【正文】 .................. 43 系統(tǒng)詳細(xì)設(shè)計(jì) .................................................................................................. 43 功能實(shí)現(xiàn)的設(shè)計(jì) .............................................................................................. 45 系 統(tǒng)具體實(shí)現(xiàn) .................................................................................................. 46 其他說(shuō)明界面 .................................................................................................. 48 系統(tǒng)測(cè)試 .......................................................................................................... 50 需要注意的幾個(gè)問(wèn)題 ...................................................................................... 50 系統(tǒng)維護(hù)和總結(jié) ............................................................................................ 52 第六章 防火墻技術(shù)發(fā)展動(dòng)態(tài)和趨勢(shì) .................................................................................. 54 結(jié) 束 語(yǔ) .......................................................................................................................... 57 致 謝 ...................................................................................................................................... 58 參考文獻(xiàn) .................................................................................................................................. 59 附錄：（程序源代碼） ............................................................................... 錯(cuò)誤 !未定義書(shū)簽。 . 關(guān)鍵字： 防火墻、狀態(tài)檢測(cè)、多層防火墻、 VB。因此，防火墻的作用是防止不希望的、未授權(quán)的通信進(jìn)出被保護(hù)的網(wǎng)絡(luò)，迫使單位強(qiáng)化自己的網(wǎng)絡(luò)安全政策。 但是 對(duì)攻防技術(shù)發(fā)展和網(wǎng)絡(luò)安全實(shí)踐的研究分析表明，單一的安全保護(hù)往往效果不理想，而最佳途徑就是采用多層安全防護(hù)措施對(duì)信息系統(tǒng)進(jìn)行全方位的保護(hù)。下面我們一起來(lái)討論一下防火墻的概念，以及防火墻的功能，并且討論了每一種防火墻的特性及其發(fā)展。防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信量，從而完圖 防火墻的基本功能 內(nèi)部局域網(wǎng) 防火墻網(wǎng)關(guān) 因特網(wǎng) 過(guò)濾器 過(guò)濾器 多層防火墻技術(shù)的研究 —— 狀態(tài)檢測(cè) 9 成看似不可能的任務(wù)；僅讓安全、核準(zhǔn)了的信息進(jìn)入，同時(shí)又抵制對(duì)企業(yè)構(gòu)成威脅的數(shù)據(jù)。 防火墻的 功能 ① 防火墻是網(wǎng)絡(luò)安全的屏障： 一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。 ③ 對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì) ： 如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。 Finger 顯示了主機(jī)的所有用戶(hù)的注冊(cè)名、真名，最后登錄時(shí)間和使用shell 類(lèi)型等。 防火墻技術(shù)的發(fā)展 隨著 Inter/Intra 技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題必將愈來(lái)愈引起人們的重視。