防火墙常用技术与性能研究

学号： 20080202010毕 业 设 计 论 文题目：防火墙常用技术与性能研究专 业： 计算机网络技术 班 级： 08 网 路 学生姓名： XXX 导师姓名： XXX 起止时间：2010 年 9 月 至 2010 年 12 月止XX大学计算机学院摘要随着互联网的迅猛发展给人们的生活带来了很大的方便，但同时安全性也成为了互联网技术中最关键的问题。因此，如何有效地解决互联网的各种危害问题成为现在的热门话题。本文详细介绍了防火墙的常用技术和性能。首先介绍防火墙的定义是什么，还有防火墙有那些优点和防火墙的基本原理，然后详细介绍防火墙的常用技术有那些和防火墙的性能，并对四种基本类型的防火墙技术原理和适用情况进行了分析。最后就天网防火墙进行简单介绍使用原则。关键词：防火墙 网络安全 天网防火墙 原理AbstractWith the rapid development of the Internet to peoples lives has brought great convenience, but security of the Internet technology has become the most critical issue. Therefore, how to effectively address the various hazards of the Internet to become a hot topic now. This paper describes commonly used firewall technology and performance. First introduced the definition of what a firewall, the firewall also have those advantages and the basic principles of the firewall, and then used detailed firewall and firewall technologies that performance, and the four basic types of firewall technology and application of the principle are analyzed . Finally, a brief introduction to Skynet to use the principles of the firewall.Keywords: Firewall， Firewall Network ，Security Principles ，Skynet 目录前言 11 防火墙的概述 21.1什么是防火墙 21.2 防火墙的性质 21.3防火墙的作用 21.3.1防火墙是网络安全的屏障 21.3.2防火墙可以强化网络安全策略 31.3.3对网络存取和访问进行监控审计 31.3.4防止内部信息的外泄 32 防火墙的常用技术 42.1包过滤技术 42.1.1静态包过滤 42.1.2动态包过滤 42.2 电路级网关 42.3应用层代理技术 52.4 网络地址转换技术 53 防火墙的类型和工作原理 73.1包过滤防火墙 73.1.1包过滤防火墙的工作原理 73.1.2包过滤的应用 83.2应用网关 83.2.1应用网关的原理 93.2.2应用网关的特点 93.3电路网关 103.3.1电路网关的工作原理 103.3.2回路代理防火墙的特点 103.4混合型防火墙 104 防火墙实例 天网防火墙 124.1 应用程序规则设置 124.2 IP规则管理 144.3系统设置 15结束语 16参考文献 171前言随着计算机技术的快速发展，网络应用已经在全球推广，人类已经进入了网络时代。电子邮件、远程教育、远程医疗电子商务等，已经成为人们生活中不可缺少的一部分，在国家经济中也发挥着重要作用。然而，网络安全也在为人们头痛且必须解决的问题。网络上的黑客、商业间谍出于各种目的，对人们在网络上所传输的信息产生了极大的兴趣。这些信息在没有被加密情况下传输，是很容易被窃听的。这些信息如果是重要的、有价值的，就有可能对用户造成无法挽回的损失。对于保护网络安全，防火墙是最基础的设备，它的最基础的设备，它的主要功能在于把那些不受欢迎的访问、信息或者数据包等隔离在特定的网络之外，是一种经济实用的网络边界防护设备。防火墙通常被放置与内部网络与外部网络的连接处，通过执行特定的访问规则和安全策略来保护与外部网络相连的内部网络。内部网络与外部网络之间的任何数据传递都必须通过防火墙这一关，防火墙对这些数据以及访问需求进行分析、处理，并根据已设置的安全规则来判定是否允许其通过。建立防火墙对于保护内部网络免受来自外部的攻击有较好的防范作用。同时，由于防火墙系统本身具备较高的系统安全级别，可以防止非法用户通过控制防火墙对内网发动攻击。因此防火墙被越来越多的企业公司和个人电脑用户所接纳和使用，迅速的发展普及起来，成为了网络黑客和各种病毒、木马和恶意插件的克星。21 防火墙的概述1.1什么是防火墙防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙是网络安全的第一道屏障，保障网络安全的第一个措施是安装和应用防火墙。合理的使用防火墙有利于提高网络抵抗黑客攻击和系统的安全性。防火墙是用来在安全内部网络和外部网络这间的安全连接的一个设备或一组设备提供内部网络和 Internet 这间安全连接的单点存在。图 1-1 Cisco 防火墙1.2 防火墙的性质从里向外和从外向里的数据都必须经过防火墙，这是通过物理上阻塞所有不经过防火墙的局域网访问来实现的；只有被认可的通信量，通过本地安全策略进行定义后，才能通过防火墙；防火墙本身不可穿透，这就隐含使用了一个装有安全操作系统的可信任系统；1.3防火墙的作用1.3.1防火墙是网络安全的屏障一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于经过精心选择的应用协议才能通过防火墙，所以网络环境3更安全。