【正文】 非常明顯的：其工作在應用層以 DLL 的形式存在，編程、測試方便；跨 Windows 平臺，可以直接在 Windows98/ME/NT/2020/XP 上通用， Windows95 只需安裝上Winsock 2 for 95，也可以正常運行；效率高，由于工作在應用層， CPU 占用率低；封包還沒有按照低層協(xié)議進行切片，所以比較完整。雙宿主機用兩個網(wǎng)絡適配器分別連接兩個網(wǎng)絡，又稱堡壘主機。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。 通常在路由器上設立過濾規(guī)則，并使這個單宿堡壘主機成為從 Inter 惟一可以訪問的主機， 確保了內(nèi)部網(wǎng)絡不受未被授權(quán)的外部用戶的攻擊。 屏蔽子網(wǎng)（ Screened Sub） 這種方法是在 Intra 和 Inter 之間建立一個被隔離的子網(wǎng)，用兩個包過濾路由器將這一子網(wǎng)分別與 Intra 和 Inter 分開。 這種結(jié)構(gòu)的防火墻安全性能高，具有很強的抗攻擊能力，但需要的設備多，造價高。該計算機至少有 2 個網(wǎng)絡接口，位于因特網(wǎng)與內(nèi)部網(wǎng)之間，并被連接到因特網(wǎng)和內(nèi)部網(wǎng)。但這種體系結(jié)構(gòu)中用戶訪問因特網(wǎng)的速度會較慢，也會中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術(shù)在網(wǎng)絡安全中的應用 第 12 頁 因為雙重宿主主機的被侵襲而失效。這里它位于內(nèi)部網(wǎng)上，數(shù)據(jù)包過濾規(guī)則設置它為因特網(wǎng)上唯一能連接到內(nèi)部網(wǎng)絡上的主機系統(tǒng)。 這種體系結(jié)構(gòu)通過數(shù)據(jù)包過濾來提供安全，而保衛(wèi)路由器比保衛(wèi)主機較易實現(xiàn)，因為它提供了非常有限的服務組，因此這種體系結(jié)構(gòu)提供了比雙重宿主主機體系結(jié)構(gòu)更好的安全性和可用性。這種體系結(jié)構(gòu)有 2 個屏蔽路由器，每 1 個都連接到周邊網(wǎng)。因此這種結(jié)構(gòu)沒有損害內(nèi)部網(wǎng)絡的單一易受侵襲點。窮舉針對來自外部網(wǎng)絡的攻擊，來猜測防火墻管理的口令字。 策略：打開防火墻上的過濾功能，在內(nèi)網(wǎng)主機上采取相應阻止措施。軟件防火墻需運行在一臺標準的主機設備上，依托網(wǎng)絡在操作系統(tǒng)上實現(xiàn)防火墻的各種功能，因此也稱“個人”防火墻，其功能有限，基本上能滿足單個用戶。國外廠家基本上是將軟件運算硬件化，將主要運算程序做成芯片，以減少 CPU 的運算壓力；國內(nèi)廠家的防火墻硬件平臺仍使用通用 PC 系統(tǒng)，增加了內(nèi)存容量，增大了 CPU 的頻率。 結(jié)構(gòu)透明 防火墻的透明性是指防火墻對于用戶是透明的。 （ 2）使用 FTP、 Tel、 News 等服務代理，以提供高水平的審計和潛在的安全性。但一個安全的網(wǎng)絡仍必須靠使用者的觀察與改進，企業(yè)要達到真正的安全仍需內(nèi)部的網(wǎng)絡管理者不斷記錄、追蹤、改進，定期對防火墻和相應操作系統(tǒng)用補丁程序進行升級。 第一代防火墻產(chǎn)品的不足之處 中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術(shù)在網(wǎng)絡安全中的應用 第 16 頁 具體表現(xiàn)為： 1) 路由協(xié)議十分靈活，本身具有安全漏洞，外部網(wǎng)絡要探尋內(nèi)部網(wǎng)絡十分容易。作用端口的有效性和規(guī)則集的正確性，一般的網(wǎng)絡系統(tǒng)管理員難于勝任，加之一旦出現(xiàn)新的協(xié)議，管理員就得加上更多的規(guī)則去限制，這往往會帶來很多錯誤。 可以說基于路由器的防火墻技術(shù)只是網(wǎng)絡安全的一種應急措施，用這種權(quán)宜之計去對付黑客的攻擊是十分危險的。 