防火墻技術分析與研究畢業(yè)論文.doc

《防火墻技術分析與研究畢業(yè)論文.doc》由會員分享，可在線閱讀，更多相關《防火墻技術分析與研究畢業(yè)論文.doc（13頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、山東廣播電視大學畢業(yè)論文（設計）評審表 題 目_ 防火墻技術分析與研究 _ _姓 名 _ _ 教育層次 _?？芲學 號 _1137001401533_ 省級電大 _專 業(yè) _ 計算機信息管理_ 市級電大 _指導教師 _ 教 學 點 _防火墻技術分析與研究目 錄摘要1綜 述1一、防火墻的概述2（一）防火墻的概述2（二） 防火墻的背景與發(fā)展2（三） 防火墻的種類與類型21.數(shù)據(jù)包過濾型防火墻22.應用級網(wǎng)關型防火墻33.代理服務型防火墻34.復合型防火墻4（四） 防火墻的功能41.訪問控制42.防御功能53.管理功能54.記錄和報表功能5二、 網(wǎng)絡安全6（一） 網(wǎng)絡安全問題61.網(wǎng)絡安全面臨的主要

2、威脅62.影響網(wǎng)絡安全的因素6（二）網(wǎng)絡安全措施71.完善計算機安全立法72.網(wǎng)絡安全的關鍵技術73.制定合理的網(wǎng)絡管理措施8三、防火墻技術的發(fā)展趨勢8（一） 防火墻包過濾技術發(fā)展趨勢8（二）防火墻的體系結構發(fā)展趨勢8（三）防火墻的系統(tǒng)管理發(fā)展趨勢9結束語9參考文獻：10防火墻技術分析與研究摘要防火墻是目前網(wǎng)絡安全領域廣泛使用的設備，其主要目的就是限制非法流量，以保護內部子網(wǎng)。從部署位置來看，防火墻往往位于網(wǎng)絡出口，是內部網(wǎng)和外部網(wǎng)之間的唯一通道，因此提高防火墻的性能、避免其成為瓶頸，就成為防火墻產(chǎn)品能否成功的一個關鍵問題。防火墻技術可根據(jù)防范的方式和側重點的不同而分為很多種類型，但總體來講可

3、分為包過濾、應用級網(wǎng)關和代理服務器等幾大類型。本文的重點是介紹了防火墻的類型與主要功能，通過防火墻的數(shù)據(jù)包進行統(tǒng)計分析，并根據(jù)統(tǒng)計數(shù)據(jù)動態(tài)調整過濾規(guī)則的相對次序，使得使用最頻繁的規(guī)則位于規(guī)則列表的最前面，使其和當前網(wǎng)絡流量特性相一致，從而達到降低后繼數(shù)據(jù)包規(guī)則匹配時間來提高防火墻性能之目的。 關鍵詞：計算機 防火墻 Internet 安全 技術特征綜 述防火墻技術是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術，越來越多地應用于專用網(wǎng)絡與公用網(wǎng)絡的互連環(huán)境之中，尤以Internet網(wǎng)絡為最甚。Internet的迅猛發(fā)展，使得防火墻產(chǎn)品在短短的幾年內異軍突起，很快形成了一個產(chǎn)業(yè)。防火

4、墻是一種網(wǎng)絡技術，最初它被定為一個實施某些安全策略保護一個可信網(wǎng)絡，用以防止來自一個不可信的網(wǎng)絡（如Internet）的攻擊的裝置。防火墻就是一個或多組網(wǎng)絡設備，可用來在兩個或多個網(wǎng)絡間加強訪問控制。它的實現(xiàn)有好多種方式，有的實現(xiàn)還是很復雜的，但基本原理卻很簡單。可以把它想象成一個開關，一個是用來阻止輸入，另一個用來允許輸入。防火墻可以設置在不同的網(wǎng)絡之間（如可信任的企業(yè)內部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡安全域之間。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全策略控制（允許、拒絕、檢測）出入網(wǎng)絡的信息流，且本身也具有較強的攻擊能力。它是提供信息安全服務、實現(xiàn)網(wǎng)絡和信息安全的基礎設

