【文章內(nèi)容簡介】 并且只能通過與堡壘主機建立連接來訪問內(nèi)部網(wǎng)提供的服務(wù)。由于這種應(yīng)用模式設(shè)有兩道安全屏障，并且是由兩種不同的防火墻構(gòu)成的，可以優(yōu)勢互補和相互協(xié)調(diào)。因此，具有較高的第8頁(共14頁)安全性，并且比較靈活。（Screened Subnet Gateway）這種應(yīng)用模式是在內(nèi)部網(wǎng)與internet之間設(shè)置一個獨立的屏蔽子網(wǎng)，在內(nèi)部網(wǎng)與屏蔽子網(wǎng)之間和屏蔽子網(wǎng)與Internet之間都要沒置一個屏蔽路由器，堡壘主機連接在屏蔽子網(wǎng)上。堡壘主機是惟一的內(nèi)部網(wǎng)和Internet都能訪問的系統(tǒng)，但要受到屏蔽路由器過濾規(guī)則的限制。參見圖5：屏蔽子網(wǎng)內(nèi)部網(wǎng)堡壘 主機堡壘主機屏蔽 路由器INTERNET圖5 屏蔽子網(wǎng)網(wǎng)關(guān)在這種應(yīng)用模式中，內(nèi)部服務(wù)器設(shè)有三道安全屏障：兩個屏蔽路由器和堡壘主機，入侵者要入侵內(nèi)部網(wǎng)必須攻破兩個屏蔽路由器和堡壘主機，這顯然是相當困難的。因此，具有更高的安全性，比較適合保護大型的網(wǎng)絡(luò)，但成本也比較高。防火墻的應(yīng)用設(shè)計根據(jù)行業(yè)特征和應(yīng)用性質(zhì)可將網(wǎng)絡(luò)系統(tǒng)大致分成校園網(wǎng)、企業(yè)網(wǎng)、商務(wù)網(wǎng)、金融網(wǎng)、政務(wù)網(wǎng)以及軍用網(wǎng)等。這些網(wǎng)絡(luò)系統(tǒng)的安全需求是不相同的，必須采用與其應(yīng)用性質(zhì)相適應(yīng)的安全措施來構(gòu)建完整的網(wǎng)絡(luò)安全體系。以滿足各種網(wǎng)絡(luò)系統(tǒng)的安全需求，完整的網(wǎng)絡(luò)安全體系應(yīng)當包括防護、檢測、響應(yīng)和管理等各個環(huán)節(jié)，不是單靠某一種安全技本來解決的，也要形成一個動態(tài)的安全防護系統(tǒng)。其中，防火墻是整個網(wǎng)絡(luò)安全體系的基礎(chǔ)和關(guān)鍵環(huán)節(jié)，也是一種常用的安全防護技術(shù)，它作為第一道安全屏障最容易受到人侵者的攻擊。因此，除了防火墻本身應(yīng)具有較好的安全防護能力之外，防火墻的應(yīng)用方案設(shè)計也是十分重要的。第9頁(共14頁)防火墻的應(yīng)用方案設(shè)計一般包括安全需求分析、網(wǎng)絡(luò)安全系統(tǒng)設(shè)計和安全策略設(shè)計3部分。根據(jù)網(wǎng)絡(luò)應(yīng)用性質(zhì)，可以將網(wǎng)絡(luò)應(yīng)用環(huán)境分成3種：開放的、專用的和內(nèi)部的。不同的網(wǎng)絡(luò)應(yīng)用環(huán)境所面臨的安全風(fēng)險和需求是不同的，其安全解決方案也有所不同。（1）開放的網(wǎng)絡(luò)應(yīng)用環(huán)境：在開放的網(wǎng)絡(luò)應(yīng)用環(huán)境中，網(wǎng)絡(luò)服務(wù)和信息內(nèi)容向internet上的所有用戶完全開放，如連接在Internet上的各種開放的Web服務(wù)器等。這種開放的應(yīng)用環(huán)境一般不存在信息內(nèi)容保密和用戶身份驗證問題，它所面臨的安全風(fēng)險是拒絕服務(wù)（Dos）篡改網(wǎng)頁內(nèi)容以及被非法利用等。這些安全風(fēng)險需要采用多種安全措施來防范，包括使用接納控制技術(shù)阻止入侵者非法獲取系統(tǒng)控制權(quán)、使用防火墻技術(shù)過濾“有害”的信息，使用“補丁”程序來阻塞系統(tǒng)安全漏洞，使用入侵檢測技術(shù)來檢測和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為等。