防火墻技術+畢業(yè)設計

1、 攀枝花學院?？飘厴I(yè)論文防火墻技術學生姓名： 李 永 梅 學生學號： 8 院（系）： 工程技術學院 年級專業(yè)： 2008級計算機信息管理 指導教師： 劉 澤 民 (副教授) 助理指導教師： 二一年十一月摘 要因特網(wǎng)的迅猛發(fā)展給人們的生活帶來了極大的方便，但同時因特網(wǎng)也面臨著空前的威脅。因此，如何使用有效可行的方法使網(wǎng)絡危險降到人們可接受的范圍之內(nèi)越來越受到人們的關注。而如何實施防范策略，首先取決于當前系統(tǒng)的安全性。所以對網(wǎng)絡安全的各獨立元素防火墻、漏洞掃描、入侵檢測和反病毒等進行風險評估是很有必要的。防火墻技術作為時下比較成熟的一種網(wǎng)絡安全技術，其安全性直接關系到用戶的切身利益。隨著計算機技術

2、和網(wǎng)絡技術的發(fā)展，計算機網(wǎng)絡給人們帶來了很多便利，于此同時網(wǎng)絡安全的問題也伴隨著網(wǎng)絡技術的發(fā)展而日趨嚴重。使用防火墻能很好的提高系統(tǒng)的安全性，減少系統(tǒng)受到網(wǎng)絡安全方面的威脅。在現(xiàn)在的計算機時代，網(wǎng)絡信息的安全越顯得重要。而對防火墻技術的要求也會越來越高。所以對防火墻的研究是很有必要的。而且防火墻技術也會越來越被廣泛應用。關鍵詞：網(wǎng)絡安全，防火墻，防范策略，發(fā)展趨勢Abstract The rapid development of the Internet to peoples lives has brought great convenience, but the Internet is al

3、so facing unprecedented threats. Therefore, how to use effective method for people to make the network down to an acceptable risk within the scope of more and more attention. And how to implement preventive strategies, first of all depends on the current system security. So the separate elements of

4、network security - firewalls, vulnerability scanning, intrusion detection and anti-virus and other risk assessment is necessary. Firewall technology as a more mature nowadays network security technology, its security is directly related to the users vital interests. With the computer technology and

5、network technology, computer network to bring a lot of convenience, this same network security issues are also associated with the development of network technology increasingly serious. Use a firewall to enhance the security of the system well, reducing the system by the network security threats. I

6、n the present computer age, the network information security, the more important. The requirements of firewall technology will be increasingly high. Therefore, the research on the firewall is necessary. And firewall technology will be more widely used. Keywords: network security, firewall, preventio

7、n strategies, trends 目 錄摘要1目錄3第一章 緒論41.1 研究背景41.2 研究目的4第二章 網(wǎng)絡安全62.1網(wǎng)絡安全問題62.1.1 網(wǎng)絡安全面臨的主要威脅62.1.2影響網(wǎng)絡安全的因素72.2網(wǎng)絡安全措施7第三章 防火墻概述93.1 防火墻的概念93.1.1 傳統(tǒng)防火墻介紹103.2 防火墻的功能113.3 防火墻的原理及分類133.3.1包過濾防火墻133.3.2應用級代理防火墻143.3.3代理服務型防火墻153.3.4復合型防火墻16第四章 防火墻的設計164.1區(qū)隔的技術：174.2通訊堆疊的技術:184.2.1包過濾技術184.2.2狀態(tài)檢查技術：19第五

8、章 防火墻發(fā)展趨勢215.1防火墻包過濾技術發(fā)展趨勢225.2防火墻的體系結構發(fā)展趨勢235.3防火墻的系統(tǒng)管理發(fā)展趨勢25結束語25參考文獻26致謝28第一章 緒論1.1 研究背景隨著互聯(lián)網(wǎng)的普及和發(fā)展，尤其是Internet的廣泛使用，使計算機應用更加廣泛與深入。計算機網(wǎng)絡給人們帶來了很多便利，于此同時網(wǎng)絡安全的問題也伴隨著網(wǎng)絡技術的發(fā)展而日趨嚴重。人們在利用網(wǎng)絡的優(yōu)越性的同時，對網(wǎng)絡安全問題也決不能忽視。如何建立比較安全的網(wǎng)絡體系，值得我們關注研究。使用防火墻能很好的提高系統(tǒng)的安全性，減少系統(tǒng)受到網(wǎng)絡安全方面的威脅。在現(xiàn)在的計算機時代，網(wǎng)絡信息的安全越顯得重要。而對防火墻技術的要求也會越

