【文章內(nèi)容簡介】 的IP地址、查找一個相對簡單的路由表，而后將信息包順向運行到適當(dāng)轉(zhuǎn)發(fā)接口。如果過濾可執(zhí)行，Router還必須對每個包執(zhí)行所有過濾規(guī)則。這可能消耗CPU的資源，并影響一個完全飽和的系統(tǒng)性能。 應(yīng)用網(wǎng)關(guān)為了克服與包過濾路由器相關(guān)聯(lián)的某些弱點,防火墻需要使用應(yīng)用軟件來轉(zhuǎn)發(fā)和過濾Telnet和Ftp等服務(wù)的連接。這樣一種應(yīng)用叫做代理服務(wù)，而運行代理服務(wù)軟件的主系統(tǒng)叫做應(yīng)用網(wǎng)關(guān)。應(yīng)用網(wǎng)關(guān)和包過濾路由器可以組合在一起使用，以獲得高于單獨使用的安全性和靈活性。作為一個例子，請考慮一個用包過濾路由器封鎖所有輸入Telnet 和Ftp 連接的網(wǎng)點。路由器允許Telnet和Ftp包只通過一個主系統(tǒng)，即Telnet/Ftp應(yīng)用網(wǎng)關(guān)，然后再連接到目的主系統(tǒng)，過程如下：，并輸入內(nèi)部主系統(tǒng)的名字；，并根據(jù)任何合適的訪問準(zhǔn)則接受或拒絕；（可使用一次性口令裝置）；；，代理服務(wù)軟件在兩個連接之間傳送數(shù)據(jù)；。這一例子指出了使用代理服務(wù)軟件的幾個好處。第一，代理服務(wù)軟件只允許有代理的服務(wù)通過。換句話說，如果應(yīng)用網(wǎng)關(guān)包含Telnet和Ftp的代理軟件，則只有Ftp和Telnet被允許進入受保護的子網(wǎng)，而其它所有服務(wù)都完全被封鎖住。對有些網(wǎng)點來說，這種程度的安全性是很重要的，因為它保證，只有那些被認(rèn)為“可信賴的”服務(wù)才被允許通過防火墻。它還防止其他不可靠的服務(wù)不會背著防火墻管理人員實施。使用代理服務(wù)的另一好處是可以過濾協(xié)議。例如，有些防火墻可以過濾FTP連接，并拒絕使用FTP 協(xié)議中的 put 命令。如果人們要保證用戶不能寫到匿名FTP服務(wù)器軟件，則這一點是很有用的。應(yīng)用網(wǎng)關(guān)有三種基本的原型，分別適用于不同的網(wǎng)絡(luò)規(guī)模。* 雙穴主機網(wǎng)關(guān)（DualHomed Gateway）* 屏蔽主機網(wǎng)關(guān)（Screened Host Gateway)* 屏蔽子網(wǎng)網(wǎng)關(guān)（Screened Subnet Gateway）這三種原型有一個共同的特點，就是都需要一臺主機（如上面所述一樣）,通常稱為橋頭堡主機(Bastion Host)。該主機充當(dāng)應(yīng)用程序轉(zhuǎn)發(fā)者、通信登記者以及服務(wù)提供者的角色。因此，保護該主機的安全性是至關(guān)重要的，建立防火墻時，應(yīng)將較多的注意力放在該主機上。* 雙穴主機網(wǎng)關(guān)該原型的結(jié)構(gòu)如下圖所示。其中，橋頭堡主機充當(dāng)網(wǎng)關(guān)，因此，需要在此主機中裝兩塊網(wǎng)卡，并在其上運行防火墻軟件。受保護網(wǎng)與Internet之間不能直接進行通信，必須經(jīng)過橋頭堡主機，因此，不必顯示地列出受保護網(wǎng)與不受保護網(wǎng)之間的路由，從而達到受保護網(wǎng)除了看到橋頭堡主機之外，不能看到其他任何系統(tǒng)的效果。同時，橋頭堡主機不轉(zhuǎn)發(fā)TCP/IP包，網(wǎng)絡(luò)中的所有服務(wù)都必須由此主機的相應(yīng)代理程序支持。由于雙穴主機網(wǎng)關(guān)容易安裝，所需的硬件設(shè)備也較少，且容易驗證其正確性，因此，這是一種使用較多的紡火墻。