【正文】 正在通過的單一數(shù)據(jù)包進行檢測，而沒有考慮前后數(shù)據(jù)包之間的聯(lián)系 。 綜合上述問題，傳統(tǒng)包過濾技術(shù)的缺陷在于 :(l)缺乏狀態(tài)檢測能力 。 。 。這種技術(shù)實現(xiàn)簡單，處理速度快，對應(yīng)用透明，但是它存在的問題也很多，主要表現(xiàn)有 : 。 理論上講，數(shù)據(jù)包所有頭部信息以及有效載荷都可以作為判斷包通過與否的依據(jù)，但是在實際情況中 ，包過濾技術(shù)上的問題主要是選取哪些字段信息，以及如何有效地利用這些字段信息并結(jié)合訪問控制列表來執(zhí)行包過濾操作，并盡可能提高安全控制力度。IP 數(shù)據(jù)報頭部信息主要是源 /目的主機的 IP 地址 。 IP， TCP首部格式如表 21 表 22 所示。IP 傳給網(wǎng)絡(luò)接口層的數(shù)據(jù)單元稱作 IP 數(shù)據(jù)報(IP Datagram)；通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀 (Frame)。其中每一層對接收到的數(shù)據(jù)都要增加一些首部信息。 由于其主要是對數(shù)據(jù)包的過濾操作，所以數(shù)據(jù)包結(jié)構(gòu)是包過濾技術(shù)的基礎(chǔ)。也正是由于此。 所謂包過濾，就是對流經(jīng)網(wǎng)絡(luò)防火墻的所有數(shù)據(jù)包逐個檢查，并 22 依據(jù)所制定的安全策略來決定數(shù)據(jù)包是通過還是不通過。就目前而言，對于局部網(wǎng)絡(luò)的保護，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過 濾和應(yīng)用代理兩類。同時由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng)絡(luò)安全問題越來越突出。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機和分組過濾路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。屏蔽主機防火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過濾路由器或防火墻與 Inter 相連，同時一個堡壘機安裝在內(nèi)部網(wǎng)絡(luò)，通過在分組過濾器路由器或防火墻上過濾規(guī)則的設(shè)置，使堡壘機成為 Inter上其他節(jié)點所能到達的唯一節(jié)點，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。 21 復(fù)合型防火墻 由于對更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。同時 也常結(jié)合入過濾器的功能。此外，代理服務(wù)也對過往的數(shù)據(jù)包進行分析、注冊登記，形成報告，同時當發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報，并保留攻擊痕跡。它是針對數(shù)據(jù)包過濾 [10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。同時升級一種應(yīng)用時，相應(yīng)的代理程序也必須同時升級。比如訪問 WEB 站點的 HTTP，用于文件傳輸?shù)?FTP，用于E 一 MAIL 的 SMTP/POP3 等等。這一內(nèi)建代理機制提供額外的安全，這是因為它將內(nèi)部和外部網(wǎng)絡(luò)隔離開來，使網(wǎng)絡(luò)外部的黑客在防火墻內(nèi)部網(wǎng)絡(luò)上進行探測變得困難，更重要的是能夠讓網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)服務(wù)進行全面的控制。代理技術(shù)與包過濾技術(shù)完全不同，包過濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實現(xiàn)防火墻功能。同時，包過濾防火墻一般無法提供完善的日志。如果公司的安全策略允許內(nèi)部員工訪問網(wǎng)站，包過濾防火墻可能設(shè)置允所有 80 端口的連接通過，這時，意識到這一漏洞的外部人員可以在沒有被認證的情況下進入私有網(wǎng)絡(luò)。例如， HTTP。包過濾防火墻是速度最快的防火墻，這是因為它處于網(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實現(xiàn)， 對用戶來說都是透明的。如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包 。包過濾防火墻工作在網(wǎng)絡(luò)層， IP 包的包頭中包含源、目的 IP 地址，封裝協(xié)議類型 (TCP， UDP， ICMP或 IP Tunnel)， TCP/UDP 端口號， ICMP 消息類型， TCP 包頭中的ACK 等等。 包過濾防火墻 19 顧名思義，包過濾防火墻 [9]就是把接收到的每個數(shù)據(jù)包同預(yù)先設(shè)定的包過濾規(guī)則相比較，從而決定是否阻 塞或通過。