這種應(yīng)用環(huán)境的安全要求相對較低，防火墻的作用是次要的，必要時可采用屏蔽路由器模式。（2）專用的網(wǎng)絡(luò)應(yīng)用環(huán)境：在專用的網(wǎng)絡(luò)應(yīng)用環(huán)境中，網(wǎng)絡(luò)服務(wù)和信息內(nèi)容是半開放的。只允許授權(quán)用戶通過Internet來訪問。這些授權(quán)用戶是可信任的，他們通常是商業(yè)合作伙伴或者本單位的外地員工。這種專用的應(yīng)用環(huán)境所面臨的安全風(fēng)險是假冒合法用戶獲取信息以及信息傳輸過程中被非法截獲或者篡改等。前者屬于網(wǎng)絡(luò)安全問題，主要是用防火墻等技術(shù)來防范；后者屬于信息安全問題，主要采用VPN等枝術(shù)來解決信息傳輸過程中的數(shù)據(jù)機密性和數(shù)據(jù)完整性問題。在這種網(wǎng)絡(luò)應(yīng)用環(huán)境中，一般要在內(nèi)部網(wǎng)與Internet之間設(shè)置防火墻，并通過安全規(guī)則來控制外部用戶對內(nèi)部網(wǎng)資源（如Web服務(wù)器和其他服務(wù)器）的訪問。根據(jù)網(wǎng)絡(luò)服務(wù)的安全要求，選擇適當?shù)姆阑饓?yīng)用模式來建立網(wǎng)絡(luò)安全防護系統(tǒng)。除了防火墻外，還應(yīng)當使用VPN技術(shù)、基于數(shù)字證書的訪問控制技術(shù)等來解決信息交換安全問題。（3）內(nèi)部的網(wǎng)絡(luò)應(yīng)用環(huán)境：在內(nèi)部的網(wǎng)絡(luò)應(yīng)用環(huán)境中，內(nèi)部網(wǎng)與Internet是物理隔離的，網(wǎng)絡(luò)服務(wù)器沒置在內(nèi)部網(wǎng)，只允許內(nèi)部用戶通過內(nèi)部網(wǎng)訪問網(wǎng)絡(luò)服務(wù)器，這是一種封閉的網(wǎng)絡(luò)環(huán)境。它所面臨的安全風(fēng)險是內(nèi)部用戶的非授權(quán)訪問，竊取和泄露機密信息等。其防范措施主要側(cè)重第10頁(共14頁)于解決內(nèi)部用戶對內(nèi)部網(wǎng)的攻擊問題，如采用VLAN、訪問控制、安全審計和安全管理等防范措施。由于不同的網(wǎng)絡(luò)應(yīng)用環(huán)境所面臨的安全風(fēng)險是各不相同的，不能一概而論。因此必須針對不同網(wǎng)絡(luò)應(yīng)用環(huán)境所面臨的安全風(fēng)險采取適當?shù)陌踩胧﹣碓鰪娤到y(tǒng)安全性。在系統(tǒng)安全性、網(wǎng)絡(luò)性能損失和系統(tǒng)費用等方面尋找一個最佳平衡點，減少盲目性。在上述的4種防火墻應(yīng)用模式中，每一種應(yīng)用模式所提供的安全防護能力和系統(tǒng)費用都是不相同的。在網(wǎng)絡(luò)安全系統(tǒng)設(shè)計中，應(yīng)當根據(jù)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全需求來構(gòu)造網(wǎng)絡(luò)安全體系。在安全要求不高的情況下，一般采用屏蔽路由器或雙宿主機網(wǎng)關(guān)應(yīng)用模式來構(gòu)造網(wǎng)絡(luò)安全系統(tǒng)。這樣在滿足系統(tǒng)安全需求前提下，有利于降低系統(tǒng)費用，簡化網(wǎng)絡(luò)管理。在屏蔽路由器或雙穴主機網(wǎng)關(guān)應(yīng)用模式不能滿足系統(tǒng)安全需求的情況下，可以考慮采用屏蔽主機網(wǎng)關(guān)或屏蔽子網(wǎng)網(wǎng)關(guān)應(yīng)用模式。