【正文】 技術(shù)實(shí)現(xiàn)簡單，處理速度快，對應(yīng)用透明，但是它存在的問題也很多，主要表現(xiàn)有 : 。 所謂包過濾，就是對流經(jīng)網(wǎng)絡(luò)防火墻的所有數(shù)據(jù)包逐個(gè)檢查，并依據(jù)所制定的安全策略來決定數(shù)據(jù)包是通過還是不通過。它是針對數(shù)據(jù)包過濾 [10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò) 通信鏈路分為兩段。包過濾防火墻是速度最快的防火墻，這是因?yàn)樗幱诰W(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實(shí)現(xiàn)，對用戶來說都是透明的。 虛擬專網(wǎng)功能 指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的 “加密通道 ”在公共網(wǎng)絡(luò)中傳播。現(xiàn)在的防火墻設(shè)備通常都可檢測 Synflod、 Land、 Ping of Death、 TearDrop、 ICMP flood和 UDPflod等多種 DOS/DDOS攻擊。代理指防火墻內(nèi)置用戶認(rèn)證數(shù)據(jù)庫 。三是傳統(tǒng)的防火墻無法區(qū)分識別善意和惡意的行為。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間 的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。一旦實(shí)現(xiàn)了 NTFS，你可以使用 Windows資源管理器在文件和文件夾上設(shè)置用戶級別的權(quán)限。三是管理措施，包括技術(shù)與社會措施。 隨著網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)的安全問題也延伸到了計(jì)算機(jī)網(wǎng)絡(luò)。 所謂的防火墻是指設(shè)置在不同網(wǎng)絡(luò) (如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng) )或網(wǎng)絡(luò)安全域之間的一系列部件 的組合 [ 1 ] 。用戶可以根據(jù)自己的需要，通過設(shè)定一些參數(shù)，從而達(dá)到控制本機(jī)與互聯(lián)網(wǎng)之間的信息交流阻止惡性信息對本機(jī)的攻擊，比如 ICMPnood攻擊、聊天室炸彈、木馬信息破譯并修改郵件密碼等等。如何建立比較安全的網(wǎng)絡(luò)體系，值得我們關(guān)注研究。如假冒 IP 包對通信雙方進(jìn)行欺騙 :對主機(jī)大量發(fā)送正數(shù)據(jù)包 [3]進(jìn)行轟炸攻擊，使之際崩潰 。它保證計(jì)算機(jī)能在良好的環(huán)境里持續(xù)工作。 6 大學(xué)畢業(yè)論文 網(wǎng)絡(luò)安全措施 網(wǎng)絡(luò)信息安全涉及方方面面的問題，是一個(gè)復(fù)雜的系統(tǒng)。 7 大學(xué)畢業(yè)論文 (5)防病毒技術(shù) 隨著計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)病毒變得越來越復(fù)雜和高級，計(jì)算機(jī)病毒防范不僅僅是一個(gè)產(chǎn)品、一個(gè)策略或一個(gè)制度，它是一個(gè)匯集了硬件、軟件、網(wǎng)絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制 (允許、拒絕、監(jiān)測 )出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。傳統(tǒng)的防火墻是以高強(qiáng)度的檢查為代價(jià)，檢查的強(qiáng)度越高，計(jì)算的代價(jià)越大。 DNAT 主要用于外網(wǎng)主機(jī)訪問內(nèi)網(wǎng)主機(jī)。拒絕服務(wù) (DoS)攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)，其攻擊方式有很多種 。另外一種是針對個(gè)人用戶的，通過網(wǎng)絡(luò) (主要是電子郵件，惡意網(wǎng)頁形式 )迅速傳播的蠕蟲病毒，以愛蟲病毒，求職信病毒為例。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包按正常情況處理 。如果某種應(yīng)用沒有安裝代理程序，那么該項(xiàng)服務(wù)就不被支持并且不能通過防火墻進(jìn)行轉(zhuǎn)發(fā) 。