防火墻技術(shù)畢業(yè)論文畢業(yè)論文

PAGEPAGE46畢業(yè)論文題目：防火墻技術(shù)

畢業(yè)論文（設(shè)計）原創(chuàng)性聲明本人所呈交的畢業(yè)論文（設(shè)計）是我在導(dǎo)師的指導(dǎo)下進行的研究工作及取得的研究成果。據(jù)我所知，除文中已經(jīng)注明引用的內(nèi)容外，本論文（設(shè)計）不包含其他個人已經(jīng)發(fā)表或撰寫過的研究成果。對本論文（設(shè)計）的研究做出重要貢獻(xiàn)的個人和集體，均已在文中作了明確說明并表示謝意。作者簽名：日期：畢業(yè)論文（設(shè)計）授權(quán)使用說明本論文（設(shè)計）作者完全了解**學(xué)院有關(guān)保留、使用畢業(yè)論文（設(shè)計）的規(guī)定，學(xué)校有權(quán)保留論文（設(shè)計）并向相關(guān)部門送交論文（設(shè)計）的電子版和紙質(zhì)版。有權(quán)將論文（設(shè)計）用于非贏利目的的少量復(fù)制并允許論文（設(shè)計）進入學(xué)校圖書館被查閱。學(xué)校可以公布論文（設(shè)計）的全部或部分內(nèi)容。保密的論文（設(shè)計）在解密后適用本規(guī)定。

