防火墻術研究畢業(yè)論文

緒論科學技術的飛速發(fā)展，人們已經生活在信息時代。計算機技術和網絡技術深入到社會的各個領域，因特網把“地球村”的居民緊密地連在了一起。近年來因特網的飛速發(fā)展，給人們的生活帶來了全新地感受，人類社會各種活動對信息網絡地依賴程度已經越來越大。然而，凡事“有利必有一弊”，人們在得益于信息所帶來的新的巨大機遇的同時，也不得不面對信息安全問題的嚴峻考驗?！昂诳凸簟北弧昂凇保癈IH病毒”無時無刻不充斥在網絡中?！半娮討?zhàn)”已成為國與國之間，商家與商家之間的一種重要的攻擊與防衛(wèi)手段。因此信息安全，網絡安全的問題已經引起各國，各部門，各行各業(yè)以及每個計算機用戶的充分重視。因特網提供給人們的不僅僅是精彩，還無時無刻地存在各種各樣的危險和陷阱。對此，我們既不能對那些潛在的危險不予重視，遭受不必要的損失；也不能因為害怕某些危險而拒絕因特網的各種有益的服務，對個人來說這樣會失去了了解世界、展示自己的場所，對企業(yè)來說還失去了拓展業(yè)務、提高服務、增強競爭力的機會。不斷地提高自身網絡的安全才是行之有效地辦法。TOC\o"1-3"\h\u19684緒論 116131第一章防火墻是什么 217089第二章防火墻的分類 33108第三章防火墻功能概述 618774(1)根據應用程序訪問規(guī)則可對應用程序連網動作進行過濾 616414第四章防火墻的不足 78543第五章防火墻主要技術特點 831422第六章防火墻的典型配置 9198266.2.屏蔽主機網關（ScreenedHostGateway） 9302926.3.屏蔽子網（ScreenedSubnet） 98290第七章各種防火墻體系結構的優(yōu)缺點 1023814第八章常見攻擊方式以及應對策略 11153238.1.1病毒 11208738.1.3 12267978.2應對策略 1237558.2.1方案選擇 12160318.2.3堅持策略 1223657第九章防火墻的發(fā)展趨勢 13327144)單向防火墻(又叫做網絡二極管)將作為一種產品門類而出現。 16第一章防火墻是什么防火墻是一種非常有效的網絡安全模型。主要用來保護安全網絡免受來自不安全網絡的入侵，比如安全網絡可能是企業(yè)的部網絡，不安全網絡是因特網。但防火墻不只是用于因特網，也用于Intranet中的部門網絡之間。在邏輯上，防火墻是過濾器限制器和分析器；在物理上，防火墻的實現有多種方式。通常，防火墻是一組硬件設備－路由器，主計算機，或者是路由器，計算機和配有的軟件的網絡的組合。不同的防火墻配置的方法也不同，這取決于安全策略，預算以及全面規(guī)劃等。第二章防火墻的分類從防火墻的防方式和側重點的不同來看，防火墻可以分為很多類型，但是根據防火墻對外來往數據處理方法，大致可將防火墻分為兩大體系：包過濾防火墻和代理防火墻。包過濾防火墻經歷了兩代：2.1靜態(tài)包過濾防火墻靜態(tài)包過濾防火墻采用的是一個都不放過的原則。它會檢查所有通過信息包里的IP地址號，端口號及其它的信息，并根據系統管理員給定的過濾規(guī)則和準備過濾的信息包一一匹配，其中：如果信息包中存在一點與過濾規(guī)則不符合，那么這個信息包里所有的信息都會被防火墻屏蔽掉，這個信息包就不會通過防火墻。相反的，如果每條規(guī)都和過濾規(guī)則相匹配，那么信息包就允許通過。靜態(tài)包的過濾原理就是：將信息分成若干個小數據片（數據包），確認符合防火墻的包過濾規(guī)則后，把這些個小數據片按順序發(fā)送，接收到這些小數據片后再把它們組織成一個完整的信息這個就是包過濾的原理。2.2動態(tài)包過濾防火墻靜態(tài)包過濾防火墻的缺點，動態(tài)包過濾防火墻都可以避免。它采用的規(guī)則是發(fā)展為“包狀態(tài)檢測技術”的動態(tài)設置包過濾規(guī)則。它可以根據需要動態(tài)的在過濾原則中增加或更新條目，在這點上靜態(tài)防火墻是比不上它的，它主要對建立的每一個連接都進行跟蹤。在這里我們了解的是代理防火墻。代理服務器型防火墻與包過濾防火墻不同之點在于，它的外網之間不存在直接的連接，一般由兩部分組成：服務器端程序和客戶端程序，其中客戶端程序通過中間節(jié)點與提供服務的服務器連接。代理服務器型防火墻提供了日志和審記服務。2.2.1

