【正文】 火墻集成了防病毒功能，通常被稱之為“病毒防火墻”，當(dāng)然目前主要還是在個(gè)人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问?，更容?實(shí)現(xiàn)。 與基于 ASIC 的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性。新型防火墻技術(shù)產(chǎn)生 ,就是為了解決來(lái)自企業(yè)網(wǎng)絡(luò)內(nèi)和外的攻擊 。讓我們共同努力創(chuàng)造更好的明天。論文的字里行間無(wú)不凝結(jié)著老師的悉心指導(dǎo)和 教海，老師淵博的學(xué)識(shí)和嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度給我留下了深刻的印象，我從他那里學(xué)到的不僅僅是專業(yè)知識(shí)，更重要的是嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度、對(duì)事業(yè)忘我的追求、高度的使命感、責(zé)任感及和藹熱情的品質(zhì)和做人的道理，這些將使我受益一生，并將激勵(lì)我不斷向前奮進(jìn)。防火墻技術(shù)只有不斷向主動(dòng)型和智能型等方向發(fā)展，才能更好的滿足人們對(duì)防火墻技術(shù)日益增長(zhǎng)畢業(yè)論文 30 的需求。為了滿足這種需要，一些防火墻制造商開(kāi)發(fā)了基于 ASIC 的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。 這種過(guò)濾技術(shù)在分層上非常清楚，每種過(guò)濾技術(shù)對(duì)應(yīng) 于不同的網(wǎng)絡(luò)層，從這個(gè)概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來(lái)的防火墻技術(shù)發(fā)展打下基礎(chǔ)。此外，防火墻產(chǎn)品還將把網(wǎng)絡(luò)前沿技術(shù)，如 Web 頁(yè)面超高速緩存、虛擬網(wǎng)絡(luò)和帶寬管理等與其自身結(jié)合起來(lái)。然后再利用防火墻與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接。 6．允許通過(guò)配置網(wǎng)卡對(duì)防火墻設(shè)置，提高防火墻管理安全性。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。應(yīng)該指出的是，在建立雙宿主主機(jī)時(shí)，畢業(yè)論文 24 應(yīng)該關(guān)閉操作系統(tǒng)的路由能力，否則從一 塊網(wǎng)卡到另一塊網(wǎng)卡的通信會(huì)繞過(guò)代理服務(wù)器軟件，而使雙宿主網(wǎng)關(guān)失去“防火”作用。 3． 分組過(guò)濾規(guī)則按一定的順序存貯。必須清楚誰(shuí)會(huì)對(duì)網(wǎng)絡(luò)構(gòu)成威脅。 防火墻的配置 防火墻的配置十分重要。它是針對(duì)數(shù)據(jù)包過(guò)濾技術(shù)和應(yīng)用網(wǎng)關(guān)技術(shù)所存在的缺點(diǎn)而加以改進(jìn)從而引入的防火墻技術(shù)，一般采用的是自適應(yīng)代理技術(shù)，采用自適應(yīng)代理技術(shù)的防火墻就叫作自適應(yīng)代理防火墻。包過(guò)濾類型的防火墻是很難徹底避免這一漏洞的。當(dāng)某用戶（無(wú)論是本地的還是遠(yuǎn)程的）想要和一個(gè)運(yùn)行代理網(wǎng)絡(luò)建立聯(lián)系時(shí)，應(yīng)用層網(wǎng)關(guān)會(huì)阻塞 這個(gè)連接，而后在過(guò)濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行分析、登記和統(tǒng)計(jì)操作，做 出檢查報(bào)告。代理防火墻工作在應(yīng)用層，針對(duì)特定的應(yīng)用層協(xié)議。例如：數(shù)據(jù)包的報(bào)頭信 息只能說(shuō)明數(shù)據(jù)包來(lái)自什么主機(jī)，而不知道是什么用戶；只知道數(shù)據(jù)包發(fā)到什么端口，而不知道是發(fā)送到什么應(yīng)用程序。包過(guò)濾防火墻不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序，因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無(wú)關(guān)。 圖 深度包檢測(cè)框圖 在收到流量后，將那些需要內(nèi)容掃描的數(shù)據(jù)定向到 TCP/IP 堆棧中，而其他的數(shù)據(jù)流則定向到狀態(tài)檢測(cè)引擎上，按照基本的檢測(cè)方式進(jìn)行處理。 