防火墙技术的研究.docx

1、防火墙技术的研究湖南环境生物职业技术学院学生毕业论文（设计）题目: 防火墙技术的研究 姓 名 学 号 专 业 系 部 指导教师 2011 年 6 月 4 日湖南环境生物职业技术学院毕业论文（设计）评审登记卡(一)论文题目防火墙技术的研究作者姓名所属专业、级别指导教师姓名字数2定稿日期内 容 摘 要随着计算机网络的发展，上网的人数不断地增大，网上的资源也不断地增加，网络的开放性、共享性、互连程度也随着扩大。网络安全产品也被人们重视起来。防火墙作为最早出现的网络安全产品和使用量最大的安全产品，也受到用户和研发机构的青睐。防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。防火墙实际上是

2、一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问, 也可以使用防火墙阻止保密信息从受保护网络上被非法输出。换言之，防火墙是一道门槛, 控制进出两个方向的通信。本文讲述了防火墙的概念，介绍了防火墙的原理、类型、功能等，然后分析了现阶段防火墙技术及其不足和防火墙的技术的最新发展趋势。AbstractWith the development of computer network, the number of Internet constantly increasing, online resources will continue to increase, t

3、he network openness, sharing, the interconnection degree is as expanding. Network security products also taken seriously by people up. Firewall as the earliest network security products and usage of the biggest security products, also by users, and the research and development institutions favored.

4、Firewall technology is a recently developed to protect computer network security of technical measures. Firewall is actually a kind of access control technology, the network at an institution and unsafe network up barriers, stop between illegal access to information resources, also can use a firewal

5、l to prevent confidential information from protected by illegal output on the network. In other words, a firewall is a threshold, two directions of the communication and control. This article describes the concept of a firewall on the principle of a firewall, type, function, and then analyzed at thi

6、s stage and the lack of firewall technology and the latest firewall technology trends.关 键 词防火墙 技术原理 包过滤技术 状态检测防火墙 防火墙配置 发展趋势湖南环境生物职业技术学院毕业（设计）评审登记卡(二)学生毕业论文(设计)质量评价表评价基元评价要素评价内涵满分实评分选题质量25目的明确、符合要求符合培养目标，体现学科，专业特点和教学计划的基本要求，达到毕业论文（设计）综合训练的目的。10理论意义或实际价值符合本学科的理论发展，有一定的学术意义；对经济建设和社会发展的应用性研究中的某个理论或方法问题

7、进行研究具有一定的实际值。10选题确当题目规模适当，难易度适中；有一定的科学性。5能力水平40检阅文献资料能力能独立检阅相关文献资料，归纳总结本论文所涉及的有关研究状况及成果。10综合运用知识能力能运用所学专业知识阐述问题；能对查阅的资料进行整理和运用；能对其科学论点进行率证。10研究方案的设计能力整理思路清晰，研究方案合理可行5研究方法和手段的运用能力能运用本学科常规研究方法及相关研究手段（如计算机、实验仪器设备等）进行实验、实践并加工处理，总结信息。10外文应用能力能阅读、翻译一定量的本专业外文资料、外文摘要和外文参考书目(艺术类等专业除外)体现一定的外语水平。5论文质量35文题相符较好地

8、完成论文选题的要求。5写作水平论点鲜明；论据充分；条理清晰；语言流畅；书写工整。15写作规范符合科学论文的基本要求。用语、格式、图表、数据、量和单位，各种资料引用的规范化（符合标准）。10论文篇幅文科4000字左右，理科3000字左右。5指导教师评定成绩：实评总分 成绩等级指导教师（签名）：说明：评定成绩分为优秀、良好、中等、及格、不及格五个等级，实评总分90分以上记为优秀,80分以上为良好，70分以上记为中等，60分以上记为及格，60分以下记为不及格。湖南环境生物职业技术学院毕业论文（设计）评审登记卡(三)指导教师审意见评语：评定等级： 指导教师（签名）：论文指导小组意见评语：评定等级： 负

9、责人（签名）：学校抽查意见评语：评定等级： 负责人（签名）：第一章 引言1.1 研究背景随着互联网的普及和发展，尤其是Internet的广泛使用，使计算机应用更加广泛与深入。同时，我们不得不注意到，网络虽然功能强大，也有其脆弱易受到攻击的一面。据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全求平均每20秒钟就发生一起Internet计算机侵入事件1。在我国，每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时，对网络安全问题也决不能忽视。如何建立比较安全的网络体系，值得我们关注研究。1.2 研究现状为了解决互联网时代个人网络安全的问题

