防火墙技术在企业网络中的应用毕业论文.doc
系主任金传伟批准日期肇 庆 工 商 职 业 技 术 学 院毕 业 设 计(论 文)任 务 书 兹发给计算机应用技术系应用X 班学生 毕业设计(论文)任务书,内容如下: 1.毕业设计(论文)题目: 2.应完成的项目: (1)掌握防火墙的软件的配置、调试、管理的一般方法 (2)掌握网络安全和网络管理中分布式防火墙的应用 (3)掌握防火墙在企业网中的使用 (4)掌握分布式防火墙在企业网络中的组建 3.参考资料以及说明: 1 个人防火墙 编著:福德 人民邮电出版社 2002.82 网络安全性设计编著:美 Merike Kae 人民邮电出版社 2003年10月第二版.3 网络信息安全技术 编著:聂元铭 丘平 科学出版社 2001年2月第一版4 网络安全与Firewall技术编著:楚狂 等 人民邮电出版社 2004年3月第一版5 计算机网络工程实用教程 电子工业出版社6 网络安全与管理 清华大学出版社7 陈冰. 企业计算机网络防火墙的选择 J. 供用电, 2004,(04)8 闫宝刚. 防火墙组网方案分析 J. 大众标准化, 2004,(08) 9 潘登. 浅析防火墙技术J. 株洲工学院学报, 2004,(02) 10 芦军, 丁敏. 浅谈防火墙设计J. 房材与应用, 2004,(01) 4.本毕业设计(论文)任务书于 年 月 日发出,应于 年 月 日前完成。 指导教师: 签发 年 月 日 学生签名: 年 月 日毕业设计(论文)开题报告题目防火墙技术在企业网络中的应用时间 年 月 日至 年 月 日本课题的目的意义(1) 验证所学理论基础;(2) 掌握工程中防火墙的软件的配置、调试、管理的一般方法;(3) 提高同组项目人员之间的协调、合作、团结能力;(4) 掌握网络安全和网络管理中分布式防火墙的应用;(5) 掌握防火墙在企业网中的使用;(6) 培养分析问题、解决问题和独立工作的能力;设计(论文)的基本条件及依据 随着计算机网络技术的迅猛发展和Intranet用户数量的激增,以及新型网络服务的研究、实施和应用。计算机网络安全问题日益突出。使得计算机安全问题成为影响计算机互连网络进一步发展的一个重要因素。以往采用的安全保护中使用的最多的是传统的防火墙机制可是随着网络技术的不断发展。传统的防火墙已经逐渐不能满足安全的需要,针对传统防火墙所带来的问题,提出了一种基于Kerberos认证的分布式防火墙的新型体系结构,在保留传统防火墙优点的基础上以Kerberos协议为主要基础,综合网络安全软件算法合理运用防火墙相关知识,实现内部网安全分布式防火墙系统,解决了传统防火墙的安全隐患。为众多内部网络用户的需要重点保护的网络资源提供一个可管理的、分布式的安全网络环境。本课题的主要内容、重点解决的问题主要内容:(1) 防火墙技术特点(2) 防火墙的安全策略(3) 防火墙的安全设计 重点解决的问题:(1) 保护脆弱的服务 ,过滤不安全的服务(2) 控制对系统的访问(3) 对企业内部网实现集中的安全管理(4) 增强网络的保密性 (5) 网络安全策略的执行本课题欲达到的目的或预期研究的结果分布式防火墙代表新一代的防火墙技术,可以在网络的所有终端节点设置安全屏障,随着网络的扩大,所需处理的负荷也在网络的各个节点进行分布,不会像传统边际防火墙那样随着网络规模扩大成为网络的瓶颈。而基于C/S结构可以在策略服务器上设置安全策略再分发到客户端,便于安全策略的及时更新。同时具有强大的入侵检测和日志管理功能,形成了较好的安全体系,安装和使用都相对简单,无需改变网络的现有架构,可以较低的成木满足大中型企业对于计算机网络的安全需求。参考资料1 个人防火墙 编著:福德 人民邮电出版社 2002.82 网络安全性设计编著:美 Merike Kae 人民邮电出版社 2003年10月第二版.3 网络信息安全技术 编著:聂元铭 丘平 科学出版社 2001年2月第一版4 网络安全与Firewall技术编著:楚狂 等 人民邮电出版社 2004年3月第一版5 计算机网络工程实用教程 电子工业出版社6 网络安全与管理 清华大学出版社7 陈冰. 