第一篇：防火墻的技術(shù)與應用-相關(guān)知識(11)

防火墻的技術(shù)與應用-相關(guān)知識(11)

天網(wǎng)防火墻負載分擔技術(shù)

1.負載分擔——大型服務節(jié)點的解決方案

擁有大量的訪問量和用戶是信息服務提供者的目標，但是大量的訪問會給服務器帶來沉重的負擔，隨著出色的Inte.net應用服務的用戶人數(shù)不斷增加，服務器變得不勝負荷，如果無法及時處理大量的用戶服務請求，將出現(xiàn)服務中斷的情況。以往在解決這些問題的時候，只能采用更強計算能力的服務器來替換原來的服務器，舊的服務器只能淘汰掉。即使這樣，單臺服務器的負載能力也是有限的，不可能無限擴展，同時，高檔服務器的價格是隨著服務器的性能呈現(xiàn)指數(shù)型上升，因此，采用多臺廉價服務器組成負載分擔的系統(tǒng)模型日漸成為主流。

2．負載分擔系統(tǒng)的原理

負載分擔系統(tǒng)主要是將集中在一臺服務器上的用戶服務請求分發(fā)到多臺服務器上。在負載分擔方式出現(xiàn)的初期，有不少網(wǎng)絡(luò)的設(shè)計采用域名輪轉(zhuǎn)的方式，即是一個域名對應多臺服務器，作為一種廉價的方案，域名輪轉(zhuǎn)的方式可以解決一些服務器的負載問題，但是，由于這種負載分擔的方式有很大的局限性：無法根據(jù)各臺服務器的負載情況，將用戶服務請求發(fā)送到不同的服務器上；在其中一臺服務器出現(xiàn)問題無法工作的時候，系統(tǒng)仍然會將用戶訪問請求發(fā)送到出現(xiàn)故障的服務器上，造成一部分服務的中斷；由于域名解釋一般在各地的服務器上都會有Cache存在，因此會造成一個地區(qū)的用戶訪問請求將集中在同一臺服務器上。因而實際上，采用域名輪轉(zhuǎn)的方式來做系統(tǒng)負載分擔，其效果并不明顯。

3．天網(wǎng)防火墻的負載分擔系統(tǒng)模塊

使用天網(wǎng)防火墻的分布式方案，可以建造具有快速響應時間和高容錯的大容量服務器集群系統(tǒng)。天網(wǎng)防火墻的負載分布模塊，可以智能地將用戶的服務請求分布到多臺服務器上，同時，提供容錯功能，可以自動隔離出問題的服務器。系統(tǒng)具體功能如下：

1）動態(tài)負載均衡

天網(wǎng)防火墻的負載分布模塊可以根據(jù)服務器的負載情況，包括CPU 占用量，系統(tǒng)Load等情況，自動選擇負載最小的服務器，將用戶的服務請求發(fā)送到該機器上。

2）容錯處理

天網(wǎng)防火墻的負載分布模塊可以自動檢測服務器的可用性，當某一臺服務器出現(xiàn)故障的時候，分布式系統(tǒng)會自動繞開發(fā)生故障的機器，不會將用戶的服務請求發(fā)送到該機器上，保證了系統(tǒng)的正常運作。

4．天網(wǎng)防火墻負載分擔模塊的工作原理

天網(wǎng)防火墻負載分擔模塊的工作原理主要是將用戶的訪問按照一定算法分布到多臺服務器上。

天網(wǎng)防火墻可以采用多種不同方式實現(xiàn)負載分擔。從功能上可以分為兩類：

1）智能類

直接探測

方式：天網(wǎng)防火墻負載分擔模塊直接向服務器發(fā)送服務請求數(shù)據(jù)，根據(jù)服務器響應時間，將無響應的服務器標志為問題服務器，確立用戶服務請求轉(zhuǎn)發(fā)的優(yōu)先級。

優(yōu)點：與服務器采用的系統(tǒng)無關(guān)，用戶服務器可以采用任何種類的服務器。

缺點：得到的數(shù)據(jù)不準確，無法做到完全的負載分擔。

服務器Agent

方式：在服務器端安裝天網(wǎng)防火墻的負載檢測代理軟件，實時向天網(wǎng)防火墻負載分擔模塊發(fā)送服務器的負載情況，包括CPU 占用量，系統(tǒng)Load，網(wǎng)絡(luò)流量等情況，天網(wǎng)防火墻根據(jù)服務器負載的綜合指數(shù)，確立用戶服務請求轉(zhuǎn)發(fā)的優(yōu)先級。

優(yōu)點：可以準確地將用戶服務請求轉(zhuǎn)發(fā)到真正空閑的服務器上，保證服務品質(zhì)。

缺點：必須針對不同操作系統(tǒng)的服務器安裝負載檢測代理軟件，目前只有Unix系統(tǒng)的負載檢測代理軟件。

2）固定類

按照固定順序循環(huán)或隨即將用戶服務請求轉(zhuǎn)發(fā)到服務器上面。用在某些特殊的場合，例如服務器端對不正確的服務請求不響應或返回數(shù)據(jù)不正常。

5．IIDR算法

在實際應用中，由于服務器端常常存在著CGI程序，這些程序會將用戶的信息保存在服務器的內(nèi)存中，如果負載分擔系統(tǒng)不能識別用戶來源，就會將同一個用戶的請求分布到不同的服務器上，就會導致無法正常運行程序。而天網(wǎng)防火墻的負載負擔模塊采用獨有的IIDR（智能身份識別）算法，能夠保證同一個用戶的CGI請求可以保留在同一臺服務器上，保證服務的正常運作。

6．天網(wǎng)防火墻負載分擔模塊

采用分布式結(jié)構(gòu)建造大規(guī)模的Internet應用，可以容納大量的用戶，然而在用戶量增大到一定的情況下，負載分擔服務器處于整個網(wǎng)絡(luò)中心的位置，有可能反而成為服務系統(tǒng)的瓶頸。天網(wǎng)防火墻負載分擔模塊在設(shè)計時采用的專用散列算法，保證系統(tǒng)即使在處理巨大的用戶量（每秒同時連接數(shù)大于30000用戶）下，網(wǎng)絡(luò)效率仍然可以達到80%以上。

第二篇：防火墻技術(shù)的應用

防火墻技術(shù)的應用

作 者：郭 麗 指導老師：李爭艷

摘 要：為了保護計算機、服務器和網(wǎng)絡(luò)資源免遭攻擊破壞, 提出了防火墻技術(shù)是當前比較流行而且是比較可行的一種網(wǎng)絡(luò)安全防護技術(shù)。本論文從實際應用的角度對防火墻的應用問題進行了探討分析，闡述了防火墻的幾種技術(shù)及其應用模式。最后，詳細介紹了防火墻的應用設(shè)計。

關(guān)鍵詞：防火墻；防火墻技術(shù)；防火墻應用模式；防火墻應用設(shè)計 防火墻概述

防火墻是設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)絡(luò)與不可信任的外部公共網(wǎng)絡(luò)）或者不同網(wǎng)絡(luò)安全域之間的一系列部件（包括軟件和硬件）的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息和數(shù)據(jù)的唯一出入口，能夠根據(jù)網(wǎng)絡(luò)管理人員制定的網(wǎng)絡(luò)安全策略控制出入網(wǎng)絡(luò)的各種數(shù)據(jù)信息流，從而對所受保護的網(wǎng)絡(luò)提供信息安全服務。在邏輯上，防火墻是一個分離器、一個限制器，也是一個分析器，它有效地監(jiān)控了所要保護的內(nèi)部網(wǎng)和外部公共網(wǎng)絡(luò)之間的任何活動，用于確定網(wǎng)絡(luò)哪些內(nèi)部服務允許外部訪問，以及內(nèi)部網(wǎng)絡(luò)主機訪問哪些外部服務等，從而保證了所要保護的內(nèi)部計算機網(wǎng)絡(luò)的穩(wěn)定正常運行以及內(nèi)部網(wǎng)絡(luò)上數(shù)據(jù)和信息資源的完整性、可用性和保密性。不同技術(shù)的防火墻實現(xiàn)的功能的側(cè)重點不同，從某種意義來說，防火墻實際上代表了一個網(wǎng)絡(luò)的訪問控制原則。防火墻技術(shù)是計算機網(wǎng)絡(luò)安全領(lǐng)域中最為關(guān)鍵和有效的技術(shù)之一，它設(shè)置在相對安全的內(nèi)部網(wǎng)和相對不安全的而又具有大量資源和信息的外部網(wǎng)之間，執(zhí)行網(wǎng)絡(luò)安全策略，以有效地阻止來自外界的網(wǎng)絡(luò)攻擊，保護內(nèi)部網(wǎng)絡(luò)正常運行以及資源和信息的安全。通過以上分析我們可以看出防火墻從理論上應該具有下列特點：內(nèi)部和外部的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻；只有符合安全策略的數(shù)據(jù)流才能通過防火墻；防火墻本身應該堅固安全可靠。

第1頁(共14頁)2 防火墻技術(shù)

防火墻技術(shù)分為包過濾，代理，NAT，狀態(tài)監(jiān)測等幾種技術(shù)。2.1 包過濾技術(shù)

包過濾工作在網(wǎng)絡(luò)層和邏輯鏈路層之間。日益增多的眾多IP路由產(chǎn)品正使包過濾成為一種改善網(wǎng)絡(luò)安全的工具。如果恰當使用，對具有安全意識的網(wǎng)絡(luò)管理者來說，包過濾是一種有用的工具。但它的有效利用需要對它的實際能力和缺點的充分了解，以及對用于過濾器的特定協(xié)議的特點的充分了解。首先檢查包過濾作為一種網(wǎng)絡(luò)安全度量的效用，簡要地比較了IP包過濾和其它的網(wǎng)絡(luò)安全方法如應用級網(wǎng)關(guān)，描述了包過濾在每一個包中檢查什么，及涉及包過濾時的通用應用協(xié)議的特性。然后鑒別和檢查了許多當前包過濾實現(xiàn)中出現(xiàn)的一些共同問題，說明這些問題怎樣不費力地破壞網(wǎng)絡(luò)管理者的意圖并導致一種虛假的安全感，并對這些問題提出解決方案。

這里把包過濾看作一種實現(xiàn)網(wǎng)絡(luò)安全策略的機制。需要考慮的事項是來自站點或網(wǎng)絡(luò)管理者的觀點(他們是那些在維持他們的站點或網(wǎng)絡(luò)足夠的安全時，對提供好的可能的服務給他們的用戶感興趣的人)，站點或網(wǎng)絡(luò)管理者的觀點必定和服務提供者或路由器供應商所有的觀點不一樣(他們感興趣的是提供網(wǎng)絡(luò)服務或產(chǎn)品給用戶)。始終假定站點管理者通常對于阻止外面的人進入更感興趣，而不是設(shè)法管轄內(nèi)部的人，并假定目的是阻止外而的人侵入和內(nèi)部的人偶爾接觸到有價值的數(shù)據(jù)或服務，而不是防止內(nèi)部的人有意地或惡意地暗中破壞安全措施。

包過濾能被用于實現(xiàn)各種不同的網(wǎng)絡(luò)安全策略。這些策略的第一個目的通常在于防止未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問，而沒有阻礙授權(quán)的訪問。未經(jīng)授權(quán)的訪問和授權(quán)的訪問的定義在不同機構(gòu)有很大的不同。第二個目的通常為機制在執(zhí)行用戶了解和安全措施的應用程序認識方面是透明的。另一個目的是機制對于配置和維護是簡單的，從而提高策略被正確和徹底的實現(xiàn)的可能性。或多或少的，包過濾是完成所有這些目的的一種機制，但這只能通過對于它的優(yōu)勢和缺點的透徹地了解及它的實際能力的小心運用來達到。

為了網(wǎng)絡(luò)安全，包過濾的一般的可供選擇的方法包括用網(wǎng)絡(luò)訪問保護

第2頁(共14頁)每一臺機器和使用應用網(wǎng)關(guān)。以全有或全無(一種非常粗糙的包過濾形式)為基礎(chǔ)允許網(wǎng)絡(luò)訪問，然后嘗試去保護具有網(wǎng)絡(luò)訪問權(quán)的每一臺機器一般是不切實際的，沒有幾個站點有辦法去保護并監(jiān)控每一臺需要偶然的網(wǎng)絡(luò)訪問的機器。應用網(wǎng)關(guān)，諸如被AT&T, DEC和其他幾個機構(gòu)使用的那些，通常也是不切實際的。因為它們?yōu)榱说竭_外部主機，要求內(nèi)部主機運行改良(通常被定做或其他方面不是通用的)版本的應用程序(如FTP和Telnet)。如果一個恰當改良版本的應用程序?qū)τ谝粋€特定的主機(如適合于個人計算機的改良的Telnet客戶機)是不可用的，內(nèi)部主機的用戶簡直是不幸的，而且不能到達過去的應用網(wǎng)關(guān)。

