【正文】 何一個(gè)被規(guī)則允許的訪問在防火墻內(nèi)部都存在兩個(gè)完全獨(dú)立的 TCP 會(huì)話，數(shù)據(jù)以 “流 ”的方式從一個(gè)會(huì)話流向另一個(gè)會(huì)話。 防火墻的特色配置 從外觀上看防火墻和傳統(tǒng)的路由器交換機(jī)沒有太大的差別， 一部分防火墻具備 CONSOLE接口通過超級(jí)終端的方式初始化配置，而另外一部分則直接通過默認(rèn)的 LAN接口和管理地址訪問進(jìn)行配置。選擇接口四連接外網(wǎng)，接口一連接內(nèi)網(wǎng)。該功能在無(wú)線網(wǎng)絡(luò)應(yīng)用中非常必要。 23 大學(xué)畢業(yè)論文 有些防火墻集成了防病毒功能，通常被稱之為 “病毒防火墻 ”，當(dāng)然目前主要還是在個(gè)人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问?，更容易?shí)現(xiàn)。 與基于。擁有病毒防護(hù)功能的防火墻可以大大減少公司的損失。用戶身份驗(yàn)證功能越強(qiáng)，它的安全級(jí)別越高，但它給網(wǎng)絡(luò)通信帶來(lái)的負(fù)面影響也越大，因?yàn)橛脩羯矸蒡?yàn)證需要時(shí)間，特別是加密型的用戶身份驗(yàn)證。 第一步：通過 CONSOLE接口以及本機(jī)的超級(jí)終端連接 F100防火墻，執(zhí)行 system命令進(jìn)入配置模式。默認(rèn)情況下防火墻會(huì)自動(dòng)建立 trust信任區(qū)， untrust非信任區(qū)， DMZ堡壘主機(jī)區(qū)以及 LOCAL本地區(qū)域。如在對(duì) SMTP 協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對(duì)郵件的存儲(chǔ)轉(zhuǎn)發(fā)，并實(shí)現(xiàn)豐富的對(duì) SMTP 協(xié)議的各種攻擊的防范功能一流過濾的示意圖如圖 。如果檢測(cè)到信息流是一個(gè) HTTP數(shù)據(jù)流，則命令解析器檢查上載和下載的文件 。因而要執(zhí)行深度包檢測(cè)，帶來(lái)的問題必然是性能的下降，這就是所謂的內(nèi)容處理障礙。利用高層協(xié)議的攻擊和網(wǎng)絡(luò)病毒的頻繁出現(xiàn)，對(duì)防火墻提出了新的要求。對(duì)于新建的應(yīng)用連接，防火墻檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相關(guān)信息，這些相關(guān)信息構(gòu)成一個(gè)狀態(tài)表。從數(shù)據(jù)包結(jié)構(gòu)出發(fā)考慮，目前包過濾技術(shù)向兩個(gè)方向發(fā)展 :(l)橫向聯(lián)系。如接收到一個(gè) ACK 數(shù)據(jù)包，就認(rèn)為這是一個(gè)己建立的連接，這就導(dǎo)致許多安全隱患，一些惡意掃描和拒絕服務(wù)攻擊就是利用了這個(gè)缺陷。 15 大學(xué)畢業(yè)論文 對(duì)于幀的頭部信息主要是源 /目的主機(jī)的 MAC地址 。包過濾技術(shù)歷經(jīng)發(fā)展演變而未被淘汰。 防火墻包過濾技術(shù) 隨著 Inter的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來(lái)越多的領(lǐng)域，網(wǎng)絡(luò)中各類 14 大學(xué)畢業(yè)論文 重要的、敏感的數(shù)據(jù)逐漸增多 。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。但是，這將花費(fèi)更多的處理時(shí)間，并且由于代理防火墻支持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。通常是使用 80端口。過濾規(guī)則是基于網(wǎng)絡(luò)層 IP 包包頭信息的比較?？芍С秩我痪W(wǎng)絡(luò)接口的 IP地址和 MAC地址的綁 12 大學(xué)畢業(yè)論文 定，從而禁止用戶隨意修改 IP地址。木馬程序的全稱是 “特洛依木馬 ”，它們是指尋找后門、竊取計(jì)算機(jī)的密碼的一類程序。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作，防火墻設(shè)備可檢測(cè)對(duì) FTP、 Tel、 SSH、 RPC和 SMTP 等服務(wù)的遠(yuǎn) 程堆棧溢出入侵。檢查各端口，有端口掃描的癥狀時(shí)，立即屏蔽該端口，多數(shù)防火墻設(shè)備采用的都是這種反端口掃描方式。 4．透明和路由 指防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。 