防火墻常用技術及性能研究報告

.z...**：畢業(yè)設計論文題目：防火墻常用技術與性能研究專業(yè)：計算機網絡技術班級：08網路學生**：***導師**：***起止時間：2010年9月至2010年12月止**大學計算機學院-.z摘要隨著互聯網的迅猛開展給人們的生活帶來了很大的方便，但同時平安性也成為了互聯網技術中最關鍵的問題。因此，如何有效地解決互聯網的各種危害問題成為現在的熱門話題。本文詳細介紹了防火墻的常用技術和性能。首先介紹防火墻的定義是什么，還有防火墻有那些優(yōu)點和防火墻的根本原理，然后詳細介紹防火墻的常用技術有那些和防火墻的性能，并對四種根本類型的防火墻技術原理和適用情況進展了分析。最后就天網防火墻進展簡單介紹使用原則。關鍵詞：防火墻網絡平安天網防火墻原理AbstractWiththerapiddevelopmentoftheInternettopeople'sliveshasbroughtgreatconvenience,butsecurityoftheInternettechnologyhasbeethemostcriticalissue.Therefore,howtoeffectivelyaddressthevarioushazardsoftheInternettobeeahottopicnow.Thispaperdescribesmonlyusedfirewalltechnologyandperformance.Firstintroducedthedefinitionofwhatafirewall,thefirewallalsohavethoseadvantagesandthebasicprinciplesofthefirewall,andthenuseddetailedfirewallandfirewalltechnologiesthatperformance,andthefourbasictypesoffirewalltechnologyandapplicationoftheprincipleareanalyzed.Finally,abriefintroductiontoSkynettousetheprinciplesofthefirewall.Keywords:Firewall，FirewallNetwork，SecurityPrinciples，Skynet-.z前言隨著計算機技術的快速開展，網絡應用已經在全球推廣，人類已經進入了網絡時代。電子、遠程教育、遠程醫(yī)療電子商務等，已經成為人們生活中不可缺少的一局部，在國家經濟中也發(fā)揮著重要作用。然而，網絡平安也在為人們頭痛且必須解決的問題。網絡上的黑客、商業(yè)間諜出于各種目的，對人們在網絡上所傳輸的信息產生了極大的興趣。這些信息在沒有被加密情況下傳輸，是很容易被竊聽的。這些信息如果是重要的、有價值的，就有可能對用戶造成無法挽回的損失。對于保護網絡平安，防火墻是最根底的設備，它的最根底的設備，它的主要功能在于把那些不受歡送的、信息或者數據包等隔離在特定的網絡之外，是一種經濟實用的網絡邊界防護設備。防火墻通常被放置與內部網絡與外部網絡的連接處，通過執(zhí)行特定的規(guī)則和平安策略來保護與外部網絡相連的內部網絡。內部網絡與外部網絡之間的任何數據傳遞都必須通過防火墻這一關，防火墻對這些數據以及需求進展分析、處理，并根據已設置的平安規(guī)則來判定是否允許其通過。建立防火墻對于保護內部網絡免受來自外部的攻擊有較好的防*作用。同時，由于防火墻系統(tǒng)本身具備較高的系統(tǒng)平安級別，可以防止非法用戶通過控制防火墻對內網發(fā)動攻擊。因此防火墻被越來越多的企業(yè)公司和個人電腦用戶所接納和使用，迅速的開展普及起來，成為了網絡黑客和各種病毒、木馬和惡意插件的克星。1防火墻的概述1.1什么是防火墻防火墻是指設置在不同網絡〔如可信任的企業(yè)內部網和不可信的公共網〕或網絡平安域之間的一系列部件的組合。