毕业论文------论防火墙技术设计策略

时间:2019-05-13 23:56:24下载本文作者:会员上传
简介:写写帮文库小编为你整理了多篇相关的《毕业论文------论防火墙技术设计策略》,但愿对你工作学习有帮助,当然你在写写帮文库还可以找到更多《毕业论文------论防火墙技术设计策略》。

第一篇:毕业论文------论防火墙技术设计策略

基于Internet技术的网络教学平台组建 —— 论防火墙技术设计策略

Construction of network teaching platform based on Internet technique

—— Strategy of firewall technique design

[摘要] 防火墙是一种确保网络安全的方法,通过隔离、过滤、封锁等技术,防止来自外部网络的攻击。本文对防火墙自我保护能力的设计和防火墙体系结构进行了分析,并给出了设计方法。

[关键字] 防火墙;攻击;路由器;分析

[Abstract] The firewall,an efficient measure which is used to protect the safety of network,prevents from attacking of outer network by technologies such as insulating,filtering and blockage etc.This article analyses the structure and self-protect designing of firewall,and also supplies its designing method.[Keyword] firewall;attack;router;analyse 引 言

古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生它能够防止火势蔓延到别的寓所。自然,此种砖墙因此而得名“防火墙”。现在,如果一个网络接入到了Internet上,在与外界进行通信时,势必也会存在着受其攻击的“火灾发生”。

如何确保网络安全,作为网络安全产品中的防火墙技术,是目前最为成熟的技术。防火墙是建立在内外网络边界上的过滤封锁机制,对内连接LAN,对外连接Internet,通过隔离、过滤、封锁等技术,阻止信息资源的非法访问。防火墙设计首要、重点问题

由于防火墙处于内外网络边界上,承担过滤、封锁等工作,自然也是众多攻击者的目标。因此,其自我保护能力(安全性)是设计时的首要、重点问题。

1.专用服务器端口

为降低设计上的难度,通过在防火墙上增设专用服务器端口,用于与主机进行连接。除专用服务器外,防火墙不接受任何其他端口的直接访问。由于管理通信是单独的通道,所以不管是内网主机还是外网主机都无法窃听到该通信,显然是很安全的。

2.透明应用代理

提供对高层应用服务,如HTTP、FTP、SMTP等的透明代理,终端无需在客户机上进行代理服务器设置。管理员在防火墙产品上配置相关规则,这些配置对用户来说完全是透明的,用户访问Web、FTP等服务时,便自由进行代理转发,而外部网络是不能通过代理主动访问内部网络的,从而有效保证了内部网络的安全。防火墙体系结构构建

防火墙结构的构建可使用多种不同部件的组合,每个部件根据所提供的服务及能接受的安全等级来解决不同的问题。常见的几种构建方式分析如下:

3.1 双宿主机

双宿主机将内外网络隔离,防火墙内部的网络系统与外部的网络系统都与双宿主机通信。这样,内外网络之间的IP数据流是完全切断的,只有入侵者得到双宿主机的访问权,才会侵入内部网络。所以为了保证内部网安全,双宿主机应禁止网络层的路由功能,避免防火墙上过多的用户账号。3.2 屏蔽主机

主机与内部网相连,使用一台单独的过滤路由器强迫所有到达路由器的数据包被发送到被屏蔽主机,任何试图访问内部系统或服务器的外部系统都须与此主机相连。过滤路由器能否正确配置是这种防火墙结构安全的关键,因此过滤路由器中的路由表应严格保护,防止路由表破坏造成数据包越过主机侵入内部网络。

3.3 屏蔽子网

在以上基础上,增加一个DMZ(隔离区),进一步将内网与外网隔开。采取两个过滤路由器,攻击者就算攻入了主机,还得通过内部路由器。所以原则上说,此种方式的网络是安全的。应对常见攻击方式的策略

4.1 病毒

尽管某些防火墙产品提供了在数据包通过时进行病毒扫描的功能,但仍然很难将所有的病毒(或特洛伊木马程序)阻止在网络外面,黑客很容易欺骗用户下载一个程序从而让恶意代码进入内部网。

策略:设定安全等级,严格阻止系统在未经安全检测的情况下执行下载程序;或者通过常用的基于主机的安全方法来保护网络。

4.2 口令字

对口令字的攻击方式有两种:穷举和嗅探。穷举针对来自外部网络的攻击,来猜测防火墙管理的口令字。嗅探针对内部网络的攻击,通过监测网络获取主机给防火墙的口令字。策略:设计主机与防火墙通过单独接口通信(即专用服务器端口)、采用一次性口令或禁止直接登录防火墙。

4.3 邮件

来自于邮件的攻击方式越来越突出,在这种攻击中,垃圾邮件制造者将一条消息复制成成千上万份,并按一个巨大的电子邮件地址清单发送这条信息,当不经意打开邮件时,恶意代码即可进入。

策略:打开防火墙上的过滤功能,在内网主机上采取相应阻止措施。

4.4 IP地址

黑客利用一个类似于内部网络的IP地址,以“逃过”服务器检测,从而进入内部网达到攻击的目的。

策略:通过打开内核rp_filter功能,丢弃所有来自网络外部但却有内部地址的数据包;同时将特定IP地址与MAC绑定,只有拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问。基本决策

5.1 方案选择

市场上的防火墙大致有软件防火墙和硬件防火墙两大类。软件防火墙需运行在一台标准的主机设备上,依托网络在操作系统上实现防火墙的各种功能,因此也称“个人”防火墙,其功能有限,基本上能满足单个用户。硬件防火墙是一个把硬件和软件都单独设计,并集成在一起,运行于自己专用的系统平台。由于硬件防火墙集合了软件方面,从功能上更为强大,目前已普遍使用。

在制造上,硬件防火墙须同时设计硬件和软件两方面。国外厂家基本上是将软件运算硬件化,将主要运算程序做成芯片,以减少CPU的运算压力;国内厂家的防火墙硬件平台仍使用通用PC系统,增加了内存容量,增大了CPU的频率。在软件性能方面,国外一些著名的厂家均采用专用的操作系统,自行设计防火墙,提供高性能的产品;而国内厂家大部分基于Linux操作平台,有针对性的修改代码、增加技术及系统补丁等。因此,国产防火墙与国外的相比仍有一定差距,但科技的进步,也生产出了较为优秀的产品。如北京天融信的NG系列产品,支持TOPSEC安全体系、多级过滤、透明应用代理等先进技术。

5.2 结构透明

防火墙的透明性是指防火墙对于用户是透明的。以网桥的方式将防火墙接入网络,网络和用户无需做任何设置和改动,也根本意识不到防火墙的存在。然后根椐自己企业的网络规模,以及安全策略来选择合适的防火墙的构造结构(可参照本文第3点分析),如果经济实力雄厚的可采用屏蔽子网的拓扑结构。

5.3 坚持策略

(1)管理主机与防火墙专用服务器端口连接,形成单独管理通道,防止来自内外部的攻击。

(2)使用FTP、Telnet、News等服务代理,以提供高水平的审计和潜在的安全性。

(3)支持“除非明确允许,否则就禁止”的安全防范原则。

(4)确定可接受的风险水平,如监测什么传输,允许和拒绝什么传输流通过。5.4 实施措施

好的防火墙产品应向使用者提供完整的安全检查功能,应有完善及时的售后服务。但一个安全的网络仍必须靠使用者的观察与改进,企业要达到真正的安全仍需内部的网络管理者不断记录、追踪、改进,定期对防火墙和相应操作系统用补丁程序进行升级。结束语

以上从防火墙所具有的功能出发,分别介绍了防火墙技术在设计时的重点问题、防火墙体系结构构建、常见攻击方式的防范及基本设计决策。在分析的基础上给出了具体解决方法,在设计过程中,应根据企业自身条件出发,选择最优的策略。

参 考 文 献

[1] 陶笃纯,饶友玲,康晓东.网站建设项目管理[M].北京:人民邮电出版社,2002.[2] 彭涛.计算机网络教程[M].北京:机械工业出版社,2002.[3] IBON.Marshield网络安全技术白皮书.艾邦公司资料,2002.致

在这次毕业设计中,我得到了XXX教师的大力支持和帮助,特表示衷心的感谢。同时也感谢同组同学。马上就要踏上工作的岗位,本文是也算是我人生中的一段的总结。真心感谢所有传授给我知识的敬爱的老师们。在你们的精心教导下,让我拥有一段充实,精彩的大学生活,谢谢你们!

第二篇:现代网络安全及防火墙毕业论文

摘要

随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。本文对目前计算机网络存在的安全隐患进行了分析,阐述了我国网络安全的现状及网络安全问题产生的原因,对我们网络安全现状进行了系统的分析,并探讨了针对计算机安全隐患的防范策略.正是因为安全威胁的无处不在,为了解决这个问题防火墙出现了。防火墙是网络安全的关键技术,是隔离在本地网络与外界网络之间的一道防御系统,其核心思想是在不安全的网络环境中构造一个相对安全的子网环境,防火墙是实施网络安全控制得一种必要技术。本文讨论了防火墙的安全功能、体系结构、实现防火墙的主要技术手段及配置等。

关键词

网络安全/黑客/病毒/防火墙

0 我国网络安全现状...........................................................................................................2 1.1研究背景..................................................................................................................2 1.2研究意义..................................................................................................................3 1.3 计算机网络面临的威胁.........................................................................................4 2 防火墙的安全功能及安全网络方案...............................................................................7 2.1防火墙具备的安全功能..........................................................................................7 2.2 计算机网络面临的威胁网络安全的解决方案 2.2.1入侵检测系统部署..........7 3 计算机网络安全方案设计并实现................................................................................10 3.1桌面安全系统........................................................................................................10 3.2病毒防护系统......................................................................................................10 3.3 动态口令系统........................................................................................................11 4 防火墙的配置.................................................................................................................13 4.1防火墙的初始配置................................................................................................13 4.2 过滤防火墙的访问配置.......................................................................................15 4.3双宿主机网关(Dual Homed Gateway)................................................................19 4.4屏蔽主机网关(Screened Host Gateway).............................................................19 4.5屏蔽子网(Screened Subnet).................................................................................20 总

结................................................................................................................................22 致

谢................................................................................................................................23 参考文献.............................................................................................................................24 我国网络安全现状

1.1研究背景

据美国联邦调查局统计,美国每年因网络安全造成的损失高达75亿美元。据美国金融时报报道,世界上平均每20分钟就发生一次人侵国际互联网络的计算机安全事件,1/3的防火墙被突破。美国联邦调查局计算机犯罪组负责人吉姆·塞特尔称:给我精选10名“黑客”,组成小组,90天内,我将使美国趴下。一位计算机专家毫不夸张地说:如果给我一台普通计算机、一条电话线和一个调制解调器,就可以令某个地区的网络运行失常。

据了解,从1997年底至今,我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。公安机关受理各类信息网络违法犯罪案件逐年剧增,尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。由于我国大量的网络基础设施和网络应用依赖于外国的产品和技术,在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段,以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责。有些集成商仍缺乏足够专业的安全支撑技术力量,同时一些负责网络安全的工程技术人员对许多潜在风险认识不足。缺乏必要的技术设施和相关处理经验,面对形势日益严峻的现状,很多时候都显得有些力不从心。也正是由于受技术条件的限制,很多人对网络安全的意识仅停留在如何防范病毒阶段,对网络安全缺乏整体意识。

随着网络的逐步普及,网络安全的问题已经日益突。如同其它任何社会一样,互连网也受到某些无聊之人的困扰,某些人喜爱在网上做这类的事,像在现实中向其他人的墙上喷染涂鸦、将他人的邮箱推倒或者坐在大街上按汽车喇叭一样。网络安全已成为互连网上事实上的焦点问题。它关系到互连网的进一步发展和普及,甚至关系着互连网的生存。近年来,无论在发达国家,还是在发展中国家,黑客活动越来越猖狂,他们无孔不入,对社会造成了严重的危害。目前在互连网上大约有将近80%以上的用户曾经遭受过黑客的困扰。而与此同时,更让人不安的是,互连网上病毒和黑客的联姻、不断增多的黑客网站,使学习黑客技术、获得黑客攻击工具变的轻而易举。这样,使原本就十分脆弱的互连网越发显得不安全。

