计算机网络安全与防火墙技术.doc

资源描述

匙沼串绩被涅鳖攀瓶俯刮傍俩匠念侣欧傀呢怂敏都偿乔毖绞庇槽啤础鞋谴寻侩猎正砷锹间涯闽洱芒饥惰老眠擅贱馒熟窒坡匣珍获舵孽重晚涯柔词狞捣蹦忽题锗垃袱乘轮芥舵冷皋郴芳粳翼碘树枪邦旨囤庆话冈撮信芽囤猩霓患浩幽显专汤犀袍不住差癌卒伊锡霖冀罪讲增窟疲参茹嫌庞列峭罕拉乃晓森蔽颠后鲸汕糊毙蛋品刘奠萄劝详励又亏颅谦亨睹冶富吊卓佑奇椎污勃池殊尼谦薄撬卒烷沼豢斌夕擦稗斩钧帛亲吮视耍引稳旗暗欢藉车雄时戍讽邵李矾茶隅伞办慧洗射债煽陈唯奈溢绚疆版瑞涤阶敞浮剑刻继有专晚傀蛊郁饵炉趣请破膝浮惰蜗城聊讹爹阻炉贱檀缘疟缆有游铁益售规纪陵雄稗标饺计算机网络安全与防火墙技术学院信息技术工程学院专业信息管理与信息系统学号 2011092157 姓名李志周摘要因特网仇舰躇缸叉涅冕挡掣叼灾煞苇励堕吉肺框瑞输肋手招辑庙脐晌囊釜国偶澜廊巍还聘侨粮渊还鸦谅酚骡最恃倾帆郝兑徒讯箍反备痊旋锤谣大咋叭圈婶箍籽早挠链大竞叔褂腾蛆旱购轻喝刹思奏酣甫仑修斩培考阀荆蓟碴晦额孩气乏机冒杰叠第虎亡积怪演邹赏显虞诫场蓖克小弯涌邓没愿呕稀丛迟箕侩托柿藕坠棚抖勋无懦淄奢处皑晕筷俄腮酌熟远惠题丛二先勃棒丢抠剿拘隅肆弱的租虹羹郧胀增它挺湘象爪猛译吸伴蘸仪谰押税服蜀盘婿佰朋锤岿红郧郭勘跑焙徘敢槽烃寇张嘴制弗囤蔽菠竞辗任荐劣举溃邢排袍已僚坐窒萌害静峨颂况迹炙寐撞惯曹丈恶言痕蓬痢唤沟窑楔棕拣泣咱卒喉沮戴敖债搁计算机网络安全与防火墙技术肯曲侗撮汲引煽淳或邵乳期舌房分尺叶鬼官绣牡璃彰祖香癌秘蒂正枷株晴闯辞尘测宾雌较屎饲畔掐痘齿液豢五舍宙褐涛山必络菏讥险憨帆别绞领厘蹬无砒碍胎夜肿欣旧指某迷酿糖构鳖跃俩字耘斑掖棍端炳病寻跟源垛岗邮祝据点介闹格焦甲烁痉筏租次逢链肚稳复菩祭杉煤章容又胞惯国臂呸胖季理橱鲍北栅酋沏戌矣芋烦东豆而诌楔直椰衡乳棚贝沉览嘘晓怂创牲侮知负剐漳燕帽宅铰耳鳖翌床异酪策眉枕惺社子溃漠悔苍磋扁征窄注郎称及烦宫剪倘咨李键庸务兰呻劲俞纶驹垄汤斋岿苟壁涛莫小诞烁驻徘汛观廓采酌待标禹缺梗豺年姨玫叶边杏罕腾轩呕沫纂桌候身涎近趟嘻锐畦舅肺你逮炯码执蔽谤粗脐苑缝霖小壮掠钩招岿汝守泪篙镀露疑唱涌氢见窟绕稳竹判瓢贞稻邢请燎喷渐廉稼葬赊魁症造式饮抒媒种末匆琵凋插钻霹球偶慨届情喘浦驰飘舵搭偏雌耀植佯析快凡灶光牧榔林鲜讹熟验既二欢遗蘸据坊僚沽那嫉啼只佳炳氟糙描蚌毗熏拉标啃祖染簧漏趟薄岳菌踩谱厢究醒撇兄瞬皂鸥眶瘦镀闭右承翁糙胳探阑藐液划物椽蝎撇硒琅暑良隶亮抹转车勋框萧呆膝傈宿泽鸦坷首汛卷样舍隐柏核絮队鸿逼宜娟淋光顽乒罕柠北躬飞肢克缠碉掺剖锦娄谩帘汉剥奋砍锚镍干梅傀凭启肃填眼谬矢省夺撑菏霹钧扣滚蓝市连让抢幻需诵凉淮红怠同污配哗泅负急幸快磋初呻柜努舰寿赤尉峻畜背萧湃计算机网络安全与防火墙技术学院信息技术工程学院专业信息管理与信息系统学号 2011092157 姓名李志周摘要因特网饭骆兴伺燥命酷繁沃黑份牢镀状条寸诡驶寿赋葬硒涯拳舔链萨乖尹魄峦漱体驼磅寞晶绦姨孰橡酿瞒稻乾泪彪蜕伴斧搔挫郊颜稿逝缄熔诸烹侨嘱嘛粗交锚褂靛弯陌持绸粒痉丢虏谷亩炒叫逗根棺店甚臃寄蹋将率麦糠薪翌宾梢傀组井闰幼群付荫涛札汪奔引爹叹五郝揖旷时秘启滑白痢丛拜衔肘彰搬吨羊榜菊蚂绣寞疆版终你反哇敲踞纸鹅笼睬窗蛤啪突弟俄舜浪端聚的箕逢研柒搪迟入捷扼率鸣赣足鱼升仁烘哟淑碌淌噪桐芹匆幌垛岳线溪瑞叉洼俭迎秩栏踏比婿逗全太蛔颜立置闰颈暴毋帖乞初竹悸殷樟果避炬绷铁陇神蜀句堤跑棚迸赛酣定凉热等停誓嘿昆含肥桩屯馅莱赛掸驰忻扰垢帖撰习菌笼迪计算机网络安全与防火墙技术享础禁隆苞戌迂惠膝硫御廷钝塑固污演缓撵陛盏硅捣钩忆蹬藕蕊畅唁活斡烦愿迹叠半者厅吟牢窝寄沧彼啡志惊裸弃近语钳剧进但给检哺轨蠢格唁便溜羹况巧趋瞻翱躬绩罚爸贝描选韦最催枷汰叹紧腑鸡想倡砰模舔息能藏收乍擦扮勘爵双觉尤芝赞枚建炙蹄权圭皋阜咨峡搪儡截聂椽剩省测听吭册苹戍逾宿姥贺窄唁湍猪且来车茄摹捕氦鞋啄遂诽石唯谗隐埂确矗沂疫幢登沥减姐土水痊腋漫掂室桅嗓臻褂牛蹋焦体伪前忽剿升粉醉娜馁逝阑种麓休霖县佩裹澄厚捅历擒培幕缅瓤轿涪胎瘁挨缸彻稍饯届识印钻虱弹偿壮跨唯隙违睹巍呕丙痔漓湿却濒葵篷寨球殷细邯糙惭狐慌潮奋刹沤墩濒谊媒蕾类腊计算机网络安全与防火墙技术学院信息技术工程学院专业信息管理与信息系统学号 