雙穴主機網(wǎng)關(guān)最致命的弱點是:一旦防火墻被破壞，橋頭堡主機實際上就變成了一臺沒有尋徑功能的路由器，一個有經(jīng)驗的攻擊者就能使它尋徑，從而使受保護網(wǎng)完全開放并受到攻擊。例如，在基于Unix的雙穴主機網(wǎng)關(guān)中，通常是先修改一個名叫IPforwarding的內(nèi)核變量，來禁止橋頭堡主機的尋徑能力，非法攻擊者只要能獲得網(wǎng)關(guān)上的系統(tǒng)特權(quán)，就能修改此變量，使橋頭堡主機恢復(fù)尋徑能力，以進行攻擊。* 屏蔽主機網(wǎng)關(guān)該原型的結(jié)構(gòu)如下圖所示。其中，橋頭堡主機在受保護網(wǎng)中，將帶有包屏蔽功能的路由器置于保護網(wǎng)和Internet之間，它不允許Internet對保護網(wǎng)的直接訪問，只允許對受保護網(wǎng)中橋頭堡主機的訪問。與雙穴網(wǎng)關(guān)類似，橋頭堡主機運行防火墻軟件。屏蔽主機網(wǎng)關(guān)是一種很靈活的防火墻，它可以有選擇地允許那些值得信任的應(yīng)用程序通過路由器。但它不像雙穴網(wǎng)關(guān)，只需注意橋頭堡主機的安全性即可，它必須考慮兩方面的安全性，即橋頭堡主機和路由器。如果路由器中的訪問控制列表允許某些服務(wù)能夠通過路由器，則防火墻管理員不僅要管理橋頭堡主機中的訪問控制表，還要管理路由器中的訪問控制列表，并使它們互相協(xié)調(diào)。當(dāng)路由器允許通過的服務(wù)數(shù)量逐漸增多時，驗證防火墻的正確性就會變得越來越困難。* 屏蔽子網(wǎng)網(wǎng)關(guān)該原型的結(jié)構(gòu)如下圖所示。其中，一個小型的獨立網(wǎng)絡(luò)放在受保護網(wǎng)與Internet之間，對這個網(wǎng)絡(luò)的訪問受到路由器中屏蔽規(guī)則的保護。因此，屏蔽子網(wǎng)中的主機是唯一一個受保護網(wǎng)和Internet都能訪問到的系統(tǒng)。從理論上來說，這也是一種雙穴網(wǎng)關(guān)的方法，只是將其應(yīng)用到了網(wǎng)絡(luò)上。防火墻被破壞后，它會出現(xiàn)與雙穴主機網(wǎng)關(guān)同樣的問題。不同的是，在雙穴主機網(wǎng)關(guān)中只需配置橋頭堡主機的尋徑功能，而在屏蔽子網(wǎng)網(wǎng)關(guān)中則需配置三個網(wǎng)絡(luò)（受保護網(wǎng)、屏蔽子網(wǎng)和Internet）之間的尋徑功能，即先要闖入橋頭堡主機，再進入受保護網(wǎng)中的某臺主機，然后返回包屏蔽路由器，分別進行配置。這對攻擊者來說顯然是極其困難的。另外，由于Internet很難直接與受保護網(wǎng)進行通信，因此，防火墻管理員不需指出受保護網(wǎng)到Internet之間的路由。這對于保護大型網(wǎng)絡(luò)來說是一種很好的方法。應(yīng)用網(wǎng)關(guān)的一個缺點是，就Telnet 等客戶機服務(wù)器協(xié)議來說，需要采取兩個步驟來連接輸入信息或輸出信息。有些應(yīng)用網(wǎng)關(guān)需要經(jīng)過修改的客戶機，這一點既可看作是缺點，也可看作是優(yōu)點，視修改的客戶機是否更加容易使用防火墻而定。Telnet應(yīng)用網(wǎng)關(guān)不一定需要經(jīng)過修改的Telnet客戶機，但是，它需要修改用戶行為：用戶必須連接到防火墻(但不記錄)，而不是直接連接到主系統(tǒng)。但是，經(jīng)過修改的Telnet客戶機可以使防火墻透明，因為它允許用戶用Telnet命令規(guī)定目的系統(tǒng)(不是防火墻)。防火墻起著通向目的系統(tǒng)通道的作用，從而攔截連接，再按需完成其他步驟，如查詢一次性口令。用戶行為仍然是相同的，但其代價是每個系統(tǒng)需要一個經(jīng)過修改的客戶機。