作者簽名：指導(dǎo)教師簽名：日期：日期：

注意事項1.設(shè)計（論文）的內(nèi)容包括：1）封面（按教務(wù)處制定的標(biāo)準(zhǔn)封面格式制作）2）原創(chuàng)性聲明3）中文摘要（300字左右）、關(guān)鍵詞4）外文摘要、關(guān)鍵詞5）目次頁（附件不統(tǒng)一編入）6）論文主體部分：引言（或緒論）、正文、結(jié)論7）參考文獻(xiàn)8）致謝9）附錄（對論文支持必要時）2.論文字?jǐn)?shù)要求：理工類設(shè)計（論文）正文字?jǐn)?shù)不少于1萬字（不包括圖紙、程序清單等），文科類論文正文字?jǐn)?shù)不少于1.2萬字。3.附件包括：任務(wù)書、開題報告、外文譯文、譯文原文（復(fù)印件）。4.文字、圖表要求：1）文字通順，語言流暢，書寫字跡工整，打印字體及大小符合要求，無錯別字，不準(zhǔn)請他人代寫2）工程設(shè)計類題目的圖紙，要求部分用尺規(guī)繪制，部分用計算機繪制，所有圖紙應(yīng)符合國家技術(shù)標(biāo)準(zhǔn)規(guī)范。圖表整潔，布局合理，文字注釋必須使用工程字書寫，不準(zhǔn)用徒手畫3）畢業(yè)論文須用A4單面打印，論文50頁以上的雙面打印4）圖表應(yīng)繪制于無格子的頁面上5）軟件工程類課題應(yīng)有程序清單，并提供電子文檔5.裝訂順序1）設(shè)計（論文）2）附件：按照任務(wù)書、開題報告、外文譯文、譯文原文（復(fù)印件）次序裝訂3）其它摘要因特網(wǎng)的迅猛發(fā)展給人們的生活帶來了極大的方便，但同時因特網(wǎng)也面臨著空前的威脅。因此，如何使用有效可行的方法使網(wǎng)絡(luò)危險降到人們可接受的范圍之內(nèi)越來越受到人們的關(guān)注。而如何實施防范策略，首先取決于當(dāng)前系統(tǒng)的安全性。所以對網(wǎng)絡(luò)安全的各獨立元素——防火墻、漏洞掃描、入侵檢測和反病毒等進行風(fēng)險評估是很有必要的。防火墻技術(shù)作為時下比較成熟的一種網(wǎng)絡(luò)安全技術(shù)，其安全性直接關(guān)系到用戶的切身利益。針對網(wǎng)絡(luò)安全獨立元素——防火墻技術(shù)，通過對防火墻日志文件的分析，設(shè)計相應(yīng)的數(shù)學(xué)模型和軟件雛形，采用打分制的方法，判斷系統(tǒng)的安全等級，實現(xiàn)對目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險評估，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。關(guān)鍵詞：網(wǎng)絡(luò)安全，防火墻，防范策略，發(fā)展趨勢AbstractTherapiddevelopmentoftheInternetbroughtgreatconvenienceinpeople'slives,butatthesametime,theInternetisalsofacedwithanunprecedentedthreat.Therefore,howtouseeffectiveandfeasiblewaysofmakingthenetworkcanbedangeroustothepeoplewithinthescopeofthereceiverhavetakenmoreandmorepeople'sattention.Andhowtoimplementpreventionstrategiesdependsfirstandforemostonthesecurityofthecurrentsystem.Therefore,theindependentnetworksecurityelements-firewall,vulnerabilityscanning,intrusiondetectionandanti-virusriskassessmentisnecessary.Firewallasamorematurecurrentnetworksecuritytechnologies,theirsafetydirectlyrelatedtotheuser'spersonalinterests.Forindependentnetworksecurityelements-firewalltechnologythroughthefirewalllogfileanalysis,apointssystemthemeanstoachievethepurposeofthemainframenetworksecurityriskassessment,designofthemathematicalmodelandprototypesoftware,andwhatthesystem'ssecuritylevel,Toenhancethesecurityofthesystemtoprovideascientificbasis.Keywords：NetworkSecurity，firewall，preventionStrategy，developmenttendency目錄中文摘要………………..Ⅱ英文摘要Ⅲ目錄1第一章緒論41.1研究背景41.2研究目的4第二章網(wǎng)絡(luò)安全72.1網(wǎng)絡(luò)安全問題72..1.1網(wǎng)絡(luò)安全面臨的主要威脅………….….72.1.2影響網(wǎng)絡(luò)安全的因素……82.2網(wǎng)絡(luò)安全措施82.2.1完善計算機安全立法…………………92.2.2網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)……………...……92.3制定合理的網(wǎng)絡(luò)管理措施10第三章防火墻概述………...…………...…..123.1防火墻概念123.1.1傳統(tǒng)防火墻介紹133.1.2智能防火墻簡介………..143.2防火墻的功能153.2.1防火墻的主要功能………………….….153.2.2入侵檢測功能…………..163.2.3虛擬專網(wǎng)功能…………….….………….183.2.4其他功能……..……183.3防火墻的原理及分類183.3.1包過濾防火墻……………183.3.2應(yīng)用級代理防火墻………193.3.3代理服務(wù)型防火墻….………...…………203.3.4復(fù)合型防火墻……………213.4防火墻包過濾技術(shù)213.4.1數(shù)據(jù)表結(jié)構(gòu)………………….………223.4.2傳統(tǒng)包過濾技術(shù)…………….……...…..233.4.3動態(tài)包過濾……………..253.4.4深度包檢測……………..263.4.5l流過濾技術(shù)…………….273.5防火墻體系結(jié)構(gòu)…………….303.5.1雙宿主主機防火墻…………….303.5.2主機屏蔽防火墻…………323.5.3子網(wǎng)屏蔽防火墻…………33第四章防火墻的配置…………...…….……354.1硬件連接與實施……………..364.2防火墻的特色配置………...………………..364.3防火墻的配置與實施……..………………...37第五章防火墻發(fā)展趨勢…………...………405.1防火墻技術(shù)的發(fā)展趨勢……..415.2防火墻的體系結(jié)構(gòu)發(fā)展趨勢………………..424.3防火墻的系統(tǒng)管理發(fā)展趨勢………………..42結(jié)束語………….…..43參考文獻(xiàn)…………..44致謝………………….45第一章緒論1.1研究背景隨著互聯(lián)網(wǎng)的普及和發(fā)展，尤其是Internet的廣泛使用，使計算機應(yīng)用更加廣泛與深入。同時，我們不得不注意到，網(wǎng)絡(luò)雖然功能強大，也有其脆弱易受到攻擊的一面。據(jù)美國FBI統(tǒng)計，美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟損失高達(dá)75億美元，而全求平均每20秒鐘就發(fā)生一起Internet計算機侵入事件。在我國，每年因黑客入侵、計算機病毒的破壞也造成了巨大的經(jīng)濟損失。人們在利用網(wǎng)絡(luò)的優(yōu)越性的同時，對網(wǎng)絡(luò)安全問題也決不能忽視。如何建立比較安全的網(wǎng)絡(luò)體系，值得我們關(guān)注研究。1.2研究目的為了解決互聯(lián)網(wǎng)時代個人網(wǎng)絡(luò)安全的問題，近年來新興了防火墻技術(shù)[2]。防火墻具有很強的實用性和針對性，它為個人上網(wǎng)用戶提供了完整的網(wǎng)絡(luò)安全解決方案，可以有效地控制個人電腦用戶信息在互聯(lián)網(wǎng)上的收發(fā)。用戶可以根據(jù)自己的需要，通過設(shè)定一些參數(shù)，從而達(dá)到控制本機與互聯(lián)網(wǎng)之間的信息交流阻止惡性信息對本機的攻擊，比如ICMPnood攻擊、聊天室炸彈、木馬信息破譯并修改郵件密碼等等。而且防火墻能夠?qū)崟r記錄其它系統(tǒng)試圖對本機系統(tǒng)的訪問，使計算機在連接到互聯(lián)網(wǎng)的時候避免受到網(wǎng)絡(luò)攻擊和資料泄漏的安全威脅。防火墻可以保護人們在網(wǎng)上瀏覽時免受黑客的攻擊，實時防范網(wǎng)絡(luò)黑客的侵襲，還可以根據(jù)自己的需要創(chuàng)建防火墻規(guī)則，控制互聯(lián)網(wǎng)到PC以及PC到互聯(lián)網(wǎng)的所有連接，并屏蔽入侵企圖。防火可以有效地阻截各種惡意攻擊、保護信息的安全;信息泄漏攔截保證安全地瀏覽網(wǎng)頁、遏制郵件病毒的蔓延;郵件內(nèi)容檢測可以實時監(jiān)視郵件系統(tǒng)，阻擋一切針對硬盤的惡意活動。個人防火墻就是在單機Windows系統(tǒng)上，采取一些安全防護措施，使得本機的息得到一定的保護。個人防火墻是面向單機操作系統(tǒng)的一種小型安全防護軟件，按一定的規(guī)則對TCP，UDP，ICMP和IGMP等報文進行過濾，對網(wǎng)絡(luò)的信息流和系統(tǒng)進程進行監(jiān)控，防止一些惡意的攻擊。目前市場上大多數(shù)的防火墻產(chǎn)品僅僅是網(wǎng)關(guān)的，雖然它們的功能相當(dāng)強大，但由于它們基于下述的假設(shè):內(nèi)部網(wǎng)是安全可靠的，所有的威脅都來自網(wǎng)外。因此，他們防外不防內(nèi)，難以實現(xiàn)對企業(yè)內(nèi)部局域網(wǎng)內(nèi)主之間的安全通信，也不能很好的解決每一個撥號上網(wǎng)用戶所在主機的安全問題，而多數(shù)個人上網(wǎng)之時，并沒有置身于得到防護的安全網(wǎng)絡(luò)內(nèi)部。個人上網(wǎng)用戶多使用Windows操作系統(tǒng)，而Windows操作系統(tǒng)，特別是WindowsXP系統(tǒng)，本身的安全性就不高。各種Windows漏洞不斷被公布，對主機的攻擊也越來越多。一般都是利用操作系統(tǒng)設(shè)計的安全漏洞和通信協(xié)議的安全漏洞來實現(xiàn)攻擊。如假冒IP包對通信雙方進行欺騙:對主機大量發(fā)送正數(shù)據(jù)包[3]進行轟炸攻擊，使之際崩潰;以及藍(lán)屏攻擊等。因此，為了保護主機的安全通信，研制有效的個人防火墻技術(shù)很有必要。第二章網(wǎng)絡(luò)安全2.1網(wǎng)絡(luò)安全問題安全，通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機制。我國對于計算機安全的定義是：“計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運行?！睆募夹g(shù)講，計算機安全分為3種：1）實體的安全。它保證硬件和軟件本身的安全。2）運行環(huán)境的安全性。它保證計算機能在良好的環(huán)境里持續(xù)工作。3）信息的安全性。它保障信息不會被非法閱讀、修改和泄漏。隨著網(wǎng)絡(luò)的發(fā)展，計算機的安全問題也延伸到了計算機網(wǎng)絡(luò)。2..1.1網(wǎng)絡(luò)安全面臨的主要威脅一般認(rèn)為，計算機網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自計算機病毒、黑客的攻擊和拒絕服務(wù)攻擊三個方面。1）計算機病毒的侵襲。