胡晓博 学号200880124109《网络安全技术》课程论文

1、网络安全技术课 程 论 文学号： 200880124109 姓名： 胡晓博 专业： 网络工程 个人防火墙安装、配置与使用示例姓名 胡晓博（中原工学院信息商务学院, 郑州 450007）摘 要：所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，其目的就是防止外部网络用户未经授权的访问，它使Internet和Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，防火墙的应用在一些对于自身安全要求比较高的单位(如大型的机关单位、军队)中的比较常见,当然在现实生活中出于为了保护自己个人电脑的安全，尝试一下个人防火墙，从而避

2、免网络中一些不必要的损害，其中比较常见的个人防火墙有瑞星防火墙个人版、天网个人防火墙等。关键词：防火墙；网络安全；瑞星；天网；首先，我们先来简单谈一下防火墙的功能、类型以及其为何要使用防火墙。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马.最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。当今时代，网络安全局势日趋严峻，多种多样的木马、病毒、漏洞层出不穷，各种相关领域频繁出现利用计算机网络的带有高科技性质的犯罪，所有的这些无论是从大的方面说一个单位、一个机关

3、；还是从小的入手我们的个人电脑，我们对于网络安全要做的还有很多，其中有安装杀毒软件、植入防火墙等，今天我们要谈的更多的是关于个人防火墙的安装、配置与使用。防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。 防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马.最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。一个防火墙（作为

4、阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员.通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。

5、例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上.如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的.通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网

6、络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。1.防火墙概述防火墙是汽车中一个

7、部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦着火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。再电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。防火墙（Fir

8、eWall）成为近年来新兴的保护计算机网络安全技术性措施。它是一种隔离控制技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。作为Internet网的安全性保护软件，FireWall已经得到广泛的应用。通常企业为了维护内部的信息系统安全，在企业网和Internet间设立FireWall软件。企业信息系统对于来自Internet的访问，采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问，也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户，

9、则可以通过设置使用FireWall过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息，那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。这对于路由器来说，就要不仅分析IP层的信息，而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。FireWall一般安装在路由器上以保护一个子网，也可以安装在一台主机上，保护这台主机不受侵犯。2.防火墙的发展历史对于防火墙的发展历史，基于功能划分，可分为如下五个阶段：20世纪80年代，最早的防火墙几乎与路由器同时出现，第一代防火墙主要基于包过滤（Packet filter）技术，是依附于

10、路由器的包过滤功能实现的防火墙；随着网络安全重要性和性能要求的提高，防火墙渐渐发展为一个独立结构的、有专门功能的设备。到1989年，贝尔实验室的Dave Presotto和Howard Trickey最早推出了第二代防火墙，即电路层防火墙；到20世纪90年代初，开始推出第三代防火墙，即应用层防火墙（或者叫做代理防火墙）；到1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，市面上出现了第四代防火墙，即以色列的CheckPoint公司推出

11、的基于这种技术的商业化产品；到了1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。基于实现方式划分，可分为如下四个阶段：第一代防火墙：基于路由器的防火墙，由于多数路由器中本身就包含有分组过滤功能，故网络访问控制可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。第二代防火墙：用户化的防火墙，将过滤功能从路由器中独立出来，并加上审计和告警功能。针对用户需求，提供模块化的软件包，是纯软件产品。第三代防火墙：建立在通用操

12、作系统上的防火墙，近年来在市场上广泛使用的就是这一代产品。包括分组过滤和代理功能。第三代防火墙有以纯软件实现的，也有以硬件方式实现的。第四代防火墙：具有安全操作系统的防火墙：具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上得到提高。3.防火墙的管理现状几十年以来，防火墙一直都是网络安全的“基石”。90年代初期,第一个商业化防火墙SEAL面市，该防火墙是通过vi文本编辑器管理的。 而由USC信息科学院的Bob Braden开发的Visasa防火墙则是第一个引入GUI的防火墙。1994年由以色列的CheckPoint公司推出的Firewall-1 3.0管理工具涵盖了几个很重要的概念，

13、包括对象级别的提取以及支持“一个政策多个防火墙”等概念。13年前，也就是在1996年，当时的防火墙管理工具与现在的管理工具就已经十分类似，似乎这么多年来在这方面一直没有进步过。而另一方面,核心防火墙功能则发生了“翻天覆地”的改进。从最早的基于简单的包过滤(Packet Filter)技术的防火墙，到后来演变为与路由器相结合，执行NAT、IPSEC VPN、内容以及URL过滤、SSL VPN、防病毒以及防垃圾邮件等。而最近，防火墙已经开始与IPS结合来提供真正应用程序级别的过滤以及用户访问。而防火墙管理工具则顺势发展，为这些新功能提供配置功能，但没有实质性的突破，防火墙管理工具只是顺应防火墙的发

