毕业论文(防火墙的技术与应用)范文

..PAGE...英文摘要毕业论文课题名称：防火墙的技术与应用作者：学号：系别：电子工程系专业：指导教师：20**年**月**日.....中文摘要防火墙的技术与应用摘要计算机网络安全已成为当今信息时代的关键技术。当前网络安全问题存在着计算机病毒，计算机黑客攻击等问题。网络安全问题有其先天的脆弱性，黑客攻击的严重性，网络杀手集团性和破坏手段的多无性，解决网络安全问题重要手段就是防火墙技术。走在中国特色的防火墙技术发展之路,是确保我国网络安全的有效途径。防火墙技术的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。本文重点介绍防火墙技术的基本概念和系统结构，讨论了实现防火墙的两种主要技术手段：一种是基于分组过滤技术(Packetfiltering)，它的代表是在筛选路由器上实现的防火墙功能；一种是基于代理技术(Proxy)，它的代表是在应用层网关上实现的防火墙功能。关键词：网络安全；防火墙；技术；功能.....英文摘要目录中文摘要 I1引言 12网络安全概述 13协议安全分析 23.1物理层安全 23.2网络层安全 23.3传输层安全 34网络安全组件 34.1防火墙 34.2扫描器 34.3防毒软件 34.4安全审计系统 34.5IDS 45网络安全的看法 45.1隐藏IP地址有两种方法 55.2更换管理及账户 56防火墙概述 56.1防火墙定义 56.2防火墙的功能 56.3防火墙技术 66.4防火墙系统的优点 76.5防火墙系统的局限性 77结论 8参考文献 9致 10.....1引言随着网络技术的普遍推广，电子商务的开展，实施和应用网络安全已经不再仅仅为科学研究人员和少数黑客所涉足，日益庞大的网络用户群同样需要掌握网络安全知识。由于在早期网络协议设计上对安全问题的忽视，以及在管理和使用上的无政府状态，逐渐使Internet自身安全受到严重威胁，与它有关的安全事故屡次发生，一些黑客把先进的计算机网络技术，当成一种犯罪工具，不仅影响了网络的稳定运行和用户的正常使用,造成许多经济损失,而且还会威胁到国家的安全，一些国家的被黑客破坏造成网络瘫痪。如何更有效地保护重要信息数据，提高计算机网络的安全性已经成为世界各国共同关注的话题，防火墙可以提供增强网络的安全性，是当今网络系统最基础设施，侧重干网络层安全，对于从事网络建设与管理工作而言，充分发挥防火墙的安全防护功能和网络管理功能至关重要。2网络安全概述网络安全是指网络系统的硬件、软件及其系统中的数据受到了保护，不因偶然的或恶意的原因而遭受到破坏、更改、泄露、系统正常地运行网络服务不中断，网络安全的定义从保护角度来看，是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害，从广义上来说，凡是涉及到计算机网络上信息的性，完整性、可用性、可控性、可审查性的相关技术和理论都是计算机网络安全的研究领域。网络安全的具体含义会随着“角度”的变化而变化，比如：从个人的角度来说，凡是涉及到个人隐私的信息在网络上传输时受到性完整性和真实性的保护避免其他人利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。网络安全应具有以下五个方面的特征：性：确保信息不暴露给未授权的实体或进程。完整性：只有得到授权的实体才能修改数据，并且能够判别出数据是否已被篡改。可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。可控性：可以控制授权围的信息流向及行为方式。可审查性：对出现的网络安全问题提供调查的依据和手段。从管理者角度说网络信息的访问读写操作受到保护和控制避免病毒侵入，非法存取、非法占用、非法控制等威胁，防止网络黑客的攻击，对安全部门来说，对于非法的有害的或涉及国家的信息进行过滤和防止，对社会造成危害，对国家造成巨大损失的机要信息的泄漏进行防止，做到杜绝。