【正文】 為了網(wǎng)絡(luò)安全，包過濾的一般的可供選擇的方法包括用網(wǎng)絡(luò)訪問保護(hù)第2頁(共14頁)每一臺機(jī)器和使用應(yīng)用網(wǎng)關(guān)。未經(jīng)授權(quán)的訪問和授權(quán)的訪問的定義在不同機(jī)構(gòu)有很大的不同。需要考慮的事項是來自站點(diǎn)或網(wǎng)絡(luò)管理者的觀點(diǎn)(他們是那些在維持他們的站點(diǎn)或網(wǎng)絡(luò)足夠的安全時，對提供好的可能的服務(wù)給他們的用戶感興趣的人)，站點(diǎn)或網(wǎng)絡(luò)管理者的觀點(diǎn)必定和服務(wù)提供者或路由器供應(yīng)商所有的觀點(diǎn)不一樣(他們感興趣的是提供網(wǎng)絡(luò)服務(wù)或產(chǎn)品給用戶)。但它的有效利用需要對它的實(shí)際能力和缺點(diǎn)的充分了解，以及對用于過濾器的特定協(xié)議的特點(diǎn)的充分了解。第1頁(共14頁)2 防火墻技術(shù)防火墻技術(shù)分為包過濾，代理，NAT，狀態(tài)監(jiān)測等幾種技術(shù)。在邏輯上，防火墻是一個分離器、一個限制器，也是一個分析器，它有效地監(jiān)控了所要保護(hù)的內(nèi)部網(wǎng)和外部公共網(wǎng)絡(luò)之間的任何活動，用于確定網(wǎng)絡(luò)哪些內(nèi)部服務(wù)允許外部訪問，以及內(nèi)部網(wǎng)絡(luò)主機(jī)訪問哪些外部服務(wù)等，從而保證了所要保護(hù)的內(nèi)部計算機(jī)網(wǎng)絡(luò)的穩(wěn)定正常運(yùn)行以及內(nèi)部網(wǎng)絡(luò)上數(shù)據(jù)和信息資源的完整性、可用性和保密性。本論文從實(shí)際應(yīng)用的角度對防火墻的應(yīng)用問題進(jìn)行了探討分析，闡述了防火墻的幾種技術(shù)及其應(yīng)用模式。讓我們共同努力創(chuàng)造 更好的明天。25 計算機(jī)防火墻技術(shù)論文參考文獻(xiàn)[1] [J].，(s):1054 一 1055.[2] [J].，(s):79 一 82.[3] [M].，23(6):311 一 312.[4] 孟濤、[M].，(4):17 一 18.[5] [Z].E .[6] ，20(l):57 一 62 [7] 李劍，劉美華，2(l):59 一 61 [8] 王衛(wèi)平，陳文惠，(8):24 一 27 [9] , for Packet the 9 th Annual Joint Conference of the IEEE Computer and Communieations , 11931202.[10] ]王永綱，石江濤，戴雪龍， ，34(4):400 一 409 [11] 邵華鋼，29(12):123 一 124 [12] 付歌，30(6):76 一 78 [13] 付 歌，楊 明 福，王 興 于 空 間 分 解 的 數(shù) 據(jù) 包 分 類 技 算 機(jī) 工 程 與 應(yīng) (8):63 一 65 [14] 〕韓曉非，王學(xué)光，29(5):504 一 508 [15] 韓曉非，楊明福，(29):188 一 192 [16] 馮東雷，張勇，40(3):387 一 392 [17] 余勝生，張寧，周敬利， ，30(7):49 一 51 26 計算機(jī)防火墻技術(shù)論文致謝本文是在李老師的悉心指導(dǎo)卜完成的，從文獻(xiàn)的查閱、論文的選題、撰寫、修改、定稿，我的每一個進(jìn)步都和李老師的關(guān)注與指導(dǎo)密不可分。新型防火墻技術(shù)產(chǎn)生,就是為了解決來自企業(yè)網(wǎng)絡(luò)內(nèi) 和外的攻擊。(2)強(qiáng)大的審計功能和自動日志分析功能。但是純硬件的 ASIC 防火墻缺乏可編程 性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。為了滿足這種需要，一些防 火墻制造商開發(fā)了基于 ASIC 的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。擁有病毒防護(hù) 功能的防火墻可以大大減少公司的損失。這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對應(yīng)于不同的網(wǎng)絡(luò)層，從這 個概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。用戶身份驗證功能越強(qiáng)，它的安全級別越高，但它給網(wǎng)絡(luò)通信帶 來的負(fù)面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗 證。主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管 理三方面來體現(xiàn)。第一步：通過 CONSOLE 接口以及本機(jī)的超級終端連接 F100 防火墻，執(zhí)行 system 命令進(jìn)入配置模式。 軟件的配置與實(shí)施以 H3C 的 F100 防火墻為例，當(dāng)企業(yè)外網(wǎng) IP 地址固定并通過光纖連接的具體配置。