計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)論文

..計(jì)算機(jī)網(wǎng)絡(luò)平安與防火墻技術(shù)畢業(yè)論文畢業(yè)院校學(xué)號(hào)專業(yè)指導(dǎo)教師摘要因特網(wǎng)的迅猛開展給人們的生活帶來了極大的方便，但同時(shí)因特網(wǎng)也面臨著空前的威脅。因此，如何使用有效可行的方法使網(wǎng)絡(luò)危險(xiǎn)降到人們可承受的圍之越來越受到人們的關(guān)注。而如何實(shí)施防策略，首先取決于當(dāng)前系統(tǒng)的平安性。所以對(duì)網(wǎng)絡(luò)平安的各獨(dú)立元素——防火墻、漏洞掃描、入侵檢測(cè)和反病毒等進(jìn)展風(fēng)險(xiǎn)評(píng)估是很有必要的。防火墻技術(shù)作為時(shí)下比擬成熟的一種網(wǎng)絡(luò)平安技術(shù)，其平安性直接關(guān)系到用戶的切身利益。針對(duì)網(wǎng)絡(luò)平安獨(dú)立元素——防火墻技術(shù)，通過對(duì)防火墻日志文件的分析，設(shè)計(jì)相應(yīng)的數(shù)學(xué)模型和軟件雛形，采用打分制的方法，判斷系統(tǒng)的平安等級(jí)，實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)平安風(fēng)險(xiǎn)評(píng)估，為提高系統(tǒng)的平安性提供科學(xué)依據(jù)。對(duì)網(wǎng)絡(luò)平安的威脅主要表現(xiàn)在：非授權(quán)訪問，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運(yùn)行，利用網(wǎng)絡(luò)傳播病毒，線路竊聽等方面。這以要求我們與Internet互連所帶來的平安性問題予以足夠重視。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速開展使網(wǎng)絡(luò)平安問題日益突出,而防火墻是應(yīng)用最廣泛的平安產(chǎn)品。本文闡述了網(wǎng)絡(luò)防火墻的工作原理并對(duì)傳統(tǒng)防火墻的利弊進(jìn)展了比照分析,最后結(jié)合計(jì)算機(jī)科學(xué)其它領(lǐng)域的相關(guān)新技術(shù),提出了新的防火墻技術(shù),并展望了其開展前景。關(guān)鍵詞：包過濾應(yīng)用層網(wǎng)關(guān)分布式防火墻監(jiān)測(cè)型防火墻嵌入式防火墻智能防火墻網(wǎng)絡(luò)平安，防火墻，防策略，開展趨勢(shì)摘要1第一章引言31.1研究背景31.2研究目的31.3論文構(gòu)造3第二章網(wǎng)絡(luò)平安32.1網(wǎng)絡(luò)平安問題32.1.1網(wǎng)絡(luò)平安面臨的主要威脅32.1.2影響網(wǎng)絡(luò)平安的因素32.2網(wǎng)絡(luò)平安措施32.2.1完善計(jì)算機(jī)平安立法32.2.2網(wǎng)絡(luò)平安的關(guān)鍵技術(shù)32.3制定合理的網(wǎng)絡(luò)管理措施3第三章防火墻概述33.1防火墻的概念33.1.1傳統(tǒng)防火墻介紹33.1.2智能防火墻簡(jiǎn)介33.2防火墻的功能33.2.1防火墻的主要功能33.2.2入侵檢測(cè)功能33.2.3虛擬專網(wǎng)功能33.2.4其他功能33.3防火墻的原理及分類33.3.1包過濾防火墻33.3.2應(yīng)用級(jí)代理防火墻33.3.3代理效勞型防火墻33.3.4復(fù)合型防火墻33.4防火墻包過濾技術(shù)33.4.1數(shù)據(jù)表構(gòu)造33.4.2傳統(tǒng)包過濾技術(shù)33.4.3動(dòng)態(tài)包過濾33.4.4深度包檢測(cè)33.4.5流過濾技術(shù)3第四章防火墻的配置34.1硬件連接與實(shí)施34.2防火墻的特色配置34.3軟件的配置與實(shí)施3第五章防火墻開展趨勢(shì)35.1防火墻包過濾技術(shù)開展趨勢(shì)35.2防火墻的體系構(gòu)造開展趨勢(shì)35.3防火墻的系統(tǒng)管理開展趨勢(shì)3結(jié)論3參考文獻(xiàn)3致3引言研究背景隨著互聯(lián)網(wǎng)的普及和開展，尤其是Internet的廣泛使用，使計(jì)算機(jī)應(yīng)用更加廣泛與深入。同時(shí)，我們不得不注意到，網(wǎng)絡(luò)雖然功能強(qiáng)大，也有其脆弱易受到攻擊的一面。據(jù)美國(guó)FBI統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)平安問題所造成的經(jīng)濟(jì)損失高達(dá)75億美元，而全求平均每20秒鐘就發(fā)生一起Internet計(jì)算機(jī)侵入事件[1]。在我國(guó)，每年因黑客入侵、計(jì)算機(jī)病毒的破壞也造成了巨大的經(jīng)濟(jì)損失。人們?cè)诶镁W(wǎng)絡(luò)的優(yōu)越性的同時(shí)，對(duì)網(wǎng)絡(luò)平安問題也決不能無視。如何建立比擬平安的網(wǎng)絡(luò)體系，值得我們關(guān)注研究。研究目的為了解決互聯(lián)網(wǎng)時(shí)代個(gè)人網(wǎng)絡(luò)平安的問題，近年來新興了防火墻技術(shù)[2]。防火墻具有很強(qiáng)的實(shí)用性和針對(duì)性，它為個(gè)人上網(wǎng)用戶提供了完整的網(wǎng)絡(luò)平安解決方案，可以有效地控制個(gè)人電腦用戶信息在互聯(lián)網(wǎng)上的收發(fā)。用戶可以根據(jù)自己的需要，通過設(shè)定一些參數(shù)，從而到達(dá)控制本機(jī)與互聯(lián)網(wǎng)之間的信息交流阻止惡性信息對(duì)本機(jī)的攻擊，比方ICMPnood攻擊、聊天室炸彈、木馬信息破譯并修改密碼等等。而且防火墻能夠?qū)崟r(shí)記錄其它系統(tǒng)試圖對(duì)本機(jī)系統(tǒng)的訪問，使計(jì)算機(jī)在連接到互聯(lián)網(wǎng)的時(shí)候防止受到網(wǎng)絡(luò)攻擊和資料泄漏的平安威脅。防火墻可以保護(hù)人們?cè)诰W(wǎng)上瀏覽時(shí)免受黑客的攻擊，實(shí)時(shí)防網(wǎng)絡(luò)黑客的侵襲，還可以根據(jù)自己的需要?jiǎng)?chuàng)立防火墻規(guī)那么，控制互聯(lián)網(wǎng)到PC以及PC到互聯(lián)網(wǎng)的所有連接，并屏蔽入侵企圖。防火可以有效地阻截各種惡意攻擊、保護(hù)信息的平安;信息泄漏攔截保證平安地瀏覽網(wǎng)頁(yè)、遏制病毒的蔓延;容檢測(cè)可以實(shí)時(shí)監(jiān)視系統(tǒng)，阻擋一切針對(duì)硬盤的惡意活動(dòng)。個(gè)人防火墻就是在單機(jī)Windows系統(tǒng)上，采取一些平安防護(hù)措施，使得本機(jī)的息得到一定的保護(hù)。個(gè)人防火墻是面向單機(jī)操作系統(tǒng)的一種小型平安防護(hù)軟件，按一定的規(guī)那么對(duì)TCP，UDP，ICMP和IGMP等報(bào)文進(jìn)展過濾，對(duì)網(wǎng)絡(luò)的信息流和系統(tǒng)進(jìn)程進(jìn)展監(jiān)控，防止一些惡意的攻擊。