第一篇：企業(yè)內(nèi)部網(wǎng)中防火墻技術(shù)的應(yīng)用于發(fā)展

企業(yè)內(nèi)部網(wǎng)中防火墻技術(shù)的應(yīng)用于發(fā)展

摘要：

隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，在帶來了前所未有的海量信息的同時，網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信心和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡(luò)信息的安全性變得日益重要起來，已被信息社會的各個領(lǐng)域所重視。正是因為安全威脅的無處不在，為了解決這個問題防火墻出現(xiàn)了。防火墻是網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)，是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。在IT安全領(lǐng)域，防火墻是一個重要的角色，通常被部署在企業(yè)網(wǎng)絡(luò)和外部互聯(lián)網(wǎng)中間，來保護(hù)企業(yè)網(wǎng)中的計算機(jī)、應(yīng)用程序和其它資源免遭外部攻擊。本文對防火墻的概念、保護(hù)對象、保護(hù)功能的實現(xiàn)、分類、如何選購和使用防火墻以及防火墻的發(fā)展做了簡單的概述。關(guān)鍵字：防火墻 企業(yè)內(nèi)部網(wǎng) 應(yīng)用 發(fā)展

一．防火墻的概念

防火墻（Firewall）在網(wǎng)絡(luò)中是一個邏輯裝置，用來保護(hù)內(nèi)部的網(wǎng)絡(luò)不受來自Internet的侵害。嚴(yán)格意義的防火墻，就是一個或一組系統(tǒng)，用來在兩個或多個網(wǎng)絡(luò)間加強訪問控制。它的目的在于把那些不信任的網(wǎng)絡(luò)隔離在特定的網(wǎng)絡(luò)之外，但又不影響正常工作。其核心思想就是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。

二．防火墻的保護(hù)對象以及如何實現(xiàn)保護(hù)功能

從廣義上講，防火墻保護(hù)的是企業(yè)內(nèi)部網(wǎng)絡(luò)信息的安全，比如防止銀行服務(wù)器用戶賬號信息、政府部門的保密信息、部隊中的作戰(zhàn)計劃和戰(zhàn)略等重要信息的泄漏。從狹義上講，防火墻保護(hù)的是企業(yè)內(nèi)部網(wǎng)絡(luò)中各個電腦的安全，防止計算機(jī)受到來自企業(yè)外部非安全網(wǎng)絡(luò)中的所有惡意訪問或攻擊行為。防火墻實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的保護(hù)功能是通過將內(nèi)外網(wǎng)絡(luò)進(jìn)行物理隔離來實現(xiàn)的，然后根據(jù)預(yù)先定制的安全策略控制通過防火墻的訪問行為，從而達(dá)到對企業(yè)內(nèi)部網(wǎng)絡(luò)訪問的有效控制。防火墻通常有兩種工作模式：網(wǎng)橋模式和路由模式。

如果防火墻安裝在企業(yè)內(nèi)網(wǎng)與因特網(wǎng)之間作為安全屏障，最好選擇路由模式，在該模式下可以使用防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換功能和代理功能，充分保護(hù)企業(yè)網(wǎng)絡(luò)免受來自互聯(lián)網(wǎng)的攻擊。如果需要保護(hù)同一子網(wǎng)上不同區(qū)域（部門）的主機(jī)，可選擇網(wǎng)橋模式，這時，原來的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)無須做任何改變。比如，企業(yè)的財務(wù)部是企業(yè)重要部門，即使內(nèi)部員工也不允許隨便訪問，因此，需要特別的保護(hù)。但企業(yè)網(wǎng)絡(luò)已經(jīng)建成，相應(yīng)改造會帶來許多工作。此時，就可以選擇防火墻的網(wǎng)橋工作模式，既不用改造企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)，也可以在沒有經(jīng)過防火墻授權(quán)的情況下，禁止非法人員訪問財務(wù)部的主機(jī)。如此一來，起到了局部信息保密和保護(hù)的效果。

其實，對內(nèi)外網(wǎng)之間通過防火墻的的不當(dāng)訪問行為，防火墻都是非常敏感的。即使是內(nèi)部員工，如果違反企業(yè)的安全策略，一樣會被防火墻及時的阻止并通告網(wǎng)絡(luò)管理員。比如具有MAC地址綁定功能的瑞星企業(yè)級防火墻RFW-100，它可將內(nèi)網(wǎng)每臺主機(jī)的IP地址與該主機(jī)上網(wǎng)卡的物理地址進(jìn)行一對一的綁定，能夠有效阻止用戶通過修改IP地址所進(jìn)行的非授權(quán)訪問。此外，防火墻還支持雙向網(wǎng)絡(luò)地址變換：源地址變換（SNAT）和目的地址變換（DNAT）。通過源地址變換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，從而提高了內(nèi)網(wǎng)的安全性；同時，通過源地址變換，可以節(jié)省IP地址資源（內(nèi)網(wǎng)主機(jī)可全部使用私有地址）。瑞星企業(yè)級防火墻RFW-100允許管理員定義一個時間范圍，使該條規(guī)則只在這一時間范圍內(nèi)起作用。通過這種控制機(jī)制，可以為企業(yè)提供更加靈活的配置策略，例如，可以定義規(guī)則只允許公司市場部員工和經(jīng)理在任何時間訪問因特網(wǎng)，而其他部門員工只允許在午休時間訪問互聯(lián)網(wǎng)。具有這項功能不僅為企業(yè)節(jié)省了一大筆的網(wǎng)絡(luò)接入費，而且也提高了內(nèi)網(wǎng)的安全防范能力 三．防火墻的分類

防火墻有很多種分類方法：依據(jù)采用的技術(shù)的不同，防火墻產(chǎn)品可分為軟件防火墻、硬件防火墻和軟硬一體化防火墻；按照應(yīng)用對象的不同，防火墻產(chǎn)品可分為企業(yè)級防火墻與個人防火墻；根據(jù)防御方式的不同，防火墻產(chǎn)品又可分為包過濾型（Packet Filtering）防火墻、應(yīng)用級網(wǎng)關(guān)型（Application Level Gateway）防火墻和代理服務(wù)型（Proxy Service）防火墻。

四．如何選購和使用防火墻產(chǎn)品 為了提高防火墻的安全性，用戶可以將防火墻和其他安全工具相結(jié)合，例如和漏洞掃描器與IDS搭配使用。購買防火墻前應(yīng)查看企業(yè)網(wǎng)是否安裝了漏洞掃描或IDS等其他安全產(chǎn)品，以及具體產(chǎn)品名稱和型號，然后確定所要購買的防火墻是否有聯(lián)動功能（即是否支持其他安全產(chǎn)品，尤其是IDS產(chǎn)品），支持哪些品牌和型號，是否與已有的安全產(chǎn)品名稱相符，如果不符，最好不要選用，而選擇能同已有安全產(chǎn)品聯(lián)動的防火墻。保護(hù)網(wǎng)絡(luò)安全不僅僅需要防火墻一種產(chǎn)品，只有將多種安全產(chǎn)品無縫地結(jié)合起來，充分利用它們各自的優(yōu)點，才能最大限度地保證網(wǎng)絡(luò)安全。

安全與入侵永遠(yuǎn)是一對矛盾。防火墻軟件作為一種安全工具，只有保持不斷地升級與更新才能應(yīng)付不斷發(fā)展的入侵手段，過時的防護(hù)盾牌是無法抵擋最先進(jìn)的長矛的。作為安全管理員來說，要與廠商保持密切的聯(lián)系，時刻注視廠商的動態(tài)，時刻留心廠家發(fā)布的升級包，及時給防火墻打上最新的補丁，對它進(jìn)行升級和維護(hù)，及時對防火墻進(jìn)行更新。

