防火墻術(shù)研究畢業(yè)論文

1、<p><b>　　緒論</b></p><p>　　科學(xué)技術(shù)的飛速發(fā)展，人們已經(jīng)生活在信息時代。計算機技術(shù)和網(wǎng)絡(luò)技術(shù)深入到社會的各個領(lǐng)域，因特網(wǎng)把“地球村”的居民緊密地連在了一起。近年來因特網(wǎng)的飛速發(fā)展，給人們的生活帶來了全新地感受，人類社會各種活動對信息網(wǎng)絡(luò)地依賴程度已經(jīng)越來越大。然而，凡事“有利必有一弊”，人們在得益于信息所帶來的新的巨大機遇的同時，也不得不面對信息安全問題的

2、嚴峻考驗?！昂诳凸簟本W(wǎng)站被“黑”，“CIH病毒”無時無刻不充斥在網(wǎng)絡(luò)中?！半娮討?zhàn)”已成為國與國之間，商家與商家之間的一種重要的攻擊與防衛(wèi)手段。因此信息安全，網(wǎng)絡(luò)安全的問題已經(jīng)引起各國，各部門，各行各業(yè)以及每個計算機用戶的充分重視。</p><p>　　因特網(wǎng)提供給人們的不僅僅是精彩，還無時無刻地存在各種各樣的危險和陷阱。對此，我們既不能對那些潛在的危險不予重視，遭受不必要的損失；也不能因為害怕某些危險而拒絕因特

3、網(wǎng)的各種有益的服務(wù)，對個人來說這樣會失去了了解世界、展示自己的場所，對企業(yè)來說還失去了拓展業(yè)務(wù)、提高服務(wù)、增強競爭力的機會。不斷地提高自身網(wǎng)絡(luò)的安全才是行之有效地辦法。</p><p><b>　　緒論1</b></p><p>　　第一章 防火墻是什么2</p><p>　　第二章 防火墻的分類3</p><p>

4、;　　第三章 防火墻功能概述6</p><p>　　(1)根據(jù)應(yīng)用程序訪問規(guī)則可對應(yīng)用程序連網(wǎng)動作進行過濾6</p><p>　　第四章 防火墻的不足7</p><p>　　第五章 防火墻主要技術(shù)特點8</p><p>　　第六章 防火墻的典型配置9</p><p>　　6.2.屏蔽主機網(wǎng)關(guān)（Screened

5、 Host Gateway）9</p><p>　　6.3.屏蔽子網(wǎng)（Screened Subnet）9</p><p>　　第七章 各種防火墻體系結(jié)構(gòu)的優(yōu)缺點10</p><p>　　第八章 常見攻擊方式以及應(yīng)對策略11</p><p>　　8.1 .1 病毒11</p><p>　　8.1.3 郵件1

6、2</p><p>　　8.2 應(yīng)對策略12</p><p>　　8.2.1 方案選擇12</p><p>　　8.2.3 堅持策略12</p><p>　　第九章 防火墻的發(fā)展趨勢13</p><p>　　4)單向防火墻(又叫做網(wǎng)絡(luò)二極管)將作為一種產(chǎn)品門類而出現(xiàn)。16</p><

7、p>　　第一章 防火墻是什么</p><p>　　防火墻是一種非常有效的網(wǎng)絡(luò)安全模型。主要用來保護安全網(wǎng)絡(luò)免受來自不安全網(wǎng)絡(luò)的入侵，比如安全網(wǎng)絡(luò)可能是企業(yè)的內(nèi)部網(wǎng)絡(luò)，不安全網(wǎng)絡(luò)是因特網(wǎng)。但防火墻不只是用于因特網(wǎng)，也用于Intranet中的部門網(wǎng)絡(luò)之間。在邏輯上，防火墻是過濾器 限制器和分析器；在物理上，防火墻的實現(xiàn)有多種方式。通常，防火墻是一組硬件設(shè)備－路由器，主計算機，或者是路由器，計算機和配有的軟件的網(wǎng)

8、絡(luò)的組合。不同的防火墻配置的方法也不同，這取決于安全策略，預(yù)算以及全面規(guī)劃等。</p><p>　　第二章 防火墻的分類</p><p>　　從防火墻的防范方式和側(cè)重點的不同來看，防火墻可以分為很多類型，但是根據(jù)防火墻對內(nèi)外來往數(shù)據(jù)處理方法，大致可將防火墻分為兩大體系：包過濾防火墻和代理防火墻。</p><p>　　包過濾防火墻經(jīng)歷了兩代：</p>&

