第一篇：普通防火墻與Web應用防火墻的對比

普通防火墻與Web應用防火墻的對比

(Web應用防火墻)旨在保護Web應用程序避免受到跨站腳本攻擊和SQL注入攻擊等常見的威脅。網絡防火墻是防御網絡周邊環境的，雖然一些傳統的防火墻提供了某種程度的應用程序熟悉能力，但是，傳統防火墻沒有Web應用防火墻提供的那樣精細和具體。例如，Web應用防火墻能夠檢測一個應用程序是否按照它設計的方式工作，它能夠讓你編寫具體的規則防止再次發生這種工具。，Web應用防火墻與入侵防御系統不同。它是一個完全不同的技術，不是以特征為基礎的，而是以行為為基礎的，防止你自己意外制造的安全漏洞。

金融危機促使Web應用防火墻走強

2010-06-11 17:50出處：比特網作者：佚名【我要評論】 [導讀]此前筆者一直表示，2009年安全大黑馬非Web應用防火墻莫數。事實上，進入五月份以來，很多Web應用防火墻廠家的工程師已經處于應接不暇的狀態。

此前筆者一直表示，2009年安全大黑馬非Web應用防火墻莫數。事實上，進入五月份以來，很多Web應用防火墻廠家的工程師已經處于應接不暇的狀態。對此記者專門走訪了眾多廠商，結果看到的是井噴的訂單與密集的出差行程，這無不凸顯出眼下Web應用防火墻市場的炙熱。

細心的讀者也許還記得，此前記者曾擔心國內企業用戶對于Web應用防火墻的理解程度。畢竟去年曾經出現過很多用戶無法分辨Web應用防火墻與普通防火墻的差異。特別是今年年初，隨著山寨氣氛越炒越熱，在Web應用防火墻上也出現了名不副實的山寨產品，并一度令記者十分緊張。

不過令人吃驚的是，廣大企業用戶對此的反應真的是處變不驚。此前梭子魚中國區總經理何平先生在接受本報獨家專訪時表示，當前越來越多的企業用戶開始主動聯系安全廠商，請求廠商為其搭建符合自身應用特點的Web保護方案。而且不少用戶已經把這部分預算列入了2009年的固定開支中去。要知道，在金融危機陰影尚未散盡的今天，用戶的反映著實令記者吃驚。

對此何平的看法是，與硬件盒子一樣的傳統防火墻不同，Web應用防火墻不是單一產品，本身是基于策略的產品，需要結合企業的Web應用進行具體的安全咨詢。安全廠商需要對企業的各種內部應用非常了解，比如對OA、MIS、ERP等應用的支持。因此當初Gartner就曾提出更加綜合的應用交付網絡的概念，將安全、加速、管理等集成在一起，實現完整的Web保護。

記者發現，很多企業在購買普通防火墻的時候，往往是從同行業企業中打聽經驗，尋找價格差異，有些時候依靠流行度去購買。但是在選擇Web應用防火墻的時候，則是企業的IT經理帶著問題去找方案進行解決，采購的認真與周密令人肅然起敬。

之前有專家介紹說，當前Web應用防火墻從全球范圍內已經進入部署的高峰期，準確地說是第二波浪潮的開始。以美國為例，早先是在美國能源部使用，確保能源安全，之后過渡到一些普通政府部門使用，最后到紐約市的衛生局都開始采購。特別是2008年PCI法案通過之后，要求提供信用卡網上支付超過一定營業額的企業，都需要配置Web應用防火墻?？梢哉f，國外Web應用防火墻進入了成熟化與普及化時代。

從國內來看，Web應用防火墻市場拉升同樣明顯。一方面金融危機導致傳統的Web攻擊更加瘋狂，趨利性更加明顯，企業的數據資產亟需保護;另一方面從2008年底至今，大量企業、政府的網站遭遇Web攻擊潮，如三鹿網站事件等，用戶認識到傳統的防火墻、IPS、網頁防篡改設備都無法徹底阻止網絡攻擊，使得國內的行業用戶對Web應用的防護意識與意愿更加迫切

原文出自【比特網】，轉載請保留原文鏈接：http://sec.chinabyte.com/172/11374172.shtml

普通防火墻加Web應用防火墻

前面的普通防火墻主要是做下包過濾，后面的那個web應用防火墻是主要過濾攻擊的設備。

只要有網絡的地方就會有防火墻，但傳統的防火墻只是針對一些底層（網絡層、傳輸層）的信息進行阻斷，而WAF則深入到應用層，對所有應用信息進行過濾，這是二者的本質區別。

WAF的運行基礎是應用層訪問控制列表。整個應用層的訪問控制列表所面對的對象是網站的地址、網站的參數、在整個網站互動過程中所提交的一些內容，包括HTTP協議報文內容，由于WAF對HTTP協議完全認知，通過內容分析就可知道報文是惡意攻擊還是非惡意攻擊。IPS只是做部分的掃描，而WAF會做完全、深層次的掃描。Web防火墻的主要技術的對入侵的檢測能力，尤其是對Web服務入侵的檢測，不同的廠家技術差別很大，不能以廠家特征庫大小來衡量，主要的還是看測試效果，從廠家技術特點來說，有下面幾種方式：

◆代理服務：代理方式本身就是一種安全網關，基于會話的雙向代理，中斷了用戶與服務器的直接連接，適用于各種加密協議，這也是Web的Cache應用中最常用的技術。代理方式防止了入侵者的直接進入，對DDOS攻擊可以抑制，對非預料的“特別”行為也有所抑制。Netcontinuum(梭子魚)公司的WAF就是這種技術的代表。

◆特征識別：識別出入侵者是防護他的前提。特征就是攻擊者的“指紋”，如緩沖區溢出時的Shellcode，SQL注入中常見的“真表達(1=1)”?應用信息沒有“標準”，但每個軟件、行為都有自己的特有屬性，病毒與蠕蟲的識別就采用此方式，麻煩的就是每種攻擊都自己的特征，數量比較龐大，多了也容易相象，誤報的可能性也大。雖然目前惡意代碼的特征指數型地增長，安全界聲言要淘汰此項技術，但目前應用層的識別還沒有特別好的方式。

◆算法識別：特征識別有缺點，人們在尋求新的方式。對攻擊類型進行歸類，相同類的特征進行模式化，不再是單個特征的比較，算法識別有些類似模式識別，但對攻擊方式依賴性很強，如SQL注入、DDOS、XSS等都開發了相應的識別算法。算法識別是進行語義理解，而不是靠“長相”識別。

◆模式匹配：是IDS中“古老”的技術，把攻擊行為歸納成一定模式，匹配后能確定是入侵行為，當然模式的定義有很深的學問，各廠家都隱秘為“專利”。協議模式是其中簡單的，是按標準協議的規程來定義模式;行為模式就復雜一些，Web防火墻最大的挑戰是識別率，這并不是一個容易測量的指標，因為漏網進去的入侵者，并非都大肆張揚，比如給網頁掛馬，你很難察覺進來的是那一個，不知道當然也無法統計。對于已知的攻擊方式，可以談識別率;對未知的攻擊方式，你也只好等他自己“跳”出來才知道。

Web應用防火墻的定義已經不能用傳統的防火墻定義加以衡量了。為此，Gartner提出了應用交付的概念。其核心就是對整個企業安全的衡量，已經無法適用單一的標準了，需要將加速、平衡性、安全等各種要素融合在一起。此后還要進行細分，比如Web應用交付網絡、郵件應用交付網絡，這些都是針對企業的具體應用提供的硬件或解決方案平臺。

