《毕业设计－计算机网络安全与防火墙技术》.doc

《《毕业设计－计算机网络安全与防火墙技术》.doc》由会员分享，可在线阅读，更多相关《《毕业设计－计算机网络安全与防火墙技术》.doc（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、湖南环境生物职业技术学院毕业设计（论文）题 目：计算机网络安全与防火墙技术姓 名： 学 号： 专 业： 计算机应用 系 部： 信息技术 指导老师： 完成日期： 2011 年 5 月 15日论文摘要 本论文主要研究防火墙技术与网络安全。论述了防火墙安全技术的功能、主要技术、安全措施和防火墙设计思路等。在确保网络安全和数据安全方面，有数据加密技术、防火墙技术等，我们在这里主要研究的是防火墙技术。然后介绍了防火墙两种基本实现技术：分组过滤、应用代理。防火墙技术还处在一个发展阶段，仍有许多问题有待解决。论文关键词 网络安全 防火墙 防范措施 分组过滤 代理 堡垒主机Abstract This thes

2、is mainly research firewall technology and network security. Discusses the function of firewall security technology, main technical and safety measures and firewall design ideas, etc. Ensure that the network security and data security, data encryption technology, firewall etc, here we mainly study i

3、s a firewall technology. And then introduced the firewall two basic technology: group filtering, application agent. Firewall technology is still in a developing stage, there are still many problems remain to be solved paper keywords Network security firewall Preventive measures Packet filtering agen

4、t Fort host目录一、绪论 二、网络安全三、防火墙简介四、防火墙的配置五、防火墙的发展趋势六、谢辞七、参考文献1、计算机网络安全概述2、目前计算机网络安全策略3、防火墙技术 3.1 防火墙的定义 3.2 防火墙的功能 3.3 防火墙的分类及其原理(这里写详细点) 3.4 常见的攻击技术及应对策略 3.5 防火墙的发展趋势4、结论一.网络安全1.网络安全概念安全，通常是指只有被授权的人才能使用其相应资源的一种机制。我国对于计算机安全的定义是：“计算机系统的硬件、软件、数据受到保护，不因偶然的或恶意的原因而遭到破坏、更改、显露，系统能连续正常运行。”（1）网络安全面临的主要威胁一般认为，计

5、算机网络系统的安全威胁主要来自计算机病毒、黑客的攻击和拒绝服务攻击三个方面，第一计算机病毒的侵袭；第二黑客侵袭；第三拒绝服务攻击。具体讲，网络系统面临的安全威胁主要有如下表现：身份窃取、非授权访问、数据窃取、拒绝服务、病毒与恶意攻击、冒充合法用户等。（2） 影响网络安全的因素第一是单机安全，购买单机时，型号的选择；计算机的运行环境（电压、湿度、强电磁场等）；计算机的操作等等，这些都是影响单机安全性的因素。第二是网络安全，影响网络安全的因素有：节点的安全、数据的安全、文件的安全等。网络信息安全涉及方方面面的问题，是一个复杂的系统。一个完整的网络信息安全体系至少应包括三类措施：一是法律政策、规章制

6、度以及安全教育等外部软环境。二是技术方面，如信息加密存储传输、身份认证、防火墙技术、网络防毒等。三是管理措施。 二：目前计算机网络安全策略制定安全策略是一件非常复杂的事情，通常可从以下两个方面来考虑。1 物理安全策略 物理安全策略包括以下几个方面：一是为了保护计算机系统、网络服务器、打印机等硬件实体和通信链路，以免受自然灾害、人为破坏和搭线攻击；二是验证用户的身份和使用权限，防止用户越权操作；三是确保计算机系统有一个良好的电磁兼容工作环境；四是建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。 2 访问控制策略 访问控制是对要访问系统的用户进行识别，并对访问权限进行必