企业计算机网络防火墙的选择 J. 供用电, 2004,(04)8 闫宝刚. 防火墙组网方案分析 J. 大众标准化, 2004,(08) 9 潘登. 浅析防火墙技术J. 株洲工学院学报, 2004,(02) 10 芦军, 丁敏. 浅谈防火墙设计J. 房材与应用, 2004,(01) 计 划 进 度时 间工 作 内 容备 注13 周:412 周:13 周:1415 周:16 周: 复习“网络安全”、“网络管理”、“计算机网络”、“网络操作系统”等相关的书籍资料;查阅企业网,分布式防火墙相关资料,调研安全设计技术方案,确定设计方案书写开题报告。 基于分布式防火墙的规则分析,在企业网环境下具体分布式防火墙的配置和调试; 测试防护能力; 编写毕业设计技术文件:说明书、程序流程图、程序清单或配置清单; 准备答辩,对设计内容进行总结,弄懂各部分的原理及系统的工作过程,写出毕业答辩的发言稿,做到心中有数,应对毕业答辩。视实际情况而定指导教师意见 指导教师签名: 年 月 日(注:本表可自主延伸) 摘 要 随着计算机网络的发展,上网的人数不断地增大,网上的资源也不断地增加,网络的开放性、共享性、互连程度也随着扩大。网络安全产品也被人们重视起来。防火墙作为最早出现的网络安全产品和使用量最大的安全产品,也受到用户和研发机构的青睐。防火墙实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问, 也可以使用防火墙阻止保密信息从受保护网络上被非法输出。防火墙技术作为目前用来实现网络安全措施的一种主要手段,它主要是用来拒绝未经授权用户的访问,阻止未经授权用户存取敏感数据,同时允许合法用户不受妨碍的访问网络资源。如果使用得当,可以在很大程度上提高网络安全。关键词:网络、安全、防火墙目 录引 言3第一章 防火墙技术41.1 防火墙的基本概念41.2防火墙的技术分类41.3 防火墙的功能5第二章 企业网络安全62.1企业计算机网络安全的现状62.2企业计算机网络的不安全因素62.3 安全防护措施7第三章 防火墙技术在企业中的应用103.1防火墙的重要性103.2 防火墙的功能103.3 防火墙的实际应用12第四章 分布式防火墙144.1分布式防火墙概述144.2分布式防火墙的主要功能164.3 分布式防火墙在企业中的应用18结束语20参考文献21致 谢22引 言随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络和银行等传输敏感数据的计算机网络系统而言,其网上信息的安全和保密尤为重要。因此,上述的网络必须有足够强的安全措施,否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。第一章 防火墙技术1.1 防火墙的基本概念防火墙是一个系统或一组系统,在内部网与因特网间执行一定的安全策略,它实际上是一种隔离技术。一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙,所有流经防火墙的信息都应接受检查。而从本质上来说防火墙是一种保护装置,用来保护网络数据、资源和用户的声誉;从技术上来说,网络防火墙是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,换句话说,防火墙是一道门槛,控制进/出两个方向的通信,防火墙主要用来保护安全网络免受来自不安全网络的入侵,如安全网络可能是企业的内部网络,不安全网络是因特网,当然,防火墙不只是用于某个网络与因特网的隔离,也可用于企业内部网络中的部门网络之间的隔离。1.2防火墙的技术分类现有的防火墙主要有:包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。 