攻擊技術(shù)包括目標(biāo)網(wǎng)絡(luò)信息收集技術(shù)、目標(biāo)網(wǎng)絡(luò)權(quán)限提升技術(shù)、目標(biāo)網(wǎng)絡(luò)滲透技術(shù)、目標(biāo)網(wǎng)絡(luò)摧毀技術(shù)四大類(lèi)。 但是 對(duì)攻防技術(shù)發(fā)展和網(wǎng)絡(luò)安全實(shí)踐的研究分析表明， 單一的 防火墻有許多“ 難言之隱 ” —— 即 “ 三難防 ” 困擾 。 單一的 防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。 所謂“多級(jí)過(guò)濾技術(shù)”，是指防火墻采用多級(jí)過(guò)濾措施，并輔以鑒別手段。 多層防火墻技術(shù)的研究 —— 狀態(tài)檢測(cè) 16 第三章 多層防火墻系統(tǒng)的功 能及其組成 隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和應(yīng)用的日漸普及，黑客工具不僅變得越來(lái)越先進(jìn)，而且也越來(lái)越容易被一般人獲取和濫用。 地址轉(zhuǎn)換技術(shù) 地址轉(zhuǎn)換技術(shù)（ Network Address Translation,NAT） 。但由于合法因特網(wǎng) IP 地址有限，而且受保護(hù)網(wǎng)絡(luò)往往有自己的一套本地 IP 地址規(guī)劃。在防火墻中主要用于外部網(wǎng)絡(luò)主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)和 DMZ 區(qū) (非軍事區(qū) )主機(jī)的訪問(wèn)。這個(gè)安全規(guī)則就是防火墻技術(shù)的根本，它是通過(guò)對(duì)各種網(wǎng)絡(luò)應(yīng)用、通信類(lèi)型和端口的使用來(lái)規(guī)定的。而外部網(wǎng)絡(luò)通常是直接通過(guò)防火墻與內(nèi)部網(wǎng)絡(luò)連接，中間不會(huì)有其它網(wǎng)絡(luò)設(shè)備 。報(bào)頭信息中包括 IP 源地址、 IP目標(biāo)地址、傳輸協(xié)議 (TCP、 UDP、ICMP 等等 )、 TCP/UDP 目標(biāo)端口、 ICMP 消息類(lèi)型等。狀態(tài)檢測(cè)防火墻通過(guò)建立動(dòng)態(tài) TCP 連接狀態(tài)表并對(duì) 每次會(huì)話連接進(jìn)行驗(yàn)證來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制。 狀態(tài)監(jiān)測(cè)防火墻的另一個(gè)優(yōu)點(diǎn)是它會(huì)監(jiān)測(cè)無(wú)連接狀態(tài)的遠(yuǎn)程過(guò)程調(diào)用（ RPC）和用 戶(hù)數(shù)據(jù)報(bào) (UDP)之類(lèi)的端口信息，而包過(guò)濾和應(yīng)用網(wǎng)關(guān)防火墻都不支持此類(lèi)應(yīng)用。 電路級(jí)網(wǎng)關(guān)也是一種代理，但是只是建立起一個(gè)回路，對(duì)數(shù)據(jù)包只起轉(zhuǎn)發(fā)的作用。 它屬于第五代防火墻技術(shù)，它最早是由于 1998 年，由 NAI公司推出的，并在其產(chǎn)品 Gauntlet Firewall for NT 中得以實(shí)現(xiàn)。通常是需在防火墻主機(jī)上安裝相應(yīng)服務(wù)器軟件來(lái)實(shí)現(xiàn)以上功能的。它可以結(jié)合代理類(lèi)型防火墻的安全性和包過(guò)濾防火墻的高速度等優(yōu)點(diǎn)，在毫不損失安全性的基礎(chǔ)之上將代理型防火墻的性能提高 10 倍以上。 常用的應(yīng)用級(jí)防火墻已有了相應(yīng)的代理服務(wù)器， 例如： HTTP、 NNTP、 FTP、 Tel、 rlogin、 Xwindows 等，但是，對(duì)于新開(kāi)發(fā)的應(yīng)用，尚沒(méi)有相應(yīng)的代理服務(wù)，它們將通過(guò)網(wǎng)絡(luò)級(jí)防火墻和一般的代理服務(wù)。 有人將狀態(tài)檢測(cè)防火墻稱(chēng)為第三代防火墻，可見(jiàn)其應(yīng)用的廣泛性。它是在使用了基本包過(guò)濾防火墻的通信上的一些應(yīng)用技術(shù)來(lái)做到這點(diǎn)的。通常情況下，防火墻丟棄所有外部的連接企圖，除非已經(jīng)建立起某條特定的規(guī)則來(lái)處理它們。對(duì)其他種類(lèi)的包，情況和 UDP 包類(lèi)似。 狀態(tài)檢測(cè)防火墻基本保持了簡(jiǎn)單包過(guò)濾防火墻的優(yōu)點(diǎn)，性能比較好，同時(shí)對(duì)應(yīng)用是透明的，在此基礎(chǔ)上，對(duì)于安全性有了大幅提升。！ 相反，一個(gè)完全的狀態(tài)檢測(cè)防火墻，他在發(fā)起連接就判斷，如果符合規(guī)則，就在內(nèi)存登記了這個(gè)連接的狀態(tài)信息 (地址， port，選項(xiàng)。等服務(wù)完成后，這條規(guī)則就又被防火墻刪除。該表是位于內(nèi)核模式中的。 如果一個(gè)包不在狀態(tài)檢測(cè)表中時(shí)，那么該包使用規(guī)則庫(kù)來(lái)檢查，而不考慮它是否是 SYN、 ACK 或其他的什 么包。 