毕业论1.docx

1、毕业论1云南广播电视大学成人专科学历教育毕业论文论文题目：防火墙技术的研究与应用办学单位：云南广播电视大学直属班姓 名：子建林 学 号：103740197年 级：2010级 专 业：计算机信息管理指导教师： 职 称：防火墙技术的研究与应用摘要本论文旨在研究防火墙的技术原理以及应用。其中着重介绍了防火墙的分类，设计防火墙时所需用到的主要策略和技术。通过阐述人们在选择防火墙时应注意的事项，并介绍当前流行防火墙产品的主要性能，总结出软件防火墙的使用心得和网络安全防范措施，在进一步得出传统防火墙普遍存在的不足，从而对新防火墙技术进行介绍并展望新技术的发展。防火墙技术的核心思想是在不安全的网际网环境中构

2、造一个相对安全的子网环境. 本文介绍了防火墙技术的基本概念和系统结构，讨论了实现防火墙的两种主要技术手段：一种是基于分组过滤技术(Packet filtering)，它的代表是在筛选路由器上实现的防火墙功能；一种是基于代理技术(Proxy)，它的代表是在应用层网关上实现的防火墙功能最后达到让计算机用户在比较深入了解防火墙技术的同时，选择适合自己网络实用的防火墙产品，使用户能轻松安全地上网，免除网络黑客、病毒木马程序的侵扰。关键词：防火墙 计算机技术 网络病毒 安全目录第一章 绪论 11.1 概述 11.2 防火墙的出现 11.3 防火墙系统的解决方案 2第二章 防火墙的介绍 32.1 什么是防

3、火墙 32.2 防火墙的原理 32.3 防火墙的架构 32.5 防火墙的特点 4第三章 防火墙基础和分类 53.1 静态包过滤防火墙 53.2 动态包过滤防火墙 53.3 代理（应用层网关）防火墙 6第四章 防火墙的部署、使用配置及测试标准 74.1 防火墙的部署 74.2.1防火墙的配置规则 74.2.3防火墙设备的设置步骤 84.3防火墙测试的相关标准 84.3.1 规则配置方面 94.3.2? 防御能力方面 94.3.3? 主动防御提示方面 94.3.5? 其他功能方面 104.3.6? 资源占用方面 104.3.7? 软件安装方面 104.3.8? 软件界面方面 10第五章 软件防火墙

4、的使用心得及网络安全防范措施 115.1 软件防火墙使用心得 115.2网络安全防范措施 12第六章 防火墙的发展历程及趋势 156.1基于路由器的防火墙 156.1.1第一代防火墙产品的特点： 156.1.2第一代防火墙产品的不足之处 156.2 用户化的防火墙工具套 166.3 建立在通用操作系统上的防火墙 166.3.1作系统上的防火墙的特点： 166.3.2操作系统上的防火墙的缺点 166.4. 第四代防火墙 176.4.1 第四代防火墙的主要技术及功能 176.4.2第四代防火墙的抗攻击能力 196.5防火墙的发展趋势 206.5.1优良的性能 206.5.2 可扩展的结构和功能 2

5、16.5.3 简化的安装与管理 216.5.4主动过滤 216.5.5 防病毒与防黑客 22结束 23致谢 24参考文献 25第一章 绪论1.1 概述由1946年2月14日世界上第一台ENIAC（埃尼阿克）的诞生，到现在计算机科学与技术日新月异迅猛发展的21世纪信息时代，计算机经历了无数次的改革换代。随着计算机网络技术的如飞猛进，越来越多计算机需要连接到internet，在互联网上进行各种各样的网络活动，而正是因为这些活动也同时促进了网络安全、网络侵权等犯罪活动和行为的出现，并且日益猖獗。非法浸入他人计算机系统、破坏计算机系统、窃取机密、非法盗取财物、侵犯用户权利等现象越发频繁。假如你的网络连

6、入了互联网而没有做任何的网络安全防范措施，那么你的网络很有可能会立即受到网络黑客的不法入侵和攻击，最后甚至导致你的计算机系统崩溃。网络黑客攻击的目标不仅锁定在个人计算机上，而且还有可能入侵公司企业的网络，盗取商业机密等具有重大价值的信息，也是黑客们所感兴趣的。在互联网攻击数量直线上升的情况下，网络安全的问题已经日益凸显地摆在各类用户的面前，原本不重视网络安全的用户开始将网络安全问题摆在首要解决的日程表上，并采取多种方法维护自己计算机网络的安全，从而免遭网络黑客、各种不病毒和木马的侵害。保护计算机网络安全现已成为计算机用户必须去考虑并且解决的问题。1.2 防火墙的出现防火墙（firewall）的

