logo资料库

防火墙技术研究毕业论文.doc

发布时间:2022-06-09 发布人:admin 分类:说明书 资料大小:0.23M 资料格式:doc 举报 版权申诉
第1页 / 共19页
第2页 / 共19页
第3页 / 共19页
第4页 / 共19页
第5页 / 共19页
第6页 / 共19页
第7页 / 共19页
第8页 / 共19页
资料共19页,剩余部分请下载后查看
    本科生毕业论文(设计) 题 目 防火墙技术研究 姓 院 专 名 系 业 姚继臣 学号 0511701084 计算机科学学院 计算机科学与技术 指导教师 刘智斌 职称 副教授 2009 年 5 月 20 日 曲阜师范大学教务处制
    目 录 摘要.................................................................................................................................................1 关键词.............................................................................................................................................1 Abstract ..........................................................................................................................................1 Key words...................................................................................................................................... 1 引言.................................................................................................................................................2 1 防火墙技术..................................................................................................................................2 1.1 防火墙的概念...........................................................................................................................2 1.2 防火墙的分类..........................................................................................................................2 1.2.1 静态包过滤防火墙...............................................................................................................2 1.2.2 动态包过滤防火墙...............................................................................................................3 1.2.3 代理防火墙............................................................................................................................3 1.2.4 自适应防火墙........................................................................................................................3 2 防火墙的功能..............................................................................................................................4 3 防火墙的不足..............................................................................................................................5 4 防火墙主要技术特点..................................................................................................................6 5 防火墙体系结构..........................................................................................................................6 5.1 双重宿主主机体系结构...........................................................................................................6 5.2 屏蔽主机体系结构...................................................................................................................7 5.3 屏蔽子网体系结构...................................................................................................................8 6 常见攻击方式以及应对策略....................................................................................................10 6.1 常见攻击方式.........................................................................................................................10 6.1.1 病毒......................................................................................................................................10 