【正文】 目的 IP 地址 選項(xiàng) 23 表 22 TCP 首部格式 源端口號(hào) 目的端口號(hào) 序列號(hào) 確認(rèn)號(hào) 首部長(zhǎng) 保留 L R C T B L P B H R C T C J H H J R 窗口大小 TCP 校驗(yàn)和 緊急指針 選項(xiàng) 對(duì)于幀的頭部信息主要是源 /目的主機(jī)的 MAC 地址 。TCP 頭部的主要字段包括源 /目的端口、發(fā)送及確認(rèn)序號(hào)、狀態(tài)標(biāo)識(shí)等。 傳統(tǒng)包過(guò)濾技術(shù) 傳統(tǒng)包過(guò)濾技術(shù)，大多是在 IP 層實(shí)現(xiàn)，它只是簡(jiǎn)單的對(duì)當(dāng)前正在通過(guò)的單一數(shù)據(jù)包進(jìn)行檢測(cè)，查看源 /目的 IP 地址、端口號(hào)以及協(xié)議類型 (UDP/TCP)等，結(jié)合訪問(wèn)控制規(guī)則對(duì)數(shù)據(jù)包實(shí)施有選擇的通 24 過(guò)。若允許建立 HTTP連接，就需要開(kāi)放 1024 以上所有端口，這無(wú)疑增加了被攻擊的可能性。如接收到一個(gè) ACK 數(shù)據(jù)包，就認(rèn)為這是一個(gè)己建立的連接，這就導(dǎo)致許多安全隱患，一些惡意掃描和拒絕服務(wù)攻擊就是利用了這個(gè)缺陷。即使通過(guò)防火墻的數(shù)據(jù)包有攻擊性或包含病毒代碼，也無(wú)法進(jìn)行控制和阻斷。(2)缺乏應(yīng)用防御能力。(4)只檢查包頭信息，而沒(méi)有深入檢測(cè)數(shù)據(jù) 包的有效載荷。從數(shù)據(jù)包結(jié)構(gòu)出發(fā)考慮，目前包過(guò)濾技術(shù)向兩個(gè)方向發(fā)展 :(l)橫向聯(lián)系。 (2)縱向發(fā)展。這兩種技術(shù)的發(fā) 25 展并不是獨(dú)立的 ，動(dòng)態(tài)包過(guò)濾可以說(shuō)是基于內(nèi)容檢測(cè)技術(shù)的基礎(chǔ)。 動(dòng)態(tài)包過(guò)濾 動(dòng)態(tài)包過(guò)濾 [16]又稱為基于狀態(tài)的數(shù)據(jù)包過(guò)濾，是在傳統(tǒng)包過(guò)濾技術(shù)基礎(chǔ)之上發(fā)展起來(lái)的一項(xiàng)過(guò)濾技術(shù)，最早由 Checkpoint 提出。對(duì)于新建的應(yīng)用連接，防火墻檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過(guò)，并在內(nèi)存中記錄下該連接的相關(guān)信息，這些相關(guān)信息構(gòu)成一個(gè)狀態(tài)表。如果是新建連接，則檢查靜態(tài)規(guī)則表。這種方法的好處在于由于不需要對(duì)每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查，而是一個(gè)連接的后續(xù)數(shù)據(jù)包 (通常是大量的數(shù)據(jù)包 )通過(guò)散列算法，直接進(jìn)行狀態(tài)檢查，從而使性能得到了較大提高 。 動(dòng)態(tài)包過(guò)濾技術(shù)克服了傳統(tǒng)包過(guò)濾僅僅孤立的檢查單個(gè)數(shù)據(jù)包和安全規(guī)則靜態(tài)不可變的缺陷，使得防火墻的安全控制力度更為細(xì)致。利用高層協(xié)議的攻擊和網(wǎng)絡(luò)病毒的頻繁出現(xiàn)，對(duì)防火墻提出了新的要求。 深度包檢測(cè) (Deep Packet Inspection)就是針對(duì)這種需求，深入檢測(cè)數(shù)據(jù)包有效載荷，執(zhí)行基于應(yīng)用層的內(nèi)容過(guò)濾，以此提高系統(tǒng)應(yīng)用防御 能力。(2)也需要高速檢查它的能力。如一段攻擊代碼被分割到 10 個(gè)數(shù)據(jù)包中傳輸，那么這種簡(jiǎn)單的對(duì)單一數(shù)據(jù)包的內(nèi)容檢測(cè)根本無(wú)法對(duì)攻擊特征進(jìn)行匹配 : 要清楚地知道有效載荷，必須采取有效方法，將單個(gè)數(shù)據(jù)包重新組合成完整的數(shù)據(jù)流。因而要執(zhí)行深度包檢測(cè)，帶來(lái)的問(wèn)題必然是性能的 下降，這就是所謂的內(nèi)容處理障礙。通過(guò)采用硬件芯片和更加優(yōu)化的算法，可以解決這個(gè)問(wèn)題。 