篇一:防火墙技术毕业论文
山西信息职业技术学院
毕业论文(设计)
防火墙技术 赵亮
论文指导教师 卫宝川
学生所在系部
论文提交日期 论文答辩日期
20 年 月 日
论文题目:防火墙技术
专 业:信息管理
学 生:赵亮 签名:
指导老师卫宝川wew:wei wei 签名:
摘要
因特网的迅猛发展给人们的生活带来了极大的方便,但同时因特网也面临着空前的威胁。因此,如何使用有效可行的方法使网络危险降到人们可接受的范围之内越来越受到人们的关注。而如何实施防范策略,首先取决于当前系统的安全性。所以对网络安全的各独立元素——防火墙、漏洞扫描、入侵检测和反病毒等进行风险评估是很有必要的。
防火墙技术作为时下比较成熟的一种网络安全技术,其安全性直接关系到用户的切身利益。针对网络安全独立元素——防火墙技术,通过对防火墙日志文件的分析,设计相应的数学模型和软件雏形,采用打分制的方法,判断系统的安全等级,实现对目标网络的网络安全风险评估,为提高系统的安全性提供科学依据。对网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。这以要求我们与Internet互连所带来的安全性问题予以足够重视。计算机网络技术的飞速发展使网络安全问题日益突出,而防火墙是应用最广泛的安全产品。本文阐述了网络防火墙的工作原理并对传统防火墙的利弊进行了对比分析,最后结合计算机科学其它领域的相关新技术,提出了新的防火墙技术,并展望了其发展前景。
【关键词】包过滤;应用层网关;分布式防火墙;检测型防火墙;嵌入式防火墙;智能防火墙;网络安全;防火墙防范策略;发展趋势
Title:firewall technology
Major:Computer Information Management
Name:Zhao Liang Signature:
Supervisor:weibaochuan Signature
Abstract
The rapid development of the Internet brings great convenience to people's life,but at the same time the Internet also is facing an unprecedented threat.Therefore, how to use effective and feasible ways of making the network can be dangerous to the people within receiving more and more attention. And how to implement preventive strategy, first of all depends on the security of the system.So the independent network security elements -- firewall, vulnerability scanning,intrusion detection and anti-virus risk assessment is necessary.
A network security firewall technology as nowadays more mature, its security is directly related to the vital interests of users. For independent network security elements -- firewall technology, through the firewall log file analysis, design of the mathematical model and prototype software, using the method of scoring system,what the system's security level, to realize the network security risk assentor the target network, provides scientific basis to enhance the security of the system. The network security threats mainly displays in: unauthorized access,posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the network to spread the virus, wiretap etc.. This requires us to safety problems brought about by the interconnection with the Internet paid enough attention. The rapid development of computer network technology make the network security issues have become increasingly prominent, while the firewall is the most widely used security products. This paper expounds the working principle of network firewall and analyzed the advantages and disadvantages of traditional firewall, combined with new technologies related to computer science and other fields, puts forward a new firewall technology, Pandits prospect of development.
【Key Words】packet filteringapplication layer gateway firewall and
distributed firewall monitoring embedded firewall network intelligent firewall security firewallprevention strategiesdevelopment trend
目录
1 引言 .................................................................................................................... 1
1.1 研究背景 ................................................. 6
