Bwbxpi計算機網(wǎng)絡安全防火墻技術畢業(yè)論文

生活需要游戲，但不能游戲人生；生活需要歌舞，但不需醉生夢死；生活需要藝術，但不能投機取巧；生活需要勇氣，但不能魯莽蠻干；生活需要重復，但不能重蹈覆轍。-----無名計算機網(wǎng)絡安全防火墻技術畢業(yè)論文防火墻原是指建筑物大廈用來防止火災蔓延的隔斷墻。從理論上講,Internet防火墻服務也屬于類似的用來防止外界侵入的。它可以防止Internet上的各種危險(病毒、資源盜用等)傳播到你的網(wǎng)絡內(nèi)部。而事實上,防火墻并不像現(xiàn)實生活中的防火墻,它有點像古代守護城池用的護城河,服務于以下多個目的:

1)限定人們從一個特定的控制點進入;

2)限定人們從一個特定的點離開;

3)防止侵入者接近你的其他防御設施;

4)有效地阻止破壞者對你的計算機系統(tǒng)進行破壞。

在現(xiàn)實生活中,Internet防火墻常常被安裝在受保護的內(nèi)部網(wǎng)絡上并接入Internet。

從上圖不難看出,所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻。這樣,防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統(tǒng)間進行信息交換等安全的作用。從邏輯上講,防火墻是起分隔、限制、分析的作用,這一點同樣可以從圖1中體會出來。那么,防火墻究竟是什么呢?實際上,防火墻是加強Internet(內(nèi)部網(wǎng))之間安全防御的一個或一組系統(tǒng),它由一組硬件設備(包括路由器、服務器)及相應軟件構(gòu)成。3.防火墻技術與產(chǎn)品發(fā)展的回顧

防火墻是網(wǎng)絡安全策略的有機組成部分,它通過控制和監(jiān)測網(wǎng)絡之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡安全的有效管理。從總體上看,防火墻應該具有以下五大基本功能:

●過濾進、出網(wǎng)絡的數(shù)據(jù);

●管理進、出網(wǎng)絡的訪問行為;

●封堵某些禁止行為;

●記錄通過防火墻的信息內(nèi)容和活動;

●對網(wǎng)絡攻擊進行檢測和告警。

為實現(xiàn)以上功能,在防火墻產(chǎn)品的開發(fā)中,人們廣泛地應用了網(wǎng)絡拓撲、計算機操作系統(tǒng)、路由、加密、訪問控制、安全審計等成熟或先進的技術和手段。縱觀防火墻近年來的發(fā)展,可以將其劃分為如下四個階段(即四代)。

3.1基于路由器的防火墻

由于多數(shù)路由器本身就包含有分組過濾功能,故網(wǎng)絡訪問控制可能通過路控制來實現(xiàn),從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點是:

1)利用路由器本身對分組的解析,以訪問控制表(AccessList)方式實現(xiàn)對分組的過濾;

2)過濾判斷的依據(jù)可以是:地址、端口號、IP旗標及其他網(wǎng)絡特征;

3)只有分組過濾的功能,且防火墻與路由器是一體的。這樣,對安全要求低的網(wǎng)絡可以采用路由器附帶防火墻功能的方法,而對安全性要求高的網(wǎng)絡則需要單獨利用一臺路由器作為防火墻。

●路由協(xié)議十分靈活,本身具有安全漏洞,外部網(wǎng)絡要探尋內(nèi)部網(wǎng)絡十分容易。例如,在使用FTP協(xié)議時,外部服務器容易從20號端口上與內(nèi)部網(wǎng)相連,即使在路由器上設置了過濾規(guī)則,內(nèi)部網(wǎng)絡的20號端口仍可以由外部探尋。

●路由器上分組過濾規(guī)則的設置和配置存在安全隱患。對路由器中過濾規(guī)則的設置和配置十分復雜,它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性,一般的網(wǎng)絡系統(tǒng)管理員難于勝任,加之一旦出現(xiàn)新的協(xié)議,管理員就得加上更多的規(guī)則去限制,這往往會帶來很多錯誤。

●路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網(wǎng)絡上是以明文方式傳送的,黑客(Hacker)可以在網(wǎng)絡上偽造假的路由信息欺騙防火墻。

●路由器防火墻的本質(zhì)缺陷是:由于路由器的主要功能是為網(wǎng)絡訪問提供動態(tài)的、靈活的路由,而防火墻則要對訪問行為實施靜態(tài)的、固定的控制,這是一對難以調(diào)和的矛盾,防火墻的規(guī)則設置會大大降低路由器的性能。

可以說基于路由器的防火墻技術只是網(wǎng)絡安全的一種應急措施,用這種權宜之計去對付黑客的攻擊是十分危險的。

3.2用戶化的防火墻工具套

為了彌補路由器防火墻的不足,很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護自己的網(wǎng)絡,從而推動了用戶防火墻工具套的出現(xiàn)。

作為第二代防火墻產(chǎn)品,用戶化的防火墻工具套具有以下特征:

1)將過濾功能從路由器中獨立出來,并加上審計和告警功能;

2)針對用戶需求,提供模塊化的軟件包;

3)軟件可以通過網(wǎng)絡發(fā)送,用戶可以自己動手構(gòu)造防火墻;

4)與第一代防火墻相比,安全性提高了,價格也降低了。

由于是純軟件產(chǎn)品,第二代防火墻產(chǎn)品無論在實現(xiàn)上還是在維護上都對系統(tǒng)管理員提出了相當復雜的要求,并帶來以下問題:

配置和維護過程復雜、費時;

對用戶的技術要求高;

全軟件實現(xiàn),使用中出現(xiàn)差錯的情況很多。

3.3建立在通用操作系統(tǒng)上的防火墻

基于軟件的防火墻在銷售、使用和維護上的問題迫使防火墻開發(fā)商很快推出了建立在通用操

作系統(tǒng)上的商用防火墻產(chǎn)品。近年來市場上廣泛使用的就是這一代產(chǎn)品,它們具有如下一些

特點:

1)是批量上市的專用防火墻產(chǎn)品;

2)包括分組過濾或者借用路由器的分組過濾功能;

3)裝有專用的代理系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令;

4)保護用戶編程空間和用戶可配置內(nèi)核參數(shù)的設置;

5)安全性和速度大大提高。

第三代防火墻有以純軟件實現(xiàn)的,也有以硬件方式實現(xiàn)的,它們已經(jīng)得到了廣大用戶的認同

。但隨著安全需求的變化和使用時間的推延,仍表現(xiàn)出不少問題,比如:

1)作為基礎的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知,由于源碼的保密,其安全性

無從保證;

2)由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