毕业设计基于ACL的网络病毒过滤规则.doc

资源描述

《毕业设计基于ACL的网络病毒过滤规则.doc》由会员分享，可在线阅读，更多相关《毕业设计基于ACL的网络病毒过滤规则.doc（34页珍藏版）》请在三一办公上搜索。

1、目录中文摘要2ABSTRACT31 绪言41.1 计算机病毒的出现41.2 反病毒的发展41.2.1 病毒制造者的心态分析41.2.2 反病毒行动52 ACL的发展，现状，将来82.1 什么是ACL82.1.1 ACL的工作流程及分类82.1.2 ACL应用举例102.2 当前的网络安全技术102.3 ACL的未来143 基于ACL的网络病毒过滤的研究163.1 计算机病毒的分类163.2 部分病毒档案163.2.1 示例一：Worm.Msblast173.2.2 示例二：Worm.Sasser183.2.3 示例三：Worm.SQLexp.376193.2.4 示例四：Worm_Bagle.

2、BE203.2.5 示例五：Worm.MyDoom213.2.6 示例六：Code Red & Code Red II233.2.7 示例七：Worm.Nimda244 基于网络病毒过滤的ACL规则的制定与测试274.1 制定基于网络病毒过滤的ACL规则274.2 ACL规则实验室测试27结束语30致谢32参考文献33附录 134附录 235摘要随着网络技术的不断发展，出现了大量的基于网络的服务，网络安全问题也就变得越来越重要。ACL即访问控制列表，它是工作在OSI参考模型三层以上设备，通过对数据包中的第三、四层中的包头信息按照给定的规则进行分析，判断是否转发该数据包。基于ACL的网络病毒的过

3、滤技术在一定程度上可以比较好的保护局域网用户免遭外界病毒的干扰，是一种比较好的中小型局域网网络安全控制技术。本设计重点从计算机网络病毒的出现、基本特征以及发展现状的角度出发，比较深入的研究了相关网络安全技术，深入分析了当前几种严重影响网络性能的网络病毒，结合ACL的工作原理，制定了相应的访问控制规则列表，并且通过模拟实验，对ACL的可行性进行了相应的测试。关键词：ACL 访问控制列表网络安全路由器防火墙 AbstractAlong with the network technology developing continuously, appear a great deal of ser

4、vices according to the network, the safe problem of network also becomes more and more important ACL namely Access Control List, it works on the equipments of the third or the fourth layer of the OSI model. By analyzing the passing data packets that including the head information of the third or fou

5、rth layers according to some the given rules, and then decided whether to deliver them. The network technology based on ACL can protect local area network goodly to encounter the outside virus. It is a kind of better network safety control technique of small and middle scaled bureau. This design poi

6、nt sets out from the emergence, basic characteristic of the calculator network virus and the point of the development present condition, studying the safe technique of related network more and thoroughly, thorough analyzed the network virus of current that serious influence the network, combine the

7、ACL work principle, draw up a homologous access control rule list, and by imitate experimentation, carrying on the homologous test to the possibility of the ACL. ACL 访问控制列表网络安全路由器防火墙Keywords: ACL Access Control List network safety router firewall1 绪言1.1 计算机病毒的出现20世纪60年代初，美国贝尔实验室的3位程序员编写了一个名为“磁芯大战

8、”的游戏，游戏中通过复制自身来摆脱对方的控制，这就是所谓“病毒的第一个雏形。世界上最早的邮件系统出现在七十年代初期，而最早的病毒则出现在六十年代，当操作系统进入Windows时代时，微软公司为程序员提供了一个功能强大的API编程接口，该接口将一些复杂的网络、图形处理完全屏蔽起来，使程序员不用熟悉复杂的内部机理即可编制出一些功能强大的程序，正是技术上的这种进步，导致了越来越多的人开始编制一些复杂的网络病毒。20世纪80年代后期，巴基斯坦有两个以编程为生的兄弟，他们为了打击那些盗版软件的使用者，设计出了一个名为“巴基斯坦智囊”的病毒，这就是世界上流行的第一个真正的病毒。进而出现了黑客，木马以及垃圾

