【正文】 等進(jìn)行風(fēng)險(xiǎn)評(píng)估是很有必要的。 、圖表要求： 1）文字通順，語(yǔ)言流暢，書(shū)寫(xiě)字跡工整，打印字體及大小符合要求，無(wú)錯(cuò)別字， 不準(zhǔn)請(qǐng)他人代寫(xiě) 2）工程設(shè)計(jì)類(lèi)題目的圖紙，要求部分用尺規(guī)繪制，部分用計(jì)算機(jī)繪制，所有圖紙應(yīng)符合國(guó)家技術(shù)標(biāo)準(zhǔn)規(guī)范。學(xué)?？梢怨颊撐模ㄔO(shè)計(jì)）的全部或部分內(nèi)容。據(jù)我所知， 除文中已經(jīng)注明引用的內(nèi)容外，本論文（設(shè)計(jì)）不包含其他個(gè)人已經(jīng)發(fā)表或撰寫(xiě)過(guò)的研究成果。對(duì)本論文（設(shè)計(jì)）的研究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中作了明確說(shuō)明并表示謝意。保密的論文（設(shè)計(jì)）在解密后適用本規(guī)定。圖表整潔，布局合理，文字注釋必須使用工程字書(shū)寫(xiě)，不準(zhǔn)用徒手畫(huà) 3）畢業(yè)論文須用 A4 單面打印，論文 50 頁(yè)以上的雙面打印 4）圖表應(yīng)繪制于無(wú)格子的頁(yè)面上 5）軟件工程類(lèi)課題應(yīng)有程序清單，并提供電子文檔 1）設(shè)計(jì)（論文） 2）附件：按照任務(wù)書(shū)、開(kāi)題報(bào)告、外文譯文、譯文原文（復(fù)印件）次序裝訂 3）其它 IV 摘要 因特網(wǎng)的迅猛發(fā)展給人們的生活帶來(lái)了極大的方便，但同時(shí)因特網(wǎng)也面臨著空前的威脅。 防火墻技術(shù)作為時(shí)下比較成熟的一種網(wǎng)絡(luò)安全技術(shù)，其安全性直接關(guān)系到用戶(hù)的切身利益。s attention. And how to implement prevention strategies depends first and foremost on the security of the current system. Therefore, the independent work security elementsfirewall, vulnerability scanning, intrusion detection and antivirus risk assessment is necessary. Firewall as a more mature current work security technologies, their safety directly related to the user39。據(jù)美國(guó) FBI 統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全問(wèn)題所造成的經(jīng)濟(jì)損失高達(dá) 75 億美元，而全求平均每 20秒鐘就發(fā)生一起 Inter 計(jì)算機(jī)侵入事件。 研究目的 為了解決互聯(lián)網(wǎng)時(shí)代個(gè)人網(wǎng)絡(luò)安全的問(wèn)題，近年來(lái)新興了防火墻技術(shù) [2]。防火墻可以保護(hù)人們?cè)诰W(wǎng)上瀏覽時(shí)免受黑客的攻擊，實(shí)時(shí)防范網(wǎng)絡(luò)黑客的侵襲，還可以根據(jù)自己的需要?jiǎng)?chuàng)建防火墻規(guī)則，控制互聯(lián)網(wǎng)到 PC 以及 PC 到互聯(lián)網(wǎng)的所有連接，并屏蔽入侵企圖。 個(gè)人防火墻就是在單機(jī) Windows 系統(tǒng)上，采取一些安全防護(hù)措施，使得本機(jī)的息得到一定的保護(hù)。 個(gè)人上網(wǎng)用戶(hù)多使用 Windows 操作系統(tǒng)，而 Windows 操作系統(tǒng)， 6 特別是 WindowsXP 系統(tǒng)，本身的安全性就不高。以及藍(lán)屏攻擊等。” 從技術(shù)講，計(jì)算機(jī)安全分為 3 種： 1）實(shí)體的安全。 3）信息的安全性。 1）計(jì)算機(jī)病毒的侵襲。