【正文】 ......................... 11 虛擬專網(wǎng)功能 ................................................................................. 12 其他功能 ......................................................................................... 12 防火墻的原理及分類 ............................................................................. 13 包過濾防火墻 ................................................................................. 13 應(yīng)用級代理防火墻 ......................................................................... 13 代理服務(wù)型防火墻 ......................................................................... 14 復(fù)合型防火墻 ................................................................................. 14 防火墻包過濾技術(shù) ................................................................................. 14 數(shù)據(jù)表結(jié)構(gòu) ..................................................................................... 15 傳統(tǒng)包過濾技術(shù) ............................................................................. 16 動態(tài)包過濾 ..................................................................................... 17 深度包檢測 ..................................................................................... 17 流過濾技術(shù) ..................................................................................... 18 第四章 防火墻的配置 ............................................................................................ 20 硬件連接與實(shí)施 ..................................................................................... 20 防火墻的特色配置 ................................................................................. 20 軟件的配置與實(shí)施 ................................................................................. 21 第五章 防火墻發(fā)展趨勢 ........................................................................................ 23 防火墻包過濾技術(shù)發(fā)展趨勢 ................................................................. 23 防火墻的體系結(jié)構(gòu)發(fā)展趨勢 ................................................................. 24 防火墻的系統(tǒng)管理發(fā)展趨勢 ................................................................. 24 結(jié)論 .............................................................................................................................. 25 參考文獻(xiàn) ...................................................................................................................... 26 致謝 .............................................................................................................................. 27 3 大學(xué)畢業(yè)論文 第一章 研究背景 引言 隨著互聯(lián)網(wǎng)的普及和發(fā)展，尤其是 Inter 的廣泛使用，使計(jì)算機(jī)應(yīng)用更加廣泛與深入。用戶可以根據(jù)自己的需要，通過設(shè)定一些參數(shù)，從而達(dá)到控制本機(jī)與互聯(lián)網(wǎng)之間的信息交流阻止惡性信息對本機(jī)的攻擊，比如 ICMPnood攻擊、聊天室炸彈、木馬信息破譯并修改郵件密碼等等。目前市場上大多數(shù)的防火墻產(chǎn)品僅僅是網(wǎng)關(guān)的，雖然它們的功能相當(dāng)強(qiáng)大，但由于它們基于下述的假設(shè) :內(nèi)部網(wǎng)是安全可靠的，所有的威脅都來自網(wǎng)外。 所謂的防火墻是指設(shè)置在不同網(wǎng)絡(luò) (如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng) )或網(wǎng)絡(luò)安全域之間的一系列部件 的組合 [ 1 ] 。 5 大學(xué)畢業(yè)論文 第二章 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安 全問題 安全，通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機(jī)制。 隨著網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)的安全問題也延伸到了計(jì)算機(jī)網(wǎng)絡(luò)。例如 “點(diǎn)在郵件炸彈 ”，它的表現(xiàn)形式是用戶在很短的時(shí)間內(nèi)收到大量無用的電子郵件， 從而影響正常業(yè)務(wù)的運(yùn)行。三是管理措施，包括技術(shù)與社會措施。 (3) 防火墻 技術(shù) 防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。一旦實(shí)現(xiàn)了 NTFS，你可以使用 Windows資源管理器在文件和文件夾上設(shè)置用戶級別的權(quán)限。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播感染顯得尤為重要。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間 的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。 [5] 但傳統(tǒng)的防火墻并沒有解決目前網(wǎng)絡(luò)中主要的安全問題。三是傳統(tǒng)的防火墻無法區(qū)分識別善意和惡意的行為?？筛鶕?jù)地址簿進(jìn)行設(shè)置規(guī)則。代理指防火墻內(nèi)置用戶認(rèn)證數(shù)據(jù)庫 。是否支持 FTP、 Web 服務(wù) 。現(xiàn)在的防火墻設(shè)備通常都可檢測 Synflod、 Land、 Ping of Death、 TearDrop、 ICMP flood和 UDPflod等多種 DOS/DDOS攻擊。防火墻設(shè)備可檢測包括針對 Unicode、 ASP 源碼泄漏、 PHF、NPH、 CGI/IIS進(jìn)行的探測和攻擊方式。 虛擬專網(wǎng)功能 指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的 “加密通道 ”在公共網(wǎng)絡(luò)中傳播。內(nèi)置特殊站點(diǎn)數(shù)據(jù)庫，用戶可選擇是否封禁色情、反動和暴力等特殊站點(diǎn)。包過濾防火墻是速度最快的防火墻，這是因?yàn)樗幱诰W(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實(shí)現(xiàn)，對用戶來說都是透明的。代理技術(shù)與包過濾技術(shù) 完全不同，包過濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實(shí)現(xiàn)防火墻功能。它是針對數(shù)據(jù)包過濾 [10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò) 通信鏈路分為兩段。屏蔽主機(jī)防火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過濾路由器或防火墻與 Inter相連，同時(shí)一個堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過在分組過濾器路由器或防火墻上過濾規(guī)則的設(shè)置，使堡壘機(jī)成為 Inter上其他節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。 所謂包過濾，就是對流經(jīng)網(wǎng)絡(luò)防火墻的所有數(shù)據(jù)包逐個檢查，并依據(jù)所制定的安全策略來決定數(shù)據(jù)包是通過還是不通過。IP 傳給網(wǎng)絡(luò)接口層的數(shù)據(jù)單元稱作 IP 數(shù)據(jù)報(bào) (IP Datagram)；通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀 (Frame)。這種技術(shù)實(shí)現(xiàn)簡單，處理速度快，對應(yīng)用透明，但是它存在的問題也很多，主要表現(xiàn)有 : 。(3)只對當(dāng)前正在通過的單一數(shù)據(jù)包進(jìn)行檢測，而沒有考慮前后數(shù)據(jù)包之間的聯(lián)系 。實(shí)際上，在深度包檢測技術(shù)中己經(jīng)體現(xiàn)了兩種技術(shù)的融合趨勢。而且，由于狀態(tài)表是動態(tài)的，因而可以有選擇地、動態(tài)地開通 1024號以上的端口，使安全性得到進(jìn)一步地提高。 簡單的數(shù)據(jù)包內(nèi)容過濾對當(dāng)前正在通過的單一數(shù)據(jù)包的有效載荷進(jìn)行掃描檢測，但是對于應(yīng)用防御的要求而言，這是遠(yuǎn)遠(yuǎn)不夠的。定向到 TCP/IP 堆棧的數(shù)據(jù)流，首先轉(zhuǎn)換成內(nèi)容數(shù)據(jù)流。 18 大學(xué)畢業(yè)論文 流過濾技術(shù) [17]的關(guān)鍵在于其架構(gòu)中的專用 TCP/IP 協(xié)議棧 :這個協(xié)議棧是一個標(biāo)準(zhǔn)的 TCP協(xié)議的實(shí)現(xiàn)，依據(jù) TCP 協(xié)議的定義對出入防火墻的數(shù)據(jù)包進(jìn)行了，完整的重組，重組