畢業(yè)論文(防火墻的技術與應用)范文

..PAGE...英文摘要畢業(yè)論文課題名稱：防火墻的技術與應用作者：學號：系別：電子工程系專業(yè)：指導教師：20**年**月**日.....中文摘要防火墻的技術與應用摘要計算機網(wǎng)絡安全已成為當今信息時代的關鍵技術。當前網(wǎng)絡安全問題存在著計算機病毒，計算機黑客攻擊等問題。網(wǎng)絡安全問題有其先天的脆弱性，黑客攻擊的嚴重性，網(wǎng)絡殺手集團性和破壞手段的多無性，解決網(wǎng)絡安全問題重要手段就是防火墻技術。走在中國特色的防火墻技術發(fā)展之路,是確保我國網(wǎng)絡安全的有效途徑。防火墻技術的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構造一個相對安全的子網(wǎng)環(huán)境。本文重點介紹防火墻技術的基本概念和系統(tǒng)結構，討論了實現(xiàn)防火墻的兩種主要技術手段：一種是基于分組過濾技術(Packetfiltering)，它的代表是在篩選路由器上實現(xiàn)的防火墻功能；一種是基于代理技術(Proxy)，它的代表是在應用層網(wǎng)關上實現(xiàn)的防火墻功能。關鍵詞：網(wǎng)絡安全；防火墻；技術；功能.....英文摘要目錄中文摘要 I1引言 12網(wǎng)絡安全概述 13協(xié)議安全分析 23.1物理層安全 23.2網(wǎng)絡層安全 23.3傳輸層安全 34網(wǎng)絡安全組件 34.1防火墻 34.2掃描器 34.3防毒軟件 34.4安全審計系統(tǒng) 34.5IDS 45網(wǎng)絡安全的看法 45.1隱藏IP地址有兩種方法 55.2更換管理及賬戶 56防火墻概述 56.1防火墻定義 56.2防火墻的功能 56.3防火墻技術 66.4防火墻系統(tǒng)的優(yōu)點 76.5防火墻系統(tǒng)的局限性 77結論 8參考文獻 9致 10.....1引言隨著網(wǎng)絡技術的普遍推廣，電子商務的開展，實施和應用網(wǎng)絡安全已經(jīng)不再僅僅為科學研究人員和少數(shù)黑客所涉足，日益龐大的網(wǎng)絡用戶群同樣需要掌握網(wǎng)絡安全知識。由于在早期網(wǎng)絡協(xié)議設計上對安全問題的忽視，以及在管理和使用上的無政府狀態(tài)，逐漸使Internet自身安全受到嚴重威脅，與它有關的安全事故屢次發(fā)生，一些黑客把先進的計算機網(wǎng)絡技術，當成一種犯罪工具，不僅影響了網(wǎng)絡的穩(wěn)定運行和用戶的正常使用,造成許多經(jīng)濟損失,而且還會威脅到國家的安全，一些國家的被黑客破壞造成網(wǎng)絡癱瘓。如何更有效地保護重要信息數(shù)據(jù)，提高計算機網(wǎng)絡的安全性已經(jīng)成為世界各國共同關注的話題，防火墻可以提供增強網(wǎng)絡的安全性，是當今網(wǎng)絡系統(tǒng)最基礎設施，側重干網(wǎng)絡層安全，對于從事網(wǎng)絡建設與管理工作而言，充分發(fā)揮防火墻的安全防護功能和網(wǎng)絡管理功能至關重要。2網(wǎng)絡安全概述網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到了保護，不因偶然的或惡意的原因而遭受到破壞、更改、泄露、系統(tǒng)正常地運行網(wǎng)絡服務不中斷，網(wǎng)絡安全的定義從保護角度來看，是指計算機及其網(wǎng)絡系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，從廣義上來說，凡是涉及到計算機網(wǎng)絡上信息的性，完整性、可用性、可控性、可審查性的相關技術和理論都是計算機網(wǎng)絡安全的研究領域。網(wǎng)絡安全的具體含義會隨著“角度”的變化而變化，比如：從個人的角度來說，凡是涉及到個人隱私的信息在網(wǎng)絡上傳輸時受到性完整性和真實性的保護避免其他人利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。