10206013220何震宇 论文正文_管理学_高等教育_教育专区.docx

本科毕业设计（论文）( 2014届)题 目： 防火墙部署策略研究 专 业： 计算机科学与技术 班 级： 10计算机科学与技术一 姓 名： 何震宇 学 号： 10206013220 指导教师： 吴宗大 职 称： 副教授 完成日期： 2014年3月15日 防火墙部署策略研究摘要：在计算机网络日益普及的今天，网络安全问题日益严重，为了保护人们的隐私，网络安全产品随之被人们重视起来。防火墙作为最早出现的网络安全产品和使用量最大的安全产品，也越来越受到用户和研发机构的重视。本文简单概括了防火墙部署技术的概念、发展进程、功能及特性，介绍了常见的防火墙技术，分析了防火墙部署策略实例，并例举了大量成功的厂商和产品，用实例说明防火墙部署策略的重要性。关键字：防火墙部署；网络安全； 数据传输Abstract：In todays increasingly popular computer network, network security, a growing problem, in order to protect peoples privacy, network security products, followed by people pay attention to it. First appeared as a firewall network security products and the use of the largest security products, but also more and more attention of users and research institutions. This paper briefly outlines the concept of the development process, functions and features firewall deployment technology, introduces the common firewall technology, analyzes the firewall deployment strategy instance, and cites a large number of vendors and products a success, with important examples firewall deployment strategy sex.Key words: Firewall Deployment; Network Security; Data Transmission目录摘要IIABSTRACTIII1绪论- 1 -1.1前言- 1 -1.2防火墙部署技术概述- 1 -1.2.1防火墙部署技术概念- 2 -1.2.2防火墙技术发展进程- 3 -1.2.3防火墙部署技术功能- 4 -1.2.3防火墙部署技术特性- 6 -2 常见的防火墙技术- 7 -2.1 常见防火墙技术简介- 7 -2.2 防火墙技术分类- 7 -2.2.1 包过滤防火墙技术- 7 -2.2.2 代理服务器防火墙- 9 -2.2.3 状态检测防火墙- 10 -2.4 防火墙技术的优缺点以及局限性- 11 -3 防火墙部署策略实例分析- 12 -3.1 网络安全策略的基本思想- 12 -3.1.1数据加密技术- 12 -3.1.2计算机网络存取控制策略- 12 -3.2 防火墙在广播制播网中的部署实例- 13 -3.2.1.音频防火墙的实际需要- 13 -3.2.2 音频防火墙的应用- 14 -3.2.3音频防火墙的实施效果- 16 -3.2.4 音频防火墙实施总结- 16 -3.3 防火墙在连锁经营店的部署实例- 17 -3.3.1连锁店概述- 17 -3.3.2应用需求分析- 17 -3.3.3技术方案- 18 -3.3.4应用效果- 19 -3.4 防火墙技术在校园网中的部署实例- 19 -3.4.1信息共享资源的泄露- 19 -3.4.2计算机病毒入侵- 19 -3.4.3黑客攻击- 20 -3.4.4校园网内部用户的攻击- 20 -3.4.5 防火墙技术的优缺点- 20 -3.4.6 防火墙的优点- 20 -3.4.7防火墙的缺点- 20 -3.4.8 校园网安全方案与措施- 21 -3.4.9 合理设置防火墙系统- 21 -3.4.10禁止非法访问- 21 -3.4.11 加强对 IP 地址的保护- 21 -3.4.12解决校园网安全问题的其它措施- 22 -3.4.13封锁系统安全漏洞- 22 -3.4.14网络病毒的防治措施- 22 -4 防火墙厂商和产品介绍- 23 -4.1 天融信网络卫士防火墙 4000UF- 23 -4.2 CiscoSecurePIX防火墙系列- 23 -4.3 中网 LX - 320 防火墙- 24 -4.4 联想网御防火墙超五系列- 24 -4.5 诺基亚IP2250- 24 -4.6 