【文章內(nèi)容簡(jiǎn)介】 器或網(wǎng)絡(luò)層防火墻，它工作在網(wǎng)絡(luò)層和傳輸層。它基于單個(gè)數(shù)據(jù)包實(shí)施網(wǎng)絡(luò)控制，根據(jù)所收到的數(shù)據(jù)包的源 IP 地址、目的IP 地址、 TCP/UDP 源端口號(hào)及目標(biāo)端口號(hào)、 ICMP 消息類型、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志等為參數(shù)，與用戶預(yù)定的訪問(wèn)控制表進(jìn)行比較，決定數(shù)據(jù)是否符合預(yù)先制定的安全策略，決定數(shù)據(jù)包的轉(zhuǎn)發(fā)或丟棄，即實(shí)施過(guò)濾。 肇慶工商職業(yè)技術(shù)學(xué)院 2020 屆畢業(yè)設(shè)計(jì)（論文） 5 代理服務(wù)器型防火墻通常 由兩部分構(gòu)成，服務(wù)器端程序和客戶端程序。客戶端程序與中間節(jié)點(diǎn)連接，中間節(jié)點(diǎn)再與提供服務(wù)的服務(wù)器實(shí)際連接。 復(fù)合型防火墻將包過(guò)濾和代理服務(wù)兩種方法結(jié)合起來(lái)，形成新的防火墻，由堡壘主機(jī)提供代理服務(wù)。 各類防火墻路由器和各種主機(jī)按其配置和功能可組成各種類型的防火墻，主要有：雙宿主主機(jī)防火墻，它是由堡壘主機(jī)充當(dāng)網(wǎng)關(guān)，并在其上運(yùn)行防火墻軟件，內(nèi)外網(wǎng)之間的必須經(jīng)過(guò)堡壘主機(jī)；主機(jī)過(guò)濾防火墻是指一個(gè)包過(guò)濾路由器與外部網(wǎng)相連，同時(shí)，一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)上，使堡壘主機(jī)成為外部網(wǎng)所能到達(dá)的惟一節(jié)點(diǎn)，從而確保內(nèi)部網(wǎng)不受外部非授 權(quán)用戶的攻擊；加密路由器對(duì)通過(guò)路由器的信息流進(jìn)行加密和壓縮，然后通過(guò)外部網(wǎng)絡(luò)傳輸?shù)侥康亩诉M(jìn)行解壓縮和解密。 防火墻的功能 一般來(lái)說(shuō)，防火墻具有以下幾種功能： ① 能夠防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。 ② 可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并報(bào)警。 ③ 可以作為部署 NAT（網(wǎng)絡(luò)地址變換）的地點(diǎn)，利用 NAT 技術(shù)，將有限的 IP 地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的 IP 地址對(duì)應(yīng)起來(lái)，用來(lái)緩解地址空間短缺的問(wèn)題。 ④ 可以連接到一個(gè)單獨(dú)的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開(kāi)，并在此部署 WWW服務(wù)器和 FTP 服務(wù)器，將其作為向外部 發(fā)布內(nèi)部信息的地點(diǎn)。從技術(shù)角度來(lái)講，就是所謂的停火區(qū)（ DMZ）。 肇慶工商職業(yè)技術(shù)學(xué)院 2020 屆畢業(yè)設(shè)計(jì)（論文） 6 第二章 企業(yè)網(wǎng)絡(luò)安全 企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀 計(jì)算機(jī)網(wǎng)絡(luò)在不斷發(fā)展，數(shù)字信息化已成為全球發(fā)展趨勢(shì)。但是隨著網(wǎng)絡(luò)資源的強(qiáng)大共享，許多敏感以及保密信息會(huì)遭到主動(dòng)或被動(dòng)的攻擊，特別對(duì)于企業(yè)來(lái)說(shuō)，保密信息何其重要，由此，網(wǎng)絡(luò)安全問(wèn)題逐漸被重視起來(lái)。網(wǎng)絡(luò)的開(kāi)放性與共享性致使其易遭黑客以及病毒或是惡意軟件的攻擊，導(dǎo)致信息泄露或是程序被篡改等問(wèn)題的產(chǎn)生。當(dāng)網(wǎng)絡(luò)規(guī)模發(fā)展越來(lái)越大的時(shí)候，網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越嚴(yán)峻和復(fù)雜。