【正文】 如今，伴隨著這篇畢業(yè)論文的最終成稿，復(fù)雜的心情煙消云散，自己甚至還有一點(diǎn)成就感。 42 防火墻的系統(tǒng)管理發(fā)展趨勢 (1)集中式管理，分布式和分層的安全結(jié)構(gòu)。另外，在以后幾年里，多媒體應(yīng)用將會越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。這是針對以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補(bǔ)以上各種 單獨(dú)過濾技術(shù)的不足。 第五章 防火墻發(fā)展趨勢 針對傳統(tǒng)防火墻不能解決的問題，及新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也出現(xiàn)了新的發(fā)展趨勢。 除此之外防火墻的其他相關(guān)配置與路由交換設(shè)備差不多，無外乎通過超級終端下的命令行參數(shù)進(jìn)行配置或者通過 WEB 管理界面配置。網(wǎng)絡(luò)拓?fù)鋱D中防火墻的位置很關(guān)鍵，一般介于內(nèi)網(wǎng)與外網(wǎng)互連中間區(qū)域，針對外網(wǎng)訪問數(shù)據(jù)進(jìn)行過濾和監(jiān)控。 屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為使用兩個(gè)屏蔽 路由器 ，位于堡壘主機(jī)的兩端，一端連接內(nèi)網(wǎng)，一端連接外網(wǎng)。 33 因?yàn)檫@種體系結(jié)構(gòu)允許數(shù)據(jù)包從外網(wǎng)向內(nèi)網(wǎng)移動，所以它的設(shè)計(jì)比沒有外部數(shù)據(jù)流量的雙宿主機(jī)更冒風(fēng)險(xiǎn)，但實(shí)際上雙宿主機(jī)體系結(jié)構(gòu)在防備數(shù)據(jù)包流入內(nèi)網(wǎng)時(shí)也會造成失敗。如果路由被意外允許，那么雙宿主主機(jī)防火墻的應(yīng)用測功能就會被旁路，內(nèi)部受保護(hù)網(wǎng)絡(luò)就會完全暴露在危險(xiǎn)中。 雙宿主主機(jī) 如果多宿主主機(jī)的路由功能被禁止，則主機(jī)可以在它連接的網(wǎng)絡(luò)之間提供網(wǎng)絡(luò)流量的分離，并且每個(gè)網(wǎng)絡(luò)都能在宿主主機(jī)上處理應(yīng)用程序。如在對 SMTP 協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對郵件的存儲轉(zhuǎn)發(fā)，并實(shí)現(xiàn)豐富的對 SMTP 協(xié)議的各種攻擊的防范功能一流過濾的示意圖如圖 所示。如果檢測到信息流是一個(gè) HTTP 數(shù)據(jù)流，則命令解析器檢查上載和下載的文件 。因而要執(zhí)行深度包檢測，帶來的問題必然是性能的 下降，這就是所謂的內(nèi)容處理障礙。利用高層協(xié)議的攻擊和網(wǎng)絡(luò)病毒的頻繁出現(xiàn)，對防火墻提出了新的要求。對于新建的應(yīng)用連接，防火墻檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相關(guān)信息，這些相關(guān)信息構(gòu)成一個(gè)狀態(tài)表。從數(shù)據(jù)包結(jié)構(gòu)出發(fā)考慮，目前包過濾技術(shù)向兩個(gè)方向發(fā)展 :(l)橫向聯(lián)系。如接收到一個(gè) ACK 數(shù)據(jù)包，就認(rèn)為這是一個(gè)己建立的連接，這就導(dǎo)致許多安全隱患，一些惡意掃描和拒絕服務(wù)攻擊就是利用了這個(gè)缺陷。 表 21 IP 首部格式 版本 首部長 服務(wù)類型 總 長 度 標(biāo)識 標(biāo)志 片偏移 生存時(shí)間 協(xié) 議 首部校驗(yàn)和 源 IP 地址 目的 IP 地址 選項(xiàng) 23 表 22 TCP 首部格式 源端口號 目的端口號 序列號 確認(rèn)號 首部長 保留 L R C T B L P B H R C T C J H H J R 窗口大小 TCP 校驗(yàn)和 緊急指針 選項(xiàng) 對于幀的頭部信息主要是源 /目的主機(jī)的 MAC 地址 。