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播感染顯得尤為重要。TCP頭部的主要字段包括源 /目的端口、發(fā)送及確認(rèn)序號、狀態(tài)標(biāo)識等。 (2)縱向發(fā)展。 深度包檢測 (Deep Packet Inspection)就是針對這種需求，深入檢測數(shù)據(jù)包有效載荷，執(zhí)行基于應(yīng)用層的內(nèi)容過濾，以此提高系統(tǒng)應(yīng)用防御能力。如果數(shù) 據(jù)流包含附件或上載 /下載文件，附件和文件將傳輸?shù)讲《緬呙枰?，所有其他?nèi)容傳輸?shù)絻?nèi)容過濾引擎。 20 大學(xué)畢業(yè)論文 在實(shí)際設(shè)置時(shí)我們必須將端口劃分到某區(qū)域后才能對其進(jìn)行各個(gè)訪問操 作，否則默認(rèn)將阻止對該接口的任何數(shù)據(jù)通訊。在分組過濾 (網(wǎng)絡(luò)層 )一級，過濾掉所有的源路由分組和假冒的 IP 源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或 /和入的協(xié)議和有害數(shù)據(jù)包如 nuke 包、圣誕樹包等；在應(yīng)用 網(wǎng)關(guān) (應(yīng)用層 )一級，能利用 FTP、 SMTP 等各種網(wǎng)關(guān)，控制和監(jiān)測 Inter 提供的所用通用服務(wù)。為了滿足這種需要，一些防火墻制造商開發(fā)了基于 ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)。 如果防火墻上有 WAN 接口，那么直接將 WAN 接口連接外網(wǎng)即可，如果所有接口都標(biāo)記為 LAN 接口，那么按照常規(guī)標(biāo)準(zhǔn)選擇最后一個(gè) LAN 接口作為外網(wǎng)連接端口。 圖 深度包檢測框圖 在接收到網(wǎng)絡(luò)流量后，將需要進(jìn)行內(nèi)容掃描的數(shù)據(jù)流定向到 TCP/IP 堆棧，其他數(shù)據(jù)流直接定向到狀態(tài)檢測引擎，按基本檢測方式進(jìn)行處理。這種方法的好處在于由于不需要對每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查，而是一個(gè)連接的后續(xù)數(shù)據(jù)包 (通常是大量的數(shù)據(jù)包 )通過散列算法，直接進(jìn)行狀態(tài)檢查，從而使性能得到了較大提高 。(2)缺乏應(yīng)用防御能力。 TCP 傳給 IP 的數(shù)據(jù)單元稱作 TCP 報(bào)文段 (TCP Segment)。這種結(jié)合通常是以下兩種方案。 應(yīng)用級代理防火墻 應(yīng)用級代理技術(shù)通過在 OSI 的最高層檢查每一個(gè) IP 包，從而實(shí)現(xiàn)安全策略。 。 IIS就是 Inter Information server的簡稱，也就是微軟的 Inter信息服務(wù)器。端口掃描就是指黑客通過遠(yuǎn)程端口掃描的工具，從中發(fā)現(xiàn)主機(jī)的哪些非常用端口是打開的 。 包過濾是一種網(wǎng)絡(luò)的數(shù)據(jù)安全保護(hù)機(jī)制，它可用來控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設(shè)置可基于源地址、源端口、目的地址、目的端口、協(xié)議和時(shí)間 。 第五代防火墻 1998 年， NAI 公司推出了一種自適應(yīng)代理（ Adaptive proxy）技術(shù)，并在其產(chǎn)品 Gauntlet Firewall for NT 中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng)絡(luò)安全問題越來越突出。 (2)認(rèn)證 對合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認(rèn)證機(jī)制還可以防止合法用戶訪問他們無權(quán)查看的信息。 3）拒絕服務(wù)攻擊。 第五章，系統(tǒng)闡述防火墻發(fā)展趨勢。個(gè)人防火墻是面向單機(jī)操作系統(tǒng)的一種小型安全防護(hù)軟件，按一定的規(guī)則對 TCP，UDP， ICMP 和 IGMP等報(bào)文進(jìn)行過濾，對網(wǎng)絡(luò)的信息流和系統(tǒng)進(jìn)程進(jìn)行監(jiān)控，防止一些惡意的攻擊。