【正文】 部的主要字段包括源/目的端口、發(fā)送及確認(rèn)序號、狀態(tài)標(biāo)識等。表21 IP首部格式版本首部長服務(wù)類型總 長 度標(biāo)識標(biāo)志片偏移生存時(shí)間協(xié)議首部校驗(yàn)和源IP地址目的IP地址選項(xiàng)表22 TCP首部格式源端口號目的端口號序列號確認(rèn)號首部長保留LRCTBLPBHRCTCJHHJR窗口大小TCP校驗(yàn)和緊急指針選項(xiàng)對于幀的頭部信息主要是源/目的主機(jī)的MAC地址。對于進(jìn)防火墻的數(shù)據(jù)包，順序正好與此相反，頭部信息逐層剝掉。TCP傳給IP的數(shù)據(jù)單元稱作TCP報(bào)文段(TCP Segment)?？紤]包過濾技術(shù)的發(fā)展過程，可以認(rèn)為包過濾的核心問題就是如何充分利用數(shù)據(jù)包中各個(gè)字段的信息，并結(jié)合安全策略來完成防火墻的功能[11][15]當(dāng)應(yīng)用程序用TCP傳送數(shù)據(jù)時(shí)，數(shù)據(jù)被送入?yún)f(xié)議棧中，然后逐個(gè)通過每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。包過濾技術(shù)歷經(jīng)發(fā)展演變而未被淘汰。包過濾最主要的優(yōu)點(diǎn)在于其速度與透明性。其中包過濾作為最早發(fā)展起來的一種技術(shù)，其應(yīng)用非常廣泛。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播感染顯得尤為重要。 防火墻包過濾技術(shù)隨著Internet的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個(gè)分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。這種結(jié)合通常是以下兩種方案。它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。代理服務(wù)(Proxy Service)也稱鏈路級網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類。如果某種應(yīng)用沒有安裝代理程序，那么該項(xiàng)服務(wù)就不被支持并且不能通過防火墻進(jìn)行轉(zhuǎn)發(fā)。但是，這將花費(fèi)更多的處理時(shí)間，并且由于代理防火墻支持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。它的代理功能，就是在防火墻處終止客戶連接并初始化一個(gè)新的連接到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。應(yīng)用級代理技術(shù)通過在OSI的最高層檢查每一個(gè)IP包，從而實(shí)現(xiàn)安全策略。包過濾防火墻的維護(hù)比較困難，定義過濾規(guī)則也比較復(fù)雜，因?yàn)槿魏我粭l過濾規(guī)則的不完善都會給網(wǎng)絡(luò)黑客造成可乘之機(jī)。通常是使用80端口。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng)絡(luò)，使之遭受攻擊。如果沒有匹配規(guī)則，則按缺省情況處理。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包按正常情況處理。過濾規(guī)則是基于網(wǎng)絡(luò)層IP包包頭信息的比較。 防火墻的原理及分類國際計(jì)算機(jī)安全委員會ICSA將防火墻分成三大類:包過濾防火墻，應(yīng)用級代理服務(wù)器[8]以及狀態(tài)包檢測防火墻。要求對使用身份標(biāo)識和認(rèn)證的機(jī)制，文件的創(chuàng)建，修改，系統(tǒng)管理的所有操作以及其他有關(guān)安全事件進(jìn)行記錄，以便系統(tǒng)管理員進(jìn)行安全跟蹤。可支持任一網(wǎng)絡(luò)接口的IP地址和MAC地址的綁定，從而禁止用戶隨意修改IP地址。VPN的基本原理是通過IP包的封裝及加密、認(rèn)證等手段，從而達(dá)到安全的目的。檢測試圖穿透防火墻系統(tǒng)的蠕蟲程序。另外一種是針對個(gè)人用戶的，通過網(wǎng)絡(luò)(主要是電子郵件，惡意網(wǎng)頁形式)迅速傳播的蠕蟲病毒，以愛蟲病毒，求職信病毒為例。木馬程序的全稱是“特洛依木馬”，它們是指尋找后門、竊取計(jì)算機(jī)的密碼的一類程序。、木馬及其網(wǎng)絡(luò)蠕蟲。IIS就是Internet Information server的簡稱，也就是微軟的Internet信息服務(wù)器。CGI就是Common Gateway Inter——face的簡稱。