【正文】 在此過程中我們互相幫助，勉勵是我們能完成這次任務(wù)的最大動力，也是我們之間最大的收獲，最好的精神財富，愿我們還會有更好的合作！ 經(jīng)過了這次的實(shí)習(xí)也意味著我學(xué)習(xí)生涯的結(jié)束。南楠老師在研究方向、資料的收集、論文的選題、研究工作 的開展以及論文的最終定稿，給子 我巨大、無私的幫助?？朔鹘y(tǒng)“邊界防火墻”的缺點(diǎn) ,集成了 IDS 、 VPN 和防病毒等安全技術(shù) ,實(shí)現(xiàn)從網(wǎng)絡(luò)到服務(wù)器以及客戶端全方位的安全解決方案 ,滿足企業(yè)實(shí)際應(yīng)用和發(fā)展的安全要求。 防火墻的系統(tǒng)管理發(fā)展趨勢 防火墻的系統(tǒng)管理發(fā)展趨勢主要體現(xiàn)在： 集中式管理，分布式和分層的安全結(jié)構(gòu) 縱觀防火墻技術(shù)的發(fā)展，黑客入侵系統(tǒng)技術(shù)的不斷進(jìn)步以及網(wǎng)絡(luò)病毒朝智能化和多樣化發(fā)展，對防火墻技術(shù)的同步發(fā)展提出了更高的要求?；?ASIC 的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。另外，在以后幾年里，多媒體應(yīng)用將會越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。這是針對以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過濾技術(shù)的不足。具有用戶身份驗證的防火墻通常是采用應(yīng)用級網(wǎng)關(guān)技術(shù)的，包過濾技術(shù)的防火墻不具有。 防火墻包過濾技術(shù)發(fā)展趨勢 未來防火墻技術(shù)會全面考慮網(wǎng)絡(luò)的安全、操作系統(tǒng)的安全、 應(yīng)用程序的安全、用戶的安全、數(shù)據(jù)的安全等五個方面。在此拓?fù)浣Y(jié)構(gòu)中，邊界路由器與防火墻就一起組成了兩道安全防線，并且在這兩者之間可以設(shè)置一個 DMZ 區(qū)，用來放置那些允許外部用戶訪問的公用服務(wù)器設(shè)施。 如果原來已有邊界路由器，則可充分利用原有設(shè)備，利用邊界路由器的包過濾功能，添加相應(yīng)的防火墻配置，這樣原來的路由器也就具有防火墻功能了?？烧撟C地，大多數(shù)防火墻默認(rèn)都是拒絕所有的流量作為安全選項。 5．定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。 2．將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的 IP 包，這樣可以防范源地址假冒和源路由類型的攻擊 。一個防火墻 (作為阻塞點(diǎn)、控制點(diǎn) )能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。校園網(wǎng)的服務(wù)器群構(gòu)成了校園網(wǎng)的服務(wù)系統(tǒng)，主要包括 DNS、虛擬主機(jī)、賈 eb、 FTP、視頻點(diǎn)播以 及Mail 服務(wù)等。如果 Inter 上的某臺計算機(jī)想與其上的一個工作站進(jìn)行通信，它必須與雙宿主主機(jī)上能“看到”的 IP 地址聯(lián)系，代理服務(wù)器軟件通過另一塊網(wǎng)卡啟動到對方網(wǎng)絡(luò)的連接。 5． 如果一條規(guī)則允許傳遞或接收一 個分組，則允許該分組通過。大多數(shù)分組過濾裝置只檢查 IP、 TCP 或 UDP 頭部內(nèi)的字段。 防火墻作為網(wǎng)絡(luò)安全的一種靜態(tài)防護(hù)手段，實(shí)現(xiàn)方式多種多樣。同時必須嚴(yán)格限制從防火墻內(nèi)部發(fā)起的到防火墻外部網(wǎng)絡(luò)的連接。否則的話，防火墻內(nèi)部的個人計算機(jī)就不能解析防火墻外的計算機(jī)的名字。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機(jī)和分組過濾防火墻共同構(gòu)建了整個防火墻的安全基礎(chǔ)。