计算机网络安全及防火墙技术

时间：2022-11-19 来源：乌哈旅游

毕业设计论文

题目： _________________________

院系： ____________________________ 专业：_______________________________________ 姓名： ___________________________________ 学号：_________________________________ 指导老师：____________________________________

二零一三年四月五日

摘要

随着时代的发展，Internet日益普及，网络已经成为信息资源的海洋，给人们带来了极大的方便。但由于Internet是一个开放的，无控制机构的网络，经常会受到计算机病毒、黑客的侵袭。它可使计算机和计算机网络数据和文件丢失，系统瘫痪。因此，计算机网络系统安全问题必须放在首位。作为保护局域子网的一种有效手段，防火墙技术备受睐。

本文主要阐述了网络安全技术所要受到的各方面威胁以及自身存在的一些缺陷，所谓知己知彼，百战不殆。只有了解了网络安全存在的内忧外患，才能更好的改善网络安全技术，发展网络安全技术。然后主要阐述防火墙在网络安全中起到的巨大的作用，防火墙的优缺点及各种类型防火墙的使用和效果。

计算机网络技术的在飞速发展中，尤其是互联网的应用变得越来越广泛，在带来了前所未有的海量信息的同时，网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性，网络信息的安全性变得日益重要，只有熟悉了各种对网络安全的威胁，熟悉各种保护网路安全的技术，我们才能更好的保护计算机和信息的安全。

关键字：计算机网络；网络安全；防范措施；防火墙技术

摘要......................................................................................................错误！未定义书

签。

第一章引言..................................................................................6

1.1研究背景.................................................................................6

1.2论文结构................................................................................7

第二章网络安全概述......................................................................错误！未定义书签。

2.1 计算机网络安全的含义..............................................................错误！未定义书签。 2.2 网络信息安全的主要威胁.............................................................8

2.2.1计算机病毒的侵袭...................................................................................8 2.2.2黑客侵袭...................................................................................................8 2.2.3拒绝服务攻击............................................................................................8 2.2.4信息泄密.......................................................................................................8 2.2.5信息被篡改............,.......................................................................................8 2.2.6传输非法信息流..............................................................................................8 2.2.7网络资源的错误使用.....................................................................................8 2.2.8非法使用网络资源.........................................................................................8 2.2.9环境影响.........................................................................................................9 2.2.10人为安全因素...............................................................................................9

2.3 计算机网络中的安全缺陷及产生原因..........................................错误！未定义书签。 2.4 影响计算机网络安全的因素............................................................9

第三章计算机网络安全防范策略...................................................错误！未定义书签。

3.1 防火墙技术............................................................................................错误！未定义书签。 3.2 数据加密与用户授权访问控制技术...................................................13 3.3 入侵检测技术.........................................................................................14

3.4 防病毒技术.................................................................................................错误！未定义书签。

3.5 安全管理队伍的建设................................................................................18

第四章防火墙技术................................................................................错误！未定义书签。

4.1 防火墙的定义.............................................................................................错误！未定义书签。

4.2 防火墙的功能.............................................................................................20

4.2.1防火墙是网络安全的屏障................................................................................20 4.2.2防火墙的种类.....................................................................................................21

4.3 防火墙的技术原理.....................................................................................23

4.3.1 包过滤型............................................................................................................24

4.3.2 网络地址转换—NAT.............................................................................................24 4.3.3 应用代理型防火墙.................................................................................................25 4.3.4 状态检测型...............................................................................................................25

4.4 防火墙的不足.........................................................................................................25 4.5 防火墙的典型配置................................................................................................26

4.5.1、双宿主机网关（Dual Homed Gateway） ..............................................................26 4.5.2、屏蔽主机网关（Screened Host Gateway）............................................................26 4.5.3、屏蔽子网（Screened Subnet）................................................................................26

4.6 各种防火墙体系的优缺点...............................................................................27

4.6.1双重宿主主机体系结构...............................................................................................27

4.6.2被屏蔽主机体系结构.....................................................................................................27

4.6.3被屏蔽子网体系结构.....................................................................................................27

4.7 常见攻击方式及应对策略..............................................................................27

4.7 .1常见攻击方式........................................................................................................27

4.7.2 应对策略.................................................................................................................28

4.8 防火墙的发展历程..........................................................................................29 4.8.1基于路由器的防火墙.............................................................................................29

4.8.2 用户化的防火墙工具套....................................................................................29 4.83 建立在通用操作系统上的防火墙.....................................................................29 4.8.4. 第四代防火墙......................................................................................................30

4.9 防火墙的发展趋势..........................................................................................32

4.9.1.优良的性能 ................................................................................................................ 32

4.9.2. 可扩展的结构和功能 .............................................................................................. 32 4.9.3. 简化的安装与管理...................................................................................................32 4.9.4. 主动过滤................................................................................................................. 33 4.9.5. 防病毒与防黑客 ................................................................................................... 33

4.10防火墙的反战前景以及技术方向................................................................33

4.11防火墙的应用..........................................................................................34

4.11.1个人防火墙的应用.......................................................................................34 4.11.2防火墙技术在校园网中应用......................................................................38

结论.........................................................................................................49 致谢........................................................................................................41

参考文献................................................................................................42

第一章引言

1.1研究背景

随着互联网的普及和发展，尤其是Internet的广泛使用，使计算机应用更加广泛与深入。同时，我们不得不注意到，网络虽然功能强大，也有其脆弱易受到攻击的一面。据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全求平均每20秒钟就发生一起Internet计算机侵入事件[1]。在我国，每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时，对网络安全问题也决不能忽视。如何建立比较安全的网络体系，值得我们关注研究。研究目的

为了解决互联网时代个人网络安全的问题，近年来新兴了防火墙技术[2]。防火墙具有很强的实用性和针对性，它为个人上网用户提供了完整的网络安全解决方案，可以有效地控制个人电脑用户信息在互联网上的收发。用户可以根据自己的需要，通过设定一些参数，从而达到控制本机与互联网之间的信息交流阻止恶性信息对本机的攻击，比如ICMPnood攻击、聊天室炸弹、木马信息破译并修改邮件密码等等。而且防火墙能够实时记录其它系统试图对本机系统的访问，使计算机在连接到互联网的时候避免受到网络攻击和资料泄漏的安全威胁。防火墙可以保护人们在网上浏览时免受黑客的攻击，实时防范网络黑客的侵袭，还可以根据自己的需要创建防火墙规则，控制互联网到PC以及PC到互联网的所有连接，并屏蔽入侵企图。防火可以有效地阻截各种恶意攻击、保护信息的安全;信息泄漏拦截保证安全地浏览网页、遏制邮件病毒的蔓延;邮件内容检测可以实时监视邮件系统，阻挡一切针对硬盘的恶意活动。

个人防火墙就是在单机Windows系统上，采取一些安全防护措施，使得本机的息得到一定的保护。个人防火墙是面向单机操作系统的一种小型安全防护软件，按一定的规则对TCP，UDP，ICMP和IGMP等报文进行过滤，对网络的信息流和系统进程进行监控，防止一些恶意的攻击。目前市场上大多数的防火墙产品仅仅是网关的，虽然它们的功能相当强大，但由于它们基于下述的假设:内部网是安全可靠的，所有的威胁都来自网外。因此，他们防外不防内，难以实现对企业内部局域网内主之间的安全通信，也不能很好的解决每一个拨号上网

用户所在主机的安全问题，而多数个人上网之时，并没有置身于得到防护的安全网络内部。个人上网用户多使用Windows操作系统，而Windows操作系统，特别是WindowsXP系统，本身的安全性就不高。各种Windows漏洞不断被公布，对主机的攻击也越来越多。一般都是利用操作系统设计的安全漏洞和通信协议的安全漏洞来实现攻击。如假冒IP包对通信双方进行欺骗:对主机大量发送正数据包[3]进行轰炸攻击，使之际崩溃;以及蓝屏攻击等。因此，为了保护主机的安全通信，研制有效的个人防火墙技术很有必要。

所谓的防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合

[ 1 ]

。它可通过监测、限制、更改跨越防火墙的数据流,尽

可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet 之间的任何活动, 保证了内部网络的安全。一个高效可靠的防火墙必须具有以下典型的特性:

1 从里到外和从外到里的所有通信都必须通过防火墙； 2 只有本地安全策略授权的通信才允许通过； 3 防火墙本身是免疫的,不会被穿透的。

防火墙的基本功能有:过滤进出网络的数据；管理进出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击进行检测和报警

1.2论文结构

在论文中接下来的几章里，将会有下列安排:

第二章，分析研究网络安全问题，网络安全面临的主要威胁，影响网络安全的因素，及保护网络安全的关键技术。

第三章，介绍防火墙的相关技术，如防火墙的原理、功能、包过滤技术等;。第四章，以H3CH3C的F100防火墙为例，介绍防火墙配置方法。第五章，系统阐述防火墙发展趋势。

第二章网络安全概述

2.1计算机网络安全的含义

计算机网络安全的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的认识和要求也就不同。例如从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。

从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。

【2】

2.2网络安全面临的主要威胁

网络中的主机可能会受到非法入侵者的攻击，网络中的敏感数据有可能泄露或被修改，从内部网向公共网传送的信息可能被他人窃听或篡改等等。以上这些影响网络安全的隐患都是网络系统自身存在的安全弱点和系统在使用管理过程中的失误或疏漏而导致的。影响网络安全的主要因素包括：

