【正文】 處理時間，并且由于代理防火墻支持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。它的代理功能，就是在防火墻處終止客戶連接并初始化一個新的連接到受保護的內(nèi)部網(wǎng)絡(luò)。 應(yīng)用級代理防火墻 應(yīng)用級代理技術(shù)通過在 OSI 的最高層檢查每一個 IP 包，從而實現(xiàn)安全策略。包過濾防火墻的維護比較困難，定義過濾規(guī)則也比較復(fù)雜，因為任何一條過濾規(guī)則的不完善都會給網(wǎng)絡(luò)黑客造成可乘之機。通常是使用 80端口。但是它的安 全程度較低，很容易暴露內(nèi)部網(wǎng)絡(luò)，使之遭受攻擊。如果沒有匹配規(guī)則，則按缺省情況處理。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包按正常情況處理 。過濾規(guī)則是基于網(wǎng)絡(luò)層 IP 包包頭信息的比較。 防火墻的原理及分類 國際計算機安全委員會 ICSA 將防火墻分成三大類 :包過濾防火墻，應(yīng)用級代理服務(wù)器 [8]以及狀態(tài)包檢測防火墻。 。要求對使用身份標識和認證的機制，文件的創(chuàng)建，修改，系統(tǒng)管理的所有操作以及其他有關(guān)安 全事件進行記錄，以便系統(tǒng)管理員進行安全跟蹤?？芍С秩我痪W(wǎng)絡(luò)接口的 IP地址和 MAC地址的綁 12 大學(xué)畢業(yè)論文 定，從而禁止用戶隨意修改 IP地址。 VPN的基本原理是通過 IP包的封裝及加密、認證等手段，從而達到安全的目的。檢測試圖穿透防火墻系統(tǒng)的蠕蟲程序。另外一種是針對個人用戶的，通過網(wǎng)絡(luò) (主要是電子郵件，惡意網(wǎng)頁形式 )迅速傳播的蠕蟲病毒，以愛蟲病毒，求職信病毒為例。木馬程序的全稱是 “特洛依木馬 ”，它們是指尋找后門、竊取計算機的密碼的一類程序。 、木馬及其網(wǎng)絡(luò)蠕蟲。 IIS就是 Inter Information server的簡稱，也就是微軟的 Inter信息服務(wù)器。 CGI就是 Common Gateway Inter——face的簡稱。更為嚴重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進而進行各種非法操作，防火墻設(shè)備可檢測對 FTP、 Tel、 SSH、 RPC和 SMTP 等服務(wù)的遠 程堆棧溢出入侵。 (Buffer Overflow)。其原理很簡單，就是利用更多的受控主機同時發(fā)起進攻，以比 DoS 更大的規(guī)模 (或者說以更高于受攻主機處理能力的進攻能力 )來進攻受害者。拒絕服務(wù) (DoS)攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)，其攻擊方式有很多種 。檢查各端口，有端口掃描的癥狀時，立即屏蔽該端口，多數(shù)防火墻設(shè)備采用的都是這種反端口掃描方式。且 FTP 服務(wù)是否支持 “匿名 ”，以及 IIS版本，是否有可以被成功攻破的 IIS漏洞，進而對內(nèi)部網(wǎng)絡(luò)的主機進行攻擊。端口掃描就是指黑客通過遠程端口掃描的工具，從中發(fā)現(xiàn)主機的哪些非常用端口是打開的 。防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個子網(wǎng)之間的安全訪問。 4．透明和路由 指防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。提供HTTP、 FTP 和 SMTP代理功能，并可對這三種協(xié)議進行訪問控制 。 認證指防火墻對訪問網(wǎng)絡(luò)者合法身分的確定。 DNAT 主要用于外網(wǎng)主機訪問內(nèi)網(wǎng)主機。 SNAT用于對內(nèi)部網(wǎng)絡(luò)地址進行轉(zhuǎn)換，對外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來自外部其他網(wǎng)絡(luò)的非授權(quán)訪問或惡意攻擊。 2．地址轉(zhuǎn)換。 包過濾是一種網(wǎng)絡(luò)的數(shù)據(jù)安全保護機制，它可用來控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設(shè)置可基于源地址、源端口、目的地址、目的端口、協(xié)議和時間 。