包過濾技術(shù)歷經(jīng)發(fā)展演變而未被淘汰。 防火墻包過濾技術(shù) 隨著 Inter 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多 。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。但是，這將花費(fèi)更多的處理時(shí)間，并且由于代理防火墻支持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。通常是使用 80 端口。過濾規(guī)則是基于網(wǎng)絡(luò)層 IP 包包頭信息的比較。可支持任一網(wǎng)絡(luò)接口的 IP 地址和MAC 地址的綁定，從而禁止用戶隨意修改 IP 地址。木馬程序的全稱是“特洛依木馬”，它們是指尋找后門、竊取計(jì)算機(jī)的密碼的一類程序。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn) 行各種非法操作，防火墻設(shè)備可檢測對 FTP、 Tel、 SSH、 RPC 和 SMTP 等服務(wù)的遠(yuǎn)程堆棧溢出入侵。檢查各端口，有端口掃描的癥狀時(shí)，立即屏蔽該端口，多數(shù)防火墻設(shè)備采用的都是這種反端口掃描方式。 4．透明和路由 16 指防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。 SNAT 用于對內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對 外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來自外部其他網(wǎng)絡(luò)的非授權(quán)訪問或惡意攻擊。 智能防火墻簡介 智能防火墻 [6]是相對傳統(tǒng)的防火墻而言的，從技術(shù)特征上智能防火墻是利用統(tǒng)計(jì)、記憶、概率和決策的智能方法來對數(shù)據(jù)進(jìn)行識別，并達(dá)到訪問控制的目的。而這三大問題，傳統(tǒng)防火墻都無能為力。 圖 1 第一代防火墻 第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過濾（ Packet filter）技術(shù)。 防火墻的概念 防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。 11 制定合理的網(wǎng)絡(luò)管理措施 （ 1）加強(qiáng)網(wǎng)絡(luò)用戶及有關(guān)人員的安全意識、職業(yè)道德和事業(yè)心、責(zé)任心的培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。 (4)檢測系統(tǒng) 入侵檢測技術(shù)是網(wǎng)絡(luò)安全研究的一個(gè)熱點(diǎn)，是一種積極主動的安全防護(hù)技術(shù)，提供了對內(nèi)部入侵、外部入侵和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前 攔截相應(yīng)入侵。 完善計(jì)算機(jī)安全立法 我國先后出臺的有關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。 影響網(wǎng)絡(luò)安全的因素 1）單機(jī)安全 購買單機(jī)時(shí)，型號的選擇；計(jì)算機(jī)的運(yùn)行環(huán)境（電壓、濕度、防塵條件、強(qiáng)電磁場以及自然災(zāi)害等）；計(jì)算機(jī)的操作??等等，這些都是影響單機(jī)安全性的因素。當(dāng)前，活性病毒達(dá) 14000 多種，計(jì)算機(jī)病毒侵入網(wǎng)絡(luò)，對網(wǎng)絡(luò)資源進(jìn)行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個(gè)網(wǎng)絡(luò)的癱瘓。