【正文】 僅有某些確定類型的連接被允許。在這種體系結構中,主要的安全由數據包過濾，其結構如 圖5所示。它們之間的IP通信被完全阻止。因而，IP數據包從一個網絡(例如，因特網)并不是直接發(fā)送到其他網絡(例如，內部的、被保護的網絡)。這樣的主機可以充當與這些接口相連的網絡之間的路由器；它能夠從一個網絡到另一個網絡發(fā)送IP數據包。包過濾防火墻價格較低性能開銷小，處理速度較快定義復雜，容易出現速度較慢，不太適用于高速網之間的應用我們把兩種防火墻的優(yōu)缺點的對比用下列圖表的形式表示如下：自適應代理技術是商業(yè)應用防火墻中實現的一種革命性技術。(應用層網關)防火墻這種防火墻被網絡安全專家認為是最安全的防火墻，主要是因為從內部發(fā)出的數據包經過這樣的防火墻處理后，就像是源于防火墻外部網卡一樣，可以達到隱藏內部網結構的作用。代理服務器型防火墻與包過濾防火墻不同之點在于，它的內外網之間不存在直接的連接，一般由兩部分組成：服務器端程序和客戶端程序，其中客戶端程序通過中間節(jié)點與提供服務的服務器連接。它可以根據需要動態(tài)的在過濾原則中增加或更新條目，在這點上靜態(tài)防火墻是比不上它的，它主要對建立的每一個連接都進行跟蹤。靜態(tài)包過濾防火墻的缺點，動態(tài)包過濾防火墻都可以避免。而一個單純的包過濾的防火墻的防御能力是非常弱的，對于惡意的攻擊者來說是攻破它是非常容易的。這種靜態(tài)包過濾防火墻，對用戶是透明的，它不需要用戶的用戶名和密碼就可以登錄，它的速度快，也易于維護。相反的，如果每條規(guī)都和過濾規(guī)則相匹配，那么信息包就允許通過。(三) 防火墻各個階段的特點防火墻技術經歷了以下幾個階段：靜態(tài)包過濾防火墻采用的是一個都不放過的原則。1994年，以色列的CheckPoint公司開發(fā)出了第一個采用這種技術的商業(yè)化的產品。 自適應代理 動態(tài)包過濾 ∣ 代理 ∣ ∣ 包過濾 電路層 ∣ ∣ ∣ 1980 ↓ ↓1990 ↓ ↓ ↓ 2000 圖 3防火墻技術的發(fā)展歷史第二、三代防火墻1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應用層防火墻(代理防火墻)的初步結構。圖2內部網絡與外部網絡的連接(二) 防火墻的發(fā)展歷史防火墻的發(fā)展歷程可分為5代，即：第一代防火墻第一代防火墻技術幾乎與路由器同時出現，采用了包過濾(Packet filter)技術。起到區(qū)域網絡不同安全區(qū)域的防御性設備的作用，例如：互聯(lián)網絡(internet)與企業(yè)內部網絡(intranet)之間，如圖1所示。防火墻產品的三代體系架構主要為： 第一代架構：主要是以單一cpu作為整個系統(tǒng)業(yè)務和管理的核心，cpu有x8powerpc、mips等多類型，產品主要表現形式是pc機、工控機、pcbox或riscbox等；第二代架構：以np或asic作為業(yè)務處理的主要核心，對一般安全業(yè)務進行加速，嵌入式cpu為管理核心，產品主要表現形式為box等； 第三代架構：iss(integrated security system)集成安全體系架構，以高速安全處理芯片作為業(yè)務處理的主要核心，采用高性能cpu發(fā)揮多種安全業(yè)務的高層應用，產品主要表現形式為基于電信級的高可靠、背板交換式的機架式設備，容量大性能高，各單元及系統(tǒng)更為靈活。另一種選擇就是防火墻 (Firewall)，防火墻是用來在安全私有網絡(可信任網絡)和外部不可信任網絡之間安全連接的一個設備或一組設備，作為私有網絡和外部網絡之間連接的單點存在。隨著網絡規(guī)模的擴大和開放性的增強，網絡上的很多敏感信息和保密數據將受到很多主動和被動的人為攻擊。它是提供信息安全服務，實現網絡和信息安全的基礎設施。二 防火墻概述(一) 防火墻的介紹 防火墻是指設置在不同網絡(如可信任的企業(yè)內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。