Internet防火墻技術(shù)畢業(yè)論文

1、xxxxxxxxxx畢業(yè)論文（設(shè)計）題 目 internet防火墻技術(shù) 學(xué) 生 學(xué) 號 專業(yè)班級 系院名稱 指導(dǎo)教師 二八年六月十日獨 創(chuàng) 性 聲 明本人聲明所呈交的論文是我個人在導(dǎo)師指導(dǎo)下進(jìn)行的研究工作及取得的研究成果。盡我所知，除了文中特別加以標(biāo)注和致謝的地方外，論文中不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果，也不包含為獲得xxxxxx學(xué)院或其它教育機構(gòu)的學(xué)位或證書而使用過的材料。與我一同工作的同志對本研究所做的任何貢獻(xiàn)均已在論文中作了明確的說明并表示了謝意。簽 名： 年 月 日關(guān)于論文使用授權(quán)的說明本人完全了解xxxxxxx有關(guān)保留、使用學(xué)位論文的規(guī)定，即：學(xué)校有權(quán)保留送交論文的復(fù)印件及電

2、子版，允許論文被查閱和借閱；學(xué)校可以公布論文的全部或部分內(nèi)容，可以采用影印、縮印或其他復(fù)制手段保存論文。(保密論文在解密后應(yīng)遵守此規(guī)定)學(xué)生簽名： 年 月 日導(dǎo)師簽名： 年 月 日internet 防火墻技術(shù)xx（計算機技術(shù)）xxx（教師）摘 要隨著internet的迅猛發(fā)展，安全性已經(jīng)成為網(wǎng)絡(luò)互聯(lián)技術(shù)中最關(guān)鍵的問題。本文全面介紹了internet防火墻技術(shù)與產(chǎn)品的發(fā)展歷程；詳細(xì)剖析了第四代防火墻的功能特色、關(guān)鍵技術(shù)、實現(xiàn)方法及抗攻擊能力；同時簡要描述了internet防火墻技術(shù)的發(fā)展趨勢。 關(guān)鍵詞：internet 網(wǎng)路安全 防火墻 過濾 地址轉(zhuǎn)換 目 錄internt 防火墻技術(shù)i目錄.i

3、i第1章 前言.11.1 internet 防火墻技術(shù)簡介1第2章 internet 防火墻的分類32.1基于路由器的防火墻.32.2用戶化的防火墻工具套.32.3建立在通用操作系統(tǒng)上的防火墻.4第3章 第四代防火墻的主要技術(shù)及功能53.1雙端口或三端口的結(jié)構(gòu).53.2透明的訪問方式.53.3靈活的代理系統(tǒng).53.4多級過濾技術(shù).53.5網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù).53.6 internet網(wǎng)關(guān)技術(shù).53.7 internet網(wǎng)關(guān)技術(shù).63.8用戶鑒別與加密.63.9用戶定制服務(wù)63.10審計和告警.6第4章 第四代防火墻技術(shù)的實現(xiàn)方法.74.1安全內(nèi)核的實現(xiàn).74.2代理系統(tǒng)的建立.7第5章 第四代防

4、火墻的抗攻擊能力85.1抗ip假冒攻擊.85.2抗特洛伊木馬攻擊.85.3抗口令字探尋攻擊.85.4抗網(wǎng)絡(luò)安全性分析.95.5抗郵件詐騙攻擊.9第6章 防火墻技術(shù)展望.9參考文獻(xiàn).10致謝.11個人簡歷12第1章 前言防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互連環(huán)境之中，尤以internet網(wǎng)絡(luò)為最甚。internet的迅猛發(fā)展，使得防火墻產(chǎn)品在短短的幾年內(nèi)異軍突起，很快形成了一個產(chǎn)業(yè)：1995年，剛剛面市的防火墻技術(shù)產(chǎn)品市場量還不到1萬套；到1996年底，就猛增到10萬套；據(jù)國際權(quán)威商業(yè)調(diào)查機構(gòu)的預(yù)測，防火墻市場將以173%

5、的復(fù)合增長率增長，今年底將達(dá)到150萬套，市場營業(yè)額將從1995年的1.6億美元上升到今年的9.8億美元。為了更加全面地了解internet防火墻及其發(fā)展過程，特別是第四代防火墻的技術(shù)特色，我們非常有必要從產(chǎn)品和技術(shù)角度對防火墻技術(shù)的發(fā)展演變做一個詳細(xì)的考察。 11 internet 防火墻技術(shù)簡介防火墻原是指建筑物大廈用來防止火災(zāi)蔓延的隔斷墻。從理論上講，internet防火墻服務(wù)也屬于類似的用來防止外界侵入的。它可以防止internet上的各種危險(病毒、資源盜用等)傳播到你的網(wǎng)絡(luò)內(nèi)部。而事實上，防火墻并不像現(xiàn)實生活中的防火墻，它有點像古代守護(hù)城池用的護(hù)城河，服務(wù)于以下多個目的：1)限定人