它保證硬件和軟件本身的安全。各種 Windows 漏洞不斷被公布，對主機(jī)的攻擊也越來越多。防火可以有效地阻截各種惡意攻擊、保護(hù)信息的 安全 。在我國，每年因黑客入侵、計(jì)算機(jī)病毒的破壞也造成了巨大的經(jīng)濟(jì)損失。針對網(wǎng)絡(luò)安全獨(dú)立元素 —— 防火墻技術(shù)，通過對防火墻日志文件的分析，設(shè)計(jì)相應(yīng)的數(shù)學(xué)模型和軟件雛形，采用打分制的方法，判斷系統(tǒng)的安全等級，實(shí)現(xiàn)對目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。 作者簽名： 指導(dǎo)教師簽名： 日期： 日期： III 注 意 事 項(xiàng) （論文）的內(nèi)容包括： 1）封面（按教務(wù)處制 定的標(biāo)準(zhǔn)封面格式制作） 2）原創(chuàng)性聲明 3）中文摘要（ 300 字左右）、關(guān)鍵詞 4）外文摘要、關(guān)鍵詞 5）目次頁（附件不統(tǒng)一編入） 6）論文主體部分：引言（或緒論）、正文、結(jié)論 7）參考文獻(xiàn) 8）致謝 9）附錄（對論文支持必要時(shí)） ：理工類設(shè)計(jì)（論文）正文字?jǐn)?shù)不少于 1 萬字（不包括圖紙、程序清單等），文科類論文正文字?jǐn)?shù)不少于 萬字。 I 畢業(yè)論文 題目： 防火墻技術(shù) II 畢業(yè)論文（設(shè)計(jì)）原創(chuàng)性聲明 本人所呈交的畢業(yè)論文（設(shè)計(jì)） 是我在導(dǎo)師的指導(dǎo)下進(jìn)行的研究工作及取得的研究成果。 ：任務(wù)書、開題報(bào)告、外文譯文、譯文原文（復(fù)印件）。 關(guān)鍵詞 ： 網(wǎng)絡(luò)安全，防火墻，防范策略，發(fā)展趨勢 Abstract V The rapid development of the Inter brought great convenience in people39。人們在利用網(wǎng)絡(luò)的優(yōu)越性的同時(shí)，對網(wǎng)絡(luò)安全問題也決不能忽視。信息泄漏攔截保證安全地瀏覽網(wǎng)頁、遏制郵件病毒的蔓延 。一般都是利用操作系統(tǒng)設(shè)計(jì)的安全漏洞和通信協(xié)議的安全漏洞來實(shí)現(xiàn)攻擊。 2）運(yùn)行環(huán)境的安全性。 2）黑客侵襲。 2）網(wǎng)絡(luò)安全 影響網(wǎng)絡(luò)安全的因素有：節(jié)點(diǎn)的安全、數(shù)據(jù)的安全（保存和傳輸方面）、文件的安全等。但目前，在這方面的立法還遠(yuǎn)不能適應(yīng)形勢發(fā)展的需要 ,應(yīng)該在對控制計(jì)算機(jī)犯罪的國內(nèi)外立法評價(jià)的基礎(chǔ)上，完善我國計(jì)算機(jī)犯罪立法，以便為確保我國計(jì)算機(jī)信息網(wǎng)絡(luò)健康有序的發(fā)展提供強(qiáng)有力的保障。 隨著時(shí)代的發(fā)展，入侵檢測技術(shù)將朝著三個(gè)方向發(fā)展 :分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。 （ 2）建立完善的安全管理體制和制度，以起到對管理人員和操作人員鼓勵(lì)和監(jiān)督的作用。 [4]防火墻是指設(shè)置在不同網(wǎng)絡(luò) (如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng) )或網(wǎng)絡(luò)安全域之間的一系列部件的組合。 第 二代、第三代 防火墻 1989 年，貝爾實(shí)驗(yàn)室的 Dave Presotto 和 Howard Trickey 推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻 ——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。主要有以下三個(gè)原因 : 一是傳統(tǒng)防火墻的計(jì)算能力的限制。