【正文】 種不同攻擊手段，防火墻也派分出幾種防御架構(gòu)。對(duì)于普通用戶來說，所謂“防火墻”，指的就是一種被放置在自己的計(jì)算機(jī)與外界網(wǎng)絡(luò)之間的防御系統(tǒng)，從網(wǎng)絡(luò)發(fā)往計(jì)算機(jī)的所有數(shù)據(jù)都要經(jīng)過它的判斷處理后，才會(huì)決定能不能把這些數(shù)據(jù)交給計(jì)算機(jī)，一旦發(fā)現(xiàn)有害數(shù)據(jù)，防火墻就會(huì)攔截下來，實(shí)現(xiàn)了對(duì)計(jì)算機(jī)的保護(hù)功能。時(shí)光飛梭，隨著計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展，各種攻擊入侵手段也相繼出現(xiàn)了，為了保護(hù)計(jì)算機(jī)的安全，人們開發(fā)出一種能阻止計(jì)算機(jī)之間直接通信的技術(shù)，并沿用了古代類似這個(gè)功能的名字——“防火墻”技術(shù)來源于此。但是，并不是所有用戶都對(duì)“防火墻”有所了解的，一部分用戶甚至認(rèn)為，“防火墻”是一種軟件的名稱。防火墻是網(wǎng)絡(luò)安全政策的有機(jī)組成部分，它通過控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)施對(duì)網(wǎng)絡(luò)安全的有效管理。關(guān)鍵詞：防火墻網(wǎng)絡(luò)安全包過濾狀態(tài)監(jiān)視應(yīng)用代理河北大學(xué)人民武裝學(xué)院河北大學(xué)人民武裝學(xué)院目 錄引言..............................................................................................5一、防火墻的概念..............................................................................6二、防火墻的分類..............................................................................7三、防火墻技術(shù)................................................................................10四、技術(shù)展望....................................................................................13 結(jié)論...............................................................................................14 謝辭............................................................................................15 參考文獻(xiàn)............................................................................................16河北大學(xué)人民武裝學(xué)院引言隨著科學(xué)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和完善，在當(dāng)今信息化的社會(huì)中，我們生活和工作中的許多數(shù)據(jù)、資源與信息都通過計(jì)算機(jī)系統(tǒng)來存儲(chǔ)和處理，伴隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，這些信息都通過網(wǎng)絡(luò)來傳送、接收和處理，所以計(jì)算機(jī)網(wǎng)絡(luò)在社會(huì)生活中的作用越來越大。