2.2.1计算机病毒的侵袭

当前，活性病毒达14000多种，计算机病毒侵入网络，对网络资源进行破坏，使网

络不能正常工作，甚至造成整个网络的瘫痪。

2.2.2黑客侵袭

即黑客非法进入网络非法使用网络资源。例如通过隐蔽通道进行非法活动；采用匿

名用户访问进行攻击；通过网络监听获取网上用户账号和密码；非法获取网上传输的数据；突破防火墙等。

2.2.3拒绝服务攻击

例如“点在邮件炸弹”，它的表现形式是用户在很短的时间内收到大量无用的电子

邮件，从而影响正常业务的运行。严重时会使系统关机，网络瘫痪。

具体讲，网络系统面临的安全威胁主要有如下表现：身份窃取、非授权访问、数据

窃取、拒绝服务、病毒与恶意攻击、冒充合法用户„„等。

2.2.4信息泄密

主要表现为网络上的信息被窃听，这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。

2.2.5信息被篡改

这是纯粹的信息破坏，这样的网络侵犯被称为积极侵犯者。积极侵犯者截取网上的信息包，并对之进行更改使之失效，或者故意添加一些有利于自已的信息，起到信息误导的作用，其破坏作用最大。

2.2.6传输非法信息流

只允许用户同其他用户进行特定类型的通信，但禁止其它类型的通信，如允许电子邮件传输而禁止文件传送。

2.2.7网络资源的错误使用

如不合理的资源访问控制，一些资源有可能被偶然或故意地破坏。

2.2.8非法使用网络资源

非法用户登录进入系统使用网络资源，造成资源的消耗，损害了合法用户的利益。

2.2.9环境影响

自然环境和社会环境对计算机网络都会产生极大的不良影响。如恶劣的天气、灾害、事故会对网络造成损害和影响。

2.2.10人为安全因素

除了技术层面上的原因外，人为的因素也构成了目前较为突出的安全因素，无论系统的功能是多么强大或者配备了多少安全设施，如果管理人员不按规定正确地使用，甚至人为泄露系统的关键信息，则其造成的安全后果是难以估量的。这主要表现在管理措施不完善，安全意识淡薄，管理人员的误操作等。

2.3 计算机网络中的安全缺陷及原因

2.3.1 TCP/IP的脆弱性

因特网的基石是TCP/IP协议【3】，不幸的是该协议对于网络的安全性考虑得并不多。并且，由于TCP/IP协议是公布于众的，如果人们对TCP/IP很熟悉，就可以利用它的安全缺陷来实施网络攻击。

2.3.2网络结构的不安全性

因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时，通常情况下它们之间互相传送的数据流要经过很多机器重重转发，如果攻击者利用一台处于用户的数据流传输路径上的主机，他就可以劫持用户的数据包。

2.3.3易被窃听

由于因特网上大多数数据流都没有加密，因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。

2.3.4缺乏安全意识

虽然网络中设置了许多安全保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证，进行直接的PPP连接从而避开了防火墙的保护。

2.4 影响计算机网络安全的因素

资源共享是计算机网络应用的主要目的，但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着互联网需求的日益增长，外部服务请求不可能做到完全隔离，攻击者利用服务请求的机会很容易获取网络数据包。

网上的任何一个用户很方便访问互联网上的信息资源，从而很容易获取到一个企业、单位以及个人的敏感性信息。

系统的漏洞

网络操作系统是网络协议和网络服务得以实现的最终载体之一，它不仅负责网络硬件设备的接口封装，同时还提供网络通信所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性，决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。

网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下，还可以提供较好的安全性。不合理的网络设计则会成为网络的安全威胁。

就是人们常见的黑客攻击及网络病毒，这是最难防范的网络安全威胁。随着电脑教育的大众化，这类攻击也是越来越多，影响越来越大。

第三章计算机网络安全防范措施

计算机网络安全从技术上来说，主要由防病毒、防火墙、入侵检测等多个安全组件组成，任何一个单独的组件都无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有：防火墙技术、数据加密技术、入侵检测技术、防病毒技术等，以下就此几项技术分别进行分析。

3.1防火墙技术

防火墙

防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦着火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。在电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

防火墙（FireWall）成为近年来新兴的保护计算机网络安全技术性措施。它是一种隔离控制技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。作为Internet网的安全性保护软件，FireWall已经得到广泛的应用。通常企业为了维护内部的信息系统安全，在企业网和Internet间设立FireWall软件。企业信息系统对于来自Internet的访问，采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问，也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户，则可以通过设置使用FireWall过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息，那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。这对于路由器来说，就要不仅分析IP层的信息，而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。FireWall一般安装在路由器上以保护一个子网，也可以安装在一台主机上，保护这台主机不受侵犯。为了让大家更好地使用防火墙，我们从反面列举4个有代表性的失败案例。

例1：未制定完整的企业安全策略

网络环境：某中型企业购买了适合自己网络特点的防火墙，刚投入使用后，发现以前局域网中肆虐横行的蠕虫病毒不见了，企业网站遭受拒绝服务攻击的次数也大大减少了，为此，公司领导特意表扬了负责防火墙安装实施的信息部。

该企业网络环境如图2.1所示：

图2.1

该企业内部网络的核心交换机是带路由模块的三层交换机，出口通过路由器和ISP连接。内部网划分为5个VLAN，VLAN 1、VLAN 2和VLAN 3分配给不同的部门使用，不同的VLAN之间根据部门级别设置访问权限；VLAN 4分配给交换机出口地址和路由器使用；VLAN 5分配给公共服务器使用。在没有加入防火墙之前，各个VLAN中的PC机能够通过交换机和路由器不受限制地访问Internet。加入防火墙后，给防火墙分配一个VLAN 4中的空闲IP地址，并把网关指向路由器；将VLAN 5接入到防火墙的一个网口上。这样，防火墙就把整个网络分为3个区域: 内部网、公共服务器区和外部网，三者之间的通信受到防火墙安全规则的限制。

问题描述：防火墙投入运行后，实施了一套较为严格的安全规则，导致公司员工无法使用QQ聊天软件，于是没过多久就有员工自己拨号上网，导致感染了特洛依木马和蠕虫等病毒，并立刻在公司内部局域网中传播开来，造成内部网大面积瘫痪。

问题分析：我们知道，防火墙作为一种保护网络安全的设备，必须部署在受保护网络的边界处，只有这样防火墙才能控制所有出入网络的数据通信，达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一，有很多出入口，那么只部署一台防火墙是不够的。在本案例中，防火墙投入使用后，没有禁止私自拨号上网行为，使得许多PC机通过电话线和Internet相连，导致网络边界不惟一，入侵者可以通过攻击这些PC机然后进一步攻击内部网络，从而成功地避开了防火墙。

解决办法：根据自己企业网的特点，制定一整套安全策略，并彻底地贯彻实施。比如说，制定一套安全管理规章制度，严禁员工私自拨号上网; 同时封掉拨号上网的电话号码，并购买检测拨号上网的软件，这样从管理和技术上杜绝出现网络边界不惟一的情况发生。另外，考虑到企业员工的需求，可以在防火墙上添加按照时间段生效的安全规则，在非工作时间打开QQ使用的TCP/UDP端口，使得企业员工可以在工余时间使用QQ聊天软件。

例2：未考虑与其他安全产品的配合使用

问题描述：某公司购买了防火墙后，紧接着又购买了漏洞扫描和IDS（入侵检测系统）产品。当系统管理员利用IDS发现入侵行为后，必须每次都要手工调整防火墙安全策略，使管理员工作量剧增，而且经常调整安全策略，也给整个网络带来不良影响。

问题分析：选购防火墙时未充分考虑到与其他安全产品如IDS的联动功能，导致不能最大程度地发挥安全系统的作用。

解决办法：购买防火墙前应查看企业网是否安装了漏洞扫描或IDS等其他安全产品，以

及具体产品名称和型号，然后确定所要购买的防火墙是否有联动功能（即是否支持其他安全产品，尤其是IDS产品），支持的是哪些品牌和型号的产品，是否与已有的安全产品名称相符，如果不符，最好不要选用，而选择能同已有安全产品联动的防火墙。这样，当IDS发现入侵行为后，在通知管理员的同时发送消息给防火墙，由防火墙自动添加相关规则，把入侵者拒之门外。

例3：未经常维护升级防火墙

问题描述：某政府机构购置防火墙后已安全运行一年多，由于该机构网络结构一直很稳定，没有什么变化，各种应用也运行稳定，因此管理员逐渐放松了对防火墙的管理，只要网络一直保持畅通即可，不再关心防火墙的规则是否需要调整，软件是否需要升级。而且由于该机构处于政府专网内，与Internet物理隔离，防火墙无法实现在线升级。因此该机构的防火墙软件版本一直还是购买时的旧版本，虽然管理员一直都收到防火墙厂家通过电子邮件发来的软件升级包，但从未手工升级过。在一次全球范围的蠕虫病毒迅速蔓延事件中，政府专网也受到蠕虫病毒的感染，该机构防火墙因为没有及时升级，无法抵御这种蠕虫病毒的攻击，造成整个机构的内部网大面积受感染，网络陷于瘫痪之中。

问题分析：安全与入侵永远是一对矛盾。防火墙软件作为一种安全工具，必须不断地升级与更新才能应付不断发展的入侵手段，过时的防护盾牌是无法抵挡最先进的长矛的。作为安全管理员来说，应当时刻留心厂家发布的升级包，及时给防火墙打上最新的补丁。

