【正文】 另外，在以后幾年里，多媒體應用將會越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。這是針對以上各種已有防火墻技術的不足而產生的一種綜合型過濾技術，它可以彌補以上各種單獨過濾技術的不足。 22 大學畢業(yè)論文 第五章 防火墻發(fā)展趨勢 針對傳統(tǒng)防火墻不能解決的問題，及新的網(wǎng)絡攻擊的出現(xiàn)，防火墻技術也出現(xiàn)了新的發(fā)展趨勢。 除此之外防火墻的其他相關配置與路由交換設備差不多，無外乎通過超級終端下的命令行參數(shù)進行配置或者通過 WEB管理界面配置。網(wǎng)絡拓撲圖中防火墻的位置很關鍵，一般介于內網(wǎng)與外網(wǎng)互連中間區(qū)域，針對外網(wǎng)訪問數(shù)據(jù)進行過濾和監(jiān)控。如果內容過濾啟動，數(shù)據(jù)流將根據(jù)過濾的設置進行匹配，通過或拒絕數(shù)據(jù)。一個深度包檢測的流程框圖如圖。 應用防御的技術問題主要包括 :(l)需要對有效載荷知道得更清楚 。 動態(tài)包過濾通過在內存中動態(tài)地建立和維護一個狀態(tài)表，數(shù)據(jù)包到達時，對該數(shù)據(jù)包的處理方式將綜合靜態(tài) 安全規(guī)則和數(shù)據(jù)包所處的狀態(tài)進行。深入檢測數(shù)據(jù)包有效載荷，識別并阻止病毒代碼和基于高層協(xié)議的攻擊，以此來提高應用防御能力。 綜合上述問題，傳統(tǒng)包過濾技術的缺陷在于 :(l)缺乏狀態(tài)檢測能力 。 理論上講，數(shù)據(jù)包所有頭部信息以及有效載荷都可以作為判斷包通過與否的依據(jù)，但是在實際情況中，包過濾技術上的問題主要是選取哪些字段信息，以及如何有效地利用這些字段信息并結合訪問控制列表來執(zhí)行包過濾操作，并盡可能提高安全控制力度。其中每一層對接收到的數(shù)據(jù)都要增加一些首部信息。就目前而言，對于局部網(wǎng)絡的保護，防火墻仍然不失為一種有效的手段，防火墻技術主要分為包過濾和應用代理兩類。 復合型防火墻 由于對更高安全性的要求，常把基于包過濾的方法與基于應用代理的方法結合起來，形成復合型防火墻產品。同時升級一種應用時，相應的代理程序也必須同時升級。同時，包過濾防火墻一般無法提供完善的日志。如果與拒絕轉發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包 。一般防火墻設備可以提供三種日志審計功能 :系統(tǒng)管理日志、流量日志和入侵日志。防火墻設備可檢測試圖穿 透防火墻系統(tǒng)的木馬控制端和客戶端程序 。是 World Wide Web主機和 CGI程序間傳輸資訊的定義。 11 大學畢業(yè)論文 而分布式的拒絕服務攻擊 (DDoS)攻擊手段則是在傳統(tǒng)的 DoS 攻擊基礎之上 產生的一類攻擊方式，分布式的拒絕服務攻擊 (DDoS)。 入侵檢測功能 入侵檢測技術 [7]就是一種主動保護自己免受黑客攻擊的一種網(wǎng)絡安全技術，包括以下內容 : 。 3．認證和應用代理。 10 大學畢業(yè)論文 防火墻的功能 防火墻的主要功能 1．包過濾。二是傳統(tǒng)防火墻的訪 問控制機制是一個簡單的過濾機制。 1994年，以色列的 CheckPoint公司開發(fā)出了第一個采用這種技術的商業(yè)化的產品。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。 8 大學畢業(yè)論文 第三章 防火墻概述 隨著 Inter 的迅速發(fā)展，網(wǎng)絡應用涉及到越來越多的領域，網(wǎng)絡中各類重要的、敏感的數(shù)據(jù)逐漸增多 。 (6) 文件系統(tǒng)安全 在網(wǎng)絡操作系統(tǒng)中，權限是一個關鍵性的概念，因為訪問控制實現(xiàn)在兩個方面：本地和遠程。