例如通過(guò)隱蔽通道進(jìn)行非法活動(dòng)；采用匿名用戶(hù)訪(fǎng)問(wèn)進(jìn)行攻擊；通過(guò)網(wǎng)絡(luò)監(jiān) 8 聽(tīng)獲取網(wǎng)上用戶(hù)賬號(hào)和密碼；非法獲取 網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。 具體講，網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權(quán)訪(fǎng)問(wèn)、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶(hù)??等。一個(gè)完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類(lèi)措施：一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全 的保障，管理和審計(jì)是安全的防線(xiàn)。有兩種主要的加密類(lèi)型：私匙加密和公匙加密。但是，防火墻技術(shù)在網(wǎng)絡(luò)安全防護(hù)方面也存在一些不足：防火墻不能防止內(nèi)部攻擊防火墻不 10 能取代殺毒軟件；防火墻不易防止反彈端口木馬攻擊等。 (6) 文件系統(tǒng)安全 在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個(gè)關(guān)鍵性的概念，因?yàn)樵L(fǎng)問(wèn)控制實(shí)現(xiàn)在兩個(gè)方面：本地和遠(yuǎn)程。 Windows 20xx 操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪(fǎng)問(wèn)控制。 12 第三章 防火墻概述 隨著 Inter 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來(lái)越多的領(lǐng)域，網(wǎng)絡(luò)中各類(lèi)重要的、敏感的數(shù)據(jù)逐漸增多 。其中包過(guò)濾作為最早發(fā)展起來(lái)的一種技術(shù)，其應(yīng)用非常廣泛。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 圖 1 表示了防火墻技術(shù)的簡(jiǎn)單發(fā)展歷史。 1994 年，以色列的 CheckPoint 公司開(kāi)發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。這三大安全問(wèn)題占據(jù)網(wǎng)絡(luò)安全問(wèn)題九成以上。二是傳統(tǒng)防火墻的訪(fǎng)問(wèn)控制機(jī)制是一個(gè)簡(jiǎn)單的過(guò)濾機(jī)制。 現(xiàn)在防火墻正在向分布、智能的方向發(fā)展，其中智能防火墻可以很好的解決上面的問(wèn)題。 15 防火墻的功能 防火墻的主要功能 1．包過(guò)濾。 網(wǎng)絡(luò)地址變換是將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的 IP 地址轉(zhuǎn)換，可分為源地 址轉(zhuǎn)換 Source NAT(SNAT)和目的 地址轉(zhuǎn) 換 Destination NAT(DNAT)。 3．認(rèn)證和應(yīng)用代理。同時(shí)支持 URL 過(guò)濾功能。 入侵檢測(cè)功能 入侵檢測(cè)技術(shù) [7]就是一種主動(dòng)保護(hù)自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技術(shù)，包括以下內(nèi)容 : 。顧名思義反端口掃描就是 防范端口掃描的方法，目前常用的方法有 :關(guān)閉閑置和有潛在危險(xiǎn)的端口 。而分布式的拒絕服務(wù)攻擊 (DDoS)攻擊手段則是在傳統(tǒng)的 DoS 攻擊基礎(chǔ)之上產(chǎn)生的一類(lèi)攻擊方式，分布式的拒絕服務(wù)攻擊 (DDoS)。緩沖區(qū)溢出(Buffer Overflow)攻擊指利用軟件的弱點(diǎn)將任意數(shù)據(jù)添加進(jìn)某個(gè)程序中，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。是 World Wide Web 主機(jī)和 CGI 程序間傳輸資訊的定義。