防火墻技術(shù)在企業(yè)網(wǎng)中的網(wǎng)絡安全研究

PAGEI防火墻技術(shù)在企業(yè)網(wǎng)中的網(wǎng)絡安全摘要通過互聯(lián)網(wǎng)傳播的不良信息正在不斷更新，網(wǎng)絡在帶給人們自由開放的同時，也帶來不可忽視的安全風險。信息時代的到來在給人們帶來巨大便利的同時，也存在各種各樣的安全隱患與漏洞。防火墻技術(shù)的發(fā)展為企業(yè)網(wǎng)絡安全管理提供了很好的途徑。本文首先介紹了課題的研究目的及意義、國內(nèi)外研究現(xiàn)狀，然后通過對防火墻工作原理、工作模式、組成結(jié)構(gòu)進行了簡單的介紹。然后詳細分析了防火墻的安全性和可靠性，主要包括支持平臺、抗攻擊性、防火墻自身的安全、完整的安全檢查、防火墻的可擴展性、防火墻的可升級，并分析了網(wǎng)絡常見攻擊方法，主要包括SQL注入、網(wǎng)絡釣魚、分布式拒絕服務、Rootkit，最后，分析了防火墻技術(shù)在計算機網(wǎng)絡安全管理過程中的應用，包括防火墻復合技術(shù)的應用、代理服務器技術(shù)在防火墻中的應用、過濾技術(shù)在防火墻中的應用。關鍵詞：信息技術(shù)；防火墻；性能

AbstractWiththeincreasingpopularityandcomplexityofnetworkapplications,theemergenceofnetworksecurityincidents,thetrendofcomputervirusnetworkisbecomingmoreandmoreobvious,spamisbecomingincreasinglyrampant,hackerattacksaregrowingexponentially,andthemeansofdisseminatingharmfulinformationthroughtheInternetareincreasinglyrenovated.Whilethenetworkbringspeoplefreedomandopenness,italsobringssecurityrisksthatcannotbeignored.Thearrivaloftheinformationagebringsgreatconveniencetopeople,butatthesametime,therearealsovarioussecurityrisksandloopholes.Thedevelopmentoffirewalltechnologyprovidesagoodwayforenterprisenetworksecuritymanagement.Firstly,thispaperintroducestheresearchpurposeandsignificanceofthesubject,theresearchstatusathomeandabroad,andthenbrieflyintroducestheworkingprinciple,workingmodeandcompositionstructureofthefirewall.Thenthesecurityandreliabilityofthefirewallareanalyzedindetail,includingsupportingplatform,anti-attack,firewall'sownsecurity,completesecuritycheck,firewall'sexpansibility,firewall'supgrade,andcommonnetworkattackmethodsareanalyzed,includingSQLinjection,phishing,distributeddenialofservice,Rootkit.Finally,thecomputernetworksecurityisanalyzed.Theapplicationoffirewalltechnologyinthemanagementprocessmainlyincludestheapplicationoffirewallcompositetechnology,theapplicationofproxyservertechnologyinfirewall,andtheapplicationoffilteringtechnologyinfirewall.Keywords:informationtechnology;firewall;performance

