防火墻技術(shù)畢業(yè)論文及論大學(xué)生寫作能力

山西信息職業(yè)技術(shù)學(xué)院畢業(yè)論文（設(shè)計(jì)）防火墻技術(shù)論文指導(dǎo)教師學(xué)生所在系部信息管理系專業(yè)名稱計(jì)算機(jī)信息管理論文提交日期論文答辯日期20年月日論文題目：防火墻技術(shù)專業(yè)：信息管理學(xué)生：簽名：指導(dǎo)老師簽名：摘要因特網(wǎng)的迅猛發(fā)展給人們的生活帶來(lái)了極大的方便，但同時(shí)因特網(wǎng)也面臨著空前的威脅。因此，如何使用有效可行的方法使網(wǎng)絡(luò)危險(xiǎn)降到人們可接受的范圍之內(nèi)越來(lái)越受到人們的關(guān)注。而如何實(shí)施防范策略，首先取決于當(dāng)前系統(tǒng)的安全性。所以對(duì)網(wǎng)絡(luò)安全的各獨(dú)立元素——防火墻、漏洞掃描、入侵檢測(cè)和反病毒等進(jìn)行風(fēng)險(xiǎn)評(píng)估是很有必要的。防火墻技術(shù)作為時(shí)下比較成熟的一種網(wǎng)絡(luò)安全技術(shù)，其安全性直接關(guān)系到用戶的切身利益。針對(duì)網(wǎng)絡(luò)安全獨(dú)立元素——防火墻技術(shù)，通過(guò)對(duì)防火墻日志文件的分析，設(shè)計(jì)相應(yīng)的數(shù)學(xué)模型和軟件雛形，采用打分制的方法，判斷系統(tǒng)的安全等級(jí)，實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。對(duì)網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問(wèn)，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運(yùn)行，利用網(wǎng)絡(luò)傳播病毒，線路竊聽等方面。這以要求我們與Internet互連所帶來(lái)的安全性問(wèn)題予以足夠重視。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展使網(wǎng)絡(luò)安全問(wèn)題日益突出,而防火墻是應(yīng)用最廣泛的安全產(chǎn)品。本文闡述了網(wǎng)絡(luò)防火墻的工作原理并對(duì)傳統(tǒng)防火墻的利弊進(jìn)行了對(duì)比分析,最后結(jié)合計(jì)算機(jī)科學(xué)其它領(lǐng)域的相關(guān)新技術(shù),提出了新的防火墻技術(shù),并展望了其發(fā)展前景?！娟P(guān)鍵詞】包過(guò)濾；應(yīng)用層網(wǎng)關(guān)；分布式防火墻；檢測(cè)型防火墻；嵌入式防火墻；智能防火墻；網(wǎng)絡(luò)安全；防火墻防范策略；發(fā)展趨勢(shì)Title：firewalltechnologyMajor：ComputerInformationManagementName：ZhaoLiangSignature：Supervisor：weibaochuanSignature：AbstractTherapiddevelopmentoftheInternetbringsgreatconveniencetopeople'slife,butatthesametimetheInternetalsoisfacinganunprecedentedthreat.Therefore,howtouseeffectiveandfeasiblewaysofmakingthenetworkcanbedangeroustothepeoplewithinreceivingmoreandmoreattention.Andhowtoimplementpreventivestrategy,firstofalldependsonthesecurityofthesystem.Sotheindependentnetworksecurityelements--firewall,vulnerabilityscanning,intrusiondetectionandanti-virusriskassessmentisnecessary.Anetworksecurityfirewalltechnologyasnowadaysmoremature,itssecurityisdirectlyrelatedtothevitalinterestsofusers.Forindependentnetworksecurityelements--firewalltechnology,throughthefirewalllogfileanalysis,designofthemathematicalmodelandprototypesoftware,usingthemethodofscoringsystem,whatthesystem'ssecuritylevel,torealizethenetworksecurityriskassentorthetargetnetwork,providesscientificbasistoenhancethesecurityofthesystem.Thenetworksecuritythreatsmainlydisplaysin:unauthorizedaccess,posingaslegitimateusers,damagetodataintegrity,interferewiththenormaloperationofthesystem,usingthenetworktospreadthevirus,wiretapetc..ThisrequiresustosafetyproblemsbroughtaboutbytheinterconnectionwiththeInternetpaidenoughattention.Therapiddevelopmentofcomputernetworktechnologymakethenetworksecurityissueshavebecomeincreasinglyprominent,whilethefirewallisthemostwidelyusedsecurityproducts.Thispaperexpoundstheworkingprincipleofnetworkfirewallandanalyzedtheadvantagesanddisadvantagesoftraditionalfirewall,combinedwithnewtechnologiesrelatedtocomputerscienceandotherfields,putsforwardanewfirewalltechnology,Panditsprospectofdevelopment.【KeyWords】packetfilteringapplicationlayergatewayfirewallanddistributedfirewallmonitoringembeddedfirewallnetworkintelligentfirewallsecurityfirewallpreventionstrategiesdevelopmenttrend目錄HYPERLINK1引言 1HYPERLINK1.1 研究背景 3HYPERLINK1.2 研究目的 3HYPERLINK1.3 論文結(jié)構(gòu) 4HYPERLINK2網(wǎng)絡(luò)安全 5HYPERLINK2.1 網(wǎng)絡(luò)安全問(wèn)題 5HYPERLINK2.1.1 網(wǎng)絡(luò)安全面臨的主要威脅 5HYPERLINK2.1.2 影響網(wǎng)絡(luò)安全的因素 5HYPERLINK2.2 網(wǎng)絡(luò)安全措施 6HYPERLINK2.2.1 完善計(jì)算機(jī)安全立法 6HYPERLINK2.2.2 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) 6HYPERLINK2.3 制定合理的網(wǎng)絡(luò)管理措施 7HYPERLINK3防火墻概述 8HYPERLINK3.1 防火墻的概念 8HYPERLINK3.1.1 傳統(tǒng)防火墻介紹 8HYPERLINK3.1.2 智能防火墻簡(jiǎn)介 9HYPERLINK3.2 防火墻的功能 10HYPERLINK3.2.1 防火墻的主要功能 10HYPERLINK3.2.2 入侵檢測(cè)功能 10HYPERLINK3.2.3 虛擬專網(wǎng)功能 11HYPERLINK3.2.4 其他功能 11HYPERLINK3.3 防火墻的原理及分類 12HYPERLINK3.3.1 包過(guò)濾防火墻 12HYPERLINK3.3.2 應(yīng)用級(jí)代理防火墻 12HYPERLINK3.3.3 代理服務(wù)型防火墻 13HYPERLINK3.3.4 復(fù)合型防火墻 13HYPERLINK3.4 防火墻包過(guò)濾技術(shù) 13HYPERLINK3.4.1 數(shù)據(jù)表結(jié)構(gòu) 14HYPERLINK3.4.2 傳統(tǒng)包過(guò)濾技術(shù) 15HYPERLINK3.4.3 動(dòng)態(tài)包過(guò)濾 16HYPERLINK3.4.4 深度包檢測(cè) 16HYPERLINK3.4.5 流過(guò)濾技術(shù) 17HYPERLINK4防火墻的配置 19HYPERLINK4.1 硬件連接與實(shí)施 19HYPERLINK4.2 防火墻的特色配置 19HYPERLINK4.3 軟件的配置與實(shí)施 20HYPERLINK5防火墻發(fā)展趨勢(shì) 22HYPERLINK5.1 防火墻包過(guò)濾技術(shù)發(fā)展趨勢(shì) 22HYPERLINK5.2 防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì) 23HYPERLINK5.3 防火墻的系統(tǒng)管理發(fā)展趨勢(shì) 23HYPERLINK結(jié)論 24HYPERLINK參考文獻(xiàn) 25HYPERLINK致謝 261引言研究背景隨著互聯(lián)網(wǎng)的普及和發(fā)展，尤其是Internet的廣泛使用，使計(jì)算機(jī)應(yīng)用更加廣泛與深入。