【正文】 析，設(shè)計(jì)相應(yīng)的數(shù)學(xué)模型和軟件雛形，采用打分制的方法，判斷系統(tǒng)的安全等級(jí)，實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。本文闡述了網(wǎng)絡(luò)防火墻的工作原理并對(duì)傳統(tǒng)防火墻的利弊進(jìn)行了對(duì)比分析 ,并簡(jiǎn)述防火墻技術(shù)在校園網(wǎng)中的應(yīng)用，最后結(jié)合計(jì)算機(jī)科學(xué)其它領(lǐng)域的相關(guān)新技術(shù) ,提出了新的防火墻技術(shù) ,并展望了其發(fā)展前景。人們?cè)诶镁W(wǎng)絡(luò)獲得 便利，取得機(jī)遇的同時(shí)，對(duì)網(wǎng)絡(luò)安全所帶來的一系列問題也絕不能忽視。網(wǎng)絡(luò)的飛速發(fā)展，使人們對(duì)生活有全新的感受，人類社會(huì)對(duì)網(wǎng)絡(luò)信息的依賴越來越大。據(jù)國(guó)家應(yīng)急處理中心等相關(guān)部門介紹，從國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心日常監(jiān)測(cè)結(jié)果看來，當(dāng)前計(jì)算機(jī)病毒呈異常活躍態(tài)勢(shì)。網(wǎng)絡(luò)安全系統(tǒng)具有致命的脆弱性、易受攻擊性和開放性，從我國(guó)國(guó)內(nèi)情況來看，我國(guó)有 95%與互 聯(lián)網(wǎng)相聯(lián)的中心曾遭受過境內(nèi)外黑客的攻擊或侵入，而其中銀行、金融和證券機(jī)構(gòu)是被黑客攻擊的重點(diǎn)。我國(guó)網(wǎng)絡(luò)安全不僅大大低于美國(guó)、以色列和俄羅斯等安全強(qiáng)國(guó)，而且排在韓國(guó)、印度之后。 。 國(guó)外狀況： 跟據(jù)美國(guó) FBI 的統(tǒng)計(jì)，因網(wǎng)絡(luò)安全問題美國(guó) 每年所造成的經(jīng)濟(jì)損失高達(dá) 75億美元，而在全球平均每 20 秒鐘就會(huì)發(fā)生一起 Inter 計(jì)算機(jī)侵入事件。主要用來保護(hù)內(nèi)部網(wǎng)絡(luò)免受來自不安全網(wǎng)絡(luò)的攻擊、入侵。不同的防火墻其配置的方法也不同，這取決于安全策略，全面規(guī)劃以及預(yù)算等。防火可以有效地保護(hù)信息的安全、阻截各種惡意攻擊；郵件內(nèi)容檢測(cè)可以實(shí)時(shí)監(jiān)視郵件系統(tǒng)的內(nèi)容，并阻擋一切針對(duì)硬盤的惡意活動(dòng)；信息泄漏攔截遏制郵件病毒的蔓延、保證安全地瀏覽網(wǎng)頁。個(gè)人防火墻是按一定的規(guī)則對(duì) TCP， UDP， ICMP 和 IGMP等報(bào)文進(jìn)行過濾，對(duì)系統(tǒng)進(jìn)程和網(wǎng)絡(luò)的信息流進(jìn)行監(jiān)控，防止一些惡意的攻擊的面向單機(jī)操作系統(tǒng)的一種小型安全防護(hù)軟件。 Windows 各種漏洞不斷被公布，對(duì)個(gè)人計(jì)算機(jī)的的攻擊也日趨頻繁。 所謂的防火墻是指設(shè)置在不同網(wǎng)絡(luò) (如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng) )或網(wǎng)絡(luò)安全域之間的一系列部件的組合 。 畢業(yè)論文 9 第二章 網(wǎng)絡(luò)安全概述 從狹義的保護(hù)角度來看，計(jì)算機(jī)網(wǎng)絡(luò)安全是指計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，即是指計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)可靠正常地運(yùn)行，使網(wǎng)絡(luò)服務(wù) 不中斷。 1. 黑客入侵，即黑客進(jìn)入網(wǎng)絡(luò)通過非法手段非法使用網(wǎng)絡(luò)資源。 3. 拒絕服務(wù)攻擊。 影響網(wǎng)絡(luò)安 全的因素 1. 單機(jī)安全 購買單機(jī)時(shí)，型號(hào)的選擇；計(jì)算機(jī)的運(yùn)行環(huán)境（電壓、濕度、防塵條件、強(qiáng)電磁場(chǎng)以及自然災(zāi)害等）；計(jì)算機(jī)的操作??