論述計(jì)算機(jī)網(wǎng)絡(luò)安全問題.doc

學(xué)科分類號 湖南人文科技學(xué)院?？茖W(xué)生畢業(yè)論文(設(shè)計(jì))題目：論述計(jì)算機(jī)網(wǎng)絡(luò)安全問題姓名：賀柳娟學(xué)號：06303132院(系)：計(jì)算機(jī)科學(xué)技術(shù)系 專業(yè)班級： 計(jì)應(yīng)班指導(dǎo)教師：劉 慶 2009年 5月8 日湖南人文科技學(xué)院?？茖W(xué)生畢業(yè)論文（設(shè)計(jì)）開題報告1選題的根據(jù)：1）本選題的理論、實(shí)際意義 2）綜述國內(nèi)外有關(guān)本選題的研究動態(tài)和自己的見解隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展, 各種針對網(wǎng)絡(luò)的攻擊不斷出現(xiàn),安全性已成為網(wǎng)絡(luò)互聯(lián)技術(shù)中的關(guān)鍵問題。由于這些種種的原因，人們在享受互聯(lián)網(wǎng)帶來的豐富信息、巨大便利的同時，也面臨著網(wǎng)絡(luò)安全的嚴(yán)重威脅。各種針對網(wǎng)絡(luò)的攻擊不斷出現(xiàn),計(jì)算機(jī)網(wǎng)絡(luò)安全狀況不容樂觀，網(wǎng)絡(luò)安全問題日益突出，網(wǎng)絡(luò)安全技術(shù)也被人們重視起來。因此，保障計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。網(wǎng)絡(luò)安全問題是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、信息安全技術(shù)、信息論等多學(xué)科的綜合性學(xué)科。解決網(wǎng)絡(luò)安全問題的重要手段就是防火墻技術(shù)。文中第一步是引入引言,并對計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀和影響安全的因素進(jìn)行了講解，在這基礎(chǔ)上講解了信息安全的內(nèi)容和防火墻的基本論述；第二步對防火墻基本原理和關(guān)鍵技術(shù)進(jìn)行了具體講解,我們把它分為三種: 包過濾、應(yīng)用代理、狀態(tài)檢測；第三步是本論文是重點(diǎn)部分網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計(jì)，這個分為四個部分，一是防火墻系統(tǒng)，二是入侵檢測系統(tǒng)，三是加密和認(rèn)證系統(tǒng)，四是備份恢復(fù)與報警系統(tǒng)；第四步對本文進(jìn)行總結(jié)并論述了防火墻的發(fā)展趨勢。2研究內(nèi)容第一部分,計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀和信息安全,并引出了防火墻問題；第二部分,講解了防火墻的基本原理和關(guān)鍵技術(shù)；第三部分,是全文的重點(diǎn)部分，對網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計(jì)；第四部分,淺談了防火墻的未來發(fā)展以及對本文進(jìn)行總結(jié).3研究方法、技術(shù)線路、實(shí)驗(yàn)方案及可行性分析本課題采用文獻(xiàn)研究和案例分析方法進(jìn)行研究；技術(shù)線路一步一步逼進(jìn)最后得出結(jié)論及設(shè)計(jì)了一個網(wǎng)絡(luò)安全防御系統(tǒng)；實(shí)驗(yàn)方案主要是論述法和講解法；可行性分析在本文進(jìn)行了論述和舉例進(jìn)行了論證。4進(jìn)程安排和采取的主要措施：第一周，對本論文查閱了相關(guān)資料，如在圖書館，網(wǎng)上等；第二周，通過查閱資料，確定了論文的主題，并列出了大概的提綱；第三周，在列出了提綱的基礎(chǔ)上，對每一個分支進(jìn)行具體的分析；第四周，在老師的協(xié)助下，修改需要改進(jìn)的地方并對這次論文進(jìn)行總結(jié).第五周，圓滿完成任務(wù)。 5參考文獻(xiàn)：1王其良,高敬瑜.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)M.