有些電子郵件網(wǎng)關(guān)使用更加安全的sendmail程序版本來接收電子郵件第四篇：防火墻論文河北大學(xué)人民武裝學(xué)院河北大學(xué)人民武裝學(xué)院2015屆畢業(yè)論文防火墻安全技術(shù)河北大學(xué)人民武裝學(xué)院中 隊(duì)：三十一中隊(duì)專 業(yè)：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)班級(jí)：四班姓 名：馬偉韜防火墻安全技術(shù)摘 要隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，上網(wǎng)的人數(shù)不斷地增大，網(wǎng)上的資源也不斷地增加，網(wǎng)絡(luò)的開放性、共享性、互連程度也隨著擴(kuò)大，所以網(wǎng)絡(luò)的安全問題也是現(xiàn)在注重考慮的問題。網(wǎng)關(guān)會(huì)接受外部用戶的郵件，然后按需把郵件轉(zhuǎn)發(fā)到其他內(nèi)部系統(tǒng)。電子郵件應(yīng)用網(wǎng)關(guān)可集中收集電子郵件，并把它分發(fā)給內(nèi)部主系統(tǒng)和用戶。例如，一個(gè)已同內(nèi)部系統(tǒng)(如匿名Ftp服務(wù)器)建立Ftp對(duì)話(通過Ftp應(yīng)用網(wǎng)關(guān))的外部用戶，可能試圖把文件上裝到服務(wù)器。除了Telnet 外，應(yīng)用網(wǎng)關(guān)一般用于Ftp 和電子郵件，同時(shí)也用于XWindows和其他某些服務(wù)。防火墻起著通向目的系統(tǒng)通道的作用，從而攔截連接，再按需完成其他步驟，如查詢一次性口令。Telnet應(yīng)用網(wǎng)關(guān)不一定需要經(jīng)過修改的Telnet客戶機(jī)，但是，它需要修改用戶行為：用戶必須連接到防火墻(但不記錄)，而不是直接連接到主系統(tǒng)。應(yīng)用網(wǎng)關(guān)的一個(gè)缺點(diǎn)是，就Telnet 等客戶機(jī)服務(wù)器協(xié)議來說，需要采取兩個(gè)步驟來連接輸入信息或輸出信息。另外，由于Internet很難直接與受保護(hù)網(wǎng)進(jìn)行通信，因此，防火墻管理員不需指出受保護(hù)網(wǎng)到Internet之間的路由。不同的是，在雙穴主機(jī)網(wǎng)關(guān)中只需配置橋頭堡主機(jī)的尋徑功能，而在屏蔽子網(wǎng)網(wǎng)關(guān)中則需配置三個(gè)網(wǎng)絡(luò)（受保護(hù)網(wǎng)、屏蔽子網(wǎng)和Internet）之間的尋徑功能，即先要闖入橋頭堡主機(jī)，再進(jìn)入受保護(hù)網(wǎng)中的某臺(tái)主機(jī)，然后返回包屏蔽路由器，分別進(jìn)行配置。從理論上來說，這也是一種雙穴網(wǎng)關(guān)的方法，只是將其應(yīng)用到了網(wǎng)絡(luò)上。其中，一個(gè)小型的獨(dú)立網(wǎng)絡(luò)放在受保護(hù)網(wǎng)與Internet之間，對(duì)這個(gè)網(wǎng)絡(luò)的訪問受到路由器中屏蔽規(guī)則的保護(hù)。當(dāng)路由器允許通過的服務(wù)數(shù)量逐漸增多時(shí)，驗(yàn)證防火墻的正確性就會(huì)變得越來越困難。但它不像雙穴網(wǎng)關(guān)，只需注意橋頭堡主機(jī)的安全性即可，它必須考慮兩方面的安全性，即橋頭堡主機(jī)和路由器。與雙穴網(wǎng)關(guān)類似，橋頭堡主機(jī)運(yùn)行防火墻軟件。* 屏蔽主機(jī)網(wǎng)關(guān)該原型的結(jié)構(gòu)如下圖所示。雙穴主機(jī)網(wǎng)關(guān)最致命的弱點(diǎn)是:一旦防火墻被破壞，橋頭堡主機(jī)實(shí)際上就變成了一臺(tái)沒有尋徑功能的路由器，一個(gè)有經(jīng)驗(yàn)的攻擊者就能使它尋徑，從而使受保護(hù)網(wǎng)完全開放并受到攻擊。