【文章內(nèi)容簡(jiǎn)介】 的IP地址、查找一個(gè)相對(duì)簡(jiǎn)單的路由表，而后將信息包順向運(yùn)行到適當(dāng)轉(zhuǎn)發(fā)接口。如果過濾可執(zhí)行，Router還必須對(duì)每個(gè)包執(zhí)行所有過濾規(guī)則。這可能消耗CPU的資源，并影響一個(gè)完全飽和的系統(tǒng)性能。 應(yīng)用網(wǎng)關(guān)為了克服與包過濾路由器相關(guān)聯(lián)的某些弱點(diǎn),防火墻需要使用應(yīng)用軟件來轉(zhuǎn)發(fā)和過濾Telnet和Ftp等服務(wù)的連接。這樣一種應(yīng)用叫做代理服務(wù)，而運(yùn)行代理服務(wù)軟件的主系統(tǒng)叫做應(yīng)用網(wǎng)關(guān)。應(yīng)用網(wǎng)關(guān)和包過濾路由器可以組合在一起使用，以獲得高于單獨(dú)使用的安全性和靈活性。作為一個(gè)例子，請(qǐng)考慮一個(gè)用包過濾路由器封鎖所有輸入Telnet 和Ftp 連接的網(wǎng)點(diǎn)。路由器允許Telnet和Ftp包只通過一個(gè)主系統(tǒng)，即Telnet/Ftp應(yīng)用網(wǎng)關(guān)，然后再連接到目的主系統(tǒng)，過程如下：，并輸入內(nèi)部主系統(tǒng)的名字；，并根據(jù)任何合適的訪問準(zhǔn)則接受或拒絕；（可使用一次性口令裝置）；；，代理服務(wù)軟件在兩個(gè)連接之間傳送數(shù)據(jù)；。這一例子指出了使用代理服務(wù)軟件的幾個(gè)好處。第一，代理服務(wù)軟件只允許有代理的服務(wù)通過。換句話說，如果應(yīng)用網(wǎng)關(guān)包含Telnet和Ftp的代理軟件，則只有Ftp和Telnet被允許進(jìn)入受保護(hù)的子網(wǎng)，而其它所有服務(wù)都完全被封鎖住。對(duì)有些網(wǎng)點(diǎn)來說，這種程度的安全性是很重要的，因?yàn)樗ＷC，只有那些被認(rèn)為“可信賴的”服務(wù)才被允許通過防火墻。它還防止其他不可靠的服務(wù)不會(huì)背著防火墻管理人員實(shí)施。使用代理服務(wù)的另一好處是可以過濾協(xié)議。例如，有些防火墻可以過濾FTP連接，并拒絕使用FTP 協(xié)議中的 put 命令。如果人們要保證用戶不能寫到匿名FTP服務(wù)器軟件，則這一點(diǎn)是很有用的。應(yīng)用網(wǎng)關(guān)有三種基本的原型，分別適用于不同的網(wǎng)絡(luò)規(guī)模。* 雙穴主機(jī)網(wǎng)關(guān)（DualHomed Gateway）* 屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway)* 屏蔽子網(wǎng)網(wǎng)關(guān)（Screened Subnet Gateway）這三種原型有一個(gè)共同的特點(diǎn)，就是都需要一臺(tái)主機(jī)（如上面所述一樣）,通常稱為橋頭堡主機(jī)(Bastion Host)。該主機(jī)充當(dāng)應(yīng)用程序轉(zhuǎn)發(fā)者、通信登記者以及服務(wù)提供者的角色。因此，保護(hù)該主機(jī)的安全性是至關(guān)重要的，建立防火墻時(shí)，應(yīng)將較多的注意力放在該主機(jī)上。* 雙穴主機(jī)網(wǎng)關(guān)該原型的結(jié)構(gòu)如下圖所示。其中，橋頭堡主機(jī)充當(dāng)網(wǎng)關(guān)，因此，需要在此主機(jī)中裝兩塊網(wǎng)卡，并在其上運(yùn)行防火墻軟件。受保護(hù)網(wǎng)與Internet之間不能直接進(jìn)行通信，必須經(jīng)過橋頭堡主機(jī)，因此，不必顯示地列出受保護(hù)網(wǎng)與不受保護(hù)網(wǎng)之間的路由，從而達(dá)到受保護(hù)網(wǎng)除了看到橋頭堡主機(jī)之外，不能看到其他任何系統(tǒng)的效果。同時(shí)，橋頭堡主機(jī)不轉(zhuǎn)發(fā)TCP/IP包，網(wǎng)絡(luò)中的所有服務(wù)都必須由此主機(jī)的相應(yīng)代理程序支持。由于雙穴主機(jī)網(wǎng)關(guān)容易安裝，所需的硬件設(shè)備也較少，且容易驗(yàn)證其正確性，因此，這是一種使用較多的紡火墻。