第1页 / 共46页
第2页 / 共46页
第3页 / 共46页
第4页 / 共46页
第5页 / 共46页
第6页 / 共46页
第7页 / 共46页
第8页 / 共46页
防火墙的设计与实现.doc
摘要
Abstract
第1章概论
1.1防火墙的概述
1.1.1 什么是防火墙
1.1.2. 防火墙的研究背景
1.1.3. 防火墙的分类
1.1.4. 防火墙的功能
1.1.5. 防火墙的特性
1.1.6. 防火墙技术的发展
1.2. 研究意义
1.3. 研究的主要内容
第2章 防火墙系统的分类及关键技术
2.1包过滤防火墙(分组)
2.2.应用代理防火墙
2.2.1 代理服务器
2.3.电路级网关型防火墙
2.4.状态包检测防火墙
2.4.1 状态包检测防火墙工作机理
2.4.2 各防火墙的比较
2.5自适应的代理服务防火墙
2.6分布式防火墙
第3章 防火墙系统的体系结构
3.1 双重宿主主机体系结构
3.1.1 双重宿主主机体系结构
3.2 被屏蔽主机防火墙体系结构(单宿主堡垒主机)
3.3 屏蔽子网体系结构
第4章 防火墙系统的设计
4.1. 防火墙系统设计架构
4.2. 防火墙系统详细设计
4.3 功能详细设计
第5章 防火墙系统功能的实现
5.1 界面的实现
5.1.1 主界面的实现
5.1.2 添加规则界面
5.1.3 端口扫描界面
5.2 功能实现
5.2.1 普通扫描
5.2.2 端口扫描
5.2.3 阻止所有的ICMP数据包
5.2.4 阻止所有的数据包
5.2.5 允许所有的数据包通过
第6章 系统测试
6.1测试
6.1.1测试环境
6.1.2测试过程
6.1.3测试结论
第7章 系统维护与总结
第8章 展望与总结
《 网 络 安 全 》
课 程 设 计 报 告
(2011— 2012 学年 第 2 学期)
题
目 网络防火墙的设计与实现
学生姓名
专
学
班
业
号
级
指导教师
成
绩
网络工程
1 班
计算机科学与技术系
2012 年 6 月
目 录
摘要 ...........................................................................................................................................................3
Abstract..................................................................................................................................................... 4
第 1 章 概论 .............................................................................................................................................5
1.1 防火墙的概述 ............................................................................................................................5
1.1.1 什么是防火墙 ................................................................................................................. 5
1.1.2. 防火墙的研究背景 ........................................................................................................ 5
1.1.3. 防火墙的分类 ................................................................................................................ 6
1.1.4. 防火墙的功能 ................................................................................................................ 6
1.1.5. 防火墙的特性 ................................................................................................................ 7
1.1.6. 防火墙技术的发展 ........................................................................................................ 7
1.2 研究意义 ....................................................................................................................................8
1.3 研究的主要内容........................................................................................................................9
第 2 章 防火墙系统的分类及关键技术............................................................................................ 10
2.1 包过滤防火墙(分组) ......................................................................................................... 10
2.2 应用代理防火墙......................................................................................................................11
2.2.1 代理服务器 .................................................................................................................11
2.3 电路级网关型防火墙............................................................................................................ 13
2.4 状态包检测防火墙 ................................................................................................................ 14
2.4.1 状态包检测防火墙工作机理 .................................................................................... 15
2.4.2 各防火墙的比较.......................................................................................................... 16
2.5 自适应的代理服务防火墙..................................................................................................... 17
2.6 分布式防火墙 ..........................................................................................................................17
第 3 章 防火墙系统的体系结构 .......................................................................................................... 18
3.1 双重宿主主机体系结构 ........................................................................................................ 18
3.1.1 双重宿主主机体系结构 .............................................................................................. 19
3.2 被屏蔽主机防火墙体系结构(单宿主堡垒主机)............................................................20
3.3 屏蔽子网体系结构 ................................................................................................................ 20
第 4 章 防火墙系统的设计 .............................................................................................................. 23
4.1. 防火墙系统设计架构 ........................................................................................................ 23
4.2. 防火墙系统详细设计 ........................................................................................................ 23
4.3 功能详细设计 .......................................................................................................................26
第 5 章 防火墙系统功能的实现 .......................................................................................................... 28
5.1 界面的实现.............................................................................................................................28
5.1.1 主界面的实现 .............................................................................................................. 28
5.1.2 添加规则界面 .............................................................................................................. 29
5.1.3 端口扫描界面 .............................................................................................................. 30
5.2 功能实现 .................................................................................................................................31
5.2.1 普通扫描 .....................................................................................................................31
5.2.2 端口扫描 .....................................................................................................................32
5.2.3 阻止所有的 ICMP 数据包.......................................................................................... 33
5.2.4 阻止所有的数据包 .................................................................................................... 34
5.2.5 允许所有的数据包通过 ............................................................................................ 35
1
第 6 章 系统测试 ...................................................................................................................................36
6.1 测试 ..........................................................................................................................................36
6.1.1 测试环境 ......................................................................................................................36
6.1.2 测试过程 ......................................................................................................................36
6.1.3 测试结论........................................................................................................................39
第 7 章 系统维护与总结 .......................................................................................................................40
第 8 章 展望与总结 ...............................................................................................................................43
2
网络防火墙的设计与实现
摘要
随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未
有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,
网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。本文对目前计算机网
络存在的安全隐患进行了分析,阐述了我国网络安全的现状及网络安全问题产生的原因,对我
们网络安全现状进行了系统的分析,并探讨了针对计算机安全隐患的防范策略.