等等，這些都是影響單機(jī)安全性的因素。二是技術(shù)方面，如信息加密存儲(chǔ)傳輸、身份認(rèn)證、防火墻技術(shù)、網(wǎng)絡(luò)防毒等。 完善計(jì)算機(jī)安全立法 我國(guó)先后出臺(tái)的有關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。 2. 2．認(rèn)證 對(duì)合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對(duì)公司信息系統(tǒng)的訪問，使用認(rèn)證機(jī)制還可以防止合法用戶訪問他們無權(quán)查看的信息。 4. 檢測(cè)系統(tǒng) 畢業(yè)論文 11 入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全研究的一個(gè)熱點(diǎn)，是一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部入侵、外部入侵和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。建立文件權(quán)限的時(shí)候，必須在 Windows 2021 中首先實(shí)行新技術(shù)文件系統(tǒng)（ New Technology File System， NTFS）。 制定合理的網(wǎng)絡(luò)管理措施 1. 強(qiáng)網(wǎng)絡(luò)用戶及有關(guān)人員的安全意識(shí)、職業(yè)道德 和事業(yè)心、責(zé)任心的培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。 如圖所示 : 防護(hù)（ P ） 響應(yīng)（ R ） 檢測(cè)（ D ） 策略（ P ） 畢業(yè)論文 12 圖 P2D安全模型 畢業(yè)論文 13 第三章 防火墻 隨著信息時(shí)代的來臨， Inter 技術(shù)迅 速發(fā)展，網(wǎng)絡(luò)已涉及各個(gè)領(lǐng)域，并得到廣泛應(yīng)用。而就目前形式而言，在網(wǎng)絡(luò)安全技術(shù)中對(duì)于局部網(wǎng)絡(luò)的保護(hù)中，防火墻技術(shù)是一種十分有效的手段，防火墻技術(shù)主要可分為應(yīng)用代理和包過濾技術(shù)兩類。防火墻所提供的信息安全服務(wù)，是保障和實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 第一代防火墻特點(diǎn)為： 1．防火墻和路由器是一體化的。 4．路由器防火墻本質(zhì)性缺陷：路由器的主要功能是為網(wǎng)絡(luò)訪問提供靈活、動(dòng)態(tài)的路由，而防火墻則要對(duì)訪問行為 實(shí)施固定的、靜態(tài)的控制，這是其難以調(diào)和的矛盾，由此防火墻的設(shè)置將會(huì)會(huì)大大降低路由器的性能。 第二代防火墻作為純軟件產(chǎn)品，其在維護(hù)和管理上都變得十分復(fù)雜，因此它也有不足之處： 1．對(duì)用戶的技術(shù)要求很高； 2．配置和維護(hù)過程費(fèi)時(shí)、復(fù)雜； 3．本身的實(shí)現(xiàn)、處理速度、安全性均有局限； 4．在使用是容易出現(xiàn)差錯(cuò)。 第四階段：具有安全操作系統(tǒng)的防火墻 防火墻技術(shù)在不斷的改進(jìn)中，隨著網(wǎng)絡(luò)攻擊與防護(hù) 技術(shù)的不斷發(fā)展，產(chǎn)生了具有安全操作系統(tǒng)的防火墻產(chǎn)品，這使得使防火墻產(chǎn)品從此步入了第四個(gè)發(fā)展階段。從 網(wǎng)際角度，防火墻可以看成是安裝在兩個(gè)網(wǎng)絡(luò)之間的一道柵欄，根據(jù)安全計(jì)劃和安全策略中的定義來保護(hù)其后面的網(wǎng)絡(luò)。 防火墻的主要功能 1．包過濾 包過濾是一種網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)機(jī)制，包過濾可以控制流入和流出網(wǎng)絡(luò)的數(shù)據(jù)信息，它是由定義的各條數(shù)據(jù)安全規(guī)則所組成的，防火墻設(shè)置可基于源端口、源地址、目的端口、目的地址、時(shí)間和協(xié)議 。 3．