題 目計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)

1、湖南環(huán)境生物職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文）題 目：計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)姓 名： 唐文運(yùn) 學(xué) 號(hào)： 專 業(yè)： 計(jì)算機(jī)應(yīng)用 系 部： 信息技術(shù) 指導(dǎo)老師： 龔 靜 完成日期： 2011 年 5 月 15日論文摘要 本論文主要研究防火墻技術(shù)與網(wǎng)絡(luò)安全。論述了防火墻安全技術(shù)的功能、主要技術(shù)、安全措施和防火墻設(shè)計(jì)思路等。在確保網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面，有數(shù)據(jù)加密技術(shù)、防火墻技術(shù)等，我們?cè)谶@里主要研究的是防火墻技術(shù)。然后介紹了防火墻兩種基本實(shí)現(xiàn)技術(shù)：分組過濾、應(yīng)用代理。防火墻技術(shù)還處在一個(gè)發(fā)展階段，仍有許多問題有待解決。論文關(guān)鍵詞 網(wǎng)絡(luò)安全 防火墻 防范措施 分組過濾 代理 堡壘主機(jī)Abstract T

2、his thesis mainly research firewall technology and network security. Discusses the function of firewall security technology, main technical and safety measures and firewall design ideas, etc. Ensure that the network security and data security, data encryption technology, firewall etc, here we mainly

3、 study is a firewall technology. And then introduced the firewall two basic technology: group filtering, application agent. Firewall technology is still in a developing stage, there are still many problems remain to be solved paper keywords Network security firewall Preventive measures Packet filter

4、ing agent Fort host目錄一、緒論 二、網(wǎng)絡(luò)安全三、防火墻簡(jiǎn)介四、防火墻的配置五、防火墻的發(fā)展趨勢(shì)六、謝辭七、參考文獻(xiàn)1、計(jì)算機(jī)網(wǎng)絡(luò)安全概述2、目前計(jì)算機(jī)網(wǎng)絡(luò)安全策略3、防火墻技術(shù) 3.1 防火墻的定義 3.2 防火墻的功能 3.3 防火墻的分類及其原理(這里寫詳細(xì)點(diǎn)) 3.4 常見的攻擊技術(shù)及應(yīng)對(duì)策略 3.5 防火墻的發(fā)展趨勢(shì)4、結(jié)論一.網(wǎng)絡(luò)安全1.網(wǎng)絡(luò)安全概念安全，通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機(jī)制。我國(guó)對(duì)于計(jì)算機(jī)安全的定義是：“計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運(yùn)行?！保?）網(wǎng)絡(luò)安全面臨的主要

5、威脅一般認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自計(jì)算機(jī)病毒、黑客的攻擊和拒絕服務(wù)攻擊三個(gè)方面，第一計(jì)算機(jī)病毒的侵襲；第二黑客侵襲；第三拒絕服務(wù)攻擊。具體講，網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權(quán)訪問、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶等。（2） 影響網(wǎng)絡(luò)安全的因素第一是單機(jī)安全，購買單機(jī)時(shí)，型號(hào)的選擇；計(jì)算機(jī)的運(yùn)行環(huán)境（電壓、濕度、強(qiáng)電磁場(chǎng)等）；計(jì)算機(jī)的操作等等，這些都是影響單機(jī)安全性的因素。第二是網(wǎng)絡(luò)安全，影響網(wǎng)絡(luò)安全的因素有：節(jié)點(diǎn)的安全、數(shù)據(jù)的安全、文件的安全等。2.網(wǎng)絡(luò)安全措施網(wǎng)絡(luò)信息安全涉及方方面面的問題，是一個(gè)復(fù)雜的系統(tǒng)。一個(gè)完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包

6、括三類措施：一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。二是技術(shù)方面，如信息加密存儲(chǔ)傳輸、身份認(rèn)證、防火墻技術(shù)、網(wǎng)絡(luò)防毒等。三是管理措施。 二：目前計(jì)算機(jī)網(wǎng)絡(luò)安全策略制定安全策略是一件非常復(fù)雜的事情，通?？蓮囊韵聝蓚€(gè)方面來考慮。1 物理安全策略 物理安全策略包括以下幾個(gè)方面：一是為了保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路，以免受自然災(zāi)害、人為破壞和搭線攻擊；二是驗(yàn)證用戶的身份和使用權(quán)限，防止用戶越權(quán)操作；三是確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；四是建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。 2 訪問控制策略 訪問控制是對(duì)要訪問系統(tǒng)的

