【正文】 ，一些防火墻制造商開發(fā)了基于 ASIC 的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。但是純硬件的 ASIC 防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。防火墻技術(shù)只有不斷向主動型和智能型等方向發(fā)展，才能更好的滿足人們對防火墻技術(shù)日益增長畢業(yè)論文 30 的需求。 防火墻目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中畢業(yè)論文 31 的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。論文的字里行間無不凝結(jié)著老師的悉心指導(dǎo)和 教海，老師淵博的學(xué)識和嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度給我留下了深刻的印象，我從他那里學(xué)到的不僅僅是專業(yè)知識，更重要的是嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度、對事業(yè)忘我的追求、高度的使命感、責(zé)任感及和藹熱情的品質(zhì)和做人的道理，這些將使我受益一生，并將激勵我不斷向前奮進(jìn)。感謝所有對我學(xué)業(yè)、生活上的支持和鼓勵，感謝所有關(guān)心幫助過我的人。讓我們共同努力創(chuàng)造更好的明天。 參考文獻(xiàn) 胡道元 .閔京華 .網(wǎng)絡(luò)安全（第二版） 艾軍 .防火墻體系結(jié)構(gòu)及功能分析 孟濤、楊磊 .防火墻和安全審計(jì) 鄭林，防火墻原理入門 魏華，防火墻技術(shù)及其性能研究 李劍，分布式防火墻系統(tǒng) 朱衛(wèi)未 .防火墻技術(shù)分析 畢業(yè)論文 32 王永綱，網(wǎng)絡(luò)包分類算法仿真測試與比較研究 邵華鋼，基于空間分解技術(shù)的多維數(shù)據(jù)包分類 付歌，一個快速的二維數(shù)據(jù)包分類算法 王興軍 .基于空間分解的數(shù)據(jù)包分類技術(shù) 胡熠峰 .一種用于大規(guī)模規(guī)則庫的快速包分類算法 .計(jì)算機(jī)工程 致謝 本文在無論在選題還 是研究過程中都得到南楠老師的悉心指導(dǎo)，從文獻(xiàn)的查閱、論文的選題、撰寫、修改、定稿，我的每一個進(jìn)步都和李老師的關(guān)注與指導(dǎo)畢業(yè)論文 33 密不可分。新型防火墻技術(shù)產(chǎn)生 ,就是為了解決來自企業(yè)網(wǎng)絡(luò)內(nèi)和外的攻擊 。這樣的防火墻就可以同時 滿足來自靈活性和運(yùn)行性能的要求。 與基于 ASIC 的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。有些防火墻集成了防病毒功能，通常被稱之為“病毒防火墻”，當(dāng)然目前主要還是在個人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问剑菀?實(shí)現(xiàn)。在分組過濾 (網(wǎng)絡(luò)層 )一級，過濾掉所有的源路由分組和假冒的 IP 源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或 /和入的協(xié)議和有害數(shù)據(jù)包如 nuke 包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān) (應(yīng)用層 )一級，能利用 FTP、 SMTP 等各種網(wǎng)關(guān)，控制和監(jiān)測 Inter 提供的所用通用服務(wù)。該功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)。它可只經(jīng)過路由器的簡單防護(hù)。 校園網(wǎng)防火墻結(jié)構(gòu) 在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上校園網(wǎng)可以有兩種選擇，這主要根據(jù)其擁有的網(wǎng)絡(luò)設(shè)備情況而定。 2．允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類型。 