職業(yè)學(xué)院畢業(yè)論文

1、06計(jì)算機(jī)軟件1班 姜振球 畢業(yè)論文：防火墻技術(shù)江西渝州科技職業(yè)學(xué)院計(jì)算機(jī)分院畢業(yè)設(shè)計(jì)論文課題名稱: 防火墻技術(shù) 專 業(yè)： 軟 件 工 程 學(xué) 號(hào): 1065080139 學(xué)生姓名: 姜振球 班 級(jí): 06計(jì)軟(1)班 指導(dǎo)教師: 賴?yán)?論文成績(jī) 二oo八年十二月三十日目錄摘要1前言21防火墻是什么 22防火墻的分類2 2.1靜態(tài)包過(guò)濾防火墻22.2動(dòng)態(tài)包過(guò)濾防火墻 22.2.1代理防火墻32.2.2自適應(yīng)代理防火墻43防火墻功能概述44防火墻的不足55防火墻的主要技術(shù)特點(diǎn) 66防火墻的典型配置66.1、雙宿主機(jī)網(wǎng)關(guān) 66.2屏蔽主機(jī)網(wǎng)關(guān)66.3屏蔽子網(wǎng)77各種防火墻體系結(jié)構(gòu)的優(yōu)缺點(diǎn)77.1

2、雙重宿主主機(jī)體系結(jié)構(gòu) 77.2被屏蔽主機(jī)體系結(jié)構(gòu)77.3被屏蔽子網(wǎng)體系結(jié)構(gòu) 78常見(jiàn)攻擊方式以及應(yīng)對(duì)策略881常見(jiàn)攻擊方式 88.2應(yīng)對(duì)策略 89防火墻的發(fā)展歷程89.1第一代防火墻產(chǎn)品基于路由器的防火墻99.2第二代防火墻產(chǎn)品用戶化的防火墻工具套 109.3第三代防火墻產(chǎn)品建立在通用操作系統(tǒng)上的防火墻 119.4第三代防火墻網(wǎng)關(guān)與安全系統(tǒng)合二為一 129.4.1第三代防火墻的主要技術(shù)功能 129.4.2第四代防火墻的抗攻擊能力 1510防火墻的發(fā)展趨勢(shì) 1710.1優(yōu)良的性能 1710.2可擴(kuò)展的結(jié)構(gòu)和功能 1710.3簡(jiǎn)化的安裝和管理1710.4主動(dòng)過(guò)濾1710.5防病毒與防黑客1811防

3、火墻的反戰(zhàn)前景以及技術(shù)方向1812結(jié)束語(yǔ)19摘要 本文介紹了防火墻的概念及其功能。防火墻是一種訪問(wèn)控制技術(shù)，它通過(guò)在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止信息資源的非法訪問(wèn)。又系統(tǒng)地介紹了網(wǎng)絡(luò)防火墻系統(tǒng)的基本設(shè)計(jì)原則的基礎(chǔ)上闡述了internet網(wǎng)絡(luò)中的防火墻技術(shù)。分析了防火墻技術(shù)在internet安全上的重要作用，并提出其不足之處和解決方案。最后闡述了用戶在選擇防火墻軟件時(shí)應(yīng)注意哪些問(wèn)題。 關(guān)鍵字：防火墻；包過(guò)濾技術(shù)；代理技術(shù)；網(wǎng)絡(luò)；internet；網(wǎng)絡(luò)安全；網(wǎng)關(guān)abstract we introduce the conception and function of firewal

4、l at frist. firewall is a kind of access control technology which can prevent the information from being illegally accessed by means of setting up the obstruction between the network of a certain organization and the unsafe network. on the basis of system atically introducting the basic design princ

5、ipe of firewall system, the paper desicribes the firewall technology in the internet. the paper describes the importance of firewall technology on the security of internet, and puts forward its shortcomings and their solution.at last we analyze whats we should care about in choosing firewall. keywor

6、ds：firewall；packet filtering technology；proxy technology；network；internet；network security；geteway前言科學(xué)技術(shù)的飛速發(fā)展，人們已經(jīng)生活在信息時(shí)代。計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)深入到社會(huì)的各個(gè)領(lǐng)域，因特網(wǎng)把“地球村”的居民緊密地連在了一起。近年來(lái)因特網(wǎng)的飛速發(fā)展，給人們的生活帶來(lái)了全新地感受，人類社會(huì)各種活動(dòng)對(duì)信息網(wǎng)絡(luò)地依賴程度已經(jīng)越來(lái)越大。然而，凡事“有利必有一弊”，人們?cè)诘靡嬗谛畔⑺鶐?lái)的新的巨大機(jī)遇的同時(shí)，也不得不面對(duì)信息安全問(wèn)題的嚴(yán)峻考驗(yàn)?！昂诳凸簟本W(wǎng)站被“黑”，“cih病毒”無(wú)時(shí)無(wú)刻不充斥在網(wǎng)絡(luò)

7、中?！半娮討?zhàn)”已成為國(guó)與國(guó)之間，商家與商家之間的一種重要的攻擊與防衛(wèi)手段。因此信息安全，網(wǎng)絡(luò)安全的問(wèn)題已經(jīng)引起各國(guó)，各部門，各行各業(yè)以及每個(gè)計(jì)算機(jī)用戶的充分重視。因特網(wǎng)提供給人們的不僅僅是精彩，還無(wú)時(shí)無(wú)刻地存在各種各樣的危險(xiǎn)和陷阱。對(duì)此，我們既不能對(duì)那些潛在的危險(xiǎn)不予重視，遭受不必要的損失；也不能因?yàn)楹ε履承┪ｋU(xiǎn)而拒絕因特網(wǎng)的各種有益的服務(wù)，對(duì)個(gè)人來(lái)說(shuō)這樣會(huì)失去了了解世界、展示自己的場(chǎng)所，對(duì)企業(yè)來(lái)說(shuō)還失去了拓展業(yè)務(wù)、提高服務(wù)、增強(qiáng)競(jìng)爭(zhēng)力的機(jī)會(huì)。不斷地提高自身網(wǎng)絡(luò)的安全才是行之有效地辦法。1防火墻是什么防火墻是一種非常有效的網(wǎng)絡(luò)安全模型。主要用來(lái)保護(hù)安全網(wǎng)絡(luò)免受來(lái)自不安全網(wǎng)絡(luò)的入侵，比如安全網(wǎng)絡(luò)