換言之，用戶在面對Web應用防火墻的時候，需要考慮自身的應用特點，結合企業的實際情況獲取安全價值。

第二篇：全面解析Web應用防火墻的價值和優越性

全面解析Web應用防火墻的價值和優越性

WEB應用的重要性隨著互聯網技術的發展，WEB應用越來越受到業務系統的重視，WEB應用已經與我們的核心業務系統密不可分。如今的電子政務、電子商務、網上銀業、網上營業廳等均以WEB為載體。WEB也由原來的網站瀏覽的代名詞轉變為諸如網上報名、網上交易、網上報稅等多種業務應用系統。WAF的價值WEB價值重點體現在門戶網站的時代時，我們所面臨的安全威脅主要源自網站被黑或者網站被篡改，因此網頁防篡改技術得到成長并大量使用。應用推運系統架構革新，而系統架構的和革新推動安全技術的發展。Web應用防火墻也不例外，也是在現有WEB防護技術力日益無法滿足業務的新需求時誕生的。如果說防篡改軟件是一種基于文件管理的被動辦法，那么WAF則是從安全的本質出發，對威脅進行主動防御，并對WEB應用進行性能優化的最佳方案。簡單將防篡改軟件理解為是文件恢復管理，而WAF則是分析處理不安全的訪問行為，這些不安全的行為包括網頁篡改事件、信息泄漏事件、信息竊取事件、信息失效事件等。在中國WEB應用環境下的WAF通常也會具有網頁防篡改的客戶端，功能和市面的網頁防篡改軟件幾乎相同。WAF以獨立的硬件網關存在，其部署和使用過程中不需要對原有的WEB服務器作任何的調整，并且WAF本身支持多種部署方式，例如透明網橋模式的部署不需對網絡進行任何調整。與IPS相比Web應用防火墻可謂是專注于WEB應用的IPS，與傳統的IPS不同，Web應用防火墻在特征匹配方面的粒度更細，至少可以精確到如下幾個節點：對協議的全面理解以及協議規范性檢查請求頭關鍵字段的識別和特征匹配，從而降低誤判響應頭敏感信息的處理防止服務器指紋泄露響應體特征匹配，屏蔽敏感信息泄露針對單個請求，基于單個URL的匹配最大程度確認業務系統的可用性WAF的優越性Web應用防火墻技術架構上最佳方案是采用代理技術實現，然而標準的代理技術應用到Web應用防火墻時卻存在一個先天的不足。代理技術會中斷業務請求，因此部署Web應用防火墻需要調整現有業務架構或網絡數據走向。另一方面代理技術存在性能瓶頸，難在勝任大型的業務系統。安恒信息采用內核級代理技術解決了部署全透明和性能兩個技術瓶頸，是國內首創的全透明Web應用防火墻，并成功應用于諸多網上銀行、運營商BOSS系統、電子政務等核心業務系統。Web應用防火墻采用基于特征庫的防御技術進行防護，而特征庫技術只能解決通用的，已知的攻擊行為。而WEB應用系統千差萬別，僅采用通用特征庫不僅防護效果不佳，而且可能會因為代碼的原因導致誤判，從而影響業務系統的可用性。因此安恒Web應用防火墻中加入了異常檢測引擎用于提高防護能力，降低誤判率。異常檢測技術可以用一個下面這個例子進行說明：安全檢測好比閉路電視監控系統，基于特征的檢測技術即通過行人的身高、體重、外貌進行檢測，然后通過X光機檢測身上是否帶了已知的不安全裝備。而異常檢測則是通過對人的行為特征進行分析，例如一個人進門時身帶了一個手擰包，而走到大廳后將手擰包放下，人離開。針對這種特為將為觸發報警動作。異常檢測到WEB安全檢測中主要用于補償特征庫的短板，可以有效的防御未知攻擊、盜鏈行為、應用DDOS攻擊等。

第三篇：防火墻技術的應用

防火墻技術的應用

作 者：郭 麗 指導老師：李爭艷

摘 要：為了保護計算機、服務器和網絡資源免遭攻擊破壞, 提出了防火墻技術是當前比較流行而且是比較可行的一種網絡安全防護技術。本論文從實際應用的角度對防火墻的應用問題進行了探討分析，闡述了防火墻的幾種技術及其應用模式。最后，詳細介紹了防火墻的應用設計。

關鍵詞：防火墻；防火墻技術；防火墻應用模式；防火墻應用設計 防火墻概述

防火墻是設置在不同網絡（如可信任的企業內部網絡與不可信任的外部公共網絡）或者不同網絡安全域之間的一系列部件（包括軟件和硬件）的組合。它是不同網絡或網絡安全域之間信息和數據的唯一出入口，能夠根據網絡管理人員制定的網絡安全策略控制出入網絡的各種數據信息流，從而對所受保護的網絡提供信息安全服務。在邏輯上，防火墻是一個分離器、一個限制器，也是一個分析器，它有效地監控了所要保護的內部網和外部公共網絡之間的任何活動，用于確定網絡哪些內部服務允許外部訪問，以及內部網絡主機訪問哪些外部服務等，從而保證了所要保護的內部計算機網絡的穩定正常運行以及內部網絡上數據和信息資源的完整性、可用性和保密性。不同技術的防火墻實現的功能的側重點不同，從某種意義來說，防火墻實際上代表了一個網絡的訪問控制原則。防火墻技術是計算機網絡安全領域中最為關鍵和有效的技術之一，它設置在相對安全的內部網和相對不安全的而又具有大量資源和信息的外部網之間，執行網絡安全策略，以有效地阻止來自外界的網絡攻擊，保護內部網絡正常運行以及資源和信息的安全。通過以上分析我們可以看出防火墻從理論上應該具有下列特點：內部和外部的所有網絡數據流必須經過防火墻；只有符合安全策略的數據流才能通過防火墻；防火墻本身應該堅固安全可靠。

第1頁(共14頁)2 防火墻技術

防火墻技術分為包過濾，代理，NAT，狀態監測等幾種技術。2.1 包過濾技術

包過濾工作在網絡層和邏輯鏈路層之間。日益增多的眾多IP路由產品正使包過濾成為一種改善網絡安全的工具。如果恰當使用，對具有安全意識的網絡管理者來說，包過濾是一種有用的工具。但它的有效利用需要對它的實際能力和缺點的充分了解，以及對用于過濾器的特定協議的特點的充分了解。首先檢查包過濾作為一種網絡安全度量的效用，簡要地比較了IP包過濾和其它的網絡安全方法如應用級網關，描述了包過濾在每一個包中檢查什么，及涉及包過濾時的通用應用協議的特性。然后鑒別和檢查了許多當前包過濾實現中出現的一些共同問題，說明這些問題怎樣不費力地破壞網絡管理者的意圖并導致一種虛假的安全感，并對這些問題提出解決方案。

這里把包過濾看作一種實現網絡安全策略的機制。需要考慮的事項是來自站點或網絡管理者的觀點(他們是那些在維持他們的站點或網絡足夠的安全時，對提供好的可能的服務給他們的用戶感興趣的人)，站點或網絡管理者的觀點必定和服務提供者或路由器供應商所有的觀點不一樣(他們感興趣的是提供網絡服務或產品給用戶)。始終假定站點管理者通常對于阻止外面的人進入更感興趣，而不是設法管轄內部的人，并假定目的是阻止外而的人侵入和內部的人偶爾接觸到有價值的數據或服務，而不是防止內部的人有意地或惡意地暗中破壞安全措施。

包過濾能被用于實現各種不同的網絡安全策略。這些策略的第一個目的通常在于防止未經授權的網絡訪問，而沒有阻礙授權的訪問。未經授權的訪問和授權的訪問的定義在不同機構有很大的不同。第二個目的通常為機制在執行用戶了解和安全措施的應用程序認識方面是透明的。另一個目的是機制對于配置和維護是簡單的，從而提高策略被正確和徹底的實現的可能性?；蚨嗷蛏俚?，包過濾是完成所有這些目的的一種機制，但這只能通過對于它的優勢和缺點的透徹地了解及它的實際能力的小心運用來達到。

為了網絡安全，包過濾的一般的可供選擇的方法包括用網絡訪問保護

第2頁(共14頁)每一臺機器和使用應用網關。以全有或全無(一種非常粗糙的包過濾形式)為基礎允許網絡訪問，然后嘗試去保護具有網絡訪問權的每一臺機器一般是不切實際的，沒有幾個站點有辦法去保護并監控每一臺需要偶然的網絡訪問的機器。應用網關，諸如被AT&T, DEC和其他幾個機構使用的那些，通常也是不切實際的。因為它們為了到達外部主機，要求內部主機運行改良(通常被定做或其他方面不是通用的)版本的應用程序(如FTP和Telnet)。如果一個恰當改良版本的應用程序對于一個特定的主機(如適合于個人計算機的改良的Telnet客戶機)是不可用的，內部主機的用戶簡直是不幸的，而且不能到達過去的應用網關。

在這里用到的允許和拒絕同路由和丟棄的意義是相同的。如果路由器決定允許或路由一個包，那么它將被送到它的目的地，好像路由不曾發生。如果路由器決定拒絕或丟棄一個包，那么該包僅僅被丟棄，好像它不曾存在一樣。依賴于過濾實現(有時候是過濾說明)，路由器可能給被丟棄的包的源主機回送一個ICMP信息(通常為主機不可達信息)，或只是假裝不曾收到該包。另外，本文中，入站和出站通常用于從受保護網絡作為一個整體的觀點談到連接或包，有時用于從過濾器路由器(在內部網絡邊緣，內部網絡和外部網絡之間)的觀點談到包，或用于涉及包經過的路由器接口。一個包在它到外部網絡的路上，對于過濾路由器來說，可能看來是入站的，但從內部網絡作為一個整體來說，該包是出站的。一個出站連接是由內部機器上的客戶機發起到外部機器上的服務器的連接。注意:當連接作為一個整體是出站的，它既包括出站包(指那些從內部客戶機到外部服務器的)又包括入站包(指那些從外部服務器回到內部客戶機的)。同樣地，一個入站連接是一個由外部機器上的客戶機發起到內部機器上的服務器的連接。對于一個包來說，入站接口是在包出現的過濾路由器上的接口，而出站接口是包將經由它出去的接口，如果它不被應用過濾規則拒絕的話。2.2代理技術