例如：在基于屏蔽子網(wǎng)網(wǎng)關(guān)應(yīng)用模式構(gòu)建的網(wǎng)絡(luò)安全系統(tǒng)中，必須將內(nèi)部網(wǎng)劃分為3個子網(wǎng)：內(nèi)部子網(wǎng)、屏蔽子網(wǎng)與外部網(wǎng)（如Internet）。不同子網(wǎng)的安全需求是不同的。屏蔽子網(wǎng)網(wǎng)關(guān)模式采用了兩個屏蔽路由器，一個位于內(nèi)都子網(wǎng)和屏蔽子網(wǎng)之間的內(nèi)部屏蔽路由器；另一個位子屏蔽子網(wǎng)與外部網(wǎng)之間的外部屏蔽路由器。從網(wǎng)絡(luò)體系結(jié)構(gòu)上通過屏蔽子網(wǎng)將內(nèi)部子網(wǎng)與不可信的外部網(wǎng)隔離開。外部屏蔽路由器的作用是保證外部網(wǎng)發(fā)來的數(shù)據(jù)包只能到達屏蔽子網(wǎng)，而且只能將屏蔽子網(wǎng)中的數(shù)據(jù)包輸出到外部網(wǎng)上。內(nèi)部屏蔽路由器的作用是保證內(nèi)部網(wǎng)發(fā)來的數(shù)據(jù)包只能輸出到屏蔽子網(wǎng)上，而不能到達外部網(wǎng)。這樣內(nèi)部網(wǎng)和外部網(wǎng)之間不能直接通信，雙方都只能到達屏蔽子網(wǎng)。由于屏蔽子網(wǎng)是內(nèi)部子網(wǎng)與外部網(wǎng)之間的隔離區(qū)，所以屏蔽子網(wǎng)也稱為“非軍事區(qū)”或“?；饏^(qū)”。圖6所示是一種基于屏蔽子網(wǎng)網(wǎng)關(guān)應(yīng)用模式的網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)。第11頁(共14頁)圖6 網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)內(nèi)部屏蔽路由器還應(yīng)當提供網(wǎng)絡(luò)地址翻譯器（NAT）功能。NAT允許在內(nèi)部網(wǎng)絡(luò)中使用私有IP地址。而私有IP地址在internet中是不可見的，可見的只是代理服務(wù)器的公用IP地址。這樣，在屏蔽內(nèi)部子網(wǎng)結(jié)構(gòu)的同時，還解決了公用IP地址短缺問題。對于各種對外開放的網(wǎng)絡(luò)服務(wù)器，如Web服務(wù)器、FTP服務(wù)器、Email服務(wù)器以及DNS服務(wù)器等可以放置在屏蔽子網(wǎng)中。為了使內(nèi)部用戶能夠仿問Internet，在屏蔽子網(wǎng)上設(shè)置一個堡壘主機，提供代理服務(wù)器功能。這樣，既可以使外部用戶能方便瀏覽開放的信息服務(wù)、與內(nèi)部網(wǎng)用戶交換郵件等，又防止了外部用戶攻擊內(nèi)部網(wǎng)，篡改數(shù)據(jù)或破壞系統(tǒng)。在這種網(wǎng)絡(luò)安全體系結(jié)構(gòu)中，入侵者想要攻擊內(nèi)部網(wǎng)，必須連續(xù)地攻破外部分組過濾器、代理服務(wù)器和內(nèi)部分組過濾器等三道防火墻。即使高明的黑客也是相當困難的。合理地配置防火墻可以防御多種網(wǎng)絡(luò)攻擊，例如：（1）在防火墻中配置多塊網(wǎng)卡，不同的網(wǎng)卡對應(yīng)于不同的網(wǎng)段，通過將網(wǎng)卡與對應(yīng)網(wǎng)段綁定，可以防御IP地址欺騙的攻擊。（2）在防火墻中阻塞ICMP報文，只允許某些類型（如回應(yīng)請求類型）的ICMP報文通過，可以防御“Ping Of death”之類的攻擊。（3）在防火墻中阻塞ActiveX和Java Applets程序，可以防御惡意程序?qū)?nèi)部主機進行攻擊。（4）在防火墻中使用NAT功能，所有從防火墻流出的IP數(shù)據(jù)包的源地址均為防火墻上保留的合法IP地址，不僅可以使內(nèi)部主機共享有限的 Internet IP地址，而且能夠隱藏內(nèi)部網(wǎng)絡(luò)信息。（5）在防火墻中使用認證功能，可以對主機地址、網(wǎng)卡地址和主機名進行認證，還可以對用戶身份進行認證，例如采用口令認證、RADIUS認證以及硬件參與認證等，可以防御地址欺騙、身份假冒等攻擊。