4．在局域網(wǎng)的入口架設(shè)千兆防火墻，并實(shí)現(xiàn) VNP 的功能，在校園網(wǎng)絡(luò)入口處建立第一層的安 全屏障， VPN 保證了管理員在家里或出差時能夠安全接入數(shù)據(jù)中心?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則。 校園網(wǎng)防火墻部署 防火墻是網(wǎng)絡(luò)安全的屏障。 圖 應(yīng)用防火墻配置示意圖 畢業(yè)論文 25 第四章 防火墻技術(shù)在校園網(wǎng)中的應(yīng)用 隨著計(jì)算機(jī)網(wǎng)絡(luò)的深入發(fā)展，高校信息化進(jìn)程的推進(jìn)，學(xué)院校園網(wǎng)網(wǎng)上上運(yùn)行的應(yīng)用系統(tǒng)越來越多，信息系統(tǒng)變得越來越龐大和復(fù)雜。雙宿主網(wǎng)關(guān)用一個代理服務(wù)器，雙宿主主機(jī)是一臺有兩塊接口卡的計(jì)算機(jī)，每塊接口卡有一個 IP 地址，如圖 所示。 4． 如果一條規(guī)則阻塞傳遞或接收一個分組，則不允許該分組通過。 2． 當(dāng)一個分組到達(dá)過濾端口時，將對該分組的頭部進(jìn)行分析。如果防火墻允許任何協(xié)議通過的話，內(nèi)部人員很容易攻破防火墻。當(dāng)然特定的一些機(jī)器除外，這種機(jī)器的安全是被嚴(yán)格保證的。尤其是必須使域名系統(tǒng)協(xié)議能夠通過防火墻。另一種是屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)，一個子網(wǎng)內(nèi)放置堡壘機(jī)，形成非軍事化區(qū)，兩個分組過濾防火情放 在該子網(wǎng)的兩端，使該子網(wǎng)與 Inter 及內(nèi)部網(wǎng)絡(luò)分離。組成自適應(yīng)代理防火的基本要素有兩個：動態(tài)包過濾器與自適應(yīng)代理服務(wù)器。電路層網(wǎng)關(guān)是用來在兩個通信的終點(diǎn)之間進(jìn)行轉(zhuǎn)換包。 代理防火墻的缺點(diǎn)： 速度相對比較慢是代理防火墻最大的缺點(diǎn)，當(dāng)用戶對內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時，代理防火墻就會成為內(nèi)外部網(wǎng)絡(luò)之間最大的瓶頸。由于每個內(nèi)外網(wǎng)絡(luò)之間相互的連接都要通過代理的介入和轉(zhuǎn)換，通過專門為特定的服務(wù)而編寫的安全化應(yīng)用程序進(jìn)行處理，而后由防火墻自身提交請求和應(yīng)答，這樣做沒給內(nèi)外部網(wǎng)絡(luò)的計(jì)算機(jī)任何直接會話的機(jī)會，從而避免入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式來入侵內(nèi)部網(wǎng)絡(luò)。對于不符合預(yù)定的安全策略的連接請 求，則阻塞或者將其拋棄。 應(yīng)用層網(wǎng)關(guān)防火墻是傳 統(tǒng)的代理型防火墻，其核心技術(shù)是代理服務(wù)器技術(shù)，這種防火墻是基于軟件的，通常安裝于專用工作站系統(tǒng)上。記錄及控制所有進(jìn)出流量的能力是應(yīng)用層網(wǎng)關(guān)的主要優(yōu)點(diǎn)之一。當(dāng)代理服務(wù)器接收到一個客戶的連接意圖時，代理服務(wù)器將核實(shí)客戶請求的內(nèi)容，并用特定的安全化的代理人應(yīng)用程序來處理客戶連接請求，然后將處理之后的請求傳遞到真實(shí)的服務(wù)器上，之后接受服務(wù)器的應(yīng)答，再做進(jìn)一步處理之后，將答復(fù)交給發(fā)出請求的最終客戶。例如：數(shù)據(jù)包過濾規(guī)則配置艱難，用戶界面和管理方式都比較差；安全管理人員素質(zhì)要求很高；建立安全規(guī)則時，必須對協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。 2．對地址欺騙的防止不徹底。