防火墻術(shù)研究畢業(yè)論文

1、<p><b>　　緒論</b></p><p>　　科學(xué)技術(shù)的飛速發(fā)展，人們已經(jīng)生活在信息時(shí)代。計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)深入到社會(huì)的各個(gè)領(lǐng)域，因特網(wǎng)把“地球村”的居民緊密地連在了一起。近年來(lái)因特網(wǎng)的飛速發(fā)展，給人們的生活帶來(lái)了全新地感受，人類社會(huì)各種活動(dòng)對(duì)信息網(wǎng)絡(luò)地依賴程度已經(jīng)越來(lái)越大。然而，凡事“有利必有一弊”，人們?cè)诘靡嬗谛畔⑺鶐?lái)的新的巨大機(jī)遇的同時(shí)，也不得不面對(duì)信息安全問(wèn)題的

2、嚴(yán)峻考驗(yàn)?！昂诳凸簟本W(wǎng)站被“黑”，“CIH病毒”無(wú)時(shí)無(wú)刻不充斥在網(wǎng)絡(luò)中?！半娮討?zhàn)”已成為國(guó)與國(guó)之間，商家與商家之間的一種重要的攻擊與防衛(wèi)手段。因此信息安全，網(wǎng)絡(luò)安全的問(wèn)題已經(jīng)引起各國(guó)，各部門，各行各業(yè)以及每個(gè)計(jì)算機(jī)用戶的充分重視。</p><p>　　因特網(wǎng)提供給人們的不僅僅是精彩，還無(wú)時(shí)無(wú)刻地存在各種各樣的危險(xiǎn)和陷阱。對(duì)此，我們既不能對(duì)那些潛在的危險(xiǎn)不予重視，遭受不必要的損失；也不能因?yàn)楹ε履承┪ｋU(xiǎn)而拒絕因特

3、網(wǎng)的各種有益的服務(wù)，對(duì)個(gè)人來(lái)說(shuō)這樣會(huì)失去了了解世界、展示自己的場(chǎng)所，對(duì)企業(yè)來(lái)說(shuō)還失去了拓展業(yè)務(wù)、提高服務(wù)、增強(qiáng)競(jìng)爭(zhēng)力的機(jī)會(huì)。不斷地提高自身網(wǎng)絡(luò)的安全才是行之有效地辦法。</p><p><b>　　緒論1</b></p><p>　　第一章 防火墻是什么2</p><p>　　第二章 防火墻的分類3</p><p>

4、;　　第三章 防火墻功能概述6</p><p>　　(1)根據(jù)應(yīng)用程序訪問(wèn)規(guī)則可對(duì)應(yīng)用程序連網(wǎng)動(dòng)作進(jìn)行過(guò)濾6</p><p>　　第四章 防火墻的不足7</p><p>　　第五章 防火墻主要技術(shù)特點(diǎn)8</p><p>　　第六章 防火墻的典型配置9</p><p>　　6.2.屏蔽主機(jī)網(wǎng)關(guān)（Screened

5、 Host Gateway）9</p><p>　　6.3.屏蔽子網(wǎng)（Screened Subnet）9</p><p>　　第七章 各種防火墻體系結(jié)構(gòu)的優(yōu)缺點(diǎn)10</p><p>　　第八章 常見(jiàn)攻擊方式以及應(yīng)對(duì)策略11</p><p>　　8.1 .1 病毒11</p><p>　　8.1.3 郵件1

6、2</p><p>　　8.2 應(yīng)對(duì)策略12</p><p>　　8.2.1 方案選擇12</p><p>　　8.2.3 堅(jiān)持策略12</p><p>　　第九章 防火墻的發(fā)展趨勢(shì)13</p><p>　　4)單向防火墻(又叫做網(wǎng)絡(luò)二極管)將作為一種產(chǎn)品門類而出現(xiàn)。16</p><

7、p>　　第一章 防火墻是什么</p><p>　　防火墻是一種非常有效的網(wǎng)絡(luò)安全模型。主要用來(lái)保護(hù)安全網(wǎng)絡(luò)免受來(lái)自不安全網(wǎng)絡(luò)的入侵，比如安全網(wǎng)絡(luò)可能是企業(yè)的內(nèi)部網(wǎng)絡(luò)，不安全網(wǎng)絡(luò)是因特網(wǎng)。但防火墻不只是用于因特網(wǎng)，也用于Intranet中的部門網(wǎng)絡(luò)之間。在邏輯上，防火墻是過(guò)濾器 限制器和分析器；在物理上，防火墻的實(shí)現(xiàn)有多種方式。通常，防火墻是一組硬件設(shè)備－路由器，主計(jì)算機(jī)，或者是路由器，計(jì)算機(jī)和配有的軟件的網(wǎng)

8、絡(luò)的組合。不同的防火墻配置的方法也不同，這取決于安全策略，預(yù)算以及全面規(guī)劃等。</p><p>　　第二章 防火墻的分類</p><p>　　從防火墻的防范方式和側(cè)重點(diǎn)的不同來(lái)看，防火墻可以分為很多類型，但是根據(jù)防火墻對(duì)內(nèi)外來(lái)往數(shù)據(jù)處理方法，大致可將防火墻分為兩大體系：包過(guò)濾防火墻和代理防火墻。</p><p>　　包過(guò)濾防火墻經(jīng)歷了兩代：</p>&

