防火墻技術(shù)分析與研究畢業(yè)論文.doc

山東廣播電視大學(xué)畢業(yè)論文（設(shè)計(jì)）評(píng)審表 題 目_ 防火墻技術(shù)分析與研究 _ _姓 名 _ _ 教育層次 _?？芲學(xué) 號(hào) _1137001401533_ 省級(jí)電大 _專 業(yè) _ 計(jì)算機(jī)信息管理_ 市級(jí)電大 _指導(dǎo)教師 _ 教 學(xué) 點(diǎn) _防火墻技術(shù)分析與研究目 錄摘要1綜 述1一、防火墻的概述2（一）防火墻的概述2（二） 防火墻的背景與發(fā)展2（三） 防火墻的種類與類型21.數(shù)據(jù)包過(guò)濾型防火墻22.應(yīng)用級(jí)網(wǎng)關(guān)型防火墻33.代理服務(wù)型防火墻34.復(fù)合型防火墻4（四） 防火墻的功能41.訪問(wèn)控制42.防御功能53.管理功能54.記錄和報(bào)表功能5二、 網(wǎng)絡(luò)安全6（一） 網(wǎng)絡(luò)安全問(wèn)題61.網(wǎng)絡(luò)安全面臨的主要威脅62.影響網(wǎng)絡(luò)安全的因素6（二）網(wǎng)絡(luò)安全措施71.完善計(jì)算機(jī)安全立法72.網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)73.制定合理的網(wǎng)絡(luò)管理措施8三、防火墻技術(shù)的發(fā)展趨勢(shì)8（一） 防火墻包過(guò)濾技術(shù)發(fā)展趨勢(shì)8（二）防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)8（三）防火墻的系統(tǒng)管理發(fā)展趨勢(shì)9結(jié)束語(yǔ)9參考文獻(xiàn)：10防火墻技術(shù)分析與研究摘要防火墻是目前網(wǎng)絡(luò)安全領(lǐng)域廣泛使用的設(shè)備，其主要目的就是限制非法流量，以保護(hù)內(nèi)部子網(wǎng)。從部署位置來(lái)看，防火墻往往位于網(wǎng)絡(luò)出口，是內(nèi)部網(wǎng)和外部網(wǎng)之間的唯一通道，因此提高防火墻的性能、避免其成為瓶頸，就成為防火墻產(chǎn)品能否成功的一個(gè)關(guān)鍵問(wèn)題。防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類型，但總體來(lái)講可分為包過(guò)濾、應(yīng)用級(jí)網(wǎng)關(guān)和代理服務(wù)器等幾大類型。本文的重點(diǎn)是介紹了防火墻的類型與主要功能，通過(guò)防火墻的數(shù)據(jù)包進(jìn)行統(tǒng)計(jì)分析，并根據(jù)統(tǒng)計(jì)數(shù)據(jù)動(dòng)態(tài)調(diào)整過(guò)濾規(guī)則的相對(duì)次序，使得使用最頻繁的規(guī)則位于規(guī)則列表的最前面，使其和當(dāng)前網(wǎng)絡(luò)流量特性相一致，從而達(dá)到降低后繼數(shù)據(jù)包規(guī)則匹配時(shí)間來(lái)提高防火墻性能之目的。 關(guān)鍵詞：計(jì)算機(jī) 防火墻 Internet 安全 技術(shù)特征綜 述防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來(lái)越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互連環(huán)境之中，尤以Internet網(wǎng)絡(luò)為最甚。Internet的迅猛發(fā)展，使得防火墻產(chǎn)品在短短的幾年內(nèi)異軍突起，很快形成了一個(gè)產(chǎn)業(yè)。防火墻是一種網(wǎng)絡(luò)技術(shù)，最初它被定為一個(gè)實(shí)施某些安全策略保護(hù)一個(gè)可信網(wǎng)絡(luò)，用以防止來(lái)自一個(gè)不可信的網(wǎng)絡(luò)（如Internet）的攻擊的裝置。防火墻就是一個(gè)或多組網(wǎng)絡(luò)設(shè)備，可用來(lái)在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問(wèn)控制。它的實(shí)現(xiàn)有好多種方式，有的實(shí)現(xiàn)還是很復(fù)雜的，但基本原理卻很簡(jiǎn)單?？梢园阉胂蟪梢粋€(gè)開(kāi)關(guān)，一個(gè)是用來(lái)阻止輸入，另一個(gè)用來(lái)允許輸入。防火墻可以設(shè)置在不同的網(wǎng)絡(luò)之間（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全策略控制（允許、拒絕、檢測(cè)）出入網(wǎng)絡(luò)的信息流，且本身也具有較強(qiáng)的攻擊能力。它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，它有效的監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。一、防火墻的概述（一）防火墻的概述人們常在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢(shì)蔓延到別的寓所。