【正文】 從執(zhí)行速度的角度看來，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了 CPU 的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。 防火墻的體系結(jié)構(gòu)發(fā)展趨勢 隨著網(wǎng)絡(luò)應(yīng)用的增加，對網(wǎng)絡(luò)帶寬提出了更高的要求。 (3)功能擴(kuò)展 功能擴(kuò)展是指一種集成多種功能的設(shè)計(jì)趨勢，包括 VPN、 AAA、 PKI、 IPSec等附加功能，甚至防病毒、入侵檢測這樣的主流功能，都被集成到防火墻產(chǎn)品中了， 很多時(shí)候我們已經(jīng)無法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個(gè)功能為主了，即其已經(jīng)逐漸向我們普遍稱之為 IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。 (2)多級過濾技術(shù) 所謂多級過濾技術(shù)，是指防火墻采用多級過濾措施，并輔以鑒別手段。 防火墻包過濾技術(shù)發(fā)展趨勢 (1)安全策略功能 一些防火墻廠商把在 AAA系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶角色的 安全策略功能。 第二步：通過 firewall packet default permit設(shè)置默認(rèn)的防火墻策略為 “容許通過 ”。 首先當(dāng)企業(yè)外網(wǎng)出口指定 IP 時(shí)配置防火墻參數(shù)。相應(yīng)的本地區(qū)域優(yōu)先級最高，其次是 trust信任區(qū)， DMZ堡壘主機(jī)區(qū)，最低的是 untrust非信任區(qū)域。相應(yīng)的其他LAN接口連接內(nèi)網(wǎng)各個(gè)網(wǎng)絡(luò)設(shè)備。 圖 流過濾示意圖 19 大學(xué)畢業(yè)論文 第四章 防火墻的配置 硬件連接與實(shí)施 一般來說硬件防火墻和路由交換設(shè)備一樣具備多個(gè)以太接口，速度根據(jù)檔次與價(jià)格不同而在百兆與千兆之間有所區(qū)別 。 18 大學(xué)畢業(yè)論文 流過濾技術(shù) [17]的關(guān)鍵在于其架構(gòu)中的專用 TCP/IP 協(xié)議棧 :這個(gè)協(xié)議棧是一個(gè)標(biāo)準(zhǔn)的 TCP協(xié)議的實(shí)現(xiàn)，依據(jù) TCP 協(xié)議的定義對出入防火墻的數(shù)據(jù)包進(jìn)行了，完整的重組，重組后的數(shù)據(jù)流交給應(yīng)用層過濾邏輯進(jìn)行過濾，從而可以有效地識別并攔截應(yīng)用層的攻擊企圖。如果數(shù)據(jù)是 Mail類型，則檢查郵件的附件。定向到 TCP/IP 堆棧的數(shù)據(jù)流，首先轉(zhuǎn)換成內(nèi)容數(shù)據(jù)流。為了突破內(nèi)容處理障礙，達(dá)到實(shí)時(shí)地分析網(wǎng)絡(luò)內(nèi)容和行為，需要重點(diǎn)在加速上采取有效的辦法。 簡單的數(shù)據(jù)包內(nèi)容過濾對當(dāng)前正在通過的單一數(shù)據(jù)包的有效載荷進(jìn)行掃描檢測，但是對于應(yīng)用防御的要求而言，這是遠(yuǎn)遠(yuǎn)不夠的。防火墻必須深入檢查數(shù)據(jù)包的內(nèi)部來確認(rèn)出惡意行為并阻止它們。而且，由于狀態(tài)表是動態(tài)的，因而可以有選擇地、動態(tài)地開通 1024號以上的端口，使安全性得到進(jìn)一步地提高。這樣，當(dāng)一個(gè)新的數(shù)據(jù)包到達(dá)，如果屬于已經(jīng)建立的連接，則檢查狀態(tài)表，參考數(shù)據(jù)流上下文決定當(dāng)前數(shù)據(jù)包通過與否 。實(shí)際上，在深度包檢測技術(shù)中己經(jīng)體現(xiàn)了兩種技術(shù)的融合趨勢。即在包檢測中考慮前后數(shù)據(jù)包之間的關(guān)系，充分利用包頭信息中能體現(xiàn)此關(guān)系的字段，如 IP首部的標(biāo)識字段 和片 16 大學(xué)畢業(yè)論文 偏移字段、 TCP 首部的發(fā)送及確認(rèn)序號、滑動窗口的大小、狀態(tài)標(biāo)識等，動態(tài)執(zhí)行數(shù)據(jù)包過濾。(3)只對當(dāng)前正在通過的單一數(shù)據(jù)包進(jìn)行檢測，而沒有考慮前后數(shù)據(jù)包之間的聯(lián)系 。 。這種技術(shù)實(shí)現(xiàn)簡單，處理速度快，對應(yīng)用透明，但是它存在的問題也很多，主要表現(xiàn)有 : 。IP 數(shù)據(jù)報(bào)頭部信息主要是源 /目的主機(jī)的 IP 地址 。