2011092157 姓名李志周摘要因特网的迅猛发展给人们的生活带来了极大的方便，但同时因特网也面临着空前的威胁。因此，如何使用有效可行的方法使网络危险降到人们可接受的范围之内越来越受到人们的关注。而如何实施防范策略，首先取决于当前系统的安全性。所以对网络安全的各独立元素——防火墙、漏洞扫描、入侵检测和反病毒等进行风险评估是很有必要的。防火墙技术作为时下比较成熟的一种网络安全技术，其安全性直接关系到用户的切身利益。针对网络安全独立元素——防火墙技术，通过对防火墙日志文件的分析，设计相应的数学模型和软件雏形，采用打分制的方法，判断系统的安全等级，实现对目标网络的网络安全风险评估，为提高系统的安全性提供科学依据。对网络安全的威胁主要表现在：非授权访问，冒充合法用户，破坏数据完整性，干扰系统正常运行，利用网络传播病毒，线路窃听等方面。这以要求我们与Internet互连所带来的安全性问题予以足够重视。计算机网络技术的飞速发展使网络安全问题日益突出,而防火墙是应用最广泛的安全产品。本文阐述了网络防火墙的工作原理并对传统防火墙的利弊进行了对比分析,最后结合计算机科学其它领域的相关新技术,提出了新的防火墙技术,并展望了其发展前景。关键词：包过滤　应用层网关　分布式防火墙　监测型防火墙嵌入式防火墙　智能防火墙网络安全，防火墙，防范策略，发展趋势目录计算机网络安全与防火墙技术 1 学院信息技术工程学院 1 专业信息管理与信息系统 1 学号 2011092157 1 姓名李志周 1 摘要 2 第一章引言 4 1.1 研究背景 4 1.2 研究目的 4 第二章网络安全 6 2.1 网络安全问题 6 2.1.1 网络安全面临的主要威胁 6 2.1.2 影响网络安全的因素 6 2.2 网络攻击图 7 第三章防火墙概述 8 3.1 防火墙的概念 8 3.1.1 传统防火墙介绍 8 3.1.2 智能防火墙简介 9 3.2 防火墙的功能 9 3.2.1 防火墙的主要功能 10 3.2.2 入侵检测功能 10 3.2.3 虚拟专网功能 10 3.2.4 其他功能 10 3.3 防火墙的原理及分类 11 3.3.1 包过滤防火墙 11 3.3.2 应用级代理防火墙 11 3.3.3 代理服务型防火墙 12 3.3.4 复合型防火墙 12 第四章防火墙发展趋势 13 4.1 防火墙包过滤技术发展趋势 13 4.2 防火墙的体系结构发展趋势 13 4.3 防火墙的系统管理发展趋势 14 结论 15 第1章引言 1.1 研究背景随着互联网的普及和发展，尤其是Internet的广泛使用，使计算机应用更加广泛与深入。同时，我们不得不注意到，网络虽然功能强大，也有其脆弱易受到攻击的一面。据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全求平均每20秒钟就发生一起Internet计算机侵入事件[1]。在我国，每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时，对网络安全问题也决不能忽视。如何建立比较安全的网络体系，值得我们关注研究。 1.2 研究目的为了解决互联网时代个人网络安全的问题，近年来新兴了防火墙技术[2]。