简单邮件传输协议论文.doc

简单邮件传输论文.doc 一、 杀毒软件和防火墙技术的发展历史 1杀毒软件几个的发展史 20世纪80年代，最早的防火墙几乎与路由器同时出现，第一代防火墙主要基于包过滤(Packet filter)技术，是依附于路由器的包过滤功能实现的防火墙;随着网络安全重要性和性能要求的提高，防火墙渐渐发展为一个独立结构的、有专门功能的设备。 到1989年，贝尔实验室的Dave Presotto和Howard Trickey最早推出了第二代防火墙，即电路层防火墙;到20世纪90年代初，开始推出第三代防火墙，即应用层防火墙(或者叫做代理防火墙);到1992年，USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的，后来演变为目前所说的状态监视(Stateful inspection)技术。 1994年，市面上出现了第四代防火墙，即以色列的CheckPoint公司推出的基于这种技术的商业化产品;到了1998年，NAI公司推出了一种自适应代理(Adaptive proxy)技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。 基于实现方式划分，可分为如下四个阶段: 第一代防火墙:基于路由器的防火墙，由于多数路由器中本身就包含有分组过滤功能，故网络访问控制可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。 第二代防火墙:用户化的防火墙，将过滤功能从路由器中独立出来，并加上审计和告警功能。针对用户需求，提供模块化的软件包，是纯软件产品。 第三代防火墙:建立在通用操作系统上的防火墙，近年来在市场上广泛使用的就是这一代产品。包括分组过滤和代理功能。第三代防火墙有以纯软件实现的，也有以硬件方式实现的。 第四代防火墙:具有安全操作系统的防火墙:具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上得到提高。 杀毒软件的作用杀毒软件的作用越来越广泛 ，例如江民杀毒软件KV2007具有反黑客、反木马、漏洞扫描、垃圾邮件识别、硬盘数据恢复、网银网游密码保护、IE助手、系统诊断、文件粉碎、可疑文件强力删除、反网络钓鱼等十二大功能，新增流氓软件清理功能 2 防火墙的发展史 一代防火墙 第一代防火墙技术几乎与路由器同时出现，采用了包过滤(Packet filter)技术。下图表示了防火墙技术的简单发展历史。 第二、三代防火墙 1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。 第四代防火墙 1992年，USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙，后来演变为目前所说的状态监视(Stateful inspection)技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。 第五代防火墙 1998年，NAI公司推出了一种自适应代理(Adaptive proxy)技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。 一体化安全网关UTM UTM统一威胁管理，在防火墙基础上发展起来的，具备防火墙、IPS、防病毒、防垃圾邮件等综合功能的设备。由于同时开启多项功能会大大降低UTM的处理性能，因此主要用于对性能要求不高的中低端领域。在中低端领域，UTM已经出现了代替防火墙的趋势，因为在不开启附加功能的情况下，UTM本身就是一个防火墙，而附加功能又为用户的应用提供了更多选择。在高端应用领域，比如电信、金融等行业，仍然以专用的高性能防火墙、IPS为主流。 防火墙的作用: 1.包过滤 具备包过滤的就是防火墙,对，没错～根据对防火墙的定义，凡是能有效阻止网络非法连接的方式，都算防火墙。早期的防火墙一般就是利用设置的条件，监测通过的包的特征来决定放行或者阻止的，包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出，但是包过滤依然是非常重要的一环，如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤，防火墙可以实现阻挡攻击，禁止外部/内部访问某些站点，限制每个ip的流量和连接数。 2.包的透明转发 事实上，由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 Server—FireWall—Guest 。用户对服务器的访问的请求与服务器反馈给用户的信息，都需要经过防火墙的转发,因此，很多防火墙具备网关的能力。 3.阻挡外部攻击 如果用户发送的信息是防火墙设置所不允许的，防火墙会立即将其阻断，避免其进入防火墙之后的服务器中。 4.记录攻击 如果有必要，其实防火墙是完全可以将攻击行为都记录下来的，但是由于出于效率上的考虑，目前一般记录攻击的事情都交给IDS来完成了，我们在后面会提到。 