【正文】 le. It is also mon that you39。黑客的攻擊手段不斷翻新，決定了信息安全技術也必須進 行革新，防火墻是防范黑客攻擊的常用手段，但這樣的技術必須與當今最前沿的其他安全技術結合在一起，才能更有效地防范各種新的攻擊手段。 計算機的安全問題正面臨著前所未有的挑戰(zhàn)。而隨著 Inter 的迅速發(fā)展，計算機網絡對安全的要求也日益增高。它不知不覺的占據了我們生活的大半部分，成為我們社會結構的一個基本組成部分。隨著算法和芯片技術的發(fā)展，防火墻會更多地參與應用層分析，為應用提供更安全的保障?！澳Ц咭怀?，道高一丈”，在信息安全的發(fā)展與對抗過程中，防火墻的技術一定會不斷更新，日新月異，在信息安全的防御體系中，起到堡壘的作用。 通信與信息系統(tǒng)管理專業(yè)高等教育自學考試畢業(yè)論文 10 （三） 安全 未來防火墻的操作系統(tǒng)會更安全。 支持部分路由器協(xié)議，如路由、撥號等，可以更好地滿足組網需要；支持 IPSec VPN，可以利用因特網組建安全的專用通道，既安全又節(jié)省了專線投資。 （二） 多功能化 多功能也是防火墻的發(fā)展方向之一，鑒于目前路由器和防火墻價格都比較高，組網環(huán)境也越來越復雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網和節(jié)省投資的需要。二進制日志可以大大減小數據傳送量，也方便數據庫的存儲、加密和事后分析。網絡流量越來越大，如此龐大的日志對日志服務器提出了 很高的要求。此外，應用層漏洞很多，攻擊特征庫需要頻繁升級，對于處在網絡出口關鍵位置的防火墻，如此頻繁地升級也是不現實的。目前，還沒有有效的對應用層進行高速檢測的方法，也沒有哪款芯片能做到這一點。目前有的應用環(huán)境，動輒應用數百乃至數萬條規(guī)則，沒有算法支撐，對于狀態(tài)防火墻，建立會話的速度會十分緩慢。 實現高速防火墻，算法也是一個關鍵，因為網絡處理器中集成了很多硬件協(xié)處理單元，因此比較容易實現高速。防范 DoS (拒絕服務 )是防火墻一個很重要的任務，防火墻往往用在網絡出口，如造成網絡堵塞，再安全的防火墻也無法應用。 四、 防火墻的發(fā)展趨勢 通信與信息系統(tǒng)管理專業(yè)高等教育自學考試畢業(yè)論文 9 可以預見，未來防火墻的發(fā)展趨勢是朝高速、多功能化、更安全的方向發(fā)展。建立了防止內部敏感信息泄漏的機 制，達到既防外又防內的目標，又實現了傳統(tǒng)防火墻的全部功能。 1998年，在中國一家機構和美國計算機學會 ACM共同舉辦的國際會議上，我首次提出了高保障防火墻的概念，其核心是防火墻與安全操作系統(tǒng)無縫集成，在防火墻上實現類似 B級操作系統(tǒng)的機制，如標記、 MAC、 強實體認證等。例如 FTP，除了開始要建立命令通道外，還要動態(tài)協(xié)商數據通道。 （三） 狀態(tài)檢測技術 狀態(tài)檢測技術最早是 CheckPoint提出的，也就是要監(jiān)視每個連接發(fā)起到結束的全過程。這種代理對于部分不公開的協(xié)議，如 的語音和視頻協(xié)議，采用其他技術，在 NAT 情況下很難實現對該協(xié)議的支持，但 軟件本身支持 SOCK 代理，如果防火墻支持 SOCK 代理協(xié)議，就可以實現對防火墻的穿越。從國外公開的防火墻測試報告來看，代理防火墻性能表現比較差，因此在網絡帶寬迅猛發(fā)展的情況下，已經不能完全滿足需要。其中狀態(tài)包過濾技術因為其安全性較好，速度快，得到最廣泛的應用。這些功能的啟動，會導致性能急劇下降，本來 100M的處理能力，可能會下降到幾兆，導致網絡嚴重阻塞甚至癱瘓，失去了防火墻存在的意義。如目前許多防火墻對內容過濾，防病毒和通信與信息系統(tǒng)管理專業(yè)高等教育自學考試畢業(yè)論文 8 IDS等的支持，實際的應用效果并不好。防火墻與其他安全設備或安全模塊之間進行互動，已經成為新一代防火墻的發(fā)展趨勢。 為了滿足多樣化的組網需求，方便用戶組網，同時也降低用戶對其他專用設備的需求，減少用戶建網成本，防火墻上也常常把其他網絡技術結合進來，例如支 持 DHCP SERVER、 DHCP RELAY；支持動態(tài)路由，如 RIP 、 OSPF等；支持撥號、 PPPoE等特性；支持廣域網口； 支持透明模式 (橋模式 )。 