《防火墙技术的研究毕业论文》由会员分享,可在线阅读,更多相关《防火墙技术的研究毕业论文(42页珍藏版)》请在金锄头文库上搜索。
1、 毕业论文 (防火墙技术的研究)学 校: 西 藏 职 业 技 术 学 院指 导 老 师: 孙 成 卫 学 生: 扎 西 学 号: 1113042035专 业; 系 统 集 成摘 要:随着计算机和网络技术的不断普及与应用,网络安全越来越受到人们的重视。防火墙作为一种隔离内部安全同时网络内部安全与外部不信任网络的防御技术,已经成为计算机网络安全体机构中的一个重要组成部分。作者在研究防火墙技术和使用部分防火墙产品的过程中,发现防火墙在抵御部分网络攻击时还存在缺陷,于是在本文中就存在提出自己的观点并进行技术改进,以使防火墙更好的保护内部网络的安全。首先通过数据和案例的分析说明网络安全的重要性,并介绍了
2、几种常用的网络安全技术。然后详细的介绍了防火墙的概念、内涵、技术原理、体系结构和主要的类型。查阅大量的书籍、网络文章、具体的防火墙操作和内核分析找出防火墙在应对各种攻击时自身的缺陷,通过深入研究和大量实验后实现对防火墙自身功能得到改进,使防火墙更好的工作以保证网络不会受到非法入侵和重要的数据不被窃取及破坏。 目 录 第一章 绪言 第二章 防火墙的概念 第一节 防火墙的概念 第二节 防火墙的优缺点 第三节 防火墙的功能概述 第四节 防火墙工作原理分析 第三章 几种典型的防火墙 第一节 天网防火墙系统 第二节 FortiGate病毒防火墙 第三节 CISCO PIX防火墙 第四节 方正数码公司的方
3、御防火墙系列产品 第四章 防火墙的实例配置 第五章 防火墙的基本类型 第一节 包过滤 第二节 网络地址转化NAT 第三节 应用代理 第四节 状态检测第六章 防火墙的未来发展方向第七章 总结谢 辞 参考文献 第一章 绪言随着社会信息话进程的深入和互联网的飞速发展,人们的工作、学习和生活方式通过与网络的紧密联系发生了巨大的变化,信息资源得到最大程度共享。但同时那我们必须看到,紧随信息话发展而来得网络安全问题日益突出,它已经成为整个社会关注的焦点。互联网上的病毒、黑客、网络犯罪等等给网络安全带来了巨大威胁,并且随着网络规模的不断扩大,网络安全事故的数量以及其造成的损失也在成倍的增长,网络犯罪的方式方
4、法也是层出不穷。如果不能很好的解决这个问题,它必将阻碍信息化发展的进 程。现在网络威胁呈现多样话,如病毒、垃圾邮件、间谍软件、广告软件、网络的鱼、拒绝服务、网络挟持等。漏洞被发现和漏洞病毒出现的时间间隔越来越短:病毒传播方式的途径正在变的更隐蔽和多样化。第二章 防火墙的概述第一节 防火墙的概念所谓防火墙,是一种将内部旺和公众访问分开的方法,它实际上是一种隔离技术。防火墙是在两个通讯时执行的一种访问控制尺度,它能允许你同意的人和数据进入你的网络,同时将你不同意的人和数据拒之门外,最大限度的阻止网络中黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人无法访问internet,intene
5、t上的人也无法和公司内部的人进行通信。第二节 防火墙的优缺点1. 包过滤防火墙使用包过滤防火墙的优点包括: 防火墙对每条传入和传出网络的包实行低水平控制 每个IP包的字段都被检查,例如源地址、目的地址、协议、端口等。防火墙将基于这些应用过滤规则。 防火墙可以识别和丢弃带欺骗性源IP地址的包。 包过滤防火墙是两个网络之间的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。 包过滤通常被包含在路由器包中,所有不必额外的系统来处理这个特征。使用包过滤防火墙的缺点包括: 配置困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或者错误配置了已有的规则,在防火墙留下漏洞。然而,在市场上许
6、多新版本的防火墙对这个缺点正在做改进,如开发者实现了基于图形化用户界面(GUI)的配置和更直接的规则定义。 为特定服务开放的对口存在着危险,可能会被用于其他传输。例如,Web服务器的端口为80,而计算机上又安装了RealPlayer,那么它会搜寻可以允许连接到RealPlayer服务器的端口,而不管这个端口是否被其他协议所使用,RealPlayer正好是使用80端口二搜寻的。就这样无意中,RealPlayer就利用了Web服务器的端口。 可能还有其他方法绕过防火墙进入网络,例如拨入连接,但这个并不是防火墙自身的缺点而是不应该在网络安全上单纯依赖防火墙的原因。 2.状态/动态检测防火墙状态/动态