6.1.2 口令字..................................................................................................................................10 6.1.3 邮件......................................................................................................................................10 6.1.4 IP 地址................................................................................................................................. 10 6.2 应对策略................................................................................................................................10 6.2.1 方案选择..............................................................................................................................10 6.2.2 结构透明..............................................................................................................................11 6.2.3 坚持策略..............................................................................................................................11 6.2.4 实施措施..............................................................................................................................11 7 防火墙的发展历程...................................................................................................................11 7.1 基于路由器的防火墙............................................................................................................11 7.2 用户化的防火墙工具套........................................................................................................12 7.3 建立在通用操作系统上的防火墙........................................................................................12 7.4. 第四代防火墙.......................................................................................................................12 7.4.1 第四代防火墙的主要技术及功能.....................................................................................12 7.4.2 第四代防火墙的抗攻击能力............................................................................................14 8 防火墙的发展趋势....................................................................................................................15 9 防火墙的反战前景以及技术方向............................................................................................16 10 结束语......................................................................................................................................17 致谢...............................................................................................................................................17 参考文献.......................................................................................................................................17
    防火墙技术研究 计算机科学与技术 姚继臣 指导教师:刘智斌 摘要:本文介绍了防火墙的概念及其功能。防火墙是一种访问控制技术,它通过在某个机构 的网络和不安全的网络之间设置障碍,阻止信息资源的非法访问。又系统地介绍了网络防火 墙系统的基本设计原则的基础上阐述了 Internet 网络中的防火墙技术。分析了防火墙技术在 Internet 安全上的重要作用,并提出其不足之处和解决方案。最后阐述了用户在选择防火墙 软件时应注意哪些问题。 关键词: 防火墙 代理技术 网络安全 网关 Research Firewall Technology Student majoring in Computer Science and Technology Yao jichen Tutor :Liu Zhibin Abstract: This paper introduces the concept and function of firewall. Firewall is a kind of access control technology which can prevent the information from being illegally accessed by means of setting up the obstruction between the network of a certain organization and the unsafe network And systematically introduces the basic design of the network firewall system on the basis of the principle of Internet network firewall is expounded. Analysis on the Internet security firewall technology was proposed, and the important role of the deficiencies and solutions. Finally this paper analyzes what problems should care about in choosing firewall. Key words: Firewall;Proxy Technology;Network Security;Gateway 1