具有因特網訪問功能的主機代替其它主機完成與因特網的通信，這就是代理服務。代理只對單個(或很小一部分)主機提供因特網訪問服務，盡管它看起來像是對所有的主機提供服務。

代理服務其運行在一個雙宿主主機或一個堡壘主機上:一些可以與用戶交談的主機同樣也可以與外界交談。用戶的代理程序與這個代理服務器

第3頁(共14頁)交談，而不是直接與外部的因特網上的真實的服務器交談。這個代理服務器接收來自客戶的要求，應決定哪個請求可以傳送，那個可以不考慮。如果一個請求是許可的，代理服務器就會代表客戶與真正的服務器交談，繼而將客戶請求傳達給真實服務器，并將真實服務器的應答返回給客戶。代理服務對用戶是透明的，用戶與代理服務器交談就像與真實服務器交談一樣；而對真實服務器米說，它是于一個運行于代理服務器主機上的用戶交談，而并不知道用戶的真實所在。代理技術有如下特點：

（1）代理服務允許用戶直接地訪問因特網服務

使用雙宿主主機方式，用戶需要在訪問任何因特網服務之前連入這個主機，通常這樣做很不方便，會使一些用戶變得很沮喪，以至于是他們在防火墻周圍尋找通道。使用代理服務，用戶會認為他們是在直接與因特網服務器進行交流。

當然，后臺仍會有更多程序在運行，但它們對于用戶來說通常是透明的。當代理服務允許用戶通過它們連入因特網時，它們不允許在用戶系統和因特網之間直接傳送數據包。數據包的傳輸道路是間接的:或者通過雙宿主主機，或者通過一個堡壘主機和屏蔽路由器系統。（2）代理服務可以優化日志服務

因為代理服務器可以優先選擇協議，所以它們允許日志服務以一種特殊有效的方式運行。例如，一個FTP代理服務器可以只記錄已發出的命令和服務器返回的應答，來代替記錄所有傳送的數據，這樣會產生一個小的多也有用的多的日志。

（3）代理服務滯后于非代理服務

盡管代理軟件廣泛用于類似FTP和Telnet這些陳舊的簡單的服務，但新的或不常用服務的代理軟件卻較難找到。在一個新的服務出現以后，通常要經過一個明顯的延遲，它的代理服務器才會出現，滯后時間的長短主要依賴于為代理而設計的服務器。這時的一個站點在提供一項新的服務時，難以立刻提供相應的代理服務。如果某個內部子系統需要一種新的服務，那么在找到合適的代理軟件之前，將不得不把它置于防火墻之外，這等于打開了潛在的安全缺口。

（4）不同的服務可能要求不同的服務器

第4頁(共14頁)可能需要為每項服務設置不同的代理服務器。因為代理服務器需要理解這個服務所用的協議，以判斷什么是允許的，什么是不允許的，并且它還得扮演兩個角色，對真實服務器來說它是用戶，對代理服務器來說它是真實服務器。挑選、安裝和配置所有這些不同的代理服務可能是一項龐大的工程。

根據所用的代理軟件的不同，配置的難易程度也大不相同，在一個地方容易做的事情可能在其它地方非常困難。例如，容易配置的服務器通常實用性比較差，它們之所以可以比較容易地配置，是因為它們限制了各種使用條件，這些條件可能是正確的，也可能根本不適合你的站點。（5）代理服務對用戶的限制比較多

代理服務器通常要求對用戶和使用過程進行限制，每一種限制都有不足之處，人們無法按他們自己的步驟來隨心所欲地使用代理服務。由于這些限制，代理服務就不能像非代理服務運行得那樣好，它們往往可能曲解協議，而且也缺少一定的靈活性。2.3 NAT技術

網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。在內部網絡通過安全網卡訪問外部網絡時，將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接，這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時，它并不知道內部網絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規操作即可。

NAT的工作過程如圖1所示：

在內部網絡通過安全網卡訪問外部網絡時，將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的第5頁(共14頁)地址和端口通過非安全網卡與外部網絡連接，這樣對外就隱藏了真實的內部網絡地址。

圖1 NAT工作過程

在外部網絡通過非安全網卡訪問內部網絡時，它并不知道內部網絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規操作即可。2.4狀態監測技術

這是繼“包過濾”技術和“應用代理”技術后發展的防火墻技術，它是CheckPoint技術公司在基于“包過濾”原理的“動態包過濾”技術發展而來的，與之類似的有其他廠商聯合發展的“深度包檢測”（Deep Packet Inspection）技術。這種防火墻技術通過一種被稱為“狀態監視”的模塊，在不影響網絡安全正常工作的前提下采用抽取相關數據的方法對網絡通信的各個層次實行監測，并根據各種過濾規則做出安全決策。

“狀態監測”技術在保留了對每個數據包的頭部、協議、地址、端口、第6頁(共14頁)類型等信息進行分析的基礎上，進一步發展了“會話過濾”功能，在每個連接建立時，防火墻會為這個連接構造一個會話狀態，里面包含了這個連接數據包的所有信息，以后這個連接都基于這個狀態信息進行，這種檢測的高明之處是能對每個數據包的內容進行監視，一旦建立了一個會話狀態，則此后的數據傳輸都要以此會話狀態作為依據，例如一個連接的數據包源端口是8000，那么在以后的數據傳輸過程里防火墻都會審核這個包的源端口還是不是8000，否則這個數據包就被攔截，而且會話狀態的保留是有時間限制的，在超時的范圍內如果沒有再進行數據傳輸，這個會話狀態就會被丟棄。狀態監視可以對包內容進行分析，從而擺脫了傳統防火墻僅局限于幾個包頭部信息的檢測弱點，而且這種防火墻不必開放過多端口，進一步杜絕了可能因為開放端口過多而帶來的安全隱患。

由于狀態監視技術相當于結合了包過濾技術和應用代理技術，因此是最先進的，但是由于實現技術復雜，在實際應用中還不能做到真正的完全有效的數據安全檢測，而且在一般的計算機硬件系統上很難設計出基于此技術的完善防御措施（市面上大部分軟件防火墻使用的其實只是包過濾技術加上一點其他新特性而已）。

3防火墻的應用模式

由于網絡拓撲結構和安全需求等方面的差異，在使用防火墻構建網絡安全防護系統時，其應用模式可能是千差萬別的?？偟膩碚f，比較典型的防火墻應用模式有4種。

3.1屏蔽路由器（Screened Route）

這種應用模式采用單一的分組過濾型防火墻或狀態檢測型防火墻來實現。通常，防火墻功能由路由器提供（在路由器上增加一個防火墻模塊），該路由器設置在內部網與internet之間，根據預先設置的安全規則對進人內部網的信息流進行安全過濾。在這種應用模式中，防火墻功能也可以用單獨的防火墻設備或主機來實現，設置在內部網與路由器之間。參見圖2：

內部網

屏蔽

路由器

INTERNET

圖2 屏蔽路由器 第7頁(共14頁)這種應用模式的優點是數據轉發速度快，岡絡性能損失較小，易于實現，費用較低、它的缺點是安全性比較脆弱，尤其是分組過濾型防火墻，容易被人侵者攻破，進而入侵內部網。3.2雙宿主機網關（Dual Homed Gateway）

這種應用模式采用單一的代理服務型防火墻來實現。通常，防火墻是由一個運行代理服務軟件的主機實現的。這種主機稱為堡壘主機（Bastion Host），而具有兩個網絡接口的堡壘。主機稱為雙宿主機（Dual Home）。這種應用模式由雙宿主機充當內部網與internet之間的網關，并在其上運行代理服務器軟件，受保護的內部網與Internet之間不能直接建立連接，必 須通過堡壘主機才能進行通信外部用戶只能看到堡壘主機。而不能看到內部網的實際服務器和其他資源。受保護網絡的所有開放服務必須由堡壘主機上的代理服務軟件來實施。參見圖3：

內部網

堡壘

主機

INTERNET

圖3 雙宿主機網關

這種應用模式的安全性略好一些。但仍然比較脆弱，因為堡壘主機是惟一的安全屏障，一旦被人侵者攻破。內部網將失去保護。3.3屏蔽主機網關（Screened Host Gateway）

這種應用模式采用雙重防火墻來實現，一個是屏蔽路由器，構成內部網的第一道安全屏障；另一個是堡壘主機．構成內部網的第二道安全屏障。參見圖4：

內部網

堡壘 主機 屏蔽 路由器

INTERNET

圖4 屏蔽主機網關

屏蔽路由器基于下列規則過濾分組流：堡壘主機是內部網惟一的系統，允許外部用戶與堡壘主機建立連接，并且只能通過與堡壘主機建立連接來訪問內部網提供的服務。由于這種應用模式設有兩道安全屏障，并且是由兩種不同的防火墻構成的，可以優勢互補和相互協調。因此，具有較高的第8頁(共14頁)安全性，并且比較靈活。

