論文防火牆對網路安全的影響摘要

1. 寫一篇防火牆的管理與維護的摘要

網路安全是一個不容忽視的問題，當人們在享受網路帶來的方便與快捷的同時，也要時時面對網路開放帶來的數據安全方面的新挑戰和新危險。為了保障網路安全，當園區網與外部網連接時，可以在中間加入一個或多個中介系統，防止非法入侵者通過網路進行攻擊，非法訪問，並提供數據可靠性、完整性以及保密性等方面的安全和審查控制，這些中間系統就是防火牆(Firewall)技術。它通過監測、限制、修改跨越防火牆的數據流，盡可能地對外屏蔽網路內部的結構、信息和運行情況、阻止外部網路中非法用戶的攻擊、訪問以及阻擋病毒的入侵，以此來實現內部網路的安全運行。防火牆的概述及其分類網路安全的重要性越來越引起網民們的注意，大大小小的單位紛紛為自己的內部網路「築牆」、防病毒與防黑客成為確保單位信息系統安全的基本手段。防火牆是目前最重要的一種網路防護設備，是處於不同網路(如可信任的局域內部網和不可信的公 1 內容導航防火牆概述 ：防火牆的作用、特點及優缺點 建立防火牆的安全策略 防火牆的作用、特點及優缺點防火牆通常使用在一個可信任的內部網路和不可信任的外部網路之間，阻斷來自外部通過網路對區域網的威脅和入侵，確保區域網的安全。與其它網路產品相比，有著其自身的專用特色，但其本身也有著某些不可避免的局限。下面對其在網路系統中的作用、應用特點和其優缺點進行簡單的闡述。防火牆的作用防火牆可以監控進出網路的通信量，僅讓安全、核准了的信息進入，同時又抵制對園區網構成威脅的數據。隨著安全性問題上的失誤和缺陷越來越普遍，對網路的入侵不僅來自高超的攻擊手段，也有可能來自配置上的低級錯誤或不合適的口令選擇。因此，防火牆的作用是防止不希望的、未授權的通信進出被保護的網路，迫使單位強化自己的安全策略。一般的防火牆都可以達到如下目的：一是可以限制他人進入內部網路，過濾掉不安全服務和非法用戶二是防止入侵者接近防禦設施三是限定用戶訪問特殊站點四是為監視Internet安全提供方便。防火牆的特點我們在使用防火牆的同時，對性能、技術指標和用戶需求進行分析。包過濾防火牆技術的特點是簡單實用，實現成本較低，在應用環境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統的安全。包過濾技術是一種基於網路層的安全技術，只能根據數據包的來源、目標和埠等網路信息進行判斷，無法識別基於應用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒代理型防火牆的特點是安全性較高，可以針對應用層進行偵測和掃描，對付基於應用層的侵入和病毒都十分有效。當然代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置，大大增加了系統管理的復雜性雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆，但由於監測型防火牆技術的實現成本較高，也不易管理，所以目前在實用中的防火牆產品仍然以防火牆概述 ：防火牆的作用、特點及優缺點 建立防火牆的安全策略 建立防火牆的安全策略要不要制定安全上的策略規定是一個有爭議的問題。有些人認為制定一套安全策略是相當必須的，因為它可以說是一個組織的安全策略輪廓，尤其在網路上以及網路系統管理員對於安全上的顧慮並沒有明確的策略時。安全策略也可以稱為訪問上的控制策略。它包含了訪問上的控制以及組織內其他資源使用的種種規定。訪問控制包含了哪些資源可以被訪問，如讀取、刪除、下載等行為的規范，以及哪些人擁有這些權力等信息。1) 網路服務訪問策略網路服務訪問策略是一種高層次的、具體到事件的策略，主要用於定義在網路中允許的或禁止的網路服務，還包括對撥號訪問以及PPP(點對點協議)連接的限制。這是因為對一種網路服務的限制可能會促使用戶使用其他的方法，所以其他的途徑也應受到保護。比如，如果一個防火牆阻止用戶使用Telnet服務訪問網際網路，一些人可能會使用撥號連接來獲得這些服務，這樣就可能會使網路受到攻擊。網路服務訪問策略不但應該是一個站點安全策略的延伸，而且對於機構內部資源的保護也起全局的作用。這種策略可能包括許多事情，從文件切碎條例到病毒掃描程序，從遠程訪問到移動介質的管理。2) 防火牆的設計策略防火牆的設計策略是具體地針對防火牆，負責制定相應的規章制度來實施網路服務訪問策略。在制定這種策略之前，必須了解這種防火牆的性能以及缺陷、TCP/IP自身所具有的易攻擊性和危險。防火牆一般執行一下兩種基本策略中的一種：① 除非明確不允許，否則允許某種服務② 除非明確允許，否則將禁止某項服務。執行防火牆概述 ：防火牆的作用、特點及優缺點 建立防火牆的安全策略 現在業界似乎有一種趨勢認為防火牆好像沒有什麼用了，反正防火牆也擋不住什麼攻擊。在今年，「灰鴿子」和「熊貓燒香」等安全問題屢見不鮮，所以對於用戶來說，尤其是那些資金比較充裕的大型行業用戶，更傾向於購買一些比較貴的IDS或IPS解決方案。但事實上，防火牆還是有其用武之地的，防火牆還可以做得更多，或許對於很多用戶來說，並沒有必要再去花更多的錢購買IPS了。
現在，UTM、內容安全等成為了今天信息安全的新名詞，在這樣的大背景下，防火牆究竟應該是什麼樣子的呢？什麼才是防火牆的立身之本呢？Secure Computing Corporation中國區總經理蔡勇及中國區技術總監郭偉一同闡釋了這樣的觀點，從防火牆本身的設計來看，是作為安全防禦的工具，而並不是現在業界的一些誤導，所謂的防火牆是靠速度來取勝的，實際上，防火牆應該是靠安全性來制勝的，這才是防火牆的根本。
的確，防火牆從功能上講，其本質是一個網路安全設備，而並不是路由器或者交換機，安全性應該是比網路通透性更為重要的參考指標。如果做到最後安全性反而缺失了的話，那「防火牆」就沒有完成防火牆應該做的事情了，那麼防火牆就真的變成了路由器。
當然出現這樣的情況，在這其中涉及到了一個產業層面的問題，就是將來究竟是由傳統的安全公司，還是由像思科這樣的網路設備巨頭來主導安全市場。在這里我們並不想討論這個話題，還是想更多地關注防火牆產品本身。
除了安全性之外，對於防火牆來說，還有一點很重要，那就是應用層代理的高性能。要知道，在目前的互聯網環境中，來自於應用層的攻擊才是給企業、組織和個人的網路帶來不安全因素的主要威脅，就算是網路層和傳輸層都沒有問題，也並不能說明這個防火牆的性能就很好、就很安全。而也正是由於應用層的攻擊在整個互聯網上日益占據了主導地位，所以說應用層代理的性能才變得更為重要。
另外就是防火牆的主動防禦性，Secure Computing Corporation推出的Sidewinder 7.0就是一款提供了主動式防護的防火牆，其集成了TrustedSource信譽技術。藉助實時的評分系統可以切斷與具有惡意信息的區域的連接，從而實現對垃圾郵件和釣魚式攻擊等安全威脅的防範，並且有效地釋放了帶寬空間和減輕了下游伺服器的處理負擔。
其實對於選擇防火牆，或者說是對於信息安全的防禦，並不應該是「拆東牆補西牆」，就拿前段時間出現的「灰鴿子」和「熊貓燒香」等病毒來說，出現了很多專殺產品，從商業的角度或者從技術的層面來看，就很有投機之嫌，當時是給堵上了，那明天再有別的什麼「白鴿子」或者「猴子拜佛」之類的話，那又要怎麼辦呢？
所以，從另一個層面來講的話，這也說明中國的用戶對於安全問題並沒有一個長遠的規劃。其實無論是選擇防火牆或者是其他的安全產品，一個長遠的布局是至關重要的。

