毕业设计（论文）-防火墙技术研究.doc

单位代码 10006 学 号分 类 号 TP399 密 级 毕业设计(论文)防火墙技术研究学习中心名称奥鹏杭州中心专业名称计算机科学与技术学生姓名指导教师2016年 9月 9日防火墙技术研究王世栋北京航空航天大学 独创性声明我在此郑重申明，本人所提交的毕业设计（论文），是在导师指导下由本人独立完成的研究成果，对文中所引用他人的成果，均已进行了明确标注或得到许可。毕业设计（论文）中不包含任何其他个人或集体已经发表或撰写过的研究成果，不包含他人已申请毕业证书（学位）或其他用途使用过的成果。对本文的研究做出重要贡献的个人和集体，均已在文中作了明确说明并表示了谢意。本人完全意识到本声明的法律结果，如有不实之处，由本人承担一切相关责任。学生签名：王世栋 时 间：2016年9月9日北京航空航天大学毕业设计(论文) 第 21 页防火墙技术研究摘 要本文介绍了防火墙的概念、分类、发展历程、工作原理、主要技术及相关的特性。防火墙是一种访问控制技术，它通过在某个机构的网络和不安全的网络之间设置障碍，阻止信息资源的非法访问。说明了网络常见攻击方式以及防火墙应对策略。分析了防火墙技术在Internet安全上的重要作用，并提出其不足之处和解决方案。最后展望了防火墙的发展前景以及技术方向。关键字：防火墙；网络；网络安全；功能；Internet；AbstractThe paper introduces the concept, classification and firewall development course, working principle and main technology and related properties. A firewall is a kind of access control technology, it is through the network and in some institutions unsafe network between obstacles, stop the illegal access to information resources. Explain the network attack mode and common firewall strategies. Analysis on the Internet security firewall technology was proposed, and the important role of the deficiencies and solutions. Finally discussed the prospect and the anti-war firewall technology trends.Key words: firewall, Network, Network security, Function, Internet,目 录1 绪论51.1 课题研究背景及目的51.2 国内外研究状况51.3 课题研究方法71.4 论文构成及研究内容72 防火墙的基本概念83 防火墙的技术分类93.1 防火墙类型93.1.1 包过滤（Packet Fliter）93.1.2 代理服务器型（Proxy Service）93.1.3 复合型（Hybfid）93.1.4 其他类型防火墙94 防火墙的功能104.1 典型的防火墙模块104.1.1 包过滤路由器104.1.2 应用层网关10 4.1.3 链路层网关114.2 网络安全的屏障114.3 强化网络安全策略114.4 对网络存取和访问进行监控审计11 4.5 防止内部信息的外泄125 防火墙的安全构建135.1 基本准则135.2 安全策略135.3 构建费用136 防火墙的的局限性147 常见攻击方式以及应对策略157.1 病毒攻击157.2 口令字攻击157.3 邮件攻击157.4 IP地址攻击158 防火墙的发展前景以及技术方向方式16结 论17致 谢18参考文献191 绪论1.1 课题研究背景及目的因特网的迅猛发展给人们生活带来了极大的方便。但同时因特网也面临着空前的威胁，因此，如何使用有效可行的方法使网络危险降到人们可接受的范围之内越来越受到人们的关注，而如何实施防范策略，首先取决于当前系统的安全性。所以对网络安全的各独立元素防火墙、漏洞扫描、入侵检测和反病毒等进行风险评估是很有必要的。防火墙技术作为时下比较成熟的一种网络安全技术，其安全性直接关系到用户的切身利益，针对网络安全独立元素防火墙技术，通过对防火墙日志文件的分析，设计相应的数学模型和软件雏形，采用打分制的方法，判断系统的安全等级，实现对目标网络的网络安全风险评估，为提高系统的安全性提供科学依据。