五．防火墻的發(fā)展

沒有人懷疑防火墻在企業(yè)所有的安全設(shè)備采購中占據(jù)第一的位置。但傳統(tǒng)的防火墻并沒有解決網(wǎng)絡(luò)主要的安全問題。目前網(wǎng)絡(luò)安全的三大主要問題是：以拒絕訪問(DDOS)為主要目的的網(wǎng)絡(luò)攻擊，以蠕蟲(Worm)為主要代表的病毒傳播，以垃圾電子郵件(SPAM)為代表的內(nèi)容控制。這三大安全問題覆蓋了網(wǎng)絡(luò)安全方面的絕大部分問題。而這三大問題，傳統(tǒng)的防火墻是無能為力的。原因有三，首先是傳統(tǒng)防火墻計算能力的限制。傳統(tǒng)的防火墻是以高強度的檢查為代價，檢查的強度越高，計算的代價越大。其次是傳統(tǒng)防火墻的訪問控制機(jī)制是一個簡單的過濾機(jī)制。它是一個簡單的條件過濾器，不具有智能功能，無法應(yīng)對復(fù)雜的攻擊。最后是傳統(tǒng)的防火墻無法區(qū)分識別善意和惡意的行為，該特征決定了傳統(tǒng)的防火墻無法解決惡意的攻擊行為。

新一代防火墻是應(yīng)該加強放行數(shù)據(jù)的安全性，因為網(wǎng)絡(luò)安全的真實需求是既要保證安全，也必須保證應(yīng)用的正常進(jìn)行。新一代防火墻既有包過濾的功能，又能在應(yīng)用層進(jìn)行代理。較傳統(tǒng)的防火墻來說，具有先進(jìn)的過濾和代理體系，能從數(shù)據(jù)鏈路層到應(yīng)用層進(jìn)行全方位安全處理，TCP/IP協(xié)議和代理的直接相互配合，使本系統(tǒng)的防欺騙能力和運行的健壯性都大大提高；除了訪問控制功能外，新一代的防火墻應(yīng)當(dāng)還集成了其它許多安全技術(shù)，如NAT和VPN、病毒防護(hù)等。

結(jié)束語:一個計算機(jī)網(wǎng)絡(luò)，從應(yīng)用層到網(wǎng)絡(luò)層直至物理層都存在安全問題。防火墻只是整個網(wǎng)絡(luò)安全防護(hù)體系的一部分，其他的防護(hù)措施和技術(shù)，如密碼技術(shù)、訪問技術(shù)、權(quán)限管理、病毒防治等，對網(wǎng)絡(luò)安全都相當(dāng)重要，也只有運用先進(jìn)認(rèn)證技術(shù)，并在網(wǎng)絡(luò)層上實施統(tǒng)一的端對端的數(shù)據(jù)流加密技術(shù)，同時結(jié)合防火墻技術(shù)進(jìn)行必要的內(nèi)容檢測、攻擊檢測，以及再結(jié)合其他一些手段，才能真正解決內(nèi)部網(wǎng)絡(luò)的安全問題，并最終提供一套一體化的解決方案。

雖然防火墻在保護(hù)網(wǎng)絡(luò)的安全上起著重要的作用，但并非有了防火墻就可以高枕無憂。防火墻需要經(jīng)常性的動態(tài)維護(hù)，并隨時關(guān)注網(wǎng)絡(luò)安全的新問題、新動向，及時采取相應(yīng)的預(yù)防措施，最大限度地保障網(wǎng)絡(luò)的安全。

防火墻安全測試技術(shù)、測試工具和軟件都在不斷發(fā)展，并越來越受到人們的重視。但是，日前由于測試水平及測試手段的限制，很難證明防火墻的安全保護(hù)能力是否滿足安全政策的需要。

未來防火墻技術(shù)會在全面考慮“網(wǎng)絡(luò)的安全”、“操作系統(tǒng)的安全”、“應(yīng)用程序的安全”、“用戶的安全”和“數(shù)據(jù)的安全”的基礎(chǔ)上，將它們結(jié)合起來，成為一種更新的信息安全產(chǎn)品。企業(yè)網(wǎng)絡(luò)安全是一個永遠(yuǎn)說不完的話題，今天企業(yè)網(wǎng)絡(luò)安全已被提到重要的議事日程。一個安全的網(wǎng)絡(luò)系統(tǒng)的保護(hù)不僅和系統(tǒng)管理員的系統(tǒng)安全知識有關(guān)，而且和領(lǐng)導(dǎo)的決策、工作環(huán)境中每個員工的安全操作等都有關(guān)系。網(wǎng)絡(luò)安全是動態(tài)的，新的Internet黑客站點、病毒與安全技術(shù)每日劇增。要永遠(yuǎn)保持在知識曲線的最高點，把握住企業(yè)網(wǎng)絡(luò)安全的大門，從而確保企業(yè)的順利成長。

第二篇：企業(yè)內(nèi)部網(wǎng)中防火墻的應(yīng)用與發(fā)展

防火墻從原理上主要有三種技術(shù):包過濾(Packet Filtering)技術(shù)、代理服務(wù)(Proxy Service)技術(shù)不和狀態(tài)檢測(State Inspection)技術(shù)。

3.1.1 包過濾（packet Filtering）技術(shù)

包過濾技術(shù)是一種簡單、有效的安全控制技術(shù)，它通過在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許、禁止來自某些特定的源地址、目的地址和TCP端口號等規(guī)則，對通過設(shè)備的數(shù)據(jù)包進(jìn)行檢查，限制數(shù)據(jù)包在內(nèi)部網(wǎng)絡(luò)的進(jìn)出。由于包過濾技術(shù)要求內(nèi)外通信的數(shù)據(jù)包必須通過使用這項技術(shù)的計算機(jī)，才能進(jìn)行過濾，因而，包過濾技術(shù)必須用在路由器上。它通常由包過濾路由器對IP包進(jìn)行選擇，允許或拒絕特定的包通過。包過濾技術(shù)具有數(shù)據(jù)包過濾對用戶透明、一個過濾路由器能協(xié)助保護(hù)整個網(wǎng)絡(luò)、過濾路由器速度快、效率高等優(yōu)點。

包過濾技術(shù)的缺點：配置訪問控制列表比較復(fù)雜，要求網(wǎng)絡(luò)管理員對Interne服務(wù)有深入了解，其性能隨訪問控制列表的長度的增加而呈指數(shù)下降，沒有跟蹤記錄能力，不能從日志記錄中發(fā)現(xiàn)黑客的攻擊記錄，不能在用戶級別上進(jìn)行過濾，即不能鑒別不同的用戶和防止IP地址盜用，只檢查地址和端口，對通過網(wǎng)絡(luò)應(yīng)用鏈路層協(xié)議實現(xiàn)的威脅無防范能力，無法抵御數(shù)據(jù)驅(qū)動型攻擊不能理解特定服務(wù)的上下文環(huán)境和數(shù)據(jù)包過濾防火墻技術(shù)雖然能實現(xiàn)定的安全保護(hù)，但有許多優(yōu)點，但是包過濾畢竟是第一代防火墻技術(shù)，本身存在較多缺陷，不能提供較高的安全性。在實際應(yīng)用中，很少把包過濾技術(shù)當(dāng)作單獨的安全解決力案，而是把它與其他防火墻技術(shù)結(jié)合在一起使用。

