【正文】 27 [9] , for Packet the 9 th Annual Joint Conference of the IEEE Computer and Communieations , 11931202.[10] ]王永綱，石江濤，戴雪龍， ，34(4):400 一 409 [11] 邵華鋼，29(12):123 一 124 [12] 付歌，30(6):76 一 78 [13] 付 歌，楊 明 福，王 興 于 空 間 分 解 的 數(shù) 據(jù) 包 分 類 技 算 機 工 程 與 應(yīng) (8):63 一 65 [14] 〕韓曉非，王學光，29(5):504 一 508 [15] 韓曉非，楊明福，(29):188 一 192 [16] 馮東雷，張勇，40(3):387 一 392 [17] 余勝生，張寧，周敬利， ，30(7):49 一 51 26 計算機防火墻技術(shù)論文致謝本文是在李老師的悉心指導卜完成的，從文獻的查閱、論文的選題、撰寫、修改、定稿，我的每一個進步都和李老師的關(guān)注與指導密不可分。讓我們共同努力創(chuàng)造 更好的明天。但由于Internet是一個開放的，無控制機構(gòu)的網(wǎng)絡(luò)，經(jīng)常會受到計算機病毒、黑客的侵襲。本文主要闡述了網(wǎng)絡(luò)安全技術(shù)所要受到的各方面威脅以及自身存在的一些缺陷，所謂知己知彼，百戰(zhàn)不殆。關(guān)鍵字：計算機網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；防范措施；防火墻技術(shù)IIAbstract With the development of The Times, the Internet has bee increasingly popular and network information resources of the sea, and bring great convenience。As the protection of local subnet an effective means, firewall technology。And then expounds mainly firewall in network security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。本文主要研究網(wǎng)絡(luò)安全的缺陷原由及網(wǎng)絡(luò)安全技術(shù)的原理和其他技術(shù)，如防火墻技術(shù)對網(wǎng)絡(luò)安全起到的不可忽視的影響。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。這些無目的的事件，有時會直接威脅網(wǎng)絡(luò)的安全，影響信息的存儲媒體?！诳凸襞c計算機病毒人為威脅就是說對網(wǎng)絡(luò)的人為攻擊。l 黑客攻擊自1998年后，網(wǎng)上的黑客越來越多，也越來越猖獗；與此同時黑客技術(shù)逐漸被越來越多的人掌握現(xiàn)在還缺乏針對網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，“殺傷力”強，這是網(wǎng)絡(luò)安全的主要威脅之一。軟件的漏洞和后門：隨著CPU的頻率越來越高，軟件的規(guī)模越來越大，軟件系統(tǒng)中的漏洞也不可避免的存在，強大如微軟所開發(fā)的Windows也存在。等行為極大地降低了員工的工作效率。在眾多人為威脅中來自用戶和惡意軟件即計算機病毒的非法侵入嚴重，計算機病毒是利用程序干擾破壞系統(tǒng)正常工作的一種手段，它的產(chǎn)生和蔓延給信息系統(tǒng)的可靠性和安全性帶來嚴重的威脅和巨大的損失。l 信息泄漏惡意、過失的不合理信息上傳和發(fā)布，可能會造成敏感信息泄漏、有害信息擴散，危及社會、國家、體和個人利益。l 網(wǎng)絡(luò)內(nèi)部用戶的誤操作和惡意行為對于來自網(wǎng)絡(luò)內(nèi)部的攻擊，主流的網(wǎng)絡(luò)安全產(chǎn)品防火墻基本無能為力，這類攻擊及其誤操作行為需要網(wǎng)絡(luò)信息審計、IDS等主要針對內(nèi)部網(wǎng)絡(luò)安全的安全產(chǎn)品來抵御。像Nimda和CodeRed的爆發(fā)更是具有深遠的影響，促使人們不得不在網(wǎng)絡(luò)的各個環(huán)節(jié)考慮對于各種病毒的檢測防治，對病毒徹底防御的重要性毋庸置疑。網(wǎng)絡(luò)安全的人為威脅主要分為以下幾種： l 網(wǎng)絡(luò)缺陷Intemet由于它的開放性迅速在全球范圍內(nèi)普及，但也正是因為開放性使其保護信息安全存在先天不足。（如偵聽微機操作過程）。這些威脅可以宏觀地分為自然威脅和人為威脅。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡(luò)上傳輸時受到保護，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。Key words: Computer network, Network security, The prevention measures, Firewall technologyIII目錄摘 要..................................................................II Abstract..............................................................III 引言....................................................................5 第一章 網(wǎng)絡(luò)安全概述.....................................................6 ...........................................................6 .........................................................6 ...................................................................6 —黑客攻擊與計算機病毒.............................................6 ...............................................8 .......................................................8 第二章 計算機網(wǎng)絡(luò)安全防范策略..........................................10 ....................................................................10 數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)..............................................12 入侵檢測技術(shù).................................................................13 ....................................................................13 對付病毒有以下四種基本方法.................................................14 ............................................................17 第三章防火墻技術(shù)........................................................18 ..................................................................18 ..................................................................18 ......................................................18 ................................................................18 防火墻的技術(shù)原理............................................................18 防火墻的應(yīng)用.................................................................19 ............................................................19 ....................................................23 結(jié)論...................................................................25 致謝...................................................................26 參考文獻...............................................................27 IV引言近年來，隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，在帶來了前所未有的海量信息的同時，計算機網(wǎng)絡(luò)的安全性變得日益重要起來，由于計算機網(wǎng)絡(luò)聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)資源的共享性等因素，致使計算機網(wǎng)絡(luò)容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊【1】。The existence of the 193039。It can make the puter and the puter network, the system files and data loss。然后主要闡述防火墻在網(wǎng)絡(luò)安全中起到的巨大的作用，防火墻的優(yōu)缺點及各種類型防火墻的使用和效果。因此，計算機網(wǎng)絡(luò)系統(tǒng)安全問題必須放在首位。在 TOP 的 三 年 時 間 轉(zhuǎn) 瞬 即 逝，借 此 機 會 我 要 感 謝 兩年來傳授我知識的老師們，更要感謝所 有對我學業(yè)、生活上的支持和鼓勵，感謝所有關(guān)心幫助過我的人。論文的字里行間無不凝結(jié)著老師的悉心指導和浮淳教海，老師淵博的學識和嚴謹?shù)闹螌W態(tài)度給我留下了深刻的印象，我從他那里學到的不 僅僅是專業(yè)知識，更重要的是嚴謹?shù)闹螌W態(tài)度、對事業(yè)忘我的追求、高度的使命 感、責任感及和藹熱情的品質(zhì)和做人的道理，這些將使我受益一生，并將激勵我 不斷向前奮進。防火墻目的在于為用戶提供信息的保密，認證和完整性保護機制，使網(wǎng)絡(luò)中 的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵擾和破壞。防火墻技術(shù)只 有不斷向主動型和智能型等方向發(fā)展，才能更好的滿足人們對防火墻技術(shù)日益增 長的需求。這樣的防火墻就可以 同時滿足來自靈活性和運行性能的要求。與基于 ASIC 的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。23 計算機防火墻技術(shù)論文有些防火墻集成了防病毒功能，通常被稱之為“病毒防火墻”，當然目前主要還 是在個人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)。在分 組過濾(網(wǎng)絡(luò)層)一級，過濾掉所有的源路由分組和假冒的 IP 源地址；在傳輸層 一級，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如 nuke 包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級，能利用 FTP、SMTP 等各種網(wǎng)關(guān)，控 制和監(jiān)測 Internet 提供的所用通用服務(wù)。該功能在無線網(wǎng)絡(luò)應(yīng)用中非常 必要。第三步：進入接口四設(shè)置其 IP 地址為 ，命令為 int e0/4 ip add 第四步：進入接口一設(shè)置其 IP 地址為內(nèi)網(wǎng)地址，例如 ，命令為 int e0/1 ip add 第五步： 將兩個接口加入到不同的區(qū)域，外網(wǎng)接口配置到非信任區(qū) untrust，內(nèi)網(wǎng)接口加入到信任區(qū) trust—— fire zone untrust add int e0/4 fire zone trust add int e0/1 第六步：由于防火墻運行基本是通過 NAT 來實現(xiàn)，各個保護工作也是基于此 功能實現(xiàn)的，所以還需要針對防火墻的 NAT 信息進行設(shè)置，首先添加一個訪問控 制列表—— acl num 2000 21 計算機防火墻技術(shù)論文rule per source rule deny 第七步：接下來將這個訪問控制列表應(yīng)用到外網(wǎng)接口通過啟用 NAT—— int e0/4 nat outbound 2000 第八步：最后添加路由信息，設(shè)置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或 外網(wǎng)電信下一跳地址—— ip routestatic (如圖 2)執(zhí)行 save 命令保存退出后就可以在企業(yè)外網(wǎng)出口指定 IP 時實現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā) 以及安全保護功能了。選擇接口四連接外網(wǎng)，接 口 一 連 接 內(nèi) 網(wǎng)。20 計算機防火墻技術(shù)論文 在實際設(shè)置時我們必須將端口劃分到某區(qū)域后才能對其進行各個訪問操 作，否則默認將阻止對該接口的任何數(shù)據(jù)通訊。 防火墻的特色配置從外觀上看防火墻和傳統(tǒng)的路由器交換機沒有太大的差別，一部分防火墻具備 CONSOLE 接口通過超級終端的方式初始化配置，而另外一部分則直接通過默 認的 LAN 接口和管理地址訪問進行配置。(如圖 )圖 對于中小企業(yè)來說一般出口帶寬都在 100M 以內(nèi)，所以我們選擇 100M 相關(guān)產(chǎn) 品即可。在這種機制下，從防火墻外部看，仍然是包過濾的形態(tài)，工作在鏈路層或 IP 層，在規(guī)則允許下，兩端可以直接訪問，但是任何一個被規(guī)則允許的訪問在 防火墻內(nèi)部都存在兩個完全獨立的 TCP 會話，數(shù)據(jù)以“流”的方式從一個會話流 向另一個會話。如果數(shù)據(jù)流包含附件或上載/下載文件，附件和文件將傳輸?shù)讲《緬呙枰?擎，所有其他內(nèi)容傳輸?shù)絻?nèi)容過濾引擎。服務(wù)分析器根據(jù)數(shù)據(jù)流服務(wù)類型分離內(nèi) 容數(shù)據(jù)流，傳送數(shù)據(jù)流到一個命令解析器中。通過采用硬件芯片和更加優(yōu)化的算法，可以解決這個問題。如一段攻擊代碼被分割 到 10 個數(shù)據(jù)包中傳輸，那么這種簡單的對單一數(shù)據(jù)包的內(nèi)容檢測根本無法對攻 17 計算機防火墻技術(shù)論文擊特征進