2. 求一 篇關於 網路安全 的論文。。在數8000-9000。。。 可以附幾篇相關文獻的讀後感的。。。

摘要：文中就信息網路安全內涵發生的根本變化，闡述我國發展民族信息安全體系的重要性及建立有中國特色的網路安全體系的必要性。論述了網路防火牆安全技術的分類及其主要技術特徵。
關鍵詞：網路安全 防火牆 技術特徵
1.概述
21世紀全世界的計算機都將通過Internet聯到一起，信息安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防範，而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網路社會的時候，我國將建立起一套完整的網路安全體系，特別是從政策上和法律上建立起有中國自己特色的網路安全體系。
一個國家的信息安全體系實際上包括國家的法規和政策，以及技術與市場的發展平台。我國在構建信息防衛系統時，應著力發展自己獨特的安全產品，我國要想真正解決網路安全問題，最終的辦法就是通過發展民族的安全產業，帶動我國網路安全技術的整體提高。
網路安全產品有以下幾大特點：第一，網路安全來源於安全策略與技術的多樣化，如果採用一種統一的技術和策略也就不安全了；第二，網路的安全機制與技術要不斷地變化；第三，隨著網路在社會個方面的延伸，進入網路的手段也越來越多，因此，網路安全技術是一個十分復雜的系統工程。為此建立有中國特色的網路安全體系，需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。
信息安全是國家發展所面臨的一個重要問題。對於這個問題，我們還沒有從系統的規劃上去考慮它，從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分，而且應該看到，發展安全產業的政策是信息安全保障系統的一個重要組成部分，甚至應該看到它對我國未來電子化、信息化的發展將起到非常重要的作用。
2.防火牆
網路防火牆技術是一種用來加強網路之間訪問控制，防止外部網路用戶以非法手段通過外部網路進入內部網路，訪問內部網路資源，保護內部網路操作環境的特殊網路互聯設備。它對兩個或多個網路之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網路之間的通信是否被允許，並監視網路運行狀態。?
目前的防火牆產品主要有堡壘主機、包過濾路由器、應用層網關(代理伺服器)以及電路層網關、屏蔽主機防火牆、雙宿主機等類型。?
雖然防火牆是目前保護網路免遭黑客襲擊的有效手段，但也有明顯不足：無法防範通過防火牆以外的其它途徑的攻擊，不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟體或文件，以及無法防範數據驅動型的攻擊。
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火牆系統，提出了防火牆概念後，防火牆技術得到了飛速的發展。國內外已有數十家公司推出了功能各不相同的防火牆產品系列。
防火牆處於5層網路安全體系中的最底層,屬於網路層安全技術范疇。在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網路系統?如果答案是「是」,則說明企業內部網還沒有在網路層採取相應的防範措施。
作為內部網路與外部公共網路之間的第一道屏障,防火牆是最先受到人們重視的網路安全產品之一。雖然從理論上看,防火牆處於網路安全的最底層,負責網路間的安全認證與傳輸,但隨著網路安全技術的整體發展和網路應用的不斷變化,現代防火牆技術已經逐步走向網路層之外的其他安全層次,不僅要完成傳統防火牆的過濾任務,同時還能為各種網路應用提供相應的安全服務。另外還有多種防火牆產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。
根據防火牆所採用的技術不同,我們可以將它分為四種基本類型:包過濾型、網路地址轉換—NAT、代理型和監測型。
2.1.包過濾型
包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。網路上的數據都是以「包」為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源埠和目標埠等。防火牆通過讀取數據包中的地址信息來判斷這些「包」是否來自可信任的安全站點
,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。
但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基於網路層的安全技術,只能根據數據包的來源、目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆。
2.2.網路地址轉化—NAT
網路地址轉換是一種用於把IP地址轉換成臨時的、外部的、注冊的IP地址標准。它允許具有私有IP地址的內部網路訪問網際網路。它還意味著用戶不許要為其網路中每一台機器取得注冊的IP地址。
NAT的工作過程如圖1所示：
在內部網路通過安全網卡訪問外部網路時，將產生一個映射記錄。系統將外出的源地址和源埠映射為一個偽裝的地址和埠，讓這個偽裝的地址和埠通過非安全網卡與外部網路連接，這樣對外就隱藏了真實的內部網路地址。在外部網路通過非安全網卡訪問內部網路時，它並不知道內部網路的連接情況，而只是通過一個開放的IP地址和埠來請求訪問。OLM防火牆根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時，防火牆認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規則時，防火牆認為該訪問是不安全的，不能被接受，防火牆將屏蔽外部的連接請求。網路地址轉換的過程對於用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規操作即可。
2.3.代理型
代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展。代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機。當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理伺服器將數據傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統。
代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
2.4.監測型
監測型防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義。監測型防火牆能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部。因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品
雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以目前在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆。基於對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網路系統的安全性需求,同時也能有效地控制安全系統的總擁有成本。
實際上,作為當前防火牆產品的主流趨勢,大多數代理伺服器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由於這種產品是基於應用的,應用網關能提供對協議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網路的信息外泄。正是由於應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網路應用協議的有效支持和對網路整體性能的影響上。
--- 劉大大大大
貓(3): 淺析網路安全技術

摘要：文中論述了防火牆部署原則，並從防火牆部署的位置詳細闡述了防火牆的選擇標准。並就信息交換加密技術的分類及RSA演算法作以分析，針對PKI技術這一信息安全核心技術，論述了其安全體系的構成。

關鍵詞：網路安全 防火牆 PKI技術

1.概述

網路防火牆技術的作為內部網路與外部網路之間的第一道安全屏障，是最先受到人們重視的網路安全技術，就其產品的主流趨勢而言，大多數代理伺服器（也稱應用網關）也集成了包濾技術，這兩種技術的混合應用顯然比單獨使用更具有大的優勢。那麼我們究竟應該在哪些地方部署防火牆呢?首先,應該安裝防火牆的位置是公司內部網路與外部Internet的介面處,以阻擋來自外部網路的入侵;其次,如果公司內部網路規模較大,並且設置有虛擬區域網(VLAN),則應該在各個VLAN之間設置防火牆;第三,通過公網連接的總部與各分支機構之間也應該設置防火牆,如果有條件,還應該同時將總部與各分支機構組成虛擬專用網(VPN)。

安裝防火牆的基本原則是:只要有惡意侵入的可能,無論是內部網路還是與外部公網的連接處,都應該安裝防火牆。

2.防火牆的選擇

選擇防火牆的標准有很多,但最重要的是以下幾條:

2.1.總擁有成本防火牆產品作為網路系統的安全屏障,其總擁有成本(TCO)不應該超過受保護網路系統可能遭受最大損失的成本。以一個非關鍵部門的網路系統為例,假如其系統中的所有信息及所支持應用的總價值為10萬元,則該部門所配備防火牆的總成本也不應該超過10萬元。當然,對於關鍵部門來說,其所造成的負面影響和連帶損失也應考慮在內。如果僅做粗略估算,非關鍵部門的防火牆購置成本不應該超過網路系統的建設總成本,關鍵部門則應另當別論。

2.2.防火牆本身是安全的

作為信息系統安全產品,防火牆本身也應該保證安全,不給外部侵入者以可乘之機。如果像馬其頓防線一樣,正面雖然牢不可破,但進攻者能夠輕易地繞過防線進入系統內部,網路系統也就沒有任何安全性可言了。

通常,防火牆的安全性問題來自兩個方面:其一是防火牆本身的設計是否合理,這類問題一般用戶根本無從入手,只有通過權威認證機構的全面測試才能確定。所以對用戶來說,保守的方法是選擇一個通過多家權威認證機構測試的產品。其二是使用不當。一般來說,防火牆的許多配置需要系統管理員手工修改,如果系統管理員對防火牆不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。

2.3.管理與培訓

管理和培訓是評價一個防火牆好壞的重要方面。我們已經談到,在計算防火牆的成本時,不能只簡單地計算購置成本,還必須考慮其總擁有成本。人員的培訓和日常維護費用通常會在TCO中占據較大的比例。一家優秀秀的安全產品供應商必須為其用戶提供良好的培訓和售後服務。

