【正文】 祝恩師們身體健康，家庭幸福！感謝論文中引文的原作者，他們都是 計算機 界的名師大家，大師風范，高山仰止。那種感覺就宛如在一場盛大的頒獎晚會上，我在晚會現(xiàn)場看著其他人一個接著一個上臺領獎，自己卻始終未能被念到名字，經(jīng)過了很長很長的時間后，終于有位嘉賓高喊我的大名，這時我忘記了先前漫長的無聊的等待時間，欣喜萬分地走向舞臺，然后迫不及待地開始抒發(fā)自己的心情，發(fā)表自己的感想。 44 參考文獻 [1] 艾軍 .防火墻體系結構及功能分析 [J].電腦知識與技術 .20xx， (s):79 一 82. [2] 高峰 .許南山 .防火墻包過濾規(guī)則問題的研究 [M].計算機應用 .20xx， 23(6):311 一 312. [3] 孟濤 、 楊磊 .防火墻和安全審計 [M].計算機安全 .20xx， (4):17 一 18. [4] 鄭林 .防火墻原理入門 [Z]. E 企業(yè) .20xx. [5] 魏利華 .防火墻技術及其性能研究 .能源研究與信息 .20xx， 20(l):57 一 62 [6] 李劍，劉美華，曹元大 .分布式防火墻系統(tǒng) .安全與環(huán)境學報 .20xx， 2(l):59 一 61 [7] 王衛(wèi)平，陳文惠，朱衛(wèi)未 .防火墻技術分析 .信息安全與通信保密 .20xx， (8):24 一 27 [8] 付歌，楊明福 .一個快速的二維數(shù)據(jù)包分類 算法 .計算機工程 .20xx， 30(6):76 一 78 [9] 付歌，楊明福，王興軍 .基于空間分解的數(shù)據(jù)包分類技術 .計算機工程與應用 .20xx(8):63一 65 [10] 〕韓曉非，王學光，楊明福 .位并行數(shù)據(jù)包分類算法研究 .華東理工大學學報 .20xx，29(5):504 一 508 [11] 韓曉非，楊明福，王學光 .基于元組空間的位并行包分類算法 .計算機工程與應用 .20xx，(29):188 一 192 [12] 馮東雷，張勇，白英彩 .一種高性能包分類漸增式更新算法 .計算機研究與發(fā)展 .20xx，40(3):387 一 392 45 致謝 從論文選題到搜集資料，從寫稿到反復修改，期間經(jīng)歷了喜悅、聒噪、痛苦和彷徨，在寫作論文的過程中心情是如此復雜。正是有了他們的悉心幫助和支持，才使我的畢業(yè)論文工作順利完成，在此向 安徽水利水電職業(yè)技術學院 ， 電子信息工程 系計算機網(wǎng)絡系統(tǒng) 的全體老師表示由衷的謝意。防火墻技術只有不斷向主動型和智能型等方向發(fā)展，才能更好的滿足人們對防火墻技術日益增長的需求。 (2)強大的審計功能和自動日志分析功能。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。但是純硬件的 ASIC 防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。 與基于 ASIC 的純硬件防火墻相比，基于網(wǎng)絡處理器的防火墻具有軟件色彩，因而更加具有靈活性。為了滿足這種需要，一些防火墻制造商開發(fā)了基于 ASIC 的防火墻和基于網(wǎng)絡處理器的防火墻。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。擁有病毒防護功能的防火墻可以大大減少公司的損失。有些防火墻集成了防病毒功能，通常被稱之為“病毒防 火墻”，當然目前主要還是在個 41 人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)。 這種過濾技術在分層上非常清楚，每種過濾技術對應于不同的網(wǎng)絡層，從這個概念出發(fā)，又有很多內(nèi)容可以擴展，為將來的防火墻技術發(fā)展打下基礎。在分組過濾 (網(wǎng)絡層 )一級，過濾掉所有的源路由分組和假冒的IP 源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或 /和入的協(xié)議和有害數(shù)據(jù)包如 nuke 包、圣誕樹包等；在應用網(wǎng)關 (應用層 )一級，能利用 FTP、 SMTP 等各種網(wǎng)關，控制和監(jiān)測 Inter 提供的所用通用服務。用戶身份驗證功能越強，它的安全級別越高，但它給網(wǎng)絡通信 帶來的負面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。