【正文】 將網(wǎng)內(nèi)的實(shí)際地址隱蔽起來，外部用戶很難知道內(nèi)部的 IP 地址，因而難以攻擊。事實(shí)上，內(nèi)部用戶可以通過防火墻下載程 序，并執(zhí)行下載的程序。第四代防火墻采用了一次性口令字和禁止直接登錄防火墻措施，能夠有效防止對(duì)口令字的攻擊。 5)抗郵件詐騙攻擊 郵件詐騙也是越來越突出的攻擊方式，第四代防火墻不接收任何郵件，故難以采用這種方式對(duì)它攻擊，同樣值得一提的是，防火墻不接收郵件，并不表示它不讓郵件通過，實(shí)際上用戶仍可收發(fā)郵件，內(nèi)部用戶要防郵件詐騙，最終的解決辦法是對(duì)郵件加密。但是沒有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問題，比如防火墻雖然能對(duì)來自外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的保護(hù)，但對(duì)于來自網(wǎng)絡(luò)內(nèi)部的攻擊卻無能為力。 首先，我要特別感謝劉智斌老師對(duì)我的悉心指導(dǎo)，在整個(gè)過程中劉老師幫助我收集文獻(xiàn)資料，理清思路，并對(duì)我所做的論文從方法上給予我很多的指導(dǎo)和幫助，還有論文的選題、文章結(jié)構(gòu)的構(gòu)筑到最后的定稿，都得到了劉老師的細(xì)心指點(diǎn)和提攜，在此期間還對(duì)我提出了有效的改進(jìn)方案，使我對(duì)自己的論文有了深刻的認(rèn)識(shí)。在他們的幫助下，我的論文才得以完成。附錄 A 討論了一個(gè) Perl 腳本示例（與 fwsnort 項(xiàng)目一起發(fā)布），該腳本就是用來做這件事情的。附錄 B 包含了一個(gè)由fwsnort 生成的 腳本的完整示例。 。理解概念的最好方法莫過于研究實(shí)例，而研究源代碼或仔細(xì)檢查數(shù)據(jù)包跟蹤總是理解計(jì)算機(jī)工作原理的最佳方式。附錄 B 包含了一個(gè)由fwsnort 生成的 腳本的完整示 例。 最后還要感謝我的父母，在我求學(xué)期間，他們?yōu)榇烁冻隽嗽S多許多， 他們無盡的愛和毫無保留的支持給了我不斷前進(jìn)的動(dòng)力。 其次，真誠(chéng)的感謝其他的老師們，他們?cè)谖覍懻撐牡倪^程中給我提出了寶貴的意見。因此網(wǎng)絡(luò)安全單靠 防火墻是不夠的，還需要有其它技術(shù)和非技術(shù)因素的考慮，如信息加密技術(shù)、身份驗(yàn)證技術(shù)、制定網(wǎng)絡(luò)法規(guī)、提高網(wǎng)絡(luò)管理人員的安全意識(shí) 防火墻技術(shù)研究 40 參考文獻(xiàn) [1] 蘇金樹 計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用基礎(chǔ) [M]長(zhǎng)沙 國(guó)防科技大學(xué)出版社 , 2021 [2] 張小斌 嚴(yán)望佳 黑客分析與防范技術(shù) [M] 清華大學(xué)出版社 1999 [3] 周賢偉 , 信息網(wǎng)絡(luò)與安全 [M],北京 :國(guó)防工業(yè)出版社 ,2021 [4] 周筱連 ,計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù) [J],電腦知識(shí)與技術(shù) ,2021,(1):148. [5] Brewer D, Nash M. The Chinese Wall Security Policy. IEEE Symposium on Security and Privacy IEEE [J] Computer Society Press, 2021 [6] 金雷 ,謝立 ,網(wǎng)絡(luò)安全綜述 [J] ,計(jì)算機(jī)工程與設(shè)計(jì) 2021 ,24 (2) [7] Chapman D B Elizabeth D Z ,構(gòu)筑因特網(wǎng)防火墻 [M]( 北京 ) 電子工業(yè)出版社 1998 [8] 陳愛民 .計(jì)算機(jī)的安全與保密 [M].