8、可能是企業(yè)的內(nèi)部網(wǎng)絡(luò)，不安全網(wǎng)絡(luò)是因特網(wǎng)。但防火墻不只是用于因特網(wǎng)，也用于intranet中的部門網(wǎng)絡(luò)之間。在邏輯上，防火墻是過(guò)濾器 限制器和分析器；在物理上，防火墻的實(shí)現(xiàn)有多種方式。通常，防火墻是一組硬件設(shè)備路由器，主計(jì)算機(jī)，或者是路由器，計(jì)算機(jī)和配有的軟件的網(wǎng)絡(luò)的組合。不同的防火墻配置的方法也不同，這取決于安全策略，預(yù)算以及全面規(guī)劃等。2防火墻的分類從防火墻的防范方式和側(cè)重點(diǎn)的不同來(lái)看，防火墻可以分為很多類型，但是根據(jù)防火墻對(duì)內(nèi)外來(lái)往數(shù)據(jù)處理方法，大致可將防火墻分為兩大體系：包過(guò)濾防火墻和代理防火墻。包過(guò)濾防火墻經(jīng)歷了兩代：2.1靜態(tài)包過(guò)濾防火墻：靜態(tài)包過(guò)濾防火墻采用的是一個(gè)都不放過(guò)的原則

9、。它會(huì)檢查所有通過(guò)信息包里的ip地址號(hào)，端口號(hào)及其它的包頭信息，并根據(jù)系統(tǒng)管理員給定的過(guò)濾規(guī)則和準(zhǔn)備過(guò)濾的信息包一一匹配，其中：如果信息包中存在一點(diǎn)與過(guò)濾規(guī)則不符合，那么這個(gè)信息包里所有的信息都會(huì)被防火墻屏蔽掉，這個(gè)信息包就不會(huì)通過(guò)防火墻。相反的，如果每條規(guī)都和過(guò)濾規(guī)則相匹配，那么信息包就允許通過(guò)。靜態(tài)包的過(guò)濾原理就是：將信息分成若干個(gè)小數(shù)據(jù)片（數(shù)據(jù)包），確認(rèn)符合防火墻的包過(guò)濾規(guī)則后，把這些個(gè)小數(shù)據(jù)片按順序發(fā)送，接收到這些小數(shù)據(jù)片后再把它們組織成一個(gè)完整的信息這個(gè)就是包過(guò)濾的原理。這種靜態(tài)包過(guò)濾防火墻，對(duì)用戶是透明的，它不需要用戶的用戶名和密碼就可以登錄，它的速度快，也易于維護(hù)。但由于用戶的使

10、用記錄沒(méi)有記載，如果有不懷好意的人進(jìn)行攻擊的話，我們即不能從訪問(wèn)記錄中得到它的攻擊記錄，也無(wú)法得知它的來(lái)源。而一個(gè)單純的包過(guò)濾的防火墻的防御能力是非常弱的，對(duì)于惡意的攻擊者來(lái)說(shuō)是攻破它是非常容易的。其中“信息包沖擊”是攻擊者最常用的攻擊手段：主要是攻擊者對(duì)包過(guò)濾防火墻發(fā)出一系列地址被替換成一連串順序ip地址的信息包，一旦有一個(gè)包通過(guò)了防火墻，那么攻擊者停止再發(fā)測(cè)試ip地址的信息包，用這個(gè)成功發(fā)送的地址來(lái)偽裝他們所發(fā)出的對(duì)內(nèi)部網(wǎng)有攻擊性的信息。2.2動(dòng)態(tài)包過(guò)濾防火墻：靜態(tài)包過(guò)濾防火墻的缺點(diǎn)，動(dòng)態(tài)包過(guò)濾防火墻都可以避免。它采用的規(guī)則是發(fā)展為“包狀態(tài)檢測(cè)技術(shù)”的動(dòng)態(tài)設(shè)置包過(guò)濾規(guī)則。它可以根據(jù)需要?jiǎng)討B(tài)

11、的在過(guò)濾原則中增加或更新條目，在這點(diǎn)上靜態(tài)防火墻是比不上它的，它主要對(duì)建立的每一個(gè)連接都進(jìn)行跟蹤。在這里我們了解的是代理防火墻。代理服務(wù)器型防火墻與包過(guò)濾防火墻不同之點(diǎn)在于，它的內(nèi)外網(wǎng)之間不存在直接的連接，一般由兩部分組成：服務(wù)器端程序和客戶端程序，其中客戶端程序通過(guò)中間節(jié)點(diǎn)與提供服務(wù)的服務(wù)器連接。代理服務(wù)器型防火墻提供了日志和審記服務(wù)。 代理防火墻也經(jīng)歷了兩代：2.2.1 代理（應(yīng)用層網(wǎng)關(guān)）防火墻：這種防火墻被網(wǎng)絡(luò)安全專家認(rèn)為是最安全的防火墻，主要是因?yàn)閺膬?nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這樣的防火墻處理后，就像是源于防火墻外部網(wǎng)卡一樣，可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。由于內(nèi)外網(wǎng)的計(jì)算機(jī)對(duì)話機(jī)會(huì)根本沒(méi)有，從

12、而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi)部網(wǎng)。2.2.2自適應(yīng)代理防火墻：自適應(yīng)代理技術(shù)是商業(yè)應(yīng)用防火墻中實(shí)現(xiàn)的一種革命性技術(shù)。它結(jié)合了代理類型防火墻和包過(guò)濾防火墻的優(yōu)點(diǎn)，即保證了安全性又保持了高速度，同時(shí)它的性能也在代理防火墻的十倍以上，在一般的情況下，用戶更傾向于這種防火墻。我們把兩種防火墻的優(yōu)缺點(diǎn)的對(duì)比用下列圖表的形式表示如下：優(yōu)點(diǎn)缺點(diǎn)包過(guò)濾防火墻價(jià)格較低性能開(kāi)銷小，處理速度較快定義復(fù)雜，容易出現(xiàn)速度較慢，不太適用于高速網(wǎng)之間的應(yīng)用代理防火墻內(nèi)置了專門為提高安全性而編制的proxy應(yīng)用程序，能夠透徹地理解相關(guān)服務(wù)的命令，對(duì)來(lái)往的數(shù)據(jù)包進(jìn)行安全化處理不能理解特定服務(wù)的上下文環(huán)境，相應(yīng)

