现代网络安全及防火墙毕业论文

第一篇：现代网络安全及防火墙毕业论文

摘要

随着计算机网络技术的飞速发展，尤其是互联网的应用变得越来越广泛，在带来了前所未有的海量信息的同时，网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性，网络信息的安全性变得日益重要起来，已被信息社会的各个领域所重视。本文对目前计算机网络存在的安全隐患进行了分析，阐述了我国网络安全的现状及网络安全问题产生的原因，对我们网络安全现状进行了系统的分析,并探讨了针对计算机安全隐患的防范策略.正是因为安全威胁的无处不在，为了解决这个问题防火墙出现了。防火墙是网络安全的关键技术,是隔离在本地网络与外界网络之间的一道防御系统，其核心思想是在不安全的网络环境中构造一个相对安全的子网环境,防火墙是实施网络安全控制得一种必要技术。本文讨论了防火墙的安全功能、体系结构、实现防火墙的主要技术手段及配置等。

关键词

网络安全/黑客/病毒/防火墙

0 我国网络安全现状...........................................................................................................2 1.1研究背景..................................................................................................................2 1.2研究意义..................................................................................................................3 1.3 计算机网络面临的威胁.........................................................................................4 2 防火墙的安全功能及安全网络方案...............................................................................7 2.1防火墙具备的安全功能..........................................................................................7 2.2 计算机网络面临的威胁网络安全的解决方案 2.2.1入侵检测系统部署..........7 3 计算机网络安全方案设计并实现................................................................................10 3.1桌面安全系统........................................................................................................10 3.2病毒防护系统......................................................................................................10 3.3 动态口令系统........................................................................................................11 4 防火墙的配置.................................................................................................................13 4.1防火墙的初始配置................................................................................................13 4.2 过滤防火墙的访问配置.......................................................................................15 4.3双宿主机网关(Dual Homed Gateway)................................................................19 4.4屏蔽主机网关(Screened Host Gateway).............................................................19 4.5屏蔽子网(Screened Subnet).................................................................................20 总

结................................................................................................................................22 致

谢................................................................................................................................23 参考文献.............................................................................................................................24 我国网络安全现状

1.1研究背景

据美国联邦调查局统计，美国每年因网络安全造成的损失高达75亿美元。据美国金融时报报道，世界上平均每20分钟就发生一次人侵国际互联网络的计算机安全事件，1/3的防火墙被突破。美国联邦调查局计算机犯罪组负责人吉姆·塞特尔称：给我精选10名“黑客”，组成小组，90天内，我将使美国趴下。一位计算机专家毫不夸张地说：如果给我一台普通计算机、一条电话线和一个调制解调器，就可以令某个地区的网络运行失常。

据了解，从1997年底至今，我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。公安机关受理各类信息网络违法犯罪案件逐年剧增，尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。由于我国大量的网络基础设施和网络应用依赖于外国的产品和技术，在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段，以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责。有些集成商仍缺乏足够专业的安全支撑技术力量，同时一些负责网络安全的工程技术人员对许多潜在风险认识不足。缺乏必要的技术设施和相关处理经验，面对形势日益严峻的现状，很多时候都显得有些力不从心。也正是由于受技术条件的限制，很多人对网络安全的意识仅停留在如何防范病毒阶段，对网络安全缺乏整体意识。

随着网络的逐步普及，网络安全的问题已经日益突。如同其它任何社会一样，互连网也受到某些无聊之人的困扰，某些人喜爱在网上做这类的事,像在现实中向其他人的墙上喷染涂鸦、将他人的邮箱推倒或者坐在大街上按汽车喇叭一样。网络安全已成为互连网上事实上的焦点问题。它关系到互连网的进一步发展和普及，甚至关系着互连网的生存。近年来，无论在发达国家，还是在发展中国家，黑客活动越来越猖狂，他们无孔不入，对社会造成了严重的危害。目前在互连网上大约有将近80%以上的用户曾经遭受过黑客的困扰。而与此同时，更让人不安的是，互连网上病毒和黑客的联姻、不断增多的黑客网站，使学习黑客技术、获得黑客攻击工具变的轻而易举。这样，使原本就十分脆弱的互连网越发显得不安全。

1.2研究意义

现在网络的观念已经深入人心，越来越多的人们通过网络来了解世界，同时他们也可以通过网络发布消息，与朋友进行交流和沟通，展示自己，以及开展电子商务等等。人们的日常生活也越来越依靠网络进行。同时网络攻击也愈演愈烈，时刻威胁着用户上网安全，网络与信息安全已经成为当今社会关注的重要问题之一。党的十六届四中全会，把信息安全和政治安全、经济安全、文化安全并列为国家安全的四大范畴之一，信息安全的重要性被提升到一个空前的战略高度。正是因为安全威胁的无处不在，为了解决这个问题防火墙出现了。防火墙的本义原是指古代人们房屋之间修建的那道为防止火灾蔓延而建立的墙，而现在意义上的防火墙是指隔离在本地网络与外界网络之间的一道防御系统，是这一类防范措施的总称。应该说，在互连网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接，同时不会妨碍人们对风险区域的访问。成而有效的控制用户的上网安全。防火墙是实施网络安全控制得一种必要技术，它是一个或一组系统组成，它在网络之间执行访问控制策略。实现它的实际方式各不相同，但是在原则上，防火墙可以被认为是这样同一种机制：拦阻不安全的传输流，允许安全的传输流通过。特定应用程序行为控制等独特的自我保护机制使它可以监控进出网络的通信信息，仅让安全的、核准了的信息进入；它可以限制他人进入内部网络，过滤掉不安全服务和非法用户；它可以封锁特洛伊木马，防止机密数据的外泄；它可以限定用户访问特殊站点，禁止用户对某些内容不健康站点的访问；它还可以为监视互联网的安全提供方便。现在国外的优秀防火墙如Outpost不但能完成以上介绍的基本功能，还能对独特的私人信息保护如防止密码泄露、对内容进行管理以防止小孩子或员工查看不合适的网页内容，允许按特定关键字以及特定网地进行过滤等、同时还能对DNS 缓存进行保护、对Web 页面的交互元素进行控制如过滤不需要的GIF，Flash动画等界面元素。随着时代的发展和科技的进步防火墙功能日益完善和强大，但面对日益增多的网络安全威胁防火墙仍不是完整的解决方案。但不管如何变化防火墙仍然是网络安全必不可少的工具之一。

1.3 计算机网络面临的威胁

1.3.1 网络安全脆弱的原因

(1)Internet所用底层TCP/IP网络协议本身易受到攻击，该协议本身的安全问题极大地影响到上层应用的安全。

(2)Internet上广为传插的易用黑客和解密工具使很多网络用户轻易地获得了攻击网络的方法和手段。

(3)快速的软件升级周期，会造成问题软件的出现，经常会出现操作系统和应用程序存在新的攻击漏洞。

(4)现行法规政策和管理方面存在不足。目前我国针对计算机及网络信息保护的条款不细致，网上保密的法规制度可操作性不强，执行不力。同时，不少单位没有从管理制度、人员和技术上建立相应的安全防范机制。缺乏行之有效的安全检查保护措施，甚至有一些网络管理员利用职务之便从事网上违法行为。

1.3.1网络安全面临的威胁

信息安全是一个非常关键而又复杂的问题。计算机信息系统安全指计算机信息系统资产(包括网络)的安全，即计算机信息系统资源(硬件、软件和信息)不受自然和人为有害因素的威胁和危害。

计算机信息系统之所以存在着脆弱性，主要是由于技术本身存在着安全弱点、系统的安全性差、缺乏安全性实践等;计算机信息系统受到的威胁和攻击除自然灾害外，主要来自计算机犯罪、计算机病毒、黑客攻击、信息战争和计算机系统故障等。由于计算机信息系统已经成为信息社会另一种形式的“金库”和“保密室”，因而，成为一些人窥视的目标。再者，由于计算机信息系统自身所固有的脆弱性，使计算机信息系统面临威胁和攻击的考验。计算机信息系统的安全威胁主要来自于以下几个方面：

(1)自然灾害。计算机信息系统仅仅是一个智能的机器，易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。目前，我们不少计算机房并没有防震、防火、防水、避雷、防电磁泄漏或干扰等措施，接地系统也疏于周到考虑，抵御自然灾害和意外事故的能力较差。日常工作中因断电而设备损坏、数据丢失的现象时有发生。由于噪音和电磁辐射，导致网络信噪比下降，误码率增加，信息的安全性、完整性和可用

性受到威胁。

(2)黑客的威胁和攻击。计算机信息网络上的黑客攻击事件越演越烈，已经成为具有一定经济条件和技术专长的形形色色攻击者活动的舞台。他们具有计算机系统和网络脆弱性的知识，能使用各种计算机工具。境内外黑客攻击破坏网络的问题十分严重，他们通常采用非法侵人重要信息系统，窃听、获取、攻击侵人网的有关敏感性重要信息，修改和破坏信息网络的正常使用状态，造成数据丢失或系统瘫痪，给国家造成重大政治影响和经济损失。黑客问题的出现，并非黑客能够制造入侵的机会，从没有路的地方走出一条路，只是他们善于发现漏洞。即信息网络本身的不完善性和缺陷，成为被攻击的目标或利用为攻击的途径，其信息网络脆弱性引发了信息社会脆弱性和安全问题，并构成了自然或人为破坏的威胁。

(3)计算机病毒。90年代，出现了曾引起世界性恐慌的“计算机病毒”，其蔓延范围广，增长速度惊人，损失难以估计。它像灰色的幽灵将自己附在其他程序上，在这些程序运行时进人到系统中进行扩散。计算机感染上病毒后，轻则使系统上作效率下降，重则造成系统死机或毁坏，使部分文件或全部数据丢失，甚至造成计算机主板等部件的损坏。

(4)垃圾邮件和间谍软件。一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、宗教、政治等活动，把自己的电子邮件强行“推入”别人的电子邮箱，强迫他人接受垃圾邮件。与计算机病毒不同，间谍软件的主要目的不在于对系统造成破坏，而是窃取系统或是用户信息。事实上，间谍软件日前还是一个具有争议的概念，一种被普遍接受的观点认为间谍软件是指那些在用户小知情的情况下进行非法安装发装后很难找到其踪影，并悄悄把截获的一些机密信息提供给第下者的软件。间谍软件的功能繁多，它可以监视用户行为，或是发布广告，修改系统设置，威胁用户隐私和计算机安全，并可能小同程度的影响系统性能。

(5)信息战的严重威胁。信息战，即为了国家的军事战略而采取行动，取得信息优势，干扰敌方的信息和信息系统，同时保卫自己的信息和信息系统。这种对抗形式的目标，不是集中打击敌方的人员或战斗技术装备，而是集中打击敌方的计算机信息系统，使其神经中枢的指挥系统瘫痪。信息技术从根本上改变了进行战争的方法，其攻击的首要目标主要是连接国家政治、军事、经济和整个社会的计算机网络系统，信息武器已经成为了继原子武器、生物武器、化学武器之后的第四类战略武器。可以说，未来国与国之间的对抗首先将是信息技术的较量。网络信息安全应该成为国家安全的前提。

(6)计算机犯罪。计算机犯罪，通常是利用窃取口令等手段非法侵人计算机信息系统，传播有害信息，恶意破坏计算机系统，实施贪污、盗窃、诈骗和金融犯罪等活动。

在一个开放的网络环境中，大量信息在网上流动，这为不法分子提供了攻击目标。他们利用不同的攻击手段，获得访问或修改在网中流动的敏感信息，闯入用户或政府部门的计算机系统，进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗，其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。防火墙的安全功能及安全网络方案

