【正文】 阻塞所有的信息 ,ACL 表記載的是允許規(guī)則 ,對數(shù)據(jù)包的阻擋能力相對較大 ,所以安全性相對較強。因此這種策略對數(shù)據(jù)包的阻擋能力相對較小 ,所以安全性相對較弱。防火墻既可以是硬件 ,也可以是軟件 ,還可以是運行特定防火墻軟件的主機系統(tǒng)。網(wǎng)絡越大，這種較高程度的安全性就越難管理。公司和高校一般通過安裝防火墻來保護網(wǎng)絡安全,利用防火墻技術(shù),經(jīng)過仔細、正確地配置,通常能夠在公司內(nèi)、外部網(wǎng)之間提供安全的網(wǎng)絡保護,降低網(wǎng)絡安全風險。一般來說,保護網(wǎng)絡安全的主要技術(shù)有防火墻技術(shù)、加密技術(shù)、入侵檢測技術(shù)、身份認證技術(shù)等。這也成為網(wǎng)絡的不安全因素之一。其賴以生存的TCP/IP協(xié)議族在設計理念上更多的是考慮該網(wǎng)絡不會因局部故障而影響信息的傳輸，基本沒有考慮安全問題，故缺乏應有的安全機制。那么，影響網(wǎng)絡安全的主要因素有哪些呢？從技術(shù)的角度歸納起來，主要有以下幾點：黑客的攻擊 黑客技術(shù)不再是一種高深莫測的技術(shù)，并逐漸被越來越多的人掌握。在全球平均每二十秒就發(fā)生一次網(wǎng)上入侵事件。雖然一切便利都源于互聯(lián)網(wǎng)，但是一切安全隱患也來自互聯(lián)網(wǎng)。（3）課程設計論文裝訂按學校的統(tǒng)一要求完成。三、課程設計(論文) 地點: 創(chuàng)新大樓405室網(wǎng)絡工程實驗室 四、課程設計(論文)內(nèi)容要求：1．本課程設計的目的通過課程設計，達到： （1）深入了解計算機網(wǎng)絡的相關(guān)技術(shù)；（2）鞏固相關(guān)的理論知識；（3）培養(yǎng)學生分析、解決問題的能力；（4）提高學生的科技論文寫作能力。 2．課程設計的任務及要求1）基本要求：（1）熟悉計算機網(wǎng)絡環(huán)境，掌握計算機網(wǎng)絡的基本操作；（2）掌握計算機網(wǎng)絡的主要技術(shù)；（3）掌握計算機網(wǎng)絡的基本原理掌握；2）創(chuàng)新要求： 在基本要求達到后，可進行創(chuàng)新設計。4）課程設計評分標準： （1）考勤與學習態(tài)度：20分 （2）工作量飽滿評價：10分 （3）綜合應用能力評價：20分 （4）回答問題：20分； （6）論文撰寫：30分。互聯(lián)網(wǎng)設計之初，只考慮到相互的兼容和互通，并沒有考慮到隨之而來的一系列安全問題，伴隨互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)絡安全問題越來越嚴峻。1998年起，一連串的網(wǎng)絡非法入侵改變了中國網(wǎng)絡安全犯罪“一片空白”的歷史。目前，世界上有20多萬個免費的黑客網(wǎng)站，這些站點從系統(tǒng)漏洞入手，介紹網(wǎng)絡攻擊的方法和各種攻擊軟件的使用，這樣，系統(tǒng)和站點遭受攻擊的可能性就變大了。因此它在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷，從而構(gòu)成了對網(wǎng)絡安全的重要隱患。正因為如此，針對以上的各種不安全因素，防火墻——作為信息安全的門戶，就應運而生了。通過這些技術(shù)的綜合使用,能夠有效地解決網(wǎng)絡所面臨的安全威脅 。從一定意義上講，防火墻實際上就是一種被動式防御的訪問控制技術(shù)。二 防火墻簡介　　防火墻技術(shù)是以現(xiàn)代通信網(wǎng)絡技術(shù)和信息安全技術(shù)為基礎的網(wǎng)絡安全技術(shù)。防火墻有兩種對立的安全策略:(1) 允許沒有特別拒絕的事情。但是內(nèi)部網(wǎng)絡用戶與外界通信所受的約束較小 ,自由度相對較大。但是內(nèi)部網(wǎng)絡用戶與外界通信所受的約束較前一種策略大 ,自由度相對較小。這種防火墻通常安裝在路由器上 ,其優(yōu)點是邏輯簡單、價格便宜、易于安裝和使用 ,網(wǎng)絡性能和透明性好 ,但它缺乏用戶日志(log) 和審計信息(audit),缺乏用戶認證機制 ,不具備登錄和報告性能 ,不能進行審核管理 ,且過濾規(guī)則的完備性難以得到檢驗 ,復雜過濾規(guī)則的管理很困難 ,因此安全性較差。