1.3.2防火墙可以强化网络安全策略通过以防火墙为中心安全方案配置，能将所有安全软件（如口令加密等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。1.3.3对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。1.3.4防止内部信息的外泄防火墙在网络周围创建了一个保护的边界。并且对于公网隐藏了内部系统的一些信息以增加保密性。当远程节点侦测网络时，他们仅仅能看到防火墙。远程设备将不会知道内部网络的布局以及都有些什么。除了安全作用，防火墙还支持具有 Internet 服务特性的企业内部网络技术体系 VPN。通过 VPN，将企业事业单位在地域上分布于全世界各地的 LAN 或专用子网，有机地联成一个整体。为信息共享提供了技术保障。42 防火墙的常用技术防火墙的各类多种多样，在不同的发展阶段，采用的技术也各不相同。防火墙主要采用的技术有以下几种：2.1包过滤技术包过滤(Packet Filter)技术，是最早出现的防火墙技术，虽然防火墙技术发展到现在提出了很多新的理念，但是包过滤仍然是防火墙为系统提供安全保障的主要技术，它可以阻挡攻击，禁止外部/内部访问某些站点以及限制单个IP 地址的流量和连接数。系统按照一定的信息过滤规则，对进出内部网络的信息进行限制，允许授权信息通过，而拒绝非授权信息通过。包过滤技术发展到现在，它已经从早期的静态包过滤演进到了现在的动态包 过滤技术。2.1.1静态包过滤静态包过滤技术的实现非常简单，就是在网关主机的 TCPIP 协议栈的 IP层增加一个过滤检，对 IP 包的进栈、转发、出栈时均进行针对于每个包的源地址、目的地址、端口、应用协议进行检查，用户可以设立安全策略，比如某某源地址禁止对外部的访问、禁止对外部的某些目标地址的访问、关闭一些危险的端口等等，事实证明，一些简单而有效的安全策略可以极大的提高内部系统的安全，由于静态包过滤规则的简单、高效，直至目前，它仍然得到应用。2.1.2动态包过滤动态包过滤(DynamicPacket Filter)技术除了含有静态包过滤的过滤检查技术之外，还会动态的检查每一个有效连接的状态，所以通常也称为状态包过滤技术。状态包过滤克服了第一代包过滤(静态包过滤)技术的不足，如信息分析只基于头信息、过滤规则的不足可能会导致安全漏洞、对于大型网络的管理能力不足等等。2.2 电路级网关电路级网关又称为线路级网关，它工作在 OSI 参考模型的会话层。它的作用是在内、外网络主机这间建立一个虚拟电路进行通信，相当于在防火墙上打开一个通道进行传输。使用电路级网关作为防火墙需要特殊的客户端程序。在5初次连接时，客户端程序与网关进行安全协商和控制，协商通过之后，网关的存在对应用来说就透明了，客户端与服务器之间的交互就像没有网关一样。只有懂得如何与电路级网关通信的客户端程序才能到达防火墙另一端的服务器。所以，对普通的客户端程序来说，必须通过适当改造，或者借助他响应的处理，才能通过电路级网关访问服务器。早期的电路级网关只处理 TCP 连接，并不进行任何附加的包处理或过滤。电路级网关就像电线一样，只是在内部连接和外部连接之间来回拷贝。但对于外部网络用户而言，连接似乎源于网关，网关屏蔽了受保护网络的有关信息，因而起到了防火墙的作用。2.3应用层代理技术包过滤技术在网络层实现数据包的拦截、分析和过滤等应用。代理(Proxy)技术针对每一个特定应用，在应用层实现网络数据流保护功能，代理的主要特点是具有状态性。代理能够提供部分与传输有关的状态，能完全提供与应用相关的状态部分传输信息，代理也能够处理和管理信息。应用层代理使得网络管理员能够实现比包过滤更严格的安全策略。应用层代理不用依靠包过滤工具来管理 Intemet 服务在防火墙系统中的进出，而是采用为每种服务定制特殊代码(代理服务)的方式来管理 Intemet 服务。显然，应用层代理可以实现网络管理员对网络服务更细腻的控制。但是，应用代理的代码并不通用，如果网络管理员没有为某种应用层服务在应用层代理服务器上安装特定的代码，那么该项服务就无法被代理型防火墙转发。同时，管理员可以根据实际需要选择安装网络管理认为需要的应用代理服务功能。2.4 网络地址转换技术NAT(Net Address Translation，网络地址转换)的最初设计目的是用来增加私有组织的可用地址空间和解决将现有的私有 TCPIP 网络连接到互联网上的口地址编号问题。私有 IP 地址只能作为内部网络号，不在互联网主干网上使用。网络地址翻译技术通过地址映射保证了使用私有 IP 地址的内部主机或网络能够连接到公用网络。NAT 网关被安放在网络末端区域(内部网络和外部网络之间的边界点上)，并且在源自内部网络的数据包发送到外部网络之前把数据包的6源地址转换为唯一的 IP 地址。网络地址翻译技术并非为防火墙而设计，它在解决 IP 地址短缺的同时提供了如下功能：内部主机地址隐藏；网络负载均衡；网络地址交迭。正是内部主机地 址隐藏的特性，使其网络地址翻译技术成为了防火墙实现中经常采用的核心技术之一。73 防火墙的类型和工作原理3.1包过滤防火墙3.1.1包过滤防火墙的工作原理在网络中，所有的信息传输都是以包的方式来实现的。包过滤是指对通过网络的数据包进行过滤操作，只有满足条件的数据才能通过网络，包过滤设备可以是路由器、网桥或计算机，通常是包过滤路由器。数据包过滤是通过对数据包的 IP 头和 TCP 头或 UDP 头的检查来实现的，主要信息有：IP 源地址、IP目标地址、协议（TCP 包、UDP 包和 ICMP 包） 、TCP 或 UDP 包的源端口、TCP 或UDP 包的目标端口、数据包到达的端口、数据包出去的端品。数据包过滤一般使用过滤路由器来实现，这种路由器与普通的路由器有所不同。普通的路由器只检查数