畢業(yè)論文---淺析internet防火墻技術(shù)

1、<p>　　題目: 淺析Internet防火墻技術(shù) </p><p>　　姓 名 </p><p>　　學(xué) 號 </p><p>　　專 業(yè) 計算機(jī)通信 </p><p>　　系 部 計算機(jī) </p><

2、;p>　　指導(dǎo)教師 </p><p>　　2012 年 6 月 12 日</p><p><b>　　畢業(yè)設(shè)計任務(wù)計劃書</b></p><p><b>　　目的： </b></p><p>　　了解什么是防火墻，分析各代防火墻的技術(shù)特點(diǎn)以及各代防火墻存在的弊端和

3、不足之處，結(jié)合現(xiàn)今互聯(lián)網(wǎng)發(fā)展?fàn)顩r展望未來防火墻的發(fā)展。</p><p><b>　　設(shè)計思路：</b></p><p>　　計算機(jī)網(wǎng)絡(luò)的發(fā)展，上網(wǎng)的人數(shù)不斷地增大，網(wǎng)上的資源也不斷地增加，網(wǎng)絡(luò)的開放性、共享性、互連程度也隨著擴(kuò)大。政府上網(wǎng)工程的啟動和實(shí)施，電子商務(wù)、網(wǎng)上銀行等網(wǎng)絡(luò)新業(yè)務(wù)的興起和發(fā)展，使得網(wǎng)絡(luò)安全問題顯得日益重要和突出。本文講述了傳統(tǒng)防火墻的基本原理和發(fā)

4、展歷程，分析其在當(dāng)今網(wǎng)絡(luò)環(huán)境中所存在的缺陷，并展望下一代防火墻的發(fā)展方向。 </p><p><b>　　三、基本任務(wù)： </b></p><p>　　通過選題、開題、中期檢查、結(jié)論驗(yàn)收、等工作程序，能夠以計算機(jī)專業(yè)理論為基礎(chǔ)，完成一篇具有學(xué)術(shù)性、科學(xué)性、創(chuàng)新性、規(guī)范性的論文題目的研究撰寫任務(wù)。 </p><p><b>　　內(nèi)容計劃

5、： </b></p><p>　　通過大學(xué)三年的學(xué)習(xí)，以計算機(jī)專業(yè)知識為基礎(chǔ)，我對網(wǎng)絡(luò)技術(shù)、防火墻技術(shù)、廣域網(wǎng)技術(shù)頗感興趣，因此我選擇了《淺析Internet防火墻技術(shù)》這個論文題目。2011年4月我對論文題目進(jìn)行了研究和思考，并寫出論文寫作提綱，查閱大量相關(guān)書籍文獻(xiàn)，并突破選題內(nèi)容的重點(diǎn)難點(diǎn)和創(chuàng)新點(diǎn)。5月對論文的疑難點(diǎn)進(jìn)行深入研究，通過查閱資料，與同學(xué)探討，解決難點(diǎn)。論文于5月18日定稿，6月上旬審

6、查。</p><p><b>　　目錄</b></p><p>　　摘要……………………………………………………………………………00</p><p>　　前言……………………………………………………………………………01</p><p>　　第一章 防火墻技術(shù)概述</p><p>　　一.防火墻

7、的基本概念…………………………………………………………01</p><p>　　二.防火墻的工作原理…………………………………………………………02</p><p>　　三.防火墻的功能………………………………………………………………02</p><p>　　四.防火墻的分類………………………………………………………………02</p><p>

8、;　　第二章 防火墻的發(fā)展以及關(guān)鍵技術(shù)和特色</p><p>　　一．第一代防火墻 ……………………………………………………………03</p><p>　?。ㄒ唬┨攸c(diǎn) ………………………………………………………………03</p><p>　?。ǘ﹥?yōu)劣…………………………………………………………………03</p><p>　　二．第二代防火

9、墻 ……………………………………………………………04</p><p>　?。ㄒ唬?特點(diǎn) ………………………………………………………………04</p><p>　?。ǘ?優(yōu)劣 ………………………………………………………………04</p><p>　　三．第三代防火墻………………………………………………………………05</p><p>　?。?/p>

10、一） 特點(diǎn) ………………………………………………………………05</p><p>　　（二） 優(yōu)劣 ………………………………………………………………05</p><p>　　四．第四代防火墻 ……………………………………………………………05</p><p>　?。ㄒ唬┲饕夹g(shù)及功能 ……………………………………………………05</p><p&

11、gt;　?。ǘ?shí)現(xiàn)方法 ……………………………………………………………07</p><p>　　五.小結(jié) …………………………………………………………………………08</p><p>　　第三章 防火墻技術(shù)的發(fā)展趨勢</p><p>　　一．最新梭子魚防火墻…………………………………………………………09</p><p>　　結(jié)論……………

12、………………………………………………………………11</p><p>　　參考文獻(xiàn)…………………………………………………………………… 11</p><p>　　附錄 ………………………………………………………………………… 12</p><p><b>　　摘要：</b></p><p>　　21世紀(jì)全球互聯(lián)網(wǎng)技術(shù)的迅