代理（應用層網關）防火墻這種防火墻被網絡安全專家認為是最安全的防火墻，主要是因為從部發(fā)出的數據包經過這樣的防火墻處理后，就像是源于防火墻外部網卡一樣，可以達到隱藏部網結構的作用。由于外網的計算機對話機會根本沒有，從而避免了入侵者使用數據驅動類型的攻擊方式入侵部網。

2.2.2自適應代理防火墻自適應代理技術是商業(yè)應用防火墻中實現的一種革命性技術。它結合了代理類型防火墻和包過濾防火墻的優(yōu)點，即保證了安全性又保持了高速度，同時它的性能也在代理防火墻的十倍以上，在一般的情況下，用戶更傾向于這種防火墻。我們把兩種防火墻的優(yōu)缺點的對比用下列圖表的形式表示如下：

優(yōu)點缺點

包過濾防火墻價格較低性能開銷小，處理速度較快定義復雜，容易出現速度較慢，不太適用于高速網之間的應用

代理防火墻置了專門為提高安全性而編制的Proxy應用程序，能夠透徹地理解相關服務的命令，對來往的數據包進行安全化處理不能理解特定服務的上下文環(huán)境，相應控制只能在高層由代理服務和應用層網關來完成

第三章防火墻功能概述防火墻是一個保護裝置，它是一個或一組網絡設備裝置。通常是指運行特別編寫或更改過操作系統的計算機，它的目的就是保護部網的訪問安全。防火墻可以安裝在兩個組織結構的部網與外部的Internet之間，同時在多個組織結構的部網和Internet之間也會起到同樣的保護作用。它主要的保護就是加強外部Internet對部網的訪問控制，它主要任務是允許特別的連接通過，也可以阻止其它不允許的連接。防火墻只是網絡安全策略的一部分，它通過少數幾個良好的監(jiān)控位置來進行部網與Internet的連接。防火墻的核心功能主要是包過濾。其中入侵檢測，控管規(guī)則過濾，實時監(jiān)控及電子過濾這些功能都是基于封包過濾技術的。

防火墻的主體功能歸納為以下幾點：(1)根據應用程序訪問規(guī)則可對應用程序連網動作進行過濾(2)對應用程序訪問規(guī)則具有自學習功能。(3)可實時監(jiān)控，監(jiān)視網絡活動。(4)具有日志，以記錄網絡訪問動作的詳細信息。(5)被攔阻時能通過聲音或閃爍圖標給用戶報警提示。防火墻僅靠這些核心技術功能是遠遠不夠的。核心技術是基礎,必須在這個基礎之上加入輔助功能才能流暢的工作。而實現防火墻的核心功能是封包過濾。第四章防火墻的不足防火墻對網絡的威脅進行極好的防，但是，它們不是安全解決方按的全部。某些威脅是防火墻力所不及的。

防火墻不能防止部的攻擊，因為它只提供了對網絡邊緣的防衛(wèi)。部人員可能濫用被給予的訪問權，從而導致事故。防火墻也不能防止像社會工程攻擊――一種很常用的入侵手段，就是靠欺騙獲得一些可以破壞安全的信息，如網絡的口令。另外，一些用來傳送數據的線很有可能被用來入侵部網絡。