當(dāng)通過(guò)使用一個(gè) SYN 包來(lái)建立一個(gè)會(huì)話時(shí)，防火墻先將這個(gè)數(shù)據(jù)包和規(guī)則庫(kù)進(jìn)行 比較。下面的處理方法可以作為在連接關(guān)閉后狀態(tài)檢測(cè)行為的參考。對(duì)于 什么樣的 ICMP 可以發(fā)出和放入在狀態(tài)監(jiān)測(cè)模塊中如何確定是關(guān)鍵。通過(guò)重組，防火墻的狀態(tài)檢測(cè)模塊就能識(shí)別整個(gè)的被分幀的數(shù)據(jù)包。最早出現(xiàn)并獲得廣泛應(yīng)用的分組過(guò)濾式防火墻可以被稱(chēng)為第一代防火墻。之后又出現(xiàn)了應(yīng)用層網(wǎng)關(guān)防火墻，這種防火墻經(jīng)常被稱(chēng)為基于代理服務(wù)器的防火墻，因?yàn)樗鼤?huì)代表各種網(wǎng)絡(luò)客戶(hù)端執(zhí)行應(yīng) 用層連接，即提供代理服務(wù)。因?yàn)樗鼈兛赡芨静粫?huì)被重組完成。 define ICMP_ECHOREPLY 0 /* Echo Reply */ Needed if you want to allow ping, so you can allow that for trusted peers out going and ining for all to allow them to ping the inter define ICMP_DEST_UNREACH 3 /* Destination Unreachable */ Some Sub Types are needed in and out, see below 多層防火墻技術(shù)的研究 —— 狀態(tài)檢測(cè) 30 define ICMP_SOURCE_QUENCH 4 /* Source Quench */ Allow it outbound anyway, inbound is less likely to be a problem, unless you are doing some streaming or multicast feeding to the inter. define ICMP_REDIRECT 5 /* Redirect (change route) */ block! define ICMP_ECHO 8 /* Echo Request */ you might allow it ining for trusted addresses (note some NICs will require you to make your primary DNS Server pingable!) define ICMP_TIME_EXCEEDED 11 /* Time Exceeded */ helpfull if you allow it ining, could allow exploring your work if you allow it outbound. define ICMP_PARAMETERPROB 12 /* Parameter Problem */ helpfull if you allow it ining, could allow exploring your work if you allow it outbound. define ICMP_TIMESTAMP 13 /* Timestamp Request */ define ICMP_TIMESTAMPREPLY 14 /* Timestamp Reply */ define ICMP_INFO_REQUEST 15 /* Information Request */ define ICMP_INFO_REPLY 16 /* Information Reply */ define ICMP_ADDRESS 17 /* Address Mask Request */ define ICMP_ADDRESSREPLY 18 /* Address Mask Reply */ Block those on the external interface /* Codes for UNREACH. */ define ICMP_NET_UNREACH 0 /* Network Unreachable */ ignored, so block it define ICMP_HOST_UNREACH 1 /* Host Unreachable */ allow it at least inbound, best would be if you can do that stateful define ICMP_PROT_UNREACH 2 /* Protocol Unreachable */ you can block that define ICMP_PORT_UNREACH 3 /* Port Unreachable */ 多層防火墻技術(shù)的研究 —— 狀態(tài)檢測(cè) 31 you should allow that at least inbound. Be aware that some filter rules should send PORT_UNREACH on connection request (at least 137,139 and auth), so make sure not to block those ICMP packetes which are generated by your reject rule. define ICMP_FRAG_NEEDED 4 /* Fragmentation Needed/DF set */ Allow