13、猛發(fā)展為現(xiàn)代人們的生產(chǎn)生活帶來了翻天覆地的變化。不僅僅是使我們的生活變得豐富多彩，而在更大程度上使整個社會的生產(chǎn)力的大幅度提升。Internet的快速發(fā)展，使全球各個角落的資源實(shí)現(xiàn)共享，資源之豐富可謂是應(yīng)有盡有，但是同時給我們帶來了一個日益嚴(yán)峻的問題——網(wǎng)絡(luò)安全。互聯(lián)網(wǎng)的發(fā)展必然把網(wǎng)絡(luò)安全這個話題推上了風(fēng)頭浪尖?，F(xiàn)在的網(wǎng)絡(luò)安全技術(shù)有防火墻技術(shù)，IDS、加密技術(shù)和防病毒技術(shù)等等，而防火墻技術(shù)在網(wǎng)絡(luò)安全技術(shù)中是最簡單，也是最有效的解決方法。

14、所以防火墻技術(shù)越來越受到人們的關(guān)注和廣泛應(yīng)用。本文從防火墻技術(shù)的概念、發(fā)展過程這兩個方面進(jìn)行研究分析，并對防火墻技術(shù)的發(fā)展趨勢以及前景做簡要展望。</p><p>　　關(guān)鍵字：Internet 防火墻過濾</p><p>　　Abstract: </p><p>　　The 21st century global the rapid development of

15、Internet technology for modern people's production and life bring earth-shaking changes. Not only is to make our lives become rich and colorful, and a greater extent the productivity of the society of improved signif

16、icantly. The rapid development of Internet, make every corner of the world, resources sharing resources to achieve the rich can be called everything. But at the same time gives us an increasingly serious problem -- netwo

17、rk security. In</p><p>　　Key words: Internet Firewall Filtering</p><p><b>　　前言</b></p><p>　　古代防火墻作用：古人在建筑物的兩側(cè)山墻和后檐墻上，不開門窗，不采用可燃材料，謂之風(fēng)火檐，也稱封火檐。這是防火墻的一種形式。故宮內(nèi)也有這種防火墻。雍正

18、皇帝為了接受皇宮內(nèi)過去發(fā)生火災(zāi)的教訓(xùn)，命令工部大臣將三大殿東西配殿以及東六宮、西六宮的兩側(cè)山墻和后檐墻統(tǒng)統(tǒng)改為風(fēng)火檐，全然不用木質(zhì)材料。這十三處防火墻的總長度約4000米，對于防止故宮內(nèi)火勢蔓延發(fā)揮了應(yīng)有的作用。當(dāng)今社會所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。是一種獲取安全性方法的形象說法，它是一種計算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起

19、一個安全網(wǎng)關(guān)（Security Gateway）。隨著網(wǎng)絡(luò)應(yīng)用越來越廣泛，給我們帶來的便利無處不在，但是這項(xiàng)技術(shù)的普及給我們的生活帶來了很多新的問題。如銀行密碼被偷、商業(yè)機(jī)密被竊取、網(wǎng)絡(luò)欺詐、網(wǎng)絡(luò)虛擬資產(chǎn)被偷竊等等現(xiàn)象越來越嚴(yán)重，這些現(xiàn)象使得人們對網(wǎng)絡(luò)技術(shù)長生了畏懼。在互聯(lián)網(wǎng)領(lǐng)域存在的“黑客經(jīng)濟(jì)”，已經(jīng)發(fā)展出黑客培訓(xùn)、信息竊取、惡意廣告、垃圾郵件、敲詐勒索、網(wǎng)站仿冒等多種盈利模式。根據(jù)CNCERT的初步估計，</p>&l

20、t;p>　　第一章 防火墻技術(shù)概述</p><p>　　一.防火墻的基本概念 </p><p>　　從理論上講，網(wǎng)絡(luò)防火墻服務(wù)的原理與其類似，它用來防止外部網(wǎng)上的各類危險傳播到某個受保護(hù)網(wǎng)內(nèi)。從邏輯上講，防火墻是分離器、限制器和分析器；從物理角度看，各個防火墻的物理實(shí)現(xiàn)方式可以有所不同，但它通常是一組硬件設(shè)備(路由器、主機(jī))和軟件的多種組合；而從本質(zhì)上來說防火墻是一種保護(hù)裝置，用來保

21、護(hù)網(wǎng)絡(luò)數(shù)據(jù)、資源和用戶的聲譽(yù)；從技術(shù)上來說，網(wǎng)絡(luò)防火墻是一種訪問控制技術(shù)，在某個機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源的非法訪問，換句話說，防火墻是一道門檻，控制進(jìn)/出兩個方向的通信，防火墻主要用來保護(hù)安全網(wǎng)絡(luò)免受來自不安全網(wǎng)絡(luò)的入侵，如安全網(wǎng)絡(luò)可能是企業(yè)的內(nèi)部網(wǎng)絡(luò)，不安全網(wǎng)絡(luò)是因特網(wǎng)，當(dāng)然，防火墻不只是用于某個網(wǎng)絡(luò)與因特網(wǎng)的隔離，也可用于企業(yè)內(nèi)部網(wǎng)絡(luò)中的部門網(wǎng)絡(luò)之間的隔離[1]。 </p><p>

22、;　　二.防火墻的工作原理 </p><p>　　防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則，監(jiān)控所有通過防火墻的數(shù)據(jù)流，只允許授權(quán)的數(shù)據(jù)通過，同時記錄有關(guān)的聯(lián)接來源、服務(wù)器提供的 通信量以及試圖闖入者的任何企圖，以方便管理員的監(jiān)測和跟蹤，并且防火墻本身也必須能夠免于滲透[1]。</p><p><b>　　三.防火墻的功能</b></p><p

