网络安全防火墙基础,软件工程硕士论文.docx

《网络安全防火墙基础,软件工程硕士论文.docx》由会员分享，可在线阅读，更多相关《网络安全防火墙基础,软件工程硕士论文.docx（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络安全防火墙基础,软件工程硕士论文本篇论文目录导航：【题目】【第一章】【第二章】 网络安全防火墙基础【3.1】【3.2 - 3.4】【4.1 - 4.3】【4.4 - 4.6】【第五章】【总结/以下为参考文献】 第二章 防火墙基础 2.1 网络安全与防火墙概述 2.1.1 网络安全 Internet 技术越来越影响着社会生活的方方面面，提高了社会的信息化。用户享受着互联网信息技术带来种种便利，同时也被诸多的网络安全问题所困扰。随着各种各样的病毒和恶意攻击的不断涌现，黑客开场大肆攻击各大网站，互联网技术将会面临的挑战也是史无前例的。网络安全是指网络系统的硬件、软件及系统中的数据遭到保卫，不受偶

2、尔或恶意的原因此遭到毁坏、泄露和更改等，系统能够连续、可靠、正常地运行，而且网络服务不中断3.当前为止主要碰到的网络安全问题如下： 1信息泄露、信息污染和信息失控。 2由于网络信息发达和消息传播速度快的特点，有些不法组织利用网络传播手段进行某些违法活动来煽动群众，做出对整个社会和人们产生危害的事情。 3信息安全牵涉方面较广和使用网络的人数诸多，对网络实行统一的管理和详细政策的落实比拟困难，而且如今关于网络方面的法律法规较为缺乏，对相应违法行为的处理惩罚较少。 4随着全社会大多数重要基础设施的高度信息化，像银行系统、国家安全系统、紧急救援设备系统、教育系统等关乎国计民生的重要设施面临着更大的威胁

3、和挑战。 据思科 2020 年度安全报告4显示，面临如下几个严重毁坏并急需解决的有关安全的关键问题：1攻击面扩大：当下的攻击面非常广，可使恶意攻击施行者随意毁坏庞大而脆弱的安全生态系统。攻击面呈现指数级增长的现象，并且仍在不断扩大；2攻击形式扩散且手法娴熟：这些攻击极难发觉，长时间留在网络内，并积累网络资源，以便在其他地方发动攻击；3威胁和解决方案异常复杂，当今网络已超越传统界线，持续演进，并产生新攻击载体包括移动设备、具备联网功能的移动应用程序、管理程序、社交媒体、网络阅读器、家用电脑和汽车。时间点解决方案难以应付恶意攻击施行者使用的种种技术，这使得负责安全保障的相关团队愈加难以监控和管理信

4、息安全。这些问题共同开创建立和加剧安全漏洞，可使恶意攻击施行者在使用者修补安全漏洞之前发动攻击。并且威胁警报日益增加，思科 IntelliShield? 报告显示，漏洞和威胁在 2020 年稳步增加，截止 2020 年 10 月，全年累计警报总数相比 2020 年增长 14%图 2.1。2020 年 10 月报告的警报总数为 2018 年 5 月 IntelliShield 开场记录以来的最高月份。技术供给商和研究机构发现越来越多的新漏洞图 2.2，导致其愈加注重使用高安全性开发生命周期，以及加强本身产品的安全性。新漏洞数的增加亦可能预示供给商会检查其产品代码，修复安全漏洞，然后再发布产品，并

5、且防止安全漏洞被黑客利用。 1:CWE-119:缓冲区错误 2:其他 Intellishield 警报活动、问题、CRR、AMB 3:CWE-399:资源管理错误 4:CWE-20:输入验证 5:CWE-264:权限、特权和访问控制 6:CWE-200:信息泄露/披漏 7:CWE-79:跨站点脚本XSS 8:CWE-94:代码注入 9:其他 解决这些网络安全问题，当前来看，物理设备上的安全措施、逻辑设置上的安全措施和各种政策规定上的安全措施都是必不可少，而且显得尤为重要。只是利用添加一些物理设备或者增加某些政策规定的方式来预防网络犯罪是非常困难的，而且难度极大5.因而，像防火墙技术、加密技术、

6、安全协议等安全技术就显得尤为重要。 2.1.2 防火墙概述 防火墙是内部网络与外部网络之间的一道安全屏障1,在网络安全保卫方面有着重大作用。防火墙位于内部可信网络和外部不可信网络的边界位置，隔离可信网络与不可信网络之间的通信，控制着数据流的进出，控制双方通信能否安全正常的进行6,根据指定的安全策略严格控制挑选数据包的进出，对于不安全地址发送的数据包直接丢弃，像垃圾邮件、广告软件、木马程序、病毒入侵等直接拒绝，进而保卫主机和网络环境的安全。防火墙组成的安全防备系统构造图如此图 2.3 所示。 防火墙位于外部网络与内部计算机群体之间，限制外部网络的使用者随意访问内部主机，并设置内部计算机使用者对外