有兩種主要的加密類型：私匙加密和公匙加密。一個完整的網(wǎng)絡信息安全體系至少應包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。例如通過隱蔽通道進行非法活動；采用匿名用戶訪問進行攻擊；通過網(wǎng)絡監(jiān)聽獲取網(wǎng)上用戶賬號和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。 3）信息的安全性。 第四章，以 H3CH3C的 F100防火墻為例，介紹防火墻配置方法。以及藍屏攻擊等。 個人防火墻就是在單機 Windows 系統(tǒng)上，采取一些安全防護措施，使得本機的息得到一定的保護 。 研究目的 為了解決互聯(lián)網(wǎng)時代個人網(wǎng)絡安全的問題，近年來新興了防火墻技術 [2]。1 大學畢業(yè)論文 摘要 因特網(wǎng)的迅猛發(fā)展 給人們的生活帶來了極大的方便，但同時因特網(wǎng)也面臨著空前的威脅。防火墻具有很強的實用性和針對性，它為個人上網(wǎng)用戶提供了完整的網(wǎng)絡安全解決方案，可以有效地控制個人電腦用戶信息在互聯(lián)網(wǎng)上的收發(fā)。個人防火墻是面向單機操作系統(tǒng)的一種小型安全防護軟件，按一定的規(guī)則對 TCP，UDP， ICMP 和 IGMP等報文進行過濾，對網(wǎng)絡的信息流和系統(tǒng)進程進行監(jiān)控，防止一些惡意的攻擊。因此，為了保護主機的安全通信，研制有效的個人防火墻技術很有必要。 第五章，系統(tǒng)闡述防火墻發(fā)展趨勢。它保障信息不會被非法閱讀、修改和泄漏。 3）拒絕服務攻擊。二是技術方面，如信息加密存儲傳輸、身份認證、防火墻技術、網(wǎng)絡防毒等。 (2)認證 對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認證機制還可以防止合法用戶訪問他們無權查看的信息。建立文件權限的時候，必須在 Windows 2020 中首先實行新技術文件系統(tǒng)（ New Technology File System， NTFS）。同時由于黑客入侵以及網(wǎng)絡病毒的問題，使得網(wǎng)絡安全問題越來越突出。防火墻提供信息安全服務，是實現(xiàn)網(wǎng)絡和信息安全的基礎設施。 第五代防火墻 1998 年， NAI 公司推出了一種自適應代理（ Adaptive proxy）技術，并在其產品 Gauntlet Firewall for NT 中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。它是一個簡單的條件過濾器，不具有智能功能，無法檢測復雜的攻擊。 包過濾是一種網(wǎng)絡的數(shù)據(jù)安全保護機制，它可用來控制流出和流入網(wǎng)絡的數(shù)據(jù)，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設置可基于源地址、源端口、目的地址、目的端口、協(xié)議和時間 。 認證指防火墻對訪問網(wǎng)絡者合法身分的確定。端口掃描就是指黑客通過遠程端口掃描的工具，從中發(fā)現(xiàn)主機的哪些非常用端口是打開的 。其原理很簡單，就是利用更多的受控主機同時發(fā)起進攻，以比 DoS 更大的規(guī)模 (或者說以更高于受攻主機處理能力的進攻能力 )來進攻受害者。 IIS就是 Inter Information server的簡稱，也就是微軟的 Inter信息服務器。檢測試圖穿透防火墻系統(tǒng)的蠕蟲程序。 。如果沒有匹配規(guī)則，則按缺省情況處理。 應用級代理防火墻 應用級代理技術通過在 OSI 的最高層檢查每一個 IP 包，從而實現(xiàn)安全策略。 