23、>　　一般來說，防火墻具有以下幾種功能[1]： </p><p>　?。ㄒ唬┠軌蚍乐狗欠ㄓ脩暨M(jìn)入內(nèi)部網(wǎng)絡(luò)。 </p><p>　?。ǘ┛梢院芊奖愕乇O(jiān)視網(wǎng)絡(luò)的安全性，并報警。 </p><p>　?。ㄈ┛梢宰鳛椴渴?NAT（Network Address Translation，網(wǎng)絡(luò)地址變換）的地點(diǎn)，利用 NAT 技術(shù)，將有限的 IP 地址動態(tài)或靜態(tài)地與內(nèi)部

24、的 IP 地址對應(yīng)起來，用來緩解地址空間短缺的問題。 </p><p>　?。ㄋ模┛梢赃B接到一個單獨(dú)的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開，并在此部署 WWW服務(wù)器和 FTP 服務(wù)器，將其作為向外部發(fā)布內(nèi)部信息的地點(diǎn)。從技術(shù)角度來講，就是所謂的?；饏^(qū)（DMZ）。 </p><p><b>　　四.防火墻的分類 </b></p><p>　?。ㄒ唬能?/p>

25、、硬件形式上分為軟件防火墻和硬件防火墻以及芯片級防火墻。 </p><p>　?。ǘ姆阑饓夹g(shù)分為“包過濾型” 、“代理服務(wù)器型”和“復(fù)合型防火墻”三大類[2]。</p><p>　　1、包過濾型防火墻。又稱篩選路由器(Screening router)或網(wǎng)絡(luò)層防火墻(Network level firewall)，它工作在網(wǎng)絡(luò)層和傳輸層。它基于單個數(shù)據(jù)包實(shí)施網(wǎng)絡(luò)控制，根據(jù)所收到的

26、數(shù)據(jù)包的源IP地址、目的IP地址、TCP/UDP源端口號及目標(biāo)端口號、ICMP消息類型、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志等為參數(shù)，與用戶預(yù)定的訪問控制表進(jìn)行比較，決定數(shù)據(jù)是否符合預(yù)先制定的安全策略，決定數(shù)據(jù)包的轉(zhuǎn)發(fā)或丟棄，即實(shí)施過濾。</p><p>　　2.代理服務(wù)器型防火墻 </p><p>　　代理服務(wù)器型防火墻通過在主機(jī)上運(yùn)行代理的服務(wù)程序，直接對特定的應(yīng)用層進(jìn)行服務(wù)，因此

27、也稱為應(yīng)用型防火墻。其核心是運(yùn)行于防火墻主機(jī)上的代理服務(wù)器進(jìn)程，它代替網(wǎng)絡(luò)用戶完成特定的TCP/IP功能。一個代理服務(wù)器實(shí)際上是一個為特定網(wǎng)絡(luò)應(yīng)用而連接兩個網(wǎng)絡(luò)的網(wǎng)關(guān)。 </p><p><b>　　3、復(fù)合型防火墻 </b></p><p>　　由于對更高安全性的要求，通常把數(shù)據(jù)包過濾和代理服務(wù)系統(tǒng)的功能和特點(diǎn)綜合起來，構(gòu)成復(fù)合型防火墻系統(tǒng)。所用主機(jī)稱為堡壘主機(jī)，負(fù)

28、責(zé)代理服務(wù)。各種類型的防火墻都有其各自的優(yōu)缺點(diǎn)。當(dāng)前的防火墻產(chǎn)品己不再是單一的包過濾型或代理服務(wù)器型防火墻，而是將各種安全技術(shù)結(jié)合起來，形成一個混合的多級防火墻，以提高防火墻的靈活性和安全性?；旌闲头阑饓3]一般采用以下幾種技術(shù):</p><p><b>　　(1)動態(tài)包過濾；</b></p><p>　　(2)內(nèi)核透明技術(shù)；</p><p>

29、;　　(3)用戶認(rèn)證機(jī)制；</p><p>　　(4)內(nèi)容和策略感知能力；</p><p>　　(5)內(nèi)部信息隱藏；</p><p>　　(6)智能日志、審計和實(shí)時報警；</p><p>　　(7)防火墻的交互操作性等。 </p><p>　　(三) 從防火墻結(jié)構(gòu)分為單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種

30、。 </p><p>　　(四) 按防火墻的應(yīng)用部署位置分為邊界防火墻、個人防火墻和混合防火墻三大類。 </p><p>　　(五) 按防火墻性能分為百兆級防火墻和千兆級防火墻兩類。 </p><p>　　(六)按防火墻使用方法分為網(wǎng)絡(luò)層防火墻，物理層防火墻和鏈路層防火墻三類。</p><p>　　第二章 防火墻的發(fā)展以及關(guān)鍵技術(shù)&l

31、t;/p><p><b>　　一．第一代防火墻</b></p><p>　　由于多數(shù)路由器本身就包含有分組過濾功能，故網(wǎng)絡(luò)訪問控制可能通過路控制來實(shí)現(xiàn)，從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品[4]。</p><p>　?。ㄒ唬?第一代防火墻產(chǎn)品的特點(diǎn)：</p><p>　　1、利用路由器本身對分組的解析，以訪問

