【正文】 算的代價(jià)越大。由于這些方法多是人工智能學(xué)科采用的方法 ，因此，又稱為智能防火墻。 DNAT 主要用于外網(wǎng)主機(jī)訪問(wèn)內(nèi)網(wǎng)主機(jī)。防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個(gè)子網(wǎng)之間的安全訪問(wèn)。拒絕服務(wù) (DoS)攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到服務(wù)的響應(yīng)，其攻擊方式有很多種 。 CGI 就是 Common Gateway Inter—— face 的簡(jiǎn)稱。另外一種是針對(duì)個(gè)人用戶的，通過(guò)網(wǎng)絡(luò) (主要是電子郵件 ，惡 18 意網(wǎng)頁(yè)形式 )迅速傳播的蠕蟲(chóng)病毒，以愛(ài)蟲(chóng)病毒，求職信病毒為例。要求對(duì)使用身份標(biāo)識(shí)和認(rèn)證的機(jī)制，文件 的創(chuàng)建，修改，系統(tǒng)管理的所有操作以及其他有關(guān)安全事件進(jìn)行記錄，以便系統(tǒng)管理員進(jìn)行安全跟蹤。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包按正常情況處理 。包過(guò)濾防火墻的維護(hù)比較困難，定義過(guò)濾規(guī)則也比較復(fù)雜，因?yàn)槿魏我粭l過(guò)濾規(guī)則的不完善都會(huì)給網(wǎng)絡(luò)黑客造成可乘之機(jī)。如果某種應(yīng)用沒(méi)有安裝代理程序，那么該項(xiàng)服務(wù)就不被支持并且不能通過(guò)防火墻進(jìn)行轉(zhuǎn)發(fā) 。它工作在 OSI 模型的最高層，掌 握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問(wèn)，阻止病毒的傳播感染顯得尤為重要?？紤]包過(guò)濾技術(shù)的發(fā)展過(guò)程，可以認(rèn)為包過(guò)濾的核心問(wèn)題就是如何充分利用數(shù)據(jù)包中各個(gè)字段的信息，并結(jié)合安全策略來(lái)完成防火墻的功能 [11][15] 數(shù)據(jù)表結(jié)構(gòu) 當(dāng)應(yīng)用程序用 TCP 傳送數(shù)據(jù)時(shí)，數(shù)據(jù)被送入?yún)f(xié)議棧中，然后逐個(gè)通過(guò)每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。TCP 頭部的主要字段包括源 /目的端口、發(fā)送及確認(rèn)序號(hào)、狀態(tài)標(biāo)識(shí)等。即使通過(guò)防火墻的數(shù)據(jù)包有攻擊性或包含病毒代碼，也無(wú)法進(jìn)行控制和阻斷。 (2)縱向發(fā)展。如果是新建連接，則檢查靜態(tài)規(guī)則表。 深度包檢測(cè) (Deep Packet Inspection)就是針對(duì)這種需求，深入檢測(cè)數(shù)據(jù)包有效載荷，執(zhí)行基于應(yīng)用層的內(nèi)容過(guò)濾，以此提高系統(tǒng)應(yīng)用防御 能力。通過(guò)采用硬件芯片和更加優(yōu)化的算法，可以解決這個(gè)問(wèn)題。如果數(shù)據(jù)流包含附件或上載 /下載文件，附件和文件將傳輸?shù)讲《緬呙枰?，所有其他?nèi)容傳輸?shù)絻?nèi)容過(guò)濾引擎。由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時(shí)候代替服務(wù)器或客戶端參與應(yīng)用層的會(huì)話，從而起到了與應(yīng)用代理防火墻相同的控制能力。 雙宿主主機(jī)是多宿主主機(jī)的一個(gè)特例，它有兩個(gè)網(wǎng)卡，并禁止路由功能。主機(jī)屏蔽防火墻體系結(jié)構(gòu)是在防火墻的前面增加了屏蔽路由器。 子網(wǎng)屏蔽 防火墻 子網(wǎng)屏蔽防火墻體系結(jié)構(gòu)添加額外的安全層到主機(jī)屏蔽體系結(jié)構(gòu)，即通過(guò)添加周邊 網(wǎng)絡(luò) 更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與外網(wǎng)隔離。即使入侵者控制了堡壘主機(jī)，他仍然需要通過(guò)內(nèi)網(wǎng)端的屏蔽路由器才能到達(dá)內(nèi)網(wǎng)。