7、出现为用户解决网络安全问题作出了巨大贡献。对于保护网络安全，防火墙是最基础的设备，它的最基础的设备，它的主要功能在于把那些不受欢迎的访问、信息或者数据包等隔离在特定的网络之外，是一种经济实用的网络边界防护设备。防火墙通常被放置与内部网络与外部网络的连接处，通过执行特定的访问规则和安全策略来保护与外部网络相连的内部网络。内部网络与外部网络之间的任何数据传递都必须通过防火墙这一关，防火墙对这些数据以及访问需求进行分析、处理，并根据已设置的安全规则来判定是否允许其通过。建立防火墙对于保护内部网络免受来自外部的攻击有较好的防范作用。同时，由于防火墙系统本身具备较高的系统安全级别，可以防止非法用户通过控

8、制防火墙对内网发动攻击。因此防火墙被越来越多的企业公司和个人电脑用户所接纳和使用，迅速的发展普及起来，成为了网络黑客和各种病毒、木马和恶意插件的克星。1.3 防火墙系统的解决方案防火墙就如一道墙壁，把内部网络（也称私人网络）和外部网络（也称公共网络）隔离开。起到区域网络不同安全区域的防御性设备的作用，例如：互联网络（internet）与企业内部网络（intranet）之间，如图1-1所示。图1-1内部网络和外部网络根据已经设置好的安全规则，决定是允许（allow）或者拒绝（deny）内部网络和外部网络的连接，如图1-2所示。图1-2内部网络与外部网络的连接第二章 防火墙的介绍2.1 什么是防火

9、墙防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。2.2 防火墙的原理 ?随着网络规模的扩大和开放性的增强，网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测)，但这几乎是一种不切合实际的方法，因为对具有几百个甚至上千个节点的网络，它们可能运行着不同的操作系统，

10、当发现了安全缺陷时，每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙 (Firewall)，防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备，作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障，它可以实施比较广泛的安全策略来控制信息流，防止不可预料的潜在的入侵破坏. DMZ外网和内部局域网的防火墙系统。? 2.3 防火墙的架构 防火墙产品的三代体系架构主要为： 第一代架构：主要是以单一cpu作为整个系统业务和管理的核心，cpu有x86、powerpc、mips等多类型，产品主

11、要表现形式是pc机、工控机、pc-box或risc-box等； ? 第二代架构：以np或asic作为业务处理的主要核心，对一般安全业务进行加速，嵌入式cpu为管理核心，产品主要表现形式为box等； ? 第三代架构：iss（integrated security system）集成安全体系架构，以高速安全处理芯片作为业务处理的主要核心，采用高性能cpu发挥多种安全业务的高层应用，产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备，容量大性能高，各单元及系统更为灵活。2.4 防火墙的技术实现 从Windows软件防火墙的诞生开始，这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争

12、，不断的进化与升级。从最早期的只能分析来源地址，端口号以及未经处理的报文原文的封包过滤防火墙，后来出现了能对不同的应用程序设置不同的访问网络权限的技术；近年来由ZoneAlarm等国外知名品牌牵头，还开始流行了具有未知攻击拦截能力的智能行为监控防火墙；最后，由于近来垃圾插件和流氓软件的盛行，很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上，Windows软件防火墙从开始的时候单纯的一个截包丢包，堵截IP和端口的工具，发展到了今天功能强大的整体性的安全套件。2.5 防火墙的特点一般防火墙具备以下特点：1、控制对特殊站点的访问，广泛的服务支持：通过将动态的、应用层的过滤能力和认证相结合，可实现

13、WWW浏览器、HTTP服务器、FTP等。2、提供监视Internet安全和预警的方便端点，对私有数据的加密支持，保证通过Internet进行的虚拟私人网络和商务活动不受损坏。3、客户端认证只允许指定的用户访问内部网络或选择服务，过滤掉不安全服务和非法用户。4、反欺骗：欺骗是从外部获取网络访问权的常用手段，它令数据包像是来自网络内部。防火墙能监视这样的数据包并扔掉它们。5、C/S模式和跨平台支持：能使运行在一平台的管理模块控制另一平台的监视模块。 6、邮件保护：保护网络免受对电子邮件服务的攻击。第三章 防火墙基础和分类从防火墙的防范方式和侧重点的不同来看，防火墙可以分为很多类型，但是根据防火墙对