除了Telnet 外，應(yīng)用網(wǎng)關(guān)一般用于Ftp 和電子郵件，同時也用于XWindows和其他某些服務(wù)。有些Ftp應(yīng)用網(wǎng)關(guān)包括拒絕特定主系統(tǒng)的put 和get 命令的能力。例如，一個已同內(nèi)部系統(tǒng)(如匿名Ftp服務(wù)器)建立Ftp對話(通過Ftp應(yīng)用網(wǎng)關(guān))的外部用戶，可能試圖把文件上裝到服務(wù)器。應(yīng)用網(wǎng)關(guān)可以過濾Ftp協(xié)議,并拒絕把所有puts命令發(fā)送給匿名Ftp服務(wù)器；這將保證沒有文件能上裝到服務(wù)器，而且所提供的確信程度要高于只依賴由設(shè)置正確的匿名Ftp服務(wù)器進行的文件許可。電子郵件應(yīng)用網(wǎng)關(guān)可集中收集電子郵件，并把它分發(fā)給內(nèi)部主系統(tǒng)和用戶。對外部用戶來說，所有內(nèi)部用戶都擁有電子郵件地址，其格式為：user@host 其中,host是電子郵件網(wǎng)關(guān)的名字。網(wǎng)關(guān)會接受外部用戶的郵件，然后按需把郵件轉(zhuǎn)發(fā)到其他內(nèi)部系統(tǒng)。從內(nèi)部系統(tǒng)發(fā)送電子郵件的用戶可以從其主系統(tǒng)直接發(fā)送電子郵件，否則在內(nèi)部系統(tǒng)名字只有受保護的子網(wǎng)知道的情況下，郵件會發(fā)送給應(yīng)用網(wǎng)關(guān)，然后應(yīng)用網(wǎng)關(guān)著把郵件轉(zhuǎn)發(fā)給目的主系統(tǒng)。有些電子郵件網(wǎng)關(guān)使用更加安全的sendmail程序版本來接收電子郵件第四篇：防火墻論文河北大學(xué)人民武裝學(xué)院河北大學(xué)人民武裝學(xué)院2015屆畢業(yè)論文防火墻安全技術(shù)河北大學(xué)人民武裝學(xué)院中 隊：三十一中隊專 業(yè)：計算機網(wǎng)絡(luò)技術(shù)班級：四班姓 名：馬偉韜防火墻安全技術(shù)摘 要隨著計算機網(wǎng)絡(luò)的發(fā)展，上網(wǎng)的人數(shù)不斷地增大，網(wǎng)上的資源也不斷地增加，網(wǎng)絡(luò)的開放性、共享性、互連程度也隨著擴大，所以網(wǎng)絡(luò)的安全問題也是現(xiàn)在注重考慮的問題。本文介紹網(wǎng)絡(luò)安全可行的解決方案——防火墻技術(shù)，防火墻技術(shù)是近年來發(fā)展起來的一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施，它實際上是一種訪問控制技術(shù)，在某個機構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源的非法訪問, 也可以使用它阻止保密信息從受保護網(wǎng)絡(luò)上被非法輸出。關(guān)鍵詞：防火墻網(wǎng)絡(luò)安全包過濾狀態(tài)監(jiān)視應(yīng)用代理河北大學(xué)人民武裝學(xué)院河北大學(xué)人民武裝學(xué)院目 錄引言..............................................................................................5一、防火墻的概念..............................................................................6二、防火墻的分類..............................................................................7三、防火墻技術(shù)................................................................................10四、技術(shù)展望....................................................................................13 