2.1防火墙具备的安全功能

防火墙是网络安全策略的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看，防火墙应该具有以下基本功能：

(1)报警功能，将任何有网络连接请求的程序通知用户，用户自行判断是否放行也或阻断其程序连接网络。

(2)黑白名单功能，可以对现在或曾经请求连接网络的程序进行规则设置。包括以后不准许连接网网等功能。

(3)局域网查询功能，可以查询本局域网内其用户，并显示各用户主机名。

(4)流量查看功能，对计算机进出数据流量进行查看，直观的完整的查看实时数据量和上传下载数据率。

(5)端口扫描功能，户自可以扫描本机端口，端口范围为0-65535端口，扫描完后将显示已开放的端口。

(6)系统日志功能，日志分为流量日志和安全日志，流量日志是记录不同时间数据包进去计算机的情况，分别记录目标地址，对方地址，端口号等。安全日志负责记录请求连接网络的程序，其中包括记录下程序的请求连网时间，程序目录路径等。(7)系统服务功能，可以方便的查看所以存在于计算机内的服务程序。可以关闭，启动，暂停计算机内的服务程序。

(8)连网/断网功能，在不使用物理方法下使用户计算机连接网络或断开网络。完成以上功能使系统能对程序连接网络进行管理，大大提高了用户上网的效率，降低的上网风险。从而用户上网娱乐的质量达到提高，同时也达到网络安全保护的目的。

2.2 计算机网络面临的威胁网络安全的解决方案

2.2.1入侵检测系统部署

入侵检测能力是衡量一个防御体系是否完整有效的重要因素，强大完整的入侵检

测体系可以弥补防火墙相对静态防御的不足。对来自外部网和校园网内部的各种行为进行实时检测，及时发现各种可能的攻击企图，并采取相应的措施。具体来讲，就是将入侵检测引擎接入中心交换机上。入侵检测系统集入侵检测、网络管理和网络监视功能于一身，能实时捕获内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事件，作为网络管理员事后分析的依据；如果情况严重，系统可以发出实时报警，使得学校管理员能够及时采取应对措施。

2.2.2漏洞扫描系统

采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。

2.2.3网络版杀毒产品部署

在该网络防病毒方案中，我们最终要达到一个目的就是：要在整个局域网内杜绝病毒的感染、传播和发作，为了实现这一点，我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。

2.2.4 安全服务配置

安全服务隔离区(DMZ)把服务器机群和系统管理机群单独划分出来, 设置为安全服务隔离区, 它既是内部网络的一部分, 又是一个独立的局域网，单独划分出来是为了更好的保护服务器上数据和系统管理的正常运行。建议通过NAT(网络地址转换)

技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址。这不仅可以对外屏蔽内部网络结构和IP地址, 保护内部网络的安全, 也可以大大节省公网IP地址的使用, 节省了投资成本。

如果单位原来已有边界路由器, 则可充分利用原有设备, 利用边界路由器的包过

滤功能, 添加相应的防火墙配置，这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的内部网络连接。对于DMZ区中的公用服务器, 则可直接与边界路由器相连，不用经过防火墙。它可只经过路由器的简单防护。在此拓扑结构中, 边界路由器与防火墙就一起组成了两道安全防线, 并且在这两者之间可以设置一个DMZ区, 用来放置那些允许外部用户访问的公用服务器设施。

2.2.5 配置访问策略

访问策略是防火墙的核心安全策略, 所以要经过详尽的信息统计才可以进行设置。在过程中我们需要了解本单位对内对外的应用以及所对应的源地址、目的地址、TCP 或UDP的端口, 并根据不同应用的执行频繁程度对策略在规则表中的位置进行排序, 然后才能实施配置。原因是防火墙进行规则查找时是顺序执行的, 如果将常用的规则放在首位就可以提高防火墙的工作效率。

2.2.6 日志监控

日志监控是十分有效的安全管理手段。往往许多管理员认为只要可以做日志的信息就去采集。如: 所有的告警或所有与策略匹配或不匹配的流量等等，这样的做法看似日志信息十分完善, 但每天进出防火墙的数据有上百万甚至更多, 所以, 只有采集到最关键的日志才是真正有用的日志。一般而言，系统的告警信息是有必要记录的, 对于流量信息进行选择, 把影响网络安全有关的流量信息保存下来。计算机网络安全方案设计并实现

3.1桌面安全系统

用户的重要信息都是以文件的形式存储在磁盘上，使用户可以方便地存取、修改、分发。这样可以提高办公的效率，但同时也造成用户的信息易受到攻击，造成泄密。特别是对于移动办公的情况更是如此。因此，需要对移动用户的文件及文件夹进行本地安全管理，防止文件泄密等安全隐患。

本设计方案采用清华紫光公司出品的紫光S锁产品，“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器（CPU）、加密运算协处理器（CAU）、只读存储器（ROM），随机存储器（RAM）、电可擦除可编程只读存储器（E2PROM）等，以及固化在ROM内部的芯片操作系统COS（Chip Operating System）、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的SmartCOS，其安全模块可防止非法数据的侵入和数据的篡改，防止非法软件对S锁进行操作。

3.2病毒防护系统

基于单位目前网络的现状，在网络中添加一台服务器，用于安装IMSS。

（1)邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中，可防止病毒入侵到LotueNotes的数据库及电子邮件，实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作，并提供实时监控病毒流量的活动记录报告。ScanMail是Notes Domino Server使用率最高的防病毒软件。

（2)服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念，防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响，另一方面使所有服务器的防毒系统可以从单点进行部署，管理和更新。

（3)客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统，使管理者通过单点控制所有客户机上的防毒模块，并可以自动对所有客户端的防

毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式，不受Windows域管理模式的约束，除支持SMS，登录域脚本，共享安装以外，还支持纯Web的部署方式。

（4)集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件，支持跨域和跨网段的管理，并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置，TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发代理部署，网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报，给管理带来极大的便利。

3.3 动态口令系统

动态口令系统在国际公开的密码算法基础上，结合生成动态口令的特点，加以精心修改，通过十次以上的非线性迭代运算，完成时间参数与密钥充分的混合扩散。在此基础上，采用先进的身份认证及加解密流程、先进的密钥管理方式，从整体上保证了系统的安全性。

单位安全网由多个具有不同安全信任度的网络部分构成，在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷，从而构成了对网络安全的重要隐患。本设计方案选用四台网御防火墙，分别配置在高性能服务器和三个重要部门的局域网出入口，实现这些重要部门的访问控制。

通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙，通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段，彼此隔离。这样不仅保护了单位网络服务器，使其不受来自内部的攻击，也保护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击。如果有人闯进您的一个部门，或者如果病毒开始蔓延，网段能够限制造成的损坏进一步扩大。

为有效解决办公区之间信息的传输安全，可以在多个子网之间建立起独立的安全通道，通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。

SJW-22网络密码机系统组成

网络密码机（硬件）:是一个基于专用内核，具有自主版权的高级通信保护控制系

统。

本地管理器（软件）:是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。

中心管理器（软件）:是一个安装于中心管理平台（Windows系统）上的对全网的密码机设备进行统一管理的系统软件。

根据以上多层次安全防范的策略，安全网的安全建设可采取“加密”、“外防”、“内审”相结合的方法，“内审”是对系统内部进行监视、审查，识别系统是否正在受到攻击以及内部机密信息是否泄密，以解决内层安全。

安全审计系统能帮助用户对安全网的安全进行实时监控，及时发现整个网络上的动态，发现网络入侵和违规行为，忠实记录网络上发生的一切，提供取证手段。作为网络安全十分重要的一种手段，安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。

在安全网中使用的安全审计系统应实现如下功能：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。

本设计方案选用“汉邦软科”的安全审计系统作为安全审计工具。

汉邦安全审计系统是针对目前网络发展现状及存在的安全问题，面向企事业的网络管理人员而设计的一套网络安全产品，是一个分布在整个安全网范围内的网络安全监视监测、控制系统。

（1）安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上，其监视目标主机的人机界面操作、监控RAS连接、监控网络连接情况及共享资源的使用情况。安全监控中心是管理平台和监控平台，网络管理员通过安全监控中心为主机传感器设定监控规则，同时获得监控结果、报警信息以及日志的审计。主要功能有文件保护审计和主机信息审计。

①文件保护审计：文件保护安装在审计中心，可有效的对被审计主机端的文件进行管理规则设置，包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。

②主机信息审计:对网络内公共资源中，所有主机进行审计，可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。

（2)资源监控系统主要有四类功能。①监视屏幕:在用户指定的时间段内，系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。防火墙的配置

4.1防火墙的初始配置

像路由器一样，在使用之前，防火墙也需要经过基本的初始配置。但因各种防火墙的初始配置基本类似，所以在此仅以Cisco PIX防火墙为例进行介绍。

防火墙的初始配置也是通过控制端口（Console）与PC机（通常是便于移动的笔记本电脑）的串口连接，再通过Windows系统自带的超级终端（HyperTerminal）程序进行选项配置。防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样，参见图1所示。

防火墙除了以上所说的通过控制端口（Console）进行初始配置外，也可以通过telnet和Tffp配置方式进行高级配置，但Telnet配置方式都是在命令方式中配置，难度较大，而Tffp方式需要专用的Tffp服务器软件，但配置界面比较友好。

防火墙与路由器一样也有四种用户配置模式，即：普通模式（Unprivileged mode）、特权模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），进入这四种用户模式的命令也与路由器一样：

普通用户模式无需特别命令，启动后即进入；

进入特权用户模式的命令为“enable”；进入配置模式的命令为“config terminal”；而进入端口模式的命令为“interface ethernet（）”。不过因为防火墙的端口没有路由器那么复杂，所以通常把端口模式归为配置模式，统称为“全局配置模式”。

防火墙的具体配置步骤如下：

1.将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的

一个空余串口上，参见图1。

2.打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。

3.运行笔记本电脑Windows系统中的超级终端（HyperTerminal）程序（通常在“附件”程序组中）。对超级终端的配置与交换机或路由器的配置一样，参见本教程前面有关介绍。

4.当PIX防火墙进入系统后即显示“pixfirewall>”的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。

5.输入命令：enable,进入特权用户模式，此时系统提示为：pixfirewall#。

6.输入命令： configure terminal,进入全局配置模式，对系统进行初始化设置。

（1）.首先配置防火墙的网卡参数（以只有1个LAN和1个WAN接口的防火墙配置为例）

Interface ethernet0 auto # 0号网卡系统自动分配为WAN网卡，“auto”选项为系统自适应网卡类型

Interface ethernet1 auto

（2）.配置防火墙内、外部网卡的IP地址

IP address inside ip_address netmask # Inside代表内部网卡

IP address outside ip_address netmask # outside代表外部网卡

（3）.指定外部网卡的IP地址范围：

global 1 ip_address-ip_address

（4）.指定要进行转换的内部地址

nat 1 ip_address netmask

（5）.配置某些控制选项：

conduit global_ip port[-port] protocol foreign_ip [netmask]

其中，global_ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指的是连接协议，比如：TCP、UDP等；foreign_ip：表示可访问的global_ip外部IP地址；netmask：为可选项，代表要控制的子网掩码。

7.配置保存：wr mem

8.退出当前模式

此命令为exit，可以任何用户模式下执行，执行的方法也相当简单，只输入命令本身即可。它与Quit命令一样。下面三条语句表示了用户从配置模式退到特权模式，再退到普通模式下的操作步骤。

pixfirewall(config)# exit

pixfirewall# exit

pixfirewall>

9.查看当前用户模式下的所有可用命令：show，在相应用户模式下键入这个命令后，即显示出当前所有可用的命令及简单功能描述。

10.查看端口状态：show interface，这个命令需在特权用户模式下执行，执行后即显示出防火墙所有接口配置情况。

11.查看静态地址映射:show static，这个命令也须在特权用户模式下执行，执行后显示防火墙的当前静态地址映射情况。

4.2 过滤防火墙的访问配置

除了以上介绍的基本配置外，在防火墙的安全策略中最重要还是对访问控制列表（ACL）进行配有关置。下面介绍一些用于此方面配置的基本命令。

1.access-list：用于创建访问规则

这一访问规则配置命令要在防火墙的全局配置模式中进行。同一个序号的规则可以看作一类规则，同一个序号之间的规则按照一定的原则进行排列和选择，这个顺序可以通过 show access-list 命令看到。在这个命令中，又有几种命令格式，分别执行不同的命令。

（1）创建标准访问列表

命令格式：access-list [ normal

special ] listnumber1 { permit

deny } source-addr [ source-mask ]

