基于包过滤个人防火墙的设计与实现毕设

① 包过滤防火墙的编写

包过滤防火墙需要了解ACL的用法和规则，主要涉及两大厂商，一个思科，一个华三，命令格式有所不同，但原理相同。

② 试设计一个简单的协议分析软件/包过滤防火墙软件/系统应包含哪些功能模块

它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况， 以此来实现网络的安全保护。
在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动， 保证了内部网络的安全。
2.使用Firewall的益处
保护脆弱的服务
通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如， Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如， Firewall允许外部访问特定的Mail Server和Web Server。
集中的安全管理
Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运行于整个内部网络系统， 而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法， 而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。
增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Figer和DNS。
记录和统计网络利用数据以及非法使用数据
Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据， 来判断可能的攻击和探测。
策略执行Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。
3.防火墙的种类
防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。
数 据 包 过 滤
数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑， 被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用， 网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备， 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击; 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。
应 用 级 网 关
应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、 登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。
数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。 一旦满足逻辑，则防火墙内外的计算机系统建立直接联系， 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。
代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术， 其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的 链接， 由两个终止代理服务器上的 链接来实现，外部计算机的网络链路只能到达代理服务器， 从而起到了隔离防火墙内外计算机系统的作用。

③ Web安全技术与防火墙毕业论文参考文献（15个）

[1] 杨波,朱秋萍. Web安全技术综述[J]. 计算机应用研究, 2002,(10) .
[2] 罗铁坚,徐海智,董占球. Web安全问题[J]. 计算机应用, 2000,(04) .
[3] 张霆,王亚东,陈玉华. Web安全技术与防火墙的功能[J]. 黑龙江水专学报, 2000,(03) .
[4] 苏莹莹. Web安全技术[J]. 牙膏工业, 2003,(04) .
[5] 赵伟,贾卓生. 应用级的Web安全[J]. 铁路计算机应用, 2004,(01) .
[6] 谭云松,史燕. 一种新的Web安全与防火墙技术[J]. 计算机时代, 2002,(03) .
[7] 邓谱. Web安全技术与防火墙[J]. 重庆电力高等专科学校学报, 2000,(04) .
[8] 刘大勇. Web的安全威胁与安全防护[J]. 大众科技, 2005,(06) .
[9] 杨继东. 浅析密码与Web安全[J]. 甘肃农业, 2005,(05) .
[10] 李文锋. Web攻击方法及其安全研究[J]. 科学技术与工程, 2005,(04) . [1] 边娜. Web安全技术与防火墙[J]. 山西财经大学学报, 2000,(S2) [1] 邓谱. Web安全技术与防火墙[J]. 重庆电力高等专科学校学报, 2000,(04)
[2] 张洪霞 , 刘仁涛. 浅谈安全的网络城墙——防火墙[J]. 应用能源技术, 2002,(04)
[3] 沈芳阳, 阮洁珊, 李振坤, 黄智勇, 邓静, 刘怀亮, 柳正青. 防火墙选购、配置实例及前景[J]. 广东工业大学学报, 2003,(03)
[4] 史晓龙. 防火墙技术在网络中的应用[J]. 公安大学学报(自然科学版), 2001,(03)
[5] Web应用防火墙来势汹汹[J]. 电力信息化, 2009,(07)
[6] 闫宝刚. 防火墙组网方案分析[J]. 大众标准化, 2004,(08)
[7] 潘登. 浅析防火墙技术[J]. 株洲工学院学报, 2004,(02)
[8] 芦军, 丁敏. 浅谈防火墙设计[J]. 房材与应用, 2004,(01)
[9] 陈冰. 企业计算机网络防火墙的选择[J]. 供用电, 2004,(04)
[10] 徐文海. 防火墙技术及虚拟专用网络的建立[J]. 铁道运营技术, 2003,(04)

