【導讀】薈衿羄節(jié)蒄袈肇肄蒀袇袆莀莆袆罿膃蚅裊肁莈薁襖膃膁蕆袃袃莆莃羃羅腿蟻肈蒞薇羈芀膈薃羀羀蒃葿薇肂芆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆蚃肈節(jié)莂螞膁肅蝕蟻袀芁蚆蟻肅肄薂蝕膅荿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿螆膂莆蒅螅袁膈莁螅羄莄莇螄膆膇蚅螃裊蒂薁螂羈芅蕆螁肀蒁莃螀膂芃螞衿袂肆薈衿羄節(jié)蒄袈肇肄蒀袇袆莀莆袆罿膃蚅裊肁莈薁襖膃膁蕆袃袃莆莃羃羅腿蟻肈蒞薇羈芀膈薃羀羀蒃葿薇肂芆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆蚃肈節(jié)莂螞膁肅蝕蟻袀芁蚆蟻肅肄薂蝕膅荿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿螆膂莆蒅螅袁膈莁螅羄莄莇螄膆膇蚅螃裊蒂薁螂羈芅蕆螁肀蒁莃螀膂芃螞衿袂肆薈衿羄節(jié)蒄袈肇肄蒀袇袆莀莆袆罿膃蚅裊肁莈薁襖膃膁蕆袃袃莆莃羃羅腿蟻肈蒞薇羈芀膈薃羀羀蒃葿薇肂芆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆蚃肈節(jié)莂螞膁肅蝕蟻袀芁蚆蟻肅肄薂蝕膅荿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿螆膂莆蒅螅袁膈莁螅羄莄莇螄膆膇蚅螃裊蒂薁螂羈芅蕆螁肀蒁莃螀膂芃螞衿袂肆薈衿羄節(jié)蒄袈肇肄蒀袇袆莀莆袆罿膃蚅裊肁

　　

【正文】 那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù) ,當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?,并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。防止內(nèi)部信息的外泄，通過利用防火墻對內(nèi)部網(wǎng)絡的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離 ,而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。 防火墻的種類 防火墻技術可根據(jù)防范的方式和側重點的不同 ,總體來講可分為二大類 :分組過濾 ,應用代理。 分組過濾 (Packetfiltering)。作用在網(wǎng)絡層和傳輸層 ,它根據(jù)分組包頭源地址 ,目的地址和端口號 ,協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應的目的地出口端 ,其余數(shù)據(jù)包則被從數(shù)據(jù)流中 丟棄。 應用代理 (ApplicationProxy):也叫應用網(wǎng)關 (ApplicationGateway), 它作用在應用層 ,其特點是完全 阻隔 了網(wǎng)絡通信流通過對每種應用服務編制專門的代理程序 ,實現(xiàn)監(jiān)視和控制應用層通信流的作用 ,實際中的應用網(wǎng)關通常由專用工作站實現(xiàn) 【 8】 。 防火墻的技術原理 目前，防火墻系統(tǒng)的工作原理因?qū)崿F(xiàn)技術不同，大致可分為三種： （ 1）包過濾技術 包過濾技術是一種基于網(wǎng)絡層的防火墻技術。根據(jù)設 置好的過濾規(guī)則，通 19 過檢查 IP 數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。而那些不符合規(guī)定 的 IP 地址會被防火墻過濾掉，由此保證網(wǎng)絡系統(tǒng)的安全。該技術通?？梢赃^濾基于某些或所有下列信息組的 IP 包：源 IP 地址 。目的 IP 地址 。TCP/UDP 源端口 。TCP/UDP 目的端口。包過濾技術實際上是一種基于路由器的技術，其最大優(yōu)點就是價格便宜，實現(xiàn)邏輯簡單便于安裝和使用。 缺點： 1）過濾規(guī)則難以配置和測試。 2）包過濾只訪問網(wǎng)絡層和傳輸層的信息，訪問信息有限，對網(wǎng)絡更高協(xié)議層的信息無理解能力。 3）對一些協(xié)議，如UDP 和 RPC 難以有效的過濾。 （ 2）代理技術 代理技術是與包過濾技術完全不同的另一種防火墻技術。其主要 思想就是在兩個網(wǎng)絡之間設置一個“中間檢查站”，兩邊的網(wǎng)絡應用可以通過這個檢查站相互通信，但是它們之間不能越過它直接通信。這個“中間檢查站”就是代理服務器，它運行在兩個網(wǎng)絡之間，對網(wǎng)絡之間的每一個請求進行檢查。