網(wǎng)絡(luò)信息安全與防火墻技術(shù)應(yīng)用之探討

1、PAGE PAGE 14網(wǎng)絡(luò)信息安安全與防火火墻技術(shù)應(yīng)應(yīng)用之探討討摘 要：隨著互聯(lián)聯(lián)網(wǎng)的飛速速發(fā)展，網(wǎng)網(wǎng)絡(luò)安全逐逐漸成為一一個潛在的的巨大問題題。網(wǎng)絡(luò)安安全性是一一個涉及面面很廣泛的的問題，其其中也會涉涉及到是否否構(gòu)成犯罪罪行為的問問題。在其其最簡單的的形式中，它它主要關(guān)心心的是確保保無關(guān)人員員不能讀取取，更不能能修改傳送送給其他接接收者的信信息。安全全性也處理理合法消息息被截獲和和重播的問問題，以及及發(fā)送者是是否曾發(fā)送送過該條消消息的問題題。保障計計算機系統(tǒng)統(tǒng)的安全，尤其在當(dāng)當(dāng)今網(wǎng)絡(luò)互互連的環(huán)境境中，網(wǎng)絡(luò)安全全體系結(jié)構(gòu)構(gòu)的考查和選擇顯顯得尤為重重要。采用用傳統(tǒng)的防防火墻網(wǎng)絡(luò)絡(luò)安全體系系結(jié)構(gòu)不

2、失失為一種簡簡單有效的的選擇方案案。但是，防防火墻技術(shù)術(shù)本身也有有缺陷，我我們還需要要其他的技技術(shù)來保障障網(wǎng)絡(luò)的安安全。加密密技術(shù)是這這些技術(shù)中中的典型。關(guān)鍵詞：網(wǎng)網(wǎng)絡(luò)安全；信息安全；防火墻漏漏洞；加密技術(shù)術(shù)Abstrract: Withh thee devveloppmentt at fulll speeed oof Innternnet, the onliine ssecurrity becoomes a pootenttial enorrmouss prooblemm graaduallly. The secuurityy of the netwwork is tthat one inv

3、oolvess prooblemm witth veery eextennsivee surrfacee, ammong themm willl innvolvve annd foorm tthe qquesttion of ccrimiinal offeence too. In its simpplestt forrm, wwhat it ccaredd aboout mmainlly iss to guarranteee thhat non-perssonneel caant readd, let alonne reevisee thee messsagee to otheer peers

4、onn. Seecuriity ddeal withh thee cappturee of legaal neews and probblem of rreplaay, aand tthe qquesttion of wwhethher tthe ssendeer haas evver ssend the newss andd ensurre thhe seecuriity oof coomputter ssysteem, eespecciallly inn thee envvironnmentt of currrent netwwork inteerconnnecttion, thee ex

5、aaminee andd chooice of tthe ssysteem sttructture of oonlinne seecuriity sseem partticullarlyy impportaant. Adopptingg thee traaditiionall firre waall oonlinne seecuriity ssysteem sttructture can yet be rregarrded as aa kinnd off simmple and effeectivve chhoicee schheme. Howweverr, thhe teechnoology

6、y of firee walll allso hhas ddefeccts, we nneed otheer teechnoologyy to ensuure tthe ssecurrity of tthe nnetwoork. The encrryptiion ttechnnologgy arre moodelss in the techhnoloogy.Keywoords: Nettworkk saffety；Inforrmatiion ssafetty；Looppholee of firee walll；Encrryptiion tecchnollogy1引言 21世紀(jì)全全世界的計計算機

7、都將將通過Innternnet 聯(lián)聯(lián)到一起，網(wǎng)網(wǎng)絡(luò)信息安安全的內(nèi)涵涵也就發(fā)生生了根本的的變化。它它不僅從一一般性的防防衛(wèi)變成了了一種非常常普通的防防范，而且且還從一種種專門的領(lǐng)領(lǐng)域變成了了無處不在在。當(dāng)人類類步入211世紀(jì)這一一信息和網(wǎng)網(wǎng)絡(luò)社會的的時候，我我國將建立立起一套完完善的網(wǎng)絡(luò)絡(luò)安全體系系，特別是是從政策和和法律上建建立起有中中國特色的的網(wǎng)絡(luò)安全全體系。從本質(zhì)上來來講，網(wǎng)絡(luò)絡(luò)安全就是是網(wǎng)絡(luò)上的的信息安全全，是指網(wǎng)網(wǎng)絡(luò)系統(tǒng)的的硬件、軟軟件及其系系統(tǒng)中的數(shù)數(shù)據(jù)受到保保護，不因因偶然的或或者惡意的的原因而遭遭到破壞、更改、泄泄露，系統(tǒng)統(tǒng)連續(xù)可靠靠正常地運運行，網(wǎng)絡(luò)絡(luò)服務(wù)不中中斷。廣義義地說，