SNAT用于對(duì)內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì)外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來(lái)自外部其他網(wǎng)絡(luò)的非授權(quán)訪問或惡意攻擊。 智能防火墻簡(jiǎn)介 智能防火墻 [6]是相對(duì)傳統(tǒng)的防火墻而言的，從技術(shù)特征上智能防火墻是利用統(tǒng)計(jì)、記憶、概率和決策的智能方法來(lái)對(duì)數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪問控制的目的。而這三大問題，傳統(tǒng)防火墻都無(wú)能為力。 圖 1 第一代防火墻 第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過濾（ Packet filter）技術(shù)。 防火墻的概念 防火墻是設(shè)置在被保護(hù) 網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。 制定合理的網(wǎng)絡(luò)管理措施 （ 1）加強(qiáng)網(wǎng)絡(luò)用戶及有關(guān)人員的安全意識(shí)、職業(yè)道德和事業(yè)心、責(zé)任心的培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。 (4)檢測(cè)系統(tǒng) 入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全研究的一個(gè)熱點(diǎn)，是一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部入侵、外部入侵和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。 完善計(jì)算機(jī)安全立法 我國(guó)先后出臺(tái)的有 關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。 影響網(wǎng)絡(luò)安全的因素 1）單機(jī)安全 購(gòu)買單機(jī)時(shí)，型號(hào)的選擇；計(jì)算機(jī)的運(yùn)行環(huán)境（電壓、濕度、防塵條件、強(qiáng)電磁場(chǎng)以及自然災(zāi)害等）；計(jì)算機(jī)的操作 ??等等，這些都是影響單機(jī)安全性的因素。當(dāng)前，活性病毒達(dá) 14000 多種，計(jì)算機(jī)病毒侵入網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)資源進(jìn)行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個(gè)網(wǎng)絡(luò)的癱瘓。它保證硬件和軟件本身的安全。一個(gè)高效可靠的防火墻必須具有以下典型的特性 : 1 從里到外和從外到里的所有通信都必須通過防火墻； 2 只有本地安全策略授權(quán)的通信才允許通過； 3 防火墻本身是免疫的 ,不會(huì)被穿透的。各種 Windows漏洞不斷被公布，對(duì)主機(jī)的攻擊也越來(lái)越多。防火可以有效地阻截各種惡意攻擊、保護(hù)信息的安全 。在我國(guó)，每年因黑客入侵、計(jì)算機(jī)病毒的破壞也造成了巨大的經(jīng)濟(jì)損失。據(jù)美國(guó) FBI統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高達(dá) 75億美元，而全求平均每 20秒鐘就發(fā)生一起 Inter計(jì)算機(jī)侵入事件 [1]。防火墻可以保護(hù)人們?cè)诰W(wǎng)上瀏覽時(shí)免受黑客的攻擊，實(shí)時(shí)防范網(wǎng)絡(luò)黑客的侵襲，還可以根據(jù)自己的需要?jiǎng)?chuàng)建防火墻規(guī)則，控制互聯(lián)網(wǎng)到 PC 以及 PC 到互聯(lián)網(wǎng)的所有連接，并屏蔽入侵企圖。 個(gè)人上網(wǎng)用戶多使用 Windows操作系統(tǒng)，而 Windows操作系統(tǒng)，特別是 4 大學(xué)畢業(yè)論文 WindowsXP 系統(tǒng)，本身的安全性就不高。在邏輯上 ,防火墻是一個(gè)分離器 ,一個(gè)限制器 ,也是一個(gè)分析器 ,有效地監(jiān)控了內(nèi)部網(wǎng)和 Inter 之間的任何活動(dòng) , 保證了內(nèi)部網(wǎng)絡(luò)的安全。 ” 從技術(shù)講，計(jì)算機(jī)安全分為 3種： 1）實(shí)體的安全。 1）計(jì)算機(jī)病毒的侵襲。 具體講，網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權(quán)訪問、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶 ??等。這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全的保障，管理和審計(jì)是安全的防線。但是，防火墻技術(shù)在網(wǎng)絡(luò)安全防護(hù)方面也存在一些不足：防火墻不能防止內(nèi)部攻擊防火墻不能取代殺毒軟件；防火墻不易防止反彈端口木馬攻擊等。 Windows 2020 操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪問控制。其中包過濾作為最早發(fā)展起來(lái)的一種技術(shù)，其應(yīng)用非常廣泛。圖 1表示了防火墻技術(shù)的簡(jiǎn)單發(fā)展歷史。這三大安全問題占據(jù)網(wǎng)絡(luò)安全問題九成以上。 現(xiàn)在防火墻正在向分布、智能的方向發(fā)展，其中智能防火墻可以很好的解決上面的問題。 網(wǎng)絡(luò)地址變換是將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的 IP 地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換 Source NAT(SNAT)和目的地址轉(zhuǎn)換 Destination NAT(DNAT)。同時(shí)支持 URL過濾功能。顧名思義反端口掃描就是防范端口掃描的方法，目前常用的方法有 :關(guān)閉閑置和有潛在危險(xiǎn)的端口 。緩沖區(qū)溢出 (Buffer Overflow)攻擊指利用軟件的弱點(diǎn)將任意數(shù)據(jù)添加進(jìn)某個(gè)程序中，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。后門程序是指采用 某種方法定義出一個(gè)特殊的端口并依靠某種程序在機(jī)器啟動(dòng)之前自動(dòng)加載到內(nèi)存，強(qiáng)行控制機(jī)器打開那個(gè)特殊的端口的程序。 其他功能 地址 /MAC地址綁定。 包過濾防火墻 顧名思義，包過濾防火墻 [9]就是把接收到的每個(gè)數(shù)據(jù)包同預(yù)先設(shè)定的包過濾規(guī)則相比較，從而決定是否阻塞或通過。例如， HTTP。這一內(nèi)建代理 13 大學(xué)畢業(yè)論文 機(jī)制提供額外的安全，這是因?yàn)樗鼘?nèi)部和外部網(wǎng)絡(luò)隔離開來(lái)，使網(wǎng)絡(luò)外部的黑客在防火墻內(nèi)部網(wǎng)絡(luò)上進(jìn)行探測(cè)變得困難，更重要的是能夠讓網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行全面的控制。此外，代理服務(wù)也對(duì)過往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機(jī)和分組過濾路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。也正是由于此。 IP， TCP首部格式如表 21表 22所示。 。 傳統(tǒng)包過濾技術(shù)必須發(fā)展進(jìn)化，在繼承其優(yōu)點(diǎn)的前提下，采用新的技術(shù)手段，克服其缺陷，并進(jìn)一步滿足新的安全應(yīng)用要求。 與傳統(tǒng)包過濾技術(shù)只檢查單個(gè)、孤立的數(shù)據(jù)包不同，動(dòng)態(tài)包過濾試圖將數(shù)據(jù)包的上下文聯(lián)系起來(lái)，建立一種基于狀態(tài)的包過濾機(jī)制。 深度包檢測(cè) 目前許多造成大規(guī)模損害的網(wǎng)絡(luò)攻擊，比如紅色代碼和尼姆達(dá)，都是利用了應(yīng)用 的弱點(diǎn)。應(yīng)用層的內(nèi)容過濾要求大量的計(jì)算資源，很多情況下高達(dá) 100倍甚至更高。命令解析器定制和分析每一個(gè)內(nèi)容協(xié)議，分析內(nèi)容數(shù)據(jù)流，檢測(cè)病毒和蠕蟲。由于防火墻的應(yīng)用層策略 位于流的中間，因此可以在任何時(shí)候代替服務(wù)器或客戶端參與應(yīng)用層的會(huì)話，從而起到了與應(yīng)用代理防火墻相同的控制能力。 與路由器交換機(jī)不同的是在防火墻配置中我們需要?jiǎng)澐侄鄠€(gè)不同權(quán)限不同優(yōu)先級(jí)別的區(qū)域，另外還需要針對(duì)相應(yīng)接口隸屬的區(qū)域進(jìn)行配置，例如 1接口劃分到 A區(qū)域， 2接口劃分到 B 區(qū)域等等，通過不同區(qū)域的訪問權(quán)限差別來(lái)實(shí)現(xiàn)防火墻保護(hù)功能。這里 假設(shè)電信提供的外網(wǎng) IP地址為 。具有用戶身份驗(yàn)證的防火墻通常是采用應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)的，包過濾技術(shù)的防火墻不具有。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更