第一篇：防火墻的技術(shù)與發(fā)展

信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

摘 要

防火墻作為一種網(wǎng)絡(luò)或系統(tǒng)之間強(qiáng)制實(shí)行的訪問(wèn)控制機(jī)制，是確保網(wǎng)絡(luò)安全的重要手段，有基于通用操作系統(tǒng)設(shè)計(jì)的防火墻，也有基于專用操作系統(tǒng)設(shè)計(jì)的防火墻。由于Linux源代碼的開(kāi)放性，所以，Linux成為研究防火墻技術(shù)的一個(gè)很好的平臺(tái)。本文介紹 Linux的防火墻技術(shù) Netfilter/Iptables 在 Linux 內(nèi)核中的具體實(shí)現(xiàn)。討論了Linux內(nèi)核防火墻套件Netfilter 實(shí)現(xiàn)的一些基本技術(shù)：包過(guò)濾。Linux下常用的防火墻規(guī)則配置軟件Iptables；從實(shí)現(xiàn)原理、配置方法以及功能特點(diǎn)的角度描述了Linux防火墻的功能；并給出了Linux下簡(jiǎn)單防火墻的搭建。

關(guān)鍵字：防火墻，Netfilter，Iptables

I 信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

ABSTRACT

The firewall took between one kind of network or the system forces the access control mechanism which implements, is guarantees the network security the important method, has based on the general operating system design firewall, also has based on the special-purpose operating system design firewall.As a result of Linux source code openness, therefore, Linux becomes the research firewall technology a very good platform.This article introduces Linux firewall technology Netfilter/Iptables in Linux essence concrete realization.Discussed Linux essence firewall set of Netfilter realization’s some basic technologies: the package filter.Under Linux commonly used firewall rule disposition software Iptables;from the realization principle, the disposition method as well as the function characteristic angle described the Linux firewall function;and build up a simple firewall in Linux.Key words: Firewall, Netfilter, Iptables

II 信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

目錄

摘 要………………………………………………………I ABSTRACT………………………………………………………II 第一章 緒 論…………………………………………………1

1.1 前言1 1.2開(kāi)發(fā)背景1

第二章 防火墻技術(shù) 2

2.1防火墻概述2 2.2包過(guò)濾技術(shù) 2 第三章 Netfilter/Iptables 3 3.1 Netfilter框架4

3.1.1 Netfilter框架的介紹4 3.1.2數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)協(xié)議棧的分析4 3.2 管理工具：Iptables5

3.2.1 Iptables 防火墻規(guī)則配置管理工具5 3.2.1 Iptables工具的應(yīng)用方法5 第四章 Linux下簡(jiǎn)單防火墻的搭建6 4.1防火墻搭建的戰(zhàn)略規(guī)劃6 4.2 Iptables規(guī)則腳本7 第五章 總結(jié)與展望8 5.1 應(yīng)用前景8 5.2 總體體會(huì)8 參考文獻(xiàn)9 致 謝10

III 信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

第一章 緒 論

1.1 前言

Linux 可以追溯到UC Berkeley分校的Unix，因此從某種意義上講，Linux本身就是一種網(wǎng)絡(luò)操作系統(tǒng)，Linux在實(shí)現(xiàn)網(wǎng)絡(luò)功能方面有著獨(dú)特的優(yōu)勢(shì)。防火墻的初步功能首次出現(xiàn)在Linux 1.1內(nèi)核中，到Linux 2.0內(nèi)核時(shí)，其部件IPFwadm對(duì)防火墻部分已進(jìn)行了很大改進(jìn)和增強(qiáng)；Linux 2.2.x內(nèi)核發(fā)布時(shí)，IPchains和單獨(dú)開(kāi)發(fā)的NAT等模塊已經(jīng)可以比較完整地實(shí)現(xiàn)內(nèi)核IP防火墻功能，從Linux的2.4內(nèi)核開(kāi)始的Netfilter最終廢除了Ipchains，其主要原因有：IPchain是以內(nèi)核級(jí)運(yùn)行的C及C++代碼，沒(méi)有很好地提供從用戶空間訪問(wèn)IPchains的接口，限制了IPchains的可擴(kuò)展性。

1.2 開(kāi)發(fā)背景

在網(wǎng)絡(luò)安全問(wèn)題日趨嚴(yán)峻的今天，防火墻作為第一道防線起著關(guān)鍵的作用。防火墻可以對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過(guò)濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn)，從而防止來(lái)自不明入侵者的所有通信。從而對(duì)防火墻的研究成為研究熱點(diǎn)。信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

第二章 防火墻技術(shù)

2.1防火墻概述

防火墻是一個(gè)或一組實(shí)施訪問(wèn)控制策略的系統(tǒng)。它在內(nèi)部網(wǎng)絡(luò)（專用網(wǎng)絡(luò)）與外部網(wǎng)絡(luò)（功用網(wǎng)絡(luò)）之間形成一道安全保護(hù)屏障，防止非法用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)上的資源和非法向外傳遞內(nèi)部信息，同時(shí)也防止這類非法和惡意的網(wǎng)絡(luò)行為導(dǎo)致內(nèi)部網(wǎng)絡(luò)運(yùn)行遭到破壞。它基本功能是過(guò)濾并可能阻擋本地網(wǎng)絡(luò)或者網(wǎng)絡(luò)的某個(gè)部分與Internet之間的數(shù)據(jù)傳送（數(shù)據(jù)包）。防火墻的主要功能包括:

1．防火墻本身支持一定的安全策略。2．提供一定的訪問(wèn)或接入控制機(jī)制。3．容易擴(kuò)充、更改新的服務(wù)和安全策略。4．具有代理服務(wù)功能，包含先進(jìn)的鑒別技術(shù)。5．采用過(guò)濾技術(shù)，根據(jù)需求來(lái)允許或拒絕某些服務(wù)。

6．防火墻的編程語(yǔ)言應(yīng)較靈活，具有友好的編程界面。并用具有較多的過(guò)濾屬性，包括源和目的IP地址、協(xié)議類型、源和目的的TCP/UDP端口以及進(jìn)入和輸出的接口地址。

2.2 包過(guò)濾技術(shù)

包過(guò)濾技術(shù)是防火墻的一種最基本的實(shí)現(xiàn)技術(shù)，具有包過(guò)濾技術(shù)的裝置是用來(lái)控制內(nèi)、外網(wǎng)絡(luò)間數(shù)據(jù)流的流入和流出，包過(guò)濾技術(shù)中的數(shù)據(jù)包大部分是基于TCP/IP協(xié)議平臺(tái)的，其中包括網(wǎng)絡(luò)層的IP數(shù)據(jù)包，運(yùn)輸層的TCP和UDP數(shù)據(jù)包以及應(yīng)用層的FTP、Telnet和HTTP等應(yīng)用協(xié)議數(shù)據(jù)包三部分內(nèi)容。信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

過(guò)濾技術(shù)依靠以下三個(gè)基本依據(jù)來(lái)實(shí)現(xiàn)“允許或不允許”某些包通過(guò)防火墻：

1．包的目的地址及目的端口； 2．包的源地址及源端口； 3．包的傳輸協(xié)議。信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

第三章 Netfilter/Iptables

3.1 Netfilter框架

3.1.1 Netfilter框架的介紹

Netfilter是Linux 2.4實(shí)現(xiàn)的防火墻框架，Netfilter提供了一個(gè)抽象、通用化的框架定義一個(gè)子功能實(shí)現(xiàn)的就是包過(guò)濾子系統(tǒng)。Netfilter由一系列基于協(xié)議棧的鉤子組成，這些鉤子都對(duì)應(yīng)某一具體的協(xié)議。每一個(gè)協(xié)議對(duì)應(yīng)的鉤子函數(shù)都定義在協(xié)議具體的頭文件中，如對(duì)應(yīng)于IPv4的鉤子函數(shù)就定義在內(nèi)核頭文件：/Linux/netfilter_ipv4.h中。

3.1.2 數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)協(xié)議棧的分析

1、收到數(shù)據(jù)，中斷發(fā)生

通常的，當(dāng)一塊網(wǎng)卡接收到屬于其自己MAC地址或者廣播的以太網(wǎng)絡(luò)數(shù)據(jù)幀時(shí)，就會(huì)引發(fā)一個(gè)中斷，網(wǎng)卡驅(qū)動(dòng)的中斷處理程序獲得機(jī)會(huì)，通過(guò)I/O，DMA復(fù)制網(wǎng)絡(luò)幀數(shù)據(jù)到內(nèi)存中。然后網(wǎng)絡(luò)驅(qū)動(dòng)程序?qū)?chuàng)建一個(gè)skb結(jié)構(gòu)，將網(wǎng)絡(luò)幀數(shù)據(jù)填充，設(shè)置時(shí)間戳，區(qū)分類型后，將skb送入對(duì)應(yīng)的包接收隊(duì)列（其實(shí)就是添加到系統(tǒng)中的一個(gè)雙向鏈表中）。

2、數(shù)據(jù)接收軟中斷

內(nèi)核調(diào)用kernel/softirq.c:do_softirq()執(zhí)行數(shù)據(jù)包接收軟中斷(NET_RX_SOFTIRQ)，將skb從CPU的接收隊(duì)列中取出來(lái)，交給對(duì)應(yīng)IPv4協(xié)議處理程序。協(xié)議處理程序?qū)?duì)傳入的數(shù)據(jù)包進(jìn)行一些完整性監(jiān)測(cè)，如果監(jiān)測(cè)失敗，則將數(shù)據(jù)包丟棄。通過(guò)完整性監(jiān)測(cè)以后，將進(jìn)行一些必要的清理操作，去掉可能多余的填充數(shù)據(jù)，并且重新計(jì)算數(shù)據(jù)包的長(zhǎng)度。信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

3.2 管理工具：Iptables

3.2.1 Iptables 防火墻規(guī)則配置管理工具

Netfilter框架在內(nèi)核中主要負(fù)責(zé)PACKET的獲得和重新注入，而對(duì)PACKET的匹配預(yù)處理主要由規(guī)則表來(lái)完成。

當(dāng)我們用Iptables命令配置工具配置一條規(guī)則后，Iptables應(yīng)用程序會(huì)運(yùn)用iptables-standalone.c::main()::do_command()，然后再調(diào)用libiptc庫(kù)提供的iptc_commit()函數(shù)向核心提交該操作請(qǐng)求。該函數(shù)根據(jù)請(qǐng)求會(huì)設(shè)置一個(gè)struct ipt_replace結(jié)構(gòu)，用來(lái)描述規(guī)則所涉及的表和HOOK點(diǎn)等信息，并在其后附接當(dāng)前這條規(guī)則（一個(gè)struct ipt_entry結(jié)構(gòu)）。從而將命令行輸入轉(zhuǎn)換為程序可讀的格式。組織好這些數(shù)據(jù)后，iptc_commit()調(diào)用setsockopt()系統(tǒng)調(diào)用來(lái)啟動(dòng)核心處理這一請(qǐng)求：

setsockopt(sockfd, //通過(guò)socket創(chuàng)建的原始套接字，TC_IPPROTO，//即IPPROTO_IP SO_SET_REPLACE, //即IPT_SO_SET_REPLACE repl，//struct ipt_replace結(jié)構(gòu)

sizeof(*repl)+(*handle)->entries.size)3.2.1 Iptables工具的應(yīng)用方法

一個(gè)Iptables命令基本上包含如下五部分（1）希望工作在哪個(gè)表上（2）希望使用該表的哪個(gè)鏈

（3）進(jìn)行操作（插入、添加、刪除、修改）（4）對(duì)特定規(guī)則的目標(biāo)動(dòng)作（5）匹配數(shù)據(jù)報(bào)條件 信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

第四章

Linux下簡(jiǎn)單防火墻的搭建

4.1防火墻搭建的戰(zhàn)略規(guī)劃

包過(guò)濾防火墻的規(guī)則是由一組接收和禁止規(guī)則列表組成，規(guī)則列表中定義了數(shù)據(jù)包是否可以通過(guò)網(wǎng)絡(luò)接口。防火墻規(guī)則通過(guò)數(shù)據(jù)包頭的字段是否允許一個(gè)數(shù)據(jù)包通過(guò)。當(dāng)默認(rèn)策略設(shè)置為禁止一切時(shí)，若數(shù)據(jù)包頭的字段與規(guī)則匹配，則路由器將該數(shù)據(jù)包轉(zhuǎn)發(fā)至指定的目的地，否則將該數(shù)據(jù)包丟棄或被阻止并反饋一個(gè)錯(cuò)誤狀態(tài)信息給發(fā)出端的計(jì)算機(jī)。

