【正文】 另外，在以后幾年里，多媒體應(yīng)用將會越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。這是針對以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補以上各種單獨過濾技術(shù)的不足。 22 大學(xué)畢業(yè)論文 第五章 防火墻發(fā)展趨勢 針對傳統(tǒng)防火墻不能解決的問題，及新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也出現(xiàn)了新的發(fā)展趨勢。 除此之外防火墻的其他相關(guān)配置與路由交換設(shè)備差不多，無外乎通過超級終端下的命令行參數(shù)進行配置或者通過 WEB管理界面配置。網(wǎng)絡(luò)拓撲圖中防火墻的位置很關(guān)鍵，一般介于內(nèi)網(wǎng)與外網(wǎng)互連中間區(qū)域，針對外網(wǎng)訪問數(shù)據(jù)進行過濾和監(jiān)控。如果內(nèi)容過濾啟動，數(shù)據(jù)流將根據(jù)過濾的設(shè)置進行匹配，通過或拒絕數(shù)據(jù)。一個深度包檢測的流程框圖如圖。 應(yīng)用防御的技術(shù)問題主要包括 :(l)需要對有效載荷知道得更清楚 。 動態(tài)包過濾通過在內(nèi)存中動態(tài)地建立和維護一個狀態(tài)表，數(shù)據(jù)包到達時，對該數(shù)據(jù)包的處理方式將綜合靜態(tài) 安全規(guī)則和數(shù)據(jù)包所處的狀態(tài)進行。深入檢測數(shù)據(jù)包有效載荷，識別并阻止病毒代碼和基于高層協(xié)議的攻擊，以此來提高應(yīng)用防御能力。 綜合上述問題，傳統(tǒng)包過濾技術(shù)的缺陷在于 :(l)缺乏狀態(tài)檢測能力 。 理論上講，數(shù)據(jù)包所有頭部信息以及有效載荷都可以作為判斷包通過與否的依據(jù)，但是在實際情況中，包過濾技術(shù)上的問題主要是選取哪些字段信息，以及如何有效地利用這些字段信息并結(jié)合訪問控制列表來執(zhí)行包過濾操作，并盡可能提高安全控制力度。其中每一層對接收到的數(shù)據(jù)都要增加一些首部信息。就目前而言，對于局部網(wǎng)絡(luò)的保護，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過濾和應(yīng)用代理兩類。 復(fù)合型防火墻 由于對更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。同時升級一種應(yīng)用時，相應(yīng)的代理程序也必須同時升級。同時，包過濾防火墻一般無法提供完善的日志。如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包 。一般防火墻設(shè)備可以提供三種日志審計功能 :系統(tǒng)管理日志、流量日志和入侵日志。防火墻設(shè)備可檢測試圖穿 透防火墻系統(tǒng)的木馬控制端和客戶端程序 。是 World Wide Web主機和 CGI程序間傳輸資訊的定義。 11 大學(xué)畢業(yè)論文 而分布式的拒絕服務(wù)攻擊 (DDoS)攻擊手段則是在傳統(tǒng)的 DoS 攻擊基礎(chǔ)之上 產(chǎn)生的一類攻擊方式，分布式的拒絕服務(wù)攻擊 (DDoS)。 入侵檢測功能 入侵檢測技術(shù) [7]就是一種主動保護自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技術(shù)，包括以下內(nèi)容 : 。 3．認證和應(yīng)用代理。 10 大學(xué)畢業(yè)論文 防火墻的功能 防火墻的主要功能 1．包過濾。二是傳統(tǒng)防火墻的訪 問控制機制是一個簡單的過濾機制。 1994年，以色列的 CheckPoint公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 8 大學(xué)畢業(yè)論文 第三章 防火墻概述 隨著 Inter 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多 。 (6) 文件系統(tǒng)安全 在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個關(guān)鍵性的概念，因為訪問控制實現(xiàn)在兩個方面：本地和遠程。有兩種主要的加密類型：私匙加密和公匙加密。一個完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。例如通過隱蔽通道進行非法活動；采用匿名用戶訪問進行攻擊；通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶賬號和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。 3）信息的安全性。 第四章，以 H3CH3C的 F100防火墻為例，介紹防火墻配置方法。以及藍屏攻擊等。 個人防火墻就是在單機 Windows 系統(tǒng)上，采取一些安全防護措施，使得本機的息得到一定的保護 。 研究目的 為了解決互聯(lián)網(wǎng)時代個人網(wǎng)絡(luò)安全的問題，近年來新興了防火墻技術(shù) [2]。1 大學(xué)畢業(yè)論文 摘要 因特網(wǎng)的迅猛發(fā)展 給人們的生活帶來了極大的方便，但同時因特網(wǎng)也面臨著空前的威脅。防火墻具有很強的實用性和針對性，它為個人上網(wǎng)用戶提供了完整的網(wǎng)絡(luò)安全解決方案，可以有效地控制個人電腦用戶信息在互聯(lián)網(wǎng)上的收發(fā)。個人防火墻是面向單機操作系統(tǒng)的一種小型安全防護軟件，按一定的規(guī)則對 TCP，UDP， ICMP 和 IGMP等報文進行過濾，對網(wǎng)絡(luò)的信息流和系統(tǒng)進程進行監(jiān)控，防止一些惡意的攻擊。因此，為了保護主機的安全通信，研制有效的個人防火墻技術(shù)很有必要。 第五章，系統(tǒng)闡述防火墻發(fā)展趨勢。它保障信息不會被非法閱讀、修改和泄漏。 3）拒絕服務(wù)攻擊。二是技術(shù)方面，如信息加密存儲傳輸、身份認證、防火墻技術(shù)、網(wǎng)絡(luò)防毒等。 (2)認證 對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認證機制還可以防止合法用戶訪問他們無權(quán)查看的信息。