14、展而发展。将重复的工作自动化为什么防火墙供应商的管理工具没有突破性改进呢?也许是因为现有的工具已经够用。为了解答这个问题，让我们来看看防火墙中究竟真正需要管理哪些内容?在理想的环境中，防火墙应该是自我维护的，就像散布在城市各处的交通红绿灯。只要设置一次就可以不用再管它，对吗?但是防火墙却不是这样。与城市街道不同的是，网络是一直在变化的，而且是迅速的变化。安全威胁也在不断演化，业务需求也是一样。例如，添加新网络后，服务器也需要重新定位，还需要新服务，用户也需要访问新服务，等等。防火墙管理员承受着巨大的压力，需要保证他们的防火墙能够处理所有这些不断的变化。对于现在的防火墙管理工具而言，对于网络的每

15、一点改变，管理员都需要进行很多重复性的工作，以保证不会对安全状态或者业务连续性造成影响。我们不期望防火墙变成自我调节式的工具，但是我们希望新管理工具能够尽可能地将这些重复工作自动化。安全vs. 业务连续性在我们展望防火墙管理工具的未来之前，我们来看看现在的管理工具的另一个问题。大家都知道，防火墙主要是通过防止“坏人”进入来提供网络安全性，防火墙政策主要是用来制止恶意通信流量并且允许所有其他流量(根据白名单的方法)或者仅仅允许需要的流量。在任何情况下，防火墙在提供安全性的同时还必须确保业务连续性。这两者的关系相辅相成：修复安全漏洞可能会影响关键业务服务，而允许另一个应用程序通信又可能造成安全威胁

16、。防火墙经常都被认为是安全设备，并且由安全管理员来管理。但是防火墙也承担着保证业务连续性的责任。例如，当一个用户需要访问邮箱，这是业务连续性问题，而不是安全问题。如果他在访问邮箱时遇到问题，这也是业务连续性问题。但是防火墙的这种保障业务连续的功能只是被作为防火墙的“副功能”，而不是很重要的功能。这一点也深刻地反映在现在的管理工具中。企业们已经基于这些不实际的观点建立了业务结构和程序，安全管理员经常要负责业务连接性和连续性。而理想状态是，由安全专家负责管理安全，而由系统专家管理业务系统。让安全管理员同时处理安全和业务问题是很可笑的，但是现在的防火墙管理工具并不支持这种职责分离。4若干个人防火墙的

17、示例分析1)瑞星个人防火墙首先，我们在个人电脑安装上瑞星个人防火墙之后，我们可以熟悉一下它的初始界面：在瑞星个人防火墙初始界面，我们可以看到占整个界面很大版面的是首页、网络防护、联网程序、安全资讯这四个功能，中间应该是该软件的日志功能：包括使用时间、拦截情况等，再下面应该是当前的网络状态，最下面把各种当前的联网程序一一列举出来。该界面右上角是对此刻网络状态的评分，当然该页面还有其他的一些细节功能如软件的设置，软件升级，界面的换装等等。接着我们进入网络防护界面，里面包含了程序联网控制、网络攻击拦截、恶意网址拦截、ARP欺骗防御、对外攻击拦截、网络数据保护、IP规则设置。可以选中一个，我们选中的的

18、是网络攻击，可以看到里面显示当前状态为开启，我们选择设置按钮，其中包含各种规则名称,我尝试了IP规则设置并对其进行一些修改，把其中关于ping命令的设置改为，禁止ping命令的出与入，然后我在另一台机子的DOS界面ping自己的机子，得到的结果是超时，反过来依然超时，结果得到验证。整体上，瑞星个人版防火墙使用比较简单，方便用户，除了上述一些功能外，还有更多其它的功能，笔者不再赘述。2)天网防火墙个人版天网个人防火墙需要XP操作系统，安装完成进入首界面，其包括基本设置，管理权限设置，在线升级设置，日志管理，入侵检测设置，天网的功能更全面一些，基本设置包括了是否开机后自动启动，皮肤的设置，还有更重

19、要的局域网地址的设定。在天网里，同样包含和在上述瑞星个人防火墙里类似的IP规则设置，最明显的就是关于ping命令的设置，是否允许自己使用ping命令探测其他机器。此外，天网中应用程序访问网络权限设置清晰地列举出当前各种程序通过何种路径访问网络。3)Windows Vista 的防火墙Windows Vista的防火墙窗口与XP系统相比较有了较大变动，保留了直接对Windows防火墙是否已启用的状态显示，同时还可以设置为阻止程序时显示通知。网络位置是“专用网络”，如果需要更改设置的话，可以单击“更改设置”按钮，然后会设置窗口，我们可以根据自己的需要进行更改。可以设置是否需要暂时关闭防火墙的保护，