當(dāng)前，活性病毒達(dá)14000多種，計算機病毒侵入網(wǎng)絡(luò)，對網(wǎng)絡(luò)資源進行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個網(wǎng)絡(luò)的癱瘓。2）黑客侵襲。即黑客非法進入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。例如通過隱蔽通道進行非法活動；采用匿名用戶訪問進行攻擊；通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶賬號和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。3）拒絕服務(wù)攻擊。例如“點在郵件炸彈”，它的表現(xiàn)形式是用戶在很短的時間內(nèi)收到大量無用的電子郵件，從而影響正常業(yè)務(wù)的運行。嚴(yán)重時會使系統(tǒng)關(guān)機，網(wǎng)絡(luò)癱瘓。具體講，網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權(quán)訪問、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶……等。2.1.2影響網(wǎng)絡(luò)安全的因素1）單機安全購買單機時，型號的選擇；計算機的運行環(huán)境（電壓、濕度、防塵條件、強電磁場以及自然災(zāi)害等）；計算機的操作……等等，這些都是影響單機安全性的因素。2）網(wǎng)絡(luò)安全影響網(wǎng)絡(luò)安全的因素有：節(jié)點的安全、數(shù)據(jù)的安全（保存和傳輸方面）、文件的安全等。2.2網(wǎng)絡(luò)安全措施網(wǎng)絡(luò)信息安全涉及方方面面的問題，是一個復(fù)雜的系統(tǒng)。一個完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。二是技術(shù)方面，如信息加密存儲傳輸、身份認(rèn)證、防火墻技術(shù)、網(wǎng)絡(luò)防毒等。三是管理措施，包括技術(shù)與社會措施。主要措施有：提供實時改變安全策略的能力、實時監(jiān)控企業(yè)安全狀態(tài)、對現(xiàn)有的安全系統(tǒng)實施漏洞檢查等，以防患于未然。這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全的保障，管理和審計是安全的防線。2.2.1完善計算機安全立法我國先后出臺的有關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。但目前，在這方面的立法還遠(yuǎn)不能適應(yīng)形勢發(fā)展的需要,應(yīng)該在對控制計算機犯罪的國內(nèi)外立法評價的基礎(chǔ)上，完善我國計算機犯罪立法，以便為確保我國計算機信息網(wǎng)絡(luò)健康有序的發(fā)展提供強有力的保障。2.2.2網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)(1)數(shù)據(jù)加密加密就是把明文變成密文，從而使未被授權(quán)的人看不懂它。有兩種主要的加密類型：私匙加密和公匙加密。(2)認(rèn)證對合法用戶進行認(rèn)證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認(rèn)證機制還可以防止合法用戶訪問他們無權(quán)查看的信息。(3)防火墻技術(shù)防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。目前，防火墻采取的技術(shù)，主要是包過濾、應(yīng)用網(wǎng)關(guān)、子網(wǎng)屏蔽等。但是，防火墻技術(shù)在網(wǎng)絡(luò)安全防護方面也存在一些不足：防火墻不能防止內(nèi)部攻擊防火墻不能取代殺毒軟件；防火墻不易防止反彈端口木馬攻擊等。(4)檢測系統(tǒng)入侵檢測技術(shù)是網(wǎng)絡(luò)安全研究的一個熱點，是一種積極主動的安全防護技術(shù)，提供了對內(nèi)部入侵、外部入侵和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。隨著時代的發(fā)展，入侵檢測技術(shù)將朝著三個方向發(fā)展:分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。(5)防病毒技術(shù)隨著計算機技術(shù)的發(fā)展，計算機病毒變得越來越復(fù)雜和高級，計算機病毒防范不僅僅是一個產(chǎn)品、一個策略或一個制度，它是一個匯集了硬件、軟件、網(wǎng)絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。(6)文件系統(tǒng)安全在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個關(guān)鍵性的概念，因為訪問控制實現(xiàn)在兩個方面：本地和遠(yuǎn)程。建立文件權(quán)限的時候，必須在Windows2000中首先實行新技術(shù)文件系統(tǒng)（NewTechnologyFileSystem，NTFS）。一旦實現(xiàn)了NTFS，你可以使用Windows資源管理器在文件和文件夾上設(shè)置用戶級別的權(quán)限。你需要了解可以分配什么樣的權(quán)限，還有日?；顒悠陂g一些規(guī)則是處理權(quán)限的。Windows2000操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪問控制。2.3制定合理的網(wǎng)絡(luò)管理措施（1）加強網(wǎng)絡(luò)用戶及有關(guān)人員的安全意識、職業(yè)道德和事業(yè)心、責(zé)任心的培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。（2）建立完善的安全管理體制和制度，以起到對管理人員和操作人員鼓勵和監(jiān)督的作用。（3）管理措施要標(biāo)準(zhǔn)化、規(guī)范化和科學(xué)化。第三章防火墻概述隨著Internet的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多;同時由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng)絡(luò)安全問題越來越突出。因此，保護網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播感染顯得尤為重要。就目前而言，對于局部網(wǎng)絡(luò)的保護，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過濾和應(yīng)用代理兩類。其中包過濾作為最早發(fā)展起來的一種技術(shù)，其應(yīng)用非常廣泛。3.1防火墻的概念防火墻是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。[4]防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻提供信息安全服務(wù)，是實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。3.1.1傳統(tǒng)防火墻介紹目前的防火墻技術(shù)無論從技術(shù)上還是從產(chǎn)品發(fā)展歷程上，都經(jīng)歷了五個發(fā)展歷程。圖1表示了防火墻技術(shù)的簡單發(fā)展歷史。圖1第一代防火墻第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn)，采用了包過濾（Packetfilter）技術(shù)。第二代、第三代防火墻1989年，貝爾實驗室的DavePresotto和HowardTrickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。第四代防火墻1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動態(tài)包過濾（Dynamicpacketfilter）技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（Statefulinspection）技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻1998年，NAI公司推出了一種自適應(yīng)代理（Adaptiveproxy）技術(shù)，并在其產(chǎn)品GauntletFirewallforNT中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。[5]但傳統(tǒng)的防火墻并沒有解決目前網(wǎng)絡(luò)中主要的安全問題。目前網(wǎng)絡(luò)安全的三大主要問題是:以拒絕訪問(DDOS)為主要代表的網(wǎng)絡(luò)攻擊，以蠕蟲(Worm)為主要代表的病毒傳播和以垃圾電子郵件(SPAM)為代表的內(nèi)容控制。這三大安全問題占據(jù)網(wǎng)絡(luò)安全問題九成以上。而這三大問題，傳統(tǒng)防火墻都無能為力。主要有以下三個原因:一是傳統(tǒng)防火墻的計算能力的限制。傳統(tǒng)的防火墻是以高強度的檢查為代價，檢查的強度越高，計算的代價越大。二是傳統(tǒng)防火墻的訪問控制機制是一個簡單的過濾機制。它是一個簡單的條件過濾器，不具有智能功能，無法檢測復(fù)雜的攻擊。三是傳統(tǒng)的防火墻無法區(qū)分識別善意和惡意的行為。該特征決定了傳統(tǒng)的防火墻無法解決惡意的攻擊行為?，F(xiàn)在防火墻正在向分布、智能的方向發(fā)展，其中智能防火墻可以很好的解決上面的問題。3.1.2智能防火墻簡介智能防火墻[6]是相對傳統(tǒng)的防火墻而言的，從技術(shù)特征上智能防火墻是利用統(tǒng)計、記憶、概率和決策的智能方法來對數(shù)據(jù)進行識別，并達(dá)到訪問控制的目的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進行訪問控制。由于這些方法多是人工智能學(xué)科采用的方法，因此，又稱為智能防火墻。3.2防火墻的功能3.2.1防火墻的主要功能1．包過濾。包過濾是一種網(wǎng)絡(luò)的數(shù)據(jù)安全保護機制，它可用來控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)，它通常由定義的各條數(shù)據(jù)安全規(guī)則所組成，防火墻設(shè)置可基于源地址、源端口、目的地址、目的端口、協(xié)議和時間;可根據(jù)地址簿進行設(shè)置規(guī)則。2．地址轉(zhuǎn)換。網(wǎng)絡(luò)地址變換是將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的IP地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換SourceNAT(SNAT)和目的地址轉(zhuǎn)換DestinationNAT(DNAT)。SNAT用于對內(nèi)部網(wǎng)絡(luò)地址進行轉(zhuǎn)換，對外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來自外部其他網(wǎng)絡(luò)的非授權(quán)訪問或惡意攻擊。并將有限的IP地址動態(tài)或靜態(tài)的與內(nèi)部IP地址對應(yīng)起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本。DNAT主要用于外網(wǎng)主機訪問內(nèi)網(wǎng)主機。3．認(rèn)證和應(yīng)用代理。認(rèn)證指防火墻對訪問網(wǎng)絡(luò)者合法身分的確定。代理指防火墻內(nèi)置用戶認(rèn)證數(shù)據(jù)庫;提供HTTP、FTP和SMTP代理功能，并可對這三種協(xié)議進行訪問控制;同時支持URL過濾功能。4．透明和路由指防火墻將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服務(wù)進行幾乎透明的訪問，同時阻止了外部未授權(quán)訪問者對專用網(wǎng)絡(luò)的非法訪問;防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個子網(wǎng)之間的安全訪問。