對此，少數防火墻供應商也開始意識到應用層的威脅，在防火墻產品上增加了一些彈性概念(ProofOfConcept)的特征，試圖防范這些威脅。SSL 加密/解密功能；完全的雙向有效負載檢測；確保所有合法流量的正?；?；廣泛的協(xié)議性能；這些任務，在基于標準PC硬件上，是無法高效運行的，雖然一些網絡防火墻供應商采用的是基于ASIC 平臺，但進一步研究，就能發(fā)現：舊的基于網絡的ASIC平臺對于新的深度檢測功能是無法支持的。⑤ 無法擴展帶深度的檢測功能基于狀態(tài)檢測的網絡防火墻，如果希望只擴展深度檢測(deep inspection)功能，而沒有相應增加網絡性能，這是不行的。如果一個程序或者是一個簡單的Web網頁，確實需要涉及到很長的URL時，就要屏蔽該規(guī)則。細看就會發(fā)現，這些供應商采用對80端口數據流中，針對URL長度進行控制的方法，來實現這個功能的。在多數情況下，彈性概念(ProofOfConcept)的特征無法應用于現實生活中的數據中心上。雖然一些先進的網絡防火墻供應商，提出了應用防護的特征，但只是適用于簡單的環(huán)境中。由于對正體的應用數據流，缺乏完整的、基于會話級別的監(jiān)控能力，因此很難預防新的未知的攻擊。網絡防火墻的防護范圍，也發(fā)生了變化。今年來，實際應用過程中，HTTP是主要的傳輸協(xié)議。基于狀態(tài)檢測的防火墻，其設計原理，是基于網絡層TCP和IP地址，來設置與加強狀態(tài)訪問控制列表(ACLs，Access Control Lists)。這種加密后的攻擊代碼，只要與防火墻規(guī)則庫中的 不一樣，就能夠躲過防火墻，成功避開特征匹配。只有當應用層攻擊行為的特征與防火墻中的數據庫已有的特征完全匹配時，防火墻才能識別和截獲攻擊數據。對于應用程序加密的數據，同樣也看不到。這個需求，對于傳統(tǒng)的網絡防火墻而言，是個大問題由于網絡防火墻對于加密的SSL流中的數據是不可見的，防火墻無法迅速截獲SSL數據流并對其解密，因此無法阻止應用程序的攻擊，甚至有些網絡防火墻，根本就不提供數據解密的功能。ca(certification authorty)就是這樣一個確保信任度發(fā)熱權威實體，它主要職責是頒發(fā)證書、驗證用戶身份的真實性。由于通過網絡進行的電子商務、電子政務、電子事物等活動缺少物理接觸，因此使得用電子方式驗證信任關系變得至關重要。pki(public key infrastucture)技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。Rsa算法的描述如下： 公開密鑰：n=pq (p、q分別為兩個互異的大素數，p、q必須保密) e與(p1)(q1)互素 私有密鑰：d=e1{mod(p1)(q1)} 加密：c=me(mod n)，其中m為明文c為密文。rsa算法是rivest、shamir和adleman于1977年提出的第一個完善的公鑰密碼體制，其安全性是基于分解大整數的困難性。公開密鑰與私有密鑰是一對，如果用公開密鑰對數據進行加密，只有用對應的私有密鑰才能解密；如果用私有密鑰對數據進行加密，那么只有用對應的公開密鑰才能解密。這種加密的方法可簡化加密處理過程，信息交換雙方都不彼此研究和交換專用的加密算法。信息交換加密技術分為兩類：即對稱加密和非對稱加密。(2)外部危險，網絡外部危險包括一下幾個方面，竊取機密信息，向外部透露敏感信息，非法訪問網絡服務程序和資源，干擾網絡正常服務，故意損壞、修改和刪除數據，竊取或損壞硬件和軟件。網絡安全主要來自企業(yè)內部松懈的、甚至完全不存在的安全措施。(1)網絡內部危險包括一下幾個方面：設計安全過程中，沒有考慮員工和公司之間的關系。目前，計算機病毒被分為3大類型，即分區(qū)病毒、文件病毒和宏病毒。惡意程序種類繁多，對網絡安全威脅較大主要有以下幾種：計算機病毒、計算機蠕蟲特洛伊木馬邏輯炸彈。