另一個防止的是懷有惡意的代碼：病毒和特洛伊木馬。雖然現在有些防火墻可以檢查病毒和特洛伊木馬，但這些防火墻只能阻擋已知的惡意程序，這就可能讓新的病毒和木馬溜進來。而且，這些惡意程序不僅僅來自網絡，也可能來自軟盤。第五章防火墻主要技術特點

（1）應用層采用Winsock2SPI進行網絡數據控制、過濾；

（2）核心層采用NDISHOOK進行控制，尤其是在Windows2000下，此技術屬微軟未公開技術。

此防火墻還采用兩種封包過濾技術：一是應用層封包過濾，采用Winsock2SPI；二是核心層封包過濾，采用NDIS_HOOK。

Winsock2SPI工作在API之下、Driver之上，屬于應用層的疇。利用這項技術可以截獲所有的基于Socket的網絡通信。比如IE、OUTLOOK等常見的應用程序都是使用Socket進行通信。采用Winsock2SPI的優(yōu)點是非常明顯的：其工作在應用層以DLL的形式存在，編程、測試方便；跨Windows平臺，可以直接在Windows98/ME/NT/2000/XP上通用，Windows95只需安裝上Winsock2for95，也可以正常運行；效率高，由于工作在應用層，CPU占用率低；封包還沒有按照低層協議進行切片，所以比較完整。而防火墻正是在TCP/IP協議在windows的基礎上才得以實現。第六章防火墻的典型配置目前比較流行的有以下三種防火墻配置方案。6.1.置是用一臺裝有兩個網絡適配器的雙宿主機做防火墻。雙宿主機用兩個網絡適配器分別連接兩個網絡，又稱堡壘主機。堡壘主機上運行著防火墻軟件（通常是代理服務器），可以轉發(fā)應用程序，提供服務等。雙宿主機網關有一個致命弱點，一旦入侵者侵入堡壘主機并使該主機只具有路由器功能，則任何網上用戶均可以隨便訪問有保護的部網絡（如圖1）。6.2.屏蔽主機網關（ScreenedHostGateway）屏蔽主機網關易于實現，安全性好，應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。先來看單宿堡壘主機類型。一個包過濾路由器連接外部網絡，同時一個堡壘主機安裝在部網絡上。堡壘主機只有一個網卡，與部網絡連接（如圖2）。通常在路由器上設立過濾規(guī)則，并使這個單宿堡壘主機成為從Internet惟一可以訪問的主機，確保了部網絡不受未被授權的外部用戶的攻擊。而Intranet部的客戶機，可以受控制地通過屏蔽主機和路由器訪問Internet。雙宿堡壘主機型與單宿堡壘主機型的區(qū)別是，堡壘主機有兩塊網卡，一塊連接部網絡，一塊連接包過濾路由器（如圖3）。雙宿堡壘主機在應用層提供代理服務，與單宿型相比更加安全。6.3.屏蔽子網（ScreenedSubnet）這種方法是在Intranet和Internet之間建立一個被隔離的子網，用兩個包過濾路由器將這一子網分別與Intranet和Internet分開。兩個包過濾路由器放在子網的兩端，在子網構成一個“緩沖地帶”，兩個路由器一個控制Intranet數據流，另一個控制Internet數據流，Intranet和Internet均可訪問屏蔽子網，但禁止它們穿過屏蔽子網通信?？筛鶕枰谄帘巫泳W中安裝堡壘主機，為部網絡和外部網絡的互相訪問提供代理服務，但是來自兩網絡的訪問都必須通過兩個包過濾路由器的檢查。對于向Internet公開的服務器，像WWW、FTP、Mail等Internet服務器也可安裝在屏蔽子網，這樣無論是外部用戶，還是部用戶都可訪問。