3.2.2入侵檢測功能入侵檢測技術(shù)[7]就是一種主動保護自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技術(shù)，包括以下內(nèi)容:1.反端口掃描。端口掃描就是指黑客通過遠(yuǎn)程端口掃描的工具，從中發(fā)現(xiàn)主機的哪些非常用端口是打開的;是否支持FTP、Web服務(wù);且FTP服務(wù)是否支持“匿名”，以及IIS版本，是否有可以被成功攻破的IIS漏洞，進而對內(nèi)部網(wǎng)絡(luò)的主機進行攻擊。顧名思義反端口掃描就是防范端口掃描的方法，目前常用的方法有:關(guān)閉閑置和有潛在危險的端口;檢查各端口，有端口掃描的癥狀時，立即屏蔽該端口，多數(shù)防火墻設(shè)備采用的都是這種反端口掃描方式。2.檢測拒絕服務(wù)攻擊。拒絕服務(wù)(DoS)攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)，其攻擊方式有很多種;而分布式的拒絕服務(wù)攻擊(DDoS)攻擊手段則是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式，分布式的拒絕服務(wù)攻擊(DDoS)。其原理很簡單，就是利用更多的受控主機同時發(fā)起進攻，以比DoS更大的規(guī)模(或者說以更高于受攻主機處理能力的進攻能力)來進攻受害者?，F(xiàn)在的防火墻設(shè)備通常都可檢測Synflod、Land、PingofDeath、TearDrop、ICMPflood和UDPflod等多種DOS/DDOS攻擊。3.檢測多種緩沖區(qū)溢出攻擊(BufferOverflow)。緩沖區(qū)溢出(BufferOverflow)攻擊指利用軟件的弱點將任意數(shù)據(jù)添加進某個程序中，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。更為嚴(yán)重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進而進行各種非法操作，防火墻設(shè)備可檢測對FTP、Telnet、SSH、RPC和SMTP等服務(wù)的遠(yuǎn)程堆棧溢出入侵。4.檢測CGI/IIS服務(wù)器入侵。CGI就是CommonGatewayInter——face的簡稱。是WorldWideWeb主機和CGI程序間傳輸資訊的定義。IIS就是InternetInformationserver的簡稱，也就是微軟的Internet信息服務(wù)器。防火墻設(shè)備可檢測包括針對Unicode、ASP源碼泄漏、PHF、NPH、pfdisPlay.cgi等已知上百種的有安全隱患的CGI/IIS進行的探測和攻擊方式。5.檢測后門、木馬及其網(wǎng)絡(luò)蠕蟲。后門程序是指采用某種方法定義出一個特殊的端口并依靠某種程序在機器啟動之前自動加載到內(nèi)存，強行控制機器打開那個特殊的端口的程序。木馬程序的全稱是“特洛依木馬”，它們是指尋找后門、竊取計算機的密碼的一類程序。網(wǎng)絡(luò)蠕蟲病毒分為2類，一種是面向企業(yè)用戶和局域網(wǎng)而一言，這種病毒利用系統(tǒng)漏洞，主動進行攻擊，可以對整個互聯(lián)網(wǎng)造成癱瘓性的后果，以“紅色代碼”，“尼姆達(dá)”，以及最新的“sql蠕蟲王”為代表。另外一種是針對個人用戶的，通過網(wǎng)絡(luò)(主要是電子郵件，惡意網(wǎng)頁形式)迅速傳播的蠕蟲病毒，以愛蟲病毒，求職信病毒為例。防火墻設(shè)備可檢測試圖穿透防火墻系統(tǒng)的木馬控制端和客戶端程序;檢測試圖穿透防火墻系統(tǒng)的蠕蟲程序。3.2.3虛擬專網(wǎng)功能指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。VPN的基本原理是通過IP包的封裝及加密、認(rèn)證等手段，從而達(dá)到安全的目的。3.2.4其他功能1.IP地址/MAC地址綁定?？芍С秩我痪W(wǎng)絡(luò)接口的IP地址和MAC地址的綁定，從而禁止用戶隨意修改IP地址。2.審計。要求對使用身份標(biāo)識和認(rèn)證的機制，文件的創(chuàng)建，修改，系統(tǒng)管理的所有操作以及其他有關(guān)安全事件進行記錄，以便系統(tǒng)管理員進行安全跟蹤。一般防火墻設(shè)備可以提供三種日志審計功能:系統(tǒng)管理日志、流量日志和入侵日志。3.特殊站點封禁。內(nèi)置特殊站點數(shù)據(jù)庫，用戶可選擇是否封禁色情、反動和暴力等特殊站點。3.3防火墻的原理及分類國際計算機安全委員會ICSA將防火墻分成三大類:包過濾防火墻，應(yīng)用級代理服務(wù)器[8]以及狀態(tài)包檢測防火墻。3.3.1包過濾防火墻顧名思義，包過濾防火墻[9]就是把接收到的每個數(shù)據(jù)包同預(yù)先設(shè)定的包過濾規(guī)則相比較，從而決定是否阻塞或通過。過濾規(guī)則是基于網(wǎng)絡(luò)層IP包包頭信息的比較。包過濾防火墻工作在網(wǎng)絡(luò)層，IP包的包頭中包含源、目的IP地址，封裝協(xié)議類型(TCP，UDP，ICMP或IPTunnel)，TCP/UDP端口號，ICMP消息類型，TCP包頭中的ACK等等。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包按正常情況處理;如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包;如果沒有匹配規(guī)則，則按缺省情況處理。包過濾防火墻是速度最快的防火墻，這是因為它處于網(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實現(xiàn)，對用戶來說都是透明的。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng)絡(luò)，使之遭受攻擊。例如，HTTP。通常是使用80端口。如果公司的安全策略允許內(nèi)部員工訪問網(wǎng)站，包過濾防火墻可能設(shè)置允所有80端口的連接通過，這時，意識到這一漏洞的外部人員可以在沒有被認(rèn)證的情況下進入私有網(wǎng)絡(luò)。包過濾防火墻的維護比較困難，定義過濾規(guī)則也比較復(fù)雜，因為任何一條過濾規(guī)則的不完善都會給網(wǎng)絡(luò)黑客造成可乘之機。同時，包過濾防火墻一般無法提供完善的日志。3.3.2應(yīng)用級代理防火墻應(yīng)用級代理技術(shù)通過在OSI的最高層檢查每一個IP包，從而實現(xiàn)安全策略。代理技術(shù)與包過濾技術(shù)完全不同，包過濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實現(xiàn)防火墻功能。它的代理功能，就是在防火墻處終止客戶連接并初始化一個新的連接到受保護的內(nèi)部網(wǎng)絡(luò)。這一內(nèi)建代理機制提供額外的安全，這是因為它將內(nèi)部和外部網(wǎng)絡(luò)隔離開來，使網(wǎng)絡(luò)外部的黑客在防火墻內(nèi)部網(wǎng)絡(luò)上進行探測變得困難，更重要的是能夠讓網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)服務(wù)進行全面的控制。但是，這將花費更多的處理時間，并且由于代理防火墻支持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。比如訪問WEB站點的HTTP，用于文件傳輸?shù)腇TP，用于E一MAIL的SMTP/POP3等等。如果某種應(yīng)用沒有安裝代理程序，那么該項服務(wù)就不被支持并且不能通過防火墻進行轉(zhuǎn)發(fā);同時升級一種應(yīng)用時，相應(yīng)的代理程序也必須同時升級。3.3.3代理服務(wù)型防火墻代理服務(wù)(ProxyService)也稱鏈路級網(wǎng)關(guān)或TCP通道(CircuitLevelGatewaysorTCPTunnels)，也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類。它是針對數(shù)據(jù)包過濾[10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應(yīng)用層的“鏈接”，由兩個終止代理服務(wù)器上的“鏈接”來實現(xiàn)，外部計算機的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。此外，代理服務(wù)也對過往的數(shù)據(jù)包進行分析、注冊登記，形成報告，同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報，并保留攻擊痕跡。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時也常結(jié)合入過濾器的功能。它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。3.3.4復(fù)合型防火墻由于對更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機防火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過濾路由器或防火墻與Internet相連，同時一個堡壘機安裝在內(nèi)部網(wǎng)絡(luò)，通過在分組過濾器路由器或防火墻上過濾規(guī)則的設(shè)置，使堡壘機成為Internet上其他節(jié)點所能到達(dá)的唯一節(jié)點，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機放在一個子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機和分組過濾路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。3.4防火墻包過濾技術(shù)隨著Internet的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多;同時由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng)絡(luò)安全問題越來越突出。因此，保護網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播感染顯得尤為重要。就目前而言，對于局部網(wǎng)絡(luò)的保護，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過濾和應(yīng)用代理兩類。其中包過濾作為最早發(fā)展起來的一種技術(shù)，其應(yīng)用非常廣泛。所謂包過濾，就是對流經(jīng)網(wǎng)絡(luò)防火墻的所有數(shù)據(jù)包逐個檢查，并依據(jù)所制定的安全策略來決定數(shù)據(jù)包是通過還是不通過。包過濾最主要的優(yōu)點在于其速度與透明性。也正是由于此。包過濾技術(shù)歷經(jīng)發(fā)展演變而未被淘汰。由于其主要是對數(shù)據(jù)包的過濾操作，所以數(shù)據(jù)包結(jié)構(gòu)是包過濾技術(shù)的基礎(chǔ)?？紤]包過濾技術(shù)的發(fā)展過程，可以認(rèn)為包過濾的核心問題就是如何充分利用數(shù)據(jù)包中各個字段的信息，并結(jié)合安全策略來完成防火墻的功能[11]-[15]3.4.1數(shù)據(jù)表結(jié)構(gòu)當(dāng)應(yīng)用程序用TCP傳送數(shù)據(jù)時，數(shù)據(jù)被送入?yún)f(xié)議棧中，然后逐個通過每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。其中每一層對接收到的數(shù)據(jù)都要增加一些首部信息。TCP傳給IP的數(shù)據(jù)單元稱作TCP報文段(TCPSegment);IP傳給網(wǎng)絡(luò)接口層的數(shù)據(jù)單元稱作IP數(shù)據(jù)報(IPDatagram)；通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀(Frame)。