【正文】 ring , flow controlling , such functions as the work intercepts . A other one is it control VPN , identity authentication , virtual bridge , work address change , offer perfect security establishment to visit, go on through highperformance work core function controlled to visit I is it is it realize to e further to determine. The system has adopted VB to manage interfaces , the systematic function strong in management , plicated through the ocular , apt to use interface. The interface hits culture pletely, it is simple and direct to operate , really make to measure. Thus reduced their attack of enterprises greatly In fact,the protection of multiter firewalls have beed the main ways Current online security. KEY WORDS: Firewall 、 NPacket state check、 Multitier firewall and VB. 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 V 引 言 防火墻的英文名為“ FireWall”，它是目前一種最重要的網(wǎng)絡(luò)防護設(shè)備。 它是 隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施的總稱。應(yīng)該說，在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以隔離風險區(qū)域 (即 Inter或有 一定風險的網(wǎng)絡(luò) )與安全區(qū)域 (局域網(wǎng) )的連接，同時不會妨礙人們對風險區(qū)域的訪問。防火墻可以監(jiān)控進出網(wǎng)絡(luò)的通信量，從而完成看似不可能的任務(wù)；僅讓安全、核準了的信息進入，同時又抵制對企業(yè)構(gòu)成威脅的數(shù)據(jù)。隨著安全性問題上的失誤和缺陷越來越普遍，對網(wǎng)絡(luò)的入侵不僅來自高超的攻擊手段，也有可能來自配置上的低級錯誤或不合適的口令選擇。因此，防火墻的作用是防止不希望的、未授權(quán)的通信進出被保護的網(wǎng)絡(luò)，迫使單位強化自己的網(wǎng)絡(luò)安全政策。事實上，在 Inter 上的 Web 網(wǎng)站中，超過三分之一的 Web網(wǎng)站都是由某種形式的防火墻加以保 護，這是對黑客防范最嚴，安全性較強的一種方式，任何關(guān)鍵性的服務(wù)器，都建議放在防火墻之后。 防火墻和家里的防盜門很相似，它們對普通人來說是一層安全防護，但是沒有任何一種防火墻能提供絕對的保護。這就是為什么許多公司建立多層防火墻的原因，當黑客闖過一層防火墻后他只能獲取一部分數(shù)據(jù)，其他的數(shù)據(jù)仍然被安全地保護在內(nèi)部防火墻之后。總之，防火墻是增加計算機網(wǎng)絡(luò)安全的手段之一，只要網(wǎng)絡(luò)應(yīng)用存在，防火墻就有其存在的價值。 隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和應(yīng)用的日漸普及，黑客工具不僅變得越來越先進，而且也越來越容易被一般人獲取和濫用。 黑客技術(shù)的提升和黑客工具的泛濫，造成大量的企業(yè)、機構(gòu)和個人的電腦系統(tǒng)遭受程度不同的入侵和攻擊，或面臨隨時被攻擊的危險。這就迫使大家不得不加強對自身電腦網(wǎng)絡(luò)系統(tǒng)的安全防護，甚至追求所謂徹底的、一勞永逸的、 100%的網(wǎng)絡(luò)安全解決方案。 但是 對攻防技術(shù)發(fā)展和網(wǎng)絡(luò)安全實踐的研究分析表明，單一的安全保護往往效果不理想，而最佳途徑就是采用多層安全防護措施對信息系統(tǒng)進行全方位的保護。 為了提高網(wǎng)絡(luò)的安全性，我們此次就來研究多層防火墻系統(tǒng)。 我們這里 闡釋的所謂 “ 多層次防護 ” ，就是應(yīng)用 和 實施一個基于 OSI 網(wǎng)絡(luò)參考模型的 多層次安全 系統(tǒng)的全面信息安全策略，在各個層次上部署相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品， 結(jié)合了不同的防火墻安全策略和技術(shù)，例如地址翻譯技術(shù)、數(shù)據(jù)包過濾技術(shù)、狀態(tài)檢測技術(shù)、電路級網(wǎng)關(guān)技術(shù)和應(yīng)用級網(wǎng)關(guān)技術(shù)，多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 VI 來創(chuàng)建一個比單一防護有效得多的綜合保護屏障， 增加攻擊者侵入所花費的時間、成本和所需要的資源，從而卓有成效地降低被攻擊的危險，達到安全防護的目標。 