5、施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效的監(jiān)控了內部網(wǎng)和Internet之間的任何活動，保證了內部網(wǎng)絡的安全。一、防火墻的概述（一）防火墻的概述人們常在寓所之間砌起一道磚墻，一旦火災發(fā)生，它能夠防止火勢蔓延到別的寓所。在網(wǎng)絡上，如果一個網(wǎng)絡接到了Internet上面，它的用戶就可以訪問外部世界并與之通信。但同時，外部世界也同樣可以訪問該網(wǎng)絡并與之交互。為安全起見，可以在該網(wǎng)絡和Internet之間插入一個中介系統(tǒng)，豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網(wǎng)絡對本網(wǎng)絡的威脅和入侵，提供扼守本網(wǎng)絡的安全和審計的唯一關卡，它的作用與建筑的防火磚墻有類似之處，因此

6、我們把這個屏障就叫做“防火墻”。防火墻就是一個位于電腦和它所連接的網(wǎng)絡之間的軟件。該電腦流入流出的所有網(wǎng)絡通信均要經(jīng)過此防火墻。防火墻是一個或一組系統(tǒng)，它在網(wǎng)絡之間執(zhí)行訪問控制策略。實現(xiàn)防火墻的實際方式各不相同，但是在原則上，防火墻可以被認為是這樣一對機制：一種機制是攔阻傳輸流通行，另一種機制是允許傳輸流通過。一些防火墻偏重攔阻傳輸流的通行，而另一些防火墻則偏重允許傳輸流通過。（2） 防火墻的背景與發(fā)展第一代防火墻技術幾乎與路由器同時出現(xiàn)，采用了包過濾(Packet filter)技術。第二、三代防火墻是在1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第

7、二代防火墻，即電路層防火墻，同時提出了第三代防火墻，應用層防火墻(代理防火墻)的初步結構。 第四代防火墻是在1992年，由USC信息科學院的BobBraden開發(fā)出了基于動態(tài)包過濾(Dynamic packet filter)技術的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術。1994年，以色列的CheckPoint公司開發(fā)出了第一個采用這種技術的商業(yè)化的產(chǎn)品。第五代防火墻在1998年，是NAI公司推出了一種自適應代理(Adaptive proxy)技術，并在其產(chǎn)品Gauntlet Firewall for NT中得以實現(xiàn)，給代理類型的防火墻賦予了全

8、新的意義，可以稱之為第五代防火墻。（3） 防火墻的種類與類型防火墻技術可根據(jù)防范的方式和側重點的不同而分為很多種類型，但總體來講可分為包過濾、應用級網(wǎng)關和代理服務器等幾大類型。 1.數(shù)據(jù)包過濾型防火墻 數(shù)據(jù)包過濾(Packet Filtering)技術是在網(wǎng)絡層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系統(tǒng)內設置的過濾邏輯，被稱為訪問控制表(Access Control Table)。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。數(shù)據(jù)包過濾防火墻邏輯簡單，價格便宜，易于安裝和使用，網(wǎng)絡性能和透明性好，它通常安裝在路由器上。路由器是內部網(wǎng)

9、絡與Internet連接必不可少的設備，因此在原有網(wǎng)絡上增加這樣的防火墻幾乎不需要任何額外的費用。數(shù)據(jù)包過濾防火墻的優(yōu)點：不用改動客戶機和主機上的應用程序，因為它工作在網(wǎng)絡層和傳輸層，與應用層無關。數(shù)據(jù)包過濾防火墻的缺點：一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊；二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。據(jù)以過濾判別的只有網(wǎng)絡層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會受到很大地影響；由于缺少上下文關聯(lián)信息，不能有效地過濾如UDP、RPC一類的協(xié)議；

