【正文】 如今，伴隨著這篇畢業(yè)論文的最終成稿，復(fù)雜的心情煙消云散，自己甚至還有一點(diǎn)成就感。(1)集中式管理，分布式和分層的安全結(jié)構(gòu)。另外，在以后幾年里，多媒體應(yīng)用將會(huì)越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。這是針對(duì)以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過濾技術(shù)的不足。第五章 防火墻發(fā)展趨勢針對(duì)傳統(tǒng)防火墻不能解決的問題，及新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也出現(xiàn)了新的發(fā)展趨勢?！　〕酥夥阑饓Φ钠渌嚓P(guān)配置與路由交換設(shè)備差不多，無外乎通過超級(jí)終端下的命令行參數(shù)進(jìn)行配置或者通過WEB管理界面配置。網(wǎng)絡(luò)拓?fù)鋱D中防火墻的位置很關(guān)鍵，一般介于內(nèi)網(wǎng)與外網(wǎng)互連中間區(qū)域，針對(duì)外網(wǎng)訪問數(shù)據(jù)進(jìn)行過濾和監(jiān)控。 （六）使用多個(gè)外部路由器通過在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減少在堡壘主機(jī)上入侵的影響。因?yàn)槁酚善骶哂袛?shù)據(jù)過濾功能，路由器通過適當(dāng)配置后，可以實(shí)現(xiàn)一部分防火墻的功能，因此，有人把屏蔽路由器也成為防火墻的一種。因?yàn)殡p宿主主機(jī)不能轉(zhuǎn)發(fā)任何TCP/IP流量，所以它可以徹底堵塞內(nèi)部和外部不可信網(wǎng)絡(luò)間的任何IP流量。由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時(shí)候代替服務(wù)器或客戶端參與應(yīng)用層的會(huì)話，從而起到了與應(yīng)用代理防火墻相同的控制能力。如果數(shù)據(jù)流包含附件或上載/下載文件，附件和文件將傳輸?shù)讲《緬呙枰?，所有其他?nèi)容傳輸?shù)絻?nèi)容過濾引擎。為了突破內(nèi)容處理障礙，達(dá)到實(shí)時(shí)地分析網(wǎng)絡(luò)內(nèi)容和行為，需要重點(diǎn)在加速上采取有效的辦法。防火墻必須深入檢查數(shù)據(jù)包的內(nèi)部來確認(rèn)出惡意行為并阻止它們。這樣，當(dāng)一個(gè)新的數(shù)據(jù)包到達(dá)，如果屬于已經(jīng)建立的連接，則檢查狀態(tài)表，參考數(shù)據(jù)流上下文決定當(dāng)前數(shù)據(jù)包通過與否。即在包檢測中考慮前后數(shù)據(jù)包之間的關(guān)系，充分利用包頭信息中能體現(xiàn)此關(guān)系的字段，如IP首部的標(biāo)識(shí)字段和片偏移字段、TCP首部的發(fā)送及確認(rèn)序號(hào)、滑動(dòng)窗口的大小、狀態(tài)標(biāo)識(shí)等，動(dòng)態(tài)執(zhí)行數(shù)據(jù)包過濾。IP數(shù)據(jù)報(bào)頭部信息主要是源/目的主機(jī)的IP地址。由于其主要是對(duì)數(shù)據(jù)包的過濾操作，所以數(shù)據(jù)包結(jié)構(gòu)是包過濾技術(shù)的基礎(chǔ)。同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng)絡(luò)安全問題越來越突出。同時(shí)也常結(jié)合入過濾器的功能。比如訪問WEB站點(diǎn)的HTTP，用于文件傳輸?shù)腇TP，用于E一MAIL的SMTP/POP3等等。如果公司的安全策略允許內(nèi)部員工訪問網(wǎng)站，包過濾防火墻可能設(shè)置允所有80端口的連接通過，這時(shí)，意識(shí)到這一漏洞的外部人員可以在沒有被認(rèn)證的情況下進(jìn)入私有網(wǎng)絡(luò)。包過濾防火墻工作在網(wǎng)絡(luò)層，IP包的包頭中包含源、目的IP地址，封裝協(xié)議類型(TCP，UDP，ICMP或IP Tunnel)，TCP/UDP端口號(hào)，ICMP消息類型，TCP包頭中的ACK等等。網(wǎng)絡(luò)蠕蟲病毒分為2類，一種是面向企業(yè)用戶和局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動(dòng)進(jìn)行攻擊，可以對(duì)整個(gè)互聯(lián)網(wǎng)造成癱瘓性的后果，以“紅色代碼”，“尼姆達(dá)”，以及最新的“sql蠕蟲王”為代表。隱蔽智能網(wǎng)關(guān)提供了對(duì)互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問，同時(shí)阻止了外部未授權(quán)訪問者對(duì)專用網(wǎng)絡(luò)的非法訪問。并將有限的IP地址動(dòng)態(tài)或靜態(tài)的與內(nèi)部IP地址對(duì)應(yīng)起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進(jìn)行訪問控制。主要有以下三個(gè)原因:一是傳統(tǒng)防火墻的計(jì)算能力的限制。