Traffic Shield TM系列应用防火墙- 25 -4.7 Juniper无线 Net Screen-5GT- 25 -4.8 华为3Com Quidway SecPath1000F 防火墙- 26 -4.9 亿阳网警 BOCO.SFW-5000系列千兆防火墙- 26 -4.10 东软 NetEye NP防火墙- 27 -4.11 港湾 SmartHammer G503 防火墙- 27 -4.12 海信 FW3010 千兆防火墙 5000- 28 -5 结论- 29 -致谢- 30 -参考文献- 31 - 32 -1、绪论1.1前言在当今互联网高度普及和发展中，我们的生产生活方式都发生了巨大的变化，但是网络安全问题也越来越突出，数据在网络传输过程中泄露，恶意篡改，拦截及复制问题越来越严重。这些安全隐患使人们随时可能面临危险，如机密信息的泄露及计算机系统瘫痪等。面对不断升级的网络安全隐患，对于作为保护网络安全的重要手段的防火墙来说，也是发挥着不可替代的作用。防火墙是一种位于网络边界的安全保护技术，它主要是基于特定的安全部署策略，检查多个网络之间的连接方式和数据包的安全性，再决定应该执行什么样的措施来保护网络安全。除此之外，我们一般情况下会将被保护的网络成为内部网络，相反，其他的网络就成为外部网络。从逻辑的意义上来说，防火墙的工作原理类似于分离器、限制器和分析器，只不过防火墙结合了这三者的功能，从而形成一个新的三位一体的集合体。防火墙不仅可以有效的控制内部网络和外部网络之间的数据传输和访问，还可以防止外部网络用户利用非法手段通过外部网络进入内部网络访问并获取资源。防火墙在保护内部网络安全的基础上，进一步实现保护网络的安全。因此，防火墙技术是一种有效的信息隔离安全技术，对于构建安全的网络信息环境具有很重要的作用。所以，从这个角度来看，对防火墙部署在计算机网络安全中的应用价值进行分析是具有非常重要的现实意义。1.2防火墙部署技术概述“防火墙”来自于参考建筑结构在安全技术中使用的术语。在楼栋里用来起到隔离作用的墙，以分离不同的公司或房间，起到防火的作用。二十一世纪,在互联网技术的帮助下,不同地域的计算机实现了高效率的互联,没有时间和空间的限制。在这种背景下, 随之信息安全的内涵发生了根本性的转变,更为常态化、专业化、广泛化。计算机网络想要获取足够的安全系数,不但要具备可用性、完整性,而且要具备真实性、保密性,还要具备不可否认性和可靠性,由此可以看出,计算机网络安全问题是一个复杂和涉及范围广泛的问题。建立一个实用的计算机网络安全体系,并要得到法律和政策的相应支持,已经成为我国很急迫的任务。在所有的网络安全技术中,防火墙技术属于最基本的和最常用的。在网络安全中防火墙是指在不同网络或网络安全域之间设置一系列的组件，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽内部网络的信息、结构和运行状况，以此来实现内部网络的安全保护。它的主要作用是在不同的网络之间设置唯一的安全信息入口，根据用户设定的安全策略管理出入网络的信息流。它在内部网络(可信任网络)与外部网络(不受信任网络)之间形成一道安全保护屏障，以防止非法用户访问内部网络上的资源和非法向外透露内部信息，还可以防止这种非法和恶意的网络行为导致内部网络的运行遭到破坏。防火墙部署的基本思路，不是保护内部网络中的每台主机系统，而是提供能安装安全和监视组件的一个瓶颈，使所有对网络的访问都通过它，并尽可能地对外界屏蔽保护网络的信息和结构。它就像在网络周围挖了一条护城河，架起唯一一座桥并在上面设置安全岗哨，监察所有进出的人员，如防火墙在内部网络和外部网络之间建立了一个保护层，让所有的信息流都必须经过它，并通过监测、限制、更改所有流入流出防火墙的数据流，达到保护内部网络免受非法人侵的目的。防火墙自身具有很强的抗攻击性能，是一种实现网络安全的基本措施。网络防火墙自身就如一堵坚实的墙壁，将内部私有可靠的安全网络与外部公共不可相信的网络进行隔离，从而发挥区域网络的不同安全区域的防御作用。防火墙在内部网与互联网之间起到信息安全管理的作用，是通过一系列的安全部署策略，对互联网和内网之前相互传递的信息进行管理，从而起到保护用户数据和系统安全的作用。因此,人们应该加强对其了解,并很好的发挥它的作为屏障的作用,将来自互联网上的很多威胁拒之门外。1.2.1防火墙部署技术概念防火墙，顾名思义，是一种“墙”。但是这种墙不是我们通常说的钢筋混凝土所搭建起的墙，而是在互联网的基础上建立起来的，用来控制网络用户之间的访问，并防止外网用户非法入侵内部网络，访问内部网络资源的互联设备。 网络环境中所谓防火墙是指一种将内部网和公众访问网分开的技术，它实际上是一种隔离技术，是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，其目的在于保护计算机不被恶意损坏或骚扰。它可以用来加大在多个网络之间的访问控制，它的实现有各种各样的形式，一些实现非常复杂，但基本原理都是简单的。