【正文】 與基于。為了滿足這種需要，一些防火墻制造商開發(fā)了基于 ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。這 意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。擁有病毒防護功能的防火墻可以大大減少公司的損失。 23 大學(xué)畢業(yè)論文 有些防火墻集成了防病毒功能，通常被稱之為 “病毒防火墻 ”，當(dāng)然目前主要還是在個人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)。 這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對應(yīng)于不同的網(wǎng)絡(luò)層，從這個概念出發(fā)，又有很多內(nèi)容可以擴展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。在分組過濾 (網(wǎng)絡(luò)層 )一級，過濾掉所有的源路由分組和假冒的 IP 源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或 /和入的協(xié)議和有害數(shù)據(jù)包如 nuke 包、圣誕樹包等；在應(yīng)用 網(wǎng)關(guān) (應(yīng)用層 )一級，能利用 FTP、 SMTP 等各種網(wǎng)關(guān)，控制和監(jiān)測 Inter 提供的所用通用服務(wù)。用戶身份驗證功能越強，它的安全級別越高，但它給網(wǎng)絡(luò)通信帶來的負(fù)面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。該功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)。 第三步：進入接口四設(shè)置其 IP地址為 ，命令為 int e0/4 ip add 第四步：進入接口一設(shè)置其 IP地址為內(nèi)網(wǎng)地址，例如 ，命令為 int e0/1 ip add 第五步：將兩個接口加入到不同的區(qū)域，外網(wǎng)接口配置到非信任區(qū) untrust，內(nèi)網(wǎng)接口加入到信任區(qū) trust—— fire zone untrust add int e0/4 fire zone trust add int e0/1 第六步：由于防火墻運行基本是通過 NAT來實現(xiàn)，各個保護工作也是基于此功能實現(xiàn)的，所以還需要針對防火墻的 NAT 信息進行設(shè)置， 首先添加一個訪問控制列表 —— acl num 2020 21 大學(xué)畢業(yè)論文 rule per source rule deny 第七步：接下來將這個訪問控制列表應(yīng)用到外網(wǎng)接口通過啟用 NAT—— int e0/4 nat outbound 2020 第八步：最后添加路由信息，設(shè)置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或外網(wǎng)電信下一跳地址 —— ip routestatic (如圖 2) 執(zhí)行 save 命令保存退出后就可以在企業(yè)外網(wǎng)出口指定 IP 時實現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)以及安全保護功能了。 第一步：通過 CONSOLE接口以及本機的超級終端連接 F100防火墻，執(zhí)行 system命令進入配置模式。選擇接口四連接外網(wǎng)，接口一連接內(nèi)網(wǎng)。 軟件的配置與實施 以 H3C的 F100防火墻為例，當(dāng)企業(yè)外網(wǎng) IP地址固定并通過光纖連接的具體配置。 20 大學(xué)畢業(yè)論文 在實際設(shè)置時我們必須將端口劃分到某區(qū)域后才能對其進行各個訪問操 作，否則默認(rèn)將阻止對該接口的任何數(shù)據(jù)通訊。默認(rèn)情況下防火墻會自動建立 trust信任區(qū)， untrust非信任區(qū)， DMZ堡壘主機區(qū)以及 LOCAL本地區(qū)域。 