【正文】 火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。祝恩師們身體健康，家庭幸福！感謝論文中引文的原作者，他們都是 計(jì)算機(jī) 界的名師大家，大師風(fēng)范，高山仰止。 與基于 ASIC 的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性。該 40 功能在無(wú)線網(wǎng)絡(luò)應(yīng)用中非常必要。 防火墻的特色配置 從外觀上看防火墻和傳統(tǒng)的路由器交換機(jī)沒有太大的差別，一部分防火墻具備 CONSOLE 接口通過(guò)超級(jí)終端的方式初始化配置，而另外一 部分則直接通過(guò)默認(rèn)的 LAN 接口和管理地址訪問(wèn)進(jìn)行配置。 通常，堡壘主機(jī)是網(wǎng)絡(luò)上最容易受攻擊的機(jī)器。 31 雙宿主主機(jī)可以用于把一個(gè)內(nèi)部網(wǎng)絡(luò)從一個(gè)不可信的外部網(wǎng)絡(luò)分離出來(lái)。如果內(nèi)容過(guò)濾啟動(dòng)，數(shù)據(jù)流將根據(jù)過(guò)濾的設(shè)置進(jìn)行匹配，通過(guò)或拒絕數(shù)據(jù)。 應(yīng)用防御的技術(shù)問(wèn)題主要包括 :(l)需要對(duì)有效載荷知道得更清楚 。深入檢測(cè)數(shù)據(jù)包有效載荷，識(shí)別并阻止病毒代碼和基于高層協(xié)議的攻擊，以此來(lái)提高應(yīng)用防御能力。 理論上講，數(shù)據(jù)包所有頭部信息以及有效載荷都可以作為判斷包通過(guò)與否的依據(jù)，但是在實(shí)際情況中 ，包過(guò)濾技術(shù)上的問(wèn)題主要是選取哪些字段信息，以及如何有效地利用這些字段信息并結(jié)合訪問(wèn)控制列表來(lái)執(zhí)行包過(guò)濾操作，并盡可能提高安全控制力度。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過(guò) 濾和應(yīng)用代理兩類。同時(shí)升級(jí)一種應(yīng)用時(shí)，相應(yīng)的代理程序也必須同時(shí)升級(jí)。如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包 。防火墻設(shè)備可檢測(cè)試圖穿透防火墻系統(tǒng)的木馬控制端和客戶端程序 。而分布式的拒絕服務(wù)攻擊 (DDoS)攻擊手段則是在傳統(tǒng)的 DoS 攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式，分布式的拒絕服務(wù)攻擊 (DDoS)。 3．認(rèn)證和應(yīng)用代理。二是傳統(tǒng)防火墻的訪問(wèn)控制機(jī)制是一個(gè)簡(jiǎn)單的過(guò)濾機(jī)制。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 (6) 文件系統(tǒng)安全 在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個(gè)關(guān)鍵性的概念，因?yàn)樵L問(wèn)控制實(shí)現(xiàn)在兩個(gè)方面：本地和遠(yuǎn)程。一個(gè)完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。 3）信息的安全性。 個(gè)人防火墻就是在單機(jī) Windows 系統(tǒng)上，采取一些安全防護(hù)措施，使得本機(jī)的息得到一定的保護(hù)。s attention. And how to implement prevention strategies depends first and foremost on the security of the current system. Therefore, the independent work security elementsfirewall, vulnerability scanning, intrusion detection and antivirus risk assessment is necessary. Firewall as a more mature current work security technologies, their safety directly related to the user39。