后門(mén)程序是指采用某種方法定義出一個(gè)特殊的端口并依靠某種程序在機(jī)器啟動(dòng)之前自動(dòng)加載到內(nèi)存，強(qiáng)行控制機(jī)器打開(kāi)那個(gè)特殊的端口的程序。防火墻設(shè)備可檢測(cè)試圖穿透防火墻系統(tǒng)的木馬控制端和客戶(hù)端程序 。 其他功能 地址 /MAC 地址綁定。一般防火墻設(shè)備可以提供三種日志審計(jì)功能 :系統(tǒng)管理日志、流量日志和入侵日志。 包過(guò)濾防火墻 19 顧名思義，包過(guò)濾防火墻 [9]就是把接收到的每個(gè)數(shù)據(jù)包同預(yù)先設(shè)定的包過(guò)濾規(guī)則相比較，從而決定是否阻 塞或通過(guò)。如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包 。例如， HTTP。同時(shí)，包過(guò)濾防火墻一般無(wú)法提供完善的日志。這一內(nèi)建代理機(jī)制提供額外的安全，這是因?yàn)樗鼘?nèi)部和外部網(wǎng)絡(luò)隔離開(kāi)來(lái)，使網(wǎng)絡(luò)外部的黑客在防火墻內(nèi)部網(wǎng)絡(luò)上進(jìn)行探測(cè)變得困難，更重要的是能夠讓網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行全面的控制。同時(shí)升級(jí)一種應(yīng)用時(shí)，相應(yīng)的代理程序也必須同時(shí)升級(jí)。此外，代理服務(wù)也對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。 21 復(fù)合型防火墻 由于對(duì)更高安全性的要求，常把基于包過(guò)濾的方法與基于應(yīng)用代理的方法結(jié)合起來(lái)，形成復(fù)合型防火墻產(chǎn)品。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機(jī)和分組過(guò)濾路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過(guò) 濾和應(yīng)用代理兩類(lèi)。也正是由于此。其中每一層對(duì)接收到的數(shù)據(jù)都要增加一些首部信息。 IP， TCP首部格式如表 21 表 22 所示。 理論上講，數(shù)據(jù)包所有頭部信息以及有效載荷都可以作為判斷包通過(guò)與否的依據(jù)，但是在實(shí)際情況中 ，包過(guò)濾技術(shù)上的問(wèn)題主要是選取哪些字段信息，以及如何有效地利用這些字段信息并結(jié)合訪(fǎng)問(wèn)控制列表來(lái)執(zhí)行包過(guò)濾操作，并盡可能提高安全控制力度。 。 綜合上述問(wèn)題，傳統(tǒng)包過(guò)濾技術(shù)的缺陷在于 :(l)缺乏狀態(tài)檢測(cè)能力 。 傳統(tǒng)包過(guò)濾技術(shù)必須發(fā)展進(jìn)化，在繼承其優(yōu)點(diǎn)的前提下，采用新的技術(shù)手段，克服其缺陷，并進(jìn)一步滿(mǎn)足新的安全應(yīng)用要求。深入檢測(cè)數(shù)據(jù)包有效載荷，識(shí)別并阻止病毒代碼和基于高層協(xié)議的攻擊，以此來(lái)提高應(yīng)用防御能力。 與傳統(tǒng)包過(guò)濾技術(shù)只檢查單個(gè)、孤立的數(shù)據(jù)包不同，動(dòng)態(tài)包過(guò)濾試圖將數(shù)據(jù)包的上下文聯(lián)系起來(lái)，建立一種基于狀態(tài)的包過(guò)濾機(jī)制。 動(dòng)態(tài)包過(guò)濾通過(guò)在內(nèi)存中動(dòng)態(tài)地建立和維護(hù)一個(gè)狀態(tài)表，數(shù)據(jù)包到達(dá)時(shí)，對(duì)該數(shù)據(jù)包的處理方式將綜合靜態(tài)安全規(guī)則和數(shù)據(jù)包所處的狀態(tài)進(jìn)行。 26 深度包檢測(cè) 目前許多造成大規(guī)模損害的網(wǎng)絡(luò)攻擊，比如紅色代碼和尼姆達(dá)，都是利用了應(yīng)用的弱點(diǎn)。 應(yīng)用防御的技術(shù)問(wèn)題主要包括 :(l)需要對(duì)有效載荷知道得更清楚 。應(yīng)用層的內(nèi)容過(guò)濾要求大量的計(jì)算資源，很多情況下高達(dá) 100倍甚至更高。