在這里用到的允許和拒絕同路由和丟棄的意義是相同的。如果路由器決定允許或路由一個包，那么它將被送到它的目的地，好像路由不曾發(fā)生。如果路由器決定拒絕或丟棄一個包，那么該包僅僅被丟棄，好像它不曾存在一樣。依賴于過濾實現(xiàn)(有時候是過濾說明)，路由器可能給被丟棄的包的源主機回送一個ICMP信息(通常為主機不可達信息)，或只是假裝不曾收到該包。另外，本文中，入站和出站通常用于從受保護網(wǎng)絡(luò)作為一個整體的觀點談到連接或包，有時用于從過濾器路由器(在內(nèi)部網(wǎng)絡(luò)邊緣，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間)的觀點談到包，或用于涉及包經(jīng)過的路由器接口。一個包在它到外部網(wǎng)絡(luò)的路上，對于過濾路由器來說，可能看來是入站的，但從內(nèi)部網(wǎng)絡(luò)作為一個整體來說，該包是出站的。一個出站連接是由內(nèi)部機器上的客戶機發(fā)起到外部機器上的服務器的連接。注意:當連接作為一個整體是出站的，它既包括出站包(指那些從內(nèi)部客戶機到外部服務器的)又包括入站包(指那些從外部服務器回到內(nèi)部客戶機的)。同樣地，一個入站連接是一個由外部機器上的客戶機發(fā)起到內(nèi)部機器上的服務器的連接。對于一個包來說，入站接口是在包出現(xiàn)的過濾路由器上的接口，而出站接口是包將經(jīng)由它出去的接口，如果它不被應用過濾規(guī)則拒絕的話。2.2代理技術(shù)

具有因特網(wǎng)訪問功能的主機代替其它主機完成與因特網(wǎng)的通信，這就是代理服務。代理只對單個(或很小一部分)主機提供因特網(wǎng)訪問服務，盡管它看起來像是對所有的主機提供服務。

代理服務其運行在一個雙宿主主機或一個堡壘主機上:一些可以與用戶交談的主機同樣也可以與外界交談。用戶的代理程序與這個代理服務器

第3頁(共14頁)交談，而不是直接與外部的因特網(wǎng)上的真實的服務器交談。這個代理服務器接收來自客戶的要求，應決定哪個請求可以傳送，那個可以不考慮。如果一個請求是許可的，代理服務器就會代表客戶與真正的服務器交談，繼而將客戶請求傳達給真實服務器，并將真實服務器的應答返回給客戶。代理服務對用戶是透明的，用戶與代理服務器交談就像與真實服務器交談一樣；而對真實服務器米說，它是于一個運行于代理服務器主機上的用戶交談，而并不知道用戶的真實所在。代理技術(shù)有如下特點：

（1）代理服務允許用戶直接地訪問因特網(wǎng)服務

使用雙宿主主機方式，用戶需要在訪問任何因特網(wǎng)服務之前連入這個主機，通常這樣做很不方便，會使一些用戶變得很沮喪，以至于是他們在防火墻周圍尋找通道。使用代理服務，用戶會認為他們是在直接與因特網(wǎng)服務器進行交流。

當然，后臺仍會有更多程序在運行，但它們對于用戶來說通常是透明的。當代理服務允許用戶通過它們連入因特網(wǎng)時，它們不允許在用戶系統(tǒng)和因特網(wǎng)之間直接傳送數(shù)據(jù)包。數(shù)據(jù)包的傳輸?shù)缆肥情g接的:或者通過雙宿主主機，或者通過一個堡壘主機和屏蔽路由器系統(tǒng)。（2）代理服務可以優(yōu)化日志服務

因為代理服務器可以優(yōu)先選擇協(xié)議，所以它們允許日志服務以一種特殊有效的方式運行。例如，一個FTP代理服務器可以只記錄已發(fā)出的命令和服務器返回的應答，來代替記錄所有傳送的數(shù)據(jù)，這樣會產(chǎn)生一個小的多也有用的多的日志。

（3）代理服務滯后于非代理服務

盡管代理軟件廣泛用于類似FTP和Telnet這些陳舊的簡單的服務，但新的或不常用服務的代理軟件卻較難找到。在一個新的服務出現(xiàn)以后，通常要經(jīng)過一個明顯的延遲，它的代理服務器才會出現(xiàn)，滯后時間的長短主要依賴于為代理而設(shè)計的服務器。這時的一個站點在提供一項新的服務時，難以立刻提供相應的代理服務。如果某個內(nèi)部子系統(tǒng)需要一種新的服務，那么在找到合適的代理軟件之前，將不得不把它置于防火墻之外，這等于打開了潛在的安全缺口。

（4）不同的服務可能要求不同的服務器

第4頁(共14頁)可能需要為每項服務設(shè)置不同的代理服務器。因為代理服務器需要理解這個服務所用的協(xié)議，以判斷什么是允許的，什么是不允許的，并且它還得扮演兩個角色，對真實服務器來說它是用戶，對代理服務器來說它是真實服務器。挑選、安裝和配置所有這些不同的代理服務可能是一項龐大的工程。

根據(jù)所用的代理軟件的不同，配置的難易程度也大不相同，在一個地方容易做的事情可能在其它地方非常困難。例如，容易配置的服務器通常實用性比較差，它們之所以可以比較容易地配置，是因為它們限制了各種使用條件，這些條件可能是正確的，也可能根本不適合你的站點。（5）代理服務對用戶的限制比較多

代理服務器通常要求對用戶和使用過程進行限制，每一種限制都有不足之處，人們無法按他們自己的步驟來隨心所欲地使用代理服務。由于這些限制，代理服務就不能像非代理服務運行得那樣好，它們往往可能曲解協(xié)議，而且也缺少一定的靈活性。2.3 NAT技術(shù)

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機器取得注冊的IP地址。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進行設(shè)置，用戶只要進行常規(guī)操作即可。

NAT的工作過程如圖1所示：

在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的第5頁(共14頁)地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。

圖1 NAT工作過程

在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進行設(shè)置，用戶只要進行常規(guī)操作即可。2.4狀態(tài)監(jiān)測技術(shù)

這是繼“包過濾”技術(shù)和“應用代理”技術(shù)后發(fā)展的防火墻技術(shù)，它是CheckPoint技術(shù)公司在基于“包過濾”原理的“動態(tài)包過濾”技術(shù)發(fā)展而來的，與之類似的有其他廠商聯(lián)合發(fā)展的“深度包檢測”（Deep Packet Inspection）技術(shù)。這種防火墻技術(shù)通過一種被稱為“狀態(tài)監(jiān)視”的模塊，在不影響網(wǎng)絡(luò)安全正常工作的前提下采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各個層次實行監(jiān)測，并根據(jù)各種過濾規(guī)則做出安全決策。

“狀態(tài)監(jiān)測”技術(shù)在保留了對每個數(shù)據(jù)包的頭部、協(xié)議、地址、端口、第6頁(共14頁)類型等信息進行分析的基礎(chǔ)上，進一步發(fā)展了“會話過濾”功能，在每個連接建立時，防火墻會為這個連接構(gòu)造一個會話狀態(tài)，里面包含了這個連接數(shù)據(jù)包的所有信息，以后這個連接都基于這個狀態(tài)信息進行，這種檢測的高明之處是能對每個數(shù)據(jù)包的內(nèi)容進行監(jiān)視，一旦建立了一個會話狀態(tài)，則此后的數(shù)據(jù)傳輸都要以此會話狀態(tài)作為依據(jù)，例如一個連接的數(shù)據(jù)包源端口是8000，那么在以后的數(shù)據(jù)傳輸過程里防火墻都會審核這個包的源端口還是不是8000，否則這個數(shù)據(jù)包就被攔截，而且會話狀態(tài)的保留是有時間限制的，在超時的范圍內(nèi)如果沒有再進行數(shù)據(jù)傳輸，這個會話狀態(tài)就會被丟棄。狀態(tài)監(jiān)視可以對包內(nèi)容進行分析，從而擺脫了傳統(tǒng)防火墻僅局限于幾個包頭部信息的檢測弱點，而且這種防火墻不必開放過多端口，進一步杜絕了可能因為開放端口過多而帶來的安全隱患。

由于狀態(tài)監(jiān)視技術(shù)相當于結(jié)合了包過濾技術(shù)和應用代理技術(shù)，因此是最先進的，但是由于實現(xiàn)技術(shù)復雜，在實際應用中還不能做到真正的完全有效的數(shù)據(jù)安全檢測，而且在一般的計算機硬件系統(tǒng)上很難設(shè)計出基于此技術(shù)的完善防御措施（市面上大部分軟件防火墻使用的其實只是包過濾技術(shù)加上一點其他新特性而已）。

3防火墻的應用模式

由于網(wǎng)絡(luò)拓撲結(jié)構(gòu)和安全需求等方面的差異，在使用防火墻構(gòu)建網(wǎng)絡(luò)安全防護系統(tǒng)時，其應用模式可能是千差萬別的。總的來說，比較典型的防火墻應用模式有4種。

3.1屏蔽路由器（Screened Route）

這種應用模式采用單一的分組過濾型防火墻或狀態(tài)檢測型防火墻來實現(xiàn)。通常，防火墻功能由路由器提供（在路由器上增加一個防火墻模塊），該路由器設(shè)置在內(nèi)部網(wǎng)與internet之間，根據(jù)預先設(shè)置的安全規(guī)則對進人內(nèi)部網(wǎng)的信息流進行安全過濾。在這種應用模式中，防火墻功能也可以用單獨的防火墻設(shè)備或主機來實現(xiàn)，設(shè)置在內(nèi)部網(wǎng)與路由器之間。參見圖2：

內(nèi)部網(wǎng)

屏蔽

路由器

INTERNET

圖2 屏蔽路由器 第7頁(共14頁)這種應用模式的優(yōu)點是數(shù)據(jù)轉(zhuǎn)發(fā)速度快，岡絡(luò)性能損失較小，易于實現(xiàn)，費用較低、它的缺點是安全性比較脆弱，尤其是分組過濾型防火墻，容易被人侵者攻破，進而入侵內(nèi)部網(wǎng)。3.2雙宿主機網(wǎng)關(guān)（Dual Homed Gateway）

這種應用模式采用單一的代理服務型防火墻來實現(xiàn)。通常，防火墻是由一個運行代理服務軟件的主機實現(xiàn)的。這種主機稱為堡壘主機（Bastion Host），而具有兩個網(wǎng)絡(luò)接口的堡壘。主機稱為雙宿主機（Dual Home）。這種應用模式由雙宿主機充當內(nèi)部網(wǎng)與internet之間的網(wǎng)關(guān)，并在其上運行代理服務器軟件，受保護的內(nèi)部網(wǎng)與Internet之間不能直接建立連接，必 須通過堡壘主機才能進行通信外部用戶只能看到堡壘主機。而不能看到內(nèi)部網(wǎng)的實際服務器和其他資源。受保護網(wǎng)絡(luò)的所有開放服務必須由堡壘主機上的代理服務軟件來實施。參見圖3：

內(nèi)部網(wǎng)

堡壘

主機

INTERNET

圖3 雙宿主機網(wǎng)關(guān)

這種應用模式的安全性略好一些。但仍然比較脆弱，因為堡壘主機是惟一的安全屏障，一旦被人侵者攻破。內(nèi)部網(wǎng)將失去保護。3.3屏蔽主機網(wǎng)關(guān)（Screened Host Gateway）

這種應用模式采用雙重防火墻來實現(xiàn)，一個是屏蔽路由器，構(gòu)成內(nèi)部網(wǎng)的第一道安全屏障；另一個是堡壘主機．構(gòu)成內(nèi)部網(wǎng)的第二道安全屏障。參見圖4：

內(nèi)部網(wǎng)

堡壘 主機 屏蔽 路由器

INTERNET

圖4 屏蔽主機網(wǎng)關(guān)

