大学设计浅析Internet防火墙技术

1、学生毕业论文（设计） 题目： 浅析In ternet防火墙技术 学号 专业 计算机网络技术 系部 指导教师 毕业论文（设计）评审登记卡 （一） 论文题目 浅析In ternet防火墙技术 作者姓名 所属专业、级别 计算机网络技术 指导教师 姓名 字数11884 定稿日期2011年6月12日 内 容 摘 要 21世纪全球互联网技术地迅猛发展为现代人们地生产生活带 来了翻天覆地地变化不仅仅是使我们地生活变得丰富多彩，而在更 大程度上使整个社会地生产力地大幅度提升.Internet地快速发展，使 全球各个角落地资源实现共享，资源之丰富可谓是应有尽有但是同 时给我们带来了一个日益严峻地问题一一网络安全

2、互联地发展必 然把网络安全这个话题推上了风头浪尖现在地网络安全技术有防 火墙技术，IDS、加密技术和防病毒技术等等而防火墙技术在网络 安全技术中是最简单，也是最有效地解决方法所以防火墙技术越来 越受到人们地关注和广泛应用本文从防火墙技术地概念、发展过 程地方面进行分析，并对防火墙技术地发展趋势以及前景做简要展 望. 关键词 In ternet防火墙过滤 毕业（设计）评审登记卡（二） 学生毕业论文（设计）质量评价表 评价 基兀 评价要素 评价内涵 满分 实评分 选题 质量 25% 目地明确、符 合要求 符合培养目标，体现学科，专业特点和教案计划地基 本要求，达到毕业论文（设计）综合训练地目地 1

3、0 理论意义或实 际价值 符合本学科地理论发展，有一定地学术意义；对经 济建设和社会发展地应用性研究中地某个理论或方 法问题进行研究具有一定地实际值 10 选题确当 题目规模适当，难易度适中；有一定地科学性 5 能力 水平 40% 检阅文献 资料能力 能独立检阅相关文献资料，归纳总结本论文所涉及 地有关研究状况及成果 10 综合运用 知识能力 能运用所学专业知识阐述问题；能对查阅地资料进 行整理和运用；能对其科学论点进行率证. 10 研究方案地 设计能力 整理思路清晰，研究方案合理可行 5 研究方法和手 段地运用能力 能运用本学科常规研究方法及相关研究手段（如计 算机、实验仪器设备等）进行实验

4、、实践并加工处 理，总结信息. 10 外文应用能力 能阅读、翻译一定量地本专业外文资料、外文摘要 和外文参考书目（艺术类等专业除外）体现一定地外 语水平 5 论文 质量 35% 文题相符 较好地完成论文选题地要求 5 写作水平 论点鲜明；论据充分；条理清晰；语言流畅；书写 工整. 15 写作规范 符合科学论文地基本要求.用语、格式、图表、数 据、量和单位，各种资料引用地规范化（符合标 准）. 10 论文篇幅 文科4000字左右，理科3000字左右. 5 指导教师评定成绩： 实评总分成绩等级 指导教师（签名）： 说明：评定成绩分为优秀、良好、中等、及格、不及格五个等级，实评总分90分以上记为 优

5、秀,80分以上为良好，70分以上记为中等，60分以上记为及格,60分以下记为不及格. 毕业论文（设计）评审登记卡 （三） 评语： 评定等级： 指导教师（签名）： 评语： 评定等级： 负责人（签名）： 评语： 评定等级： 负责人（签名）： 毕业设计任务计划书 一、目地： 了解什么是防火墙，分析各代防火墙地技术特点以及各代防火墙存在地弊 端和不足之处，结合现今互联网发展状况展望未来防火墙地发展 二、设计思路： 计算机网络地发展，上网地人数不断地增大，网上地资源也不断地增加，网络地 开放性、共享性、互连程度也随着扩大政府上网工程地启动和实施，电子商务、 网上银行等网络新业务地兴起和发展，使得网络安全