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作，防火墻設(shè)備可檢測對FTP、Telnet、SSH、RPC和SMTP等服務(wù)的遠(yuǎn)程堆棧溢出入侵。(Buffer Overflow)。其原理很簡單，就是利用更多的受控主機(jī)同時(shí)發(fā)起進(jìn)攻，以比DoS更大的規(guī)模(或者說以更高于受攻主機(jī)處理能力的進(jìn)攻能力)來進(jìn)攻受害者。拒絕服務(wù)(DoS)攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)，其攻擊方式有很多種。檢查各端口，有端口掃描的癥狀時(shí)，立即屏蔽該端口，多數(shù)防火墻設(shè)備采用的都是這種反端口掃描方式。且FTP服務(wù)是否支持“匿名”，以及IIS版本，是否有可以被成功攻破的IIS漏洞，進(jìn)而對內(nèi)部網(wǎng)絡(luò)的主機(jī)進(jìn)行攻擊。端口掃描就是指黑客通過遠(yuǎn)程端口掃描的工具，從中發(fā)現(xiàn)主機(jī)的哪些非常用端口是打開的。防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個(gè)子網(wǎng)之間的安全訪問。4．透明和路由指防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。提供HTTP、FTP和SMTP代理功能，并可對這三種協(xié)議進(jìn)行訪問控制。 認(rèn)證指防火墻對訪問網(wǎng)絡(luò)者合法身分的確定。DNAT主要用于外網(wǎng)主機(jī)訪問內(nèi)網(wǎng)主機(jī)。SNAT用于對內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來自外部其他網(wǎng)絡(luò)的非授權(quán)訪問或惡意攻擊。2．地址轉(zhuǎn)換。包過濾是一種網(wǎng)絡(luò)的數(shù)據(jù)安全保護(hù)機(jī)制，它可用來控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設(shè)置可基于源地址、源端口、目的地址、目的端口、協(xié)議和時(shí)間。由于這些方法多是人工智能學(xué)科采用的方法，因此，又稱為智能防火墻。 智能防火墻簡介智能防火墻[6]是相對傳統(tǒng)的防火墻而言的，從技術(shù)特征上智能防火墻是利用統(tǒng)計(jì)、記憶、概率和決策的智能方法來對數(shù)據(jù)進(jìn)行識別，并達(dá)到訪問控制的目的。該特征決定了傳統(tǒng)的防火墻無法解決惡意的攻擊行為。它是一個(gè)簡單的條件過濾器，不具有智能功能，無法檢測復(fù)雜的攻擊。傳統(tǒng)的防火墻是以高強(qiáng)度的檢查為代價(jià)，檢查的強(qiáng)度越高，計(jì)算的代價(jià)越大。而這三大問題，傳統(tǒng)防火墻都無能為力。目前網(wǎng)絡(luò)安全的三大主要問題是:以拒絕訪問(DDOS)為主要代表的網(wǎng)絡(luò)攻擊，以蠕蟲(Worm)為主要代表的病毒傳播和以垃圾電子郵件(SPAM)為代表的內(nèi)容控制。第五代防火墻1998年，NAI公司推出了一種自適應(yīng)代理（Adaptive proxy）技術(shù)，并在其產(chǎn)品Gauntlet Firewall for NT中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。第四代防火墻1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動態(tài)包過濾（Dynamic packet filter）技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（Stateful inspection）技術(shù)。圖1第一代防火墻第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過濾（Packet filter）技術(shù)。 傳統(tǒng)防火墻介紹目前的防火墻技術(shù)無論從技術(shù)上還是從產(chǎn)品發(fā)展歷程上，都經(jīng)歷了五個(gè)發(fā)展歷程。防火墻提供信息安全服務(wù)，是實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。 防火墻的概念防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。就目前而言，對于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過濾和應(yīng)用代理兩類。同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng)絡(luò)安全問題越來越突出。（3）管理措施要標(biāo)準(zhǔn)化、規(guī)范化和科學(xué)化。 