同時(shí)，我們不得不注意到，網(wǎng)絡(luò)雖然功能強(qiáng)大，也有其脆弱易受到攻擊的一面。據(jù)美國(guó)FBI統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全問(wèn)題所造成的經(jīng)濟(jì)損失高達(dá)75億美元，而全求平均每20秒鐘就發(fā)生一起Internet計(jì)算機(jī)侵入事件[1]。在我國(guó)，每年因黑客入侵、計(jì)算機(jī)病毒的破壞也造成了巨大的經(jīng)濟(jì)損失。人們?cè)诶镁W(wǎng)絡(luò)的優(yōu)越性的同時(shí)，對(duì)網(wǎng)絡(luò)安全問(wèn)題也決不能忽視。如何建立比較安全的網(wǎng)絡(luò)體系，值得我們關(guān)注研究。研究目的為了解決互聯(lián)網(wǎng)時(shí)代個(gè)人網(wǎng)絡(luò)安全的問(wèn)題，近年來(lái)新興了防火墻技術(shù)[2]。防火墻具有很強(qiáng)的實(shí)用性和針對(duì)性，它為個(gè)人上網(wǎng)用戶提供了完整的網(wǎng)絡(luò)安全解決方案，可以有效地控制個(gè)人電腦用戶信息在互聯(lián)網(wǎng)上的收發(fā)。用戶可以根據(jù)自己的需要，通過(guò)設(shè)定一些參數(shù)，從而達(dá)到控制本機(jī)與互聯(lián)網(wǎng)之間的信息交流阻止惡性信息對(duì)本機(jī)的攻擊，比如Novicehood攻擊、聊天室炸彈、木馬信息破譯并修改郵件密碼等等。而且防火墻能夠?qū)崟r(shí)記錄其它系統(tǒng)試圖對(duì)本機(jī)系統(tǒng)的訪問(wèn)，使計(jì)算機(jī)在連接到互聯(lián)網(wǎng)的時(shí)候避免受到網(wǎng)絡(luò)攻擊和資料泄漏的安全威脅。防火墻可以保護(hù)人們?cè)诰W(wǎng)上瀏覽時(shí)免受黑客的攻擊，實(shí)時(shí)防范網(wǎng)絡(luò)黑客的侵襲，還可以根據(jù)自己的需要?jiǎng)?chuàng)建防火墻規(guī)則，控制互聯(lián)網(wǎng)到PC以及PC到互聯(lián)網(wǎng)的所有連接，并屏蔽入侵企圖。防火可以有效地阻截各種惡意攻擊、保護(hù)信息的安全;信息泄漏攔截保證安全地瀏覽網(wǎng)頁(yè)、遏制郵件病毒的蔓延;郵件內(nèi)容檢測(cè)可以實(shí)時(shí)監(jiān)視郵件系統(tǒng)，阻擋一切針對(duì)硬盤的惡意活動(dòng)。個(gè)人防火墻就是在單機(jī)Windows系統(tǒng)上，采取一些安全防護(hù)措施，使得本機(jī)的息得到一定的保護(hù)。個(gè)人防火墻是面向單機(jī)操作系統(tǒng)的一種小型安全防護(hù)軟件，按一定的規(guī)則對(duì)TCP，UDP，ICMP和IGMP等報(bào)文進(jìn)行過(guò)濾，對(duì)網(wǎng)絡(luò)的信息流和系統(tǒng)進(jìn)程進(jìn)行監(jiān)控，防止一些惡意的攻擊。目前市場(chǎng)上大多數(shù)的防火墻產(chǎn)品僅僅是網(wǎng)關(guān)的，雖然它們的功能相當(dāng)強(qiáng)大，但由于它們基于下述的假設(shè):內(nèi)部網(wǎng)是安全可靠的，所有的威脅都來(lái)自網(wǎng)外。因此，他們防外不防內(nèi)，難以實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部局域網(wǎng)內(nèi)主之間的安全通信，也不能很好的解決每一個(gè)撥號(hào)上網(wǎng)用戶所在主機(jī)的安全問(wèn)題，而多數(shù)個(gè)人上網(wǎng)之時(shí)，并沒(méi)有置身于得到防護(hù)的安全網(wǎng)絡(luò)內(nèi)部。個(gè)人上網(wǎng)用戶多使用Windows操作系統(tǒng)，而Windows操作系統(tǒng)，特別是Windock系統(tǒng)，本身的安全性就不高。各種Windows漏洞不斷被公布，對(duì)主機(jī)的攻擊也越來(lái)越多。一般都是利用操作系統(tǒng)設(shè)計(jì)的安全漏洞和通信協(xié)議的安全漏洞來(lái)實(shí)現(xiàn)攻擊。如假冒IP包對(duì)通信雙方進(jìn)行欺騙:對(duì)主機(jī)大量發(fā)送正數(shù)據(jù)包[3]進(jìn)行轟炸攻擊，使之際崩潰;以及藍(lán)屏攻擊等。因此，為了保護(hù)主機(jī)的安全通信，研制有效的個(gè)人防火墻技術(shù)很有必要。所謂的防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合[1]。它可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況,以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)的安全。一個(gè)高效可靠的防火墻必須具有以下典型的特性:1從里到外和從外到里的所有通信都必須通過(guò)防火墻；2只有本地安全策略授權(quán)的通信才允許通過(guò)；3防火墻本身是免疫的,不會(huì)被穿透的。防火墻的基本功能有:過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為；封堵某些禁止的業(yè)務(wù)；記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和報(bào)警。論文結(jié)構(gòu)在論文中接下來(lái)的幾章里，將會(huì)有下列安排:第二章，分析研究網(wǎng)絡(luò)安全問(wèn)題，網(wǎng)絡(luò)安全面臨的主要威脅，影響網(wǎng)絡(luò)安全的因素，及保護(hù)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。第三章，介紹防火墻的相關(guān)技術(shù)，如防火墻的原理、功能、包過(guò)濾技術(shù)等;。第四章，以H3CH3C的F100防火墻為例，介紹防火墻配置方法。第五章，系統(tǒng)闡述防火墻發(fā)展趨勢(shì)。2網(wǎng)絡(luò)安全2.1網(wǎng)絡(luò)安全問(wèn)題安全，通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機(jī)制。我國(guó)對(duì)于計(jì)算機(jī)安全的定義是：“計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運(yùn)行?！睆募夹g(shù)講，計(jì)算機(jī)安全分為3種：1）實(shí)體的安全。它保證硬件和軟件本身的安全。2）運(yùn)行環(huán)境的安全性。它保證計(jì)算機(jī)能在良好的環(huán)境里持續(xù)工作。3）信息的安全性。它保障信息不會(huì)被非法閱讀、修改和泄漏。隨著網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)的安全問(wèn)題也延伸到了計(jì)算機(jī)網(wǎng)絡(luò)。2.1.1網(wǎng)絡(luò)安全面臨的主要威脅一般認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來(lái)自計(jì)算機(jī)病毒、黑客的攻擊和拒絕服務(wù)攻擊三個(gè)方面。1）計(jì)算機(jī)病毒的侵襲。當(dāng)前，活性病毒達(dá)14000多種，計(jì)算機(jī)病毒侵入網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)資源進(jìn)行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個(gè)網(wǎng)絡(luò)的癱瘓。2）黑客侵襲。即黑客非法進(jìn)入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。例如通過(guò)隱蔽通道進(jìn)行非法活動(dòng)；采用匿名用戶訪問(wèn)進(jìn)行攻擊；通過(guò)網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶賬號(hào)和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。3）拒絕服務(wù)攻擊。