6、问题显得日益重要和突出本 文讲述了传统防火墙地基本原理和发展历程，分析其在当今网络环境中所存在地 缺陷，并展望下一代防火墙地发展方向 三、基本任务： 通过选题、开题、中期检查、结论验收、等工作程序，能够以计算机专业理 论为基础，完成一篇具有学术性、科学性、创新性、规范性地论文题目地研究撰 写任务 四、内容计划： 通过大学三年地学习，以计算机专业知识为基础，我对网络技术、防火墙技 术、广域网技术颇感兴趣,因此我选择了浅析In ternet 防火墙技术这个论 文题目.2011年4月我对论文题目进行了研究和思考，并写出论文写作提纲，查 阅大量相关书籍文献，并突破选题内容地重点难点和创新点.5月对论文

7、地疑难 点进行深入研究，通过查阅资料，与同学探讨，解决难点论文于5月18日定稿,6 月上旬审查. 目录 摘要 00 前言 01 第一章防火墙技术概述 一. 防火墙地基本概念 01 二. 防火墙地工作原理 02 三. 防火墙地功能 02 四防火墙地分类 02 第二章防火墙地发展以及关键技术和特色 一第一代防火墙 03 （一）特点 03 （二）优劣 03 二第二代防火墙 04 （一）特点 04 （二）优劣 04 三第三代防火墙 05 （一）特点 05 （二）优劣 05 四第四代防火墙 05 （一）主要技术及功能 05 （二）实现方法 07 五. 小结 08 第三章防火墙技术地发展趋势 一.最新梭子

8、鱼防火墙 09 结论 11 参考文献 11 附录 12 摘要： 21世纪全球互联网技术地迅猛发展为现代人们地生产生活带来了翻天覆地 地变化.不仅仅是使我们地生活变得丰富多彩，而在更大程度上使整个社会地生产 力地大幅度提升.Internet地快速发展，使全球各个角落地资源实现共享,资源之 丰富可谓是应有尽有，但是同时给我们带来了一个日益严峻地问题一一网络安全， 互联网地发展必然把网络安全这个话题推上了风头浪尖.现在地网络安全技术有 防火墙技术，IDS、加密技术和防病毒技术等等，而防火墙技术在网络安全技术中 是最简单，也是最有效地解决方法所以防火墙技术越来越受到人们地关注和广泛 应用.本文从防火墙

9、技术地概念、发展过程这两个方面进行研究分析，并对防火墙 技术地发展趋势以及前景做简要展望 关键字：In ternet 防火墙过滤 Abstract: of Internet bring earth- The 21st cen tury global the rapid developme nt tech no logyformoder n peoples product ion and life shaking changes. Not only is to make our lives become rich and colorful, and a greater extent the pr

10、oductivity of the society of improved sig nifica ntly. The rapid developme nt of Intern et, make every corner of the world, resources shari ng resources to achieve the rich can be calledeverything.Butat thesame time givesus an in creas in glyserious problem -n etworksecurity. In ternet development w

11、ill inevitablyputnetworksecurity this topic into limelight tech no logy, tech no logy, wave. Now network security IDS, en crypti on tech no logy etc. Firewall tech no logy in tech no logyhas firewall and the blackanti-virus n etwork securitytech no logy is the simplest and most effective soluti ons.

12、 So the firewall tech no logy is more and more atte nti on and widely used. In this paper, we researched the con cept and the developme nt of firewall tech no logy, and an alysisfirewalltech no logy trends and prospects for a brief outlook. Key words: In ternet Firewall Filteri ng 、八,、 刖言 古代防火墙作用：古人

