第一篇：畢業(yè)論文------論防火墻技術(shù)設(shè)計策略

基于Internet技術(shù)的網(wǎng)絡(luò)教學(xué)平臺組建 —— 論防火墻技術(shù)設(shè)計策略

Construction of network teaching platform based on Internet technique

—— Strategy of firewall technique design

[摘要] 防火墻是一種確保網(wǎng)絡(luò)安全的方法，通過隔離、過濾、封鎖等技術(shù)，防止來自外部網(wǎng)絡(luò)的攻擊。本文對防火墻自我保護能力的設(shè)計和防火墻體系結(jié)構(gòu)進行了分析，并給出了設(shè)計方法。

[關(guān)鍵字] 防火墻；攻擊；路由器；分析

[Abstract] The firewall，an efficient measure which is used to protect the safety of network，prevents from attacking of outer network by technologies such as insulating，filtering and blockage etc.This article analyses the structure and self-protect designing of firewall，and also supplies its designing method.[Keyword] firewall;attack;router;analyse 引 言

古時候，人們常在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生它能夠防止火勢蔓延到別的寓所。自然，此種磚墻因此而得名“防火墻”?，F(xiàn)在，如果一個網(wǎng)絡(luò)接入到了Internet上，在與外界進行通信時，勢必也會存在著受其攻擊的“火災(zāi)發(fā)生”。

如何確保網(wǎng)絡(luò)安全，作為網(wǎng)絡(luò)安全產(chǎn)品中的防火墻技術(shù)，是目前最為成熟的技術(shù)。防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過濾封鎖機制，對內(nèi)連接LAN，對外連接Internet，通過隔離、過濾、封鎖等技術(shù)，阻止信息資源的非法訪問。防火墻設(shè)計首要、重點問題

由于防火墻處于內(nèi)外網(wǎng)絡(luò)邊界上，承擔(dān)過濾、封鎖等工作，自然也是眾多攻擊者的目標(biāo)。因此，其自我保護能力（安全性）是設(shè)計時的首要、重點問題。

1.專用服務(wù)器端口

為降低設(shè)計上的難度，通過在防火墻上增設(shè)專用服務(wù)器端口，用于與主機進行連接。除專用服務(wù)器外，防火墻不接受任何其他端口的直接訪問。由于管理通信是單獨的通道，所以不管是內(nèi)網(wǎng)主機還是外網(wǎng)主機都無法竊聽到該通信，顯然是很安全的。

2.透明應(yīng)用代理

提供對高層應(yīng)用服務(wù)，如HTTP、FTP、SMTP等的透明代理，終端無需在客戶機上進行代理服務(wù)器設(shè)置。管理員在防火墻產(chǎn)品上配置相關(guān)規(guī)則，這些配置對用戶來說完全是透明的，用戶訪問Web、FTP等服務(wù)時，便自由進行代理轉(zhuǎn)發(fā)，而外部網(wǎng)絡(luò)是不能通過代理主動訪問內(nèi)部網(wǎng)絡(luò)的，從而有效保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻體系結(jié)構(gòu)構(gòu)建

防火墻結(jié)構(gòu)的構(gòu)建可使用多種不同部件的組合，每個部件根據(jù)所提供的服務(wù)及能接受的安全等級來解決不同的問題。常見的幾種構(gòu)建方式分析如下：

3.1 雙宿主機

雙宿主機將內(nèi)外網(wǎng)絡(luò)隔離，防火墻內(nèi)部的網(wǎng)絡(luò)系統(tǒng)與外部的網(wǎng)絡(luò)系統(tǒng)都與雙宿主機通信。這樣，內(nèi)外網(wǎng)絡(luò)之間的IP數(shù)據(jù)流是完全切斷的，只有入侵者得到雙宿主機的訪問權(quán)，才會侵入內(nèi)部網(wǎng)絡(luò)。所以為了保證內(nèi)部網(wǎng)安全，雙宿主機應(yīng)禁止網(wǎng)絡(luò)層的路由功能，避免防火墻上過多的用戶賬號。3.2 屏蔽主機

主機與內(nèi)部網(wǎng)相連，使用一臺單獨的過濾路由器強迫所有到達路由器的數(shù)據(jù)包被發(fā)送到被屏蔽主機，任何試圖訪問內(nèi)部系統(tǒng)或服務(wù)器的外部系統(tǒng)都須與此主機相連。過濾路由器能否正確配置是這種防火墻結(jié)構(gòu)安全的關(guān)鍵，因此過濾路由器中的路由表應(yīng)嚴(yán)格保護，防止路由表破壞造成數(shù)據(jù)包越過主機侵入內(nèi)部網(wǎng)絡(luò)。

3.3 屏蔽子網(wǎng)

在以上基礎(chǔ)上，增加一個DMZ（隔離區(qū)），進一步將內(nèi)網(wǎng)與外網(wǎng)隔開。采取兩個過濾路由器，攻擊者就算攻入了主機，還得通過內(nèi)部路由器。所以原則上說，此種方式的網(wǎng)絡(luò)是安全的。應(yīng)對常見攻擊方式的策略

4.1 病毒

盡管某些防火墻產(chǎn)品提供了在數(shù)據(jù)包通過時進行病毒掃描的功能，但仍然很難將所有的病毒（或特洛伊木馬程序）阻止在網(wǎng)絡(luò)外面，黑客很容易欺騙用戶下載一個程序從而讓惡意代碼進入內(nèi)部網(wǎng)。

策略：設(shè)定安全等級，嚴(yán)格阻止系統(tǒng)在未經(jīng)安全檢測的情況下執(zhí)行下載程序；或者通過常用的基于主機的安全方法來保護網(wǎng)絡(luò)。

4.2 口令字

對口令字的攻擊方式有兩種：窮舉和嗅探。窮舉針對來自外部網(wǎng)絡(luò)的攻擊，來猜測防火墻管理的口令字。嗅探針對內(nèi)部網(wǎng)絡(luò)的攻擊，通過監(jiān)測網(wǎng)絡(luò)獲取主機給防火墻的口令字。策略：設(shè)計主機與防火墻通過單獨接口通信（即專用服務(wù)器端口）、采用一次性口令或禁止直接登錄防火墻。

4.3 郵件

來自于郵件的攻擊方式越來越突出，在這種攻擊中，垃圾郵件制造者將一條消息復(fù)制成成千上萬份，并按一個巨大的電子郵件地址清單發(fā)送這條信息，當(dāng)不經(jīng)意打開郵件時，惡意代碼即可進入。

策略：打開防火墻上的過濾功能，在內(nèi)網(wǎng)主機上采取相應(yīng)阻止措施。

4.4 IP地址

黑客利用一個類似于內(nèi)部網(wǎng)絡(luò)的IP地址，以“逃過”服務(wù)器檢測，從而進入內(nèi)部網(wǎng)達到攻擊的目的。

策略：通過打開內(nèi)核rp_filter功能，丟棄所有來自網(wǎng)絡(luò)外部但卻有內(nèi)部地址的數(shù)據(jù)包；同時將特定IP地址與MAC綁定，只有擁有相應(yīng)MAC地址的用戶才能使用被綁定的IP地址進行網(wǎng)絡(luò)訪問?；緵Q策

5.1 方案選擇

市場上的防火墻大致有軟件防火墻和硬件防火墻兩大類。軟件防火墻需運行在一臺標(biāo)準(zhǔn)的主機設(shè)備上，依托網(wǎng)絡(luò)在操作系統(tǒng)上實現(xiàn)防火墻的各種功能，因此也稱“個人”防火墻，其功能有限，基本上能滿足單個用戶。硬件防火墻是一個把硬件和軟件都單獨設(shè)計，并集成在一起，運行于自己專用的系統(tǒng)平臺。由于硬件防火墻集合了軟件方面，從功能上更為強大，目前已普遍使用。

在制造上，硬件防火墻須同時設(shè)計硬件和軟件兩方面。國外廠家基本上是將軟件運算硬件化，將主要運算程序做成芯片，以減少CPU的運算壓力；國內(nèi)廠家的防火墻硬件平臺仍使用通用PC系統(tǒng)，增加了內(nèi)存容量，增大了CPU的頻率。在軟件性能方面，國外一些著名的廠家均采用專用的操作系統(tǒng)，自行設(shè)計防火墻，提供高性能的產(chǎn)品；而國內(nèi)廠家大部分基于Linux操作平臺，有針對性的修改代碼、增加技術(shù)及系統(tǒng)補丁等。因此，國產(chǎn)防火墻與國外的相比仍有一定差距，但科技的進步，也生產(chǎn)出了較為優(yōu)秀的產(chǎn)品。如北京天融信的NG系列產(chǎn)品，支持TOPSEC安全體系、多級過濾、透明應(yīng)用代理等先進技術(shù)。

5.2 結(jié)構(gòu)透明

防火墻的透明性是指防火墻對于用戶是透明的。以網(wǎng)橋的方式將防火墻接入網(wǎng)絡(luò)，網(wǎng)絡(luò)和用戶無需做任何設(shè)置和改動，也根本意識不到防火墻的存在。然后根椐自己企業(yè)的網(wǎng)絡(luò)規(guī)模，以及安全策略來選擇合適的防火墻的構(gòu)造結(jié)構(gòu)（可參照本文第3點分析），如果經(jīng)濟實力雄厚的可采用屏蔽子網(wǎng)的拓?fù)浣Y(jié)構(gòu)。

5.3 堅持策略

（1）管理主機與防火墻專用服務(wù)器端口連接，形成單獨管理通道，防止來自內(nèi)外部的攻擊。

（2）使用FTP、Telnet、News等服務(wù)代理，以提供高水平的審計和潛在的安全性。

（3）支持“除非明確允許，否則就禁止”的安全防范原則。

（4）確定可接受的風(fēng)險水平，如監(jiān)測什么傳輸，允許和拒絕什么傳輸流通過。5.4 實施措施

好的防火墻產(chǎn)品應(yīng)向使用者提供完整的安全檢查功能，應(yīng)有完善及時的售后服務(wù)。但一個安全的網(wǎng)絡(luò)仍必須靠使用者的觀察與改進，企業(yè)要達到真正的安全仍需內(nèi)部的網(wǎng)絡(luò)管理者不斷記錄、追蹤、改進，定期對防火墻和相應(yīng)操作系統(tǒng)用補丁程序進行升級。結(jié)束語

以上從防火墻所具有的功能出發(fā)，分別介紹了防火墻技術(shù)在設(shè)計時的重點問題、防火墻體系結(jié)構(gòu)構(gòu)建、常見攻擊方式的防范及基本設(shè)計決策。在分析的基礎(chǔ)上給出了具體解決方法，在設(shè)計過程中，應(yīng)根據(jù)企業(yè)自身條件出發(fā)，選擇最優(yōu)的策略。

參 考 文 獻

[1] 陶篤純，饒友玲，康曉東.網(wǎng)站建設(shè)項目管理[M].北京：人民郵電出版社，2002.[2] 彭濤.計算機網(wǎng)絡(luò)教程[M].北京：機械工業(yè)出版社，2002.[3] IBON.Marshield網(wǎng)絡(luò)安全技術(shù)白皮書.艾邦公司資料，2002.致

謝

在這次畢業(yè)設(shè)計中，我得到了XXX教師的大力支持和幫助，特表示衷心的感謝。同時也感謝同組同學(xué)。馬上就要踏上工作的崗位，本文是也算是我人生中的一段的總結(jié)。真心感謝所有傳授給我知識的敬愛的老師們。在你們的精心教導(dǎo)下，讓我擁有一段充實，精彩的大學(xué)生活，謝謝你們！

第二篇：現(xiàn)代網(wǎng)絡(luò)安全及防火墻畢業(yè)論文

摘要

隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，在帶來了前所未有的海量信息的同時，網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡(luò)信息的安全性變得日益重要起來，已被信息社會的各個領(lǐng)域所重視。本文對目前計算機網(wǎng)絡(luò)存在的安全隱患進行了分析，闡述了我國網(wǎng)絡(luò)安全的現(xiàn)狀及網(wǎng)絡(luò)安全問題產(chǎn)生的原因，對我們網(wǎng)絡(luò)安全現(xiàn)狀進行了系統(tǒng)的分析,并探討了針對計算機安全隱患的防范策略.正是因為安全威脅的無處不在，為了解決這個問題防火墻出現(xiàn)了。防火墻是網(wǎng)絡(luò)安全的關(guān)鍵技術(shù),是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，其核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境,防火墻是實施網(wǎng)絡(luò)安全控制得一種必要技術(shù)。本文討論了防火墻的安全功能、體系結(jié)構(gòu)、實現(xiàn)防火墻的主要技術(shù)手段及配置等。

關(guān)鍵詞

網(wǎng)絡(luò)安全/黑客/病毒/防火墻

0 我國網(wǎng)絡(luò)安全現(xiàn)狀...........................................................................................................2 1.1研究背景..................................................................................................................2 1.2研究意義..................................................................................................................3 1.3 計算機網(wǎng)絡(luò)面臨的威脅.........................................................................................4 2 防火墻的安全功能及安全網(wǎng)絡(luò)方案...............................................................................7 2.1防火墻具備的安全功能..........................................................................................7 2.2 計算機網(wǎng)絡(luò)面臨的威脅網(wǎng)絡(luò)安全的解決方案 2.2.1入侵檢測系統(tǒng)部署..........7 3 計算機網(wǎng)絡(luò)安全方案設(shè)計并實現(xiàn)................................................................................10 3.1桌面安全系統(tǒng)........................................................................................................10 3.2病毒防護系統(tǒng)......................................................................................................10 3.3 動態(tài)口令系統(tǒng)........................................................................................................11 4 防火墻的配置.................................................................................................................13 4.1防火墻的初始配置................................................................................................13 4.2 過濾防火墻的訪問配置.......................................................................................15 4.3雙宿主機網(wǎng)關(guān)(Dual Homed Gateway)................................................................19 4.4屏蔽主機網(wǎng)關(guān)(Screened Host Gateway).............................................................19 4.5屏蔽子網(wǎng)(Screened Subnet).................................................................................20 總

結(jié)................................................................................................................................22 致

謝................................................................................................................................23 參考文獻.............................................................................................................................24 我國網(wǎng)絡(luò)安全現(xiàn)狀

1.1研究背景

據(jù)美國聯(lián)邦調(diào)查局統(tǒng)計，美國每年因網(wǎng)絡(luò)安全造成的損失高達75億美元。據(jù)美國金融時報報道，世界上平均每20分鐘就發(fā)生一次人侵國際互聯(lián)網(wǎng)絡(luò)的計算機安全事件，1/3的防火墻被突破。美國聯(lián)邦調(diào)查局計算機犯罪組負(fù)責(zé)人吉姆·塞特爾稱：給我精選10名“黑客”，組成小組，90天內(nèi)，我將使美國趴下。一位計算機專家毫不夸張地說：如果給我一臺普通計算機、一條電話線和一個調(diào)制解調(diào)器，就可以令某個地區(qū)的網(wǎng)絡(luò)運行失常。

據(jù)了解，從1997年底至今，我國的政府部門、證券公司、銀行等機構(gòu)的計算機網(wǎng)絡(luò)相繼遭到多次攻擊。公安機關(guān)受理各類信息網(wǎng)絡(luò)違法犯罪案件逐年劇增，尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國大量的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用依賴于外國的產(chǎn)品和技術(shù)，在電子政務(wù)、電子商務(wù)和各行業(yè)的計算機網(wǎng)絡(luò)應(yīng)用尚處于發(fā)展階段，以上這些領(lǐng)域的大型計算機網(wǎng)絡(luò)工程都由國內(nèi)一些較大的系統(tǒng)集成商負(fù)責(zé)。有些集成商仍缺乏足夠?qū)I(yè)的安全支撐技術(shù)力量，同時一些負(fù)責(zé)網(wǎng)絡(luò)安全的工程技術(shù)人員對許多潛在風(fēng)險認(rèn)識不足。缺乏必要的技術(shù)設(shè)施和相關(guān)處理經(jīng)驗，面對形勢日益嚴(yán)峻的現(xiàn)狀，很多時候都顯得有些力不從心。也正是由于受技術(shù)條件的限制，很多人對網(wǎng)絡(luò)安全的意識僅停留在如何防范病毒階段，對網(wǎng)絡(luò)安全缺乏整體意識。

隨著網(wǎng)絡(luò)的逐步普及，網(wǎng)絡(luò)安全的問題已經(jīng)日益突。如同其它任何社會一樣，互連網(wǎng)也受到某些無聊之人的困擾，某些人喜愛在網(wǎng)上做這類的事,像在現(xiàn)實中向其他人的墻上噴染涂鴉、將他人的郵箱推倒或者坐在大街上按汽車?yán)纫粯印＞W(wǎng)絡(luò)安全已成為互連網(wǎng)上事實上的焦點問題。它關(guān)系到互連網(wǎng)的進一步發(fā)展和普及，甚至關(guān)系著互連網(wǎng)的生存。近年來，無論在發(fā)達國家，還是在發(fā)展中國家，黑客活動越來越猖狂，他們無孔不入，對社會造成了嚴(yán)重的危害。目前在互連網(wǎng)上大約有將近80%以上的用戶曾經(jīng)遭受過黑客的困擾。而與此同時，更讓人不安的是，互連網(wǎng)上病毒和黑客的聯(lián)姻、不斷增多的黑客網(wǎng)站，使學(xué)習(xí)黑客技術(shù)、獲得黑客攻擊工具變的輕而易舉。這樣，使原本就十分脆弱的互連網(wǎng)越發(fā)顯得不安全。

