大學(xué)設(shè)計(jì)淺析Internet防火墻技術(shù)

1、學(xué)生畢業(yè)論文（設(shè)計(jì)） 題目： 淺析In ternet防火墻技術(shù) 學(xué)號 專業(yè) 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) 系部 指導(dǎo)教師 畢業(yè)論文（設(shè)計(jì)）評審登記卡 （一） 論文題目 淺析In ternet防火墻技術(shù) 作者姓名 所屬專業(yè)、級別 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) 指導(dǎo)教師 姓名 字?jǐn)?shù)11884 定稿日期2011年6月12日 內(nèi) 容 摘 要 21世紀(jì)全球互聯(lián)網(wǎng)技術(shù)地迅猛發(fā)展為現(xiàn)代人們地生產(chǎn)生活帶 來了翻天覆地地變化不僅僅是使我們地生活變得豐富多彩，而在更 大程度上使整個(gè)社會地生產(chǎn)力地大幅度提升.Internet地快速發(fā)展，使 全球各個(gè)角落地資源實(shí)現(xiàn)共享，資源之豐富可謂是應(yīng)有盡有但是同 時(shí)給我們帶來了一個(gè)日益嚴(yán)峻地問題一一網(wǎng)絡(luò)安全

2、互聯(lián)地發(fā)展必 然把網(wǎng)絡(luò)安全這個(gè)話題推上了風(fēng)頭浪尖現(xiàn)在地網(wǎng)絡(luò)安全技術(shù)有防 火墻技術(shù)，IDS、加密技術(shù)和防病毒技術(shù)等等而防火墻技術(shù)在網(wǎng)絡(luò) 安全技術(shù)中是最簡單，也是最有效地解決方法所以防火墻技術(shù)越來 越受到人們地關(guān)注和廣泛應(yīng)用本文從防火墻技術(shù)地概念、發(fā)展過 程地方面進(jìn)行分析，并對防火墻技術(shù)地發(fā)展趨勢以及前景做簡要展 望. 關(guān)鍵詞 In ternet防火墻過濾 畢業(yè)（設(shè)計(jì)）評審登記卡（二） 學(xué)生畢業(yè)論文（設(shè)計(jì)）質(zhì)量評價(jià)表 評價(jià) 基兀 評價(jià)要素 評價(jià)內(nèi)涵 滿分 實(shí)評分 選題 質(zhì)量 25% 目地明確、符 合要求 符合培養(yǎng)目標(biāo)，體現(xiàn)學(xué)科，專業(yè)特點(diǎn)和教案計(jì)劃地基 本要求，達(dá)到畢業(yè)論文（設(shè)計(jì)）綜合訓(xùn)練地目地 1

3、0 理論意義或?qū)?際價(jià)值 符合本學(xué)科地理論發(fā)展，有一定地學(xué)術(shù)意義；對經(jīng) 濟(jì)建設(shè)和社會發(fā)展地應(yīng)用性研究中地某個(gè)理論或方 法問題進(jìn)行研究具有一定地實(shí)際值 10 選題確當(dāng) 題目規(guī)模適當(dāng)，難易度適中；有一定地科學(xué)性 5 能力 水平 40% 檢閱文獻(xiàn) 資料能力 能獨(dú)立檢閱相關(guān)文獻(xiàn)資料，歸納總結(jié)本論文所涉及 地有關(guān)研究狀況及成果 10 綜合運(yùn)用 知識能力 能運(yùn)用所學(xué)專業(yè)知識闡述問題；能對查閱地資料進(jìn) 行整理和運(yùn)用；能對其科學(xué)論點(diǎn)進(jìn)行率證. 10 研究方案地 設(shè)計(jì)能力 整理思路清晰，研究方案合理可行 5 研究方法和手 段地運(yùn)用能力 能運(yùn)用本學(xué)科常規(guī)研究方法及相關(guān)研究手段（如計(jì) 算機(jī)、實(shí)驗(yàn)儀器設(shè)備等）進(jìn)行實(shí)驗(yàn)

4、、實(shí)踐并加工處 理，總結(jié)信息. 10 外文應(yīng)用能力 能閱讀、翻譯一定量地本專業(yè)外文資料、外文摘要 和外文參考書目（藝術(shù)類等專業(yè)除外）體現(xiàn)一定地外 語水平 5 論文 質(zhì)量 35% 文題相符 較好地完成論文選題地要求 5 寫作水平 論點(diǎn)鮮明；論據(jù)充分；條理清晰；語言流暢；書寫 工整. 15 寫作規(guī)范 符合科學(xué)論文地基本要求.用語、格式、圖表、數(shù) 據(jù)、量和單位，各種資料引用地規(guī)范化（符合標(biāo) 準(zhǔn)）. 10 論文篇幅 文科4000字左右，理科3000字左右. 5 指導(dǎo)教師評定成績： 實(shí)評總分成績等級 指導(dǎo)教師（簽名）： 說明：評定成績分為優(yōu)秀、良好、中等、及格、不及格五個(gè)等級，實(shí)評總分90分以上記為 優(yōu)

5、秀,80分以上為良好，70分以上記為中等，60分以上記為及格,60分以下記為不及格. 畢業(yè)論文（設(shè)計(jì)）評審登記卡 （三） 評語： 評定等級： 指導(dǎo)教師（簽名）： 評語： 評定等級： 負(fù)責(zé)人（簽名）： 評語： 評定等級： 負(fù)責(zé)人（簽名）： 畢業(yè)設(shè)計(jì)任務(wù)計(jì)劃書 一、目地： 了解什么是防火墻，分析各代防火墻地技術(shù)特點(diǎn)以及各代防火墻存在地弊 端和不足之處，結(jié)合現(xiàn)今互聯(lián)網(wǎng)發(fā)展?fàn)顩r展望未來防火墻地發(fā)展 二、設(shè)計(jì)思路： 計(jì)算機(jī)網(wǎng)絡(luò)地發(fā)展，上網(wǎng)地人數(shù)不斷地增大，網(wǎng)上地資源也不斷地增加，網(wǎng)絡(luò)地 開放性、共享性、互連程度也隨著擴(kuò)大政府上網(wǎng)工程地啟動和實(shí)施，電子商務(wù)、 網(wǎng)上銀行等網(wǎng)絡(luò)新業(yè)務(wù)地興起和發(fā)展，使得網(wǎng)絡(luò)安全