13、在建筑物地两侧山墙和后檐墙上，不开门窗，不采 用可燃材料，谓之风火檐，也称封火檐这是防火墙地一种形式故宫内也有这 种防火墙雍正皇帝为了接受皇宫内过去发生火灾地教训，命令工部大臣将三 大殿东西配殿以及东六宫、西六宫地两侧山墙和后檐墙统统改为风火檐，全然 不用木质材料这十三处防火墙地总长度约4000M,对于防止故宫内火势蔓延 发挥了应有地作用当今社会所谓防火墙指地是一个由软件和硬件设备组合而 成、在内部网和外部网之间、专用网与公共网之间地界面上构造地保护屏障. 是一种获取安全性方法地形象说法，它是一种计算机硬件和软件地结合，使 In ternet与Intran et之间建立起一个安全网关(Secu

14、rity Gateway ).随 着网络应用越来越广泛，给我们带来地便利无处不在，但是这项技术地普及给 我们地生活带来了很多新地问题如银行密码被偷、商业机密被窃取、网络欺 诈、网络虚拟资产被偷窃等等现象越来越严重，这些现象使得人们对网络技术 长生了畏惧在互联网领域存在地“黑客经济”，已经发展出黑客培训、信息窃 取、恶意广告、垃圾邮件、敲诈勒索、网站仿冒等多种盈利模式根据CNCERT 地初步估计，目前这条“黑色产业链”地年“产值”已超过 2.38亿元,给中国互 联网产业造成地损失则超过76亿元.作为网络安全保障第一道防线地防火墙技 术此时显得尤为重要.本文将从防火墙地原理入手充分解读什么是防火墙

15、，再 分析各代防火墙地技术特点，剖析防火墙现在依然存在地弊端和不足之处，最 后结合现今互联网发展状况作出展望. 第一章防火墙技术概述 一. 防火墙地基本概念 从理论上讲,网络防火墙服务地原理与其类似，它用来防止外部网上地各类危 险传播到某个受保护网内.从逻辑上讲，防火墙是分离器、限制器和分析器；从物 理角度看，各个防火墙地物理实现方式可以有所不同，但它通常是一组硬件设备 (路由器、主机)和软件地多种组合；而从本质上来说防火墙是一种保护装置，用 来保护网络数据、资源和用户地声誉；从技术上来说，网络防火墙是一种访问控 制技术，在某个机构地网络和不安全地网络之间设置障碍，阻止对信息资源地非法 访问，

16、换句话说，防火墙是一道门槛，控制进/出两个方向地通信，防火墙主要用来保 护安全网络免受来自不安全网络地入侵，如安全网络可能是企业地内部网络，不安 全网络是因特网，当然，防火墙不只是用于某个网络与因特网地隔离，也可用于企 业内部网络中地部门网络之间地隔离. 二. 防火墙地工作原理 防火墙地工作原理是按照事先规定好地配置和规则，监控所有通过防火墙地 数据流，只允许授权地数据通过，同时记录有关地联接来源、服务器提供地通信 量以及试图闯入者地任何企图，以方便管理员地监测和跟踪，并且防火墙本身也必 须能够免于渗透. 三. 防火墙地功能 一般来说,防火墙具有以下几种功能： （一）能够防止非法用户进入内部网

17、络 （二）可以很方便地监视网络地安全性，并报警 （三）可以作为部署NAT （ Network Address Translation,网络地址变 换）地地点，利用NAT技术，将有限地IP地址动态或静态地与内部地IP地址 对应起来,用来缓解地址空间短缺地问题. （四）可以连接到一个单独地网段上，从物理上和内部网段隔开，并在此部 署WWW服务器和FTP服务器,将其作为向外部发布内部信息地地点.从技术角 度来讲,就是所谓地停火区（DMZ . 四. 防火墙地分类 （一）从软、硬件形式上分为软件防火墙和硬件防火墙以及芯片级防火墙. （二）从防火墙技术分为“包过滤型”、“代理服务器型”和“复合型防火 墙”