1.2 研究目的 ................................................. 7
1.3 论文结构 ................................................. 7
2 网络安全 .......................................................................................................... 8
2.1 网络安全问题 ............................................. 8
2.1.1 网络安全面临的主要威胁 ............................... 8
2.1.2 影响网络安全的因素 ................................... 9
2.2 网络安全措施 ............................................. 9
2.2.1 完善计算机安全立法 ................................... 9
2.2.2 网络安全的关键技术 ................................... 9
2.3 制定合理的网络管理措施 .................................. 10 3 防火墙概述 .................................................................................................. 11
3.1 防火墙的概念 ............................................ 11
3.1.1 传统防火墙介绍 ...................................... 11
3.1.2 智能防火墙简介 ...................................... 12
3.2 防火墙的功能 ............................................ 13
3.2.1 防火墙的主要功能 .................................... 13
3.2.2 入侵检测功能 ........................................ 13
3.2.3 虚拟专网功能 ........................................ 14
3.2.4 其他功能 ............................................ 14
3.3 防火墙的原理及分类 ...................................... 14
3.3.1 包过滤防火墙 ........................................ 15
3.3.2 应用级代理防火墙 .................................... 15
3.3.3 代理服务型防火墙 .................................... 15
3.3.4 复合型防火墙 ........................................ 16
3.4 防火墙包过滤技术 ........................................ 16
3.4.1 数据表结构 .......................................... 16
3.4.2 传统包过滤技术 ...................................... 17
3.4.3 动态包过滤 .......................................... 18
3.4.4 深度包检测 .......................................... 18
3.4.5 流过滤技术 .......................................... 19
4 防火墙的配置 ............................................................................................. 21
4.1 硬件连接与实施 .......................................... 21
4.2 防火墙的特色配置 ........................................ 21
4.3 软件的配置与实施 ........................................ 22 5 防火墙发展趋势 ........................................................................................ 24
5.1 防火墙包过滤技术发展趋势 ................................ 24
5.2 防火墙的体系结构发展趋势 ................................ 24
5.3 防火墙的系统管理发展趋势 ................................ 25 结论 .......................................................................................................................... 25 参考文献 ................................................................................................................ 27 致谢 .......................................................................................... 错误!未定义书签。
篇二:防火墙技术论文
【摘要】
21世纪全世界的计算机都将通过Internet联到一起,Internet的迅速发展给现代人的生产和生活都带来了前所未有的飞跃,大大提高了工作效率,丰富了人们的生活,弥补了人们的精神空缺。网络技术在近几年的时间有了非常大的发展,经历了从无到有,从有到快;网上信息资源也是从医乏到丰富多彩,应有尽有。但随着网络速度越来越快,资源越来越丰富,与此同时也给人们带来了一个日益严峻的问题———网络安全。