結(jié)論...............................................................................................14 謝辭............................................................................................15 參考文獻............................................................................................16河北大學(xué)人民武裝學(xué)院引言隨著科學(xué)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和完善，在當(dāng)今信息化的社會中，我們生活和工作中的許多數(shù)據(jù)、資源與信息都通過計算機系統(tǒng)來存儲和處理，伴隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，這些信息都通過網(wǎng)絡(luò)來傳送、接收和處理，所以計算機網(wǎng)絡(luò)在社會生活中的作用越來越大。為了維護計算機網(wǎng)絡(luò)的安全，人們提出了許多手段和方法，采用防火墻是其中最主要、最核心、最有效的手段之一。防火墻是網(wǎng)絡(luò)安全政策的有機組成部分，它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實施對網(wǎng)絡(luò)安全的有效管理。河北大學(xué)人民武裝學(xué)院一、防火墻的概念近年來，隨著普通計算機用戶群的日益增長，“防火墻”一詞已經(jīng)不再是服務(wù)器領(lǐng)域的專署，大部分家庭用戶都知道為自己愛機安裝各種“防火墻”軟件了。但是，并不是所有用戶都對“防火墻”有所了解的，一部分用戶甚至認(rèn)為，“防火墻”是一種軟件的名稱。到底什么才是防火墻？它工作在什么位置，起著什么作用？查閱歷史書籍可知，古代構(gòu)筑和使用木制結(jié)構(gòu)房屋的時候為防止火災(zāi)的發(fā)生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構(gòu)筑物就被稱為“防火墻”（firewall）。時光飛梭，隨著計算機和網(wǎng)絡(luò)的發(fā)展，各種攻擊入侵手段也相繼出現(xiàn)了，為了保護計算機的安全，人們開發(fā)出一種能阻止計算機之間直接通信的技術(shù)，并沿用了古代類似這個功能的名字——“防火墻”技術(shù)來源于此。用專業(yè)術(shù)語來說，防火墻是一種位于兩個或多個網(wǎng)絡(luò)間，實施網(wǎng)絡(luò)之間訪問控制的組件集合。對于普通用戶來說，所謂“防火墻”，指的就是一種被放置在自己的計算機與外界網(wǎng)絡(luò)之間的防御系統(tǒng)，從網(wǎng)絡(luò)發(fā)往計算機的所有數(shù)據(jù)都要經(jīng)過它的判斷處理后，才會決定能不能把這些數(shù)據(jù)交給計算機，一旦發(fā)現(xiàn)有害數(shù)據(jù)，防火墻就會攔截下來，實現(xiàn)了對計算機的保護功能。防火墻技術(shù)從誕生開始，就在一刻不停的發(fā)展著，各種不同結(jié)構(gòu)不同功能的防火墻，構(gòu)筑成網(wǎng)絡(luò)上的一道道防御大堤。