8、凡是是涉及到網(wǎng)網(wǎng)絡(luò)上信息息的保密性性、完整性性、可用性性、真實性性和可控性性的相關(guān)技技術(shù)和理論論都是網(wǎng)絡(luò)絡(luò)安全所要要研究的領(lǐng)領(lǐng)域。網(wǎng)絡(luò)絡(luò)安全涉及及的內(nèi)容既既有技術(shù)方方面的問題題，也有管管理方面的的問題，兩兩方面相互互補充，缺缺一不可。技術(shù)方面面主要側(cè)重重于防范外外部非法用用戶的攻擊擊，管理方方面則側(cè)重重于內(nèi)部人人為因素的的管理。如如何更有效效地保護重重要的信息息數(shù)據(jù)、提提高計算機機網(wǎng)絡(luò)系統(tǒng)統(tǒng)的安全性性已經(jīng)成為為所有計算算機網(wǎng)絡(luò)應(yīng)應(yīng)用必須考考慮和必須須解決的一一個重要問問題。隨著網(wǎng)絡(luò)在在社會各方方面的延伸伸，進入網(wǎng)網(wǎng)絡(luò)的手段段也越來越越多，因此此，網(wǎng)絡(luò)安安全技術(shù)是是一項非常常復(fù)雜的系系統(tǒng)工程。為

9、此建立立有中國特特色的網(wǎng)絡(luò)絡(luò)安全體系系，需要國國家政策和和法規(guī)的支支持及集團團聯(lián)合研究究開發(fā)。安安全與反安安全就像矛矛盾的兩個個方面，總總是不斷的的向上攀升升，所以安安全產(chǎn)業(yè)將將來也是一一個隨著新新技術(shù)發(fā)展展而不斷發(fā)發(fā)展的產(chǎn)業(yè)業(yè)。隨著網(wǎng)網(wǎng)絡(luò)技術(shù)的的發(fā)展，網(wǎng)網(wǎng)絡(luò)安全也也就成為當(dāng)當(dāng)今網(wǎng)絡(luò)社社會的焦點點中的焦點點，幾乎沒沒有人不在在談?wù)摼W(wǎng)絡(luò)絡(luò)上的安全全問題，病病毒、黑客客程序、郵郵件炸彈、遠程偵聽聽等這一切切都無不讓讓人膽戰(zhàn)心心驚。病毒毒、黑客的的猖獗使身身處今日網(wǎng)網(wǎng)絡(luò)社會的的人們感覺覺到談“網(wǎng)”色變，無無所適從。但我們必必須清楚地地認(rèn)識到，這這一切的安安全問題我我們不可能能一下子全部找到到解決方案

10、案，況且有有的是根本本無法找到到徹底的解解決方案，例如病毒程序，由于任何反病毒程序都只能在新病毒發(fā)現(xiàn)之后才能開發(fā)出來，目前還沒有哪一家反病毒軟件開發(fā)商敢承諾他們的軟件能查殺所有已知的和未知的病毒，所以我們不能有等網(wǎng)絡(luò)安全了再上網(wǎng)的念頭，因為或許網(wǎng)絡(luò)不可能有這么一日，就像“矛”與“盾” ，網(wǎng)絡(luò)與病毒、黑客永遠是一對共存體。在當(dāng)今網(wǎng)絡(luò)互連的環(huán)境中，網(wǎng)絡(luò)安全體系結(jié)構(gòu)的考查和選擇顯得尤為重要。采用傳統(tǒng)的防火墻網(wǎng)絡(luò)安全體系結(jié)構(gòu)不失為一種簡單有效的選擇方案。2防火墻防火墻是用用來對因特特網(wǎng)這種特定的的連接段進進行隔離的的任何一臺臺設(shè)備或一一組設(shè)備，他他們提供單單一的控制制點，從而而允許或禁禁止在網(wǎng)絡(luò)絡(luò)中的