7、检测防火墙的有点有:检测IP包的每个字段的能力,并遵从基于包中信息的过滤规则。识别带有欺骗性源IP地址包的能力。包过滤防火墙是两个望楼之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。基于应用程序验证一个包的状态的能力,例如基于一个已经建立的FIP连接,允许返回的FTP包通过。基于应用程序验证一个包的状态的能力,例如允许一个先前人证过的连接继续与被授权的服务通信。记录有关通过的每个报的详细信息的能力。基本上,防火墙用来确定包状态的所有信息都可以被记录,包括应用程序对包的请求,连接的持续时间,内部和外部系统所做的连接请求等。状态/动态检测防火墙的缺点: 状态/动态检测防火墙唯一的缺
8、点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活的时候,或者是有大量的过滤网络通信的规则存在时。可是,硬件速度越快,这个问题越不易察觉,而且防火墙的制造商一直致力于他高他们产品的速度。3.应用程序代理防火墙使用应用代理程序防火墙的把优点有:指定对连接的控制,例如允许或拒绝基于服务器IP地址的访问,或者是允许或拒绝基于用户所请求连接的IP地址的访问。通过限制某些协议的传出请求,来减少网络中不必要的服务。大多数代理防火墙能够记录所有的连接,包括地址和持续时间。而写信息对追踪攻击和发生的未授权访问的事件是很有用的。使用应用程序代理防火墙的缺点有:必须在一定范
9、围内定制用户的系统,这取决与所用的应用程序。一些应用程序可能根本不支持代理连接。4.NAT使用NAT的优点有: 所有内部的IP 地址对外面得人来说是隐蔽的。因为这个原因,网络之外没有人可以已通过指定IP地址的方式直接对网络内的任何一台特定的计算机发起攻击。如果因为某种公共IP地址资源比较短缺的话,NAT可以使整个内部网络共享一个IP地址。可以启用基本的包过滤防火墙安全机制,因为所有传入的包如果没有专门指定配置到NAT,那么就会被丢弃。内部网络的计算机就不可能直接访问外部网络。使用NAT的缺点: NAT的缺点和包过滤防火墙的缺点是一样的。虽然可以保障内部网路的安全,但它也是一些类似的局限。而且内
10、网可以利用现流传比较广泛的木马程序可以通过NAT做外部连接,就像它可以穿过包过滤防火墙一样的容易。注意:现在有很多厂商开发的防火墙,特别是状态/动态检测防火墙,出了他们应该具有的功能外也提供了NAT的功能。5.个人防火墙个人防火墙的优点有: 增加了保护级别,不需要额外的硬件资源。 个人防火墙出了可以抵挡攻击的同时,还可以抵挡内部的攻击。 个人防火墙是对公共网络中的单个系统提供了保护。例如一个家庭用户使用的是Modem活ISDN/ADSL上网,可能一个硬件防火墙对于他来说实在是太昂贵了,或者说是太麻烦了。二个人防火墙已经能够用户隐蔽暴露在网路上的信息,比如IP地址之类的信息等。个人防火墙的缺点:
11、个人防火墙主要的缺点就是对公共网络只有一个屋里借口。要记住,真正的防火墙应当监视控制两个或更多的网络接口之间的通信。这样一来的话,个人防火墙本身可能会容易受到威胁,或者说是具有这样一个弱点,网络通信可以绕过防火墙的规则。 好了,在上面我们已经介绍了积累防火墙,并讨论了每种防火墙的优缺点。要记住,任何一种防火墙只是为网络通信或者数据传输提供了更有保障的安全性,但是我们也不能完全依赖于防火墙。除了靠防火墙保障安全的同时,我们也要加固系统的安全性,提高自身的安全意识。这样一来,数据以及Web站点就会更有安全保障。 第三节 防火墙的功能概述防火墙是网络安全的屏障: 一个防火墙(作为阻塞点、控制点)能极
12、大地提高一个内部网络安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全NFS协议进出受保护网络,这样外部的攻击者就不可以利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 防火墙可以强化网络安全策略: 通过防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全网络问题分散到个主机上相比,防火墙的集中安全管理更经济。例
13、如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各主机上,而集中在防火墙一身上。 对网络存取和访问进行监控审计: 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够低档攻击者的探索和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部