當代理服務器接收到用戶請求后，會檢查用戶請求合法性。若合法，則把請求轉(zhuǎn)發(fā)到真實的服務器上，并將答復再轉(zhuǎn)發(fā)給用戶。代理服務器是針對某種應用服務而寫的，工作在應用層。 優(yōu)點：它將內(nèi)部用戶和外界隔離開來，使得從外面只能看到代理服務器而看不到任何內(nèi)部資源。與包過濾技術相比，代理技術是一種更安全的技術 【 9】 。 缺 點：在應用支持方面存在不足，執(zhí)行速度較慢。 （ 3）狀態(tài)監(jiān)視技術 這是第三代防火墻技術，集成了前兩者的優(yōu)點。能對網(wǎng)絡通信的各層實行檢測。同包過濾技術一樣，它能夠檢測通過 IP 地址、端口號以及 TCP 標記，過濾進出的數(shù)據(jù)包。它允許受信任的客戶機和不受信任的主機建立直接連接，不依靠與應用層有關的代理，而是依靠某種算法來識別進出的應用層數(shù)據(jù)，這些算法通過己知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包，這樣從理論上就能比應用級代理在過濾數(shù)據(jù)包上更有效。 狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應用程序，可方便地實現(xiàn)應用和服務的擴充。此外 ，它還可監(jiān)測 RPC 和 UDP 端口信息，而包過濾和代理都不支持此類端口。這樣，通過對各層進行監(jiān)測，狀態(tài)監(jiān)視器實現(xiàn)網(wǎng)絡安全的目的。目前，多使用狀態(tài)監(jiān)測防火墻，它對用戶透明，在 OSI 最高層上加密數(shù)據(jù)，而無需修改客戶端程序，也無需對每個需在防火墻上運行的服務額外增加一個代理。 要想建立一個真正行之有效的安全的計算機網(wǎng)絡，僅使用防火墻還是不夠，在實際的應用中，防火墻常與其它安全措施，比如加密技術、防病毒技術等綜合應用，才起到防御的最大化的效果。 防火墻的應用 個人防火墻的應用 瑞星個人防火墻的應用 1）安裝 第一步啟動安裝程序。 當把瑞星個人防火墻下載版安裝程序保存到您電腦中的指定目錄后，找到該目錄，雙擊運行安裝程序，就可以進行瑞星個人防火墻下載版的安裝了。 第二步完成安裝后，如圖 ： 20 圖 第三步輸入產(chǎn)品序列號和用戶 ID。 啟動個人防火墻，當出現(xiàn)如圖 下所示的窗口后，在相應位置輸入您購買獲得的產(chǎn)品序列號和用戶 ID，點擊“確定”，通過驗證后則會提示“您的瑞星個人防火墻現(xiàn)在可以正常使用”。 圖 常見問題：不輸入產(chǎn)品序列號和用戶 ID，產(chǎn)品將無法升級，防火墻保護功能將全部失效，您的計算機將無法抵御黑客攻擊。 2）升級 第一步網(wǎng)絡配置： ?打開防火墻主程序 ?在菜單中依次選擇【設置】 /【設置網(wǎng)絡】，打開【網(wǎng)絡設置】窗口 ,如圖 21 圖 1。設定網(wǎng)絡連接方式，如果設定“通過代理服務器訪問網(wǎng)絡”，還需要輸入代理服務器 IP、端口、身份驗證信息。 2。您可以選中【使用安全升級模式】，確保升級期間阻止新的網(wǎng)絡連接 3。點擊【確定】按鈕完成設置 小提示： 1。如果您已經(jīng)可以瀏覽網(wǎng)頁，說明網(wǎng)絡設置已經(jīng)配置好了，這里直接使用默認設置即可。 2。如果您不使用撥號方式上網(wǎng)，將不會看到界面中【使用撥號網(wǎng)絡連接】的選項以及相關設置。 3。請確保此步設置正確，否則可能無法完 成智能升級。 第二步：智能升級 完成網(wǎng)絡配置后，進行智能升級的操作方法： 方法一：點擊主界面右側的【智能升級】按鈕，圖 示 : 圖 方法二：在菜單中依次選擇【操作】 /【智能升級】 方法三：右鍵點擊防火墻托盤圖標，在彈出菜單中選擇【啟動智能升級】 3)啟動瑞星個人防火墻下載版程序 啟動瑞星個人防火墻軟件主程序有三種方法： 方法一：進入【開始】 /【所有程序】 /【瑞星個人防火墻】，選擇【瑞星個人防火墻】即可啟動。 方法二：用鼠標雙擊桌面上的【瑞星個人防火墻】快捷圖標即可啟動。 方法三：用鼠標單擊任務欄“快速啟動”上的【瑞星個人防火墻】快捷圖標 22 即可啟動。 成功啟動程序后的界面如下圖 所示 : 圖 主要界面元素 菜單欄： 用于進行菜單操作的窗口，包括【操作】、【設置】、【幫助】三個菜單。如圖 示 : 圖 操作按鈕： 位于主界面右側，包括【啟動 /停止保護】、【連接 /斷開網(wǎng)絡】、【智能升級】、【查看日志】。如圖 3。 