【導(dǎo)讀】查閱：1、各書店、2、圖書館、Inter。另外，還可以做一些。市場調(diào)查，并結(jié)合自身社會實踐活動經(jīng)驗總結(jié)。[4]周筱連,計算機網(wǎng)絡(luò)安全防護(hù)[J],電腦知識與技術(shù),2021,:148.[8][M].北京:電子工業(yè)出版社,2021.[13]付歌，楊明福，[14]〕韓曉非，王學(xué)光，[15]韓曉非，楊明福，[16]馮東雷，張勇，[17]余勝生，張寧，周敬利，[19]孟濤、[M].，:17一18.或撰寫過的研究成果。量，以保護(hù)內(nèi)部子網(wǎng)。從部署位置來看，防火墻往往位于網(wǎng)絡(luò)出口，是內(nèi)部網(wǎng)。防火墻產(chǎn)品能否成功的一個關(guān)鍵問題。面了解了一個理論上的防火墻。描述了一個模擬的大型離散事件可視化網(wǎng)絡(luò)仿。真器NS-2在Windows下的安裝過程與出錯處理。高防火墻的性能。

　　

【正文】 現(xiàn)內(nèi)部主機與外部站點的透明連接，并對服務(wù)的通行實行嚴(yán)格控制。5) 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)第四代防火墻利用 NAT 技術(shù)能透明地對所有內(nèi)部地址做轉(zhuǎn)換，使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時允許內(nèi)部網(wǎng)絡(luò)使用自己編的 IP 源地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。6)Inter 網(wǎng)關(guān)技術(shù)由于是直接串聯(lián)在網(wǎng)絡(luò)之中，第四代防火墻必須支持用戶在 Inter 互聯(lián)的所有服務(wù)，同時還要防止與 Inter 服務(wù)有關(guān)的安全漏洞，故它要能夠以多種安全的應(yīng)用服務(wù)器(包括 FTP、Finger、mail、Ident、News、WWW 等)來實防火墻技術(shù)研究33現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性，對所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用(chroot)”做物理上的隔離。  在域名服務(wù)方面，第四代防火墻采用兩種獨立的域名服務(wù)器：一種是內(nèi)部 DNS 服務(wù)器，主要處理內(nèi)部網(wǎng)絡(luò)和 DNS 信息；另一種是外部 DNS 服務(wù)器，專門用于處理機構(gòu)內(nèi)部向 Inter 提供的部分 DNS 信息。在匿名 FTP 方面，服務(wù)器只提供對有限的受保護(hù)的部分目錄的只讀訪問。在 WWW 服務(wù)器中，只支持靜態(tài)的網(wǎng)頁，而不允許圖形或 CGI 代碼等在防火墻內(nèi)運行。在 Finger 服務(wù)器中，對外部訪問，防火墻只提供可由內(nèi)部用戶配置的基本的文本信息，而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP 與 POP 郵件服務(wù)器要對所有進(jìn)、出防火墻的郵件做處理，并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境。Ident 服務(wù)器對用戶連接的識別做專門處理，網(wǎng)絡(luò)新聞服務(wù)則為接收來自 ISP 的新聞開設(shè)了專門的磁盤空間。7)安全服務(wù)器網(wǎng)絡(luò)(SSN)為了適應(yīng)越來越多的用戶向 Inter 上提供服務(wù)時對服務(wù)器的需要，第四代防火墻采用分別保護(hù)的策略對用戶上網(wǎng)的對外服務(wù)器實施保護(hù)，它利用一張網(wǎng)卡將對外服務(wù)器作為一個獨立網(wǎng)絡(luò)處理，對外服務(wù)器既是內(nèi)部網(wǎng)絡(luò)的一部分，又與內(nèi)部網(wǎng)關(guān)完全隔離，這就是安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù)。而對 SSN 上的主機既可單獨管理，也可設(shè)置成通過 FTP、Telne t 等方式從內(nèi)部網(wǎng)上管理。SSN 方法提供的安全性要比傳統(tǒng)的“隔離區(qū)(DMZ )”方法好得多，因為 SSN與外部網(wǎng)之間有防火墻保護(hù)，SSN 與局部網(wǎng)之間也有防火墻的保護(hù)，而 DMZ只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之，一旦SSN 受破壞，內(nèi)部網(wǎng)絡(luò)仍會處于防火墻的保護(hù)之下，而一旦 DMZ 受到破壞，內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。8)用戶鑒別與加密為了減低防火墻產(chǎn)品在 Tel、FTP 等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險，鑒防火墻技術(shù)研究34別功能必不可少。