【正文】 真正的完全有效的數(shù)據(jù)安全檢測，而且在一般的計算機硬件系統(tǒng)上很難設(shè)計出基于此技術(shù)的完善防御措施（市面上大部分軟件防火墻使用的其實只是包過濾技術(shù)加上一點其他新特性而已）。河北大學(xué)人民武裝學(xué)院四、技術(shù)展望在混合攻擊肆虐的時代，單一功能的防火墻遠不能滿足業(yè)務(wù)的需要，而具備多種安全功能，基于應(yīng)用協(xié)議層防御、低誤報率檢測、高可靠高性能平臺和統(tǒng)一組件化管理的技術(shù)，優(yōu)勢將得到越來越多的體現(xiàn)，UTM（UnifiedThreatManagement，統(tǒng)一威脅管理）技術(shù)應(yīng)運而生。從概念的定義上看，UTM既提出了具體產(chǎn)品的形態(tài)，又涵蓋了更加深遠的邏輯范疇。從定義的前半部分來看，很多廠商提出的多功能安全網(wǎng)關(guān)、綜合安全網(wǎng)關(guān)、一體化安全設(shè)備都符合UTM的概念；而從后半部分來看，UTM的概念還體現(xiàn)了經(jīng)過多年發(fā)展之后，信息安全行業(yè)對安全管理的深刻理解以及對安全產(chǎn)品可用性、聯(lián)動能力的深入研究。由于UTM設(shè)備是串聯(lián)接入的安全設(shè)備，因此UTM設(shè)備本身必須具備良好的性能和高可靠性，同時，UTM在統(tǒng)一的產(chǎn)品管理平臺下，集防火墻、VPN、網(wǎng)關(guān)防病毒、IPS、拒絕服務(wù)攻擊等眾多產(chǎn)品功能于一體，實現(xiàn)了多種防御功能，因此，向UTM方向演進將是防火墻的發(fā)展趨勢。UTM設(shè)備應(yīng)具備以下特點。（1）網(wǎng)絡(luò)安全協(xié)議層防御。防火墻作為簡單的第二到第四層的防護，主要針對像IP、端口等靜態(tài)的信息進行防護和控制，但是真正的安全不能只停留在底層，我們需要構(gòu)建一個更高、更強、更可靠的墻，除了傳統(tǒng)的訪問控制之外，還需要對垃圾郵件、拒絕服務(wù)、黑客攻擊等外部威脅起到綜合檢測和治理的作用，實現(xiàn)七層協(xié)議的保護，而不僅限于第二到第四層。（2）通過分類檢測技術(shù)降低誤報率。串聯(lián)接入的網(wǎng)關(guān)設(shè)備一旦誤報過高，將會對用戶帶來災(zāi)難性的后果。IPS理念在20世紀90年代就已經(jīng)被提出，但是目前全世界對IPS的部署非常有限，影響其部署的一個重要問題就是誤報率。分類檢測技術(shù)可以大幅度降低誤報率，針對不同的攻擊，采取不同的檢測技術(shù)，比如防拒絕服務(wù)攻擊、防蠕蟲和黑客攻擊、防垃圾郵件攻擊等，從而顯著降低誤報率。（3）有高可靠性、高性能的硬件平臺支撐。（4）一體化的統(tǒng)一管理。由于UTM設(shè)備集多種功能于一身，因此，它必須具有能夠統(tǒng)一控制和管理的平臺，使用戶能夠有效地管理。這樣，設(shè)備平臺可以實現(xiàn)標準化并具有可擴展性，用戶可在統(tǒng)一的平臺上進行組件管理，同時，一體化管理也能消除信息產(chǎn)品之間由于無法溝通而帶來的信息孤島，從而在應(yīng)對各種各樣攻擊威脅的時候，能夠更好地保障用戶的網(wǎng)絡(luò)安全。河北大學(xué)人民武裝學(xué)院結(jié)論隨著Internet/Intranet技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問題必將愈來愈引起人們的重視。