北京大學(xué)出版社,2006,11.2陳波.計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)M.機(jī)械工業(yè)出版社,2006,1.3許治坤,王偉,郭添森,等.網(wǎng)絡(luò)滲透技術(shù)M.電子工業(yè)出版社,2005,5.4宿潔、袁軍鵬,“防火墻技術(shù)及其進(jìn)展J”.計(jì)算機(jī)工程與應(yīng)用,2004，5.5凌捷、肖鵬、何東風(fēng),“防火墻本身的安全問題淺析J”.計(jì)算機(jī)應(yīng)用與軟件,2004,2.6李家春，李之棠.入侵檢測系統(tǒng).計(jì)算機(jī)應(yīng)用研究.2001.12.7 劉克龍，蒙楊，卿斯?jié)h一種新型的防火墻系統(tǒng).計(jì)算機(jī)學(xué)報.2000.38閻慧,土偉.防火墻原理與技術(shù)M.北京:機(jī)械工業(yè)出版,2004.9袁家政.計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用技術(shù)M.北京:清華大學(xué)出版社2002.10陳愛民.計(jì)算機(jī)的安全與保密M.北京:電子工業(yè)出版社,2002.11殷偉.計(jì)算機(jī)安全與病毒防治M.合肥:安徽科學(xué)技術(shù)出版社,2004.12盧開澄.計(jì)算機(jī)系統(tǒng)安全. 重慶出版社編著,2006.13 朱文余.計(jì)算機(jī)密碼應(yīng)用基礎(chǔ). 科學(xué)出版社等編著,2005.14周學(xué)毛.網(wǎng)絡(luò)規(guī)劃建設(shè)與管理維護(hù)M.北京:電子工業(yè)出版社,2005.15劉文清.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)M.北京:中國電力出版社,2005.6.指導(dǎo)教師意見： 簽名： 年 月 日湖南人文科技學(xué)院專科學(xué)生畢業(yè)論文（設(shè)計(jì)）評審表作者姓名賀柳娟專業(yè)、班級計(jì)算機(jī)系計(jì)應(yīng)班學(xué) 號06303132論文題目論述計(jì)算機(jī)網(wǎng)絡(luò)安全問題指導(dǎo)教師劉慶完成時間5月24日內(nèi)容摘要）學(xué)生填寫（防火墻技術(shù)是解決網(wǎng)絡(luò)安全問題的重要手段之一。文中第一步是引入引言,并對計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀和影響安全的因素進(jìn)行了講解，在這基礎(chǔ)上講解了信息安全的內(nèi)容和防火墻的基本論述；第二步對防火墻基本原理和關(guān)鍵技術(shù)進(jìn)行了具體講解,我們把它分為三種: 包過濾、應(yīng)用代理、狀態(tài)檢測；第三步是本論文是重點(diǎn)部分網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計(jì)，這個分為四個部分，一是防火墻系統(tǒng)，二是入侵檢測系統(tǒng)，三是加密和認(rèn)證系統(tǒng)，四是備份恢復(fù)與報警系統(tǒng)；第四步論述了防火墻的未來發(fā)展以及對本論文進(jìn)行總結(jié)。指導(dǎo)老師評語及建議分 指導(dǎo)教師： 年 月 日系評審小組評定結(jié)論： 組長： 年 月 日備注：論述計(jì)算機(jī)網(wǎng)絡(luò)安全問題（湖南人文科技學(xué)院計(jì)算機(jī)科學(xué)技術(shù)系 06級計(jì)應(yīng)班 賀柳娟） 摘要隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展和Internet的廣泛普及，信息已經(jīng)成為現(xiàn)代社會生活的核心,人們在享受互聯(lián)網(wǎng)帶來的豐富信息、巨大便利的同時，也面臨著網(wǎng)絡(luò)安全的嚴(yán)重威脅。各種針對網(wǎng)絡(luò)的攻擊不斷出現(xiàn),計(jì)算機(jī)網(wǎng)絡(luò)安全狀況不容樂觀，網(wǎng)絡(luò)安全問題日益突出，網(wǎng)絡(luò)安全技術(shù)也被人們重視起來。因此，保障計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。