河北大學(xué)人民武裝學(xué)院二、防火墻的分類世界上沒有一種事物是唯一的，防火墻也一樣，為了更有效率的對付網(wǎng)絡(luò)上各種不同攻擊手段，防火墻也派分出幾種防御架構(gòu)。根據(jù)物理特性，防火墻分為兩大類，硬件防火墻和軟件防火墻。軟件防火墻是一種安裝在負(fù)責(zé)內(nèi)外網(wǎng)絡(luò)轉(zhuǎn)換的網(wǎng)關(guān)服務(wù)器或者獨立的個人計算機上的特殊程序，它是以邏輯形式存在的，防火墻程序跟隨系統(tǒng)啟動，通過運行在ring0級別的特殊驅(qū)動模塊把防御機制插入系統(tǒng)關(guān)于網(wǎng)絡(luò)的處理部分和網(wǎng)絡(luò)接口設(shè)備驅(qū)動之間，形成一種邏輯上的防御體系。在沒有軟件防火墻之前，系統(tǒng)和網(wǎng)絡(luò)接口設(shè)備之間的通道是直接的，網(wǎng)絡(luò)接口設(shè)備通過網(wǎng)絡(luò)驅(qū)動程序接口（network driver interface specification，ndis）把網(wǎng)絡(luò)上傳來的各種報文都忠實的交給系統(tǒng)處理，例如一臺計算機接收到請求列出機器上所有共享資源的數(shù)據(jù)報文，ndis直接把這個報文提交給系統(tǒng)，系統(tǒng)在處理后就會返回相應(yīng)數(shù)據(jù)，在某些情況下就會造成信息泄漏。而使用軟件防火墻后，盡管ndis接收到仍然的是原封不動的數(shù)據(jù)報文，但是在提交到系統(tǒng)的通道上多了一層防御機制，所有數(shù)據(jù)報文都要經(jīng)過這層機制根據(jù)一定的規(guī)則判斷處理，只有它認(rèn)為安全的數(shù)據(jù)才能到達系統(tǒng)，其他數(shù)據(jù)則被丟棄。因為有規(guī)則提到“列出共享資源的行為是危險的”，因此在防火墻的判斷下，這個報文會被丟棄，這樣一來，系統(tǒng)接收不到報文，則認(rèn)為什么事情也沒發(fā)生過，也就不會把信息泄漏出去了。軟件防火墻工作于系統(tǒng)接口與ndis之間，用于檢查過濾由ndis發(fā)送過來的數(shù)據(jù)，在無需改動硬件的前提下便能實現(xiàn)一定強度的安全保障，但是由于軟件防火墻自身屬于運行于系統(tǒng)上的程序，不可避免的需要占用一部分cpu資源維持工作，而且由于數(shù)據(jù)判斷處理需要一定的時間，在一些數(shù)據(jù)流量大的網(wǎng)絡(luò)里，軟件防火墻會使整個系統(tǒng)工作效率和數(shù)據(jù)吞吐速度下降，甚至有些軟件防火墻會存在漏洞，導(dǎo)致有害數(shù)據(jù)可以繞過它的防御體系，給數(shù)據(jù)安全帶來損失，因此，許多企業(yè)并不會考慮用軟件防火墻方案作為公司網(wǎng)絡(luò)的防御措施，而是使用看得見摸得著的硬件防火墻。硬件防火墻是一種以物理形式存在的專用設(shè)備，通常架設(shè)于兩個網(wǎng)絡(luò)的駁接處，直接從網(wǎng)絡(luò)設(shè)備上檢查過濾有害的數(shù)據(jù)報文，位于防火墻設(shè)備后端的網(wǎng)絡(luò)或者服務(wù)器接收到的是經(jīng)過防火墻處理的相對安全的數(shù)據(jù)，不必另外分出cpu資源去進行基于軟件架構(gòu)的ndis數(shù)據(jù)檢測，可以大大提高工作效率。硬件防火墻一般是通過網(wǎng)線連接于外部網(wǎng)絡(luò)接口與內(nèi)部服務(wù)器或企業(yè)網(wǎng)絡(luò)之間的設(shè)備，這里又另外派分出兩種結(jié)構(gòu)，一種是普通硬件級別防火墻，它擁有標(biāo)準(zhǔn)計算機的硬件平臺和一些功能經(jīng)過簡化處理的unix系列操作系統(tǒng)和防火墻軟件，這種防火墻措施相當(dāng)于專門拿出一臺計算機安裝了軟件防