同時(shí)，橋頭堡主機(jī)不轉(zhuǎn)發(fā)TCP/IP包，網(wǎng)絡(luò)中的所有服務(wù)都必須由此主機(jī)的相應(yīng)代理程序支持。其中，橋頭堡主機(jī)充當(dāng)網(wǎng)關(guān)，因此，需要在此主機(jī)中裝兩塊網(wǎng)卡，并在其上運(yùn)行防火墻軟件。因此，保護(hù)該主機(jī)的安全性是至關(guān)重要的，建立防火墻時(shí)，應(yīng)將較多的注意力放在該主機(jī)上。* 雙穴主機(jī)網(wǎng)關(guān)（DualHomed Gateway）* 屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway)* 屏蔽子網(wǎng)網(wǎng)關(guān)（Screened Subnet Gateway）這三種原型有一個(gè)共同的特點(diǎn)，就是都需要一臺(tái)主機(jī)（如上面所述一樣）,通常稱為橋頭堡主機(jī)(Bastion Host)。如果人們要保證用戶不能寫到匿名FTP服務(wù)器軟件，則這一點(diǎn)是很有用的。使用代理服務(wù)的另一好處是可以過濾協(xié)議。對(duì)有些網(wǎng)點(diǎn)來說，這種程度的安全性是很重要的，因?yàn)樗ＷC，只有那些被認(rèn)為“可信賴的”服務(wù)才被允許通過防火墻。第一，代理服務(wù)軟件只允許有代理的服務(wù)通過。路由器允許Telnet和Ftp包只通過一個(gè)主系統(tǒng)，即Telnet/Ftp應(yīng)用網(wǎng)關(guān)，然后再連接到目的主系統(tǒng)，過程如下：，并輸入內(nèi)部主系統(tǒng)的名字；，并根據(jù)任何合適的訪問準(zhǔn)則接受或拒絕；（可使用一次性口令裝置）；；，代理服務(wù)軟件在兩個(gè)連接之間傳送數(shù)據(jù)；。應(yīng)用網(wǎng)關(guān)和包過濾路由器可以組合在一起使用，以獲得高于單獨(dú)使用的安全性和靈活性。 應(yīng)用網(wǎng)關(guān)為了克服與包過濾路由器相關(guān)聯(lián)的某些弱點(diǎn),防火墻需要使用應(yīng)用軟件來轉(zhuǎn)發(fā)和過濾Telnet和Ftp等服務(wù)的連接。如果過濾可執(zhí)行，Router還必須對(duì)每個(gè)包執(zhí)行所有過濾規(guī)則。一般來說，一個(gè)路由器和信息包吞吐量隨過濾器數(shù)量的增加而減少。存在幾種自動(dòng)測(cè)試軟件，被配置到Router上后即可校驗(yàn)過濾規(guī)則。對(duì)于下面的表五中的規(guī)則1,在目標(biāo)主機(jī)端口號(hào)欄中填入25,其它欄中都填入星號(hào),:(,主機(jī)號(hào)字段為0表示網(wǎng)絡(luò)上任意一臺(tái)主機(jī)).基于以上的討論,五SMTP的包過濾規(guī)則規(guī)則 動(dòng)作源主機(jī)源端目標(biāo)主機(jī)遠(yuǎn)地TCP標(biāo)識(shí)說明序號(hào)口號(hào)端口號(hào)/IP選項(xiàng) Allow **Allow packetfrom Network Allow* *TCP ACK Allow returnacknowledgement對(duì)于表五中的規(guī)則2,在源端口號(hào)欄中填入25,在TCP標(biāo)志和IP選項(xiàng)欄中填入TCP ACK,其它欄中都填入星號(hào),:允許所有從任何外部網(wǎng)絡(luò)主機(jī)上源端口號(hào)25發(fā)起的到任意本地主機(jī)()任意端口號(hào)的TCP :(數(shù)據(jù)層和網(wǎng)絡(luò)層).,這個(gè)策略運(yùn)行得很好,因?yàn)門CP維護(hù)連接兩側(cè)的狀態(tài)信息,一些上層應(yīng)用服務(wù),例如TELNET ,SMTP 和FTP等,只能接受遵循應(yīng)用層協(xié)議規(guī)則的包,可考慮和應(yīng)用層網(wǎng)關(guān)一起使用(下節(jié)將會(huì)討論).