帮我找找有关于防火墙的用途和例子，我写论文用的谢谢

关于防火墙论文的参考文献！急！急急！~

随着计算机网络的飞速发展，网络安全越来越被人们所认识和重视，在维护网络正常运行方面越来越起到举足轻重之作用，已成为当代信息社会的一个重要特征。在众多安全措施中，防火墙首当其中。以网络安全为中心，考虑网络的各个层面，整体把握网络在应用中的安全性。在构造防火墙的过程中，阐述进行设计防火墙的大部分概念和重要理论依据。介绍TCP／IP(传输控制协议／网际协议)协议以及防火墙常用的IP消息类型TCP(传输控制协议)、UDP(用户数据报协议)、ICMP(网际控制报文协议)及其在网络传输中的作用、介绍数据输出包、数据输入包的概念及其基于防火墙中的思想。 从防火墙设计的逻辑关系来看，文中总体把握包过滤防火墙的思想，深入细致地介绍了网络会话的细节，基于输入包和输出包的过滤思想，如何有选择性地开放Internet公共服务三方面重要的内容，并提供相关实例。文章在介绍相关安全防御的同时对于常见的黑客攻击原理也做了说明，包括TCP SYN湮没攻击、Ping湮没攻击、UDP湮没攻击等。 在防火墙实现上，本文是基于Redhat Linux操作系统，主要用Linux2.4内核中ipchains构造不同网络拓朴结构的防火墙。文中对防火墙工具ipchains及其参数进行了详细的说明与描述，给出了具体的数据包过滤流程。从对防火墙机器的具体设置说起，介绍不同的网络体系结构并利用防火墙设计工具ipchains针对其各自设计，阐述防火墙设计的两种安全策略：默认禁止一切和默认接受一切，并对其进行相互的比较，给出相关的脚本语言。文中针对单系统、堡垒防火墙屏蔽子网、带DMZ(非军事化区)防御带三种不同网络拓扑结构加以说明，阐述NAT(网络地址转换)的原理和DMZ工作原理以及它们的相应网络拓扑结构。同时给出基于DNS服务的相关脚本。 本文主要针对中小型网络而设计基于Linux操作系统的包过滤防火墙，旨在保护其网络安全并节俭网络费用，为此实现NAT共享IP，屏蔽保护子网共享防火墙外网真实IP，达到伪装保护且节俭网络费用之功效，从而减轻网络负担；构造DMZ，将保护子网与网络服务器分离，有效地解决服务器提供网络服务与子网安全保护这一对矛盾，从而规划有效的防火墙设计适应更加复杂的安全策略。 本论文设计的包过滤防火墙体系兼结构简单、针对性强、投入费用少等特点，同时 为中小型企业构建和维护防火墙提供了相关的理论依据和参考。 试问你是大学生不，这是大学生防火墙论文的。我去年用的

你这篇中国知网也好，万方数据也好都有例子！甚至百度文库都有！

==================论文写作方法===========================

论文网上没有免费的，与其花人民币，还不如自己写，万一碰到骗人的，就不上算了。
写作论文的简单方法，首先大概确定自己的选题，然后在网上查找几份类似的文章，通读一遍，对这方面的内容有个大概的了解！
参照论文的格式，列出提纲，补充内容，实在不会，把这几份论文综合一下，从每篇论文上复制一部分，组成一篇新的文章！
然后把按自己的语言把每一部分换下句式或词，经过换词不换意的办法处理后,网上就查不到了,祝你顺利完成论文!

　　防火墙的概念
　　当然，既然打算由浅入深的来了解，就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦著火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。再电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

　　防火墙的功能

　　防火墙是网络安全的屏障：

　　一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

　　防火墙可以强化网络安全策略：

　　通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

　　对网络存取和访问进行监控审计：

　　如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

　　防止内部信息的外泄：

　　通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。
　　除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。
　　参考资料：http://bbs.btbbt.com/viewthread.php?tid=358293

　　防火墙的用途简单的说，就是防止非法程序对计算机的入侵。非法程序包括病毒，木马程序，黑客入侵，等等，只要是未经许可的入侵，均可视为非法。

　　防火墙的用途（Firewall Purpose）
　　撰文者： Indeepnight 位於 上午 8:55
　　防火墙是近年才开始受大众注目，以前都只把焦点放在防毒软体的能力上

　　不过，防火墙的用意虽然是好的，可是对於大众来说，它的功能经常都会让人摸不著头绪，甚至会防碍原有操作电脑的顺畅性

　　现在的作业系统，也都预设有防火墙的功能（M$、Linux皆有），不过大多数都是行销策略的手法，让大家感觉到物超所值，但实际的应用面就...乏人问津，至於硬体与软体之间的差异，可以参考笔者先前写的防火墙的使用，有粗略的说明

　　今天笔者就来说明一些较为常见的应用与设定：

　　Internet的发展给企业带来了革命性的改革和开放，企业正努力通过利用

　　它来提高市场反应速度和办事效率，以便更具竞争力。企业通过Internet，可

　　以从异地取回重要数据，同时又要面对Internet开放带来的数据安全的新挑战

　　和新危险：即客户、销售商、移动用户、异地员工和内部员工的安全访问；以

　　及保护企业的机密信息不受黑客和工业间谍的入侵。因此企业必须加注安全的

　　“战壕”，而这些“战壕”又要在哪里修建呢?

