毕业论文浅析Internet防火墙技术.docx

1、毕业论文浅析Internet防火墙技术 学生毕业论文（设计）题目： 浅析Internet防火墙技术 姓 名 学 号 专 业 计算机网络技术系 部 指导教师 毕业论文（设计）评审登记卡（一）论文题目浅析Internet防火墙技术作者姓名所属专业、级别计算机网络技术指导教师姓名字数11884定稿日期2011年6月12日内 容 摘 要21世纪全球互联网技术的迅猛发展为现代人们的生产生活带来了翻天覆地的变化.不仅仅是使我们的生活变得丰富多彩,而在更大程度上使整个社会的生产力的大幅度提升。Internet的快速发展，使全球各个角落的资源实现共享，资源之丰富可谓是应有尽有。但是同时给我们带来了一个日益严峻

2、的问题-网络安全。互联的发展必然把网络安全这个话题推上了风头浪尖。现在的网络安全技术有防火墙技术，IDS、加密技术和防病毒技术等等。而防火墙技术在网络安全技术中是最简单，也是最有效的解决方法。所以防火墙技术越来越受到人们的关注和广泛应用。本文从防火墙技术的概念、发展过程的方面进行分析，并对防火墙技术的发展趋势以及前景做简要展望。关 键 词Internet 防火墙 过滤 毕业（设计）评审登记卡（二)学生毕业论文（设计）质量评价表评价基元评价要素评价内涵满分实评分选题质量25%目的明确、符合要求符合培养目标，体现学科，专业特点和教学计划的基本要求,达到毕业论文(设计）综合训练的目的。10理论意义或

3、实际价值符合本学科的理论发展，有一定的学术意义；对经济建设和社会发展的应用性研究中的某个理论或方法问题进行研究具有一定的实际值.10选题确当题目规模适当，难易度适中；有一定的科学性.5能力水平40检阅文献资料能力能独立检阅相关文献资料,归纳总结本论文所涉及的有关研究状况及成果。10综合运用知识能力能运用所学专业知识阐述问题；能对查阅的资料进行整理和运用；能对其科学论点进行率证。10研究方案的设计能力整理思路清晰，研究方案合理可行5研究方法和手段的运用能力能运用本学科常规研究方法及相关研究手段（如计算机、实验仪器设备等）进行实验、实践并加工处理，总结信息。10外文应用能力能阅读、翻译一定量的本专

4、业外文资料、外文摘要和外文参考书目(艺术类等专业除外）体现一定的外语水平.5论文质量35文题相符较好地完成论文选题的要求。5写作水平论点鲜明；论据充分；条理清晰；语言流畅；书写工整。15写作规范符合科学论文的基本要求。用语、格式、图表、数据、量和单位，各种资料引用的规范化（符合标准）。10论文篇幅文科4000字左右,理科3000字左右.5指导教师评定成绩：实评总分 成绩等级 指导教师（签名)：说明:评定成绩分为优秀、良好、中等、及格、不及格五个等级，实评总分90分以上记为优秀，80分以上为良好,70分以上记为中等，60分以上记为及格,60分以下记为不及格。 毕业论文（设计）评审登记卡(三)指导

5、教师审意见评语：评定等级： 指导教师（签名）：论文指导小组意见评语：评定等级: 负责人（签名）：学校抽查意见评语：评定等级： 负责人(签名）： 毕业设计任务计划书一、目的: 了解什么是防火墙，分析各代防火墙的技术特点以及各代防火墙存在的弊端和不足之处,结合现今互联网发展状况展望未来防火墙的发展. 二、设计思路：计算机网络的发展，上网的人数不断地增大,网上的资源也不断地增加，网络的开放性、共享性、互连程度也随着扩大。政府上网工程的启动和实施,电子商务、网上银行等网络新业务的兴起和发展,使得网络安全问题显得日益重要和突出.本文讲述了传统防火墙的基本原理和发展历程，分析其在当今网络环境中所存在的缺陷