27 圖 深度包檢測(cè)框圖 在接收到網(wǎng)絡(luò)流量后，將需要進(jìn)行內(nèi)容掃描的數(shù)據(jù)流定向到TCP/IP 堆棧，其他數(shù)據(jù)流直接定向到狀態(tài)檢測(cè)引擎，按基本檢測(cè)方式進(jìn)行處理。服務(wù)分析器根據(jù)數(shù)據(jù)流服務(wù)類型分離內(nèi)容數(shù)據(jù)流，傳送數(shù)據(jù)流到一個(gè)命令解析器中。如果檢測(cè)到信息流是一個(gè) HTTP 數(shù)據(jù)流，則命令解析器檢查上載和下載的文件 。如果數(shù)據(jù)流包含附件或上載 /下載文件，附件和文件將傳輸?shù)讲《緬呙枰?，所有其他?nèi)容傳輸?shù)絻?nèi)容過(guò)濾引擎。 流過(guò)濾技術(shù) 流過(guò)濾是東軟集團(tuán)提出的一種新型防火墻技術(shù)架構(gòu)，它融基于狀態(tài)的包過(guò)濾技術(shù)與基于內(nèi)容的深度包檢測(cè)技術(shù)為一體，提供了一個(gè)較好的應(yīng)用防御解決方案，它以狀態(tài)監(jiān)測(cè) 技術(shù)為基礎(chǔ)，但在此基礎(chǔ)上 28 進(jìn)行了改進(jìn)其基本的原理是 :以狀態(tài)包過(guò)濾的形態(tài)實(shí)現(xiàn)應(yīng)用層的保護(hù)能力 :通過(guò)內(nèi)嵌的專門(mén)實(shí)現(xiàn)的 TCP/IP 協(xié)議棧，實(shí)現(xiàn)了透明的應(yīng)用信息過(guò)濾機(jī)制。 在這種機(jī)制下，從防火墻外部看，仍然是包過(guò)濾的形態(tài)，工作在鏈路層或 IP 層，在規(guī)則允許下，兩端可以直接訪問(wèn) ，但是任何一個(gè)被規(guī)則允許的訪問(wèn)在防火墻內(nèi)部都存在兩個(gè)完全獨(dú)立的 TCP 會(huì)話，數(shù)據(jù)以“流”的方式從一個(gè)會(huì)話流向另一個(gè)會(huì)話。如在對(duì) SMTP 協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對(duì)郵件的存儲(chǔ)轉(zhuǎn)發(fā)，并實(shí)現(xiàn)豐富的對(duì) SMTP 協(xié)議的各種攻擊的防范功能一流過(guò)濾的示意圖如圖 所示。由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時(shí)候代替服務(wù)器或客戶端參與應(yīng)用層的會(huì)話，從而起到了與應(yīng)用代理防火墻相同的控制能力。 防火墻體系結(jié)構(gòu) 目前 ,防火墻的體系結(jié)構(gòu)一般 有以下幾種 : （ 1） 雙宿主主機(jī)防火墻 ； （ 2） 主機(jī)屏蔽防火墻 ； （ 3） 子網(wǎng)屏蔽 防火墻 。代理 服務(wù)器 可以算是多宿主主機(jī)防火墻的一種。 雙宿主主機(jī) 如果多宿主主機(jī)的路由功能被禁止，則主機(jī)可以在它連接的網(wǎng)絡(luò)之間提供網(wǎng)絡(luò)流量的分離，并且每個(gè)網(wǎng)絡(luò)都能在宿主主機(jī)上處理應(yīng)用程序。 雙宿主主機(jī)是多宿主主機(jī)的一個(gè)特例，它有兩個(gè)網(wǎng)卡，并禁止路由功能。因?yàn)殡p宿主主機(jī)不能轉(zhuǎn)發(fā)任何 TCP/IP 流 量，所以它可以徹底堵塞內(nèi)部和外部不可信網(wǎng)絡(luò)間的任何 IP 流量。 雙宿主主機(jī) 雙宿主主機(jī)是防火墻體系的基本形態(tài)。如果路由被意外允許，那么雙宿主主機(jī)防火墻的應(yīng)用測(cè)功能就會(huì)被旁路，內(nèi)部受保護(hù)網(wǎng)絡(luò)就會(huì)完全暴露在危險(xiǎn)中。主機(jī)屏蔽防火墻體系結(jié)構(gòu)是在防火墻的前面增加了屏蔽路由器。 因?yàn)槁酚善骶哂袛?shù)據(jù)過(guò)濾功能，路由器通過(guò)適當(dāng)配置后，可以實(shí)現(xiàn)一部分防火墻的功能，因此，有人把屏蔽路由器也成為防火墻的一種。根據(jù)內(nèi)網(wǎng)的 安全策略，屏蔽路由器可以過(guò)濾掉不允許通過(guò)的數(shù)據(jù)包。 33 因?yàn)檫@種體系結(jié)構(gòu)允許數(shù)據(jù)包從外網(wǎng)向內(nèi)網(wǎng)移動(dòng)，所以它的設(shè)計(jì)比沒(méi)有外部數(shù)據(jù)流量的雙宿主機(jī)更冒風(fēng)險(xiǎn)，但實(shí)際上雙宿主機(jī)體系結(jié)構(gòu)在防備數(shù)據(jù)包流入內(nèi)網(wǎng)時(shí)也會(huì)造成失敗。 