由于這些方法多是人工智能學(xué)科采用的方法，因此，又稱為智能防火墻。 智能防火墻簡介 智能防火墻 [6]是相對傳統(tǒng)的防火墻而言的，從技術(shù)特征上智能防火墻是利用統(tǒng)計、記憶、概率和決策的智能方法來對數(shù)據(jù)進行識別，并達到訪問控制的目的。該特征決定了傳統(tǒng)的防火墻無法解決惡意的攻擊行為。它是一個簡單的條件過濾器，不具有智能功能，無法檢測復(fù)雜的攻擊。傳統(tǒng)的防火墻是以高強度的檢查為代價，檢查的強度越高，計算的代價越大。而這三大問題，傳統(tǒng)防火墻都無能為力。目前網(wǎng)絡(luò)安全的三大主要問題是 :以拒絕訪問 (DDOS)為主要代表的網(wǎng)絡(luò)攻擊，以蠕蟲 (Worm)為主要代表的病毒傳播和以垃圾電子郵件 (SPAM)為代表的內(nèi)容控制。 第五代防火墻 1998 年， NAI 公司推出了一種自適應(yīng)代理（ Adaptive proxy）技術(shù)，并在其產(chǎn)品 Gauntlet Firewall for NT 中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。 第四代防火墻 1992年， USC信息科學(xué)院的 BobBraden開發(fā)出了基于動態(tài)包過濾（ Dynamic packet filter）技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（ Stateful inspection）技術(shù)。 圖 1 第一代防火墻 第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn)，采用了包過濾（ Packet filter）技術(shù)。 傳統(tǒng)防火墻介紹 目前的防火墻技術(shù)無論從技術(shù)上還是從產(chǎn)品發(fā)展歷程上，都經(jīng)歷了五個發(fā)展歷程。防火墻提供信息安全服務(wù)，是實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制 (允許、拒絕、監(jiān)測 )出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。 防火墻的概念 防火墻是設(shè)置在被保護 網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。就目前而言，對于局部網(wǎng)絡(luò)的保護，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過濾和應(yīng)用代理兩類。同時由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng)絡(luò)安全問題越來越突出。 （ 3）管理措施要標準化 、規(guī)范化和科學(xué)化。 制定合理的網(wǎng)絡(luò)管理措施 （ 1）加強網(wǎng)絡(luò)用戶及有關(guān)人員的安全意識、職業(yè)道德和事業(yè)心、責(zé)任心的培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。你需要了解可以分配什么樣的權(quán)限，還有日?；顒悠陂g一些規(guī)則是處理權(quán)限的。建立文件權(quán)限的時候，必須在 Windows 2020 中首先實行新技術(shù)文件系統(tǒng)（ New Technology File System， NTFS）。 7 大學(xué)畢業(yè)論文 (5)防病毒技術(shù) 隨著計算機技術(shù)的發(fā)展，計算機病毒變得越來越復(fù)雜和高級，計算機病毒防范不僅僅是一個產(chǎn)品、一個策略或一個制度，它是一個匯集了硬件、軟件、網(wǎng)絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。 (4)檢測系統(tǒng) 入侵檢測技術(shù)是網(wǎng)絡(luò)安全研究的一個熱點，是一種積極主動的安全防護技術(shù)，提供了對內(nèi)部入侵、外部入侵和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。目前，防火墻采取的技術(shù)，主要是包過濾、應(yīng)用網(wǎng)關(guān)、子網(wǎng)屏蔽等。 (2)認證 對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認證機制還可以防止合法用戶訪問他們無權(quán)查看的信息。 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) (1) 數(shù)據(jù)加密 加密就是把明文變成密文，從而使未被授權(quán)的人看不懂它。 完善計算機安全立法 我國先后出臺的有 關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。主要措施有：提供實時改變安全策略的能力、實時監(jiān)控企業(yè)安全狀態(tài)、對現(xiàn)有的安全系統(tǒng)實施漏洞檢查等，以防患于未然。二是技術(shù)方面，如信息加密存儲傳輸、身份認證、防火墻技術(shù)、網(wǎng)絡(luò)防毒等。 6 大學(xué)畢業(yè)論文 網(wǎng)絡(luò)安全措施 網(wǎng)絡(luò)信息安全涉及方方面面的問題，是一個復(fù)雜的系統(tǒng)。 影響網(wǎng)絡(luò)安全的因素 1）單機安全 購買單機時，型號的選擇；計算機的運行環(huán)境（電壓、濕度、防塵條件、強電磁場以及自然災(zāi)害等）；計算機的操作 ??等等，這些都是影響單機安全性的因素。嚴重時會使系統(tǒng)關(guān)機，網(wǎng)絡(luò)癱瘓。 3）拒絕服務(wù)攻擊。即黑客非法進入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。當前，活性病毒達 14000 多種，計算機病毒侵入網(wǎng)絡(luò)，對網(wǎng)絡(luò)資源進行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個網(wǎng)絡(luò)的癱瘓。 網(wǎng)絡(luò)安全面臨的主要威脅 一 般認為，計算機網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自計算機病毒、黑客的攻擊和拒絕服務(wù)攻擊三個方面。它保障信息不會被非法閱讀、修改和泄漏。它保證計算機能在良好的環(huán)境里持續(xù)工作。它保證硬件和軟件本身的安全。我國對于計算機安全的定義是： “計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運行。 第五章，系統(tǒng)闡述防火墻發(fā)展趨勢。 第三章，介紹防火墻的相關(guān)技術(shù)，如防火墻的原理、功能、包過濾技術(shù)等 。一個高效可靠的防火墻必須具有以下典型的特性 : 1 從里到外和從外到里的所有通信都必須通過防火墻； 2 只有本地安全策略授權(quán)的通信才允許通過； 3 防火墻本身是免疫的 ,不會被穿透的。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流 ,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況 , 以此來實現(xiàn)網(wǎng)絡(luò)的安全保護。因此，為了保護主機的安全通信，研制有效的個人防火墻技術(shù)很有必要。如假冒 IP 包對通信雙方進行欺騙 :對主機大量發(fā)送正數(shù)據(jù)包 [3]進行轟炸攻擊，使之際崩潰 。各種 Windows漏洞不斷被公布，對主機的攻擊也越來越多。因此，他們防外不防內(nèi)，難以實現(xiàn)對企業(yè)內(nèi)部局域網(wǎng)內(nèi)主之間的安全通信，也不能很好的解決每一個撥號上網(wǎng)用戶所在主機的安全問題，而多數(shù)個人上網(wǎng)之時，并沒有置身于得到防護的安全網(wǎng)絡(luò)內(nèi)部。個人防火墻是面向單機操作系統(tǒng)的一種小型安全防護軟件，按一定的規(guī)則對 TCP，UDP， ICMP 和 IGMP等報文進行過濾，對網(wǎng)絡(luò)的信息流和系統(tǒng)進程進行監(jiān)控，防止一些惡意的攻擊。郵件內(nèi)容檢測可以實時監(jiān)視郵件系統(tǒng)，阻擋一切針對硬盤的惡意活動。防火可以有效地阻截各種惡意攻擊、保護信息的安全 。而且防火墻能夠?qū)崟r記錄其它系 統(tǒng)試圖對本機系統(tǒng)的訪問，使計算機在連接到互聯(lián)網(wǎng)的時候避免受到網(wǎng)絡(luò)攻擊和資料泄漏的安全威