制定合理的網(wǎng)絡(luò)管理措施（1）加強(qiáng)網(wǎng)絡(luò)用戶及有關(guān)人員的安全意識、職業(yè)道德和事業(yè)心、責(zé)任心的培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。你需要了解可以分配什么樣的權(quán)限，還有日常活動期間一些規(guī)則是處理權(quán)限的。建立文件權(quán)限的時(shí)候，必須在Windows 2000中首先實(shí)行新技術(shù)文件系統(tǒng)（New Technology File System，NTFS）。(5)防病毒技術(shù)隨著計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)病毒變得越來越復(fù)雜和高級，計(jì)算機(jī)病毒防范不僅僅是一個(gè)產(chǎn)品、一個(gè)策略或一個(gè)制度，它是一個(gè)匯集了硬件、軟件、網(wǎng)絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。(4)檢測系統(tǒng)入侵檢測技術(shù)是網(wǎng)絡(luò)安全研究的一個(gè)熱點(diǎn)，是一種積極主動的安全防護(hù)技術(shù)，提供了對內(nèi)部入侵、外部入侵和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。目前，防火墻采取的技術(shù)，主要是包過濾、應(yīng)用網(wǎng)關(guān)、子網(wǎng)屏蔽等。(2)認(rèn)證對合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認(rèn)證機(jī)制還可以防止合法用戶訪問他們無權(quán)查看的信息。 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)(1) 數(shù)據(jù)加密加密就是把明文變成密文，從而使未被授權(quán)的人看不懂它。我國先后出臺的有關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。主要措施有：提供實(shí)時(shí)改變安全策略的能力、實(shí)時(shí)監(jiān)控企業(yè)安全狀態(tài)、對現(xiàn)有的安全系統(tǒng)實(shí)施漏洞檢查等，以防患于未然。二是技術(shù)方面，如信息加密存儲傳輸、身份認(rèn)證、防火墻技術(shù)、網(wǎng)絡(luò)防毒等。網(wǎng)絡(luò)信息安全涉及方方面面的問題，是一個(gè)復(fù)雜的系統(tǒng)。1）單機(jī)安全購買單機(jī)時(shí)，型號的選擇；計(jì)算機(jī)的運(yùn)行環(huán)境（電壓、濕度、防塵條件、強(qiáng)電磁場以及自然災(zāi)害等）；計(jì)算機(jī)的操作……等等，這些都是影響單機(jī)安全性的因素。嚴(yán)重時(shí)會使系統(tǒng)關(guān)機(jī)，網(wǎng)絡(luò)癱瘓。3）拒絕服務(wù)攻擊。即黑客非法進(jìn)入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。當(dāng)前，活性病毒達(dá)14000多種，計(jì)算機(jī)病毒侵入網(wǎng)絡(luò)，對網(wǎng)絡(luò)資源進(jìn)行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個(gè)網(wǎng)絡(luò)的癱瘓。2.. 網(wǎng)絡(luò)安全面臨的主要威脅一般認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自計(jì)算機(jī)病毒、黑客的攻擊和拒絕服務(wù)攻擊三個(gè)方面。它保障信息不會被非法閱讀、修改和泄漏。它保證計(jì)算機(jī)能在良好的環(huán)境里持續(xù)工作。它保證硬件和軟件本身的安全。我國對于計(jì)算機(jī)安全的定義是：“計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運(yùn)行。因此，為了保護(hù)主機(jī)的安全通信，研制有效的個(gè)人防火墻技術(shù)很有必要。如假冒IP包對通信雙方進(jìn)行欺騙:對主機(jī)大量發(fā)送正數(shù)據(jù)包[3]進(jìn)行轟炸攻擊，使之際崩潰。各種Windows漏洞不斷被公布，對主機(jī)的攻擊也越來越多。因此，他們防外不防內(nèi)，難以實(shí)現(xiàn)對企業(yè)內(nèi)部局域網(wǎng)內(nèi)主之間的安全通信，也不能很好的解決每一個(gè)撥號上網(wǎng)用戶所在主機(jī)的安全問題，而多數(shù)個(gè)人上網(wǎng)之時(shí)，并沒有置身于得到防護(hù)的安全網(wǎng)絡(luò)內(nèi)部。個(gè)人防火墻是面向單機(jī)操作系統(tǒng)的一種小型安全防護(hù)軟件，按一定的規(guī)則對TCP，UDP，ICMP