包过滤型防火墙,又称筛选路由器或网络层防火墙,它工作在网络层和传输层。它基于单个数据包实施网络控制,根据所收到的数据包的源IP地址、目的IP地址、TCP/UDP源端口号及目标端口号、ICMP消息类型、包出入接口、协议类型和数据包中的各种标志等为参数,与用户预定的访问控制表进行比较,决定数据是否符合预先制定的安全策略,决定数据包的转发或丢弃,即实施过滤。代理服务器型防火墙通常由两部分构成,服务器端程序和客户端程序。客户端程序与中间节点连接,中间节点再与提供服务的服务器实际连接。复合型防火墙将包过滤和代理服务两种方法结合起来,形成新的防火墙,由堡垒主机提供代理服务。各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主要有:双宿主主机防火墙,它是由堡垒主机充当网关,并在其上运行防火墙软件,内外网之间的必须经过堡垒主机;主机过滤防火墙是指一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的惟一节点,从而确保内部网不受外部非授权用户的攻击;加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。1.3 防火墙的功能一般来说,防火墙具有以下几种功能: 能够防止非法用户进入内部网络。 可以很方便地监视网络的安全性,并报警。 可以作为部署 NAT(网络地址变换)的地点,利用 NAT 技术,将有限的 IP 地址动态或静态地与内部的 IP 地址对应起来,用来缓解地址空间短缺的问题。 可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署 WWW服务器和 FTP 服务器,将其作为向外部发布内部信息的地点。从技术角度来讲,就是所谓的停火区(DMZ)。 第二章 企业网络安全2.1企业计算机网络安全的现状 计算机网络在不断发展,数字信息化已成为全球发展趋势。但是随着网络资源的强大共享,许多敏感以及保密信息会遭到主动或被动的攻击,特别对于企业来说,保密信息何其重要,由此,网络安全问题逐渐被重视起来。网络的开放性与共享性致使其易遭黑客以及病毒或是恶意软件的攻击,导致信息泄露或是程序被篡改等问题的产生。当网络规模发展越来越大的时候,网络安全问题也越来越严峻和复杂。为确保企业的信息安全和网络畅通,对于计算机网络安全问题的解决措施和防范措施已迫在眉睫。伴随着信息产业与信息技术的发展,企业计算机网络与信息安全问题也日渐凸显。数据显示,我国当前的互联网使用数量已排在世界第二位。而同时,利用互联网的犯罪行为在以每年30%的速度在增长。这些数据表明我国的网络信息安全已远落后于发达国家,因此,对我国安全形势的了解是十分重要的。2.2企业计算机网络的不安全因素1.计算机病毒计算机病毒的危害是大家所熟悉的。这种问题很常见。病毒的变异速度很快,即使我们的电脑上都安装了杀毒软件,也还是会受到新型病毒的攻击。严重时可能会致使企业网络局部或全部瘫痪。如特洛伊木马,这种木马程序当前是黑客们常用的一种攻击手段,木马会挂在一些链接和网页上,通过用用户点击访问,在Windows系统下潜藏并在用户联网时,通过服务器与客户端的运行,实现对用户电脑的远程操作。对于使用计算机网络的企业来说,计算机病毒是十分具有威胁性的。2.网络扩展不规范对于一个已经实施完成并投入使用的计算机网络工程来说,被允许无限制的扩展是不可能的,更不用说不符合规范的扩展方式。有些企业用户自作主张将本部门的计算机联上企业的网络,甚至擅自在网络上增加网络集线器。这些做法会改变网络结构,这会影响到整个网络系统的速度和应用效果。所以系统的扩展要受到企业技术部门的审核和批准,确保网络系统的扩展符合网络结构的规划。3网络安全管理制度不严格 企业内部网络安全管理制度不严格,网络安全体系管理失败的原因之一。网络升级不及时或管理员配置不当都会造成安全漏洞。