北京 :電子工業(yè)出版社 ,2021. [9] Millen J K. Models of multilevel puter security Advances in Computers,1978 (29). [10] Frederic J. Cooper, et al. Implementing Inter [J] New Riders Publishing 1995 [11] (美 )jack and Steven 著 戴宗坤等譯 .防火墻與酬特網(wǎng)安全 [M].北京 :機(jī)械工業(yè)出版社 ,2021 [12] 付歌，楊明福 .一個(gè)快速的二維數(shù)據(jù)包分類算法 .計(jì)算機(jī)工程 .2021，30(6):76 一 78 [13] 付歌，楊明福，王興軍 .基于空間分解的數(shù)據(jù)包分類技術(shù) .計(jì)算機(jī)工程與應(yīng)用 .2021(8):63 一 65 [14] 〕韓曉非，王學(xué)光，楊明福 .位并行數(shù)據(jù)包分類算法研究 .華東理工大學(xué)學(xué)報(bào) .2021， 29(5):504 一 508 [15] 韓曉非，楊明福，王學(xué)光 .基于元組空間的位并行包分類算法 .計(jì)算機(jī)工程防火墻技術(shù)研究 41 與應(yīng)用 .2021， (29):188 一 192 [16] 馮東雷，張勇，白英彩 .一種高性能包分類漸增式更新算法 .計(jì)算機(jī)研究與發(fā)展 .2021， 40(3):387 一 392 [17] 余勝生，張寧，周敬利，胡熠峰 .一種用于大規(guī)模規(guī)則庫(kù)的快速包分類算法 .計(jì)算機(jī)工程 .2021， 30(7):49 一 51 [18] 高峰 .許南山 .防火墻包過濾規(guī)則問題的研究 [M].計(jì)算機(jī)應(yīng)用 .2021，23(6):311 一 312. [19] 孟濤、楊磊 .防火墻和安全審計(jì) [M].計(jì)算機(jī)安全 .2021， (4):17 一 18. [20] 鄭林 .防火墻原理入門 [Z]. E 企業(yè) .2021. [21] 魏利華 .防火墻技術(shù)及其性能研究 .能源研究與信息 .2021， 20(l):57 一 62 防火墻技術(shù)研究 42 致謝 通過這段時(shí)間 的畢業(yè)論文，使我學(xué)會(huì)了很多的知識(shí)，雖然仍有很多不足之處有待改良和增進(jìn)，但這并不重要，重要的是我對(duì)網(wǎng)絡(luò)安全有了更深的了解。防火墻技術(shù)作為目前用來實(shí)現(xiàn)網(wǎng)絡(luò)安措施的一種主要手段，它主要是用來拒絕未經(jīng)授權(quán)用戶的訪問，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時(shí)允許合法用戶不受妨礙的訪問網(wǎng)絡(luò)資源。目前， SATA 軟件可以從網(wǎng)上免費(fèi)獲得， Inter Scanner 可以從市面上購(gòu)買，這些分析工具給網(wǎng)絡(luò)安全構(gòu)成了直接的威脅。嗅探是通過監(jiān)測(cè)網(wǎng)絡(luò)通信，截獲用戶傳給服務(wù)器的口令字，記錄下來，以便使用；解密是指采用強(qiáng)力攻擊、猜測(cè)或截獲含有加密口令的文件，并設(shè)法解密。第四代防火墻是建立在安全的操作系統(tǒng)之上的，其內(nèi)核中不能執(zhí)行下載的程序，故而可以防止特洛伊木馬的發(fā)生。在 Inter 環(huán)境中針對(duì)防火墻的攻擊很多，下面從幾種主要的攻擊方法來評(píng)估第四代防火墻的抗攻擊能力。 10)審計(jì)和告警 第四代防火墻產(chǎn)品采用的審計(jì)和告警功能十分健全，日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進(jìn)站代理、 FTP 代理、出站代理、郵 件服務(wù)器、名服務(wù)器等。換言之，一旦 SSN 受破壞，內(nèi)部網(wǎng)絡(luò)仍會(huì)處于防火墻的保護(hù)之下，而一旦 DMZ 受到破壞，內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。 Ident 服務(wù)器對(duì)用戶連接的識(shí)別做專門處理，網(wǎng)絡(luò)新聞服務(wù)則為接收來自 ISP 的新聞開設(shè)了專門的磁盤空間。