它是不同網絡或網絡平安域之間信息的唯一出入口，能根據企業(yè)的平安政策控制〔允許、拒絕、監(jiān)測〕出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息平安效勞，實現網絡和信息平安的根底設施。防火墻是網絡平安的第一道屏障，保障網絡平安的第一個措施是安裝和應用防火墻。合理的使用防火墻有利于提高網絡抵抗黑客攻擊和系統(tǒng)的平安性。防火墻是用來在平安內部網絡和外部網絡這間的平安連接的一個設備或一組設備提供內部網絡和Internet這間平安連接的單點存在。圖1-1Cisco防火墻1.2防火墻的性質從里向外和從外向里的數據都必須經過防火墻，這是通過物理上阻塞所有不經過防火墻的局域網來實現的；只有被認可的通信量，通過本地平安策略進展定義后，才能通過防火墻；防火墻本身不可穿透，這就隱含使用了一個裝有平安操作系統(tǒng)的可信任系統(tǒng)；1.3防火墻的作用防火墻是網絡平安的屏障一個防火墻能極大地提高一個內部網絡的平安性，并通過過濾不平安的效勞而降低風險。由于經過精心選擇的應用協議才能通過防火墻，所以網絡環(huán)境更平安。防火墻可以強化網絡平安策略通過以防火墻為中心平安方案配置，能將所有平安軟件〔如口令加密等〕配置在防火墻上。與將網絡平安問題分散到各個主機上相比，防火墻的集中平安管理更經濟。對網絡存取和進展監(jiān)控審計如果所有的都經過防火墻，則防火墻就能記錄下這些并作出日志記錄，同時也能提供網絡使用情況的統(tǒng)計數據。當發(fā)生可疑動作時，防火墻能進展適當的報警，并提供網絡是否受到監(jiān)測和攻擊的詳細信息。防止內部信息的外泄防火墻在網絡周圍創(chuàng)立了一個保護的邊界。并且對于公網隱藏了內部系統(tǒng)的一些信息以增加**性。當遠程節(jié)點偵測網絡時，他們僅僅能看到防火墻。遠程設備將不會知道內部網絡的布局以及都有些什么。除了平安作用，防火墻還支持具有Internet效勞特性的企業(yè)內部網絡技術體系VPN。通過VPN，將企業(yè)事業(yè)單位在地域上分布于全世界各地的LAN或專用子網，有機地聯成一個整體。為信息共享提供了技術保障。2防火墻的常用技術防火墻的各類多種多樣，在不同的開展階段，采用的技術也各不一樣。防火墻主要采用的技術有以下幾種：2.1包過濾技術包過濾(PacketFilter)技術，是最早出現的防火墻技術，雖然防火墻技術開展到現在提出了很多新的理念，但是包過濾仍然是防火墻為系統(tǒng)提供平安保障的主要技術，它可以阻擋攻擊，制止外部/內部*些站點以及限制單個IP地址的流量和連接數。系統(tǒng)按照一定的信息過濾規(guī)則，對進出內部網絡的信息進展限制，允許授權信息通過，而拒絕非授權信息通過。包過濾技術開展到現在，它已經從早期的靜態(tài)包過濾演進到了現在的動態(tài)包過濾技術。靜態(tài)包過濾靜態(tài)包過濾技術的實現非常簡單，就是在網關主機的TCP／IP協議棧的IP層增加一個過濾檢，對IP包的進棧、轉發(fā)、出棧時均進展針對于每個包的源地址、目的地址、端口、應用協議進展檢查，用戶可以設立平安策略，比方**源地址制止對外部的、制止對外部的*些目標地址的、關閉一些危險的端口等等，事實證明，一些簡單而有效的平安策略可以極大的提高內部系統(tǒng)的平安，由于靜態(tài)包過濾規(guī)則的簡單、高效，直至目前，它仍然得到應用。動態(tài)包過濾動態(tài)包過濾(DynamicPacketFilter)技術除了含有靜態(tài)包過濾的過濾檢查技術之外，還會動態(tài)的檢查每一個有效連接的狀態(tài)，所以通常也稱為狀態(tài)包過濾技術。狀態(tài)包過濾克制了第一代包過濾(靜態(tài)包過濾)技術的缺乏，如信息分析只基于頭信息、過濾規(guī)則的缺乏可能會導致平安漏洞、對于大型網絡的管理能力缺乏等等。