【正文】 紀錄沒被竊肇慶工商職業(yè)技術(shù)學院 2020 屆畢業(yè)設(shè)計（論文） 13 取，服務(wù)器不會受到一次 拒絕服務(wù)攻擊 。 網(wǎng)絡(luò)安全是動態(tài)的，新的 Inter 黑客站點、病毒與安全技術(shù)每日劇增。 （ 2）內(nèi)部安全：邊界防火墻設(shè)置安全策略的一個基本假設(shè)是：網(wǎng)絡(luò)的一邊即外部的所有人是不可信任的，另一邊即內(nèi)部的所有人是可信任的。 （ 1）增強的系統(tǒng)安全性 增加了針對主機的入侵檢測和防護功能，加強了對來自內(nèi)部攻擊防范，可以實施全方 位的安全策略。分布式防火墻還可以使企業(yè)避免發(fā)生由于某一臺端點系統(tǒng)的入侵而導致向整個網(wǎng)絡(luò)蔓延的情況 發(fā)生，同時也使通過公共賬號登錄網(wǎng)絡(luò)的用戶無法進入那些限制訪問的計算機系統(tǒng)。 （ 2）提高了系統(tǒng)性能 消除了結(jié)構(gòu)性瓶頸問題，提高了系統(tǒng)性能。 （ 3）系統(tǒng)的擴展性 分布式防火墻隨系統(tǒng)擴充提供了安全防護無限擴充的能力。依據(jù)工作站名稱、設(shè)備指紋等屬性，使用 “Inter訪問規(guī)則 ” ，控制該工作站或工作站組在指定的時間段內(nèi)是否允許 /禁止訪問模板或網(wǎng)址列表中所規(guī)定的 Inter Web 服務(wù)器，某個用戶可否基于某工作站訪問 服務(wù)器，同時當某個工作站 /用戶達到規(guī)定流量后確定是否斷網(wǎng)。實時動態(tài)報告當前網(wǎng)絡(luò)中所有的用戶登陸、 Inter訪問、內(nèi)網(wǎng)訪問、網(wǎng)絡(luò)入侵事件等信息。對工作站協(xié)議規(guī)則日志、用戶登陸事件日志、用戶 Inter訪問日志、指紋驗證規(guī)則日志、入侵檢測規(guī)則日志的記錄與查詢分析。但實踐證明，企業(yè)級防火墻也不能令人完全滿意。它不僅提供了個人防火墻、入侵檢測、腳本過濾和應(yīng)用程序訪問控制等功能，最主要的是提供了中央管理功能。 利用分布式防火墻堵住內(nèi) 網(wǎng)漏洞 隨著網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展，傳統(tǒng)邊界防火墻逐漸暴露出一些弱點，具體表現(xiàn)在以下幾個方面。事實上， 接近 80%的攻擊和越權(quán)訪問來自于企業(yè)網(wǎng)內(nèi)部，邊界防火墻對于來自企業(yè)網(wǎng)內(nèi)部的攻擊顯得力不從心。 肇慶工商職業(yè)技術(shù)學院 2020 屆畢業(yè)設(shè)計（論文） 19 圖 2 利用分布式防火墻堵住內(nèi)網(wǎng)漏洞 （ 3）效率不高與故障點多 ， 邊界防火墻把檢查機制集中在網(wǎng)絡(luò)邊界的單點上，由此造成網(wǎng)絡(luò)訪問瓶頸，并使得用戶在選擇防火墻產(chǎn)品時首先考慮檢測效率，其次才是安 全機制。正是由于分布式防火墻這種優(yōu)越的安全防護體系，并且符合未來的發(fā)展趨勢，所以使得這一技術(shù)剛出現(xiàn)便為許多用戶所接受，成為目前公認的最有效的網(wǎng)絡(luò)安全解決方案。 企業(yè)仍需密切關(guān)注防火墻的發(fā)展，以便更好的管理和應(yīng)用。在論文的選題、研究以及撰寫過程中，自始至終得到了導師的精心指導和熱情幫助，其中無不凝聚著導師的心血和汗水。