6、,并展望下一代防火墙的发展方向. 三、基本任务： 通过选题、开题、中期检查、结论验收、等工作程序,能够以计算机专业理论为基础，完成一篇具有学术性、科学性、创新性、规范性的论文题目的研究撰写任务. 四、内容计划： 通过大学三年的学习，以计算机专业知识为基础，我对网络技术、防火墙技术、广域网技术颇感兴趣，因此我选择了浅析Internet防火墙技术这个论文题目。2011年4月我对论文题目进行了研究和思考,并写出论文写作提纲，查阅大量相关书籍文献,并突破选题内容的重点难点和创新点.5月对论文的疑难点进行深入研究，通过查阅资料，与同学探讨,解决难点。论文于5月18日定稿，6月上旬审查。摘要00前言01第

7、一章 防火墙技术概述一.防火墙的基本概念01二。防火墙的工作原理02三。防火墙的功能02四.防火墙的分类02第二章 防火墙的发展以及关键技术和特色一第一代防火墙 03 （一)特点 03 （二）优劣03二第二代防火墙 04 （一） 特点 04 （二) 优劣 04三第三代防火墙05 (一） 特点 05 （二) 优劣 05四第四代防火墙 05 （一）主要技术及功能 05 (二）实现方法 07五。小结 08第三章 防火墙技术的发展趋势一最新梭子鱼防火墙09结论11参考文献 11附录 12摘要：21世纪全球互联网技术的迅猛发展为现代人们的生产生活带来了翻天覆地的变化。不仅仅是使我们的生活变得丰富多彩，而

8、在更大程度上使整个社会的生产力的大幅度提升。Internet的快速发展，使全球各个角落的资源实现共享,资源之丰富可谓是应有尽有,但是同时给我们带来了一个日益严峻的问题-网络安全.互联网的发展必然把网络安全这个话题推上了风头浪尖。现在的网络安全技术有防火墙技术,IDS、加密技术和防病毒技术等等，而防火墙技术在网络安全技术中是最简单，也是最有效的解决方法.所以防火墙技术越来越受到人们的关注和广泛应用.本文从防火墙技术的概念、发展过程这两个方面进行研究分析，并对防火墙技术的发展趋势以及前景做简要展望。关键字：Internet 防火墙 过滤Abstract： The 21st century glob

9、al the rapid development of Internet technology for modern peoples production and life bring earth-shaking changes。 Not only is to make our lives become rich and colorful， and a greater extent the productivity of the society of improved significantly. The rapid development of Internet， make every co

10、rner of the world, resources sharing resources to achieve the rich can be called everything。 But at the same time gives us an increasingly serious problem - network security. Internet development will inevitably put network security this topic into limelight wave. Now network security technology has

11、 firewall technology, IDS， encryption technology and the black antivirus technology, etc。 Firewall technology in network security technology is the simplest and most effective solutions. So the firewall technology is more and more attention and widely used。 In this paper, we researched the concept a

12、nd the development of firewall technology, and analysis firewall technology trends and prospects for a brief outlook.Key words： Internet Firewall Filtering前言古代防火墙作用：古人在建筑物的两侧山墙和后檐墙上，不开门窗，不采用可燃材料，谓之风火檐，也称封火檐。这是防火墙的一种形式.故宫内也有这种防火墙。雍正皇帝为了接受皇宫内过去发生火灾的教训，命令工部大臣将三大殿东西配殿以及东六宫、西六宫的两侧山墙和后檐墙统统改为风火檐，全然不用木质材料。这

13、十三处防火墙的总长度约4000米，对于防止故宫内火势蔓延发挥了应有的作用.当今社会所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway）。随着网络应用越来越广泛，给我们带来的便利无处不在，但是这项技术的普及给我们的生活带来了很多新的问题。如银行密码被偷、商业机密被窃取、网络欺诈、网络虚拟资产被偷窃等等现象越来越严重，这些现象使得人们对网络技术长生了畏惧。在互联网领域存在的“黑客经济”

14、,已经发展出黑客培训、信息窃取、恶意广告、垃圾邮件、敲诈勒索、网站仿冒等多种盈利模式.根据CNCERT的初步估计，目前这条“黑色产业链”的年“产值”已超过2。38亿元,给中国互联网产业造成的损失则超过76亿元。作为网络安全保障第一道防线的防火墙技术此时显得尤为重要。本文将从防火墙的原理入手充分解析什么是防火墙，再分析各代防火墙的技术特点，剖析防火墙现在依然存在的弊端和不足之处,最后结合现今互联网发展状况作出展望。第一章 防火墙技术概述一。防火墙的基本概念 从理论上讲，网络防火墙服务的原理与其类似，它用来防止外部网上的各类危险传播到某个受保护网内。从逻辑上讲，防火墙是分离器、限制器和分析器；从物