總的來說，我們所研究的多層防火墻系統(tǒng)功能強大，具有一些單一防火墻所不具有的功能，大大地提高的網(wǎng)絡(luò)的安全性。 事實上，多層次防護已經(jīng)成為當今網(wǎng)絡(luò)安全的主流策略。 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 7 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 8 第一章 防火墻技術(shù)的概論 Inter 的迅速發(fā)展給現(xiàn)代人的生產(chǎn)和生活都帶來了前所未有的飛躍，大大提高了工作效率，豐富了人們的生活，彌補了人們的精神空缺；而與此同時給人們帶來了一個日益嚴峻的問題―――網(wǎng)絡(luò)安全。網(wǎng)絡(luò)的安全性成為當今最熱門的話題之一，很多企業(yè)為了保障自身服務(wù)器或數(shù)據(jù)安全都采用了防火墻。隨著科技的發(fā)展，防火墻也逐漸被大眾所接受。下面我們一起來討論一下防火墻的概念，以及防火墻的功能，并且討論了每一種防火墻的特性及其發(fā)展 。 防火墻的 概念 防火墻的英文名為“ FireWall” ，它是目前一種最重要的網(wǎng)絡(luò)防護設(shè)備。 這里所說的防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施的總稱。在網(wǎng)絡(luò)中，所謂 “ 防火墻 ” ，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如 Inter)分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你 “ 同意 ” 的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你 “ 不同意 ” 的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。 設(shè)計防火墻的目的就是不要讓那些來自不受保護的網(wǎng)絡(luò)如因特網(wǎng)上的多余的未授權(quán)的信息進入專用網(wǎng)絡(luò)，如 LAN 或 WAN，而仍能允許本地網(wǎng)絡(luò)上的你以及其他用戶訪問因特網(wǎng)服務(wù)。圖 顯示了防火墻的基本目的。 應(yīng)該說，在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以隔圖 防火墻的基本功能 內(nèi)部局域網(wǎng) 防火墻網(wǎng)關(guān) 因特網(wǎng) 過濾器 過濾器 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 9 離風險區(qū)域 (即 Inter 或有一定風險的網(wǎng)絡(luò) )與安全區(qū)域 (局域網(wǎng) )的連接，同時不會妨礙人們對風險區(qū)域的訪問。防火墻可以監(jiān)控進出網(wǎng)絡(luò)的通信量，從而完成看似不可能的任務(wù)；僅讓安全、核準了的信息進入，同時又抵制對企業(yè)構(gòu)成威脅的數(shù)據(jù)。隨著安全性問題上的失誤和缺陷越來越普遍，對網(wǎng)絡(luò)的入侵不僅來自高超的攻擊手段，也有可能來自 配置上的低級錯誤或不合適的口令選擇。 一般的防火墻都可以達到以下目的： ① 是可以限制他人進入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶； ② 是防止入侵者接近你的防御設(shè)施； ③ 是限定用戶訪問特殊站點； ④ 是為監(jiān)視 Inter 安全提供方便。 防火墻和家里的防盜門很相似，它們對普通人來說是一層安全防護，但是沒有任何一種防火墻能提供絕對的保護。這就是為什么許多公司建立多層防火墻的原因，當黑客闖過一層防火墻后他只能獲取一部分數(shù)據(jù)，其他的數(shù)據(jù)仍然被安全地保護在內(nèi)部防火墻之后?？傊阑饓κ窃黾佑嬎銠C網(wǎng)絡(luò)安全的手段之一，只要網(wǎng)絡(luò)應(yīng)用存在，防火墻就有其存在的價值。 事實上，防火墻正在成為控制對網(wǎng)絡(luò)系統(tǒng)訪問的非常流行的方法。在Inter 上的 Web 網(wǎng)站中，超過三分之一的 Web 網(wǎng)站都是由某種形式的防火墻加以保護，這是對黑客防范最嚴，安全性較強的一種方式，任何關(guān)鍵性的服務(wù)器，都建議放在防火墻之后。 防火墻的 功能 ① 防火墻是網(wǎng)絡(luò)安全的屏障： 一個防火墻（作為阻塞點、控制點）能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻 可以禁止諸如眾所周知的不安全的 NFS 協(xié)議進出受保護網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如 IP 選項中的源路由攻擊和 ICMP 重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 10 攻擊的報文并通知防火墻管理員。 ② 防火墻可以強化網(wǎng)絡(luò)安全策略： 通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其 它的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上。 ③ 對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計 ： 如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。 