該 40 功能在無線網(wǎng)絡應用中非常必要。主要可以從包過濾技術、防火墻體系結構和防火墻系統(tǒng)管理三方面來體現(xiàn)。 第三步：進入接口四設置其 IP 地址為 ，命令為 int e0/4 ip add 第四步：進入接口一設置其 IP 地址為內(nèi)網(wǎng)地址，例如 ，命令為 int e0/1 38 ip add 第五步：將兩個接口加入到不同的區(qū)域，外網(wǎng)接口配置到非信任區(qū) untrust，內(nèi)網(wǎng)接口加入到信任區(qū) trust—— fire zone untrust add int e0/4 fire zone trust add int e0/1 第六步：由于防火墻運行基本是通過 NAT 來實現(xiàn)，各個保護工作也是基于此功能實現(xiàn)的，所以還需要針對防火墻的 NAT 信息進行設置，首先添加一個訪問控制列表 —— acl num 20xx rule per source rule deny 第七步：接下來將這個訪問控制列表應用到外網(wǎng)接口通過啟用NAT—— int e0/4 nat outbound 20xx 第八步：最后添加路由信息，設置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或外網(wǎng)電信下一跳地址 —— ip routestatic (如圖 2) 39 執(zhí)行 save命令保存退出后就可以在企業(yè)外網(wǎng)出口指定 IP時實現(xiàn)防火墻數(shù)據(jù)轉發(fā)以及安全保護功能 了。 第一步：通過 CONSOLE 接口以及本機的超級終端連接 F100 防火墻，執(zhí)行 system 命令進入配置模式。選擇接口四連接外網(wǎng)，接口一連接內(nèi)網(wǎng)。 軟件的配置與實施 以 H3C 的 F100 防火墻為例 ， 當企業(yè)外網(wǎng) IP 地址固定并通過光纖連接的具體配置。 37 在實際設置時我們必 須將端口劃分到某區(qū)域后才能對其進行各個訪問操作，否則默認將阻止對該接口的任何數(shù)據(jù)通訊。默認情況下防火墻會自動建立 trust 信任區(qū)， untrust 非信任區(qū)， DMZ 堡壘主機區(qū)以及LOCAL 本地區(qū)域。 防火墻的特色配置 從外觀上看防火墻和傳統(tǒng)的路由器交換機沒有太大的差別，一部分防火墻具備 CONSOLE 接口通過超級終端的方式初始化配置，而另外一 部分則直接通過默認的 LAN 接口和管理地址訪問進行配置。 如果防火墻上有 WAN 接口，那么直接將 WAN 接口連接外網(wǎng)即可，如果所有接口都標記為 LAN 接口，那么按照常規(guī)標準選擇最后一個 LAN 接口作為外網(wǎng)連接端口。 (如圖 ) 36 圖 對于中小企業(yè)來 說一般出口帶寬都在 100M 以內(nèi)，所以我們選擇100M 相關產(chǎn)品即可。還要看投資經(jīng)費、投資大小、技術人員的水平和時間等問題。 在構造防火墻體系時，一般很少使用單一的技術，通常都是多種解決方案的組合。為了入侵這種類型的體系結構，入侵者必須穿透兩個屏蔽路由器。可以說它只給入侵者一些訪問的機會，但不是全部。 34 子網(wǎng)屏蔽防火墻 在主機屏蔽體系中，用戶的內(nèi)部網(wǎng)絡對堡壘主機沒有任何防御措施，如果黑客成功入侵到主機屏蔽體系結構中的堡壘主機，那就毫無阻擋的進入了內(nèi)部網(wǎng)絡。 通常，堡壘主機是網(wǎng)絡上最容易受攻擊的機器?？傊Ｗo路由器比保護主機更容易實現(xiàn)，因為路由器提供非常有限的服務，漏洞要比主機少得多，所以主機屏蔽防火墻體系結構能提供更好的安全性和可用性。 屏蔽路由器配置要根據(jù)實際的網(wǎng)絡安全策略來進行，如服務器提供 WEB服務就需要屏蔽路由器開放 80 端口。 主機屏蔽防火墻 實際上，我們常常把屏蔽路由器作為保護網(wǎng)絡的第一道防線。換句話說就是防火墻不直接連接外網(wǎng)，這樣的形式提供一種非常有效的并且容易維護的防火墻體系。 主機屏蔽防火墻 32 主機屏蔽防火墻比雙宿主機防火墻更安全。建立雙宿主主機的關鍵是要禁止路由，網(wǎng)絡之間通信的唯一路徑是通過應用層的代理軟件。然后防火墻運行代理軟件控制數(shù)據(jù)包從一個網(wǎng)絡流向另一個網(wǎng)絡，這樣內(nèi)部網(wǎng)絡中的計算機就可以訪問外部網(wǎng)絡。 