32、控制表(Access List)方式實(shí)現(xiàn)對分組的過濾；</p><p>　　2、過濾判斷的依據(jù)可以是：地址、端口號、IP旗標(biāo)及其他網(wǎng)絡(luò)特征（圖2-1）；</p><p><b>　　</b></p><p><b>　　圖2-1</b></p><p>　　3、只有分組過濾的功能，且防火墻與路由器

33、是一體的。這樣，對安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法，而對安全性要求高的則網(wǎng)絡(luò)需要單獨(dú)利用一臺路由器作為防火墻。</p><p>　　（二） 第一代防火墻產(chǎn)品的不足之處十分明顯，具體表現(xiàn)為：</p><p>　　1、路由協(xié)議十分靈活，本身具有安全漏洞，外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如，在使用FTP協(xié)議時，外部服務(wù)器容易從20號端口上與內(nèi)部網(wǎng)相連，即使在路由器上設(shè)置了

34、過濾規(guī)則，內(nèi)部網(wǎng)絡(luò)的20號端口仍可以由外部探尋。</p><p>　　2、路由器上分組過濾規(guī)則的設(shè)置和配置存在安全隱患。對路由器中過濾規(guī)則的設(shè)置和配置十分復(fù)雜，它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性，一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任，加之一旦出現(xiàn)新的協(xié)議，管理員就得加上更多的規(guī)則去限制，這往往會帶來很多錯誤。</p><p>　　3、路由器防火墻的最大隱患是：攻擊者可以

35、“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的，黑客(Hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。</p><p>　　4、路由器防火墻的本質(zhì)缺陷是：由于路由器的主要功能是為網(wǎng)絡(luò)訪問提供動態(tài)的、靈活的路由，而防火墻則要對訪問行為實(shí)施靜態(tài)的、固定的控制，這是一對難以調(diào)和的矛盾，防火墻的規(guī)則設(shè)置會大大降低路由器的性能。</p><p><b>　　二.第二代防火墻&l

36、t;/b></p><p>　　可以說基于路由器的第一代防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施，用這種權(quán)宜之計去對付黑客的攻擊是十分危險的。為了彌補(bǔ)路由器防火墻的不足，很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護(hù)自己的網(wǎng)絡(luò)，從而推動了用戶防火墻工具套的出現(xiàn)。這就是我們所說的第二代防火墻[4]（圖2-2）。</p><p><b>　　圖2-2</b></

37、p><p>　?。ㄒ唬?第二代防火墻的特點(diǎn)：</p><p>　　作為第二代防火墻產(chǎn)品，用戶化的防火墻工具套具有以下特點(diǎn)：</p><p>　　1、將過濾功能從路由器中獨(dú)立出來，并加上審計和告警功能；</p><p>　　2、針對用戶需求，提供模塊化的軟件包；</p><p>　　3、軟件可以通過網(wǎng)絡(luò)發(fā)送，用戶可以自

38、己動手構(gòu)造防火墻；</p><p>　　4、與第一代防火墻相比，安全性提高了，價格也降低了。</p><p>　?。ǘ┑诙阑饓Φ牧觿荩邯?lt;/p><p>　　由于是純軟件產(chǎn)品，第二代防火墻產(chǎn)品無論在實(shí)現(xiàn)上還是在維護(hù)上都對系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求，并帶來以下問題：</p><p>　　1、配置和維護(hù)過程復(fù)雜、費(fèi)時；</p

39、><p>　　2、對用戶的技術(shù)要求高；</p><p>　　3、全軟件實(shí)現(xiàn)，使用中出現(xiàn)差錯的情況很多。</p><p><b>　　三.第三代防火墻</b></p><p>　　基于軟件的防火墻在銷售、使用和維護(hù)上的問題迫使防火墻開發(fā)商很快推出了建立在通用操作系統(tǒng)上的商用防火墻產(chǎn)品[4]（圖2-3）。</p>

40、<p>　?。ㄒ唬?第三代防火墻的特點(diǎn)：</p><p>　　近年來市場上廣泛使用的就是這一代產(chǎn)品，它們具有如下一些特點(diǎn)：</p><p>　　1、是批量上市的專用防火墻產(chǎn)品；</p><p>　　2、包括分組過濾或者借用路由器的分組過濾功能；</p><p>　　3、裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；<

41、/p><p>　　4、保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置；</p><p>　　5、安全性和速度大大提高。</p><p>　?。ǘ?第三代防火墻的優(yōu)劣：</p><p>　　第三代防火墻有以純軟件實(shí)現(xiàn)的，也有以硬件方式實(shí)現(xiàn)的，它們已經(jīng)得到了廣大用戶的認(rèn)同。但隨著安全需求的變化和使用時間的推延，仍表現(xiàn)出不少問題，比如：</p&g

42、t;<p>　　1、作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知，由于源碼的保密，其安全性無從保證；</p><p>　　2、由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商，通用操作系統(tǒng)廠商不會對操作系統(tǒng)的安全性負(fù)責(zé)；</p><p>　　3、從本質(zhì)上看，第三代防火墻既要防止來自外部網(wǎng)絡(luò)的攻擊，還要防止來自操作系統(tǒng)廠商的攻擊；</p><p>

43、　　4、在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級網(wǎng)關(guān)且具有加密鑒別功能；</p><p>　　5、透明性好，易于使用。</p><p><b>　　圖2-3</b></p><p><b>　　四．第四代防火墻</b></p><p>　　第四代防火墻的主要技術(shù)及功能（圖2-4）</p>

