版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
PAGEPAGE46毕业论文题目:防火墙技术
毕业论文(设计)原创性声明本人所呈交的毕业论文(设计)是我在导师的指导下进行的研究工作及取得的研究成果。据我所知,除文中已经注明引用的内容外,本论文(设计)不包含其他个人已经发表或撰写过的研究成果。对本论文(设计)的研究做出重要贡献的个人和集体,均已在文中作了明确说明并表示谢意。作者签名:日期:毕业论文(设计)授权使用说明本论文(设计)作者完全了解**学院有关保留、使用毕业论文(设计)的规定,学校有权保留论文(设计)并向相关部门送交论文(设计)的电子版和纸质版。有权将论文(设计)用于非赢利目的的少量复制并允许论文(设计)进入学校图书馆被查阅。学校可以公布论文(设计)的全部或部分内容。保密的论文(设计)在解密后适用本规定。
作者签名:指导教师签名:日期:日期:
注意事项1.设计(论文)的内容包括:1)封面(按教务处制定的标准封面格式制作)2)原创性声明3)中文摘要(300字左右)、关键词4)外文摘要、关键词5)目次页(附件不统一编入)6)论文主体部分:引言(或绪论)、正文、结论7)参考文献8)致谢9)附录(对论文支持必要时)2.论文字数要求:理工类设计(论文)正文字数不少于1万字(不包括图纸、程序清单等),文科类论文正文字数不少于1.2万字。3.附件包括:任务书、开题报告、外文译文、译文原文(复印件)。4.文字、图表要求:1)文字通顺,语言流畅,书写字迹工整,打印字体及大小符合要求,无错别字,不准请他人代写2)工程设计类题目的图纸,要求部分用尺规绘制,部分用计算机绘制,所有图纸应符合国家技术标准规范。图表整洁,布局合理,文字注释必须使用工程字书写,不准用徒手画3)毕业论文须用A4单面打印,论文50页以上的双面打印4)图表应绘制于无格子的页面上5)软件工程类课题应有程序清单,并提供电子文档5.装订顺序1)设计(论文)2)附件:按照任务书、开题报告、外文译文、译文原文(复印件)次序装订3)其它摘要因特网的迅猛发展给人们的生活带来了极大的方便,但同时因特网也面临着空前的威胁。因此,如何使用有效可行的方法使网络危险降到人们可接受的范围之内越来越受到人们的关注。而如何实施防范策略,首先取决于当前系统的安全性。所以对网络安全的各独立元素——防火墙、漏洞扫描、入侵检测和反病毒等进行风险评估是很有必要的。防火墙技术作为时下比较成熟的一种网络安全技术,其安全性直接关系到用户的切身利益。针对网络安全独立元素——防火墙技术,通过对防火墙日志文件的分析,设计相应的数学模型和软件雏形,采用打分制的方法,判断系统的安全等级,实现对目标网络的网络安全风险评估,为提高系统的安全性提供科学依据。关键词:网络安全,防火墙,防范策略,发展趋势AbstractTherapiddevelopmentoftheInternetbroughtgreatconvenienceinpeople'slives,butatthesametime,theInternetisalsofacedwithanunprecedentedthreat.Therefore,howtouseeffectiveandfeasiblewaysofmakingthenetworkcanbedangeroustothepeoplewithinthescopeofthereceiverhavetakenmoreandmorepeople'sattention.Andhowtoimplementpreventionstrategiesdependsfirstandforemostonthesecurityofthecurrentsystem.Therefore,theindependentnetworksecurityelements-firewall,vulnerabilityscanning,intrusiondetectionandanti-virusriskassessmentisnecessary.Firewallasamorematurecurrentnetworksecuritytechnologies,theirsafetydirectlyrelatedtotheuser'spersonalinterests.Forindependentnetworksecurityelements-firewalltechnologythroughthefirewalllogfileanalysis,apointssystemthemeanstoachievethepurposeofthemainframenetworksecurityriskassessment,designofthemathematicalmodelandprototypesoftware,andwhatthesystem'ssecuritylevel,Toenhancethesecurityofthesystemtoprovideascientificbasis.Keywords:NetworkSecurity,firewall,preventionStrategy,developmenttendency目录中文摘要………………..