《网络安全毕业论文》由会员分享,可在线阅读,更多相关《网络安全毕业论文(11页珍藏版)》请在金锄头文库上搜索。
1、中国人民解放军信息工程大学-信息技术应用与管理专业独立本科题 目:网络系统安全学 号:115009290542网络系统安全-防火墙技术的现状与展望考号:115009290542 内容提要: 网络信息安全计算机网络安全从本质上来讲就是网络上传输信息的安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断,在信息发展的过程中,病毒与各类网络攻击直接或间接的威胁着用户信息安全,为了保护用户的计算机系统免受外部网络侵害,在用户计算机系统与外部网络之间设置一组只允许合法访问进入内部网络的软硬件装置,即防火墙(fire
2、wall),关键字:网络安全 防火墙 防火墙技术 防火墙功能 IP/TCP协议 防火墙安全 局限性正文:防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:1)限定人们从一个特定的控制点进入;2)限定人们从一个特定的点离开;3)防止侵入者接近你的其他防御设施;防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效
3、管理。从总体上看,防火墙应该具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止行为;记录通过防火墙的信息内容和活动; 为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。对网络攻击进行检测和告警防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。防火墙技术是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力,它是提供信
4、息安全服务、实现网络和信息安全的基础设施防火墙的主要技术及功能:防火墙产品将网关与安全系统合二为一,具有以下技术功能: 1.双端口或三端口的结构:新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做IP转化而串接于内部与外部之间,另一个网卡可专用于对服务器的安全保护。 2.透明的访问方式:以前的防火墙在访问方式上要么要求用户做系统登录,要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率 3.灵活的代理系统:代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两种代理机制:一种用于代理从
5、内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。 4.多级过滤技术:为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。 5.网络地址转换技术:第四代防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部
6、网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址6.防火墙经常有网络地址转换(NAT) 的功能, 并且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”, 依照被定义在RFC 1918 。 管理员经常设置了这样情节在努力(无定论的有效率) 假装内部地址或网络。7.监视Internet的使用。防火墙也是审查和记录内部人员对Internet使用的一个最佳位置,可以在此对内部访问Internet的情况进行记录安全防火墙架构的首要关键组件是策略的设计。实现这些目标的最为重要的概念是使用原则的需要。在防火墙的策略中,这只是
7、意味着除非有一个明确的原因要求使用某种服务,这种服务默认地必须被阻止或拒绝。为实施默认的服务阻止规则,在所有策略集的末尾只需要全局性地实施一种防火墙策略,即丢弃一切的规则,意思就是防火墙的默认行为是丢弃来自任何源到达任何目的地的任何服务的数据包。这条规则在任何的防火墙策略中是最后一条规则,因为在某种通信在有机会进入之前,它已经被封杀了。一旦实施了这种基本的行为,就需要对特定的源、特定的服务、对特定的目标地址的访问等实施在一些精心设计的规则。一般而言,这些规则越精密,网络也就越安全网络防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”
8、的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。在计算机中,两个网段之间隔了一个防火墙,防火墙的一端有台UNIX计算机,另一边的网段则摆了台PC客户机。当PC客户
9、机向UNIX计算机发起telnet请求时,PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来,协议栈将这个TCP包“塞”到一个IP包里,然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里,这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。现当我们“命令”防火墙把所有发给UNIX计算机的数据包都给拒了,完成这项工作以后,防火墙还会通知客户程序!既然发向目标的IP数据没法转发,那么只有和UNIX计算机同在一个网段用户才能访问UNIX计算机了。在内部网络与因特网连接上,防火墙使得内部网络与因特网或其他外部网络之间
10、互相隔离,从而限制了网络互访,以达到保护内部网络的目的,在定程度上保护了用户资料信息安全。当我们“配置防火墙时候,防火墙把所有发给UNIX计算机的数据包都给拒了,完成这项工作以后,“!当发向目标的IP数据没法转发,那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。服务器TCP/UDP 端口过滤仅仅依靠地址进行数据过滤在实际运用中是不可行的,还有个原因就是目标主机上往往运行着多种通信服务,比方说,我们不想让用户采用 telnet的方式连到系统,但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器吧?所以说,在地址之外我们还要对服务器的TCP/ UDP端口进行过滤。 比
11、如,默认的telnet服务连接端口号是23。假如我们不许PC客户机建立对UNIX计算机(在这时我们当它是服务器)的telnet连接,那么我们只需命令防火墙检查发送目标是UNIX服务器的数据包,把其中具有23目标端口号的包过滤就行了安全服务器网络(SSN)为适应越来越多的用户向Internet上提供服务时对服务器保护的需要,新一代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网的一部分,又与内部网关完全隔离。这就是安全服务器网络(SSN)技术,对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网
12、上管理。SSN的方法提供的安全性要比传统的隔离区(DMZ)方法好得多,因为SSN与外部网之间有防火墙保护,SSN与内部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。用户鉴别与加密为了降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少,新一代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段,并实现了对邮件的加密。用户定制服务为满足特定用户的特定需求,新一代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:
13、通用TCP,出站UDP、FTP、SMTP等类,如果某一用户需要建立一个数据库的代理,便可利用这些支持,方便设置。审计和告警新一代防火墙产品的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、名服务器等。告警功能会守住每 一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。 此外新一代防火墙还在网络诊断,数据备份与保全等方面具有特色防火墙的局限性尽管利用防火墙可以保护内部网免受外部黑客的攻击,但其只能提高网络的安全性,不可能保证网络的
14、绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁,如防火墙不能防范不经过防火墙的攻击。例如,如果允许从受保护的网络内部向外拨号,一些用户就可能形成与Internet的直接连接。另外,防火墙很难防范来自于网络内部的攻击以及病毒的威胁。所以在一个实际的网络运行环境中,仅仅依靠防火墙来保证网络的安全显然是不够,此时,应根据实际需求采取其他相应的安全策略 发展: 在未来网络防火墙的发展上,会将在现有的基础上继续完善其功能并 断增加新的功能 :在保密性方面 将继续发展高保密性的安全协议用建立专用网V P N ,基于防火墙的V P N 专暖在较长一段时间内将继续成为用户使用的主流 。 在过滤方面,将
15、从目前的地址 服务、U R L 文本、关键字过滤发展到对c G I 、A c t i v e X ,J A V A 等w E B 应用的过滤并将逐渐具备病毒过滤的功能;在服务方面, 将在目前的透明代理基础上完善其性 ,并将具备针对大多数网络通信协议的代理服务功能 在营理方面, 将从子网和内部网络的管理方式向基于专用通道和安全通道的远程集中管理方式发展:管理端口的安全性将是其重点考虑内容:用户费用统计、多种媒 体的远程警报及友好的图形化管理界面将成为防火墙的基本功能模块 ;在安全方面,对网络攻击的柱测、拦截及告警功能 将继续是防火墙最主要的性能指标。智能防火墙技术最新发展: 防攻击技术: 智能防火墙能智能识别恶意数据流量 , 并有效地阻断恶意数据攻击 。智能防火墙可以有效地解决 S Y N F l o o d i n g , L a n d At t a c k ,U DP F l o o di n g, Fr a g g l e At t a c k, P i n g F l o o d i n g, S muf f, Pi n g o f