一、輸入包過(guò)濾

1、遠(yuǎn)程源地地址過(guò)濾

在包過(guò)濾的層次上，數(shù)據(jù)包頭中的源地址是識(shí)別IP數(shù)據(jù)包發(fā)送者的唯一方法。

（1）假冒本地IP地址

從外部輸入的數(shù)據(jù)包聲稱是來(lái)自本地計(jì)算機(jī)的數(shù)據(jù)包，因?yàn)樵吹刂肥俏ㄒ豢色@得的信息，而它可以被修改，所以這是用戶在包過(guò)濾的層次上唯一檢測(cè)到的欺騙形式。

（2）回環(huán)接口地址

回環(huán)地址是TCP/IP協(xié)議在本地網(wǎng)絡(luò)服務(wù)使用的內(nèi)部專用地址，目的是將網(wǎng)絡(luò)通信請(qǐng)求或處理通過(guò)回環(huán)地址發(fā)給本機(jī)的網(wǎng)絡(luò)服務(wù)，而不許發(fā)送到網(wǎng)絡(luò)上。通常，回環(huán)網(wǎng)絡(luò)的網(wǎng)絡(luò)地址是127.0.0.0，回環(huán)地址是127.0.0.1，主機(jī)名使用localhost，回環(huán)網(wǎng)絡(luò)標(biāo)識(shí)lo。

2、本地目的地址過(guò)濾

網(wǎng)卡只接收發(fā)給本機(jī)的數(shù)據(jù)包和廣播數(shù)據(jù)包。也就是說(shuō)，網(wǎng)卡將濾掉除廣播數(shù)據(jù)包以外的，目的地址不是本機(jī)地址的普通數(shù)據(jù)包。例如，地址信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

255.255.255.255是對(duì)網(wǎng)絡(luò)上的所有主機(jī)進(jìn)行廣播。

二、輸出包過(guò)濾

輸出消息過(guò)濾的重要應(yīng)用層運(yùn)行局域網(wǎng)服務(wù)時(shí)，不把本地?cái)?shù)據(jù)包和本地系統(tǒng)信息泄漏到因特網(wǎng)上。

1、本地源地址過(guò)濾

通過(guò)本地源地址過(guò)濾，可以防止本地用戶仿造IP地址，欺騙其他的網(wǎng)站。

2、遠(yuǎn)程目的地址過(guò)濾

對(duì)于輸出數(shù)據(jù)包，需要限定特定類型的數(shù)據(jù)包，這個(gè)目的地址只能是特定的遠(yuǎn)程網(wǎng)絡(luò)或單機(jī)。此時(shí)，防火墻規(guī)則將定義這些數(shù)據(jù)包允許到達(dá)的目的地必須是有明確的IP地址或限定的IP地址范圍內(nèi)的目的地。

4.2 Iptables規(guī)則腳本

1.刪除任何已存在的規(guī)則。記住在定義任何一個(gè)防火墻規(guī)則前，都要?jiǎng)h除存在于所有鏈的規(guī)則。命令如下[3][4][6]： iptables-F 2.配置默認(rèn)的拒絕規(guī)則。實(shí)際應(yīng)用中配置的基本原則是：先拒絕所有的服務(wù)，然后再根據(jù)用戶的需要設(shè)置相應(yīng)的服務(wù)。參考配置程序如下： iptables-P INPUT DROP iptables-P OUTPUT DROP iptables-P FORWARD DROP 信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

第五章 總結(jié)與展望

5.1 應(yīng)用前景

Netfilter/Iptables的包過(guò)濾架構(gòu)是Linux內(nèi)核開(kāi)發(fā)人員通過(guò)對(duì)Ipfwadm/Ipchains等早期的包過(guò)濾程序的開(kāi)發(fā)經(jīng)驗(yàn)和全世界用戶反饋的分析，重新設(shè)計(jì)，改造而形成的相對(duì)成熟的Linux內(nèi)核包過(guò)濾框架。

本文從理論和實(shí)踐兩方面對(duì)Linux2.4.x內(nèi)核對(duì)防火墻的處理作了分析，目的是使一般小型企業(yè)針對(duì)自己實(shí)際情況，設(shè)計(jì)專門(mén)的防火墻成為可能。

5.2 總體體會(huì)

經(jīng)過(guò)幾個(gè)月的磨煉和努力，總結(jié)出只有在強(qiáng)壓與競(jìng)爭(zhēng)中才會(huì)有意想不到的收獲和進(jìn)步。

畢業(yè)設(shè)計(jì)培養(yǎng)了作者本人綜合運(yùn)用所學(xué)的基礎(chǔ)理論，基本知識(shí)和基本技能，分析解決實(shí)際問(wèn)題的能力，它在某種程度上是前面各個(gè)學(xué)習(xí)環(huán)節(jié)的繼續(xù)，深化和檢驗(yàn)。認(rèn)為自身在這次畢業(yè)設(shè)計(jì)中培養(yǎng)了以下四方面的能力：

? 綜合運(yùn)用所學(xué)專業(yè)基本理論，提高查閱文獻(xiàn)、論文和資料的能力。提高自身進(jìn)行技術(shù)總結(jié)和撰寫(xiě)論文的能力。

編程的過(guò)程是不斷學(xué)習(xí)的過(guò)程，當(dāng)有更好、更簡(jiǎn)潔的程序時(shí)，要注意揚(yáng)棄的結(jié)合。?

?

? 設(shè)計(jì)既要重視分工，重視設(shè)計(jì)作品的完整性，重視風(fēng)格的統(tǒng)一性。要注重編程過(guò)程中的細(xì)節(jié)，有時(shí)細(xì)小的失誤也會(huì)形成極大的麻煩。?

畢業(yè)設(shè)計(jì)讓作者本人體會(huì)到科學(xué)的精神。面對(duì)隨時(shí)而來(lái)的挫折，自己不斷的給自己鼓勁，克服困難，勇往直前。信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

參考文獻(xiàn)

[1] 博嘉科技主編．Linux防火墻技術(shù)探秘．國(guó)防工業(yè)出版社，2002 [2] James F.Kurose,，Keith W.Ross 著．計(jì)算機(jī)網(wǎng)絡(luò)------用自頂向下方法描述因特網(wǎng)特色．人發(fā)郵電出版社，2004 [3] 張斌等編．Linux網(wǎng)絡(luò)編程．清華大學(xué)出版社，2000 [4] 劉偉，龔漢明，朱青編著．UNIX基礎(chǔ)教程．清華大學(xué)出版社，2003 [5] 張琳等編著．網(wǎng)絡(luò)管理與應(yīng)用．人民郵電出版社，2000 [6] 孫建華等編著． 網(wǎng)絡(luò)系統(tǒng)管理------Linux實(shí)訓(xùn)篇．人民郵電出版社,2003 [7] W.Richard Stevens著．TCP/IP詳解卷1：協(xié)議．機(jī)械工業(yè)出版社，2006 [8] 鳥(niǎo)哥編著．LINUX私房菜服務(wù)器架設(shè)篇．科學(xué)出版社，2005 信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

致 謝

首先衷心地感謝指導(dǎo)老師王則林，每星期的指導(dǎo)與教學(xué)，以及平時(shí)對(duì)我的不懈支持和幫助，他對(duì)我的諄諄教誨和誠(chéng)摯關(guān)懷, 嚴(yán)謹(jǐn)治學(xué)的態(tài)度、睿智的學(xué)者風(fēng)度和敏銳的洞察力令我敬佩，并將會(huì)使我終生受益。才使我的畢業(yè)設(shè)計(jì)順利完成。

感謝與我同組畢業(yè)設(shè)計(jì)的同學(xué)們，他們良好的合作精神以及認(rèn)真嚴(yán)謹(jǐn)?shù)目茖W(xué)態(tài)度深深地感染了我，這也是我們畢業(yè)設(shè)計(jì)能夠順利完成的保證。

最后感謝同窗四年的兄弟姐妹們，他們的關(guān)心和幫助陪伴我度過(guò)了人生中最值得回憶，最難以忘懷的大學(xué)四年。

第二篇：計(jì)算機(jī)網(wǎng)絡(luò)與防火墻技術(shù)論文

計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)

張帥

計(jì)算機(jī)學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)(師范)專業(yè)06級(jí) 指導(dǎo)教師：蒲靜

摘要:本文由計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題出發(fā)，分析了網(wǎng)絡(luò)安全面臨的主要威脅，及保護(hù)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)，提出了防火墻是計(jì)算機(jī)網(wǎng)絡(luò)安全體系的核心的觀點(diǎn)，并著重介紹了防火墻的相關(guān)技術(shù)。同時(shí)，說(shuō)明了防火墻并不是萬(wàn)能的，指出了防火墻技術(shù)的缺陷，并就現(xiàn)今防火墻技術(shù)的現(xiàn)狀，提出未來(lái)防火墻技術(shù)的發(fā)展設(shè)想。關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；安全；關(guān)鍵技術(shù)；缺陷；防火墻

Computer-network Security and Firewall Technology

Zhang Shuai Computer College Grade 06 Instructor:Pu Jing Abstract: This article by a computer network security issues, analyzes network security major threats, and protect the network security key technologies.Proposed computer network firewall security system is the core idea, and highlights the firewall related technologies.At the same time, shows the firewall is not a panacea, points out the deficiencies in firewall technology, and on the current status of firewall technology, that future firewall technology's development.Key words： computer-network;security;key-technology;deficiencies;firewall 1

目錄

中文摘要····························································1 英文摘要····························································1 目錄································································2 1 緒論······························································3 2 計(jì)算機(jī)網(wǎng)絡(luò)安全的主要問(wèn)題··········································3 2.1 網(wǎng)絡(luò)安全的定義················································3 2.2 網(wǎng)絡(luò)安全面臨的主要威脅········································3 2.2.1 計(jì)算機(jī)病毒的侵襲···········································3 2.2.2 黑客侵襲···················································3 2.2.3 拒絕服務(wù)攻擊···············································3 2 2.3 實(shí)現(xiàn)計(jì)算機(jī)安全的關(guān)鍵技術(shù)···································4 2.3.1 數(shù)據(jù)加密···················································4 2.3.2 認(rèn)證·······················································4 2.3.3 入侵檢測(cè)技術(shù)···············································4 2.3.4 防病毒技術(shù)·················································4 2.3.5 文件系統(tǒng)安全···············································4 2.3.6 防火墻技術(shù)·················································4 3 防火墻概述························································4 3.1 防火墻概念····················································4 3.2 防火墻的主要功能··············································5 3.2.1 強(qiáng)化網(wǎng)絡(luò)安全策略···········································5 3.2.2 對(duì)輸入進(jìn)行篩選·············································5 3.2.3 防止內(nèi)部信息的外泄·········································5 3.2.4 限制內(nèi)部用戶活動(dòng)···········································5 3.2.5 網(wǎng)絡(luò)地址轉(zhuǎn)換···············································5 3.2.6 對(duì)網(wǎng)絡(luò)使用情況進(jìn)行記錄監(jiān)控·································6 3.3 防火墻的原理及分類············································6

3.3.1 包過(guò)濾防火墻···············································6 3.3.2 應(yīng)用代理防火墻·············································6

3.3.3 狀態(tài)檢測(cè)防火墻·············································6

3.4 防火墻的主要技術(shù)優(yōu)缺點(diǎn)分析····································6

3.4.1 包過(guò)濾技術(shù)·················································6 3.4.2 應(yīng)用代理技術(shù)··············································7 3.4.3 狀態(tài)檢測(cè)技術(shù)···············································7 4 防火墻的缺陷及未來(lái)發(fā)展趨勢(shì)·······································7 4.1 防火墻的十大缺陷··············································7 4.2 關(guān)于防火墻未來(lái)發(fā)展的幾點(diǎn)設(shè)想··································8 結(jié)束語(yǔ)······························································8 參考文獻(xiàn)····························································8 致謝································································9 緒論