2.4.可擴充性

在網路系統建設的初期,由於內部信息系統的規模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過於復雜和昂貴的防火牆產品。但隨著網路的擴容和網路應用的增加,網路的風險成本也會急劇上升,此時便需要增加具有更高安全性的防火牆產品。如果早期購置的防火牆沒有可擴充性,或擴充成本極高,這便是對投資的浪費。好的產品應該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統,而隨著要求的提高,用戶仍然有進一步增加選件的餘地。這樣不僅能夠保護用戶的投資,對提供防火牆產品的廠商來說,也擴大了產品覆蓋面。

2.5.防火牆的安全性

防火牆產品最難評估的方面是防火牆的安全性能,即防火牆是否能夠有效地阻擋外部入侵。這一點同防火牆自身的安全性一樣,普通用戶通常無法判斷。即使安裝好了防火牆,如果沒有實際的外部入侵,也無從得知產品性能的優劣。但在實際應用中檢測安全產品的性能是極為危險的,所以用戶在選擇防火牆產品時,應該盡量選擇占市場份額較大同時又通過了權威認證機構認證測試的產品。

3.加密技術

信息交換加密技術分為兩類：即對稱加密和非對稱加密。

3.1.對稱加密技術

在對稱加密技術中，對信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密演算法。如果在交換階段私有密鑰未曾泄露，那麼機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足，如果交換一方有N個交換對象，那麼他就要維護N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密後傳送給對方的。如三重DES是DES（數據加密標准）的一種變形，這種方法使用兩個獨立的56為密鑰對信息進行3次加密，從而使有效密鑰長度達到112位。

3.2.非對稱加密/公開密鑰加密

在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用於加密，私有密鑰用於解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應於生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應用於身份認證、數字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數學難題之上，是計算機復雜性理論發展的必然結果。最具有代表性是RSA公鑰密碼體制。

3.3.RSA演算法

RSA演算法是Rivest、Shamir和Adleman於1977年提出的第一個完善的公鑰密碼體制，其安全性是基於分解大整數的困難性。在RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的演算法來分解兩大素數之積。RSA演算法的描述如下：

公開密鑰：n=pq(p、q分別為兩個互異的大素數，p、q必須保密)

e與（p-1）(q-1)互素

私有密鑰：d=e-1 {mod(p-1)(q-1)}

加密：c=me(mod n),其中m為明文，c為密文。

解密：m=cd(mod n)

利用目前已經掌握的知識和理論，分解2048bit的大整數已經超過了64位計算機的運算能力，因此在目前和預見的將來，它是足夠安全的。

4.PKI技術

PKI（Publie Key Infrastucture）技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。由於通過網路進行的電子商務、電子政務、電子事務等活動缺少物理接觸，因此使得用電子方式驗證信任關系變得至關重要。而PKI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術，他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的易用的、靈活的和經濟的。它必須充分考慮互操作性和可擴展性。它是認證機構（CA）、注冊機構（RA）、策略管理、密鑰（Key）與證書（Certificate）管理、密鑰備份與恢復、撤消系統等功能模塊的有機結合。
4.1.認證機構

CA（Certification Authorty）就是這樣一個確保信任度的權威實體，它的主要職責是頒發證書、驗證用戶身份的真實性。由CA簽發的網路用戶電子身份證明—證書，任何相信該CA的人，按照第三方信任原則，也都應當相信持有證明的該用戶。CA也要採取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的，這不僅與密碼學有關系，而且與整個PKI系統的構架和模型有關。此外，靈活也是CA能否得到市場認同的一個關鍵，它不需支持各種通用的國際標准，能夠很好地和其他廠家的CA產品兼容。

4.2.注冊機構

RA（Registration Authorty）是用戶和CA的介面，它所獲得的用戶標識的准確性是CA頒發證書的基礎。RA不僅要支持面對面的登記，也必須支持遠程登記。要確保整個PKI系統的安全、靈活，就必須設計和實現網路化、安全的且易於操作的RA系統。

4.3.策略管理

在PKI系統中，制定並實現科學的安全策略管理是非常重要的這些安全策略必須適應不同的需求，並且能通過CA和RA技術融入到CA 和RA的系統實現中。同時，這些策略應該符合密碼學和系統安全的要求，科學地應用密碼學與網路安全的理論，並且具有良好的擴展性和互用性。

4.4.密鑰備份和恢復

為了保證數據的安全性，應定期更新密鑰和恢復意外損壞的密鑰是非常重要的，設計和實現健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復，也是關繫到整個PKI系統強健性、安全性、可用性的重要因素。

4.5.證書管理與撤消系統

證書是用來證明證書持有者身份的電子介質，它是用來綁定證書持有者身份和其相應公鑰的。通常，這種綁定在已頒發證書的整個生命周期里是有效的。但是，有時也會出現一個已頒發證書不再有效的情況這就需要進行證書撤消，證書撤消的理由是各種各樣的，可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統的實現是利用周期性的發布機制撤消證書或採用在線查詢機制，隨時查詢被撤消的證書。

5.安全技術的研究現狀和動向

我國信息網路安全研究歷經了通信保密、數據保護兩個階段，正在進入網路信息安全研究階段，現已開發研製出防火牆、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟體等。但因信息網路安全領域是一個綜合、交叉的學科領域它綜合了利用數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果，提出系統的、完整的和協同的解決信息網路安全的方案，目前應從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展研究，各部分相互協同形成有機整體。

國際上信息安全研究起步較早，力度大，積累多，應用廣，在70年代美國的網路安全技術基礎理論研究成果「計算機保密模型」（Beu& La pala模型）的基礎上，指定了「可信計算機系統安全評估准則」（TCSEC），其後又制定了關於網路系統資料庫方面和系列安全解釋，形成了安全信息系統體系結構的准則。安全協議作為信息安全的重要內容，其形式化方法分析始於80年代初，目前有基於狀態機、模態邏輯和代數工具的三種分析方法，但仍有局限性和漏洞，處於發展的提高階段。作為信息安全關鍵技術密碼學，近年來空前活躍，美、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁。1976年美國學者提出的公開密鑰密碼體制，克服了網路信息系統密鑰管理的困難，同時解決了數字簽名問題，它是當前研究的熱點。而電子商務的安全性已是當前人們普遍關注的焦點，目前正處於研究和發展階段，它帶動了論證理論、密鑰管理等研究，由於計算機運算速度的不斷提高，各種密碼演算法面臨著新的密碼體制，如量子密碼、DNA密碼、混沌理論等密碼新技術正處於探索之中。因此網路安全技術在21世紀將成為信息網路發展的關鍵技術，21世紀人類步入信息社會後，信息這一社會發展的重要戰略資源需要網路安全技術的有力保障，才能形成社會發展的推動力。在我國信息網路安全技術的研究和產品開發仍處於起步階段，仍有大量的工作需要我們去研究、開發和探索，以走出有中國特色的產學研聯合發展之路，趕上或超過發達國家的水平，以此保證我國信息網路的安全，推動我國國民經濟的高速發展。
慢慢看吧。。。。