3.4屏蔽子網網關（Screened Subnet Gateway）

這種應用模式是在內部網與internet之間設置一個獨立的屏蔽子網，在內部網與屏蔽子網之間和屏蔽子網與Internet之間都要沒置一個屏蔽路由器，堡壘主機連接在屏蔽子網上。堡壘主機是惟一的內部網和Internet都能訪問的系統，但要受到屏蔽路由器過濾規則的限制。參見圖5：

屏蔽子網

內部網

堡壘 主機

堡壘主機

屏蔽 路由器

INTERNET

圖5 屏蔽子網網關

在這種應用模式中，內部服務器設有三道安全屏障：兩個屏蔽路由器和堡壘主機，入侵者要入侵內部網必須攻破兩個屏蔽路由器和堡壘主機，這顯然是相當困難的。因此，具有更高的安全性，比較適合保護大型的網絡，但成本也比較高。防火墻的應用設計

根據行業特征和應用性質可將網絡系統大致分成校園網、企業網、商務網、金融網、政務網以及軍用網等。這些網絡系統的安全需求是不相同的，必須采用與其應用性質相適應的安全措施來構建完整的網絡安全體系。以滿足各種網絡系統的安全需求，完整的網絡安全體系應當包括防護、檢測、響應和管理等各個環節，不是單靠某一種安全技本來解決的，也要形成一個動態的安全防護系統。其中，防火墻是整個網絡安全體系的基礎和關鍵環節，也是一種常用的安全防護技術，它作為第一道安全屏障最容易受到人侵者的攻擊。因此，除了防火墻本身應具有較好的安全防護能力之外，防火墻的應用方案設計也是十分重要的。

第9頁(共14頁)防火墻的應用方案設計一般包括安全需求分析、網絡安全系統設計和安全策略設計3部分。4.1安全需求分析

根據網絡應用性質，可以將網絡應用環境分成3種：開放的、專用的和內部的。不同的網絡應用環境所面臨的安全風險和需求是不同的，其安全解決方案也有所不同。

（1）開放的網絡應用環境：在開放的網絡應用環境中，網絡服務和信息內容向internet上的所有用戶完全開放，如連接在Internet上的各種開放的Web服務器等。這種開放的應用環境一般不存在信息內容保密和用戶身份驗證問題，它所面臨的安全風險是拒絕服務（Dos）篡改網頁內容以及被非法利用等。這些安全風險需要采用多種安全措施來防范，包括使用接納控制技術阻止入侵者非法獲取系統控制權、使用防火墻技術過濾“有害”的信息，使用“補丁”程序來阻塞系統安全漏洞，使用入侵檢測技術來檢測和發現網絡攻擊行為等。這種應用環境的安全要求相對較低，防火墻的作用是次要的，必要時可采用屏蔽路由器模式。

（2）專用的網絡應用環境：在專用的網絡應用環境中，網絡服務和信息內容是半開放的。只允許授權用戶通過Internet來訪問。這些授權用戶是可信任的，他們通常是商業合作伙伴或者本單位的外地員工。這種專用的應用環境所面臨的安全風險是假冒合法用戶獲取信息以及信息傳輸過程中被非法截獲或者篡改等。前者屬于網絡安全問題，主要是用防火墻等技術來防范；后者屬于信息安全問題，主要采用VPN等枝術來解決信息傳輸過程中的數據機密性和數據完整性問題。

在這種網絡應用環境中，一般要在內部網與Internet之間設置防火墻，并通過安全規則來控制外部用戶對內部網資源（如Web服務器和其他服務器）的訪問。根據網絡服務的安全要求，選擇適當的防火墻應用模式來建立網絡安全防護系統。除了防火墻外，還應當使用VPN技術、基于數字證書的訪問控制技術等來解決信息交換安全問題。

（3）內部的網絡應用環境：在內部的網絡應用環境中，內部網與Internet是物理隔離的，網絡服務器沒置在內部網，只允許內部用戶通過內部網訪問網絡服務器，這是一種封閉的網絡環境。它所面臨的安全風險是內部用戶的非授權訪問，竊取和泄露機密信息等。其防范措施主要側重

第10頁(共14頁)于解決內部用戶對內部網的攻擊問題，如采用VLAN、訪問控制、安全審計和安全管理等防范措施。

由于不同的網絡應用環境所面臨的安全風險是各不相同的，不能一概而論。因此必須針對不同網絡應用環境所面臨的安全風險采取適當的安全措施來增強系統安全性。在系統安全性、網絡性能損失和系統費用等方面尋找一個最佳平衡點，減少盲目性。4.2網絡安全系統設計

在上述的4種防火墻應用模式中，每一種應用模式所提供的安全防護能力和系統費用都是不相同的。在網絡安全系統設計中，應當根據網絡應用系統的安全需求來構造網絡安全體系。

在安全要求不高的情況下，一般采用屏蔽路由器或雙宿主機網關應用模式來構造網絡安全系統。這樣在滿足系統安全需求前提下，有利于降低系統費用，簡化網絡管理。在屏蔽路由器或雙穴主機網關應用模式不能滿足系統安全需求的情況下，可以考慮采用屏蔽主機網關或屏蔽子網網關應用模式。

例如：在基于屏蔽子網網關應用模式構建的網絡安全系統中，必須將內部網劃分為3個子網：內部子網、屏蔽子網與外部網（如Internet）。不同子網的安全需求是不同的。屏蔽子網網關模式采用了兩個屏蔽路由器，一個位于內都子網和屏蔽子網之間的內部屏蔽路由器；另一個位子屏蔽子網與外部網之間的外部屏蔽路由器。從網絡體系結構上通過屏蔽子網將內部子網與不可信的外部網隔離開。外部屏蔽路由器的作用是保證外部網發來的數據包只能到達屏蔽子網，而且只能將屏蔽子網中的數據包輸出到外部網上。內部屏蔽路由器的作用是保證內部網發來的數據包只能輸出到屏蔽子網上，而不能到達外部網。這樣內部網和外部網之間不能直接通信，雙方都只能到達屏蔽子網。由于屏蔽子網是內部子網與外部網之間的隔離區，所以屏蔽子網也稱為“非軍事區”或“?；饏^”。圖6所示是一種基于屏蔽子網網關應用模式的網絡安全系統結構。

第11頁(共14頁)

圖6 網絡安全系統結構

內部屏蔽路由器還應當提供網絡地址翻譯器（NAT）功能。NAT允許在內部網絡中使用私有IP地址。而私有IP地址在internet中是不可見的，可見的只是代理服務器的公用IP地址。這樣，在屏蔽內部子網結構的同時，還解決了公用IP地址短缺問題。

對于各種對外開放的網絡服務器，如Web服務器、FTP服務器、E-mail服務器以及DNS服務器等可以放置在屏蔽子網中。為了使內部用戶能夠仿問Internet，在屏蔽子網上設置一個堡壘主機，提供代理服務器功能。這樣，既可以使外部用戶能方便瀏覽開放的信息服務、與內部網用戶交換郵件等，又防止了外部用戶攻擊內部網，篡改數據或破壞系統。在這種網絡安全體系結構中，入侵者想要攻擊內部網，必須連續地攻破外部分組過濾器、代理服務器和內部分組過濾器等三道防火墻。即使高明的黑客也是相當困難的。

合理地配置防火墻可以防御多種網絡攻擊，例如：

（1）在防火墻中配置多塊網卡，不同的網卡對應于不同的網段，通過將網卡與對應網段綁定，可以防御IP地址欺騙的攻擊。

（2）在防火墻中阻塞ICMP報文，只允許某些類型（如回應請求類型）的ICMP報文通過，可以防御“Ping Of death”之類的攻擊。

（3）在防火墻中阻塞ActiveX和Java Applets程序，可以防御惡意程序對內部主機進行攻擊。

（4）在防火墻中使用NAT功能，所有從防火墻流出的IP數據包的源地址均為防火墻上保留的合法IP地址，不僅可以使內部主機共享有限的 Internet IP地址，而且能夠隱藏內部網絡信息。

（5）在防火墻中使用認證功能，可以對主機地址、網卡地址和主機名進行認證，還可以對用戶身份進行認證，例如采用口令認證、RADIUS認證以及硬件參與認證等，可以防御地址欺騙、身份假冒等攻擊。

另外，對于處于不同地理位置上的內部網通過Internet交換信息時，可以采用VPN技術來解決信息傳輸過程中的數據機密性和數據完整性問題。在這種情況下，應當在屏蔽子網設置一個VPN網關，兩個內部網之間通過VPN網關建立一個安全的傳輸隧道，實現數據安全傳輸。這意味著可信的外部用戶只能邁過VPN隧道穿越內部網的防火墻，而在建立VPN隧道時，雙方的身份是經過認證的，都是可信的用戶。

第12頁(共14頁)4.3安全策略設計

在圖6所示的網絡安全系統結構中，設有3個防火墻：外部分組過濾器（由外部屏蔽路由器提供）、內部分組過濾器（由內部屏蔽路由器提供）和代理服務器（由堡壘主機提供）。根據網絡應用的安全需求，必須分別為它們設計安全策略和規則。

