FTP、Telnet、SSH、RPC 和 SMTP 等服務(wù)的遠(yuǎn) 程堆棧溢出入侵。4.檢測(cè) CGI/IIS 服務(wù)器入侵。CGI 就是 Common Gateway Inter——face 的 簡(jiǎn)稱。是 World Wide Web 主機(jī)和 CGI 程序間傳輸資訊的定義。IIS 就是 Internet Information server 的簡(jiǎn)稱，也就是微軟的 Internet 信息服務(wù)器。防火墻設(shè)備 可檢測(cè)包括針對(duì) Unicode、ASP 源碼泄漏、PHF、NPH、pfdisPlay.cgi 等已知上 百種的有安全隱患的 CGI/IIS 進(jìn)行的探測(cè)和攻擊方式。5.檢測(cè)后門(mén)、木馬及其網(wǎng)絡(luò)蠕蟲(chóng)。后門(mén)程序是指采用某種方法定義出一個(gè) 特殊的端口并依靠某種程序在機(jī)器啟動(dòng)之前自動(dòng)加載到內(nèi)存，強(qiáng)行控制機(jī)器打開(kāi) 那個(gè)特殊的端口的程序。木馬程序的全稱是 “特洛依木馬” 它們是指尋找后門(mén)、，竊取計(jì)算機(jī)的密碼的一類程序。網(wǎng)絡(luò)蠕蟲(chóng)病毒分為 2 類，一種是面向企業(yè)用戶和 局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動(dòng)進(jìn)行攻擊，可以對(duì)整個(gè)互聯(lián)網(wǎng)造成 癱瘓性的后果，以“紅色代碼”，“尼姆達(dá)”，以及最新的“sql 蠕蟲(chóng)王”為代 表。另外一種是針對(duì)個(gè)人用戶的，通過(guò)網(wǎng)絡(luò)(主要是電子郵件，惡意網(wǎng)頁(yè)形式)迅速傳播的蠕蟲(chóng)病毒，以愛(ài)蟲(chóng)病毒，求職信病毒為例。防火墻設(shè)備可檢測(cè)試圖穿 透防火墻系統(tǒng)的木馬控制端和客戶端程序;檢測(cè)試圖穿透防火墻系統(tǒng)的蠕蟲(chóng)程 序。3.2.3 虛擬專網(wǎng)功能 指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)安全的“加密通道”在公共網(wǎng)絡(luò) 中傳播。VPN 的基本原理是通過(guò) IP 包的封裝及加密、認(rèn)證等手段，從而達(dá)到安 全的目的。3.2.4 其他功能 1.IP 地址/MAC 地址綁定?？芍С秩我痪W(wǎng)絡(luò)接口的 IP 地址和 MAC 地址的綁 12 計(jì)算機(jī)防火墻技術(shù)論文

定，從而禁止用戶隨意修改 IP 地址。2.審計(jì)。要求對(duì)使用身份標(biāo)識(shí)和認(rèn)證的機(jī)制，文件的創(chuàng)建，修改，系統(tǒng)管 理的所有操作以及其他有關(guān)安全事件進(jìn)行記錄，以便系統(tǒng)管理員進(jìn)行安全跟蹤。一般防火墻設(shè)備可以提供三種日志審計(jì)功能:系統(tǒng)管理日志、流量日志和入侵日 志。3.特殊站點(diǎn)封禁。內(nèi)置特殊站點(diǎn)數(shù)據(jù)庫(kù)，用戶可選擇是否封禁色情、反動(dòng) 和暴力等特殊站點(diǎn)。3.3 防火墻的原理及分類

國(guó)際計(jì)算機(jī)安全委員會(huì) ICSA 將防火墻分成三大類:包過(guò)濾防火墻，應(yīng)用級(jí)代

理服務(wù)器[8]以及狀態(tài)包檢測(cè)防火墻。3.3.1 包過(guò)濾防火墻 顧名思義，包過(guò)濾防火墻[9]就是把接收到的每個(gè)數(shù)據(jù)包同預(yù)先設(shè)定的包過(guò) 濾規(guī)則相比較，從而決定是否阻塞或通過(guò)。過(guò)濾規(guī)則是基于網(wǎng)絡(luò)層 IP 包包頭信 息的比較。包過(guò)濾防火墻工作在網(wǎng)絡(luò)層，IP 包的包頭中包含源、目的 IP 地址，封裝協(xié)議類型(TCP，UDP，ICMP 或 IP Tunnel)，TCP/UDP 端口號(hào)，ICMP 消息類型，TCP 包頭中的 ACK 等等。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包 按正常情況處理;如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包;如果沒(méi)有 匹配規(guī)則，則按缺省情況處理。包過(guò)濾防火墻是速度最快的防火墻，這是因?yàn)樗?處于網(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就 可以實(shí)現(xiàn)，對(duì)用戶來(lái)說(shuō)都是透明的。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng) 絡(luò)，使之遭受攻擊。例如，HTTP。通常是使用 80 端口。如果公司的安全策略允 許內(nèi)部員工訪問(wèn)網(wǎng)站，包過(guò)濾防火墻可能設(shè)置允所有 80 端口的連接通過(guò)，這時(shí)，意識(shí)到這一漏洞的外部人員可以在沒(méi)有被認(rèn)證的情況下進(jìn)入私有網(wǎng)絡(luò)。包過(guò)濾防 火墻的維護(hù)比較困難，定義過(guò)濾規(guī)則也比較復(fù)雜，因?yàn)槿魏我粭l過(guò)濾規(guī)則的不完 善都會(huì)給網(wǎng)絡(luò)黑客造成可乘之機(jī)。同時(shí)，包過(guò)濾防火墻一般無(wú)法提供完善的日志。3.3.2 應(yīng)用級(jí)代理防火墻 應(yīng)用級(jí)代理技術(shù)通過(guò)在 OSI 的最高層檢查每一個(gè) IP 包，從而實(shí)現(xiàn)安全策略。代理技術(shù)與包過(guò)濾技術(shù)完全不同，包過(guò)濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代 理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實(shí)現(xiàn)防火墻功能。它的代理功能，就是在防 火墻處終止客戶連接并初始化一個(gè)新的連接到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。這一內(nèi)建代理 13 計(jì)算機(jī)防火墻技術(shù)論文

機(jī)制提供額外的安全，這是因?yàn)樗鼘?nèi)部和外部網(wǎng)絡(luò)隔離開(kāi)來(lái)，使網(wǎng)絡(luò)外部的黑 客在防火墻內(nèi)部網(wǎng)絡(luò)上進(jìn)行探測(cè)變得困難，更重要的是能夠讓網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò) 服務(wù)進(jìn)行全面的控制。但是，這將花費(fèi)更多的處理時(shí)間，并且由于代理防火墻支 持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。比如訪問(wèn) WEB 站點(diǎn)的 HTTP，用于文件傳輸?shù)?FTP，用于 E 一 MAIL 的 SMTP/POP3 等等。如 果某種應(yīng)用沒(méi)有安裝代理程序，那么該項(xiàng)服務(wù)就不被支持并且不能通過(guò)防火墻進(jìn) 行轉(zhuǎn)發(fā);同時(shí)升級(jí)一種應(yīng)用時(shí)，相應(yīng)的代理程序也必須同時(shí)升級(jí)。3.3.3 代理服務(wù)型防火墻 代理服務(wù)(Proxy Service)也稱鏈路級(jí)網(wǎng)關(guān)或 TCP 通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。它是針對(duì)數(shù)據(jù)包 過(guò)濾[10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越 防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代 理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對(duì) 過(guò)往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng) 絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔 離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時(shí) 也常結(jié)合入過(guò)濾器的功能。它工作在 OSI 模型的最高層，掌握著應(yīng)用系統(tǒng)中可用 作安全決策的全部信息。3.3.4 復(fù)合型防火墻 由于對(duì)更高安全性的要求，常把基于包過(guò)濾的方法與基于應(yīng)用代理的方法 結(jié)合起來(lái)，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機(jī)防 火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過(guò)濾路由器或防火墻與 Internet 相連，同時(shí) 一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過(guò)在分組過(guò)濾器路由器或防火墻上過(guò)濾規(guī)則的設(shè) 置，使堡壘機(jī)成為 Internet 上其他節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng) 絡(luò)不受未授權(quán)外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個(gè)子網(wǎng) 內(nèi)，形成非軍事化區(qū)，兩個(gè)分組過(guò)濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與 Internet 及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機(jī)和分組過(guò)濾 路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。