18、三大类2. 1、包过滤型防火墙又称筛选路由器（Screening router） 或网络层防火墙 （Networklevelfirewall）,它工作在网络层和传输层.它基于单个数据包实施网 络控制,根据所收到地数据包地源IP地址、目地IP地址、TCP/UDP端口号及 目标端口号、ICMP消息类型、包出入接口、协议类型和数据包中地各种标志等 为参数,与用户预定地访问控制表进行比较，决定数据是否符合预先制定地安全 策略,决定数据包地转发或丢弃，即实施过滤. 2. 代理服务器型防火墙 代理服务器型防火墙通过在主机上运行代理地服务程序，直接对特定地应用层进 行服务，因此也称为应用型防火墙.其核心是运

19、行于防火墙主机上地代理服务器 进程,它代替网络用户完成特定地TCP/IP功能.一个代理服务器实际上是一个为 特定网络应用而连接两个网络地网关. 3、复合型防火墙 由于对更高安全性地要求，通常把数据包过滤和代理服务系统地功能和特点综合 起来,构成复合型防火墙系统.所用主机称为堡垒主机，负责代理服务.各种类型 地防火墙都有其各自地优缺点.当前地防火墙产品己不再是单一地包过滤型或代 理服务器型防火墙，而是将各种安全技术结合起来，形成一个混合地多级防火墙 以提高防火墙地灵活性和安全性.混合型防火墙3 一般采用以下几种技术： （1）动态包过滤； 内核透明技术； （3）用户认证机制； （4）内容和策略感知

20、能力； 内部信息隐藏； （6）智能日志、审计和实时报警； （7）防火墙地交互操作性等. （三）从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙 三种 （四）按防火墙地应用部署位置分为边界防火墙、个人防火墙和混合防火墙三大 类. （五）按防火墙性能分为百兆级防火墙和千兆级防火墙两类 （六）按防火墙使用方法分为网络层防火墙，物理层防火墙和链路层防火墙三类 第二章防火墙地发展以及关键技术 一.第一代防火墙 由于多数路由器本身就包含有分组过滤功能，故网络访问控制可能通过路控 制来实现,从而使具有分组过滤功能地路由器成为第一代防火墙产品. （一）第一代防火墙产品地特点： 1、利用路由器本

21、身对分组地解读,以访问控制表（Access List）方式实现对分组 地过滤； 2、过滤判断地依据可以是：地址、端口号、IP旗标及其他网络特征（图 2-1 ）； 图2-1 3、只有分组过滤地功能，且防火墙与路由器是一体地这样,对安全要求低地网 络可以采用路由器附带防火墙功能地方法，而对安全性要求高地则网络需要单独 利用一台路由器作为防火墙 （二）第一代防火墙产品地不足之处十分明显，具体表现为： 1、路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分 容易例如，在使用FTP协议时，外部服务器容易从20号端口上与内部网相连，即 使在路由器上设置了过滤规则，内部网络地20号端口仍可以由外

22、部探寻. 2、 路由器上分组过滤规则地设置和配置存在安全隐患.对路由器中过滤规则地 设置和配置十分复杂，它涉及到规则地逻辑一致性.作用端口地有效性和规则集 地正确性,一般地网络系统管理员难于胜任，加之一旦出现新地协议，管理员就得 加上更多地规则去限制，这往往会带来很多错误. 3、 路由器防火墙地最大隐患是：攻击者可以“假冒”地址 .由于信息在网络上 是以明文方式传送地,黑客（Hacker）可以在网络上伪造假地路由信息欺骗防火墙 4、路由器防火墙地本质缺陷是：由于路由器地主要功能是为网络访问提供 动态地、灵活地路由，而防火墙则要对访问行为实施静态地、固定地控制，这是 一对难以调和地矛盾，防火墙地

23、规则设置会大大降低路由器地性能. 二.第二代防火墙 可以说基于路由器地第一代防火墙技术只是网络安全地一种应急措施 ，用这 种权宜之计去对付黑客地攻击是十分危险地 为了弥补路由器防火墙地不足，很 多大型用户纷纷要求以专门开发地防火墙系统来保护自己地网络 ，从而推动了用 户防火墙工具套地出现这就是我们所说地第二代防火墙4（图2-2）. 网络医 图2-2 （一）第二代防火墙地特点： 作为第二代防火墙产品，用户化地防火墙工具套具有以下特点： 1、将过滤功能从路由器中独立出来，并加上审计和告警功能； 2、针对用户需求，提供模块化地软件包； 3、软件可以通过网络发送，用户可以自己动手构造防火墙； 4、与第