Ⅱ英文摘要Ⅲ目录1第一章绪论41.1研究背景41.2研究目的4第二章网络安全72.1网络安全问题72..1.1网络安全面临的主要威胁………….….72.1.2影响网络安全的因素……82.2网络安全措施82.2.1完善计算机安全立法…………………92.2.2网络安全的关键技术……………...……92.3制定合理的网络管理措施10第三章防火墙概述………...…………...…..123.1防火墙概念123.1.1传统防火墙介绍133.1.2智能防火墙简介………..143.2防火墙的功能153.2.1防火墙的主要功能………………….….153.2.2入侵检测功能…………..163.2.3虚拟专网功能…………….….………….183.2.4其他功能……..……183.3防火墙的原理及分类183.3.1包过滤防火墙……………183.3.2应用级代理防火墙………193.3.3代理服务型防火墙….………...…………203.3.4复合型防火墙……………213.4防火墙包过滤技术213.4.1数据表结构………………….………223.4.2传统包过滤技术…………….……...…..233.4.3动态包过滤……………..253.4.4深度包检测……………..263.4.5l流过滤技术…………….273.5防火墙体系结构…………….303.5.1双宿主主机防火墙…………….303.5.2主机屏蔽防火墙…………323.5.3子网屏蔽防火墙…………33第四章防火墙的配置…………...…….……354.1硬件连接与实施……………..364.2防火墙的特色配置………...………………..364.3防火墙的配置与实施……..………………...37第五章防火墙发展趋势…………...………405.1防火墙技术的发展趋势……..415.2防火墙的体系结构发展趋势………………..424.3防火墙的系统管理发展趋势………………..42结束语………….…..43参考文献…………..44致谢………………….45第一章绪论1.1研究背景随着互联网的普及和发展,尤其是Internet的广泛使用,使计算机应用更加广泛与深入。同时,我们不得不注意到,网络虽然功能强大,也有其脆弱易受到攻击的一面。据美国FBI统计,美国每年因网络安全问题所造成的经济损失高达75亿美元,而全求平均每20秒钟就发生一起Internet计算机侵入事件。在我国,每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时,对网络安全问题也决不能忽视。如何建立比较安全的网络体系,值得我们关注研究。1.2研究目的为了解决互联网时代个人网络安全的问题,近年来新兴了防火墙技术[2]。防火墙具有很强的实用性和针对性,它为个人上网用户提供了完整的网络安全解决方案,可以有效地控制个人电脑用户信息在互联网上的收发。用户可以根据自己的需要,通过设定一些参数,从而达到控制本机与互联网之间的信息交流阻止恶性信息对本机的攻击,比如ICMPnood攻击、聊天室炸弹、木马信息破译并修改邮件密码等等。而且防火墙能够实时记录其它系统试图对本机系统的访问,使计算机在连接到互联网的时候避免受到网络攻击和资料泄漏的安全威胁。防火墙可以保护人们在网上浏览时免受黑客的攻击,实时防范网络黑客的侵袭,还可以根据自己的需要创建防火墙规则,控制互联网到PC以及PC到互联网的所有连接,并屏蔽入侵企图。防火可以有效地阻截各种恶意攻击、保护信息的安全;信息泄漏拦截保证安全地浏览网页、遏制邮件病毒的蔓延;邮件内容检测可以实时监视邮件系统,阻挡一切针对硬盘的恶意活动。个人防火墙就是在单机Windows系统上,采取一些安全防护措施,使得本机的息得到一定的保护。个人防火墙是面向单机操作系统的一种小型安全防护软件,按一定的规则对TCP,UDP,ICMP和IGMP等报文进行过滤,对网络的信息流和系统进程进行监控,防止一些恶意的攻击。目前市场上大多数的防火墙产品仅仅是网关的,虽然它们的功能相当强大,但由于它们基于下述的假设:内部网是安全可靠的,所有的威胁都来自网外。因此,他们防外不防内,难以实现对企业内部局域网内主之间的安全通信,也不能很好的解决每一个拨号上网用户所在主机的安全问题,而多数个人上网之时,并没有置身于得到防护的安全网络内部。个人上网用户多使用Windows操作系统,而Windows操作系统,特别是WindowsXP系统,本身的安全性就不高。各种Windows漏洞不断被公布,对主机的攻击也越来越多。