10、，近年来新兴了防火墙技术2。防火墙具有很强的实用性和针对性，它为个人上网用户提供了完整的网络安全解决方案，可以有效地控制个人电脑用户信息在互联网上的收发。用户可以根据自己的需要，通过设定一些参数，从而达到控制本机与互联网之间的信息交流阻止恶性信息对本机的攻击，比如ICMPnood攻击、聊天室炸弹、木马信息破译并修改邮件密码等等。而且防火墙能够实时记录其它系统试图对本机系统的访问，使计算机在连接到互联网的时候避免受到网络攻击和资料泄漏的安全威胁。防火墙可以保护人们在网上浏览时免受黑客的攻击，实时防范网络黑客的侵袭，还可以根据自己的需要创建防火墙规则，控制互联网到PC以及PC到互联网的所有连接，并

11、屏蔽入侵企图。防火可以有效地阻截各种恶意攻击、保护信息的安全;信息泄漏拦截保证安全地浏览网页、遏制邮件病毒的蔓延;邮件内容检测可以实时监视邮件系统，阻挡一切针对硬盘的恶意活动。个人防火墙就是在单机Windows系统上，采取一些安全防护措施，使得本机的息得到一定的保护。个人防火墙是面向单机操作系统的一种小型安全防护软件，按一定的规则对TCP，UDP，ICMP和IGMP等报文进行过滤，对网络的信息流和系统进程进行监控，防止一些恶意的攻击。目前市场上大多数的防火墙产品仅仅是网关的，虽然它们的功能相当强大，但由于它们基于下述的假设:内部网是安全可靠的，所有的威胁都来自网外。因此，他们防外不防内，难以实

12、现对企业内部局域网内主之间的安全通信，也不能很好的解决每一个拨号上网用户所在主机的安全问题，而多数个人上网之时，并没有置身于得到防护的安全网络内部。个人上网用户多使用Windows操作系统，而Windows操作系统，特别是WindowsXP系统，本身的安全性就不高。各种Windows漏洞不断被公布，对主机的攻击也越来越多。一般都是利用操作系统设计的安全漏洞和通信协议的安全漏洞来实现攻击。如假冒IP包对通信双方进行欺骗:对主机大量发送正数据包3进行轰炸攻击，使之际崩溃;以及蓝屏攻击等。因此，为了保护主机的安全通信，研制有效的个人防火墙技术很有必要。所谓的防火墙是指设置在不同网络(如可信任的企业内

13、部网和不可信的公共网)或网络安全域之间的一系列部件的组合 1 。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。1.3 论文结构本文根据课题的要求，讲述了防火墙的概念，介绍了防火墙的原理、类型、功能等，然后分析了防火墙技术及其不足和防火墙的技术的最新发展趋势。并介绍了怎么预防黑客入侵内部网络内容一些方法。让读者真正的了解其重要性并学会使用它，以免受被攻击之苦。本文共分5章：第一章、为引言；第二章、对防火墙做了详细介绍；第三章、讲述了防火墙的原理及分类；第四章、重点介绍了防火墙的配置方法；第五章、阐述了防火墙的体系结构，系

14、统管理及当今的发展趋势。本文在写的过程当中，作者参考了有关书籍和资料，在此向这些作者们表示衷心感谢。第二章防火墙的概述随着Internet的迅速发展，网络应用涉及到越来越多的领域，网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题，使得网络安全问题越来越突出。因此，保护网络资源不被非授权访问，阻止病毒的传播感染显得尤为重要。就目前而言，对于局部网络的保护，防火墙仍然不失为一种有效的手段，防火墙技术主要分为包过滤和应用代理两类。其中包过滤作为最早发展起来的一种技术，其应用非常广泛。2.1防火墙的概念防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在

15、破坏性的侵入。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙提供信息安全服务，是实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网络和互联网之间的任何活动，保证了内部网络的安全。2.1.1 传统防火墙的发展史 目前的防火墙技术无论从技术上还是从产品发展历程上，都经历了五个发展历程。1.第一代防

16、火墙第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。2.第二代、第三代防火墙1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙应用层防火墙（代理防火墙）的初步结构。3.第四代防火墙1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产

17、品。4.第五代防火墙1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。但传统的防火墙并没有解决目前网络中主要的安全问题。目前网络安全的三大主要问题是:以拒绝访问(DDOS)为主要代表的网络攻击，以蠕虫(Worm)为主要代表的病毒传播和以垃圾电子邮件(SPAM)为代表的内容控制。这三大安全问题占据网络安全问题九成以上。而这三大问题，传统防火墙都无能为力。主要有以下三个原因:一是传统防火墙的计算能力的限制。传统的防火墙是以高强度的检查为代价

18、，检查的强度越高，计算的代价越大。二是传统防火墙的访问控制机制是一个简单的过滤机制。它是一个简单的条件过滤器，不具有智能功能，无法检测复杂的攻击。三是传统的防火墙无法区分识别善意和恶意的行为。该特征决定了传统的防火墙无法解决恶意的攻击行为。现在防火墙正在向分布、智能的方向发展，其中智能防火墙可以很好的解决上面的问题。2.1.2 智能防火墙的简述智能防火墙6是相对传统的防火墙而言的，从技术特征上智能防火墙是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络行为的特征值，直接进行访问控制。由于这些方法多是人工智能学