7、要的控制。访问控制策略是维护计算机系统安全、保护其资源的重要手段。访问控制的内容有入网访问控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制等。另外，还有加密策略、防火墙控制策略等。 定义防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙提供信息安全服务，是实现网络和信息安全的基础设施。防火墙具有如下的功能：（1）包过滤。（2）地址转换。（3）

8、认证和应用代理。（4）透明和路由。（5）入侵检测功能。（6）虚拟专网功能。国际计算机安全委员会将防火墙分成三大类:包过滤防火墙，应用级代理服务器以及状态包检测防火墙。包过滤防火墙就是把接收到的每个数据包同预先设定的包过滤规则相比较，从而决定是否阻塞或通过。 代理服务型防火墙也称链路级网关或TCP通道，它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术。复合型防火墙是指由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。所谓包过滤，就是对流经网络防火墙的所有数据包逐个检查，并依据所制定的安全策略来决定数据包是通过还是不通过。 (1)数据表结构

9、当应用程序用TCP传送数据时，数据被送入协议栈中，然后逐个通过每一层直到被当作一串比特流送入网络。其中每一层对接收到的数据都要增加一些首部信息。IP，TCP首部格式如表3-1表3-2所示。表3-1 IP首部格式版本首部长服务类型总 长 度标识标志片偏移生存时间协议首部校验和源IP地址目的IP地址选项表3-2 TCP首部格式源端口号目的端口号序列号确认号首部长保留LRCTBLPBHRCTCJHHJR窗口大小TCP校验和紧急指针选项(2)传统包过滤技术传统包过滤技术，大多是在IP层实现，它只是简单的对当前正在通过的单一数据包进行检测，查看源/目的IP地址、端口号以及协议类型(UDP/TCP)等，结

10、合访问控制规则对数据包实施有选择的通过。这种技术存在的问题主要表现有:有可能会用到的端口都必须静态放开；不能对数据传输状态进行判断；无法过滤审核数据包上层的内容。(3)动态包过滤动态包过滤通过在内存中动态地建立和维护一个状态表，数据包到达时，对该数据包的处理方式将综合静态安全规则和数据包所处的状态进行。这种方法的好处在于由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包(通常是大量的数据包)通过散列算法，直接进行状态检查，从而使性能得到了较大提高动态包过滤技术克服了传统包过滤仅仅孤立的检查单个数据包和安全规则静态不可变的缺陷，使得防火墙的安全控制力度更为细致。(4)深度包检测目前许多

11、造成大规模损害的网络攻击，都是利用了应用的弱点。利用高层协议的攻击和网络病毒的频繁出现，对防火墙提出了新的要求。防火墙必须深入检查数据包的内部来确认出恶意行为并阻止它们。深度包检测(Deep Packet Inspection)就是针对这种需求，深入检测数据包有效载荷，执行基于应用层的内容过滤，以此提高系统应用防御能力。应用防御的技术问题主要包括:第一需要对有效载荷知道得更清楚;第二也需要高速检查它的能力。一个深度包检测的流程框图如图3.1所示。图3.1 深度包检测框图 (5)流过滤技术流过滤是东软集团提出的一种新型防火墙技术架构，它融基于状态的包过滤技术与基于内容的深度包检测技术为一体，提供

12、了一个较好的应用防御解决方案，它以状态监测技术为基础。如在对SMTP协议的处理中，系统可以在透明网桥的模式下实现完全的对邮件的存储转发，并实现丰富的对SMTP协议的各种攻击的防范功能一流过滤的示意图如图3.2所示。图3.2 流过滤示意图四、防火墙的配置1.硬件连接与实施一般来说硬件防火墙和路由交换设备一样具备多个以太接口，速度根据档次与价格不同而在百兆与千兆之间有所区别。(如图)如果防火墙上有WAN接口，那么直接将WAN接口连接外网即可，如果所有接口都标记为LAN接口，那么按照常规标准选择最后一个LAN接口作为外网连接端口。相应的其他LAN接口连接内网各个网络设备。2.防火墙的特色配置从外观上