解决办法：及时维护防火墙，当本机构发生人员变动、网络调整和应用变化时，要及时调整防火墙的安全规则，及时升级防火墙。

从以上三个案例我们可以得出一些结论：防火墙只是保证安全的一种技术手段，要想真正实现安全，安全策略是核心问题。保护网络安全不仅仅是防火墙一种产品，只有将多种安全产品无缝地结合起来，充分利用它们各自的优点，才能最大限度地保证网络安全。而保护网络安全是动态的过程，防火墙需要积极地维护和升级。

3.2数据加密与用户授权访问控制技术

数据加密是网络系统中一种比较有效的数据保护方式，目的是为了防止网络数据的篡改、泄露和破坏。通常数据加密采用链路加密、端端加密、节点加密和混合加密等方式。链路加密是对网络中两个相邻节点之间传输的数据进行加密保密，所有传输数据均以密码的形式在链路中传送，任意一对节点之间的链路上的加密是独立实现的，可以采用不同的密码。

链路加密的算法一般采用序列密码，可以对报文和报头同时进行加密，所以链路加密掩盖了被传输数据源节点和目标节点的信息。链路加密能够防止搭线窃听，但由于在中间节点暴露了信息的内容，在互联网中链路加密是不能实现通信安全的，链路加密通常是用硬件实现，但也可以用软件来实现。端端加密是对源节点用户到目标节点用户的数据进行保护，允许源节点到目标节点的数据始终以密文的形式存在，所以端端加密方式更加可靠、易于设计和实现，端端加密通常是用软件实现，但也可以用硬件来实现。节点加密是对源节点到目标节点的链路提供保护，节点在加密方式上与链路加密类似，区别是在节点加密方式中，网络节点先把收到的数据进行解密，然后采用另一种不同的密钥进行加密；节点加密要求报头和路由信息用明文的形式传输，因此这种方式很难防止攻击者分析通信业务。混合加密是采用链路加密和端端加密相结合的混合加密方式，可以有效的保护报头中的敏感数据，获得更高的安全性。

网络的存取控制就是对网络上的用户进行身份识别，防止非法用户进入系统，使数据泄密或破坏网络数据。常用的一是身份识别。身份识别是安全系统应具备的最基本功能。这是验证通信双方身份的有效手段，用户向其系统请求服务时，要出示自己的身份证明，例如输入ＵｓｅｒＩＤ和Ｐａｓｓｗｏｒｄ。而系统应具备查验用户身份证明的能力，对于用户的输入，能够明确判别该输入是否来自合法用户；二是数字签名。数字签名是采用电子形式的签名，可以用密码形式实现，安全性更高。数字签名方式可以用单密钥和双密钥体制。单密钥数字签名体制加密和解密使用的密码密钥不能公开。双密钥数字签名体制是两个用户登记公开密钥，作为对方验证签名的依据之一，用户双方都有自己的保密密钥，可以对发送的数据保密。三是存取权限控制。其基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法使用。四是灾难恢复策略。备份策略是网络系统最常用的灾难恢复策略，对于服务器上的数据，管理人员应经常备份。备份可以采用本机上备份，也可以采用网络备份。备份要经常进行，尽量远离服务器，在其他房间单独存放，以免由于盗窃、火灾等原因导致备份的数据丢失。

3.3 入侵检测技术

入侵检测系统(IntrusionDetectionSystem，IDS)是从多种计算机系统及网络系统中收集信息，再通过此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门，它能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击：在入侵攻击过程中，能减少入侵攻击所造成的损失；在被入侵攻击后，收集入

侵攻击的相关信息，作为防范系统的知识，添加入策略集中，增强系统的防范能力，避免系统再次受到同类型的入侵。

入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术的功能主要体现在以下方面：

1) 分析用户及系统活动，查找非法用户和合法用户的越权操作； 2) 检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞； 3) 识别反映已知进攻的活动模式并向相关人上报警； 4) 对异常行为模式的统计分析；

5) 能够实时地对检测到的入侵行为进行反应； 6) 评估重要系统和数据文件的完整性； 7) 可以发现新的攻击模式；入侵检测方法

方法有很多，如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。目前一些入侵检测系统在应用层入侵检测中已有实现

1.监视、分析用户及系统活动； 2.系统构造和弱点的审计；

3.识别反映已知进攻的活动模式并向相关人士报警； 4.异常行为模式的统计分析；

5.评估重要系统和数据文件的完整性；

6.操作系统的审计跟踪管理，并识别用户违反安全策略的行为。入侵检测技术同样存在问题

1.现有的入侵检测系统检测速度远小于网络传输速度, 导致误报率和漏报率 2.入侵检测产品和其它网络安全产品结合问题, 即期间的信息交换,共同协作发现攻击并阻击攻击

3. 基于网络的入侵检测系统对加密的数据流及交换网络下的数据流不能进行检测, 并且其本身构建易受攻击

4. 入侵检测系统体系结构问题

【6】

3.4 防病毒技术

计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和

破坏。实际上这是一种动态判定技术，即一种行为规则判定技术。也就是说，计算机病毒的预防是采用对病毒的规则进行分类处理，而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说，计算机病毒的预防是通过阻止计算机病毒进入系统内存

或阻止计算机病毒对磁盘的操作，尤其是写操作。

预防病毒技术包括：磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。例如，大家所熟悉的防病毒卡，其主要功能是对磁盘提供写保护，监视在计算机和驱动器之间产生的信号。以及可能造成危害的写命令，并且判断磁盘当前所处的状态：哪一个磁盘将要进行写操作，是否正在进行写操作，磁盘是否处于写保护等，来确定病毒是否将要发作。计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。目前，对已知病毒的预防可以采用特征判定技术或静态判定技术，而对未知病毒的预防则是一种行为规则的判定技术，即动态判定技术。一、计算机病毒的预防技术

计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。实际上这是一种动态判定技术，即一种行为规则判定技术。也就是说，计算机病毒的预防是采用对病毒的规则进行分类处理，而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说，计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作，尤其是写操作。预防病毒技术包括：磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。例如，大家所熟悉的防病毒卡，其主要功能是对磁盘提供写保护，监视在计算机和驱动器之间产生的信号。以及可能造成危害的写命令，并且判断磁盘当前所处的状态：哪一个磁盘将要进行写操作，是否正在进行写操作，磁盘是否处于写保护等，来确定病毒是否将要发作。计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。目前，对已知病毒的预防可以采用特征判定技术或静态判定技术，而对未知病毒的预防则是一种行为规则的判定技术，即动态判定技术。二、检测病毒技术

计算机病毒的检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。它有两种：一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化，在特征分类的基础上建立的病毒检测技术。另一种是不针对具体病毒程序的自身校验技术。即对某个文件或数据段进行检验和计算并保存其结果，以后定期或不定期地以保存的结果对该文件或数据段进行检验，若出现差异，即表示该文件或数据段完整性已遭到破坏，感染上了病毒，从而检测到病毒的存在。三、清除病毒技术

计算机病毒的清除技术是计算机病毒检测技术发展的必然结果，是计算机病毒传染程序的一种逆过程。目前，清除病毒大都是在某种病毒出现后，通过对其进行分析研究而研制出来的具有相应解毒功能的软件。这类软件技术发展往往是被动的，带有滞后性。而且由于计算机软件所要求的精确性，解毒软件有其局限性，对有些变种病毒的清除无能为力。目前市场上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPAV，及我国的LANClear和Kill89等产品均采用上述三种防病毒技术

1、基于网络目录和文件安全性方法

以NetWare为例，在NetWare中，提供了目录和文件访问权限与属性两种安全性措施。“访问权限有：防问控制权、建立权、删除权、文件扫描权、修改权、读权、写权和管理权。属性有：需归档、拷贝禁止、删除禁止、仅执行、隐含、索引、清洗、读审记、写审记、只读、读写、改名禁止、可共享、系统和交易。属性优先于访问权限。根据用户对目录和文件

的操作能力，分配不同的访问权限和属性。例如，对于公用目录中的系统文件和工具软件，应该只设置只读属性，系统程序所在的目录不要授予修改权和管理权。这样，病毒就无法对系统程序实施感染和寄生，其它用户也就不会感染病毒。由此可见，网络上公用目录或共享目录的安全性措施，对于防止病毒在网上传播起到积极作用。至于网络用户的私人目录，由于其限于个别使用，病毒很难传播给其它用户。采用基于网络目录和文件安全性的方法对防止病毒起到了一定作用，但是这种方法毕竟是基于网络操作系统的安全性的设计，存在着局限性。现在市场上还没有一种能够完全抵御计算机病毒侵染的网络操作系统，从网络安全性措施角度来看，在网络上也是无法防止带毒文件的入侵。

2、采用工作站防病毒芯片

这种方法是将防病毒功能集成在一个芯片上，安装在网络工作站上，以便经常性地保护工作站及其通往服务器的路径。工作站是网络的门户，只要将这扇门户关好，就能有效地防止病毒的入侵。将工作站存取控制与病毒保护能力合二为一插在网卡的EPROM槽内，用户也可以免除许多繁琐的管理工作。 Trend Micro Devices公司解决的办法是基于网络上每个工作站都要求安装网络接口卡网络接口卡上有一个Boot Rom芯片，因为多数网卡的Boot Rom并没有充分利用，都会剩余一些使用空间，所以如果安全程序够小的话，就可以把它安装在网络的Boot Rom的剩余空间内，而不必另插一块芯片。市场上Chipway防病毒芯片就是采用了这种网络防病毒技术。在工作站DOS引导过程中，ROMBIOS，Extended BIOS装入后，Partition Table装入之前，Chipway获得控制权，这样可以防止引导型病毒。Chipway的特点是：①不占主板插槽，避免了冲突；②遵循网络上国际标准，兼容性好；③具有他工作站防毒产品的优点。但目前，Chipway对防止网络上广为传播的文件型病毒能力还十分有限。