1 大學(xué)畢業(yè)論文 摘要 因特網(wǎng)的迅猛發(fā)展 給人們的生活帶來了極大的方便，但同時(shí)因特網(wǎng)也面臨著空前的威脅。 個(gè)人防火墻就是在單機(jī) Windows 系統(tǒng)上，采取一些安全防護(hù)措施，使得本機(jī)的息得到一定的保護(hù) 。 第四章，以 H3CH3C的 F100防火墻為例，介紹防火墻配置方法。例如通過隱蔽通道進(jìn)行非法活動；采用匿名用戶訪問進(jìn)行攻擊；通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶賬號和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。有兩種主要的加密類型：私匙加密和公匙加密。 8 大學(xué)畢業(yè)論文 第三章 防火墻概述 隨著 Inter 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多 。 1994年，以色列的 CheckPoint公司開發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。 10 大學(xué)畢業(yè)論文 防火墻的功能 防火墻的主要功能 1．包過濾。 入侵檢測功能 入侵檢測技術(shù) [7]就是一種主動保護(hù)自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技術(shù)，包括以下內(nèi)容 : 。是 World Wide Web主機(jī)和 CGI程序間傳輸資訊的定義。一般防火墻設(shè)備可以提供三種日志審計(jì)功能 :系統(tǒng)管理日志、流量日志和入侵日志。同時(shí)，包過濾防火墻一般無法提供完善的日志。 復(fù)合型防火墻 由于對更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。其中每一層對接收到的數(shù)據(jù)都要增加一些首部信息。 綜合上述問題，傳統(tǒng)包過濾技術(shù)的缺陷在于 :(l)缺乏狀態(tài)檢測能力 。 動態(tài)包過濾通過在內(nèi)存中動態(tài)地建立和維護(hù)一個(gè)狀態(tài)表，數(shù)據(jù)包到達(dá)時(shí)，對該數(shù)據(jù)包的處理方式將綜合靜態(tài) 安全規(guī)則和數(shù)據(jù)包所處的狀態(tài)進(jìn)行。一個(gè)深度包檢測的流程框圖如圖。網(wǎng)絡(luò)拓?fù)鋱D中防火墻的位置很關(guān)鍵，一般介于內(nèi)網(wǎng)與外網(wǎng)互連中間區(qū)域，針對外網(wǎng)訪問數(shù)據(jù)進(jìn)行過濾和監(jiān)控。 22 大學(xué)畢業(yè)論文 第五章 防火墻發(fā)展趨勢 針對傳統(tǒng)防火墻不能解決的問題，及新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也出現(xiàn)了新的發(fā)展趨勢。另外，在以后幾年里，多媒體應(yīng)用將會越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。這是針對以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過濾技術(shù)的不足。 除此之外防火墻的其他相關(guān)配置與路由交換設(shè)備差不多，無外乎通過超級終端下的命令行參數(shù)進(jìn)行配置或者通過 WEB管理界面配置。如果內(nèi)容過濾啟動，數(shù)據(jù)流將根據(jù)過濾的設(shè)置進(jìn)行匹配，通過或拒絕數(shù)據(jù)。 應(yīng)用防御的技術(shù)問題主要包括 :(l)需要對有效載荷知道得更清楚 。深入檢測數(shù)據(jù)包有效載荷，識別并阻止病毒代碼和基于高層協(xié)議的攻擊，以此來提高應(yīng)用防御能力。 理論上講，數(shù)據(jù)包所有頭部信息以及有效載荷都可以作為判斷包通過與否的依據(jù)，但是在實(shí)際情況中，包過濾技術(shù)上的問題主要是選取哪些字段信息，以及如何有效地利用這些字段信息并結(jié)合訪問控制列表來執(zhí)行包過濾操作，并盡可能提高安全控制力度。就目前而言，對于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過濾和應(yīng)用代理兩類。同時(shí)升級一種應(yīng)用時(shí)，相應(yīng)的代理程序也必須同時(shí)升級。如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，