④ Linux下基于Netfilter个人内核防火墙的设计与实现

这个估计￥1000能买到个普通的

⑤ 包过滤防火墙

1.1 包过滤防火墙的一般概念
1.1.1 什么是包过滤防火墙
包过滤防火墙是用一个软件查看所流经的数据包的包头（header），由此决定整个包的命运。它可能会决定丢弃（DROP）这个包，可能会接受（ACCEPT）这个包（让这个包通过），也可能执行其它更复杂的动作。
在Linux系统下,包过滤功能是内建于核心的（作为一个核心模块，或者直接内建），同时还有一些可以运用于数据包之上的技巧，不过最常用的依然是查看包头以决定包的命运。
包过滤防火墙将对每一个接收到的包做出允许或拒绝的决定。具体地讲，它针对每一个数据报的报头，按照包过滤规则进行判定，与规则相匹配的包依据路由信息继续转发，否则就丢弃。包过滤是在IP层实现的，包过滤根据数据包的源IP地址、目的IP地址、协议类型（TCP包、UDP包、ICMP包）、源端口、目的端口等报头信息及数据包传输方向等信息来判断是否允许数据包通过。
包过滤也包括与服务相关的过滤，这是指基于特定的服务进行包过滤，由于绝大多数服务的监听都驻留在特定TCP/UDP端口，因此，为阻断所有进入特定服务的链接，防火墙只需将所有包含特定TCP/UDP目的端口的包丢弃即可。
1.1.2 包过滤防火墙的工作层次
包过滤是一种内置于Linux内核路由功能之上的防火墙类型，其防火墙工作在网络层。
1.1.3 包过滤防火墙的工作原理
（1）使用过滤器。数据包过滤用在内部主机和外部主机之间， 过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则来决定是否让数据包通过。用于过滤数据包的路由器被称为过滤路由器。
数据包过滤是通过对数据包的IP头和TCP头或UDP头的检查来实现的，主要信息有：
* IP源地址
* IP目标地址
* 协议（TCP包、UDP包和ICMP包）
* TCP或UDP包的源端口
* TCP或UDP包的目标端口
* ICMP消息类型
* TCP包头中的ACK位
* 数据包到达的端口
* 数据包出去的端口
在TCP/IP中，存在着一些标准的服务端口号，例如，HTTP的端口号为80。通过屏蔽特定的端口可以禁止特定的服务。包过滤系统可以阻塞内部主机和外部主机或另外一个网络之间的连接，例如，可以阻塞一些被视为是有敌意的或不可信的主机或网络连接到内部网络中。
（2）过滤器的实现。数据包过滤一般使用过滤路由器来实现，这种路由器与普通的路由器有所不同。
普通的路由器只检查数据包的目标地址，并选择一个达到目的地址的最佳路径。它处理数据包是以目标地址为基础的，存在着两种可能性：若路由器可以找到一个路径到达目标地址则发送出去；若路由器不知道如何发送数据包则通知数据包的发送者“数据包不可达”。
过滤路由器会更加仔细地检查数据包，除了决定是否有到达目标地址的路径外，还要决定是否应该发送数据包。“应该与否”是由路由器的过滤策略决定并强行执行的。
路由器的过滤策略主要有：
* 拒绝来自某主机或某网段的所有连接。
* 允许来自某主机或某网段的所有连接。
* 拒绝来自某主机或某网段的指定端口的连接。
* 允许来自某主机或某网段的指定端口的连接。
* 拒绝本地主机或本地网络与其它主机或其它网络的所有连接。
* 允许本地主机或本地网络与其它主机或其它网络的所有连接。
* 拒绝本地主机或本地网络与其它主机或其它网络的指定端口的连接。
* 允许本地主机或本地网络与其它主机或其它网络的指定端口的连接。
1.1.4 包过滤器操作的基本过程
下面做个简单的叙述：
（1）包过滤规则必须被包过滤设备端口存储起来。
（2）当包到达端口时，对包报头进行语法分析。大多数包过滤设备只检查IP、TCP、或UDP报头中的字段。
（3）包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储顺序必须相同。
（4）若一条规则阻止包传输或接收，则此包便不被允许。
（5）若一条规则允许包传输或接收，则此包便可以被继续处理。
（6）若包不满足任何一条规则，则此包便被阻塞。
1.1.5 包过滤技术的优缺点
（1）优点：
→对于一个小型的、不太复杂的站点，包过滤比较容易实现。
→因为过滤路由器工作在IP层和TCP层，所以处理包的速度比代理服务器快。
→过滤路由器为用户提供了一种透明的服务，用户不需要改变客户端的任何应用程序，也不需要用户学习任何新的东西。因为过滤路由器工作在IP层和TCP层，而IP层和TCP层与应用层的问题毫不相关。所以，过滤路由器有时也被称为“包过滤网关”或“透明网关”，之所被称为网关，是因为包过滤路由器和传统路由器不同，它涉及到了传输层。
→过滤路由器在价格上一般比代理服务器便宜。
（2）缺点：
→一些包过滤网关不支持有效的用户认证。
→规则表很快会变得很大而且复杂，规则很难测试。随着表的增大和复杂性的增加，规则结构出现漏洞的可能 性也会增加。
→这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题，会使得网络大门敞开，而用户其至可能还不知道。
→在一般情况下，如果外部用户被允许访问内部主机，则它就可以访问内部网上的任何主机。
→包过滤防火墙只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装外部主机的IP欺骗却不可能阻止，而且它不能防止DNS欺骗。
虽然，包过滤防火墙有如上所述的缺点，但是在管理良好的小规模网络上，它能够正常的发挥其作用。一般情况下，人们不单独使用包过滤网关，而是将它和其他设备（如堡垒主机等）联合使用。
包过滤的工作是通过查看数据包的源地址、目的地址或端口来实现的，一般来说，它不保持前后连接信息，过滤决定是根据 当前数据包的内容来做的。管理员可以做一个可接受机和服务的列表，以及一个不可接受机和服务的列表。在主机和网络一级，利用数据包过滤很容易实现允许或禁止访问。
由此不难看出这个层次的防火墙的优点和弱点，由于防火墙只是工作在OSI的第三层（网络层）和第四层（传输层），因此包过滤的防火墙的一个非常明显的优势就是速度，这是因为防火墙只是去检查数据报的报头，而对数据报所携带的内容没有任何形势的检查，因此速度非常快。与此同时，这种防火墙的缺点也是显而易见的，比较关键的几点如下所述。
（1）由于无法对数据报的内容进行核查，一次无法过滤或审核数据报的内容
体现这一问题的一个很简单的例子就是：对某个端口的开放意味着相应端口对应的服务所能够提供的全部功能都被开放，即使通过防火墙的数据报有攻击性，也无法进行控制和阻断。例如在一个简单的Web服务器，而包过滤的防火墙无法对数据报内容进行核查。因此，未打相应补丁的提供Web服务的系统，及时在防火墙的屏蔽之后，也会被攻击着轻易获取超级用户的权限。
（2）由于此种类型的防火墙工作在较低层次，防火墙本身所能接触道德信息较少，所以它无法提供描述细致事件的日志系统。
此类防火墙生成的日志常常只是包括数据报捕获的时间、网络层的IP地址、传输层的端口等非常原始的信息。至于这个数据报内容是什么，防火墙不会理会，而这对安全管理员而言恰恰是很关键的。因为及时一个非常优秀的系统管理员，一旦陷入大量的通过/屏蔽的原始数据包信息中，往往也是难以理清头绪，这在发生安全事件时给管理员的安全审计带来很大的困难。
（3）所有可能用到的端口（尤其是大于1024的端口）都必须开放，对外界暴露，从而极大地增加了被攻击的可能性
通常对于网络上所有服务所需要的数据包进出防火墙的二端口都要仔细考虑，否则会产生意想不到的情况。然而我们知道，当被防火墙保护的设备与外界通信时，绝大多数应用要求发出请求的系统本身提供一个端口，用来接收外界返回的数据包，而且这个端口一般是在1024到65536之间不确定的，如果不开发那个这些端口，通信将无法完成，这样就需要开发那个1024以上的全部端口，允许这些端口的数据包进出。而这就带来非常大的安全隐患。例如：用户网中有一台UNIX服务器，对内部用户开放了RPC服务，而这个服务是共做在高端口的，那么这台服务器非常容易遭到基于RPC应用的攻击。
（4）如果网络结构比较复杂，那么对管理员而言配置访问控制规则将非常困难
当网络发展到一定规模时，在路由器上配置访问控制规则将会非常繁琐，在一个规则甚至一个地址处出现错误都有可能导致整个访问控制列表无法正常使用。