默認(rèn)情況下防火墻會自動建立 trust 信任區(qū)，untrust 非信任區(qū)，DMZ 堡壘主機(jī)區(qū)以及 LOCAL 本地區(qū)域。如果防火墻上有 WAN 接口，那么直接將 WAN 接口連接外網(wǎng)即可，如果所有接 口都標(biāo)記為 LAN 接口，那么按照常規(guī)標(biāo)準(zhǔn)選擇最后一個 LAN 接口作為外網(wǎng)連接端 口。如在對 SMTP 協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對 郵件的存儲轉(zhuǎn)發(fā)，并實(shí)現(xiàn)豐富的對 SMTP 協(xié)議的各種攻擊的防范功能一流過濾的 示意圖如圖 所示。 流過濾技術(shù) 流過濾是東軟集團(tuán)提出的一種新型防火墻技術(shù)架構(gòu)，它融基于狀態(tài)的包過 濾技術(shù)與基于內(nèi)容的深度包檢測技術(shù)為一體，提供了一個較好的應(yīng)用防御解決方 案，它以狀態(tài)監(jiān)測技術(shù)為基礎(chǔ)，但在此基礎(chǔ)上進(jìn)行了改進(jìn)其基本的原理是:以狀 態(tài)包過濾的形態(tài)實(shí)現(xiàn)應(yīng)用層的保護(hù)能力:通過內(nèi)嵌的專門實(shí)現(xiàn)的 TCP/IP 協(xié)議棧，實(shí)現(xiàn)了透明的應(yīng)用信息過濾機(jī)制。如果檢測到信息流是一個 HTTP 數(shù)據(jù) 流，則命令解析器檢查上載和下載的文件。圖 深度包檢測框圖 在接收到網(wǎng)絡(luò)流量后，將需要進(jìn)行內(nèi)容掃描的數(shù)據(jù)流定向到 TCP/IP 堆棧，其他數(shù)據(jù)流直接定向到狀態(tài)檢測引擎，按基本檢測方式進(jìn)行處理。因而要執(zhí)行深度包檢測，帶來的問題必然是性能的下降，這 就是所謂的內(nèi)容處理障礙。(2)也需 要高速檢查它的能力。利用高層協(xié)議的攻擊和網(wǎng)絡(luò)病毒的頻繁出現(xiàn)，對防火墻提出了新 的要求。這種方法 的好處在于由于不需要對每個數(shù)據(jù)包進(jìn)行規(guī)則檢查，而是一個連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過散列算法，直接進(jìn)行狀態(tài)檢查，從而使性能得到了較 大提高。對于新建的應(yīng)用連接，防火墻檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下 該連接的相關(guān)信息，這些相關(guān)信息構(gòu)成一個狀態(tài)表。這兩種技術(shù)的發(fā)展并不是獨(dú) 立的，動態(tài)包過濾可以說是基于內(nèi)容檢測技術(shù)的基礎(chǔ)。從數(shù)據(jù)包結(jié)構(gòu)出發(fā)考慮，目 前包過濾技術(shù)向兩個方向發(fā)展:(l)橫向聯(lián)系。(2)缺 乏應(yīng)用防御能力。若允許建立 HTTP 連接，就需 要開放 1024 以上所有端口，這無疑增加了被攻擊的可能性。TCP 頭部的主要字段包括源/目的端口、發(fā)送及確認(rèn)序 號、狀態(tài)標(biāo)識等。對于進(jìn)防火墻的數(shù)據(jù)包，順序正好與此相反，頭部信息逐層剝掉?？紤]包過濾技術(shù)的發(fā)展過程，可以認(rèn)為包過濾的核心問題就是如何充分利用數(shù)據(jù) 包中各個字段的信息，并結(jié)合安全策略來完成防火墻的功能[11][15] 數(shù)據(jù)表結(jié)構(gòu) 當(dāng)應(yīng)用程序用 TCP 傳送數(shù)據(jù)時，數(shù)據(jù)被送入?yún)f(xié)議棧中，然后逐個通過每一層 直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。包過濾最主要的優(yōu)點(diǎn)在于其速度與 透明性。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播 感染顯得尤為重要。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個子網(wǎng) 內(nèi)，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與 Internet 及內(nèi)部網(wǎng)絡(luò)分離。它工作在 OSI 模型的最高層，掌握著應(yīng)用系統(tǒng)中可用 作安全決策的全部信息。防火墻內(nèi)外計算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個終止代理服務(wù)器上的“鏈接”來實(shí)現(xiàn)，外部計算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代 理服務(wù)器，從而起到了隔離防火墻內(nèi)外計算機(jī)系統(tǒng)的作用。如 果某種應(yīng)用沒有安裝代理程序，那么該項服務(wù)就不被支持并且不能通過防火墻進(jìn) 行轉(zhuǎn)發(fā)。它的代理功能，就是在防 火墻處終止客戶連接并初始化一個新的連接到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。