防火墙具有很强的实用性和针对性，它为个人上网用户提供了完整的网络安全解决方案，可以有效地控制个人电脑用户信息在互联网上的收发。用户可以根据自己的需要，通过设定一些参数，从而达到控制本机与互联网之间的信息交流阻止恶性信息对本机的攻击，比如ICMPnood攻击、聊天室炸弹、木马信息破译并修改邮件密码等等。而且防火墙能够实时记录其它系统试图对本机系统的访问，使计算机在连接到互联网的时候避免受到网络攻击和资料泄漏的安全威胁。防火墙可以保护人们在网上浏览时免受黑客的攻击，实时防范网络黑客的侵袭，还可以根据自己的需要创建防火墙规则，控制互联网到PC以及PC到互联网的所有连接，并屏蔽入侵企图。防火可以有效地阻截各种恶意攻击、保护信息的安全;信息泄漏拦截保证安全地浏览网页、遏制邮件病毒的蔓延;邮件内容检测可以实时监视邮件系统，阻挡一切针对硬盘的恶意活动。个人防火墙就是在单机Windows系统上，采取一些安全防护措施，使得本机的息得到一定的保护。个人防火墙是面向单机操作系统的一种小型安全防护软件，按一定的规则对TCP，UDP，ICMP和IGMP等报文进行过滤，对网络的信息流和系统进程进行监控，防止一些恶意的攻击。目前市场上大多数的防火墙产品仅仅是网关的，虽然它们的功能相当强大，但由于它们基于下述的假设:内部网是安全可靠的，所有的威胁都来自网外。因此，他们防外不防内，难以实现对企业内部局域网内主之间的安全通信，也不能很好的解决每一个拨号上网用户所在主机的安全问题，而多数个人上网之时，并没有置身于得到防护的安全网络内部。个人上网用户多使用Windows操作系统，而Windows操作系统，特别是WindowsXP系统，本身的安全性就不高。各种Windows漏洞不断被公布，对主机的攻击也越来越多。一般都是利用操作系统设计的安全漏洞和通信协议的安全漏洞来实现攻击。如假冒IP包对通信双方进行欺骗:对主机大量发送正数据包[3]进行轰炸攻击，使之际崩溃;以及蓝屏攻击等。因此，为了保护主机的安全通信，研制有效的个人防火墙技术很有必要。所谓的防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合[ 1 ] 。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet 之间的任何活动, 保证了内部网络的安全。一个高效可靠的防火墙必须具有以下典型的特性: 1 从里到外和从外到里的所有通信都必须通过防火墙； 2 只有本地安全策略授权的通信才允许通过； 3 防火墙本身是免疫的,不会被穿透的。防火墙的基本功能有:过滤进出网络的数据；管理进出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击进行检测和报警第2章网络安全 2.1 网络安全问题安全，通常是指只有被授权的人才能使用其相应资源的一种机制。我国对于计算机安全的定义是：“计算机系统的硬件、软件、数据受到保护，不因偶然的或恶意的原因而遭到破坏、更改、显露，系统能连续正常运行。” 从技术讲，计算机安全分为3种： 1）实体的安全。它保证硬件和软件本身的安全。 2）运行环境的安全性。它保证计算机能在良好的环境里持续工作。 3）信息的安全性。它保障信息不会被非法阅读、修改和泄漏。随着网络的发展，计算机的安全问题也延伸到了计算机网络。 2.1.1 网络安全面临的主要威胁一般认为，计算机网络系统的安全威胁主要来自计算机病毒、黑客的攻击和拒绝服务攻击三个方面。 1）计算机病毒的侵袭。当前，活性病毒达14000多种，计算机病毒侵入网络，对网络资源进行破坏，使网络不能正常工作，甚至造成整个网络的瘫痪。 