3.4 防火墻包過(guò)濾技術(shù)

隨著 Internet 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來(lái)越多的領(lǐng)域，網(wǎng)絡(luò)中各類 14 計(jì)算機(jī)防火墻技術(shù)論文

重要的、敏感的數(shù)據(jù)逐漸增多;同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問(wèn)題，使得網(wǎng) 絡(luò)安全問(wèn)題越來(lái)越突出。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問(wèn)，阻止病毒的傳播 感染顯得尤為重要。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種 有效的手段，防火墻技術(shù)主要分為包過(guò)濾和應(yīng)用代理兩類。其中包過(guò)濾作為最早 發(fā)展起來(lái)的一種技術(shù)，其應(yīng)用非常廣泛。所謂包過(guò)濾，就是對(duì)流經(jīng)網(wǎng)絡(luò)防火墻的所有數(shù)據(jù)包逐個(gè)檢查，并依據(jù)所制定 的安全策略來(lái)決定數(shù)據(jù)包是通過(guò)還是不通過(guò)。包過(guò)濾最主要的優(yōu)點(diǎn)在于其速度與 透明性。也正是由于此。包過(guò)濾技術(shù)歷經(jīng)發(fā)展演變而未被淘汰。由于其主要是對(duì)數(shù)據(jù)包的過(guò)濾操作，所以數(shù)據(jù)包結(jié)構(gòu)是包過(guò)濾技術(shù)的基礎(chǔ)?？紤]包過(guò)濾技術(shù)的發(fā)展過(guò)程，可以認(rèn)為包過(guò)濾的核心問(wèn)題就是如何充分利用數(shù)據(jù) 包中各個(gè)字段的信息，并結(jié)合安全策略來(lái)完成防火墻的功能[11]-[15] 3.4.1 數(shù)據(jù)表結(jié)構(gòu) 當(dāng)應(yīng)用程序用 TCP 傳送數(shù)據(jù)時(shí)，數(shù)據(jù)被送入?yún)f(xié)議棧中，然后逐個(gè)通過(guò)每一層 直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。其中每一層對(duì)接收到的數(shù)據(jù)都要增加一些首部 信息。TCP 傳給 IP 的數(shù)據(jù)單元稱作 TCP 報(bào)文段(TCP Segment);IP 傳給網(wǎng)絡(luò)接口 層的數(shù)據(jù)單元稱作 IP 數(shù)據(jù)報(bào)(IP Datagram)；通過(guò)以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀(Frame)。對(duì)于進(jìn)防火墻的數(shù)據(jù)包，順序正好與此相反，頭部信息逐層剝掉。IP，TCP 首部格式如表 2-1 表 2-2 所示。表 2-1 IP 首部格式 版本 首部長(zhǎng) 服務(wù)類型 標(biāo)識(shí) 生存時(shí)間 協(xié)議 源 IP 地址 目的 IP 地址 選項(xiàng) 標(biāo)志 首部校驗(yàn)和

總 長(zhǎng) 度 片偏移

表 2-2 TCP 首部格式 源端口號(hào) 目的端口號(hào) 序列號(hào) 15 計(jì)算機(jī)防火墻技術(shù)論文

確認(rèn)號(hào) 首 保 L 部 留 R 長(zhǎng) C T B L P R C B C J H T H TCP 校驗(yàn)和 H J R 窗口大小

緊急指針 選項(xiàng)

對(duì)于幀的頭部信息主要是源/目的主機(jī)的 MAC 地址;IP 數(shù)據(jù)報(bào)頭部信息主要 是源/目的主機(jī)的 IP 地址;TCP 頭部的主要字段包括源/目的端口、發(fā)送及確認(rèn)序 號(hào)、狀態(tài)標(biāo)識(shí)等。理論上講，數(shù)據(jù)包所有頭部信息以及有效載荷都可以作為判斷包通過(guò)與否的 依據(jù)，但是在實(shí)際情況中，包過(guò)濾技術(shù)上的問(wèn)題主要是選取哪些字段信息，以及 如何有效地利用這些字段信息并結(jié)合訪問(wèn)控制列表來(lái)執(zhí)行包過(guò)濾操作，并盡可能 提高安全控制力度。3.4.2 傳統(tǒng)包過(guò)濾技術(shù) 傳統(tǒng)包過(guò)濾技術(shù)，大多是在 IP 層實(shí)現(xiàn)，它只是簡(jiǎn)單的對(duì)當(dāng)前正在通過(guò)的單 一數(shù)據(jù)包進(jìn)行檢測(cè)，查看源/目的 IP 地址、端口號(hào)以及協(xié)議類型(UDP/TCP)等，結(jié)合訪問(wèn)控制規(guī)則對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)。這種技術(shù)實(shí)現(xiàn)簡(jiǎn)單，處理速度快，對(duì)應(yīng)用透明，但是它存在的問(wèn)題也很多，主要表現(xiàn)有: 1.所有可能會(huì)用到的端口都必須靜態(tài)放開(kāi)。若允許建立 HTTP 連接，就需 要開(kāi)放 1024 以上所有端口，這無(wú)疑增加了被攻擊的可能性。2.不能對(duì)數(shù)據(jù)傳輸狀態(tài)進(jìn)行判斷。如接收到一個(gè) ACK 數(shù)據(jù)包，就認(rèn)為這是 一個(gè)己建立的連接，這就導(dǎo)致許多安全隱患，一些惡意掃描和拒絕服務(wù)攻擊就是 利用了這個(gè)缺陷。3.無(wú)法過(guò)濾審核數(shù)據(jù)包上層的內(nèi)容。即使通過(guò)防火墻的數(shù)據(jù)包有攻擊性或 包含病毒代碼，也無(wú)法進(jìn)行控制和阻斷。綜合上述問(wèn)題，傳統(tǒng)包過(guò)濾技術(shù)的缺陷在于:(l)缺乏狀態(tài)檢測(cè)能力;(2)缺 乏應(yīng)用防御能力。(3)只對(duì)當(dāng)前正在通過(guò)的單一數(shù)據(jù)包進(jìn)行檢測(cè)，而沒(méi)有考慮前 后數(shù)據(jù)包之間的聯(lián)系;(4)只檢查包頭信息，而沒(méi)有深入檢測(cè)數(shù)據(jù)包的有效載荷。傳統(tǒng)包過(guò)濾技術(shù)必須發(fā)展進(jìn)化，在繼承其優(yōu)點(diǎn)的前提下，采用新的技術(shù)手 段，克服其缺陷，并進(jìn)一步滿足新的安全應(yīng)用要求。從數(shù)據(jù)包結(jié)構(gòu)出發(fā)考慮，目 前包過(guò)濾技術(shù)向兩個(gè)方向發(fā)展:(l)橫向聯(lián)系。即在包檢測(cè)中考慮前后數(shù)據(jù)包之間 的關(guān)系，充分利用包頭信息中能體現(xiàn)此關(guān)系的字段，如 IP 首部的標(biāo)識(shí)字段和片 16 計(jì)算機(jī)防火墻技術(shù)論文