在網(wǎng)絡(luò)上，如果一個(gè)網(wǎng)絡(luò)接到了Internet上面，它的用戶就可以訪問(wèn)外部世界并與之通信。但同時(shí)，外部世界也同樣可以訪問(wèn)該網(wǎng)絡(luò)并與之交互。為安全起見(jiàn)，可以在該網(wǎng)絡(luò)和Internet之間插入一個(gè)中介系統(tǒng)，豎起一道安全屏障。這道屏障的作用是阻斷來(lái)自外部通過(guò)網(wǎng)絡(luò)對(duì)本網(wǎng)絡(luò)的威脅和入侵，提供扼守本網(wǎng)絡(luò)的安全和審計(jì)的唯一關(guān)卡，它的作用與建筑的防火磚墻有類似之處，因此我們把這個(gè)屏障就叫做“防火墻”。防火墻就是一個(gè)位于電腦和它所連接的網(wǎng)絡(luò)之間的軟件。該電腦流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)此防火墻。防火墻是一個(gè)或一組系統(tǒng)，它在網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略。實(shí)現(xiàn)防火墻的實(shí)際方式各不相同，但是在原則上，防火墻可以被認(rèn)為是這樣一對(duì)機(jī)制：一種機(jī)制是攔阻傳輸流通行，另一種機(jī)制是允許傳輸流通過(guò)。一些防火墻偏重?cái)r阻傳輸流的通行，而另一些防火墻則偏重允許傳輸流通過(guò)。（2） 防火墻的背景與發(fā)展第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過(guò)濾(Packet filter)技術(shù)。第二、三代防火墻是在1989年，貝爾實(shí)驗(yàn)室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻，應(yīng)用層防火墻(代理防火墻)的初步結(jié)構(gòu)。 第四代防火墻是在1992年，由USC信息科學(xué)院的BobBraden開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾(Dynamic packet filter)技術(shù)的第四代防火墻，后來(lái)演變?yōu)槟壳八f(shuō)的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)。1994年，以色列的CheckPoint公司開(kāi)發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻在1998年，是NAI公司推出了一種自適應(yīng)代理(Adaptive proxy)技術(shù)，并在其產(chǎn)品Gauntlet Firewall for NT中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。（3） 防火墻的種類與類型防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類型，但總體來(lái)講可分為包過(guò)濾、應(yīng)用級(jí)網(wǎng)關(guān)和代理服務(wù)器等幾大類型。 1.數(shù)據(jù)包過(guò)濾型防火墻 數(shù)據(jù)包過(guò)濾(Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯，被稱為訪問(wèn)控制表(Access Control Table)。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素，或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。數(shù)據(jù)包過(guò)濾防火墻邏輯簡(jiǎn)單，價(jià)格便宜，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備，因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。數(shù)據(jù)包過(guò)濾防火墻的優(yōu)點(diǎn)：不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序，因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無(wú)關(guān)。數(shù)據(jù)包過(guò)濾防火墻的缺點(diǎn)：一是非法訪問(wèn)一旦突破防火墻，即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊；二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號(hào)都在數(shù)據(jù)包的頭部，很有可能被竊聽(tīng)或假冒。