對于進防火墻的數(shù)據(jù)包，順序正好與此相反，頭部信息逐層剝掉。IP，TCP首部格式如表2-1表2-2所示。表2-1IP首部格式版本首部長服務(wù)類型總長度標(biāo)識標(biāo)志片偏移生存時間協(xié)議首部校驗和源IP地址目的IP地址選項表2-2TCP首部格式源端口號目的端口號序列號確認(rèn)號首部長保留LRCTBLPBHRCTCJHHJR窗口大小TCP校驗和緊急指針選項對于幀的頭部信息主要是源/目的主機的MAC地址;IP數(shù)據(jù)報頭部信息主要是源/目的主機的IP地址;TCP頭部的主要字段包括源/目的端口、發(fā)送及確認(rèn)序號、狀態(tài)標(biāo)識等。理論上講，數(shù)據(jù)包所有頭部信息以及有效載荷都可以作為判斷包通過與否的依據(jù)，但是在實際情況中，包過濾技術(shù)上的問題主要是選取哪些字段信息，以及如何有效地利用這些字段信息并結(jié)合訪問控制列表來執(zhí)行包過濾操作，并盡可能提高安全控制力度。3.4.2傳統(tǒng)包過濾技術(shù)傳統(tǒng)包過濾技術(shù)，大多是在IP層實現(xiàn)，它只是簡單的對當(dāng)前正在通過的單一數(shù)據(jù)包進行檢測，查看源/目的IP地址、端口號以及協(xié)議類型(UDP/TCP)等，結(jié)合訪問控制規(guī)則對數(shù)據(jù)包實施有選擇的通過。這種技術(shù)實現(xiàn)簡單，處理速度快，對應(yīng)用透明，但是它存在的問題也很多，主要表現(xiàn)有:1.所有可能會用到的端口都必須靜態(tài)放開。若允許建立HTTP連接，就需要開放1024以上所有端口，這無疑增加了被攻擊的可能性。2.不能對數(shù)據(jù)傳輸狀態(tài)進行判斷。如接收到一個ACK數(shù)據(jù)包，就認(rèn)為這是一個己建立的連接，這就導(dǎo)致許多安全隱患，一些惡意掃描和拒絕服務(wù)攻擊就是利用了這個缺陷。3.無法過濾審核數(shù)據(jù)包上層的內(nèi)容。即使通過防火墻的數(shù)據(jù)包有攻擊性或包含病毒代碼，也無法進行控制和阻斷。綜合上述問題，傳統(tǒng)包過濾技術(shù)的缺陷在于:(l)缺乏狀態(tài)檢測能力;(2)缺乏應(yīng)用防御能力。(3)只對當(dāng)前正在通過的單一數(shù)據(jù)包進行檢測，而沒有考慮前后數(shù)據(jù)包之間的聯(lián)系;(4)只檢查包頭信息，而沒有深入檢測數(shù)據(jù)包的有效載荷。傳統(tǒng)包過濾技術(shù)必須發(fā)展進化，在繼承其優(yōu)點的前提下，采用新的技術(shù)手段，克服其缺陷，并進一步滿足新的安全應(yīng)用要求。從數(shù)據(jù)包結(jié)構(gòu)出發(fā)考慮，目前包過濾技術(shù)向兩個方向發(fā)展:(l)橫向聯(lián)系。即在包檢測中考慮前后數(shù)據(jù)包之間的關(guān)系，充分利用包頭信息中能體現(xiàn)此關(guān)系的字段，如IP首部的標(biāo)識字段和片偏移字段、TCP首部的發(fā)送及確認(rèn)序號、滑動窗口的大小、狀態(tài)標(biāo)識等，動態(tài)執(zhí)行數(shù)據(jù)包過濾。(2)縱向發(fā)展。深入檢測數(shù)據(jù)包有效載荷，識別并阻止病毒代碼和基于高層協(xié)議的攻擊，以此來提高應(yīng)用防御能力。這兩種技術(shù)的發(fā)展并不是獨立的，動態(tài)包過濾可以說是基于內(nèi)容檢測技術(shù)的基礎(chǔ)。實際上，在深度包檢測技術(shù)中己經(jīng)體現(xiàn)了兩種技術(shù)的融合趨勢。3.4.3動態(tài)包過濾動態(tài)包過濾[16]又稱為基于狀態(tài)的數(shù)據(jù)包過濾，是在傳統(tǒng)包過濾技術(shù)基礎(chǔ)之上發(fā)展起來的一項過濾技術(shù)，最早由Checkpoint提出。與傳統(tǒng)包過濾技術(shù)只檢查單個、孤立的數(shù)據(jù)包不同，動態(tài)包過濾試圖將數(shù)據(jù)包的上下文聯(lián)系起來，建立一種基于狀態(tài)的包過濾機制。對于新建的應(yīng)用連接，防火墻檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相關(guān)信息，這些相關(guān)信息構(gòu)成一個狀態(tài)表。這樣，當(dāng)一個新的數(shù)據(jù)包到達(dá)，如果屬于已經(jīng)建立的連接，則檢查狀態(tài)表，參考數(shù)據(jù)流上下文決定當(dāng)前數(shù)據(jù)包通過與否;如果是新建連接，則檢查靜態(tài)規(guī)則表。動態(tài)包過濾通過在內(nèi)存中動態(tài)地建立和維護一個狀態(tài)表，數(shù)據(jù)包到達(dá)時，對該數(shù)據(jù)包的處理方式將綜合靜態(tài)安全規(guī)則和數(shù)據(jù)包所處的狀態(tài)進行。這種方法的好處在于由于不需要對每個數(shù)據(jù)包進行規(guī)則檢查，而是一個連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過散列算法，直接進行狀態(tài)檢查，從而使性能得到了較大提高;而且，由于狀態(tài)表是動態(tài)的，因而可以有選擇地、動態(tài)地開通1024號以上的端口，使安全性得到進一步地提高。動態(tài)包過濾技術(shù)克服了傳統(tǒng)包過濾僅僅孤立的檢查單個數(shù)據(jù)包和安全規(guī)則靜態(tài)不可變的缺陷，使得防火墻的安全控制力度更為細(xì)致。3.4.4深度包檢測目前許多造成大規(guī)模損害的網(wǎng)絡(luò)攻擊，比如紅色代碼和尼姆達(dá)，都是利用了應(yīng)用的弱點。利用高層協(xié)議的攻擊和網(wǎng)絡(luò)病毒的頻繁出現(xiàn)，對防火墻提出了新的要求。防火墻必須深入檢查數(shù)據(jù)包的內(nèi)部來確認(rèn)出惡意行為并阻止它們。深度包檢測(DeepPacketInspection)就是針對這種需求，深入檢測數(shù)據(jù)包有效載荷，執(zhí)行基于應(yīng)用層的內(nèi)容過濾，以此提高系統(tǒng)應(yīng)用防御能力。應(yīng)用防御的技術(shù)問題主要包括:(l)需要對有效載荷知道得更清楚;(2)也需要高速檢查它的能力。簡單的數(shù)據(jù)包內(nèi)容過濾對當(dāng)前正在通過的單一數(shù)據(jù)包的有效載荷進行掃描檢測，但是對于應(yīng)用防御的要求而言，這是遠(yuǎn)遠(yuǎn)不夠的。如一段攻擊代碼被分割到10個數(shù)據(jù)包中傳輸，那么這種簡單的對單一數(shù)據(jù)包的內(nèi)容檢測根本無法對攻擊特征進行匹配:要清楚地知道有效載荷，必須采取有效方法，將單個數(shù)據(jù)包重新組合成完整的數(shù)據(jù)流。應(yīng)用層的內(nèi)容過濾要求大量的計算資源，很多情況下高達(dá)100倍甚至更高。因而要執(zhí)行深度包檢測，帶來的問題必然是性能的下降，這就是所謂的內(nèi)容處理障礙。為了突破內(nèi)容處理障礙，達(dá)到實時地分析網(wǎng)絡(luò)內(nèi)容和行為，需要重點在加速上采取有效的辦法。通過采用硬件芯片和更加優(yōu)化的算法，可以解決這個問題。一個深度包檢測的流程框圖如圖3.1所示。圖3.1深度包檢測框圖在接收到網(wǎng)絡(luò)流量后，將需要進行內(nèi)容掃描的數(shù)據(jù)流定向到TCP/IP堆棧，其他數(shù)據(jù)流直接定向到狀態(tài)檢測引擎，按基本檢測方式進行處理。定向到TCP/IP堆棧的數(shù)據(jù)流，首先轉(zhuǎn)換成內(nèi)容數(shù)據(jù)流。服務(wù)分析器根據(jù)數(shù)據(jù)流服務(wù)類型分離內(nèi)容數(shù)據(jù)流，傳送數(shù)據(jù)流到一個命令解析器中。命令解析器定制和分析每一個內(nèi)容協(xié)議，分析內(nèi)容數(shù)據(jù)流，檢測病毒和蠕蟲。如果檢測到信息流是一個HTTP數(shù)據(jù)流，則命令解析器檢查上載和下載的文件;如果數(shù)據(jù)是Mail類型，則檢查郵件的附件。如果數(shù)據(jù)流包含附件或上載/下載文件，附件和文件將傳輸?shù)讲《緬呙枰妫衅渌麅?nèi)容傳輸?shù)絻?nèi)容過濾引擎。如果內(nèi)容過濾啟動，數(shù)據(jù)流將根據(jù)過濾的設(shè)置進行匹配，通過或拒絕數(shù)據(jù)。3.4.5流過濾技術(shù)流過濾是東軟集團提出的一種新型防火墻技術(shù)架構(gòu)，它融基于狀態(tài)的包過濾技術(shù)與基于內(nèi)容的深度包檢測技術(shù)為一體，提供了一個較好的應(yīng)用防御解決方案，它以狀態(tài)監(jiān)測技術(shù)為基礎(chǔ)，但在此基礎(chǔ)上進行了改進其基本的原理是:以狀態(tài)包過濾的形態(tài)實現(xiàn)應(yīng)用層的保護能力:通過內(nèi)嵌的專門實現(xiàn)的TCP/IP協(xié)議棧，實現(xiàn)了透明的應(yīng)用信息過濾機制。流過濾技術(shù)[17]的關(guān)鍵在于其架構(gòu)中的專用TCP/IP協(xié)議棧:這個協(xié)議棧是一個標(biāo)準(zhǔn)的TCP協(xié)議的實現(xiàn)，依據(jù)TCP協(xié)議的定義對出入防火墻的數(shù)據(jù)包進行了，完整的重組，重組后的數(shù)據(jù)流交給應(yīng)用層過濾邏輯進行過濾，從而可以有效地識別并攔截應(yīng)用層的攻擊企圖。在這種機制下，從防火墻外部看，仍然是包過濾的形態(tài)，工作在鏈路層或IP層，在規(guī)則允許下，兩端可以直接訪問，但是任何一個被規(guī)則允許的訪問在防火墻內(nèi)部都存在兩個完全獨立的TCP會話，數(shù)據(jù)以“流”的方式從一個會話流向另一個會話。由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時候代替服務(wù)器或客戶端參與應(yīng)用層的會話，從而起到了與應(yīng)用代理防火墻相同的控制能力。如在對SMTP協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實現(xiàn)完全的對郵件的存儲轉(zhuǎn)發(fā)，并實現(xiàn)豐富的對SMTP協(xié)議的各種攻擊的防范功能一流過濾的示意圖如圖3.2所示。圖3.2流過濾示意圖在這種機制下，從防火墻外部看，仍然是包過濾的形態(tài)，工作在鏈路層或IP層，在規(guī)則允許下，兩端可以直接訪問，但是任何一個被規(guī)則允許的訪問在防火墻內(nèi)部都存在兩個完全獨立的TCP會話，數(shù)據(jù)以“流”的方式從一個會話流向另一個會話。由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時候代替服務(wù)器或客戶端參與應(yīng)用層的會話，從而起到了與應(yīng)用代理防火墻相同的控制能力。如在對SMTP協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實現(xiàn)完全的對郵件的存儲轉(zhuǎn)發(fā)，并實現(xiàn)豐富的對SMTP協(xié)議的各種攻擊的防范功能一流過濾的示意圖如圖3.2所示。3.5防火墻體系結(jié)構(gòu)目前,防火墻的體系結(jié)構(gòu)一般有以下幾種:（1）雙宿主主機防火墻；（2）主機屏蔽防火墻；（3）子網(wǎng)屏蔽防火墻。3.5.1雙宿主主機防火墻多宿主主機這個詞是用來描述配有多個網(wǎng)卡的主機，每個網(wǎng)卡都和網(wǎng)絡(luò)相連接。代理服務(wù)器可以算是多宿主主機防火墻的一種。在歷史上，多宿主主機可以在網(wǎng)段之間傳送流量，今天一般都使用專門的路由器來完成IP路由轉(zhuǎn)發(fā)。雙宿主主機如果多宿主主機的路由功能被禁止，則主機可以在它連接的網(wǎng)絡(luò)之間提供網(wǎng)絡(luò)流量的分離，并且每個網(wǎng)絡(luò)都能在宿主主機上處理應(yīng)用程序。另外，如果應(yīng)用程序允許，網(wǎng)絡(luò)還可以共享數(shù)據(jù)。