你可以把它当成两个开关，一个开关阻碍数据传输，另一个开关允许数据传输,设立防火墙的主要目的是保护网络免受来自其他网络的攻击损害,一般来说被保护的网络是我们自己的，或是由我们管理的，而所要防范的网络则是外部的网络，该网络是不可靠的，因为可能有人会从互联网上对我们的网络发起攻击损害我们的网络安全对保护网络包括下列工作：拒绝未经授权的用户访问，以防止未经授权的用户访问需要保密的数据资料，同时允许合法用户不受阻碍地访问内部网络资源。通过防火墙能够隔离互联网风险区域和本地局域网的连接，但并不会阻碍内部局域网用户对互联网风险区域进行访问。同时，能够监控出入网络的流量，防止内部网络被危险进程侵害，以免让客户端系统设备受到破坏或用户信息向外泄露。但是，不会干扰人们访问风险区域。其还可以监控网络通信量，保证经过核审的安全信息能够顺利进入，并抵制威胁网络安全的数据。防火墙是基于网络通信安全机制的,可以对来自网络的所以类型的信息进行筛选过滤, 允许安全有用的信息通过, 拒绝危险无用的通过,简单来说,就是只接收经过授权的通信。不同的防火墙注重的地方是不同的，从某种意义上来说，防火墙实际上代表了一个网络的访问原则。防火墙就像一个设立在电脑跟互联网之间的关卡,对出入数据信息进行判断和相关的处理。所以，防火墙是一个非常有效的网络安全模型。1.2.2防火墙技术发展进程防火墙技术和产品的发展经历了以下五个发展阶段：第一代防火墙第一代防火墙最早的出现在20世纪80年代，几乎同时与路由器一起出现，主要使用了包过滤技术，依附于路由器的包过滤功能实现防火墙的作用，包过滤这种类型是根据事先定义好的过滤规则审查每个数据包，以便判断其是否与某一条包过滤规则相匹配，而过滤规则基于数据包的报头信息进行制订的，报头信息中包括IP源地址、IP目标地址、传输协议（TCP、UDP、ICMP等）、TCP/UDP目标端口、ICMP消息类型等。管理员通过制订包过滤规则，使那些想通过防火墙的数据包被通过，并禁止其它的所有数据包的通过。随着网络安全重要性和性能要求的提高，防火逐渐发展为一个单独结构的、有特殊性能的设备。第二、三代防火墙贝尔实验室于1989年推出第二代防火墙，即电路层防火墙，同时提出第三代防火墙就是应用层防火墙的初步结构。由于第一代和第二代防火墙的安全性，而第三代防火墙能够对应用进行检查。到20世纪90年代初，第三代防火墙出现，又称为代理防火墙。第四代防火墙1992年，美国南加州大学研发出了基于动态包过滤技术的第四代防火墙。后来演变成目前所说的状态监视技术。1994年第一个基于这种技术的防火墙商业产品在以色列诞生。第五代防火墙1998年一种采用自适应代理技术的防火墙出现，它为代理类型的防火墙赋予了全新的意义，被称为第五代防火墙。1.2.3防火墙部署技术功能（1）报警功能：将任何有网络连接请求的应用程序通知用户，让用户自己判断是否同意请求或阻断其程序连接网络。（2）黑白名单功能：可以对现在或以前请求连接网络的程序进行规则设置，包括将来不允许连接网络等功能。（3） 局域网查询功能：可以查询本地局域网内所有的用户，并且可以显示所有用户的主机名字。（4）流量查看功能：查看电脑出入数据流量，可以直接全面的查看每时每刻的数据量和下载上传的数据率。（5）端口扫描功能：用户可以自己扫描机子的端口，扫描后会显示已经开放的端口。（6）系统日志功能：记录不同时间数据包进入计算机的情况以及连接网络的程序，其中包括记录程序的请求连网时间，程序目录路径等。（7）系统服务功能：查看、启动、关闭以及暂停存在于计算机内的服务程序。（8）连网断网功能：在不使用物理开关的方法下，可以使用户计算机连上网络或断掉网络。（9）数据包过滤功能：包过滤是防火墙所要实现的最基本功能，现在的防火墙已经由最初的地址、端口判定控制，发展到判断通讯报文协议头的各个部分，以及通信协议的应用层命令、内容、用户身份验证、用户规则甚至状态检测等等。（10）审计功能：防火墙综合网络配置和安全策略，根据对相关数据分析完成以后，就要做出接受、拒绝、丢弃或加密等决定。如果遇到一个访问违反安全规定，审计开始起作用，并作记录，报告等等。（11）远程管理功能：防火墙管理界面一般是对防火墙进行配置、管理和监控、查阅当前状态等。防火墙管理界面设计直接关系到防火墙的使用方便性和安全性。（12）NAT功能：网络地址转换已经成为防火墙必要的配置，大部分防火墙都加入了这个功能。当前防火墙通常采用双向NAT：SNAT和DNAT。SNAT用于转换内部网络地址，对外部网络隐藏起内部网络的结构，使得对内部的攻击更为不易；并且可以节约IP资源，这有利于降低成本。DNAT主要实现用于外网主机对内网和DMZ区主机的访问。在所有IP地址中，一些特定的IP地址被指定为“专用地址”，比如IP地址为192.168.0.0，其被指定为局域网专用的网段IP地址，这些IP地址在企业内网中使用，但在互联网中没有意义。因为这些“专用地址”不能通过互联网路由，所以使得内部设备一定程度上已经可以抵御入侵。当这些内部设备需要访问互联网时，网络地址转换（NAT）可以将专用地址转换成互联网地址。