【導(dǎo)讀】查閱：1、各書店、2、圖書館、Inter。一些市場調(diào)查，并結(jié)合自身社會(huì)實(shí)踐活動(dòng)經(jīng)驗(yàn)總結(jié)。[4]周筱連,計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)[J],電腦知識(shí)與技術(shù),2021,:148.[8]陳愛民.計(jì)算機(jī)的安全與保密[M].北京:電子工業(yè)出版社,2021.[12]付歌，楊明福.一個(gè)快速的二維數(shù)據(jù)包分類算法.計(jì)算機(jī)工程.2021，[18]高峰.許南山.防火墻包過濾規(guī)則問題的研究[M].計(jì)算機(jī)應(yīng)用.2021，[20]鄭林.防火墻原理入門[Z].E企業(yè).2021.或撰寫過的研究成果。量，以保護(hù)內(nèi)部子網(wǎng)。從部署位置來看，防火墻往往位于網(wǎng)絡(luò)出口，是內(nèi)部網(wǎng)。防火墻產(chǎn)品能否成功的一個(gè)關(guān)鍵問題。面了解了一個(gè)理論上的防火墻。描述了一個(gè)模擬的大型離散事件可視化網(wǎng)絡(luò)仿。真器NS-2在Windows下的安裝過程與出錯(cuò)處理。

　　

【正文】 和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個(gè)主機(jī)的通信，確保每個(gè)分組送往正確的地址。 6)Inter 網(wǎng)關(guān)技術(shù) 由于是直接串聯(lián)在網(wǎng)絡(luò)之中，第四代防火墻必須支持用戶在 Inter 互聯(lián)的所有服務(wù)，同時(shí)還要防止與 Inter 服務(wù)有關(guān)的安全漏洞，故它要能夠以多種安全的應(yīng)用服務(wù)器 (包括 FTP、 Finger、 mail、 Ident、 News、 WWW 等 )來實(shí)現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性，對(duì)所有的文件和命令均要利用 “ 改變根系 防火墻技術(shù)研究 36 統(tǒng)調(diào)用 (chroot)” 做物理上的隔離。 在域名服務(wù)方面，第四代防火墻采用兩種獨(dú)立的域名服務(wù)器：一種是內(nèi)部 DNS 服務(wù)器，主要處理內(nèi)部網(wǎng)絡(luò)和 DNS 信息；另一種是外部 DNS 服務(wù)器，專門用于處理機(jī)構(gòu)內(nèi)部向 Inter 提供的部分DNS 信息。在匿名 FTP 方面，服務(wù)器只提供對(duì)有限的受保護(hù)的部分目錄的只讀訪問。在 WWW 服務(wù)器中，只支持靜態(tài)的網(wǎng)頁，而不允許圖形或 CGI 代碼等在防火墻內(nèi)運(yùn)行。在 Finger 服務(wù)器中，對(duì)外部訪問，防火墻只提供可由內(nèi)部用戶配置的基本的文本信息，而不提供任何與攻擊有關(guān)的系統(tǒng)信息。 SMTP 與 POP郵件服務(wù)器要對(duì)所有 進(jìn)、出防火墻的郵件做處理，并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境。 Ident 服務(wù)器對(duì)用戶連接的識(shí)別做專門處理，網(wǎng)絡(luò)新聞服務(wù)則為接收來自 ISP 的新聞開設(shè)了專門的磁盤空間。 7)安全服務(wù)器網(wǎng)絡(luò) (SSN 為了適應(yīng)越來越多的用戶向 Inter 上提供服務(wù)時(shí)對(duì)服務(wù)器的需要，第四代防火墻采用分別保護(hù)的策略對(duì)用戶上網(wǎng)的對(duì)外服務(wù)器實(shí)施保護(hù)，它利用一張網(wǎng)卡將對(duì)外服務(wù)器作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理，對(duì)外服務(wù)器既是內(nèi)部網(wǎng)絡(luò)的一部分，又與內(nèi)部網(wǎng)關(guān)完全隔離，這就是安全服務(wù)器網(wǎng)絡(luò) (SSN)技術(shù)。而對(duì) SSN 上的主機(jī)既可單獨(dú)管理， 也可設(shè)置成通過 FTP、 Tel 等方式從內(nèi)部網(wǎng)上管理。 