用户口令保密强度低,软件下载网站随意,用户安全意识不强,把自己的用户密码随意借给别人使用会随意资源共享,这都使网络安全处于威胁之中。2.3 安全防护措施1.防病毒技术随着计算机技术的迅猛发展,病毒也愈加的复杂很难以应付,对计算机的信息系统也构成了很大的威胁。企业中普遍使用的防毒软件,按功能分类可以分为网络杀毒软件和单机杀毒软件两种。单机杀毒软件通常装在单独的电脑上,就是对本地网络连接接受远程资源运用分析扫描的方式进行检测、清理病毒。网络杀毒软件相对而言比较注重防护网络上的病毒,病毒一旦入侵网络或是由网络向其它资源传染。杀毒软件会及时检测并加以删除。 2数据加密加密是指通过一种方式使数据信息混乱,从而使未授权人无法识别。加密方式用两种:私匙加密与公匙加密。2.1 私匙加密私匙加密也称为对称密匙加密。因为用来给信息加密的密匙同时也是为信息解密的密匙。私匙加密的产生使信息的紧密性跟进了一步。它并非提供认证,因为该密匙的任何一个使用者都可以随意创建和加密一则有效信息。这种方法的优势在于速度较快,容易在软件和硬件中实现。2.2 公匙加密这种加密方式出现的较晚,与私匙加密不同的是,私匙加密用的是同一个密匙加密和解密,而公匙加密使用的是两个密匙,一个用于加密,一个用于解密。这种方式相较于私匙加密的缺陷在于,这种方式属于计算密集型,相对速度较慢。但如如果将这两种方式结合起来,就会得到一个更为复杂的系统,得到更为显著的效果。3.数字签名技术数字签名是一种运用加密手段来认证电子信息的方式。这种方式的效果及安全性能取决去计算机网络用户私匙安全防护的哈希函数。这种技术基于加密技术而产生。可以用混合加密算法,对称加密算法和非对称加密算法来实现。4. 防火墙技术的使用防火墙是由硬件和软件组成的系统。用于控制两个网络之间的接入。有防火墙保护的网络是可信赖的网络,没有防火墙保护的因特网是不可信赖的。网络发给计算机的所有数据都要先经过互联网的判断,判断信息是否安全,再决定是否传给电脑。如果发现有不安全信息,防火墙会自动拦截,从而使企业的计算机系统得到实时防护。 5.加强和完善企业内部的网络安全管理制度对于网络安全的不稳定性,除了要对网络设计上开设安全服务功能并完善系统安全的保密措施外,严密计算机网络安全管理制度的事实同样是建立安全网络的基础。只有结合安全管理制度与安全管理手段,整个网络的安全才得以保障。第三章 防火墙技术在企业中的应用3.1防火墙的重要性为了维护计算机网络的安全,人们提出了许多手段和方法,采用防火墙是其中最主要、最核心、最有效的手段之一。防火墙是网络安全政策的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实施对网络安全的有效管理。随着互联网应用的日益普及,网络已成为主要的数据传输和信息交换平台,许多部门和企业在网上构建了关键的业务流程,电子政务和电子商务将成为未来主流的运作模式。网络安全和信息安全是保障网上业务正常进行的关键,并已日益成为网络用户普遍关注的焦点问题。因此,网络安全成为这两年IT业内的热点话题,而防火墙更是热点中的一个焦点。因为,防火墙是企业网络安全的最重要的守护者。 3.2 防火墙的功能(1)防火墙是网络安全的屏障: 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 (2)防火墙可以强化网络安全策略: 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。 (3)对网络存取和访问进行监控审计: 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 (4)防止内部信息的外泄: 通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。 除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。