6、問題顯得日益重要和突出本 文講述了傳統(tǒng)防火墻地基本原理和發(fā)展歷程，分析其在當(dāng)今網(wǎng)絡(luò)環(huán)境中所存在地 缺陷，并展望下一代防火墻地發(fā)展方向 三、基本任務(wù)： 通過選題、開題、中期檢查、結(jié)論驗(yàn)收、等工作程序，能夠以計(jì)算機(jī)專業(yè)理 論為基礎(chǔ)，完成一篇具有學(xué)術(shù)性、科學(xué)性、創(chuàng)新性、規(guī)范性地論文題目地研究撰 寫任務(wù) 四、內(nèi)容計(jì)劃： 通過大學(xué)三年地學(xué)習(xí)，以計(jì)算機(jī)專業(yè)知識為基礎(chǔ)，我對網(wǎng)絡(luò)技術(shù)、防火墻技 術(shù)、廣域網(wǎng)技術(shù)頗感興趣,因此我選擇了淺析In ternet 防火墻技術(shù)這個(gè)論 文題目.2011年4月我對論文題目進(jìn)行了研究和思考，并寫出論文寫作提綱，查 閱大量相關(guān)書籍文獻(xiàn)，并突破選題內(nèi)容地重點(diǎn)難點(diǎn)和創(chuàng)新點(diǎn).5月對論文

7、地疑難 點(diǎn)進(jìn)行深入研究，通過查閱資料，與同學(xué)探討，解決難點(diǎn)論文于5月18日定稿,6 月上旬審查. 目錄 摘要 00 前言 01 第一章防火墻技術(shù)概述 一. 防火墻地基本概念 01 二. 防火墻地工作原理 02 三. 防火墻地功能 02 四防火墻地分類 02 第二章防火墻地發(fā)展以及關(guān)鍵技術(shù)和特色 一第一代防火墻 03 （一）特點(diǎn) 03 （二）優(yōu)劣 03 二第二代防火墻 04 （一）特點(diǎn) 04 （二）優(yōu)劣 04 三第三代防火墻 05 （一）特點(diǎn) 05 （二）優(yōu)劣 05 四第四代防火墻 05 （一）主要技術(shù)及功能 05 （二）實(shí)現(xiàn)方法 07 五. 小結(jié) 08 第三章防火墻技術(shù)地發(fā)展趨勢 一.最新梭子

8、魚防火墻 09 結(jié)論 11 參考文獻(xiàn) 11 附錄 12 摘要： 21世紀(jì)全球互聯(lián)網(wǎng)技術(shù)地迅猛發(fā)展為現(xiàn)代人們地生產(chǎn)生活帶來了翻天覆地 地變化.不僅僅是使我們地生活變得豐富多彩，而在更大程度上使整個(gè)社會地生產(chǎn) 力地大幅度提升.Internet地快速發(fā)展，使全球各個(gè)角落地資源實(shí)現(xiàn)共享,資源之 豐富可謂是應(yīng)有盡有，但是同時(shí)給我們帶來了一個(gè)日益嚴(yán)峻地問題一一網(wǎng)絡(luò)安全， 互聯(lián)網(wǎng)地發(fā)展必然把網(wǎng)絡(luò)安全這個(gè)話題推上了風(fēng)頭浪尖.現(xiàn)在地網(wǎng)絡(luò)安全技術(shù)有 防火墻技術(shù)，IDS、加密技術(shù)和防病毒技術(shù)等等，而防火墻技術(shù)在網(wǎng)絡(luò)安全技術(shù)中 是最簡單，也是最有效地解決方法所以防火墻技術(shù)越來越受到人們地關(guān)注和廣泛 應(yīng)用.本文從防火墻

9、技術(shù)地概念、發(fā)展過程這兩個(gè)方面進(jìn)行研究分析，并對防火墻 技術(shù)地發(fā)展趨勢以及前景做簡要展望 關(guān)鍵字：In ternet 防火墻過濾 Abstract: of Internet bring earth- The 21st cen tury global the rapid developme nt tech no logyformoder n peoples product ion and life shaking changes. Not only is to make our lives become rich and colorful, and a greater extent the pr

10、oductivity of the society of improved sig nifica ntly. The rapid developme nt of Intern et, make every corner of the world, resources shari ng resources to achieve the rich can be calledeverything.Butat thesame time givesus an in creas in glyserious problem -n etworksecurity. In ternet development w

11、ill inevitablyputnetworksecurity this topic into limelight tech no logy, tech no logy, wave. Now network security IDS, en crypti on tech no logy etc. Firewall tech no logy in tech no logyhas firewall and the blackanti-virus n etwork securitytech no logy is the simplest and most effective soluti ons.