網(wǎng)絡安全應具有以下五個方面的特征：性：確保信息不暴露給未授權的實體或進程。完整性：只有得到授權的實體才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。可用性：得到授權的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權者的工作?？煽匦裕嚎梢钥刂剖跈鄧男畔⒘飨蚣靶袨榉绞健？蓪彶樾裕簩Τ霈F(xiàn)的網(wǎng)絡安全問題提供調(diào)查的依據(jù)和手段。從管理者角度說網(wǎng)絡信息的訪問讀寫操作受到保護和控制避免病毒侵入，非法存取、非法占用、非法控制等威脅，防止網(wǎng)絡黑客的攻擊，對安全部門來說，對于非法的有害的或涉及國家的信息進行過濾和防止，對社會造成危害，對國家造成巨大損失的機要信息的泄漏進行防止，做到杜絕?，F(xiàn)在全球普遍存在缺乏網(wǎng)絡安全的重要性，這導致大多數(shù)網(wǎng)絡存在著先天性的安全漏洞和安全威脅，使用TCP/IP協(xié)議的網(wǎng)絡所提供的網(wǎng)絡服務都包含許多不安全的因素，存在著一些漏洞網(wǎng)絡的普及使信息共享達到了一個新的層次，信息被暴露的機會大大增多，特別是Internet網(wǎng)絡就是一個不設防的開放大系統(tǒng)，近年來，計算機犯罪案件也急劇上升，計算機犯罪是商業(yè)犯罪中最大的犯罪類型之一，每年計算機犯罪造成的經(jīng)濟損失高達50億美元，在信息安全的發(fā)展過程中企業(yè)和政府的的要求有一致的地方，也不有一致的地方，企業(yè)注重于信息和網(wǎng)絡安全的可靠性，政府注重于信息和網(wǎng)絡安全的可管性和可控性，在發(fā)展中國家，對信息安全的投入還滿足不了信息安全的需求，同時投入也常常被挪用和借用。3協(xié)議安全分析3.1物理層安全物理層安全威脅主要指網(wǎng)絡周邊環(huán)境和物理特性引起的網(wǎng)絡設備和線路的不可用而造成的網(wǎng)絡系統(tǒng)的不可用，如：設備老化、設備被盜、意外故障，設備損毀等。由于以太局域網(wǎng)中采用廣播方式，因此在某個廣播域中利用嗅探器可以在設定的偵聽端口偵聽到所有的信息包，并且對信息包進分析，那么本廣播域的信息傳遞都會暴露無遺，所以需將兩個網(wǎng)絡從物理上隔斷同時保證在邏輯上兩個網(wǎng)絡能夠連通。3.2網(wǎng)絡層安全網(wǎng)絡層的安全威脅主要有兩類：IP欺騙和ICMP攻擊。IP欺騙技術的一種實現(xiàn)方法是把源IP地址改成一個錯誤的IP地址，而接收主機不能判斷源IP地址的正確性，由此形成欺騙，另外一種方法是利用源路由IP數(shù)據(jù)包讓它僅僅被用于一個特殊的路徑中傳輸，這種數(shù)據(jù)包被用于攻擊防火墻。ICMP在IP層檢查錯誤和其他條件。ICMP信息、對于判斷網(wǎng)絡狀況非常有用，例如：當PING一臺主機想看它是否運去時，就產(chǎn)生了一條ICMP信息。遠程主機將用它自己的ICMP信息對PING請求作出回應，這種過程在網(wǎng)絡中普遍存在。然而，ICMP信息能夠被用于攻擊遠程網(wǎng)絡或主機，利用ICMP來消耗帶寬從而有效地摧毀站點。3.3傳輸層安全具體的傳輸層安全措施要取決于具體的協(xié)議，傳輸層安全協(xié)議在TCP的頂部提供了如身份驗證，完整性檢驗以及性保證這樣的安全服務，傳輸層安全需要為一個連接維持相應的場景，它是基于可靠的傳輸協(xié)議TCP的。由于安全機制與特定的傳輸協(xié)議有關所以像密鑰管理這樣的安全服務可為每種傳輸協(xié)議重復使用。現(xiàn)在，應用層安全已被分解成網(wǎng)絡層、操作系統(tǒng)、數(shù)據(jù)庫的安全，由于應用系統(tǒng)復雜多樣不存在一種安全技術能夠完全解決一些特殊應用系統(tǒng)的安全問題。