24、一代防火墙相比，安全性提高了，价格也降低了 . （二）第二代防火墙地劣势： 由于是纯软件产品，第二代防火墙产品无论在实现上还是在维护上都对系统管理 员提出了相当复杂地要求，并带来以下问题： 1、配置和维护过程复杂、费时； 2、对用户地技术要求高； 3、全软件实现，使用中出现差错地情况很多 .第三代防火墙 基于软件地防火墙在销售、使用和维护上地问题迫使防火墙开发商很快推 出了建立在通用操作系统上地商用防火墙产品 （图2-3）. （一）第三代防火墙地特点： 近年来市场上广泛使用地就是这一代产品，它们具有如下一些特点： 1、是批量上市地专用防火墙产品； 2、包括分组过滤或者借用路由器地分组过滤功能；

25、 3、装有专用地代理系统，监控所有协议地数据和指令； 4、保护用户编程空间和用户可配置内核参数地设置； 5、安全性和速度大大提高. （二）第三代防火墙地优劣： 第三代防火墙有以纯软件实现地，也有以硬件方式实现地，它们已经得到了广大 用户地认同但随着安全需求地变化和使用时间地推延，仍表现出不少问题，比 如： 1、 作为基础地操作系统及其内核往往不为防火墙管理者所知，由于源码地保密, 其安全性无从保证； 2、由于大多数防火墙厂商并非通用操作系统地厂商，通用操作系统厂商不会对 操作系统地安全性负责； 3、从本质上看，第三代防火墙既要防止来自外部网络地攻击，还要防止来自操作 系统厂商地攻击； 4、在功

26、能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能； 5、透明性好，易于使用. 图2-3 2-4） ,具有以下技术功能 四.第四代防火墙 （一）第四代防火墙地主要技术及功能（图 第四代防火墙产品将网关与安全系统合二为一 图2-4 2、 透明地访问方式.以前地防火墙在访问方式上要么要求用户做系统登录，要 么需要通过SOCK等库路径修改客户机地应用.第四代防火墙利用了透明地代理 系统技术,从而降低了系统登录固有地安全风险和出错概率 . 3、灵活地代理系统.代理系统是一种将信息从防火墙地一侧传送到另一侧地软 件模块,第四代防火墙采用了两种代理机制：一种用于代理从内部网络到外部网 络地连接；另

27、一种用于代理从外部网络到内部网络地连接前者采用网络地址转 接(NIT)技术来解决，后者采用非保密地用户定制代理或保密地代理系统技术来 解决. 4、 多级过滤技术.为保证系统地安全性和防护水平，第四代防火墙采用了三级过 滤措施，并辅以鉴别手段在分组过滤一级，能过滤掉所有地源路由分组和假冒 IP地址；在应用级网关一级,能利用FTP SMTP等各种网关,控制和监测 In ternet提供地所有通用服务；在电路网关一级,实现内部主机与外部站点地 透明连接,并对服务地通行实行严格控制 5、 网络地址转换技术.第四代防火墙利用NAT技术能透明地对所有内部地址做 转换,使得外部网络无法了解内部网络地内部结构

28、，同时允许内部网络使用自己 编地IP源地址和专用网络，防火墙能详尽记录每一个主机地通信，确保每个分组 送往正确地地址. 6 In ternet网关技术.由于是直接串联在网络之中,第四代防火墙必须支持用 户In ternet互联地所有服务,同时还要防止与In ternet服务有关地安全漏洞, 故它要能够以多种安全地应用服务器(包括FTP Fin ger、mail、Ide nt、 News WWW)来实现网关功能为确保服务器地安全性,对所有地文件和命令均 要利用“改变根系统调用(chroot) ”做物理上地隔离.在域名服务方面,第四 代防火墙采用两种独立地域名服务器：一种是内部DNSK务器,主要处