這種結構的防火墻安全性能高，具有很強的抗攻擊能力，但需要的設備多，造價高。當然，防火墻本身也有其局限性，如不能防繞過防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸；難以避免來自部的攻擊等等?？傊?，防火墻只是一種整體安全防策略的一部分，僅有防火墻是不夠的，安全策略還必須包括全面的安全準則，即網絡訪問、本地和遠程用戶認證、撥出撥入呼叫、磁盤和數據加密以及病毒防護等有關的安全策略。第七章各種防火墻體系結構的優(yōu)缺點7.1.雙重宿主主機體系結構它提供來自與多個網絡相連的主機的服務(但是路由關閉)，它圍繞雙重宿主主計算機構筑。該計算機至少有2個網絡接口，位于因特網與部網之間，并被連接到因特網和部網。2個網絡都可以與雙重宿主主機通信，但相互之間不行，它們之間的IP通信被完全禁止。雙重宿主主機僅能通過代理或用戶直接登錄到雙重宿主主機來提供服務。它能提供級別非常高的控制，并保證部網上沒有外部的IP包。但這種體系結構中用戶訪問因特網的速度會較慢，也會因為雙重宿主主機的被侵襲而失效。7.2.被屏蔽主機體系結構使用1個單獨的路由器提供來自僅僅與部網絡相連的主機的服務。屏蔽路由器位于因特網與部網之間，提供數據包過濾功能。堡壘主機是1個高度安全的計算機系統，通常因為它暴露于因特網之下，作為聯結部網絡用戶的橋梁，易受到侵襲損害。這里它位于部網上，數據包過濾規(guī)則設置它為因特網上唯一能連接到部網絡上的主機系統。它也可以開放一些連接(由站點安全策略決定)到外部世界。在屏蔽路由器中，數據包過濾配置可以按下列之一執(zhí)行：①允許其他部主機，為了某些服務而開放到因特網上的主機連接(允許那些經由數據包過濾的服務)。②不允許來自部主機的所有連接(強迫這些主機經由堡壘主機使用代理服務)。這種體系結構通過數據包過濾來提供安全，而保衛(wèi)路由器比保衛(wèi)主機較易實現，因為它提供了非常有限的服務組，因此這種體系結構提供了比雙重宿主主機體系結構更好的安全性和可用性。弊端是，若是侵襲者設法入侵堡壘主機，則在堡壘主機與其他部主機之間無任何保護網絡安全的東西存在；路由器同樣可能出現單點失效，若被損害，則整個網絡對侵襲者開放。7.3.被屏蔽子網體系結構考慮到堡壘主機是部網上最易被侵襲的機器(因為它可被因特網上用戶訪問)，我們添加額外的安全層到被屏蔽主機體系結構中，將堡壘主機放在額外的安全層，構成了這種體系結構。這種在被保護的網絡和外部網之間增加的網絡，為系統提供了安全的附加層，稱之為周邊網。這種體系結構有2個屏蔽路由器，每1個都連接到周邊網。1個位于周邊網與部網之間，稱為部路由器，另1個位于周邊網與外部網之間，稱之為外部路由器。堡壘主機位于周邊網上。侵襲者若想侵襲部網絡，必須通過2個路由器，即使他侵入了堡壘主機，仍無法進入部網。因此這種結構沒有損害部網絡的單一易受侵襲點。第八章常見攻擊方式以及應對策略8.1常見攻擊方式8.1.1病毒盡管某些防火墻產品提供了在數據包通過時進行病毒掃描的功能，但仍然很難將所有的病毒（或特洛伊木馬程序）阻止在網絡外面，黑客很容易欺騙用戶下載一個程序從而讓惡意代碼進入部網。策略：設定安全等級，嚴格阻止系統在未經安全檢測的情況下執(zhí)行下載程序；或者通過常用的基于主機的安全方法來保護網絡。8.1.2口令字對口令字的攻擊方式有兩種：窮舉和嗅探。窮舉針對來自外部網絡的攻擊，來猜測防火墻管理的口令字。嗅探針對部網絡的攻擊，通過監(jiān)測網絡獲取主機給防火墻的口令字。