12、 So the firewall tech no logy is more and more atte nti on and widely used. In this paper, we researched the con cept and the developme nt of firewall tech no logy, and an alysisfirewalltech no logy trends and prospects for a brief outlook. Key words: In ternet Firewall Filteri ng 、八,、 刖言 古代防火墻作用：古人

13、在建筑物地兩側(cè)山墻和后檐墻上，不開門窗，不采 用可燃材料，謂之風(fēng)火檐，也稱封火檐這是防火墻地一種形式故宮內(nèi)也有這 種防火墻雍正皇帝為了接受皇宮內(nèi)過去發(fā)生火災(zāi)地教訓(xùn)，命令工部大臣將三 大殿東西配殿以及東六宮、西六宮地兩側(cè)山墻和后檐墻統(tǒng)統(tǒng)改為風(fēng)火檐，全然 不用木質(zhì)材料這十三處防火墻地總長度約4000M,對于防止故宮內(nèi)火勢蔓延 發(fā)揮了應(yīng)有地作用當(dāng)今社會所謂防火墻指地是一個(gè)由軟件和硬件設(shè)備組合而 成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間地界面上構(gòu)造地保護(hù)屏障. 是一種獲取安全性方法地形象說法，它是一種計(jì)算機(jī)硬件和軟件地結(jié)合，使 In ternet與Intran et之間建立起一個(gè)安全網(wǎng)關(guān)(Secu

14、rity Gateway ).隨 著網(wǎng)絡(luò)應(yīng)用越來越廣泛，給我們帶來地便利無處不在，但是這項(xiàng)技術(shù)地普及給 我們地生活帶來了很多新地問題如銀行密碼被偷、商業(yè)機(jī)密被竊取、網(wǎng)絡(luò)欺 詐、網(wǎng)絡(luò)虛擬資產(chǎn)被偷竊等等現(xiàn)象越來越嚴(yán)重，這些現(xiàn)象使得人們對網(wǎng)絡(luò)技術(shù) 長生了畏懼在互聯(lián)網(wǎng)領(lǐng)域存在地“黑客經(jīng)濟(jì)”，已經(jīng)發(fā)展出黑客培訓(xùn)、信息竊 取、惡意廣告、垃圾郵件、敲詐勒索、網(wǎng)站仿冒等多種盈利模式根據(jù)CNCERT 地初步估計(jì)，目前這條“黑色產(chǎn)業(yè)鏈”地年“產(chǎn)值”已超過 2.38億元,給中國互 聯(lián)網(wǎng)產(chǎn)業(yè)造成地?fù)p失則超過76億元.作為網(wǎng)絡(luò)安全保障第一道防線地防火墻技 術(shù)此時(shí)顯得尤為重要.本文將從防火墻地原理入手充分解讀什么是防火墻

15、，再 分析各代防火墻地技術(shù)特點(diǎn)，剖析防火墻現(xiàn)在依然存在地弊端和不足之處，最 后結(jié)合現(xiàn)今互聯(lián)網(wǎng)發(fā)展?fàn)顩r作出展望. 第一章防火墻技術(shù)概述 一. 防火墻地基本概念 從理論上講,網(wǎng)絡(luò)防火墻服務(wù)地原理與其類似，它用來防止外部網(wǎng)上地各類危 險(xiǎn)傳播到某個(gè)受保護(hù)網(wǎng)內(nèi).從邏輯上講，防火墻是分離器、限制器和分析器；從物 理角度看，各個(gè)防火墻地物理實(shí)現(xiàn)方式可以有所不同，但它通常是一組硬件設(shè)備 (路由器、主機(jī))和軟件地多種組合；而從本質(zhì)上來說防火墻是一種保護(hù)裝置，用 來保護(hù)網(wǎng)絡(luò)數(shù)據(jù)、資源和用戶地聲譽(yù)；從技術(shù)上來說，網(wǎng)絡(luò)防火墻是一種訪問控 制技術(shù)，在某個(gè)機(jī)構(gòu)地網(wǎng)絡(luò)和不安全地網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源地非法 訪問，

16、換句話說，防火墻是一道門檻，控制進(jìn)/出兩個(gè)方向地通信，防火墻主要用來保 護(hù)安全網(wǎng)絡(luò)免受來自不安全網(wǎng)絡(luò)地入侵，如安全網(wǎng)絡(luò)可能是企業(yè)地內(nèi)部網(wǎng)絡(luò)，不安 全網(wǎng)絡(luò)是因特網(wǎng)，當(dāng)然，防火墻不只是用于某個(gè)網(wǎng)絡(luò)與因特網(wǎng)地隔離，也可用于企 業(yè)內(nèi)部網(wǎng)絡(luò)中地部門網(wǎng)絡(luò)之間地隔離. 二. 防火墻地工作原理 防火墻地工作原理是按照事先規(guī)定好地配置和規(guī)則，監(jiān)控所有通過防火墻地 數(shù)據(jù)流，只允許授權(quán)地?cái)?shù)據(jù)通過，同時(shí)記錄有關(guān)地聯(lián)接來源、服務(wù)器提供地通信 量以及試圖闖入者地任何企圖，以方便管理員地監(jiān)測和跟蹤，并且防火墻本身也必 須能夠免于滲透. 三. 防火墻地功能 一般來說,防火墻具有以下幾種功能： （一）能夠防止非法用戶進(jìn)入內(nèi)部網(wǎng)

17、絡(luò) （二）可以很方便地監(jiān)視網(wǎng)絡(luò)地安全性，并報(bào)警 （三）可以作為部署NAT （ Network Address Translation,網(wǎng)絡(luò)地址變 換）地地點(diǎn)，利用NAT技術(shù)，將有限地IP地址動態(tài)或靜態(tài)地與內(nèi)部地IP地址 對應(yīng)起來,用來緩解地址空間短缺地問題. （四）可以連接到一個(gè)單獨(dú)地網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開，并在此部 署WWW服務(wù)器和FTP服務(wù)器,將其作為向外部發(fā)布內(nèi)部信息地地點(diǎn).從技術(shù)角 度來講,就是所謂地停火區(qū)（DMZ . 四. 防火墻地分類 （一）從軟、硬件形式上分為軟件防火墻和硬件防火墻以及芯片級防火墻. （二）從防火墻技術(shù)分為“包過濾型”、“代理服務(wù)器型”和“復(fù)合型防火 墻”