屏蔽路由器基于下列規(guī)則過濾分組流：堡壘主機是內(nèi)部網(wǎng)惟一的系統(tǒng)，允許外部用戶與堡壘主機建立連接，并且只能通過與堡壘主機建立連接來訪問內(nèi)部網(wǎng)提供的服務。由于這種應用模式設(shè)有兩道安全屏障，并且是由兩種不同的防火墻構(gòu)成的，可以優(yōu)勢互補和相互協(xié)調(diào)。因此，具有較高的第8頁(共14頁)安全性，并且比較靈活。

3.4屏蔽子網(wǎng)網(wǎng)關(guān)（Screened Subnet Gateway）

這種應用模式是在內(nèi)部網(wǎng)與internet之間設(shè)置一個獨立的屏蔽子網(wǎng)，在內(nèi)部網(wǎng)與屏蔽子網(wǎng)之間和屏蔽子網(wǎng)與Internet之間都要沒置一個屏蔽路由器，堡壘主機連接在屏蔽子網(wǎng)上。堡壘主機是惟一的內(nèi)部網(wǎng)和Internet都能訪問的系統(tǒng)，但要受到屏蔽路由器過濾規(guī)則的限制。參見圖5：

屏蔽子網(wǎng)

內(nèi)部網(wǎng)

堡壘 主機

堡壘主機

屏蔽 路由器

INTERNET

圖5 屏蔽子網(wǎng)網(wǎng)關(guān)

在這種應用模式中，內(nèi)部服務器設(shè)有三道安全屏障：兩個屏蔽路由器和堡壘主機，入侵者要入侵內(nèi)部網(wǎng)必須攻破兩個屏蔽路由器和堡壘主機，這顯然是相當困難的。因此，具有更高的安全性，比較適合保護大型的網(wǎng)絡(luò)，但成本也比較高。防火墻的應用設(shè)計

根據(jù)行業(yè)特征和應用性質(zhì)可將網(wǎng)絡(luò)系統(tǒng)大致分成校園網(wǎng)、企業(yè)網(wǎng)、商務網(wǎng)、金融網(wǎng)、政務網(wǎng)以及軍用網(wǎng)等。這些網(wǎng)絡(luò)系統(tǒng)的安全需求是不相同的，必須采用與其應用性質(zhì)相適應的安全措施來構(gòu)建完整的網(wǎng)絡(luò)安全體系。以滿足各種網(wǎng)絡(luò)系統(tǒng)的安全需求，完整的網(wǎng)絡(luò)安全體系應當包括防護、檢測、響應和管理等各個環(huán)節(jié)，不是單靠某一種安全技本來解決的，也要形成一個動態(tài)的安全防護系統(tǒng)。其中，防火墻是整個網(wǎng)絡(luò)安全體系的基礎(chǔ)和關(guān)鍵環(huán)節(jié)，也是一種常用的安全防護技術(shù)，它作為第一道安全屏障最容易受到人侵者的攻擊。因此，除了防火墻本身應具有較好的安全防護能力之外，防火墻的應用方案設(shè)計也是十分重要的。

第9頁(共14頁)防火墻的應用方案設(shè)計一般包括安全需求分析、網(wǎng)絡(luò)安全系統(tǒng)設(shè)計和安全策略設(shè)計3部分。4.1安全需求分析

根據(jù)網(wǎng)絡(luò)應用性質(zhì)，可以將網(wǎng)絡(luò)應用環(huán)境分成3種：開放的、專用的和內(nèi)部的。不同的網(wǎng)絡(luò)應用環(huán)境所面臨的安全風險和需求是不同的，其安全解決方案也有所不同。

（1）開放的網(wǎng)絡(luò)應用環(huán)境：在開放的網(wǎng)絡(luò)應用環(huán)境中，網(wǎng)絡(luò)服務和信息內(nèi)容向internet上的所有用戶完全開放，如連接在Internet上的各種開放的Web服務器等。這種開放的應用環(huán)境一般不存在信息內(nèi)容保密和用戶身份驗證問題，它所面臨的安全風險是拒絕服務（Dos）篡改網(wǎng)頁內(nèi)容以及被非法利用等。這些安全風險需要采用多種安全措施來防范，包括使用接納控制技術(shù)阻止入侵者非法獲取系統(tǒng)控制權(quán)、使用防火墻技術(shù)過濾“有害”的信息，使用“補丁”程序來阻塞系統(tǒng)安全漏洞，使用入侵檢測技術(shù)來檢測和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為等。這種應用環(huán)境的安全要求相對較低，防火墻的作用是次要的，必要時可采用屏蔽路由器模式。

（2）專用的網(wǎng)絡(luò)應用環(huán)境：在專用的網(wǎng)絡(luò)應用環(huán)境中，網(wǎng)絡(luò)服務和信息內(nèi)容是半開放的。只允許授權(quán)用戶通過Internet來訪問。這些授權(quán)用戶是可信任的，他們通常是商業(yè)合作伙伴或者本單位的外地員工。這種專用的應用環(huán)境所面臨的安全風險是假冒合法用戶獲取信息以及信息傳輸過程中被非法截獲或者篡改等。前者屬于網(wǎng)絡(luò)安全問題，主要是用防火墻等技術(shù)來防范；后者屬于信息安全問題，主要采用VPN等枝術(shù)來解決信息傳輸過程中的數(shù)據(jù)機密性和數(shù)據(jù)完整性問題。

在這種網(wǎng)絡(luò)應用環(huán)境中，一般要在內(nèi)部網(wǎng)與Internet之間設(shè)置防火墻，并通過安全規(guī)則來控制外部用戶對內(nèi)部網(wǎng)資源（如Web服務器和其他服務器）的訪問。根據(jù)網(wǎng)絡(luò)服務的安全要求，選擇適當?shù)姆阑饓媚Ｊ絹斫⒕W(wǎng)絡(luò)安全防護系統(tǒng)。除了防火墻外，還應當使用VPN技術(shù)、基于數(shù)字證書的訪問控制技術(shù)等來解決信息交換安全問題。

（3）內(nèi)部的網(wǎng)絡(luò)應用環(huán)境：在內(nèi)部的網(wǎng)絡(luò)應用環(huán)境中，內(nèi)部網(wǎng)與Internet是物理隔離的，網(wǎng)絡(luò)服務器沒置在內(nèi)部網(wǎng)，只允許內(nèi)部用戶通過內(nèi)部網(wǎng)訪問網(wǎng)絡(luò)服務器，這是一種封閉的網(wǎng)絡(luò)環(huán)境。它所面臨的安全風險是內(nèi)部用戶的非授權(quán)訪問，竊取和泄露機密信息等。其防范措施主要側(cè)重

第10頁(共14頁)于解決內(nèi)部用戶對內(nèi)部網(wǎng)的攻擊問題，如采用VLAN、訪問控制、安全審計和安全管理等防范措施。

由于不同的網(wǎng)絡(luò)應用環(huán)境所面臨的安全風險是各不相同的，不能一概而論。因此必須針對不同網(wǎng)絡(luò)應用環(huán)境所面臨的安全風險采取適當?shù)陌踩胧﹣碓鰪娤到y(tǒng)安全性。在系統(tǒng)安全性、網(wǎng)絡(luò)性能損失和系統(tǒng)費用等方面尋找一個最佳平衡點，減少盲目性。4.2網(wǎng)絡(luò)安全系統(tǒng)設(shè)計

在上述的4種防火墻應用模式中，每一種應用模式所提供的安全防護能力和系統(tǒng)費用都是不相同的。在網(wǎng)絡(luò)安全系統(tǒng)設(shè)計中，應當根據(jù)網(wǎng)絡(luò)應用系統(tǒng)的安全需求來構(gòu)造網(wǎng)絡(luò)安全體系。

在安全要求不高的情況下，一般采用屏蔽路由器或雙宿主機網(wǎng)關(guān)應用模式來構(gòu)造網(wǎng)絡(luò)安全系統(tǒng)。這樣在滿足系統(tǒng)安全需求前提下，有利于降低系統(tǒng)費用，簡化網(wǎng)絡(luò)管理。在屏蔽路由器或雙穴主機網(wǎng)關(guān)應用模式不能滿足系統(tǒng)安全需求的情況下，可以考慮采用屏蔽主機網(wǎng)關(guān)或屏蔽子網(wǎng)網(wǎng)關(guān)應用模式。

例如：在基于屏蔽子網(wǎng)網(wǎng)關(guān)應用模式構(gòu)建的網(wǎng)絡(luò)安全系統(tǒng)中，必須將內(nèi)部網(wǎng)劃分為3個子網(wǎng)：內(nèi)部子網(wǎng)、屏蔽子網(wǎng)與外部網(wǎng)（如Internet）。不同子網(wǎng)的安全需求是不同的。屏蔽子網(wǎng)網(wǎng)關(guān)模式采用了兩個屏蔽路由器，一個位于內(nèi)都子網(wǎng)和屏蔽子網(wǎng)之間的內(nèi)部屏蔽路由器；另一個位子屏蔽子網(wǎng)與外部網(wǎng)之間的外部屏蔽路由器。從網(wǎng)絡(luò)體系結(jié)構(gòu)上通過屏蔽子網(wǎng)將內(nèi)部子網(wǎng)與不可信的外部網(wǎng)隔離開。外部屏蔽路由器的作用是保證外部網(wǎng)發(fā)來的數(shù)據(jù)包只能到達屏蔽子網(wǎng)，而且只能將屏蔽子網(wǎng)中的數(shù)據(jù)包輸出到外部網(wǎng)上。內(nèi)部屏蔽路由器的作用是保證內(nèi)部網(wǎng)發(fā)來的數(shù)據(jù)包只能輸出到屏蔽子網(wǎng)上，而不能到達外部網(wǎng)。這樣內(nèi)部網(wǎng)和外部網(wǎng)之間不能直接通信，雙方都只能到達屏蔽子網(wǎng)。由于屏蔽子網(wǎng)是內(nèi)部子網(wǎng)與外部網(wǎng)之間的隔離區(qū)，所以屏蔽子網(wǎng)也稱為“非軍事區(qū)”或“停火區(qū)”。圖6所示是一種基于屏蔽子網(wǎng)網(wǎng)關(guān)應用模式的網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)。

第11頁(共14頁)

圖6 網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)

內(nèi)部屏蔽路由器還應當提供網(wǎng)絡(luò)地址翻譯器（NAT）功能。NAT允許在內(nèi)部網(wǎng)絡(luò)中使用私有IP地址。而私有IP地址在internet中是不可見的，可見的只是代理服務器的公用IP地址。這樣，在屏蔽內(nèi)部子網(wǎng)結(jié)構(gòu)的同時，還解決了公用IP地址短缺問題。

對于各種對外開放的網(wǎng)絡(luò)服務器，如Web服務器、FTP服務器、E-mail服務器以及DNS服務器等可以放置在屏蔽子網(wǎng)中。為了使內(nèi)部用戶能夠仿問Internet，在屏蔽子網(wǎng)上設(shè)置一個堡壘主機，提供代理服務器功能。這樣，既可以使外部用戶能方便瀏覽開放的信息服務、與內(nèi)部網(wǎng)用戶交換郵件等，又防止了外部用戶攻擊內(nèi)部網(wǎng)，篡改數(shù)據(jù)或破壞系統(tǒng)。在這種網(wǎng)絡(luò)安全體系結(jié)構(gòu)中，入侵者想要攻擊內(nèi)部網(wǎng)，必須連續(xù)地攻破外部分組過濾器、代理服務器和內(nèi)部分組過濾器等三道防火墻。即使高明的黑客也是相當困難的。

合理地配置防火墻可以防御多種網(wǎng)絡(luò)攻擊，例如：

（1）在防火墻中配置多塊網(wǎng)卡，不同的網(wǎng)卡對應于不同的網(wǎng)段，通過將網(wǎng)卡與對應網(wǎng)段綁定，可以防御IP地址欺騙的攻擊。

（2）在防火墻中阻塞ICMP報文，只允許某些類型（如回應請求類型）的ICMP報文通過，可以防御“Ping Of death”之類的攻擊。

（3）在防火墻中阻塞ActiveX和Java Applets程序，可以防御惡意程序?qū)?nèi)部主機進行攻擊。

（4）在防火墻中使用NAT功能，所有從防火墻流出的IP數(shù)據(jù)包的源地址均為防火墻上保留的合法IP地址，不僅可以使內(nèi)部主機共享有限的 Internet IP地址，而且能夠隱藏內(nèi)部網(wǎng)絡(luò)信息。

