第一篇：防火墻技術(shù)的分析與研究任佚

網(wǎng)絡(luò)教育學(xué)院

本 科 生 畢 業(yè) 論 文（設(shè) 計）

題 目：防火墻技術(shù)的分析與研究

學(xué)習(xí)中心： 萬州電大奧鵬學(xué)習(xí)中心 層 次： ?？破瘘c本科 專 業(yè)： 網(wǎng)絡(luò)工程 年 級： 2011年秋 季 學(xué) 號： 111511405189 學(xué) 生： 任 佚 指導(dǎo)教師： 龍 珠 完成日期： 2013年06月04日

防火墻技術(shù)的分析與研究

內(nèi)容摘要

隨著計算機網(wǎng)絡(luò)的發(fā)展，上網(wǎng)的人數(shù)不斷地增大，網(wǎng)上的資源也不斷地增加，網(wǎng)絡(luò)的開放性、共享性、互連程度也隨著擴大，所以網(wǎng)絡(luò)的安全問題也是現(xiàn)在注

關(guān)鍵詞：防火墻； 網(wǎng)絡(luò)安全； 外部網(wǎng)絡(luò)； 內(nèi)部網(wǎng)絡(luò) I

防火墻技術(shù)的分析與研究

目 錄

內(nèi)容摘要............................................................I 引 言.............................................................1 1 概述.............................................................2 1.1 背景........................................................2 1.2 本文的主要內(nèi)容及組織結(jié)構(gòu)....................................2 2 防火墻技術(shù)的優(yōu)缺點...............................................4 2.1 防火墻技術(shù)..................................................4 2.1.1 防火墻的定義..........................................4 2.1.2 防火墻的功能.........................錯誤！未定義書簽。2.2 防火墻的優(yōu)缺點.............................錯誤！未定義書簽。3 防火墻的基本類型及發(fā)展...........................................4 3.1 防火墻類型..................................................4 3.1.1 包過濾型..............................................4 3.1.2 網(wǎng)絡(luò)地址轉(zhuǎn)化一NAT....................錯誤！未定義書簽。3.1.3 代理型...............................錯誤！未定義書簽。3.1.4 監(jiān)測型...............................錯誤！未定義書簽。3.2 防火墻的發(fā)展...............................錯誤！未定義書簽。防火墻的發(fā)展主要經(jīng)歷了五個階段，分別是：........錯誤！未定義書簽。

3.2.1............錯誤！未定義書簽。3.2.2..........錯誤！未定義書簽。3.2.3..錯誤！未定義書簽。3.2.4 第四代防火墻..........................錯誤！未定義書簽。3.2.5 第五代防火墻..........................錯誤！未定義書簽。防火墻在網(wǎng)絡(luò)安全中的應(yīng)用.........................................5 4.1防火墻技術(shù)在校園網(wǎng)建設(shè)中的重要性.............................5 4.2防火墻技術(shù)在高校校園網(wǎng)中的選用原則..........錯誤！未定義書簽。4.2.1.防火墻技術(shù)............................錯誤！未定義書簽。4.2.2.高校校園網(wǎng)中使用防火墻的選用原則......錯誤！未定義書簽。4.3高校校園網(wǎng)中常用的防火墻技術(shù)................錯誤！未定義書簽。

4.3.1包過濾技術(shù).............................錯誤！未定義書簽。4.3.2代理技術(shù)...............................錯誤！未定義書簽。4.3.3狀態(tài)檢查技術(shù)...........................錯誤！未定義書簽。4.3.4內(nèi)容檢查技術(shù)。內(nèi)容檢查技術(shù)提供對高層服務(wù) 錯誤！未定義書簽。4.4防火墻技術(shù)在高校校園網(wǎng)中應(yīng)用的實例..........錯誤！未定義書簽。5 結(jié)論............................................錯誤！未定義書簽。參考文獻............................................................6

II

完整論文加QQ:1479352057

引 言

隨著網(wǎng)絡(luò)經(jīng)濟和網(wǎng)絡(luò)社會時代的到來，網(wǎng)絡(luò)將會進入一個無所不在的境地。經(jīng)濟、文化、軍事和社會活動將會強烈地依賴網(wǎng)絡(luò)，作為國家重要基礎(chǔ)設(shè)施的網(wǎng) 1

完整論文加QQ:1479352057 概述

1.1 背景

2l世紀全世界的計算機都將通過Internet聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。

網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點：

第一，網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化，如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了；

第二：網(wǎng)絡(luò)的安全機制與技術(shù)要不斷地變化；

第三，隨著網(wǎng)絡(luò)在社會各個方面的延伸，進入網(wǎng)絡(luò)的手段也越來越多，因此，網(wǎng)絡(luò)安全技術(shù)是一個十分復(fù)雜的系統(tǒng)工程。

從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng)，提出了防火墻概念后，防火墻技術(shù)得到了飛速的發(fā)展。國內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列。

防火墻處于五層網(wǎng)絡(luò)安全體系中的最底層，屬于網(wǎng)絡(luò)層防火墻處于五層網(wǎng)絡(luò)安全體系中的最底層，屬于網(wǎng)絡(luò)層安全技術(shù)范疇。作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障，防火墻是最先受到人重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看，防火墻處于網(wǎng)絡(luò)安全的最底層，負責(zé)網(wǎng)絡(luò)間的安全認證與傳輸，但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化，現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務(wù)，同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認證、防止病毒與黑客侵入等方向發(fā)展。

安裝防火墻的基本原則是：只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處，都應(yīng)該安裝防火墑。

1.2 本文的主要內(nèi)容及組織結(jié)構(gòu)

本文主要對防火墻技術(shù)相關(guān)理論及應(yīng)用進行探討。本文的組織結(jié)構(gòu)： 全文共分五章。

第一章，主要是介紹防火墻的背景及文章的組織結(jié)構(gòu)。

完整論文加QQ:1479352057

第二章，介紹防火墻的技術(shù)的概念及防火墻的優(yōu)缺點。第三章，介紹防火墻的基本類型及防火墻的發(fā)展趨勢。第四章，介紹防火墻在網(wǎng)絡(luò)安全中的應(yīng)用。第五章，對論文進行總結(jié)概述。3

完整論文加QQ:1479352057 防火墻技術(shù)的優(yōu)缺點

2.1 防火墻技術(shù)

2.1.1 防火墻的定義

防火墻(firewal1)是一項協(xié)助確保信息安全的設(shè)備，會依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻可以是一臺專屬的硬件也可以是架設(shè)在一般硬件上的一套軟件。所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障．是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)(Security Gateway)，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。防火墻的基本類型及發(fā)展

3.1 防火墻類型

根據(jù)防火墻所采用的技術(shù)不同，防火墻可分為四種基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換一NAT、代理型和監(jiān)測型。3.1.1 包過濾型

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會包含一些特定信息，如數(shù)據(jù)的源地址、目標地址、TCP／UDP源端口和月標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制定判斷規(guī)則。

本質(zhì)上，包過濾防火墻是多址的，表明它有兩個或兩個以上網(wǎng)絡(luò)適配器或接口。例如，作為防火墻的設(shè)備可能有兩塊網(wǎng)卡(NIC)，一塊連到內(nèi)部網(wǎng)絡(luò)，一塊連到公共的Internet。防火墻的任務(wù)，就是作為“通信警察”，指引包和截住那些有危害的包。

包過濾防火墻檢查每一個傳入包，查看包中可用的基本信息（源地址和目的地址、端口號、協(xié)議等）。然后，將這些信息與設(shè)立的規(guī)則相比較。如果已經(jīng)設(shè)立了阻斷telnet連接，而包的目的端口是23的話，那么該包就會被丟棄。如果允許傳入Web連接，而目的端口為80，則包就會被放行。

完整論文加QQ:1479352057

應(yīng)用層表示層會話層傳輸層應(yīng)用層表示層會話層傳輸層應(yīng)用層表示層會話層傳輸層 網(wǎng)絡(luò)層 網(wǎng)絡(luò)層 網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層數(shù)據(jù)鏈路層物理層數(shù)據(jù)鏈路層物理層 圖3.1 簡單包過濾防火墻 防火墻在網(wǎng)絡(luò)安全中的應(yīng)用

4.1防火墻技術(shù)在校園網(wǎng)建設(shè)中的重要性

隨著計算機網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)的安全性顯得至關(guān)重要，這是因為懷有惡意的攻擊者竊取、修改網(wǎng)絡(luò)上傳輸?shù)男畔?，通過網(wǎng)絡(luò)非法進入遠程主機，獲取儲存在主機上的機密信息，或占用網(wǎng)絡(luò)資源，阻止其他用戶使用。然而，網(wǎng)絡(luò)作為開放的信息系統(tǒng)必然存在眾多潛在的安全隱患，因此，網(wǎng)絡(luò)安全技術(shù)作為一個獨特的領(lǐng)域越來越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。高校校園網(wǎng)雖不像企業(yè)網(wǎng)和政府網(wǎng)那樣存有大量機密信息，但校園網(wǎng)的穩(wěn)定和“干凈”是保證學(xué)校正常教學(xué)工作的根本。與其他局域網(wǎng)相比高校校園網(wǎng)有其自身的特點。大部分高校校園網(wǎng)覆蓋面積都比較大，包括多棟建筑，在加上現(xiàn)在很多課堂教學(xué)逐步走向網(wǎng)絡(luò)化，學(xué)生在線學(xué)習(xí)、娛樂時間增加，這就使得校園網(wǎng)故障問題定位復(fù)雜，管理難度增大。同時，課堂教學(xué)走向網(wǎng)絡(luò)化也造成網(wǎng)絡(luò)業(yè)務(wù)容量及資源調(diào)配的困難，這包括如何有效合理地對教育網(wǎng)絡(luò)帶寬的調(diào)度和分配，滿足教育網(wǎng)絡(luò)多媒體教學(xué)和遠程教學(xué)、圖書館訪問系統(tǒng)、視頻會議等應(yīng)用。由此也產(chǎn)生了相關(guān)的安全問題。如在園網(wǎng)缺乏用戶認證、授權(quán)體系；存在有意和無意的攻擊；在課堂上課時間學(xué)生能任意上網(wǎng)連接到Internet及Internet上不良或非法信息的傳播等。這些問題的存在都勢必影響到校園網(wǎng)的穩(wěn)定性和安全性，從而影響正常的教學(xué)工作甚至影響到學(xué)生 5