相應(yīng)的其他 LAN 接口連接內(nèi)網(wǎng)各個(gè)網(wǎng)絡(luò)設(shè)備。 首先當(dāng)企業(yè)外網(wǎng)出口指定 IP 時(shí)配置防火墻參數(shù)。 防火墻包過(guò)濾技術(shù)發(fā)展趨勢(shì) (1)安全策略功能 一些防火墻廠商把在 AAA 系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。 (3)功能擴(kuò)展 功能擴(kuò)展是指一種集成多種功能的設(shè)計(jì)趨勢(shì)，包括 VPN、 AAA、PKI、 IPSec 等附加功能，甚至防病毒、入侵檢測(cè)這樣的主流功能，都被集成到防火墻產(chǎn)品中了，很多時(shí)候我們已經(jīng)無(wú)法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個(gè)功能為主了，即其已經(jīng)逐漸向我們普遍稱之為 IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。從執(zhí)行速度 的角度看來(lái)，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類(lèi)防火墻中有一些專門(mén)用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了 CPU 的負(fù)擔(dān)，該類(lèi)防火墻的性能要比傳統(tǒng)防火墻的性能好許多。 (3)網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化 縱觀防火墻技術(shù)的發(fā)展，黑客入侵系統(tǒng)技術(shù)的不斷進(jìn)步以及網(wǎng)絡(luò)病毒朝智能化和多樣化發(fā)展，對(duì)防火墻技術(shù)的同步發(fā)展提出了更高的要求。這篇畢業(yè) 論文的就是我的舞臺(tái)，以下的言語(yǔ)便是有點(diǎn)成就感后在舞臺(tái)上發(fā)表的發(fā)自肺腑的誠(chéng)摯謝意與感想： 感謝培養(yǎng)教育我的 安徽水利水電職業(yè)技術(shù)學(xué)院 ， 學(xué)院 濃厚的學(xué)術(shù)氛圍，舒適的學(xué)習(xí)環(huán)境我將終生難忘！祝母校蒸蒸日上，永創(chuàng)輝煌！祝校長(zhǎng)財(cái)源滾滾，仕途順利！感謝對(duì)我傾囊賜教、鞭策鼓勵(lì)的 安徽水利水電職業(yè)技術(shù)學(xué)院電子信息工程系 諸位師長(zhǎng)，諸位恩師的諄諄訓(xùn)誨我將銘記在心。感謝他們四年來(lái)的辛勤栽培。理想的解決方案是增 加 ASIC 芯片的可編程性，使其與軟件更好地配合。 防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì) 隨著網(wǎng)絡(luò)應(yīng)用的增加，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。 (2)多級(jí)過(guò)濾技術(shù) 所謂多級(jí)過(guò)濾技術(shù)，是指防火墻采用多級(jí)過(guò)濾措施，并輔以鑒別手段。 第二步：通過(guò) firewall packet default permit 設(shè)置默認(rèn)的防火墻策略為 “ 容許通過(guò) ” 。相應(yīng)的本地區(qū)域優(yōu)先級(jí)最高，其次是 trust 信任區(qū)，DMZ 堡壘主機(jī)區(qū)，最低的是 untrust 非信任區(qū)域。一般包括下面幾種 形式： （一）使用多個(gè)堡壘主機(jī) （二）合并內(nèi)部路由器和外部路由器 （三）合并堡壘主機(jī)和外部路由器 （四）合并堡壘主機(jī)和內(nèi)部路由器 （五）使用多個(gè)內(nèi)部路由器 35 （六）使用多個(gè)外部路由器 （七）使用多個(gè)周邊網(wǎng)絡(luò) （八）使用雙宿主主機(jī)與屏蔽子網(wǎng) 第四章 防火墻的配置 硬件連接與實(shí)施 一般來(lái)說(shuō)硬件防火墻和路由交換設(shè)備一樣具備多個(gè)以太接口，速度根據(jù)檔次與價(jià)格不同而在百兆與千兆之間有所區(qū)別。通過(guò)在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減少在堡壘主機(jī)上入侵的影響。根據(jù)內(nèi)網(wǎng)的 安全策略，屏蔽路由器可以過(guò)濾掉不允許通過(guò)的數(shù)據(jù)包。 