1.2研究意义

现在网络的观念已经深入人心,越来越多的人们通过网络来了解世界,同时他们也可以通过网络发布消息,与朋友进行交流和沟通,展示自己,以及开展电子商务等等。人们的日常生活也越来越依靠网络进行。同时网络攻击也愈演愈烈,时刻威胁着用户上网安全,网络与信息安全已经成为当今社会关注的重要问题之一。党的十六届四中全会,把信息安全和政治安全、经济安全、文化安全并列为国家安全的四大范畴之一,信息安全的重要性被提升到一个空前的战略高度。正是因为安全威胁的无处不在,为了解决这个问题防火墙出现了。防火墙的本义原是指古代人们房屋之间修建的那道为防止火灾蔓延而建立的墙,而现在意义上的防火墙是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称。应该说,在互连网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问。成而有效的控制用户的上网安全。防火墙是实施网络安全控制得一种必要技术,它是一个或一组系统组成,它在网络之间执行访问控制策略。实现它的实际方式各不相同,但是在原则上,防火墙可以被认为是这样同一种机制:拦阻不安全的传输流,允许安全的传输流通过。特定应用程序行为控制等独特的自我保护机制使它可以监控进出网络的通信信息,仅让安全的、核准了的信息进入;它可以限制他人进入内部网络,过滤掉不安全服务和非法用户;它可以封锁特洛伊木马,防止机密数据的外泄;它可以限定用户访问特殊站点,禁止用户对某些内容不健康站点的访问;它还可以为监视互联网的安全提供方便。现在国外的优秀防火墙如Outpost不但能完成以上介绍的基本功能,还能对独特的私人信息保护如防止密码泄露、对内容进行管理以防止小孩子或员工查看不合适的网页内容,允许按特定关键字以及特定网地进行过滤等、同时还能对DNS 缓存进行保护、对Web 页面的交互元素进行控制如过滤不需要的GIF,Flash动画等界面元素。随着时代的发展和科技的进步防火墙功能日益完善和强大,但面对日益增多的网络安全威胁防火墙仍不是完整的解决方案。但不管如何变化防火墙仍然是网络安全必不可少的工具之一。

1.3 计算机网络面临的威胁

1.3.1 网络安全脆弱的原因

(1)Internet所用底层TCP/IP网络协议本身易受到攻击,该协议本身的安全问题极大地影响到上层应用的安全。

(2)Internet上广为传插的易用黑客和解密工具使很多网络用户轻易地获得了攻击网络的方法和手段。

(3)快速的软件升级周期,会造成问题软件的出现,经常会出现操作系统和应用程序存在新的攻击漏洞。

(4)现行法规政策和管理方面存在不足。目前我国针对计算机及网络信息保护的条款不细致,网上保密的法规制度可操作性不强,执行不力。同时,不少单位没有从管理制度、人员和技术上建立相应的安全防范机制。缺乏行之有效的安全检查保护措施,甚至有一些网络管理员利用职务之便从事网上违法行为。

1.3.1网络安全面临的威胁

信息安全是一个非常关键而又复杂的问题。计算机信息系统安全指计算机信息系统资产(包括网络)的安全,即计算机信息系统资源(硬件、软件和信息)不受自然和人为有害因素的威胁和危害。

计算机信息系统之所以存在着脆弱性,主要是由于技术本身存在着安全弱点、系统的安全性差、缺乏安全性实践等;计算机信息系统受到的威胁和攻击除自然灾害外,主要来自计算机犯罪、计算机病毒、黑客攻击、信息战争和计算机系统故障等。由于计算机信息系统已经成为信息社会另一种形式的“金库”和“保密室”,因而,成为一些人窥视的目标。再者,由于计算机信息系统自身所固有的脆弱性,使计算机信息系统面临威胁和攻击的考验。计算机信息系统的安全威胁主要来自于以下几个方面:

(1)自然灾害。计算机信息系统仅仅是一个智能的机器,易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。目前,我们不少计算机房并没有防震、防火、防水、避雷、防电磁泄漏或干扰等措施,接地系统也疏于周到考虑,抵御自然灾害和意外事故的能力较差。日常工作中因断电而设备损坏、数据丢失的现象时有发生。由于噪音和电磁辐射,导致网络信噪比下降,误码率增加,信息的安全性、完整性和可用

性受到威胁。

(2)黑客的威胁和攻击。计算机信息网络上的黑客攻击事件越演越烈,已经成为具有一定经济条件和技术专长的形形色色攻击者活动的舞台。他们具有计算机系统和网络脆弱性的知识,能使用各种计算机工具。境内外黑客攻击破坏网络的问题十分严重,他们通常采用非法侵人重要信息系统,窃听、获取、攻击侵人网的有关敏感性重要信息,修改和破坏信息网络的正常使用状态,造成数据丢失或系统瘫痪,给国家造成重大政治影响和经济损失。黑客问题的出现,并非黑客能够制造入侵的机会,从没有路的地方走出一条路,只是他们善于发现漏洞。即信息网络本身的不完善性和缺陷,成为被攻击的目标或利用为攻击的途径,其信息网络脆弱性引发了信息社会脆弱性和安全问题,并构成了自然或人为破坏的威胁。

(3)计算机病毒。90年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范围广,增长速度惊人,损失难以估计。它像灰色的幽灵将自己附在其他程序上,在这些程序运行时进人到系统中进行扩散。计算机感染上病毒后,轻则使系统上作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。

(4)垃圾邮件和间谍软件。一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、宗教、政治等活动,把自己的电子邮件强行“推入”别人的电子邮箱,强迫他人接受垃圾邮件。与计算机病毒不同,间谍软件的主要目的不在于对系统造成破坏,而是窃取系统或是用户信息。事实上,间谍软件日前还是一个具有争议的概念,一种被普遍接受的观点认为间谍软件是指那些在用户小知情的情况下进行非法安装发装后很难找到其踪影,并悄悄把截获的一些机密信息提供给第下者的软件。间谍软件的功能繁多,它可以监视用户行为,或是发布广告,修改系统设置,威胁用户隐私和计算机安全,并可能小同程度的影响系统性能。

(5)信息战的严重威胁。信息战,即为了国家的军事战略而采取行动,取得信息优势,干扰敌方的信息和信息系统,同时保卫自己的信息和信息系统。这种对抗形式的目标,不是集中打击敌方的人员或战斗技术装备,而是集中打击敌方的计算机信息系统,使其神经中枢的指挥系统瘫痪。信息技术从根本上改变了进行战争的方法,其攻击的首要目标主要是连接国家政治、军事、经济和整个社会的计算机网络系统,信息武器已经成为了继原子武器、生物武器、化学武器之后的第四类战略武器。可以说,未来国与国之间的对抗首先将是信息技术的较量。网络信息安全应该成为国家安全的前提。

(6)计算机犯罪。计算机犯罪,通常是利用窃取口令等手段非法侵人计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污、盗窃、诈骗和金融犯罪等活动。

在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。防火墙的安全功能及安全网络方案

2.1防火墙具备的安全功能

防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下基本功能:

(1)报警功能,将任何有网络连接请求的程序通知用户,用户自行判断是否放行也或阻断其程序连接网络。

(2)黑白名单功能,可以对现在或曾经请求连接网络的程序进行规则设置。包括以后不准许连接网网等功能。

(3)局域网查询功能,可以查询本局域网内其用户,并显示各用户主机名。

(4)流量查看功能,对计算机进出数据流量进行查看,直观的完整的查看实时数据量和上传下载数据率。

(5)端口扫描功能,户自可以扫描本机端口,端口范围为0-65535端口,扫描完后将显示已开放的端口。

(6)系统日志功能,日志分为流量日志和安全日志,流量日志是记录不同时间数据包进去计算机的情况,分别记录目标地址,对方地址,端口号等。安全日志负责记录请求连接网络的程序,其中包括记录下程序的请求连网时间,程序目录路径等。(7)系统服务功能,可以方便的查看所以存在于计算机内的服务程序。可以关闭,启动,暂停计算机内的服务程序。

(8)连网/断网功能,在不使用物理方法下使用户计算机连接网络或断开网络。完成以上功能使系统能对程序连接网络进行管理,大大提高了用户上网的效率,降低的上网风险。从而用户上网娱乐的质量达到提高,同时也达到网络安全保护的目的。

2.2 计算机网络面临的威胁网络安全的解决方案

2.2.1入侵检测系统部署

入侵检测能力是衡量一个防御体系是否完整有效的重要因素,强大完整的入侵检

测体系可以弥补防火墙相对静态防御的不足。对来自外部网和校园网内部的各种行为进行实时检测,及时发现各种可能的攻击企图,并采取相应的措施。具体来讲,就是将入侵检测引擎接入中心交换机上。入侵检测系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据;如果情况严重,系统可以发出实时报警,使得学校管理员能够及时采取应对措施。

2.2.2漏洞扫描系统

采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。

2.2.3网络版杀毒产品部署

在该网络防病毒方案中,我们最终要达到一个目的就是:要在整个局域网内杜绝病毒的感染、传播和发作,为了实现这一点,我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。

2.2.4 安全服务配置

安全服务隔离区(DMZ)把服务器机群和系统管理机群单独划分出来, 设置为安全服务隔离区, 它既是内部网络的一部分, 又是一个独立的局域网,单独划分出来是为了更好的保护服务器上数据和系统管理的正常运行。建议通过NAT(网络地址转换)

技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址。这不仅可以对外屏蔽内部网络结构和IP地址, 保护内部网络的安全, 也可以大大节省公网IP地址的使用, 节省了投资成本。

如果单位原来已有边界路由器, 则可充分利用原有设备, 利用边界路由器的包过

滤功能, 添加相应的防火墙配置,这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的内部网络连接。对于DMZ区中的公用服务器, 则可直接与边界路由器相连,不用经过防火墙。它可只经过路由器的简单防护。在此拓扑结构中, 边界路由器与防火墙就一起组成了两道安全防线, 并且在这两者之间可以设置一个DMZ区, 用来放置那些允许外部用户访问的公用服务器设施。

2.2.5 配置访问策略

访问策略是防火墙的核心安全策略, 所以要经过详尽的信息统计才可以进行设置。在过程中我们需要了解本单位对内对外的应用以及所对应的源地址、目的地址、TCP 或UDP的端口, 并根据不同应用的执行频繁程度对策略在规则表中的位置进行排序, 然后才能实施配置。原因是防火墙进行规则查找时是顺序执行的, 如果将常用的规则放在首位就可以提高防火墙的工作效率。

2.2.6 日志监控

日志监控是十分有效的安全管理手段。往往许多管理员认为只要可以做日志的信息就去采集。如: 所有的告警或所有与策略匹配或不匹配的流量等等,这样的做法看似日志信息十分完善, 但每天进出防火墙的数据有上百万甚至更多, 所以, 只有采集到最关键的日志才是真正有用的日志。一般而言,系统的告警信息是有必要记录的, 对于流量信息进行选择, 把影响网络安全有关的流量信息保存下来。计算机网络安全方案设计并实现

3.1桌面安全系统

用户的重要信息都是以文件的形式存储在磁盘上,使用户可以方便地存取、修改、分发。这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密。特别是对于移动办公的情况更是如此。因此,需要对移动用户的文件及文件夹进行本地安全管理,防止文件泄密等安全隐患。

本设计方案采用清华紫光公司出品的紫光S锁产品,“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器(CPU)、加密运算协处理器(CAU)、只读存储器(ROM),随机存储器(RAM)、电可擦除可编程只读存储器(E2PROM)等,以及固化在ROM内部的芯片操作系统COS(Chip Operating System)、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的SmartCOS,其安全模块可防止非法数据的侵入和数据的篡改,防止非法软件对S锁进行操作。

3.2病毒防护系统

基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。

(1)邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。ScanMail是Notes Domino Server使用率最高的防病毒软件。

(2)服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响,另一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。

(3)客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防

毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯Web的部署方式。

(4)集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件,支持跨域和跨网段的管理,并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置,TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发代理部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。

3.3 动态口令系统

动态口令系统在国际公开的密码算法基础上,结合生成动态口令的特点,加以精心修改,通过十次以上的非线性迭代运算,完成时间参数与密钥充分的混合扩散。在此基础上,采用先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的安全性。

单位安全网由多个具有不同安全信任度的网络部分构成,在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。本设计方案选用四台网御防火墙,分别配置在高性能服务器和三个重要部门的局域网出入口,实现这些重要部门的访问控制。

通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙,通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段,彼此隔离。这样不仅保护了单位网络服务器,使其不受来自内部的攻击,也保护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击。如果有人闯进您的一个部门,或者如果病毒开始蔓延,网段能够限制造成的损坏进一步扩大。

为有效解决办公区之间信息的传输安全,可以在多个子网之间建立起独立的安全通道,通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。