例如“點(diǎn)在郵件炸彈”，它的表現(xiàn)形式是用戶在很短的時(shí)間內(nèi)收到大量無(wú)用的電子郵件，從而影響正常業(yè)務(wù)的運(yùn)行。嚴(yán)重時(shí)會(huì)使系統(tǒng)關(guān)機(jī)，網(wǎng)絡(luò)癱瘓。具體講，網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權(quán)訪問(wèn)、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶……等。2.1.2影響網(wǎng)絡(luò)安全的因素1）單機(jī)安全購(gòu)買單機(jī)時(shí)，型號(hào)的選擇；計(jì)算機(jī)的運(yùn)行環(huán)境（電壓、濕度、防塵條件、強(qiáng)電磁場(chǎng)以及自然災(zāi)害等）；計(jì)算機(jī)的操作……等等，這些都是影響單機(jī)安全性的因素。2）網(wǎng)絡(luò)安全影響網(wǎng)絡(luò)安全的因素有：節(jié)點(diǎn)的安全、數(shù)據(jù)的安全（保存和傳輸方面）、文件的安全等。2.2網(wǎng)絡(luò)安全措施網(wǎng)絡(luò)信息安全涉及方方面面的問(wèn)題，是一個(gè)復(fù)雜的系統(tǒng)。一個(gè)完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。二是技術(shù)方面，如信息加密存儲(chǔ)傳輸、身份認(rèn)證、防火墻技術(shù)、網(wǎng)絡(luò)防毒等。三是管理措施，包括技術(shù)與社會(huì)措施。主要措施有：提供實(shí)時(shí)改變安全策略的能力、實(shí)時(shí)監(jiān)控企業(yè)安全狀態(tài)、對(duì)現(xiàn)有的安全系統(tǒng)實(shí)施漏洞檢查等，以防患于未然。這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全的保障，管理和審計(jì)是安全的防線。2.2.1完善計(jì)算機(jī)安全立法我國(guó)先后出臺(tái)的有關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。但目前，在這方面的立法還遠(yuǎn)不能適應(yīng)形勢(shì)發(fā)展的需要,應(yīng)該在對(duì)控制計(jì)算機(jī)犯罪的國(guó)內(nèi)外立法評(píng)價(jià)的基礎(chǔ)上，完善我國(guó)計(jì)算機(jī)犯罪立法，以便為確保我國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)健康有序的發(fā)展提供強(qiáng)有力的保障。2.2.2網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)(1)數(shù)據(jù)加密加密就是把明文變成密文，從而使未被授權(quán)的人看不懂它。有兩種主要的加密類型：私匙加密和公匙加密。(2)認(rèn)證對(duì)合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對(duì)公司信息系統(tǒng)的訪問(wèn)，使用認(rèn)證機(jī)制還可以防止合法用戶訪問(wèn)他們無(wú)權(quán)查看的信息。(3)防火墻技術(shù)防火墻就是用來(lái)阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問(wèn)。目前，防火墻采取的技術(shù)，主要是包過(guò)濾、應(yīng)用網(wǎng)關(guān)、子網(wǎng)屏蔽等。但是，防火墻技術(shù)在網(wǎng)絡(luò)安全防護(hù)方面也存在一些不足：防火墻不能防止內(nèi)部攻擊防火墻不能取代殺毒軟件；防火墻不易防止反彈端口木馬攻擊等。(4)檢測(cè)系統(tǒng)入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全研究的一個(gè)熱點(diǎn)，是一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部入侵、外部入侵和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。隨著時(shí)代的發(fā)展，入侵檢測(cè)技術(shù)將朝著三個(gè)方向發(fā)展:分布式入侵檢測(cè)、智能化入侵檢測(cè)和全面的安全防御方案。(5)防病毒技術(shù)隨著計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)病毒變得越來(lái)越復(fù)雜和高級(jí)，計(jì)算機(jī)病毒防范不僅僅是一個(gè)產(chǎn)品、一個(gè)策略或一個(gè)制度，它是一個(gè)匯集了硬件、軟件、網(wǎng)絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。(6)文件系統(tǒng)安全在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個(gè)關(guān)鍵性的概念，因?yàn)樵L問(wèn)控制實(shí)現(xiàn)在兩個(gè)方面：本地和遠(yuǎn)程。建立文件權(quán)限的時(shí)候，必須在Windows2000中首先實(shí)行新技術(shù)文件系統(tǒng)（NewTechnologyFileSystem，NTFS）。一旦實(shí)現(xiàn)了NTFS，你可以使用Windows資源管理器在文件和文件夾上設(shè)置用戶級(jí)別的權(quán)限。你需要了解可以分配什么樣的權(quán)限，還有日常活動(dòng)期間一些規(guī)則是處理權(quán)限的。Windows2000操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪問(wèn)控制。2.3制定合理的網(wǎng)絡(luò)管理措施（1）加強(qiáng)網(wǎng)絡(luò)用戶及有關(guān)人員的安全意識(shí)、職業(yè)道德和事業(yè)心、責(zé)任心的培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。（2）建立完善的安全管理體制和制度，以起到對(duì)管理人員和操作人員鼓勵(lì)和監(jiān)督的作用。（3）管理措施要標(biāo)準(zhǔn)化、規(guī)范化和科學(xué)化。3防火墻概述隨著Internet的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來(lái)越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多;同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問(wèn)題，使得網(wǎng)絡(luò)安全問(wèn)題越來(lái)越突出。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問(wèn)，阻止病毒的傳播感染顯得尤為重要。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過(guò)濾和應(yīng)用代理兩類。其中包過(guò)濾作為最早發(fā)展起來(lái)的一種技術(shù)，其應(yīng)用非常廣泛。3.1防火墻的概念防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。[4]防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻提供信息安全服務(wù)，是實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。3.1.1傳統(tǒng)防火墻介紹目前的防火墻技術(shù)無(wú)論從技術(shù)上還是從產(chǎn)品發(fā)展歷程上，都經(jīng)歷了五個(gè)發(fā)展歷程。圖1表示了防火墻技術(shù)的簡(jiǎn)單發(fā)展歷史。圖1第一代防火墻第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過(guò)濾（Packetfilter）技術(shù)。第二代、第三代防火墻1989年，貝爾實(shí)驗(yàn)室的DavePresotto和HowardCrickey推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。第四代防火墻1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動(dòng)態(tài)包過(guò)濾（Dynamicpacketfilter）技術(shù)的第四代防火墻，后來(lái)演變?yōu)槟壳八f(shuō)的狀態(tài)監(jiān)視（Hatefulinspection）技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻1998年，NAI公司推出了一種自適應(yīng)代理（Adaptiveproxy）技術(shù)，并在其產(chǎn)品GauntletFirewallforNT中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。