防火墙技术.doc

《防火墙技术.doc》由会员分享，可在线阅读，更多相关《防火墙技术.doc（52页珍藏版）》请在咨信网上搜索。

1、毕业论文题目：防火墙技术毕业论文（设计）原创性声明本人所呈交的毕业论文（设计）是我在导师的指导下进行的研究工作及取得的研究成果。据我所知，除文中已经注明引用的内容外，本论文（设计）不包含其他个人已经发表或撰写过的研究成果。对本论文（设计）的研究做出重要贡献的个人和集体，均已在文中作了明确说明并表示谢意。 作者签名： 日期： 毕业论文（设计）授权使用说明本论文（设计）作者完全了解*学院有关保留、使用毕业论文（设计）的规定，学校有权保留论文（设计）并向相关部门送交论文（设计）的电子版和纸质版。有权将论文（设计）用于非赢利目的的少量复制并允许论文（设计）进入学校图书馆被查阅。学校可以公布论文（设计）

2、的全部或部分内容。保密的论文（设计）在解密后适用本规定。 作者签名： 指导教师签名： 日期： 日期： 注 意 事 项1.设计（论文）的内容包括：1）封面（按教务处制定的标准封面格式制作）2）原创性声明3）中文摘要（300字左右）、关键词4）外文摘要、关键词 5）目次页（附件不统一编入）6）论文主体部分：引言（或绪论）、正文、结论7）参考文献8）致谢9）附录（对论文支持必要时）2.论文字数要求：理工类设计（论文）正文字数不少于1万字（不包括图纸、程序清单等），文科类论文正文字数不少于1.2万字。3.附件包括：任务书、开题报告、外文译文、译文原文（复印件）。4.文字、图表要求：1）文字通顺，语言流

3、畅，书写字迹工整，打印字体及大小符合要求，无错别字，不准请他人代写2）工程设计类题目的图纸，要求部分用尺规绘制，部分用计算机绘制，所有图纸应符合国家技术标准规范。图表整洁，布局合理，文字注释必须使用工程字书写，不准用徒手画3）毕业论文须用A4单面打印，论文50页以上的双面打印4）图表应绘制于无格子的页面上5）软件工程类课题应有程序清单，并提供电子文档5.装订顺序1）设计（论文）2）附件：按照任务书、开题报告、外文译文、译文原文（复印件）次序装订3）其它摘要因特网的迅猛发展给人们的生活带来了极大的方便，但同时因特网也面临着空前的威胁。因此，如何使用有效可行的方法使网络危险降到人们可接受的范围之内

4、越来越受到人们的关注。而如何实施防范策略，首先取决于当前系统的安全性。所以对网络安全的各独立元素防火墙、漏洞扫描、入侵检测和反病毒等进行风险评估是很有必要的。防火墙技术作为时下比较成熟的一种网络安全技术，其安全性直接关系到用户的切身利益。针对网络安全独立元素防火墙技术，通过对防火墙日志文件的分析，设计相应的数学模型和软件雏形，采用打分制的方法，判断系统的安全等级，实现对目标网络的网络安全风险评估，为提高系统的安全性提供科学依据。关键词：网络安全，防火墙，防范策略，发展趋势AbstractThe rapid development of the Internet brought great co

5、nvenience in peoples lives, but at the same time, the Internet is also faced with an unprecedented threat. Therefore, how to use effective and feasible ways of making the network can be dangerous to the people within the scope of the receiver have taken more and more peoples attention. And how to im

6、plement prevention strategies depends first and foremost on the security of the current system. Therefore, the independent network security elements-firewall, vulnerability scanning, intrusion detection and anti-virus risk assessment is necessary. Firewall as a more mature current network security t

7、echnologies, their safety directly related to the users personal interests. For independent network security elements-firewall technology through the firewall log file analysis, a points system the means to achieve the purpose of the mainframe network security risk assessment, design of the mathemat

8、ical model and prototype software, and what the systems security level, To enhance the security of the system to provide a scientific basis.Keywords：Network Security，firewall，prevention Strategy，development tendency47目录中文摘要. .英文摘要. 目录.1第一章绪论.41.1研究背景.41.2研究目的.4第二章 网络安全.72.1网络安全问题.72.1.1 网络安全面临的主要威胁.

