【正文】 分 防火墻技術雖然出現(xiàn)了許多，但總體來講可分為“包過濾型”和“應用代理型”兩大類。在整個防火墻技術的 發(fā)展 過程中，包過濾技術出現(xiàn)了兩種不同版本，稱為“第一代靜態(tài)包過濾”和“第二代動態(tài)包過濾”。但其弱點也是明顯的：過濾判別的依據(jù)只是網絡層 和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會受到很大地影響；由于缺少上下文關聯(lián)信息，不能有效地過濾如 UDP、 RPC（遠程過程調用）一類的協(xié)議；另外，大多數(shù)過濾器中缺少審計和報警機制，它只能依據(jù)包頭信息，而不能對用戶身份進行驗證，很容易受到“地址欺騙型”攻擊。因此，過濾器通常是和應用網關配合使用，共同組成防火墻系統(tǒng)。其特點是完全“阻隔”了網通信與信息系統(tǒng)管理專業(yè)高等教育自學考試畢業(yè)論文 6 絡通信流，通過對每種應用服務編制專門的代理程序，實現(xiàn)監(jiān)視和控制應用層通信流的作用。 代理類型防火墻的最突出的優(yōu)點就是安全。轉貼于代理防火墻的最大缺點是速度相對比較慢，當用戶對內 外部網絡網關的吞吐量要求比較高時，代理防火墻就會成為內外部網絡之間的瓶頸。 （ 3）網絡地址轉化 — NAT 網絡地址轉換是一種用于把 IP 地址轉換成臨時的、外部的、注冊的 IP 地址標準。它還意味著用戶不需要為其網絡中每一臺機器取得注冊的 IP 地址。系統(tǒng)將外出的源 地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接，這樣對外就隱藏了真實的內部網絡地址。 OLM防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當不符合規(guī)則時，防火墻認為該訪問 是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。 （ 4） 監(jiān)測型 監(jiān)測型防火墻是新一代產品，這一技術實際已經超越了最初的防火墻定義。同時，這種監(jiān)測型防火墻產品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網絡的節(jié)點之中，不僅能夠檢測來自網絡外部的攻擊，同時對來自內部的惡意破壞也有極 強的防范作用。因此，監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義，而且在安全性上也超越了前兩代產品，雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻，但由于監(jiān)測型防火墻技術的實現(xiàn)成本較高，也不易管理，所以目前在實用中的防火墻產品仍然以第二代代理型產品為主，但在某些方面也已經開始使用監(jiān)測型防火墻。這樣既能夠保證網絡系統(tǒng)的安全性需求，同時也能有效地控制安全系統(tǒng)的 總擁有成本。 按防火墻的應用部署位置分，可以分為邊界防火墻、個人防火墻和混合 防火墻三大類。 三、防火墻的應用現(xiàn)狀 （一） 防火墻現(xiàn)狀概說 附圖是一個防火墻典型應用的示意圖。 日志記錄 。此外為了保證可靠性，支持雙機或多機熱備份；為了滿足日益增多的語音、視頻等需求，對 QoS特性的支持和對 、 SIP 等多種應用協(xié)議的支持也必不可少。 支持內容過濾 (如 URL過濾 )、防病毒和 IDS等功能。 但是，目前防火墻應用中的問題也不少。因為在這些功能支持的情況下，過濾會涉及到應用層包分析，對 CPU的消耗很大。 （二） 包過濾防火墻和代理 防火墻的發(fā)展，經歷了從早期的簡單包過濾，到今天廣泛應用的狀態(tài)包過濾技術和應用代理。應用代理雖然安全性更好，但它需要針對每一種協(xié)議開發(fā)特定的代理協(xié)議，對應用的支持不夠好。 此外，有的防火墻支持 SOCK 代理，這種代理屏 蔽了協(xié)議本身，只要客戶端支持SOCK 代理，該應用在防火墻上就可以穿越。但對于防火墻而言，不參與協(xié)議解碼，也意味著防火墻對該協(xié)議失去了監(jiān)測能力。對于部分協(xié)議，如 FTP、 等協(xié)議，是有狀態(tài)的協(xié)議，防火墻 必須對這些協(xié)議進行分析，以便知道什么時候，從哪個方向允許特定的連接進入和關閉。 （四） 高保障防火墻 防火墻因為軟件復雜，實現(xiàn)的功能較多，必須有操作系統(tǒng)支持，操作系統(tǒng)的安全是防火墻安全的基石。入關具有入關證，出關具有出關證。不久前，安勝防火墻應運而生，通過了國家權威機構的測評認證，是我國第一個研制成功的高保障防火墻，目前已經在我國 31 個省市廣泛應用。 （一） 高速 從國內外歷次測試的結果都可以看出，目前防火墻一個很大的局限性是速度不夠，真正達到線速的防火墻少之又少。 應用 ASIC、 FPGA 和網絡處理器是實現(xiàn)高速防火墻的主要方法，但尤以采用網絡處理器最優(yōu)，因為網絡處理器采用微碼編程，可以根據(jù)需要隨時升級，甚至可以支持IPv6，而采用其他方法就不那么靈活。對于采用純 CPU的防火墻，就必須有算法支撐，例如 ACL算法。 上面提到，為什么防火墻不適宜于集成內容過濾、防病毒 和 IDS 功能 (傳輸層以下的 IDS除外，這些檢測對 CPU消耗小 )呢？說到底還是因為受現(xiàn)有技術的限制。因此，對于 IDS，目前最常用的方式還是把網絡上的流量鏡像到 IDS設備中處理，這樣可以避免流量較大時造成網絡堵塞。 這里還要提到日志問題，根據(jù)國家有關標準和要求，防火墻日志要求記錄的內容相當多。目前，業(yè)界應用較多的是 SYSLOG 日志，采用的是文本方式，每一個字符都需要一個字節(jié)，存儲量很大，對防火墻的帶寬也是一個很大的消耗?？梢哉f，支持二進制格式和日志數(shù)據(jù)庫，是未來防火墻日志和日志服務器軟件的一個基本要求。例如，防火墻支持廣域網口，并不影 響安全性，但在某些情況下卻可以為用戶節(jié)省一臺路由器 。據(jù)IDC統(tǒng)計，國外 90%的加密 VPN都是通過防火墻實現(xiàn)的。隨著算法和芯片技術的發(fā)展，防火墻會更多地參與應用層分析，為應用提供更安全的保障。未 來防火墻的操作系統(tǒng)會更安全。 結束語 近年來，計算機網絡獲得了飛速的發(fā)展。從 Inter 的誕生之日起，就不可避免的面臨著網絡信息安全的問題。越來越多的網站因為安全性問題而癱瘓，公司的機密信息不斷被竊取，政府機構和組織不斷遭受著安全問題的威脅等等。在這場網絡安全的攻擊和反攻擊的信息戰(zhàn)中，永遠沒有終點。 在本次學習中，因為時間緊，加之本身對這方面的知識的掌握有限，論文必定有考慮不周的地方，懇請老師批評指正。 ll wait in the line for one hour to get a ticket, and another two hours at the site, to only see a tiny bit of the place due to the crowds. Last year, 428 million tourists traveled in China over the weeklong holiday in October. Traveling during this period is a matter that needs thorough preparation. If you are short on time to plan the uping Golden Week it may not be a bad idea to avoid some of the most crowded places for now. There is always a place so fascinating that everyone yearns for. Arxan is a place like this. The beauty of Arxan is everlasting regardless of the changing of four seasons. Bestowed by nature, its spectacular seasonal landscape and mountains are just beyond word. Arxan is a crucial destination for the remended travelling route, China Inner Mongolia Arxan — Hailar — Manzhouli. It is also the joint of the four prairies across the SinoMongolian border