【正文】 firewall, vulnerability scanning, intrusion detection and antivirus risk assessment is necessary. Firewall as a more mature current network security technologies, their safety directly related to the user39。防火墻技術作為時下比較成熟的一種網絡安全技術，其安全性直接關系到用戶的切身利益。圖表整潔，布局合理，文字注釋必須使用工程字書寫，不準用徒手畫3）畢業(yè)論文須用A4單面打印，論文50頁以上的雙面打印4）圖表應繪制于無格子的頁面上5）軟件工程類課題應有程序清單，并提供電子文檔1）設計（論文）2）附件：按照任務書、開題報告、外文譯文、譯文原文（復印件）次序裝訂3）其它摘要因特網的迅猛發(fā)展給人們的生活帶來了極大的方便，但同時因特網也面臨著空前的威脅。 作者簽名： 日期： 畢業(yè)論文（設計）授權使用說明本論文（設計）作者完全了解**學院有關保留、使用畢業(yè)論文（設計）的規(guī)定，學校有權保留論文（設計）并向相關部門送交論文（設計）的電子版和紙質版。畢業(yè)論文題目：防火墻技術畢業(yè)論文（設計）原創(chuàng)性聲明本人所呈交的畢業(yè)論文（設計）是我在導師的指導下進行的研究工作及取得的研究成果。有權將論文（設計）用于非贏利目的的少量復制并允許論文（設計）進入學校圖書館被查閱。 作者簽名： 指導教師簽名： 日期： 日期： 注 意 事 項（論文）的內容包括：1）封面（按教務處制定的標準封面格式制作）2）原創(chuàng)性聲明3）中文摘要（300字左右）、關鍵詞4）外文摘要、關鍵詞 5）目次頁（附件不統(tǒng)一編入）6）論文主體部分：引言（或緒論）、正文、結論7）參考文獻8）致謝9）附錄（對論文支持必要時）：理工類設計（論文）正文字數不少于1萬字（不包括圖紙、程序清單等）。因此，如何使用有效可行的方法使網絡危險降到人們可接受的范圍之內越來越受到人們的關注。針對網絡安全獨立元素——防火墻技術，通過對防火墻日志文件的分析，設計相應的數學模型和軟件雛形，采用打分制的方法，判斷系統(tǒng)的安全等級，實現(xiàn)對目標網絡的網絡安全風險評估，為提高系統(tǒng)的安全性提供科學依據。s personal interests. For independent network security elementsfirewall technology through the firewall log file analysis, a points system the means to achieve the purpose of the mainframe network security risk assessment, design of the mathematical model and prototype software, and what the system39。在我國，每年因黑客入侵、計算機病毒的破壞也造成了巨大的經濟損失。防火墻具有很強的實用性和針對性，它為個人上網用戶提供了完整的網絡安全解決方案，可以有效地控制個人電腦用戶信息在互聯(lián)網上的收發(fā)。防火可以有效地阻截各種惡意攻擊、保護信息的安全。個人防火墻是面向單機操作系統(tǒng)的一種小型安全防護軟件，按一定的規(guī)則對TCP，UDP，ICMP和IGMP等報文進行過濾，對網絡的信息流和系統(tǒng)進程進行監(jiān)控，防止一些惡意的攻擊。各種Windows漏洞不斷被公布，對主機的攻擊也越來越多。因此，為了保護主機的安全通信，研制有效的個人防火墻技術很有必要。它保證硬件和軟件本身的安全。它保障信息不會被非法閱讀、修改和泄漏。當前，活性病毒達14000多種，計算機病毒侵入網絡，對網絡資源進行破壞，使網絡不能正常工作，甚至造成整個網絡的癱瘓。3）拒絕服務攻擊。1）單機安全購買單機時，型號的選擇；計算機的運行環(huán)境（電壓、濕度、防塵條件、強電磁場以及自然災害等）；計算機的操作……等等，這些都是影響單機安全性的因素。二是技術方面，如信息加密存儲傳輸、身份認證、防火墻技術、網絡防毒等。我國先后出臺的有關網絡安全管理的規(guī)定和條例。(2)認證對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認證機制還可以防止合法用戶訪問他們無權查看的信息。(4)檢測系統(tǒng)入侵檢測技術是網絡安全研究的一個熱點，是一種積極主動的安全防護技術，提供了對內部入侵、外部入侵和誤操作的實時保護，在網絡系統(tǒng)受到危害之前攔截相應入侵。建立文件權限的時候，必須在Windows 2000中首先實行新技術文件系統(tǒng)（New Technology File System，NTFS）。 制定合理的網絡管理措施（1）加強網絡用戶及有關人員的安全意識、職業(yè)道德和事業(yè)心、責任心的培養(yǎng)教育以及相關技術培訓。同時由于黑客入侵以及網絡病毒的問題，使得網絡安全問題越來越突出。 防火墻的概念防火墻是設置在被保護網絡和外部網絡之間的一道屏障，以防止發(fā)生不可預測的、潛在破壞性的侵入。