目錄摘要 IAbstract II1緒論 11.1研究目的及意義 11.2國內(nèi)外研究現(xiàn)狀 12防火墻概述 32.1防火墻工作原理 32.2防火墻的體系結(jié)構(gòu)和組成形式 52.2.1屏蔽路由器 52.2.2雙穴主機網(wǎng)關 52.2.3被屏蔽主機網(wǎng)關 52.2.4被屏蔽子網(wǎng) 62.3防火墻的功能 72.3.1確定所需的防火墻類型 72.3.2包過濾防火墻 72.3.3應用代理 82.3.4安全管理 83防火墻的安全性和可靠性分析 93.1支持平臺 103.2抗攻擊性 103.3防火墻自身的安全 113.4完整的安全檢查 113.5防火墻的可擴展性 113.6防火墻的可升級 124網(wǎng)絡常見攻擊方法 124.1SQL注入 124.2網(wǎng)絡釣魚 124.3分布式拒絕服務 134.4Rootkit 135計算機網(wǎng)絡安全管理過程中防火墻技術(shù)的應用 143.1防火墻復合技術(shù)的應用 143.2防火墻中代理服務器技術(shù)的應用 143.3防火墻中包過濾技術(shù)的應用 143.4未來計算機網(wǎng)絡安全防火墻技術(shù)的發(fā)展趨勢 15結(jié)語 16參考文獻 16致謝 18PAGE151緒論1.1研究目的及意義網(wǎng)絡安全是一個人們普遍關注的話題。我們能夠設想，幾十年后的社會將進入一個全新的網(wǎng)絡時代，信息時代。因此，網(wǎng)絡安全的重要性更加突出。另一方面，當前的互聯(lián)網(wǎng)正遭受著諸多的威脅和攻擊，存在著諸多的不安全因素。例如，黑客攻擊、密碼泄露等。甚至可以說，目前還不存在絕對安全的網(wǎng)絡。因此，掌握更多的網(wǎng)絡安全技術(shù)是非常重要的。防火墻是網(wǎng)絡安全的重要保證。防火墻在網(wǎng)絡安全防護中起著不可替代的作用。最新一代的防火墻技術(shù)有了很大的改進，如加密與防病毒、NAT技術(shù)、多端口、安全審計等。這些功能使得防火墻發(fā)揮了更加重要的作用。然而，網(wǎng)絡的不斷進步也導致更為多樣化的網(wǎng)絡威脅和網(wǎng)絡攻擊方式。網(wǎng)絡威脅包括，人為和自然兩個方面。自然因素例如意外事故和自然災害；人為因素包括使用不當和安全意識差等。網(wǎng)絡威脅主要包括主動行為，如黑客入侵，非法訪問等；被動行為如泄密，信息丟失，協(xié)議缺陷等。因此，本文對現(xiàn)代防火墻技術(shù)及應用進行分析，對網(wǎng)絡安全有一定的意義。1.2國內(nèi)外研究現(xiàn)狀隨著我國信息化建設步伐的不斷加快，計算機網(wǎng)絡技術(shù)在各行各業(yè)的應用日趨廣泛。病毒感染風險長期存在；保密信息傳輸?shù)陌踩院涂煽啃圆桓?。網(wǎng)絡；來自網(wǎng)絡外部和內(nèi)部攻擊的潛在威脅。。如果不能很好地解決計算機網(wǎng)絡中存在的這些安全隱患，不僅會造成泄密，還會對網(wǎng)絡造成攻擊。如何解決計算機網(wǎng)絡中的安全問題，防止惡意入侵者對內(nèi)部網(wǎng)絡的破壞，已經(jīng)受到了越來越多的關注。當前，防火墻技術(shù)已成為世界各國作為捍衛(wèi)網(wǎng)絡安全的主要保障手段。隨著Internet技術(shù)的發(fā)展，防火墻的分類和功能也在不斷細化，但總的來說，從原理上可以分為以下兩大類：包過濾型和應用代理型。包過濾是防火墻最基本的功能。它根據(jù)報文頭中的一些符號字段，如地址、協(xié)議、端口等，對數(shù)據(jù)包進行過濾。應用代理防火墻是在防火墻上運行的一種特殊應用，其特點是完全“阻塞”。網(wǎng)絡通信流可以通過為每個應用服務編寫一個專用的代理程序來監(jiān)控應用層通信流。它也被稱為“代理服務”或“應用層網(wǎng)關”。目前，我國大多數(shù)計算機系統(tǒng)采用基于windows平臺的包過濾防火墻，邏輯簡單，價格低廉，安裝使用方便，具有良好的網(wǎng)絡性能和透明性。它通常安裝在路由器上。因此在原有網(wǎng)絡上增加這樣的防火墻幾乎不需要任何額外的費用，對系統(tǒng)的安全保護起到一定作用。但是，評定安全等級的更客觀的方法是跟蹤一個特定的套裝軟件發(fā)布的修復漏洞的補丁數(shù)量。當與Linux進行對比的時候，這種衡量方法表明Windows似乎安全漏洞更多。像這種獨立的政府機構(gòu)發(fā)布的報告是最值得考慮的。Linux的開源軟件開發(fā)方式有助于更容易地暴露錯誤。最近幾年無線技術(shù)的迅猛發(fā)展，加速了網(wǎng)絡邊界從人們視線中消失的速度。而通訊協(xié)議和網(wǎng)絡應用的發(fā)展在引領人們跨越交流壁障的同時，也為各種安全威脅提供了“機會”。目前威脅主流系統(tǒng)的安全漏洞已經(jīng)數(shù)以千計。即使在一個小型的局域網(wǎng)當中，也難于對每個可能發(fā)生安全問題地地方進行監(jiān)控，而在浩瀚的互聯(lián)網(wǎng)世界，更是有無以計數(shù)的危險。