網(wǎng)絡(luò)安全問題是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、信息安全技術(shù)、信息論等多學(xué)科的綜合性學(xué)科。解決網(wǎng)絡(luò)安全問題的重要手段就是防火墻技術(shù)。本文首先對計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀和影響安全的因素進(jìn)行了講述，在這基礎(chǔ)上論述了信息安全和防火墻的基本概要；第二步對防火墻基本原理和關(guān)鍵技術(shù)進(jìn)行了具體講解,我們把它分為三種: 包過濾、應(yīng)用代理、狀態(tài)檢測；第三步是進(jìn)行網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計(jì)，分為四個部分，一是防火墻系統(tǒng)，二是入侵檢測系統(tǒng)，三是加密和認(rèn)證系統(tǒng)，四是備份恢復(fù)與報警系統(tǒng)；第四步對本文進(jìn)行總結(jié)以及論述了防火墻的未來發(fā)展。關(guān)鍵詞：網(wǎng)絡(luò)安全 防火墻技術(shù) 安全技術(shù) 包過濾 入侵檢測系統(tǒng) 備份恢復(fù)1 引言Internet的迅速發(fā)展在提高了工作效率的同時，也帶來了一個日益嚴(yán)峻的問題網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全成為當(dāng)今研究熱點(diǎn)和社會關(guān)注焦點(diǎn)。傳統(tǒng)的研究方法和解決方案通常是對單一的安全技術(shù)進(jìn)行改進(jìn)優(yōu)化或?qū)Χ鄠€安全措施的簡單組合；只有綜合運(yùn)用各種安全措施，使之相互協(xié)調(diào)工作，從而構(gòu)建一個全方位的縱深安全防御系統(tǒng)，才能有效提高網(wǎng)絡(luò)信息安全。網(wǎng)絡(luò)安全作為一個無法回避的問題呈現(xiàn)在我們面前，網(wǎng)絡(luò)安全問題是關(guān)系到國家安全與主權(quán)、社會穩(wěn)定和個人利益的重要問題，很多企業(yè)為了保障自身網(wǎng)絡(luò)安全都采用了防火墻。1.1 計(jì)算機(jī)網(wǎng)絡(luò)安全1.1.1 計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀早在20世紀(jì)90年代，如果企業(yè)和政府機(jī)構(gòu)希望能具有競爭力，他們就必須對市場需求作出強(qiáng)有力的響應(yīng),這就引發(fā)了依靠互聯(lián)網(wǎng)獲取和共享住處的趨勢。在過去，網(wǎng)絡(luò)大多是封閉式的，因此比較容易確保其安全性。然而，網(wǎng)絡(luò)已經(jīng)發(fā)生了變化，確保網(wǎng)絡(luò)安全性和可用性已經(jīng)成為更加復(fù)雜的任務(wù)。越來越多的通信現(xiàn)在都是通過電子郵件進(jìn)行，越來越多的移動員工、遠(yuǎn)程辦公人員和分支機(jī)構(gòu)開始利用互聯(lián)網(wǎng)從遠(yuǎn)程連接到他們的企業(yè)網(wǎng)絡(luò),而一些企業(yè)的很大一部分收入都來自于通過互聯(lián)網(wǎng)達(dá)成的商業(yè)交易。犯罪分子利用這種優(yōu)勢，破壞網(wǎng)絡(luò)安全的行為，安全威脅大體可分為兩種：一是對網(wǎng)絡(luò)數(shù)據(jù)的威脅； 二是對網(wǎng)絡(luò)設(shè)備的威脅。這些威脅可能來源于各種各樣的因素： 可能是有意的，也可能是無意的；可能是來源于企業(yè)外部的， 也可能是內(nèi)部人員造成的；可能是人為的，也可能是自然力造成的。1.1.2 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素網(wǎng)絡(luò)系統(tǒng)在穩(wěn)定性和可擴(kuò)充性方面存在問題。由于設(shè)計(jì)的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，因而使其受到影響。網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)主要表現(xiàn)在：一是文件服務(wù)器。