建立在通用操作系統(tǒng)上的防火墻 基于軟件的防火墻在銷售、使用和維護上的問題迫使防火墻開發(fā)商 很快推出了建立在通用操 作系統(tǒng)上的商用防火墻產(chǎn)品。 操 作系統(tǒng)上的防火墻 的缺點 1)作為基礎的操作系統(tǒng)及其內(nèi)核往往不為 防火墻管理者所知，由于源碼的保密，其安全性 無從保證； 2)由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商，通用操作系統(tǒng)廠商不會對操作系統(tǒng)的 安全性負責； 3)從本質(zhì)上看，第三代防火墻既要防止來自外部網(wǎng)絡的攻擊，還要防止來中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術(shù)在網(wǎng)絡安全中的應用 第 18 頁 自操作系統(tǒng)廠商 的攻擊； 4)在功能上包括了分組過濾、應用網(wǎng)關(guān)、電路級網(wǎng)關(guān)且具有加密鑒別功能； 5)透明性好，易于使用。第四代防火墻利用了透明的代理系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固有的安全風險和出錯概率。在分組過濾一級，能過濾掉所有的源路由分組和假冒 IP 地址；在應用級網(wǎng)關(guān)一級，能利用 FTP、 SMTP 等各種網(wǎng)關(guān)，控制和監(jiān)測 Inter 提供的所有通用服務；在電路網(wǎng)關(guān)一級，實現(xiàn)內(nèi)部主機與外部站點的透明連接 ，并對服務的通行實行嚴格控制。 在域名服務方面，第四代防火墻采用兩種獨立的域名服務器：一種是內(nèi)部DNS 服務器，主要處理內(nèi)部網(wǎng)絡和 DNS 信息；另一種是外部 DNS 服務器，專門用于處理機構(gòu)內(nèi)部向 Inter 提供的部分 DNS 信息 。 SMTP 與 POP 郵件服務器要對所有進、出防火墻的郵件做處理，并利用郵件映射與標頭剝除的方法隱除內(nèi)部的郵 件環(huán)境。 SSN 方法提供的安全性要比傳統(tǒng)的 “隔離區(qū) (DMZ)”方法好得多，因為 SSN與外部網(wǎng)之間有防火墻保護， SSN 與風部網(wǎng)之間也有防火墻的保護，而 DMZ只是一種在內(nèi)、外部網(wǎng)絡網(wǎng)關(guān)之間存在的一種防火墻方式。 9) 用戶定制服 務 為了滿足特定用戶的特定需求，第四代防火墻在提供眾多服務的同時，還為用戶定制提供支持，這類選項有：通用 TCP、出站 UDP、 FTP、 SMTP 等，如果某一用戶需要建立一個數(shù)據(jù)庫的代理，便可以利用這些支持，方便設置。 第四代防火墻的抗攻擊能力 作為一種安全防護設備，防火墻在網(wǎng)絡中自然是眾多攻擊者的目標，故抗攻擊能力也是防火墻的必備功能。 2 抗特洛伊木馬攻擊 特洛伊木馬能將病毒或破壞性程序傳入計算機網(wǎng)絡，且通常是將這些惡意程序隱蔽在正常的程序之中，尤其是熱門程序或游戲，一些用戶下載并執(zhí)行這中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術(shù)在網(wǎng)絡安全中的應用 第 21 頁 一程序，其中的病毒便會發(fā)作。 3 抗口令字探尋攻擊 在網(wǎng)絡中探尋口令的方法很多，最常見的是口令嗅探和口令解密。 4 抗網(wǎng)絡安全性分析 網(wǎng)絡安全性分析工具是提供管理人員分析網(wǎng)絡安全性之用的，一旦這類工具用作攻 擊網(wǎng)絡的手段，則能夠比較方便地探測到內(nèi)部網(wǎng)絡的安全缺陷和弱點所在。 10 防火墻的發(fā)展趨勢 優(yōu)良的性能 新一代的防火墻系統(tǒng)不僅應該能夠更好地保護防火墻后面內(nèi)部網(wǎng)絡的安全，而且應該具有更為優(yōu)良的整體性能。現(xiàn)在大多數(shù)的防火墻產(chǎn)品都支持 NAT 功能，它可以讓防火墻受保護的 一邊的 IP 地址不至于暴露在沒有保護的另一邊，但是啟用 NAT 后勢必會對防火墻系統(tǒng)的性能有所影響。