13、控制只能在高層由代理服務(wù)和應(yīng)用層網(wǎng)關(guān)來(lái)完成3防火墻功能概述防火墻是一個(gè)保護(hù)裝置，它是一個(gè)或一組網(wǎng)絡(luò)設(shè)備裝置。通常是指運(yùn)行特別編寫或更改過(guò)操作系統(tǒng)的計(jì)算機(jī)，它的目的就是保護(hù)內(nèi)部網(wǎng)的訪問(wèn)安全。防火墻可以安裝在兩個(gè)組織結(jié)構(gòu)的內(nèi)部網(wǎng)與外部的internet之間，同時(shí)在多個(gè)組織結(jié)構(gòu)的內(nèi)部網(wǎng)和internet之間也會(huì)起到同樣的保護(hù)作用。它主要的保護(hù)就是加強(qiáng)外部internet對(duì)內(nèi)部網(wǎng)的訪問(wèn)控制，它主要任務(wù)是允許特別的連接通過(guò)，也可以阻止其它不允許的連接。防火墻只是網(wǎng)絡(luò)安全策略的一部分，它通過(guò)少數(shù)幾個(gè)良好的監(jiān)控位置來(lái)進(jìn)行內(nèi)部網(wǎng)與internet的連接。防火墻的核心功能主要是包過(guò)濾。其中入侵檢測(cè)，控管規(guī)則過(guò)濾

14、，實(shí)時(shí)監(jiān)控及電子郵件過(guò)濾這些功能都是基于封包過(guò)濾技術(shù)的。 防火墻的主體功能歸納為以下幾點(diǎn)：(1)根據(jù)應(yīng)用程序訪問(wèn)規(guī)則可對(duì)應(yīng)用程序連網(wǎng)動(dòng)作進(jìn)行過(guò)濾(2)對(duì)應(yīng)用程序訪問(wèn)規(guī)則具有自學(xué)習(xí)功能。(3)可實(shí)時(shí)監(jiān)控，監(jiān)視網(wǎng)絡(luò)活動(dòng)。(4)具有日志，以記錄網(wǎng)絡(luò)訪問(wèn)動(dòng)作的詳細(xì)信息。(5)被攔阻時(shí)能通過(guò)聲音或閃爍圖標(biāo)給用戶報(bào)警提示。防火墻僅靠這些核心技術(shù)功能是遠(yuǎn)遠(yuǎn)不夠的。核心技術(shù)是基礎(chǔ),必須在這個(gè)基礎(chǔ)之上加入輔助功能才能流暢的工作。而實(shí)現(xiàn)防火墻的核心功能是封包過(guò)濾。4防火墻的不足防火墻對(duì)網(wǎng)絡(luò)的威脅進(jìn)行極好的防范，但是，它們不是安全解決方按的全部。某些威脅是防火墻力所不及的。 防火墻不能防止內(nèi)部的攻擊，因?yàn)樗惶峁┝?/p>

15、對(duì)網(wǎng)絡(luò)邊緣的防衛(wèi)。內(nèi)部人員可能濫用被給予的訪問(wèn)權(quán)，從而導(dǎo)致事故。防火墻也不能防止像社會(huì)工程攻擊一種很常用的入侵手段，就是靠欺騙獲得一些可以破壞安全的信息，如網(wǎng)絡(luò)的口令。另外，一些用來(lái)傳送數(shù)據(jù)的電話線很有可能被用來(lái)入侵內(nèi)部網(wǎng)絡(luò)。 另一個(gè)防止的是懷有惡意的代碼：病毒和特洛伊木馬。雖然現(xiàn)在有些防火墻可以檢查病毒和特洛伊木馬，但這些防火墻只能阻擋已知的惡意程序，這就可能讓新的病毒和木馬溜進(jìn)來(lái)。而且，這些惡意程序不僅僅來(lái)自網(wǎng)絡(luò)，也可能來(lái)自軟盤。5 防火墻主要技術(shù)特點(diǎn)： （1）應(yīng)用層采用winsock 2 spi進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)控制、過(guò)濾； （2）核心層采用ndis hook進(jìn)行控制，尤其是在windows

16、2000 下，此技術(shù)屬微軟未公開(kāi)技術(shù)。 此防火墻還采用兩種封包過(guò)濾技術(shù)：一是應(yīng)用層封包過(guò)濾，采用winsock 2 spi ；二是核心層封包過(guò)濾，采用ndis_hook。 winsock 2 spi 工作在api之下、driver之上，屬于應(yīng)用層的范疇。利用這項(xiàng)技術(shù)可以截獲所有的基于socket的網(wǎng)絡(luò)通信。比如ie、outlook等常見(jiàn)的應(yīng)用程序都是使用socket進(jìn)行通信。采用winsock 2 spi的優(yōu)點(diǎn)是非常明顯的：其工作在應(yīng)用層以dll的形式存在，編程、測(cè)試方便；跨windows 平臺(tái)，可以直接在windows98/me/nt/2000/xp 上通用，windows95 只需安裝上w

17、insock 2 for 95，也可以正常運(yùn)行；效率高，由于工作在應(yīng)用層，cpu 占用率低；封包還沒(méi)有按照低層協(xié)議進(jìn)行切片，所以比較完整。而防火墻正是在tcp/ip協(xié)議在windows的基礎(chǔ)上才得以實(shí)現(xiàn)。6防火墻的典型配置 目前比較流行的有以下三種防火墻配置方案。 6.1、雙宿主機(jī)網(wǎng)關(guān)（dual homed gateway） 這種配置是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。雙宿主機(jī)用兩個(gè)網(wǎng)絡(luò)適配器分別連接兩個(gè)網(wǎng)絡(luò)，又稱堡壘主機(jī)。 堡壘主機(jī)上運(yùn)行著防火墻軟件（通常是代理服務(wù)器），可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機(jī)網(wǎng)關(guān)有一個(gè)致命弱點(diǎn)， 一旦入侵者侵入堡壘主機(jī)并使該主機(jī)只具有路由器功能，則

18、任何網(wǎng)上用戶均可以隨便訪問(wèn)有保護(hù)的內(nèi)部網(wǎng)絡(luò)（如圖1）。 6.2、屏蔽主機(jī)網(wǎng)關(guān)（screened host gateway） 屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機(jī)和雙宿堡壘主機(jī)兩種類型。先來(lái)看單宿堡壘主機(jī)類型。 一個(gè)包過(guò)濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機(jī)只有一個(gè)網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接（如圖2）。 通常在路由器上設(shè)立過(guò)濾規(guī)則，并使這個(gè)單宿堡壘主機(jī)成為從internet惟一可以訪問(wèn)的主機(jī)， 確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而intranet內(nèi)部的客戶機(jī)，可以受控制地通過(guò)屏蔽主機(jī)和路由器訪問(wèn)internet。 雙宿堡壘主機(jī)型與單宿堡壘主