另外，對于處于不同地理位置上的內(nèi)部網(wǎng)通過Internet交換信息時，可以采用VPN技術(shù)來解決信息傳輸過程中的數(shù)據(jù)機密性和數(shù)據(jù)完整性問題。在這種情況下，應(yīng)當在屏蔽子網(wǎng)設(shè)置一個VPN網(wǎng)關(guān)，兩個內(nèi)部網(wǎng)之間通過VPN網(wǎng)關(guān)建立一個安全的傳輸隧道，實現(xiàn)數(shù)據(jù)安全傳輸。這意味著可信的外部用戶只能邁過VPN隧道穿越內(nèi)部網(wǎng)的防火墻，而在建立VPN隧道時，雙方的身份是經(jīng)過認證的，都是可信的用戶。第12頁(共14頁)在圖6所示的網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)中，設(shè)有3個防火墻：外部分組過濾器（由外部屏蔽路由器提供）、內(nèi)部分組過濾器（由內(nèi)部屏蔽路由器提供）和代理服務(wù)器（由堡壘主機提供）。根據(jù)網(wǎng)絡(luò)應(yīng)用的安全需求，必須分別為它們設(shè)計安全策略和規(guī)則。（1）外部分組過濾器：外部分組過濾的缺省規(guī)則為禁止所有服務(wù)。主機規(guī)則為允許外部用戶訪問屏蔽子網(wǎng)中開放的服務(wù)器（如 Web服務(wù)器、FTP服務(wù)器等），允許外部用戶連接安全代理服務(wù)器。每次連接都要產(chǎn)生日志記錄，供以后安全審計使用。（2）內(nèi)部分組過濾器：內(nèi)部分組過濾的缺省規(guī)則為禁止所有服務(wù)。主機規(guī)則為允許內(nèi)部用戶連接屏蔽子網(wǎng)中的主機。每次連接都要產(chǎn)生日志記錄。通過地址轉(zhuǎn)換功能，使所有使用內(nèi)部IP地址的用戶都能共用一個合法外都IP地址訪問外部網(wǎng)絡(luò)（如Internet）。（3）代理服務(wù)器：代理服務(wù)器的缺省規(guī)則為禁止聽有連接．它允許內(nèi)部用戶訪向外部網(wǎng)絡(luò)的web站點，并提供代理功能，對所代理的連接進行安全檢查，禁止內(nèi)部用戶訪問非法站點，并產(chǎn)生日志記錄。它還為內(nèi)部郵件服務(wù)器與外部郵件服務(wù)器之間的連接提供代理。對郵件的大小、數(shù)量，發(fā)送者、接收者，甚至內(nèi)容進行檢查，并產(chǎn)生日志記錄。它在代理 Telnet和 FTP內(nèi)部服務(wù)器時，要求驗證用戶的身份，允許合法用戶以規(guī)定的權(quán)限上載和下載服務(wù)器中的文件，并產(chǎn)生日志記錄。為了支持防火墻的系統(tǒng)配置、規(guī)則設(shè)置、日志查看和安全審計等管理操作，一般的防火墻產(chǎn)品都提供一種圖形化界面的管理軟件。在完成網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計和各個防火墻的安全策略設(shè)計后，便可以著手配置各個防火墻的系統(tǒng)參數(shù)和安全規(guī)則。在網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)體系結(jié)構(gòu)發(fā)生變化時，應(yīng)當及時修改防火墻的安全策略，避免可能產(chǎn)生的安全漏洞。在防火墻工作過程中，可以通過管理軟件監(jiān)視防火墻的日志信息，定期進行安全審計，及時發(fā)現(xiàn)系統(tǒng)可能存在的安全漏洞，入侵者的攻擊行為以及其他違反安全規(guī)則的行為，為網(wǎng)絡(luò)安全管理提供決策依據(jù)。結(jié)束語第13頁(共14頁)本論文主要研究防火墻技術(shù)的應(yīng)用，從防火墻的簡單概述展開，描述了防火墻的四種技術(shù)，防火墻的應(yīng)用模式。最后，闡述了防火墻的應(yīng)用設(shè)計。旨在展望網(wǎng)絡(luò)安全，即防火墻技術(shù)的未來狀況。