SJW-22网络密码机系统组成

网络密码机(硬件):是一个基于专用内核,具有自主版权的高级通信保护控制系

统。

本地管理器(软件):是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。

中心管理器(软件):是一个安装于中心管理平台(Windows系统)上的对全网的密码机设备进行统一管理的系统软件。

根据以上多层次安全防范的策略,安全网的安全建设可采取“加密”、“外防”、“内审”相结合的方法,“内审”是对系统内部进行监视、审查,识别系统是否正在受到攻击以及内部机密信息是否泄密,以解决内层安全。

安全审计系统能帮助用户对安全网的安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,忠实记录网络上发生的一切,提供取证手段。作为网络安全十分重要的一种手段,安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。

在安全网中使用的安全审计系统应实现如下功能:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。

本设计方案选用“汉邦软科”的安全审计系统作为安全审计工具。

汉邦安全审计系统是针对目前网络发展现状及存在的安全问题,面向企事业的网络管理人员而设计的一套网络安全产品,是一个分布在整个安全网范围内的网络安全监视监测、控制系统。

(1)安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上,其监视目标主机的人机界面操作、监控RAS连接、监控网络连接情况及共享资源的使用情况。安全监控中心是管理平台和监控平台,网络管理员通过安全监控中心为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。主要功能有文件保护审计和主机信息审计。

①文件保护审计:文件保护安装在审计中心,可有效的对被审计主机端的文件进行管理规则设置,包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。

②主机信息审计:对网络内公共资源中,所有主机进行审计,可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。

(2)资源监控系统主要有四类功能。①监视屏幕:在用户指定的时间段内,系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。防火墙的配置

4.1防火墙的初始配置

像路由器一样,在使用之前,防火墙也需要经过基本的初始配置。但因各种防火墙的初始配置基本类似,所以在此仅以Cisco PIX防火墙为例进行介绍。

防火墙的初始配置也是通过控制端口(Console)与PC机(通常是便于移动的笔记本电脑)的串口连接,再通过Windows系统自带的超级终端(HyperTerminal)程序进行选项配置。防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样,参见图1所示。

防火墙除了以上所说的通过控制端口(Console)进行初始配置外,也可以通过telnet和Tffp配置方式进行高级配置,但Telnet配置方式都是在命令方式中配置,难度较大,而Tffp方式需要专用的Tffp服务器软件,但配置界面比较友好。

防火墙与路由器一样也有四种用户配置模式,即:普通模式(Unprivileged mode)、特权模式(Privileged Mode)、配置模式(Configuration Mode)和端口模式(Interface Mode),进入这四种用户模式的命令也与路由器一样:

普通用户模式无需特别命令,启动后即进入;

进入特权用户模式的命令为“enable”;进入配置模式的命令为“config terminal”;而进入端口模式的命令为“interface ethernet()”。不过因为防火墙的端口没有路由器那么复杂,所以通常把端口模式归为配置模式,统称为“全局配置模式”。

防火墙的具体配置步骤如下:

1.将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的

一个空余串口上,参见图1。

2.打开PIX防火电源,让系统加电初始化,然后开启与防火墙连接的主机。

3.运行笔记本电脑Windows系统中的超级终端(HyperTerminal)程序(通常在“附件”程序组中)。对超级终端的配置与交换机或路由器的配置一样,参见本教程前面有关介绍。

4.当PIX防火墙进入系统后即显示“pixfirewall>”的提示符,这就证明防火墙已启动成功,所进入的是防火墙用户模式。可以进行进一步的配置了。

5.输入命令:enable,进入特权用户模式,此时系统提示为:pixfirewall#。

6.输入命令: configure terminal,进入全局配置模式,对系统进行初始化设置。

(1).首先配置防火墙的网卡参数(以只有1个LAN和1个WAN接口的防火墙配置为例)

Interface ethernet0 auto # 0号网卡系统自动分配为WAN网卡,“auto”选项为系统自适应网卡类型

Interface ethernet1 auto

(2).配置防火墙内、外部网卡的IP地址

IP address inside ip_address netmask # Inside代表内部网卡

IP address outside ip_address netmask # outside代表外部网卡

(3).指定外部网卡的IP地址范围:

global 1 ip_address-ip_address

(4).指定要进行转换的内部地址

nat 1 ip_address netmask

(5).配置某些控制选项:

conduit global_ip port[-port] protocol foreign_ip [netmask]

其中,global_ip:指的是要控制的地址;port:指的是所作用的端口,0代表所有端口;protocol:指的是连接协议,比如:TCP、UDP等;foreign_ip:表示可访问的global_ip外部IP地址;netmask:为可选项,代表要控制的子网掩码。

7.配置保存:wr mem

8.退出当前模式

此命令为exit,可以任何用户模式下执行,执行的方法也相当简单,只输入命令本身即可。它与Quit命令一样。下面三条语句表示了用户从配置模式退到特权模式,再退到普通模式下的操作步骤。

pixfirewall(config)# exit

pixfirewall# exit

pixfirewall>

9.查看当前用户模式下的所有可用命令:show,在相应用户模式下键入这个命令后,即显示出当前所有可用的命令及简单功能描述。

10.查看端口状态:show interface,这个命令需在特权用户模式下执行,执行后即显示出防火墙所有接口配置情况。

11.查看静态地址映射:show static,这个命令也须在特权用户模式下执行,执行后显示防火墙的当前静态地址映射情况。

4.2 过滤防火墙的访问配置

除了以上介绍的基本配置外,在防火墙的安全策略中最重要还是对访问控制列表(ACL)进行配有关置。下面介绍一些用于此方面配置的基本命令。

1.access-list:用于创建访问规则

这一访问规则配置命令要在防火墙的全局配置模式中进行。同一个序号的规则可以看作一类规则,同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。在这个命令中,又有几种命令格式,分别执行不同的命令。

(1)创建标准访问列表

命令格式:access-list [ normal

special ] listnumber1 { permit

deny } source-addr [ source-mask ]

(2)创建扩展访问列表

命令格式:access-list [ normal

special ] listnumber2 { permit

deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ]

icmp-type [ icmp-code ] ] [ log ]

(3)删除访问列表

命令格式:no access-list { normal

special } { all

listnumber [ subitem ] }

上述命令参数说明如下:

●normal:指定规则加入普通时间段。

●special:指定规则加入特殊时间段。

●listnumber1:是1到99之间的一个数值,表示规则是标准访问列表规则。

●listnumber2:是100到199之间的一个数值,表示规则是扩展访问列表规则。

●permit:表明允许满足条件的报文通过。

●deny:表明禁止满足条件的报文通过。

●protocol:为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。

●source-addr:为源IP地址。

●source-mask:为源IP地址的子网掩码,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。

●dest-addr:为目的IP地址。

●dest-mask:为目的地址的子网掩码。

●operator:端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。

port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。

●icmp-type:在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。

●icmp-code:在协议为ICMP,且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。

●log:表示如果报文符合条件,需要做日志。

●listnumber:为删除的规则序号,是1~199之间的一个数值。

●subitem:指定删除序号为listnumber的访问列表中规则的序号。

例如,现要在华为的一款防火墙上配置一个“允许源地址为10.20.10.0 网络、目的地址为10.20.30.0网络的WWW访问,但不允许使用FTP”的访问规则。相应配置语句只需两行即可,如下:

Quidway(config)#access-list 100 permit tcp 10.20.10.0 255.0.0.0 10.20.30.0

255.0.0.0 eq www

Quidway(config)#access-list 100 deny tcp 10.20.10.0 255.0.0.0 10.20.30.0 255.0.0.0 eq ftp

2.clear access-list counters:清除访问列表规则的统计信息

命令格式:clear access-list counters [ listnumber ]

这一命令必须在特权用户模式下进行配置。listnumber 参数是用指定要清除统计信息的规则号,如不指定,则清除所有的规则的统计信息。

如要在华为的一款包过滤路由器上清除当前所使用的规则号为100的访问规则统计信息。访问配置语句为:

clear access-list counters 100

如有清除当前所使用的所有规则的统计信息,则以上语句需改为:Quidway#clear access-list counters

3.ip access-group

使用此命令将访问规则应用到相应接口上。使用此命令的no形式来删除相应的设置,对应格式为:

ip access-group listnumber { in

out }

此命令须在端口用户模式下配置,进入端口用户模式的命令为:interface ethernet(),括号中为相应的端口号,通常0为外部接口,而1为内部接口。进入后再用ip access-group 命令来配置访问规则。listnumber参数为访问规则号,是1~199之间的一个数值(包括标准访问规则和扩展访问规则两类);in 表示规则应用于过滤从接口接收到的报文;而out表示规则用于过滤从接口转发出去的报文。一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用show access-list命令来查看。

例如将规则100应用于过滤从外部网络接口上接收到的报文,配置语句为(同样为在倾为包过滤路由器上):

ip access-group 100 in

如果要删除某个访问控制表列绑定设置,则可用no ip access-group listnumber { in

out } 命令。

4.show access-list

此配置命令用于显示包过滤规则在接口上的应用情况。命令格式为:show access-list [ all

listnumber

interface interface-name ]

这一命令须在特权用户模式下进行配置,其中all参数表示显示所有规则的应用情况,包括普通时间段内及特殊时间段内的规则;如果选择listnumber参数,则仅需显示指定规则号的过滤规则;interface 表示要显示在指定接口上应用的所有规则序号;interface-name参数为接口的名称。

使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效。例如,现在要显示当前所使用序号为100的规则的使用情况,可执行Quidway#show access-list 100语句即可,随即系统即显示这条规则的使用情况,格式如下:

Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)

permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)

deny udp any any eq rip(no matches--rule 3)

5.show firewall

此命令须在特权用户模式下执行,它显示当前防火墙状态。命令格式非常简单,也为:show firewall。这里所说的防火墙状态,包括防火墙是否被启用,启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。

6.Telnet

这是用于定义能过防火配置控制端口进行远程登录的有关参数选项,也须在全局配置用户模式下进行配置。

命令格式为:telnet ip_address [netmask] [if_name]

其中的ip_address参数是用来指定用于Telnet登录的IP地址,netmask为子网掩码,if_name用于指定用于Telnet登录的接口,通常不用指定,则表示此IP地址适用于所有端口。如:

telnet 192.168.1.1

如果要清除防火墙上某个端口的Telnet参数配置,则须用clear telnet命令,其格式为:clear telnet [ip_address [netmask] [if_name]],其中各选项说明同上。它与另一个命令no telnet功能基本一样,不过它是用来删除某接口上的Telnet配置,命令格式为:no telnet [ip_address [netmask] [if_name]]。

如果要显示当前所有的Telnet配置,则可用show telnet命令。

最简单的防火墙配置,就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。为更好地实现网络安全,有时还要将几种防火墙技术组合起来构建防火墙系统。目前比较流行的有以下三种防火墙配置方案。

4.3双宿主机网关(Dual Homed Gateway)这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络,又称堡垒主机。堡垒主机上运行着防火墙软件(通常是代理服务器),可以转发应用程序,提供服务等。双宿主机网关有一个致命弱点,一旦入侵者侵入堡垒主机并使该主机只具有路由器功能,则任何网上用户均可以随便访问有保护的内部网络(如图1)。

三种流行防火墙配置方案分析(图一)

4.4屏蔽主机网关(Screened Host Gateway)

屏蔽主机网关易于实现,安全性好,应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络,同时

一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡,与内部网络连接(如图2)。通常在路由器上设立过滤规则,并使这个单宿堡垒主机成为从 Internet惟一可以访问的主机,确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机,可以受控制地通过屏蔽主机和路由器访问Internet.三种流行防火墙配置方案分析(图二)

双宿堡垒主机型与单宿堡垒主机型的区别是,堡垒主机有两块网卡,一块连接内部网络,一块连接包过滤路由器(如图3)。双宿堡垒主机在应用层提供代理服务,与单宿型相比更加安全。

三种流行防火墙配置方案分析(图三)

4.5屏蔽子网(Screened Subnet)

这种方法是在Intranet和Internet之间建立一个被隔离的子网,用两个包过滤路由器将这一子网分别与Intranet和 Internet 分开。两个包过滤路由器放在子网的两端,在子网内构成一个“缓冲地带”(如图4),两个路由器一个控制Intranet 数据流,另一个控制Internet数据流,Intranet和Internet均可访问屏蔽子网,但禁止它们穿过屏蔽

子网通信。可根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网络的互相访问提供代理服务,但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器,像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内,这样无论是外部用户,还是内部用户都可访问。这种结构的防火墙安全性能高,具有很强的抗攻击能力,但需要的设备多,造价高。