1.2研究意義

現(xiàn)在網(wǎng)絡(luò)的觀念已經(jīng)深入人心，越來越多的人們通過網(wǎng)絡(luò)來了解世界，同時他們也可以通過網(wǎng)絡(luò)發(fā)布消息，與朋友進行交流和溝通，展示自己，以及開展電子商務(wù)等等。人們的日常生活也越來越依靠網(wǎng)絡(luò)進行。同時網(wǎng)絡(luò)攻擊也愈演愈烈，時刻威脅著用戶上網(wǎng)安全，網(wǎng)絡(luò)與信息安全已經(jīng)成為當(dāng)今社會關(guān)注的重要問題之一。黨的十六屆四中全會，把信息安全和政治安全、經(jīng)濟安全、文化安全并列為國家安全的四大范疇之一，信息安全的重要性被提升到一個空前的戰(zhàn)略高度。正是因為安全威脅的無處不在，為了解決這個問題防火墻出現(xiàn)了。防火墻的本義原是指古代人們房屋之間修建的那道為防止火災(zāi)蔓延而建立的墻，而現(xiàn)在意義上的防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施的總稱。應(yīng)該說，在互連網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以隔離風(fēng)險區(qū)域(即Internet或有一定風(fēng)險的網(wǎng)絡(luò))與安全區(qū)域(局域網(wǎng))的連接，同時不會妨礙人們對風(fēng)險區(qū)域的訪問。成而有效的控制用戶的上網(wǎng)安全。防火墻是實施網(wǎng)絡(luò)安全控制得一種必要技術(shù)，它是一個或一組系統(tǒng)組成，它在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略。實現(xiàn)它的實際方式各不相同，但是在原則上，防火墻可以被認(rèn)為是這樣同一種機制：攔阻不安全的傳輸流，允許安全的傳輸流通過。特定應(yīng)用程序行為控制等獨特的自我保護機制使它可以監(jiān)控進出網(wǎng)絡(luò)的通信信息，僅讓安全的、核準(zhǔn)了的信息進入；它可以限制他人進入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶；它可以封鎖特洛伊木馬，防止機密數(shù)據(jù)的外泄；它可以限定用戶訪問特殊站點，禁止用戶對某些內(nèi)容不健康站點的訪問；它還可以為監(jiān)視互聯(lián)網(wǎng)的安全提供方便?，F(xiàn)在國外的優(yōu)秀防火墻如Outpost不但能完成以上介紹的基本功能，還能對獨特的私人信息保護如防止密碼泄露、對內(nèi)容進行管理以防止小孩子或員工查看不合適的網(wǎng)頁內(nèi)容，允許按特定關(guān)鍵字以及特定網(wǎng)地進行過濾等、同時還能對DNS 緩存進行保護、對Web 頁面的交互元素進行控制如過濾不需要的GIF，F(xiàn)lash動畫等界面元素。隨著時代的發(fā)展和科技的進步防火墻功能日益完善和強大，但面對日益增多的網(wǎng)絡(luò)安全威脅防火墻仍不是完整的解決方案。但不管如何變化防火墻仍然是網(wǎng)絡(luò)安全必不可少的工具之一。

1.3 計算機網(wǎng)絡(luò)面臨的威脅

1.3.1 網(wǎng)絡(luò)安全脆弱的原因

(1)Internet所用底層TCP/IP網(wǎng)絡(luò)協(xié)議本身易受到攻擊，該協(xié)議本身的安全問題極大地影響到上層應(yīng)用的安全。

(2)Internet上廣為傳插的易用黑客和解密工具使很多網(wǎng)絡(luò)用戶輕易地獲得了攻擊網(wǎng)絡(luò)的方法和手段。

(3)快速的軟件升級周期，會造成問題軟件的出現(xiàn)，經(jīng)常會出現(xiàn)操作系統(tǒng)和應(yīng)用程序存在新的攻擊漏洞。

(4)現(xiàn)行法規(guī)政策和管理方面存在不足。目前我國針對計算機及網(wǎng)絡(luò)信息保護的條款不細(xì)致，網(wǎng)上保密的法規(guī)制度可操作性不強，執(zhí)行不力。同時，不少單位沒有從管理制度、人員和技術(shù)上建立相應(yīng)的安全防范機制。缺乏行之有效的安全檢查保護措施，甚至有一些網(wǎng)絡(luò)管理員利用職務(wù)之便從事網(wǎng)上違法行為。

1.3.1網(wǎng)絡(luò)安全面臨的威脅

信息安全是一個非常關(guān)鍵而又復(fù)雜的問題。計算機信息系統(tǒng)安全指計算機信息系統(tǒng)資產(chǎn)(包括網(wǎng)絡(luò))的安全，即計算機信息系統(tǒng)資源(硬件、軟件和信息)不受自然和人為有害因素的威脅和危害。

計算機信息系統(tǒng)之所以存在著脆弱性，主要是由于技術(shù)本身存在著安全弱點、系統(tǒng)的安全性差、缺乏安全性實踐等;計算機信息系統(tǒng)受到的威脅和攻擊除自然災(zāi)害外，主要來自計算機犯罪、計算機病毒、黑客攻擊、信息戰(zhàn)爭和計算機系統(tǒng)故障等。由于計算機信息系統(tǒng)已經(jīng)成為信息社會另一種形式的“金庫”和“保密室”，因而，成為一些人窺視的目標(biāo)。再者，由于計算機信息系統(tǒng)自身所固有的脆弱性，使計算機信息系統(tǒng)面臨威脅和攻擊的考驗。計算機信息系統(tǒng)的安全威脅主要來自于以下幾個方面：

(1)自然災(zāi)害。計算機信息系統(tǒng)僅僅是一個智能的機器，易受自然災(zāi)害及環(huán)境(溫度、濕度、振動、沖擊、污染)的影響。目前，我們不少計算機房并沒有防震、防火、防水、避雷、防電磁泄漏或干擾等措施，接地系統(tǒng)也疏于周到考慮，抵御自然災(zāi)害和意外事故的能力較差。日常工作中因斷電而設(shè)備損壞、數(shù)據(jù)丟失的現(xiàn)象時有發(fā)生。由于噪音和電磁輻射，導(dǎo)致網(wǎng)絡(luò)信噪比下降，誤碼率增加，信息的安全性、完整性和可用

性受到威脅。

(2)黑客的威脅和攻擊。計算機信息網(wǎng)絡(luò)上的黑客攻擊事件越演越烈，已經(jīng)成為具有一定經(jīng)濟條件和技術(shù)專長的形形色色攻擊者活動的舞臺。他們具有計算機系統(tǒng)和網(wǎng)絡(luò)脆弱性的知識，能使用各種計算機工具。境內(nèi)外黑客攻擊破壞網(wǎng)絡(luò)的問題十分嚴(yán)重，他們通常采用非法侵人重要信息系統(tǒng)，竊聽、獲取、攻擊侵人網(wǎng)的有關(guān)敏感性重要信息，修改和破壞信息網(wǎng)絡(luò)的正常使用狀態(tài)，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給國家造成重大政治影響和經(jīng)濟損失。黑客問題的出現(xiàn)，并非黑客能夠制造入侵的機會，從沒有路的地方走出一條路，只是他們善于發(fā)現(xiàn)漏洞。即信息網(wǎng)絡(luò)本身的不完善性和缺陷，成為被攻擊的目標(biāo)或利用為攻擊的途徑，其信息網(wǎng)絡(luò)脆弱性引發(fā)了信息社會脆弱性和安全問題，并構(gòu)成了自然或人為破壞的威脅。

(3)計算機病毒。90年代，出現(xiàn)了曾引起世界性恐慌的“計算機病毒”，其蔓延范圍廣，增長速度驚人，損失難以估計。它像灰色的幽靈將自己附在其他程序上，在這些程序運行時進人到系統(tǒng)中進行擴散。計算機感染上病毒后，輕則使系統(tǒng)上作效率下降，重則造成系統(tǒng)死機或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計算機主板等部件的損壞。

(4)垃圾郵件和間諜軟件。一些人利用電子郵件地址的“公開性”和系統(tǒng)的“可廣播性”進行商業(yè)、宗教、政治等活動，把自己的電子郵件強行“推入”別人的電子郵箱，強迫他人接受垃圾郵件。與計算機病毒不同，間諜軟件的主要目的不在于對系統(tǒng)造成破壞，而是竊取系統(tǒng)或是用戶信息。事實上，間諜軟件日前還是一個具有爭議的概念，一種被普遍接受的觀點認(rèn)為間諜軟件是指那些在用戶小知情的情況下進行非法安裝發(fā)裝后很難找到其蹤影，并悄悄把截獲的一些機密信息提供給第下者的軟件。間諜軟件的功能繁多，它可以監(jiān)視用戶行為，或是發(fā)布廣告，修改系統(tǒng)設(shè)置，威脅用戶隱私和計算機安全，并可能小同程度的影響系統(tǒng)性能。

(5)信息戰(zhàn)的嚴(yán)重威脅。信息戰(zhàn)，即為了國家的軍事戰(zhàn)略而采取行動，取得信息優(yōu)勢，干擾敵方的信息和信息系統(tǒng)，同時保衛(wèi)自己的信息和信息系統(tǒng)。這種對抗形式的目標(biāo)，不是集中打擊敵方的人員或戰(zhàn)斗技術(shù)裝備，而是集中打擊敵方的計算機信息系統(tǒng)，使其神經(jīng)中樞的指揮系統(tǒng)癱瘓。信息技術(shù)從根本上改變了進行戰(zhàn)爭的方法，其攻擊的首要目標(biāo)主要是連接國家政治、軍事、經(jīng)濟和整個社會的計算機網(wǎng)絡(luò)系統(tǒng)，信息武器已經(jīng)成為了繼原子武器、生物武器、化學(xué)武器之后的第四類戰(zhàn)略武器?？梢哉f，未來國與國之間的對抗首先將是信息技術(shù)的較量。網(wǎng)絡(luò)信息安全應(yīng)該成為國家安全的前提。

(6)計算機犯罪。計算機犯罪，通常是利用竊取口令等手段非法侵人計算機信息系統(tǒng)，傳播有害信息，惡意破壞計算機系統(tǒng)，實施貪污、盜竊、詐騙和金融犯罪等活動。

在一個開放的網(wǎng)絡(luò)環(huán)境中，大量信息在網(wǎng)上流動，這為不法分子提供了攻擊目標(biāo)。他們利用不同的攻擊手段，獲得訪問或修改在網(wǎng)中流動的敏感信息，闖入用戶或政府部門的計算機系統(tǒng)，進行窺視、竊取、篡改數(shù)據(jù)。不受時間、地點、條件限制的網(wǎng)絡(luò)詐騙，其“低成本和高收益”又在一定程度上刺激了犯罪的增長。使得針對計算機信息系統(tǒng)的犯罪活動日益增多。防火墻的安全功能及安全網(wǎng)絡(luò)方案

2.1防火墻具備的安全功能

防火墻是網(wǎng)絡(luò)安全策略的有機組成部分，它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理。從總體上看，防火墻應(yīng)該具有以下基本功能：

(1)報警功能，將任何有網(wǎng)絡(luò)連接請求的程序通知用戶，用戶自行判斷是否放行也或阻斷其程序連接網(wǎng)絡(luò)。

(2)黑白名單功能，可以對現(xiàn)在或曾經(jīng)請求連接網(wǎng)絡(luò)的程序進行規(guī)則設(shè)置。包括以后不準(zhǔn)許連接網(wǎng)網(wǎng)等功能。

(3)局域網(wǎng)查詢功能，可以查詢本局域網(wǎng)內(nèi)其用戶，并顯示各用戶主機名。

(4)流量查看功能，對計算機進出數(shù)據(jù)流量進行查看，直觀的完整的查看實時數(shù)據(jù)量和上傳下載數(shù)據(jù)率。

(5)端口掃描功能，戶自可以掃描本機端口，端口范圍為0-65535端口，掃描完后將顯示已開放的端口。

(6)系統(tǒng)日志功能，日志分為流量日志和安全日志，流量日志是記錄不同時間數(shù)據(jù)包進去計算機的情況，分別記錄目標(biāo)地址，對方地址，端口號等。安全日志負(fù)責(zé)記錄請求連接網(wǎng)絡(luò)的程序，其中包括記錄下程序的請求連網(wǎng)時間，程序目錄路徑等。(7)系統(tǒng)服務(wù)功能，可以方便的查看所以存在于計算機內(nèi)的服務(wù)程序?？梢躁P(guān)閉，啟動，暫停計算機內(nèi)的服務(wù)程序。

(8)連網(wǎng)/斷網(wǎng)功能，在不使用物理方法下使用戶計算機連接網(wǎng)絡(luò)或斷開網(wǎng)絡(luò)。完成以上功能使系統(tǒng)能對程序連接網(wǎng)絡(luò)進行管理，大大提高了用戶上網(wǎng)的效率，降低的上網(wǎng)風(fēng)險。從而用戶上網(wǎng)娛樂的質(zhì)量達到提高，同時也達到網(wǎng)絡(luò)安全保護的目的。

2.2 計算機網(wǎng)絡(luò)面臨的威脅網(wǎng)絡(luò)安全的解決方案

2.2.1入侵檢測系統(tǒng)部署

入侵檢測能力是衡量一個防御體系是否完整有效的重要因素，強大完整的入侵檢

測體系可以彌補防火墻相對靜態(tài)防御的不足。對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進行實時檢測，及時發(fā)現(xiàn)各種可能的攻擊企圖，并采取相應(yīng)的措施。具體來講，就是將入侵檢測引擎接入中心交換機上。入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件，作為網(wǎng)絡(luò)管理員事后分析的依據(jù)；如果情況嚴(yán)重，系統(tǒng)可以發(fā)出實時報警，使得學(xué)校管理員能夠及時采取應(yīng)對措施。

2.2.2漏洞掃描系統(tǒng)

采用目前最先進的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機等進行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。

2.2.3網(wǎng)絡(luò)版殺毒產(chǎn)品部署

在該網(wǎng)絡(luò)防病毒方案中，我們最終要達到一個目的就是：要在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作，為了實現(xiàn)這一點，我們應(yīng)該在整個網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時為了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系，應(yīng)能實現(xiàn)遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。

2.2.4 安全服務(wù)配置

安全服務(wù)隔離區(qū)(DMZ)把服務(wù)器機群和系統(tǒng)管理機群單獨劃分出來, 設(shè)置為安全服務(wù)隔離區(qū), 它既是內(nèi)部網(wǎng)絡(luò)的一部分, 又是一個獨立的局域網(wǎng)，單獨劃分出來是為了更好的保護服務(wù)器上數(shù)據(jù)和系統(tǒng)管理的正常運行。建議通過NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)

技術(shù)將受保護的內(nèi)部網(wǎng)絡(luò)的全部主機地址映射成防火墻上設(shè)置的少數(shù)幾個有效公網(wǎng)IP地址。這不僅可以對外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和IP地址, 保護內(nèi)部網(wǎng)絡(luò)的安全, 也可以大大節(jié)省公網(wǎng)IP地址的使用, 節(jié)省了投資成本。

如果單位原來已有邊界路由器, 則可充分利用原有設(shè)備, 利用邊界路由器的包過

濾功能, 添加相應(yīng)的防火墻配置，這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護的內(nèi)部網(wǎng)絡(luò)連接。對于DMZ區(qū)中的公用服務(wù)器, 則可直接與邊界路由器相連，不用經(jīng)過防火墻。它可只經(jīng)過路由器的簡單防護。在此拓?fù)浣Y(jié)構(gòu)中, 邊界路由器與防火墻就一起組成了兩道安全防線, 并且在這兩者之間可以設(shè)置一個DMZ區(qū), 用來放置那些允許外部用戶訪問的公用服務(wù)器設(shè)施。

2.2.5 配置訪問策略

訪問策略是防火墻的核心安全策略, 所以要經(jīng)過詳盡的信息統(tǒng)計才可以進行設(shè)置。在過程中我們需要了解本單位對內(nèi)對外的應(yīng)用以及所對應(yīng)的源地址、目的地址、TCP 或UDP的端口, 并根據(jù)不同應(yīng)用的執(zhí)行頻繁程度對策略在規(guī)則表中的位置進行排序, 然后才能實施配置。原因是防火墻進行規(guī)則查找時是順序執(zhí)行的, 如果將常用的規(guī)則放在首位就可以提高防火墻的工作效率。

2.2.6 日志監(jiān)控

日志監(jiān)控是十分有效的安全管理手段。往往許多管理員認(rèn)為只要可以做日志的信息就去采集。如: 所有的告警或所有與策略匹配或不匹配的流量等等，這樣的做法看似日志信息十分完善, 但每天進出防火墻的數(shù)據(jù)有上百萬甚至更多, 所以, 只有采集到最關(guān)鍵的日志才是真正有用的日志。一般而言，系統(tǒng)的告警信息是有必要記錄的, 對于流量信息進行選擇, 把影響網(wǎng)絡(luò)安全有關(guān)的流量信息保存下來。計算機網(wǎng)絡(luò)安全方案設(shè)計并實現(xiàn)

3.1桌面安全系統(tǒng)

用戶的重要信息都是以文件的形式存儲在磁盤上，使用戶可以方便地存取、修改、分發(fā)。這樣可以提高辦公的效率，但同時也造成用戶的信息易受到攻擊，造成泄密。特別是對于移動辦公的情況更是如此。因此，需要對移動用戶的文件及文件夾進行本地安全管理，防止文件泄密等安全隱患。

本設(shè)計方案采用清華紫光公司出品的紫光S鎖產(chǎn)品，“紫光S鎖”是清華紫光“桌面計算機信息安全保護系統(tǒng)”的商品名稱。紫光S鎖的內(nèi)部集成了包括中央處理器（CPU）、加密運算協(xié)處理器（CAU）、只讀存儲器（ROM），隨機存儲器（RAM）、電可擦除可編程只讀存儲器（E2PROM）等，以及固化在ROM內(nèi)部的芯片操作系統(tǒng)COS（Chip Operating System）、硬件ID號、各種密鑰和加密算法等。紫光S鎖采用了通過中國人民銀行認(rèn)證的SmartCOS，其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改，防止非法軟件對S鎖進行操作。