9、邮件等宏病毒。时至今日，网络越来越普及，1999年中国互联网迎来了它的一个发展高潮，而电脑病毒的种类也越来越繁多，手段越来越高级，越来越隐蔽，时刻都在给我们造成麻烦，让我们防不胜防。第一个邮件病毒“美丽莎”，通过Office文件和邮件系统进行传播，发作当天就感染了6000多台电脑。“美丽莎”病毒虽然属于邮件病毒，但是它具有强大的宏病毒特性。2002年以后，网络编程技术开始成熟，网络病毒大量出现。其中的代表病毒就是2003年的“爱情后门”和前一段全球泛滥的“SCO炸弹(Worm.Novarg)”，它们不但能发送病毒邮件，还可以对指定网站发动黑客攻击。2003年8月11日开始爆发的“冲击波”到现在

10、都让我们心有余悸，2004年开始爆发的“震荡波”让我们至今谈虎色变1.2 反病毒的发展1.2.1 病毒制造者的心态分析1998年2月，时年18岁的以色列少年埃福德特南鲍姆成功地进入美国国防部计算机系统，并使国防部信息基础结构的主机受到严重侵扰。国防部极为震惊并声称，这是对五角大楼发动的最有组织、最有系统的电脑网络袭击。但是，据称这位“少年黑客”并无破坏五角大楼计算机系统的犯罪意图，而仅只是出于好玩。“黑客”是英文hacker的音译，在计算机业内人士看来，黑客是一些技术高超、嗜好编制程序的人，他们爱好钻研计算机系统的每一个细节，并竭力提高其性能。而一般公众大多容易望文生义，从贬义上理解黑客，将之

11、视为“计算机窃贼”。在他们看来，黑客是那些掌握着高深的计算机技术，并依靠这种技术实施偷窃、破坏、非法占有等反社会行为的人。事实上，黑客不一定都是恶意非法入侵计算机系统者，它还包括单纯的技术爱好者，只有怀有不法目的的入侵者才是计算机犯罪者。日本著名的黑客词典将黑客定义为：“喜欢探索软件程序奥秘、并从中增长了其个人才干的人。他们不像绝大多数电脑使用者，只规规矩矩地了解别人指定了解的狭小部分知识。”这在一定程度上也代表了黑客的自我定位。如美国黑客往往宣称自己是“钻研计算机的技术天才”，是打破科技霸权的“网络罗宾汉”。中国黑客的自我定义也大致相同。当然存在个别从事敲诈勒索等犯罪活动的黑客，但绝大多数黑

12、客并非图谋钱财，他们的行为常常是出于好奇、好玩或是对权威当局专制政策的不满或抗议。据说，黑客们大都恪守一定的“行规”，俗称“黑客伦理”，其要点是：（1）进入计算机的权力应当是不受限制的和完全的；（2）所有信息应是免费的；（3）不相信权威当局，提倡分权；（4）你可以使用计算机创造艺术和美；（5）计算机可以使你的生活更美好。无论怎样看待这些行为，黑客行为的泛滥始终威胁着整个信息社会的安全。这除了因黑客队伍自身的鱼龙混杂外，最重要的原因还在于黑客行为具有很大的随意性，难于进行社会调控，其欲行善则善，而一旦作恶后果将不堪设想。对此，我们必须给予高度警惕。计算机病毒就是指编制或者在计算机程序中插入的破坏

13、计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。伴随网络的成长，利用网络技术、以网络为载体频频暴发的间谍程序、蠕虫病毒、游戏木马、邮件病毒、MSN病毒、黑客程序等网络新病毒，已经颠覆了传统的病毒概念。与传统病毒相比，网络病毒呈现传播速度空前、数量与种类剧增、全球性暴发、攻击途径多样化、以利益获取为目的、造成损失具灾难性等突出特点。当前的网络入侵主要来自于蠕虫病毒，这些隐藏在网络上的“杀手”，不仅可以感染可执行文件，还可以通过电子邮件、局域网和聊天软件等多种途径进行传播，同时还兼有黑客后门功能，能进行密码猜测，实施远程控制，并且终止反病毒软件和防火墙的运行。2