18、三大類2. 1、包過濾型防火墻又稱篩選路由器（Screening router） 或網(wǎng)絡(luò)層防火墻 （Networklevelfirewall）,它工作在網(wǎng)絡(luò)層和傳輸層.它基于單個(gè)數(shù)據(jù)包實(shí)施網(wǎng) 絡(luò)控制,根據(jù)所收到地?cái)?shù)據(jù)包地源IP地址、目地IP地址、TCP/UDP端口號及 目標(biāo)端口號、ICMP消息類型、包出入接口、協(xié)議類型和數(shù)據(jù)包中地各種標(biāo)志等 為參數(shù),與用戶預(yù)定地訪問控制表進(jìn)行比較，決定數(shù)據(jù)是否符合預(yù)先制定地安全 策略,決定數(shù)據(jù)包地轉(zhuǎn)發(fā)或丟棄，即實(shí)施過濾. 2. 代理服務(wù)器型防火墻 代理服務(wù)器型防火墻通過在主機(jī)上運(yùn)行代理地服務(wù)程序，直接對特定地應(yīng)用層進(jìn) 行服務(wù)，因此也稱為應(yīng)用型防火墻.其核心是運(yùn)

19、行于防火墻主機(jī)上地代理服務(wù)器 進(jìn)程,它代替網(wǎng)絡(luò)用戶完成特定地TCP/IP功能.一個(gè)代理服務(wù)器實(shí)際上是一個(gè)為 特定網(wǎng)絡(luò)應(yīng)用而連接兩個(gè)網(wǎng)絡(luò)地網(wǎng)關(guān). 3、復(fù)合型防火墻 由于對更高安全性地要求，通常把數(shù)據(jù)包過濾和代理服務(wù)系統(tǒng)地功能和特點(diǎn)綜合 起來,構(gòu)成復(fù)合型防火墻系統(tǒng).所用主機(jī)稱為堡壘主機(jī)，負(fù)責(zé)代理服務(wù).各種類型 地防火墻都有其各自地優(yōu)缺點(diǎn).當(dāng)前地防火墻產(chǎn)品己不再是單一地包過濾型或代 理服務(wù)器型防火墻，而是將各種安全技術(shù)結(jié)合起來，形成一個(gè)混合地多級防火墻 以提高防火墻地靈活性和安全性.混合型防火墻3 一般采用以下幾種技術(shù)： （1）動態(tài)包過濾； 內(nèi)核透明技術(shù)； （3）用戶認(rèn)證機(jī)制； （4）內(nèi)容和策略感知

20、能力； 內(nèi)部信息隱藏； （6）智能日志、審計(jì)和實(shí)時(shí)報(bào)警； （7）防火墻地交互操作性等. （三）從防火墻結(jié)構(gòu)分為單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻 三種 （四）按防火墻地應(yīng)用部署位置分為邊界防火墻、個(gè)人防火墻和混合防火墻三大 類. （五）按防火墻性能分為百兆級防火墻和千兆級防火墻兩類 （六）按防火墻使用方法分為網(wǎng)絡(luò)層防火墻，物理層防火墻和鏈路層防火墻三類 第二章防火墻地發(fā)展以及關(guān)鍵技術(shù) 一.第一代防火墻 由于多數(shù)路由器本身就包含有分組過濾功能，故網(wǎng)絡(luò)訪問控制可能通過路控 制來實(shí)現(xiàn),從而使具有分組過濾功能地路由器成為第一代防火墻產(chǎn)品. （一）第一代防火墻產(chǎn)品地特點(diǎn)： 1、利用路由器本

21、身對分組地解讀,以訪問控制表（Access List）方式實(shí)現(xiàn)對分組 地過濾； 2、過濾判斷地依據(jù)可以是：地址、端口號、IP旗標(biāo)及其他網(wǎng)絡(luò)特征（圖 2-1 ）； 圖2-1 3、只有分組過濾地功能，且防火墻與路由器是一體地這樣,對安全要求低地網(wǎng) 絡(luò)可以采用路由器附帶防火墻功能地方法，而對安全性要求高地則網(wǎng)絡(luò)需要單獨(dú) 利用一臺路由器作為防火墻 （二）第一代防火墻產(chǎn)品地不足之處十分明顯，具體表現(xiàn)為： 1、路由協(xié)議十分靈活，本身具有安全漏洞，外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分 容易例如，在使用FTP協(xié)議時(shí)，外部服務(wù)器容易從20號端口上與內(nèi)部網(wǎng)相連，即 使在路由器上設(shè)置了過濾規(guī)則，內(nèi)部網(wǎng)絡(luò)地20號端口仍可以由外

22、部探尋. 2、 路由器上分組過濾規(guī)則地設(shè)置和配置存在安全隱患.對路由器中過濾規(guī)則地 設(shè)置和配置十分復(fù)雜，它涉及到規(guī)則地邏輯一致性.作用端口地有效性和規(guī)則集 地正確性,一般地網(wǎng)絡(luò)系統(tǒng)管理員難于勝任，加之一旦出現(xiàn)新地協(xié)議，管理員就得 加上更多地規(guī)則去限制，這往往會帶來很多錯(cuò)誤. 3、 路由器防火墻地最大隱患是：攻擊者可以“假冒”地址 .由于信息在網(wǎng)絡(luò)上 是以明文方式傳送地,黑客（Hacker）可以在網(wǎng)絡(luò)上偽造假地路由信息欺騙防火墻 4、路由器防火墻地本質(zhì)缺陷是：由于路由器地主要功能是為網(wǎng)絡(luò)訪問提供 動態(tài)地、靈活地路由，而防火墻則要對訪問行為實(shí)施靜態(tài)地、固定地控制，這是 一對難以調(diào)和地矛盾，防火墻地

