毕业设计（论文）-基于防火墙的网络安全方案设计与探讨.doc

目 录摘 要1一、引 言1(一). 防火墙的定义2(二). 为什么要使用防火墙2(三). 防火墙的规则2二、防火墙技术3(一)、防火墙模型3(二)、防火墙技术31. 防火墙的包过滤技术32. 防火墙的应用层网络技术43. 防火墙的电路级网关技术44. 防火墙的地址翻译技术4三、防火墙的体系结构 5(一). 包过滤防火墙5(二). 双宿主机型防火墙5(三). 屏蔽主机型防火墙6(四). 屏蔽子网型防火墙7四、基于Windows操作系统内核的包过滤防火墙的系统的实现8(一). 方案组成描述91. Windows的NDIS 92. Windows的文件系统103. 虚拟设备驱动程序技术10(二). 网络信息访问控制系统的实现101. 网络信息访问控制系统策略管理102. 拦截IP包的虚拟设备驱动程序及其与上层程序间的通信113. 拦截后的IP包处理流程114.访问控制对代理的透明12(三). 安全文件系统的实现131. 文件系统安全策略管理132. 文件系统操作的截获133. 文件系统的保密处理13五、结 束 语14致 谢14参考文献及资料15ABSTRACT 16基于防火墙的网络安全方案设计与探讨【摘要】： 近年来, 随着互联网的飞速发展，网络攻击变得越来越普遍,网络安全显得尤为重要。在网络的实际运用中，有许多方式用来为网络的安全性提供保护其中防火墙是应用最为广泛的一种形式，通过数据包过滤和代理服务，防火墙可以完成内部网络和外部网络之间强有力的安全屏障。本文对防火墙技术和防火墙体系结构进行了研究，重点论述了基于Windows操作系统内核的包过滤防火墙及其实现过程。【关键词】： 网络安全；防火墙；代理；因特网；NDIS一、引言随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。如何不断研究和提高信息安全技术已直接关系到社会信息化的发展。目前，普遍采用的技术主要包括加密、VPN(Virtual Private Network)、数字身份识别、访问控制、入侵检测、网络防火墙、反病毒等技术。据报道，96%的美国公司采用了网络防火墙技术，仅比位居第一位的反病毒技术低2个百分点。可见，网络防火墙技术在信息安全领域扮演着十分重要的角色。现在无论是企业，还是个人，信息安全问题都日益成为广泛关注的焦点。不要说绝大多数非专业的企业网站，就边专业的著名网站，如Yahoo！、eBay等著名网站都曾经被黑客用原始的DoS攻击方法攻陷过，软件系统巨人微软公司的网站也难逃“黑”运。在这样一个大环境下，网络安全问题凝聚了人们的注意力，大大小小的企业纷纷为自己的内部网络“筑墙”，防病毒与防黑客成为确保企业信息系统安全的基本手段。(一). 防火墙的定义 防火墙就是在可信网络和不可信网络之间的一个缓冲。“防火墙”这个概念实际是从建筑上一种技术派生而来的，这种技术通过用一堵有防火材料建成的墙体来阻止或减缓火势的蔓延。在计算机网络中，防火墙的基本功能是对网络通信进行筛选屏蔽以放未经授权的访问进出计算机网络。防火墙可以有不同的结构和规模。通常防火墙是有几台计算机构成的。防火墙具有如下特性： 1. 所有的通信都经过防火墙； 2. 防火墙只放行经过授权的网络流量； 3. 防火墙能经受得起对其自身的攻击1；(二). 为什么要使用防火墙 人们要提出的第一个问题可能是为什么要使用防火墙？把每个单独的系统配置好能经受住攻击不就行了吗？对此问题最简单的回答是：防火墙只专注一件事情在已授权和未授权通信之间作出决断，这就避免的在安全性，可用性和功能上进行权衡和妥协。 防火墙成为了与不可信网络进行联络的惟一纽带。于是，管理员就不用再确保多台机器要尽可能的安全了，他只要集中关注防火墙就行了。但这并不是说躲在防火墙里面的系统就不需要严格的安全措施了，防火墙只是提供了一层避免错误的额外保护而已。总之，防火墙减轻了系统被用于非法和恶意目的的风险。(三). 