第四代防火墻采用一次性使用的口令系統(tǒng)來作為用戶的鑒別手段，并實現(xiàn)了對郵件的加密。9)用戶定制服務(wù)為了滿足特定用戶的特定需求，第四代防火墻在提供眾多服務(wù)的同時，還為用戶定制提供支持，這類選項有：通用 TCP、出站 UDP、FTP 、SMTP 等，如果某一用戶需要建立一個數(shù)據(jù)庫的代理，便可以利用這些支持，方便設(shè)置。10)審計和告警第四代防火墻產(chǎn)品采用的審計和告警功能十分健全，日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進(jìn)站代理、FTP 代理、出站代理、郵件服務(wù)器、名服務(wù)器等。告警功能會守住每一個 TCP 或UDP 探尋，并能以發(fā)出郵件、聲響等多種方式報警。  此外，第四代防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面具有特色。 第四代防火墻的抗攻擊能力作為一種安全防護(hù)設(shè)備，防火墻在網(wǎng)絡(luò)中自然是眾多攻擊者的目標(biāo)，故抗攻擊能力也是防火墻的必備功能。在 Inter 環(huán)境中針對防火墻的攻擊很多，下面從幾種主要的攻擊方法來評估第四代防火墻的抗攻擊能力。 1) 抗 IP 假冒攻擊IP 假冒是指一個非法的主機假冒內(nèi)部的主機地址，騙取服務(wù)器的“信任” ，從而達(dá)到對網(wǎng)絡(luò)的攻擊目的。由于第四代防火墻已經(jīng)將網(wǎng)內(nèi)的實際地址隱蔽起來，外部用戶很難知道內(nèi)部的 IP 地址，因而難以攻擊。 2)抗特洛伊木馬攻擊特洛伊木馬能將病毒或破壞性程序傳入計算機網(wǎng)絡(luò)，且通常是將這些惡意程序隱蔽在正常的程序之中，尤其是熱門程序或游戲，一些用戶下載并執(zhí)行這防火墻技術(shù)研究35一程序，其中的病毒便會發(fā)作。第四代防火墻是建立在安全的操作系統(tǒng)之上的，其內(nèi)核中不能執(zhí)行下載的程序，故而可以防止特洛伊木馬的發(fā)生。必須指出的是，防火墻能抗特洛伊木馬的攻擊并不表明其保護(hù)的某個主機也能防止這類攻擊。事實上，內(nèi)部用戶可以通過防火墻下載程序，并執(zhí)行下載的程序。3)抗口令字探尋攻擊在網(wǎng)絡(luò)中探尋口令的方法很多，最常見的是口令嗅探和口令解密。嗅探是通過監(jiān)測網(wǎng)絡(luò)通信，截獲用戶傳給服務(wù)器的口令字，記錄下來，以便使用；解密是指采用強力攻擊、猜測或截獲含有加密口令的文件，并設(shè)法解密。此外，攻擊者還常常利用一些常用口令字直接登錄。第四代防火墻采用了一次性口令字和禁止直接登錄防火墻措施，能夠有效防止對口令字的攻擊。4)抗網(wǎng)絡(luò)安全性分析網(wǎng)絡(luò)安全性分析工具是提供管理人員分析網(wǎng)絡(luò)安全性之用的，一旦這類工具用作攻擊網(wǎng)絡(luò)的手段，則能夠比較方便地探測到內(nèi)部網(wǎng)絡(luò)的安全缺陷和弱點所在。目前，SATA 軟件可以從網(wǎng)上免費獲得，Inter Scanner 可以從市面上購買，這些分析工具給網(wǎng)絡(luò)安全構(gòu)成了直接的威脅。第四代防火墻采用了地址轉(zhuǎn)換技術(shù)，將內(nèi)部網(wǎng)絡(luò)隱蔽起來，使網(wǎng)絡(luò)安全分析工具無法從外部對內(nèi)部網(wǎng)絡(luò)做分析。5)抗郵件詐騙攻擊郵件詐騙也是越來越突出的攻擊方式，第四代防火墻不接收任何郵件，故難以采用這種方式對它攻擊，同樣值得一提的是，防火墻不接收郵件，并不表示它不讓郵件通過，實際上用戶仍可收發(fā)郵件，內(nèi)部用戶要防郵件詐騙，最終的解決辦法是對郵件加密。防火墻技術(shù)研究36第六章 結(jié)論隨著 Inter/Intra 技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問題必然將愈來愈引起人們的重視。防火墻技術(shù)作為目前用來實現(xiàn)網(wǎng)絡(luò)安措施的一種主要手段，它主要是用來拒絕未經(jīng)授權(quán)用戶的訪問，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙的訪問網(wǎng)絡(luò)資源。如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)安全。但是沒有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問題，比如防火墻雖然能對來自外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的保護(hù)，但對于來自網(wǎng)絡(luò)內(nèi)部的攻擊卻無能為力。事實上 60%以上的網(wǎng)絡(luò)安全問題來自網(wǎng)絡(luò)內(nèi)部。