防火墙的技术毕业设计.docx
《防火墙的技术毕业设计.docx》由会员分享,可在线阅读,更多相关《防火墙的技术毕业设计.docx(23页珍藏版)》请在冰豆网上搜索。
防火墙的技术毕业设计
河北农业大学现代科技学院
毕业论文(设计)
题目:
防火墙的技术与研究
学部:
专业班级:
学号:
学生姓名:
指导教师姓名:
指导教师职称:
二O一二年五月十八日
摘要
随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。
本文对目前计算机网络存在的安全隐患进行了分析,阐述了我国网络安全的现状及网络安全问题产生的原因,对我们网络安全现状进行了系统的分析,并探讨了针对计算机安全隐患的防范策略.
本文首先对防火墙的概念以及防火墙在国内国外的现状进行了研究,然后对现有的防火墙技术进行了详尽的分析,从而对防火墙的配置策略、优点和不足做出了详细的阐述,接着对防火墙常见攻击方式及防火墙抵御措施进行了描述,并且对防火墙如何设置进行了表述,预测了防火墙技术的发展趋势。
最后本文阐述了对防火墙技术与研究的结论和心得。
关键词网络安全防火墙 设置
ABSTRACT
Withtherapiddevelopmentofcomputernetworktechnology,Inparticular,theapplicationoftheInternethasbecomemoreandmoreextensive,Inbringinganunprecedentedmassofinformationatthesametime,Openandfreelyshapedthenetworkalsohadprivateinformationanddatahavebeendamagedorthepossibilityofviolationsof,Networkinformationsecurityhasbecomeincreasinglyimportant,hasbeentheinformationsocietyinallareasofthepie.Thisarticleexistsonthecurrentcomputernetworksecurityriskwasanalyzed,elaboratedonChina'snetworksecurityandnetworksecuritystatusofthecausesforournetworksecuritystatusofasystematicanalysis,anddiscussesthesecurityrisksforcomputerpreventivestrategies.
Thispaperfirstforfirewallconceptandthedevelopmentofdomesticforeignfirewallinpresentsituationandfuturedevelopmenttrendofthefirewall,thenontoexistingfirewalltechnologyforadetailedanalysis,andthefirewallconfigurationstrategy,advantagesanddisadvantagestomakedetail,thenthefirewallcommonattackingandfirewallagainstmeasuresaredescribed,andtheWindowsfirewallhowtosettheexpression,finally,thispaperexpoundsthefirewalltechnologyandresearchconclusionandshareexperiences.
keywordsnetworkfirewallset
目录
第1章.绪论1
1.1防火墙概述1
1.2防火墙国内发展现状1
1.3防火墙国外发展现状1
1.4本文所做的工作2
第2章.防火墙技术分析3
2.1防火墙的概念3
2.2防火墙可执行的安全任务3
2.3防火墙设备4
2.4防火墙的类型5
2.5防火墙的配置策略6
2.6防火墙的优点8
2.7防火墙的不足9
2.8防火墙与杀毒软件的区别9
2.9当下主流防火墙技术9
第3章常见攻击方式及防火墙抵御措施和防火墙的设置11
3.1常见的攻击方式及防火墙的防御措施11
3.2防火墙的设置12
3.2.1WindowsXP防火墙设置12
3.2.2Win7防火墙设置13
3.2.3Linux防火墙设置15