偏移字段、TCP 首部的發(fā)送及確認(rèn)序號(hào)、滑動(dòng)窗口的大小、狀態(tài)標(biāo)識(shí)等，動(dòng)態(tài)執(zhí) 行數(shù)據(jù)包過(guò)濾。(2)縱向發(fā)展。深入檢測(cè)數(shù)據(jù)包有效載荷，識(shí)別并阻止病毒代碼 和基于高層協(xié)議的攻擊，以此來(lái)提高應(yīng)用防御能力。這兩種技術(shù)的發(fā)展并不是獨(dú) 立的，動(dòng)態(tài)包過(guò)濾可以說(shuō)是基于內(nèi)容檢測(cè)技術(shù)的基礎(chǔ)。實(shí)際上，在深度包檢測(cè)技 術(shù)中己經(jīng)體現(xiàn)了兩種技術(shù)的融合趨勢(shì)。3.4.3 動(dòng)態(tài)包過(guò)濾 動(dòng)態(tài)包過(guò)濾[16]又稱為基于狀態(tài)的數(shù)據(jù)包過(guò)濾，是在傳統(tǒng)包過(guò)濾技術(shù)基礎(chǔ) 之上發(fā)展起來(lái)的一項(xiàng)過(guò)濾技術(shù)，最早由 Checkpoint 提出。與傳統(tǒng)包過(guò)濾技術(shù)只檢查單個(gè)、孤立的數(shù)據(jù)包不同，動(dòng)態(tài)包過(guò)濾試圖將數(shù) 據(jù)包的上下文聯(lián)系起來(lái)，建立一種基于狀態(tài)的包過(guò)濾機(jī)制。對(duì)于新建的應(yīng)用連接，防火墻檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過(guò)，并在內(nèi)存中記錄下 該連接的相關(guān)信息，這些相關(guān)信息構(gòu)成一個(gè)狀態(tài)表。這樣，當(dāng)一個(gè)新的數(shù)據(jù)包到 達(dá)，如果屬于已經(jīng)建立的連接，則檢查狀態(tài)表，參考數(shù)據(jù)流上下文決定當(dāng)前數(shù)據(jù) 包通過(guò)與否;如果是新建連接，則檢查靜態(tài)規(guī)則表。動(dòng)態(tài)包過(guò)濾通過(guò)在內(nèi)存中動(dòng)態(tài)地建立和維護(hù)一個(gè)狀態(tài)表，數(shù)據(jù)包到達(dá)時(shí)，對(duì)該數(shù)據(jù)包的處理方式將綜合靜態(tài)安全規(guī)則和數(shù)據(jù)包所處的狀態(tài)進(jìn)行。這種方法 的好處在于由于不需要對(duì)每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查，而是一個(gè)連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過(guò)散列算法，直接進(jìn)行狀態(tài)檢查，從而使性能得到了較 大提高;而且，由于狀態(tài)表是動(dòng)態(tài)的，因而可以有選擇地、動(dòng)態(tài)地開(kāi)通 1024 號(hào)以 上的端口，使安全性得到進(jìn)一步地提高。動(dòng)態(tài)包過(guò)濾技術(shù)克服了傳統(tǒng)包過(guò)濾僅僅孤立的檢查單個(gè)數(shù)據(jù)包和安全規(guī)則 靜態(tài)不可變的缺陷，使得防火墻的安全控制力度更為細(xì)致。3.4.4 深度包檢測(cè) 目前許多造成大規(guī)模損害的網(wǎng)絡(luò)攻擊，比如紅色代碼和尼姆達(dá)，都是利用 了應(yīng)用的弱點(diǎn)。利用高層協(xié)議的攻擊和網(wǎng)絡(luò)病毒的頻繁出現(xiàn)，對(duì)防火墻提出了新 的要求。防火墻必須深入檢查數(shù)據(jù)包的內(nèi)部來(lái)確認(rèn)出惡意行為并阻止它們。深度包檢測(cè)(Deep Packet Inspection)就是針對(duì)這種需求，深入檢測(cè)數(shù)據(jù) 包有效載荷，執(zhí)行基于應(yīng)用層的內(nèi)容過(guò)濾，以此提高系統(tǒng)應(yīng)用防御能力。應(yīng)用防御的技術(shù)問(wèn)題主要包括:(l)需要對(duì)有效載荷知道得更清楚;(2)也需 要高速檢查它的能力。簡(jiǎn)單的數(shù)據(jù)包內(nèi)容過(guò)濾對(duì)當(dāng)前正在通過(guò)的單一數(shù)據(jù)包的有效載荷進(jìn)行掃描 檢測(cè)，但是對(duì)于應(yīng)用防御的要求而言，這是遠(yuǎn)遠(yuǎn)不夠的。如一段攻擊代碼被分割 到 10 個(gè)數(shù)據(jù)包中傳輸，那么這種簡(jiǎn)單的對(duì)單一數(shù)據(jù)包的內(nèi)容檢測(cè)根本無(wú)法對(duì)攻 17 計(jì)算機(jī)防火墻技術(shù)論文

擊特征進(jìn)行匹配: 要清楚地知道有效載荷，必須采取有效方法，將單個(gè)數(shù)據(jù)包重 新組合成完整的數(shù)據(jù)流。應(yīng)用層的內(nèi)容過(guò)濾要求大量的計(jì)算資源，很多情況下高 達(dá) 100 倍甚至更高。因而要執(zhí)行深度包檢測(cè)，帶來(lái)的問(wèn)題必然是性能的下降，這 就是所謂的內(nèi)容處理障礙。為了突破內(nèi)容處理障礙，達(dá)到實(shí)時(shí)地分析網(wǎng)絡(luò)內(nèi)容和 行為，需要重點(diǎn)在加速上采取有效的辦法。通過(guò)采用硬件芯片和更加優(yōu)化的算法，可以解決這個(gè)問(wèn)題。一個(gè)深度包檢測(cè)的流程框圖如圖 3.1 所示。

圖 3.1 深度包檢測(cè)框圖 在接收到網(wǎng)絡(luò)流量后，將需要進(jìn)行內(nèi)容掃描的數(shù)據(jù)流定向到 TCP/IP 堆棧，其他數(shù)據(jù)流直接定向到狀態(tài)檢測(cè)引擎，按基本檢測(cè)方式進(jìn)行處理。定向到 TCP/IP 堆棧的數(shù)據(jù)流，首先轉(zhuǎn)換成內(nèi)容數(shù)據(jù)流。服務(wù)分析器根據(jù)數(shù)據(jù)流服務(wù)類型分離內(nèi) 容數(shù)據(jù)流，傳送數(shù)據(jù)流到一個(gè)命令解析器中。命令解析器定制和分析每一個(gè)內(nèi)容 協(xié)議，分析內(nèi)容數(shù)據(jù)流，檢測(cè)病毒和蠕蟲(chóng)。如果檢測(cè)到信息流是一個(gè) HTTP 數(shù)據(jù) 流，則命令解析器檢查上載和下載的文件;如果數(shù)據(jù)是 Mail 類型，則檢查郵件的 附件。如果數(shù)據(jù)流包含附件或上載/下載文件，附件和文件將傳輸?shù)讲《緬呙枰?擎，所有其他內(nèi)容傳輸?shù)絻?nèi)容過(guò)濾引擎。如果內(nèi)容過(guò)濾啟動(dòng)，數(shù)據(jù)流將根據(jù)過(guò)濾 的設(shè)置進(jìn)行匹配，通過(guò)或拒絕數(shù)據(jù)。3.4.5 流過(guò)濾技術(shù) 流過(guò)濾是東軟集團(tuán)提出的一種新型防火墻技術(shù)架構(gòu)，它融基于狀態(tài)的包過(guò) 濾技術(shù)與基于內(nèi)容的深度包檢測(cè)技術(shù)為一體，提供了一個(gè)較好的應(yīng)用防御解決方 案，它以狀態(tài)監(jiān)測(cè)技術(shù)為基礎(chǔ)，但在此基礎(chǔ)上進(jìn)行了改進(jìn)其基本的原理是:以狀 態(tài)包過(guò)濾的形態(tài)實(shí)現(xiàn)應(yīng)用層的保護(hù)能力:通過(guò)內(nèi)嵌的專門(mén)實(shí)現(xiàn)的 TCP/IP 協(xié)議棧，實(shí)現(xiàn)了透明的應(yīng)用信息過(guò)濾機(jī)制。18 計(jì)算機(jī)防火墻技術(shù)論文

