【正文】 祝恩師們身體健康，家庭幸福！感謝論文中引文的原作者，他們都是計(jì)算機(jī)界的名師大家，大師風(fēng)范，高山仰止。那種感覺就宛如在一場盛大的頒獎(jiǎng)晚會(huì)上，我在晚會(huì)現(xiàn)場看著其他人一個(gè)接著一個(gè)上臺(tái)領(lǐng)獎(jiǎng)，自己卻始終未能被念到名字，經(jīng)過了很長很長的時(shí)間后，終于有位嘉賓高喊我的大名，這時(shí)我忘記了先前漫長的無聊的等待時(shí)間，欣喜萬分地走向舞臺(tái)，然后迫不及待地開始抒發(fā)自己的心情，發(fā)表自己的感想。參考文獻(xiàn)[1] [J].，(s):79一82.[2] [M].，23(6):311一312.[3] 孟濤、[M].，(4):17一18.[4] [Z]. .[5] ，20(l):57一62[6] 李劍，劉美華，2(l):59一61[7] 王衛(wèi)平，陳文惠，(8):24一27[8] 付歌，30(6):76一78[9] 付歌，楊明福，(8):63一65[10] 〕韓曉非，王學(xué)光，29(5):504一508[11] 韓曉非，楊明福，(29):188一192[12] 馮東雷，張勇，40(3):387一392致謝從論文選題到搜集資料，從寫稿到反復(fù)修改，期間經(jīng)歷了喜悅、聒噪、痛苦和彷徨，在寫作論文的過程中心情是如此復(fù)雜。正是有了他們的悉心幫助和支持，才使我的畢業(yè)論文工作順利完成，在此向安徽水利水電職業(yè)技術(shù)學(xué)院，電子信息工程系計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的全體老師表示由衷的謝意。防火墻技術(shù)只有不斷向主動(dòng)型和智能型等方向發(fā)展，才能更好的滿足人們對防火墻技術(shù)日益增長的需求。(2)強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能。這樣的防火墻就可以同時(shí)滿足來自靈活性和運(yùn)行性能的要求。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。擁有病毒防護(hù)功能的防火墻可以大大減少公司的損失。有些防火墻集成了防病毒功能，通常被稱之為“病毒防火墻”，當(dāng)然目前主要還是在個(gè)人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问剑菀讓?shí)現(xiàn)。這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對應(yīng)于不同的網(wǎng)絡(luò)層，從這個(gè)概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。在分組過濾(網(wǎng)絡(luò)層)一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所用通用服務(wù)。用戶身份驗(yàn)證功能越強(qiáng)，它的安全級別越高，但它給網(wǎng)絡(luò)通信帶來的負(fù)面影響也越大，因?yàn)橛脩羯矸蒡?yàn)證需要時(shí)間，特別是加密型的用戶身份驗(yàn)證。該功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)?！　〉谌剑?，命令為　　int e0/4　　ip add 　　第四步：進(jìn)入接口一設(shè)置其IP地址為內(nèi)網(wǎng)地址， ，命令為　　int e0/1　　ip add 　　第五步：將兩個(gè)接口加入到不同的區(qū)域，外網(wǎng)接口配置到非信任區(qū)untrust，內(nèi)網(wǎng)接口加入到信任區(qū)trust——　　fire zone untrust　　add int e0/4　　fire zone trust　　add int e0/1　　第六步：由于防火墻運(yùn)行基本是通過NAT來實(shí)現(xiàn)，各個(gè)保護(hù)工作也是基于此功能實(shí)現(xiàn)的，所以還需要針對防火墻的NAT信息進(jìn)行設(shè)置，首先添加一個(gè)訪問控制列表——　　acl num 2000　　rule per source 　　rule deny　　第七步：接下來將這個(gè)訪問控制列表應(yīng)用到外網(wǎng)接口通過啟用NAT——　　int e0/4　　nat outbound 2000　　第八步：最后添加路由信息，設(shè)置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或外網(wǎng)電信下一跳地址——　　ip routestatic (如圖2)執(zhí)行save命令保存退出后就可以在企業(yè)外網(wǎng)出口指定IP時(shí)實(shí)現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)以及安全保護(hù)功能了。