據(jù)以過(guò)濾判別的只有網(wǎng)絡(luò)層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過(guò)濾器中，過(guò)濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會(huì)受到很大地影響；由于缺少上下文關(guān)聯(lián)信息，不能有效地過(guò)濾如UDP、RPC一類的協(xié)議；另外，大多數(shù)過(guò)濾器中缺少審計(jì)和報(bào)警機(jī)制，且管理方式和用戶界面較差；對(duì)安全管理人員素質(zhì)要求高，建立安全規(guī)則時(shí)，必須對(duì)協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此，過(guò)濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)。 2.應(yīng)用級(jí)網(wǎng)關(guān)型防火墻應(yīng)用級(jí)網(wǎng)關(guān)(Application Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過(guò)濾邏輯，并在過(guò)濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。 數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)防火墻有一個(gè)共同的特點(diǎn)，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過(guò)。一旦滿足邏輯，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這有利于實(shí)施非法訪問(wèn)和攻擊。 3.代理服務(wù)型防火墻代理服務(wù)(Proxy Service)也稱鏈路級(jí)網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。它是針對(duì)數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。代理服務(wù)也對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時(shí)也常結(jié)合入過(guò)濾器的功能。它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。 4.復(fù)合型防火墻由于對(duì)更高安全性的要求，常把基于包過(guò)濾的方法與基于應(yīng)用代理的方法結(jié)合起來(lái)，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機(jī)防火墻體系結(jié)構(gòu)：在該結(jié)構(gòu)中，分組過(guò)濾路由器或防火墻與Internet相連，同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過(guò)在分組過(guò)濾路由器或防火墻上過(guò)濾規(guī)則的設(shè)置，使堡壘機(jī)成為Internet上其它節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個(gè)分組過(guò)濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘主機(jī)和分組過(guò)濾路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。（4） 防火墻的功能防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)電腦。可以將防火墻配置成許多不同保護(hù)級(jí)別。防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過(guò)濾掉一些攻擊，以免其在目標(biāo)電腦上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信。最后，它可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn)，從而防止來(lái)自不明入侵者的所有通信。 1.訪問(wèn)控制功能通過(guò)防火墻的包內(nèi)容設(shè)置:包過(guò)濾防火墻的過(guò)濾規(guī)則集由若干條規(guī)則組成，它應(yīng)涵蓋對(duì)所有出入防火墻的數(shù)據(jù)包的處理方法，對(duì)于沒(méi)有明確定義的數(shù)據(jù)包，應(yīng)該有一個(gè)缺省處理方法;過(guò)濾規(guī)則應(yīng)易于理解，易于編輯修改;同時(shí)應(yīng)具備一致性檢測(cè)機(jī)制，防止沖突。IP包過(guò)濾的依據(jù)主要是根據(jù)IP包頭部信息如源地址和目的地址進(jìn)行過(guò)濾，如果IP頭中的協(xié)議字段表明封裝協(xié)議為ICMP、TCP或UDP，那么再根據(jù)ICMP頭信息(類型和代碼值)、TCP頭信息(源端口和目的端口)或UDP頭信息(源端口和目的端口)執(zhí)行過(guò)濾，其他的還有MAC地址過(guò)濾。應(yīng)用層協(xié)議過(guò)濾要求主要包括FTP過(guò)濾、基于RPC的應(yīng)用服務(wù)過(guò)濾、基于UDP的應(yīng)用服務(wù)過(guò)濾要求以及動(dòng)態(tài)包過(guò)濾技術(shù)等。 