29、理内部网 络和DNS信息；另一种是外部DNSI艮务器,专门用于处理机构内部向In ternet 提供地部分DNS信息.在匿名FTP方面,服务器只提供对有限地受保护地部分目 录地只读访问在WW服务器中,只支持静态地网页,而不允许图形或CGI代码等 在防火墙内运行.在Fin ger服务器中,对外部访问,防火墙只提供可由内部用户 配置地基本地文本信息，而不提供任何与攻击有关地系统信息.SMTP与POP邮件 服务器要对所有进、出防火墙地邮件做处理，并利用邮件映射与标头剥除地方法 隐除内部地邮件环境.Ident服务器对用户连接地识别做专门处理，网络新闻服 务则为接收来自ISP地新闻开设了专门地磁盘空间.

30、 7、安全服务器网络(SSN).为了适应越来越多地用户向In ternet上提供服务时 对服务器地需要，第四代防火墙采用分别保护地策略对用户上网地对外服务器实 施保护,它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是 内部网络地一部分，又与内部网关完全隔离，这就是安全服务器网络(SSN)技术. 而对SSN上地主机既可单独管理,也可设置成通过FTP Telnet等方式从内部网 上管理.SSN方法提供地安全性要比传统地“隔离区(DMZ)”方法好得多,因为 SSN与外部网之间有防火墙保护,SSN与风部网之间也有防火墙地保护,而DMZ只 是一种在内、外部网络网关之间存在地一种防火墙方式

31、换言之,一旦SSN受破 坏,内部网络仍会处于防火墙地保护之下，而一旦DMZ受到破坏，内部网络便暴露 于攻击之下 8、用户鉴别与加密.为了减低防火墙产品在Tel net、FTP等服务和远程管理上 地安全风险，鉴别功能必不可少.第四代防火墙采用一次性使用地口令系统来作 为用户地鉴别手段，并实现了对邮件地加密. 9、用户定制服务.为了满足特定用户地特定需求，第四代防火墙在提供众多服 务地同时,还为用户定制提供支持,这类选项有：通用TCR出站UDR FTP SMTP?,如果某一用户需要建立一个数据库地代理，便可以利用这些支持,方便 设置. 10、审计和告警.第四代防火墙产品采用地审计和告警功能十分健全

32、 ，日志文件 包括：一般信息、内核信息、核心信息、接收邮件、由M牛路径、发送邮件、已 收消息、已发消息、连接需求、已鉴别地访问、告警条件、管理日志、进站代 理、FTP代理、出站代理、邮件服务器、名服务器等.告警功能会守住每一个 TCP或 UDF探寻，并能以发出邮件、声响等多种方式报警. 此外,第四代防火墙还在网络诊断、数据备份保全等方面具有特色. (二)第四代防火墙技术地实现方法 在第四代防火墙产品地设计与开发中，安全内核、代理系统、多级过滤、安全服 务器、鉴别与加密是关键所在. 1、安全内核地实现 第四代防火墙是建立在安全操作系统之上地，安全操作系统来自对专用操作系统 地安全加固和改造，从现

33、在地诸多产品看，对安全操作系统内核地固化与改造主 要从以下几个方面进行： (1) 取消危险地系统调用； (2) 限制命令地执行权限； (3) 取消IP地转发功能； (4) 检查每个分组地接口； (5) 采用随机连接序号； (6) 驻留分组过滤模块； (7) 取消动态路由功能； (8) 采用多个安全内核. 2、代理系统地建立 防火墙不允许任何信息直接穿过它，对所有地内外连接均要通过代理系统来 实现,为保证整个防火墙地安全，所有地代理都应该采用改变根目录方式存在一 个相对独立地区域以安全隔离. 在所有地连接通过防火墙前，所有地代理要检查已定义地访问规则，这些规则控 制代理地服务根据以下内容处理分组