9、lt;p>　　2.1靜態(tài)包過濾防火墻</p><p>　　靜態(tài)包過濾防火墻采用的是一個都不放過的原則。它會檢查所有通過信息包里的IP地址號，端口號及其它的包頭信息，并根據(jù)系統(tǒng)管理員給定的過濾規(guī)則和準備過濾的信息包一一匹配，其中：如果信息包中存在一點與過濾規(guī)則不符合，那么這個信息包里所有的信息都會被防火墻屏蔽掉，這個信息包就不會通過防火墻。相反的，如果每條規(guī)都和過濾規(guī)則相匹配，那么信息包就允許通過。靜態(tài)包的過

10、濾原理就是：將信息分成若干個小數(shù)據(jù)片（數(shù)據(jù)包），確認符合防火墻的包過濾規(guī)則后，把這些個小數(shù)據(jù)片按順序發(fā)送，接收到這些小數(shù)據(jù)片后再把它們組織成一個完整的信息這個就是包過濾的原理。</p><p>　　2.2動態(tài)包過濾防火墻</p><p>　　靜態(tài)包過濾防火墻的缺點，動態(tài)包過濾防火墻都可以避免。它采用的規(guī)則是發(fā)展為“包狀態(tài)檢測技術(shù)”的動態(tài)設(shè)置包過濾規(guī)則。它可以根據(jù)需要動態(tài)的在過濾原則中增加或

11、更新條目，在這點上靜態(tài)防火墻是比不上它的，它主要對建立的每一個連接都進行跟蹤。在這里我們了解的是代理防火墻。代理服務(wù)器型防火墻與包過濾防火墻不同之點在于，它的內(nèi)外網(wǎng)之間不存在直接的連接，一般由兩部分組成：服務(wù)器端程序和客戶端程序，其中客戶端程序通過中間節(jié)點與提供服務(wù)的服務(wù)器連接。代理服務(wù)器型防火墻提供了日志和審記服務(wù)。</p><p>　　2.2.1  代理（應(yīng)用層網(wǎng)關(guān)）防火墻</p>&

12、lt;p>　　這種防火墻被網(wǎng)絡(luò)安全專家認為是最安全的防火墻，主要是因為從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就像是源于防火墻外部網(wǎng)卡一樣，可以達到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。由于內(nèi)外網(wǎng)的計算機對話機會根本沒有，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)?！?2.2.2自適應(yīng)代理防火墻</p><p>　　自適應(yīng)代理技術(shù)是商業(yè)應(yīng)用防火墻中實現(xiàn)的一種革命性技術(shù)。它結(jié)合了代理類型防火墻和包過濾防火墻的優(yōu)

13、點，即保證了安全性又保持了高速度，同時它的性能也在代理防火墻的十倍以上，在一般的情況下，用戶更傾向于這種防火墻。</p><p>　　我們把兩種防火墻的優(yōu)缺點的對比用下列圖表的形式表示如下：</p><p>　　第三章 防火墻功能概述</p><p>　　防火墻是一個保護裝置，它是一個或一組網(wǎng)絡(luò)設(shè)備裝置。通常是指運行特別編寫或更改過操作系統(tǒng)的計算機，它的目的就是保護

14、內(nèi)部網(wǎng)的訪問安全。防火墻可以安裝在兩個組織結(jié)構(gòu)的內(nèi)部網(wǎng)與外部的Internet之間，同時在多個組織結(jié)構(gòu)的內(nèi)部網(wǎng)和Internet之間也會起到同樣的保護作用。它主要的保護就是加強外部Internet對內(nèi)部網(wǎng)的訪問控制，它主要任務(wù)是允許特別的連接通過，也可以阻止其它不允許的連接。防火墻只是網(wǎng)絡(luò)安全策略的一部分，它通過少數(shù)幾個良好的監(jiān)控位置來進行內(nèi)部網(wǎng)與Internet的連接。</p><p>　　防火墻的核心功能主要

15、是包過濾。其中入侵檢測，控管規(guī)則過濾，實時監(jiān)控及電子郵件過濾這些功能都是基于封包過濾技術(shù)的。       </p><p>　　防火墻的主體功能歸納為以下幾點：</p><p>　　(1)根據(jù)應(yīng)用程序訪問規(guī)則可對應(yīng)用程序連網(wǎng)動作進行過濾</p><p>　　(2)對應(yīng)用程序訪問規(guī)則具有自學(xué)習(xí)功能。</

