【文章內(nèi)容簡(jiǎn)介】 業(yè)心、責(zé)任心的培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。 （ 2）建立完善的安全管理體制和制度，以起到對(duì)管理人員和操作人員鼓勵(lì)和監(jiān)督的作用。 （ 3）管理措施要標(biāo)準(zhǔn)化 、規(guī)范化和科學(xué)化。 8 大學(xué)畢業(yè)論文 第三章 防火墻概述 隨著 Inter 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來(lái)越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多 。同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問(wèn)題，使得網(wǎng)絡(luò)安全問(wèn)題越來(lái)越突出。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問(wèn)，阻止病毒的傳播感染顯得尤為重要。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過(guò)濾和應(yīng)用代理兩類。其中包過(guò)濾作為最早發(fā)展起來(lái)的一種技術(shù)，其應(yīng)用非常廣泛。 防火墻的概念 防火墻是設(shè)置在被保護(hù) 網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。 [4]防火墻是指設(shè)置在不同網(wǎng)絡(luò) (如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng) )或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制 (允許、拒絕、監(jiān)測(cè) )出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻提供信息安全服務(wù)，是實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間 的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。 傳統(tǒng)防火墻介紹 目前的防火墻技術(shù)無(wú)論從技術(shù)上還是從產(chǎn)品發(fā)展歷程上，都經(jīng)歷了五個(gè)發(fā)展歷程。圖 1表示了防火墻技術(shù)的簡(jiǎn)單發(fā)展歷史。 圖 1 第一代防火墻 第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過(guò)濾（ Packet filter）技術(shù)。 第二代、第三代防火墻 1989年，貝爾實(shí)驗(yàn)室的 Dave Presotto和 Howard Trickey推 9 大學(xué)畢業(yè)論文 出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻 ——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。 第四代防火墻 1992年， USC信息科學(xué)院的 BobBraden開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾（ Dynamic packet filter）技術(shù)的第四代防火墻，后來(lái)演變?yōu)槟壳八f(shuō)的狀態(tài)監(jiān)視（ Stateful inspection）技術(shù)。 1994年，以色列的 CheckPoint公司開(kāi)發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。 第五代防火墻 1998 年， NAI 公司推出了一種自適應(yīng)代理（ Adaptive proxy）技術(shù)，并在其產(chǎn)品 Gauntlet Firewall for NT 中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。 [5] 但傳統(tǒng)的防火墻并沒(méi)有解決目前網(wǎng)絡(luò)中主要的安全問(wèn)題。目前網(wǎng)絡(luò)安全的三大主要問(wèn)題是 :以拒絕訪問(wèn) (DDOS)為主要代表的網(wǎng)絡(luò)攻擊，以蠕蟲(chóng) (Worm)為主要代表的病毒傳播和以垃圾電子郵件 (SPAM)為代表的內(nèi)容控制。這三大安全問(wèn)題占據(jù)網(wǎng)絡(luò)安全問(wèn)題九成以上。而這三大問(wèn)題，傳統(tǒng)防火墻都無(wú)能為力。主要有以下三個(gè)原因 : 一是傳統(tǒng)防火墻的計(jì)算能力的限制。