3.2病毒防護系統(tǒng)

基于單位目前網(wǎng)絡(luò)的現(xiàn)狀，在網(wǎng)絡(luò)中添加一臺服務(wù)器，用于安裝IMSS。

（1)郵件防毒。采用趨勢科技的ScanMail for Notes。該產(chǎn)品可以和Domino的群件服務(wù)器無縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫中，可防止病毒入侵到LotueNotes的數(shù)據(jù)庫及電子郵件，實時掃描并清除隱藏于數(shù)據(jù)庫及信件附件中的病毒?？赏ㄟ^任何Notes工作站或Web界面遠程控管防毒管理工作，并提供實時監(jiān)控病毒流量的活動記錄報告。ScanMail是Notes Domino Server使用率最高的防病毒軟件。

（2)服務(wù)器防毒。采用趨勢科技的ServerProtect。該產(chǎn)品的最大特點是內(nèi)含集中管理的概念，防毒模塊和管理模塊可分開安裝。一方面減少了整個防毒系統(tǒng)對原系統(tǒng)的影響，另一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點進行部署，管理和更新。

（3)客戶端防毒。采用趨勢科技的OfficeScan。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng)，使管理者通過單點控制所有客戶機上的防毒模塊，并可以自動對所有客戶端的防

毒模塊進行更新。其最大特點是擁有靈活的產(chǎn)品集中部署方式，不受Windows域管理模式的約束，除支持SMS，登錄域腳本，共享安裝以外，還支持純Web的部署方式。

（4)集中控管TVCS。管理員可以通過此工具在整個企業(yè)范圍內(nèi)進行配置、監(jiān)視和維護趨勢科技的防病毒軟件，支持跨域和跨網(wǎng)段的管理，并能顯示基于服務(wù)器的防病毒產(chǎn)品狀態(tài)。無論運行于何種平臺和位置，TVCS在整個網(wǎng)絡(luò)中總起一個單一管理控制臺作用。簡便的安裝和分發(fā)代理部署，網(wǎng)絡(luò)的分析和病毒統(tǒng)計功能以及自動下載病毒代碼文件和病毒爆發(fā)警報，給管理帶來極大的便利。

3.3 動態(tài)口令系統(tǒng)

動態(tài)口令系統(tǒng)在國際公開的密碼算法基礎(chǔ)上，結(jié)合生成動態(tài)口令的特點，加以精心修改，通過十次以上的非線性迭代運算，完成時間參數(shù)與密鑰充分的混合擴散。在此基礎(chǔ)上，采用先進的身份認(rèn)證及加解密流程、先進的密鑰管理方式，從整體上保證了系統(tǒng)的安全性。

單位安全網(wǎng)由多個具有不同安全信任度的網(wǎng)絡(luò)部分構(gòu)成，在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷，從而構(gòu)成了對網(wǎng)絡(luò)安全的重要隱患。本設(shè)計方案選用四臺網(wǎng)御防火墻，分別配置在高性能服務(wù)器和三個重要部門的局域網(wǎng)出入口，實現(xiàn)這些重要部門的訪問控制。

通過在核心交換機和高性能服務(wù)器群之間及核心交換機和重要部門之間部署防火墻，通過防火墻將網(wǎng)絡(luò)內(nèi)部不同部門的網(wǎng)絡(luò)或關(guān)鍵服務(wù)器劃分為不同的網(wǎng)段，彼此隔離。這樣不僅保護了單位網(wǎng)絡(luò)服務(wù)器，使其不受來自內(nèi)部的攻擊，也保護了各部門網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器不受來自單位網(wǎng)內(nèi)部其他部門的網(wǎng)絡(luò)的攻擊。如果有人闖進您的一個部門，或者如果病毒開始蔓延，網(wǎng)段能夠限制造成的損壞進一步擴大。

為有效解決辦公區(qū)之間信息的傳輸安全，可以在多個子網(wǎng)之間建立起獨立的安全通道，通過嚴(yán)格的加密和認(rèn)證措施來保證通道中傳送的數(shù)據(jù)的完整性、真實性和私有性。

SJW-22網(wǎng)絡(luò)密碼機系統(tǒng)組成

網(wǎng)絡(luò)密碼機（硬件）:是一個基于專用內(nèi)核，具有自主版權(quán)的高級通信保護控制系

統(tǒng)。

本地管理器（軟件）:是一個安裝于密碼機本地管理平臺上的基于網(wǎng)絡(luò)或串口方式的網(wǎng)絡(luò)密碼機本地管理系統(tǒng)軟件。

中心管理器（軟件）:是一個安裝于中心管理平臺（Windows系統(tǒng)）上的對全網(wǎng)的密碼機設(shè)備進行統(tǒng)一管理的系統(tǒng)軟件。

根據(jù)以上多層次安全防范的策略，安全網(wǎng)的安全建設(shè)可采取“加密”、“外防”、“內(nèi)審”相結(jié)合的方法，“內(nèi)審”是對系統(tǒng)內(nèi)部進行監(jiān)視、審查，識別系統(tǒng)是否正在受到攻擊以及內(nèi)部機密信息是否泄密，以解決內(nèi)層安全。

安全審計系統(tǒng)能幫助用戶對安全網(wǎng)的安全進行實時監(jiān)控，及時發(fā)現(xiàn)整個網(wǎng)絡(luò)上的動態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為，忠實記錄網(wǎng)絡(luò)上發(fā)生的一切，提供取證手段。作為網(wǎng)絡(luò)安全十分重要的一種手段，安全審計系統(tǒng)包括識別、記錄、存儲、分析與安全相關(guān)行為有關(guān)的信息。

在安全網(wǎng)中使用的安全審計系統(tǒng)應(yīng)實現(xiàn)如下功能：安全審計自動響應(yīng)、安全審計數(shù)據(jù)生成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。

本設(shè)計方案選用“漢邦軟科”的安全審計系統(tǒng)作為安全審計工具。

漢邦安全審計系統(tǒng)是針對目前網(wǎng)絡(luò)發(fā)展現(xiàn)狀及存在的安全問題，面向企事業(yè)的網(wǎng)絡(luò)管理人員而設(shè)計的一套網(wǎng)絡(luò)安全產(chǎn)品，是一個分布在整個安全網(wǎng)范圍內(nèi)的網(wǎng)絡(luò)安全監(jiān)視監(jiān)測、控制系統(tǒng)。

（1）安全審計系統(tǒng)由安全監(jiān)控中心和主機傳感器兩個部分構(gòu)成。主機傳感器安裝在要監(jiān)視的目標(biāo)主機上，其監(jiān)視目標(biāo)主機的人機界面操作、監(jiān)控RAS連接、監(jiān)控網(wǎng)絡(luò)連接情況及共享資源的使用情況。安全監(jiān)控中心是管理平臺和監(jiān)控平臺，網(wǎng)絡(luò)管理員通過安全監(jiān)控中心為主機傳感器設(shè)定監(jiān)控規(guī)則，同時獲得監(jiān)控結(jié)果、報警信息以及日志的審計。主要功能有文件保護審計和主機信息審計。

①文件保護審計：文件保護安裝在審計中心，可有效的對被審計主機端的文件進行管理規(guī)則設(shè)置，包括禁止讀、禁止寫、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報警等功能。以及對文件保護進行用戶管理。

②主機信息審計:對網(wǎng)絡(luò)內(nèi)公共資源中，所有主機進行審計，可以審計到主機的機器名、當(dāng)前用戶、操作系統(tǒng)類型、IP地址信息。

（2)資源監(jiān)控系統(tǒng)主要有四類功能。①監(jiān)視屏幕:在用戶指定的時間段內(nèi)，系統(tǒng)自動每隔數(shù)秒或數(shù)分截獲一次屏幕;用戶實時控制屏幕截獲的開始和結(jié)束。防火墻的配置

4.1防火墻的初始配置

像路由器一樣，在使用之前，防火墻也需要經(jīng)過基本的初始配置。但因各種防火墻的初始配置基本類似，所以在此僅以Cisco PIX防火墻為例進行介紹。

防火墻的初始配置也是通過控制端口（Console）與PC機（通常是便于移動的筆記本電腦）的串口連接，再通過Windows系統(tǒng)自帶的超級終端（HyperTerminal）程序進行選項配置。防火墻的初始配置物理連接與前面介紹的交換機初始配置連接方法一樣，參見圖1所示。

防火墻除了以上所說的通過控制端口（Console）進行初始配置外，也可以通過telnet和Tffp配置方式進行高級配置，但Telnet配置方式都是在命令方式中配置，難度較大，而Tffp方式需要專用的Tffp服務(wù)器軟件，但配置界面比較友好。

防火墻與路由器一樣也有四種用戶配置模式，即：普通模式（Unprivileged mode）、特權(quán)模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），進入這四種用戶模式的命令也與路由器一樣：

普通用戶模式無需特別命令，啟動后即進入；

進入特權(quán)用戶模式的命令為“enable”；進入配置模式的命令為“config terminal”；而進入端口模式的命令為“interface ethernet（）”。不過因為防火墻的端口沒有路由器那么復(fù)雜，所以通常把端口模式歸為配置模式，統(tǒng)稱為“全局配置模式”。

防火墻的具體配置步驟如下：

1.將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的

一個空余串口上，參見圖1。

2.打開PIX防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機。

3.運行筆記本電腦Windows系統(tǒng)中的超級終端（HyperTerminal）程序（通常在“附件”程序組中）。對超級終端的配置與交換機或路由器的配置一樣，參見本教程前面有關(guān)介紹。

4.當(dāng)PIX防火墻進入系統(tǒng)后即顯示“pixfirewall>”的提示符，這就證明防火墻已啟動成功，所進入的是防火墻用戶模式?？梢赃M行進一步的配置了。

5.輸入命令：enable,進入特權(quán)用戶模式，此時系統(tǒng)提示為：pixfirewall#。

6.輸入命令： configure terminal,進入全局配置模式，對系統(tǒng)進行初始化設(shè)置。

（1）.首先配置防火墻的網(wǎng)卡參數(shù)（以只有1個LAN和1個WAN接口的防火墻配置為例）

Interface ethernet0 auto # 0號網(wǎng)卡系統(tǒng)自動分配為WAN網(wǎng)卡，“auto”選項為系統(tǒng)自適應(yīng)網(wǎng)卡類型

Interface ethernet1 auto

（2）.配置防火墻內(nèi)、外部網(wǎng)卡的IP地址

IP address inside ip_address netmask # Inside代表內(nèi)部網(wǎng)卡

IP address outside ip_address netmask # outside代表外部網(wǎng)卡

（3）.指定外部網(wǎng)卡的IP地址范圍：

global 1 ip_address-ip_address

（4）.指定要進行轉(zhuǎn)換的內(nèi)部地址

nat 1 ip_address netmask

（5）.配置某些控制選項：

conduit global_ip port[-port] protocol foreign_ip [netmask]

其中，global_ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指的是連接協(xié)議，比如：TCP、UDP等；foreign_ip：表示可訪問的global_ip外部IP地址；netmask：為可選項，代表要控制的子網(wǎng)掩碼。

7.配置保存：wr mem

8.退出當(dāng)前模式

此命令為exit，可以任何用戶模式下執(zhí)行，執(zhí)行的方法也相當(dāng)簡單，只輸入命令本身即可。它與Quit命令一樣。下面三條語句表示了用戶從配置模式退到特權(quán)模式，再退到普通模式下的操作步驟。

pixfirewall(config)# exit

pixfirewall# exit

pixfirewall>

9.查看當(dāng)前用戶模式下的所有可用命令：show，在相應(yīng)用戶模式下鍵入這個命令后，即顯示出當(dāng)前所有可用的命令及簡單功能描述。

10.查看端口狀態(tài)：show interface，這個命令需在特權(quán)用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。

11.查看靜態(tài)地址映射:show static，這個命令也須在特權(quán)用戶模式下執(zhí)行，執(zhí)行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況。

4.2 過濾防火墻的訪問配置

除了以上介紹的基本配置外，在防火墻的安全策略中最重要還是對訪問控制列表（ACL）進行配有關(guān)置。下面介紹一些用于此方面配置的基本命令。

1.access-list：用于創(chuàng)建訪問規(guī)則

這一訪問規(guī)則配置命令要在防火墻的全局配置模式中進行。同一個序號的規(guī)則可以看作一類規(guī)則，同一個序號之間的規(guī)則按照一定的原則進行排列和選擇，這個順序可以通過 show access-list 命令看到。在這個命令中，又有幾種命令格式，分別執(zhí)行不同的命令。

（1）創(chuàng)建標(biāo)準(zhǔn)訪問列表

命令格式：access-list [ normal

special ] listnumber1 { permit

deny } source-addr [ source-mask ]

（2）創(chuàng)建擴展訪問列表

命令格式：access-list [ normal

special ] listnumber2 { permit

deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ]

icmp-type [ icmp-code ] ] [ log ]

（3）刪除訪問列表

命令格式：no access-list { normal

special } { all

listnumber [ subitem ] }

上述命令參數(shù)說明如下：

●normal：指定規(guī)則加入普通時間段。

●special：指定規(guī)則加入特殊時間段。

●listnumber1：是1到99之間的一個數(shù)值，表示規(guī)則是標(biāo)準(zhǔn)訪問列表規(guī)則。

●listnumber2：是100到199之間的一個數(shù)值，表示規(guī)則是擴展訪問列表規(guī)則。

●permit：表明允許滿足條件的報文通過。

●deny：表明禁止?jié)M足條件的報文通過。

●protocol：為協(xié)議類型，支持ICMP、TCP、UDP等，其它的協(xié)議也支持，此時沒有端口比較的概念；為IP時有特殊含義，代表所有的IP協(xié)議。

●source-addr：為源IP地址。

●source-mask：為源IP地址的子網(wǎng)掩碼，在標(biāo)準(zhǔn)訪問列表中是可選項，不輸入則代表通配位為0.0.0.0。

●dest-addr：為目的IP地址。

●dest-mask：為目的地址的子網(wǎng)掩碼。

●operator：端口操作符，在協(xié)議類型為TCP或UDP時支持端口比較，支持的比較操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符為range，則后面需要跟兩個端口。

port1 在協(xié)議類型為TCP或UDP時出現(xiàn)，可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或0~65535之間的一個數(shù)值。port2 在協(xié)議類型為TCP或UDP且操作類型為range時出現(xiàn)；可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或0~65535之間的一個數(shù)值。

●icmp-type：在協(xié)議為ICMP時出現(xiàn)，代表ICMP報文類型；可以是關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如echo-reply）或者是0~255之間的一個數(shù)值。

●icmp-code：在協(xié)議為ICMP，且沒有選擇所設(shè)定的預(yù)設(shè)值時出現(xiàn)；代表ICMP碼，是0~255之間的一個數(shù)值。

●log：表示如果報文符合條件，需要做日志。

●listnumber：為刪除的規(guī)則序號，是1~199之間的一個數(shù)值。

●subitem：指定刪除序號為listnumber的訪問列表中規(guī)則的序號。

例如，現(xiàn)要在華為的一款防火墻上配置一個“允許源地址為10.20.10.0 網(wǎng)絡(luò)、目的地址為10.20.30.0網(wǎng)絡(luò)的WWW訪問，但不允許使用FTP”的訪問規(guī)則。相應(yīng)配置語句只需兩行即可，如下：

Quidway(config)#access-list 100 permit tcp 10.20.10.0 255.0.0.0 10.20.30.0

255.0.0.0 eq www

Quidway(config)#access-list 100 deny tcp 10.20.10.0 255.0.0.0 10.20.30.0 255.0.0.0 eq ftp

2.clear access-list counters：清除訪問列表規(guī)則的統(tǒng)計信息

命令格式：clear access-list counters [ listnumber ]

這一命令必須在特權(quán)用戶模式下進行配置。listnumber 參數(shù)是用指定要清除統(tǒng)計信息的規(guī)則號，如不指定，則清除所有的規(guī)則的統(tǒng)計信息。

如要在華為的一款包過濾路由器上清除當(dāng)前所使用的規(guī)則號為100的訪問規(guī)則統(tǒng)計信息。訪問配置語句為：

clear access-list counters 100

如有清除當(dāng)前所使用的所有規(guī)則的統(tǒng)計信息，則以上語句需改為：Quidway#clear access-list counters

3.ip access-group

使用此命令將訪問規(guī)則應(yīng)用到相應(yīng)接口上。使用此命令的no形式來刪除相應(yīng)的設(shè)置，對應(yīng)格式為：

ip access-group listnumber { in

out }

此命令須在端口用戶模式下配置，進入端口用戶模式的命令為：interface ethernet（），括號中為相應(yīng)的端口號，通常0為外部接口，而1為內(nèi)部接口。進入后再用ip access-group 命令來配置訪問規(guī)則。listnumber參數(shù)為訪問規(guī)則號，是1~199之間的一個數(shù)值（包括標(biāo)準(zhǔn)訪問規(guī)則和擴展訪問規(guī)則兩類）；in 表示規(guī)則應(yīng)用于過濾從接口接收到的報文；而out表示規(guī)則用于過濾從接口轉(zhuǎn)發(fā)出去的報文。一個接口的一個方向上最多可以應(yīng)用20類不同的規(guī)則；這些規(guī)則之間按照規(guī)則序號的大小進行排列，序號大的排在前面，也就是優(yōu)先級高。對報文進行過濾時，將采用發(fā)現(xiàn)符合的規(guī)則即得出過濾結(jié)果的方法來加快過濾速度。所以，建議在配置規(guī)則時，盡量將對同一個網(wǎng)絡(luò)配置的規(guī)則放在同一個序號的訪問列表中；在同一個序號的訪問列表中，規(guī)則之間的排列和選擇順序可以用show access-list命令來查看。