[5]但傳統(tǒng)的防火墻并沒(méi)有解決目前網(wǎng)絡(luò)中主要的安全問(wèn)題。目前網(wǎng)絡(luò)安全的三大主要問(wèn)題是:以拒絕訪問(wèn)(DDOS)為主要代表的網(wǎng)絡(luò)攻擊，以蠕蟲(Worm)為主要代表的病毒傳播和以垃圾電子郵件(SPAM)為代表的內(nèi)容控制。這三大安全問(wèn)題占據(jù)網(wǎng)絡(luò)安全問(wèn)題九成以上。而這三大問(wèn)題，傳統(tǒng)防火墻都無(wú)能為力。主要有以下三個(gè)原因:一是傳統(tǒng)防火墻的計(jì)算能力的限制。傳統(tǒng)的防火墻是以高強(qiáng)度的檢查為代價(jià)，檢查的強(qiáng)度越高，計(jì)算的代價(jià)越大。二是傳統(tǒng)防火墻的訪問(wèn)控制機(jī)制是一個(gè)簡(jiǎn)單的過(guò)濾機(jī)制。它是一個(gè)簡(jiǎn)單的條件過(guò)濾器，不具有智能功能，無(wú)法檢測(cè)復(fù)雜的攻擊。三是傳統(tǒng)的防火墻無(wú)法區(qū)分識(shí)別善意和惡意的行為。該特征決定了傳統(tǒng)的防火墻無(wú)法解決惡意的攻擊行為。現(xiàn)在防火墻正在向分布、智能的方向發(fā)展，其中智能防火墻可以很好的解決上面的問(wèn)題。3.1.2智能防火墻簡(jiǎn)介智能防火墻[6]是相對(duì)傳統(tǒng)的防火墻而言的，從技術(shù)特征上智能防火墻是利用統(tǒng)計(jì)、記憶、概率和決策的智能方法來(lái)對(duì)數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪問(wèn)控制的目的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進(jìn)行訪問(wèn)控制。由于這些方法多是人工智能學(xué)科采用的方法，因此，又稱為智能防火墻。3.2防火墻的功能3.2.1防火墻的主要功能1．包過(guò)濾。包過(guò)濾是一種網(wǎng)絡(luò)的數(shù)據(jù)安全保護(hù)機(jī)制，它可用來(lái)控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設(shè)置可基于源地址、源端口、目的地址、目的端口、協(xié)議和時(shí)間;可根據(jù)地址簿進(jìn)行設(shè)置規(guī)則。2．地址轉(zhuǎn)換。網(wǎng)絡(luò)地址變換是將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的IP地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換SourceNAT(SNAT)和目的地址轉(zhuǎn)換DestinationNAT(DNAT)。SNAT用于對(duì)內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì)外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來(lái)自外部其他網(wǎng)絡(luò)的非授權(quán)訪問(wèn)或惡意攻擊。并將有限的IP地址動(dòng)態(tài)或靜態(tài)的與內(nèi)部IP地址對(duì)應(yīng)起來(lái)，用來(lái)緩解地址空間的短缺問(wèn)題，節(jié)省資源，降低成本。DNAT主要用于外網(wǎng)主機(jī)訪問(wèn)內(nèi)網(wǎng)主機(jī)。3．認(rèn)證和應(yīng)用代理。認(rèn)證指防火墻對(duì)訪問(wèn)網(wǎng)絡(luò)者合法身分的確定。代理指防火墻內(nèi)置用戶認(rèn)證數(shù)據(jù)庫(kù);提供HTTP、FTP和SMTP代理功能，并可對(duì)這三種協(xié)議進(jìn)行訪問(wèn)控制;同時(shí)支持URL過(guò)濾功能。4．透明和路由。指防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對(duì)互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問(wèn)，同時(shí)阻止了外部未授權(quán)訪問(wèn)者對(duì)專用網(wǎng)絡(luò)的非法訪問(wèn);防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個(gè)子網(wǎng)之間的安全訪問(wèn)。3.2.2入侵檢測(cè)功能入侵檢測(cè)技術(shù)[7]就是一種主動(dòng)保護(hù)自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技術(shù)，包括以下內(nèi)容:1.反端口掃描。端口掃描就是指黑客通過(guò)遠(yuǎn)程端口掃描的工具，從中發(fā)現(xiàn)主機(jī)的哪些非常用端口是打開的;是否支持FTP、Web服務(wù);且FTP服務(wù)是否支持“匿名”，以及IIS版本，是否有可以被成功攻破的IIS漏洞，進(jìn)而對(duì)內(nèi)部網(wǎng)絡(luò)的主機(jī)進(jìn)行攻擊。顧名思義反端口掃描就是防范端口掃描的方法，目前常用的方法有:關(guān)閉閑置和有潛在危險(xiǎn)的端口;檢查各端口，有端口掃描的癥狀時(shí)，立即屏蔽該端口，多數(shù)防火墻設(shè)備采用的都是這種反端口掃描方式。2.檢測(cè)拒絕服務(wù)攻擊。拒絕服務(wù)(DDS)攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到服務(wù)的響應(yīng)，其攻擊方式有很多種;而分布式的拒絕服務(wù)攻擊(Ados)攻擊手段則是在傳統(tǒng)的DDS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式，分布式的拒絕服務(wù)攻擊(Ados)。其原理很簡(jiǎn)單，就是利用更多的受控主機(jī)同時(shí)發(fā)起進(jìn)攻，以比DDS更大的規(guī)模(或者說(shuō)以更高于受攻主機(jī)處理能力的進(jìn)攻能力)來(lái)進(jìn)攻受害者?，F(xiàn)在的防火墻設(shè)備通常都可檢測(cè)Synodal、Land、PingofDeath、Eardrop、ICMPflood和Mudflow等多種DOS/DDOS攻擊。3.檢測(cè)多種緩沖區(qū)溢出攻擊(BufferOverflow)。緩沖區(qū)溢出(BufferOverflow)攻擊指利用軟件的弱點(diǎn)將任意數(shù)據(jù)添加進(jìn)某個(gè)程序中，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作，防火墻設(shè)備可檢測(cè)對(duì)FTP、Telnet、SSH、RPC和SMTP等服務(wù)的遠(yuǎn)程堆棧溢出入侵。4.檢測(cè)CGI/IIS服務(wù)器入侵。CGI就是CommonGatewayInter——face的簡(jiǎn)稱。是WorldWideWeb主機(jī)和CGI程序間傳輸資訊的定義。IIS就是InternetInformationserver的簡(jiǎn)稱，也就是微軟的Internet信息服務(wù)器。防火墻設(shè)備可檢測(cè)包括針對(duì)Unicode、ASP源碼泄漏、PHF、NPH、misplay.cgi等已知上百種的有安全隱患的CGI/IIS進(jìn)行的探測(cè)和攻擊方式。5.檢測(cè)后門、木馬及其網(wǎng)絡(luò)蠕蟲。后門程序是指采用某種方法定義出一個(gè)特殊的端口并依靠某種程序在機(jī)器啟動(dòng)之前自動(dòng)加載到內(nèi)存，強(qiáng)行控制機(jī)器打開那個(gè)特殊的端口的程序。木馬程序的全稱是“特洛依木馬”，它們是指尋找后門、竊取計(jì)算機(jī)的密碼的一類程序。網(wǎng)絡(luò)蠕蟲病毒分為2類，一種是面向企業(yè)用戶和局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動(dòng)進(jìn)行攻擊，可以對(duì)整個(gè)互聯(lián)網(wǎng)造成癱瘓性的后果，以“紅色代碼”，“尼姆達(dá)”，以及最新的“ql蠕蟲王”為代表。另外一種是針對(duì)個(gè)人用戶的，通過(guò)網(wǎng)絡(luò)(主要是電子郵件，惡意網(wǎng)頁(yè)形式)迅速傳播的蠕蟲病毒，以愛蟲病毒，求職信病毒為例。防火墻設(shè)備可檢測(cè)試圖穿透防火墻系統(tǒng)的木馬控制端和客戶端程序;檢測(cè)試圖穿透防火墻系統(tǒng)的蠕蟲程序。3.2.3虛擬專網(wǎng)功能指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。VPN的基本原理是通過(guò)IP包的封裝及加密、認(rèn)證等手段，從而達(dá)到安全的目的。3.2.4其他功能1.IP地址/MAC地址綁定?？芍С秩我痪W(wǎng)絡(luò)接口的IP地址和MAC地址的綁定，從而禁止用戶隨意修改IP地址。2.審計(jì)。