雙穴主機(jī)網(wǎng)關(guān)最致命的弱點(diǎn)是:一旦防火墻被破壞，橋頭堡主機(jī)實(shí)際上就變成了一臺(tái)沒有尋徑功能的路由器，一個(gè)有經(jīng)驗(yàn)的攻擊者就能使它尋徑，從而使受保護(hù)網(wǎng)完全開放并受到攻擊。例如，在基于Unix的雙穴主機(jī)網(wǎng)關(guān)中，通常是先修改一個(gè)名叫IPforwarding的內(nèi)核變量，來禁止橋頭堡主機(jī)的尋徑能力，非法攻擊者只要能獲得網(wǎng)關(guān)上的系統(tǒng)特權(quán)，就能修改此變量，使橋頭堡主機(jī)恢復(fù)尋徑能力，以進(jìn)行攻擊。* 屏蔽主機(jī)網(wǎng)關(guān)該原型的結(jié)構(gòu)如下圖所示。其中，橋頭堡主機(jī)在受保護(hù)網(wǎng)中，將帶有包屏蔽功能的路由器置于保護(hù)網(wǎng)和Internet之間，它不允許Internet對(duì)保護(hù)網(wǎng)的直接訪問，只允許對(duì)受保護(hù)網(wǎng)中橋頭堡主機(jī)的訪問。與雙穴網(wǎng)關(guān)類似，橋頭堡主機(jī)運(yùn)行防火墻軟件。屏蔽主機(jī)網(wǎng)關(guān)是一種很靈活的防火墻，它可以有選擇地允許那些值得信任的應(yīng)用程序通過路由器。但它不像雙穴網(wǎng)關(guān)，只需注意橋頭堡主機(jī)的安全性即可，它必須考慮兩方面的安全性，即橋頭堡主機(jī)和路由器。如果路由器中的訪問控制列表允許某些服務(wù)能夠通過路由器，則防火墻管理員不僅要管理橋頭堡主機(jī)中的訪問控制表，還要管理路由器中的訪問控制列表，并使它們互相協(xié)調(diào)。當(dāng)路由器允許通過的服務(wù)數(shù)量逐漸增多時(shí)，驗(yàn)證防火墻的正確性就會(huì)變得越來越困難。* 屏蔽子網(wǎng)網(wǎng)關(guān)該原型的結(jié)構(gòu)如下圖所示。其中，一個(gè)小型的獨(dú)立網(wǎng)絡(luò)放在受保護(hù)網(wǎng)與Internet之間，對(duì)這個(gè)網(wǎng)絡(luò)的訪問受到路由器中屏蔽規(guī)則的保護(hù)。因此，屏蔽子網(wǎng)中的主機(jī)是唯一一個(gè)受保護(hù)網(wǎng)和Internet都能訪問到的系統(tǒng)。從理論上來說，這也是一種雙穴網(wǎng)關(guān)的方法，只是將其應(yīng)用到了網(wǎng)絡(luò)上。防火墻被破壞后，它會(huì)出現(xiàn)與雙穴主機(jī)網(wǎng)關(guān)同樣的問題。不同的是，在雙穴主機(jī)網(wǎng)關(guān)中只需配置橋頭堡主機(jī)的尋徑功能，而在屏蔽子網(wǎng)網(wǎng)關(guān)中則需配置三個(gè)網(wǎng)絡(luò)（受保護(hù)網(wǎng)、屏蔽子網(wǎng)和Internet）之間的尋徑功能，即先要闖入橋頭堡主機(jī)，再進(jìn)入受保護(hù)網(wǎng)中的某臺(tái)主機(jī)，然后返回包屏蔽路由器，分別進(jìn)行配置。這對(duì)攻擊者來說顯然是極其困難的。另外，由于Internet很難直接與受保護(hù)網(wǎng)進(jìn)行通信，因此，防火墻管理員不需指出受保護(hù)網(wǎng)到Internet之間的路由。這對(duì)于保護(hù)大型網(wǎng)絡(luò)來說是一種很好的方法。應(yīng)用網(wǎng)關(guān)的一個(gè)缺點(diǎn)是，就Telnet 等客戶機(jī)服務(wù)器協(xié)議來說，需要采取兩個(gè)步驟來連接輸入信息或輸出信息。有些應(yīng)用網(wǎng)關(guān)需要經(jīng)過修改的客戶機(jī)，這一點(diǎn)既可看作是缺點(diǎn)，也可看作是優(yōu)點(diǎn)，視修改的客戶機(jī)是否更加容易使用防火墻而定。Telnet應(yīng)用網(wǎng)關(guān)不一定需要經(jīng)過修改的Telnet客戶機(jī)，但是，它需要修改用戶行為：用戶必須連接到防火墻(但不記錄)，而不是直接連接到主系統(tǒng)。但是，經(jīng)過修改的Telnet客戶機(jī)可以使防火墻透明，因?yàn)樗试S用戶用Telnet命令規(guī)定目的系統(tǒng)(不是防火墻)。防火墻起著通向目的系統(tǒng)通道的作用，從而攔截連接，再按需完成其他步驟，如查詢一次性口令。