【文章內(nèi)容簡(jiǎn)介】 并且只能通過(guò)與堡壘主機(jī)建立連接來(lái)訪(fǎng)問(wèn)內(nèi)部網(wǎng)提供的服務(wù)。由于這種應(yīng)用模式設(shè)有兩道安全屏障，并且是由兩種不同的防火墻構(gòu)成的，可以?xún)?yōu)勢(shì)互補(bǔ)和相互協(xié)調(diào)。因此，具有較高的第8頁(yè)(共14頁(yè))安全性，并且比較靈活。（Screened Subnet Gateway）這種應(yīng)用模式是在內(nèi)部網(wǎng)與internet之間設(shè)置一個(gè)獨(dú)立的屏蔽子網(wǎng)，在內(nèi)部網(wǎng)與屏蔽子網(wǎng)之間和屏蔽子網(wǎng)與Internet之間都要沒(méi)置一個(gè)屏蔽路由器，堡壘主機(jī)連接在屏蔽子網(wǎng)上。堡壘主機(jī)是惟一的內(nèi)部網(wǎng)和Internet都能訪(fǎng)問(wèn)的系統(tǒng)，但要受到屏蔽路由器過(guò)濾規(guī)則的限制。參見(jiàn)圖5：屏蔽子網(wǎng)內(nèi)部網(wǎng)堡壘 主機(jī)堡壘主機(jī)屏蔽 路由器INTERNET圖5 屏蔽子網(wǎng)網(wǎng)關(guān)在這種應(yīng)用模式中，內(nèi)部服務(wù)器設(shè)有三道安全屏障：兩個(gè)屏蔽路由器和堡壘主機(jī)，入侵者要入侵內(nèi)部網(wǎng)必須攻破兩個(gè)屏蔽路由器和堡壘主機(jī)，這顯然是相當(dāng)困難的。因此，具有更高的安全性，比較適合保護(hù)大型的網(wǎng)絡(luò)，但成本也比較高。防火墻的應(yīng)用設(shè)計(jì)根據(jù)行業(yè)特征和應(yīng)用性質(zhì)可將網(wǎng)絡(luò)系統(tǒng)大致分成校園網(wǎng)、企業(yè)網(wǎng)、商務(wù)網(wǎng)、金融網(wǎng)、政務(wù)網(wǎng)以及軍用網(wǎng)等。這些網(wǎng)絡(luò)系統(tǒng)的安全需求是不相同的，必須采用與其應(yīng)用性質(zhì)相適應(yīng)的安全措施來(lái)構(gòu)建完整的網(wǎng)絡(luò)安全體系。以滿(mǎn)足各種網(wǎng)絡(luò)系統(tǒng)的安全需求，完整的網(wǎng)絡(luò)安全體系應(yīng)當(dāng)包括防護(hù)、檢測(cè)、響應(yīng)和管理等各個(gè)環(huán)節(jié)，不是單靠某一種安全技本來(lái)解決的，也要形成一個(gè)動(dòng)態(tài)的安全防護(hù)系統(tǒng)。其中，防火墻是整個(gè)網(wǎng)絡(luò)安全體系的基礎(chǔ)和關(guān)鍵環(huán)節(jié)，也是一種常用的安全防護(hù)技術(shù)，它作為第一道安全屏障最容易受到人侵者的攻擊。因此，除了防火墻本身應(yīng)具有較好的安全防護(hù)能力之外，防火墻的應(yīng)用方案設(shè)計(jì)也是十分重要的。第9頁(yè)(共14頁(yè))防火墻的應(yīng)用方案設(shè)計(jì)一般包括安全需求分析、網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)和安全策略設(shè)計(jì)3部分。根據(jù)網(wǎng)絡(luò)應(yīng)用性質(zhì)，可以將網(wǎng)絡(luò)應(yīng)用環(huán)境分成3種：開(kāi)放的、專(zhuān)用的和內(nèi)部的。不同的網(wǎng)絡(luò)應(yīng)用環(huán)境所面臨的安全風(fēng)險(xiǎn)和需求是不同的，其安全解決方案也有所不同。（1）開(kāi)放的網(wǎng)絡(luò)應(yīng)用環(huán)境：在開(kāi)放的網(wǎng)絡(luò)應(yīng)用環(huán)境中，網(wǎng)絡(luò)服務(wù)和信息內(nèi)容向internet上的所有用戶(hù)完全開(kāi)放，如連接在Internet上的各種開(kāi)放的Web服務(wù)器等。