它是網(wǎng)絡(luò)的中樞,其運(yùn)行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量;網(wǎng)絡(luò)應(yīng)用的需求沒有引起足夠的重視,設(shè)計(jì)和選型考慮欠周密,從而使網(wǎng)絡(luò)功能發(fā)揮受阻,影響網(wǎng)絡(luò)的可靠性、擴(kuò)充性和升級換代。二是網(wǎng)卡用工作站選配不當(dāng)導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定。缺乏安全策略,許多站點(diǎn)在防火墻配置上無意識地擴(kuò)大了訪問權(quán)限,忽視了這些權(quán)限可能會被其他人員濫用,訪問控制配置的復(fù)雜性,容易導(dǎo)致配置錯誤,從而給他人以可乘之機(jī)。1.2 信息安全1.2.1 信息安全的概念信息安全它的范圍很廣，大到國家軍事政治等機(jī)密安全，小范圍包括個人信息的泄露等。在計(jì)算機(jī)網(wǎng)絡(luò)中，根據(jù)國際標(biāo)準(zhǔn)化組織ISO的定義，信息系統(tǒng)安全就是為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)的硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。1.2.2 信息系統(tǒng)安全的內(nèi)容信息系統(tǒng)安全的內(nèi)容應(yīng)包括兩個方面:物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。邏輯安全包括確保信息的完整性、保密性和可用性。（1） 完整性:是指信息在存儲或傳輸過程中保持不被遭受非授權(quán)篡改或破壞的特性；（2） 保密性:是指信息不泄漏給非授權(quán)的個人和實(shí)體或進(jìn)程，不為其所使用；（3） 可用性:是指信息可被合法用戶訪問并按要求順利使用的特性，即根據(jù)授權(quán)實(shí)體的請求可以訪問和使用所需求的信息。1.3 防火墻的概論1.3.1 防火墻的定義防火墻是汽車中一個部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護(hù)乘客安全，而同時還能讓司機(jī)繼續(xù)控制引擎。從網(wǎng)絡(luò)安全角度上講，防火墻是一種安全有效的防范技術(shù)，是訪問控制機(jī)制、安全策略和防入侵措施。從狹義上來講，防火墻是指安裝了防火墻軟件的計(jì)算機(jī)、路由器或?qū)ｉT的硬件設(shè)備；從廣義上講，防火墻還包括了保護(hù)整個網(wǎng)絡(luò)的安全策略和安全行為。它通過在網(wǎng)絡(luò)邊界上建立網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，能夠有效隔離內(nèi)部和外部網(wǎng)絡(luò)，確定允許哪些內(nèi)部服務(wù)訪問外部服務(wù)，以及允許哪些外部服務(wù)訪問內(nèi)部服務(wù)，以阻擋來自外部網(wǎng)絡(luò)的入侵和攻擊。1.3.2 防火墻的功能防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成。防火墻能有效地防止外來的入侵，起了一個作為保護(hù)層的作用，使得內(nèi)部網(wǎng)與外部網(wǎng)之間所有的信息流都必須通過防火墻，信息流在流經(jīng)防火墻時，網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。它的主要功能可分為四點(diǎn)：一是防火墻是網(wǎng)絡(luò)安全的屏障，能極大的提高一個內(nèi)部網(wǎng)絡(luò)的安全性；二是防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上；三是對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)，就提供了監(jiān)測和攻擊的詳細(xì)信息，并且清楚防火墻的控制是否充足；四是防止內(nèi)部信息的外泄，可利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分和阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息等。