羅羅嗦嗦說了一大通,可以綜述為下面兩點(diǎn):包過濾路由器的優(yōu)點(diǎn):絕大多數(shù)Internet ,執(zhí)行PACKET FILTER ,包過濾路由器對(duì)終端用戶和應(yīng)用程序是透明的,:定義包過濾器可能是一項(xiàng)復(fù)雜的工作,因?yàn)榫W(wǎng)管員需要詳細(xì)地了解Internet 各種服務(wù)、包頭格式和他們?cè)谙Ｍ總€(gè)域查找的特定的值。TCP ACK標(biāo)志也被用來確認(rèn)TCP建立連接請(qǐng)求，ACK包將在所有TCP連接上發(fā)送。當(dāng)一個(gè)TCP包在某一個(gè)方向上傳遞時(shí)，它必須被接收方確認(rèn)。一個(gè)TCP連接是一個(gè)全雙工連接，信息雙向流動(dòng)。如果遠(yuǎn)地主機(jī)不是用端口25執(zhí)行SMTP，則SMTP的發(fā)送進(jìn)程將不能發(fā)送電子郵件。這條規(guī)則的一個(gè)更好的描述方案是允許本地主機(jī)發(fā)起呼叫，同遠(yuǎn)地主機(jī)的端口25進(jìn)行通信。在表四中對(duì)規(guī)則的描述有一個(gè)嚴(yán)重的問題，它允許任意外部主機(jī)從端口25發(fā)起一個(gè)呼叫。這個(gè)規(guī)則的意義可以理解為：允許從任意遠(yuǎn)地主機(jī)的任意端口發(fā)起的到本地主機(jī)MailGW的25號(hào)端口連接(端口25是為SMTP保留的)規(guī)則是按照它們?cè)诒碇械捻樞騺韴?zhí)行的。這條規(guī)則的意義可以理解為：阻塞所有從遠(yuǎn)地主機(jī)HPVC發(fā)起的從它的任意端口到我們本地任意主機(jī)的任意端口的連接。星號(hào)(*)表示可以匹配該列的任何值。規(guī)則2：允許連接到我們的EMail網(wǎng)關(guān)。本例中，關(guān)于使用SMTP的網(wǎng)絡(luò)安全策略必須轉(zhuǎn)移為包過濾規(guī)則。表三Packet源 地 址目 的 地 址希望的動(dòng)作AC 動(dòng)作denydeny(C)permitpermit(A)permitpermit(A)denydeny(C)* 例 二如圖一所示的網(wǎng)絡(luò)，由包過濾的Router作為在內(nèi)部被保護(hù)的網(wǎng)絡(luò)與外部不安全的網(wǎng)絡(luò)之間的第一道防線。如果將這條規(guī)則去掉，那么順序ABC和BAC都將歸結(jié)為AC順序。實(shí)際上，在上面的規(guī)則外集中存在著一個(gè)小錯(cuò)誤，正是由于這個(gè)錯(cuò)誤，導(dǎo)致了以ABC的順序和以BAC的順序來應(yīng)用規(guī)則而出現(xiàn)了不同的結(jié)果?，F(xiàn)在，我們按照規(guī)則ABC的順序來進(jìn)行過濾和按照BAC的順序來進(jìn)行過濾后采取的動(dòng)作的結(jié)果如表二所示(注意：兩種動(dòng)作的結(jié)果有不同)表二 Packet 源 地 址目 的 地 址希望的動(dòng)作 執(zhí)行ABC后 執(zhí)行BAC后denydeny(B)deny(B)* 2permitpermit(A)deny(B)3permitpermit(A)permit(A)4denydeny(C)deny(c)從表二可以看出，以ABC的順序來應(yīng)用規(guī)則的Router能達(dá)到預(yù)想的結(jié)果： (如包1)都被拒絕(根據(jù)規(guī)則B)，(如包2)將被轉(zhuǎn)發(fā)(根據(jù)規(guī)則A)，(如包3)也將被轉(zhuǎn)發(fā)(根據(jù)規(guī)則A)，從大學(xué)中的其它子網(wǎng)到公司中的其它字網(wǎng)的包(如包4)都被拒絕(根據(jù)規(guī)則C)。