要求對(duì)使用身份標(biāo)識(shí)和認(rèn)證的機(jī)制，文件的創(chuàng)建，修改，系統(tǒng)管理的所有操作以及其他有關(guān)安全事件進(jìn)行記錄，以便系統(tǒng)管理員進(jìn)行安全跟蹤。一般防火墻設(shè)備可以提供三種日志審計(jì)功能:系統(tǒng)管理日志、流量日志和入侵日志。3.特殊站點(diǎn)封禁。內(nèi)置特殊站點(diǎn)數(shù)據(jù)庫(kù)，用戶可選擇是否封禁色情、反動(dòng)和暴力等特殊站點(diǎn)。3.3防火墻的原理及分類國(guó)際計(jì)算機(jī)安全委員會(huì)ICSA將防火墻分成三大類:包過(guò)濾防火墻，應(yīng)用級(jí)代理服務(wù)器[8]以及狀態(tài)包檢測(cè)防火墻。3.3.1包過(guò)濾防火墻顧名思義，包過(guò)濾防火墻[9]就是把接收到的每個(gè)數(shù)據(jù)包同預(yù)先設(shè)定的包過(guò)濾規(guī)則相比較，從而決定是否阻塞或通過(guò)。過(guò)濾規(guī)則是基于網(wǎng)絡(luò)層IP包包頭信息的比較。包過(guò)濾防火墻工作在網(wǎng)絡(luò)層，IP包的包頭中包含源、目的IP地址，封裝協(xié)議類型(TCP，UDP，ICMP或IPTunnel)，TCP/UDP端口號(hào)，ICMP消息類型，TCP包頭中的ACK等等。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包按正常情況處理;如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包;如果沒(méi)有匹配規(guī)則，則按缺省情況處理。包過(guò)濾防火墻是速度最快的防火墻，這是因?yàn)樗幱诰W(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實(shí)現(xiàn)，對(duì)用戶來(lái)說(shuō)都是透明的。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng)絡(luò)，使之遭受攻擊。例如，HTTP。通常是使用80端口。如果公司的安全策略允許內(nèi)部員工訪問(wèn)網(wǎng)站，包過(guò)濾防火墻可能設(shè)置允所有80端口的連接通過(guò)，這時(shí)，意識(shí)到這一漏洞的外部人員可以在沒(méi)有被認(rèn)證的情況下進(jìn)入私有網(wǎng)絡(luò)。包過(guò)濾防火墻的維護(hù)比較困難，定義過(guò)濾規(guī)則也比較復(fù)雜，因?yàn)槿魏我粭l過(guò)濾規(guī)則的不完善都會(huì)給網(wǎng)絡(luò)黑客造成可乘之機(jī)。同時(shí)，包過(guò)濾防火墻一般無(wú)法提供完善的日志。3.3.2應(yīng)用級(jí)代理防火墻應(yīng)用級(jí)代理技術(shù)通過(guò)在OSI的最高層檢查每一個(gè)IP包，從而實(shí)現(xiàn)安全策略。代理技術(shù)與包過(guò)濾技術(shù)完全不同，包過(guò)濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實(shí)現(xiàn)防火墻功能。它的代理功能，就是在防火墻處終止客戶連接并初始化一個(gè)新的連接到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。這一內(nèi)建代理機(jī)制提供額外的安全，這是因?yàn)樗鼘?nèi)部和外部網(wǎng)絡(luò)隔離開來(lái)，使網(wǎng)絡(luò)外部的黑客在防火墻內(nèi)部網(wǎng)絡(luò)上進(jìn)行探測(cè)變得困難，更重要的是能夠讓網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行全面的控制。但是，這將花費(fèi)更多的處理時(shí)間，并且由于代理防火墻支持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。比如訪問(wèn)WEB站點(diǎn)的HTTP，用于文件傳輸?shù)腇TP，用于E一MAIL的SMTP/POP3等等。如果某種應(yīng)用沒(méi)有安裝代理程序，那么該項(xiàng)服務(wù)就不被支持并且不能通過(guò)防火墻進(jìn)行轉(zhuǎn)發(fā);同時(shí)升級(jí)一種應(yīng)用時(shí)，相應(yīng)的代理程序也必須同時(shí)升級(jí)。3.3.3代理服務(wù)型防火墻代理服務(wù)(ProxyService)也稱鏈路級(jí)網(wǎng)關(guān)或TCP通道(CircuitLevelGatewaysorTCPTunnels)，也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。它是針對(duì)數(shù)據(jù)包過(guò)濾[10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時(shí)也常結(jié)合入過(guò)濾器的功能。它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。3.3.4復(fù)合型防火墻由于對(duì)更高安全性的要求，常把基于包過(guò)濾的方法與基于應(yīng)用代理的方法結(jié)合起來(lái)，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機(jī)防火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過(guò)濾路由器或防火墻與Internet相連，同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過(guò)在分組過(guò)濾器路由器或防火墻上過(guò)濾規(guī)則的設(shè)置，使堡壘機(jī)成為Internet上其他節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個(gè)分組過(guò)濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機(jī)和分組過(guò)濾路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。3.4防火墻包過(guò)濾技術(shù)隨著Internet的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來(lái)越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多;同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問(wèn)題，使得網(wǎng)絡(luò)安全問(wèn)題越來(lái)越突出。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問(wèn)，阻止病毒的傳播感染顯得尤為重要。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過(guò)濾和應(yīng)用代理兩類。其中包過(guò)濾作為最早發(fā)展起來(lái)的一種技術(shù)，其應(yīng)用非常廣泛。所謂包過(guò)濾，就是對(duì)流經(jīng)網(wǎng)絡(luò)防火墻的所有數(shù)據(jù)包逐個(gè)檢查，并依據(jù)所制定的安全策略來(lái)決定數(shù)據(jù)包是通過(guò)還是不通過(guò)。包過(guò)濾最主要的優(yōu)點(diǎn)在于其速度與透明性。也正是由于此。包過(guò)濾技術(shù)歷經(jīng)發(fā)展演變而未被淘汰。由于其主要是對(duì)數(shù)據(jù)包的過(guò)濾操作，所以數(shù)據(jù)包結(jié)構(gòu)是包過(guò)濾技術(shù)的基礎(chǔ)?？紤]包過(guò)濾技術(shù)的發(fā)展過(guò)程，可以認(rèn)為包過(guò)濾的核心問(wèn)題就是如何充分利用數(shù)據(jù)包中各個(gè)字段的信息，并結(jié)合安全策略來(lái)完成防火墻的功能[11]-[15]3.4.1數(shù)據(jù)表結(jié)構(gòu)當(dāng)應(yīng)用程序用TCP傳送數(shù)據(jù)時(shí)，數(shù)據(jù)被送入?yún)f(xié)議棧中，然后逐個(gè)通過(guò)每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。其中每一層對(duì)接收到的數(shù)據(jù)都要增加一些首部信息。TCP傳給IP的數(shù)據(jù)單元稱作TCP報(bào)文段(TCPSegment);IP傳給網(wǎng)絡(luò)接口層的數(shù)據(jù)單元稱作IP數(shù)據(jù)報(bào)(IPDatagram)；通過(guò)以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀(Frame)。對(duì)于進(jìn)防火墻的數(shù)據(jù)包，順序正好與此相反，頭部信息逐層剝掉。IP，TCP首部格式如表2-1表2-2所示。