14、内外来往数据处理方法，大致可将防火墙分为两大体系：包过滤防火墙和代理防火墙。包过滤防火墙经历了两代：3.1 静态包过滤防火墙静态包过滤防火墙采用的是一个都不放过的原则。它会检查所有通过信息包里的IP地址号，端口号及其它的包头信息，并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配，其中：如果信息包中存在一点与过滤规则不符合，那么这个信息包里所有的信息都会被防火墙屏蔽掉，这个信息包就不会通过防火墙。相反的，如果每条规都和过滤规则相匹配，那么信息包就允许通过。静态包的过滤原理就是：将信息分成若干个小数据片（数据包），确认符合防火墙的包过滤规则后，把这些个小数据片按顺序发送，接收到这些小数据片

15、后再把它们组织成一个完整的信息这个就是包过滤的原理。这种静态包过滤防火墙，对用户是透明的，它不需要用户的用户名和密码就可以登录，它的速度快，也易于维护。但由于用户的使用记录没有记载，如果有不怀好意的人进行攻击的话，我们即不能从访问记录中得到它的攻击记录，也无法得知它的来源。而一个单纯的包过滤的防火墙的防御能力是非常弱的，对于恶意的攻击者来说是攻破它是非常容易的。其中“信息包冲击”是攻击者最常用的攻击手段：主要是攻击者对包过滤防火墙发出一系列地址被替换成一连串顺序IP地址的信息包，一旦有一个包通过了防火墙，那么攻击者停止再发测试IP地址的信息包，用这个成功发送的地址来伪装他们所发出的对内部网有攻

16、击性的信息。3.2 动态包过滤防火墙静态包过滤防火墙的缺点，动态包过滤防火墙都可以避免。它采用的规则是发展为“包状态检测技术”的动态设置包过滤规则。它可以根据需要动态的在过滤原则中增加或更新条目，在这点上静态防火墙是比不上它的，它主要对建立的每一个连接都进行跟踪。在这里我们了解的是代理防火墙。代理服务器型防火墙与包过滤防火墙不同之点在于，它的内外网之间不存在直接的连接，一般由两部分组成：服务器端程序和客户端程序，其中客户端程序通过中间节点与提供服务的服务器连接。代理服务器型防火墙提供了日志和审记服务。?代理防火墙也经历了两代：3.3 代理（应用层网关）防火墙这种防火墙被网络安全专家认为是最安全

17、的防火墙，主要是因为从内部发出的数据包经过这样的防火墙处理后，就像是源于防火墙外部网卡一样，可以达到隐藏内部网结构的作用。由于内外网的计算机对话机会根本没有，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。3.4 自适应代理防火墙自适应代理技术是商业应用防火墙中实现的一种革命性技术。它结合了代理类型防火墙和包过滤防火墙的优点，即保证了安全性又保持了高速度，同时它的性能也在代理防火墙的十倍以上，在一般的情况下，用户更倾向于这种防火墙。我们把两种防火墙的优缺点的对比用下列图表的形式表示如下：?优点缺点?包过滤防火墙价格较低性能开销小，处理速度较快定义复杂，容易出现速度较慢，不太适用于高速网之

18、间的应用?代理防火墙内置了专门为提高安全性而编制的Proxy应用程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理不能理解特定服务的上下文环境，相应控制只能在高层由代理服务和应用层网关来完成第四章 防火墙的部署、使用配置及测试标准 4.1 防火墙的部署 虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙产品仍然以第二代代理型产品为主，但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑，用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求，同时也能有效

19、地控制安全系统的总拥有成本。 实际上，作为当前防火墙产品的主流趋势，大多数代理服务器（也称应用网关）也集成了包过滤技术，这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的，应用网关能提供对协议的过滤。例如，它可以过滤掉FTP连接中的PUT命令，而且通过代理应用，应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点，使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。 -那么我们究竟应该在哪些地方部署防火墙呢？ -首先,应该安装防火墙的位置是公司内部网络与外部 Internet的接口处，以阻挡来自外部网络的入侵；其次，如果公