11、傳輸輸流1。通常有兩兩種實現(xiàn)方方案，即采采用應(yīng)用網(wǎng)網(wǎng)關(guān)的應(yīng)用用層防火墻墻和采用過過濾路由器器的網(wǎng)絡(luò)層層防火墻。防火墻的的結(jié)構(gòu)模型型可劃分為為策略(ppoliccy)和控控制(coontrool)兩部部分，前者者是指是否否賦予服務(wù)務(wù)請求著相相應(yīng)的訪問問權(quán)限，后者對授授權(quán)訪問著著的資源存存取進行控控制。2.1應(yīng)用用層防火墻墻（appplicaationn-layyer ffirewwall）應(yīng)用層防火火墻可由下下圖簡單示示例： CFS圖2.1 應(yīng)用層防防火墻其中C代表表客戶；FF代表防火火墻而居于于客戶和提提供相應(yīng)服服務(wù)的服務(wù)務(wù)器S之間間2?？蛻羰紫认冉⑴c防防火墻間的的運輸層連連接，而不不是與服

12、務(wù)務(wù)器建立相相應(yīng)的連接接。域名服服務(wù)器DNNS受到客客戶對服務(wù)務(wù)器S的域域名解析請請求后，返返回給客戶戶一個服務(wù)務(wù)重定向紀(jì)紀(jì)錄(seervicce reedireectioon reecordd)，其中中包含有防防火墻的IIP地址。 然后，客客戶與防火火墻進行會會話，從而使防防火墻能夠夠確定客戶戶的標(biāo)識，與與此同時包包含對服務(wù)務(wù)器S的服服務(wù)請求。接下來防防火墻F判判斷客戶CC是否被授授權(quán)訪問相相應(yīng)的服務(wù)務(wù)，若結(jié)果果肯定，防防火墻F建建立自身同同服務(wù)器SS鍵的運輸輸層連接，并充當(dāng)二二者間交互互的中介。應(yīng)用層防防火墻不同同于網(wǎng)絡(luò)層層防火墻之之處在于，其其可處理和和檢驗任何何通過的數(shù)數(shù)據(jù)。但必必須指

13、出的的是，針對對不同的應(yīng)應(yīng)用它并沒沒有一個統(tǒng)統(tǒng)一的解決決方案，而而必須分別別編碼，這這嚴(yán)重制約約了它的可可用性和通通用性。另另外，一旦旦防火墻崩崩潰，整個應(yīng)用用也將隨之之崩潰；由由于其自身身的特殊機機制，帶來來的性能損損失要比接接下來介紹紹的網(wǎng)絡(luò)層層防火墻要要大。2.2網(wǎng)絡(luò)絡(luò)層防火墻墻（IP layeer fiirewaall）網(wǎng)絡(luò)層防火火墻的基本本模型為一一個多端口口的IP層層路由器，它對每個個IP數(shù)據(jù)據(jù)報都運用用一系列規(guī)規(guī)則進行匹匹配運算3，借借以判斷該該數(shù)據(jù)報是是否被前傳傳或丟棄，也就是利用數(shù)據(jù)包頭所提供的信息，IP數(shù)據(jù)報進行過濾(filter)處理。防火墻路由由器具有一一系列規(guī)則則(r

14、ulle)，每條規(guī)則則由分組刻刻面(paackett proofilee)和動作作(acttion)組成。分分組刻面用用來描述分分組頭部某某些域的值值，主要有源源IP地址址，目的IPP地址，協(xié)議號和和其他關(guān)于于源端和目目的端的信信息。防火墻的的高速數(shù)據(jù)據(jù)報前傳路路徑(hiigh speeed daatagrram fforwaardinng paath)對對每個分組組應(yīng)用相應(yīng)應(yīng)規(guī)則進行行分組刻面面的匹配。若結(jié)果匹匹配，則執(zhí)行相相應(yīng)動作。典型的動動作包括：前傳(fforwaardinng)，丟棄(ddroppping)，返回失敗敗信息(ssendiing aa faiiluree resspon