　　基于Internet体系应用有两大部分：Intranet和Extranet。Intranet是借

　　助Internet的技术和设备在Internet上面构造出企业3W网，可放入企业全部信

　　息；而Extranet是在电子商务、互相合作的需求下，用Intranet间的通道，可

　　获得其它体系中部分信息。因此按照一个企业的安全体系可知防火墙战壕须在

　　以下位置上位置：

　　①保证对主机和应用安全访问；

　　②保证多种客户机和服务器的安全性；

　　③保护关键部门不受到来自内部的攻击、外部的攻击、为通过Internet与

　　远程访问的雇员、客户、供应商提供安全通道。

　　同时防火墙的安全性还要来自其良好的技术性能。一般防火墙具备以下特

　　点：

　　①广泛的服务支持，通过将动态的、应用层的过滤能力和认证相结合，可

　　实现WWW浏览器、HTTP服务器、FTP等；

　　②对私有数据的加密支持，保证通过Internet进行虚拟私人网络和商务活

　　动不受损坏；

　　③客户端认证只允许指定的用户访问内部网络或选择服务，是企业本地网

　　与分支机构、商业伙伴和移动用户间安全通信的附加部分；

　　④反欺骗，欺骗是从外部获取网络访问权的常用手段，它使数据包好似来

　　自网络内部。Firewall-1能监视这样的数据包并能扔掉它们；C/S 模式

　　和跨平台支持，能使运行在一平台的管理模块控制运行在另一平台的监

　　视模块。

　　网络安全：初上网者必看---我们为什么需要防火墙
　　来源：赛迪网 时间：2006-10-04 09:10:44

　　很多网络初级用户认为，只要装了杀毒软件，系统就绝对安全了，这种想法是万万要不得的！在现今的网络安全环境下，木马、病毒肆虐，黑客攻击频繁，而各种流氓软软件、间谍软件也行风作浪。怎样才能让我们的系统立于如此险恶的网络环境呢？光靠杀毒软件足以保证我们的系统安全吗？下面我就从影响系统安全的几个方面来剖析防火墙的重要性。

　　现在的网络安全威胁主要来自病毒攻击、木马攻击、黑客攻击以及间谍软件攻击。杀毒软件发展了十几年，依然是停留在被动杀毒的层面（别看那些自我标榜主动防御，无非是一些骗人的幌子，看看这个文章就知道了http://column.chinabyte.com/388/2014388.shtml），而国外的调查表明，当今全球杀毒软件对80%的病毒无法起到识别作用，也就是说，杀毒软件之所以能杀毒，纯粹是根据病毒样本的代码特征来识别他是否是病毒，就如警察抓住一个小偷，这个小偷留着大胡子，于是警察就天天在街上盯着大胡子的人。这样的杀毒效果可想而知。同样的道理，杀毒软件对于木马、间谍软件的防范也是基于这种方式。

　　现在病毒、木马的更新很快，从全球范围内来看，能造成较大损失的病毒木马，大部分都是新出现的，或者是各类变种，由于这些病毒木马的特征并没有被杀毒软件掌握，因此杀毒软件对它们是既不能报警，也无法剿杀。难道我们就任病毒木马宰割了吗？当然不！高手岂能向几个病毒木马低头！虽然杀毒软件只能干瞪眼，可是我们还有严守大门的防火墙呢！

　　防火墙为什么就能挡住病毒木马甚至是最新的病毒木马变种呢？这就要从防火墙的防御机制说起了。防火墙是根据连接网络的数据包来进行监控的，也就是说，防火墙就相当于一个严格的门卫，掌管系统的各扇门（端口），它负责对进出的人进行身份核实，每个人都需要得到最高长官的许可才可以出入，而这个最高长官，就是你自己了。每当有不明的程序想要进入系统，或者连出网络，防火墙都会在第一时间拦截，并检查身份，如果是经过你许可放行的（比如在应用规则设置中你允许了某一个程序连接网络），则防火墙会放行该程序所发出的所有数据包，如果检测到这个程序并没有被许可放行，则自动报警，并发出提示是否允许这个程序放行，这时候就需要你这个“最高统帅”做出判断了。一般来说，自己没有运行或者不太了解的程序，我们一律阻拦，并通过搜索引擎或者防火墙的提示确认该软件的性质。