16、p><p>　　(3)可實時監(jiān)控，監(jiān)視網(wǎng)絡(luò)活動。</p><p>　　(4)具有日志，以記錄網(wǎng)絡(luò)訪問動作的詳細信息。</p><p>　　(5)被攔阻時能通過聲音或閃爍圖標給用戶報警提示。</p><p>　　防火墻僅靠這些核心技術(shù)功能是遠遠不夠的。核心技術(shù)是基礎(chǔ),必須在這個</p><p>　　基礎(chǔ)之上加入輔助功能才能流

17、暢的工作。而實現(xiàn)防火墻的核心功能是封包過濾。</p><p>　　第四章 防火墻的不足</p><p>　　防火墻對網(wǎng)絡(luò)的威脅進行極好的防范，但是，它們不是安全解決方按的全部。某些威脅是防火墻力所不及的。</p><p>　　防火墻不能防止內(nèi)部的攻擊，因為它只提供了對網(wǎng)絡(luò)邊緣的防衛(wèi)。內(nèi)部人員可能濫用被給予的訪問權(quán)，從而導(dǎo)致事故。防火墻也不能防止像社會工程攻擊――一種

18、很常用的入侵手段，就是靠欺騙獲得一些可以破壞安全的信息，如網(wǎng)絡(luò)的口令。另外，一些用來傳送數(shù)據(jù)的電話線很有可能被用來入侵內(nèi)部網(wǎng)絡(luò)。</p><p>　　另一個防止的是懷有惡意的代碼：病毒和特洛伊木馬。雖然現(xiàn)在有些防火墻可以檢查病毒和特洛伊木馬，但這些防火墻只能阻擋已知的惡意程序，這就可能讓新的病毒和木馬溜進來。而且，這些惡意程序不僅僅來自網(wǎng)絡(luò)，也可能來自軟盤。</p><p>　　第五章 防

19、火墻主要技術(shù)特點</p><p>　?。?）應(yīng)用層采用Winsock 2 SPI進行網(wǎng)絡(luò)數(shù)據(jù)控制、過濾；</p><p>　　（2）核心層采用NDIS HOOK進行控制，尤其是在Windows 2000 下，此技術(shù)屬微軟未公開技術(shù)。</p><p>　　此防火墻還采用兩種封包過濾技術(shù)：一是應(yīng)用層封包過濾，采用Winsock 2 SPI ；二是核心層封包過濾，采用ND

20、IS_HOOK。</p><p>　　Winsock 2 SPI 工作在API之下、Driver之上，屬于應(yīng)用層的范疇。利用這項技術(shù)可以截獲所有的基于Socket的網(wǎng)絡(luò)通信。比如IE、OUTLOOK等常見的應(yīng)用程序都是使用Socket進行通信。采用Winsock 2 SPI的優(yōu)點是非常明顯的：其工作在應(yīng)用層以DLL的形式存在，編程、測試方便；跨Windows 平臺，可以直接在Windows98/ME/NT/200

21、0/XP 上通用，Windows95 只需安裝上Winsock 2 for 95，也可以正常運行；效率高，由于工作在應(yīng)用層，CPU 占用率低；封包還沒有按照低層協(xié)議進行切片，所以比較完整。而防火墻正是在TCP/IP協(xié)議在windows的基礎(chǔ)上才得以實現(xiàn)。</p><p>　　第六章 防火墻的典型配置 </p><p>　　目前比較流行的有以下三種防火墻配置方案。 </p>

22、<p>　　6.1.置是用一臺裝有兩個網(wǎng)絡(luò)適配器的雙宿主機做防火墻。雙宿主機用兩個網(wǎng)絡(luò)適配器分別連接兩個網(wǎng)絡(luò)，又稱堡壘主機。 </p><p>　　堡壘主機上運行著防火墻軟件（通常是代理服務(wù)器），可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機網(wǎng)關(guān)有一個致命弱點， </p><p>　　一旦入侵者侵入堡壘主機并使該主機只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問有保護的內(nèi)部網(wǎng)絡(luò)（如圖1）

23、。 </p><p>　　6.2.屏蔽主機網(wǎng)關(guān)（Screened Host Gateway） </p><p>　　屏蔽主機網(wǎng)關(guān)易于實現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。先來看單宿堡壘主機類型。 </p><p>　　一個包過濾路由器連接外部網(wǎng)絡(luò)，同時一個堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機只有一個網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接（如圖2）。