3.3 防火墙的实际应用随着计算机技术的发展与完善,计算机网络在企业生产经营过程中发挥重要作用。近年来,越来越多的企业构建内部信息化发展体系。可以说,在现代化市场竞争与发展过程中,企业的生产经营将与计算机网络密切相关。因此,如何提高计算机网络安全,已成为当前企业不得不思考的问题,只有形成一个安全、可靠、平稳的计算机网络体系,才能提升企业核心竞争力,规避企业风险。目前我国大多数企业缺乏安全防范意识与基本的安全策略,仅使用最简单的网络安全保障措施,且各种安全措施之间相互分离、彼此矛盾,有时难以保障网络安全,甚至影响网络应用性能。随着企业发展壮大,对计算机网络的应用与需求量加大,如果不断修补网络安全措施,将造成整个安全系统的臃肿、难以维护,这就需要从根本上加强网络安全管理,树立安全管理意识,积极应用各种新技术、新手段,真正做到防范于未然,提高企业计算机网络应用效率,实现企业健康、长远发展。目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关, 它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问, 同时阻止了外部未授权访问对专用网络的非法访问。一般来说, 这种防火墙的安全性能很高,是最不容易被破坏和入侵的。 网络安全问题简单化 ,大多数企业家缺乏对IT技术的深入了解,他们通常会被网络的安全需求所困扰、吓倒或征服。许多企业领导,不了解一部网关与一台路由器之间的区别,却不愿去学习,或因为太忙而没时间去学。 他们只希望能够确保财务纪录没被窃取,服务器不会受到一次"拒绝服务攻击"。他们希望实现这些目标,但不希望为超出他们需求范围的技术或服务付出更高的成本,就像销售计算机设备的零售店不愿意提供额外服务一样。 企业网络安全是一个永远说不完的话题,今天企业网络安全已被提到重要的议事日程。一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关,而且和领导的决策、工作环境中每个员工的安全操作等都有关系。 网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增。要永远保持在知识曲线的最高点,把握住企业网络安全的大门,从而确保证企业的顺利成长。第四章 分布式防火墙4.1分布式防火墙概述1.传统防火墙的缺陷(1)结构性限制:边界防火墙的工作机理依赖于网络的物理拓扑结构。但随着越来越多的企业利用互联网构架自己的跨地区网络,包括家庭移动办公和的服务器托管等越来越普遍,所谓内部企业网已经是一个逻辑的概念;另一方面,电子商务的应用要求商务伙伴之间在一定权限下进入到彼此的内部网络,所以说,企业网的边界已经是一个逻辑的边界物理的边界日趋模糊,边界防火墙的应用受到了愈来愈多的结构性限制。(2)内部安全:边界防火墙设置安全策略的一个基本假设是:网络的一边即外部的所有人是不可信任的,另一边即内部的所有人是可信任的。但在实际环境中,据统计,80%的攻击和越权访问来自与内部,也就是说,边界防火墙在对付网络安全的主要威胁内部威胁时束手无策。(3)效率和故障:边界防火墙把检查机制集中在网络边界处的单点上,产生了网络的瓶颈问题,这也是目前防火墙用户在选择防火墙产品时不得不首先考察其检测效率而按前机制反在其次的原因。边界防火墙厂商也在不遗余力地提高防火墙单机处理能力甚至采用防火墙群集技术来解决这个边界防火墙固有的结构性瓶颈问题;另外,安全策略的复杂性也给效率问题雪上加霜,对边界防火墙来说,针对不同的应用和多样的系统要求,不得不经常在效率和可能冲突的安全策略之间权衡利害取得折中方案,产生了许多策略性的安全隐患;最后,边界防火墙本身也存在着单点故障危险,一旦出现问题或被攻克,整个内部网络完全暴露在外部攻击者面前。2.