用戶行為仍然是相同的，但其代價(jià)是每個(gè)系統(tǒng)需要一個(gè)經(jīng)過修改的客戶機(jī)。除了Telnet 外，應(yīng)用網(wǎng)關(guān)一般用于Ftp 和電子郵件，同時(shí)也用于XWindows和其他某些服務(wù)。有些Ftp應(yīng)用網(wǎng)關(guān)包括拒絕特定主系統(tǒng)的put 和get 命令的能力。例如，一個(gè)已同內(nèi)部系統(tǒng)(如匿名Ftp服務(wù)器)建立Ftp對(duì)話(通過Ftp應(yīng)用網(wǎng)關(guān))的外部用戶，可能試圖把文件上裝到服務(wù)器。應(yīng)用網(wǎng)關(guān)可以過濾Ftp協(xié)議,并拒絕把所有puts命令發(fā)送給匿名Ftp服務(wù)器；這將保證沒有文件能上裝到服務(wù)器，而且所提供的確信程度要高于只依賴由設(shè)置正確的匿名Ftp服務(wù)器進(jìn)行的文件許可。電子郵件應(yīng)用網(wǎng)關(guān)可集中收集電子郵件，并把它分發(fā)給內(nèi)部主系統(tǒng)和用戶。對(duì)外部用戶來說，所有內(nèi)部用戶都擁有電子郵件地址，其格式為：user@host 其中,host是電子郵件網(wǎng)關(guān)的名字。網(wǎng)關(guān)會(huì)接受外部用戶的郵件，然后按需把郵件轉(zhuǎn)發(fā)到其他內(nèi)部系統(tǒng)。從內(nèi)部系統(tǒng)發(fā)送電子郵件的用戶可以從其主系統(tǒng)直接發(fā)送電子郵件，否則在內(nèi)部系統(tǒng)名字只有受保護(hù)的子網(wǎng)知道的情況下，郵件會(huì)發(fā)送給應(yīng)用網(wǎng)關(guān)，然后應(yīng)用網(wǎng)關(guān)著把郵件轉(zhuǎn)發(fā)給目的主系統(tǒng)。有些電子郵件網(wǎng)關(guān)使用更加安全的sendmail程序版本來接收電子郵件第四篇：防火墻論文河北大學(xué)人民武裝學(xué)院河北大學(xué)人民武裝學(xué)院2015屆畢業(yè)論文防火墻安全技術(shù)河北大學(xué)人民武裝學(xué)院中 隊(duì)：三十一中隊(duì)專 業(yè)：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)班級(jí)：四班姓 名：馬偉韜防火墻安全技術(shù)摘 要隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，上網(wǎng)的人數(shù)不斷地增大，網(wǎng)上的資源也不斷地增加，網(wǎng)絡(luò)的開放性、共享性、互連程度也隨著擴(kuò)大，所以網(wǎng)絡(luò)的安全問題也是現(xiàn)在注重考慮的問題。本文介紹網(wǎng)絡(luò)安全可行的解決方案——防火墻技術(shù)，防火墻技術(shù)是近年來發(fā)展起來的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，它實(shí)際上是一種訪問控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)信息資源的非法訪問, 也可以使用它阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。關(guān)鍵詞：防火墻網(wǎng)絡(luò)安全包過濾狀態(tài)監(jiān)視應(yīng)用代理河北大學(xué)人民武裝學(xué)院河北大學(xué)人民武裝學(xué)院目 錄引言..............................................................................................5一、防火墻的概念..............................................................................6二、防火墻的分類..............................................................................7三、防火墻技術(shù)................................................................................10四、技術(shù)展望....................................................................................13 