完整論文加QQ:1479352057

心智和道德的正常發(fā)展。因此，網(wǎng)絡(luò)安全技術(shù)的合理使用，尤其是防火墻技術(shù)的

參考文獻

［1］薛慶水，朱永忠.計算機網(wǎng)絡(luò)安全技術(shù) 大連理工出版社，2008.［2］國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2008年

［3］朱偉華.網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用研究［EB/OL］，1998.89-90.［4］耿馳遠，網(wǎng)絡(luò)安全技術(shù)的比較及在校園網(wǎng)中的應(yīng)用.2008年 [5] 張萬國.網(wǎng)絡(luò)安全研究.金屬工業(yè)出版社，2000，34(6):13-17.

第二篇：網(wǎng)絡(luò)隔離和防火墻技術(shù)的比較研究

網(wǎng)絡(luò)隔離和防火墻技術(shù)的比較研究

2012-8-6 21:20:21 文章來源：萬方數(shù)據(jù)

摘要： 目前的防火墻大都依靠于對數(shù)據(jù)包的信息進行檢查，檢查的重點是網(wǎng)絡(luò)協(xié)議的信息。防火墻主要查看IP包中的IP包頭、TCP包頭、應(yīng)用層包頭以及數(shù)據(jù)加載的包頭，要了解防火墻的具體架構(gòu)。

關(guān)鍵詞： 網(wǎng)絡(luò)隔離防火墻

一、前言

隨著Internet的飛速發(fā)展以及我國政府信息化為代表的電子政務(wù)的蓬勃發(fā)展，寬帶網(wǎng)已經(jīng)得到普及。業(yè)界電子商務(wù)的開展，海量的網(wǎng)絡(luò)信息，[J趨豐富的網(wǎng)絡(luò)功能使得“網(wǎng)上辦公”條件已經(jīng)成熟。辦公信息化帶來了辦公效率質(zhì)的飛躍，但辦公信息化的安全，也極大地引起人們的關(guān)注和思考，相應(yīng)的網(wǎng)絡(luò)隔離技術(shù)與防火墻技術(shù)的應(yīng)用研究引起了人們的高度重視。

二、網(wǎng)絡(luò)隔離技術(shù)簡介

（一）網(wǎng)絡(luò)隔離技術(shù)的發(fā)展歷程

網(wǎng)絡(luò)隔離，英文名為Network Isolation，主要是指把兩個或兩個以上可路由的網(wǎng)絡(luò)（如：TCP／IP）通過不可路由的協(xié)議（如：IPX／SPX、NetBEUI等）進行數(shù)據(jù)交換而達到隔離目的。由于其原理主要是采用了不同的協(xié)議，所以通常也叫協(xié)議隔離（ProtocolIsolation）。

（二）網(wǎng)絡(luò)隔離技術(shù)原理

網(wǎng)絡(luò)隔離產(chǎn)品采用了網(wǎng)絡(luò)隔離技術(shù)，是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立主機系統(tǒng)的信息安全設(shè)備。由于兩個獨立主機系統(tǒng)之問，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡”，且對固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令。所以，網(wǎng)絡(luò)隔離產(chǎn)品從物理上隔離，阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實現(xiàn)了真正的安全。

（三）網(wǎng)絡(luò)隔離設(shè)備的實現(xiàn)機制 網(wǎng)絡(luò)隔離設(shè)備由內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元和專用隔離硬件組成。網(wǎng)絡(luò)隔離硬件包括一個獨立的固態(tài)存儲單元和一個獨立的調(diào)度和控制單元，內(nèi)網(wǎng)處理單元和外網(wǎng)處理單元在同一時刻最多只有一個同固態(tài)存儲單元建立非TCP／IP協(xié)議的數(shù)據(jù)連接，并通過私有協(xié)議進行數(shù)據(jù)的交換。

三、防火墻的體系架構(gòu)介紹

目前的防火墻大都依靠于對數(shù)據(jù)包的信息進行檢查，檢查的重點是網(wǎng)絡(luò)協(xié)議的信息。防火墻主要查看IP包中的IP包頭、TCP包頭、應(yīng)用層包頭以及數(shù)據(jù)加載的包頭，要了解防火墻的具體架構(gòu)，就需要分析檢查它是哪一層協(xié)議的信息。根據(jù)OSI模型，防火墻架構(gòu)包含以下幾種：包過濾防火墻，電路網(wǎng)關(guān)防火墻，應(yīng)用網(wǎng)關(guān)防火墻，狀態(tài)檢測包過濾防火墻和切換代理防火墻。防火墻是建立在內(nèi)外網(wǎng)邊界上的過濾封鎖機制，內(nèi)部網(wǎng)絡(luò)被認為是安全和可信賴的，而外部網(wǎng)絡(luò)被認為是不安全和不可信賴的。防火墻的作用是防止不希望的、未經(jīng)授權(quán)的通信進出被保護的內(nèi)部網(wǎng)絡(luò)。防火墻對網(wǎng)絡(luò)安全的保護程度，很大程度上取決于防火墻的體系架構(gòu)。隨著網(wǎng)絡(luò)應(yīng)用的增加，對網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。

四、防火墻存在的安全漏洞

防火墻設(shè)備側(cè)重丁二網(wǎng)絡(luò)層到應(yīng)用層的策略隔離，操作系統(tǒng)、內(nèi)部系統(tǒng)的漏洞、通用協(xié)議的缺陷等都成為不安哞：的潛在因素。首先由防火墻的體系架構(gòu)可知，防火墻可能會產(chǎn)生網(wǎng)絡(luò)層短路，從而導(dǎo)致偽造合法數(shù)據(jù)包帶來的危害：防火墻還難以抵御數(shù)據(jù)驅(qū)動式攻擊，即大量合法的數(shù)據(jù)包將導(dǎo)致網(wǎng)絡(luò)阻塞而使止常通信癱瘓。其次，防火墻很難阻止由通用協(xié)議本身漏洞發(fā)起的入侵。第三，防火墻系統(tǒng)本身的缺陷也是影響內(nèi)部網(wǎng)絡(luò)安全的重要因素，當(dāng)防火墻土機被控制后，內(nèi)部受保護網(wǎng)絡(luò)就會暴露無疑。第四，要使防火墻發(fā)揮有效的安全性，需要正確、合理地配置防火墻相關(guān)的安全策略，而配置的復(fù)雜程度不僅帶來繁瑣的工作量，同時也增加了配置不當(dāng)帶來的安全隱患。

五、安全性分析比較

（一）指導(dǎo)思想不同 1.防火墻的思路是在保障互聯(lián)互通的前提下，盡可能安全；

2.網(wǎng)絡(luò)隔離技術(shù)的思路是在保證必須安全的前提下，盡可能互聯(lián)互通。

（二）體系架構(gòu)不同

網(wǎng)絡(luò)隔離產(chǎn)品一般為雙機或三機系統(tǒng)，而防火墻由一臺處理機組成，為單機系統(tǒng)。而網(wǎng)絡(luò)隔離設(shè)備實現(xiàn)了0SI模型七層的斷開和應(yīng)用層內(nèi)容的檢查機制，因而不會產(chǎn)生網(wǎng)絡(luò)層短路，消除了基于網(wǎng)絡(luò)協(xié)議的攻擊。

（三）安全規(guī)則配置的復(fù)雜程度不同

防火墻主要依據(jù)網(wǎng)絡(luò)治理工程師配置的規(guī)則進行安全檢查，其安全性的高低與規(guī)則配置情況密切相關(guān)。規(guī)則配置十分復(fù)雜，規(guī)則最終所起的作用不僅與每條規(guī)則有關(guān)，而且與每條規(guī)則的先后順序、規(guī)則之問的相關(guān)性都有很大關(guān)系。網(wǎng)絡(luò)治理工程師必須仔細檢查每條規(guī)則，以保證其結(jié)果是其預(yù)期的結(jié)果。從另一個方面講，防火墻的配置要求網(wǎng)絡(luò)治理上程師有較高的網(wǎng)絡(luò)知識和技術(shù)水平。防火墻只是一個被動的安全策略執(zhí)行設(shè)備，防火墻不能防止策略配置不當(dāng)或錯誤配置引起的安全威脅，規(guī)則配置錯誤將造成不安全通道打開。而網(wǎng)絡(luò)隔離設(shè)備無需進行復(fù)雜的規(guī)則配置，只需設(shè)定一些內(nèi)外網(wǎng)訪問政策。網(wǎng)絡(luò)隔離設(shè)備儀答應(yīng)定制的信息進行交換，即使出現(xiàn)錯誤，也至多足數(shù)據(jù)不再答應(yīng)傳輸，而不會造成重大安全事故。