防火墻技術(shù)作為目前用來實現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，它主要是用來拒絕未經(jīng)授權(quán)用戶的訪問，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙的訪問網(wǎng)絡(luò)資源。如果使用得當，可以在很大程度上提高網(wǎng)絡(luò)安全。但是沒有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問題，比如防火墻雖然能對來自外部網(wǎng)絡(luò)的攻擊進行有效的保護，但對于來自網(wǎng)絡(luò)內(nèi)部的攻擊卻無能為力。事實上60%以上的網(wǎng)絡(luò)安全問題來自網(wǎng)絡(luò)內(nèi)部。因此網(wǎng)絡(luò)安全單靠防火墻是不夠的，還需要有其它技術(shù)和非技術(shù)因素的考慮，如信息加密技術(shù)、身份驗證技術(shù)、制定網(wǎng)絡(luò)法規(guī)、提高網(wǎng)絡(luò)管理人員的安全意識等等。河北大學(xué)人民武裝學(xué)院謝辭在此我要感謝我的專業(yè)老師，是你的細心指導(dǎo)和關(guān)懷，使我能夠順利的完成畢業(yè)論文。在我的學(xué)業(yè)和論文的研究工作中無不傾注著老師辛勤的汗水和心血。老師的嚴謹治學(xué)態(tài)度、淵博的知識、無私的奉獻精神使我深受啟迪。從尊敬的老師身上，我不僅學(xué)到了扎實、寬廣的專業(yè)知識，也學(xué)到了做人的道理。在此我要向我的老師致以最衷心的感謝和深深的敬意。河北大學(xué)人民武裝學(xué)院參考文獻[1] 楊峰,：北京郵電大學(xué)出版社，2011年，115~134頁。[2] ：清華大學(xué)出版社，2012年，58頁。[3] ：清華大學(xué)出版社,2013年，98~105頁。[4] ：機械工業(yè)出版社,2012年，57~89頁。第五篇：防火墻知識點第一章：防火墻是位于兩個（或多個）網(wǎng)絡(luò)之間，實施訪問控制策略的一個或一組組件的集合。（或者防火墻是設(shè)置在本地計算機或內(nèi)聯(lián)網(wǎng)絡(luò)與外聯(lián)網(wǎng)絡(luò)之間，保護本地網(wǎng)絡(luò)或內(nèi)聯(lián)網(wǎng)絡(luò)免遭來自外部網(wǎng)絡(luò)的威脅和入侵的一道屏障。）：物理位置，安裝在內(nèi)聯(lián)網(wǎng)絡(luò)與外聯(lián)網(wǎng)絡(luò)的交界點上；對于個人防火墻來說，是指安裝在單臺主機硬盤上的軟件系統(tǒng)。邏輯位置：防火墻與網(wǎng)絡(luò)協(xié)議相對應(yīng)的邏輯層次關(guān)系。：根據(jù)信息安全理論對其提出的要求而設(shè)置的安全功能，是各種防火墻的共性作用。防火墻從理論上講是分離器、限制器和分析器，即防火墻要實現(xiàn)四類控制功能： 方向控制：防火墻能夠控制特定的服務(wù)請求通過它的方向； 服務(wù)控制：防火墻可以控制用戶可以訪問的網(wǎng)絡(luò)服務(wù)類型； 行為控制：防火墻能夠控制使用特定服務(wù)的方式； 用戶控制：防火墻能夠控制能夠進行網(wǎng)絡(luò)訪問的用戶。（1）過濾規(guī)則（2）設(shè)計原則：：這個原則也被稱為限制性原則，在該規(guī)則下，防火墻阻斷所有的數(shù)據(jù)流，只允許符合開放規(guī)則的數(shù)據(jù)流進出。