防火墻的特色配置 從外觀上看防火墻和傳統(tǒng)的路由器交換機沒有太大的差別， 一部分防火墻具備 CONSOLE接口通過超級終端的方式初始化配置，而另外一部分則直接通過默認(rèn)的 LAN接口和管理地址訪問進行配置。 如果防火墻上有 WAN 接口，那么直接將 WAN 接口連接外網(wǎng)即可，如果所有接口都標(biāo)記為 LAN 接口，那么按照常規(guī)標(biāo)準(zhǔn)選擇最后一個 LAN 接口作為外網(wǎng)連接端口。 (如圖 ) 圖 對于中小企業(yè)來說一般出口帶寬都在 100M以內(nèi)，所以我們選擇 100M相關(guān)產(chǎn)品即可。如在對 SMTP 協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實現(xiàn)完全的對郵件的存儲轉(zhuǎn)發(fā)，并實現(xiàn)豐富的對 SMTP 協(xié)議的各種攻擊的防范功能一流過濾的示意圖如圖 。 在這種機制下，從防火墻外部看，仍然是包過濾的形態(tài)，工作在鏈路層或 IP 層，在規(guī)則允許下，兩端可以直接訪問，但是任何一個被規(guī)則允許的訪問在防火墻內(nèi)部都存在兩個完全獨立的 TCP 會話，數(shù)據(jù)以 “流 ”的方式從一個會話流向另一個會話。 流過濾技術(shù) 流過濾是東軟集團提出的一種新型防火墻技術(shù)架構(gòu)，它融基于狀態(tài)的包過濾技術(shù)與基于內(nèi)容的深度包檢測技術(shù)為一體，提供了一個較好的應(yīng)用防御解決方案，它以狀態(tài)監(jiān)測技術(shù)為基礎(chǔ)，但在此基礎(chǔ)上進行了改進其基本的原理是 :以狀態(tài)包過濾的形態(tài)實現(xiàn)應(yīng)用層的保護能力 :通過內(nèi)嵌的專門實現(xiàn)的 TCP/IP協(xié)議棧，實現(xiàn)了透明的應(yīng)用信息過濾機制。如果數(shù) 據(jù)流包含附件或上載 /下載文件，附件和文件將傳輸?shù)讲《緬呙枰?，所有其他?nèi)容傳輸?shù)絻?nèi)容過濾引擎。如果檢測到信息流是一個 HTTP數(shù)據(jù)流，則命令解析器檢查上載和下載的文件 。服務(wù)分析器根據(jù)數(shù)據(jù)流服務(wù)類型分離內(nèi)容數(shù)據(jù)流，傳送數(shù)據(jù)流到一個命令解析器中。 圖 深度包檢測框圖 在接收到網(wǎng)絡(luò)流量后，將需要進行內(nèi)容掃描的數(shù)據(jù)流定向到 TCP/IP 堆棧，其他數(shù)據(jù)流直接定向到狀態(tài)檢測引擎，按基本檢測方式進行處理。通過采用硬件芯片和更加優(yōu)化的算法，可以解決這個問題。因而要執(zhí)行深度包檢測，帶來的問題必然是性能的下降，這就是所謂的內(nèi)容處理障礙。如一段攻擊代 碼被分割到 10 個數(shù)據(jù)包中傳輸，那么這種簡單的對單一數(shù)據(jù)包的內(nèi)容檢測根本無法對攻 17 大學(xué)畢業(yè)論文 擊特征進行匹配 : 要清楚地知道有效載荷，必須采取有效方法，將單個數(shù)據(jù)包重新組合成完整的數(shù)據(jù)流。(2)也需要高速檢查它的能力。 深度包檢測 (Deep Packet Inspection)就是針對這種需求，深入檢測數(shù)據(jù)包有效載荷，執(zhí)行基于應(yīng)用層的內(nèi)容過濾，以此提高系統(tǒng)應(yīng)用防御能力。利用高層協(xié)議的攻擊和網(wǎng)絡(luò)病毒的頻繁出現(xiàn)，對防火墻提出了新的要求。 動態(tài)包過濾技術(shù)克服了傳統(tǒng)包過濾僅僅孤立的檢查單個數(shù)據(jù)包和安全規(guī)則靜態(tài)不可變的缺陷，使得防火墻的安全控制力度更為細(xì)致。這種方法的好處在于由于不需要對每個數(shù)據(jù)包進行規(guī)則檢查，而是一個連接的后續(xù)數(shù)據(jù)包 (通常是大量的數(shù)據(jù)包 )通過散列算法，直接進行狀態(tài)檢查，從而使性能得到了較大提高 。如果是新建連接，則檢查靜態(tài)規(guī)則表。對于新建的應(yīng)用連接，防火墻檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相關(guān)信息，這些相關(guān)信息構(gòu)成一個狀態(tài)表。 