【正文】 機防火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過濾路由器或防火墻與 Inter 相連，同時一個堡壘機安裝在內(nèi)部網(wǎng)絡(luò)，通過在分組過濾器路由器或防火墻上過濾規(guī)則的設(shè)置，使堡壘機成為 Inter上其他節(jié)點所能到達(dá)的唯一節(jié)點，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用 戶的攻擊。 22 復(fù)合型防火墻 由于對更高安全性的要求 ，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。同時 也常結(jié)合入過濾器的功能。此外，代理服務(wù)也對過往的數(shù)據(jù)包進行分析、注冊登記，形成報告，同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報，并保留攻擊痕跡。它是針對數(shù)據(jù)包過濾 [10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。同時升級一種應(yīng)用時，相應(yīng)的代理程序也必須同時升級。比如訪問 WEB 站點的 HTTP，用于文件傳輸?shù)?FTP，用于E 一 MAIL 的 SMTP/POP3 等等。這一內(nèi)建代理機制提供額外的安全，這是因為它將內(nèi)部和外部網(wǎng)絡(luò)隔離開來，使網(wǎng)絡(luò)外部的黑客在防火墻內(nèi)部網(wǎng)絡(luò)上進行探測變得困難，更重要的是能夠讓網(wǎng)絡(luò)管理員對網(wǎng)絡(luò) 服務(wù)進行全面的控制。代理技術(shù)與包過濾技術(shù)完全不同，包過濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實現(xiàn)防火墻功能。同時，包過濾防火墻一般無法提供完善的日志。如果公司的安全策略允許內(nèi)部員工訪問網(wǎng)站，包過濾防火墻可能設(shè)置允 所有 80 端口的連接通過，這時，意識到這一漏洞的外部人員可以在沒有被認(rèn)證的情況下進入私有網(wǎng)絡(luò)。例如， HTTP。包過濾防火墻是速度最快的防火墻，這是因為它處于網(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實現(xiàn)，對用戶來說都是透明的。如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包 。包過濾防火墻工作在網(wǎng)絡(luò)層， IP 包的包頭中包含源、目的 IP 地址，封裝協(xié)議類型 (TCP， UDP， ICMP或 IP Tunnel)， TCP/UDP 端口號， ICMP 消息類型， TCP 包頭中的ACK 等等。 包過濾防火墻 20 顧名思義，包過濾防火墻 [9]就是把接收到的每個數(shù)據(jù)包同預(yù)先設(shè)定的包過濾規(guī)則相比較，從而決定是否阻塞或通過。內(nèi)置特殊站點數(shù)據(jù)庫，用戶可選擇是否封禁色情、反動和暴力等特殊站點。一般防火墻設(shè)備可以提供三種日志審計功能 :系統(tǒng)管理日志、流量日志和入侵日志。 。 其他功能 地址 /MAC 地址綁定。 虛擬專網(wǎng)功能 指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。防火墻設(shè)備可檢測試圖穿透防火墻系統(tǒng)的木馬控制端和客戶端程序 。網(wǎng)絡(luò)蠕蟲病毒分為 2 類，一種是面向企業(yè)用戶和局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動進行攻擊，可以對整個互聯(lián)網(wǎng)造成癱瘓性的后果，以“紅色 代碼”，“尼姆達(dá)”，以及最新的“ sql 蠕蟲王”為代表。后門程序是指采用某種方法定義出一個特殊的端口并依靠某種程序在機器啟動之前自動加載到內(nèi)存，強行控制機器打開那個特殊的端口的程序。防火墻設(shè)備可檢測包括 針對 Unicode、 ASP 源碼泄漏、 PHF、 NPH、 等已知上百種的有安全隱患的CGI/IIS 進行的探測和攻擊方式。是 World Wide Web 主機和 CGI 程序間傳輸資訊的定義。 CGI/IIS 服務(wù)器入侵。緩沖區(qū)溢出(Buffer Overflow)攻擊指利用軟件的弱點將任意數(shù)據(jù)添加進某個程序中，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序 轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的?，F(xiàn)在的防火墻設(shè)備通常都可檢測 Synflod、Land、 Ping of Death、 TearDrop、 ICMP flood 和 UDPflod 等多種 18 DOS/DDOS 攻擊。而分布式的拒絕服務(wù)攻擊 (DDoS)攻擊手段則是在傳統(tǒng)的 DoS 攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式，分布式的拒絕服務(wù)攻擊 (DDoS)。 。顧名思義反端口掃描就是防范端口掃描的方法，目前常用的方法有 :關(guān)閉閑置和有潛在危險的端口 。是否支持 FTP、 Web 服務(wù) 。 入侵檢測功能 入侵檢測技術(shù) [7]就是一種主動保護自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技術(shù)，包括以下內(nèi)容 : 。隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服務(wù)進行幾乎透明的訪問，同時阻止了外部未授權(quán)訪問者對專用網(wǎng)絡(luò)的非法訪問 。同時支持 URL 過 濾功能。代理指防火墻內(nèi)置用戶認(rèn)證數(shù)據(jù)庫 。 3．認(rèn)證和應(yīng)用代理。并將有限的 IP 地址動態(tài)或靜態(tài)的與內(nèi)部 IP 地址對應(yīng)起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本。 網(wǎng)絡(luò)地址變換是將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的 IP 地址轉(zhuǎn)換，可分為源地 址轉(zhuǎn)換 Source NAT(SNAT)和目的 地址轉(zhuǎn) 換 Destination NAT(DNAT)?？