9、72.1.2 影响网络安全的因素82.2网络安全措施.82.2.1完善计算机安全立法.92.2.2 网络安全的关键技术.92.3制定合理的网络管理措施.10第三章 防火墙概述.123.1防火墙概念.123.1.1 传统防火墙介绍.133.1.2 智能防火墙简介.143.2防火墙的功能.153.2.1 防火墙的主要功能.153.2.2 入侵检测功能.163.2.3 虚拟专网功能.183.2.4 其他功能.183.3防火墙的原理及分类.183.3.1包过滤防火墙183.3.2应用级代理防火墙193.3.3代理服务型防火墙.203.3.4复合型防火墙213.4防火墙包过滤技术.21 3.4.1数据表

10、结构.22 3.4.2传统包过滤技术.23 3.4.3动态包过滤.25 3.4.4深度包检测.26 3.4.5l流过滤技术.273.5防火墙体系结构.30 3.5.1双宿主主机防火墙 .303.5.2主机屏蔽防火墙323.5.3子网屏蔽防火墙33第四章 防火墙的配置.354.1硬件连接与实施.364.2 防火墙的特色配置.364.3防火墙的配置与实施.37第五章 防火墙发展趋势.405.1防火墙技术的发展趋势.415.2防火墙的体系结构发展趋势.424.3防火墙的系统管理发展趋势.42结束语.43参考文献.44致谢.45第一章 绪论1.1 研究背景随着互联网的普及和发展，尤其是Internet

11、的广泛使用，使计算机应用更加广泛与深入。同时，我们不得不注意到，网络虽然功能强大，也有其脆弱易受到攻击的一面。据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全求平均每20秒钟就发生一起Internet计算机侵入事件。在我国，每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时，对网络安全问题也决不能忽视。如何建立比较安全的网络体系，值得我们关注研究。1.2 研究目的为了解决互联网时代个人网络安全的问题，近年来新兴了防火墙技术2。防火墙具有很强的实用性和针对性，它为个人上网用户提供了完整的网络安全解决方案，可以有效地控制个人电脑用户信息

12、在互联网上的收发。用户可以根据自己的需要，通过设定一些参数，从而达到控制本机与互联网之间的信息交流阻止恶性信息对本机的攻击，比如ICMPnood攻击、聊天室炸弹、木马信息破译并修改邮件密码等等。而且防火墙能够实时记录其它系统试图对本机系统的访问，使计算机在连接到互联网的时候避免受到网络攻击和资料泄漏的安全威胁。防火墙可以保护人们在网上浏览时免受黑客的攻击，实时防范网络黑客的侵袭，还可以根据自己的需要创建防火墙规则，控制互联网到PC以及PC到互联网的所有连接，并屏蔽入侵企图。防火可以有效地阻截各种恶意攻击、保护信息的安全;信息泄漏拦截保证安全地浏览网页、遏制邮件病毒的蔓延;邮件内容检测可以实时监

13、视邮件系统，阻挡一切针对硬盘的恶意活动。个人防火墙就是在单机Windows系统上，采取一些安全防护措施，使得本机的息得到一定的保护。个人防火墙是面向单机操作系统的一种小型安全防护软件，按一定的规则对TCP，UDP，ICMP和IGMP等报文进行过滤，对网络的信息流和系统进程进行监控，防止一些恶意的攻击。目前市场上大多数的防火墙产品仅仅是网关的，虽然它们的功能相当强大，但由于它们基于下述的假设:内部网是安全可靠的，所有的威胁都来自网外。因此，他们防外不防内，难以实现对企业内部局域网内主之间的安全通信，也不能很好的解决每一个拨号上网用户所在主机的安全问题，而多数个人上网之时，并没有置身于得到防护的安

14、全网络内部。个人上网用户多使用Windows操作系统，而Windows操作系统，特别是WindowsXP系统，本身的安全性就不高。各种Windows漏洞不断被公布，对主机的攻击也越来越多。一般都是利用操作系统设计的安全漏洞和通信协议的安全漏洞来实现攻击。如假冒IP包对通信双方进行欺骗:对主机大量发送正数据包3进行轰炸攻击，使之际崩溃;以及蓝屏攻击等。因此，为了保护主机的安全通信，研制有效的个人防火墙技术很有必要。第二章 网络安全2.1网络安全问题安全，通常是指只有被授权的人才能使用其相应资源的一种机制。我国对于计算机安全的定义是：“计算机系统的硬件、软件、数据受到保护，不因偶然的或恶意的原因而