⑥ 本科毕业论文写基于linux的包过滤防火墙的设计与实现能行吗

如果这个要基于编程应该比较难，至少你要熟悉网络协议包结构

⑦ 本科毕设——windows个人防火墙的设计与实现，求软件

我这里有几套关于网络安全的vc代码, 论文的话没有, 不过这个推荐自己写, 不然无法过查重, 项目主要使用javaweb技术实现的, 数据库采用mysql, 框架的话有用servlet原生的, 也有用springboot这种框架的, 希望能够帮到你

⑧ 基于包过滤防火墙的原理和实现技术是怎样的

推荐看一看 朱雁冰 写的《Windows防火墙与网络封包截获技术》，上面介绍了三种分别基于用户态和核心态下的防火墙编译，虽然他提到的三种技术现在看来都有不足，但是是一本讲解详细的好书～～～！！

防火墙就是一种过滤塞（目前你这么理解不算错），你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。

天下的防火墙至少都会说两个词：Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护（比如SMTP或者HTTP协议等）。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。

所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。

当PC客户机向UNIX计算机发起telnet请求时，PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里，这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。

现在我们“命令”（用专业术语来说就是配制）防火墙把所有发给UNIX计算机的数据包都给拒了，完成这项工作以后，“心肠”比较好的防火墙还会通知客户程序一声呢！既然发向目标的IP数据没法转发，那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。

还有一种情况，你可以命令防火墙专给那台可怜的PC机找茬，别人的数据包都让过就它不行。这正是防火墙最基本的功能：根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们可以采用IP地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用DNS主机名建立过滤表，对DNS的伪造比IP地址欺骗要容易多了。

服务器TCP/UDP 端口过滤

仅仅依靠地址进行数据过滤在实际运用中是不可行的，还有个原因就是目标主机上往往运行着多种通信服务，比方说，我们不想让用户采用 telnet的方式连到系统，但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器吧？所以说，在地址之外我们还要对服务器的TCP/ UDP端口进行过滤。

比如，默认的telnet服务连接端口号是23。假如我们不许PC客户机建立对UNIX计算机（在这时我们当它是服务器）的telnet连接，那么我们只需命令防火墙检查发送目标是UNIX服务器的数据包，把其中具有23目标端口号的包过滤就行了。这样，我们把IP地址和目标服务器TCP/UDP端口结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗？不，没这么简单。

客户机也有TCP/UDP端口

TCP/IP是一种端对端协议，每个网络节点都具有唯一的地址。网络节点的应用层也是这样，处于应用层的每个应用程序和服务都具有自己的对应“地址”，也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如，telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号，否则客户机的IP栈怎么知道某个数据包是属于哪个应用程序的呢？