3、采用Station Lock网络防毒方法

Station Lock是著名防病毒产品开发商Trend Micro Devices公司的新一代网络防病毒产品。其防毒概念是建立在”病毒必须执行有限数量的程序之后，才会产生感染效力“的基础之上。例如，病毒是一个不具自我辨别能力的小程序，在病毒传染过程中至少必须拦截一个DOS中断请求，而且必须试图改变程序指针，以便让系统优先执行病毒程序从而获得系统控制权。引导型病毒必须使用系统的BIOS功能调用，文件型病毒必须将自己所有的程序代码拷贝到另一个系统执行文件时才能复制感染。混合型病毒和多形体病毒在实施感染之前也必须获取系统控制权，才能运行病毒体程序而实施感染。Station Lock就是通过这些特点，用间接方法观察，精确地预测病毒的攻击行为。其作用对象包括多型体病毒和未来型病毒。 Station Lock也能处理一些基本的网络安全性问题，例如存取控制、预放未授权拷贝以及在一个点对点网络环境下限制工作站资源相互存取等。Station Lock能根据病毒活动辩别可能的病毒攻击意图，并在它造成任何破坏之前予以拦截。由于Station Lock是在启动系统开始之前，就接管了工作站上的硬件和软件，所以病毒攻击Station Lock是很困难的。Station Lock是目前网络环境下防治病毒比较有效的方法。 4、基于服务器的防毒技术

服务器是网络的核心，一旦服务器被病毒感染，就会使服务器无法启动，整个网络陷于瘫痪，造成灾难性后果。目前基于服务器的防治病毒方法大都采用了NLM(NetWare Load Module)技术以NLM模块方式进行程序设计，以服务器为基础，提供实时扫描病毒能力。市场上的产品如Central Point公司的AntiVirus for Networks，Intel公司的LANdesk Virus

Protect以及南京威尔德电脑公司的Lanclear for NetWare等都是采用了以服务器为基础的防病毒技术。这些产品的目的都是保护服务器，使服务器不被感染。这样，病毒也就失去了传播途径，因而从根本上杜绝了病毒在网上蔓延。 (1)对服务器中所有文件扫描

这一方法是对服务器的所有文件进行集中检查看其是否带毒，若有带毒文件，则提供给网络管理员几种处理方法。允许用户清除病毒，或删除带毒文件，或更改带毒文件名成为不可执行文件名并隔离到一个特定的病毒文件目录中。 (2)实时在线扫描

网络防病毒技术必须保持全天24小时监控网络是否有带毒文件进入服务器。为了保证病毒监测实时性，通常采用多线索的设计方法，让检测程序作为一个随时可以激活的功能模块，且在NetWare运行环境中，不影响其它线索的运行。这往往是设计一个NLM最重要的部分，即多线索的调度。实时在线扫描能非常及时地追踪病毒的活动，及时告之网络管理员和工作站用户。 (3)扫描选择

该功能允许网络管理员定期检查服务器中是否带毒，例如可按每月、每星期、每天集中扫描一下网络服务器，这样就使网络用户拥有极大的操作选择余地。 (4)自动报告功能及病毒存档

当网络用户将带毒文件有意或无意地拷入服务器中时，网络防病毒系统必须立即通知网络管理员，或涉嫌病毒的使用者，同时自己记入病毒档案。病毒档案一般包括：病毒类型、病毒名称、带毒文件所存的目录及工作站标识等，另外，记录对病毒文件处理方法。 (5)工作站扫描

基于服务器的防病毒软件不能保护本地工作站的硬盘，有效的方法是在服务器上安装防毒软件，同时在上网的工作站内存中调入一个常驻扫毒程序，实时检测在工作站中运行的程序。如LANdesk Virus Protect采用Lpscan，而LANClear for NetWare采用world程序等。 (6)对用户开放的病毒特征接口

大家知道病毒及其变种层出不穷。据有关资料报道，截止1994年2月25日，全世界流传的MSDOS病毒达2700多种。如何使防病毒系统能对付不断出现的新病毒？这要求开发商能够使自己的产品具有自动升级功能，也就是真正交给网络用户防治病毒的一把金钥匙。其典型的做法是开放病毒特征数据库。用户随时将遇到的带毒文件，经过病毒特征分析程序，自动将病毒特征加入特征库，以随时增强抗毒能力。当然这一工作难度极大，需要不懈的努力。在上述四种网络防毒技术中，Station Lock是一种针对病毒行为的防治方法，StationLock目前已能提供Intel以太网络接口卡支持，而且未来还将支持各种普及型的以太令牌环(Token-Ring)网络接口卡。基于服务器的防治病毒方法，表现在可以集中式扫毒，能实现实时扫描功能，软件升级方便。特别是当连网的机器很多时，利用这种方法比为每台工作站都安装防病毒产品要节省成本。其代表性的产品有LANdesk、LANClear for NetWare等

3.5 安全管理队伍的建设

在计算机网络系统中，绝对的安全是不存在的，制定健全的安全管理体制是计算机网络安全的重要保证，只有通过网络管理人员与使用人员的共同努力，运用一切可以使用的工具和技术，尽一切可能去控制、减小一切非法的行为，尽可能地把不安全的因素降到最低。同时，要不断地加强计算机信息网络的安全规范化管理力度，大力加强安全技术建设，强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略，为了更好地进行安全管理工作，应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力，才能使计算机网络的安全可靠得到保障，从而使广大网络用户的利益得到保障。

第四章防火墙技术

4.1防火墙的定义

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

防火墙是一种非常有效的网络安全模型。主要用来保护安全网络免受来自不安全网络的入侵，比如安全网络可能是企业的内部网络，不安全网络是因特网。但防火墙不只是用于因特网，也用于Intranet中的部门网络之间。在逻辑上，防火墙是过滤器限制器和分析器；在物理上，防火墙的实现有多种方式。通常，防火墙是一组硬件设备－路由器，主计算机，或者是路由器，计算机和配有的软件的网络的组合。不同的防火墙配置的方法也不同，这取决于安全策略，预算以及全面规划等。

防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少，例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。

防火墙，英语为firewall，《英汉证券投资词典》的解释为：金融机构内部将银行业务与证券业务严格区分开来的法律屏障，旨在防止可能出现的内幕消息共享等不公平交易出现。使用防火墙比喻不要引火烧身。

当然，既然打算由浅入深的来了解，就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦著火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。在电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，顾名思义，是一种隔离设备。防火墙是一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域之间通信流的唯一通道，能根据用户有关的安全策略控制进出网络的访问行为。从

专业角度讲，防火墙是位于两个或多个网络间，实施网络访问控制的组件集合。从用户角度讲，防火墙就是被放置在用户计算机与外网之间的防御体系，网络发往用户计算机的所有数据都要经过其判断处理，才决定能否将数据交给计算机，一旦发现数据异常或有害，防火墙就会将数据拦截，从而实现对计算机的保护。防火墙是网络安全策略的组成部分，它只是一个保护装置，通过监测和控制网络间的信息交换和访问行为来实现对网络安全的有效管理，其主要目的就是保护内部网络的安全。

4.2防火墙功能

4.2.1 防火墙是网络安全的屏障

防火墙是一个保护装置，它是一个或一组网络设备装置。通常是指运行特别编写或更改过操作系统的计算机，它的目的就是保护内部网的访问安全。防火墙可以安装在两个组织结构的内部网与外部的Internet之间，同时在多个组织结构的内部网和Internet之间也会起到同样的保护作用。它主要的保护就是加强外部Internet对内部网的访问控制，它主要任务是允许特别的连接通过，也可以阻止其它不允许的连接。防火墙只是网络安全策略的一部分，它通过少数几个良好的监控位置来进行内部网与Internet的连接。防火墙的核心功能主要是包过滤。其中入侵检测，控管规则过滤，实时监控及电子邮件过滤这些功能都是基于封包过滤技术的。防火墙的主体功能归纳为以下几点：

(1)根据应用程序访问规则可对应用程序连网动作进行过滤 (2)对应用程序访问规则具有自学习功能。 (3)可实时监控，监视网络活动。

(4)具有日志，以记录网络访问动作的详细信息。 (5)被拦阻时能通过声音或闪烁图标给用户报警提示。

防火墙仅靠这些核心技术功能是远远不够的。核心技术是基础,必须在这个

基础之上加入辅助功能才能流畅的工作。而实现防火墙的核心功能是封包过滤。

4.2.2 防火墙的种类

（1）从软、硬件形式上分类如果从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。 ■ 软件防火墙

软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。

★ 硬件防火墙

这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是，由于此类防火墙采用的依然是别人的内核，因此依然会受到OS（操作系统）本身的安全性影响。

★ 芯片级防火墙

芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统），因此防火墙本身的漏洞比较少，不过价格相对比较高昂。