15、遭到破坏、更改、显露，系统能连续正常运行。”从技术讲，计算机安全分为3种：1）实体的安全。它保证硬件和软件本身的安全。2）运行环境的安全性。它保证计算机能在良好的环境里持续工作。3）信息的安全性。它保障信息不会被非法阅读、修改和泄漏。随着网络的发展，计算机的安全问题也延伸到了计算机网络。2.1.1 网络安全面临的主要威胁一般认为，计算机网络系统的安全威胁主要来自计算机病毒、黑客的攻击和拒绝服务攻击三个方面。1）计算机病毒的侵袭。当前，活性病毒达14000多种，计算机病毒侵入网络，对网络资源进行破坏，使网络不能正常工作，甚至造成整个网络的瘫痪。2）黑客侵袭。即黑客非法进入网络非法使用网络资源。例

16、如通过隐蔽通道进行非法活动；采用匿名用户访问进行攻击；通过网络监听获取网上用户账号和密码；非法获取网上传输的数据；突破防火墙等。3）拒绝服务攻击。例如“点在邮件炸弹”，它的表现形式是用户在很短的时间内收到大量无用的电子邮件，从而影响正常业务的运行。严重时会使系统关机，网络瘫痪。具体讲，网络系统面临的安全威胁主要有如下表现：身份窃取、非授权访问、数据窃取、拒绝服务、病毒与恶意攻击、冒充合法用户等。2.1.2影响网络安全的因素1）单机安全购买单机时，型号的选择；计算机的运行环境（电压、湿度、防尘条件、强电磁场以及自然灾害等）；计算机的操作等等，这些都是影响单机安全性的因素。2）网络安全影响网络安全

17、的因素有：节点的安全、数据的安全（保存和传输方面）、文件的安全等。2.2网络安全措施网络信息安全涉及方方面面的问题，是一个复杂的系统。一个完整的网络信息安全体系至少应包括三类措施：一是法律政策、规章制度以及安全教育等外部软环境。二是技术方面，如信息加密存储传输、身份认证、防火墙技术、网络防毒等。三是管理措施，包括技术与社会措施。主要措施有：提供实时改变安全策略的能力、实时监控企业安全状态、对现有的安全系统实施漏洞检查等，以防患于未然。这三者缺一不可，其中，法律政策是安全的基石，技术是安全的保障，管理和审计是安全的防线。2.2.1完善计算机安全立法我国先后出台的有关网络安全管理的规定和条例。但目

18、前，在这方面的立法还远不能适应形势发展的需要,应该在对控制计算机犯罪的国内外立法评价的基础上，完善我国计算机犯罪立法，以便为确保我国计算机信息网络健康有序的发展提供强有力的保障。2.2.2 网络安全的关键技术(1) 数据加密加密就是把明文变成密文，从而使未被授权的人看不懂它。有两种主要的加密类型：私匙加密和公匙加密。(2)认证对合法用户进行认证可以防止非法用户获得对公司信息系统的访问，使用认证机制还可以防止合法用户访问他们无权查看的信息。(3) 防火墙技术防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。目前，防火墙采取的技术，主要是包过滤、应用网关

19、、子网屏蔽等。但是，防火墙技术在网络安全防护方面也存在一些不足：防火墙不能防止内部攻击防火墙不能取代杀毒软件；防火墙不易防止反弹端口木马攻击等。(4)检测系统入侵检测技术是网络安全研究的一个热点，是一种积极主动的安全防护技术，提供了对内部入侵、外部入侵和误操作的实时保护，在网络系统受到危害之前拦截相应入侵。随着时代的发展，入侵检测技术将朝着三个方向发展:分布式入侵检测、智能化入侵检测和全面的安全防御方案。(5)防病毒技术随着计算机技术的发展，计算机病毒变得越来越复杂和高级，计算机病毒防范不仅仅是一个产品、一个策略或一个制度，它是一个汇集了硬件、软件、网络、以及它们之间相互关系和接口的综合系统。

20、(6) 文件系统安全在网络操作系统中，权限是一个关键性的概念，因为访问控制实现在两个方面：本地和远程。建立文件权限的时候，必须在Windows 2000中首先实行新技术文件系统（New Technology File System，NTFS）。一旦实现了NTFS，你可以使用Windows资源管理器在文件和文件夹上设置用户级别的权限。你需要了解可以分配什么样的权限，还有日常活动期间一些规则是处理权限的。Windows 2000操作系统允许建立复杂的文件和文件夹权限，你可以完成必要的访问控制。2.3 制定合理的网络管理措施（1）加强网络用户及有关人员的安全意识、职业道德和事业心、责任心的培养教育以