計(jì)算機(jī)技術(shù)的應(yīng)用與發(fā)展，帶動(dòng)并促進(jìn)了信息技術(shù)的變革，計(jì)算機(jī)與信息技術(shù)以其廣泛的滲透力和罕見(jiàn)的親和力，正從整體上影響著世界經(jīng)濟(jì)和社會(huì)發(fā)展的進(jìn)程，引發(fā)了計(jì)算機(jī)應(yīng)用技術(shù)一場(chǎng)空前的技術(shù)革命。但是，伴隨而來(lái)的是計(jì)算機(jī)屢屢遭到破壞，輕者丟掉數(shù)據(jù)，重者系統(tǒng)平臺(tái)和計(jì)算機(jī)資源被攻擊，其損失常常是不可估量的，這是一個(gè)日益嚴(yán)峻的問(wèn)題即計(jì)算機(jī)網(wǎng)絡(luò)安全。

為了保護(hù)自己的計(jì)算機(jī)、服務(wù)器和局域網(wǎng)資源免受攻擊破壞而丟掉數(shù)據(jù)、系統(tǒng)重新安裝等，利用防火墻技術(shù)是當(dāng)前比較流行且比較可行的一種網(wǎng)絡(luò)安全防護(hù)技術(shù)。其既是計(jì)算機(jī)高新技術(shù)的產(chǎn)物，又具有低廉實(shí)惠的特點(diǎn)，故簡(jiǎn)要探究防火墻技術(shù)的特點(diǎn)和以及其在計(jì)算機(jī)網(wǎng)絡(luò)安全中的作用。計(jì)算機(jī)網(wǎng)絡(luò)的主要安全問(wèn)題

2.1 網(wǎng)絡(luò)安全的定義

我國(guó)對(duì)于計(jì)算機(jī)安全的定義是：“計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運(yùn)行?！?2.2 網(wǎng)絡(luò)安全面臨的主要威脅

一般認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來(lái)自計(jì)算機(jī)病毒、黑客的攻擊和拒絕服務(wù)攻擊三個(gè)方面。2.2.1 計(jì)算機(jī)病毒的侵襲

當(dāng)前，活性病毒達(dá)14000多種，計(jì)算機(jī)病毒侵入網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)資源進(jìn)行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個(gè)網(wǎng)絡(luò)的癱瘓。2.2.2 黑客侵襲

即黑客非法進(jìn)入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。例如通過(guò)隱蔽通道進(jìn)行非法活動(dòng)；采用匿名用戶訪問(wèn)進(jìn)行攻擊；通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)獲取網(wǎng)上用戶賬號(hào)和密碼；非法獲取 3 網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。2.2.3 拒絕服務(wù)攻擊

例如“點(diǎn)在郵件炸彈”，它的表現(xiàn)形式是用戶在很短的時(shí)間內(nèi)收到大量無(wú)用的電子郵件，從而影響正常業(yè)務(wù)的運(yùn)行。嚴(yán)重時(shí)會(huì)使系統(tǒng)關(guān)機(jī)，網(wǎng)絡(luò)癱瘓。2.3.實(shí)現(xiàn)計(jì)算機(jī)安全的關(guān)鍵技術(shù) 2.3.1 數(shù)據(jù)加密

加密就是把明文變成密文，從而使未被授權(quán)的人看不懂它。有兩種主要的加密類型：私匙加密和公匙加密。2.3.2 認(rèn)證

對(duì)合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對(duì)公司信息系統(tǒng)的訪問(wèn)，使用認(rèn)證機(jī)制還可以防止合法用戶訪問(wèn)他們無(wú)權(quán)查看的信息。2.3.3 入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全研究的一個(gè)熱點(diǎn)，是一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部入侵、外部入侵和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。2.3.4 防病毒技術(shù)

隨著計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)病毒變得越來(lái)越復(fù)雜和高級(jí)，計(jì)算機(jī)病毒防范不僅僅是一個(gè)產(chǎn)品、一個(gè)策略或一個(gè)制度，它是一個(gè)匯集了硬件、軟件、網(wǎng)絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。2.3.5 文件系統(tǒng)安全

在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個(gè)關(guān)鍵性的概念，因?yàn)樵L問(wèn)控制實(shí)現(xiàn)在兩個(gè)方面：本地和遠(yuǎn)程。建立文件權(quán)限的時(shí)候，必須在Windows 2000中首先實(shí)行新技術(shù)文件系統(tǒng)（New Technology File System，NTFS）。一旦實(shí)現(xiàn)了NTFS，你可以使用Windows資源管理器在文件和文件夾上設(shè)置用戶級(jí)別的權(quán)限。你需要了解可以分配什么樣的權(quán)限，還有日常活動(dòng)期間一些規(guī)則是處理權(quán)限的。Windows 2000操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪問(wèn)控制。2.3.6 防火墻技術(shù)

防火墻就是用來(lái)阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問(wèn)。它是計(jì)算機(jī)網(wǎng)絡(luò)安全的第一道關(guān)卡。防火墻概述

隨著Internet的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來(lái)越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多;同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問(wèn)題，使得網(wǎng)絡(luò)安全問(wèn)題越來(lái)越突出。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問(wèn)，阻止病毒的傳播感染 4 顯得尤為重要。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過(guò)濾、應(yīng)用代理、狀態(tài)檢測(cè)三類。其中包過(guò)濾作為最早發(fā)展起來(lái)的一種技術(shù)，其應(yīng)用非常廣泛。3.1 防火墻的概念

防火墻的本義原是指古代人們房屋之間修建的那道墻，這道墻可以防止火災(zāi)發(fā)生的時(shí)候蔓延到別的房屋。而這里所說(shuō)的防火墻當(dāng)然不是指物理上的防火墻，而是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施的總稱。它對(duì)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包依照一定的安全策略進(jìn)行檢查，以決定通信是否被允許，對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)的信息、結(jié)構(gòu)和運(yùn)行狀況，并提供單一的安全和審計(jì)的安裝控制點(diǎn)，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不被外部非授權(quán)用戶訪問(wèn)和過(guò)濾不良信息的目的[1]。3.2 防火墻的主要功能 3.2.1 強(qiáng)化網(wǎng)絡(luò)安全策略

在沒(méi)有防火墻的環(huán)境里，網(wǎng)絡(luò)安全管理是分散到每一個(gè)主機(jī)上的，所有主機(jī)必須同心協(xié)力才能維持網(wǎng)絡(luò)的安全性。而防火墻能夠?qū)崿F(xiàn)集中安全管理，可以將所有安全軟件配置在防火墻上，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機(jī)上。3.2.2 對(duì)輸入進(jìn)行篩選

防火墻可以通過(guò)對(duì)傳入數(shù)據(jù)包的源地址、目標(biāo)地址及其他信息的檢查，確定是否允許通過(guò)。只有滿足防火墻配置規(guī)則的數(shù)據(jù)包才能通過(guò)防火墻，否則阻止數(shù)據(jù)包的傳人。

3.2.3 防止內(nèi)部信息的外泄

通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)中重點(diǎn)網(wǎng)段的隔離，限制內(nèi)部網(wǎng)絡(luò)中不同部門(mén)之間互相訪問(wèn)，從而保障了網(wǎng)絡(luò)內(nèi)部敏感數(shù)據(jù)的安全。3.2.4 限制內(nèi)部用戶活動(dòng)

防火墻通過(guò)用戶身份認(rèn)證來(lái)確定合法用戶。防火墻通過(guò)事先確定的完全檢查策略，來(lái)決定內(nèi)部用戶可以使用哪些服務(wù)，可以訪問(wèn)哪些網(wǎng)站。3.2.5 網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT，Network Address Translation)

內(nèi)部網(wǎng)主機(jī)經(jīng)常要訪問(wèn)Internet，而NAT可以將內(nèi)部網(wǎng)的專用地址轉(zhuǎn)換成Internet地址。這樣可以掩藏服務(wù)器的真正IP地址，起到一定的隔離作用，使內(nèi)部網(wǎng)絡(luò)用戶不被暴露在外部網(wǎng)絡(luò)中。此外防火墻可以作為部署NAT的邏輯地址，因此防火墻可以用來(lái)緩解地址空間短缺的問(wèn)題，并消除機(jī)構(gòu)在變換ISP時(shí)帶來(lái)的重新編址的麻煩。

3.2.6 對(duì)網(wǎng)絡(luò)使用情況進(jìn)行記錄監(jiān)控

防火墻能夠記錄所有經(jīng)過(guò)防火墻的訪問(wèn)并形成完整的日志，提供有關(guān)網(wǎng)絡(luò)使 5 用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)網(wǎng)絡(luò)受到掃描或攻擊等可疑活動(dòng)時(shí)，防火墻能進(jìn)行報(bào)警，并提供詳細(xì)信息。

3.3 防火墻的分類及工作原理

國(guó)際計(jì)算機(jī)安全委員會(huì)ICSA將防火墻分成三大類:包過(guò)濾防火墻，應(yīng)用級(jí)代理服務(wù)器[3]以及狀態(tài)包檢測(cè)防火墻。3.3.1 包過(guò)濾防火墻

包過(guò)濾防火墻[4]就是把接收到的每個(gè)數(shù)據(jù)包同預(yù)先設(shè)定的包過(guò)濾規(guī)則相比較，從而決定是否阻塞或通過(guò)。包過(guò)濾防火墻工作在網(wǎng)絡(luò)層，通過(guò)對(duì)每個(gè)IP包的源地址、目的地址、傳輸協(xié)議等信息與事先設(shè)置的安全規(guī)則進(jìn)行比較，如果滿足安全規(guī)則定義的IP包則通過(guò)，如果不符合安全規(guī)則定義的IP包則被排除。3.3.2 應(yīng)用代理防火墻

它是針對(duì)數(shù)據(jù)包過(guò)濾[5]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。應(yīng)用代理型防火墻設(shè)置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，當(dāng)用戶訪問(wèn)目的站點(diǎn)時(shí)，對(duì)于符合安全規(guī)則的連接，首先用戶與代理服務(wù)器建立連接，應(yīng)用代理型防火墻將會(huì)代替目的站點(diǎn)進(jìn)行響應(yīng)，并重新向目的站點(diǎn)發(fā)出一個(gè)同樣的請(qǐng)求。代理系統(tǒng)實(shí)際上是用戶和真實(shí)服務(wù)器之間的中介。3.3.3 狀態(tài)包檢測(cè)防火墻

狀態(tài)檢測(cè)又稱動(dòng)態(tài)包過(guò)濾，是為了解決包過(guò)濾模式安全性不足的問(wèn)題，在包過(guò)濾技術(shù)的基礎(chǔ)上，采用了一個(gè)執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎——檢測(cè)模塊。當(dāng)建立連接時(shí)，狀態(tài)檢測(cè)檢查預(yù)選設(shè)定的安全規(guī)則，符合規(guī)則的連接允許通過(guò)，并記錄下該連接的相關(guān)信息，動(dòng)態(tài)保存生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過(guò)。3.4 防火墻的主要技術(shù)優(yōu)缺點(diǎn)分析

如上文所述，防火墻技術(shù)主要有：包過(guò)濾技術(shù)、應(yīng)用代理技術(shù)、狀態(tài)檢測(cè)技術(shù)。

3.4.1 包過(guò)濾技術(shù)

優(yōu)點(diǎn)：包過(guò)濾防火墻因?yàn)楣ぷ髟诰W(wǎng)絡(luò)層，因此處理包的速度快；此外它提供透明服務(wù)，即不需要用戶名和密碼來(lái)登錄，用戶不用改變客戶端程序。

缺點(diǎn)：網(wǎng)絡(luò)層在OSI體系中處于較低的層次，因而安全防護(hù)也是較低級(jí)；不能徹底防止地址欺騙，一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過(guò)濾，正常的數(shù)據(jù)包過(guò)濾路由器無(wú)法執(zhí)行某些安全策略，不能防范黑客攻擊，不支持應(yīng)用層協(xié)議，不能處理新的安全威脅。3.4.2 應(yīng)用代理技術(shù)

優(yōu)點(diǎn)：應(yīng)用代理型防火墻工作在0SI體系的最高層——應(yīng)用層，安全級(jí)別高于包過(guò)濾型防火墻；應(yīng)用代理型防火墻對(duì)用戶而言是透明的，而對(duì)外部網(wǎng)絡(luò)卻隱藏了內(nèi)部IP地址，可以保護(hù)內(nèi)部主機(jī)不受外部攻擊；代理系統(tǒng)可以控制戶機(jī)和服務(wù)器之間的流量，并對(duì)此加以記錄，提供詳細(xì)的日志。