目前市場(chǎng)上大多數(shù)的防火墻產(chǎn)品僅僅是網(wǎng)關(guān)的，雖然它們的功能相當(dāng)強(qiáng)大，但由于它們基于下述的假設(shè):部網(wǎng)是平安可靠的，所有的威脅都來自網(wǎng)外。因此，他們防外不防，難以實(shí)現(xiàn)對(duì)企業(yè)部局域網(wǎng)主之間的平安通信，也不能很好的解決每一個(gè)撥號(hào)上網(wǎng)用戶所在主機(jī)的平安問題，而多數(shù)個(gè)人上網(wǎng)之時(shí)，并沒有置身于得到防護(hù)的平安網(wǎng)絡(luò)部。個(gè)人上網(wǎng)用戶多使用Windows操作系統(tǒng)，而Windows操作系統(tǒng)，特別是WindowsXP系統(tǒng)，本身的平安性就不高。各種Windows漏洞不斷被公布，對(duì)主機(jī)的攻擊也越來越多。一般都是利用操作系統(tǒng)設(shè)計(jì)的平安漏洞和通信協(xié)議的平安漏洞來實(shí)現(xiàn)攻擊。如假冒IP包對(duì)通信雙方進(jìn)展欺騙:對(duì)主機(jī)大量發(fā)送正數(shù)據(jù)包[3]進(jìn)展轟炸攻擊，使之際崩潰;以及藍(lán)屏攻擊等。因此，為了保護(hù)主機(jī)的平安通信，研制有效的個(gè)人防火墻技術(shù)很有必要。所謂的防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)平安域之間的一系列部件的組合[1]。它可通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)部的信息、構(gòu)造和運(yùn)行狀況,以此來實(shí)現(xiàn)網(wǎng)絡(luò)的平安保護(hù)。在邏輯上,防火墻是一個(gè)別離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)控了部網(wǎng)和Internet之間的任何活動(dòng),保證了部網(wǎng)絡(luò)的平安。一個(gè)高效可靠的防火墻必須具有以下典型的特性:1從里到外和從外到里的所有通信都必須通過防火墻；2只有本地平安策略授權(quán)的通信才允許通過；3防火墻本身是免疫的,不會(huì)被穿透的。防火墻的根本功能有:過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)出網(wǎng)絡(luò)的訪問行為；封堵某些制止的業(yè)務(wù)；記錄通過防火墻的信息容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊進(jìn)展檢測(cè)和報(bào)警論文構(gòu)造在論文中接下來的幾章里，將會(huì)有以下安排:第二章，分析研究網(wǎng)絡(luò)平安問題，網(wǎng)絡(luò)平安面臨的主要威脅，影響網(wǎng)絡(luò)平安的因素，及保護(hù)網(wǎng)絡(luò)平安的關(guān)鍵技術(shù)。第三章，介紹防火墻的相關(guān)技術(shù)，如防火墻的原理、功能、包過濾技術(shù)等;。第四章，以H3CH3C的F100防火墻為例，介紹防火墻配置方法。第五章，系統(tǒng)闡述防火墻開展趨勢(shì)。網(wǎng)絡(luò)平安網(wǎng)絡(luò)平安問題平安，通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機(jī)制。我國(guó)對(duì)于計(jì)算機(jī)平安的定義是："計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運(yùn)行。〞從技術(shù)講，計(jì)算機(jī)平安分為3種：1〕實(shí)體的平安。它保證硬件和軟件本身的平安。2〕運(yùn)行環(huán)境的平安性。它保證計(jì)算機(jī)能在良好的環(huán)境里持續(xù)工作。3〕信息的平安性。它保障信息不會(huì)被非法閱讀、修改和泄漏。隨著網(wǎng)絡(luò)的開展，計(jì)算機(jī)的平安問題也延伸到了計(jì)算機(jī)網(wǎng)絡(luò)。網(wǎng)絡(luò)平安面臨的主要威脅一般認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的平安威脅主要來自計(jì)算機(jī)病毒、黑客的攻擊和拒絕效勞攻擊三個(gè)方面。1〕計(jì)算機(jī)病毒的侵襲。當(dāng)前，活性病毒達(dá)14000多種，計(jì)算機(jī)病毒侵入網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)資源進(jìn)展破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個(gè)網(wǎng)絡(luò)的癱瘓。2〕黑客侵襲。即黑客非法進(jìn)入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。例如通過隱蔽通道進(jìn)展非法活動(dòng)；采用匿名用戶訪問進(jìn)展攻擊；通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶賬號(hào)和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。3〕拒絕效勞攻擊。例如"點(diǎn)在炸彈〞，它的表現(xiàn)形式是用戶在很短的時(shí)間收到大量無用的電子，從而影響正常業(yè)務(wù)的運(yùn)行。嚴(yán)重時(shí)會(huì)使系統(tǒng)關(guān)機(jī)，網(wǎng)絡(luò)癱瘓。具體講，網(wǎng)絡(luò)系統(tǒng)面臨的平安威脅主要有如下表現(xiàn)：身份竊取、非授權(quán)訪問、數(shù)據(jù)竊取、拒絕效勞、病毒與惡意攻擊、冒充合法用戶……等。影響網(wǎng)絡(luò)平安的因素1〕單機(jī)平安購(gòu)置單機(jī)時(shí)，型號(hào)的選擇；計(jì)算機(jī)的運(yùn)行環(huán)境〔電壓、濕度、防塵條件、強(qiáng)電磁場(chǎng)以及自然災(zāi)害等〕；計(jì)算機(jī)的操作……等等，這些都是影響單機(jī)平安性的因素。2〕網(wǎng)絡(luò)平安影響網(wǎng)絡(luò)平安的因素有：節(jié)點(diǎn)的平安、數(shù)據(jù)的平安〔保存和傳輸方面〕、文件的平安等。網(wǎng)絡(luò)平安措施網(wǎng)絡(luò)信息平安涉及方方面面的問題，是一個(gè)復(fù)雜的系統(tǒng)。一個(gè)完整的網(wǎng)絡(luò)信息平安體系至少應(yīng)包括三類措施：一是法律政策、規(guī)章制度以及平安教育等外部軟環(huán)境。二是技術(shù)方面，如信息加密存儲(chǔ)傳輸、身份認(rèn)證、防火墻技術(shù)、網(wǎng)絡(luò)防毒等。三是管理措施，包括技術(shù)與社會(huì)措施。主要措施有：提供實(shí)時(shí)改變平安策略的能力、實(shí)時(shí)監(jiān)控企業(yè)平安狀態(tài)、對(duì)現(xiàn)有的平安系統(tǒng)實(shí)施漏洞檢查等，以防患于未然。這三者缺一不可，其中，法律政策是平安的基石，技術(shù)是平安的保障，管理和審計(jì)是平安的防線。完善計(jì)算機(jī)平安立法我國(guó)先后出臺(tái)的有關(guān)網(wǎng)絡(luò)平安管理的規(guī)定和條例。