【正文】 蟲王 ”為代表。防火墻設(shè)備可檢測試圖穿 透防火墻系統(tǒng)的木馬控制端和客戶端程序 。 虛擬專網(wǎng)功能 指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的 “加密通道 ”在公共網(wǎng)絡(luò)中傳播。 其他功能 地址 /MAC地址綁定。 。一般防火墻設(shè)備可以提供三種日志審計功能 :系統(tǒng)管理日志、流量日志和入侵日志。內(nèi)置特殊站點數(shù)據(jù)庫，用戶可選擇是否封禁色情、反動和暴力等特殊站點。 包過濾防火墻 顧名思義，包過濾防火墻 [9]就是把接收到的每個數(shù)據(jù)包同預(yù)先設(shè)定的包過濾規(guī)則相比較，從而決定是否阻塞或通過。包過濾防火墻工作在網(wǎng)絡(luò)層， IP 包的包頭中包含源、目的 IP 地址，封裝協(xié)議類型 (TCP， UDP， ICMP 或 IP Tunnel)， TCP/UDP 端口號， ICMP消息類型， TCP 包頭中的 ACK等等。如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包 。包過濾防火墻是速度最快的防火墻，這是因為它處于網(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實現(xiàn)，對用戶來說都是透明的。例如， HTTP。如果公司的安全策略允許內(nèi)部員工訪問網(wǎng)站，包過濾防火墻可能設(shè)置允所有 80端口的連接通過，這時，意識到這一漏洞的外部人員可以在沒有被認(rèn)證的情況下進(jìn)入私有網(wǎng)絡(luò)。同時，包過濾防火墻一般無法提供完善的日志。代理技術(shù)與包過濾技術(shù) 完全不同，包過濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實現(xiàn)防火墻功能。這一內(nèi)建代理 13 大學(xué)畢業(yè)論文 機制提供額外的安全，這是因為它將內(nèi)部和外部網(wǎng)絡(luò)隔離開來，使網(wǎng)絡(luò)外部的黑客在防火墻內(nèi)部網(wǎng)絡(luò)上進(jìn)行探測變得困難，更重要的是能夠讓網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)服務(wù)進(jìn)行全面的控制。比如訪問 WEB站點的 HTTP，用于文件傳輸?shù)?FTP，用于 E一 MAIL的 SMTP/POP3等等。同時升級一種應(yīng)用時，相應(yīng)的代理程序也必須同時升級。它是針對數(shù)據(jù)包過濾 [10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，其特點是將所有跨越防火墻的網(wǎng)絡(luò) 通信鏈路分為兩段。此外，代理服務(wù)也對過往的數(shù)據(jù)包進(jìn)行分析、注冊登記，形成報告，同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報，并保留攻擊痕跡。同時 也常結(jié)合入過濾器的功能。 復(fù)合型防火墻 由于對更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。屏蔽主機防火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過濾路由器或防火墻與 Inter相連，同時一個堡壘機安裝在內(nèi)部網(wǎng)絡(luò)，通過在分組過濾器路由器或防火墻上過濾規(guī)則的設(shè)置，使堡壘機成為 Inter上其他節(jié)點所能到達(dá)的唯一節(jié)點，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機和分組過濾路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。同時由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng)絡(luò)安全問題越來越突出。就目前而言，對于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過濾和應(yīng)用代理兩類。 所謂包過濾，就是對流經(jīng)網(wǎng)絡(luò)防火墻的所有數(shù)據(jù)包逐個檢查，并依據(jù)所制定的安全策略來決定數(shù)據(jù)包是通過還是不通過。也正是由于此。 