3. 解析防火牆如何影響網路訪問和性能

而下周Lancope將開始在它的NetFlow採集器StealthWatch中支持NSEL。
現在，支持生成NSEL流記錄的防火牆數量還很有限。思科系統的自適應安全性設備（ASA）是第一個支持NSEL的。SonicWall在今年春季增加了NSEL支持。
Lancope的CTOAdam Powers說，「您將看到越來越多的防火牆供應商在他們的產品中增加NSEL支持。思科是第一個。其他供應商將隨之添加支持，因為它是構成差異性的關鍵。CheckPoint支持了少量的功能，但是仍然有一些供應商是我未提及的，因為我們正幫助它們實現NetFlow支持，這些現在完全屬於NDA保密協議。」
NSEL：系統日誌的NetFlow替代方法 企業已經轉向採用防火牆日誌分析器供應商的產品，來優化防火牆行為監控。企業管理協會的研究主管Jim Frey說，諸如LogLogic和Splunk等供應商通過收集和分析防火牆系統日誌數據，確定到達防火牆的流量類型。
思科將NSEL稱為是一種專門針對防火牆報告定製的修訂版NetFlow。傳統的NetFlow數據包含一些簡單的信息，如源，目標IP地址和埠。NSEL會指出一個流量流是被防火牆接受、拒絕還是丟棄。它也規定了與這個流相關的訪問控制列表（ACL）。
支持NSEL的NetFlow採集器比防火牆日誌分析器更高效，因為生成系統日誌會耗盡防火牆的計算資源。「如果在一個ASA上實現NetFlow特性，那麼這有利於釋放CPU，使防火牆能夠處理其他事務，如處理第7層數據和進行網路地址轉換（NAT），」Powers說。
雖然防火牆通常是NetFlow採集的盲點，但是分析NSEL數據的採集器能夠幫助檢測出防火牆是否影響網路訪問，Frey說。它也可以將數據整合到整個網路的更廣泛視圖中，期間會超出網路安全范疇，還會涉及到性能監控方面。
「防火牆是聯機設備，所以它們可能對常規業務網路訪問相關的設備產生影響，」Frey說。「當出現影響時，有可能是流中出現了惡意內容，也有可能是由防火牆規則不當造成的，這讓人討厭，而且有時候很難發現。有專門一整套工具用來優化多個供應商防火牆規則監控和分析。但是，一個完全可以被安全供應商接受的規則，卻可能對合理的網路服務產生意想不到的結果。」
通過NSEL，NetFlow採集器可以將防火牆的遙測數據與其他網路設備的NetFlow數據進行組合，使企業更好地了解網路的狀態和行為。
「假設您有一個連接互聯網的邊界路由器，而在這個路由器之後部署了一個傳統的ASA防火牆。再往裡，您還部署了一個Catalyst 6500。然後是Catalyst 3750-X接入層交換機。那麼這四台設備所生成的流量流都將穿越網路，」Powers說。
所有這些設備都會提供包含不同信息的NetFlow記錄。Catalyst 3750可能會產生一個NetFlow記錄，其中包含發起這個流的筆記本電腦的MAC地址。路由器可能只提供DNS系統中與流相關的數據。現在，防火牆可以生成一條NSEL記錄，告訴NetFlow採集器這個流被拒絕還是允許，它關聯的ACL是什麼。

4. 防火牆技術的發展對當今網路安全的意義

隨著科學技術的快速發展，網路技術的不斷發展和完善，在當今信息化的社會中，我們生活和工作中的許多數據、資源與信息都通過計算機系統來存儲和處理，伴隨著網路應用的發展，這些信息都通過網路來傳送、接收和處理，所以計算機網路在社會生活中的作用越來越大。為了維護計算機網路的安全，人們提出了許多手段和方法，採用防火牆是其中最主要、最核心、最有效的手段之一。防火牆是網路安全政策的有機組成部分，它通過控制和監測網路之間的信息交換和訪問行為來實施對網路安全的有效管理。

5. 網際網路防火牆技術，不少於一千字，論文

隨著internet的迅猛發展，安全性已經成為網路互聯技術中最關鍵的問題。本文——計算機與信息技術論文Internet防火牆技術綜述，全面介紹了internet防火牆技術與產品的發展歷程；詳細剖析了第四代防火牆的功能特色、關鍵技術、實現方法及抗攻擊能力；同時簡要描述了internet防火牆技術的發展趨勢。

關鍵詞：internet 網路安全 防火牆 過濾 地址轉換

1． 引言 

防火牆技術是建立在現代通信網路技術和信息安全技術基礎上的應用性安全技術，越來越多地應用於專用網路與公用網路的互連環境之中，尤以internet網路為最甚。internet的迅猛發展，使得防火牆產品在短短的幾年內異軍突起，很快形成了一個產業：1995年，剛剛面市的防火牆技術產品市場量還不到1萬套；到1996年底，就猛增到10萬套；據國際權威商業調查機構的預測，防火牆市場將以173%的復合增長率增長，今年底將達到150萬套，市場營業額將從1995年的�1.6�億美元上升到今年的9.8億美元。�

為了更加全面地了解internet防火牆及其發展過程，特別是第四代防火牆的技術特色，我們非常有必要從產品和技術角度對防火牆技術的發展演變做一個詳細的考察。�

2. internet防火牆技術簡介�

防火牆原是指建築物大廈用來防止火災蔓延的隔斷牆。從理論上講，internet防火牆服務也屬於類似的用來防止外界侵入的。它可以防
止internet上的各種危險(病毒、資源盜用等)傳播到你的網路內部。而事實上，防火牆並不像現實生活中的防火牆，它有點像古代守護城池用的護城河，服務於以下多個目的：�
1)限定人們從一個特定的控制點進入；�
2)限定人們從一個特定的點離開；�
3)防止侵入者接近你的其他防禦設施；�
4)有效地阻止破壞者對你的計算機系統進行破壞。�
在現實生活中，internet防火牆常常被安裝在受保護的內部網路上並接入internet。

所有來自internet的傳輸信息或你發出的信息都必須經過防火牆。這樣，防火牆就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統間進行信息交換等安全的作用。從邏輯上講，防火牆是起分隔、限制、分析的作用，這一點同樣可以從圖1中體會出來。那麼，防火牆究竟是什麼呢?實際上，防火牆是加強internet(內部網)之間安全防禦的一個或一組系統，它由一組硬體設備(包括路由器、伺服器)及相應軟體構成。3. 防火牆技術與產品發展的回顧�

防火牆是網路安全策略的有機組成部分，它通過控制和監測網路之間的信息交換和訪問行為來實現對網路安全的有效管理。從總體上看，防火牆應該具有以下五大基本功能：�
●過濾進、出網路的數據；�
●管理進、出網路的訪問行為；�
●封堵某些禁止行為；�
●記錄通過防火牆的信息內容和活動；�
●對網路攻擊進行檢測和告警。�

為實現以上功能，在防火牆產品的開發中，人們廣泛地應用了網路拓撲、計算機操作系統、路由、加密、訪問控制、安全審計等成熟或先進的技術和手段。縱觀防火牆近年來的發展，可以將其劃分為如下四個階段(即四代)。�

3.1 基於路由器的防火牆�

由於多數路由器本身就包含有分組過濾功能，故網路訪問控制可能通過路控制來實現，從而使具有分組過濾功能的路由器成為第一代防火牆產品。第一代防火牆產品的特點是：�
1)利用路由器本身對分組的解析，以訪問控製表(access list)方式實現對分組的過濾；�
2)過濾判斷的依據可以是：地址、埠號、ip旗標及其他網路特徵；�
3)只有分組過濾的功能，且防火牆與路由器是一體的。這樣，對安全要求低的網路可以採用路由器附帶防火牆功能的方法，而對安全性要求高的網路則需要單獨利用一台路由器作為防火牆。�

第一代防火牆產品的不足之處十分明顯，具體表現為：�

●路由協議十分靈活，本身具有安全漏洞，外部網路要探尋內部網路十分容易。例如，在使用Ftp協議時，外部伺服器容易從20號埠上與內部網相連，即使在路由器上設置了過濾規則，內部網路的20號埠仍可以由外部探尋。�
●路由器上分組過濾規則的設置和配置存在安全隱患。對路由器中過濾規則的設置和配置十分復雜，它涉及到規則的邏輯一致性。作用埠的有效性和規則集的正確性，一般的網路系統管理員難於勝任，加之一旦出現新的協議，管理員就得加上更多的規則去限制，這往往會帶來很多錯誤。�
●路由器防火牆的最大隱患是：攻擊者可以「假冒」地址。由於信息在網路上是以明文方式傳送的，黑客(hacker)可以在網路上偽造假的路由信息欺騙防火牆。�
●路由器防火牆的本質缺陷是：由於路由器的主要功能是為網路訪問提供動態的、靈活的路由，而防火牆則要對訪問行為實施靜態的、固態的控制，這是一對難以調和的矛盾，防火牆的規則設置會大大降低路由器的性能。
�
可以說基於路由器的防火牆技術只是網路安全的一種應急措施，用這種權宜之計去對付黑客的攻擊是十分危險的。