（5）在防火墻中使用認證功能，可以對主機地址、網(wǎng)卡地址和主機名進行認證，還可以對用戶身份進行認證，例如采用口令認證、RADIUS認證以及硬件參與認證等，可以防御地址欺騙、身份假冒等攻擊。

另外，對于處于不同地理位置上的內(nèi)部網(wǎng)通過Internet交換信息時，可以采用VPN技術(shù)來解決信息傳輸過程中的數(shù)據(jù)機密性和數(shù)據(jù)完整性問題。在這種情況下，應當在屏蔽子網(wǎng)設(shè)置一個VPN網(wǎng)關(guān)，兩個內(nèi)部網(wǎng)之間通過VPN網(wǎng)關(guān)建立一個安全的傳輸隧道，實現(xiàn)數(shù)據(jù)安全傳輸。這意味著可信的外部用戶只能邁過VPN隧道穿越內(nèi)部網(wǎng)的防火墻，而在建立VPN隧道時，雙方的身份是經(jīng)過認證的，都是可信的用戶。

第12頁(共14頁)4.3安全策略設(shè)計

在圖6所示的網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)中，設(shè)有3個防火墻：外部分組過濾器（由外部屏蔽路由器提供）、內(nèi)部分組過濾器（由內(nèi)部屏蔽路由器提供）和代理服務器（由堡壘主機提供）。根據(jù)網(wǎng)絡(luò)應用的安全需求，必須分別為它們設(shè)計安全策略和規(guī)則。

（1）外部分組過濾器：外部分組過濾的缺省規(guī)則為禁止所有服務。主機規(guī)則為允許外部用戶訪問屏蔽子網(wǎng)中開放的服務器（如 Web服務器、FTP服務器等），允許外部用戶連接安全代理服務器。每次連接都要產(chǎn)生日志記錄，供以后安全審計使用。

（2）內(nèi)部分組過濾器：內(nèi)部分組過濾的缺省規(guī)則為禁止所有服務。主機規(guī)則為允許內(nèi)部用戶連接屏蔽子網(wǎng)中的主機。每次連接都要產(chǎn)生日志記錄。通過地址轉(zhuǎn)換功能，使所有使用內(nèi)部IP地址的用戶都能共用一個合法外都IP地址訪問外部網(wǎng)絡(luò)（如Internet）。

（3）代理服務器：代理服務器的缺省規(guī)則為禁止聽有連接．它允許內(nèi)部用戶訪向外部網(wǎng)絡(luò)的web站點，并提供代理功能，對所代理的連接進行安全檢查，禁止內(nèi)部用戶訪問非法站點，并產(chǎn)生日志記錄。它還為內(nèi)部郵件服務器與外部郵件服務器之間的連接提供代理。對郵件的大小、數(shù)量，發(fā)送者、接收者，甚至內(nèi)容進行檢查，并產(chǎn)生日志記錄。它在代理 Telnet和 FTP內(nèi)部服務器時，要求驗證用戶的身份，允許合法用戶以規(guī)定的權(quán)限上載和下載服務器中的文件，并產(chǎn)生日志記錄。

為了支持防火墻的系統(tǒng)配置、規(guī)則設(shè)置、日志查看和安全審計等管理操作，一般的防火墻產(chǎn)品都提供一種圖形化界面的管理軟件。在完成網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計和各個防火墻的安全策略設(shè)計后，便可以著手配置各個防火墻的系統(tǒng)參數(shù)和安全規(guī)則。在網(wǎng)絡(luò)應用和網(wǎng)絡(luò)體系結(jié)構(gòu)發(fā)生變化時，應當及時修改防火墻的安全策略，避免可能產(chǎn)生的安全漏洞。在防火墻工作過程中，可以通過管理軟件監(jiān)視防火墻的日志信息，定期進行安全審計，及時發(fā)現(xiàn)系統(tǒng)可能存在的安全漏洞，入侵者的攻擊行為以及其他違反安全規(guī)則的行為，為網(wǎng)絡(luò)安全管理提供決策依據(jù)。結(jié)束語

第13頁(共14頁)本論文主要研究防火墻技術(shù)的應用，從防火墻的簡單概述展開，描述了防火墻的四種技術(shù)，防火墻的應用模式。最后，闡述了防火墻的應用設(shè)計。旨在展望網(wǎng)絡(luò)安全，即防火墻技術(shù)的未來狀況。

參 考 文 獻

[1] 蔡皖東.網(wǎng)絡(luò)與信息安全[M].西安：西北工業(yè)大學出版社，2004.[2] 魏利華.防火墻技術(shù)研究[J].淮陰工業(yè)學院學報：計算機科學技術(shù)版，2003，38（4）：21-33.[3] 蔣建春，馮登國.網(wǎng)絡(luò)入侵檢測技術(shù)原理與技術(shù)[M].北京：國防工業(yè)出版社，2005.[4] 陸楠.現(xiàn)代網(wǎng)絡(luò)技術(shù)[M].西安：西安電子科技大學出版社，2003.[5] 劉克龍，蒙楊.一種新型的防火墻系統(tǒng)[J].淮陰工業(yè)學院學報：計算機科學技術(shù)版，2005，46（6）：11-14.[6] 張凡，李丹靈.網(wǎng)絡(luò)信息安全的真相[J].深圳大學學報：計算機科學技術(shù)版，2006，24（5）：12-19.[7] 陳功富.現(xiàn)代計算機網(wǎng)絡(luò)技術(shù)[M].北京：電子工業(yè)出版社，2005.[8] 鄧吉，柳靖.黑客防攻實戰(zhàn)詳解[M].北京：電子工業(yè)出版社，2006.[9] 郭鑫.防黑檔案[M].北京：電子工業(yè)出版社.2003.[10]薛靜鋒.入侵檢測技術(shù)[M].機械工業(yè)出版社，2004.[11]鄧亞平.計算機網(wǎng)絡(luò)安全[M].北京：人民郵電出版社.2004.[12]李濤.網(wǎng)絡(luò)安全概論[M].北京:電子工業(yè)出版社.2004.Application of Firewall technology

Guo Li Abstract：To protect the personal computer, the server and the network resource from attacking and keep them safe from being destroyed, the firewall technology is popular used and applied successfully in network safeguard field.The paper mainly analyzes the application of firewall from a point of practical usage and expound the applied design of firewall in the end after introducing several techniques and applied patterns.Key words：Firewall;Firewall technology;Firewall application pattern;Firewall using design

第14頁(共14頁)

第三篇：防火墻的技術(shù)與應用-選購和應用

防火墻的技術(shù)與應用-選購和應用(5)

個人防火墻市場漫步

網(wǎng)絡(luò)的高速發(fā)展已促使信息時代以網(wǎng)絡(luò)為核心發(fā)生了深刻的變革，許多人遨游在網(wǎng)絡(luò)這個虛擬世界里時，并沒有意識到有人正在監(jiān)視著你的一舉一動。網(wǎng)友通過OICQ和你一邊親密地聊天，一邊卻在偷窺你電腦硬盤里的私人資料，而他“共享”你的電腦就像用自己的一樣，你的文件隨時有可能成為他的囊中之物，硬盤也有可能“不經(jīng)意”地給格式化掉了。也許就在你為了隱藏自己的身份與對方周旋的時候，他已經(jīng)在竊笑了。在以入侵他人計算機系統(tǒng)為樂的黑客眼里，你的電腦對他來說是透明的。

請記住：黑客肆無忌憚的攻擊無處不在，網(wǎng)絡(luò)安全對于個人用戶而言并不是一個遙遠的話題。在你上網(wǎng)瀏覽，從網(wǎng)上下載軟件接收郵件隨時都有可能讓病毒和木馬混進來。在網(wǎng)上購物、用信用卡進行網(wǎng)上支付、買賣股票或者通過在線銀行進行轉(zhuǎn)賬等操作的時候，隨時隨地都存在威脅。這些惡意攻擊導致的結(jié)果就是：上網(wǎng)賬號被竊取，銀行賬號被盜用，密碼被修改，甚至整個系統(tǒng)全線癱瘓。其實，想遠程獲取你硬盤里的內(nèi)容并不需要人們所想象中出神入化的技術(shù)，只要會使用一些黑客工具就已經(jīng)足夠了，因為許多智能化的黑客工具在20萬多個黑客網(wǎng)站中可以輕易地下載。

新一代的黑客們不但自己攻擊別人，還編寫了各種各樣的黑客工具放在網(wǎng)上供人們自由免費下載。同時，黑客工具版本的升級出乎人們意料的快。譬如，專家們正當發(fā)出警告：制造出肆虐一時的“庫爾尼科娃病毒”的SubSeven黑客工具軟件2.0版已經(jīng)問世，才過幾個小時，就又發(fā)現(xiàn)一個更新的升級版本呱呱落地了。現(xiàn)在的黑客工具功能越來越強大，使用這個工具更容易催生出智能突破電腦網(wǎng)絡(luò)防線的黑客軟件來。

今年初，某著名的網(wǎng)絡(luò)安全公司舉行了一個“一千個傷心的理由”--互聯(lián)網(wǎng)不安全因素問卷調(diào)查。經(jīng)過統(tǒng)計，在調(diào)查問卷中所列出的眾多令人頭疼的互聯(lián)網(wǎng)不安全因素中，最令網(wǎng)友擔心的是(按得票多少)排第三的是：網(wǎng)上購物時，我擔心我提供給網(wǎng)站的個人信息會被非法利用；第四是：上網(wǎng)時，我的電腦資源會不會暴露；第五是：網(wǎng)上聊天時IP地址被盜用；第六；訪問某些網(wǎng)站時，某些程序自動下載到我的電腦；第八：如何才能避開有害的cookies；第九：訪問陌生網(wǎng)站是否安全。從上面的調(diào)查來看，信息安全越來越引起人們的注意，個人隱私權(quán)越來越受到重視。據(jù)悉，個人隱私的保護已被列為網(wǎng)絡(luò)經(jīng)濟面臨的八大倫理難題之首。

另外，根據(jù)一份國際統(tǒng)計資料顯示，平均有大約30%的個人電腦遭受過惡意攻擊，這個比例在網(wǎng)絡(luò)較為發(fā)達的國家還要高，在中國的比例要低一些，但隨著我國上網(wǎng)人數(shù)和上網(wǎng)計算機的增加，這個數(shù)字正在呈上升的趨勢。互聯(lián)網(wǎng)萌發(fā)的早期重點放在發(fā)展，時至今天，衍生出來的網(wǎng)絡(luò)安全問題卻是每個網(wǎng)民必須面對，不容回避的新生問題。我們必須積極采取措施以捍衛(wèi)自己精彩的網(wǎng)絡(luò)生活。方法是多種多樣的，減少在網(wǎng)上的逗留時間、感覺到攻擊立刻強行斷線、提高警惕性等等，當然，最穩(wěn)妥的辦法莫過于選擇一個適和個人用戶的防火墻了。

個人防火墻是安裝在每臺PC機上的軟件，個人防火墻不必象企業(yè)防火墻那樣導入特定的網(wǎng)絡(luò)設(shè)備，僅僅在用戶所使用的PC上安裝軟件即可。由于管理者可以遠距離地進行設(shè)置和管理，終端用戶在使用時感覺不到防火墻的存在，極為適合個人和小企業(yè)等使用。而且，它也可以象防病毒軟件那樣地安裝在公司內(nèi)部的LAN（Local Area Net 局域網(wǎng)）終端上。

個人防火墻能捍衛(wèi)PC和機密資料，使其避免受網(wǎng)絡(luò)漫游可能造成的安全威脅。即使計算機每天連接網(wǎng)絡(luò)的時間并不長，但智能的惡意入侵程序依然可以找到它。利用寬頻上網(wǎng)（包括通過纜線調(diào)制解調(diào)器或 ADSL 線路上網(wǎng)），長時間處于聯(lián)機狀態(tài)的企業(yè)和個人用戶最容易受到黑客攻擊，危險指數(shù)更高。寬帶帶給人們上網(wǎng)高流速的便利，人人都在期盼寬帶時代早點到來，可極少人留意到寬帶對網(wǎng)絡(luò)和個人隱私所帶來潛在的安全隱患。如果用戶上網(wǎng)時未在計算機上做好正確的安全措施，寬帶將降低黑客攻擊的難度，因為盡管寬帶使連接速度更快，但互聯(lián)網(wǎng)協(xié)議地址基本保持不變，不象通過調(diào)制解調(diào)器撥號上網(wǎng)的用戶那樣每撥一次電話他們的IP地址就會改變一次，故相當于永遠有一條通途直達被攻擊的計算機。國外前不久曾做過這樣一個實驗，在一個受到控制的環(huán)境下，經(jīng)一個月的調(diào)查，得出結(jié)論：長時間上網(wǎng)者受黑客攻擊的幾率高達95%。