2防火墻概述2.1防火墻工作原理目前市面上的防火墻都會具備三種不同的工作模式，透明模式、NAT模式和路由模式。透明模式時，防火墻過濾通過防火墻的封包，而不會修改數(shù)據(jù)包包頭中的任何源或目的地信息。所有接口運行起來都像是同一網(wǎng)絡中的一部分。此時防火墻的作用更像是Layer2（第2層）交換機或橋接器。在透明模式下，接口的IP地址被設置為，防火墻對于用戶來說是可視或“透明”的。在“網(wǎng)絡地址轉(zhuǎn)換（NAT）”模式下，防火墻的作用類似于第3層（第3層）交換機（或路由器）。它轉(zhuǎn)換綁定到外部網(wǎng)段的IP數(shù)據(jù)包頭中的兩個組件：其源IP地址和源端口號。防火墻用目的地區(qū)段接口的IP地址替換發(fā)送封包的主機的源IP地址。另外，它用另一個防火墻生成的任意端口號替換源端口號。路由模式時，防火墻在不同區(qū)段間轉(zhuǎn)發(fā)信息流時不執(zhí)行NAT；即，當信息流穿過防火墻時，IP封包包頭中的源地址和端口號保持不變。與NAT不同，不需要為了允許入站會話到達主機而建立路由模式接口的映射和虛擬IP地址。與透明模式不同，內(nèi)網(wǎng)區(qū)段中的接口和外網(wǎng)區(qū)段中的接口在不同的子網(wǎng)中。（1）包過濾防火墻包過濾防火墻一般在路由器上實現(xiàn)，用以過濾用戶定義的內(nèi)容，如IP地址。包過濾防火墻的工作原理是：系統(tǒng)在網(wǎng)絡層檢查數(shù)據(jù)包，與應用層無關。這樣系統(tǒng)就具有很好的傳輸性能，可擴展能力強。圖2.1包過濾防火墻工作原理圖（2）應用網(wǎng)關防火墻應用網(wǎng)關防火墻檢查所有應用層的信息包，并將檢查的內(nèi)容信息放入決策過程，從而提高網(wǎng)絡的安全性。然而，應用網(wǎng)關防火墻是通過打破客戶機／服務器模式實現(xiàn)的。每個客戶機／服務器通信需要兩個連接：一個是從客戶端到防火墻，另一個是從防火墻到服務器。此外，每個代理都需要一個不同的應用程序進程或在后臺運行的服務程序。對于每個新應用程序，必須為此應用程序添加一個服務程序，否則無法使用該服務。所以，應用網(wǎng)關防火墻具有可伸縮性差的缺點。圖2.2應用網(wǎng)關防火墻工作原理圖（3）狀態(tài)檢測防火墻狀態(tài)檢測防火墻基本上保持了簡單包過濾防火墻的優(yōu)點，性能良好，對應用透明。在此基礎上，安全性大大提高。這種防火墻摒棄了簡單的包過濾防火墻只檢測網(wǎng)絡內(nèi)外的數(shù)據(jù)包而不關心數(shù)據(jù)包狀態(tài)的缺點。它在防火墻的核心部分建立狀態(tài)連接表，維護連接，并將來自網(wǎng)絡的數(shù)據(jù)作為一個接一個的事件處理?？梢哉f，狀態(tài)檢測包過濾防火墻規(guī)范了網(wǎng)絡層和傳輸層的行為，而應用代理防火墻規(guī)范了特定應用協(xié)議的行為。圖2.3狀態(tài)檢測防火墻工作原理圖2.2防火墻的體系結(jié)構(gòu)和組成形式2.2.1屏蔽路由器屏蔽路由器是防火墻最基本的構(gòu)件。它可以由廠家專門生產(chǎn)的路由器實現(xiàn)，也可以用主機來實現(xiàn)。屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報文都必須在此通過檢查。路由器上可以裝基于IP層的報文過濾軟件，實現(xiàn)報文過濾功能。許多路由器本身帶有報文過濾配置選項，但一般比較簡單。2.2.2雙穴主機網(wǎng)關雙穴主機網(wǎng)關優(yōu)于屏蔽路由器的地方是：堡壘主機的系統(tǒng)軟件可用于維護系統(tǒng)日志、硬件拷貝日志或遠程日志。這對于日后的檢查很有用。但這不能幫助網(wǎng)絡管理者確認內(nèi)網(wǎng)中哪些主機可能已被黑客入侵。