9、來越高。所以對防火墻的研究是很有必要的。而且防火墻技術也會越來越被廣泛應用。1.2 研究目的為了解決互聯(lián)網(wǎng)時代個人網(wǎng)絡安全的問題，近年來新興了防火墻技術。防火墻具有很強的實用性和針對性，它為個人上網(wǎng)用戶提供了完整的網(wǎng)絡安全解決方案，可以有效地控制個人電腦用戶信息在互聯(lián)網(wǎng)上的收發(fā)。用戶可以根據(jù)自己的需要，通過設定一些參數(shù)，從而達到控制本機與互聯(lián)網(wǎng)之間的信息交流阻止惡性信息對本機的攻擊，而且防火墻能夠實時記錄其它系統(tǒng)試圖對本機系統(tǒng)的訪問，使計算機在連接到互聯(lián)網(wǎng)的時候避免受到網(wǎng)絡攻擊和資料泄漏的安全威脅。防火墻可以保護人們在網(wǎng)上瀏覽時免受黑客的攻擊，實時防范網(wǎng)絡黑客的侵襲，還可以根據(jù)自己的需要創(chuàng)建防

10、火墻規(guī)則，控制互聯(lián)網(wǎng)到PC以及PC到互聯(lián)網(wǎng)的所有連接，并屏蔽入侵企圖。防火墻可以有效地阻截各種惡意攻擊、保護信息的安全、信息泄漏攔截；保證安全地瀏覽網(wǎng)頁、遏制郵件病毒的蔓延;郵件內(nèi)容檢測可以實時監(jiān)視郵件系統(tǒng)，阻擋一切針對硬盤的惡意活動。防火墻可以使用戶的網(wǎng)絡劃規(guī)劃更加清晰明了，全面防止跨越權限的數(shù)據(jù)訪問。一套完整的防火墻系統(tǒng)通常是由屏蔽路由器和代理服務器組成。屏蔽路由器是一個多端口的IP路由器，它通過對每一個到來的IP包依據(jù)組規(guī)則進行檢查來判斷是否對之進行轉發(fā)。屏蔽路由器從包頭取得信息。代理服務器是防火墻中的一個服務器進程，它能夠代替網(wǎng)絡用戶完成特定的TCP/TP功能。一個代理服務器本質上是一

11、個應用層的網(wǎng)關，一個為特定網(wǎng)絡應用而連接兩個網(wǎng)絡的網(wǎng)關。代理服務器要求用戶提供其要訪問的遠程主機名。當用戶答復并提供了正確的用戶身份及認證信息后，代理服務器連通遠程主機，為兩個通信點充當中繼。整個過程可以對用戶完全透明。用戶提供的用戶身份及認證信息可用于用戶級的認證。最簡單的情況是：它只由用戶標識和口令構成。但是，如果防火墻是通過Internet可訪問的，應推薦用戶使用更強的認證機制。 第二章 網(wǎng)絡安全2.1網(wǎng)絡安全問題安全，通常是指只有被授權的人才能使用其相應資源的一種機制。我國對于計算機安全的定義是：“計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)

12、能連續(xù)正常運行?！睆募夹g講，計算機安全分為3種：1）實體的安全。它保證硬件和軟件本身的安全。2）運行環(huán)境的安全性。它保證計算機能在良好的環(huán)境里持續(xù)工作。3）信息的安全性。它保障信息不會被非法閱讀、修改和泄漏。隨著網(wǎng)絡的發(fā)展，計算機的安全問題也延伸到了計算機網(wǎng)絡。2.1.1 網(wǎng)絡安全面臨的主要威脅一般認為，計算機網(wǎng)絡系統(tǒng)的安全威脅主要來自計算機病毒、黑客的攻擊和拒絕服務攻擊三個方面。1）計算機病毒的侵襲：計算機病毒侵入網(wǎng)絡，對網(wǎng)絡資源進行破壞，使網(wǎng)絡不能正常工作，甚至造成整個網(wǎng)絡的癱瘓。2）黑客侵襲：即黑客非法進入網(wǎng)絡非法使用網(wǎng)絡資源。例如通過隱蔽通道進行非法活動；采用匿名用戶訪問進行攻擊；通過