例如將規(guī)則100應(yīng)用于過濾從外部網(wǎng)絡(luò)接口上接收到的報文，配置語句為（同樣為在傾為包過濾路由器上）：

ip access-group 100 in

如果要刪除某個訪問控制表列綁定設(shè)置，則可用no ip access-group listnumber { in

out } 命令。

4.show access-list

此配置命令用于顯示包過濾規(guī)則在接口上的應(yīng)用情況。命令格式為：show access-list [ all

listnumber

interface interface-name ]

這一命令須在特權(quán)用戶模式下進行配置，其中all參數(shù)表示顯示所有規(guī)則的應(yīng)用情況，包括普通時間段內(nèi)及特殊時間段內(nèi)的規(guī)則；如果選擇listnumber參數(shù)，則僅需顯示指定規(guī)則號的過濾規(guī)則；interface 表示要顯示在指定接口上應(yīng)用的所有規(guī)則序號；interface-name參數(shù)為接口的名稱。

使用此命令來顯示所指定的規(guī)則，同時查看規(guī)則過濾報文的情況。每個規(guī)則都有一個相應(yīng)的計數(shù)器，如果用此規(guī)則過濾了一個報文，則計數(shù)器加1；通過對計數(shù)器的觀察可以看出所配置的規(guī)則中，哪些規(guī)則是比較有效，而哪些基本無效。例如，現(xiàn)在要顯示當(dāng)前所使用序號為100的規(guī)則的使用情況，可執(zhí)行Quidway#show access-list 100語句即可，隨即系統(tǒng)即顯示這條規(guī)則的使用情況，格式如下：

Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)

permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)

deny udp any any eq rip(no matches--rule 3)

5.show firewall

此命令須在特權(quán)用戶模式下執(zhí)行，它顯示當(dāng)前防火墻狀態(tài)。命令格式非常簡單，也為：show firewall。這里所說的防火墻狀態(tài)，包括防火墻是否被啟用，啟用防火墻時是否采用了時間段包過濾及防火墻的一些統(tǒng)計信息。

6.Telnet

這是用于定義能過防火配置控制端口進行遠程登錄的有關(guān)參數(shù)選項，也須在全局配置用戶模式下進行配置。

命令格式為：telnet ip_address [netmask] [if_name]

其中的ip_address參數(shù)是用來指定用于Telnet登錄的IP地址，netmask為子網(wǎng)掩碼，if_name用于指定用于Telnet登錄的接口，通常不用指定，則表示此IP地址適用于所有端口。如：

telnet 192.168.1.1

如果要清除防火墻上某個端口的Telnet參數(shù)配置，則須用clear telnet命令，其格式為：clear telnet [ip_address [netmask] [if_name]]，其中各選項說明同上。它與另一個命令no telnet功能基本一樣，不過它是用來刪除某接口上的Telnet配置，命令格式為：no telnet [ip_address [netmask] [if_name]]。

如果要顯示當(dāng)前所有的Telnet配置，則可用show telnet命令。

最簡單的防火墻配置，就是直接在內(nèi)部網(wǎng)和外部網(wǎng)之間加裝一個包過濾路由器或者應(yīng)用網(wǎng)關(guān)。為更好地實現(xiàn)網(wǎng)絡(luò)安全，有時還要將幾種防火墻技術(shù)組合起來構(gòu)建防火墻系統(tǒng)。目前比較流行的有以下三種防火墻配置方案。

4.3雙宿主機網(wǎng)關(guān)(Dual Homed Gateway)這種配置是用一臺裝有兩個網(wǎng)絡(luò)適配器的雙宿主機做防火墻。雙宿主機用兩個網(wǎng)絡(luò)適配器分別連接兩個網(wǎng)絡(luò)，又稱堡壘主機。堡壘主機上運行著防火墻軟件(通常是代理服務(wù)器)，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機網(wǎng)關(guān)有一個致命弱點，一旦入侵者侵入堡壘主機并使該主機只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問有保護的內(nèi)部網(wǎng)絡(luò)(如圖1)。

三種流行防火墻配置方案分析(圖一)

4.4屏蔽主機網(wǎng)關(guān)(Screened Host Gateway)

屏蔽主機網(wǎng)關(guān)易于實現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。先來看單宿堡壘主機類型。一個包過濾路由器連接外部網(wǎng)絡(luò)，同時

一個堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機只有一個網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接(如圖2)。通常在路由器上設(shè)立過濾規(guī)則，并使這個單宿堡壘主機成為從 Internet惟一可以訪問的主機，確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而Intranet內(nèi)部的客戶機，可以受控制地通過屏蔽主機和路由器訪問Internet.三種流行防火墻配置方案分析(圖二)

雙宿堡壘主機型與單宿堡壘主機型的區(qū)別是，堡壘主機有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接包過濾路由器(如圖3)。雙宿堡壘主機在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。

三種流行防火墻配置方案分析(圖三)

4.5屏蔽子網(wǎng)(Screened Subnet)

這種方法是在Intranet和Internet之間建立一個被隔離的子網(wǎng)，用兩個包過濾路由器將這一子網(wǎng)分別與Intranet和 Internet 分開。兩個包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個“緩沖地帶”(如圖4)，兩個路由器一個控制Intranet 數(shù)據(jù)流，另一個控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽

子網(wǎng)通信?？筛鶕?jù)需要在屏蔽子網(wǎng)中安裝堡壘主機，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問提供代理服務(wù)，但是來自兩網(wǎng)絡(luò)的訪問都必須通過兩個包過濾路由器的檢查。對于向Internet公開的服務(wù)器，像WWW、FTP、Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無論是外部用戶，還是內(nèi)部用戶都可訪問。這種結(jié)構(gòu)的防火墻安全性能高，具有很強的抗攻擊能力，但需要的設(shè)備多，造價高。

三種流行防火墻配置方案分析(圖四)當(dāng)然，防火墻本身也有其局限性，如不能防范繞過防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸;難以避免來自內(nèi)部的攻擊等等?？傊?，防火墻只是一種整體安全防范策略的一部分，僅有防火墻是不夠的，安全策略還必須包括全面的安全準(zhǔn)則，即網(wǎng)絡(luò)訪問、本地和遠程用戶認(rèn)證、撥出撥入呼叫、磁盤和數(shù)據(jù)加密以及病毒防護等有關(guān)的安全

總 結(jié)

經(jīng)過兩個月艱苦卓絕的努力,總于完成了本畢業(yè)設(shè)計.從當(dāng)初領(lǐng)到題目到最后一個功能模塊的完成,經(jīng)歷了無數(shù)次的錯誤->修改代碼->重啟服務(wù)器->運行的過程,感覺到平時學(xué)的知識是多么的淺薄,書到用時方恨少,現(xiàn)在是體驗的真真切切.也充分反應(yīng)了我平時的基本功不扎實,給我以后的工作敲響了警鐘,有了努力的方向.但通過本次畢業(yè)設(shè)計,我也感受到了開源的方便,遇到什么問題,上網(wǎng)一查,就知道該怎么弄了,以前做個課程設(shè)計都是怕別人和我的一樣,不愿意給別人看,現(xiàn)在知道了程序弄不出來是多么的著急,學(xué)習(xí)都是相互的,互相研究才能共同進步的.以后要多多注意這方面的事情, 本次畢業(yè)設(shè)計是我工作前一次很好的演練和實踐的機會,是培養(yǎng)獨立考問題和自學(xué)能力的鍛煉,使我意識到必須努力學(xué)習(xí)才能才工作中體現(xiàn)自己的價值,適應(yīng)社會的需要.致 謝

經(jīng)過了三個月的努力,我完成了題目為:計算機網(wǎng)絡(luò)安全及防火墻技術(shù)。

本次設(shè)計能夠順利完成,我首先要感謝一些發(fā)表書籍的老師們。其次,我要感謝我的指導(dǎo)老師,她自始自終都給予了我莫大的幫助,對的設(shè)計中每一個計劃,每一項安排都提出了至關(guān)重要的建議,使我少走了許多彎路,節(jié)省了大量的時間,并且能不厭其煩地指導(dǎo)我技術(shù)上的問題,使我的系統(tǒng)更加完善和符合企業(yè)網(wǎng)站的要求.可以說,我的畢業(yè)設(shè)計的順利完成凝聚著導(dǎo)師的大量心血.另外,我還要感謝那些網(wǎng)上的朋友,他們毫不吝嗇的將自己所掌握的知識拿出來資源共享,才使我部分功能模塊得以實現(xiàn),謝謝他們.通過這次畢業(yè)設(shè)計,我體會很多,學(xué)會是一回事,會用則就是另一回事了.以前感到自己專業(yè)技能還可以,但真正到用的時候就發(fā)現(xiàn)了很多缺陷,發(fā)現(xiàn)自己其實差距很大,還不能適應(yīng)工作.為我今后指明了努力方向.再一次，我向多方面支持和幫助過我的人表示由衷的感謝！

參考文獻

[1]張寶劍.計算機安全與防護技術(shù)[M].機械工業(yè)出版社,2003.[2]林海波,網(wǎng)絡(luò)安全與防火墻技術(shù)[M].北京清華大學(xué)出版社,2000.[3]凌雨欣,常紅.網(wǎng)絡(luò)安全技術(shù)與反網(wǎng)絡(luò)入侵者[M].冶金工業(yè)出版社,2001.[4]王蓉,林海波.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].清華大學(xué)出版社,2000.[5]余建斌.黑客的攻擊手段及用戶對策［M］.北京人民郵電出版社,2005.[6](美)布萊克赫茲.Microsoft，UNIX及0racle主機和網(wǎng)絡(luò)安全［M］.電子工業(yè)出版社,2004.[7] 馬程.防火墻在網(wǎng)絡(luò)安全中的應(yīng)用［J］.甘肅科技,2008

第三篇：計算機防火墻技術(shù)畢業(yè)論文

本文由yin528855貢獻

doc文檔可能在WAP端瀏覽體驗不佳。建議您優(yōu)先選擇TXT，或下載源文件到本機查看。

計算機防火墻技術(shù)論文

畢 業(yè) 論 文

計算機防火墻技術(shù)

姓 學(xué)

名： 號：

指導(dǎo)老師： 系 專 班 名： 業(yè)： 級：

二零一零年十一月十五日 1 計算機防火墻技術(shù)論文

摘要

因特網(wǎng)的迅猛發(fā)展給人們的生活帶來了極大的方便，但同時因特網(wǎng)也面臨 著空前的威脅。因此，如何使用有效可行的方法使網(wǎng)絡(luò)危險降到人們可接受的范 圍之內(nèi)越來越受到人們的關(guān)注。而如何實施防范策略，首先取決于當(dāng)前系統(tǒng)的安 全性。所以對網(wǎng)絡(luò)安全的各獨立元素——防火墻、漏洞掃描、入侵檢測和反病毒 等進行風(fēng)險評估是很有必要的。防火墻技術(shù)作為時下比較成熟的一種網(wǎng)絡(luò)安全技術(shù)，其安全性直接關(guān)系到用 戶的切身利益。針對網(wǎng)絡(luò)安全獨立元素——防火墻技術(shù)，通過對防火墻日志文件 的分析，設(shè)計相應(yīng)的數(shù)學(xué)模型和軟件雛形，采用打分制的方法，判斷系統(tǒng)的安全 等級，實現(xiàn)對目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險評估，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。對網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運行，利用網(wǎng)絡(luò)傳播病毒，線路竊聽等方面。這以要求我們與 Internet 互連所帶來的安全性問題予以足夠重視。計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展 使網(wǎng)絡(luò)安全問題日益突出,而防火墻是應(yīng)用最廣泛的安全產(chǎn)品。本文闡述了網(wǎng)絡(luò) 防火墻的工作原理并對傳統(tǒng)防火墻的利弊進行了對比分析,最后結(jié)合計算機科學(xué) 其它領(lǐng)域的相關(guān)新技術(shù),提出了新的防火墻技術(shù),并展望了其發(fā)展前景。

關(guān)鍵詞： 關(guān)鍵詞 ：包過濾 智能防火墻

應(yīng)用層網(wǎng)關(guān)

分布式防火墻

監(jiān)測型防火墻 嵌入式防火墻

網(wǎng)絡(luò)安全，防火墻，防范策略，發(fā)展趨勢 2 計算機防火墻技術(shù)論文

摘要?? 1 第一章 引言 ?? 4 1.1 研究背景?? 4 1.2 研究目的?? 4 1.3 論文結(jié)構(gòu)?? 5 第二章 網(wǎng)絡(luò)安全 ?? 6 2.1 網(wǎng)絡(luò)安全問題?? 6 2.1.1 網(wǎng)絡(luò)安全面臨的主要威脅 ?? 6 2.1.2 影響網(wǎng)絡(luò)安全的因素 ?? 6 2.2 網(wǎng)絡(luò)安全措施?? 7 2.2.1 完善計算機安全立法 ?? 7 2.2.2 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) ?? 7 2.3 制定合理的網(wǎng)絡(luò)管理措施?? 8 第三章 防火墻概述 ?? 9 3.1 防火墻的概念?? 9 3.1.1 傳統(tǒng)防火墻介紹 ?? 9 3.1.2 智能防火墻簡介 ?? 10 3.2 防火墻的功能?? 11 3.2.1 防火墻的主要功能 ?? 11 3.2.2 入侵檢測功能 ?? 11 3.2.3 虛擬專網(wǎng)功能 ?? 12 3.2.4 其他功能 ?? 12 3.3 防火墻的原理及分類?? 13 3.3.1 包過濾防火墻 ?? 13 3.3.2 應(yīng)用級代理防火墻 ?? 13 3.3.3 代理服務(wù)型防火墻 ?? 14 3.3.4 復(fù)合型防火墻 ?? 14 3.4 防火墻包過濾技術(shù)?? 14 3.4.1 數(shù)據(jù)表結(jié)構(gòu) ?? 15 3.4.2 傳統(tǒng)包過濾技術(shù) ?? 16 3.4.3 動態(tài)包過濾 ?? 17 3.4.4 深度包檢測 ?? 17 3.4.5 流過濾技術(shù) ?? 18 第四章 防火墻的配置 ?? 20 4.1 硬件連接與實施?? 20 4.2 防火墻的特色配置?? 20 4.3 軟件的配置與實施?? 21 第五章 防火墻發(fā)展趨勢 ?? 23 5.1 防火墻包過濾技術(shù)發(fā)展趨勢?? 23 5.2 防火墻的體系結(jié)構(gòu)發(fā)展趨勢?? 24 5.3 防火墻的系統(tǒng)管理發(fā)展趨勢?? 24 結(jié)論?? 25 參考文獻?? 26 致謝?? 27 3 計算機防火墻技術(shù)論文

第一章

1.1 研究背景

引言

隨著互聯(lián)網(wǎng)的普及和發(fā)展，尤其是 Internet 的廣泛使用，使計算機應(yīng)用更 加廣泛與深入。同時，我們不得不注意到，網(wǎng)絡(luò)雖然功能強大，也有其脆弱易受 到攻擊的一面。據(jù)美國 FBI 統(tǒng)計，美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟損失高 達 75 億美元，而全求平均每 20 秒鐘就發(fā)生一起 Internet 計算機侵入事件[1]。在我國，每年因黑客入侵、計算機病毒的破壞也造成了巨大的經(jīng)濟損失。人們在 利用網(wǎng)絡(luò)的優(yōu)越性的同時，對網(wǎng)絡(luò)安全問題也決不能忽視。如何建立比較安全的 網(wǎng)絡(luò)體系，值得我們關(guān)注研究。

1.2 研究目的

為了解決互聯(lián)網(wǎng)時代個人網(wǎng)絡(luò)安全的問題，近年來新興了防火墻技術(shù)[2]。防火墻具有很強的實用性和針對性，它為個人上網(wǎng)用戶提供了完整的網(wǎng)絡(luò)安全解 決方案，可以有效地控制個人電腦用戶信息在互聯(lián)網(wǎng)上的收發(fā)。用戶可以根據(jù)自 己的需要，通過設(shè)定一些參數(shù)，從而達到控制本機與互聯(lián)網(wǎng)之間的信息交流阻止 惡性信息對本機的攻擊，比如 ICMPnood 攻擊、聊天室炸彈、木馬信息破譯并修 改郵件密碼等等。而且防火墻能夠?qū)崟r記錄其它系統(tǒng)試圖對本機系統(tǒng)的訪問，使 計算機在連接到互聯(lián)網(wǎng)的時候避免受到網(wǎng)絡(luò)攻擊和資料泄漏的安全威脅。防火墻 可以保護人們在網(wǎng)上瀏覽時免受黑客的攻擊，實時防范網(wǎng)絡(luò)黑客的侵襲，還可以 根據(jù)自己的需要創(chuàng)建防火墻規(guī)則，控制互聯(lián)網(wǎng)到 PC 以及 PC 到互聯(lián)網(wǎng)的所有連接，并屏蔽入侵企圖。防火可以有效地阻截各種惡意攻擊、保護信息的安全;信息泄 漏攔截保證安全地瀏覽網(wǎng)頁、遏制郵件病毒的蔓延;郵件內(nèi)容檢測可以實時監(jiān)視 郵件系統(tǒng)，阻擋一切針對硬盤的惡意活動。個人防火墻就是在單機 Windows 系統(tǒng)上，采取一些安全防護措施，使得本機 的息得到一定的保護。個人防火墻是面向單機操作系統(tǒng)的一種小型安全防護軟 件，按一定的規(guī)則對 TCP，UDP，ICMP 和 IGMP 等報文進行過濾，對網(wǎng)絡(luò)的信息流 和系統(tǒng)進程進行監(jiān)控，防止一些惡意的攻擊。目前市場上大多數(shù)的防火墻產(chǎn)品僅 僅是網(wǎng)關(guān)的，雖然它們的功能相當(dāng)強大，但由于它們基于下述的假設(shè):內(nèi)部網(wǎng)是 安全可靠的，所有的威脅都來自網(wǎng)外。因此，他們防外不防內(nèi)，難以實現(xiàn)對企業(yè) 內(nèi)部局域網(wǎng)內(nèi)主之間的安全通信，也不能很好的解決每一個撥號上網(wǎng)用戶所在主 機的安全問題，而多數(shù)個人上網(wǎng)之時，并沒有置身于得到防護的安全網(wǎng)絡(luò)內(nèi)部。個人上網(wǎng)用戶多使用 Windows 操作系統(tǒng)，而 Windows 操作系統(tǒng)，特別是