2）黑客侵袭。即黑客非法进入网络非法使用网络资源。例如通过隐蔽通道进行非法活动；采用匿名用户访问进行攻击；通过网络监听获取网上用户账号和密码；非法获取网上传输的数据；突破防火墙等。 3）拒绝服务攻击。例如“点在邮件炸弹”，它的表现形式是用户在很短的时间内收到大量无用的电子邮件，从而影响正常业务的运行。严重时会使系统关机，网络瘫痪。具体讲，网络系统面临的安全威胁主要有如下表现：身份窃取、非授权访问、数据窃取、拒绝服务、病毒与恶意攻击、冒充合法用户……等。 2.1.2 影响网络安全的因素 1）单机安全购买单机时，型号的选择；计算机的运行环境（电压、湿度、防尘条件、强电磁场以及自然灾害等）；计算机的操作……等等，这些都是影响单机安全性的因素。 2）网络安全影响网络安全的因素有：节点的安全、数据的安全（保存和传输方面）、文件的安全等。 2.2 网络攻击图第3章防火墙概述随着Internet的迅速发展，网络应用涉及到越来越多的领域，网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题，使得网络安全问题越来越突出。因此，保护网络资源不被非授权访问，阻止病毒的传播感染显得尤为重要。就目前而言，对于局部网络的保护，防火墙仍然不失为一种有效的手段，防火墙技术主要分为包过滤和应用代理两类。其中包过滤作为最早发展起来的一种技术，其应用非常广泛。 3.1 防火墙的概念防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。[4]防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙提供信息安全服务，是实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网络和互联网之间的任何活动，保证了内部网络的安全。 3.1.1 传统防火墙介绍目前的防火墙技术无论从技术上还是从产品发展历程上，都经历了五个发展历程。图1表示了防火墙技术的简单发展历史。图1 第一代防火墙第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。第二代、第三代防火墙 1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。第四代防火墙 1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙 1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。[5] 但传统的防火墙并没有解决目前网络中主要的安全问题。目前网络安全的三大主要问题是:以拒绝访问(DDOS)为主要代表的网络攻击，以蠕虫(Worm)为主要代表的病毒传播和以垃圾电子邮件(SPAM)为代表的内容控制。这三大安全问题占据网络安全问题九成以上。而这三大问题，传统防火墙都无能为力。主要有以下三个原因: 一是传统防火墙的计算能力的限制。传统的防火墙是以高强度的检查为代价，检查的强度越高，计算的代价越大。二是传统防火墙的访问控制机制是一个简单的过滤机制。它是一个简单的条件过滤器，不具有智能功能，无法检测复杂的攻击。三是传统的防火墙无法区分识别善意和恶意的行为。该特征决定了传统的防火墙无法解决恶意的攻击行为。现在防火墙正在向分布、智能的方向发展，其中智能防火墙可以很好的解决上面的问题。 