（1）外部分組過濾器：外部分組過濾的缺省規則為禁止所有服務。主機規則為允許外部用戶訪問屏蔽子網中開放的服務器（如 Web服務器、FTP服務器等），允許外部用戶連接安全代理服務器。每次連接都要產生日志記錄，供以后安全審計使用。

（2）內部分組過濾器：內部分組過濾的缺省規則為禁止所有服務。主機規則為允許內部用戶連接屏蔽子網中的主機。每次連接都要產生日志記錄。通過地址轉換功能，使所有使用內部IP地址的用戶都能共用一個合法外都IP地址訪問外部網絡（如Internet）。

（3）代理服務器：代理服務器的缺省規則為禁止聽有連接．它允許內部用戶訪向外部網絡的web站點，并提供代理功能，對所代理的連接進行安全檢查，禁止內部用戶訪問非法站點，并產生日志記錄。它還為內部郵件服務器與外部郵件服務器之間的連接提供代理。對郵件的大小、數量，發送者、接收者，甚至內容進行檢查，并產生日志記錄。它在代理 Telnet和 FTP內部服務器時，要求驗證用戶的身份，允許合法用戶以規定的權限上載和下載服務器中的文件，并產生日志記錄。

為了支持防火墻的系統配置、規則設置、日志查看和安全審計等管理操作，一般的防火墻產品都提供一種圖形化界面的管理軟件。在完成網絡體系結構設計和各個防火墻的安全策略設計后，便可以著手配置各個防火墻的系統參數和安全規則。在網絡應用和網絡體系結構發生變化時，應當及時修改防火墻的安全策略，避免可能產生的安全漏洞。在防火墻工作過程中，可以通過管理軟件監視防火墻的日志信息，定期進行安全審計，及時發現系統可能存在的安全漏洞，入侵者的攻擊行為以及其他違反安全規則的行為，為網絡安全管理提供決策依據。結束語

第13頁(共14頁)本論文主要研究防火墻技術的應用，從防火墻的簡單概述展開，描述了防火墻的四種技術，防火墻的應用模式。最后，闡述了防火墻的應用設計。旨在展望網絡安全，即防火墻技術的未來狀況。

參 考 文 獻

[1] 蔡皖東.網絡與信息安全[M].西安：西北工業大學出版社，2004.[2] 魏利華.防火墻技術研究[J].淮陰工業學院學報：計算機科學技術版，2003，38（4）：21-33.[3] 蔣建春，馮登國.網絡入侵檢測技術原理與技術[M].北京：國防工業出版社，2005.[4] 陸楠.現代網絡技術[M].西安：西安電子科技大學出版社，2003.[5] 劉克龍，蒙楊.一種新型的防火墻系統[J].淮陰工業學院學報：計算機科學技術版，2005，46（6）：11-14.[6] 張凡，李丹靈.網絡信息安全的真相[J].深圳大學學報：計算機科學技術版，2006，24（5）：12-19.[7] 陳功富.現代計算機網絡技術[M].北京：電子工業出版社，2005.[8] 鄧吉，柳靖.黑客防攻實戰詳解[M].北京：電子工業出版社，2006.[9] 郭鑫.防黑檔案[M].北京：電子工業出版社.2003.[10]薛靜鋒.入侵檢測技術[M].機械工業出版社，2004.[11]鄧亞平.計算機網絡安全[M].北京：人民郵電出版社.2004.[12]李濤.網絡安全概論[M].北京:電子工業出版社.2004.Application of Firewall technology

Guo Li Abstract：To protect the personal computer, the server and the network resource from attacking and keep them safe from being destroyed, the firewall technology is popular used and applied successfully in network safeguard field.The paper mainly analyzes the application of firewall from a point of practical usage and expound the applied design of firewall in the end after introducing several techniques and applied patterns.Key words：Firewall;Firewall technology;Firewall application pattern;Firewall using design

第14頁(共14頁)

第四篇：防火墻的技術與應用-選購和應用

防火墻的技術與應用-選購和應用(5)

個人防火墻市場漫步

網絡的高速發展已促使信息時代以網絡為核心發生了深刻的變革，許多人遨游在網絡這個虛擬世界里時，并沒有意識到有人正在監視著你的一舉一動。網友通過OICQ和你一邊親密地聊天，一邊卻在偷窺你電腦硬盤里的私人資料，而他“共享”你的電腦就像用自己的一樣，你的文件隨時有可能成為他的囊中之物，硬盤也有可能“不經意”地給格式化掉了。也許就在你為了隱藏自己的身份與對方周旋的時候，他已經在竊笑了。在以入侵他人計算機系統為樂的黑客眼里，你的電腦對他來說是透明的。

請記住：黑客肆無忌憚的攻擊無處不在，網絡安全對于個人用戶而言并不是一個遙遠的話題。在你上網瀏覽，從網上下載軟件接收郵件隨時都有可能讓病毒和木馬混進來。在網上購物、用信用卡進行網上支付、買賣股票或者通過在線銀行進行轉賬等操作的時候，隨時隨地都存在威脅。這些惡意攻擊導致的結果就是：上網賬號被竊取，銀行賬號被盜用，密碼被修改，甚至整個系統全線癱瘓。其實，想遠程獲取你硬盤里的內容并不需要人們所想象中出神入化的技術，只要會使用一些黑客工具就已經足夠了，因為許多智能化的黑客工具在20萬多個黑客網站中可以輕易地下載。

新一代的黑客們不但自己攻擊別人，還編寫了各種各樣的黑客工具放在網上供人們自由免費下載。同時，黑客工具版本的升級出乎人們意料的快。譬如，專家們正當發出警告：制造出肆虐一時的“庫爾尼科娃病毒”的SubSeven黑客工具軟件2.0版已經問世，才過幾個小時，就又發現一個更新的升級版本呱呱落地了?，F在的黑客工具功能越來越強大，使用這個工具更容易催生出智能突破電腦網絡防線的黑客軟件來。

今年初，某著名的網絡安全公司舉行了一個“一千個傷心的理由”--互聯網不安全因素問卷調查。經過統計，在調查問卷中所列出的眾多令人頭疼的互聯網不安全因素中，最令網友擔心的是(按得票多少)排第三的是：網上購物時，我擔心我提供給網站的個人信息會被非法利用；第四是：上網時，我的電腦資源會不會暴露；第五是：網上聊天時IP地址被盜用；第六；訪問某些網站時，某些程序自動下載到我的電腦；第八：如何才能避開有害的cookies；第九：訪問陌生網站是否安全。從上面的調查來看，信息安全越來越引起人們的注意，個人隱私權越來越受到重視。據悉，個人隱私的保護已被列為網絡經濟面臨的八大倫理難題之首。

另外，根據一份國際統計資料顯示，平均有大約30%的個人電腦遭受過惡意攻擊，這個比例在網絡較為發達的國家還要高，在中國的比例要低一些，但隨著我國上網人數和上網計算機的增加，這個數字正在呈上升的趨勢?；ヂ摼W萌發的早期重點放在發展，時至今天，衍生出來的網絡安全問題卻是每個網民必須面對，不容回避的新生問題。我們必須積極采取措施以捍衛自己精彩的網絡生活。方法是多種多樣的，減少在網上的逗留時間、感覺到攻擊立刻強行斷線、提高警惕性等等，當然，最穩妥的辦法莫過于選擇一個適和個人用戶的防火墻了。

個人防火墻是安裝在每臺PC機上的軟件，個人防火墻不必象企業防火墻那樣導入特定的網絡設備，僅僅在用戶所使用的PC上安裝軟件即可。由于管理者可以遠距離地進行設置和管理，終端用戶在使用時感覺不到防火墻的存在，極為適合個人和小企業等使用。而且，它也可以象防病毒軟件那樣地安裝在公司內部的LAN（Local Area Net 局域網）終端上。

個人防火墻能捍衛PC和機密資料，使其避免受網絡漫游可能造成的安全威脅。即使計算機每天連接網絡的時間并不長，但智能的惡意入侵程序依然可以找到它。利用寬頻上網（包括通過纜線調制解調器或 ADSL 線路上網），長時間處于聯機狀態的企業和個人用戶最容易受到黑客攻擊，危險指數更高。寬帶帶給人們上網高流速的便利，人人都在期盼寬帶時代早點到來，可極少人留意到寬帶對網絡和個人隱私所帶來潛在的安全隱患。如果用戶上網時未在計算機上做好正確的安全措施，寬帶將降低黑客攻擊的難度，因為盡管寬帶使連接速度更快，但互聯網協議地址基本保持不變，不象通過調制解調器撥號上網的用戶那樣每撥一次電話他們的IP地址就會改變一次，故相當于永遠有一條通途直達被攻擊的計算機。國外前不久曾做過這樣一個實驗，在一個受到控制的環境下，經一個月的調查，得出結論：長時間上網者受黑客攻擊的幾率高達95%。