由于其主要是對數(shù)據(jù)包的過濾操作，所以數(shù)據(jù)包結(jié)構(gòu)是包過濾技術(shù)的基礎(chǔ)。其中每一層對接收到的數(shù)據(jù)都要增加一些首部信息。IP 傳給網(wǎng)絡(luò)接口層的數(shù)據(jù)單元稱作 IP 數(shù)據(jù)報 (IP Datagram)；通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀 (Frame)。 IP， TCP首部格式如表 21表 22所示。IP 數(shù)據(jù)報頭部信息主要是源 /目的主機的 IP 地址 。 理論上講，數(shù)據(jù)包所有頭部信息以及有效載荷都可以作為判斷包通過與否的依據(jù)，但是在實際情況中，包過濾技術(shù)上的問題主要是選取哪些字段信息，以及如何有效地利用這些字段信息并結(jié)合訪問控制列表來執(zhí)行包過濾操作，并盡可能提高安全控制力度。這種技術(shù)實現(xiàn)簡單，處理速度快，對應(yīng)用透明，但是它存在的問題也很多，主要表現(xiàn)有 : 。 。 。 綜合上述問題，傳統(tǒng)包過濾技術(shù)的缺陷在于 :(l)缺乏狀態(tài)檢測能力 。(3)只對當(dāng)前正在通過的單一數(shù)據(jù)包進(jìn)行檢測，而沒有考慮前后數(shù)據(jù)包之間的聯(lián)系 。 傳統(tǒng)包過濾技術(shù)必須發(fā)展進(jìn)化，在繼承其優(yōu)點的前提下，采用新的技術(shù)手段，克服其缺陷，并進(jìn)一步滿足新的安全應(yīng)用要求。即在包檢測中考慮前后數(shù)據(jù)包之間的關(guān)系，充分利用包頭信息中能體現(xiàn)此關(guān)系的字段，如 IP首部的標(biāo)識字段 和片 16 大學(xué)畢業(yè)論文 偏移字段、 TCP 首部的發(fā)送及確認(rèn)序號、滑動窗口的大小、狀態(tài)標(biāo)識等，動態(tài)執(zhí)行數(shù)據(jù)包過濾。深入檢測數(shù)據(jù)包有效載荷，識別并阻止病毒代碼和基于高層協(xié)議的攻擊，以此來提高應(yīng)用防御能力。實際上，在深度包檢測技術(shù)中己經(jīng)體現(xiàn)了兩種技術(shù)的融合趨勢。 與傳統(tǒng)包過濾技術(shù)只檢查單個、孤立的數(shù)據(jù)包不同，動態(tài)包過濾試圖將數(shù)據(jù)包的上下文聯(lián)系起來，建立一種基于狀態(tài)的包過濾機制。這樣，當(dāng)一個新的數(shù)據(jù)包到達(dá)，如果屬于已經(jīng)建立的連接，則檢查狀態(tài)表，參考數(shù)據(jù)流上下文決定當(dāng)前數(shù)據(jù)包通過與否 。 動態(tài)包過濾通過在內(nèi)存中動態(tài)地建立和維護(hù)一個狀態(tài)表，數(shù)據(jù)包到達(dá)時，對該數(shù)據(jù)包的處理方式將綜合靜態(tài) 安全規(guī)則和數(shù)據(jù)包所處的狀態(tài)進(jìn)行。而且，由于狀態(tài)表是動態(tài)的，因而可以有選擇地、動態(tài)地開通 1024號以上的端口，使安全性得到進(jìn)一步地提高。 深度包檢測 目前許多造成大規(guī)模損害的網(wǎng)絡(luò)攻擊，比如紅色代碼和尼姆達(dá)，都是利用了應(yīng)用 的弱點。防火墻必須深入檢查數(shù)據(jù)包的內(nèi)部來確認(rèn)出惡意行為并阻止它們。 應(yīng)用防御的技術(shù)問題主要包括 :(l)需要對有效載荷知道得更清楚 。 簡單的數(shù)據(jù)包內(nèi)容過濾對當(dāng)前正在通過的單一數(shù)據(jù)包的有效載荷進(jìn)行掃描檢測，但是對于應(yīng)用防御的要求而言，這是遠(yuǎn)遠(yuǎn)不夠的。應(yīng)用層的內(nèi)容過濾要求大量的計算資源，很多情況下高達(dá) 100倍甚至更高。為了突破內(nèi)容處理障礙，達(dá)到實時地分析網(wǎng)絡(luò)內(nèi)容和行為，需要重點在加速上采取有效的辦法。一個深度包檢測的流程框圖如圖。定向到 TCP/IP 堆棧的數(shù)據(jù)流，首先轉(zhuǎn)換成內(nèi)容數(shù)據(jù)流。命令解析器定制和分析每一個內(nèi)容協(xié)議，分析內(nèi)容數(shù)據(jù)流，檢測病毒和蠕蟲。如果數(shù)據(jù)是 Mail類型，則檢查郵件的附件。如果內(nèi)容過濾啟動，數(shù)據(jù)流將根據(jù)過濾的設(shè)置進(jìn)行匹配，通過或拒絕數(shù)據(jù)。 