《防火墙技术的研究_毕业论文》由会员分享,可在线阅读,更多相关《防火墙技术的研究_毕业论文(42页珍藏版)》请在金锄头文库上搜索。
1、 毕业论文(防火墙技术的研究)学 校: 西 藏 职 业 技 术 学 院指 导 老 师: 孙 成 卫 学 生: 扎 西 学 号: 1113042035专 业; 系 统 集 成摘 要:随着计算机和网络技术的不断普及与应用,网络安全越来越受到人们的重视。防火墙作为一种隔离内部安全同时网络内部安全与外部不信任网络的防御技术,已经成为计算机网络安全体机构中的一个重要组成部分。作者在研究防火墙技术和使用部分防火墙产品的过程中,发现防火墙在抵御部分网络攻击时还存在缺陷,于是在本文中就存在提出自己的观点并进行技术改进,以使防火墙更好的保护内部网络的安全。首先通过数据和案例的分析说明网络安全的重要性,并介绍了几
2、种常用的网络安全技术。然后详细的介绍了防火墙的概念、内涵、技术原理、体系结构和主要的类型。查阅大量的书籍、网络文章、具体的防火墙操作和内核分析找出防火墙在应对各种攻击时自身的缺陷,通过深入研究和大量实验后实现对防火墙自身功能得到改进,使防火墙更好的工作以保证网络不会受到非法入侵和重要的数据不被窃取及破坏。 目 录第一章 绪言第二章 防火墙的概念第一节 防火墙的概念第二节 防火墙的优缺点第三节 防火墙的功能概述第四节 防火墙工作原理分析第三章 几种典型的防火墙第一节 天网防火墙系统第二节 FortiGate 病毒防火墙第三节 CISCO PIX 防火墙第四节 方正数码公司的方御防火墙系列产品第四
3、章 防火墙的实例配置第五章 防火墙的基本类型第一节 包过滤第二节 网络地址转化NAT第三节 应用代理第四节 状态检测第六章 防火墙的未来发展方向第七章 总结谢 辞 参考文献第一章 绪言随着社会信息话进程的深入和互联网的飞速发展,人们的工作、学习和生活方式通过与网络的紧密联系发生了巨大的变化,信息资源得到最大程度共享。但同时那我们必须看到,紧随信息话发展而来得网络安全问题日益突出,它已经成为整个社会关注的焦点。互联网上的病毒、黑客、网络犯罪等等给网络安全带来了巨大威胁,并且随着网络规模的不断扩大,网络安全事故的数量以及其造成的损失也在成倍的增长,网络犯罪的方式方法也是层出不穷。如果不能很好的解决
4、这个问题,它必将阻碍信息化发展的进 程。现在网络威胁呈现多样话,如病毒、垃圾邮件、间谍软件、广告软件、网络的鱼、拒绝服务、网络挟持等。漏洞被发现和漏洞病毒出现的时间间隔越来越短:病毒传播方式的途径正在变的更隐蔽和多样化。第二章 防火墙的概述第一节 防火墙的概念所谓防火墙,是一种将内部旺和公众访问分开的方法,它实际上是一种隔离技术。防火墙是在两个通讯时执行的一种访问控制尺度,它能允许你同意的人和数据进入你的网络,同时将你不同意的人和数据拒之门外,最大限度的阻止网络中黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人无法访问 internet,intenet 上的人也无法和公司内部的人进
5、行通信。第二节 防火墙的优缺点1. 包过滤防火墙使用包过滤防火墙的优点包括:防火墙对每条传入和传出网络的包实行低水平控制每个 IP 包的字段都被检查,例如源地址、目的地址、协议、端口等。防火墙将基于这些应用过滤规则。防火墙可以识别和丢弃带欺骗性源 IP 地址的包。包过滤防火墙是两个网络之间的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。包过滤通常被包含在路由器包中,所有不必额外的系统来处理这个特征。使用包过滤防火墙的缺点包括: 配置困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或者错误配置了已有的规则,在防火墙留下漏洞。然而,在市场上许多新版本的防火墙对这个缺点正在做
6、改进,如开发者实现了基于图形化用户界面(GUI)的配置和更直接的规则定义。为特定服务开放的对口存在着危险,可能会被用于其他传输。例如,Web 服务器的端口为 80,而计算机上又安装了 RealPlayer,那么它会搜寻可以允许连接到RealPlayer 服务器的端口,而不管这个端口是否被其他协议所使用,RealPlayer 正好是使用 80 端口二搜寻的。就这样无意中,RealPlayer 就利用了 Web 服务器的端口。可能还有其他方法绕过防火墙进入网络,例如拨入连接,但这个并不是防火墙自身的缺点而是不应该在网络安全上单纯依赖防火墙的原因。2.状态/动态检测防火墙状态/动态检测防火墙的有点有
7、:检测 IP 包的每个字段的能力,并遵从基于包中信息的过滤规则。识别带有欺骗性源 IP 地址包的能力。包过滤防火墙是两个望楼之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。基于应用程序验证一个包的状态的能力,例如基于一个已经建立的 FIP 连接,允许返回的 FTP 包通过。基于应用程序验证一个包的状态的能力,例如允许一个先前人证过的连接继续与被授权的服务通信。记录有关通过的每个报的详细信息的能力。基本上,防火墙用来确定包状态的所有信息都可以被记录,包括应用程序对包的请求,连接的持续时间,内部和外部系统所做的连接请求等。状态/动态检测防火墙的缺点:状态/动态检测防火墙唯一的缺点就