父母的養(yǎng)育之恩無以為報，他們是我十多年求學路上的堅強后盾，在我面臨人生選擇的迷茫之際，為我排憂解難，他們對我無私的愛與照顧是我不斷前進的動力。導師的指導將使我終生受益。離校日期已日趨臨近，畢業(yè)論文的的完成也隨之進入了尾聲。攻擊時的變數(shù)太大，所以對網(wǎng)絡(luò)安全的需求對防火墻提出了更高的要求，在防火墻目前還不算長的生命周期中，雖然問題不斷，但是防 火墻也從具有普通的過濾功能，逐步豐富了自身的功能，擔當了更重的任務(wù)。針對傳統(tǒng)邊界防火墻存在的缺陷，專家提出了分布式防火墻方案。它們對個人計算機進行保護的方式如同邊界防火墻對整個網(wǎng)絡(luò)進行保護一樣。隨著越來越多的用戶利用互聯(lián)網(wǎng)構(gòu)架跨地區(qū)企業(yè)網(wǎng)絡(luò)，移動辦公和服務(wù)器托管日益普遍，加上電子商務(wù)要求商務(wù)伙伴之間在一定權(quán)限下可以彼此訪問，企業(yè)內(nèi)部網(wǎng)和網(wǎng)絡(luò)邊界逐漸成為邏輯上的概念，邊界防火墻的應(yīng)用也受到越來越多的限制。這種管理可以在企業(yè)內(nèi)部網(wǎng)中進行，也可以通過 Inter 實現(xiàn)遠程管理。但個人防火墻在企業(yè)網(wǎng)絡(luò)中的應(yīng)用和防病毒軟件的應(yīng)用一樣面臨管理的問題，沒有統(tǒng)一整體的管理，個人防火墻也不會起到肇慶工商職業(yè)技術(shù)學院 2020 屆畢業(yè)設(shè)計（論文） 18 應(yīng)有的作用。包括系統(tǒng)層參數(shù)的設(shè)定、規(guī)則等 配置信息的備份與恢復(fù)、流量統(tǒng)計、模板設(shè)置、工作站管理等。抵御包括 Smurf 拒絕服務(wù)攻擊、 ARP 欺騙式攻擊、 Ping攻擊、 Trojan 木馬攻擊等在內(nèi)的近百種來自網(wǎng)絡(luò)內(nèi)部以及來自 Inter 的黑客攻擊手段。通過對網(wǎng)絡(luò)通訊從鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層基于源地址、目標地址、端口、協(xié)議的逐層包過濾與入侵監(jiān)測，控制來自局域網(wǎng)/Inter 的應(yīng)用服務(wù)請求， 如 SQL 數(shù)據(jù)庫訪問、 IPX 協(xié)議訪問等。隨著網(wǎng)絡(luò)的增長，它們的處理負荷也在網(wǎng)絡(luò)中進一步分布，因此它們的高性能可以持續(xù)保持住，克服了傳統(tǒng)防火墻因網(wǎng)絡(luò)規(guī)模增大而不堪重負的 弊端。分布式 防火墻則從根本上去除了單一的接入點，而使這一問題迎刃而解。所以分布式防火墻有能力防止各種類型的攻擊。分布于整個企業(yè)內(nèi)的分布式防火墻使用戶可以方便地訪問信息，而不會將網(wǎng)絡(luò)的其他部分暴露在潛在非法入侵者面前。 （ 3）效率和故障：邊界防火墻把檢查機制集中在網(wǎng)絡(luò)邊界處的單點上，產(chǎn)生了網(wǎng)絡(luò)的瓶頸問題，這也是目前防火墻用戶在選擇防火墻產(chǎn)品時不得不首先考察其檢測效率而按前機制反在其次的原因。 肇慶工商職業(yè)技術(shù)學院 2020 屆畢業(yè)設(shè)計（論文） 14 第四章 分布式防火墻 分布式防火墻概述 （ 1）結(jié)構(gòu)性限制：邊界防火墻的工作機理依賴于網(wǎng)絡(luò)的物理拓撲結(jié)構(gòu)。 