由于历史的原因，几乎所有的TCP/IP客户程序都使用大于1023的随机分配端口号。只有UNIX计算机上的root用户才可以访问1024以下的端口，而这些端口还保留为服务器上的服务所用。所以，除非我们让所有具有大于1023端口号的数据包进入网络，否则各种网络连接都没法正常工作。

这对防火墙而言可就麻烦了，如果阻塞入站的全部端口，那么所有的客户机都没法使用网络资源。因为服务器发出响应外部连接请求的入站（就是进入防火墙的意思）数据包都没法经过防火墙的入站过滤。反过来，打开所有高于1023的端口就可行了吗？也不尽然。由于很多服务使用的端口都大于1023，比如X client、基于RPC的NFS服务以及为数众多的非UNIX IP产品等（NetWare/IP）就是这样的。那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗？连这些客户程序都不敢说自己是足够安全的。

双向过滤

OK，咱们换个思路。我们给防火墙这样下命令：已知服务的数据包可以进来，其他的全部挡在防火墙之外。比如，如果你知道用户要访问Web服务器，那就只让具有源端口号80的数据包进入网络：

不过新问题又出现了。首先，你怎么知道你要访问的服务器具有哪些正在运行的端口号呢？ 象HTTP这样的服务器本来就是可以任意配置的，所采用的端口也可以随意配置。如果你这样设置防火墙，你就没法访问哪些没采用标准端口号的的网络站点了！反过来，你也没法保证进入网络的数据包中具有端口号80的就一定来自Web服务器。有些黑客就是利用这一点制作自己的入侵工具，并让其运行在本机的80端口！

检查ACK位

源地址我们不相信，源端口也信不得了，这个不得不与黑客共舞的疯狂世界上还有什么值得我们信任呢？还好，事情还没到走投无路的地步。对策还是有的，不过这个办法只能用于TCP协议。

TCP是一种可靠的通信协议，“可靠”这个词意味着协议具有包括纠错机制在内的一些特殊性质。为了实现其可靠性，每个TCP连接都要先经过一个“握手”过程来交换连接参数。还有，每个发送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。但并不是对每个TCP包都非要采用专门的ACK包来响应，实际上仅仅在TCP包头上设置一个专门的位就可以完成这个功能了。所以，只要产生了响应包就要设置ACK位。连接会话的第一个包不用于确认，所以它就没有设置ACK位，后续会话交换的TCP包就要设置ACK位了。

举个例子，PC向远端的Web服务器发起一个连接，它生成一个没有设置ACK位的连接请求包。当服务器响应该请求时，服务器就发回一个设置了ACK位的数据包，同时在包里标记从客户机所收到的字节数。然后客户机就用自己的响应包再响应该数据包，这个数据包也设置了ACK位并标记了从服务器收到的字节数。通过监视ACK位，我们就可以将进入网络的数据限制在响应包的范围之内。于是，远程系统根本无法发起TCP连接但却能响应收到的数据包了。

这套机制还不能算是无懈可击，简单地举个例子，假设我们有台内部Web服务器，那么端口80就不得不被打开以便外部请求可以进入网络。还有，对UDP包而言就没法监视ACK位了，因为UDP包压根就没有ACK位。还有一些TCP应用程序，比如FTP，连接就必须由这些服务器程序自己发起。

FTP带来的困难

一般的Internet服务对所有的通信都只使用一对端口号，FTP程序在连接期间则使用两对端口号。第一对端口号用于FTP的“命令通道”提供登录和执行命令的通信链路，而另一对端口号则用于FTP的“数据通道”提供客户机和服务器之间的文件传送。

在通常的FTP会话过程中，客户机首先向服务器的端口21（命令通道）发送一个TCP连接请求，然后执行LOGIN、DIR等各种命令。一旦用户请求服务器发送数据，FTP服务器就用其20端口 (数据通道)向客户的数据端口发起连接。问题来了，如果服务器向客户机发起传送数据的连接，那么它就会发送没有设置ACK位的数据包，防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口，然后才许可对该端口的入站连接。

UDP端口过滤

好了，现在我们回过头来看看怎么解决UDP问题。刚才说了，UDP包没有ACK位所以不能进行ACK位过滤。UDP 是发出去不管的“不可靠”通信，这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。

看来最简单的可行办法就是不允许建立入站UDP连接。防火墙设置为只许转发来自内部接口的UDP包，来自外部接口的UDP包则不转发。现在的问题是，比方说，DNS名称解析请求就使用UDP，如果你提供DNS服务，至少得允许一些内部请求穿越防火墙。还有IRC这样的客户程序也使用UDP，如果要让你的用户使用它，就同样要让他们的UDP包进入网络。我们能做的就是对那些从本地到可信任站点之间的连接进行限制。但是，什么叫可信任！如果黑客采取地址欺骗的方法不又回到老路上去了吗？

有些新型路由器可以通过“记忆”出站UDP包来解决这个问题：如果入站UDP包匹配最近出站UDP包的目标地址和端口号就让它进来。如果在内存中找不到匹配的UDP包就只好拒绝它了！但是，我们如何确信产生数据包的外部主机就是内部客户机希望通信的服务器呢？如果黑客诈称DNS服务器的地址，那么他在理论上当然可以从附着DNS的UDP端口发起攻击。只要你允许DNS查询和反馈包进入网络这个问题就必然存在。办法是采用代理服务器。