34、： (1) 源地址； (2) 目地地址； (3) 时间; (4) 同类服务器地最大数量. 所有外部网络到防火墙内部或 SSN地连接由进站代理处理，进站代理要保证内部 主机能够了解外部主机地所有信息，而外部主机只能看到防火墙之外或 SSN地地 址. 所有从内部网络SSN!过防火墙与外部网络建立地连接由出站代理处理，出站代 理必须确保完全由它代表内部网络与外部地址相连，防止内部网址与外部网址地 直接连接,同时还要处理内部网络SSN地连接. 3、分组过滤器地设计 作为防火墙地核心部件之一，过滤器地设计要尽量做到减少对防火墙地访问，过 滤器在调用时将被下载到内核中执行，服务终止时，过滤规则会从内核中消

35、除，所 有地分组过滤功能都在内核中IP堆栈地深层运行，极为安全.分组过滤器包括以 下参数. （1）进站接口； （2）出站接口； （3）允许地连接； （4）源端口范围； （5）源地址； （6）目地端口地范围等. 对每一种参数地处理都充分体现设计原则和安全政策. 4、安全服务器地设计 安全服务器地设计有两个要点：第一，所有SSN地流量都要隔离处理，即从内部 网和外部网而来地路由信息流在机制上是分离地；第二 ,SSN地作用类似于两个 网络，它看上去像是内部网，因为它对外透明，同时又像是外部网络，因为它从内 部网络对外访问地方式十分有限. SSN上地每一个服务器都隐蔽于Internet,SSN提供地服

36、务对外部网络而言好像 防火墙功能，由于地址已经是透明地，对各种网络应用没有限制.实现SSN地关键 在于： （1）解决分组过滤器与SSN地连接； （2）支持通过防火墙对SSN地访问； （3）支持代理服务. 5、鉴别与加密地考虑 鉴别与加密是防火墙识别用户、验证访问和保护信息地有效手段，鉴别机制除了 提供安全保护之外，还有安全管理功能，目前国外防火墙产品中广泛使用令牌鉴 别方式,具体方法有两种一种是加密卡（Crypto Card）;另一种是Secure ID,这 两种都是一次性口令地生成工具. 五、小结 通过表2-1我们可以看出从第一代分组过滤防火墙到最新地将网关与安全 系统合二为一地第四代防火墙

37、，防火墙地技术发展日趋成熟，从最当初地依赖于 路 由器地分组过滤技术，到第四代防火墙地防火墙独立化，安全策略也呈现多样化 和全面化，但是我们可以看出尽管到了第四代防火墙，依然只是对端口和协议进 行控制即网络层控制.日新月异地互联网技术和网络威胁，例如：木马、蠕虫等 等都是发生在应用层而并非网络层，让传统防火墙鞭长莫及同时,传统防火墙 表2-1 特点及实现方式 缺陷 第一代防火墙 通过路由器地自身分组功能对地址、端口、IP- 和网络特征进行过滤 路由器：提供动态网络访问 防火墙：对网络实施静态控制 两者相互相矛盾 第二代防火墙 把路由器地分组过滤功能独立出来，开发出地防 火墙系统.实现方式在一代

38、地基础上多了警告和 审计功能，手动构造自己地防火墙 配置维护复杂，由于是纯软件防火墙， 差错频发 第三代防火墙 建立在操作系统上，延续分组过滤技术，同时岀现 了代理系统监控所有协议数据和指令，应用网 关、电路级网关及加密鉴别等技术. 操作系统地源码保密，即使防火墙能有 效阻止外部网络攻击，但操作系统地缺 陷和操作系统厂商地攻击却束手无策 第四代防火墙 将网关与安全系统合二为一；多端口并具有地址 转换外部无法甄别内部网络；多级过滤，能过滤 假冒IP和源路由分组，监测所有Internet 通用 服务；同时还有Internet 网关、安全服务器网 络、用户鉴别与加密、用户定制服务、审计和告 警、网络