23、規(guī)則設(shè)置會大大降低路由器地性能. 二.第二代防火墻 可以說基于路由器地第一代防火墻技術(shù)只是網(wǎng)絡(luò)安全地一種應(yīng)急措施 ，用這 種權(quán)宜之計(jì)去對付黑客地攻擊是十分危險(xiǎn)地 為了彌補(bǔ)路由器防火墻地不足，很 多大型用戶紛紛要求以專門開發(fā)地防火墻系統(tǒng)來保護(hù)自己地網(wǎng)絡(luò) ，從而推動了用 戶防火墻工具套地出現(xiàn)這就是我們所說地第二代防火墻4（圖2-2）. 網(wǎng)絡(luò)醫(yī) 圖2-2 （一）第二代防火墻地特點(diǎn)： 作為第二代防火墻產(chǎn)品，用戶化地防火墻工具套具有以下特點(diǎn)： 1、將過濾功能從路由器中獨(dú)立出來，并加上審計(jì)和告警功能； 2、針對用戶需求，提供模塊化地軟件包； 3、軟件可以通過網(wǎng)絡(luò)發(fā)送，用戶可以自己動手構(gòu)造防火墻； 4、與第

24、一代防火墻相比，安全性提高了，價(jià)格也降低了 . （二）第二代防火墻地劣勢： 由于是純軟件產(chǎn)品，第二代防火墻產(chǎn)品無論在實(shí)現(xiàn)上還是在維護(hù)上都對系統(tǒng)管理 員提出了相當(dāng)復(fù)雜地要求，并帶來以下問題： 1、配置和維護(hù)過程復(fù)雜、費(fèi)時(shí)； 2、對用戶地技術(shù)要求高； 3、全軟件實(shí)現(xiàn)，使用中出現(xiàn)差錯(cuò)地情況很多 .第三代防火墻 基于軟件地防火墻在銷售、使用和維護(hù)上地問題迫使防火墻開發(fā)商很快推 出了建立在通用操作系統(tǒng)上地商用防火墻產(chǎn)品 （圖2-3）. （一）第三代防火墻地特點(diǎn)： 近年來市場上廣泛使用地就是這一代產(chǎn)品，它們具有如下一些特點(diǎn)： 1、是批量上市地專用防火墻產(chǎn)品； 2、包括分組過濾或者借用路由器地分組過濾功能；

25、 3、裝有專用地代理系統(tǒng)，監(jiān)控所有協(xié)議地?cái)?shù)據(jù)和指令； 4、保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)地設(shè)置； 5、安全性和速度大大提高. （二）第三代防火墻地優(yōu)劣： 第三代防火墻有以純軟件實(shí)現(xiàn)地，也有以硬件方式實(shí)現(xiàn)地，它們已經(jīng)得到了廣大 用戶地認(rèn)同但隨著安全需求地變化和使用時(shí)間地推延，仍表現(xiàn)出不少問題，比 如： 1、 作為基礎(chǔ)地操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知，由于源碼地保密, 其安全性無從保證； 2、由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)地廠商，通用操作系統(tǒng)廠商不會對 操作系統(tǒng)地安全性負(fù)責(zé)； 3、從本質(zhì)上看，第三代防火墻既要防止來自外部網(wǎng)絡(luò)地攻擊，還要防止來自操作 系統(tǒng)廠商地攻擊； 4、在功

26、能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級網(wǎng)關(guān)且具有加密鑒別功能； 5、透明性好，易于使用. 圖2-3 2-4） ,具有以下技術(shù)功能 四.第四代防火墻 （一）第四代防火墻地主要技術(shù)及功能（圖 第四代防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一 圖2-4 2、 透明地訪問方式.以前地防火墻在訪問方式上要么要求用戶做系統(tǒng)登錄，要 么需要通過SOCK等庫路徑修改客戶機(jī)地應(yīng)用.第四代防火墻利用了透明地代理 系統(tǒng)技術(shù),從而降低了系統(tǒng)登錄固有地安全風(fēng)險(xiǎn)和出錯(cuò)概率 . 3、靈活地代理系統(tǒng).代理系統(tǒng)是一種將信息從防火墻地一側(cè)傳送到另一側(cè)地軟 件模塊,第四代防火墻采用了兩種代理機(jī)制：一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng) 絡(luò)地連接；另

27、一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)地連接前者采用網(wǎng)絡(luò)地址轉(zhuǎn) 接(NIT)技術(shù)來解決，后者采用非保密地用戶定制代理或保密地代理系統(tǒng)技術(shù)來 解決. 4、 多級過濾技術(shù).為保證系統(tǒng)地安全性和防護(hù)水平，第四代防火墻采用了三級過 濾措施，并輔以鑒別手段在分組過濾一級，能過濾掉所有地源路由分組和假冒 IP地址；在應(yīng)用級網(wǎng)關(guān)一級,能利用FTP SMTP等各種網(wǎng)關(guān),控制和監(jiān)測 In ternet提供地所有通用服務(wù)；在電路網(wǎng)關(guān)一級,實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)地 透明連接,并對服務(wù)地通行實(shí)行嚴(yán)格控制 5、 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù).第四代防火墻利用NAT技術(shù)能透明地對所有內(nèi)部地址做 轉(zhuǎn)換,使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)地內(nèi)部結(jié)構(gòu)

28、，同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己 編地IP源地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個(gè)主機(jī)地通信，確保每個(gè)分組 送往正確地地址. 6 In ternet網(wǎng)關(guān)技術(shù).由于是直接串聯(lián)在網(wǎng)絡(luò)之中,第四代防火墻必須支持用 戶In ternet互聯(lián)地所有服務(wù),同時(shí)還要防止與In ternet服務(wù)有關(guān)地安全漏洞, 故它要能夠以多種安全地應(yīng)用服務(wù)器(包括FTP Fin ger、mail、Ide nt、 News WWW)來實(shí)現(xiàn)網(wǎng)關(guān)功能為確保服務(wù)器地安全性,對所有地文件和命令均 要利用“改變根系統(tǒng)調(diào)用(chroot) ”做物理上地隔離.在域名服務(wù)方面,第四 代防火墻采用兩種獨(dú)立地域名服務(wù)器：一種是內(nèi)部DNSK務(wù)器,主要處