防火墙技术扮演了一个完整的网络地址转换的功能，它隐藏了服务器的真IP地址，有效地防止恶意攻击服务器或内网主机。（13）流量控制和统计分析模块功能：流量控制对于防火墙技术来说是相对简单的统计功能，主要的计算机网络安全与防火墙技术分析可以分为基于单个IP地址控制或者基于用户控制。基于IP地址控制是对整个防火墙的网络接口流量进行统一的控制，而基于用户控制是通过判断用户登录的用户名进行分析每个用户的流量的使用，从而有效的方法对于某些应用程序或者用户消耗太多的资源而造成资源的浪费。（14）保护内部网络功能：防火墙可以增强计算机网络的安全性，使得内部网络处于风险较小的环境中。对于内网中必要的服务例如NIS或NFS，防火墙通常采取公用的方法进行使用，有效地减轻了内网管理系统负担。（15）监控访问内网系统行为功能：防火墙具有监控外部网络访问内部网络行为的能力。消除邮件服务或信息服务等一些特别情况，防火墙通过过滤掉不必要的外部访问，限制他人进入内部网络，并将不安全的服务和非法用户过滤掉，可以有效的拒绝外网对内网的访问，起到保护内网安全的作用。（16）防止内网信息外泄功能：防火墙完成了内部网络的合理划分，实现了内网内部关键网络的隔离，从而限制了内网中不同网络之间的访问，确保了内网重要数据的安全。（17）监控网络数据访问行为功能：因为内网与外网之间的所有数据访问行为都要通过防火墙，所以防火墙可以记录访问行为日志，提供网络使用情况统计数据。当检测到可疑的入侵行为时，防止入侵人士接近网络防御设施，防火墙做出报警，从而实现了对网络访问行为的有效监控。1.2.3防火墙部署技术特性防火墙应具有以下5方面的特性: （1）内部网络和外部网络之间传输的所有数据都必须经过防火墙。 （2）只有经过授权的合法数据和防火墙系统中安全策略允许的数据可以通过防火墙。 （3）防火墙本身不受各种攻击的影响。（4）使用目前新的信息安全技术，比如现代密码技术等。（5）人机界面良好，用户配置易于使用，易于管理。2、常见的防火墙技术2.1 常见防火墙技术简介在当前的IT市场背景下,通常防火墙技术主要包括纯软件防火墙技术和物理防火墙技术两种。纯软件防火墙技术主要是基于金山毒霸、瑞星杀毒等杀毒软件开发出来的防火墙，物理防火墙技术是指用具体的网络设备,建立了在不同网络或网络安全域之间的一系列部件的组合。具体可分为代理服务器、状态检测和包过滤等三种。（1）代理服务器防火墙（2）状态检测防火墙（3）包过滤防火墙随着互联网技术的发展,防火墙技术也不断更新,当前防火墙的功能和分类有了明显的提升,就其功能而言,我们可以简单地分为两类:应用级防火墙和包过滤防火墙。2.2 防火墙技术分类 防火墙技术虽然很多，但总的来说可以分为包过滤防火墙、代理服务器防火墙、状态检测防火墙和自适应代理防火墙等等。2.2.1 包过滤防火墙技术防火墙是一个企业内部网（Intranet ）和外部网（Internet ）之间由计算机硬件和软件建立一个安全系统。从本质上讲是一种装置，实际上指的是根据网络用户的不同需求和性质，把路由器或交换机等局域网设备，从逻辑上而不是物理上划分为若干个“逻辑工作组”，每个逻辑工作组，我们可以把它叫做一个虚拟局域网。其中同一个虚拟局域网用户共享广播，但不同的虚拟局域网用户之间的数据隔离，以及它们之间的信息传递的完成需依靠交换机或路由器。同时，在同一个虚拟局域网用户，没有在同一个物理LAN上的需要，他们可以在不同的局域网，但能跟处于同一LAN上一样，通信自如，而不被物理位置所限制。对TCP / IP协议为根本的计算机网络中，IP地址是联网计算机识别其在网络中的具体位置的主要依据，以数据包形式在计算机之间传输信息，并都具有特定格式，数据包包括发送方和接收方的IP地址和端口号以及其他相关信息，这些信息被传输到互联网上后，路由器首先读取数据包中接收方的IP地址，并且基于该地址选择发送数据包的物理路线；所有的数据包的完成传送后也需要被组装还原。包过滤防火墙设计主要依据这个原理，从而进行数据包访问控制。数据包过滤产品是防火墙的主要类型之一。在网络层中，包过滤对数据包的通过有所选择，根据系统预先设置好的过滤逻辑,检查每个数据流中个的数据包,依据数据包的源地址、目的地址和端口用于确定是否允许此类数据包通过。在互联网这样一个信息包交换网络上,往来的所有信息都被分为许多长度一定的信息包,这些信息包包含了发送方和接收方各自的IP地址。把这些包送到互联网上时,路由器会读取接收方的IP并选择一条发送物理链路,信息包可能会从不同的路线到达目的地,当所有的包到达目的地后会被再次组装还原。包过滤防火墙将所有包里的IP地址、通过信息检查一遍,并根据由系统管理员设定的过滤规则过滤信息包。如果一个IP地址被防火墙设定为危险的话，,从这个地址的所有信息将被防火墙阻止。这种防火墙的用法很多,比如包过滤防火墙可以被国家相关部门用来禁止国内用户访问“有问题”或违反我国相关规定的外国网站。数据包过滤防火墙通过读取数据包,从一些相关信息来判断数据的可信度和安全性,然后以判定结果为依据,进行数据处理。