第三篇：防火墻的技術(shù)與發(fā)展

信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

摘 要

防火墻作為一種網(wǎng)絡(luò)或系統(tǒng)之間強制實行的訪問控制機制，是確保網(wǎng)絡(luò)安全的重要手段，有基于通用操作系統(tǒng)設(shè)計的防火墻，也有基于專用操作系統(tǒng)設(shè)計的防火墻。由于Linux源代碼的開放性，所以，Linux成為研究防火墻技術(shù)的一個很好的平臺。本文介紹 Linux的防火墻技術(shù) Netfilter/Iptables 在 Linux 內(nèi)核中的具體實現(xiàn)。討論了Linux內(nèi)核防火墻套件Netfilter 實現(xiàn)的一些基本技術(shù)：包過濾。Linux下常用的防火墻規(guī)則配置軟件Iptables；從實現(xiàn)原理、配置方法以及功能特點的角度描述了Linux防火墻的功能；并給出了Linux下簡單防火墻的搭建。

關(guān)鍵字：防火墻，Netfilter，Iptables

I 信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

ABSTRACT

The firewall took between one kind of network or the system forces the access control mechanism which implements, is guarantees the network security the important method, has based on the general operating system design firewall, also has based on the special-purpose operating system design firewall.As a result of Linux source code openness, therefore, Linux becomes the research firewall technology a very good platform.This article introduces Linux firewall technology Netfilter/Iptables in Linux essence concrete realization.Discussed Linux essence firewall set of Netfilter realization’s some basic technologies: the package filter.Under Linux commonly used firewall rule disposition software Iptables;from the realization principle, the disposition method as well as the function characteristic angle described the Linux firewall function;and build up a simple firewall in Linux.Key words: Firewall, Netfilter, Iptables

II 信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

目錄

摘 要………………………………………………………I ABSTRACT………………………………………………………II 第一章 緒 論…………………………………………………1

1.1 前言1 1.2開發(fā)背景1

第二章 防火墻技術(shù) 2

2.1防火墻概述2 2.2包過濾技術(shù) 2 第三章 Netfilter/Iptables 3 3.1 Netfilter框架4

3.1.1 Netfilter框架的介紹4 3.1.2數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)協(xié)議棧的分析4 3.2 管理工具：Iptables5

3.2.1 Iptables 防火墻規(guī)則配置管理工具5 3.2.1 Iptables工具的應(yīng)用方法5 第四章 Linux下簡單防火墻的搭建6 4.1防火墻搭建的戰(zhàn)略規(guī)劃6 4.2 Iptables規(guī)則腳本7 第五章 總結(jié)與展望8 5.1 應(yīng)用前景8 5.2 總體體會8 參考文獻9 致 謝10

III 信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

第一章 緒 論

1.1 前言

Linux 可以追溯到UC Berkeley分校的Unix，因此從某種意義上講，Linux本身就是一種網(wǎng)絡(luò)操作系統(tǒng)，Linux在實現(xiàn)網(wǎng)絡(luò)功能方面有著獨特的優(yōu)勢。防火墻的初步功能首次出現(xiàn)在Linux 1.1內(nèi)核中，到Linux 2.0內(nèi)核時，其部件IPFwadm對防火墻部分已進行了很大改進和增強；Linux 2.2.x內(nèi)核發(fā)布時，IPchains和單獨開發(fā)的NAT等模塊已經(jīng)可以比較完整地實現(xiàn)內(nèi)核IP防火墻功能，從Linux的2.4內(nèi)核開始的Netfilter最終廢除了Ipchains，其主要原因有：IPchain是以內(nèi)核級運行的C及C++代碼，沒有很好地提供從用戶空間訪問IPchains的接口，限制了IPchains的可擴展性。

1.2 開發(fā)背景

在網(wǎng)絡(luò)安全問題日趨嚴峻的今天，防火墻作為第一道防線起著關(guān)鍵的作用。防火墻可以對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。從而對防火墻的研究成為研究熱點。信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

第二章 防火墻技術(shù)

2.1防火墻概述

防火墻是一個或一組實施訪問控制策略的系統(tǒng)。它在內(nèi)部網(wǎng)絡(luò)（專用網(wǎng)絡(luò)）與外部網(wǎng)絡(luò)（功用網(wǎng)絡(luò)）之間形成一道安全保護屏障，防止非法用戶訪問內(nèi)部網(wǎng)絡(luò)上的資源和非法向外傳遞內(nèi)部信息，同時也防止這類非法和惡意的網(wǎng)絡(luò)行為導(dǎo)致內(nèi)部網(wǎng)絡(luò)運行遭到破壞。它基本功能是過濾并可能阻擋本地網(wǎng)絡(luò)或者網(wǎng)絡(luò)的某個部分與Internet之間的數(shù)據(jù)傳送（數(shù)據(jù)包）。防火墻的主要功能包括:

1．防火墻本身支持一定的安全策略。2．提供一定的訪問或接入控制機制。3．容易擴充、更改新的服務(wù)和安全策略。4．具有代理服務(wù)功能，包含先進的鑒別技術(shù)。5．采用過濾技術(shù)，根據(jù)需求來允許或拒絕某些服務(wù)。

6．防火墻的編程語言應(yīng)較靈活，具有友好的編程界面。并用具有較多的過濾屬性，包括源和目的IP地址、協(xié)議類型、源和目的的TCP/UDP端口以及進入和輸出的接口地址。

2.2 包過濾技術(shù)

包過濾技術(shù)是防火墻的一種最基本的實現(xiàn)技術(shù)，具有包過濾技術(shù)的裝置是用來控制內(nèi)、外網(wǎng)絡(luò)間數(shù)據(jù)流的流入和流出，包過濾技術(shù)中的數(shù)據(jù)包大部分是基于TCP/IP協(xié)議平臺的，其中包括網(wǎng)絡(luò)層的IP數(shù)據(jù)包，運輸層的TCP和UDP數(shù)據(jù)包以及應(yīng)用層的FTP、Telnet和HTTP等應(yīng)用協(xié)議數(shù)據(jù)包三部分內(nèi)容。信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

過濾技術(shù)依靠以下三個基本依據(jù)來實現(xiàn)“允許或不允許”某些包通過防火墻：

1．包的目的地址及目的端口； 2．包的源地址及源端口； 3．包的傳輸協(xié)議。信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

第三章 Netfilter/Iptables

3.1 Netfilter框架

3.1.1 Netfilter框架的介紹

Netfilter是Linux 2.4實現(xiàn)的防火墻框架，Netfilter提供了一個抽象、通用化的框架定義一個子功能實現(xiàn)的就是包過濾子系統(tǒng)。Netfilter由一系列基于協(xié)議棧的鉤子組成，這些鉤子都對應(yīng)某一具體的協(xié)議。每一個協(xié)議對應(yīng)的鉤子函數(shù)都定義在協(xié)議具體的頭文件中，如對應(yīng)于IPv4的鉤子函數(shù)就定義在內(nèi)核頭文件：/Linux/netfilter_ipv4.h中。

3.1.2 數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)協(xié)議棧的分析

1、收到數(shù)據(jù)，中斷發(fā)生

通常的，當(dāng)一塊網(wǎng)卡接收到屬于其自己MAC地址或者廣播的以太網(wǎng)絡(luò)數(shù)據(jù)幀時，就會引發(fā)一個中斷，網(wǎng)卡驅(qū)動的中斷處理程序獲得機會，通過I/O，DMA復(fù)制網(wǎng)絡(luò)幀數(shù)據(jù)到內(nèi)存中。然后網(wǎng)絡(luò)驅(qū)動程序?qū)?chuàng)建一個skb結(jié)構(gòu)，將網(wǎng)絡(luò)幀數(shù)據(jù)填充，設(shè)置時間戳，區(qū)分類型后，將skb送入對應(yīng)的包接收隊列（其實就是添加到系統(tǒng)中的一個雙向鏈表中）。

2、數(shù)據(jù)接收軟中斷

內(nèi)核調(diào)用kernel/softirq.c:do_softirq()執(zhí)行數(shù)據(jù)包接收軟中斷(NET_RX_SOFTIRQ)，將skb從CPU的接收隊列中取出來，交給對應(yīng)IPv4協(xié)議處理程序。協(xié)議處理程序?qū)魅氲臄?shù)據(jù)包進行一些完整性監(jiān)測，如果監(jiān)測失敗，則將數(shù)據(jù)包丟棄。通過完整性監(jiān)測以后，將進行一些必要的清理操作，去掉可能多余的填充數(shù)據(jù)，并且重新計算數(shù)據(jù)包的長度。信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

3.2 管理工具：Iptables

3.2.1 Iptables 防火墻規(guī)則配置管理工具

Netfilter框架在內(nèi)核中主要負責(zé)PACKET的獲得和重新注入，而對PACKET的匹配預(yù)處理主要由規(guī)則表來完成。

當(dāng)我們用Iptables命令配置工具配置一條規(guī)則后，Iptables應(yīng)用程序會運用iptables-standalone.c::main()::do_command()，然后再調(diào)用libiptc庫提供的iptc_commit()函數(shù)向核心提交該操作請求。該函數(shù)根據(jù)請求會設(shè)置一個struct ipt_replace結(jié)構(gòu)，用來描述規(guī)則所涉及的表和HOOK點等信息，并在其后附接當(dāng)前這條規(guī)則（一個struct ipt_entry結(jié)構(gòu)）。從而將命令行輸入轉(zhuǎn)換為程序可讀的格式。組織好這些數(shù)據(jù)后，iptc_commit()調(diào)用setsockopt()系統(tǒng)調(diào)用來啟動核心處理這一請求：

setsockopt(sockfd, //通過socket創(chuàng)建的原始套接字，TC_IPPROTO，//即IPPROTO_IP SO_SET_REPLACE, //即IPT_SO_SET_REPLACE repl，//struct ipt_replace結(jié)構(gòu)

sizeof(*repl)+(*handle)->entries.size)3.2.1 Iptables工具的應(yīng)用方法

一個Iptables命令基本上包含如下五部分（1）希望工作在哪個表上（2）希望使用該表的哪個鏈

（3）進行操作（插入、添加、刪除、修改）（4）對特定規(guī)則的目標動作（5）匹配數(shù)據(jù)報條件 信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

