【正文】 如今，伴隨著這篇畢業(yè)論文的最終成稿，復(fù)雜的心情煙消云散，自己甚至還有一點(diǎn)成就感。 42 防火墻的系統(tǒng)管理發(fā)展趨勢(shì) (1)集中式管理，分布式和分層的安全結(jié)構(gòu)。另外，在以后幾年里，多媒體應(yīng)用將會(huì)越來(lái)越普遍，它要求數(shù)據(jù)穿過(guò)防火墻所帶來(lái)的延遲要足夠小。這是針對(duì)以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過(guò)濾技術(shù)，它可以彌補(bǔ)以上各種 單獨(dú)過(guò)濾技術(shù)的不足。 第五章 防火墻發(fā)展趨勢(shì) 針對(duì)傳統(tǒng)防火墻不能解決的問(wèn)題，及新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也出現(xiàn)了新的發(fā)展趨勢(shì)。 除此之外防火墻的其他相關(guān)配置與路由交換設(shè)備差不多，無(wú)外乎通過(guò)超級(jí)終端下的命令行參數(shù)進(jìn)行配置或者通過(guò) WEB 管理界面配置。網(wǎng)絡(luò)拓?fù)鋱D中防火墻的位置很關(guān)鍵，一般介于內(nèi)網(wǎng)與外網(wǎng)互連中間區(qū)域，針對(duì)外網(wǎng)訪問(wèn)數(shù)據(jù)進(jìn)行過(guò)濾和監(jiān)控。 屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為使用兩個(gè)屏蔽 路由器 ，位于堡壘主機(jī)的兩端，一端連接內(nèi)網(wǎng)，一端連接外網(wǎng)。 33 因?yàn)檫@種體系結(jié)構(gòu)允許數(shù)據(jù)包從外網(wǎng)向內(nèi)網(wǎng)移動(dòng)，所以它的設(shè)計(jì)比沒(méi)有外部數(shù)據(jù)流量的雙宿主機(jī)更冒風(fēng)險(xiǎn)，但實(shí)際上雙宿主機(jī)體系結(jié)構(gòu)在防備數(shù)據(jù)包流入內(nèi)網(wǎng)時(shí)也會(huì)造成失敗。如果路由被意外允許，那么雙宿主主機(jī)防火墻的應(yīng)用測(cè)功能就會(huì)被旁路，內(nèi)部受保護(hù)網(wǎng)絡(luò)就會(huì)完全暴露在危險(xiǎn)中。 雙宿主主機(jī) 如果多宿主主機(jī)的路由功能被禁止，則主機(jī)可以在它連接的網(wǎng)絡(luò)之間提供網(wǎng)絡(luò)流量的分離，并且每個(gè)網(wǎng)絡(luò)都能在宿主主機(jī)上處理應(yīng)用程序。如在對(duì) SMTP 協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對(duì)郵件的存儲(chǔ)轉(zhuǎn)發(fā)，并實(shí)現(xiàn)豐富的對(duì) SMTP 協(xié)議的各種攻擊的防范功能一流過(guò)濾的示意圖如圖 所示。如果檢測(cè)到信息流是一個(gè) HTTP 數(shù)據(jù)流，則命令解析器檢查上載和下載的文件 。因而要執(zhí)行深度包檢測(cè)，帶來(lái)的問(wèn)題必然是性能的 下降，這就是所謂的內(nèi)容處理障礙。利用高層協(xié)議的攻擊和網(wǎng)絡(luò)病毒的頻繁出現(xiàn)，對(duì)防火墻提出了新的要求。對(duì)于新建的應(yīng)用連接，防火墻檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過(guò)，并在內(nèi)存中記錄下該連接的相關(guān)信息，這些相關(guān)信息構(gòu)成一個(gè)狀態(tài)表。從數(shù)據(jù)包結(jié)構(gòu)出發(fā)考慮，目前包過(guò)濾技術(shù)向兩個(gè)方向發(fā)展 :(l)橫向聯(lián)系。如接收到一個(gè) ACK 數(shù)據(jù)包，就認(rèn)為這是一個(gè)己建立的連接，這就導(dǎo)致許多安全隱患，一些惡意掃描和拒絕服務(wù)攻擊就是利用了這個(gè)缺陷。 表 21 IP 首部格式 版本 首部長(zhǎng) 服務(wù)類型 總 長(zhǎng) 度 標(biāo)識(shí) 標(biāo)志 片偏移 生存時(shí)間 協(xié) 議 首部校驗(yàn)和 源 IP 地址 目的 IP 地址 選項(xiàng) 23 表 22 TCP 首部格式 源端口號(hào) 目的端口號(hào) 序列號(hào) 確認(rèn)號(hào) 首部長(zhǎng) 保留 L R C T B L P B H R C T C J H H J R 窗口大小 TCP 校驗(yàn)和 緊急指針 選項(xiàng) 對(duì)于幀的頭部信息主要是源 /目的主機(jī)的 MAC 地址 。