19、機(jī)型的區(qū)別是，堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接包過(guò)濾路由器（如圖3）。 雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。 6. 3、屏蔽子網(wǎng)（screened subnet） 這種方法是在intranet和internet之間建立一個(gè)被隔離的子網(wǎng)，用兩個(gè)包過(guò)濾路由器將這一子網(wǎng)分別與intranet和internet分開(kāi)。兩個(gè)包過(guò)濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)“緩沖地帶”，兩個(gè)路由器一個(gè)控制intranet 數(shù)據(jù)流，另一個(gè)控制internet數(shù)據(jù)流，intranet和internet均可訪問(wèn)屏蔽子網(wǎng)，但禁止它們穿過(guò)屏蔽子網(wǎng)通信。可根據(jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，

20、為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問(wèn)提供代理服務(wù)， 但是來(lái)自兩網(wǎng)絡(luò)的訪問(wèn)都必須通過(guò)兩個(gè)包過(guò)濾路由器的檢查。對(duì)于向internet公開(kāi)的服務(wù)器，像www、ftp、mail等internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無(wú)論是外部用戶，還是內(nèi)部用戶都可訪問(wèn)。 這種結(jié)構(gòu)的防火墻安全性能高，具有很強(qiáng)的抗攻擊能力，但需要的設(shè)備多，造價(jià)高。當(dāng)然，防火墻本身也有其局限性，如不能防范繞過(guò)防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸；難以避免來(lái)自內(nèi)部的攻擊等等?？傊阑饓χ皇且环N整體安全防范策略的一部分，僅有防火墻是不夠的， 安全策略還必須包括全面的安全準(zhǔn)則，即網(wǎng)絡(luò)訪問(wèn)、本地和遠(yuǎn)程用戶認(rèn)證、

21、撥出撥入呼叫、磁盤和數(shù)據(jù)加密以及病毒防護(hù)等有關(guān)的安全策略。 7各種防火墻體系結(jié)構(gòu)的優(yōu)缺點(diǎn) 7.1雙重宿主主機(jī)體系結(jié)構(gòu)它提供來(lái)自與多個(gè)網(wǎng)絡(luò)相連的主機(jī)的服務(wù)(但是路由關(guān)閉)，它圍繞雙重宿主主計(jì)算機(jī)構(gòu)筑。該計(jì)算機(jī)至少有2個(gè)網(wǎng)絡(luò)接口，位于因特網(wǎng)與內(nèi)部網(wǎng)之間，并被連接到因特網(wǎng)和內(nèi)部網(wǎng)。2個(gè)網(wǎng)絡(luò)都可以與雙重宿主主機(jī)通信，但相互之間不行，它們之間的ip通信被完全禁止。雙重宿主主機(jī)僅能通過(guò)代理或用戶直接登錄到雙重宿主主機(jī)來(lái)提供服務(wù)。它能提供級(jí)別非常高的控制，并保證內(nèi)部網(wǎng)上沒(méi)有外部的ip包。但這種體系結(jié)構(gòu)中用戶訪問(wèn)因特網(wǎng)的速度會(huì)較慢，也會(huì)因?yàn)殡p重宿主主機(jī)的被侵襲而失效。 7.2被屏蔽主機(jī)體系結(jié)構(gòu)使用1個(gè)單獨(dú)的路

22、由器提供來(lái)自僅僅與內(nèi)部網(wǎng)絡(luò)相連的主機(jī)的服務(wù)。屏蔽路由器位于因特網(wǎng)與內(nèi)部網(wǎng)之間，提供數(shù)據(jù)包過(guò)濾功能。堡壘主機(jī)是1個(gè)高度安全的計(jì)算機(jī)系統(tǒng)，通常因?yàn)樗┞队谝蛱鼐W(wǎng)之下，作為聯(lián)結(jié)內(nèi)部網(wǎng)絡(luò)用戶的橋梁，易受到侵襲損害。這里它位于內(nèi)部網(wǎng)上，數(shù)據(jù)包過(guò)濾規(guī)則設(shè)置它為因特網(wǎng)上唯一能連接到內(nèi)部網(wǎng)絡(luò)上的主機(jī)系統(tǒng)。它也可以開(kāi)放一些連接(由站點(diǎn)安全策略決定)到外部世界。在屏蔽路由器中，數(shù)據(jù)包過(guò)濾配置可以按下列之一執(zhí)行：允許其他內(nèi)部主機(jī)，為了某些服務(wù)而開(kāi)放到因特網(wǎng)上的主機(jī)連接(允許那些經(jīng)由數(shù)據(jù)包過(guò)濾的服務(wù))。不允許來(lái)自內(nèi)部主機(jī)的所有連接(強(qiáng)迫這些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù))。這種體系結(jié)構(gòu)通過(guò)數(shù)據(jù)包過(guò)濾來(lái)提供安全，而保衛(wèi)路

23、由器比保衛(wèi)主機(jī)較易實(shí)現(xiàn)，因?yàn)樗峁┝朔浅Ｓ邢薜姆?wù)組，因此這種體系結(jié)構(gòu)提供了比雙重宿主主機(jī)體系結(jié)構(gòu)更好的安全性和可用性。 弊端是，若是侵襲者設(shè)法入侵堡壘主機(jī)，則在堡壘主機(jī)與其他內(nèi)部主機(jī)之間無(wú)任何保護(hù)網(wǎng)絡(luò)安全的東西存在；路由器同樣可能出現(xiàn)單點(diǎn)失效，若被損害，則整個(gè)網(wǎng)絡(luò)對(duì)侵襲者開(kāi)放。 7.3)被屏蔽子網(wǎng)體系結(jié)構(gòu)考慮到堡壘主機(jī)是內(nèi)部網(wǎng)上最易被侵襲的機(jī)器(因?yàn)樗杀灰蛱鼐W(wǎng)上用戶訪問(wèn))，我們添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)中，將堡壘主機(jī)放在額外的安全層，構(gòu)成了這種體系結(jié)構(gòu)。這種在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)之間增加的網(wǎng)絡(luò)，為系統(tǒng)提供了安全的附加層，稱之為周邊網(wǎng)。這種體系結(jié)構(gòu)有2個(gè)屏蔽路由器，每1個(gè)都連接到周

24、邊網(wǎng)。1個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)之間，稱為內(nèi)部路由器，另1個(gè)位于周邊網(wǎng)與外部網(wǎng)之間，稱之為外部路由器。堡壘主機(jī)位于周邊網(wǎng)上。侵襲者若想侵襲內(nèi)部網(wǎng)絡(luò)，必須通過(guò)2個(gè)路由器，即使他侵入了堡壘主機(jī)，仍無(wú)法進(jìn)入內(nèi)部網(wǎng)。因此這種結(jié)構(gòu)沒(méi)有損害內(nèi)部網(wǎng)絡(luò)的單一易受侵襲點(diǎn)。8常見(jiàn)攻擊方式以及應(yīng)對(duì)策略8 .1常見(jiàn)攻擊方式8.1 .1 病毒盡管某些防火墻產(chǎn)品提供了在數(shù)據(jù)包通過(guò)時(shí)進(jìn)行病毒掃描的功能，但仍然很難將所有的病毒（或特洛伊木馬程序）阻止在網(wǎng)絡(luò)外面，黑客很容易欺騙用戶下載一個(gè)程序從而讓惡意代碼進(jìn)入內(nèi)部網(wǎng)。策略：設(shè)定安全等級(jí)，嚴(yán)格阻止系統(tǒng)在未經(jīng)安全檢測(cè)的情況下執(zhí)行下載程序；或者通過(guò)常用的基于主機(jī)的安全方法來(lái)保護(hù)網(wǎng)絡(luò)。8