表2-1IP首部格式版本首部長(zhǎng)服務(wù)類型總長(zhǎng)度標(biāo)識(shí)標(biāo)志片偏移生存時(shí)間協(xié)議首部校驗(yàn)和源IP地址目的IP地址選項(xiàng)表2-2TCP首部格式源端口號(hào)目的端口號(hào)序列號(hào)確認(rèn)號(hào)首部長(zhǎng)保留LRCTBLPBHRCTCJHHJR窗口大小TCP校驗(yàn)和緊急指針選項(xiàng)對(duì)于幀的頭部信息主要是源/目的主機(jī)的MAC地址;IP數(shù)據(jù)報(bào)頭部信息主要是源/目的主機(jī)的IP地址;TCP頭部的主要字段包括源/目的端口、發(fā)送及確認(rèn)序號(hào)、狀態(tài)標(biāo)識(shí)等。理論上講，數(shù)據(jù)包所有頭部信息以及有效載荷都可以作為判斷包通過(guò)與否的依據(jù)，但是在實(shí)際情況中，包過(guò)濾技術(shù)上的問(wèn)題主要是選取哪些字段信息，以及如何有效地利用這些字段信息并結(jié)合訪問(wèn)控制列表來(lái)執(zhí)行包過(guò)濾操作，并盡可能提高安全控制力度。3.4.2傳統(tǒng)包過(guò)濾技術(shù)傳統(tǒng)包過(guò)濾技術(shù)，大多是在IP層實(shí)現(xiàn)，它只是簡(jiǎn)單的對(duì)當(dāng)前正在通過(guò)的單一數(shù)據(jù)包進(jìn)行檢測(cè)，查看源/目的IP地址、端口號(hào)以及協(xié)議類型(UDP/TCP)等，結(jié)合訪問(wèn)控制規(guī)則對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)。這種技術(shù)實(shí)現(xiàn)簡(jiǎn)單，處理速度快，對(duì)應(yīng)用透明，但是它存在的問(wèn)題也很多，主要表現(xiàn)有:1.所有可能會(huì)用到的端口都必須靜態(tài)放開。若允許建立HTTP連接，就需要開放1024以上所有端口，這無(wú)疑增加了被攻擊的可能性。2.不能對(duì)數(shù)據(jù)傳輸狀態(tài)進(jìn)行判斷。如接收到一個(gè)ACK數(shù)據(jù)包，就認(rèn)為這是一個(gè)己建立的連接，這就導(dǎo)致許多安全隱患，一些惡意掃描和拒絕服務(wù)攻擊就是利用了這個(gè)缺陷。3.無(wú)法過(guò)濾審核數(shù)據(jù)包上層的內(nèi)容。即使通過(guò)防火墻的數(shù)據(jù)包有攻擊性或包含病毒代碼，也無(wú)法進(jìn)行控制和阻斷。綜合上述問(wèn)題，傳統(tǒng)包過(guò)濾技術(shù)的缺陷在于:(l)缺乏狀態(tài)檢測(cè)能力;(2)缺乏應(yīng)用防御能力。(3)只對(duì)當(dāng)前正在通過(guò)的單一數(shù)據(jù)包進(jìn)行檢測(cè)，而沒(méi)有考慮前后數(shù)據(jù)包之間的聯(lián)系;(4)只檢查包頭信息，而沒(méi)有深入檢測(cè)數(shù)據(jù)包的有效載荷。傳統(tǒng)包過(guò)濾技術(shù)必須發(fā)展進(jìn)化，在繼承其優(yōu)點(diǎn)的前提下，采用新的技術(shù)手段，克服其缺陷，并進(jìn)一步滿足新的安全應(yīng)用要求。從數(shù)據(jù)包結(jié)構(gòu)出發(fā)考慮，目前包過(guò)濾技術(shù)向兩個(gè)方向發(fā)展:(l)橫向聯(lián)系。即在包檢測(cè)中考慮前后數(shù)據(jù)包之間的關(guān)系，充分利用包頭信息中能體現(xiàn)此關(guān)系的字段，如IP首部的標(biāo)識(shí)字段和片偏移字段、TCP首部的發(fā)送及確認(rèn)序號(hào)、滑動(dòng)窗口的大小、狀態(tài)標(biāo)識(shí)等，動(dòng)態(tài)執(zhí)行數(shù)據(jù)包過(guò)濾。(2)縱向發(fā)展。深入檢測(cè)數(shù)據(jù)包有效載荷，識(shí)別并阻止病毒代碼和基于高層協(xié)議的攻擊，以此來(lái)提高應(yīng)用防御能力。這兩種技術(shù)的發(fā)展并不是獨(dú)立的，動(dòng)態(tài)包過(guò)濾可以說(shuō)是基于內(nèi)容檢測(cè)技術(shù)的基礎(chǔ)。實(shí)際上，在深度包檢測(cè)技術(shù)中己經(jīng)體現(xiàn)了兩種技術(shù)的融合趨勢(shì)。3.4.3動(dòng)態(tài)包過(guò)濾動(dòng)態(tài)包過(guò)濾[16]又稱為基于狀態(tài)的數(shù)據(jù)包過(guò)濾，是在傳統(tǒng)包過(guò)濾技術(shù)基礎(chǔ)之上發(fā)展起來(lái)的一項(xiàng)過(guò)濾技術(shù)，最早由Checkpoint提出。與傳統(tǒng)包過(guò)濾技術(shù)只檢查單個(gè)、孤立的數(shù)據(jù)包不同，動(dòng)態(tài)包過(guò)濾試圖將數(shù)據(jù)包的上下文聯(lián)系起來(lái)，建立一種基于狀態(tài)的包過(guò)濾機(jī)制。對(duì)于新建的應(yīng)用連接，防火墻檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過(guò)，并在內(nèi)存中記錄下該連接的相關(guān)信息，這些相關(guān)信息構(gòu)成一個(gè)狀態(tài)表。這樣，當(dāng)一個(gè)新的數(shù)據(jù)包到達(dá)，如果屬于已經(jīng)建立的連接，則檢查狀態(tài)表，參考數(shù)據(jù)流上下文決定當(dāng)前數(shù)據(jù)包通過(guò)與否;如果是新建連接，則檢查靜態(tài)規(guī)則表。動(dòng)態(tài)包過(guò)濾通過(guò)在內(nèi)存中動(dòng)態(tài)地建立和維護(hù)一個(gè)狀態(tài)表，數(shù)據(jù)包到達(dá)時(shí)，對(duì)該數(shù)據(jù)包的處理方式將綜合靜態(tài)安全規(guī)則和數(shù)據(jù)包所處的狀態(tài)進(jìn)行。這種方法的好處在于由于不需要對(duì)每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查，而是一個(gè)連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過(guò)散列算法，直接進(jìn)行狀態(tài)檢查，從而使性能得到了較大提高;而且，由于狀態(tài)表是動(dòng)態(tài)的，因而可以有選擇地、動(dòng)態(tài)地開通1024號(hào)以上的端口，使安全性得到進(jìn)一步地提高。動(dòng)態(tài)包過(guò)濾技術(shù)克服了傳統(tǒng)包過(guò)濾僅僅孤立的檢查單個(gè)數(shù)據(jù)包和安全規(guī)則靜態(tài)不可變的缺陷，使得防火墻的安全控制力度更為細(xì)致。3.4.4深度包檢測(cè)目前許多造成大規(guī)模損害的網(wǎng)絡(luò)攻擊，比如紅色代碼和尼姆達(dá)，都是利用了應(yīng)用的弱點(diǎn)。利用高層協(xié)議的攻擊和網(wǎng)絡(luò)病毒的頻繁出現(xiàn)，對(duì)防火墻提出了新的要求。防火墻必須深入檢查數(shù)據(jù)包的內(nèi)部來(lái)確認(rèn)出惡意行為并阻止它們。深度包檢測(cè)(DeepPacketInspection)就是針對(duì)這種需求，深入檢測(cè)數(shù)據(jù)包有效載荷，執(zhí)行基于應(yīng)用層的內(nèi)容過(guò)濾，以此提高系統(tǒng)應(yīng)用防御能力。應(yīng)用防御的技術(shù)問(wèn)題主要包括:(l)需要對(duì)有效載荷知道得更清楚;(2)也需要高速檢查它的能力。簡(jiǎn)單的數(shù)據(jù)包內(nèi)容過(guò)濾對(duì)當(dāng)前正在通過(guò)的單一數(shù)據(jù)包的有效載荷進(jìn)行掃描檢測(cè)，但是對(duì)于應(yīng)用防御的要求而言，這是遠(yuǎn)遠(yuǎn)不夠的。如一段攻擊代碼被分割到10個(gè)數(shù)據(jù)包中傳輸，那么這種簡(jiǎn)單的對(duì)單一數(shù)據(jù)包的內(nèi)容檢測(cè)根本無(wú)法對(duì)攻擊特征進(jìn)行匹配:要清楚地知道有效載荷，必須采取有效方法，將單個(gè)數(shù)據(jù)包重新組合成完整的數(shù)據(jù)流。應(yīng)用層的內(nèi)容過(guò)濾要求大量的計(jì)算資源，很多情況下高達(dá)100倍甚至更高。因而要執(zhí)行深度包檢測(cè)，帶來(lái)的問(wèn)題必然是性能的下降，這就是所謂的內(nèi)容處理障礙。為了突破內(nèi)容處理障礙，達(dá)到實(shí)時(shí)地分析網(wǎng)絡(luò)內(nèi)容和行為，需要重點(diǎn)在加速上采取有效的辦法。通過(guò)采用硬件芯片和更加優(yōu)化的算法，可以解決這個(gè)問(wèn)題。一個(gè)深度包檢測(cè)的流程框圖如圖3.1所示。圖3.1深度包檢測(cè)框圖在接收到網(wǎng)絡(luò)流量后，將需要進(jìn)行內(nèi)容掃描的數(shù)據(jù)流定向到TCP/IP堆棧，其他數(shù)據(jù)流直接定向到狀態(tài)檢測(cè)引擎，按基本檢測(cè)方式進(jìn)行處理。