但目前，在這方面的立法還遠(yuǎn)不能適應(yīng)形勢(shì)開展的需要,應(yīng)該在對(duì)控制計(jì)算機(jī)犯罪的國(guó)外立法評(píng)價(jià)的根底上，完善我國(guó)計(jì)算機(jī)犯罪立法，以便為確保我國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)安康有序的開展提供強(qiáng)有力的保障。網(wǎng)絡(luò)平安的關(guān)鍵技術(shù)(1)數(shù)據(jù)加密加密就是把明文變成密文，從而使未被授權(quán)的人看不懂它。有兩種主要的加密類型：私匙加密和公匙加密。(2)認(rèn)證對(duì)合法用戶進(jìn)展認(rèn)證可以防止非法用戶獲得對(duì)公司信息系統(tǒng)的訪問，使用認(rèn)證機(jī)制還可以防止合法用戶訪問他們無權(quán)查看的信息。(3)防火墻技術(shù)防火墻就是用來阻擋外部不平安因素影響的部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。目前，防火墻采取的技術(shù)，主要是包過濾、應(yīng)用網(wǎng)關(guān)、子網(wǎng)屏蔽等。但是，防火墻技術(shù)在網(wǎng)絡(luò)平安防護(hù)方面也存在一些缺乏：防火墻不能防止部攻擊防火墻不能取代殺毒軟件；防火墻不易防止反彈端口木馬攻擊等。(4)檢測(cè)系統(tǒng)入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)平安研究的一個(gè)熱點(diǎn)，是一種積極主動(dòng)的平安防護(hù)技術(shù)，提供了對(duì)部入侵、外部入侵和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。隨著時(shí)代的開展，入侵檢測(cè)技術(shù)將朝著三個(gè)方向開展:分布式入侵檢測(cè)、智能化入侵檢測(cè)和全面的平安防御方案。(5)防病毒技術(shù)隨著計(jì)算機(jī)技術(shù)的開展，計(jì)算機(jī)病毒變得越來越復(fù)雜和高級(jí)，計(jì)算機(jī)病毒防不僅僅是一個(gè)產(chǎn)品、一個(gè)策略或一個(gè)制度，它是一個(gè)聚集了硬件、軟件、網(wǎng)絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。(6)文件系統(tǒng)平安在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個(gè)關(guān)鍵性的概念，因?yàn)樵L問控制實(shí)現(xiàn)在兩個(gè)方面：本地和遠(yuǎn)程。建立文件權(quán)限的時(shí)候，必須在Windows2000中首先實(shí)行新技術(shù)文件系統(tǒng)〔NewTechnologyFileSystem，NTFS〕。一旦實(shí)現(xiàn)了NTFS，你可以使用Windows資源管理器在文件和文件夾上設(shè)置用戶級(jí)別的權(quán)限。你需要了解可以分配什么樣的權(quán)限，還有日常活動(dòng)期間一些規(guī)那么是處理權(quán)限的。Windows2000操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪問控制。制定合理的網(wǎng)絡(luò)管理措施〔1〕加強(qiáng)網(wǎng)絡(luò)用戶及有關(guān)人員的平安意識(shí)、職業(yè)道德和事業(yè)心、責(zé)任心的培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。〔2〕建立完善的平安管理體制和制度，以起到對(duì)管理人員和操作人員鼓勵(lì)和監(jiān)視的作用?！?〕管理措施要標(biāo)準(zhǔn)化、規(guī)化和科學(xué)化。防火墻概述隨著Internet的迅速開展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多;同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng)絡(luò)平安問題越來越突出。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播感染顯得尤為重要。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過濾和應(yīng)用代理兩類。其中包過濾作為最早開展起來的一種技術(shù)，其應(yīng)用非常廣泛。防火墻的概念防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。[4]防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)平安域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域之間信息的唯一出入口，能根據(jù)企業(yè)的平安政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息平安效勞，實(shí)現(xiàn)網(wǎng)絡(luò)和信息平安的根底設(shè)施。防火墻提供信息平安效勞，是實(shí)現(xiàn)網(wǎng)絡(luò)和信息平安的根底設(shè)施。在邏輯上，防火墻是一個(gè)別離器，一個(gè)限制器，也是一個(gè)分析器，它有效地監(jiān)控了部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動(dòng)，保證了部網(wǎng)絡(luò)的平安。傳統(tǒng)防火墻介紹目前的防火墻技術(shù)無論從技術(shù)上還是從產(chǎn)品開展歷程上，都經(jīng)歷了五個(gè)開展歷程。圖1表示了防火墻技術(shù)的簡(jiǎn)單開展歷史。圖1第一代防火墻第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過濾〔Packetfilter〕技術(shù)。第二代、第三代防火墻1989年，貝爾實(shí)驗(yàn)室的DavePresotto和HowardTrickey推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻——應(yīng)用層防火墻〔代理防火墻〕的初步構(gòu)造。第四代防火墻1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動(dòng)態(tài)包過濾〔Dynamicpacketfilter〕技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視〔Statefulinspection〕技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻1998年，NAI公司推出了一種自適應(yīng)代理〔Adaptiveproxy〕技術(shù)，并在其產(chǎn)品GauntletFirewallforNT中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。[5]但傳統(tǒng)的防火墻并沒有解決目前網(wǎng)絡(luò)中主要的平安問題。目前網(wǎng)絡(luò)平安的三大主要問題是:以拒絕訪問(DDOS)為主要代表的網(wǎng)絡(luò)攻擊，以蠕蟲(Worm)為主要代表的病毒傳播和以垃圾電子(SPAM)為代表的容控制。