地址轉(zhuǎn)換 網(wǎng)絡(luò)地址 變換是將外部網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)的 IP 地址進(jìn)行轉(zhuǎn)換，可分為源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換。 4．透明和路由 防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后，從而使其免遭直接攻擊。 畢業(yè)論文 18 包過濾防火墻 數(shù)據(jù)包過濾技術(shù)是防火墻對(duì)流經(jīng)網(wǎng)絡(luò)防火墻的所有數(shù)據(jù)包進(jìn)行逐個(gè)檢查，并且依據(jù)所制定的安全策略決定來數(shù)據(jù)包是否通過的為系統(tǒng)提供安全保障的主要技術(shù)。防火墻的 IP 包過濾規(guī)則是以 IP包信息為基礎(chǔ)，對(duì) IP 包目標(biāo)地址、源地址、 IP 包封裝協(xié)議、 TCP/UDP 目標(biāo)端口號(hào)、傳輸方向、分包、等進(jìn)行過濾、篩選。不符合網(wǎng)絡(luò)安全的服務(wù)將被嚴(yán)格限制。即采用了基于連接狀態(tài)的檢查和動(dòng)態(tài)設(shè)置包過濾規(guī)則的方法，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，通過規(guī)則表與連接狀態(tài)表的共同配合進(jìn)行檢查。 簡(jiǎn)單的數(shù)據(jù)包內(nèi)容過濾是通過對(duì)當(dāng)前正在通過的單一數(shù)據(jù)包的有效載荷進(jìn)行檢測(cè)掃描，但對(duì)于用戶所需的應(yīng)用防御的要求而言，這是遠(yuǎn)遠(yuǎn)不夠的。所以要執(zhí)行深度包檢測(cè)，帶來的問題必然是性能的大幅下降，這就形成了內(nèi)容處理障礙。 圖 深度包檢測(cè)框圖 在收到流量后，將那些需要內(nèi)容掃描的數(shù)據(jù)定向到 TCP/IP 堆棧中，而其他的數(shù)據(jù)流則定向到狀態(tài)檢測(cè)引擎上，按照基本的檢測(cè)方式進(jìn)行處理。當(dāng)檢測(cè)到數(shù)據(jù)信息流是 HTTP 數(shù)據(jù)流，則命令解析器會(huì)逐個(gè)檢查上載和下載的文件；如果數(shù)據(jù)流是 Mail 類型，則檢查郵件的附件內(nèi)容。包過濾防火墻不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序，因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。與其它技術(shù)相較之而言，過濾路由器只檢查報(bào)頭相應(yīng)的字段，一般不查看數(shù)據(jù)包的內(nèi)容，而且某些核心部分是由專用硬件實(shí)現(xiàn)的，故其轉(zhuǎn)發(fā)速度快、效率較高 3．一個(gè)過濾路由器能夠協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)。例如：數(shù)據(jù)包的報(bào)頭信 息只能說明數(shù)據(jù)包來自什么主機(jī)，而不知道是什么用戶；只知道數(shù)據(jù)包發(fā)到什么端口，而不知道是發(fā)送到什么應(yīng)用程序。過濾判別的只有網(wǎng)絡(luò)層和傳輸層的有限信息；過濾規(guī)則的數(shù)目是有限制的；由于缺少上下文關(guān)聯(lián)信息，不能有效地過濾如 UDP、 RPC 一類的協(xié)議；非法訪問一旦突破防火墻，即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊；大多 數(shù)過濾器中缺少審計(jì)和報(bào)警機(jī)制，通常它沒有用戶的使用記錄，這樣，管理員就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。代理防火墻工作在應(yīng)用層，針對(duì)特定的應(yīng)用層協(xié)議。 圖 代理防火墻工作原理 代理服務(wù)器作為內(nèi)部網(wǎng)絡(luò)客戶端服務(wù)器，攔截所有要求，同時(shí)也向客戶端轉(zhuǎn)直實(shí)服務(wù)器 外部 響應(yīng) 轉(zhuǎn)發(fā)請(qǐng)求 Int e rne t 代理客戶 應(yīng)用層代理服務(wù) 代理服務(wù)器 應(yīng)用協(xié) 議分析 請(qǐng)求 轉(zhuǎn)發(fā)響應(yīng) I nt ra ne t 真實(shí)的 客戶端 畢業(yè)論文 21 發(fā)響應(yīng)。