在網絡上執行任何工作時，個人防火墻都會阻止網絡服務器在背景竊取您的電子郵件地址或其它個人信息。你可以選擇哪些信息需要保密，而不會不慎把這些信息發送到不安全的網站。這樣，還可以防止網站服務器在你不察覺的情況下跟蹤你的電子郵件地址和其它個人信息。

由于雅虎，微軟，Intel等大型網站接二連三遭到黑客入侵，加上各大媒體的宣傳，防火墻愈發受到用戶認識和青睞，防火墻生產廠商正在大幅度增加市場銷售額。而且防火墻在一段時期之內仍會出現銷量猛增的局面，其增長的動力主要來源于中小型企業以及家用電腦用戶。今后幾年這一增長趨勢還將繼續，而且平均增長率預計可達到38.7%，以往防火墻主要針對網上交易頻繁且易受黑客攻擊的大型企業和保密性強的機構，許多安全產品廠商只是重視大型網絡安全，對個人安全市場比較忽視。但隨著黑客攻擊事件的不斷增加（現在世界上平均每20秒就有一起黑客事件發生）和人們對黑客攻擊嚴重性的意識與日俱增，這種情況近期被打破，防火墻廠商開始研發低價位產品。所謂未雨綢繆，許多小型企業和個人用戶也開始購買防火墻。

2001年7月，中國互聯網絡信息中心（CNNIC）公布了“中國互聯網絡發展狀況統計報告”。報告表明：我國上網計算機數為約1002萬臺，上網用戶人數為約2650萬人，其中家庭用戶占了61%?！爸袊ヂ摼W的使用目前基本上還處于個人運用階段”國務院新聞辦公室主任趙啟正如是說。因此，個人防火墻的市場規模將會是相當龐大的。另外，網民年齡低于24歲的占51.9%，在這個“誘惑太多”的虛擬世界里，少年犯罪占網絡犯罪總數的比例越來越高，年齡卻越來越小，少年犯罪與網絡毒瘤的迅速蔓延有著莫大的關系。

目前，介入我國個人防火墻的國內國外的生產廠商各有5家。最近，國際著名的互聯網安全技術廠商Chcek Point開始全面介入中國防火墻市場并在北京設立中國辦事處，以及國內一些防病毒軟件開發商和知名的IT廠商也逐漸涉足防火墻這一領域，預示著中國網絡安全防護意識的興起。這對于國內防火墻生產廠商來說既是好事也是麻煩事，因為這說明競爭對手的增加的同時市場也在增大。但由于國外個人防火墻價格不菲（每套在40到50美元之間），阻礙了個人防火墻進一步的普及。而且，國外個人防火墻的興起時間并不長，換句話說，國內與國外個人防火墻基本上是在同一條起跑線上，而提倡“服務”比“產品”更為增值的新價值觀在IT業浮頭，國產個人防火墻無論是在設計、應用和服務等方面都會較為強調國情化，技術支持響應及時，加之產品價位有一定的優勢。據了解，作為防火墻“粵家軍”代表的廣東天海威數碼有限公司近期針對小型企業和家庭用戶推出了既可以防止黑客攻擊又可以攔截黃色網站的藍盾個人防火墻V3.0，該版本是在V1.0和V 2.0基礎上，在數百萬用戶下載使用和反饋后，通過不斷測試和完善，于9月17日通過了國家公安部的檢驗并取得了銷售許可證，經北京、沈陽、大連等地的試銷后，市場反應良好，決定于近期正式推出。

藍盾個人版防火墻安裝智能化，操作簡易，既防內又防外，防黑又防黃。個人防火墻對所有內外部提出的服務請求進行過濾，發現非授權的服務請求后立即拒絕。據統計，我國網民年齡低于24歲的占51.9%，在這個“誘惑太多”的虛擬世界里，少年犯罪占網絡犯罪總數的比例越來越高，年齡卻越來越小，少年犯罪與網絡毒瘤的迅速蔓延有著莫大的關系。據了解，美國去年的網絡詐騙案中，其中受黃色網站詐騙的占了10%，達1.88多億美元。藍盾個人版防火墻可限制內部人員或少兒訪問3萬多個黃色、暴力和反動網站，同時藍盾個人版防火墻又強調個性化設計，用戶可通過自定義，增加禁止訪問的網站。還設有密碼管理，防止非法用戶進行修改和刪除過濾功能。

藍盾個人版防火墻還能有效防止外部機器利用各種黑客工具探測到本機的IP地址，當受到攻擊時能自動報警，同時將反追蹤來的黑客蹤跡形成詳細的報表。阻止黑客竊取用戶賬號和密碼，對E-mail的發送進行信息加密，防止個人隱密信息泄露。抵御外來的藍屏攻擊造成windows系統的崩潰以至死機，亦可擊退著名的冰河等特洛伊木馬病毒或其他后門程序的攻擊，避免黑客掌握本機的所有資源而進行肆意破壞，形成一堵堅固的保護墻，拒絕所有來歷不明的訪問，將各種可能存在的網絡安全威脅擋在保護層之外，使用戶清清楚楚地知道自己計算機的安全狀況，以確保用戶的系統安全。做到既可防黑客又可防病毒。

日前，信息產業部部長吳基傳指出：“信息安全保障能力是21世紀綜合國力﹑經濟競爭實力和民族生存能力的重要組成部分。”如今，如何規范網上行為，保障網絡安全，已成為每一個國家所極力關注的一個問題，保衛網絡安全，也將成為一個國際性行為。信息安全產業已成為信息產業發展最快﹑最具市場前景的高新技術產業，而個人防火墻也必將在IT產業逆流而上成為新的經濟增長點。

第五篇：畢業論文(防火墻的技術與應用)

* * * * 學院

畢業論文

課題名稱： 防火墻的技術與應用 作 者： 學 號： 系 別： 電子工程系 專 業： 指導教師：

20**年**月**日

中文摘要

防火墻的技術與應用

摘要

計算機網絡安全已成為當今信息時代的關鍵技術。當前網絡安全問題存在著計算機病毒，計算機黑客攻擊等問題。網絡安全問題有其先天的脆弱性，黑客攻擊的嚴重性，網絡殺手集團性和破壞手段的多無性，解決網絡安全問題重要手段就是防火墻技術。走在中國特色的防火墻技術發展之路,是確保我國網絡安全的有效途徑。防火墻技術的核心思想是在不安全的網際網環境中構造一個相對安全的子網環境。本文重點介紹防火墻技術的基本概念和系統結構，討論了實現防火墻的兩種主要技術手段：一種是基于分組過濾技術(Packet filtering)，它的代表是在篩選路由器上實現的防火墻功能；一種是基于代理技術(Proxy)，它的代表是在應用層網關上實現的防火墻功能。

關鍵詞：網絡安全；防火墻；技術；功能

I 鄭州電子信息職業技術學院2011屆畢業論文

目 錄

中文摘要.................................................................I 1 引言..................................................................1 2 網絡安全概述..........................................................1 3 協議安全分析..........................................................2 3.1 物理層安全........................................................2 3.2 網絡層安全........................................................2 3.3 傳輸層安全........................................................3 4 網絡安全組件..........................................................3 4.1 防火墻............................................................3 4.2 掃描器............................................................3 4.3 防毒軟件..........................................................3 4.4 安全審計系統......................................................3 4.5 IDS...............................................................4 5 網絡安全的看法........................................................4 5.1 隱藏IP地址有兩種方法.............................................5 5.2 更換管理及賬戶....................................................5 6 防火墻概述............................................................5 6.1 防火墻定義........................................................5 6.2 防火墻的功能......................................................5 6.3 防火墻技術........................................................6 6.4 防火墻系統的優點..................................................7 6.5 防火墻系統的局限性................................................7 7 結論..................................................................8 參考文獻.................................................................9 致 謝..................................................................10 鄭州電子信息職業技術學院2011屆畢業論文 引言

隨著網絡技術的普遍推廣，電子商務的開展，實施和應用網絡安全已經不再僅僅為科學研究人員和少數黑客所涉足，日益龐大的網絡用戶群同樣需要掌握網絡安全知識。由于在早期網絡協議設計上對安全問題的忽視，以及在管理和使用上的無政府狀態，逐漸使Internet自身安全受到嚴重威脅，與它有關的安全事故屢次發生，一些黑客把先進的計算機網絡技術，當成一種犯罪工具，不僅影響了網絡的穩定運行和用戶的正常使用,造成許多經濟損失,而且還會威脅到國家的安全，一些國家的機密被黑客破壞造成網絡癱瘓。如何更有效地保護重要信息數據，提高計算機網絡的安全性已經成為世界各國共同關注的話題，防火墻可以提供增強網絡的安全性，是當今網絡系統最基礎設施，側重干網絡層安全，對于從事網絡建設與管理工作而言，充分發揮防火墻的安全防護功能和網絡管理功能至關重要。網絡安全概述

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到了保護，不因偶然的或惡意的原因而遭受到破壞、更改、泄露、系統正常地運行網絡服務不中斷，網絡安全的定義從保護角度來看，是指計算機及其網絡系統資源和信息資源不受自然和人為有害因素的威脅和危害，從廣義上來說，凡是涉及到計算機網絡上信息的機密性，完整性、可用性、可控性、可審查性的相關技術和理論都是計算機網絡安全的研究領域。