結(jié)論...............................................................................................14 謝辭............................................................................................15 參考文獻(xiàn)............................................................................................16河北大學(xué)人民武裝學(xué)院引言隨著科學(xué)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和完善，在當(dāng)今信息化的社會(huì)中，我們生活和工作中的許多數(shù)據(jù)、資源與信息都通過計(jì)算機(jī)系統(tǒng)來存儲(chǔ)和處理，伴隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，這些信息都通過網(wǎng)絡(luò)來傳送、接收和處理，所以計(jì)算機(jī)網(wǎng)絡(luò)在社會(huì)生活中的作用越來越大。為了維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的安全，人們提出了許多手段和方法，采用防火墻是其中最主要、最核心、最有效的手段之一。防火墻是網(wǎng)絡(luò)安全政策的有機(jī)組成部分，它通過控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)施對(duì)網(wǎng)絡(luò)安全的有效管理。河北大學(xué)人民武裝學(xué)院一、防火墻的概念近年來，隨著普通計(jì)算機(jī)用戶群的日益增長(zhǎng)，“防火墻”一詞已經(jīng)不再是服務(wù)器領(lǐng)域的專署，大部分家庭用戶都知道為自己愛機(jī)安裝各種“防火墻”軟件了。但是，并不是所有用戶都對(duì)“防火墻”有所了解的，一部分用戶甚至認(rèn)為，“防火墻”是一種軟件的名稱。到底什么才是防火墻？它工作在什么位置，起著什么作用？查閱歷史書籍可知，古代構(gòu)筑和使用木制結(jié)構(gòu)房屋的時(shí)候?yàn)榉乐够馂?zāi)的發(fā)生和蔓延，人們將堅(jiān)固的石塊堆砌在房屋周圍作為屏障，這種防護(hù)構(gòu)筑物就被稱為“防火墻”（firewall）。時(shí)光飛梭，隨著計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展，各種攻擊入侵手段也相繼出現(xiàn)了，為了保護(hù)計(jì)算機(jī)的安全，人們開發(fā)出一種能阻止計(jì)算機(jī)之間直接通信的技術(shù)，并沿用了古代類似這個(gè)功能的名字——“防火墻”技術(shù)來源于此。用專業(yè)術(shù)語來說，防火墻是一種位于兩個(gè)或多個(gè)網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問控制的組件集合。對(duì)于普通用戶來說，所謂“防火墻”，指的就是一種被放置在自己的計(jì)算機(jī)與外界網(wǎng)絡(luò)之間的防御系統(tǒng)，從網(wǎng)絡(luò)發(fā)往計(jì)算機(jī)的所有數(shù)據(jù)都要經(jīng)過它的判斷處理后，才會(huì)決定能不能把這些數(shù)據(jù)交給計(jì)算機(jī)，一旦發(fā)現(xiàn)有害數(shù)據(jù)，防火墻就會(huì)攔截下來，實(shí)現(xiàn)了對(duì)計(jì)算機(jī)的保護(hù)功能。防火墻技術(shù)從誕生開始，就在一刻不停的發(fā)展著，各種不同結(jié)構(gòu)不同功能的防火墻，構(gòu)筑成網(wǎng)絡(luò)上的一道道防御大堤。