第一步：通過CONSOLE接口以及本機(jī)的超級終端連接F100防火墻，執(zhí)行system命令進(jìn)入配置模式。選擇接口四連接外網(wǎng)，接口一連接內(nèi)網(wǎng)。 軟件的配置與實(shí)施以H3C的F100防火墻為例，當(dāng)企業(yè)外網(wǎng)IP地址固定并通過光纖連接的具體配置。　　在實(shí)際設(shè)置時(shí)我們必須將端口劃分到某區(qū)域后才能對其進(jìn)行各個(gè)訪問操作，否則默認(rèn)將阻止對該接口的任何數(shù)據(jù)通訊。默認(rèn)情況下防火墻會(huì)自動(dòng)建立trust信任區(qū)，untrust非信任區(qū)，DMZ堡壘主機(jī)區(qū)以及LOCAL本地區(qū)域。 防火墻的特色配置從外觀上看防火墻和傳統(tǒng)的路由器交換機(jī)沒有太大的差別，一部分防火墻具備CONSOLE接口通過超級終端的方式初始化配置，而另外一部分則直接通過默認(rèn)的LAN接口和管理地址訪問進(jìn)行配置。如果防火墻上有WAN接口，那么直接將WAN接口連接外網(wǎng)即可，如果所有接口都標(biāo)記為LAN接口，那么按照常規(guī)標(biāo)準(zhǔn)選擇最后一個(gè)LAN接口作為外網(wǎng)連接端口。()對于中小企業(yè)來說一般出口帶寬都在100M以內(nèi)，所以我們選擇100M相關(guān)產(chǎn)品即可。 （七）使用多個(gè)周邊網(wǎng)絡(luò) （五）使用多個(gè)內(nèi)部路由器 （三）合并堡壘主機(jī)和外部路由器 （一）使用多個(gè)堡壘主機(jī)還要看投資經(jīng)費(fèi)、投資大小、技術(shù)人員的水平和時(shí)間等問題。 在構(gòu)造防火墻體系時(shí)，一般很少使用單一的技術(shù)，通常都是多種解決方案的組合。即使入侵者控制了堡壘主機(jī)，他仍然需要通過內(nèi)網(wǎng)端的屏蔽路由器才能到達(dá)內(nèi)網(wǎng)。 屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為使用兩個(gè)屏蔽路由器，位于堡壘主機(jī)的兩端，一端連接內(nèi)網(wǎng)，一端連接外網(wǎng)?？梢哉f它只給入侵者一些訪問的機(jī)會(huì)，但不是全部。子網(wǎng)屏蔽防火墻在主機(jī)屏蔽體系中，用戶的內(nèi)部網(wǎng)絡(luò)對堡壘主機(jī)沒有任何防御措施，如果黑客成功入侵到主機(jī)屏蔽體系結(jié)構(gòu)中的堡壘主機(jī)，那就毫無阻擋的進(jìn)入了內(nèi)部網(wǎng)絡(luò)。通常，堡壘主機(jī)是網(wǎng)絡(luò)上最容易受攻擊的機(jī)器。總之保護(hù)路由器比保護(hù)主機(jī)更容易實(shí)現(xiàn)，因?yàn)槁酚善魈峁┓浅Ｓ邢薜姆?wù)，漏洞要比主機(jī)少得多，所以主機(jī)屏蔽防火墻體系結(jié)構(gòu)能提供更好的安全性和可用性。主機(jī)屏蔽防火墻實(shí)際上，我們常常把屏蔽路由器作為保護(hù)網(wǎng)絡(luò)的第一道防線。換句話說就是防火墻不直接連接外網(wǎng)，這樣的形式提供一種非常有效的并且容易維護(hù)的防火墻體系。主機(jī)屏蔽防火墻比雙宿主機(jī)防火墻更安全。建立雙宿主主機(jī)的關(guān)鍵是要禁止路由，網(wǎng)絡(luò)之間通信的唯一路徑是通過應(yīng)用層的代理軟件。然后防火墻運(yùn)行代理軟件控制數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)流向另一個(gè)網(wǎng)絡(luò)，這樣內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)就可以訪問外部網(wǎng)絡(luò)。 雙宿主主機(jī)可以用于把一個(gè)內(nèi)部網(wǎng)絡(luò)從一個(gè)不可信的外部網(wǎng)絡(luò)分離出來。 雙宿主主機(jī)是多宿主主機(jī)的一個(gè)特例，它有兩個(gè)網(wǎng)卡，并禁止路由功能。另外，如果應(yīng)用程序允許，網(wǎng)絡(luò)還可以共享數(shù)據(jù)。在歷史上，多宿主主機(jī)可以在網(wǎng)段之間傳送流量，今天一般都使用專門的路由器來完成IP路由轉(zhuǎn)發(fā)。 多宿主主機(jī)這個(gè)詞是用來描述配有多個(gè)網(wǎng)卡的主機(jī)，每個(gè)網(wǎng)卡都和網(wǎng)絡(luò)相連接。如在對SMTP協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對郵件的存儲(chǔ)轉(zhuǎn)發(fā)。 