雙宿主主機是多宿主主機的一個特例，它有兩個網(wǎng)卡，并禁止路由功能。

雙宿主主機可以用于把一個內(nèi)部網(wǎng)絡(luò)從一個不可信的外部網(wǎng)絡(luò)分離出來。因為雙宿主主機不能轉(zhuǎn)發(fā)任何TCP/IP流量，所以它可以徹底堵塞內(nèi)部和外部不可信網(wǎng)絡(luò)間的任何IP流量。然后防火墻運行代理軟件控制數(shù)據(jù)包從一個網(wǎng)絡(luò)流向另一個網(wǎng)絡(luò)，這樣內(nèi)部網(wǎng)絡(luò)中的計算機就可以訪問外部網(wǎng)絡(luò)。雙宿主主機雙宿主主機是防火墻體系的基本形態(tài)。建立雙宿主主機的關(guān)鍵是要禁止路由，網(wǎng)絡(luò)之間通信的唯一路徑是通過應(yīng)用層的代理軟件。如果路由被意外允許，那么雙宿主主機防火墻的應(yīng)用測功能就會被旁路，內(nèi)部受保護網(wǎng)絡(luò)就會完全暴露在危險中。3.5.2主機屏蔽防火墻主機屏蔽防火墻比雙宿主機防火墻更安全。主機屏蔽防火墻體系結(jié)構(gòu)是在防火墻的前面增加了屏蔽路由器。換句話說就是防火墻不直接連接外網(wǎng)，這樣的形式提供一種非常有效的并且容易維護的防火墻體系。因為路由器具有數(shù)據(jù)過濾功能，路由器通過適當(dāng)配置后，可以實現(xiàn)一部分防火墻的功能，因此，有人把屏蔽路由器也成為防火墻的一種。主機屏蔽防火墻實際上，我們常常把屏蔽路由器作為保護網(wǎng)絡(luò)的第一道防線。根據(jù)內(nèi)網(wǎng)的安全策略，屏蔽路由器可以過濾掉不允許通過的數(shù)據(jù)包。