网络的安全性成为当今最热门的话题之一,而且网络安全防范对我们校园网的正常运行来讲也显得十分重要。现在各种网络安全技术如防火墙技术、IDS、加密技术和防黑防病毒技术等也不断的出现,内容十分广泛。而其中防火墙技术在网络安全技术当中又是最简单,也是最有效的解决方案。很多企业为了保障自身服务器或数据安全都采用了防火墙。随着科技的发展,防火墙也逐渐被大众所接受。但是,由于防火墙是属于高科技产物,许多的人对此还并不是了解的十分透彻。
本文在简要论述防火墙的基本分类、工作方式等的基础上,对防火墙的优缺点以及局限性进行了说明,也简述了防火墙技术在校园网中的应用,并对其的发展趋势作简单展望。
【关键词】
网络安全 防火墙 发展
目录
1 防火墙 ..................................................... 2
1.1 防火墙的概念 ......................................... 2
1.2. 防火墙的功能 ........................ 错误!未定义书签。
1.3 防火墙的分类 ......................................... 7
1.4 各类防火墙的优缺点 .................................. 12
1.5 防火墙技术的局限性 .................................. 14
1.5 防火墙的未来发展趋势 ................................ 15
2 防火墙技术在校园网中的应用 ................................ 15
2.1 校园网防火墙部署 ................................... 116
2.2 校园网防火墙配臵 .................................... 16
2.3 校园网防火墙结构 ................................... 117
3 总结与展望 ................................................ 18
参考文献 .................................................... 18
1 防火墙
1.1 防火墙的概念
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少,例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙,英语为firewall,《英汉证券投资词典》的解释为:金融机构内部将银行业务与证券业务严格区分开来的法律屏障,旨在防止可能出现的内幕消息共享等不公平交易出现。使用防火墙比喻不要引火烧身。
当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。在电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙”,顾名思义,是一种隔离设备。防火墙是一种高级访问控制设备,臵于不同网络安全域之间的一系列部件的组合,它是不同网络安全域之间通信流的唯一通道,能根据用户有关的安全策略控制进出网络的访问行为。从专业角度讲,防火墙是位于两个或多个网络间,实施网络访问控制的组件集合。从用户角度讲,防火墙就是被放臵在用户计算机与外网之间的防御体系,网络发往用户计算机的所有数据都要经过其判断处理,才决定能否将数据交给计算机,一旦发现数据异常或有害,防火墙就会将数据拦截,从而实现对计算机的保护。防火墙是网络安全策略的组成部分,它只是一个保护装臵,通过监测和控制网络间的信息交换和访问行为来实现对网络安全的有效管理,其主要目的就是保护内部网络的安全。
1.2 防火墙的功能
(1)访问控制:
■ 限制未经授权的用户访问本企业的网络和信息资源的措施,访问者必需要能适用现行所有的服务和应用。网络卫士防火墙支持多种应用、服务和协议,支持所有的internet服务,包括安全的web浏览器、电子邮件、ftp、telnet及rpc和udp等,还支持如oracle、sybase、sql服务器数据库访问和real audio,vodlive、netmeeting和internet phone等这样的多媒体应用及internet广播服务。
■ 提供基于状态检测技术的ip地址、端口、用户和时间的管理控制;
■ 访问控制对象的多种定义方式支持多种方式定义访问控制对象: ip/mask(如202.100.100.0/24),ip区间(如202.100.100.1-202.100.100.254),ip/mask与通配符,ip区间与通配符等,使配臵防火墙的安全策略极为方便。
■ 高效的url和文件级细粒度应用层管理控制;应用层安全控制策略主要针对常用的网络应用协议http和ftp,控制策略可以实现定义访问源对象到目标对象间的常用协议命令通过防火墙的权限,源对象可以是网段、主机。http和ftp的协议端口用户可根据实际情况在策略中定义,协议命令为http和ftp的主要常用命令。通过应用层策略实现了url和文件级的访问控制。
■ 双向nat,提供ip地址转换和ip及tcp/udp端口映射,实现ip复用和隐藏网络结构:nat在ip层上通过地址转换提供ip复用功能,解决ip地址不足的问题,同时隐藏了内部网的结构,强化了内部网的安全。网络卫士防火墙提供了nat功能,并可根据用户需要灵活配臵。当内部网用户需要对外访问时,防火墙系统将访问主体转化为自己,并将结果透明地返回用户,相当于一个ip层代理。防火墙的地址转换是基于安全控制策略的转换,可以针对具体的通信事件进行地址转换。internet用户访问对内部网络中具有保留ip主机的访问,可以利用反向nat实现,即为内部网络主机在防火墙上映射一注册ip地址,这样internet 用户就可以通过防火墙系统访问主机了。映射类型可以为ip级和端口级。端口映射可以通过一个注册ip地址的不同tcp/udp端口映射到多个保留的ip主机。
■ 用户策略:可以根据企业安全策略,将一次性口令认证与防火墙其它安全机制结合使用,实现对用户访问权限的控制。用户控制策略可以实现用户之间、用户与ip网段或主机间的访问行为,如协议类型、访问时间等,策略控制对象十分灵活。一次性口令认证方式用于控制内部网与外部网之间的高安全级访问行为。
■ 接口策略:防止外部机器盗用内部机器的ip地址,这通过防火墙的接口策略实现。网络卫士防火墙将接口策略加在相应的接口上,以防止其它接口区域的
ip被此接口区域内的主机冒用。如在正常情况下,内部ip不可能在防火墙的外部接口作为通信源地址出现,因此可以在外部接口上禁止所有的内部ip作为源地址的通信行为。
■ ip与mac地址绑定:防止防火墙广播域内主机的ip地址不被另一台机器盗用。也就是说,如果要保护的主机与防火墙直接相连,可以将此机器的ip与其物理网卡地址捆绑,这样其他内部机器就不可能使用这个ip通过防火墙。
■ ip与用户绑定:绑定一次性口令用户到定义ip列表上,防止绑定用户的从非许可区域通过防火墙。
■ 支持流量管理:流量管理与控制.
