《Internet防火墙技术毕业论文》由会员分享,可在线阅读,更多相关《Internet防火墙技术毕业论文(23页珍藏版)》请在金锄头文库上搜索。
1、xxxxxxxxxx毕业论文(设计)题 目 Internet防火墙技术 学 生 学 号 专业班级 系院名称 指导教师 二八年六月十日独 创 性 声 明本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得xxxxxx学院或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。签 名: 年 月 日关于论文使用授权的说明本人完全了解xxxxxxx有关保留、使用学位论文的规定,即:学校有权保留送交论文的复印件及电
2、子版,允许论文被查阅和借阅;学校可以公布论文的全部或部分内容,可以采用影印、缩印或其他复制手段保存论文。(保密论文在解密后应遵守此规定)学生签名: 年 月 日导师签名: 年 月 日ivInternet 防火墙技术xx(计算机技术)xxx(教师)摘 要随着Internet的迅猛发展,安全性已经成为网络互联技术中最关键的问题。本文全面介绍了Internet防火墙技术与产品的发展历程;详细剖析了第四代防火墙的功能特色、关键技术、实现方法及抗攻击能力;同时简要描述了Internet防火墙技术的发展趋势。 关键词:Internet 网路安全 防火墙 过滤 地址转换 目 录INTERNT 防火墙技术I目录
3、.II第1章 前言.11.1 Internet 防火墙技术简介1第2章 Internet 防火墙的分类32.1基于路由器的防火墙.32.2用户化的防火墙工具套.32.3建立在通用操作系统上的防火墙.4第3章 第四代防火墙的主要技术及功能53.1双端口或三端口的结构.53.2透明的访问方式.53.3灵活的代理系统.53.4多级过滤技术.53.5网络地址转换技术.53.6 Internet网关技术.53.7 Internet网关技术.63.8用户鉴别与加密.63.9用户定制服务63.10审计和告警.6第4章 第四代防火墙技术的实现方法.74.1安全内核的实现.74.2代理系统的建立.7第5章 第四
4、代防火墙的抗攻击能力85.1抗IP假冒攻击.85.2抗特洛伊木马攻击.85.3抗口令字探寻攻击.85.4抗网络安全性分析.95.5抗邮件诈骗攻击.9第6章 防火墙技术展望.9参考文献.10致谢.11个人简历12第1章 前言防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境之中,尤以Internet网络为最甚。Internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年底,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以17
5、3%的复合增长率增长,今年底将达到150万套,市场营业额将从1995年的1.6亿美元上升到今年的9.8亿美元。为了更加全面地了解Internet防火墙及其发展过程,特别是第四代防火墙的技术特色,我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。 11 Internet 防火墙技术简介防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:1)限
6、定人们从一个特定的控制点进入;2)限定人们从一个特定的点离开;3)防止侵入者接近你的其他防御设施;4)有效地阻止破坏者对你的计算机系统进行破坏。在现实生活中,Internet防火墙常常被安装在受保护的内部网络上并接入Internet所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强Internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路
7、由器、服务器)及相应软件构成。3. 防火墙技术与产品发展的回顾防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警。为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。第2章 基于路由器的防火墙纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。2.1 基于路由器的防火墙由于多数路由
8、器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:1)利用路由器本身对分组的解析,以访问控制表(Access List)方式实现对分组的过滤;2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征;3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。第一代防火墙产品的不足之处十分明显,具体表现为:路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用FTP
9、协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而
10、防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的2.2用户化的防火墙工具套为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:1)将过滤功能从路由器中独立出来,并加上审计和告警功能;2)针对用户需求,提供模块化的软件包;3)软件可以通过网络发送,用户可以自己动手构造防火墙;4)与第一代防火墙相比,安全性提高了,价格
11、也降低了。由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:配置和维护过程复杂、费时;对用户的技术要求高;全软件实现,使用中出现差错的情况很多。2.3灵活的代理系统基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些特点:1)是批量上市的专用防火墙产品;2)包括分组过滤或者借用路由器的分组过滤功能;3)装有专用的代理系统,监控所有协议的数据和指令;4)保护用户编程空间和用户可配置内核参数的设置;5)安全性和速度大大提高。第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性无从保证;2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;3)从本质上看