9、lt;p>　　2.1靜態(tài)包過(guò)濾防火墻</p><p>　　靜態(tài)包過(guò)濾防火墻采用的是一個(gè)都不放過(guò)的原則。它會(huì)檢查所有通過(guò)信息包里的IP地址號(hào)，端口號(hào)及其它的包頭信息，并根據(jù)系統(tǒng)管理員給定的過(guò)濾規(guī)則和準(zhǔn)備過(guò)濾的信息包一一匹配，其中：如果信息包中存在一點(diǎn)與過(guò)濾規(guī)則不符合，那么這個(gè)信息包里所有的信息都會(huì)被防火墻屏蔽掉，這個(gè)信息包就不會(huì)通過(guò)防火墻。相反的，如果每條規(guī)都和過(guò)濾規(guī)則相匹配，那么信息包就允許通過(guò)。靜態(tài)包的過(guò)

10、濾原理就是：將信息分成若干個(gè)小數(shù)據(jù)片（數(shù)據(jù)包），確認(rèn)符合防火墻的包過(guò)濾規(guī)則后，把這些個(gè)小數(shù)據(jù)片按順序發(fā)送，接收到這些小數(shù)據(jù)片后再把它們組織成一個(gè)完整的信息這個(gè)就是包過(guò)濾的原理。</p><p>　　2.2動(dòng)態(tài)包過(guò)濾防火墻</p><p>　　靜態(tài)包過(guò)濾防火墻的缺點(diǎn)，動(dòng)態(tài)包過(guò)濾防火墻都可以避免。它采用的規(guī)則是發(fā)展為“包狀態(tài)檢測(cè)技術(shù)”的動(dòng)態(tài)設(shè)置包過(guò)濾規(guī)則。它可以根據(jù)需要?jiǎng)討B(tài)的在過(guò)濾原則中增加或

11、更新條目，在這點(diǎn)上靜態(tài)防火墻是比不上它的，它主要對(duì)建立的每一個(gè)連接都進(jìn)行跟蹤。在這里我們了解的是代理防火墻。代理服務(wù)器型防火墻與包過(guò)濾防火墻不同之點(diǎn)在于，它的內(nèi)外網(wǎng)之間不存在直接的連接，一般由兩部分組成：服務(wù)器端程序和客戶端程序，其中客戶端程序通過(guò)中間節(jié)點(diǎn)與提供服務(wù)的服務(wù)器連接。代理服務(wù)器型防火墻提供了日志和審記服務(wù)。</p><p>　　2.2.1  代理（應(yīng)用層網(wǎng)關(guān)）防火墻</p>&

12、lt;p>　　這種防火墻被網(wǎng)絡(luò)安全專家認(rèn)為是最安全的防火墻，主要是因?yàn)閺膬?nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這樣的防火墻處理后，就像是源于防火墻外部網(wǎng)卡一樣，可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。由于內(nèi)外網(wǎng)的計(jì)算機(jī)對(duì)話機(jī)會(huì)根本沒(méi)有，從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi)部網(wǎng)?！?2.2.2自適應(yīng)代理防火墻</p><p>　　自適應(yīng)代理技術(shù)是商業(yè)應(yīng)用防火墻中實(shí)現(xiàn)的一種革命性技術(shù)。它結(jié)合了代理類型防火墻和包過(guò)濾防火墻的優(yōu)

13、點(diǎn)，即保證了安全性又保持了高速度，同時(shí)它的性能也在代理防火墻的十倍以上，在一般的情況下，用戶更傾向于這種防火墻。</p><p>　　我們把兩種防火墻的優(yōu)缺點(diǎn)的對(duì)比用下列圖表的形式表示如下：</p><p>　　第三章 防火墻功能概述</p><p>　　防火墻是一個(gè)保護(hù)裝置，它是一個(gè)或一組網(wǎng)絡(luò)設(shè)備裝置。通常是指運(yùn)行特別編寫或更改過(guò)操作系統(tǒng)的計(jì)算機(jī)，它的目的就是保護(hù)

14、內(nèi)部網(wǎng)的訪問(wèn)安全。防火墻可以安裝在兩個(gè)組織結(jié)構(gòu)的內(nèi)部網(wǎng)與外部的Internet之間，同時(shí)在多個(gè)組織結(jié)構(gòu)的內(nèi)部網(wǎng)和Internet之間也會(huì)起到同樣的保護(hù)作用。它主要的保護(hù)就是加強(qiáng)外部Internet對(duì)內(nèi)部網(wǎng)的訪問(wèn)控制，它主要任務(wù)是允許特別的連接通過(guò)，也可以阻止其它不允許的連接。防火墻只是網(wǎng)絡(luò)安全策略的一部分，它通過(guò)少數(shù)幾個(gè)良好的監(jiān)控位置來(lái)進(jìn)行內(nèi)部網(wǎng)與Internet的連接。</p><p>　　防火墻的核心功能主要