13、網(wǎng)絡監(jiān)聽獲取網(wǎng)上用戶賬號和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。3）拒絕服務攻擊：例如“點在郵件炸彈”，它的表現(xiàn)形式是用戶在很短的時間內(nèi)收到大量無用的電子郵件，從而影響正常業(yè)務的運行。嚴重時會使系統(tǒng)關機，網(wǎng)絡癱瘓。具體講，網(wǎng)絡系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權訪問、數(shù)據(jù)竊取、拒絕服務、病毒與惡意攻擊、冒充合法用戶等。2.1.2影響網(wǎng)絡安全的因素1）單機安全購買單機時，型號的選擇；計算機的運行環(huán)境；計算機的操作等，這些都是影響單機安全性的因素。2）網(wǎng)絡安全影響網(wǎng)絡安全的因素有：節(jié)點的安全、數(shù)據(jù)的安全（保存和傳輸方面）、文件的安全等。2.2網(wǎng)絡安全措施網(wǎng)絡信息安全涉及方方面面

14、的問題，是一個復雜的系統(tǒng)。一個完整的網(wǎng)絡信息安全體系至少應包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。二是技術方面，如信息加密存儲傳輸、身份認證、防火墻技術、網(wǎng)絡防毒等。三是管理措施，包括技術與社會措施。主要措施有：提供實時改變安全策略的能力、實時監(jiān)控企業(yè)安全狀態(tài)、對現(xiàn)有的安全系統(tǒng)實施漏洞檢查等，以防患于未然。這三者缺一不可，其中，法律政策是安全的基石，技術是安全的保障，管理和審計是安全的防線。 它的網(wǎng)絡安全的關鍵技術有以下幾點：(1) 數(shù)據(jù)加密：加密就是把明文變成密文，從而使未被授權的人看不懂它。有兩種主要的加密類型：私匙加密和公匙加密。(2)認證：對合法用戶進行認證可以防

15、止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認證機制還可以防止合法用戶訪問他們無權查看的信息。(3) 防火墻技術：防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡屏障，其目的就是防止外部網(wǎng)絡用戶未經(jīng)授權的訪問。(4)檢測系統(tǒng)：入侵檢測技術是一種積極主動的安全防護技術，提供了對內(nèi)部入侵、外部入侵和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截相應入侵。 (5)防病毒技術：隨著計算機技術的發(fā)展，計算機病毒變得越來越復雜和高級，計算機病毒防范不僅僅是一個產(chǎn)品、一個策略或一個制度，它是一個匯集了硬件、軟件、網(wǎng)絡、以及它們之間相互關系和接口的綜合系統(tǒng)。(6) 文件系統(tǒng)安全：在網(wǎng)絡操作系統(tǒng)中，權限是一個關鍵性的概

16、念，因為訪問控制實現(xiàn)在兩個方面：本地和遠程。建立文件權限的時候，必須在Windows 2000中首先實行新技術文件系統(tǒng)（New Technology File System，NTFS）。一旦實現(xiàn)了NTFS，你可以使用Windows資源管理器在文件和文件夾上設置用戶級別的權限。你需要了解可以分配什么樣的權限，還有日?；顒悠陂g一些規(guī)則是處理權限的。Windows 2000操作系統(tǒng)允許建立復雜的文件和文件夾權限，可以完成必要的訪問控制。第三章 防火墻概述隨著Internet的迅速發(fā)展，網(wǎng)絡應用涉及到越來越多的領域，網(wǎng)絡中各類重要的、敏感的數(shù)據(jù)逐漸增多;同時由于黑客入侵以及網(wǎng)絡病毒的問題，使得網(wǎng)絡安全

17、問題越來越突出。因此，保護網(wǎng)絡資源不被非授權訪問，阻止病毒的傳播感染顯得尤為重要。就目前而言，對于局部網(wǎng)絡的保護，防火墻仍然不失為一種有效的手段，防火墻技術主要分為包過濾和應用代理兩類。其中包過濾作為最早發(fā)展起來的一種技術，其應用非常廣泛。3.1 防火墻的概念防火墻是設置在被保護網(wǎng)絡和外部網(wǎng)絡之間的一道屏障，以防止發(fā)生不可預測的、潛在破壞性的侵入。防火墻是指設置在不同網(wǎng)絡或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。防

18、火墻提供信息安全服務，是實現(xiàn)網(wǎng)絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡和互聯(lián)網(wǎng)之間的任何活動，保證了內(nèi)部網(wǎng)絡的安全。防火墻是保障網(wǎng)絡安全的一個系統(tǒng)或一組系統(tǒng)，用于加強網(wǎng)絡間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護內(nèi)部網(wǎng)絡的設備不被破壞，防止內(nèi)部網(wǎng)絡的敏感數(shù)據(jù)被竊取。防火墻至少提供兩個基本的服務，即：1有選擇的限制外部網(wǎng)用戶對本地網(wǎng)的訪問，保護本地網(wǎng)的特定資源。 2有選擇的限制本地網(wǎng)用戶對外地網(wǎng)的訪問。 安全、管理、速度是防火墻的三大要素。3.1.1 傳統(tǒng)防火墻介紹目前的防火墻技術無論從技術上還是從產(chǎn)品發(fā)展歷程上，都經(jīng)歷了