3.2 用戶化的防火牆工具套�

為了彌補路由器防火牆的不足，很多大型用戶紛紛要求以專門開發的防火牆系統來保護自己的網路，從而推動了用戶防火牆工具套的出現。�
作為第二代防火牆產品，用戶化的防火牆工具套具有以下特徵：�
1)將過濾功能從路由器中獨立出來，並加上審計和告警功能；�
2)針對用戶需求，提供模塊化的軟體包；�
3)軟體可以通過網路發送，用戶可以自己動手構造防火牆；�
4)與第一代防火牆相比，安全性提高了，價格也降低了。�

由於是純軟體產品，第二代防火牆產品無論在實現上還是在維護上都對系統管理員提出了相當復雜的要求，並帶來以下問題：�
配置和維護過程復雜、費時；�
對用戶的技術要求高；�
全軟體實現，使用中出現差錯的情況很多。�

3.3 建立在通用操作系統上的防火牆�

基於軟體的防火牆在銷售、使用和維護上的問題迫使防火牆開發商很快推出了建立在通用操作系統上的商用防火牆產品。近年來市場上廣泛使用的就是這一代產品，它們具有如下一些特點：�
1)是批量上市的專用防火牆產品；�
2)包括分組過濾或者借用路由器的分組過濾功能；�
3)裝有專用的代理系統，監控所有協議的數據和指令；�
4)保護用戶編程空間和用戶可配置內核參數的設置；
5)安全性和速度大大提高。�

第三代防火牆有以純軟體實現的，也有以硬體方式實現的，它們已經得到了廣大用戶的認同。但隨著安全需求的變化和使用時間的推延，仍表現出不少問題，比如：�
1)作為基礎的操作系統及其內核往往不為防火牆管理者所知，由於源碼的保密，其安全性無從保證；�
2)由於大多數防火牆廠商並非通用操作系統的廠商，通用操作系統廠商不會對操作系統的安全性負責；�
3)從本質上看，第三代防火牆既要防止來自外部網路的攻擊，還要防止來自操作系統廠商的攻擊；�
4)在功能上包括了分組過濾、應用網關、電路級網關且具有加密鑒別功能；�
5)透明性好，易於使用。�

4. 第四代防火牆的主要技術及功能�

第四代防火牆產品將網關與安全系統合二為一，具有以下技術功能。�

4.1 雙埠或三埠的結構�

新一代防火牆產品具有兩個或三個獨立的網卡，內外兩個網卡可不做ip轉化而串接於內部與外部之間，另一個網卡可專用於對伺服器的安全保護。
�

4.2 透明的訪問方式�

以前的防火牆在訪問方式上要麼要求用戶做系統登錄，要麼需通過socks等庫路徑修改客戶機的應用。第四代防火牆利用了透明的代理系統技術，從而降低了系統登錄固有的安全風險和出錯概率。�

4.3 靈活的代理系統�

代理系統是一種將信息從防火牆的一側傳送到另一側的軟體模塊，第四代防火牆採用了兩種代理機制：一種用於代理從內部網路到外部網路的連接；另一種用於代理從外部網路到內部網路的連接。前者採用網路地址轉接(nit)技術來解決，後者採用非保密的用戶定製代理或保密的代理系統技術來解決。�

4.4 多級過濾技術�

為保證系統的安全性和防護水平，第四代防火牆採用了三級過濾措施，並輔以鑒別手段。在分組過濾一級，能過濾掉所有的源路由分組和假冒ip地址；在應用級網關一級，能利用Ftp、smtp等各種網關，控制和監測internet提供的所有通用服務；在電路網關一級，實現內部主機與外部站點的透明連接，並對服務的通行實行嚴格控制。�

4.5 網路地址轉換技術�

第四代防火牆利用nat技術能透明地對所有內部地址做轉換，使得外部網路無法了解內部網路的內部結構，同時允許內部網路使用自己編的ip源地址和專用網路，防火牆能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。�

4.6 internet網關技術�

由於是直接串聯在網路之中，第四代防火牆必須支持用戶在internet互聯的所有服務，同時還要防止與internet服務有關的安全漏洞，故它要能夠以多種安全的應用伺服器(包括ftp、finger、mail、ident、news、www等)來實現網關功能。為確保伺服器的安全性，對所有的文件和命令均要利用「改變根系統調用(chroot)」做物理上的隔離。�

在域名服務方面，第四代防火牆採用兩種獨立的域名伺服器：一種是內部dns伺服器，主要處理內部網路和dns信息；另一種是外部dns伺服器，專門用於處理機構內部向internet提供的部分dns信息。在匿名ftp方面，伺服器只提供對有限的受保護的部分目錄的只讀訪問。在www伺服器中，只支持靜態的網頁，而不允許圖形或cgi代碼等在防火牆內運行。在finger伺服器中，對外部訪問，防火牆只提可由內部用戶配置的基本的文本信息，而不提供任何與攻擊有關的系統信息。smtp與pop郵件伺服器要對所有進、出防火牆的郵件做處理，並利用郵件映射與標頭剝除的方法隱除內部的郵件環境。ident伺服器對用戶連接的識別做專門處理，網路新聞服務則為接收來自isp的新聞開設了專門的磁碟空間。

4.7 安全伺服器網路(ssn)�

為了適應越來越多的用戶向internet上提供服務時對伺服器的需要，第四代防火牆採用分別保護的策略對用戶上網的對外伺服器實施保護，它利用一張網卡將對外伺服器作為一個獨立網路處理，對外伺服器既是內部網路的一部分，又與內部網關完全隔離，這就是安全伺服器網路(ssn)技術。而對ssn上的主機既可單獨管理，也可設置成通過Ftp、tnlnet等方式從內部網上管理。�

ssn方法提供的安全性要比傳統的「隔離區(dmz)」方法好得多，因為ssn與外部網之間有防火牆保護，ssn與風部網之間也有防火牆的保護，而dmz只是一種在內、外部網路網關之間存在的一種防火牆方式。換言之，一旦ssn受破壞，內部網路仍會處於防火牆的保護之下，而一旦dmz受到破壞，內部網路便暴露於攻擊之下。�

4.8 用戶鑒別與加密�

為了減低防火牆產品在tnlnet、ftp等服務和遠程管理上的安全風險，鑒別功能必不可少。第四代防火牆採用一次性使用的口令系統來作為用戶的鑒別手段，並實現了對郵件的加密。�

4.9 用戶定製服務�

為了滿足特定用戶的特定需求，第四代防火牆在提供眾多服務的同時，還為用戶定製提供支持，這類選項有：通用tcp、出站udp、ftp、smtp等，如果某一用戶需要建立一個資料庫的代理，便可以利用這些支持，方便設置。�

4.10 審計和告警�

第四代防火牆產品採用的審計和告警功能十分健全，日誌文件包括：一般信息、內核信息、核心信息、接收郵件、郵件路徑、發送郵件、已收消息、已發消息、連接需求、已鑒別的訪問、告警條件、管理日誌、進站代理、ftp代理、出站代理、郵件伺服器、名伺服器等。告警功能會守住每一個tcp或udp探尋，並能以發出郵件、聲響等多種方式報警。�

此外，第四代防火牆還在網路診斷、數據備份保全等方面具有特色。�

5． 第四代防火牆技術的實現方法

在第四代防火牆產品的設計與開發中，安全內核、代理系統、多級過濾、安全伺服器、鑒別與加密是關鍵所在。�

5.1 安全內核的實現�

第四代防火牆是建立在安全操作系統之上的，安全操作系統來自對專用操作系統的安全加固和改造，從現在的諸多產品看，對安全操作系統內核的固化與改造主要從以下幾個方面進行：�
1)取消危險的系統調用；�
2)限制命令的執行許可權；�
3)取消ip的轉發功能；�
4)檢查每個分組的介面；�
5)採用隨機連接序號；�
6)駐留分組過濾模塊；�
7)取消動態路由功能；�
8)採用多個安全內核。�
5.2 代理系統的建立�

防火牆不允許任何信息直接穿過它，對所有的內外連接均要通過代理系統來實現，為保證整個防火牆的安全，所有的代理都應該採用改變根目錄方式存在一個相對獨立的區域以安全隔離。�

在所有的連接通過防火牆前，所有的代理要檢查已定義的訪問規則，這些規則控制代理的服務根據以下內容處理分組：�
1)源地址；�
2)目的地址；�
3)時間；�
4)同類伺服器的最大數量。�

所有外部網路到防火牆內部或ssn的連接由進站代理處理，進站代理要保證內部主機能夠了解外部主機的所有信息，而外部主機只能看到防火牆之外或ssn的地址。�

所有從內部網路ssn通過防火牆與外部網路建立的連接由出站代理處理，出站代理必須確保完全由它代表內部網路與外部地址相連，防止內部網址與外部網址的直接連接，同時還要處理內部網路ssn的連接。�

5.3 分組過濾器的設計�

作為防火牆的核心部件之一，過濾器的設計要盡量做到減少對防火牆的訪問，過濾器在調用時將被下載到內核中執行，服務終止時，過濾規則會從內核中消除，所有的分組過濾功能都在內核中ip堆棧的深層運行，極為安全。分組過濾器包括以下參數。�
1)進站介面；�
2)出站介面；�
3)允許的連接；�
4)源埠范圍；�
5)源地址；�
6)目的埠的范圍等。�

對每一種參數的處理都充分體現設計原則和安全政策。�

5.4 安全伺服器的設計�

安全伺服器的設計有兩個要點：第一，所有ssn的流量都要隔離處理，即從內部網和外部網而來的路由信息流在機制上是分離的；第二，ssn的作用類似於兩個網路，它看上去像是內部網，因為它對外透明，同時又像是外部網路，因為它從內部網路對外訪問的方式十分有限。�

ssn上的每一個伺服器都隱蔽於internet，ssn提供的服務對外部網路而言好像防火牆功能，由於地址已經是透明的，對各種網路應用沒有限制。實現ssn的關鍵在於：�
1)解決分組過濾器與ssn的連接；�
2)支持通過防火對ssn的訪問;
3)支持代理服務。

5.5鑒別與加密的考慮

鑒別與加密是防火牆識別用戶、驗證訪問和保護信息的有效手段，鑒別機制除了提供安全保護之外，還有安全管理功能，目前國外防火牆產品中廣泛使用令牌鑒別方式，具體方法有兩種：一種是加密卡（cryptocard）;另一種是secure id,這兩種都是一次姓口令的生成工具。

對信息內容的加密與鑒別測涉及加密演算法和數字簽名技術，除pem、pgp和kerberos外，目前國外防火牆產品中尚沒有更好的機制出現，由於加密演算法涉及國家安全和主權，各國有不同的要求。

6. 第四代防火牆的抗攻擊能力

作為一種安全防護設備，防火牆在網路中自然是眾多攻擊者的目標，故抗攻擊能力也是防火牆的必備功能。在internet環境中針對防火牆的攻擊很多，下面從幾種主要的攻擊方法來評估第四代防火牆的抗攻擊能力。

6.1 抗ip假冒攻擊

ip假冒是指一個非法的主機假冒內部的主機地址，騙取伺服器的「信任」，從而達到對網路的攻擊目的。由於第四代防火牆已經將網內的實際地址隱蔽起來，外部用戶很難知道內部的ip地址，因而難以攻擊。

6.2 抗特洛伊木馬攻擊

特洛伊木馬能將病毒或破壞性程序傳入計算機網路，且通常是將這些惡意程序隱蔽在正常的程序之中，尤其是熱門程序或游戲，一些用戶下載病執行這一程序，其中的病毒便會發作。第四代防火牆是建立在安全的操作系統之上的，其內核中不能執行下載的程序，故而可以防止特洛伊木馬的發生。必須指出的是，防火牆能抗特洛伊木馬的攻擊並並不表明其保護的某個主機也能防止這類攻擊。事實上，內部用戶可以通過防火牆下載程序，並執行下載的程序。

6.3 抗口令字探尋攻擊

在網路中探尋口令的方法很多，最常見的是口令嗅探和口令解密。嗅探是通過監測網路通信，截獲用戶轉給伺服器的口令字，記錄下來，以便使用；解密是指採用強力攻擊、猜測或截獲含有加密口令的文件，並設法解密。此外，攻擊者還常常利用一些常用口令直接登錄。

第四代防火牆採用了一次性口令字和禁此直接登錄防火牆措施，能夠有效防止對口令字的攻擊。

6.4 抗網路安全性分析

網路安全性分析工具是提供管理人員分析網路安全性之用，一旦這類工具用作攻擊網路的手段，則能夠比較方便地探測到內部網路的安全缺陷和弱點所在。目前，sata軟體可以從網上免費獲得，internet scanner可以從市面上購買，這些分析工具給網路安全構成了直接的威脅。第四代防火牆採用了地主轉換技術，將內部網路隱蔽起來，使網路安全分析工具無法從外部對內部網路做分析。

6.5 抗郵件詐騙攻擊

郵件詐騙也是越來越突出的攻擊方式，第四代防火牆不接收任何郵件，故難以採用這種方式對它攻擊，同樣值得一提的是，防火牆不接收郵件，並不表示它不讓郵件通過，實際上用戶仍可收發郵件，內部用戶要防郵件詐騙，最終的解決辦法是對郵件加密。

7. 防火牆技術展望

伴隨著internet的飛速發展，防火牆技術產品的更新步伐必然會加強，而要全面展望防火牆技術的發展幾乎是不可能的。但是，從產品及功能上，卻又可以看出一些動向和趨勢。下面諸點可能是下一步的走向和選擇：
1）防火牆將從目前對子網或內部網管理的方式向遠程上網集中管理是方式發展。
2）過濾深度會不斷加強，從目前的地址、服務過濾，發展到url（頁面）過濾、關鍵字過濾和對activex、java等的過濾，並逐漸有病毒掃描功能。
3）利用防火牆建立專用網是較長一段時間用戶使用的主流，ip的加密需求越來越強，安全協議的開發是一大熱點。�
4)單向防火牆(又叫做網路二極體)將作為一種產品門類而出現。�
5)對網路攻擊的檢測和各種告警將成為防火牆的重要功能。
6)安全管理工具不斷完善，特別是可以活動的日誌分析工具等將成為防火牆產品中的一部分。�

另外值得一提的是，伴隨著防火牆技術的不斷發展，人們選擇防火牆的標准將主要集中在易於管理、應用透明性、鑒別與加密功能、操作環境和硬體要求、vpn的功能與ca的功能、介面的數量、成本等幾個方面。