所谓代理服务器，顾名思义就是代表你的网络和外界打交道的服务器。代理服务器不允许存在任何网络内外的直接连接。它本身就提供公共和专用的DNS、邮件服务器等多种功能。代理服务器重写数据包而不是简单地将其转发了事。给人的感觉就是网络内部的主机都站在了网络的边缘，但实际上他们都躲在代理的后面，露面的不过是代理这个假面具。

小结

IP地址可能是假的，这是由于IP协议的源路有机制所带来的，这种机制告诉路由器不要为数据包采用正常的路径，而是按照包头内的路径传送数据包。于是黑客就可以使用系统的IP地址获得返回的数据包。有些高级防火墙可以让用户禁止源路由。通常我们的网络都通过一条路径连接ISP，然后再进入Internet。这时禁用源路由就会迫使数据包必须沿着正常的路径返回。

还有，我们需要了解防火墙在拒绝数据包的时候还做了哪些其他工作。比如，防火墙是否向连接发起系统发回了“主机不可到达”的ICMP消息？或者防火墙真没再做其他事？这些问题都可能存在安全隐患。ICMP“主机不可达”消息会告诉黑客“防火墙专门阻塞了某些端口”，黑客立即就可以从这个消息中闻到一点什么气味。如果ICMP“主机不可达”是通信中发生的错误，那么老实的系统可能就真的什么也不发送了。反过来，什么响应都没有却会使发起通信的系统不断地尝试建立连接直到应用程序或者协议栈超时，结果最终用户只能得到一个错误信息。当然这种方式会让黑客无法判断某端口到底是关闭了还是没有使用。

⑨ C++编写防火墙

U盘防火墙工作量、技术含量、创新程度都不够，肯定会被退回去。
剩下的只有两个：包过滤防火墙软件和防火墙准系统。
包过滤防火墙的难点主要是在编写网卡的上层过滤驱动上，防火墙准系统会稍微简单些，做的工作是：
1.精简linux内核，只留下路由、iptables、shell、telnet。
2.设计一些常用的iptables规则模板，在写个shell前端以便管理员应用这些规则。
3.设置相应的权限使远程访问者只能运行你的前端。
这样防火墙准系统就完成了，除了一点点shell编程以外就没编程了。即使是这样只要你能做出来铁定拿优秀毕业设计。