21、及相关技术培训。（2）建立完善的安全管理体制和制度，以起到对管理人员和操作人员鼓励和监督的作用。（3）管理措施要标准化、规范化和科学化。第三章 防火墙概述随着Internet的迅速发展，网络应用涉及到越来越多的领域，网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题，使得网络安全问题越来越突出。因此，保护网络资源不被非授权访问，阻止病毒的传播感染显得尤为重要。就目前而言，对于局部网络的保护，防火墙仍然不失为一种有效的手段，防火墙技术主要分为包过滤和应用代理两类。其中包过滤作为最早发展起来的一种技术，其应用非常广泛。3.1 防火墙的概念防火墙是设置在被保护网络和外部网络之间

22、的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。4防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙提供信息安全服务，是实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网络和互联网之间的任何活动，保证了内部网络的安全。3.1.1 传统防火墙介绍目前的防火墙技术无论从技术上还是从产品发展历程上，

23、都经历了五个发展历程。图1表示了防火墙技术的简单发展历史。图1第一代防火墙第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。第二代、第三代防火墙1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙应用层防火墙（代理防火墙）的初步结构。第四代防火墙1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，以色列的

24、CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。5但传统的防火墙并没有解决目前网络中主要的安全问题。目前网络安全的三大主要问题是:以拒绝访问(DDOS)为主要代表的网络攻击，以蠕虫(Worm)为主要代表的病毒传播和以垃圾电子邮件(SPAM)为代表的内容控制。这三大安全问题占据网络安全问题九成以上。而这三大问题，传统防火墙都无能为力。主要有以下三个原因:一是传

25、统防火墙的计算能力的限制。传统的防火墙是以高强度的检查为代价，检查的强度越高，计算的代价越大。二是传统防火墙的访问控制机制是一个简单的过滤机制。它是一个简单的条件过滤器，不具有智能功能，无法检测复杂的攻击。三是传统的防火墙无法区分识别善意和恶意的行为。该特征决定了传统的防火墙无法解决恶意的攻击行为。现在防火墙正在向分布、智能的方向发展，其中智能防火墙可以很好的解决上面的问题。3.1.2 智能防火墙简介智能防火墙6是相对传统的防火墙而言的，从技术特征上智能防火墙是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络

26、行为的特征值，直接进行访问控制。由于这些方法多是人工智能学科采用的方法，因此，又称为智能防火墙。3.2 防火墙的功能3.2.1 防火墙的主要功能1包过滤。包过滤是一种网络的数据安全保护机制，它可用来控制流出和流入网络的数据，它通常由定义的各条数据安全规则所组成，防火墙设置可基于源地址、源端口、目的地址、目的端口、协议和时间;可根据地址簿进行设置规则。2地址转换。网络地址变换是将内部网络或外部网络的IP地址转换，可分为源地址转换Source NAT(SNAT)和目的地址转换Destination NAT(DNAT)。SNAT用于对内部网络地址进行转换，对外部网络隐藏起内部网络的结构，避免受到来自

27、外部其他网络的非授权访问或恶意攻击。并将有限的IP地址动态或静态的与内部IP地址对应起来，用来缓解地址空间的短缺问题，节省资源，降低成本。DNAT主要用于外网主机访问内网主机。3认证和应用代理。 认证指防火墙对访问网络者合法身分的确定。代理指防火墙内置用户认证数据库;提供HTTP、FTP和SMTP代理功能，并可对这三种协议进行访问控制;同时支持URL过滤功能。4透明和路由指防火墙将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问，同时阻止了外部未授权访问者对专用网络的非法访问;防火墙还支持路由方式，提供静态路由功能，支持内部多个子网之间的安全访问。3.2

28、.2 入侵检测功能入侵检测技术7就是一种主动保护自己免受黑客攻击的一种网络安全技术，包括以下内容:1.反端口扫描。端口扫描就是指黑客通过远程端口扫描的工具，从中发现主机的哪些非常用端口是打开的;是否支持FTP、Web服务;且FTP服务是否支持“匿名”，以及IIS版本，是否有可以被成功攻破的IIS漏洞，进而对内部网络的主机进行攻击。顾名思义反端口扫描就是防范端口扫描的方法，目前常用的方法有:关闭闲置和有潜在危险的端口;检查各端口，有端口扫描的症状时，立即屏蔽该端口，多数防火墙设备采用的都是这种反端口扫描方式。2.检测拒绝服务攻击。拒绝服务(DoS)攻击就是利用合理的服务请求来占用过多的服务资源，