（2）创建扩展访问列表

命令格式：access-list [ normal

special ] listnumber2 { permit

deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ]

icmp-type [ icmp-code ] ] [ log ]

（3）删除访问列表

命令格式：no access-list { normal

special } { all

listnumber [ subitem ] }

上述命令参数说明如下：

●normal：指定规则加入普通时间段。

●special：指定规则加入特殊时间段。

●listnumber1：是1到99之间的一个数值，表示规则是标准访问列表规则。

●listnumber2：是100到199之间的一个数值，表示规则是扩展访问列表规则。

●permit：表明允许满足条件的报文通过。

●deny：表明禁止满足条件的报文通过。

●protocol：为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。

●source-addr：为源IP地址。

●source-mask：为源IP地址的子网掩码，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。

●dest-addr：为目的IP地址。

●dest-mask：为目的地址的子网掩码。

●operator：端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。

port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。port2 在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。

●icmp-type：在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值（如echo-reply）或者是0~255之间的一个数值。

●icmp-code：在协议为ICMP，且没有选择所设定的预设值时出现；代表ICMP码，是0~255之间的一个数值。

●log：表示如果报文符合条件，需要做日志。

●listnumber：为删除的规则序号，是1~199之间的一个数值。

●subitem：指定删除序号为listnumber的访问列表中规则的序号。

例如，现要在华为的一款防火墙上配置一个“允许源地址为10.20.10.0 网络、目的地址为10.20.30.0网络的WWW访问，但不允许使用FTP”的访问规则。相应配置语句只需两行即可，如下：

Quidway(config)#access-list 100 permit tcp 10.20.10.0 255.0.0.0 10.20.30.0

255.0.0.0 eq www

Quidway(config)#access-list 100 deny tcp 10.20.10.0 255.0.0.0 10.20.30.0 255.0.0.0 eq ftp

2.clear access-list counters：清除访问列表规则的统计信息

命令格式：clear access-list counters [ listnumber ]

这一命令必须在特权用户模式下进行配置。listnumber 参数是用指定要清除统计信息的规则号，如不指定，则清除所有的规则的统计信息。

如要在华为的一款包过滤路由器上清除当前所使用的规则号为100的访问规则统计信息。访问配置语句为：

clear access-list counters 100

如有清除当前所使用的所有规则的统计信息，则以上语句需改为：Quidway#clear access-list counters

3.ip access-group

使用此命令将访问规则应用到相应接口上。使用此命令的no形式来删除相应的设置，对应格式为：

ip access-group listnumber { in

out }

此命令须在端口用户模式下配置，进入端口用户模式的命令为：interface ethernet（），括号中为相应的端口号，通常0为外部接口，而1为内部接口。进入后再用ip access-group 命令来配置访问规则。listnumber参数为访问规则号，是1~199之间的一个数值（包括标准访问规则和扩展访问规则两类）；in 表示规则应用于过滤从接口接收到的报文；而out表示规则用于过滤从接口转发出去的报文。一个接口的一个方向上最多可以应用20类不同的规则；这些规则之间按照规则序号的大小进行排列，序号大的排在前面，也就是优先级高。对报文进行过滤时，将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以，建议在配置规则时，尽量将对同一个网络配置的规则放在同一个序号的访问列表中；在同一个序号的访问列表中，规则之间的排列和选择顺序可以用show access-list命令来查看。

例如将规则100应用于过滤从外部网络接口上接收到的报文，配置语句为（同样为在倾为包过滤路由器上）：

ip access-group 100 in

如果要删除某个访问控制表列绑定设置，则可用no ip access-group listnumber { in

out } 命令。

4.show access-list

此配置命令用于显示包过滤规则在接口上的应用情况。命令格式为：show access-list [ all

listnumber

interface interface-name ]

这一命令须在特权用户模式下进行配置，其中all参数表示显示所有规则的应用情况，包括普通时间段内及特殊时间段内的规则；如果选择listnumber参数，则仅需显示指定规则号的过滤规则；interface 表示要显示在指定接口上应用的所有规则序号；interface-name参数为接口的名称。

使用此命令来显示所指定的规则，同时查看规则过滤报文的情况。每个规则都有一个相应的计数器，如果用此规则过滤了一个报文，则计数器加1；通过对计数器的观察可以看出所配置的规则中，哪些规则是比较有效，而哪些基本无效。例如，现在要显示当前所使用序号为100的规则的使用情况，可执行Quidway#show access-list 100语句即可，随即系统即显示这条规则的使用情况，格式如下：

Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)

permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)

deny udp any any eq rip(no matches--rule 3)

5.show firewall

此命令须在特权用户模式下执行，它显示当前防火墙状态。命令格式非常简单，也为：show firewall。这里所说的防火墙状态，包括防火墙是否被启用，启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。

6.Telnet

这是用于定义能过防火配置控制端口进行远程登录的有关参数选项，也须在全局配置用户模式下进行配置。

命令格式为：telnet ip_address [netmask] [if_name]

其中的ip_address参数是用来指定用于Telnet登录的IP地址，netmask为子网掩码，if_name用于指定用于Telnet登录的接口，通常不用指定，则表示此IP地址适用于所有端口。如：

telnet 192.168.1.1

如果要清除防火墙上某个端口的Telnet参数配置，则须用clear telnet命令，其格式为：clear telnet [ip_address [netmask] [if_name]]，其中各选项说明同上。它与另一个命令no telnet功能基本一样，不过它是用来删除某接口上的Telnet配置，命令格式为：no telnet [ip_address [netmask] [if_name]]。

如果要显示当前所有的Telnet配置，则可用show telnet命令。

最简单的防火墙配置，就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。为更好地实现网络安全，有时还要将几种防火墙技术组合起来构建防火墙系统。目前比较流行的有以下三种防火墙配置方案。

4.3双宿主机网关(Dual Homed Gateway)这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。堡垒主机上运行着防火墙软件(通常是代理服务器)，可以转发应用程序，提供服务等。双宿主机网关有一个致命弱点，一旦入侵者侵入堡垒主机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有保护的内部网络(如图1)。

三种流行防火墙配置方案分析(图一)

4.4屏蔽主机网关(Screened Host Gateway)

屏蔽主机网关易于实现，安全性好，应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络，同时

一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡，与内部网络连接(如图2)。通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从 Internet惟一可以访问的主机，确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机，可以受控制地通过屏蔽主机和路由器访问Internet.三种流行防火墙配置方案分析(图二)

双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器(如图3)。双宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。

三种流行防火墙配置方案分析(图三)

4.5屏蔽子网(Screened Subnet)

这种方法是在Intranet和Internet之间建立一个被隔离的子网，用两个包过滤路由器将这一子网分别与Intranet和 Internet 分开。两个包过滤路由器放在子网的两端，在子网内构成一个“缓冲地带”(如图4)，两个路由器一个控制Intranet 数据流，另一个控制Internet数据流，Intranet和Internet均可访问屏蔽子网，但禁止它们穿过屏蔽

子网通信。可根据需要在屏蔽子网中安装堡垒主机，为内部网络和外部网络的互相访问提供代理服务，但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器，像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内，这样无论是外部用户，还是内部用户都可访问。这种结构的防火墙安全性能高，具有很强的抗攻击能力，但需要的设备多，造价高。

三种流行防火墙配置方案分析(图四)当然，防火墙本身也有其局限性，如不能防范绕过防火墙的入侵，像一般的防火墙不能防止受到病毒感染的软件或文件的传输;难以避免来自内部的攻击等等。总之，防火墙只是一种整体安全防范策略的一部分，仅有防火墙是不够的，安全策略还必须包括全面的安全准则，即网络访问、本地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全

总结

经过两个月艰苦卓绝的努力,总于完成了本毕业设计.从当初领到题目到最后一个功能模块的完成,经历了无数次的错误->修改代码->重启服务器->运行的过程,感觉到平时学的知识是多么的浅薄,书到用时方恨少,现在是体验的真真切切.也充分反应了我平时的基本功不扎实,给我以后的工作敲响了警钟,有了努力的方向.但通过本次毕业设计,我也感受到了开源的方便,遇到什么问题,上网一查,就知道该怎么弄了,以前做个课程设计都是怕别人和我的一样,不愿意给别人看,现在知道了程序弄不出来是多么的着急,学习都是相互的,互相研究才能共同进步的.以后要多多注意这方面的事情, 本次毕业设计是我工作前一次很好的演练和实践的机会,是培养独立考问题和自学能力的锻炼,使我意识到必须努力学习才能才工作中体现自己的价值,适应社会的需要.致谢

经过了三个月的努力,我完成了题目为:计算机网络安全及防火墙技术。

本次设计能够顺利完成,我首先要感谢一些发表书籍的老师们。其次,我要感谢我的指导老师,她自始自终都给予了我莫大的帮助,对的设计中每一个计划,每一项安排都提出了至关重要的建议,使我少走了许多弯路,节省了大量的时间,并且能不厌其烦地指导我技术上的问题,使我的系统更加完善和符合企业网站的要求.可以说,我的毕业设计的顺利完成凝聚着导师的大量心血.另外,我还要感谢那些网上的朋友,他们毫不吝啬的将自己所掌握的知识拿出来资源共享,才使我部分功能模块得以实现,谢谢他们.通过这次毕业设计,我体会很多,学会是一回事,会用则就是另一回事了.以前感到自己专业技能还可以,但真正到用的时候就发现了很多缺陷,发现自己其实差距很大,还不能适应工作.为我今后指明了努力方向.再一次，我向多方面支持和帮助过我的人表示由衷的感谢！

参考文献

[1]张宝剑.计算机安全与防护技术[M].机械工业出版社,2003.[2]林海波,网络安全与防火墙技术[M].北京清华大学出版社,2000.[3]凌雨欣,常红.网络安全技术与反网络入侵者[M].冶金工业出版社,2001.[4]王蓉,林海波.网络安全与防火墙技术[M].清华大学出版社,2000.[5]余建斌.黑客的攻击手段及用户对策［M］.北京人民邮电出版社,2005.[6](美)布莱克赫兹.Microsoft，UNIX及0racle主机和网络安全［M］.电子工业出版社,2004.[7] 马程.防火墙在网络安全中的应用［J］.甘肃科技,2008

第二篇：计算机网络安全防火墙技术毕业论文

计算机网络安全防火墙技术毕业论文

防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止 Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:

1)限定人们从一个特定的控制点进入;

2)限定人们从一个特定的点离开;

3)防止侵入者接近你的其他防御设施;

4)有效地阻止破坏者对你的计算机系统进行破坏。

在现实生活中,Internet防火墙常常被安装在受保护的内部网络上并接入Internet。

从上图不难看出,所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强Internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3.防火墙技术与产品发展的回顾

防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:●过滤进、出网络的数据;

●管理进、出网络的访问行为;

●封堵某些禁止行为;

●记录通过防火墙的信息内容和活动;

●对网络攻击进行检测和告警。

为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。

3.1 基于路由器的防火墙

由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:

1)利用路由器本身对分组的解析,以访问控制表(Access List)方式实现对分组的过滤;

2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征;

3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。

●路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用FTP协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。

●路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。

●路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。

●路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。

可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。

3.2 用户化的防火墙工具套

为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。

作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:

1)将过滤功能从路由器中独立出来,并加上审计和告警功能;

2)针对用户需求,提供模块化的软件包;

3)软件可以通过网络发送,用户可以自己动手构造防火墙;

4)与第一代防火墙相比,安全性提高了,价格也降低了。

由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:

配置和维护过程复杂、费时;

对用户的技术要求高;

全软件实现,使用中出现差错的情况很多。

3.3 建立在通用操作系统上的防火墙

基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些特点:

1)是批量上市的专用防火墙产品;

2)包括分组过滤或者借用路由器的分组过滤功能;

3)装有专用的代理系统,监控所有协议的数据和指令;

4)保护用户编程空间和用户可配置内核参数的设置;

5)安全性和速度大大提高。

第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:

1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性无从保证;

2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;

3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击;

4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;