2.2電路級網關電路級網關又稱為線路級網關，它工作在OSI參考模型的會話層。它的作用是在內、外網絡主機這間建立一個虛擬電路進展通信，相當于在防火墻上翻開一個通道進展傳輸。使用電路級網關作為防火墻需要特殊的客戶端程序。在初次連接時，客戶端程序與網關進展平安協商和控制，協商通過之后，網關的存在對應用來說就透明了，客戶端與效勞器之間的交互就像沒有網關一樣。只有懂得如何與電路級網關通信的客戶端程序才能到達防火墻另一端的效勞器。所以，對普通的客戶端程序來說，必須通過適當改造，或者借助他響應的處理，才能通過電路級網關效勞器。早期的電路級網關只處理TCP連接，并不進展任何附加的包處理或過濾。電路級網關就像電線一樣，只是在內部連接和外部連接之間來回拷貝。但對于外部網絡用戶而言，連接似乎源于網關，網關屏蔽了受保護網絡的有關信息，因而起到了防火墻的作用。2.3應用層代理技術包過濾技術在網絡層實現數據包的攔截、分析和過濾等應用。代理(Pro*y)技術針對每一個特定應用，在應用層實現網絡數據流保護功能，代理的主要特點是具有狀態(tài)性。代理能夠提供局部與傳輸有關的狀態(tài)，能完全提供與應用相關的狀態(tài)局部傳輸信息，代理也能夠處理和管理信息。應用層代理使得網絡管理員能夠實現比包過濾更嚴格的平安策略。應用層代理不用依靠包過濾工具來管理Intemet效勞在防火墻系統(tǒng)中的進出，而是采用為每種效勞定制特殊代碼(代理效勞)的方式來管理Intemet效勞。顯然，應用層代理可以實現網絡管理員對網絡效勞更細膩的控制。但是，應用代理的代碼并不通用，如果網絡管理員沒有為*種應用層效勞在應用層代理效勞器上安裝特定的代碼，則該項效勞就無法被代理型防火墻轉發(fā)。同時，管理員可以根據實際需要選擇安裝網絡管理認為需要的應用代理效勞功能。2.4網絡地址轉換技術NAT(NetAddressTranslation，網絡地址轉換)的最初設計目的是用來增加私有組織的可用地址空間和解決將現有的私有TCP／IP網絡連接到互聯網上的口地址編號問題。私有IP地址只能作為內部網絡號，不在互聯網主干網上使用。網絡地址翻譯技術通過地址映射保證了使用私有IP地址的內部主機或網絡能夠連接到公用網絡。NAT網關被安放在網絡末端區(qū)域(內部網絡和外部網絡之間的邊界點上)，并且在源自內部網絡的數據包發(fā)送到外部網絡之前把數據包的源地址轉換為唯一的IP地址。網絡地址翻譯技術并非為防火墻而設計，它在解決IP地址短缺的同時提供了如下功能：內部主機地址隱藏；網絡負載均衡；網絡地址交迭。正是內部主機地址隱藏的特性，使其網絡地址翻譯技術成為了防火墻實現中經常采用的核心技術之一。3防火墻的類型和工作原理3.1包過濾防火墻包過濾防火墻的工作原理在網絡中，所有的信息傳輸都是以包的方式來實現的。包過濾是指對通過網絡的數據包進展過濾操作，只有滿足條件的數據才能通過網絡，包過濾設備可以是路由器、網橋或計算機，通常是包過濾路由器。數據包過濾是通過對數據包的IP頭和TCP頭或UDP頭的檢查來實現的，主要信息有：IP源地址、IP目標地址、協議〔TCP包、UDP包和ICMP包〕、TCP或UDP包的源端口、TCP或UDP包的目標端口、數據包到達的端口、數據包出去的端品。數據包過濾一般使用過濾路由器來實現，這種路由器與普通的路由器有所不同。普通的路由器只檢查數據包的目標地址，并選擇一個到達目的地址的最正確路徑。它處理數據包是以目標地址為根底的，存在著兩種可能性：假設路由器可以找到一個路徑到達目標地址則發(fā)送出去；假設路由器不知道如何發(fā)送數據包則通知數據包的發(fā)送都“數據包不可達〞。過濾路由器會更加仔細地檢查數據包，除了決定是否有到達目標地址的路徑外，還要決定是否應該發(fā)送數據包?！皯撆c否〞是由路由器的過濾策略決定并強行執(zhí)行的。包過濾路由在網絡上的物理位置和協議上的邏輯位置如圖3-1和圖3-2所示。