8、是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活的时候,或者是有大量的过滤网络通信的规则存在时。可是,硬件速度越快,这个问题越不易察觉,而且防火墙的制造商一直致力于他高他们产品的速度。3.应用程序代理防火墙使用应用代理程序防火墙的把优点有:指定对连接的控制,例如允许或拒绝基于服务器 IP 地址的访问,或者是允许或拒绝基于用户所请求连接的 IP 地址的访问。通过限制某些协议的传出请求,来减少网络中不必要的服务。大多数代理防火墙能够记录所有的连接,包括地址和持续时间。而写信息对追踪攻击和发生的未授权访问的事件是很有用的。使用应用程序代理防火墙的缺点有:必须在一
9、定范围内定制用户的系统,这取决与所用的应用程序。一些应用程序可能根本不支持代理连接。4.NAT使用 NAT 的优点有:所有内部的 IP 地址对外面得人来说是隐蔽的。因为这个原因,网络之外没有人可以已通过指定 IP 地址的方式直接对网络内的任何一台特定的计算机发起攻击。如果因为某种公共 IP 地址资源比较短缺的话,NAT 可以使整个内部网络共享一个 IP 地址。可以启用基本的包过滤防火墙安全机制,因为所有传入的包如果没有专门指定配置到 NAT,那么就会被丢弃。内部网络的计算机就不可能直接访问外部网络。使用 NAT 的缺点:NAT 的缺点和包过滤防火墙的缺点是一样的。虽然可以保障内部网路的安全,但
10、它也是一些类似的局限。而且内网可以利用现流传比较广泛的木马程序可以通过 NAT 做外部连接,就像它可以穿过包过滤防火墙一样的容易。注意:现在有很多厂商开发的防火墙,特别是状态/动态检测防火墙,出了他们应该具有的功能外也提供了 NAT的功能。5.个人防火墙个人防火墙的优点有:增加了保护级别,不需要额外的硬件资源。个人防火墙出了可以抵挡攻击的同时,还可以抵挡内部的攻击。个人防火墙是对公共网络中的单个系统提供了保护。例如一个家庭用户使用的是 Modem 活 ISDN/ADSL 上网,可能一个硬件防火墙对于他来说实在是太昂贵了,或者说是太麻烦了。二个人防火墙已经能够用户隐蔽暴露在网路上的信息,比如 I
11、P 地址之类的信息等。个人防火墙的缺点:个人防火墙主要的缺点就是对公共网络只有一个屋里借口。要记住,真正的防火墙应当监视控制两个或更多的网络接口之间的通信。这样一来的话,个人防火墙本身可能会容易受到威胁,或者说是具有这样一个弱点,网络通信可以绕过防火墙的规则。好了,在上面我们已经介绍了积累防火墙,并讨论了每种防火墙的优缺点。要记住,任何一种防火墙只是为网络通信或者数据传输提供了更有保障的安全性,但是我们也不能完全依赖于防火墙。除了靠防火墙保障安全的同时,我们也要加固系统的安全性,提高自身的安全意识。这样一来,数据以及 Web 站点就会更有安全保障。第三节 防火墙的功能概述防火墙是网络安全的屏障
12、:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全 NFS 协议进出受保护网络,这样外部的攻击者就不可以利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如 IP 选项中的源路由攻击和 ICMP 重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。防火墙可以强化网络安全策略:通过防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全网络问题分散
13、到个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各主机上,而集中在防火墙一身上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够低档攻击者的探索和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。防止内部信息的外泄:通过利用防火
14、墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了内部的某些安全漏洞。使用防火墙就可以隐蔽哪些内部细节如 Finger,DNS 等服务。Finger 显示了宿主机的所有用户的注册名、真名,最后登录时间和使用 shell 类型等。但是 Finger 显示的信息非常容易被攻击者所获悉。攻击者可以指导一个系统使用的频繁程度,这个系统是否有用户在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的 DNS 信息,这样一台主机的域名和 IP 地址就不会被外界所了解。除了安全作用防火墙还支持具有 Internet 服务特性的企业内部网路技术体系 VPN。通过 VPN,将企事业单位在地域上分布在全世界各地的 LAN 或专用子
