毕业设计（论文）_网络安全中的防火墙设计

网络安全中的防火墙摘要随着计算机网络日益普及，网络技术正在改变着人类得现实世界，改变着人们得工作方式、学习方式以及生活方式。在经济、文化、科研、军事、政治、教育和社会生活各个领域内发挥这越来越重要的作用，对于各类信息的收集、分析、传输以及交换等处理，计算机网络越来越成为必不可少的途径。计算机网络的发展进一步走向开放，开放的计算机网络给人们提供了更多得机会和方便，社会正越来越依赖于网络及其存储的信息，然而网络的开放性也带来各种各样的复杂问题。其中网络安全是最令人关注的也是最重要的问题之一。在网络社会里，国家、政府、企业、学校和个人都面临许多潜在的网络安全的新挑战和新危险，网络的安全性受到前所未有的重视。防火墙是目前网络安全领域广泛使用的设备，其主要目的就是限制非法流量，以保护内部子网。从部署位置来看，防火墙往往位于网络出口，是内部网和外部网之间的唯一通道，因此提高防火墙的性能、避免其成为瓶颈，就成为防火墙产品能否成功的一个关键问题。【关键词】计算机防火墙网络安全黑客攻击FIREWALLINNETWORKSECURITYSUMMARYPLAYANINCREASINGLYIMPORTANTROLEINTHIS,FORALLTYPESOFINFORMATIONCOLLECTION,ANALYSIS,TRANSMISSIONANDEXCHANGEPROCESSING,COMPUTERNETWORKSAREINCREASINGLYBECOMINGINDISPENSABLESMALLWAYTOFURTHERTHEDEVELOPMENTOFCOMPUTERNETWORKSISOPENTOTHEPEOPLESCOMPUTERNETWORKWASTOPROVIDEMOREOPPORTUNITIESANDCONVENIENCE,SOCIETYISINCREASINGLYDEPENDENTONTHENETWORKANDITSSTOREDINFORMATION,HOWEVER,THEOPENNESSHASALSOBROUGHTAVARIETYOFCOMPLEXPROBLEMSNETWORKSECURITYISONEOFTHEMOSTCONCERNISTHEMOSTIMPORTANTISSUESINTHENETWORKSOCIETY,STATE,GOVERNMENT,BUSINESSES,SCHOOLSANDINDIVIDUALSAREFACEDWITHMANYPOTENTIALNEWNETWORKSECURITYCHALLENGESANDNEWDANGERS,NETWORKSECURITYUNPRECEDENTEDATTENTIONFIREWALLISWIDELYUSEDNETWORKSECURITYDEVICES,ITSMAINPURPOSEISTORESTRICTTHEILLEGALFLOW,INORDERTOPROTECTTHEINTERNALSUBNETVIEWFROMTHEDEPLOYMENTLOCATION,NETWORKFIREWALLSAREOFTENLOCATEDINEXPORT,ISINTERNALNETWORKANDTHEONLYACCESSBETWEENEXTERNALNETWORKS,THEREBYINCREASINGTHEPERFORMANCEOFAFIREWALLTOPREVENTITFROMBECOMINGABOTTLENECK,THESUCCESSOFFIREWALLPRODUCTSBECOMEAKEYISSUEKEYWORDSCOMPUTERFIREWALLNETWORKSECURITYHACKING目录第一章绪论111计算机安全1111计算机安全1112计算机信息系统的安全1113计算机病毒1114网络安全2115黑客3116防火墙技术3117其他防范技术3118我国负责计算机信息系统安全工作的主要部门3121防火墙3122防火墙的发展史413防火墙的功能4131保护那些易受攻击的服务4132控制对特殊站点的访问5133集中化的安全管理5134对网络访问进行记录和统计514防火墙的安全性设计5141用户认证5142域名服务5143邮件处理5144IP层的安全性5145防火墙的IP安全性6146防火墙的基本组成结构615防火墙分类6151屏蔽路由器6152双宿堡垒主机6153屏蔽主机防火墙6154屏蔽子网防火墙616防火墙的局限性7161网络的安全性通常是以网络服务的开放性和灵活性为代价7162防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失7第二章防火墙的技术821包过滤防火墙8211包过滤防火墙的工作原理8212包过滤防火墙的优缺点822代理型防火墙9221代理型防火墙的工作原理9222代理型防火墙的优缺点1123状态监视器防火墙