6、們從一個特定的控制點進(jìn)入；2)限定人們從一個特定的點離開；3)防止侵入者接近你的其他防御設(shè)施；4)有效地阻止破壞者對你的計算機系統(tǒng)進(jìn)行破壞。在現(xiàn)實生活中，internet防火墻常常被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)上并接入internet所有來自internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻。這樣，防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。從邏輯上講，防火墻是起分隔、限制、分析的作用，這一點同樣可以從圖1中體會出來。那么，防火墻究竟是什么呢?實際上，防火墻是加強internet(內(nèi)部網(wǎng))之間安全防御的一個或一組系統(tǒng)，它由一組硬件設(shè)備(包括路由器

7、、服務(wù)器)及相應(yīng)軟件構(gòu)成。3. 防火墻技術(shù)與產(chǎn)品發(fā)展的回顧防火墻是網(wǎng)絡(luò)安全策略的有機組成部分，它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理。從總體上看，防火墻應(yīng)該具有以下五大基本功能：過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止行為；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警。為實現(xiàn)以上功能，在防火墻產(chǎn)品的開發(fā)中，人們廣泛地應(yīng)用了網(wǎng)絡(luò)拓?fù)?、計算機操作系統(tǒng)、路由、加密、訪問控制、安全審計等成熟或先進(jìn)的技術(shù)和手段。第2章 基于路由器的防火墻縱觀防火墻近年來的發(fā)展，可以將其劃分為如下四個階段(即四代)。2.1 基于路由器的防火墻由于多數(shù)路由器本

8、身就包含有分組過濾功能，故網(wǎng)絡(luò)訪問控制可能通過路控制來實現(xiàn)，從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點是：1)利用路由器本身對分組的解析，以訪問控制表(access list)方式實現(xiàn)對分組的過濾；2)過濾判斷的依據(jù)可以是：地址、端口號、ip旗標(biāo)及其他網(wǎng)絡(luò)特征；3)只有分組過濾的功能，且防火墻與路由器是一體的。這樣，對安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法，而對安全性要求高的網(wǎng)絡(luò)則需要單獨利用一臺路由器作為防火墻。第一代防火墻產(chǎn)品的不足之處十分明顯，具體表現(xiàn)為：路由協(xié)議十分靈活，本身具有安全漏洞，外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如，在使用ftp協(xié)議

9、時，外部服務(wù)器容易從20號端口上與內(nèi)部網(wǎng)相連，即使在路由器上設(shè)置了過濾規(guī)則，內(nèi)部網(wǎng)絡(luò)的20號端口仍可以由外部探尋。路由器上分組過濾規(guī)則的設(shè)置和配置存在安全隱患。對路由器中過濾規(guī)則的設(shè)置和配置十分復(fù)雜，它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性，一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任，加之一旦出現(xiàn)新的協(xié)議，管理員就得加上更多的規(guī)則去限制，這往往會帶來很多錯誤。路由器防火墻的最大隱患是：攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的，黑客(hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。路由器防火墻的本質(zhì)缺陷是：由于路由器的主要功能是為網(wǎng)絡(luò)訪問提供動態(tài)的、靈活的路由，而防火

10、墻則要對訪問行為實施靜態(tài)的、固定的控制，這是一對難以調(diào)和的矛盾，防火墻的規(guī)則設(shè)置會大大降低路由器的性能。可以說基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施，用這種權(quán)宜之計去對付黑客的攻擊是十分危險的2.2用戶化的防火墻工具套為了彌補路由器防火墻的不足，很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護(hù)自己的網(wǎng)絡(luò)，從而推動了用戶防火墻工具套的出現(xiàn)。作為第二代防火墻產(chǎn)品，用戶化的防火墻工具套具有以下特征：1)將過濾功能從路由器中獨立出來，并加上審計和告警功能；2)針對用戶需求，提供模塊化的軟件包；3)軟件可以通過網(wǎng)絡(luò)發(fā)送，用戶可以自己動手構(gòu)造防火墻；4)與第一代防火墻相比，安全性提高了，價格也降