19、五個發(fā)展歷程。圖3.1表示了防火墻技術的簡單發(fā)展歷史。圖3.1第一代防火墻：第一代防火墻技術幾乎與路由器同時出現(xiàn)，采用了包過濾（Packet filter）技術。第二代、第三代防火墻：1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻應用層防火墻（代理防火墻）的初步結構。第四代防火墻：1992年，USC信息科學院的BobBraden開發(fā)出了基于動態(tài)包過濾（Dynamic packet filter）技術的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（Stateful inspection）技術。第五代防火墻：

20、1998年，NAI公司推出了一種自適應代理（Adaptive proxy）技術，并在其產(chǎn)品Gauntlet 防火墻 for NT中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。3.2 防火墻的功能1、包過濾包過濾是一種網(wǎng)絡的數(shù)據(jù)安全保護機制，它可用來控制流出和流入網(wǎng)絡的數(shù)據(jù)，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設置可基于源地址、源端口、目的地址、目的端口、協(xié)議和時間;可根據(jù)地址簿進行設置規(guī)則。一般包過濾規(guī)則如下： （1）過濾規(guī)則序號FRNO，它決定過濾算法執(zhí)行時過濾規(guī)則排列的順序。 （2）過濾方式包括允許和阻止 （3）源IP地址SIP （4）源端口SP （5）目

21、的IP地址DIP（6）目的端口DP （7）協(xié)議標志PF （8）最后一項是注釋2、地址轉換網(wǎng)絡地址變換是將內(nèi)部網(wǎng)絡或外部網(wǎng)絡的IP地址轉換，可分為源地址轉換Source NAT(SNAT)和目的地址轉換Destination NAT(DNAT)。SNAT用于對內(nèi)部網(wǎng)絡地址進行轉換，對外部網(wǎng)絡隱藏起內(nèi)部網(wǎng)絡的結構，避免受到來自外部其他網(wǎng)絡的非授權訪問或惡意攻擊。并將有限的IP地址動態(tài)或靜態(tài)的與內(nèi)部IP地址對應起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本。DNAT主要用于外網(wǎng)主機訪問內(nèi)網(wǎng)主機。3、認證和應用代理 認證指防火墻對訪問網(wǎng)絡者合法身分的確定。代理指防火墻內(nèi)置用戶認證數(shù)據(jù)庫;提供HT

22、TP、FTP和SMTP代理功能，并可對這三種協(xié)議進行訪問控制;同時支持URL過濾功能。4、透明和路由指防火墻將網(wǎng)關隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關提供了對互聯(lián)網(wǎng)服務進行幾乎透明的訪問，同時阻止了外部未授權訪問者對專用網(wǎng)絡的非法訪問;防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個子網(wǎng)之間的安全訪問。5、防火墻主要功能還有： 1）、防止易受攻擊的服務。 2）、控制訪問網(wǎng)點。 3）、集中安全性管理。 4）、對網(wǎng)絡存取和訪問進行監(jiān)控審計。 5）、檢測掃描計算機的企圖。6）、防范特洛伊木馬。7）、防病毒功能。8）、支持VPN技術。9）、提供網(wǎng)絡地址翻譯NAT功能3.3 防火墻的原理

23、及分類防火墻分成三大類:包過濾防火墻、應用級代理服務器以及狀態(tài)包檢測防火墻。3.3.1包過濾防火墻包過濾技術是在網(wǎng)絡中的適當位置對數(shù)據(jù)包實施有選擇通過的技術。包過濾型防火墻又叫篩選路由器或篩選過濾器，它一般作用在網(wǎng)絡層，故也稱網(wǎng)絡層防火墻或IP過濾器。包過濾規(guī)則示例： 表3-1規(guī)則協(xié)議源IP地址目標IP地址源端口目的端口行為1TCPAnyAnyHTTPAccept2TCPAnyAnyPOP3 SMTPAccept3UDPAnyAny53Accept4IPAny53/24AnyICMPAccept5AnyAn