在應(yīng)用層提供代理支持:指防火墻是否支持應(yīng)用層代理，如HTTP、FTP、TELNET、SNMP等。 在傳輸層提供代理支持:指防火墻是否支持傳輸層代理服務(wù)。允許FTP命令防止某些類型文件通過(guò)防火墻:指是否支持FTP文件類型過(guò)濾。 用戶操作的代理類型:應(yīng)用層高級(jí)代理功能，如HTTP、POP3 。 支持網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT):NAT指將一個(gè)IP地址域映射到另一個(gè)IP地址域，從而為終端主機(jī)提供透明路由的方法。NAT常用于私有地址域與公有地址域的轉(zhuǎn)換以解決IP地址匱乏問(wèn)題。 支持硬件口令、智能卡: 是否支持硬件口令、智能卡等，這是一種比較安全的身份認(rèn)證技術(shù)。 2.防御功能支持病毒掃描: 是否支持防病毒功能，如掃描電子郵件附件中的DOC和ZIP文件，F(xiàn)TP中的下載或上載文件內(nèi)容，以發(fā)現(xiàn)其中包含的危險(xiǎn)信息。 提供內(nèi)容過(guò)濾: 是否支持內(nèi)容過(guò)濾，信息內(nèi)容過(guò)濾指防火墻在HTTP、FTP、SMTP等協(xié)議層，根據(jù)過(guò)濾條件，對(duì)信息流進(jìn)行控制。防火墻控制的結(jié)果是:允許通過(guò)、修改后允許通過(guò)、禁止通過(guò)、記錄日志、報(bào)警等。 過(guò)濾內(nèi)容主要指URL、HTTP攜帶的信息:Java Applet、 JavaScript、ActiveX和電子郵件中的Subject、To、From域等。 能防御的DoS攻擊類型:拒絕服務(wù)攻擊(DoS)就是攻擊者過(guò)多地占用共享資源，導(dǎo)致服務(wù)器超載或系統(tǒng)資源耗盡，而使其他用戶無(wú)法享有服務(wù)或沒(méi)有資源可用。防火墻通過(guò)控制、檢測(cè)與報(bào)警等機(jī)制，可在一定程度上防止或減輕DoS黑客攻擊。 阻止ActiveX、Java、Cookies、Javascript侵入:屬于HTTP內(nèi)容過(guò)濾，防火墻應(yīng)該能夠從HTTP頁(yè)面剝離Java Applet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測(cè)出危險(xiǎn)代碼或病毒，并向?yàn)g覽器用戶報(bào)警。同時(shí)，能夠過(guò)濾用戶上載的CGI、ASP等程序，當(dāng)發(fā)現(xiàn)危險(xiǎn)代碼時(shí)，向服務(wù)器報(bào)警。 3.管理功能通過(guò)集成策略集中管理多個(gè)防火墻:是否支持集中管理，防火墻管理是指對(duì)防火墻具有管理權(quán)限的管理員行為和防火墻運(yùn)行狀態(tài)的管理，管理員的行為主要包括:通過(guò)防火墻的身份鑒別，編寫防火墻的安全規(guī)則，配置防火墻的安全參數(shù)，查看防火墻的日志等。防火墻的管理一般分為本地管理、遠(yuǎn)程管理和集中管理等。本地管理:是指管理員通過(guò)防火墻的Console口或防火墻提供的鍵盤和顯示器對(duì)防火墻進(jìn)行配置管理。 遠(yuǎn)程管理:是指管理員通過(guò)以太網(wǎng)或防火墻提供的廣域網(wǎng)接口對(duì)防火墻進(jìn)行管理，管理的通信協(xié)議可以基于FTP、TELNET、HTTP等。 支持帶寬管理:防火墻能夠根據(jù)當(dāng)前的流量動(dòng)態(tài)調(diào)整某些客戶端占用的帶寬。 4.記錄和報(bào)表功能 防火墻處理完整日志的方法:防火墻規(guī)定了對(duì)于符合條件的報(bào)文做日志，應(yīng)該提供日志信息管理和存儲(chǔ)方法。 提供自動(dòng)日志掃描:指防火墻是否具有日志的自動(dòng)分析和掃描功能，這可以獲得更詳細(xì)的統(tǒng)計(jì)結(jié)果，達(dá)到事后分析、亡羊補(bǔ)牢的目的。提供自動(dòng)報(bào)表，日志報(bào)告書(shū)寫器:防火墻實(shí)現(xiàn)的一種輸出方式，提供自動(dòng)報(bào)表和日志報(bào)告功能。 警告通知機(jī)制:防火墻應(yīng)提供告警機(jī)制，在檢測(cè)到入侵網(wǎng)絡(luò)以及設(shè)備運(yùn)轉(zhuǎn)異常情況時(shí)，通過(guò)告警來(lái)通知管理員采取必要的措施，包括E-mail、呼機(jī)、手機(jī)等。 提供簡(jiǎn)要報(bào)表(按照用戶ID或IP 地址):防火墻實(shí)現(xiàn)的一種輸出方式，按要求提供報(bào)表分類打印。 提供實(shí)時(shí)統(tǒng)計(jì):防火墻實(shí)現(xiàn)的一種輸出方式，日志分析后所獲得的智能統(tǒng)計(jì)結(jié)果，一般是圖表顯示。2、 網(wǎng)絡(luò)安全（1） 網(wǎng)絡(luò)安全問(wèn)題 安全，通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機(jī)制。我國(guó)對(duì)于計(jì)算機(jī)安全的定義是：“計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運(yùn)行?！?1.