44、;<p>　　第四代防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一，具有以下技術(shù)功能:</p><p><b>　　圖2-4</b></p><p>　　2、 透明的訪問方式。以前的防火墻在訪問方式上要么要求用戶做系統(tǒng)登錄，要么需要通過SOCKS等庫路徑修改客戶機(jī)的應(yīng)用。第四代防火墻利用了透明的代理系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固有的安全風(fēng)險和出錯概率。</p

45、><p>　　3、 靈活的代理系統(tǒng)。代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊，第四代防火墻采用了兩種代理機(jī)制：一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接；另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)接(NIT)技術(shù)來解決，后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來解決。</p><p>　　4、多級過濾技術(shù)。為保證系統(tǒng)的安全性和防護(hù)水平，第四代防火墻采用了

46、三級過濾措施，并輔以鑒別手段。在分組過濾一級，能過濾掉所有的源路由分組和假冒IP地址；在應(yīng)用級網(wǎng)關(guān)一級，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所有通用服務(wù)；在電路網(wǎng)關(guān)一級，實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透明連接，并對服務(wù)的通行實(shí)行嚴(yán)格控制。</p><p>　　5、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。第四代防火墻利用NAT技術(shù)能透明地對所有內(nèi)部地址做轉(zhuǎn)換，使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時允許內(nèi)部網(wǎng)

47、絡(luò)使用自己編的IP源地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個主機(jī)的通信，確保每個分組送往正確的地址。</p><p>　　6、Internet網(wǎng)關(guān)技術(shù)[5]。由于是直接串聯(lián)在網(wǎng)絡(luò)之中，第四代防火墻必須支持用戶Internet互聯(lián)的所有服務(wù)，同時還要防止與Internet服務(wù)有關(guān)的安全漏洞，故它要能夠以多種安全的應(yīng)用服務(wù)器(包括FTP、Finger、mail、Ident、News、WWW等)來實(shí)現(xiàn)網(wǎng)關(guān)功能。為確保服

48、務(wù)器的安全性，對所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用(chroot)”做物理上的隔離。在域名服務(wù)方面，第四代防火墻采用兩種獨(dú)立的域名服務(wù)器：一種是內(nèi)部DNS服務(wù)器，主要處理內(nèi)部網(wǎng)絡(luò)和DNS信息；另一種是外部DNS服務(wù)器，專門用于處理機(jī)構(gòu)內(nèi)部向Internet提供的部分DNS信息。在匿名FTP方面，服務(wù)器只提供對有限的受保護(hù)的部分目錄的只讀訪問。在WWW服務(wù)器中，只支持靜態(tài)的網(wǎng)頁，而不允許圖形或CGI代碼等在防火墻內(nèi)運(yùn)行。在Fing

49、er服務(wù)器中，對外部訪問，防火墻只提供可由內(nèi)部用戶配置的基本的文本信息，而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP與POP郵件服務(wù)器要對所有進(jìn)、出防火墻的郵件做處理，并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境。Ident服務(wù)器對用戶連接的識別做專門處理，網(wǎng)絡(luò)新</p><p>　　7、安全服務(wù)器網(wǎng)絡(luò)(SSN) 。為了適應(yīng)越來越多的用戶向Internet上提供服務(wù)時對服務(wù)器的需要，第四代防火墻采用分別保護(hù)的策

50、略對用戶上網(wǎng)的對外服務(wù)器實(shí)施保護(hù)，它利用一張網(wǎng)卡將對外服務(wù)器作為一個獨(dú)立網(wǎng)絡(luò)處理，對外服務(wù)器既是內(nèi)部網(wǎng)絡(luò)的一部分，又與內(nèi)部網(wǎng)關(guān)完全隔離，這就是安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù)。而對SSN上的主機(jī)既可單獨(dú)管理，也可設(shè)置成通過FTP、Telnet等方式從內(nèi)部網(wǎng)上管理。SSN方法提供的安全性要比傳統(tǒng)的“隔離區(qū)(DMZ)”方法好得多，因?yàn)镾SN與外部網(wǎng)之間有防火墻保護(hù)，SSN與風(fēng)部網(wǎng)之間也有防火墻的保護(hù)，而DMZ只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的

51、一種防火墻方式。換言之，一旦SSN受破壞，內(nèi)部網(wǎng)絡(luò)仍會處于防火墻的保護(hù)之下，而一旦DMZ受到破壞，內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。</p><p>　　8、用戶鑒別與加密。為了減低防火墻產(chǎn)品在Telnet、FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險，鑒別功能必不可少。第四代防火墻采用一次性使用的口令系統(tǒng)來作為用戶的鑒別手段，并實(shí)現(xiàn)了對郵件的加密。</p><p>　　9、 用戶定制服務(wù)。為了滿足特定

52、用戶的特定需求，第四代防火墻在提供眾多服務(wù)的同時，還為用戶定制提供支持，這類選項(xiàng)有：通用TCP、出站UDP、FTP、SMTP等，如果某一用戶需要建立一個數(shù)據(jù)庫的代理，便可以利用這些支持，方便設(shè)置。</p><p>　　10、審計和告警。第四代防火墻產(chǎn)品采用的審計和告警功能十分健全，日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理