从防火墙的防范方式和侧重点的不同来看，防火墙可以分为很多类型，但是根据防火墙对内外来往数据处理方法，大致可将防火墙分为两大体系：包过滤防火墙和代理防火墙。

包过滤防火墙经历了两代：解析包包过滤进口出口 ●静态包过滤防火墙：静态包过滤防火墙采用的是一个都不放过的原则。它会检查所有通过信息包里的IP地址号，端口号及其它的包头信息，并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配，其中：如果信息包中存在一点与过滤规则不符合，那么这个信息包里所

有的信息都会被防火墙屏蔽掉，这个信息包就不会通过防火墙。相反的，如果每条规都和过滤规则相匹配，那么信息包就允许通过。静态包的过滤原理就是：将信息分成若干个小数据片（数据包），确认符合防火墙的包过滤规则后，把这些个小数据片按顺序发送，接收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。这种静态包过滤防火墙，对用户是透明的，它不需要用户的用户名和密码就可以登录，它的速度快，也易于维护。但由于用户的使用记录没有记载，如果有不怀好意的人进行攻击的话，我们即不能从访问记录中得到它的攻击记录，也无法得知它的来源。而一个单纯的包过滤的防火墙的防御能力是非常弱的，对于恶意的攻击者来说是攻破它是非常容易的。其中“信息包冲击”是攻击者最常用的攻击手段：主要是攻击者对包过滤防火墙发出一系列地址被替换成一连串顺序IP地址的信息包，一旦有一个包通过了防火墙，那么攻击者停止再发测试IP地址的信息包，用这个成功发送的地址来伪装他们所发出的对内部网有攻击性的信息。 ●动态包过滤防火墙：

静态包过滤防火墙的缺点，动态包过滤防火墙都可以避免。它采用的规则是发展为“包状态检测技术”的动态设置包过滤规则。它可以根据需要动态的在过滤原则中增加或更新条目，在这点上静态防火墙是比不上它的，它主要对建立的每一个连接都进行跟踪。在这里我们了解的是代理防火墙。代理服务器型防火墙与包过滤防火墙不同之点在于，它的内外网之间不存在直接的连接，一般由两部分组成：服务器端程序和客户端程序，其中客户端程序通过中间节点与提供服务的服务器连接。代理服务器型防火墙提供了日志和审记服务。

代理防火墙也经历了两代： ● 代理（应用层网关）防火墙：

这种防火墙被网络安全专家认为是最安全的防火墙，主要是因为从内部发出的数据包经过这样的防火墙处理后，就像是源于防火墙外部网卡一样，可以达到隐藏内部网结构的作用。由于内外网的计算机对话机会根本没有，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。 ●自适应代理防火墙：

自适应代理技术是商业应用防火墙中实现的一种革命性技术。它结合了代理类型防火墙和包过滤防火墙的优点，即保证了安全性又保持了高速度，同时它的性能也在代理防火墙的十倍以上，在一般的情况下，用户更倾向于这种防火墙。

我们把两种防火墙的优缺点的对比用下列图表的形式表示如下：

优点缺点包过滤防火墙价格较低性能开销小，处理速度较快定义复杂，容易出现速度较慢，不太适用于高速网之间的应用代理防火墙内置了专门为提高安全性而编制的Proxy应用程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理不能理解特定服务的上下文环境，相应控制只能在高层由代理服务和应用层网关来完成 4.3防火墙的技术原理

网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

目前的防火墙产品只要有堡垒主机、包过滤路由器、应用层关网以及电路层网关、屏蔽主机防火墙、双宿主机等类型。

虽然防火墙目前保护网络免费遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其他途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。

自从1986年美国Digital公司在internet上安装了全球第一个商用防火墙系统，提出了防火墙概念后，防火墙技术得到飞速发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。

防火墙处于5层网络安全体系中的最底层，属于网络安全技术范畴。在这一层上，基业对安全系统提出的问题是：所有的IP是否都能访问到企业的内部网络系统？如果答案是“是”，则说明企业内部网还没与偶在网络层采取相应的防范措施。

作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。虽然那个理论上看，防火墙处于网络安全的最底层，负责网络间的安全认证与传输，但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙茶农正朝着数据安全与用户认证、防止病毒与黑客入侵等方向发展。

根据防火墙所采用不同技术，可以将它分为四种类型：包过滤型、网络地址转换－NAT、应用代理型、状态检测型。

4.3.1包过滤型

包过滤型防火墙工作在ＯＳＩ参考模型的网络层和传输层，它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过，只有满足过滤条件的数据包才被转发到相应目的地，其余数据包则被数据流阻挡丢弃。

包过滤的优点是：一个过滤路由器能协助保护整个网络；数据包过滤对用户透明；过滤路由器速度快、效率高。缺点：只能根据数据包的来源、目标和端口等网络信息进行判断，不能彻底防止地址欺骗；一些应用协议不适合于数据包过滤；正常的数据包过滤路由器无法执行某些安全策略；不能防范黑客攻击，不支持应用层协议，不能处理新的安全威胁。

4.3.2网络地址转换－ＮＡＴ

网络地址转换是一种用于把ＩＰ地址转换成临时的外部的、注册的ＩＰ地址标准，用户必须要为网络中每一台机器取得注册的ＩＰ地址。在内部网络通过安全网卡访问外部网络时，系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的ＩＰ地址和端口来请求访问。防火墙根据预先定义好的映射规则来判断这个访问是否安全和接受与否。网络地址转换过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

4.3.3应用代理型防火墙

应用代理型防火墙是工作在ＯＳＩ的最高层即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。应用代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。

4.3.4状态检测型

状态检测型防火墙采用的一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。这种动态连接表中的记录可以是以前的通信信息，也可以是其他相关应用程序的信息，因此，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性。

状态检测型防火墙与前几种防火墙技术相比，它具有高安全性、高效性、可伸缩性和扩展性以及应用范围广的优点。缺点是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞，特别是在同时有许多种连接激活的时候，或者是有大量的过滤网络通信的规则存在时。

4.4 防火墙的不足

防火墙对网络的威胁进行极好的防范，但是，它们不是安全解决方按的全部。某些威胁是防火墙力所不及的。

防火墙不能防止内部的攻击，因为它只提供了对网络边缘的防卫。内部人员可能滥用被给予的访问权，从而导致事故。防火墙也不能防止像社会工程攻击――一种很常用的入侵手段，就是靠欺骗获得一些可以破坏安全的信息，如网络的口令。另外，一些用来传送数据的电话线很有可能被用来入侵内部网络。

另一个防止的是怀有恶意的代码：病毒和特洛伊木马。虽然现在有些防火墙可以检查病毒和特洛伊木马，但这些防火墙只能阻挡已知的恶意程序，这就可能让新的病毒和木马溜进来。而且，这些恶意程序不仅仅来自网络，也可能来自软盘。

4.5 防火墙的典型配置

目前比较流行的有以下三种防火墙配置方案。

4.5.1、双宿主机网关（Dual Homed Gateway）

这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。

堡垒主机上运行着防火墙软件（通常是代理服务器），可以转发应用程序，提供服务等。双宿主机网关有一个致命弱点，

一旦入侵者侵入堡垒主机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有保护的内部网络（如图1）。

4.5.2、屏蔽主机网关（Screened Host Gateway）

屏蔽主机网关易于实现，安全性好，应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡，与内部网络连接（如图2）。

通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从Internet惟一可以访问的主机，

确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机，可以受控制地通过屏蔽主机和路由器访问Internet。

双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器（如图3）。

双宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。

4.5.3、屏蔽子网（Screened Subnet）

这种方法是在Intranet和Internet之间建立一个被隔离的子网，用两个包过滤路由器将这一子网分别与Intranet和Internet分开。两个包过滤路由器放在子网的两端，在子网内构成一个“缓冲地带”，两个路由器一个控制Intranet 数据流，另一个控制Internet数据流，Intranet和Internet均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机，为内部网络和外部网络的互相访问提供代理服务，

但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器，像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内，这样无论是外部用户，还是内部用户都可访问。

这种结构的防火墙安全性能高，具有很强的抗攻击能力，但需要的设备多，造价高。当然，防火墙本身也有其局限性，如不能防范绕过防火墙的入侵，像一般的防火墙不能防止受到病毒感染的软件或文件的传输；难以避免来自内部的攻击等等。总之，防火墙只是一种整体安全防范策略的一部分，仅有防火墙是不够的，

安全策略还必须包括全面的安全准则，即网络访问、本地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全策略。

4.6各种防火墙体系结构的优缺点

4.6.1双重宿主主机体系结构

它提供来自与多个网络相连的主机的服务(但是路由关闭)，它围绕双重宿主主计算机构筑。该计算机至少有2个网络接口，位于因特网与内部网之间，并被连接到因特网和内部网。2个网络都可以与双重宿主主机通信，但相互之间不行，它们之间的IP通信被完全禁止。双重宿主主机仅能通过代理或用户直接登录到双重宿主主机来提供服务。它能提供级别非常高的控制，并保证内部网上没有外部的IP包。但这种体系结构中用户访问因特网的速度会较慢，也会因为双重宿主主机的被侵袭而失效。