一旦数据包得不到防火墙的信任,便无法进入计算机操作系统。该防火墙技术具有很强的实用性,在一般网络环境下也可以保护计算机网络的安全,操作方便,成本低。作为防火墙中最基本的类型，它在实际应用中得到了很大的推广。然而,因为该技术是基于一些基本的信息来确定其安全性,对于某些应用程序和邮件病毒不能起到有效的抵制作用。一些数据为骗过防火墙的数据包过滤，通过伪造IP地址的方法,然后施行攻击和破坏。这在一定程度上可以对计算机网络安全构成威胁。包过滤是一种常见的、有效的和廉价安全手段。因为它并不是为每一个具体的网络服务采用特殊的处理方式，适用于所有网络服务,所以常见；因为它可以在很大程度上满足大多数企业的安全要求，所以有效；因为大多数路由器都具有包过滤功能,这类防火墙大多数由路由器集成，所以廉价。包过滤防火墙技术可以发挥一定的安全保护作用,也有很多优点,但也有很大的缺陷,无法提供比较高的安全性。因此,在实际应用中,包过滤技术很少作为一个单独的安全解决方案,它通常跟其他防火墙技术组合在一起,形成一个防火墙系统。 2.2.2 代理服务器防火墙Proxy Server是代理服务器的英文全称,它的功能是代理网络用户获取网络信息。形象的说:它是网络信息的驿站。一般来说,我们使用一个网络浏览器来直接连接到其他Internet站点取得网络信息,必须发送Request信号得到回答,然后对方再以bit方式把信息传送回来。代理服务器是一个web服务器和浏览器之间的服务器,因为有了它，浏览器是向代理服务器发送请求，先将Request信号送到代理服务器，浏览器所需要的信息由代理服务器取回，并传送给发送请求的浏览器。此外,大多数代理服务器都有缓冲的功能,这好像一个大Cache,它有大量的存储空间,它会不断地将新数据存储在机器的内存,如果浏览器请求数据的本地存储已经存在,而且它是最新的,那么它不是重新从Web服务器获取数据,而是直接将存储器上的数据传输给用户的浏览器，,所以你可以显著提高浏览速度和效率。更重要的是:代理服务器是Internet链路级网关提供了一种重要的安全功能,其工作主要是在开放系统互连。代理型防火墙，就是代理服务器,它会回应输入封包,屏蔽内部网和外部网之间的信息交换。因为代理网络位于服务器和客户机之间,这时对客户机来说，代理防火墙是一个服务机器,它增强了外部网络窜改内网的阻力,即使误用一个内部系统，也不会导致改善计算机安全漏洞在防火墙之外入侵。它极大的网络安全性,而且正向应用层发展,可以针对应用层的病毒入侵实施保护措施。这种新型的代理防火墙技术的缺点是增加投资的成本,和对管理员的专业技能和综合素质有较高的要求,给网络管理带来了一定的压力。从本质上讲,代理是在互联网网关防火墙设置特定功能的应用层代码,代理的主要功能是监控数据流,过滤数据流、记录数据流和报告数据流等。在应用层，代理的任务主要是控制应用层服务,在内部网络向外部网络申请服务是进行转接,对内网来说，唯一被接受的服务请求只有代理提出的,将外部网络其他接点发出的请求直接拒绝。代理的工作原理并不复杂,用户与代理服务器之间的连接建立后,向代理发送目的网站信息,如果请求是合法的,代理将和目的站点建立连接,然后两者之间的数据传输转发。代理的主要特点是状态性,可以提供相关的状态和传输信息,审计,此外,内部IP地址也可以隐藏,和包过滤路由器相比,安全策略的实施更严格。所有特定的应用程序有独家代理模块,对管理员来说,代理的选择可以从实际需求出发来安装需要的代理。代理型防火墙主要集中作用在应用层,是建立在网络应用层上协议过滤和转发功能,通过防火墙检查发送和接收的数据包,并通过防火墙复制给传输的数据包,层交换技术能识别数据帧携带的MAC地址信息,并以此为基础对数据进行转发,而且通过这些MAC地址对应的计算机网络端口,可以把局域网的用户记录在内部的MAC地址表中。 代理防火墙的最突出特点是,将防火墙网络通信链路可以分为两个部分。应用层在防火墙内部和外部之间的“链接”计算机系统包含两个“链接”在代理服务器上,外部计算机网络链接只能达到代理服务器,它起到隔离在防火墙内部和外部计算机系统的作用。除此之外,代理防火墙发现被攻击的迹象时,将通知网络管理员,维护攻击现场。也就是说,在代理服务中,内部每个站点之间的链接被切断了,代理服务器在幕后操纵各个站点之间的连接。2.2.3 状态检测防火墙 状态包检测防火墙采用状态包过滤技术,是传统包过滤的功能扩展。状态检测防火墙在网络层中有个检查引擎截取数据包并提取应用层状态相关的信息,并在此基础上决定接受或拒绝连接。这种技术提供了高安全性的解决方案,同时具有良好的适应性和可扩展性。状态检测防火墙通常也包括一些代理的服务,他们提供额外的支持应用程序数据的具体内容。状态检测技术是最适合提供UDP协议有限的支持。它将所有UDP数据包通过防火墙作为一个虚拟连接,当反向应答分组送达时,被认为是一个虚拟的连接已经建立。状态检测防火墙弥补了包过滤防火墙和代理服务器的缺陷,不仅检测源地址和目的地址,而且不需要每一个访问应用程序都有代理状态检测防火墙是第三代防火墙技术,可以对网络通信的各个层进行检测。