計算機防火墻技術(shù)論文

WindowsXP 系統(tǒng)，本身的安全性就不高。各種 Windows 漏洞不斷被公布，對主機 的攻擊也越來越多。一般都是利用操作系統(tǒng)設(shè)計的安全漏洞和通信協(xié)議的安全漏 洞來實現(xiàn)攻擊。如假冒 IP 包對通信雙方進行欺騙:對主機大量發(fā)送正數(shù)據(jù)包[3] 進行轟炸攻擊，使之際崩潰;以及藍屏攻擊等。因此，為了保護主機的安全通信，研制有效的個人防火墻技術(shù)很有必要。所謂的防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共 網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合[ 1 ]。它可通過監(jiān)測、限制、更改跨 越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況, 以 此來實現(xiàn)網(wǎng)絡(luò)的安全保護。在邏輯上,防火墻是一個分離器,一個限制器,也是一 個分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和 Internet 之間的任何活動, 保證了內(nèi)部網(wǎng)絡(luò) 的安全。一個高效可靠的防火墻必須具有以下典型的特性: 1 從里到外和從外到里的所有通信都必須通過防火墻； 2 只有本地安全策略授權(quán)的通信才允許通過； 3 防火墻本身是免疫的,不會被穿透的。防火墻的基本功能有:過濾進出網(wǎng)絡(luò)的數(shù)據(jù)；管理進出網(wǎng)絡(luò)的訪問行為；封 堵某些禁止的業(yè)務(wù)； 記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊進行檢測 和報警

1.3 論文結(jié)構(gòu)

在論文中接下來的幾章里，將會有下列安排: 第二章，分析研究網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全面臨的主要威脅，影響網(wǎng)絡(luò)安 全的因素，及保護網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。第三章，介紹防火墻的相關(guān)技術(shù)，如防火墻的原理、功能、包過濾技術(shù)等。第四章，以 H3CH3C 的 F100 防火墻為例，介紹防火墻配置方法。第五章，系統(tǒng)闡述防火墻發(fā)展趨勢。5 計算機防火墻技術(shù)論文

第二章 網(wǎng)絡(luò)安全 2.1 網(wǎng)絡(luò)安全問題

安全，通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機制。我國對于 計算機安全的定義是：“計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護，不因偶然的 或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運行?！?從技術(shù)講，計算機安全分為 3 種： 1）實體的安全。它保證硬件和軟件本身的安全。2）運行環(huán)境的安全性。它保證計算機能在良好的環(huán)境里持續(xù)工作。3）信息的安全性。它保障信息不會被非法閱讀、修改和泄漏。隨著網(wǎng)絡(luò)的發(fā)展，計算機的安全問題也延伸到了計算機網(wǎng)絡(luò)。2.1.1 網(wǎng)絡(luò)安全面臨的主要威脅 一般認(rèn)為，計算機網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自計算機病毒、黑客的攻擊和 拒絕服務(wù)攻擊三個方面。1）計算機病毒的侵襲。當(dāng)前，活性病毒達 14000 多種，計算機病毒侵入 網(wǎng)絡(luò)，對網(wǎng)絡(luò)資源進行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個網(wǎng)絡(luò)的癱瘓。2）黑客侵襲。即黑客非法進入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。例如通過隱蔽通 道進行非法活動；采用匿名用戶訪問進行攻擊；通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶賬號 和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。3）拒絕服務(wù)攻擊。例如“點在郵件炸彈”，它的表現(xiàn)形式是用戶在很短 的時間內(nèi)收到大量無用的電子郵件，從而影響正常業(yè)務(wù)的運行。嚴(yán)重時會使系統(tǒng) 關(guān)機，網(wǎng)絡(luò)癱瘓。具體講，網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權(quán)訪 問、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶??等。2.1.2 影響網(wǎng)絡(luò)安全的因素 1）單機安全 購買單機時，型號的選擇；計算機的運行環(huán)境（電壓、濕度、防塵條件、強電磁場以及自然災(zāi)害等）；計算機的操作??等等，這些都是影響單機安全性 的因素。2）網(wǎng)絡(luò)安全 影響網(wǎng)絡(luò)安全的因素有：節(jié)點的安全、數(shù)據(jù)的安全（保存和傳輸方面）、文件的安全等。6 計算機防火墻技術(shù)論文 2.2 網(wǎng)絡(luò)安全措施

網(wǎng)絡(luò)信息安全涉及方方面面的問題，是一個復(fù)雜的系統(tǒng)。一個完整的網(wǎng)絡(luò)

信息安全體系至少應(yīng)包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外 部軟環(huán)境。二是技術(shù)方面，如信息加密存儲傳輸、身份認(rèn)證、防火墻技術(shù)、網(wǎng)絡(luò) 防毒等。三是管理措施，包括技術(shù)與社會措施。主要措施有：提供實時改變安全 策略的能力、實時監(jiān)控企業(yè)安全狀態(tài)、對現(xiàn)有的安全系統(tǒng)實施漏洞檢查等，以防 患于未然。這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全的保障，管理和審計是安全的防線。2.2.1 完善計算機安全立法 我國先后出臺的有關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。但目前，在這方面的立 法還遠不能適應(yīng)形勢發(fā)展的需要,應(yīng)該在對控制計算機犯罪的國內(nèi)外立法評價的 基礎(chǔ)上，完善我國計算機犯罪立法，以便為確保我國計算機信息網(wǎng)絡(luò)健康有序的 發(fā)展提供強有力的保障。2.2.2 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)(1)數(shù)據(jù)加密 加密就是把明文變成密文，從而使未被授權(quán)的人看不懂它。有兩種主要的 加密類型：私匙加密和公匙加密。(2)認(rèn)證 對合法用戶進行認(rèn)證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用 認(rèn)證機制還可以防止合法用戶訪問他們無權(quán)查看的信息。(3)防火墻技術(shù) 防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防 止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。目前，防火墻采取的技術(shù)，主要是包過濾、應(yīng) 用網(wǎng)關(guān)、子網(wǎng)屏蔽等。但是，防火墻技術(shù)在網(wǎng)絡(luò)安全防護方面也存在一些不足： 防火墻不能防止內(nèi)部攻擊防火墻不能取代殺毒軟件； 防火墻不易防止反彈端口木 馬攻擊等。(4)檢測系統(tǒng) 入侵檢測技術(shù)是網(wǎng)絡(luò)安全研究的一個熱點，是一種積極主動的安全防護技 術(shù)，提供了對內(nèi)部入侵、外部入侵和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之 前攔截相應(yīng)入侵。隨著時代的發(fā)展，入侵檢測技術(shù)將朝著三個方向發(fā)展:分布式入侵檢測、智 能化入侵檢測和全面的安全防御方案。7 計算機防火墻技術(shù)論文

(5)防病毒技術(shù) 隨著計算機技術(shù)的發(fā)展，計算機病毒變得越來越復(fù)雜和高級，計算機病毒 防范不僅僅是一個產(chǎn)品、一個策略或一個制度，它是一個匯集了硬件、軟件、網(wǎng) 絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。(6)文件系統(tǒng)安全 在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個關(guān)鍵性的概念，因為訪問控制實現(xiàn)在兩個 方面：本地和遠程。建立文件權(quán)限的時候，必須在 Windows 2000 中首先實行新 技術(shù)文件系統(tǒng)（New Technology File System，NTFS）。一旦實現(xiàn)了 NTFS，你 可以使用 Windows 資源管理器在文件和文件夾上設(shè)置用戶級別的權(quán)限。你需要了 解可以分配什么樣的權(quán)限，還有日?；顒悠陂g一些規(guī)則是處理權(quán)限的。Windows 2000 操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪問控制。2.3 制定合理的網(wǎng)絡(luò)管理措施

（1）加強網(wǎng)絡(luò)用戶及有關(guān)人員的安全意識、職業(yè)道德和事業(yè)心、責(zé)任心的

培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。（2）建立完善的安全管理體制和制度，以起到對管理人員和操作人員鼓勵 和監(jiān)督的作用。（3）管理措施要標(biāo)準(zhǔn)化、規(guī)范化和科學(xué)化。8 計算機防火墻技術(shù)論文

第三章

防火墻概述

隨著 Internet 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類 重要的、敏感的數(shù)據(jù)逐漸增多;同時由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng) 絡(luò)安全問題越來越突出。因此，保護網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播 感染顯得尤為重要。就目前而言，對于局部網(wǎng)絡(luò)的保護，防火墻仍然不失為一種 有效的手段，防火墻技術(shù)主要分為包過濾和應(yīng)用代理兩類。其中包過濾作為最早 發(fā)展起來的一種技術(shù)，其應(yīng)用非常廣泛。3.1 防火墻的概念

防火墻是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可 預(yù)測的、潛在破壞性的侵入。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部 網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或 網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服 務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻提供信息安全服務(wù)，是實現(xiàn)網(wǎng)絡(luò)和 信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個 分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的 安全。3.1.1 傳統(tǒng)防火墻介紹 目前的防火墻技術(shù)無論從技術(shù)上還是從產(chǎn)品發(fā)展歷程上，都經(jīng)歷了五個發(fā) 展歷程。圖 1 表示了防火墻技術(shù)的簡單發(fā)展歷史。

圖1 第一代防火墻 第 一 代 防 火 墻 技 術(shù) 幾 乎 與 路 由 器 同 時 出 現(xiàn)，采 用 了 包 過 濾（Packet filter）技術(shù)。二代、第三代防火墻 第二代、第三代防火墻 1989 年，貝爾實驗室的 Dave Presotto 和 Howard Trickey 推 9 計算機防火墻技術(shù)論文

出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻—— 應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。

第四代防火墻 1992 年，USC 信息科學(xué)院的 BobBraden 開發(fā)出了基于動態(tài)包過濾（Dynamic packet filter）技 術(shù) 的 第 四 代 防 火 墻，后 來 演 變 為 目 前 所 說 的 狀 態(tài) 監(jiān) 視（Stateful inspection）技術(shù)。1994 年，以色列的 CheckPoint 公司開發(fā)出了 第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻 1998 年，NAI 公司推出了一種自適應(yīng)代理（Adaptive proxy）技術(shù)，并在 其產(chǎn)品 Gauntlet Firewall for NT 中得以實現(xiàn)，給代理類型的防火墻賦予了全 新的意義，可以稱之為第五代防火墻。[5] [5] 但傳統(tǒng)的防火墻并沒有解決目前網(wǎng)絡(luò)中主要的安全問題。目前網(wǎng)絡(luò)安全的 三大主要問題是:以拒絕訪問(DDOS)為主要代表的網(wǎng)絡(luò)攻擊，以蠕蟲(Worm)為主 要代表的病毒傳播和以垃圾電子郵件(SPAM)為代表的內(nèi)容控制。這三大安全問題 占據(jù)網(wǎng)絡(luò)安全問題九成以上。而這三大問題，傳統(tǒng)防火墻都無能為力。主要有以 下三個原因: 一是傳統(tǒng)防火墻的計算能力的限制。傳統(tǒng)的防火墻是以高強度的檢查為代 價，檢查的強度越高，計算的代價越大。二是傳統(tǒng)防火墻的訪問控制機制是一個 簡單的過濾機制。它是一個簡單的條件過濾器，不具有智能功能，無法檢測復(fù)雜 的攻擊。三是傳統(tǒng)的防火墻無法區(qū)分識別善意和惡意的行為。該特征決定了傳統(tǒng) 的防火墻無法解決惡意的攻擊行為?，F(xiàn)在防火墻正在向分布、智能的方向發(fā)展，其中智能防火墻可以很好的解 決上面的問題。3.1.2 智能防火墻簡介 智能防火墻[6]是相對傳統(tǒng)的防火墻而言的，從技術(shù)特征上智能防火墻是利 用統(tǒng)計、記憶、概率和決策的智能方法來對數(shù)據(jù)進行識別，并達到訪問控制的目 的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特 征值，直接進行訪問控制。由于這些方法多是人工智能學(xué)科采用的方法，因此，又稱為智能防火墻。10 計算機防火墻技術(shù)論文 3.2 防火墻的功能

3.2.1 防火墻的主要功能 1．包過濾。包過濾是一種網(wǎng)絡(luò)的數(shù)據(jù)安全保護機制，它可用來控制流出和流入網(wǎng)絡(luò)的數(shù) 據(jù)，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設(shè)置可基于源地址、源端 口、目的地址、目的端口、協(xié)議和時間;可根據(jù)地址簿進行設(shè)置規(guī)則。2．地址轉(zhuǎn)換。網(wǎng)絡(luò)地址變換是將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的 IP 地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換 Source NAT(SNAT)和目的地址轉(zhuǎn)換 Destination NAT(DNAT)。SNAT 用于對內(nèi)部網(wǎng) 絡(luò)地址進行轉(zhuǎn)換，對外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來自外部其他網(wǎng) 絡(luò)的非授權(quán)訪問或惡意攻擊。并將有限的 IP 地址動態(tài)或靜態(tài)的與內(nèi)部 IP 地址對 應(yīng)起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本。DNAT 主要用于 外網(wǎng)主機訪問內(nèi)網(wǎng)主機。3．認(rèn)證和應(yīng)用代理。認(rèn)證指防火墻對訪問網(wǎng)絡(luò)者合法身分的確定。代理指防火墻內(nèi)置用戶認(rèn)證數(shù) 據(jù)庫;提供 HTTP、FTP 和 SMTP 代理功能，并可對這三種協(xié)議進行訪問控制;同時 支持 URL 過濾功能。4．透明和路由 指防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提 供了對互聯(lián)網(wǎng)服務(wù)進行幾乎透明的訪問，同時阻止了外部未授權(quán)訪問者對專用網(wǎng) 絡(luò)的非法訪問;防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個子網(wǎng) 之間的安全訪問。3.2.2 入侵檢測功能 入侵檢測技術(shù)[7]就是一種主動保護自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技 術(shù)，包括以下內(nèi)容: 1.反端口掃描。端口掃描就是指黑客通過遠程端口掃描的工具，從中發(fā)現(xiàn)主 機的哪些非常用端口是打開的;是否支持 FTP、服務(wù);且 FTP 服務(wù)是否支持 Web “匿 名”，以及 IIS 版本，是否有可以被成功攻破的 IIS 漏洞，進而對內(nèi)部網(wǎng)絡(luò)的主 機進行攻擊。顧名思義反端口掃描就是防范端口掃描的方法，目前常用的方法有: 關(guān)閉閑置和有潛在危險的端口;檢查各端口，有端口掃描的癥狀時，立即屏蔽該 端口，多數(shù)防火墻設(shè)備采用的都是這種反端口掃描方式。2.檢測拒絕服務(wù)攻擊。拒絕服務(wù)(DoS)攻擊就是利用合理的服務(wù)請求來占用 過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)，其攻擊方式有很多種;11 計算機防火墻技術(shù)論文

而分布式的拒絕服務(wù)攻擊(DDoS)攻擊手段則是在傳統(tǒng)的 DoS 攻擊基礎(chǔ)之上產(chǎn)生 的一類攻擊方式，分布式的拒絕服務(wù)攻擊(DDoS)。其原理很簡單，就是利用更多 的受控主機同時發(fā)起進攻，以比 DoS 更大的規(guī)模(或者說以更高于受攻主機處理 能力的進攻能力)來進攻受害者。現(xiàn)在的防火墻設(shè)備通常都可檢測 Synflod、Land、Ping of Death、TearDrop、ICMP flood 和 UDPflod 等多種 DOS/DDOS 攻 擊。3.檢 測 多 種 緩 沖 區(qū) 溢 出 攻 擊(Buffer Overflow)。緩 沖 區(qū) 溢 出(Buffer Overflow)攻擊指利用軟件的弱點將任意數(shù)據(jù)添加進某個程序中，造成緩沖區(qū)的 溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達到攻擊的目的。更 為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進而進行各 種非法操作，防火墻設(shè)備可檢測對 FTP、Telnet、SSH、RPC 和 SMTP 等服務(wù)的遠 程堆棧溢出入侵。4.檢測 CGI/IIS 服務(wù)器入侵。CGI 就是 Common Gateway Inter——face 的 簡稱。是 World Wide Web 主機和 CGI 程序間傳輸資訊的定義。IIS 就是 Internet Information server 的簡稱，也就是微軟的 Internet 信息服務(wù)器。防火墻設(shè)備 可檢測包括針對 Unicode、ASP 源碼泄漏、PHF、NPH、pfdisPlay.cgi 等已知上 百種的有安全隱患的 CGI/IIS 進行的探測和攻擊方式。5.檢測后門、木馬及其網(wǎng)絡(luò)蠕蟲。后門程序是指采用某種方法定義出一個 特殊的端口并依靠某種程序在機器啟動之前自動加載到內(nèi)存，強行控制機器打開 那個特殊的端口的程序。木馬程序的全稱是 “特洛依木馬” 它們是指尋找后門、，竊取計算機的密碼的一類程序。網(wǎng)絡(luò)蠕蟲病毒分為 2 類，一種是面向企業(yè)用戶和 局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動進行攻擊，可以對整個互聯(lián)網(wǎng)造成 癱瘓性的后果，以“紅色代碼”，“尼姆達”，以及最新的“sql 蠕蟲王”為代 表。另外一種是針對個人用戶的，通過網(wǎng)絡(luò)(主要是電子郵件，惡意網(wǎng)頁形式)迅速傳播的蠕蟲病毒，以愛蟲病毒，求職信病毒為例。防火墻設(shè)備可檢測試圖穿 透防火墻系統(tǒng)的木馬控制端和客戶端程序;檢測試圖穿透防火墻系統(tǒng)的蠕蟲程 序。3.2.3 虛擬專網(wǎng)功能 指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò) 中傳播。VPN 的基本原理是通過 IP 包的封裝及加密、認(rèn)證等手段，從而達到安 全的目的。3.2.4 其他功能 1.IP 地址/MAC 地址綁定?？芍С秩我痪W(wǎng)絡(luò)接口的 IP 地址和 MAC 地址的綁 12 計算機防火墻技術(shù)論文

