防火墻技術(shù)分析與研究畢業(yè)論文.doc

山東廣播電視大學(xué)畢業(yè)論文（設(shè)計）評審表 題 目_ 防火墻技術(shù)分析與研究 _ _姓 名 _ _ 教育層次 _專科_學(xué) 號 _1137001401533_ 省級電大 _專 業(yè) _ 計算機(jī)信息管理_ 市級電大 _指導(dǎo)教師 _ 教 學(xué) 點 _防火墻技術(shù)分析與研究目 錄摘要1綜 述1一、防火墻的概述2（一）防火墻的概述2（二） 防火墻的背景與發(fā)展2（三） 防火墻的種類與類型21.數(shù)據(jù)包過濾型防火墻22.應(yīng)用級網(wǎng)關(guān)型防火墻33.代理服務(wù)型防火墻34.復(fù)合型防火墻4（四） 防火墻的功能41.訪問控制42.防御功能53.管理功能54.記錄和報表功能5二、 網(wǎng)絡(luò)安全6（一） 網(wǎng)絡(luò)安全問題61.網(wǎng)絡(luò)安全面臨的主要威脅62.影響網(wǎng)絡(luò)安全的因素6（二）網(wǎng)絡(luò)安全措施71.完善計算機(jī)安全立法72.網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)73.制定合理的網(wǎng)絡(luò)管理措施8三、防火墻技術(shù)的發(fā)展趨勢8（一） 防火墻包過濾技術(shù)發(fā)展趨勢8（二）防火墻的體系結(jié)構(gòu)發(fā)展趨勢8（三）防火墻的系統(tǒng)管理發(fā)展趨勢9結(jié)束語9參考文獻(xiàn)：10防火墻技術(shù)分析與研究摘要防火墻是目前網(wǎng)絡(luò)安全領(lǐng)域廣泛使用的設(shè)備，其主要目的就是限制非法流量，以保護(hù)內(nèi)部子網(wǎng)。從部署位置來看，防火墻往往位于網(wǎng)絡(luò)出口，是內(nèi)部網(wǎng)和外部網(wǎng)之間的唯一通道，因此提高防火墻的性能、避免其成為瓶頸，就成為防火墻產(chǎn)品能否成功的一個關(guān)鍵問題。防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同而分為很多種類型，但總體來講可分為包過濾、應(yīng)用級網(wǎng)關(guān)和代理服務(wù)器等幾大類型。本文的重點是介紹了防火墻的類型與主要功能，通過防火墻的數(shù)據(jù)包進(jìn)行統(tǒng)計分析，并根據(jù)統(tǒng)計數(shù)據(jù)動態(tài)調(diào)整過濾規(guī)則的相對次序，使得使用最頻繁的規(guī)則位于規(guī)則列表的最前面，使其和當(dāng)前網(wǎng)絡(luò)流量特性相一致，從而達(dá)到降低后繼數(shù)據(jù)包規(guī)則匹配時間來提高防火墻性能之目的。 關(guān)鍵詞：計算機(jī) 防火墻 Internet 安全 技術(shù)特征綜 述防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互連環(huán)境之中，尤以Internet網(wǎng)絡(luò)為最甚。Internet的迅猛發(fā)展，使得防火墻產(chǎn)品在短短的幾年內(nèi)異軍突起，很快形成了一個產(chǎn)業(yè)。防火墻是一種網(wǎng)絡(luò)技術(shù)，最初它被定為一個實施某些安全策略保護(hù)一個可信網(wǎng)絡(luò)，用以防止來自一個不可信的網(wǎng)絡(luò)（如Internet）的攻擊的裝置。防火墻就是一個或多組網(wǎng)絡(luò)設(shè)備，可用來在兩個或多個網(wǎng)絡(luò)間加強訪問控制。它的實現(xiàn)有好多種方式，有的實現(xiàn)還是很復(fù)雜的，但基本原理卻很簡單。可以把它想象成一個開關(guān)，一個是用來阻止輸入，另一個用來允許輸入。防火墻可以設(shè)置在不同的網(wǎng)絡(luò)之間（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全策略控制（允許、拒絕、檢測）出入網(wǎng)絡(luò)的信息流，且本身也具有較強的攻擊能力。它是提供信息安全服務(wù)、實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效的監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。一、防火墻的概述（一）防火墻的概述人們常在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢蔓延到別的寓所。在網(wǎng)絡(luò)上，如果一個網(wǎng)絡(luò)接到了Internet上面，它的用戶就可以訪問外部世界并與之通信。但同時，外部世界也同樣可以訪問該網(wǎng)絡(luò)并與之交互。為安全起見，可以在該網(wǎng)絡(luò)和Internet之間插入一個中介系統(tǒng)，豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網(wǎng)絡(luò)對本網(wǎng)絡(luò)的威脅和入侵，提供扼守本網(wǎng)絡(luò)的安全和審計的唯一關(guān)卡，它的作用與建筑的防火磚墻有類似之處，因此我們把這個屏障就叫做“防火墻”。