5)透明性好,易于使用。

第三篇：aj-dphba计算机网络安全防火墙技术毕业论文

、.~ ① 我们‖打〈败〉了敌人。

②我们‖〔把敌人〕打〈败〉了。

计算机网络安全防火墙技术毕业论文

1)限定人们从一个特定的控制点进入;2)限定人们从一个特定的点离开;3)防止侵入者接近你的其他防御设施;

4)有效地阻止破坏者对你的计算机系统进行破坏。

在现实生活中,Internet防火墙常常被安装在受保护的内部网络上并接入Internet。

防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能: ●过滤进、出网络的数据;●管理进、出网络的访问行为;●封堵某些禁止行为;

●记录通过防火墙的信息内容和活动;●对网络攻击进行检测和告警。

3.1 基于路由器的防火墙

由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是: 1)利用路由器本身对分组的解析,以访问控制表(Access List)方式实现对分组的过滤;2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征;

可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。

3.2 用户化的防火墙工具套

为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。

作为第二代防火墙产品,用户化的防火墙工具套具有以下特征: 1)将过滤功能从路由器中独立出来,并加上审计和告警功能;2)针对用户需求,提供模块化的软件包;

3)软件可以通过网络发送,用户可以自己动手构造防火墙;4)与第一代防火墙相比,安全性提高了,价格也降低了。

由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题: 配置和维护过程复杂、费时;对用户的技术要求高;

全软件实现,使用中出现差错的情况很多。

3.3 建立在通用操作系统上的防火墙

基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操

作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些

特点:

1)是批量上市的专用防火墙产品;

2)包括分组过滤或者借用路由器的分组过滤功能;3)装有专用的代理系统,监控所有协议的数据和指令;4)保护用户编程空间和用户可配置内核参数的设置;5)安全性和速度大大提高。

第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同

。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:

1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性

无从保证;

2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;

3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击;

4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;5)透明性好,易于使用。

第四篇：浅析计算机网络安全和防火墙技术论文

JIU JIANG UNIVERSITY

毕业论文

题目：浅析计算机网络安全和防火墙技术

院系：信息科学与技术学院专业：网络系统管理姓名：

年级：指导老师：

二零一一年十一月二十日

摘要

随着时代的发展，Internet日益普及，网络已经成为信息资源的海洋，给人们带来了极大的方便。但由于Internet是一个开放的，无控制机构的网络，经常会受到计算机病毒、黑客的侵袭。它可使计算机和计算机网络数据和文件丢失，系统瘫痪。因此，计算机网络系统安全问题必须放在首位。作为保护局域子网的一种有效手段，防火墙技术备受睐。

本文主要阐述了网络安全技术所要受到的各方面威胁以及自身存在的一些缺陷，所谓知己知彼，百战不殆。只有了解了网络安全存在的内忧外患，才能更好的改善网络安全技术，发展网络安全技术。然后主要阐述防火墙在网络安全中起到的巨大的作用，防火墙的优缺点及各种类型防火墙的使用和效果。

计算机网络技术的在飞速发展中，尤其是互联网的应用变得越来越广泛，在带来了前所未有的海量信息的同时，网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性，网络信息的安全性变得日益重要，只有熟悉了各种对网络安全的威胁，熟悉各种保护网路安全的技术，我们才能更好的保护计算机和信息的安全。

关键字：计算机网络；网络安全；防范措施；防火墙技术

Abstract With the development of The Times, the Internet has become increasingly popular and network information resources of the sea, and bring great convenience。But because of the Internet is an open, without control network, computer virus, often by hackers。It can make the computer and the computer network, the system files and data loss。Therefore, the computer network system security problems must be given priority。As the protection of local subnet an effective means, firewall technology。

This article mainly elaborated by network security technology to every aspect of the threat and its existence, some defects, so-called awareness。The existence of the 1930's and network security, can improve network security technology, the development of network security technology。And then expounds mainly firewall in network security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。

The computer network technology, especially in the rapid development of the Internet is becoming more and more widely applied in brought an unprecedented huge amounts of information, network of openness and freedom in the private information and data were damaged or infringed, the possibility of network information security is becoming increasingly important, only familiar to all kinds of network security threats, familiar with various protection network security technology, we can better protect the computer and information security。

Key words: Computer network, Network security, The prevention measures, Firewall technology

III

摘要..................................................................II Abstract..............................................................III 引言....................................................................5 第一章网络安全概述.....................................................6 1.1计算机网络安全的含义...........................................................6 1.2网络信息安全的主要威胁.........................................................6 1.2.1自然威胁...................................................................6 1.2.2人为威胁—黑客攻击与计算机病毒.............................................6 1.3计算机网络中的安全缺陷及产生原因...............................................8 1.5影响计算机网络安全的因素.......................................................8 第二章计算机网络安全防范策略..........................................10 2.1防火墙技术....................................................................10 2.2 数据加密与用户授权访问控制技术..............................................12 2.3 入侵检测技术.................................................................13 2.4防病毒技术....................................................................13 2.4.1 对付病毒有以下四种基本方法.................................................14 2.5安全管理队伍的建设............................................................17 第三章防火墙技术........................................................18 3.1防火墙的定义..................................................................18 3.2防火墙的功能..................................................................18 3.2.1防火墙是网络安全的屏障......................................................18 3.2.2防火墙的种类................................................................18 3.3 防火墙的技术原理............................................................18 3.4 防火墙的应用.................................................................19 3.4.1个人防火墙的应用............................................................19 3.4.2防火墙技术在校园网中应用....................................................23 结论...................................................................25 致谢...................................................................26 参考文献...............................................................27 IV

引言

近年来，随着计算机网络技术的飞速发展，尤其是互联网的应用变得越来越广泛，在带来了前所未有的海量信息的同时，计算机网络的安全性变得日益重要起来，由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素，致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击【1】。

为确保信息的安全与网络畅通，研究计算机网络的安全与防护措施已迫在眉捷，但网络安全问题至今仍没有能够引起足够的重视，更多的用户认为网络安全问题离自己尚远，这一点从大约有40%以上的用户特别是企业级用户没有安装防火墙(Firewall)便可以窥见一斑，而所有的问题都在向大家证明一个事实，大多数的黑客入侵事件都是由于未能正确安装防火墙而引发，所以防火墙技术应当引起我们的注意和重视。

本文主要研究网络安全的缺陷原由及网络安全技术的原理和其他技术，如防火墙技术对网络安全起到的不可忽视的影响。

第一章网络安全概述

1.1计算机网络安全的含义

计算机网络安全的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的认识和要求也就不同。例如从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。

从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。

1.2网络信息安全的主要威胁

网络安全所面临的威胁来自很多方面，并且随着时问的变化而变化。这些威胁可以宏观地分为自然威胁和人为威胁。

1.2.1自然威胁

自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备的自然老化等。这些无目的的事件，有时会直接威胁网络的安全，影响信息的存储媒体。威胁分别有：

1.自然灾害（如雷电、地震、火灾、水灾等），物理损坏（如硬盘损坏、设备使用寿命到期、外力破损等），设备故障（如停电断电、电磁干扰等），意外事故。

2.电磁泄漏（如侦听微机操作过程）。

3.操作失误（如删除文件，格式化硬盘，线路拆除等），意外疏漏（如系统掉电、死机等系统崩溃）

4.计算机系统机房环境的安全。

1.2.2人为威胁—黑客攻击与计算机病毒

人为威胁就是说对网络的人为攻击。这些攻击手段都是通过寻找系统的弱点【2】，以便达到破坏、欺骗、窃取数据等目的，造成经济上和政治上不可估量的损失。网络安全的人为威胁主要分为以下几种：  网络缺陷

Intemet由于它的开放性迅速在全球范围内普及，但也正是因为开放性使其保护信息安全存在先天不足。Internet最初的设计考虑主要是考虑资源共享，基本没有考虑安全问题，缺乏相应的安全监督机制。

 黑客攻击

自1998年后，网上的黑客越来越多，也越来越猖獗；与此同时黑客技术逐渐被越来越多的人掌握现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得黑客攻击的隐蔽性好，“杀伤力”强，这是网络安全的主要威胁之一。 各种病毒

病毒时时刻刻威胁着整个互联网。像Nimda和CodeRed的爆发更是具有深远的影响，促使人们不得不在网络的各个环节考虑对于各种病毒的检测防治，对病毒彻底防御的重要性毋庸置疑。 管理的欠缺及资源滥用

很多上了互联网的企业缺乏对于网络安全的认识，管理上存在很多漏洞，特别是国内的企业，只是提供了接入Internet的通道，对于网络上黑客的攻击缺乏基本的应对措施，同时企业内部普遍存在资源滥用现象，这是造成网络安全问题的根本原因。软件的漏洞和后门：随着CPU的频率越来越高，软件的规模越来越大，软件系统中的漏洞也不可避免的存在，强大如微软所开发的Windows也存在。各种各样的安全漏洞和“后门”，这是网络安全的主要威胁之一。 网络内部用户的误操作和恶意行为

对于来自网络内部的攻击，主流的网络安全产品防火墙基本无能为力，这类攻击及其误操作行为需要网络信息审计、IDS等主要针对内部网络安全的安全产品来抵御。

 网络资源滥用

网络有了安全保证和带宽管理，依然不能防止员工对网络资源的滥用。等行为极大地降低了员工的工作效率。管理层希望员工更加有效地使用互联网，尽量避免网络对工作带来负面影响。 信息泄漏

恶意、过失的不合理信息上传和发布，可能会造成敏感信息泄漏、有害信息扩散，危及社会、国家、体和个人利益。更有基于竞争需要，利用技术手段对目标机信息资源进行窃取。在众多人为威胁中来自用户和恶意软件即计算机病毒的非法侵入严重，计算机病毒是利用程序干扰破坏系统正常工作的一种手段，它的产生和蔓延给信息系统的可靠性和安全性带来严重的威胁和巨大的损失。 操作系统存在的安全问题

操作系统是作为一个支撑软件，使得你的程序或别的应用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能，主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性，系统开发设计的不周而留下的破绽，都给网络安全留下隐患。

 数据库存储的内容存在的安全问题

数据库管理系统大量的信息存储在各种各样的数据库里面，包括我们上网看到的所有信息，数据库主要考虑的是信息方便存储、利用和管理，但在安全方面考虑的比较少。例如：授权用户超出了访问权限进行数据的更改活动；非法用户绕过安全内核，窃取信息。对于数据库的安全而言，就是要保证数据的安全可靠和正确有效，即确保数据的安全性、完整性。数据的安全性是防止数据库被破坏和非法的存取；数据库的完整性是防止数据库中存在不符合语义的数据。

1.3计算机网络中的安全缺陷及产生原因

①网络安全天生脆弱

计算机网络安全系统的脆弱性是伴随计算机网络一同产生的，换句话说，安全系统脆弱是计算机网络与生俱来的致命弱点。在网络建设中，网络特性决定了不可能无条件、无限制的提高其安全性能。要使网络更方便快捷，又要保证网络安全，这是一个非常棘手的“两难选择”，而网络安全只能在“两难选择”所允许的范围中寻找支撑点。可以说世界上任何一个计算机网络都不是绝对安全的

②黑客攻击后果严重

近几年，黑客猖狂肆虐，四面出击，使交通通讯网络中断，军事指挥系统失灵，电力供水系统瘫痪，银行金融系统混乱„„危及国家的政治、军事、经济的安全与稳定，在世界各国造成了难以估量的损失。

③网络杀手集团化

目前，网络杀手除了一般的黑客外，还有一批具有高精尖技术的“专业杀手”，更令人担忧的是出现了具有集团性质的“网络恐怖分子”甚至政府出面组织的“网络战”、“黑客战”，其规模化、专业性和破坏程度都使其他黑客望尘莫及。可以说，由政府组织的“网络战”、“黑客战”是当前网络安全的最大隐患。目前，美国正开展用无线电方式、卫星辐射式注入方式、网络方式把病毒植入敌方计算机主机或各类传感器、网桥中的研究以伺机破坏敌方的武器系统、指挥控制系统、通信系统等高敏感的网络系统。另外，为达到预定目的，对出售给潜在敌手的计算机芯片进行暗中修改，在CPU中设置“芯片陷阱”，可使美国通过因特网发布指令让敌方电脑停止工作，以起到“定时炸弹”的作用。