24、yAnyAnyAny禁止（2）包過濾的優(yōu)點：不用改動應用程序、一個過濾路由器能協(xié)助保護整個網(wǎng)絡、數(shù)據(jù)包過濾對用戶透明、過濾路由器速度快、效率高。 （3）包過濾的缺點：維護比較困難，不能徹底防止地址欺騙；隨著過濾器數(shù)目的增加，路由器的吞吐量會下降等。 3.3.2應用級代理防火墻應用級網(wǎng)關(ApplicationLevelGateways)是在網(wǎng)絡應用層上建立協(xié)議過濾和轉發(fā)功能。它針對特定的網(wǎng)絡應用服務協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進行必要的分析、登記和統(tǒng)計，形成報告。實際中的應用網(wǎng)關通常安裝在專用工作站系統(tǒng)上。數(shù)據(jù)包過濾和應用網(wǎng)關防火墻有一個共同的特點，就是它們僅僅依靠特定

25、的邏輯判定是否允許數(shù)據(jù)包通過。一旦滿足邏輯，則防火墻內(nèi)外的計算機系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡結構和運行狀態(tài)，這有利于實施非法訪問和攻擊。應用級代理技術通過在OSI的最高層檢查每一個IP包，從而實現(xiàn)安全策略。代理技術與包過濾技術完全不同，包過濾技術在網(wǎng)絡層控制所有的信息流，而代理技術一直處理到應用層，在應用層實現(xiàn)防火墻功能。它的代理功能，就是在防火墻處終止客戶連接并初始化一個新的連接到受保護的內(nèi)部網(wǎng)絡。這一內(nèi)建代理機制提供額外的安全，這是因為它將內(nèi)部和外部網(wǎng)絡隔離開來，使網(wǎng)絡外部的黑客在防火墻內(nèi)部網(wǎng)絡上進行探測變得困難，更重要的是能夠讓網(wǎng)絡管理員對網(wǎng)絡服務進

26、行全面的控制。但是，這將花費更多的處理時間，并且由于代理防火墻支持的應用有限，每一種應用都需要安裝和配置不同的應用代理程序。比如訪問WEB站點的HTTP，用于文件傳輸?shù)腇TP，用于E一MAIL的SMTP/POP3等等。如果某種應用沒有安裝代理程序，那么該項服務就不被支持并且不能通過防火墻進行轉發(fā);同時升級一種應用時，相應的代理程序也必須同時升級。3.3.3代理服務型防火墻代理服務(Proxy Service)也稱鏈路級網(wǎng)關或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應用級網(wǎng)關一類。它是針對數(shù)據(jù)包過濾10和應用網(wǎng)關技術存在的缺點而引入

27、的防火墻技術，其特點是將所有跨越防火墻的網(wǎng)絡通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應用層的“鏈接”，由兩個終止代理服務器上的“鏈接”來實現(xiàn)，外部計算機的網(wǎng)絡鏈路只能到達代理服務器，從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。此外，代理服務也對過往的數(shù)據(jù)包進行分析、注冊登記，形成報告，同時當發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡管理員發(fā)出警報，并保留攻擊痕跡。應用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點，起著監(jiān)視和隔絕應用層通信流的作用。同時也常結合入過濾器的功能。它工作在OSI模型的最高層，掌握著應用系統(tǒng)中可用作安全決策的全部信息。3.3.4復合型防火墻由于對更高安全性的要求，常把基于包過濾的方法與基于應用代理

28、的方法結合起來，形成復合型防火墻產(chǎn)品。這種結合通常是以下兩種方案。屏蔽主機防火墻體系結構，在該結構中，分組過濾路由器或防火墻與Internet相連，同時一個堡壘機安裝在內(nèi)部網(wǎng)絡，通過在分組過濾器路由器或防火墻上過濾規(guī)則的設置，使堡壘機成為Internet上其他節(jié)點所能到達的唯一節(jié)點，這確保了內(nèi)部網(wǎng)絡不受未授權外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結構：堡壘機放在一個子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡分離。在屏蔽子網(wǎng)防火墻體系結構中，堡壘機和分組過濾路由器共同構成了整個防火墻的安全基礎。第四章 防火墻的設計4.1區(qū)隔的技術：最安全最簡

29、單的作法便是將網(wǎng)絡的實體線路切斷。 圖4.1 然而完全的中斷卻否定了網(wǎng)絡本身的優(yōu)勢及便利性，所以設計防火墻系統(tǒng)在不同區(qū)域間執(zhí)行連線的管理。 圖4.2 防火墻依據(jù)其所能區(qū)隔網(wǎng)絡的數(shù)量而有以下的分類： 表4-1Dual-Home采用理由：最早期的防火墻，主要目的是用來區(qū)隔互聯(lián)網(wǎng)絡及內(nèi)部網(wǎng)絡，因此大多只支持兩片網(wǎng)卡，將網(wǎng)絡區(qū)分為二。優(yōu)點：設定管理最簡單，訪問管理條件只需考慮兩個方向。缺點：公開給互聯(lián)網(wǎng)絡所有用戶的服務器，如：WebServer、 FTP Server、NewsServer等無法受到防火墻保護，或者必須在防火墻上開啟可能造成內(nèi)部網(wǎng)絡安全風險的內(nèi)連代理程序(InboundProxy)。T