24、</p><p>　　通常在路由器上設(shè)立過濾規(guī)則，并使這個單宿堡壘主機成為從Internet惟一可以訪問的主機， </p><p>　　確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而Intranet內(nèi)部的客戶機，可以受控制地通過屏蔽主機和路由器訪問Internet。 </p><p>　　雙宿堡壘主機型與單宿堡壘主機型的區(qū)別是，堡壘主機有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)

25、，一塊連接包過濾路由器（如圖3）。 </p><p>　　雙宿堡壘主機在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。 </p><p>　　6.3.屏蔽子網(wǎng)（Screened Subnet） </p><p>　　這種方法是在Intranet和Internet之間建立一個被隔離的子網(wǎng)，用兩個包過濾路由器將這一子網(wǎng)分別與Intranet和Internet分開。兩個包

26、過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個“緩沖地帶”，兩個路由器一個控制Intranet 數(shù)據(jù)流，另一個控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信?？筛鶕?jù)需要在屏蔽子網(wǎng)中安裝堡壘主機，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問提供代理服務(wù)， </p><p>　　但是來自兩網(wǎng)絡(luò)的訪問都必須通過兩個包過濾路由器的檢查。對于向Internet公開的服務(wù)器，像WWW

27、、FTP、Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無論是外部用戶，還是內(nèi)部用戶都可訪問。 </p><p>　　這種結(jié)構(gòu)的防火墻安全性能高，具有很強的抗攻擊能力，但需要的設(shè)備多，造價高。當(dāng)然，防火墻本身也有其局限性，如不能防范繞過防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸；難以避免來自內(nèi)部的攻擊等等?？傊?，防火墻只是一種整體安全防范策略的一部分，僅有防火墻是不夠的， &l

28、t;/p><p>　　安全策略還必須包括全面的安全準則，即網(wǎng)絡(luò)訪問、本地和遠程用戶認證、撥出撥入呼叫、磁盤和數(shù)據(jù)加密以及病毒防護等有關(guān)的安全策略。 </p><p>　　第七章 各種防火墻體系結(jié)構(gòu)的優(yōu)缺點 </p><p>　　7.1.雙重宿主主機體系結(jié)構(gòu)</p><p>　　它提供來自與多個網(wǎng)絡(luò)相連的主機的服務(wù)(但是路由關(guān)閉)，它圍繞雙重宿主

29、主計算機構(gòu)筑。該計算機至少有2個網(wǎng)絡(luò)接口，位于因特網(wǎng)與內(nèi)部網(wǎng)之間，并被連接到因特網(wǎng)和內(nèi)部網(wǎng)。2個網(wǎng)絡(luò)都可以與雙重宿主主機通信，但相互之間不行，它們之間的IP通信被完全禁止。雙重宿主主機僅能通過代理或用戶直接登錄到雙重宿主主機來提供服務(wù)。它能提供級別非常高的控制，并保證內(nèi)部網(wǎng)上沒有外部的IP包。但這種體系結(jié)構(gòu)中用戶訪問因特網(wǎng)的速度會較慢，也會因為雙重宿主主機的被侵襲而失效。 </p><p>　　7.2.被屏蔽主機

30、體系結(jié)構(gòu)</p><p>　　使用1個單獨的路由器提供來自僅僅與內(nèi)部網(wǎng)絡(luò)相連的主機的服務(wù)。屏蔽路由器位于因特網(wǎng)與內(nèi)部網(wǎng)之間，提供數(shù)據(jù)包過濾功能。堡壘主機是1個高度安全的計算機系統(tǒng)，通常因為它暴露于因特網(wǎng)之下，作為聯(lián)結(jié)內(nèi)部網(wǎng)絡(luò)用戶的橋梁，易受到侵襲損害。這里它位于內(nèi)部網(wǎng)上，數(shù)據(jù)包過濾規(guī)則設(shè)置它為因特網(wǎng)上唯一能連接到內(nèi)部網(wǎng)絡(luò)上的主機系統(tǒng)。它也可以開放一些連接(由站點安全策略決定)到外部世界。在屏蔽路由器中，數(shù)據(jù)包過濾

31、配置可以按下列之一執(zhí)行：①允許其他內(nèi)部主機，為了某些服務(wù)而開放到因特網(wǎng)上的主機連接(允許那些經(jīng)由數(shù)據(jù)包過濾的服務(wù))。②不允許來自內(nèi)部主機的所有連接(強迫這些主機經(jīng)由堡壘主機使用代理服務(wù))?！　∵@種體系結(jié)構(gòu)通過數(shù)據(jù)包過濾來提供安全，而保衛(wèi)路由器比保衛(wèi)主機較易實現(xiàn)，因為它提供了非常有限的服務(wù)組，因此這種體系結(jié)構(gòu)提供了比雙重宿主主機體系結(jié)構(gòu)更好的安全性和可用性。 </p><p>　　弊端是，若是侵襲者設(shè)法入侵堡壘主