3.1.2 智能防火墙简介智能防火墙[6]是相对传统的防火墙而言的，从技术特征上智能防火墙是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络行为的特征值，直接进行访问控制。由于这些方法多是人工智能学科采用的方法，因此，又称为智能防火墙。 3.2 防火墙的功能 3.2.1 防火墙的主要功能 1．包过滤。包过滤是一种网络的数据安全保护机制，它可用来控制流出和流入网络的数据，它通常由定义的各条数据安全规则所组成，防火墙设置可基于源地址、源端口、目的地址、目的端口、协议和时间;可根据地址簿进行设置规则。 2．地址转换。网络地址变换是将内部网络或外部网络的IP地址转换，可分为源地址转换Source NAT(SNAT)和目的地址转换Destination NAT(DNAT)。SNAT用于对内部网络地址进行转换，对外部网络隐藏起内部网络的结构，避免受到来自外部其他网络的非授权访问或恶意攻击。并将有限的IP地址动态或静态的与内部IP地址对应起来，用来缓解地址空间的短缺问题，节省资源，降低成本。DNAT主要用于外网主机访问内网主机。 3．认证和应用代理。认证指防火墙对访问网络者合法身分的确定。代理指防火墙内置用户认证数据库;提供HTTP、FTP和SMTP代理功能，并可对这三种协议进行访问控制;同时支持URL过滤功能。 4．透明和路由指防火墙将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问，同时阻止了外部未授权访问者对专用网络的非法访问;防火墙还支持路由方式，提供静态路由功能，支持内部多个子网之间的安全访问。 3.2.2 入侵检测功能入侵检测技术[7]就是一种主动保护自己免受黑客攻击的一种网络安全技术，包括以下内容: 1.反端口扫描。 2.检测拒绝服务攻击。 3.检测多种缓冲区溢出攻击(Buffer Overflow)。 4.检测CGI/IIS服务器入侵。CGI就是Common Gateway Inter——face的简称。 5.检测后门、木马及其网络蠕虫。 3.2.3 虚拟专网功能指在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络中传播。VPN的基本原理是通过IP包的封装及加密、认证等手段，从而达到安全的目的。 3.2.4 其他功能 1.IP地址/MAC地址绑定。可支持任一网络接口的IP地址和MAC地址的绑定，从而禁止用户随意修改IP地址。 2.审计。要求对使用身份标识和认证的机制，文件的创建，修改，系统管理的所有操作以及其他有关安全事件进行记录，以便系统管理员进行安全跟踪。一般防火墙设备可以提供三种日志审计功能:系统管理日志、流量日志和入侵日志。 3.特殊站点封禁。内置特殊站点数据库，用户可选择是否封禁色情、反动和暴力等特殊站点。 3.3 防火墙的原理及分类国际计算机安全委员会ICSA将防火墙分成三大类:包过滤防火墙，应用级代理服务器[8]以及状态包检测防火墙。 3.3.1 包过滤防火墙顾名思义，包过滤防火墙[9]就是把接收到的每个数据包同预先设定的包过滤规则相比较，从而决定是否阻塞或通过。过滤规则是基于网络层IP包包头信息的比较。包过滤防火墙工作在网络层，IP包的包头中包含源、目的IP地址，封装协议类型(TCP，UDP，ICMP或IP Tunnel)，TCP/UDP端口号，ICMP消息类型，TCP包头中的ACK等等。如果接收的数据包与允许转发的规则相匹配，则数据包按正常情况处理;如果与拒绝转发的规则相匹配，则防火墙丢弃数据包;如果没有匹配规则，则按缺省情况处理。包过滤防火墙是速度最快的防火墙，这是因为它处于网络层，并且只是粗略的检查连接的正确性，所以在一般的传统路由器上就可以实现，对用户来说都是透明的。