15、sse)和異異常登記(loggging for exceeptioon taackinng)。一一般而言，應(yīng)包含一一個缺省的的規(guī)則，以便當(dāng)所所有規(guī)則均均不匹配時時，能夠留一一個出口，該規(guī)則通通常對應(yīng)一一個丟棄動動作。2.3策略略控制層（ppoliccy coontrool leevel）現(xiàn)在引入策策略控制層層的概念，正是它在在防火墻路路由器中設(shè)設(shè)置過濾器器，以對客戶戶的請求進進行認(rèn)證和和權(quán)限校驗驗，策略控制制層由認(rèn)證證功能和權(quán)權(quán)限校驗功功能兩部分分組成。前者用來來驗證用戶戶的身份，而后者用用來判斷用用戶是否具具有相應(yīng)資資源的訪問問權(quán)限。 CF1F2S / _ / / AA1 Z1 圖圖2.2

16、策略控制制層如上圖所示示，C為客戶，SS為服務(wù)器器，F(xiàn)1、FF2為處于于其間的兩兩個防火墻墻。A1和和X1分別別為認(rèn)證服服務(wù)器和權(quán)權(quán)限驗證服服務(wù)器。 首先由CC向S發(fā)送送一個數(shù)據(jù)據(jù)報開始整整個會話過過程，客戶C使使用通常的的DNSllookuup和網(wǎng)絡(luò)絡(luò)層路由機機制。當(dāng)分組到到達防火墻墻F1時，F(xiàn)1將會會進行一系系列上述的的匹配。由于該分分組不可能能與任何可可接受的分分組刻面匹匹配，所以返回回一個“Authhentiicatiion RRequiired”的標(biāo)錯信信息給C，其中包括括F1所信信任的認(rèn)證證/權(quán)限校校驗服務(wù)器器列表。然然后客戶CC根據(jù)所返返回的標(biāo)錯錯信息，箱認(rèn)證服服務(wù)器A11發(fā)出認(rèn)

17、證證請求。利利用從A11返回的票票據(jù)，客戶C向向權(quán)限校驗服服務(wù)器Z11發(fā)出權(quán)限限校驗請求求，其中包括括所需的服服務(wù)和匹配防火墻所所需的刻面面。Z1隨隨之進行相相應(yīng)的校驗驗操作，若校驗結(jié)結(jié)果正確，權(quán)限校驗驗服務(wù)器ZZ1知會防防火墻F11允許該分分組通過。在客戶器器C的分組組通過F11后，在防火墻墻F2 處處還會被拒拒絕，從而各部部分重復(fù)上上述過程，通過下圖圖可清晰的的看到上述述過程中各各事件的發(fā)發(fā)生和處理理。 _ | C | A11 | ZZ1 | F11 | F2 | S _ | senddpkt | | | | | | to S Intterceept | | | | | rrequiire

18、s | | | | | |aautheenticcatioon | | | | | | |PProviide | | | | | iss C | | | | | | Aloowed | | | | | | OKK | | |Ressend | | |Set filtter | | |firrst ppkt | | | | |to S (OKK) | | . | 圖2.3網(wǎng)絡(luò)防火墻墻技術(shù)是一一項安全有有效的防范范技術(shù)，主主要功能是是控制對內(nèi)內(nèi)部網(wǎng)絡(luò)的的非法訪問問。通過監(jiān)監(jiān)視等措施施，限制或或更改進出出網(wǎng)絡(luò)的數(shù)數(shù)據(jù)流，從從而對外屏屏蔽內(nèi)部網(wǎng)網(wǎng)的拓撲結(jié)結(jié)構(gòu)，對內(nèi)內(nèi)屏蔽外部部危險站點點。防火墻墻將提供

19、給給外部使用用的服務(wù)器器，通過一一定技術(shù)的的設(shè)備隔離離開來，使使這些設(shè)備備形成一個個保護區(qū)，即即防火區(qū)。它隔離內(nèi)內(nèi)部網(wǎng)與外外部網(wǎng)，并并提供存取取機制與保保密服務(wù)，使使內(nèi)部網(wǎng)有有選擇的與與外部網(wǎng)進進行信息交交換；根據(jù)據(jù)需要對內(nèi)內(nèi)部網(wǎng)絡(luò)訪訪問的INNTERNNET進行行控制，包包括設(shè)計流流量，訪問問內(nèi)容等方方面，使內(nèi)內(nèi)部網(wǎng)絡(luò)與與INTEERNETT的網(wǎng)絡(luò)得得到隔離，內(nèi)內(nèi)部網(wǎng)絡(luò)的的IP地址址范圍就不不會受到IINTERRNET的的IP地址址的影響，保保證了內(nèi)部部網(wǎng)絡(luò)的獨獨立性和可可擴展性。目前的防火火墻產(chǎn)品主主要有堡壘壘主機，包包過濾路由由器，應(yīng)用用層網(wǎng)關(guān)（代代理服務(wù)器器）以及電電路層網(wǎng)關(guān)關(guān)，屏蔽主