1.5影响计算机网络安全的因素

①网络资源的共享性

资源共享是计算机网络应用的主要目的，但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着互联网需求的日益增长，外部服务请求不可能做到完全隔离，攻击者利用服务请求的机会很容易获取网络数据包。

②网络的开放性

网上的任何一个用户很方便访问互联网上的信息资源，从而很容易获取到一个企业、单位以及个人的敏感性信息。

③网络操作系统的漏洞

网络操作系统是网络协议和网络服务得以实现的最终载体之一，它不仅

负责网络硬件设备的接口封装，同时还提供网络通信所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性，决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。

④网络系统设计的缺陷

网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下，还可以提供较好的安全性。不合理的网络设计则会成为网络的安全威胁。

⑤恶意攻击

就是人们常见的黑客攻击及网络病毒，这是最难防范的网络安全威胁。随着电脑教育的大众化，这类攻击也是越来越多，影响越来越大。

第二章计算机网络安全防范策略

计算机网络安全从技术上来说，主要由防病毒、防火墙、入侵检测等多个安全组件组成，任何一个单独的组件都无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有：防火墙技术、数据加密技术、入侵检测技术、防病毒技术等，以下就此几项技术分别进行分析。2.1防火墙技术

防火墙

防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦着火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。在电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

防火墙（FireWall）成为近年来新兴的保护计算机网络安全技术性措施。它是一种隔离控制技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。作为Internet网的安全性保护软件，FireWall已经得到广泛的应用。通常企业为了维护内部的信息系统安全，在企业网和Internet间设立FireWall软件。企业信息系统对于来自Internet的访问，采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问，也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户，则可以通过设置使用FireWall过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息，那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。这对于路由器来说，就要不仅分析IP层的信息，而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。FireWall一般安装在路由器上以保护一个子网，也可以安装在一台主机上，保护这台主机不受侵犯。

为了让大家更好地使用防火墙，我们从反面列举4个有代表性的失败案例。例1：未制定完整的企业安全策略

网络环境：某中型企业购买了适合自己网络特点的防火墙，刚投入使用后，发现以前局域网中肆虐横行的蠕虫病毒不见了，企业网站遭受拒绝服务攻击的次数也大大减少了，为此，公司领导特意表扬了负责防火墙安装实施的信息部。

该企业网络环境如图2.1所示：

图2.1 该企业内部网络的核心交换机是带路由模块的三层交换机，出口通过路由器和ISP连接。内部网划分为5个VLAN，VLAN

1、VLAN 2和VLAN 3分配给不同的部门使用，不同的VLAN之间根据部门级别设置访问权限；VLAN 4分配给交换机出口地址和路由器使用；VLAN 5分配给公共服务器使用。在没有加入防火墙之前，各个VLAN中的PC机能够通过交换机和路由器不受限制地访问Internet。加入防火墙后，给防火墙分配一个VLAN 4中的空闲IP地址，并把网关指向路由器；将VLAN 5接入到防火墙的一个网口上。这样，防火墙就把整个网络分为3个区域: 内部网、公共服务器区和外部网，三者之间的通信受到防火墙安全规则的限制。

问题描述：防火墙投入运行后，实施了一套较为严格的安全规则，导致公司员工无法使用QQ聊天软件，于是没过多久就有员工自己拨号上网，导致感染了特洛依木马和蠕虫等病毒，并立刻在公司内部局域网中传播开来，造成内部网大面积瘫痪。

问题分析：我们知道，防火墙作为一种保护网络安全的设备，必须部署在受保护网络的边界处，只有这样防火墙才能控制所有出入网络的数据通信，达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一，有很多出入口，那么只部署一台防火墙是不够的。在本案例中，防火墙投入使用后，没有禁止私自拨号上网行为，使得许多PC机通过电话线和Internet相连，导致网络边界不惟一，入侵者可以通过攻击这些PC机然后进一步攻击内部网络，从而成功地避开了防火墙。

解决办法：根据自己企业网的特点，制定一整套安全策略，并彻底地贯彻实施。比如说，制定一套安全管理规章制度，严禁员工私自拨号上网;同时封掉拨号上网的电话号码，并购买检测拨号上网的软件，这样从管理和技术上杜绝出现网络边界不惟一的情况发生。另外，考虑到企业员工的需求，可以在防火墙上添加按照时间段生效的安全规则，在非工作时间打开QQ使用的TCP/UDP端口，使得企业员工可以在工余时间使用QQ聊天软件。

例2：未考虑与其他安全产品的配合使用

问题描述：某公司购买了防火墙后，紧接着又购买了漏洞扫描和IDS（入侵检测系统）产品。当系统管理员利用IDS发现入侵行为后，必须每次都要手工调

整防火墙安全策略，使管理员工作量剧增，而且经常调整安全策略，也给整个网络带来不良影响。

问题分析：选购防火墙时未充分考虑到与其他安全产品如IDS的联动功能，导致不能最大程度地发挥安全系统的作用。

解决办法：购买防火墙前应查看企业网是否安装了漏洞扫描或IDS等其他安全产品，以及具体产品名称和型号，然后确定所要购买的防火墙是否有联动功能（即是否支持其他安全产品，尤其是IDS产品），支持的是哪些品牌和型号的产品，是否与已有的安全产品名称相符，如果不符，最好不要选用，而选择能同已有安全产品联动的防火墙。这样，当IDS发现入侵行为后，在通知管理员的同时发送消息给防火墙，由防火墙自动添加相关规则，把入侵者拒之门外。

例3：未经常维护升级防火墙问题描述：某政府机构购置防火墙后已安全运行一年多，由于该机构网络结构一直很稳定，没有什么变化，各种应用也运行稳定，因此管理员逐渐放松了对防火墙的管理，只要网络一直保持畅通即可，不再关心防火墙的规则是否需要调整，软件是否需要升级。而且由于该机构处于政府专网内，与Internet物理隔离，防火墙无法实现在线升级。因此该机构的防火墙软件版本一直还是购买时的旧版本，虽然管理员一直都收到防火墙厂家通过电子邮件发来的软件升级包，但从未手工升级过。在一次全球范围的蠕虫病毒迅速蔓延事件中，政府专网也受到蠕虫病毒的感染，该机构防火墙因为没有及时升级，无法抵御这种蠕虫病毒的攻击，造成整个机构的内部网大面积受感染，网络陷于瘫痪之中。

问题分析：安全与入侵永远是一对矛盾。防火墙软件作为一种安全工具，必须不断地升级与更新才能应付不断发展的入侵手段，过时的防护盾牌是无法抵挡最先进的长矛的。作为安全管理员来说，应当时刻留心厂家发布的升级包，及时给防火墙打上最新的补丁。

解决办法：及时维护防火墙，当本机构发生人员变动、网络调整和应用变化时，要及时调整防火墙的安全规则，及时升级防火墙。

从以上三个案例我们可以得出一些结论：防火墙只是保证安全的一种技术手段，要想真正实现安全，安全策略是核心问题。保护网络安全不仅仅是防火墙一种产品，只有将多种安全产品无缝地结合起来，充分利用它们各自的优点，才能最大限度地保证网络安全。而保护网络安全是动态的过程，防火墙需要积极地维护和升级。

2.2 数据加密与用户授权访问控制技术

与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击，虽无法避免，但却可以有效地检测；而对于被动攻击，虽无法检测，但却可以避免，实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法，这种变换是对称密钥算法”。这样的密钥必须秘密保管，只能为授权用户所知，授权用户既可以用该密钥加密信急，也可以用该密钥解密信息，DES是对称加密算法中最具代表性的算法。在公钥加密算法中，公钥是公开的，任何人可以用公钥加密信息，再将密文发送给私钥拥有者。私钥是保密的，用于解密其接收的公钥加密过的信息【5】。典型的公钥加密算法~nRSA是目前使用比较广泛的加密算法

2.3 入侵检测技术

入侵检测系统(IntrusionDetectionSystem，IDS)是从多种计算机系统及网络系统中收集信息，再通过此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门，它能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击：在入侵攻击过程中，能减少入侵攻击所造成的损失；在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入策略集中，增强系统的防范能力，避免系统再次受到同类型的入侵【6】。

入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术的功能主要体现在以下方面： 1)分析用户及系统活动，查找非法用户和合法用户的越权操作； 2)检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞； 3)识别反映已知进攻的活动模式并向相关人上报警； 4)对异常行为模式的统计分析；

5)能够实时地对检测到的入侵行为进行反应； 6)评估重要系统和数据文件的完整性； 7)可以发现新的攻击模式；入侵检测方法

方法有很多，如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。目前一些入侵检测系统在应用层入侵检测中已有实现

1.监视、分析用户及系统活动；

2.系统构造和弱点的审计；

3.识别反映已知进攻的活动模式并向相关人士报警；

4.异常行为模式的统计分析；

5.评估重要系统和数据文件的完整性；

6.操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

入侵检测技术同样存在问题

1.现有的入侵检测系统检测速度远小于网络传输速度, 导致误报率和漏报率

2.入侵检测产品和其它网络安全产品结合问题, 即期间的信息交换,共同协作发现攻击并阻击攻击

3.基于网络的入侵检测系统对加密的数据流及交换网络下的数据流不能进行检测, 并且其本身构建易受攻击

4.入侵检测系统体系结构问题

2.4 防病毒技术

计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和

破坏。实际上这是一种动态判定技术，即一种行为规则判定技术。也就是说，计算机病毒的预防是采用对病毒的规则进行分类处理，而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说，计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作，尤其是写操作。

预防病毒技术包括：磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。例如，大家所熟悉的防病毒卡，其主要功能是对磁盘提供写保护，监视在计算机和驱动器之间产生的信号。以及可能造成危害的写命令，并且判断磁盘当前所处的状态：哪一个磁盘将要进行写操作，是否正在进行写操作，磁盘是否处于写保护等，来确定病毒是否将要发作。计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。目前，对已知病毒的预防可以采用特征判定技术或静态判定技术，而对未知病毒的预防则是一种行为规则的判定技术，即动态判定技术。

一、计算机病毒的预防技术

计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。实际上这是一种动态判定技术，即一种行为规则判定技术。也就是说，计算机病毒的预防是采用对病毒的规则进行分类处理，而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说，计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作，尤其是写操作。

二、检测病毒技术

计算机病毒的检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。它有两种：一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化，在特征分类的基础上建立的病毒检测技术。另一种是不针对具体病毒程序的自身校验技术。即对某个文件或数据段进行检验和计算并保存其结果，以后定期或不定期地以保存的结果对该文件或数据段进行检验，若出现差异，即表示该文件或数据段完整性已遭到破坏，感染上了病毒，从而检测到病毒的存在。

三、清除病毒技术

计算机病毒的清除技术是计算机病毒检测技术发展的必然结果，是计算机病毒传染程序的一种逆过程。目前，清除病毒大都是在某种病毒出现后，通过对其进行分析研究而研制出来的具有相应解毒功能的软件。这类软件技术发展往往是被动的，带有滞后性。而且由于计算机软件所要求的精确性，解毒软件有其局限性，对有些变种病毒的清除无能为力。目前市场上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPAV，及我国的LANClear和Kill89等产品均采用上述三种防病毒技术

2.4.1 对付病毒有以下四种基本方法

1、基于网络目录和文件安全性方法

以NetWare为例，在NetWare中，提供了目录和文件访问权限与属性两种安全性措施。“访问权限有：防问控制权、建立权、删除权、文件扫描权、修改权、读权、写权和管理权。属性有：需归档、拷贝禁止、删除禁止、仅执行、隐含、索引、清洗、读审记、写审记、只读、读写、改名禁止、可共享、系统和交易。属性优先于访问权限。根据用户对目录和文件的操作能力，分配不同的访问权限和属性。例如，对于公用目录中的系统文件和工具软件，应该只设置只读属性，系统程序所在的目录不要授予修改权和管理权。这样，病毒就无法对系统程序实施感染和寄生，其它用户也就不会感染病毒。