簡(jiǎn)單的數(shù)據(jù)包內(nèi)容過(guò)濾是通過(guò)對(duì)當(dāng)前正在通過(guò)的單一數(shù)據(jù)包的有效載荷進(jìn)行檢測(cè)掃描，但對(duì)于用戶所需的應(yīng)用防御的要求而言，這是遠(yuǎn)遠(yuǎn)不夠的。不符合網(wǎng)絡(luò)安全的服務(wù)將被嚴(yán)格限制。 畢業(yè)論文 18 包過(guò)濾防火墻 數(shù)據(jù)包過(guò)濾技術(shù)是防火墻對(duì)流經(jīng)網(wǎng)絡(luò)防火墻的所有數(shù)據(jù)包進(jìn)行逐個(gè)檢查，并且依據(jù)所制定的安全策略決定來(lái)數(shù)據(jù)包是否通過(guò)的為系統(tǒng)提供安全保障的主要技術(shù)。 3．地址轉(zhuǎn)換 網(wǎng)絡(luò)地址 變換是將外部網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)的 IP 地址進(jìn)行轉(zhuǎn)換，可分為源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換。從 網(wǎng)際角度，防火墻可以看成是安裝在兩個(gè)網(wǎng)絡(luò)之間的一道柵欄，根據(jù)安全計(jì)劃和安全策略中的定義來(lái)保護(hù)其后面的網(wǎng)絡(luò)。 第二代防火墻作為純軟件產(chǎn)品，其在維護(hù)和管理上都變得十分復(fù)雜，因此它也有不足之處： 1．對(duì)用戶的技術(shù)要求很高； 2．配置和維護(hù)過(guò)程費(fèi)時(shí)、復(fù)雜； 3．本身的實(shí)現(xiàn)、處理速度、安全性均有局限； 4．在使用是容易出現(xiàn)差錯(cuò)。 第一代防火墻特點(diǎn)為： 1．防火墻和路由器是一體化的。而就目前形式而言，在網(wǎng)絡(luò)安全技術(shù)中對(duì)于局部網(wǎng)絡(luò)的保護(hù)中，防火墻技術(shù)是一種十分有效的手段，防火墻技術(shù)主要可分為應(yīng)用代理和包過(guò)濾技術(shù)兩類。 制定合理的網(wǎng)絡(luò)管理措施 1. 強(qiáng)網(wǎng)絡(luò)用戶及有關(guān)人員的安全意識(shí)、職業(yè)道德 和事業(yè)心、責(zé)任心的培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。 4. 檢測(cè)系統(tǒng) 畢業(yè)論文 11 入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全研究的一個(gè)熱點(diǎn)，是一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部入侵、外部入侵和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。 完善計(jì)算機(jī)安全立法 我國(guó)先后出臺(tái)的有關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。 影響網(wǎng)絡(luò)安 全的因素 1. 單機(jī)安全 購(gòu)買(mǎi)單機(jī)時(shí)，型號(hào)的選擇；計(jì)算機(jī)的運(yùn)行環(huán)境（電壓、濕度、防塵條件、強(qiáng)電磁場(chǎng)以及自然災(zāi)害等）；計(jì)算機(jī)的操作??等等，這些都是影響單機(jī)安全性的因素。 1. 黑客入侵，即黑客進(jìn)入網(wǎng)絡(luò)通過(guò)非法手段非法使用網(wǎng)絡(luò)資源。 所謂的防火墻是指設(shè)置在不同網(wǎng)絡(luò) (如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng) )或網(wǎng)絡(luò)安全域之間的一系列部件的組合 。個(gè)人防火墻是按一定的規(guī)則對(duì) TCP， UDP， ICMP 和 IGMP等報(bào)文進(jìn)行過(guò)濾，對(duì)系統(tǒng)進(jìn)程和網(wǎng)絡(luò)的信息流進(jìn)行監(jiān)控，防止一些惡意的攻擊的面向單機(jī)操作系統(tǒng)的一種小型安全防護(hù)軟件。不同的防火墻其配置的方法也不同，這取決于安全策略，全面規(guī)劃以及預(yù)算等。 國(guó)外狀況： 跟據(jù)美國(guó) FBI 的統(tǒng)計(jì)，因網(wǎng)絡(luò)安全問(wèn)題美國(guó) 每年所造成的經(jīng)濟(jì)損失高達(dá) 75億美元，而在全球平均每 20 秒鐘就會(huì)發(fā)生一起 Inter 計(jì)算機(jī)侵入事件。我國(guó)網(wǎng)絡(luò)安全不僅大大低于美國(guó)、以色列和俄羅斯等安全強(qiáng)國(guó)，而且排在韓國(guó)、印度之后。據(jù)國(guó)家應(yīng)急處理中心等相關(guān)部門(mén)介紹，從國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心日常監(jiān)測(cè)結(jié)果看來(lái)，當(dāng)前計(jì)算機(jī)病毒呈異?