14、003年1月25日，仅在SQL1434病毒出现的当天，我国就有80%的网络服务供应商都先后遭受此蠕虫病毒的攻击，造成许多网络的暂时瘫痪。1.2.2 反病毒行动随着关键业务对网络依赖程度的日益增强，各个部门在保护网络安全方面投入更多的资金和精力。一种流行的方法是在网络边缘上部署防火墙，将来自攻击者的端口扫描和恶意数据流阻挡在企业网络的大门之外。尽管边缘防火墙是实现网络安全的必不可少的工具，但是它们对于阻止来自网络内部的攻击，这种攻击可能来自内部的攻击可能是心怀不满的员工，或者利用WLAN发起的攻击，也可能是非故意的对于这种攻击，却无能为力，对于用户来说，仅仅在网络边缘部署防火墙，一次故障或者一次

15、错误的配置就可能危及整个网络。化解这种风险，企业网络需要实施分层的安全策略，即所谓的“纵深防御”。防火墙的发展，经历了从早期的简单包过滤，到今天广泛应用的状态包过滤技术和应用代理。其中状态包过滤技术因为其安全性较好，速度快，得到最广泛的应用。未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。目前防火墙一个很大的局限性是速度不够。应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法，其中以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPV6，而采用其它方法就不那么灵活。实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元

16、，因此比较容易实现高速。对于采用纯CPU的防火墙，就必须有算法支撑，例如ACL算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓慢。多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组建网络环境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足组网和节省投资的需要。例如，防火墙支持广域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器；支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要；支持IPSEC VPN，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。例如，Catalyst 35

17、50系列智能以太网交换机通过访问控制列表（ACL）提高数据的安全性。用户可以按照源MAC地址和目标MAC地址、IP地址或TCP/UDP端口拒绝包，因而可以控制网络的敏感部分。不仅如此，由于所有ACL查询都在硬件上执行，因此，在网络中实施基于ACL的安全性时，不会降低传发性能。借助多层Cisco Catalyst 3550交换机，网络管理员可以实现极高的控制台安全性。交换机控制台上的多级访问安全性和基于Web的管理界面能防止非法用户访问或修改交换机配置。终端访问控制器访问控制系统（TACACS+）认证能对交换机提供集中访问控制，防止非法用户修改配置。未来防火墙的操作系统会更安全。随着算法和芯片技

18、术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。特征值扫描是目前国际上反病毒公司普遍采用的查毒技术。其核心是从病毒体中提取病毒特征值构成病毒特征库，杀毒软件将用户计算机中的文件或程序等目标，与病毒特征库中的特征值逐一比对，判断该目标是否被病毒感染。该技术要求从病毒体中提取病毒特征值，所以只有等到新病毒出现后，才有可能获得病毒体，并针对它进行单独处理。这种方法的固有缺陷是对新病毒的防范始终滞后于病毒的出现。计算机病毒概念是人依据程序行为来定义的，因此识别病毒的另一种方法是采用动态分析，直接通过程序的行为判断它是否是病毒。即根据程序的行为是否符合病毒定义做出判断，如果符合就是病毒，

19、不符合就不是病毒。尽管杀毒软件主要采用静态扫描方式，但是反病毒公司发现新病毒并不是采用静态扫描方式，而恰恰是采用动态分析方法。即便是反病毒公司收集到可疑程序时，也不能确定是不是新病毒，为了做出准确判断，必须先运行可疑程序，然后再根据程序的行为判断是否是病毒。这些年出现的另外一个现象是用专门的网络设备代替用计算机来实现防火墙。网络速度从10Mb增加到1Gb，一下提高了两个数量级。基于主机的防火墙并不是为这种告诉的网络环境设计的，从而加速了向专业平台的转移，采用专门网络设备的附带好处是因为操作系统得简化而相对容易配置和管理。目前，实现网络安全的一种有效的途径是在网络中的路由器或三层以上的交换机上使

20、用访问控制列表即ACL技术，ACL通过对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用作攻击跳板。适当使用访问ACL可以帮助用户有的减少安全风险。ACL作为一个提高安全性的有效工具，应当被经常使用，在ACL管理技术的支持下，它可以帮助我们在节省费用的同时，提高安全性。从反病毒领域的实践和计算机技术的发展趋势可以看出，开发病毒主动防御系统不仅是可能的，而且是可行的。因此，我国反病毒领域应该跳出传统技术路线，尽快研制以行为自动监控、行为自动分析、行为自动诊断为新思路的主动防毒产品，建立主动防御为主、结合现有反病毒技术的综合防范体系。2 ACL的发展，现状，将来2.1 什么是ACLA