第四章

Linux下簡單防火墻的搭建

4.1防火墻搭建的戰(zhàn)略規(guī)劃

包過濾防火墻的規(guī)則是由一組接收和禁止規(guī)則列表組成，規(guī)則列表中定義了數(shù)據(jù)包是否可以通過網(wǎng)絡(luò)接口。防火墻規(guī)則通過數(shù)據(jù)包頭的字段是否允許一個數(shù)據(jù)包通過。當(dāng)默認策略設(shè)置為禁止一切時，若數(shù)據(jù)包頭的字段與規(guī)則匹配，則路由器將該數(shù)據(jù)包轉(zhuǎn)發(fā)至指定的目的地，否則將該數(shù)據(jù)包丟棄或被阻止并反饋一個錯誤狀態(tài)信息給發(fā)出端的計算機。

一、輸入包過濾

1、遠程源地地址過濾

在包過濾的層次上，數(shù)據(jù)包頭中的源地址是識別IP數(shù)據(jù)包發(fā)送者的唯一方法。

（1）假冒本地IP地址

從外部輸入的數(shù)據(jù)包聲稱是來自本地計算機的數(shù)據(jù)包，因為源地址是唯一可獲得的信息，而它可以被修改，所以這是用戶在包過濾的層次上唯一檢測到的欺騙形式。

（2）回環(huán)接口地址

回環(huán)地址是TCP/IP協(xié)議在本地網(wǎng)絡(luò)服務(wù)使用的內(nèi)部專用地址，目的是將網(wǎng)絡(luò)通信請求或處理通過回環(huán)地址發(fā)給本機的網(wǎng)絡(luò)服務(wù)，而不許發(fā)送到網(wǎng)絡(luò)上。通常，回環(huán)網(wǎng)絡(luò)的網(wǎng)絡(luò)地址是127.0.0.0，回環(huán)地址是127.0.0.1，主機名使用localhost，回環(huán)網(wǎng)絡(luò)標識lo。

2、本地目的地址過濾

網(wǎng)卡只接收發(fā)給本機的數(shù)據(jù)包和廣播數(shù)據(jù)包。也就是說，網(wǎng)卡將濾掉除廣播數(shù)據(jù)包以外的，目的地址不是本機地址的普通數(shù)據(jù)包。例如，地址信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

255.255.255.255是對網(wǎng)絡(luò)上的所有主機進行廣播。

二、輸出包過濾

輸出消息過濾的重要應(yīng)用層運行局域網(wǎng)服務(wù)時，不把本地數(shù)據(jù)包和本地系統(tǒng)信息泄漏到因特網(wǎng)上。

1、本地源地址過濾

通過本地源地址過濾，可以防止本地用戶仿造IP地址，欺騙其他的網(wǎng)站。

2、遠程目的地址過濾

對于輸出數(shù)據(jù)包，需要限定特定類型的數(shù)據(jù)包，這個目的地址只能是特定的遠程網(wǎng)絡(luò)或單機。此時，防火墻規(guī)則將定義這些數(shù)據(jù)包允許到達的目的地必須是有明確的IP地址或限定的IP地址范圍內(nèi)的目的地。

4.2 Iptables規(guī)則腳本

1.刪除任何已存在的規(guī)則。記住在定義任何一個防火墻規(guī)則前，都要刪除存在于所有鏈的規(guī)則。命令如下[3][4][6]： iptables-F 2.配置默認的拒絕規(guī)則。實際應(yīng)用中配置的基本原則是：先拒絕所有的服務(wù)，然后再根據(jù)用戶的需要設(shè)置相應(yīng)的服務(wù)。參考配置程序如下： iptables-P INPUT DROP iptables-P OUTPUT DROP iptables-P FORWARD DROP 信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

第五章 總結(jié)與展望

5.1 應(yīng)用前景

Netfilter/Iptables的包過濾架構(gòu)是Linux內(nèi)核開發(fā)人員通過對Ipfwadm/Ipchains等早期的包過濾程序的開發(fā)經(jīng)驗和全世界用戶反饋的分析，重新設(shè)計，改造而形成的相對成熟的Linux內(nèi)核包過濾框架。

本文從理論和實踐兩方面對Linux2.4.x內(nèi)核對防火墻的處理作了分析，目的是使一般小型企業(yè)針對自己實際情況，設(shè)計專門的防火墻成為可能。

5.2 總體體會

經(jīng)過幾個月的磨煉和努力，總結(jié)出只有在強壓與競爭中才會有意想不到的收獲和進步。

畢業(yè)設(shè)計培養(yǎng)了作者本人綜合運用所學(xué)的基礎(chǔ)理論，基本知識和基本技能，分析解決實際問題的能力，它在某種程度上是前面各個學(xué)習(xí)環(huán)節(jié)的繼續(xù)，深化和檢驗。認為自身在這次畢業(yè)設(shè)計中培養(yǎng)了以下四方面的能力：

? 綜合運用所學(xué)專業(yè)基本理論，提高查閱文獻、論文和資料的能力。提高自身進行技術(shù)總結(jié)和撰寫論文的能力。

編程的過程是不斷學(xué)習(xí)的過程，當(dāng)有更好、更簡潔的程序時，要注意揚棄的結(jié)合。?

?

? 設(shè)計既要重視分工，重視設(shè)計作品的完整性，重視風(fēng)格的統(tǒng)一性。要注重編程過程中的細節(jié)，有時細小的失誤也會形成極大的麻煩。?

畢業(yè)設(shè)計讓作者本人體會到科學(xué)的精神。面對隨時而來的挫折，自己不斷的給自己鼓勁，克服困難，勇往直前。信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

參考文獻

[1] 博嘉科技主編．Linux防火墻技術(shù)探秘．國防工業(yè)出版社，2002 [2] James F.Kurose,，Keith W.Ross 著．計算機網(wǎng)絡(luò)------用自頂向下方法描述因特網(wǎng)特色．人發(fā)郵電出版社，2004 [3] 張斌等編．Linux網(wǎng)絡(luò)編程．清華大學(xué)出版社，2000 [4] 劉偉，龔漢明，朱青編著．UNIX基礎(chǔ)教程．清華大學(xué)出版社，2003 [5] 張琳等編著．網(wǎng)絡(luò)管理與應(yīng)用．人民郵電出版社，2000 [6] 孫建華等編著． 網(wǎng)絡(luò)系統(tǒng)管理------Linux實訓(xùn)篇．人民郵電出版社,2003 [7] W.Richard Stevens著．TCP/IP詳解卷1：協(xié)議．機械工業(yè)出版社，2006 [8] 鳥哥編著．LINUX私房菜服務(wù)器架設(shè)篇．科學(xué)出版社，2005 信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

致 謝

首先衷心地感謝指導(dǎo)老師王則林，每星期的指導(dǎo)與教學(xué)，以及平時對我的不懈支持和幫助，他對我的諄諄教誨和誠摯關(guān)懷, 嚴謹治學(xué)的態(tài)度、睿智的學(xué)者風(fēng)度和敏銳的洞察力令我敬佩，并將會使我終生受益。才使我的畢業(yè)設(shè)計順利完成。

感謝與我同組畢業(yè)設(shè)計的同學(xué)們，他們良好的合作精神以及認真嚴謹?shù)目茖W(xué)態(tài)度深深地感染了我，這也是我們畢業(yè)設(shè)計能夠順利完成的保證。

最后感謝同窗四年的兄弟姐妹們，他們的關(guān)心和幫助陪伴我度過了人生中最值得回憶，最難以忘懷的大學(xué)四年。

第四篇：計算機網(wǎng)絡(luò)與防火墻技術(shù)論文

計算機網(wǎng)絡(luò)安全與防火墻技術(shù)

張帥

計算機學(xué)院計算機科學(xué)與技術(shù)(師范)專業(yè)06級 指導(dǎo)教師：蒲靜

摘要:本文由計算機網(wǎng)絡(luò)安全問題出發(fā)，分析了網(wǎng)絡(luò)安全面臨的主要威脅，及保護網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)，提出了防火墻是計算機網(wǎng)絡(luò)安全體系的核心的觀點，并著重介紹了防火墻的相關(guān)技術(shù)。同時，說明了防火墻并不是萬能的，指出了防火墻技術(shù)的缺陷，并就現(xiàn)今防火墻技術(shù)的現(xiàn)狀，提出未來防火墻技術(shù)的發(fā)展設(shè)想。關(guān)鍵詞：計算機網(wǎng)絡(luò)；安全；關(guān)鍵技術(shù)；缺陷；防火墻

Computer-network Security and Firewall Technology

Zhang Shuai Computer College Grade 06 Instructor:Pu Jing Abstract: This article by a computer network security issues, analyzes network security major threats, and protect the network security key technologies.Proposed computer network firewall security system is the core idea, and highlights the firewall related technologies.At the same time, shows the firewall is not a panacea, points out the deficiencies in firewall technology, and on the current status of firewall technology, that future firewall technology's development.Key words： computer-network;security;key-technology;deficiencies;firewall 1