第4章.防火墙技术发展趋势17
第5章研究结论与研究心得18
4.1研究结论18
4.2研究心得18
参考文献19
致谢20
第1章.绪论
1.1防火墙概述
如今网络安全性由一系列不断发展的技术组成,特别应用在与通信或者商务服务的internet相连接的网络中。
网络安全性中,近来最重要的一个发展就是,防火墙应经成为一个重要角色。
由于黑客与恐怖分子的公开攻击、病毒和其他入侵软件的蔓延,防火墙已经成为一个基本安全工具。
防火墙现在实质上已不是每个网络以及许多pc机上可有可无的部分,而是不可或缺的一部分。
1.2防火墙国内发展现状
1)硬件系统
国内厂家的防火墙硬件平台基本上采用通用PC系统或工业PC架构(直接原因是可以节省硬件开发成本),在提高硬件性能方面所能做的工作仅仅是提升系统CPU的处理能力,增大内存容量而已。
国内防火墙的一个典型结构就是:
工业主板+x86+128(256)M内存+DOC/DOM+硬盘(或不要硬盘而另增加一个日志服务器)+网卡这样一个工业PC结构。
2)软件系统
国内所有厂家操作系统系统都是基于通用的Linux,无一例外。
各厂家的区别仅仅在于对Linux系统本身和防火墙部分,所作的改动量不大。
现在绝大部分厂家,甚至包括号称国内最大的天融信,在软件方面所作的工作无非也就是系统有针对性的裁减、防火墙部分代码的少量改动(绝大部分还是没有什么改动)和少量的系统补丁。
3)知名度
国内品牌基本上很少能有走出国门,这也从另外一个方面说明技术和实力、营销以及知名度还需要进一步的加强。
4)产品功能
比较多考虑国内情况,主要功能还是跟随大流,比较少品牌能在安全上面有自己独特的长处。
5)稳定性
多数在产品的认证和质量保证上面要求没有国际品牌的严格,再加上成本上面进行控制,软硬件上面都会有一定差距。
6)安全性
刚才在软件这块也提到,基本上都是基于LINUX,而且是没有自己重新开发,系统自身的安全性上面就值得考虑,在这种基础上的防火墙在使用上也需要慎重。
7)性价比
国产品牌基本上靠价格在竞争。
1.3防火墙国外发展现状
1)硬件系统
国外厂家的通常做法是软件运算硬件化,其所设计或选用的运行平台本身的性能可能并不高,但它将主要的运算程序做成芯片,或者使用专用芯片,以减少主机CPU的运算压力。
2)软件系统
国外(一些著名)厂家均是采用专用的操作系统或者自己的模块,自行设计防火墙。
3)知名度
做为能在国际上得到国内外企业认可的产品,没有一些实力是不太可能的,并不是只是靠吹就可以实现全球市场占有率。
4)产品功能
功能方面有前瞻性,能把握到最新的网络情况和市场需求,能考虑到用户现在及向后一段时间的需求。
产品的功能上面考虑比较周到,贴近用户网络和办公环境的实际需求来进行产品的开发和调整。
5)稳定性
专用的软硬件设计、认证,最大可能保证产品的稳定、可靠。
保证了用户的工作网络稳定、可靠。
6)安全性
基本上和一些专门的安全机构和较紧密的联系,有什么新的安全漏洞或者安全问题能及时了解到,有需要的会对自身产品进行更新。
7)可管理性
国外品牌在人性化和可视化方面做得比较好,但多数是英文界面对管理者的要求相对高些。
8)性价比。
国外的品牌在这方面相对比较弱。
9)服务
比较重视服务,多数厂家都是把服务当作一个产品来管理和销售,从根上重视服务,视服务为品牌的立足之本。
1.4本文所做的工作
本论文共分5章,第1章绪论,第2章防火墙技术分析,第3章常见攻击方式及防火墙抵御措施和windows防火墙的设置,第4章防火墙的发展趋势,第5章研究结论与研究心得
第2章.防火墙技术分析
2.1防火墙的概念
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Interne防火墙与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,其中,防火墙执行的两个基本安全功能是包过滤和应用程序代理网关。
网络边界
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(或硬件与软件的组合),它们监控试图通过某个网络边界的数字信息包得传输过程。
图2.1防火墙在网络中的位置
2.2防火墙可执行的安全任务
1)限制来自网络外的访问
防火墙最明显的功用就是限制信息包进入网络。
为了做到这一点,防火墙检测每个信息包,以判断是否满足必需的标准。
这个标准是协议或ip地址必须处于已获“批准”的列表中。
任何未在此列表中的信息都会被拒绝接纳。