4網(wǎng)絡安全組件網(wǎng)絡的整體安全是由安全操作系統(tǒng)、應用系統(tǒng)、防火墻、網(wǎng)絡監(jiān)控安全掃描、信息審計、通信加密、災難恢復、網(wǎng)絡反病毒等多個安全組件共同組成的，每一個單獨的組件只能完成其中部分功能，而不能完成全部功能。4.1防火墻防火墻是指在兩個網(wǎng)絡之間加強訪問控制的一整套裝置，是軟件和硬件的組合體，通常被比喻為網(wǎng)絡安全的大門，在部網(wǎng)和外部網(wǎng)之間構造一個保護層，用來鑒別什么樣的數(shù)據(jù)包可以進出企業(yè)部網(wǎng)。防火墻可以阻止基于IP的攻擊和非信任地址的訪問，但無法阻止基于數(shù)據(jù)容的黑客攻擊和病毒入侵，同時也無法控制部網(wǎng)絡之間的攻擊行為。4.2掃描器掃描器是一種自動檢測遠程或本地主機安全性弱點的程序，通過使用掃描器可以自動發(fā)現(xiàn)系統(tǒng)的安全缺陷，掃描器可以分為主機掃描器和網(wǎng)絡掃描器，但是掃描器無法發(fā)現(xiàn)正在進行的入侵行為，而且它也可以被攻擊者加以利用。4.3防毒軟件防毒軟件可以實時檢測，清除各種已知病毒，具有一定的對未知病毒的預測能力利用代碼分析等手段能夠檢查出最新病毒。在應用對網(wǎng)絡入侵方面，它可以查殺特洛伊木馬和蠕蟲等病毒程序，但不能有效阻止基于網(wǎng)絡的攻擊行為。4.4安全審計系統(tǒng)安全審計系統(tǒng)對網(wǎng)絡行為和主機操作提供全面詳實的記錄，其目的是測試安全策略是否完善，證實安全策略的一致性，方便用戶分析與審查事故原因，協(xié)助攻擊的分析收集證據(jù)以用于起訴攻擊者。4.5IDS由于防火墻所暴露出來的不足，引發(fā)人們對IDS（入侵檢測系統(tǒng)）技術的研究和開發(fā)。它被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下對網(wǎng)絡進行監(jiān)測，從而提供對部攻擊，外部攻擊和誤操作的實時保護。IDS的主要功能：監(jiān)控、分析用戶和系統(tǒng)的活動。核查系統(tǒng)配置和漏洞。評估關鍵系統(tǒng)和數(shù)據(jù)文件的完整性。識別攻擊的活動模式，并向網(wǎng)管人員報警。對異?；顒拥慕y(tǒng)計分析。操作系統(tǒng)審計跟蹤管理，識別違反政策的用戶活動。評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。IDS可分為主機型和網(wǎng)絡型兩種：主機型入侵檢測系統(tǒng)，主要用于保護運行關鍵應用的服務器，它通過監(jiān)視與分析主機的審計記錄和日志文件來檢測入侵。網(wǎng)絡型入侵檢測系統(tǒng)主要用于實時監(jiān)控網(wǎng)絡關鍵路徑信息，它通過偵聽網(wǎng)絡上的所有分組來采集數(shù)據(jù)、分析可疑現(xiàn)象。網(wǎng)絡入侵檢測系統(tǒng)通常利用一個運行在混雜模式下的網(wǎng)絡適配器來實時監(jiān)視并分析通過網(wǎng)絡的所有通信業(yè)務。由于每個網(wǎng)絡安全組件自身的限制，不可能把入侵檢測和防護做到一應俱全所以不能指望通過使用某一種網(wǎng)絡安全產(chǎn)品實現(xiàn)絕對的安全，只有根據(jù)具體的網(wǎng)絡環(huán)境，有機整合這些網(wǎng)絡安全組件才能最大限度地滿足用戶的安全需求，在這個通信發(fā)達的時代，網(wǎng)絡安全組件是不可缺少的，用戶的安全要得到保障那就使用網(wǎng)絡安全組件吧！它能給你帶來意想不到的效果。5網(wǎng)絡安全的看法隨著互聯(lián)網(wǎng)在家庭中的普及，家庭網(wǎng)絡安全越來越受歡迎。家庭網(wǎng)絡安全主要表現(xiàn)在兩個方面，一是個人電腦中毒，二是被非法用戶入侵。