子網(wǎng)屏蔽 防火墻 子網(wǎng)屏蔽防火墻體系結(jié)構(gòu)添加額外的安全層到主機(jī)屏蔽體系結(jié)構(gòu)，即通過(guò)添加周邊 網(wǎng)絡(luò) 更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與外網(wǎng)隔離。任憑用戶如何保護(hù)它，它仍有可能被突破或入侵，因?yàn)闆](méi)有任何主機(jī)是絕對(duì)安全的。通過(guò)在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減少在堡壘主機(jī)上入侵的影響。 屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為使用兩個(gè)屏蔽 路由器 ，位于堡壘主機(jī)的兩端，一端連接內(nèi)網(wǎng)，一端連接外網(wǎng)。即使入侵者控制了堡壘主機(jī)，他仍然需要通過(guò)內(nèi)網(wǎng)端的屏蔽路由器才能到達(dá)內(nèi)網(wǎng)。這種組合主要取決于網(wǎng)管中心向用戶提供什么服務(wù)，以及網(wǎng)管中心能接受什么等級(jí)的風(fēng)險(xiǎn)。一般包括下面幾種 形式： （一）使用多個(gè)堡壘主機(jī) （二）合并內(nèi)部路由器和外部路由器 （三）合并堡壘主機(jī)和外部路由器 （四）合并堡壘主機(jī)和內(nèi)部路由器 （五）使用多個(gè)內(nèi)部路由器 35 （六）使用多個(gè)外部路由器 （七）使用多個(gè)周邊網(wǎng)絡(luò) （八）使用雙宿主主機(jī)與屏蔽子網(wǎng) 第四章 防火墻的配置 硬件連接與實(shí)施 一般來(lái)說(shuō)硬件防火墻和路由交換設(shè)備一樣具備多個(gè)以太接口，速度根據(jù)檔次與價(jià)格不同而在百兆與千兆之間有所區(qū)別。網(wǎng)絡(luò)拓?fù)鋱D中防火墻的位置很關(guān)鍵，一般介于內(nèi)網(wǎng)與外網(wǎng)互連中間區(qū)域，針對(duì)外網(wǎng)訪問(wèn)數(shù)據(jù)進(jìn)行過(guò)濾和監(jiān)控。相應(yīng)的其他 LAN 接口連接內(nèi)網(wǎng)各個(gè)網(wǎng)絡(luò)設(shè)備。 與路由器交換機(jī)不同的是在防火墻配置中我們需要?jiǎng)澐侄鄠€(gè)不同權(quán)限不同優(yōu)先級(jí)別的區(qū)域，另外還需要針對(duì)相應(yīng)接口隸屬的區(qū)域進(jìn)行配置，例如 1 接口劃分到 A 區(qū)域， 2 接口劃分到 B 區(qū)域等等，通過(guò)不同區(qū)域的訪問(wèn)權(quán)限差別來(lái)實(shí)現(xiàn)防火墻保護(hù)功能。相應(yīng)的本地區(qū)域優(yōu)先級(jí)最高，其次是 trust 信任區(qū)，DMZ 堡壘主機(jī)區(qū)，最低的是 untrust 非信任區(qū)域。 除此之外防火墻的其他相關(guān)配置與路由交換設(shè)備差不多，無(wú)外乎通過(guò)超級(jí)終端下的命令行參數(shù)進(jìn)行配置或者通過(guò) WEB 管理界面配置。 首先當(dāng)企業(yè)外網(wǎng)出口指定 IP 時(shí)配置防火墻參數(shù)。這里假設(shè)電信提供的外網(wǎng) IP 地址為 。 第二步：通過(guò) firewall packet default permit 設(shè)置默認(rèn)的防火墻策略為 “ 容許通過(guò) ” 。 第五章 防火墻發(fā)展趨勢(shì) 針對(duì)傳統(tǒng)防火墻不能解決的問(wèn)題，及新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也出現(xiàn)了新的發(fā)展趨勢(shì)。 防火墻包過(guò)濾技術(shù)發(fā)展趨勢(shì) (1)安全策略功能 一些防火墻廠商把在 AAA 系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。具有用戶身份驗(yàn)證的防火墻通常是采用應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)的，包過(guò)濾技術(shù)的防火墻不具有。 (2)多級(jí)過(guò)濾技術(shù) 所謂多級(jí)過(guò)濾技術(shù)，是指防火墻采用多級(jí)過(guò)濾措施，并輔以鑒別手段。