TCP/IP是一種端對端協(xié)議，每個網(wǎng)絡(luò)節(jié)點都具有唯一的地址。網(wǎng)絡(luò)節(jié)點的應(yīng)用層也是這樣，處于應(yīng)用層的每個應(yīng)用程序和服務(wù)都具有自己的對應(yīng)“地址”，也就是端口號。地址和端口都具備了才能建立客戶機(jī)和服務(wù)器的各種應(yīng)用之間的有效通信聯(lián)系。比如（如圖3-4），telnet服務(wù)器在端口23偵聽入站連接。同時telnet客戶機(jī)也有一個端口號，否則客戶機(jī)的IP棧怎么知道某個數(shù)據(jù)包是屬于哪個應(yīng)用程序的呢？ 由于歷史的原因，幾乎所有的TCP/IP客戶程序都使用大于1023的隨機(jī)分配端口號。只有UNIX計算機(jī)上的root用戶才可以訪問1024以下的端口，而這些端口還保留為服務(wù)器上的服務(wù)所用。所以，除非我們讓所有具有大于1023端口號的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)，否則各種網(wǎng)絡(luò)連接都沒法正常工作。

還有一種情況，你可以命令防火墻拒絕那臺PC機(jī)的信息，別人的數(shù)據(jù)包都讓過就它不行。這正是防火墻最基本的功能：根據(jù)IP地址做轉(zhuǎn)發(fā)判斷。但由于黑客們可以采用IP地址欺騙技術(shù)，偽裝成合法地址的計算機(jī)就可以穿越信任這個地址的防火墻了。不過根據(jù)地址的轉(zhuǎn)發(fā)決策機(jī)制還是最基本和必需的。另外要注意的一點是，不要用DNS主機(jī)名建立過濾表，對DNS的偽造比IP地址欺騙要容易多了。3.2.2.2 服務(wù)器TCP/UDP 端口過濾

僅僅依靠地址進(jìn)行數(shù)據(jù)過濾在實際運用中是不可行的，還有個原因就是目標(biāo)主機(jī)上往往運行著多種通信服務(wù)，比方說，我們不想讓用戶采用 telnet的方式連到系統(tǒng)，但這絕不等于我們非得同時禁止他們使用SMTP/POP郵件服務(wù)器吧？所以說，在地址之外我們還要對服務(wù)器的TCP/ UDP端口進(jìn)行過濾。

圖3-3 服務(wù)器的TCP/ UDP端口過濾

這對防火墻而言可就麻煩了，如果阻塞入站的全部端口，那么所有的客戶機(jī)都沒法使用網(wǎng)絡(luò)資源。因為服務(wù)器發(fā)出響應(yīng)外部連接請求的入站（就是進(jìn)入防火墻的意思）數(shù)據(jù)包都沒法經(jīng)過防火墻的入站過濾。反過來，打開所有高于1023的端口就可行了嗎？也不盡然。由于很多服務(wù)使用的端口都大于1023，比如X client、基于RPC的NFS服務(wù)以及為數(shù)眾多的非UNIX IP產(chǎn)品等（NetWare/IP）就是這樣的。那么讓達(dá)到1023端口標(biāo)準(zhǔn)的數(shù)據(jù)包都進(jìn)入網(wǎng)絡(luò)的話網(wǎng)絡(luò)還能說是安全的嗎？連這些客戶程序都不敢說自己是足夠安全的。

圖3-4 客戶端的TCP/ UDP端口過濾 3.2.2.4 雙向過濾

現(xiàn)在換個思路。我們給防火墻這樣下命令：已知服務(wù)的數(shù)據(jù)包可以進(jìn)來，其他的全部擋在防火墻之外。比如，如果我們知道用戶要訪問Web服務(wù)器，那就只讓具有源端口號80的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)：（如圖3-5）比如，（如圖3-3），默認(rèn)的telnet服務(wù)連接端口號是23。假如我們不許PC客戶機(jī)建立對UNIX計算機(jī)（在這時我們當(dāng)它是服務(wù)器）的telnet連接，那么我們只需命令防火墻檢查發(fā)送目標(biāo)是UNIX服務(wù)器的數(shù)據(jù)包，把其中具有23目標(biāo)端口號的包過濾就行了。但這樣，我們還是不能把IP地址和目標(biāo)服務(wù)器TCP/UDP端口結(jié)合起來作為過濾標(biāo)準(zhǔn)來實現(xiàn)相當(dāng)可靠的防火墻。3.2.2.3 客戶機(jī)TCP/UDP端口

第三篇：防火墻的技術(shù)與發(fā)展

信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

摘 要

防火墻作為一種網(wǎng)絡(luò)或系統(tǒng)之間強制實行的訪問控制機(jī)制，是確保網(wǎng)絡(luò)安全的重要手段，有基于通用操作系統(tǒng)設(shè)計的防火墻，也有基于專用操作系統(tǒng)設(shè)計的防火墻。由于Linux源代碼的開放性，所以，Linux成為研究防火墻技術(shù)的一個很好的平臺。本文介紹 Linux的防火墻技術(shù) Netfilter/Iptables 在 Linux 內(nèi)核中的具體實現(xiàn)。討論了Linux內(nèi)核防火墻套件Netfilter 實現(xiàn)的一些基本技術(shù)：包過濾。Linux下常用的防火墻規(guī)則配置軟件Iptables；從實現(xiàn)原理、配置方法以及功能特點的角度描述了Linux防火墻的功能；并給出了Linux下簡單防火墻的搭建。

關(guān)鍵字：防火墻，Netfilter，Iptables

I 信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

ABSTRACT

The firewall took between one kind of network or the system forces the access control mechanism which implements, is guarantees the network security the important method, has based on the general operating system design firewall, also has based on the special-purpose operating system design firewall.As a result of Linux source code openness, therefore, Linux becomes the research firewall technology a very good platform.This article introduces Linux firewall technology Netfilter/Iptables in Linux essence concrete realization.Discussed Linux essence firewall set of Netfilter realization’s some basic technologies: the package filter.Under Linux commonly used firewall rule disposition software Iptables;from the realization principle, the disposition method as well as the function characteristic angle described the Linux firewall function;and build up a simple firewall in Linux.Key words: Firewall, Netfilter, Iptables

II 信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

目錄

摘 要………………………………………………………I ABSTRACT………………………………………………………II 第一章 緒 論…………………………………………………1

1.1 前言1 1.2開發(fā)背景1

第二章 防火墻技術(shù) 2

2.1防火墻概述2 2.2包過濾技術(shù) 2 第三章 Netfilter/Iptables 3 3.1 Netfilter框架4

3.1.1 Netfilter框架的介紹4 3.1.2數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)協(xié)議棧的分析4 3.2 管理工具：Iptables5

3.2.1 Iptables 防火墻規(guī)則配置管理工具5 3.2.1 Iptables工具的應(yīng)用方法5 第四章 Linux下簡單防火墻的搭建6 4.1防火墻搭建的戰(zhàn)略規(guī)劃6 4.2 Iptables規(guī)則腳本7 第五章 總結(jié)與展望8 5.1 應(yīng)用前景8 5.2 總體體會8 參考文獻(xiàn)9 致 謝10

