【正文】 最早出現(xiàn)并獲得廣泛應(yīng)用的分組過(guò)濾式防火墻可以被稱為第一代防火墻。通過(guò)重組，防火墻的狀態(tài)檢測(cè)模塊就能識(shí)別整個(gè)的被分幀的數(shù)據(jù)包。對(duì)于 什么樣的 ICMP 可以發(fā)出和放入在狀態(tài)監(jiān)測(cè)模塊中如何確定是關(guān)鍵。下面的處理方法可以作為在連接關(guān)閉后狀態(tài)檢測(cè)行為的參考。 當(dāng)通過(guò)使用一個(gè) SYN 包來(lái)建立一個(gè)會(huì)話時(shí)，防火墻先將這個(gè)數(shù)據(jù)包和規(guī)則庫(kù)進(jìn)行 比較。 如果一個(gè)包不在狀態(tài)檢測(cè)表中時(shí)，那么該包使用規(guī)則庫(kù)來(lái)檢查，而不考慮它是否是 SYN、 ACK 或其他的什 么包。該表是位于內(nèi)核模式中的。等服務(wù)完成后，這條規(guī)則就又被防火墻刪除。！ 相反，一個(gè)完全的狀態(tài)檢測(cè)防火墻，他在發(fā)起連接就判斷，如果符合規(guī)則，就在內(nèi)存登記了這個(gè)連接的狀態(tài)信息 (地址， port，選項(xiàng)。 狀態(tài)檢測(cè)防火墻基本保持了簡(jiǎn)單包過(guò)濾防火墻的優(yōu)點(diǎn)，性能比較好，同時(shí)對(duì)應(yīng)用是透明的，在此基礎(chǔ)上，對(duì)于安全性有了大幅提升。對(duì)其他種類的包，情況和 UDP 包類似。通常情況下，防火墻丟棄所有外部的連接企圖，除非已經(jīng)建立起某條特定的規(guī)則來(lái)處理它們。它是在使用了基本包過(guò)濾防火墻的通信上的一些應(yīng)用技術(shù)來(lái)做到這點(diǎn)的。 有人將狀態(tài)檢測(cè)防火墻稱為第三代防火墻，可見其應(yīng)用的廣泛性。 常用的應(yīng)用級(jí)防火墻已有了相應(yīng)的代理服務(wù)器， 例如： HTTP、 NNTP、 FTP、 Tel、 rlogin、 Xwindows 等，但是，對(duì)于新開發(fā)的應(yīng)用，尚沒有相應(yīng)的代理服務(wù)，它們將通過(guò)網(wǎng)絡(luò)級(jí)防火墻和一般的代理服務(wù)。它可以結(jié)合代理類型防火墻的安全性和包過(guò)濾防火墻的高速度等優(yōu)點(diǎn)，在毫不損失安全性的基礎(chǔ)之上將代多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測(cè) 25 理型防火墻的性能提高 10 倍以上。通常是需在防火墻主機(jī)上安裝相應(yīng)服務(wù)器軟件來(lái)實(shí)現(xiàn)以上功能的。 它屬于第五代防火墻技術(shù)，它最早是由于 1998 年，由 NAI公司推出的，并在其產(chǎn)品 Gauntlet Firewall for NT 中得以實(shí)現(xiàn)。 電路級(jí)網(wǎng)關(guān)也是一種代理，但是只是建立起一個(gè)回路，對(duì)數(shù)據(jù)包只起轉(zhuǎn)發(fā)的作用。 狀態(tài)監(jiān)測(cè)防火墻的另一個(gè)優(yōu)點(diǎn)是它會(huì)監(jiān)測(cè)無(wú)連接狀態(tài)的遠(yuǎn)程過(guò)程調(diào)用（ RPC）應(yīng)用層 內(nèi) 核 規(guī) 則 表 規(guī)則 1 規(guī)則 2 規(guī)則 3 連接狀態(tài)表 連接 1 連接 2 連接 3 狀態(tài)檢測(cè) 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測(cè) 22 和用 戶數(shù)據(jù)報(bào) (UDP)之類的端口信息，而包過(guò)濾和應(yīng)用網(wǎng)關(guān)防火墻都不支持此類應(yīng)用。狀態(tài)檢測(cè)防火墻通過(guò)建立動(dòng)態(tài) TCP 連接狀態(tài)表并對(duì) 每次會(huì)話連接進(jìn)行驗(yàn)證來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制。報(bào)頭信息中包括 IP 源地址、 IP目標(biāo)地址、傳輸協(xié)議 (TCP、 UDP、ICMP 等等 )、 TCP/UDP 目標(biāo)端口、 ICMP 消息類型等。而外部網(wǎng)絡(luò)通常是直接通過(guò)防火墻與內(nèi)部網(wǎng)絡(luò)連接，中間不會(huì)有其它網(wǎng)絡(luò)設(shè)備 。這個(gè)安全規(guī)則就是防火墻技術(shù)的根本，它是通過(guò)對(duì)各種網(wǎng)絡(luò)應(yīng)用、通信類型和端口的使用來(lái)規(guī)定的。在防火墻中主要用于外部網(wǎng)絡(luò)主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)和 DMZ 區(qū) (非軍事區(qū) )主機(jī)的訪問(wèn)。但由于合法因特網(wǎng) IP 地址有限，而且受保護(hù)網(wǎng)絡(luò)往往有自己的一套本地 IP 地址規(guī)劃。 地址轉(zhuǎn)換技術(shù) 地址轉(zhuǎn)換技術(shù)（ Network Address Translation,NAT） 。 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測(cè) 16 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測(cè) 17 第三章 多層防火墻系統(tǒng)的功 能及其組成 隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和應(yīng)用的日漸普及，黑客工具不僅變得越來(lái)越先進(jìn)，而且也越來(lái)越容易被一般人獲取和濫用。 所謂“多級(jí)過(guò)濾技術(shù)”，是指防火墻采用多級(jí)過(guò)濾措施，并輔以鑒別手段。 單一的 防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。 但是 對(duì)攻防技術(shù)發(fā)展和網(wǎng)絡(luò)安全實(shí)踐的研究分析表明， 單一的 防火墻有許多“ 難言之隱 ” —— 即 “ 三難防 ” 困擾 。攻擊技術(shù)包括目標(biāo)網(wǎng)絡(luò)信息收集技術(shù)、目標(biāo)網(wǎng)絡(luò)權(quán)限提升技術(shù)、目標(biāo)網(wǎng)絡(luò)滲透技術(shù)、目標(biāo)網(wǎng)絡(luò)摧毀技術(shù)四大類。 防火墻技術(shù)的發(fā)展 隨著 Inter/Intra 技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題必將愈來(lái)愈引起人們的重視。 Finger 顯示了主機(jī)的所有用戶的注冊(cè)名、真名，最后登錄時(shí)間和使用shell 類型等。 ③ 對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì) ： 如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。 防火墻的 功能 ① 防火墻是網(wǎng)絡(luò)安全的屏障： 一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信量，從而完成看似不可能的任務(wù)；僅讓安全、核準(zhǔn)了的信息進(jìn)入，同時(shí)又抵制對(duì)企業(yè)構(gòu)成威脅的數(shù)據(jù)。下面我們一起來(lái)討論一下防火墻的概念，以及防火墻的功能，并且討論了每一種防火墻的特性及其發(fā)展 。 但是 對(duì)攻防技術(shù)發(fā)展和網(wǎng)絡(luò)安全實(shí)踐的研究分析表明，單一的安全保護(hù)往往效果不理想，而最佳途徑就是采用多層安全防護(hù)措施對(duì)信息系統(tǒng)進(jìn)行全方位的保護(hù)。因此，防火墻的作用是防止不希望的、未授權(quán)的通信進(jìn)出被保護(hù)的網(wǎng)絡(luò)，迫使單位強(qiáng)化自己的網(wǎng)絡(luò)安全政策。 . 