：該規(guī)則也被稱為連通性原則，在該規(guī)則下，防火墻只禁止符合屏蔽規(guī)則的數(shù)據(jù)流，而允許轉(zhuǎn)發(fā)其他所有數(shù)據(jù)流。按采用的主要技術(shù)劃分：包過濾型防火墻、代理型防火墻 按具體實現(xiàn)劃分：（1）多重宿主主機：安放在內(nèi)聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)接口上的一臺堡壘主機，它提供最少兩個網(wǎng)絡(luò)接口，一個與內(nèi)聯(lián)網(wǎng)絡(luò)連接，另一個與外聯(lián)網(wǎng)絡(luò)連接。（2）篩選路由器：用一臺放置在內(nèi)聯(lián)網(wǎng)絡(luò)與外聯(lián)網(wǎng)絡(luò)之間的路由器來實現(xiàn)。它對進出內(nèi)聯(lián)網(wǎng)絡(luò)的所有信息進行分析，并按照一定的信息過濾規(guī)則對進出內(nèi)聯(lián)網(wǎng)絡(luò)的信息進行限制，允許授權(quán)信息通過，拒絕非授權(quán)信息通過。（3）屏蔽主機：由內(nèi)聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)之間的一臺過濾路由器和一臺堡壘主機構(gòu)成。它強迫所有外部主機與堡壘主機相連接，而不讓他們與內(nèi)部主機直接相連。（4）屏蔽子網(wǎng)：它對網(wǎng)絡(luò)的安全保護通過兩臺包過濾路由器和在這兩個路由器之間構(gòu)筑的子網(wǎng)來實現(xiàn)。（1）防火墻是網(wǎng)絡(luò)安全的屏障（2）防火墻實現(xiàn)了對內(nèi)網(wǎng)系統(tǒng)的訪問控制（3）部署NAT機制（4）提供整體安全解決平臺（5）防止內(nèi)部信息外泄（6）監(jiān)控和審計網(wǎng)絡(luò)行為（7）防火墻系統(tǒng)具有集中安全性（8）在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的信息流，并產(chǎn)生警告信息。（1）限制網(wǎng)絡(luò)服務(wù)（2）對內(nèi)部用戶防范不足（3）不能防范旁路連接（4）不適合進行病毒檢測（5）無法防范數(shù)據(jù)驅(qū)動型攻擊（6）無法防范所有威脅（7）配置問題。防火墻管理人員在配置過濾規(guī)則時經(jīng)常出錯。（8）無法防范內(nèi)部人員泄露機密信息（9）速度問題（10）單失效點問題第二章（1）概念：又稱為報文過濾技術(shù)，執(zhí)行邊界訪問控制功能，即對網(wǎng)絡(luò)通信數(shù)據(jù)進行過濾。（2）技術(shù)原理：（3）過濾對象：，查看每個IP數(shù)據(jù)包的包頭，將包頭數(shù)據(jù)與規(guī)則集相比較，轉(zhuǎn)發(fā)規(guī)則集允許的數(shù)據(jù)包，拒絕規(guī)則集不允許的數(shù)據(jù)包。阻止存在泄漏用戶網(wǎng)絡(luò)敏感信息的危險的ICMP數(shù)據(jù)包進出網(wǎng)絡(luò)；拒絕所有可能會被攻擊者利用、對用戶網(wǎng)絡(luò)進行破壞的ICMP數(shù)據(jù)包。，常見的為端口過濾和對標志位的過濾。，要么阻塞某個端口，要么聽之任之。（4）優(yōu)點：包過濾技術(shù)實現(xiàn)簡單、快速；包過濾技術(shù)的實現(xiàn)對用戶是透明的；包過濾技術(shù)的檢查規(guī)則相對簡單，因此操作耗時極短，執(zhí)行效率非常高（5）缺點：包過濾技術(shù)過濾思想簡單，對信息的處理能力有限；當過濾規(guī)則增多時，對過濾規(guī)則的維護是一個非常困難得問題； 包過濾技術(shù)控制層次較低，不能實現(xiàn)用戶級控制。