20、假如希望防火墙阻止所有程序，请勾选“阻止所有传入连接”复选框，此时系统将阻止所有主动连接本机的尝试，这个设置在连接到机场或旅馆的公用网络时比较实用，当然此时你仍然可以浏览大多数网页、发送和接收电子邮件、发送和接收即时消息。可以添加允许通过防火墙进行通信的例外控制程序，系统提供了网络共享服务、远程管理、SNMP等常用的网络服务程序，如果需要运行程序或服务，只要在列表中勾选相应项目就可以了。虽然列表中提供了一些常用的服务和网络程序，但更多的网络程序并没有在这个列表中显示出来，如果需要添加新的项目，可以单击“添加程序”按钮，在这里通过“浏览”按钮指定需要添加的程序。默认设置下，所添加的程序被设置为任

21、何计算机都可以使用，如果你需要进行适当的限制，那么可以单击“更改范围”按钮，在这里选择“仅我的网络(子网)(M)”或者“自定义列表”，设置完成后单击两次“确定”按钮返回“例外”选项卡。点击“添加端口”按钮，可以分别设定端口名称、端口号和采用的协议，例如FTP服务的端口号为21，采用的协议为TCP，设置之后能够开启FTP协议所使用的21端口，让FTP文件传输服务得以顺利运行。如果你的计算机上设置了多个网络连接，那么可以在“高级”选项卡选择希望Windows防火墙保护的某个连接，取消“本地连接”前面的对勾就可以了。如果希望将入站连接的防火墙规则恢复至初始安装时的状态，可以单击“还原为默认值”按钮，

22、然后会弹出一个提示框，确认后即可生效。5 结束语随着网络的广泛应用和普及，网络入侵行为、病毒破坏、垃圾邮件的处理和普遍存在的安全话题也成了人们日趋关注的焦点，做为网络边界的第一道防线，由最初的路由器设备配置访问策略进行安全防护，到形成专业独立的防火墙产品,已经充斥了整个网络世界。做为保护网络边界的安全产品，防火墙技术也已经逐步趋于成熟，并为广大用户所认可。但是防火墙所暴露的问题也慢慢的凸现出来，面对未来高端防火墙的发展趋势，无论是从用户还是产品供应商，都不可避免的推向了一种对新型防火墙技术需求的角度。 1、高性能的防火墙需求 高性能防火墙是未来发展的趋势，突破高性能的极限就是对防火墙硬件结构的

23、调整。而对于高端防火墙的技术实现，现今主要分为三种方式: 基于通用处理器的工控机架构、基于NP技术、基于ASIC芯片技术。工控机架构最大的优点是灵活性，但在大数据流量的网络环境中处理效率会受影响，所以在面对高性能这一方面，将面临淘汰和走进低端产品市场的趋势。NP技术是近年来的一个技术突破点，其优势在于网络底层数据的转发和处理，但如果要实现安全策略的控制和审核，特别是对于应用层的深度控制方面还需要大量的研发工作，相对于接口方面的开发难度，已经局限了它更深层次的发展。ASIC技术虽然开发难度大，但却能够保障系统的效率并很好地集成防火墙的功能，在今后网络安全防护的路途上，防火墙采用ASIC芯片技术将

24、要成为主导地位。 2、管理接口和SOC的整合 如果把信息安全技术看做是一个整体行为的话，那么面对防火墙未来的发展趋势，管理接口和SOC整合也必须考虑在内，毕竟安全是一个整体，而不是靠单一产品所能解决的。随着安全管理和安全运营工作的推行，SOC做为一种安全管理的解决方案已经得到大力推广。安全管理是为了更有效的把安全风险控制在可控的范围内，从而进行降低和避免信息安全事件的发生。而防火墙做为一种安全访问控制机制产品，要想在安全管理中起到有效的作用，必须考虑与SOC的整合问题，这就涉及到各个厂家对防火墙技术开发过程中的通用性和合作问题。 3、抗DoS能力 俗话说：道高一尺、魔高一丈，从近年来网络恶性攻击事件情况分析来看，解决DoS攻击也是防火墙必须要考虑的问题了。做为网络的边界设备，一旦发生争用带宽和大流量攻击事件后，往往最先失去抵抗能力的就是发生在这里。而提高防火墙抗击DoS能力的技术问题，也在缠绕着广大防火墙厂商。在新型技术不断更新的今天，各个厂家已经把矛头指向了解决DoS问题上来。利用ASIC芯片架构的防火墙，可以利用自身处理网络流量速度快的能力，来解决存在于这个问题上的攻击事件。但是，解决这个问题并不是