20、主機防火墻墻，雙宿主主機等類型型4。雖然防火火墻是目前前保護網(wǎng)絡(luò)絡(luò)免遭黑客客襲擊的有有效手段，但但防火墻并并不是萬能能的，自身身存在缺陷陷，使它無無法避免某某些安全風(fēng)風(fēng)險，而且且層出不窮窮的攻擊技技術(shù)又令防防火墻防不不勝防。它它無法防范范通過防火火墻以外的的其它途徑徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們的帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。自從1986年美國DIGITAL公司在INTERNET上安裝了全球第一個商用防火墻系統(tǒng)，提出了防火墻概念后，防火墻技術(shù)得到了飛速的發(fā)展。國內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列。防火墻處

21、于于五層網(wǎng)絡(luò)絡(luò)安全體系系中的最底底層，屬于于網(wǎng)絡(luò)安全全技術(shù)范疇疇。在這一一層上，企企業(yè)對安全全系統(tǒng)提出出的問題是是：所有的的IP是否否都能訪問問到企業(yè)的的內(nèi)部網(wǎng)絡(luò)絡(luò)系統(tǒng)？如果答案案是“是” ，則說明明企業(yè)內(nèi)部部網(wǎng)還沒有有在網(wǎng)絡(luò)層層上采取相相應(yīng)的防范范措施。用用防火墻來來實現(xiàn)網(wǎng)絡(luò)絡(luò)安全必須須考慮防火火墻的網(wǎng)絡(luò)絡(luò)拓撲結(jié)構(gòu)構(gòu)：屏蔽路由器器：又稱包包過濾防火火墻。雙穴主機：雙穴主機機是包過濾濾網(wǎng)關(guān)的一一種替代。主機過濾結(jié)結(jié)構(gòu)：這種種結(jié)構(gòu)實際際上是包過過濾和代理理的結(jié)合。屏蔽子網(wǎng)結(jié)結(jié)構(gòu)：這種種防火墻是是雙穴主機機和被屏蔽蔽主機的變變形。隨著INTTERNEET在我國國的迅速發(fā)發(fā)展，防火火墻技術(shù)引引起了各

22、方方面的廣泛泛關(guān)注，一一方面在對對國外信息息安全和防防火墻技術(shù)術(shù)的發(fā)展進進行跟蹤，另另一方面也也已經(jīng)自行行開展了一一些研究工工作。目前前使用較多多的，是在在路由器上上采用分組組過濾技術(shù)術(shù)提供安全全保證，對對其他方面面的技術(shù)尚尚缺乏深入入了解。防防火墻技術(shù)術(shù)還處在一一個發(fā)展階階段，仍有有許多問題題有待解決決。因此，密密切關(guān)注防防火墻的最最新發(fā)展，對對推動INNTERNNET在我我國的健康康發(fā)展有著著重要的意意義。根據(jù)防火墻墻所采用的的技術(shù)不同同，我們可可以將它分分為四種基基本類型：包過濾型型、網(wǎng)絡(luò)地地址轉(zhuǎn)換NATT、代理型型和監(jiān)測型型。（1）包過過濾型包過濾型產(chǎn)產(chǎn)品是防火火墻的初級級產(chǎn)品，其其技

23、術(shù)依據(jù)據(jù)是網(wǎng)絡(luò)中中的分包傳傳輸技術(shù)。網(wǎng)絡(luò)上的的數(shù)據(jù)都是是以“包”為單位進進行傳輸?shù)牡?，?shù)據(jù)被被分割為一一定大小的的數(shù)據(jù)包，每每一個數(shù)據(jù)據(jù)包中都會會包含一些些特定信息息，如數(shù)據(jù)據(jù)的源地址址、目標(biāo)地地址、TCCP/UDDP5源端口和目目標(biāo)端口等等。防火墻墻通過讀取取數(shù)據(jù)包中中的地址信信息來判斷斷這些“包”是否來自自可信任的的安全站點點，一旦發(fā)發(fā)現(xiàn)來自危危險站點的的數(shù)據(jù)包，防防火墻便會會將這些數(shù)數(shù)據(jù)拒之門門外。系統(tǒng)統(tǒng)管理員也也可以根據(jù)據(jù)實際情況況靈活制訂訂判斷規(guī)則則。包過濾濾技術(shù)的優(yōu)優(yōu)點是簡單單實用，實實現(xiàn)成本較較低，在應(yīng)應(yīng)用環(huán)境比比較簡單的的情況下，能能夠以較小小的代價在在一定程度度上保證系系統(tǒng)的