關(guān)鍵字： 防火墻、狀態(tài)檢測(cè)、多層防火墻、 VB。多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測(cè) I 多層防火墻技術(shù)的研究 目 錄 摘 要 .................................................................................................................................... III ABSTRACTOR ...................................................................................................................... IV 引 言 ....................................................................................................................................... V 第一章 防火墻技術(shù)的概論 ...................................................................................................... 8 防火墻的概念 ............................................................................................................ 8 防火墻的功能 ............................................................................................................ 9 防火墻的特性 .......................................................................................................... 10 防火墻技術(shù)的發(fā)展 .................................................................................................. 11 第二章 多層防火墻技術(shù)的研究背景 .................................................................................... 13 多層防火墻技術(shù)的研究背景 .................................................................................. 13 多層防火墻技術(shù)的概論 .......................................................................................... 14 第三章 多層防火墻系統(tǒng)的功能及其組成 ............................................................................ 17 地址轉(zhuǎn)換技術(shù) .......................................................................................................... 17 數(shù)據(jù)包過(guò)濾技術(shù) ...................................................................................................... 18 狀態(tài)檢測(cè)技術(shù) .......................................................................................................... 20 電路級(jí)網(wǎng)關(guān)技術(shù) ...................................................................................................... 22 應(yīng)用代理網(wǎng)關(guān)技術(shù) .................................................................................................. 23 第四章 狀態(tài)檢測(cè)技術(shù)概論 .................................................................................................... 27 狀態(tài)檢測(cè)技術(shù)的優(yōu)點(diǎn) .............................................................................................. 27 狀態(tài)檢測(cè)技術(shù)的原理 .............................................................................................. 28 狀態(tài)檢測(cè)技術(shù)的工作機(jī) 制 ...................................................................................... 30 狀態(tài)檢測(cè)技術(shù)的新技術(shù) .......................................................................................... 34 第五章 防火墻系統(tǒng)的設(shè)計(jì) .................................................................................................... 40 防火墻的分層技術(shù) .................................................................................................. 40 防火墻系統(tǒng)設(shè)計(jì)工具 .............................................................................................. 43 防火墻系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) .......................................................................................... 45 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測(cè) II 系統(tǒng)概要設(shè)計(jì) .................................................................................................. 45 基本功能 .......................................................................................................... 45 增強(qiáng)功能 .......................................................................................................... 46 系統(tǒng)詳細(xì)設(shè)計(jì) .....................................