19、科采用的方法，因此，又称为智能防火墙。2.2防火墙的功能从防火墙的功能来说，主要包含以下几个方面：访问控制，如应用 ACL 进行访问控制、 NAT; VPN ;路由、认证和加密、日志记录、管理、攻击防范等。 防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。2.2.1防火墙的主要功能1包过滤。包过滤是一种网络的数据安全保护机制，它可用来控制流出和流入网络的数据，它通常由定义的各条数据安全规则所组成，防火墙设置可

20、基于源地址、源端口、目的地址、目的端口、协议和时间;可根据地址簿进行设置规则。2地址转换。网络地址变换是将内部网络或外部网络的IP地址转换，可分为源地址转换Source NAT(SNAT)和目的地址转换Destination NAT(DNAT)。SNAT用于对内部网络地址进行转换，对外部网络隐藏起内部网络的结构，避免受到来自外部其他网络的非授权访问或恶意攻击。并将有限的IP地址动态或静态的与内部IP地址对应起来，用来缓解地址空间的短缺问题，节省资源，降低成本。DNAT主要用于外网主机访问内网主机。3认证和应用代理。 认证指防火墙对访问网络者合法身分的确定。代理指防火墙内置用户认证数据库;提供H

21、TTP、FTP和SMTP代理功能，并可对这三种协议进行访问控制;同时支持URL过滤功能。4透明和路由指防火墙将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问，同时阻止了外部未授权访问者对专用网络的非法访问;防火墙还支持路由方式，提供静态路由功能，支持内部多个子网之间的安全访问。2.2.2入侵检测功能入侵检测技术就是一种主动保护自己免受黑客攻击的一种网络安全技术，包括以下内容:1.反端口扫描。端口扫描就是指黑客通过远程端口扫描的工具，从中发现主机的哪些非常用端口是打开的;是否支持FTP、Web服务;且FTP服务是否支持“匿名”，以及IIS版本，是否有可以

22、被成功攻破的IIS漏洞，进而对内部网络的主机进行攻击。顾名思义反端口扫描就是防范端口扫描的方法，目前常用的方法有:关闭闲置和有潜在危险的端口;检查各端口，有端口扫描的症状时，立即屏蔽该端口，多数防火墙设备采用的都是这种反端口扫描方式。2.检测拒绝服务攻击。拒绝服务(DoS)攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应，其攻击方式有很多种;而分布式的拒绝服务攻击(DDoS)攻击手段则是在传统的DoS攻击基础之上产生的一类攻击方式，分布式的拒绝服务攻击(DDoS)。其原理很简单，就是利用更多的受控主机同时发起进攻，以比DoS更大的规模(或者说以更高于受攻主机处理

23、能力的进攻能力)来进攻受害者。现在的防火墙设备通常都可检测Synflod、Land、Ping of Death、TearDrop、ICMP flood和UDPflod等多种DOS/DDOS攻击。3.检测多种缓冲区溢出攻击(Buffer Overflow)。缓冲区溢出(Buffer Overflow)攻击指利用软件的弱点将任意数据添加进某个程序中，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作，防火墙设备可检测对FTP、Telnet、SSH、RPC和SMTP等服务的远程堆栈溢出入侵

24、。4.检测CGI/IIS服务器入侵。CGI就是Common Gateway Interface的简称。是World Wide Web主机和CGI程序间传输资讯的定义。IIS就是Internet Information server的简称，也就是微软的Internet信息服务器。防火墙设备可检测包括针对Unicode、ASP源码泄漏、PHF、NPH、pfdisPlay.cgi等已知上百种的有安全隐患的CGI/IIS进行的探测和攻击方式。5.检测后门、木马及其网络蠕虫。后门程序是指采用某种方法定义出一个特殊的端口并依靠某种程序在机器启动之前自动加载到内存，强行控制机器打开那个特殊的端口的程序。木马

25、程序的全称是“特洛依木马”，它们是指寻找后门、窃取计算机的密码的一类程序。网络蠕虫病毒分为2类，一种是面向企业用户和局域网而一言，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网造成瘫痪性的后果，以“红色代码”，“尼姆达”，以及最新的“sql蠕虫王”为代表。另外一种是针对个人用户的，通过网络(主要是电子邮件，恶意网页形式)迅速传播的蠕虫病毒，以爱虫病毒，求职信病毒为例。防火墙设备可检测试图穿透防火墙系统的木马控制端和客户端程序;检测试图穿透防火墙系统的蠕虫程序。2.2.3虚拟专网功能指在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络中传播。VPN的基本原理是通过IP包的封装及