這三大平安問題占據(jù)網(wǎng)絡(luò)平安問題九成以上。而這三大問題，傳統(tǒng)防火墻都無能為力。主要有以下三個(gè)原因:一是傳統(tǒng)防火墻的計(jì)算能力的限制。傳統(tǒng)的防火墻是以高強(qiáng)度的檢查為代價(jià)，檢查的強(qiáng)度越高，計(jì)算的代價(jià)越大。二是傳統(tǒng)防火墻的訪問控制機(jī)制是一個(gè)簡(jiǎn)單的過濾機(jī)制。它是一個(gè)簡(jiǎn)單的條件過濾器，不具有智能功能，無法檢測(cè)復(fù)雜的攻擊。三是傳統(tǒng)的防火墻無法區(qū)分識(shí)別善意和惡意的行為。該特征決定了傳統(tǒng)的防火墻無法解決惡意的攻擊行為。現(xiàn)在防火墻正在向分布、智能的方向開展，其中智能防火墻可以很好的解決上面的問題。智能防火墻簡(jiǎn)介智能防火墻[6]是相對(duì)傳統(tǒng)的防火墻而言的，從技術(shù)特征上智能防火墻是利用統(tǒng)計(jì)、記憶、概率和決策的智能方法來對(duì)數(shù)據(jù)進(jìn)展識(shí)別，并到達(dá)訪問控制的目的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進(jìn)展訪問控制。由于這些方法多是人工智能學(xué)科采用的方法，因此，又稱為智能防火墻。防火墻的功能防火墻的主要功能1．包過濾。包過濾是一種網(wǎng)絡(luò)的數(shù)據(jù)平安保護(hù)機(jī)制，它可用來控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)，它通常由定義的各條數(shù)據(jù)平安規(guī)那么所組成，防火墻設(shè)置可基于源地址、源端口、目的地址、目的端口、協(xié)議和時(shí)間;可根據(jù)地址簿進(jìn)展設(shè)置規(guī)那么。2．地址轉(zhuǎn)換。網(wǎng)絡(luò)地址變換是將部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的IP地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換SourceNAT(SNAT)和目的地址轉(zhuǎn)換DestinationNAT(DNAT)。SNAT用于對(duì)部網(wǎng)絡(luò)地址進(jìn)展轉(zhuǎn)換，對(duì)外部網(wǎng)絡(luò)隱藏起部網(wǎng)絡(luò)的構(gòu)造，防止受到來自外部其他網(wǎng)絡(luò)的非授權(quán)訪問或惡意攻擊。并將有限的IP地址動(dòng)態(tài)或靜態(tài)的與部IP地址對(duì)應(yīng)起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低本錢。DNAT主要用于外網(wǎng)主機(jī)訪問網(wǎng)主機(jī)。3．認(rèn)證和應(yīng)用代理。認(rèn)證指防火墻對(duì)訪問網(wǎng)絡(luò)者合法身分確實(shí)定。代理指防火墻置用戶認(rèn)證數(shù)據(jù)庫(kù);提供HTTP、FTP和SMTP代理功能，并可對(duì)這三種協(xié)議進(jìn)展訪問控制;同時(shí)支持URL過濾功能。4．透明和路由指防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對(duì)互聯(lián)網(wǎng)效勞進(jìn)展幾乎透明的訪問，同時(shí)阻止了外部未授權(quán)訪問者對(duì)專用網(wǎng)絡(luò)的非法訪問;防火墻還支持路由方式，提供靜態(tài)路由功能，支持部多個(gè)子網(wǎng)之間的平安訪問。入侵檢測(cè)功能入侵檢測(cè)技術(shù)[7]就是一種主動(dòng)保護(hù)自己免受黑客攻擊的一種網(wǎng)絡(luò)平安技術(shù)，包括以下容:1.反端口掃描。端口掃描就是指黑客通過遠(yuǎn)程端口掃描的工具，從中發(fā)現(xiàn)主機(jī)的哪些非常用端口是翻開的;是否支持FTP、Web效勞;且FTP效勞是否支持"匿名〞，以及IIS版本，是否有可以被成功攻破的IIS漏洞，進(jìn)而對(duì)部網(wǎng)絡(luò)的主機(jī)進(jìn)展攻擊。顧名思義反端口掃描就是防端口掃描的方法，目前常用的方法有:關(guān)閉閑置和有潛在危險(xiǎn)的端口;檢查各端口，有端口掃描的病癥時(shí)，立即屏蔽該端口，多數(shù)防火墻設(shè)備采用的都是這種反端口掃描方式。2.檢測(cè)拒絕效勞攻擊。拒絕效勞(DoS)攻擊就是利用合理的效勞請(qǐng)求來占用過多的效勞資源，從而使合法用戶無法得到效勞的響應(yīng)，其攻擊方式有很多種;而分布式的拒絕效勞攻擊(DDoS)攻擊手段那么是在傳統(tǒng)的DoS攻擊根底之上產(chǎn)生的一類攻擊方式，分布式的拒絕效勞攻擊(DDoS)。其原理很簡(jiǎn)單，就是利用更多的受控主機(jī)同時(shí)發(fā)起進(jìn)攻，以比DoS更大的規(guī)模(或者說以更高于受攻主機(jī)處理能力的進(jìn)攻能力)來進(jìn)攻受害者?，F(xiàn)在的防火墻設(shè)備通常都可檢測(cè)Synflod、Land、PingofDeath、TearDrop、ICMPflood和UDPflod等多種DOS/DDOS攻擊。3.檢測(cè)多種緩沖區(qū)溢出攻擊(BufferOverflow)。緩沖區(qū)溢出(BufferOverflow)攻擊指利用軟件的弱點(diǎn)將任意數(shù)據(jù)添加進(jìn)某個(gè)程序中，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以到達(dá)攻擊的目的。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)展各種非法操作，防火墻設(shè)備可檢測(cè)對(duì)FTP、Telnet、SSH、RPC和SMTP等效勞的遠(yuǎn)程堆棧溢出入侵。4.檢測(cè)CGI/IIS效勞器入侵。CGI就是monGatewayInter——face的簡(jiǎn)稱。是WorldWideWeb主機(jī)和CGI程序間傳輸資訊的定義。IIS就是InternetInformationserver的簡(jiǎn)稱，也就是微軟的Internet信息效勞器。防火墻設(shè)備可檢測(cè)包括針對(duì)Unicode、ASP源碼泄漏、PHF、NPH、pfdisPlay.cgi等上百種的有平安隱患的CGI/IIS進(jìn)展的探測(cè)和攻擊方式。5.檢測(cè)后門、木馬及其網(wǎng)絡(luò)蠕蟲。后門程序是指采用某種方法定義出一個(gè)特殊的端口并依靠某種程序在機(jī)器啟動(dòng)之前自動(dòng)加載到存，強(qiáng)行控制機(jī)器翻開那個(gè)特殊的端口的程序。木馬程序的全稱是"特洛依木馬〞，它們是指尋找后門、竊取計(jì)算機(jī)的密碼的一類程序。網(wǎng)絡(luò)蠕蟲病毒分為2類，一種是面向企業(yè)用戶和局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動(dòng)進(jìn)展攻擊，可以對(duì)整個(gè)互聯(lián)網(wǎng)造成癱瘓性的后果，以"紅色代碼〞，"尼姆達(dá)〞，以及最新的"sql蠕蟲王〞為代表。另外一種是針對(duì)個(gè)人用戶的，通過網(wǎng)絡(luò)(主要是電子，惡意網(wǎng)頁(yè)形式)迅速傳播的蠕蟲病毒，以愛蟲病毒，求職信病毒為例。