现在全球普遍存在缺乏网络安全的重要性，这导致大多数网络存在着先天性的安全漏洞和安全威胁，使用TCP/IP协议的网络所提供的网络服务都包含许多不安全的因素，存在着一些漏洞网络的普及使信息共享达到了一个新的层次，信息被暴露的机会大大增多，特别是Internet网络就是一个不设防的开放大系统，近年来，计算机犯罪案件也急剧上升，计算机犯罪是商业犯罪中最大的犯罪类型之一，每年计算机犯罪造成的经济损失高达50亿美元，在信息安全的发展过程中企业和政府的的要求有一致的地方，也不有一致的地方，企业注重于信息和网络安全的可靠性，政府注重于信息和网络安全的可管性和可控性，在发展中国家，对信息安全的投入还满足不了信息安全的需求，同时投入也常常被挪用和借用。3协议安全分析3.1物理层安全物理层安全威胁主要指网络周边环境和物理特性引起的网络设备和线路的不可用而造成的网络系统的不可用，如：设备老化、设备被盗、意外故障，设备损毁等。由于以太局域网中采用广播方式，因此在某个广播域中利用嗅探器可以在设定的侦听端口侦听到所有的信息包，并且对信息包进分析，那么本广播域的信息传递都会暴露无遗，所以需将两个网络从物理上隔断同时保证在逻辑上两个网络能够连通。3.2网络层安全网络层的安全威胁主要有两类：IP欺骗和ICMP攻击。IP欺骗技术的一种实现方法是把源IP地址改成一个错误的IP地址，而接收主机不能判断源IP地址的正确性，由此形成欺骗，另外一种方法是利用源路由IP数据包让它仅仅被用于一个特殊的路径中传输，这种数据包被用于攻击防火墙。ICMP在IP层检查错误和其他条件。ICMP信息、对于判断网络状况非常有用，例如：当PING一台主机想看它是否运去时，就产生了一条ICMP信息。远程主机将用它自己的ICMP信息对PING请求作出回应，这种过程在网络中普遍存在。然而，ICMP信息能够被用于攻击远程网络或主机，利用ICMP来消耗带宽从而有效地摧毁站点。3.3传输层安全具体的传输层安全措施要取决于具体的协议，传输层安全协议在TCP的顶部提供了如身份验证，完整性检验以及性保证这样的安全服务，传输层安全需要为一个连接维持相应的场景，它是基于可靠的传输协议TCP的。由于安全机制与特定的传输协议有关所以像密钥管理这样的安全服务可为每种传输协议重复使用。现在，应用层安全已被分解成网络层、操作系统、数据库的安全，由于应用系统复杂多样不存在一种安全技术能够完全解决一些特殊应用系统的安全问题。4网络安全组件网络的整体安全是由安全操作系统、应用系统、防火墙、网络监控安全扫描、信息审计、通信加密、灾难恢复、网络反病毒等多个安全组件共同组成的，每一个单独的组件只能完成其中部分功能，而不能完成全部功能。4.1防火墙防火墙是指在两个网络之间加强访问控制的一整套装置，是软件和硬件的组合体，通常被比喻为网络安全的大门，在部网和外部网之间构造一个保护层，用来鉴别什么样的数据包可以进出企业部网。防火墙可以阻止基于IP的攻击和非信任地址的访问，但无法阻止基于数据容的黑客攻击和病毒入侵，同时也无法控制部网络之间的攻击行为。4.2扫描器扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用扫描器可以自动发现系统的安全缺陷，扫描器可以分为主机扫描器和网络扫描器，但是扫描器无法发现正在进行的入侵行为，而且它也可以被攻击者加以利用。4.3防毒软件防毒软件可以实时检测，清除各种已知病毒，具有一定的对未知病毒的预测能力利用代码分析等手段能够检查出最新病毒。在应用对网络入侵方面，它可以查杀特洛伊木马和蠕虫等病毒程序，但不能有效阻止基于网络的攻击行为。4.4安全审计系统安全审计系统对网络行为和主机操作提供全面详实的记录，其目的是测试安全策略是否完善，证实安全策略的一致性，方便用户分析与审查事故原因，协助攻击的分析收集证据以用于起诉攻击者。4.5IDS由于防火墙所暴露出来的不足，引发人们对IDS（入侵检测系统）技术的研究和开发。