為確保企業(yè)的信息安全和網(wǎng)絡(luò) 暢通，對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題的解決措施和防范措施已迫在眉睫。伴隨著信息產(chǎn)業(yè)與信息技術(shù)的發(fā)展，企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全問(wèn)題也日漸凸顯。數(shù)據(jù)顯示，我國(guó)當(dāng)前的互聯(lián)網(wǎng)使用數(shù)量已排在世界第二位。而同時(shí)，利用互聯(lián)網(wǎng)的犯罪行為在以每年 30%的速度在增長(zhǎng)。這些數(shù)據(jù)表明我國(guó)的網(wǎng)絡(luò)信息安全已遠(yuǎn)落后于發(fā)達(dá)國(guó)家，因此，對(duì)我國(guó)安全形勢(shì)的了解是十分重要的。 企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的不安全因素 計(jì)算機(jī)病毒的危害是大家所熟悉的。這種問(wèn)題很常見(jiàn)。病毒的變異速度很快，即使我們的電腦上都安裝了殺毒軟件，也還是會(huì)受到新型病毒的攻 擊。嚴(yán)重時(shí)可能會(huì)致使企業(yè)網(wǎng)絡(luò)局部或全部癱瘓。如特洛伊木馬，這種木馬程序當(dāng)前是黑客們常用的一種攻擊手段，木馬會(huì)掛在一些鏈接和網(wǎng)頁(yè)上，通過(guò)用用戶點(diǎn)擊訪問(wèn)，在Windows 系統(tǒng)下潛藏并在用戶聯(lián)網(wǎng)時(shí)，通過(guò)服務(wù)器與客戶端的運(yùn)行，實(shí)現(xiàn)對(duì)用戶肇慶工商職業(yè)技術(shù)學(xué)院 2020 屆畢業(yè)設(shè)計(jì)（論文） 7 電腦的遠(yuǎn)程操作。對(duì)于使用計(jì)算機(jī)網(wǎng)絡(luò)的企業(yè)來(lái)說(shuō)，計(jì)算機(jī)病毒是十分具有威脅性的。 對(duì)于一個(gè)已經(jīng)實(shí)施完成并投入使用的計(jì)算機(jī)網(wǎng)絡(luò)工程來(lái)說(shuō)，被允許無(wú)限制的擴(kuò)展是不可能的，更不用說(shuō)不符合規(guī)范的擴(kuò)展方式。有些企業(yè)用戶自作主張將本部門(mén)的計(jì)算機(jī)聯(lián)上企業(yè)的網(wǎng)絡(luò)，甚至擅自在網(wǎng)絡(luò)上增 加網(wǎng)絡(luò)集線器。這些做法會(huì)改變網(wǎng)絡(luò)結(jié)構(gòu)，這會(huì)影響到整個(gè)網(wǎng)絡(luò)系統(tǒng)的速度和應(yīng)用效果。所以系統(tǒng)的擴(kuò)展要受到企業(yè)技術(shù)部門(mén)的審核和批準(zhǔn)，確保網(wǎng)絡(luò)系統(tǒng)的擴(kuò)展符合網(wǎng)絡(luò)結(jié)構(gòu)的規(guī)劃。 3．網(wǎng)絡(luò)安全管理制度不嚴(yán)格 企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理制度不嚴(yán)格，網(wǎng)絡(luò)安全體系管理失敗的原因之一。網(wǎng)絡(luò)升級(jí)不及時(shí)或管理員配置不當(dāng)都會(huì)造成安全漏洞。用戶口令保密強(qiáng)度低，軟件下載網(wǎng)站隨意，用戶安全意識(shí)不強(qiáng)，把自己的用戶密碼隨意借給別人使用會(huì)隨意資源共享 ， 這都 使 網(wǎng)絡(luò)安全處于威脅之中。 安全防護(hù)措施 隨著計(jì)算機(jī)技術(shù)的迅猛發(fā)展，病毒 也愈加的復(fù)雜很難以應(yīng)付，對(duì)計(jì)算機(jī)的信息系統(tǒng)也構(gòu)成了很大的威脅。企業(yè)中普遍使用的防毒軟件，按功能分類可以分為網(wǎng)絡(luò)殺毒軟件和單機(jī)殺毒軟件兩種。單機(jī)殺毒軟件通常裝在單獨(dú)的電腦上，就是對(duì)本地網(wǎng)絡(luò)連接接受遠(yuǎn)程資源運(yùn)用分析掃描的方式進(jìn)行檢測(cè)、清理病毒。網(wǎng)絡(luò)殺毒軟件相對(duì)而言比較注重防護(hù)網(wǎng)絡(luò)上的病毒，病毒一旦入侵網(wǎng)絡(luò)或是由網(wǎng)絡(luò)向其它資源傳染。殺毒軟件會(huì)及時(shí)檢測(cè)并加以刪除。 肇慶工商職業(yè)技術(shù)學(xué)院 2020 屆畢業(yè)設(shè)計(jì)（論文） 8 2．?dāng)?shù)據(jù)加密 加密是指通過(guò)一種方式使數(shù)據(jù)信息混亂，從而使未授權(quán)人無(wú)法識(shí)別。