【正文】 . It is also mon that you39。黑客的攻擊手段不斷翻新，決定了信息安全技術(shù)也必須進(jìn) 行革新，防火墻是防范黑客攻擊的常用手段，但這樣的技術(shù)必須與當(dāng)今最前沿的其他安全技術(shù)結(jié)合在一起，才能更有效地防范各種新的攻擊手段。 計(jì)算機(jī)的安全問題正面臨著前所未有的挑戰(zhàn) 。而隨著 Inter 的迅速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)對安全的要求也日益增高。它不知不覺的占據(jù)了我們生活的大半部分，成為我們社會結(jié)構(gòu)的一個基本組成部分。隨著算法和芯片技術(shù)的發(fā)展，防火墻會更多地參與應(yīng)用層分析，為應(yīng)用提供更安全的保障?！澳Ц咭怀?，道高一丈”，在信息安全的發(fā)展與對抗過程中，防火墻的技術(shù)一定會不斷更新，日新月異，在信息安全的防御體系中，起到堡壘的作用。 通信與信息系統(tǒng)管理專業(yè)高等教育自學(xué)考試畢業(yè)論文 10 （三） 安全 未來防火墻的操作系統(tǒng)會更安全。 支持部分路由器協(xié)議，如路由、撥號等，可以更好地滿足組網(wǎng)需要；支持 IPSec VPN，可以利用因特網(wǎng)組建安全的專用通道，既安全又節(jié)省了專線投資。 （二） 多功能化 多功能也是防火墻的發(fā)展方向之一，鑒于目前路由器和防火墻價格都比較高，組網(wǎng)環(huán)境也越來越復(fù)雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網(wǎng)和節(jié)省投資的需要。二進(jìn)制日志可以大大減小數(shù)據(jù)傳送量，也方便數(shù)據(jù)庫的存儲、加密和事后分析。網(wǎng)絡(luò)流量越來越大，如此龐大的日志對日志服 務(wù)器提出了很高的要求。此外，應(yīng)用層漏洞很多，攻擊特征庫需要頻繁升級，對于處在網(wǎng)絡(luò)出口關(guān)鍵位置的防火墻，如此頻繁地升級也是不現(xiàn)實(shí)的。目前，還沒有有效的對應(yīng)用層進(jìn)行高速檢測的方法，也沒有哪款芯片能做到這一點(diǎn)。目前有的應(yīng)用環(huán)境，動輒應(yīng)用數(shù)百乃至數(shù)萬條規(guī)則，沒有算法支撐，對于狀態(tài)防火墻，建立會話的速度會十分緩慢。 實(shí)現(xiàn)高速防火墻，算法也是一個關(guān)鍵，因?yàn)榫W(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元，因此比較容易實(shí)現(xiàn)高速。防范 DoS (拒絕服務(wù) )是防火墻一個很重要的任務(wù)，防火墻往往用在網(wǎng)絡(luò)出口，如造成網(wǎng)絡(luò)堵塞，再安全的防火墻也無 法應(yīng)用。 四、 防火墻的發(fā)展趨勢 通信與信息系統(tǒng)管理專業(yè)高等教育自學(xué)考試畢業(yè)論文 9 可以預(yù)見，未來防火墻的發(fā)展趨勢是朝高速、多功能化、更安全的方向發(fā)展。建立了防止內(nèi)部敏感信 息泄漏的機(jī)制，達(dá)到既防外又防內(nèi)的目標(biāo)，又實(shí)現(xiàn)了傳統(tǒng)防火墻的全部功能。 1998年，在中國一家機(jī)構(gòu)和美國計(jì)算機(jī)學(xué)會 ACM共同舉辦的國際會議上，我首次提出了高保障防火墻的概念，其核心是防火墻與安全操作系統(tǒng)無縫集成，在防火墻上實(shí)現(xiàn)類似 B級操作系統(tǒng)的機(jī)制，如標(biāo)記、 MAC、 強(qiáng)實(shí)體認(rèn)證等。例如 FTP，除了開始要建立命令通道外，還要動態(tài)協(xié)商數(shù)據(jù)通道。 （三） 狀態(tài)檢測技術(shù) 狀態(tài)檢測技術(shù)最早是 CheckPoint提出的，也就是要監(jiān)視每個連接發(fā)起到結(jié)束的全過程。這種代理對于部分不公開的協(xié)議，如 的語音和視頻協(xié)議，采用其他技術(shù)，在 NAT 情況下很難實(shí)現(xiàn)對該協(xié)議的支持，但 軟件本身支持 SOCK 代理，如果防火墻支持 SOCK 代理協(xié)議，就可以實(shí)現(xiàn)對防火墻的穿越。從國外公開的防火墻測試報告來看，代理防火墻性能表現(xiàn)比較差，因此在網(wǎng)絡(luò)帶寬迅猛發(fā)展的情況下，已經(jīng)不能完全滿足需要。其中狀態(tài)包過濾技術(shù)因?yàn)槠浒踩暂^好，速度快，得到最廣泛的應(yīng)用。這些功能的啟動，會導(dǎo)致性能急劇下 降，本來 100M的處理能力，可能會下降到幾兆，導(dǎo)致網(wǎng)絡(luò)嚴(yán)重阻塞甚至癱瘓，失去了防火墻存在的意義。如目前許多防火墻對內(nèi)容過濾，防病毒和通信與信息系統(tǒng)管理專業(yè)高等教育自學(xué)考試畢業(yè)論文 8 IDS等的支持，實(shí)際的應(yīng)用效果并不好。防火墻與其他安全設(shè)備或安全模塊之間進(jìn)行互動，已經(jīng)成為新一代防火墻的發(fā)展趨勢。 為了滿足多樣化的組網(wǎng)需求，方便用戶組網(wǎng)，同時也降低用戶對其他專用設(shè)備的需求，減少用戶建網(wǎng)成本，防火墻上也常常把其他網(wǎng)絡(luò)技術(shù)結(jié)合進(jìn) 來，例如支持 DHCP SERVER、 DHCP RELAY；支持動態(tài)路由，如 RIP 、 OSPF等；支持撥號、 PPPoE等特性；支持廣域網(wǎng)口； 支持透明模式 (橋模式 )。 支持網(wǎng)管等。 