18 大學(xué)畢業(yè)論文 流過濾技術(shù) [17]的關(guān)鍵在于其架構(gòu)中的專用 TCP/IP 協(xié)議棧 :這個協(xié)議棧是一個標(biāo)準(zhǔn)的 TCP協(xié)議的實現(xiàn)，依據(jù) TCP 協(xié)議的定義對出入防火墻的數(shù)據(jù)包進(jìn)行了，完整的重組，重組后的數(shù)據(jù)流交給應(yīng)用層過濾邏輯進(jìn)行過濾，從而可以有效地識別并攔截應(yīng)用層的攻擊企圖。由于防火墻的應(yīng)用層策略 位于流的中間，因此可以在任何時候代替服務(wù)器或客戶端參與應(yīng)用層的會話，從而起到了與應(yīng)用代理防火墻相同的控制能力。 圖 流過濾示意圖 19 大學(xué)畢業(yè)論文 第四章 防火墻的配置 硬件連接與實施 一般來說硬件防火墻和路由交換設(shè)備一樣具備多個以太接口，速度根據(jù)檔次與價格不同而在百兆與千兆之間有所區(qū)別 。網(wǎng)絡(luò)拓?fù)鋱D中防火墻的位置很關(guān)鍵，一般介于內(nèi)網(wǎng)與外網(wǎng)互連中間區(qū)域，針對外網(wǎng)訪問數(shù)據(jù)進(jìn)行過濾和監(jiān)控。相應(yīng)的其他LAN接口連接內(nèi)網(wǎng)各個網(wǎng)絡(luò)設(shè)備。 與路由器交換機不同的是在防火墻配置中我們需要劃分多個不同權(quán)限不同優(yōu)先級別的區(qū)域，另外還需要針對相應(yīng)接口隸屬的區(qū)域進(jìn)行配置，例如 1接口劃分到 A區(qū)域， 2接口劃分到 B 區(qū)域等等，通過不同區(qū)域的訪問權(quán)限差別來實現(xiàn)防火墻保護(hù)功能。相應(yīng)的本地區(qū)域優(yōu)先級最高，其次是 trust信任區(qū)， DMZ堡壘主機區(qū)，最低的是 untrust非信任區(qū)域。 除此之外防火墻的其他相關(guān)配置與路由交換設(shè)備差不多，無外乎通過超級終端下的命令行參數(shù)進(jìn)行配置或者通過 WEB管理界面配置。 首先當(dāng)企業(yè)外網(wǎng)出口指定 IP 時配置防火墻參數(shù)。這里 假設(shè)電信提供的外網(wǎng) IP地址為 。 第二步：通過 firewall packet default permit設(shè)置默認(rèn)的防火墻策略為 “容許通過 ”。 22 大學(xué)畢業(yè)論文 第五章 防火墻發(fā)展趨勢 針對傳統(tǒng)防火墻不能解決的問題，及新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也出現(xiàn)了新的發(fā)展趨勢。 防火墻包過濾技術(shù)發(fā)展趨勢 (1)安全策略功能 一些防火墻廠商把在 AAA系統(tǒng)上運用的用戶認(rèn)證及其服務(wù)擴展到防火墻中，使其擁有可以支持基于用戶角色的 安全策略功能。具有用戶身份驗證的防火墻通常是采用應(yīng)用級網(wǎng)關(guān)技術(shù)的，包過濾技術(shù)的防火墻不具有。 (2)多級過濾技術(shù) 所謂多級過濾技術(shù)，是指防火墻采用多級過濾措施，并輔以鑒別手段。這是針對以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補以上各種單獨過濾技術(shù)的不足。 (3)功能擴展 功能擴展是指一種集成多種功能的設(shè)計趨勢，包括 VPN、 AAA、 PKI、 IPSec等附加功能，甚至防病毒、入侵檢測這樣的主流功能，都被集成到防火墻產(chǎn)品中了， 很多時候我們已經(jīng)無法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個功能為主了，即其已經(jīng)逐漸向我們普遍稱之為 IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。 防火墻的體系結(jié)構(gòu)發(fā)展趨勢 隨著網(wǎng)絡(luò)應(yīng)用的增加，對網(wǎng)絡(luò)帶寬提出了更高的要求。另外，在以后幾年里，多媒體應(yīng)用將會越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。從執(zhí)行速度的角度看來，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了 CPU 的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能