21、CL即访问控制列表，使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。2.1.1 ACL的工作流程及分类图2-1：OSI七层模型及数据包的形成过程图2-2：华为路由器ACL的工作流程如图2-1所示：数据流从高层向下传送，到了传输层被分成数据段，并打上TCP报头，在网络层又打上了IP报头，然后继续向底层传送，当数据流在网络上传送时，遇到边界网络或者不同的网段时，就会遇到安全检测，工作流程如图2-2为：（1）首先去匹配第一条规则，如果符合就按照默认规则进行转发；（2）若第一条匹配失败，则匹配第

22、二条；（3）以此类推，直到比较完毕；（4）若都不符合，则丢弃。其中，ACL的又有两种：（1）标准IP访问控制列表当我们要想阻止来自某一网络的所有通信流量，或者充许来自某一特定网络的所有通信流量，或者想要拒绝某一协议簇的所有通信流量时，可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查路由的数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。标准IP访问控制列表的编号为1至99，作用是阻止某一网络的所有通信流量，或允许某一网络的所有通信流量。在华为路由器下的语法为：配置标准访问列表的命令格式如下：acl acl-number match-ord

23、er config | auto rule normal | special permit | deny source source-addr source-wildcard | any Timerange enableSettr begin-tme end-time（2）扩展IP访问控制列表扩展访问控制列表既检查数据包的源地址，也检查数据包的目的地址，还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性，即可以对同一地址允许使用某些协议通信流量通过，而拒绝使用其他协议的流量通过。配置TCP/UDP协议的扩展访问列表：rule normal | special perm

26、 115 match-order autoRouA-ACL-115rule deny tcp source 202.194.67.2 0.0.0.255 s e 21 202.194.68.2RouAInterface e0RouA-interface-e0Firewall packet-filter 115 inbound这条ACL规则限定了202.194.67.2所在的IP段地址对202.194.68.2所在网段的ftp服务的访问，这里使用的是扩展访问控制列表，如果实际用标准访问控制列表的话，那就变成了：RouAfirewall enableRouAdefault permitRouAAC

27、L 1 match-order autoRouA-ACL-1rule deny tcp source 202.194.67.2 0.0.0.255RouAInterface e0RouA-interface-e0Firewall packet-filter 1 inbound由此可见，202.194.67.2 所在的网段不但不能对202.194.68.X进行访问，而且，对其他网段的ftp服务同样不能进行，这就充分体现了扩展访问控制列表的灵活性和优越性。2.2 当前的网络安全技术一般来说，我们把网络的安全访问控制体系分为企业内部网络的控制体系和企业外部网络的控制体系这两大部分。从技术角度而言，主

28、要采用虚拟局域网技术、路由器访问控制列表、TACACS或RADIUS认证服务和防火墙技术。企业内部网面临的安全问题主要在于：（1）如何控制网络不同部门之间的互相访问；（2）如何对不断变更的用户进行有效的管理；（3）如何防止网络广播风暴影响系统关键业务的正常运转，甚至导致系统的崩溃；（4）如何加强远程拨号用户的安全认证管理。企业内部网的安全技术主要有：（1）虚拟局域网技术针对上述的前三个问题，我们一般采用虚拟局域网(VLAN)技术。虚拟局域网是由一些端系统(主机、交换机或路由器)组成的一个虚拟的局域网。虚拟局域网超越了传统的局域网的物理位置局限，端系统可以分布于网络中不同的地理位置，但都

29、属于同一逻辑广播域。虚拟局域网具有如下三个优点。虚拟局域网的第一个优点是网络管理员能够轻易控制不同虚拟局域网间的互相访问能力。目前，实现虚拟局域网的划分有多种方法，我们可以按照物理端口来划分，也可以按照不同的网络协议如IP、IPX等进行划分，也可以按照MAC地址来划分，将来还可以根据应用类型来划分。第二个优点就是对广播信息的有效控制。这要求机构的域中包含的广播和多信宿组与用户位置无关。如果不考虑广播域大小的话，网络设计者、规划人员和管理员将可能不慎创建大型的平面网络拓扑，而在用户间却只有甚至没有广播防火墙。虚拟局域网是控制这些广播信息转发的有效技术。它们的布置结构最大限度地减少了对最终用户站、