策略：設計主機與防火墻通過單獨接口通信（即專用服務器端口）、采用一次性口令或禁止直接登錄防火墻。8.1.3來自于的攻擊方式越來越突出，在這種攻擊中，垃圾制造者將一條消息復制成成千上萬份，并按一個巨大的電子地址清單發(fā)送這條信息，當不經意打開時，惡意代碼即可進入。策略：打開防火墻上的過濾功能，在網主機上采取相應阻止措施。8.1.4IP地址黑客利用一個類似于部網絡的IP地址，以“逃過”服務器檢測，從而進入部網達到攻擊的目的。策略：通過打開核rp_filter功能，丟棄所有來自網絡外部但卻有部地址的數據包；同時將特定IP地址與MAC綁定，只有擁有相應MAC地址的用戶才能使用被綁定的IP地址進行網絡訪問。8.2應對策略8.2.1方案選擇市場上的防火墻大致有軟件防火墻和硬件防火墻兩大類。軟件防火墻需運行在一臺標準的主機設備上，依托網絡在操作系統上實現防火墻的各種功能，因此也稱“個人”防火墻，其功能有限，基本上能滿足單個用戶。硬件防火墻是一個把硬件和軟件都單獨設計，并集成在一起，運行于自己專用的系統平臺。由于硬件防火墻集合了軟件方面，從功能上更為強大，目前已普遍使用。在制造上，硬件防火墻須同時設計硬件和軟件兩方面。國外廠家基本上是將軟件運算硬件化，將主要運算程序做成芯片，以減少CPU的運算壓力；國廠家的防火墻硬件平臺仍使用通用PC系統，增加了存容量，增大了CPU的頻率。在軟件性能方面，國外一些著名的廠家均采用專用的操作系統，自行設計防火墻，提供高性能的產品；而國廠家大部分基于Linux操作平臺，有針對性的修改代碼、增加技術及系統補丁等。因此，國產防火墻與國外的相比仍有一定差距，但科技的進步，也生產出了較為優(yōu)秀的產品。如天融信的NG系列產品，支持TOPSEC安全體系、多級過濾、透明應用代理等先進技術。8.2.2結構透明防火墻的透明性是指防火墻對于用戶是透明的。以網橋的方式將防火墻接入網絡，網絡和用戶無需做任何設置和改動，也根本意識不到防火墻的存在。然后根椐自己企業(yè)的網絡規(guī)模，以及安全策略來選擇合適的防火墻的構造結構（可參照本文第3點分析），如果經濟實力雄厚的可采用屏蔽子網的拓撲結構。8.2.3堅持策略（1）管理主機與防火墻專用服務器端口連接，形成單獨管理通道，防止來自外部的攻擊。（2）使用FTP、Telnet、News等服務代理，以提供高水平的審計和潛在的安全性。（3）支持“除非明確允許，否則就禁止”的安全防原則。（4）確定可接受的風險水平，如監(jiān)測什么傳輸，允許和拒絕什么傳輸流通過。8.2.4實施措施好的防火墻產品應向使用者提供完整的安全檢查功能，應有完善及時的售后服務。但一個安全的網絡仍必須靠使用者的觀察與改進，企業(yè)要達到真正的安全仍需部的網絡管理者不斷記錄、追蹤、改進，定期對防火墻和相應操作系統用補丁程序進行升級。第九章防火墻的發(fā)展趨勢9.1.優(yōu)良的性能新一代的防火墻系統不僅應該能夠更好地保護防火墻后面部網絡的安全，而且應該具有更為優(yōu)良的整體性能。傳統的代理型防火墻雖然可以提供較高級別的安全保護，但是同時它也成為限制網絡帶寬的瓶頸，這極制約了在網絡中的實際應用。數據通過率是表示防火墻性能的參數，由于不同防火墻的不同功能具有不同的工作量和系統資源要求，因此數據在通過防火墻時會產生延時。自然，數據通過率越高，防火墻性能越好?，F在大多數的防火墻產品都支持NAT功能，它可以讓防火墻受保護的一邊的IP地址不至于暴露在沒有保護的另一邊，但是啟用NAT后勢必會對防火墻系統的性能有所影響。