在動態(tài)包過濾器與自適應(yīng)代理服務(wù)器之間存在一個控制通道 。 電路層網(wǎng)關(guān)是建立應(yīng)用層網(wǎng)關(guān)上的一個更為靈活方法。所幸的是，目前的 Inter 的用戶接入速度遠(yuǎn)低于這個上限。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻 處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。 于此同時，應(yīng)用層網(wǎng)關(guān)將認(rèn)后內(nèi)部用戶的請求確送到外部服務(wù)器，而后再將外部服務(wù)器的響應(yīng)發(fā)送回用戶。這種防火墻通過代理技術(shù)參與 TCP 連接的全過程，并且在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議轉(zhuǎn)發(fā)功能和協(xié)議過濾功能，因此叫做應(yīng)用層網(wǎng)關(guān)。代理防火墻的工作原理如圖 所示。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時發(fā)揮了中間轉(zhuǎn)接和隔離內(nèi)、外部網(wǎng)絡(luò)的作用，所以 有叫代理防火墻。 5．安全性較差。 3．某些安全策略數(shù)據(jù)包過濾路由器無法執(zhí)行。 2．過濾路由器效率高、速度快。 包過濾防火墻的優(yōu)點(diǎn)： 1．不用改動應(yīng)用程序。命令解析器分析和定制每個內(nèi)容協(xié)議，分析整個 內(nèi)容數(shù)據(jù)流，檢測蠕蟲和病毒。如圖 所示的是一個深度包檢測的流程框圖。計算機(jī)應(yīng)用層的內(nèi)容過濾要求大量的計算資源。 應(yīng)用防御的技術(shù)問題主要包括： 1. 更為清楚的知 道有效荷載； 2. 具有高速的檢查能力。 2. 動態(tài)包過濾 又被稱為基于狀態(tài)的數(shù)據(jù)包過濾，與傳統(tǒng)包過濾技術(shù)只檢查單個的數(shù)據(jù)包不同，采用動態(tài)包過濾技術(shù)的防火墻對通過其建立 的每一個連接都要進(jìn)行跟蹤，并且根據(jù)需要可動態(tài)地在過濾規(guī)則中更新或增加條目。 數(shù)據(jù)包過濾技術(shù)是一個網(wǎng)絡(luò)安全策略，它用來控制流出、流入網(wǎng)絡(luò)的數(shù)據(jù)。由訪問控制表指定允許哪些類型的數(shù)據(jù)包可流入或流出內(nèi)部網(wǎng)絡(luò)，例如：哪些類型的數(shù)據(jù)包傳輸應(yīng)該被攔截；只接收某些來自指定的 IP 地址的數(shù)據(jù)包或者內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包可流向指定的一些端口等。 防火墻技術(shù)原理及分類 防火墻可分成三大類，分別為 :包過濾防火墻，應(yīng)用級代理服務(wù)器和狀態(tài)包檢測防火墻。目的地址轉(zhuǎn)換主要用于外部網(wǎng)絡(luò)主機(jī)訪問內(nèi)部網(wǎng)絡(luò)主機(jī)。代理是指防火墻內(nèi)置用戶認(rèn)證數(shù)據(jù)庫，提供 FTP、 SMTP 和 HTTP 代理功能，并可以對這三種協(xié)議進(jìn)行訪問控制，并且支持 URL 過濾功能。 總之，防火墻是阻止外面的人對你的網(wǎng)絡(luò)進(jìn)行訪問的任何設(shè)備，此設(shè)備通常是軟件和硬件的 組合體，它通常根據(jù)一些規(guī)則來挑選想要或不想要的地址。 防火墻是由個人計算機(jī)為保護(hù)自己的網(wǎng)絡(luò)免遭外部非授權(quán)訪問，但又允許與Inter 連接而發(fā)展起來的。但是隨著使用時間的推延，安全問題的改變，網(wǎng)絡(luò) 發(fā)展日益不斷的變化，次代防火墻亦表現(xiàn)出不少問題，例如： 1．防火墻管理者一般并不了解操作系統(tǒng)及其內(nèi)核，由于源代碼的保密性，這些成為安全無法保證的因素； 2．