III 信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

第一章 緒 論

1.1 前言

Linux 可以追溯到UC Berkeley分校的Unix，因此從某種意義上講，Linux本身就是一種網(wǎng)絡(luò)操作系統(tǒng)，Linux在實現(xiàn)網(wǎng)絡(luò)功能方面有著獨特的優(yōu)勢。防火墻的初步功能首次出現(xiàn)在Linux 1.1內(nèi)核中，到Linux 2.0內(nèi)核時，其部件IPFwadm對防火墻部分已進(jìn)行了很大改進(jìn)和增強；Linux 2.2.x內(nèi)核發(fā)布時，IPchains和單獨開發(fā)的NAT等模塊已經(jīng)可以比較完整地實現(xiàn)內(nèi)核IP防火墻功能，從Linux的2.4內(nèi)核開始的Netfilter最終廢除了Ipchains，其主要原因有：IPchain是以內(nèi)核級運行的C及C++代碼，沒有很好地提供從用戶空間訪問IPchains的接口，限制了IPchains的可擴(kuò)展性。

1.2 開發(fā)背景

在網(wǎng)絡(luò)安全問題日趨嚴(yán)峻的今天，防火墻作為第一道防線起著關(guān)鍵的作用。防火墻可以對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。從而對防火墻的研究成為研究熱點。信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

第二章 防火墻技術(shù)

2.1防火墻概述

防火墻是一個或一組實施訪問控制策略的系統(tǒng)。它在內(nèi)部網(wǎng)絡(luò)（專用網(wǎng)絡(luò)）與外部網(wǎng)絡(luò)（功用網(wǎng)絡(luò)）之間形成一道安全保護(hù)屏障，防止非法用戶訪問內(nèi)部網(wǎng)絡(luò)上的資源和非法向外傳遞內(nèi)部信息，同時也防止這類非法和惡意的網(wǎng)絡(luò)行為導(dǎo)致內(nèi)部網(wǎng)絡(luò)運行遭到破壞。它基本功能是過濾并可能阻擋本地網(wǎng)絡(luò)或者網(wǎng)絡(luò)的某個部分與Internet之間的數(shù)據(jù)傳送（數(shù)據(jù)包）。防火墻的主要功能包括:

1．防火墻本身支持一定的安全策略。2．提供一定的訪問或接入控制機(jī)制。3．容易擴(kuò)充、更改新的服務(wù)和安全策略。4．具有代理服務(wù)功能，包含先進(jìn)的鑒別技術(shù)。5．采用過濾技術(shù)，根據(jù)需求來允許或拒絕某些服務(wù)。

6．防火墻的編程語言應(yīng)較靈活，具有友好的編程界面。并用具有較多的過濾屬性，包括源和目的IP地址、協(xié)議類型、源和目的的TCP/UDP端口以及進(jìn)入和輸出的接口地址。

2.2 包過濾技術(shù)

包過濾技術(shù)是防火墻的一種最基本的實現(xiàn)技術(shù)，具有包過濾技術(shù)的裝置是用來控制內(nèi)、外網(wǎng)絡(luò)間數(shù)據(jù)流的流入和流出，包過濾技術(shù)中的數(shù)據(jù)包大部分是基于TCP/IP協(xié)議平臺的，其中包括網(wǎng)絡(luò)層的IP數(shù)據(jù)包，運輸層的TCP和UDP數(shù)據(jù)包以及應(yīng)用層的FTP、Telnet和HTTP等應(yīng)用協(xié)議數(shù)據(jù)包三部分內(nèi)容。信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

過濾技術(shù)依靠以下三個基本依據(jù)來實現(xiàn)“允許或不允許”某些包通過防火墻：

1．包的目的地址及目的端口； 2．包的源地址及源端口； 3．包的傳輸協(xié)議。信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

第三章 Netfilter/Iptables

3.1 Netfilter框架

3.1.1 Netfilter框架的介紹

Netfilter是Linux 2.4實現(xiàn)的防火墻框架，Netfilter提供了一個抽象、通用化的框架定義一個子功能實現(xiàn)的就是包過濾子系統(tǒng)。Netfilter由一系列基于協(xié)議棧的鉤子組成，這些鉤子都對應(yīng)某一具體的協(xié)議。每一個協(xié)議對應(yīng)的鉤子函數(shù)都定義在協(xié)議具體的頭文件中，如對應(yīng)于IPv4的鉤子函數(shù)就定義在內(nèi)核頭文件：/Linux/netfilter_ipv4.h中。

3.1.2 數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)協(xié)議棧的分析

1、收到數(shù)據(jù)，中斷發(fā)生

通常的，當(dāng)一塊網(wǎng)卡接收到屬于其自己MAC地址或者廣播的以太網(wǎng)絡(luò)數(shù)據(jù)幀時，就會引發(fā)一個中斷，網(wǎng)卡驅(qū)動的中斷處理程序獲得機(jī)會，通過I/O，DMA復(fù)制網(wǎng)絡(luò)幀數(shù)據(jù)到內(nèi)存中。然后網(wǎng)絡(luò)驅(qū)動程序?qū)?chuàng)建一個skb結(jié)構(gòu)，將網(wǎng)絡(luò)幀數(shù)據(jù)填充，設(shè)置時間戳，區(qū)分類型后，將skb送入對應(yīng)的包接收隊列（其實就是添加到系統(tǒng)中的一個雙向鏈表中）。

2、數(shù)據(jù)接收軟中斷

內(nèi)核調(diào)用kernel/softirq.c:do_softirq()執(zhí)行數(shù)據(jù)包接收軟中斷(NET_RX_SOFTIRQ)，將skb從CPU的接收隊列中取出來，交給對應(yīng)IPv4協(xié)議處理程序。協(xié)議處理程序?qū)魅氲臄?shù)據(jù)包進(jìn)行一些完整性監(jiān)測，如果監(jiān)測失敗，則將數(shù)據(jù)包丟棄。通過完整性監(jiān)測以后，將進(jìn)行一些必要的清理操作，去掉可能多余的填充數(shù)據(jù)，并且重新計算數(shù)據(jù)包的長度。信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

3.2 管理工具：Iptables

3.2.1 Iptables 防火墻規(guī)則配置管理工具

Netfilter框架在內(nèi)核中主要負(fù)責(zé)PACKET的獲得和重新注入，而對PACKET的匹配預(yù)處理主要由規(guī)則表來完成。

當(dāng)我們用Iptables命令配置工具配置一條規(guī)則后，Iptables應(yīng)用程序會運用iptables-standalone.c::main()::do_command()，然后再調(diào)用libiptc庫提供的iptc_commit()函數(shù)向核心提交該操作請求。該函數(shù)根據(jù)請求會設(shè)置一個struct ipt_replace結(jié)構(gòu)，用來描述規(guī)則所涉及的表和HOOK點等信息，并在其后附接當(dāng)前這條規(guī)則（一個struct ipt_entry結(jié)構(gòu)）。從而將命令行輸入轉(zhuǎn)換為程序可讀的格式。組織好這些數(shù)據(jù)后，iptc_commit()調(diào)用setsockopt()系統(tǒng)調(diào)用來啟動核心處理這一請求：

setsockopt(sockfd, //通過socket創(chuàng)建的原始套接字，TC_IPPROTO，//即IPPROTO_IP SO_SET_REPLACE, //即IPT_SO_SET_REPLACE repl，//struct ipt_replace結(jié)構(gòu)

sizeof(*repl)+(*handle)->entries.size)3.2.1 Iptables工具的應(yīng)用方法

一個Iptables命令基本上包含如下五部分（1）希望工作在哪個表上（2）希望使用該表的哪個鏈

（3）進(jìn)行操作（插入、添加、刪除、修改）（4）對特定規(guī)則的目標(biāo)動作（5）匹配數(shù)據(jù)報條件 信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