流過(guò)濾技術(shù)[17]的關(guān)鍵在于其架構(gòu)中的專用 TCP/IP 協(xié)議棧:這個(gè)協(xié)議棧是 一個(gè)標(biāo)準(zhǔn)的 TCP 協(xié)議的實(shí)現(xiàn)，依據(jù) TCP 協(xié)議的定義對(duì)出入防火墻的數(shù)據(jù)包進(jìn)行了，完整的重組，重組后的數(shù)據(jù)流交給應(yīng)用層過(guò)濾邏輯進(jìn)行過(guò)濾，從而可以有效地識(shí) 別并攔截應(yīng)用層的攻擊企圖。在這種機(jī)制下，從防火墻外部看，仍然是包過(guò)濾的形態(tài)，工作在鏈路層或 IP 層，在規(guī)則允許下，兩端可以直接訪問(wèn)，但是任何一個(gè)被規(guī)則允許的訪問(wèn)在 防火墻內(nèi)部都存在兩個(gè)完全獨(dú)立的 TCP 會(huì)話，數(shù)據(jù)以“流”的方式從一個(gè)會(huì)話流 向另一個(gè)會(huì)話。由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時(shí)候代 替服務(wù)器或客戶端參與應(yīng)用層的會(huì)話，從而起到了與應(yīng)用代理防火墻相同的控制 能力。如在對(duì) SMTP 協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對(duì) 郵件的存儲(chǔ)轉(zhuǎn)發(fā)，并實(shí)現(xiàn)豐富的對(duì) SMTP 協(xié)議的各種攻擊的防范功能一流過(guò)濾的 示意圖如圖 3.2 所示。

圖 3.2 流過(guò)濾示意圖 19 計(jì)算機(jī)防火墻技術(shù)論文

第四章

4.1 硬件連接與實(shí)施

防火墻的配置

一般來(lái)說(shuō)硬件防火墻和路由交換設(shè)備一樣具備多個(gè)以太接口，速度根據(jù)檔次 與價(jià)格不同而在百兆與千兆之間有所區(qū)別。(如圖 4.1)圖 4.1 對(duì)于中小企業(yè)來(lái)說(shuō)一般出口帶寬都在 100M 以內(nèi)，所以我們選擇 100M 相關(guān)產(chǎn) 品即可。網(wǎng)絡(luò)拓?fù)鋱D中防火墻的位置很關(guān)鍵，一般介于內(nèi)網(wǎng)與外網(wǎng)互連中間區(qū)域，針對(duì)外網(wǎng)訪問(wèn)數(shù)據(jù)進(jìn)行過(guò)濾和監(jiān)控。如果防火墻上有 WAN 接口，那么直接將 WAN 接口連接外網(wǎng)即可，如果所有接 口都標(biāo)記為 LAN 接口，那么按照常規(guī)標(biāo)準(zhǔn)選擇最后一個(gè) LAN 接口作為外網(wǎng)連接端 口。相應(yīng)的其他 LAN 接口連接內(nèi)網(wǎng)各個(gè)網(wǎng)絡(luò)設(shè)備。4.2 防火墻的特色配置

從外觀上看防火墻和傳統(tǒng)的路由器交換機(jī)沒(méi)有太大的差別，一部分防火墻

具備 CONSOLE 接口通過(guò)超級(jí)終端的方式初始化配置，而另外一部分則直接通過(guò)默 認(rèn)的 LAN 接口和管理地址訪問(wèn)進(jìn)行配置。與路由器交換機(jī)不同的是在防火墻配置中我們需要?jiǎng)澐侄鄠€(gè)不同權(quán)限不同 優(yōu)先級(jí)別的區(qū)域，另外還需要針對(duì)相應(yīng)接口隸屬的區(qū)域進(jìn)行配置，例如 1 接口劃 分到 A 區(qū)域，2 接口劃分到 B 區(qū)域等等，通過(guò)不同區(qū)域的訪問(wèn)權(quán)限差別來(lái)實(shí)現(xiàn)防 火墻保護(hù)功能。默認(rèn)情況下防火墻會(huì)自動(dòng)建立 trust 信任區(qū)，untrust 非信任區(qū)，DMZ 堡壘主機(jī)區(qū)以及 LOCAL 本地區(qū)域。相應(yīng)的本地區(qū)域優(yōu)先級(jí)最高，其次是 trust 信任區(qū)，DMZ 堡壘主機(jī)區(qū)，最低的是 untrust 非信任區(qū)域。20 計(jì)算機(jī)防火墻技術(shù)論文 在實(shí)際設(shè)置時(shí)我們必須將端口劃分到某區(qū)域后才能對(duì)其進(jìn)行各個(gè)訪問(wèn)操 作，否則默認(rèn)將阻止對(duì)該接口的任何數(shù)據(jù)通訊。除此之外防火墻的其他相關(guān)配置與路由交換設(shè)備差不多，無(wú)外乎通過(guò)超級(jí) 終端下的命令行參數(shù)進(jìn)行配置或者通過(guò) WEB 管理界面配置。4.3 軟件的配置與實(shí)施

以 H3C 的 F100 防火墻為例，當(dāng)企業(yè)外網(wǎng) IP 地址固定并通過(guò)光纖連接的具體

配置。首先當(dāng)企業(yè)外網(wǎng)出口指定 IP 時(shí)配置防火墻參數(shù)。選擇接口四連接外網(wǎng)，接 口 一 連 接 內(nèi) 網(wǎng)。這 里 假 設(shè) 電 信 提 供 的 外 網(wǎng) IP 地 址 為 202.10.1.194 255.255.255.0。第一步：通過(guò) CONSOLE 接口以及本機(jī)的超級(jí)終端連接 F100 防火墻，執(zhí)行 system 命令進(jìn)入配置模式。第二步：通過(guò) firewall packet default permit 設(shè)置默認(rèn)的防火墻策略為 “容許通過(guò)”。第三步：進(jìn)入接口四設(shè)置其 IP 地址為 202.10.1.194，命令為 int e0/4 ip add 202.10.1.194 255.255.255.0 第四步：進(jìn)入接口一設(shè)置其 IP 地址為內(nèi)網(wǎng)地址，例如 192.168.1.1 255.255.255.0，命令為 int e0/1 ip add 192.168.1.1 255.255.255.0 第五步： 將兩個(gè)接口加入到不同的區(qū)域，外網(wǎng)接口配置到非信任區(qū) untrust，內(nèi)網(wǎng)接口加入到信任區(qū) trust—— fire zone untrust add int e0/4 fire zone trust add int e0/1 第六步：由于防火墻運(yùn)行基本是通過(guò) NAT 來(lái)實(shí)現(xiàn)，各個(gè)保護(hù)工作也是基于此 功能實(shí)現(xiàn)的，所以還需要針對(duì)防火墻的 NAT 信息進(jìn)行設(shè)置，首先添加一個(gè)訪問(wèn)控 制列表—— acl num 2000 21 計(jì)算機(jī)防火墻技術(shù)論文

rule per source 192.168.0.0 0.0.255.255 rule deny 第七步：接下來(lái)將這個(gè)訪問(wèn)控制列表應(yīng)用到外網(wǎng)接口通過(guò)啟用 NAT—— int e0/4 nat outbound 2000 第八步：最后添加路由信息，設(shè)置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或 外網(wǎng)電信下一跳地址—— ip route-static 0.0.0.0 0.0.0.0 202.10.1.193(如圖 2)執(zhí)行 save 命令保存退出后就可以在企業(yè)外網(wǎng)出口指定 IP 時(shí)實(shí)現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā) 以及安全保護(hù)功能了。22 計(jì)算機(jī)防火墻技術(shù)論文

第五章

防火墻發(fā)展趨勢(shì)

針對(duì)傳統(tǒng)防火墻不能解決的問(wèn)題，及新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也 出現(xiàn)了新的發(fā)展趨勢(shì)。主要可以從包過(guò)濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管 理三方面來(lái)體現(xiàn)。5.1 防火墻包過(guò)濾技術(shù)發(fā)展趨勢(shì)