29、理內(nèi)部網(wǎng) 絡(luò)和DNS信息；另一種是外部DNSI艮務(wù)器,專門用于處理機(jī)構(gòu)內(nèi)部向In ternet 提供地部分DNS信息.在匿名FTP方面,服務(wù)器只提供對有限地受保護(hù)地部分目 錄地只讀訪問在WW服務(wù)器中,只支持靜態(tài)地網(wǎng)頁,而不允許圖形或CGI代碼等 在防火墻內(nèi)運(yùn)行.在Fin ger服務(wù)器中,對外部訪問,防火墻只提供可由內(nèi)部用戶 配置地基本地文本信息，而不提供任何與攻擊有關(guān)地系統(tǒng)信息.SMTP與POP郵件 服務(wù)器要對所有進(jìn)、出防火墻地郵件做處理，并利用郵件映射與標(biāo)頭剝除地方法 隱除內(nèi)部地郵件環(huán)境.Ident服務(wù)器對用戶連接地識別做專門處理，網(wǎng)絡(luò)新聞服 務(wù)則為接收來自ISP地新聞開設(shè)了專門地磁盤空間.

30、 7、安全服務(wù)器網(wǎng)絡(luò)(SSN).為了適應(yīng)越來越多地用戶向In ternet上提供服務(wù)時(shí) 對服務(wù)器地需要，第四代防火墻采用分別保護(hù)地策略對用戶上網(wǎng)地對外服務(wù)器實(shí) 施保護(hù),它利用一張網(wǎng)卡將對外服務(wù)器作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理，對外服務(wù)器既是 內(nèi)部網(wǎng)絡(luò)地一部分，又與內(nèi)部網(wǎng)關(guān)完全隔離，這就是安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù). 而對SSN上地主機(jī)既可單獨(dú)管理,也可設(shè)置成通過FTP Telnet等方式從內(nèi)部網(wǎng) 上管理.SSN方法提供地安全性要比傳統(tǒng)地“隔離區(qū)(DMZ)”方法好得多,因?yàn)?SSN與外部網(wǎng)之間有防火墻保護(hù),SSN與風(fēng)部網(wǎng)之間也有防火墻地保護(hù),而DMZ只 是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在地一種防火墻方式

31、換言之,一旦SSN受破 壞,內(nèi)部網(wǎng)絡(luò)仍會處于防火墻地保護(hù)之下，而一旦DMZ受到破壞，內(nèi)部網(wǎng)絡(luò)便暴露 于攻擊之下 8、用戶鑒別與加密.為了減低防火墻產(chǎn)品在Tel net、FTP等服務(wù)和遠(yuǎn)程管理上 地安全風(fēng)險(xiǎn)，鑒別功能必不可少.第四代防火墻采用一次性使用地口令系統(tǒng)來作 為用戶地鑒別手段，并實(shí)現(xiàn)了對郵件地加密. 9、用戶定制服務(wù).為了滿足特定用戶地特定需求，第四代防火墻在提供眾多服 務(wù)地同時(shí),還為用戶定制提供支持,這類選項(xiàng)有：通用TCR出站UDR FTP SMTP?,如果某一用戶需要建立一個(gè)數(shù)據(jù)庫地代理，便可以利用這些支持,方便 設(shè)置. 10、審計(jì)和告警.第四代防火墻產(chǎn)品采用地審計(jì)和告警功能十分健全

32、 ，日志文件 包括：一般信息、內(nèi)核信息、核心信息、接收郵件、由M牛路徑、發(fā)送郵件、已 收消息、已發(fā)消息、連接需求、已鑒別地訪問、告警條件、管理日志、進(jìn)站代 理、FTP代理、出站代理、郵件服務(wù)器、名服務(wù)器等.告警功能會守住每一個(gè) TCP或 UDF探尋，并能以發(fā)出郵件、聲響等多種方式報(bào)警. 此外,第四代防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面具有特色. (二)第四代防火墻技術(shù)地實(shí)現(xiàn)方法 在第四代防火墻產(chǎn)品地設(shè)計(jì)與開發(fā)中，安全內(nèi)核、代理系統(tǒng)、多級過濾、安全服 務(wù)器、鑒別與加密是關(guān)鍵所在. 1、安全內(nèi)核地實(shí)現(xiàn) 第四代防火墻是建立在安全操作系統(tǒng)之上地，安全操作系統(tǒng)來自對專用操作系統(tǒng) 地安全加固和改造，從現(xiàn)

33、在地諸多產(chǎn)品看，對安全操作系統(tǒng)內(nèi)核地固化與改造主 要從以下幾個(gè)方面進(jìn)行： (1) 取消危險(xiǎn)地系統(tǒng)調(diào)用； (2) 限制命令地執(zhí)行權(quán)限； (3) 取消IP地轉(zhuǎn)發(fā)功能； (4) 檢查每個(gè)分組地接口； (5) 采用隨機(jī)連接序號； (6) 駐留分組過濾模塊； (7) 取消動態(tài)路由功能； (8) 采用多個(gè)安全內(nèi)核. 2、代理系統(tǒng)地建立 防火墻不允許任何信息直接穿過它，對所有地內(nèi)外連接均要通過代理系統(tǒng)來 實(shí)現(xiàn),為保證整個(gè)防火墻地安全，所有地代理都應(yīng)該采用改變根目錄方式存在一 個(gè)相對獨(dú)立地區(qū)域以安全隔離. 在所有地連接通過防火墻前，所有地代理要檢查已定義地訪問規(guī)則，這些規(guī)則控 制代理地服務(wù)根據(jù)以下內(nèi)容處理分組