防火墙的规则防火墙不同的设计，防火墙可以在以下方面保护计算机的网络： 谁能够进入网络并发出信息； 什么内容能够进入网络或从网络出去； 用户和数据从哪里进入网络和离开网络，如何进入和离开网络2；防火墙的基本原理是对内部网络和外部网络之间的信息流进行控制，控制功能是通过在防火墙中预先设定一定的安全规则实现的。防火墙的安全规则有匹配条件与处理方式两个部分共同构成。其中匹配条件是一些逻辑表达式。如果信息使匹配条件的逻辑表达式为真，则说明该信息与当前规则匹配。信息一旦与规则匹配，就必须采用规则中的处理方式进行处理。一般来说，大多数防火墙规则中的处理方式主要包括以下几条： Accept：允许数据或信息通过； Reject：拒绝数据或信息通过，并且通知信息源该信息被禁止； Drop：直接将数据包或信息丢弃，并且不通知信息源；所有的防火墙产品在规则匹配的基础上都会采用以下两条基本原则中的一种： 一切未被允许的就是禁止的； 一切未被禁止的就是允许的；3二、防火墙技术(一). 防火墙模型防火墙模型如图1所示4。 OSI/RM 防火墙 应用层 网关级表示层 内部网会话层 外部网传输层电路级网络层路由器级数据链路层网桥级物理层中继器级 安全区域 防火墙系统 非保护区图1 防火墙模型 (二). 防火墙技术1. 防火墙的包过滤技术 基于包过滤技术的防火墙一般有一个包检查模块，包过滤可以安装在一个双宿网关上或一个路由器上实现，当然也可以安装在一台服务器上。数据包过虑可以控制站点与站点，站点与网络，网络与网络之间的相互访问，但不能控制传输的数据的内容，因为内容是应用层数据，不是包过滤系统能辨认的。包检查模块应该深入到操作系统的核心，在操作系统或路由器转发包之前拦截所有的数据包，当我们把包过滤防火墙安装在网关上之后，包过滤检查模块深入到系统的网络层和数据链路层之间，因为数据链路层是事实上的网卡(NIC, Network Interface Card)，网络层是第一层协议堆栈，所以包过滤防火墙位于操作系统软件层次的最底层5 12。 7. 应用层 IP TCP Session Application Data与过滤规则匹配吗6. 表示层转发包吗5. 会话层审计/报警 是 是 发送NACK结束丢弃包 4. 传输层3. 网络层 否还有另外的规则则吗防火墙检查模块2. 数据链路层1. 物理层是 图2. 包过滤模型2. 防火墙的应用层网络技术（代理技术）代理（Proxy）技术与包过滤技术完全不同，包过滤技术是网络层拦截所有的信息流，代理技术是针对每一个特定应用都有一个程序。通过设置代理服务，应用层网关可以控制网络内部的应用程序访问外界的方式。该服务充当客户端的替代品，代表单个用户请求Web页或是发送或接收电子邮件，这样可以避免用户与Internet的直接连接。这种隐蔽性可以最小化病毒，蠕虫，特洛伊木马等所造成的影响。现在，新的协议，服务和应用在不断的出现，代理不再能处理Internet上的各种类型的传输，不能满足新的商业要求，不能胜任对网络高宽带和安全性的需要1 9。3. 防火墙的电路级网关技术电路级网关的运行方式与应用级网关很相似，但是它有一个典型的特征：它更多的是面向非交互式的应用程序。在拥挤通过了最初的身份验证之后，电路级网关就允许用户穿过网关来访问服务了，在此过程中，电路级网关只是简单地中转用户和目的服务器之间的连接而已，电路级网关的典型例子就是代理服务器和SOCKS服务器。电路级网关的工作方式是对从受信任的网络发到不受信任的TCP连接进行中转。在中转过程中，源IP地址被转化成电路级网关的地址，使得外界看来是网关和目的地址在进行连接。电路级网关工作原理如图3所示6 16。 电路级网关IP 服务器客户机网络访问 图3. 电路级网关工作原理图4. 防火墙的地址翻译技术为了解决IP地址空间的不足和更好的提高内部网络的安全性，可以采用网络地址翻译NAT(Network Address Translation)技术，也称IP地址伪装技术（IP Masquerading）.