第二代、第三代防火墻1989年，貝爾實(shí)驗(yàn)室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。[4]防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。（2）建立完善的安全管理體制和制度，以起到對(duì)管理人員和操作人員鼓勵(lì)和監(jiān)督的作用。隨著時(shí)代的發(fā)展，入侵檢測技術(shù)將朝著三個(gè)方向發(fā)展:分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。但目前，在這方面的立法還遠(yuǎn)不能適應(yīng)形勢發(fā)展的需要,應(yīng)該在對(duì)控制計(jì)算機(jī)犯罪的國內(nèi)外立法評(píng)價(jià)的基礎(chǔ)上，完善我國計(jì)算機(jī)犯罪立法，以便為確保我國計(jì)算機(jī)信息網(wǎng)絡(luò)健康有序的發(fā)展提供強(qiáng)有力的保障。2）網(wǎng)絡(luò)安全影響網(wǎng)絡(luò)安全的因素有：節(jié)點(diǎn)的安全、數(shù)據(jù)的安全（保存和傳輸方面）、文件的安全等。2）黑客侵襲。2）運(yùn)行環(huán)境的安全性。一般都是利用操作系統(tǒng)設(shè)計(jì)的安全漏洞和通信協(xié)議的安全漏洞來實(shí)現(xiàn)攻擊。信息泄漏攔截保證安全地瀏覽網(wǎng)頁、遏制郵件病毒的蔓延。人們在利用網(wǎng)絡(luò)的優(yōu)越性的同時(shí)，對(duì)網(wǎng)絡(luò)安全問題也決不能忽視。關(guān)鍵詞：網(wǎng)絡(luò)安全，防火墻，防范策略，發(fā)展趨勢AbstractThe rapid development of the Internet brought great convenience in people39。：任務(wù)書、開題報(bào)告、外文譯文、譯文原文（復(fù)印件）。據(jù)我所知，除文中已經(jīng)注明引用的內(nèi)容外，本論文（設(shè)計(jì)）不包含其他個(gè)人已經(jīng)發(fā)表或撰寫過的研究成果。保密的論文（設(shè)計(jì)）在解密后適用本規(guī)定。所以對(duì)網(wǎng)絡(luò)安全的各獨(dú)立元素——防火墻、漏洞掃描、入侵檢測和反病毒等進(jìn)行風(fēng)險(xiǎn)評(píng)估是很有必要的。同時(shí)，我們不得不注意到，網(wǎng)絡(luò)雖然功能強(qiáng)大，也有其脆弱易受到攻擊的一面。而且防火墻能夠?qū)崟r(shí)記錄其它系統(tǒng)試圖對(duì)本機(jī)系統(tǒng)的訪問，使計(jì)算機(jī)在連接到互聯(lián)網(wǎng)的時(shí)候避免受到網(wǎng)絡(luò)攻擊和資料泄漏的安全威脅。因此，他們防外不防內(nèi)，難以實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部局域網(wǎng)內(nèi)主之間的安全通信，也不能很好的解決每一個(gè)撥號(hào)上網(wǎng)用戶所在主機(jī)的安全問題，而多數(shù)個(gè)人上網(wǎng)之時(shí)，并沒有置身于得到防護(hù)的安全網(wǎng)絡(luò)內(nèi)部。我國對(duì)于計(jì)算機(jī)安全的定義是：“計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運(yùn)行。2.. 網(wǎng)絡(luò)安全面臨的主要威脅一般認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自計(jì)算機(jī)病毒、黑客的攻擊和拒絕服務(wù)攻擊三個(gè)方面。嚴(yán)重時(shí)會(huì)使系統(tǒng)關(guān)機(jī)，網(wǎng)絡(luò)癱瘓。主要措施有：提供實(shí)時(shí)改變安全策略的能力、實(shí)時(shí)監(jiān)控企業(yè)安全狀態(tài)、對(duì)現(xiàn)有的安全系統(tǒng)實(shí)施漏洞檢查等，以防患于未然。目前，防火墻采取的技術(shù)，主要是包過濾、應(yīng)用網(wǎng)關(guān)、子網(wǎng)屏蔽等。你需要了解可以分配什么樣的權(quán)限，還有日常活動(dòng)期間一些規(guī)則是處理權(quán)限的。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過濾和應(yīng)用代理兩類。 傳統(tǒng)防火墻介紹目前的防火墻技術(shù)無論從技術(shù)上還是從產(chǎn)品發(fā)展歷程上，都經(jīng)歷了五個(gè)發(fā)展歷程。目前網(wǎng)絡(luò)安全的三大主要問題是:以拒絕訪問(DDOS)為主要代表的網(wǎng)絡(luò)攻擊，以蠕蟲(Worm)為主要代表的病毒傳播和以垃圾電子郵件(SPAM)為代表的內(nèi)容控制。該特征決定了傳統(tǒng)的防火墻無法解決惡意的攻擊行為。2．地址轉(zhuǎn)換。提供HTTP、FTP和SMTP代理功能，并可對(duì)這三種協(xié)議進(jìn)行訪問控制。且FTP服務(wù)是否支持“匿名”，以及IIS版本，是否有可以被成功攻破的IIS漏洞，進(jìn)而對(duì)內(nèi)部網(wǎng)絡(luò)的主機(jī)進(jìn)行攻擊。