11、低了。由于是純軟件產(chǎn)品，第二代防火墻產(chǎn)品無論在實現(xiàn)上還是在維護(hù)上都對系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求，并帶來以下問題：配置和維護(hù)過程復(fù)雜、費時；對用戶的技術(shù)要求高；全軟件實現(xiàn)，使用中出現(xiàn)差錯的情況很多。2.3靈活的代理系統(tǒng)基于軟件的防火墻在銷售、使用和維護(hù)上的問題迫使防火墻開發(fā)商很快推出了建立在通用操作系統(tǒng)上的商用防火墻產(chǎn)品。近年來市場上廣泛使用的就是這一代產(chǎn)品，它們具有如下一些特點：1)是批量上市的專用防火墻產(chǎn)品；2)包括分組過濾或者借用路由器的分組過濾功能；3)裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；4)保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置；5)安全性和速度大大提高。第三代防火墻

12、有以純軟件實現(xiàn)的，也有以硬件方式實現(xiàn)的，它們已經(jīng)得到了廣大用戶的認(rèn)同。但隨著安全需求的變化和使用時間的推延，仍表現(xiàn)出不少問題，比如：1)作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知，由于源碼的保密，其安全性無從保證；2)由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商，通用操作系統(tǒng)廠商不會對操作系統(tǒng)的安全性負(fù)責(zé)；3)從本質(zhì)上看，第三代防火墻既要防止來自外部網(wǎng)絡(luò)的攻擊，還要防止來自操作系統(tǒng)廠商的攻擊；4)在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級網(wǎng)關(guān)且具有加密鑒別功能；5)透明性好，易于使用。 第3章 第四代防火墻的主要技術(shù)及功能第四代防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一，具有以下技術(shù)功能。3.1雙

13、端口或三端口的結(jié)構(gòu)新一代防火墻產(chǎn)品具有兩個或三個獨立的網(wǎng)卡，內(nèi)外兩個網(wǎng)卡可不做ip轉(zhuǎn)化而串接于內(nèi)部與外部之間，另一個網(wǎng)卡可專用于對服務(wù)器的安全保護(hù)。3.2透明的訪問方式以前的防火墻在訪問方式上要么要求用戶做系統(tǒng)登錄，要么需要通過socks等庫路徑修改客戶機的應(yīng)用。第四代防火墻利用了透明的代理系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固有的安全風(fēng)險和出錯概率。3.3靈活的代理系統(tǒng)代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊，第四代防火墻采用了兩種代理機制：一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接；另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)接(nit)技術(shù)來解決，后者采用非保密的用戶

14、定制代理或保密的代理系統(tǒng)技術(shù)來解決。3.4多級過濾技術(shù)為保證系統(tǒng)的安全性和防護(hù)水平，第四代防火墻采用了三級過濾措施，并輔以鑒別手段。在分組過濾一級，能過濾掉所有的源路由分組和假冒ip地址；在應(yīng)用級網(wǎng)關(guān)一級，能利用ftp、smtp等各種網(wǎng)關(guān)，控制和監(jiān)測internet提供的所有通用服務(wù)；在電路網(wǎng)關(guān)一級，實現(xiàn)內(nèi)部主機與外部站點的透明連接，并對服務(wù)的通行實行嚴(yán)格控制。3.5網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)第四代防火墻利用nat技術(shù)能透明地對所有內(nèi)部地址做轉(zhuǎn)換，使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時允許內(nèi)部網(wǎng)絡(luò)使用自己編的ip源地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址3.6

15、internet網(wǎng)關(guān)技術(shù)第四代防火墻利用nat技術(shù)能透明地對所有內(nèi)部地址做轉(zhuǎn)換，使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時允許內(nèi)部網(wǎng)絡(luò)使用自己編的ip源地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址由于是直接串聯(lián)在網(wǎng)絡(luò)之中，第四代防火墻必須支持用戶在internet互聯(lián)的所有服務(wù)，同時還要防止與internet服務(wù)有關(guān)的安全漏洞，故它要能夠以多種安全的應(yīng)用服務(wù)器(包括ftp、finger、mail、ident、news、www等)來實現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性，對所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用(chroot)”做物理上的隔離。在域名服務(wù)方面，第四

16、代防火墻采用兩種獨立的域名服務(wù)器：一種是內(nèi)部dns服務(wù)器，主要處理內(nèi)部網(wǎng)絡(luò)和dns信息；另一種是外部dns服務(wù)器，專門用于處理機構(gòu)內(nèi)部向internet提供的部分dns信息。在匿名ftp方面，服務(wù)器只提供對有限的受保護(hù)的部分目錄的只讀訪問。在www服務(wù)器中，只支持靜態(tài)的網(wǎng)頁，而不允許圖形或cgi代碼等在防火墻內(nèi)運行。在finger服務(wù)器中，對外部訪問，防火墻只提供可由內(nèi)部用戶配置的基本的文本信息，而不提供任何與攻擊有關(guān)的系統(tǒng)信息。smtp與pop郵件服務(wù)器要對所有進(jìn)、出防火墻的郵件做處理，并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境。ident服務(wù)器對用戶連接的識別做專門處理，網(wǎng)絡(luò)新聞服務(wù)