防火墻設(shè)備可檢測(cè)試圖穿透防火墻系統(tǒng)的木馬控制端和客戶端程序;檢測(cè)試圖穿透防火墻系統(tǒng)的蠕蟲程序。虛擬專網(wǎng)功能指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過平安的"加密通道〞在公共網(wǎng)絡(luò)中傳播。VPN的根本原理是通過IP包的封裝及加密、認(rèn)證等手段，從而到達(dá)平安的目的。其他功能1.IP地址/MAC地址綁定?？芍С秩我痪W(wǎng)絡(luò)接口的IP地址和MAC地址的綁定，從而制止用戶隨意修改IP地址。2.審計(jì)。要求對(duì)使用身份標(biāo)識(shí)和認(rèn)證的機(jī)制，文件的創(chuàng)立，修改，系統(tǒng)管理的所有操作以及其他有關(guān)平安事件進(jìn)展記錄，以便系統(tǒng)管理員進(jìn)展平安跟蹤。一般防火墻設(shè)備可以提供三種日志審計(jì)功能:系統(tǒng)管理日志、流量日志和入侵日志。3.特殊站點(diǎn)封禁。置特殊站點(diǎn)數(shù)據(jù)庫(kù)，用戶可選擇是否封禁、反動(dòng)和暴力等特殊站點(diǎn)。防火墻的原理及分類國(guó)際計(jì)算機(jī)平安委員會(huì)ICSA將防火墻分成三大類:包過濾防火墻，應(yīng)用級(jí)代理效勞器[8]以及狀態(tài)包檢測(cè)防火墻。包過濾防火墻顧名思義，包過濾防火墻[9]就是把接收到的每個(gè)數(shù)據(jù)包同預(yù)先設(shè)定的包過濾規(guī)那么相比擬，從而決定是否阻塞或通過。過濾規(guī)那么是基于網(wǎng)絡(luò)層IP包信息的比擬。包過濾防火墻工作在網(wǎng)絡(luò)層，IP包的中包含源、目的IP地址，封裝協(xié)議類型(TCP，UDP，ICMP或IPTunnel)，TCP/UDP端口號(hào)，ICMP消息類型，TCP中的ACK等等。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)那么相匹配，那么數(shù)據(jù)包按正常情況處理;如果與拒絕轉(zhuǎn)發(fā)的規(guī)那么相匹配，那么防火墻丟棄數(shù)據(jù)包;如果沒有匹配規(guī)那么，那么按缺省情況處理。包過濾防火墻是速度最快的防火墻，這是因?yàn)樗幱诰W(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實(shí)現(xiàn)，對(duì)用戶來說都是透明的。但是它的平安程度較低，很容易暴露部網(wǎng)絡(luò)，使之遭受攻擊。例如，HTTP。通常是使用80端口。如果公司的平安策略允許部員工訪問，包過濾防火墻可能設(shè)置允所有80端口的連接通過，這時(shí)，意識(shí)到這一漏洞的外部人員可以在沒有被認(rèn)證的情況下進(jìn)入私有網(wǎng)絡(luò)。包過濾防火墻的維護(hù)比擬困難，定義過濾規(guī)那么也比擬復(fù)雜，因?yàn)槿魏我粭l過濾規(guī)那么的不完善都會(huì)給網(wǎng)絡(luò)黑客造成可乘之機(jī)。同時(shí)，包過濾防火墻一般無法提供完善的日志。應(yīng)用級(jí)代理防火墻應(yīng)用級(jí)代理技術(shù)通過在OSI的最高層檢查每一個(gè)IP包，從而實(shí)現(xiàn)平安策略。代理技術(shù)與包過濾技術(shù)完全不同，包過濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實(shí)現(xiàn)防火墻功能。它的代理功能，就是在防火墻處終止客戶連接并初始化一個(gè)新的連接到受保護(hù)的部網(wǎng)絡(luò)。這代理機(jī)制提供額外的平安，這是因?yàn)樗鼘⒉亢屯獠烤W(wǎng)絡(luò)隔離開來，使網(wǎng)絡(luò)外部的黑客在防火墻部網(wǎng)絡(luò)上進(jìn)展探測(cè)變得困難，更重要的是能夠讓網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)效勞進(jìn)展全面的控制。但是，這將花費(fèi)更多的處理時(shí)間，并且由于代理防火墻支持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。比方訪問WEB站點(diǎn)的HTTP，用于文件傳輸?shù)腇TP，用于E一MAIL的SMTP/POP3等等。如果某種應(yīng)用沒有安裝代理程序，那么該項(xiàng)效勞就不被支持并且不能通過防火墻進(jìn)展轉(zhuǎn)發(fā);同時(shí)升級(jí)一種應(yīng)用時(shí)，相應(yīng)的代理程序也必須同時(shí)升級(jí)。代理效勞型防火墻代理效勞(ProxyService)也稱鏈路級(jí)網(wǎng)關(guān)或TCP通道(CircuitLevelGatewaysorTCPTunnels)，也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。它是針對(duì)數(shù)據(jù)包過濾[10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的"〞，由兩個(gè)終止代理效勞器上的"〞來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理效勞器，從而起到了隔離防火墻外計(jì)算機(jī)系統(tǒng)的作用。此外，代理效勞也對(duì)過往的數(shù)據(jù)包進(jìn)展分析、注冊(cè)登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保存攻擊痕跡。應(yīng)用代理型防火墻是部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時(shí)也常結(jié)合入過濾器的功能。它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作平安決策的全部信息。復(fù)合型防火墻由于對(duì)更高平安性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機(jī)防火墻體系構(gòu)造，在該構(gòu)造中，分組過濾路由器或防火墻與Internet相連，同時(shí)一個(gè)堡壘機(jī)安裝在部網(wǎng)絡(luò)，通過在分組過濾器路由器或防火墻上過濾規(guī)那么的設(shè)置，使堡壘機(jī)成為Internet上其他節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系構(gòu)造：堡壘機(jī)放在一個(gè)子網(wǎng)，形成非軍事化區(qū)，兩個(gè)分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及部網(wǎng)絡(luò)別離。在屏蔽子網(wǎng)防火墻體系構(gòu)造中，堡壘機(jī)和分組過濾路由器共同構(gòu)成了整個(gè)防火墻的平安根底。防火墻包過濾技術(shù)隨著Internet的迅速開展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多;同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng)絡(luò)平安問題越來越突出。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播感染顯得尤為重要。