跟包过滤技术一样,它可以通过IP地址和端口号和TCP检测标签,对发送和接收的数据包进行过滤。它允许受信任的客户端和不可信主机直接建立连接,不依赖于应用层相关的代理,而是依靠一种算法来识别应用层的数据,这些算法通过已知的合法包模式比较数据包,所以理论上可以比应用级代理过滤数据包更有效。状态监视器监视模块支持多种协议和应用程序,应用程序和服务可以很容易地扩大。此外,它还可以监视RPC和UDP端口信息,但是包过滤和代理不支持这种类型的端口。通过这种方式,对各层监控，状态监控实现网络安全的目标。目前多使用状态监测防火墙,它对用户都是透明的,在OSI最高层对数据进行加密,而不需要修改客户端程序,也不需要对每一个需要在防火墙上运行的服务增加一个附加的代理。监测型防火墙可以主动监测网络通信数据,在很大程度上改善了计算机网络的安全情况。过滤破坏网络环境和网络操作的信息和数据是电脑防火墙最原始的设计理念,但监测型防火墙处于主动地位来监测信息,它有一个非常突出的优点,有很强的保证计算机安全性的能力。但是,该类型防火墙的缺点之一是管理及投资成本,因此,目前这种防火墙技术没有得到普及。在实践中,可以根据具体的网络环境,选择相符的监测技术,这样我们可以在提高计算机网络安全的基础上,降低投资成本。2.4 防火墙技术的优缺点以及局限性几种防火墙的技术比较（1）包过滤防火墙过滤数据包本身,而不是一个针对特定的网络服务,因此,包过滤防火墙可以适应所有的网络。和包过滤防火墙主要是通过路由器的数据包检测,大多数路由器都有数据包监测的作用,因此,包过滤防火墙价格较低,性能高,处理速度快。但是,这种防火墙安全性不高,难以识别用户的身份。包过滤防火墙,一般是安装在网络层的路由器上,可以根据由网络管理员设置的访问控制列表,有效筛查通过防火墙所有传送信息的IP源地址、目的地址和封装协议和端口号。但由于防火墙无法确定数据包的源,目标和端口等,对于恶意JAVA小程序病毒,电子邮件病毒和其他基于应用层的恶意入侵,不能识别,威胁到网络的安全。(2)代理防火墙是一种工作在应用程序级别的防火墙,能监控网络连接的内容，可以在某种程度上打破内部网络和外部网络的连接,使网络活动更安全,但它在监测网络中较深内容的时候速度减慢,在数据吞吐量大市容易出问题，因此它不适合高速网络。代理服务器防火墙,也就是代理服务器，通常坐落在用户终端和服务器之间可以完全阻止两者之间的数据交换。包括服务端程序和客户端程序。相对于包过滤防火墙，代理服务器防火墙可以在应用层工作,而且不提供直接的外部网络和内部服务器的数据通道,安全性高。（3）状态监测防火墙可以通过测试模块提取和动态监测数据的保存,方便日后制定安全决策。在安全规则和网络配置的基础上，该类型防火墙主要是提取分析用户的访问请求的数据，及时决定接受,拒绝,身份验证或加密等决策。当发现违反网络配置和安全规定的访问数据时,发出安全警报,同时防火墙拒绝访问,向系统管理器报警。但是状态监测防火墙配置更为复杂,会影响网络信息传输速度的提高。在目前的防火墙市场,一般采用采用应用网关集成包过滤技术。3、防火墙部署策略实例分析3.1 网络安全策略的基本思想所谓的计算机网络安全策略主要指的是在具体的计算网络环境中，以确保计算机网络安全保护的水平需要遵守的规则。由于计算机网络系统可随时遭受到各种攻击，所以，必须提高网络安全策略，如果采用相对单一的安全策略，就不能起到很好保护计算机网络的作用，所以，常常需要配合使用多种安全策略。3.1.1数据加密技术在计算机网络系统中，数据加密技术可以更有效地保护网络信息和数据，进行数据的加密处理主要是为了防止计算机网络数据遭到窃取、篡改及破坏。一般来说，使用更多的数据加密技术主要包括链路加密、节点加密、端端加密以及混合加密等方式。3.1.2计算机网络存取控制策略网络存取控制策略可以识别计算机网络用户的身份，防止非法用户的入侵，威胁网络信息和数据。目前，网络存取控制方法比较多，使用比较多的技术包括如下几种：（1）身份识别技术，这是一个计算机网络安全系统中的基本技术特征外，也是通讯双方身份验证过程中较为有效的手段，当用户向系统进行服务请求的发送过程中，首先对其身份进行证明，例如，输入用户名和密码等。而系统必须具备对用户身份进行验证的功能，通过验证用户所输入的信息，判断这个输入是否来自合法用户，保证合法用户的使用权益；（2）数字签名技术，它主要指的是电子形式的签名，通过密码形式来提高计算机网络系统的安全。更为常用的数字签名技术包括双密匙与单密钥两种技术。其中，单密钥体制所采用的加密及解密密钥不能对外公开；而双密钥体制是两个用户公开登记的密钥，是对方进行签名验证的主要依据之一，双方均具有各自的保密密钥，可对所发送数据做出保密；（3）存取权限控制技术，它主要控制如下两点：第一是防止非法用户入侵系统，第二是防止合法用户非法使用系统的资源。对于开放的系统来说，必须对网络资源制订相关的使用规定，一方面要处理什么类型的用户可以合法访问定义哪些资源，另一方面，也处理合法用户的操作权限定义。