26、加密、认证等手段，从而达到安全的目的。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。除去上述功能，防火墙还具有以下功能：管理进、出网络的访问行为；封堵某些禁止行为；记录通过防火墙的信息内容和活动；IP地址/MAC地址绑定；审计；第三章防火墙的原理及分类3.1防火墙的工作原理随着计算机网络技术的发展，网络安全事故在逐年增多，防火墙是一种行之有效的网络安全机制，它在网络内部和外部之间实施安全防范的系统。通过防火墙能够定义一个接入访问控制要求并且保证仅当流量或数据匹配这个要求的时候才能穿越防火墙或者接入被保护的系统。从根本上说，防火墙偶能

27、力执行以下工作：管理和控制网络流量；认证接入；担当中间媒介；保护资源；报告和记录事件。防火墙是一个访问控制策略强制执行点，而无论其设计和实施有多么复杂。防火墙通过检查所接收到的数据和跟踪链接判定什么样的数据应该被允许，什么样的数据应该被拒绝，另外，防火墙也可以作为对被保护主机发起的中间媒介和代理，同时提够了一套接入访问认证方法去更好的保证只有被许可的访问才能被允许接入。通过正确的实施和配置防火墙来升级安全策略去最小化威胁所造成的风险。尽管防火墙不能阻止所有的攻击，但是它仍然是保护资源的最好方式之一，并且不可否认的是，通过防火墙来保护资源肯定优于不使用防火墙，我们需要了解不同类型的防火墙安全策略

28、和如何去构建一个高效的安全策略。无可厚非，在配置防火墙之前最重要的事情便是选择防火墙的放置位置。一个周密有效的设计方案是成功保护网络资源最重要的一步。对于放置的位置选择，通常是将防火墙放置在被保护网络资源的前方会起到一定程度的保护作用，但是如果通过详细了解需要保护的资源的情况与防火墙的自身功能后进行方案设计及实施，将会更加全面地保护网络不受侵害，更好的发挥防火墙在网络中的作用。总而言之，需要做预先的设计工作以使防火墙安置在能够发挥其效率并符合整体网络策略的位置。国际计算机安全委员会ICSA将防火墙分成三大类:包过滤防火墙，应用级代理服务器8以及状态包检测防火墙。3.1.1包过滤防火墙顾名思义，

29、包过滤防火墙9就是把接收到的每个数据包同预先设定的包过滤规则相比较，从而决定是否阻塞或通过。过滤规则是基于网络层IP包包头信息的比较。包过滤防火墙工作在网络层，IP包的包头中包含源、目的IP地址，封装协议类型(TCP，UDP，ICMP或IP Tunnel)，TCP/UDP端口号，ICMP消息类型，TCP包头中的ACK等等。如果接收的数据包与允许转发的规则相匹配，则数据包按正常情况处理;如果与拒绝转发的规则相匹配，则防火墙丢弃数据包;如果没有匹配规则，则按缺省情况处理。包过滤防火墙是速度最快的防火墙，这是因为它处于网络层，并且只是粗略的检查连接的正确性，所以在一般的传统路由器上就可以实现，对用户

30、来说都是透明的。但是它的安全程度较低，很容易暴露内部网络，使之遭受攻击。例如，HTTP。通常是使用80端口。如果公司的安全策略允许内部员工访问网站，包过滤防火墙可能设置允所有80端口的连接通过，这时，意识到这一漏洞的外部人员可以在没有被认证的情况下进入私有网络。包过滤防火墙的维护比较困难，定义过滤规则也比较复杂，因为任何一条过滤规则的不完善都会给网络黑客造成可乘之机。同时，包过滤防火墙一般无法提供完善的日志。3.1.2应用级代理防火墙应用级代理技术通过在OSI的最高层检查每一个IP包，从而实现安全策略。代理技术与包过滤技术完全不同，包过滤技术在网络层控制所有的信息流，而代理技术一直处理到应用层

31、，在应用层实现防火墙功能。它的代理功能，就是在防火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。这一内建代理机制提供额外的安全，这是因为它将内部和外部网络隔离开来，使网络外部的黑客在防火墙内部网络上进行探测变得困难，更重要的是能够让网络管理员对网络服务进行全面的控制。但是，这将花费更多的处理时间，并且由于代理防火墙支持的应用有限，每一种应用都需要安装和配置不同的应用代理程序。比如访问WEB站点的HTTP，用于文件传输的FTP，用于E一MAIL的SMTP/POP3等等。如果某种应用没有安装代理程序，那么该项服务就不被支持并且不能通过防火墙进行转发;同时升级一种应用时，相应的代理程序也必须同时升级。3.1.3代理服务型防火墙代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤10和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”