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過濾和應(yīng)用代理兩類。其中包過濾作為最早開展起來的一種技術(shù)，其應(yīng)用非常廣泛。所謂包過濾，就是對(duì)流經(jīng)網(wǎng)絡(luò)防火墻的所有數(shù)據(jù)包逐個(gè)檢查，并依據(jù)所制定的平安策略來決定數(shù)據(jù)包是通過還是不通過。包過濾最主要的優(yōu)點(diǎn)在于其速度與透明性。也正是由于此。包過濾技術(shù)歷經(jīng)開展演變而未被淘汰。由于其主要是對(duì)數(shù)據(jù)包的過濾操作，所以數(shù)據(jù)包構(gòu)造是包過濾技術(shù)的根底?？紤]包過濾技術(shù)的開展過程，可以認(rèn)為包過濾的核心問題就是如何充分利用數(shù)據(jù)包中各個(gè)字段的信息，并結(jié)合平安策略來完成防火墻的功能[11]-[15]數(shù)據(jù)表構(gòu)造當(dāng)應(yīng)用程序用TCP傳送數(shù)據(jù)時(shí)，數(shù)據(jù)被送入?yún)f(xié)議棧中，然后逐個(gè)通過每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。其中每一層對(duì)接收到的數(shù)據(jù)都要增加一些首部信息。TCP傳給IP的數(shù)據(jù)單元稱作TCP報(bào)文段(TCPSegment);IP傳給網(wǎng)絡(luò)接口層的數(shù)據(jù)單元稱作IP數(shù)據(jù)報(bào)(IPDatagram)；通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀(Frame)。對(duì)于進(jìn)防火墻的數(shù)據(jù)包，順序正好與此相反，頭部信息逐層剝掉。IP，TCP首部格式如表2-1表2-2所示。表2-1IP首部格式版本首部長(zhǎng)效勞類型總長(zhǎng)度標(biāo)識(shí)標(biāo)志片偏移生存時(shí)間協(xié)議首部校驗(yàn)和源IP地址目的IP地址選項(xiàng)表2-2TCP首部格式源端口號(hào)目的端口號(hào)序列號(hào)確認(rèn)號(hào)首部長(zhǎng)保存LRCTBLPBHRCTCJHHJR窗口大小TCP校驗(yàn)和緊急指針選項(xiàng)對(duì)于幀的頭部信息主要是源/目的主機(jī)的MAC地址;IP數(shù)據(jù)報(bào)頭部信息主要是源/目的主機(jī)的IP地址;TCP頭部的主要字段包括源/目的端口、發(fā)送及確認(rèn)序號(hào)、狀態(tài)標(biāo)識(shí)等。理論上講，數(shù)據(jù)包所有頭部信息以及有效載荷都可以作為判斷包通過與否的依據(jù)，但是在實(shí)際情況中，包過濾技術(shù)上的問題主要是選取哪些字段信息，以及如何有效地利用這些字段信息并結(jié)合訪問控制列表來執(zhí)行包過濾操作，并盡可能提高平安控制力度。傳統(tǒng)包過濾技術(shù)傳統(tǒng)包過濾技術(shù)，大多是在IP層實(shí)現(xiàn)，它只是簡(jiǎn)單的對(duì)當(dāng)前正在通過的單一數(shù)據(jù)包進(jìn)展檢測(cè)，查看源/目的IP地址、端口號(hào)以及協(xié)議類型(UDP/TCP)等，結(jié)合訪問控制規(guī)那么對(duì)數(shù)據(jù)包實(shí)施有選擇的通過。這種技術(shù)實(shí)現(xiàn)簡(jiǎn)單，處理速度快，對(duì)應(yīng)用透明，但是它存在的問題也很多，主要表現(xiàn)有:1.所有可能會(huì)用到的端口都必須靜態(tài)放開。假設(shè)允許建立HTTP連接，就需要開放1024以上所有端口，這無疑增加了被攻擊的可能性。2.不能對(duì)數(shù)據(jù)傳輸狀態(tài)進(jìn)展判斷。如接收到一個(gè)ACK數(shù)據(jù)包，就認(rèn)為這是一個(gè)己建立的連接，這就導(dǎo)致許多平安隱患，一些惡意掃描和拒絕效勞攻擊就是利用了這個(gè)缺陷。3.無法過濾審核數(shù)據(jù)包上層的容。即使通過防火墻的數(shù)據(jù)包有攻擊性或包含病毒代碼，也無法進(jìn)展控制和阻斷。綜合上述問題，傳統(tǒng)包過濾技術(shù)的缺陷在于:(l)缺乏狀態(tài)檢測(cè)能力;(2)缺乏應(yīng)用防御能力。(3)只對(duì)當(dāng)前正在通過的單一數(shù)據(jù)包進(jìn)展檢測(cè)，而沒有考慮前后數(shù)據(jù)包之間的聯(lián)系;(4)只檢查信息，而沒有深入檢測(cè)數(shù)據(jù)包的有效載荷。傳統(tǒng)包過濾技術(shù)必須開展進(jìn)化，在繼承其優(yōu)點(diǎn)的前提下，采用新的技術(shù)手段，克制其缺陷，并進(jìn)一步滿足新的平安應(yīng)用要求。從數(shù)據(jù)包構(gòu)造出發(fā)考慮，目前包過濾技術(shù)向兩個(gè)方向開展:(l)橫向聯(lián)系。即在包檢測(cè)中考慮前后數(shù)據(jù)包之間的關(guān)系，充分利用信息中能表達(dá)此關(guān)系的字段，如IP首部的標(biāo)識(shí)字段和片偏移字段、TCP首部的發(fā)送及確認(rèn)序號(hào)、滑動(dòng)窗口的大小、狀態(tài)標(biāo)識(shí)等，動(dòng)態(tài)執(zhí)行數(shù)據(jù)包過濾。(2)縱向開展。深入檢測(cè)數(shù)據(jù)包有效載荷，識(shí)別并阻止病毒代碼和基于高層協(xié)議的攻擊，以此來提高應(yīng)用防御能力。這兩種技術(shù)的開展并不是獨(dú)立的，動(dòng)態(tài)包過濾可以說是基于容檢測(cè)技術(shù)的根底。實(shí)際上，在深度包檢測(cè)技術(shù)中己經(jīng)表達(dá)了兩種技術(shù)的融合趨勢(shì)。動(dòng)態(tài)包過濾動(dòng)態(tài)包過濾[16]又稱為基于狀態(tài)的數(shù)據(jù)包過濾，是在傳統(tǒng)包過濾技術(shù)根底之上開展起來的一項(xiàng)過濾技術(shù)，最早由Checkpoint提出。與傳統(tǒng)包過濾技術(shù)只檢查單個(gè)、孤立的數(shù)據(jù)包不同，動(dòng)態(tài)包過濾試圖將數(shù)據(jù)包的上下文聯(lián)系起來，建立一種基于狀態(tài)的包過濾機(jī)制。對(duì)于新建的應(yīng)用連接，防火墻檢查預(yù)先設(shè)置的平安規(guī)那么，允許符合規(guī)那么的連接通過，并在存中記錄下該連接的相關(guān)信息，這些相關(guān)信息構(gòu)成一個(gè)狀態(tài)表。這樣，當(dāng)一個(gè)新的數(shù)據(jù)包到達(dá)，如果屬于已經(jīng)建立的連接，那么檢查狀態(tài)表，參考數(shù)據(jù)流上下文決定當(dāng)前數(shù)據(jù)包通過與否;如果是新建連接，那么檢查靜態(tài)規(guī)那么表。動(dòng)態(tài)包過濾通過在存中動(dòng)態(tài)地建立和維護(hù)一個(gè)狀態(tài)表，數(shù)據(jù)包到達(dá)時(shí)，對(duì)該數(shù)據(jù)包的處理方式將綜合靜態(tài)平安規(guī)那么和數(shù)據(jù)包所處的狀態(tài)進(jìn)展。