在網(wǎng)絡(luò)上執(zhí)行任何工作時，個人防火墻都會阻止網(wǎng)絡(luò)服務器在背景竊取您的電子郵件地址或其它個人信息。你可以選擇哪些信息需要保密，而不會不慎把這些信息發(fā)送到不安全的網(wǎng)站。這樣，還可以防止網(wǎng)站服務器在你不察覺的情況下跟蹤你的電子郵件地址和其它個人信息。

由于雅虎，微軟，Intel等大型網(wǎng)站接二連三遭到黑客入侵，加上各大媒體的宣傳，防火墻愈發(fā)受到用戶認識和青睞，防火墻生產(chǎn)廠商正在大幅度增加市場銷售額。而且防火墻在一段時期之內(nèi)仍會出現(xiàn)銷量猛增的局面，其增長的動力主要來源于中小型企業(yè)以及家用電腦用戶。今后幾年這一增長趨勢還將繼續(xù)，而且平均增長率預計可達到38.7%，以往防火墻主要針對網(wǎng)上交易頻繁且易受黑客攻擊的大型企業(yè)和保密性強的機構(gòu)，許多安全產(chǎn)品廠商只是重視大型網(wǎng)絡(luò)安全，對個人安全市場比較忽視。但隨著黑客攻擊事件的不斷增加（現(xiàn)在世界上平均每20秒就有一起黑客事件發(fā)生）和人們對黑客攻擊嚴重性的意識與日俱增，這種情況近期被打破，防火墻廠商開始研發(fā)低價位產(chǎn)品。所謂未雨綢繆，許多小型企業(yè)和個人用戶也開始購買防火墻。

2001年7月，中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）公布了“中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告”。報告表明：我國上網(wǎng)計算機數(shù)為約1002萬臺，上網(wǎng)用戶人數(shù)為約2650萬人，其中家庭用戶占了61%。“中國互聯(lián)網(wǎng)的使用目前基本上還處于個人運用階段”國務院新聞辦公室主任趙啟正如是說。因此，個人防火墻的市場規(guī)模將會是相當龐大的。另外，網(wǎng)民年齡低于24歲的占51.9%，在這個“誘惑太多”的虛擬世界里，少年犯罪占網(wǎng)絡(luò)犯罪總數(shù)的比例越來越高，年齡卻越來越小，少年犯罪與網(wǎng)絡(luò)毒瘤的迅速蔓延有著莫大的關(guān)系。

目前，介入我國個人防火墻的國內(nèi)國外的生產(chǎn)廠商各有5家。最近，國際著名的互聯(lián)網(wǎng)安全技術(shù)廠商Chcek Point開始全面介入中國防火墻市場并在北京設(shè)立中國辦事處，以及國內(nèi)一些防病毒軟件開發(fā)商和知名的IT廠商也逐漸涉足防火墻這一領(lǐng)域，預示著中國網(wǎng)絡(luò)安全防護意識的興起。這對于國內(nèi)防火墻生產(chǎn)廠商來說既是好事也是麻煩事，因為這說明競爭對手的增加的同時市場也在增大。但由于國外個人防火墻價格不菲（每套在40到50美元之間），阻礙了個人防火墻進一步的普及。而且，國外個人防火墻的興起時間并不長，換句話說，國內(nèi)與國外個人防火墻基本上是在同一條起跑線上，而提倡“服務”比“產(chǎn)品”更為增值的新價值觀在IT業(yè)浮頭，國產(chǎn)個人防火墻無論是在設(shè)計、應用和服務等方面都會較為強調(diào)國情化，技術(shù)支持響應及時，加之產(chǎn)品價位有一定的優(yōu)勢。據(jù)了解，作為防火墻“粵家軍”代表的廣東天海威數(shù)碼有限公司近期針對小型企業(yè)和家庭用戶推出了既可以防止黑客攻擊又可以攔截黃色網(wǎng)站的藍盾個人防火墻V3.0，該版本是在V1.0和V 2.0基礎(chǔ)上，在數(shù)百萬用戶下載使用和反饋后，通過不斷測試和完善，于9月17日通過了國家公安部的檢驗并取得了銷售許可證，經(jīng)北京、沈陽、大連等地的試銷后，市場反應良好，決定于近期正式推出。

藍盾個人版防火墻安裝智能化，操作簡易，既防內(nèi)又防外，防黑又防黃。個人防火墻對所有內(nèi)外部提出的服務請求進行過濾，發(fā)現(xiàn)非授權(quán)的服務請求后立即拒絕。據(jù)統(tǒng)計，我國網(wǎng)民年齡低于24歲的占51.9%，在這個“誘惑太多”的虛擬世界里，少年犯罪占網(wǎng)絡(luò)犯罪總數(shù)的比例越來越高，年齡卻越來越小，少年犯罪與網(wǎng)絡(luò)毒瘤的迅速蔓延有著莫大的關(guān)系。據(jù)了解，美國去年的網(wǎng)絡(luò)詐騙案中，其中受黃色網(wǎng)站詐騙的占了10%，達1.88多億美元。藍盾個人版防火墻可限制內(nèi)部人員或少兒訪問3萬多個黃色、暴力和反動網(wǎng)站，同時藍盾個人版防火墻又強調(diào)個性化設(shè)計，用戶可通過自定義，增加禁止訪問的網(wǎng)站。還設(shè)有密碼管理，防止非法用戶進行修改和刪除過濾功能。

藍盾個人版防火墻還能有效防止外部機器利用各種黑客工具探測到本機的IP地址，當受到攻擊時能自動報警，同時將反追蹤來的黑客蹤跡形成詳細的報表。阻止黑客竊取用戶賬號和密碼，對E-mail的發(fā)送進行信息加密，防止個人隱密信息泄露。抵御外來的藍屏攻擊造成windows系統(tǒng)的崩潰以至死機，亦可擊退著名的冰河等特洛伊木馬病毒或其他后門程序的攻擊，避免黑客掌握本機的所有資源而進行肆意破壞，形成一堵堅固的保護墻，拒絕所有來歷不明的訪問，將各種可能存在的網(wǎng)絡(luò)安全威脅擋在保護層之外，使用戶清清楚楚地知道自己計算機的安全狀況，以確保用戶的系統(tǒng)安全。做到既可防黑客又可防病毒。

日前，信息產(chǎn)業(yè)部部長吳基傳指出：“信息安全保障能力是21世紀綜合國力﹑經(jīng)濟競爭實力和民族生存能力的重要組成部分。”如今，如何規(guī)范網(wǎng)上行為，保障網(wǎng)絡(luò)安全，已成為每一個國家所極力關(guān)注的一個問題，保衛(wèi)網(wǎng)絡(luò)安全，也將成為一個國際性行為。信息安全產(chǎn)業(yè)已成為信息產(chǎn)業(yè)發(fā)展最快﹑最具市場前景的高新技術(shù)產(chǎn)業(yè)，而個人防火墻也必將在IT產(chǎn)業(yè)逆流而上成為新的經(jīng)濟增長點。

第四篇：畢業(yè)論文(防火墻的技術(shù)與應用)

* * * * 學院

畢業(yè)論文

課題名稱： 防火墻的技術(shù)與應用 作 者： 學 號： 系 別： 電子工程系 專 業(yè)： 指導教師：

20**年**月**日

中文摘要

防火墻的技術(shù)與應用

摘要

計算機網(wǎng)絡(luò)安全已成為當今信息時代的關(guān)鍵技術(shù)。當前網(wǎng)絡(luò)安全問題存在著計算機病毒，計算機黑客攻擊等問題。網(wǎng)絡(luò)安全問題有其先天的脆弱性，黑客攻擊的嚴重性，網(wǎng)絡(luò)殺手集團性和破壞手段的多無性，解決網(wǎng)絡(luò)安全問題重要手段就是防火墻技術(shù)。走在中國特色的防火墻技術(shù)發(fā)展之路,是確保我國網(wǎng)絡(luò)安全的有效途徑。防火墻技術(shù)的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。本文重點介紹防火墻技術(shù)的基本概念和系統(tǒng)結(jié)構(gòu)，討論了實現(xiàn)防火墻的兩種主要技術(shù)手段：一種是基于分組過濾技術(shù)(Packet filtering)，它的代表是在篩選路由器上實現(xiàn)的防火墻功能；一種是基于代理技術(shù)(Proxy)，它的代表是在應用層網(wǎng)關(guān)上實現(xiàn)的防火墻功能。

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；技術(shù)；功能

I 鄭州電子信息職業(yè)技術(shù)學院2011屆畢業(yè)論文

目 錄

中文摘要.................................................................I 1 引言..................................................................1 2 網(wǎng)絡(luò)安全概述..........................................................1 3 協(xié)議安全分析..........................................................2 3.1 物理層安全........................................................2 3.2 網(wǎng)絡(luò)層安全........................................................2 3.3 傳輸層安全........................................................3 4 網(wǎng)絡(luò)安全組件..........................................................3 4.1 防火墻............................................................3 4.2 掃描器............................................................3 4.3 防毒軟件..........................................................3 4.4 安全審計系統(tǒng)......................................................3 4.5 IDS...............................................................4 5 網(wǎng)絡(luò)安全的看法........................................................4 5.1 隱藏IP地址有兩種方法.............................................5 5.2 更換管理及賬戶....................................................5 6 防火墻概述............................................................5 6.1 防火墻定義........................................................5 6.2 防火墻的功能......................................................5 6.3 防火墻技術(shù)........................................................6 6.4 防火墻系統(tǒng)的優(yōu)點..................................................7 6.5 防火墻系統(tǒng)的局限性................................................7 7 結(jié)論..................................................................8 參考文獻.................................................................9 致 謝..................................................................10 鄭州電子信息職業(yè)技術(shù)學院2011屆畢業(yè)論文 引言

隨著網(wǎng)絡(luò)技術(shù)的普遍推廣，電子商務的開展，實施和應用網(wǎng)絡(luò)安全已經(jīng)不再僅僅為科學研究人員和少數(shù)黑客所涉足，日益龐大的網(wǎng)絡(luò)用戶群同樣需要掌握網(wǎng)絡(luò)安全知識。由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計上對安全問題的忽視，以及在管理和使用上的無政府狀態(tài)，逐漸使Internet自身安全受到嚴重威脅，與它有關(guān)的安全事故屢次發(fā)生，一些黑客把先進的計算機網(wǎng)絡(luò)技術(shù)，當成一種犯罪工具，不僅影響了網(wǎng)絡(luò)的穩(wěn)定運行和用戶的正常使用,造成許多經(jīng)濟損失,而且還會威脅到國家的安全，一些國家的機密被黑客破壞造成網(wǎng)絡(luò)癱瘓。如何更有效地保護重要信息數(shù)據(jù)，提高計算機網(wǎng)絡(luò)的安全性已經(jīng)成為世界各國共同關(guān)注的話題，防火墻可以提供增強網(wǎng)絡(luò)的安全性，是當今網(wǎng)絡(luò)系統(tǒng)最基礎(chǔ)設(shè)施，側(cè)重干網(wǎng)絡(luò)層安全，對于從事網(wǎng)絡(luò)建設(shè)與管理工作而言，充分發(fā)揮防火墻的安全防護功能和網(wǎng)絡(luò)管理功能至關(guān)重要。網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到了保護，不因偶然的或惡意的原因而遭受到破壞、更改、泄露、系統(tǒng)正常地運行網(wǎng)絡(luò)服務不中斷，網(wǎng)絡(luò)安全的定義從保護角度來看，是指計算機及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，從廣義上來說，凡是涉及到計算機網(wǎng)絡(luò)上信息的機密性，完整性、可用性、可控性、可審查性的相關(guān)技術(shù)和理論都是計算機網(wǎng)絡(luò)安全的研究領(lǐng)域。