29、从而使合法用户无法得到服务的响应，其攻击方式有很多种;而分布式的拒绝服务攻击(DDoS)攻击手段则是在传统的DoS攻击基础之上产生的一类攻击方式，分布式的拒绝服务攻击(DDoS)。其原理很简单，就是利用更多的受控主机同时发起进攻，以比DoS更大的规模(或者说以更高于受攻主机处理能力的进攻能力)来进攻受害者。现在的防火墙设备通常都可检测Synflod、Land、Ping of Death、TearDrop、ICMP flood和UDPflod等多种DOS/DDOS攻击。3.检测多种缓冲区溢出攻击(Buffer Overflow)。缓冲区溢出(Buffer Overflow)攻击指利用软件的弱点将

30、任意数据添加进某个程序中，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作，防火墙设备可检测对FTP、Telnet、SSH、RPC和SMTP等服务的远程堆栈溢出入侵。4.检测CGI/IIS服务器入侵。CGI就是Common Gateway Interface的简称。是World Wide Web主机和CGI程序间传输资讯的定义。IIS就是Internet Information server的简称，也就是微软的Internet信息服务器。防火墙设备可检测包括针对Unicode、AS

31、P源码泄漏、PHF、NPH、pfdisPlay.cgi等已知上百种的有安全隐患的CGI/IIS进行的探测和攻击方式。5.检测后门、木马及其网络蠕虫。后门程序是指采用某种方法定义出一个特殊的端口并依靠某种程序在机器启动之前自动加载到内存，强行控制机器打开那个特殊的端口的程序。木马程序的全称是“特洛依木马”，它们是指寻找后门、窃取计算机的密码的一类程序。网络蠕虫病毒分为2类，一种是面向企业用户和局域网而一言，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网造成瘫痪性的后果，以“红色代码”，“尼姆达”，以及最新的“sql蠕虫王”为代表。另外一种是针对个人用户的，通过网络(主要是电子邮件，恶意网页

32、形式)迅速传播的蠕虫病毒，以爱虫病毒，求职信病毒为例。防火墙设备可检测试图穿透防火墙系统的木马控制端和客户端程序;检测试图穿透防火墙系统的蠕虫程序。3.2.3 虚拟专网功能指在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络中传播。VPN的基本原理是通过IP包的封装及加密、认证等手段，从而达到安全的目的。3.2.4 其他功能1.IP地址/MAC地址绑定。可支持任一网络接口的IP地址和MAC地址的绑定，从而禁止用户随意修改IP地址。2.审计。要求对使用身份标识和认证的机制，文件的创建，修改，系统管理的所有操作以及其他有关安全事件进行记录，以便系统管理员进行安全跟踪。一般防火墙设备可以

33、提供三种日志审计功能:系统管理日志、流量日志和入侵日志。3.特殊站点封禁。内置特殊站点数据库，用户可选择是否封禁色情、反动和暴力等特殊站点。3.3 防火墙的原理及分类国际计算机安全委员会ICSA将防火墙分成三大类:包过滤防火墙，应用级代理服务器8以及状态包检测防火墙。3.3.1包过滤防火墙顾名思义，包过滤防火墙9就是把接收到的每个数据包同预先设定的包过滤规则相比较，从而决定是否阻塞或通过。过滤规则是基于网络层IP包包头信息的比较。包过滤防火墙工作在网络层，IP包的包头中包含源、目的IP地址，封装协议类型(TCP，UDP，ICMP或IP Tunnel)，TCP/UDP端口号，ICMP消息类型，T

34、CP包头中的ACK等等。如果接收的数据包与允许转发的规则相匹配，则数据包按正常情况处理;如果与拒绝转发的规则相匹配，则防火墙丢弃数据包;如果没有匹配规则，则按缺省情况处理。包过滤防火墙是速度最快的防火墙，这是因为它处于网络层，并且只是粗略的检查连接的正确性，所以在一般的传统路由器上就可以实现，对用户来说都是透明的。但是它的安全程度较低，很容易暴露内部网络，使之遭受攻击。例如，HTTP。通常是使用80端口。如果公司的安全策略允许内部员工访问网站，包过滤防火墙可能设置允所有80端口的连接通过，这时，意识到这一漏洞的外部人员可以在没有被认证的情况下进入私有网络。包过滤防火墙的维护比较困难，定义过滤规

