logo资料库

网络安全之防火墙安全课程设计.doc

发布时间:2022-06-10 发布人:admin 分类:说明书 资料大小:0.04M 资料格式:doc 举报 版权申诉
第1页 / 共6页
第2页 / 共6页
第3页 / 共6页
第4页 / 共6页
第5页 / 共6页
第6页 / 共6页
资料共6页,全文预览结束
    网络安全课程设计 课程题目:防火墙安全 班级: 姓名: 学号: 指导老师:
    摘 要 随着 Internet 和计算机网络技术的蓬勃发展,网络安全问题现在已经得到普 遍重视。网络防火墙系统就是网络安全技术在实际中的应用之一。防火墙的核 心思想是在不安全的网际网环境中构造一个相对安全的子网环境。运行在系统 上的网络应用软件在访问网络时,都必须经过防火墙的确认,从而达到控制用 户计算机和 Internet 之间的连接目的。本文首先简要介绍了防火墙的原理,然后 叙述了防火墙的分类,接着从实现信息安全的角度运用 JAVA 程序实现代理防 火墙的设计。 关键词:防火墙;包过滤;代理防火墙;网络安全;防火墙技术原理。 一、前言 近年来,随着普通计算机用户群的日益增长,“防火墙”一词已经不再是服 务器领域的专署,大部分家庭用户都知道为自己爱机安装各种“防火墙”软件 了。但是,并不是所有用户都对“防火墙”有所了解的,一部分用户甚至认为, “防火墙”是一种软件的名称……时光飞梭,随着计算机和网络的发展,各种 攻击入侵手段也相继出现了,为了保护计算机的安全,人们开发出一种能阻止 计算机之间直接通信的技术,并沿用了古代类似这个功能的名字——“防火 墙”技术来源于此。用专业术语来说,防火墙是一种位于两个或多个网络间, 实施网络之间访问控制的组件集合。对于普通用户来说,所谓“防火墙”,指的 就是一种被放置在自己的计算机与外界网络之间的防御系统,从网络发往计算 机的所有数据都要经过它的判断处理后,才会决定能不能把这些数据交给计算 机,一旦发现有害数据,防火墙就会拦截下来,实现了对计算机的保护功能。 防火墙技术从诞生开始,就在一刻不停的发展着,各种不同结构不同功能的防 火墙,构筑成网络上的一道道防御大堤。
    二、防火墙简介 防火墙是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防 范措施的总称。应该说,在互联网上防火墙是一种非常有效的网络安全模型, 通过它可以隔离风险区域(即 Internet 或有一定风险的网络)与安全区域(局域网) 的连接,同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通 信量,从而完成看似不可能的任务;仅让安全、核准了的信息进入,同时又抵 制对企业构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍,对网 络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适 的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保的 网络,迫使单位强化自己的网络安全政策。 一般的防火墙都可以达到以下目的: (1)是可以限制他人进入内部网络,过滤掉不安全服务和非法用户; (2)是防止入侵者接近你的防御设施; (3)是限定用户访问特殊站点; (4)是为监视 Internet 安全提供方便。 由于防火墙假设了网络边界和服务,因此更适合于相对独立的网络,例如 Intranet 等种类相对集中的网络。防火墙正在成为控制对网络系统访问的非常流 行的方法。 三、防火墙的原理 随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数 据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的 每个工作站和服务器装备上强大的安全特征(例如入侵检测),但这几乎是一种 不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行 着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以
    改进以修复这个缺陷。另一种选择就是防火墙 (Firewall),防火墙是用来在安全 私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设 备,作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的 内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全 策略来控制信息流,防止不可预料的潜在的入侵破坏. DMZ 外网和内部局域网 的防火墙系统。 四、防火墙的主要种类 根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、 代理型和监测型。 1.包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术 [3]。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的 数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、 TCP/UDP 源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这 些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙 便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规 则。 包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下, 能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明 显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、 目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的 Java 小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造 IP 地址,骗过包过 滤型防火墙。
    2.代理型 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并 已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者 间的数据交流。从结构上看,代理服务器由代理的服务器部分和代理的客户机部 分组成。而从客户机上来看,代理服务器又是一台真正的服务器[4]。由于外部系 统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业 内部网络系统。 代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应 用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且 代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理 的复杂性。 3.监测型 监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定 义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加 以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种 检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器 和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶 意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当 比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而 且在安全性上也超越了前两代产品。 实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关) 也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。 由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉 FTP 连接中的 PUT 命令,而且通过代理应用,应用网关能够有效地避免内部网络 的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在
    对多种网络应用协议的有效支持和对网络整体性能的影响上。
    分享到:
    收藏

    相关推荐

    资料库

    网络技术

    共收录2367份资料,累计7个分类,关注成员有19位,主要包括:综合布线,网管软件,网络监控,网络设备,其它,系统集成,网络基础

    热门标签

    综合布线 网管软件 网络监控 网络设备 其它 系统集成 网络基础

    最新资料