防火墙可以封闭那些不想被外部访问的服务。
在windows操作系统下,可以通过在commandprompt中输入netstat-o来确定哪个程序正在使用所提供端口进行监听。
显示的结果信息可以让您终止服务,同时关闭该端口。
2)限制网络内部XX的访问
在一些情况下,保护网络免受来自internet的攻击相当容易,但是防止来自网络内部的攻击则比较麻烦。
防火墙只能防止内部威胁中的一部分。
可以配置防火墙判断信息包,或者禁止来自内部和外部主机对受保护文件的访问。
3)限制客户端访问外部主机
防火墙不但可以限制从外部进入网络XX的通信,还可以有选择的允许从内部网络到internet或其他网络通信。
换句话说,防火墙可以做代理服务器。
代理服务器是可以代表内部主机或其他主机处理高层次应用程序连接软件。
一个防火墙既可以作为发往外部的包过滤器,又可以作为代理服务器。
应用程序代理还可以协助限制公司内部想要自由访问internet用户。
4)保护关键性资源
防火墙可以控制访问并且检测进出网络的数据传输。
他们还可以保护网络内的人力资源和信息资源。
5)防止剽窃
一般而言,剽窃是渗透到计算机或网络内部偷取数据、制造危害、或者仅仅索取进入网络账户的行为。
很多防火墙,如checkpointfirewall-1,一旦检测到入侵信息就会发出警报,较早通知可以减少损失。
6)提供集中式管理
防火墙集中实现了对它所保护的机构的安全性。
它简化了网络管理员为保障安全所需采取的操作。
在网络周边部署防火墙可以让网络管理员在此处建立安全策略。
7)提供文档记录功能
每个防火墙都应该被设置为以日志文件(logfile)形式向网络管理员提供信息。
这些日志文件记录了未成功入侵和正当事件,如合法文件访问,没有成功的链结尝试等。
这样做的目的是为了判断出安全系统中的缺陷并加以改善。
8)提供身份验证
身份验证是指用户使用一个用户名和密码登录到一台服务器来访问受保护的信息。
只有实现在数据库中注册过的用户名和密码才能被服务器识别并允许进入。
在防火墙中应谨慎使用身份验证的方式。
9)支持VPN
防火墙对于VPN连接来说是一个理想端点,VPN通过internet连接两个公司网络。
VPN是在在线交换信息最安全的方式之一。
2.3防火墙设备
1)防火墙硬件
①路由器
一些路由器是功能齐备的防火墙工具。
他们将防火墙防火墙内置到网络周边固化的堡垒主机内。
价格方面,这些路由器不仅使用于上午,还适用于家庭。
②硬件设备
硬件防火墙设备同样会提供防火墙的基础服务,并且,即使网络主机的操作系统被bug困扰或速度减慢,但这完全不会影响到防火墙设备,因为防火墙硬件是独立的。
此外,如果防火墙需要修补或更新,操作也十分方便。
2)纯软件的防火墙软件
①Internet上免费的防火墙工具
Internet上大部分免费防火墙软件,像IPchains和TISFirewallToolkit包过滤器,同样可以在免费的操作系统上运行。
由于他们的简便和易用,同样在网络中占有一席之地。
②个人/小型商用防火墙一些个人防火墙产品通过查找安装在机器上的以太网适配器的驱动器和TCP/IP堆栈之间的地址来工作,以检测驱动器和堆栈之间的通信量。
这些程序包括:
NortonInnternetSecurity、ZoneAlarm、BlackICEDefender、和SymantecPersonalFirewall等。
③企业级防火墙系统
诸如CheckPointFireWall-1、CiscoPIX、MicrosoftInternetSecurity&AccelerationSever、NATGauntlet,这些产品才是真正的功能全面而强大的防火墙设备。
2.4防火墙的类型
防火墙可以工作在7层OSI组网方式的各个层上。
这是防火墙如此有效的原因。
层号
OSI参考模型层
防火墙技术
1
应用层
应用级网关
2
表示层
加密
3
会话层
SOCKS代理服务器
4
传输层
包过滤器
5
网络层
NAT
6
物理层
N/A
7
数据链路层
N/A
表2.1网络层与防火墙
1)包过滤器
包过滤器是防火墙中最核心的功能。
事实上,包过滤器是一种早期的防火墙,它们是所有边界安全的有效组件。
此外,与代理服务器相比,它们的优势是不占用宽带或网络电缆来传输信息。
包过滤器使用报头决定是否阻碍数据包或者允许他通过防火墙。
当然,黑客经常尝试把有关源ip地址的错误信息放在报头中,这成为ip欺骗。
它是黑客伪装成合法者并将包放入网络中的一种方式。
①无状态包过滤防火墙