4.6.2被屏蔽主机体系结构

使用1个单独的路由器提供来自仅仅与内部网络相连的主机的服务。屏蔽路由器位于因特网与内部网之间，提供数据包过滤功能。堡垒主机是1个高度安全的计算机系统，通常因为它暴露于因特网之下，作为联结内部网络用户的桥梁，易受到侵袭损害。这里它位于内部网上，数据包过滤规则设置它为因特网上唯一能连接到内部网络上的主机系统。它也可以开放一些连接(由站点安全策略决定)到外部世界。在屏蔽路由器中，数据包过滤配置可以按下列之一执行：①允许其他内部主机，为了某些服务而开放到因特网上的主机连接(允许那些经由数

据包过滤的服务)。②不允许来自内部主机的所有连接(强迫这些主机经由堡垒主机使用代理服务)。这种体系结构通过数据包过滤来提供安全，而保卫路由器比保卫主机较易实现，因为它提供了非常有限的服务组，因此这种体系结构提供了比双重宿主主机体系结构更好的安全性和可用性。弊端是，若是侵袭者设法入侵堡垒主机，则在堡垒主机与其他内部主机之间无任何保护网络安全的东西存在；路由器同样可能出现单点失效，若被损害，则整个网络对侵袭者开放。

4.6.3被屏蔽子网体系结构

考虑到堡垒主机是内部网上最易被侵袭的机器(因为它可被因特网上用户访问)，我们添加额外的安全层到被屏蔽主机体系结构中，将堡垒主机放在额外的安全层，构成了这种体系结构。这种在被保护的网络和外部网之间增加的网络，为系统提供了安全的附加层，称之为周边网。这种体系结构有2个屏蔽路由器，每1个都连接到周边网。1个位于周边网与内部网之间，称为内部路由器，另1个位于周边网与外部网之间，称之为外部路由器。堡垒主机位于周边网上。侵袭者若想侵袭内部网络，必须通过2个路由器，即使他侵入了堡垒主机，仍无法进入内部网。因此这种结构没有损害内部网络的单一易受侵袭点。

4.7常见攻击方式以及应对策略

4.7 .1常见攻击方式

4.7.1 .1 病毒

尽管某些防火墙产品提供了在数据包通过时进行病毒扫描的功能，但仍然很难将所有的病毒（或特洛伊木马程序）阻止在网络外面，黑客很容易欺骗用户下载一个程序从而让恶意代码进入内部网。

策略：设定安全等级，严格阻止系统在未经安全检测的情况下执行下载程序；或者通过常用的基于主机的安全方法来保护网络。 4.7.1.2 口令字

对口令字的攻击方式有两种：穷举和嗅探。穷举针对来自外部网络的攻击，来猜测防火墙管理的口令字。嗅探针对内部网络的攻击，通过监测网络获取主机给防火墙的口令字。策略：设计主机与防火墙通过单独接口通信（即专用服务器端口）、采用一次性口令或禁止直接登录防火墙。 4.7.1.3 邮件

来自于邮件的攻击方式越来越突出，在这种攻击中，垃圾邮件制造者将一条消息复制成成千上万份，并按一个巨大的电子邮件地址清单发送这条信息，当不经意打开邮件时，恶意代码即可进入。

策略：打开防火墙上的过滤功能，在内网主机上采取相应阻止措施。

4.7.1.4 IP地址

黑客利用一个类似于内部网络的IP地址，以“逃过”服务器检测，从而进入内部网达到攻击的目的。

策略：通过打开内核rp_filter功能，丢弃所有来自网络外部但却有内部地址的数据包；同时将特定IP地址与MAC绑定，只有拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问。

4.7.2 应对策略

4.7.2.1 方案选择

市场上的防火墙大致有软件防火墙和硬件防火墙两大类。软件防火墙需运行在一台标准的主机设备上，依托网络在操作系统上实现防火墙的各种功能，因此也称“个人”防火墙，其功

能有限，基本上能满足单个用户。硬件防火墙是一个把硬件和软件都单独设计，并集成在一起，运行于自己专用的系统平台。由于硬件防火墙集合了软件方面，从功能上更为强大，目前已普遍使用。在制造上，硬件防火墙须同时设计硬件和软件两方面。国外厂家基本上是将软件运算硬件化，将主要运算程序做成芯片，以减少CPU的运算压力；国内厂家的防火墙硬件平台仍使用通用PC系统，增加了内存容量，增大了CPU的频率。在软件性能方面，国外一些著名的厂家均采用专用的操作系统，自行设计防火墙，提供高性能的产品；而国内厂家大部分基于Linux操作平台，有针对性的修改代码、增加技术及系统补丁等。因此，国产防火墙与国外的相比仍有一定差距，但科技的进步，也生产出了较为优秀的产品。如北京天融信的NG系列产品，支持TOPSEC安全体系、多级过滤、透明应用代理等先进技术。 4.7.2.2 结构透明

防火墙的透明性是指防火墙对于用户是透明的。以网桥的方式将防火墙接入网络，网络和用户无需做任何设置和改动，也根本意识不到防火墙的存在。然后根椐自己企业的网络规模，以及安全策略来选择合适的防火墙的构造结构（可参照本文第3点分析），如果经济实力雄厚的可采用屏蔽子网的拓扑结构。 4.7.2.3 坚持策略

（1）管理主机与防火墙专用服务器端口连接，形成单独管理通道，防止来自内外部的攻击。（2）使用FTP、Telnet、News等服务代理，以提供高水平的审计和潜在的安全性。（3）支持“除非明确允许，否则就禁止”的安全防范原则。

（4）确定可接受的风险水平，如监测什么传输，允许和拒绝什么传输流通过。 4.7.2.4 实施措施

好的防火墙产品应向使用者提供完整的安全检查功能，应有完善及时的售后服务。但一个安全的网络仍必须靠使用者的观察与改进，企业要达到真正的安全仍需内部的网络管理者不断记录、追踪、改进，定期对防火墙和相应操作系统用补丁程序进行升级。

4.8防火墙的发展历程

4.8.1基于路由器的防火墙

由于多数路由器本身就包含有分组过滤功能，故网络访问控制可能通过路控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。 4.8.1.1第一代防火墙产品的特点：

1)利用路由器本身对分组的解析，以访问控制表(Access List)方式实现对分组的过滤； 2)过滤判断的依据可以是：地址、端口号、IP旗标及其他网络特征；

3)只有分组过滤的功能，且防火墙与路由器是一体的。这样，对安全要求低的网络可以采用路由器附带防火墙功能的方法，而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。

4.8.1.2第一代防火墙产品的不足之处具体表现为：

1) 路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。例如，在使用FTP协议时，外部服务器容易从20号端口上与内部网相连，即使在路由器上设置了过滤规则，内部网络的20号端口仍可以由外部探寻。

2) 路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误。

3) 路由器防火墙的最大隐患是：攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的，黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。 路由器防火墙的本质缺陷是：由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固定的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。

可以说基于路由器的防火墙技术只是网络安全的一种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的。 4.8.2 用户化的防火墙工具套

为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户防火墙工具套的出现。

4.8.2.1作为第二代防火墙产品，用户化的防火墙工具套具有以下特征： 1)将过滤功能从路由器中独立出来，并加上审计和告警功能； 2)针对用户需求，提供模块化的软件包；

3)软件可以通过网络发送，用户可以自己动手构造防火墙； 4)与第一代防火墙相比，安全性提高了，价格也降低了。

4.8.2.2第二代防火墙产品的缺点

1) 无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求， 2) 配置和维护过程复杂、费时； 3) 对用户的技术要求高；

4) 全软件实现，使用中出现差错的情况很多。 4.83 建立在通用操作系统上的防火墙

基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。

4.8.3.1作系统上的防火墙的特点： 1)是批量上市的专用防火墙产品；

2)包括分组过滤或者借用路由器的分组过滤功能； 3)装有专用的代理系统，监控所有协议的数据和指令； 4)保护用户编程空间和用户可配置内核参数的设置；

5)安全性和速度大大提高。 第三代防火墙有以纯软件实现的，也有以硬件方式实现的，它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延，仍表现出不少问题。 4.8.3.2操作系统上的防火墙的缺点

1)作为基础的操作系统及其内核往往不为防火墙管理者所知，由于源码的保密，其安全性无从保证；

2)由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全性负责；

3)从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商的攻击；

4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能； 5)透明性好，易于使用。

4.8.4. 第四代防火墙

4.8.4.1 第四代防火墙的主要技术及功能

第四代防火墙产品将网关与安全系统合二为一，具有以下技术功能。 1 )双端口或三端口的结构

新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不做IP转化而串接于内部与外部之间，另一个网卡可专用于对服务器的安全保护。 2 )透明的访问方式

以前的防火墙在访问方式上要么要求用户做系统登录，要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。 3 )灵活的代理系统

代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块，第四代防火墙采用了两种代理机制：一种用于代理从内部网络到外部网络的连接；另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决，后者采用非保密的用户定制代理或保密的代理系统技术来解决。 4 )多级过滤技术

为保证系统的安全性和防护水平，第四代防火墙采用了三级过滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒IP地址；在应用级网关一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所有通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。 5 )网络地址转换技术

第四代防火墙利用NAT技术能透明地对所有内部地址做转换，使得外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己编的IP源地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。 6 )Internet网关技术

由于是直接串联在网络之中，第四代防火墙必须支持用户在Internet互联的所有服务，同时还要防止与Internet服务有关的安全漏洞，故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性，对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。

在域名服务方面，第四代防火墙采用两种独立的域名服务器：一种是内部DNS服务器，主要处理内部网络和DNS信息；另一种是外部DNS服务器，专门用于处理机构内部向Internet提供的部分DNS信息。