對(duì)本論文（設(shè)計(jì)）的研究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中作了明確說(shuō)明并表示謝意。所以對(duì)網(wǎng)絡(luò)安全的各獨(dú)立元素 —— 防火墻、漏洞掃描、入侵檢測(cè)和反病毒等進(jìn)行風(fēng)險(xiǎn)評(píng)估是很有必要的。而且防火墻能夠?qū)崟r(shí)記錄其它系統(tǒng)試圖對(duì)本機(jī)系統(tǒng)的訪問(wèn)，使計(jì)算機(jī)在連接到互聯(lián)網(wǎng)的時(shí)候避免受到網(wǎng)絡(luò)攻擊和資料泄漏的安全威脅。我國(guó)對(duì)于計(jì)算機(jī)安全的定義是：“計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運(yùn)行。嚴(yán)重時(shí)會(huì)使系統(tǒng)關(guān)機(jī)，網(wǎng)絡(luò)癱瘓。目前，防火墻采取的技術(shù)，主要是包過(guò)濾、應(yīng)用網(wǎng)關(guān)、子網(wǎng)屏蔽等。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過(guò)濾和應(yīng)用代理兩類。目前網(wǎng)絡(luò)安全的三大主要問(wèn)題是 :以拒絕訪問(wèn) (DDOS)為主要代表的網(wǎng)絡(luò)攻擊，以蠕蟲 (Worm)為主要代表的病毒傳播和以垃圾電子郵件(SPAM)為代表的內(nèi)容控制。 2．地址轉(zhuǎn)換。且 FTP 服務(wù)是否支持“匿名”，以及 IIS 版本，是否有可以被成功攻破的 IIS 漏洞，進(jìn)而對(duì)內(nèi)部網(wǎng)絡(luò)的主機(jī)進(jìn)行攻擊。 、木馬及其網(wǎng)絡(luò)蠕蟲。 防火墻的原理及分類 國(guó)際計(jì)算機(jī)安全委員會(huì) ICSA 將防火墻分成三大類 :包過(guò)濾防火墻，應(yīng)用級(jí)代理服務(wù)器 [8]以及狀態(tài)包檢測(cè)防火墻。它的代理功能，就是在防火墻處終止客戶連接并初始化一個(gè)新 20 的連接到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)， 兩個(gè)分組過(guò)濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與 Inter 及內(nèi)部網(wǎng)絡(luò)分離。對(duì)于進(jìn)防火墻的數(shù)據(jù)包，順序正好與此相反，頭部信息逐層剝掉。(4)只檢查包頭信息，而沒有深入檢測(cè)數(shù)據(jù) 包的有效載荷。 動(dòng)態(tài)包過(guò)濾技術(shù)克服了傳統(tǒng)包過(guò)濾僅僅孤立的檢查單個(gè)數(shù)據(jù)包和安全規(guī)則靜態(tài)不可變的缺陷，使得防火墻的安全控制力度更為細(xì)致。服務(wù)分析器根據(jù)數(shù)據(jù)流服務(wù)類型分離內(nèi)容數(shù)據(jù)流，傳送數(shù)據(jù)流到一個(gè)命令解析器中。代理 服務(wù)器 可以算是多宿主主機(jī)防火墻的一種。根據(jù)內(nèi)網(wǎng)的 安全策略，屏蔽路由器可以過(guò)濾掉不允許通過(guò)的數(shù)據(jù)包。一般包括下面幾種 形式： （一）使用多個(gè)堡壘主機(jī) （二）合并內(nèi)部路由器和外部路由器 （三）合并堡壘主機(jī)和外部路由器 （四）合并堡壘主機(jī)和內(nèi)部路由器 （五）使用多個(gè)內(nèi)部路由器 35 （六）使用多個(gè)外部路由器 （七）使用多個(gè)周邊網(wǎng)絡(luò) （八）使用雙宿主主機(jī)與屏蔽子網(wǎng) 第四章 防火墻的配置 硬件連接與實(shí)施 一般來(lái)說(shuō)硬件防火墻和路由交換設(shè)備一樣具備多個(gè)以太接口，速度根據(jù)檔次與價(jià)格不同而在百兆與千兆之間有所區(qū)別。 第二步：通過(guò) firewall packet default permit 設(shè)置默認(rèn)的防火墻策略為 “ 容許通過(guò) ” 。 防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì) 隨著網(wǎng)絡(luò)應(yīng)用的增加，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。感謝他們四年來(lái)的辛勤栽培。 (3)網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化 縱觀防火墻技術(shù)的發(fā)展，黑客入侵系統(tǒng)技術(shù)的不斷進(jìn)步以及網(wǎng)絡(luò)病毒朝智能化和多樣化發(fā)展，對(duì)防火墻技術(shù)的同步發(fā)展提出了更高的要求。 (3)功能擴(kuò)展 功能擴(kuò)展是指一種集成多種功能的設(shè)計(jì)趨勢(shì)，包括 VPN、 AAA、PKI、 IPSec 等附加功能，甚至防病毒、入侵檢測(cè)這樣的主流功能，都被集成到防火墻產(chǎn)品中了，很多時(shí)候我們已經(jīng)無(wú)法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個(gè)功能為主了，即其已經(jīng)逐漸向我們普遍稱之為 IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。 首先當(dāng)企業(yè)外網(wǎng)出口指定 IP 時(shí)配置防火墻參數(shù)。即使入侵者控制了堡壘主機(jī)，他仍然需要通過(guò)內(nèi)網(wǎng)端的屏蔽路由器才能到達(dá)內(nèi)網(wǎng)。主機(jī)屏蔽防火墻體系結(jié)構(gòu)是在防火墻的前面增加了屏蔽路由器。由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時(shí)候代替服務(wù)器或客戶端參與應(yīng)用層的會(huì)話，從而起到了與應(yīng)用代理防火墻相同的控制能力。通過(guò)采用硬件芯片和更加優(yōu)化的算法，可以解決這個(gè)問(wèn)題。如果是新建連接，則檢查靜態(tài)規(guī)則表。即使通過(guò)防火墻的數(shù)據(jù)包有攻擊性或包含病毒代碼，也無(wú)法進(jìn)行控制和阻斷?？紤]包過(guò)濾技術(shù)的發(fā)展過(guò)程，可以認(rèn)為包過(guò)濾的核心問(wèn)題就是如何充分利用數(shù)據(jù)包中各個(gè)字段的信息，并結(jié)合安全策略來(lái)完成防火墻的功能 [11][15] 數(shù)據(jù)表結(jié)構(gòu) 當(dāng)應(yīng)用程序用 TCP 傳送數(shù)據(jù)時(shí)，數(shù)據(jù)被送入?yún)f(xié)議棧中，然后逐個(gè)通過(guò)每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。它工作在 OSI 模型的最高層，掌 握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。包過(guò)濾防火墻的維護(hù)比較困難，定義過(guò)濾規(guī)則也比較復(fù)雜，因?yàn)槿魏我粭l過(guò)濾規(guī)則的不完善都會(huì)給網(wǎng)絡(luò)黑客造成可乘之機(jī)。要求對(duì)使用身份標(biāo)識(shí)和認(rèn)證的機(jī)制，文件 的創(chuàng)建，修改，系統(tǒng)管理的所有操作以及其他有關(guān)安全事件進(jìn)行記錄，以便系統(tǒng)管理員進(jìn)行安全跟蹤。 CGI 就是 Common Gateway Inter—— face 的簡(jiǎn)稱。防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個(gè)子網(wǎng)之間的安全訪問(wèn)。由于這些方法多是人工智能學(xué)科采用的方法 ，因此，又稱為智能防火墻。 第 四代防火墻 1992 年， USC信息科學(xué)院的 BobBraden 開發(fā)出了基于動(dòng)態(tài)包過(guò)濾（ Dynamic packet filter）技術(shù)的第四代防火墻，后來(lái)演變?yōu)槟壳八f(shuō)的狀態(tài)監(jiān)視（ Stateful inspection）技術(shù)。 （ 3）管理措施要標(biāo)準(zhǔn)化、規(guī)范化和科學(xué)化。 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) (1) 數(shù)據(jù)加密 加密就是把明文變成密文，從而使未被授權(quán)的人看不懂它。即黑客非法進(jìn)入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。如假冒 IP 包對(duì)通信雙方進(jìn)行欺騙 :對(duì)主機(jī)大量發(fā)送正數(shù)據(jù)包 [3]進(jìn)行轟炸攻擊，使之際崩潰 。