流過濾示意圖在這種機(jī)制下，從防火墻外部看，仍然是包過濾的形態(tài)，工作在鏈路層或IP層，在規(guī)則允許下，兩端可以直接訪問，但是任何一個(gè)被規(guī)則允許的訪問在防火墻內(nèi)部都存在兩個(gè)完全獨(dú)立的TCP會(huì)話，數(shù)據(jù)以“流”的方式從一個(gè)會(huì)話流向另一個(gè)會(huì)話。由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時(shí)候代替服務(wù)器或客戶端參與應(yīng)用層的會(huì)話，從而起到了與應(yīng)用代理防火墻相同的控制能力。流過濾技術(shù)[17]的關(guān)鍵在于其架構(gòu)中的專用TCP/IP協(xié)議棧:這個(gè)協(xié)議棧是一個(gè)標(biāo)準(zhǔn)的TCP協(xié)議的實(shí)現(xiàn)，依據(jù)TCP協(xié)議的定義對出入防火墻的數(shù)據(jù)包進(jìn)行了，完整的重組，重組后的數(shù)據(jù)流交給應(yīng)用層過濾邏輯進(jìn)行過濾，從而可以有效地識(shí)別并攔截應(yīng)用層的攻擊企圖。如果內(nèi)容過濾啟動(dòng)，數(shù)據(jù)流將根據(jù)過濾的設(shè)置進(jìn)行匹配，通過或拒絕數(shù)據(jù)。如果數(shù)據(jù)是Mail類型，則檢查郵件的附件。命令解析器定制和分析每一個(gè)內(nèi)容協(xié)議，分析內(nèi)容數(shù)據(jù)流，檢測病毒和蠕蟲。定向到TCP/IP堆棧的數(shù)據(jù)流，首先轉(zhuǎn)換成內(nèi)容數(shù)據(jù)流。通過采用硬件芯片和更加優(yōu)化的算法，可以解決這個(gè)問題。因而要執(zhí)行深度包檢測，帶來的問題必然是性能的下降，這就是所謂的內(nèi)容處理障礙。如一段攻擊代碼被分割到10個(gè)數(shù)據(jù)包中傳輸，那么這種簡單的對單一數(shù)據(jù)包的內(nèi)容檢測根本無法對攻擊特征進(jìn)行匹配: 要清楚地知道有效載荷，必須采取有效方法，將單個(gè)數(shù)據(jù)包重新組合成完整的數(shù)據(jù)流。(2)也需要高速檢查它的能力。深度包檢測(Deep Packet Inspection)就是針對這種需求，深入檢測數(shù)據(jù)包有效載荷，執(zhí)行基于應(yīng)用層的內(nèi)容過濾，以此提高系統(tǒng)應(yīng)用防御能力。利用高層協(xié)議的攻擊和網(wǎng)絡(luò)病毒的頻繁出現(xiàn)，對防火墻提出了新的要求。動(dòng)態(tài)包過濾技術(shù)克服了傳統(tǒng)包過濾僅僅孤立的檢查單個(gè)數(shù)據(jù)包和安全規(guī)則靜態(tài)不可變的缺陷，使得防火墻的安全控制力度更為細(xì)致。這種方法的好處在于由于不需要對每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查，而是一個(gè)連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過散列算法，直接進(jìn)行狀態(tài)檢查，從而使性能得到了較大提高。如果是新建連接，則檢查靜態(tài)規(guī)則表。對于新建的應(yīng)用連接，防火墻檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相關(guān)信息，這些相關(guān)信息構(gòu)成一個(gè)狀態(tài)表。 動(dòng)態(tài)包過濾動(dòng)態(tài)包過濾[16]又稱為基于狀態(tài)的數(shù)據(jù)包過濾，是在傳統(tǒng)包過濾技術(shù)基礎(chǔ)之上發(fā)展起來的一項(xiàng)過濾技術(shù)，最早由Checkpoint提出。這兩種技術(shù)的發(fā)展并不是獨(dú)立的，動(dòng)態(tài)包過濾可以說是基于內(nèi)容檢測技術(shù)的基礎(chǔ)。(2)縱向發(fā)展。從數(shù)據(jù)包結(jié)構(gòu)出發(fā)考慮，目前包過濾技術(shù)向兩個(gè)方向發(fā)展:(l)橫向聯(lián)系。(4)只檢查包頭信息，而沒有深入檢測數(shù)據(jù)包的有效載荷。(2)缺乏應(yīng)用防御能力。即使通過防火墻的數(shù)據(jù)包有攻擊性或包含病毒代碼，也無法進(jìn)行控制和阻斷。如接收到一個(gè)ACK數(shù)據(jù)包，就認(rèn)為這是一個(gè)己建立的連接，這就導(dǎo)致許多安全隱患，一些惡意掃描和拒絕服務(wù)攻擊就是利用了這個(gè)缺陷。若允許建立HTTP連接，就需要開放1024以上所有端口，這無疑增加了被攻擊的可能性。 傳統(tǒng)包過濾技術(shù)傳統(tǒng)包過濾技術(shù)，大多是在IP層實(shí)現(xiàn)，它只是簡單的對當(dāng)前正在通過的單一數(shù)據(jù)包進(jìn)行檢測，查看源/目的IP地址、端口號(hào)以及協(xié)議類型(UDP/TCP)等，結(jié)合訪問控制規(guī)則對數(shù)據(jù)包實(shí)施有選擇的通過。TCP頭