企業(yè)網(wǎng)絡(luò)安全是一個永遠說不完的話題，今天企業(yè)網(wǎng)絡(luò)安全已被提到重要的議事日程。 網(wǎng)絡(luò)安全問題簡單化 ,大多數(shù)企業(yè)家缺乏對 IT 技術(shù)的深入了解，他們通常會被網(wǎng)絡(luò)的安全需求所困擾、嚇倒或征服。隨著企業(yè)發(fā)展壯大， 對計算機網(wǎng)絡(luò)的應(yīng)用與需求量加大，如果不斷修補網(wǎng)絡(luò)安全措施，將造成整個安全系統(tǒng)的臃腫、難以維護，這就需要從根本上加強網(wǎng)絡(luò)安全管理，樹立安全管理意識，積極應(yīng)用各種新技術(shù)、新手段，真正做到防范于未然，提高企業(yè)計算機網(wǎng)絡(luò)應(yīng)用效率，實現(xiàn)企業(yè)健康、長遠發(fā)展。近年來，越來越多的企業(yè)構(gòu)建內(nèi)部信息化發(fā)展體系。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。另外，收集一個網(wǎng)絡(luò)的使用和 誤用情況也是非常重要的。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。如防火墻可以禁止諸如眾所周知的不安全的 NFS 協(xié)議進出受保護網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。因此，網(wǎng)絡(luò)安全成為這兩年 IT 業(yè)內(nèi)的熱點話題，而防火墻更是熱點中的一個焦點。 肇慶工商職業(yè)技術(shù)學院 2020 屆畢業(yè)設(shè)計（論文） 10 第三章 防火墻技術(shù)在企業(yè)中的應(yīng)用 防火墻的重要性 為了維護計算機網(wǎng)絡(luò)的安全，人們提出了許多手段和方法，采用防火墻是其中最主要、最核心、最有效的手段之一。網(wǎng)絡(luò)發(fā)給計算機的所有數(shù)據(jù)都要先經(jīng)過互聯(lián)網(wǎng)的判斷，判斷信息是否安全，再決定是否肇慶工商職業(yè)技術(shù)學院 2020 屆畢業(yè)設(shè)計（論文） 9 傳給電腦?？梢杂没旌霞用芩惴?，對稱加密算法和非對稱加密算法來實現(xiàn)。但如如果將這兩種方式結(jié)合起來，就會得到一個更為復(fù)雜的系統(tǒng)， 得到更為顯著的效果。它并非提供認證，因為該密匙的任何一個使用者都可以隨意創(chuàng)建和加密一則有效信息。加密方式用兩種：私匙加密與公匙加密。單機殺毒軟件通常裝在單獨的電腦上，就是對本地網(wǎng)絡(luò)連接接受遠程資源運用分析掃描的方式進行檢測、清理病毒。網(wǎng)絡(luò)升級不及時或管理員配置不當都會造成安全漏洞。有些企業(yè)用戶自作主張將本部門的計算機聯(lián)上企業(yè)的網(wǎng)絡(luò)，甚至擅自在網(wǎng)絡(luò)上增 加網(wǎng)絡(luò)集線器。嚴重時可能會致使企業(yè)網(wǎng)絡(luò)局部或全部癱瘓。這些數(shù)據(jù)表明我國的網(wǎng)絡(luò)信息安全已遠落后于發(fā)達國家，因此，對我國安全形勢的了解是十分重要的。為確保企業(yè)的信息安全和網(wǎng)絡(luò) 暢