圖2.4雙穴主機網(wǎng)關配置雙穴主機網(wǎng)關的一個致命弱點是：一旦入侵者侵入堡壘主機并使其只具有路由功能，則任何網(wǎng)上用戶均可以隨便訪問內(nèi)網(wǎng)。2.2.3被屏蔽主機網(wǎng)關屏蔽主機網(wǎng)關易于實現(xiàn)也很安全，因此應用廣泛。例如，包過濾路由器連接到外部網(wǎng)絡，而堡壘主機安裝在內(nèi)部網(wǎng)絡上。通常在路由器上設置過濾規(guī)則，只有堡壘主機可以直接從外部網(wǎng)絡訪問，保證了內(nèi)部網(wǎng)絡不被未經(jīng)授權(quán)的外部用戶攻擊。圖2.5屏蔽主機網(wǎng)關如果受保護網(wǎng)是一個虛擬擴展的本地網(wǎng)，即沒有子網(wǎng)和路由器，那么內(nèi)網(wǎng)的變化不影響堡壘主機和屏蔽路由器的配置。危險帶限制在堡壘主機和屏蔽路由器。網(wǎng)關的基本控制策略由安裝在上面的軟件決定。如果攻擊者設法登錄到它上面，內(nèi)網(wǎng)中的其余主機就會受到很大威脅。這與雙穴主機網(wǎng)關受攻擊時的情形差不多。2.2.4被屏蔽子網(wǎng)該方法在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間建立一個隔離子網(wǎng)，由兩個包過濾路由器將內(nèi)部網(wǎng)絡和外部網(wǎng)絡分開。在很多實現(xiàn)中，兩個分組過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個“非軍事區(qū)”DMZ。有的屏蔽子網(wǎng)中還設有一堡壘主機作為唯一可訪問點，支持終端交互或作為應用網(wǎng)關代理。這種配置的危險帶僅包括堡壘主機、子網(wǎng)主機及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。建造防火墻時，一般很少采用單一的技術(shù)，通常是多種解決不同問題的技術(shù)的組合。這種組合主要取決于網(wǎng)管中心向用戶提供什么樣的服務，以及網(wǎng)管中心能接受什么等級風險。采用哪種技術(shù)主要取決于經(jīng)費，投資的大小或技術(shù)人員的技術(shù)、時間等因素。一般有以下幾種形式：（1）使用多堡壘主機；（2）合并內(nèi)部路由器與外部路由器；（3）合并堡壘主機與外部路由器；（4）合并堡壘主機與內(nèi)部路由器；（5）使用多臺內(nèi)部路由器；（6）使用多臺外部路由器；（7）使用多個周邊網(wǎng)絡；（8）使用雙重宿主主機與屏蔽子網(wǎng)。2.3防火墻的功能2.3.1確定所需的防火墻類型防火墻的設計策略應遵循安全防范的基本原則——“除非明確允許，否則就禁止”；防火墻本身支持安全策略，而不是添加上去的；如果組織機構(gòu)的安全策略發(fā)生改變，可以加入新的服務；有先進的認證手段或有掛鉤程序，可以安裝先進的認證方法；如果需要，可以運用過濾技術(shù)允許和禁止服務；可以使用FTP和Telnet等服務代理，以便先進的認證手段可以被安裝和運行在防火墻上；它具有友好易編程的ip過濾語言，可以根據(jù)包的性質(zhì)對包進行過濾。數(shù)據(jù)包的屬性包括目標和源IP地址、協(xié)議類型、源和目標TCP/UDP端口、TCP數(shù)據(jù)包的ACK位、出站和入站網(wǎng)絡接口等。如果用戶需要NNTP（網(wǎng)絡消息傳輸協(xié)議）、XWindow、HTTP和Gopher等服務，防火墻應包含相應的代理服務程序。防火墻還應具有郵件集中功能，減少SMTP服務器與外部服務器的直接連接，并能集中處理整個站點的郵件。防火墻應允許公眾訪問站點，并將信息服務器與其他內(nèi)部服務器分開。2.3.2包過濾防火墻也就是說，防火墻是一種用于兩個網(wǎng)絡之間的訪問控制的設備。防火墻系統(tǒng)的目標是從受保護的網(wǎng)絡外部對網(wǎng)絡安全構(gòu)成威脅。通過檢測、限制和改變防火墻上的數(shù)據(jù)流，可以盡可能地實現(xiàn)對外部網(wǎng)絡的安全保護。包過濾技術(shù)是防火墻最基本的實現(xiàn)技術(shù)。采用包過濾技術(shù)的設備控制數(shù)據(jù)進出內(nèi)外網(wǎng)。包過濾技術(shù)主要基于tcp/ip協(xié)議平臺。根據(jù)數(shù)據(jù)報的源地址和目的地址檢查數(shù)據(jù)流的每個包。