三种流行防火墙配置方案分析(图四)当然,防火墙本身也有其局限性,如不能防范绕过防火墙的入侵,像一般的防火墙不能防止受到病毒感染的软件或文件的传输;难以避免来自内部的攻击等等。总之,防火墙只是一种整体安全防范策略的一部分,仅有防火墙是不够的,安全策略还必须包括全面的安全准则,即网络访问、本地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全

总 结

经过两个月艰苦卓绝的努力,总于完成了本毕业设计.从当初领到题目到最后一个功能模块的完成,经历了无数次的错误->修改代码->重启服务器->运行的过程,感觉到平时学的知识是多么的浅薄,书到用时方恨少,现在是体验的真真切切.也充分反应了我平时的基本功不扎实,给我以后的工作敲响了警钟,有了努力的方向.但通过本次毕业设计,我也感受到了开源的方便,遇到什么问题,上网一查,就知道该怎么弄了,以前做个课程设计都是怕别人和我的一样,不愿意给别人看,现在知道了程序弄不出来是多么的着急,学习都是相互的,互相研究才能共同进步的.以后要多多注意这方面的事情, 本次毕业设计是我工作前一次很好的演练和实践的机会,是培养独立考问题和自学能力的锻炼,使我意识到必须努力学习才能才工作中体现自己的价值,适应社会的需要.致 谢

经过了三个月的努力,我完成了题目为:计算机网络安全及防火墙技术。

本次设计能够顺利完成,我首先要感谢一些发表书籍的老师们。其次,我要感谢我的指导老师,她自始自终都给予了我莫大的帮助,对的设计中每一个计划,每一项安排都提出了至关重要的建议,使我少走了许多弯路,节省了大量的时间,并且能不厌其烦地指导我技术上的问题,使我的系统更加完善和符合企业网站的要求.可以说,我的毕业设计的顺利完成凝聚着导师的大量心血.另外,我还要感谢那些网上的朋友,他们毫不吝啬的将自己所掌握的知识拿出来资源共享,才使我部分功能模块得以实现,谢谢他们.通过这次毕业设计,我体会很多,学会是一回事,会用则就是另一回事了.以前感到自己专业技能还可以,但真正到用的时候就发现了很多缺陷,发现自己其实差距很大,还不能适应工作.为我今后指明了努力方向.再一次,我向多方面支持和帮助过我的人表示由衷的感谢!

参考文献

[1]张宝剑.计算机安全与防护技术[M].机械工业出版社,2003.[2]林海波,网络安全与防火墙技术[M].北京清华大学出版社,2000.[3]凌雨欣,常红.网络安全技术与反网络入侵者[M].冶金工业出版社,2001.[4]王蓉,林海波.网络安全与防火墙技术[M].清华大学出版社,2000.[5]余建斌.黑客的攻击手段及用户对策[M].北京人民邮电出版社,2005.[6](美)布莱克赫兹.Microsoft,UNIX及0racle主机和网络安全[M].电子工业出版社,2004.[7] 马程.防火墙在网络安全中的应用[J].甘肃科技,2008

第三篇:计算机防火墙技术毕业论文

本文由yin528855贡献

doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。

计算机防火墙技术论文

毕 业 论 文

计算机防火墙技术

姓 学

名: 号:

指导老师: 系 专 班 名: 业: 级:

二零一零年十一月十五日 1 计算机防火墙技术论文

摘要

因特网的迅猛发展给人们的生活带来了极大的方便,但同时因特网也面临 着空前的威胁。因此,如何使用有效可行的方法使网络危险降到人们可接受的范 围之内越来越受到人们的关注。而如何实施防范策略,首先取决于当前系统的安 全性。所以对网络安全的各独立元素——防火墙、漏洞扫描、入侵检测和反病毒 等进行风险评估是很有必要的。防火墙技术作为时下比较成熟的一种网络安全技术,其安全性直接关系到用 户的切身利益。针对网络安全独立元素——防火墙技术,通过对防火墙日志文件 的分析,设计相应的数学模型和软件雏形,采用打分制的方法,判断系统的安全 等级,实现对目标网络的网络安全风险评估,为提高系统的安全性提供科学依据。对网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。这以要求我们与 Internet 互连所带来的安全性问题予以足够重视。计算机网络技术的飞速发展 使网络安全问题日益突出,而防火墙是应用最广泛的安全产品。本文阐述了网络 防火墙的工作原理并对传统防火墙的利弊进行了对比分析,最后结合计算机科学 其它领域的相关新技术,提出了新的防火墙技术,并展望了其发展前景。

关键词: 关键词 :包过滤 智能防火墙

应用层网关

分布式防火墙

监测型防火墙 嵌入式防火墙

网络安全,防火墙,防范策略,发展趋势 2 计算机防火墙技术论文

摘要„„ 1 第一章 引言 „„ 4 1.1 研究背景„„ 4 1.2 研究目的„„ 4 1.3 论文结构„„ 5 第二章 网络安全 „„ 6 2.1 网络安全问题„„ 6 2.1.1 网络安全面临的主要威胁 „„ 6 2.1.2 影响网络安全的因素 „„ 6 2.2 网络安全措施„„ 7 2.2.1 完善计算机安全立法 „„ 7 2.2.2 网络安全的关键技术 „„ 7 2.3 制定合理的网络管理措施„„ 8 第三章 防火墙概述 „„ 9 3.1 防火墙的概念„„ 9 3.1.1 传统防火墙介绍 „„ 9 3.1.2 智能防火墙简介 „„ 10 3.2 防火墙的功能„„ 11 3.2.1 防火墙的主要功能 „„ 11 3.2.2 入侵检测功能 „„ 11 3.2.3 虚拟专网功能 „„ 12 3.2.4 其他功能 „„ 12 3.3 防火墙的原理及分类„„ 13 3.3.1 包过滤防火墙 „„ 13 3.3.2 应用级代理防火墙 „„ 13 3.3.3 代理服务型防火墙 „„ 14 3.3.4 复合型防火墙 „„ 14 3.4 防火墙包过滤技术„„ 14 3.4.1 数据表结构 „„ 15 3.4.2 传统包过滤技术 „„ 16 3.4.3 动态包过滤 „„ 17 3.4.4 深度包检测 „„ 17 3.4.5 流过滤技术 „„ 18 第四章 防火墙的配置 „„ 20 4.1 硬件连接与实施„„ 20 4.2 防火墙的特色配置„„ 20 4.3 软件的配置与实施„„ 21 第五章 防火墙发展趋势 „„ 23 5.1 防火墙包过滤技术发展趋势„„ 23 5.2 防火墙的体系结构发展趋势„„ 24 5.3 防火墙的系统管理发展趋势„„ 24 结论„„ 25 参考文献„„ 26 致谢„„ 27 3 计算机防火墙技术论文

第一章

1.1 研究背景

引言

随着互联网的普及和发展,尤其是 Internet 的广泛使用,使计算机应用更 加广泛与深入。同时,我们不得不注意到,网络虽然功能强大,也有其脆弱易受 到攻击的一面。据美国 FBI 统计,美国每年因网络安全问题所造成的经济损失高 达 75 亿美元,而全求平均每 20 秒钟就发生一起 Internet 计算机侵入事件[1]。在我国,每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在 利用网络的优越性的同时,对网络安全问题也决不能忽视。如何建立比较安全的 网络体系,值得我们关注研究。

1.2 研究目的

为了解决互联网时代个人网络安全的问题,近年来新兴了防火墙技术[2]。防火墙具有很强的实用性和针对性,它为个人上网用户提供了完整的网络安全解 决方案,可以有效地控制个人电脑用户信息在互联网上的收发。用户可以根据自 己的需要,通过设定一些参数,从而达到控制本机与互联网之间的信息交流阻止 恶性信息对本机的攻击,比如 ICMPnood 攻击、聊天室炸弹、木马信息破译并修 改邮件密码等等。而且防火墙能够实时记录其它系统试图对本机系统的访问,使 计算机在连接到互联网的时候避免受到网络攻击和资料泄漏的安全威胁。防火墙 可以保护人们在网上浏览时免受黑客的攻击,实时防范网络黑客的侵袭,还可以 根据自己的需要创建防火墙规则,控制互联网到 PC 以及 PC 到互联网的所有连接,并屏蔽入侵企图。防火可以有效地阻截各种恶意攻击、保护信息的安全;信息泄 漏拦截保证安全地浏览网页、遏制邮件病毒的蔓延;邮件内容检测可以实时监视 邮件系统,阻挡一切针对硬盘的恶意活动。个人防火墙就是在单机 Windows 系统上,采取一些安全防护措施,使得本机 的息得到一定的保护。个人防火墙是面向单机操作系统的一种小型安全防护软 件,按一定的规则对 TCP,UDP,ICMP 和 IGMP 等报文进行过滤,对网络的信息流 和系统进程进行监控,防止一些恶意的攻击。目前市场上大多数的防火墙产品仅 仅是网关的,虽然它们的功能相当强大,但由于它们基于下述的假设:内部网是 安全可靠的,所有的威胁都来自网外。因此,他们防外不防内,难以实现对企业 内部局域网内主之间的安全通信,也不能很好的解决每一个拨号上网用户所在主 机的安全问题,而多数个人上网之时,并没有置身于得到防护的安全网络内部。个人上网用户多使用 Windows 操作系统,而 Windows 操作系统,特别是

计算机防火墙技术论文

WindowsXP 系统,本身的安全性就不高。各种 Windows 漏洞不断被公布,对主机 的攻击也越来越多。一般都是利用操作系统设计的安全漏洞和通信协议的安全漏 洞来实现攻击。如假冒 IP 包对通信双方进行欺骗:对主机大量发送正数据包[3] 进行轰炸攻击,使之际崩溃;以及蓝屏攻击等。因此,为了保护主机的安全通信,研制有效的个人防火墙技术很有必要。所谓的防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共 网)或网络安全域之间的一系列部件的组合[ 1 ]。它可通过监测、限制、更改跨 越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以 此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一 个分析器,有效地监控了内部网和 Internet 之间的任何活动, 保证了内部网络 的安全。一个高效可靠的防火墙必须具有以下典型的特性: 1 从里到外和从外到里的所有通信都必须通过防火墙; 2 只有本地安全策略授权的通信才允许通过; 3 防火墙本身是免疫的,不会被穿透的。防火墙的基本功能有:过滤进出网络的数据;管理进出网络的访问行为;封 堵某些禁止的业务; 记录通过防火墙的信息内容和活动;对网络攻击进行检测 和报警

1.3 论文结构

在论文中接下来的几章里,将会有下列安排: 第二章,分析研究网络安全问题,网络安全面临的主要威胁,影响网络安 全的因素,及保护网络安全的关键技术。第三章,介绍防火墙的相关技术,如防火墙的原理、功能、包过滤技术等。第四章,以 H3CH3C 的 F100 防火墙为例,介绍防火墙配置方法。第五章,系统阐述防火墙发展趋势。5 计算机防火墙技术论文

第二章 网络安全 2.1 网络安全问题

安全,通常是指只有被授权的人才能使用其相应资源的一种机制。我国对于 计算机安全的定义是:“计算机系统的硬件、软件、数据受到保护,不因偶然的 或恶意的原因而遭到破坏、更改、显露,系统能连续正常运行。” 从技术讲,计算机安全分为 3 种: 1)实体的安全。它保证硬件和软件本身的安全。2)运行环境的安全性。它保证计算机能在良好的环境里持续工作。3)信息的安全性。它保障信息不会被非法阅读、修改和泄漏。随着网络的发展,计算机的安全问题也延伸到了计算机网络。2.1.1 网络安全面临的主要威胁 一般认为,计算机网络系统的安全威胁主要来自计算机病毒、黑客的攻击和 拒绝服务攻击三个方面。1)计算机病毒的侵袭。当前,活性病毒达 14000 多种,计算机病毒侵入 网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪。2)黑客侵袭。即黑客非法进入网络非法使用网络资源。例如通过隐蔽通 道进行非法活动;采用匿名用户访问进行攻击;通过网络监听获取网上用户账号 和密码;非法获取网上传输的数据;突破防火墙等。3)拒绝服务攻击。例如“点在邮件炸弹”,它的表现形式是用户在很短 的时间内收到大量无用的电子邮件,从而影响正常业务的运行。严重时会使系统 关机,网络瘫痪。具体讲,网络系统面临的安全威胁主要有如下表现:身份窃取、非授权访 问、数据窃取、拒绝服务、病毒与恶意攻击、冒充合法用户„„等。2.1.2 影响网络安全的因素 1)单机安全 购买单机时,型号的选择;计算机的运行环境(电压、湿度、防尘条件、强电磁场以及自然灾害等);计算机的操作„„等等,这些都是影响单机安全性 的因素。2)网络安全 影响网络安全的因素有:节点的安全、数据的安全(保存和传输方面)、文件的安全等。6 计算机防火墙技术论文 2.2 网络安全措施