目錄

中文摘要····························································1 英文摘要····························································1 目錄································································2 1 緒論······························································3 2 計算機網(wǎng)絡(luò)安全的主要問題··········································3 2.1 網(wǎng)絡(luò)安全的定義················································3 2.2 網(wǎng)絡(luò)安全面臨的主要威脅········································3 2.2.1 計算機病毒的侵襲···········································3 2.2.2 黑客侵襲···················································3 2.2.3 拒絕服務(wù)攻擊···············································3 2 2.3 實現(xiàn)計算機安全的關(guān)鍵技術(shù)···································4 2.3.1 數(shù)據(jù)加密···················································4 2.3.2 認證·······················································4 2.3.3 入侵檢測技術(shù)···············································4 2.3.4 防病毒技術(shù)·················································4 2.3.5 文件系統(tǒng)安全···············································4 2.3.6 防火墻技術(shù)·················································4 3 防火墻概述························································4 3.1 防火墻概念····················································4 3.2 防火墻的主要功能··············································5 3.2.1 強化網(wǎng)絡(luò)安全策略···········································5 3.2.2 對輸入進行篩選·············································5 3.2.3 防止內(nèi)部信息的外泄·········································5 3.2.4 限制內(nèi)部用戶活動···········································5 3.2.5 網(wǎng)絡(luò)地址轉(zhuǎn)換···············································5 3.2.6 對網(wǎng)絡(luò)使用情況進行記錄監(jiān)控·································6 3.3 防火墻的原理及分類············································6

3.3.1 包過濾防火墻···············································6 3.3.2 應(yīng)用代理防火墻·············································6

3.3.3 狀態(tài)檢測防火墻·············································6

3.4 防火墻的主要技術(shù)優(yōu)缺點分析····································6

3.4.1 包過濾技術(shù)·················································6 3.4.2 應(yīng)用代理技術(shù)··············································7 3.4.3 狀態(tài)檢測技術(shù)···············································7 4 防火墻的缺陷及未來發(fā)展趨勢·······································7 4.1 防火墻的十大缺陷··············································7 4.2 關(guān)于防火墻未來發(fā)展的幾點設(shè)想··································8 結(jié)束語······························································8 參考文獻····························································8 致謝································································9 緒論

計算機技術(shù)的應(yīng)用與發(fā)展，帶動并促進了信息技術(shù)的變革，計算機與信息技術(shù)以其廣泛的滲透力和罕見的親和力，正從整體上影響著世界經(jīng)濟和社會發(fā)展的進程，引發(fā)了計算機應(yīng)用技術(shù)一場空前的技術(shù)革命。但是，伴隨而來的是計算機屢屢遭到破壞，輕者丟掉數(shù)據(jù)，重者系統(tǒng)平臺和計算機資源被攻擊，其損失常常是不可估量的，這是一個日益嚴峻的問題即計算機網(wǎng)絡(luò)安全。

為了保護自己的計算機、服務(wù)器和局域網(wǎng)資源免受攻擊破壞而丟掉數(shù)據(jù)、系統(tǒng)重新安裝等，利用防火墻技術(shù)是當(dāng)前比較流行且比較可行的一種網(wǎng)絡(luò)安全防護技術(shù)。其既是計算機高新技術(shù)的產(chǎn)物，又具有低廉實惠的特點，故簡要探究防火墻技術(shù)的特點和以及其在計算機網(wǎng)絡(luò)安全中的作用。計算機網(wǎng)絡(luò)的主要安全問題

2.1 網(wǎng)絡(luò)安全的定義

我國對于計算機安全的定義是：“計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運行?！?2.2 網(wǎng)絡(luò)安全面臨的主要威脅

一般認為，計算機網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自計算機病毒、黑客的攻擊和拒絕服務(wù)攻擊三個方面。2.2.1 計算機病毒的侵襲

當(dāng)前，活性病毒達14000多種，計算機病毒侵入網(wǎng)絡(luò)，對網(wǎng)絡(luò)資源進行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個網(wǎng)絡(luò)的癱瘓。2.2.2 黑客侵襲

即黑客非法進入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。例如通過隱蔽通道進行非法活動；采用匿名用戶訪問進行攻擊；通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶賬號和密碼；非法獲取 3 網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。2.2.3 拒絕服務(wù)攻擊

例如“點在郵件炸彈”，它的表現(xiàn)形式是用戶在很短的時間內(nèi)收到大量無用的電子郵件，從而影響正常業(yè)務(wù)的運行。嚴重時會使系統(tǒng)關(guān)機，網(wǎng)絡(luò)癱瘓。2.3.實現(xiàn)計算機安全的關(guān)鍵技術(shù) 2.3.1 數(shù)據(jù)加密

加密就是把明文變成密文，從而使未被授權(quán)的人看不懂它。有兩種主要的加密類型：私匙加密和公匙加密。2.3.2 認證

對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認證機制還可以防止合法用戶訪問他們無權(quán)查看的信息。2.3.3 入侵檢測技術(shù)

入侵檢測技術(shù)是網(wǎng)絡(luò)安全研究的一個熱點，是一種積極主動的安全防護技術(shù)，提供了對內(nèi)部入侵、外部入侵和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。2.3.4 防病毒技術(shù)

隨著計算機技術(shù)的發(fā)展，計算機病毒變得越來越復(fù)雜和高級，計算機病毒防范不僅僅是一個產(chǎn)品、一個策略或一個制度，它是一個匯集了硬件、軟件、網(wǎng)絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。2.3.5 文件系統(tǒng)安全

在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個關(guān)鍵性的概念，因為訪問控制實現(xiàn)在兩個方面：本地和遠程。建立文件權(quán)限的時候，必須在Windows 2000中首先實行新技術(shù)文件系統(tǒng)（New Technology File System，NTFS）。一旦實現(xiàn)了NTFS，你可以使用Windows資源管理器在文件和文件夾上設(shè)置用戶級別的權(quán)限。你需要了解可以分配什么樣的權(quán)限，還有日常活動期間一些規(guī)則是處理權(quán)限的。Windows 2000操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪問控制。2.3.6 防火墻技術(shù)

防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。它是計算機網(wǎng)絡(luò)安全的第一道關(guān)卡。防火墻概述

隨著Internet的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多;同時由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng)絡(luò)安全問題越來越突出。因此，保護網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播感染 4 顯得尤為重要。就目前而言，對于局部網(wǎng)絡(luò)的保護，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過濾、應(yīng)用代理、狀態(tài)檢測三類。其中包過濾作為最早發(fā)展起來的一種技術(shù)，其應(yīng)用非常廣泛。3.1 防火墻的概念

防火墻的本義原是指古代人們房屋之間修建的那道墻，這道墻可以防止火災(zāi)發(fā)生的時候蔓延到別的房屋。而這里所說的防火墻當(dāng)然不是指物理上的防火墻，而是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施的總稱。它對網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包依照一定的安全策略進行檢查，以決定通信是否被允許，對外屏蔽內(nèi)部網(wǎng)絡(luò)的信息、結(jié)構(gòu)和運行狀況，并提供單一的安全和審計的安裝控制點，從而達到保護內(nèi)部網(wǎng)絡(luò)的信息不被外部非授權(quán)用戶訪問和過濾不良信息的目的[1]。3.2 防火墻的主要功能 3.2.1 強化網(wǎng)絡(luò)安全策略

在沒有防火墻的環(huán)境里，網(wǎng)絡(luò)安全管理是分散到每一個主機上的，所有主機必須同心協(xié)力才能維持網(wǎng)絡(luò)的安全性。而防火墻能夠?qū)崿F(xiàn)集中安全管理，可以將所有安全軟件配置在防火墻上，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機上。3.2.2 對輸入進行篩選

防火墻可以通過對傳入數(shù)據(jù)包的源地址、目標地址及其他信息的檢查，確定是否允許通過。只有滿足防火墻配置規(guī)則的數(shù)據(jù)包才能通過防火墻，否則阻止數(shù)據(jù)包的傳人。

3.2.3 防止內(nèi)部信息的外泄

通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)中重點網(wǎng)段的隔離，限制內(nèi)部網(wǎng)絡(luò)中不同部門之間互相訪問，從而保障了網(wǎng)絡(luò)內(nèi)部敏感數(shù)據(jù)的安全。3.2.4 限制內(nèi)部用戶活動

防火墻通過用戶身份認證來確定合法用戶。防火墻通過事先確定的完全檢查策略，來決定內(nèi)部用戶可以使用哪些服務(wù)，可以訪問哪些網(wǎng)站。3.2.5 網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT，Network Address Translation)

內(nèi)部網(wǎng)主機經(jīng)常要訪問Internet，而NAT可以將內(nèi)部網(wǎng)的專用地址轉(zhuǎn)換成Internet地址。這樣可以掩藏服務(wù)器的真正IP地址，起到一定的隔離作用，使內(nèi)部網(wǎng)絡(luò)用戶不被暴露在外部網(wǎng)絡(luò)中。此外防火墻可以作為部署NAT的邏輯地址，因此防火墻可以用來緩解地址空間短缺的問題，并消除機構(gòu)在變換ISP時帶來的重新編址的麻煩。

3.2.6 對網(wǎng)絡(luò)使用情況進行記錄監(jiān)控

防火墻能夠記錄所有經(jīng)過防火墻的訪問并形成完整的日志，提供有關(guān)網(wǎng)絡(luò)使 5 用情況的統(tǒng)計數(shù)據(jù)。當(dāng)網(wǎng)絡(luò)受到掃描或攻擊等可疑活動時，防火墻能進行報警，并提供詳細信息。