12231状态监视器防火墙的工作原理12232状态监视器防火墙的优缺点1224复合式防火墙1225防火墙的优缺点12第三章第四代防火墙技术1431第四代防火墙的技术和功能14311双端口或三端口的结构14312透明的访问方式14313灵活的代理系统14314多级过滤技术14315网络地址转换技术14316INTERNET网关技术18317安全服务器网络19318用户鉴别与加密19319用户定制服务193110审计和告警19第四章防火墙的应用2041个人防火墙的应用20411个人防火墙简介20412个人防火墙的发展背景20413个人防火墙应用21414个人防火墙的特点22415主流个人防火墙简介2242企业防火墙的应用23421企业防火墙的简介23422企业防火墙的应用24423企业防火墙选购25第五章总结与发展27参考文献28致谢29第一章绪论11计算机安全111计算机安全计算机在安全方面的脆弱性使它面临的威胁是多方面的，主要的威胁可分为恶劣环境的影响、偶然故障和错误、人为的攻击破坏以及计算机病毒感染四类。112计算机信息系统的安全随着计算机信息系统应用的深入，计算机信息系统逐步从单机向局域网、广域网发展，特别是INTERNET的迅速发展，计算机信息系统安全面临新的、更严峻的挑战。构成计算机信息系统基础的计算机操作系统和网络的千差万别，实现计算机联接的多种网络拓朴结构的混合，所采用介质的多样性，信息的集中处理或分布处理等多种形式，这些都大大增加了计算机信息系统安全问题解决的难度。因此计算机信息系统安全不再是系统内某个元素或某几个元素的安全，而是系统整体的安全，不再是一个单纯而简单的问题，而是一个系统工程。从技术角度看，计算机系统安全包括计算机安全、网络安全和信息安全。其中信息安全是主线，它贯穿在计算机安全和网络安全之中。113计算机病毒计算机病毒是具有自我复制能力的并具有破坏性的计算机程序（下简称“病毒“），它会影响和破坏正常程序的执行和数据的安全。它不仅侵入到所运行的计算机系统，而且还能不断地把自己的复制品传播到其他的程序中，以此达到其破坏作用。病毒一般都具有很强的隐蔽性，所以不易被发现。计算机病毒发展到今天，已成为计算机世界里的一种恶性顽疾，是研究计算机安全保密防范时必须经常考虑和面对的一个主要问题。1病毒的特点计算机病毒与生物病毒几乎具有完全相同的特征，如生物病毒的传染性、流行性、繁殖性、表现性、针对性等特征，计算机病毒都具备，所不同的是计算机病毒不是微生物，而是一段可执行的计算机程序。2病毒的传染途径传染性是计算机病毒最显著的特征，威胁也最大。如没有传染性，即使病毒的破坏性再大，也只能破坏一台计算机，而不能威胁其它计算机。计算机病毒从一个计算机系统向其它计算机系统进行传染的主要途径是联网线路、磁盘和光盘。在单机环境下，病毒主要是通过互相交换的带毒磁盘或光盘传染的。硬盘虽然是固定式存储介质，但是硬盘是病毒的重要滋生地，许多病毒都寄生在硬盘上，一旦用寄生有病毒的硬盘启动计算机，并且对某些软盘和光盘进行读写操作，那么，病毒就会传染到软盘和光盘上，并通过这张软盘和光盘扩散开来。对于网络来说，带病毒的服务器则是病毒的集散点，它一般通过可执行文件的传递而传播。在联网条件下，计算机病毒扩散的途径，增加了许多，它可以通过访问、文件下载、电子邮件等各种途径来传播病毒。3毒的危害计算机病毒对计算机的危害形式主要有以下几种（1）减少存储器的可用空间；（2）使用无效的指令串与正常运行程序争夺CPU时间；（3）破坏存储器中的数据信息；（4）破坏相连网络中的各项资源；（5）构成系统死循环；（6）肆意更改、破坏各类文件和数据；（7）破坏系统I/O功能；（8）彻底毁灭软件系统。（9）用借读数据更改主板上可檫写型BIOS芯片，造成系统崩溃或主板损坏；（10）造成磁头在硬盘某些点上死读，从而破坏硬盘。计算机病毒通过这几种危害形式，给计算机造成的灾害是巨大的。这方面的事例数不胜数。4病毒的防治由于病毒对微机资源造成严重的破坏，所以必须从管理和技术两方面采取有效措施，以防止病毒的入侵。在日常工作中，防止病毒感染的主要措施有（1）首先，也是最重要的一点是选择并安装一个反病毒软件，由于新的病毒不断出现（平均每天13个），没有一台计算机能在如今高度共享、高度网络化的世界里在不装反病毒软件的情况下躲过病毒的攻击。定期对所用微机进行检查，包括所使用的软盘和硬盘，以便及时发现病毒，防患于未然。（2）减少服务器中用户写的权力。把服务器中写的权力控制在尽量少的人手中，能避免不必要的麻烦和损失。（3）防范来历不明软盘和盗版光盘。应对来历不明的软盘和盗版光盘保持高度警惕，在把它塞进驱动器前要考虑清楚，如果你不得不这样做，请先用反病毒软件对软盘进行检查，扫描盘中的每一个文件（不仅仅是可执行文件），包括压缩文件。同样，在你给别人软盘时，及时对软盘写保护，这样别人机器里的病毒就不会传到你的软盘里。