防火墻就是一個位于電腦和它所連接的網(wǎng)絡(luò)之間的軟件。該電腦流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。防火墻是一個或一組系統(tǒng)，它在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略。實現(xiàn)防火墻的實際方式各不相同，但是在原則上，防火墻可以被認(rèn)為是這樣一對機(jī)制：一種機(jī)制是攔阻傳輸流通行，另一種機(jī)制是允許傳輸流通過。一些防火墻偏重攔阻傳輸流的通行，而另一些防火墻則偏重允許傳輸流通過。（2） 防火墻的背景與發(fā)展第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn)，采用了包過濾(Packet filter)技術(shù)。第二、三代防火墻是在1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻，應(yīng)用層防火墻(代理防火墻)的初步結(jié)構(gòu)。 第四代防火墻是在1992年，由USC信息科學(xué)院的BobBraden開發(fā)出了基于動態(tài)包過濾(Dynamic packet filter)技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻在1998年，是NAI公司推出了一種自適應(yīng)代理(Adaptive proxy)技術(shù)，并在其產(chǎn)品Gauntlet Firewall for NT中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。（3） 防火墻的種類與類型防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同而分為很多種類型，但總體來講可分為包過濾、應(yīng)用級網(wǎng)關(guān)和代理服務(wù)器等幾大類型。 1.數(shù)據(jù)包過濾型防火墻 數(shù)據(jù)包過濾(Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，被稱為訪問控制表(Access Control Table)。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。數(shù)據(jù)包過濾防火墻邏輯簡單，價格便宜，易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備，因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費用。數(shù)據(jù)包過濾防火墻的優(yōu)點：不用改動客戶機(jī)和主機(jī)上的應(yīng)用程序，因為它工作在網(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。數(shù)據(jù)包過濾防火墻的缺點：一是非法訪問一旦突破防火墻，即可對主機(jī)上的軟件和配置漏洞進(jìn)行攻擊；二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。據(jù)以過濾判別的只有網(wǎng)絡(luò)層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會受到很大地影響；由于缺少上下文關(guān)聯(lián)信息，不能有效地過濾如UDP、RPC一類的協(xié)議；另外，大多數(shù)過濾器中缺少審計和報警機(jī)制，且管理方式和用戶界面較差；對安全管理人員素質(zhì)要求高，建立安全規(guī)則時，必須對協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此，過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)。 2.應(yīng)用級網(wǎng)關(guān)型防火墻應(yīng)用級網(wǎng)關(guān)(Application Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計，形成報告。實際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。 數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)防火墻有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。一旦滿足邏輯，則防火墻內(nèi)外的計算機(jī)系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運行狀態(tài)，這有利于實施非法訪問和攻擊。 3.代理服務(wù)型防火墻代理服務(wù)(Proxy Service)也稱鏈路級網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類。