30、网络服务器和处理关键业务数据的骨干部分的性能影响。虚拟局域网的发展趋势是迈向更成熟的跨越网络园区的带宽和性能管理。第三个优点是便于管理的更改，而整个网络范围内与用户增加、移动和物理位置变更相关的对管理工作的要求，也大为减少。基于虚拟局域网技术本身的优点，我们能有效解决前述的网络安全问题。但虚拟局域网的划分是一项复杂细致的工作，我们应紧密依据用户应用的实际要求，结合实际工程经验，作出详细合理的规划。（2）路由器访问控制列表路由器访问控制列表提供了对路由器端口的一种基本安全访问技术，也可认为是一种内部防火墙技术。访问控制列表一般是基于网络协议的，也就是说网络管理员必须对路由器接口上运行的各种协议分

31、别进行配置。路由器访问控制列表分为静态和动态两种。通常采用静态的控制列表，能支持多种路由协议，而动态的控制列表只能支持IP协议，但提供相对多的安全功能。一般路由器访问控制列表的控制功能在于对每个接口控制包的传输，典型的参数包括数据包的源地址、目的地址以及包的协议。对于具体的协议，都有相应的一系列参数可以定义。（3）加强内部拨号用户的安全认证管理在网络规模较小，只有少数的访问服务器提供远程拨号访问时，一般采用访问服务器的本地安全数据库来提供安全认证。随着网络规模的增长以及对访问安全要求的提高，一般需要一台安全服务器为所有的拨号用户提供集中的安全数据库，用户无需在每台访问路由器上增加或更改拨号用户

32、安全信息，从而有助于实现统一的访问控制策略。企业外部网安全访问控制：Internet的发展给企业带来了革命性的改革和开放，同时又要面对Internet开放带来的数据安全的新挑战和新危险：即实现客户、销售商、移动用户、异地员工和内部员工的安全访问，以及保护企业的机密信息不受黑客和工业间谍的入侵。目前一般采用防火墙技术来保证对主机和应用安全访问及多种客户机和服务器的安全性，保护关键部门不受到来自内部和外部的攻击，为通过Internet进行远程访问的雇员、客户、供应商提供安全通道。一般防火墙具备以下特点：（1）广泛的服务支持。通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览、HTTP服

33、务、FTP服务等；（2）通过对专用数据的加密支持，保证通过Internet进行的虚拟专用网商务活动不受破坏；（3）客户端认证只允许指定的用户访问内部网络或选择服务，是企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分；（4）反欺骗。欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们。防火墙有许许多多种形式，有以软件形式运行在普通计算机之上的，也有以固件形式设计在路由器之中的。总的来说业界的分类有三种：包过滤防火墙、应用级网关和状态监视器。（1）包过滤防火墙在互联网这样的分组交换网络上，所有往来的信息都被分割成许许多多一定长度的

34、信息包。包中包括发送者的IP地址和接收者的IP地址。当这些包被送上互联网时，路由器会读取接收者的IP地址并选择一条物理上的线路将其发送出去，信息包可能以不同的路线抵达目的地，当所有的包抵达后会在目的地被重新组装还原。包过滤式的防火墙会检查所有通过的信息包里的IP地址，并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一IP地址为危险的话，从这个地址来的所有信息都会被防火墙屏蔽掉。包过滤原理：包过滤器具有防火墙的绝大多数功能，使用包过滤机制的系统依赖于数据传输的一般结构，而这些结构所使用的数据包头部含有IP地址信息和协议所使用的端口信息，根据这些头部信息，系统就可以决定是否要将这些包转

35、发到目的地址。这种机制要对它遇到的所有包进行检测，然后决定是否要转发下一跳，或者决定丢弃数据包，或者决定拒绝数据包，此时防火墙会在丢弃数据包时通知发送方数据包已被丢弃，它过滤的过程取决于防火墙管理员所定义的规则库，例如：a. 发送数据包的源IP地址或者源IP地址的范围；b. 接受数据包的目的IP地址或者目的IP地址的范围；c. 所涉及的网络协议，如：TCP，UDP，ICMP等；d. 所使用的端口号。TCP 和 UDP 都是 IP 层的传输协议，是 IP 与上层之间的处理接口。TCP 和 UDP 协议端口号被用来区分运行在单个设备上的多重应用程序的 IP 地址。由于同一台机器上可能会运行多个网络