（4）在阅读电子邮件的附件前进行扫描。有些邮件接收软件在用户打开一封邮件后会自动打开附件，请千万关闭这个功能。（5）下载的时候要小心。下载文件是病毒来源之一。114网络安全网络安全，是计算机信息系统安全的一个重要方面。如同打开了的潘多拉魔盒，计算机系统的互联，在大大扩展信息资源的共享空间的同时，也将其本身暴露在更多恶意攻击之下。如何保证网络信息存储、处理的安全和信息传输的安全的问题，就是我们所谓的计算机网络安全。信息安全是指防止信息财产被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辩识、控制；确保信息的保密性、完整性、可用性、可控性。信息安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密和鉴别七个方面。设计一个安全网络系统，必须做到既能有效地防止对网络系统的各种各样的攻击，保证系统的安全，同时又要有较高的成本效益，操作的简易性，以及对用户的透明性和界面的友好性。115黑客黑客是英文“HACKER“的音译原意为热衷于电脑程序的设计者。今天已演变为挑战权威，喜欢标新立异，利用某种技术手段非法进入其权限以外的电脑和网络空间的人们。黑客入侵目的很复杂，有的为显示技术实力，有的为报复他人，有的出于政治目的，有的为了技术情报和经济目的，其目标是各式各样的，包括国家安全、军事技术、政治机密、知识产权、商业机密和个人隐私。116防火墙技术伴随着的国际互联网的迅速普及和发展，诞生了一个崭新的名词“防火墙“技术。所谓防火墙技术，就是象征性地比喻将危害信息系统安全的“火“阻挡在网络之外，为网络建一道安全的屏障。它可能由一个硬件和软件组成，也可以是一组硬件和软件构成的保护屏障。它是阻止国际互联网络“黑客“攻击的一种有效手段。简单地讲，它的作用就是在可信网络（用户的内部网络）和非可信网络（国际互联网、外部网）之间建立和实施特定的访问控制策略。所有进出的信息包都必须通过这层屏障，而只有授权的信息包（由网络的访问控制策略决定）才能通过。117其他防范技术防火墙技术是国际互联网安全技术的一个重要手段，但也不是万能的，对一些重要的网络，根据需要采用其他加密技术、网络安全检测技术和防病毒技术等等。118我国负责计算机信息系统安全工作的主要部门目前我国有三个部门负责计算机信息网络安全的工作，一个是公安部，负责计算机网络安全；第二是国家保密局，负责计算机网络系统的信息保密第三是国家密码委员会，负责密码的研制、管理和使用。12防火墙121防火墙防火墙是设置在被保护网络和外部网络之间的一道屏障，以防发生不可预测潜在的破坏性侵入。它可通过监测、限制或更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。防火墙是具有以下特征的计算机硬件或软件1由内到外和由外到内德所有访问都必须通过它。2只有本地安全策略所定义的合法访问才被允许通过它。3防火墙本身无法被穿透。通常意义上讲的硬防火墙为硬件防火墙，它是通过硬件和软件的结合来达到隔离内、外部网络的目的，价格较贵，但效果较好，一般小型企业和个人很难实现；软件防火墙是通过软件的方式来达到隔离内、外部网络的目的，价格很便宜，但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。122防火墙的发展史第一代防火墙该防火墙技术几乎与路由器同时出现，采用了包过滤技术。第二、三代防火墙1989年，贝尔实验室的DAVEPRESOTTO和HOWARDTRICKEY推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙应用层防火墙（代理防火墙）的初步结构。第四代防火墙1992年，USC信息科学院的BOBBRADEN开发出了基于动态包过滤（DYNAMICPACKETFILTER）技术的第四代防火墙，后来演变为状态检测（STATEFULINSPECTION）技术。1994年，以色列的CHECKPOINT公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙1998年，NAI公司推出了一种自适应代理（ADAPTIVEPROXY）技术，并在其产品GAUNTLETFIREWALLFORNT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。下图表示了防火墙技术的简单发展历史图11防火墙的发展图13防火墙的功能防火墙是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从基本要求上看，防火墙还是在两个网络之间执行控制策略的系统（包括硬件和软件），目的是不被非法用户侵入。它遵循的是一种允许或禁止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。