缺點(diǎn)：代理速度較路由器慢，代理對(duì)用戶不透明，對(duì)于每項(xiàng)服務(wù)代理可能要求不同的服務(wù)器；代理服務(wù)不能保證你免受所有協(xié)議弱點(diǎn)的限制，代理不能改進(jìn)底層協(xié)議的安全性。3.4.3 狀態(tài)檢測(cè)技術(shù)

優(yōu)點(diǎn)：配置了“專用檢測(cè)模塊”，它可以支持多種協(xié)議和應(yīng)用程序，可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充；安全性更佳。

缺點(diǎn)：配置復(fù)雜，因而降低了網(wǎng)絡(luò)的速度。防火墻的缺陷及未來(lái)發(fā)展趨勢(shì)

4.1 防火墻的十大缺陷

防火墻在網(wǎng)絡(luò)安全防護(hù)中起著舉足輕重的作用，但它并不是萬(wàn)能的，它仍然存在一定的局限性和不足。總體說(shuō)來(lái)，存在十大方面的缺陷：

(1)防火墻不能防范不經(jīng)過(guò)它的攻擊。沒(méi)有經(jīng)過(guò)防火墻的數(shù)據(jù)，不能防范。(2)防火墻不能解決來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問(wèn)題。防火墻只對(duì)來(lái)自外部網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行檢測(cè)，以保護(hù)內(nèi)部網(wǎng)絡(luò)；而對(duì)于內(nèi)部網(wǎng)絡(luò)中的用戶威脅，防火墻是無(wú)能為力的。

(3)防火墻不能防止TCP/IP協(xié)議、服務(wù)器系統(tǒng)的缺陷進(jìn)行的攻擊。TCP/IP的缺陷和服務(wù)器系統(tǒng)漏洞是天然存在的，防火墻不能防止。

(4)防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。當(dāng)有些表面看起來(lái)無(wú)害的數(shù)據(jù)或郵件拷貝到內(nèi)部的主機(jī)上進(jìn)行執(zhí)行時(shí)，可能引發(fā)數(shù)據(jù)驅(qū)動(dòng)式的攻擊。

(5)不能有效防范加密信息。防火墻只能識(shí)別與其數(shù)據(jù)庫(kù)中已有的特征數(shù)據(jù)匹配的信息，如果攻擊者將惡意代碼或攻擊指令轉(zhuǎn)換成其他形式隱藏起來(lái)，這種加密后的代碼，只要成功避開(kāi)防火墻數(shù)據(jù)庫(kù)中的特征匹配，就能成功通過(guò)防火墻。

(6)防火墻的檢測(cè)功能是有限的。對(duì)于所有網(wǎng)絡(luò)和應(yīng)用程序流量的檢測(cè)，需要有空前的處理能力才能保證這些任務(wù)的完成，為了獲得高性能，就必然要求使用高端硬件，就目前而言，要完成這種深度檢測(cè)仍是十分困難的。

(7)防火墻不能防范受到病毒感染的文件、軟件。防火墻本身并不具有病毒的查殺功能，即使有，也不能查殺所有的病毒。

(8)防火墻是一種被動(dòng)的防范手段，它只能對(duì)已知的網(wǎng)絡(luò)威脅起作用，對(duì)于新的未知的網(wǎng)絡(luò)攻擊防火墻是很難防范的。

7(9)防火墻的安全性和實(shí)用性成反比。防火墻越安全，則功能也就越少，速度也就越慢，防火墻的安全性和實(shí)用性將在一定的時(shí)間內(nèi)是一對(duì)主要矛盾。

(10)防火墻不能防止自身的安全漏洞的威脅。目前還沒(méi)有廠商能夠保證防火墻絕對(duì)不存在安全漏洞，防火墻能保護(hù)別人卻不能保護(hù)自己，因此對(duì)防火墻也必須進(jìn)行安全防護(hù)。

4.2 關(guān)于防火墻未來(lái)發(fā)展的五點(diǎn)設(shè)想

既然防火墻存在缺陷在所難免，那么網(wǎng)絡(luò)安全又該如何保證呢？對(duì)防火墻技術(shù)研究的道路究竟該何去何從呢？在此，提出以下設(shè)想：

(1)形成以防火墻為核心的計(jì)算機(jī)網(wǎng)絡(luò)安全體系。到目前為止，防火墻技術(shù)仍然是應(yīng)用最廣泛的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)，防火墻的重要性不能替代，所以在相當(dāng)長(zhǎng)的一段時(shí)間內(nèi)，防火墻是計(jì)算機(jī)網(wǎng)絡(luò)安全的核心。但是，要想最大程度地保護(hù)網(wǎng)絡(luò)安全，僅憑防火墻技術(shù)單方面的作用是不可行的，還必須借助其他手段，構(gòu)建以防火墻為核心，多個(gè)安全系統(tǒng)協(xié)作配合的計(jì)算機(jī)網(wǎng)絡(luò)安全體系。

(2)防火墻硬件技術(shù)架構(gòu)上的發(fā)展趨勢(shì)。目前防火墻正逐步地向基于網(wǎng)絡(luò)處理器和ASIC芯片的技術(shù)架構(gòu)方向發(fā)展。網(wǎng)絡(luò)處理器由于內(nèi)含有多個(gè)數(shù)據(jù)處理引擎，能夠直接完成網(wǎng)絡(luò)數(shù)據(jù)處理工作，減輕了CPU的負(fù)擔(dān)，在性能上有很大的提升；ASIC芯片有專門(mén)的數(shù)據(jù)包處理流水線，可以獲得很高的處理能力。

(3)智能技術(shù)的進(jìn)一步發(fā)展。目前的防火墻只是識(shí)別一些已知的攻擊行為，對(duì)于未知的攻擊或未列出的攻擊防火墻顯得有些無(wú)能為力，因此智能化是將來(lái)的發(fā)展趨勢(shì)，能自動(dòng)識(shí)別并防御黑客的各種手法及相應(yīng)的變種。

(4)分布式技術(shù)的進(jìn)一步發(fā)展。分布式技術(shù)將是未來(lái)的趨勢(shì)。多臺(tái)物理防火墻協(xié)同工作，共同組織成一個(gè)強(qiáng)大的、具備并行處理能力、負(fù)載均衡能力的邏輯防火墻，不僅保證了在大型網(wǎng)絡(luò)安全策略的一致，而且集中管理大大降低了經(jīng)濟(jì)、人力及管理成本。

(5)經(jīng)濟(jì)高效的發(fā)展趨勢(shì)。防火墻要防止各種網(wǎng)絡(luò)的攻擊，其性能勢(shì)必會(huì)下降。安全性和實(shí)用性是一對(duì)主要矛盾，要找到網(wǎng)絡(luò)安全性與實(shí)用性之間的平衡點(diǎn)是防火墻未來(lái)發(fā)展面臨的問(wèn)題。經(jīng)濟(jì)高效的防火墻將是未來(lái)研究的方向。

結(jié)束語(yǔ)

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全正面臨著越來(lái)越大的威脅。防火墻至關(guān)重要，但它并不是萬(wàn)能的，在專業(yè)黑客和一些非法入侵者面前，防火墻也很無(wú)奈。我們除了設(shè)好防火墻這第一道關(guān)卡外，還應(yīng)當(dāng)借助其他安全防御手段一起來(lái)保護(hù)網(wǎng)絡(luò)的安全。參考文獻(xiàn)：

[1]StevenMBellovin,WilliamRCheswick.NetworkFierwalls[J].IEEECommunications.1994.g:50-57.[2] 鄭林.防火墻原理入門(mén)[Z].E企業(yè).2000.[3] 王衛(wèi)平，陳文惠，朱衛(wèi)未.防火墻技術(shù)分析.信息安全與通信保密.2006，(8):24一27.[4]A.Feldman,S.Muthukrishnan.Tradeoffs for Packet ClassifiCation.Proc.Of the 9th Annual Joint Conference of the IEEE Computer and Communieations Soeieties.2000,vo1.3,1193-1201.[5] 王永綱，石江濤，戴雪龍，顏天信.網(wǎng)絡(luò)包分類算法仿真測(cè)試與比較研究.中國(guó)科學(xué)技術(shù)大學(xué)學(xué)報(bào).2004，34(4):400一409.致 謝

本文是在蒲老師的悉心指導(dǎo)下完成的，從文獻(xiàn)的查閱、論文的選題、撰寫(xiě)、修改、定稿，蒲老師給子了我很大的幫助。在此一并向所有幫助和關(guān)心過(guò)我的老師和朋友，表示真摯的感謝！

第三篇：防火墻技術(shù)論文

【摘要】

21世紀(jì)全世界的計(jì)算機(jī)都將通過(guò)Internet聯(lián)到一起，Internet的迅速發(fā)展給現(xiàn)代人的生產(chǎn)和生活都帶來(lái)了前所未有的飛躍，大大提高了工作效率，豐富了人們的生活，彌補(bǔ)了人們的精神空缺。網(wǎng)絡(luò)技術(shù)在近幾年的時(shí)間有了非常大的發(fā)展，經(jīng)歷了從無(wú)到有，從有到快；網(wǎng)上信息資源也是從醫(yī)乏到豐富多彩，應(yīng)有盡有。但隨著網(wǎng)絡(luò)速度越來(lái)越快，資源越來(lái)越豐富，與此同時(shí)也給人們帶來(lái)了一個(gè)日益嚴(yán)峻的問(wèn)題———網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)的安全性成為當(dāng)今最熱門(mén)的話題之一，而且網(wǎng)絡(luò)安全防范對(duì)我們校園網(wǎng)的正常運(yùn)行來(lái)講也顯得十分重要。現(xiàn)在各種網(wǎng)絡(luò)安全技術(shù)如防火墻技術(shù)、IDS、加密技術(shù)和防黑防病毒技術(shù)等也不斷的出現(xiàn)，內(nèi)容十分廣泛。而其中防火墻技術(shù)在網(wǎng)絡(luò)安全技術(shù)當(dāng)中又是最簡(jiǎn)單，也是最有效的解決方案。很多企業(yè)為了保障自身服務(wù)器或數(shù)據(jù)安全都采用了防火墻。隨著科技的發(fā)展，防火墻也逐漸被大眾所接受。但是，由于防火墻是屬于高科技產(chǎn)物，許多的人對(duì)此還并不是了解的十分透徹。

本文在簡(jiǎn)要論述防火墻的基本分類、工作方式等的基礎(chǔ)上，對(duì)防火墻的優(yōu)缺點(diǎn)以及局限性進(jìn)行了說(shuō)明，也簡(jiǎn)述了防火墻技術(shù)在校園網(wǎng)中的應(yīng)用，并對(duì)其的發(fā)展趨勢(shì)作簡(jiǎn)單展望。

【關(guān)鍵詞】

網(wǎng)絡(luò)安全 防火墻 發(fā)展

防火墻

1.1 防火墻的概念

所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。是一種獲取安全性方法的形象說(shuō)法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成。

防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件(其中硬件防火墻用的較少，例如國(guó)防部以及大型機(jī)房等地才用,因?yàn)樗鼉r(jià)格昂貴)。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)此防火墻。

防火墻，英語(yǔ)為firewall，《英漢證券投資詞典》的解釋為：金融機(jī)構(gòu)內(nèi)部將銀行業(yè)務(wù)與證券業(yè)務(wù)嚴(yán)格區(qū)分開(kāi)來(lái)的法律屏障，旨在防止可能出現(xiàn)的內(nèi)幕消息共享等不公平交易出現(xiàn)。使用防火墻比喻不要引火燒身。

當(dāng)然，既然打算由淺入深的來(lái)了解，就要先看看防火墻的概念了。防火墻是汽車中一個(gè)部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開(kāi)，以便汽車引擎一旦著火，防火墻不但能保護(hù)乘客安全，而同時(shí)還能讓司機(jī)繼續(xù)控制引擎。在電腦術(shù)語(yǔ)中，當(dāng)然就不是這個(gè)意思了，我們可以類比來(lái)理解，在網(wǎng)絡(luò)中，所謂“防火墻”，顧名思義，是一種隔離設(shè)備。防火墻是一種高級(jí)訪問(wèn)控制設(shè)備，臵于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域之間通信流的唯一