網絡安全的具體含義會隨著“角度”的變化而變化，比如：從個人的角度來說，凡是涉及到個人隱私的信息在網絡上傳輸時受到機密性完整性和真實性的保護避免其他人利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。

網絡安全應具有以下五個方面的特征：機密性：確保信息不暴露給未授權的實體或進程。完整性：只有得到授權的實體才能修改數據，并且能夠判別出數據是否已被篡改?？捎眯裕旱玫绞跈嗟膶嶓w在需要時可訪問數據，即攻擊者不能占用所有的資源而阻礙授權者的工作。可控性：可以控制授權范圍內的信息流向及行為方式?？蓪彶樾裕簩Τ霈F的網絡安全問題提供調查的依據和手段。

從管理者角度說網絡信息的訪問讀寫操作受到保護和控制避免病毒侵入，非法存取、非法占用、非法控制等威脅，防止網絡黑客的攻擊，對安全保密部門來說，對于非 鄭州電子信息職業技術學院2011屆畢業論文

法的有害的或涉及國家機密的信息進行過濾和防止，對社會造成危害，對國家造成巨大損失的機要信息的泄漏進行防止，做到杜絕。

現在全球普遍存在缺乏網絡安全的重要性，這導致大多數網絡存在著先天性的安全漏洞和安全威脅，使用TCP/IP協議的網絡所提供的網絡服務都包含許多不安全的因素，存在著一些漏洞網絡的普及使信息共享達到了一個新的層次，信息被暴露的機會大大增多，特別是Internet網絡就是一個不設防的開放大系統，近年來，計算機犯罪案件也急劇上升，計算機犯罪是商業犯罪中最大的犯罪類型之一，每年計算機犯罪造成的經濟損失高達50億美元，在信息安全的發展過程中企業和政府的的要求有一致的地方，也不有一致的地方，企業注重于信息和網絡安全的可靠性，政府注重于信息和網絡安全的可管性和可控性，在發展中國家，對信息安全的投入還滿足不了信息安全的需求，同時投入也常常被挪用和借用。協議安全分析

3.1 物理層安全

物理層安全威脅主要指網絡周邊環境和物理特性引起的網絡設備和線路的不可用而造成的網絡系統的不可用，如：設備老化、設備被盜、意外故障，設備損毀等。由于以太局域網中采用廣播方式，因此在某個廣播域中利用嗅探器可以在設定的偵聽端口偵聽到所有的信息包，并且對信息包進分析，那么本廣播域的信息傳遞都會暴露無遺，所以需將兩個網絡從物理上隔斷同時保證在邏輯上兩個網絡能夠連通。3.2 網絡層安全

網絡層的安全威脅主要有兩類：IP欺騙和ICMP攻擊。IP欺騙技術的一種實現方法是把源IP地址改成一個錯誤的IP地址，而接收主機不能判斷源IP地址的正確性，由此形成欺騙，另外一種方法是利用源路由IP數據包讓它僅僅被用于一個特殊的路徑中傳輸，這種數據包被用于攻擊防火墻。

ICMP在IP層檢查錯誤和其他條件。ICMP信息、對于判斷網絡狀況非常有用，例如：當PING一臺主機想看它是否運去時，就產生了一條ICMP信息。遠程主機將用它自己的ICMP信息對PING請求作出回應，這種過程在網絡中普遍存在。然而，ICMP信息能夠被用于攻擊遠程網絡或主機，利用ICMP來消耗帶寬從而有效地摧毀站點。

鄭州電子信息職業技術學院2011屆畢業論文

3.3 傳輸層安全

具體的傳輸層安全措施要取決于具體的協議，傳輸層安全協議在TCP的頂部提供了如身份驗證，完整性檢驗以及機密性保證這樣的安全服務，傳輸層安全需要為一個連接維持相應的場景，它是基于可靠的傳輸協議TCP的。由于安全機制與特定的傳輸協議有關所以像密鑰管理這樣的安全服務可為每種傳輸協議重復使用。現在，應用層安全已被分解成網絡層、操作系統、數據庫的安全，由于應用系統復雜多樣不存在一種安全技術能夠完全解決一些特殊應用系統的安全問題。網絡安全組件

網絡的整體安全是由安全操作系統、應用系統、防火墻、網絡監控安全掃描、信息審計、通信加密、災難恢復、網絡反病毒等多個安全組件共同組成的，每一個單獨的組件只能完成其中部分功能，而不能完成全部功能。4.1 防火墻

防火墻是指在兩個網絡之間加強訪問控制的一整套裝置，是軟件和硬件的組合體，通常被比喻為網絡安全的大門，在內部網和外部網之間構造一個保護層，用來鑒別什么樣的數據包可以進出企業內部網。防火墻可以阻止基于IP包頭的攻擊和非信任地址的訪問，但無法阻止基于數據內容的黑客攻擊和病毒入侵，同時也無法控制內部網絡之間的攻擊行為。4.2 掃描器

掃描器是一種自動檢測遠程或本地主機安全性弱點的程序，通過使用掃描器可以自動發現系統的安全缺陷，掃描器可以分為主機掃描器和網絡掃描器，但是掃描器無法發現正在進行的入侵行為，而且它也可以被攻擊者加以利用。4.3 防毒軟件

防毒軟件可以實時檢測，清除各種已知病毒，具有一定的對未知病毒的預測能力利用代碼分析等手段能夠檢查出最新病毒。在應用對網絡入侵方面，它可以查殺特洛伊木馬和蠕蟲等病毒程序，但不能有效阻止基于網絡的攻擊行為。4.4 安全審計系統

安全審計系統對網絡行為和主機操作提供全面詳實的記錄，其目的是測試安全策略是否完善，證實安全策略的一致性，方便用戶分析與審查事故原因，協助攻擊的分析收 鄭州電子信息職業技術學院2011屆畢業論文

集證據以用于起訴攻擊者。4.5 IDS 由于防火墻所暴露出來的不足，引發人們對IDS（入侵檢測系統）技術的研究和開發。它被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下對網絡進行監測，從而提供對內部攻擊，外部攻擊和誤操作的實時保護。

IDS的主要功能：監控、分析用戶和系統的活動。核查系統配置和漏洞。評估關鍵系統和數據文件的完整性。識別攻擊的活動模式，并向網管人員報警。對異?；顒拥慕y計分析。操作系統審計跟蹤管理，識別違反政策的用戶活動。評估重要系統和數據文件的完整性。

IDS可分為主機型和網絡型兩種：主機型入侵檢測系統，主要用于保護運行關鍵應用的服務器，它通過監視與分析主機的審計記錄和日志文件來檢測入侵。網絡型入侵檢測系統主要用于實時監控網絡關鍵路徑信息，它通過偵聽網絡上的所有分組來采集數據、分析可疑現象。網絡入侵檢測系統通常利用一個運行在混雜模式下的網絡適配器來實時監視并分析通過網絡的所有通信業務。

由于每個網絡安全組件自身的限制，不可能把入侵檢測和防護做到一應俱全所以不能指望通過使用某一種網絡安全產品實現絕對的安全，只有根據具體的網絡環境，有機整合這些網絡安全組件才能最大限度地滿足用戶的安全需求，在這個通信發達的時代，網絡安全組件是不可缺少的，用戶的安全要得到保障那就使用網絡安全組件吧！它能給你帶來意想不到的效果。網絡安全的看法

隨著互聯網在家庭中的普及，家庭網絡安全越來越受歡迎。家庭網絡安全主要表現在兩個方面，一是個人電腦中毒，二是被非法用戶入侵。個人以為可以從“內”和“外”兩個方面來解決。

從內的方面來講“內”指用戶本身，防止由于自己的疏忽而造成的損失。主要包括安裝一些必要的軟件，主要是防火墻、殺毒、防木馬等安全軟件。要有一個安全的工作習慣。積極備份。積極防范。打好補丁。這幾種方法只是網絡安全方面常用的方法，實際上保證安全從“內”的方面來說還包括很多方面，如操作不當造成軟硬件損壞等。當然這些就不僅僅是網絡安全方面了，實際上只要用戶在以上所說的五個方面做得不錯的 鄭州電子信息職業技術學院2011屆畢業論文

話，基本上網絡安全方面可以放60%以上的心了。只不過許多用戶在這些方面一般不太在意結果造成數據的損失。從外的方面來講“外”指由外界而來的攻擊，一般指黑客攻擊。要防止黑客的攻擊，我介紹幾種簡單容易上手同時效果也不錯的方法供大家參考。5.1 隱藏IP地址有兩種方法