包過(guò)濾技術(shù)歷經(jīng)發(fā)展演變而未被淘汰。 防火墻包過(guò)濾技術(shù) 隨著 Inter 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來(lái)越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多 。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。但是，這將花費(fèi)更多的處理時(shí)間，并且由于代理防火墻支持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。通常是使用 80 端口。過(guò)濾規(guī)則是基于網(wǎng)絡(luò)層 IP 包包頭信息的比較?？芍С秩我痪W(wǎng)絡(luò)接口的 IP 地址和MAC 地址的綁定，從而禁止用戶隨意修改 IP 地址。木馬程序的全稱是“特洛依木馬”，它們是指尋找后門、竊取計(jì)算機(jī)的密碼的一類程序。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn) 行各種非法操作，防火墻設(shè)備可檢測(cè)對(duì) FTP、 Tel、 SSH、 RPC 和 SMTP 等服務(wù)的遠(yuǎn)程堆棧溢出入侵。檢查各端口，有端口掃描的癥狀時(shí)，立即屏蔽該端口，多數(shù)防火墻設(shè)備采用的都是這種反端口掃描方式。 4．透明和路由 16 指防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。 SNAT 用于對(duì)內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì) 外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來(lái)自外部其他網(wǎng)絡(luò)的非授權(quán)訪問(wèn)或惡意攻擊。 智能防火墻簡(jiǎn)介 智能防火墻 [6]是相對(duì)傳統(tǒng)的防火墻而言的，從技術(shù)特征上智能防火墻是利用統(tǒng)計(jì)、記憶、概率和決策的智能方法來(lái)對(duì)數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪問(wèn)控制的目的。而這三大問(wèn)題，傳統(tǒng)防火墻都無(wú)能為力。 圖 1 第一代防火墻 第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過(guò)濾（ Packet filter）技術(shù)。 防火墻的概念 防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。 11 制定合理的網(wǎng)絡(luò)管理措施 （ 1）加強(qiáng)網(wǎng)絡(luò)用戶及有關(guān)人員的安全意識(shí)、職業(yè)道德和事業(yè)心、責(zé)任心的培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。 (4)檢測(cè)系統(tǒng) 入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全研究的一個(gè)熱點(diǎn)，是一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部入侵、外部入侵和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前 攔截相應(yīng)入侵。 完善計(jì)算機(jī)安全立法 我國(guó)先后出臺(tái)的有關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。 影響網(wǎng)絡(luò)安全的因素 1）單機(jī)安全 購(gòu)買單機(jī)時(shí)，型號(hào)的選擇；計(jì)算機(jī)的運(yùn)行環(huán)境（電壓、濕度、防塵條件、強(qiáng)電磁場(chǎng)以及自然災(zāi)害等）；計(jì)算機(jī)的操作??等等，這些都是影響單機(jī)安全性的因素。