只有把这两点分清楚了，并且规范权限控制，才能保障计算机网络的安全；（4）灾难恢复策略，即所谓的备份策略。管理人员必须备份服务器上的有关数据，备份的常用形式有本机完全备份和网络备份两种形式。应当不定期地进行备份，尽可能让它远离服务器，将它单独的存储在独立的空间，防止因火灾和盗窃等原因导致数据信息丢失。3.2 防火墙在广播制播网中的部署实例随着广播业的快速发展，广播与外界之间的数据交流更加频繁，以避免外界对安全制播的干扰，引入音频防火墙到广播制播网中就显得非常重要。目前，大部分的市级广播电台音频制播网都是单独的内部网络，与广播电台的办公网、广播门户网等是完全物理隔离，目的是为了避免外界对安全制播干扰影响。广播电视台不允许在音频制播网内使用U盘、移动硬盘等外接设备的，与音频制播网的文件交换由技术中心指派专人使用专门的设备进行拷贝，这种做法不仅延长了编辑记者使用外采音频编辑节目的时间，而且阻碍了广播电台与外界之间大量的音频数据交换。 3.2.1.音频防火墙的实际需要 随着当代广播业的发展，封闭式的网络隔离管理模式已经不能满足实际工作的需求，广播电台音频制播网与国际互联网以及其它外界媒介之间需要交换的音频资料更加频繁，实际工作中主要如下表现： 1.1 广告和市场营销的需求。随着广播电台广告市场营销的规范化管理，一幅完整的广告和营销要经过六个步骤：广告营销人员与客户达成初步意向。广告营销人员根据广告频率时段及客户的宣传内容填写广告制播申请表。广告宣传音频制作。主管领导听取并审判。让客户审阅广告内容并签署正式广告合约。交给广告管理人员备案并输入广告自动播报系统管理流程。其中广告音频的制作，主管领导审判，广告客户审听等很多环节都要通过U盘的拷贝，刻光盘来完成，此种复杂的操作很大程度减弱了广告市场营销部门的效率。 1.2 节目交换的需要。互联网时代，有越来越多的诸如WAV、MP3等多种格式的外买节目需要被传到音频制播网中使用，节目制作人员已经习惯了使用U盘，SD卡这样的介质存储音频文件，编辑记者每天外采的新闻录音也需要快速地进入音频制播网，而不是作为一个1:1的录放MD录音机；另一方面广播电台每天也需要与外界进行大量的数据交流，例如网站的点播节目，节目的审判听取参与评论，与友台之间节目交流以及节目音频资料数据存储等。 1.3 安全播出的需要。广播电台每天都会加大许多的音频文件用于节目自动播出和节目点播回放等，要使音频文件不仅限于音频制播网络中，就必须要在严格确保安全的前提下实现数据库及音频文件多地点、多载体的备份，这样在系统出现严重故障时，就能有效及时地恢复备份数据，减少损失、保证广播的实际需求的安全。 3.2.2 音频防火墙的应用 近年来出现了一些省、市级广播无线电音频制播网遭受到病毒侵害而影响安全播出的情况，所以引进一个安全且高效的硬件音频防火墙显得非常重要。在改造音频自动播出系统时认真总结旧的音频制播网不足，购买了北京英夫美迪公司的音频防火墙IAF-100，是为了进一步保障安全播出，提高了音频制播网络的使用效率。 1.1音频防火墙IAF-100简介 音频硬件防火墙IAF-100内置的管理软件是非开放式，不仅有存储卡、U盘等设备的读卡器接口，还可以通过USB接口与移动硬盘、电脑等设备连接，有丰富的接口，规范技术规格，拆装方便，有较高安全性和稳定性。 专门的RTOS操作系统，而非Windows或Linux，拥有自主知识产权，以保障操作系统内核的绝对安全； 从最底层硬件开始开发，完全消除PC平台带来的不安全因素； 专门的私人通讯硬件和软件，所有数据都经过严格筛选； 对音频文件和视频文件进行逐帧检查，并严格保障文件的安全性； 支持U盘、SD卡、CF卡、记忆棒等外接存储器上的文件经过逐帧检查后进入内部网络的工作站； 支持外接计算机上的文件经过逐帧检查后进入内部网络的工作站； 可以通过内部网络网口直接连接到内网上的计算机的网卡，也可以连接到内部网络交换机。 1.2音频防火墙IAF-100安全性 音频防火墙IAF-100利用专门的RTOS实时操作系统和专门开发的通信硬件和软件，能够实现将存储介质上的文件传输到音频广播制播网中，实时分析和过滤音频文件，当发现不是音频文件时，会拒绝上传或丢弃音频文件无法识别的数据。音频防火墙IAF-100对音频文件进行严格的检测，并逐帧检测，确保任何有威胁的病毒代码都不能藏在在音频文件中传到内部网络，无法得到执行。同时出于安全原因，音频防火墙IAF-100的内部网络和外部网络之间的通信硬件和软件都是自己研发的，而内部网络和外部网络两端的网络接口均是标准配置的百兆以太网，具有内置的嵌入非开放系统，防止防火墙本身被感染，内部网络和外部网络文件交换是一种独木桥式的专用通信硬件或软件，通过IP进行攻击的可能性不存在；此外也可以通过智能交换机锁定音频防火墙IAF-100的MAC地址，保障音频防火墙上的网线不会被拔下并被其他非授权计算机使用。 1.3音频防火墙IAF-100与音频广播制播网的对接 音频防火墙IAF-100在制播网中通过音频防火墙软件来读取写入外部文件。