河北大學(xué)人民武裝學(xué)院二、防火墻的分類世界上沒有一種事物是唯一的，防火墻也一樣，為了更有效率的對(duì)付網(wǎng)絡(luò)上各種不同攻擊手段，防火墻也派分出幾種防御架構(gòu)。根據(jù)物理特性，防火墻分為兩大類，硬件防火墻和軟件防火墻。軟件防火墻是一種安裝在負(fù)責(zé)內(nèi)外網(wǎng)絡(luò)轉(zhuǎn)換的網(wǎng)關(guān)服務(wù)器或者獨(dú)立的個(gè)人計(jì)算機(jī)上的特殊程序，它是以邏輯形式存在的，防火墻程序跟隨系統(tǒng)啟動(dòng)，通過運(yùn)行在ring0級(jí)別的特殊驅(qū)動(dòng)模塊把防御機(jī)制插入系統(tǒng)關(guān)于網(wǎng)絡(luò)的處理部分和網(wǎng)絡(luò)接口設(shè)備驅(qū)動(dòng)之間，形成一種邏輯上的防御體系。在沒有軟件防火墻之前，系統(tǒng)和網(wǎng)絡(luò)接口設(shè)備之間的通道是直接的，網(wǎng)絡(luò)接口設(shè)備通過網(wǎng)絡(luò)驅(qū)動(dòng)程序接口（network driver interface specification，ndis）把網(wǎng)絡(luò)上傳來的各種報(bào)文都忠實(shí)的交給系統(tǒng)處理，例如一臺(tái)計(jì)算機(jī)接收到請(qǐng)求列出機(jī)器上所有共享資源的數(shù)據(jù)報(bào)文，ndis直接把這個(gè)報(bào)文提交給系統(tǒng)，系統(tǒng)在處理后就會(huì)返回相應(yīng)數(shù)據(jù)，在某些情況下就會(huì)造成信息泄漏。而使用軟件防火墻后，盡管ndis接收到仍然的是原封不動(dòng)的數(shù)據(jù)報(bào)文，但是在提交到系統(tǒng)的通道上多了一層防御機(jī)制，所有數(shù)據(jù)報(bào)文都要經(jīng)過這層機(jī)制根據(jù)一定的規(guī)則判斷處理，只有它認(rèn)為安全的數(shù)據(jù)才能到達(dá)系統(tǒng)，其他數(shù)據(jù)則被丟棄。因?yàn)橛幸?guī)則提到“列出共享資源的行為是危險(xiǎn)的”，因此在防火墻的判斷下，這個(gè)報(bào)文會(huì)被丟棄，這樣一來，系統(tǒng)接收不到報(bào)文，則認(rèn)為什么事情也沒發(fā)生過，也就不會(huì)把信息泄漏出去了。軟件防火墻工作于系統(tǒng)接口與ndis之間，用于檢查過濾由ndis發(fā)送過來的數(shù)據(jù)，在無需改動(dòng)硬件的前提下便能實(shí)現(xiàn)一定強(qiáng)度的安全保障，但是由于軟件防火墻自身屬于運(yùn)行于系統(tǒng)上的程序，不可避免的需要占用一部分cpu資源維持工作，而且由于數(shù)據(jù)判斷處理需要一定的時(shí)間，在一些數(shù)據(jù)流量大的網(wǎng)絡(luò)里，軟件防火墻會(huì)使整個(gè)系統(tǒng)工作效率和數(shù)據(jù)吞吐速度下降，甚至有些軟件防火墻會(huì)存在漏洞，導(dǎo)致有害數(shù)據(jù)可以繞過它的防御體系，給數(shù)據(jù)安全帶來損失，因此，許多企業(yè)并不會(huì)考慮用軟件防火墻方案作為公司網(wǎng)絡(luò)的防御措施，而是使用看得見摸得著的硬件防火墻。硬件防火墻是一種以物理形式存在的專用設(shè)備，通常架設(shè)于兩個(gè)網(wǎng)絡(luò)的駁接處，直接從網(wǎng)絡(luò)設(shè)備上檢查過濾有害的數(shù)據(jù)報(bào)文，位于防火墻設(shè)備后端的網(wǎng)絡(luò)或者服務(wù)器接收到的是經(jīng)過防火墻處理的相對(duì)安全的數(shù)據(jù)，不必另外分出cpu資源去進(jìn)行基于軟件架構(gòu)的ndis數(shù)據(jù)檢測(cè)，可以大大提高工作效率。硬件防火墻一般是通過網(wǎng)線連接于外部網(wǎng)絡(luò)接口與內(nèi)部服務(wù)器或企業(yè)網(wǎng)絡(luò)之間的設(shè)備，這里又另外派分出兩種結(jié)構(gòu)，一種是普通硬件級(jí)別防火墻，它擁有標(biāo)準(zhǔn)計(jì)算機(jī)的硬件平臺(tái)和一些功能經(jīng)過簡(jiǎn)化處理的unix系列操作系統(tǒng)和防火墻軟件，這種防火墻措施相當(dāng)于專門拿出一臺(tái)計(jì)算機(jī)安裝了軟件防