网络信息安全涉及方方面面的问题,是一个复杂的系统。一个完整的网络

信息安全体系至少应包括三类措施:一是法律政策、规章制度以及安全教育等外 部软环境。二是技术方面,如信息加密存储传输、身份认证、防火墙技术、网络 防毒等。三是管理措施,包括技术与社会措施。主要措施有:提供实时改变安全 策略的能力、实时监控企业安全状态、对现有的安全系统实施漏洞检查等,以防 患于未然。这三者缺一不可,其中,法律政策是安全的基石,技术是安全的保障,管理和审计是安全的防线。2.2.1 完善计算机安全立法 我国先后出台的有关网络安全管理的规定和条例。但目前,在这方面的立 法还远不能适应形势发展的需要,应该在对控制计算机犯罪的国内外立法评价的 基础上,完善我国计算机犯罪立法,以便为确保我国计算机信息网络健康有序的 发展提供强有力的保障。2.2.2 网络安全的关键技术(1)数据加密 加密就是把明文变成密文,从而使未被授权的人看不懂它。有两种主要的 加密类型:私匙加密和公匙加密。(2)认证 对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用 认证机制还可以防止合法用户访问他们无权查看的信息。(3)防火墙技术 防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防 止外部网络用户未经授权的访问。目前,防火墙采取的技术,主要是包过滤、应 用网关、子网屏蔽等。但是,防火墙技术在网络安全防护方面也存在一些不足: 防火墙不能防止内部攻击防火墙不能取代杀毒软件; 防火墙不易防止反弹端口木 马攻击等。(4)检测系统 入侵检测技术是网络安全研究的一个热点,是一种积极主动的安全防护技 术,提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之 前拦截相应入侵。随着时代的发展,入侵检测技术将朝着三个方向发展:分布式入侵检测、智 能化入侵检测和全面的安全防御方案。7 计算机防火墙技术论文

(5)防病毒技术 随着计算机技术的发展,计算机病毒变得越来越复杂和高级,计算机病毒 防范不仅仅是一个产品、一个策略或一个制度,它是一个汇集了硬件、软件、网 络、以及它们之间相互关系和接口的综合系统。(6)文件系统安全 在网络操作系统中,权限是一个关键性的概念,因为访问控制实现在两个 方面:本地和远程。建立文件权限的时候,必须在 Windows 2000 中首先实行新 技术文件系统(New Technology File System,NTFS)。一旦实现了 NTFS,你 可以使用 Windows 资源管理器在文件和文件夹上设置用户级别的权限。你需要了 解可以分配什么样的权限,还有日常活动期间一些规则是处理权限的。Windows 2000 操作系统允许建立复杂的文件和文件夹权限,你可以完成必要的访问控制。2.3 制定合理的网络管理措施

(1)加强网络用户及有关人员的安全意识、职业道德和事业心、责任心的

培养教育以及相关技术培训。(2)建立完善的安全管理体制和制度,以起到对管理人员和操作人员鼓励 和监督的作用。(3)管理措施要标准化、规范化和科学化。8 计算机防火墙技术论文

第三章

防火墙概述

随着 Internet 的迅速发展,网络应用涉及到越来越多的领域,网络中各类 重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题,使得网 络安全问题越来越突出。因此,保护网络资源不被非授权访问,阻止病毒的传播 感染显得尤为重要。就目前而言,对于局部网络的保护,防火墙仍然不失为一种 有效的手段,防火墙技术主要分为包过滤和应用代理两类。其中包过滤作为最早 发展起来的一种技术,其应用非常广泛。3.1 防火墙的概念

防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可 预测的、潜在破坏性的侵入。防火墙是指设置在不同网络(如可信任的企业内部 网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或 网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服 务,实现网络和信息安全的基础设施。防火墙提供信息安全服务,是实现网络和 信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个 分析器,它有效地监控了内部网络和互联网之间的任何活动,保证了内部网络的 安全。3.1.1 传统防火墙介绍 目前的防火墙技术无论从技术上还是从产品发展历程上,都经历了五个发 展历程。图 1 表示了防火墙技术的简单发展历史。

图1 第一代防火墙 第 一 代 防 火 墙 技 术 几 乎 与 路 由 器 同 时 出 现,采 用 了 包 过 滤(Packet filter)技术。二代、第三代防火墙 第二代、第三代防火墙 1989 年,贝尔实验室的 Dave Presotto 和 Howard Trickey 推 9 计算机防火墙技术论文

出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙—— 应用层防火墙(代理防火墙)的初步结构。

第四代防火墙 1992 年,USC 信息科学院的 BobBraden 开发出了基于动态包过滤(Dynamic packet filter)技 术 的 第 四 代 防 火 墙,后 来 演 变 为 目 前 所 说 的 状 态 监 视(Stateful inspection)技术。1994 年,以色列的 CheckPoint 公司开发出了 第一个采用这种技术的商业化的产品。第五代防火墙 1998 年,NAI 公司推出了一种自适应代理(Adaptive proxy)技术,并在 其产品 Gauntlet Firewall for NT 中得以实现,给代理类型的防火墙赋予了全 新的意义,可以称之为第五代防火墙。[5] [5] 但传统的防火墙并没有解决目前网络中主要的安全问题。目前网络安全的 三大主要问题是:以拒绝访问(DDOS)为主要代表的网络攻击,以蠕虫(Worm)为主 要代表的病毒传播和以垃圾电子邮件(SPAM)为代表的内容控制。这三大安全问题 占据网络安全问题九成以上。而这三大问题,传统防火墙都无能为力。主要有以 下三个原因: 一是传统防火墙的计算能力的限制。传统的防火墙是以高强度的检查为代 价,检查的强度越高,计算的代价越大。二是传统防火墙的访问控制机制是一个 简单的过滤机制。它是一个简单的条件过滤器,不具有智能功能,无法检测复杂 的攻击。三是传统的防火墙无法区分识别善意和恶意的行为。该特征决定了传统 的防火墙无法解决恶意的攻击行为。现在防火墙正在向分布、智能的方向发展,其中智能防火墙可以很好的解 决上面的问题。3.1.2 智能防火墙简介 智能防火墙[6]是相对传统的防火墙而言的,从技术特征上智能防火墙是利 用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目 的。新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特 征值,直接进行访问控制。由于这些方法多是人工智能学科采用的方法,因此,又称为智能防火墙。10 计算机防火墙技术论文 3.2 防火墙的功能

3.2.1 防火墙的主要功能 1.包过滤。包过滤是一种网络的数据安全保护机制,它可用来控制流出和流入网络的数 据,它通常由定义的各条数据安全规则所组成,防火墙设置可基于源地址、源端 口、目的地址、目的端口、协议和时间;可根据地址簿进行设置规则。2.地址转换。网络地址变换是将内部网络或外部网络的 IP 地址转换,可分为源地址转换 Source NAT(SNAT)和目的地址转换 Destination NAT(DNAT)。SNAT 用于对内部网 络地址进行转换,对外部网络隐藏起内部网络的结构,避免受到来自外部其他网 络的非授权访问或恶意攻击。并将有限的 IP 地址动态或静态的与内部 IP 地址对 应起来,用来缓解地址空间的短缺问题,节省资源,降低成本。DNAT 主要用于 外网主机访问内网主机。3.认证和应用代理。认证指防火墙对访问网络者合法身分的确定。代理指防火墙内置用户认证数 据库;提供 HTTP、FTP 和 SMTP 代理功能,并可对这三种协议进行访问控制;同时 支持 URL 过滤功能。4.透明和路由 指防火墙将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提 供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问者对专用网 络的非法访问;防火墙还支持路由方式,提供静态路由功能,支持内部多个子网 之间的安全访问。3.2.2 入侵检测功能 入侵检测技术[7]就是一种主动保护自己免受黑客攻击的一种网络安全技 术,包括以下内容: 1.反端口扫描。端口扫描就是指黑客通过远程端口扫描的工具,从中发现主 机的哪些非常用端口是打开的;是否支持 FTP、服务;且 FTP 服务是否支持 Web “匿 名”,以及 IIS 版本,是否有可以被成功攻破的 IIS 漏洞,进而对内部网络的主 机进行攻击。顾名思义反端口扫描就是防范端口扫描的方法,目前常用的方法有: 关闭闲置和有潜在危险的端口;检查各端口,有端口扫描的症状时,立即屏蔽该 端口,多数防火墙设备采用的都是这种反端口扫描方式。2.检测拒绝服务攻击。拒绝服务(DoS)攻击就是利用合理的服务请求来占用 过多的服务资源,从而使合法用户无法得到服务的响应,其攻击方式有很多种;11 计算机防火墙技术论文

而分布式的拒绝服务攻击(DDoS)攻击手段则是在传统的 DoS 攻击基础之上产生 的一类攻击方式,分布式的拒绝服务攻击(DDoS)。其原理很简单,就是利用更多 的受控主机同时发起进攻,以比 DoS 更大的规模(或者说以更高于受攻主机处理 能力的进攻能力)来进攻受害者。现在的防火墙设备通常都可检测 Synflod、Land、Ping of Death、TearDrop、ICMP flood 和 UDPflod 等多种 DOS/DDOS 攻 击。3.检 测 多 种 缓 冲 区 溢 出 攻 击(Buffer Overflow)。缓 冲 区 溢 出(Buffer Overflow)攻击指利用软件的弱点将任意数据添加进某个程序中,造成缓冲区的 溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。更 为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各 种非法操作,防火墙设备可检测对 FTP、Telnet、SSH、RPC 和 SMTP 等服务的远 程堆栈溢出入侵。4.检测 CGI/IIS 服务器入侵。CGI 就是 Common Gateway Inter——face 的 简称。是 World Wide Web 主机和 CGI 程序间传输资讯的定义。IIS 就是 Internet Information server 的简称,也就是微软的 Internet 信息服务器。防火墙设备 可检测包括针对 Unicode、ASP 源码泄漏、PHF、NPH、pfdisPlay.cgi 等已知上 百种的有安全隐患的 CGI/IIS 进行的探测和攻击方式。5.检测后门、木马及其网络蠕虫。后门程序是指采用某种方法定义出一个 特殊的端口并依靠某种程序在机器启动之前自动加载到内存,强行控制机器打开 那个特殊的端口的程序。木马程序的全称是 “特洛依木马” 它们是指寻找后门、,窃取计算机的密码的一类程序。网络蠕虫病毒分为 2 类,一种是面向企业用户和 局域网而一言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网造成 瘫痪性的后果,以“红色代码”,“尼姆达”,以及最新的“sql 蠕虫王”为代 表。另外一种是针对个人用户的,通过网络(主要是电子邮件,恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒,求职信病毒为例。防火墙设备可检测试图穿 透防火墙系统的木马控制端和客户端程序;检测试图穿透防火墙系统的蠕虫程 序。3.2.3 虚拟专网功能 指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络 中传播。VPN 的基本原理是通过 IP 包的封装及加密、认证等手段,从而达到安 全的目的。3.2.4 其他功能 1.IP 地址/MAC 地址绑定。可支持任一网络接口的 IP 地址和 MAC 地址的绑 12 计算机防火墙技术论文

定,从而禁止用户随意修改 IP 地址。2.审计。要求对使用身份标识和认证的机制,文件的创建,修改,系统管 理的所有操作以及其他有关安全事件进行记录,以便系统管理员进行安全跟踪。一般防火墙设备可以提供三种日志审计功能:系统管理日志、流量日志和入侵日 志。3.特殊站点封禁。内置特殊站点数据库,用户可选择是否封禁色情、反动 和暴力等特殊站点。3.3 防火墙的原理及分类