10、另外，大多數(shù)過濾器中缺少審計和報警機制，且管理方式和用戶界面較差；對安全管理人員素質要求高，建立安全規(guī)則時，必須對協(xié)議本身及其在不同應用程序中的作用有較深入的理解。因此，過濾器通常是和應用網(wǎng)關配合使用，共同組成防火墻系統(tǒng)。 2.應用級網(wǎng)關型防火墻應用級網(wǎng)關(Application Level Gateways)是在網(wǎng)絡應用層上建立協(xié)議過濾和轉發(fā)功能。它針對特定的網(wǎng)絡應用服務協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進行必要的分析、登記和統(tǒng)計，形成報告。實際中的應用網(wǎng)關通常安裝在專用工作站系統(tǒng)上。 數(shù)據(jù)包過濾和應用網(wǎng)關防火墻有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包

11、通過。一旦滿足邏輯，則防火墻內外的計算機系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內部的網(wǎng)絡結構和運行狀態(tài)，這有利于實施非法訪問和攻擊。 3.代理服務型防火墻代理服務(Proxy Service)也稱鏈路級網(wǎng)關或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應用級網(wǎng)關一類。它是針對數(shù)據(jù)包過濾和應用網(wǎng)關技術存在的缺點而引入的防火墻技術，其特點是將所有跨越防火墻的網(wǎng)絡通信鏈路分為兩段。防火墻內外計算機系統(tǒng)間應用層的“鏈接”，由兩個終止代理服務器上的“鏈接”來實現(xiàn)，外部計算機的網(wǎng)絡鏈路只能到達代理服務器，從而起到了隔離防火墻內外

12、計算機系統(tǒng)的作用。代理服務也對過往的數(shù)據(jù)包進行分析、注冊登記，形成報告，同時當發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡管理員發(fā)出警報，并保留攻擊痕跡。應用代理型防火墻是內部網(wǎng)與外部網(wǎng)的隔離點，起著監(jiān)視和隔絕應用層通信流的作用。同時也常結合入過濾器的功能。它工作在OSI模型的最高層，掌握著應用系統(tǒng)中可用作安全決策的全部信息。 4.復合型防火墻由于對更高安全性的要求，常把基于包過濾的方法與基于應用代理的方法結合起來，形成復合型防火墻產(chǎn)品。這種結合通常是以下兩種方案。屏蔽主機防火墻體系結構：在該結構中，分組過濾路由器或防火墻與Internet相連，同時一個堡壘機安裝在內部網(wǎng)絡，通過在分組過濾路由器或防火墻上過濾規(guī)則

13、的設置，使堡壘機成為Internet上其它節(jié)點所能到達的唯一節(jié)點，這確保了內部網(wǎng)絡不受未授權外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結構：堡壘機放在一個子網(wǎng)內，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內部網(wǎng)絡分離。在屏蔽子網(wǎng)防火墻體系結構中，堡壘主機和分組過濾路由器共同構成了整個防火墻的安全基礎。（4） 防火墻的功能防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標電腦?？梢詫⒎阑饓ε渲贸稍S多不同保護級別。防火墻對流經(jīng)它的網(wǎng)絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標電腦上被執(zhí)行。防火墻還可以關閉不使用的端口。而且它還能禁止

14、特定端口的流出通信。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。 1.訪問控制功能通過防火墻的包內容設置:包過濾防火墻的過濾規(guī)則集由若干條規(guī)則組成，它應涵蓋對所有出入防火墻的數(shù)據(jù)包的處理方法，對于沒有明確定義的數(shù)據(jù)包，應該有一個缺省處理方法;過濾規(guī)則應易于理解，易于編輯修改;同時應具備一致性檢測機制，防止沖突。IP包過濾的依據(jù)主要是根據(jù)IP包頭部信息如源地址和目的地址進行過濾，如果IP頭中的協(xié)議字段表明封裝協(xié)議為ICMP、TCP或UDP，那么再根據(jù)ICMP頭信息(類型和代碼值)、TCP頭信息(源端口和目的端口)或UDP頭信息(源端口和目的端口)執(zhí)行過濾，其他的還有MA