第四章

Linux下簡單防火墻的搭建

4.1防火墻搭建的戰(zhàn)略規(guī)劃

包過濾防火墻的規(guī)則是由一組接收和禁止規(guī)則列表組成，規(guī)則列表中定義了數(shù)據(jù)包是否可以通過網(wǎng)絡(luò)接口。防火墻規(guī)則通過數(shù)據(jù)包頭的字段是否允許一個數(shù)據(jù)包通過。當(dāng)默認(rèn)策略設(shè)置為禁止一切時，若數(shù)據(jù)包頭的字段與規(guī)則匹配，則路由器將該數(shù)據(jù)包轉(zhuǎn)發(fā)至指定的目的地，否則將該數(shù)據(jù)包丟棄或被阻止并反饋一個錯誤狀態(tài)信息給發(fā)出端的計算機(jī)。

一、輸入包過濾

1、遠(yuǎn)程源地地址過濾

在包過濾的層次上，數(shù)據(jù)包頭中的源地址是識別IP數(shù)據(jù)包發(fā)送者的唯一方法。

（1）假冒本地IP地址

從外部輸入的數(shù)據(jù)包聲稱是來自本地計算機(jī)的數(shù)據(jù)包，因為源地址是唯一可獲得的信息，而它可以被修改，所以這是用戶在包過濾的層次上唯一檢測到的欺騙形式。

（2）回環(huán)接口地址

回環(huán)地址是TCP/IP協(xié)議在本地網(wǎng)絡(luò)服務(wù)使用的內(nèi)部專用地址，目的是將網(wǎng)絡(luò)通信請求或處理通過回環(huán)地址發(fā)給本機(jī)的網(wǎng)絡(luò)服務(wù)，而不許發(fā)送到網(wǎng)絡(luò)上。通常，回環(huán)網(wǎng)絡(luò)的網(wǎng)絡(luò)地址是127.0.0.0，回環(huán)地址是127.0.0.1，主機(jī)名使用localhost，回環(huán)網(wǎng)絡(luò)標(biāo)識lo。

2、本地目的地址過濾

網(wǎng)卡只接收發(fā)給本機(jī)的數(shù)據(jù)包和廣播數(shù)據(jù)包。也就是說，網(wǎng)卡將濾掉除廣播數(shù)據(jù)包以外的，目的地址不是本機(jī)地址的普通數(shù)據(jù)包。例如，地址信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

255.255.255.255是對網(wǎng)絡(luò)上的所有主機(jī)進(jìn)行廣播。

二、輸出包過濾

輸出消息過濾的重要應(yīng)用層運行局域網(wǎng)服務(wù)時，不把本地數(shù)據(jù)包和本地系統(tǒng)信息泄漏到因特網(wǎng)上。

1、本地源地址過濾

通過本地源地址過濾，可以防止本地用戶仿造IP地址，欺騙其他的網(wǎng)站。

2、遠(yuǎn)程目的地址過濾

對于輸出數(shù)據(jù)包，需要限定特定類型的數(shù)據(jù)包，這個目的地址只能是特定的遠(yuǎn)程網(wǎng)絡(luò)或單機(jī)。此時，防火墻規(guī)則將定義這些數(shù)據(jù)包允許到達(dá)的目的地必須是有明確的IP地址或限定的IP地址范圍內(nèi)的目的地。

4.2 Iptables規(guī)則腳本

1.刪除任何已存在的規(guī)則。記住在定義任何一個防火墻規(guī)則前，都要刪除存在于所有鏈的規(guī)則。命令如下[3][4][6]： iptables-F 2.配置默認(rèn)的拒絕規(guī)則。實際應(yīng)用中配置的基本原則是：先拒絕所有的服務(wù)，然后再根據(jù)用戶的需要設(shè)置相應(yīng)的服務(wù)。參考配置程序如下： iptables-P INPUT DROP iptables-P OUTPUT DROP iptables-P FORWARD DROP 信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

第五章 總結(jié)與展望

5.1 應(yīng)用前景

Netfilter/Iptables的包過濾架構(gòu)是Linux內(nèi)核開發(fā)人員通過對Ipfwadm/Ipchains等早期的包過濾程序的開發(fā)經(jīng)驗和全世界用戶反饋的分析，重新設(shè)計，改造而形成的相對成熟的Linux內(nèi)核包過濾框架。

本文從理論和實踐兩方面對Linux2.4.x內(nèi)核對防火墻的處理作了分析，目的是使一般小型企業(yè)針對自己實際情況，設(shè)計專門的防火墻成為可能。

5.2 總體體會

經(jīng)過幾個月的磨煉和努力，總結(jié)出只有在強壓與競爭中才會有意想不到的收獲和進(jìn)步。

畢業(yè)設(shè)計培養(yǎng)了作者本人綜合運用所學(xué)的基礎(chǔ)理論，基本知識和基本技能，分析解決實際問題的能力，它在某種程度上是前面各個學(xué)習(xí)環(huán)節(jié)的繼續(xù)，深化和檢驗。認(rèn)為自身在這次畢業(yè)設(shè)計中培養(yǎng)了以下四方面的能力：

? 綜合運用所學(xué)專業(yè)基本理論，提高查閱文獻(xiàn)、論文和資料的能力。提高自身進(jìn)行技術(shù)總結(jié)和撰寫論文的能力。

編程的過程是不斷學(xué)習(xí)的過程，當(dāng)有更好、更簡潔的程序時，要注意揚棄的結(jié)合。?

?

? 設(shè)計既要重視分工，重視設(shè)計作品的完整性，重視風(fēng)格的統(tǒng)一性。要注重編程過程中的細(xì)節(jié)，有時細(xì)小的失誤也會形成極大的麻煩。?

畢業(yè)設(shè)計讓作者本人體會到科學(xué)的精神。面對隨時而來的挫折，自己不斷的給自己鼓勁，克服困難，勇往直前。信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

參考文獻(xiàn)

[1] 博嘉科技主編．Linux防火墻技術(shù)探秘．國防工業(yè)出版社，2002 [2] James F.Kurose,，Keith W.Ross 著．計算機(jī)網(wǎng)絡(luò)------用自頂向下方法描述因特網(wǎng)特色．人發(fā)郵電出版社，2004 [3] 張斌等編．Linux網(wǎng)絡(luò)編程．清華大學(xué)出版社，2000 [4] 劉偉，龔漢明，朱青編著．UNIX基礎(chǔ)教程．清華大學(xué)出版社，2003 [5] 張琳等編著．網(wǎng)絡(luò)管理與應(yīng)用．人民郵電出版社，2000 [6] 孫建華等編著． 網(wǎng)絡(luò)系統(tǒng)管理------Linux實訓(xùn)篇．人民郵電出版社,2003 [7] W.Richard Stevens著．TCP/IP詳解卷1：協(xié)議．機(jī)械工業(yè)出版社，2006 [8] 鳥哥編著．LINUX私房菜服務(wù)器架設(shè)篇．科學(xué)出版社，2005 信息技術(shù)應(yīng)用與管理專業(yè)畢業(yè)論文

致 謝

首先衷心地感謝指導(dǎo)老師王則林，每星期的指導(dǎo)與教學(xué)，以及平時對我的不懈支持和幫助，他對我的諄諄教誨和誠摯關(guān)懷, 嚴(yán)謹(jǐn)治學(xué)的態(tài)度、睿智的學(xué)者風(fēng)度和敏銳的洞察力令我敬佩，并將會使我終生受益。才使我的畢業(yè)設(shè)計順利完成。

感謝與我同組畢業(yè)設(shè)計的同學(xué)們，他們良好的合作精神以及認(rèn)真嚴(yán)謹(jǐn)?shù)目茖W(xué)態(tài)度深深地感染了我，這也是我們畢業(yè)設(shè)計能夠順利完成的保證。

