【正文】 墻具備CONSOLE接口通過超級(jí)終端的方式初始化配置，而另外一部分則直接通過默認(rèn)的LAN接口和管理地址訪問進(jìn)行配置。 （七）使用多個(gè)周邊網(wǎng)絡(luò) 在構(gòu)造防火墻體系時(shí)，一般很少使用單一的技術(shù)，通常都是多種解決方案的組合?？傊Ｗo(hù)路由器比保護(hù)主機(jī)更容易實(shí)現(xiàn)，因?yàn)槁酚善魈峁┓浅Ｓ邢薜姆?wù)，漏洞要比主機(jī)少得多，所以主機(jī)屏蔽防火墻體系結(jié)構(gòu)能提供更好的安全性和可用性。建立雙宿主主機(jī)的關(guān)鍵是要禁止路由，網(wǎng)絡(luò)之間通信的唯一路徑是通過應(yīng)用層的代理軟件。 雙宿主主機(jī)是多宿主主機(jī)的一個(gè)特例，它有兩個(gè)網(wǎng)卡，并禁止路由功能。 多宿主主機(jī)這個(gè)詞是用來描述配有多個(gè)網(wǎng)卡的主機(jī)，每個(gè)網(wǎng)卡都和網(wǎng)絡(luò)相連接。流過濾技術(shù)[17]的關(guān)鍵在于其架構(gòu)中的專用TCP/IP協(xié)議棧:這個(gè)協(xié)議棧是一個(gè)標(biāo)準(zhǔn)的TCP協(xié)議的實(shí)現(xiàn)，依據(jù)TCP協(xié)議的定義對(duì)出入防火墻的數(shù)據(jù)包進(jìn)行了，完整的重組，重組后的數(shù)據(jù)流交給應(yīng)用層過濾邏輯進(jìn)行過濾，從而可以有效地識(shí)別并攔截應(yīng)用層的攻擊企圖。定向到TCP/IP堆棧的數(shù)據(jù)流，首先轉(zhuǎn)換成內(nèi)容數(shù)據(jù)流。(2)也需要高速檢查它的能力。這種方法的好處在于由于不需要對(duì)每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查，而是一個(gè)連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過散列算法，直接進(jìn)行狀態(tài)檢查，從而使性能得到了較大提高。這兩種技術(shù)的發(fā)展并不是獨(dú)立的，動(dòng)態(tài)包過濾可以說是基于內(nèi)容檢測技術(shù)的基礎(chǔ)。(2)缺乏應(yīng)用防御能力。 傳統(tǒng)包過濾技術(shù)傳統(tǒng)包過濾技術(shù)，大多是在IP層實(shí)現(xiàn)，它只是簡單的對(duì)當(dāng)前正在通過的單一數(shù)據(jù)包進(jìn)行檢測，查看源/目的IP地址、端口號(hào)以及協(xié)議類型(UDP/TCP)等，結(jié)合訪問控制規(guī)則對(duì)數(shù)據(jù)包實(shí)施有選擇的通過。TCP傳給IP的數(shù)據(jù)單元稱作TCP報(bào)文段(TCP Segment)。其中包過濾作為最早發(fā)展起來的一種技術(shù)，其應(yīng)用非常廣泛。這種結(jié)合通常是以下兩種方案。代理服務(wù)(Proxy Service)也稱鏈路級(jí)網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。應(yīng)用級(jí)代理技術(shù)通過在OSI的最高層檢查每一個(gè)IP包，從而實(shí)現(xiàn)安全策略。如果沒有匹配規(guī)則，則按缺省情況處理。檢測試圖穿透防火墻系統(tǒng)的蠕蟲程序。IIS就是Internet Information server的簡稱，也就是微軟的Internet信息服務(wù)器。其原理很簡單，就是利用更多的受控主機(jī)同時(shí)發(fā)起進(jìn)攻，以比DoS更大的規(guī)模(或者說以更高于受攻主機(jī)處理能力的進(jìn)攻能力)來進(jìn)攻受害者。端口掃描就是指黑客通過遠(yuǎn)程端口掃描的工具，從中發(fā)現(xiàn)主機(jī)的哪些非常用端口是打開的。 認(rèn)證指防火墻對(duì)訪問網(wǎng)絡(luò)者合法身分的確定。包過濾是一種網(wǎng)絡(luò)的數(shù)據(jù)安全保護(hù)機(jī)制，它可用來控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設(shè)置可基于源地址、源端口、目的地址、目的端口、協(xié)議和時(shí)間。它是一個(gè)簡單的條件過濾器，不具有智能功能，無法檢測復(fù)雜的攻擊。第五代防火墻1998年，NAI公司推出了一種自適應(yīng)代理（Adaptive proxy）技術(shù)，并在其產(chǎn)品Gauntlet Firewall for NT中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。防火墻提供信息安全服務(wù)，是實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng)絡(luò)安全問題越來越突出。