定向到TCP/IP堆棧的數(shù)據(jù)流，首先轉(zhuǎn)換成內(nèi)容數(shù)據(jù)流。服務(wù)分析器根據(jù)數(shù)據(jù)流服務(wù)類型分離內(nèi)容數(shù)據(jù)流，傳送數(shù)據(jù)流到一個(gè)命令解析器中。命令解析器定制和分析每一個(gè)內(nèi)容協(xié)議，分析內(nèi)容數(shù)據(jù)流，檢測(cè)病毒和蠕蟲。如果檢測(cè)到信息流是一個(gè)HTTP數(shù)據(jù)流，則命令解析器檢查上載和下載的文件;如果數(shù)據(jù)是Mail類型，則檢查郵件的附件。如果數(shù)據(jù)流包含附件或上載/下載文件，附件和文件將傳輸?shù)讲《緬呙枰妫衅渌麅?nèi)容傳輸?shù)絻?nèi)容過(guò)濾引擎。如果內(nèi)容過(guò)濾啟動(dòng)，數(shù)據(jù)流將根據(jù)過(guò)濾的設(shè)置進(jìn)行匹配，通過(guò)或拒絕數(shù)據(jù)。3.4.5流過(guò)濾技術(shù)流過(guò)濾是東軟集團(tuán)提出的一種新型防火墻技術(shù)架構(gòu)，它融基于狀態(tài)的包過(guò)濾技術(shù)與基于內(nèi)容的深度包檢測(cè)技術(shù)為一體，提供了一個(gè)較好的應(yīng)用防御解決方案，它以狀態(tài)監(jiān)測(cè)技術(shù)為基礎(chǔ)，但在此基礎(chǔ)上進(jìn)行了改進(jìn)其基本的原理是:以狀態(tài)包過(guò)濾的形態(tài)實(shí)現(xiàn)應(yīng)用層的保護(hù)能力:通過(guò)內(nèi)嵌的專門實(shí)現(xiàn)的TCP/IP協(xié)議棧，實(shí)現(xiàn)了透明的應(yīng)用信息過(guò)濾機(jī)制。流過(guò)濾技術(shù)[17]的關(guān)鍵在于其架構(gòu)中的專用TCP/IP協(xié)議棧:這個(gè)協(xié)議棧是一個(gè)標(biāo)準(zhǔn)的TCP協(xié)議的實(shí)現(xiàn)，依據(jù)TCP協(xié)議的定義對(duì)出入防火墻的數(shù)據(jù)包進(jìn)行了，完整的重組，重組后的數(shù)據(jù)流交給應(yīng)用層過(guò)濾邏輯進(jìn)行過(guò)濾，從而可以有效地識(shí)別并攔截應(yīng)用層的攻擊企圖。在這種機(jī)制下，從防火墻外部看，仍然是包過(guò)濾的形態(tài)，工作在鏈路層或IP層，在規(guī)則允許下，兩端可以直接訪問(wèn)，但是任何一個(gè)被規(guī)則允許的訪問(wèn)在防火墻內(nèi)部都存在兩個(gè)完全獨(dú)立的TCP會(huì)話，數(shù)據(jù)以“流”的方式從一個(gè)會(huì)話流向另一個(gè)會(huì)話。由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時(shí)候代替服務(wù)器或客戶端參與應(yīng)用層的會(huì)話，從而起到了與應(yīng)用代理防火墻相同的控制能力。如在對(duì)SMTP協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對(duì)郵件的存儲(chǔ)轉(zhuǎn)發(fā)，并實(shí)現(xiàn)豐富的對(duì)SMTP協(xié)議的各種攻擊的防范功能一流過(guò)濾的示意圖如圖3.2所示。圖3.2流過(guò)濾示意圖4防火墻的配置4.1硬件連接與實(shí)施一般來(lái)說(shuō)硬件防火墻和路由交換設(shè)備一樣具備多個(gè)以太接口，速度根據(jù)檔次與價(jià)格不同而在百兆與千兆之間有所區(qū)別。(如圖4.1)圖4.1對(duì)于中小企業(yè)來(lái)說(shuō)一般出口帶寬都在100M以內(nèi)，所以我們選擇100M相關(guān)產(chǎn)品即可。網(wǎng)絡(luò)拓?fù)鋱D中防火墻的位置很關(guān)鍵，一般介于內(nèi)網(wǎng)與外網(wǎng)互連中間區(qū)域，針對(duì)外網(wǎng)訪問(wèn)數(shù)據(jù)進(jìn)行過(guò)濾和監(jiān)控。如果防火墻上有WAN接口，那么直接將WAN接口連接外網(wǎng)即可，如果所有接口都標(biāo)記為L(zhǎng)AN接口，那么按照常規(guī)標(biāo)準(zhǔn)選擇最后一個(gè)LAN接口作為外網(wǎng)連接端口。相應(yīng)的其他LAN接口連接內(nèi)網(wǎng)各個(gè)網(wǎng)絡(luò)設(shè)備。4.2防火墻的特色配置從外觀上看防火墻和傳統(tǒng)的路由器交換機(jī)沒(méi)有太大的差別，一部分防火墻具備CONSOLE接口通過(guò)超級(jí)終端的方式初始化配置，而另外一部分則直接通過(guò)默認(rèn)的LAN接口和管理地址訪問(wèn)進(jìn)行配置。與路由器交換機(jī)不同的是在防火墻配置中我們需要?jiǎng)澐侄鄠€(gè)不同權(quán)限不同優(yōu)先級(jí)別的區(qū)域，另外還需要針對(duì)相應(yīng)接口隸屬的區(qū)域進(jìn)行配置，例如1接口劃分到A區(qū)域，2接口劃分到B區(qū)域等等，通過(guò)不同區(qū)域的訪問(wèn)權(quán)限差別來(lái)實(shí)現(xiàn)防火墻保護(hù)功能。默認(rèn)情況下防火墻會(huì)自動(dòng)建立trust信任區(qū)，untrust非信任區(qū)，DMZ堡壘主機(jī)區(qū)以及LOCAL本地區(qū)域。相應(yīng)的本地區(qū)域優(yōu)先級(jí)最高，其次是trust信任區(qū)，DMZ堡壘主機(jī)區(qū)，最低的是untrust非信任區(qū)域。在實(shí)際設(shè)置時(shí)我們必須將端口劃分到某區(qū)域后才能對(duì)其進(jìn)行各個(gè)訪問(wèn)操作，否則默認(rèn)將阻止對(duì)該接口的任何數(shù)據(jù)通訊。除此之外防火墻的其他相關(guān)配置與路由交換設(shè)備差不多，無(wú)外乎通過(guò)超級(jí)終端下的命令行參數(shù)進(jìn)行配置或者通過(guò)WEB管理界面配置。4.3軟件的配置與實(shí)施以H3C的F100防火墻為例，當(dāng)企業(yè)外網(wǎng)IP地址固定并通過(guò)光纖連接的具體配置。首先當(dāng)企業(yè)外網(wǎng)出口指定IP時(shí)配置防火墻參數(shù)。選擇接口四連接外網(wǎng)，接口一連接內(nèi)網(wǎng)。這里假設(shè)電信提供的外網(wǎng)IP地址為94。第一步：通過(guò)CONSOLE接口以及本機(jī)的超級(jí)終端連接F100防火墻，執(zhí)行system命令進(jìn)入配置模式。第二步：通過(guò)firewallpacketdefaultpermit設(shè)置默認(rèn)的防火墻策略為“容許通過(guò)”。第三步：進(jìn)入接口四設(shè)置其IP地址為94，命令為inte0/4iadd94第四步：進(jìn)入接口一設(shè)置其IP地址為內(nèi)網(wǎng)地址，例如，命令為inte0/1iadd第五步：將兩個(gè)接口加入到不同的區(qū)域，外網(wǎng)接口配置到非信任區(qū)untrust，內(nèi)網(wǎng)接口加入到信任區(qū)trust——firezoneuntrustaddinte0/4firezonetrustaddinte0/1第六步：由于防火墻運(yùn)行基本是通過(guò)NAT來(lái)實(shí)現(xiàn)，各個(gè)保護(hù)工作也是基于此功能實(shí)現(xiàn)的，所以還需要針對(duì)防火墻的NAT信息進(jìn)行設(shè)置，首先添加一個(gè)訪問(wèn)控制列表——aalbum2000rulepersource55ruledeny第七步：接下來(lái)將這個(gè)訪問(wèn)控制列表應(yīng)用到外網(wǎng)接口通過(guò)啟用NAT——inte0/4natoutbound2000第八步：最后添加路由信息，設(shè)置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或外網(wǎng)電信下一跳地址——iroute-static93(如圖2)執(zhí)行save命令保存退出后就可以在企業(yè)外網(wǎng)出口指定IP時(shí)實(shí)現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)以及安全保護(hù)功能了。5防火墻發(fā)展趨勢(shì)針對(duì)傳統(tǒng)防火墻不能解決的問(wèn)題，及新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也出現(xiàn)了新的發(fā)展趨勢(shì)。主要可以從包過(guò)濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來(lái)體現(xiàn)。5.1防火墻包過(guò)濾技術(shù)發(fā)展趨勢(shì)(1)安全策略功能一些防火墻廠商把在AAA系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無(wú)線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗(yàn)證的防火墻通常是采用應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)的，包過(guò)濾技術(shù)的防火墻不具有。