7 示 : 圖 功能：停止防火墻的保護功能，執(zhí)行此功能后，您計算機將不再受瑞星防火墻的保護已處于停止保護狀態(tài)時，此按鈕將變?yōu)椤締⒂帽Ｗo】；點擊將重新啟用防火墻的保護功能，您也可以通過菜單項【操作】 /【停止保護】來執(zhí)行此功能；將您的計算機完全與網(wǎng)絡斷開，就如同拔掉網(wǎng)線或是關掉 Modem 一樣。其他人都不能訪問您的計算機，但是您也不能再訪問網(wǎng)絡。這是在遇到頻繁攻擊時最為有效的應對方法；已經(jīng)斷開網(wǎng)絡后，此項將變?yōu)椤?連接網(wǎng)絡】，點擊將恢復網(wǎng)絡連接；您也可以通過菜單項【操作】 /【斷開網(wǎng)絡】來執(zhí)行此功能；啟動智能升級程序?qū)Ψ阑饓M行升級更新；您也可以通過菜單項【操作】 /【智能升級】來執(zhí)行此功能；啟動日志顯示程序；您也可能通過【操作】 /【顯示日志】來執(zhí)行此 23 功能。 標簽頁： 位于主界面上部，分【工作狀態(tài)】、【系統(tǒng)狀態(tài)】、【游戲保護】、【安全資訊】、【漏洞掃描】、【啟動選項】六個標簽。如圖 3。 8 示 : 圖 3。 8 安全級別： 位于主界面右下角，拖動滑塊到對應的安全級別，修改立即生效。 當前版本及更新日期： 位于主界面右上角，顯示防火墻當前版本及更新日期。 規(guī)則設置 配置防火墻的過濾規(guī)則（如圖 3。 9），包括： 黑名單：在黑名單中的計算機禁止與本機通訊 白名單：在白 名單中的計算機對本地具有完全的訪問權限 端口開關：允許或禁止端口中的通訊，可簡單開關本機與遠程的端口 可信區(qū)：通過可信區(qū)的設置，可以把局域網(wǎng)和互聯(lián)網(wǎng)區(qū)分對待 IP 規(guī)則：在 IP 層過濾的規(guī)則 訪 問 規(guī) 則 ： 本 機 中 訪 問 網(wǎng) 絡 的 程 序 的 過 濾 規(guī) 則 圖 3。 9 防火墻技術在校園網(wǎng)中應用 一、 安裝防火墻 防火墻技術在校園網(wǎng)安全建設中得到廣泛的應用。由于防火墻是一種按某種規(guī)則對專網(wǎng)和互聯(lián)網(wǎng) ,或?qū)ヂ?lián)網(wǎng)的一部分和其余部分之間的信息交換進行有條件的控制 (包括隔離 ),從而阻斷不希望發(fā)生的網(wǎng)絡間通信的系統(tǒng)部署防火墻技術 [10],構筑內(nèi)外網(wǎng)之間的安全屏障 ,可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開來 ,保護校園網(wǎng)絡不受未經(jīng)授權的第三方侵入。 二、 校園網(wǎng)防火墻系統(tǒng)的配置 假定校園網(wǎng)通過 Cisco 路由器與 INTERNET 相連。校園內(nèi)的 IP 地址范圍是確 24 定的 ,且有明確的閉和邊界 ,它有一個 C 類的 IP 地址 ,有 DNS、 Email、 WWW、 FTP等服務器 ,可采用以下存取控制策略。 1) 對進入 CERNET 主干網(wǎng)的存取控制 2) 對網(wǎng)絡中心資源主機的訪問控制 ,網(wǎng)絡中心的 DNS、 Email、 FTP、 WWW 等服 務 器 是 重 要 的 資 源 , 要 特 別 的 保 護 , 可 對 網(wǎng) 絡 中 心 所 在 子 網(wǎng) 禁止 ,DNS,Email,WWW,FTP 以外的一切服務。 3) 對校外非法網(wǎng)址的訪問 ,一般情況 ,一些傳播非法信息的站點主要在校外 ,而這些站點的域名可能是已知的。為防止 IP 地址欺騙和盜用需為對網(wǎng)絡內(nèi)部人員訪問 Inter進行一定限制在連接內(nèi)部網(wǎng)絡的端口接收數(shù)據(jù)時進行 IP地址和以太網(wǎng)地址檢查 ,盜用 IP 地址的數(shù)據(jù)包將被丟棄 ,并記錄有關信息 。再連接 Inter 端接收數(shù)據(jù)時 ,如從外部網(wǎng)絡收到一段假冒內(nèi)部 IP 地址發(fā)出的報文 ,也應丟棄 ,并記錄有關信息。防止 IP 地址被盜用的徹底解決辦法是 :代理服務器防火墻和捆綁 IP 地址和以太網(wǎng)地址 ,對非法訪問的動態(tài)禁止一旦獲得某個 IP 地址的訪問是非法的 ,可立即更改路由器中的存取控制表 ,從而禁止其對外的非法訪問。首先應在路由器和校園網(wǎng)的以太口預設控制組 102,然后過濾掉來自非法地址的所有 IP 包。 25 結論 計算機網(wǎng)絡的安全問題越來越受到人們的重視，一個安全的計算機網(wǎng)絡系統(tǒng)的保護不僅和系統(tǒng)管理員的系統(tǒng)安全知識有關，而且和每個使用者的安全操作等都有關系。網(wǎng)絡安全是動態(tài)的，新的 Inter 黑客站點、病毒與安全技術每日劇增，世界上