筛鶕?jù)地址簿進行設(shè)置規(guī)則。 16 防火墻的功能 防火墻的主要功能 1．包過濾 。新的數(shù)學(xué)方法，消除了匹配 檢查所需要的海量計算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進行訪問控制。 現(xiàn)在防火墻正在向分布、智能的方向發(fā)展，其中智能防火墻可以很好的解決上面的問題。三是傳統(tǒng)的防火墻無法區(qū)分識別善意和惡意的行為。二是傳統(tǒng)防火墻的訪問控制機制是一個簡單的過濾機制。主要有以下三個原因 : 一是傳統(tǒng)防火墻的計算能力的限制。這三大安全問題占據(jù)網(wǎng)絡(luò)安全問題九成以上。 [5] 但傳統(tǒng)的防火墻并沒有解決目前網(wǎng)絡(luò)中主要的安全問題。 1994 年，以色列的 CheckPoint 公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。 第 二代、第三代 防火墻 1989 年，貝爾實驗室的 Dave Presotto 和 Howard Trickey 推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻 ——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。 圖 1 表示了防火墻技術(shù)的簡單發(fā)展歷史。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 [4]防火墻是指設(shè)置在不同網(wǎng)絡(luò) (如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng) )或網(wǎng)絡(luò)安全域之間的一系列部件的組合。其中包過濾作為最早發(fā)展起來的一種技術(shù)，其應(yīng)用非常廣泛。因此，保護網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播感染顯得尤為重要。 13 第 三 章 防火墻概述 隨著 Inter 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多 。 （ 2）建立完善的安全管理體制和制度，以起到對管理人員和操作人員鼓勵和監(jiān)督的作用。 Windows 2021 操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪問控制。一旦實現(xiàn)了 NTFS，你可以使用 Windows 資源管理器在文件和文件夾上設(shè)置用戶級別的權(quán)限。 (6) 文件系統(tǒng)安全 在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個關(guān)鍵性的概念，因為訪問控制實現(xiàn)在兩個方面：本 地和遠(yuǎn)程。 隨著時代的發(fā)展，入侵檢測技術(shù)將朝著三個方向發(fā)展 :分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。但是，防火墻技術(shù)在網(wǎng)絡(luò)安全防護方面也存在一些不足：防火墻不能防止內(nèi)部攻擊防火墻不 11 能取代殺毒軟件；防火墻不易防止反彈端口木馬攻擊等。 (3) 防火墻技術(shù) 防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。有兩種主要的加 密類型：私匙加密和公匙加密。但目前，在這方面的立法還遠(yuǎn)不能適應(yīng)形勢發(fā)展的需要 ,應(yīng)該在對控制計算機犯罪的國內(nèi)外立法評價的基礎(chǔ)上，完善我國計算機犯罪立法，以便為確保我國計算機信息網(wǎng)絡(luò)健康有序的發(fā)展提供強有力的保障。這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全的保障，管理和審計是安全的防線。三是管理措施，包括技術(shù)與社會措施。一個完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。 2）網(wǎng)絡(luò)安全 影響網(wǎng)絡(luò)安全的因素有：節(jié)點的安全、數(shù)據(jù)的安全（保存和傳輸方面）、文件的安全等。 具體講，網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權(quán)訪問、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶??等。例如“點在郵件炸彈”，它的表現(xiàn)形式是用戶在很短的時間內(nèi)收到大量無用的電子郵件，從而影響正常業(yè)務(wù)的運行。例如通過隱蔽通道進行非法活動；采用匿名用戶訪問進行攻擊；通過網(wǎng)絡(luò)監(jiān) 9 聽獲取網(wǎng)上用戶賬號和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。 2）黑客侵襲。 1）計算機病毒的侵襲。 隨著網(wǎng)絡(luò)的發(fā)展，計算機的安全問題也延伸到了計算機網(wǎng)絡(luò)。 3）信息的安全性。 2）運行環(huán)境的安全性。” 從技術(shù)講，計算機安全分為 3 種： 1）實體的安全。 8 第 二 章 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全問題 安全，通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機制。 第四章，以 H3CH3C 的 F100 防火墻 為例，介紹防火墻配置方法。 論文結(jié)構(gòu) 在論文中接下來的幾章里，將會有下列安排 : 第 二 章，分析研究 網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全面臨的主要威脅，影響網(wǎng)絡(luò)安全的因素， 及保護網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。以及藍(lán)屏攻擊等。一般都是利用操作系統(tǒng)設(shè)計的安全漏洞和通信協(xié)議的安全漏洞來實現(xiàn)攻擊。 個人上網(wǎng)用戶多使用 Windows 操 作系統(tǒng)