雙宿主主機(jī) 雙宿主主機(jī)是防火墻體系的基本形態(tài)。代理 服務(wù)器 可以算是多宿主主機(jī)防火墻的一種。 在這種機(jī)制下，從防火墻外部看，仍然是包過(guò)濾的形態(tài)，工作在鏈路層或 IP 層，在規(guī)則允許下，兩端可以直接訪問(wèn) ，但是任何一個(gè)被規(guī)則允許的訪問(wèn)在防火墻內(nèi)部都存在兩個(gè)完全獨(dú)立的 TCP 會(huì)話，數(shù)據(jù)以“流”的方式從一個(gè)會(huì)話流向另一個(gè)會(huì)話。服務(wù)分析器根據(jù)數(shù)據(jù)流服務(wù)類(lèi)型分離內(nèi)容數(shù)據(jù)流，傳送數(shù)據(jù)流到一個(gè)命令解析器中。如一段攻擊代碼被分割到 10 個(gè)數(shù)據(jù)包中傳輸，那么這種簡(jiǎn)單的對(duì)單一數(shù)據(jù)包的內(nèi)容檢測(cè)根本無(wú)法對(duì)攻擊特征進(jìn)行匹配 : 要清楚地知道有效載荷，必須采取有效方法，將單個(gè)數(shù)據(jù)包重新組合成完整的數(shù)據(jù)流。 動(dòng)態(tài)包過(guò)濾技術(shù)克服了傳統(tǒng)包過(guò)濾僅僅孤立的檢查單個(gè)數(shù)據(jù)包和安全規(guī)則靜態(tài)不可變的缺陷，使得防火墻的安全控制力度更為細(xì)致。 動(dòng)態(tài)包過(guò)濾 動(dòng)態(tài)包過(guò)濾 [16]又稱為基于狀態(tài)的數(shù)據(jù)包過(guò)濾，是在傳統(tǒng)包過(guò)濾技術(shù)基礎(chǔ)之上發(fā)展起來(lái)的一項(xiàng)過(guò)濾技術(shù)，最早由 Checkpoint 提出。(4)只檢查包頭信息，而沒(méi)有深入檢測(cè)數(shù)據(jù) 包的有效載荷。若允許建立 HTTP連接，就需要開(kāi)放 1024 以上所有端口，這無(wú)疑增加了被攻擊的可能性。對(duì)于進(jìn)防火墻的數(shù)據(jù)包，順序正好與此相反，頭部信息逐層剝掉。包過(guò)濾最主要的優(yōu)點(diǎn)在于其速度與透明性。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)， 兩個(gè)分組過(guò)濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與 Inter 及內(nèi)部網(wǎng)絡(luò)分離。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。它的代理功能，就是在防火墻處終止客戶連接并初始化一個(gè)新 20 的連接到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng)絡(luò)，使之遭受攻擊。 防火墻的原理及分類(lèi) 國(guó)際計(jì)算機(jī)安全委員會(huì) ICSA 將防火墻分成三大類(lèi) :包過(guò)濾防火墻，應(yīng)用級(jí)代理服務(wù)器 [8]以及狀態(tài)包檢測(cè)防火墻。 VPN 的基本原理是通過(guò) IP 包的封裝及加密、認(rèn)證等手段，從而達(dá)到安全的目的。 、木馬及其網(wǎng)絡(luò)蠕蟲(chóng)。 (Buffer Overflow)。且 FTP 服務(wù)是否支持“匿名”，以及 IIS 版本，是否有可以被成功攻破的 IIS 漏洞，進(jìn)而對(duì)內(nèi)部網(wǎng)絡(luò)的主機(jī)進(jìn)行攻擊。提供 HTTP、 FTP 和 SMTP 代理功能，并可對(duì)這三種協(xié)議進(jìn)行訪問(wèn)控制 。 2．地址轉(zhuǎn)換。該特征決定了傳統(tǒng)的防火墻無(wú)法解決惡意的攻擊行為。目前網(wǎng)絡(luò)安全的三大主要問(wèn)題是 :以拒絕訪問(wèn) (DDOS)為主要代表的網(wǎng)絡(luò)攻擊，以蠕蟲(chóng) (Worm)為主要代表的病毒傳播和以垃圾電子郵件(SPAM)為代表的內(nèi)容控制。 13 傳統(tǒng)防火墻介紹 目前的防火墻技術(shù)無(wú)論從技術(shù)上還是從產(chǎn)品發(fā)展歷程上，都經(jīng)歷了五個(gè)發(fā)展歷程。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過(guò)濾和應(yīng)用代理兩類(lèi)。