包過濾防 火墻的維護(hù)比較困難，定義過濾規(guī)則也比較復(fù)雜，因為任何一條過濾規(guī)則的不完 善都會給網(wǎng)絡(luò)黑客造成可乘之機(jī)。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng) 絡(luò)，使之遭受攻擊。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包 按正常情況處理。 防火墻的原理及分類國際計算機(jī)安全委員會 ICSA 將防火墻分成三大類:包過濾防火墻，應(yīng)用級代理服務(wù)器[8]以及狀態(tài)包檢測防火墻?？芍С秩我痪W(wǎng)絡(luò)接口的 IP 地址和 MAC 地址的綁 12 計算機(jī)防火墻技術(shù)論文定，從而禁止用戶隨意修改 IP 地址。檢測試圖穿透防火墻系統(tǒng)的蠕蟲程 序。木馬程序的全稱是 “特洛依木馬” 它們是指尋找后門、竊取計算機(jī)的密碼的一類程序。IIS 就是 Internet Information server 的簡稱，也就是微軟的 Internet 信息服務(wù)器。更 為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各 種非法操作，防火墻設(shè)備可檢測對 FTP、Telnet、SSH、RPC 和 SMTP 等服務(wù)的遠(yuǎn) 程堆棧溢出入侵。其原理很簡單，就是利用更多 的受控主機(jī)同時發(fā)起進(jìn)攻，以比 DoS 更大的規(guī)模(或者說以更高于受攻主機(jī)處理 能力的進(jìn)攻能力)來進(jìn)攻受害者。顧名思義反端口掃描就是防范端口掃描的方法，目前常用的方法有: 關(guān)閉閑置和有潛在危險的端口。 入侵檢測功能 入侵檢測技術(shù)[7]就是一種主動保護(hù)自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技 術(shù)，包括以下內(nèi)容: 。同時 支持 URL 過濾功能。3．認(rèn)證和應(yīng)用代理。網(wǎng)絡(luò)地址變換是將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的 IP 地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換 Source NAT(SNAT)和目的地址轉(zhuǎn)換 Destination NAT(DNAT)。10 計算機(jī)防火墻技術(shù)論文 防火墻的功能 防火墻的主要功能 1．包過濾。現(xiàn)在防火墻正在向分布、智能的方向發(fā)展，其中智能防火墻可以很好的解 決上面的問題。二是傳統(tǒng)防火墻的訪問控制機(jī)制是一個 簡單的過濾機(jī)制。這三大安全問題 占據(jù)網(wǎng)絡(luò)安全問題九成以上。1994 年，以色列的 CheckPoint 公司開發(fā)出了 第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。圖 1 表示了防火墻技術(shù)的簡單發(fā)展歷史。它是提供信息安全服 務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。其中包過濾作為最早 發(fā)展起來的一種技術(shù)，其應(yīng)用非常廣泛。8 計算機(jī)防火墻技術(shù)論文第三章防火墻概述隨著 Internet 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類 重要的、敏感的數(shù)據(jù)逐漸增多。Windows 2000 操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪問控制。(6)文件系統(tǒng)安全 在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個關(guān)鍵性的概念，因為訪問控制實(shí)現(xiàn)在兩個 方面：本地和遠(yuǎn)程。但是，防火墻技術(shù)在網(wǎng)絡(luò)安全防護(hù)方面也存在一些不足： 防火墻不能防止內(nèi)部攻擊防火墻不能取代殺毒軟件； 防火墻不易防止反彈端口木 馬攻擊等。有兩種主要的 加密類型：私匙加密和公匙加密。這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全的保障，管理和審計是安全的防線。一個完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外 部軟環(huán)境。具體講，網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權(quán)訪 問、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶??等。例如通過隱蔽通 道進(jìn)行非法活動；采用匿名用戶訪問進(jìn)行攻擊；通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶賬號 和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。1）計算機(jī)病毒的侵襲。