国际计算机安全委员会 ICSA 将防火墙分成三大类:包过滤防火墙,应用级代

理服务器[8]以及状态包检测防火墙。3.3.1 包过滤防火墙 顾名思义,包过滤防火墙[9]就是把接收到的每个数据包同预先设定的包过 滤规则相比较,从而决定是否阻塞或通过。过滤规则是基于网络层 IP 包包头信 息的比较。包过滤防火墙工作在网络层,IP 包的包头中包含源、目的 IP 地址,封装协议类型(TCP,UDP,ICMP 或 IP Tunnel),TCP/UDP 端口号,ICMP 消息类型,TCP 包头中的 ACK 等等。如果接收的数据包与允许转发的规则相匹配,则数据包 按正常情况处理;如果与拒绝转发的规则相匹配,则防火墙丢弃数据包;如果没有 匹配规则,则按缺省情况处理。包过滤防火墙是速度最快的防火墙,这是因为它 处于网络层,并且只是粗略的检查连接的正确性,所以在一般的传统路由器上就 可以实现,对用户来说都是透明的。但是它的安全程度较低,很容易暴露内部网 络,使之遭受攻击。例如,HTTP。通常是使用 80 端口。如果公司的安全策略允 许内部员工访问网站,包过滤防火墙可能设置允所有 80 端口的连接通过,这时,意识到这一漏洞的外部人员可以在没有被认证的情况下进入私有网络。包过滤防 火墙的维护比较困难,定义过滤规则也比较复杂,因为任何一条过滤规则的不完 善都会给网络黑客造成可乘之机。同时,包过滤防火墙一般无法提供完善的日志。3.3.2 应用级代理防火墙 应用级代理技术通过在 OSI 的最高层检查每一个 IP 包,从而实现安全策略。代理技术与包过滤技术完全不同,包过滤技术在网络层控制所有的信息流,而代 理技术一直处理到应用层,在应用层实现防火墙功能。它的代理功能,就是在防 火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。这一内建代理 13 计算机防火墙技术论文

机制提供额外的安全,这是因为它将内部和外部网络隔离开来,使网络外部的黑 客在防火墙内部网络上进行探测变得困难,更重要的是能够让网络管理员对网络 服务进行全面的控制。但是,这将花费更多的处理时间,并且由于代理防火墙支 持的应用有限,每一种应用都需要安装和配置不同的应用代理程序。比如访问 WEB 站点的 HTTP,用于文件传输的 FTP,用于 E 一 MAIL 的 SMTP/POP3 等等。如 果某种应用没有安装代理程序,那么该项服务就不被支持并且不能通过防火墙进 行转发;同时升级一种应用时,相应的代理程序也必须同时升级。3.3.3 代理服务型防火墙 代理服务(Proxy Service)也称链路级网关或 TCP 通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包 过滤[10]和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越 防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代 理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对 过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网 络管理员发出警报,并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔 离点,起着监视和隔绝应用层通信流的作用。同时 也常结合入过滤器的功能。它工作在 OSI 模型的最高层,掌握着应用系统中可用 作安全决策的全部信息。3.3.4 复合型防火墙 由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法 结合起来,形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主机防 火墙体系结构,在该结构中,分组过滤路由器或防火墙与 Internet 相连,同时 一个堡垒机安装在内部网络,通过在分组过滤器路由器或防火墙上过滤规则的设 置,使堡垒机成为 Internet 上其他节点所能到达的唯一节点,这确保了内部网 络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构:堡垒机放在一个子网 内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与 Internet 及内部网络分离。在屏蔽子网防火墙体系结构中,堡垒机和分组过滤 路由器共同构成了整个防火墙的安全基础。

3.4 防火墙包过滤技术

随着 Internet 的迅速发展,网络应用涉及到越来越多的领域,网络中各类 14 计算机防火墙技术论文

重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题,使得网 络安全问题越来越突出。因此,保护网络资源不被非授权访问,阻止病毒的传播 感染显得尤为重要。就目前而言,对于局部网络的保护,防火墙仍然不失为一种 有效的手段,防火墙技术主要分为包过滤和应用代理两类。其中包过滤作为最早 发展起来的一种技术,其应用非常广泛。所谓包过滤,就是对流经网络防火墙的所有数据包逐个检查,并依据所制定 的安全策略来决定数据包是通过还是不通过。包过滤最主要的优点在于其速度与 透明性。也正是由于此。包过滤技术历经发展演变而未被淘汰。由于其主要是对数据包的过滤操作,所以数据包结构是包过滤技术的基础。考虑包过滤技术的发展过程,可以认为包过滤的核心问题就是如何充分利用数据 包中各个字段的信息,并结合安全策略来完成防火墙的功能[11]-[15] 3.4.1 数据表结构 当应用程序用 TCP 传送数据时,数据被送入协议栈中,然后逐个通过每一层 直到被当作一串比特流送入网络。其中每一层对接收到的数据都要增加一些首部 信息。TCP 传给 IP 的数据单元称作 TCP 报文段(TCP Segment);IP 传给网络接口 层的数据单元称作 IP 数据报(IP Datagram);通过以太网传输的比特流称作帧(Frame)。对于进防火墙的数据包,顺序正好与此相反,头部信息逐层剥掉。IP,TCP 首部格式如表 2-1 表 2-2 所示。表 2-1 IP 首部格式 版本 首部长 服务类型 标识 生存时间 协议 源 IP 地址 目的 IP 地址 选项 标志 首部校验和

总 长 度 片偏移

表 2-2 TCP 首部格式 源端口号 目的端口号 序列号 15 计算机防火墙技术论文

确认号 首 保 L 部 留 R 长 C T B L P R C B C J H T H TCP 校验和 H J R 窗口大小

紧急指针 选项

对于帧的头部信息主要是源/目的主机的 MAC 地址;IP 数据报头部信息主要 是源/目的主机的 IP 地址;TCP 头部的主要字段包括源/目的端口、发送及确认序 号、状态标识等。理论上讲,数据包所有头部信息以及有效载荷都可以作为判断包通过与否的 依据,但是在实际情况中,包过滤技术上的问题主要是选取哪些字段信息,以及 如何有效地利用这些字段信息并结合访问控制列表来执行包过滤操作,并尽可能 提高安全控制力度。3.4.2 传统包过滤技术 传统包过滤技术,大多是在 IP 层实现,它只是简单的对当前正在通过的单 一数据包进行检测,查看源/目的 IP 地址、端口号以及协议类型(UDP/TCP)等,结合访问控制规则对数据包实施有选择的通过。这种技术实现简单,处理速度快,对应用透明,但是它存在的问题也很多,主要表现有: 1.所有可能会用到的端口都必须静态放开。若允许建立 HTTP 连接,就需 要开放 1024 以上所有端口,这无疑增加了被攻击的可能性。2.不能对数据传输状态进行判断。如接收到一个 ACK 数据包,就认为这是 一个己建立的连接,这就导致许多安全隐患,一些恶意扫描和拒绝服务攻击就是 利用了这个缺陷。3.无法过滤审核数据包上层的内容。即使通过防火墙的数据包有攻击性或 包含病毒代码,也无法进行控制和阻断。综合上述问题,传统包过滤技术的缺陷在于:(l)缺乏状态检测能力;(2)缺 乏应用防御能力。(3)只对当前正在通过的单一数据包进行检测,而没有考虑前 后数据包之间的联系;(4)只检查包头信息,而没有深入检测数据包的有效载荷。传统包过滤技术必须发展进化,在继承其优点的前提下,采用新的技术手 段,克服其缺陷,并进一步满足新的安全应用要求。从数据包结构出发考虑,目 前包过滤技术向两个方向发展:(l)横向联系。即在包检测中考虑前后数据包之间 的关系,充分利用包头信息中能体现此关系的字段,如 IP 首部的标识字段和片 16 计算机防火墙技术论文

偏移字段、TCP 首部的发送及确认序号、滑动窗口的大小、状态标识等,动态执 行数据包过滤。(2)纵向发展。深入检测数据包有效载荷,识别并阻止病毒代码 和基于高层协议的攻击,以此来提高应用防御能力。这两种技术的发展并不是独 立的,动态包过滤可以说是基于内容检测技术的基础。实际上,在深度包检测技 术中己经体现了两种技术的融合趋势。3.4.3 动态包过滤 动态包过滤[16]又称为基于状态的数据包过滤,是在传统包过滤技术基础 之上发展起来的一项过滤技术,最早由 Checkpoint 提出。与传统包过滤技术只检查单个、孤立的数据包不同,动态包过滤试图将数 据包的上下文联系起来,建立一种基于状态的包过滤机制。对于新建的应用连接,防火墙检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下 该连接的相关信息,这些相关信息构成一个状态表。这样,当一个新的数据包到 达,如果属于已经建立的连接,则检查状态表,参考数据流上下文决定当前数据 包通过与否;如果是新建连接,则检查静态规则表。动态包过滤通过在内存中动态地建立和维护一个状态表,数据包到达时,对该数据包的处理方式将综合静态安全规则和数据包所处的状态进行。这种方法 的好处在于由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使性能得到了较 大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通 1024 号以 上的端口,使安全性得到进一步地提高。动态包过滤技术克服了传统包过滤仅仅孤立的检查单个数据包和安全规则 静态不可变的缺陷,使得防火墙的安全控制力度更为细致。3.4.4 深度包检测 目前许多造成大规模损害的网络攻击,比如红色代码和尼姆达,都是利用 了应用的弱点。利用高层协议的攻击和网络病毒的频繁出现,对防火墙提出了新 的要求。防火墙必须深入检查数据包的内部来确认出恶意行为并阻止它们。深度包检测(Deep Packet Inspection)就是针对这种需求,深入检测数据 包有效载荷,执行基于应用层的内容过滤,以此提高系统应用防御能力。应用防御的技术问题主要包括:(l)需要对有效载荷知道得更清楚;(2)也需 要高速检查它的能力。简单的数据包内容过滤对当前正在通过的单一数据包的有效载荷进行扫描 检测,但是对于应用防御的要求而言,这是远远不够的。如一段攻击代码被分割 到 10 个数据包中传输,那么这种简单的对单一数据包的内容检测根本无法对攻 17 计算机防火墙技术论文

击特征进行匹配: 要清楚地知道有效载荷,必须采取有效方法,将单个数据包重 新组合成完整的数据流。应用层的内容过滤要求大量的计算资源,很多情况下高 达 100 倍甚至更高。因而要执行深度包检测,带来的问题必然是性能的下降,这 就是所谓的内容处理障碍。为了突破内容处理障碍,达到实时地分析网络内容和 行为,需要重点在加速上采取有效的办法。通过采用硬件芯片和更加优化的算法,可以解决这个问题。一个深度包检测的流程框图如图 3.1 所示。

图 3.1 深度包检测框图 在接收到网络流量后,将需要进行内容扫描的数据流定向到 TCP/IP 堆栈,其他数据流直接定向到状态检测引擎,按基本检测方式进行处理。定向到 TCP/IP 堆栈的数据流,首先转换成内容数据流。服务分析器根据数据流服务类型分离内 容数据流,传送数据流到一个命令解析器中。命令解析器定制和分析每一个内容 协议,分析内容数据流,检测病毒和蠕虫。如果检测到信息流是一个 HTTP 数据 流,则命令解析器检查上载和下载的文件;如果数据是 Mail 类型,则检查邮件的 附件。如果数据流包含附件或上载/下载文件,附件和文件将传输到病毒扫描引 擎,所有其他内容传输到内容过滤引擎。如果内容过滤启动,数据流将根据过滤 的设置进行匹配,通过或拒绝数据。3.4.5 流过滤技术 流过滤是东软集团提出的一种新型防火墙技术架构,它融基于状态的包过 滤技术与基于内容的深度包检测技术为一体,提供了一个较好的应用防御解决方 案,它以状态监测技术为基础,但在此基础上进行了改进其基本的原理是:以状 态包过滤的形态实现应用层的保护能力:通过内嵌的专门实现的 TCP/IP 协议栈,实现了透明的应用信息过滤机制。18 计算机防火墙技术论文

流过滤技术[17]的关键在于其架构中的专用 TCP/IP 协议栈:这个协议栈是 一个标准的 TCP 协议的实现,依据 TCP 协议的定义对出入防火墙的数据包进行了,完整的重组,重组后的数据流交给应用层过滤逻辑进行过滤,从而可以有效地识 别并拦截应用层的攻击企图。在这种机制下,从防火墙外部看,仍然是包过滤的形态,工作在链路层或 IP 层,在规则允许下,两端可以直接访问,但是任何一个被规则允许的访问在 防火墙内部都存在两个完全独立的 TCP 会话,数据以“流”的方式从一个会话流 向另一个会话。由于防火墙的应用层策略位于流的中间,因此可以在任何时候代 替服务器或客户端参与应用层的会话,从而起到了与应用代理防火墙相同的控制 能力。如在对 SMTP 协议的处理中,系统可以在透明网桥的模式下实现完全的对 邮件的存储转发,并实现丰富的对 SMTP 协议的各种攻击的防范功能一流过滤的 示意图如图 3.2 所示。