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進(jìn)行訪問控制。并將有限的 IP 地址動態(tài)或靜態(tài)的與內(nèi)部 IP 地址對應(yīng)起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本。隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服 務(wù)進(jìn)行幾乎透明的訪問，同時(shí)阻止了外部未授權(quán)訪問者對專用網(wǎng)絡(luò)的非法訪問 。 。 CGI/IIS 服務(wù)器入侵。網(wǎng)絡(luò)蠕蟲病毒分為 2 類，一種是面向企業(yè)用戶和局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動進(jìn)行攻擊，可以對整個(gè)互聯(lián)網(wǎng)造成癱瘓性的后果，以“紅色代碼”，“尼姆達(dá)”，以及最新的“ sql 蠕蟲王”為代表。 。包過濾防火墻工作在網(wǎng)絡(luò)層， IP 包的包頭中包含源、目的 IP 地址，封裝協(xié)議類型 (TCP， UDP， ICMP或 IP Tunnel)， TCP/UDP 端口號， ICMP 消息類型， TCP 包頭中的ACK 等等。如果公司的安全策略允許內(nèi)部員工訪問網(wǎng)站，包過濾防火墻可能設(shè)置允所有 80 端口的連接通過，這時(shí)，意識到這一漏洞的外部人員可以在沒有被認(rèn)證的情況下進(jìn)入私有網(wǎng)絡(luò)。比如訪問 WEB 站點(diǎn)的 HTTP，用于文件傳輸?shù)?FTP，用于E 一 MAIL 的 SMTP/POP3 等等。同時(shí) 也常結(jié)合入過濾器的功能。同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng)絡(luò)安全問題越來越突出。 由于其主要是對數(shù)據(jù)包的過濾操作，所以數(shù)據(jù)包結(jié)構(gòu)是包過濾技術(shù)的基礎(chǔ)。IP 數(shù)據(jù)報(bào)頭部信息主要是源 /目的主機(jī)的 IP 地址 。 。即在包檢測中考慮前后數(shù)據(jù)包之間的關(guān)系，充分利用包頭信息中能體現(xiàn)此關(guān)系的字段，如 IP 首部的標(biāo)識字段和片偏移字段、 TCP 首部的發(fā)送及確認(rèn)序號、滑動窗口的大小、狀態(tài)標(biāo)識等，動態(tài)執(zhí)行數(shù)據(jù)包過濾。這樣 ，當(dāng)一個(gè)新的數(shù)據(jù)包到達(dá)，如果屬于已經(jīng)建立的連接，則檢查狀態(tài)表，參考數(shù)據(jù)流上下文決定當(dāng)前數(shù)據(jù)包通過與否 。防火墻必須深入檢查數(shù)據(jù)包的內(nèi)部來確認(rèn)出惡意行為并阻止它們。為了突破內(nèi)容處理障礙，達(dá)到實(shí)時(shí)地分析網(wǎng)絡(luò)內(nèi)容和行為，需要重點(diǎn)在加速上采取有效的辦法。如果數(shù)據(jù)是 Mail 類型，則檢查郵件的附件。 圖 流過濾示意圖 29 在這種機(jī)制下，從防火墻外部看，仍然是包過濾的形態(tài)，工作在鏈路層或 IP 層， 在規(guī)則允許下，兩端可以直接訪問，但是任何一個(gè)被規(guī)則允許的訪問在防火墻內(nèi)部都存在兩個(gè)完全獨(dú)立的 TCP 會話，數(shù)據(jù)以“流”的方式從一個(gè)會話流向另一個(gè)會話。另外，如果應(yīng)用程序允許，網(wǎng)絡(luò)還可以共享數(shù)據(jù)。 主機(jī)屏蔽防火墻 32 主機(jī)屏蔽防火墻比雙宿主機(jī)防火墻更安全?？傊Ｗo(hù)路由器比保護(hù)主機(jī)更容易實(shí)現(xiàn)，因?yàn)槁酚善魈峁┓浅Ｓ邢薜姆?wù)，漏洞要比主機(jī)少得多，所以主機(jī)屏蔽防火墻體系結(jié)構(gòu)能提供更好的安全性和可用性。為了入侵這種類型的體系結(jié)構(gòu)，入侵者必須穿透兩個(gè)屏蔽路由