數(shù)據(jù)包過濾是在 IP 層 實(shí)現(xiàn)的， Inter 根本感覺不到它的存在；包過濾不要求任何自定義軟件或者客戶機(jī)配置；它也不要求用戶任何特殊的訓(xùn)練或者操作，使用起來畢業(yè)論文 20 很方便。如果內(nèi)容過濾引擎啟動，數(shù)據(jù)流將會根據(jù)內(nèi)容過濾的設(shè)置進(jìn)行匹配，允許或拒絕數(shù)據(jù)的通過。內(nèi)容數(shù)據(jù)流在服務(wù)分析器根據(jù)數(shù)據(jù)流服務(wù)類型進(jìn)行分離，而后傳送數(shù)據(jù)流到命令解析器中。通過更加優(yōu)化的算法和采用硬件芯片，可以解決這個問題。因此必須采取有效方法，將單個數(shù)據(jù)包通過重新組合，合成完整的數(shù)據(jù)流。 3. 深度包檢測 畢業(yè)論文 19 深度包檢測是深入檢測數(shù)據(jù)包有效載荷，執(zhí)行基于應(yīng)用層的內(nèi)容的過濾，以此提高系統(tǒng)應(yīng)用防御能力。利用靜態(tài)包過濾規(guī)則建立的防火墻就叫靜態(tài)包過濾防火墻。 圖 包過濾示意圖 包過濾操作可在路由器上進(jìn)行，也可在網(wǎng)橋，甚至在一個單獨(dú)的個人計(jì)算機(jī)上也能照常進(jìn)行。選擇的依 據(jù)是系統(tǒng)內(nèi)部設(shè)置的安全策略，這種過濾邏輯被稱為訪問控制表或規(guī)則表。防火墻還提供靜態(tài)路由功能，支持路由方式，支持內(nèi)部網(wǎng)絡(luò)多個子網(wǎng)之間的安全訪問。同時將有限的 IP 地址采用動態(tài)或靜態(tài)的方式的與內(nèi)部 IP 地址相對應(yīng)起來，以此緩解地址空間短缺問題，節(jié)省資源，降低成本。 2．認(rèn)證和應(yīng)用代理 認(rèn)證指防火墻對訪問者合法身份的確認(rèn)。 利用防火墻能保護(hù)站點(diǎn)不被任意聯(lián)接，甚至能建立跟蹤工具，幫助總結(jié)并記畢業(yè)論文 17 錄有關(guān)正在進(jìn)行的聯(lián)接資源、服務(wù)器提供的通信量以及試圖闖入者的任何企圖。 防火墻的主要功能就是控制對受保護(hù)網(wǎng)絡(luò)的非法訪問，它通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，另一方面對內(nèi)屏蔽外部危險(xiǎn)站點(diǎn)，用以防范外對內(nèi)、內(nèi)對外的非法訪問。 第三代防火墻所具有的特點(diǎn)保證了其穩(wěn)定快速的運(yùn)行，已得到廣大用戶認(rèn)同。 第二階段：用戶化的防火墻工具套 由于路由器防火墻的諸多不足，很多大型用戶紛紛希望用經(jīng)過專門開發(fā)的防火墻來保護(hù)其的網(wǎng)絡(luò)安全，在這樣的前提下推動了用戶化防火墻工具套的出現(xiàn)。 3．進(jìn)行過濾判決的依據(jù)是：端口號、地址、 IP 旗標(biāo)和其它網(wǎng)絡(luò)特征。防火墻可有效地監(jiān)控內(nèi)部網(wǎng)絡(luò)與外部互 聯(lián)網(wǎng)之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。 防火 墻基本概念 防火墻是指 設(shè)置在不同網(wǎng)絡(luò)（需要被保護(hù)網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)）之間的一道有效屏障，即一種將內(nèi)部網(wǎng)和公眾網(wǎng)（如 Inter）分開的方法，它是一系列部件的組合，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。于此同時計(jì)算機(jī)網(wǎng)絡(luò)病毒及黑客攻擊等諸多不安全因素充斥于網(wǎng)絡(luò)之中，使得網(wǎng)絡(luò)安全問題愈加突出。 3. 施要標(biāo)準(zhǔn)化、規(guī)范化和科學(xué)化。你需要了解可以分配什么樣的權(quán)限，還有日?；顒悠陂g一些規(guī)則是處理權(quán)限的。 5. 防病毒技術(shù) 隨著計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)病毒變得越來越復(fù)雜和高級，計(jì)算機(jī)病毒防范不僅僅是一個產(chǎn)品、一個策略或一個制度，它是一個匯集了硬件、軟件、網(wǎng)絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。