如何建立比較安全的網(wǎng)絡(luò)體系，值得我們關(guān)注研究。 、圖表要求： 1）文字通順，語(yǔ)言流暢，書寫字跡工整，打印字體及大小符合要求，無(wú)錯(cuò)別字， 不準(zhǔn)請(qǐng)他人代寫 2）工程設(shè)計(jì)類題目的圖紙，要求部分用尺規(guī)繪制，部分用計(jì)算機(jī)繪制，所有圖紙應(yīng)符合國(guó)家技術(shù)標(biāo)準(zhǔn)規(guī)范。保密的論文（設(shè)計(jì)）在解密后適用本規(guī)定。據(jù)美國(guó) FBI 統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全問(wèn)題所造成的經(jīng)濟(jì)損失高達(dá) 75 億美元，而全求平均每 20秒鐘就發(fā)生一起 Inter 計(jì)算機(jī)侵入事件。 個(gè)人上網(wǎng)用戶多使用 Windows 操作系統(tǒng)，而 Windows 操作系統(tǒng)， 6 特別是 WindowsXP 系統(tǒng)，本身的安全性就不高。 1）計(jì)算機(jī)病毒的侵襲。這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全 的保障，管理和審計(jì)是安全的防線。 Windows 20xx 操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪問(wèn)控制。 圖 1 表示了防火墻技術(shù)的簡(jiǎn)單發(fā)展歷史。 現(xiàn)在防火墻正在向分布、智能的方向發(fā)展，其中智能防火墻可以很好的解決上面的問(wèn)題。同時(shí)支持 URL 過(guò)濾功能。緩沖區(qū)溢出(Buffer Overflow)攻擊指利用軟件的弱點(diǎn)將任意數(shù)據(jù)添加進(jìn)某個(gè)程序中，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。 其他功能 地址 /MAC 地址綁定。例如， HTTP。此外，代理服務(wù)也對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。也正是由于此。 。 與傳統(tǒng)包過(guò)濾技術(shù)只檢查單個(gè)、孤立的數(shù)據(jù)包不同，動(dòng)態(tài)包過(guò)濾試圖將數(shù)據(jù)包的上下文聯(lián)系起來(lái)，建立一種基于狀態(tài)的包過(guò)濾機(jī)制。應(yīng)用層的內(nèi)容過(guò)濾要求大量的計(jì)算資源，很多情況下高達(dá) 100倍甚至更高。由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時(shí)候代替服務(wù)器或客戶端參與應(yīng)用層的會(huì)話，從而起到了與應(yīng)用代理防火墻相同的控制能力。建立雙宿主主機(jī)的關(guān)鍵是要禁止路由，網(wǎng)絡(luò)之間通信的唯一路徑是通過(guò)應(yīng)用層的代理軟件。可以說(shuō)它只給入侵者一些訪問(wèn)的機(jī)會(huì)，但不是全部。 37 在實(shí)際設(shè)置時(shí)我們必 須將端口劃分到某區(qū)域后才能對(duì)其進(jìn)行各個(gè)訪問(wèn)操作，否則默認(rèn)將阻止對(duì)該接口的任何數(shù)據(jù)通訊。在分組過(guò)濾 (網(wǎng)絡(luò)層 )一級(jí)，過(guò)濾掉所有的源路由分組和假冒的IP 源地址；在傳輸層一級(jí)，遵循過(guò)濾規(guī)則，過(guò)濾掉所有禁止出或 /和入的協(xié)議和有害數(shù)據(jù)包如 nuke 包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān) (應(yīng)用層 )一級(jí)，能利用 FTP、 SMTP 等各種網(wǎng)關(guān)，控制和監(jiān)測(cè) Inter 提供的所用通用服務(wù)。這樣的防火墻就可以同時(shí)滿足來(lái)自靈活性和運(yùn)行性能的要求。那種感覺就宛如在一場(chǎng)盛大的頒獎(jiǎng)晚會(huì)上，我在晚會(huì)現(xiàn)場(chǎng)看著其他人一個(gè)接著一個(gè)上臺(tái)領(lǐng)獎(jiǎng)，自己卻始終未能被念到名字，經(jīng)過(guò)了很長(zhǎng)很長(zhǎng)的時(shí)間后，終于有位嘉賓高喊我的大