你需要了解可以分配什么樣的權(quán)限，還有日?；顒?dòng)期間一些規(guī)則是處理權(quán)限的。目前，防火墻采取的技術(shù)，主要是包過(guò)濾、應(yīng)用網(wǎng)關(guān)、子網(wǎng)屏蔽等。主要措施有：提供實(shí)時(shí)改變安全策略的能力、實(shí)時(shí)監(jiān)控企業(yè)安全狀態(tài)、對(duì)現(xiàn)有的安全系統(tǒng)實(shí)施漏洞檢查等，以防患于未然。嚴(yán)重時(shí)會(huì)使系統(tǒng)關(guān)機(jī)，網(wǎng)絡(luò)癱瘓。 2.. 網(wǎng)絡(luò)安全面臨的主要威脅 一般認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來(lái)自計(jì)算機(jī)病毒、黑客的攻擊和拒絕服務(wù)攻擊三個(gè)方面。我國(guó)對(duì)于計(jì)算機(jī)安全的定義是：“計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運(yùn)行。因此，他們防外不防內(nèi)，難以實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部局域網(wǎng)內(nèi)主之間的安全通信，也不能很好的解決每一個(gè)撥號(hào)上網(wǎng)用戶所在主機(jī)的安全問(wèn)題，而多數(shù)個(gè)人上網(wǎng)之時(shí)，并沒(méi)有置身于得到防護(hù)的安全網(wǎng)絡(luò)內(nèi)部。而且防火墻能夠?qū)崟r(shí)記錄其它系統(tǒng)試圖對(duì)本機(jī)系統(tǒng)的訪問(wèn)，使計(jì)算機(jī)在連接到互聯(lián)網(wǎng)的時(shí)候避免受到網(wǎng)絡(luò)攻擊和資料泄漏的安全威脅。同時(shí)，我們不得不注意到，網(wǎng)絡(luò)雖然功能強(qiáng)大，也有其脆弱易受到攻擊的一面 。所以對(duì)網(wǎng)絡(luò)安全的各獨(dú)立元素 —— 防火墻、漏洞掃描、入侵檢測(cè)和反病毒等進(jìn)行風(fēng)險(xiǎn)評(píng)估是很有必要的。學(xué)?？梢怨颊撐模ㄔO(shè)計(jì)）的全部或部分內(nèi)容。對(duì)本論文（設(shè)計(jì)）的研究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中作了明確說(shuō)明并表示謝意。圖表整潔，布局合理，文字注釋必須使用工程字書(shū)寫(xiě)，不準(zhǔn)用徒手畫(huà) 3）畢業(yè)論文須用 A4 單面打印，論文 50 頁(yè)以上的雙面打印 4）圖表應(yīng)繪制于無(wú)格子的頁(yè)面上 5）軟件工程類(lèi)課題應(yīng)有程序清單，并提供電子文檔 1）設(shè)計(jì)（論文） 2）附件：按照任務(wù)書(shū)、開(kāi)題報(bào)告、外文譯文、譯文原文（復(fù)印件）次序裝訂 3）其它 IV 摘要 因特網(wǎng)的迅猛發(fā)展給人們的生活帶來(lái)了極大的方便，但同時(shí)因特網(wǎng)也面臨著空前的威脅。s attention. And how to implement prevention strategies depends first and foremost on the security of the current system. Therefore, the independent work security elementsfirewall, vulnerability scanning, intrusion detection and antivirus risk assessment is necessary. Firewall as a more mature current work security technologies, their safety directly related to the user39。 研究目的 為了解決互聯(lián)網(wǎng)時(shí)代個(gè)人網(wǎng)絡(luò)安全的問(wèn)題，近年來(lái)新興了防火墻技術(shù) [2]。 個(gè)人防火墻就是在單機(jī) Windows 系統(tǒng)上，采取一些安全防護(hù)措施，使得本機(jī)的息得到一定的保護(hù)。以及藍(lán)屏攻擊等。 3）信息的安全性。例如通過(guò)隱蔽通道進(jìn)行非法活動(dòng)；采用匿名用戶訪問(wèn)進(jìn)行攻擊；通過(guò)網(wǎng)