15、理角度看，各个防火墙的物理实现方式可以有所不同,但它通常是一组硬件设备（路由器、主机)和软件的多种组合；而从本质上来说防火墙是一种保护装置，用来保护网络数据、资源和用户的声誉；从技术上来说，网络防火墙是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问,换句话说,防火墙是一道门槛，控制进/出两个方向的通信,防火墙主要用来保护安全网络免受来自不安全网络的入侵,如安全网络可能是企业的内部网络,不安全网络是因特网，当然,防火墙不只是用于某个网络与因特网的隔离,也可用于企业内部网络中的部门网络之间的隔离1。 二。防火墙的工作原理 防火墙的工作原理是按照事先规定好的配

16、置和规则，监控所有通过防火墙的数据流，只允许授权的数据通过，同时记录有关的联接来源、服务器提供的 通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪，并且防火墙本身也必须能够免于渗透1. 三。防火墙的功能一般来说，防火墙具有以下几种功能1： （一)能够防止非法用户进入内部网络. （二）可以很方便地监视网络的安全性，并报警。 （三)可以作为部署 NAT（Network Address Translation，网络地址变换）的地点，利用 NAT 技术，将有限的 IP 地址动态或静态地与内部的 IP 地址对应起来,用来缓解地址空间短缺的问题。 （四）可以连接到一个单独的网段上，从物理上和内部网

17、段隔开，并在此部署 WWW服务器和 FTP 服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火区(DMZ）。 四。防火墙的分类 （一）从软、硬件形式上分为软件防火墙和硬件防火墙以及芯片级防火墙。 （二）从防火墙技术分为“包过滤型” 、“代理服务器型”和“复合型防火墙”三大类2。 1、包过滤型防火墙。又称筛选路由器（Screening router)或网络层防火墙（Network level firewall），它工作在网络层和传输层。它基于单个数据包实施网络控制，根据所收到的数据包的源IP地址、目的IP地址、TCP/UDP源端口号及目标端口号、ICMP消息类型、包出入接口

18、、协议类型和数据包中的各种标志等为参数，与用户预定的访问控制表进行比较，决定数据是否符合预先制定的安全策略，决定数据包的转发或丢弃，即实施过滤.2.代理服务器型防火墙 代理服务器型防火墙通过在主机上运行代理的服务程序，直接对特定的应用层进行服务，因此也称为应用型防火墙。其核心是运行于防火墙主机上的代理服务器进程，它代替网络用户完成特定的TCP/IP功能。一个代理服务器实际上是一个为特定网络应用而连接两个网络的网关. 3、复合型防火墙 由于对更高安全性的要求，通常把数据包过滤和代理服务系统的功能和特点综合起来，构成复合型防火墙系统。所用主机称为堡垒主机，负责代理服务.各种类型的防火墙都有其各自的

19、优缺点。当前的防火墙产品己不再是单一的包过滤型或代理服务器型防火墙,而是将各种安全技术结合起来,形成一个混合的多级防火墙,以提高防火墙的灵活性和安全性。混合型防火墙3一般采用以下几种技术: （1）动态包过滤； （2）内核透明技术； （3）用户认证机制； (4）内容和策略感知能力； (5)内部信息隐藏; （6）智能日志、审计和实时报警； （7）防火墙的交互操作性等。 (三） 从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 （四) 按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合防火墙三大类。 （五） 按防火墙性能分为百兆级防火墙和千兆级防火墙两类. (六）按防火墙使

20、用方法分为网络层防火墙，物理层防火墙和链路层防火墙三类。第二章 防火墙的发展以及关键技术一第一代防火墙 由于多数路由器本身就包含有分组过滤功能，故网络访问控制可能通过路控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品4。（一) 第一代防火墙产品的特点： 1、利用路由器本身对分组的解析，以访问控制表（Access List)方式实现对分组的过滤；2、过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征（图2-1)； 图21 3、只有分组过滤的功能，且防火墙与路由器是一体的。这样，对安全要求低的网络可以采用路由器附带防火墙功能的方法，而对安全性要求高的则网络需要单独利用一台路由

