Bwbxpi计算机网络安全防火墙技术毕业论文.docx
生活需要游戏,但不能游戏人生;生活需要歌舞,但不需醉生梦死;生活需要艺术,但不能投机取巧;生活需要勇气,但不能鲁莽蛮干;生活需要重复,但不能重蹈覆辙。 -无名计算机网络安全防火墙技术毕业论文防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止 Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的: 1)限定人们从一个特定的控制点进入; 2)限定人们从一个特定的点离开; 3)防止侵入者接近你的其他防御设施; 4)有效地阻止破坏者对你的计算机系统进行破坏。 在现实生活中,Internet防火墙常常被安装在受保护的内部网络上并接入Internet。 从上图不难看出,所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强Internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3. 防火墙技术与产品发展的回顾 防火墙是网络安全策略的有机组成部分,它通过控制与监测网络之间的信息交换与访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能: 过滤进、出网络的数据; 管理进、出网络的访问行为; 封堵某些禁止行为; 记录通过防火墙的信息内容与活动; 对网络攻击进行检测与告警。 为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术与手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。 3.1 基于路由器的防火墙 由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是: 1)利用路由器本身对分组的解析,以访问控制表(Access List)方式实现对分组的过滤; 2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征; 3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。 路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用FTP协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。 路由器上分组过滤规则的设置与配置存在安全隐患。对路由器中过滤规则的设置与配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性与规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。 路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。 路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调与的矛盾,防火墙的规则设置会大大降低路由器的性能。 可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。 3.2 用户化的防火墙工具套 为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。 作为第二代防火墙产品,用户化的防火墙工具套具有以下特征: 1)将过滤功能从路由器中独立出来,并加上审计与告警功能; 2)针对用户需求,提供模块化的软件包; 3)软件可以通过网络发送,用户可以自己动手构造防火墙; 4)与第一代防火墙相比,安全性提高了,价格也降低了。 由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题: 配置与维护过程复杂、费时; 对用户的技术要求高; 全软件实现,使用中出现差错的情况很多。 3.3 建立在通用操作系统上的防火墙 基于软件的防火墙在销售、使用与维护上的问题迫使防火墙开发商很快推出了建立在通用操 作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些 特点: 1)是批量上市的专用防火墙产品; 2)包括分组过滤或者借用路由器的分组过滤功能; 3)装有专用的代理系统,监控所有协议的数据与指令; 4)保护用户编程空间与用户可配置内核参数的设置; 5)安全性与速度大大提高。 第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同 。但随着安全需求的变化与使用时间的推延,仍表现出不少问题,比如: 1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性 无从保证; 2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的 安全性负责; 3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击; 4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能; 5)透明性好,易于使用。第 5 页