25、.1.2 口令字對(duì)口令字的攻擊方式有兩種：窮舉和嗅探。窮舉針對(duì)來(lái)自外部網(wǎng)絡(luò)的攻擊，來(lái)猜測(cè)防火墻管理的口令字。嗅探針對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊，通過(guò)監(jiān)測(cè)網(wǎng)絡(luò)獲取主機(jī)給防火墻的口令字。策略：設(shè)計(jì)主機(jī)與防火墻通過(guò)單獨(dú)接口通信（即專用服務(wù)器端口）、采用一次性口令或禁止直接登錄防火墻。8.1.3 郵件來(lái)自于郵件的攻擊方式越來(lái)越突出，在這種攻擊中，垃圾郵件制造者將一條消息復(fù)制成成千上萬(wàn)份，并按一個(gè)巨大的電子郵件地址清單發(fā)送這條信息，當(dāng)不經(jīng)意打開(kāi)郵件時(shí)，惡意代碼即可進(jìn)入。策略：打開(kāi)防火墻上的過(guò)濾功能，在內(nèi)網(wǎng)主機(jī)上采取相應(yīng)阻止措施。8.1.4 ip地址黑客利用一個(gè)類似于內(nèi)部網(wǎng)絡(luò)的ip地址，以“逃過(guò)”服務(wù)器檢測(cè)，從而進(jìn)入

26、內(nèi)部網(wǎng)達(dá)到攻擊的目的。策略：通過(guò)打開(kāi)內(nèi)核rp_filter功能，丟棄所有來(lái)自網(wǎng)絡(luò)外部但卻有內(nèi)部地址的數(shù)據(jù)包；同時(shí)將特定ip地址與mac綁定，只有擁有相應(yīng)mac地址的用戶才能使用被綁定的ip地址進(jìn)行網(wǎng)絡(luò)訪問(wèn)。8.2 應(yīng)對(duì)策略8.2.1 方案選擇市場(chǎng)上的防火墻大致有軟件防火墻和硬件防火墻兩大類。軟件防火墻需運(yùn)行在一臺(tái)標(biāo)準(zhǔn)的主機(jī)設(shè)備上，依托網(wǎng)絡(luò)在操作系統(tǒng)上實(shí)現(xiàn)防火墻的各種功能，因此也稱“個(gè)人”防火墻，其功能有限，基本上能滿足單個(gè)用戶。硬件防火墻是一個(gè)把硬件和軟件都單獨(dú)設(shè)計(jì)，并集成在一起，運(yùn)行于自己專用的系統(tǒng)平臺(tái)。由于硬件防火墻集合了軟件方面，從功能上更為強(qiáng)大，目前已普遍使用。在制造上，硬件防火墻須同

27、時(shí)設(shè)計(jì)硬件和軟件兩方面。國(guó)外廠家基本上是將軟件運(yùn)算硬件化，將主要運(yùn)算程序做成芯片，以減少cpu的運(yùn)算壓力；國(guó)內(nèi)廠家的防火墻硬件平臺(tái)仍使用通用pc系統(tǒng)，增加了內(nèi)存容量，增大了cpu的頻率。在軟件性能方面，國(guó)外一些著名的廠家均采用專用的操作系統(tǒng)，自行設(shè)計(jì)防火墻，提供高性能的產(chǎn)品；而國(guó)內(nèi)廠家大部分基于linux操作平臺(tái)，有針對(duì)性的修改代碼、增加技術(shù)及系統(tǒng)補(bǔ)丁等。因此，國(guó)產(chǎn)防火墻與國(guó)外的相比仍有一定差距，但科技的進(jìn)步，也生產(chǎn)出了較為優(yōu)秀的產(chǎn)品。如北京天融信的ng系列產(chǎn)品，支持topsec安全體系、多級(jí)過(guò)濾、透明應(yīng)用代理等先進(jìn)技術(shù)。8.2.2 結(jié)構(gòu)透明防火墻的透明性是指防火墻對(duì)于用戶是透明的。以網(wǎng)橋的方

28、式將防火墻接入網(wǎng)絡(luò)，網(wǎng)絡(luò)和用戶無(wú)需做任何設(shè)置和改動(dòng)，也根本意識(shí)不到防火墻的存在。然后根椐自己企業(yè)的網(wǎng)絡(luò)規(guī)模，以及安全策略來(lái)選擇合適的防火墻的構(gòu)造結(jié)構(gòu)（可參照本文第3點(diǎn)分析），如果經(jīng)濟(jì)實(shí)力雄厚的可采用屏蔽子網(wǎng)的拓?fù)浣Y(jié)構(gòu)。8.2.3 堅(jiān)持策略（1）管理主機(jī)與防火墻專用服務(wù)器端口連接，形成單獨(dú)管理通道，防止來(lái)自內(nèi)外部的攻擊。（2）使用ftp、telnet、news等服務(wù)代理，以提供高水平的審計(jì)和潛在的安全性。（3）支持“除非明確允許，否則就禁止”的安全防范原則。（4）確定可接受的風(fēng)險(xiǎn)水平，如監(jiān)測(cè)什么傳輸，允許和拒絕什么傳輸流通過(guò)。8.2.4 實(shí)施措施好的防火墻產(chǎn)品應(yīng)向使用者提供完整的安全檢查功能，應(yīng)