7、部网络或站点的访问权限7,它是网络内外通信的栅栏，共同组成一个安全可靠的系统。防火墙是从逻辑上解决网络安全问题的重要技术， 它拦截网络通信的数据包，设置特定规则和日志记录等多个方面，加强网络的安全。 信息安全性的保卫是至关重要的，除此之外，对进入系统的数据入侵检测，系统碰到特殊突发事件反响，系统被外部入侵后遭到毁坏的快速恢复能力8等这些同样是不可忽视。这些也是检查一个防火墙能否能够到达使用者满意的重要指标，能否是一个合适使用并能起到防护作用的软件系统。 防火墙系统需要具备功能10如下： 1访问控制功能，阻止不安全的站点访问主机，对主机访问网络的权限限制。 2控制访问的内容，拦截所有进入/进出防

8、火墙的数据流，根据设定的规则过滤通信数据来确保数据交互的安全。 3日志功能，防火墙日志功能主要是记录访问本机使用的协议、访问时间、地址、端口号等具体信息，还有防火墙发送/接收的封包是放行还是拒绝等，方便对访问主机的日志信息的查询。 4抗免疫攻击能力，防火墙首先要确保本身的安全，才能保证整个系统软件不会被外部攻陷，到达保卫主机的安全。 2.2 防火墙的分类 可根据防备的方式和侧重点的不同将防火墙分为三类：其一是包过滤防火墙，其二是应用级网关防火墙，其三是状态检测防火墙11.状态检测防火墙属于包过滤防火墙的一种，但是又有些不同之处。这三种防火墙在实现原理、优缺点上存在差异。 2.2.1 包过滤 包

9、过滤防火墙是防火墙的一种基本形式，其安全过滤技术简单有效，根据设置的拦截点拦截所有通过的数据包，对数据包进行解析处理，并根据设定的规则，对拦截的数据包检查，有选择的放行或直接拒绝，限制网络内外之间的通信。 包过滤构造最大的优点12就是部署容易，应用透明，数据包的过滤不要求过滤器任何的配置，而且速度快、效率高，只是截获数据包的包头信息，如源地址和目的地址等。但是，包过滤技术也存在缺点，对网络通信的的控制是片面的，它只能过滤特定应用程序服务，对这些特定通信服务的上下文和环境不能完全控制，安全性较差，只是对数据包的头部信息进行检查分析。包过滤技术只是简单的安全防护，对待那些恶意的甚至较为高级的攻击就

10、会变得束手无策了。例如，当一个数据包被拦截后，解析数据包头部信息与设定的规则信息比拟。 假设 23 号端口发送的数据包被丢弃，80 号端口发送的数据包被放行，数据包头部信息的端口号是 23 号的，则丢弃，端口号是 80 号的，则放行，如此图 2.4 所示。 综上所述，包过滤技术部署容易、效率高，但是安全性低，过滤规则设置困难，不合适使用此技术设计防火墙。 2.2.2 应用层网关 应用层网关也称为代理防火墙Application Gateway。应用层网关通过代理技术介入到一个 TCP 连接的全经过13.应用层网关防火墙检查应用层的数据包，收到 TCP 连接请求后，首先通过该应用程序的代理 Pr

11、oxy 处理该连接，处理之后才会发送连接请求给服务器，服务器处理之后会把应答发送给代理，代理处理之后把最终对该请求的应答发送给客户端，起到了中转站的作用。应用网关防火墙结束了 C/S 直接进行通信的形式，位于客户端和服务器之间，双方的通信需要经过代理来完成，每个代理对应一个服务程序。如此图 2.5 所示。 应用层网关的优点是对支持的协议提供全面的安全分析，不是简单数据包头部的检查，不仅能够过滤数据包的头部信息，还对数据包的数据内容进行过滤，如能够过滤文本、图像，扫描到病毒等。代理防火墙具有协议记录的功能，通过生成的日志和记录，辨别攻击方式方法和备份现有记录，能够愈加方便的对数据内容进行控制。但

12、是，代理防火墙的缺点就是安全性增加的代价是性能降低，每个会话需要建立两个连接的花费是非常大的，导致代理的性能急剧下降，代理速度比包过滤防火墙慢28,而且有的应用是不需要代理的，这样就不能到达对数据包进行全面的安全分析的目的，这个应用能否安全，代理也是不得而知的和无法控制的。 2.2.3 状态检测 状态检测防火墙是对包过滤防火墙功能的扩展，被称为第三代防火墙技术，对网络通信的每层都检测。它能够检测 IP 地址、端口号、协议类型等，对通过的数据包进行过滤检测。 状态检测防火墙利用某种算法过滤进出数据包，而不需要与应用程序是代理关系，这样过滤数据效率会更高层次。而且该防火墙过滤技术支持多种协议类型和