這種開(kāi)放的應(yīng)用環(huán)境一般不存在信息內(nèi)容保密和用戶(hù)身份驗(yàn)證問(wèn)題，它所面臨的安全風(fēng)險(xiǎn)是拒絕服務(wù)（Dos）篡改網(wǎng)頁(yè)內(nèi)容以及被非法利用等。這些安全風(fēng)險(xiǎn)需要采用多種安全措施來(lái)防范，包括使用接納控制技術(shù)阻止入侵者非法獲取系統(tǒng)控制權(quán)、使用防火墻技術(shù)過(guò)濾“有害”的信息，使用“補(bǔ)丁”程序來(lái)阻塞系統(tǒng)安全漏洞，使用入侵檢測(cè)技術(shù)來(lái)檢測(cè)和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為等。這種應(yīng)用環(huán)境的安全要求相對(duì)較低，防火墻的作用是次要的，必要時(shí)可采用屏蔽路由器模式。（2）專(zhuān)用的網(wǎng)絡(luò)應(yīng)用環(huán)境：在專(zhuān)用的網(wǎng)絡(luò)應(yīng)用環(huán)境中，網(wǎng)絡(luò)服務(wù)和信息內(nèi)容是半開(kāi)放的。只允許授權(quán)用戶(hù)通過(guò)Internet來(lái)訪(fǎng)問(wèn)。這些授權(quán)用戶(hù)是可信任的，他們通常是商業(yè)合作伙伴或者本單位的外地員工。這種專(zhuān)用的應(yīng)用環(huán)境所面臨的安全風(fēng)險(xiǎn)是假冒合法用戶(hù)獲取信息以及信息傳輸過(guò)程中被非法截獲或者篡改等。前者屬于網(wǎng)絡(luò)安全問(wèn)題，主要是用防火墻等技術(shù)來(lái)防范；后者屬于信息安全問(wèn)題，主要采用VPN等枝術(shù)來(lái)解決信息傳輸過(guò)程中的數(shù)據(jù)機(jī)密性和數(shù)據(jù)完整性問(wèn)題。在這種網(wǎng)絡(luò)應(yīng)用環(huán)境中，一般要在內(nèi)部網(wǎng)與Internet之間設(shè)置防火墻，并通過(guò)安全規(guī)則來(lái)控制外部用戶(hù)對(duì)內(nèi)部網(wǎng)資源（如Web服務(wù)器和其他服務(wù)器）的訪(fǎng)問(wèn)。根據(jù)網(wǎng)絡(luò)服務(wù)的安全要求，選擇適當(dāng)?shù)姆阑饓?yīng)用模式來(lái)建立網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。除了防火墻外，還應(yīng)當(dāng)使用VPN技術(shù)、基于數(shù)字證書(shū)的訪(fǎng)問(wèn)控制技術(shù)等來(lái)解決信息交換安全問(wèn)題。（3）內(nèi)部的網(wǎng)絡(luò)應(yīng)用環(huán)境：在內(nèi)部的網(wǎng)絡(luò)應(yīng)用環(huán)境中，內(nèi)部網(wǎng)與Internet是物理隔離的，網(wǎng)絡(luò)服務(wù)器沒(méi)置在內(nèi)部網(wǎng)，只允許內(nèi)部用戶(hù)通過(guò)內(nèi)部網(wǎng)訪(fǎng)問(wèn)網(wǎng)絡(luò)服務(wù)器，這是一種封閉的網(wǎng)絡(luò)環(huán)境。它所面臨的安全風(fēng)險(xiǎn)是內(nèi)部用戶(hù)的非授權(quán)訪(fǎng)問(wèn)，竊取和泄露機(jī)密信息等。其防范措施主要側(cè)重第10頁(yè)(共14頁(yè))于解決內(nèi)部用戶(hù)對(duì)內(nèi)部網(wǎng)的攻擊問(wèn)題，如采用VLAN、訪(fǎng)問(wèn)控制、安全審計(jì)和安全管理等防范措施。