15、是包過(guò)濾。其中入侵檢測(cè)，控管規(guī)則過(guò)濾，實(shí)時(shí)監(jiān)控及電子郵件過(guò)濾這些功能都是基于封包過(guò)濾技術(shù)的。       </p><p>　　防火墻的主體功能歸納為以下幾點(diǎn)：</p><p>　　(1)根據(jù)應(yīng)用程序訪問(wèn)規(guī)則可對(duì)應(yīng)用程序連網(wǎng)動(dòng)作進(jìn)行過(guò)濾</p><p>　　(2)對(duì)應(yīng)用程序訪問(wèn)規(guī)則具有自學(xué)習(xí)功能。</

16、p><p>　　(3)可實(shí)時(shí)監(jiān)控，監(jiān)視網(wǎng)絡(luò)活動(dòng)。</p><p>　　(4)具有日志，以記錄網(wǎng)絡(luò)訪問(wèn)動(dòng)作的詳細(xì)信息。</p><p>　　(5)被攔阻時(shí)能通過(guò)聲音或閃爍圖標(biāo)給用戶報(bào)警提示。</p><p>　　防火墻僅靠這些核心技術(shù)功能是遠(yuǎn)遠(yuǎn)不夠的。核心技術(shù)是基礎(chǔ),必須在這個(gè)</p><p>　　基礎(chǔ)之上加入輔助功能才能流

17、暢的工作。而實(shí)現(xiàn)防火墻的核心功能是封包過(guò)濾。</p><p>　　第四章 防火墻的不足</p><p>　　防火墻對(duì)網(wǎng)絡(luò)的威脅進(jìn)行極好的防范，但是，它們不是安全解決方按的全部。某些威脅是防火墻力所不及的。</p><p>　　防火墻不能防止內(nèi)部的攻擊，因?yàn)樗惶峁┝藢?duì)網(wǎng)絡(luò)邊緣的防衛(wèi)。內(nèi)部人員可能濫用被給予的訪問(wèn)權(quán)，從而導(dǎo)致事故。防火墻也不能防止像社會(huì)工程攻擊――一種

18、很常用的入侵手段，就是靠欺騙獲得一些可以破壞安全的信息，如網(wǎng)絡(luò)的口令。另外，一些用來(lái)傳送數(shù)據(jù)的電話線很有可能被用來(lái)入侵內(nèi)部網(wǎng)絡(luò)。</p><p>　　另一個(gè)防止的是懷有惡意的代碼：病毒和特洛伊木馬。雖然現(xiàn)在有些防火墻可以檢查病毒和特洛伊木馬，但這些防火墻只能阻擋已知的惡意程序，這就可能讓新的病毒和木馬溜進(jìn)來(lái)。而且，這些惡意程序不僅僅來(lái)自網(wǎng)絡(luò)，也可能來(lái)自軟盤。</p><p>　　第五章 防

19、火墻主要技術(shù)特點(diǎn)</p><p>　?。?）應(yīng)用層采用Winsock 2 SPI進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)控制、過(guò)濾；</p><p>　?。?）核心層采用NDIS HOOK進(jìn)行控制，尤其是在Windows 2000 下，此技術(shù)屬微軟未公開(kāi)技術(shù)。</p><p>　　此防火墻還采用兩種封包過(guò)濾技術(shù)：一是應(yīng)用層封包過(guò)濾，采用Winsock 2 SPI ；二是核心層封包過(guò)濾，采用ND

20、IS_HOOK。</p><p>　　Winsock 2 SPI 工作在API之下、Driver之上，屬于應(yīng)用層的范疇。利用這項(xiàng)技術(shù)可以截獲所有的基于Socket的網(wǎng)絡(luò)通信。比如IE、OUTLOOK等常見(jiàn)的應(yīng)用程序都是使用Socket進(jìn)行通信。采用Winsock 2 SPI的優(yōu)點(diǎn)是非常明顯的：其工作在應(yīng)用層以DLL的形式存在，編程、測(cè)試方便；跨Windows 平臺(tái)，可以直接在Windows98/ME/NT/200

21、0/XP 上通用，Windows95 只需安裝上Winsock 2 for 95，也可以正常運(yùn)行；效率高，由于工作在應(yīng)用層，CPU 占用率低；封包還沒(méi)有按照低層協(xié)議進(jìn)行切片，所以比較完整。而防火墻正是在TCP/IP協(xié)議在windows的基礎(chǔ)上才得以實(shí)現(xiàn)。</p><p>　　第六章 防火墻的典型配置 </p><p>　　目前比較流行的有以下三種防火墻配置方案。 </p>

22、<p>　　6.1.置是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。雙宿主機(jī)用兩個(gè)網(wǎng)絡(luò)適配器分別連接兩個(gè)網(wǎng)絡(luò)，又稱堡壘主機(jī)。 </p><p>　　堡壘主機(jī)上運(yùn)行著防火墻軟件（通常是代理服務(wù)器），可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機(jī)網(wǎng)關(guān)有一個(gè)致命弱點(diǎn)， </p><p>　　一旦入侵者侵入堡壘主機(jī)并使該主機(jī)只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問(wèn)有保護(hù)的內(nèi)部網(wǎng)絡(luò)（如圖1）

23、。 </p><p>　　6.2.屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway） </p><p>　　屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機(jī)和雙宿堡壘主機(jī)兩種類型。先來(lái)看單宿堡壘主機(jī)類型。 </p><p>　　一個(gè)包過(guò)濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機(jī)只有一個(gè)網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接（如圖2）。