■ 可扩展支持计费功能:计费功能可以定义内部网络ip,记录内部网络与外部网络的方向性通信流量,并可依据ip及用户统计查询计费信息。计费模块还可以提供用户化计 费信息接口,将计费信息导出到用户自的计费处理软件中。
■ 基于优先级的带宽管理:用户带宽最大用量限制,用户带宽用量保障,多级用户优先级设臵流量控制功能为用户提供全部监测和管理网络的信息。
(2)防御功能
■ 防tcp、udp等端口扫描:网络卫士防火墙可以检测到对网络或内部主机的所有tcp/udp扫描。
■ 抗dos/ddos攻击:拒绝服务攻击(dos)就是攻击者过多的占用共享资源,导致服务器超载或系统崩溃,而使正常用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警机制,阻止dos黑客攻击。
■ 可防御源路由攻击、ip碎片包攻击、dns/rip/icmp攻击、syn等多种攻击:网络卫士防火墙系统可以检测对网络或内部主机的多种拒绝服务攻击。
■阻止activex、java、javascript等侵入:属于http内容过滤,防火墙能够从http页面剥离activex、javaapplet等小程序及从script、php和asp等代码检测出危险的代码,同时,能够过滤用户上载的cgi、asp等程序。
■ 提供实时监控、审计和告警功能:网络卫士防火墙提供对网络的实时监控,当发现攻击和危险行为时,防火墙提供告警等功能。
■ 可扩展支持第三方ids入侵检测系统,实现协同工作:网络卫士防火墙支持topsec协议,可与第三方ids产品实现无缝集成,协同工作。
篇三:防火墙技术论文
毕业论文20111
摘要
随着网络的发展,网络的安全性显得非常重要。这是由于怀有恶意的攻击者窃取、修改网络上传输的信息,通过网络冒充合法用户非法进入远程主机,获取存储在主机中的机密信息,或者占用网络资源,组织其他用户使用等,这些问题的产生对网络营运部门和用户的信息安全构成了威胁,影响了计算机网络的进一步推广应用。因此对计算机网络上的各种非法行为进行主动控制和有效防御,是计算机网络安全亟待解决的问题。
网络的安全性成为当今最热门的话题之一,而且网络安全防范对我们校园网的正常运行来讲也显得十分重要。现在各种网络安全技术如防火墙技术、IDS、加密技术和防黑防病毒技术等也不断的出现,内容十分广泛。而其中防火墙技术在网络安全技术当中又是最简单,也是最有效的解决方案。它不仅过滤了来自外部的探测、扫描、拒绝服务等攻击,还能避免内网中木马的主机系统信息泄露等。随着科技的发展,防火墙也逐渐被大众所接受。
本文在简要论述防火墙的基本分类、工作方式等的基础上,对防火墙的优缺点以及局限性进行了说明,也简述了防火墙技术在校园网中的应用,并对其的发展趋势作简单展望。
关键词:网络安全;防火墙;校园网
目录
1 防火墙 ..................................................... 3
1.1 防火墙的概念 ......................................... 3
1.2. 防火墙的功能 ........................ 错误!未定义书签。
1.3 防火墙的分类 ......................................... 7
1.4 各类防火墙的优缺点 .................................. 12
1.5 防火墙技术的局限性 .................................. 14
1.5 防火墙的未来发展趋势 ................................ 15
2 防火墙技术在校园网中的应用 ................................ 15
2.1 校园网防火墙部署 .................................... 17
2.2 校园网防火墙配臵 .................................... 16
2.3 校园网防火墙结构 .................................... 18
3 总结与展望 ................................................ 18
参考文献 .................................................... 18
1 防火墙
1.1 防火墙技术
所谓防火墙(Firewall),是建立在内外网络边界上的过滤封锁机制,它认为内部网络是安全的和可信赖的,而外部网络被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的数据包进出被保护的内部网络,通过边界控制强化内部网络的安全策略。它的实现有多种形式,但原理很简单,可以把它想象成一个开关,其中一个用来阻止传输,另一个用来允许传输。防火墙作为网络安全体系的基础和核心控制设备,贯穿于受控网络通信主干线,对通过受控干线的任何通信行为进行安全处理,如控制、审计、报警和反应等,同时也承担着繁重的通信任务。由于其自身处于网络系统中的敏感位臵,自身还要面对各种安全威胁,因此,选用一个安全、稳定和可靠的防火墙产品,其重要性不言而喻。
在网络层,防火墙被用来处理信息在内外网络边界的流动,它可以确定来自哪些地址的信息可以通过或者禁止哪些目的地址的主机。在传输层,这个链接可以被端到端的加密,也就是进程到进程的加密。在应用层,它可以进行用户级的身份认证、日志记录和账号管理等。因此,防火墙技术简单来说,就是一套身份认证、加密、数字签名和内容检测集成为一体的安全防范措施。所有来自Internet的传输信息和内部网络发出的传输信息都要穿过防火墙,由防火墙进行分析,以确保它们符合站点设定的安全策略,以提供一种内部节点或网络与Internet的安全屏障。
1.2 防火墙的功能
(1)防火墙是网络安全的屏障