因此，对数据和访问的控制、对网络活动的记录，是防火墙发挥作用的根本和关键。无论何种类型的防火墙，从总体上看，都应具有五大基本功能过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。131保护那些易受攻击的服务防火墙能过滤那些不安全的服务。只有预先被允许的服务才能通过防火墙，这样降低了收到非法攻击的风险性，大大地提高了企业内部网的安全性。132控制对特殊站点的访问防火墙能控制对特殊站点的访问。如有些主机能被外部网络访问而有些则要被保护起来，防止不不要的访问。通常会有这样一种情况，在内部网种只有MAIL服务器、FTP服务器和WWW服务器能被外部网访问，而其他访问则被防火墙禁止。133集中化的安全管理对于一个企业而言，使用防火墙不不使用防火墙可能更加经济一些。这是因为如果使用了防火墙，就可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理；而不使用防火墙，就必须将所有软件分散到各个主机上。134对网络访问进行记录和统计如果所有对INTERNET的访问都经过防火墙，那么，防火墙就能记录下这些访问，并能提供网络使用情况的统计数据。当发生可疑操作时，防火墙能够报警并提供网络是否受到监测和攻击的详细信息。14防火墙的安全性设计141用户认证对于防火墙来说，认证主要是对防火墙用户的认证和防火墙管理员对认证的认证。防火墙产品作为对网络访问进行有效控制的信息安全设备，在对用户的网络访问进行控制的时候，要使用有效的用户认证技术来区分不同的用户身份，以适应不同访问级别的用户对网络访问的不同权限142域名服务防火墙可以对内部网内外用户提供修改名录的服务功能。防火墙不能将内部网内主机的IP地址泄露出去。因此，对于来自INTERNET主机的请求，防火墙应当分辨内部网内所有到防火墙IP地址的主机名字；而对于来自内部网内主机的请求，防火墙提供寻址名字，以分辨INTERNET上的主机。143邮件处理电子邮件是内部网络与INTERNET连通的一项主要业务，是INTERNET上用户之间交换信息时广泛采用的手段，一般采用（简单邮件传送协议SIMPLEMAILTRANSFERPROTOCOL,SMTP）。这些邮件都要通过防火墙验证通行，在内部网上设置一个邮件网关，通过它与防火墙连通，再与INTERNET上的用户连通。144IP层的安全性IP层得安全包括两个功能认证和保密。认证机构保证接收的数据组就是由数据组报头中所识别出的作为该数据组的源所发生的。此外，认证机构还要保证该数据组在传送中未被篡改。保密性保证通信节点多说传消息进行加密，防止第三者窃听。145防火墙的IP安全性防火墙可以提供保密性和完整性。一个协作网可能由两个或更多内部网通过INTERNET相互连接而成。这些网之间的数据保密性和完整性可以通过IP的安全机制实现。146防火墙的基本组成结构防火墙的基本组成机构有屏蔽路由器、双宿堡垒主机、屏蔽主机防火墙和屏蔽子网防火墙。15防火墙分类151屏蔽路由器屏蔽路由器又称包过滤路由器，在一般路由器的基础上增加了一些新的安全控制功能，是一个检查通过它的数据包的路由器。152双宿堡垒主机双宿堡垒主机又称应用型防火墙，在运行防火墙软件的堡垒主机上运行代理服务器。153屏蔽主机防火墙屏蔽主机防火墙由包过滤路由器和堡垒主机组成，它所提供得安全性能要比包过滤防火墙系统要强，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）的结合。当入侵者在破坏内部网络的安全性之前，必须首先突破这两种不同的安全系统。154屏蔽子网防火墙屏蔽子网防火墙利用两台屏蔽路由器把子网与内外部网络隔离开，堡垒主机、信息服务器、MODEM组，以及其他公用服务器放在该子网中，这个子网称为“停火区”或“非军事区”。16防火墙的局限性161网络的安全性通常是以网络服务的开放性和灵活性为代价在网络系统中部署防火墙，通常会使用网络系统的部分功能被削弱。1）由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受阻碍；2）由于在防火墙上附加各种信息服务的代理软件，增大了网络管理开销，减慢了信息传输速率，在大量使用分布式应用的情况下，使用防火墙是不切实际的。162防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失1只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力；2不能解决来自内部网络的攻击和安全问题；3不能防止受病毒感染的文件的传输；4不能繁殖策略配置不当或错误配置引起的安全威胁；5不能防止自然或人为的故意破坏；6不能防止本身安全漏洞的威胁。