防火墻的功能主要包含以下幾個方面：訪問控制，如應(yīng)用 ACL 進(jìn)行訪問控制；攻擊防范，如防止 SYN FLOOD等； NAT； VPN；路由；認(rèn)證和加密 。 按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。 通信與信息系統(tǒng)管理專業(yè)高等教育自學(xué)考試畢業(yè)論文 7 3. 從防火墻結(jié)構(gòu)分 從防火墻結(jié)構(gòu)上分，防火墻主要有：單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種?；趯ο到y(tǒng)成本與安全技術(shù)成本的綜合考慮，用戶可以選擇性地使用某些監(jiān)測型技術(shù)。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中，有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動的、實(shí)時的監(jiān)測，在對這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。當(dāng)符合規(guī)則時，防火墻認(rèn)為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部 計(jì)算 機(jī)中。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的 IP 地址和端口來請求訪問。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時，將產(chǎn)生一個映射記錄。它允許具有私有 IP 地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。那因?yàn)榉阑饓π枰獮椴煌木W(wǎng)絡(luò)服務(wù)建立專門的代理服務(wù)，在自己的代理程序?yàn)閮?nèi)、外部網(wǎng)絡(luò)用戶建立連接時需要時間，所以給系統(tǒng)性能帶來了一些負(fù)面影響，但通常不會很明顯。由于它工作于最高層，所以它可以對網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)，而不是像包過濾那樣，只是對網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過濾。在代理型防火墻技術(shù)的發(fā)展過程中，它也經(jīng)歷了兩個不同的版本：第一代應(yīng)用網(wǎng)關(guān)型代理防火和第二代自適應(yīng)代理防火墻。 （ 2）應(yīng)用代理（ Application Proxy）型 應(yīng)用代理型防火墻是工作在 OSI的最高層，即應(yīng)用層。對安全管理人員素質(zhì)要求高，建立安全規(guī)則時，必須對協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。 包過濾方式的優(yōu)點(diǎn)是不用改動客戶機(jī)和主機(jī)上的應(yīng)用程序，因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。 （ 1）包過濾（ Packet filtering）型 包過濾方式是一種通用、廉價和有效的安全手段。 （三） 防火墻的分類與技術(shù) 1． 從軟、硬件形式上分 如果從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。另一種選擇就 是防火墻 (Firewall)，防火墻是用來在安全私有網(wǎng)絡(luò) (可信任網(wǎng)絡(luò) )和外部不可信任網(wǎng)絡(luò)之間安全連接的一個設(shè)備或一組設(shè)備，作為私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間連接的單點(diǎn)存在。 防火墻的工作原理 ： 隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和開放性的增強(qiáng)，網(wǎng)絡(luò)上的很多敏感信息和保密數(shù)據(jù)將受到很多主動和被動的人為攻擊。而且它還能禁止特定端通信與信息系統(tǒng)管理專業(yè)高等教育自學(xué)考試畢業(yè)論文 5 口的流出通信，封鎖 特洛伊木馬 。 （二） 防火墻的功能及原理 防火墻功能 ： 防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行 掃描 ，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。 它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況， 以此來實(shí)現(xiàn) 網(wǎng)絡(luò)的安全保護(hù)。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應(yīng)該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用。 信息安全是國家發(fā)展所面臨的一個重要問題。 我們通常所說的 網(wǎng)絡(luò)防火墻 是借鑒了古代真正用于防火的防火墻的喻義，它指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。如果沒有門，各房間的 人 如何溝通呢，這些房間的人又如何進(jìn)去呢？當(dāng)火災(zāi)發(fā)生時，這些人又如何逃離 現(xiàn)場 呢？這個門就相當(dāng)于我們這里所講的防火墻的“ 安全策略 ”，所以在此我們所說的防火墻實(shí)際并不是一堵實(shí)心墻，而是帶有一些小孔的墻。防火墻的