29、有完善及時(shí)的售后服務(wù)。但一個(gè)安全的網(wǎng)絡(luò)仍必須靠使用者的觀察與改進(jìn)，企業(yè)要達(dá)到真正的安全仍需內(nèi)部的網(wǎng)絡(luò)管理者不斷記錄、追蹤、改進(jìn)，定期對(duì)防火墻和相應(yīng)操作系統(tǒng)用補(bǔ)丁程序進(jìn)行升級(jí)。9防火墻的發(fā)展歷程9.1基于路由器的防火墻由于多數(shù)路由器本身就包含有分組過(guò)濾功能，故網(wǎng)絡(luò)訪問(wèn)控制可能通過(guò)路控制來(lái)實(shí)現(xiàn)，從而使具有分組過(guò)濾功能的路由器成為第一代防火墻產(chǎn)品。9.1.1第一代防火墻產(chǎn)品的特點(diǎn)：1)利用路由器本身對(duì)分組的解析，以訪問(wèn)控制表(access list)方式實(shí)現(xiàn)對(duì)分組的過(guò)濾；2)過(guò)濾判斷的依據(jù)可以是：地址、端口號(hào)、ip旗標(biāo)及其他網(wǎng)絡(luò)特征；3)只有分組過(guò)濾的功能，且防火墻與路由器是一體的。這樣，對(duì)安全要求

30、低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法，而對(duì)安全性要求高的網(wǎng)絡(luò)則需要單獨(dú)利用一臺(tái)路由器作為防火墻。9.1.2第一代防火墻產(chǎn)品的不足之處具體表現(xiàn)為：1) 路由協(xié)議十分靈活，本身具有安全漏洞，外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如，在使用ftp協(xié)議時(shí)，外部服務(wù)器容易從20號(hào)端口上與內(nèi)部網(wǎng)相連，即使在路由器上設(shè)置了過(guò)濾規(guī)則，內(nèi)部網(wǎng)絡(luò)的20號(hào)端口仍可以由外部探尋。2) 路由器上分組過(guò)濾規(guī)則的設(shè)置和配置存在安全隱患。對(duì)路由器中過(guò)濾規(guī)則的設(shè)置和配置十分復(fù)雜，它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性，一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任，加之一旦出現(xiàn)新的協(xié)議，管理員就得加上更多的規(guī)則去限制，這往

31、往會(huì)帶來(lái)很多錯(cuò)誤。3) 路由器防火墻的最大隱患是：攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的，黑客(hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。路由器防火墻的本質(zhì)缺陷是：由于路由器的主要功能是為網(wǎng)絡(luò)訪問(wèn)提供動(dòng)態(tài)的、靈活的路由，而防火墻則要對(duì)訪問(wèn)行為實(shí)施靜態(tài)的、固定的控制，這是一對(duì)難以調(diào)和的矛盾，防火墻的規(guī)則設(shè)置會(huì)大大降低路由器的性能?？梢哉f(shuō)基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施，用這種權(quán)宜之計(jì)去對(duì)付黑客的攻擊是十分危險(xiǎn)的。9.2 用戶化的防火墻工具套為了彌補(bǔ)路由器防火墻的不足，很多大型用戶紛紛要求以專門開(kāi)發(fā)的防火墻系統(tǒng)來(lái)保護(hù)自己的網(wǎng)絡(luò)，從而推動(dòng)了用戶防火墻工

32、具套的出現(xiàn)。9.2.1作為第二代防火墻產(chǎn)品，用戶化的防火墻工具套具有以下特征：1)將過(guò)濾功能從路由器中獨(dú)立出來(lái)，并加上審計(jì)和告警功能；2)針對(duì)用戶需求，提供模塊化的軟件包；3)軟件可以通過(guò)網(wǎng)絡(luò)發(fā)送，用戶可以自己動(dòng)手構(gòu)造防火墻；4)與第一代防火墻相比，安全性提高了，價(jià)格也降低了。9.2.2第二代防火墻產(chǎn)品的缺點(diǎn)1) 無(wú)論在實(shí)現(xiàn)上還是在維護(hù)上都對(duì)系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求，2) 配置和維護(hù)過(guò)程復(fù)雜、費(fèi)時(shí)；3) 對(duì)用戶的技術(shù)要求高；4) 全軟件實(shí)現(xiàn)，使用中出現(xiàn)差錯(cuò)的情況很多。9.3 建立在通用操作系統(tǒng)上的防火墻基于軟件的防火墻在銷售、使用和維護(hù)上的問(wèn)題迫使防火墻開(kāi)發(fā)商很快推出了建立在通用操作系統(tǒng)

33、上的商用防火墻產(chǎn)品。9.3.1作系統(tǒng)上的防火墻的特點(diǎn)：1)是批量上市的專用防火墻產(chǎn)品；2)包括分組過(guò)濾或者借用路由器的分組過(guò)濾功能；3)裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；4)保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置；5)安全性和速度大大提高。第三代防火墻有以純軟件實(shí)現(xiàn)的，也有以硬件方式實(shí)現(xiàn)的，它們已經(jīng)得到了廣大用戶的認(rèn)同。但隨著安全需求的變化和使用時(shí)間的推延，仍表現(xiàn)出不少問(wèn)題。9.3.2操作系統(tǒng)上的防火墻的缺點(diǎn))作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知，由于源碼的保密，其安全性無(wú)從保證；)由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商，通用操作系

34、統(tǒng)廠商不會(huì)對(duì)操作系統(tǒng)的安全性負(fù)責(zé)；)從本質(zhì)上看，第三代防火墻既要防止來(lái)自外部網(wǎng)絡(luò)的攻擊，還要防止來(lái)自操作系統(tǒng)廠商的攻擊；)在功能上包括了分組過(guò)濾、應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)且具有加密鑒別功能；)透明性好，易于使用。9.4. 第四代防火墻9.4.1 第四代防火墻的主要技術(shù)及功能第四代防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一，具有以下技術(shù)功能。 雙端口或三端口的結(jié)構(gòu)新一代防火墻產(chǎn)品具有兩個(gè)或三個(gè)獨(dú)立的網(wǎng)卡，內(nèi)外兩個(gè)網(wǎng)卡可不做ip轉(zhuǎn)化而串接于內(nèi)部與外部之間，另一個(gè)網(wǎng)卡可專用于對(duì)服務(wù)器的安全保護(hù)。 透明的訪問(wèn)方式以前的防火墻在訪問(wèn)方式上要么要求

35、用戶做系統(tǒng)登錄，要么需要通過(guò)socks等庫(kù)路徑修改客戶機(jī)的應(yīng)用。第四代防火墻利用了透明的代理系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率。 靈活的代理系統(tǒng)代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊，第四代防火墻采用了兩種代理機(jī)制：一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接；另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)接(nit)技術(shù)來(lái)解決，后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來(lái)解決。 多級(jí)過(guò)濾技術(shù)為保證系統(tǒng)的安全性和防護(hù)水平，第四代防火墻采用了三級(jí)過(guò)濾措施，并輔以鑒別手段。在分組過(guò)濾一級(jí)，能過(guò)濾掉所有的源路由分組和假冒i