32、機，則在堡壘主機與其他內(nèi)部主機之間無任何保護網(wǎng)絡(luò)安全的東西存在；路由器同樣可能出現(xiàn)單點失效，若被損害，則整個網(wǎng)絡(luò)對侵襲者開放。 </p><p>　　7.3.被屏蔽子網(wǎng)體系結(jié)構(gòu)</p><p>　　考慮到堡壘主機是內(nèi)部網(wǎng)上最易被侵襲的機器(因為它可被因特網(wǎng)上用戶訪問)，我們添加額外的安全層到被屏蔽主機體系結(jié)構(gòu)中，將堡壘主機放在額外的安全層，構(gòu)成了這種體系結(jié)構(gòu)。這種在被保護的網(wǎng)絡(luò)和外部網(wǎng)之間

33、增加的網(wǎng)絡(luò)，為系統(tǒng)提供了安全的附加層，稱之為周邊網(wǎng)。這種體系結(jié)構(gòu)有2個屏蔽路由器，每1個都連接到周邊網(wǎng)。1個位于周邊網(wǎng)與內(nèi)部網(wǎng)之間，稱為內(nèi)部路由器，另1個位于周邊網(wǎng)與外部網(wǎng)之間，稱之為外部路由器。堡壘主機位于周邊網(wǎng)上。侵襲者若想侵襲內(nèi)部網(wǎng)絡(luò)，必須通過2個路由器，即使他侵入了堡壘主機，仍無法進入內(nèi)部網(wǎng)。因此這種結(jié)構(gòu)沒有損害內(nèi)部網(wǎng)絡(luò)的單一易受侵襲點。</p><p>　　第八章 常見攻擊方式以及應(yīng)對策略</p&

34、gt;<p>　　8 .1常見攻擊方式</p><p><b>　　8.1 .1 病毒</b></p><p>　　盡管某些防火墻產(chǎn)品提供了在數(shù)據(jù)包通過時進行病毒掃描的功能，但仍然很難將所有的病毒（或特洛伊木馬程序）阻止在網(wǎng)絡(luò)外面，黑客很容易欺騙用戶下載一個程序從而讓惡意代碼進入內(nèi)部網(wǎng)。</p><p>　　策略：設(shè)定安全等級，嚴

35、格阻止系統(tǒng)在未經(jīng)安全檢測的情況下執(zhí)行下載程序；或者通過常用的基于主機的安全方法來保護網(wǎng)絡(luò)。</p><p>　　8.1.2 口令字</p><p>　　對口令字的攻擊方式有兩種：窮舉和嗅探。窮舉針對來自外部網(wǎng)絡(luò)的攻擊，來猜測防火墻管理的口令字。嗅探針對內(nèi)部網(wǎng)絡(luò)的攻擊，通過監(jiān)測網(wǎng)絡(luò)獲取主機給防火墻的口令字。</p><p>　　策略：設(shè)計主機與防火墻通過單獨接口通信

36、（即專用服務(wù)器端口）、采用一次性口令或禁止直接登錄防火墻。</p><p><b>　　8.1.3 郵件</b></p><p>　　來自于郵件的攻擊方式越來越突出，在這種攻擊中，垃圾郵件制造者將一條消息復(fù)制成成千上萬份，并按一個巨大的電子郵件地址清單發(fā)送這條信息，當(dāng)不經(jīng)意打開郵件時，惡意代碼即可進入。</p><p>　　策略：打開防火墻上

37、的過濾功能，在內(nèi)網(wǎng)主機上采取相應(yīng)阻止措施。</p><p>　　8.1.4 IP地址</p><p>　　黑客利用一個類似于內(nèi)部網(wǎng)絡(luò)的IP地址，以“逃過”服務(wù)器檢測，從而進入內(nèi)部網(wǎng)達到攻擊的目的。</p><p>　　策略：通過打開內(nèi)核rp_filter功能，丟棄所有來自網(wǎng)絡(luò)外部但卻有內(nèi)部地址的數(shù)據(jù)包；同時將特定IP地址與MAC綁定，只有擁有相應(yīng)MAC地址的用戶才