內(nèi)置特殊站點數(shù)據(jù)庫，用戶可選擇是否封禁色情、反動和暴力等特殊站點。一般防火墻設(shè)備可以提供三種日志審計功能 :系統(tǒng)管理日志、流量日志和入侵日志。 。 其他功能 地址 /MAC 地址綁定。 虛擬專網(wǎng)功能 指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。防火墻設(shè)備可檢測試圖穿透防火墻系統(tǒng)的木馬控制端和客戶端程序 。網(wǎng)絡(luò)蠕蟲病毒分為 2 類，一種是面向企業(yè)用戶和局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動進行攻擊，可以對整個互聯(lián)網(wǎng)造成癱瘓性的后果，以“紅色代碼”，“尼姆達”，以及最新的“ sql 蠕蟲王”為代表。后門程序是指采用某種方法定義出一個特殊的端口并依靠某種程序在機器啟動之前自動加載到內(nèi)存，強行控制機器打開那個特殊的端口的程序。防火墻設(shè)備可檢測包括針對 Unicode、 ASP 源碼泄漏、 PHF、 NPH、 等已知上百種的有安全隱患的CGI/IIS 進行的探測和攻擊方式。是 World Wide Web 主機和 CGI 程序間傳輸資訊的定義。 CGI/IIS 服務(wù)器入侵。緩沖區(qū)溢出(Buffer Overflow)攻擊指利用軟件的弱點將任意數(shù)據(jù)添加進某個程序中，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達到攻擊的目的?，F(xiàn)在的防火墻設(shè)備通常都可檢測 Synflod、Land、 Ping of Death、 TearDrop、 ICMP flood 和 UDPflod 等多種 17 DOS/DDOS 攻擊。而分布式的拒絕服務(wù)攻擊 (DDoS)攻擊手段則是在傳統(tǒng)的 DoS 攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式，分布式的拒絕服務(wù)攻擊 (DDoS)。 。顧名思義反端口掃描就是 防范端口掃描的方法，目前常用的方法有 :關(guān)閉閑置和有潛在危險的端口 。是否支持 FTP、 Web 服務(wù) 。 入侵檢測功能 入侵檢測技術(shù) [7]就是一種主動保護自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技術(shù)，包括以下內(nèi)容 : 。隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服 務(wù)進行幾乎透明的訪問，同時阻止了外部未授權(quán)訪問者對專用網(wǎng)絡(luò)的非法訪問 。同時支持 URL 過濾功能。代理指防火墻內(nèi)置用戶認證數(shù)據(jù)庫 。 3．認證和應(yīng)用代理。并將有限的 IP 地址動態(tài)或靜態(tài)的與內(nèi)部 IP 地址對應(yīng)起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本。 網(wǎng)絡(luò)地址變換是將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的 IP 地址轉(zhuǎn)換，可分為源地 址轉(zhuǎn)換 Source NAT(SNAT)和目的 地址轉(zhuǎn) 換 Destination NAT(DNAT)?？筛鶕?jù)地址簿進行設(shè)置規(guī)則。 15 防火墻的功能 防火墻的主要功能 1．包過濾。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進行訪問控制。 現(xiàn)在防火墻正在向分布、智能的方向發(fā)展，其中智能防火墻可以很好的解決上面的問題。三是傳統(tǒng)的防火墻無法區(qū)分識別善意和惡意的行為。二是傳統(tǒng)防火墻的訪問控制機制是一個簡單的過濾機制。主要有以下三個原因 : 一是傳統(tǒng)防火墻的計算能力的限制。這三大安全問題占據(jù)網(wǎng)絡(luò)安全問題九成以上。 [5] 但傳統(tǒng)的防火墻并沒有解決目前網(wǎng)絡(luò)中主要的安全問題。 1994 年，以色列的 CheckPoint 公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。 第 二代、第三代 防火墻 1989 年，貝爾實驗室的 Dave Presotto 和 Howard Trickey 推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻 ——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。 圖 1 表示了防火墻技術(shù)的簡單發(fā)展歷史。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監(jiān)控了 內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 [4]防火墻是指設(shè)置在不同網(wǎng)絡(luò) (如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng) )或網(wǎng)絡(luò)安全域之間的一系列部件的組合。