；钴S態(tài)勢(shì)。人們?cè)诶镁W(wǎng)絡(luò)獲得 便利，取得機(jī)遇的同時(shí)，對(duì)網(wǎng)絡(luò)安全所帶來(lái)的一系列問(wèn)題也絕不能忽視。針對(duì)網(wǎng)絡(luò)安全獨(dú)立元素 —— 防火墻技術(shù)，通過(guò)對(duì)防火墻日志文件的分析，設(shè)計(jì)相應(yīng)的數(shù)學(xué)模型和軟件雛形，采用打分制的方法，判斷系統(tǒng)的安全等級(jí)，實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。因此，如何通過(guò)行之有效方法將網(wǎng)絡(luò)安全的風(fēng)險(xiǎn) 降低到人們可接受的范圍之內(nèi)，保障人們的信息安全已經(jīng)越來(lái)越受到人們的關(guān)注。通過(guò)在網(wǎng)絡(luò)中實(shí)際配置防火墻，由此分析防火墻在 Inter 安全上的重要作用，并提出防火墻的不足之處和解決方案。 網(wǎng)絡(luò)安全主要是在分布網(wǎng)絡(luò)環(huán)境中，對(duì)信息載體（處理載體、存儲(chǔ)載體、傳輸載體）和信息處理、傳輸、存儲(chǔ)、訪問(wèn)提供安全保護(hù)和漏洞的綜合結(jié)果。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展使網(wǎng)絡(luò)安全問(wèn)題日益突出 ,而防火墻是應(yīng)用最廣泛的安全產(chǎn)品。計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)已深入到社會(huì)的各個(gè)領(lǐng)域，網(wǎng)絡(luò)將各個(gè)地區(qū)各個(gè)國(guó)家的人們緊密的聯(lián)系到了一起。 。該市某公司的鏡像網(wǎng)站在 10 月份 1 個(gè)月內(nèi)，就遭到 100 多個(gè)惡意攻擊。 防火墻技術(shù)是一種非常有效的網(wǎng)絡(luò)安全模型。 防火墻可以根據(jù)自己的需要?jiǎng)?chuàng)建防火墻規(guī)則，控制互聯(lián)網(wǎng)到 PC 以及 PC 到互聯(lián)網(wǎng)的所有連接，并屏蔽入侵企圖，還可以保護(hù)人們?cè)诰W(wǎng)上 瀏覽時(shí)免受黑客的攻擊，實(shí)時(shí)防范網(wǎng)絡(luò)黑客的侵襲。 個(gè)人上網(wǎng)用戶使用的操作系統(tǒng)多為 Windows操作系統(tǒng)，而 Windows操作系統(tǒng)，雖然經(jīng)過(guò)長(zhǎng)久發(fā)展，但由于自身過(guò)于龐大等一系列因素，導(dǎo)致 Windows 操作系統(tǒng)，特別是 Windows XP 操作系統(tǒng)本身的安全性就不高。一個(gè)高效可靠的防火墻必須具有以 下典型的特性 : 1. 只有本地安全策略所授權(quán)的通信才可允許通過(guò)； 2. 防火墻本身是免疫的 ,不能被穿透的； 3. 從外到里和從里到外的所有通信都必須通過(guò)防火墻。當(dāng)前，活性病毒達(dá) 14000 多種，計(jì)算機(jī)病毒侵入網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)資源進(jìn)行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個(gè)網(wǎng)絡(luò)的癱瘓。一個(gè)完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。有兩種主要的加密類型：私匙加密和公匙加密。 6. 文件系統(tǒng)安全 在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個(gè)關(guān)鍵性的概 念，因?yàn)樵L問(wèn)控制實(shí)現(xiàn)在兩個(gè)方面：本地和遠(yuǎn)程。 4. 美國(guó)國(guó)際互聯(lián)網(wǎng)安全系統(tǒng)公司（ ISS）提出的 P2DR 安全模型：策略（ Policy）、防護(hù)（ Protection）、檢測(cè)（ Detection）和響應(yīng)（ Response）。是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能夠根據(jù)企業(yè)的安全政策實(shí)現(xiàn)控制 (拒絕、監(jiān)測(cè)、允許 )出入網(wǎng)絡(luò)的信息流，其本身具有很強(qiáng)的抗攻擊能力。 由于早期認(rèn)識(shí)不足，防火墻其明顯的不足之處： 1．由于路由器協(xié)議的靈活性，以及路由協(xié)議本身的安全漏洞，外部非安全網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)十分容易 2．