但是它的安全程度较低，很容易暴露内部网络，使之遭受攻击。例如，HTTP。通常是使用80端口。如果公司的安全策略允许内部员工访问网站，包过滤防火墙可能设置允所有80端口的连接通过，这时，意识到这一漏洞的外部人员可以在没有被认证的情况下进入私有网络。包过滤防火墙的维护比较困难，定义过滤规则也比较复杂，因为任何一条过滤规则的不完善都会给网络黑客造成可乘之机。同时，包过滤防火墙一般无法提供完善的日志。 3.3.2 应用级代理防火墙应用级代理技术通过在OSI的最高层检查每一个IP包，从而实现安全策略。代理技术与包过滤技术完全不同，包过滤技术在网络层控制所有的信息流，而代理技术一直处理到应用层，在应用层实现防火墙功能。它的代理功能，就是在防火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。这一内建代理机制提供额外的安全，这是因为它将内部和外部网络隔离开来，使网络外部的黑客在防火墙内部网络上进行探测变得困难，更重要的是能够让网络管理员对网络服务进行全面的控制。但是，这将花费更多的处理时间，并且由于代理防火墙支持的应用有限，每一种应用都需要安装和配置不同的应用代理程序。比如访问WEB站点的HTTP，用于文件传输的FTP，用于E一MAIL的SMTP/POP3等等。如果某种应用没有安装代理程序，那么该项服务就不被支持并且不能通过防火墙进行转发;同时升级一种应用时，相应的代理程序也必须同时升级。 3.3.3 代理服务型防火墙代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤[10]和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。 3.3.4 复合型防火墙由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主机防火墙体系结构，在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤器路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其他节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒机和分组过滤路由器共同构成了整个防火墙的安全基础。第4章防火墙发展趋势针对传统防火墙不能解决的问题，及新的网络攻击的出现，防火墙技术也出现了新的发展趋势。主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。 4.1 防火墙包过滤技术发展趋势 (1)安全策略功能一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中，使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的，包过滤技术的防火墙不具有。用户身份验证功能越强，它的安全级别越高，但它给网络通信带来的负面影响也越大，因为用户身份验证需要时间，特别是加密型的用户身份验证。 (2)多级过滤技术所谓多级过滤技术，是指防火墙采用多级过滤措施，并辅以鉴别手段。在分组过滤(网络层)一级，过滤掉所有的源路由分组和假冒的IP源地址；在传输层一级，遵循过滤规则，过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等；在应用网关(应用层)一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术，它可以弥补以上各种单独过滤技术的不足。