TCP和IP的端口號以及TCP的其他狀態(tài)決定了是否允許數(shù)據(jù)包通過。包過濾是一種內(nèi)置于Linux內(nèi)核路由功能之上的防火墻類型，其防火墻工作在網(wǎng)絡層。包過濾器操作的基本過程下面做個簡單的敘述：（1）包過濾規(guī)則必須被包過濾設備端口存儲起來。（2）當包到達端口時，對包報頭進行語法分析。大多數(shù)包過濾設備只檢查IP、TCP、或UDP報頭中的字段。（3）包過濾規(guī)則以特殊的方式存儲。應用于包的規(guī)則的順序與包過濾器規(guī)則存儲順序必須相同。（4）若一條規(guī)則阻止包傳輸或接收，則此包便不被允許。（5）若一條規(guī)則允許包傳輸或接收，則此包便可以被繼續(xù)處理。（6）若包不滿足任何一條規(guī)則，則此包便被阻塞。包過濾是通過查看包的源地址、目標地址或端口來實現(xiàn)的。一般來說，它不維護連接前后的連接信息，過濾決策是基于當前包的內(nèi)容。管理員可以做一個可接受機和服務的列表，以及一個不可接受機和服務的列表。在主機和網(wǎng)絡一級，利用數(shù)據(jù)包過濾很容易實現(xiàn)允許或禁止訪問。2.3.3應用代理從代理技術(shù)上講，一般具有一下兩種代理：傳統(tǒng)代理和透明代理。代理防火墻和包過濾防火墻的本質(zhì)區(qū)別在于，從客戶端到代理服務器和從代理服務器到客戶端是兩個完全獨立的進程。它間接地將客戶機請求傳輸?shù)椒掌?，并與目標服務器建立單獨的連接。它不處理或轉(zhuǎn)發(fā)數(shù)據(jù)包。它用詞。throttle接收連接，解析并驗證連接中使用的協(xié)議元素的內(nèi)容，并在安全策略允許時與服務器建立連接，以便可以詳細分析數(shù)據(jù)包的內(nèi)容。就透明代理而言，透明代理和傳統(tǒng)代理一樣，可以比包過濾（如ftp包的端口命令）更深入地檢查數(shù)據(jù)信息。它也是一個非常快速的代理，可以物理地分離連接，提供更復雜的協(xié)議要求，例如具有動態(tài)端口分配的h.323，或者具有不同命令端口和數(shù)據(jù)端口的連接。這種通信不能通過包過濾來完成。防火墻使用透明代理技術(shù)。這些代理服務對用戶也是透明的。用戶可以在不知道防火墻存在的情況下在內(nèi)部和外部網(wǎng)絡之間進行通信。2.3.4安全管理用戶要使用一個安全的防火墻系統(tǒng)，就需要實行一套安全的防火墻策略，所以安全管理是選購時需要關注的重點環(huán)節(jié)。由于防火墻往往扮演的是為企業(yè)及組織網(wǎng)絡安全把關的第一道防線，在考慮防火墻的安全管理時不可不慎。關于防火墻的實作建議：徹底防御（Defenseindepth）－防火墻過濾規(guī)則盡可能使用多個限制規(guī)則取代單一限制條件。最少信息（Minimalinformation）－勿將跟企業(yè)組織或網(wǎng)絡上定有關的信息暴露出來。KISS（KeepItShortandSimple）－復雜的配置設定容易造成錯誤并因此導致安全的漏洞，因此，讓firewall的設定及配置盡可能的簡單化。防火墻系統(tǒng)只能控制有經(jīng)過防火墻的網(wǎng)絡聯(lián)機，因此，防火墻應該必須為連上Internet的唯一網(wǎng)關（gateway）。防火墻硬件的安全配置建議：獨立的防火墻管理控制臺-目前，許多工廠品牌的防火墻系統(tǒng)提供了通過另一個平臺遠程管理防火墻的能力。今后，如果需要增加防火墻，也可以集中管理防火墻。防火墻實體放置地區(qū)－建議應當將firewall放置于安全環(huán)境的實體位置，也就是一天24小時有專人操作控管的環(huán)境。防火墻配置建議：身分確認及認證（IdentificationandAuthentication）使用支持對于認證信息加密的任證機制來限制使用者使用存取Internet的服務。配置firewall成可以顯示某標題以便提醒使用者在存取服務之前必須先對firewall作他們身份的確認。例如：ThissystemisforXXCompanyauthorizeduseronly."“Unauthorizedusersmaybeprosecuted.”機密性（Confidentiality）－強烈建議任何對于firewall的遠程管理都必須透過加密的管道。完整性（Integrity）－為維護系統(tǒng)的完整性，安裝firewall機器的操作系統(tǒng)必須針對安全設定作進一步的強化安全性處理?？捎眯裕ˋvailability）—在完成firewall系統(tǒng)的安裝及測試之后，建立一份完整的系統(tǒng)備份并將它存放在安全的地方。