傳統(tǒng)的防火墻是以高強(qiáng)度的檢查為代價(jià)，檢查的強(qiáng)度越高，計(jì)算的代價(jià)越大。二是傳統(tǒng)防火墻的訪 問(wèn)控制機(jī)制是一個(gè)簡(jiǎn)單的過(guò)濾機(jī)制。它是一個(gè)簡(jiǎn)單的條件過(guò)濾器，不具有智能功能，無(wú)法檢測(cè)復(fù)雜的攻擊。三是傳統(tǒng)的防火墻無(wú)法區(qū)分識(shí)別善意和惡意的行為。該特征決定了傳統(tǒng)的防火墻無(wú)法解決惡意的攻擊行為。 現(xiàn)在防火墻正在向分布、智能的方向發(fā)展，其中智能防火墻可以很好的解決上面的問(wèn)題。 智能防火墻簡(jiǎn)介 智能防火墻 [6]是相對(duì)傳統(tǒng)的防火墻而言的，從技術(shù)特征上智能防火墻是利用統(tǒng)計(jì)、記憶、概率和決策的智能方法來(lái)對(duì)數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪問(wèn)控制的目的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特 征值，直接進(jìn)行訪問(wèn)控制。由于這些方法多是人工智能學(xué)科采用的方法，因此，又稱為智能防火墻。 10 大學(xué)畢業(yè)論文 防火墻的功能 防火墻的主要功能 1．包過(guò)濾。 包過(guò)濾是一種網(wǎng)絡(luò)的數(shù)據(jù)安全保護(hù)機(jī)制，它可用來(lái)控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設(shè)置可基于源地址、源端口、目的地址、目的端口、協(xié)議和時(shí)間 ?？筛鶕?jù)地址簿進(jìn)行設(shè)置規(guī)則。 2．地址轉(zhuǎn)換。 網(wǎng)絡(luò)地址變換是將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的 IP 地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換 Source NAT(SNAT)和目的地址轉(zhuǎn)換 Destination NAT(DNAT)。 SNAT用于對(duì)內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì)外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來(lái)自外部其他網(wǎng)絡(luò)的非授權(quán)訪問(wèn)或惡意攻擊。并將有限的 IP 地址動(dòng)態(tài)或靜態(tài)的與內(nèi)部 IP 地址對(duì)應(yīng)起來(lái)，用來(lái)緩解地址空間的短缺問(wèn)題，節(jié)省資源，降低成本。 DNAT 主要用于外網(wǎng)主機(jī)訪問(wèn)內(nèi)網(wǎng)主機(jī)。 3．認(rèn)證和應(yīng)用代理。 認(rèn)證指防火墻對(duì)訪問(wèn)網(wǎng)絡(luò)者合法身分的確定。代理指防火墻內(nèi)置用戶認(rèn)證數(shù)據(jù)庫(kù) 。提供HTTP、 FTP 和 SMTP代理功能，并可對(duì)這三種協(xié)議進(jìn)行訪問(wèn)控制 。同時(shí)支持 URL過(guò)濾功能。 4．透明和路由 指防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對(duì)互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問(wèn)，同時(shí)阻止了外部未授權(quán)訪問(wèn)者對(duì)專用網(wǎng)絡(luò)的非法訪問(wèn) 。防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個(gè)子網(wǎng)之間的安全訪問(wèn)。 入侵檢測(cè)功能 入侵檢測(cè)技術(shù) [7]就是一種主動(dòng)保護(hù)自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技術(shù)，包括以下內(nèi)容 : 。端口掃描就是指黑客通過(guò)遠(yuǎn)程端口掃描的工具，從中發(fā)現(xiàn)主機(jī)的哪些非常用端口是打開(kāi)的 。是否支持 FTP、 Web 服務(wù) 。且 FTP 服務(wù)是否支持 “匿名 ”，以及 IIS版本，是否有可以被成功攻破的 IIS漏洞，進(jìn)而對(duì)內(nèi)部網(wǎng)絡(luò)的主機(jī)進(jìn)行攻擊。顧名思義反端口掃描就是防范端口掃描的方法，目前常用的方法有 :關(guān)閉閑置和有潛在危險(xiǎn)的端口 。檢查各端口，有端口掃描的癥狀時(shí)，立即屏蔽該端口，多數(shù)防火墻設(shè)備采用的都是這種反端口掃描方式。 。