《防火墙技术分析与研究毕业论文.doc》由会员分享,可在线阅读,更多相关《防火墙技术分析与研究毕业论文.doc(13页珍藏版)》请在金锄头文库上搜索。
1、山东广播电视大学毕业论文(设计)评审表 题 目_ 防火墙技术分析与研究 _ _姓 名 _ _ 教育层次 _专科_学 号 _1137001401533_ 省级电大 _专 业 _ 计算机信息管理_ 市级电大 _指导教师 _ 教 学 点 _防火墙技术分析与研究目 录摘要1综 述1一、防火墙的概述2(一)防火墙的概述2(二) 防火墙的背景与发展2(三) 防火墙的种类与类型21.数据包过滤型防火墙22.应用级网关型防火墙33.代理服务型防火墙34.复合型防火墙4(四) 防火墙的功能41.访问控制42.防御功能53.管理功能54.记录和报表功能5二、 网络安全6(一) 网络安全问题61.网络安全面临的主要
2、威胁62.影响网络安全的因素6(二)网络安全措施71.完善计算机安全立法72.网络安全的关键技术73.制定合理的网络管理措施8三、防火墙技术的发展趋势8(一) 防火墙包过滤技术发展趋势8(二)防火墙的体系结构发展趋势8(三)防火墙的系统管理发展趋势9结束语9参考文献:10防火墙技术分析与研究摘要防火墙是目前网络安全领域广泛使用的设备,其主要目的就是限制非法流量,以保护内部子网。从部署位置来看,防火墙往往位于网络出口,是内部网和外部网之间的唯一通道,因此提高防火墙的性能、避免其成为瓶颈,就成为防火墙产品能否成功的一个关键问题。防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可
3、分为包过滤、应用级网关和代理服务器等几大类型。本文的重点是介绍了防火墙的类型与主要功能,通过防火墙的数据包进行统计分析,并根据统计数据动态调整过滤规则的相对次序,使得使用最频繁的规则位于规则列表的最前面,使其和当前网络流量特性相一致,从而达到降低后继数据包规则匹配时间来提高防火墙性能之目的。 关键词:计算机 防火墙 Internet 安全 技术特征综 述防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境之中,尤以Internet网络为最甚。Internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业。防火
4、墙是一种网络技术,最初它被定为一个实施某些安全策略保护一个可信网络,用以防止来自一个不可信的网络(如Internet)的攻击的装置。防火墙就是一个或多组网络设备,可用来在两个或多个网络间加强访问控制。它的实现有好多种方式,有的实现还是很复杂的,但基本原理却很简单。可以把它想象成一个开关,一个是用来阻止输入,另一个用来允许输入。防火墙可以设置在不同的网络之间(如可信任的企业内部网和不可信的公共网)或网络安全域之间。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制(允许、拒绝、检测)出入网络的信息流,且本身也具有较强的攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设
5、施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效的监控了内部网和Internet之间的任何活动,保证了内部网络的安全。一、防火墙的概述(一)防火墙的概述人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所。在网络上,如果一个网络接到了Internet上面,它的用户就可以访问外部世界并与之通信。但同时,外部世界也同样可以访问该网络并与之交互。为安全起见,可以在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的唯一关卡,它的作用与建筑的防火砖墙有类似之处,因此
6、我们把这个屏障就叫做“防火墙”。防火墙就是一个位于电脑和它所连接的网络之间的软件。该电脑流入流出的所有网络通信均要经过此防火墙。防火墙是一个或一组系统,它在网络之间执行访问控制策略。实现防火墙的实际方式各不相同,但是在原则上,防火墙可以被认为是这样一对机制:一种机制是拦阻传输流通行,另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行,而另一些防火墙则偏重允许传输流通过。(二) 防火墙的背景与发展第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。第二、三代防火墙是在1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第
7、二代防火墙,即电路层防火墙,同时提出了第三代防火墙,应用层防火墙(代理防火墙)的初步结构。 第四代防火墙是在1992年,由USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙在1998年,是NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全
8、新的意义,可以称之为第五代防火墙。(三) 防火墙的种类与类型防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。 1.数据包过滤型防火墙 数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网
9、络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。数据包过滤防火墙的优点:不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。数据包过滤防火墙的缺点:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。据以过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;
10、另外,大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较差;对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。 2.应用级网关型防火墙应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包
11、通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。 3.代理服务型防火墙代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外
12、计算机系统的作用。代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层,掌握着应用系统中可用作安全决策的全部信息。 4.复合型防火墙由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法结合起来,形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器或防火墙与Internet相连,同时一个堡垒机安装在内部网络,通过在分组过滤路由器或防火墙上过滤规则
13、的设置,使堡垒机成为Internet上其它节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构:堡垒机放在一个子网内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中,堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。(四) 防火墙的功能防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标电脑。可以将防火墙配置成许多不同保护级别。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标电脑上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止
14、特定端口的流出通信。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 1.访问控制功能通过防火墙的包内容设置:包过滤防火墙的过滤规则集由若干条规则组成,它应涵盖对所有出入防火墙的数据包的处理方法,对于没有明确定义的数据包,应该有一个缺省处理方法;过滤规则应易于理解,易于编辑修改;同时应具备一致性检测机制,防止冲突。IP包过滤的依据主要是根据IP包头部信息如源地址和目的地址进行过滤,如果IP头中的协议字段表明封装协议为ICMP、TCP或UDP,那么再根据ICMP头信息(类型和代码值)、TCP头信息(源端口和目的端口)或UDP头信息(源端口和目的端口)执行过滤,其他的还有MAC地址过滤。应用层协议过滤要求主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤要求以及动态包过滤技术等。 在应用层提供代理支持:指防火墙是否支持应用层代理,如HTTP、FTP、TELNET、SNMP等。 在传输层提供代理支持:指防火墙是否支持传输层代理服务。允许FTP命令防止某些类型文件通过防火墙:指是否支持FTP文件类型过滤。 用户操作的代理类型:应用层高级代理功能,如HTTP、POP3 。 支持网络地址转换(NAT):NAT指将一个IP地址域映射到另一个IP地址域,从而为终端主机提供透明路由