建立文件權(quán)限的時(shí)候，必須在Windows 2000中首先實(shí)行新技術(shù)文件系統(tǒng)（New Technology File System，NTFS）。(2)認(rèn)證對(duì)合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對(duì)公司信息系統(tǒng)的訪問，使用認(rèn)證機(jī)制還可以防止合法用戶訪問他們無權(quán)查看的信息。二是技術(shù)方面，如信息加密存儲(chǔ)傳輸、身份認(rèn)證、防火墻技術(shù)、網(wǎng)絡(luò)防毒等。3）拒絕服務(wù)攻擊。它保障信息不會(huì)被非法閱讀、修改和泄漏。因此，為了保護(hù)主機(jī)的安全通信，研制有效的個(gè)人防火墻技術(shù)很有必要。個(gè)人防火墻是面向單機(jī)操作系統(tǒng)的一種小型安全防護(hù)軟件，按一定的規(guī)則對(duì)TCP，UDP，ICMP和IGMP等報(bào)文進(jìn)行過濾，對(duì)網(wǎng)絡(luò)的信息流和系統(tǒng)進(jìn)程進(jìn)行監(jiān)控，防止一些惡意的攻擊。防火墻具有很強(qiáng)的實(shí)用性和針對(duì)性，它為個(gè)人上網(wǎng)用戶提供了完整的網(wǎng)絡(luò)安全解決方案，可以有效地控制個(gè)人電腦用戶信息在互聯(lián)網(wǎng)上的收發(fā)。s personal interests. For independent network security elementsfirewall technology through the firewall log file analysis, a points system the means to achieve the purpose of the mainframe network security risk assessment, design of the mathematical model and prototype software, and what the system39。因此，如何使用有效可行的方法使網(wǎng)絡(luò)危險(xiǎn)降到人們可接受的范圍之內(nèi)越來越受到人們的關(guān)注。有權(quán)將論文（設(shè)計(jì)）用于非贏利目的的少量復(fù)制并允許論文（設(shè)計(jì)）進(jìn)入學(xué)校圖書館被查閱。 作者簽名： 日期： 畢業(yè)論文（設(shè)計(jì)）授權(quán)使用說明本論文（設(shè)計(jì)）作者完全了解**學(xué)院有關(guān)保留、使用畢業(yè)論文（設(shè)計(jì)）的規(guī)定，學(xué)校有權(quán)保留論文（設(shè)計(jì)）并向相關(guān)部門送交論文（設(shè)計(jì)）的電子版和紙質(zhì)版。圖表整潔，布局合理，文字注釋必須使用工程字書寫，不準(zhǔn)用徒手畫3）畢業(yè)論文須用A4單面打印，論文50頁以上的雙面打印4）圖表應(yīng)繪制于無格子的頁面上5）軟件工程類課題應(yīng)有程序清單，并提供電子文檔1）設(shè)計(jì)（論文）2）附件：按照任務(wù)書、開題報(bào)告、外文譯文、譯文原文（復(fù)印件）次序裝訂3）其它摘要因特網(wǎng)的迅猛發(fā)展給人們的生活帶來了極大的方便，但同時(shí)因特網(wǎng)也面臨著空前的威脅。s attention. And how to implement prevention strategies depends first and foremost on the security of the current system. Therefore, the independent network security elementsfirewall, vulnerability scanning, intrusion detection and antivirus risk assessment is necessary. Firewall as a more mature current network security technologies, their safety directly related to the user39。 研究目的為了解決互聯(lián)網(wǎng)時(shí)代個(gè)人網(wǎng)絡(luò)安全的問題，近年來新興了防火墻技術(shù)[2]。個(gè)人防火墻就是在單機(jī)Windows系統(tǒng)上，采取一些安全防護(hù)措施，使得本機(jī)的息得到一定的保護(hù)。以及藍(lán)屏攻擊等。3）信息的安全性。