SSN方法提供的安全性要比傳統(tǒng)的 “ 隔離區(qū) (DMZ)” 方法好得多，因?yàn)?SSN 與外部網(wǎng)之間有防火墻保護(hù)， SSN 與 局 部網(wǎng)之間也有防火墻的保護(hù)，而 DMZ 只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之，一旦 SSN 受破壞，內(nèi)部網(wǎng)絡(luò)仍會(huì)處于防火墻的保護(hù)之下，而一旦 DMZ 受到破壞，內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。 8)用戶鑒別與加密 為了減低防火墻產(chǎn)品在 Tel、 FTP 等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險(xiǎn)，鑒別功能必不可少。第四代防火墻采用一次性使用的口令系統(tǒng)來作 為用戶的鑒別手段，并實(shí)現(xiàn)了對(duì)郵件的加密。 防火墻技術(shù)研究 37 9)用戶定制服務(wù) 為了滿足特定用戶的特定需求，第四代防火墻在提供眾多服務(wù)的同時(shí)，還為用戶定制提供支持，這類選項(xiàng)有：通用 TCP、出站 UDP、 FTP、 SMTP 等，如果某一用戶需要建立一個(gè)數(shù)據(jù)庫的代理，便可以利用這些支持，方便設(shè)置。 10)審計(jì)和告警 第四代防火墻產(chǎn)品采用的審計(jì)和告警功能十分健全，日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進(jìn)站代理、 FTP 代理、出站代理、郵 件服務(wù)器、名服務(wù)器等。告警功能會(huì)守住每一個(gè) TCP 或 UDP探尋，并能以發(fā)出郵件、聲響等多種方式報(bào)警。 此外，第四代防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面具有特色。 第四代防火墻的抗攻擊能力 作為一種安全防護(hù)設(shè)備，防火墻在網(wǎng)絡(luò)中自然是眾多攻擊者的目標(biāo)，故抗攻擊能力也是防火墻的必備功能。在 Inter 環(huán)境中針對(duì)防火墻的攻擊很多，下面從幾種主要的攻擊方法來評(píng)估第四代防火墻的抗攻擊能力。 1) 抗 IP 假冒攻擊 IP 假冒是指一個(gè)非法的主機(jī)假冒內(nèi)部的主機(jī)地址，騙取服務(wù)器的 “ 信任 ” ，從而達(dá)到對(duì)網(wǎng)絡(luò)的 攻擊目的。由于第四代防火墻已經(jīng)將網(wǎng)內(nèi)的實(shí)際地址隱蔽起來，外部用戶很難知道內(nèi)部的 IP 地址，因而難以攻擊。 2)抗特洛伊木馬攻擊 特洛伊木馬能將病毒或破壞性程序傳入計(jì)算機(jī)網(wǎng)絡(luò)，且通常是將這些惡意程序隱蔽在正常的程序之中，尤其是熱門程序或游戲，一些用戶下載并執(zhí)行這一程序，其中的病毒便會(huì)發(fā)作。第四代防火墻是建立在安全的操作系統(tǒng)之上的，其內(nèi)核中不能執(zhí)行下載的程序，故而可以防止特洛伊木馬的發(fā)生。必須指出的 防火墻技術(shù)研究 38 是，防火墻能抗特洛伊木馬的攻擊并不表明其保護(hù)的某個(gè)主機(jī)也能防止這類攻擊。事實(shí)上，內(nèi)部用戶可以通過防火墻下載程 序，并執(zhí)行下載的程序。 3)抗口令字探尋攻擊 在網(wǎng)絡(luò)中探尋口令的方法很多，最常見的是口令嗅探和口令解密。嗅探是通過監(jiān)測網(wǎng)絡(luò)通信，截獲用戶傳給服務(wù)器的口令字，記錄下來，以便使用；解密是指采用強(qiáng)力攻擊、猜測或截獲含有加密口令的文件，并設(shè)法解密。此外，攻擊者還常常利用一些常用口令字直接登錄。第四代防火墻采用了一次性口令字和禁止直接登錄防火墻措施，能夠有效防止對(duì)口令字的攻擊。 4)抗網(wǎng)絡(luò)安全性分析 網(wǎng)絡(luò)安全性分析工具是提供管理人員分析網(wǎng)絡(luò)安全性之用的，一旦這類工具用作攻擊網(wǎng)絡(luò)的手段，則能夠比較方便地探測到內(nèi)部網(wǎng) 絡(luò)的安全缺陷和弱點(diǎn)所在。目前， SATA 軟件可以從網(wǎng)上免費(fèi)獲得， Inter Scanner 可以從市面上購買，這些分析工具給網(wǎng)絡(luò)安全構(gòu)成了直接的威脅。第四代防火墻采用了地址轉(zhuǎn)換技術(shù)，將內(nèi)部網(wǎng)絡(luò)隱蔽起來，使網(wǎng)絡(luò)安全分析工具無法從外部對(duì)內(nèi)部網(wǎng)絡(luò)做分析。 