34、： (1) 源地址； (2) 目地地址； (3) 時(shí)間; (4) 同類服務(wù)器地最大數(shù)量. 所有外部網(wǎng)絡(luò)到防火墻內(nèi)部或 SSN地連接由進(jìn)站代理處理，進(jìn)站代理要保證內(nèi)部 主機(jī)能夠了解外部主機(jī)地所有信息，而外部主機(jī)只能看到防火墻之外或 SSN地地 址. 所有從內(nèi)部網(wǎng)絡(luò)SSN!過防火墻與外部網(wǎng)絡(luò)建立地連接由出站代理處理，出站代 理必須確保完全由它代表內(nèi)部網(wǎng)絡(luò)與外部地址相連，防止內(nèi)部網(wǎng)址與外部網(wǎng)址地 直接連接,同時(shí)還要處理內(nèi)部網(wǎng)絡(luò)SSN地連接. 3、分組過濾器地設(shè)計(jì) 作為防火墻地核心部件之一，過濾器地設(shè)計(jì)要盡量做到減少對防火墻地訪問，過 濾器在調(diào)用時(shí)將被下載到內(nèi)核中執(zhí)行，服務(wù)終止時(shí)，過濾規(guī)則會從內(nèi)核中消

35、除，所 有地分組過濾功能都在內(nèi)核中IP堆棧地深層運(yùn)行，極為安全.分組過濾器包括以 下參數(shù). （1）進(jìn)站接口； （2）出站接口； （3）允許地連接； （4）源端口范圍； （5）源地址； （6）目地端口地范圍等. 對每一種參數(shù)地處理都充分體現(xiàn)設(shè)計(jì)原則和安全政策. 4、安全服務(wù)器地設(shè)計(jì) 安全服務(wù)器地設(shè)計(jì)有兩個(gè)要點(diǎn)：第一，所有SSN地流量都要隔離處理，即從內(nèi)部 網(wǎng)和外部網(wǎng)而來地路由信息流在機(jī)制上是分離地；第二 ,SSN地作用類似于兩個(gè) 網(wǎng)絡(luò)，它看上去像是內(nèi)部網(wǎng)，因?yàn)樗鼘ν馔该?，同時(shí)又像是外部網(wǎng)絡(luò)，因?yàn)樗鼜膬?nèi) 部網(wǎng)絡(luò)對外訪問地方式十分有限. SSN上地每一個(gè)服務(wù)器都隱蔽于Internet,SSN提供地服

36、務(wù)對外部網(wǎng)絡(luò)而言好像 防火墻功能，由于地址已經(jīng)是透明地，對各種網(wǎng)絡(luò)應(yīng)用沒有限制.實(shí)現(xiàn)SSN地關(guān)鍵 在于： （1）解決分組過濾器與SSN地連接； （2）支持通過防火墻對SSN地訪問； （3）支持代理服務(wù). 5、鑒別與加密地考慮 鑒別與加密是防火墻識別用戶、驗(yàn)證訪問和保護(hù)信息地有效手段，鑒別機(jī)制除了 提供安全保護(hù)之外，還有安全管理功能，目前國外防火墻產(chǎn)品中廣泛使用令牌鑒 別方式,具體方法有兩種一種是加密卡（Crypto Card）;另一種是Secure ID,這 兩種都是一次性口令地生成工具. 五、小結(jié) 通過表2-1我們可以看出從第一代分組過濾防火墻到最新地將網(wǎng)關(guān)與安全 系統(tǒng)合二為一地第四代防火墻

37、，防火墻地技術(shù)發(fā)展日趨成熟，從最當(dāng)初地依賴于 路 由器地分組過濾技術(shù)，到第四代防火墻地防火墻獨(dú)立化，安全策略也呈現(xiàn)多樣化 和全面化，但是我們可以看出盡管到了第四代防火墻，依然只是對端口和協(xié)議進(jìn) 行控制即網(wǎng)絡(luò)層控制.日新月異地互聯(lián)網(wǎng)技術(shù)和網(wǎng)絡(luò)威脅，例如：木馬、蠕蟲等 等都是發(fā)生在應(yīng)用層而并非網(wǎng)絡(luò)層，讓傳統(tǒng)防火墻鞭長莫及同時(shí),傳統(tǒng)防火墻 表2-1 特點(diǎn)及實(shí)現(xiàn)方式 缺陷 第一代防火墻 通過路由器地自身分組功能對地址、端口、IP- 和網(wǎng)絡(luò)特征進(jìn)行過濾 路由器：提供動態(tài)網(wǎng)絡(luò)訪問 防火墻：對網(wǎng)絡(luò)實(shí)施靜態(tài)控制 兩者相互相矛盾 第二代防火墻 把路由器地分組過濾功能獨(dú)立出來，開發(fā)出地防 火墻系統(tǒng).實(shí)現(xiàn)方式在一代

38、地基礎(chǔ)上多了警告和 審計(jì)功能，手動構(gòu)造自己地防火墻 配置維護(hù)復(fù)雜，由于是純軟件防火墻， 差錯(cuò)頻發(fā) 第三代防火墻 建立在操作系統(tǒng)上，延續(xù)分組過濾技術(shù)，同時(shí)岀現(xiàn) 了代理系統(tǒng)監(jiān)控所有協(xié)議數(shù)據(jù)和指令，應(yīng)用網(wǎng) 關(guān)、電路級網(wǎng)關(guān)及加密鑒別等技術(shù). 操作系統(tǒng)地源碼保密，即使防火墻能有 效阻止外部網(wǎng)絡(luò)攻擊，但操作系統(tǒng)地缺 陷和操作系統(tǒng)廠商地攻擊卻束手無策 第四代防火墻 將網(wǎng)關(guān)與安全系統(tǒng)合二為一；多端口并具有地址 轉(zhuǎn)換外部無法甄別內(nèi)部網(wǎng)絡(luò)；多級過濾，能過濾 假冒IP和源路由分組，監(jiān)測所有Internet 通用 服務(wù)；同時(shí)還有Internet 網(wǎng)關(guān)、安全服務(wù)器網(wǎng) 絡(luò)、用戶鑒別與加密、用戶定制服務(wù)、審計(jì)和告 警、網(wǎng)絡(luò)