目前，防火墻采取的技術(shù)，主要是包過濾、應(yīng)用網(wǎng)關(guān)、子網(wǎng)屏蔽等。 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) 1. 數(shù)據(jù)加密 加 密就是把明文變成密文，從而使未被授權(quán)的人看不懂它。主要措施有：提供實(shí)時改變安全策略的能力、實(shí)時監(jiān)控企業(yè)安全狀態(tài)、對現(xiàn)有的安全系統(tǒng)實(shí)施漏洞檢查等，以防患于未然。 畢業(yè)論文 10 網(wǎng)絡(luò)安全措施 網(wǎng)絡(luò)信息安全涉及方方面面的問題，是一個復(fù)雜的系統(tǒng)。嚴(yán)重時會使系統(tǒng)關(guān)機(jī)，網(wǎng)絡(luò)癱瘓。 2. 計(jì)算機(jī)病毒的侵襲。所以，廣義的計(jì)算機(jī)網(wǎng)絡(luò)安全還包括信息設(shè)備的物理安全性，諸如場地環(huán)境保護(hù)、防火措施、防水措施、靜電防護(hù)、電源保護(hù)、空調(diào)設(shè)備、計(jì)算機(jī)輻射和計(jì)算機(jī)病毒等。在邏輯上 ,防火墻是一個分離器 ,一個限制器 ,也是一個分析器 ,有效地監(jiān)控了內(nèi)部網(wǎng)和 Inter 之間的任何活動 , 保證了內(nèi)部網(wǎng)絡(luò)的安全。例如假冒 IP 包對通信雙方之間進(jìn)行欺騙 :對主機(jī)大量發(fā)送數(shù) 據(jù)包進(jìn)行轟炸攻擊，使之際崩潰；及藍(lán)屏攻擊等。因此，這些防火墻防外而不防內(nèi)，不能很好的解決每一個撥號上網(wǎng)用戶所在主機(jī)的安全問題，也難以 實(shí)現(xiàn)對企業(yè)內(nèi)部局域網(wǎng)之間的安全通信，而多數(shù)個人上網(wǎng)之時，并沒有置身于得到安全防護(hù)的內(nèi)部網(wǎng)絡(luò)之中。并且防火墻能夠?qū)崟r記錄其它計(jì)算機(jī)系統(tǒng)試圖對本機(jī)系統(tǒng)的訪問、入侵，使個人計(jì)算機(jī)在連接到互聯(lián)網(wǎng)時避免受到網(wǎng)絡(luò)攻擊或資料 泄漏等安全威脅。防火墻具有很強(qiáng)的針對性和實(shí)用性，防火墻為個人上網(wǎng)用戶提供了較完整的網(wǎng)絡(luò)安全解畢業(yè)論文 7 決方案，它可以有效地控制個人電腦用戶信息在互聯(lián)網(wǎng)上的收發(fā)。從邏輯上講，防火墻是由過濾器，分析器和限制器組成；從物理上講，防火墻可通過多 種方式實(shí)現(xiàn)。目前，普遍所采取的網(wǎng)絡(luò)安全防范措施有：防火墻技術(shù)，安全內(nèi)核術(shù)， WEB 安全技術(shù)，網(wǎng)絡(luò)反病毒技術(shù)，鑒別技術(shù)。尤其是一些非法組織有計(jì)劃地通過網(wǎng)絡(luò)渠道，宣傳異教邪說，妄圖擾亂人心，擾亂社會秩序。據(jù)某市安全管理部門統(tǒng)計(jì)， 2021 年第 1 季度 內(nèi)，該市共遭受了近 37 萬次網(wǎng)絡(luò)黑客攻擊、以及 萬次以上病毒入侵和將近 57 次系統(tǒng)癱瘓。面對網(wǎng)絡(luò)安全所表現(xiàn)的嚴(yán)峻形勢，我國的網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測、反應(yīng)、防范和恢復(fù)能力方面存在著許多薄弱環(huán)節(jié)。其中，感染 3 次以上的用戶高達(dá) 59%，而且病毒的破壞性較大，被病毒破壞全部數(shù)據(jù)的占 14%，破壞部分?jǐn)?shù)據(jù)的占 57%。面對充斥在網(wǎng)絡(luò)中的黑客，病毒等一系列不安全因素，使得網(wǎng)絡(luò)安全問題愈加迫 切。 國內(nèi)外現(xiàn)狀 科學(xué)技術(shù)迅猛發(fā)展，在信息時代的巨大浪潮中。雖然豐富了人們的日常學(xué)習(xí)生活，提升了工作效率。這以要求我們與 Inter互連所