24、安全全。但包過過濾技術(shù)的的缺陷也是是明顯的。包過濾技技術(shù)是一種種完全基于于網(wǎng)絡(luò)層的的安全技術(shù)術(shù)，只能根根據(jù)數(shù)據(jù)包包的來源、目標(biāo)和端端口等網(wǎng)絡(luò)絡(luò)信息進行行判斷，無無法識別基基于應(yīng)用層層的惡意侵侵入，如惡惡意的JAAVA小程程序以及電電子郵件中中附帶的病病毒。有經(jīng)經(jīng)驗的黑客客很容易偽偽造IP地地址，騙過過包過濾型型防火墻。這種攻擊擊方式主要要應(yīng)用于用用IP協(xié)議議傳送的報報文中。它它僅適用于于少數(shù)幾種種平臺。所所謂IP欺欺騙，無非非就是偽造造他人的源源IP地址址。其實質(zhì)質(zhì)就是讓一一臺機器來來扮演另一一臺機器，以以達到蒙混混過關(guān)的目目的。IPP欺騙技術(shù)術(shù)只能實現(xiàn)現(xiàn)對某些特特定的運行行Freee TCP

25、P/IP5進行行攻擊。一一般來說，任任何使用SSun RRPC調(diào)用用的配置、利用IPP地址認(rèn)證證的網(wǎng)絡(luò)服服務(wù)、MIIT的X Winddow系統(tǒng)統(tǒng)、R服務(wù)務(wù)等這些服服務(wù)易受到到IP欺騙騙攻擊。IP欺欺騙式攻擊擊形式多種種多樣，從從隨機掃描描到利用系系統(tǒng)已知的的一些漏洞洞。IP欺欺騙攻擊通通常發(fā)生于于一臺主機機被確信在在安全性方方面存在漏漏洞之后。此時入侵侵者已作好好了實施一一次IP欺欺騙攻擊的的準(zhǔn)備，他他（或她）知知道目標(biāo)網(wǎng)網(wǎng)絡(luò)存在漏漏洞并且知知道該具體體攻擊哪一一臺主機。（2）網(wǎng)絡(luò)絡(luò)地址轉(zhuǎn)化化NATT網(wǎng)絡(luò)地址轉(zhuǎn)轉(zhuǎn)換是一種種用于把IIP地址轉(zhuǎn)轉(zhuǎn)換成臨時時的、外部部的、注冊冊的IP地地址標(biāo)準(zhǔn)。它允

26、許具具有私有IIP地址的的內(nèi)部網(wǎng)絡(luò)絡(luò)訪問因特特網(wǎng)6，還意味味著不要為為其網(wǎng)絡(luò)中中每一臺機機器取得注注冊的IPP地址。NAT的工工作過程如如下：在內(nèi)部網(wǎng)絡(luò)絡(luò)通過安全全網(wǎng)卡訪問問外部網(wǎng)絡(luò)絡(luò)時，將產(chǎn)產(chǎn)生一個映映射記錄。系統(tǒng)將外外出的源地地址和源端端口映射為為一個偽裝裝的地址和和端口，讓讓這個偽裝裝的地址和和端口通過過非安全網(wǎng)網(wǎng)客與外部部網(wǎng)絡(luò)連接接，這樣對對外就隱藏藏了真實的的內(nèi)部網(wǎng)絡(luò)絡(luò)地址。在在外部網(wǎng)絡(luò)絡(luò)通過非安安全網(wǎng)卡訪訪問內(nèi)部網(wǎng)網(wǎng)絡(luò)時，它它并不知道道內(nèi)部網(wǎng)絡(luò)絡(luò)的連接情情況，而只只是通過一一個開放的的IP地址址和端口來來請求訪問問。OLMM防火墻7根據(jù)據(jù)預(yù)先定義義好的映射射規(guī)則來判判斷這個訪訪問是