這種方法的好處在于由于不需要對(duì)每個(gè)數(shù)據(jù)包進(jìn)展規(guī)那么檢查，而是一個(gè)連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過散列算法，直接進(jìn)展?fàn)顟B(tài)檢查，從而使性能得到了較大提高;而且，由于狀態(tài)表是動(dòng)態(tài)的，因而可以有選擇地、動(dòng)態(tài)地開通1024號(hào)以上的端口，使平安性得到進(jìn)一步地提高。動(dòng)態(tài)包過濾技術(shù)克制了傳統(tǒng)包過濾僅僅孤立的檢查單個(gè)數(shù)據(jù)包和平安規(guī)那么靜態(tài)不可變的缺陷，使得防火墻的平安控制力度更為細(xì)致。深度包檢測(cè)目前許多造成大規(guī)模損害的網(wǎng)絡(luò)攻擊，比方紅色代碼和尼姆達(dá)，都是利用了應(yīng)用的弱點(diǎn)。利用高層協(xié)議的攻擊和網(wǎng)絡(luò)病毒的頻繁出現(xiàn)，對(duì)防火墻提出了新的要求。防火墻必須深入檢查數(shù)據(jù)包的部來確認(rèn)出惡意行為并阻止它們。深度包檢測(cè)(DeepPacketInspection)就是針對(duì)這種需求，深入檢測(cè)數(shù)據(jù)包有效載荷，執(zhí)行基于應(yīng)用層的容過濾，以此提高系統(tǒng)應(yīng)用防御能力。應(yīng)用防御的技術(shù)問題主要包括:(l)需要對(duì)有效載荷知道得更清楚;(2)也需要高速檢查它的能力。簡(jiǎn)單的數(shù)據(jù)包容過濾對(duì)當(dāng)前正在通過的單一數(shù)據(jù)包的有效載荷進(jìn)展掃描檢測(cè)，但是對(duì)于應(yīng)用防御的要求而言，這是遠(yuǎn)遠(yuǎn)不夠的。如一段攻擊代碼被分割到10個(gè)數(shù)據(jù)包中傳輸，那么這種簡(jiǎn)單的對(duì)單一數(shù)據(jù)包的容檢測(cè)根本無法對(duì)攻擊特征進(jìn)展匹配:要清楚地知道有效載荷，必須采取有效方法，將單個(gè)數(shù)據(jù)包重新組合成完整的數(shù)據(jù)流。應(yīng)用層的容過濾要求大量的計(jì)算資源，很多情況下高達(dá)100倍甚至更高。因而要執(zhí)行深度包檢測(cè)，帶來的問題必然是性能的下降，這就是所謂的容處理障礙。為了突破容處理障礙，到達(dá)實(shí)時(shí)地分析網(wǎng)絡(luò)容和行為，需要重點(diǎn)在加速上采取有效的方法。通過采用硬件芯片和更加優(yōu)化的算法，可以解決這個(gè)問題。一個(gè)深度包檢測(cè)的流程框圖如圖3.1所示。圖3.1深度包檢測(cè)框圖在接收到網(wǎng)絡(luò)流量后，將需要進(jìn)展容掃描的數(shù)據(jù)流定向到TCP/IP堆棧，其他數(shù)據(jù)流直接定向到狀態(tài)檢測(cè)引擎，按根本檢測(cè)方式進(jìn)展處理。定向到TCP/IP堆棧的數(shù)據(jù)流，首先轉(zhuǎn)換成容數(shù)據(jù)流。效勞分析器根據(jù)數(shù)據(jù)流效勞類型別離容數(shù)據(jù)流，傳送數(shù)據(jù)流到一個(gè)命令解析器中。命令解析器定制和分析每一個(gè)容協(xié)議，分析容數(shù)據(jù)流，檢測(cè)病毒和蠕蟲。如果檢測(cè)到信息流是一個(gè)HTTP數(shù)據(jù)流，那么命令解析器檢查上載和下載的文件;如果數(shù)據(jù)是Mail類型，那么檢查的附件。如果數(shù)據(jù)流包含附件或上載/下載文件，附件和文件將傳輸?shù)讲《緬呙枰?，所有其他容傳輸?shù)饺葸^濾引擎。如果容過濾啟動(dòng)，數(shù)據(jù)流將根據(jù)過濾的設(shè)置進(jìn)展匹配，通過或拒絕數(shù)據(jù)。流過濾技術(shù)流過濾是東軟集團(tuán)提出的一種新型防火墻技術(shù)架構(gòu)，它融基于狀態(tài)的包過濾技術(shù)與基于容的深度包檢測(cè)技術(shù)為一體，提供了一個(gè)較好的應(yīng)用防御解決方案，它以狀態(tài)監(jiān)測(cè)技術(shù)為根底，但在此根底上進(jìn)展了改良其根本的原理是:以狀態(tài)包過濾的形態(tài)實(shí)現(xiàn)應(yīng)用層的保護(hù)能力:通過嵌的專門實(shí)現(xiàn)的TCP/IP協(xié)議棧，實(shí)現(xiàn)了透明的應(yīng)用信息過濾機(jī)制。流過濾技術(shù)[17]的關(guān)鍵在于其架構(gòu)中的專用TCP/IP協(xié)議棧:這個(gè)協(xié)議棧是一個(gè)標(biāo)準(zhǔn)的TCP協(xié)議的實(shí)現(xiàn)，依據(jù)TCP協(xié)議的定義對(duì)出入防火墻的數(shù)據(jù)包進(jìn)展了，完整的重組，重組后的數(shù)據(jù)流交給應(yīng)用層過濾邏輯進(jìn)展過濾，從而可以有效地識(shí)別并攔截應(yīng)用層的攻擊企圖。在這種機(jī)制下，從防火墻外部看，仍然是包過濾的形態(tài)，工作在鏈路層或IP層，在規(guī)那么允許下，兩端可以直接訪問，但是任何一個(gè)被規(guī)那么允許的訪問在防火墻部都存在兩個(gè)完全獨(dú)立的TCP會(huì)話，數(shù)據(jù)以"流〞的方式從一個(gè)會(huì)話流向另一個(gè)會(huì)話。由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時(shí)候代替效勞器或客戶端參與應(yīng)用層的會(huì)話，從而起到了與應(yīng)用代理防火墻一樣的控制能力。如在對(duì)SMTP協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對(duì)的存儲(chǔ)轉(zhuǎn)發(fā)，并實(shí)現(xiàn)豐富的對(duì)SMTP協(xié)議的各種攻擊的防功能一流過濾的示意圖如圖3.2所示。圖3.2流過濾示意圖防火墻的配置硬件連接與實(shí)施一般來說硬件防火墻和路由交換設(shè)備一樣具備多個(gè)以太接口，速度根據(jù)檔次與價(jià)格不同而在百兆與千兆之間有所區(qū)別。(如圖4.1)圖4.1對(duì)于中小企業(yè)來說一般出口帶寬都在100M以，所以我們選擇100M相關(guān)產(chǎn)品即可。網(wǎng)絡(luò)拓?fù)鋱D中防火墻的位置很關(guān)鍵，一般介于網(wǎng)與外網(wǎng)互連中間區(qū)域，針對(duì)外網(wǎng)訪問數(shù)據(jù)進(jìn)展過濾和監(jiān)控。如果防火墻上有WAN接口，那么直接將WAN接口連接外網(wǎng)即可，如果所有接口都標(biāo)記為L(zhǎng)AN接口，那么按照常規(guī)標(biāo)準(zhǔn)選擇最后一個(gè)LAN接口作為外網(wǎng)連接端口。相應(yīng)的其他LAN接口連接網(wǎng)各個(gè)網(wǎng)絡(luò)設(shè)備。防火墻的特色配置從外觀上看防火墻和傳統(tǒng)的路由器交換機(jī)沒有太大的差異，一局部防火墻具備CONSOLE接口通過超級(jí)終端的方式初始化配置，而另外一局部那么直接通過默認(rèn)的LAN接口和管理地址訪問進(jìn)展配置。與路由器交換機(jī)不同的是在防火墻配置中我們需要?jiǎng)澐侄鄠€(gè)不同權(quán)限不同優(yōu)先級(jí)別的區(qū)域，另外還需要針對(duì)相應(yīng)接口隸屬的區(qū)域進(jìn)展配置，例如1接口劃分到A區(qū)域，2接口劃分到B區(qū)域等等，通過不同區(qū)域的訪問權(quán)限差異來實(shí)現(xiàn)防火墻保護(hù)功能。