2 防火墻的基本原理和關(guān)鍵技術(shù)2.1 防火墻的基本原理防火墻就是一種過濾塞，你可以讓你喜歡的東西通過這個塞子，別的玩意都統(tǒng)統(tǒng)過濾掉。在網(wǎng)絡(luò)的世界里，要由防火墻過濾的就是承載通信數(shù)據(jù)的通信包。最簡單的防火墻是以太網(wǎng)橋。但幾乎沒有人會認(rèn)為這種原始防火墻能管多大用。大多數(shù)防火墻采用的技術(shù)和標(biāo)準(zhǔn)可謂五花八門。這些防火墻的形式多種多樣：有的取代系統(tǒng)上已經(jīng)裝備的TCP/IP協(xié)議棧；有的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨(dú)立的 一套操作系統(tǒng)。還有一些應(yīng)用型的防火墻只對特定類型的網(wǎng)絡(luò)連接提供保護(hù)。還有一些基于硬件的防火墻產(chǎn)品其實(shí)應(yīng)該歸入安全路由器一類。以上的產(chǎn)品都可以叫做防火墻，因?yàn)樗麄兊墓ぷ鞣绞蕉际且粯拥模悍治龀鋈敕阑饓Φ臄?shù)據(jù)包，決定放行還是把他們?nèi)拥揭贿?。防火墻對于企業(yè)網(wǎng)絡(luò)的防御系統(tǒng)來說，是一個不可缺少的基礎(chǔ)設(shè)施。我們在選擇防火墻時，首先考慮的就是需要一個什么結(jié)構(gòu)的產(chǎn)品，防火墻發(fā)展到今天，很多產(chǎn)品已經(jīng)越來越像是一個網(wǎng)絡(luò)安全的工具箱，工具的多少固然很重要，而系統(tǒng)的結(jié)構(gòu)則是一個起決定性作用的前提，因?yàn)榉阑饓Φ慕Y(jié)構(gòu)決定了這些工具的組合能力，決定了當(dāng)你在某種場合需要一個系統(tǒng)聲稱提供的功能的時候是不是真的能夠用得上，以下是防火器的主要技術(shù)。2.2關(guān)鍵技術(shù)2.2.1包過濾包過濾（packet filtering）防火墻是出現(xiàn)最早的一類防火墻。事實(shí)上，路由器本身就具有包過濾防火墻的功能。理論上，包過濾器可以配置為根據(jù)協(xié)議報頭的任何部分進(jìn)行判斷，但實(shí)際上，大多數(shù)的包過濾實(shí)現(xiàn)都針對最為有用的數(shù)據(jù)域：協(xié)議類型、IP 地址、端口號等。通常源地址、目的地址、協(xié)議類型、源端口、目的端口以及包到達(dá)或發(fā)出的接口等構(gòu)成包過濾防火墻的基本安全控制和審計(jì)手段。簡單包過濾是對單個包的檢查，目前絕大多數(shù)路由器產(chǎn)品都提供這樣的功能，所以如果你已經(jīng)有邊界路由器了，那么完全沒有必要購買一個簡單包過濾的防火墻產(chǎn)品。包過濾結(jié)構(gòu)的最大優(yōu)點(diǎn)是部署容易，對應(yīng)用透明。另一個優(yōu)點(diǎn)是性能，狀態(tài)檢測包過濾是各種防火墻結(jié)構(gòu)中在吞吐能力上最具優(yōu)勢的結(jié)構(gòu)，但是對于防火墻產(chǎn)品來說，畢竟安全是首要的因素，包過濾防火墻對于網(wǎng)絡(luò)控制的依據(jù)仍然是IP地址和服務(wù)端口等基本的傳輸層以下的信息；簡單的包過濾防火墻只檢查序號為0 的IP分包，可以容易地被攻擊者定制IP分包的方法繞過防火墻策略，所以在安全性方面存在較為嚴(yán)重的缺陷，當(dāng)前基本上已經(jīng)被基于狀態(tài)檢查包過濾的專業(yè)防火墻所取代。 狀態(tài)檢查是介于簡單包過濾和應(yīng)用級防火墻之間的一種中間方式，它使用基于維持連接狀態(tài)和協(xié)議信息的復(fù)雜過濾器來阻斷或通過數(shù)據(jù)包。在大幅度提高安全性的同時，能夠以非常高的速度進(jìn)行包過濾，成為當(dāng)前主流防火墻優(yōu)先采用的工作方式。2.2.2 應(yīng)用代理應(yīng)用代理防火墻的工作方式不同于包過濾防火墻，它首先對帶有代理并且按照策略規(guī)則允許通過的數(shù)據(jù)包接收并重新產(chǎn)生，然后忽略掉那些沒有相應(yīng)代理的數(shù)據(jù)包。 應(yīng)用代理防火墻可以說就是為防范應(yīng)用層攻擊而設(shè)計(jì)的。應(yīng)用代理也算是一個歷史比較長的技術(shù)，最初的代表是TIS工具包，現(xiàn)在這個工具包也可以在網(wǎng)絡(luò)上免費(fèi)得到，它是一組代理的集合。