由于不同的網(wǎng)絡(luò)應(yīng)用環(huán)境所面臨的安全風(fēng)險(xiǎn)是各不相同的，不能一概而論。因此必須針對(duì)不同網(wǎng)絡(luò)應(yīng)用環(huán)境所面臨的安全風(fēng)險(xiǎn)采取適當(dāng)?shù)陌踩胧﹣?lái)增強(qiáng)系統(tǒng)安全性。在系統(tǒng)安全性、網(wǎng)絡(luò)性能損失和系統(tǒng)費(fèi)用等方面尋找一個(gè)最佳平衡點(diǎn)，減少盲目性。在上述的4種防火墻應(yīng)用模式中，每一種應(yīng)用模式所提供的安全防護(hù)能力和系統(tǒng)費(fèi)用都是不相同的。在網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)中，應(yīng)當(dāng)根據(jù)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全需求來(lái)構(gòu)造網(wǎng)絡(luò)安全體系。在安全要求不高的情況下，一般采用屏蔽路由器或雙宿主機(jī)網(wǎng)關(guān)應(yīng)用模式來(lái)構(gòu)造網(wǎng)絡(luò)安全系統(tǒng)。這樣在滿(mǎn)足系統(tǒng)安全需求前提下，有利于降低系統(tǒng)費(fèi)用，簡(jiǎn)化網(wǎng)絡(luò)管理。在屏蔽路由器或雙穴主機(jī)網(wǎng)關(guān)應(yīng)用模式不能滿(mǎn)足系統(tǒng)安全需求的情況下，可以考慮采用屏蔽主機(jī)網(wǎng)關(guān)或屏蔽子網(wǎng)網(wǎng)關(guān)應(yīng)用模式。例如：在基于屏蔽子網(wǎng)網(wǎng)關(guān)應(yīng)用模式構(gòu)建的網(wǎng)絡(luò)安全系統(tǒng)中，必須將內(nèi)部網(wǎng)劃分為3個(gè)子網(wǎng)：內(nèi)部子網(wǎng)、屏蔽子網(wǎng)與外部網(wǎng)（如Internet）。不同子網(wǎng)的安全需求是不同的。屏蔽子網(wǎng)網(wǎng)關(guān)模式采用了兩個(gè)屏蔽路由器，一個(gè)位于內(nèi)都子網(wǎng)和屏蔽子網(wǎng)之間的內(nèi)部屏蔽路由器；另一個(gè)位子屏蔽子網(wǎng)與外部網(wǎng)之間的外部屏蔽路由器。從網(wǎng)絡(luò)體系結(jié)構(gòu)上通過(guò)屏蔽子網(wǎng)將內(nèi)部子網(wǎng)與不可信的外部網(wǎng)隔離開(kāi)。外部屏蔽路由器的作用是保證外部網(wǎng)發(fā)來(lái)的數(shù)據(jù)包只能到達(dá)屏蔽子網(wǎng)，而且只能將屏蔽子網(wǎng)中的數(shù)據(jù)包輸出到外部網(wǎng)上。內(nèi)部屏蔽路由器的作用是保證內(nèi)部網(wǎng)發(fā)來(lái)的數(shù)據(jù)包只能輸出到屏蔽子網(wǎng)上，而不能到達(dá)外部網(wǎng)。這樣內(nèi)部網(wǎng)和外部網(wǎng)之間不能直接通信，雙方都只能到達(dá)屏蔽子網(wǎng)。由于屏蔽子網(wǎng)是內(nèi)部子網(wǎng)與外部網(wǎng)之間的隔離區(qū)，所以屏蔽子網(wǎng)也稱(chēng)為“非軍事區(qū)”或“?；饏^(qū)”。圖6所示是一種基于屏蔽子網(wǎng)網(wǎng)關(guān)應(yīng)用模式的網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)。第11頁(yè)(共14頁(yè))圖6 網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)內(nèi)部屏蔽路由器還應(yīng)當(dāng)提供網(wǎng)絡(luò)地址翻譯器（NAT）功能。NAT允許在內(nèi)部網(wǎng)絡(luò)中使用私有IP地址。