圖3-1包過濾路由的物理位置圖3-2包過濾路由器的邏輯位置包過濾的應用圖3-1包過濾在天網防火墻上的應用3.2應用網關應用網關是指在網關上執(zhí)行一些特定的應用程序或效勞器程序，它他分別代表兩個端系統(tǒng)的應用效勞，這些程序統(tǒng)稱為“代理〞程序，因此，應用網關又稱為代理防火墻，屬應用級防火墻。應用網關的原理這類防火墻的物理位置可位于內部網絡的邊界處，也右位于內部網絡中〔這樣的防火墻必須配置成有關應用效勞，必須通過應用代理效勞才能與外部網絡連接〕，但邏輯位置是在協議的應用層上。如果屬于前一類配置，則通常是一臺封堵了內外直接連接的雙穴主機為兩端的機器代理效勞請求。它一般針對*一特定的應用，采用應用協議代理效勞的工作方式實施平安策略。這時，由代理程序將外部用戶對內部網絡的效勞請求依據已制定的平安策略決定是否向內部真實效勞器提交。代理效勞器代替外部用戶與內部網絡中的效勞器進展連接，類似于應用效勞和用戶之間的轉發(fā)器。當一個遠程用戶請求內部效勞時，它首先與這個代理效勞器相連，經過鑒別后再由代理效勞器連接到目的的主機，同時將效勞器的響應傳送給所有代理的客戶，其間代理效勞具有客戶機和效勞器之間通信全部控制權。圖3-2應用層代理工作原理應用網關的特點用戶和效勞器之間不會有直接的報文交換，所有的數據均由防火墻中繼，具有更強的審計跟蹤和報警功能，增強了網絡應用的平安性。另外，代理在應用層進展，將過濾功能從路由器獨立出來，且控制粒度可以到達特定用戶或特定效勞請求。應用網關的主要缺點：效率低，代理相當于一個簡化的應用效勞的效勞器端程序和客戶端程序，且每個合法通過的效勞都要在代理上啟動效勞器進程和客戶進程，因此系統(tǒng)開銷較大；通常應用代理所做的平安檢查比包過濾防火墻更加細致，工作量更大，是影響效率的一個因素。另外，應用層代理需特制的程序，且只能針對專門的應用，并可能局限于這些應用的特定版本，而且當防火墻不能工作時，對應的網絡效勞也就不能使用了。3.3電路網關電路網關的工作原理電路級網關也稱為回路層代理，其工作原理和組成構造與應用級防火墻相似，但它并不針對專門的應用協議，而是一種通用的連接中繼效勞，是建立在運輸層的一種代理方法。連接的發(fā)起方不直接與響應方建立連接，而是與回路層代理將建立兩個連接，一個是在回路層代理和內部主機上的一個用戶之間，另一個是在回路層代理和外部主機上的一個用戶之間。通常，實現這種防火墻功能都是在通用的運輸層之上插入代理模塊，所有的出入連接必須連接代理，通過平安檢查之后數據才能被轉發(fā)。網關的控制規(guī)則決定是否允許連接?；芈穼哟砜梢蕴峁┹^詳盡的控制機制，其中包撟鑒別和其他客戶與代理之間的會話信息交換?；芈穼哟砼c應用網關不同的是，對于所網絡效勞都通過共同的回路層代理，所以這種代理也稱為“公共代理〞。圖3-3回路層代理工作原理回路代理防火墻的特點1.對連接的存在時間進展監(jiān)測，從而防止過大的和文件傳送。2.建立允許的發(fā)起方列表，并提供鑒別機制。3.對傳輸的數據提供加密保護。3.4混合型防火墻混合型防火墻是指綜合應用多種防火墻技術的防火墻。例如：包過濾防火墻可以增加動態(tài)檢查模塊以處理各種網絡應用。應用代理在建立時可以增加基于包檢查的過濾方法，引入透明代理。許多防火墻產品將包過濾和應用代理的方法結合起來，用包過濾控制低層通信，用代理保證應用的平安。現在，人們把綜合采用包過濾技術、代理效勞技術、入侵監(jiān)測技術、病毒監(jiān)測防護技術和密碼技術的防火墻稱為第代防火墻，這類新型防火墻雖然代表了今后防火墻技術的開展方向，但它已不再是最初意義上的防火墻，其主要特點包括：防火墻廠商擁有平安的或定制的操作系統(tǒng)源代碼，可實現平安內核。對平安內核進展加固右進一步加強平安保護。對每個了系統(tǒng)所實施的平安處理可隔離黑客攻擊到子系統(tǒng)內部，不致造成對其他局部的威脅。