個人以為可以從“”和“外”兩個方面來解決。從的方面來講“”指用戶本身，防止由于自己的疏忽而造成的損失。主要包括安裝一些必要的軟件，主要是防火墻、殺毒、防木馬等安全軟件。要有一個安全的工作習慣。積極備份。積極防。打好補丁。這幾種方法只是網(wǎng)絡安全方面常用的方法，實際上保證安全從“”的方面來說還包括很多方面，如操作不當造成軟硬件損壞等。當然這些就不僅僅是網(wǎng)絡安全方面了，實際上只要用戶在以上所說的五個方面做得不錯的話，基本上網(wǎng)絡安全方面可以放60%以上的心了。只不過許多用戶在這些方面一般不太在意結果造成數(shù)據(jù)的損失。從外的方面來講“外”指由外界而來的攻擊，一般指黑客攻擊。要防止黑客的攻擊，我介紹幾種簡單容易上手同時效果也不錯的方法供大家參考。5.1隱藏IP地址有兩種方法代理服務器的原理是在客戶機和遠程服務器之間架設一個“中轉(zhuǎn)站”，當客戶機向遠程服務器提出服務要求后，代理服務器首先截取用戶的請求，然后代理服務器將服務請求轉(zhuǎn)交遠程服務器，從而實現(xiàn)客戶機和遠程服務器之間的聯(lián)系。使用代理服務器后，其它用戶只能探測到代理服務器的IP地址而不是用戶的IP地址，這就實現(xiàn)了隱藏用戶IP地址的目的，保障了用戶上網(wǎng)安全。二是使用一些隱藏IP的軟件，如賽門鐵克公司的NortonInternetsecurity,不論黑客使用哪一個IP掃描工具，都會告訴你根本沒有這個IP地址，黑客就無法攻擊你的計算機了。5.2更換管理及賬戶Administrator賬戶擁有最高的系統(tǒng)權限，一旦該賬戶被人利用，后果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator賬戶的密碼，所以我們要重新配置Administrator賬戶首先為Administrator賬戶設置一個強大復雜的密碼，然后我們重命名Administrator賬戶再創(chuàng)建一個沒有管理員權限，也就在一定程度上減少了危險。在WINDOWSXP系統(tǒng)中打開控制面板，單擊“用戶/更改”，彈出“用戶”窗口，再點“禁用來賓賬戶”即可。6防火墻概述6.1防火墻定義在計算機網(wǎng)絡中，防火墻是指一種將部網(wǎng)和公眾訪問網(wǎng)分開的方法，它實際是一種隔離技術，它允許“可以訪問”的人和數(shù)據(jù)進入網(wǎng)絡，同時將“不允許訪問”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問網(wǎng)絡，如果不通過防火墻，人們就無法訪問Internet，也無法和其它人進行通信，它具有較強的抗攻擊能力，提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。6.2防火墻的功能防火墻的訪問控制功能；訪問控制功能是防火墻設備的最基本功能，其作用就是對經(jīng)過防火墻的所有通信進行連通或阻斷的安全控制，以實現(xiàn)連接到防火墻上的各個網(wǎng)段的邊界安全性，為實施訪問控制功能，可以根據(jù)網(wǎng)絡地址、網(wǎng)絡協(xié)議以及TCPUDP端口進行過濾；可以實施簡單的容過濾，如電子附件的文件類型等可以將IP與MAC地址綁定以防止盜用IP的現(xiàn)象發(fā)生，可以對上網(wǎng)時間段進行控制，不同時段執(zhí)行不同的安全策略。防火墻的訪問控制采用兩種基本策略，即“黑”策略和“白”策略，指除了規(guī)則允許的訪問，其他都是禁止的。支持一定的安全策略，過濾掉不安全服務和非法用戶。利用網(wǎng)絡地址轉(zhuǎn)換技術將有限的IP地址動態(tài)或靜態(tài)地址與部的IP地址對應起來，用來緩解地址空間短缺的問題?？梢赃B接到一個單獨的網(wǎng)絡上，在物理上與部網(wǎng)絡隔開并部署WWW服務器和FTP服務器，作為向外部外發(fā)布部信息的地點。