代理服務型防火墻 代理服務 (Proxy Service)也稱鏈路級網(wǎng)關或 TCP 通道 (Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應用級網(wǎng)關一類。這種結合通常是以下兩種方案。其中包過濾作 為最早發(fā)展起來的一種技術，其應用非常廣泛。 TCP 傳給 IP 的數(shù)據(jù)單元稱作 TCP 報文段 (TCP Segment)。 傳統(tǒng)包過濾技術 傳統(tǒng)包過濾技術，大多是在 IP 層實現(xiàn)，它只是簡單的對當前正在通過的單一數(shù)據(jù)包進行檢測，查看源 /目的 IP 地址、端口號以及協(xié)議類型 (UDP/TCP)等，結合訪問控制規(guī)則對數(shù)據(jù)包實施有選擇的通過。(2)缺乏應用防御能力。這兩種技術的發(fā)展并不是獨立的，動態(tài)包過濾可以說是基于內容檢測技術的基礎。這種方法的好處在于由于不需要對每個數(shù)據(jù)包進行規(guī)則檢查，而是一個連接的后續(xù)數(shù)據(jù)包 (通常是大量的數(shù)據(jù)包 )通過散列算法，直接進行狀態(tài)檢查，從而使性能得到了較大提高 。(2)也需要高速檢查它的能力。 圖 深度包檢測框圖 在接收到網(wǎng)絡流量后，將需要進行內容掃描的數(shù)據(jù)流定向到 TCP/IP 堆棧，其他數(shù)據(jù)流直接定向到狀態(tài)檢測引擎，按基本檢測方式進行處理。 流過濾技術 流過濾是東軟集團提出的一種新型防火墻技術架構，它融基于狀態(tài)的包過濾技術與基于內容的深度包檢測技術為一體，提供了一個較好的應用防御解決方案，它以狀態(tài)監(jiān)測技術為基礎，但在此基礎上進行了改進其基本的原理是 :以狀態(tài)包過濾的形態(tài)實現(xiàn)應用層的保護能力 :通過內嵌的專門實現(xiàn)的 TCP/IP協(xié)議棧，實現(xiàn)了透明的應用信息過濾機制。 如果防火墻上有 WAN 接口，那么直接將 WAN 接口連接外網(wǎng)即可，如果所有接口都標記為 LAN 接口，那么按照常規(guī)標準選擇最后一個 LAN 接口作為外網(wǎng)連接端口。 軟件的配置與實施 以 H3C的 F100防火墻為例，當企業(yè)外網(wǎng) IP地址固定并通過光纖連接的具體配置。主要可以從包過濾技術、防火墻體系結構和防火墻系統(tǒng)管理三方面來體現(xiàn)。 這種過濾技術在分層上非常清楚，每種過濾技術對應于不同的網(wǎng)絡層，從這個概念出發(fā)，又有很多內容可以擴展，為將來的防火墻技術發(fā)展打下基礎。為了滿足這種需要，一些防火墻制造商開發(fā)了基于 ASIC的防火墻和基于網(wǎng)絡處理器的防火墻。這 意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。在分組過濾 (網(wǎng)絡層 )一級，過濾掉所有的源路由分組和假冒的 IP 源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或 /和入的協(xié)議和有害數(shù)據(jù)包如 nuke 包、圣誕樹包等；在應用 網(wǎng)關 (應用層 )一級，能利用 FTP、 SMTP 等各種網(wǎng)關，控制和監(jiān)測 Inter 提供的所用通用服務。 第三步：進入接口四設置其 IP地址為 ，命令為 int e0/4 ip add 第四步：進入接口一設置其 IP地址為內網(wǎng)地址，例如 ，命令為 int e0/1 ip add 第五步：將兩個接口加入到不同的區(qū)域，外網(wǎng)接口配置到非信任區(qū) untrust，內網(wǎng)接口加入到信任區(qū) trust—— fire zone untrust