7、用戶進(jìn)行識(shí)別，并對(duì)訪問權(quán)限進(jìn)行必要的控制。訪問控制策略是維護(hù)計(jì)算機(jī)系統(tǒng)安全、保護(hù)其資源的重要手段。訪問控制的內(nèi)容有入網(wǎng)訪問控制、目錄級(jí)安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制等。另外，還有加密策略、防火墻控制策略等。 三.防火墻的簡(jiǎn)介1.防火墻的定義防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻提供信息安全服務(wù)，是實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施

8、。2.防火墻的功能防火墻具有如下的功能：（1）包過濾。（2）地址轉(zhuǎn)換。（3）認(rèn)證和應(yīng)用代理。（4）透明和路由。（5）入侵檢測(cè)功能。（6）虛擬專網(wǎng)功能。3.防火墻的原理及分類國(guó)際計(jì)算機(jī)安全委員會(huì)將防火墻分成三大類:包過濾防火墻，應(yīng)用級(jí)代理服務(wù)器以及狀態(tài)包檢測(cè)防火墻。包過濾防火墻就是把接收到的每個(gè)數(shù)據(jù)包同預(yù)先設(shè)定的包過濾規(guī)則相比較，從而決定是否阻塞或通過。 代理服務(wù)型防火墻也稱鏈路級(jí)網(wǎng)關(guān)或TCP通道，它是針對(duì)數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)。復(fù)合型防火墻是指由于對(duì)更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。4.防火墻的過濾技術(shù)所謂包

9、過濾，就是對(duì)流經(jīng)網(wǎng)絡(luò)防火墻的所有數(shù)據(jù)包逐個(gè)檢查，并依據(jù)所制定的安全策略來決定數(shù)據(jù)包是通過還是不通過。 (1)數(shù)據(jù)表結(jié)構(gòu)當(dāng)應(yīng)用程序用TCP傳送數(shù)據(jù)時(shí)，數(shù)據(jù)被送入?yún)f(xié)議棧中，然后逐個(gè)通過每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。其中每一層對(duì)接收到的數(shù)據(jù)都要增加一些首部信息。IP，TCP首部格式如表3-1表3-2所示。表3-1 IP首部格式版本首部長(zhǎng)服務(wù)類型總 長(zhǎng) 度標(biāo)識(shí)標(biāo)志片偏移生存時(shí)間協(xié)議首部校驗(yàn)和源IP地址目的IP地址選項(xiàng)表3-2 TCP首部格式源端口號(hào)目的端口號(hào)序列號(hào)確認(rèn)號(hào)首部長(zhǎng)保留LRCTBLPBHRCTCJHHJR窗口大小TCP校驗(yàn)和緊急指針選項(xiàng)(2)傳統(tǒng)包過濾技術(shù)傳統(tǒng)包過濾技術(shù)，大多是在IP層

10、實(shí)現(xiàn)，它只是簡(jiǎn)單的對(duì)當(dāng)前正在通過的單一數(shù)據(jù)包進(jìn)行檢測(cè)，查看源/目的IP地址、端口號(hào)以及協(xié)議類型(UDP/TCP)等，結(jié)合訪問控制規(guī)則對(duì)數(shù)據(jù)包實(shí)施有選擇的通過。這種技術(shù)存在的問題主要表現(xiàn)有:有可能會(huì)用到的端口都必須靜態(tài)放開；不能對(duì)數(shù)據(jù)傳輸狀態(tài)進(jìn)行判斷；無法過濾審核數(shù)據(jù)包上層的內(nèi)容。(3)動(dòng)態(tài)包過濾動(dòng)態(tài)包過濾通過在內(nèi)存中動(dòng)態(tài)地建立和維護(hù)一個(gè)狀態(tài)表，數(shù)據(jù)包到達(dá)時(shí)，對(duì)該數(shù)據(jù)包的處理方式將綜合靜態(tài)安全規(guī)則和數(shù)據(jù)包所處的狀態(tài)進(jìn)行。這種方法的好處在于由于不需要對(duì)每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查，而是一個(gè)連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過散列算法，直接進(jìn)行狀態(tài)檢查，從而使性能得到了較大提高動(dòng)態(tài)包過濾技術(shù)克服了傳