　　写到这里，大家估计对杀毒软件和防火墙的区别有一定了解了，举个直观的例子：你的系统就好比一座城堡，你是这个城堡的最高统帅，杀毒软件和防火墙是负责安全的警卫，各有分工。杀毒软件负责对进入城堡的人进行鉴别，如果发现可疑的人物就抓起来（当然，抓错的几率很大，不然就没有这么多误杀误报事件了）；而防火墙则是门卫，对每一个进出城堡的人都进行检查，一旦发现没有出入证的人就向最高统帅确认。因此，任何木马或者间谍软件，或许可能在杀毒软件的眼皮底下偷偷记录你的帐号密码，可是由于防火墙把城门看得死死的，再多的信息也传不出去，从而保护了你的系统安全。

　　另外，对于黑客攻击，杀毒软件是没有任何办法的，因为黑客的操作不具有任何特征码，杀毒软件自然无法识别，而防火墙则可以把你系统的每个端口都隐藏起来，让黑客找不到入口，自然也就保证了系统的安全。

　　目前全球范围内防火墙种类繁多，不过从个人经验来说，推荐天网防火墙给大家。天网防火墙可以有效的防止黑客、木马或者其他恶意程序盗取您的隐私包括：网上银行、网络游戏、QQ等的帐号和密码。