而私有IP地址在internet中是不可見(jiàn)的，可見(jiàn)的只是代理服務(wù)器的公用IP地址。這樣，在屏蔽內(nèi)部子網(wǎng)結(jié)構(gòu)的同時(shí)，還解決了公用IP地址短缺問(wèn)題。對(duì)于各種對(duì)外開(kāi)放的網(wǎng)絡(luò)服務(wù)器，如Web服務(wù)器、FTP服務(wù)器、Email服務(wù)器以及DNS服務(wù)器等可以放置在屏蔽子網(wǎng)中。為了使內(nèi)部用戶(hù)能夠仿問(wèn)Internet，在屏蔽子網(wǎng)上設(shè)置一個(gè)堡壘主機(jī)，提供代理服務(wù)器功能。這樣，既可以使外部用戶(hù)能方便瀏覽開(kāi)放的信息服務(wù)、與內(nèi)部網(wǎng)用戶(hù)交換郵件等，又防止了外部用戶(hù)攻擊內(nèi)部網(wǎng)，篡改數(shù)據(jù)或破壞系統(tǒng)。在這種網(wǎng)絡(luò)安全體系結(jié)構(gòu)中，入侵者想要攻擊內(nèi)部網(wǎng)，必須連續(xù)地攻破外部分組過(guò)濾器、代理服務(wù)器和內(nèi)部分組過(guò)濾器等三道防火墻。即使高明的黑客也是相當(dāng)困難的。合理地配置防火墻可以防御多種網(wǎng)絡(luò)攻擊，例如：（1）在防火墻中配置多塊網(wǎng)卡，不同的網(wǎng)卡對(duì)應(yīng)于不同的網(wǎng)段，通過(guò)將網(wǎng)卡與對(duì)應(yīng)網(wǎng)段綁定，可以防御IP地址欺騙的攻擊。（2）在防火墻中阻塞ICMP報(bào)文，只允許某些類(lèi)型（如回應(yīng)請(qǐng)求類(lèi)型）的ICMP報(bào)文通過(guò)，可以防御“Ping Of death”之類(lèi)的攻擊。（3）在防火墻中阻塞ActiveX和Java Applets程序，可以防御惡意程序?qū)?nèi)部主機(jī)進(jìn)行攻擊。（4）在防火墻中使用NAT功能，所有從防火墻流出的IP數(shù)據(jù)包的源地址均為防火墻上保留的合法IP地址，不僅可以使內(nèi)部主機(jī)共享有限的 Internet IP地址，而且能夠隱藏內(nèi)部網(wǎng)絡(luò)信息。（5）在防火墻中使用認(rèn)證功能，可以對(duì)主機(jī)地址、網(wǎng)卡地址和主機(jī)名進(jìn)行認(rèn)證，還可以對(duì)用戶(hù)身份進(jìn)行認(rèn)證，例如采用口令認(rèn)證、RADIUS認(rèn)證以及硬件參與認(rèn)證等，可以防御地址欺騙、身份假冒等攻擊。另外，對(duì)于處于不同地理位置上的內(nèi)部網(wǎng)通過(guò)Internet交換信息時(shí)，可以采用VPN技術(shù)來(lái)解決信息傳輸過(guò)程中的數(shù)據(jù)機(jī)密性和數(shù)據(jù)完整性問(wèn)題。在這種情況下，應(yīng)當(dāng)在屏蔽子網(wǎng)設(shè)置一個(gè)VPN網(wǎng)關(guān)，兩個(gè)內(nèi)部網(wǎng)之間通過(guò)VPN網(wǎng)關(guān)建立一個(gè)安全的傳輸隧道，實(shí)現(xiàn)數(shù)據(jù)安全傳輸。這意味著可信的外部用戶(hù)只能邁過(guò)VPN隧道穿越內(nèi)部網(wǎng)的防火墻，而在建立VPN隧道時(shí)，雙方的身份是經(jīng)過(guò)認(rèn)證的，都是可信的用戶(hù)。第12頁(yè)(共14頁(yè))在圖6所示的網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)中，設(shè)有3個(gè)防火墻：外部分組過(guò)濾器（由外部屏蔽路由器提供）、內(nèi)部分組過(guò)濾器（由內(nèi)部屏蔽路由器提供）和代理服務(wù)器（由堡壘主機(jī)提供）。