对网络安全的威胁主要表现在：非授权访问，冒充合法用户，破坏数据完整性，干扰系统正常运行，利用网络传播病毒，线路窃听等方面。这以要求我们与Internet互连所带来的安全性问题予以足够重视，计算机网络技术的飞速发展使网络安全问题日益突出，而防火墙是应用最广泛的安全产品。1.2 国内外防火墙研发状况1 国外相关产品与技术现状国际上比较流行的防火墙产品有C h e c k P o i m 软件技术公司的F i r e W a l l 一1 、A X ENT 的Ra pt o r 、 C v be 以u a r d 公司的C vb e 以 u a r dF i r e C o m put i n g 公司的S e c m eZ o n e 、C i s c o 公司的基于硬件的防火墙系统 P I X 、Ne t s c r e e n 公司的Ne t s c r e e n 一1 0 0 以及Ne t G u a I d公司的 G u a I d i a n 等。我们对国际上这几种流行的防火墙产品进行了相应的考察和分析。( 1 ) C h e c k P o i n t F j r e w a l l _l C h e c k P 0 i m F i r e w a l l l 是基于Um x、 W i n NT 平台上的软件防火墙，属状态检测型，综合性能较为优秀。由于C h e c k P 0 i n t F i r e w Ml 一1采用的是状态检测方式，因而处理性能也较高，对于l O Ba s e T 接口。完全可以达到线速，号称可达80 Mb p s 。需要指出的是C h e c k F i r e w a l l 一1 的处理性能相当程度上取决于硬件平台的配置主要是硬件平台的内存和C P U的处理速度。除此以外，C h e c k P 0 i n t F i r e w a l l l 的用户管理方式也是非常优秀的。它是集中管理模式，即用户可以通过GUI 同防火墙管理模块( C h e c k P 0 i m F i r e w枷Ma n a g e m e n t Mo d u l e ) 通信，维护安全规则；而防火墙管理模块则负责编译安全规则，并下载到各个防火墙模块中。对于用户而言，管理线条十分清晰，不易疏漏，修改方便。同时，C h e c kP o i n tF i r e w Ml 一1 管理界面的功能丰富。不仅可以对A XE NTR a pt o r 、C i s c o P I x等防火墙进行管理。还可以在管理界面中对Ba v、 C i s c o 、3 C o m 等公司的路由器进行A C L设置。( 2 ) A x E NTI t a pt o r与C h e c k P o i n t F i r e w a Ul 和P I X 不同，Ra pt o r 完全是基于代理技术的软件防火墙，它是代理服务型防火墙中的佼佼者。这主要体现在相对于其他代理型防火墙而言，可支持的应用类型多；相对于状态检测型防火墙而言。由于所采用的技术手段不同，使得Ra pt o r 在安全控制的力度上较上述产品更加细致。Ra pt o r 防火墙甚至可以对NT 服务器的读、写操作进行控制并对S MB( S e r v e r Me s s a g e Bl o c k ) 进行限制。对Or a c l e 数据库， Ra pt o r还可以作为S Q L Ne t的代理从而对数据库操作提供更好的保护。Ra pt o r 防火墙的管理界面也相当简单。( 3 ) C y b e r G u a r dF i r e w a l l G u a r dF i r e w a l l 的代理性能不如Ra pt o r 但它允许直接包过滤，用户界面简洁清晰，且更注重其操作系统的硬件化。它的MUS E ( 多重虚拟安全环境) 只允许必要的通信。但是它的用户界面只能在控制台上使用。而所有其他防火墙软件均独立于实际防火墙引擎运行。2 国内相关产品以及技术现状目前，国内也有不少研究单位和公司开展了对防火墙技术的研究，并且也开发出不少推向市场的产品。比较有名的有天融信技贸有限责任公司的网络卫士防火墙、清华紫光的Un i s e c u r e 系列防火墙、实达自惭的Ne t S h i n e 网络防火墙、广州众达讯通技术有限公司的天网防火墙、东大阿尔派软件股份有限公司的网眼防火墙、中国科学院信息安全技术工程研究中心E RC I S T 防火墙以及国防科大计算机学院研制的超级防火墙系统等。( 1 ) 天融信”网络卫士”防火墙天融信公司历经十年发展的、荣获了多个奖项的网络卫士( Ne t Gu a r d ) 防火墙系列产品，是实时网络防护系统的最佳选择。