代理的原理是徹底隔斷兩端的直接通信，所有通信都必須經(jīng)應(yīng)用層的代理轉(zhuǎn)發(fā)，訪問者任何時候都不能直接與服務(wù)器建立直接的TCP連接，應(yīng)用層的協(xié)議會話過程必須符合代理的安全策略的要求。針對各種應(yīng)用協(xié)議的代理防火墻提供了豐富的應(yīng)用層的控制能力?？梢赃@樣說，狀態(tài)檢測包過濾規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。代理技術(shù)的一個主要的弱點(diǎn)是缺乏對應(yīng)用的透明性，代理的另一個無法回避的缺陷是性能很差。應(yīng)用代理可以提供比包過濾防火墻更為細(xì)致的網(wǎng)絡(luò)安全策略和更好的安全水平，體現(xiàn)在下面幾點(diǎn)：（1） 阻斷了內(nèi)外的直接網(wǎng)絡(luò)連接，不必存在內(nèi)外網(wǎng)絡(luò)的直接路由；（2） 隱藏了內(nèi)部網(wǎng)絡(luò)的客戶，對外表現(xiàn)為一個較為繁忙的主機(jī)；（3） 能夠在應(yīng)用層進(jìn)行內(nèi)容和協(xié)議過濾，實(shí)現(xiàn)精細(xì)安全控制；能夠?qū)?yīng)用層協(xié)議進(jìn)行一致性檢查，防止了某些惡意定制的攻擊性網(wǎng)絡(luò)分包； （4） 提供了單點(diǎn)的訪問、控制和日志記錄功能。2.2.3 狀態(tài)檢測檢測型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。檢測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動的、實(shí)時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上, 檢測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠監(jiān)測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。對于傳統(tǒng)的包過濾防火墻只是簡單的將數(shù)據(jù)包看作單個無關(guān)聯(lián)的包，沒有注意到數(shù)據(jù)包的上下文及同一個會話的數(shù)據(jù)包之間的內(nèi)在聯(lián)系。對于每一個流經(jīng)防火墻的數(shù)據(jù)包都要與過濾規(guī)則做比較，增加了許多不必要的操作，降低了效率。而狀態(tài)檢測技術(shù)試圖理解數(shù)據(jù)包中更高層協(xié)議和數(shù)據(jù)信息，并跟蹤一個會話的狀態(tài)和上下文信息。例如，對于一個會話而言，將會話剛開始具有SYN標(biāo)志位的數(shù)據(jù)包與規(guī)則庫中的規(guī)則進(jìn)行比較，如果通過了的話則在狀態(tài)表中建立一個會話記錄，以后所有屬于該會話的數(shù)據(jù)包將不用檢查直接通過，這樣就在沒有降低安全性的前提下而大大提高了效率。3 網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計(jì)網(wǎng)絡(luò)攻擊手段正在不斷多樣化,簡單地采用多種孤立的基于單層次體系結(jié)構(gòu)的安全手段已不能滿足需求。在這種情況下，提出構(gòu)建全面的安全防御系統(tǒng),即利用復(fù)雜系統(tǒng)和安全工程風(fēng)險管理的思想與方法來處理網(wǎng)絡(luò)安全問題,將網(wǎng)絡(luò)安全作為一個整體工程來處理。把網(wǎng)絡(luò)結(jié)構(gòu)、加密認(rèn)證、防火墻、病毒防護(hù)、入侵檢測等單一的安全措施有機(jī)地結(jié)合起來,形成一套整體功能遠(yuǎn)遠(yuǎn)大于局部系統(tǒng)的安全系統(tǒng)。圖1是我們在研究和實(shí)踐中,根據(jù)實(shí)際需要,建立的全面安全防御系統(tǒng)模型。