代理服務器的原理是在客戶機和遠程服務器之間架設一個“中轉站”，當客戶機向遠程服務器提出服務要求后，代理服務器首先截取用戶的請求，然后代理服務器將服務請求轉交遠程服務器，從而實現客戶機和遠程服務器之間的聯系。使用代理服務器后，其它用戶只能探測到代理服務器的IP地址而不是用戶的IP地址，這就實現了隱藏用戶IP地址的目的，保障了用戶上網安全。二是使用一些隱藏IP的軟件，如賽門鐵克公司的Norton Internet security,不論黑客使用哪一個IP掃描工具，都會告訴你根本沒有這個IP地址，黑客就無法攻擊你的計算機了。5.2 更換管理及賬戶

Administrator賬戶擁有最高的系統權限，一旦該賬戶被人利用，后果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator賬戶的密碼，所以我們要重新配置Administrator賬戶首先為Administrator賬戶設置一個強大復雜的密碼，然后我們重命名Administrator賬戶再創建一個沒有管理員權限，也就在一定程度上減少了危險。在WINDOWSXP系統中打開控制面板，單擊“用戶帳戶/更改帳戶”，彈出“用戶帳戶”窗口，再點“禁用來賓賬戶”即可。防火墻概述

6.1 防火墻定義

在計算機網絡中，防火墻是指一種將內部網和公眾訪問網分開的方法，它實際是一種隔離技術，它允許“可以訪問”的人和數據進入網絡，同時將“不允許訪問”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問網絡，如果不通過防火墻，人們就無法訪問Internet，也無法和其它人進行通信，它具有較強的抗攻擊能力，提供信息安全服務，實現網絡和信息安全的基礎設施。6.2 防火墻的功能

防火墻的訪問控制功能；訪問控制功能是防火墻設備的最基本功能，其作用就是對經過防火墻的所有通信進行連通或阻斷的安全控制，以實現連接到防火墻上的各個網段 鄭州電子信息職業技術學院2011屆畢業論文 的邊界安全性，為實施訪問控制功能，可以根據網絡地址、網絡協議以及TCP UDP端口進行過濾；可以實施簡單的內容過濾，如電子郵件附件的文件類型等可以將IP與MAC地址綁定以防止盜用IP的現象發生，可以對上網時間段進行控制，不同時段執行不同的安全策略。防火墻的訪問控制采用兩種基本策略，即“黑名單”策略和“白名單”策略，指除了規則允許的訪問，其他都是禁止的。支持一定的安全策略，過濾掉不安全服務和非法用戶。利用網絡地址轉換技術將有限的IP地址動態或靜態地址與內部的IP地址對應起來，用來緩解地址空間短缺的問題?？梢赃B接到一個單獨的網絡上，在物理上與內部網絡隔開并部署WWW服務器和FTP服務器，作為向外部外發布內部信息的地點。防火墻支持基于用戶身份的網絡訪問控制，不僅具有內置的用戶管理及認證接口，同時也支持用戶進行外部身份認證。防火墻可以根據用戶認證的情況動態地調整安全策略實現用戶對網絡的授權訪問。6.3 防火墻技術

按照實現技術分類防火墻的基本類型有：包過濾型、代理服務型和狀態包過濾型。包過濾技術；包過濾通常安裝在路由器上，并且大多數商用路由器都提供了包過濾的功能。包過濾是一種安全篩選機制，它控制哪些數據包可以進出網絡而哪些數據包應被網絡所拒絕。包過濾是一種通用有效的安全手段。它在網絡層和傳輸層起作用。它根據分組包的源宿地址端口號及協議類型，來確定是否允許分組包通過。包過濾的優點是它對于用戶來說是透明的，處理速度快且易于維護，通常作為第一道防線。

代理服務技術；代理服務系統一般安裝并運行在雙宿主機上，使外部網絡無法了解內部網絡的拓撲，比包過濾防火墻安全，由于安全性比較高，所以是使用較多的防火墻技術。代理服務軟件運行在一臺主機上構成代理服務器，負責截客戶的請求。根據安全規則判斷這個請求是否允許，如果允許才能傳給真正的防火墻。代理系統是客戶機和真實服務器之間的中介，完全控制客戶機和真實服務器之間的流量并對流量情況加以記錄，它具有靈活性和安全性，但可能影響網絡的性能對用戶透明，且對每一個服務器都要設計一個代理模塊，建立對應的網關層實現起來比較復雜。

代理服務技術的優點：1.提供的安全級別高于包過濾型防火墻。2.代理服務型防火墻可以配置成惟一的可被外部看見的主機，以保護內部主機免受外部攻擊。3.可能強制執行用戶認證。4.代理工作在客戶機和真實服務器之間，完全控制會話，所以能提供較詳細的審計日志。鄭州電子信息職業技術學院2011屆畢業論文

狀態檢測技術；狀態檢測防火墻在網絡層由一個檢測模塊截獲數據包，并抽取與應用層狀態有關的信息，并以此作為依據決定對該連接是接受還是拒絕。檢測模塊維護一個動態的狀態信息表，并對后續的數據包進行檢查。一旦發現任何連接的參數有意外的變化該連接就被中止。這種技術提供了高度安全的解決方案，同時也具有較好的適應性和可擴展性。狀態檢測防火墻克服了包過濾防火墻和應用代理服務器的局限性不要求每個被訪問的應用都有代理，狀態檢測模塊能夠理解各種協議和應用以支持各種最新的應用服務。狀態檢測模塊截獲分析并處理所有試圖通過防火墻的數據包，保證網絡的高度安全和數據完整網絡和各種應用的通信狀態動態存儲更新到動態狀態表中，結合預定義好的規則實現安全策略，狀態檢測不僅僅對網絡層檢測而對OSI七層模型的所有層進行檢測，它與前面兩種防火墻技術不同，當用戶訪問請求到達網關的操作系統前，狀態監器要抽取有關數據進行分析，結合網絡配置和安全規定做出接納拒絕，身份認證，報警或給該通信加密等處理動作。狀態檢測技術的特點：安全性、高效性、可伸縮性和易擴展性。

6.4 防火墻系統的優點

可以對網絡安全進行集中控制和管理；防火墻將受信任的專用網與不受信任的公用網隔離開來，將承擔風險的范圍從整個內部網絡縮小到組成防火墻系統的一臺或幾臺主機上在結構上形成了一個控制中心，大大加強了網絡安全性，并且簡化了網絡管理。由于防火墻在結構上的特殊位置，使其方便地提供了監視管理與審計網絡的使用及預警。為解決IP的地址危機提供了可行方案。由于Internet的日益發展及其IP地址空間的有限，使用戶無法獲得足夠的注冊IP地址，防火墻系統則正處于設置網絡地址轉換NAT的最佳位置，NAT有助于緩和IP地址空間的不足，并使得一個結構改變Internet服務提供商時而不必重新編址。防火墻系統可以作為Internet信息服務器的安裝地點，對外發布信息。

6.5 防火墻系統的局限性

防火墻系統存在著如下局限性：常常需要有特殊的較為封閉的網絡拓撲結構來支持，對網絡安全功能的加強往往以網絡服務的靈活性、多樣性和開放性為代價。防火墻系統的防范對象來自外部對內部網絡攻擊，而不能防范不經由防火墻的攻擊。比如通過SLIP或PPP的撥號攻擊，繞過了防火墻系統而直接撥號進入內部網絡，防火墻對這樣的 7 鄭州電子信息職業技術學院2011屆畢業論文

攻擊很難防范。防火墻在技術原理上對來自內部網絡系統的安全威脅不具備防范作用。比如不能防范內奸或由用戶造成的危害。結論

網絡的迅速發展，給我們的工作和生活帶來了巨大的改變。在網絡日益復雜化，多樣化的今天，安全受到人們越來越多的關注。如何保護各類網絡和信息的安全，成為人們研究的焦點，其中防火墻是運用非常廣泛和效果最好的選擇。但是，防火墻技術也有它的不足之處，為了更好的維護網絡安全，還需要其他的技術相結合，以及更先進的技術的發現。鄭州電子信息職業技術學院2011屆畢業論文

參考文獻

[1] 鄧亞平.計算機網絡安全[M].北京:北京人民郵電出版社.2004.50-75.[2] 馮 元.計算機網絡安全基礎[M].北京:科學出版社.2004.120-150.[3] 穆紅濤.Internet實用技術[M].北京:大連理工大學出版社.2005.150-198.[4] 張仕斌.網絡安全技術[M].北京:清華大學出版社.2001.17-38.[5] 梁亞聲.計算機網絡安全技術教程[M].北京:機械工業出版社.2004.110-187.鄭州電子信息職業技術學院2011屆畢業論文

致 謝

首先，我要特別感謝***老師對我的悉心指導，在本文完成期間他幫助我收集文獻資料，理清設計思路，指導方法。**老師淵博的知識、嚴謹的學風、誨人不倦的態度和學術上精益求精的精神使我有了進一步的提高。

另外，要感謝母校****學院所有老師與同學兩年來對我的關心與支持。最后，我要向我的父母致以最崇高的敬意，沒有你們無私的支持，就沒有我今天的成績。寫作畢業論文是一次再系統學習的過程，畢業論文的完成，同樣也意味著新的學習生活的開始。