27、否安安全。當(dāng)符符合規(guī)則時時防火墻認(rèn)認(rèn)為訪問是是安全的，可可以接受訪訪問請求，也也可以將連連接請求映映射到不同同的內(nèi)部計計算機中。當(dāng)不符合合規(guī)則時，防防火墻將屏屏蔽外部的的連接請求求。網(wǎng)絡(luò)地地址轉(zhuǎn)換的的過程對于于用戶來說說是透明的的，不需要要用戶進行行設(shè)置，用用戶只要進進行常規(guī)操操作即可。（3）代理理型代理型防火火墻也可以以被稱為代代理服務(wù)器器，它的安安全性要高高于包過濾濾型產(chǎn)品，并并已經(jīng)開始始向應(yīng)用層層發(fā)展。代代理服務(wù)器器位于客戶戶機與服務(wù)務(wù)器之間，完完全阻擋了了二者之間間的數(shù)據(jù)交交流。從客客戶機來看看，代理服服務(wù)器相當(dāng)當(dāng)于一臺真真正的服務(wù)務(wù)器；而從從服務(wù)器來來看，代理理服務(wù)器又又是一臺真真正

28、的客戶戶機。當(dāng)客客戶機需要要使用服務(wù)務(wù)器上的數(shù)數(shù)據(jù)時，首首先將數(shù)據(jù)據(jù)請求發(fā)給給代理服務(wù)務(wù)器，代理理服務(wù)器再再根據(jù)這一一請求向服服務(wù)器索取取數(shù)據(jù)，然然后再由代代理服務(wù)器器將數(shù)據(jù)傳傳輸給客戶戶機。由于于外部系統(tǒng)統(tǒng)與服務(wù)器器之間沒有有直接的數(shù)數(shù)據(jù)通道，外外部的惡意意侵害也就就很難傷害害到企業(yè)內(nèi)內(nèi)部網(wǎng)絡(luò)系系統(tǒng)。代理型防火火墻的優(yōu)點點是安全性性較高，可可以針對應(yīng)應(yīng)用層進行行偵測和掃掃描，對付付基于應(yīng)用用層的侵入入和病毒都都十分有效效。其缺點點是對系統(tǒng)統(tǒng)的整體性性能有較大大的影響，而而且代理服服務(wù)器必須須針對客戶戶機可能產(chǎn)產(chǎn)生的所有有應(yīng)用類型型逐一進行行設(shè)置，大大大增加了了系統(tǒng)管理理的復(fù)雜性性。（4）監(jiān)監(jiān)

29、測型 監(jiān)測型防火火墻是新一一代的產(chǎn)品品，這一技技術(shù)實際上上已經(jīng)超越越了最初的的防火墻定定義。監(jiān)測測型防火墻墻能夠針對對各層的數(shù)數(shù)據(jù)進行主主動的、實實時的監(jiān)測測，對這些數(shù)數(shù)據(jù)加以分分析的基礎(chǔ)礎(chǔ)上，監(jiān)測測型防火墻墻能夠有效效的判斷出出各層的非非法侵入。同時，這種監(jiān)測測型防火墻墻產(chǎn)品一般般還帶有分分布式探測測器，這些些探測器安安置在各種種應(yīng)用服務(wù)務(wù)器和其它它網(wǎng)絡(luò)的節(jié)節(jié)點之中，不不但能夠監(jiān)監(jiān)測來自網(wǎng)網(wǎng)絡(luò)外部的的攻擊，同時時對來自外外部的惡意意破壞也有有極強的防防范作用。根據(jù)權(quán)威威機構(gòu)統(tǒng)計計，在針對對網(wǎng)絡(luò)系統(tǒng)統(tǒng)的功擊中中，有相當(dāng)當(dāng)比例的攻攻擊來自網(wǎng)網(wǎng)絡(luò)內(nèi)部。因此，監(jiān)監(jiān)測型防火火墻不但超超越了傳統(tǒng)統(tǒng)防火墻