具有关统计资料显示，一般企业员工平均每天有三分之一的上班时间是在网上浏览与工作无关的信息；在员工从互联网下载各种信息中，只有25％的下载信息与其所从事的工作有关。缺乏有效的内部用户上网管理措施，将会导致工作效率的下降，这与网络发展的初衷相违背的。
互联网是一个没有国界的网络，网络中有许多宣传反动言论、色情和封建迷信的站点。如果没有有效的针对用户身份管理监控手段来对用户的上网进行必要的限制和记录，同时也没有对用户的上网时间进行限制，对于一些非法站点也没有采取有效手段来过滤。一旦出现问题，往往因为没有用户上网的历史记录而法无追查下去，给企业的网络管理带来许多不必要的麻烦。
防火墙是位于企业网络边界最常用的网络安全设备，主要用于控制外部网络对内部网络的访问，并决定内部网络可以访问哪些外部资源和目标，同时还可以抵御各类拒绝服务攻击和扫描攻击，保护企业局域网和服务器免受外部非授权的访问和攻击。防火墙产品作为对网络访问进行有效控制的信息安全设备，在对用户的网络访问进行控制的时候，使用有效的用户身份认证技术来区分不同的用户身份，以适应不同访问级别的用户对网络访问的不同权限，弥补传统防火墙仅仅基于IP或MAC访问控制的局限性，有效地实现内部人员上网的行为管理和审计管理。目前在市场上销售的防火墙提供用户身份认证功能的并不多见，即使提供，也多在应用层完成用户的身份认证，具有效率低、适应性差、难以推广应用等诸多不足。中网智能防火墙不仅能够提供基于IP或MAC的过滤和访问控制机制，而且能够提供基于用户身份的认证功能，实现对所有用户进行分组、对用户组进行授权管理。在高安全性的场所，当用户通过防火墙进行访问时，首先需要对其身份进行认证是非常必要的，认证的方式可以通过任何支持认证的网页浏览器，身份认证是基于密码技术的，对管理员用户名和口令在传输时进行加密，并对防火墙和控制端之间传输的所有数据进行加密，有效防范在网络传输过程中数据被窃听、篡改，达到更高可靠性的身份认证。在用户身份认证通过后，确定用户所属的用户组，对该用户组所拥有的授权来进行访问控制，并对用户被授权后所有的访问进行记录、实现审计。这样，就可以避免各种针对IP、MAC等的攻击，将权责落实到具体的用户，不仅极大地增强了防火墙的防御能力、也便于防火墙系统的管理和维护。中网智能防火墙在系统内核层直接支持基于鉴别、授权、审计（AAA）的功能。将AAA直接引入到网络内核，有效的控制了基于假身份的欺骗、不确定和消耗资源等问题。AAA是Authentication、Authorization和Accounting的简写形式。其中，认证提供对用户的合法性检查（Who is the user）；授权用于规范每个用户的行为（What can be done by the user ）；审计则用于记录每个用户的行为（What is the user doing or has done by the user）。在结合了AAA功能的中网智能防火墙中，一个用户经由防火墙提供服务必须先后经过认证和授权后才能开始所提供的服务，同时要对服务的开始时间、结束时间、传输字节数、传输包数、提供服务的总时间等相关信息进行记录。中网智能防火墙在网络内核采用的AAA用户认证系统，解决了在应用代理一级进行身份认证存在的只能为有限的、个别的应用服务提供认证功能、包处理效率低、流量或时间控制管理不能针对用户身份的局限性。它采用在系统内核实现用户身份认证技术，则可以为任何网络协议、应用服务提供身份认证功能，提供基于用户身份的认证、授权等管理，同时大大提高系统的处理效率。目前，中网智能防火墙的AAA用户身份认证的主要管理功能有：认证规则管理：认证规则就是一系列过滤器，以确定哪些服务、那些应用需要用户身份认证之后，才能够访问，哪些服务不需要用户身份认证就可以直接访问。每条认证规则均包括以下部分信息：用户的网络或主机、要访问的目的网络或主机、哪些用户的网卡的访问需要认证，以及需要认证或不需要认证的控制等。通过对认证规则的管理，即可实现基于用户的访问控制和应用的管理。访问规则管理：访问规则用于对用户访问进行授权，授权包括允许访问和禁止访问，控制用户可以访问或不可以访问的服务。访问规则是通过访问规则组来管理，访问规则组就是由多条访问规则构成的一个组，组中的所有规则不分先后次序，没有优先级，因此同一个组中的所有规则不应有重叠的部分。通过对访问规则的管理，即可实现用户授权的管理。
用户身份管理：防火墙系统的用户管理可以用于创建、编辑、删除和查询认证用户身份，并包括显示用户列表、创建新用户、删除用户、修改用户密码和资料、查询用户等操作。中网智能防火墙通过认证规则管理、访问规则管理和用户身份管理，实现AAA身份认证机制，很好的解决了传统防火墙在用户认证应用上的局限性和性能问题，同时极大的丰富了防火墙固有的用户管理和访问控制能力，使中网智能防火墙更好得实现了对网络服务认证与授权的有效监控。
关于此次评测
我们几乎不需要告诉你防火墙是抵御对网络进行非法攻击的重要的第一道防线，你肯定知道这些。但是你不知道的是，同一个网络在为用户访问重要数据提供方便途径的同时，也给任何在同一网络上利用已知的漏洞或者寻找新的弱点进行攻击的人提供了便利、易于访问的特点，还有操作系统（例如unix和nt）声名狼藉的脆弱的安全性，这些加在一起就是一场眼看就要发生的灾难。所有的防火墙产品都提供一个集中控制点来控制访问，好的防火墙还能使你在期望的和不期望的数据可访问性之间达到微妙的平衡。像防火墙这样的必需工具并不是解决种种更为复杂的问题的万能神药。例如，一旦你选择了一种防火墙，就要花费大量时间来计算你想通过它提供多少种访问。你还需要处理所有单个系统上操作系统的弱点，因为即使最好的防火墙也必须确定几种不同的访问级别。如果不这样作，就会使防火墙内的一切东西暴露出来而成为笑柄。幸运的是，有几种工具可以帮助你来完成这一艰巨的任务。这次我们的注意力集中在那些适合在企业环境中安装并具有优良的性能和管理功能的防火墙产品上。我们确定了八个我们认为符合标准的厂商，向它们发出邀请，并清楚地描述了我们的测试需求。八个厂商中有七家接受了邀请并向我们设在syracuse大学的real－world实验室提供了产品，这些厂商和它们的产品是：axent 科技 (提供raptor firewall)、 check point 软件科技公司 (firewall－1)、CISCO 系统公司 (pix firewall 520)、cyberguard公司 (firewall)、netguard 公司(guardian)、netscreen科技公司(netscreen－100) 和secure computing公司 (securezone)。只有nai拒绝提供产品，也没有就此说明原因。在研究过这些产品的性能和管理功能及其区分有效和非法网络访问的能力之后，我们感到所有的产品都将为成熟的防火墙市场带来良好的信誉。check point的firewall－1提供了最佳的整体性能以及管理和日志功能，因此获得了我们的编辑选择奖。check point通过单一用户界面来实现最高防火墙策略管理，这个界面广泛使用颜色和图形以简化管理。此外，它的日志功能和监控功能也出类拔萃。
axent的raptor和它强劲的代理应用程序也给我们留下了非常深刻的印象。实际上，所有七种产品都非常出色且各有所长，判定这些产品的优劣，将取决于你的具体需求。
每个厂商都在它们提供的操作系统和硬件平台上安装了自己的产品。check point、axent和cyberguard都提供unix和nt版本的产品，因此它们必须在二者之间作出选择。由于我们强调性能，所以我们毫不奇怪这三个厂商都选择了unix平台。cyberguard和secure computing公司提交了它们自己的“加固”版本的unix，安装在intel平台上。只有netguard为测试提供了基于nt的产品。cisco的pix在intel硬件平台上运行它自己的专有操作系统，所以它本质上是一个“黑箱”解决方案。另一个黑箱解决方案由netscreen提供，它使用了专用的asic。
代理和全状态检查的比较
全状态检查技术通过维护一些状态表来跟踪每个连接的状态，同时控制应用层，进而控制数据流。防火墙在数据被允许接触防火墙操作系统之前要检查这些状态表。如果预先定义的策略允许此次访问，则让来自源连接的报头信息通过防火墙而不对其进行修改。
代理技术的支持者们认为代理更安全一些，因为代理应用程序针对特定协议截取通信数据。它只允许进行必需的、安全的和有效的操作。全状态检查阵营则声称它们的技术同样能够达到代理技术所能达到的安全指标，而且可以避免因在防火墙上复制每个应用程序的数据包而带来的性能损失。在我们的测试中，axent的raptor是最好的代理程序，它展示了一些属于全状态检查类型的firewall－1所没有的安全控制特性，但是raptor是以牺牲性能的代价做到这些的。
代理技术的另一个缺点是用户要受厂商的控制，需要厂商写代理程序来支持用户要用到的各种应用程序。在我们的测试中，尽管所有的代理厂商都设法提供对不支持协议的访问，但是它们的通用代理并没有因此而增加任何价值，因为它们没有相应的应用程序来检查这些流量，更糟的是，这些通用代理还会因此而影响性能。
除check point的firewall－1之外，cisco、 netscreen和netguard的防火墙也采用了全状态检查方法。我们发现这些产品的性能通常要优于axent、cyberguard和secure computing等采用代理技术的产品。事实上，cisco的pix的性能接近了线速。
其他资料
当使用多协议分析器在代理防火墙两侧排除一些连接故障时，我们注意到追踪数据非常困难，而这对于全状态检查产品来说则很容易。原因是在报头被重写之后，通常用来在多位置情况下识别包的源端口和序列号也随之被改变了，这使得系统很难识别这个数据包。我们被迫在数据层细心查找线索以便识别数据包。如果你曾经试图在网络的多个节点上观察包的状态，你就会知道我们的工作有多么困难和多么复杂了。在采用nat技术时（network address translation，网络地址转换），如果你试图诊断错误，你就会陷入到类似困境中，因为nat也要修改报头。
我们没有测试每个厂商的产品保护网络免遭攻击的能力，因为所有的产品都要通过icsa（international computer security association, 国际计算机安全协会，www.icsa.com）的鉴定，国际计算机安全协会有专职工作人员和一整套工具来进行此类测试。我们觉得我们不会比他们做得更多。尽管如此也不要麻痹，不要允许任何并非绝对必要的访问，牢记要系统地排除防火墙后面的机器上的所有可能的弱点，以防止某台有弱点的机器成为破坏防火墙完整性的隐患。
所有七种产品都采用nat技术。nat通过把防火墙内所有设备的源地址转换成防火墙外部地址的方法将这些设备对外发起连接的地址屏蔽掉。如果你换了家isp而且你没有自己的地址空间，或者你使用未经注册的地址空间，或者你只是想简单地访问internet而不想暴露内部网的细节，那么就有必要进行地址转换。如果你想允许外部世界访问你内部网络的服务器，你可以提供额外的外部地址，并把这个地址直接映射到相应的内部地址上就行了。
防火墙显然是设置vpn的地方，除了netscreen－100，我们测试的所有防火墙都有这个功能。netguard是唯一不支持ipsec（ip安全协议）的产品。只有raptor和firewall－1从icsa拿到了实现ipsec的证书。pix、cyberguard和firewall－1都提供卸载选项，即把cpu处理加密的工作改由一块单独的插卡来完成。