網(wǎng)絡(luò)安全的具體含義會隨著“角度”的變化而變化，比如：從個人的角度來說，凡是涉及到個人隱私的信息在網(wǎng)絡(luò)上傳輸時受到機密性完整性和真實性的保護避免其他人利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。

網(wǎng)絡(luò)安全應具有以下五個方面的特征：機密性：確保信息不暴露給未授權(quán)的實體或進程。完整性：只有得到授權(quán)的實體才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。可用性：得到授權(quán)的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。可控性：可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。可審查性：對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。

從管理者角度說網(wǎng)絡(luò)信息的訪問讀寫操作受到保護和控制避免病毒侵入，非法存取、非法占用、非法控制等威脅，防止網(wǎng)絡(luò)黑客的攻擊，對安全保密部門來說，對于非 鄭州電子信息職業(yè)技術(shù)學院2011屆畢業(yè)論文

法的有害的或涉及國家機密的信息進行過濾和防止，對社會造成危害，對國家造成巨大損失的機要信息的泄漏進行防止，做到杜絕。

現(xiàn)在全球普遍存在缺乏網(wǎng)絡(luò)安全的重要性，這導致大多數(shù)網(wǎng)絡(luò)存在著先天性的安全漏洞和安全威脅，使用TCP/IP協(xié)議的網(wǎng)絡(luò)所提供的網(wǎng)絡(luò)服務都包含許多不安全的因素，存在著一些漏洞網(wǎng)絡(luò)的普及使信息共享達到了一個新的層次，信息被暴露的機會大大增多，特別是Internet網(wǎng)絡(luò)就是一個不設(shè)防的開放大系統(tǒng)，近年來，計算機犯罪案件也急劇上升，計算機犯罪是商業(yè)犯罪中最大的犯罪類型之一，每年計算機犯罪造成的經(jīng)濟損失高達50億美元，在信息安全的發(fā)展過程中企業(yè)和政府的的要求有一致的地方，也不有一致的地方，企業(yè)注重于信息和網(wǎng)絡(luò)安全的可靠性，政府注重于信息和網(wǎng)絡(luò)安全的可管性和可控性，在發(fā)展中國家，對信息安全的投入還滿足不了信息安全的需求，同時投入也常常被挪用和借用。協(xié)議安全分析

3.1 物理層安全

物理層安全威脅主要指網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用而造成的網(wǎng)絡(luò)系統(tǒng)的不可用，如：設(shè)備老化、設(shè)備被盜、意外故障，設(shè)備損毀等。由于以太局域網(wǎng)中采用廣播方式，因此在某個廣播域中利用嗅探器可以在設(shè)定的偵聽端口偵聽到所有的信息包，并且對信息包進分析，那么本廣播域的信息傳遞都會暴露無遺，所以需將兩個網(wǎng)絡(luò)從物理上隔斷同時保證在邏輯上兩個網(wǎng)絡(luò)能夠連通。3.2 網(wǎng)絡(luò)層安全

網(wǎng)絡(luò)層的安全威脅主要有兩類：IP欺騙和ICMP攻擊。IP欺騙技術(shù)的一種實現(xiàn)方法是把源IP地址改成一個錯誤的IP地址，而接收主機不能判斷源IP地址的正確性，由此形成欺騙，另外一種方法是利用源路由IP數(shù)據(jù)包讓它僅僅被用于一個特殊的路徑中傳輸，這種數(shù)據(jù)包被用于攻擊防火墻。

ICMP在IP層檢查錯誤和其他條件。ICMP信息、對于判斷網(wǎng)絡(luò)狀況非常有用，例如：當PING一臺主機想看它是否運去時，就產(chǎn)生了一條ICMP信息。遠程主機將用它自己的ICMP信息對PING請求作出回應，這種過程在網(wǎng)絡(luò)中普遍存在。然而，ICMP信息能夠被用于攻擊遠程網(wǎng)絡(luò)或主機，利用ICMP來消耗帶寬從而有效地摧毀站點。

鄭州電子信息職業(yè)技術(shù)學院2011屆畢業(yè)論文

3.3 傳輸層安全

具體的傳輸層安全措施要取決于具體的協(xié)議，傳輸層安全協(xié)議在TCP的頂部提供了如身份驗證，完整性檢驗以及機密性保證這樣的安全服務，傳輸層安全需要為一個連接維持相應的場景，它是基于可靠的傳輸協(xié)議TCP的。由于安全機制與特定的傳輸協(xié)議有關(guān)所以像密鑰管理這樣的安全服務可為每種傳輸協(xié)議重復使用。現(xiàn)在，應用層安全已被分解成網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫的安全，由于應用系統(tǒng)復雜多樣不存在一種安全技術(shù)能夠完全解決一些特殊應用系統(tǒng)的安全問題。網(wǎng)絡(luò)安全組件

網(wǎng)絡(luò)的整體安全是由安全操作系統(tǒng)、應用系統(tǒng)、防火墻、網(wǎng)絡(luò)監(jiān)控安全掃描、信息審計、通信加密、災難恢復、網(wǎng)絡(luò)反病毒等多個安全組件共同組成的，每一個單獨的組件只能完成其中部分功能，而不能完成全部功能。4.1 防火墻

防火墻是指在兩個網(wǎng)絡(luò)之間加強訪問控制的一整套裝置，是軟件和硬件的組合體，通常被比喻為網(wǎng)絡(luò)安全的大門，在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)造一個保護層，用來鑒別什么樣的數(shù)據(jù)包可以進出企業(yè)內(nèi)部網(wǎng)。防火墻可以阻止基于IP包頭的攻擊和非信任地址的訪問，但無法阻止基于數(shù)據(jù)內(nèi)容的黑客攻擊和病毒入侵，同時也無法控制內(nèi)部網(wǎng)絡(luò)之間的攻擊行為。4.2 掃描器

掃描器是一種自動檢測遠程或本地主機安全性弱點的程序，通過使用掃描器可以自動發(fā)現(xiàn)系統(tǒng)的安全缺陷，掃描器可以分為主機掃描器和網(wǎng)絡(luò)掃描器，但是掃描器無法發(fā)現(xiàn)正在進行的入侵行為，而且它也可以被攻擊者加以利用。4.3 防毒軟件

防毒軟件可以實時檢測，清除各種已知病毒，具有一定的對未知病毒的預測能力利用代碼分析等手段能夠檢查出最新病毒。在應用對網(wǎng)絡(luò)入侵方面，它可以查殺特洛伊木馬和蠕蟲等病毒程序，但不能有效阻止基于網(wǎng)絡(luò)的攻擊行為。4.4 安全審計系統(tǒng)

安全審計系統(tǒng)對網(wǎng)絡(luò)行為和主機操作提供全面詳實的記錄，其目的是測試安全策略是否完善，證實安全策略的一致性，方便用戶分析與審查事故原因，協(xié)助攻擊的分析收 鄭州電子信息職業(yè)技術(shù)學院2011屆畢業(yè)論文

集證據(jù)以用于起訴攻擊者。4.5 IDS 由于防火墻所暴露出來的不足，引發(fā)人們對IDS（入侵檢測系統(tǒng)）技術(shù)的研究和開發(fā)。它被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊，外部攻擊和誤操作的實時保護。

IDS的主要功能：監(jiān)控、分析用戶和系統(tǒng)的活動。核查系統(tǒng)配置和漏洞。評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性。識別攻擊的活動模式，并向網(wǎng)管人員報警。對異常活動的統(tǒng)計分析。操作系統(tǒng)審計跟蹤管理，識別違反政策的用戶活動。評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。

IDS可分為主機型和網(wǎng)絡(luò)型兩種：主機型入侵檢測系統(tǒng)，主要用于保護運行關(guān)鍵應用的服務器，它通過監(jiān)視與分析主機的審計記錄和日志文件來檢測入侵。網(wǎng)絡(luò)型入侵檢測系統(tǒng)主要用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑信息，它通過偵聽網(wǎng)絡(luò)上的所有分組來采集數(shù)據(jù)、分析可疑現(xiàn)象。網(wǎng)絡(luò)入侵檢測系統(tǒng)通常利用一個運行在混雜模式下的網(wǎng)絡(luò)適配器來實時監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務。

由于每個網(wǎng)絡(luò)安全組件自身的限制，不可能把入侵檢測和防護做到一應俱全所以不能指望通過使用某一種網(wǎng)絡(luò)安全產(chǎn)品實現(xiàn)絕對的安全，只有根據(jù)具體的網(wǎng)絡(luò)環(huán)境，有機整合這些網(wǎng)絡(luò)安全組件才能最大限度地滿足用戶的安全需求，在這個通信發(fā)達的時代，網(wǎng)絡(luò)安全組件是不可缺少的，用戶的安全要得到保障那就使用網(wǎng)絡(luò)安全組件吧！它能給你帶來意想不到的效果。網(wǎng)絡(luò)安全的看法

隨著互聯(lián)網(wǎng)在家庭中的普及，家庭網(wǎng)絡(luò)安全越來越受歡迎。家庭網(wǎng)絡(luò)安全主要表現(xiàn)在兩個方面，一是個人電腦中毒，二是被非法用戶入侵。個人以為可以從“內(nèi)”和“外”兩個方面來解決。

從內(nèi)的方面來講“內(nèi)”指用戶本身，防止由于自己的疏忽而造成的損失。主要包括安裝一些必要的軟件，主要是防火墻、殺毒、防木馬等安全軟件。要有一個安全的工作習慣。積極備份。積極防范。打好補丁。這幾種方法只是網(wǎng)絡(luò)安全方面常用的方法，實際上保證安全從“內(nèi)”的方面來說還包括很多方面，如操作不當造成軟硬件損壞等。當然這些就不僅僅是網(wǎng)絡(luò)安全方面了，實際上只要用戶在以上所說的五個方面做得不錯的 鄭州電子信息職業(yè)技術(shù)學院2011屆畢業(yè)論文

話，基本上網(wǎng)絡(luò)安全方面可以放60%以上的心了。只不過許多用戶在這些方面一般不太在意結(jié)果造成數(shù)據(jù)的損失。從外的方面來講“外”指由外界而來的攻擊，一般指黑客攻擊。要防止黑客的攻擊，我介紹幾種簡單容易上手同時效果也不錯的方法供大家參考。5.1 隱藏IP地址有兩種方法

代理服務器的原理是在客戶機和遠程服務器之間架設(shè)一個“中轉(zhuǎn)站”，當客戶機向遠程服務器提出服務要求后，代理服務器首先截取用戶的請求，然后代理服務器將服務請求轉(zhuǎn)交遠程服務器，從而實現(xiàn)客戶機和遠程服務器之間的聯(lián)系。使用代理服務器后，其它用戶只能探測到代理服務器的IP地址而不是用戶的IP地址，這就實現(xiàn)了隱藏用戶IP地址的目的，保障了用戶上網(wǎng)安全。二是使用一些隱藏IP的軟件，如賽門鐵克公司的Norton Internet security,不論黑客使用哪一個IP掃描工具，都會告訴你根本沒有這個IP地址，黑客就無法攻擊你的計算機了。5.2 更換管理及賬戶

Administrator賬戶擁有最高的系統(tǒng)權(quán)限，一旦該賬戶被人利用，后果不堪設(shè)想。黑客入侵的常用手段之一就是試圖獲得Administrator賬戶的密碼，所以我們要重新配置Administrator賬戶首先為Administrator賬戶設(shè)置一個強大復雜的密碼，然后我們重命名Administrator賬戶再創(chuàng)建一個沒有管理員權(quán)限，也就在一定程度上減少了危險。在WINDOWSXP系統(tǒng)中打開控制面板，單擊“用戶帳戶/更改帳戶”，彈出“用戶帳戶”窗口，再點“禁用來賓賬戶”即可。防火墻概述

6.1 防火墻定義

在計算機網(wǎng)絡(luò)中，防火墻是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的方法，它實際是一種隔離技術(shù)，它允許“可以訪問”的人和數(shù)據(jù)進入網(wǎng)絡(luò)，同時將“不允許訪問”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問網(wǎng)絡(luò)，如果不通過防火墻，人們就無法訪問Internet，也無法和其它人進行通信，它具有較強的抗攻擊能力，提供信息安全服務，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。6.2 防火墻的功能