動態(tài)包過濾 動態(tài)包過濾 [16]又稱為基于狀態(tài)的數(shù)據(jù)包過濾，是在傳統(tǒng)包過濾技術(shù)基礎(chǔ)之上發(fā)展起來的一項過濾技術(shù)，最早由 Checkpoint提出。這兩種技術(shù)的發(fā)展并不是獨立的，動態(tài)包過濾可以說是基于內(nèi)容檢測技術(shù)的基礎(chǔ)。 (2)縱向發(fā)展。從數(shù)據(jù)包結(jié)構(gòu)出發(fā)考慮，目前包過濾技術(shù)向兩個方向發(fā)展 :(l)橫向聯(lián)系。(4)只檢查包頭信息，而沒有深入檢測數(shù)據(jù)包的有效載荷。(2)缺乏應(yīng)用防御能力。即使通過防火墻的數(shù)據(jù)包有攻擊性或包含病毒代碼，也無法進行 控制和阻斷。如接收到一個 ACK 數(shù)據(jù)包，就認(rèn)為這是一個己建立的連接，這就導(dǎo)致許多安全隱患，一些惡意掃描和拒絕服務(wù)攻擊就是利用了這個缺陷。若允許建立 HTTP連接，就需要開放 1024以上所有端口，這無疑增加了被攻擊的可能性。 傳統(tǒng)包過濾技術(shù) 傳統(tǒng)包過濾技術(shù)，大多是在 IP 層實現(xiàn)，它只是簡單的對當(dāng)前正在通過的單一數(shù)據(jù)包進行檢測，查看源 /目的 IP 地址、端口號以及協(xié)議類型 (UDP/TCP)等，結(jié)合訪問控制規(guī)則對數(shù)據(jù)包實施有選擇的通過。TCP頭部的主要字段包括源 /目的端口、發(fā)送及確認(rèn)序號、狀態(tài)標(biāo)識等。 15 大學(xué)畢業(yè)論文 對于幀的頭部信息主要是源 /目的主機的 MAC地址 。對于進防火墻的數(shù)據(jù)包，順序正好與此相反，頭部信息逐層剝掉。 TCP 傳給 IP 的數(shù)據(jù)單元稱作 TCP 報文段 (TCP Segment)?？紤]包過濾技術(shù)的發(fā)展過程，可以認(rèn)為包過濾的核心問題就是如何充分利用數(shù)據(jù)包中各個字段的信息，并結(jié)合安全策略來完成防火墻的功能 [11][15] 數(shù)據(jù)表結(jié)構(gòu) 當(dāng)應(yīng)用程序用 TCP 傳送數(shù)據(jù)時，數(shù)據(jù) 被送入?yún)f(xié)議棧中，然后逐個通過每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。包過濾技術(shù)歷經(jīng)發(fā)展演變而未被淘汰。包過濾最主要的優(yōu)點在于其速度與透明性。其中包過濾作 為最早發(fā)展起來的一種技術(shù)，其應(yīng)用非常廣泛。因此，保護網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播感染顯得尤為重要。 防火墻包過濾技術(shù) 隨著 Inter的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類 14 大學(xué)畢業(yè)論文 重要的、敏感的數(shù)據(jù)逐漸增多 。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機放在一個子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Inter 及內(nèi)部網(wǎng)絡(luò)分離。這種結(jié)合通常是以下兩種方案。它工作在 OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。防火墻內(nèi)外計算機系統(tǒng)間應(yīng)用層的 “鏈接 ”，由兩個終止代理服務(wù)器上的 “鏈接 ”來實現(xiàn)，外部計算機的網(wǎng)絡(luò)鏈路只能到達代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。 代理服務(wù)型防火墻 代理服務(wù) (Proxy Service)也稱鏈路級網(wǎng)關(guān)或 TCP 通道 (Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類。如果某種應(yīng)用沒有安裝代理程序，那么該項服務(wù)就不被支持并且不能通過防火墻進行轉(zhuǎn)發(fā) 。但是，這將花費更多的