3防火墻的安全性和可靠性分析在網(wǎng)絡安全方面最具有代表性的技術(shù)就是數(shù)據(jù)加密、容錯技術(shù)、端口保護、認證系統(tǒng)和防火墻技術(shù)。其中，防火墻技術(shù)是近年來提出并推廣的一項網(wǎng)絡安全技術(shù)。為了保證內(nèi)部網(wǎng)絡和系統(tǒng)的安全，企業(yè)和組織構(gòu)建了不同層次的信息安全解決方案。防火墻是企業(yè)和組織在構(gòu)建安全控制解決方案時最常用的安全控制機制。根據(jù)可靠的統(tǒng)計數(shù)據(jù)顯示，幾乎有90%甚至以上的企業(yè)組織均有建置防火墻。3.1支持平臺為了更有效，防火墻必須和應用程序以及需要保護的網(wǎng)絡環(huán)境完全契合。應用防火墻有很多種，但是主要分為兩類：硬件和軟件。硬件防火運行在專一的應用程序上，通常有一個為防火墻的功能特別設計的堅固的操作系統(tǒng)。軟件防火墻是在多用途的計算機上安裝的，這種計算機為了網(wǎng)絡邊界等處的受信任的區(qū)域之間，或者在在個體防火墻的情況下，位于桌面計算機上。特定目的的硬件應用程序通常性能更好，但是在安裝和配置上更復雜。如果你選擇軟件防火墻解決方案，確保它是運行在你們的IT部門熟悉的平臺上，這樣就不需要另外的培訓和支持問題了。軟件解決方案通常比硬件解決方案更靈活，但是你需要確定運行防火墻的操作系統(tǒng)定期地打補丁和維護。3.2抗攻擊性在當前的網(wǎng)絡攻擊中，拒絕服務攻擊是最常用的方法。雅虎等網(wǎng)站遭受拒絕服務攻擊，但也有很多攻擊，稱為分布式拒絕服務攻擊。拒絕服務攻擊可分為兩類：一類是由于操作系統(tǒng)或應用軟件本身的設計或編程缺陷造成的。拒絕服務攻擊有很多種，只有通過修補才能解決。另一種是由于協(xié)議本身的缺陷造成的，只有少數(shù)缺陷會造成巨大的危害，如synflooding。如果使用了iis真正的安全性，不能在防火墻上安裝命中檢測，否則合法消息可能被視為攻擊。防火墻可以做的是處理第二種攻擊，如syn-flooding，它可以限制服務器接收連接請求的速度、最大半連接數(shù)和最大已建立連接數(shù)。在測試防火墻防攻擊能力時，我們要求防火墻允許內(nèi)外網(wǎng)相互訪問，允許ping。每種攻擊設置5個session，在100%壓力下發(fā)攻擊包，同時測試防火墻能否建立50000個HTTP連接（稱之為背景流），連接速率也為500請求/秒。攻擊由外網(wǎng)向內(nèi)網(wǎng)發(fā)起，背景流為外網(wǎng)向內(nèi)網(wǎng)建立HTTP請求。測試SynFlood、Smurf、Land-based、PingSweep、PingFlood5種攻擊時，共發(fā)送1000個攻擊包；在測試PingofDeath攻擊時5個session發(fā)送5個超長包，每個超長包分成45個攻擊包，共225個攻擊包；測試TearDrop攻擊時5個session共發(fā)送5個攻擊，每個攻擊由3段組成，一共發(fā)送15個攻擊包。我們使用NAI的snifferpro4.70來捕獲智能比特6000b的攻擊端口，在過濾掉廣播包、ARP包等非攻擊包后，通過防火墻獲取攻擊包。3.3防火墻自身的安全大部分防火墻都安裝在一般的操作系統(tǒng)上，如Unix、NT系統(tǒng)等。在防火墻主機上執(zhí)行的除了防火墻軟件外，所有的程序、系統(tǒng)核心，也大多來自于操作系統(tǒng)本身的原有程序。當防火墻主機上所執(zhí)行的軟件出現(xiàn)安全漏洞時，防火墻本身也將受到威脅。這時，任何防火墻控制機制都可能失敗，因為當黑客獲得防火墻的控制權(quán)時，黑客幾乎可以隨心所欲地修改防火墻上的訪問規(guī)則，然后入侵更多的系統(tǒng)。因此，防火墻本身應該具有相當高的安全保護。3.4完整的安全檢查防火墻可以限制唯有合法的使用者才能進行連接，但是否存在利用合法掩護非法的情形仍需依靠管理者來發(fā)現(xiàn)。3.5防火墻的可擴展性軟件防火墻通常安裝在windows平臺上，易于實現(xiàn)，但同時，windows自身的漏洞和不穩(wěn)定性也給軟件防火墻帶來了安全性和穩(wěn)定性。