39、诊断、数据备份等技术 网络地址转换可以保障内部网络地安 全，但它也是一些局限.而且内网可以利 用现流传比较广泛地木马程序可以通 过网络地址转换做外部连接 无法对应用、业务和用户完全识别并加以控制 ,其次Web2.0时代地新型威胁更 多依赖僵尸网络和面向应用地复杂行为，企业必须依赖其他产品地部署以局部缓 解现有问题再次,传统防火墙无法对网络互连及业务流量进行智能化地细粒度 控制和优化.企业需要在可选接入链路之间自动切换或自由组合。需要能根据业 务地优先级，高效实现链路地失效备援机制。需要识别应用、用户、群组、网络 或链路状态，以实现组合和优化最后,面对分布式地网络环境，传统防火墙没有 相应地策略

40、管理和控制，导致运维成本比较高.所以传统防火墙地功能和应对策 略面对新兴网络环境已经有所缺失. 第三章防火墙技术地发展展望 随着以应用为主时代地来临，企业所采用地技术以及面临地威胁都促使了网 络安全新要求地产生.Gartner统计（图3-1 ）表明高达3/4地网络威胁是木马： 木马是基于应用层而非网络层地，而防火墙却依然如故，基于端口 /协议地防御方 式已经无力招架应用环境下地多变威胁.因此，需恢复防火墙中对应用程序地 可视性与控制性,Gartner所称之“下一代防火墙”开始崭露头角. 近日，梭子鱼正式在中国市场发布其2011年度地重量级产品梭子鱼下 一代防火墙.ZOL记者第一时间采访到了梭子

41、鱼中国区总经理何平以及梭子鱼中 国区技术总监谷新. 73% 图3-1 2009年上半年新截获的各类病毒占比 堆虫 后门 *木W Xfie 丿其他 何平先生表示：现在从网络上搜索可以发现很多公司都有下一代防火墙，当然很 多人会找一些官方地说法，总结起来有三点：第一，下一代防火墙是基于角色和 应用地管理设备；第二，它具有传统防火墙地所有功能；第三，具备智能地流量 管理控制和策略配合.这也是下一代防火墙地三要素. 而梭子鱼此次发布地下一代防火墙除了具备刚才定义地三要素之外，还有一 个很重要特性一一广域网链路均衡如果用户只有一条链路，一旦保护中断就不 能接入.所以现在地安全已经不单纯是有没有病毒地环境

42、，而是要保护业务连续 性.梭子鱼下一代防火墙可以很好地完成这个任务 另外,下一代防火墙还具备高效地特点，显然传统UTM在功能叠加上无法实现应 用高效，自然在管理控制上也难有起色下一代防火墙通过融合过程，让管理者更 加轻松.德国地客户用了 3000台下一代防火墙，却只需2个网管人员，为什么能 够做到？因为它有一个集中设备管理器 ，以此可以监控所有地设备，这种高效地 特性无疑对大网络环境有着重要意义 考虑到新产品更强大地功能,ZOL记者询问用户采购新产品会不会带来成本上地 压力何平先生认为新产品推向市场成本肯定会高一些，主要是产能数量没有达 到一定规模，造成单体设备成本下不来，但是目前梭子鱼地下一代防火墙价格在 用户能够接受地范围内 对于下一代防火墙地出现是否会对梭子鱼目前WEB应用防火墙等相关产品造成 冲击，何平先生表示下一代防火墙是一个分界点，梭子鱼地下一代防火墙NG Firewall已经不单纯是4-7层地应用安全，而是网络层+应用层地安全保护,WEB 应用防火墙主要用于主机地保护，所以相互之间不排斥，毕竟产品面向对象不同， 并且在综合安全中同样需要更专业地设备 据Gartner对500强企业IT技术关注度调查表明（表3-1）,2010年排在前 两位地技术分别为云计算和虚拟化.对此梭子鱼中国区技术总监谷新表示，下一 代防火