11、統(tǒng)包過濾僅僅孤立的檢查單個(gè)數(shù)據(jù)包和安全規(guī)則靜態(tài)不可變的缺陷，使得防火墻的安全控制力度更為細(xì)致。(4)深度包檢測(cè)目前許多造成大規(guī)模損害的網(wǎng)絡(luò)攻擊，都是利用了應(yīng)用的弱點(diǎn)。利用高層協(xié)議的攻擊和網(wǎng)絡(luò)病毒的頻繁出現(xiàn)，對(duì)防火墻提出了新的要求。防火墻必須深入檢查數(shù)據(jù)包的內(nèi)部來確認(rèn)出惡意行為并阻止它們。深度包檢測(cè)(Deep Packet Inspection)就是針對(duì)這種需求，深入檢測(cè)數(shù)據(jù)包有效載荷，執(zhí)行基于應(yīng)用層的內(nèi)容過濾，以此提高系統(tǒng)應(yīng)用防御能力。應(yīng)用防御的技術(shù)問題主要包括:第一需要對(duì)有效載荷知道得更清楚;第二也需要高速檢查它的能力。一個(gè)深度包檢測(cè)的流程框圖如圖3.1所示。圖3.1 深度包檢測(cè)框圖 (5)

12、流過濾技術(shù)流過濾是東軟集團(tuán)提出的一種新型防火墻技術(shù)架構(gòu)，它融基于狀態(tài)的包過濾技術(shù)與基于內(nèi)容的深度包檢測(cè)技術(shù)為一體，提供了一個(gè)較好的應(yīng)用防御解決方案，它以狀態(tài)監(jiān)測(cè)技術(shù)為基礎(chǔ)。如在對(duì)SMTP協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對(duì)郵件的存儲(chǔ)轉(zhuǎn)發(fā)，并實(shí)現(xiàn)豐富的對(duì)SMTP協(xié)議的各種攻擊的防范功能一流過濾的示意圖如圖3.2所示。圖3.2 流過濾示意圖四、防火墻的配置1.硬件連接與實(shí)施一般來說硬件防火墻和路由交換設(shè)備一樣具備多個(gè)以太接口，速度根據(jù)檔次與價(jià)格不同而在百兆與千兆之間有所區(qū)別。(如圖4.1)圖4.1如果防火墻上有WAN接口，那么直接將WAN接口連接外網(wǎng)即可，如果所有接口都標(biāo)記為L(zhǎng)AN

13、接口，那么按照常規(guī)標(biāo)準(zhǔn)選擇最后一個(gè)LAN接口作為外網(wǎng)連接端口。相應(yīng)的其他LAN接口連接內(nèi)網(wǎng)各個(gè)網(wǎng)絡(luò)設(shè)備。2.防火墻的特色配置從外觀上看防火墻和傳統(tǒng)的路由器交換機(jī)沒有太大的差別，一部分防火墻具備CONSOLE接口通過超級(jí)終端的方式初始化配置，而另外一部分則直接通過默認(rèn)的LAN接口和管理地址訪問進(jìn)行配置。除此之外防火墻的其他相關(guān)配置與路由交換設(shè)備差不多，無外乎通過超級(jí)終端下的命令行參數(shù)進(jìn)行配置或者通過WEB管理界面配置。3.軟件的配置與實(shí)施以H3C的F100防火墻為例，當(dāng)企業(yè)外網(wǎng)IP地址固定并通過光纖連接的具體配置。首先當(dāng)企業(yè)外網(wǎng)出口指定IP時(shí)配置防火墻參數(shù)。選擇接口四連接外網(wǎng)，接口一連接內(nèi)網(wǎng)。這

14、里假設(shè)電信提供的外網(wǎng)IP地址為94 。第一步：通過CONSOLE接口以及本機(jī)的超級(jí)終端連接F100防火墻，執(zhí)行system命令進(jìn)入配置模式。第二步：通過firewall packet default permit設(shè)置默認(rèn)的防火墻策略為“容許通過”。第三步：進(jìn)入接口四設(shè)置其IP地址為94，命令為int e0/4ip add 94 第四步：進(jìn)入接口一設(shè)置其IP地址為內(nèi)網(wǎng)地址，例如 ，命令為int e0/1ip add

15、 第五步：將兩個(gè)接口加入到不同的區(qū)域，外網(wǎng)接口配置到非信任區(qū)untrust，內(nèi)網(wǎng)接口加入到信任區(qū)trustfire zone untrustadd int e0/4fire zone trustadd int e0/1第六步：由于防火墻運(yùn)行基本是通過NAT來實(shí)現(xiàn)，各個(gè)保護(hù)工作也是基于此功能實(shí)現(xiàn)的，所以還需要針對(duì)防火墻的NAT信息進(jìn)行設(shè)置，首先添加一個(gè)訪問控制列表acl num 2000rule per source 55rule deny第七步：接下來將這個(gè)訪問控制列表應(yīng)用到外網(wǎng)接口通過啟用NATint e0/4nat out