（1）技術(shù)原理：狀態(tài)檢測技術(shù)根據(jù)連接的“狀態(tài)”進行檢查，當一個連接的初始數(shù)據(jù)報文到達執(zhí)行狀態(tài)檢測的防火墻時，首先要檢查該報文是否符合安全過濾規(guī)則的規(guī)定。如果該報文與規(guī)定相符合，則將該連接的信息記錄下來并自動添加一條允許該連接通過的過濾規(guī)則，然后向目的地轉(zhuǎn)發(fā)該報文。以后凡是屬于該連接的數(shù)據(jù)防火墻一律予以放行，包括從內(nèi)向外和從外向內(nèi)的雙向數(shù)據(jù)流。在通信結(jié)束、釋放該連接以后，防火墻將自動刪除該連接的過濾規(guī)則。動態(tài)過濾規(guī)則存儲在連接狀態(tài)表中，并由防火墻維護。（2）狀態(tài)：狀態(tài)根據(jù)使用的協(xié)議的不同而有不同的形式，可以根據(jù)相應(yīng)協(xié)議的有限狀態(tài)機來定義，一般包括NEW ,ESTABLISHED ,RELATED ,CLOSED。（3）狀態(tài)檢測技術(shù)的優(yōu)點安全性比靜態(tài)包過濾技術(shù)高；與靜態(tài)包過濾技術(shù)相比，提高了防火墻的性能。（4）狀態(tài)檢測技術(shù)的缺點主要工作在網(wǎng)絡(luò)層和傳輸層，對報文的數(shù)據(jù)部分檢查很少，安全性還不夠高； 檢查內(nèi)容多，對防火墻的性能提出了更高的要求。（1）代理的執(zhí)行分為以下兩種情況：一種情況是代理服務(wù)器監(jiān)聽來自內(nèi)聯(lián)網(wǎng)絡(luò)的服務(wù)請求；另一種情況是內(nèi)部主機只接收代理服務(wù)器轉(zhuǎn)發(fā)的信息而不接收任何外部地址主機發(fā)送的信息。（2）代理代碼：（3）代理服務(wù)器的實現(xiàn)：雙宿主網(wǎng)關(guān)的IP路由功能被嚴格禁止，網(wǎng)卡間所有需要轉(zhuǎn)發(fā)的數(shù)據(jù)必須通過安裝在雙宿主網(wǎng)關(guān)上的代理服務(wù)器程序控制。由此實現(xiàn)內(nèi)聯(lián)網(wǎng)絡(luò)的單接入點和網(wǎng)絡(luò)隔離。（4）代理技術(shù)優(yōu)點：代理服務(wù)提供了高速緩存；代理服務(wù)器屏蔽了內(nèi)聯(lián)網(wǎng)絡(luò)，所以阻止了一切對內(nèi)聯(lián)網(wǎng)絡(luò)的探測活動； 代理服務(wù)在應(yīng)用層上建立，可以更有效的對內(nèi)容進行過濾；代理服務(wù)器禁止內(nèi)聯(lián)網(wǎng)絡(luò)與外聯(lián)網(wǎng)絡(luò)的直接連接，減少了內(nèi)部主機直接受到攻擊的危險；代理服務(wù)可以提供各種身份認證手段，從而加強服務(wù)的安全性； 代理防火墻不易受IP地址欺騙的攻擊；代理服務(wù)位于應(yīng)用層，提供了詳細的日志記錄，有助于進行細致的日志分析和審計； 代理防火墻的過濾規(guī)則比包過濾防火墻的過濾規(guī)則更簡單。