一般都是利用操作系统设计的安全漏洞和通信协议的安全漏洞来实现攻击。如假冒IP包对通信双方进行欺骗:对主机大量发送正数据包[3]进行轰炸攻击,使之际崩溃;以及蓝屏攻击等。因此,为了保护主机的安全通信,研制有效的个人防火墙技术很有必要。第二章网络安全2.1网络安全问题安全,通常是指只有被授权的人才能使用其相应资源的一种机制。我国对于计算机安全的定义是:“计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、显露,系统能连续正常运行。”从技术讲,计算机安全分为3种:1)实体的安全。它保证硬件和软件本身的安全。2)运行环境的安全性。它保证计算机能在良好的环境里持续工作。3)信息的安全性。它保障信息不会被非法阅读、修改和泄漏。随着网络的发展,计算机的安全问题也延伸到了计算机网络。2..1.1网络安全面临的主要威胁一般认为,计算机网络系统的安全威胁主要来自计算机病毒、黑客的攻击和拒绝服务攻击三个方面。1)计算机病毒的侵袭。当前,活性病毒达14000多种,计算机病毒侵入网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪。2)黑客侵袭。即黑客非法进入网络非法使用网络资源。例如通过隐蔽通道进行非法活动;采用匿名用户访问进行攻击;通过网络监听获取网上用户账号和密码;非法获取网上传输的数据;突破防火墙等。3)拒绝服务攻击。例如“点在邮件炸弹”,它的表现形式是用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行。严重时会使系统关机,网络瘫痪。具体讲,网络系统面临的安全威胁主要有如下表现:身份窃取、非授权访问、数据窃取、拒绝服务、病毒与恶意攻击、冒充合法用户……等。2.1.2影响网络安全的因素1)单机安全购买单机时,型号的选择;计算机的运行环境(电压、湿度、防尘条件、强电磁场以及自然灾害等);计算机的操作……等等,这些都是影响单机安全性的因素。2)网络安全影响网络安全的因素有:节点的安全、数据的安全(保存和传输方面)、文件的安全等。2.2网络安全措施网络信息安全涉及方方面面的问题,是一个复杂的系统。一个完整的网络信息安全体系至少应包括三类措施:一是法律政策、规章制度以及安全教育等外部软环境。二是技术方面,如信息加密存储传输、身份认证、防火墙技术、网络防毒等。三是管理措施,包括技术与社会措施。主要措施有:提供实时改变安全策略的能力、实时监控企业安全状态、对现有的安全系统实施漏洞检查等,以防患于未然。这三者缺一不可,其中,法律政策是安全的基石,技术是安全的保障,管理和审计是安全的防线。2.2.1完善计算机安全立法我国先后出台的有关网络安全管理的规定和条例。但目前,在这方面的立法还远不能适应形势发展的需要,应该在对控制计算机犯罪的国内外立法评价的基础上,完善我国计算机犯罪立法,以便为确保我国计算机信息网络健康有序的发展提供强有力的保障。2.2.2网络安全的关键技术(1)数据加密加密就是把明文变成密文,从而使未被授权的人看不懂它。有两种主要的加密类型:私匙加密和公匙加密。(2)认证对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。(3)防火墙技术防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。目前,防火墙采取的技术,主要是包过滤、应用网关、子网屏蔽等。但是,防火墙技术在网络安全防护方面也存在一些不足:防火墙不能防止内部攻击防火墙不能取代杀毒软件;防火墙不易防止反弹端口木马攻击等。(4)检测系统入侵检测技术是网络安全研究的一个热点,是一种积极主动的安全防护技术,提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之前拦截相应入侵。随着时代的发展,入侵检测技术将朝着三个方向发展:分布式入侵检测、智能化入侵检测和全面的安全防御方案。(5)防病毒技术随着计算机技术的发展,计算机病毒变得越来越复杂和高级,计算机病毒防范不仅仅是一个产品、一个策略或一个制度,它是一个汇集了硬件、软件、网络、以及它们之间相互关系和接口的综合系统。(6)文件系统安全在网络操作系统中,权限是一个关键性的概念,因为访问控制实现在两个方面:本地和远程。建立文件权限的时候,必须在Windows2000中首先实行新技术文件系统(NewTechnologyFileSystem,NTFS)。一旦实现了NTFS,你可以使用Windows资源管理器在文件和文件夹上设置用户级别的权限。你需要了解可以分配什么样的权限,还有日常活动期间一些规则是处理权限的。Windows2000操作系统允许建立复杂的文件和文件夹权限,你可以完成必要的访问控制。