外 部 網(wǎng)主 防 火 墻病毒防火墻代理服務(wù)器包過濾Web 服務(wù)器（加密認(rèn)證）備份中心服務(wù)器（IDS， 備份）恢復(fù)報 警分布式防火墻分布式防火墻分布式防火墻工作站（加密認(rèn)證）工作站（加密認(rèn)證）工作站（加密認(rèn)證）分布式IDS分布式IDS分布式IDS圖 1它主要由以下四大部分有機(jī)組成:3.1 防火墻系統(tǒng)影響Firewall系統(tǒng)設(shè)計(jì)、安裝和使用的網(wǎng)絡(luò)策略可分為兩級，高級的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)， 低級的網(wǎng)絡(luò)策略描述Firewall如何限制和過濾在高級策略中定義的服務(wù)。基于這兩個策略，在設(shè)計(jì)中，整個網(wǎng)絡(luò)通過主防火墻與外部網(wǎng)絡(luò)相連,主防火墻增加虛擬郵件服務(wù)器,將第三方殺毒軟件與防火墻緊密結(jié)合起來抵御郵件病毒。并且主防火墻作為分布式防火墻控制策略中心,采用系統(tǒng)管理工具把策略文件分發(fā)給各分布式防火墻,各分布式防火墻將從IP安全協(xié)議和策略文件兩方面來判斷是否接受收到的包。分布式防火墻針對受保護(hù)主機(jī)配置控制策略規(guī)則,并可以有效防范來自內(nèi)部的攻擊。集成殺毒功能的防火墻對信息收集與獲取攻擊、拒絕服務(wù)、電子欺騙都極為有效,并且與入侵檢測系統(tǒng)集成以彌補(bǔ)IDS缺乏主動控制措施的缺點(diǎn)。3.2入侵檢測系統(tǒng)入侵檢測系統(tǒng)是一種對發(fā)生在主機(jī)或網(wǎng)絡(luò)系統(tǒng)中的事件進(jìn)行自動監(jiān)測,并將其作為安全問題進(jìn)行分析的軟件與硬件的組合。它的結(jié)構(gòu)可分為二種：一是基于網(wǎng)絡(luò)的入侵檢測，二是基于主機(jī)的入侵檢測。3.2.1 體系結(jié)構(gòu)（1）基于網(wǎng)絡(luò)的入侵檢測分布在網(wǎng)絡(luò)上或設(shè)置在被監(jiān)測的主機(jī)附近,在網(wǎng)絡(luò)通信中尋找符合網(wǎng)絡(luò)入侵模板的數(shù)據(jù)包,并立即做出相應(yīng)反應(yīng),如發(fā)送電子郵件、尋呼、記錄日志、切斷網(wǎng)絡(luò)連接等。它不依賴于被保護(hù)主機(jī)的操作系統(tǒng),一個網(wǎng)段只需安裝一套系統(tǒng)。但由于要檢測整個網(wǎng)段的流量,易遭受拒絕服務(wù)攻擊。(2)基于主機(jī)的入侵檢測其主要目標(biāo)是在單機(jī)模式下,防范對主機(jī)本身的入侵,檢測原理是根據(jù)主機(jī)操作系統(tǒng)提供的審計(jì)數(shù)據(jù)來發(fā)現(xiàn)可疑的入侵事件,再依據(jù)一定的方法判斷是否確為入侵7。它能監(jiān)視所有系統(tǒng)行為,但其依賴于審計(jì)數(shù)據(jù)和系統(tǒng)日志的準(zhǔn)確性、完整性和對入侵事件的定義,實(shí)時性也不如基于網(wǎng)絡(luò)的DS好。3.2.2入侵檢測模式(1)基于標(biāo)志的檢測判別預(yù)定義的違背安全策略的事件特征是否在所收集的數(shù)據(jù)中出現(xiàn)。此方法類似殺毒軟件,能較為準(zhǔn)確地發(fā)現(xiàn)入侵,誤報率很低,缺點(diǎn)是只能發(fā)現(xiàn)已知的攻擊和入侵,且標(biāo)識庫需要不斷地更新。(2)基于異常的檢測預(yù)定義一組系統(tǒng)“正常”情況的數(shù)值,然后將系統(tǒng)運(yùn)行時的數(shù)值與“正?！鼻闆r比較,判斷是否被攻擊。它的特點(diǎn)是對已知和未知的攻擊都有一定的檢測能力,缺點(diǎn)是誤報率較高。3.2.3 技術(shù)分析引入防火墻和分布式入侵檢測系統(tǒng)，并與防火墻集成后,IDS讀取防火墻的規(guī)則后可以調(diào)整它的分析引擎,使之不分析已被防火墻屏蔽在內(nèi)部網(wǎng)外的流量類型,使其負(fù)載減小,進(jìn)而減少它受到DOS攻擊的可能性。通過將入侵檢測系統(tǒng)的信息的采集和處理功能部分分布到多臺工作站上,經(jīng)本地處理后,將可疑的單機(jī)無法處理的數(shù)據(jù)傳輸給入侵檢測系統(tǒng)的中心決策系統(tǒng),在中心決策系統(tǒng)對信息進(jìn)行綜合后作出響應(yīng)。通過集成防火墻和DIS,采用分布式結(jié)構(gòu)可以極大地增強(qiáng)系統(tǒng)的性能,獲得整體安全性的提高。