定，從而禁止用戶隨意修改 IP 地址。2.審計。要求對使用身份標(biāo)識和認(rèn)證的機制，文件的創(chuàng)建，修改，系統(tǒng)管 理的所有操作以及其他有關(guān)安全事件進行記錄，以便系統(tǒng)管理員進行安全跟蹤。一般防火墻設(shè)備可以提供三種日志審計功能:系統(tǒng)管理日志、流量日志和入侵日 志。3.特殊站點封禁。內(nèi)置特殊站點數(shù)據(jù)庫，用戶可選擇是否封禁色情、反動 和暴力等特殊站點。3.3 防火墻的原理及分類

國際計算機安全委員會 ICSA 將防火墻分成三大類:包過濾防火墻，應(yīng)用級代

理服務(wù)器[8]以及狀態(tài)包檢測防火墻。3.3.1 包過濾防火墻 顧名思義，包過濾防火墻[9]就是把接收到的每個數(shù)據(jù)包同預(yù)先設(shè)定的包過 濾規(guī)則相比較，從而決定是否阻塞或通過。過濾規(guī)則是基于網(wǎng)絡(luò)層 IP 包包頭信 息的比較。包過濾防火墻工作在網(wǎng)絡(luò)層，IP 包的包頭中包含源、目的 IP 地址，封裝協(xié)議類型(TCP，UDP，ICMP 或 IP Tunnel)，TCP/UDP 端口號，ICMP 消息類型，TCP 包頭中的 ACK 等等。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包 按正常情況處理;如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包;如果沒有 匹配規(guī)則，則按缺省情況處理。包過濾防火墻是速度最快的防火墻，這是因為它 處于網(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就 可以實現(xiàn)，對用戶來說都是透明的。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng) 絡(luò)，使之遭受攻擊。例如，HTTP。通常是使用 80 端口。如果公司的安全策略允 許內(nèi)部員工訪問網(wǎng)站，包過濾防火墻可能設(shè)置允所有 80 端口的連接通過，這時，意識到這一漏洞的外部人員可以在沒有被認(rèn)證的情況下進入私有網(wǎng)絡(luò)。包過濾防 火墻的維護比較困難，定義過濾規(guī)則也比較復(fù)雜，因為任何一條過濾規(guī)則的不完 善都會給網(wǎng)絡(luò)黑客造成可乘之機。同時，包過濾防火墻一般無法提供完善的日志。3.3.2 應(yīng)用級代理防火墻 應(yīng)用級代理技術(shù)通過在 OSI 的最高層檢查每一個 IP 包，從而實現(xiàn)安全策略。代理技術(shù)與包過濾技術(shù)完全不同，包過濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代 理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實現(xiàn)防火墻功能。它的代理功能，就是在防 火墻處終止客戶連接并初始化一個新的連接到受保護的內(nèi)部網(wǎng)絡(luò)。這一內(nèi)建代理 13 計算機防火墻技術(shù)論文

機制提供額外的安全，這是因為它將內(nèi)部和外部網(wǎng)絡(luò)隔離開來，使網(wǎng)絡(luò)外部的黑 客在防火墻內(nèi)部網(wǎng)絡(luò)上進行探測變得困難，更重要的是能夠讓網(wǎng)絡(luò)管理員對網(wǎng)絡(luò) 服務(wù)進行全面的控制。但是，這將花費更多的處理時間，并且由于代理防火墻支 持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。比如訪問 WEB 站點的 HTTP，用于文件傳輸?shù)?FTP，用于 E 一 MAIL 的 SMTP/POP3 等等。如 果某種應(yīng)用沒有安裝代理程序，那么該項服務(wù)就不被支持并且不能通過防火墻進 行轉(zhuǎn)發(fā);同時升級一種應(yīng)用時，相應(yīng)的代理程序也必須同時升級。3.3.3 代理服務(wù)型防火墻 代理服務(wù)(Proxy Service)也稱鏈路級網(wǎng)關(guān)或 TCP 通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類。它是針對數(shù)據(jù)包 過濾[10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，其特點是將所有跨越 防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應(yīng)用層的“鏈接”，由兩個終止代理服務(wù)器上的“鏈接”來實現(xiàn)，外部計算機的網(wǎng)絡(luò)鏈路只能到達代 理服務(wù)器，從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。此外，代理服務(wù)也對 過往的數(shù)據(jù)包進行分析、注冊登記，形成報告，同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng) 絡(luò)管理員發(fā)出警報，并保留攻擊痕跡。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔 離點，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時 也常結(jié)合入過濾器的功能。它工作在 OSI 模型的最高層，掌握著應(yīng)用系統(tǒng)中可用 作安全決策的全部信息。3.3.4 復(fù)合型防火墻 由于對更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法 結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機防 火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過濾路由器或防火墻與 Internet 相連，同時 一個堡壘機安裝在內(nèi)部網(wǎng)絡(luò)，通過在分組過濾器路由器或防火墻上過濾規(guī)則的設(shè) 置，使堡壘機成為 Internet 上其他節(jié)點所能到達的唯一節(jié)點，這確保了內(nèi)部網(wǎng) 絡(luò)不受未授權(quán)外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機放在一個子網(wǎng) 內(nèi)，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與 Internet 及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機和分組過濾 路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。

3.4 防火墻包過濾技術(shù)

隨著 Internet 的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類 14 計算機防火墻技術(shù)論文

重要的、敏感的數(shù)據(jù)逐漸增多;同時由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng) 絡(luò)安全問題越來越突出。因此，保護網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播 感染顯得尤為重要。就目前而言，對于局部網(wǎng)絡(luò)的保護，防火墻仍然不失為一種 有效的手段，防火墻技術(shù)主要分為包過濾和應(yīng)用代理兩類。其中包過濾作為最早 發(fā)展起來的一種技術(shù)，其應(yīng)用非常廣泛。所謂包過濾，就是對流經(jīng)網(wǎng)絡(luò)防火墻的所有數(shù)據(jù)包逐個檢查，并依據(jù)所制定 的安全策略來決定數(shù)據(jù)包是通過還是不通過。包過濾最主要的優(yōu)點在于其速度與 透明性。也正是由于此。包過濾技術(shù)歷經(jīng)發(fā)展演變而未被淘汰。由于其主要是對數(shù)據(jù)包的過濾操作，所以數(shù)據(jù)包結(jié)構(gòu)是包過濾技術(shù)的基礎(chǔ)?？紤]包過濾技術(shù)的發(fā)展過程，可以認(rèn)為包過濾的核心問題就是如何充分利用數(shù)據(jù) 包中各個字段的信息，并結(jié)合安全策略來完成防火墻的功能[11]-[15] 3.4.1 數(shù)據(jù)表結(jié)構(gòu) 當(dāng)應(yīng)用程序用 TCP 傳送數(shù)據(jù)時，數(shù)據(jù)被送入?yún)f(xié)議棧中，然后逐個通過每一層 直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。其中每一層對接收到的數(shù)據(jù)都要增加一些首部 信息。TCP 傳給 IP 的數(shù)據(jù)單元稱作 TCP 報文段(TCP Segment);IP 傳給網(wǎng)絡(luò)接口 層的數(shù)據(jù)單元稱作 IP 數(shù)據(jù)報(IP Datagram)；通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀(Frame)。對于進防火墻的數(shù)據(jù)包，順序正好與此相反，頭部信息逐層剝掉。IP，TCP 首部格式如表 2-1 表 2-2 所示。表 2-1 IP 首部格式 版本 首部長 服務(wù)類型 標(biāo)識 生存時間 協(xié)議 源 IP 地址 目的 IP 地址 選項 標(biāo)志 首部校驗和

總 長 度 片偏移

表 2-2 TCP 首部格式 源端口號 目的端口號 序列號 15 計算機防火墻技術(shù)論文

確認(rèn)號 首 保 L 部 留 R 長 C T B L P R C B C J H T H TCP 校驗和 H J R 窗口大小

緊急指針 選項

對于幀的頭部信息主要是源/目的主機的 MAC 地址;IP 數(shù)據(jù)報頭部信息主要 是源/目的主機的 IP 地址;TCP 頭部的主要字段包括源/目的端口、發(fā)送及確認(rèn)序 號、狀態(tài)標(biāo)識等。理論上講，數(shù)據(jù)包所有頭部信息以及有效載荷都可以作為判斷包通過與否的 依據(jù)，但是在實際情況中，包過濾技術(shù)上的問題主要是選取哪些字段信息，以及 如何有效地利用這些字段信息并結(jié)合訪問控制列表來執(zhí)行包過濾操作，并盡可能 提高安全控制力度。3.4.2 傳統(tǒng)包過濾技術(shù) 傳統(tǒng)包過濾技術(shù)，大多是在 IP 層實現(xiàn)，它只是簡單的對當(dāng)前正在通過的單 一數(shù)據(jù)包進行檢測，查看源/目的 IP 地址、端口號以及協(xié)議類型(UDP/TCP)等，結(jié)合訪問控制規(guī)則對數(shù)據(jù)包實施有選擇的通過。這種技術(shù)實現(xiàn)簡單，處理速度快，對應(yīng)用透明，但是它存在的問題也很多，主要表現(xiàn)有: 1.所有可能會用到的端口都必須靜態(tài)放開。若允許建立 HTTP 連接，就需 要開放 1024 以上所有端口，這無疑增加了被攻擊的可能性。2.不能對數(shù)據(jù)傳輸狀態(tài)進行判斷。如接收到一個 ACK 數(shù)據(jù)包，就認(rèn)為這是 一個己建立的連接，這就導(dǎo)致許多安全隱患，一些惡意掃描和拒絕服務(wù)攻擊就是 利用了這個缺陷。3.無法過濾審核數(shù)據(jù)包上層的內(nèi)容。即使通過防火墻的數(shù)據(jù)包有攻擊性或 包含病毒代碼，也無法進行控制和阻斷。綜合上述問題，傳統(tǒng)包過濾技術(shù)的缺陷在于:(l)缺乏狀態(tài)檢測能力;(2)缺 乏應(yīng)用防御能力。(3)只對當(dāng)前正在通過的單一數(shù)據(jù)包進行檢測，而沒有考慮前 后數(shù)據(jù)包之間的聯(lián)系;(4)只檢查包頭信息，而沒有深入檢測數(shù)據(jù)包的有效載荷。傳統(tǒng)包過濾技術(shù)必須發(fā)展進化，在繼承其優(yōu)點的前提下，采用新的技術(shù)手 段，克服其缺陷，并進一步滿足新的安全應(yīng)用要求。從數(shù)據(jù)包結(jié)構(gòu)出發(fā)考慮，目 前包過濾技術(shù)向兩個方向發(fā)展:(l)橫向聯(lián)系。即在包檢測中考慮前后數(shù)據(jù)包之間 的關(guān)系，充分利用包頭信息中能體現(xiàn)此關(guān)系的字段，如 IP 首部的標(biāo)識字段和片 16 計算機防火墻技術(shù)論文

偏移字段、TCP 首部的發(fā)送及確認(rèn)序號、滑動窗口的大小、狀態(tài)標(biāo)識等，動態(tài)執(zhí) 行數(shù)據(jù)包過濾。(2)縱向發(fā)展。深入檢測數(shù)據(jù)包有效載荷，識別并阻止病毒代碼 和基于高層協(xié)議的攻擊，以此來提高應(yīng)用防御能力。這兩種技術(shù)的發(fā)展并不是獨 立的，動態(tài)包過濾可以說是基于內(nèi)容檢測技術(shù)的基礎(chǔ)。實際上，在深度包檢測技 術(shù)中己經(jīng)體現(xiàn)了兩種技術(shù)的融合趨勢。3.4.3 動態(tài)包過濾 動態(tài)包過濾[16]又稱為基于狀態(tài)的數(shù)據(jù)包過濾，是在傳統(tǒng)包過濾技術(shù)基礎(chǔ) 之上發(fā)展起來的一項過濾技術(shù)，最早由 Checkpoint 提出。與傳統(tǒng)包過濾技術(shù)只檢查單個、孤立的數(shù)據(jù)包不同，動態(tài)包過濾試圖將數(shù) 據(jù)包的上下文聯(lián)系起來，建立一種基于狀態(tài)的包過濾機制。對于新建的應(yīng)用連接，防火墻檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下 該連接的相關(guān)信息，這些相關(guān)信息構(gòu)成一個狀態(tài)表。這樣，當(dāng)一個新的數(shù)據(jù)包到 達，如果屬于已經(jīng)建立的連接，則檢查狀態(tài)表，參考數(shù)據(jù)流上下文決定當(dāng)前數(shù)據(jù) 包通過與否;如果是新建連接，則檢查靜態(tài)規(guī)則表。動態(tài)包過濾通過在內(nèi)存中動態(tài)地建立和維護一個狀態(tài)表，數(shù)據(jù)包到達時，對該數(shù)據(jù)包的處理方式將綜合靜態(tài)安全規(guī)則和數(shù)據(jù)包所處的狀態(tài)進行。這種方法 的好處在于由于不需要對每個數(shù)據(jù)包進行規(guī)則檢查，而是一個連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過散列算法，直接進行狀態(tài)檢查，從而使性能得到了較 大提高;而且，由于狀態(tài)表是動態(tài)的，因而可以有選擇地、動態(tài)地開通 1024 號以 上的端口，使安全性得到進一步地提高。動態(tài)包過濾技術(shù)克服了傳統(tǒng)包過濾僅僅孤立的檢查單個數(shù)據(jù)包和安全規(guī)則 靜態(tài)不可變的缺陷，使得防火墻的安全控制力度更為細(xì)致。3.4.4 深度包檢測 目前許多造成大規(guī)模損害的網(wǎng)絡(luò)攻擊，比如紅色代碼和尼姆達，都是利用 了應(yīng)用的弱點。利用高層協(xié)議的攻擊和網(wǎng)絡(luò)病毒的頻繁出現(xiàn)，對防火墻提出了新 的要求。防火墻必須深入檢查數(shù)據(jù)包的內(nèi)部來確認(rèn)出惡意行為并阻止它們。深度包檢測(Deep Packet Inspection)就是針對這種需求，深入檢測數(shù)據(jù) 包有效載荷，執(zhí)行基于應(yīng)用層的內(nèi)容過濾，以此提高系統(tǒng)應(yīng)用防御能力。應(yīng)用防御的技術(shù)問題主要包括:(l)需要對有效載荷知道得更清楚;(2)也需 要高速檢查它的能力。簡單的數(shù)據(jù)包內(nèi)容過濾對當(dāng)前正在通過的單一數(shù)據(jù)包的有效載荷進行掃描 檢測，但是對于應(yīng)用防御的要求而言，這是遠遠不夠的。如一段攻擊代碼被分割 到 10 個數(shù)據(jù)包中傳輸，那么這種簡單的對單一數(shù)據(jù)包的內(nèi)容檢測根本無法對攻 17 計算機防火墻技術(shù)論文

擊特征進行匹配: 要清楚地知道有效載荷，必須采取有效方法，將單個數(shù)據(jù)包重 新組合成完整的數(shù)據(jù)流。應(yīng)用層的內(nèi)容過濾要求大量的計算資源，很多情況下高 達 100 倍甚至更高。因而要執(zhí)行深度包檢測，帶來的問題必然是性能的下降，這 就是所謂的內(nèi)容處理障礙。為了突破內(nèi)容處理障礙，達到實時地分析網(wǎng)絡(luò)內(nèi)容和 行為，需要重點在加速上采取有效的辦法。通過采用硬件芯片和更加優(yōu)化的算法，可以解決這個問題。一個深度包檢測的流程框圖如圖 3.1 所示。