選擇哪種防火墻，除了應考慮它的基本性能之外，毫無疑問，還應考慮用戶的實際需求與未來網(wǎng)絡的升級。防火墻產(chǎn)品配置和管理的難易程度是防火墻能否達到目的的主要考慮因素之一。 NT 防火墻 市場的發(fā)展證明了這種趨勢。例如，許多防火墻具有內(nèi)置病毒和內(nèi)容掃描功能或允許用戶與病毒與內(nèi)容掃描程序進行集成。在拒絕服務攻擊中，攻擊者試圖使企業(yè) Inter 服務飽和或使與它連接的系統(tǒng)崩潰，使 Inter無法供企業(yè)使用。像 SYN 泛濫這類更復雜的拒絕服務攻擊需要廠商部署更先進的檢測和避免方案來對付。下面諸點可能是下一步的走向和選擇： 1)防火墻將從目前對子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠程上網(wǎng)集中管理的方式發(fā)展。 5)對網(wǎng)絡攻擊的檢測和各種告警將成為防火墻的重要功能。我們通過網(wǎng)絡獲得信息，共享資源。 幾乎所有接觸網(wǎng)絡的人都知道網(wǎng)絡中有一些費盡心機闖入他人計算機系統(tǒng)的人，他們利用各種網(wǎng)絡和系統(tǒng)的漏洞，非法獲得未授權(quán)的訪問信息。甚至部分程序不需要人為的參與，非常智能化的掃描和破壞整個網(wǎng)絡。 校園 網(wǎng)安全現(xiàn)狀分析 中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術(shù)在網(wǎng)絡安全中的應用 第 25 頁 隨著網(wǎng)絡的高速發(fā)展，網(wǎng)絡的安全問題日益突出，近兩年間，黑客攻擊、網(wǎng)絡病毒等等已經(jīng)屢屢曝光，國家相關(guān)部門也一再三令五申要求切實做好網(wǎng)絡安全建設和管理工作。 物理層安全風險 網(wǎng)絡的物理安全是整個教育網(wǎng)網(wǎng)絡系 統(tǒng)安全的前提。 網(wǎng)絡層安全風險 網(wǎng)絡結(jié)構(gòu)的安全涉及到網(wǎng)絡拓撲結(jié)構(gòu)、網(wǎng)絡路由狀況及網(wǎng)絡的環(huán)境中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術(shù)在網(wǎng)絡安全中的應用 第 26 頁 等，除此之外還包括網(wǎng)絡設備，如交換機、路由器本身是否存在安全隱患或錯誤的配置。應用的安全性也涉及到信息的安全性，它包括很多方面，如應用廣泛的電子郵件服務、 WWW 服務、 DNS 服務等等。 教育網(wǎng)安全需求 隨著對教育信息化的投入，針對學校的特殊情況，網(wǎng)絡建設好 以后將會面臨一系列的問題： ? 學校連接 Inter，如何避免外界入侵？如何保證校園網(wǎng)正常運行？ ? 對于 各大高 校來說每個學院都有自己的機房，自己的實驗網(wǎng)，加之學校的學生對什么都比較好奇，網(wǎng)絡上黑客工具泛濫，如何將網(wǎng)絡攻擊隔離在一個很小的范圍內(nèi)？ ? 如何檢測網(wǎng)絡上的攻擊，又如何將攻擊阻斷？ ? 如何在一個攻擊還沒有形成就發(fā)現(xiàn)系統(tǒng)存在的漏洞，盡量將事后轉(zhuǎn)化到事前解決？ 中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術(shù)在網(wǎng)絡安全中的應用 第 27 頁 ? 學校計算機數(shù)目比較多，這樣就對整個網(wǎng)絡的管理造成了不便。神州數(shù)碼防火墻 可以在網(wǎng)絡層、傳輸層和應用層上進行數(shù)據(jù)的安全保護和過濾。這樣就不需要管理人員一臺一臺去檢查計算機的 IP 了。另外還支持帶寬借用功能，在主應用帶寬有富余的時候其他應用可以借用它的帶寬，這樣使得整個學校有限的帶寬得到了合理的使用。在 防火墻 中還有針對 HTTP、 FTP 的命令級控制，可以針對對象組進行命令的限制，這樣保證了合法訪問的不安全命令。 ? 防火墻主要是針對非法訪問攻擊進行限制防御，而 IDS（入侵監(jiān)測系統(tǒng)）則針對合法訪問形成的攻擊進行檢測，并通過防火墻進行限制，所以對于一個安全的網(wǎng)絡 IDS 也是必不可少的。 