防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
(2)防火墙可以强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。
(3)对网络存取和访问进行监控审计
所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙进行适当的报警,并提供网络是否收到监测和攻击的详细信息。
(4)防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或宁安网络安全问题对全局网络造成影响。
1.3 防火墙的分类
防火墙技术经历了包过滤、应用代理网关和状态检测三个阶段。包过滤行的防火墙常直接转发报文,它对用户完全透明,速度较快;应用代理网关防火墙是通过服务器机那里连接的,可以有更强的身份验证和注册功能;状态检测防火墙是在其核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每个会话状态。状态检测对每一个包的检测不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。
(1)包过滤型防火墙
包过滤防火墙一般有一个包检查快(通常称为包过滤器),数据包过滤可以根据数据包头中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问,但无法控制传输数据的内容,因为内容是应用层数据,而包过滤器处在网络层和数据链路层(即TCP和IP层)之间。通过检查模块,防火墙能够检查和拦截所有进站和出站的数据,它首先打开包,取出包头,根据包头信息确定该包是否符合包过滤规则,并进行记录。对于不符合规则的包,应进行报警并丢弃该包。
包过滤防火墙工作在网络层,对数据包的源及目的IP具有识别和控制作用,对于传输层,也只能识别数据包是TCP还数UDP及所有的端口信息。由于只对数据包的IP地址、TCP/UDP协议和端口进行分析,如果一条规则阻止包传输或接收,则此包便不被允许通过,否则该包可以被继续处理。包过滤防火墙的处理速度较快,并且易于配置。
包过滤防火墙的优点:
1) 防火墙对每条传入和传出网络的包实行低水平控制;
2) 每个IP包的字段都被检查,例如源地址、目的地址、协议和端口等;
3) 防火墙可以识别和丢弃带欺骗性源IP地址的包;
4) 包过滤防火墙是两个网络之间访问的唯一来源;
5) 包过滤通常被包含在路由器数据包中,多以不必额外的系统来处理这个特征。 包过滤防火墙的缺点:
1) 不能防范黑客攻击,因为网管不可能区分出可信网路有不可信网络的界限;
2) 不支持应用层协议,因为它不认识数据包中的应用层协议,访问控制粒度太粗糙;
3) 不能处理新的安全威胁。
(2)应用代理网关防火墙
应用代理网关防火墙彻底割断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略要求。
应用代理网关的优点:
1) 可以检查应用层、传输层和网络层的协议特征;
2) 对数据包的检测能力比较强。
应用代理网关的缺点:
1) 难于配置。由于每个应用都要求单独的代理过程,这就要求网管能理解每项应用协
议的弱点,并能合理的配置安全策略。由于配置繁琐,难于理解,容易出现配置失误,最终影响内网的安全防范能力
2) 处理速度非常慢。断掉所有的连接,由防火墙重新建立连接,理论上可以使用代理
防火墙具有极高的安全性。但是实际应用中并不行,因为对于内网的每个web访问请求,应用代理都需要开一个单独的代理过程,它要保护内网的web服务器、数据库服务器、文件服务器、邮件服务器及义务程序等,这就需要建立一个个的服务代理、以处理客户端的访问请求。这样,应用代理的处理延迟会很大,内网用户的正常web访问不能及时得到响应。
总之,应用代理网关防火墙不能支持大规模的并发连接,对速度要求的行业不能使用这类防火墙。另外,防火墙核心要求预先内置一些已知应用程序代理,使得一些新出现的应用在代理防火墙内被无情地阻断,不能很好地支持新应用。
(3)状态检测技术防火墙
状态检测技术防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不是安全性的基础上将代理防火墙的性能提高了10倍。
Internet上使用的TCP/IP,TCP的每个可靠连接均需要经过“客户端同步请求”、“服务器应答”、“客户端应答”三次握手。这反映出数据包并不是独立的,而是前后之间有着密切的状态联系,基于这种状态变化,引出了状态检测技术。
状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数,而不关心数据包的连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每个会话状态。状态检测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。状态检测防火墙在提高安全防范能力的同时也改进了流量处理速度。因为它采用了一些列优化技术,使防火墙性能大幅度提升,能应用在各类网络环境中,尤其是一些规则复杂的大型网络上。
1.4 防火墙技术的局限性
随着防火墙技术的发展,其在信息安全体系中的地位越来越不可替代,网络安全的严峻形势也对防火墙技术的发展提出了更高、更新的要求。在越来越依赖防火墙技术的情况下,我们也应该清醒地认识到:防火墙并不是“包治百病”的,它对于一些特殊的攻击或其他行为有时也无能为力。所以,我们也应该了解其技术方面的一些局限性,毕竟没有任何一种技术能绝对保证安全。
首先,防火墙技术最突出的缺点在于不能防范跳过防火墙的各种攻击行为。这其中比较典型的就是难以防范来自网络内部的恶意攻击。“堡垒往往容易从内
《防火墙技术论文三篇》出自:百味书屋
链接地址:http://www.850500.com/news/24432.html
转载请保留,谢谢!