13、应用程序，能够较为简单的对应用程序和服务进行扩大。包过滤防火墙检测的数据包都是孤立的，一个数据包一个数据包的进行检测，不考虑数据包之间的联络，不需要跟踪数据包状态。状态检测防火墙技术弥补了包过滤技术的缺乏之处，不仅像包过滤防火墙一样能够检查单个数据包信息，通过的数据包进行过滤，还能够将数据包的上下文联络起来进行检测与分析。防火墙通过记录有用信息帮助跟踪数据包的状态。状态检测防火墙针对网络层和传输层数据包进行检测，应用代理服务主要是针对应用层的行为进行约束，如此图 2.6 所示。 状态检测防火墙保存了传统包过滤技术的优点，拦截所有通过的数据包，安全性极高，而且这些截获的数据包的处理都是在系统底层

14、，处理效率较高，因而防火墙的执行效率高，性能好。除此之外，状态检测防火墙还具有服务和应用扩展性好等优点。但是，它的缺点也是无法回避的，无法彻底检测出数据包中的大量垃圾邮件、恶意软件、广告程序等，还存在网络连接延迟现象。 2.3 个人防火墙概述 无论工作和生活，个人都离不开网络世界，个人计算机通过直接接入互联网进行工作和沟通带来极大的便利并节约了时间成本。但是，将会导致个人计算机很容易遭到攻击和外部侵入，比方大量垃圾邮件、有病毒的站点等。个人计算机接入网络的安全性是非常重要的，否则一些个人信息或机密文件都会被毁坏甚至被盗窃，因而针对个人计算机的网络安全软件个人防火墙也就应运而生了。而且个人防火墙

15、对保卫主机的安全起到了重要作用，是个人计算机的必需软件设备。 个人防火墙是一个安全防护软件系统，仅仅运行在一台个人计算机上，保卫着主机的安全。个人防火墙与企业专用防火墙存在着不同，企业专用防火墙大多是硬件设备，高效的保卫着整个企业网络内的多台主机和交换机的安全，往往不是一台防火墙在起作用。在部署位置和防护范围的大小，个人防火墙和企业用防火墙是不同的。但是，两者在对通过防火墙的数据包的过滤，并根据设定的过滤规则检查数据包的功能是一样的。随机 Internet 技术的快速发展，网络攻击的手段和攻击方式也在不断更新变化，木马程序是最常见的恶意软件，紧随其后的便是广告软件，除此之外还有蠕虫、病毒、下载

16、程序、植入程序等也是攻击性较大的恶意软件程序。个人防火墙能够检测和保卫个人计算机不被这些恶意软件攻击。 个人防火墙是非常重要的一种防火墙类型，阻止电脑信息被外部入侵毁坏和攻击，是一个软件系统，不需要硬件资源支持实现，占用系统资源较少，安装启用之后不会对个人计算机系统的性能产生很大影响。当前，一些个人防火墙的获得是免费的，如如今比拟流行的有瑞星个人防火墙，不像硬件企业防火墙价格昂贵，比方思科和深切相信服等硬件防火墙。个人防火墙的配置使用非常简单，即便没有网络安全方面的知识可以以容易的学会怎样配置使用，操作简单。但是，个人防火墙存在某些方面的缺乏，个人防火墙针对单台主机，对于集中管理非常困难，需要

17、在每个软件上进行配置。还有一个主要的缺点便是只要一个物理接口针对公共网络，而真正的防火墙需要监视并控制两个以上的网络接口14.个人防火墙主要实现的功能是网络数据包的处理分析、安全规则的设置、日志记录查询。 其实现原理是根据拦截函数拦截所有网络通信的数据包，对发送/接收的数据包根据协议类型进行数据包的解析和相关认证，在根据设定的过滤规则过滤掉存在危险的数据包信息，把发送数据包的地址标记为危险地址，当有同一地址数据包再次发送到本机时，则直接拒绝，阻止危险站点或应用程序与本机之间的通信。 个人防火墙主要包括防火墙规则库、防火墙进程、驱动程序。驱动程序主要工作在Windows 操作系统下 Ring0

18、层，防火墙过滤技术的关键设置在内核态实现，截获网络数据封包，对网络数据包进行解析处理等。防火墙进程工作于系统 Ring3 层，只要进程启动驱动程序才可执行，防火墙才能起到保卫主机安全的作用，假使该进程没有执行，防火墙无效，设置的各种规则和驱动程序都将不起作用。防火墙规则库主要对进程和驱动程序执行规则进行管理，是防火墙重要组成部分。只要个人防火墙的这些构造都正常运行，它才能更好地发挥防备攻击的作用。个人防火墙的通用构造如此图 2.7 所示。 2.4 本章小结 本章主要介绍网络安全、防火墙概述、防火墙分类、个人防火墙技术，防火墙的分类主要分为三种：包过滤防火墙、应用层网关和状态检测防火墙，三种防火墙的实现原理不同，对解决安全问题方面优点和缺点进行比照分析。