防火墻支持基于用戶身份的網(wǎng)絡訪問控制，不僅具有置的用戶管理及認證接口，同時也支持用戶進行外部身份認證。防火墻可以根據(jù)用戶認證的情況動態(tài)地調(diào)整安全策略實現(xiàn)用戶對網(wǎng)絡的授權訪問。6.3防火墻技術按照實現(xiàn)技術分類防火墻的基本類型有：包過濾型、代理服務型和狀態(tài)包過濾型。包過濾技術；包過濾通常安裝在路由器上，并且大多數(shù)商用路由器都提供了包過濾的功能。包過濾是一種安全篩選機制，它控制哪些數(shù)據(jù)包可以進出網(wǎng)絡而哪些數(shù)據(jù)包應被網(wǎng)絡所拒絕。包過濾是一種通用有效的安全手段。它在網(wǎng)絡層和傳輸層起作用。它根據(jù)分組包的源宿地址端口號及協(xié)議類型，來確定是否允許分組包通過。包過濾的優(yōu)點是它對于用戶來說是透明的，處理速度快且易于維護，通常作為第一道防線。代理服務技術；代理服務系統(tǒng)一般安裝并運行在雙宿主機上，使外部網(wǎng)絡無法了解部網(wǎng)絡的拓撲，比包過濾防火墻安全，由于安全性比較高，所以是使用較多的防火墻技術。代理服務軟件運行在一臺主機上構成代理服務器，負責截客戶的請求。根據(jù)安全規(guī)則判斷這個請否允許，如果允許才能傳給真正的防火墻。代理系統(tǒng)是客戶機和真實服務器之間的中介，完全控制客戶機和真實服務器之間的流量并對流量情況加以記錄，它具有靈活性和安全性，但可能影響網(wǎng)絡的性能對用戶透明，且對每一個服務器都要設計一個代理模塊，建立對應的網(wǎng)關層實現(xiàn)起來比較復雜。代理服務技術的優(yōu)點：1.提供的安全級別高于包過濾型防火墻。2.代理服務型防火墻可以配置成惟一的可被外部看見的主機，以保護部主機免受外部攻擊。3.可能強制執(zhí)行用戶認證。4.代理工作在客戶機和真實服務器之間，完全控制會話，所以能提供較詳細的審計日志。狀態(tài)檢測技術；狀態(tài)檢測防火墻在網(wǎng)絡層由一個檢測模塊截獲數(shù)據(jù)包，并抽取與應用層狀態(tài)有關的信息，并以此作為依據(jù)決定對該連接是接受還是拒絕。檢測模塊維護一個動態(tài)的狀態(tài)信息表，并對后續(xù)的數(shù)據(jù)包進行檢查。一旦發(fā)現(xiàn)任何連接的參數(shù)有意外的變化該連接就被中止。這種技術提供了高度安全的解決方案，同時也具有較好的適應性和可擴展性。狀態(tài)檢測防火墻克服了包過濾防火墻和應用代理服務器的局限性不要求每個被訪問的應用都有代理，狀態(tài)檢測模塊能夠理解各種協(xié)議和應用以支持各種最新的應用服務。狀態(tài)檢測模塊截獲分析并處理所有試圖通過防火墻的數(shù)據(jù)包，保證網(wǎng)絡的高度安全和數(shù)據(jù)完整網(wǎng)絡和各種應用的通信狀態(tài)動態(tài)存儲更新到動態(tài)狀態(tài)表中，結合預定義好的規(guī)則實現(xiàn)安全策略，狀態(tài)檢測不僅僅對網(wǎng)絡層檢測而對OSI七層模型的所有層進行檢測，它與前面兩種防火墻技術不同，當用戶訪問請求到達網(wǎng)關的操作系統(tǒng)前，狀態(tài)監(jiān)器要抽取有關數(shù)據(jù)進行分析，結合網(wǎng)絡配置和安全規(guī)定做出接納拒絕，身份認證，報警或給該通信加密等處理動作。狀態(tài)檢測技術的特點：安全性、高效性、可伸縮性和易擴展性。6.4防火墻系統(tǒng)的優(yōu)點可以對網(wǎng)絡安全進行集中控制和管理；防火墻將受信任的專用網(wǎng)與不受信任的公用網(wǎng)隔離開來，將承擔風險的圍從整個部網(wǎng)絡縮小到組成防火墻系統(tǒng)的一臺或幾臺主機上在結構上形成了一個控制中心，大大加強了網(wǎng)絡安全性，并且簡化了網(wǎng)絡管理。由于防火墻在結構上的特殊位置，使其方便地提供了監(jiān)視管理與審計網(wǎng)