它被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下对网络进行监测，从而提供对部攻击，外部攻击和误操作的实时保护。IDS的主要功能：监控、分析用户和系统的活动。核查系统配置和漏洞。评估关键系统和数据文件的完整性。识别攻击的活动模式，并向网管人员报警。对异常活动的统计分析。操作系统审计跟踪管理，识别违反政策的用户活动。评估重要系统和数据文件的完整性。IDS可分为主机型和网络型两种：主机型入侵检测系统，主要用于保护运行关键应用的服务器，它通过监视与分析主机的审计记录和日志文件来检测入侵。网络型入侵检测系统主要用于实时监控网络关键路径信息，它通过侦听网络上的所有分组来采集数据、分析可疑现象。网络入侵检测系统通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务。由于每个网络安全组件自身的限制，不可能把入侵检测和防护做到一应俱全所以不能指望通过使用某一种网络安全产品实现绝对的安全，只有根据具体的网络环境，有机整合这些网络安全组件才能最大限度地满足用户的安全需求，在这个通信发达的时代，网络安全组件是不可缺少的，用户的安全要得到保障那就使用网络安全组件吧！它能给你带来意想不到的效果。5网络安全的看法随着互联网在家庭中的普及，家庭网络安全越来越受欢迎。家庭网络安全主要表现在两个方面，一是个人电脑中毒，二是被非法用户入侵。个人以为可以从“”和“外”两个方面来解决。从的方面来讲“”指用户本身，防止由于自己的疏忽而造成的损失。主要包括安装一些必要的软件，主要是防火墙、杀毒、防木马等安全软件。要有一个安全的工作习惯。积极备份。积极防。打好补丁。这几种方法只是网络安全方面常用的方法，实际上保证安全从“”的方面来说还包括很多方面，如操作不当造成软硬件损坏等。当然这些就不仅仅是网络安全方面了，实际上只要用户在以上所说的五个方面做得不错的话，基本上网络安全方面可以放60%以上的心了。只不过许多用户在这些方面一般不太在意结果造成数据的损失。从外的方面来讲“外”指由外界而来的攻击，一般指黑客攻击。要防止黑客的攻击，我介绍几种简单容易上手同时效果也不错的方法供大家参考。5.1隐藏IP地址有两种方法代理服务器的原理是在客户机和远程服务器之间架设一个“中转站”，当客户机向远程服务器提出服务要求后，代理服务器首先截取用户的请求，然后代理服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。使用代理服务器后，其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。二是使用一些隐藏IP的软件，如赛门铁克公司的NortonInternetsecurity,不论黑客使用哪一个IP扫描工具，都会告诉你根本没有这个IP地址，黑客就无法攻击你的计算机了。5.2更换管理及账户Administrator账户拥有最高的系统权限，一旦该账户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator账户的密码，所以我们要重新配置Administrator账户首先为Administrator账户设置一个强大复杂的密码，然后我们重命名Administrator账户再创建一个没有管理员权限，也就在一定程度上减少了危险。在WINDOWSXP系统中打开控制面板，单击“用户/更改”，弹出“用户”窗口，再点“禁用来宾账户”即可。6防火墙概述6.1防火墙定义在计算机网络中，防火墙是指一种将部网和公众访问网分开的方法，它实际是一种隔离技术，它允许“可以访问”的人和数据进入网络，同时将“不允许访问”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问网络，如果不通过防火墙，人们就无法访问Internet，也无法和其它人进行通信，它具有较强的抗攻击能力，提供信息安全服务，实现网络和信息安全的基础设施。