因特网编号分配管理机构（IANA, Internet Assigned Number Authority）保留了以下IP地址空间为私有网络地址空间：55，55，55，因此我们可以采用私有网络IP地址空间，利用地址伪装网络地址翻译技术，建立对外部用户透明的私有网。对外部网络的用户来说，私有网是透明的，不存在的。这样一来可以防止内部网络结构被人窃取。因此从一定程度上降低了内部网络被攻击的可能性，提高了私有网络的安全性1。三、防火墙的体系结构(一). 包过滤型防火墙包过滤型防火墙可以用一台过滤路由器来实现，对所接收的每个数据包做允许拒绝的决定。路由器审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包过滤型防火墙模型如图4所示7 11 13 15。Internet 过滤路由器 根据站点的安全 策略来决定是否转发数据包内部网 图4. 包过滤防火墙通过检查模块，防火墙能拦截和检查所有出站和进站的数据。防火墙检查模块首先验证这个包是否符合过滤规则，不管是否符合过滤规则，防火墙一般要记录数据包情况，不符合规则的包都要进行报警或通知管理员。对丢弃的数据包，防火墙可以给发送方一个消息，也可以不给，这要取决于过滤策略。(二)双宿主机型防火墙双宿主主机的防火墙体系结构是相当简单的，双宿主主机位于因特网和内部网络之间。双宿主机是指拥有两个连接到不同网络上的网络借口的主机。双宿主机型防火墙的体系结构图如5所示。这中防火墙最大的特点是IP层的通信是被阻止的，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成10。Internet 双宿主主机 防火墙 工作站服务器工作站工作站 图5. 双宿主机型防火墙体系结构图双宿主主机能提高级别的控制功能，假设一点也不允许外部网络与内部网络之间数据包传输，那么如果在网络上发现了任何具有外部源的数据包，就可以断了存在的某种安全问题一般情况下，人们采用代理服务的方法，因为这种方法为用户提供了更为方便的访问手段。网络服务本身的特点就是“存储转发”，如HTTP(HyperText Transfer Protocol),SMTP(Simple Mail Transfer Protocol)和NNTP(Network News Transfer Protocol),这些服务很适合于进行代理。在双宿主机上，运行各种各样的代理服务器，当要访问外部站点时，必须先经过代理服务器的认证，然后才能通过代理服务器访问因特网。双重宿主主机是唯一的隔开内部网和Internet之间的屏障，如果入侵者得到了双重宿主主机的访问权，内部网络就会被入侵，所以为了保证内部网的安全，双重宿主主机应具有强大的身份认证系统，才可以被阻挡来自外部不可信网络的非法登陆。(三). 屏蔽主机型防火墙屏蔽主机型防火墙强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连。屏蔽主机防火墙包过滤路由器和堡垒主机组成。这个防火墙系统提供的安全等级比包过滤防火墙系统要高。屏蔽主机型防火墙结构如图6所示。所有入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。在路由器上进行规则配置，使得外部系统只能访问堡垒主机，去往内部系统上的其他主机的信息全部被阻塞。由于内部主机和堡垒主机处于同一个网络，内部系统是否允许直接访问Internet,或者是要求是网络堡垒主机上的代理服务来访问Internet由机构的安全策略来决定。Internet屏蔽路由器防火墙主机堡垒主机主机主机主机 图6. 屏蔽主机型防火墙结构(四). 屏蔽子网型防火墙屏蔽子网用了两个包过滤路由器和一个堡垒主机，屏蔽子网防火墙体系结构如图7所示。这种防火墙系统的安全性很好，因为在定义了“非军事区”(DMZ, Demilitarized Zone)网络后，它支持网络层和应用层安全功能。屏蔽子网防火墙体系结构最简单的形式为两个路由器，每一个都与周边网连接。一个位于周边网与内部网络之间，另一个位于周边网与外部网络之间，为了传入这种体系结构建筑的内部网络，侵袭者必须通过两个路由器。