38、能使用被綁定的IP地址進行網(wǎng)絡(luò)訪問。</p><p><b>　　8.2 應(yīng)對策略</b></p><p>　　8.2.1 方案選擇</p><p>　　市場上的防火墻大致有軟件防火墻和硬件防火墻兩大類。軟件防火墻需運行在一臺標準的主機設(shè)備上，依托網(wǎng)絡(luò)在操作系統(tǒng)上實現(xiàn)防火墻的各種功能，因此也稱“個人”防火墻，其功能有限，基本上能滿足單個用戶。

39、硬件防火墻是一個把硬件和軟件都單獨設(shè)計，并集成在一起，運行于自己專用的系統(tǒng)平臺。由于硬件防火墻集合了軟件方面，從功能上更為強大，目前已普遍使用。</p><p>　　在制造上，硬件防火墻須同時設(shè)計硬件和軟件兩方面。國外廠家基本上是將軟件運算硬件化，將主要運算程序做成芯片，以減少CPU的運算壓力；國內(nèi)廠家的防火墻硬件平臺仍使用通用PC系統(tǒng)，增加了內(nèi)存容量，增大了CPU的頻率。在軟件性能方面，國外一些著名的廠家均采用

40、專用的操作系統(tǒng)，自行設(shè)計防火墻，提供高性能的產(chǎn)品；而國內(nèi)廠家大部分基于Linux操作平臺，有針對性的修改代碼、增加技術(shù)及系統(tǒng)補丁等。因此，國產(chǎn)防火墻與國外的相比仍有一定差距，但科技的進步，也生產(chǎn)出了較為優(yōu)秀的產(chǎn)品。如北京天融信的NG系列產(chǎn)品，支持TOPSEC安全體系、多級過濾、透明應(yīng)用代理等先進技術(shù)。</p><p>　　8.2.2 結(jié)構(gòu)透明</p><p>　　防火墻的透明性是指防火墻

41、對于用戶是透明的。以網(wǎng)橋的方式將防火墻接入網(wǎng)絡(luò)，網(wǎng)絡(luò)和用戶無需做任何設(shè)置和改動，也根本意識不到防火墻的存在。然后根椐自己企業(yè)的網(wǎng)絡(luò)規(guī)模，以及安全策略來選擇合適的防火墻的構(gòu)造結(jié)構(gòu)（可參照本文第3點分析），如果經(jīng)濟實力雄厚的可采用屏蔽子網(wǎng)的拓撲結(jié)構(gòu)。</p><p>　　8.2.3 堅持策略</p><p>　　（1）管理主機與防火墻專用服務(wù)器端口連接，形成單獨管理通道，防止來自內(nèi)外部的攻擊

42、。</p><p>　?。?）使用FTP、Telnet、News等服務(wù)代理，以提供高水平的審計和潛在的安全性。</p><p>　　（3）支持“除非明確允許，否則就禁止”的安全防范原則。</p><p>　　（4）確定可接受的風(fēng)險水平，如監(jiān)測什么傳輸，允許和拒絕什么傳輸流通過。</p><p>　　8.2.4 實施措施</p>

43、<p>　　好的防火墻產(chǎn)品應(yīng)向使用者提供完整的安全檢查功能，應(yīng)有完善及時的售后服務(wù)。但一個安全的網(wǎng)絡(luò)仍必須靠使用者的觀察與改進，企業(yè)要達到真正的安全仍需內(nèi)部的網(wǎng)絡(luò)管理者不斷記錄、追蹤、改進，定期對防火墻和相應(yīng)操作系統(tǒng)用補丁程序進行升級。</p><p>　　第九章 防火墻的發(fā)展趨勢 </p><p>　　9.1.優(yōu)良的性能 </p><p>　　新一代

44、的防火墻系統(tǒng)不僅應(yīng)該能夠更好地保護防火墻后面內(nèi)部網(wǎng)絡(luò)的安全，而且應(yīng)該具有更為優(yōu)良的整體性能。傳統(tǒng)的代理型防火墻雖然可以提供較高級別的安全保護，但是同時它也成為限制網(wǎng)絡(luò)帶寬的瓶頸，這極大地制約了在網(wǎng)絡(luò)中的實際應(yīng)用。數(shù)據(jù)通過率是表示防火墻性能的參數(shù)，由于不同防火墻的不同功能具有不同的工作量和系統(tǒng)資源要求，因此數(shù)據(jù)在通過防火墻時會產(chǎn)生延時。自然，數(shù)據(jù)通過率越高，防火墻性能越好?，F(xiàn)在大多數(shù)的防火墻產(chǎn)品都支持NAT功能，它可以讓防火墻受保護的一邊