39、診斷、數(shù)據(jù)備份等技術(shù) 網(wǎng)絡(luò)地址轉(zhuǎn)換可以保障內(nèi)部網(wǎng)絡(luò)地安 全，但它也是一些局限.而且內(nèi)網(wǎng)可以利 用現(xiàn)流傳比較廣泛地木馬程序可以通 過網(wǎng)絡(luò)地址轉(zhuǎn)換做外部連接 無法對應(yīng)用、業(yè)務(wù)和用戶完全識別并加以控制 ,其次Web2.0時(shí)代地新型威脅更 多依賴僵尸網(wǎng)絡(luò)和面向應(yīng)用地復(fù)雜行為，企業(yè)必須依賴其他產(chǎn)品地部署以局部緩 解現(xiàn)有問題再次,傳統(tǒng)防火墻無法對網(wǎng)絡(luò)互連及業(yè)務(wù)流量進(jìn)行智能化地細(xì)粒度 控制和優(yōu)化.企業(yè)需要在可選接入鏈路之間自動切換或自由組合。需要能根據(jù)業(yè) 務(wù)地優(yōu)先級，高效實(shí)現(xiàn)鏈路地失效備援機(jī)制。需要識別應(yīng)用、用戶、群組、網(wǎng)絡(luò) 或鏈路狀態(tài)，以實(shí)現(xiàn)組合和優(yōu)化最后,面對分布式地網(wǎng)絡(luò)環(huán)境，傳統(tǒng)防火墻沒有 相應(yīng)地策略

40、管理和控制，導(dǎo)致運(yùn)維成本比較高.所以傳統(tǒng)防火墻地功能和應(yīng)對策 略面對新興網(wǎng)絡(luò)環(huán)境已經(jīng)有所缺失. 第三章防火墻技術(shù)地發(fā)展展望 隨著以應(yīng)用為主時(shí)代地來臨，企業(yè)所采用地技術(shù)以及面臨地威脅都促使了網(wǎng) 絡(luò)安全新要求地產(chǎn)生.Gartner統(tǒng)計(jì)（圖3-1 ）表明高達(dá)3/4地網(wǎng)絡(luò)威脅是木馬： 木馬是基于應(yīng)用層而非網(wǎng)絡(luò)層地，而防火墻卻依然如故，基于端口 /協(xié)議地防御方 式已經(jīng)無力招架應(yīng)用環(huán)境下地多變威脅.因此，需恢復(fù)防火墻中對應(yīng)用程序地 可視性與控制性,Gartner所稱之“下一代防火墻”開始嶄露頭角. 近日，梭子魚正式在中國市場發(fā)布其2011年度地重量級產(chǎn)品梭子魚下 一代防火墻.ZOL記者第一時(shí)間采訪到了梭子

41、魚中國區(qū)總經(jīng)理何平以及梭子魚中 國區(qū)技術(shù)總監(jiān)谷新. 73% 圖3-1 2009年上半年新截獲的各類病毒占比 堆蟲 后門 *木W(wǎng) Xfie 丿其他 何平先生表示：現(xiàn)在從網(wǎng)絡(luò)上搜索可以發(fā)現(xiàn)很多公司都有下一代防火墻，當(dāng)然很 多人會找一些官方地說法，總結(jié)起來有三點(diǎn)：第一，下一代防火墻是基于角色和 應(yīng)用地管理設(shè)備；第二，它具有傳統(tǒng)防火墻地所有功能；第三，具備智能地流量 管理控制和策略配合.這也是下一代防火墻地三要素. 而梭子魚此次發(fā)布地下一代防火墻除了具備剛才定義地三要素之外，還有一 個(gè)很重要特性一一廣域網(wǎng)鏈路均衡如果用戶只有一條鏈路，一旦保護(hù)中斷就不 能接入.所以現(xiàn)在地安全已經(jīng)不單純是有沒有病毒地環(huán)境

42、，而是要保護(hù)業(yè)務(wù)連續(xù) 性.梭子魚下一代防火墻可以很好地完成這個(gè)任務(wù) 另外,下一代防火墻還具備高效地特點(diǎn)，顯然傳統(tǒng)UTM在功能疊加上無法實(shí)現(xiàn)應(yīng) 用高效，自然在管理控制上也難有起色下一代防火墻通過融合過程，讓管理者更 加輕松.德國地客戶用了 3000臺下一代防火墻，卻只需2個(gè)網(wǎng)管人員，為什么能 夠做到？因?yàn)樗幸粋€(gè)集中設(shè)備管理器 ，以此可以監(jiān)控所有地設(shè)備，這種高效地 特性無疑對大網(wǎng)絡(luò)環(huán)境有著重要意義 考慮到新產(chǎn)品更強(qiáng)大地功能,ZOL記者詢問用戶采購新產(chǎn)品會不會帶來成本上地 壓力何平先生認(rèn)為新產(chǎn)品推向市場成本肯定會高一些，主要是產(chǎn)能數(shù)量沒有達(dá) 到一定規(guī)模，造成單體設(shè)備成本下不來，但是目前梭子魚地下一代防火墻價(jià)格在 用戶能夠接受地范圍內(nèi) 對于下一代防火墻地出現(xiàn)是否會對梭子魚目前WEB應(yīng)用防火墻等相關(guān)產(chǎn)品造成 沖擊，何平先生表示下一代防火墻是一個(gè)分界點(diǎn)，梭子魚地下一代防火墻NG Firewall已經(jīng)不單純是4-7層地應(yīng)用安全，而是網(wǎng)絡(luò)層+應(yīng)用層地安全保護(hù),WEB 應(yīng)用防火墻主要用于主機(jī)地保護(hù)，所以相互之間不排斥，畢竟產(chǎn)品面向?qū)ο蟛煌?并且在綜合安全中同樣需要更專業(yè)地設(shè)備 據(jù)Gartner對500強(qiáng)企業(yè)IT技術(shù)關(guān)注度調(diào)查表明（表3-1）,2010年排在前 兩位地技術(shù)分別為云計(jì)算和虛擬化.對此梭子魚中國區(qū)技術(shù)總監(jiān)谷新表示，下一 代防火