也可以在外部网络与内部网络之间建立分层的周边网，信任度较低和易受侵袭的服务放置在外层的周边网络上，远离内部网络。这样即使侵袭者侵入了外层周边网上的机器，由于外层周边网和内部网络之间有附加安全网，这样保证了内部网络的安全。对于进来的信息，外部路由器用于防范通常的外部攻击，并管理Internet到DMZ网络的访问。它只允许外部系统访问堡垒主机。内部路由器提供第二层防御，只接受源于堡垒主机的数据包，负责DMZ到内部网络的访问。对与去往Internet的数据包，内部路由器管理内部网络到DMZ网络的访问。它允许内部系统只访问堡垒主机。外部路由器上的过滤规则要求使用代理服务9。Internet外部路由器 DMZ网络内部路由器堡垒主机内部网络主机主机主机主机 图7. 屏蔽子网防火墙体系结构（DMZ）四、基于Windows操作系统内核的包过滤防火墙的系统的实现 实现包过滤的核心问题的任何截获所有的IP数据包。由于NDIS(Network Driver Interface Specification)库和接口标准是为驱动程序处理网络数据包和特定网络功能所设计的，因此，要实现对数据包的过滤，关键是利用NDIS机制来建立网络设备驱动程序，这样工作在内核模式的设备驱动程序就可以在网络层或数据层以下获取进出系统的所有数据包的IP源地址，IP目的地址，协议类型，端口号等信息，按照用户过滤策略，允许或拒绝数据包的通过，从而实现对数据包的分析过滤。在Windows 95,Windows 98以及Windows Me中，网卡设备驱动程序通常为Vxd。而在Windows NT中，设备驱动程序通常为Sys。在这些设备驱动程序中，一种设备驱动程序是硬件设备的专用驱动程序，另一种设备驱动程序是用来控制其他驱动程序的驱动程序，即设备驱动程序Vxd ，Sys也可以是建立在其他Vxd Sys之上的设备驱动程序。Vxd，Sys和NDIS的网络接口如图8所示。Windows操作系统的网络接口。操作系统网络接口如图9所示。在 Windows操作系统中，网络设备接口规范 (NDIS)起着十分重要的作用，它是网络层协议与网络接口适配器 (NIC)之间的桥梁纽带，所有的网络功能调用都通过NDIS接口函数访问网卡来实现。NDIS起着网络层协议与NIC之间的连接作用。从图10可知NDIS处于Miniport驱动程序的上面，Miniport相当于IEEE802标准的数据链路层的介质访问控制(MAC, Medium Access Control)子层，而NDIS则相当于逻辑连接控制(LLC, Logical Link Control)子层。当数据包到达网络适配器时，网卡驱动程序将数据通过NDIS发送给Miniport驱动程序，然后Miniport驱动程序通过NIDS发送给传输驱动程序，随后到达上层应用程序。同样，当要发送数据时，应用程序将数据发送给传输驱动程序，传输驱动程序通过NDIS发送给Miniport驱动程序，然后Miniport驱动程序通过NDIS发送给网卡驱动程序，最终发送到物理链路层上12 17。 TCP/IP 应用 VxdSysNDISEthernetMiniport NDISNDIS驱动3驱动2驱动1 Vxd NIC 驱动器 Sys网络接口卡网卡3网卡2网卡1图8. Vxd，Sys和NDIS的网络接口图9. 操作系统网络接口(一). 方案组成描述此处给出的PC防火墙系统主要由网络访问控制和安全文件系统构成，两个主要组成模块可以完全独立工作。网络信息访问控制系统实现对网络不同类别信息的过滤和监视，基于IP地址的数据包过滤和屏蔽网络攻击等核心功能。安全文件系统包括文件访问控制和文件加密系统，为了保存密匙和口令，安全文件系统还包含一个存放身份口令离线硬件。我们的PC防火墙组成示意图如图11所示。 网络访问控制 安全文件系统 用户界面 界面+硬件策略管理 策略管理IP层数据处理文件操作拦截图10. PC防火墙的系统组成1. Windows的NDISNDIS是由Micorsoft和3Com公司共同制定的TCP/IP等网络协议实现的标准，是Windows各个版本网络实现的标准。