无状态包也叫无状态检查。
如果防火墙在检查报头时,不注意服务器和客户计算机之间的连接状态,就要进行无状态检查。
进行无状态包过滤的防火墙将只根据报头中的信息来阻断包。
②有状态的包过滤防火墙
有状态包过滤(也叫有状态检查),将检查数据包中包含的数据,而客户机与服务器之间连接状态保存在磁盘缓存中。
有状态检查优于无状态检查,因为它关注一个数据包数据的有效负载,它可以检测和舍弃那些使服务器超载的数据。
有状态检查也可以阻断实际上没有与服务器连接的主机发送的数据包。
防火墙的有状态包过滤首先检查状态表,判断是否有请求与以前的条目匹配。
如果没有,防火墙就参照规则集。
因为制定的规则规定,只有内部用户可以连接到端口80,所以数据包被阻断。
③包过滤规则
包过滤取决于所建立的规则。
一些常见的规则如下:
·任何发出的数据包必须包括一个位于内部网的源地址;
·任何发出的数据包不得包括一个位于内部网的目标地址;
·任何进入的数据包不得包括一个位于内部网的源地址;
·任何进入的数据包必须包括一个位于内部网的目标地址;
·任何进出的数据包必须包括一个位于内部网地址范围的源地址或目标地址。
本机网络可以(但不一定)使用专用地址或在RFC1918保留空间里列出的地址。
这些地址包括10.x.x.x/8,172.16.x.x/12,或者192.168.x.x/16,以及回路网络127.0.0.0/8。
过滤规则会影响包的传输。
包过滤尤其局限性。
过滤并没有在过滤器中隐藏主机在过滤器内部网络上的ip地址。
外出的通信中包含这些ip地址,这使得黑客可以比较容易的锁定这些处在过滤器后面的主机。
包过滤器也不通过检查来确定过滤器内部的消息是否合法。
包过滤器只能根据在数据包报头列出的ip源地址来限制地址。
这使得包过滤器容易受到ip欺骗。
2)NAT
网络地址转换(NetworkAddressTranslation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法ip地址的转换技术,它被广泛应用于各种类型internet接入方式和各种类型的网络中。
原因很简单,NAT不仅完美地解决了ip地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
NAT在一定程度上弥补了包过滤器的缺点。
我们使用它来隐藏被保护网络中主机的TCP/IP信息。
隐藏TCP/IP信息是重要的,因为这样可以组织黑客获取网络中的主机地址。
NAT起到网络级的代理程序作用。
它实际上可以代表内部网上的所有主机,作为一个单独的主机发出请求。
通过把内部主机的ip地址转换为防火墙ip地址,NAT对所有网络以外的用户隐藏了主机的地址。
3)应用网关层
应用网关层即代理服务器,这种类型的网关工作在网络通信OSI模型的顶层。
通过设置代理服务,应用层网关可以控制网络内部的应用程序访问外界的方式。
该服务充当客户端的替代品,代表单个用户请求web页或其他操作,这样可以避免用户与internet直接连接。
这种隐蔽性可以最小化病毒等所造成的影响。
应用层网关提供了一项特别有价值的安全功效。
包过滤器根据信息包报头包含的内容决定允许或者拒绝请求,与此相对比,应用层网关可以识别请求的数据内容。
可以通过配置让它允许或拒绝某些特殊的内容,如病毒或可执行文件。
2.5防火墙的配置策略
当设置了安全策略,决定了防火墙要遵循的规则以后,就可以按照既定的策略来配置防火墙的结构了。
表2.2不同防火墙的配置
名称
说明
屏蔽式路由器
位于客户计算机和internet之间的包过滤路由器
双宿主主机
用与internet链结的客户计算机来主控的防火墙软件
屏蔽式主机
专用于提高安全功能的主机来主控的防火墙软件
共用一个防火墙的两个路由器
路由器放置在防火墙的内、外部的接口上,对数据包进行过滤
DMZ屏蔽子网
该网络与防火墙相连,具有公共服务器(DMZ),但处在受保护的内部网络的外面
多重防火墙DMZ
DMZ附带两个防火墙,有更高的安全性
反向防火墙
防火墙监控出站而不是入站的通信
专用防火墙
防火墙用来保护特殊型通信,如电子邮件
1)屏蔽式路由器
在客户计算机和internet之间放置一个路由器,使之执行包过滤功能,这是最简单的保护法之一。
屏蔽式路由器对内部网络中的个人计算机执行包过滤功能。
图2.2执行包过滤功能的屏蔽路由器
2)双宿主主机
很多人使用的连接到internet上的pc机采用了另外一种安全设置,即配置了防火墙的双宿主主机。
“双宿主主机”准确地表达了带有两个网络接口的计算机。