16、bound 2000第八步：最后添加路由信息，設(shè)置缺省路由或者靜態(tài)路由指向外網(wǎng)接口或外網(wǎng)電信下一跳地址ip route-static 93 (如圖2)執(zhí)行save命令保存退出后就可以在企業(yè)外網(wǎng)出口指定IP時(shí)實(shí)現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)以及安全保護(hù)功能了。五.防火墻的發(fā)展趨勢(shì)針對(duì)傳統(tǒng)防火墻不能解決的問題，及新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也出現(xiàn)了新的發(fā)展趨勢(shì)。主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)。1.防火墻包過濾技術(shù)發(fā)展趨勢(shì)(1) 安全策略功能(2)一些防火墻廠商把在AAA系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以

17、支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗(yàn)證的防火墻通常是采用應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)的，包過濾技術(shù)的防火墻不具有。(2)多級(jí)過濾技術(shù)所謂多級(jí)過濾技術(shù)，是指防火墻采用多級(jí)過濾措施，并輔以鑒別手段。在分組過濾(網(wǎng)絡(luò)層)一級(jí)，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級(jí)，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供的所用通用服務(wù)。(3)功能擴(kuò)展功能擴(kuò)展是指一種集成多種功能的設(shè)計(jì)趨勢(shì)，包括VPN、AAA、PKI、IPSec等附加功能，甚至

18、防病毒、入侵檢測(cè)這樣的主流功能，都被集成到防火墻產(chǎn)品中。2.防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)隨著網(wǎng)絡(luò)應(yīng)用的增加，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會(huì)越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。3.防火墻的系統(tǒng)管理

19、發(fā)展趨勢(shì)(1)集中式管理，分布式和分層的安全結(jié)構(gòu)。(2)強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能。(3)網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化?？v觀防火墻技術(shù)的發(fā)展，黑客入侵系統(tǒng)技術(shù)的不斷進(jìn)步以及網(wǎng)絡(luò)病毒朝智能化和多樣化發(fā)展，對(duì)防火墻技術(shù)的同步發(fā)展提出了更高的要求。防火墻技術(shù)只有不斷向主動(dòng)型和智能型等方向發(fā)展，才能更好的滿足人們對(duì)防火墻技術(shù)日益增長(zhǎng)的需求。謝 辭在這里我應(yīng)該首先感謝培養(yǎng)我的大學(xué)湖南環(huán)境生物職業(yè)技術(shù)學(xué)院， 特別是信息技術(shù)系的全體領(lǐng)導(dǎo)和老師們，感謝他們?cè)谌甑拇髮W(xué)生活、學(xué)習(xí)中對(duì)我的教育、指導(dǎo)和關(guān)心，才能讓我順利的完成三年的大學(xué)學(xué)習(xí)。得到進(jìn)一步深造的機(jī)會(huì)。在我將畢業(yè)之際，衷心的祝愿環(huán)境生物職業(yè)技術(shù)學(xué)院的明天會(huì)

20、更輝煌，祝三年來對(duì)我關(guān)心、教導(dǎo)的所有老師們身體健康、工作順利、萬事如意。參考文獻(xiàn)1.王艷.淺析計(jì)算機(jī)安全.電腦知識(shí)與技術(shù).20102.艾軍.防火墻體系結(jié)構(gòu)及功能分析.電腦知識(shí)與技術(shù).20043.高峰.許南山.防火墻包過濾規(guī)則問題的研究.計(jì)算機(jī)應(yīng)用.20034.孟濤、楊磊.防火墻和安全審計(jì).計(jì)算機(jī)安全.20044.魏利華.防火墻技術(shù)及其性能研究.能源研究與信息.20045.王衛(wèi)平，陳文惠，朱衛(wèi)未.防火墻技術(shù)分析.信息安全與通信保密.2006tgKQcWA3PtGZ7R4I30kA1DkaGhn3XtKknBYCUDxqA7FHYi2CHhI92tgKQcWA3PtGshLs50cLmTWN60eo8Wgqv7XAv2OHUm32WGeaUwYDIAWGMeR4I30kA1DkaGhn3XtKknBYCUDxqA7FHYi2CHhI92tgKQcWA3PtGZ7R4I30kA1DkaGtgKQcWA3PtGZ7R4I30kA1DkaGhn3XtKknBYCUDxqA7FHYi2CHhI92tgKQcWA3PtGshLs50cLmTWN60eo8Wgqv7XAv2OHUm32WGeaUwYDIAWGMeR4I30kA1DkaGhn3XtKknBYCUDxqA7FHYi2CHhI92tgKQcWA3PtGZ7R4I30kA1DkaGtg