以上是所有防火墙都具备的基本特性，虽然很简单，但防火墙技术就是在此基础上逐步发展起来的。 杀毒软件的作用 杀毒软件的作用越来越广泛 例如江民杀毒软件KV2007具有反黑客、反木马、漏洞扫描、垃圾邮件识别、硬盘数据恢复、网银网游密码保护、IE助手、系统诊断、文件粉碎、可疑文件强力删除、反网络钓鱼等十二大功能，新增流氓软件清理功能 二 当前杀毒软件和防火墙技术面临的主要问 1 防火墙技术面临的主要问题 1.防火墙可以阻断攻击，但不能消灭攻击源 “各扫自家门前雪，不管他人瓦上霜”，就是目前网络安全的现状。互联网上病毒、木 马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们，但是无法清 除攻击源。即使防火墙进行了良好的设置，使得攻击无法穿透防火墙，但各种攻击仍然会源 源不断地向防火墙发出尝试。例如接主干网 10M 网络带宽的某站点，其日常流量中平均有 512K 左右是攻击行为。那么，即使成功设置 了防火墙后，这 512K 的攻击流量依然不会有丝 毫减少。 2.防火墙不能抵抗最新的未设置策略的攻击漏洞 就如杀毒软件与病毒一样， 总是先出现病毒， 杀毒软件经过分析出特征码后加入到病毒 库内才能查杀。 防火墙的各种策略， 也是在该攻击方式经过专家分析后给出其特征进而设置 的。 如果世界上新发现某个主机漏洞的 cracker 的把第一个攻击对象选中了您的网络， 那么 防火墙也没有办法帮到您的。 3.防火墙的并发连接数限制容易导致拥塞或者溢出 由于要判断、处理流经防火墙的每一个包，因此防火墙在某些流量大、并发请求多的情 况下，很容易导致拥塞，成为整个网络的瓶颈影响性能。而当防火墙溢出的时候，整个防线 就如同虚设，原本被禁止的连接也能从容通过了。 4.防火墙对服务器合法开放的端口的攻击大多无法阻止 某些情况下，攻击者利用服务器提供的服务进行缺陷攻击。例如利用开放了 3389 端口 取得没打过 sp 补丁的 win2k 的超级权限、利用 asp 程序进行脚本攻击等。由于其行为在防 火墙一级看来是“合理”和“合法”的，因此就被简单地放行了。 5.防火墙对待内部主动发起连接的攻击一般无法阻止 “外紧内松”是一般局域网络的特点。或许一道严密防守的防火墙内部的网络是一片混 乱也有可能。通过社会工程学发送带木马的邮件、带木马的 URL 等方式，然后由中木马的机 器主动对攻击者连接，将铁壁一样的防火墙瞬间破坏掉。另外，防火墙内部各主机间的攻击 行为，防火墙也只有如旁观者一样冷视而爱莫能助。 6.防火墙本身也会出现问题和受到攻击 防火墙也是一个 os，也有着其硬件系统和软件，因此依然有着漏洞和 bug。所以其本身 也可能受到攻击和出现软/硬件方面的故障。 7.防火墙不处理病毒 不管是 funlove 病毒也好， 还是 CIH 也好。 在内部网络用户下载外网的带毒文件的时候， 防火墙是不为所动的(这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能)。 2杀毒软件面临的主要问题 1)病毒特征码依赖病毒 从杀毒软件的核心技术原理我们可以看出， 病毒特征码是杀毒软件发现病毒的关键， 如 果没有病毒特征码， 杀毒软件会把新病毒同样当成正常程序看待。 由于病毒特征码是从病毒 体中提取的，因此，只有收集到的病毒，反病毒公司才能从中提取出病毒特征码; (2)病毒收集依赖用户 所以，收集病毒成为反病毒公司重中之重的任务，而病毒不是反病毒公司编写的，反病 毒公司主要通过以下两种方式收集到病毒: ?采用蜜罐等诱捕技术 在互联网部署采用蜜罐等诱捕技术的计算机， 能够自动收集到部分病毒。 但这种方式需 要在互联网部署大量的计算机，需要很高的成本，所以收集病毒的数量非常可怜。 ?依赖用户主动上报 绝大多数病毒是反病毒公司从用户提交的可疑程序中分析判断后获取的。 有一定技术的 用户发现自己的计算机存在可疑程序， 然后将可疑程序提交给杀毒厂家， 再有反病毒工程师 分析，现在杀毒厂商所宣称的病毒监测网，实质上就是用户。 三、杀毒软件和防火墙技术今后的发展趋势 2、防火墙技术今后的发展趋势 随着新的网络攻击的出现， 防火墙技术也有一些新的发展趋势。 这主要可以从包过滤技 术、防火墙体系结构和防火墙系统管理三方面来体现。 1. 防火墙包过滤技术发展趋势 (1)一些防火墙厂商把在 AAA 系统上运用的用户认证及其 服务扩展到防火墙中，使其 拥有可以支持基于用户角色的安全策略功能。 该功能在无线网络应用中非常必要。 具有用户 身份验证的防火墙通常是采用应用级网关技术的， 包过滤技术的防火墙不具有。 用户身份验 证功能越强，它的安全级别越高，但它给网络通信带来的负面影响也越大，因为用户身份验 证需要时间，特别是加密型的用户身份验证。 (2)多级过滤技术，是指防火墙采用多级过滤措施，并辅以鉴别手段。在分组过滤(网 络层)一级，过滤掉所有的源路由分组和假冒的 IP 源地址;在传输层一级，遵循过滤规则， 过滤掉所有禁止出或/和入的协议和有害数据包如 nuke 包、圣诞树包等;在应用网关(应用 层)一级，能利用 FTP、SMTP 等各种网关，控制和监测 Internet 提供的所用通用服务。