由于該技術(shù)工作于應用層 ,因此具有高層應用數(shù)據(jù)或協(xié)議的理解能力。一個代理服務器上實際是一個為特定網(wǎng)絡應用而連接兩個網(wǎng)絡的網(wǎng)關(guān)。（4）混合型防火墻(Hybrid Firewall)混合型防火墻把過濾和代理服務等功能結(jié)合起來 ,形成新的防火墻 ,所用主機稱為堡壘主機 ,負責代理服務。包過濾防火墻的工作原理是：系統(tǒng)在網(wǎng)絡層檢查數(shù)據(jù)包，與應用層無關(guān)。然而，應用網(wǎng)關(guān)防火墻是通過打破客戶機／服務器模式實現(xiàn)的。（圖2）圖2：應用網(wǎng)關(guān)防火墻工作原理圖狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點，性能比較好，同時對應用是透明的，在此基礎上，對于安全性有了大幅提升。常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡流量里的攻擊，在網(wǎng)絡界面對應用層掃描，把防病毒、內(nèi)容過濾與防火墻結(jié)合起來，這體現(xiàn)了網(wǎng)絡與信息安全的新思路。狀態(tài)檢測防火墻：不檢查數(shù)據(jù)區(qū)，建立連接狀態(tài)表，前后報文相關(guān)，應用層控制很弱。這個術(shù)語是非常常見的。吞吐量是指在不丟包的情況下單位時間內(nèi)通過防火墻的數(shù)據(jù)包數(shù)量。防火墻對每個連接的處理也好耗費資源，因此最大連接數(shù)成為考驗防火墻這方面能力的指標。SSL協(xié)議位于TCP/IP協(xié)議與各種應用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。在防火墻上實現(xiàn)NAT后，可以隱藏受保護網(wǎng)絡的內(nèi)部拓撲結(jié)構(gòu)，在一定程度上提高網(wǎng)絡的安全性。包過濾技術(shù)是一種簡單、有效的安全控制技術(shù)，它通過在網(wǎng)絡間相互連接的設備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規(guī)則，對通過設備的數(shù)據(jù)包進行檢查，限制數(shù)據(jù)包進出內(nèi)部網(wǎng)絡。對新建的應用連接，狀態(tài)檢測檢查預先設置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相關(guān)信息，生成狀態(tài)表。正所謂“沒有絕對的安全 ,只有絕對的不安全”防火墻因其本身采取的安全策略而不可避免的局限性:由于防火墻是基于“允許”或“限制”數(shù)據(jù)流通 ,它的通信性能與其安全性之間是一對矛盾 ,要提其高安全性勢必降低防火墻的性能,反之,提高它的性能就一定會降低防火墻的安全性。無法防止繞過防火墻的攻擊。另外 ,如果允許從受保護的網(wǎng)絡內(nèi)部向外撥號 ,一些用戶就可能形成與 Internet 的直接連接,如果這些訪問中存在著非法連接和入侵訪問 ,防火墻對此無能為力。三 防火墻在校園網(wǎng)中的應用在網(wǎng)絡信息技術(shù)高度發(fā)展的今天，隨著校園網(wǎng)絡內(nèi)部和外部互聯(lián)網(wǎng)應用環(huán)境的日趨復雜，學校對網(wǎng)絡安全的重視程度也早已今非昔比。4) 部分人員網(wǎng)上炒股、聊天、在線游戲，甚至經(jīng)常瀏覽黃色、法輪功站點。各單位內(nèi)部形成局域網(wǎng)并接入校園網(wǎng)骨干網(wǎng)絡，通過校園網(wǎng)接入教育網(wǎng)和Internet，滿足教學、資料檢索、辦公自動化等要求。為下兩層提供優(yōu)化的數(shù)據(jù)輸運功能，它是一個高速的交換骨干。匯聚層在匯聚層節(jié)點部署1000M或100M以太網(wǎng)交換機作為部門交換機。本層也可以提供進一步的調(diào)整，如訪問列表過濾等。