正是因为安全威胁的无处不在,为了解决这个问题防火墙出现了。防火墙是网络安全的关键
技术,是隔离在本地网络与外界网络之间的一道防御系统,其核心思想是在不安全的网络环境中
构造一个相对安全的子网环境,防火墙是实施网络安全控制得一种必要技术。本文讨论了防火墙
的安全功能、体系结构、实现防火墙的主要技术手段及配置等。
关键词 网络安全/黑客/病毒/防火墙
3
Abstract
With the rapid development of computer network technology, In particular, the
application of the Internet has become more and more extensive, In bringing an
unprecedented mass of information at the same time, Open and freely shaped the network
also had private information and data have been damaged or the possibility of violations
of, Network information security has become increasingly important, has been the
information society in all areas of the pie. This article exists on the current computer
network security risk was analyzed, elaborated on China's network security and network
security status of the causes for our network security status of a systematic analysis, and
discusses the security risks for computer preventive strategies.
It is precisely because security threats everywhere, the firewall in order to solve this
problem emerged. Network security firewall is the key technology is to separate the local
network and external networks of a defense system, its core idea is in an insecure
network environment to construct a sub-network environment of relative security, the
firewall is to implement the network security controls were a necessary technique. This
article discusses the firewall security features, architecture, to achieve the main technical
means and firewall configuration.
key words
network security / hacking /virus/ firewall
4
第 1 章 概论
1.1 防火墙的概述
防火墙是一个保护装置,它是一个或一组网络设备装置。通常是指运行特别编写或更改
过操作系统的计算机,它的目的就是保护内部网的访问安全。防火墙可以安装在两个组织结
构的内部网与外部的Internet之间,同时在多个组织结构的内部网和Internet之间也会起到
同样的保护作用。它主要的保护就是加强外部Internet对内部网的访问控制,它主要任务是
允许特别的连接通过,也可以阻止其它不允许的连接。防火墙只是网络安全策略的一部分,
它通过少数几个良好的监控位置来进行内部网与Internet的连接。
1.1.1 什么是防火墙
防火墙是一种非常有效的网络安全模型。主要用来保护安全网络免受来自不安全网络的入
侵,比如安全网络可能是企业的内部网络,不安全网络是因特网。但防火墙不只是用于因特网,
也用于 Intranet 中的部门网络之间。在逻辑上,防火墙是过滤器 限制器和分析器;在物理上,
防火墙的实现有多种方式。通常,防火墙是一组硬件设备-路由器,主计算机,或者是路由器,
计算机和配有的软件的网络的组合。不同的防火墙配置的方法也不同,这取决于安全策略,预
算以及全面规划等。
1.1.2. 防火墙的研究背景
据美国联邦调查局统计,美国每年因网络安全造成的损失高达 75 亿美元。据美国金融时报
报道,世界上平均每 20 分钟就发生一次人侵国际互联网络的计算机安全事件,1/3 的防火墙被
突破。美国联邦调查局计算机犯罪组负责人吉姆·塞特尔称:给我精选 10 名“黑客”,组成小
组,90 天内,我将使美国趴下。一位计算机专家毫不夸张地说:如果给我一台普通计算机、一
条电话线和一个调制解调器,就可以令某个地区的网络运行失常。
据了解,从 1997 年底至今,我国的政府部门、证券公司、银行等机构的计算机网络相继遭
到多次攻击。公安机关受理各类信息网络违法犯罪案件逐年剧增,尤其以电子邮件、特洛伊木
马、文件共享等为传播途径的混合型病毒愈演愈烈。由于我国大量的网络基础设施和网络应用
依赖于外国的产品和技术,在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段,
以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责。有些集成商仍缺乏
足够专业的安全支撑技术力量,同时一些负责网络安全的工程技术人员对许多潜在风险认识不
足。缺乏必要的技术设施和相关处理经验,面对形势日益严峻的现状,很多时候都显得有些力
不从心。也正是由于受技术条件的限制,很多人对网络安全的意识仅停留在如何防范病毒阶段,
对网络安全缺乏整体意识。
随着网络的逐步普及,网络安全的问题已经日益突。如同其它任何社会一样,互连网也受到某
些无聊之人的困扰,某些人喜爱在网上做这类的事,像在现实中向其他人的墙上喷染涂鸦、将他
人的邮箱推倒或者坐在大街上按汽车喇叭一样。网络安全已成为互连网上事实上的焦点问题。
它关系到互连网的进一步发展和普及,甚至关系着互连网的生存。近年来,无论在发达国家,
还是在发展中国家,黑客活动越来越猖狂,他们无孔不入,对社会造成了严重的危害。目前在