这 是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术， 它可以弥补以上各种 单独过滤技术的不足。 这种过滤技术在分层上非常清楚， 每种过滤技术对应于不同的网络层， 从这个概念出发， 又有很多可以扩展，为将来的防火墙技术发展打下基础。 (3)使防火墙具有病毒防护功能。现在通常被称之为"病毒防火墙"，当然目前主要还 是在个人防火墙中体现，因为它是纯软件形式，更容易实现。这种防火墙技术可以有效地防 止病毒在网络中的传播， 比等待攻击的发生更加积极。 拥有病毒防护功能的防火墙可以大大 减少公司的损失。 2. 防火墙的体系结构发展趋势 随着网络应用的增加， 对网络带宽提出了更高的要求。 这意味着防火墙要能够以非常高 的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍，它要求数据穿过防火 墙所带来的延迟要足够小。为了满足这种需要，一些防火墙制造商开发了基于 ASIC 的防火 墙和基于网络处理器的防火墙。 从执行速度的角度看来， 基于网络处理器的防火墙也是基于 软件的解决方案， 它需要在很大程度上依赖于软件的性能， 但是由于这类防火墙中有一些专 门用于处理数据层面任务的引擎， 从而减轻了 CPU 的负担， 该类防火墙的性能要比传统防火 墙的性能好许多。 与基于 ASIC 的纯硬件防火墙相比，基于网络处理器的防火墙具有软件色彩，因而更加 具有灵活性。基于 ASIC 的防火墙使用专门的硬件处理网络数据流，比起前两种类型的防火 墙具有更好的性能。但是纯硬件的 ASIC 防火墙缺乏可编程性，这就使得它缺乏灵活性，从 而跟不上防火墙功能的快速发展。理想的解决方案是增加 ASIC 芯片的可编程性，使其与软 件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。 首信 CF-2000 系列 EP-600 和 CG-600 高端千兆防火墙即采用了功能强大的可编程专有 ASIC 芯片作为专门的安全引擎，很好地兼顾了灵活性和性能的需要。它们可以以线速处理 网络流量，而且其性能不受连接数目、包大小以及采用何种策略的影响。该款防火墙支持 QoS，所造成的延迟可以达到微秒量级，可以满足各种交互式多媒体应用的要求。浙大网新 也在杭州正式发布三款基于 ASIC 芯片的网新易尚千兆系列网关防火墙,据称,其 ES4000 防火 墙速度达到 4Gbps,3DES 速度可达 600Mbps。易尚系列千兆防火墙还采用了最新的安全网关 概念,集成了防火墙、VPN、IDS、防病毒、内容过滤和流量控制等多项功能, 3. 防火墙的系统管理发展趋势 防火墙的系统管理也有一些发展趋势，主要体现在以下几个 方面: (1)首先是集中式管理，分布式和分层的安全结构是将来的趋势。集中式管理可以降低 管理成本， 并保证在大型网络中安全策略的一致性。 快速响应和快速防御也要求采用集中式 管理系统。目前这种分布式防火墙早已在 Cisco(思科)、3Com 等大的网络设备开发商中开 发成功， 也就是目前所称的"分布式防火墙"和"嵌入式防火墙"。 关于这一新技术在本篇下面 将详细介绍。 (2)强大的审计功能和自动日志分析功能。这两点的应用可以更早地发现潜在的威胁 并预防攻击的发生。 日志功能还可以管理员有效地发现系统中存的安全漏洞， 及时地调整安 全策略等各方面管理具有非常大的帮助。 不过具有这种功能的防火墙通常是比较高级的， 早 期的静态包过滤防火墙是不具有的。 (3)网络安全产品的系统化 随着网络安全技术的发展，现在有一种提法，叫做“建立以防火墙为核心的网络安全体 系”。因为我们在现实中发现，仅现有的防火墙技术难以满足当前网络安全需求。通过建立 一个以防火墙为核心的安全体系， 就可以为内部网络系统部署多道安全防线， 各种安全技术 各司其职，从各方面防御外来入侵。 如现在的 IDS 设备就能很好地与防火墙一起联合。 一般情况下， 为了确保系统的通信性 能不受安全设备的影响太大，IDS 设备不能像防火墙一样置于网络入口处，只能置于旁路位 置。而在实际使用中，IDS 的任务往往不仅在于检测，很多时候在 IDS 发现入侵行为以后， 也需要 IDS 本身对入侵及时遏止。显然，要让处于旁路侦听的 IDS 完成这个任务又太难为， 同时主链路又不能串接太多类似设备。在这种情况下，如果防火墙能和 IDS、病毒检测等相 关安全产品联合起来， 充分发挥各自的长处， 协同配合， 共同建立一个有效的安全防范体系， 那么系统网络的安全性就能得以明显提升。 目前主要有两种解决办法:一种是直接把 IDS、病毒检测部分直接"做"到防火墙中，使 防火墙具有 IDS 和病毒检测设备的功能; 另一种是各个产品分立， 通过某种通讯方式形成一 个整体，一旦发现安全事件，则立即通知防火墙，由防火墙完成过滤和。目前更看重后 一种方案，因为它实现方式较前一种容易许多。