它是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個終止代理服務(wù)器上的“鏈接”來實現(xiàn)，外部計算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計算機(jī)系統(tǒng)的作用。代理服務(wù)也對過往的數(shù)據(jù)包進(jìn)行分析、注冊登記，形成報告，同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報，并保留攻擊痕跡。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時也常結(jié)合入過濾器的功能。它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。 4.復(fù)合型防火墻由于對更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機(jī)防火墻體系結(jié)構(gòu)：在該結(jié)構(gòu)中，分組過濾路由器或防火墻與Internet相連，同時一個堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過在分組過濾路由器或防火墻上過濾規(guī)則的設(shè)置，使堡壘機(jī)成為Internet上其它節(jié)點所能到達(dá)的唯一節(jié)點，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘主機(jī)和分組過濾路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。（4） 防火墻的功能防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)電腦?？梢詫⒎阑饓ε渲贸稍S多不同保護(hù)級別。防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)電腦上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。 1.訪問控制功能通過防火墻的包內(nèi)容設(shè)置:包過濾防火墻的過濾規(guī)則集由若干條規(guī)則組成，它應(yīng)涵蓋對所有出入防火墻的數(shù)據(jù)包的處理方法，對于沒有明確定義的數(shù)據(jù)包，應(yīng)該有一個缺省處理方法;過濾規(guī)則應(yīng)易于理解，易于編輯修改;同時應(yīng)具備一致性檢測機(jī)制，防止沖突。IP包過濾的依據(jù)主要是根據(jù)IP包頭部信息如源地址和目的地址進(jìn)行過濾，如果IP頭中的協(xié)議字段表明封裝協(xié)議為ICMP、TCP或UDP，那么再根據(jù)ICMP頭信息(類型和代碼值)、TCP頭信息(源端口和目的端口)或UDP頭信息(源端口和目的端口)執(zhí)行過濾，其他的還有MAC地址過濾。應(yīng)用層協(xié)議過濾要求主要包括FTP過濾、基于RPC的應(yīng)用服務(wù)過濾、基于UDP的應(yīng)用服務(wù)過濾要求以及動態(tài)包過濾技術(shù)等。 在應(yīng)用層提供代理支持:指防火墻是否支持應(yīng)用層代理，如HTTP、FTP、TELNET、SNMP等。 在傳輸層提供代理支持:指防火墻是否支持傳輸層代理服務(wù)。允許FTP命令防止某些類型文件通過防火墻:指是否支持FTP文件類型過濾。 用戶操作的代理類型:應(yīng)用層高級代理功能，如HTTP、POP3 。 支持網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT):NAT指將一個IP地址域映射到另一個IP地址域，從而為終端主機(jī)提供透明路由的方法。NAT常用于私有地址域與公有地址域的轉(zhuǎn)換以解決IP地址匱乏問題。 支持硬件口令、智能卡: 是否支持硬件口令、智能卡等，這是一種比較安全的身份認(rèn)證技術(shù)。 2.防御功能支持病毒掃描: 是否支持防病毒功能，如掃描電子郵件附件中的DOC和ZIP文件，F(xiàn)TP中的下載或上載文件內(nèi)容，以發(fā)現(xiàn)其中包含的危險信息。 提供內(nèi)容過濾: 是否支持內(nèi)容過濾，信息內(nèi)容過濾指防火墻在HTTP、FTP、SMTP等協(xié)議層，根據(jù)過濾條件，對信息流進(jìn)行控制。防火墻控制的結(jié)果是:允許通過、修改后允許通過、禁止通過、記錄日志、報警等。 過濾內(nèi)容主要指URL、HTTP攜帶的信息:Java Applet、 JavaScript、ActiveX和電子郵件中的Subject、To、From域等。 能防御的DoS攻擊類型:拒絕服務(wù)攻擊(DoS)就是攻擊者過多地占用共享資源，導(dǎo)致服務(wù)器超載或系統(tǒng)資源耗盡，而使其他用戶無法享有服務(wù)或沒有資源可用。防火墻通過控制、檢測與報警等機(jī)制，可在一定程度上防止或減輕DoS黑客攻擊。 