根據(jù)網(wǎng)絡(luò)應(yīng)用的安全需求，必須分別為它們?cè)O(shè)計(jì)安全策略和規(guī)則。（1）外部分組過(guò)濾器：外部分組過(guò)濾的缺省規(guī)則為禁止所有服務(wù)。主機(jī)規(guī)則為允許外部用戶(hù)訪(fǎng)問(wèn)屏蔽子網(wǎng)中開(kāi)放的服務(wù)器（如 Web服務(wù)器、FTP服務(wù)器等），允許外部用戶(hù)連接安全代理服務(wù)器。每次連接都要產(chǎn)生日志記錄，供以后安全審計(jì)使用。（2）內(nèi)部分組過(guò)濾器：內(nèi)部分組過(guò)濾的缺省規(guī)則為禁止所有服務(wù)。主機(jī)規(guī)則為允許內(nèi)部用戶(hù)連接屏蔽子網(wǎng)中的主機(jī)。每次連接都要產(chǎn)生日志記錄。通過(guò)地址轉(zhuǎn)換功能，使所有使用內(nèi)部IP地址的用戶(hù)都能共用一個(gè)合法外都IP地址訪(fǎng)問(wèn)外部網(wǎng)絡(luò)（如Internet）。（3）代理服務(wù)器：代理服務(wù)器的缺省規(guī)則為禁止聽(tīng)有連接．它允許內(nèi)部用戶(hù)訪(fǎng)向外部網(wǎng)絡(luò)的web站點(diǎn)，并提供代理功能，對(duì)所代理的連接進(jìn)行安全檢查，禁止內(nèi)部用戶(hù)訪(fǎng)問(wèn)非法站點(diǎn)，并產(chǎn)生日志記錄。它還為內(nèi)部郵件服務(wù)器與外部郵件服務(wù)器之間的連接提供代理。對(duì)郵件的大小、數(shù)量，發(fā)送者、接收者，甚至內(nèi)容進(jìn)行檢查，并產(chǎn)生日志記錄。它在代理 Telnet和 FTP內(nèi)部服務(wù)器時(shí)，要求驗(yàn)證用戶(hù)的身份，允許合法用戶(hù)以規(guī)定的權(quán)限上載和下載服務(wù)器中的文件，并產(chǎn)生日志記錄。為了支持防火墻的系統(tǒng)配置、規(guī)則設(shè)置、日志查看和安全審計(jì)等管理操作，一般的防火墻產(chǎn)品都提供一種圖形化界面的管理軟件。在完成網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計(jì)和各個(gè)防火墻的安全策略設(shè)計(jì)后，便可以著手配置各個(gè)防火墻的系統(tǒng)參數(shù)和安全規(guī)則。在網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)體系結(jié)構(gòu)發(fā)生變化時(shí)，應(yīng)當(dāng)及時(shí)修改防火墻的安全策略，避免可能產(chǎn)生的安全漏洞。在防火墻工作過(guò)程中，可以通過(guò)管理軟件監(jiān)視防火墻的日志信息，定期進(jìn)行安全審計(jì)，及時(shí)發(fā)現(xiàn)系統(tǒng)可能存在的安全漏洞，入侵者的攻擊行為以及其他違反安全規(guī)則的行為，為網(wǎng)絡(luò)安全管理提供決策依據(jù)。結(jié)束語(yǔ)第13頁(yè)(共14頁(yè))本論文主要研究防火墻技術(shù)的應(yīng)用，從防火墻的簡(jiǎn)單概述展開(kāi)，描述了防火墻的四種技術(shù)，防火墻的應(yīng)用模式。最后，闡述了防火墻的應(yīng)用設(shè)計(jì)。旨在展望網(wǎng)絡(luò)安全，即防火墻技術(shù)的未來(lái)狀況。參 考 文 獻(xiàn)[1] [M].西安：西北工業(yè)大學(xué)出版社，2004.[2] [J].淮陰工業(yè)學(xué)院學(xué)報(bào)：計(jì)算機(jī)科學(xué)技術(shù)版，2003，38（4）：2133.[3] 蔣建春，[M].北京：國(guó)防工業(yè)出版社，2005.[4] [M].西安：西安電子科技大學(xué)出版社，2003.[5] 劉克龍，[J].