如何定制企业防火墙安全机制
前言:
随着互联网发展日渐蓬勃，由于黑客的非法入侵时及病毒摧毁计算机所造成的威胁有越来越严重的趋势，企业对于功能更强大的防火墙的需求也越来越迫切。许多的企业也因为之前没有对网络架构作好网络防护措施，付出了惨痛而昂贵的代价。在使用防火墙产品以防止黑客的非法入侵时，除了产品的安全性与执行效能外，另外善解人意的GUI接口、完整的服务功能、厂商技术支持能力等，缺一不可。在享受丰盛的Internet/Intranet各种建置及所带来的效率与成本回收的成果之时，如果企业没有一个良好的安全防范机制，企业内部网络资源将不堪一击，这不是在危言耸听。
1、防火墙来是怎样防止非法者的入侵
防火墙是Internet上公认网络存取控制最佳的安全解决方案，网络公司正式将防火墙列入信息安全机制；防火墙是软硬件的结合体，架设在网络之间以确保安全的连接。因此它可以当做Internet、Intranet或Extranet的网关器，以定义一个规则组合或安全政策，来控制网络间的通讯。并可有效率的记录各种Internet应用服务的存取信息、隐藏企业内部资源、减少企业网络曝露的危机等。所以正确安全的防火墙架构必须让所有外部到内部或内部到外部的封包都必须通过防火墙，且唯有符合安全政策定义的封包，才能通过防火墙；既然防火墙是Internet/Intranet相关技术服务进出的唯一信道，要正确的使用防火墙就必须先了解防火墙的技术为何？安全性是否符合各种应用服务的需求？认证方式有哪些及网络传输资料的加解/密功能（VPN）方式？最重要的是厂商能否提供完整且长期的服务与技术支持能力？