20、司内部网络规模较大，并且设置有虚拟局域网(VLAN)，则应该在各个VLAN之间设置防火墙；第三，通过公网连接的总部与各分支机构之间也应该设置防火墙，如果有条件，还应该同时将总部与各分支机构组成虚拟专用网(VPN)。 -安装防火墙的基本原则是：只要有恶意侵入的可能，无论是内部网络还是与外部公网的连接处，都应该安装防火墙。4.2 防火墙的使用配置 4.2.1防火墙的配置规则没有连接的状态(没有握手或握手不成功或非法的数据包)，任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)inside可以访问任何outside和dmz区域。dmz可以访问outside区

21、域。inside访问dmz需要配合static(静态地址转换)。outside访问dmz需要配合acl(访问控制列表)。4.2.2防火墙配置方式Dualhomed方式、Screenedhost方式和Screenedsubnet方式。1、Dualhomed方式最简单。 Dualhomed Gateway放置在两个网络之间，又称为Bastionhost，成本较低，但是没有自我防卫能力，往往受“黑客”攻击，一旦被攻破，整个网络也就暴露了。 2、Screenedhost方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将信息先送往Bastionhost，并只接受

22、来自Bastionhost的数据作为出去的数据。该结构依赖Screeningrouter和Bastionhost，只要有一个失败，整个网络就暴露了。 3、Screenedsubnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为“停火区”（DMZ，即DemilitarizedZone）,Bastionhost放置在“停火区”内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本很昂贵。4.2.3防火墙设备的设置步骤1、确定设置防火墙的部署模式；2、设置防火墙设备的IP地址信息（接口地址或管理地址（设置在VL

23、AN 1上）；3、设置防火墙设备的路由信息；4、确定经过防火墙设备的IP地址信息（基于策略的源、目标地址）；5、确定网络应用（如FTP、EMAIL等应用）；6、配置访问控制策略。4.3防火墙测试的相关标准 防火墙作为信息安全产品的一种，它的产生源于信息安全的需求。所以防火墙的测试不仅有利于提高防火墙的工作效率，更是为了保证国家信息的安全。依照中华人民共和国国家标准GB/T 18019-1999信息技术包过滤防火墙安全技术要求、GB/T18020-1999信息技术应用级防火墙安全技术要求和GB/T17900-1999网络代理服务器的安全技术要求以及多款防火墙随机提供的说明文档，中国软件评测中心软

24、件产品测试部根据有关方面的标准和不同防火墙的特点整理出以下软件防火墙的测试标准：4.3.1 规则配置方面 要使防火墙软件更好的服务于用户，除了其默认的安全规则外，还需要用户在使用过程中不断的完善其规则；而规则的设置是否灵活方便、实际效果是否理想等方面，也是判断一款防火墙软件整体安全性是否合格的重要标准。简单快捷的规则配置过程让防火墙软件具备更好的亲和力，一款防火墙软件如果能实施在线检测所有对本机的访问并控制它们、分别对应用程序、文件或注册表键值实施单独的规则添加等等，这将成为此款软件防火墙规则配置的一个特色。4.3.2? 防御能力方面 对于防火墙防御能力的表现，由于偶然因素太多，因此无法从一个

25、固定平等的测试环境中来得出结果。但是可以使用了X-Scan等安全扫描工具来测试。虽然得出的结果可能仍然有一定的出入，但大致可以做为一个性能参考。4.3.3? 主动防御提示方面 对于网络访问、系统进程访问、程序运行等本机状态发生改变时，防火墙软件一般都会有主动防御提示出现。这方面主要测试软件拦截或过滤时是否提示用户做出相应的操作选择。4.3.4? 自定义安全级别方面 用户是否可以参照已有安全级别的安全性描述来设置符合自身特殊需要的规则。防火墙可设置系统防火墙的安全等级、安全规则，以防止电脑被外界入侵。一般的防火墙共有四个级别：? 高级：预设的防火墙安全等级，用户可以上网，收发邮件；? 中级：预设

26、的防火墙安全等级，用户可以上网，收发邮件，网络聊天， FTP、Telnet等；? 低级：预设的防火墙安全等级，只对已知的木马进行拦截，对于其它的访问，只是给于提示用户及记录；? 自定义：用户可自定义防火墙的安全规则，可以根据需要自行进行配置。4.3.5? 其他功能方面 ?这主要是从软件的扩展功能表现、操作设置的易用性、软件的兼容性和安全可靠性方面来综合判定。比如是否具有过滤网址、实施木马扫描、阻止弹出广告窗口、将未受保护的无线网络“学习”为规则、恶意软件检测、个人隐私保护等丰富的功能项，是否可以满足用户各方面的需要。4.3.6? 资源占用方面 这方面的测试包括空闲时和浏览网页时的CPU占用率、