（5）代理技術(shù)的缺點代理服務(wù)程序很多都是專用的，不能夠很好的適應(yīng)網(wǎng)絡(luò)服務(wù)和協(xié)議的發(fā)展； 在訪問數(shù)據(jù)流量較大的情況下，代理技術(shù)會增加訪問的延時，影響系統(tǒng)的性能； 應(yīng)用層網(wǎng)關(guān)需要用戶改變自己的行為模式，不能夠?qū)崿F(xiàn)用戶的透明訪問； 應(yīng)用層代理還不能夠支持所有的協(xié)議；代理系統(tǒng)對操作系統(tǒng)有明顯的依賴性，必須基于某個特定的系統(tǒng)及其協(xié)議； 相對于包過濾技術(shù)來說，代理技術(shù)執(zhí)行的速度較慢。第三章：過濾路由器對經(jīng)過它的所有數(shù)據(jù)流進行分析，按照預(yù)定義的過濾規(guī)則，也就是網(wǎng)絡(luò)安全策略的具體實現(xiàn)，對進出內(nèi)聯(lián)網(wǎng)絡(luò)的信息進行限制。允許經(jīng)過授權(quán)的信息通過，拒絕非授權(quán)的信息通過。（1）過濾路由器優(yōu)點：快速、性能高、透明、容易實現(xiàn)過濾路由器是從普通路由器發(fā)展而來，繼承了普通路由器轉(zhuǎn)發(fā)速率快的優(yōu)點； 購買過濾路由器比單獨購買獨立的防火墻產(chǎn)品具有更大的成本優(yōu)勢； 過濾路由器對用戶來說是完全透明的； 過濾路由器的實現(xiàn)極其簡單。（2）缺點：過濾路由器配置復(fù)雜，維護困難；過濾路由器只針對數(shù)據(jù)包本身進行檢測，只能檢測出部分攻擊行為； 過濾路由器無法防范數(shù)據(jù)驅(qū)動式攻擊；過濾路由器只針對到達它的數(shù)據(jù)包的各個字段進行檢測，無法確定數(shù)據(jù)包發(fā)出者的真實性；隨著過濾規(guī)則的增加，路由器的吞吐量會下降；過濾路由器無法對數(shù)據(jù)流進行全面的控制，不能理解特定服務(wù)的上下文和數(shù)據(jù)。（1）表3—1給圖填數(shù)據(jù)（2）由規(guī)則生成策略（協(xié)議具有雙向性，一寫就寫倆）（3）逐條匹配深入原則（填空）：當排在過濾規(guī)則表后面的一條規(guī)則能匹配的所有數(shù)據(jù)包也能被排在過濾規(guī)則表前面的一條過濾規(guī)則匹配的時候，后面的這條過濾規(guī)則將永遠無法得以執(zhí)行，這種沖突稱為屏蔽沖突。（1）定義：堡壘主機是一種網(wǎng)絡(luò)完全機制，也是安全訪問控制實施的一種基礎(chǔ)組件。通常情況下堡壘主機由一臺計算機擔當，并擁有兩塊或者多塊網(wǎng)卡分別連接各內(nèi)聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)。（2）作用：隔離內(nèi)聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)，為內(nèi)聯(lián)網(wǎng)絡(luò)設(shè)立一個檢查點，對所有進出內(nèi)聯(lián)網(wǎng)絡(luò)的數(shù)據(jù)包進行過濾，集中解決內(nèi)聯(lián)網(wǎng)絡(luò)的安全問題。（3）設(shè)計原則：：盡可能減少堡壘主機提供的服務(wù)，對于必須設(shè)置的服務(wù)，只能授予盡可能低的權(quán)限；：用戶必須加強與堡壘主機的聯(lián)系，對堡壘主機的安全情況進行持續(xù)不斷的監(jiān)測，仔細分析堡壘主機的日志，及時對攻擊行為作出響應(yīng)。