分布式防火墙的优点(1)增强的系统安全性增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略。最新的分布式防火墙将防火墙功能分布到网络的各个子网、桌面系统、笔记本计算机以及服务器PC上。分布于整个企业内的分布式防火墙使用户可以方便地访问信息,而不会将网络的其他部分暴露在潜在非法入侵者面前。凭借这种端到端的安全性能,用户通过内部网、外联网、虚拟专用网还是远程访问所实现与企业的互联不再有任何区别。分布式防火墙还可以使企业避免发生由于某一台端点系统的入侵而导致向整个网络蔓延的情况发生,同时也使通过公共账号登录网络的用户无法进入那些限制访问的计算机系统。另外,由于分布式防火墙使用了IP安全协议,能够很好地识别在各种安全协议下的内部主机之间的端到端网络通信,使各主机之间的通信得到了很好的保护。所以分布式防火墙有能力防止各种类型的攻击。特别在当我们使用IP安全协议中的密码凭证来标志内部主机时,基于这些标志的策略对主机来说无疑更具可信性。(2)提高了系统性能消除了结构性瓶颈问题,提高了系统性能。传统防火墙由于拥有单一的接入控制点,无论对网络的性能还是对网络的可靠性都有不利的影响。分布式防火墙则从根本上去除了单一的接入点,而使这一问题迎刃而解。另一方面分布式防火墙可以针对各个服务器及终端计算机的不同需要,对防火墙进行最佳配置,配置时能够充分考虑到这些主机上运行的应用,如此便可在保障网络安全的前提下大大提高网络运转效率。(3)系统的扩展性分布式防火墙随系统扩充提供了安全防护无限扩充的能力。因为分布式防火墙分布在整个企业的网络或服务器中,所以它具有无限制的扩展能力。随着网络的增长,它们的处理负荷也在网络中进一步分布,因此它们的高性能可以持续保持住,克服了传统防火墙因网络规模增大而不堪重负的弊端。4.2分布式防火墙的主要功能(1)Internet访问控制。依据工作站名称、设备指纹等属性,使用“Internet访问规则”,控制该工作站或工作站组在指定的时间段内是否允许/禁止访问模板或网址列表中所规定的Internet Web服务器,某个用户可否基于某工作站访问www服务器,同时当某个工作站/用户达到规定流量后确定是否断网。(2)应用访问控制。通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测,控制来自局域网/Internet的应用服务请求,如SQL数据库访问、IPX协议访问等。(3)网络状态监控。实时动态报告当前网络中所有的用户登陆、Internet访问、内网访问、网络入侵事件等信息。(4)黑客攻击的防御。抵御包括Smurf拒绝服务攻击、ARP欺骗式攻击、Ping攻击、Trojan木马攻击等在内的近百种来自网络内部以及来自Internet的黑客攻击手段。 (5)日志管理。对工作站协议规则日志、用户登陆事件日志、用户Internet访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。(6)系统工具。包括系统层参数的设定、规则等配置信息的备份与恢复、流量统计、模板设置、工作站管理等。图1防火墙在企业中的应用4.3 分布式防火墙在企业中的应用4.3.1利用分布式防火墙查杀病毒 企业级防火墙作为企业网络安全的“门神”,有着不可替代的作用。但实践证明,企业级防火墙也不能令人完全满意。与企业级防火墙相比,个人防火墙(主机防火墙)可以有效地阻止内部网络攻击,并且由于防护节点在主机,可以大大减轻对网络带宽和资源的影响。但个人防火墙在企业网络中的应用和防病毒软件的应用一样面临管理的问题,没有统一整体的管理,个人防火墙也不会起到应有的作用。 分布式防火墙技术的出现,有效地解决了这一问题。它不仅提供了个人防火墙、入侵检测、脚本过滤和应用程序访问控制等功能,最主要的是提供了中央管理功能。利用EVER LINK分布式防火墙中央管理器,可以对网络内每台计算机上的防火墙进行配置、管理和更新,从宏观上对整个网络的防火墙进行控制和管理。