防火墻的訪問控制功能；訪問控制功能是防火墻設(shè)備的最基本功能，其作用就是對經(jīng)過防火墻的所有通信進行連通或阻斷的安全控制，以實現(xiàn)連接到防火墻上的各個網(wǎng)段 鄭州電子信息職業(yè)技術(shù)學院2011屆畢業(yè)論文 的邊界安全性，為實施訪問控制功能，可以根據(jù)網(wǎng)絡(luò)地址、網(wǎng)絡(luò)協(xié)議以及TCP UDP端口進行過濾；可以實施簡單的內(nèi)容過濾，如電子郵件附件的文件類型等可以將IP與MAC地址綁定以防止盜用IP的現(xiàn)象發(fā)生，可以對上網(wǎng)時間段進行控制，不同時段執(zhí)行不同的安全策略。防火墻的訪問控制采用兩種基本策略，即“黑名單”策略和“白名單”策略，指除了規(guī)則允許的訪問，其他都是禁止的。支持一定的安全策略，過濾掉不安全服務和非法用戶。利用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)將有限的IP地址動態(tài)或靜態(tài)地址與內(nèi)部的IP地址對應起來，用來緩解地址空間短缺的問題。可以連接到一個單獨的網(wǎng)絡(luò)上，在物理上與內(nèi)部網(wǎng)絡(luò)隔開并部署WWW服務器和FTP服務器，作為向外部外發(fā)布內(nèi)部信息的地點。防火墻支持基于用戶身份的網(wǎng)絡(luò)訪問控制，不僅具有內(nèi)置的用戶管理及認證接口，同時也支持用戶進行外部身份認證。防火墻可以根據(jù)用戶認證的情況動態(tài)地調(diào)整安全策略實現(xiàn)用戶對網(wǎng)絡(luò)的授權(quán)訪問。6.3 防火墻技術(shù)

按照實現(xiàn)技術(shù)分類防火墻的基本類型有：包過濾型、代理服務型和狀態(tài)包過濾型。包過濾技術(shù)；包過濾通常安裝在路由器上，并且大多數(shù)商用路由器都提供了包過濾的功能。包過濾是一種安全篩選機制，它控制哪些數(shù)據(jù)包可以進出網(wǎng)絡(luò)而哪些數(shù)據(jù)包應被網(wǎng)絡(luò)所拒絕。包過濾是一種通用有效的安全手段。它在網(wǎng)絡(luò)層和傳輸層起作用。它根據(jù)分組包的源宿地址端口號及協(xié)議類型，來確定是否允許分組包通過。包過濾的優(yōu)點是它對于用戶來說是透明的，處理速度快且易于維護，通常作為第一道防線。

代理服務技術(shù)；代理服務系統(tǒng)一般安裝并運行在雙宿主機上，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的拓撲，比包過濾防火墻安全，由于安全性比較高，所以是使用較多的防火墻技術(shù)。代理服務軟件運行在一臺主機上構(gòu)成代理服務器，負責截客戶的請求。根據(jù)安全規(guī)則判斷這個請求是否允許，如果允許才能傳給真正的防火墻。代理系統(tǒng)是客戶機和真實服務器之間的中介，完全控制客戶機和真實服務器之間的流量并對流量情況加以記錄，它具有靈活性和安全性，但可能影響網(wǎng)絡(luò)的性能對用戶透明，且對每一個服務器都要設(shè)計一個代理模塊，建立對應的網(wǎng)關(guān)層實現(xiàn)起來比較復雜。

代理服務技術(shù)的優(yōu)點：1.提供的安全級別高于包過濾型防火墻。2.代理服務型防火墻可以配置成惟一的可被外部看見的主機，以保護內(nèi)部主機免受外部攻擊。3.可能強制執(zhí)行用戶認證。4.代理工作在客戶機和真實服務器之間，完全控制會話，所以能提供較詳細的審計日志。鄭州電子信息職業(yè)技術(shù)學院2011屆畢業(yè)論文

狀態(tài)檢測技術(shù)；狀態(tài)檢測防火墻在網(wǎng)絡(luò)層由一個檢測模塊截獲數(shù)據(jù)包，并抽取與應用層狀態(tài)有關(guān)的信息，并以此作為依據(jù)決定對該連接是接受還是拒絕。檢測模塊維護一個動態(tài)的狀態(tài)信息表，并對后續(xù)的數(shù)據(jù)包進行檢查。一旦發(fā)現(xiàn)任何連接的參數(shù)有意外的變化該連接就被中止。這種技術(shù)提供了高度安全的解決方案，同時也具有較好的適應性和可擴展性。狀態(tài)檢測防火墻克服了包過濾防火墻和應用代理服務器的局限性不要求每個被訪問的應用都有代理，狀態(tài)檢測模塊能夠理解各種協(xié)議和應用以支持各種最新的應用服務。狀態(tài)檢測模塊截獲分析并處理所有試圖通過防火墻的數(shù)據(jù)包，保證網(wǎng)絡(luò)的高度安全和數(shù)據(jù)完整網(wǎng)絡(luò)和各種應用的通信狀態(tài)動態(tài)存儲更新到動態(tài)狀態(tài)表中，結(jié)合預定義好的規(guī)則實現(xiàn)安全策略，狀態(tài)檢測不僅僅對網(wǎng)絡(luò)層檢測而對OSI七層模型的所有層進行檢測，它與前面兩種防火墻技術(shù)不同，當用戶訪問請求到達網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)器要抽取有關(guān)數(shù)據(jù)進行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定做出接納拒絕，身份認證，報警或給該通信加密等處理動作。狀態(tài)檢測技術(shù)的特點：安全性、高效性、可伸縮性和易擴展性。

6.4 防火墻系統(tǒng)的優(yōu)點

可以對網(wǎng)絡(luò)安全進行集中控制和管理；防火墻將受信任的專用網(wǎng)與不受信任的公用網(wǎng)隔離開來，將承擔風險的范圍從整個內(nèi)部網(wǎng)絡(luò)縮小到組成防火墻系統(tǒng)的一臺或幾臺主機上在結(jié)構(gòu)上形成了一個控制中心，大大加強了網(wǎng)絡(luò)安全性，并且簡化了網(wǎng)絡(luò)管理。由于防火墻在結(jié)構(gòu)上的特殊位置，使其方便地提供了監(jiān)視管理與審計網(wǎng)絡(luò)的使用及預警。為解決IP的地址危機提供了可行方案。由于Internet的日益發(fā)展及其IP地址空間的有限，使用戶無法獲得足夠的注冊IP地址，防火墻系統(tǒng)則正處于設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的最佳位置，NAT有助于緩和IP地址空間的不足，并使得一個結(jié)構(gòu)改變Internet服務提供商時而不必重新編址。防火墻系統(tǒng)可以作為Internet信息服務器的安裝地點，對外發(fā)布信息。

6.5 防火墻系統(tǒng)的局限性

防火墻系統(tǒng)存在著如下局限性：常常需要有特殊的較為封閉的網(wǎng)絡(luò)拓撲結(jié)構(gòu)來支持，對網(wǎng)絡(luò)安全功能的加強往往以網(wǎng)絡(luò)服務的靈活性、多樣性和開放性為代價。防火墻系統(tǒng)的防范對象來自外部對內(nèi)部網(wǎng)絡(luò)攻擊，而不能防范不經(jīng)由防火墻的攻擊。比如通過SLIP或PPP的撥號攻擊，繞過了防火墻系統(tǒng)而直接撥號進入內(nèi)部網(wǎng)絡(luò)，防火墻對這樣的 7 鄭州電子信息職業(yè)技術(shù)學院2011屆畢業(yè)論文

攻擊很難防范。防火墻在技術(shù)原理上對來自內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全威脅不具備防范作用。比如不能防范內(nèi)奸或由用戶造成的危害。結(jié)論

網(wǎng)絡(luò)的迅速發(fā)展，給我們的工作和生活帶來了巨大的改變。在網(wǎng)絡(luò)日益復雜化，多樣化的今天，安全受到人們越來越多的關(guān)注。如何保護各類網(wǎng)絡(luò)和信息的安全，成為人們研究的焦點，其中防火墻是運用非常廣泛和效果最好的選擇。但是，防火墻技術(shù)也有它的不足之處，為了更好的維護網(wǎng)絡(luò)安全，還需要其他的技術(shù)相結(jié)合，以及更先進的技術(shù)的發(fā)現(xiàn)。鄭州電子信息職業(yè)技術(shù)學院2011屆畢業(yè)論文

參考文獻

[1] 鄧亞平.計算機網(wǎng)絡(luò)安全[M].北京:北京人民郵電出版社.2004.50-75.[2] 馮 元.計算機網(wǎng)絡(luò)安全基礎(chǔ)[M].北京:科學出版社.2004.120-150.[3] 穆紅濤.Internet實用技術(shù)[M].北京:大連理工大學出版社.2005.150-198.[4] 張仕斌.網(wǎng)絡(luò)安全技術(shù)[M].北京:清華大學出版社.2001.17-38.[5] 梁亞聲.計算機網(wǎng)絡(luò)安全技術(shù)教程[M].北京:機械工業(yè)出版社.2004.110-187.鄭州電子信息職業(yè)技術(shù)學院2011屆畢業(yè)論文

致 謝

首先，我要特別感謝***老師對我的悉心指導，在本文完成期間他幫助我收集文獻資料，理清設(shè)計思路，指導方法。**老師淵博的知識、嚴謹?shù)膶W風、誨人不倦的態(tài)度和學術(shù)上精益求精的精神使我有了進一步的提高。

另外，要感謝母校****學院所有老師與同學兩年來對我的關(guān)心與支持。最后，我要向我的父母致以最崇高的敬意，沒有你們無私的支持，就沒有我今天的成績。寫作畢業(yè)論文是一次再系統(tǒng)學習的過程，畢業(yè)論文的完成，同樣也意味著新的學習生活的開始。

第五篇：淺談分布式防火墻技術(shù)的應用與發(fā)展趨勢

淺談分布式防火墻技術(shù)的應用與發(fā)展趨勢

傳統(tǒng)的防火墻分為包過濾型和代理型，他們都有各自的缺點與局限性。隨著計算機安全技術(shù)的發(fā)展和用戶對防火墻功能要求的提高，目前出現(xiàn)一種新型防火墻，那就是“分布式防火墻”，英文名為“Distributed Firewalls”。它是在目前傳統(tǒng)的邊界式防火墻基礎(chǔ)上開發(fā)的。但目前主要是以軟件形式出現(xiàn)的，也有一些國際著名網(wǎng)絡(luò)設(shè)備開發(fā)商開發(fā)生產(chǎn)了：集成分布式防火墻技術(shù)的硬件分布式防火墻，做成嵌入式防火墻PCI卡或PCMCIA卡的形式，但負責集中管理的還是一個服務器軟件。因為是將分布式防火墻技術(shù)集成在硬件上，所以通常稱之為“嵌入式防火墻”，其實其核心技術(shù)就是“分布式防火墻”技術(shù)。

1．分布式防火墻的產(chǎn)生

1．1 傳統(tǒng)防火墻的缺陷

傳統(tǒng)防火墻根據(jù)所采用的技術(shù)，可以分為包過濾型和代理型。下面重點介紹包過濾型防火墻和應用網(wǎng)關(guān)防火墻的原理及其缺點。

包過濾防火墻的工作原理：包過濾技術(shù)包括兩種基本類型：無狀態(tài)檢查的包過濾和有狀態(tài)檢查的包過濾，其區(qū)別在于后者通過記住防火墻的所有通信狀態(tài)，并根據(jù)狀態(tài)信息來過濾整個通信流，而不僅僅是包。包過濾是在IP層實現(xiàn)的，因此，它可以只用路由器完成。包過濾根據(jù)包的源IP地址、目的IP地址、源端口、目的端口及包傳遞方向等報頭信息來判斷是否允許包通過。過濾用戶定義的內(nèi)容，如IP地址。其工作原理是系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應用層無關(guān)，包過濾器的應用非常廣泛，因為CPU用來處理包過濾的時間可以忽略不計。而且這種防護措施透明，合法用戶在進出網(wǎng)絡(luò)時，根本感覺不到它的存在，使用起來很方便。這樣系統(tǒng)就具有很好的傳輸性能，易擴展。但是這種防火墻不太安全，因為系統(tǒng)對應用層信息無感知――也就是說，它們不理解通信的內(nèi)容，不能在用戶級別上進行過濾，即不能識別不同的用戶和防止IP地址的盜用。如果攻擊者把自己主機的IP地址設(shè)成一個合法主機的IP地址，就可以很輕易地通過包過濾器，這樣更容易被黑客攻破。基于這種工作機制，包過濾防火墻有以下缺陷：