(1)安全策略功能 一些防火墻廠商把在 AAA 系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無(wú)線網(wǎng)絡(luò)應(yīng)用中非常 必要。具有用戶身份驗(yàn)證的防火墻通常是采用應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)的，包過(guò)濾技術(shù)的 防火墻不具有。用戶身份驗(yàn)證功能越強(qiáng)，它的安全級(jí)別越高，但它給網(wǎng)絡(luò)通信帶 來(lái)的負(fù)面影響也越大，因?yàn)橛脩羯矸蒡?yàn)證需要時(shí)間，特別是加密型的用戶身份驗(yàn) 證。(2)多級(jí)過(guò)濾技術(shù) 所謂多級(jí)過(guò)濾技術(shù)，是指防火墻采用多級(jí)過(guò)濾措施，并輔以鑒別手段。在分 組過(guò)濾(網(wǎng)絡(luò)層)一級(jí)，過(guò)濾掉所有的源路由分組和假冒的 IP 源地址；在傳輸層 一級(jí)，遵循過(guò)濾規(guī)則，過(guò)濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如 nuke 包、圣誕樹(shù)包等；在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級(jí)，能利用 FTP、SMTP 等各種網(wǎng)關(guān)，控 制和監(jiān)測(cè) Internet 提供的所用通用服務(wù)。這是針對(duì)以上各種已有防火墻技術(shù)的 不足而產(chǎn)生的一種綜合型過(guò)濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過(guò)濾技術(shù)的不足。這種過(guò)濾技術(shù)在分層上非常清楚，每種過(guò)濾技術(shù)對(duì)應(yīng)于不同的網(wǎng)絡(luò)層，從這 個(gè)概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來(lái)的防火墻技術(shù)發(fā)展打下基礎(chǔ)。(3)功能擴(kuò)展 功能擴(kuò)展是指一種集成多種功能的設(shè)計(jì)趨勢(shì)，包括 VPN、AAA、PKI、IPSec 等附加功能，甚至防病毒、入侵檢測(cè)這樣的主流功能，都被集成到防火墻產(chǎn)品中 了，很多時(shí)候我們已經(jīng)無(wú)法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個(gè)功 能為主了，即其已經(jīng)逐漸向我們普遍稱之為 IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。23 計(jì)算機(jī)防火墻技術(shù)論文

有些防火墻集成了防病毒功能，通常被稱之為“病毒防火墻”，當(dāng)然目前主要還 是在個(gè)人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问剑菀讓?shí)現(xiàn)。這種防火墻技術(shù)可 以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護(hù) 功能的防火墻可以大大減少公司的損失。5.2 防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)

隨著網(wǎng)絡(luò)應(yīng)用的增加，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要

能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會(huì)越來(lái)越普 遍，它要求數(shù)據(jù)穿過(guò)防火墻所帶來(lái)的延遲要足夠小。為了滿足這種需要，一些防 火墻制造商開(kāi)發(fā)了基于 ASIC 的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度 的角度看來(lái)，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大 程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門(mén)用于處理數(shù)據(jù)層面 任務(wù)的引擎，從而減輕了 CPU 的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能 好許多。與基于 ASIC 的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性。基于 ASIC 的防火墻使用專門(mén)的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比 起前兩種類型的防火墻具有更好的性能。但是純硬件的 ASIC 防火墻缺乏可編程 性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方 案是增加 ASIC 芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以 同時(shí)滿足來(lái)自靈活性和運(yùn)行性能的要求。5.3 防火墻的系統(tǒng)管理發(fā)展趨勢(shì)

(1)集中式管理，分布式和分層的安全結(jié)構(gòu)。(2)強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能。(3)網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化 縱觀防火墻技術(shù)的發(fā)展，黑客入侵系統(tǒng)技術(shù)的不斷進(jìn)步以及網(wǎng)絡(luò)病毒朝智

能化和多樣化發(fā)展，對(duì)防火墻技術(shù)的同步發(fā)展提出了更高的要求。防火墻技術(shù)只 有不斷向主動(dòng)型和智能型等方向發(fā)展，才能更好的滿足人們對(duì)防火墻技術(shù)日益增 長(zhǎng)的需求。24 計(jì)算機(jī)防火墻技術(shù)論文

結(jié)論

隨著 Internet 和 Intranet 技術(shù)的發(fā)展,網(wǎng)絡(luò)的安全已經(jīng)顯得越來(lái)越重要, 網(wǎng)絡(luò)病毒對(duì)企業(yè)造成的危害已經(jīng)相當(dāng)廣泛和嚴(yán)重, 其中也會(huì)涉及到是否構(gòu)成犯 罪行為的問(wèn)題，相應(yīng)的病毒防范技術(shù)也發(fā)展到了網(wǎng)絡(luò)層面,并且愈來(lái)愈有與黑客 技術(shù)和漏洞相結(jié)合的趨勢(shì)。新型防火墻技術(shù)產(chǎn)生,就是為了解決來(lái)自企業(yè)網(wǎng)絡(luò)內(nèi) 和外的攻擊;克服傳統(tǒng)“邊界防火墻”的缺點(diǎn),集成了 IDS、VPN 和防病毒等安 全技術(shù),實(shí)現(xiàn)從網(wǎng)絡(luò)到服務(wù)器以及客戶端全方位的安全解決方案,滿足企業(yè)實(shí)際 應(yīng)用和發(fā)展的安全要求。防火墻目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中 的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。本論文從防火墻方面解決網(wǎng)絡(luò)安全問(wèn)題，對(duì)網(wǎng)絡(luò)安全技術(shù)的有深刻的了解。25 計(jì)算機(jī)防火墻技術(shù)論文

參考文獻(xiàn)

[1] 王艷.淺析計(jì)算機(jī)安全[J].電腦知識(shí)與技術(shù).2010，(s):1054 一 1055.[2] 艾軍.防火墻體系結(jié)構(gòu)及功能分析[J].電腦知識(shí)與技術(shù).2004，(s):79 一 82.[3] 高峰.許南山.防火墻包過(guò)濾規(guī)則問(wèn)題的研究[M].計(jì)算機(jī)應(yīng)用.2003，23(6):311 一 312.[4] 孟濤、楊磊.防火墻和安全審計(jì)[M].計(jì)算機(jī)安全.2004，(4):17 一 18.[5] 鄭林.防火墻原理入門(mén)[Z].E 企業(yè).2000.[6] 魏利華.防火墻技術(shù)及其性能研究.能源研究與信息.2004，20(l):57 一 62 [7] 李劍，劉美華，曹元大.分布式防火墻系統(tǒng).安全與環(huán)境學(xué)報(bào).2002，2(l):59 一 61 [8] 王衛(wèi)平，陳文惠，朱衛(wèi)未.防火墻技術(shù)分析.信息安全與通信保密.2006，(8):24 一 27 [9] A.Feldman, S.Muthukrishnan.Tradeoffs for Packet ClassifiCation.Proc.Of the 9 th Annual Joint Conference of the IEEE Computer and Communieations Soeieties.2000,vo1.3, 1193-1202.[10] ]王永綱，石江濤，戴雪龍，顏天信.網(wǎng)絡(luò)包分類算法仿真測(cè)試與比較研究.中國(guó)科學(xué)技 術(shù)大學(xué)學(xué)報(bào).2004，34(4):400 一 409 [11] 邵華鋼，楊明福.基于空間分解技術(shù)的多維數(shù)據(jù)包分類.計(jì)算機(jī)工程.2003，29(12):123 一 124 [12] 付歌，楊明福.一個(gè)快速的二維數(shù)據(jù)包分類算法.計(jì)算機(jī)工程.2004，30(6):76 一 78 [13] 付 歌，楊 明 福，王 興 軍.基 于 空 間 分 解 的 數(shù) 據(jù) 包 分 類 技 術(shù).計(jì) 算 機(jī) 工 程 與 應(yīng) 用.2004(8):63 一 65 [14] 〕韓曉非，王學(xué)光，楊明福.位并行數(shù)據(jù)包分類算法研究.華東理工大學(xué)學(xué)報(bào).2003，29(5):504 一 508 [15] 韓曉非，楊明福，王學(xué)光.基于元組空間的位并行包分類算法.計(jì)算機(jī)工程與應(yīng)用.2003，(29):188 一 192 [16] 馮東雷，張勇，白英彩.一種高性能包分類漸增式更新算法.計(jì)算機(jī)研究與發(fā)展.2003，40(3):387 一 392 [17] 余勝生，張寧，周敬利，胡熠峰.一種用于大規(guī)模規(guī)則庫(kù)的快速包分類算法.計(jì)算機(jī)工 程.2004，30(7):49 一 51 26 計(jì)算機(jī)防火墻技術(shù)論文