一般来说,它的一个网卡和internet相连,另一个和局域网相连。
在默认情况下,主机将ip包从一个网络转发到另一个网络的功能被完全禁用。
终端用户可以根据需要制定规则,使得通信量可以进出防火墙,可以根据需要选择这种设置。
双宿主机结构采用主机替代路由器执行安全控制功能,故类似于包过滤防火墙。
双宿主机即一台配有多个网络接口的主机,它可以用来在内部网络和外部网络之间进行寻径。
如果在一台双宿主机中寻径功能被禁止了,则这个主机可以隔离与它相连的内部网络和外部网络之间的通信,而与它相连的内部和外部网络都可以执行由它所提供的网络应用,如果这个应用允许的话,它们就可以共享数据。
3)屏蔽式主机
屏蔽式主机有时也叫双宿主网关或堡垒主机。
随着一系列安全补丁的服务包的添加而身价大增。
除了必要的安全服务和TCP、UDP端口禁用机制以外,堡垒主机的设置几乎包括所有必须服务,而且,所有相关的安全事件都被记入了日志。
它的设置跟双宿主主机类似,二者的区别在于,前者的主机专用于执行安全功能。
在屏蔽式主机和internet之间,我们一般加入路由器来进行ip数据包过滤。
4)两个路由器共用一个防火墙
将一个路由器配置在作为防火墙的屏蔽式主机的一侧。
配置在网络其外侧的路由器可以执行原始静态包过滤功能;配置在内部的路由器可以跟踪处在被保护的局域网内部的计算机通信。
内部的路由器可以执行有状态的包过滤功能。
防火墙自身也可以携带动态的包过滤器,这时,就不再需要第二个内部路由器了。
5)DMZ屏蔽子网
DMZ是英文“demilitarizedzone”的缩写,中文名称为“隔离区”,也称“非军事化区”。
在这个防火墙方案中,包括两个包过滤路由器(有时候也称包过滤防火墙),外部包过滤路由器抵挡外部网络的攻击,并管理所有外部网络对DMZ的访问。
内部包过滤路由器管理DMZ对于内部网络的访问,内部包过滤路由器是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机),当外部包过滤路由器失效的时候,它还可以起到保护内部网络的功能。
而局域网内部,对于Internet的访问由内部包过滤路由器和位于DMZ的堡垒主机控制。
在这样的结构里,一个黑客必须通过三个独立的区域(外部包过滤路由器防火墙、内部包过滤路由器防火墙和堡垒主机)才能够到达局域网。
6)多重防火墙DMZ
一个DMZ两个防火墙。
配置两个以上的防火墙对许多大型公司而言是一种必需的举措。
设置一个DMZ两个防火墙的优点在于,可以控制三个网络内部的通信走向:
位于DMZ外部的外部网络、处在DMZ内部的外部网络和位于DMZ之后的内部网络。
可以确定某种协议,如出站的HTTPPort80应当位于DMZ的内部网络,同时可以允许其他协议通过网络。
图2.3DMZ屏蔽子网
2.6防火墙的优点
1、防火墙能够强化安全策略,因为网络上每天都有上百万人在收集信息、交换信息,不可避免地会出现个别品德不良,或违反规则的人,防火墙就是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许“认可的”和符合规则的请求通过。
2、防火墙能有效地记录网络上的活动,因为所有进出信息都必须通过防火墙,所以防火墙非常适用于收集关于系统和网络使用和误用的信息。
作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。
3、防火墙限制暴露用户点,防火墙能够用来隔开网络中的两个网段,这样就能够防止影响一个网段的信息通过整个网络进行传播。
4、防火墙是一个安全策略的检查站,所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
2.7防火墙的不足
1、防火墙进行了良好的设置,使得攻击无法穿透防火墙,但各种攻击仍然会源源不断地向防火墙发出尝试。
例如接主干网10M网络带宽的某站点,其日常流量中平均有512K左右是攻击行为。
2、防火墙不能抵抗最新的未设置策略的攻击漏洞防火墙的各种策略,也是在该攻击方式经过专家分析后给出其特征进而设置的。
3、防火墙的并发连接数限制容易导致拥塞或者溢出由于要判断、处理流经防火墙的每一个包,因此防火墙在某些流量大、并发请求多的情况下,很容易导致拥塞,成为整个网络的瓶颈影响性能。
而当防火墙溢出的时候,整个防线就如同虚设,原本被禁止的连接也能从容通过了。
4、防火墙对服务器合法开放的端口的攻击大多无法阻止,攻击者利用服务器提供的服务进行缺陷
升级会员 