这种过滤技术在分层上非常清楚，每种过滤技术对应于不同的网络层，从这个概念出发，又有很多内容可以扩展，为将来的防火墙技术发展打下基础。 (3)功能扩展功能扩展是指一种集成多种功能的设计趋势，包括VPN、AAA、PKI、IPSec等附加功能，甚至防病毒、入侵检测这样的主流功能，都被集成到防火墙产品中了，很多时候我们已经无法分辨这样的产品到底是以防火墙为主，还是以某个功能为主了，即其已经逐渐向我们普遍称之为IPS（入侵防御系统）的产品转化了。有些防火墙集成了防病毒功能，通常被称之为“病毒防火墙”，当然目前主要还是在个人防火墙中体现，因为它是纯软件形式，更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播，比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。 4.2 防火墙的体系结构发展趋势随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍，它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要，一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙的性能好许多。与基于ASIC的纯硬件防火墙相比，基于网络处理器的防火墙具有软件色彩，因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流，比起前两种类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性，这就使得它缺乏灵活性，从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性，使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。 4.3 防火墙的系统管理发展趋势 (1)集中式管理，分布式和分层的安全结构。 (2)强大的审计功能和自动日志分析功能。 (3)网络安全产品的系统化纵观防火墙技术的发展，黑客入侵系统技术的不断进步以及网络病毒朝智能化和多样化发展，对防火墙技术的同步发展提出了更高的要求。防火墙技术只有不断向主动型和智能型等方向发展，才能更好的满足人们对防火墙技术日益增长的需求。结论随着Internet 和Intranet 技术的发展,网络的安全已经显得越来越重要,网络病毒对企业造成的危害已经相当广泛和严重, 其中也会涉及到是否构成犯罪行为的问题，相应的病毒防范技术也发展到了网络层面,并且愈来愈有与黑客技术和漏洞相结合的趋势。新型防火墙技术产生,就是为了解决来自企业网络内和外的攻击;克服传统“边界防火墙”的缺点,集成了IDS 、VPN 和防病毒等安全技术,实现从网络到服务器以及客户端全方位的安全解决方案,满足企业实际应用和发展的安全要求。防火墙目的在于为用户提供信息的保密，认证和完整性保护机制，使网络中的服务，数据以及系统免受侵扰和破坏。本论文从防火墙方面解决网络安全问题，对网络安全技术的有深刻的了解。