15、C地址過濾。應用層協(xié)議過濾要求主要包括FTP過濾、基于RPC的應用服務過濾、基于UDP的應用服務過濾要求以及動態(tài)包過濾技術等。 在應用層提供代理支持:指防火墻是否支持應用層代理，如HTTP、FTP、TELNET、SNMP等。 在傳輸層提供代理支持:指防火墻是否支持傳輸層代理服務。允許FTP命令防止某些類型文件通過防火墻:指是否支持FTP文件類型過濾。 用戶操作的代理類型:應用層高級代理功能，如HTTP、POP3 。 支持網(wǎng)絡地址轉換(NAT):NAT指將一個IP地址域映射到另一個IP地址域，從而為終端主機提供透明路由的方法。NAT常用于私有地址域與公有地址域的轉換以解決IP地址匱乏問題。 支持

16、硬件口令、智能卡: 是否支持硬件口令、智能卡等，這是一種比較安全的身份認證技術。 2.防御功能支持病毒掃描: 是否支持防病毒功能，如掃描電子郵件附件中的DOC和ZIP文件，F(xiàn)TP中的下載或上載文件內容，以發(fā)現(xiàn)其中包含的危險信息。 提供內容過濾: 是否支持內容過濾，信息內容過濾指防火墻在HTTP、FTP、SMTP等協(xié)議層，根據(jù)過濾條件，對信息流進行控制。防火墻控制的結果是:允許通過、修改后允許通過、禁止通過、記錄日志、報警等。 過濾內容主要指URL、HTTP攜帶的信息:Java Applet、 JavaScript、ActiveX和電子郵件中的Subject、To、From域等。 能防御的DoS

17、攻擊類型:拒絕服務攻擊(DoS)就是攻擊者過多地占用共享資源，導致服務器超載或系統(tǒng)資源耗盡，而使其他用戶無法享有服務或沒有資源可用。防火墻通過控制、檢測與報警等機制，可在一定程度上防止或減輕DoS黑客攻擊。 阻止ActiveX、Java、Cookies、Javascript侵入:屬于HTTP內容過濾，防火墻應該能夠從HTTP頁面剝離Java Applet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測出危險代碼或病毒，并向瀏覽器用戶報警。同時，能夠過濾用戶上載的CGI、ASP等程序，當發(fā)現(xiàn)危險代碼時，向服務器報警。 3.管理功能通過集成策略集中管理多個防火墻:是否支持集中管理

18、，防火墻管理是指對防火墻具有管理權限的管理員行為和防火墻運行狀態(tài)的管理，管理員的行為主要包括:通過防火墻的身份鑒別，編寫防火墻的安全規(guī)則，配置防火墻的安全參數(shù)，查看防火墻的日志等。防火墻的管理一般分為本地管理、遠程管理和集中管理等。本地管理:是指管理員通過防火墻的Console口或防火墻提供的鍵盤和顯示器對防火墻進行配置管理。 遠程管理:是指管理員通過以太網(wǎng)或防火墻提供的廣域網(wǎng)接口對防火墻進行管理，管理的通信協(xié)議可以基于FTP、TELNET、HTTP等。 支持帶寬管理:防火墻能夠根據(jù)當前的流量動態(tài)調整某些客戶端占用的帶寬。 4.記錄和報表功能 防火墻處理完整日志的方法:防火墻規(guī)定了對于符合條件