⑩ 防火墙的设计与规划

1 引言
网络安全是一个不容忽视的问题，当人们在享受网络带来的方便与快捷的同时，也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全，当园区网与外部网连接时，可以在中间加入一个或多个中介系统，防止非法入侵者通过网络进行攻击，非法访问，并提供数据可靠性、完整性以及保密性等方面的安全和审查控制，这些中间系统就是防火墙（Firewall）技术。它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵，以此来实现内部网络的安全运行。
2 防火墙的概述及其分类
网络安全的重要性越来越引起网民们的注意，大大小小的单位纷纷为自己的内部网络“筑墙”、防病毒与防黑客成为确保单位信息系统安全的基本手段。防火墙是目前最重要的一种网络防护设备，是处于不同网络（如可信任的局域内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口，能根据企业的安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。
2.1 概述
在逻辑上，防火墙其实是一个分析器，是一个分离器，同时也是一个限制器，它有效地监控了内部网间或Internet之间的任何活动，保证了局域网内部的安全。
1）什么是防火墙
古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所。现在，如果一个网络接到了Internet上面，它的用户就可以访问外部世界并与之通信。但同时，外部世界也同样可以访问该网络并与之交互。为安全起见，可以在该网络和Internet之间插入一个中介系统，竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵，提供扼守本网络的安全和审计的关卡，它的作用与古时候的防火砖墙有类似之处，因此就把这个屏障叫做“防火墙”。
防火墙可以是硬件型的，所有数据都首先通过硬件芯片监测；也可以是软件型的，软件在计算机上运行并监控。其实硬件型也就是芯片里固化了UNIX系统软件，只是它不占用计算机CPU的处理时间，但价格非常高，对于个人用户来说软件型更加方便实在。
2）防火墙的功能
防火墙只是一个保护装置，它是一个或一组网络设备装置。它的目的就是保护内部网络的访问安全。它的主要任务是允许特别的连接通过，也可以阻止其它不允许的连接。其主体功能可以归纳为如下几点：
·根据应用程序访问规则可对应用程序联网动作进行过滤；
·对应用程序访问规则具有学习功能；
·可实时监控，监视网络活动；
·具有日志，以记录网络访问动作的详细信息；
·被拦阻时能通过声音或闪烁图标给用户报警提示。
3）防火墙的使用
由于防火墙的目的是保护一个网络不受来自另一个网络的攻击。因此，防火墙通常使用在一个被认为是安全和可信的园区网与一个被认为是不安全与不可信的网络之间，阻止别人通过不安全与不可信的网络对本网络的攻击，破坏网络安全，限制非法用户访问本网络，最大限度地减少损失。
2.2 防火墙的分类
市场上的硬件防火墙产品非常之多，分类的标准比较杂，从技术上通常将其分为“包过滤型”、“代理型”和“监测型”等类型。
1）包过滤型
包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP(传输控制协议/用户数据报协议)源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。
2）代理型
代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。
3）监测型
监测型防火墙是新一代的产品，这一技术实际上已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种监测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品。
3 防火墙的作用、特点及优缺点
防火墙通常使用在一个可信任的内部网络和不可信任的外部网络之间，阻断来自外部通过网络对局域网的威胁和入侵，确保局域网的安全。与其它网络产品相比，有着其自身的专用特色，但其本身也有着某些不可避免的局限。下面对其在网络系统中的作用、应用特点和其优缺点进行简单的阐述。
3.1 防火墙的作用
防火墙可以监控进出网络的通信量，仅让安全、核准了的信息进入，同时又抵制对园区网构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使单位强化自己的安全策略。一般的防火墙都可以达到如下目的：一是可以限制他人进入内部网络，过滤掉不安全服务和非法用户；二是防止入侵者接近防御设施；三是限定用户访问特殊站点；四是为监视Internet安全提供方便。
3.2 防火墙的特点
我们在使用防火墙的同时，对性能、技术指标和用户需求进行分析。包过滤防火墙技术的特点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。包过滤技术是一种基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒；代理型防火墙的特点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。当然代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性；虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙产品仍然以第二代代理型产品为主，但在某些方面也已经开始使用监测型防火墙。
防火墙一般具有如下显著特点：
·广泛的服务支持 通过动态的、应用层的过滤能力和认证相结合，可以实现WWW浏览器、HTTP服务器、FTP等；
·对私有数据的加密支持 保证通过Internet进行虚拟私人网络和商业活动不受损坏；
·客户端只允许用户访问指定的网络或选择服务 企业本地网、园区网与分支机构、商业伙伴和移动用户等安全通信的信息；
·反欺骗 欺骗是从外部获取网络访问权的常用手段，它使数据包类似于来自网络内部。防火墙能监视这样的数据包并能丢弃；
·C/S模式和跨平台支持 能使运行在一个平台的管理模块控制运行在另一个平台的监视模块。
3.3 防火墙的优势和存在的不足
防火墙在确保网络的安全运行上发挥着重要的作用。但任何事物都不是完美无缺的，对待任何事物必须一分为二，防火墙也不例外。在充分利用防火墙优点为我们服务的同时，也不得不面对其自身弱点给我们带来的不便。