網(wǎng)絡(luò)安全面臨的主要威脅 一般認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來(lái)自計(jì)算機(jī)病毒、黑客的攻擊和拒絕服務(wù)攻擊三個(gè)方面。 1）計(jì)算機(jī)病毒的侵襲。當(dāng)前，活性病毒達(dá)14000多種，計(jì)算機(jī)病毒侵入網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)資源進(jìn)行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個(gè)網(wǎng)絡(luò)的癱瘓。 2）黑客侵襲。即黑客非法進(jìn)入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。例如通過(guò)隱蔽通道進(jìn)行非法活動(dòng)；采用匿名用戶訪問(wèn)進(jìn)行攻擊；通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)獲取網(wǎng)上用戶賬號(hào)和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。 3）拒絕服務(wù)攻擊。例如“點(diǎn)在郵件炸彈”，它的表現(xiàn)形式是用戶在很短的時(shí)間內(nèi)收到大量無(wú)用的電子郵件，從而影響正常業(yè)務(wù)的運(yùn)行。嚴(yán)重時(shí)會(huì)使系統(tǒng)關(guān)機(jī)，網(wǎng)絡(luò)癱瘓。 具體講，網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權(quán)訪問(wèn)、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶等。2.影響網(wǎng)絡(luò)安全的因素從技術(shù)講，計(jì)算機(jī)安全分為3種： （1）實(shí)體的安全。它保證硬件和軟件本身的安全。 （2）運(yùn)行環(huán)境的安全性。它保證計(jì)算機(jī)能在良好的環(huán)境里持續(xù)工作。 （3）信息的安全性。它保障信息不會(huì)被非法閱讀、修改和泄漏。 隨著網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)的安全問(wèn)題也延伸到了計(jì)算機(jī)網(wǎng)絡(luò)。 1.單機(jī)安全購(gòu)買單機(jī)時(shí)，型號(hào)的選擇；計(jì)算機(jī)的運(yùn)行環(huán)境（電壓、濕度、防塵條件、強(qiáng)電磁場(chǎng)以及自然災(zāi)害等）；計(jì)算機(jī)的操作等，這些都是影響單機(jī)安全性的因素。 3.網(wǎng)絡(luò)安全 影響網(wǎng)絡(luò)安全的因素有：節(jié)點(diǎn)的安全、數(shù)據(jù)的安全（保存和傳輸方面）、文件的安全等。（二）網(wǎng)絡(luò)安全措施網(wǎng)絡(luò)信息安全涉及方方面面的問(wèn)題，是一個(gè)復(fù)雜的系統(tǒng)。一個(gè)完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。二是技術(shù)方面，如信息加密存儲(chǔ)傳輸、身份認(rèn)證、防火墻技術(shù)、網(wǎng)絡(luò)防毒等。三是管理措施，包括技術(shù)與社會(huì)措施。主要措施有：提供實(shí)時(shí)改變安全策略的能力、實(shí)時(shí)監(jiān)控企業(yè)安全狀態(tài)、對(duì)現(xiàn)有的安全系統(tǒng)實(shí)施漏洞檢查等，以防患于未然。這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全的保障，管理和審計(jì)是安全的防線。1.完善計(jì)算機(jī)安全立法 我國(guó)先后出臺(tái)的有關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。但目前，在這方面的立法還遠(yuǎn)不能適應(yīng)形勢(shì)發(fā)展的需要,應(yīng)該在對(duì)控制計(jì)算機(jī)犯罪的國(guó)內(nèi)外立法評(píng)價(jià)的基礎(chǔ)上，完善我國(guó)計(jì)算機(jī)犯罪立法，以便為確保我國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)健康有序的發(fā)展提供強(qiáng)有力的保障。2.網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)(1)數(shù)據(jù)加密 加密就是把明文變成密文，從而使未被授權(quán)的人看不懂它。有兩種主要的加密類型：私匙加密和公匙加密。(2)認(rèn)證 對(duì)合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對(duì)公司信息系統(tǒng)的訪問(wèn)，使用認(rèn)證機(jī)制還可以防止合法用戶訪問(wèn)他們無(wú)權(quán)查看的信息。