30、ri-Home采用理由：為解決公開服務器在Dual-Home架構下的問題。優(yōu)點：將公開服務器置于SSN(SecureServer Network)或DMZ DelimitionMilitaryZone)網(wǎng)絡上，可讓這些公開服務器受到防火墻的保護，也避免了將公開服務器置于內(nèi)部網(wǎng)絡時對內(nèi)部網(wǎng)絡所造成的缺點：內(nèi)部網(wǎng)絡各部門間視為相互信認，防火墻對各部門間的網(wǎng)絡訪問無法管理。Multi-Home采用理由：公司內(nèi)部網(wǎng)絡間有不同的安全政策考量。優(yōu)點：可與公司安全政策更緊密結合，具備彈性化的架構。缺點：多重方向的訪問管理條件，可能造成管理上的負擔，必須提供革命性的管理界面。4.2通訊堆疊的技術: 由于防火墻

31、主要的功能是在區(qū)隔保護網(wǎng)絡通訊及連線管理，所以防火墻的安全級數(shù)及執(zhí)行效率與防火墻所采用的通訊堆疊技術有著相當密切的關系，防火墻的通訊堆疊可檢查到的資料多寡正關系著防火墻的安全級數(shù)及執(zhí)行效率OSI的七層通訊堆疊為例： 圖4.3基本上防火墻所采用的通訊堆疊技術愈在高層，所能檢查到的通訊資料愈多，其安全級數(shù)也就愈高，然而其執(zhí)行效率反而較差。反之如果火墻所采用的通訊堆疊技術愈在低層，所能檢查到的通訊資料愈少，其安全級數(shù)也就愈低，然而其執(zhí)行效率反而較佳。 目前在市場上可以看到下列類型的防火墻技術，便是以其所采用的通訊堆疊而區(qū)分：4.2.1包過濾技術圖4.41、運作方式：1）、在TCP/IP網(wǎng)絡層可以檢查

32、的資料 來源 IP 位址 目的 IP 位址 封包類型(TCP/UDP) 來源位址通訊埠號碼 目的位址通訊埠號碼 2）、內(nèi)部網(wǎng)絡與外部網(wǎng)絡間是直接通訊。 3）、防火墻根據(jù)進出防火墻的 IP 封包進行比對查驗。 4.2.2狀態(tài)檢查技術：圖4.51、運作方式：1）、在資料連結層及網(wǎng)絡層之間插入一狀態(tài)檢查模組。 2）、由狀態(tài)檢查模組動態(tài)集各層的網(wǎng)絡連線狀態(tài)，并將連結狀態(tài)存放在動態(tài)狀態(tài)表中。 3）、在動態(tài)狀態(tài)表中可以檢查的資料：來源 IP 位址、目的 IP 位址、封包類型(TCP/UDP)、網(wǎng)絡服務通訊埠號碼、有限的Curcuit Level的資料、有限的Applictaion Level的資料 。2、

33、優(yōu)點：1）、比Packet Filtering還要安全一點。 2）、可掌握連線的狀態(tài)及部份Application-Level Gateway狀態(tài)資訊。 3）、較佳的擴充性及延展性，未來支援新的網(wǎng)絡協(xié)定時較簡單。 4）、網(wǎng)絡流量效能較Application-Level Gateway還好。 3、缺點：1）、直接連線危險性高，將使內(nèi)部網(wǎng)絡暴露在外部網(wǎng)絡下。 2）、只檢查到連線狀態(tài)無法檢查資料內(nèi)容。 3）、對于無狀態(tài)(stateless)的通訊協(xié)定如：UDP及RPC等，無法管制。 4）、除非相當了解網(wǎng)絡通訊協(xié)定的狀態(tài)特性，否則很難設定出無漏洞的檢查語法。 5）、對于新的通訊協(xié)定需要以INSPECT語