1） 防火墙的优势
（1）防火墙能够强化安全策略。因为网络上每天都有上百万人在收集信息、交换信息，不可避免地会出现个别品德不良或违反规则的人。防火墙就是为了防止不良现象发生的“交通警察”，它执行站点的安全策略，仅仅允许“认可的”和符合规则的请求通过。
（2）防火墙能有效地记录网络上的活动。因为所有进出信息都必须通过防火墙，所以防火墙非常适合用于收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录。
（3）防火墙限制暴露用户点。防火墙能够用来隔开网络中的两个网段，这样就能够防止影响一个网段的信息通过整个网络进行传播。
（4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。
2） 防火墙存在的不足
（1）不能防范恶意的知情者。防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户可以偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁，只能要求加强内部管理。
（2）不能防范不通过它的连接。防火墙能够有效地防止通过它传输的信息，然而它却不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。
（3）不能防备全部的威胁。防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，就可以防备新的威胁，但没有一台防火墙能自动防御所有新的威胁。
4 防火墙的管理与维护
如果已经设计好了一个防火墙，使它满足了你的机构的需要，接下来的工作就是防火墙的管理与维护了。在防火墙设计建造完成以后，使它正常运转还要做大量的工作。值得注意的是，这里许多维护工作是自动进行的。管理与维护工作主要有4个方面，它们分别是：建立防火墙的安全策略、日常管理、监控系统、保持最新状态。
4.1 建立防火墙的安全策略
要不要制定安全上的策略规定是一个有争议的问题。有些人认为制定一套安全策略是相当必须的，因为它可以说是一个组织的安全策略轮廓，尤其在网络上以及网络系统管理员对于安全上的顾虑并没有明确的策略时。
安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问，如读取、删除、下载等行为的规范，以及哪些人拥有这些权力等信息。
1） 网络服务访问策略
网络服务访问策略是一种高层次的、具体到事件的策略，主要用于定义在网络中允许的或禁止的网络服务，还包括对拨号访问以及PPP（点对点协议）连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法，所以其他的途径也应受到保护。比如，如果一个防火墙阻止用户使用Telnet服务访问因特网，一些人可能会使用拨号连接来获得这些服务，这样就可能会使网络受到攻击。网络服务访问策略不但应该是一个站点安全策略的延伸，而且对于机构内部资源的保护也起全局的作用。这种策略可能包括许多事情，从文件切碎条例到病毒扫描程序，从远程访问到移动介质的管理。
2） 防火墙的设计策略
防火墙的设计策略是具体地针对防火墙，负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前，必须了解这种防火墙的性能以及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行一下两种基本策略中的一种：
① 除非明确不允许，否则允许某种服务；
② 除非明确允许，否则将禁止某项服务。
执行第一种策略的防火墙在默认情况下允许所有的服务，除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务，除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略（第一种），也可以实施一种限制性策略（第二种），这就是制定防火墙策略的入手点。
3） 安全策略设计时需要考虑的问题
为了确定防火墙安全设计策略，进而构建实现预期安全策略的防火墙，应从最安全的防火墙设计策略开始，即除非明确允许，否则禁止某种服务。策略应该解决以下问题：
·需要什么服务，如Telnet、WWW或NFS等；
·在那里使用这些服务，如本地、穿越因特网、从家里或远方的办公机构等；
·是否应当支持拨号入网和加密等服务；
·提供这些服务的风险是什么；
·若提供这种保护，可能会导致网络使用上的不方便等负面影响，这些影响会有多大；
·与可用性相比，站点的安全性放在什么位置。
4.2 日常管理
日常管理是经常性的琐碎工作，以使防火墙保持清洁和安全。为此，需要经常去完成的主要工作：数据备份、账号管理、磁盘空间管理等。
1） 数据备份
一定要备份防火墙的数据。使用一种定期的、自动的备份系统为一般用途的机器做备份。当这个系统正常做完备份之后，最好还能发送出一封确定信，而当它发现错误的时候，也最好能产生一个明显不同的信息。
为什么只是在错误发生的时候送出一封信就好了呢？如果这个系统只在有错误的时候产生一封信，或许就有可能不会注意到这个系统根本就没有运作。那为什么需要明显不同的信息呢？如果备份系统正常和执行失败时产生的信息很类似。那么习惯于忽略成功信息的人，也有可能会忽略失败信息。理想的情况是有一个程序检查备份有没有执行，并在备份没有执行的时候产生一个信息。
2） 账号管理
账号的管理。包括增加新账号、删除旧账号及检查密码期限等，是最常被忽略的日常管理工作。在防火墙上，正确的增加新账号、迅速地删除旧账号以及适时地变更密码，绝对是一项非常重要的工作。
建立一个增加账号的程序，尽量使用一个程序增加账号。即使防火墙系统上没有多少用户，但每一个用户都可能是一个危险。一般人都有一个毛病，就是漏掉一些步骤，或在过程中暂停几天。如果这个空档正好碰到某个账号没有密码，入侵者就很容易进来了。
账号建立程序中一定要标明账号日期，以及每隔一阶段就自动检查账号。虽然不需要自动关闭账号，但是需要自动通知那些账号超过期限的人。可能的话，设置一个自动系统监控这些账号。这可以在UNIX系统上产生账号文件，然后传送到其他的机器上，或者是在各台机器上产生账号，自动把这些账号文件拷贝到UNIX上，再检查它们。
如果系统支持密码期限的功能，应该把该功能打开。选择稍微长一点的期限，譬如说三到六个月。如果密码有效期太短，例如一个月，用户可能会想尽办法躲避期限，也就无法在安全防护上得到真正的收益。同理如果密码期限功能不能保证用户在账号被停用前看到密码到期通知，就不要开启这个功能。否则，用户会很不方便，而且也会冒着锁住急需使用机器的系统管理者的风险。