（4）類型 采用一臺堡壘主機作為連接內(nèi)聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)的通道，在這臺堡壘主機中安裝多塊網(wǎng)卡，每一塊網(wǎng)卡都連接不同的內(nèi)聯(lián)子網(wǎng)和外聯(lián)網(wǎng)絡(luò)，信息的交換通過應(yīng)用層數(shù)據(jù)共享或者應(yīng)用層代理服務(wù)實現(xiàn)，而網(wǎng)絡(luò)層直接的信息交換是被絕對禁止的。與此同時，在堡壘主機上還要安裝訪問控制軟件，用以實現(xiàn)對交換信息的過濾和控制功能。多重宿主主機有兩種經(jīng)典的實現(xiàn)：第一種是采用應(yīng)用層數(shù)據(jù)共享技術(shù)的雙宿主主機防火墻，另一種是采用應(yīng)用層代理服務(wù)器技術(shù)的雙宿主網(wǎng)關(guān)防火墻。（1）優(yōu)點：作為內(nèi)聯(lián)網(wǎng)絡(luò)與外聯(lián)網(wǎng)絡(luò)的唯一接口，易于實現(xiàn)網(wǎng)絡(luò)安全策略；使用堡壘主機實現(xiàn)，成本較低。（2）缺點：，入侵者可以通過諸如竊聽、破譯等多種手段獲取用戶的賬號和密碼進而登錄防火墻；，當數(shù)據(jù)庫的記錄數(shù)量逐漸增多時，管理 員需要花費大量的精力和時間對其進行管理和維護，這項工作是非常復(fù)雜的，容易出錯；，會降低堡壘主機本身的穩(wěn)定性和可靠性，容易出現(xiàn)系統(tǒng)運行速度低下甚至崩潰等現(xiàn)象；，對主機的安全性是一個很大的威脅。用戶的行為是不可預(yù)知的，各種有意或者無意的破壞都將給主機帶來麻煩，而且這些行為也很難進行有效的監(jiān)控和記錄。（3）雙宿主主機構(gòu)成（填空）：雙宿主主機防火墻是一臺具有安全控制功能的雙網(wǎng)卡堡壘主機，兩塊網(wǎng)卡中的一塊負責連接內(nèi)聯(lián)網(wǎng)絡(luò)，另一塊負責連接外聯(lián)網(wǎng)絡(luò)。（1）工作原理：在防火墻主機上安裝各種網(wǎng)絡(luò)服務(wù)的代理服務(wù)器程序。當內(nèi)聯(lián)網(wǎng)絡(luò)中的主機意圖訪問外聯(lián)網(wǎng)絡(luò)時，只需要將請求發(fā)送至雙宿主網(wǎng)關(guān)防火墻相應(yīng)的代理服務(wù)器上，通過過濾規(guī)則的檢測并獲得允許后，再由代理服務(wù)器程序代為轉(zhuǎn)發(fā)至外聯(lián)網(wǎng)絡(luò)指定主機上。而外聯(lián)網(wǎng)絡(luò)中的主機所有對內(nèi)聯(lián)網(wǎng)絡(luò)的請求都由（2）優(yōu)點，防火墻提供的服務(wù)具有良好的可擴展性，屏蔽了內(nèi)聯(lián)網(wǎng)絡(luò)的主機，阻止了信息泄露現(xiàn)象的發(fā)生（3）缺點，因此防火墻主機的安全配置非常復(fù)雜且重要，一旦防火墻主機停止運行，則內(nèi)聯(lián)網(wǎng)絡(luò)的鏈接將全部中斷 8屏蔽主機（1）工作原理過濾路由器的路由表是定制的，將所有外聯(lián)網(wǎng)絡(luò)對內(nèi)聯(lián)網(wǎng)絡(luò)的請求都定向到堡壘主機處，而堡壘主機上運行著各種網(wǎng)絡(luò)服務(wù)的代理服務(wù)器組件，外聯(lián)網(wǎng)絡(luò)的主機不能直接訪問內(nèi)聯(lián)網(wǎng)絡(luò)的主機，對內(nèi)聯(lián)網(wǎng)絡(luò)的所有請求必須要由堡壘主機上的代理服務(wù)器進行轉(zhuǎn)發(fā)，對于內(nèi)聯(lián)網(wǎng)絡(luò)到發(fā)起的連接或由過濾路由器重新定向到堡壘主機，對于特定的