2.3制定合理的网络管理措施(1)加强网络用户及有关人员的安全意识、职业道德和事业心、责任心的培养教育以及相关技术培训。(2)建立完善的安全管理体制和制度,以起到对管理人员和操作人员鼓励和监督的作用。(3)管理措施要标准化、规范化和科学化。第三章防火墙概述随着Internet的迅速发展,网络应用涉及到越来越多的领域,网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题,使得网络安全问题越来越突出。因此,保护网络资源不被非授权访问,阻止病毒的传播感染显得尤为重要。就目前而言,对于局部网络的保护,防火墙仍然不失为一种有效的手段,防火墙技术主要分为包过滤和应用代理两类。其中包过滤作为最早发展起来的一种技术,其应用非常广泛。3.1防火墙的概念防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。[4]防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙提供信息安全服务,是实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网络和互联网之间的任何活动,保证了内部网络的安全。3.1.1传统防火墙介绍目前的防火墙技术无论从技术上还是从产品发展历程上,都经历了五个发展历程。图1表示了防火墙技术的简单发展历史。图1第一代防火墙第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packetfilter)技术。第二代、第三代防火墙1989年,贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。第四代防火墙1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamicpacketfilter)技术的第四代防火墙,后来演变为目前所说的状态监视(Statefulinspection)技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙1998年,NAI公司推出了一种自适应代理(Adaptiveproxy)技术,并在其产品GauntletFirewallforNT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。[5]但传统的防火墙并没有解决目前网络中主要的安全问题。目前网络安全的三大主要问题是:以拒绝访问(DDOS)为主要代表的网络攻击,以蠕虫(Worm)为主要代表的病毒传播和以垃圾电子邮件(SPAM)为代表的内容控制。这三大安全问题占据网络安全问题九成以上。而这三大问题,传统防火墙都无能为力。主要有以下三个原因:一是传统防火墙的计算能力的限制。传统的防火墙是以高强度的检查为代价,检查的强度越高,计算的代价越大。二是传统防火墙的访问控制机制是一个简单的过滤机制。它是一个简单的条件过滤器,不具有智能功能,无法检测复杂的攻击。三是传统的防火墙无法区分识别善意和恶意的行为。该特征决定了传统的防火墙无法解决恶意的攻击行为。现在防火墙正在向分布、智能的方向发展,其中智能防火墙可以很好的解决上面的问题。3.1.2智能防火墙简介智能防火墙[6]是相对传统的防火墙而言的,从技术特征上智能防火墙是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制。由于这些方法多是人工智能学科采用的方法,因此,又称为智能防火墙。3.2防火墙的功能3.2.1防火墙的主要功能1.包过滤。包过滤是一种网络的数据安全保护机制,它可用来控制流出和流入网络的数据,它通常由定义的各条数据安全规则所组成,防火墙设置可基于源地址、源端口、目的地址、目的端口、协议和时间;可根据地址簿进行设置规则。2.地址转换。网络地址变换是将内部网络或外部网络的IP地址转换,可分为源地址转换SourceNAT(SNAT)和目的地址转换DestinationNAT(DNAT)。SNAT用于对内部网络地址进行转换,对外部网络隐藏起内部网络的结构,避免受到来自外部其他网络的非授权访问或恶意攻击。并将有限的IP地址动态或静态的与内部IP地址对应起来,用来缓解地址空间的短缺问题,节省资源,降低成本。DNAT主要用于外网主机访问内网主机。3.认证和应用代理。认证指防火墙对访问网络者合法身分的确定。代理指防火墙内置用户认证数据库;提供HTTP、FTP和SMTP代理功能,并可对这三种协议进行访问控制;同时支持URL过滤功能。4.透明和路由指防火墙将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问者对专用网络的非法访问;防火墙还支持路由方式,提供静态路由功能,支持内部多个子网之间的安全访问。