淮陰工業(yè)學(xué)院學(xué)報(bào)：計(jì)算機(jī)科學(xué)技術(shù)版，2005，46（6）：1114.[6] 張凡，[J].深圳大學(xué)學(xué)報(bào)：計(jì)算機(jī)科學(xué)技術(shù)版，2006，24（5）：1219.[7] [M].北京：電子工業(yè)出版社，2005.[8] 鄧吉，[M].北京：電子工業(yè)出版社，2006.[9] [M].北京：.[10][M].機(jī)械工業(yè)出版社，2004.[11][M].北京：.[12][M].北京: of Firewall technologyGuo Li Abstract：To protect the personal puter, the server and the network resource from attacking and keep them safe from being destroyed, the firewall technology is popular used and applied successfully in network safeguard paper mainly analyzes the application of firewall from a point of practical usage and expound the applied design of firewall in the end after introducing several techniques and applied words：Firewall。Firewall technology。Firewall application pattern。Firewall using design第14頁(yè)(共14頁(yè))第四篇：畢業(yè)論文(防火墻的技術(shù)與應(yīng)用)* * * * 學(xué)院畢業(yè)論文課題名稱(chēng)： 防火墻的技術(shù)與應(yīng)用 作 者： 學(xué) 號(hào)： 系 別： 電子工程系 專(zhuān) 業(yè)： 指導(dǎo)教師：20**年**月**日中文摘要防火墻的技術(shù)與應(yīng)用摘要計(jì)算機(jī)網(wǎng)絡(luò)安全已成為當(dāng)今信息時(shí)代的關(guān)鍵技術(shù)。當(dāng)前網(wǎng)絡(luò)安全問(wèn)題存在著計(jì)算機(jī)病毒，計(jì)算機(jī)黑客攻擊等問(wèn)題。網(wǎng)絡(luò)安全問(wèn)題有其先天的脆弱性，黑客攻擊的嚴(yán)重性，網(wǎng)絡(luò)殺手集團(tuán)性和破壞手段的多無(wú)性，解決網(wǎng)絡(luò)安全問(wèn)題重要手段就是防火墻技術(shù)。走在中國(guó)特色的防火墻技術(shù)發(fā)展之路,是確保我國(guó)網(wǎng)絡(luò)安全的有效途徑。防火墻技術(shù)的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。本文重點(diǎn)介紹防火墻技術(shù)的基本概念和系統(tǒng)結(jié)構(gòu)，討論了實(shí)現(xiàn)防火墻的兩種主要技術(shù)手段：一種是基于分組過(guò)濾技術(shù)(Packet filtering)，它的代表是在篩選路由器上實(shí)現(xiàn)的防火墻功能；一種是基于代理技術(shù)(Proxy)，它的代表是在應(yīng)用層網(wǎng)關(guān)上實(shí)現(xiàn)的防火墻功能。關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；技術(shù)；功能I 鄭州電子信息職業(yè)技術(shù)學(xué)院2011屆畢業(yè)論文目 錄中文摘要.................................................................I 1 引言.........