3.3 防火墻的分類及工作原理

國際計算機安全委員會ICSA將防火墻分成三大類:包過濾防火墻，應(yīng)用級代理服務(wù)器[3]以及狀態(tài)包檢測防火墻。3.3.1 包過濾防火墻

包過濾防火墻[4]就是把接收到的每個數(shù)據(jù)包同預(yù)先設(shè)定的包過濾規(guī)則相比較，從而決定是否阻塞或通過。包過濾防火墻工作在網(wǎng)絡(luò)層，通過對每個IP包的源地址、目的地址、傳輸協(xié)議等信息與事先設(shè)置的安全規(guī)則進行比較，如果滿足安全規(guī)則定義的IP包則通過，如果不符合安全規(guī)則定義的IP包則被排除。3.3.2 應(yīng)用代理防火墻

它是針對數(shù)據(jù)包過濾[5]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。應(yīng)用代理型防火墻設(shè)置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，當(dāng)用戶訪問目的站點時，對于符合安全規(guī)則的連接，首先用戶與代理服務(wù)器建立連接，應(yīng)用代理型防火墻將會代替目的站點進行響應(yīng)，并重新向目的站點發(fā)出一個同樣的請求。代理系統(tǒng)實際上是用戶和真實服務(wù)器之間的中介。3.3.3 狀態(tài)包檢測防火墻

狀態(tài)檢測又稱動態(tài)包過濾，是為了解決包過濾模式安全性不足的問題，在包過濾技術(shù)的基礎(chǔ)上，采用了一個執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎——檢測模塊。當(dāng)建立連接時，狀態(tài)檢測檢查預(yù)選設(shè)定的安全規(guī)則，符合規(guī)則的連接允許通過，并記錄下該連接的相關(guān)信息，動態(tài)保存生成狀態(tài)表。對該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過。3.4 防火墻的主要技術(shù)優(yōu)缺點分析

如上文所述，防火墻技術(shù)主要有：包過濾技術(shù)、應(yīng)用代理技術(shù)、狀態(tài)檢測技術(shù)。

3.4.1 包過濾技術(shù)

優(yōu)點：包過濾防火墻因為工作在網(wǎng)絡(luò)層，因此處理包的速度快；此外它提供透明服務(wù)，即不需要用戶名和密碼來登錄，用戶不用改變客戶端程序。

缺點：網(wǎng)絡(luò)層在OSI體系中處于較低的層次，因而安全防護也是較低級；不能徹底防止地址欺騙，一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾，正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略，不能防范黑客攻擊，不支持應(yīng)用層協(xié)議，不能處理新的安全威脅。3.4.2 應(yīng)用代理技術(shù)

優(yōu)點：應(yīng)用代理型防火墻工作在0SI體系的最高層——應(yīng)用層，安全級別高于包過濾型防火墻；應(yīng)用代理型防火墻對用戶而言是透明的，而對外部網(wǎng)絡(luò)卻隱藏了內(nèi)部IP地址，可以保護內(nèi)部主機不受外部攻擊；代理系統(tǒng)可以控制戶機和服務(wù)器之間的流量，并對此加以記錄，提供詳細的日志。

缺點：代理速度較路由器慢，代理對用戶不透明，對于每項服務(wù)代理可能要求不同的服務(wù)器；代理服務(wù)不能保證你免受所有協(xié)議弱點的限制，代理不能改進底層協(xié)議的安全性。3.4.3 狀態(tài)檢測技術(shù)

優(yōu)點：配置了“專用檢測模塊”，它可以支持多種協(xié)議和應(yīng)用程序，可以很容易地實現(xiàn)應(yīng)用和服務(wù)的擴充；安全性更佳。

缺點：配置復(fù)雜，因而降低了網(wǎng)絡(luò)的速度。防火墻的缺陷及未來發(fā)展趨勢

4.1 防火墻的十大缺陷

防火墻在網(wǎng)絡(luò)安全防護中起著舉足輕重的作用，但它并不是萬能的，它仍然存在一定的局限性和不足?？傮w說來，存在十大方面的缺陷：

(1)防火墻不能防范不經(jīng)過它的攻擊。沒有經(jīng)過防火墻的數(shù)據(jù)，不能防范。(2)防火墻不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題。防火墻只對來自外部網(wǎng)絡(luò)的數(shù)據(jù)進行檢測，以保護內(nèi)部網(wǎng)絡(luò)；而對于內(nèi)部網(wǎng)絡(luò)中的用戶威脅，防火墻是無能為力的。

(3)防火墻不能防止TCP/IP協(xié)議、服務(wù)器系統(tǒng)的缺陷進行的攻擊。TCP/IP的缺陷和服務(wù)器系統(tǒng)漏洞是天然存在的，防火墻不能防止。

(4)防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。當(dāng)有些表面看起來無害的數(shù)據(jù)或郵件拷貝到內(nèi)部的主機上進行執(zhí)行時，可能引發(fā)數(shù)據(jù)驅(qū)動式的攻擊。

(5)不能有效防范加密信息。防火墻只能識別與其數(shù)據(jù)庫中已有的特征數(shù)據(jù)匹配的信息，如果攻擊者將惡意代碼或攻擊指令轉(zhuǎn)換成其他形式隱藏起來，這種加密后的代碼，只要成功避開防火墻數(shù)據(jù)庫中的特征匹配，就能成功通過防火墻。

(6)防火墻的檢測功能是有限的。對于所有網(wǎng)絡(luò)和應(yīng)用程序流量的檢測，需要有空前的處理能力才能保證這些任務(wù)的完成，為了獲得高性能，就必然要求使用高端硬件，就目前而言，要完成這種深度檢測仍是十分困難的。

(7)防火墻不能防范受到病毒感染的文件、軟件。防火墻本身并不具有病毒的查殺功能，即使有，也不能查殺所有的病毒。

(8)防火墻是一種被動的防范手段，它只能對已知的網(wǎng)絡(luò)威脅起作用，對于新的未知的網(wǎng)絡(luò)攻擊防火墻是很難防范的。

7(9)防火墻的安全性和實用性成反比。防火墻越安全，則功能也就越少，速度也就越慢，防火墻的安全性和實用性將在一定的時間內(nèi)是一對主要矛盾。

(10)防火墻不能防止自身的安全漏洞的威脅。目前還沒有廠商能夠保證防火墻絕對不存在安全漏洞，防火墻能保護別人卻不能保護自己，因此對防火墻也必須進行安全防護。

4.2 關(guān)于防火墻未來發(fā)展的五點設(shè)想

既然防火墻存在缺陷在所難免，那么網(wǎng)絡(luò)安全又該如何保證呢？對防火墻技術(shù)研究的道路究竟該何去何從呢？在此，提出以下設(shè)想：

(1)形成以防火墻為核心的計算機網(wǎng)絡(luò)安全體系。到目前為止，防火墻技術(shù)仍然是應(yīng)用最廣泛的計算機網(wǎng)絡(luò)安全防護技術(shù)，防火墻的重要性不能替代，所以在相當(dāng)長的一段時間內(nèi)，防火墻是計算機網(wǎng)絡(luò)安全的核心。但是，要想最大程度地保護網(wǎng)絡(luò)安全，僅憑防火墻技術(shù)單方面的作用是不可行的，還必須借助其他手段，構(gòu)建以防火墻為核心，多個安全系統(tǒng)協(xié)作配合的計算機網(wǎng)絡(luò)安全體系。

(2)防火墻硬件技術(shù)架構(gòu)上的發(fā)展趨勢。目前防火墻正逐步地向基于網(wǎng)絡(luò)處理器和ASIC芯片的技術(shù)架構(gòu)方向發(fā)展。網(wǎng)絡(luò)處理器由于內(nèi)含有多個數(shù)據(jù)處理引擎，能夠直接完成網(wǎng)絡(luò)數(shù)據(jù)處理工作，減輕了CPU的負擔(dān)，在性能上有很大的提升；ASIC芯片有專門的數(shù)據(jù)包處理流水線，可以獲得很高的處理能力。

(3)智能技術(shù)的進一步發(fā)展。目前的防火墻只是識別一些已知的攻擊行為，對于未知的攻擊或未列出的攻擊防火墻顯得有些無能為力，因此智能化是將來的發(fā)展趨勢，能自動識別并防御黑客的各種手法及相應(yīng)的變種。

(4)分布式技術(shù)的進一步發(fā)展。分布式技術(shù)將是未來的趨勢。多臺物理防火墻協(xié)同工作，共同組織成一個強大的、具備并行處理能力、負載均衡能力的邏輯防火墻，不僅保證了在大型網(wǎng)絡(luò)安全策略的一致，而且集中管理大大降低了經(jīng)濟、人力及管理成本。

(5)經(jīng)濟高效的發(fā)展趨勢。防火墻要防止各種網(wǎng)絡(luò)的攻擊，其性能勢必會下降。安全性和實用性是一對主要矛盾，要找到網(wǎng)絡(luò)安全性與實用性之間的平衡點是防火墻未來發(fā)展面臨的問題。經(jīng)濟高效的防火墻將是未來研究的方向。

結(jié)束語

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全正面臨著越來越大的威脅。防火墻至關(guān)重要，但它并不是萬能的，在專業(yè)黑客和一些非法入侵者面前，防火墻也很無奈。我們除了設(shè)好防火墻這第一道關(guān)卡外，還應(yīng)當(dāng)借助其他安全防御手段一起來保護網(wǎng)絡(luò)的安全。參考文獻：