这种管理可以在企业内部网中进行,也可以通过Internet实现远程管理。另外,对于应用较简单的局域网,网络杀毒和分布式防火墙的组合是比较易于部署且维护方便的安全解决方案。 4.3.2利用分布式防火墙堵住内网漏洞 随着网络安全技术的不断发展,传统边界防火墙逐渐暴露出一些弱点,具体表现在以下几个方面。(1)受网络结构限制,边界防火墙的工作机理依赖于网络的拓扑结构。随着越来越多的用户利用互联网构架跨地区企业网络,移动办公和服务器托管日益普遍,加上电子商务要求商务伙伴之间在一定权限下可以彼此访问,企业内部网和网络边界逐渐成为逻辑上的概念,边界防火墙的应用也受到越来越多的限制。(2)内部不够安全,边界防火墙设置安全策略是基于这样一个基本假设: 企业网外部的人都是不可信的,而企业网内部的人都是可信的。事实上,接近80%的攻击和越权访问来自于企业网内部,边界防火墙对于来自企业网内部的攻击显得力不从心。分布式防火墙把Internet和内部网络均视为不“友好”的。它们对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于Web服务器来说,分布式防火墙进行配置后能够阻止一些不必要的协议通过,从而阻止了非法入侵的发生。图2利用分布式防火墙堵住内网漏洞 (3)效率不高与故障点多,边界防火墙把检查机制集中在网络边界的单点上,由此造成网络访问瓶颈,并使得用户在选择防火墙产品时首先考虑检测效率,其次才是安全机制。安全策略过于复杂也进一步降低了边界防火墙的效率。针对传统边界防火墙存在的缺陷,专家提出了分布式防火墙方案。该方案能有效地消除前面提到的各种内网漏洞。正是由于分布式防火墙这种优越的安全防护体系,并且符合未来的发展趋势,所以使得这一技术刚出现便为许多用户所接受,成为目前公认的最有效的网络安全解决方案。结束语 现有防火墙技术仍无法给我们一个相当安全的网络。攻击时的变数太大,所以对网络安全的需求对防火墙提出了更高的要求,在防火墙目前还不算长的生命周期中,虽然问题不断,但是防火墙也从具有普通的过滤功能,逐步丰富了自身的功能,担当了更重的任务。未来,防火墙将成为网络安全技术中不可缺少的一部分。企业仍需密切关注防火墙的发展,以便更好的管理和应用。参考文献1 个人防火墙 编著:福德 人民邮电出版社 2002.82 网络安全性设计编著:美 Merike Kae 人民邮电出版社 2003年10月第二版.3 网络信息安全技术 编著:聂元铭 丘平 科学出版社 2001年2 月第一版4 网络安全与Firewall技术编著:楚狂 等 人民邮电出版社 2004年3月第一版5 计算机网络工程实用教程 电子工业出版社6 网络安全与管理 清华大学出版社7 陈冰. 企业计算机网络防火墙的选择 J. 供用电, 2004,(04)8 闫宝刚. 防火墙组网方案分析 J. 大众标准化, 2004,(08) 9 潘登. 浅析防火墙技术J. 株洲工学院学报, 2004,(02) 10 芦军, 丁敏. 浅谈防火墙设计J. 房材与应用, 2004,(01) 致 谢时光匆匆如流水,转眼便是大学毕业时节,春梦秋云,聚散真容易。离校日期已日趋临近,毕业论文的的完成也随之进入了尾声。从开始进入课题到论文的顺利完成,一直都离不开老师、同学、朋友给我热情的帮助,在这里请接受我诚挚的谢意!值此即将完成学业之际,我要衷心地感谢导师姚玉未老师三年来在学习和生活中给予的谆谆教诲和悉心的关怀。在论文的选题、研究以及撰写过程中,自始至终得到了导师的精心指导和热情帮助,其中无不凝聚着导师的心血和汗水。导师严谨求实和一丝不苟的学风、扎实勤勉和孜孜不倦的工作态度时刻激励着我努力学习,并将鞭策我在未来的工作中锐意进取、奋发努力。导师的指导将使我终生受益。需要特别感谢的是我的父母。父母的养育之恩无以为报,他们是我十多年求学路上的坚强后盾,在我面临人生选择的迷茫之际,为我排忧解难,他们对我无私的爱与照顾是我不断前进的动力。22