45、的IP地址不至于暴露在沒有保護的另一邊，但是啟用NAT后勢必會對防火墻系統(tǒng)的性能有所影響。目前如何盡量減少這種影響也成為防火墻產(chǎn)品的賣點之一。另外防火墻系統(tǒng)中集成的VPN解決方案必須是真正的線速運行，否則將成為網(wǎng)絡(luò)通信的瓶頸。 </p><p>　　9.2. 可擴展的結(jié)構(gòu)和功能 </p><p>　　對于一個好的防火墻系統(tǒng)而言，它的規(guī)模和功能應(yīng)該能夠適應(yīng)內(nèi)部網(wǎng)絡(luò)的規(guī)模和安全策略的變化。選

46、擇哪種防火墻，除了應(yīng)考慮它的基本性能之外，毫無疑問，還應(yīng)考慮用戶的實際需求與未來網(wǎng)絡(luò)的升級。 </p><p>　　未來的防火墻系統(tǒng)應(yīng)是一個可隨意伸縮的模塊化解決方案，從最為基本的包過濾器到帶加密功能的VPN型包過濾器，直至一個獨立的應(yīng)用網(wǎng)關(guān)，使用戶有充分的余地構(gòu)建自己所需要的防火墻體系。 </p><p>　　9.3. 簡化的安裝與管理</p><p>　　防火

47、墻的確可以幫助管理員加強內(nèi)部網(wǎng)的安全性。一個不具體實施任何安全策略的防火墻無異于高級擺設(shè)。防火墻產(chǎn)品配置和管理的難易程度是防火墻能否達到目的的主要考慮因素之一。實踐證明許多防火墻產(chǎn)品并未起到預(yù)期作用的一個不容忽視的原因在于配置和實現(xiàn)上的錯誤。同時，若防火墻的管理過于困難，則可能會造成設(shè)定上的錯誤，反而不能達到其功能。因此未來的防火墻將具有非常易于進行配置的圖形用戶界面。NT防火墻市場的發(fā)展證明了這種趨勢。Windows NT提供了一種易

48、于安裝和易于管理的基礎(chǔ)。盡管基于NT的防火墻通常落后于基于Unix的防火墻，但NT平臺的簡單性以及它方便的可用性大大推動了基于NT的防火墻的銷售。 </p><p>　　9.4. 主動過濾 </p><p>　　防火墻開發(fā)商通過建立功能更強大的Web代理對這種需要做出了回應(yīng)。例如，許多防火墻具有內(nèi)置病毒和內(nèi)容掃描功能或允許用戶與病毒與內(nèi)容掃描程序進行集成。今天，許多防火墻都包括對過濾產(chǎn)

49、品的支持，并可以與第三方過濾服務(wù)連接，這些服務(wù)提供了不受歡迎Internet站點的分類清單。防火墻還在它們的Web代理中包括時間限制功能，允許非工作時間的沖浪和登錄，并提供沖浪活動的報告。 </p><p>　　9.5. 防病毒與防黑客 </p><p>　　盡管防火墻在防止不良分子進入上發(fā)揮了很好的作用，但TCP／IP 協(xié)議套件中存在的脆弱性使Internet對拒絕服務(wù)攻擊敞開了大門。

50、在拒絕服務(wù)攻擊中，攻擊者試圖使企業(yè)Internet服務(wù)飽和或使與它連接的系統(tǒng)崩潰，使Internet無法供企業(yè)使用。防火墻市場已經(jīng)對此做出了反應(yīng)。 雖然沒有防火墻可以防止所有的拒絕服務(wù)攻擊，但防火墻廠商一直在盡其可能阻止拒絕服務(wù)攻擊。像序列號預(yù)測和IP欺騙這類簡單攻擊，這些年來已經(jīng)成為了防火墻工具箱的一部分。像SYN 泛濫這類更復(fù)雜的拒絕服務(wù)攻擊需要廠商部署更先進的檢測和避免方案來對付。SYN泛濫可以鎖死Web和郵件服務(wù)，這樣沒有數(shù)據(jù)流

51、可以進入。</p><p>　　防火墻的反戰(zhàn)前景以及技術(shù)方向</p><p>　　伴隨著Internet的飛速發(fā)展，防火墻技術(shù)與產(chǎn)品的更新步伐必然會加強，而要全面展望防火墻技術(shù)的發(fā)展幾乎是不可能的。但是，從產(chǎn)品及功能上，卻又可以看出一些動向和趨勢。下面諸點可能是下一步的走向和選擇： </p><p>　　1)防火墻將從目前對子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠程上網(wǎng)集中管理