NDIS工作在Windows操作系统的内核模式，NDIS为TCP/IP不同的功能层次提供辨证的接口方式和数据结构。操作系统通过NDIS的相关接口将网络适配器封装成虚拟的网络设备（NIC，网络接口卡），将IP和不同的传输层协议栈以句柄的形式存放在内存。根据注册表有关网卡与不同协议的绑定关系，操作系统初始化过程将会把不同协议栈的相互调用关系指定清楚。总之 NDIS的API接口TCP/IP各个协议栈中无处不在。2. Windows的文件系统不同版本的Windows操作系统所能支持的文件系统不完全一致，9x系列的Windows操作系统支持FAT和FAT32，NT系列操作系统支持FAT和NTFS，而2000系列则三者都支持。应用程序通过文件系统在大容量的硬件设备上对数据进行存储和修改操作。每个文件系统在操作系统内是以一个或多个栈、设备驱动程序形式出现并且支持动态连接库方式定义数据格式和文件系统的特征。这些决定文件名，安全级别和基本输入输出方式等文件系统的特征。3. 虚拟设备驱动程序技术虚拟设备驱动程序机制Windows操作系统对各种用于共享某种同一设备而采取的手段，在Windows 9x系列中称为Vxd，在Windows NT系列中即Sys。由于虚拟设备驱动程序机制工作在最高特权级，因此可以对系统级资源进行读写操作。我们的网络层代理系统设计方案就是通过虚拟设备驱动程序对NDIS的功能函数进行拦截，所拦截主要是IP协议，所拦截主要是IP协议栈处理数据发送和接受的接口，从而实现IP数据包收发的控制。(二). 网络信息访问控制系统的实现网络信息过滤包括基于内容的信息过滤和基于站点IP的信息过滤，两者各有利弊，对信息过滤具有互补性。由于虚拟设备驱动程序工作在系统的内核，具有与操作系统同级别的访问系统资源的权限。因而和设计一个虚拟设备驱动程序，运行在操作系统初始化的恰当的时机，替换NDIS的在IP层某些核心接口，从而控制整个IP层的信息流，实现IP包的拦截。网络信息访问控制系统的具体功能模块如下：1. 网络信息访问控制系统策略管理 网络信息访问控制系统策略包括两个方面的内容，一方面是与信息过滤相关的策略和规则记录，另一方面是对网络攻击的策略。与信息过滤率相关的策略主要有不同的关键字如何组合，IP过滤规则表以外的控制策略（以下称为缺省IP访问控制方式），此外就是关键字记录和IP过滤规则记录的管理。通过关键字组合的设定，系统可以过滤对含有关键字内容特征的网络的信息的浏览；通过IP过滤规则表和缺省IP访问控制方式的设定，可以实现两种方式的控制策略：相信一切，怀疑一切。以下以IP过滤规则记录为例： IP过滤规则表IP地址（或域名）子网掩码目标端口控制方式80 允许访问 80允许访问80 拒绝访问缺省IP访问控制方式为： 拒绝访问网络攻击的情况十分复杂，可以通过以下方法在基本不影响PC网络效率的情况下较为有效的解决PC网络攻击的问题： 屏蔽有效的网络服务端口，只保留少数常用的网络服务端口，这种方法对特洛伊木马程序的控制尤为有效。 对网络邻居访问进行主动限制。 对PING攻击等少数PC常见网络攻击进行限制。2. 拦截IP包的虚拟设备驱动程序及其与上层程序间的通信本模块是整个系统的核心部分，运行在操作系统内核模式。虚拟设备驱动程序通过替换NDIS的IP层的关键接口，实现对IP包的拦截。具体需要能够对主机发送和接受的每一个IP包进行检查，获取IP源地址，目标地址和协议端口等IP头信息，而且需要能够对少数特定的IP包的内容进行扫描。然后，根据事先设定的访问规则拒绝，允许和其他过滤策略对IP包放行与否进行判断和实施。3. 拦截后的IP包处理流程根据对网络进出主机信息的实践和理论的分析，内容过滤基本上针对流入的网络信息，基于IP包的数据过滤则主要处理从主机流出的网络信息。IP流程包过程示意如图11,12所示。提取IP包头信息TCP数据N扫描TCP数据段该IP可疑N允许IP包进入传输层拒绝接受 图11.IP包流入流程取出目标IP和端口有此IP N直接丢弃该IP包缺省拒绝Y端口允许 N N Y Y将IP包提交给NIC图12IP包流出流程4. 