阻止ActiveX、Java、Cookies、Javascript侵入:屬于HTTP內(nèi)容過濾，防火墻應(yīng)該能夠從HTTP頁面剝離Java Applet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測出危險代碼或病毒，并向瀏覽器用戶報警。同時，能夠過濾用戶上載的CGI、ASP等程序，當(dāng)發(fā)現(xiàn)危險代碼時，向服務(wù)器報警。 3.管理功能通過集成策略集中管理多個防火墻:是否支持集中管理，防火墻管理是指對防火墻具有管理權(quán)限的管理員行為和防火墻運行狀態(tài)的管理，管理員的行為主要包括:通過防火墻的身份鑒別，編寫防火墻的安全規(guī)則，配置防火墻的安全參數(shù)，查看防火墻的日志等。防火墻的管理一般分為本地管理、遠(yuǎn)程管理和集中管理等。本地管理:是指管理員通過防火墻的Console口或防火墻提供的鍵盤和顯示器對防火墻進(jìn)行配置管理。 遠(yuǎn)程管理:是指管理員通過以太網(wǎng)或防火墻提供的廣域網(wǎng)接口對防火墻進(jìn)行管理，管理的通信協(xié)議可以基于FTP、TELNET、HTTP等。 支持帶寬管理:防火墻能夠根據(jù)當(dāng)前的流量動態(tài)調(diào)整某些客戶端占用的帶寬。 4.記錄和報表功能 防火墻處理完整日志的方法:防火墻規(guī)定了對于符合條件的報文做日志，應(yīng)該提供日志信息管理和存儲方法。 提供自動日志掃描:指防火墻是否具有日志的自動分析和掃描功能，這可以獲得更詳細(xì)的統(tǒng)計結(jié)果，達(dá)到事后分析、亡羊補牢的目的。提供自動報表，日志報告書寫器:防火墻實現(xiàn)的一種輸出方式，提供自動報表和日志報告功能。 警告通知機(jī)制:防火墻應(yīng)提供告警機(jī)制，在檢測到入侵網(wǎng)絡(luò)以及設(shè)備運轉(zhuǎn)異常情況時，通過告警來通知管理員采取必要的措施，包括E-mail、呼機(jī)、手機(jī)等。 提供簡要報表(按照用戶ID或IP 地址):防火墻實現(xiàn)的一種輸出方式，按要求提供報表分類打印。 提供實時統(tǒng)計:防火墻實現(xiàn)的一種輸出方式，日志分析后所獲得的智能統(tǒng)計結(jié)果，一般是圖表顯示。2、 網(wǎng)絡(luò)安全（1） 網(wǎng)絡(luò)安全問題 安全，通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機(jī)制。我國對于計算機(jī)安全的定義是：“計算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運行。” 1.網(wǎng)絡(luò)安全面臨的主要威脅 一般認(rèn)為，計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自計算機(jī)病毒、黑客的攻擊和拒絕服務(wù)攻擊三個方面。 1）計算機(jī)病毒的侵襲。當(dāng)前，活性病毒達(dá)14000多種，計算機(jī)病毒侵入網(wǎng)絡(luò)，對網(wǎng)絡(luò)資源進(jìn)行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個網(wǎng)絡(luò)的癱瘓。 2）黑客侵襲。即黑客非法進(jìn)入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。例如通過隱蔽通道進(jìn)行非法活動；采用匿名用戶訪問進(jìn)行攻擊；通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶賬號和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。 3）拒絕服務(wù)攻擊。例如“點在郵件炸彈”，它的表現(xiàn)形式是用戶在很短的時間內(nèi)收到大量無用的電子郵件，從而影響正常業(yè)務(wù)的運行。嚴(yán)重時會使系統(tǒng)關(guān)機(jī)，網(wǎng)絡(luò)癱瘓。 具體講，網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權(quán)訪問、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶等。2.影響網(wǎng)絡(luò)安全的因素從技術(shù)講，計算機(jī)安全分為3種： （1）實體的安全。它保證硬件和軟件本身的安全。 （2）運行環(huán)境的安全性。它保證計算機(jī)能在良好的環(huán)境里持續(xù)工作。 （3）信息的安全性。它保障信息不會被非法閱讀、修改和泄漏。 隨著網(wǎng)絡(luò)的發(fā)展，計算機(jī)的安全問題也延伸到了計算機(jī)網(wǎng)絡(luò)。 1.單機(jī)安全購買單機(jī)時，型號的選擇；計算機(jī)的運行環(huán)境（電壓、濕度、防塵條件、強電磁場以及自然災(zāi)害等）；計算機(jī)的操作等，這些都是影響單機(jī)安全性的因素。 3.