(3)防火墻技術(shù) 防火墻就是用來(lái)阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問(wèn)。 目前，防火墻采取的技術(shù)，主要是包過(guò)濾應(yīng)用網(wǎng)關(guān)、子網(wǎng)屏蔽等。但是，防火墻技術(shù)在網(wǎng)絡(luò)安全防護(hù)方面也存在一些不足，防火墻不能防止內(nèi)部攻擊防火墻不能取代殺毒軟件，防火墻不易防止反彈端口木馬攻擊等。 (4)檢測(cè)系統(tǒng)入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全研究的一個(gè)熱點(diǎn)，是一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部入侵、外部入侵和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。隨著時(shí)代的發(fā)展，入侵檢測(cè)技術(shù)將朝著三個(gè)方向發(fā)展:分布式入侵檢測(cè)、智能化入侵檢測(cè)和全面的安全防御方案。 (5)防病毒技術(shù) 隨著計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)病毒變得越來(lái)越復(fù)雜和高級(jí)，計(jì)算機(jī)病毒防范不僅僅是一個(gè)產(chǎn)品、一個(gè)策略或一個(gè)制度，它是一個(gè)匯集了硬件、軟件、網(wǎng)絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。3.制定合理的網(wǎng)絡(luò)管理措施（1）加強(qiáng)網(wǎng)絡(luò)用戶及有關(guān)人員的安全意識(shí)、職業(yè)道德和事業(yè)心、責(zé)任心的培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。（2）建立完善的安全管理體制和制度，以起到對(duì)管理人員和操作人員鼓勵(lì)和監(jiān)督的作用。（3）管理措施要標(biāo)準(zhǔn)化、規(guī)范化和科學(xué)化。三、防火墻技術(shù)的發(fā)展趨勢(shì) 防火墻未來(lái)的技術(shù)發(fā)展趨勢(shì)隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也有一些新的發(fā)展趨勢(shì)。這主要可以從包過(guò)濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來(lái)體現(xiàn)。（1） 防火墻包過(guò)濾技術(shù)發(fā)展趨勢(shì) 1. 一些防火墻廠商把系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無(wú)線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗(yàn)證的防火墻通常是采用應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)的，而包過(guò)濾技術(shù)的防火墻不具有。 2.多級(jí)過(guò)濾技術(shù)是防火墻采用多級(jí)過(guò)濾措施，并輔以鑒別手段。在分組過(guò)濾（網(wǎng)絡(luò)層）一級(jí)，過(guò)濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級(jí)，遵循過(guò)濾規(guī)則，過(guò)濾掉所有禁止出或入的協(xié)議和有害數(shù)據(jù)包；在應(yīng)用網(wǎng)關(guān)（應(yīng)用層）一級(jí)，利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供的所用通用服務(wù)。這是針對(duì)以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過(guò)濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過(guò)濾技術(shù)的不足。 3.使防火墻具有病毒防護(hù)功能?，F(xiàn)在通常被稱之為“病毒防火墻”，當(dāng)然目前主要還是在個(gè)人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问?，更容易?shí)現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。（二）防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)隨著網(wǎng)絡(luò)應(yīng)用的增加，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會(huì)越來(lái)越普遍，它要求數(shù)據(jù)穿過(guò)防火墻所帶來(lái)的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開(kāi)發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來(lái)，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性。