圖 3.1 深度包檢測框圖 在接收到網(wǎng)絡(luò)流量后，將需要進行內(nèi)容掃描的數(shù)據(jù)流定向到 TCP/IP 堆棧，其他數(shù)據(jù)流直接定向到狀態(tài)檢測引擎，按基本檢測方式進行處理。定向到 TCP/IP 堆棧的數(shù)據(jù)流，首先轉(zhuǎn)換成內(nèi)容數(shù)據(jù)流。服務(wù)分析器根據(jù)數(shù)據(jù)流服務(wù)類型分離內(nèi) 容數(shù)據(jù)流，傳送數(shù)據(jù)流到一個命令解析器中。命令解析器定制和分析每一個內(nèi)容 協(xié)議，分析內(nèi)容數(shù)據(jù)流，檢測病毒和蠕蟲。如果檢測到信息流是一個 HTTP 數(shù)據(jù) 流，則命令解析器檢查上載和下載的文件;如果數(shù)據(jù)是 Mail 類型，則檢查郵件的 附件。如果數(shù)據(jù)流包含附件或上載/下載文件，附件和文件將傳輸?shù)讲《緬呙枰?擎，所有其他內(nèi)容傳輸?shù)絻?nèi)容過濾引擎。如果內(nèi)容過濾啟動，數(shù)據(jù)流將根據(jù)過濾 的設(shè)置進行匹配，通過或拒絕數(shù)據(jù)。3.4.5 流過濾技術(shù) 流過濾是東軟集團提出的一種新型防火墻技術(shù)架構(gòu)，它融基于狀態(tài)的包過 濾技術(shù)與基于內(nèi)容的深度包檢測技術(shù)為一體，提供了一個較好的應(yīng)用防御解決方 案，它以狀態(tài)監(jiān)測技術(shù)為基礎(chǔ)，但在此基礎(chǔ)上進行了改進其基本的原理是:以狀 態(tài)包過濾的形態(tài)實現(xiàn)應(yīng)用層的保護能力:通過內(nèi)嵌的專門實現(xiàn)的 TCP/IP 協(xié)議棧，實現(xiàn)了透明的應(yīng)用信息過濾機制。18 計算機防火墻技術(shù)論文

流過濾技術(shù)[17]的關(guān)鍵在于其架構(gòu)中的專用 TCP/IP 協(xié)議棧:這個協(xié)議棧是 一個標(biāo)準(zhǔn)的 TCP 協(xié)議的實現(xiàn)，依據(jù) TCP 協(xié)議的定義對出入防火墻的數(shù)據(jù)包進行了，完整的重組，重組后的數(shù)據(jù)流交給應(yīng)用層過濾邏輯進行過濾，從而可以有效地識 別并攔截應(yīng)用層的攻擊企圖。在這種機制下，從防火墻外部看，仍然是包過濾的形態(tài)，工作在鏈路層或 IP 層，在規(guī)則允許下，兩端可以直接訪問，但是任何一個被規(guī)則允許的訪問在 防火墻內(nèi)部都存在兩個完全獨立的 TCP 會話，數(shù)據(jù)以“流”的方式從一個會話流 向另一個會話。由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時候代 替服務(wù)器或客戶端參與應(yīng)用層的會話，從而起到了與應(yīng)用代理防火墻相同的控制 能力。如在對 SMTP 協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實現(xiàn)完全的對 郵件的存儲轉(zhuǎn)發(fā)，并實現(xiàn)豐富的對 SMTP 協(xié)議的各種攻擊的防范功能一流過濾的 示意圖如圖 3.2 所示。

圖 3.2 流過濾示意圖 19 計算機防火墻技術(shù)論文

第四章

4.1 硬件連接與實施

防火墻的配置

一般來說硬件防火墻和路由交換設(shè)備一樣具備多個以太接口，速度根據(jù)檔次 與價格不同而在百兆與千兆之間有所區(qū)別。(如圖 4.1)圖 4.1 對于中小企業(yè)來說一般出口帶寬都在 100M 以內(nèi)，所以我們選擇 100M 相關(guān)產(chǎn) 品即可。網(wǎng)絡(luò)拓?fù)鋱D中防火墻的位置很關(guān)鍵，一般介于內(nèi)網(wǎng)與外網(wǎng)互連中間區(qū)域，針對外網(wǎng)訪問數(shù)據(jù)進行過濾和監(jiān)控。如果防火墻上有 WAN 接口，那么直接將 WAN 接口連接外網(wǎng)即可，如果所有接 口都標(biāo)記為 LAN 接口，那么按照常規(guī)標(biāo)準(zhǔn)選擇最后一個 LAN 接口作為外網(wǎng)連接端 口。相應(yīng)的其他 LAN 接口連接內(nèi)網(wǎng)各個網(wǎng)絡(luò)設(shè)備。4.2 防火墻的特色配置

從外觀上看防火墻和傳統(tǒng)的路由器交換機沒有太大的差別，一部分防火墻

具備 CONSOLE 接口通過超級終端的方式初始化配置，而另外一部分則直接通過默 認(rèn)的 LAN 接口和管理地址訪問進行配置。與路由器交換機不同的是在防火墻配置中我們需要劃分多個不同權(quán)限不同 優(yōu)先級別的區(qū)域，另外還需要針對相應(yīng)接口隸屬的區(qū)域進行配置，例如 1 接口劃 分到 A 區(qū)域，2 接口劃分到 B 區(qū)域等等，通過不同區(qū)域的訪問權(quán)限差別來實現(xiàn)防 火墻保護功能。默認(rèn)情況下防火墻會自動建立 trust 信任區(qū)，untrust 非信任區(qū)，DMZ 堡壘主機區(qū)以及 LOCAL 本地區(qū)域。相應(yīng)的本地區(qū)域優(yōu)先級最高，其次是 trust 信任區(qū)，DMZ 堡壘主機區(qū)，最低的是 untrust 非信任區(qū)域。20 計算機防火墻技術(shù)論文 在實際設(shè)置時我們必須將端口劃分到某區(qū)域后才能對其進行各個訪問操 作，否則默認(rèn)將阻止對該接口的任何數(shù)據(jù)通訊。除此之外防火墻的其他相關(guān)配置與路由交換設(shè)備差不多，無外乎通過超級 終端下的命令行參數(shù)進行配置或者通過 WEB 管理界面配置。4.3 軟件的配置與實施

以 H3C 的 F100 防火墻為例，當(dāng)企業(yè)外網(wǎng) IP 地址固定并通過光纖連接的具體

配置。首先當(dāng)企業(yè)外網(wǎng)出口指定 IP 時配置防火墻參數(shù)。選擇接口四連接外網(wǎng)，接 口 一 連 接 內(nèi) 網(wǎng)。這 里 假 設(shè) 電 信 提 供 的 外 網(wǎng) IP 地 址 為 202.10.1.194 255.255.255.0。第一步：通過 CONSOLE 接口以及本機的超級終端連接 F100 防火墻，執(zhí)行 system 命令進入配置模式。第二步：通過 firewall packet default permit 設(shè)置默認(rèn)的防火墻策略為 “容許通過”。第三步：進入接口四設(shè)置其 IP 地址為 202.10.1.194，命令為 int e0/4 ip add 202.10.1.194 255.255.255.0 第四步：進入接口一設(shè)置其 IP 地址為內(nèi)網(wǎng)地址，例如 192.168.1.1 255.255.255.0，命令為 int e0/1 ip add 192.168.1.1 255.255.255.0 第五步： 將兩個接口加入到不同的區(qū)域，外網(wǎng)接口配置到非信任區(qū) untrust，內(nèi)網(wǎng)接口加入到信任區(qū) trust—— fire zone untrust add int e0/4 fire zone trust add int e0/1 第六步：由于防火墻運行基本是通過 NAT 來實現(xiàn)，各個保護工作也是基于此 功能實現(xiàn)的，所以還需要針對防火墻的 NAT 信息進行設(shè)置，首先添加一個訪問控 制列表—— acl num 2000 21 計算機防火墻技術(shù)論文

rule per source 192.168.0.0 0.0.255.255 rule deny 第七步：接下來將這個訪問控制列表應(yīng)用到外網(wǎng)接口通過啟用 NAT—— int e0/4 nat outbound 2000 第八步：最后添加路由信息，設(shè)置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或 外網(wǎng)電信下一跳地址—— ip route-static 0.0.0.0 0.0.0.0 202.10.1.193(如圖 2)執(zhí)行 save 命令保存退出后就可以在企業(yè)外網(wǎng)出口指定 IP 時實現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā) 以及安全保護功能了。22 計算機防火墻技術(shù)論文

第五章

防火墻發(fā)展趨勢

針對傳統(tǒng)防火墻不能解決的問題，及新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也 出現(xiàn)了新的發(fā)展趨勢。主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管 理三方面來體現(xiàn)。5.1 防火墻包過濾技術(shù)發(fā)展趨勢

(1)安全策略功能 一些防火墻廠商把在 AAA 系統(tǒng)上運用的用戶認(rèn)證及其服務(wù)擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡(luò)應(yīng)用中非常 必要。具有用戶身份驗證的防火墻通常是采用應(yīng)用級網(wǎng)關(guān)技術(shù)的，包過濾技術(shù)的 防火墻不具有。用戶身份驗證功能越強，它的安全級別越高，但它給網(wǎng)絡(luò)通信帶 來的負(fù)面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗 證。(2)多級過濾技術(shù) 所謂多級過濾技術(shù)，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分 組過濾(網(wǎng)絡(luò)層)一級，過濾掉所有的源路由分組和假冒的 IP 源地址；在傳輸層 一級，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如 nuke 包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級，能利用 FTP、SMTP 等各種網(wǎng)關(guān)，控 制和監(jiān)測 Internet 提供的所用通用服務(wù)。這是針對以上各種已有防火墻技術(shù)的 不足而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補以上各種單獨過濾技術(shù)的不足。這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對應(yīng)于不同的網(wǎng)絡(luò)層，從這 個概念出發(fā)，又有很多內(nèi)容可以擴展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。(3)功能擴展 功能擴展是指一種集成多種功能的設(shè)計趨勢，包括 VPN、AAA、PKI、IPSec 等附加功能，甚至防病毒、入侵檢測這樣的主流功能，都被集成到防火墻產(chǎn)品中 了，很多時候我們已經(jīng)無法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個功 能為主了，即其已經(jīng)逐漸向我們普遍稱之為 IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。23 計算機防火墻技術(shù)論文

有些防火墻集成了防病毒功能，通常被稱之為“病毒防火墻”，當(dāng)然目前主要還 是在個人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)。這種防火墻技術(shù)可 以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護 功能的防火墻可以大大減少公司的損失。5.2 防火墻的體系結(jié)構(gòu)發(fā)展趨勢

隨著網(wǎng)絡(luò)應(yīng)用的增加，對網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要

能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會越來越普 遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防 火墻制造商開發(fā)了基于 ASIC 的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度 的角度看來，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大 程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面 任務(wù)的引擎，從而減輕了 CPU 的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能 好許多。與基于 ASIC 的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性?；?ASIC 的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比 起前兩種類型的防火墻具有更好的性能。但是純硬件的 ASIC 防火墻缺乏可編程 性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方 案是增加 ASIC 芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以 同時滿足來自靈活性和運行性能的要求。5.3 防火墻的系統(tǒng)管理發(fā)展趨勢

(1)集中式管理，分布式和分層的安全結(jié)構(gòu)。(2)強大的審計功能和自動日志分析功能。(3)網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化 縱觀防火墻技術(shù)的發(fā)展，黑客入侵系統(tǒng)技術(shù)的不斷進步以及網(wǎng)絡(luò)病毒朝智

能化和多樣化發(fā)展，對防火墻技術(shù)的同步發(fā)展提出了更高的要求。防火墻技術(shù)只 有不斷向主動型和智能型等方向發(fā)展，才能更好的滿足人們對防火墻技術(shù)日益增 長的需求。24 計算機防火墻技術(shù)論文

結(jié)論

隨著 Internet 和 Intranet 技術(shù)的發(fā)展,網(wǎng)絡(luò)的安全已經(jīng)顯得越來越重要, 網(wǎng)絡(luò)病毒對企業(yè)造成的危害已經(jīng)相當(dāng)廣泛和嚴(yán)重, 其中也會涉及到是否構(gòu)成犯 罪行為的問題，相應(yīng)的病毒防范技術(shù)也發(fā)展到了網(wǎng)絡(luò)層面,并且愈來愈有與黑客 技術(shù)和漏洞相結(jié)合的趨勢。新型防火墻技術(shù)產(chǎn)生,就是為了解決來自企業(yè)網(wǎng)絡(luò)內(nèi) 和外的攻擊;克服傳統(tǒng)“邊界防火墻”的缺點,集成了 IDS、VPN 和防病毒等安 全技術(shù),實現(xiàn)從網(wǎng)絡(luò)到服務(wù)器以及客戶端全方位的安全解決方案,滿足企業(yè)實際 應(yīng)用和發(fā)展的安全要求。防火墻目的在于為用戶提供信息的保密，認(rèn)證和完整性保護機制，使網(wǎng)絡(luò)中 的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。本論文從防火墻方面解決網(wǎng)絡(luò)安全問題，對網(wǎng)絡(luò)安全技術(shù)的有深刻的了解。25 計算機防火墻技術(shù)論文

參考文獻

[1] 王艷.淺析計算機安全[J].電腦知識與技術(shù).2010，(s):1054 一 1055.[2] 艾軍.防火墻體系結(jié)構(gòu)及功能分析[J].電腦知識與技術(shù).2004，(s):79 一 82.[3] 高峰.許南山.防火墻包過濾規(guī)則問題的研究[M].計算機應(yīng)用.2003，23(6):311 一 312.[4] 孟濤、楊磊.防火墻和安全審計[M].計算機安全.2004，(4):17 一 18.[5] 鄭林.防火墻原理入門[Z].E 企業(yè).2000.[6] 魏利華.防火墻技術(shù)及其性能研究.能源研究與信息.2004，20(l):57 一 62 [7] 李劍，劉美華，曹元大.分布式防火墻系統(tǒng).安全與環(huán)境學(xué)報.2002，2(l):59 一 61 [8] 王衛(wèi)平，陳文惠，朱衛(wèi)未.防火墻技術(shù)分析.信息安全與通信保密.2006，(8):24 一 27 [9] A.Feldman, S.Muthukrishnan.Tradeoffs for Packet ClassifiCation.Proc.Of the 9 th Annual Joint Conference of the IEEE Computer and Communieations Soeieties.2000,vo1.3, 1193-1202.[10] ]王永綱，石江濤，戴雪龍，顏天信.網(wǎng)絡(luò)包分類算法仿真測試與比較研究.中國科學(xué)技 術(shù)大學(xué)學(xué)報.2004，34(4):400 一 409 [11] 邵華鋼，楊明福.基于空間分解技術(shù)的多維數(shù)據(jù)包分類.計算機工程.2003，29(12):123 一 124 [12] 付歌，楊明福.一個快速的二維數(shù)據(jù)包分類算法.計算機工程.2004，30(6):76 一 78 [13] 付 歌，楊 明 福，王 興 軍.基 于 空 間 分 解 的 數(shù) 據(jù) 包 分 類 技 術(shù).計 算 機 工 程 與 應(yīng) 用.2004(8):63 一 65 [14] 〕韓曉非，王學(xué)光，楊明福.位并行數(shù)據(jù)包分類算法研究.華東理工大學(xué)學(xué)報.2003，29(5):504 一 508 [15] 韓曉非，楊明福，王學(xué)光.基于元組空間的位并行包分類算法.計算機工程與應(yīng)用.2003，(29):188 一 192 [16] 馮東雷，張勇，白英彩.一種高性能包分類漸增式更新算法.計算機研究與發(fā)展.2003，40(3):387 一 392 [17] 余勝生，張寧，周敬利，胡熠峰.一種用于大規(guī)模規(guī)則庫的快速包分類算法.計算機工 程.2004，30(7):49 一 51 26 計算機防火墻技術(shù)論文

致謝

本文是在李老師的悉心指導(dǎo)卜完成的，從文獻的查閱、論文的選題、撰寫、修改、定稿，我的每一個進步都和李老師的關(guān)注與指導(dǎo)密不可分。李老師在研究 方向、資料的收集、論文的選題、研究工作作的開展以及論文的最終定稿，給子 我巨大、無私的幫助。論文的字里行間無不凝結(jié)著老師的悉心指導(dǎo)和浮淳教海，老師淵博的學(xué)識和嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度給我留下了深刻的印象，我從他那里學(xué)到的不 僅僅是專業(yè)知識，更重要的是嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度、對事業(yè)忘我的追求、高度的使命 感、責(zé)任感及和藹熱情的品質(zhì)和做人的道理，這些將使我受益一生，并將激勵我 不斷向前奮進。還 有 就 是 在 這 次 的 實習(xí)中 更要對和我一起并肩戰(zhàn)斗的其他幾位小組成 員說一聲辛苦了，我們有了今天的成績是我們不懈與團結(jié)。讓我們共同努力創(chuàng)造 更好的明天。在此過程中我們互相幫助，勉勵是我們能完成這次任務(wù)的最大動力，也是我們之間最大的收獲，最好的精神財富，愿我們還會有更好的合作！經(jīng) 過 了 這 次 的 實習(xí)也 意 味 著 我 學(xué)習(xí)生 涯 的 結(jié) 束。在 TOP 的 三 年 時 間 轉(zhuǎn) 瞬 即 逝，借 此 機 會 我 要 感 謝 兩年來傳授我知識的老師們，更要感謝所 有對我學(xué)業(yè)、生活上的支持和鼓勵，感謝所有關(guān)心幫助過我的人。27

第四篇：畢業(yè)論文 LINUX路由防火墻配置

LINUX路由防火墻配置 加上摘要、關(guān)鍵字 LINUX系統(tǒng)應(yīng)用概述（安全方面應(yīng)用）防火墻的功能介紹 防火墻規(guī)則配置 防火墻路由配置 防火墻NAT配置

RedHat Linux 為增加系統(tǒng)安全性提供了防火墻保護。防火墻存在于你的計算機和網(wǎng)絡(luò)之間，用來判定網(wǎng)絡(luò)中的遠程用戶有權(quán)訪問你的計算機上的哪些資源。一個正確配置的防火墻可以極大地增加你的系統(tǒng)安全性。