IP 傳給網(wǎng)絡(luò)接口層的數(shù)據(jù)單元稱作 IP 數(shù)據(jù)報(bào) (IP Datagram)；通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀 (Frame)。 由于其主要是對數(shù)據(jù)包的過濾操作，所以數(shù)據(jù)包結(jié)構(gòu)是包過濾技術(shù)的基礎(chǔ)。 所謂包過濾，就是對流經(jīng)網(wǎng)絡(luò)防火墻的所有數(shù)據(jù)包逐個(gè)檢查，并依據(jù)所制定的安全策略來決定數(shù)據(jù)包是通過還是不通過。同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng)絡(luò)安全問題越來越突出。屏蔽主機(jī)防火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過濾路由器或防火墻與 Inter相連，同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過在分組過濾器路由器或防火墻上過濾規(guī)則的設(shè)置，使堡壘機(jī)成為 Inter上其他節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。同時(shí) 也常結(jié)合入過濾器的功能。它是針對數(shù)據(jù)包過濾 [10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò) 通信鏈路分為兩段。比如訪問 WEB站點(diǎn)的 HTTP，用于文件傳輸?shù)?FTP，用于 E一 MAIL的 SMTP/POP3等等。代理技術(shù)與包過濾技術(shù) 完全不同，包過濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實(shí)現(xiàn)防火墻功能。如果公司的安全策略允許內(nèi)部員工訪問網(wǎng)站，包過濾防火墻可能設(shè)置允所有 80端口的連接通過，這時(shí)，意識到這一漏洞的外部人員可以在沒有被認(rèn)證的情況下進(jìn)入私有網(wǎng)絡(luò)。包過濾防火墻是速度最快的防火墻，這是因?yàn)樗幱诰W(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實(shí)現(xiàn)，對用戶來說都是透明的。包過濾防火墻工作在網(wǎng)絡(luò)層， IP 包的包頭中包含源、目的 IP 地址，封裝協(xié)議類型 (TCP， UDP， ICMP 或 IP Tunnel)， TCP/UDP 端口號， ICMP消息類型， TCP 包頭中的 ACK等等。內(nèi)置特殊站點(diǎn)數(shù)據(jù)庫，用戶可選擇是否封禁色情、反動和暴力等特殊站點(diǎn)。 。 虛擬專網(wǎng)功能 指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的 “加密通道 ”在公共網(wǎng)絡(luò)中傳播。網(wǎng)絡(luò)蠕蟲病毒分為 2類，一種是面向企業(yè)用戶和局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動進(jìn)行攻擊，可以對整個(gè)互聯(lián)網(wǎng)造成癱瘓性的后果，以 “紅色代碼 ”， “尼姆達(dá) ”，以及最新的 “sql蠕蟲王 ”為代表。防火墻設(shè)備可檢測包括針對 Unicode、 ASP 源碼泄漏、 PHF、NPH、 CGI/IIS進(jìn)行的探測和攻擊方式。 CGI/IIS服務(wù)器入侵?，F(xiàn)在的防火墻設(shè)備通常都可檢測 Synflod、 Land、 Ping of Death、 TearDrop、 ICMP flood和 UDPflod等多種 DOS/DDOS攻擊。 。是否支持 FTP、 Web 服務(wù) 。隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問，同時(shí)阻止了外部未授權(quán)訪問者對專用網(wǎng)絡(luò)的非法訪問 。代理指防火墻內(nèi)置用戶認(rèn)證數(shù)據(jù)庫 。并將有限的 IP 地址動態(tài)或靜態(tài)的與內(nèi)部 IP 地址對應(yīng)起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本。可根據(jù)地址簿進(jìn)行設(shè)置規(guī)則。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特 征值，直接進(jìn)行訪問控制。三是傳統(tǒng)的防火墻無法區(qū)分識別善意和惡意的行為。主要有以下三個(gè)原因 : 一是傳統(tǒng)防火墻的計(jì)算能力的限制。 [5] 但傳統(tǒng)的防火墻并沒有解決目前網(wǎng)絡(luò)中主要的安全問題。 第二代、第三代防火墻 1989年，貝爾實(shí)驗(yàn)室的 Dave Presotto和 Howard Trickey推 9 大學(xué)畢業(yè)論文 出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻 ——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間 的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。 [4]防火墻是指設(shè)置在不同網(wǎng)絡(luò) (如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng) )或網(wǎng)絡(luò)安全域之間的一系列部件的組合。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播感染顯得尤為重要。 （ 2）建立完善的安全管理體制和制度，以起到對管理人員和操作人員鼓勵和監(jiān)督的作用。一旦實(shí)現(xiàn)了 NTFS，你可以使用 Windows資源管理器在文件和文件夾上設(shè)置用戶級別的權(quán)限。 隨著時(shí)代的發(fā)展，入侵檢測技術(shù)將朝著三個(gè)方向發(fā) 展 :分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。 (3) 防火墻 技術(shù) 防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。但目前，在這方面的立法還遠(yuǎn)不能適應(yīng)形勢發(fā)展的需要 ,應(yīng)該在對控制計(jì)算機(jī)犯罪的國內(nèi)外立法評價(jià)的基礎(chǔ)上，完善我國計(jì)算機(jī)犯罪立法，以便為確保我國計(jì)算機(jī)信息網(wǎng)絡(luò)健康有序的發(fā)展提供強(qiáng)有力的保障。三是管理措施，包括技術(shù)與社會措施。 2）網(wǎng)絡(luò)安全 影響網(wǎng)絡(luò)安全的因素有：節(jié)點(diǎn)的安全、數(shù)據(jù)的安全（保存和傳輸方面）、文件的安全等。例如 “點(diǎn)在郵件炸彈 ”，它的表現(xiàn)形式是用戶在很短的時(shí)間內(nèi)收到大量無用的電子郵件， 從而影響正常業(yè)務(wù)的運(yùn)行。 2）黑客侵襲。 隨著網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)的安全問題也延伸到了計(jì)算機(jī)網(wǎng)絡(luò)。 2）運(yùn)行環(huán)境的安全性。 5 大學(xué)畢業(yè)論文 第二章 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安 全問題 安全，通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機(jī)制。 防火墻的基本功能有 :過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)；管理 進(jìn)出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)； 記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊進(jìn)行檢測和報(bào)警 論文結(jié)構(gòu) 在論文中接下來的幾章里，將會有下列安排 : 第二章，分析研究網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全面臨的主要威脅，影響網(wǎng)絡(luò)安全的因素，及保護(hù)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。 所謂的防火墻是指設(shè)置在不同網(wǎng)絡(luò) (如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng) )或網(wǎng)絡(luò)安全域之間的一系列部件 的組合 [ 1 ] 。一般都是利用操作系統(tǒng)設(shè)計(jì)的安全漏洞和通信協(xié)議的安全漏洞來實(shí)現(xiàn)攻擊。目前市場上大多數(shù)的防火墻產(chǎn)品僅僅是網(wǎng)關(guān)的，雖然它們的功能相當(dāng)強(qiáng)大，但由于它們基于下述的假設(shè) :內(nèi)部網(wǎng)是安全可靠的，所有的威脅都來自網(wǎng)外。信息泄漏攔截保證安全地瀏覽網(wǎng)頁、遏制郵件病毒的蔓延 。用戶可以根據(jù)自己的需要，通過設(shè)定一些參數(shù)，從而達(dá)到控制本機(jī)與互聯(lián)網(wǎng)之間的信息交流阻止惡性信息對本機(jī)的攻擊，比如 I