6.2防火墙的功能防火墙的访问控制功能；访问控制功能是防火墙设备的最基本功能，其作用就是对经过防火墙的所有通信进行连通或阻断的安全控制，以实现连接到防火墙上的各个网段的边界安全性，为实施访问控制功能，可以根据网络地址、网络协议以及TCPUDP端口进行过滤；可以实施简单的容过滤，如电子附件的文件类型等可以将IP与MAC地址绑定以防止盗用IP的现象发生，可以对上网时间段进行控制，不同时段执行不同的安全策略。防火墙的访问控制采用两种基本策略，即“黑”策略和“白”策略，指除了规则允许的访问，其他都是禁止的。支持一定的安全策略，过滤掉不安全服务和非法用户。利用网络地址转换技术将有限的IP地址动态或静态地址与部的IP地址对应起来，用来缓解地址空间短缺的问题。可以连接到一个单独的网络上，在物理上与部网络隔开并部署WWW服务器和FTP服务器，作为向外部外发布部信息的地点。防火墙支持基于用户身份的网络访问控制，不仅具有置的用户管理及认证接口，同时也支持用户进行外部身份认证。防火墙可以根据用户认证的情况动态地调整安全策略实现用户对网络的授权访问。6.3防火墙技术按照实现技术分类防火墙的基本类型有：包过滤型、代理服务型和状态包过滤型。包过滤技术；包过滤通常安装在路由器上，并且大多数商用路由器都提供了包过滤的功能。包过滤是一种安全筛选机制，它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。包过滤是一种通用有效的安全手段。它在网络层和传输层起作用。它根据分组包的源宿地址端口号及协议类型，来确定是否允许分组包通过。包过滤的优点是它对于用户来说是透明的，处理速度快且易于维护，通常作为第一道防线。代理服务技术；代理服务系统一般安装并运行在双宿主机上，使外部网络无法了解部网络的拓扑，比包过滤防火墙安全，由于安全性比较高，所以是使用较多的防火墙技术。代理服务软件运行在一台主机上构成代理服务器，负责截客户的请求。根据安全规则判断这个请否允许，如果允许才能传给真正的防火墙。代理系统是客户机和真实服务器之间的中介，完全控制客户机和真实服务器之间的流量并对流量情况加以记录，它具有灵活性和安全性，但可能影响网络的性能对用户透明，且对每一个服务器都要设计一个代理模块，建立对应的网关层实现起来比较复杂。代理服务技术的优点：1.提供的安全级别高于包过滤型防火墙。2.代理服务型防火墙可以配置成惟一的可被外部看见的主机，以保护部主机免受外部攻击。3.可能强制执行用户认证。4.代理工作在客户机和真实服务器之间，完全控制会话，所以能提供较详细的审计日志。状态检测技术；状态检测防火墙在网络层由一个检测模块截获数据包，并抽取与应用层状态有关的信息，并以此作为依据决定对该连接是接受还是拒绝。检测模块维护一个动态的状态信息表，并对后续的数据包进行检查。一旦发现任何连接的参数有意外的变化该连接就被中止。这种技术提供了高度安全的解决方案，同时也具有较好的适应性和可扩展性。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性不要求每个被访问的应用都有代理，状态检测模块能够理解各种协议和应用以支持各种最新的应用服务。状态检测模块截获分析并处理所有试图通过防火墙的数据包，保证网络的高度安全和数据完整网络和各种应用的通信状态动态存储更新到动态状态表中，结合预定义好的规则实现安全策略，状态检测不仅仅对网络层检测而对OSI七层模型的所有层进行检测，它与前面两种防火墙技术不同，当用户访问请求到达网关的操作系统前，状态监器要抽取有关数据进行分析，结合网络配置和安全规定做出接纳拒绝，身份认证，报警或给该通信加密等处理动作。状态检测技术的特点：安全性、高效性、可伸缩性和易扩展性。6.4防火墙系统的优点可以对网络安全进行集中控制和管理；防火墙将受信任的专用网与不受信任的公用网隔离开来，将承担风险的围从整个部网络缩小到组成防火墙系统的一台或几台主机上在结构上形成了一个控制中心，大大加强了网络安全性，并且简化了网络管理。由于防火墙在结构上的特殊位置，使其方便地提供了监视管理与审计网