53、日志、進(jìn)站代理、FTP代理、出站代理、郵件服務(wù)器、名服務(wù)器等。告警功能會守住每一個TCP或UDP探尋，并能以發(fā)出郵件、聲響等多種方式報警。</p><p>　　此外，第四代防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面具有特色。</p><p>　　（二） 第四代防火墻技術(shù)的實(shí)現(xiàn)方法</p><p>　　在第四代防火墻產(chǎn)品的設(shè)計與開發(fā)中，安全內(nèi)核、代理系統(tǒng)、多級過濾、安全

54、服務(wù)器、鑒別與加密是關(guān)鍵所在。</p><p>　　1、安全內(nèi)核的實(shí)現(xiàn)</p><p>　　第四代防火墻是建立在安全操作系統(tǒng)之上的，安全操作系統(tǒng)來自對專用操作系統(tǒng)的安全加固和改造，從現(xiàn)在的諸多產(chǎn)品看，對安全操作系統(tǒng)內(nèi)核的固化與改造主要從以下幾個方面進(jìn)行：</p><p>　?。?）取消危險的系統(tǒng)調(diào)用；</p><p>　?。?）限制命令

55、的執(zhí)行權(quán)限；</p><p>　?。?）取消IP的轉(zhuǎn)發(fā)功能；</p><p>　　（4）檢查每個分組的接口；</p><p>　?。?）采用隨機(jī)連接序號；</p><p>　　（6）駐留分組過濾模塊；</p><p>　?。?）取消動態(tài)路由功能；</p><p>　?。?）采用多個安

56、全內(nèi)核。</p><p>　　2、代理系統(tǒng)的建立</p><p>　　防火墻不允許任何信息直接穿過它，對所有的內(nèi)外連接均要通過代理系統(tǒng)來實(shí)現(xiàn)，為保證整個防火墻的安全，所有的代理都應(yīng)該采用改變根目錄方式存在一個相對獨(dú)立的區(qū)域以安全隔離。</p><p>　　在所有的連接通過防火墻前，所有的代理要檢查已定義的訪問規(guī)則，這些規(guī)則控制代理的服務(wù)根據(jù)以下內(nèi)容處理分組：

57、</p><p><b>　　（1）源地址；</b></p><p><b>　?。?）目的地址；</b></p><p><b>　?。?）時間；</b></p><p>　　（4）同類服務(wù)器的最大數(shù)量。</p><p>　　所有外部網(wǎng)絡(luò)到防火

58、墻內(nèi)部或SSN的連接由進(jìn)站代理處理，進(jìn)站代理要保證內(nèi)部主機(jī)能夠了解外部主機(jī)的所有信息，而外部主機(jī)只能看到防火墻之外或SSN的地址。</p><p>　　所有從內(nèi)部網(wǎng)絡(luò)SSN通過防火墻與外部網(wǎng)絡(luò)建立的連接由出站代理處理，出站代理必須確保完全由它代表內(nèi)部網(wǎng)絡(luò)與外部地址相連，防止內(nèi)部網(wǎng)址與外部網(wǎng)址的直接連接，同時還要處理內(nèi)部網(wǎng)絡(luò)SSN的連接。</p><p>　　3、分組過濾器的設(shè)計<

59、;/p><p>　　作為防火墻的核心部件之一，過濾器的設(shè)計要盡量做到減少對防火墻的訪問，過濾器在調(diào)用時將被下載到內(nèi)核中執(zhí)行，服務(wù)終止時，過濾規(guī)則會從內(nèi)核中消除，所有的分組過濾功能都在內(nèi)核中IP堆棧的深層運(yùn)行，極為安全。分組過濾器包括以下參數(shù)。</p><p><b>　?。?）進(jìn)站接口；</b></p><p><b>　?。?）出站

60、接口；</b></p><p>　?。?）允許的連接；</p><p>　?。?）源端口范圍；</p><p><b>　?。?）源地址；</b></p><p>　?。?）目的端口的范圍等。</p><p>　　對每一種參數(shù)的處理都充分體現(xiàn)設(shè)計原則和安全政策。</p

61、><p>　　4、 安全服務(wù)器的設(shè)計</p><p>　　安全服務(wù)器的設(shè)計有兩個要點(diǎn)：第一，所有SSN的流量都要隔離處理，即從內(nèi)部網(wǎng)和外部網(wǎng)而來的路由信息流在機(jī)制上是分離的；第二，SSN的作用類似于兩個網(wǎng)絡(luò)，它看上去像是內(nèi)部網(wǎng)，因?yàn)樗鼘ν馔该?，同時又像是外部網(wǎng)絡(luò)，因?yàn)樗鼜膬?nèi)部網(wǎng)絡(luò)對外訪問的方式十分有限。</p><p>　　SSN上的每一個服務(wù)器都隱蔽于Interne

62、t，SSN提供的服務(wù)對外部網(wǎng)絡(luò)而言好像防火墻功能，由于地址已經(jīng)是透明的，對各種網(wǎng)絡(luò)應(yīng)用沒有限制。實(shí)現(xiàn)SSN的關(guān)鍵在于：</p><p>　　（1）解決分組過濾器與SSN的連接；</p><p>　?。?）支持通過防火墻對SSN的訪問；</p><p>　?。?）支持代理服務(wù)。</p><p>　　5、 鑒別與加密的考慮</p&