其中包過濾作為最早發(fā)展起來的一種技術(shù)，其應(yīng)用非常廣泛。因此，保護網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播感染顯得尤為重要。 12 第三章 防火墻概述 隨著 Inter 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多 。 （ 2）建立完善的安全管理體制和制度，以起到對管理人員和操作人員鼓勵和監(jiān)督的作用。 Windows 20xx 操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪問控制。一旦實現(xiàn)了 NTFS，你可以使用 Windows 資源管理器在文件和文件夾上設(shè)置用戶級別的權(quán)限。 (6) 文件系統(tǒng)安全 在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個關(guān)鍵性的概念，因為訪問控制實現(xiàn)在兩個方面：本地和遠程。 隨著時代的發(fā)展，入侵檢測技術(shù)將朝著三個方向發(fā)展 :分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。但是，防火墻技術(shù)在網(wǎng)絡(luò)安全防護方面也存在一些不足：防火墻不能防止內(nèi)部攻擊防火墻不 10 能取代殺毒軟件；防火墻不易防止反彈端口木馬攻擊等。 (3) 防火墻技術(shù) 防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。有兩種主要的加密類型：私匙加密和公匙加密。但目前，在這方面的立法還遠不能適應(yīng)形勢發(fā)展的需要 ,應(yīng)該在對控制計算機犯罪的國內(nèi)外立法評價的基礎(chǔ)上，完善我國計算機犯罪立法，以便為確保我國計算機信息網(wǎng)絡(luò)健康有序的發(fā)展提供強有力的保障。這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全 的保障，管理和審計是安全的防線。三是管理措施，包括技術(shù)與社會措施。一個完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。 2）網(wǎng)絡(luò)安全 影響網(wǎng)絡(luò)安全的因素有：節(jié)點的安全、數(shù)據(jù)的安全（保存和傳輸方面）、文件的安全等。 具體講，網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權(quán)訪問、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶??等。例如“點在郵件炸彈”，它的表現(xiàn)形式是用戶在很短的時間內(nèi)收到大量無用的電子郵件，從而影響正常業(yè)務(wù)的運行。例如通過隱蔽通道進行非法活動；采用匿名用戶訪問進行攻擊；通過網(wǎng)絡(luò)監(jiān) 8 聽獲取網(wǎng)上用戶賬號和密碼；非法獲取 網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。 2）黑客侵襲。 1）計算機病毒的侵襲。 隨著網(wǎng)絡(luò)的發(fā)展，計算機的安全問題也延伸到了計算機網(wǎng)絡(luò)。 3）信息的安全性。 2）運行環(huán)境的安全性?！? 從技術(shù)講，計算機安全分為 3 種： 1）實體的安全。 7 第二章 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全問題 安全，通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機制。以及藍屏攻擊等。一般都是利用操作系統(tǒng)設(shè)計的安全漏洞和通信協(xié)議的安全漏洞來實現(xiàn)攻擊。 個人上網(wǎng)用戶多使用 Windows 操作系統(tǒng)，而 Windows 操作系統(tǒng)， 6 特別是 WindowsXP 系統(tǒng)，本身的安全性就不高。目前市場上大多數(shù)的防火墻產(chǎn)品僅僅是網(wǎng)關(guān)的，雖然它們的功能相當強大，但由于它們基于下述的假設(shè) :內(nèi)部網(wǎng)是安全可靠的，所有的威脅都來自 網(wǎng)外。 個人防火墻就是在單機 Windows 系統(tǒng)上，采取一些安全防護措施，使得本機的息得到一定的保護。信息泄漏攔截保證安全地瀏覽網(wǎng)頁、遏制郵件病毒的蔓延 。防火墻可以保護人們在網(wǎng)上瀏覽時免受黑客的攻擊，實時防范網(wǎng)絡(luò)黑客的侵襲，還可以根據(jù)自己的需要創(chuàng)建防火墻規(guī)則，控制互聯(lián)網(wǎng)到 PC 以及 PC 到互聯(lián)網(wǎng)的所有連接，并屏蔽入侵企圖。用戶可以根據(jù)自己的需要，通過設(shè)定一些參數(shù)，從而達到控制本機與互聯(lián)網(wǎng)之間的信息交流阻止惡性信息對本機的攻擊，比如 ICMPnood 攻擊、聊天室炸彈、木馬信息破譯并修改郵件密碼等等。 研究目的 為了解決互聯(lián)網(wǎng)時代個人網(wǎng)絡(luò)安全的問題，近年來新興了防火墻技術(shù) [2]。人們在利用網(wǎng)絡(luò)的優(yōu)越性的同時