目前如何盡量減少這種影響也成為防火墻產品的賣點之一。另外防火墻系統中集成的VPN解決方案必須是真正的線速運行，否則將成為網絡通信的瓶頸。9.2.可擴展的結構和功能對于一個好的防火墻系統而言，它的規(guī)模和功能應該能夠適應部網絡的規(guī)模和安全策略的變化。選擇哪種防火墻，除了應考慮它的基本性能之外，毫無疑問，還應考慮用戶的實際需求與未來網絡的升級。未來的防火墻系統應是一個可隨意伸縮的模塊化解決方案，從最為基本的包過濾器到帶加密功能的VPN型包過濾器，直至一個獨立的應用網關，使用戶有充分的余地構建自己所需要的防火墻體系。9.3.簡化的安裝與管理防火墻的確可以幫助管理員加強部網的安全性。一個不具體實施任何安全策略的防火墻無異于高級擺設。防火墻產品配置和管理的難易程度是防火墻能否達到目的的主要考慮因素之一。實踐證明許多防火墻產品并未起到預期作用的一個不容忽視的原因在于配置和實現上的錯誤。同時，若防火墻的管理過于困難，則可能會造成設定上的錯誤，反而不能達到其功能。因此未來的防火墻將具有非常易于進行配置的圖形用戶界面。NT防火墻市場的發(fā)展證明了這種趨勢。WindowsNT提供了一種易于安裝和易于管理的基礎。盡管基于NT的防火墻通常落后于基于Unix的防火墻，但NT平臺的簡單性以及它方便的可用性大大推動了基于NT的防火墻的銷售。9.4.主動過濾防火墻開發(fā)商通過建立功能更強大的Web代理對這種需要做出了回應。例如，許多防火墻具有置病毒和容掃描功能或允許用戶與病毒與容掃描程序進行集成。今天，許多防火墻都包括對過濾產品的支持，并可以與第三方過濾服務連接，這些服務提供了不受歡迎Internet站點的分類清單。防火墻還在它們的Web代理中包括時間限制功能，允許非工作時間的沖浪和登錄，并提供沖浪活動的報告。9.5.防病毒與防黑客盡管防火墻在防止不良分子進入上發(fā)揮了很好的作用，但TCP／IP協議套件中存在的脆弱性使Internet對拒絕服務攻擊敞開了大門。在拒絕服務攻擊中，攻擊者試圖使企業(yè)Internet服務飽和或使與它連接的系統崩潰，使Internet無法供企業(yè)使用。防火墻市場已經對此做出了反應。雖然沒有防火墻可以防止所有的拒絕服務攻擊，但防火墻廠商一直在盡其可能阻止拒絕服務攻擊。像序列號預測和IP欺騙這類簡單攻擊，這些年來已經成為了防火墻工具箱的一部分。像SYN泛濫這類更復雜的拒絕服務攻擊需要廠商部署更先進的檢測和避免方案來對付。SYN泛濫可以鎖死Web和服務，這樣沒有數據流可以進入。防火墻的反戰(zhàn)前景以及技術方向伴隨著Internet的飛速發(fā)展，防火墻技術與產品的更新步伐必然會加強，而要全面展望防火墻技術的發(fā)展幾乎是不可能的。但是，從產品及功能上，卻又可以看出一些動向和趨勢。下面諸點可能是下一步的走向和選擇：1)防火墻將從目前對子網或部網管理的方式向遠程上網集中管理的方式發(fā)展。2)過濾深度會不斷加強，從目前的地址、服務過濾，發(fā)展到URL(頁面)過濾、關鍵字過濾和對ActiveX、Java等的過濾，并逐漸有病毒掃描功能。3)利用防火墻建立專用網是較長一段時間用戶使用的主流，IP的加密需求越來越強，安全協議的開發(fā)是一大熱點。4)單向防火墻(又叫做網絡二極管)將作為一種產品門類而出現。5)對網絡攻擊的檢測和各種告警將成為防火墻的重要功能。6)安全管理工具不斷完善，特別是可以活動的日志分析工具等將成為防火墻產品中的一部分。另外值得一提的是，伴隨著