支持網管等。 防火墻的功能主要包含以下幾個方面：訪問控制，如應用 ACL 進行訪問控制；攻擊防范，如防止 SYN FLOOD等； NAT； VPN；路由；認證和加密 。 按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。 通信與信息系統(tǒng)管理專業(yè)高等教育自學考試畢業(yè)論文 7 3. 從防火墻結構分 從防火墻結構上分，防火墻主要有：單一主機防火墻、路由器集成式防火墻和分布式防火墻三種?；趯ο到y(tǒng)成本與安全技術成本的綜合考慮，用戶可以選擇性地使用某些監(jiān)測型技術。據權威機構統(tǒng)計，在針對網絡系統(tǒng)的攻擊中，有相當比例的攻擊來自網絡內部。監(jiān)測型防火墻能夠對各層的數據進行主動的、實時的監(jiān)測，在對這些數據加以分析的基礎上，監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。網絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規(guī)操作即可。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部 計算 機中。在外部網絡通過非安全網卡訪問內部網絡時，它并不知道內部網絡的連接情況，而只是通過一個開放的 IP 地址和端口來請求訪問。在內部網絡通過安全網卡訪問外部網絡時，將產生一個映射記錄。它允許具有私有 IP 地址的內部網絡訪問因特網。那因為防火墻需要為不同的網絡服務建立專門的代理服務，在自己的代理程序為內、外部網絡用戶建立連接時需要時間，所以給系統(tǒng)性能帶來了一些負面影響，但通常不會很明顯。由于它工作于最高層，所以它可以對網絡中任何一層數據通信進行篩選保護，而不是像包過濾那樣，只是對網絡層的數據進行過濾。在代理型防火墻技術的發(fā)展過程中，它也經歷了兩個不同的版本：第一代應用網關型代理防火和第二代自適應代理防火墻。 （ 2）應用代理（ Application Proxy）型 應用代理型防火墻是工作在 OSI的最高層，即應用層。對安全管理人員素質要求高，建立安全規(guī)則時，必須對協(xié)議本身及其在不同應用程序中的作用有較深入的理解。 包過濾方式的優(yōu)點是不用改動客戶機和主機上的應用程序，因為它工作在網絡層和傳輸層，與應用層無關。 （ 1）包過濾（ Packet filtering）型 包過濾方式是一種通用、廉價和有效的安全手段。 （三） 防火墻的分類與技術 1． 從軟、硬件形式上分 如果從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火 墻。另一種選擇就是防火墻 (Firewall)，防火墻是用來在安全私有網絡 (可信任網絡 )和外部不可信任網絡之間安全連接的一個設備或一組設備，作為私有網絡和外部網絡之間連接的單點存在。 防火墻的工作原理 ： 隨著網絡規(guī)模的擴大和開放性的增強，網絡上的很多敏感信息和保密數據將受到很多主動和被動的人為攻擊。而且它還能禁止特定端通信與信息系統(tǒng)管理專業(yè)高等教育自學考試畢業(yè)論文 5 口的流出通信，封鎖 特洛伊木馬 。 （二） 防火墻的功能及原理 防火墻功能 ： 防火墻對流經它的網絡通信進行 掃描 ，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。 它可通過監(jiān)測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構 和運行狀況， 以此來實現網絡的安全保護。政府不僅應該看見信息安全的發(fā)展是我國高科技產業(yè)的一部分，而且應該看到，發(fā)展安全產業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用。 信息安全是國家發(fā)展所面臨 的一個重要問題。 我們通常所說的 網絡防火墻 是借鑒了古代真正用于防火的防火墻的喻義，它指的是隔離在本地網絡與外界網絡之間的一道防御系統(tǒng)。如果沒有門，各房間的 人 如何溝通呢，這些房間的人又如何進去呢？當火災發(fā)生時，這些人又如何逃離 現場 呢？這個門就相當于我們這里所講的防火墻的“ 安全策略 ”，所以在此我們所說的防火墻實際并不是一堵實心墻，而是帶有一些小孔的墻。防火墻