表 一規(guī) 則源地 址目 的 地 址動(dòng)作ApermitBdenyCdeny，規(guī)則C是缺省規(guī)則，若沒有其它的規(guī)則可滿足，則應(yīng)用此規(guī)則。但是， 子網(wǎng)中存在著不安全因素，因此， 子網(wǎng)之外，不能訪問公司網(wǎng)中的其它子網(wǎng)。以下是兩個(gè)例子: * 例 一某公司有一個(gè)B類地址 ,它不希望Internet上的其他站點(diǎn)對(duì)它進(jìn)行訪問。每當(dāng)收到一個(gè)包時(shí)，則按照從前至后的順序與表格中每行的條件比較，直到滿足某一行的條件，然后執(zhí)行相應(yīng)的動(dòng)作(轉(zhuǎn)發(fā)或舍棄)。從以上可看出定義一個(gè)完善的安全過濾規(guī)則是非常重要的。.殘片攻擊入侵者利用Ip殘片特性生成一個(gè)極小的片斷并將TCP報(bào)頭信息肢解成一個(gè)分離的信息包片斷。.源路由攻擊源站指定了一個(gè)信息包穿越Internet時(shí)應(yīng)采取的路徑，這類攻擊企圖繞過安全措施，并使信息包沿一條意外(疏漏)的路徑到達(dá)目的地。這類攻擊有以下幾種:.源IP地址欺騙攻擊入侵者從偽裝成源自一臺(tái)內(nèi)部主機(jī)的一個(gè)外部地點(diǎn)傳送一些信息包；這些信息包似乎像包含了一個(gè)內(nèi)部系統(tǒng)的源IP地址。典型的過濾規(guī)則有以下幾種：.允許特定名單內(nèi)的內(nèi)部主機(jī)進(jìn)行Telnet輸入對(duì)話.只允許特定名單內(nèi)的內(nèi)部主機(jī)進(jìn)行FTP輸入對(duì)話.只允許所有Telnet 輸出對(duì)話.只允許所有FTP 輸出對(duì)話.拒絕來自一些特定外部網(wǎng)絡(luò)的所有輸入信息* 獨(dú)立于服務(wù)的過濾有些類型的攻擊很難用基本包頭信息加以鑒別，因?yàn)檫@些獨(dú)立于服務(wù)。例如，Telnet Service 為TCP port 23端口等待遠(yuǎn)程連接，而SMTP Service為TCP Port 25端口等待輸入連接。如果無匹配規(guī)則，一個(gè)用戶配置的缺省參數(shù)將決定此包是前行還是被舍棄。如果找到一個(gè)匹配，且規(guī)則允許這包，這一包則根據(jù)路由表中的信息前行。(注：只檢查包頭的內(nèi)容，不理會(huì)包內(nèi)的正文信息內(nèi)容)過濾規(guī)則以用于IP順行處理的包頭信息為基礎(chǔ)。然而一個(gè)包過濾規(guī)則是否完全嚴(yán)密及必要是很難判定的，因而在安全要求較高的場合，通常還配合使用其它的技術(shù)來加強(qiáng)安全性。十、參考文獻(xiàn)[1] 作者：彭濤.《計(jì)算機(jī)網(wǎng)絡(luò)教程 》 機(jī)械工業(yè)出版社 [2] 作者： 《網(wǎng)絡(luò)安全技術(shù)白皮書》 艾邦公司資料[3] 作者：楚狂 等 《網(wǎng)絡(luò)安全與Firewall技術(shù)》 人民郵電出版社 [4] 作者：聶元銘 丘平《網(wǎng)絡(luò)信息安全技術(shù)》 科學(xué)出版社第三篇：防火墻基礎(chǔ)知識(shí)防火墻基礎(chǔ)知識(shí) 包過濾包過濾技術(shù)(Ip Filtering or packet filtering)的原理在于監(jiān)視并過濾網(wǎng)絡(luò)上流入流出的Ip包，拒絕發(fā)送可疑的包。事實(shí)上60%以上的網(wǎng)絡(luò)安全問題來自網(wǎng)絡(luò)內(nèi)部。如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)安全。這種情況使得近幾年的攻擊頻率和密度顯著增長，給網(wǎng)絡(luò)安全帶來越來越多的安全隱患九、結(jié)束語隨著Internet/Intranet技術(shù)的