2) 防火墻應能抵抗網(wǎng)絡黑客的攻擊 ,并可對網(wǎng)絡通信進行監(jiān)控和審計。即隱藏內(nèi)部網(wǎng)站的地址和網(wǎng)絡的拓撲結(jié)構(gòu)。在實現(xiàn)過程中 ,網(wǎng)絡安全的第一條策略是拒絕一切未許可的服務 ,防火墻封鎖所有的信息流 ,逐一完成每一項許可的服務。一般以處理 IP 數(shù)據(jù)包包頭信息為基礎 ,包括過濾規(guī)則序號、過濾方式、源和目的端口號及協(xié)議類型等。代理服務器接受外部網(wǎng)絡節(jié)點提出的服務請求 ,如果服務請求被接受 ,代理服務器再建立與實服務器的連接。功能分散減少了實現(xiàn)的難度 ,增加了可靠程度。管理工作要根據(jù)網(wǎng)絡拓撲結(jié)構(gòu)的改變或安全策略的變化對防火墻進行硬件和軟件的修改和升級。傳統(tǒng)的防火墻設置在網(wǎng)絡邊界，在內(nèi)部校園網(wǎng)和外部互聯(lián)網(wǎng)之間構(gòu)成一個屏障，進行網(wǎng)絡存取控制，稱為邊界防火墻。為此網(wǎng)絡安全專家們提出了一種新興的防火墻技術(shù)———分布式防火墻，它不僅能夠保留邊界防火墻的所有優(yōu)點，而且又能克服前面所說的那些缺點。駐留主機是這類防火墻的重要特征。網(wǎng)絡防火墻：它部署于內(nèi)部網(wǎng)與外部網(wǎng)之間以及內(nèi)網(wǎng)與子網(wǎng)之間。對于廣義分布式防火墻來說，每個防火墻作為安全監(jiān)測機制的組成部分，必須根據(jù)不同的安全要求被布置在網(wǎng)絡中任何需要的位置上，對廣義分布式防火墻的管理必須是統(tǒng)一進行的，中心管理是分布式防火墻系統(tǒng)的核心和重要特征之一。（1）策略語言：策略語言有很多種，如Keynote就是一通用的策略語言。 和IKE等協(xié)議，分別對IP頭和整個IP包進行認證，并且實現(xiàn)密鑰交換等功能，可以防止各類主動攻擊，特別是來自因特網(wǎng)上的攻擊。對于傳統(tǒng)的邊界防火墻,所有內(nèi)部主機在某種意義上是平等的,也就是說如果其中的一臺被侵入,攻擊者很容易地就能以此為基點發(fā)起對其它內(nèi)部主機的攻擊。在沒有上下文的情況下, 防火墻是很難將攻擊包從合法的數(shù)據(jù)包中區(qū)分出來的, 因而也就無法實施過濾。雖然目前也有這方面的研究并提出了一些相應的解決方案,如自適應防火墻技術(shù),但是從網(wǎng)絡性能角度來說,自適應防火墻只不過是一種在網(wǎng)絡性能和網(wǎng)絡安全之間尋求平衡的方案。系統(tǒng)的擴展性 其實分布式防火墻最重要的優(yōu)勢在于,它能夠保護物理拓撲上不屬于內(nèi)部網(wǎng)絡、但位于邏輯上的“內(nèi)部”網(wǎng)絡的那些主機,這種需求隨著VPN的發(fā)展越來越多。4．防火墻產(chǎn)品選型對信息安全產(chǎn)生威脅的原因歸納起來有兩點: ①外部原因,如黑客的侵襲。在安全性方面,考慮三個方面:與Internet 連接的安全性、校園網(wǎng)絡的安全性、安全認證。堡壘主機位于周邊網(wǎng)絡上 ,周邊網(wǎng)絡和內(nèi)部網(wǎng)絡被內(nèi)部路由器分開。堡壘主機與分組過濾路由組合成較強功能的防火墻(如圖 6) 。 圖61．防火墻網(wǎng)絡管理第一步：和客戶溝通了解客戶的網(wǎng)絡狀況，包括客戶端數(shù)量、服務器數(shù)量和種類、網(wǎng)絡骨干交換設備、網(wǎng)絡邊界設備、網(wǎng)絡接入情況等等。第七步：防火墻策略配置時是遵循第一匹配原則的，就是在前面的策略先執(zhí)行，范圍大的對象包含范圍小的對象，這一點是最容易犯的錯誤。 策略管理系統(tǒng)結(jié)構(gòu)策略控制對象完成策略分發(fā)和策略生 存期管理。 受防護主機基于域的管理 當策略應用到非域成員——主機防火墻和網(wǎng)絡防火墻時，策略轉(zhuǎn)變成防火墻具體執(zhí)行的規(guī)則，如果策略中的規(guī)則的 主體或客體是域，則必須通過檢索域成員數(shù)據(jù)庫，明確與此防火墻相關(guān)的規(guī)則，然后實例化。 子域?qū)Ω赣虿呗缘拇朔N應用方式是分布式防火墻策略管理系統(tǒng)中