5)抗郵件詐騙攻擊 郵件詐騙也是越來越突出的攻擊方式，第四代防火墻不接收任何郵件，故難以采用這種方式對(duì)它攻擊，同樣值得一提的是，防火墻不接收郵件，并不表示它不讓郵件通過，實(shí)際上用戶仍可收發(fā)郵件，內(nèi)部用戶要防郵件詐騙，最終的解決辦法是對(duì)郵件加密。 防火墻技術(shù)研究 39 第六章 結(jié)論 隨著 Inter/Intra 技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問題必然將愈來愈引起人們的重視。防火墻技術(shù)作為目前用來實(shí)現(xiàn)網(wǎng)絡(luò)安措施的一種主要手段，它主要是用來拒絕未經(jīng)授權(quán)用戶的訪問，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時(shí)允許合法用戶不受妨礙的訪問網(wǎng)絡(luò)資源。如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)安全。但是沒有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問題，比如防火墻雖然能對(duì)來自外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的保護(hù)，但對(duì)于來自網(wǎng)絡(luò)內(nèi)部的攻擊卻無能為力。事實(shí)上 60%以上的網(wǎng)絡(luò)安全問題來自網(wǎng)絡(luò)內(nèi)部。因此網(wǎng)絡(luò)安全單靠 防火墻是不夠的，還需要有其它技術(shù)和非技術(shù)因素的考慮，如信息加密技術(shù)、身份驗(yàn)證技術(shù)、制定網(wǎng)絡(luò)法規(guī)、提高網(wǎng)絡(luò)管理人員的安全意識(shí) 防火墻技術(shù)研究 40 參考文獻(xiàn) [1] 蘇金樹 計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用基礎(chǔ) [M]長沙 國防科技大學(xué)出版社 , 2021 [2] 張小斌 嚴(yán)望佳 黑客分析與防范技術(shù) [M] 清華大學(xué)出版社 1999 [3] 周賢偉 , 信息網(wǎng)絡(luò)與安全 [M],北京 :國防工業(yè)出版社 ,2021 [4] 周筱連 ,計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù) [J],電腦知識(shí)與技術(shù) ,2021,(1):148. [5] Brewer D, Nash M. The Chinese Wall Security Policy. IEEE Symposium on Security and Privacy IEEE [J] Computer Society Press, 2021 [6] 金雷 ,謝立 ,網(wǎng)絡(luò)安全綜述 [J] ,計(jì)算機(jī)工程與設(shè)計(jì) 2021 ,24 (2) [7] Chapman D B Elizabeth D Z ,構(gòu)筑因特網(wǎng)防火墻 [M]( 北京 ) 電子工業(yè)出版社 1998 [8] 陳愛民 .計(jì)算機(jī)的安全與保密 [M].北京 :電子工業(yè)出版社 ,2021. [9] Millen J K. Models of multilevel puter security Advances in Computers,1978 (29). [10] Frederic J. Cooper, et al. Implementing Inter [J] New Riders Publishing 1995 [11] (美 )jack and Steven 著 戴宗坤等譯 .防火墻與酬特網(wǎng)安全 [M].北京 :機(jī)械工業(yè)出版社 ,2021 [12] 付歌，楊明福 .一個(gè)快速的二維數(shù)據(jù)包分類算法 .計(jì)算機(jī)工程 .2021，30(6):76 一 78 [13] 付歌，楊明福，王興軍 .基于空間分解的數(shù)據(jù)包分類技術(shù) .計(jì)算機(jī)工程與應(yīng)用 .2021(8):63 一 65 [14] 〕韓曉非，王學(xué)光，楊明福 .位并行數(shù)據(jù)包分類算法研究 .