访问控制对代理的透明通过应用层代理的方式与外部网相连是一种较为常见的网络连接方式。主机与网络服务器进行通信的时候是由两部分网络连接构成的，一个主机与代理服务器之间的连接，一是代理服务器与外部网服务器之间的网络连接。从数据包头多能看到的目标IP信息与我们需要过滤的目标可能不一致，从而通过代理服务器饶过了网络访问控制引擎。访问控制对代理的透明机制可以很好地解决这个问题。具体解决方法需要对不同的应用层代理机制进行分析，对TCP数据段内容进一步的扫描以分析出有关域名的关键字，再通过类似与IP过滤的机制进行处理，从而实现对代理的透明。(三). 安全文件系统的实现安全文件系统与网络信息访问控制系统完全独立，主要实现文件系统操作控制和加密处理两个方面的功能，具体功能模块组成包括文件安全策略管理，操作系统文件操作的截获与保密处理。1. 件系统安全策略管理文件系统安全策略管理运行在操作的用户态。文件系统安全主要有两个方面的内容，一是文件操作访问控制策略，包括对各种文件操作的具体限制措施和文件操作限制对象；一是文件系统的加密策略，是否在文件读写操作的过程中透明实时加解密，密钥和算法管理策略等。2. 文件系统操作的截获通过类似网络层截获数据包一样的方式，实现文件系统操作的截获则可以实现所需求的功能。通过设计一个运行在系统内核的虚拟设备驱动程序，在文件系统驱动启动之后替换文件的系统的主要操作。3. 文件系统的保密处理文件系统的保密处理需要实现两个方面的内容，加解密方式和密钥管理。加解密方式除了需要实现直接对文件和目录进行加解密操作外，系统还应该实现加解密操作的实时性和透明性。一个好的保密系统，其最终的安全性能基于密钥的管理。密钥与密文物理上的分离是一个基本的原则，这就要求将系统的密钥保存在一个可移动的存储设备上。五、结束语由上面分析可看出，以上各个部分紧密联系，相互配合，成为一个不可分割的整体。在极大的保证了系统的安全性、可靠性和高性能的同时，兼顾了系统的可用性、易用性。本文讨论了防火墙技术及防火墙的系统结构，对防火墙的基本种类作了研究，重点论述基于Windows操作系统的内核包过滤防火墙的系统的实现过程，通过本文对防火墙有了一定的了解，对今后的防火墙的研究有一定的帮助，但本文只是从理论上研究了防火墙，具体的实践还有待与以后更深层次的研究与探讨。参考文献1（美）keith E.Strassberg Richard J.Gondek Gary Rollie等著. 李昂 刘芳萍 杨旭 程鹏等译. 防火墙技术大全. 北京：机械工业出版社，2004: 1-3 52-61 2 周海刚. 网络安全技术基础. 北京：清华大学出版社，北京交通大学出版社，2004: 134-1423黄传河，杜瑞颖等. 网络安全 武汉：武汉大学出版社，2004: 31-404 谢希仁。计算机网络。北京:电子工业出版社,2003: 19-27 5 阎慧，王伟等. 防火墙原理与技术. 北京：机械工业出版社，2004: 5-96 郑连清. 网络安全教程. 北京：清华大学出版社，北京交通大学出版社，2004: 99-1087 Anonymous著. 詹文军等译. Windows安全黑客谈。电子工业出版社，2002.7: 244-2528 (美)Chris Hare，Karanjit Siyan.Internet. 防火墙与网络安全. 机械工业出版社，1998: 57-629 赵小林. 网络安全技术教程. 北京：国防工业出版社,2002: 227-23710 王睿 林海波等. 网络安全与防火墙技术. 北京：清华大学出版社，2000: 37-4711（美）Greg Holden著 王斌 孔璐译。 防火墙与网络安全入侵检测和VPNS. 北京：清华大学出版社，2004: 51-5812 杨义先 钮心忻. 网络安全理论与技术. 北京：人民邮电出版社， 2003: 141-150 168-175 13(美)Greg Holden著. 黄开枝等译. 防火墙技术. 北京：