3.2.2入侵检测功能入侵检测技术[7]就是一种主动保护自己免受黑客攻击的一种网络安全技术,包括以下内容:1.反端口扫描。端口扫描就是指黑客通过远程端口扫描的工具,从中发现主机的哪些非常用端口是打开的;是否支持FTP、Web服务;且FTP服务是否支持“匿名”,以及IIS版本,是否有可以被成功攻破的IIS漏洞,进而对内部网络的主机进行攻击。顾名思义反端口扫描就是防范端口扫描的方法,目前常用的方法有:关闭闲置和有潜在危险的端口;检查各端口,有端口扫描的症状时,立即屏蔽该端口,多数防火墙设备采用的都是这种反端口扫描方式。2.检测拒绝服务攻击。拒绝服务(DoS)攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应,其攻击方式有很多种;而分布式的拒绝服务攻击(DDoS)攻击手段则是在传统的DoS攻击基础之上产生的一类攻击方式,分布式的拒绝服务攻击(DDoS)。其原理很简单,就是利用更多的受控主机同时发起进攻,以比DoS更大的规模(或者说以更高于受攻主机处理能力的进攻能力)来进攻受害者。现在的防火墙设备通常都可检测Synflod、Land、PingofDeath、TearDrop、ICMPflood和UDPflod等多种DOS/DDOS攻击。3.检测多种缓冲区溢出攻击(BufferOverflow)。缓冲区溢出(BufferOverflow)攻击指利用软件的弱点将任意数据添加进某个程序中,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作,防火墙设备可检测对FTP、Telnet、SSH、RPC和SMTP等服务的远程堆栈溢出入侵。4.检测CGI/IIS服务器入侵。CGI就是CommonGatewayInter——face的简称。是WorldWideWeb主机和CGI程序间传输资讯的定义。IIS就是InternetInformationserver的简称,也就是微软的Internet信息服务器。防火墙设备可检测包括针对Unicode、ASP源码泄漏、PHF、NPH、pfdisPlay.cgi等已知上百种的有安全隐患的CGI/IIS进行的探测和攻击方式。5.检测后门、木马及其网络蠕虫。后门程序是指采用某种方法定义出一个特殊的端口并依靠某种程序在机器启动之前自动加载到内存,强行控制机器打开那个特殊的端口的程序。木马程序的全称是“特洛依木马”,它们是指寻找后门、窃取计算机的密码的一类程序。网络蠕虫病毒分为2类,一种是面向企业用户和局域网而一言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网造成瘫痪性的后果,以“红色代码”,“尼姆达”,以及最新的“sql蠕虫王”为代表。另外一种是针对个人用户的,通过网络(主要是电子邮件,恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒,求职信病毒为例。防火墙设备可检测试图穿透防火墙系统的木马控制端和客户端程序;检测试图穿透防火墙系统的蠕虫程序。3.2.3虚拟专网功能指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。VPN的基本原理是通过IP包的封装及加密、认证等手段,从而达到安全的目的。3.2.4其他功能1.IP地址/MAC地址绑定。可支持任一网络接口的IP地址和MAC地址的绑定,从而禁止用户随意修改IP地址。2.审计。要求对使用身份标识和认证的机制,文件的创建,修改,系统管理的所有操作以及其他有关安全事件进行记录,以便系统管理员进行安全跟踪。一般防火墙设备可以提供三种日志审计功能:系统管理日志、流量日志和入侵日志。3.特殊站点封禁。内置特殊站点数据库,用户可选择是否封禁色情、反动和暴力等特殊站点。3.3防火墙的原理及分类国际计算机安全委员会ICSA将防火墙分成三大类:包过滤防火墙,应用级代理服务器[8]以及状态包检测防火墙。3.3.1包过滤防火墙顾名思义,包过滤防火墙[9]就是把接收到的每个数据包同预先设定的包过滤规则相比较,从而决定是否阻塞或通过。过滤规则是基于网络层IP包包头信息的比较。包过滤防火墙工作在网络层,IP包的包头中包含源、目的IP地址,封装协议类型(TCP,UDP,ICMP或IPTunnel),TCP/UDP端口号,ICMP消息类型,TCP包头中的ACK等等。如果接收的数据包与允许转发的规则相匹配,则数据包按正常情况处理;如果与拒绝转发的规则相匹配,则防火墙丢弃数据包;如果没有匹配规则,则按缺省情况处理。包过滤防火墙是速度最快的防火墙,这是因为它处于网络层,并且只是粗略的检查连接的正确性,所以在一般的传统路由器上就可以实现,对用户来说都是透明的。但是它的安全程度较低,很容易暴露内部网络,使之遭受攻击。例如,HTTP。