3.3加密和認(rèn)證系統(tǒng)3.3.1加密加密的主要目的是防止信息的非授權(quán)泄漏,基本思想是通過變換信息的表示形式來偽裝需要保護(hù)的敏感信息。加密可以有效地對抗截收、訪問數(shù)據(jù)庫時非法竊取信息、盜竊信息等威脅。加密主要有傳輸加密和存儲加密兩種方式,一般分為對稱(私鑰)密碼和不對稱(公鑰)密碼算法。3.3.2鑒別與身份認(rèn)證鑒別的目的是驗(yàn)明用戶或消息的身份。鑒別可以有效地對抗冒充、非法訪問、重演、抵賴等威脅,其技術(shù)主要有:報文鑒別、身份認(rèn)證和數(shù)字簽名等。3.3.3 工作過程每臺工作站都有身份認(rèn)證系統(tǒng),為保證口令和重要數(shù)據(jù)的安全性,將其加密后存儲在主機(jī)系統(tǒng)中。針對Internet明文網(wǎng)絡(luò)傳輸?shù)娜觞c(diǎn),采用SSH、SSL、PGP等方法將口令、重要數(shù)據(jù)和敏感信息(如IDS和防火墻之間傳遞的信息)加密后傳輸。3.4備份恢復(fù)與報警系統(tǒng)網(wǎng)絡(luò)備份就是在網(wǎng)絡(luò)系統(tǒng)發(fā)生意外情況下(如受到黑客攻擊、病毒感染、操作失誤、軟件系統(tǒng)錯誤等)的應(yīng)急恢復(fù)、處理方案。一般有網(wǎng)絡(luò)系統(tǒng)的雙機(jī)熱備份和網(wǎng)絡(luò)數(shù)據(jù)冷備份兩種方式。備份系統(tǒng)利用網(wǎng)絡(luò)數(shù)據(jù)冷備份技術(shù)將整個網(wǎng)絡(luò)系統(tǒng)及數(shù)據(jù)完整備份到磁盤陣列。報警系統(tǒng)的功能是當(dāng)接收到入侵檢測系統(tǒng)發(fā)送的被攻擊的信息時,立即通過郵件、呼機(jī)、手機(jī)等方式通知系統(tǒng)管理員采取必要的保護(hù)措施,同時通知恢復(fù)系統(tǒng)從備份目錄中提取相應(yīng)的原始信息以及時恢復(fù)被攻擊的部分。4 本文總結(jié)和工作展望4.1本文總結(jié)及防火墻的發(fā)展趨勢作為網(wǎng)絡(luò)邊界的第一道防線，由最初的路由器設(shè)備配置訪問策略進(jìn)行安全防護(hù)，它可以與入侵檢測系統(tǒng)等其他安全防護(hù)手段一起維護(hù)系統(tǒng)的安全，也可以通過自身良好的安全配置，簡單、高效地完成大多數(shù)場合安全防護(hù)；前文講解了防火墻的基本原理、體系結(jié)構(gòu)；通過防火墻、病毒防火墻、加密認(rèn)證和備份恢復(fù)有效集成,構(gòu)筑成一套整體功能大于局部系統(tǒng)的全面的安全防御體系,實(shí)現(xiàn)了整體的“涌現(xiàn)”。作為保護(hù)網(wǎng)絡(luò)邊界的安全產(chǎn)品，防火墻技術(shù)也已經(jīng)逐步趨于成熟，并為廣大用戶所認(rèn)可；防火墻墻作為第一道防線和面對未來高端防火墻的發(fā)展趨勢，無論是從用戶還是產(chǎn)品供應(yīng)商，都不可避免的推向了一種對新型防火墻技術(shù)需求的角度， 主要體現(xiàn)下面幾點(diǎn)：（1） 高性能的防火墻需求：高性能防火墻是未來發(fā)展的趨勢，突破高性能的極限就是對防火墻硬件結(jié)構(gòu)的調(diào)整。而對于高端防火墻的技術(shù)實(shí)現(xiàn)，現(xiàn)今主要分為三種方式: 基于通用處理器的工控機(jī)架構(gòu)、基于NP技術(shù)、基于ASIC芯片技術(shù)。（2） 管理接口和soc的整合：管理接口和soc整合是一個整體，而不是靠單一產(chǎn)品所能解決的。隨著安全管理和安全運(yùn)營工作的推行，SOC作為一種安全管理的解決方案已經(jīng)得到大力推廣。防火墻作為一種安全訪問控制機(jī)制產(chǎn)品，要想在安全管理中起到有效的作用，必須考慮與soc的整合問題，這就涉及到各個廠家對防火墻技術(shù)開發(fā)過程中的通用性和合作問題。（3） 抗dos能力：提高防火墻抗擊dos能力的技術(shù)問題，也在纏繞著廣大防火墻廠商。在新型技術(shù)不斷更新的今天，各個廠家已經(jīng)把矛頭指向了解決dos問題上來。（4） 減慢蠕蟲和垃圾郵件的傳播速度的功能：作為網(wǎng)絡(luò)邊界的安全設(shè)備，未來防火墻發(fā)展趨勢中，減緩和降低蠕蟲病毒與垃圾郵件的傳播速度，是必不可少的一部分了。對于防火墻來說，僅僅靠支持防病毒和防垃圾郵件功能還遠(yuǎn)遠(yuǎn)不夠，