34、言來設定。 4.2.3傳輸層網(wǎng)關技術：1、運作方式：1）、在傳輸層(Transport Layer)檢查資料。 來源 IP 位址、目的 IP 位址 、封包類型(TCP/UDP) 、來源位址、訊埠號碼 、目的位址通訊埠號碼 、可掌握網(wǎng)絡連線狀態(tài)資料。 2）、內(nèi)部網(wǎng)絡與外部網(wǎng)絡間是透過防火墻轉傳。 3）、適當?shù)刈R別所指定的通訊埠，這個通訊埠將保持開放直到連線中止。 4）、應用程序使用公認的通訊埠例如：Telnet port=(23)。 2、優(yōu)點： 1）、可掌握連線的狀態(tài)資訊。 2）、網(wǎng)絡流量效能較Application-Level Gateway還好。 3、缺點：1）、信認所指定的通訊埠就是公認的

35、服務或應用。 2）、無法監(jiān)督交談層的活動及無法偵測應用程序的動態(tài)。 3）、Circuit-Level 比 packet filtering 封包流量慢。 4.2.4應用層網(wǎng)關技術：圖4.61、運作方式：1）、內(nèi)部使用者無法直接連接到外部主機，Application Gateway扮演外部主機的代傳角色。內(nèi)部網(wǎng)絡的設定被保護隱藏起來。 2）、Application Proxy是經(jīng)過安全強化的程序。 3）、在應用層作業(yè)直接解譯及回應應用程序不必理會通訊埠或者協(xié)定。 4)、完整察驗應用層。 2、優(yōu)點：1）、設定訪問控管條件較簡單。 2）、可以完全澈底的檢查所有連線資料。 3）、最安全的的防火墻安全。

36、 3、缺點：1）、對于新的通訊協(xié)定要較久的時間來設計專屬的代理程序。 2）、網(wǎng)絡流量效能效差。 第五章 防火墻發(fā)展趨勢不論從功能還是從性能來講，防火墻產(chǎn)品的演進并不會放慢速度，反而產(chǎn)品的豐富程度和推出速度會不斷的加快，這也反映了安全需求不斷上升的一種趨勢，而相對于產(chǎn)品本身某個方面的演進，更值得我們關注的還是平臺體系結構的發(fā)展以及安全產(chǎn)品標準的發(fā)布，這些變化不僅僅關系到某個環(huán)境的某個產(chǎn)品的應用情況，更關系到信息安全領域的未來。針對傳統(tǒng)防火墻不能解決的問題，及新的網(wǎng)絡攻擊的出現(xiàn)，防火墻技術也出現(xiàn)了新的發(fā)展趨勢。主要可以從包過濾技術、防火墻體系結構和防火墻系統(tǒng)管理三方面來體現(xiàn)。5.1防火墻包過濾技術

37、發(fā)展趨勢(1)安全策略功能一些防火墻廠商把在AAA系統(tǒng)上運用的用戶認證及其服務擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡應用中非常必要。具有用戶身份驗證的防火墻通常是采用應用級網(wǎng)關技術的，包過濾技術的防火墻不具有。用戶身份驗證功能越強，它的安全級別越高，但它給網(wǎng)絡通信帶來的負面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。(2)多級過濾技術所謂多級過濾技術，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾(網(wǎng)絡層)一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如n

38、uke包、圣誕樹包等；在應用網(wǎng)關(應用層)一級，能利用FTP、SMTP等各種網(wǎng)關，控制和監(jiān)測Internet提供的所用通用服務。這是針對以上各種已有防火墻技術的不足而產(chǎn)生的一種綜合型過濾技術，它可以彌補以上各種單獨過濾技術的不足。 (3)功能擴展功能擴展是指一種集成多種功能的設計趨勢，包括VPN、AAA、PKI、IPSec等附加功能，甚至防病毒、入侵檢測這樣的主流功能，都被集成到防火墻產(chǎn)品中了，很多時候我們已經(jīng)無法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個功能為主了，即其已經(jīng)逐漸向我們普遍稱之為IPS（入侵防御系統(tǒng)）的產(chǎn)品轉化了。有些防火墻集成了防病毒功能，通常被稱之為“病毒防火墻”，當然目

39、前主要還是在個人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)。這種防火墻技術可以有效地防止病毒在網(wǎng)絡中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護功能的防火墻可以大大減少公司的損失。5.2防火墻的體系結構發(fā)展趨勢隨著網(wǎng)絡應用的增加，對網(wǎng)絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應用將會越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡處理器的防火墻。從執(zhí)行速度的角度看來，基于網(wǎng)絡處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火

40、墻中有一些專門用于處理數(shù)據(jù)層面任務的引擎，從而減輕了CPU的負擔，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡處理器的防火墻具有軟件色彩，因而更加具有靈活性?；贏SIC的防火墻使用專門的硬件處理網(wǎng)絡數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。從國內(nèi)外歷次測試的結果都可以看出，目前防火墻一個很大的局限性是速度不夠。應用 ASIC 、 FPG