它支持的文件格式不仅包括无线电专用格式S48，还支持流行的音频文件格式MP3、WAVE、BWF等，支持的编码帧检查的编码格式MPEG-1LayerII、MPEG-1LayerIII以及LinearPCM。 音频防火墙IAF-100与现有广播制播网实现对接： 音频防火墙IAF-100与广播制播网有两种对接方式： 独占方式：在有文件交换需要的工作站旁把一台音频防火墙连接到广播网络交换机上，或者是通过安装在该工作站上第二网卡连接该音频防火墙，那么这台音频防火墙就成为了该工作站一个经过安全认证的单独使用的外接存储读写器。 共享方式：将音频防火墙设置成共享模式，连接到内部网络交换机上，提供多台工作站访问外部文件使用。通常，一个办公室可以配置一个类型共享模式的音频防火墙。1.4音频防火墙IAF-100的安装调试 音频防火墙IAF-100硬件安装 将音频防火墙IAF-100固定在广播制播网内某一工作站旁，连接USB升级线和网线，连接电源适配器，打开电源开关，完成硬件安装。 音频防火墙IAF-100参数设置 要设置防火墙，先关掉防火墙后面的电源开关，再拔掉网线，将用于升级的USB数据线连接到音频防火墙后面的USB端口上，将后面的升级开关调整到更新位置，打开音频防火墙电源开关（ON），此时在工作站“我的电脑”中可以看出可移动磁盘，就是音频防火墙IAF-100，并且能发现隐藏的配置文件SYS.INI。双击安装光盘上的安装文件IAS_SETUP_CHS.EXE，完成设备驱动程序的安装。 配置音频防火墙IAF-100有两种方式：一是使用程序自带的配置文件编辑器CFGEditor.exe，二是直接用记事本配置SYS.INI文件，覆盖原来的初始文件。然后关闭音频防火墙电源，拔下USB升级数据线，连接网线，将更新按钮转回正常状态，再开启音频防火墙的电源，即可插入U盘等测试。 设置sys.ini文件参数： 音频防火墙IAF-100及广播制播网客户端的安装调试工作基本完成后，就可以重复的进行上传下载测试。音频防火墙只对规定格式范围内的文件予以放行，拦截不符合要求的文件类型及数据包，然而，在用户访问安全性方面，只对配置文件中设置好的IP用户进行放行，始终确保上传下载安全环境的稳定。 音频防火墙IAF-100使用 音频防火墙IAF-100的使用界面，使用前先连接U盘、SD卡等外部存储设备至音频防火墙前置面板的相应端口上，点击“刷新”按钮，检查设备的连接情况，如果连接成功，在音频防火墙使用界面的最低端会提示“已连接”。在实践中也经常会遇到一些U盘、SD卡和音频防火墙连接不成功的情况，也就是我们常说的“挑盘”。连接成功后，在“地址”栏中点击下拉式菜单按钮，选择连接的外界存储器，即可浏览该存储器内经音频防火墙过滤后的音频文件。 文件的上传与下载。上传文件：是指将外部存储器的音频文件通过音频防火墙的安全检查上传到广播制播网络工作站上。上传文件时，首先在U盘、SD卡等设备中找到需要上传的文件的位置，选择单个或者多个文件，点击“传至PC”按钮，则文件将自动通过音频防火墙的安全检查过滤拷贝到与本台音频防火墙关联的工作站上。下载文件：是指将广播制播网工作站上的音频文件通过音频防火墙的安全检查下载到U盘等外部存储设备上。下载文件时，首先点击“传至设备”，在弹出的对话框中找到需要下载的音频文件，选择一个或者多个，点击“确定”，则可自动经过音频防火墙的安全检查过滤拷贝到外部存储设备上。 音频防火墙的快速预听性能。音频防火墙IAF-100客户端为用户提供了音频文件快速预听性能，便于用户通过预听文件内容及时便捷地找到需要上传下载的音频文件。 3.2.3音频防火墙的实施效果 广播电视台在广播制播网中使用音频防火墙，极大地改变了传统的音频文件传输模式：将音频资料按1：1的录放速度导入导出的原始运行模式，编辑记者使用录音笔、MP3等便携设备录音后，通过音频防火墙直接将外部文件进行过滤筛选，将录音以数据读取的方式安全、高效的导入到广播制播网中，方便的实现的数据的交换，大大的提升了工作效率，解决了互联的安全问题，防范了病毒侵害。该台自从使用音频防火墙以来，整个广播制播网运行安全、稳定。 3.2.4 音频防火墙实施总结总之，音频防火墙是一种更加私密、更加安全的数据交换技术设备，从最底层硬件平台开始研发，为内部和外部网络的数据流通提供了安全快捷的解决方案。它改变了广播制播网中的完全物理隔离，在确保广播制播网安全、高效、稳定运行的前提下，提升了工作效率，为广播制播网内部和外部文件的交互提供了安全的保障。3.3 防火墙在连锁经营店的部署实例3.3.1连锁店概述作为全球领先的餐饮行业的领导者百胜现有五朵金花，肯德基、必胜客、塔可钟，AW所有美国食品和长约翰银色，参与了炸鸡、披萨饼、墨西哥菜、热狗汉堡、海鲜休闲快餐五个餐饮企业市场。作为中国餐饮连锁经营模式为模型的肯德基连锁店，目前拥有1000多家分支机构，遍布中国200多个城市，以直接经营店为主，特许加盟店约4-5。使用统一的品牌、统一的管理、统一的货源、统一的价格、统一的服务和廉价的美食、物品多样性等特点，肯德基已经是一个家喻户晓的名字。3.3.2应用需求分析 目前，肯德基连锁店有很多的企业内部供