在匿名 FTP 方面，服務(wù)器只提供對(duì)有限的受保護(hù)的部分目錄的只讀訪問。 5) 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù) 第四代防火墻利用 NAT 技術(shù)能透明地對(duì)所有內(nèi)部地址做轉(zhuǎn)換，使得外 部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己編的 IP 源地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個(gè)主機(jī)的通信，確保每個(gè)分組送往正確的地址。 3)靈活的代理系統(tǒng) 代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊，第四代防火墻采用了兩種代理機(jī)制：一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接；另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。 . 第四代防火墻 第四代防火墻的主要技術(shù)及功能 第四代防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一，具有以下技術(shù)功能。 通用操作系統(tǒng)上的防火墻的特點(diǎn)： 防火墻技術(shù)研究 34 1)是批量上市的專用防火墻產(chǎn)品； 2)包括分組過濾或者借用路由器的分組過濾功能； 3)裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令； 4)保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置； 5)安全性和速度大大提高。 用戶化的防火墻工具套 為了彌補(bǔ)路由器防火墻的不足，很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護(hù)自己的網(wǎng)絡(luò)，從而推動(dòng)了用戶防火墻工具套的出現(xiàn)。 3) 路由器防火墻的最大隱患是：攻擊者可以 “ 假冒 ” 地址。例如，在使用 FTP 協(xié)議時(shí)，外部服務(wù)器容易從 20 號(hào)端口上與內(nèi)部網(wǎng)相連，即使在路由器上設(shè)置了過濾規(guī)則，內(nèi)部網(wǎng)絡(luò)的 20 號(hào)端口仍可以由外部探尋。 防火墻技術(shù)研究 32 第五章 防火墻的發(fā)展 趨勢(shì) 由于多數(shù)路由器本身就包含有分組過濾功能，故網(wǎng)絡(luò)訪問控制可能通過路控制來實(shí)現(xiàn)，從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。 （ 3）支持“除非明確允許，否則就禁止”的安全防范原則。以網(wǎng)橋的方式將防火墻接入網(wǎng)絡(luò)，網(wǎng)絡(luò)和用戶無需做任何設(shè)置和改動(dòng)，也根本意識(shí)不到防火墻的存在。在軟件性能方面，國(guó)外一些著名的廠家均采用專用的操作系統(tǒng)，自行設(shè)計(jì)防火墻，提供高性能的產(chǎn)品；而國(guó)內(nèi)廠家大部分基于 Linux 操作平臺(tái)，有針對(duì)性的修改代碼、增加技術(shù)及系統(tǒng)補(bǔ)丁等。硬件防火墻是一個(gè)把硬件和軟件都單獨(dú)設(shè)計(jì)，并集成在一起，運(yùn)行于自己專用的系統(tǒng)平臺(tái)。 IP 地址 黑客利用一個(gè)類似于內(nèi)部網(wǎng)絡(luò)的 IP 地址，以“逃過”服務(wù)器檢測(cè)，從而進(jìn) 防火墻技術(shù)研究 30 入內(nèi)部網(wǎng)達(dá)到攻擊的目的。嗅探針對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊，通過監(jiān)測(cè)網(wǎng)絡(luò)獲取主機(jī)給防火墻的口令字。 防火墻技術(shù)研究 29 第四章 常見攻擊方式及應(yīng)對(duì)方式 病毒 盡管某些防火墻產(chǎn)品提供了在數(shù) 據(jù)包通過時(shí)進(jìn)行病毒掃描的功能，但仍然很難將所有的病毒（或特洛伊木馬程序）阻止在網(wǎng)絡(luò)外面，黑客很容易欺騙用戶下載一個(gè)程序從而讓惡意代碼進(jìn)入內(nèi)部網(wǎng)。 