41、A 和網(wǎng)絡處理器是實現(xiàn)高速防火墻的主要方法，其中以采用網(wǎng)絡處理器最優(yōu)，因為網(wǎng)絡處理器采用微碼編程，可以根據(jù)需要隨時升級，甚至可以支持 IPV6 ，而采用其它方法就不那么靈活。實現(xiàn)高速防火墻，算法也是一個關鍵，因為網(wǎng)絡處理器中集成了很多硬件協(xié)處理單元，因此比較容易實現(xiàn)高速.對于采用純 CPU 的防火墻，就必須有算法支撐，例如 ACL 算法。目前有的應用環(huán)境，動輒應用數(shù)百乃至數(shù)萬條規(guī)則，沒有算法支撐，對于狀態(tài)防火墻，建立會話的速度會十分緩慢。受現(xiàn)有技術的限制，目前還沒有有效的對應用層進行高速檢測的方法，也沒有哪款芯片能做到這一點。因此，防火墻不適宜于集成內(nèi)容過濾、防病毒和 IDS 功能 ( 傳輸層

42、以下的 IDS 除外，這些檢測對 CPU 消耗小 ) 。對于IDS ，目前最常用的方式還是把網(wǎng)絡上的流量鏡像到 IDS 設備中處理，這樣可以避免流量較大時造成網(wǎng)絡堵塞。此外，應用層漏洞很多，攻擊特征庫需要頻繁升級，對于處在網(wǎng)絡出口關鍵位置的防火墻，如此頻繁地升級也是不現(xiàn)實的。5.3防火墻的系統(tǒng)管理發(fā)展趨勢(1)集中式管理，分布式和分層的安全結構。(2)強大的審計功能和自動日志分析功能。(3)網(wǎng)絡安全產(chǎn)品的系統(tǒng)化縱觀防火墻技術的發(fā)展，黑客入侵系統(tǒng)技術的不斷進步以及網(wǎng)絡病毒朝智能化和多樣化發(fā)展，對防火墻技術的同步發(fā)展提出了更高的要求。防火墻技術只有不斷向主動型和智能型等方向發(fā)展，才能更好的滿足人們

43、對防火墻技術日益增長的需求。結束語在劉老師的指導下，使我對防火墻技術有了一定的了解，并且認識到算機網(wǎng)絡和計算機網(wǎng)絡安全就像矛和盾，自計算機誕生之日起就彼消此長。隨著Internet的高速發(fā)展和應用，其安全越來越引起人們的關注、如何保護企業(yè)和個人在網(wǎng)絡上的敏感信息不受侵犯己成為當前擺在人們面前的一個重大問題。防火墻技術作為一種用來保護用戶內(nèi)部第一道安全屏障，始終受到人們的關注和重視，并成為網(wǎng)絡安全產(chǎn)品的首選。參考文獻 1 王艷.淺析計算機安全J . 電腦知識與技術.2010，(s):1054一1055.2 艾軍.防火墻體系結構及功能分析J.電腦知識與技術.2004，(s):79一82.3 高峰.

44、許南山.防火墻包過濾規(guī)則問題的研究M.計算機應用.2003，23(6):311一312.4 孟濤、楊磊.防火墻和安全審計M.計算機安全.2004，(4):17一18.5 鄭林.防火墻原理入門Z. E企業(yè).2000.6 魏利華.防火墻技術及其性能研究.能源研究與信息.2004，20(l):57一627 李劍，劉美華，曹元大.分布式防火墻系統(tǒng).安全與環(huán)境學報.2002，2(l):59一618 王衛(wèi)平，陳文惠，朱衛(wèi)未.防火墻技術分析.信息安全與通信保密.2006，(8):24一27 9 王永綱，石江濤，戴雪龍，顏天信.網(wǎng)絡包分類算法仿真測試與比較研究.中國科學技術大學學報.2004，34(4):400一40910 邵華鋼，楊明福.基于空間分解技術的多維數(shù)據(jù)包分類.計算機工程.2003，29(12):123一12411 付歌，楊明福.一個快速的二維數(shù)據(jù)包分類算法.計算機工程.2004，30(6):76一7812 付歌，楊明福，王興軍.基于空間分解的數(shù)據(jù)包分類技術.計算機工程與應用.2004(8):63一6513 韓曉非，王學光，楊明福.位并行數(shù)據(jù)包分類算法研究.華東理工大學學報.2003，29(5):504一50814 韓曉非，楊明福，王