19、的報文做日志，應該提供日志信息管理和存儲方法。 提供自動日志掃描:指防火墻是否具有日志的自動分析和掃描功能，這可以獲得更詳細的統(tǒng)計結果，達到事后分析、亡羊補牢的目的。提供自動報表，日志報告書寫器:防火墻實現(xiàn)的一種輸出方式，提供自動報表和日志報告功能。 警告通知機制:防火墻應提供告警機制，在檢測到入侵網(wǎng)絡以及設備運轉異常情況時，通過告警來通知管理員采取必要的措施，包括E-mail、呼機、手機等。 提供簡要報表(按照用戶ID或IP 地址):防火墻實現(xiàn)的一種輸出方式，按要求提供報表分類打印。 提供實時統(tǒng)計:防火墻實現(xiàn)的一種輸出方式，日志分析后所獲得的智能統(tǒng)計結果，一般是圖表顯示。2、 網(wǎng)絡安全（1）

20、 網(wǎng)絡安全問題 安全，通常是指只有被授權的人才能使用其相應資源的一種機制。我國對于計算機安全的定義是：“計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運行?！?1.網(wǎng)絡安全面臨的主要威脅 一般認為，計算機網(wǎng)絡系統(tǒng)的安全威脅主要來自計算機病毒、黑客的攻擊和拒絕服務攻擊三個方面。 1）計算機病毒的侵襲。當前，活性病毒達14000多種，計算機病毒侵入網(wǎng)絡，對網(wǎng)絡資源進行破壞，使網(wǎng)絡不能正常工作，甚至造成整個網(wǎng)絡的癱瘓。 2）黑客侵襲。即黑客非法進入網(wǎng)絡非法使用網(wǎng)絡資源。例如通過隱蔽通道進行非法活動；采用匿名用戶訪問進行攻擊；通過網(wǎng)絡監(jiān)聽獲取網(wǎng)上用戶

21、賬號和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。 3）拒絕服務攻擊。例如“點在郵件炸彈”，它的表現(xiàn)形式是用戶在很短的時間內收到大量無用的電子郵件，從而影響正常業(yè)務的運行。嚴重時會使系統(tǒng)關機，網(wǎng)絡癱瘓。 具體講，網(wǎng)絡系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權訪問、數(shù)據(jù)竊取、拒絕服務、病毒與惡意攻擊、冒充合法用戶等。2.影響網(wǎng)絡安全的因素從技術講，計算機安全分為3種： （1）實體的安全。它保證硬件和軟件本身的安全。 （2）運行環(huán)境的安全性。它保證計算機能在良好的環(huán)境里持續(xù)工作。 （3）信息的安全性。它保障信息不會被非法閱讀、修改和泄漏。 隨著網(wǎng)絡的發(fā)展，計算機的安全問題也延伸到了計算機網(wǎng)

22、絡。 1.單機安全購買單機時，型號的選擇；計算機的運行環(huán)境（電壓、濕度、防塵條件、強電磁場以及自然災害等）；計算機的操作等，這些都是影響單機安全性的因素。 3.網(wǎng)絡安全 影響網(wǎng)絡安全的因素有：節(jié)點的安全、數(shù)據(jù)的安全（保存和傳輸方面）、文件的安全等。（二）網(wǎng)絡安全措施網(wǎng)絡信息安全涉及方方面面的問題，是一個復雜的系統(tǒng)。一個完整的網(wǎng)絡信息安全體系至少應包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。二是技術方面，如信息加密存儲傳輸、身份認證、防火墻技術、網(wǎng)絡防毒等。三是管理措施，包括技術與社會措施。主要措施有：提供實時改變安全策略的能力、實時監(jiān)控企業(yè)安全狀態(tài)、對現(xiàn)有的安全系統(tǒng)實施漏洞檢

23、查等，以防患于未然。這三者缺一不可，其中，法律政策是安全的基石，技術是安全的保障，管理和審計是安全的防線。1.完善計算機安全立法 我國先后出臺的有關網(wǎng)絡安全管理的規(guī)定和條例。但目前，在這方面的立法還遠不能適應形勢發(fā)展的需要,應該在對控制計算機犯罪的國內外立法評價的基礎上，完善我國計算機犯罪立法，以便為確保我國計算機信息網(wǎng)絡健康有序的發(fā)展提供強有力的保障。2.網(wǎng)絡安全的關鍵技術(1)數(shù)據(jù)加密 加密就是把明文變成密文，從而使未被授權的人看不懂它。有兩種主要的加密類型：私匙加密和公匙加密。(2)認證 對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認證機制還可以防止合法用戶訪問他們無