（1）特洛伊木馬使包過濾器失效；

（2）第0個分段中便過濾TCP；

（3）只能訪問部分數(shù)據(jù)包的頭信息；

（4）不能保存來自于通信和應用的狀態(tài)信息；

（5）處理信息的能力有限。

（6）允許1024以上的端口通過； 應用網(wǎng)關(guān)防火墻也存在著許多缺陷：

（1）不能為UDP、RPC等協(xié)議族提供代理；

（2）可提供的服務數(shù)和伸縮性也有限；

（3）不能被設(shè)置為網(wǎng)絡(luò)透明工作；

（4）容易消除阻斷的URL；

（5）無法保護操作系統(tǒng)；

（6）管理復雜，影響系統(tǒng)的整體性能等。

基于上述原因，一種新型的防火墻技術(shù)，分布式防火墻（Distributed Firewalls）技術(shù)產(chǎn)生了。它可以很好地解決邊界防火墻以上的不足，它通過把防火墻的安全防護系統(tǒng)延伸到網(wǎng)絡(luò)中各臺主機，一方面有效地保證了用戶的投資不會很高，另一方面給網(wǎng)絡(luò)帶來全面的安全防護。

1．2 分布式防火墻定義

1．廣義分布式防火墻

防火墻是一道介于開放的、不安全的公共網(wǎng)與信息、資源匯集的內(nèi)部網(wǎng)之間的屏障，由一個或一組系統(tǒng)組成。

圖

（二）其工作原理由圖所示。

廣義分布式防火墻是一種全新的防火墻體系結(jié)構(gòu)，包括網(wǎng)絡(luò)防火墻、主機防火墻和中心管理三部分：

（1）網(wǎng)絡(luò)防火墻（Network Firewall）：用于內(nèi)部網(wǎng)與外部網(wǎng)之間(即傳統(tǒng)的邊界防火墻)和內(nèi)部網(wǎng)與子網(wǎng)之間的防護產(chǎn)品，后者區(qū)別于前者的一個特征是需要支持內(nèi)部網(wǎng)可能有的IP和非IP協(xié)議。

（2）主機防火墻（Host Firewall）：有純軟件和硬件兩種產(chǎn)品，是用于對網(wǎng)絡(luò)的服務器和桌面機進行防護。它是作用在同一內(nèi)部子網(wǎng)之間的工作站與服務器之間，以確保內(nèi)部網(wǎng)絡(luò)服務器的安全。它達到了應用層的安全防護，比起網(wǎng)絡(luò)層更加徹底。

（3）中心管理（Central Management）：這是一個防火墻服務器管理軟件，負責總體安全策略的策劃、管理、分發(fā)及日志的匯總。這是新的防火墻的管理功能，也是以前傳統(tǒng)邊界防火墻所不具有的。

2．分布式防火墻的特點

綜合起來分布式防火墻技術(shù)具有以下幾個主要特點：

1．保護全面性

分布式防火墻把Internet和內(nèi)部網(wǎng)絡(luò)均視為“不友好的”。它們對個人計算機進行保護的方式如同邊界防火墻對整個網(wǎng)絡(luò)進行保護一樣。對于Web服務器來說，分布式防火墻進行配置后能夠阻止一些非必要的協(xié)議，如HTTP 和 HTTPS之外的協(xié)議通過，從而阻止了非法入侵的發(fā)生，同時還具有入侵檢測及防護功能。

2．主機駐留性

分布式防火墻是一種主機駐留式的安全系統(tǒng)。主機防火墻對分布式防火墻體系結(jié)構(gòu)的突出貢獻是，使安全策略不僅僅停留在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間，而是把安全策略推廣延伸到每個網(wǎng)絡(luò)末端。

3．嵌入操作系統(tǒng)內(nèi)核

主要是針對目前的純軟件式分布式防火墻。操作系統(tǒng)自身存在許多安全漏洞，運行在其上的應用軟件無一不受到威脅。分布式主機防火墻也運行在主機上，所以其運行機制是主機防火墻的關(guān)鍵技術(shù)之一。為自身的安全和徹底堵住操作系統(tǒng)的漏洞，主機防火墻的安全監(jiān)測核心引擎要以嵌入操作系統(tǒng)內(nèi)核的形態(tài)運行，直接接管網(wǎng)卡，在把所有數(shù)據(jù)包進行檢查后再提交操作系統(tǒng)。為實現(xiàn)這樣的運行機制，除防火墻廠商自身的開發(fā)技術(shù)外，與操作系統(tǒng)廠商的技術(shù)合作也是必要的條件，因為這需要一些操作系統(tǒng)不公開內(nèi)部技術(shù)接口。

4．類似個人防火墻

針對桌面應用的狹義分布式防火墻與個人防火墻有相似之處，如都對應個人系統(tǒng)，但兩者的差別又是本質(zhì)的。首先，它們的管理方式不同，個人防火墻的安全策略由系統(tǒng)使用者自己設(shè)置，目標是防止外部攻擊;而針對桌面應用的狹義防火墻的安全策略是由管理員統(tǒng)一設(shè)置，除了對該桌面系統(tǒng)起到保護作用外，還對該桌面系統(tǒng)的對外訪問加以控制，并且這種安全機制是使用者不能改動的。其次，個人防火墻面向個人用戶，而針對桌面應用的狹義防火墻面向的是企業(yè)級用戶，是企業(yè)級安全解決方案的組成部分。

5．適用于服務器托管

不同的托管用戶都有不同數(shù)量的服務器在數(shù)據(jù)中心托管，服務器上也有不同的應用。對于安裝了中心管理系統(tǒng)的管理終端，數(shù)據(jù)中心安全服務部門的技術(shù)人員可以對所有在數(shù)據(jù)中心委托安全服務的服務器的安全狀況進行監(jiān)控，并提供有關(guān)的安全日志記錄。3．分布式防火墻的優(yōu)點

綜合起來這種新的防火墻技術(shù)具有以下幾個主要優(yōu)點：

1．分布式體系結(jié)構(gòu)保護內(nèi)網(wǎng)安全

分布式的系統(tǒng)構(gòu)架能夠滿足不同形態(tài)和規(guī)模的網(wǎng)絡(luò)，能夠適應網(wǎng)絡(luò)結(jié)構(gòu)和規(guī)模的變化，系統(tǒng)的靈活性得到充分的體現(xiàn)。[5]分布式的安全思路是在保證每個節(jié)點安全的前提上，達到整個網(wǎng)絡(luò)的安全，某個節(jié)點的脆弱環(huán)節(jié)不會導致整個網(wǎng)絡(luò)的安全遭到破壞。因此，創(chuàng)新的分布式的體系架構(gòu)對于內(nèi)網(wǎng)和移動辦公的防黑和防木馬、防病毒都起到很好的防護作用。

2．集中管理

獨特的集中管理方式，對所有節(jié)點的管理可以通過統(tǒng)一的安全策略管理服務器來完成。中央策略管理服務器是一個集成的管理環(huán)境，負責給各個節(jié)點分發(fā)安全策略，記錄客戶端的工作狀態(tài)，記錄客戶端強制復制的日志，記錄服務器日志，并可以生成，指派，掃描和檢查所有的客戶端安全策略。通過集中管理控制中心，統(tǒng)一制定和分發(fā)安全策略，真正做到多主機統(tǒng)一管理，最終用戶“零”負擔。同時，通過不同的集中管理控制策略的制定，還可以對最終用戶的上網(wǎng)行為進行控制。

3．中央控制策略動態(tài)更新

管理員在管理服務器更新安全策略之后，會在很短的時間內(nèi)動態(tài)分發(fā)到各個客戶端節(jié)點，只要客戶端的機器空閑，客戶端就會自動從統(tǒng)一策略服務器更新策略，用戶也可以手動啟動安全策略更新程序。客戶端將會自動加載這些新的安全策略。安全策略在網(wǎng)絡(luò)傳輸?shù)倪^程中是以加密的形式完成的，不會被黑客竊聽安全策略的具體內(nèi)容。同時客戶端所自行采用的安全策略只能比統(tǒng)一分發(fā)的中央控制策略的安全級別更高，不可以低于統(tǒng)一分發(fā)的中央控制策略的安全級別。

4．系統(tǒng)擴展性增強

分布式防火墻隨系統(tǒng)擴充提供了安全防護無限擴充的能力。因為分布式防火墻分布在整個企業(yè)的網(wǎng)絡(luò)或服務器中，所以它具有無限制的擴展能力。隨著網(wǎng)絡(luò)的增長，它們的處理負荷也在網(wǎng)絡(luò)中進一步分布，因此它們的高性能可以持續(xù)保持住。而不會像邊界式防火墻一樣隨著網(wǎng)絡(luò)規(guī)模的增大而不堪重負。

4．分布式防火墻的主要功能

綜合起來分布式防火墻技術(shù)具有以下幾個主要功能：

1．控制網(wǎng)絡(luò)連接（包過濾、基于狀態(tài)的過濾）

2．應用訪問控制

3．網(wǎng)絡(luò)狀態(tài)監(jiān)控

4．入侵檢測

5．防御黑客攻擊

6．腳本過濾（對常見的各種腳本，如JavaScript、VBScript等ActiveX腳本進行分析檢查）

7．日志管理

8．客戶端定制的安全策略

9．對安全策略、日志和數(shù)據(jù)庫的備份

10．統(tǒng)一的安全策略管理服務器 5．分布式防火墻技術(shù)的發(fā)展

隨著分布式防火墻技術(shù)的不斷發(fā)展，未來分布式防火墻技術(shù)將主要向兩個方向發(fā)展：分布式主動型防火墻技術(shù)和分布式智能型防火墻技術(shù)。

1．分布式主動型防火墻

隨著分布式防火墻技術(shù)的不斷發(fā)展，未來分布式防火墻技術(shù)將向分布式主動型防火墻技術(shù)發(fā)展。不是被動地防止攻擊，而是將內(nèi)部的攻擊拒絕在攻擊者處。有效防止來自內(nèi)部的拒絕服務攻擊，使服務器能正常提供服務，從而克服分布式防火墻在防止拒絕服務攻擊上的不足。

2．分布式智能型防火墻

分布式智能型防火墻是未來分布式防火墻發(fā)展的另一個方向。它具有以下幾個特點：

（1）透明流量分擔技術(shù)

保證了防火墻能夠加大帶寬，同時又起到雙機設(shè)備的作用，顯著提高防火墻的可用性。其巨大的吞吐能力，保證了客戶網(wǎng)絡(luò)巨大數(shù)據(jù)流的來往，并且不會影響網(wǎng)絡(luò)速度和性能。

（2）內(nèi)核集成IPS模塊

分布式智能型防火墻將IPS作為一個模塊集成到里面，直接在主干上直接監(jiān)測并且阻斷供給，更高效更安全。并且，如果單獨放置IPS，那么這些DOS攻擊以及防掃描的工作就被提到了應用空間去完成，顯然沒有集成之后的IPS直接在防火墻的內(nèi)核處理的效率和穩(wěn)定性高。

（3）預置防IP欺騙策略

智能型分布式防火墻的“防黒客”功能，能夠?qū)P欺騙，碎片攻擊，源路由攻擊，DOS攻擊等各種黑客攻擊進行有效的抵抗和防御。

結(jié)論：

縱觀防火墻技術(shù)的發(fā)展歷史，分布式防火墻技術(shù)無疑是一座里程碑。它不但彌補了傳統(tǒng)邊界式防火墻的不足，而且把防火墻的安全防護系統(tǒng)延伸到網(wǎng)絡(luò)中各臺主機，一方面有效地保證了用戶的投資不會很高，另一方面給網(wǎng)絡(luò)帶來全面的安全防護。分布式防火墻分布在整個企業(yè)的網(wǎng)絡(luò)或服務器中，具有無限制的擴展能力，隨著網(wǎng)絡(luò)的增長，它們的處理負荷也在網(wǎng)絡(luò)中進一步分布，進而持續(xù)保持高性能。然而當前黑客入侵系統(tǒng)技術(shù)的不斷進步以及網(wǎng)絡(luò)病毒朝智能化和多樣化發(fā)展，對分布式防火墻技術(shù)提出了更高的要求。分布式防火墻技術(shù)只有不斷向主動型和智能型等方向發(fā)展，才能滿足人們對防火墻技術(shù)日益增長的需求。