其中有以下幾種配置方式：

高級：如只有以下連接是果你選擇了「高級」，你的系統(tǒng)就不會接受那些沒有被你具體指定的連接（除了默認(rèn)設(shè)置外）。默認(rèn)允許的： DNS回應(yīng)

DHCP — 任何使用 DHCP 的網(wǎng)絡(luò)接口都可以被相應(yīng)地配置。如果你選擇「高級」，你的防火墻將不允許下列連接

1．活躍狀態(tài)FTP（在多數(shù)客戶機中默認(rèn)使用的被動狀態(tài)FTP應(yīng)該能夠正常運行。）2.IRC DCC 文件傳輸

3.RealAudio 4.遠程 X 窗口系統(tǒng)客戶機 如果你要把系統(tǒng)連接到互聯(lián)網(wǎng)上，但是并不打算運行服務(wù)器，這是最安全的選擇。

如果需要額外的服務(wù)，你可以選擇 「定制」 來具體指定允許通過防火墻的服務(wù)。注記:如果你在安裝中選擇設(shè)置了中級或高級防火墻，網(wǎng)絡(luò)驗證方法（NIS 和 LDAP）將行不通。

中級：如果你選擇了「中級」，你的防火墻將不準(zhǔn)你的系統(tǒng)訪問某些資源。訪問下列資源是默認(rèn)不允許的：

1.低于1023 的端口 — 這些是標(biāo)準(zhǔn)要保留的端口，主要被一些系統(tǒng)服務(wù)所使用，例如： FTP、SSH、telnet、HTTP、和 NIS。2.NFS 服務(wù)器端口（2049）— 在遠程服務(wù)器和本地客戶機上，NFS 都已被禁用。3.為遠程 X 客戶機設(shè)立的本地 X 窗口系統(tǒng)顯示。4.X 字體服務(wù)器端口（xfs 不在網(wǎng)絡(luò)中監(jiān)聽；它在字體服務(wù)器中被默認(rèn)禁用）。

如果你想準(zhǔn)許到RealAudio之類資源的訪問，但仍要堵塞到普通系統(tǒng)服務(wù)的訪問，選擇 「中級」。你可以選擇 「定制」 來允許具體指定的服務(wù)穿過防火墻。

注記:如果你在安裝中選擇設(shè)置了中級或高級防火墻，網(wǎng)絡(luò)驗證方法（NIS 和 LDAP）將行不通。

無防火墻：無防火墻給予完全訪問權(quán)并不做任何安全檢查。安全檢查是對某些服務(wù)的禁用。

建議你只有在一個可信任的網(wǎng)絡(luò)（非互聯(lián)網(wǎng)）中運行時，或者你想稍后再進行詳細(xì)的防火墻配置時才選此項。選擇 「定制」 來添加信任的設(shè)備或允許其它的進入接口。

信任的設(shè)備：選擇「信任的設(shè)備」中的任何一個將會允許你的系統(tǒng)接受來自這一設(shè)備的全部交通；它不受防火墻規(guī)則的限制。

例如，如果你在運行一個局域網(wǎng)，但是通過PPP撥號連接到了互聯(lián)網(wǎng)上，你可以選擇「eth0」，而后所有來自你的局域網(wǎng)的交通將會被允許。

把「eth0」選為“信任的”意味著所有這個以太網(wǎng)內(nèi)的交通都是被允許的，但是ppp0接口仍舊有防火墻限制。如果你想限制某一接口上的交通，不要選擇它。建議你不要將連接到互聯(lián)網(wǎng)之類的公共網(wǎng)絡(luò)上的設(shè)備定為 「信任的設(shè)備」。

允許進入：啟用這些選項將允許具體指定的服務(wù)穿過防火墻。注意：在工作站類型安裝中，大多數(shù)這類服務(wù)在系統(tǒng)內(nèi)沒有被安裝。

DHCP：如果你允許進入的 DHCP 查詢和回應(yīng)，你將會允許任何使用 DHCP 來判定其IP地址的網(wǎng)絡(luò)接口。DHCP通常是啟用的。如果DHCP沒有被啟用，你的計算機就不能夠獲取 IP 地址。

SSH：Secure（安全）SHell（SSH）是用來在遠程機器上登錄及執(zhí)行命令的一組工具。如果你打算使用SSH工具通過防火墻來訪問你的機器，啟用該選項。你需要安裝openssh-server 軟件包以便使用 SSH 工具來遠程訪問你的機器。

TELNET：Telnet是用來在遠程機器上登錄的協(xié)議。Telnet通信是不加密的，幾乎沒有提供任何防止來自網(wǎng)絡(luò)刺探之類的安全措施。建議你不要允許進入的Telnet訪問。如果你想允許進入的 Telnet 訪問，你需要安裝 telnet-server 軟件包。

HTTP：HTTP協(xié)議被Apache（以及其它萬維網(wǎng)服務(wù)器）用來進行網(wǎng)頁服務(wù)。如果你打算向公眾開放你的萬維網(wǎng)服務(wù)器，請啟用該選項。你不需要啟用該選項來查看本地網(wǎng)頁或開發(fā)網(wǎng)頁。如果你打算提供網(wǎng)頁服務(wù)的話，你需要安裝 httpd 軟件包。啟用 「WWW(HTTP)」 將不會為 HTTPS 打開一個端口。要啟用 HTTPS，在 「其它端口」 字段內(nèi)注明。

SMTP：如果你需要允許遠程主機直接連接到你的機器來發(fā)送郵件，啟用該選項。如果你想從你的ISP服務(wù)器中收取POP3或IMAP郵件，或者你使用的是fetchmail之類的工具，不要啟用該選項。請注意，不正確配置的 SMTP 服務(wù)器會允許遠程機器使用你的服務(wù)器發(fā)送垃圾郵件。

FTP：FTP 協(xié)議是用于在網(wǎng)絡(luò)機器間傳輸文件的協(xié)議。如果你打算使你的 FTP 服務(wù)器可被公開利用，啟用該選項。你需要安裝 vsftpd 軟件包才能利用該選項。

其他端口：你可以允許到這里沒有列出的其它端口的訪問，方法是在 「其它端口」 字段內(nèi)把它們列出。格式為： 端口:協(xié)議。例如，如果你想允許 IMAP 通過你的防火墻，你可以指定 imap:tcp。你還可以具體指定端口號碼 要允許 UDP 包在端口 1234 通過防火墻，輸入 1234:udp。要指定多個端口，用逗號將它們隔開。

竅門:要在安裝完畢后改變你的安全級別配置，使用 安全級別配置工具。

在 shell 提示下鍵入 redhat-config-securitylevel 命令來啟動 安全級別配置工具。如果你不是根用戶，它會提示你輸入根口令后再繼續(xù)。

運行防火墻的計算機（以下稱防火墻）既連接外部網(wǎng)，又連接內(nèi)部網(wǎng)。一般情況下，內(nèi)部網(wǎng)的用戶不能直接訪問外部網(wǎng)，反之亦然。如果內(nèi)部網(wǎng)用戶要訪問外部網(wǎng)，必須先登錄到防火墻，由防火墻進行IP地址轉(zhuǎn)換后，再由防火墻發(fā)送給外部網(wǎng)，即當(dāng)內(nèi)部網(wǎng)機器通過防火墻時，源IP地址均被設(shè)置（或稱偽裝，或稱欺騙）成外部網(wǎng)合法的IP地址。經(jīng)偽裝以后，在外部網(wǎng)看來，內(nèi)部網(wǎng)的機器是一個具有合法的IP地址的機器，因而可進行通信。外部網(wǎng)用戶要訪問內(nèi)部網(wǎng)用戶時，也要先登錄到防火墻，經(jīng)過濾后，僅通過允許的服務(wù)。由此可見，防火墻在內(nèi)部網(wǎng)與外部網(wǎng)之間起到了兩個作用：(1)IP包過濾——保護作用；(2)路由——網(wǎng)絡(luò)互連作用。

硬件安裝：運行Linux防火墻的計算機上必須安裝有兩塊網(wǎng)卡或一塊網(wǎng)卡、一塊Modem卡。本文以兩塊網(wǎng)卡為例。安裝網(wǎng)卡，正確設(shè)置中斷號及端口號，并為各網(wǎng)卡分配合適的IP地址。例如：eth0:172.16.77.99 255.255.255.0 Eth1:192.168.1.1 255.255.255.0 Iptables: 利用Iptables命令可以創(chuàng)建，刪除或插入鏈，并可以在鏈中創(chuàng)建，刪除或插入過濾規(guī)則。Iptables僅僅是一個包過濾管理工具，對過濾規(guī)則的執(zhí)行是通過LINUX的NETWORK PACKET FILTERING內(nèi)核和相關(guān)的支持模塊來實現(xiàn)的。

RED HAT LINUX在安裝時，也安裝了對舊版的IPCHAINS的支持，但是兩者不能同時使用，可以用以下命令卸下： Rmmod ipchains 然后可以檢查下Iptables是否安裝了： Rpm –q Iptables Iptables-1.2.7a-2 說明已經(jīng)安裝了Iptables Iptables有以下服務(wù)： 啟用：service Iptables start 重啟：service Iptables restart 停止：servixe Iptables stop 對鏈的操作：

1． 2． 查看鏈：Iptables –L 創(chuàng)建與刪除鏈：Iptables –N block block為新鏈

Iptables –X 為刪除鏈 3．

對規(guī)則的操作：

1． 2． 3． 4． 5． 6． 7． 刪除鏈中規(guī)則：Iptables –E 歸零封包記數(shù)器：Iptables –Z 設(shè)置鏈的默認(rèn)策略：Iptables –P 新增規(guī)則：Iptables –A 替換規(guī)則：Iptables –R 刪除規(guī)則：Iptables –D 插入規(guī)則：Iptables –I 更改鏈的名稱：Iptables-E 要禁止外網(wǎng)PING本機，可以執(zhí)行規(guī)則為：

Iptables –A INPUT –p icmp –-icmp-type echo-request –I ppp0 –j DROP 若要禁止220.174.156.22主機訪問本機，規(guī)則為： Iptables –A INPUT –s 220.174.156.22 –j DROP 規(guī)則的處理動作： 1． 2． ACCEPT：允許封包通過或接收該封包

REJECT：攔截該封包，并回傳一個封包通知對方

3． 4． DROP：直接丟棄封包

5． 6． MASQUERADE：用于改寫封包的來源IP為封包流出的外網(wǎng)卡的IP地址，實現(xiàn)IP偽裝

假設(shè)外網(wǎng)卡為ETH0，則 ： iptables –t –nat –A –POSTROUTING –o ETH0-j SNAT –to 172.16.77.99

構(gòu)建路由: 增加一條靜態(tài)路由：

# route add-net 172.16.77.0 netmask 255.255.255.0 再增加一條靜態(tài)路由：

# route add-net 192.168.1.0 netmask 255.255.0.0 還要為系統(tǒng)增加一條缺省路由，因為缺省的路由是把所有的數(shù)據(jù)包都發(fā)往它的上一級網(wǎng)關(guān)

（假設(shè)地址是172.16.1.254，這個地址依賴于使用的網(wǎng)絡(luò)而定，由網(wǎng)絡(luò)管理員分配），因此增加如下的缺省路由記錄： # route add default gw 172.16.77.254 最后一步，要增加系統(tǒng)的IP轉(zhuǎn)發(fā)功能。這個功能由

執(zhí)行如下命令打開ip轉(zhuǎn)發(fā)功能： echo 1 > /proc/sys/net/ipv4/ip_forward 這樣我們的路由器基本上是配置好了 測試路由器的工作情況。

第五篇：計算機網(wǎng)絡(luò)安全防火墻技術(shù)畢業(yè)論文

計算機網(wǎng)絡(luò)安全防火墻技術(shù)畢業(yè)論文

防火墻原是指建筑物大廈用來防止火災(zāi)蔓延的隔斷墻。從理論上講,Internet防火墻服務(wù)也屬于類似的用來防止外界侵入的。它可以防止 Internet上的各種危險(病毒、資源盜用等)傳播到你的網(wǎng)絡(luò)內(nèi)部。而事實上,防火墻并不像現(xiàn)實生活中的防火墻,它有點像古代守護城池用的護城河,服務(wù)于以下多個目的:

1)限定人們從一個特定的控制點進入;

2)限定人們從一個特定的點離開;

3)防止侵入者接近你的其他防御設(shè)施;

4)有效地阻止破壞者對你的計算機系統(tǒng)進行破壞。

在現(xiàn)實生活中,Internet防火墻常常被安裝在受保護的內(nèi)部網(wǎng)絡(luò)上并接入Internet。

從上圖不難看出,所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻。這樣,防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統(tǒng)間進行信息交換等安全的作用。從邏輯上講,防火墻是起分隔、限制、分析的作用,這一點同樣可以從圖1中體會出來。那么,防火墻究竟是什么呢?實際上,防火墻是加強Internet(內(nèi)部網(wǎng))之間安全防御的一個或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。3.防火墻技術(shù)與產(chǎn)品發(fā)展的回顧

防火墻是網(wǎng)絡(luò)安全策略的有機組成部分,它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能:●過濾進、出網(wǎng)絡(luò)的數(shù)據(jù);

●管理進、出網(wǎng)絡(luò)的訪問行為;

●封堵某些禁止行為;

●記錄通過防火墻的信息內(nèi)容和活動;

●對網(wǎng)絡(luò)攻擊進行檢測和告警。

為實現(xiàn)以上功能,在防火墻產(chǎn)品的開發(fā)中,人們廣泛地應(yīng)用了網(wǎng)絡(luò)拓?fù)?、計算機操作系統(tǒng)、路由、加密、訪問控制、安全審計等成熟或先進的技術(shù)和手段。縱觀防火墻近年來的發(fā)展,可以將其劃分為如下四個階段(即四代)。

3.1 基于路由器的防火墻

由于多數(shù)路由器本身就包含有分組過濾功能,故網(wǎng)絡(luò)訪問控制可能通過路控制來實現(xiàn),從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點是:

1)利用路由器本身對分組的解析,以訪問控制表(Access List)方式實現(xiàn)對分組的過濾;

2)過濾判斷的依據(jù)可以是:地址、端口號、IP旗標(biāo)及其他網(wǎng)絡(luò)特征;

3)只有分組過濾的功能,且防火墻與路由器是一體的。這樣,對安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法,而對安全性要求高的網(wǎng)絡(luò)則需要單獨利用一臺路由器作為防火墻。

●路由協(xié)議十分靈活,本身具有安全漏洞,外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如,在使用FTP協(xié)議時,外部服務(wù)器容易從20號端口上與內(nèi)部網(wǎng)相連,即使在路由器上設(shè)置了過濾規(guī)則,內(nèi)部網(wǎng)絡(luò)的20號端口仍可以由外部探尋。

●路由器上分組過濾規(guī)則的設(shè)置和配置存在安全隱患。對路由器中過濾規(guī)則的設(shè)置和配置十分復(fù)雜,它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性,一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任,加之一旦出現(xiàn)新的協(xié)議,管理員就得加上更多的規(guī)則去限制,這往往會帶來很多錯誤。

●路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的,黑客(Hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。

●路由器防火墻的本質(zhì)缺陷是:由于路由器的主要功能是為網(wǎng)絡(luò)訪問提供動態(tài)的、靈活的路由,而防火墻則要對訪問行為實施靜態(tài)的、固定的控制,這是一對難以調(diào)和的矛盾,防火墻的規(guī)則設(shè)置會大大降低路由器的性能。

可以說基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施,用這種權(quán)宜之計去對付黑客的攻擊是十分危險的。

3.2 用戶化的防火墻工具套

為了彌補路由器防火墻的不足,很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護自己的網(wǎng)絡(luò),從而推動了用戶防火墻工具套的出現(xiàn)。

作為第二代防火墻產(chǎn)品,用戶化的防火墻工具套具有以下特征:

1)將過濾功能從路由器中獨立出來,并加上審計和告警功能;

2)針對用戶需求,提供模塊化的軟件包;

3)軟件可以通過網(wǎng)絡(luò)發(fā)送,用戶可以自己動手構(gòu)造防火墻;

4)與第一代防火墻相比,安全性提高了,價格也降低了。

由于是純軟件產(chǎn)品,第二代防火墻產(chǎn)品無論在實現(xiàn)上還是在維護上都對系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求,并帶來以下問題:

配置和維護過程復(fù)雜、費時;

對用戶的技術(shù)要求高;

全軟件實現(xiàn),使用中出現(xiàn)差錯的情況很多。

3.3 建立在通用操作系統(tǒng)上的防火墻

基于軟件的防火墻在銷售、使用和維護上的問題迫使防火墻開發(fā)商很快推出了建立在通用操作系統(tǒng)上的商用防火墻產(chǎn)品。近年來市場上廣泛使用的就是這一代產(chǎn)品,它們具有如下一些特點:

1)是批量上市的專用防火墻產(chǎn)品;

2)包括分組過濾或者借用路由器的分組過濾功能;

3)裝有專用的代理系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令;

4)保護用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置;

5)安全性和速度大大提高。

第三代防火墻有以純軟件實現(xiàn)的,也有以硬件方式實現(xiàn)的,它們已經(jīng)得到了廣大用戶的認(rèn)同。但隨著安全需求的變化和使用時間的推延,仍表現(xiàn)出不少問題,比如:

1)作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知,由于源碼的保密,其安全性無從保證;

2)由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商,通用操作系統(tǒng)廠商不會對操作系統(tǒng)的安全性負(fù)責(zé);

3)從本質(zhì)上看,第三代防火墻既要防止來自外部網(wǎng)絡(luò)的攻擊,還要防止來自操作系統(tǒng)廠商的攻擊;

4)在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級網(wǎng)關(guān)且具有加密鑒別功能;

5)透明性好,易于使用。