63、gt;<p>　　鑒別與加密是防火墻識別用戶、驗(yàn)證訪問和保護(hù)信息的有效手段，鑒別機(jī)制除了提供安全保護(hù)之外，還有安全管理功能，目前國外防火墻產(chǎn)品中廣泛使用令牌鑒別方式，具體方法有兩種一種是加密卡(Crypto Card)；另一種是Secure ID，這兩種都是一次性口令的生成工具。</p><p><b>　　五、小結(jié)</b></p><p>　　通過表2

64、-1我們可以看出從第一代分組過濾防火墻到最新的將網(wǎng)關(guān)與安全系統(tǒng)合二為一的第四代防火墻，防火墻的技術(shù)發(fā)展日趨成熟，從最當(dāng)初的依賴于路</p><p>　　由器的分組過濾技術(shù)，到第四代防火墻的防火墻獨(dú)立化，安全策略也呈現(xiàn)多樣化和全面化，但是我們可以看出盡管到了第四代防火墻，依然只是對端口和協(xié)議進(jìn)行控制即網(wǎng)絡(luò)層控制。日新月異的互聯(lián)網(wǎng)技術(shù)和網(wǎng)絡(luò)威脅，例如：木馬、蠕蟲等</p><p>　　等都是發(fā)

65、生在應(yīng)用層而并非網(wǎng)絡(luò)層，讓傳統(tǒng)防火墻鞭長莫及。同時，傳統(tǒng)防火墻</p><p><b>　　表2-1</b></p><p>　　無法對應(yīng)用、業(yè)務(wù)和用戶完全識別并加以控制，其次Web2.0時代的新型威脅更多依賴僵尸網(wǎng)絡(luò)和面向應(yīng)用的復(fù)雜行為，企業(yè)必須依賴其他產(chǎn)品的部署以局部緩解現(xiàn)有問題。再次，傳統(tǒng)防火墻無法對網(wǎng)絡(luò)互連及業(yè)務(wù)流量進(jìn)行智能化的細(xì)粒度控制和優(yōu)化。企業(yè)需要在可選

66、接入鏈路之間自動切換或自由組合;需要能根據(jù)業(yè)務(wù)的優(yōu)先級，高效實(shí)現(xiàn)鏈路的失效備援機(jī)制;需要識別應(yīng)用、用戶、群組、網(wǎng)絡(luò)或鏈路狀態(tài)，以實(shí)現(xiàn)組合和優(yōu)化。最后，面對分布式的網(wǎng)絡(luò)環(huán)境，傳統(tǒng)防火墻沒有相應(yīng)的策略管理和控制，導(dǎo)致運(yùn)維成本比較高。所以傳統(tǒng)防火墻的功能和應(yīng)對策略面對新興網(wǎng)絡(luò)環(huán)境已經(jīng)有所缺失。</p><p>　　第三章防火墻技術(shù)的發(fā)展展望</p><p>　　隨著以應(yīng)用為主時代的來臨，企業(yè)所

67、采用的技術(shù)以及面臨的威脅都促使了網(wǎng)絡(luò)安全新要求的產(chǎn)生。Gartner統(tǒng)計（圖3-1）表明高達(dá)3/4的網(wǎng)絡(luò)威脅是木馬，木馬是基于應(yīng)用層而非網(wǎng)絡(luò)層的，而防火墻卻依然如故，基于端口/協(xié)議的防御方式已經(jīng)無力招架應(yīng)用環(huán)境下的多變威脅[6] 。因此，需恢復(fù)防火墻中對應(yīng)用程序的可視性與控制性，Gartner所稱之“下一代防火墻”開始嶄露頭角。</p><p>　　近日，梭子魚正式在中國市場發(fā)布其2011年度的重量級產(chǎn)品——梭子

68、魚下一代防火墻。ZOL記者第一時間采訪到了梭子魚中國區(qū)總經(jīng)理何平以及梭子魚中國區(qū)技術(shù)總監(jiān)谷新。</p><p><b>　　圖3-1</b></p><p>　　何平先生表示：現(xiàn)在從網(wǎng)絡(luò)上搜索可以發(fā)現(xiàn)很多公司都有下一代防火墻，當(dāng)然很多人會找一些官方的說法，總結(jié)起來有三點(diǎn)：第一，下一代防火墻是基于角色和應(yīng)用的管理設(shè)備；第二，它具有傳統(tǒng)防火墻的所有功能；第三，具備智能的流

69、量管理控制和策略配合。這也是下一代防火墻的三要素。</p><p>　　而梭子魚此次發(fā)布的下一代防火墻除了具備剛才定義的三要素之外，還有一個很重要特性——廣域網(wǎng)鏈路均衡。如果用戶只有一條鏈路，一旦保護(hù)中斷就不能接入。所以現(xiàn)在的安全已經(jīng)不單純是有沒有病毒的環(huán)境，而是要保護(hù)業(yè)務(wù)連續(xù)性。梭子魚下一代防火墻可以很好的完成這個任務(wù)。</p><p>　　另外，下一代防火墻還具備高效的特點(diǎn)，顯然傳統(tǒng)U