建立文件權(quán)限的時候，必須在 Windows 2020 中首先實行新技術(shù)文件系統(tǒng)（ New Technology File System， NTFS）。同時由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng)絡(luò)安全問題越來越突出。防火墻提供信息安全服務(wù)，是實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 第五代防火墻 1998 年， NAI 公司推出了一種自適應(yīng)代理（ Adaptive proxy）技術(shù)，并在其產(chǎn)品 Gauntlet Firewall for NT 中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。它是一個簡單的條件過濾器，不具有智能功能，無法檢測復(fù)雜的攻擊。 包過濾是一種網(wǎng)絡(luò)的數(shù)據(jù)安全保護機制，它可用來控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設(shè)置可基于源地址、源端口、目的地址、目的端口、協(xié)議和時間 。 認證指防火墻對訪問網(wǎng)絡(luò)者合法身分的確定。端口掃描就是指黑客通過遠程端口掃描的工具，從中發(fā)現(xiàn)主機的哪些非常用端口是打開的 。其原理很簡單，就是利用更多的受控主機同時發(fā)起進攻，以比 DoS 更大的規(guī)模 (或者說以更高于受攻主機處理能力的進攻能力 )來進攻受害者。 IIS就是 Inter Information server的簡稱，也就是微軟的 Inter信息服務(wù)器。檢測試圖穿透防火墻系統(tǒng)的蠕蟲程序。 。如果沒有匹配規(guī)則，則按缺省情況處理。 應(yīng)用級代理防火墻 應(yīng)用級代理技術(shù)通過在 OSI 的最高層檢查每一個 IP 包，從而實現(xiàn)安全策略。 代理服務(wù)型防火墻 代理服務(wù) (Proxy Service)也稱鏈路級網(wǎng)關(guān)或 TCP 通道 (Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類。這種結(jié)合通常是以下兩種方案。其中包過濾作 為最早發(fā)展起來的一種技術(shù)，其應(yīng)用非常廣泛。 TCP 傳給 IP 的數(shù)據(jù)單元稱作 TCP 報文段 (TCP Segment)。 傳統(tǒng)包過濾技術(shù) 傳統(tǒng)包過濾技術(shù)，大多是在 IP 層實現(xiàn)，它只是簡單的對當(dāng)前正在通過的單一數(shù)據(jù)包進行檢測，查看源 /目的 IP 地址、端口號以及協(xié)議類型 (UDP/TCP)等，結(jié)合訪問控制規(guī)則對數(shù)據(jù)包實施有選擇的通過。(2)缺乏應(yīng)用防御能力。這兩種技術(shù)的發(fā)展并不是獨立的，動態(tài)包過濾可以說是基于內(nèi)容檢測技術(shù)的基礎(chǔ)。這種方法的好處在于由于不需要對每個數(shù)據(jù)包進行規(guī)則檢查，而是一個連接的后續(xù)數(shù)據(jù)包 (通常是大量的數(shù)據(jù)包 )通過散列算法，直接進行狀態(tài)檢查，從而使性能得到了較大提高 。(2)也需要高速檢查它的能力。 圖 深度包檢測框圖 在接收到網(wǎng)絡(luò)流量后，將需要進行內(nèi)容掃描的數(shù)據(jù)流定向到 TCP/IP 堆棧，其他數(shù)據(jù)流直接定向到狀態(tài)檢測引擎，按基本檢測方式進行處理。 流過濾技術(shù) 流過濾是東軟集團提出的一種新型防火墻技術(shù)架構(gòu)，它融基于狀態(tài)的包過濾技術(shù)與基于內(nèi)容的深度包檢測技術(shù)為一體，提供了一個較好的應(yīng)用防御解決方案，它以狀態(tài)監(jiān)測技術(shù)為基礎(chǔ)，但在此基礎(chǔ)上進行了改進其基本的原理是 :以狀態(tài)包過濾的形態(tài)實現(xiàn)應(yīng)用層的保護能力 :通過內(nèi)嵌的專門實現(xiàn)的 TCP/IP協(xié)議棧，實現(xiàn)了透明的應(yīng)用信息過濾機制。 如果防火墻上有 WAN 接口，那么直接將 WAN 接口連接外網(wǎng)即可，如果所有接口都標記為 LAN 接口，那么按照常規(guī)標準選擇最后一個 LAN 接口作為外網(wǎng)連接端口。 軟件的配置與實施 以 H3C的 F100防火墻為例，當(dāng)企業(yè)外網(wǎng) IP地址固定并通過光纖連接的具體配置。主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)。 這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對應(yīng)于不同的網(wǎng)絡(luò)層，從這個概念出發(fā)，又有很多內(nèi)容可以擴展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。為了滿足這種需要，一些防火墻制造商開發(fā)了基于 ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。這 意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。在分組過濾 (網(wǎng)絡(luò)層 )一級，過濾掉所有的源路由分組和假冒的 IP 源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或 /和入的協(xié)議和有害數(shù)據(jù)包如 nuke 包、圣誕樹包等；在應(yīng)用 網(wǎng)關(guān) (應(yīng)用層 )一級，能利用 FTP、 SMTP 等各種網(wǎng)關(guān)，控制和監(jiān)測 Inter 提供的所用通用服務(wù)。 第三步：進入接口四設(shè)置其 IP地址為 ，命令為 int e0/4 ip add 第四步：進入接口一設(shè)置其 IP地址為內(nèi)網(wǎng)地址，例如 ，命令為 int e0/1 ip add 第五步：將兩個接口加入到不同的區(qū)域，外網(wǎng)接口配置到非信任區(qū) untrust，內(nèi)網(wǎng)接口加入到信任區(qū) trust—— fire zone untrust