華東理工大學(xué)學(xué)報(bào) .2021， 29(5):504 一 508 [15] 韓曉非，楊明福，王學(xué)光 .基于元組空間的位并行包分類算法 .計(jì)算機(jī)工程防火墻技術(shù)研究 41 與應(yīng)用 .2021， (29):188 一 192 [16] 馮東雷，張勇，白英彩 .一種高性能包分類漸增式更新算法 .計(jì)算機(jī)研究與發(fā)展 .2021， 40(3):387 一 392 [17] 余勝生，張寧，周敬利，胡熠峰 .一種用于大規(guī)模規(guī)則庫的快速包分類算法 .計(jì)算機(jī)工程 .2021， 30(7):49 一 51 [18] 高峰 .許南山 .防火墻包過濾規(guī)則問題的研究 [M].計(jì)算機(jī)應(yīng)用 .2021，23(6):311 一 312. [19] 孟濤、楊磊 .防火墻和安全審計(jì) [M].計(jì)算機(jī)安全 .2021， (4):17 一 18. [20] 鄭林 .防火墻原理入門 [Z]. E 企業(yè) .2021. [21] 魏利華 .防火墻技術(shù)及其性能研究 .能源研究與信息 .2021， 20(l):57 一 62 防火墻技術(shù)研究 42 致謝 通過這段時(shí)間 的畢業(yè)論文，使我學(xué)會(huì)了很多的知識(shí)，雖然仍有很多不足之處有待改良和增進(jìn)，但這并不重要，重要的是我對(duì)網(wǎng)絡(luò)安全有了更深的了解。在這次畢業(yè)論文的撰寫過程中，我得到了很多老師的指點(diǎn)以及同學(xué)和朋友的幫助，在此，我忠誠的向他們表示感謝。 首先，我要特別感謝劉智斌老師對(duì)我的悉心指導(dǎo)，在整個(gè)過程中劉老師幫助我收集文獻(xiàn)資料，理清思路，并對(duì)我所做的論文從方法上給予我很多的指導(dǎo)和幫助，還有論文的選題、文章結(jié)構(gòu)的構(gòu)筑到最后的定稿，都得到了劉老師的細(xì)心指點(diǎn)和提攜，在此期間還對(duì)我提出了有效的改進(jìn)方案，使我對(duì)自己的論文有了深刻的認(rèn)識(shí)。劉老 師淵博的知識(shí)、嚴(yán)謹(jǐn)?shù)淖黠L(fēng)、誨人不倦的態(tài)度和學(xué)術(shù)上精益求精的精神讓我受益終生。 其次，真誠的感謝其他的老師們，他們?cè)谖覍懻撐牡倪^程中給我提出了寶貴的意見。 此外，真誠的感謝系里的領(lǐng)導(dǎo)以及實(shí)驗(yàn)室的管理員們，他們給我提供了良好的學(xué)習(xí)和實(shí)踐的環(huán)境，還有在我在做畢業(yè)論文這段時(shí)間內(nèi)所有的幫助過我的同學(xué)們。在他們的幫助下，我的論文才得以完成。 我還要感謝其他所有鼓勵(lì)和幫助過我的老師、同學(xué)和朋友們，雖然無法將他們的姓名逐一列出，但都將在我的腦海里留下永久的記憶。 最后還要感謝我的父母，在我求學(xué)期間，他們?yōu)榇烁冻隽嗽S多許多， 他們無盡的愛和毫無保留的支持給了我不斷前進(jìn)的動(dòng)力。 防火墻技術(shù)研究 43 附錄 A：攻擊偽造 剖析 Snort 簽名規(guī)則集，然后使用偽造的源地址構(gòu)造一個(gè)匹配這些簽名的數(shù)據(jù)包是極其容易的。附錄 A 討論了一個(gè) Perl 腳本示例（與 fwsnort 項(xiàng)目一起發(fā)布），該腳本就是用來做這件事情的。 B： 一個(gè)完整的 fwsnot 腳本 fwsnort 項(xiàng)目創(chuàng)建一個(gè) shell 腳本自動(dòng)執(zhí)行 iptables 命令，必須執(zhí)行這些命令才能創(chuàng)建一個(gè)能夠檢測應(yīng)用層攻擊的 iptables 策略。附錄 B 包含了一個(gè)由fwsnort 生成的 腳本的完整示 例。 fwsnort 項(xiàng)目創(chuàng)建一個(gè) shell 腳本自動(dòng)執(zhí)行 iptables 命令，必須執(zhí)行這些命令才能創(chuàng)建一個(gè)能夠檢測應(yīng)用層攻擊的 iptables 策略。附錄 B 包含了一個(gè)由fwsnort 生成的 腳本的完整示例。 本書采用的是一種高度實(shí)用的寫法。理解概念的最好方法莫過于研究實(shí)例，而研究源代碼或仔細(xì)檢查數(shù)據(jù)包跟蹤總是理解計(jì)算機(jī)工作原理的最佳方式。希望讀者通過閱讀本書，可以掌握使用 iptables 來檢測并處理網(wǎng)絡(luò)攻擊的實(shí)用知識(shí) 。