防火墻提供信息安全服務，是實現(xiàn)網絡和信息安全的基礎設施。圖1第一代防火墻第一代防火墻技術幾乎與路由器同時出現(xiàn)，采用了包過濾（Packet filter）技術。第五代防火墻1998年，NAI公司推出了一種自適應代理（Adaptive proxy）技術，并在其產品Gauntlet Firewall for NT中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。而這三大問題，傳統(tǒng)防火墻都無能為力。它是一個簡單的條件過濾器，不具有智能功能，無法檢測復雜的攻擊。 智能防火墻簡介智能防火墻[6]是相對傳統(tǒng)的防火墻而言的，從技術特征上智能防火墻是利用統(tǒng)計、記憶、概率和決策的智能方法來對數據進行識別，并達到訪問控制的目的。包過濾是一種網絡的數據安全保護機制，它可用來控制流出和流入網絡的數據，它通常由定義的各條數據安全規(guī)則所組成，防火墻設置可基于源地址、源端口、目的地址、目的端口、協(xié)議和時間。SNAT用于對內部網絡地址進行轉換，對外部網絡隱藏起內部網絡的結構，避免受到來自外部其他網絡的非授權訪問或惡意攻擊。 認證指防火墻對訪問網絡者合法身分的確定。4．透明和路由指防火墻將網關隱藏在公共系統(tǒng)之后使其免遭直接攻擊。端口掃描就是指黑客通過遠程端口掃描的工具，從中發(fā)現(xiàn)主機的哪些非常用端口是打開的。檢查各端口，有端口掃描的癥狀時，立即屏蔽該端口，多數防火墻設備采用的都是這種反端口掃描方式。其原理很簡單，就是利用更多的受控主機同時發(fā)起進攻，以比DoS更大的規(guī)模(或者說以更高于受攻主機處理能力的進攻能力)來進攻受害者。更為嚴重的是，可以利用它執(zhí)行非授權指令，甚至可以取得系統(tǒng)特權，進而進行各種非法操作，防火墻設備可檢測對FTP、Telnet、SSH、RPC和SMTP等服務的遠程堆棧溢出入侵。IIS就是Internet Information server的簡稱，也就是微軟的Internet信息服務器。木馬程序的全稱是“特洛依木馬”，它們是指尋找后門、竊取計算機的密碼的一類程序。檢測試圖穿透防火墻系統(tǒng)的蠕蟲程序?？芍С秩我痪W絡接口的IP地址和MAC地址的綁定，從而禁止用戶隨意修改IP地址。過濾規(guī)則是基于網絡層IP包包頭信息的比較。如果沒有匹配規(guī)則，則按缺省情況處理。通常是使用80端口。應用級代理技術通過在OSI的最高層檢查每一個IP包，從而實現(xiàn)安全策略。但是，這將花費更多的處理時間，并且由于代理防火墻支持的應用有限，每一種應用都需要安裝和配置不同的應用代理程序。代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應用級網關一類。應用代理型防火墻是內部網與外部網的隔離點，起著監(jiān)視和隔絕應用層通信流的作用。這種結合通常是以下兩種方案。 防火墻包過濾技術隨著Internet的迅速發(fā)展，網絡應用涉及到越來越多的領域，網絡中各類重要的、敏感的數據逐漸增多。其中包過濾作為最早發(fā)展起來的一種技術，其應用非常廣泛。包過濾技術歷經發(fā)展演變而未被淘汰。TCP傳給IP的數據單元稱作TCP報文段(TCP Segment)。表21 IP首部格式版本首部長服務類型總 長 度標識標志片偏移生存時間協(xié)議首部校驗和源IP地址目的IP地址選項表22 TCP首部格式源端口號目的端口號序列號確認號首部長保留LRCTBLPBHRCTCJHHJR窗口大小TCP校驗和緊急指針選項對于幀的頭部信息主要是源/目的主機的MAC地址。 傳統(tǒng)包過濾技術傳統(tǒng)包過濾技術，大多是在IP層實現(xiàn)，它只是簡單的對當前正在通過的單一數據包進行檢測，查看源/目的IP地址、端口號以及協(xié)議類型(UDP/TCP)等，結合訪問控制規(guī)則對數據包實施有選擇的通過。如接收到一個ACK數據包，就認為這是一個己建立的連接，這就導致許多安全隱患，一些惡意掃描和拒絕服務攻擊就是利用了這個缺陷。(2)缺乏應用防御能力。從數據包結構出發(fā)考慮，目前包過濾技術向兩個方向發(fā)展:(l)橫向聯(lián)系。這兩種技術的發(fā)展并不是獨立的，動態(tài)包過濾可以說是基于內容檢測技術的基礎。對于新建的應用連接，防火墻檢查預先設置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內存中記錄下該連接的相關信息，這些相關信息構成一個狀態(tài)表。這種方法的好處在于由于不需要對每個數據包進行規(guī)則檢查，而是一個連接的后續(xù)數據包(通常是大量的數據包)通過散列算法，直接進行狀態(tài)檢查，從而使性能得到了較大提高。利用高層協(xié)議的攻擊和網絡病毒的頻繁出現(xiàn)，對防火墻提出了新的要求。(2)也需要高速檢查它的能力。因而要執(zhí)行深度包檢測，帶來的問題必然是性能的下降，這就是所謂的內容處理障礙。定向到TCP/IP堆棧的數據流，首先轉換成內容數據流。如果數據是Mail類型，則檢查郵件的附件。流過濾技術[17]的關鍵在于其架構中的專用TCP/IP協(xié)議棧:這個協(xié)議棧是一個標準的TCP協(xié)議的實現(xiàn)，依據TCP