在匿名FTP方面，服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中，只支持静态的网页，而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中，对外部访问，防火墙只提供可由内部用户配置的基本的文本信息，而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理，并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理，网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。 7) 安全服务器网络(SSN)

为了适应越来越多的用户向Internet上提供服务时对服务器的需要，第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护，它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是内部网络的一部分，又与内部网关完全隔离，这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理，也可设置成通过FTP、Tnlnet等方式从内部网上管理。

SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多，因为SSN与外部网之间有防火墙保护，SSN与风部网之间也有防火墙的保护，而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之，一旦SSN受破坏，内部网络仍会处于防火墙的保护之下，而一旦DMZ受到破坏，内部网络便暴露于攻击之下。 8) 用户鉴别与加密

为了减低防火墙产品在Tnlnet、FTP等服务和远程管理上的安全风险，鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段，并实现了对邮件的加密。9) 用户定制服务

为了满足特定用户的特定需求，第四代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有：通用TCP、出站UDP、FTP、SMTP等，如果某一用户需要建立一个数据库的代理，便可以利用这些支持，方便设置。 10) 审计和告警

第四代防火墙产品采用的审计和告警功能十分健全，日志文件包括：一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个TCP或UDP探寻，并能以发出邮件、声响等多种方式报警。 此外，第四代防火墙还在网络诊断、数据备份保全等方面具有特色。 4.8.4.2第四代防火墙的抗攻击能力 作为一种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的必备功能。在Internet环境中针对防火墙的攻击很多，下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。

1) 抗IP假冒攻击

IP假冒是指一个非法的主机假冒内部的主机地址，骗取服务器的“信任”，从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来，外部用户很难知道内部的IP地址，因而难以攻击。

2) 抗特洛伊木马攻击

特洛伊木马能将病毒或破坏性程序传入计算机网络，且通常是将这些恶意程序隐蔽在正常的程序之中，尤其是热门程序或游戏，一些用户下载并执行这一程序，其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的，其内核中不能执行下载的程序，故而可以防止特洛伊木马的发生。必须指出的是，防火墙能抗特洛伊木马的攻击并不表明其保护的某个主机也能防止这类攻击。事实上，内部用户可以通过防火墙下载程序，并执行下载的程序。 

3) 抗口令字探寻攻击

在网络中探寻口令的方法很多，最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信，截获用户传给服务器的口令字，记录下来，以便使用；解密是指采用强力攻击、猜测或截获含有加密口令的文件，并设法解密。此外，攻击者还常常利用一些常用口令字直接登录。  第四代防火墙采用了一次性口令字和禁止直接登录防火墙措施，能够有效防止对口令字的攻击。

4) 抗网络安全性分析

网络安全性分析工具是提供管理人员分析网络安全性之用的，一旦这类工具用作攻击网络的手段，则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前，SATA软件可以从网上免费获得，Internet Scanner可以从市面上购买，这些分析工具给网络安全构成了直接的威胁。第四代防火墙采用了地址转换技术，将内部网络隐蔽起来，使网络安全分析工具无法

从外部对内部网络做分析。

5) 抗邮件诈骗攻击

邮件欺骗骗也是越来越突出的攻击方式，第四代防火墙不接收任何邮件，故难以采用这种方式对它攻击，同样值得一提的是，防火墙不接收邮件，并不表示它不让邮件通过，实际上用户仍可收发邮件，内部用户要防邮件诈骗，最终的解决办法是对邮件加密。

4.9防火墙的发展趋势

4.9.1.优良的性能

新一代的防火墙系统不仅应该能够更好地保护防火墙后面内部网络的安全，而且应该具有更为优良的整体性能。传统的代理型防火墙虽然可以提供较高级别的安全保护，但是同时它也成为限制网络带宽的瓶颈，这极大地制约了在网络中的实际应用。数据通过率是表示防火墙性能的参数，由于不同防火墙的不同功能具有不同的工作量和系统资源要求，因此数据在通过防火墙时会产生延时。自然，数据通过率越高，防火墙性能越好。现在大多数的防火墙产品都支持NAT功能，它可以让防火墙受保护的一边的IP地址不至于暴露在没有保护的另一边，但是启用NAT后势必会对防火墙系统的性能有所影响。目前如何尽量减少这种影响也成为防火墙产品的卖点之一。另外防火墙系统中集成的VPN解决方案必须是真正的线速运行，否则将成为网络通信的瓶颈。

4.9.2. 可扩展的结构和功能

对于一个好的防火墙系统而言，它的规模和功能应该能够适应内部网络的规模和安全策略的变化。选择哪种防火墙，除了应考虑它的基本性能之外，毫无疑问，还应考虑用户的实际需求与未来网络的升级。

未来的防火墙系统应是一个可随意伸缩的模块化解决方案，从最为基本的包过滤器到带加密功能的VPN型包过滤器，直至一个独立的应用网关，使用户有充分的余地构建自己所需要的防火墙体系。

4.9.3. 简化的安装与管理

防火墙的确可以帮助管理员加强内部网的安全性。一个不具体实施任何安全策略的防火墙无异于高级摆设。防火墙产品配置和管理的难易程度是防火墙能否达到目的的主要考虑因素之一。实践证明许多防火墙产品并未起到预期作用的一个不容忽视的原因在于配置和实现上的错误。同时，若防火墙的管理过于困难，则可能会造成设定上的错误，反而不能达到其功能。因此未来的防火墙将具有非常易于进行配置的图形用户界面。NT防火墙市场的发展证明了这种趋势。Windows NT提供了一种易于安装和易于管理的基础。尽管基于NT的防火墙通常落后于基于Unix的防火墙，但NT平台的简单性以及它方便的可用性大大推动了基于NT的防火墙的销售。

4.9.4. 主动过滤

防火墙开发商通过建立功能更强大的Web代理对这种需要做出了回应。例如，许多防火墙具有内置病毒和内容扫描功能或允许用户与病毒与内容扫描程序进行集成。今天，许多防火墙都包括对过滤产品的支持，并可以与第三方过滤服务连接，这些服务提供了不受欢迎Internet站点的分类清单。防火墙还在它们的Web代理中包括时间限制功能，允许非工作时间的冲浪和登录，并提供冲浪活动的报告。

4.9.5. 防病毒与防黑客

尽管防火墙在防止不良分子进入上发挥了很好的作用，但TCP／IP 协议套件中存在的脆弱性

使Internet对拒绝服务攻击敞开了大门。在拒绝服务攻击中，攻击者试图使企业Internet服务饱和或使与它连接的系统崩溃，使Internet无法供企业使用。防火墙市场已经对此做出了反应。虽然没有防火墙可以防止所有的拒绝服务攻击，但防火墙厂商一直在尽其可能阻止拒绝服务攻击。像序列号预测和IP欺骗这类简单攻击，这些年来已经成为了防火墙工具箱的一部分。像SYN 泛滥这类更复杂的拒绝服务攻击需要厂商部署更先进的检测和避免方案来对付。SYN泛滥可以锁死Web和邮件服务，这样没有数据流可以进入。

4.10防火墙的反战前景以及技术方向

伴随着Internet的飞速发展，防火墙技术与产品的更新步伐必然会加强，而要全面展望防火墙技术的发展几乎是不可能的。但是，从产品及功能上，却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择：

1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。

2)过滤深度会不断加强，从目前的地址、服务过滤，发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤，并逐渐有病毒扫描功能。 3)利用防火墙建立专用网是较长一段时间用户使用的主流，IP的加密需求越来越强，安全协议的开发是一大热点。

4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。 5)对网络攻击的检测和各种告警将成为防火墙的重要功能。

6)安全管理工具不断完善，特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。

另外值得一提的是，伴随着防火墙技术的不断发展，人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN的功能与CA的功能、接口的数量、成本等几个方面。

网络已经成为了人类所构建的最丰富多彩的虚拟世界，网络的迅速发展，给我们的工作和学习生活带来了巨大的改变。我们通过网络获得信息，共享资源。如今， Internet遍布世界任何一个角落，并且欢迎任何一个人加入其中，相互沟通，相互交流。随着网络的延伸，安全问题受到人们越来越多的关注。在网络日益复杂化，多样化的今天，如何保护各类网络和应用的安全，如何保护信息安全，成为了本文探讨的重点。

几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人，他们利用各种网络和系统的漏洞，非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源，可以任意使用和共享。不需要去了解那些攻击程序是如何运行的，只需要简单的执行就可以给网络造成巨大的威胁。甚至部分程序不需要人为的参与，非常智能化的扫描和破坏整个网络。这种情况使得近几年的攻击频率和密度显著增长，给网络安全带来越来越多的安全隐患 

4.11防火墙的应用

4.11.1 个人防火墙的应用

瑞星个人防火墙的应用

1）安装

第一步启动安装程序。

当把瑞星个人防火墙下载版安装程序保存到您电脑中的指定目录后，找到该目录，双击运行安装程序，就可以进行瑞星个人防火墙下载版的安装了。第二步完成安装后，如图3.1：

图3.1

第三步输入产品序列号和用户ID。启动个人防火墙，当出现如图3.2下所示的窗口后，在相应位置输入您购买获得的产品序列号和用户ID，点击“确定”，通过验证后则会提示“您的瑞星个人防火墙现在可以正常使用”。