最后感謝同窗四年的兄弟姐妹們，他們的關(guān)心和幫助陪伴我度過了人生中最值得回憶，最難以忘懷的大學(xué)四年。

第四篇：防火墻技術(shù)在企業(yè)財務(wù)管理系統(tǒng)中的應(yīng)用

防火墻技術(shù)在企業(yè)財務(wù)管理系統(tǒng)中的應(yīng)用

2010-06-10 09:02:02 作者：韓曉 來源：萬方數(shù)據(jù) 分享 | 摘要： 目前企業(yè)局域網(wǎng)上存在的安全隱患中，黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。針對局域網(wǎng)中存在的眾多隱患，企業(yè)必須實施了安全防御措施。主要包括防火墻技術(shù)，數(shù)據(jù) 關(guān)鍵詞： 防火墻企業(yè)防火墻防火墻功能信息安全代理服務(wù)器

目前企業(yè)局域網(wǎng)上存在的安全隱患中，黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。針對局域網(wǎng)中存在的眾多隱患，企業(yè)必須實施了安全防御措施。主要包括防火墻技術(shù)，數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)等，其中應(yīng)用最為廣泛、實用性最強、效果最好的就是防火墻技術(shù)。本文就防火墻技術(shù)在財務(wù)管理信息系統(tǒng)中的應(yīng)用進(jìn)行較為深入的探討。

1、防火墻技術(shù)

1.1防火墻的基本概念

防火墻是保護(hù)內(nèi)部網(wǎng)絡(luò)安全的一道防護(hù)墻。從理論上講，網(wǎng)絡(luò)防火墻是用來防止外部網(wǎng)上的各類危險程序傳播到某個受保護(hù)網(wǎng)內(nèi)，財務(wù)上主要用于保護(hù)計算機(jī)和服務(wù)器不受攻擊。確保數(shù)據(jù)安全。從邏輯上講，防火墻是分離器，限制器和分析器；從物理角度看，各個防火墻的物理實現(xiàn)方式可以有所不同，但它通常是1組硬件設(shè)備(路由器、主機(jī))和軟件的多種組合，而從本質(zhì)上看防火墻是1種保護(hù)裝置，用來保護(hù)網(wǎng)絡(luò)數(shù)據(jù)、資源和用戶的聲譽，從技術(shù)上來說，網(wǎng)絡(luò)防火墻是1種訪問控制技術(shù)，在某個機(jī)構(gòu)的網(wǎng)絡(luò)和不安壘的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源的非法訪問，所以防火墻是一道門檻，控制進(jìn)出2個方向的通信，防火墻主要用來保護(hù)安全網(wǎng)絡(luò)免受來自不安全網(wǎng)絡(luò)的入侵。

1.2防火墻的工作原理

防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則，監(jiān)控所有通過防火墻的數(shù)據(jù)流，只允許授權(quán)的數(shù)據(jù)通過，同時記錄有關(guān)的鏈接來源，服務(wù)器提供的通信量以及試圖闖入者的任何企圖，以方便管理員的監(jiān)測和跟蹤。

1.3防火墻的功能

防火墻主要有以下四種功能：(1)能夠防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)；(2)可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并報警；(3)可以作為部署NAT(Network Address Translation，網(wǎng)絡(luò)地址變換)的地點，利用NAT技術(shù)，將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應(yīng)起來。用來緩解地址空間短缺的問題；(4)可以連接到1個單獨的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開，并在此部署004km.cn）原創(chuàng)之作品（文字、圖片、圖表），轉(zhuǎn)載請務(wù)必注明出處，違者本網(wǎng)將依法追究責(zé)任。

第五篇：防火墻技術(shù)論文

【摘要】

21世紀(jì)全世界的計算機(jī)都將通過Internet聯(lián)到一起，Internet的迅速發(fā)展給現(xiàn)代人的生產(chǎn)和生活都帶來了前所未有的飛躍，大大提高了工作效率，豐富了人們的生活，彌補了人們的精神空缺。網(wǎng)絡(luò)技術(shù)在近幾年的時間有了非常大的發(fā)展，經(jīng)歷了從無到有，從有到快；網(wǎng)上信息資源也是從醫(yī)乏到豐富多彩，應(yīng)有盡有。但隨著網(wǎng)絡(luò)速度越來越快，資源越來越豐富，與此同時也給人們帶來了一個日益嚴(yán)峻的問題———網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)的安全性成為當(dāng)今最熱門的話題之一，而且網(wǎng)絡(luò)安全防范對我們校園網(wǎng)的正常運行來講也顯得十分重要?，F(xiàn)在各種網(wǎng)絡(luò)安全技術(shù)如防火墻技術(shù)、IDS、加密技術(shù)和防黑防病毒技術(shù)等也不斷的出現(xiàn)，內(nèi)容十分廣泛。而其中防火墻技術(shù)在網(wǎng)絡(luò)安全技術(shù)當(dāng)中又是最簡單，也是最有效的解決方案。很多企業(yè)為了保障自身服務(wù)器或數(shù)據(jù)安全都采用了防火墻。隨著科技的發(fā)展，防火墻也逐漸被大眾所接受。但是，由于防火墻是屬于高科技產(chǎn)物，許多的人對此還并不是了解的十分透徹。

本文在簡要論述防火墻的基本分類、工作方式等的基礎(chǔ)上，對防火墻的優(yōu)缺點以及局限性進(jìn)行了說明，也簡述了防火墻技術(shù)在校園網(wǎng)中的應(yīng)用，并對其的發(fā)展趨勢作簡單展望。

【關(guān)鍵詞】

網(wǎng)絡(luò)安全 防火墻 發(fā)展

防火墻

1.1 防火墻的概念

所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。是一種獲取安全性方法的形象說法，它是一種計算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成。

防火墻就是一個位于計算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件(其中硬件防火墻用的較少，例如國防部以及大型機(jī)房等地才用,因為它價格昂貴)。該計算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。

防火墻，英語為firewall，《英漢證券投資詞典》的解釋為：金融機(jī)構(gòu)內(nèi)部將銀行業(yè)務(wù)與證券業(yè)務(wù)嚴(yán)格區(qū)分開來的法律屏障，旨在防止可能出現(xiàn)的內(nèi)幕消息共享等不公平交易出現(xiàn)。使用防火墻比喻不要引火燒身。

當(dāng)然，既然打算由淺入深的來了解，就要先看看防火墻的概念了。防火墻是汽車中一個部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護(hù)乘客安全，而同時還能讓司機(jī)繼續(xù)控制引擎。在電腦術(shù)語中，當(dāng)然就不是這個意思了，我們可以類比來理解，在網(wǎng)絡(luò)中，所謂“防火墻”，顧名思義，是一種隔離設(shè)備。防火墻是一種高級訪問控制設(shè)備，臵于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域之間通信流的唯一

通道，能根據(jù)用戶有關(guān)的安全策略控制進(jìn)出網(wǎng)絡(luò)的訪問行為。從專業(yè)角度講，防火墻是位于兩個或多個網(wǎng)絡(luò)間，實施網(wǎng)絡(luò)訪問控制的組件集合。從用戶角度講，防火墻就是被放臵在用戶計算機(jī)與外網(wǎng)之間的防御體系，網(wǎng)絡(luò)發(fā)往用戶計算機(jī)的所有數(shù)據(jù)都要經(jīng)過其判斷處理，才決定能否將數(shù)據(jù)交給計算機(jī)，一旦發(fā)現(xiàn)數(shù)據(jù)異?；蛴泻?，防火墻就會將數(shù)據(jù)攔截，從而實現(xiàn)對計算機(jī)的保護(hù)。防火墻是網(wǎng)絡(luò)安全策略的組成部分，它只是一個保護(hù)裝臵，通過監(jiān)測和控制網(wǎng)絡(luò)間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理，其主要目的就是保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。