2、目前防火墙的技术
防火墙的安全性与研发的技术息息相关，现在市场上的防火墙主要的技术可分为封包过滤（Packet Filter）、代理应用闸信道（Application Gateway/Proxy）及多阶层状态检查（Multilayer Stateful Inspection）等，说明如下：
（1）封包过滤
就如同Router的技术,在网络层具备良好的效能和延伸能力，但只能提供Ip地址的过滤功能；封包过滤可知道每一个Ip的来源地址，但不知道使用者为何人?同样的,它会检测网络层的封包，而不会去管是什么应用程序，所以封包过滤是防火墙中功能最不安全的，因为他们不会监测到应用程序，无法知道封包传送内容，很容易被非经授权的使用者侵入。
（2）代理应用闸信道
此为最传统的防火墙技术，任何进出Internet的应用服务都必须经过防火墙的代理后，再转送到目的地；藉由代理的过程中，来检测各阶层的应用服务，但是这样做却破坏主从架构模式。此外，此种技术只支持有限制的应用程序，每一个服务或应用程序都须要专属的Proxy，因此有新的Internet服务时，使用者必须等待厂商开发新的代理应用程序才能使用；由于每一种代理（Proxy）需要不同的应用程序或daemon来执行，会因为过多的资料复制和内容交换会造成执行效能不佳。
（3）多阶层状态检查
这是一种新的防火墙专利技术，结合了封包过滤网络层的执行效能及代理应用闸信道的安全性。任何的封包会都在网络层中被拦劫，然后防火墙会从全部的应用层级中萃取出跟状态有关的数据，而且放在动态状态表来判续后续的封包；提供了应用层的资料内容安全检测，而且不会破坏主从架构模式，可以在资料保全和流量间作智能的控制，具有最大的扩展及延伸能力。

3、定制安全机制
（1）存取控制 - 定义安全政策
存取控制可定义使用者或应用服务的对象进/出企业网络，以保护企业内部资源；例如：一个企业组织只可决定于上班时间限制存取Internet特定的网站，只允许于午餐时间存取，或当系统在执行备援时，禁止存取重要的服务者等。
执行存取控制参数必须是简单且直接的，以一个明确的图形使用者接口（GUI）操作，最好全部的组件都是使用对象导向的方式来定义。而每一个规则能包含任何网络对象、服务、动作和追踪机置，并可判断规则的冲突性。防火墙除必须提供安全的存取控制外，还必须抵挡恶意的攻击。例如IP Spoofing、Denial of Service、Ping of Death等等。
（2）认证机制
防火墙认证的应用为当使用者与目的主机联机时，在通讯被允许进行之前，认证的机制服务可安全的确认他们身份的有效性，且不需要修改服务器或客户端应用软件。认证服务是可完全的被整合到企业整体的安全政策内，并能经由防火墙图形使用者接口集中管理。所有的认证会期也都能经由防火墙日志浏览器来监视和追踪。
一般防火墙所提供的认证机制与方法多寡不一，以Check Point FireWall-1为例，提供使用者的认证：针对FTP、TELNET、HTTP和RLOGIN提供透通的使用者认证；客户端认证：可针对特定IP地址的使用者授予存取的权限；透通的会期认证：提供以会期为基础的任何一种应用服务的认证等.
认证的机制包括固定的密码，如OS及防火墙的密码；以及动态的One Time Password的密码，如S/key、SectrID、RADIUS等。如要使用固定的密码认证，建议使用防火墙的密码较安全，但是固定密码还是容易被监听，最好是使用One Time Password的方式，以防止被窃取。
（3）内容的安全性
防火墙所提供的内容安全能力，可达到最高层次的应用服务协议检测，以保护使用者企业资源。以Check Point FireWall-1而言，包含计算机病毒和恶意Java与ActiveX Applets的内容安全性检查，经由图形的接口可集中管理。另外提供开放平台的安全企业连接（OPSEC）架构的API，可整合第三者厂商内容过滤的应用。主要的应用如下：
A、 URL过滤
可维护公司宝贵的网络频宽和增加网络另一层次的控制，允许网络管理者存取Internet特定网页，并可确保员工只能下传和存取的网页信息。
B、 电子邮件的支持
通过SMTP的连接提供高度的控制以保护网络。可在一个标准的应用程序地址之后，隐藏一个外出的邮件地址，或可隐藏内部的网络结构与真正的内部的使用者，或丢弃超过所给与邮件信息的容量等。