具備包過濾、應用網關、回路網關的功能。具有鑒別、完整性校驗和加密等多種密碼應用功能。具有計算機病毒檢測防護報警功能。具有較完善的審計跟蹤和報警功能。4防火墻實例—天網防火墻天網防火墻個人版是給個人電腦使用的網絡平安防火墻。它根據系統(tǒng)管理者設定的平安規(guī)則監(jiān)控網絡，提供強大的控制、身份認證、信息過濾、應用程序網絡狀態(tài)等功能。它可以幫用戶抵擋網絡入侵和攻擊，防止信息泄露。這樣有效的個人電腦的平安問題。翻開天網防火墻后，可以根據自己平安的需要進展設置天網防火墻。天網防火墻提供了各項功能，包括應用程序規(guī)則設置、IP規(guī)則管理設置、系統(tǒng)設置、當前系統(tǒng)所有程序使用狀態(tài)、平安級別設置等功能。4.1應用程序規(guī)則設置在運行天網防火墻時，啟動任何應用程序只要有數據包發(fā)送和接收存在，都會被天網防火墻先截獲分析，并彈出警告信息窗口，如圖4-1所示，如果不勾選“該程序以后都按照這次的操作運〞選項，則在以后再次啟動該程序時，都會截獲該應用程序的數據包，并且彈出警告窗口。如果勾選“該程序以后都按照這次的操作運〞選項，則該程序將自動參加到應用程序列表中，天網防火墻將不會再攔截該程序發(fā)送各接收的數據包，也可以通過“應用程序設置〞來設置更復雜的數據包過濾方式，這里就應用到了防火墻的包過濾技術。圖4-1天網防火墻警告信息圖4-2應用程序網絡權限設置單擊該面板每個程序后的“選項〞按鈕，就可以設置應用的程序的數據通過規(guī)則，如圖4-3所示。圖4-3應用程序規(guī)則高級設置在此頁面可以設置該應用程序制止使用TCP或者UDP協議傳輸，以及設置端口過濾，讓應用程序只能通過固定一個或幾個通信端口接收和傳輸數據，當不符合上面條件時，可以詢問或制止操作。對應用程序發(fā)送數據包的監(jiān)察可以使用戶了解到系統(tǒng)有哪些程序正在進展通信，防止一些惡意程序把用戶個人隱信息偷竊，通過天網防火墻要吧制止這些程序數據通訊操作。4.2IP規(guī)則管理前面說的程序規(guī)則設置是針對每一個應用程序的，而IP規(guī)則管理是針對整個系統(tǒng)，IP規(guī)則針對整個系統(tǒng)的數包監(jiān)測，IP規(guī)則設置的界面如圖4-4所示。圖4-4IP規(guī)則設置界面在這界面可以對規(guī)則的條目進展排序、刪除、修改等操作。下列圖是IP規(guī)則的修改。圖4-5修改IP規(guī)則界面IP規(guī)則是一系列的比擬條件和一個對數據包的動作，就是根據包的第一個局部來與設置的條件比擬，當符合條件時，就可以確定對該包是通過或者阻擋。通過全理地設置規(guī)則就可以把有害的數據包阻擋在外。在此說明平安規(guī)則的設置是系統(tǒng)最重的，也是最復雜的。如果不熟悉，最好不要調整它，可以直接使用默認設計的規(guī)則。如果用戶熟悉網絡，就可以非常靈活地設計適合自己使的規(guī)則了。4.3系統(tǒng)設置天網防火墻的系統(tǒng)設置包括根本設置、管理權限設置日志管理還有入侵檢測設置等。在根本設置中勾選“開機后自動啟動防火墻〞選項后，在操作系統(tǒng)啟動的時候自動啟動，否則天網防火墻需要手工啟動。單擊規(guī)則設定“重置〞按鈕，防火墻將會把平安規(guī)則全部恢復為初始設置，對平安規(guī)則的修改和參加的規(guī)則鬮會全部被去除掉。完畢語隨著Internet的迅速的開展，網絡平安的問題也越來越得人們到重視。防火墻的技術也引起人們廣泛的關注，防火墻技術也得到了廣泛傳播。防火墻能保護人們的信息平安，但并不是絕對平安的。防火墻還在不斷的開展，仍須有很多問題要解決，所以還需要我們繼續(xù)努力。經過這幾個月的努力寫畢業(yè)論文，我體會到了原來我以前所學到的知識是這么的少，在這個過程中我也學到了很多東西，學到了做事要認認真，要有耐心，做每一件