17、則為接收來自isp的新聞開設(shè)了專門的磁盤空間。 3.7 安全服務(wù)器網(wǎng)絡(luò)(ssn)為了適應(yīng)越來越多的用戶向internet上提供服務(wù)時對服務(wù)器的需要，第四代防火墻采用分別保護(hù)的策略對用戶上網(wǎng)的對外服務(wù)器實施保護(hù)，它利用一張網(wǎng)卡將對外服務(wù)器作為一個獨立網(wǎng)絡(luò)處理，對外服務(wù)器既是內(nèi)部網(wǎng)絡(luò)的一部分，又與內(nèi)部網(wǎng)關(guān)完全隔離，這就是安全服務(wù)器網(wǎng)絡(luò)(ssn)技術(shù)。而對ssn上的主機既可單獨管理，也可設(shè)置成通過ftp、tnlnet等方式從內(nèi)部網(wǎng)上管理。ssn方法提供的安全性要比傳統(tǒng)的“隔離區(qū)(dmz)”方法好得多，因為ssn與外部網(wǎng)之間有防火墻保護(hù)，ssn與風(fēng)部網(wǎng)之間也有防火墻的保護(hù)，而dmz只是一種在內(nèi)、外部網(wǎng)

18、絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之，一旦ssn受破壞，內(nèi)部網(wǎng)絡(luò)仍會處于防火墻的保護(hù)之下，而一旦dmz受到破壞，內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。3.8用戶鑒別與加密為了減低防火墻產(chǎn)品在tnlnet、ftp等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險，鑒別功能必不可少。第四代防火墻采用一次性使用的口令系統(tǒng)來作為用戶的鑒別手段，并實現(xiàn)了對郵件的加密。3.9用戶定制服務(wù)為了滿足特定用戶的特定需求，第四代防火墻在提供眾多服務(wù)的同時，還為用戶定制提供支持，這類選項有：通用tcp、出站udp、ftp、smtp等，如果某一用戶需要建立一個數(shù)據(jù)庫的代理，便可以利用這些支持，方便設(shè)置.3.10審計和告警第四代防火墻產(chǎn)品采用的審計和

19、告警功能十分健全，日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進(jìn)站代理、ftp代理、出站代理、郵件服務(wù)器、名服務(wù)器等。告警功能會守住每一個tcp或udp探尋，并能以發(fā)出郵件、聲響等多種方式報警。此外，第四代防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面具有特色。第4章第四代防火墻技術(shù)的實現(xiàn)方法在第四代防火墻產(chǎn)品的設(shè)計與開發(fā)中，安全內(nèi)核、代理系統(tǒng)、多級過濾、安全服務(wù)器、鑒別與加密是關(guān)鍵所在。4.1 安全內(nèi)核的實現(xiàn)第四代防火墻是建立在安全操作系統(tǒng)之上的，安全操作系統(tǒng)來自對專用操作系統(tǒng)的安全加固和改造，從現(xiàn)在的諸多

20、產(chǎn)品看，對安全操作系統(tǒng)內(nèi)核的固化與改造主要從以下幾個方面進(jìn)行：1)取消危險的系統(tǒng)調(diào)用；2)限制命令的執(zhí)行權(quán)限；3)取消ip的轉(zhuǎn)發(fā)功能；4)檢查每個分組的接口；5)采用隨機連接序號；6)駐留分組過濾模塊；7)取消動態(tài)路由功能；8)采用多個安全內(nèi)核。4.2 代理系統(tǒng)的建立防火墻不允許任何信息直接穿過它，對所有的內(nèi)外連接均要通過代理系統(tǒng)來實現(xiàn)，為保證整個防火墻的安全，所有的代理都應(yīng)該采用改變根目錄方式存在一個相對獨立的區(qū)域以安全隔離。在所有的連接通過防火墻前，所有的代理要檢查已定義的訪問規(guī)則，這些規(guī)則控制代理的服務(wù)根據(jù)以下內(nèi)容處理分組：1)源地址；2)目的地址；3)時間；4)同類服務(wù)器的最大數(shù)量。所