21、器作为防火墙。 （二) 第一代防火墙产品的不足之处十分明显，具体表现为: 1、路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用FTP协议时，外部服务器容易从20号端口上与内部网相连，即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。 2、路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误. 3、路由器防火墙的最大隐患是：攻击者可以“假冒地址。由于信

22、息在网络上是以明文方式传送的，黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。 4、路由器防火墙的本质缺陷是：由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制，这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。 二。第二代防火墙 可以说基于路由器的第一代防火墙技术只是网络安全的一种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的。为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户防火墙工具套的出现。这就是我们所说的第二代防火墙4（图2-2)。图22（一） 第二代

23、防火墙的特点：作为第二代防火墙产品，用户化的防火墙工具套具有以下特点： 1、将过滤功能从路由器中独立出来，并加上审计和告警功能; 2、针对用户需求，提供模块化的软件包； 3、c:iknowdocsharedatacur_workhttp：220.112.145。89testClassHtmlsoft.html软件可以通过网络发送，用户可以自己动手构造防火墙； 4、与第一代防火墙相比，安全性提高了，价格也降低了.(二）第二代防火墙的劣势： 由于是纯c:iknowdocsharedatacur_workhttp：220.112.145。89testClassHtmlsoft。html软件产品,第二

24、代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求，并带来以下问题： 1、配置和维护过程复杂、费时； 2、对用户的技术要求高； 3、全软件实现，使用中出现差错的情况很多。 三。第三代防火墙 基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品4（图2-3）。（一） 第三代防火墙的特点：近年来市场上广泛使用的就是这一代产品，它们具有如下一些特点： 1、是批量上市的专用防火墙产品； 2、包括分组过滤或者借用路由器的分组过滤功能； 3、装有专用的代理系统，监控所有协议的数据和指令； 4、保护用户编程空间和用户可配置内核参数的设置

25、； 5、安全性和速度大大提高。（二) 第三代防火墙的优劣： 第三代防火墙有以纯c:iknowdocsharedatacur_workhttp：220。112.145.89testClassHtmlsoft.html软件实现的，也有以硬件方式实现的，它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题，比如： 1、作为基础的操作系统及其内核往往不为防火墙管理者所知，由于源码的保密，其安全性无从保证； 2、由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责； 3、从本质上看，第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作

26、系统厂商的攻击； 4、在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能; 5、透明性好,易于使用。图23四第四代防火墙（一）第四代防火墙的主要技术及功能（图24） 第四代防火墙产品将网关与安全系统合二为一,具有以下技术功能：图24 2、 透明的访问方式.以前的防火墙在访问方式上要么要求用户做系统登录，要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率. 3、 灵活的代理系统.代理系统是一种将信息从防火墙的一侧传送到另一侧的c:iknowdocsharedatacur_workhttp：220.112.1

27、45。89testClassHtmlsoft.html软件模块,第四代防火墙采用了两种代理机制：一种用于代理从内部网络到外部网络的连接；另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接（NIT）技术来解决，后者采用非保密的用户定制代理或保密的代理系统技术来解决。 4、多级过滤技术.为保证系统的安全性和防护水平，第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒IP地址；在应用级网关一级,能利用FTP、SMTP等各种网关，控制和监测Internet提供的所有通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格

28、控制。 5、网络地址转换技术。第四代防火墙利用NAT技术能透明地对所有内部地址做转换，使得外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己编的IP源地址和专用网络，防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址. 6、Internet网关技术5。由于是直接串联在网络之中，第四代防火墙必须支持用户Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞，故它要能够以多种安全的应用服务器（包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性，对所有的文件和命令均要利用“改变根系统调用（chroot

29、)做物理上的隔离。 在域名服务方面，第四代防火墙采用两种独立的域名服务器：一种是内部DNS服务器，主要处理内部网络和DNS信息；另一种是外部DNS服务器，专门用于处理机构内部向Internet提供的部分DNS信息。在匿名FTP方面，服务器只提供对有限的受保护的部分目录的只读访问.在WWW服务器中，只支持静态的网页，而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中，对外部访问，防火墙只提供可由内部用户配置的基本的文本信息，而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理，并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理，网络新闻服务则为接收来自IS