當(dāng)前，活性病毒達(dá) 14000 多種，計(jì)算機(jī)病毒侵入網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)資源進(jìn)行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個(gè)網(wǎng)絡(luò)的癱瘓。它保證硬件和軟件本身的安全。各種 Windows 漏洞不斷被公布，對(duì)主機(jī)的攻擊也越來(lái)越多。防火可以有效地阻截各種惡意攻擊、保護(hù)信息的 安全 。在我國(guó)，每年因黑客入侵、計(jì)算機(jī)病毒的破壞也造成了巨大的經(jīng)濟(jì)損失。針對(duì)網(wǎng)絡(luò)安全獨(dú)立元素 —— 防火墻技術(shù)，通過(guò)對(duì)防火墻日志文件的分析，設(shè)計(jì)相應(yīng)的數(shù)學(xué)模型和軟件雛形，采用打分制的方法，判斷系統(tǒng)的安全等級(jí)，實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。 作者簽名： 指導(dǎo)教師簽名： 日期： 日期： III 注 意 事 項(xiàng) （論文）的內(nèi)容包括： 1）封面（按教務(wù)處制 定的標(biāo)準(zhǔn)封面格式制作） 2）原創(chuàng)性聲明 3）中文摘要（ 300 字左右）、關(guān)鍵詞 4）外文摘要、關(guān)鍵詞 5）目次頁(yè)（附件不統(tǒng)一編入） 6）論文主體部分：引言（或緒論）、正文、結(jié)論 7）參考文獻(xiàn) 8）致謝 9）附錄（對(duì)論文支持必要時(shí)） ：理工類設(shè)計(jì)（論文）正文字?jǐn)?shù)不少于 1 萬(wàn)字（不包括圖紙、程序清單等），文科類論文正文字?jǐn)?shù)不少于 萬(wàn)字。 I 畢業(yè)論文 題目： 防火墻技術(shù) II 畢業(yè)論文（設(shè)計(jì)）原創(chuàng)性聲明 本人所呈交的畢業(yè)論文（設(shè)計(jì)） 是我在導(dǎo)師的指導(dǎo)下進(jìn)行的研究工作及取得的研究成果。 ：任務(wù)書、開(kāi)題報(bào)告、外文譯文、譯文原文（復(fù)印件）。 關(guān)鍵詞 ： 網(wǎng)絡(luò)安全，防火墻，防范策略，發(fā)展趨勢(shì) Abstract V The rapid development of the Inter brought great convenience in people39。人們?cè)诶镁W(wǎng)絡(luò)的優(yōu)越性的同時(shí)，對(duì)網(wǎng)絡(luò)安全問(wèn)題也決不能忽視。信息泄漏攔截保證安全地瀏覽網(wǎng)頁(yè)、遏制郵件病毒的蔓延 。一般都是利用操作系統(tǒng)設(shè)計(jì)的安全漏洞和通信協(xié)議的安全漏洞來(lái)實(shí)現(xiàn)攻擊。 2）運(yùn)行環(huán)境的安全性。 2）黑客侵襲。 2）網(wǎng)絡(luò)安全 影響網(wǎng)絡(luò)安全的因素有：節(jié)點(diǎn)的安全、數(shù)據(jù)的安全（保存和傳輸方面）、文件的安全等。但目前，在這方面的立法還遠(yuǎn)不能適應(yīng)形勢(shì)發(fā)展的需要 ,應(yīng)該在對(duì)控制計(jì)算機(jī)犯罪的國(guó)內(nèi)外立法評(píng)價(jià)的基礎(chǔ)上，完善我國(guó)計(jì)算機(jī)犯罪立法，以便為確保我國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)健康有序的發(fā)展提供強(qiáng)有力的保障。 隨著時(shí)代的發(fā)展，入侵檢測(cè)技術(shù)將朝著三個(gè)方向發(fā)展 :分布式入侵檢測(cè)、智能化入侵檢測(cè)和全面的安全防御方案。 （ 2）建立完善的安全管理體制和制度，以起到對(duì)管理人員和操作人員鼓勵(lì)和監(jiān)督的作用。 [4]防火墻是指設(shè)置在不同網(wǎng)絡(luò) (如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng) )或網(wǎng)絡(luò)安全域之間的一系列部件的組合。 第 二代、第三代 防火墻 1989 年，貝爾實(shí)驗(yàn)室的 Dave Presotto 和 Howard Trickey 推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻 ——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。主要有以下三個(gè)原因 : 一是傳統(tǒng)防火墻的計(jì)算能力的限制。