36、应用程序，所以计算机需要确保目标计算机上接收源主机数据包的软件应用程序的正确性，以及响应能够被发送到源主机的正确应用程序上。该过程正是通过使用TCP 或 UDP 端口号来实现的。在 TCP 和 UDP 头部分，有“源端口”和“目标端口”段，主要用于显示发送和接收过程中的身份识别信息。IP 地址与端口号合起来被称为“套接字”。包过滤路由器的最大的优点就是它对于用户来说是透明的，也就是说不需要用户名和密码来登录。这种防火墙速度快而且易于维护，通常作为第一道防线。包过滤路由器的弊端也是很明显的，通常它没有用户的使用记录，这样我们就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对

37、黑客来说是比较容易的，他们在这一方面已经积累了大量的经验。（2）应用级网关应用级防火墙的另一个常见的名字称为代理服务器。包过滤防火墙可以按照IP地址来禁止未经授权者的访问。但是它不适合公司用来控制内部人员访问外界的网络。对于这样的企业来说，应用级防火墙是更好的选择。应用级防火墙应用于特定的互联网服务，如超文本传输(HTTP)，远程文件传输(FTP)等等。代理服务器通常运行在两个网络之间，它对于客户来说像是一台真的服务器一样，而对于外界的服务器来说，它又是一台客户机。当代理服务器接受到用户的请求后会检查用户请求的站点是否符合公司的要求，如果公司允许用户访问该站点的话，代理服务器会像一个客户一样去

38、那个站点取回所需信息再转发给客户。代理服务器通常都拥有一个高速缓存，这个缓存存储有用户经常访问站点的内容。在下一个用户要访问同样的站点时，代理服务器就用不着重复地去抓取同样的内容，这样做既节约了时间也节约了网络资源。代理服务器会像一堵真的墙那样挡在内部用户和外界之间，从外面只能看到代理服务器而看不到任何的内部资源，诸如用户的IP地址等。应用级网关比单一的包过滤网关更为可靠，它会详细地记录下所有的访问记录。但是应用级网关也存在一些不足之处：首先它会使访问速度变慢，因为它不允许用户直接访问网络；其次应用级网关需要针对每一个特定的互联网服务安装相应的代理服务器软件，用户不能使用未被服务器支持的服务，

39、这意味着用户可能会花费几个月的时间等待新服务软件的安装，更不幸的是，并不是所有的互联网应用软件都可以使用代理服务器。（3）状态监视器这种防火墙的安全特性是非常好的，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后制定安全对策的参考。检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与其它安全方案不同，当用户访问到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定做出接纳、拒绝、鉴定或给该通信加密等决定

40、。一旦某一个访问违反安全规定，安全报警器就会拒绝该访问，并作记录，向系统管理器报告网络状态。状态监视器的另一个优点是它会监测RPC和UDP之类的端口信息。包过滤和代理网关都不支持此类端口。这种防火墙无疑是非常坚固的，但它的配置非常复杂，而且会降低网络的速度。值得注意的是防火墙对普通的人来说是一层安全的防护，但是没有任何一种防火墙可以给你绝对的保护。这就是为什么许多公司建立多层防火墙的原因。当黑客闯过一层防火墙后他只能得到一部分内容，其他的数据仍然被安全地保护在内部防火墙之后。任何防火墙都是由人来管理的，人的因素从这个角度而言显得尤其重要。2.3 ACL的未来由此可见，ACL是一张规则表，路由器

41、或交换机等网络设备按照顺序执行这些规则，并且处理每一个进入接口的数据包。每条规则根据数据包的属性，如源地址、目的地址和协议，要么允许、要么拒绝数据包通过。在网络安全体系中，最重要的安全要素之一是访问控制的控制点在网络通信通道的出入口上。内部网络通过路由器的广域网接口与Internet相连，再通过此路由器的局域网接口接入内部网络，而正确地放置ACL访问控制列表将起到防火墙的作用。为了满足与Internet间的访问控制，以及满足内部网络不同安全属性网络间的访问控制要求，在路由器上配置防火墙，让网络通信均通过它，以此控制网络通信及网络应用的访问权限。建立访问控制列表后，可以限制网络流量，提高网络性能