網(wǎng)絡(luò)安全 影響網(wǎng)絡(luò)安全的因素有：節(jié)點的安全、數(shù)據(jù)的安全（保存和傳輸方面）、文件的安全等。（二）網(wǎng)絡(luò)安全措施網(wǎng)絡(luò)信息安全涉及方方面面的問題，是一個復(fù)雜的系統(tǒng)。一個完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。二是技術(shù)方面，如信息加密存儲傳輸、身份認(rèn)證、防火墻技術(shù)、網(wǎng)絡(luò)防毒等。三是管理措施，包括技術(shù)與社會措施。主要措施有：提供實時改變安全策略的能力、實時監(jiān)控企業(yè)安全狀態(tài)、對現(xiàn)有的安全系統(tǒng)實施漏洞檢查等，以防患于未然。這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全的保障，管理和審計是安全的防線。1.完善計算機(jī)安全立法 我國先后出臺的有關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。但目前，在這方面的立法還遠(yuǎn)不能適應(yīng)形勢發(fā)展的需要,應(yīng)該在對控制計算機(jī)犯罪的國內(nèi)外立法評價的基礎(chǔ)上，完善我國計算機(jī)犯罪立法，以便為確保我國計算機(jī)信息網(wǎng)絡(luò)健康有序的發(fā)展提供強有力的保障。2.網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)(1)數(shù)據(jù)加密 加密就是把明文變成密文，從而使未被授權(quán)的人看不懂它。有兩種主要的加密類型：私匙加密和公匙加密。(2)認(rèn)證 對合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認(rèn)證機(jī)制還可以防止合法用戶訪問他們無權(quán)查看的信息。(3)防火墻技術(shù) 防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。 目前，防火墻采取的技術(shù)，主要是包過濾應(yīng)用網(wǎng)關(guān)、子網(wǎng)屏蔽等。但是，防火墻技術(shù)在網(wǎng)絡(luò)安全防護(hù)方面也存在一些不足，防火墻不能防止內(nèi)部攻擊防火墻不能取代殺毒軟件，防火墻不易防止反彈端口木馬攻擊等。 (4)檢測系統(tǒng)入侵檢測技術(shù)是網(wǎng)絡(luò)安全研究的一個熱點，是一種積極主動的安全防護(hù)技術(shù)，提供了對內(nèi)部入侵、外部入侵和誤操作的實時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。隨著時代的發(fā)展，入侵檢測技術(shù)將朝著三個方向發(fā)展:分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。 (5)防病毒技術(shù) 隨著計算機(jī)技術(shù)的發(fā)展，計算機(jī)病毒變得越來越復(fù)雜和高級，計算機(jī)病毒防范不僅僅是一個產(chǎn)品、一個策略或一個制度，它是一個匯集了硬件、軟件、網(wǎng)絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。3.制定合理的網(wǎng)絡(luò)管理措施（1）加強網(wǎng)絡(luò)用戶及有關(guān)人員的安全意識、職業(yè)道德和事業(yè)心、責(zé)任心的培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。（2）建立完善的安全管理體制和制度，以起到對管理人員和操作人員鼓勵和監(jiān)督的作用。（3）管理措施要標(biāo)準(zhǔn)化、規(guī)范化和科學(xué)化。三、防火墻技術(shù)的發(fā)展趨勢 防火墻未來的技術(shù)發(fā)展趨勢隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也有一些新的發(fā)展趨勢。這主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)。（1） 防火墻包過濾技術(shù)發(fā)展趨勢 1. 一些防火墻廠商把系統(tǒng)上運用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗證的防火墻通常是采用應(yīng)用級網(wǎng)關(guān)技術(shù)的，而包過濾技術(shù)的防火墻不具有。 2.多級過濾技術(shù)是防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾（網(wǎng)絡(luò)層）一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或入的協(xié)議和有害數(shù)據(jù)包；在應(yīng)用網(wǎng)關(guān)（應(yīng)用層）一級，利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所用通用服務(wù)。