36、p地址；在應(yīng)用級(jí)網(wǎng)關(guān)一級(jí)，能利用ftp、smtp等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)internet提供的所有通用服務(wù)；在電路網(wǎng)關(guān)一級(jí)，實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透明連接，并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制。 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)第四代防火墻利用nat技術(shù)能透明地對(duì)所有內(nèi)部地址做轉(zhuǎn)換，使得外部網(wǎng)絡(luò)無(wú)法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己編的ip源地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個(gè)主機(jī)的通信，確保每個(gè)分組送往正確的地址。 internet網(wǎng)關(guān)技術(shù)由于是直接串聯(lián)在網(wǎng)絡(luò)之中，第四代防火墻必須支持用戶在internet互聯(lián)的所有服務(wù)，同時(shí)還要防止與internet服務(wù)有關(guān)的安全漏洞，故

37、它要能夠以多種安全的應(yīng)用服務(wù)器(包括ftp、finger、mail、ident、news、www等)來(lái)實(shí)現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性，對(duì)所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用(chroot)”做物理上的隔離。在域名服務(wù)方面，第四代防火墻采用兩種獨(dú)立的域名服務(wù)器：一種是內(nèi)部dns服務(wù)器，主要處理內(nèi)部網(wǎng)絡(luò)和dns信息；另一種是外部dns服務(wù)器，專門用于處理機(jī)構(gòu)內(nèi)部向internet提供的部分dns信息。在匿名ftp方面，服務(wù)器只提供對(duì)有限的受保護(hù)的部分目錄的只讀訪問(wèn)。在www服務(wù)器中，只支持靜態(tài)的網(wǎng)頁(yè)，而不允許圖形或cgi代碼等在防火墻內(nèi)運(yùn)行。在finger服務(wù)器中，對(duì)外部訪問(wèn)，防火墻只提供

38、可由內(nèi)部用戶配置的基本的文本信息，而不提供任何與攻擊有關(guān)的系統(tǒng)信息。smtp與pop郵件服務(wù)器要對(duì)所有進(jìn)、出防火墻的郵件做處理，并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境。ident服務(wù)器對(duì)用戶連接的識(shí)別做專門處理，網(wǎng)絡(luò)新聞服務(wù)則為接收來(lái)自isp的新聞開(kāi)設(shè)了專門的磁盤空間。 安全服務(wù)器網(wǎng)絡(luò)(ssn)為了適應(yīng)越來(lái)越多的用戶向internet上提供服務(wù)時(shí)對(duì)服務(wù)器的需要，第四代防火墻采用分別保護(hù)的策略對(duì)用戶上網(wǎng)的對(duì)外服務(wù)器實(shí)施保護(hù)，它利用一張網(wǎng)卡將對(duì)外服務(wù)器作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理，對(duì)外服務(wù)器既是內(nèi)部網(wǎng)絡(luò)的一部分，又與內(nèi)部網(wǎng)關(guān)完全隔離，這就是安全服務(wù)器網(wǎng)絡(luò)(ssn)技術(shù)。而對(duì)ssn上

39、的主機(jī)既可單獨(dú)管理，也可設(shè)置成通過(guò)ftp、tnlnet等方式從內(nèi)部網(wǎng)上管理。ssn方法提供的安全性要比傳統(tǒng)的“隔離區(qū)(dmz)”方法好得多，因?yàn)閟sn與外部網(wǎng)之間有防火墻保護(hù)，ssn與風(fēng)部網(wǎng)之間也有防火墻的保護(hù)，而dmz只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之，一旦ssn受破壞，內(nèi)部網(wǎng)絡(luò)仍會(huì)處于防火墻的保護(hù)之下，而一旦dmz受到破壞，內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。 用戶鑒別與加密為了減低防火墻產(chǎn)品在tnlnet、ftp等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險(xiǎn)，鑒別功能必不可少。第四代防火墻采用一次性使用的口令系統(tǒng)來(lái)作為用戶的鑒別手段，并實(shí)現(xiàn)了對(duì)郵件的加密。4.9 用戶定制服務(wù)為

40、了滿足特定用戶的特定需求，第四代防火墻在提供眾多服務(wù)的同時(shí)，還為用戶定制提供支持，這類選項(xiàng)有：通用tcp、出站udp、ftp、smtp等，如果某一用戶需要建立一個(gè)數(shù)據(jù)庫(kù)的代理，便可以利用這些支持，方便設(shè)置。0 審計(jì)和告警第四代防火墻產(chǎn)品采用的審計(jì)和告警功能十分健全，日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問(wèn)、告警條件、管理日志、進(jìn)站代理、ftp代理、出站代理、郵件服務(wù)器、名服務(wù)器等。告警功能會(huì)守住每一個(gè)tcp或udp探尋，并能以發(fā)出郵件、聲響等多種方式報(bào)警。此外，第四代防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面

41、具有特色。9.4.2第四代防火墻的抗攻擊能力作為一種安全防護(hù)設(shè)備，防火墻在網(wǎng)絡(luò)中自然是眾多攻擊者的目標(biāo)，故抗攻擊能力也是防火墻的必備功能。在internet環(huán)境中針對(duì)防火墻的攻擊很多，下面從幾種主要的攻擊方法來(lái)評(píng)估第四代防火墻的抗攻擊能力。 抗ip假冒攻擊ip假冒是指一個(gè)非法的主機(jī)假冒內(nèi)部的主機(jī)地址，騙取服務(wù)器的“信任”，從而達(dá)到對(duì)網(wǎng)絡(luò)的攻擊目的。由于第四代防火墻已經(jīng)將網(wǎng)內(nèi)的實(shí)際地址隱蔽起來(lái)，外部用戶很難知道內(nèi)部的ip地址，因而難以攻擊。 抗特洛伊木馬攻擊特洛伊木馬能將病毒或破壞性程序傳入計(jì)算機(jī)網(wǎng)絡(luò)，且通常是將這些惡意程序隱蔽在正常的程序之中，尤其是熱門程序或游戲，

42、一些用戶下載并執(zhí)行這一程序，其中的病毒便會(huì)發(fā)作。第四代防火墻是建立在安全的操作系統(tǒng)之上的，其內(nèi)核中不能執(zhí)行下載的程序，故而可以防止特洛伊木馬的發(fā)生。必須指出的是，防火墻能抗特洛伊木馬的攻擊并不表明其保護(hù)的某個(gè)主機(jī)也能防止這類攻擊。事實(shí)上，內(nèi)部用戶可以通過(guò)防火墻下載程序，并執(zhí)行下載的程序。 抗口令字探尋攻擊在網(wǎng)絡(luò)中探尋口令的方法很多，最常見(jiàn)的是口令嗅探和口令解密。嗅探是通過(guò)監(jiān)測(cè)網(wǎng)絡(luò)通信，截獲用戶傳給服務(wù)器的口令字，記錄下來(lái)，以便使用；解密是指采用強(qiáng)力攻擊、猜測(cè)或截獲含有加密口令的文件，并設(shè)法解密。此外，攻擊者還常常利用一些常用口令字直接登錄。 第四代防火墻采用了一次性口令字和禁止直