13、看防火墙和传统的路由器交换机没有太大的差别，一部分防火墙具备CONSOLE接口通过超级终端的方式初始化配置，而另外一部分则直接通过默认的LAN接口和管理地址访问进行配置。除此之外防火墙的其他相关配置与路由交换设备差不多，无外乎通过超级终端下的命令行参数进行配置或者通过WEB管理界面配置。3.软件的配置与实施以H3C的F100防火墙为例，当企业外网IP地址固定并通过光纤连接的具体配置。首先当企业外网出口指定IP时配置防火墙参数。选择接口四连接外网，接口一连接内网。这里假设电信提供的外网IP地址为202.10.1.194 255.255.255.0。第一步：通过CONSOLE接口以及本机的超级终端

14、连接F100防火墙，执行system命令进入配置模式。第二步：通过firewall packet default permit设置默认的防火墙策略为“容许通过”。第三步：进入接口四设置其IP地址为202.10.1.194，命令为int e0/4第四步：进入接口一设置其IP地址为内网地址，例如192.168.1.1 255.255.255.0，命令为int e0/1第五步：将两个接口加入到不同的区域，外网接口配置到非信任区untrust，内网接口加入到信任区trustfire zone untrustadd int e0/4fire zone trustadd int e0/1第六步：由于防火墙

15、运行基本是通过NAT来实现，各个保护工作也是基于此功能实现的，所以还需要针对防火墙的NAT信息进行设置，首先添加一个访问控制列表acl num 2000rule deny第七步：接下来将这个访问控制列表应用到外网接口通过启用NATint e0/4nat outbound 2000第八步：最后添加路由信息，设置缺省路由或者静态路由指向外网接口或外网电信下一跳地址ip route-static .0 0.0.0.0 202.10.1.193 (如图2)执行save命令保存退出后就可以在企业外网出口指定IP时实现防火墙数据转发以及安全保护功能了。五.防火墙的发展趋势针对传统防火墙不能解决的问题，及新

16、的网络攻击的出现，防火墙技术也出现了新的发展趋势。主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。1.防火墙包过滤技术发展趋势(1) 安全策略功能(2)一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中，使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的，包过滤技术的防火墙不具有。(2)多级过滤技术所谓多级过滤技术，是指防火墙采用多级过滤措施，并辅以鉴别手段。在分组过滤(网络层)一级，过滤掉所有的源路由分组和假冒的IP源地址；在传输层一级，遵循过滤规则，过滤掉所有禁止出或/和入的协议和

17、有害数据包如nuke包、圣诞树包等；在应用网关(应用层)一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务。(3)功能扩展功能扩展是指一种集成多种功能的设计趋势，包括VPN、AAA、PKI、IPSec等附加功能，甚至防病毒、入侵检测这样的主流功能，都被集成到防火墙产品中。随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍，它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要，一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来，基于网

18、络处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙的性能好许多。(1)集中式管理，分布式和分层的安全结构。(2)强大的审计功能和自动日志分析功能。(3)网络安全产品的系统化。纵观防火墙技术的发展，黑客入侵系统技术的不断进步以及网络病毒朝智能化和多样化发展，对防火墙技术的同步发展提出了更高的要求。防火墙技术只有不断向主动型和智能型等方向发展，才能更好的满足人们对防火墙技术日益增长的需求。谢 辞在这里我应该首先感谢培养我的大学湖南环境生物职业技术学院， 特别是信息技术系的全体领导和老师们，感谢他们在三年的大学生活、学习中对我的教育、指导和关心，才能让我顺利的完成三年的大学学习。得到进一步深造的机会。在我将毕业之际，衷心的祝愿环境生物职业技术学院的明天会更辉煌，祝三年来对我关心、教导的所有老师们身体健康、工作顺利、万事如意。参考文献.45