网络卫士防火墙采用先进的核检测技术。突破了芯片设计、网络通信、安全防御及内容分析等诸多难点，实时进行网络行为、内容和状态分析。在网络边界布署应用防护措施确保企业网络安全，而不会影响网络性能。网络卫士防火墙系统采用专有的易于管理的平台，包括了全套的安全服务防火墙、VP N、入侵检测阻断和流量控制，同时还具有高效的应用层服务，如反病毒、内容过滤等功能。( 2 ) 清华紫光防火墙清华紫光防火墙综合了网络级包过滤、应用级代理服务器和动态电路级包过滤。产晶主要特性包括：多端口设计：多外口可负载均衡，多内口可保护不同的内部部门；支持S S L VP N( 包括W i n d o ws 客户端) 支持任何形式的网络结构( NA T ；动态地址；域名；GP RS 只要能上网就可使用) 支持最多 4组冗余备份，5 1 2 。7 6 8，1 0 2 4，2 0 48位加密；支持点到点、点到网、网到网结构；S NMP ( 网管支持) ，可以使用任何第三方S NMP 网管工具( H P o pe n vi e w C i s c o W o r k MRT G ，P RT G S O 1 a r wi n d s 等) 进行网络管理，报警 ( 端口，流量，C P U等) ；高可用性( H A ) ，支持负载均衡和备份。共支持8个设备同时上线每个设备可设4个组，正常时互为备份和均衡流量，异常时自动切换，( 3 6 秒) 支持外网端口检测f检测外口异常1 的切换，无需心跳线，避免心跳失败的冲突情况；内置I DS ( 安全日志) ；“防病毒”及“网络加速”，强大的内容过滤引擎对各种网络应用按用户要求进行过滤，杜绝无关不良信息，并可以进行病毒扫描。( 3 ) 方正方御防火墙方正方御防火墙作为S H A RKS 安全解决方案中的主要安全产品之一，凭借其独特的技术优势，在保证系统自身的安全性的同时又保证了其运行效率。针对用户对防火墙和网络应用结合的需求，方御防火墙独立提出智能I P 识别技术在防火墙内核对应用和协议进行高效分组识别，实现对应用的访问控制。智能I P 识别技术还屏弃了复合型防火墙在内核中进行缓存的技术方式，创新的采用零拷贝流分析、特有快速搜索算法等技术加快会话组织和规则定位的速度。突破了复合型防火墙效率较低的瓶颈。就总体而言。我们认为国内防火墙产品的开发还处于相对比较落后的水平，主要是消化、吸收和跟踪国外的先进技术，并且现有的防火墙产品大都是基于路由器的数据包分组过滤类型。防护能力差，存在各种网络外部或网络内部攻击防火墙的技术手段。而且它们很难把高速的运行能力、强有力的安全性能和简单易用、方便操作等特点有机地结合在一起。1.3 课题研究方法本文的研究方法主要采用文献研究法，同时结合实证分析法，通过大量文献检索，对防火墙的基本概念、技术分类、功能、安全构建、主要技术及相关的特性。防火墙是一种访问控制技术，它通过在某个机构的网络和不安全的网络之间设置障碍，阻止信息资源的非法访问。说明了网络常见攻击方式以及防火墙应对策略。分析了防火墙技术在Internet安全上的重要作用，最后提出防火墙的局限性指出其不足之处和解决方案。1.4 论文构成及研究内容论文构成除第一部分绪论外，第二部分论述防火墙的基本概念，防火墙是一个系统或一组系统，在内部网与因特网间执行一定的安全策略，它实际上是一种隔离技术。第三部分论述防火墙的技术分类，包括（一）包过滤（Packet Fliter）（二）代理服务器型（Proxy Service）（三）复合型（Hybfid）（四）其他各类型第四部分通过对防火墙的功能进行一定解析，从而分析（一）典型的防火墙，典型的防火墙包含下模块中的一个或多个：包过滤路由器、应用层网关以及链路层网关。（二）防火墙网络安全的屏障，一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。第五部分论述防火墙的安全构建，包括（一）基本准则（二）安全策略（三）构建费用第六部分论述防火墙的局限性，尽管利用防火墙可以保护内部网免受外部黑客的攻击，但其只能提高网络的安全性，不可能保证网络的绝对安全。2 防火墙的基本概念防火墙是一个系统或一组系统，在内部网与因特网间执行一定的安全策略，它实际上是一种隔离技术。一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙，所有流经防火墙的信息都应接受检查。通过防火墙可以定义一个关键点以防止外来入侵；监控网络的安全并在异常情况下给出报警提示，尤其对于重大的信息量通过时除进行检查外，还应做日志登记；提供网络地址转换功能，有助于缓解IP地址资源紧张的问题，同时，可以避免当一个内部网更换ISP时需重新编号的麻烦；防火墙是为客户提供服务的理想位置，即在其上可以配置相应的WWW和FTP服务等。