24、</p><p>　　通常在路由器上設(shè)立過(guò)濾規(guī)則，并使這個(gè)單宿堡壘主機(jī)成為從Internet惟一可以訪問(wèn)的主機(jī)， </p><p>　　確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而Intranet內(nèi)部的客戶機(jī)，可以受控制地通過(guò)屏蔽主機(jī)和路由器訪問(wèn)Internet。 </p><p>　　雙宿堡壘主機(jī)型與單宿堡壘主機(jī)型的區(qū)別是，堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)

25、，一塊連接包過(guò)濾路由器（如圖3）。 </p><p>　　雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。 </p><p>　　6.3.屏蔽子網(wǎng)（Screened Subnet） </p><p>　　這種方法是在Intranet和Internet之間建立一個(gè)被隔離的子網(wǎng)，用兩個(gè)包過(guò)濾路由器將這一子網(wǎng)分別與Intranet和Internet分開(kāi)。兩個(gè)包

26、過(guò)濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)“緩沖地帶”，兩個(gè)路由器一個(gè)控制Intranet 數(shù)據(jù)流，另一個(gè)控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問(wèn)屏蔽子網(wǎng)，但禁止它們穿過(guò)屏蔽子網(wǎng)通信。可根據(jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問(wèn)提供代理服務(wù)， </p><p>　　但是來(lái)自兩網(wǎng)絡(luò)的訪問(wèn)都必須通過(guò)兩個(gè)包過(guò)濾路由器的檢查。對(duì)于向Internet公開(kāi)的服務(wù)器，像WWW

27、、FTP、Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無(wú)論是外部用戶，還是內(nèi)部用戶都可訪問(wèn)。 </p><p>　　這種結(jié)構(gòu)的防火墻安全性能高，具有很強(qiáng)的抗攻擊能力，但需要的設(shè)備多，造價(jià)高。當(dāng)然，防火墻本身也有其局限性，如不能防范繞過(guò)防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸；難以避免來(lái)自內(nèi)部的攻擊等等?？傊?，防火墻只是一種整體安全防范策略的一部分，僅有防火墻是不夠的， &l

28、t;/p><p>　　安全策略還必須包括全面的安全準(zhǔn)則，即網(wǎng)絡(luò)訪問(wèn)、本地和遠(yuǎn)程用戶認(rèn)證、撥出撥入呼叫、磁盤和數(shù)據(jù)加密以及病毒防護(hù)等有關(guān)的安全策略。 </p><p>　　第七章 各種防火墻體系結(jié)構(gòu)的優(yōu)缺點(diǎn) </p><p>　　7.1.雙重宿主主機(jī)體系結(jié)構(gòu)</p><p>　　它提供來(lái)自與多個(gè)網(wǎng)絡(luò)相連的主機(jī)的服務(wù)(但是路由關(guān)閉)，它圍繞雙重宿主

29、主計(jì)算機(jī)構(gòu)筑。該計(jì)算機(jī)至少有2個(gè)網(wǎng)絡(luò)接口，位于因特網(wǎng)與內(nèi)部網(wǎng)之間，并被連接到因特網(wǎng)和內(nèi)部網(wǎng)。2個(gè)網(wǎng)絡(luò)都可以與雙重宿主主機(jī)通信，但相互之間不行，它們之間的IP通信被完全禁止。雙重宿主主機(jī)僅能通過(guò)代理或用戶直接登錄到雙重宿主主機(jī)來(lái)提供服務(wù)。它能提供級(jí)別非常高的控制，并保證內(nèi)部網(wǎng)上沒(méi)有外部的IP包。但這種體系結(jié)構(gòu)中用戶訪問(wèn)因特網(wǎng)的速度會(huì)較慢，也會(huì)因?yàn)殡p重宿主主機(jī)的被侵襲而失效。 </p><p>　　7.2.被屏蔽主機(jī)

30、體系結(jié)構(gòu)</p><p>　　使用1個(gè)單獨(dú)的路由器提供來(lái)自僅僅與內(nèi)部網(wǎng)絡(luò)相連的主機(jī)的服務(wù)。屏蔽路由器位于因特網(wǎng)與內(nèi)部網(wǎng)之間，提供數(shù)據(jù)包過(guò)濾功能。堡壘主機(jī)是1個(gè)高度安全的計(jì)算機(jī)系統(tǒng)，通常因?yàn)樗┞队谝蛱鼐W(wǎng)之下，作為聯(lián)結(jié)內(nèi)部網(wǎng)絡(luò)用戶的橋梁，易受到侵襲損害。這里它位于內(nèi)部網(wǎng)上，數(shù)據(jù)包過(guò)濾規(guī)則設(shè)置它為因特網(wǎng)上唯一能連接到內(nèi)部網(wǎng)絡(luò)上的主機(jī)系統(tǒng)。它也可以開(kāi)放一些連接(由站點(diǎn)安全策略決定)到外部世界。在屏蔽路由器中，數(shù)據(jù)包過(guò)濾