[1]StevenMBellovin,WilliamRCheswick.NetworkFierwalls[J].IEEECommunications.1994.g:50-57.[2] 鄭林.防火墻原理入門[Z].E企業(yè).2000.[3] 王衛(wèi)平，陳文惠，朱衛(wèi)未.防火墻技術(shù)分析.信息安全與通信保密.2006，(8):24一27.[4]A.Feldman,S.Muthukrishnan.Tradeoffs for Packet ClassifiCation.Proc.Of the 9th Annual Joint Conference of the IEEE Computer and Communieations Soeieties.2000,vo1.3,1193-1201.[5] 王永綱，石江濤，戴雪龍，顏天信.網(wǎng)絡(luò)包分類算法仿真測試與比較研究.中國科學(xué)技術(shù)大學(xué)學(xué)報.2004，34(4):400一409.致 謝

本文是在蒲老師的悉心指導(dǎo)下完成的，從文獻的查閱、論文的選題、撰寫、修改、定稿，蒲老師給子了我很大的幫助。在此一并向所有幫助和關(guān)心過我的老師和朋友，表示真摯的感謝！

第五篇：防火墻技術(shù)論文

【摘要】

21世紀全世界的計算機都將通過Internet聯(lián)到一起，Internet的迅速發(fā)展給現(xiàn)代人的生產(chǎn)和生活都帶來了前所未有的飛躍，大大提高了工作效率，豐富了人們的生活，彌補了人們的精神空缺。網(wǎng)絡(luò)技術(shù)在近幾年的時間有了非常大的發(fā)展，經(jīng)歷了從無到有，從有到快；網(wǎng)上信息資源也是從醫(yī)乏到豐富多彩，應(yīng)有盡有。但隨著網(wǎng)絡(luò)速度越來越快，資源越來越豐富，與此同時也給人們帶來了一個日益嚴峻的問題———網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)的安全性成為當(dāng)今最熱門的話題之一，而且網(wǎng)絡(luò)安全防范對我們校園網(wǎng)的正常運行來講也顯得十分重要?，F(xiàn)在各種網(wǎng)絡(luò)安全技術(shù)如防火墻技術(shù)、IDS、加密技術(shù)和防黑防病毒技術(shù)等也不斷的出現(xiàn)，內(nèi)容十分廣泛。而其中防火墻技術(shù)在網(wǎng)絡(luò)安全技術(shù)當(dāng)中又是最簡單，也是最有效的解決方案。很多企業(yè)為了保障自身服務(wù)器或數(shù)據(jù)安全都采用了防火墻。隨著科技的發(fā)展，防火墻也逐漸被大眾所接受。但是，由于防火墻是屬于高科技產(chǎn)物，許多的人對此還并不是了解的十分透徹。

本文在簡要論述防火墻的基本分類、工作方式等的基礎(chǔ)上，對防火墻的優(yōu)缺點以及局限性進行了說明，也簡述了防火墻技術(shù)在校園網(wǎng)中的應(yīng)用，并對其的發(fā)展趨勢作簡單展望。

【關(guān)鍵詞】

網(wǎng)絡(luò)安全 防火墻 發(fā)展

防火墻

1.1 防火墻的概念

所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)（Security Gateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成。

防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件或硬件(其中硬件防火墻用的較少，例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。

防火墻，英語為firewall，《英漢證券投資詞典》的解釋為：金融機構(gòu)內(nèi)部將銀行業(yè)務(wù)與證券業(yè)務(wù)嚴格區(qū)分開來的法律屏障，旨在防止可能出現(xiàn)的內(nèi)幕消息共享等不公平交易出現(xiàn)。使用防火墻比喻不要引火燒身。

當(dāng)然，既然打算由淺入深的來了解，就要先看看防火墻的概念了。防火墻是汽車中一個部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護乘客安全，而同時還能讓司機繼續(xù)控制引擎。在電腦術(shù)語中，當(dāng)然就不是這個意思了，我們可以類比來理解，在網(wǎng)絡(luò)中，所謂“防火墻”，顧名思義，是一種隔離設(shè)備。防火墻是一種高級訪問控制設(shè)備，臵于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域之間通信流的唯一

通道，能根據(jù)用戶有關(guān)的安全策略控制進出網(wǎng)絡(luò)的訪問行為。從專業(yè)角度講，防火墻是位于兩個或多個網(wǎng)絡(luò)間，實施網(wǎng)絡(luò)訪問控制的組件集合。從用戶角度講，防火墻就是被放臵在用戶計算機與外網(wǎng)之間的防御體系，網(wǎng)絡(luò)發(fā)往用戶計算機的所有數(shù)據(jù)都要經(jīng)過其判斷處理，才決定能否將數(shù)據(jù)交給計算機，一旦發(fā)現(xiàn)數(shù)據(jù)異?；蛴泻?，防火墻就會將數(shù)據(jù)攔截，從而實現(xiàn)對計算機的保護。防火墻是網(wǎng)絡(luò)安全策略的組成部分，它只是一個保護裝臵，通過監(jiān)測和控制網(wǎng)絡(luò)間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理，其主要目的就是保護內(nèi)部網(wǎng)絡(luò)的安全。

1.2 防火墻的功能

（1）訪問控制：

■ 限制未經(jīng)授權(quán)的用戶訪問本企業(yè)的網(wǎng)絡(luò)和信息資源的措施，訪問者必需要能適用現(xiàn)行所有的服務(wù)和應(yīng)用。網(wǎng)絡(luò)衛(wèi)士防火墻支持多種應(yīng)用、服務(wù)和協(xié)議，支持所有的internet服務(wù)，包括安全的web瀏覽器、電子郵件、ftp、telnet及rpc和udp等，還支持如oracle、sybase、sql服務(wù)器數(shù)據(jù)庫訪問和real audio，vodlive、netmeeting和internet phone等這樣的多媒體應(yīng)用及internet廣播服務(wù)。

■ 提供基于狀態(tài)檢測技術(shù)的ip地址、端口、用戶和時間的管理控制； ■ 訪問控制對象的多種定義方式支持多種方式定義訪問控制對象: ip/mask(如202.100.100.0/24)，ip區(qū)間(如202.100.100.1-202.100.100.254)，ip/mask與通配符，ip區(qū)間與通配符等，使配臵防火墻的安全策略極為方便。

■ 高效的url和文件級細粒度應(yīng)用層管理控制；應(yīng)用層安全控制策略主要針對常用的網(wǎng)絡(luò)應(yīng)用協(xié)議http和ftp，控制策略可以實現(xiàn)定義訪問源對象到目標對象間的常用協(xié)議命令通過防火墻的權(quán)限，源對象可以是網(wǎng)段、主機。http和ftp的協(xié)議端口用戶可根據(jù)實際情況在策略中定義，協(xié)議命令為http和ftp的主要常用命令。通過應(yīng)用層策略實現(xiàn)了url和文件級的訪問控制。

■ 雙向nat，提供ip地址轉(zhuǎn)換和ip及tcp/udp端口映射，實現(xiàn)ip復(fù)用和隱藏網(wǎng)絡(luò)結(jié)構(gòu)：nat在ip層上通過地址轉(zhuǎn)換提供ip復(fù)用功能，解決ip地址不足的問題，同時隱藏了內(nèi)部網(wǎng)的結(jié)構(gòu)，強化了內(nèi)部網(wǎng)的安全。網(wǎng)絡(luò)衛(wèi)士防火墻提供了nat功能，并可根據(jù)用戶需要靈活配臵。當(dāng)內(nèi)部網(wǎng)用戶需要對外訪問時，防火墻系統(tǒng)將訪問主體轉(zhuǎn)化為自己，并將結(jié)果透明地返回用戶，相當(dāng)于一個ip層代理。防火墻的地址轉(zhuǎn)換是基于安全控制策略的轉(zhuǎn)換，可以針對具體的通信事件進行地址轉(zhuǎn)換。internet用戶訪問對內(nèi)部網(wǎng)絡(luò)中具有保留ip主機的訪問，可以利用反向nat實現(xiàn)，即為內(nèi)部網(wǎng)絡(luò)主機在防火墻上映射一注冊ip地址，這樣internet 用戶就可以通過防火墻系統(tǒng)訪問主機了。映射類型可以為ip級和端口級。端口映射

■阻止activex、java、javascript等侵入：屬于http內(nèi)容過濾，防火墻能夠從http頁面剝離activex、javaapplet等小程序及從script、php和asp等代碼檢測出危險的代碼，同時，能夠過濾用戶上載的cgi、asp等程序。

■ 提供實時監(jiān)控、審計和告警功能：網(wǎng)絡(luò)衛(wèi)士防火墻提供對網(wǎng)絡(luò)的實時監(jiān)控，當(dāng)發(fā)現(xiàn)攻擊和危險行為時，防火墻提供告警等功能。

■ 可擴展支持第三方ids入侵檢測系統(tǒng)，實現(xiàn)協(xié)同工作：網(wǎng)絡(luò)衛(wèi)士防火墻支持topsec協(xié)議，可與第三方ids產(chǎn)品實現(xiàn)無縫集成，協(xié)同工作。

（3）用戶認證

因為企業(yè)網(wǎng)絡(luò)為本地用戶、移動用戶和各種遠程用戶提供信息資源，所以為了保護網(wǎng)絡(luò)和信息安全，必須對訪問連接用戶采用有效的權(quán)限控制和身份識別，以確保系統(tǒng)安全。