31 雙宿主主機可以用于把一個內(nèi)部網(wǎng)絡從一個不可信的外部網(wǎng)絡分離出來。另外，如果應用程序允許，網(wǎng)絡還可以共享數(shù)據(jù)。在歷史上，多宿主主機可以在網(wǎng)段之間傳送流量，今天一般都使用專門的 路由器 來完成 IP 路由轉發(fā)。 雙宿主主機防火墻 30 多宿主主機這個詞是用來描述配有多個 網(wǎng)卡 的主機，每個網(wǎng)卡都和網(wǎng) 絡相連接。如在對 SMTP 協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實現(xiàn)完全的對郵件的存儲轉發(fā)，并實現(xiàn)豐富的對 SMTP 協(xié)議的各種攻擊的防范功能一流過濾的示意圖如圖 所示。 圖 流過濾示意圖 29 在這種機制下，從防火墻外部看，仍然是包過濾的形態(tài)，工作在鏈路層或 IP 層， 在規(guī)則允許下，兩端可以直接訪問，但是任何一個被規(guī)則允許的訪問在防火墻內(nèi)部都存在兩個完全獨立的 TCP 會話，數(shù)據(jù)以“流”的方式從一個會話流向另一個會話。由于防火墻的應用層策略位于流的中間，因此可以在任何時候代替服務器或客戶端參與應用層的會話，從而起到了與應用代理防火墻相同的控制能力。 流過濾技術 [17]的關鍵在于其架構中的專用 TCP/IP 協(xié)議棧 :這個協(xié)議棧是一個標準的 TCP 協(xié)議的實現(xiàn)，依據(jù) TCP 協(xié)議的定義對出入防火墻的數(shù)據(jù)包進行了，完整的重組，重組后的數(shù)據(jù)流交給應用層過濾邏輯進行過濾，從而可以有效地識別并攔截應用層的攻擊企圖。如果內(nèi)容過濾啟動，數(shù)據(jù)流將根據(jù)過濾的設置進行匹配，通過或拒絕數(shù)據(jù)。如果數(shù)據(jù)是 Mail 類型，則檢查郵件的附件。命令解析器定 制和分析每一個內(nèi)容協(xié)議，分析內(nèi)容數(shù)據(jù)流，檢測病毒和蠕蟲。定向到 TCP/IP 堆棧的數(shù)據(jù)流，首先轉換成內(nèi)容數(shù)據(jù)流。一個深度包檢測的流程框圖如圖 所示。為了突破內(nèi)容處理障礙，達到實時地分析網(wǎng)絡內(nèi)容和行為，需要重點在加速上采取有效的辦法。應用層的內(nèi)容過濾要求大量的計算資源，很多情況下高達 100倍甚至更高。 簡單的數(shù)據(jù)包內(nèi)容過濾對當前正在通過的單一數(shù)據(jù)包的有效載荷進行掃描檢測，但是對于應用防御的要求而言，這是遠遠不夠的。 應用防御的技術問題主要包括 :(l)需要對有效載荷知道得更清楚 。防火墻必須深入檢查數(shù)據(jù)包的內(nèi)部來確認出惡意行為并阻止它們。 26 深度包檢測 目前許多造成大規(guī)模損害的網(wǎng)絡攻擊，比如紅色代碼和尼姆達，都是利用了應用的弱點。而且，由于狀態(tài)表是動態(tài)的，因而可以有選擇地、動態(tài)地開通 1024 號以上的端口，使安全性得到進 一步地提高。 動態(tài)包過濾通過在內(nèi)存中動態(tài)地建立和維護一個狀態(tài)表，數(shù)據(jù)包到達時，對該數(shù)據(jù)包的處理方式將綜合靜態(tài)安全規(guī)則和數(shù)據(jù)包所處的狀態(tài)進行。這樣 ，當一個新的數(shù)據(jù)包到達，如果屬于已經(jīng)建立的連接，則檢查狀態(tài)表，參考數(shù)據(jù)流上下文決定當前數(shù)據(jù)包通過與否 。 與傳統(tǒng)包過濾技術只檢查單個、孤立的數(shù)據(jù)包不同，動態(tài)包過濾試圖將數(shù)據(jù)包的上下文聯(lián)系起來，建立一種基于狀態(tài)的包過濾機制。實際上，在深度包檢測技術中己經(jīng)體現(xiàn)了兩種技術的融合趨勢。深入檢測數(shù)據(jù)包有效載荷，識別并阻止病毒代碼和基于高層協(xié)議的攻擊，以此來提高應用防御能力。即在包檢測中考慮前后數(shù)據(jù)包之間的關系，充分利用包頭信息中能體現(xiàn)此關系的字段，如 IP 首部的標識字段和片偏移字段、 TCP 首部的發(fā)送及確認序號、滑動窗口的大小、狀態(tài)標識等，動態(tài)執(zhí)行數(shù)據(jù)包過濾。 傳統(tǒng)包過濾技術必須發(fā)展進化，在繼承其優(yōu)點的前提下，采用新的技術手段，克服其缺陷，并進一步滿足新的安全應用要求。 (3)只對當前