52、的方式發(fā)展。 </p><p>　　2)過濾深度會不斷加強，從目前的地址、服務(wù)過濾，發(fā)展到URL(頁面)過濾、關(guān)鍵字過濾和對ActiveX、Java等的過濾，并逐漸有病毒掃描功能。 </p><p>　　3)利用防火墻建立專用網(wǎng)是較長一段時間用戶使用的主流，IP的加密需求越來越強，安全協(xié)議的開發(fā)是一大熱點。 </p><p>　　4)單向防火墻(又叫做網(wǎng)絡(luò)二極

53、管)將作為一種產(chǎn)品門類而出現(xiàn)。 </p><p>　　5)對網(wǎng)絡(luò)攻擊的檢測和各種告警將成為防火墻的重要功能。 </p><p>　　6)安全管理工具不斷完善，特別是可以活動的日志分析工具等將成為防火墻產(chǎn)品中的一部分。 </p><p>　　另外值得一提的是，伴隨著防火墻技術(shù)的不斷發(fā)展，人們選擇防火墻的標準將主要集中在易于管理、應(yīng)用透明性、鑒別與加密功能、操作環(huán)

54、境和硬件要求、VPN的功能與CA的功能、接口的數(shù)量、成本等幾個方面。 </p><p>　　網(wǎng)絡(luò)已經(jīng)成為了人類所構(gòu)建的最豐富多彩的虛擬世界，網(wǎng)絡(luò)的迅速發(fā)展，給我們的工作和學(xué)習(xí)生活帶來了巨大的改變。我們通過網(wǎng)絡(luò)獲得信息，共享資源。如今， Internet遍布世界任何一個角落，并且歡迎任何一個人加入其中，相互溝通，相互交流。隨著網(wǎng)絡(luò)的延伸，安全問題受到人們越來越多的關(guān)注。在網(wǎng)絡(luò)日益復(fù)雜化，多樣化的今天，如何保護各類網(wǎng)

55、絡(luò)和應(yīng)用的安全，如何保護信息安全，成為了本文探討的重點。 </p><p>　　幾乎所有接觸網(wǎng)絡(luò)的人都知道網(wǎng)絡(luò)中有一些費盡心機闖入他人計算機系統(tǒng)的人，他們利用各種網(wǎng)絡(luò)和系統(tǒng)的漏洞，非法獲得未授權(quán)的訪問信息。不幸的是如今攻擊網(wǎng)絡(luò)系統(tǒng)和竊取信息已經(jīng)不需要什么高深的技巧。網(wǎng)絡(luò)中有大量的攻擊工具和攻擊文章等資源，可以任意使用和共享。不需要去了解那些攻擊程序是如何運行的，只需要簡單的執(zhí)行就可以給網(wǎng)絡(luò)造成巨大的威脅。甚至部分

56、程序不需要人為的參與，非常智能化的掃描和破壞整個網(wǎng)絡(luò)。這種情況使得近幾年的攻擊頻率和密度顯著增長，給網(wǎng)絡(luò)安全帶來越來越多的安全隱患</p><p><b>　　結(jié)束語 </b></p><p>　　隨著Internet/Intranet技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問題必將愈來愈引起人們的重視。防火墻技術(shù)作為目前用來實現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，它主要是用來拒絕未經(jīng)授權(quán)用

57、戶的訪問，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙的訪問網(wǎng)絡(luò)資源。如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)安全。但是沒有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問題，比如防火墻雖然能對來自外部網(wǎng)絡(luò)的攻擊進行有效的保護，但對于來自網(wǎng)絡(luò)內(nèi)部的攻擊卻無能為力。事實上60%以上的網(wǎng)絡(luò)安全問題來自網(wǎng)絡(luò)內(nèi)部。因此網(wǎng)絡(luò)安全單靠防火墻是不夠的，還需要有其它技術(shù)和非技術(shù)因素的考慮，如信息加密技術(shù)、身份驗證技術(shù)、制定網(wǎng)絡(luò)法規(guī)、提高網(wǎng)絡(luò)管理人員的安

58、全意識等等。</p><p><b>　　參考文獻</b></p><p>　　[1] 作者：彭濤. 《計算機網(wǎng)絡(luò)教程 》 機械工業(yè)出版社，</p><p>　　[2] 作者：IBON.Marshield 《網(wǎng)絡(luò)安全技術(shù)白皮書》 艾邦公司資料</p>&l