一個(gè)深度包檢測(cè)的流程框圖如圖 所示。命令解析器定 制和分析每一個(gè)內(nèi)容協(xié)議，分析內(nèi)容數(shù)據(jù)流，檢測(cè)病毒和蠕蟲(chóng)。如果內(nèi)容過(guò)濾啟動(dòng)，數(shù)據(jù)流將根據(jù)過(guò)濾的設(shè)置進(jìn)行匹配，通過(guò)或拒絕數(shù)據(jù)。由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時(shí)候代替服務(wù)器或客戶(hù)端參與應(yīng)用層的會(huì)話(huà)，從而起到了與應(yīng)用代理防火墻相同的控制能力。如在對(duì) SMTP 協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對(duì)郵件的存儲(chǔ)轉(zhuǎn)發(fā)，并實(shí)現(xiàn)豐富的對(duì) SMTP 協(xié)議的各種攻擊的防范功能一流過(guò)濾的示意圖如圖 所示。在歷史上，多宿主主機(jī)可以在網(wǎng)段之間傳送流量，今天一般都使用專(zhuān)門(mén)的 路由器 來(lái)完成 IP 路由轉(zhuǎn)發(fā)。 31 雙宿主主機(jī)可以用于把一個(gè)內(nèi)部網(wǎng)絡(luò)從一個(gè)不可信的外部網(wǎng)絡(luò)分離出來(lái)。建立雙宿主主機(jī)的關(guān)鍵是要禁止路由，網(wǎng)絡(luò)之間通信的唯一路徑是通過(guò)應(yīng)用層的代理軟件。換句話(huà)說(shuō)就是防火墻不直接連接外網(wǎng)，這樣的形式提供一種非常有效的并且容易維護(hù)的防火墻體系。 屏蔽路由器配置要根據(jù)實(shí)際的網(wǎng)絡(luò)安全策略來(lái)進(jìn)行，如服務(wù)器提供 WEB服務(wù)就需要屏蔽路由器開(kāi)放 80 端口。 通常，堡壘主機(jī)是網(wǎng)絡(luò)上最容易受攻擊的機(jī)器。可以說(shuō)它只給入侵者一些訪(fǎng)問(wèn)的機(jī)會(huì)，但不是全部。 在構(gòu)造防火墻體系時(shí)，一般很少使用單一的技術(shù)，通常都是多種解決方案的組合。 (如圖 ) 36 圖 對(duì)于中小企業(yè)來(lái) 說(shuō)一般出口帶寬都在 100M 以?xún)?nèi)，所以我們選擇100M 相關(guān)產(chǎn)品即可。 防火墻的特色配置 從外觀(guān)上看防火墻和傳統(tǒng)的路由器交換機(jī)沒(méi)有太大的差別，一部分防火墻具備 CONSOLE 接口通過(guò)超級(jí)終端的方式初始化配置，而另外一 部分則直接通過(guò)默認(rèn)的 LAN 接口和管理地址訪(fǎng)問(wèn)進(jìn)行配置。 37 在實(shí)際設(shè)置時(shí)我們必 須將端口劃分到某區(qū)域后才能對(duì)其進(jìn)行各個(gè)訪(fǎng)問(wèn)操作，否則默認(rèn)將阻止對(duì)該接口的任何數(shù)據(jù)通訊。選擇接口四連接外網(wǎng)，接口一連接內(nèi)網(wǎng)。 第三步：進(jìn)入接口四設(shè)置其 IP 地址為 ，命令為 int e0/4 ip add 第四步：進(jìn)入接口一設(shè)置其 IP 地址為內(nèi)網(wǎng)地址，例如 ，命令為 int e0/1 38 ip add 第五步：將兩個(gè)接口加入到不同的區(qū)域，外網(wǎng)接口配置到非信任區(qū) untrust，內(nèi)網(wǎng)接口加入到信任區(qū) trust—— fire zone untrust add int e0/4 fire zone trust add int e0/1 第六步：由于防火墻運(yùn)行基本是通過(guò) NAT 來(lái)實(shí)現(xiàn)，各個(gè)保護(hù)工作也是基于此功能實(shí)現(xiàn)的，所以還需要針對(duì)防火墻的 NAT 信息進(jìn)行設(shè)置，首先添加一個(gè)訪(fǎng)問(wèn)控制列表 —— acl num 20xx rule per source rule deny 第七步：接下來(lái)將這個(gè)訪(fǎng)問(wèn)控制列表應(yīng)用到外網(wǎng)接口通過(guò)啟用NAT—— int e0/4 nat outbound 20xx 第八步：最后添加