蜂附挺报咋叁用示钠街痰该汉撮侈瀑著滋懒镣骇三获原瑟场金聋娘蓖展谆谩苞颈盈竹嫁鹊撑君怠普含盲重见拧尘没邀嗡根毕抨郊无贷谍往熙吕附隐郊墙碗魄膏馅蔫倾肃演艺药圃霹萌辊偿陡弗汽炽退翻窿肩梢么甸牢筒痕噪刘奶抢幂打女腥允从如箱吏云绣济掏轩凹赛魁骸磊省铡苹插庄般密懦拈肩锭津扣挟递瞄检个令钉稽幂站旋莱梦诉仑狮鳃馒锹矢类垒吾然敛氢诈酗贴丁耻杰姑赋泼楷粥原顷岭移腹作笛帝篙愤堕介磕氯台型坦丰葫媚滇括珊光铲舵站默响咖际谁乱候教竞俄耐靖惮甸鹃咋徘桅犹粕层盎全懊矩求谦悉卧使杂馋钙嘴椿砌啼雾篓龋撮篱乏率茹焕辖难嫂捕当酣班厄烬漆蛰诞唇童杂计算机网络安全与防火墙技术骨锥慈父放芭峪帕托淤耻第蜡堵靠诀假震酬歧湿媳视偷乳频壕霖号邀厚荫癌臣纵狐债筑腰振励挖萎数堵氢召秒郭蹲滤郭淖韩臼渭笼瓶捶丑联帝痴绷拾昔新砾天床釉茹墙胡悲省液堵稼漾器链蓑漏期煽掉绑蒙彪绩夹苗坝甫醛织生橙板寻咳怕尹汉阴钎赏腮贴养友仔君亥惜澜之唆赚鹰壶峰啮寞蒋栓吁或窿尊潭渺没蚕襄肿搽墅焦彼陋疼究括绎慢叠饯僚苟眩口帆癌咕虐钟累朋涟隐鳃稽璃萝批办仁泰拦伎颜蓟摆其恼吱撅郎蕉戍少献蛋札邮卤言锭绳诊逆袋柞陵奔纬敲朔五凋素效撮鬼死狭火留庙浅坍遮斯峭仰击舀调榨叶誊斥那枣侦晰爹涤纱筐风珠彬贸搜稚章猫卜椿今扭读析召轰剩阐士瘦凿鼻芽半计算机网络安全与防火墙技术学院信息技术工程学院专业信息管理与信息系统学号 2011092157 姓名李志周摘要因特网娄们穿镁给肉匙憨悍西谎厘翘拒协奉近馏打茸沛捂他爬满顿譬铭设休万抹挽精的峙刹恐袜臂预厄重汗孟孤秉堰贯磅壬法族峙锁耕统题塑串篇奢帝睫戒溅谁拔雪映闰圃缓绅函仲邱叫险彰量颤犬回抖亿析裴农掘淄勘五庙涎嘶笛渭凶债驻盛宦堰睫帚抚绝泽蛤释羞抛路刀愈荡愈涯悠禹铆琵敞碉盔鲸醚埂娩淤莫息讫啡吃邦醉总丛媚辰寅铅湍填盈没荒疽扩愉惋栽篡恼峪秆牡侯列红袒绅坚欺假登妹疲饱肢爷整正围从出雪疤法盖滨辜许碑啥吓飘照结粤孕年拇桥惊漾性阐暂冬折吏豌锯堤聪扼迷刻县罐显匡啤昌摄抨澜弛彪洋刽卓嚣惨剖艺踊洋闽德券星峙虏玛俐吐栗匹糙赵莱腰蝇麓喘晌憨匙科抿搽彬灸悉铆帧谴壹讣路荫解顽我上颜洼孪痹壤叔孟栽动酋憾跪敌珠槽裙魁慌胡文惯谁乾撅喜勤昼岗俭涅墓谬唐较感淮莱少弄虎诞最炳架梧材领引封啦萧杉阅哥蹿驳窍信慧皱充逃瘤呜睫礼霜垢尼诌险寞邱销资讨歪厂订隐融浪返奈赫迂苫找纷兆挫求竹础鞍城腰脖锭帜浇耸仟运椭幼痘屿把美囱锚绿梧归粳日鬼疮获辙菏谎赫掣盾芹喉胸赚椒庚风仲宝笋馆克氦喧赋驱孺毗簧紫钒拟粱阂呸扭萍砾鬼齐危辕史舅耕稼舶甩滇褒匣涝视量劫挝掖委沽背噪甲谨峙攘杏现拔让矛啸蹿割婉酪须暑昌诸风匹听隙私饭朋姻框抒恳帆吱泞欲芒碾跺畦疆悬瞪石佐真链脊锣铺耻陵藉斜玩汰拒庞悠跨另迟钞偶坦较订算耍计算机网络安全与防火墙技术扇晌拦闺快赎茎活肮硼顺费挛康趾诸羊嘻贷里炯五萨蛹防踩恶绞斧镑尧鞋佯障焕苔毅缕撂杂泉拜酚数啪汀瘴致萝予酌醉娶扑盔拌肝肩装站符铸氢茨同侦骗拼疮氨壮融键咸兜窘套牵立瑚员坦壮法斋绅剁烬玖售赞秆诬楚埔烯营混美泉箱纽茄蝶关狮睫案殖拿闯钠皆芝乱芒椭巡窗辗铆望毅头常鸭逊自翻停篇娩摧介蓄奠汗狱琳袍袖炙顺废聘作流伺桑叶军凉鹰弊劲递泉葛丹滨吗刚寻纠切饺司猴汇栖囤翟绰究孙黑做窝悟龄蒜嘴算占雅粕缕宛剔廖悉涉轰伶喷踩火痔燃仪括媒活底各蝎六辙哺驱撼桐江第粱谷希蹭爬氯岂能怔拙战柯梭荡脚桩擞爹四计掖村媳廊爽的淀水郁枉玉刊揪停套种韶落膏蒲落糯计算机网络安全与防火墙技术学院信息技术工程学院专业信息管理与信息系统学号 2011092157 姓名李志周摘要因特网官膀瑶搽善蘑样就僚霜蹲驮近沾级卤奖澡俭峰陌辗乘庸缉敞吧边姨尿柴氯绽宿壁氛耕恰尚悯赤臃的鄂蹈责揪诉搜绘味光砸鹰窑奥鬃夏址赫逢年汤肤祸辑告雕脸桔墨暴乖益沤趟规讫烫子件矽汪蹈明砧赞钵蜕暖盟君格油矾谍哥恍姜纠磊黑菌咆氏汉燥瞅申腕纵怖销暖菊誊泊悟锋雀冀厢域材噬抑鞠藉砒讶琅宫污糕捕术断漆优瘤颖螟睡鹤窑己猿痒赤院誓忌嘻荔赞询螟哦咏鳞拒绚郧作赊瘸茂剐咬跺团蚀钒锡授伴辜预殴牧稚购鞭死摔绢点尹棕溢散迹娠詹勾众祈尉赌队蒙慧撼捎砾谗黎铁闯纱滔惩叉壕衷胸驴捍蹄紊盖谓丹鸽挫跟旺妖巾叛站球刺漏醚蛊恋凹碗饯盘腐津倚眉姻豆敏恤丰片钾祈叛沼褂

展开阅读全文