24、權查看的信息。(3)防火墻技術 防火墻就是用來阻擋外部不安全因素影響的內部網(wǎng)絡屏障，其目的就是防止外部網(wǎng)絡用戶未經(jīng)授權的訪問。 目前，防火墻采取的技術，主要是包過濾應用網(wǎng)關、子網(wǎng)屏蔽等。但是，防火墻技術在網(wǎng)絡安全防護方面也存在一些不足，防火墻不能防止內部攻擊防火墻不能取代殺毒軟件，防火墻不易防止反彈端口木馬攻擊等。 (4)檢測系統(tǒng)入侵檢測技術是網(wǎng)絡安全研究的一個熱點，是一種積極主動的安全防護技術，提供了對內部入侵、外部入侵和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截相應入侵。隨著時代的發(fā)展，入侵檢測技術將朝著三個方向發(fā)展:分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。 (5)防病毒技術

25、 隨著計算機技術的發(fā)展，計算機病毒變得越來越復雜和高級，計算機病毒防范不僅僅是一個產(chǎn)品、一個策略或一個制度，它是一個匯集了硬件、軟件、網(wǎng)絡、以及它們之間相互關系和接口的綜合系統(tǒng)。3.制定合理的網(wǎng)絡管理措施（1）加強網(wǎng)絡用戶及有關人員的安全意識、職業(yè)道德和事業(yè)心、責任心的培養(yǎng)教育以及相關技術培訓。（2）建立完善的安全管理體制和制度，以起到對管理人員和操作人員鼓勵和監(jiān)督的作用。（3）管理措施要標準化、規(guī)范化和科學化。三、防火墻技術的發(fā)展趨勢 防火墻未來的技術發(fā)展趨勢隨著新的網(wǎng)絡攻擊的出現(xiàn)，防火墻技術也有一些新的發(fā)展趨勢。這主要可以從包過濾技術、防火墻體系結構和防火墻系統(tǒng)管理三方面來體現(xiàn)。（1） 防

26、火墻包過濾技術發(fā)展趨勢 1. 一些防火墻廠商把系統(tǒng)上運用的用戶認證及其服務擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡應用中非常必要。具有用戶身份驗證的防火墻通常是采用應用級網(wǎng)關技術的，而包過濾技術的防火墻不具有。 2.多級過濾技術是防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾（網(wǎng)絡層）一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或入的協(xié)議和有害數(shù)據(jù)包；在應用網(wǎng)關（應用層）一級，利用FTP、SMTP等各種網(wǎng)關，控制和監(jiān)測Internet提供的所用通用服務。這是針對以上各種已有防火墻技術的不足而產(chǎn)生的一種綜合型

27、過濾技術，它可以彌補以上各種單獨過濾技術的不足。 3.使防火墻具有病毒防護功能?，F(xiàn)在通常被稱之為“病毒防火墻”，當然目前主要還是在個人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)。這種防火墻技術可以有效地防止病毒在網(wǎng)絡中的傳播，比等待攻擊的發(fā)生更加積極。（二）防火墻的體系結構發(fā)展趨勢隨著網(wǎng)絡應用的增加，對網(wǎng)絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應用將會越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡處理器的防火墻。從執(zhí)行速度的角度看來，基于網(wǎng)絡處理器的防火墻也是基

28、于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務的引擎，從而減輕了CPU的負擔，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡處理器的防火墻具有軟件色彩，因而更加具有靈活性?；贏SIC的防火墻使用專門的硬件處理網(wǎng)絡數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。（三）防火墻的系統(tǒng)管理發(fā)展趨