27、内存占有率以及屏蔽大量攻击时的资源占用和相应速度。总的来是就是资源占用率越低越好，启动的速度越快越好。4.3.7? 软件安装方面 这方面主要测试软件的安装使用是否需要重启系统、安装过程是不是方便、安装完成后是否提示升级本地数据库的信息等等。4.3.8? 软件界面方面 软件是否可切换界面皮肤和语言、界面是否简洁等等。简洁的界面并不代表其功能就不完善，相反地，简化了用户的操作设置项也就带来了更智能的安全防护功能。比如有的防护墙安装完成后会在桌面生成简单模式和高级模式两个启动项，这方便用户根据不同的安全级别启动相应的防护第五章 软件防火墙的使用心得及网络安全防范措施5.1 软件防火墙使用心得对于日益

28、严重的网络安全问题，防火墙几乎成为所有企业网络和个人用户不可或缺的安全设备。选购一款适合企业或者用户使用的防火墙是最先需要考虑的问题，用户需要对防火墙的功能、特点以及价格等方面进行衡量和对比，从而选择一款性价比可以满足自己的产品。而之后如果对防火墙进行正确配置和操作都有所掌握，虽然不可避免地受到过恶意插件和病毒的攻击，但是当计算机连接到internet的时候，基本能够确保计算机的安全性，发现病毒木马等攻击时，能够及时的发现并把病毒和木马清除。对此本人总结了使用防火墙时需要注意的事项和心得：第一：防火墙就像计算机的防护盾。如果没有能力购买硬件防火墙的话，那么也必须为自己配置一款适合的软件防火墙来

29、保护你的计算机和系统安全，防火墙的作用就如同守护网络安全的坚实的一个防护盾。第二：防火墙不是越多越好，一般不可安装两个以上的软件防火墙。本人曾经试过在计算机上同时安装两个防火墙，结果导致软件冲突，或者出现电脑蓝屏等现象，更严重的可能导致系统的崩溃，最后不得不重装系统才能解决。第三：了解防火墙占用计算机资源的情况。选用一款防火墙之前，要对防火墙的性能及安装环境先有大致的了解，判断自己的计算机配置是否能够负担起防火墙的资源消耗，主要可以从计算机的CPU、内存、硬件方面进行判断考虑。建议安装节省系统资源的软件防火墙。例如瑞星防火墙一般比较占用系统资源，安装之后开机速度会有所拖慢，占用CPU使用率也是

30、比较高的。第四：选择高效率的软件防火墙十分重要。曾经受到恶意的病毒攻击，此时通过系统的数据包很多，防火墙处理速度不够快，从而严重影响了系统的效率，严重时会出现死机。当遇到这样的情况，用户即可考虑使用信的软件防火墙来保护自己的计算机系统。第五：防火墙的易用性很重要。有一些防火墙虽然性能较其他产品好，但是对于一般用户来说，配置及操作过于复杂，在设置过程中也容易出错，导致问题的出现。因此，建议用户选用使用简单方便的防火墙产品。第六：安装杀毒软件配合防火墙。防火墙并不是万能的，从字义上面理解防火墙就如同一道墙，它主要的功能是阻止外部网络数据包等信息的通过，但是防火墙并不能保证把所有不安全的信息都进行拦

31、截，当不安全的信息进入内部网络时，有些防火墙将不再发挥作用，此时就需要安装一款杀毒软件配合防火墙的工作，将病毒木马等非法数据包清除。使用防火墙的时候除了上面提到一些需要注意到的地方，还有其他未碰到的情况和问题，这些都需要借助以后对防火墙的使用经验，不断的进行总结，才能更好的使用防火墙来保护自己的计算机网络安全。而在使用计算机连接internet时，本人也凭借以往的经历，总结了一些网络安全的防范方法。5.2网络安全防范措施除了正确使用防火墙用来抵御网络非合法信息入侵破坏我们计算机系统，在我们日常使用计算机连接internet的时候，采取另一些网络安全防范措施，并养成良好的网络使用习惯，这些都有助于保障我们计算机