第二章防火墙的技术21包过滤防火墙包过滤防火墙是最简单的防火墙，通常只包括对源和目的的IP地址及端口的检查。211包过滤防火墙的工作原理包过滤防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要求。在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为“第一代静态包过滤”和“第二代动态包过滤”。第一代静态包过滤这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议TCP、UDP、ICMP等等、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通第二代动态包过滤这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（STATEFULINSPECTION）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。212包过滤防火墙的优缺点包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。22代理型防火墙应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全“阻隔“了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。在代理型防火墙技术的发展过程中，它也经历了两个不同的版本，即第一代应用网关型代理防火墙和第二代自适应代理防火墙。221代理型防火墙的工作原理第一代代理防火墙代理防火墙也叫应用层网关（APPLICATIONGATEWAY）防火墙。这种防火墙通过一种代理（PROXY）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。所谓代理服务器，是指代表客户处理在服务器连接请求的程序。当代理服务器得到一个客户的连接意图时，它们将核实客户请求，并经过特定的安全化的PROXY应用程序处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用。第二代自适应代理防火墙自适应代理技术（ADAPTIVEPROXY）是最近在对于一个企业而言，使用防火墙不不使用防火墙可能更加经济一些。这是因为如果使用了防火墙，就可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理；而不使用防火墙，就必须将所有软件分散到各个主机上。如果所有对INTERNET的访问都经过防火墙，那么，防火墙就能记录下这些访问，并能提供网络使用情况的统计数据。当发生可疑操作时，防火墙能够报警并提供网络是否受到监测和攻击的详细信息。对于防火墙来说，认证主要是对防火墙用户的认证和防火墙管理员对认证的认证。防火墙可以对内部网内外用户提供修改名录的服务功能。防火墙不能将内部网内主机的IP地址泄露出去。因此，对于来自INTERNET主机的请求，防火墙应当分辨内部网内所有到防火墙IP地址的主机名字；而对于来自内部网内主机的请求，防火墙提供寻址名字，以分辨INTERNET上的主机。电子邮件是内部网络与INTERNET连通的一项主要业务，是INTERNET上用户之间交换信息时广泛采用的手段，一般采用（简单邮件传送协议SIMPLEMAILTRANSFERPROTOCOL,SMTP）。这些邮件都要通过防火墙验证通行，在内部网上设置一个邮件网关，通过它与防火墙连通，再与INTERNET上的用户连通。P层得安全包括两个功能认证和保密。认证机构保证接收的数据组就是由数据组报头中所识别出的作为该数据组的源所发生的。此外，认证机构还要保证该数据组在传送中未被篡改。保密性保证通信节点多说传消息进行加密，防止第三者窃听。防火墙可以提供保密性和完整性。一个协作网可能由两个或更多内部网通过INTERNET相互连接而成。这些网之间的数据保密性和完整性可以通过IP的安全机制实现。防火墙的基本组成机构有屏蔽路由器、双宿堡垒主机、屏蔽主机防火墙和屏蔽子网防火墙。屏蔽路由器又称包过滤路由器，在一般路由器的基础上增加了一些新的安全控制功能，是一个检查通过它的数据包的路由器。双宿堡垒主机又称应用型防火墙，在运行防火墙软件的堡垒主机上运行代理服务器。屏蔽主机防火墙由包过滤路由器和堡垒主机组成，它所提供得安全性能要比包过滤防火墙系统要强，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）的结合。当入侵者在破坏内部网络的安全性之前，必须首先突破这两种不同的安全系统。屏蔽子网防火墙利用两台屏蔽路由器把子网与内外部网络隔离开，堡垒主机、信息服务器、MODEM组，以及其他公用服务器放在该子网中，这个子网称为“停火区”或“非军事区”。