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進(jìn)行訪問(wèn)控制。并將有限的 IP 地址動(dòng)態(tài)或靜態(tài)的與內(nèi)部 IP 地址對(duì)應(yīng)起來(lái)，用來(lái)緩解地址空間的短缺問(wèn)題，節(jié)省資源，降低成本。隱蔽智能網(wǎng)關(guān)提供了對(duì)互聯(lián)網(wǎng)服 務(wù)進(jìn)行幾乎透明的訪問(wèn)，同時(shí)阻止了外部未授權(quán)訪問(wèn)者對(duì)專用網(wǎng)絡(luò)的非法訪問(wèn) 。 。 CGI/IIS 服務(wù)器入侵。網(wǎng)絡(luò)蠕蟲(chóng)病毒分為 2 類，一種是面向企業(yè)用戶和局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動(dòng)進(jìn)行攻擊，可以對(duì)整個(gè)互聯(lián)網(wǎng)造成癱瘓性的后果，以“紅色代碼”，“尼姆達(dá)”，以及最新的“ sql 蠕蟲(chóng)王”為代表。 。包過(guò)濾防火墻工作在網(wǎng)絡(luò)層， IP 包的包頭中包含源、目的 IP 地址，封裝協(xié)議類型 (TCP， UDP， ICMP或 IP Tunnel)， TCP/UDP 端口號(hào)， ICMP 消息類型， TCP 包頭中的ACK 等等。如果公司的安全策略允許內(nèi)部員工訪問(wèn)網(wǎng)站，包過(guò)濾防火墻可能設(shè)置允所有 80 端口的連接通過(guò)，這時(shí)，意識(shí)到這一漏洞的外部人員可以在沒(méi)有被認(rèn)證的情況下進(jìn)入私有網(wǎng)絡(luò)。比如訪問(wèn) WEB 站點(diǎn)的 HTTP，用于文件傳輸?shù)?FTP，用于E 一 MAIL 的 SMTP/POP3 等等。同時(shí) 也常結(jié)合入過(guò)濾器的功能。同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問(wèn)題，使得網(wǎng)絡(luò)安全問(wèn)題越來(lái)越突出。 由于其主要是對(duì)數(shù)據(jù)包的過(guò)濾操作，所以數(shù)據(jù)包結(jié)構(gòu)是包過(guò)濾技術(shù)的基礎(chǔ)。IP 數(shù)據(jù)報(bào)頭部信息主要是源 /目的主機(jī)的 IP 地址 。 。即在包檢測(cè)中考慮前后數(shù)據(jù)包之間的關(guān)系，充分利用包頭信息中能體現(xiàn)此關(guān)系的字段，如 IP 首部的標(biāo)識(shí)字段和片偏移字段、 TCP 首部的發(fā)送及確認(rèn)序號(hào)、滑動(dòng)窗口的大小、狀態(tài)標(biāo)識(shí)等，動(dòng)態(tài)執(zhí)行數(shù)據(jù)包過(guò)濾。這樣 ，當(dāng)一個(gè)新的數(shù)據(jù)包到達(dá)，如果屬于已經(jīng)建立的連接，則檢查狀態(tài)表，參考數(shù)據(jù)流上下文決定當(dāng)前數(shù)據(jù)包通過(guò)與否 。防火墻必須深入檢查數(shù)據(jù)包的內(nèi)部來(lái)確認(rèn)出惡意行為并阻止它們。為了突破內(nèi)容處理障礙，達(dá)到實(shí)時(shí)地分析網(wǎng)絡(luò)內(nèi)容和行為，需要重點(diǎn)在加速上采取有效的辦法。如果數(shù)據(jù)是 Mail 類型，則檢查郵件的附件。 圖 流過(guò)濾示意圖 29 在這種機(jī)制下，從防火墻外部看，仍然是包過(guò)濾的形態(tài)，工作在鏈路層或 IP 層， 在規(guī)則允許下，兩端可以直接訪問(wèn)，但是任何一個(gè)被規(guī)則允許的訪問(wèn)在防火墻內(nèi)部都存在兩個(gè)完全獨(dú)立的 TCP 會(huì)話，數(shù)據(jù)以“流”的方式從一個(gè)會(huì)話流向另一個(gè)會(huì)話。另外，如果應(yīng)用程序允許，網(wǎng)絡(luò)還可以共享數(shù)據(jù)。 主機(jī)屏蔽防火墻 32 主機(jī)屏蔽防火墻比雙宿主機(jī)防火墻更安全?？傊Ｗo(hù)路由器比保護(hù)主機(jī)更容易實(shí)現(xiàn)，因?yàn)槁酚善魈峁┓浅Ｓ邢薜姆?wù)，漏洞要比主機(jī)少得多，所以主機(jī)屏蔽防火墻體系結(jié)構(gòu)能提供更好的安全性和可用性。為了入侵這種類型的體系結(jié)構(gòu)，入侵者必須穿透兩個(gè)屏蔽路由