6. 求關於防火牆淺析的論文

淺論網路安全技術—－防火牆

[摘要]防火牆是網路安全的關鍵技術,其核心思想是在不安全的網路環境中構造一個相對安全的子網環境。本文討論了防火牆的安全功能、實現防火牆的主要技術手段、防火牆技術優點和缺點以及防火牆發展的新技術趨勢一、引言
當越來越多的用戶認識到Internet能提供十分豐富的信息、多種有效的服務並且具有很大的發展潛力後，他們會無一例外的考慮將自己的內聯網（Intranet）接入Internet，從而可以更大的收益。
過去，許多內聯網訪問Internet的基本方法是將本系統的內部網直接接入Internet，這樣內部網的每台計算機都可以獲得完全的Internet服務。這樣的連接在給用戶帶來方便的同時也使網路入侵者有機可乘。內部網的主機將毫無保護地暴露在Internet中，因此分布在世界各地的任何一台Internet主機都可以直接對其進行訪問，從而在安全上帶來極大的危險。並且，入侵者的行動通常都是很難被察覺的，因此安全問題已經成為各內部網接入Internet之前必須要考慮的問題之一。目前，以防火牆為代表的被動防衛型安全保障技術已經被證明是一種較有效的防止外部入侵的措施。
二、防火牆及安全功能
1、 防火牆的概念
防火牆是一個或一組在兩個網路之間執行訪問控制策略的系統,包括硬體和軟體,目的是保護網路不被可疑人侵擾。本質上，它遵從的是一種允許或阻止業務來往的網路通信安全機制,也就是提供可控的過濾網路通信，只允許授權的通訊。
防火牆的實質就是限制數據流通和允許數據流通。因此防火牆有兩種對立的安全策略：
⑴允許沒有特別拒絕的事情。這種情況下防火牆只拒絕了規定的對象，不屬於拒絕范圍以內的任何情況都被允許。這種策略對數據包的阻擋能力相對較小，所以安全性相對較弱。
⑵拒絕沒有特別允許的事情。這種情況與前面一種情況正好相反，其拒絕能力強，它只接收被允許了的數據包，凡是在允許情況以外的數據包都將被拒絕。
2、防火牆的安全功能
為了保證網路安全性要求，防火牆必須具有以下功能：
（一）支持一定的安全策略，過濾掉不安全服務和非法用戶，即過濾進、出網路的數據，管理進、出網路的訪問行為。
以上所講的防火牆技術是一些常用的關鍵技術，除此之外，還應加強加密技術、安全審計、安全內核、身份驗證和負平衡等技術的綜合應用。
（二）監視網路的安全性，並報警。
（三）利用網路地址轉換(NAT)技術，將有限的IP地址動態或靜態地與內部的IP地址對應起來，用來緩解地址空間短缺的問題。
（四）防火牆是進出信息都必須通過的關口，適合收集關於系統和網路使用和誤用的信息。利用此關口，防火牆能在網路之間進行記錄。它是審計和記錄Internet使用費用的一個最佳地點。網路管理員可以在此提供Internet連接的費用情況，查出潛在的帶寬瓶頸位置，並能夠依據本機構的核算模式提供部門級的計費。
（五）可以連接到一個單獨的網路上，在物理上與內部網路隔開，並部署WWW伺服器和FTP伺服器，作為向外部發布內部信息的地點。
三、防火牆的關鍵技術
安全、管理、速度是防火牆的三大要素，數據包過濾和代理服務是其主要功能，防火牆要真正實現防病毒、防黑客、防入侵，必須做好一下關鍵技術：
1、數據包過濾技術
分組過濾或包過濾，是一種通用、廉價、有效的安全手段。它在網路層和傳輸層起作用。它根據分組包的源、宿地址，埠號及協議類型、標志確定是否允許分組包通過。所根據的信息來源於IP 、TCP 或UDP包頭。
包過濾的優點是它對於用戶來說是透明的，處理速度快且易於維護，通常作為第一道防線。但是包過濾路由器通常沒有用戶的使用記錄，這樣我們就不能得到入侵者的攻擊記錄。而攻破一個單純的包過濾式防火牆對黑客來說還是有辦法的。「IP地址欺騙」是黑客比較常用的一種攻擊手段。為了提高網路的安全性，於是發展了安全性更高的防火牆技術——代理技術。

7. 關於計算機網路安全與防火牆技術的論文怎麼寫

防火牆的概念
當然，既然打算由淺入深的來了解，就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中，利用防火牆把乘客和引擎隔開，以便汽車引擎一旦著火，防火牆不但能保護乘客安全，而同時還能讓司機繼續控制引擎。再電腦術語中，當然就不是這個意思了，我們可以類比來理解，在網路中，所謂「防火牆」，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路，同時將你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路。換句話說，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

防火牆的功能

防火牆是網路安全的屏障：

一個防火牆（作為阻塞點、控制點）能極大地提高一個內部網路的安全性，並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆，所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。

防火牆可以強化網路安全策略：

通過以防火牆為中心的安全方案配置，能將所有安全軟體（如口令、加密、身份認證、審計等）配置在防火牆上。與將網路安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。例如在網路訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火牆一身上。

對網路存取和訪問進行監控審計：

如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計數據。當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細信息。另外，收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。

防止內部信息的外泄：

通過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者，隱私是內部網路非常關心的問題，一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息，這樣一台主機的域名和IP地址就不會被外界所了解。
除了安全作用，防火牆還支持具有Internet服務特性的企業內部網路技術體系VPN（虛擬專用網）。
參考資料：

防火牆的用途簡單的說，就是防止非法程序對計算機的入侵。非法程序包括病毒，木馬程序，黑客入侵，等等，只要是未經許可的入侵，均可視為非法。

防火牆的用途（Firewall Purpose）
撰文者： Indeepnight 位於 上午 8:55
防火牆是近年才開始受大眾注目，以前都只把焦點放在防毒軟體的能力上

不過，防火牆的用意雖然是好的，可是對於大眾來說，它的功能經常都會讓人摸不著頭緒，甚至會防礙原有操作電腦的順暢性

現在的作業系統，也都預設有防火牆的功能（M$、Linux皆有），不過大多數都是行銷策略的手法，讓大家感覺到物超所值，但實際的應用面就...乏人問津，至於硬體與軟體之間的差異，可以參考筆者先前寫的防火牆的使用，有粗略的說明

今天筆者就來說明一些較為常見的應用與設定：

Internet的發展給企業帶來了革命性的改革和開放，企業正努力通過利用

它來提高市場反應速度和辦事效率，以便更具競爭力。企業通過Internet，可

以從異地取回重要數據，同時又要面對Internet開放帶來的數據安全的新挑戰

和新危險：即客戶、銷售商、移動用戶、異地員工和內部員工的安全訪問；以

及保護企業的機密信息不受黑客和工業間諜的入侵。因此企業必須加註安全的

「戰壕」，而這些「戰壕」又要在哪裡修建呢?

基於Internet體系應用有兩大部分：Intranet和Extranet。Intranet是借

助Internet的技術和設備在Internet上面構造出企業3W網，可放入企業全部信

息；而Extranet是在電子商務、互相合作的需求下，用Intranet間的通道，可

獲得其它體系中部分信息。因此按照一個企業的安全體系可知防火牆戰壕須在

以下位置上位置：

①保證對主機和應用安全訪問；

②保證多種客戶機和伺服器的安全性；

③保護關鍵部門不受到來自內部的攻擊、外部的攻擊、為通過Internet與

遠程訪問的雇員、客戶、供應商提供安全通道。

同時防火牆的安全性還要來自其良好的技術性能。一般防火牆具備以下特

點：

①廣泛的服務支持，通過將動態的、應用層的過濾能力和認證相結合，可

實現WWW瀏覽器、HTTP伺服器、FTP等；

②對私有數據的加密支持，保證通過Internet進行虛擬私人網路和商務活

動不受損壞；

③客戶端認證只允許指定的用戶訪問內部網路或選擇服務，是企業本地網

與分支機構、商業夥伴和移動用戶間安全通信的附加部分；

④反欺騙，欺騙是從外部獲取網路訪問權的常用手段，它使數據包好似來

自網路內部。Firewall-1能監視這樣的數據包並能扔掉它們；C/S 模式

和跨平台支持，能使運行在一平台的管理模塊控制運行在另一平台的監

視模塊。

網路安全：初上網者必看---我們為什麼需要防火牆
來源：賽迪網 時間：2006-10-04 09:10:44

很多網路初級用戶認為，只要裝了殺毒軟體，系統就絕對安全了，這種想法是萬萬要不得的！在現今的網路安全環境下，木馬、病毒肆虐，黑客攻擊頻繁，而各種流氓軟軟體、間諜軟體也行風作浪。怎樣才能讓我們的系統立於如此險惡的網路環境呢？光靠殺毒軟體足以保證我們的系統安全嗎？下面我就從影響系統安全的幾個方面來剖析防火牆的重要性。

現在的網路安全威脅主要來自病毒攻擊、木馬攻擊、黑客攻擊以及間諜軟體攻擊。殺毒軟體發展了十幾年，依然是停留在被動殺毒的層面（別看那些自我標榜主動防禦，無非是一些騙人的幌子，看看這個文章就知道了），而國外的調查表明，當今全球殺毒軟體對80%的病毒無法起到識別作用，也就是說，殺毒軟體之所以能殺毒，純粹是根據病毒樣本的代碼特徵來識別他是否是病毒，就如警察抓住一個小偷，這個小偷留著大鬍子，於是警察就天天在街上盯著大鬍子的人。這樣的殺毒效果可想而知。同樣的道理，殺毒軟體對於木馬、間諜軟體的防範也是基於這種方式。