网络的安全性通常是以网络服务的开放性和灵活性为代价在网络系统中部署防火墙，通常会使用网络系统的部分功能被削弱。1由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受阻碍；2由于在防火墙上附加各种信息服务的代理软件，增大了网络管理开销，减慢了信息传输速率，在大量使用分布式应用的情况下，使用防火墙是不切实际的。防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失1只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力；2不能解决来自内部网络的攻击和安全问题；3不能防止受病毒感染的文件的传输；4不能繁殖策略配置不当或错误配置引起的安全威胁；不能防止自然或人为的故意破坏；6不能防止本身安全漏洞的威胁。包过滤防火墙是最简单的防火墙，通常只包括对源和目的的IP地址及端口的检查。包过滤防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要求。在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为“第一代静态包过滤”和“第二代动态包过滤”。这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议TCP、UDP、ICMP等等、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通第二代动态包过滤这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（STATEFULINSPECTION）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全“阻隔“了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。在代理型防火墙技术的发展过程中，它也经历了两个不同的版本，即第一代应用网关型代理防火墙和第二代自适应代理防火墙。代理防火墙也叫应用层网关（APPLICATIONGATEWAY）防火墙。这种防火墙通过一种代理（PROXY）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。所谓代理服务器，是指代表客户处理在服务器连接请求的程序。当代理服务器得到一个客户的连接意图时，它们将核实客户请求，并经过特定的安全化的PROXY应用程序处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用。第二代自适应代理防火墙第一代代理防火墙商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个自适应代理服务器（ADAPTIVEPROXYSERVER）与动态包过滤器（DYNAMICPACKETFILTER）。在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应PROXY的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。222代理型防火墙的优缺点代理类型防火墙的最突出的优点就是安全。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。另外代理型防火墙采取是一种代理机制，它可以为每一种应用服务建立一个专门的代理，所以内外部网络之间的通信不是直接的，而都需先经过代理服务器审核，通过后再由代理服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏洞的。有优点就有缺点，任何事物都一样。代理防火墙的最大缺点就是速度相对比较慢，当用户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的代理服务，在自己的代理程序为内、外部网络用户建立连接时需要时间，所以给系统性能带来了一些负面影响，但通常不会很明显。23状态监视器防火墙231状态监视器防火墙的工作原理这种防火墙的安全特性是非常好的，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作得前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后指定安全决策的参与。当用户访问到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定，安全报警器就会拒绝和记录该访问，并向系统管理器报告网络状态。