21、有外部網(wǎng)絡(luò)到防火墻內(nèi)部或ssn的連接由進(jìn)站代理處理，進(jìn)站代理要保證內(nèi)部主機能夠了解外部主機的所有信息，而外部主機只能看到防火墻之外或ssn的地址。對信息內(nèi)容的加密與鑒別則涉及加密算法和數(shù)字簽名技術(shù)，除pem、pgp和kerberos外，目前國外防火墻產(chǎn)品中尚沒有更好的機制出現(xiàn)，由于加密算法涉及國家信息安全和主權(quán)，各國有不同的要求。 第 5章 第四代防火墻的抗攻擊能力作為一種安全防護(hù)設(shè)備，防火墻在網(wǎng)絡(luò)中自然是眾多攻擊者的目標(biāo)，故抗攻擊能力也是防火墻的必備功能。在internet環(huán)境中針對防火墻的攻擊很多，下面從幾種主要的攻擊方法來評估第四代防火墻的抗攻擊能力。5.1 抗ip假冒攻擊ip假冒是指一

22、個非法的主機假冒內(nèi)部所有從內(nèi)部網(wǎng)絡(luò)ssn通過防火墻與外部網(wǎng)絡(luò)建立的連接由出站代理處理，出站代理必須確保完全由它代表內(nèi)部網(wǎng)絡(luò)與外部地址相連，防止內(nèi)部網(wǎng)址與外部網(wǎng)址的直接連接，同時還要處理內(nèi)部網(wǎng)絡(luò)ssn的連接。對每一種參數(shù)的處理都充分體現(xiàn)設(shè)計原則和安全政策。5.2 抗特洛伊木馬攻擊特洛伊木馬能將病毒或破壞性程序傳入計算機網(wǎng)絡(luò)，且通常是將這些惡意程序隱蔽在正常的程序之中，尤其是熱門程序或游戲，一些用戶下載并執(zhí)行這一程序，其中的病毒便會發(fā)作。第四代防火墻是建立在安全的操作系統(tǒng)之上的，其內(nèi)核中不能執(zhí)行下載的程序，故而可以防止特洛伊木馬的發(fā)生。必須指出的是，防火墻能抗特洛伊木馬的攻擊并不表明其保護(hù)的某個主

23、機也能防止這類攻擊。事實上，內(nèi)部用戶可以通過防火墻下載程序，并執(zhí)行下載的程序。5.3 抗口令字探尋攻擊在網(wǎng)絡(luò)中探尋口令的方法很多，最常見的是口令嗅探和口令解密。嗅探是通過監(jiān)測網(wǎng)絡(luò)通信，截獲用戶傳給服務(wù)器的口令字，記錄下來，以便使用；解密是指采用強力攻擊、猜測或截獲含有加密口令的文件，并設(shè)法解密。此外，攻擊者還常常利用一些常用口令字直接登錄。 第四代防火墻采用了一次性口令字和禁止直接登錄防火墻措施，能夠有效防止對口令字的攻擊。5.4 抗網(wǎng)絡(luò)安全性分析網(wǎng)絡(luò)安全性分析工具是提供管理人員分析網(wǎng)絡(luò)安全性之用的，一旦這類工具用作攻擊網(wǎng)絡(luò)的手段，則能夠比較方便地探測到內(nèi)部網(wǎng)絡(luò)的安全缺陷和弱點所在。目前，sa

24、ta軟件可以從網(wǎng)上免費獲得，internet scanner可以從市面上購買，這些分析工具給網(wǎng)絡(luò)安全構(gòu)成了直接的威脅。第四代防火墻采用了地址轉(zhuǎn)換技術(shù)，將內(nèi)部網(wǎng)絡(luò)隱蔽起來，使網(wǎng)絡(luò)安全分析工具無法從外部對內(nèi)部網(wǎng)絡(luò)做分析。5.5 抗郵件詐騙攻擊郵件詐騙也是越來越突出的攻擊方式，第四代防火墻不接收任何郵件，故難以采用這種方式對它攻擊，同樣值得一提的是，防火墻不接收郵件，并不表示它不讓郵件通過，實際上用戶仍可收發(fā)郵件，內(nèi)部用戶要防郵件詐騙，最終的解決辦法是對郵件加密。第6章 防火墻技術(shù)展望伴隨著internet的飛速發(fā)展，防火墻技術(shù)與產(chǎn)品的更新步伐必然會加強，而要全面展望防火墻技術(shù)的發(fā)展幾乎是不可能的。但是，從產(chǎn)品及功能上，卻又可以看出一些動向和趨勢。下面諸點可能是下一步