35、则也比较复杂，因为任何一条过滤规则的不完善都会给网络黑客造成可乘之机。同时，包过滤防火墙一般无法提供完善的日志。3.3.2应用级代理防火墙应用级代理技术通过在OSI的最高层检查每一个IP包，从而实现安全策略。代理技术与包过滤技术完全不同，包过滤技术在网络层控制所有的信息流，而代理技术一直处理到应用层，在应用层实现防火墙功能。它的代理功能，就是在防火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。这一内建代理机制提供额外的安全，这是因为它将内部和外部网络隔离开来，使网络外部的黑客在防火墙内部网络上进行探测变得困难，更重要的是能够让网络管理员对网络服务进行全面的控制。但是，这将花费更多的处

36、理时间，并且由于代理防火墙支持的应用有限，每一种应用都需要安装和配置不同的应用代理程序。比如访问WEB站点的HTTP，用于文件传输的FTP，用于E一MAIL的SMTP/POP3等等。如果某种应用没有安装代理程序，那么该项服务就不被支持并且不能通过防火墙进行转发;同时升级一种应用时，相应的代理程序也必须同时升级。3.3.3代理服务型防火墙代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤10和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火

37、墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。3.3.4复合型防火墙由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品

38、。这种结合通常是以下两种方案。屏蔽主机防火墙体系结构，在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤器路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其他节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒机和分组过滤路由器共同构成了整个防火墙的安全基础。3.4 防火墙包过滤技术随着Internet的迅速发展，网络应用涉及到越来越多的领域

39、，网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题，使得网络安全问题越来越突出。因此，保护网络资源不被非授权访问，阻止病毒的传播感染显得尤为重要。就目前而言，对于局部网络的保护，防火墙仍然不失为一种有效的手段，防火墙技术主要分为包过滤和应用代理两类。其中包过滤作为最早发展起来的一种技术，其应用非常广泛。所谓包过滤，就是对流经网络防火墙的所有数据包逐个检查，并依据所制定的安全策略来决定数据包是通过还是不通过。包过滤最主要的优点在于其速度与透明性。也正是由于此。包过滤技术历经发展演变而未被淘汰。由于其主要是对数据包的过滤操作，所以数据包结构是包过滤技术的基础。考虑包过滤技术

40、的发展过程，可以认为包过滤的核心问题就是如何充分利用数据包中各个字段的信息，并结合安全策略来完成防火墙的功能11-153.4.1数据表结构当应用程序用TCP传送数据时，数据被送入协议栈中，然后逐个通过每一层直到被当作一串比特流送入网络。其中每一层对接收到的数据都要增加一些首部信息。TCP传给IP的数据单元称作TCP报文段(TCP Segment);IP传给网络接口层的数据单元称作IP数据报(IP Datagram)；通过以太网传输的比特流称作帧(Frame)。对于进防火墙的数据包，顺序正好与此相反，头部信息逐层剥掉。IP，TCP首部格式如表2-1表2-2所示。表2-1 IP首部格式版本首部长服

41、务类型总 长 度标识标志片偏移生存时间协议首部校验和源IP地址目的IP地址选项表2-2 TCP首部格式源端口号目的端口号序列号确认号首部长保留LRCTBLPBHRCTCJHHJR窗口大小TCP校验和紧急指针选项对于帧的头部信息主要是源/目的主机的MAC地址;IP数据报头部信息主要是源/目的主机的IP地址;TCP头部的主要字段包括源/目的端口、发送及确认序号、状态标识等。理论上讲，数据包所有头部信息以及有效载荷都可以作为判断包通过与否的依据，但是在实际情况中，包过滤技术上的问题主要是选取哪些字段信息，以及如何有效地利用这些字段信息并结合访问控制列表来执行包过滤操作，并尽可能提高安全控制力度。3.4.2 传统包过滤技术传统包过滤技术，大多是在IP层实现，它只是简单的对当前正在通过的单一数据包进行检测，查看源/目的IP地址、端口号以及协议类型(UDP/TCP)等，结合访问控制规则对数据包实施有选择的通过。这种技术实现简单，处理速度快，对应用透明，但是它存在的问题也很多，主要表现有:1.所有可能会用到的端口都必须静态放开。若允许建立HTTP连接，就需要开放1024以上所有端口，这无疑增加了被攻击的可能性。2.不能对数据传输状态进行判断。如接收到一个ACK数据包，就认为这是一个己建立的连