图 3.2 流过滤示意图 19 计算机防火墙技术论文

第四章

4.1 硬件连接与实施

防火墙的配置

一般来说硬件防火墙和路由交换设备一样具备多个以太接口,速度根据档次 与价格不同而在百兆与千兆之间有所区别。(如图 4.1)图 4.1 对于中小企业来说一般出口带宽都在 100M 以内,所以我们选择 100M 相关产 品即可。网络拓扑图中防火墙的位置很关键,一般介于内网与外网互连中间区域,针对外网访问数据进行过滤和监控。如果防火墙上有 WAN 接口,那么直接将 WAN 接口连接外网即可,如果所有接 口都标记为 LAN 接口,那么按照常规标准选择最后一个 LAN 接口作为外网连接端 口。相应的其他 LAN 接口连接内网各个网络设备。4.2 防火墙的特色配置

从外观上看防火墙和传统的路由器交换机没有太大的差别,一部分防火墙

具备 CONSOLE 接口通过超级终端的方式初始化配置,而另外一部分则直接通过默 认的 LAN 接口和管理地址访问进行配置。与路由器交换机不同的是在防火墙配置中我们需要划分多个不同权限不同 优先级别的区域,另外还需要针对相应接口隶属的区域进行配置,例如 1 接口划 分到 A 区域,2 接口划分到 B 区域等等,通过不同区域的访问权限差别来实现防 火墙保护功能。默认情况下防火墙会自动建立 trust 信任区,untrust 非信任区,DMZ 堡垒主机区以及 LOCAL 本地区域。相应的本地区域优先级最高,其次是 trust 信任区,DMZ 堡垒主机区,最低的是 untrust 非信任区域。20 计算机防火墙技术论文 在实际设置时我们必须将端口划分到某区域后才能对其进行各个访问操 作,否则默认将阻止对该接口的任何数据通讯。除此之外防火墙的其他相关配置与路由交换设备差不多,无外乎通过超级 终端下的命令行参数进行配置或者通过 WEB 管理界面配置。4.3 软件的配置与实施

以 H3C 的 F100 防火墙为例,当企业外网 IP 地址固定并通过光纤连接的具体

配置。首先当企业外网出口指定 IP 时配置防火墙参数。选择接口四连接外网,接 口 一 连 接 内 网。这 里 假 设 电 信 提 供 的 外 网 IP 地 址 为 202.10.1.194 255.255.255.0。第一步:通过 CONSOLE 接口以及本机的超级终端连接 F100 防火墙,执行 system 命令进入配置模式。第二步:通过 firewall packet default permit 设置默认的防火墙策略为 “容许通过”。第三步:进入接口四设置其 IP 地址为 202.10.1.194,命令为 int e0/4 ip add 202.10.1.194 255.255.255.0 第四步:进入接口一设置其 IP 地址为内网地址,例如 192.168.1.1 255.255.255.0,命令为 int e0/1 ip add 192.168.1.1 255.255.255.0 第五步: 将两个接口加入到不同的区域,外网接口配置到非信任区 untrust,内网接口加入到信任区 trust—— fire zone untrust add int e0/4 fire zone trust add int e0/1 第六步:由于防火墙运行基本是通过 NAT 来实现,各个保护工作也是基于此 功能实现的,所以还需要针对防火墙的 NAT 信息进行设置,首先添加一个访问控 制列表—— acl num 2000 21 计算机防火墙技术论文

rule per source 192.168.0.0 0.0.255.255 rule deny 第七步:接下来将这个访问控制列表应用到外网接口通过启用 NAT—— int e0/4 nat outbound 2000 第八步:最后添加路由信息,设置缺省路由或者静态路由指向外网接口或 外网电信下一跳地址—— ip route-static 0.0.0.0 0.0.0.0 202.10.1.193(如图 2)执行 save 命令保存退出后就可以在企业外网出口指定 IP 时实现防火墙数据转发 以及安全保护功能了。22 计算机防火墙技术论文

第五章

防火墙发展趋势

针对传统防火墙不能解决的问题,及新的网络攻击的出现,防火墙技术也 出现了新的发展趋势。主要可以从包过滤技术、防火墙体系结构和防火墙系统管 理三方面来体现。5.1 防火墙包过滤技术发展趋势

(1)安全策略功能 一些防火墙厂商把在 AAA 系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常 必要。具有用户身份验证的防火墙通常是采用应用级网关技术的,包过滤技术的 防火墙不具有。用户身份验证功能越强,它的安全级别越高,但它给网络通信带 来的负面影响也越大,因为用户身份验证需要时间,特别是加密型的用户身份验 证。(2)多级过滤技术 所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。在分 组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的 IP 源地址;在传输层 一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如 nuke 包、圣诞树包等;在应用网关(应用层)一级,能利用 FTP、SMTP 等各种网关,控 制和监测 Internet 提供的所用通用服务。这是针对以上各种已有防火墙技术的 不足而产生的一种综合型过滤技术,它可以弥补以上各种单独过滤技术的不足。这种过滤技术在分层上非常清楚,每种过滤技术对应于不同的网络层,从这 个概念出发,又有很多内容可以扩展,为将来的防火墙技术发展打下基础。(3)功能扩展 功能扩展是指一种集成多种功能的设计趋势,包括 VPN、AAA、PKI、IPSec 等附加功能,甚至防病毒、入侵检测这样的主流功能,都被集成到防火墙产品中 了,很多时候我们已经无法分辨这样的产品到底是以防火墙为主,还是以某个功 能为主了,即其已经逐渐向我们普遍称之为 IPS(入侵防御系统)的产品转化了。23 计算机防火墙技术论文

有些防火墙集成了防病毒功能,通常被称之为“病毒防火墙”,当然目前主要还 是在个人防火墙中体现,因为它是纯软件形式,更容易实现。这种防火墙技术可 以有效地防止病毒在网络中的传播,比等待攻击的发生更加积极。拥有病毒防护 功能的防火墙可以大大减少公司的损失。5.2 防火墙的体系结构发展趋势

随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要

能够以非常高的速率处理数据。另外,在以后几年里,多媒体应用将会越来越普 遍,它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要,一些防 火墙制造商开发了基于 ASIC 的防火墙和基于网络处理器的防火墙。从执行速度 的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大 程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面 任务的引擎,从而减轻了 CPU 的负担,该类防火墙的性能要比传统防火墙的性能 好许多。与基于 ASIC 的纯硬件防火墙相比,基于网络处理器的防火墙具有软件色彩,因而更加具有灵活性。基于 ASIC 的防火墙使用专门的硬件处理网络数据流,比 起前两种类型的防火墙具有更好的性能。但是纯硬件的 ASIC 防火墙缺乏可编程 性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展。理想的解决方 案是增加 ASIC 芯片的可编程性,使其与软件更好地配合。这样的防火墙就可以 同时满足来自灵活性和运行性能的要求。5.3 防火墙的系统管理发展趋势

(1)集中式管理,分布式和分层的安全结构。(2)强大的审计功能和自动日志分析功能。(3)网络安全产品的系统化 纵观防火墙技术的发展,黑客入侵系统技术的不断进步以及网络病毒朝智

能化和多样化发展,对防火墙技术的同步发展提出了更高的要求。防火墙技术只 有不断向主动型和智能型等方向发展,才能更好的满足人们对防火墙技术日益增 长的需求。24 计算机防火墙技术论文

结论

随着 Internet 和 Intranet 技术的发展,网络的安全已经显得越来越重要, 网络病毒对企业造成的危害已经相当广泛和严重, 其中也会涉及到是否构成犯 罪行为的问题,相应的病毒防范技术也发展到了网络层面,并且愈来愈有与黑客 技术和漏洞相结合的趋势。新型防火墙技术产生,就是为了解决来自企业网络内 和外的攻击;克服传统“边界防火墙”的缺点,集成了 IDS、VPN 和防病毒等安 全技术,实现从网络到服务器以及客户端全方位的安全解决方案,满足企业实际 应用和发展的安全要求。防火墙目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中 的服务,数据以及系统免受侵扰和破坏。本论文从防火墙方面解决网络安全问题,对网络安全技术的有深刻的了解。25 计算机防火墙技术论文

参考文献

[1] 王艳.浅析计算机安全[J].电脑知识与技术.2010,(s):1054 一 1055.[2] 艾军.防火墙体系结构及功能分析[J].电脑知识与技术.2004,(s):79 一 82.[3] 高峰.许南山.防火墙包过滤规则问题的研究[M].计算机应用.2003,23(6):311 一 312.[4] 孟涛、杨磊.防火墙和安全审计[M].计算机安全.2004,(4):17 一 18.[5] 郑林.防火墙原理入门[Z].E 企业.2000.[6] 魏利华.防火墙技术及其性能研究.能源研究与信息.2004,20(l):57 一 62 [7] 李剑,刘美华,曹元大.分布式防火墙系统.安全与环境学报.2002,2(l):59 一 61 [8] 王卫平,陈文惠,朱卫未.防火墙技术分析.信息安全与通信保密.2006,(8):24 一 27 [9] A.Feldman, S.Muthukrishnan.Tradeoffs for Packet ClassifiCation.Proc.Of the 9 th Annual Joint Conference of the IEEE Computer and Communieations Soeieties.2000,vo1.3, 1193-1202.[10] ]王永纲,石江涛,戴雪龙,颜天信.网络包分类算法仿真测试与比较研究.中国科学技 术大学学报.2004,34(4):400 一 409 [11] 邵华钢,杨明福.基于空间分解技术的多维数据包分类.计算机工程.2003,29(12):123 一 124 [12] 付歌,杨明福.一个快速的二维数据包分类算法.计算机工程.2004,30(6):76 一 78 [13] 付 歌,杨 明 福,王 兴 军.基 于 空 间 分 解 的 数 据 包 分 类 技 术.计 算 机 工 程 与 应 用.2004(8):63 一 65 [14] 〕韩晓非,王学光,杨明福.位并行数据包分类算法研究.华东理工大学学报.2003,29(5):504 一 508 [15] 韩晓非,杨明福,王学光.基于元组空间的位并行包分类算法.计算机工程与应用.2003,(29):188 一 192 [16] 冯东雷,张勇,白英彩.一种高性能包分类渐增式更新算法.计算机研究与发展.2003,40(3):387 一 392 [17] 余胜生,张宁,周敬利,胡熠峰.一种用于大规模规则库的快速包分类算法.计算机工 程.2004,30(7):49 一 51 26 计算机防火墙技术论文

致谢

本文是在李老师的悉心指导卜完成的,从文献的查阅、论文的选题、撰写、修改、定稿,我的每一个进步都和李老师的关注与指导密不可分。李老师在研究 方向、资料的收集、论文的选题、研究工作作的开展以及论文的最终定稿,给子 我巨大、无私的帮助。论文的字里行间无不凝结着老师的悉心指导和浮淳教海,老师渊博的学识和严谨的治学态度给我留下了深刻的印象,我从他那里学到的不 仅仅是专业知识,更重要的是严谨的治学态度、对事业忘我的追求、高度的使命 感、责任感及和蔼热情的品质和做人的道理,这些将使我受益一生,并将激励我 不断向前奋进。还 有 就 是 在 这 次 的 实习中 更要对和我一起并肩战斗的其他几位小组成 员说一声辛苦了,我们有了今天的成绩是我们不懈与团结。让我们共同努力创造 更好的明天。在此过程中我们互相帮助,勉励是我们能完成这次任务的最大动力,也是我们之间最大的收获,最好的精神财富,愿我们还会有更好的合作!经 过 了 这 次 的 实习也 意 味 着 我 学习生 涯 的 结 束。在 TOP 的 三 年 时 间 转 瞬 即 逝,借 此 机 会 我 要 感 谢 两年来传授我知识的老师们,更要感谢所 有对我学业、生活上的支持和鼓励,感谢所有关心帮助过我的人。27

第四篇:毕业论文 LINUX路由防火墙配置

LINUX路由防火墙配置 加上摘要、关键字 LINUX系统应用概述(安全方面应用)防火墙的功能介绍 防火墙规则配置 防火墙路由配置 防火墙NAT配置

RedHat Linux 为增加系统安全性提供了防火墙保护。防火墙存在于你的计算机和网络之间,用来判定网络中的远程用户有权访问你的计算机上的哪些资源。一个正确配置的防火墙可以极大地增加你的系统安全性。

其中有以下几种配置方式:

高级:如只有以下连接是果你选择了「高级」,你的系统就不会接受那些没有被你具体指定的连接(除了默认设置外)。默认允许的: DNS回应

DHCP — 任何使用 DHCP 的网络接口都可以被相应地配置。如果你选择「高级」,你的防火墙将不允许下列连接

1.活跃状态FTP(在多数客户机中默认使用的被动状态FTP应该能够正常运行。)2.IRC DCC 文件传输

3.RealAudio 4.远程 X 窗口系统客户机 如果你要把系统连接到互联网上,但是并不打算运行服务器,这是最安全的选择。

如果需要额外的服务,你可以选择 「定制」 来具体指定允许通过防火墙的服务。注记:如果你在安装中选择设置了中级或高级防火墙,网络验证方法(NIS 和 LDAP)将行不通。