因此網(wǎng)絡(luò)安全單靠防火墻是不夠的，還需要有其它技術(shù)和非技術(shù)因素的考慮，如信息加密技術(shù)、身份驗證技術(shù)、制定網(wǎng)絡(luò)法規(guī)、提高網(wǎng)絡(luò)管理人員的安全意識防火墻技術(shù)研究37參考文獻(xiàn) [1] 蘇金樹 計算機網(wǎng)絡(luò)應(yīng)用基礎(chǔ)[M]長沙 國防科技大學(xué)出版社, 2021[2] 張小斌 嚴(yán)望佳 黑客分析與防范技術(shù)[M] 清華大學(xué)出版社 1999[3] 周賢偉, 信息網(wǎng)絡(luò)與安全[M],北京:國防工業(yè)出版社,2021[4] 周筱連,計算機網(wǎng)絡(luò)安全防護(hù)[J],電腦知識與技術(shù),2021,(1):148.[5] Brewer D, Nash M. The Chinese Wall Security Policy. IEEE Symposium on Security and Privacy IEEE [J] Computer Society Press, 2021[6] 金雷,謝立,網(wǎng)絡(luò)安全綜述[J] ,計算機工程與設(shè)計 2021 ,24 (2) [7] Chapman D B Elizabeth D Z ,構(gòu)筑因特網(wǎng)防火墻[M]( 北京) 電子工業(yè)出版社 1998[8] [M].北京:電子工業(yè)出版社,2021. [9] Millen J K. Models of multilevel puter security Advances in Computers,1978 (29).[10] Frederic J. Cooper, et al. Implementing Inter [J] New Riders Publishing 1995[11] (美)jack and Steven 著 [M].北京:機械工業(yè)出版社,2021[12] 付歌，30(6):76 一 78[13] 付歌，楊明福，(8):63 一 65[14] 〕韓曉非，王學(xué)光，29(5):504 一 508防火墻技術(shù)研究38[15] 韓曉非，楊明福，(29):188 一 192[16] 馮東雷，張勇，40(3):387 一 392[17] 余勝生，張寧，周敬利，30(7):49 一 51[18] [M].，23(6):311 一 312.[19] 孟濤、[M].，(4):17 一 18.[20] [Z]. E .[21] ，20(l):57 一62防火墻技術(shù)研究39致謝通過這段時間的畢業(yè)論文，使我學(xué)會了很多的知識，雖然仍有很多不足之處有待改良和增進(jìn)，但這并不重要，重要的是我對網(wǎng)絡(luò)安全有了更深的了解。在這次畢業(yè)論文的撰寫過程中，我得到了很多老師的指點以及同學(xué)和朋友的幫助，在此，我忠誠的向他們表示感謝。首先，我要特別感謝劉智斌老師對我的悉心指導(dǎo)，在整個過程中劉老師幫助我收集文獻(xiàn)資料，理清思路，并對我所做的論文從方法上給予我很多的指導(dǎo)和幫助，還有論文的選題、文章結(jié)構(gòu)的構(gòu)筑到最后的定稿，都得到了劉老師的細(xì)心指點和提攜，在此期間還對我提出了有效的改進(jìn)方案，使我對自己的論文有了深刻的認(rèn)識。劉老師淵博的知識、嚴(yán)謹(jǐn)?shù)淖黠L(fēng)、誨人不倦的態(tài)度和學(xué)術(shù)上精益求精的精神讓我受益終生。其次，真誠的感謝其他的老師們，他們在我寫論文的過程中給我提出了寶貴的意見。此外，真誠的感謝系里的領(lǐng)導(dǎo)以及實驗室的管理員們，他們給我提供了良好的學(xué)習(xí)和實踐的環(huán)境，還有在我在做畢業(yè)論文這段時間內(nèi)所有的幫助過我的同學(xué)們。在他們的幫助下，我的論文才得以完成。我還要感謝其他所有鼓勵和幫助過我的老師、同學(xué)和朋友們，雖然無法將他們的姓名逐一列出，但都將在我的腦海里留下永久的記憶。最后還要感謝我的父母，在我求學(xué)期間，他們?yōu)榇烁冻隽嗽S多許多，他們無盡的愛和毫無保留的支持給了我不斷前進(jìn)的動力。防火墻技術(shù)研究40附錄A：攻擊偽造剖析 Snort 簽名規(guī)則集，然后使用偽造的源地址構(gòu)造一個匹配這些簽名的數(shù)據(jù)包是極其容易的。附錄 A 討論了一個 Perl 腳本示例（與 fwsnort 項目一起發(fā)布），該腳本就是用來做這件事情的。B：一個完整的 fwsnot 腳本fwsnort 項目創(chuàng)建一個 shell 腳本自動執(zhí)行 iptables 命令，必須執(zhí)行這些命令才能創(chuàng)建一個能夠檢測應(yīng)用層攻擊的 iptables 策略。附錄 B 包含了一個由 fwsnort 生成的 腳本的完整示例。fwsnort 項目創(chuàng)建一個 shell 腳本自動執(zhí)行 iptables 命令，必須執(zhí)行這些命令才能創(chuàng)建一個能夠檢測應(yīng)用層攻擊的 iptables 策略。附錄 B 包含了一個由 fwsnort 生成的 腳本的完整示例。本書采用的是一種高度實用的寫法。理解概念的最好方法莫過于研究實例，而研究源代碼或仔細(xì)檢查數(shù)據(jù)包跟蹤總是理解計算機工作原理的最佳方式。希望讀者通過閱讀本書，可以掌握使用 iptables 來檢測并處理網(wǎng)絡(luò)攻擊的實用知識防火墻技術(shù)研究4