30、的的定義，而而且在安全全性上也超超越了前兩兩代產(chǎn)品。雖然監(jiān)測測型防火墻墻安全性上上已經(jīng)超越越了包過濾濾型和代理理服務(wù)器型型防火墻，但但由于監(jiān)測測型防火墻墻技術(shù)的實實現(xiàn)成本較較高，也不不易管理，所所以目前在在實用的防防火墻產(chǎn)品品仍然以第第二代代理理型產(chǎn)品為為主，但在在某些方面面也已經(jīng)開開始使用監(jiān)監(jiān)測型防火火墻5。基于系統(tǒng)統(tǒng)成本與安安全技術(shù)成成本的綜合合考慮，用用戶可以選選擇性的使使用某些監(jiān)監(jiān)測型技術(shù)術(shù)，這樣既能能夠保證網(wǎng)網(wǎng)絡(luò)系統(tǒng)的的安全性需需求，同時時也能有效效的控制安安全系統(tǒng)的的總擁有成成本。（5）防火火墻的安全全性防火墻產(chǎn)品品最難評估估的方面是是防火墻的的安全性能能，即防火火墻是否能能夠有效

31、的的阻擋外部部入侵。這這一點同防防火墻自身身的安全性性一樣，普普通用戶通通常無法判判斷。即使使安裝好了了防火墻，如如果沒有實實際的外部部入侵，也也無法得知知產(chǎn)品性能能的優(yōu)劣。但在實際際應(yīng)用中檢檢測安全產(chǎn)產(chǎn)品的性能能是極為危危險的，所所以用戶在在選擇防火火墻產(chǎn)品時時，應(yīng)該盡盡量選擇占占市場份額額較大同時時又通過了了權(quán)威認(rèn)證證機構(gòu)認(rèn)證證測試的產(chǎn)產(chǎn)品。3加密技術(shù)術(shù)與防火墻配配合使用的的安全技術(shù)術(shù)還有數(shù)據(jù)據(jù)加密技術(shù)術(shù)，是為提高高信息系統(tǒng)統(tǒng)及數(shù)據(jù)的的安全性和和保密性，防止秘密密數(shù)據(jù)被外外部破析所所采用的主主要技術(shù)手手段之一8。隨隨著信息技技術(shù)的發(fā)展展， 網(wǎng)絡(luò)安安全與信息息保密日益益引起人們們的關(guān)注。目前

32、各國國除了從法法律上、管理上加加強數(shù)據(jù)的的安全保護護外，從技術(shù)上上分別在軟軟件和硬件件兩方面采采取措施，推動著數(shù)數(shù)據(jù)加密技技術(shù)和物理理防范技術(shù)術(shù)的不斷發(fā)發(fā)展。按作作用不同數(shù)數(shù)據(jù)加密技技術(shù)主要分分為數(shù)據(jù)傳傳輸、數(shù)據(jù)存儲儲、數(shù)據(jù)完整整性的鑒別別以及密鑰鑰管理技術(shù)術(shù)四種。（1） 數(shù)數(shù)據(jù)傳輸加加密技術(shù)目的是對傳傳輸中的數(shù)數(shù)據(jù)流加密密，常用的的方針有線線路加密和和端端加密密兩種。前前者側(cè)重在在線路上而而不考慮信信源與信宿宿，是對保密密信息通過過各線路采采用不同的的加密密鑰鑰提供安全全保護。后后者則指信信息由發(fā)送送者端自動動加密，并進入TCP/IP數(shù)據(jù)據(jù)包回封，然后作為為不可閱讀讀和不可識識別的數(shù)據(jù)據(jù)穿過互聯(lián)聯(lián)網(wǎng)，當(dāng)這些信信息一旦到到達目的地地將被自動重組組、解密，成為可讀讀數(shù)據(jù)。（2） 數(shù)數(shù)據(jù)存儲加加密技術(shù)目的是防止止在存儲環(huán)環(huán)節(jié)上的數(shù)數(shù)據(jù)失密，可分為密密文存儲和和存取控制制兩種99。前者者一般是通通過加密算算法轉(zhuǎn)換、附加密碼碼、加密模模塊等方法法實現(xiàn)；后者則是是對用戶資資格、權(quán)限加以以審查和限限制，防止非法法用戶存取取數(shù)據(jù)或合合法用戶越越權(quán)存取數(shù)數(shù)據(jù)。（3） 數(shù)數(shù)據(jù)完整性性鑒別技術(shù)術(shù)目的是對介介入信息的的傳送、存取、處處理的人的的身份和相相關(guān)數(shù)據(jù)