中级:如果你选择了「中级」,你的防火墙将不准你的系统访问某些资源。访问下列资源是默认不允许的:

1.低于1023 的端口 — 这些是标准要保留的端口,主要被一些系统服务所使用,例如: FTP、SSH、telnet、HTTP、和 NIS。2.NFS 服务器端口(2049)— 在远程服务器和本地客户机上,NFS 都已被禁用。3.为远程 X 客户机设立的本地 X 窗口系统显示。4.X 字体服务器端口(xfs 不在网络中监听;它在字体服务器中被默认禁用)。

如果你想准许到RealAudio之类资源的访问,但仍要堵塞到普通系统服务的访问,选择 「中级」。你可以选择 「定制」 来允许具体指定的服务穿过防火墙。

注记:如果你在安装中选择设置了中级或高级防火墙,网络验证方法(NIS 和 LDAP)将行不通。

无防火墙:无防火墙给予完全访问权并不做任何安全检查。安全检查是对某些服务的禁用。

建议你只有在一个可信任的网络(非互联网)中运行时,或者你想稍后再进行详细的防火墙配置时才选此项。选择 「定制」 来添加信任的设备或允许其它的进入接口。

信任的设备:选择「信任的设备」中的任何一个将会允许你的系统接受来自这一设备的全部交通;它不受防火墙规则的限制。

例如,如果你在运行一个局域网,但是通过PPP拨号连接到了互联网上,你可以选择「eth0」,而后所有来自你的局域网的交通将会被允许。

把「eth0」选为“信任的”意味着所有这个以太网内的交通都是被允许的,但是ppp0接口仍旧有防火墙限制。如果你想限制某一接口上的交通,不要选择它。建议你不要将连接到互联网之类的公共网络上的设备定为 「信任的设备」。

允许进入:启用这些选项将允许具体指定的服务穿过防火墙。注意:在工作站类型安装中,大多数这类服务在系统内没有被安装。

DHCP:如果你允许进入的 DHCP 查询和回应,你将会允许任何使用 DHCP 来判定其IP地址的网络接口。DHCP通常是启用的。如果DHCP没有被启用,你的计算机就不能够获取 IP 地址。

SSH:Secure(安全)SHell(SSH)是用来在远程机器上登录及执行命令的一组工具。如果你打算使用SSH工具通过防火墙来访问你的机器,启用该选项。你需要安装openssh-server 软件包以便使用 SSH 工具来远程访问你的机器。

TELNET:Telnet是用来在远程机器上登录的协议。Telnet通信是不加密的,几乎没有提供任何防止来自网络刺探之类的安全措施。建议你不要允许进入的Telnet访问。如果你想允许进入的 Telnet 访问,你需要安装 telnet-server 软件包。

HTTP:HTTP协议被Apache(以及其它万维网服务器)用来进行网页服务。如果你打算向公众开放你的万维网服务器,请启用该选项。你不需要启用该选项来查看本地网页或开发网页。如果你打算提供网页服务的话,你需要安装 httpd 软件包。启用 「WWW(HTTP)」 将不会为 HTTPS 打开一个端口。要启用 HTTPS,在 「其它端口」 字段内注明。

SMTP:如果你需要允许远程主机直接连接到你的机器来发送邮件,启用该选项。如果你想从你的ISP服务器中收取POP3或IMAP邮件,或者你使用的是fetchmail之类的工具,不要启用该选项。请注意,不正确配置的 SMTP 服务器会允许远程机器使用你的服务器发送垃圾邮件。

FTP:FTP 协议是用于在网络机器间传输文件的协议。如果你打算使你的 FTP 服务器可被公开利用,启用该选项。你需要安装 vsftpd 软件包才能利用该选项。

其他端口:你可以允许到这里没有列出的其它端口的访问,方法是在 「其它端口」 字段内把它们列出。格式为: 端口:协议。例如,如果你想允许 IMAP 通过你的防火墙,你可以指定 imap:tcp。你还可以具体指定端口号码 要允许 UDP 包在端口 1234 通过防火墙,输入 1234:udp。要指定多个端口,用逗号将它们隔开。

窍门:要在安装完毕后改变你的安全级别配置,使用 安全级别配置工具。

在 shell 提示下键入 redhat-config-securitylevel 命令来启动 安全级别配置工具。如果你不是根用户,它会提示你输入根口令后再继续。

运行防火墙的计算机(以下称防火墙)既连接外部网,又连接内部网。一般情况下,内部网的用户不能直接访问外部网,反之亦然。如果内部网用户要访问外部网,必须先登录到防火墙,由防火墙进行IP地址转换后,再由防火墙发送给外部网,即当内部网机器通过防火墙时,源IP地址均被设置(或称伪装,或称欺骗)成外部网合法的IP地址。经伪装以后,在外部网看来,内部网的机器是一个具有合法的IP地址的机器,因而可进行通信。外部网用户要访问内部网用户时,也要先登录到防火墙,经过滤后,仅通过允许的服务。由此可见,防火墙在内部网与外部网之间起到了两个作用:(1)IP包过滤——保护作用;(2)路由——网络互连作用。

硬件安装:运行Linux防火墙的计算机上必须安装有两块网卡或一块网卡、一块Modem卡。本文以两块网卡为例。安装网卡,正确设置中断号及端口号,并为各网卡分配合适的IP地址。例如:eth0:172.16.77.99 255.255.255.0 Eth1:192.168.1.1 255.255.255.0 Iptables: 利用Iptables命令可以创建,删除或插入链,并可以在链中创建,删除或插入过滤规则。Iptables仅仅是一个包过滤管理工具,对过滤规则的执行是通过LINUX的NETWORK PACKET FILTERING内核和相关的支持模块来实现的。

RED HAT LINUX在安装时,也安装了对旧版的IPCHAINS的支持,但是两者不能同时使用,可以用以下命令卸下: Rmmod ipchains 然后可以检查下Iptables是否安装了: Rpm –q Iptables Iptables-1.2.7a-2 说明已经安装了Iptables Iptables有以下服务: 启用:service Iptables start 重启:service Iptables restart 停止:servixe Iptables stop 对链的操作:

1. 2. 查看链:Iptables –L 创建与删除链:Iptables –N block block为新链

Iptables –X 为删除链 3.

对规则的操作:

1. 2. 3. 4. 5. 6. 7. 删除链中规则:Iptables –E 归零封包记数器:Iptables –Z 设置链的默认策略:Iptables –P 新增规则:Iptables –A 替换规则:Iptables –R 删除规则:Iptables –D 插入规则:Iptables –I 更改链的名称:Iptables-E 要禁止外网PING本机,可以执行规则为:

Iptables –A INPUT –p icmp –-icmp-type echo-request –I ppp0 –j DROP 若要禁止220.174.156.22主机访问本机,规则为: Iptables –A INPUT –s 220.174.156.22 –j DROP 规则的处理动作: 1. 2. ACCEPT:允许封包通过或接收该封包

REJECT:拦截该封包,并回传一个封包通知对方

3. 4. DROP:直接丢弃封包

5. 6. MASQUERADE:用于改写封包的来源IP为封包流出的外网卡的IP地址,实现IP伪装

假设外网卡为ETH0,则 : iptables –t –nat –A –POSTROUTING –o ETH0-j SNAT –to 172.16.77.99

构建路由: 增加一条静态路由:

# route add-net 172.16.77.0 netmask 255.255.255.0 再增加一条静态路由:

# route add-net 192.168.1.0 netmask 255.255.0.0 还要为系统增加一条缺省路由,因为缺省的路由是把所有的数据包都发往它的上一级网关

(假设地址是172.16.1.254,这个地址依赖于使用的网络而定,由网络管理员分配),因此增加如下的缺省路由记录: # route add default gw 172.16.77.254 最后一步,要增加系统的IP转发功能。这个功能由

执行如下命令打开ip转发功能: echo 1 > /proc/sys/net/ipv4/ip_forward 这样我们的路由器基本上是配置好了 测试路由器的工作情况。

第五篇:计算机网络安全防火墙技术毕业论文

计算机网络安全防火墙技术毕业论文

防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止 Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:

1)限定人们从一个特定的控制点进入;

2)限定人们从一个特定的点离开;

3)防止侵入者接近你的其他防御设施;

4)有效地阻止破坏者对你的计算机系统进行破坏。

在现实生活中,Internet防火墙常常被安装在受保护的内部网络上并接入Internet。

从上图不难看出,所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强Internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3.防火墙技术与产品发展的回顾

防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:●过滤进、出网络的数据;

●管理进、出网络的访问行为;

●封堵某些禁止行为;

●记录通过防火墙的信息内容和活动;

●对网络攻击进行检测和告警。

为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。

3.1 基于路由器的防火墙

由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:

1)利用路由器本身对分组的解析,以访问控制表(Access List)方式实现对分组的过滤;

2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征;

3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。

●路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用FTP协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。

●路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。

●路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。

●路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。

可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。

3.2 用户化的防火墙工具套

为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。

作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:

1)将过滤功能从路由器中独立出来,并加上审计和告警功能;

2)针对用户需求,提供模块化的软件包;

3)软件可以通过网络发送,用户可以自己动手构造防火墙;

4)与第一代防火墙相比,安全性提高了,价格也降低了。

由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:

配置和维护过程复杂、费时;

对用户的技术要求高;

全软件实现,使用中出现差错的情况很多。

3.3 建立在通用操作系统上的防火墙

基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些特点:

1)是批量上市的专用防火墙产品;

2)包括分组过滤或者借用路由器的分组过滤功能;

3)装有专用的代理系统,监控所有协议的数据和指令;

4)保护用户编程空间和用户可配置内核参数的设置;

5)安全性和速度大大提高。

第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:

1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性无从保证;

2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;

3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击;

4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;

5)透明性好,易于使用。

下载毕业论文------论防火墙技术设计策略word格式文档
下载毕业论文------论防火墙技术设计策略.doc
将本文档下载到自己电脑,方便修改和收藏,请勿使用迅雷等下载。
点此处下载文档

文档为doc格式


声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:645879355@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。

相关范文推荐

    毕业论文(防火墙的技术与应用)

    * * * * 学院 毕业论文课题名称: 防火墙的技术与应用 作 者: 学 号: 系 别: 电子工程系 专 业: 指导教师: 20**年**月**日 中文摘要 防火墙的技术与应用 摘要 计算机网络安全已成......

    aj-dphba计算机网络安全防火墙技术毕业论文

    、 .~ ① 我们‖打〈败〉了敌人。 ②我们‖〔把敌人〕打〈败〉了。 计算机网络安全防火墙技术毕业论文 防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Inte......

    市场营销策略,毕业论文

    浅议王老吉浅析王老吉品牌定位的成功策略 摘要 在当今这个日益增长的社会,人们越来越会享受生活。但同时人们也越来越来注意生活的品质。现实表明生活的健康离不开健康的生活......

    论如何写好毕业论文

    恰当的选题是保证毕业生撰写论文成功的第一步。一个好的选题不仅能使作者从中获益。而且还能引起读者的兴趣。恰当的选题要求作者有敏锐的直觉,较高的学术修养和丰富的经验。......

    论如何写好毕业论文

    论如何写好毕业论文摘要:毕业论文是高等院校毕业生在完成学业后提交的一份标志性作业。是作为对大学生在校期间学习的一个总结与反馈。是检验学生掌握知识的程度、分析问题和......

    毕业论文——中小企业防火墙的应用(共5则范文)

    中小企业防火墙的应用 摘要 互联网的应用在近几年的时间有了非常大的发展,随着中小企业商务网站的增多,资源越来越丰富,网络安全问题却也越来越严峻。 在网络安全防范中,防火墙......

    防火墙技术的现状与展望(毕业论文)

    通信与信息系统管理专业高等教育自学考试毕业论文 防火墙技术的现状与展望 摘要:随着计算机的飞速发展以及网络技术的普遍应用,随着信息时代的来临,信息作为一种重要的资源正得......

    Linux防火墙下的应用策略路由

    Linux防火墙下的应用策略路由假设,网络中有两个外部接口,IP地址分别为eth0 172.16.1.1/24,eth1 10.0.0.1/24,连接内部网络的接口为eth2 192.168.1.1。现在设计这样一个策略,将......