1.2 防火墻的功能

（1）訪問控制：

■ 限制未經(jīng)授權(quán)的用戶訪問本企業(yè)的網(wǎng)絡(luò)和信息資源的措施，訪問者必需要能適用現(xiàn)行所有的服務(wù)和應(yīng)用。網(wǎng)絡(luò)衛(wèi)士防火墻支持多種應(yīng)用、服務(wù)和協(xié)議，支持所有的internet服務(wù)，包括安全的web瀏覽器、電子郵件、ftp、telnet及rpc和udp等，還支持如oracle、sybase、sql服務(wù)器數(shù)據(jù)庫訪問和real audio，vodlive、netmeeting和internet phone等這樣的多媒體應(yīng)用及internet廣播服務(wù)。

■ 提供基于狀態(tài)檢測技術(shù)的ip地址、端口、用戶和時間的管理控制； ■ 訪問控制對象的多種定義方式支持多種方式定義訪問控制對象: ip/mask(如202.100.100.0/24)，ip區(qū)間(如202.100.100.1-202.100.100.254)，ip/mask與通配符，ip區(qū)間與通配符等，使配臵防火墻的安全策略極為方便。

■ 高效的url和文件級細(xì)粒度應(yīng)用層管理控制；應(yīng)用層安全控制策略主要針對常用的網(wǎng)絡(luò)應(yīng)用協(xié)議http和ftp，控制策略可以實現(xiàn)定義訪問源對象到目標(biāo)對象間的常用協(xié)議命令通過防火墻的權(quán)限，源對象可以是網(wǎng)段、主機(jī)。http和ftp的協(xié)議端口用戶可根據(jù)實際情況在策略中定義，協(xié)議命令為http和ftp的主要常用命令。通過應(yīng)用層策略實現(xiàn)了url和文件級的訪問控制。

■ 雙向nat，提供ip地址轉(zhuǎn)換和ip及tcp/udp端口映射，實現(xiàn)ip復(fù)用和隱藏網(wǎng)絡(luò)結(jié)構(gòu)：nat在ip層上通過地址轉(zhuǎn)換提供ip復(fù)用功能，解決ip地址不足的問題，同時隱藏了內(nèi)部網(wǎng)的結(jié)構(gòu)，強化了內(nèi)部網(wǎng)的安全。網(wǎng)絡(luò)衛(wèi)士防火墻提供了nat功能，并可根據(jù)用戶需要靈活配臵。當(dāng)內(nèi)部網(wǎng)用戶需要對外訪問時，防火墻系統(tǒng)將訪問主體轉(zhuǎn)化為自己，并將結(jié)果透明地返回用戶，相當(dāng)于一個ip層代理。防火墻的地址轉(zhuǎn)換是基于安全控制策略的轉(zhuǎn)換，可以針對具體的通信事件進(jìn)行地址轉(zhuǎn)換。internet用戶訪問對內(nèi)部網(wǎng)絡(luò)中具有保留ip主機(jī)的訪問，可以利用反向nat實現(xiàn)，即為內(nèi)部網(wǎng)絡(luò)主機(jī)在防火墻上映射一注冊ip地址，這樣internet 用戶就可以通過防火墻系統(tǒng)訪問主機(jī)了。映射類型可以為ip級和端口級。端口映射

■阻止activex、java、javascript等侵入：屬于http內(nèi)容過濾，防火墻能夠從http頁面剝離activex、javaapplet等小程序及從script、php和asp等代碼檢測出危險的代碼，同時，能夠過濾用戶上載的cgi、asp等程序。

■ 提供實時監(jiān)控、審計和告警功能：網(wǎng)絡(luò)衛(wèi)士防火墻提供對網(wǎng)絡(luò)的實時監(jiān)控，當(dāng)發(fā)現(xiàn)攻擊和危險行為時，防火墻提供告警等功能。

■ 可擴(kuò)展支持第三方ids入侵檢測系統(tǒng)，實現(xiàn)協(xié)同工作：網(wǎng)絡(luò)衛(wèi)士防火墻支持topsec協(xié)議，可與第三方ids產(chǎn)品實現(xiàn)無縫集成，協(xié)同工作。

（3）用戶認(rèn)證

因為企業(yè)網(wǎng)絡(luò)為本地用戶、移動用戶和各種遠(yuǎn)程用戶提供信息資源，所以為了保護(hù)網(wǎng)絡(luò)和信息安全，必須對訪問連接用戶采用有效的權(quán)限控制和身份識別，以確保系統(tǒng)安全。

■ 提供高安全強度的一次性口令(otp)用戶認(rèn)證：一次性口令認(rèn)證機(jī)制是高強度的認(rèn)證機(jī)制，能極大地提高了訪問控制的安全性，有效阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)，保證網(wǎng)絡(luò)系統(tǒng)的合法使用。一次性口令用戶認(rèn)證的基本過程是：首先用戶向防火墻發(fā)送身份認(rèn)證請求，并指明自己的用戶名，防火墻收到請求后，向用戶提出挑戰(zhàn)及同步信息，用戶收到此信息后，結(jié)合自己的口令，產(chǎn)生一次性口令并發(fā)送給防火墻，防火墻判斷用戶答復(fù)是否正確以鑒別用戶的合法性，為防止口令猜測，如果用戶連續(xù)三次認(rèn)證失敗則在一定時間內(nèi)禁止該用戶認(rèn)證。由于采用一次性的口令認(rèn)證機(jī)制，即使竊聽者在網(wǎng)絡(luò)上截取到口令，由于該口令的有效期僅為一次，故也無法再利用這個口令進(jìn)行認(rèn)證鑒別。在實際應(yīng)用中，用戶采用一次性口令登錄程序登陸時，防火墻向用戶提供一個種子及同步次數(shù)，登錄程序根據(jù)用戶輸入的口令、種子、同步次數(shù)計算出一次性口令并傳給防火墻.用戶可以在不同的服務(wù)器上使用不同的種子而口令相同，每次在網(wǎng)絡(luò)上傳輸?shù)目诹钜膊煌?，用戶可以定期改變種子來達(dá)到更高的安全目標(biāo).■ 可擴(kuò)展支持第三方認(rèn)證和支持智能ic卡、ikey等硬件方式認(rèn)證：網(wǎng)絡(luò)衛(wèi)士防火墻有很好的擴(kuò)展性，可擴(kuò)展支持radius等認(rèn)證，提供撥號用戶等安全訪問。也可通過擴(kuò)展支持支持職能ic卡、ikey等硬件方式認(rèn)證。

（4）安全管理

■ 提供基于otp機(jī)制的管理員認(rèn)證。

■ 提供分權(quán)管理安全機(jī)制；提供管理員和審計員分權(quán)管理的安全機(jī)制，保證安全產(chǎn)品的安全管理。

過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會受到很大地影響；由于缺少上下文關(guān)聯(lián)信息，不能有效地過濾如UDP、RPC（遠(yuǎn)程過程調(diào)用）一類的協(xié)議；另外，大多數(shù)過濾器中缺少審計和報警機(jī)制，它只能依據(jù)包頭信息，而不能對用戶身份進(jìn)行驗證，很容易受到“地址欺騙型”攻擊。對安全管理人員素質(zhì)要求高，建立安全規(guī)則時，必須對協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此，過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)。