現在病毒、木馬的更新很快，從全球范圍內來看，能造成較大損失的病毒木馬，大部分都是新出現的，或者是各類變種，由於這些病毒木馬的特徵並沒有被殺毒軟體掌握，因此殺毒軟體對它們是既不能報警，也無法剿殺。難道我們就任病毒木馬宰割了嗎？當然不！高手豈能向幾個病毒木馬低頭！雖然殺毒軟體只能乾瞪眼，可是我們還有嚴守大門的防火牆呢！

防火牆為什麼就能擋住病毒木馬甚至是最新的病毒木馬變種呢？這就要從防火牆的防禦機制說起了。防火牆是根據連接網路的數據包來進行監控的，也就是說，防火牆就相當於一個嚴格的門衛，掌管系統的各扇門（埠），它負責對進出的人進行身份核實，每個人都需要得到最高長官的許可才可以出入，而這個最高長官，就是你自己了。每當有不明的程序想要進入系統，或者連出網路，防火牆都會在第一時間攔截，並檢查身份，如果是經過你許可放行的（比如在應用規則設置中你允許了某一個程序連接網路），則防火牆會放行該程序所發出的所有數據包，如果檢測到這個程序並沒有被許可放行，則自動報警，並發出提示是否允許這個程序放行，這時候就需要你這個「最高統帥」做出判斷了。一般來說，自己沒有運行或者不太了解的程序，我們一律阻攔，並通過搜索引擎或者防火牆的提示確認該軟體的性質。

寫到這里，大家估計對殺毒軟體和防火牆的區別有一定了解了，舉個直觀的例子：你的系統就好比一座城堡，你是這個城堡的最高統帥，殺毒軟體和防火牆是負責安全的警衛，各有分工。殺毒軟體負責對進入城堡的人進行鑒別，如果發現可疑的人物就抓起來（當然，抓錯的幾率很大，不然就沒有這么多誤殺誤報事件了）；而防火牆則是門衛，對每一個進出城堡的人都進行檢查，一旦發現沒有出入證的人就向最高統帥確認。因此，任何木馬或者間諜軟體，或許可能在殺毒軟體的眼皮底下偷偷記錄你的帳號密碼，可是由於防火牆把城門看得死死的，再多的信息也傳不出去，從而保護了你的系統安全。

另外，對於黑客攻擊，殺毒軟體是沒有任何辦法的，因為黑客的操作不具有任何特徵碼，殺毒軟體自然無法識別，而防火牆則可以把你系統的每個埠都隱藏起來，讓黑客找不到入口，自然也就保證了系統的安全。

目前全球范圍內防火牆種類繁多，不過從個人經驗來說，推薦天網防火牆給大家。天網防火牆可以有效的防止黑客、木馬或者其他惡意程序盜取您的隱私包括：網上銀行、網路游戲、QQ等的帳號和密碼。

8. 防火牆的應用與研究論文

一般來說摘要200-300字就足夠了，樓上哥們的第一段就行了。

9. 誰給我篇計算機網路安全防火牆技術的畢業論文 要全的 急啊很急 謝謝了

本文針對網路安全的三種技術方式進行說明,比較各種方式的特色以及可能帶來的安全風險或效能損失,並就信息交換加密技術的分類作以分析,針對PKI技術這一信息安全核心技術,論述了其安全體系的構成。
[關鍵詞]網路安全 防火牆 加密技術 PKI技術

隨著計算機網路技術的飛速發展,尤其是互聯網的應用變得越來越廣泛,在帶來了前所未有的海量信息的同時,網路的開放性和自由性也產生了私有信息和數據被破壞或侵犯的可能性,網路信息的安全性變得日益重要起來,已被信息社會的各個領域所重視。
計算機網路安全從技術上來說,主要由防病毒、防火牆等多個安全組件組成,一個單獨的組件無法確保網路信息的安全性。目前廣泛運用和比較成熟的網路安全技術主要有:防火牆技術、數據加密技術、PKI技術等,以下就此幾項技術分別進行分析。
一、防火牆技術
防火牆是指一個由軟體或和硬體設備組合而成,處於企業或網路群體計算機與外界通道之間,限制外界用戶對內部網路訪問及管理內部用戶訪問外界網路的許可權。防火牆是網路安全的屏障,配置防火牆是實現網路安全最基本、最經濟、最有效的安全措施之一。當一個網路接上Internet之後,系統的安全除了考慮計算機病毒、系統的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火牆技術完成。防火牆能極大地提高一個內部網路的安全性,並通過過濾不安全的服務而降低風險。通過以防火牆為中心的安全方案配置,能將所有安全軟體配置在防火牆上。其次對網路存取和訪問進行監控審計。如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並做出日誌記錄,同時也能提供網路使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。再次防止內部信息的外泄。利用防火牆對內部網路的劃分,可實現內部網重點網段的隔離,從而降低了局部重點或敏感網路安全問題對全局網路造成的影響。
二、數據加密技術
與防火牆相比,數據加密技術比較靈活,更加適用於開放的網路。數據加密主要用於對動態信息的保護,對動態數據的攻擊分為主動攻擊和被動攻擊。對於主動攻擊,雖無法避免,但卻可以有效地檢測;而對於被動攻擊,雖無法檢測,但卻可以避免,實現這一切的基礎就是數據加密。數據加密技術分為兩類:即對稱加密和非對稱加密。
1.對稱加密技術
對稱加密是常規的以口令為基礎的技術,加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密演算法。如果在交換階段私有密鑰未曾泄露,那麼機密性和報文完整性就可以得以保證。目前,廣為採用的一種對稱加密方式是數據加密標准DES,DES的成功應用是在銀行業中的電子資金轉賬(EFT)領域中。
2.非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰通過非保密方式向他人公開,而另一把作為私有密鑰加以保存。公開密鑰用於加密,私有密鑰用於解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應於生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用於身份認證、數字簽名等信息交換領域。三、PKI技術
PKI(Publie Key Infrastucture)技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。由於通過網路進行的電子商務、電子政務、電子事務等活動缺少物理接觸,因此使得用電子方式驗證信任關系變得至關重要。而PKI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術,他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的易用的、靈活的和經濟的。它必須充分考慮互操作性和可擴展性。
1.認證機構
CA(Certification Authorty)就是這樣一個確保信任度的權威實體,它的主要職責是頒發證書、驗證用戶身份的真實性。由CA簽發的網路用戶電子身份證明—證書,任何相信該CA的人,按照第三方信任原則,也都應當相信持有證明的該用戶。CA也要採取一系列相應的措施來防止電子證書被偽造或篡改。
2.注冊機構
RA(Registration Authorty)是用戶和CA的介面,它所獲得的用戶標識的准確性是CA頒發證書的基礎。RA不僅要支持面對面的登記,也必須支持遠程登記。要確保整個PKI系統的安全、靈活,就必須設計和實現網路化、安全的且易於操作的RA系統。
3.密鑰備份和恢復
為了保證數據的安全性,應定期更新密鑰和恢復意外損壞的密鑰是非常重要的,設計和實現健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復,也是關繫到整個PKI系統強健性、安全性、可用性的重要因素。
4.證書管理與撤消系統
證書是用來綁定證書持有者身份和其相應公鑰的。通常,這種綁定在已頒發證書的整個生命周期里是有效的。但是,有時也會出現一個已頒發證書不再有效的情況,這就需要進行證書撤消。證書撤消的理由是各種各樣的,可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統的實現是利用周期性的發布機制撤消證書或採用在線查詢機制,隨時查詢被撤消的證書。
四、結束語
網路安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,既包括信息系統本身的安全問題,也有物理的和邏輯的技術措施,一種技術只能解決一方面的問題,而不是萬能的。因此只有嚴格的保密政策、明晰的安全策略才能完好、實時地保證信息的完整性和確證性,為網路提供強大的安全服務。