通道，能根據(jù)用戶有關(guān)的安全策略控制進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。從專業(yè)角度講，防火墻是位于兩個(gè)或多個(gè)網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)訪問(wèn)控制的組件集合。從用戶角度講，防火墻就是被放臵在用戶計(jì)算機(jī)與外網(wǎng)之間的防御體系，網(wǎng)絡(luò)發(fā)往用戶計(jì)算機(jī)的所有數(shù)據(jù)都要經(jīng)過(guò)其判斷處理，才決定能否將數(shù)據(jù)交給計(jì)算機(jī)，一旦發(fā)現(xiàn)數(shù)據(jù)異?；蛴泻?，防火墻就會(huì)將數(shù)據(jù)攔截，從而實(shí)現(xiàn)對(duì)計(jì)算機(jī)的保護(hù)。防火墻是網(wǎng)絡(luò)安全策略的組成部分，它只是一個(gè)保護(hù)裝臵，通過(guò)監(jiān)測(cè)和控制網(wǎng)絡(luò)間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理，其主要目的就是保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。

1.2 防火墻的功能

（1）訪問(wèn)控制：

■ 限制未經(jīng)授權(quán)的用戶訪問(wèn)本企業(yè)的網(wǎng)絡(luò)和信息資源的措施，訪問(wèn)者必需要能適用現(xiàn)行所有的服務(wù)和應(yīng)用。網(wǎng)絡(luò)衛(wèi)士防火墻支持多種應(yīng)用、服務(wù)和協(xié)議，支持所有的internet服務(wù)，包括安全的web瀏覽器、電子郵件、ftp、telnet及rpc和udp等，還支持如oracle、sybase、sql服務(wù)器數(shù)據(jù)庫(kù)訪問(wèn)和real audio，vodlive、netmeeting和internet phone等這樣的多媒體應(yīng)用及internet廣播服務(wù)。

■ 提供基于狀態(tài)檢測(cè)技術(shù)的ip地址、端口、用戶和時(shí)間的管理控制； ■ 訪問(wèn)控制對(duì)象的多種定義方式支持多種方式定義訪問(wèn)控制對(duì)象: ip/mask(如202.100.100.0/24)，ip區(qū)間(如202.100.100.1-202.100.100.254)，ip/mask與通配符，ip區(qū)間與通配符等，使配臵防火墻的安全策略極為方便。

■ 高效的url和文件級(jí)細(xì)粒度應(yīng)用層管理控制；應(yīng)用層安全控制策略主要針對(duì)常用的網(wǎng)絡(luò)應(yīng)用協(xié)議http和ftp，控制策略可以實(shí)現(xiàn)定義訪問(wèn)源對(duì)象到目標(biāo)對(duì)象間的常用協(xié)議命令通過(guò)防火墻的權(quán)限，源對(duì)象可以是網(wǎng)段、主機(jī)。http和ftp的協(xié)議端口用戶可根據(jù)實(shí)際情況在策略中定義，協(xié)議命令為http和ftp的主要常用命令。通過(guò)應(yīng)用層策略實(shí)現(xiàn)了url和文件級(jí)的訪問(wèn)控制。

■ 雙向nat，提供ip地址轉(zhuǎn)換和ip及tcp/udp端口映射，實(shí)現(xiàn)ip復(fù)用和隱藏網(wǎng)絡(luò)結(jié)構(gòu)：nat在ip層上通過(guò)地址轉(zhuǎn)換提供ip復(fù)用功能，解決ip地址不足的問(wèn)題，同時(shí)隱藏了內(nèi)部網(wǎng)的結(jié)構(gòu)，強(qiáng)化了內(nèi)部網(wǎng)的安全。網(wǎng)絡(luò)衛(wèi)士防火墻提供了nat功能，并可根據(jù)用戶需要靈活配臵。當(dāng)內(nèi)部網(wǎng)用戶需要對(duì)外訪問(wèn)時(shí)，防火墻系統(tǒng)將訪問(wèn)主體轉(zhuǎn)化為自己，并將結(jié)果透明地返回用戶，相當(dāng)于一個(gè)ip層代理。防火墻的地址轉(zhuǎn)換是基于安全控制策略的轉(zhuǎn)換，可以針對(duì)具體的通信事件進(jìn)行地址轉(zhuǎn)換。internet用戶訪問(wèn)對(duì)內(nèi)部網(wǎng)絡(luò)中具有保留ip主機(jī)的訪問(wèn)，可以利用反向nat實(shí)現(xiàn)，即為內(nèi)部網(wǎng)絡(luò)主機(jī)在防火墻上映射一注冊(cè)ip地址，這樣internet 用戶就可以通過(guò)防火墻系統(tǒng)訪問(wèn)主機(jī)了。映射類型可以為ip級(jí)和端口級(jí)。端口映射

■阻止activex、java、javascript等侵入：屬于http內(nèi)容過(guò)濾，防火墻能夠從http頁(yè)面剝離activex、javaapplet等小程序及從script、php和asp等代碼檢測(cè)出危險(xiǎn)的代碼，同時(shí)，能夠過(guò)濾用戶上載的cgi、asp等程序。

■ 提供實(shí)時(shí)監(jiān)控、審計(jì)和告警功能：網(wǎng)絡(luò)衛(wèi)士防火墻提供對(duì)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控，當(dāng)發(fā)現(xiàn)攻擊和危險(xiǎn)行為時(shí)，防火墻提供告警等功能。

■ 可擴(kuò)展支持第三方ids入侵檢測(cè)系統(tǒng)，實(shí)現(xiàn)協(xié)同工作：網(wǎng)絡(luò)衛(wèi)士防火墻支持topsec協(xié)議，可與第三方ids產(chǎn)品實(shí)現(xiàn)無(wú)縫集成，協(xié)同工作。

（3）用戶認(rèn)證

因?yàn)槠髽I(yè)網(wǎng)絡(luò)為本地用戶、移動(dòng)用戶和各種遠(yuǎn)程用戶提供信息資源，所以為了保護(hù)網(wǎng)絡(luò)和信息安全，必須對(duì)訪問(wèn)連接用戶采用有效的權(quán)限控制和身份識(shí)別，以確保系統(tǒng)安全。

■ 提供高安全強(qiáng)度的一次性口令(otp)用戶認(rèn)證：一次性口令認(rèn)證機(jī)制是高強(qiáng)度的認(rèn)證機(jī)制，能極大地提高了訪問(wèn)控制的安全性，有效阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)，保證網(wǎng)絡(luò)系統(tǒng)的合法使用。一次性口令用戶認(rèn)證的基本過(guò)程是：首先用戶向防火墻發(fā)送身份認(rèn)證請(qǐng)求，并指明自己的用戶名，防火墻收到請(qǐng)求后，向用戶提出挑戰(zhàn)及同步信息，用戶收到此信息后，結(jié)合自己的口令，產(chǎn)生一次性口令并發(fā)送給防火墻，防火墻判斷用戶答復(fù)是否正確以鑒別用戶的合法性，為防止口令猜測(cè)，如果用戶連續(xù)三次認(rèn)證失敗則在一定時(shí)間內(nèi)禁止該用戶認(rèn)證。由于采用一次性的口令認(rèn)證機(jī)制，即使竊聽(tīng)者在網(wǎng)絡(luò)上截取到口令，由于該口令的有效期僅為一次，故也無(wú)法再利用這個(gè)口令進(jìn)行認(rèn)證鑒別。在實(shí)際應(yīng)用中，用戶采用一次性口令登錄程序登陸時(shí)，防火墻向用戶提供一個(gè)種子及同步次數(shù)，登錄程序根據(jù)用戶輸入的口令、種子、同步次數(shù)計(jì)算出一次性口令并傳給防火墻.用戶可以在不同的服務(wù)器上使用不同的種子而口令相同，每次在網(wǎng)絡(luò)上傳輸?shù)目诹钜膊煌?，用戶可以定期改變種子來(lái)達(dá)到更高的安全目標(biāo).■ 可擴(kuò)展支持第三方認(rèn)證和支持智能ic卡、ikey等硬件方式認(rèn)證：網(wǎng)絡(luò)衛(wèi)士防火墻有很好的擴(kuò)展性，可擴(kuò)展支持radius等認(rèn)證，提供撥號(hào)用戶等安全訪問(wèn)。也可通過(guò)擴(kuò)展支持支持職能ic卡、ikey等硬件方式認(rèn)證。

（4）安全管理

■ 提供基于otp機(jī)制的管理員認(rèn)證。

■ 提供分權(quán)管理安全機(jī)制；提供管理員和審計(jì)員分權(quán)管理的安全機(jī)制，保證安全產(chǎn)品的安全管理。

過(guò)濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會(huì)受到很大地影響；由于缺少上下文關(guān)聯(lián)信息，不能有效地過(guò)濾如UDP、RPC（遠(yuǎn)程過(guò)程調(diào)用）一類的協(xié)議；另外，大多數(shù)過(guò)濾器中缺少審計(jì)和報(bào)警機(jī)制，它只能依據(jù)包頭信息，而不能對(duì)用戶身份進(jìn)行驗(yàn)證，很容易受到“地址欺騙型”攻擊。對(duì)安全管理人員素質(zhì)要求高，建立安全規(guī)則時(shí)，必須對(duì)協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此，過(guò)濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)。

■ 應(yīng)用代理（Application Proxy）型

應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門(mén)的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。

在代理型防火墻技術(shù)的發(fā)展過(guò)程中，它也經(jīng)歷了兩個(gè)不同的版本：第一代應(yīng)用網(wǎng)關(guān)型代理防火和第二代自適應(yīng)代理防火墻。

代理類型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于它工作于最高層，所以它可以對(duì)網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)，而不是像包過(guò)濾那樣，只是對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過(guò)濾。

另外代理型防火墻采取是一種代理機(jī)制，它可以為每一種應(yīng)用服務(wù)建立一個(gè)專門(mén)的代理，所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的，而都需先經(jīng)過(guò)代理服務(wù)器審核，通過(guò)后再由代理服務(wù)器代為連接，根本沒(méi)有給內(nèi)、外部網(wǎng)絡(luò)計(jì)算機(jī)任何直接會(huì)話的機(jī)會(huì)，從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi)部網(wǎng)。

代理防火墻的最大缺點(diǎn)是速度相對(duì)比較慢，當(dāng)用戶對(duì)內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí)，代理防火墻就會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因?yàn)榉阑饓π枰獮椴煌木W(wǎng)絡(luò)服務(wù)建立專門(mén)的代理服務(wù)，在自己的代理程序?yàn)閮?nèi)、外部網(wǎng)絡(luò)用戶建立連接時(shí)需要時(shí)間，所以給系統(tǒng)性能帶來(lái)了一些負(fù)面影響，但通常不會(huì)很明顯。

（3）從防火墻結(jié)構(gòu)上分類

從防火墻結(jié)構(gòu)上分，防火墻主要有：?jiǎn)我恢鳈C(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。

單一主機(jī)防火墻是最為傳統(tǒng)的防火墻，獨(dú)立于其它網(wǎng)絡(luò)設(shè)備，它位于網(wǎng)絡(luò)邊界。

0

信進(jìn)行過(guò)濾。它屬于最新的防火墻技術(shù)之一，性能最好，價(jià)格也最貴。

（5）按防火墻性能分類

按防火墻的性能來(lái)分可以分為百兆級(jí)防火墻和千兆級(jí)防火墻兩類。

因?yàn)榉阑饓νǔＮ挥诰W(wǎng)絡(luò)邊界，所以不可能只是十兆級(jí)的。這主要是指防火的通道帶寬（Bandwidth），或者說(shuō)是吞吐率。當(dāng)然通道帶寬越寬，性能越高，這樣的防火墻因包過(guò)濾或應(yīng)用代理所產(chǎn)生的延時(shí)也越小，對(duì)整個(gè)網(wǎng)絡(luò)通信性能的影響也就越小。

雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無(wú)法防范通過(guò)防火墻以外的其它途徑的攻擊，不能防止來(lái)自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來(lái)的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

1.4 各類防火墻的優(yōu)缺點(diǎn)