232状态监视器防火墙的优缺点状态监视器防火墙的优点1监测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。2它会监测RPC和UDP之类得端口信息，而包过滤和代理网关都不支持此类端口。3性能坚固。状态监视器防火墙的缺点1配置非常复杂。2会降低网络的速度。24复合式防火墙1常见是代理服务器和状态分析技术的组合；2具有对一切连接尝试进行过滤的功能；3提取和管理多种状态信息的功能；4智能化做出安全控制和流量控制的决策；5提供高性能的服务和灵活的适应性；6具有网络内外完全透明的特性。25防火墙的优缺点优点1保护网络中脆弱的服务2实现网络安全性监视和试试报警3增强保密性和强化私有权4实现网络地址转换5实现安全性失效和自动故障恢复缺点1不能防范恶毒的知情者。2不能防范不经过它的连接。3不能防备全部的威胁，特别是新产生的威胁。4不能有效地防范病毒的攻击。第三章第四代防火墙技术31第四代防火墙的技术和功能1主要功能1双端口或三端口的结构2透明访问方式3灵活的代理系统4多级过滤技术5网络地址转换技术（NAT）2技术实现在第四代防火墙产品的设计与开发中，安全内核、代理系统、多级过滤、安全服务器和鉴别与加密是关键所在。1安全内核的实现2代理系统的建立所有外部网络到防火墙内部或SSN的连接由进站代理处理，进站代理要保证内部主机能了解外部主机的所有信息，而外部主机只能看到防火墙之外或SSN的地址。所有从内部网络或SSN通过防火墙与外部网络建立的连接由出站代理处理，出站代理必须确保由它代表的内部网络与外部地址相连，防止内部网址与外部网址的直接连接，同时还要处理内部网络到SSN的连接。32双端口或三端口的结构新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做IP转化而串接于内部与外部之间,另一个网卡可专用于对服务器的安全保护。以前的防火墙在访问方式上要么要求用户登录进系统，要么需要通过SOCKS等路径修改客户机的应用。第四代防火墙利用了透明代理技术，从而降低了系统登录固有的安全风险和出错概率33透明的访问方式以前的防火墙在访问方式上要么要求用户做系统登录,要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。34灵活的代理系统代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两种代理机制一种用于代理从内部网络到外部网络的连接另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接NIT技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。35多级过滤技术为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测INTERNET提供的所有通用服务在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。36网络地址转换技术第四代防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全“阻隔“了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。在代理型防火墙技术的发展过程中，它也经历了两个不同的版本，即第一代应用网关型代理防火墙和第二代自适应代理防火墙。第一代代理防火墙代理防火墙也叫应用层网关（APPLICATIONGATEWAY）防火墙。这种防火墙通过一种代理（PROXY）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。所谓代理服务器，是指代表客户处理在服务器连接请求的程序。当代理服务器得到一个客户的连接意图时，它们将核实客户请求，并经过特定的安全化的PROXY应用程序处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用。第二代自适应代理防火墙自适应代理技术（ADAPTIVEPROXY）是最近在对于一个企业而言，使用防火墙不不使用防火墙可能更加经济一些。这是因为如果使用了防火墙，就可以将所有修改过的软件和附加的安全软件都放在防火墙上集中管理；而不使用防火墙，就必须将所有软件分散到各个主机上。如果所有对INTERNET的访问都经过防火墙，那么，防火墙就能记录下这些访问，并能提供网络使用情况的统计数据。当发生可疑操作时，防火墙能够报警并提供网络是否受到监测和攻击的详细信息。对于防火墙来说，认证主要是对防火墙用户的认证和防火墙管理员对认证的认证。防火墙可以对内部网内外用户提供修改名录的服务功能。