操作系統(tǒng)和防火墻系統(tǒng)的廠商并不一定是同一廠商，因此通用操作系統(tǒng)廠商不會對操作系統(tǒng)的安全性負(fù)責(zé)； 3．由于防火墻只能防止外部網(wǎng)絡(luò)的攻擊，而不能方式操作系統(tǒng)廠商的攻擊，這成為其致命缺陷； 4．用戶要保障個人計算機(jī)安全就必須同時依靠防火墻廠商和操作系統(tǒng)廠商畢業(yè)論文 16 兩個方面的安全支持。 第二代防火墻，即用戶化的防火墻工具套具有以下特征： 畢業(yè)論文 15 1．根據(jù)用戶需求，提供模塊化的軟件包； 2．將路由器中的過濾功 能獨(dú)立出來，并添加報警和審計功能； 3．比第一代防火墻價格低，安全性高； 4．為純軟件產(chǎn)品，用戶可以從網(wǎng)上直接下載，可以自己手動構(gòu)建防火墻。 由于早期認(rèn)識不足，防火墻其明顯的不足之處： 1．由于路由器協(xié)議的靈活性，以及路由協(xié)議本身的安全漏洞，外部非安全網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)十分容易 2．由于路由器采用的分組過濾規(guī)則，其設(shè)置和配置存在安全隱患，導(dǎo)致防火墻亦存在安全隱患 3．信息在網(wǎng)絡(luò)上是以明文的方式傳送的，因此攻擊者可以采用偽造的路由信息，通過“假冒”地址欺騙防火墻。 畢業(yè)論文 14 圖 防火墻圖示 防火墻發(fā)展簡介 從防火墻近年內(nèi)的發(fā)展來看，可將其發(fā)展分為四個階段： 第一階段：基于路由器的防火墻 第一代防火墻幾乎與路由器同時出現(xiàn)，多數(shù)路由器本身包含有分組過濾的功能，所以網(wǎng)絡(luò)訪問控制功能可通過路由控制來實(shí)現(xiàn)，而這種采用包過濾技術(shù)的防火墻為第一代防火墻產(chǎn)品。是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能夠根據(jù)企業(yè)的安全政策實(shí)現(xiàn)控制 (拒絕、監(jiān)測、允許 )出入網(wǎng)絡(luò)的信息流，其本身具有很強(qiáng)的抗攻擊能力。因此，怎樣合理保護(hù)計算機(jī)網(wǎng)絡(luò)資源不被非授權(quán)訪問，怎樣阻止計算機(jī)病毒的傳播感染，怎樣排除網(wǎng)絡(luò)諸多不安全因素就顯得尤為重要。 4. 美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司（ ISS）提出的 P2DR 安全模型：策略（ Policy）、防護(hù)（ Protection）、檢測（ Detection）和響應(yīng)（ Response）。 Windows 2021操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪問控制。 6. 文件系統(tǒng)安全 在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個關(guān)鍵性的概 念，因為訪問控制實(shí)現(xiàn)在兩個方面：本地和遠(yuǎn)程。但是，防火墻技術(shù)在網(wǎng)絡(luò)安全防護(hù)方面也存在一些不足：防火墻不能防止內(nèi)部攻擊防火墻不能取代殺毒軟件；防火墻不易防止反彈端口木馬攻擊 等。有兩種主要的加密類型：私匙加密和公匙加密。這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全的保障，管理和審計是安全的防線。一個完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。 具體講，網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權(quán)訪問、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶??等。當(dāng)前，活性病毒達(dá) 14000 多種，計算機(jī)病毒侵入網(wǎng)絡(luò)，對網(wǎng)絡(luò)資源進(jìn)行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個網(wǎng)絡(luò)的癱瘓。 