    引言:现在常常听到网虫们抱怨,自己的主页被人改得乱七八糟;使用多年的 QQ 号码忽然间不能登录;电子信箱里堆满垃圾邮件,屏幕突然神经质的开了许 多窗口,然后报告资源不足就死机了等等。而更为糟糕的是,某某公司突然发现 重要机密文件不知为什么被别人通过网络偷走了;或者机器正在做一个大的数值 模拟运算,却莫名其妙的死机了;所有这一切皆因网络漏洞而起。为使各个计算 机数据的安全,网络应该采取何种控制技术保证安全访问而绝对禁止非法者进入 以及篡改数据,已成为网络建设及安全的重大问题。防火墙就是这样一种保护措 施, 它使用户可以安全地使用网络, 更好地利用网络上的资源, 而不必担心受 到黑客的袭击。 1 防火墙技术 1.1 防火墙的概念 防火墙是一种非常有效的网络安全模型。主要用来保护安全网络免受来自不 安全网络的入侵,比如安全网络可能是企业的内部网络,不安全网络是因特网。 但防火墙不只是用于因特网,也用于 Intranet 中的部门网络之间。在逻辑上,防 火墙是过滤器 限制器和分析器;在物理上,防火墙的实现有多种方式。通常, 防火墙是一组硬件设备-路由器,主计算机,或者是路由器,计算机和配有的软 件的网络的组合。及全面规划等。防火墙在网络中的位置如图 1 所示。 内部网 Web服务器 防火墙 Internet 图 1 防火墙在网络中的位置 1.2 防火墙的分类 从防火墙的防范方式和侧重点的不同来看,防火墙可以分为很多类型,但是 根据防火墙对内外来往数据处理方法,大致可将防火墙分为两大体系:包过滤防 火墙和代理防火墙。 1.2.1 静态包过滤防火墙 静态包过滤防火墙采用的是一个都不放过的原则。它会检查所有通过信息包 里的 IP 地址号,端口号及其它的包头信息,并根据系统管理员给定的过滤规则 和准备过滤的信息包一一匹配,其中:如果信息包中存在一点与过滤规则不符合, 那么这个信息包里所有的信息都会被防火墙屏蔽掉,这个信息包就不会通过防火 墙。相反的,如果每条规都和过滤规则相匹配,那么信息包就允许通过。静态包 的过滤原理就是:将信息分成若干个小数据片(数据包),确认符合防火墙的包 过滤规则后,把这些个小数据片按顺序发送,接收到这些小数据片后再把它们组 织成一个完整的信息这个就是包过滤的原理。图 2 是静态防火墙的示意图 2
    应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 图 2 静态包过滤防火墙 ●静态包过滤防火墙的优点:它对用户是透明的,不需要用户的用户名和密 码就可以登录,它的速度快,也易于维护。 ●静态防火墙缺点:由于用户的使用记录没有记载,如果有不怀好意的人进 行攻击的话,我们即不能从访问记录中得到它的攻击记录,也无法得知它的来源。 而一个单纯的包过滤的防火墙的防御能力是非常弱的,对于恶意的攻击者来说是 攻破它是非常容易的。其中“信息包冲击”是攻击者最常用的攻击手段:主要是 攻击者对包过滤防火墙发出一系列地址被替换成一连串顺序 IP 地址的信息包, 一旦有一个包通过了防火墙,那么攻击者停止再发测试 IP 地址的信息包,用这 个成功发送的地址来伪装他们所发出的对内部网有攻击性的信息。 1.2.2 动态包过滤防火墙 动态包过滤功能在保持着原有静态包过滤技术和过滤规则的基础上,会对已 经成功与计算机连接的报文传输进行跟踪,并且判断该连接发送的数据包是否会 对系统构成威胁,一旦触发其判断机制,防火墙就会自动产生新的临时过滤规则 或者把已经存在的过滤规则进行修改,从而阻止该有害数据的继续传输,但是由 于动态包过滤需要消耗额外的资源和时间来提取数据包内容进行判断处理,所以 与 静 态 包 过 滤 相 比 它 会 降 低 运 行 效 率 。 图 3 是 动 态 防 火 墙 的 示 意 图 应用层 表示层 会话层 传输层 网络层 应用层 表示层 会话层 传输层 网络层 应用层 表示层 会话层 传输层 网络层 数据链路层 数据链路层 数据链路层 物理层 物理层 物理层 连接状态表 图 3 动态包过滤防火墙 以下我们了解的是代理防火墙。代理服务器型防火墙与包过滤防火墙不同之 点在于,它的内外网之间不存在直接的连接,一般由两部分组成:服务器端程序 3
    和客户端程序,其中客户端程序通过中间节点与提供服务的服务器连接。代理服 务器型防火墙提供了日志和审记服务。代理防火墙也经历了两代: 1.2.3 代理(应用层网关)防火墙 这种防火墙被网络安全专家认为是最安全的防火墙,主要是因为从内部发出 的数据包经过这样的防火墙处理后,就像是源于防火墙外部网卡一样,可以达到 隐藏内部网结构的作用。由于内外网的计算机对话机会根本没有,从而避免了入 侵者使用数据驱动类型的攻击方式入侵内部网。 1.2.4 自适应代理防火墙 自适应代理技术是商业应用防火墙中实现的一种革命性技术。它结合了代理 类型防火墙和包过滤防火墙的优点,即保证了安全性又保持了高速度,同时它的 性能也在代理防火墙的十倍以上,在一般的情况下,用户更倾向于这种防火墙。 我们把两种防火墙的优缺点的对比用下列图表的形式表示如下: 优点 缺点 包过滤防火墙 价格较低性能开销小,处理速度较快 定义复杂,容易出现速度较慢,不太适用 代理防火墙 内置了专门为提高安全性而编制的 Proxy 应 不能理解特定服务的上下文环境,相应控 于高速网之间的应用 用程序,能够透彻地理解相关服务的命令, 制只能在高层由代理服务和应用层网关 对来往的数据包进行安全化处理 来完成 2 防火墙的功能 表 1 防火墙优缺点的对比 防火墙是一个保护装置,它是一个或一组网络设备装置。通常是指运行特别 编写或更改过操作系统的计算机,它的目的就是保护内部网的访问安全。防火墙 可以安装在两个组织结构的内部网与外部的 Internet 之间,同时在多个组织结构 的内部网和 Internet 之间也会起到同样的保护作用。它主要的保护就是加强外部 Internet 对内部网的访问控制,它主要任务是允许特别的连接通过,也可以阻止其 它不允许的连接。防火墙只是网络安全策略的一部分,它通过少数几个良好的监 控位置来进行内部网与 Internet 的连接。 防火墙的核心功能主要是包过滤。其中入侵检测,控管规则过滤,实时监控 及电子邮件过滤这些功能都是基于封包过滤技术的。 防火墙的主体功能归纳为以下几点: (1) 防火墙是网络安全的屏障 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性, 并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通 过防火墙, 所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全 的 NFS 协议进出受保护网络, 这样外部的攻击者就不可能利用这些脆弱的协议 来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击, 如 IP 选项中 的源路由攻击和 ICMP 重定向中的重定向路径。防火墙应该可以拒绝所有以上类 型攻击的报文并通知防火墙管理员。 (2) 防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身 份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比, 防 4