42、，对通信流量起到控制的手段，这也是对网络访问的基本安全手段。在路由器的接口上配置访问控制列表后，可以对入站接口、出站接口及通过路由器中继的数据包进行安全检测。正是因为ACL具有这些优点，ACL得到了防火墙制造厂家和网络管理员的极大青睐，在短短的几年间，被广泛的应用到各大厂家和几乎所有的路由器中，像华为NE80/40，这是华为第五代路由器，它支持PPP认证实现访问控制，支持路由安全和VPN，支持基于IP的报文过滤规则设定，每块接口板可以支持5000条ACL的线速转发。防火墙作为网络安全的第一道门槛，访问控制列表是防火墙产品中的一项重要技术，未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展

43、。但是，由于互联网的用户正在飞速增加，路由器的工作量正在不断的加大，ACL列表的内容也在不断扩充，这就难免会影响数据转发和处理速度，要想实现高速的网络转发和安全性能，必须有好的ACL算法支持，一个时间复杂度和空间复杂度很好的算法，能够帮助防火墙实现这个高速，高效的功能。由于ACL规则是按照一定顺序处理的，因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。虽然，ACL能很好的进行部分网络病毒的过滤，但是，我们面临的问题还很多很多，例如：（1）如何控制网络不同部门之间的互相访问；（2）如何对不断变更的用户进行有效的管理；（3）如何防止网络广播风暴影响系统关键业务的正常

44、运转，甚至导致系统的崩溃；（4）如何加强远程拨号用户的安全认证管理。而且，目前许多用户并没有充分地利用ACL，一些用户甚至完全没有利用ACL等等。这主要是因为正确管理和维护网络设备的ACL十分困难，错误的ACL会造成长时间的停机和业务损失。当访问控制规则添加到路由器或交换机上时，就会出现以下问题：（1）ACL冗长而复杂，并且缺少确定添加或修改某些ACL的信息。（2）ACL的变化没有被定期监测或控制，导致有关各方很少关注和交流ACL的变化。（3）由于ACL长度和复杂性不断增加，停机时间和故障风险也会随之增加。（4）ACL缺少专人负责，多数企业用户没有将ACL交给专门工程师去处理。由于ACL是

45、使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到end to end的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。这些，都是我们不得不面对的问题。但是，ACL作为一种对病毒的过滤技术正在越来越成熟，正在被大力广泛的应用，这是毋庸置疑的事实。一个优越的ACL算法和应用级配合使用，则能够达到节省投资，又能取得安全高效的目的。3 基于ACL的网络病毒过滤的研究3.1 计算机病毒的分类病毒制造者初衷从开个玩笑或一个恶作剧到用于特殊目的，病毒种类让我们眼花缭乱，但是，

46、我们可以对它们进行如下的分类：按照传染方式可分为从引导型病毒，文件型病毒，以及混合型病毒。文件型病毒一般只传染磁盘上的可执行文件，如以COM，EXE等为后缀。在用户调用染毒的可执行文件时，病毒首先被运行，然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。这是较为常见的传染方式。混合型病毒兼有以上两种病毒的特点，既感染引导区又感染文件，因此扩大了这种病毒的传染途径，如97年国内流行较广的“TPVO-3783（SPY）”。按连接方式分为：源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒。源码病毒较为少见，亦难以编写。因为它要攻击高

47、级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了。入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下很难以被发现，清除起来也较困难。操作系统病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性也较大。外壳病毒将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。按破坏性可分为：良性病毒，恶性病毒。新兴一族：宏病毒，属于文件型病毒。由此可见，计算机病毒的种类虽多，但对病毒代码进行分析、比较可看出，它们的主要结构是类似的，有其共同特点。整个病毒代码虽短小但也包含三部分：引导部分，传染部分，表现部分。引导部分的作用是将病毒主体加载到内存，为传染部分做准备：如驻留内存、修改中断、修改高端内存、保存原中断向量等操作。传染部分的作用是将病毒代码复制到

展开阅读全文