加密方式用兩種：私匙加密與公匙加密。 私匙加密 私匙加密也稱為對(duì)稱密 匙加密。因?yàn)橛脕?lái)給信息加密的密匙同時(shí)也是為信息解密的密匙。私匙加密的產(chǎn)生使信息的緊密性跟進(jìn)了一步。它并非提供認(rèn)證，因?yàn)樵撁艹椎娜魏我粋€(gè)使用者都可以隨意創(chuàng)建和加密一則有效信息。這種方法的優(yōu)勢(shì)在于速度較快，容易在軟件和硬件中實(shí)現(xiàn)。 公匙加密 這種加密方式出現(xiàn)的較晚，與私匙加密不同的是，私匙加密用的是同一個(gè)密匙加密和解密，而公匙加密使用的是兩個(gè)密匙，一個(gè)用于加密，一個(gè)用于解密。這種方式相較于私匙加密的缺陷在于，這種方式屬于計(jì)算密集型，相對(duì)速度較慢。但如如果將這兩種方式結(jié)合起來(lái)，就會(huì)得到一個(gè)更為復(fù)雜的系統(tǒng)， 得到更為顯著的效果。 數(shù)字簽名是一種運(yùn)用加密手段來(lái)認(rèn)證電子信息的方式。這種方式的效果及安全性能取決去計(jì)算機(jī)網(wǎng)絡(luò)用戶私匙安全防護(hù)的哈希函數(shù)。這種技術(shù)基于加密技術(shù)而產(chǎn)生?？梢杂没旌霞用芩惴?，對(duì)稱加密算法和非對(duì)稱加密算法來(lái)實(shí)現(xiàn)。 4. 防火墻技術(shù)的使用 防火墻是由硬件和軟件組成的系統(tǒng)。用于控制兩個(gè)網(wǎng)絡(luò)之間的接入。有防火墻保護(hù)的網(wǎng)絡(luò)是可信賴的網(wǎng)絡(luò)，沒(méi)有防火墻保護(hù)的因特網(wǎng)是不可信賴的。網(wǎng)絡(luò)發(fā)給計(jì)算機(jī)的所有數(shù)據(jù)都要先經(jīng)過(guò)互聯(lián)網(wǎng)的判斷，判斷信息是否安全，再?zèng)Q定是否肇慶工商職業(yè)技術(shù)學(xué)院 2020 屆畢業(yè)設(shè)計(jì)（論文） 9 傳給電腦。如果發(fā)現(xiàn)有不安全信息，防火墻會(huì) 自動(dòng)攔截，從而使企業(yè)的計(jì)算機(jī)系統(tǒng)得到實(shí)時(shí)防護(hù)。 對(duì)于網(wǎng)絡(luò)安全的不穩(wěn)定性，除了要對(duì)網(wǎng)絡(luò)設(shè)計(jì)上開(kāi)設(shè)安全服務(wù)功能并完善系統(tǒng)安全的保密措施外，嚴(yán)密計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度的事實(shí)同樣是建立安全網(wǎng)絡(luò)的基礎(chǔ)。只有結(jié)合安全管理制度與安全管理手段，整個(gè)網(wǎng)絡(luò)的安全才得以保障。 肇慶工商職業(yè)技術(shù)學(xué)院 2020 屆畢業(yè)設(shè)計(jì)（論文） 10 第三章 防火墻技術(shù)在企業(yè)中的應(yīng)用 防火墻的重要性 為了維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的安全，人們提出了許多手段和方法，采用防火墻是其中最主要、最核心、最有效的手段之一。防火墻是網(wǎng)絡(luò)安全政策的有 機(jī)組成部分，它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)施對(duì)網(wǎng)絡(luò)安全的有效管理。 隨著互聯(lián)網(wǎng)應(yīng)用的日益普及，網(wǎng)絡(luò)已成為主要的數(shù)據(jù)傳輸和信息交換平臺(tái)，許多部門(mén)和企業(yè)在網(wǎng)上構(gòu)建了關(guān)鍵的業(yè)務(wù)流程，電子政務(wù)和電子商務(wù)將成為未來(lái)主流的運(yùn)作模式。網(wǎng)絡(luò)安全和信息安全是保障網(wǎng)上業(yè)務(wù)正常進(jìn)行的關(guān)鍵，并已日益成為網(wǎng)絡(luò)用戶普遍關(guān)注的焦點(diǎn)問(wèn)題。因此，網(wǎng)絡(luò)安全成為這兩年 IT 業(yè)內(nèi)的熱點(diǎn)話題，而防火墻更是熱點(diǎn)中的一個(gè)焦點(diǎn)。因?yàn)椋阑饓κ瞧髽I(yè)網(wǎng)絡(luò)安全的最重要的守護(hù)者。 防火墻的功能 （ 1）防火墻是網(wǎng)絡(luò)安全的屏障： 一個(gè) 防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通