当然，既然打算由浅入深的来了解，防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦著火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。再电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。3 防火墙的技术分类3.1 防火墙类型现有的防火墙主要有：包过滤型、代理服务器型、复合型以及其他类型（双宿主主机、主机过滤以及加密路由器）防火墙。3.1.1 包过滤（Packet Fliter）通常安装在路由器上，而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础，对IP源地址、目标地址、协议类型、端口号等进行筛选。包过滤在网络层进行。3.1.2 代理服务器型（Proxy Service）防火墙通常由两部分构成，服务器端程序和客户端程序。客户端程序与中间节点连接，中间节点再与提供服务的服务器实际连接。3.1.3 复合型（Hybfid）防火墙将包过滤和代理服务两种方法结合起来，形成新的防火墙，由堡垒主机提供代理服务。3.1.4 其他类型防火墙各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙，主要有：双宿主主机防火墙，它是由堡垒主机充当网关，并在其上运行防火墙软件，内外网之间的通信必须经过堡垒主机；主机过滤防火墙是指一个包过滤路由器与外部网相连，同时，一个堡垒主机安装在内部网上，使堡垒主机成为外部网所能到达的惟一节点，从而确保内部网不受外部非授权用户的攻击；加密路由器对通过路由器的信息流进行加密和压缩，然后通过外部网络传输到目的端进行解压缩和解密。4 防火墙的功能4.1 典型的防火墙模块典型的防火墙应包含如下模块中的一个或多个：包过滤路由器、应用层网关以及链路层网关。4.1.1 包过滤路由器包过滤路由器将对每一个接收到的包进行允许拒绝的决定。具体地，它对每一个数据报的包头，按照包过滤规则进行判定，与规则相匹配的包依据路由表信息继续转发，否则，则丢弃之。与服务相关的过滤，是指基于特定的服务进行包过滤，由于绝大多数服务的监听都驻留在特定TCPUDP端口，因此，阻塞所有进入特定服务的连接，路由器只需将所有包含特定 TCPUDP目标端口的包丢弃即可。独立于服务的过滤，有些类型的攻击是与服务无关的，比如：带有欺骗性的源IP地址攻击、源路由攻击、细小碎片攻击等。由此可见此类网上攻击仅仅借助包头信息是难以识别的，此时，需要路由器在原过滤规则的基础附上另外的条件，这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。4.1.2 应用层网关应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略，为每一个期望的应用服务在其网关上安装专用的代码，同时，代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问相应的代理服务实现的，而不允许用户直接登录到应用层网关。应用层网关安全性的提高是以购买相关硬件平台的费用为代价，网关的配置将降低对用户的服务水平，但增加了安全配置上的灵活性。4.1.3 链路层网关链路层网关是可由应用层网关实现的特殊功能。它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。4.2 网络安全的屏障防火墙是网络安全的屏障：一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。4.3 强化网络安全策略防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。4.4 对网络存取和访问进行监控审计防火墙可以对网络存取和访问进行监控审计：如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。4.5 防止内部信息的外泄防止内部信息的外泄：通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。5 防火墙的安全构建在进行防火墙设计构建中，网络管理员应考虑防火墙的基本准则；整个企业网的安全策略；以及防火墙的财务费用预算等。5.1 基本准则可以采取如下两种理念中的一种来定义防火墙应遵循的准则：第一，未经说明许可的就是拒绝。