31、配置可以按下列之一執(zhí)行：①允許其他內(nèi)部主機(jī)，為了某些服務(wù)而開(kāi)放到因特網(wǎng)上的主機(jī)連接(允許那些經(jīng)由數(shù)據(jù)包過(guò)濾的服務(wù))。②不允許來(lái)自內(nèi)部主機(jī)的所有連接(強(qiáng)迫這些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù))?！　∵@種體系結(jié)構(gòu)通過(guò)數(shù)據(jù)包過(guò)濾來(lái)提供安全，而保衛(wèi)路由器比保衛(wèi)主機(jī)較易實(shí)現(xiàn)，因?yàn)樗峁┝朔浅Ｓ邢薜姆?wù)組，因此這種體系結(jié)構(gòu)提供了比雙重宿主主機(jī)體系結(jié)構(gòu)更好的安全性和可用性。 </p><p>　　弊端是，若是侵襲者設(shè)法入侵堡壘主

32、機(jī)，則在堡壘主機(jī)與其他內(nèi)部主機(jī)之間無(wú)任何保護(hù)網(wǎng)絡(luò)安全的東西存在；路由器同樣可能出現(xiàn)單點(diǎn)失效，若被損害，則整個(gè)網(wǎng)絡(luò)對(duì)侵襲者開(kāi)放。 </p><p>　　7.3.被屏蔽子網(wǎng)體系結(jié)構(gòu)</p><p>　　考慮到堡壘主機(jī)是內(nèi)部網(wǎng)上最易被侵襲的機(jī)器(因?yàn)樗杀灰蛱鼐W(wǎng)上用戶訪問(wèn))，我們添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)中，將堡壘主機(jī)放在額外的安全層，構(gòu)成了這種體系結(jié)構(gòu)。這種在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)之間

33、增加的網(wǎng)絡(luò)，為系統(tǒng)提供了安全的附加層，稱之為周邊網(wǎng)。這種體系結(jié)構(gòu)有2個(gè)屏蔽路由器，每1個(gè)都連接到周邊網(wǎng)。1個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)之間，稱為內(nèi)部路由器，另1個(gè)位于周邊網(wǎng)與外部網(wǎng)之間，稱之為外部路由器。堡壘主機(jī)位于周邊網(wǎng)上。侵襲者若想侵襲內(nèi)部網(wǎng)絡(luò)，必須通過(guò)2個(gè)路由器，即使他侵入了堡壘主機(jī)，仍無(wú)法進(jìn)入內(nèi)部網(wǎng)。因此這種結(jié)構(gòu)沒(méi)有損害內(nèi)部網(wǎng)絡(luò)的單一易受侵襲點(diǎn)。</p><p>　　第八章 常見(jiàn)攻擊方式以及應(yīng)對(duì)策略</p&

34、gt;<p>　　8 .1常見(jiàn)攻擊方式</p><p><b>　　8.1 .1 病毒</b></p><p>　　盡管某些防火墻產(chǎn)品提供了在數(shù)據(jù)包通過(guò)時(shí)進(jìn)行病毒掃描的功能，但仍然很難將所有的病毒（或特洛伊木馬程序）阻止在網(wǎng)絡(luò)外面，黑客很容易欺騙用戶下載一個(gè)程序從而讓惡意代碼進(jìn)入內(nèi)部網(wǎng)。</p><p>　　策略：設(shè)定安全等級(jí)，嚴(yán)

35、格阻止系統(tǒng)在未經(jīng)安全檢測(cè)的情況下執(zhí)行下載程序；或者通過(guò)常用的基于主機(jī)的安全方法來(lái)保護(hù)網(wǎng)絡(luò)。</p><p>　　8.1.2 口令字</p><p>　　對(duì)口令字的攻擊方式有兩種：窮舉和嗅探。窮舉針對(duì)來(lái)自外部網(wǎng)絡(luò)的攻擊，來(lái)猜測(cè)防火墻管理的口令字。嗅探針對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊，通過(guò)監(jiān)測(cè)網(wǎng)絡(luò)獲取主機(jī)給防火墻的口令字。</p><p>　　策略：設(shè)計(jì)主機(jī)與防火墻通過(guò)單獨(dú)接口通信

36、（即專用服務(wù)器端口）、采用一次性口令或禁止直接登錄防火墻。</p><p><b>　　8.1.3 郵件</b></p><p>　　來(lái)自于郵件的攻擊方式越來(lái)越突出，在這種攻擊中，垃圾郵件制造者將一條消息復(fù)制成成千上萬(wàn)份，并按一個(gè)巨大的電子郵件地址清單發(fā)送這條信息，當(dāng)不經(jīng)意打開(kāi)郵件時(shí)，惡意代碼即可進(jìn)入。</p><p>　　策略：打開(kāi)防火墻上

37、的過(guò)濾功能，在內(nèi)網(wǎng)主機(jī)上采取相應(yīng)阻止措施。</p><p>　　8.1.4 IP地址</p><p>　　黑客利用一個(gè)類似于內(nèi)部網(wǎng)絡(luò)的IP地址，以“逃過(guò)”服務(wù)器檢測(cè)，從而進(jìn)入內(nèi)部網(wǎng)達(dá)到攻擊的目的。</p><p>　　策略：通過(guò)打開(kāi)內(nèi)核rp_filter功能，丟棄所有來(lái)自網(wǎng)絡(luò)外部但卻有內(nèi)部地址的數(shù)據(jù)包；同時(shí)將特定IP地址與MAC綁定，只有擁有相應(yīng)MAC地址的用戶才