屏蔽路由器配置要根據(jù)實際的網(wǎng)絡(luò)安全策略來進行，如服務(wù)器提供WEB服務(wù)就需要屏蔽路由器開放80端口。

因為這種體系結(jié)構(gòu)允許數(shù)據(jù)包從外網(wǎng)向內(nèi)網(wǎng)移動，所以它的設(shè)計比沒有外部數(shù)據(jù)流量的雙宿主機更冒風(fēng)險，但實際上雙宿主機體系結(jié)構(gòu)在防備數(shù)據(jù)包流入內(nèi)網(wǎng)時也會造成失敗。總之保護路由器比保護主機更容易實現(xiàn)，因為路由器提供非常有限的服務(wù)，漏洞要比主機少得多，所以主機屏蔽防火墻體系結(jié)構(gòu)能提供更好的安全性和可用性。3.5.3子網(wǎng)屏蔽防火墻子網(wǎng)屏蔽防火墻體系結(jié)構(gòu)添加額外的安全層到主機屏蔽體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進一步地把內(nèi)部網(wǎng)絡(luò)與外網(wǎng)隔離。通常，堡壘主機是網(wǎng)絡(luò)上最容易受攻擊的機器。任憑用戶如何保護它，它仍有可能被突破或入侵，因為沒有任何主機是絕對安全的。子網(wǎng)屏蔽防火墻在主機屏蔽體系中，用戶的內(nèi)部網(wǎng)絡(luò)對堡壘主機沒有任何防御措施，如果黑客成功入侵到主機屏蔽體系結(jié)構(gòu)中的堡壘主機，那就毫無阻擋的進入了內(nèi)部網(wǎng)絡(luò)。通過在周邊網(wǎng)絡(luò)上隔離堡壘主機，能減少在堡壘主機上入侵的影響?？梢哉f它只給入侵者一些訪問的機會，但不是全部。

屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為使用兩個屏蔽路由器，位于堡壘主機的兩端，一端連接內(nèi)網(wǎng)，一端連接外網(wǎng)。為了入侵這種類型的體系結(jié)構(gòu)，入侵者必須穿透兩個屏蔽路由器。即使入侵者控制了堡壘主機，他仍然需要通過內(nèi)網(wǎng)端的屏蔽路由器才能到達(dá)內(nèi)網(wǎng)。

在構(gòu)造防火墻體系時，一般很少使用單一的技術(shù)，通常都是多種解決方案的組合。這種組合主要取決于網(wǎng)管中心向用戶提供什么服務(wù)，以及網(wǎng)管中心能接受什么等級的風(fēng)險。還要看投資經(jīng)費、投資大小、技術(shù)人員的水平和時間等問題。一般包括下面幾種形式：

（一）使用多個堡壘主機

（二）合并內(nèi)部路由器和外部路由器

（三）合并堡壘主機和外部路由器

（四）合并堡壘主機和內(nèi)部路由器

（五）使用多個內(nèi)部路由器

（六）使用多個外部路由器

（七）使用多個周邊網(wǎng)絡(luò)