由此可见，网络上公用目录或共享目录的安全性措施，对于防止病毒在网上传播起到积极作用。至于网络用户的私人目录，由于其限于个别使用，病毒很难传播给其它用户。采用基于网络目录和文件安全性的方法对防止病毒起到了一定作用，但是这种方法毕竟是基于网络操作系统的安全性的设计，存在着局限性。现在市场上还没有一种能够完全抵御计算机病毒侵染的网络操作系统，从网络安全性措施角度来看，在网络上也是无法防止带毒文件的入侵。

2、采用工作站防病毒芯片

这种方法是将防病毒功能集成在一个芯片上，安装在网络工作站上，以便经常性地保护工作站及其通往服务器的路径。工作站是网络的门户，只要将这扇门户关好，就能有效地防止病毒的入侵。将工作站存取控制与病毒保护能力合二为一插在网卡的EPROM槽内，用户也可以免除许多繁琐的管理工作。

Trend Micro Devices公司解决的办法是基于网络上每个工作站都要求安装网络接口卡网络接口卡上有一个Boot Rom芯片，因为多数网卡的Boot Rom并没有充分利用，都会剩余一些使用空间，所以如果安全程序够小的话，就可以把它安装在网络的Boot Rom的剩余空间内，而不必另插一块芯片。

市场上Chipway防病毒芯片就是采用了这种网络防病毒技术。在工作站DOS引导过程中，ROMBIOS，Extended BIOS装入后，Partition Table装入之前，Chipway获得控制权，这样可以防止引导型病毒。Chipway的特点是：①不占主板插槽，避免了冲突；②遵循网络上国际标准，兼容性好；③具有他工作站防毒产品的优点。但目前，Chipway对防止网络上广为传播的文件型病毒能力还十分有限。

3、采用Station Lock网络防毒方法

Station Lock是著名防病毒产品开发商Trend Micro Devices公司的新一代网络防病毒产品。其防毒概念是建立在”病毒必须执行有限数量的程序之后，才会产生感染效力“的基础之上。例如，病毒是一个不具自我辨别能力的小程序，在病毒传染过程中至少必须拦截一个DOS中断请求，而且必须试图改变程序指针，以便让系统优先执行病毒程序从而获得系统控制权。引导型病毒必须使用系统的BIOS功能调用，文件型病毒必须将自己所有的程序代码拷贝到另一个系统执行文件时才能复制感染。混合型病毒和多形体病毒在实施感染之前也必须获取系统控制权，才能运行病毒体程序而实施感染。Station Lock就是通过这些特点，用间接方法观察，精确地预测病毒的攻击行为。其作用对象包括多型体病毒和未来型病毒。

Station Lock也能处理一些基本的网络安全性问题，例如存取控制、预放未授权拷贝以及在一个点对点网络环境下限制工作站资源相互存取等。Station Lock能根据病毒活动辩别可能的病毒攻击意图，并在它造成任

何破坏之前予以拦截。由于Station Lock是在启动系统开始之前，就接管了工作站上的硬件和软件，所以病毒攻击Station Lock是很困难的。Station Lock是目前网络环境下防治病毒比较有效的方法。

4、基于服务器的防毒技术

服务器是网络的核心，一旦服务器被病毒感染，就会使服务器无法启动，整个网络陷于瘫痪，造成灾难性后果。目前基于服务器的防治病毒方法大都采用了NLM(NetWare Load Module)技术以NLM模块方式进行程序设计，以服务器为基础，提供实时扫描病毒能力。市场上的产品如Central Point公司的AntiVirus for Networks，Intel公司的LANdesk Virus Protect以及南京威尔德电脑公司的Lanclear for NetWare等都是采用了以服务器为基础的防病毒技术。这些产品的目的都是保护服务器，使服务器不被感染。这样，病毒也就失去了传播途径，因而从根本上杜绝了病毒在网上蔓延。

(1)对服务器中所有文件扫描

这一方法是对服务器的所有文件进行集中检查看其是否带毒，若有带毒文件，则提供给网络管理员几种处理方法。允许用户清除病毒，或删除带毒文件，或更改带毒文件名成为不可执行文件名并隔离到一个特定的病毒文件目录中。

(2)实时在线扫描

网络防病毒技术必须保持全天24小时监控网络是否有带毒文件进入服务器。为了保证病毒监测实时性，通常采用多线索的设计方法，让检测程序作为一个随时可以激活的功能模块，且在NetWare运行环境中，不影响其它线索的运行。这往往是设计一个NLM最重要的部分，即多线索的调度。实时在线扫描能非常及时地追踪病毒的活动，及时告之网络管理员和工作站用户。

(3)扫描选择

该功能允许网络管理员定期检查服务器中是否带毒，例如可按每月、每星期、每天集中扫描一下网络服务器，这样就使网络用户拥有极大的操作选择余地。

(4)自动报告功能及病毒存档

当网络用户将带毒文件有意或无意地拷入服务器中时，网络防病毒系统必须立即通知网络管理员，或涉嫌病毒的使用者，同时自己记入病毒档案。病毒档案一般包括：病毒类型、病毒名称、带毒文件所存的目录及工作站标识等，另外，记录对病毒文件处理方法。

(5)工作站扫描

基于服务器的防病毒软件不能保护本地工作站的硬盘，有效的方法是在服务器上安装防毒软件，同时在上网的工作站内存中调入一个常驻扫毒程序，实时检测在工作站中运行的程序。如LANdesk Virus Protect采用Lpscan，而LANClear for NetWare采用world程序等。

(6)对用户开放的病毒特征接口

大家知道病毒及其变种层出不穷。据有关资料报道，截止1994年2月25日，全世界流传的MSDOS病毒达2700多种。如何使防病毒系统能对付不断出现的新病毒？这要求开发商能够使自己的产品具有自动升级功能，也就是真正交给网络

用户防治病毒的一把金钥匙。其典型的做法是开放病毒特征数据库。用户随时将遇到的带毒文件，经过病毒特征分析程序，自动将病毒特征加入特征库，以随时增强抗毒能力。当然这一工作难度极大，需要不懈的努力。在上述四种网络防毒技术中，Station Lock是一种针对病毒行为的防治方法，StationLock目前已能提供Intel以太网络接口卡支持，而且未来还将支持各种普及型的以太令牌环(Token-Ring)网络接口卡。基于服务器的防治病毒方法，表现在可以集中式扫毒，能实现实时扫描功能，软件升级方便。特别是当连网的机器很多时，利用这种方法比为每台工作站都安装防病毒产品要节省成本。其代表性的产品有LANdesk、LANClear for NetWare等。

2.5 安全管理队伍的建设

在计算机网络系统中，绝对的安全是不存在的，制定健全的安全管理体制是计算机网络安全的重要保证，只有通过网络管理人员与使用人员的共同努力，运用一切可以使用的工具和技术，尽一切可能去控制、减小一切非法的行为，尽可能地把不安全的因素降到最低。同时，要不断地加强计算机信息网络的安全规范化管理力度，大力加强安全技术建设，强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略，为了更好地进行安全管理工作，应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力，才能使计算机网络的安全可靠得到保障，从而使广大网络用户的利益得到保障。

第三章防火墙技术

3.1 防火墙的定义

防火墙是指设置在不同网络或网络安全域之间信息的唯一出入口,能根据网络的安全政策控制(允许拒绝监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。

Internet防火墙是一个或一组系统，它能增强机构内部网络的安全性，用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取，防火墙系统还决定了哪些内部服务可以被外界访问，外界的哪些人可以访问内部的服务，以及哪些外部服务何时可以被内部人员访问。要使一个防火墙有效，所有来自和去往Internet的信息都必须经过防火墙并接受检查。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。但是，防火墙系统一旦被攻击突破或迂回绕过，就不能提供任何保护了。3.2防火墙的功能

3.2.1 防火墙是网络安全的屏障

防火墙(作为阻塞点,控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。

防火墙可以强化网络安全策略,通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令加密身份认证审计等)配置在防火墙上，对网络存取和访问进行监控审计:所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据,当发生可疑动作时，防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。防止内部信息的外泄，通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离,而限制了局部重点或敏感网络安全问题对全局网络造成的影响。3.2.2防火墙的种类

防火墙技术可根据防范的方式和侧重点的不同,总体来讲可分为二大类:分组过滤,应用代理。

分组过滤(Packetfiltering);作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号,协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。

应用代理(ApplicationProxy):也叫应用网关(ApplicationGateway), 它作用在应用层,其特点是完全 “ 阻隔 ” 了网络通信流通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用,实际中的应用网关通常由专用工作站实现【8】。

3.3 防火墙的技术原理

目前，防火墙系统的工作原理因实现技术不同，大致可分为三种：（1）包过滤技术

包过滤技术是一种基于网络层的防火墙技术。根据设置好的过滤规则，通

过检查IP数据包来确定是否该数据包通过。而那些不符合规定的IP地址会被防火墙过滤掉，由此保证网络系统的安全。该技术通常可以过滤基于某些或所有下列信息组的IP包：源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包过滤技术实际上是一种基于路由器的技术，其最大优点就是价格便宜，实现逻辑简单便于安装和使用。

缺点：1）过滤规则难以配置和测试。2）包过滤只访问网络层和传输层的信息，访问信息有限，对网络更高协议层的信息无理解能力。3）对一些协议，如UDP和RPC难以有效的过滤。

（2）代理技术

代理技术是与包过滤技术完全不同的另一种防火墙技术。其主要思想就是在两个网络之间设置一个“中间检查站”，两边的网络应用可以通过这个检查站相互通信，但是它们之间不能越过它直接通信。这个“中间检查站”就是代理服务器，它运行在两个网络之间，对网络之间的每一个请求进行检查。当代理服务器接收到用户请求后，会检查用户请求合法性。若合法，则把请求转发到真实的服务器上，并将答复再转发给用户。代理服务器是针对某种应用服务而写的，工作在应用层。

优点：它将内部用户和外界隔离开来，使得从外面只能看到代理服务器而看不到任何内部资源。与包过滤技术相比，代理技术是一种更安全的技术【9】。

缺点：在应用支持方面存在不足，执行速度较慢。（3）状态监视技术这是第三代防火墙技术，集成了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样，它能够检测通过IP地址、端口号以及TCP标记，过滤进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接，不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过己知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。

状态监视器的监视模块支持多种协议和应用程序，可方便地实现应用和服务的扩充。此外，它还可监测RPC和UDP端口信息，而包过滤和代理都不支持此类端口。这样，通过对各层进行监测，状态监视器实现网络安全的目的。目前，多使用状态监测防火墙，它对用户透明，在OSI最高层上加密数据，而无需修改客户端程序，也无需对每个需在防火墙上运行的服务额外增加一个代理。

要想建立一个真正行之有效的安全的计算机网络，仅使用防火墙还是不够，在实际的应用中，防火墙常与其它安全措施，比如加密技术、防病毒技术等综合应用，才起到防御的最大化的效果。3.4 防火墙的应用

3.4.1 个人防火墙的应用瑞星个人防火墙的应用 1）安装

第一步启动安装程序。

当把瑞星个人防火墙下载版安装程序保存到您电脑中的指定目录后，找到该目录，双击运行安装程序，就可以进行瑞星个人防火墙下载版的安装了。

第二步完成安装后，如图3.1：

图3.1 第三步输入产品序列号和用户ID。

启动个人防火墙，当出现如图3.2下所示的窗口后，在相应位置输入您购买获得的产品序列号和用户ID，点击“确定”，通过验证后则会提示“您的瑞星个人防火墙现在可以正常使用”。

图3.2 常见问题：不输入产品序列号和用户ID，产品将无法升级，防火墙保护功能将全部失效，您的计算机将无法抵御黑客攻击。

2）升级

第一步网络配置：

•打开防火墙主程序

•在菜单中依次选择【设置】/【设置网络】，打开【网络设置】窗口,如图3.3

图3.3 1。设定网络连接方式，如果设定“通过代理服务器访问网络”，还需要输入代理服务器IP、端口、身份验证信息。

2。您可以选中【使用安全升级模式】，确保升级期间阻止新的网络连接 3。点击【确定】按钮完成设置

小提示：

1。如果您已经可以浏览网页，说明网络设置已经配置好了，这里直接使用默认设置即可。

2。如果您不使用拨号方式上网，将不会看到界面中【使用拨号网络连接】的选项以及相关设置。

3。请确保此步设置正确，否则可能无法完成智能升级。

第二步：智能升级

完成网络配置后，进行智能升级的操作方法：

方法一：点击主界面右侧的【智能升级】按钮，图3.4示:

图3.4 方法二：在菜单中依次选择【操作】/【智能升级】

方法三：右键点击防火墙托盘图标，在弹出菜单中选择【启动智能升级】 3)启动瑞星个人防火墙下载版程序

启动瑞星个人防火墙软件主程序有三种方法：

方法一：进入【开始】/【所有程序】/【瑞星个人防火墙】，选择【瑞星个人防火墙】即可启动。

方法二：用鼠标双击桌面上的【瑞星个人防火墙】快捷图标即可启动。方法三：用鼠标单击任务栏“快速启动”上的【瑞星个人防火墙】快捷图标

即可启动。

成功启动程序后的界面如下图3.5所示:

图3.5 主要界面元素

1、菜单栏：

用于进行菜单操作的窗口，包括【操作】、【设置】、【帮助】三个菜单。如图3.6示:

图3.6

2、操作按钮：

位于主界面右侧，包括【启动/停止保护】、【连接/断开网络】、【智能升级】、【查看日志】。如图3。7示:

图3.7 功能：停止防火墙的保护功能，执行此功能后，您计算机将不再受瑞星防火墙的保护已处于停止保护状态时，此按钮将变为【启用保护】；点击将重新启用防火墙的保护功能，您也可以通过菜单项【操作】/【停止保护】来执行此功能；将您的计算机完全与网络断开，就如同拔掉网线或是关掉Modem一样。其他人都不能访问您的计算机，但是您也不能再访问网络。这是在遇到频繁攻击时最为有效的应对方法；已经断开网络后，此项将变为【连接网络】，点击将恢复网络连接；您也可以通过菜单项【操作】/【断开网络】来执行此功能；启动智能升级程序对防火墙进行升级更新；您也可以通过菜单项【操作】/【智能升级】来执行此功能；启动日志显示程序；您也可能通过【操作】/【显示日志】来执行此

功能。

3、标签页：

位于主界面上部，分【工作状态】、【系统状态】、【游戏保护】、【安全资讯】、【漏洞扫描】、【启动选项】六个标签。如图3。8示:

图3。8

4、安全级别：

位于主界面右下角，拖动滑块到对应的安全级别，修改立即生效。

5、当前版本及更新日期：

位于主界面右上角，显示防火墙当前版本及更新日期。

6、规则设置

配置防火墙的过滤规则（如图3。9），包括：黑名单：在黑名单中的计算机禁止与本机通讯

白名单：在白名单中的计算机对本地具有完全的访问权限

端口开关：允许或禁止端口中的通讯，可简单开关本机与远程的端口可信区：通过可信区的设置，可以把局域网和互联网区分对待 IP规则：在IP层过滤的规则

访问规则：本机中访问网络的程序的过滤规则

图3。9 3.4.2 防火墙技术在校园网中应用

一、安装防火墙

防火墙技术在校园网安全建设中得到广泛的应用。由于防火墙是一种按某种规则对专网和互联网,或对互联网的一部分和其余部分之间的信息交换进行有条件的控制(包括隔离),从而阻断不希望发生的网络间通信的系统部署防火墙技术[10],构筑内外网之间的安全屏障,可以有效地将内部网与外部网隔离开来,保护校园网络不受未经授权的第三方侵入。

二、校园网防火墙系统的配置

假定校园网通过Cisco路由器与INTERNET相连。校园内的IP地址范围是确

定的,且有明确的闭和边界,它有一个C类的IP地址,有DNS、Email、WWW、FTP等服务器,可采用以下存取控制策略。

1)对进入CERNET主干网的存取控制

2)对网络中心资源主机的访问控制,网络中心的DNS、Email、FTP、WWW等服务器是重要的资源,要特别的保护,可对网络中心所在子网禁止,DNS,Email,WWW,FTP以外的一切服务。

3)对校外非法网址的访问,一般情况,一些传播非法信息的站点主要在校外,而这些站点的域名可能是已知的。为防止IP地址欺骗和盗用需为对网络内部人员访问Internet进行一定限制在连接内部网络的端口接收数据时进行IP地址和以太网地址检查,盗用IP地址的数据包将被丢弃,并记录有关信息;再连接 Internet 端接收数据时,如从外部网络收到一段假冒内部IP地址发出的报文,也应丢弃,并记录有关信息。防止IP地址被盗用的彻底解决办法是:代理服务器防火墙和捆绑IP地址和以太网地址,对非法访问的动态禁止一旦获得某个IP地址的访问是非法的,可立即更改路由器中的存取控制表,从而禁止其对外的非法访问。首先应在路由器和校园网的以太口预设控制组102,然后过滤掉来自非法地址的所有IP包。

结论

计算机网络的安全问题越来越受到人们的重视，一个安全的计算机网络系统的保护不仅和系统管理员的系统安全知识有关，而且和每个使用者的安全操作等都有关系。网络安全是动态的，新的Internet黑客站点、病毒与安全技术每日剧增，世界上不存在绝对安全的网络系统，随着计算机网络技术的进一步发展，网络安全防护技术也必然随着网络应用的发展而不断发展。

防火墙不能完全解决网络安全的全部问题，如不能防范内部攻击等，因此还需要考虑其他技术的和非技术的因素，如身份鉴别，信息加密术，提高网络管理人员的安全意识等，总之，防火墙是网络安全的第一道重要的安全屏障，如何提高防火墙的防护能力并保证系统的高速高效运行，不断提高网络安全水平，这将是一个随着网络技术的发展而不断研究的课题。

致谢

本文是在指导老师胡楠老师的悉心教导下完成的。写论文的这段时间，老师渊博的学识，严谨的治学太多和细心指导，以及他给我的支持和鼓励使我终身难忘，我所取得的每一点成就都与导师的热心关怀和精心指导是分不开的，值此论文完成之际，特别向导师致以衷心的感谢各崇高的敬意。

本课题的完成过程中，本人还得到了同学们及其他各方面的支持和帮助，特别感谢致谢在一起愉快的度过大学生活的各位室友，正是由于你们的帮助和支持，我才能克服一个一个的困难和疑惑，直至本文的顺利完成。

在论文即将完成之际，我的心情无法平静，从开始进入课题到论文的顺利完成，有多少可敬的师长、同学、朋友给了我无言的帮助，在这里请接受我诚挚的谢意!我还要感谢培养我长大含辛茹苦的父母，谢谢你们!最后，我要向百忙之中抽时间对本文进行审阅，评议和参与本人论文答辩的各位老师表示感谢。

参考文献

[1]张斌,黑客与反黑客,北京邮电大学出版社,Pag56-75 [2]石淑华,池瑞楠,计算机网络安全技术(第二版),北京人民邮电出版社,Pag267-283 [3]肖新峰,宋强,王立新等,TCP/IP协议与网络管理,北京清华大学出版社,Pag83-99 [4]李军,防火墙上台阶,信息网络安全2004年07期,Pag28—29 [5]陈爱民,计算机的安全与保密,北京电子工业出版社,pag35-42 [6]蒋建春,马恒太,任党恩等,网络安全入侵检测研究综述软件学报

[7]石淑华,池瑞楠,计算机网络安全技术(第二版),北京人民邮电出版社,Pag70-104 [8]老聃,安全网关—网络边界防护的利器,信息安全与通信保密,2004年08期75 [9]陈平,何庆等主编,电脑2003合订本，西南师范大学出版社,2004年1月 [10] 张颖,刘军,王磊,计算机网络安全的现状及解决方法[N]电脑商情报 ,2007年1月

第五篇：浅析计算机网络安全和防火墙技术论文

娄底职业技术学院计算机网络专业

摘要

关键字：计算机网络；网络安全；防范措施；防火墙技术

娄底职业技术学院计算机网络专业

Key words: Computer network, Network security, The prevention measures, Firewall technology

II 浅析计算机网络安全和防火墙技术

摘要................................................I Abstract.............................................II 引言.................................................1 第一章网络安全概述.................................2 1.1 计算机网络安全的含义..........................2 1.2 网络信息安全的主要威胁........................2 1.2.1 自然威胁..................................2 1.2.2 人为威胁—黑客攻击与计算机病毒............3 1.3 计算机网络中的安全缺陷及产生原因..............4 1.4 影响计算机网络安全的因素......................5 第二章计算机网络安全防范策略.......................6 2.1 防火墙技术....................................6 2.2 数据加密与用户授权访问控制技术................9 2.3 入侵检测技术.................................10 2.4 防病毒技术...................................11 2.5 安全管理队伍的建设...........................11 第三章防火墙技术..................................12 3.1 防火墙的定义.................................12 3.2 防火墙的功能.................................12 3.2.1 防火墙是网络安全的屏障...................12 3.2.2 防火墙的种类.............................13 3.3 防火墙的技术原理.............................13 3.4 防火墙的应用.................................15 3.4.1 个人防火墙的应用.........................15 3.4.2 防火墙技术在校园网中应用.................20 结论................................................22

III 娄底职业技术学院计算机网络专业

致谢................................................23 参考文献.............................................24 IV 浅析计算机网络安全和防火墙技术

引言

本文主要研究网络安全的缺陷原由及网络安全技术的原理和其他技术，如防火墙技术对网络安全起到的不可忽视的影响。

娄底职业技术学院计算机网络专业

第一章网络安全概述

1.1 计算机网络安全的含义

1.2 网络信息安全的主要威胁

网络安全所面临的威胁来自很多方面，并且随着时问的变化而变化。这些威胁可以宏观地分为自然威胁和人为威胁。

1.2.1 自然威胁

自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备的自然老化等。这些无目的的事件，有时会直接威胁网络的安全，影响信息的存储媒体。

浅析计算机网络安全和防火墙技术

1.2.2 人为威胁—黑客攻击与计算机病毒

人为威胁就是说对网络的人为攻击。这些攻击手段都是通过寻找系统的弱点【2】，以便达到破坏、欺骗、窃取数据等目的，造成经济上和政治上不可估量的损失。网络安全的人为威胁主要分为以下几种：

 网络缺陷

Intemet由于它的开放性迅速在全球范围内普及，但也正是因为开放性使其保护信息安全存在先天不足。Internet最初的设计考虑主要是考虑资源共享，基本没有考虑安全问题，缺乏相应的安全监督机制。 黑客攻击

自1998年后，网上的黑客越来越多，也越来越猖獗；与此同时黑客技术逐渐被越来越多的人掌握现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得黑客攻击的隐蔽性好，“杀伤力”强，这是网络安全的主要威胁之一。

 各种病毒

病毒时时刻刻威胁着整个互联网。像Nimda和CodeRed的爆发更是具有深远的影响，促使人们不得不在网络的各个环节考虑对于各种病毒的检测防治，对病毒彻底防御的重要性毋庸置疑。

 管理的欠缺及资源滥用

 网络内部用户的误操作和恶意行为

对于来自网络内部的攻击，主流的网络安全产品防火墙基本无能为力，这类攻击及其误操作行为需要网络信息 3 娄底职业技术学院计算机网络专业

审计、IDS等主要针对内部网络安全的安全产品来抵御。 网络资源滥用

1.3 计算机网络中的安全缺陷及产生原因

网络安全缺陷产生的原因主要有：

第一TCP/IP的脆弱性。因特网的基石是TCP/IP协议【3】，不幸的是该协议对于网络的安全性考虑得并不多。并且，由于TCP/IP协议是公布于众的，如果人们对TCP/IP很熟悉，就可以利用它的安全缺陷来实施网络攻击。

第二，网络结构的不安全性。因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时，通常情况下它们之间互相传送的数据流要经过很多机器重重转发，如果攻击者利用一台处于用户的数据流传输路径上的主机，他就可以劫持用户的数据包。

第三，易被窃听。由于因特网上大多数数据流都没有加密，因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。

第四，缺乏安全意识。虽然网络中设置了许多安全保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证，进行直接的PPP连接从而避开了防火墙的保护。浅析计算机网络安全和防火墙技术