由于路由器采用的分組過(guò)濾規(guī)則，其設(shè)置和配置存在安全隱患，導(dǎo)致防火墻亦存在安全隱患 3．信息在網(wǎng)絡(luò)上是以明文的方式傳送的，因此攻擊者可以采用偽造的路由信息，通過(guò)“假冒”地址欺騙防火墻。但是隨著使用時(shí)間的推延，安全問(wèn)題的改變，網(wǎng)絡(luò) 發(fā)展日益不斷的變化，次代防火墻亦表現(xiàn)出不少問(wèn)題，例如： 1．防火墻管理者一般并不了解操作系統(tǒng)及其內(nèi)核，由于源代碼的保密性，這些成為安全無(wú)法保證的因素； 2．操作系統(tǒng)和防火墻系統(tǒng)的廠商并不一定是同一廠商，因此通用操作系統(tǒng)廠商不會(huì)對(duì)操作系統(tǒng)的安全性負(fù)責(zé)； 3．由于防火墻只能防止外部網(wǎng)絡(luò)的攻擊，而不能方式操作系統(tǒng)廠商的攻擊，這成為其致命缺陷； 4．用戶要保障個(gè)人計(jì)算機(jī)安全就必須同時(shí)依靠防火墻廠商和操作系統(tǒng)廠商畢業(yè)論文 16 兩個(gè)方面的安全支持。 總之，防火墻是阻止外面的人對(duì)你的網(wǎng)絡(luò)進(jìn)行訪問(wèn)的任何設(shè)備，此設(shè)備通常是軟件和硬件的 組合體，它通常根據(jù)一些規(guī)則來(lái)挑選想要或不想要的地址。目的地址轉(zhuǎn)換主要用于外部網(wǎng)絡(luò)主機(jī)訪問(wèn)內(nèi)部網(wǎng)絡(luò)主機(jī)。由訪問(wèn)控制表指定允許哪些類型的數(shù)據(jù)包可流入或流出內(nèi)部網(wǎng)絡(luò)，例如：哪些類型的數(shù)據(jù)包傳輸應(yīng)該被攔截；只接收某些來(lái)自指定的 IP 地址的數(shù)據(jù)包或者內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包可流向指定的一些端口等。 2. 動(dòng)態(tài)包過(guò)濾 又被稱為基于狀態(tài)的數(shù)據(jù)包過(guò)濾，與傳統(tǒng)包過(guò)濾技術(shù)只檢查單個(gè)的數(shù)據(jù)包不同，采用動(dòng)態(tài)包過(guò)濾技術(shù)的防火墻對(duì)通過(guò)其建立 的每一個(gè)連接都要進(jìn)行跟蹤，并且根據(jù)需要可動(dòng)態(tài)地在過(guò)濾規(guī)則中更新或增加條目。計(jì)算機(jī)應(yīng)用層的內(nèi)容過(guò)濾要求大量的計(jì)算資源。命令解析器分析和定制每個(gè)內(nèi)容協(xié)議，分析整個(gè) 內(nèi)容數(shù)據(jù)流，檢測(cè)蠕蟲(chóng)和病毒。 2．過(guò)濾路由器效率高、速度快。 5．安全性較差。代理防火墻的工作原理如圖 所示。 于此同時(shí)，應(yīng)用層網(wǎng)關(guān)將認(rèn)后內(nèi)部用戶的請(qǐng)求確送到外部服務(wù)器，而后再將外部服務(wù)器的響應(yīng)發(fā)送回用戶。所幸的是，目前的 Inter 的用戶接入速度遠(yuǎn)低于這個(gè)上限。在動(dòng)態(tài)包過(guò)濾器與自適應(yīng)代理服務(wù)器之間存在一個(gè)控制通道 。否則的話，防火墻內(nèi)部的個(gè)人計(jì)算機(jī)就不能解析防火墻外的計(jì)算機(jī)的名字。 防火墻作為網(wǎng)絡(luò)安全的一種靜態(tài)防護(hù)手段，實(shí)現(xiàn)方式多種多樣。 5． 如果一條規(guī)則允許傳遞或接收一 個(gè)分組，則允許該分組通過(guò)。校園網(wǎng)的服務(wù)器群構(gòu)成了校園網(wǎng)的服務(wù)系統(tǒng)，主要包括 DNS、虛擬主機(jī)、賈 eb、 FTP、視頻點(diǎn)播以 及Mail 服務(wù)等。 2．將防火墻配置成過(guò)濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的 IP 包，這樣可以防范源地址假冒和源路由類型的攻擊 ?？烧撟C地，大多數(shù)防火墻默認(rèn)都是拒絕所有的流量作為安全選項(xiàng)。在此拓?fù)浣Y(jié)構(gòu)中，邊界路由器與防火墻就一起組成了兩道安全防線，并且在這兩者之間可以設(shè)置一個(gè) DMZ 區(qū)，用來(lái)放置那些允許外部用戶訪問(wèn)的公用服務(wù)器設(shè)施。具有用戶身份驗(yàn)證的防火墻通常是采用應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)的，包過(guò)濾技術(shù)的防火墻不具有。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。基于 ASIC 的防火墻使用專門(mén)的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能?？朔鹘y(tǒng)“邊界防火墻”的缺點(diǎn) ,集成了 IDS 、 VPN 和防病毒等