网络安全课程设计
课程题目:防火墙安全
班级:
姓名:
学号:
指导老师:
摘 要
随着 Internet 和计算机网络技术的蓬勃发展,网络安全问题现在已经得到普
遍重视。网络防火墙系统就是网络安全技术在实际中的应用之一。防火墙的核
心思想是在不安全的网际网环境中构造一个相对安全的子网环境。运行在系统
上的网络应用软件在访问网络时,都必须经过防火墙的确认,从而达到控制用
户计算机和 Internet 之间的连接目的。本文首先简要介绍了防火墙的原理,然后
叙述了防火墙的分类,接着从实现信息安全的角度运用 JAVA 程序实现代理防
火墙的设计。
关键词:防火墙;包过滤;代理防火墙;网络安全;防火墙技术原理。
一、前言
近年来,随着普通计算机用户群的日益增长,“防火墙”一词已经不再是服
务器领域的专署,大部分家庭用户都知道为自己爱机安装各种“防火墙”软件
了。但是,并不是所有用户都对“防火墙”有所了解的,一部分用户甚至认为,
“防火墙”是一种软件的名称……时光飞梭,随着计算机和网络的发展,各种
攻击入侵手段也相继出现了,为了保护计算机的安全,人们开发出一种能阻止
计算机之间直接通信的技术,并沿用了古代类似这个功能的名字——“防火
墙”技术来源于此。用专业术语来说,防火墙是一种位于两个或多个网络间,
实施网络之间访问控制的组件集合。对于普通用户来说,所谓“防火墙”,指的
就是一种被放置在自己的计算机与外界网络之间的防御系统,从网络发往计算
机的所有数据都要经过它的判断处理后,才会决定能不能把这些数据交给计算
机,一旦发现有害数据,防火墙就会拦截下来,实现了对计算机的保护功能。
防火墙技术从诞生开始,就在一刻不停的发展着,各种不同结构不同功能的防
火墙,构筑成网络上的一道道防御大堤。
二、防火墙简介
防火墙是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防
范措施的总称。应该说,在互联网上防火墙是一种非常有效的网络安全模型,
通过它可以隔离风险区域(即 Internet 或有一定风险的网络)与安全区域(局域网)
的连接,同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通
信量,从而完成看似不可能的任务;仅让安全、核准了的信息进入,同时又抵
制对企业构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍,对网
络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适
的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保的
网络,迫使单位强化自己的网络安全政策。
一般的防火墙都可以达到以下目的:
(1)是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;
(2)是防止入侵者接近你的防御设施;
(3)是限定用户访问特殊站点;
(4)是为监视 Internet 安全提供方便。
由于防火墙假设了网络边界和服务,因此更适合于相对独立的网络,例如
Intranet 等种类相对集中的网络。防火墙正在成为控制对网络系统访问的非常流
行的方法。
三、防火墙的原理
随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数
据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的
每个工作站和服务器装备上强大的安全特征(例如入侵检测),但这几乎是一种
不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行
着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以
改进以修复这个缺陷。另一种选择就是防火墙 (Firewall),防火墙是用来在安全
私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设
备,作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的
内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全
策略来控制信息流,防止不可预料的潜在的入侵破坏. DMZ 外网和内部局域网
的防火墙系统。
四、防火墙的主要种类
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、
代理型和监测型。
1.包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术
[3]。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的
数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、
TCP/UDP 源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这
些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙
便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规
则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,
能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明
显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、
目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的 Java
小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造 IP 地址,骗过包过
滤型防火墙。
2.代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并
已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者
间的数据交流。从结构上看,代理服务器由代理的服务器部分和代理的客户机部
分组成。而从客户机上来看,代理服务器又是一台真正的服务器[4]。由于外部系
统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业
内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应
用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且
代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理
的复杂性。
3.监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定
义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加
以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种
检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器
和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶
意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当
比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而
且在安全性上也超越了前两代产品。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)
也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。
由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉
FTP 连接中的 PUT 命令,而且通过代理应用,应用网关能够有效地避免内部网络
的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在
对多种网络应用协议的有效支持和对网络整体性能的影响上。