■ 提供高安全強度的一次性口令(otp)用戶認證：一次性口令認證機制是高強度的認證機制，能極大地提高了訪問控制的安全性，有效阻止非授權(quán)用戶進入網(wǎng)絡(luò)，保證網(wǎng)絡(luò)系統(tǒng)的合法使用。一次性口令用戶認證的基本過程是：首先用戶向防火墻發(fā)送身份認證請求，并指明自己的用戶名，防火墻收到請求后，向用戶提出挑戰(zhàn)及同步信息，用戶收到此信息后，結(jié)合自己的口令，產(chǎn)生一次性口令并發(fā)送給防火墻，防火墻判斷用戶答復(fù)是否正確以鑒別用戶的合法性，為防止口令猜測，如果用戶連續(xù)三次認證失敗則在一定時間內(nèi)禁止該用戶認證。由于采用一次性的口令認證機制，即使竊聽者在網(wǎng)絡(luò)上截取到口令，由于該口令的有效期僅為一次，故也無法再利用這個口令進行認證鑒別。在實際應(yīng)用中，用戶采用一次性口令登錄程序登陸時，防火墻向用戶提供一個種子及同步次數(shù)，登錄程序根據(jù)用戶輸入的口令、種子、同步次數(shù)計算出一次性口令并傳給防火墻.用戶可以在不同的服務(wù)器上使用不同的種子而口令相同，每次在網(wǎng)絡(luò)上傳輸?shù)目诹钜膊煌脩艨梢远ㄆ诟淖兎N子來達到更高的安全目標.■ 可擴展支持第三方認證和支持智能ic卡、ikey等硬件方式認證：網(wǎng)絡(luò)衛(wèi)士防火墻有很好的擴展性，可擴展支持radius等認證，提供撥號用戶等安全訪問。也可通過擴展支持支持職能ic卡、ikey等硬件方式認證。

（4）安全管理

■ 提供基于otp機制的管理員認證。

■ 提供分權(quán)管理安全機制；提供管理員和審計員分權(quán)管理的安全機制，保證安全產(chǎn)品的安全管理。

過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會受到很大地影響；由于缺少上下文關(guān)聯(lián)信息，不能有效地過濾如UDP、RPC（遠程過程調(diào)用）一類的協(xié)議；另外，大多數(shù)過濾器中缺少審計和報警機制，它只能依據(jù)包頭信息，而不能對用戶身份進行驗證，很容易受到“地址欺騙型”攻擊。對安全管理人員素質(zhì)要求高，建立安全規(guī)則時，必須對協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此，過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)。

■ 應(yīng)用代理（Application Proxy）型

應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。

在代理型防火墻技術(shù)的發(fā)展過程中，它也經(jīng)歷了兩個不同的版本：第一代應(yīng)用網(wǎng)關(guān)型代理防火和第二代自適應(yīng)代理防火墻。

代理類型防火墻的最突出的優(yōu)點就是安全。由于它工作于最高層，所以它可以對網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進行篩選保護，而不是像包過濾那樣，只是對網(wǎng)絡(luò)層的數(shù)據(jù)進行過濾。

另外代理型防火墻采取是一種代理機制，它可以為每一種應(yīng)用服務(wù)建立一個專門的代理，所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的，而都需先經(jīng)過代理服務(wù)器審核，通過后再由代理服務(wù)器代為連接，根本沒有給內(nèi)、外部網(wǎng)絡(luò)計算機任何直接會話的機會，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。

代理防火墻的最大缺點是速度相對比較慢，當(dāng)用戶對內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時，代理防火墻就會成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因為防火墻需要為不同的網(wǎng)絡(luò)服務(wù)建立專門的代理服務(wù)，在自己的代理程序為內(nèi)、外部網(wǎng)絡(luò)用戶建立連接時需要時間，所以給系統(tǒng)性能帶來了一些負面影響，但通常不會很明顯。

（3）從防火墻結(jié)構(gòu)上分類

從防火墻結(jié)構(gòu)上分，防火墻主要有：單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。

單一主機防火墻是最為傳統(tǒng)的防火墻，獨立于其它網(wǎng)絡(luò)設(shè)備，它位于網(wǎng)絡(luò)邊界。

0

信進行過濾。它屬于最新的防火墻技術(shù)之一，性能最好，價格也最貴。

（5）按防火墻性能分類

按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。

因為防火墻通常位于網(wǎng)絡(luò)邊界，所以不可能只是十兆級的。這主要是指防火的通道帶寬（Bandwidth），或者說是吞吐率。當(dāng)然通道帶寬越寬，性能越高，這樣的防火墻因包過濾或應(yīng)用代理所產(chǎn)生的延時也越小，對整個網(wǎng)絡(luò)通信性能的影響也就越小。

雖然防火墻是目前保護網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。

1.4 各類防火墻的優(yōu)缺點

（1）包過濾防火墻

使用包過濾防火墻的優(yōu)點包括：

■ 防火墻對每條傳入和傳出網(wǎng)絡(luò)的包實行低水平控制。

■ 每個IP包的字段都被檢查，例如源地址、目的地址、協(xié)議、端口等。防火墻將基于這些信息應(yīng)用過濾規(guī)則。

■ 防火墻可以識別和丟棄帶欺騙性源IP地址的包。

■ 包過濾防火墻是兩個網(wǎng)絡(luò)之間訪問的唯一來源。因為所有的通信必須通過防火墻，繞過是困難的。

■ 包過濾通常被包含在路由器數(shù)據(jù)包中，所以不必額外的系統(tǒng)來處理這個特征。

使用包過濾防火墻的缺點包括：

■ 配臵困難。因為包過濾防火墻很復(fù)雜，人們經(jīng)常會忽略建立一些必要的規(guī)則，或者錯誤配臵了已有的規(guī)則，在防火墻上留下漏洞。然而，在市場上，許多新版本的防火墻對這個缺點正在作改進，如開發(fā)者實現(xiàn)了基于圖形化用戶界面(GUI)的配臵和更直接的規(guī)則定義。

■ 為特定服務(wù)開放的端口存在著危險，可能會被用于其他傳輸。例如，Web服務(wù)器默認端口為80，而計算機上又安裝了RealPlayer，那么它會搜尋可以允許連接到RealAudio服務(wù)器的端口，而不管這個端口是否被其他協(xié)議所使用，RealPlayer正好是使用80端口而搜尋的。就這樣無意中，RealPlayer就利用了Web服務(wù)器的端口。

■ 可能還有其他方法繞過防火墻進入網(wǎng)絡(luò)，例如撥入連接。但這個并不是

213

也不要忘記了防火墻內(nèi)的安全保障。

其次，防火墻技術(shù)的另外一個顯著不足是無法有效地應(yīng)付病毒。當(dāng)網(wǎng)絡(luò)內(nèi)的用戶在訪問外網(wǎng)中的含有病毒的數(shù)據(jù)時，防火墻無法區(qū)分帶毒數(shù)據(jù)與正常數(shù)據(jù)，內(nèi)部網(wǎng)絡(luò)隨時都有受到病毒危害的可能，防火墻技術(shù)的這個缺點給網(wǎng)絡(luò)帶來很大的隱患。

另外，由于防火墻技術(shù)的自身不斷發(fā)展，其自身問題和漏洞也使其具有局限性。防火墻本身作為一個獨立的系統(tǒng)，其軟、硬件在發(fā)展過程中必然也有其自己的bug和漏洞，所以各種故障和因漏洞所遭受的各種攻擊也不可避免。防火墻的技術(shù)原理與殺毒軟件類似：先出現(xiàn)病毒，殺毒軟件獲得病毒的特征碼，將其加入到病毒庫內(nèi)來實現(xiàn)查殺。防火墻的防御、檢測策略，也是在發(fā)生攻擊行為后分析其特征而設(shè)臵的。如果出現(xiàn)新的未知攻擊行為，防火墻也將束手無策。

最后，防火墻的檢測機制容易造成擁塞以及溢出現(xiàn)象。由于防火墻需要處理每一個通過它的數(shù)據(jù)包，所以當(dāng)數(shù)據(jù)流量較大時，容易導(dǎo)致數(shù)據(jù)擁塞，影響整個網(wǎng)絡(luò)性能。嚴重時，如果發(fā)生溢出，就像大壩決堤一般，無法阻擋，任何數(shù)據(jù)都可以來去自由了，防火墻也就不再起任何作用。

1.6 防火墻的未來發(fā)展趨勢

盡管羅列了這么多防火墻技術(shù)的局限性，但防火墻在網(wǎng)絡(luò)安全中所扮演的重要角色是不可撼動的。未來的防火墻發(fā)展朝高速、多功能化、更安全的方向發(fā)展。

實現(xiàn)高速防火墻，可以應(yīng)用ASIC硬件加速技術(shù)、FPGA和網(wǎng)絡(luò)處理器等方法。其中以采用網(wǎng)絡(luò)處理器最好，因為網(wǎng)絡(luò)處理器采用微碼編程，可以根據(jù)需要隨時升級，甚至可以支持IPv6；并且網(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元，通過算法也比較容易實現(xiàn)高速。防火墻將會集成更多的網(wǎng)絡(luò)安全功能，入侵檢測、防病毒、防御拒絕服務(wù)攻擊等安全技術(shù)都可以模塊形式安裝到防火墻的機箱內(nèi)。既節(jié)省寶貴的機柜空間，又能為企業(yè)節(jié)約一部分安全支出，更主要的是可以實現(xiàn)網(wǎng)絡(luò)安全設(shè)備之間的聯(lián)動。防火墻將會更加的行業(yè)化。

任何一種防火墻只是為內(nèi)部網(wǎng)絡(luò)提供安全保障，但網(wǎng)絡(luò)安全不能完全依賴于防火墻，還需要加強內(nèi)部的安全管理，完善安全管理制度，提高用戶的安全意識，從而形成全方位的安全防御體系。防火墻技術(shù)在校園網(wǎng)中的應(yīng)用

隨著高校信息化進程的推進，學(xué)院校園網(wǎng)上運行的應(yīng)用系統(tǒng)越來越多，信息

51617