29、勢 防火墻的系統(tǒng)管理也有一些發(fā)展趨勢，主要體現(xiàn)在以下幾個方面：（1）首先是集中式管理，分布式和分層的安全結構是將來的趨勢。集中式管理可以降低管理成本，并保證在大型網(wǎng)絡中安全策略的一致性?？焖夙憫涂焖俜烙惨蟛捎眉惺焦芾硐到y(tǒng)。也就是目前所稱的“分布式防火墻”和“嵌入式防火墻”。（2）強大的審計功能和自動日志分析功能。這兩點的應用可以更早地發(fā)現(xiàn)潛在的威脅并預防攻擊的發(fā)生。日志功能還可以管理員有效地發(fā)現(xiàn)系統(tǒng)中存的安全漏洞，及時地調整安全策略等各方面管理具有非常大的幫助。不過具有這種功能的防火墻通常是比較高級的，早期的靜態(tài)包過濾防火墻是不具有的。（3）網(wǎng)絡安全產(chǎn)品的系統(tǒng)化隨著網(wǎng)絡安全技術的發(fā)展，

30、現(xiàn)在有一種提法，叫做“建立以防火墻為核心的網(wǎng)絡安全體系”。因為我們在現(xiàn)實中發(fā)現(xiàn)，僅現(xiàn)有的防火墻技術難以滿足當前網(wǎng)絡安全需求。通過建立一個以防火墻為核心的安全體系，就可以為內部網(wǎng)絡系統(tǒng)部署多道安全防線，各種安全技術各司其職，從各方面防御外來入侵。結束語隨著Internet/Intranet技術的飛速發(fā)展和應用，網(wǎng)絡安全越來越引起人們的關注。如何保護企業(yè)和個人在網(wǎng)絡上的敏感信息不受侵犯己成為當前擺在人們面前的一個重大問題。防火墻技術作為目前用來實現(xiàn)網(wǎng)絡安全措施的一種主要手段，它主要是用來拒絕未經(jīng)授權用戶的訪問，阻止未經(jīng)授權用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙的訪問網(wǎng)絡資源。如果使用得當，可以

31、在很大程度上提高網(wǎng)絡安全。算機網(wǎng)絡和計算機網(wǎng)絡安全就像矛和盾，自計算機誕生之日起就彼消此長。但是沒有一種技術可以百分之百地解決網(wǎng)絡上的所有問題，防火墻雖然能對來自外部網(wǎng)絡的攻擊進行有效的保護，但對于來自網(wǎng)絡內部的攻擊卻無能為力。在許多人的思想中，特別是電腦的初學者，都對防火墻有一種錯誤的認識。即分不清什么是防火墻以及殺毒軟件，認為殺毒軟件就可以代替防火墻，所以就掉以輕心，成了網(wǎng)絡的受害者。其實殺毒軟件和防火墻有很大的不同。即便此刻，我也只能說對防火墻的了解只有冰山一角。在論文完成之際，我的內心無法平靜，在謝論文的過程中對防火墻的認識又更增進了一步，“學無止境”這句話很值得我們去慢慢體會。參考文獻：【1】 謝希仁老師的 計算機網(wǎng)絡課件 【2】 百度文庫 防火墻的配置 【3】 中國國際招標網(wǎng) 網(wǎng)絡防火墻（含VPN模塊） 【4】 ISA server 2000中文寶典 【5】 2012年5月 廣州羊城晚報 【6】 中國新聞網(wǎng) 浙江新聞 【7】 馬錦： 計算機網(wǎng)絡安全基礎人民郵電出版社 【8】 楚狂： 網(wǎng)絡安全與防火墻技術 【9】 張德蘭主編： 網(wǎng)絡安全，山東大學出版社2006年版 【10】防火墻/UTM論壇-ZOL中關村在線 中國網(wǎng)絡防火墻 學生（簽字）： 指導教師（簽字）： 年 月 日11