C、 FTP的支持
FTP指令（如PUT/GET）的内容安全性，可限制文件名称和档案反病毒检查等。
（4）网络地址转译
网络地址转译对Internet而言，可隐藏内部的网络地址，克服了IP地址数量的限制，可维护一个企业的内部地址的完整性，对映内部非注过册IP地址以一个合法有效的IP对外，可完整存取Internet。防火墙提供两种操作模式：
A、 动态的模式
当维持已注册IP地址给予使用者存取Internet的时候和隐藏内部实际IP地址的网络资源，可使用动态的模式达到地址转译。动态的模式可将内部所有IP地址的连接，经过防火墙与单一个合法的IP地址对外。
B、静态的模式
可应用在一个网络IP地址很早就被分派使用和你需要提供「真正的」地址，以
便人们在Internet能存取他们，静态模式的地址转译可解决上述问题。静态的模式提供一个对一个的对映在对外公开IP地址和内部真正的IP地址之间。
（5）加密（虚拟私人网络）
私人的网络利用一些公用网络的设施称为虚拟私人网络或者VPN。一个VPN与一个专属的私人的网络相比较，优点显然是是减少昂贵的费用与更多的弹性。在公开的网络环境中，公司的信息可能在网际网络传输过程中遭受窃听与篡改，可利用加密功能在Internet上建立安全的通讯频道，可确保在公司内部的资源具备完整的隐私性、真实性与资料完整性。
由于每一家的防火墙加密机制大都不同，在标准IPSec的加密未完全产品化之前， 彼此之间的整合性还是有问题。而加密软件的出口至今还是受美国的限制，一般商业的使用维持40Bits，金融项目申请可达56Bits。VPN可应用在远程使用者与防火墙之间及防火墙与防火墙之间的加解密。

（6）产品的后续支持及厂商的技术能力
Internet有新的安全产品出现，就有人会研究新的破解方法，所以一个好的防火墙提供者就必须要有一个庞大的组织作为使用者安全的后盾，也应该要有众多的使用者所建立的口碑为防火墙作见证。现今国内防火墙产品大部分是代理国外的软件，搭配硬件出售，很多防火墙的代理商都是销售单一防火墙产品，无法提供完整的安全解决方案，因企业内部有Intranet、Database等软件，如厂商无法提供整体的技术与安全政策，将会带给使用者更多的梦魇。所以在选购防火墙产品，你最好参考一下业界的评语、实际的安装经验或实地测试。
（7）内部人员考核与训练
这部分的安全政策属于人员安全的管理，主要目的在降低人员使用信息或操作信息设备时所可能发生的错误，如滥用、窃取、欺骗、遗失等问题。要避免前述的情况发生，首先应该从人员背景的调查与考核作起，尤其针对一些较敏感的信息之使用，应慎选适当人员来负责。其次，企业制定的安全政策为的就是希望让企业内部所有人员熟悉与了解。因此，最佳的方法，便是赋予人员应有的信息安全责任，并通过日常的信息安全教育训练来达到此一目的。除了以各种方式公布安全政策外，企业可以部门为单位，实施信息安全养成教育，由负责信息安全事宜的同仁来担任，解释企业信息安全政策的内容，告诉使用平时应该注意哪些细节，了解怎么做、什么事可以做、什么事不可以做。举例来说，有关计算机帐号的管理政策中明定，员工计算机中毒时，应该实时通知信息部门人员协助处理，并作详细的回报与记录，以避免计算机病毒扩散，造成企业内部更严重的损失。像这样的政策，如果只是公布，而没有对员工作适当的教育训练，一旦真的发生中毒的事件，必定是手忙脚乱，无法顺利排解问题，相反的，只会造成更多的问题。

小结：
需要特别说明的是，一个良好的防火墙安全机制如果不能有效地实施，那么一切还是形同虚设。一个专业知识有限的黑客，有时甚至是通过一次电话拨号连接，就能轻易地侵入和攻击一个企业的电脑网络，使企业直接损失上百万。如果严格执行了，那么，黑客渗透进来的成本就更高，他们就需要更多的资源，而这些都是大多数潜在的黑客做不到的。所以人还是最关键的因素。