拒絕服務(wù) (DoS)攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到服務(wù)的響應(yīng)，其攻擊方式有很多種 。 11 大學(xué)畢業(yè)論文 而分布式的拒絕服務(wù)攻擊 (DDoS)攻擊手段則是在傳統(tǒng)的 DoS 攻擊基礎(chǔ)之上 產(chǎn)生的一類攻擊方式，分布式的拒絕服務(wù)攻擊 (DDoS)。其原理很簡(jiǎn)單，就是利用更多的受控主機(jī)同時(shí)發(fā)起進(jìn)攻，以比 DoS 更大的規(guī)模 (或者說(shuō)以更高于受攻主機(jī)處理能力的進(jìn)攻能力 )來(lái)進(jìn)攻受害者?，F(xiàn)在的防火墻設(shè)備通常都可檢測(cè) Synflod、 Land、 Ping of Death、 TearDrop、 ICMP flood和 UDPflod等多種 DOS/DDOS攻擊。 (Buffer Overflow)。緩沖區(qū)溢出 (Buffer Overflow)攻擊指利用軟件的弱點(diǎn)將任意數(shù)據(jù)添加進(jìn)某個(gè)程序中，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作，防火墻設(shè)備可檢測(cè)對(duì) FTP、 Tel、 SSH、 RPC和 SMTP 等服務(wù)的遠(yuǎn) 程堆棧溢出入侵。 CGI/IIS服務(wù)器入侵。 CGI就是 Common Gateway Inter——face的簡(jiǎn)稱。是 World Wide Web主機(jī)和 CGI程序間傳輸資訊的定義。 IIS就是 Inter Information server的簡(jiǎn)稱，也就是微軟的 Inter信息服務(wù)器。防火墻設(shè)備可檢測(cè)包括針對(duì) Unicode、 ASP 源碼泄漏、 PHF、NPH、 CGI/IIS進(jìn)行的探測(cè)和攻擊方式。 、木馬及其網(wǎng)絡(luò)蠕蟲(chóng)。后門(mén)程序是指采用 某種方法定義出一個(gè)特殊的端口并依靠某種程序在機(jī)器啟動(dòng)之前自動(dòng)加載到內(nèi)存，強(qiáng)行控制機(jī)器打開(kāi)那個(gè)特殊的端口的程序。木馬程序的全稱是 “特洛依木馬 ”，它們是指尋找后門(mén)、竊取計(jì)算機(jī)的密碼的一類程序。網(wǎng)絡(luò)蠕蟲(chóng)病毒分為 2類，一種是面向企業(yè)用戶和局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動(dòng)進(jìn)行攻擊，可以對(duì)整個(gè)互聯(lián)網(wǎng)造成癱瘓性的后果，以 “紅色代碼 ”， “尼姆達(dá) ”，以及最新的 “sql蠕蟲(chóng)王 ”為代表。另外一種是針對(duì)個(gè)人用戶的，通過(guò)網(wǎng)絡(luò) (主要是電子郵件，惡意網(wǎng)頁(yè)形式 )迅速傳播的蠕蟲(chóng)病毒，以愛(ài)蟲(chóng)病毒，求職信病毒為例。防火墻設(shè)備可檢測(cè)試圖穿 透防火墻系統(tǒng)的木馬控制端和客戶端程序 。檢測(cè)試圖穿透防火墻系統(tǒng)的蠕蟲(chóng)程序。 虛擬專網(wǎng)功能 指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)安全的 “加密通道 ”在公共網(wǎng)絡(luò)中傳播。 VPN的基本原理是通過(guò) IP包的封裝及加密、認(rèn)證等手段，從而達(dá)到安全的目的。 其他功能 地址 /MAC地址綁定?？芍С秩我痪W(wǎng)絡(luò)接口的 IP地址和 MAC地址的綁 12 大學(xué)畢業(yè)論文 定，從而禁止用戶隨意修改 IP地址。 。要求對(duì)使用身份標(biāo)識(shí)和認(rèn)證的機(jī)制，文件的創(chuàng)建，修改，系統(tǒng)管理的所有操作以及其他有關(guān)安 全事件進(jìn)行記錄，以便系統(tǒng)管理員進(jìn)行安全跟蹤。一般防火墻設(shè)備可以提供三種日志審計(jì)功能 :系統(tǒng)管理日志、流量日志和入侵日志。 。內(nèi)置特殊站點(diǎn)數(shù)據(jù)庫(kù)，用戶可選擇是否封禁色情、反動(dòng)和暴力等特殊站點(diǎn)。 防火墻的原理及分類 國(guó)際計(jì)算機(jī)安全委員會(huì) ICSA 將防火墻分成三大類 :包過(guò)濾防火墻，應(yīng)用級(jí)代理服務(wù)器 [8]以及狀態(tài)包檢測(cè)防火墻。 包過(guò)濾防火墻 顧名思義，包過(guò)濾防火墻 [9]就是把接收到的每個(gè)數(shù)據(jù)包同預(yù)先設(shè)定的包過(guò)濾規(guī)則相比較，從而決定是否阻塞或通過(guò)。過(guò)濾規(guī)則是基于網(wǎng)絡(luò)層 IP 包包頭信息的比較。包過(guò)濾防火墻工作在網(wǎng)絡(luò)層，