用戶身份驗(yàn)證功能越強(qiáng)，它的安全級(jí)別越高，但它給網(wǎng)絡(luò)通信帶來(lái)的負(fù)面影響也越大，因?yàn)橛脩羯矸蒡?yàn)證需要時(shí)間，特別是加密型的用戶身份驗(yàn)證。(2)多級(jí)過(guò)濾技術(shù)所謂多級(jí)過(guò)濾技術(shù)，是指防火墻采用多級(jí)過(guò)濾措施，并輔以鑒別手段。在分組過(guò)濾(網(wǎng)絡(luò)層)一級(jí)，過(guò)濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級(jí)，遵循過(guò)濾規(guī)則，過(guò)濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供的所用通用服務(wù)。這是針對(duì)以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過(guò)濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過(guò)濾技術(shù)的不足。這種過(guò)濾技術(shù)在分層上非常清楚，每種過(guò)濾技術(shù)對(duì)應(yīng)于不同的網(wǎng)絡(luò)層，從這個(gè)概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來(lái)的防火墻技術(shù)發(fā)展打下基礎(chǔ)。(3)功能擴(kuò)展功能擴(kuò)展是指一種集成多種功能的設(shè)計(jì)趨勢(shì)，包括VPN、AAA、PKI、Eclipsed等附加功能，甚至防病毒、入侵檢測(cè)這樣的主流功能，都被集成到防火墻產(chǎn)品中了，很多時(shí)候我們已經(jīng)無(wú)法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個(gè)功能為主了，即其已經(jīng)逐漸向我們普遍稱之為IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。有些防火墻集成了防病毒功能，通常被稱之為“病毒防火墻”，當(dāng)然目前主要還是在個(gè)人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问?，更容易?shí)現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護(hù)功能的防火墻可以大大減少公司的損失。5.2防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)隨著網(wǎng)絡(luò)應(yīng)用的增加，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會(huì)越來(lái)越普遍，它要求數(shù)據(jù)穿過(guò)防火墻所帶來(lái)的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來(lái)，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性?；贏SIC的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時(shí)滿足來(lái)自靈活性和運(yùn)行性能的要求。5.3防火墻的系統(tǒng)管理發(fā)展趨勢(shì)(1)集中式管理，分布式和分層的安全結(jié)構(gòu)。(2)強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能。(3)網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化縱觀防火墻技術(shù)的發(fā)展，黑客入侵系統(tǒng)技術(shù)的不斷進(jìn)步以及網(wǎng)絡(luò)病毒朝智能化和多樣化發(fā)展，對(duì)防火墻技術(shù)的同步發(fā)展提出了更高的要求。防火墻技術(shù)只有不斷向主動(dòng)型和智能型等方向發(fā)展，才能更好的滿足人們對(duì)防火墻技術(shù)日益增長(zhǎng)的需求。結(jié)論隨著Internet和Intranet技術(shù)的發(fā)展,網(wǎng)絡(luò)的安全已經(jīng)顯得越來(lái)越重要,網(wǎng)絡(luò)病毒對(duì)企業(yè)造成的危害已經(jīng)相當(dāng)廣泛和嚴(yán)重,其中也會(huì)涉及到是否構(gòu)成犯罪行為的問(wèn)題，相應(yīng)的病毒防范技術(shù)也發(fā)展到了網(wǎng)絡(luò)層面,并且愈來(lái)愈有與黑客技術(shù)和漏洞相結(jié)合的趨勢(shì)。新型防火墻技術(shù)產(chǎn)生,就是為了解決來(lái)自企業(yè)網(wǎng)絡(luò)內(nèi)和外的攻擊;克服傳統(tǒng)“邊界防火墻”的缺點(diǎn),集成了IDS、VPN和防病毒等安全技術(shù),實(shí)現(xiàn)從網(wǎng)絡(luò)到服務(wù)器以及客戶端全方位的安全解決方案,滿足企業(yè)實(shí)際應(yīng)用和發(fā)展的安全要求。防火墻目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。本論文從防火墻方面解決網(wǎng)絡(luò)安全問(wèn)題，對(duì)網(wǎng)絡(luò)安全技術(shù)的有深刻的了解。致謝本文是在衛(wèi)老師的悉心指導(dǎo)卜完成的，從文獻(xiàn)的查閱、論文的選題、撰寫、修改、定稿，我的每一個(gè)進(jìn)步都和李老師的關(guān)注與指導(dǎo)密不可分。李老師在研究方向、資料的收集、論文的選題、研究工作作的開展以及論文的最終定稿，給子我巨大、無(wú)私的幫助。論文的字里行間無(wú)不凝結(jié)著老師的悉心指導(dǎo)和浮淳教海，老師淵博的學(xué)識(shí)和嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度給我留下了深刻的印象，我從他那里學(xué)到的不僅僅是專業(yè)知識(shí)，更重要的是嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度、對(duì)事業(yè)忘我的追求、高度的使命感、責(zé)任感及和藹熱情的品質(zhì)和做人的道理，這些將使我受益一生，并將激勵(lì)我不斷向前奮進(jìn)。參考文獻(xiàn)【1】王艷.淺析計(jì)算機(jī)安全[J].電腦知識(shí)與技術(shù).2010，(s):1054一1055.【2】艾軍.防火墻體系結(jié)構(gòu)及功能分析[J].電腦知識(shí)與技術(shù).2004，(s):79一82.【3】高峰.許南山.防火墻包過(guò)濾規(guī)則問(wèn)題的研究[M].計(jì)算機(jī)應(yīng)用.2003，23(6):311一312.【4】孟濤、楊磊.防火墻和安全審計(jì)[M].計(jì)算機(jī)安全.2004，(4):17一18.【5】鄭林.防火墻原理入門[Z].E企業(yè).2000.【6】魏利華.防火墻技術(shù)及其性能研究.能源研究與信息.2004，20(l):57一62【7】李劍，劉美華，曹元大.分布式防火墻系統(tǒng).安全與環(huán)境學(xué)報(bào).2002，2(l):59一61【8】王衛(wèi)平，陳文惠，朱衛(wèi)未.防火墻技術(shù)分析.信息安全與通信保密.2006，(8):24一27【9】A.Fieldsman,S.Ramakrishna.TradeoffsforPacketClassification.Proc.Ofthe9thAnnualJointConferenceoftheIEEEComputerandCommunalizationSobrieties.2000,vo1.3,1193-1202.【10】王永綱，石江濤，戴雪龍，顏天信.網(wǎng)絡(luò)包分類算法仿真測(cè)試與比較研究.中國(guó)科學(xué)技術(shù)大學(xué)學(xué)報(bào).2004，34(4):400一409【11】邵華鋼，楊明福.基于空間分解技術(shù)的多維數(shù)據(jù)包分類.計(jì)算機(jī)工程.2003，29(12):123一124【12】付歌，楊明福.一個(gè)快速的二維數(shù)據(jù)包分類算法.計(jì)算機(jī)工程.2004，30(6):76一78【13】付歌，楊明福，王興軍.基于空間分解的數(shù)據(jù)包分類技術(shù).計(jì)算機(jī)工程與應(yīng)用.2004(8):63一65【14】韓曉非，王學(xué)光，楊明福.位并行數(shù)據(jù)包分類算法研究.華東理工大學(xué)學(xué)報(bào).2003，29(5):504一508【15】韓曉非，楊明福，王學(xué)光.基于元組空間的位并行包分類算法.計(jì)算機(jī)工程與應(yīng)用.2003，(29):188一192【16】