校園網(wǎng) 防火墻配置方案， 如下圖所示： 121 校園 網(wǎng) 安全解決方案 防病毒 (IDS/IPS) 由于在網(wǎng)絡環(huán)境下，計算機病毒有不可估量的威脅性和破壞力，因此計算機病毒的防范是網(wǎng)絡安全性建設中重要的一環(huán)。 中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術(shù)在網(wǎng)絡安全中的應用 第 30 頁 ? 消毒技術(shù)：它通過對計算機病毒的分析，開發(fā)出具有刪除病毒程序并恢復原文件的軟件。支持對網(wǎng)絡、服務器和工作站的實時病毒監(jiān)控；能夠在中心控制臺向多個目標分發(fā)新版殺毒軟件，并監(jiān)視多個目標的病毒防治情況；支持多種平臺的 病毒防范；能夠識別廣泛的已知和未知病毒，包括宏病毒；支持對 Inter/Intra 服務器的病毒防治，能 夠 阻止惡意的 Java 或 Active X 小程序的破壞；支持對電子郵件附件的病毒防治，包括 WORD、 EXCEL 中的宏病毒；支持對壓縮文件的病毒檢測；支持廣泛的病毒處理選項，如對染毒文件進行實時殺毒，移出，刪除，重新命名等；支持病毒隔離，當客戶機試圖上載一個染毒文件時，服務器可自動關(guān)閉對該工作站的連接；提供對病毒特征信息和檢測引擎的定期在線更新服務；支持日志記錄功能；支持多種方式的告警功能（聲音、圖象、 EMAIL 等）等。能夠從多層次進行病毒防范，第一層工作站、第二層服務器、第三層網(wǎng)關(guān)都能有相應的防毒軟件提供完整的、全面的防病毒保護。 在應用系統(tǒng)安全上，主要考慮通信的授權(quán) ，傳輸?shù)募用芎蛯徲嬘涗?。對于操作系統(tǒng)的安全防范可以 采取如下策略：網(wǎng)絡上的服務器和網(wǎng)絡設備絕對不能采取同一家的產(chǎn)品 ；系統(tǒng)內(nèi)部調(diào)用不對 Inter 公開 ；關(guān)鍵性信息不直接公開。 防病毒客戶端安裝在系統(tǒng)的關(guān)鍵主機中，如關(guān)鍵服務器、工作站和網(wǎng)管終端。 在教育網(wǎng)網(wǎng)絡系統(tǒng)中，所選的防毒軟件應該構(gòu)造全網(wǎng)統(tǒng)一的防病毒體系。這類技術(shù)有，加密可執(zhí)行程序、引導區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制（如防病毒卡等）。而 IDS 是旁路監(jiān)聽設備，它放置在需要保護的網(wǎng)絡之中，當網(wǎng)絡內(nèi)部有攻擊出現(xiàn)時它將信息交給防火墻，防火墻對這些攻擊進行控制或隔離。 ? 由于防火墻采用專用操作系統(tǒng)，而且源代碼不為大眾所知，所以有很好的安全性。而且防火墻 都可以將日志定向到日志服務器上，將網(wǎng)絡訪問的細節(jié)記錄下來。網(wǎng)管人員只要將常見的不良信息站點添加到過濾規(guī)則中或者添入關(guān)鍵字即可屏蔽掉這些不良站點。如果在校園網(wǎng)出口防止 防火墻則可以防止Inter 或者本校之外的用戶攻擊校園網(wǎng)，如果在學院與校園網(wǎng)接口處放置防火墻則可以將本學院與校園網(wǎng)隔離，防止處本院以外的其他攻擊，還可以按照訪問規(guī)則將本院內(nèi)部的攻擊限定在本學院內(nèi)部，以免影中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術(shù)在網(wǎng)絡安全中的應用 第 28 頁 響其他學院。如何實現(xiàn)這一功能 呢？對訪問如何進行控制，如何進行記錄呢？ 校園 網(wǎng)安全解決方案 防火墻 防火墻主要用于對網(wǎng)絡和系統(tǒng)的保護，它是通過允許或禁止數(shù)據(jù)包經(jīng)過網(wǎng)絡的不同層來實現(xiàn)的，而網(wǎng)絡本身是一個層次結(jié)構(gòu)，因此安全問題也是分層次的。責權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安