網(wǎng)絡(luò)安全面臨的威脅 一般認(rèn)為，計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自黑客的入侵、計算機(jī)病毒和拒絕服務(wù)攻擊三個方面。一個高效可靠的防火墻必須具有以 下典型的特性 : 1. 只有本地安全策略所授權(quán)的通信才可允許通過； 2. 防火墻本身是免疫的 ,不能被穿透的； 3. 從外到里和從里到外的所有通信都必須通過防火墻。因此，為了保護(hù)個人計算機(jī)的安全通信，研制行之有效的個人防火墻技術(shù)必要。 個人上網(wǎng)用戶使用的操作系統(tǒng)多為 Windows操作系統(tǒng)，而 Windows操作系統(tǒng)，雖然經(jīng)過長久發(fā)展，但由于自身過于龐大等一系列因素，導(dǎo)致 Windows 操作系統(tǒng)，特別是 Windows XP 操作系統(tǒng)本身的安全性就不高。 個人防火墻是在單機(jī)操作系統(tǒng)上，采取一系列安全防護(hù)措施，使個人計算機(jī)機(jī)的信息得到一定的保護(hù)。 防火墻可以根據(jù)自己的需要創(chuàng)建防火墻規(guī)則，控制互聯(lián)網(wǎng)到 PC 以及 PC 到互聯(lián)網(wǎng)的所有連接，并屏蔽入侵企圖，還可以保護(hù)人們在網(wǎng)上 瀏覽時免受黑客的攻擊，實(shí)時防范網(wǎng)絡(luò)黑客的侵襲。通常，防火墻是一組硬件設(shè)備 路由器、主計算機(jī)，或者是路由器、計算機(jī)和配有的軟件的網(wǎng)絡(luò)的組合。 防火墻技術(shù)是一種非常有效的網(wǎng)絡(luò)安全模型。例如，據(jù)媒體報道，“法輪功”非法組織就是在美國設(shè)網(wǎng)站，利用無國界的空間進(jìn)行反政府活動。該市某公司的鏡像網(wǎng)站在 10 月份 1 個月內(nèi)，就遭到 100 多個惡意攻擊。根據(jù)英國《簡氏戰(zhàn)略報告》和一些其它網(wǎng)絡(luò)權(quán)威組織對各國防護(hù)能力的評估，我國被列入防護(hù)能力最低的國家之一。 。 目前在我國網(wǎng)絡(luò)安全問題日益突出的主要標(biāo)志在于： 。計算機(jī)與網(wǎng)絡(luò)技術(shù)已深入到社會的各個領(lǐng)域，網(wǎng)絡(luò)將各個地區(qū)各個國家的人們緊密的聯(lián)系到了一起。但是，但由于早期人們認(rèn)識不足導(dǎo)致網(wǎng)絡(luò)有其脆弱易受到攻擊的一面。計算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展使網(wǎng)絡(luò)安全問題日益突出 ,而防火墻是應(yīng)用最廣泛的安全產(chǎn)品。 防火墻技術(shù)作為一種比較成熟的網(wǎng)絡(luò)安全技術(shù)，其安全性直接關(guān)系到用戶的切身利益。 網(wǎng)絡(luò)安全主要是在分布網(wǎng)絡(luò)環(huán)境中，對信息載體（處理載體、存儲載體、傳輸載體）和信息處理、傳輸、存儲、訪問提供安全保護(hù)和漏洞的綜合結(jié)果。人們得益于網(wǎng)絡(luò)所帶來的巨大機(jī)遇的同時，將不得不面對信息安全問題與網(wǎng)絡(luò)安全問題帶來的的嚴(yán)峻考驗。通過在網(wǎng)絡(luò)中實(shí)際配置防火墻，由此分析防火墻在 Inter 安全上的重要作用，并提出防火墻的不足之處和解決方案。最后簡述了防火墻技術(shù)在校園網(wǎng)中的應(yīng)用，并對其的發(fā)展趨勢作出簡單展望。因此，如何通過行之有效方法將網(wǎng)絡(luò)安全的風(fēng)險 降低到人們可接受的范圍之內(nèi)，保障人們的信息安全已經(jīng)越來越受到人們的關(guān)注。而在計算網(wǎng)絡(luò)的安全中，保護(hù)網(wǎng)絡(luò)數(shù)據(jù)和程序等資源，以免受到有意或無意地破壞或越權(quán)修改與占用的技術(shù)，稱為訪問控制技術(shù)。針對網(wǎng)絡(luò)安全獨(dú)立元素 —— 防火墻技術(shù)，通過對防火墻日志文件的分