致謝

本文是在李老師的悉心指導(dǎo)卜完成的，從文獻(xiàn)的查閱、論文的選題、撰寫(xiě)、修改、定稿，我的每一個(gè)進(jìn)步都和李老師的關(guān)注與指導(dǎo)密不可分。李老師在研究 方向、資料的收集、論文的選題、研究工作作的開(kāi)展以及論文的最終定稿，給子 我巨大、無(wú)私的幫助。論文的字里行間無(wú)不凝結(jié)著老師的悉心指導(dǎo)和浮淳教海，老師淵博的學(xué)識(shí)和嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度給我留下了深刻的印象，我從他那里學(xué)到的不 僅僅是專業(yè)知識(shí)，更重要的是嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度、對(duì)事業(yè)忘我的追求、高度的使命 感、責(zé)任感及和藹熱情的品質(zhì)和做人的道理，這些將使我受益一生，并將激勵(lì)我 不斷向前奮進(jìn)。還 有 就 是 在 這 次 的 實(shí)習(xí)中 更要對(duì)和我一起并肩戰(zhàn)斗的其他幾位小組成 員說(shuō)一聲辛苦了，我們有了今天的成績(jī)是我們不懈與團(tuán)結(jié)。讓我們共同努力創(chuàng)造 更好的明天。在此過(guò)程中我們互相幫助，勉勵(lì)是我們能完成這次任務(wù)的最大動(dòng)力，也是我們之間最大的收獲，最好的精神財(cái)富，愿我們還會(huì)有更好的合作！經(jīng) 過(guò) 了 這 次 的 實(shí)習(xí)也 意 味 著 我 學(xué)習(xí)生 涯 的 結(jié) 束。在 TOP 的 三 年 時(shí) 間 轉(zhuǎn) 瞬 即 逝，借 此 機(jī) 會(huì) 我 要 感 謝 兩年來(lái)傳授我知識(shí)的老師們，更要感謝所 有對(duì)我學(xué)業(yè)、生活上的支持和鼓勵(lì)，感謝所有關(guān)心幫助過(guò)我的人。27

第四篇：畢業(yè)論文 LINUX路由防火墻配置

LINUX路由防火墻配置 加上摘要、關(guān)鍵字 LINUX系統(tǒng)應(yīng)用概述（安全方面應(yīng)用）防火墻的功能介紹 防火墻規(guī)則配置 防火墻路由配置 防火墻NAT配置

RedHat Linux 為增加系統(tǒng)安全性提供了防火墻保護(hù)。防火墻存在于你的計(jì)算機(jī)和網(wǎng)絡(luò)之間，用來(lái)判定網(wǎng)絡(luò)中的遠(yuǎn)程用戶有權(quán)訪問(wèn)你的計(jì)算機(jī)上的哪些資源。一個(gè)正確配置的防火墻可以極大地增加你的系統(tǒng)安全性。

其中有以下幾種配置方式：

高級(jí)：如只有以下連接是果你選擇了「高級(jí)」，你的系統(tǒng)就不會(huì)接受那些沒(méi)有被你具體指定的連接（除了默認(rèn)設(shè)置外）。默認(rèn)允許的： DNS回應(yīng)

DHCP — 任何使用 DHCP 的網(wǎng)絡(luò)接口都可以被相應(yīng)地配置。如果你選擇「高級(jí)」，你的防火墻將不允許下列連接

1．活躍狀態(tài)FTP（在多數(shù)客戶機(jī)中默認(rèn)使用的被動(dòng)狀態(tài)FTP應(yīng)該能夠正常運(yùn)行。）2.IRC DCC 文件傳輸

3.RealAudio 4.遠(yuǎn)程 X 窗口系統(tǒng)客戶機(jī) 如果你要把系統(tǒng)連接到互聯(lián)網(wǎng)上，但是并不打算運(yùn)行服務(wù)器，這是最安全的選擇。

如果需要額外的服務(wù)，你可以選擇 「定制」 來(lái)具體指定允許通過(guò)防火墻的服務(wù)。注記:如果你在安裝中選擇設(shè)置了中級(jí)或高級(jí)防火墻，網(wǎng)絡(luò)驗(yàn)證方法（NIS 和 LDAP）將行不通。

中級(jí)：如果你選擇了「中級(jí)」，你的防火墻將不準(zhǔn)你的系統(tǒng)訪問(wèn)某些資源。訪問(wèn)下列資源是默認(rèn)不允許的：

1.低于1023 的端口 — 這些是標(biāo)準(zhǔn)要保留的端口，主要被一些系統(tǒng)服務(wù)所使用，例如： FTP、SSH、telnet、HTTP、和 NIS。2.NFS 服務(wù)器端口（2049）— 在遠(yuǎn)程服務(wù)器和本地客戶機(jī)上，NFS 都已被禁用。3.為遠(yuǎn)程 X 客戶機(jī)設(shè)立的本地 X 窗口系統(tǒng)顯示。4.X 字體服務(wù)器端口（xfs 不在網(wǎng)絡(luò)中監(jiān)聽(tīng)；它在字體服務(wù)器中被默認(rèn)禁用）。

如果你想準(zhǔn)許到RealAudio之類資源的訪問(wèn)，但仍要堵塞到普通系統(tǒng)服務(wù)的訪問(wèn)，選擇 「中級(jí)」。你可以選擇 「定制」 來(lái)允許具體指定的服務(wù)穿過(guò)防火墻。

注記:如果你在安裝中選擇設(shè)置了中級(jí)或高級(jí)防火墻，網(wǎng)絡(luò)驗(yàn)證方法（NIS 和 LDAP）將行不通。

無(wú)防火墻：無(wú)防火墻給予完全訪問(wèn)權(quán)并不做任何安全檢查。安全檢查是對(duì)某些服務(wù)的禁用。

建議你只有在一個(gè)可信任的網(wǎng)絡(luò)（非互聯(lián)網(wǎng)）中運(yùn)行時(shí)，或者你想稍后再進(jìn)行詳細(xì)的防火墻配置時(shí)才選此項(xiàng)。選擇 「定制」 來(lái)添加信任的設(shè)備或允許其它的進(jìn)入接口。

信任的設(shè)備：選擇「信任的設(shè)備」中的任何一個(gè)將會(huì)允許你的系統(tǒng)接受來(lái)自這一設(shè)備的全部交通；它不受防火墻規(guī)則的限制。

例如，如果你在運(yùn)行一個(gè)局域網(wǎng)，但是通過(guò)PPP撥號(hào)連接到了互聯(lián)網(wǎng)上，你可以選擇「eth0」，而后所有來(lái)自你的局域網(wǎng)的交通將會(huì)被允許。

把「eth0」選為“信任的”意味著所有這個(gè)以太網(wǎng)內(nèi)的交通都是被允許的，但是ppp0接口仍舊有防火墻限制。如果你想限制某一接口上的交通，不要選擇它。建議你不要將連接到互聯(lián)網(wǎng)之類的公共網(wǎng)絡(luò)上的設(shè)備定為 「信任的設(shè)備」。

允許進(jìn)入：?jiǎn)⒂眠@些選項(xiàng)將允許具體指定的服務(wù)穿過(guò)防火墻。注意：在工作站類型安裝中，大多數(shù)這類服務(wù)在系統(tǒng)內(nèi)沒(méi)有被安裝。

DHCP：如果你允許進(jìn)入的 DHCP 查詢和回應(yīng)，你將會(huì)允許任何使用 DHCP 來(lái)判定其IP地址的網(wǎng)絡(luò)接口。DHCP通常是啟用的。如果DHCP沒(méi)有被啟用，你的計(jì)算機(jī)就不能夠獲取 IP 地址。

