【正文】 ......................... 11 虛擬專網(wǎng)功能 ................................................................................. 12 其他功能 ......................................................................................... 12 防火墻的原理及分類 ............................................................................. 13 包過濾防火墻 ................................................................................. 13 應用級代理防火墻 ......................................................................... 13 代理服務型防火墻 ......................................................................... 14 復合型防火墻 ................................................................................. 14 防火墻包過濾技術(shù) ................................................................................. 14 數(shù)據(jù)表結(jié)構(gòu) ..................................................................................... 15 傳統(tǒng)包過濾技術(shù) ............................................................................. 16 動態(tài)包過濾 ..................................................................................... 17 深度包檢測 ..................................................................................... 17 流過濾技術(shù) ..................................................................................... 18 第四章 防火墻的配置 ............................................................................................ 20 硬件連接與實施 ..................................................................................... 20 防火墻的特色配置 ................................................................................. 20 軟件的配置與實施 ................................................................................. 21 第五章 防火墻發(fā)展趨勢 ........................................................................................ 23 防火墻包過濾技術(shù)發(fā)展趨勢 ................................................................. 23 防火墻的體系結(jié)構(gòu)發(fā)展趨勢 ................................................................. 24 防火墻的系統(tǒng)管理發(fā)展趨勢 ................................................................. 24 結(jié)論 .............................................................................................................................. 25 參考文獻 ...................................................................................................................... 26 致謝 .............................................................................................................................. 27 3 大學畢業(yè)論文 第一章 研究背景 引言 隨著互聯(lián)網(wǎng)的普及和發(fā)展，尤其是 Inter 的廣泛使用，使計算機應用更加廣泛與深入。用戶可以根據(jù)自己的需要，通過設定一些參數(shù)，從而達到控制本機與互聯(lián)網(wǎng)之間的信息交流阻止惡性信息對本機的攻擊，比如 ICMPnood攻擊、聊天室炸彈、木馬信息破譯并修改郵件密碼等等。目前市場上大多數(shù)的防火墻產(chǎn)品僅僅是網(wǎng)關(guān)的，雖然它們的功能相當強大，但由于它們基于下述的假設 :內(nèi)部網(wǎng)是安全可靠的，所有的威脅都來自網(wǎng)外。 所謂的防火墻是指設置在不同網(wǎng)絡 (如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng) )或網(wǎng)絡安全域之間的一系列部件 的組合 [ 1 ] 。 5 大學畢業(yè)論文 第二章 網(wǎng)絡安全 網(wǎng)絡安 全問題 安全，通常是指只有被授權(quán)的人才能使用其相應資源的一種機制。 隨著網(wǎng)絡的發(fā)展，計算機的安全問題也延伸到了計算機網(wǎng)絡。例如 “點在郵件炸彈 ”，它的表現(xiàn)形式是用戶在很短的時間內(nèi)收到大量無用的電子郵件， 從而影響正常業(yè)務的運行。三是管理措施，包括技術(shù)與社會措施。 (3) 防火墻 技術(shù) 防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡屏障，其目的就是防止外部網(wǎng)絡用戶未經(jīng)授權(quán)的訪問。一旦實現(xiàn)了 NTFS，你可以使用 Windows資源管理器在文件和文件夾上設置用戶級別的權(quán)限。因此，保護網(wǎng)絡資源不被非授權(quán)訪問，阻止病毒的傳播感染顯得尤為重要。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡和互聯(lián)網(wǎng)之間 的任何活動，保證了內(nèi)部網(wǎng)絡的安全。 [5] 但傳統(tǒng)的防火墻并沒有解決目前網(wǎng)絡中主要的安全問題。三是傳統(tǒng)的防火墻無法區(qū)分識別善意和惡意的行為?？筛鶕?jù)地址簿進行設置規(guī)則。代理指防火墻內(nèi)置用戶認證數(shù)據(jù)庫 。是否支持 FTP、 Web 服務 ?，F(xiàn)在的防火墻設備通常都可檢測 Synflod、 Land、 Ping of Death、 TearDrop、 ICMP flood和 UDPflod等多種 DOS/DDOS攻擊。防火墻設備可檢測包括針對 Unicode、 ASP 源碼泄漏、 PHF、NPH、 CGI/IIS進行的探測和攻擊方式。 虛擬專網(wǎng)功能 指在公共網(wǎng)絡中建立專用網(wǎng)絡，數(shù)據(jù)通過安全的 “加密通道 ”在公共網(wǎng)絡中傳播。內(nèi)置特殊站點數(shù)據(jù)庫，用戶可選擇是否封禁色情、反動和暴力等特殊站點。包過濾防火墻是速度最快的防火墻，這是因為它處于網(wǎng)絡層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實現(xiàn)，對用戶來說都是透明的。代理技術(shù)與包過濾技術(shù) 完全不同，包過濾技術(shù)在網(wǎng)絡層控制所有的信息流，而代理技術(shù)一直處理到應用層，在應用層實現(xiàn)防火墻功能。它是針對數(shù)據(jù)包過濾 [10]和應用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，其特點是將所有跨越防火墻的網(wǎng)絡 通信鏈路分為兩段。屏蔽主機防火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過濾路由器或防火墻與 Inter相連，同時一個堡壘機安裝在內(nèi)部網(wǎng)絡，通過在分組過濾器路由器或防火墻上過濾規(guī)則的設置，使堡壘機成為 Inter上其他節(jié)點所能到達的唯一節(jié)點，這確保了內(nèi)部網(wǎng)絡不受未授權(quán)外部用戶的攻擊。 所謂包過濾，就是對流經(jīng)網(wǎng)絡防火墻的所有數(shù)據(jù)包逐個檢查，并依據(jù)所制定的安全策略來決定數(shù)據(jù)包是通過還是不通過。IP 傳給網(wǎng)絡接口層的數(shù)據(jù)單元稱作 IP 數(shù)據(jù)報 (IP Datagram)；通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀 (Frame)。這種技術(shù)實現(xiàn)簡單，處理速度快，對應用透明，但是它存在的問題也很多，主要表現(xiàn)有 : 。(3)只對當前正在通過的單一數(shù)據(jù)包進行檢測，而沒有考慮前后數(shù)據(jù)包之間的聯(lián)系 。實際上，在深度包檢測技術(shù)中己經(jīng)體現(xiàn)了兩種技術(shù)的融合趨勢。而且，由于狀態(tài)表是動態(tài)的，因而可以有選擇地、動態(tài)地開通 1024號以上的端口，使安全性得到進一步地提高。 簡單的數(shù)據(jù)包內(nèi)容過濾對當前正在通過的單一數(shù)據(jù)包的有效載荷進行掃描檢測，但是對于應用防御的要求而言，這是遠遠不夠的。定向到 TCP/IP 堆棧的數(shù)據(jù)流，首先轉(zhuǎn)換成內(nèi)容數(shù)據(jù)流。 18 大學畢業(yè)論文 流過濾技術(shù) [17]的關(guān)鍵在于其架構(gòu)中的專用 TCP/IP 協(xié)議棧 :這個協(xié)議棧是一個標準的 TCP協(xié)議的實現(xiàn)，依據(jù) TCP 協(xié)議的定義對出入防火墻的數(shù)據(jù)包進行了，完整的重組，重組