這是針對以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補以上各種單獨過濾技術(shù)的不足。 3.使防火墻具有病毒防護(hù)功能?，F(xiàn)在通常被稱之為“病毒防火墻”，當(dāng)然目前主要還是在個人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。（二）防火墻的體系結(jié)構(gòu)發(fā)展趨勢隨著網(wǎng)絡(luò)應(yīng)用的增加，對網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性。基于ASIC的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。（三）防火墻的系統(tǒng)管理發(fā)展趨勢 防火墻的系統(tǒng)管理也有一些發(fā)展趨勢，主要體現(xiàn)在以下幾個方面：（1）首先是集中式管理，分布式和分層的安全結(jié)構(gòu)是將來的趨勢。集中式管理可以降低管理成本，并保證在大型網(wǎng)絡(luò)中安全策略的一致性。快速響應(yīng)和快速防御也要求采用集中式管理系統(tǒng)。也就是目前所稱的“分布式防火墻”和“嵌入式防火墻”。（2）強大的審計功能和自動日志分析功能。這兩點的應(yīng)用可以更早地發(fā)現(xiàn)潛在的威脅并預(yù)防攻擊的發(fā)生。日志功能還可以管理員有效地發(fā)現(xiàn)系統(tǒng)中存的安全漏洞，及時地調(diào)整安全策略等各方面管理具有非常大的幫助。不過具有這種功能的防火墻通常是比較高級的，早期的靜態(tài)包過濾防火墻是不具有的。（3）網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，現(xiàn)在有一種提法，叫做“建立以防火墻為核心的網(wǎng)絡(luò)安全體系”。因為我們在現(xiàn)實中發(fā)現(xiàn)，僅現(xiàn)有的防火墻技術(shù)難以滿足當(dāng)前網(wǎng)絡(luò)安全需求。通過建立一個以防火墻為核心的安全體系，就可以為內(nèi)部網(wǎng)絡(luò)系統(tǒng)部署多道安全防線，各種安全技術(shù)各司其職，從各方面防御外來入侵。結(jié)束語隨著Internet/Intranet技術(shù)的飛速發(fā)展和應(yīng)用，網(wǎng)絡(luò)安全越來越引起人們的關(guān)注。如何保護(hù)企業(yè)和個人在網(wǎng)絡(luò)上的敏感信息不受侵犯己成為當(dāng)前擺在人們面前的一個重大問題。防火墻技術(shù)作為目前用來實現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，它主要是用來拒絕未經(jīng)授權(quán)用戶的訪問，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙的訪問網(wǎng)絡(luò)資源。如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)安全。算機(jī)網(wǎng)絡(luò)和計算機(jī)網(wǎng)絡(luò)安全就像矛和盾，自計算機(jī)誕生之日起就彼消此長。但是沒有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問題，防火墻雖然能對來自外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的保護(hù)，但對于來自網(wǎng)絡(luò)內(nèi)部的攻擊卻無能為力。在許多人的思想中，特別是電腦的初學(xué)者，都對防火墻有一種錯誤的認(rèn)識。即分不清什么是防火墻以及殺毒軟件，認(rèn)為殺毒軟件就可以代替防火墻，所以就掉以輕心，成了網(wǎng)絡(luò)的受害者。其實殺毒軟件和防火墻有很大的不同。即便此刻，我也只能說對防火墻的了解只有冰山一角。在論文完成之際，我的內(nèi)心無法平靜，在謝論文的過程中對防火墻的認(rèn)識又更增進(jìn)了一步，“學(xué)無止境”這句話很值得我們?nèi)ヂw會。參考文獻(xiàn)：【1】 謝希仁老師的 計算機(jī)網(wǎng)絡(luò)課件 【2】 百度文庫 防火墻的配置 【3】 中國國際招標(biāo)網(wǎng) 網(wǎng)絡(luò)防火墻（含VPN模塊） 【4】 ISA server 2000中文寶典 【5】 2012年5月 廣州羊城晚報 【6】 中國新聞網(wǎng) 浙江新聞 【7】 馬錦： 計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)人民郵電出版社 【8】 楚狂： 網(wǎng)絡(luò)安全與防火墻技術(shù) 【9】 張德蘭主編： 網(wǎng)絡(luò)安全，山東大學(xué)出版社2006年版 【10】防火墻/UTM論壇-ZOL中關(guān)村在線 中國網(wǎng)絡(luò)防火墻 學(xué)生（簽字）： 指導(dǎo)教師（簽字）： 年 月 日11