雖然Microsoft也在努力的彌補這些問題，Windows2003server本身的漏洞就比前期的WindowsNT少了很多，但與Linux比起來還是漏洞倍出。在病毒侵害方面，從linux發(fā)展到如今，Linux幾乎不感染病毒。而作為Windows平臺下的病毒我們就不必多說了，只要是使用過電腦的人都有感受。像近幾個月以來在內(nèi)網(wǎng)中廣泛傳播的ARP欺騙病毒，造成了內(nèi)網(wǎng)不穩(wěn)定、網(wǎng)絡時斷時序、經(jīng)常掉線，無法開展正常的工作，使得很多的網(wǎng)絡管理人員束手無策。3.6防火墻的可升級用戶的網(wǎng)絡不是一成不變的?，F(xiàn)在可能需要在公司的內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間進行過濾。隨著業(yè)務的發(fā)展，公司內(nèi)部可能存在不同安全級別的子網(wǎng)。此時，有必要在這些子網(wǎng)之間進行過濾。目前市場上的防火墻一般都有三個網(wǎng)絡接口，分別連接到外網(wǎng)、內(nèi)網(wǎng)和ssn。購買時，必須清楚是否可以添加網(wǎng)絡接口。由于有些防火墻設計支持三個接口，無法擴展，而且類似于殺毒產(chǎn)品，隨著網(wǎng)絡技術(shù)的發(fā)展和黑客的攻擊。分區(qū)變更時，防火墻也必須不斷升級，此時支持軟件升級更為重要。如果不支持軟件升級，為了抵御新的攻擊手段，必須進行硬件上的更換，在更換期間你的網(wǎng)絡是不設防的。以上就是防火墻的采購方法，選購防火墻時，如能做到以上幾點，防火墻的選購就不會成為難題了。4網(wǎng)絡常見攻擊方法從過去的密碼破解到SQL注入、網(wǎng)絡釣魚、跨站攻擊、溢出漏洞、拒絕服務攻擊和社會工程，網(wǎng)絡攻擊的應用越來越困難。網(wǎng)絡變得十分脆弱，一方面因為威脅變得越來越復雜，另一方面因為實施這些威脅所需要的知識越來越簡單。4.1SQL注入攻擊者可以通過互聯(lián)網(wǎng)，構(gòu)造一個精妙的SQL語句注入到DBMS中，從而獲取訪問權(quán)限。SQL注入手法相當靈活，能夠根據(jù)不同的情況進行具體的構(gòu)造。通常，幾乎所有的防火墻對通過Internet訪問的數(shù)據(jù)庫請求都無法發(fā)出及時的警報，所有SQL注入具有極高的隱蔽性。4.2網(wǎng)絡釣魚所謂網(wǎng)絡釣魚攻擊通常采用大量發(fā)送垃圾電子郵件的形式，誘騙收到郵件的用戶發(fā)送自己相關的金融帳號和密碼，已經(jīng)身份證號碼等其他個人信息，繼而盜取現(xiàn)金。蒙騙方法通常很簡單，例如注冊來模仿等，粗心的用戶會忽視這樣的拼寫錯誤。在中國工商銀行hotspot.jsp頁面上，也可以通過對column函數(shù)進行修改直接偽造頁面。4.3分布式拒絕服務DDOS攻擊很簡單，即用大量的主機來訪問網(wǎng)絡中的某一臺機器，導致其性能下降影響正常的服務。DDOS是一種簡單的攻擊工具，當某些IDC機房服務器被攻破后，將其作為DDOS攻擊源，后果將不堪設想。同時，對于DDOS攻擊，如何找出源地址，也是一個非常困難的事情。由于DDOS非常容易實施，并且成功率非常高，所有在安全事件中，這類攻擊增長非常迅猛。在我國的部分ISP統(tǒng)計數(shù)據(jù)中顯示，有些攻擊就來自IDC機房，例如不同的網(wǎng)絡游戲服務商之間的競爭等。而且在過去幾年較為重大的幾起安全時間中，幾乎都是由DDOS攻擊引起。4.4Rootkit由于網(wǎng)絡安全產(chǎn)品正在變得越來越強大，攻擊者不得不增加賭注。2006年Rootkit技術(shù)開始被廣泛地應用，而且由不斷增長的趨勢。Rootkit其實是一種功能更強大的軟件工具集，能夠讓網(wǎng)絡管理員訪問一臺計算機或者一個網(wǎng)絡。一旦安裝了Rootkit，攻擊者就可以把自己隱藏起來，在用戶計算機安裝間諜軟件和其他監(jiān)視敲擊鍵盤以及修改記錄文件的軟件。雖然微軟發(fā)布的win7能夠減少某些Rootkit的應用，但是Rootkit還是2007年黑客普遍使用的技術(shù)。用戶模式Rootkit策略目前以及非常普遍，內(nèi)核模式Rootkit的使用也在增長。