基于ASIC的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時(shí)滿足來(lái)自靈活性和運(yùn)行性能的要求。（三）防火墻的系統(tǒng)管理發(fā)展趨勢(shì) 防火墻的系統(tǒng)管理也有一些發(fā)展趨勢(shì)，主要體現(xiàn)在以下幾個(gè)方面：（1）首先是集中式管理，分布式和分層的安全結(jié)構(gòu)是將來(lái)的趨勢(shì)。集中式管理可以降低管理成本，并保證在大型網(wǎng)絡(luò)中安全策略的一致性?？焖夙憫?yīng)和快速防御也要求采用集中式管理系統(tǒng)。也就是目前所稱的“分布式防火墻”和“嵌入式防火墻”。（2）強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能。這兩點(diǎn)的應(yīng)用可以更早地發(fā)現(xiàn)潛在的威脅并預(yù)防攻擊的發(fā)生。日志功能還可以管理員有效地發(fā)現(xiàn)系統(tǒng)中存的安全漏洞，及時(shí)地調(diào)整安全策略等各方面管理具有非常大的幫助。不過(guò)具有這種功能的防火墻通常是比較高級(jí)的，早期的靜態(tài)包過(guò)濾防火墻是不具有的。（3）網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，現(xiàn)在有一種提法，叫做“建立以防火墻為核心的網(wǎng)絡(luò)安全體系”。因?yàn)槲覀冊(cè)诂F(xiàn)實(shí)中發(fā)現(xiàn)，僅現(xiàn)有的防火墻技術(shù)難以滿足當(dāng)前網(wǎng)絡(luò)安全需求。通過(guò)建立一個(gè)以防火墻為核心的安全體系，就可以為內(nèi)部網(wǎng)絡(luò)系統(tǒng)部署多道安全防線，各種安全技術(shù)各司其職，從各方面防御外來(lái)入侵。結(jié)束語(yǔ)隨著Internet/Intranet技術(shù)的飛速發(fā)展和應(yīng)用，網(wǎng)絡(luò)安全越來(lái)越引起人們的關(guān)注。如何保護(hù)企業(yè)和個(gè)人在網(wǎng)絡(luò)上的敏感信息不受侵犯己成為當(dāng)前擺在人們面前的一個(gè)重大問(wèn)題。防火墻技術(shù)作為目前用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，它主要是用來(lái)拒絕未經(jīng)授權(quán)用戶的訪問(wèn)，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時(shí)允許合法用戶不受妨礙的訪問(wèn)網(wǎng)絡(luò)資源。如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)安全。算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)網(wǎng)絡(luò)安全就像矛和盾，自計(jì)算機(jī)誕生之日起就彼消此長(zhǎng)。但是沒(méi)有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問(wèn)題，防火墻雖然能對(duì)來(lái)自外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的保護(hù)，但對(duì)于來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊卻無(wú)能為力。在許多人的思想中，特別是電腦的初學(xué)者，都對(duì)防火墻有一種錯(cuò)誤的認(rèn)識(shí)。即分不清什么是防火墻以及殺毒軟件，認(rèn)為殺毒軟件就可以代替防火墻，所以就掉以輕心，成了網(wǎng)絡(luò)的受害者。其實(shí)殺毒軟件和防火墻有很大的不同。即便此刻，我也只能說(shuō)對(duì)防火墻的了解只有冰山一角。在論文完成之際，我的內(nèi)心無(wú)法平靜，在謝論文的過(guò)程中對(duì)防火墻的認(rèn)識(shí)又更增進(jìn)了一步，“學(xué)無(wú)止境”這句話很值得我們?nèi)ヂw會(huì)。參考文獻(xiàn)：【1】 謝希仁老師的 計(jì)算機(jī)網(wǎng)絡(luò)課件 【2】 百度文庫(kù) 防火墻的配置 【3】 中國(guó)國(guó)際招標(biāo)網(wǎng) 網(wǎng)絡(luò)防火墻（含VPN模塊） 【4】 ISA server 2000中文寶典 【5】 2012年5月 廣州羊城晚報(bào) 【6】 中國(guó)新聞網(wǎng) 浙江新聞 【7】 馬錦： 計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)人民郵電出版社 【8】 楚狂： 網(wǎng)絡(luò)安全與防火墻技術(shù) 【9】 張德蘭主編： 網(wǎng)絡(luò)安全，山東大學(xué)出版社2006年版 【10】防火墻/UTM論壇-ZOL中關(guān)村在線 中國(guó)網(wǎng)絡(luò)防火墻 學(xué)生（簽字）： 指導(dǎo)教師（簽字）： 年 月 日11