防火墙阻塞所有流经的信息，每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法，它将创建一个非常安全的环境。当然，该理念的不足在于过于强调安全而减弱了可用性，限制了用户可以申请的服务的数量。第二，未说明拒绝的均为许可的。约定防火墙总是传递所有的信息，此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然，该理念的不足在于它将可用性置于比安全更为重要的地位，增加了保证企业网安全性的难度。5.2 安全策略在一个企业网中，防火墙应该是全局安全策略的一部分，构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。5.3 构建费用简单的包过滤防火墙所需费用最少，实际上任何企业网与因特网的连接都需要一个路由器，而包过滤是标准路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加，其费用也随之增加。至于采用自行构造防火墙方式，虽然费用低一些，但仍需要时间和经费开发、配置防火墙系统，需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。6 防火墙的的局限性尽管利用防火墙可以保护内部网免受外部黑客的攻击，但其只能提高网络的安全性，不可能保证网络的绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与Internet的直接连接。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。所以在一个实际的网络运行环境中，仅仅依靠防火墙来保证网络的安全显然是不够，此时，应根据实际需求采取其他相应的安全策略。7 常见攻击方式以及应对策略7.1 病毒策略：设定安全等级，严格阻止系统在未经安全检测的情况下执行下载程序；或者通过常用的基于主机的安全方法来保护网络。7.2 口令字对口令字的攻击方式有两种：穷举和嗅探。穷举针对来自外部网络的攻击，来猜测防火墙管理的口令字。嗅探针对内部网络的攻击，通过监测网络获取主机给防火墙的口令字。策略：设计主机与防火墙通过单独接口通信（即专用服务器端口）、采用一次性口令或禁止直接登录防火墙。7.3 邮件来自于邮件的攻击方式越来越突出，在这种攻击中，垃圾邮件制造者将一条消息复制成成千上万份，并按一个巨大的电子邮件地址清单发送这条信息，当不经意打开邮件时，恶意代码即可进入。策略：打开防火墙上的过滤功能，在内网主机上采取相应阻止措施。7.3 IP地址黑客利用一个类似于内部网络的IP地址，以“逃过”服务器检测，从而进入内部网达到攻击的目的。策略：通过打开内核rp_filter功能，丢弃所有来自网络外部但却有内部地址的数据包；同时将特定IP地址与MAC绑定，只有拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问。8 防火墙的发展前景以及技术方向方式伴随着Internet的飞速发展，防火墙技术与产品的更新步伐必然会加强，而要全面展望防火墙技术的发展几乎是不可能的。但是，从产品及功能上，却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择： 1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。2)过滤深度会不断加强，从目前的地址、服务过滤，发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤，并逐渐有病毒扫描功能。 3)利用防火墙建立专用网是较长一段时间用户使用的主流，IP的加密需求越来越强，安全协议的开发是一大热点。 4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。 5)对网络攻击的检测和各种告警将成为防火墙的重要功能。 6)安全管理工具不断完善，特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。 另外值得一提的是，伴随着防火墙技术的不断发展，人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN的功能与CA的功能、接口的数量、成本等几个方面。几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人，他们利用各种网络和系统的漏洞，非法获得未授权的访问信息。不幸