默認(rèn)情況下防火墻會(huì)自動(dòng)建立trust信任區(qū)，untrust非信任區(qū)，DMZ堡壘主機(jī)區(qū)以及LOCAL本地區(qū)域。相應(yīng)的本地區(qū)域優(yōu)先級(jí)最高，其次是trust信任區(qū)，DMZ堡壘主機(jī)區(qū)，最低的是untrust非信任區(qū)域。在實(shí)際設(shè)置時(shí)我們必須將端口劃分到某區(qū)域后才能對(duì)其進(jìn)展各個(gè)訪問操作，否那么默認(rèn)將阻止對(duì)該接口的任何數(shù)據(jù)通訊。除此之外防火墻的其他相關(guān)配置與路由交換設(shè)備差不多，無外乎通過超級(jí)終端下的命令行參數(shù)進(jìn)展配置或者通過WEB管理界面配置。軟件的配置與實(shí)施以H3C的F100防火墻為例，當(dāng)企業(yè)外網(wǎng)IP地址固定并通過光纖連接的具體配置。首先當(dāng)企業(yè)外網(wǎng)出口指定IP時(shí)配置防火墻參數(shù)。選擇接口四連接外網(wǎng)，接口一連接網(wǎng)。這里假設(shè)電信提供的外網(wǎng)IP地址為94。第一步：通過CONSOLE接口以及本機(jī)的超級(jí)終端連接F100防火墻，執(zhí)行system命令進(jìn)入配置模式。第二步：通過firewallpacketdefaultpermit設(shè)置默認(rèn)的防火墻策略為"容許通過〞。第三步：進(jìn)入接口四設(shè)置其IP地址為94，命令為inte0/4ipadd94第四步：進(jìn)入接口一設(shè)置其IP地址為網(wǎng)地址，例如，命令為inte0/1ipadd第五步：將兩個(gè)接口參加到不同的區(qū)域，外網(wǎng)接口配置到非信任區(qū)untrust，網(wǎng)接口參加到信任區(qū)trust——firezoneuntrustaddinte0/4firezonetrustaddinte0/1第六步：由于防火墻運(yùn)行根本是通過NAT來實(shí)現(xiàn)，各個(gè)保護(hù)工作也是基于此功能實(shí)現(xiàn)的，所以還需要針對(duì)防火墻的NAT信息進(jìn)展設(shè)置，首先添加一個(gè)訪問控制列表——aclnum2000rulepersource55ruledeny第七步：接下來將這個(gè)訪問控制列表應(yīng)用到外網(wǎng)接口通過啟用NAT——inte0/4natoutbound2000第八步：最后添加路由信息，設(shè)置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或外網(wǎng)電信下一跳地址——iproute-static93(如圖2)執(zhí)行save命令保存退出后就可以在企業(yè)外網(wǎng)出口指定IP時(shí)實(shí)現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)以及平安保護(hù)功能了。防火墻開展趨勢(shì)針對(duì)傳統(tǒng)防火墻不能解決的問題，及新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也出現(xiàn)了新的開展趨勢(shì)。主要可以從包過濾技術(shù)、防火墻體系構(gòu)造和防火墻系統(tǒng)管理三方面來表達(dá)。防火墻包過濾技術(shù)開展趨勢(shì)(1)平安策略功能一些防火墻廠商把在AAA系統(tǒng)上運(yùn)用的用戶認(rèn)證及其效勞擴(kuò)展到防火墻中，使其擁有可以支持基于用戶角色的平安策略功能。該功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗(yàn)證的防火墻通常是采用應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)的，包過濾技術(shù)的防火墻不具有。用戶身份驗(yàn)證功能越強(qiáng)，它的平安級(jí)別越高，但它給網(wǎng)絡(luò)通信帶來的負(fù)面影響也越大，因?yàn)橛脩羯矸蒡?yàn)證需要時(shí)間，特別是加密型的用戶身份驗(yàn)證。(2)多級(jí)過濾技術(shù)所謂多級(jí)過濾技術(shù)，是指防火墻采用多級(jí)過濾措施，并輔以鑒別手段。在分組過濾(網(wǎng)絡(luò)層)一級(jí)，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級(jí)，遵循過濾規(guī)那么，過濾掉所有制止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供的所用通用效勞。這是針對(duì)以上各種已有防火墻技術(shù)的缺乏而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過濾技術(shù)的缺乏。這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對(duì)應(yīng)于不同的網(wǎng)絡(luò)層，從這個(gè)概念出發(fā)，又有很多容可以擴(kuò)展，為將來的防火墻技術(shù)開展打下根底。(3)功能擴(kuò)展功能擴(kuò)展是指一種集成多種功能的設(shè)計(jì)趨勢(shì)，包括VPN、AAA、PKI、IPSec等附加功能，甚至防病毒、入侵檢測(cè)這樣的主流功能，都被集成到防火墻產(chǎn)品中了，很多時(shí)候我們已經(jīng)無法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個(gè)功能為主了，即其已經(jīng)逐漸向我們普遍稱之為IPS〔入侵防御系統(tǒng)〕的產(chǎn)品轉(zhuǎn)化了。有些防火墻集成了防病毒功能，通常被稱之為"病毒防火墻〞，當(dāng)然目前主要還是在個(gè)人防火墻中表達(dá)，因?yàn)樗羌冘浖问?，更容易?shí)現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護(hù)功能的防火墻可以大大減少公司的損失。防火墻的體系構(gòu)造開展趨勢(shì)隨著網(wǎng)絡(luò)應(yīng)用的增加，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會(huì)越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性?；贏SIC的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速開展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時(shí)滿足來自靈活性和運(yùn)行性能的要求。防火墻的系統(tǒng)管理開展趨勢(shì)(1)集中式管理，分布式和分層的平安構(gòu)造。(2)強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能。(3)網(wǎng)絡(luò)平安產(chǎn)品的系統(tǒng)化縱觀防火墻技術(shù)的開展，黑客入侵系統(tǒng)技術(shù)的不斷進(jìn)步以及網(wǎng)絡(luò)病毒朝智能化和多樣化開展，對(duì)防火墻技術(shù)的同步開展提出了更高的要求。防火墻技