（1）包過(guò)濾防火墻

使用包過(guò)濾防火墻的優(yōu)點(diǎn)包括：

■ 防火墻對(duì)每條傳入和傳出網(wǎng)絡(luò)的包實(shí)行低水平控制。

■ 每個(gè)IP包的字段都被檢查，例如源地址、目的地址、協(xié)議、端口等。防火墻將基于這些信息應(yīng)用過(guò)濾規(guī)則。

■ 防火墻可以識(shí)別和丟棄帶欺騙性源IP地址的包。

■ 包過(guò)濾防火墻是兩個(gè)網(wǎng)絡(luò)之間訪問(wèn)的唯一來(lái)源。因?yàn)樗械耐ㄐ疟仨毻ㄟ^(guò)防火墻，繞過(guò)是困難的。

■ 包過(guò)濾通常被包含在路由器數(shù)據(jù)包中，所以不必額外的系統(tǒng)來(lái)處理這個(gè)特征。

使用包過(guò)濾防火墻的缺點(diǎn)包括：

■ 配臵困難。因?yàn)榘^(guò)濾防火墻很復(fù)雜，人們經(jīng)常會(huì)忽略建立一些必要的規(guī)則，或者錯(cuò)誤配臵了已有的規(guī)則，在防火墻上留下漏洞。然而，在市場(chǎng)上，許多新版本的防火墻對(duì)這個(gè)缺點(diǎn)正在作改進(jìn)，如開(kāi)發(fā)者實(shí)現(xiàn)了基于圖形化用戶界面(GUI)的配臵和更直接的規(guī)則定義。

■ 為特定服務(wù)開(kāi)放的端口存在著危險(xiǎn)，可能會(huì)被用于其他傳輸。例如，Web服務(wù)器默認(rèn)端口為80，而計(jì)算機(jī)上又安裝了RealPlayer，那么它會(huì)搜尋可以允許連接到RealAudio服務(wù)器的端口，而不管這個(gè)端口是否被其他協(xié)議所使用，RealPlayer正好是使用80端口而搜尋的。就這樣無(wú)意中，RealPlayer就利用了Web服務(wù)器的端口。

■ 可能還有其他方法繞過(guò)防火墻進(jìn)入網(wǎng)絡(luò)，例如撥入連接。但這個(gè)并不是

213

也不要忘記了防火墻內(nèi)的安全保障。

其次，防火墻技術(shù)的另外一個(gè)顯著不足是無(wú)法有效地應(yīng)付病毒。當(dāng)網(wǎng)絡(luò)內(nèi)的用戶在訪問(wèn)外網(wǎng)中的含有病毒的數(shù)據(jù)時(shí)，防火墻無(wú)法區(qū)分帶毒數(shù)據(jù)與正常數(shù)據(jù)，內(nèi)部網(wǎng)絡(luò)隨時(shí)都有受到病毒危害的可能，防火墻技術(shù)的這個(gè)缺點(diǎn)給網(wǎng)絡(luò)帶來(lái)很大的隱患。

另外，由于防火墻技術(shù)的自身不斷發(fā)展，其自身問(wèn)題和漏洞也使其具有局限性。防火墻本身作為一個(gè)獨(dú)立的系統(tǒng)，其軟、硬件在發(fā)展過(guò)程中必然也有其自己的bug和漏洞，所以各種故障和因漏洞所遭受的各種攻擊也不可避免。防火墻的技術(shù)原理與殺毒軟件類似：先出現(xiàn)病毒，殺毒軟件獲得病毒的特征碼，將其加入到病毒庫(kù)內(nèi)來(lái)實(shí)現(xiàn)查殺。防火墻的防御、檢測(cè)策略，也是在發(fā)生攻擊行為后分析其特征而設(shè)臵的。如果出現(xiàn)新的未知攻擊行為，防火墻也將束手無(wú)策。

最后，防火墻的檢測(cè)機(jī)制容易造成擁塞以及溢出現(xiàn)象。由于防火墻需要處理每一個(gè)通過(guò)它的數(shù)據(jù)包，所以當(dāng)數(shù)據(jù)流量較大時(shí)，容易導(dǎo)致數(shù)據(jù)擁塞，影響整個(gè)網(wǎng)絡(luò)性能。嚴(yán)重時(shí)，如果發(fā)生溢出，就像大壩決堤一般，無(wú)法阻擋，任何數(shù)據(jù)都可以來(lái)去自由了，防火墻也就不再起任何作用。

1.6 防火墻的未來(lái)發(fā)展趨勢(shì)

盡管羅列了這么多防火墻技術(shù)的局限性，但防火墻在網(wǎng)絡(luò)安全中所扮演的重要角色是不可撼動(dòng)的。未來(lái)的防火墻發(fā)展朝高速、多功能化、更安全的方向發(fā)展。

實(shí)現(xiàn)高速防火墻，可以應(yīng)用ASIC硬件加速技術(shù)、FPGA和網(wǎng)絡(luò)處理器等方法。其中以采用網(wǎng)絡(luò)處理器最好，因?yàn)榫W(wǎng)絡(luò)處理器采用微碼編程，可以根據(jù)需要隨時(shí)升級(jí)，甚至可以支持IPv6；并且網(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元，通過(guò)算法也比較容易實(shí)現(xiàn)高速。防火墻將會(huì)集成更多的網(wǎng)絡(luò)安全功能，入侵檢測(cè)、防病毒、防御拒絕服務(wù)攻擊等安全技術(shù)都可以模塊形式安裝到防火墻的機(jī)箱內(nèi)。既節(jié)省寶貴的機(jī)柜空間，又能為企業(yè)節(jié)約一部分安全支出，更主要的是可以實(shí)現(xiàn)網(wǎng)絡(luò)安全設(shè)備之間的聯(lián)動(dòng)。防火墻將會(huì)更加的行業(yè)化。

任何一種防火墻只是為內(nèi)部網(wǎng)絡(luò)提供安全保障，但網(wǎng)絡(luò)安全不能完全依賴于防火墻，還需要加強(qiáng)內(nèi)部的安全管理，完善安全管理制度，提高用戶的安全意識(shí)，從而形成全方位的安全防御體系。防火墻技術(shù)在校園網(wǎng)中的應(yīng)用

隨著高校信息化進(jìn)程的推進(jìn)，學(xué)院校園網(wǎng)上運(yùn)行的應(yīng)用系統(tǒng)越來(lái)越多，信息

51617

第四篇：防火墻技術(shù)報(bào)告

《網(wǎng)絡(luò)與信息安全技術(shù)》

防火墻技術(shù)淺談

班 級(jí)：

11計(jì)算機(jī)科學(xué)與技術(shù)3班

學(xué) 號(hào)：

2011404010306

姓 名： 王 志 成 分 數(shù)：

2013年12月12日

防火墻技術(shù)淺談

摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，全球上網(wǎng)的人數(shù)在不斷地增大，網(wǎng)上的資源也不斷地增加，網(wǎng)絡(luò)的開(kāi)放性、共享性、互連程度也隨之不斷擴(kuò)大。然而，因特網(wǎng)的迅猛發(fā)展在給人們的生活帶來(lái)了極大方便的同時(shí)，因特網(wǎng)本身也正遭遇著前所未有的威脅。所以，網(wǎng)絡(luò)的安全問(wèn)題也越來(lái)越成為人們現(xiàn)在考慮的十分重視的問(wèn)題。

本文主要介紹討論了防火墻的定義、特點(diǎn)、基本功能，數(shù)據(jù)包頭分析后與過(guò)濾規(guī)則的匹配、對(duì)數(shù)據(jù)包的拒絕和日志數(shù)據(jù)庫(kù)的存儲(chǔ)。關(guān)鍵詞：防火墻技術(shù) 數(shù)據(jù)包過(guò)濾 數(shù)據(jù)庫(kù)

引言

網(wǎng)絡(luò)的安全問(wèn)題正越來(lái)越成為人們現(xiàn)在十分重視的問(wèn)題。如何使用有效、可行的方法使網(wǎng)絡(luò)危險(xiǎn)降到人們可接受的范圍之內(nèi)已越來(lái)越受到人們的關(guān)注。而如何實(shí)施防范策略，首先取決于當(dāng)前系統(tǒng)的安全性。對(duì)網(wǎng)絡(luò)安全的各獨(dú)立元素——防火墻、漏洞掃描、入侵檢測(cè)和反病毒等進(jìn)行風(fēng)險(xiǎn)評(píng)估也是很有必要的。防火墻技術(shù)作為時(shí)下比較成熟的一 種技術(shù)，其安全性直接關(guān)系到用戶的切身利益。針對(duì)網(wǎng)絡(luò)安全獨(dú)立元素——防火墻技術(shù)，判斷系統(tǒng)的安全等級(jí)，實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。對(duì)網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問(wèn)，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)的安全等級(jí)；其中，對(duì)網(wǎng)絡(luò)安全的威脅表現(xiàn)在：非授權(quán)訪問(wèn)，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾正常運(yùn)行，利用網(wǎng)絡(luò)傳播病毒，線路竊聽(tīng)等方面，實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估以及對(duì)風(fēng)險(xiǎn)的防范，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。

1.防火墻概述

1.1防火墻的定義

所謂“防火墻”，是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行說(shuō)控制策略的一個(gè)或一組系統(tǒng)，包括硬伯和軟件，目的是保護(hù)網(wǎng)絡(luò)不被他人侵?jǐn)_。它是一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)(如Internet)分開(kāi)的

封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機(jī)器里。

（2）防火墻的基本功能

? 防火墻能夠強(qiáng)化安全策略

因?yàn)橐蛱鼐W(wǎng)上每天都有上百萬(wàn)人瀏覽信息、交換信息，不可避免地會(huì)出現(xiàn)個(gè)別品德不良或違反規(guī)則的人。防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點(diǎn)的安全策略，僅僅容許“認(rèn)可的”和符合規(guī)則的請(qǐng)求通過(guò)。? 防火墻能有效地記錄因特網(wǎng)上的活動(dòng)

因?yàn)樗羞M(jìn)出信息都必須通過(guò)防火墻，所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問(wèn)的唯一點(diǎn)，防火墻記錄著被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行的所有事件。

? 防火墻限制暴露用戶點(diǎn)

防火墻駒用來(lái)隔開(kāi)網(wǎng)絡(luò)中的一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。這樣，就能夠有效控制影響一個(gè)網(wǎng)段的問(wèn)題通過(guò)整個(gè)網(wǎng)絡(luò)傳播。

? 防火墻是一個(gè)安全策略的檢查站

所有進(jìn)出網(wǎng)絡(luò)的信息都必須通過(guò)防火墻，防火墻便成為一個(gè)安全檢查點(diǎn)，使可疑的訪問(wèn)被拒絕于門(mén)外。

1.3.防火墻的體系結(jié)構(gòu)

目前，防火墻的體系結(jié)構(gòu)一般有3種：雙重宿主主機(jī)體系結(jié)構(gòu)、主機(jī)過(guò)濾體系結(jié)構(gòu)和子網(wǎng)過(guò)濾體系結(jié)構(gòu)。

（1）雙重宿主主機(jī)體系結(jié)構(gòu)

雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主體計(jì)算機(jī)而構(gòu)筑的。該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，并能夠從一個(gè)網(wǎng)絡(luò)向另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。防火墻內(nèi)部的網(wǎng)絡(luò)系統(tǒng)能與雙重宿主主機(jī)通信，同時(shí)防火墻

分布式防火墻的優(yōu)勢(shì)：

（1）增強(qiáng)了系統(tǒng)安全性：增加了針對(duì)主機(jī)的入侵檢測(cè)和防護(hù)功能，加強(qiáng)了對(duì)來(lái)自內(nèi)部攻擊防范，可以實(shí)施全方位的安全策略。

（2）提高了系統(tǒng)性能：消除了結(jié)構(gòu)性瓶頸問(wèn)題，提高了系統(tǒng)性能。

（3）系統(tǒng)的擴(kuò)展性：分布式防火墻隨系統(tǒng)擴(kuò)充提供了安全防護(hù)無(wú)限擴(kuò)充的能力。（4）實(shí)施主機(jī)策略：對(duì)網(wǎng)絡(luò)中的各節(jié)點(diǎn)可以起到更安全的防護(hù)。（5）應(yīng)用更為廣泛，支持VPN通信。

3.數(shù)據(jù)包過(guò)濾處理原理分析

防火墻技術(shù)其實(shí)是基于對(duì)工作在網(wǎng)絡(luò)層中的數(shù)據(jù)包的過(guò)濾，數(shù)據(jù)包的過(guò)濾原理要遵揗一些過(guò)濾規(guī)則：（1）過(guò)濾規(guī)則