38、能使用被綁定的IP地址進(jìn)行網(wǎng)絡(luò)訪問(wèn)。</p><p><b>　　8.2 應(yīng)對(duì)策略</b></p><p>　　8.2.1 方案選擇</p><p>　　市場(chǎng)上的防火墻大致有軟件防火墻和硬件防火墻兩大類。軟件防火墻需運(yùn)行在一臺(tái)標(biāo)準(zhǔn)的主機(jī)設(shè)備上，依托網(wǎng)絡(luò)在操作系統(tǒng)上實(shí)現(xiàn)防火墻的各種功能，因此也稱“個(gè)人”防火墻，其功能有限，基本上能滿足單個(gè)用戶。

39、硬件防火墻是一個(gè)把硬件和軟件都單獨(dú)設(shè)計(jì)，并集成在一起，運(yùn)行于自己專用的系統(tǒng)平臺(tái)。由于硬件防火墻集合了軟件方面，從功能上更為強(qiáng)大，目前已普遍使用。</p><p>　　在制造上，硬件防火墻須同時(shí)設(shè)計(jì)硬件和軟件兩方面。國(guó)外廠家基本上是將軟件運(yùn)算硬件化，將主要運(yùn)算程序做成芯片，以減少CPU的運(yùn)算壓力；國(guó)內(nèi)廠家的防火墻硬件平臺(tái)仍使用通用PC系統(tǒng)，增加了內(nèi)存容量，增大了CPU的頻率。在軟件性能方面，國(guó)外一些著名的廠家均采用

40、專用的操作系統(tǒng)，自行設(shè)計(jì)防火墻，提供高性能的產(chǎn)品；而國(guó)內(nèi)廠家大部分基于Linux操作平臺(tái)，有針對(duì)性的修改代碼、增加技術(shù)及系統(tǒng)補(bǔ)丁等。因此，國(guó)產(chǎn)防火墻與國(guó)外的相比仍有一定差距，但科技的進(jìn)步，也生產(chǎn)出了較為優(yōu)秀的產(chǎn)品。如北京天融信的NG系列產(chǎn)品，支持TOPSEC安全體系、多級(jí)過(guò)濾、透明應(yīng)用代理等先進(jìn)技術(shù)。</p><p>　　8.2.2 結(jié)構(gòu)透明</p><p>　　防火墻的透明性是指防火墻

41、對(duì)于用戶是透明的。以網(wǎng)橋的方式將防火墻接入網(wǎng)絡(luò)，網(wǎng)絡(luò)和用戶無(wú)需做任何設(shè)置和改動(dòng)，也根本意識(shí)不到防火墻的存在。然后根椐自己企業(yè)的網(wǎng)絡(luò)規(guī)模，以及安全策略來(lái)選擇合適的防火墻的構(gòu)造結(jié)構(gòu)（可參照本文第3點(diǎn)分析），如果經(jīng)濟(jì)實(shí)力雄厚的可采用屏蔽子網(wǎng)的拓?fù)浣Y(jié)構(gòu)。</p><p>　　8.2.3 堅(jiān)持策略</p><p>　?。?）管理主機(jī)與防火墻專用服務(wù)器端口連接，形成單獨(dú)管理通道，防止來(lái)自內(nèi)外部的攻擊

42、。</p><p>　　（2）使用FTP、Telnet、News等服務(wù)代理，以提供高水平的審計(jì)和潛在的安全性。</p><p>　?。?）支持“除非明確允許，否則就禁止”的安全防范原則。</p><p>　　（4）確定可接受的風(fēng)險(xiǎn)水平，如監(jiān)測(cè)什么傳輸，允許和拒絕什么傳輸流通過(guò)。</p><p>　　8.2.4 實(shí)施措施</p>

43、<p>　　好的防火墻產(chǎn)品應(yīng)向使用者提供完整的安全檢查功能，應(yīng)有完善及時(shí)的售后服務(wù)。但一個(gè)安全的網(wǎng)絡(luò)仍必須靠使用者的觀察與改進(jìn)，企業(yè)要達(dá)到真正的安全仍需內(nèi)部的網(wǎng)絡(luò)管理者不斷記錄、追蹤、改進(jìn)，定期對(duì)防火墻和相應(yīng)操作系統(tǒng)用補(bǔ)丁程序進(jìn)行升級(jí)。</p><p>　　第九章 防火墻的發(fā)展趨勢(shì) </p><p>　　9.1.優(yōu)良的性能 </p><p>　　新一代

44、的防火墻系統(tǒng)不僅應(yīng)該能夠更好地保護(hù)防火墻后面內(nèi)部網(wǎng)絡(luò)的安全，而且應(yīng)該具有更為優(yōu)良的整體性能。傳統(tǒng)的代理型防火墻雖然可以提供較高級(jí)別的安全保護(hù)，但是同時(shí)它也成為限制網(wǎng)絡(luò)帶寬的瓶頸，這極大地制約了在網(wǎng)絡(luò)中的實(shí)際應(yīng)用。數(shù)據(jù)通過(guò)率是表示防火墻性能的參數(shù)，由于不同防火墻的不同功能具有不同的工作量和系統(tǒng)資源要求，因此數(shù)據(jù)在通過(guò)防火墻時(shí)會(huì)產(chǎn)生延時(shí)。自然，數(shù)據(jù)通過(guò)率越高，防火墻性能越好。現(xiàn)在大多數(shù)的防火墻產(chǎn)品都支持NAT功能，它可以讓防火墻受保護(hù)的一邊