对上网有一定影响，如果用交换机或者路由联机游戏，还得关了，特别碍事，建议把它关了。

---

怀远县15590771298： 一个关于防火墙的问题 谁来帮帮我啊? - ？
濮牧华迪： 差不多了~~其实不用装那么多 如果电脑好, 那可以再装~~~有个瑞星就行了~~~其实厉害的病毒,什么杀毒软件,什么放火墙都没用~~只有自己注意就行了

怀远县15590771298： 辩论赛 知易行难我是反方一辩,知易行难.请各位想想办法,帮我找找例子什么的,还有一辩只有开篇立论和总结陈词吗? - ？
濮牧华迪：[答案] 千古历史江流滔滔,五千年的智慧沉淀,凝结成优秀的中华文化.现在,我们要展开一场辩论:知难行易还是知易行难.我方... 明了,易是容易的意思,行指行动,难,是困难.所谓“行”是人对外界事物作用的过程,包括对“知”的运用;所谓“知”...

怀远县15590771298： 英语的一篇文章,关于餐馆颜色的关于the color of the restaurant的一篇文章,谁帮我找找或写写,还有关于开餐馆的注意事项,也是要用英语写的, - ？
濮牧华迪：[答案] 这个很简单啦…… Good Thoughts to Keep in Mind Imagine life as a game in which you are juggling some five balls in the air.You name them:Work,Family,Health,Friends,Spirit.And you're keeping all these ...

怀远县15590771298： 帮我找找有没有关于这个话题的名人例子最好是名人的议论文要用 ？
濮牧华迪： 执著的孔子>有之:“高山仰止,景行行止”一位影响了千千万万中国人思想的大圣人,他的身后,有多少仰慕、崇敬的目光.我们无法亲身聆听孔夫子教导,只能从简洁...

怀远县15590771298： 饲养层细胞的作用是什么?没分了,劳烦大家帮我找找 - ？
濮牧华迪：[答案] 在正常机体内,细胞除了获得一些血液来的营养外,还在细胞与细胞之间互换特殊的物质,用于分裂分化和营养等.因而,在细胞体外培养中,除了正常的培养基外,先培养一层特殊的细胞,然后再在其上接种要实验的细胞,这样更能模拟体内环境....

怀远县15590771298： 老年人吃阿胶的好处都有哪些?谢谢了,大神帮忙啊 - ？
濮牧华迪： 老年人吃阿胶有哪些好处1.养血补血止血: 促进造血,明显提高红细胞及血红蛋白含量,对缺铁性贫血和失血性贫血、咳血、吐血、便血、衄血、尿血、功能性子宫出血、妊娠胎漏等出血症有很好的疗效. 老年人吃阿胶有哪些好处2.提高免疫力...

怀远县15590771298： 手机是 oppoh的.为什么我的手机插上USB接口,为什么电脑没反应,手机只有充电的功能了??急!!？
濮牧华迪： 首先确定手机本身连接电脑是不是需要驱动,需要驱动的话在没有驱动的机器上会出现这个情况.然后就是供电问题,电压是一定的电流大小就没准了,如果不够大就会出现这种情况,所以尽量选用机箱后面的usb口和质量好的usb线,建议用排除法换个电脑试试看.

怀远县15590771298： 关于出黑板报的感想怎么组建成员,和对于自己工作的感想.我就想要个开头和结尾~帮我找找~ - ？
濮牧华迪：[答案] 抓住主题,进行资料收集,如果想吸引一点的话,就用多点图~

怀远县15590771298： 关于残缺美的事例!急!我要找一些伟人经过某一失败才成功的事例! 请帮我找找!明天就要交作文了!谢谢! - ？
濮牧华迪：[答案] 1 米洛斯的维纳斯,正是一双断臂更烘托她的美之无穷 2 巨作《红楼梦》.曹公已去,80回的红楼让人无限回味,又给人种种迷团!80回曹公之作,40回高鄂续作,成就了红楼之美 3 月有阴晴圆缺,仰首望月,残月难道不美吗?4 轮椅上的史铁生—...

怀远县15590771298： 帮我找找有关珊瑚和珊瑚虫的资料? - ？
濮牧华迪： 珊瑚虫是一种海洋腔肠动物,是生长在海洋中不能移动的动物,海洋腔肠动物珊瑚虫的骨骼叫珊瑚,通常包括软珊瑚、柳珊瑚、红珊瑚、石珊瑚、苍珊瑚、笙珊瑚等.其中的石珊瑚分为造礁石珊瑚和非造礁石珊瑚. 我们通常说的珊瑚礁就是造礁...