一般地，外部路由器由外部群組 提供 (例如，用戶的 Inter 供應(yīng)商 )，同時(shí)用戶對(duì)它的訪問被限制。限制堡壘主機(jī)和內(nèi)部網(wǎng)之間服務(wù)的理由是減少由此而導(dǎo)致的受到來自堡壘主機(jī)侵襲的機(jī)器的數(shù)量。內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作。 b)設(shè)置代理服務(wù)器在堡壘主機(jī)上運(yùn)行 (如果用戶的防火墻使用代理軟件 )來允許內(nèi)部的客戶端間接地訪問外部的服務(wù)器。 (2)堡壘主機(jī) 在屏蔽的子網(wǎng)體系結(jié)構(gòu)中，用戶把堡壘主機(jī)連接到周邊網(wǎng)；這臺(tái)主機(jī)便是接受來自外界連接的 主要入口。因?yàn)闆]有嚴(yán)格的內(nèi)部通信 (即在兩臺(tái)內(nèi)部主機(jī)之間的通信，這通常是敏感的或?qū)Ｓ械?)能越過周邊網(wǎng)。探聽者可以通過查看那些在Tel、 FTP 以及 Rlogin 會(huì)話期間使用過的口令成功地探測(cè)出口令。即使侵襲者侵入堡壘主機(jī)，它將仍然必須通過內(nèi)部路由器，如圖 6 所示 圖 6 被屏蔽子網(wǎng)體系結(jié)構(gòu) 對(duì)圖 6 的要點(diǎn)說明如下： (1)周邊網(wǎng)絡(luò)周邊網(wǎng)絡(luò)是另一個(gè)安全層 ,是在外部網(wǎng)絡(luò)與用戶的被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間的附加的網(wǎng)絡(luò)。屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為：兩個(gè)屏蔽路由器，每一個(gè) 都連接到周邊網(wǎng)。 然而，比較其他體系結(jié)構(gòu)，如在下面要討論的屏蔽子網(wǎng)體系結(jié)構(gòu)也有一些缺點(diǎn)。 因?yàn)檫@種體系結(jié)構(gòu)允許數(shù)據(jù)包從因特網(wǎng)向內(nèi)部網(wǎng)的移動(dòng)，所以它的設(shè)計(jì)比沒有外部數(shù)據(jù)包能到達(dá)內(nèi)部網(wǎng)絡(luò)的雙重宿主主機(jī)體系結(jié)構(gòu)似乎是更冒風(fēng)險(xiǎn)。在屏蔽的路由器中數(shù)據(jù)包過濾配置可以按下列之一執(zhí)行： 防火墻技術(shù)研究 25 (1)允許其他的內(nèi)部主機(jī)為了某些服務(wù)與因特網(wǎng)上的主機(jī)連接 (即允許那些已經(jīng)由數(shù)據(jù)包過濾的服務(wù) )。即使這樣，也僅有某些確定類型的連接被允許。 但這種體系結(jié)構(gòu)中用戶訪問 因特網(wǎng)的速度會(huì)較慢，也會(huì)因?yàn)殡p重宿主主機(jī)的被侵襲而失效。然而，實(shí)現(xiàn)雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能。采用 Winsock 2 SPI 的優(yōu)點(diǎn)是非常明顯的：其工作在應(yīng)用層以 DLL 的形式存在，編程、測(cè)試方便；跨 Windows 平臺(tái)，可以直接在 Windows98/ME/NT/2021/XP 上通用， Windows95 只需安裝上 Winsock 2 for 95，也可以正常運(yùn)行；效率高，由于工作在應(yīng)用層， CPU 占用率低；封包還沒有按照低層協(xié)議進(jìn)行切片，所以比較完整。 此防火墻還采用兩種封包過濾技術(shù)：一是應(yīng)用層封包過濾，采用Winsock 2 SPI ；二是核心層封包過濾，采用 NDIS_HOOK。另外 ,防火墻內(nèi)部各主機(jī)間的攻擊行為 ,防火墻出只有如旁觀者一樣冷視而愛莫能助。而當(dāng)防火墻謚出的時(shí)候 , 整個(gè)防線就如同虛設(shè) , 原本被禁止的連接也能從容通過了。即使防火墻進(jìn)行了很好的設(shè)置 ,