SSH：Secure（安全）SHell（SSH）是用來(lái)在遠(yuǎn)程機(jī)器上登錄及執(zhí)行命令的一組工具。如果你打算使用SSH工具通過(guò)防火墻來(lái)訪問(wèn)你的機(jī)器，啟用該選項(xiàng)。你需要安裝openssh-server 軟件包以便使用 SSH 工具來(lái)遠(yuǎn)程訪問(wèn)你的機(jī)器。

TELNET：Telnet是用來(lái)在遠(yuǎn)程機(jī)器上登錄的協(xié)議。Telnet通信是不加密的，幾乎沒(méi)有提供任何防止來(lái)自網(wǎng)絡(luò)刺探之類的安全措施。建議你不要允許進(jìn)入的Telnet訪問(wèn)。如果你想允許進(jìn)入的 Telnet 訪問(wèn)，你需要安裝 telnet-server 軟件包。

HTTP：HTTP協(xié)議被Apache（以及其它萬(wàn)維網(wǎng)服務(wù)器）用來(lái)進(jìn)行網(wǎng)頁(yè)服務(wù)。如果你打算向公眾開(kāi)放你的萬(wàn)維網(wǎng)服務(wù)器，請(qǐng)啟用該選項(xiàng)。你不需要啟用該選項(xiàng)來(lái)查看本地網(wǎng)頁(yè)或開(kāi)發(fā)網(wǎng)頁(yè)。如果你打算提供網(wǎng)頁(yè)服務(wù)的話，你需要安裝 httpd 軟件包。啟用 「WWW(HTTP)」 將不會(huì)為 HTTPS 打開(kāi)一個(gè)端口。要啟用 HTTPS，在 「其它端口」 字段內(nèi)注明。

SMTP：如果你需要允許遠(yuǎn)程主機(jī)直接連接到你的機(jī)器來(lái)發(fā)送郵件，啟用該選項(xiàng)。如果你想從你的ISP服務(wù)器中收取POP3或IMAP郵件，或者你使用的是fetchmail之類的工具，不要啟用該選項(xiàng)。請(qǐng)注意，不正確配置的 SMTP 服務(wù)器會(huì)允許遠(yuǎn)程機(jī)器使用你的服務(wù)器發(fā)送垃圾郵件。

FTP：FTP 協(xié)議是用于在網(wǎng)絡(luò)機(jī)器間傳輸文件的協(xié)議。如果你打算使你的 FTP 服務(wù)器可被公開(kāi)利用，啟用該選項(xiàng)。你需要安裝 vsftpd 軟件包才能利用該選項(xiàng)。

其他端口：你可以允許到這里沒(méi)有列出的其它端口的訪問(wèn)，方法是在 「其它端口」 字段內(nèi)把它們列出。格式為： 端口:協(xié)議。例如，如果你想允許 IMAP 通過(guò)你的防火墻，你可以指定 imap:tcp。你還可以具體指定端口號(hào)碼 要允許 UDP 包在端口 1234 通過(guò)防火墻，輸入 1234:udp。要指定多個(gè)端口，用逗號(hào)將它們隔開(kāi)。

竅門(mén):要在安裝完畢后改變你的安全級(jí)別配置，使用 安全級(jí)別配置工具。

在 shell 提示下鍵入 redhat-config-securitylevel 命令來(lái)啟動(dòng) 安全級(jí)別配置工具。如果你不是根用戶，它會(huì)提示你輸入根口令后再繼續(xù)。

運(yùn)行防火墻的計(jì)算機(jī)（以下稱防火墻）既連接外部網(wǎng)，又連接內(nèi)部網(wǎng)。一般情況下，內(nèi)部網(wǎng)的用戶不能直接訪問(wèn)外部網(wǎng)，反之亦然。如果內(nèi)部網(wǎng)用戶要訪問(wèn)外部網(wǎng)，必須先登錄到防火墻，由防火墻進(jìn)行IP地址轉(zhuǎn)換后，再由防火墻發(fā)送給外部網(wǎng)，即當(dāng)內(nèi)部網(wǎng)機(jī)器通過(guò)防火墻時(shí)，源IP地址均被設(shè)置（或稱偽裝，或稱欺騙）成外部網(wǎng)合法的IP地址。經(jīng)偽裝以后，在外部網(wǎng)看來(lái)，內(nèi)部網(wǎng)的機(jī)器是一個(gè)具有合法的IP地址的機(jī)器，因而可進(jìn)行通信。外部網(wǎng)用戶要訪問(wèn)內(nèi)部網(wǎng)用戶時(shí)，也要先登錄到防火墻，經(jīng)過(guò)濾后，僅通過(guò)允許的服務(wù)。由此可見(jiàn)，防火墻在內(nèi)部網(wǎng)與外部網(wǎng)之間起到了兩個(gè)作用：(1)IP包過(guò)濾——保護(hù)作用；(2)路由——網(wǎng)絡(luò)互連作用。

硬件安裝：運(yùn)行Linux防火墻的計(jì)算機(jī)上必須安裝有兩塊網(wǎng)卡或一塊網(wǎng)卡、一塊Modem卡。本文以兩塊網(wǎng)卡為例。安裝網(wǎng)卡，正確設(shè)置中斷號(hào)及端口號(hào)，并為各網(wǎng)卡分配合適的IP地址。例如：eth0:172.16.77.99 255.255.255.0 Eth1:192.168.1.1 255.255.255.0 Iptables: 利用Iptables命令可以創(chuàng)建，刪除或插入鏈，并可以在鏈中創(chuàng)建，刪除或插入過(guò)濾規(guī)則。Iptables僅僅是一個(gè)包過(guò)濾管理工具，對(duì)過(guò)濾規(guī)則的執(zhí)行是通過(guò)LINUX的NETWORK PACKET FILTERING內(nèi)核和相關(guān)的支持模塊來(lái)實(shí)現(xiàn)的。

RED HAT LINUX在安裝時(shí)，也安裝了對(duì)舊版的IPCHAINS的支持，但是兩者不能同時(shí)使用，可以用以下命令卸下： Rmmod ipchains 然后可以檢查下Iptables是否安裝了： Rpm –q Iptables Iptables-1.2.7a-2 說(shuō)明已經(jīng)安裝了Iptables Iptables有以下服務(wù)： 啟用：service Iptables start 重啟：service Iptables restart 停止：servixe Iptables stop 對(duì)鏈的操作：

1． 2． 查看鏈：Iptables –L 創(chuàng)建與刪除鏈：Iptables –N block block為新鏈

Iptables –X 為刪除鏈 3．

對(duì)規(guī)則的操作：

1． 2． 3． 4． 5． 6． 7． 刪除鏈中規(guī)則：Iptables –E 歸零封包記數(shù)器：Iptables –Z 設(shè)置鏈的默認(rèn)策略：Iptables –P 新增規(guī)則：Iptables –A 替換規(guī)則：Iptables –R 刪除規(guī)則：Iptables –D 插入規(guī)則：Iptables –I 更改鏈的名稱：Iptables-E 要禁止外網(wǎng)PING本機(jī)，可以執(zhí)行規(guī)則為：

Iptables –A INPUT –p icmp –-icmp-type echo-request –I ppp0 –j DROP 若要禁止220.174.156.22主機(jī)訪問(wèn)本機(jī)，規(guī)則為： Iptables –A INPUT –s 220.174.156.22 –j DROP 規(guī)則的處理動(dòng)作： 1． 2． ACCEPT：允許封包通過(guò)或接收該封包

REJECT：攔截該封包，并回傳一個(gè)封包通知對(duì)方

3． 4． DROP：直接丟棄封包

5． 6． MASQUERADE：用于改寫(xiě)封包的來(lái)源IP為封包流出的外網(wǎng)卡的IP地址，實(shí)現(xiàn)IP偽裝

假設(shè)外網(wǎng)卡為ETH0，則 ： iptables –t –nat –A –POSTROUTING –o ETH0-j SNAT –to 172.16.77.99

構(gòu)建路由: 增加一條靜態(tài)路由：

# route add-net 172.16.77.0 netmask 255.255.255.0 再增加一條靜態(tài)路由：

# route add-net 192.168.1.0 netmask 255.255.0.0 還要為系統(tǒng)增加一條缺省路由，因?yàn)槿笔〉穆酚墒前阉械臄?shù)據(jù)包都發(fā)往它的上一級(jí)網(wǎng)關(guān)