互连网上大约有将近 80%以上的用户曾经遭受过黑客的困扰。而与此同时,更让人不安的是,
5
互连网上病毒和黑客的联姻、不断增多的黑客网站,使学习黑客技术、获得黑客攻击工具变的
轻而易举。这样,使原本就十分脆弱的互连网越发显得不安全。
1.1.3. 防火墙的分类
防火墙又大致分为硬件防火墙和软件防火墙:硬件防火墙是指把防火墙程序做到芯片里面,
由硬件执行这些功能,能减少 CPU 的负担,使路由更稳定。硬件防火墙一般都有 WAN、LAN
和 DMZ 三个端口,还具有各种安全功能,价格比较高,企业以及大型网络使用得比较多。软
件防火墙其实就是安全防护软件,比如天网防火墙、金山网镖、蓝盾防火墙等等。
1.1.4. 防火墙的功能
防火墙是网络安全的屏障。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网
络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通
过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的 NFS 协议进
出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时
可以保护网络免受基于路由的攻击,如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向路径。
防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
1)防火墙可以强化网络安全策略:
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审
计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更
经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个
主机上,而集中在防火墙一身上。
2)对网络存取和访问进行监控审计:
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时
也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网
络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。
首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否
充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
3)防止内部信息的外泄:
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点
或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内
部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而
暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如 Finger,DNS 等
服务。Finger 显示了主机的所有用户的注册名、真名,最后登录时间和使用 shell 类型等。但是
Finger 显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个
系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞
有关内部网络中的 DNS 信息,这样一台主机的域名和 IP 地址就不会被外界所了解。
除了安全作用,防火墙还支持具有 Internet 服务特性的企业内部网络技术体系 VPN。通过
VPN,将企事业单位在地域上分布在全世界各地的 LAN 或专用子网,有机地联成一个整体。不
仅省去了专用通信线路,而且为信息共享提供了技术保障。
6
1.1.5. 防火墙的特性
当前的防火墙需要具备如下的技术、功能、特性,才可以成为企业用户欢迎的防火墙产品:
1)安全、成熟、国际领先的特性;
2)具有专有的硬件平台和操作系统平台;
3)采用高性能的全状态检测(Stateful Inspection)技术;
4)具有优异的管理功能,提供优异的 GUI 管理界面;
5)支持多种用户认证类型和多种认证机制;
6)需要支持用户分组,并支持分组认证和授权;
7)支持内容过滤;
8)支持动态和静态地址翻译(NAT;
9)支持高可用性,单台防火墙的故障不能影响系统的正常运行;
10)支持本地管理和远程管理;
11)支持日志管理和对日志的统计分析;
12)实时告警功能,在不影响性能的情况下,支持较大数量的连接数;
13)在保持足够的性能指标的前提下,能够提供尽量丰富的功能;
14)可以划分很多不同安全级别的区域,相同安全级别可控制是否相互通讯;
15)支持在线升级;
16)支持虚拟防火墙及对虚拟防火墙的资源限制等功能;
17)防火墙能够与入侵检测系统互动。
1.1.6. 防火墙技术的发展
1)优良的性能
新一代的防火墙系统不仅应该能够更好地保护防火墙后面内部网络的安全,而且应该具有
更为优良的整体性能。传统的代理型防火墙虽然可以提供较高级别的安全保护,但是同时它也
成为限制网络带宽的瓶颈,这极大地制约了在网络中的实际应用。数据通过率是表示防火墙性
能的参数,由于不同防火墙的不同功能具有不同的工作量和系统资源要求,因此数据在通过防
火墙时会产生延时。自然,数据通过率越高,防火墙性能越好。现在大多数的防火墙产品都支
持NAT功能,它可以让防火墙受保护的一边的IP地址不至于暴露在没有保护的另一边,但是启用
NAT后势必会对防火墙系统的性能有所影响。目前如何尽量减少这种影响也成为防火墙产品的卖
点之一。另外防火墙系统中集成的VPN解决方案必须是真正的线速运行,否则将成为网络通信的
瓶颈。
2)可扩展的结构和功能
对于一个好的防火墙系统而言,它的规模和功能应该能够适应内部网络的规模和安全策略的变
化。选择哪种防火墙,除了应考虑它的基本性能之外,毫无疑问,还应考虑用户的实际需求与
未来网络的升级。
未来的防火墙系统应是一个可随意伸缩的模块化解决方案,从最为基本的包过滤器到带加密功
能的VPN型包过滤器,直至一个独立的应用网关,使用户有充分的余地构建自己所需要的防火墙
体系。
3)简化的安装与管理
防火墙的确可以帮助管理员加强内部网的安全性。一个不具体实施任何安全策略的防火墙无异
7
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
