【正文】 了非允許不可的都被禁止，第二種是除了非禁止不可都被允許。 防火墻的實(shí)質(zhì)防火墻包含著一對(duì)矛盾( 或 稱 機(jī) 制)：一方面它限制數(shù)據(jù)流通，另一方面它又允許數(shù)據(jù)流通。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。配備這些傳統(tǒng)的網(wǎng)絡(luò)防護(hù)設(shè)備，實(shí)現(xiàn)面向網(wǎng)絡(luò)層的訪問控制，是企業(yè)安全上網(wǎng)的前提。該局域網(wǎng)內(nèi)所有的計(jì)算機(jī)流入流出多的所有網(wǎng)絡(luò)通信均要經(jīng)過防火墻。其他安全技術(shù)包括密鑰管理、數(shù)字簽名、認(rèn)證技術(shù)、智能卡技術(shù)和訪問控制等。數(shù)據(jù)加密是對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密，到達(dá)目的地后再解密還原為原始數(shù)據(jù)，目的是防止非法用戶截獲后盜用倍息。(5)其他措施其他措施包括容錯(cuò)、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計(jì)等。(4)防止計(jì)算機(jī)網(wǎng)絡(luò)病毒病毒對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的危害越來越嚴(yán)重，必須引起高度重視。(3)數(shù)據(jù)加密加密是保護(hù)數(shù)據(jù)安全的重要手段。(2)訪問控制對(duì)用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。一般情況下，采取以下需要措施。每個(gè)網(wǎng)絡(luò)都必須建立起自己的網(wǎng)絡(luò)安全體系結(jié)構(gòu)(NSA，Network Security Architecture)，包括完善的網(wǎng)絡(luò)信息訪問控制策略、機(jī)密數(shù)據(jù)通信安全與保護(hù)策略、災(zāi)難恢復(fù)規(guī)劃、對(duì)犯罪攻擊的預(yù)防檢測(cè)等。因此網(wǎng)絡(luò)的安全變得尤為重要，防火墻的出現(xiàn)使得這一局面開始變得更加穩(wěn)定，各種各樣的攻擊開始被防火墻阻止在外，以保證網(wǎng)絡(luò)的安全性。它包括要防范那些聰明的，通常也是狡猾的、專業(yè)的，并且在時(shí)間和金錢上是很充足、富有的人。 大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的。此時(shí)，它關(guān)心的對(duì)象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問題。本課題主要研究的是針對(duì)不同企業(yè)的的安全需求，制定不同的網(wǎng)絡(luò)安全解決方案，以保障網(wǎng)絡(luò)的安全性。目錄摘要 3Abstract 41緒論 4 5 52防火墻的概念 6 什么是防火墻？ 6 防火墻的實(shí)質(zhì) 6 防火墻的功能 6： 6： 6： 7： 7 7 7 應(yīng)用級(jí)網(wǎng)關(guān)型防火墻 8 代理服務(wù)型防火墻 8 復(fù)合型防火墻 83防火墻在企業(yè)網(wǎng)中的應(yīng)用 9 9 9 9 9 9 9 9 9 9：防火墻的基本功能 10：企業(yè)的特殊要求 10：與用戶網(wǎng)絡(luò)結(jié)合 114企業(yè)網(wǎng)網(wǎng)絡(luò)安全總體設(shè)計(jì) 12 12 13 13 15 15 16 16 16 16 17 17 18 19 1鑒別、數(shù)字簽名、抗抵賴 195如何建立企業(yè)網(wǎng)安全體系 19 提升邊界防御 20 上網(wǎng)終端管理 20 Web訪問控制管理 20 帶寬資源管理 20 信息收發(fā)控制管理 20 互聯(lián)網(wǎng)活動(dòng)信息審計(jì)管理 21 應(yīng)用權(quán)限設(shè)置 216網(wǎng)絡(luò)安全的現(xiàn)狀與展望 21 21 防火墻技術(shù)發(fā)展趨勢(shì) 22 入侵檢測(cè)技術(shù)發(fā)展趨勢(shì) 22 防病毒技術(shù)發(fā)展趨勢(shì) 23結(jié)論 23致謝 24參考文獻(xiàn) 25防火墻技術(shù)在企業(yè)網(wǎng)中的網(wǎng)絡(luò)安全摘要安全是一個(gè)不容忽視的問題，當(dāng)人們?cè)谙硎芫W(wǎng)絡(luò)帶來的方便與快捷的同時(shí)，也要時(shí)時(shí)面對(duì)網(wǎng)絡(luò)開放帶來的數(shù)據(jù)安全方面的新挑戰(zhàn)和新危險(xiǎn)。為了保障網(wǎng)絡(luò)安全，當(dāng)局域網(wǎng)與外部網(wǎng)連接時(shí)，可以在中間加入一個(gè)或多個(gè)中介系統(tǒng)，防止非法入侵者通過網(wǎng)絡(luò)進(jìn)行攻擊，非法訪問，并提供數(shù)據(jù)可靠性、完整性以及保密性等方面的安全和審查控制，這些中間系統(tǒng)就是防火墻(Firewall)技術(shù)。關(guān)鍵詞：防火墻 網(wǎng)絡(luò)安全 企業(yè)Abstract