防火墙不能将内部网内主机的IP地址泄露出去。因此，对于来自INTERNET主机的请求，防火墙应当分辨内部网内所有到防火墙IP地址的主机名字；而对于来自内部网内主机的请求，防火墙提供寻址名字，以分辨INTERNET上的主机。电子邮件是内部网络与INTERNET连通的一项主要业务，是INTERNET上用户之间交换信息时广泛采用的手段，一般采用（简单邮件传送协议SIMPLEMAILTRANSFERPROTOCOL,SMTP）。这些邮件都要通过防火墙验证通行，在内部网上设置一个邮件网关，通过它与防火墙连通，再与INTERNET上的用户连通。P层得安全包括两个功能认证和保密。认证机构保证接收的数据组就是由数据组报头中所识别出的作为该数据组的源所发生的。此外，认证机构还要保证该数据组在传送中未被篡改。保密性保证通信节点多说传消息进行加密，防止第三者窃听。防火墙可以提供保密性和完整性。一个协作网可能由两个或更多内部网通过INTERNET相互连接而成。这些网之间的数据保密性和完整性可以通过IP的安全机制实现。防火墙的基本组成机构有屏蔽路由器、双宿堡垒主机、屏蔽主机防火墙和屏蔽子网防火墙。屏蔽路由器又称包过滤路由器，在一般路由器的基础上增加了一些新的安全控制功能，是一个检查通过它的数据包的路由器。双宿堡垒主机又称应用型防火墙，在运行防火墙软件的堡垒主机上运行代理服务器。屏蔽主机防火墙由包过滤路由器和堡垒主机组成，它所提供得安全性能要比包过滤防火墙系统要强，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）的结合。当入侵者在破坏内部网络的安全性之前，必须首先突破这两种不同的安全系统。屏蔽子网防火墙利用两台屏蔽路由器把子网与内外部网络隔离开，堡垒主机、信息服务器、MODEM组，以及其他公用服务器放在该子网中，这个子网称为“停火区”或“非军事区”。网络的安全性通常是以网络服务的开放性和灵活性为代价在网络系统中部署防火墙，通常会使用网络系统的部分功能被削弱。1由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受阻碍；2由于在防火墙上附加各种信息服务的代理软件，增大了网络管理开销，减慢了信息传输速率，在大量使用分布式应用的情况下，使用防火墙是不切实际的。防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失1只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力；2不能解决来自内部网络的攻击和安全问题；3不能防止受病毒感染的文件的传输；4不能繁殖策略配置不当或错误配置引起的安全威胁；5不能防止自然或人为的故意破坏；6不能防止本身安全漏洞的威胁。包过滤防火墙是最简单的防火墙，通常只包括对源和目的的IP地址及端口的检查。包过滤防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要求。在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为“第一代静态包过滤”和“第二代动态包过滤”。这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议TCP、UDP、ICMP等等、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通第二代动态包过滤这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（STATEFULINSPECTION）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全“阻隔“了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。在代理型防火墙技术的发展过程中，它也经历了两个不同的版本，即第一代应用网关型代理防火墙和第二代自适应代理防火墙。代理防火墙也叫应用层网关（APPLICATIONGATEWAY）防火墙。这种防火墙通过一种代理（PROXY）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。所谓代理服务器，是指代表客户处理在服务器连接请求的程序。当代理服务器得到一个客户的连接意图时，它们将核实客户请求，并经过特定的安全化的PROXY应用程序处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用。第二代自适应代理防火墙第一代代理防火墙商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火