（八）使用雙宿主主機與屏蔽子網(wǎng)第四章防火墻的配置4.1硬件連接與實施一般來說硬件防火墻和路由交換設(shè)備一樣具備多個以太接口，速度根據(jù)檔次與價格不同而在百兆與千兆之間有所區(qū)別。(如圖4.1)圖4.1對于中小企業(yè)來說一般出口帶寬都在100M以內(nèi)，所以我們選擇100M相關(guān)產(chǎn)品即可。網(wǎng)絡(luò)拓?fù)鋱D中防火墻的位置很關(guān)鍵，一般介于內(nèi)網(wǎng)與外網(wǎng)互連中間區(qū)域，針對外網(wǎng)訪問數(shù)據(jù)進行過濾和監(jiān)控。如果防火墻上有WAN接口，那么直接將WAN接口連接外網(wǎng)即可，如果所有接口都標(biāo)記為LAN接口，那么按照常規(guī)標(biāo)準(zhǔn)選擇最后一個LAN接口作為外網(wǎng)連接端口。相應(yīng)的其他LAN接口連接內(nèi)網(wǎng)各個網(wǎng)絡(luò)設(shè)備。4.2防火墻的特色配置從外觀上看防火墻和傳統(tǒng)的路由器交換機沒有太大的差別，一部分防火墻具備CONSOLE接口通過超級終端的方式初始化配置，而另外一部分則直接通過默認(rèn)的LAN接口和管理地址訪問進行配置。與路由器交換機不同的是在防火墻配置中我們需要劃分多個不同權(quán)限不同優(yōu)先級別的區(qū)域，另外還需要針對相應(yīng)接口隸屬的區(qū)域進行配置，例如1接口劃分到A區(qū)域，2接口劃分到B區(qū)域等等，通過不同區(qū)域的訪問權(quán)限差別來實現(xiàn)防火墻保護功能。默認(rèn)情況下防火墻會自動建立trust信任區(qū)，untrust非信任區(qū)，DMZ堡壘主機區(qū)以及LOCAL本地區(qū)域。相應(yīng)的本地區(qū)域優(yōu)先級最高，其次是trust信任區(qū)，DMZ堡壘主機區(qū)，最低的是untrust非信任區(qū)域。在實際設(shè)置時我們必須將端口劃分到某區(qū)域后才能對其進行各個訪問操作，否則默認(rèn)將阻止對該接口的任何數(shù)據(jù)通訊。除此之外防火墻的其他相關(guān)配置與路由交換設(shè)備差不多，無外乎通過超級終端下的命令行參數(shù)進行配置或者通過WEB管理界面配置。4.3軟件的配置與實施以H3C的F100防火墻為例，當(dāng)企業(yè)外網(wǎng)IP地址固定并通過光纖連接的具體配置。首先當(dāng)企業(yè)外網(wǎng)出口指定IP時配置防火墻參數(shù)。選擇接口四連接外網(wǎng)，接口一連接內(nèi)網(wǎng)。這里假設(shè)電信提供的外網(wǎng)IP地址為94。第一步：通過CONSOLE接口以及本機的超級終端連接F100防火墻，執(zhí)行system命令進入配置模式。第二步：通過firewallpacketdefaultpermit設(shè)置默認(rèn)的防火墻策略為“容許通過”。第三步：進入接口四設(shè)置其IP地址為94，命令為inte0/4ipadd94第四步：進入接口一設(shè)置其IP地址為內(nèi)網(wǎng)地址，例如，命令為inte0/1ipadd第五步：將兩個接口加入到不同的區(qū)域，外網(wǎng)接口配置到非信任區(qū)untrust，內(nèi)網(wǎng)接口加入到信任區(qū)trust——firezoneuntrustaddinte0/4firezonetrustaddinte0/1第六步：由于防火墻運行基本是通過NAT來實現(xiàn)，各個保護工作也是基于此功能實現(xiàn)的，所以還需要針對防火墻的NAT信息進行設(shè)置，首先添加一個訪問控制列表——aclnum2000rulepersource55ruledeny第七步：接下來將這個訪問控制列表應(yīng)用到外網(wǎng)接口通過啟用NAT——inte0/4natoutbound2000第八步：最后添加路由信息，設(shè)置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或外網(wǎng)電信下一跳地址——iproute-static93(如圖2)執(zhí)行save命令保存退出后就可以在企業(yè)外網(wǎng)出口指定IP時實現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)以及安全保護功能了。第五章防火墻發(fā)展趨勢針對傳統(tǒng)防火墻不能解決的問題，及新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也出現(xiàn)了新的發(fā)展趨勢。主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)。5.1防火墻包過濾技術(shù)發(fā)展趨勢(1)安全策略功能一些防火墻廠商把在AAA系統(tǒng)上運用的用戶認(rèn)證及其服務(wù)擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗證的防火墻通常是采用應(yīng)用級網(wǎng)關(guān)技術(shù)的，包過濾技術(shù)的防火墻不具有。用戶身份驗證功能越強，它的安全級別越高，但它給網(wǎng)絡(luò)通信帶來的負(fù)面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。(2)多級過濾技術(shù)所謂多級過濾技術(shù)，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾(網(wǎng)絡(luò)層)一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所用通用服務(wù)。這是針對以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補以上各種單獨過濾技術(shù)的不足。這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對應(yīng)于不同的網(wǎng)絡(luò)層，從這個概念出發(fā)，又有很多內(nèi)容可以擴展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。(3)功能擴展功能擴展是指一種集成多種功能的設(shè)計趨勢，包括VPN、AAA、PKI、IPSec等附加功能，甚至防病毒、入侵檢測這樣的主流功能，都被集成到防火墻產(chǎn)品中了，很多時候我們已經(jīng)無法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個功能為主了，即其已經(jīng)逐漸向我們普遍稱之為IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。有些防火墻集成了防病毒功能，通常被稱之為“病毒防火墻”，當(dāng)然目前主要還是在個人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護功能的防火墻可以大大減少公司的損失。5.2防火墻的體系結(jié)構(gòu)發(fā)展趨勢隨著網(wǎng)絡(luò)應(yīng)用的增加，對網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性。基于ASIC的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。5.3防火墻的系統(tǒng)管理發(fā)展趨勢(1)集中式管理，分布式和分層的安全結(jié)構(gòu)。(2)強大的審計功能和自動日志分析功能。(3)網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化縱觀防火墻技術(shù)的發(fā)展，黑客入侵系統(tǒng)技術(shù)的不斷進步以及網(wǎng)絡(luò)病毒朝智能化和多樣化發(fā)展，對防火墻技術(shù)的同步發(fā)展提出了更高的要求。防火墻技術(shù)只有不斷向主動型和智能型等方向發(fā)展，才能更好的滿足人們對防火墻技術(shù)日益增長的需求。結(jié)束語不積跬步何以至千里，本設(shè)計能夠順利的完成，也歸功于各位任課老師的認(rèn)真負(fù)責(zé)，使我能夠很好的掌握和運用專業(yè)知識，并在設(shè)計中得以體現(xiàn)。正是有了他們的悉心幫助和支持，才使我的畢業(yè)論文工作順利完成，在此向安徽水利水電職業(yè)技術(shù)學(xué)院，電子信息工程系計算機網(wǎng)絡(luò)系統(tǒng)的全體老師表示由衷的謝意。感謝他們四年來的辛勤栽培。參考文獻(xiàn)[1]艾軍.防火墻體系結(jié)構(gòu)及功能分析[J].電腦知識與技術(shù).2004，(s):79一82.[2]高峰.許南山.防火墻包過濾規(guī)則問題的研究[M].計算機應(yīng)用.2003，23(6):311一312.[3]孟濤、楊磊.防火墻和安全審計[M].計算機安全.2004，(4):17一18.[4]鄭林.防火墻原理入門[Z].E企業(yè).2000.[5]魏利華.防火墻技術(shù)及其性能研究.能源研究與信息.2004，20(l):57一62[6]李劍，劉美華，曹元大.分布式防火墻系統(tǒng).安全與環(huán)境學(xué)報.2002，2(l):59一61[7]王衛(wèi)平，陳文惠，朱衛(wèi)未.防火墻技術(shù)分析.信息安全與通信保密.2006，(8):24一27[8]付歌，楊明福.一個快速的二維數(shù)據(jù)包分類算法.計算機工程.2004，30(6):76一78[9]付歌，楊明福，王興軍.基于空間分解的數(shù)據(jù)包分類技術(shù).計算機工程與應(yīng)用.2004(8):63一65[10]〕韓曉非，王學(xué)光，楊明福.位并行數(shù)據(jù)包分類算法研究.華東理工大學(xué)學(xué)報.2003，29(5):504一508[11]韓曉非，楊明福，王學(xué)光.基于元組空間的位并行包分類算法.計算機工程與應(yīng)用.2003，(29):188一192[12]馮東雷，張勇，白英彩.一種高性能包分類漸增式更新算法.計算機研究與發(fā)展.2003，40(3):387一392致謝從論文選題到搜集資料，從寫稿到反復(fù)修改，期間經(jīng)歷了喜悅、聒噪、痛苦和彷徨，在寫作論文的過程中心情是如此復(fù)雜。如今，伴隨著這篇畢業(yè)論文的最終成稿，復(fù)雜的心情煙消云散，自己甚至還有一點成就感。那種感覺就宛如在一場盛大的頒獎晚會上，我在晚會現(xiàn)場看著其他人一個接著一個上臺領(lǐng)獎，自己卻始終未能被念到名字，經(jīng)過了很長很長的時間后，終于有位嘉賓高喊我的大名，這時我忘記了先前漫長的無聊的等待時間，欣喜萬分地走向舞臺，然后迫不及待地開始抒發(fā)自己的心情，發(fā)表自己的感想。這篇畢業(yè)論文的就是我的舞臺，以下的言語便是有點成就感后在舞臺上發(fā)表的發(fā)自肺腑的誠摯謝意與感想：感謝培養(yǎng)教育我的安徽水利水電職業(yè)技術(shù)學(xué)院，學(xué)院濃厚的學(xué)術(shù)氛圍，舒適的學(xué)習(xí)環(huán)境我將終生難忘！祝母校蒸蒸日上，永創(chuàng)輝煌！祝校長財源滾滾，仕途順利！感謝對我傾囊賜教、鞭策鼓勵的安徽水利水電職業(yè)技術(shù)學(xué)院電子信息工程系諸位師長，諸位恩師的諄諄訓(xùn)誨我將銘記在心。祝恩師們身體健康，家庭幸福！感謝論文中引文的原作者，他們都是計算機界的名師大家，大師風(fēng)范，高山仰止。祝他們壽域無疆，德業(yè)永輝！感謝同窗好友龔帥、王康、康健、卞華林、陶趙偉等以及更多我無法逐一列出名字的朋友，他們和我共同度過了四年美好難忘的大學(xué)時光，我非常珍視和他們的友誼！祝他們前程似錦，事業(yè)有成！家有嬌妻，外有二房！最最感謝生我養(yǎng)我的父母，他們給予了我最無私的愛，為我的成長付出了許多許多，焉得諼草，言樹之背，養(yǎng)育之恩，無以回報，惟愿他們健康長壽！感謝我以最大的毅力完成了四年大學(xué)學(xué)習(xí)，在這個環(huán)境里我能潔身自愛，出淤泥而不染保持一顆純潔的心，真的是很不容易！祝自己身體健康，權(quán)財兩旺！家里紅旗不倒，外面彩旗飄飄！基于C8051F單片機直流電動機反饋控制系統(tǒng)的設(shè)計與研究基于單片機的嵌入式Web服務(wù)器的研究MOTOROLA單片機MC68HC（8）05PV8/A內(nèi)嵌EEPROM的工藝和制程方法及對良率的影響研究基于模糊控制的電阻釬焊單片機溫度控制系統(tǒng)的研制基于MCS-51系列單片機的通用控制模塊的研究基于單片機實現(xiàn)的供暖系統(tǒng)最佳啟停自校正（STR）調(diào)節(jié)器單片機控制的二級倒立擺系統(tǒng)的研究基于增強型51系列單片機的TCP/IP協(xié)議棧的實現(xiàn)基于單片機的蓄電池自動監(jiān)測系統(tǒng)基于32位嵌入式單片機系統(tǒng)的圖像采集與處理技術(shù)的研究基于單片機的作物營養(yǎng)診斷專家系統(tǒng)的研究基于單片機的交流伺服電機運動控制系統(tǒng)研究與開發(fā)基于單片機的泵管內(nèi)壁硬度測試儀的研制基于單片機的自動找平控制系統(tǒng)研究基于C8051F040單片機的嵌入式系統(tǒng)開發(fā)基于單片機的液壓動力系統(tǒng)狀態(tài)監(jiān)測儀開發(fā)模糊Smith智能控制方法的研究及其單片機實現(xiàn)一種基于單片機的軸快流CO〈,2〉激光器的手持控制面板的研制基于雙單片機沖床數(shù)控系統(tǒng)的研究基于CYGNAL單片機的在線間歇式濁度儀的研制基于單片機的噴油泵試