43、接登錄防火墻措施，能夠有效防止對(duì)口令字的攻擊。 抗網(wǎng)絡(luò)安全性分析網(wǎng)絡(luò)安全性分析工具是提供管理人員分析網(wǎng)絡(luò)安全性之用的，一旦這類工具用作攻擊網(wǎng)絡(luò)的手段，則能夠比較方便地探測(cè)到內(nèi)部網(wǎng)絡(luò)的安全缺陷和弱點(diǎn)所在。目前，sata軟件可以從網(wǎng)上免費(fèi)獲得，internet scanner可以從市面上購(gòu)買，這些分析工具給網(wǎng)絡(luò)安全構(gòu)成了直接的威脅。第四代防火墻采用了地址轉(zhuǎn)換技術(shù)，將內(nèi)部網(wǎng)絡(luò)隱蔽起來(lái)，使網(wǎng)絡(luò)安全分析工具無(wú)法從外部對(duì)內(nèi)部網(wǎng)絡(luò)做分析。 抗郵件詐騙攻擊郵件詐騙也是越來(lái)越突出的攻擊方式，第四代防火墻不接收任何郵件，故難以采用這種方式對(duì)它攻擊，同樣值得一提的是，防火墻不接收郵件，并

44、不表示它不讓郵件通過(guò)，實(shí)際上用戶仍可收發(fā)郵件，內(nèi)部用戶要防郵件詐騙，最終的解決辦法是對(duì)郵件加密。10防火墻的發(fā)展趨勢(shì) 10.1.優(yōu)良的性能 新一代的防火墻系統(tǒng)不僅應(yīng)該能夠更好地保護(hù)防火墻后面內(nèi)部網(wǎng)絡(luò)的安全，而且應(yīng)該具有更為優(yōu)良的整體性能。傳統(tǒng)的代理型防火墻雖然可以提供較高級(jí)別的安全保護(hù)，但是同時(shí)它也成為限制網(wǎng)絡(luò)帶寬的瓶頸，這極大地制約了在網(wǎng)絡(luò)中的實(shí)際應(yīng)用。數(shù)據(jù)通過(guò)率是表示防火墻性能的參數(shù)，由于不同防火墻的不同功能具有不同的工作量和系統(tǒng)資源要求，因此數(shù)據(jù)在通過(guò)防火墻時(shí)會(huì)產(chǎn)生延時(shí)。自然，數(shù)據(jù)通過(guò)率越高，防火墻性能越好。現(xiàn)在大多數(shù)的防火墻產(chǎn)品都支持nat功能，它可以讓防火墻受保護(hù)的一邊的ip地址不至

45、于暴露在沒(méi)有保護(hù)的另一邊，但是啟用nat后勢(shì)必會(huì)對(duì)防火墻系統(tǒng)的性能有所影響。目前如何盡量減少這種影響也成為防火墻產(chǎn)品的賣點(diǎn)之一。另外防火墻系統(tǒng)中集成的vpn解決方案必須是真正的線速運(yùn)行，否則將成為網(wǎng)絡(luò)通信的瓶頸。 10.2. 可擴(kuò)展的結(jié)構(gòu)和功能 對(duì)于一個(gè)好的防火墻系統(tǒng)而言，它的規(guī)模和功能應(yīng)該能夠適應(yīng)內(nèi)部網(wǎng)絡(luò)的規(guī)模和安全策略的變化。選擇哪種防火墻，除了應(yīng)考慮它的基本性能之外，毫無(wú)疑問(wèn)，還應(yīng)考慮用戶的實(shí)際需求與未來(lái)網(wǎng)絡(luò)的升級(jí)。 未來(lái)的防火墻系統(tǒng)應(yīng)是一個(gè)可隨意伸縮的模塊化解決方案，從最為基本的包過(guò)濾器到帶加密功能的vpn型包過(guò)濾器，直至一個(gè)獨(dú)立的應(yīng)用網(wǎng)關(guān)，使用戶有充分的余地構(gòu)建自己所需要的防火墻體系

46、。 10.3. 簡(jiǎn)化的安裝與管理防火墻的確可以幫助管理員加強(qiáng)內(nèi)部網(wǎng)的安全性。一個(gè)不具體實(shí)施任何安全策略的防火墻無(wú)異于高級(jí)擺設(shè)。防火墻產(chǎn)品配置和管理的難易程度是防火墻能否達(dá)到目的的主要考慮因素之一。實(shí)踐證明許多防火墻產(chǎn)品并未起到預(yù)期作用的一個(gè)不容忽視的原因在于配置和實(shí)現(xiàn)上的錯(cuò)誤。同時(shí)，若防火墻的管理過(guò)于困難，則可能會(huì)造成設(shè)定上的錯(cuò)誤，反而不能達(dá)到其功能。因此未來(lái)的防火墻將具有非常易于進(jìn)行配置的圖形用戶界面。nt防火墻市場(chǎng)的發(fā)展證明了這種趨勢(shì)。windows nt提供了一種易于安裝和易于管理的基礎(chǔ)。盡管基于nt的防火墻通常落后于基于unix的防火墻，但nt平臺(tái)的簡(jiǎn)單性以及它方便的可用性大大推動(dòng)了基于nt的防火墻的銷售。 10.4. 主動(dòng)過(guò)濾 防火墻開(kāi)發(fā)商通過(guò)建立功能更強(qiáng)大的web代理對(duì)這種需要做出了回應(yīng)。例如，許多防火墻具有內(nèi)置病毒和內(nèi)容掃描功能或允許用戶與病毒與內(nèi)容掃描程序進(jìn)行集成。今天，許多防火墻都包括對(duì)過(guò)濾產(chǎn)品的支持，并可以與第三方過(guò)濾服務(wù)連接，這些服務(wù)提供了不受歡迎internet站點(diǎn)的分類清單。防火墻還在它們的web代理中包括時(shí)間限制功能，允許非工作時(shí)間的沖浪和登錄，并提供沖浪活動(dòng)的報(bào)告。 10.5. 防病毒與防黑客 盡管防火墻在防止不良分子進(jìn)入上發(fā)揮了很好的作用，但tcpip 協(xié)議套件中存在的脆弱性使internet對(duì)拒絕服務(wù)攻擊敞開(kāi)了大門。在拒絕服務(wù)攻擊中，攻