3）信息的安全性?！?從技術(shù)講，計算機(jī)安全分為 3 種： 1）實(shí)體的安全。第四章，以 H3CH3C 的 F100 防火墻為例，介紹防火墻配置方法。在邏輯上,防火墻是一個分離器,一個限制器,也是一 個分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和 Internet 之間的任何活動, 保證了內(nèi)部網(wǎng)絡(luò) 的安全。以及藍(lán)屏攻擊等。個人上網(wǎng)用戶多使用 Windows 操作系統(tǒng)，而 Windows 操作系統(tǒng)，特別是計算機(jī)防火墻技術(shù)論文WindowsXP 系統(tǒng)，本身的安全性就不高。個人防火墻就是在單機(jī) Windows 系統(tǒng)上，采取一些安全防護(hù)措施，使得本機(jī) 的息得到一定的保護(hù)。防火墻 可以保護(hù)人們在網(wǎng)上瀏覽時免受黑客的攻擊，實(shí)時防范網(wǎng)絡(luò)黑客的侵襲，還可以 根據(jù)自己的需要創(chuàng)建防火墻規(guī)則，控制互聯(lián)網(wǎng)到 PC 以及 PC 到互聯(lián)網(wǎng)的所有連接，并屏蔽入侵企圖。 研究目的為了解決互聯(lián)網(wǎng)時代個人網(wǎng)絡(luò)安全的問題，近年來新興了防火墻技術(shù)[2]。據(jù)美國 FBI 統(tǒng)計，美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高 達(dá) 75 億美元，而全求平均每 20 秒鐘就發(fā)生一起 Internet 計算機(jī)侵入事件[1]。計算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展 使網(wǎng)絡(luò)安全問題日益突出,而防火墻是應(yīng)用最廣泛的安全產(chǎn)品。防火墻技術(shù)作為時下比較成熟的一種網(wǎng)絡(luò)安全技術(shù)，其安全性直接關(guān)系到用 戶的切身利益。計算機(jī)防火墻技術(shù)論文畢 業(yè) 論 文計算機(jī)防火墻技術(shù)姓 學(xué)名： 號：指導(dǎo)老師： 系 專 班 名： 業(yè)： 級：二零一零年十一月十五日 1 計算機(jī)防火墻技術(shù)論文摘要因特網(wǎng)的迅猛發(fā)展給人們的生活帶來了極大的方便，但同時因特網(wǎng)也面臨 著空前的威脅。最后，我要向我的父母致以最崇高的敬意，沒有你們無私的支持，就沒有我今天的成績。但是，防火墻技術(shù)也有它的不足之處，為了更好的維護(hù)網(wǎng)絡(luò)安全，還需要其他的技術(shù)相結(jié)合，以及更先進(jìn)的技術(shù)的發(fā)現(xiàn)。比如不能防范內(nèi)奸或由用戶造成的危害。 防火墻系統(tǒng)的局限性防火墻系統(tǒng)存在著如下局限性：常常需要有特殊的較為封閉的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來支持，對網(wǎng)絡(luò)安全功能的加強(qiáng)往往以網(wǎng)絡(luò)服務(wù)的靈活性、多樣性和開放性為代價。由于防火墻在結(jié)構(gòu)上的特殊位置，使其方便地提供了監(jiān)視管理與審計網(wǎng)絡(luò)的使用及預(yù)警。狀態(tài)檢測防火墻克服了包過濾防火墻和應(yīng)用代理服務(wù)器的局限性不要求每個被訪問的應(yīng)用都有代理，狀態(tài)檢測模塊能夠理解各種協(xié)議和應(yīng)用以支持各種最新的應(yīng)用服務(wù)。鄭州電子信息職業(yè)技術(shù)學(xué)院2011屆畢業(yè)論文狀態(tài)檢測技術(shù)；狀態(tài)檢測防火墻在網(wǎng)絡(luò)層由一個檢測模塊截獲數(shù)據(jù)包，并抽取與應(yīng)用層狀態(tài)有關(guān)的信息，并以此作為依據(jù)決定對該連接是接受還是拒絕。代理系統(tǒng)是客戶機(jī)和真實(shí)服務(wù)器之間的中介，完全控制客戶機(jī)和真實(shí)服務(wù)器之間的流量并對流量情況加以記錄，它具有靈活性和安全性，但可能影響網(wǎng)絡(luò)的性能對用戶透明，且對每一個服務(wù)器都要設(shè)計一個代理模塊，建立對應(yīng)的網(wǎng)關(guān)層實(shí)現(xiàn)起來比較復(fù)雜。包過濾的優(yōu)點(diǎn)是它對于用戶來說是透明的，處理速度快且易于維護(hù)，通常作為第一道防線。包過濾是一種安全篩選機(jī)制，它控制哪些數(shù)據(jù)包可以進(jìn)出網(wǎng)絡(luò)而哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)所拒絕。防火墻支持基于用戶身份的網(wǎng)絡(luò)訪問控制，不僅具有內(nèi)置的用戶管理及認(rèn)證接口，同時也支持用戶進(jìn)行外部身份認(rèn)證。防火墻的訪問控制采用兩種基本策略，即“黑名單”策略和“白名單”策略，指除了規(guī)則允許的訪問，其他都是禁止的。黑客入侵的常用手段之一就是試圖獲得Administrator賬戶的密碼，所以我們要重新配置Administrator賬戶首先為Administrator賬戶設(shè)置一