當(dāng)某用戶（無論是本地的還是遠(yuǎn)程的）想要和一個(gè)運(yùn)行代理網(wǎng)絡(luò)建立聯(lián)系時(shí)，應(yīng)用層網(wǎng)關(guān)會(huì)阻塞 這個(gè)連接，而后在過濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行分析、登記和統(tǒng)計(jì)操作，做 出檢查報(bào)告。 代理服務(wù)器的優(yōu)點(diǎn)： 安全是代理防火墻最突出的優(yōu)點(diǎn)。包過濾類型的防火墻是很難徹底避免這一漏洞的。 畢業(yè)論文 22 電路層網(wǎng) 關(guān)防火墻 電路層網(wǎng)關(guān)防火墻又叫 TCP 通道防火墻。它是針對(duì)數(shù)據(jù)包過濾技術(shù)和應(yīng)用網(wǎng)關(guān)技術(shù)所存在的缺點(diǎn)而加以改進(jìn)從而引入的防火墻技術(shù)，一般采用的是自適應(yīng)代理技術(shù)，采用自適應(yīng)代理技術(shù)的防火墻就叫作自適應(yīng)代理防火墻。 復(fù)合型防火墻 在要求更高安全性的網(wǎng)絡(luò)中，常把基于數(shù)據(jù)包過濾的方法與基于代理服務(wù)器的方法結(jié)合起來，從而形成復(fù)合型防火墻產(chǎn)品。 防火墻的配置 防火墻的配置十分重要。同時(shí)，也得保證防火墻外的機(jī)器能夠訪問相應(yīng)的 DNS 服務(wù)器，否則防火墻內(nèi)外計(jì)算機(jī)就無法通信，只有正確的配置好防火墻才能夠在既保證安全的情況下又保證的服務(wù)的照常進(jìn)行。必須清楚誰會(huì)對(duì)網(wǎng)絡(luò)構(gòu)成威脅。建立合理的防護(hù)系統(tǒng)，配置有效的防火墻主要應(yīng)遵循以下下 4 個(gè)基本步驟： 1．需求分析； 2．風(fēng)險(xiǎn)分析； 3．選擇準(zhǔn)確 的防護(hù)手段，并使之與安全政策保持一致 ； 4．確立安全政策 。 3． 分組過濾規(guī)則按一定的順序存貯。 6． 如果一個(gè)分組不滿足任何規(guī)則，則該分組被阻塞。應(yīng)該指出的是，在建立雙宿主主機(jī)時(shí)，畢業(yè)論文 24 應(yīng)該關(guān)閉操作系統(tǒng)的路由能力，否則從一 塊網(wǎng)卡到另一塊網(wǎng)卡的通信會(huì)繞過代理服務(wù)器軟件，而使雙宿主網(wǎng)關(guān)失去“防火”作用。校園網(wǎng)通過不同的專線分別接入了教育網(wǎng)、電信網(wǎng)和黨政網(wǎng)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。過濾掉以非法 IP地址離開內(nèi)部網(wǎng)絡(luò)的 IP包，畢業(yè)論文 26 防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對(duì)外攻擊。 6．允許通過配置網(wǎng)卡對(duì)防火墻設(shè)置，提高防火墻管理安全性。一旦你安裝防火墻后，你需要打開一些必要的端口 來使防火墻內(nèi)的用戶在通過驗(yàn)證之后可以訪問系統(tǒng)。然后再利用防火墻與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接。校園網(wǎng)防火墻結(jié)構(gòu)圖的例子如下所示。此外，防火墻產(chǎn)品還將把網(wǎng)絡(luò)前沿技術(shù)，如 Web 頁面超高速緩存、虛擬網(wǎng)絡(luò)和帶寬管理等與其自身結(jié)合起來。用戶身份驗(yàn)證功能越強(qiáng)，它的安全級(jí)別越高，但它給網(wǎng)絡(luò)通信帶來的負(fù)面影響也越大，因?yàn)橛脩羯矸蒡?yàn)證需要時(shí)間，特別是加密型的用戶 身份驗(yàn)證。 這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對(duì)應(yīng) 于不同的網(wǎng)絡(luò)層，從這個(gè)概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。擁有病毒防護(hù)功能的防火墻可以大大減少公司的損失。為了滿足這種需要