例如通過隱蔽通道進(jìn)行非法活動(dòng)；采用匿名用戶訪問進(jìn)行攻擊；通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶賬號(hào)和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。一個(gè)完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。有兩種主要的加密類型：私匙加密和公匙加密。(6) 文件系統(tǒng)安全在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個(gè)關(guān)鍵性的概念，因?yàn)樵L問控制實(shí)現(xiàn)在兩個(gè)方面：本地和遠(yuǎn)程。第三章 防火墻概述隨著Internet的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。1994年，以色列的CheckPoint公司開發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。二是傳統(tǒng)防火墻的訪問控制機(jī)制是一個(gè)簡單的過濾機(jī)制。 防火墻的功能 防火墻的主要功能1．包過濾。3．認(rèn)證和應(yīng)用代理。 入侵檢測功能入侵檢測技術(shù)[7]就是一種主動(dòng)保護(hù)自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技術(shù)，包括以下內(nèi)容:。而分布式的拒絕服務(wù)攻擊(DDoS)攻擊手段則是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式，分布式的拒絕服務(wù)攻擊(DDoS)。是World Wide Web主機(jī)和CGI程序間傳輸資訊的定義。防火墻設(shè)備可檢測試圖穿透防火墻系統(tǒng)的木馬控制端和客戶端程序。一般防火墻設(shè)備可以提供三種日志審計(jì)功能:系統(tǒng)管理日志、流量日志和入侵日志。如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包。同時(shí)，包過濾防火墻一般無法提供完善的日志。同時(shí)升級(jí)一種應(yīng)用時(shí)，相應(yīng)的代理程序也必須同時(shí)升級(jí)。由于對(duì)更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過濾和應(yīng)用代理兩類。其中每一層對(duì)接收到的數(shù)據(jù)都要增加一些首部信息。理論上講，數(shù)據(jù)包所有頭部信息以及有效載荷都可以作為判斷包通過與否的依據(jù)，但是在實(shí)際情況中，包過濾技術(shù)上的問題主要是選取哪些字段信息，以及如何有效地利用這些字段信息并結(jié)合訪問控制列表來執(zhí)行包過濾操作，并盡可能提高安全控制力度。綜合上述問題，傳統(tǒng)包過濾技術(shù)的缺陷在于:(l)缺乏狀態(tài)檢測能力。深入檢測數(shù)據(jù)包有效載荷，識(shí)別并阻止病毒代碼和基于高層協(xié)議的攻擊，以此來提高應(yīng)用防御能力。動(dòng)態(tài)包過濾通過在內(nèi)存中動(dòng)態(tài)地建立和維護(hù)一個(gè)狀態(tài)表，數(shù)據(jù)包到達(dá)時(shí)，對(duì)該數(shù)據(jù)包的處理方式將綜合靜態(tài)安全規(guī)則和數(shù)據(jù)包所處的狀態(tài)進(jìn)行。應(yīng)用防御的技術(shù)問題主要包括:(l)需要對(duì)有效載荷知道得更清楚。 深度包檢測框圖在接收到網(wǎng)絡(luò)流量后，將需要進(jìn)行內(nèi)容掃描的數(shù)據(jù)流定向到TCP/IP堆棧，其他數(shù)據(jù)流直接定向到狀態(tài)檢測引擎，按基本檢測方式進(jìn)行處理。 流過濾技術(shù)流過濾是東軟集團(tuán)提出的一種新型防火墻技術(shù)架構(gòu)，它融基于狀態(tài)的包過濾技術(shù)與基于內(nèi)容的深度包檢測技術(shù)為一體，提供了一個(gè)較好的應(yīng)用防御解決方案，它以狀態(tài)監(jiān)測技術(shù)為基礎(chǔ)，但在此基礎(chǔ)上進(jìn)行了改進(jìn)其基本的原理是:以狀態(tài)包過濾的形態(tài)實(shí)現(xiàn)應(yīng)用層的保護(hù)能力:通過內(nèi)嵌的專門實(shí)現(xiàn)的TCP/IP協(xié)議棧，實(shí)現(xiàn)了透明的應(yīng)用信息過濾機(jī)制。 目前,防火墻的體系結(jié)構(gòu)一般有以下幾種: （1）雙宿主主機(jī)防火墻；（2）主機(jī)屏蔽防火墻；（3）子網(wǎng)屏蔽防火墻。雙宿主主機(jī)雙宿主主機(jī)是防火墻體系的基本形態(tài)。根據(jù)內(nèi)網(wǎng)的安全策略，屏蔽路由器可以過濾掉不允許通過的數(shù)據(jù)