這是針對(duì)以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過(guò)濾技術(shù)，它可以彌補(bǔ)以上各種 單獨(dú)過(guò)濾技術(shù)的不足。 (3)功能擴(kuò)展 功能擴(kuò)展是指一種集成多種功能的設(shè)計(jì)趨勢(shì)，包括 VPN、 AAA、PKI、 IPSec 等附加功能，甚至防病毒、入侵檢測(cè)這樣的主流功能，都被集成到防火墻產(chǎn)品中了，很多時(shí)候我們已經(jīng)無(wú)法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個(gè)功能為主了，即其已經(jīng)逐漸向我們普遍稱之為 IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。 防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì) 隨著網(wǎng)絡(luò)應(yīng)用的增加，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。另外，在以后幾年里，多媒體應(yīng)用將會(huì)越來(lái)越普遍，它要求數(shù)據(jù)穿過(guò)防火墻所帶來(lái)的延遲要足夠小。從執(zhí)行速度 的角度看來(lái)，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門(mén)用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了 CPU 的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多?；?ASIC 的防火墻使用專門(mén)的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。理想的解決方案是增 加 ASIC 芯片的可編程性，使其與軟件更好地配合。 42 防火墻的系統(tǒng)管理發(fā)展趨勢(shì) (1)集中式管理，分布式和分層的安全結(jié)構(gòu)。 (3)網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化 縱觀防火墻技術(shù)的發(fā)展，黑客入侵系統(tǒng)技術(shù)的不斷進(jìn)步以及網(wǎng)絡(luò)病毒朝智能化和多樣化發(fā)展，對(duì)防火墻技術(shù)的同步發(fā)展提出了更高的要求。 43 結(jié)束語(yǔ) 不積跬步 何以至千里，本設(shè)計(jì)能夠順利的完成，也歸功于各位任課老師的認(rèn)真負(fù)責(zé)，使我能夠很好的掌握和運(yùn)用專業(yè)知識(shí)，并在設(shè)計(jì)中得以體現(xiàn)。感謝他們四年來(lái)的辛勤栽培。如今，伴隨著這篇畢業(yè)論文的最終成稿，復(fù)雜的心情煙消云散，自己甚至還有一點(diǎn)成就感。這篇畢業(yè) 論文的就是我的舞臺(tái)，以下的言語(yǔ)便是有點(diǎn)成就感后在舞臺(tái)上發(fā)表的發(fā)自肺腑的誠(chéng)摯謝意與感想： 感謝培養(yǎng)教育我的 安徽水利水電職業(yè)技術(shù)學(xué)院 ， 學(xué)院 濃厚的學(xué)術(shù)氛圍，舒適的學(xué)習(xí)環(huán)境我將終生難忘！祝母校蒸蒸日上，永創(chuàng)輝煌！祝校長(zhǎng)財(cái)源滾滾，仕途順利！感謝對(duì)我傾囊賜教、鞭策鼓勵(lì)的 安徽水利水電職業(yè)技術(shù)學(xué)院電子信息工程系 諸位師長(zhǎng)，諸位恩師的諄諄訓(xùn)誨我將銘記在心。祝他們壽域無(wú)疆，德業(yè)永輝！感謝同窗好友 龔帥 、 王康 、 康健 、 卞華林 、陶趙偉等 以 及更多我無(wú)法逐一列出名字的朋友，他們和我共同度過(guò)了四年美好難忘的大學(xué)時(shí)光，我非常珍視和他們的友誼！祝他們前程似錦，事業(yè)有成！家有嬌妻，外有二房！最最感謝生我養(yǎng)我的父母，他們給予了我最無(wú)私的愛(ài)，為我的成長(zhǎng)付出了許多許多，焉得諼草，言樹(shù)之背，養(yǎng)育之恩，無(wú)以回報(bào)，惟愿他們健康長(zhǎng)壽！感謝我以最大的毅力完成了四年大學(xué)學(xué)習(xí)，在這個(gè)環(huán)境里我能潔身自愛(ài)，出淤泥而不染保持一顆純潔的心，真的是很不容易！祝自己身體健康，權(quán)財(cái)兩旺！家里紅旗不倒，外面彩旗飄飄 ！