本系統(tǒng)采用的默認(rèn)過(guò)濾規(guī)則是：默認(rèn)接收所有的進(jìn)入、外出和轉(zhuǎn)發(fā)數(shù)據(jù)包;接收所有本地環(huán)路接口上的進(jìn)出包。當(dāng)要有選擇地接收數(shù)據(jù)包時(shí)，本地的過(guò)濾規(guī)則需要進(jìn)行相應(yīng)的設(shè)置。比如:現(xiàn)在要拒絕IP地址為192.168.0.161(局域網(wǎng)內(nèi)的一主機(jī)的IP地址)的主機(jī)與本地主機(jī)通信，在用戶相應(yīng)的選項(xiàng)卡中，填上這一I地址就是表示拒絕此IP地址主機(jī)向本機(jī)發(fā)出的所有數(shù)據(jù)包，這就是數(shù)據(jù)包的IP 過(guò)濾功能。

當(dāng)然也要實(shí)現(xiàn)端口的過(guò)濾功能。比如:想禁止某一服務(wù)的業(yè)務(wù)功能，就可以在相應(yīng)的IP 號(hào)下同時(shí)設(shè)置端口號(hào)，就是表示對(duì)任一用戶的這一服務(wù)被禁止。其實(shí)，這只能對(duì)某一些常用的端口號(hào)進(jìn)行過(guò)濾，如：對(duì)HTTP(端口80)進(jìn)行過(guò)濾，就是禁止外部用戶通過(guò)防火墻訪問(wèn)內(nèi)部HTTP 服務(wù)器；對(duì)FTP(端口20，21)進(jìn)行過(guò)濾，就是禁止外部主機(jī)通過(guò)防火墻訪問(wèn)內(nèi)部FTP服務(wù)器。

數(shù)據(jù)處理模塊用到的過(guò)濾規(guī)則將在用戶界面中直接對(duì)規(guī)則數(shù)據(jù)庫(kù)操作進(jìn)而來(lái)設(shè)置要過(guò)濾的規(guī)則，而數(shù)據(jù)處理模塊則從數(shù)據(jù)庫(kù)中直接調(diào)用。因此，過(guò)濾規(guī)則是在數(shù)據(jù)庫(kù)中定義，由用戶在數(shù)據(jù)庫(kù)操作界面上輸入的，供底層應(yīng)用程序調(diào)用。

外部命令，在C語(yǔ)言中可以用execlp()這一函數(shù)來(lái)執(zhí)行外部命令。（4）存入日志數(shù)據(jù)庫(kù)

對(duì)數(shù)據(jù)包頭分析處理后，可以得到此IP訪問(wèn)的源IP地址、目的IP 地址、端口以及被拒絕通過(guò)的情況。數(shù)據(jù)庫(kù)的連接與上文所說(shuō)的一樣，因此，此處存入的是被拒絕的數(shù)據(jù)包頭信息。

5.結(jié)束語(yǔ)

防火墻技術(shù)作為目前用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種用來(lái)拒絕未經(jīng)授權(quán)用戶的訪問(wèn)，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時(shí)允許合法用戶不受妨礙的訪問(wèn)網(wǎng)絡(luò)資源的主要手段。如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)安全。但是沒(méi)有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問(wèn)題，比如防火墻雖然能對(duì)來(lái)自外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的保護(hù)，但對(duì)于來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊卻無(wú)能為力。事實(shí)上60%以上的網(wǎng)絡(luò)安全問(wèn)題來(lái)自網(wǎng)絡(luò)內(nèi)部。因此網(wǎng)絡(luò)安全單靠防火墻是不夠的，還需要有其它技術(shù)和非技術(shù)因素的考慮，如信息加密技術(shù)、身份驗(yàn)證技術(shù)、制定網(wǎng)絡(luò)法規(guī)、提高網(wǎng)絡(luò)管理人員的安全意識(shí)等等。

參考文獻(xiàn)：

1）袁津生 吳硯農(nóng) 《計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)》 北京：人民郵電出版社 2013 2）黎連業(yè)，張維，防火墻及其應(yīng)用技術(shù)，清華大學(xué)出版社.2004 3）程代偉，網(wǎng)絡(luò)安全完全手冊(cè)，電子工業(yè)出版社.2006 4）李濤，網(wǎng)絡(luò)安全概論，電子工業(yè)出版社.2004

第五篇：防火墻技術(shù)研究報(bào)告

防火墻技術(shù)研究報(bào)告

防火墻技術(shù)

摘要：隨著計(jì)算機(jī)的飛速發(fā)展以及網(wǎng)絡(luò)技術(shù)的普遍應(yīng)用，隨著信息時(shí)代的來(lái)臨，信息作為一種重要的資源正得到了人們的重視與應(yīng)用。因特網(wǎng)是一個(gè)發(fā)展非?；钴S的領(lǐng)域，可能會(huì)受到黑客的非法攻擊，所以在任何情況下，對(duì)于各種事故，無(wú)意或有意的破壞，保護(hù)數(shù)據(jù)及其傳送、處理都是非常必要的。比如，計(jì)劃如何保護(hù)你的局域網(wǎng)免受因特網(wǎng)攻擊帶來(lái)的危害時(shí)，首先要考慮的是防火墻。防火墻的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。文介紹了防火墻技術(shù)的基本概念、原理、應(yīng)用現(xiàn)狀和發(fā)展趨勢(shì)。

Abstract: along with the universal application of the rapid development of computer and network technology, with the advent of the information age, information as an important resource is paid attention to and used by people.The Internet is a development of very active domain, may be illegally attacked by hackers, so in any case, for a variety of accident, accidental or intentional damage, protection of data and transfer, processing is very necessary.For example, plans to protect your network from the hazards brought by Internet attack, firewall is the first consideration.The core idea of firewall is the relative safety of the structure of a network environment in the insecure Internet environment.This paper introduces the basic concept of firewall technology, principle, application status and development trend.Keywords: firewall;network security

目錄

一、概述.....................................................................................................................................4

二、防火墻的基本概念.............................................................................................................4

三、防火墻的技術(shù)分類.............................................................................................................4

四、防火墻的基本功能.............................................................................................................5

（一）包過(guò)濾路由器.........................................................................................................5

（二）應(yīng)用層網(wǎng)關(guān).............................................................................................................6

（三）鏈路層網(wǎng)關(guān).............................................................................................................6

五、防火墻的安全構(gòu)建.............................................................................................................6

（一）基本準(zhǔn)則..............................................................................錯(cuò)誤！未定義書(shū)簽。

（二）安全策略.................................................................................................................6

（三）構(gòu)建費(fèi)用..............................................................................錯(cuò)誤！未定義書(shū)簽。

（四）高保障防火墻......................................................................錯(cuò)誤！未定義書(shū)簽。

六、防火墻的發(fā)展特點(diǎn).............................................................................................................7

（一）高速.........................................................................................................................7

（二）多功能化.................................................................................................................8

（三）安全.........................................................................................................................8

七、防火墻的發(fā)展特點(diǎn).............................................................................................................9 參考文獻(xiàn)...................................................................................................................................10

防火墻技術(shù)研究報(bào)告

一、概述

隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用，全球信息化已成為人類發(fā)展的大趨勢(shì)?；ヂ?lián)網(wǎng)已經(jīng)成了現(xiàn)代人生活中不可缺少的一部分，隨著互聯(lián)網(wǎng)規(guī)模的迅速擴(kuò)大，網(wǎng)絡(luò)豐富的信息資源給用戶帶來(lái)了極大方便的同時(shí)，由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開(kāi)放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、怪客、惡意軟件和其他不軌的攻擊。為了保護(hù)我們的網(wǎng)絡(luò)安全、可靠性，所以我們要用防火墻，防火墻技術(shù)是近年來(lái)發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施。

二、防火墻的基本概念

防火墻是一個(gè)系統(tǒng)或一組系統(tǒng)，在內(nèi)部網(wǎng)與因特網(wǎng)間執(zhí)行一定的安全策略，它實(shí)際上是一種隔離技術(shù)。

一個(gè)有效的防火墻應(yīng)該能夠確保所有從因特網(wǎng)流入或流向因特網(wǎng)的信息都將經(jīng)過(guò)防火墻，所有流經(jīng)防火墻的信息都應(yīng)接受檢查。通過(guò)防火墻可以定義一個(gè)關(guān)鍵點(diǎn)以防止外來(lái)入侵；監(jiān)控網(wǎng)絡(luò)的安全并在異常情況下給出報(bào)警提示，尤其對(duì)于重大的信息量通過(guò)時(shí)除進(jìn)行檢查外，還應(yīng)做日志登記；提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能，有助于緩解IP地址資源緊張的問(wèn)題，同時(shí)，可以避免當(dāng)一個(gè)內(nèi)部網(wǎng)更換ISP時(shí)需重新編號(hào)的麻煩；防火墻是為客戶提供服務(wù)的理想位置，即在其上可以配置相應(yīng)的WWW和FTP服務(wù)等。

三、防火墻的技術(shù)分類

現(xiàn)有的防火墻主要有：包過(guò)濾型、代理服務(wù)器型、復(fù)合型以及其他類型（雙宿主主機(jī)、主機(jī)過(guò)濾以及加密路由器）防火墻。

包過(guò)濾（Packet Fliter）通常安裝在路由器上，而且大多數(shù)商用路由器都提供了包過(guò)濾的功能。包過(guò)濾規(guī)則以IP包信息為基礎(chǔ)，對(duì)IP源地址、目標(biāo)地址、協(xié)議類型、端口號(hào)等進(jìn)行篩選。包過(guò)濾在網(wǎng)絡(luò)層進(jìn)行。

代理服務(wù)器型（Proxy Service）防火墻通常由兩部分構(gòu)成，服務(wù)器端程序和客戶端程序。客戶端程序與中間節(jié)點(diǎn)連接，中間節(jié)點(diǎn)再與提供服務(wù)的服務(wù)器實(shí)際連接。

復(fù)合型（Hybfid）防火墻將包過(guò)濾和代理服務(wù)兩種方法結(jié)合起來(lái)，形成新 的防火墻，由堡壘主機(jī)提供代理服務(wù)。

各類防火墻路由器和各種主機(jī)按其配置和功能可組成各種類型的防火墻，主要有：雙宿主主機(jī)防火墻，它是由堡壘主機(jī)充當(dāng)網(wǎng)關(guān)，并在其上運(yùn)行防火墻軟件，內(nèi)外網(wǎng)之間的通信必須經(jīng)過(guò)堡壘主機(jī)；主機(jī)過(guò)濾防火墻是指一個(gè)包過(guò)濾路由器與外部網(wǎng)相連，同時(shí)，一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)上，使堡壘主機(jī)成為外部網(wǎng)所能到達(dá)的惟一節(jié)點(diǎn)，從而確保內(nèi)部網(wǎng)不受外部非授權(quán)用戶的攻擊；加密路由器對(duì)通過(guò)路由器的信息流進(jìn)行加密和壓縮，然后通過(guò)外部網(wǎng)絡(luò)傳輸?shù)侥康亩诉M(jìn)行解壓縮和解密。

四、防火墻的基本功能

典型的防火墻應(yīng)包含如下模塊中的一個(gè)或多個(gè)：包過(guò)濾路由器、應(yīng)用層網(wǎng)關(guān)以及鏈路層網(wǎng)關(guān)。

（一）包過(guò)濾路由器

包過(guò)濾路由器將對(duì)每一個(gè)接收到的包進(jìn)行允許／拒絕的決定。具體地，它對(duì)每一個(gè)數(shù)據(jù)報(bào)的包頭，按照包過(guò)濾規(guī)則進(jìn)行判定，與規(guī)則相匹配的包依據(jù)路由表信息繼續(xù)轉(zhuǎn)發(fā)，否則，則丟棄之。

與服務(wù)相關(guān)的過(guò)濾，是指基于特定的服務(wù)進(jìn)行包過(guò)濾，由于絕大多數(shù)服務(wù)的監(jiān)聽(tīng)都駐留在特定TCP／UDP端口，因此，阻塞所有進(jìn)入特定服務(wù)的連接，路由器只需將所有包含特定 TCP／UDP目標(biāo)端口的包丟棄即可。