1.4 影响计算机网络安全的因素

①网络资源的共享性。资源共享是计算机网络应用的主要目的，但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着互联网需求的日益增长，外部服务请求不可能做到完全隔离，攻击者利用服务请求的机会很容易获取网络数据包。

②网络的开放性。网上的任何一个用户很方便访问互联网上的信息资源，从而很容易获取到一个企业、单位以及个人的敏感性信息。

③网络操作系统的漏洞。网络操作系统是网络协议和网络服务得以实现的最终载体之一，它不仅负责网络硬件设备的接口封装，同时还提供网络通信所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性，决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。

④网络系统设计的缺陷。网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下，还可以提供较好的安全性。不合理的网络设计则会成为网络的安全威胁。

⑤恶意攻击。就是人们常见的黑客攻击及网络病毒，这是最难防范的网络安全威胁。随着电脑教育的大众化，这类攻击也是越来越多，影响越来越大。娄底职业技术学院计算机网络专业

第二章计算机网络安全防范策略

计算机网络安全从技术上来说，主要由防病毒、防火墙、入侵检测等多个安全组件组成，任何一个单独的组件都无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有：防火墙技术、数据加密技术、入侵检测技术、防病毒技术等，以下就此几项技术分别进行分析。

2.1 防火墙技术

防火墙网络安全的屏障，配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指一个由软件或和硬件设备组合而成，处于企业或网络群体计算机与外界通道之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。当一个网络接上Internet之后，系统的安全除了考虑计算机病毒、系统的健壮性之外，更主要的是防止非法用户的入侵，而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。

防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分，可实现内部网重点网段的隔离【4】，从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。

为了让大家更好地使用防火墙，我们从反面列举4个有代表性的失败案例。

例1：未制定完整的企业安全策略浅析计算机网络安全和防火墙技术

该企业网络环境如图2.1所示：

图2.1 该企业内部网络的核心交换机是带路由模块的三层交换机，出口通过路由器和ISP连接。内部网划分为5个VLAN，VLAN

问题描述：防火墙投入运行后，实施了一套较为严格的安全规则，导致公司员工无法使用QQ聊天软件，于是没过多久就有员工自己拨号上网，导致感染了特洛依木马娄底职业技术学院计算机网络专业

和蠕虫等病毒，并立刻在公司内部局域网中传播开来，造成内部网大面积瘫痪。

例2：未考虑与其他安全产品的配合使用问题描述：某公司购买了防火墙后，紧接着又购买了漏洞扫描和IDS（入侵检测系统）产品。当系统管理员利用IDS发现入侵行为后，必须每次都要手工调整防火墙安全策略，使管理员工作量剧增，而且经常调整安全策略，也给整个网络带来不良影响。

问题分析：选购防火墙时未充分考虑到与其他安全产品如IDS的联动功能，导致不能最大程度地发挥安全系统的作用。

时发送消息给防火墙，由防火墙自动添加相关规则，把入侵者拒之门外。

解决办法：及时维护防火墙，当本机构发生人员变动、网络调整和应用变化时，要及时调整防火墙的安全规则，及时升级防火墙。

2.2

数据加密与用户授权访问控制技术

与防火墙相比，数据加密与用户授权访问控制技术比娄底职业技术学院计算机网络专业

较灵活，更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击，虽无法避免，但却可以有效地检测；而对于被动攻击，虽无法检测，但却可以避免，实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法，这种变换是对称密钥算法”。这样的密钥必须秘密保管，只能为授权用户所知，授权用户既可以用该密钥加密信急，也可以用该密钥解密信息，DES是对称加密算法中最具代表性的算法。在公钥加密算法中，公钥是公开的，任何人可以用公钥加密信息，再将密文发送给私钥拥有者。私钥是保密的，用于解密其接收的公钥加密过的信息【5】。典型的公钥加密算法~nRSA是目前使用比较广泛的加密算法。

2.3 入侵检测技术

入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术的功能主要体现在以下方面：

1)分析用户及系统活动，查找非法用户和合法用户的越权操作；

2)检测系统配置的正确性和安全漏洞，并提示管理员修浅析计算机网络安全和防火墙技术

3)4)5)6)7)补漏洞；

识别反映已知进攻的活动模式并向相关人上报警；对异常行为模式的统计分析；

能够实时地对检测到的入侵行为进行反应；评估重要系统和数据文件的完整性；可以发现新的攻击模式；

2.4 防病毒技术

随着计算机技术的不断发展，计算机病毒变得越来越复杂和高级，对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件，从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台Pc上，即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒，一旦病毒入侵网络或者从网络向其它资源传染，网络防病毒软件会立刻检测到并加以删除【7】。

2.5 安全管理队伍的建设

第三章防火墙技术

3.1 防火墙的定义

3.2 防火墙的功能

3.2.1 防火墙是网络安全的屏障

部信息的外泄，通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离,而限制了局部重点或敏感网络安全问题对全局网络造成的影响。

3.2.2 防火墙的种类

防火墙技术可根据防范的方式和侧重点的不同,总体来讲可分为二大类:分组过滤,应用代理。

3.3 防火墙的技术原理

目前，防火墙系统的工作原理因实现技术不同，大致可分为三种：

（1）包过滤技术

包过滤技术是一种基于网络层的防火墙技术。根据设置好的过滤规则，通过检查IP数据包来确定是否该数据包通过。而那些不符合规定的IP地址会被防火墙过滤掉，由此保证网络系统的安全。该技术通常可以过滤基于某些或所有下列信息组的IP包：源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包过滤技术实际上是一种基于路由器的技术，其最大优点就是价格便宜，实现逻辑简单便于安装和使用。

缺点：1）过滤规则难以配置和测试。2）包过滤只访问网络层和传输层的信息，访问信息有限，对网络更高协议层的信息无理解能力。3）对一些协议，如UDP和RPC难以有效的过滤。娄底职业技术学院计算机网络专业

（2）代理技术

要想建立一个真正行之有效的安全的计算机网络，仅使用防火墙还是不够，在实际的应用中，防火墙常与其它安全措施，比如加密技术、防病毒技术等综合应用，才起到防御的最大化的效果。浅析计算机网络安全和防火墙技术

3.4 防火墙的应用

3.4.1 个人防火墙的应用

瑞星个人防火墙的应用 1）安装

第一步启动安装程序。

当把瑞星个人防火墙下载版安装程序保存到您电脑中的指定目录后，找到该目录，双击运行安装程序，就可以进行瑞星个人防火墙下载版的安装了。

第二步完成安装后，如图3.1：

图3.1 第三步输入产品序列号和用户ID。

娄底职业技术学院计算机网络专业

图3.2 常见问题：不输入产品序列号和用户ID，产品将无法升级，防火墙保护功能将全部失效，您的计算机将无法抵御黑客攻击。

2）升级

第一步网络配置：

•打开防火墙主程序 •在菜单中依次选择【设置】/【设置网络】，打开【网络设置】窗口,如图3.3 图3.3 1。设定网络连接方式，如果设定“通过代理服务器访问网络”，还需要输入代理服务器IP、端口、身份验证信息。

2。您可以选中【使用安全升级模式】，确保升级期间阻止新的网络连接浅析计算机网络安全和防火墙技术

3。点击【确定】按钮完成设置

小提示：

1。如果您已经可以浏览网页，说明网络设置已经配置好了，这里直接使用默认设置即可。

2。如果您不使用拨号方式上网，将不会看到界面中【使用拨号网络连接】的选项以及相关设置。

3。请确保此步设置正确，否则可能无法完成智能升级。

第二步：智能升级

完成网络配置后，进行智能升级的操作方法：

方法一：点击主界面右侧的【智能升级】按钮，图3.4示:

图3.4 方法二：在菜单中依次选择【操作】/【智能升级】方法三：右键点击防火墙托盘图标，在弹出菜单中选择【启动智能升级】

3)启动瑞星个人防火墙下载版程序

启动瑞星个人防火墙软件主程序有三种方法：

方法一：进入【开始】/【所有程序】/【瑞星个人防火墙】，选择【瑞星个人防火墙】即可启动。

方法二：用鼠标双击桌面上的【瑞星个人防火墙】快捷图标即可启动。

方法三：用鼠标单击任务栏“快速启动”上的【瑞星娄底职业技术学院计算机网络专业

个人防火墙】快捷图标即可启动。

成功启动程序后的界面如下图3.5所示:

图3.5 主要界面元素

1、菜单栏：

用于进行菜单操作的窗口，包括【操作】、【设置】、【帮助】三个菜单。如图3.6示:

图3.6

2、操作按钮：

位于主界面右侧，包括【启动/停止保护】、【连接/断开网络】、【智能升级】、【查看日志】。如图3。7示:

图3.7 功能：停止防火墙的保护功能，执行此功能后，您计浅析计算机网络安全和防火墙技术

算机将不再受瑞星防火墙的保护已处于停止保护状态时，此按钮将变为【启用保护】；点击将重新启用防火墙的保护功能，您也可以通过菜单项【操作】/【停止保护】来执行此功能；将您的计算机完全与网络断开，就如同拔掉网线或是关掉Modem一样。其他人都不能访问您的计算机，但是您也不能再访问网络。这是在遇到频繁攻击时最为有效的应对方法；已经断开网络后，此项将变为【连接网络】，点击将恢复网络连接；您也可以通过菜单项【操作】/【断开网络】来执行此功能；启动智能升级程序对防火墙进行升级更新；您也可以通过菜单项【操作】/【智能升级】来执行此功能；启动日志显示程序；您也可能通过【操作】/【显示日志】来执行此功能。

3、标签页：

位于主界面上部，分【工作状态】、【系统状态】、【游戏保护】、【安全资讯】、【漏洞扫描】、【启动选项】六个标签。如图3。8示:

图3。8

4、安全级别：位于主界面右下角，拖动滑块到对应的安全级别，修改立即生效。

5、当前版本及更新日期：

位于主界面右上角，显示防火墙当前版本及更新日期。

6、规则设置

配置防火墙的过滤规则（如图3。9），包括：黑名单：在黑名单中的计算机禁止与本机通讯白名单：在白名单中的计算机对本地具有完全的访问权限

端口开关：允许或禁止端口中的通讯，可简单开关本机与远程的端口娄底职业技术学院计算机网络专业

可信区：通过可信区的设置，可以把局域网和互联网区分对待

IP规则：在IP层过滤的规则

访问规则：本机中访问网络的程序的过滤规则

图3。9 3.4.2 防火墙技术在校园网中应用

一、安装防火墙

二、校园网防火墙系统的配置

假定校园网通过Cisco路由器与INTERNET相连。校园内的IP地址范围是确定的,且有明确的闭和边界,它有一个C类的IP地址,有DNS、Email、WWW、FTP等服务器,可采用以下存取控制策略。

1)对进入CERNET主干网的存取控制

2)对网络中心资源主机的访问控制,网络中心的DNS、Email、FTP、WWW等服务器是重要的资源,要特别的保护,可对网络中心所在子网禁止,DNS,Email,WWW,FTP 浅析计算机网络安全和防火墙技术

以外的一切服务。

结论

致谢

娄底职业技术学院计算机网络专业

参考文献

[9]陈平,何庆等主编,电脑2003合订本，西南师范大学出版社,2004年1月

[10] 张颖,刘军,王磊,计算机网络安全的现状及解决方法[N]电脑商情报 ,2007年1月

现代网络安全及防火墙毕业论文

第一篇：现代网络安全及防火墙毕业论文

第二篇：计算机网络安全防火墙技术毕业论文

第三篇：aj-dphba计算机网络安全防火墙技术毕业论文

第四篇：浅析计算机网络安全和防火墙技术论文

第五篇：浅析计算机网络安全和防火墙技术论文

相关范文推荐

防火墙在网络安全中作用

计算机防火墙技术毕业论文

计算机系毕业论文(网络安全)

计算机网络安全毕业论文

计算机网络安全毕业论文（范文）

防火墙技术在网络安全的应用研究

毕业论文 LINUX路由防火墙配置

毕业论文------论防火墙技术设计策略