45、的IP地址不至于暴露在沒(méi)有保護(hù)的另一邊，但是啟用NAT后勢(shì)必會(huì)對(duì)防火墻系統(tǒng)的性能有所影響。目前如何盡量減少這種影響也成為防火墻產(chǎn)品的賣點(diǎn)之一。另外防火墻系統(tǒng)中集成的VPN解決方案必須是真正的線速運(yùn)行，否則將成為網(wǎng)絡(luò)通信的瓶頸。 </p><p>　　9.2. 可擴(kuò)展的結(jié)構(gòu)和功能 </p><p>　　對(duì)于一個(gè)好的防火墻系統(tǒng)而言，它的規(guī)模和功能應(yīng)該能夠適應(yīng)內(nèi)部網(wǎng)絡(luò)的規(guī)模和安全策略的變化。選

46、擇哪種防火墻，除了應(yīng)考慮它的基本性能之外，毫無(wú)疑問(wèn)，還應(yīng)考慮用戶的實(shí)際需求與未來(lái)網(wǎng)絡(luò)的升級(jí)。 </p><p>　　未來(lái)的防火墻系統(tǒng)應(yīng)是一個(gè)可隨意伸縮的模塊化解決方案，從最為基本的包過(guò)濾器到帶加密功能的VPN型包過(guò)濾器，直至一個(gè)獨(dú)立的應(yīng)用網(wǎng)關(guān)，使用戶有充分的余地構(gòu)建自己所需要的防火墻體系。 </p><p>　　9.3. 簡(jiǎn)化的安裝與管理</p><p>　　防火

47、墻的確可以幫助管理員加強(qiáng)內(nèi)部網(wǎng)的安全性。一個(gè)不具體實(shí)施任何安全策略的防火墻無(wú)異于高級(jí)擺設(shè)。防火墻產(chǎn)品配置和管理的難易程度是防火墻能否達(dá)到目的的主要考慮因素之一。實(shí)踐證明許多防火墻產(chǎn)品并未起到預(yù)期作用的一個(gè)不容忽視的原因在于配置和實(shí)現(xiàn)上的錯(cuò)誤。同時(shí)，若防火墻的管理過(guò)于困難，則可能會(huì)造成設(shè)定上的錯(cuò)誤，反而不能達(dá)到其功能。因此未來(lái)的防火墻將具有非常易于進(jìn)行配置的圖形用戶界面。NT防火墻市場(chǎng)的發(fā)展證明了這種趨勢(shì)。Windows NT提供了一種易

48、于安裝和易于管理的基礎(chǔ)。盡管基于NT的防火墻通常落后于基于Unix的防火墻，但NT平臺(tái)的簡(jiǎn)單性以及它方便的可用性大大推動(dòng)了基于NT的防火墻的銷售。 </p><p>　　9.4. 主動(dòng)過(guò)濾 </p><p>　　防火墻開(kāi)發(fā)商通過(guò)建立功能更強(qiáng)大的Web代理對(duì)這種需要做出了回應(yīng)。例如，許多防火墻具有內(nèi)置病毒和內(nèi)容掃描功能或允許用戶與病毒與內(nèi)容掃描程序進(jìn)行集成。今天，許多防火墻都包括對(duì)過(guò)濾產(chǎn)

49、品的支持，并可以與第三方過(guò)濾服務(wù)連接，這些服務(wù)提供了不受歡迎Internet站點(diǎn)的分類清單。防火墻還在它們的Web代理中包括時(shí)間限制功能，允許非工作時(shí)間的沖浪和登錄，并提供沖浪活動(dòng)的報(bào)告。 </p><p>　　9.5. 防病毒與防黑客 </p><p>　　盡管防火墻在防止不良分子進(jìn)入上發(fā)揮了很好的作用，但TCP／IP 協(xié)議套件中存在的脆弱性使Internet對(duì)拒絕服務(wù)攻擊敞開(kāi)了大門。

50、在拒絕服務(wù)攻擊中，攻擊者試圖使企業(yè)Internet服務(wù)飽和或使與它連接的系統(tǒng)崩潰，使Internet無(wú)法供企業(yè)使用。防火墻市場(chǎng)已經(jīng)對(duì)此做出了反應(yīng)。 雖然沒(méi)有防火墻可以防止所有的拒絕服務(wù)攻擊，但防火墻廠商一直在盡其可能阻止拒絕服務(wù)攻擊。像序列號(hào)預(yù)測(cè)和IP欺騙這類簡(jiǎn)單攻擊，這些年來(lái)已經(jīng)成為了防火墻工具箱的一部分。像SYN 泛濫這類更復(fù)雜的拒絕服務(wù)攻擊需要廠商部署更先進(jìn)的檢測(cè)和避免方案來(lái)對(duì)付。SYN泛濫可以鎖死Web和郵件服務(wù)，這樣沒(méi)有數(shù)據(jù)流