獨(dú)立于服務(wù)的過(guò)濾，有些類型的攻擊是與服務(wù)無(wú)關(guān)的，比如：帶有欺騙性的源IP地址攻擊、源路由攻擊、細(xì)小碎片攻擊等。由此可見(jiàn)此類網(wǎng)上攻擊僅僅借助包頭信息是難以識(shí)別的，此時(shí)，需要路由器在原過(guò)濾規(guī)則的基礎(chǔ)附上另外的條件，這些條件的判別信息可以通過(guò)檢查路由表、指定IP選擇、檢查指定幀偏移量等獲得。

（二）應(yīng)用層網(wǎng)關(guān)

應(yīng)用層網(wǎng)關(guān)允許網(wǎng)絡(luò)管理員實(shí)施一個(gè)較包過(guò)濾路由器更為嚴(yán)格的安全策略，為每一個(gè)期望的應(yīng)用服務(wù)在其網(wǎng)關(guān)上安裝專用的代碼，同時(shí)，代理代碼也可以配置成支持一個(gè)應(yīng)用服務(wù)的某些特定的特性。對(duì)應(yīng)用服務(wù)的訪問(wèn)都是通過(guò)訪問(wèn)

相應(yīng)的代理服務(wù)實(shí)現(xiàn)的，而不允許用戶直接登錄到應(yīng)用層網(wǎng)關(guān)。

應(yīng)用層網(wǎng)關(guān)安全性的提高是以購(gòu)買(mǎi)相關(guān)硬件平臺(tái)的費(fèi)用為代價(jià)，網(wǎng)關(guān)的配置將降低對(duì)用戶的服務(wù)水平，但增加了安全配置上的靈活性。

（三）鏈路層網(wǎng)關(guān)

鏈路層網(wǎng)關(guān)是可由應(yīng)用層網(wǎng)關(guān)實(shí)現(xiàn)的特殊功能。它僅僅替代TCP連接而無(wú)需執(zhí)行任何附加的包處理和過(guò)濾。

五、防火墻的安全構(gòu)建

在進(jìn)行防火墻設(shè)計(jì)構(gòu)建中，網(wǎng)絡(luò)管理員應(yīng)考慮防火墻的基本準(zhǔn)則；整個(gè)企業(yè)網(wǎng)的安全策略；以及防火墻的財(cái)務(wù)費(fèi)用預(yù)算等。

（一）基本準(zhǔn)則

可以采取如下兩種理念中的一種來(lái)定義防火墻應(yīng)遵循的準(zhǔn)則：第一，未經(jīng)說(shuō)明許可的就是拒絕。防火墻阻塞所有流經(jīng)的信息，每一個(gè)服務(wù)請(qǐng)求或應(yīng)用的實(shí)現(xiàn)都基于逐項(xiàng)審查的基礎(chǔ)上。這是一個(gè)值得推薦的方法，它將創(chuàng)建一個(gè)非常安全的環(huán)境。當(dāng)然，該理念的不足在于過(guò)于強(qiáng)調(diào)安全而減弱了可用性，限制了用戶可以申請(qǐng)的服務(wù)的數(shù)量。第二，未說(shuō)明拒絕的均為許可的。約定防火墻總是傳遞所有的信息，此方式認(rèn)定每一個(gè)潛在的危害總是可以基于逐項(xiàng)審查而被杜絕。當(dāng)然，該理念的不足在于它將可用性置于比安全更為重要的地位，增加了保證企業(yè)網(wǎng)安全性的難度。

（二）安全策略

在一個(gè)企業(yè)網(wǎng)中，防火墻應(yīng)該是全局安全策略的一部分，構(gòu)建防火墻時(shí)首先要考慮其保護(hù)的范圍。企業(yè)網(wǎng)的安全策略應(yīng)該在細(xì)致的安全分析、全面的風(fēng)險(xiǎn)假設(shè)以及商務(wù)需求分析基礎(chǔ)上來(lái)制定。

（三）構(gòu)建費(fèi)用

簡(jiǎn)單的包過(guò)濾防火墻所需費(fèi)用最少，實(shí)際上任何企業(yè)網(wǎng)與因特網(wǎng)的連接都需要一個(gè)路由器，而包過(guò)濾是標(biāo)準(zhǔn)路由器的一個(gè)基本特性。對(duì)于一臺(tái)商用防火墻隨著其復(fù)雜性和被保護(hù)系統(tǒng)數(shù)目的增加，其費(fèi)用也隨之增加。

至于采用自行構(gòu)造防火墻方式，雖然費(fèi)用低一些，但仍需要時(shí)間和經(jīng)費(fèi)開(kāi)發(fā)、配置防火墻系統(tǒng)，需要不斷地為管理、總體維護(hù)、軟件更新、安全修補(bǔ)以及一些附帶的操作提供支持。

六、防火墻的發(fā)展特點(diǎn)

（一）高速

從國(guó)內(nèi)外歷次測(cè)試的結(jié)果都可以看出，目前防火墻一個(gè)很大的局限性是速度不夠，真正達(dá)到線速的防火墻少之又少。防范DoS(拒絕服務(wù))是防火墻一個(gè)很重要的任務(wù)，防火墻往往用在網(wǎng)絡(luò)出口，如造成網(wǎng)絡(luò)堵塞，再安全的防火墻也無(wú)法應(yīng)用。

應(yīng)用ASIC、FPGA和網(wǎng)絡(luò)處理器是實(shí)現(xiàn)高速防火墻的主要方法，但尤以采用網(wǎng)絡(luò)處理器最優(yōu)，因?yàn)榫W(wǎng)絡(luò)處理器采用微碼編程，可以根據(jù)需要隨時(shí)升級(jí)，甚至可以支持IPv6，而采用其他方法就不那么靈活。

實(shí)現(xiàn)高速防火墻，算法也是一個(gè)關(guān)鍵，因?yàn)榫W(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元，因此比較容易實(shí)現(xiàn)高速。對(duì)于采用純CPU的防火墻，就必須有算法支撐，例如ACL算法。目前有的應(yīng)用環(huán)境，動(dòng)輒應(yīng)用數(shù)百乃至數(shù)萬(wàn)條規(guī)則，沒(méi)有算法支撐，對(duì)于狀態(tài)防火墻，建立會(huì)話的速度會(huì)十分緩慢。

上面提到，為什么防火墻不適宜于集成內(nèi)容過(guò)濾、防病毒和IDS功能(傳輸層以下的IDS除外，這些檢測(cè)對(duì)CPU消耗小)呢？說(shuō)到底還是因?yàn)槭墁F(xiàn)有技術(shù)的限制。目前，還沒(méi)有有效的對(duì)應(yīng)用層進(jìn)行高速檢測(cè)的方法，也沒(méi)有哪款芯片能做到這一點(diǎn)。因此，對(duì)于IDS，目前最常用的方式還是把網(wǎng)絡(luò)上的流量鏡像到IDS設(shè)備中處理，這樣可以避免流量較大時(shí)造成網(wǎng)絡(luò)堵塞。此外，應(yīng)用層漏洞很多，攻擊特征庫(kù)需要頻繁升級(jí)，對(duì)于處在網(wǎng)絡(luò)出口關(guān)鍵位置的防火墻，如此頻繁地升級(jí)也是不現(xiàn)實(shí)的。

這里還要提到日志問(wèn)題，根據(jù)國(guó)家有關(guān)標(biāo)準(zhǔn)和要求，防火墻日志要求記錄的內(nèi)容相當(dāng)多。網(wǎng)絡(luò)流量越來(lái)越大，如此龐大的日志對(duì)日志服務(wù)器提出了很高的要求。目前，業(yè)界應(yīng)用較多的是SYSLOG日志，采用的是文本方式，每一個(gè)字

符都需要一個(gè)字節(jié)，存儲(chǔ)量很大，對(duì)防火墻的帶寬也是一個(gè)很大的消耗。二進(jìn)制日志可以大大減小數(shù)據(jù)傳送量，也方便數(shù)據(jù)庫(kù)的存儲(chǔ)、加密和事后分析?？梢哉f(shuō)，支持二進(jìn)制格式和日志數(shù)據(jù)庫(kù)，是未來(lái)防火墻日志和日志服務(wù)器軟件的一個(gè)基本要求。

（二）多功能化

多功能也是防火墻的發(fā)展方向之一，鑒于目前路由器和防火墻價(jià)格都比較高，組網(wǎng)環(huán)境也越來(lái)越復(fù)雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網(wǎng)和節(jié)省投資的需要。例如，防火墻支持廣域網(wǎng)口，并不影響安全性，但在某些情況下卻可以為用戶節(jié)省一臺(tái)路由器;支持部分路由器協(xié)議，如路由、撥號(hào)等，可以更好地滿足組網(wǎng)需要；支持IPSec VPN，可以利用因特網(wǎng)組建安全的專用通道，既安全又節(jié)省了專線投資。據(jù)IDC統(tǒng)計(jì)，國(guó)外90%的加密VPN都是通過(guò)防火墻實(shí)現(xiàn)的。

（三）安全

未來(lái)防火墻的操作系統(tǒng)會(huì)更安全。隨著算法和芯片技術(shù)的發(fā)展，防火墻會(huì)更多地參與應(yīng)用層分析，為應(yīng)用提供更安全的保障?！澳Ц咭怀?，道高一丈”，在信息安全的發(fā)展與對(duì)抗過(guò)程中，防火墻的技術(shù)一定會(huì)不斷更新，日新月異，在信息安全的防御體系中，起到堡壘的作用。未來(lái)防火墻的操作系統(tǒng)會(huì)更安全。隨著算法和芯片技術(shù)的發(fā)展，防火墻會(huì)更多地參與應(yīng)用層分析，為應(yīng)用提供更安全的保障。

七、防火墻的發(fā)展趨勢(shì)

近年來(lái)，計(jì)算機(jī)網(wǎng)絡(luò)獲得了飛速的發(fā)展。它不知不覺(jué)的占據(jù)了我們生活的大半部分，成為我們社會(huì)結(jié)構(gòu)的一個(gè)基本組成部分。從Internet的誕生之日起，就不可避免的面臨著網(wǎng)絡(luò)信息安全的問(wèn)題。而隨著Internet的迅速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)對(duì)安全的要求也日益增高。越來(lái)越多的網(wǎng)站因?yàn)榘踩詥?wèn)題而癱瘓，公司的機(jī)密信息不斷被竊取，政府機(jī)構(gòu)和組織不斷遭受著安全問(wèn)題的威脅等等。

盡管利用防火墻可以保護(hù)內(nèi)部網(wǎng)免受外部黑客的攻擊，但其只能提高網(wǎng)絡(luò)的安全性，不可能保證網(wǎng)絡(luò)的絕對(duì)安全。事實(shí)上仍然存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經(jīng)過(guò)防火墻的攻擊。例如，如果允許從受保護(hù)的網(wǎng)絡(luò)內(nèi)部向外撥號(hào)，一些用戶就可能形成與Internet的直接連接。另外，防火墻很難防范來(lái)自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅。所以在一個(gè)實(shí)際的網(wǎng)絡(luò)運(yùn)行環(huán)境中，僅僅依靠防火墻來(lái)保證網(wǎng)絡(luò)的安全顯然是不夠，此時(shí)，應(yīng)根據(jù)實(shí)際需求采取其他相應(yīng)的安全策略。

計(jì)算機(jī)的安全問(wèn)題正面臨著前所未有的挑戰(zhàn)。在這場(chǎng)網(wǎng)絡(luò)安全的攻擊和反攻擊的信息戰(zhàn)中，永遠(yuǎn)沒(méi)有終點(diǎn)。黑客的攻擊手段不斷翻新，決定了信息安全技術(shù)也必須進(jìn) 行革新，防火墻是防范黑客攻擊的常用手段，但這樣的技術(shù)必須與當(dāng)今最前沿的其他安全技術(shù)結(jié)合在一起，才能更有效地防范各種新的攻擊手段。

參考文獻(xiàn)

[1] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第5版）[M].北京：電子工業(yè)出版社

[2] 吳秀梅，傅嘉偉編著.防火墻技術(shù)及應(yīng)用教程.北京：清華大學(xué)出版社 [3] 張紅旗，王魯 等編著.信息安全技術(shù).高等教育出版社

[4] 張華貴，王海燕.計(jì)算機(jī)網(wǎng)絡(luò)在安全分析與對(duì)策

[5] 黃思育.淺議防火墻.達(dá)縣師范高等專科學(xué)校學(xué)報(bào)（自然科學(xué)版）