(Buffer Overflow)。、木馬及其網(wǎng)絡(luò)蠕蟲。VPN的基本原理是通過IP包的封裝及加密、認(rèn)證等手段，從而達(dá)到安全的目的。 防火墻的原理及分類國際計(jì)算機(jī)安全委員會(huì)ICSA將防火墻分成三大類:包過濾防火墻，應(yīng)用級(jí)代理服務(wù)器[8]以及狀態(tài)包檢測防火墻。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng)絡(luò)，使之遭受攻擊。它的代理功能，就是在防火墻處終止客戶連接并初始化一個(gè)新的連接到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個(gè)分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。包過濾最主要的優(yōu)點(diǎn)在于其速度與透明性。對(duì)于進(jìn)防火墻的數(shù)據(jù)包，順序正好與此相反，頭部信息逐層剝掉。若允許建立HTTP連接，就需要開放1024以上所有端口，這無疑增加了被攻擊的可能性。(4)只檢查包頭信息，而沒有深入檢測數(shù)據(jù)包的有效載荷。 動(dòng)態(tài)包過濾動(dòng)態(tài)包過濾[16]又稱為基于狀態(tài)的數(shù)據(jù)包過濾，是在傳統(tǒng)包過濾技術(shù)基礎(chǔ)之上發(fā)展起來的一項(xiàng)過濾技術(shù)，最早由Checkpoint提出。動(dòng)態(tài)包過濾技術(shù)克服了傳統(tǒng)包過濾僅僅孤立的檢查單個(gè)數(shù)據(jù)包和安全規(guī)則靜態(tài)不可變的缺陷，使得防火墻的安全控制力度更為細(xì)致。如一段攻擊代碼被分割到10個(gè)數(shù)據(jù)包中傳輸，那么這種簡單的對(duì)單一數(shù)據(jù)包的內(nèi)容檢測根本無法對(duì)攻擊特征進(jìn)行匹配: 要清楚地知道有效載荷，必須采取有效方法，將單個(gè)數(shù)據(jù)包重新組合成完整的數(shù)據(jù)流。命令解析器定制和分析每一個(gè)內(nèi)容協(xié)議，分析內(nèi)容數(shù)據(jù)流，檢測病毒和蠕蟲。由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時(shí)候代替服務(wù)器或客戶端參與應(yīng)用層的會(huì)話，從而起到了與應(yīng)用代理防火墻相同的控制能力。在歷史上，多宿主主機(jī)可以在網(wǎng)段之間傳送流量，今天一般都使用專門的路由器來完成IP路由轉(zhuǎn)發(fā)。主機(jī)屏蔽防火墻比雙宿主機(jī)防火墻更安全。通常，堡壘主機(jī)是網(wǎng)絡(luò)上最容易受攻擊的機(jī)器。 屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為使用兩個(gè)屏蔽路由器，位于堡壘主機(jī)的兩端，一端連接內(nèi)網(wǎng)，一端連接外網(wǎng)。還要看投資經(jīng)費(fèi)、投資大小、技術(shù)人員的水平和時(shí)間等問題。 （五）使用多個(gè)內(nèi)部路由器默認(rèn)情況下防火墻會(huì)自動(dòng)建立trust信任區(qū)，untrust非信任區(qū)，DMZ堡壘主機(jī)區(qū)以及LOCAL本地區(qū)域。第一步：通過CONSOLE接口以及本機(jī)的超級(jí)終端連接F100防火墻，執(zhí)行system命令進(jìn)入配置模式。用戶身份驗(yàn)證功能越強(qiáng)，它的安全級(jí)別越高，但它給網(wǎng)絡(luò)通信帶來的負(fù)面影響也越大，因?yàn)橛脩羯矸蒡?yàn)證需要時(shí)間，特別是加密型的用戶身份驗(yàn)證。擁有病毒防護(hù)功能的防火墻可以大大減少公司的損失。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。正是有了他們的悉心幫助和支持，才使我的畢業(yè)論文工作順利完成，在此向安徽水利水電職業(yè)技術(shù)學(xué)院，電子信息工程系計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的全體老師表示由衷的謝意。祝恩師們身體健康，家庭幸福！感謝論文中引文的原作者，他們都是計(jì)算機(jī)界的名師大家，大師風(fēng)范，高山仰止。防火墻技術(shù)只有不斷向主動(dòng)型和智能型等方向發(fā)展，才能更好的滿足人們對(duì)防火墻技術(shù)日益增長的需求。與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性。有些防火墻集成了防病毒功能，通常被稱之為“病毒防火墻”，當(dāng)然目前主要還是在個(gè)人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问?，更容易?shí)現(xiàn)。該功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。選擇接口四連接外網(wǎng)，接口一連接內(nèi)網(wǎng)。 防火墻的特色配置從外觀上看防火墻和傳統(tǒng)的路由器交換機(jī)沒有太大的差別，一部分防火