防止內(nèi)部信息的 外泄：通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如 Finger， DNS等服務(wù)。 Finger 顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell 類型等。但是 Finger 顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程 度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的 DNS 信息，這樣一臺主機的域名和 IP地址就不會被外界所了解。 除了安全作用，防火墻還支持具有 Inter 服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系 VPN（虛擬專用網(wǎng)） 。 防火墻 的特性 網(wǎng)絡(luò)防火墻是一種用來加強網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)設(shè)備，它對兩個或多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 11 多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對其進行檢查，來決定網(wǎng)絡(luò)之間的通信是否被允許，其中被保護的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)或私有網(wǎng)絡(luò)，另一方則被稱為 外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。防火墻能有效得控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳輸，從而達到保護內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的。 一個好的防火墻系統(tǒng)應(yīng)具有以下五方面的特性： ① 有的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過防火墻； ② 只有被授權(quán)的合法數(shù)據(jù)及防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過防火墻； ③ 火墻本身不受各種攻擊的影響； ④ 使用目前新的信息安全技術(shù)，比如現(xiàn)代密碼技術(shù)等； ⑤ 人機界面良好，用戶配置使用方便，易管理。 防火墻技術(shù)的發(fā)展 隨著 Inter/Intra 技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問題必將愈來愈引起人們的重視。防火墻技術(shù)作為目前用來實現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，它主要是用來拒絕未經(jīng)授權(quán)用戶的訪問，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙的訪問網(wǎng)絡(luò)資源。如果使用得當，可以在很大程度上提高網(wǎng)絡(luò)安全。但是沒有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問題，比如防火墻雖然能對來自外部網(wǎng)絡(luò)的攻擊進行有效的保護，但對于來自網(wǎng)絡(luò)內(nèi)部的攻擊卻無能為力。事實上 60%以上的網(wǎng)絡(luò)安全問題來自網(wǎng)絡(luò)內(nèi)部。因此網(wǎng)絡(luò)安全單靠防火墻是不夠的，還需要有其它技術(shù)和非技 術(shù)因素的考慮，如信息加密技術(shù)、身份驗證技術(shù)、制定網(wǎng)絡(luò)法規(guī)、提高網(wǎng)絡(luò)管理人員的安全意識等等。 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 12 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 13 第二章 多層防火墻技術(shù)的研究背景 多層防火墻技術(shù)的研究背景 防火墻技術(shù)是一種安全防范措施，所謂網(wǎng)絡(luò)入侵和安全防范，實際上就是指網(wǎng)絡(luò)攻防技術(shù)。攻防技術(shù)的此消彼長始終是網(wǎng)絡(luò)安全領(lǐng)域前進的動力。攻擊技術(shù)包括目標網(wǎng)絡(luò)信息收集技術(shù)、目標網(wǎng)絡(luò)權(quán)限提升技術(shù)、目標網(wǎng)絡(luò)滲透技術(shù)、目標網(wǎng)絡(luò)摧毀技術(shù)四大類。 隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和應(yīng)用的日漸普及，黑客工具不僅變得越來越先進，而且也越來越容易被一般人獲取和 濫用。黑客技術(shù)的提升和黑客工具的泛濫，造成大量的企業(yè)、機構(gòu)和個人的電腦系統(tǒng)遭受程度不同的入侵和攻擊，或面臨隨時被攻擊的危險。這就迫使大家不得不加強對自身電腦網(wǎng)絡(luò)系統(tǒng)的安全防護，甚至追求所謂徹底的、一勞永逸的、 100%的網(wǎng)絡(luò)安全解決方案。 對于用戶而言，不管你是否已經(jīng)受到這些攻擊，不管這些攻擊是否會產(chǎn)生