图3.2

常见问题：不输入产品序列号和用户ID，产品将无法升级，防火墙保护功能将全部失效，您的计算机将无法抵御黑客攻击。

2）升级

第一步网络配置：

•打开防火墙主程序

•在菜单中依次选择【设置】/【设置网络】，打开【网络设置】窗口,如图3.3

图3.3

1。设定网络连接方式，如果设定“通过代理服务器访问网络”，还需要输入代理服务器IP、端口、身份验证信息。

2。您可以选中【使用安全升级模式】，确保升级期间阻止新的网络连接 3。点击【确定】按钮完成设置

小提示：

1。如果您已经可以浏览网页，说明网络设置已经配置好了，这里直接使用默认设置即可。

2。如果您不使用拨号方式上网，将不会看到界面中【使用拨号网络连接】的选项以及相关设置。

3。请确保此步设置正确，否则可能无法完成智能升级。第二步：智能升级

完成网络配置后，进行智能升级的操作方法：

方法一：点击主界面右侧的【智能升级】按钮，图3.4示:

图3.4

方法二：在菜单中依次选择【操作】/【智能升级】

方法三：右键点击防火墙托盘图标，在弹出菜单中选择【启动智能升级】 3)启动瑞星个人防火墙下载版程序

启动瑞星个人防火墙软件主程序有三种方法：

方法一：进入【开始】/【所有程序】/【瑞星个人防火墙】，选择【瑞星个人防火墙】即可启动。

方法二：用鼠标双击桌面上的【瑞星个人防火墙】快捷图标即可启动。

方法三：用鼠标单击任务栏“快速启动”上的【瑞星个人防火墙】快捷图标即可启动。

成功启动程序后的界面如下图3.5所示:

图3.5

主要界面元素

1、菜单栏：

用于进行菜单操作的窗口，包括【操作】、【设置】、【帮助】三个菜单。如图3.6示:

图3.6

2、操作按钮：位于主界面右侧，包括【启动/停止保护】、【连接/断开网络】、【智能升级】、【查看日志】。

如图3。7示:

图3.7

功能：停止防火墙的保护功能，执行此功能后，您计算机将不再受瑞星防火墙的保护已

处于停止保护状态时，此按钮将变为【启用保护】；点击将重新启用防火墙的保护功能，您也可以通过菜单项【操作】/【停止保护】来执行此功能；将您的计算机完全与网络断开，就如同拔掉网线或是关掉Modem一样。其他人都不能访问您的计算机，但是您也不能再访问网络。这是在遇到频繁攻击时最为有效的应对方法；已经断开网络后，此项将变为【连接网络】，点击将恢复网络连接；您也可以通过菜单项【操作】/【断开网络】来执行此功能；启动智能升级程序对防火墙进行升级更新；您也可以通过菜单项【操作】/【智能升级】来执行此功能；启动日志显示程序；您也可能通过【操作】/【显示日志】来执行此功能。 3、标签页：

位于主界面上部，分【工作状态】、【系统状态】、【游戏保护】、【安全资讯】、【漏洞扫描】、【启动选项】六个标签。如图3。8示:

图3。8

4、安全级别：

位于主界面右下角，拖动滑块到对应的安全级别，修改立即生效。 5、当前版本及更新日期：

位于主界面右上角，显示防火墙当前版本及更新日期。 6、规则设置

配置防火墙的过滤规则（如图3。9），包括：

黑名单：在黑名单中的计算机禁止与本机通讯

白名单：在白名单中的计算机对本地具有完全的访问权限

端口开关：允许或禁止端口中的通讯，可简单开关本机与远程的端口可信区：通过可信区的设置，可以把局域网和互联网区分对待

IP规则：在IP层过滤的规则

访问规则：本机中访问网络的程序的过滤规则

4.11.2 防火墙技术在校园网中的应用

随着高校信息化进程的推进，学院校园网上运行的应用系统越来越多，信息系统变得越来越庞大和复杂。校园网的服务器群构成了校园网的服务系统，主要包括DNS、虚拟主机、贾eb、FTP、视频点播以及Mail服务等。校园网通过不同的专线分别接入了教育网、电信网和党政网。

随着学院网络出口带宽不断加大，应用服务系统逐渐增多，校园网用户数烈剧上升，网络的安全也就越来越严竣。

4.11.2.1 校园网防火墙部署

防火墙是网络安全的屏障。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。在防火墙设置上我们按照以下原则配置来提高网络

安全性：

（1）根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。

（2）将防火墙配置成过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。

（3）在防火墙上建立内网计算机的IP 地址和以C地址的对应表，防止IP地址被盗用。（4）在局域网的入口架设千兆防火墙，并实现VNP的功能，在校园网络入口处建立第一层的安全屏障，VPN保证了管理员在家里或出差时能够安全接入数据中心。

（5）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。（6）允许通过配置网卡对防火墙设置，提高防火墙管理安全性。

4.11.2.2 校园网防火墙配置

默认情况下，所有的防火墙都是按以下两种情况配置的：

（1）拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。

（2）允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让校园网用户能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。

4.11.2.3 校园网防火墙结构

在网络拓扑结构上校园网可以有两种选择，这主要根据其拥有的网络设备情况而定。如果原来已有边界路由器，则可充分利用原有设备，利用边界路由器的包过滤功能，添加相应的防火墙配置，这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的内部网络连接。对于DMZ区中的公共服务器，则可直接与边界路由器相连，不用经过防火墙。它可只经过路由器的简单防护。在此拓扑结构中，边界路由器与防火墙就一起组成了两道安全防线，并且在这两者之间可以设置一个DMZ区，用来放置那些允许外部用户访问的公用服务器设施。

校园网防火墙结构图的例子如下所示。

计算机网络安全是关系国家安全和社会的稳定的重要问题，也是一个涉及计算机科学、

结论

网络技术等多种学科的科学问题。随着信息电子化的发展、网络的快速、普及，电子商务、金融电子化也得到了很快的发展，与此同时给人们带来了许多安全上的新课题，大量事实表明确保计算机网络安全刻不容缓，因此本文对计算机网络安全技术发展的初步探讨和对防火墙技术的阐述，对于计算机网络安全具有一定参考意义。

总之，由于网络安全的威胁是多方面的，所以单纯依靠某一种防火墙技术来实现完全保护是很困难的，只有将防火墙技术和其它网络安全技术相结合才能很好地起到保护网络安全的作用。

致谢

本文是在张老师的悉心指导卜完成的，从文献的查阅、论文的选题、撰写、修改、定

稿，我的每一个进步都和张老师的关注与指导密不可分。张老师在研究方向、资料的收集、论文的选题、研究工作作的开展以及论文的最终定稿，给子我巨大、无私的帮助。论文的

字里行间无不凝结着老师的悉心指导和浮淳教海，老师渊博的学识和严谨的治学态度给我留下了深刻的印象，我从他那里学到的不仅仅是专业知识，更重要的是严谨的治学态度、对事业忘我的追求、高度的使命感、责任感及和蔼热情的品质和做人的道理，这些将使我受益一生，并将激励我不断向前奋进。还有就是在这次的实习中更要对和我一起并肩战斗的其他几位小组成员说一声辛苦了，我们有了今天的成绩是我们不懈与团结。让我们共同努力创造更好的明天。在此过程中我们互相帮助，勉励是我们能完成这次任务的最大动力，也是我们之间最大的收获，最好的精神财富，愿我们还会有更好的合作！经过了这次的实习也意味着我学习生涯的结束。在 TOP 的三年时间转瞬即逝，借此机会我要感谢两年来传授我知识的老师们，更要感谢所有对我学业、生活上的支持和鼓励，感谢所有关心帮助过我的人。

参考文献 [1]张斌,黑客与反黑客,北京邮电大学出版社,Pag56-75

[2]石淑华,池瑞楠,计算机网络安全技术(第二版),北京人民邮电出版社,Pag267-283

[3]肖新峰,宋强,王立新等,TCP/IP协议与网络管理,北京清华大学出版社,Pag83-99 [4]李军,防火墙上台阶,信息网络安全2004年07期,Pag28—29 [5]陈爱民,计算机的安全与保密,北京电子工业出版社,pag35-42 [6]蒋建春,马恒太,任党恩等,网络安全入侵检测研究综述软件学报

[7]石淑华,池瑞楠,计算机网络安全技术(第二版),北京人民邮电出版社,Pag70-104 [8]老聃,安全网关—网络边界防护的利器,信息安全与通信保密,2004年08期75 [9]陈平,何庆等主编,电脑2003合订本，西南师范大学出版社,2004年1月

[10] 张颖,刘军,王磊,计算机网络安全的现状及解决方法[N]电脑商情报 ,2007年1月 [ 11 ] 张景田．计算机网络安全技浅析［Ｊ］．统计与查询，2005(4)． [ 12] 余建斌．黑客的攻击手段及用户对策［Ｍ］．北京人民邮电出版社，2005． [ 13] 蔡立军．计算机网络安全技术［Ｍ］．中国水利水电出版社，2002． [ 14 ] 卢开澄．计算机密码学—计算机网络中的数据安全［Ｍ］，清华大学出版社 [ 15] 李焕洲．网络安全与入侵检测技术［J］．四川师范大学学报，2001.21(6):29~31. [ 16] 李学勇、屠全良．网络安全的现状及发展趋势，太原大学学报，2003年6期． [ 17] 胡道元．浅谈网络安全，中国电信建设，2003年6月．

[ 18 ] 白斌．防火墙在网络安全中的应用［Ｊ］，科技创新导报，2007,35:31．

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文