Security is a problem can not be ignored, when people enjoy the convenience and fast networks to the same time, we must always face the network data security and opening of new challenges and new dangers. In order to protect network security, LAN and external network when connected, you can join in the middle of one or more intermediate systems, to prevent the illegal intruder attacks through the network, unauthorized access, and to provide data reliability, integrity and confidentiality, etc. safety and review of control, these intermediate systems is a firewall (Firewall) technology. Keywords: Firewall Network security Enterprise1緒論隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題?？梢钥闯霰ＷC網(wǎng)絡(luò)安全不僅僅是使它沒有編程錯(cuò)誤。同時(shí)，必須清楚地認(rèn)識(shí)到，能夠制止偶然實(shí)施破壞行為的敵人的方法對(duì)那些慣于作案的老手來說，收效甚微。但是隨著網(wǎng)絡(luò)攻擊的日益復(fù)雜，防火墻的防攻擊手段越來越多，因此對(duì)于防火本身的處理復(fù)雜數(shù)據(jù)的能力出現(xiàn)了隱患。一個(gè)安全系統(tǒng)的建設(shè)涉及的因素很多，是一個(gè)龐大的系統(tǒng)工程。(1)物理措施例如，保護(hù)網(wǎng)絡(luò)關(guān)鍵設(shè)備(如交換機(jī)、大型計(jì)算機(jī)等)，制定嚴(yán)格的網(wǎng)絡(luò)安全規(guī)章制度，采取防輻射、防火等措施。例如，進(jìn)行用戶身份認(rèn)證，對(duì)口令加密、更新和鑒別，設(shè)置用戶訪問目錄和文件的權(quán)限，控制網(wǎng)絡(luò)設(shè)備配置的權(quán)限，等等。加密的作用是保障信息被人截獲后不能讀懂其含義。1988年11月3日，美國(guó)康乃爾大學(xué)一年級(jí)研究生羅特?莫里斯編制的稱為“蠕蟲”的計(jì)算機(jī)病毒通過Internet網(wǎng)大面積傳播，致使6000多臺(tái)主機(jī)被感染，直接經(jīng)濟(jì)損失超過6000萬美元。近年來，圍繞網(wǎng)絡(luò)安全問題提出了許多解決辦法，例如數(shù)據(jù)加密技術(shù)和防火墻技術(shù)等。防火墻技術(shù)是通過對(duì)網(wǎng)絡(luò)的隔離和限制訪問等方法來控制網(wǎng)絡(luò)的訪問權(quán)限，從而保護(hù)網(wǎng)絡(luò)資源。所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。防火墻、IDS、IPS，是解決網(wǎng)絡(luò)安全問題的基礎(chǔ)設(shè)備，他們所具備的過濾、安全功能能夠抵抗大多數(shù)來自外網(wǎng)的攻擊。2防火墻的概念 什么是防火墻？防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。 防火墻可通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。由于網(wǎng)絡(luò)的管理機(jī)制及安全策略(security policy)不同，因此這對(duì)矛盾呈現(xiàn)出不同的表現(xiàn)形式。第一種的特點(diǎn)是安全但不好用，第二種是好用但不安全，而多數(shù)防火墻都在兩者之間采取折衷。在確保防火墻安全或比較安全前提下提高訪問效率是當(dāng)前防火墻技術(shù)研究和實(shí)現(xiàn)的熱點(diǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。 ： 通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。例如在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。 ： 通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)的重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。但是Finger顯示的信息非常容易被攻擊者所獲悉。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類型，但總體來講可分為包過濾、應(yīng)用級(jí)網(wǎng)關(guān)和代理服務(wù)器等幾大類型。通過檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備，因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。 分組過濾或包過濾，是一種通用、廉價(jià)、有效的安全手段。 所根據(jù)的信息來源于IP、TCP或UDP包頭。但其弱點(diǎn)也是明顯的：據(jù)以過濾判別的只有網(wǎng)絡(luò)層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會(huì)受到很大地影響；由于缺少上下文關(guān)聯(lián)信息，不能有效地過濾如UDP、RPC一類的協(xié)議；另外，大多數(shù)過濾器中缺少審計(jì)和報(bào)警機(jī)制，且管理方式和用戶界面較差；對(duì)安全管理人員素質(zhì)要求高，建立安全規(guī)則時(shí)，必須對(duì)協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。 應(yīng)用級(jí)網(wǎng)關(guān)型防火墻 應(yīng)用級(jí)網(wǎng)關(guān)(Application Level