■ 應(yīng)用代理（Application Proxy）型

應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。

在代理型防火墻技術(shù)的發(fā)展過程中，它也經(jīng)歷了兩個不同的版本：第一代應(yīng)用網(wǎng)關(guān)型代理防火和第二代自適應(yīng)代理防火墻。

代理類型防火墻的最突出的優(yōu)點就是安全。由于它工作于最高層，所以它可以對網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)，而不是像包過濾那樣，只是對網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過濾。

另外代理型防火墻采取是一種代理機(jī)制，它可以為每一種應(yīng)用服務(wù)建立一個專門的代理，所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的，而都需先經(jīng)過代理服務(wù)器審核，通過后再由代理服務(wù)器代為連接，根本沒有給內(nèi)、外部網(wǎng)絡(luò)計算機(jī)任何直接會話的機(jī)會，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。

代理防火墻的最大缺點是速度相對比較慢，當(dāng)用戶對內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時，代理防火墻就會成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因為防火墻需要為不同的網(wǎng)絡(luò)服務(wù)建立專門的代理服務(wù)，在自己的代理程序為內(nèi)、外部網(wǎng)絡(luò)用戶建立連接時需要時間，所以給系統(tǒng)性能帶來了一些負(fù)面影響，但通常不會很明顯。

（3）從防火墻結(jié)構(gòu)上分類

從防火墻結(jié)構(gòu)上分，防火墻主要有：單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。

單一主機(jī)防火墻是最為傳統(tǒng)的防火墻，獨立于其它網(wǎng)絡(luò)設(shè)備，它位于網(wǎng)絡(luò)邊界。

0

信進(jìn)行過濾。它屬于最新的防火墻技術(shù)之一，性能最好，價格也最貴。

（5）按防火墻性能分類

按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。

因為防火墻通常位于網(wǎng)絡(luò)邊界，所以不可能只是十兆級的。這主要是指防火的通道帶寬（Bandwidth），或者說是吞吐率。當(dāng)然通道帶寬越寬，性能越高，這樣的防火墻因包過濾或應(yīng)用代理所產(chǎn)生的延時也越小，對整個網(wǎng)絡(luò)通信性能的影響也就越小。

雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。

1.4 各類防火墻的優(yōu)缺點

（1）包過濾防火墻

使用包過濾防火墻的優(yōu)點包括：

■ 防火墻對每條傳入和傳出網(wǎng)絡(luò)的包實行低水平控制。

■ 每個IP包的字段都被檢查，例如源地址、目的地址、協(xié)議、端口等。防火墻將基于這些信息應(yīng)用過濾規(guī)則。

■ 防火墻可以識別和丟棄帶欺騙性源IP地址的包。

■ 包過濾防火墻是兩個網(wǎng)絡(luò)之間訪問的唯一來源。因為所有的通信必須通過防火墻，繞過是困難的。

■ 包過濾通常被包含在路由器數(shù)據(jù)包中，所以不必額外的系統(tǒng)來處理這個特征。

使用包過濾防火墻的缺點包括：

■ 配臵困難。因為包過濾防火墻很復(fù)雜，人們經(jīng)常會忽略建立一些必要的規(guī)則，或者錯誤配臵了已有的規(guī)則，在防火墻上留下漏洞。然而，在市場上，許多新版本的防火墻對這個缺點正在作改進(jìn)，如開發(fā)者實現(xiàn)了基于圖形化用戶界面(GUI)的配臵和更直接的規(guī)則定義。

■ 為特定服務(wù)開放的端口存在著危險，可能會被用于其他傳輸。例如，Web服務(wù)器默認(rèn)端口為80，而計算機(jī)上又安裝了RealPlayer，那么它會搜尋可以允許連接到RealAudio服務(wù)器的端口，而不管這個端口是否被其他協(xié)議所使用，RealPlayer正好是使用80端口而搜尋的。就這樣無意中，RealPlayer就利用了Web服務(wù)器的端口。

■ 可能還有其他方法繞過防火墻進(jìn)入網(wǎng)絡(luò)，例如撥入連接。但這個并不是

213

也不要忘記了防火墻內(nèi)的安全保障。

其次，防火墻技術(shù)的另外一個顯著不足是無法有效地應(yīng)付病毒。當(dāng)網(wǎng)絡(luò)內(nèi)的用戶在訪問外網(wǎng)中的含有病毒的數(shù)據(jù)時，防火墻無法區(qū)分帶毒數(shù)據(jù)與正常數(shù)據(jù)，內(nèi)部網(wǎng)絡(luò)隨時都有受到病毒危害的可能，防火墻技術(shù)的這個缺點給網(wǎng)絡(luò)帶來很大的隱患。

另外，由于防火墻技術(shù)的自身不斷發(fā)展，其自身問題和漏洞也使其具有局限性。防火墻本身作為一個獨立的系統(tǒng)，其軟、硬件在發(fā)展過程中必然也有其自己的bug和漏洞，所以各種故障和因漏洞所遭受的各種攻擊也不可避免。防火墻的技術(shù)原理與殺毒軟件類似：先出現(xiàn)病毒，殺毒軟件獲得病毒的特征碼，將其加入到病毒庫內(nèi)來實現(xiàn)查殺。防火墻的防御、檢測策略，也是在發(fā)生攻擊行為后分析其特征而設(shè)臵的。如果出現(xiàn)新的未知攻擊行為，防火墻也將束手無策。

最后，防火墻的檢測機(jī)制容易造成擁塞以及溢出現(xiàn)象。由于防火墻需要處理每一個通過它的數(shù)據(jù)包，所以當(dāng)數(shù)據(jù)流量較大時，容易導(dǎo)致數(shù)據(jù)擁塞，影響整個網(wǎng)絡(luò)性能。嚴(yán)重時，如果發(fā)生溢出，就像大壩決堤一般，無法阻擋，任何數(shù)據(jù)都可以來去自由了，防火墻也就不再起任何作用。

1.6 防火墻的未來發(fā)展趨勢

盡管羅列了這么多防火墻技術(shù)的局限性，但防火墻在網(wǎng)絡(luò)安全中所扮演的重要角色是不可撼動的。未來的防火墻發(fā)展朝高速、多功能化、更安全的方向發(fā)展。

實現(xiàn)高速防火墻，可以應(yīng)用ASIC硬件加速技術(shù)、FPGA和網(wǎng)絡(luò)處理器等方法。其中以采用網(wǎng)絡(luò)處理器最好，因為網(wǎng)絡(luò)處理器采用微碼編程，可以根據(jù)需要隨時升級，甚至可以支持IPv6；并且網(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元，通過算法也比較容易實現(xiàn)高速。防火墻將會集成更多的網(wǎng)絡(luò)安全功能，入侵檢測、防病毒、防御拒絕服務(wù)攻擊等安全技術(shù)都可以模塊形式安裝到防火墻的機(jī)箱內(nèi)。既節(jié)省寶貴的機(jī)柜空間，又能為企業(yè)節(jié)約一部分安全支出，更主要的是可以實現(xiàn)網(wǎng)絡(luò)安全設(shè)備之間的聯(lián)動。防火墻將會更加的行業(yè)化。

任何一種防火墻只是為內(nèi)部網(wǎng)絡(luò)提供安全保障，但網(wǎng)絡(luò)安全不能完全依賴于防火墻，還需要加強內(nèi)部的安全管理，完善安全管理制度，提高用戶的安全意識，從而形成全方位的安全防御體系。防火墻技術(shù)在校園網(wǎng)中的應(yīng)用

隨著高校信息化進(jìn)程的推進(jìn)，學(xué)院校園網(wǎng)上運行的應(yīng)用系統(tǒng)越來越多，信息

51617