70、TM在功能疊加上無法實(shí)現(xiàn)應(yīng)用高效，自然在管理控制上也難有起色。下一代防火墻通過融合過程，讓管理者更加輕松。德國的客戶用了3000臺下一代防火墻，卻只需2個網(wǎng)管人員，為什么能夠做到？因?yàn)樗幸粋€集中設(shè)備管理器，以此可以監(jiān)控所有的設(shè)備，這種高效的特性無疑對大網(wǎng)絡(luò)環(huán)境有著重要意義。</p><p>　　考慮到新產(chǎn)品更強(qiáng)大的功能，ZOL記者詢問用戶采購新產(chǎn)品會不會帶來成本上的壓力。何平先生認(rèn)為新產(chǎn)品推向市場成本肯定會高一

71、些，主要是產(chǎn)能數(shù)量沒有達(dá)到一定規(guī)模，造成單體設(shè)備成本下不來，但是目前梭子魚的下一代防火墻價格在用戶能夠接受的范圍內(nèi)。</p><p>　　對于下一代防火墻的出現(xiàn)是否會對梭子魚目前WEB應(yīng)用防火墻等相關(guān)產(chǎn)品造成沖擊，何平先生表示下一代防火墻是一個分界點(diǎn)，梭子魚的下一代防火墻NG Firewall已經(jīng)不單純是4-7層的應(yīng)用安全，而是網(wǎng)絡(luò)層+應(yīng)用層的安全保護(hù)，WEB應(yīng)用防火墻主要用于主機(jī)的保護(hù)，所以相互之間不排斥，畢竟

72、產(chǎn)品面向?qū)ο蟛煌⑶以诰C合安全中同樣需要更專業(yè)的設(shè)備。</p><p>　　據(jù)Gartner對500強(qiáng)企業(yè)IT技術(shù)關(guān)注度調(diào)查表明（表3-1），2010年排在前</p><p>　　兩位的技術(shù)分別為云計算和虛擬化。對此梭子魚中國區(qū)技術(shù)總監(jiān)谷新表示，下一代防火墻的一個重要屬性就是融入到云計算和虛擬化的安全保護(hù)中來。</p><p>　　對用戶來說，梭子魚不僅要提供虛擬

73、化解決方案，還要有云計算的解決方案，</p><p>　　表3-1 Gartner 2010年十大IT技術(shù)</p><p>　　包括下一代防火墻控制中心，這是基于云計算的一種管理模式。梭子魚現(xiàn)在專注于為用戶提供易于部署和維護(hù)的高性價比的網(wǎng)絡(luò)安全解決方案，而且這也是未來核心的產(chǎn)品市場理念。</p><p><b>　　結(jié)論</b></p&g

74、t;<p>　　Gartner統(tǒng)計表明，基于網(wǎng)絡(luò)層的傳統(tǒng)防火墻顯得日益先天不足和力不從心。這就需要一種全新的網(wǎng)絡(luò)安全產(chǎn)品出現(xiàn)，雖然集成多種安全功能的UTM已經(jīng)面世許久，可是其令人生畏的低下效率實(shí)在難以滿足客戶的需要。下一代防火墻概念應(yīng)運(yùn)而生。Gartner將網(wǎng)絡(luò)防火墻定義為在線安全控制措施，即：可實(shí)時在各受信級網(wǎng)絡(luò)間執(zhí)行網(wǎng)絡(luò)安全策略?！跋乱淮阑饓Α边@一術(shù)語以應(yīng)對目前業(yè)務(wù)程序使用IT的方法以及針對業(yè)務(wù)系統(tǒng)所發(fā)起的攻擊方法所

75、發(fā)生的改變。顯然，今天的網(wǎng)絡(luò)安全市場已經(jīng)發(fā)生了巨大變化，傳統(tǒng)防火墻面臨的不只是挑戰(zhàn)，而是生死存亡。越來越多的廠商也開始加入到下一代防火墻的隊(duì)伍中來，而對于用戶端，越來越復(fù)雜的應(yīng)用需求和迫切希望整合管理變得更加普遍，“下一代防火墻”早晚會變成未來人眼中的“這一代防火墻”。</p><p>　　參考文獻(xiàn)[1] WesNoonanIdoDubrawsk.防火墻基礎(chǔ)[M].北京:人民郵電出版社.2007-6:20-27

76、</p><p>　　[2] 黎連業(yè),張維. 防火墻及其應(yīng)用技術(shù)[M]. 北京：清華大學(xué)出版社.2007-5:45-56</p><p>　　[3] 蔡永泉編著.計算機(jī)網(wǎng)絡(luò)安全[M].北京:航空航天大學(xué)出版社,2006.10:11-15 [4] 趙安軍,曾應(yīng)員,徐邦海,常春藤編著.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[M].北京:人民郵電出版社,2007-7:56-66</p><p&

77、gt;　　[5] 李華飚,柳振良,王恒等.防火墻核心技術(shù)精解[M].北京：中國水利水電出版社2005-4-1:56-61[6] 王代潮,曾德超.防火墻技術(shù)的演變及其發(fā)展趨勢分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2005-5(1):3-8</p><p><b>　　附錄</b></p><p>　　Gartner：高德納咨詢公司 全球最具權(quán)威的IT研究與顧問咨詢公司<

78、;/p><p>　　ZOL：中關(guān)村在線——中國第一科技門戶</p><p>　　UTM:安全網(wǎng)關(guān) 英文全稱：Unified Threat Management</p><p>　　IDS：“Intrusion Detection Systems”縮寫，中文意思是“入侵檢測系統(tǒng)”</p><p>　　CGI：Common Gateway Inter