51、可以進(jìn)入。</p><p>　　防火墻的反戰(zhàn)前景以及技術(shù)方向</p><p>　　伴隨著Internet的飛速發(fā)展，防火墻技術(shù)與產(chǎn)品的更新步伐必然會(huì)加強(qiáng)，而要全面展望防火墻技術(shù)的發(fā)展幾乎是不可能的。但是，從產(chǎn)品及功能上，卻又可以看出一些動(dòng)向和趨勢(shì)。下面諸點(diǎn)可能是下一步的走向和選擇： </p><p>　　1)防火墻將從目前對(duì)子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠(yuǎn)程上網(wǎng)集中管理

52、的方式發(fā)展。 </p><p>　　2)過(guò)濾深度會(huì)不斷加強(qiáng)，從目前的地址、服務(wù)過(guò)濾，發(fā)展到URL(頁(yè)面)過(guò)濾、關(guān)鍵字過(guò)濾和對(duì)ActiveX、Java等的過(guò)濾，并逐漸有病毒掃描功能。 </p><p>　　3)利用防火墻建立專用網(wǎng)是較長(zhǎng)一段時(shí)間用戶使用的主流，IP的加密需求越來(lái)越強(qiáng)，安全協(xié)議的開(kāi)發(fā)是一大熱點(diǎn)。 </p><p>　　4)單向防火墻(又叫做網(wǎng)絡(luò)二極

53、管)將作為一種產(chǎn)品門類而出現(xiàn)。 </p><p>　　5)對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和各種告警將成為防火墻的重要功能。 </p><p>　　6)安全管理工具不斷完善，特別是可以活動(dòng)的日志分析工具等將成為防火墻產(chǎn)品中的一部分。 </p><p>　　另外值得一提的是，伴隨著防火墻技術(shù)的不斷發(fā)展，人們選擇防火墻的標(biāo)準(zhǔn)將主要集中在易于管理、應(yīng)用透明性、鑒別與加密功能、操作環(huán)

54、境和硬件要求、VPN的功能與CA的功能、接口的數(shù)量、成本等幾個(gè)方面。 </p><p>　　網(wǎng)絡(luò)已經(jīng)成為了人類所構(gòu)建的最豐富多彩的虛擬世界，網(wǎng)絡(luò)的迅速發(fā)展，給我們的工作和學(xué)習(xí)生活帶來(lái)了巨大的改變。我們通過(guò)網(wǎng)絡(luò)獲得信息，共享資源。如今， Internet遍布世界任何一個(gè)角落，并且歡迎任何一個(gè)人加入其中，相互溝通，相互交流。隨著網(wǎng)絡(luò)的延伸，安全問(wèn)題受到人們?cè)絹?lái)越多的關(guān)注。在網(wǎng)絡(luò)日益復(fù)雜化，多樣化的今天，如何保護(hù)各類網(wǎng)

55、絡(luò)和應(yīng)用的安全，如何保護(hù)信息安全，成為了本文探討的重點(diǎn)。 </p><p>　　幾乎所有接觸網(wǎng)絡(luò)的人都知道網(wǎng)絡(luò)中有一些費(fèi)盡心機(jī)闖入他人計(jì)算機(jī)系統(tǒng)的人，他們利用各種網(wǎng)絡(luò)和系統(tǒng)的漏洞，非法獲得未授權(quán)的訪問(wèn)信息。不幸的是如今攻擊網(wǎng)絡(luò)系統(tǒng)和竊取信息已經(jīng)不需要什么高深的技巧。網(wǎng)絡(luò)中有大量的攻擊工具和攻擊文章等資源，可以任意使用和共享。不需要去了解那些攻擊程序是如何運(yùn)行的，只需要簡(jiǎn)單的執(zhí)行就可以給網(wǎng)絡(luò)造成巨大的威脅。甚至部分

56、程序不需要人為的參與，非常智能化的掃描和破壞整個(gè)網(wǎng)絡(luò)。這種情況使得近幾年的攻擊頻率和密度顯著增長(zhǎng)，給網(wǎng)絡(luò)安全帶來(lái)越來(lái)越多的安全隱患</p><p><b>　　結(jié)束語(yǔ) </b></p><p>　　隨著Internet/Intranet技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題必將愈來(lái)愈引起人們的重視。防火墻技術(shù)作為目前用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，它主要是用來(lái)拒絕未經(jīng)授權(quán)用

57、戶的訪問(wèn)，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時(shí)允許合法用戶不受妨礙的訪問(wèn)網(wǎng)絡(luò)資源。如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)安全。但是沒(méi)有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問(wèn)題，比如防火墻雖然能對(duì)來(lái)自外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的保護(hù)，但對(duì)于來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊卻無(wú)能為力。事實(shí)上60%以上的網(wǎng)絡(luò)安全問(wèn)題來(lái)自網(wǎng)絡(luò)內(nèi)部。因此網(wǎng)絡(luò)安全單靠防火墻是不夠的，還需要有其它技術(shù)和非技術(shù)因素的考慮，如信息加密技術(shù)、身份驗(yàn)證技術(shù)、制定網(wǎng)絡(luò)法規(guī)、提高網(wǎng)絡(luò)管理人員的安

58、全意識(shí)等等。</p><p><b>　　參考文獻(xiàn)</b></p><p>　　[1] 作者：彭濤. 《計(jì)算機(jī)網(wǎng)絡(luò)教程 》 機(jī)械工業(yè)出版社，</p><p>　　[2] 作者：IBON.Marshield 《網(wǎng)絡(luò)安全技術(shù)白皮書》 艾邦公司資料</p>&l