丙就把“丁”改成了“丙”。乙”。丙也想獲得這些服務，于是丙系統(tǒng)發(fā)出：“我是乙”。因此系統(tǒng)要有“身份識別的功能”。(2)識別對于進入計算機網絡系統(tǒng)的用戶，系統(tǒng)必須檢驗其合法性。本質上是保護用戶的利益和隱私。③ 網絡上信息內容的安全：它側重于保護數據的保密性、真實性和完整性。它側重于防治和控制非法、有害的信息進行傳播后的后果。② 網絡上信息傳播安全：即信息傳播后果的安全。它側重于保證系統(tǒng)正常運行，避免因為系統(tǒng)的崩潰和損壞而對系統(tǒng)存貯、處理和傳輸造成破壞和損失，避免由于電磁泄漏，產生信息泄漏，干擾他人，受他人干擾。如何更有效的保護重要的信息數據、提高計算機網絡系統(tǒng)的安全性已成為所有計算機網絡應用必須考慮和必須解決的一個重要問題。網絡安全涉及到的內容既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。④從本質上來講，網絡安全就是網絡上的信息安全，是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)的數據收到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄密，系統(tǒng)連續(xù)可靠的運行，網絡服務中斷。②對安全保密部門來說，他們希望對非法、有害的或涉及國家機密的信息進行過濾和防堵，避免機要信息泄漏，避免對社會產生危害，對國家造成巨大損失。比如：從用戶(個人、企業(yè)等)的角度來說，他們希望涉及個人隱私火商業(yè)利益的信息在網絡上傳輸受到機密性、完整性和真實性的保護，避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私，同時也避免其他用戶的非法授權訪問和破壞?？梢姡W絡防火墻技術在信息安全領域扮演著十分重要的角色。目前，普遍采用的技術主要包括加密、VPN、數字身份識別、訪問控制、入侵檢測、網絡防火墻、反病毒等技術。依據美國CSI及FBI聯(lián)合發(fā)布的《2004年度計算機犯罪及安全調查報告》中提供的數據，僅在2003年503家被調查的美國公司因信息安全導致的損失超過38億美元。這可以拒絕對敏感數據進行非授權的訪問、使用，防止黑客的入侵和計算機病毒的破壞，把計算機網絡安全措施落實到實處。在我國，雖然計算機網絡應用起步比較晚，但在金融界也已發(fā)生過多起盜竊案，在科技界也發(fā)生了用戶帳號被盜用，使被盜用戶一個月的網絡費用損失高達2萬余元的情況。對此，我們既不能對那些潛在的危險不予重視，遭受不必要的損失；也不能因為害怕某些危險而拒絕因特網的各種有益的服務，對個人來說這樣會失去了了解世界、展示自己的場所，對企業(yè)來說還失去了拓展業(yè)務、提高服務、增強競爭力的機會。因此信息安全，網絡安全的問題已經引起各國，各部門，各行各業(yè)以及每個計算機用戶的充分重視?！昂诳凸簟本W站被“黑”，“CIH病毒”無時無刻不充斥在網絡中。近年來因特網的飛速發(fā)展，給人們的生活帶來了全新地感受，人類社會各種活動對信息網絡地依賴程度已經越來越大。 關鍵詞：網絡安全，防火墻技術，PIX AbstractAiming at the problem of network security, facing to the network security and the basic concept of firewall were summarized. A firewall is a kind of access control technology, it through at an institution of network and unsafe network between up barriers, prevent information resources of unauthorized access. And sy