參 考 文 獻[1] [M].西安：西北工業(yè)大學(xué)出版社，2004.[2] [J].淮陰工業(yè)學(xué)院學(xué)報：計算機科學(xué)技術(shù)版，2003，38（4）：2133.[3] 蔣建春，[M].北京：國防工業(yè)出版社，2005.[4] [M].西安：西安電子科技大學(xué)出版社，2003.[5] 劉克龍，[J].淮陰工業(yè)學(xué)院學(xué)報：計算機科學(xué)技術(shù)版，2005，46（6）：1114.[6] 張凡，[J].深圳大學(xué)學(xué)報：計算機科學(xué)技術(shù)版，2006，24（5）：1219.[7] [M].北京：電子工業(yè)出版社，2005.[8] 鄧吉，[M].北京：電子工業(yè)出版社，2006.[9] [M].北京：.[10][M].機械工業(yè)出版社，2004.[11][M].北京：.[12][M].北京: of Firewall technologyGuo Li Abstract：To protect the personal puter, the server and the network resource from attacking and keep them safe from being destroyed, the firewall technology is popular used and applied successfully in network safeguard paper mainly analyzes the application of firewall from a point of practical usage and expound the applied design of firewall in the end after introducing several techniques and applied words：Firewall。Firewall technology。Firewall application pattern。Firewall using design第14頁(共14頁)第四篇：畢業(yè)論文(防火墻的技術(shù)與應(yīng)用)* * * * 學(xué)院畢業(yè)論文課題名稱： 防火墻的技術(shù)與應(yīng)用 作 者： 學(xué) 號： 系 別： 電子工程系 專 業(yè)： 指導(dǎo)教師：20**年**月**日中文摘要防火墻的技術(shù)與應(yīng)用摘要計算機網(wǎng)絡(luò)安全已成為當今信息時代的關(guān)鍵技術(shù)。當前網(wǎng)絡(luò)安全問題存在著計算機病毒，計算機黑客攻擊等問題。網(wǎng)絡(luò)安全問題有其先天的脆弱性，黑客攻擊的嚴重性，網(wǎng)絡(luò)殺手集團性和破壞手段的多無性，解決網(wǎng)絡(luò)安全問題重要手段就是防火墻技術(shù)。走在中國特色的防火墻技術(shù)發(fā)展之路,是確保我國網(wǎng)絡(luò)安全的有效途徑。防火墻技術(shù)的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。本文重點介紹防火墻技術(shù)的基本概念和系統(tǒng)結(jié)構(gòu)，討論了實現(xiàn)防火墻的兩種主要技術(shù)手段：一種是基于分組過濾技術(shù)(Packet filtering)，它的代表是在篩選路由器上實現(xiàn)的防火墻功能；一種是基于代理技術(shù)(Proxy)，它的代表是在應(yīng)用層網(wǎng)關(guān)上實現(xiàn)的防火墻功能。關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；技術(shù)；功能I 鄭州電子信息職業(yè)技術(shù)學(xué)院2011屆畢業(yè)論文目 錄中文摘要.................................................................I 1 引言.........