3） 磁盘空间管理
数据总是会塞满所有可用的空间，即使在几乎没有什么用户的机器上也一样。人们总是向文件系统的各个角落丢东西，把各种数据转存到文件系统的临时地址中。这样引起的问题可能常常会超出人们的想象。暂且不说可能需要使用那些磁盘空间，只是这种碎片就容易造成混乱，使事件的处理更复杂。于是有人可能会问：那是上次安装新版程序留下来的程序吗？是入侵者放进来的程序吗？那真的是一个普通的数据文件吗？是一些对入侵者有特殊意义的东西？等等，不幸的是能自动找出这种“垃圾”的方法没有，尤其是可以在磁盘上到处写东西的系统管理者。因此，最好有一个人定期检查磁盘，如果让每一个新任的系统管理者都去遍历磁盘会特别有效。他们将会发现管理员忽视的东西。
在大多数防火墙中，主要的磁盘空间问题会被日志记录下来。这些记录应该自动进行，自动重新开始，这些数据最好把它压缩起来。Trimlon程序能够使这个处理程序自动化。当系统管理者要截断或搬移记录时，一定要停止程序或让它们暂停记录，如果在截断或搬移记录时，还有程序在尝试写入记录文件，显然就会有问题。事实上，即使只是有程序开启了文件准备稍后写入，也可能会惹上麻烦。
4.3 监视系统
对防火墙的维护、监视系统是维护防火墙的重点，它可以告诉系统管理者以下的问题：
·防火墙已岌岌可危了吗？
·防火墙能提供用户需求的服务吗？
·防火墙还在正常运作吗？
·尝试攻击防火墙的是哪些类型的攻击？
要回答这几个问题，首先应该知道什么是防火墙的正常工作状态。
1） 专用设备的监视
虽然大部分的监视工作都是利用防火墙上现成的工具或记录数据，但是也可能会觉得如果有一些专用的监视设备会很方便。例如，可能需要在周围网络上放一个监视站，以便确定通过的都是预料中的数据包。可以使用有网络窥视软件包的一般计算机，也可以使用特殊用途的网络检测器。
如何确定这一台监视机器不会被入侵者利用呢？事实上，最好根本不要让入侵者知道它的存在。在某些网络硬件设备上，只要利用一些技术和一对断线器（wire cutter）取消网络接口的传输功能，就可以使这台机器无法被检测到，也很难被入侵者利用。如果有操作系统的原始程序，也可以从那里取消传输功能，随时停止传输。但是，在这种情况下很难确认操作是否已经做成功了。
2） 应该监视的内容
理想的情况是，应该知道通过防火墙的一切事情，包括每一条连接，以及每一个丢弃或接受的数据包。然而实际的情况是很难做到的，而折衷的办法是，在不至于影响主机速度也不会太快填满磁盘的情况下，尽量多做记录，然后再为所产生的记录整理出摘要。
在特殊情况下，要记录好以下内容：一是所有抛弃的包和被拒绝的连接；二是每一个成功的连接通过堡垒主机的时间、协议和用户名；三是所有从路由器中发现的错误、堡垒主机和一些代理程序。
3） 监视工作中的一些经验
应该把可疑的事件划分为几类：一是知道事件发生的原因，而且这不是一个安全方面的问题；二是不知道是什么原因，也许永远不知道是什么原因引起的，但是无论它是什么，它从未再出现过；三是有人试图侵入，但问题并不严重，只是试探一下；四是有人事实上已经侵入。
这些类别之间的界限比较含糊。要提供以上任何问题的详细征兆是不可能的，但是下面这些归纳出的经验可能会对网络系统管理员有所帮助。如果发现以下情况，网络系统管理员就有理由怀疑有人在探试站点：一是试图访问在不安全的端口上提供的服务（如企图与端口映射或者调试服务器连接）；二是试图利用普通账户登录（如guest）；三是请求FTP文件传输或传输NFS（Network File System，网络文件系统）映射；四是给站点的SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器发送debug命令。
如果网络系统管理员见到以下任何情况，应该更加关注。因为侵袭可能正在进行之中：一是多次企图登录但多次失败的合法账户，特别是因特网上的通用账户；二是目的不明的数据包命令；三是向某个范围内每个端口广播的数据包；四是不明站点的成功登录。
如果网络系统管理员了发现以下情况，应该怀疑已有人成功地侵入站点：一是日志文件被删除或者修改；二是程序突然忽略所期望的正常信息；三是新的日志文件包含有不能解释的密码信息或数据包痕迹；四是特权用户的意外登录（例如root用户），或者突然成为特权用户的意外用户；五是来自本机的明显的试探或者侵袭，名字与系统程序相近的应用程序；六是登录提示信息发生了改变。
4） 对试探作出的处理
通常情况下，不可避免地发觉外界对防火墙进行明显试探——有人向没有向Internet提供的服务发送数据包，企图用不存在的账户进行登录等。试探通常进行一两次，如果他们没有得到令人感兴趣的反应，他们通常就会走开。而如果想弄明白试探来自何方，这可能就要花大量时间追寻类似的事件。然而，在大多数情况下，这样做不会有很大成效，这种追寻试探的新奇感很快就会消失。
一些人满足于建立防火墙机器去诱惑人们进行一般的试探。例如，在匿名的FTP区域设置装有用户账号数据的文件，即使试探者破译了密码，看到的也只是一个虚假信息。这对于消磨空闲时间是没有害处的，这还能得到报复的快感，但是事实上它不会改善防火墙的安全性。它只能使入侵者恼怒，从而坚定了入侵者闯入站点的决心。
4.4 保持最新状态
保持防火墙的最新状态也是维护和管理防火墙的一个重点。在这个侵袭与反侵袭的领域中，每天都产生新的事物、发现新的毛病，以新的方式进行侵袭，同时现有的工具也会不断地被更新。因此，要使防火墙能同该领域的发展保持同步。
当防火墙需要修补、升级一些东西，或增加新功能时，就必须投入较多的时间。当然所花的时间长短视修补、升级、或增加新功能的复杂程度而定。如果开始时对站点需求估计的越准确，防火墙的设计和建造做的越好，防火墙适应这些改变所花的时间就越少。
5 结束语
随着Internet在我国的迅速发展，网络安全的问题越来越得到重视，防火墙技术也引起了各方面的广泛关注。我们国家除了自行展开了对防火墙的一些研究，还对国外的信息安全和防火墙的发展进行了密切的关注，以便能更快掌握这方面的信息，更早的应用到我们的网络上面。当然，金无足赤，人无完人，我们从防火墙维护和管理的研究上得知，防火墙能保护网络的安全，但并不是绝对安全的，而是相对的。
参考文献
[1] 虞益诚.网络技术及应用.东南大学出版社，2005.2
[2] 王 睿，林海波.网络安全与防火墙技术.清华大学出版社，2005.7
[3] 黄志晖.计算机网络设备全攻略.西安电子科技大学出版社
[4] 石良武.计算机网络与应用.清华大学出版社，2005.2