    火墙的集中安全管理更经济。例如在网络访问时, 一次一密口令系统和其它的身 份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。 (3) 对网络存取和访问进行监控审计 如果所有的访问都经过防火墙, 那么,防火墙就能记录下这些访问并作出日 志记录, 同时也能提供网络使用情况的统计 数据。当发生可疑动作时, 防火墙能进行适当的报警, 并提供网络是否受到监测 和攻击的详细信息。另外, 收集一个网络的使用和误用情况也是非常重要的。首 先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击, 并且清楚防火 墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常 重要的。 (4)防止内部信息的外泄 通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离, 从而限 制了局部重点或敏感网络安全问题对全局网络造成的影响。再者, 隐私是内部网 络非常关心的问题, 一个内部网络中不引人注意的细节可能包含了有关安全的 线索而引起外部攻击者的兴趣, 甚至因此而暴漏了内部网络的某些安全漏洞。使 用防火墙就可以隐蔽那些透漏内部细节如 Finger、DNS 等服务。Finger 显示了主 机的所有用户的注册名、真名,最后登录时间和使用 shell 类型等。但是 Finger 显 示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度, 这个系统是否有用户正在连线上网, 这个系统是否在被攻击时引起注意等等。防 火墙可以同样阻塞有关内部网络中的 DNS 信息,这样一台主机的域名和 IP 地址 就不会被外界所了解。 (5)被拦阻时能通过声音或闪烁图标给用户报警提示。 防火墙仅靠这些核心技术功能是远远不够的。核心技术是基础,必须在这个 基础之上加入辅助功能才能流畅的工作。而实现防火墙的核心功能是封包过滤 3 防火墙的不足 防火墙对网络的威胁进行极好的防范,但是,它们不是安全解决方案的全部。 某些威胁是防火墙力所不及的。 (1)防火墙可以阻断攻击,但不可消灭攻击源 “各家自扫门前雪, 不管他人瓦上霜”就是目前网络安全的现状。互联网上 的病毒,恶意试探等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们, 但是无法消除攻击源。即使防火墙进行了很好的设置,使得攻击无法渗透防火墙, 但各种攻击仍然会源源不断地向防火墙发出尝试。 (2) 防火墙不能够抵抗最新的未设置策略的攻击漏洞 就如杀毒软件与病毒一样, 总是先出现病毒, 杀毒软件经过分析出其特征 码后加入到病毒库内才能查杀。防火墙的各种策略,也是在该攻击方式经过专家 分 析后根据其特征而进行设置的, 如果世界上新发现某个主机漏洞的 CRACKER 把第一个攻击对象击中了您的网络,那么防火墙也没有办法帮助您的。 (3) 防火墙的并发连接数限制容易导致拥塞或者谥出 由于要判断处理流经防火墙的每一个包, 因此防火墙在某些流量大, 并发 请求多的情况下, 很容易导致拥塞,成为整个网络的瓶颈影响性能。而当防火墙 谥出的时候, 整个防线就如同虚设, 原本被禁止的连接也能从容通过了。 (4) 防火墙对服务器合法开放的端口攻击大多无法阻止 5
    某些情况下, 攻击者利用服务器提供服务进行缺陷攻击。 (5)防火墙对待内部主动发起连接的攻击一般无法阻击 “外紧内松”是一般局域网络的特点, 或许一道严密防火墙内部的网络是一 片混乱也有可能。通过社会工程学发送带木马的邮件、带木马的 URL 等方式, 然 后由中木马的机器主动对攻击者连接, 将壁一样的防火墙瞬间破坏掉。另外,防 火墙内部各主机间的攻击行为,防火墙出只有如旁观者一样冷视而爱莫能助。 (6) 防火墙本身也会出现问题和受到攻击 防火墙也是一个 OS , 也有着其硬件系统和软件系统,因此依然有着漏洞和 bug 。所以其本身也有可能受到攻击和出现软、硬件方面的故障。 4 防火墙主要技术特点 1)应用层采用 Winsock 2 SPI 进行网络数据控制、过滤; 2)核心层采用 NDIS HOOK 进行控制,尤其是在 Windows 2000 下,此技 术属微软未公开技术。 此防火墙还采用两种封包过滤技术:一是应用层封包过滤,采用 Winsock 2 SPI ;二是核心层封包过滤,采用 NDIS_HOOK。 Winsock 2 SPI 工作在 API 之下、Driver 之上,属于应用层的范畴。利用这 项技术可以截获所有的基于 Socket 的网络通信。比如 IE、OUTLOOK 等常见的应 用程序都是使用 Socket 进行通信。采用 Winsock 2 SPI 的优点是非常明显的:其工 作在应用层以 DLL 的形式存在,编程、测试方便;跨 Windows 平台,可以直接 在 Windows98/ME/NT/2000/XP 上通用,Windows95 只需安装上 Winsock 2 for 95,也 可以正常运行;效率高,由于工作在应用层,CPU 占用率低;封包还没有按照 低层协议进行切片,所以比较完整。而防火墙正是在 TCP/IP 协议在 windows 的基 础上才得以实现。 5 防火墙体系结构 5.1 双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的,该计算 机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由 器;它能够从一个网络到另一个网络发送 IP 数据包。然而,实现双重宿主主机 的防火墙体系结构禁止这种发送功能。因而,IP 数据包从一个网络(例如,因特 网)并不是直接发送到其他网络(例如,内部的、被保护的网络)。防火墙内部的系 统能与双重宿主主机通信,同时防火墙外部的系统(在因特网上)能与双重宿主主 机通信,但是这些系统不能直接互相通信。它们之间的 IP 通信被完全阻止。但 这种体系结构中用户访问因特网的速度会较慢,也会因为双重宿主主机的被侵袭 而失效。 双重宿主主机的防火墙体系结构是相当简单的:双重宿主主机位于两者之 间,并且被连接到因特网和内部的网络,如图 4 所示 6
    分享到:
    收藏

    相关推荐

    资料库

    课程资源

    共收录17145份资料,累计13个分类,关注成员有19位,主要包括:PHP,网络管理,网页制作,Java,.Net,数据库,3G/移动开发,C/C++,游戏开发,嵌入式,讲义,软件测试,专业指导

    热门标签

    PHP 网络管理 网页制作 Java .Net 数据库 3G/移动开发 C/C++ 游戏开发 嵌入式 讲义 软件测试 专业指导

    最新资料