（假設(shè)地址是172.16.1.254，這個(gè)地址依賴于使用的網(wǎng)絡(luò)而定，由網(wǎng)絡(luò)管理員分配），因此增加如下的缺省路由記錄： # route add default gw 172.16.77.254 最后一步，要增加系統(tǒng)的IP轉(zhuǎn)發(fā)功能。這個(gè)功能由

執(zhí)行如下命令打開(kāi)ip轉(zhuǎn)發(fā)功能： echo 1 > /proc/sys/net/ipv4/ip_forward 這樣我們的路由器基本上是配置好了 測(cè)試路由器的工作情況。

第五篇：計(jì)算機(jī)網(wǎng)絡(luò)安全防火墻技術(shù)畢業(yè)論文

計(jì)算機(jī)網(wǎng)絡(luò)安全防火墻技術(shù)畢業(yè)論文

防火墻原是指建筑物大廈用來(lái)防止火災(zāi)蔓延的隔斷墻。從理論上講,Internet防火墻服務(wù)也屬于類似的用來(lái)防止外界侵入的。它可以防止 Internet上的各種危險(xiǎn)(病毒、資源盜用等)傳播到你的網(wǎng)絡(luò)內(nèi)部。而事實(shí)上,防火墻并不像現(xiàn)實(shí)生活中的防火墻,它有點(diǎn)像古代守護(hù)城池用的護(hù)城河,服務(wù)于以下多個(gè)目的:

1)限定人們從一個(gè)特定的控制點(diǎn)進(jìn)入;

2)限定人們從一個(gè)特定的點(diǎn)離開(kāi);

3)防止侵入者接近你的其他防御設(shè)施;

4)有效地阻止破壞者對(duì)你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。

在現(xiàn)實(shí)生活中,Internet防火墻常常被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)上并接入Internet。

從上圖不難看出,所有來(lái)自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過(guò)防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。從邏輯上講,防火墻是起分隔、限制、分析的作用,這一點(diǎn)同樣可以從圖1中體會(huì)出來(lái)。那么,防火墻究竟是什么呢?實(shí)際上,防火墻是加強(qiáng)Internet(內(nèi)部網(wǎng))之間安全防御的一個(gè)或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。3.防火墻技術(shù)與產(chǎn)品發(fā)展的回顧

防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分,它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能:●過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);

●管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為;

●封堵某些禁止行為;

●記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng);

●對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。

為實(shí)現(xiàn)以上功能,在防火墻產(chǎn)品的開(kāi)發(fā)中,人們廣泛地應(yīng)用了網(wǎng)絡(luò)拓?fù)?、?jì)算機(jī)操作系統(tǒng)、路由、加密、訪問(wèn)控制、安全審計(jì)等成熟或先進(jìn)的技術(shù)和手段?？v觀防火墻近年來(lái)的發(fā)展,可以將其劃分為如下四個(gè)階段(即四代)。

3.1 基于路由器的防火墻

由于多數(shù)路由器本身就包含有分組過(guò)濾功能,故網(wǎng)絡(luò)訪問(wèn)控制可能通過(guò)路控制來(lái)實(shí)現(xiàn),從而使具有分組過(guò)濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點(diǎn)是:

1)利用路由器本身對(duì)分組的解析,以訪問(wèn)控制表(Access List)方式實(shí)現(xiàn)對(duì)分組的過(guò)濾;

2)過(guò)濾判斷的依據(jù)可以是:地址、端口號(hào)、IP旗標(biāo)及其他網(wǎng)絡(luò)特征;

3)只有分組過(guò)濾的功能,且防火墻與路由器是一體的。這樣,對(duì)安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法,而對(duì)安全性要求高的網(wǎng)絡(luò)則需要單獨(dú)利用一臺(tái)路由器作為防火墻。

●路由協(xié)議十分靈活,本身具有安全漏洞,外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如,在使用FTP協(xié)議時(shí),外部服務(wù)器容易從20號(hào)端口上與內(nèi)部網(wǎng)相連,即使在路由器上設(shè)置了過(guò)濾規(guī)則,內(nèi)部網(wǎng)絡(luò)的20號(hào)端口仍可以由外部探尋。

●路由器上分組過(guò)濾規(guī)則的設(shè)置和配置存在安全隱患。對(duì)路由器中過(guò)濾規(guī)則的設(shè)置和配置十分復(fù)雜,它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性,一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任,加之一旦出現(xiàn)新的協(xié)議,管理員就得加上更多的規(guī)則去限制,這往往會(huì)帶來(lái)很多錯(cuò)誤。

●路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的,黑客(Hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。

●路由器防火墻的本質(zhì)缺陷是:由于路由器的主要功能是為網(wǎng)絡(luò)訪問(wèn)提供動(dòng)態(tài)的、靈活的路由,而防火墻則要對(duì)訪問(wèn)行為實(shí)施靜態(tài)的、固定的控制,這是一對(duì)難以調(diào)和的矛盾,防火墻的規(guī)則設(shè)置會(huì)大大降低路由器的性能。

可以說(shuō)基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施,用這種權(quán)宜之計(jì)去對(duì)付黑客的攻擊是十分危險(xiǎn)的。

3.2 用戶化的防火墻工具套

為了彌補(bǔ)路由器防火墻的不足,很多大型用戶紛紛要求以專門(mén)開(kāi)發(fā)的防火墻系統(tǒng)來(lái)保護(hù)自己的網(wǎng)絡(luò),從而推動(dòng)了用戶防火墻工具套的出現(xiàn)。

作為第二代防火墻產(chǎn)品,用戶化的防火墻工具套具有以下特征:

1)將過(guò)濾功能從路由器中獨(dú)立出來(lái),并加上審計(jì)和告警功能;

2)針對(duì)用戶需求,提供模塊化的軟件包;

3)軟件可以通過(guò)網(wǎng)絡(luò)發(fā)送,用戶可以自己動(dòng)手構(gòu)造防火墻;

4)與第一代防火墻相比,安全性提高了,價(jià)格也降低了。

由于是純軟件產(chǎn)品,第二代防火墻產(chǎn)品無(wú)論在實(shí)現(xiàn)上還是在維護(hù)上都對(duì)系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求,并帶來(lái)以下問(wèn)題:

配置和維護(hù)過(guò)程復(fù)雜、費(fèi)時(shí);

對(duì)用戶的技術(shù)要求高;

全軟件實(shí)現(xiàn),使用中出現(xiàn)差錯(cuò)的情況很多。

3.3 建立在通用操作系統(tǒng)上的防火墻

基于軟件的防火墻在銷(xiāo)售、使用和維護(hù)上的問(wèn)題迫使防火墻開(kāi)發(fā)商很快推出了建立在通用操作系統(tǒng)上的商用防火墻產(chǎn)品。近年來(lái)市場(chǎng)上廣泛使用的就是這一代產(chǎn)品,它們具有如下一些特點(diǎn):

1)是批量上市的專用防火墻產(chǎn)品;

2)包括分組過(guò)濾或者借用路由器的分組過(guò)濾功能;

3)裝有專用的代理系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令;

4)保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置;

5)安全性和速度大大提高。

第三代防火墻有以純軟件實(shí)現(xiàn)的,也有以硬件方式實(shí)現(xiàn)的,它們已經(jīng)得到了廣大用戶的認(rèn)同。但隨著安全需求的變化和使用時(shí)間的推延,仍表現(xiàn)出不少問(wèn)題,比如:

1)作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知,由于源碼的保密,其安全性無(wú)從保證;

2)由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商,通用操作系統(tǒng)廠商不會(huì)對(duì)操作系統(tǒng)的安全性負(fù)責(zé);

3)從本質(zhì)上看,第三代防火墻既要防止來(lái)自外部網(wǎng)絡(luò)的攻擊,還要防止來(lái)自操作系統(tǒng)廠商的攻擊;

4)在功能上包括了分組過(guò)濾、應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)且具有加密鑒別功能;

5)透明性好,易于使用。