5計算機網(wǎng)絡安全管理過程中防火墻技術(shù)的應用5.1防火墻復合技術(shù)的應用對于防火墻復合技術(shù)，該技術(shù)的優(yōu)勢主要體現(xiàn)在對整個計算機網(wǎng)絡的全面保護上，可以在很大程度上彌補現(xiàn)有計算機網(wǎng)絡防火墻設備的隱患，從而有助于防火墻技術(shù)的發(fā)展。防火墻技術(shù)。GY逐漸形成了較為系統(tǒng)的保護模式，并與傳統(tǒng)保護相結(jié)合。包過濾技術(shù)和網(wǎng)絡代理技術(shù)的優(yōu)勢，從根本上幫助計算機用戶制定及時的應對措施，確保計算機用戶在受到威脅時的信息和數(shù)據(jù)安全。例如，在實際應用中，當計算機網(wǎng)絡受到攻擊時，計算機認證機制、動態(tài)過濾系統(tǒng)、智能感應系統(tǒng)等可以及時進行預警或隔離處理，從而提高計算機網(wǎng)絡安全性能。禮儀。為了提高防火墻的實際應用效率，采用了TY型防火裝置。5.2防火墻中代理服務器技術(shù)的應用目前，代理服務器技術(shù)屬于防火墻技術(shù)的應用項目之一。在這一環(huán)節(jié)中，代理服務設備為整個計算機網(wǎng)絡的映射提供信息互連服務，并代替真實的計算機網(wǎng)絡與外部網(wǎng)絡進行交互。例如，當計算機發(fā)送相關信息和數(shù)據(jù)時，它將在所發(fā)送的數(shù)據(jù)中攜帶相應的地址信息。一旦信息被不法分子跟蹤、竊取和解析，很容易給其計算機造成嚴重的安全漏洞，進而引發(fā)木馬和病毒攻擊。為了解決這一問題，計算機用戶在使用代理服務器設備后，可以根據(jù)自己的實際需要對計算機的地址ip進行隱藏和虛擬操作，從而避免外部ip用戶獲取真實的地址信息，提高計算機intranet的安全性能。同時，代理服務器的傳輸功能可以更加規(guī)范地控制計算機信息的交換、傳輸?shù)拳h(huán)節(jié)，從而從根本上實現(xiàn)對計算機網(wǎng)絡信息安全的管理。5.3防火墻中包過濾技術(shù)的應用計算機網(wǎng)絡安全防火墻技術(shù)中的包過濾技術(shù)是目前所有防火墻技術(shù)中最智能的智能保護技術(shù)之一。該技術(shù)可以根據(jù)計算機管理人員的預設和對信息傳輸和操作的判斷和篩選，防止或隔離可能造成安全漏洞和隱患的信息和操作，從而保證信息和數(shù)據(jù)的安全。例如，在計算機網(wǎng)絡防火墻的實際應用中，包過濾技術(shù)可以自動獲取信息傳輸源的地址IP，并對IP的源和數(shù)據(jù)流進行深入分析，比較數(shù)據(jù)傳輸?shù)陌踩院涂煽啃?，從而達到提高網(wǎng)絡安全性和可靠性的目的。達到安全可靠的目的。是否會對電腦造成一定的安全隱患。因此，計算機安全問題的出現(xiàn)可以從源頭上得到遏制。5.4未來計算機網(wǎng)絡安全防火墻技術(shù)的發(fā)展趨勢防火墻技術(shù)是一種比較全面的網(wǎng)絡應用技術(shù)，旨在凈化人們生產(chǎn)生活中網(wǎng)絡應用的安全水平，在加強計算機控制的同時，防止內(nèi)部信息和數(shù)據(jù)被不法分子竊取在網(wǎng)絡之間。計算機網(wǎng)絡安全防火墻的發(fā)展與創(chuàng)新已成為我國計算機發(fā)展的必然趨勢。隨著計算機網(wǎng)絡研究的不斷深入，計算機網(wǎng)絡安全防火墻技術(shù)將繼續(xù)朝著更高速、更實用、更安全、更智能的方向發(fā)展。

結(jié)語通過以上的綜合介紹防火墻的工作原理、工作模式，分類和結(jié)構(gòu)做了簡單的分析，讓我們對防火墻有了初步的了解。再深入學習防火墻的功能和性能，這也是防火墻比較難理解的地方，對用戶來說防火墻的功能和性能是至關重要的。還有一點就是防火墻的安全管理平臺，這也是用戶最關心的問題之一。防火墻針對的僅僅是內(nèi)外訪問外網(wǎng)和外網(wǎng)對內(nèi)外的訪問上安全的策略。但是當網(wǎng)絡的內(nèi)外主機出現(xiàn)中毒，內(nèi)網(wǎng)網(wǎng)絡安全出現(xiàn)問題是，這時防火墻是無法解決問題的。一個安全網(wǎng)絡不僅要在出口上下功夫，部隊還需要在內(nèi)外安裝IPS,IDS等內(nèi)外安全設備，來補缺防火墻的局限性。參考文獻[1]Anonymous.TufinTechnologies:Tufindeliversfirst-to-marketfunctionalitywithnewautomaticpolicyGenerator（APG），DramaticallySimplifyingFirewallPolicyCreationAndOptimization;Inno