通常是使用80端口。如果公司的安全策略允许内部员工访问网站,包过滤防火墙可能设置允所有80端口的连接通过,这时,意识到这一漏洞的外部人员可以在没有被认证的情况下进入私有网络。包过滤防火墙的维护比较困难,定义过滤规则也比较复杂,因为任何一条过滤规则的不完善都会给网络黑客造成可乘之机。同时,包过滤防火墙一般无法提供完善的日志。3.3.2应用级代理防火墙应用级代理技术通过在OSI的最高层检查每一个IP包,从而实现安全策略。代理技术与包过滤技术完全不同,包过滤技术在网络层控制所有的信息流,而代理技术一直处理到应用层,在应用层实现防火墙功能。它的代理功能,就是在防火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。这一内建代理机制提供额外的安全,这是因为它将内部和外部网络隔离开来,使网络外部的黑客在防火墙内部网络上进行探测变得困难,更重要的是能够让网络管理员对网络服务进行全面的控制。但是,这将花费更多的处理时间,并且由于代理防火墙支持的应用有限,每一种应用都需要安装和配置不同的应用代理程序。比如访问WEB站点的HTTP,用于文件传输的FTP,用于E一MAIL的SMTP/POP3等等。如果某种应用没有安装代理程序,那么该项服务就不被支持并且不能通过防火墙进行转发;同时升级一种应用时,相应的代理程序也必须同时升级。3.3.3代理服务型防火墙代理服务(ProxyService)也称链路级网关或TCP通道(CircuitLevelGatewaysorTCPTunnels),也有人将它归于应用级网关一类。它是针对数据包过滤[10]和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层,掌握着应用系统中可用作安全决策的全部信息。3.3.4复合型防火墙由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法结合起来,形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主机防火墙体系结构,在该结构中,分组过滤路由器或防火墙与Internet相连,同时一个堡垒机安装在内部网络,通过在分组过滤器路由器或防火墙上过滤规则的设置,使堡垒机成为Internet上其他节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构:堡垒机放在一个子网内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中,堡垒机和分组过滤路由器共同构成了整个防火墙的安全基础。3.4防火墙包过滤技术随着Internet的迅速发展,网络应用涉及到越来越多的领域,网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题,使得网络安全问题越来越突出。因此,保护网络资源不被非授权访问,阻止病毒的传播感染显得尤为重要。就目前而言,对于局部网络的保护,防火墙仍然不失为一种有效的手段,防火墙技术主要分为包过滤和应用代理两类。其中包过滤作为最早发展起来的一种技术,其应用非常广泛。所谓包过滤,就是对流经网络防火墙的所有数据包逐个检查,并依据所制定的安全策略来决定数据包是通过还是不通过。包过滤最主要的优点在于其速度与透明性。也正是由于此。包过滤技术历经发展演变而未被淘汰。由于其主要是对数据包的过滤操作,所以数据包结构是包过滤技术的基础。考虑包过滤技术的发展过程,可以认为包过滤的核心问题就是如何充分利用数据包中各个字段的信息,并结合安全策略来完成防火墙的功能[11]-[15]3.4.1数据表结构当应用程序用TCP传送数据时,数据被送入协议栈中,然后逐个通过每一层直到被当作一串比特流送入网络。其中每一层对接收到的数据都要增加一些首部信息。TCP传给IP的数据单元称作TCP报文段(TCPSegment);IP传给网络接口层的数据单元称作IP数据报(IPDatagram);通过以太网传输的比特流称作帧(Frame)。对于进防火墙的数据包,顺序正好与此相反,头部信息逐层剥掉。IP,TCP首部格式如表2-1表2-2所示。表2-1IP首部格式版本首部长服务类型总长度标识标志片偏移生存时间协议首部校验和源IP地址目的IP地址选项表2-2TCP首部格式源端口号目的端口号序列号确认号首部长保留LRCTBLPBHRCTCJHHJR窗口大小TCP校验和紧急指针选项对于帧的头部信息主要是源/目的主机的MAC地址;IP数据报头部信息主要是源/目的主机的IP地址;TCP头部的主要字段包括源/目的端口、发送及确认序号、状态标识等。理论上讲,数据包所有头部信息以及有效载荷都可以作为判断包通过与否的依据,但是在实际情况中,包过滤技术上的问题主要是选取哪些字段信息,以及如何有效地利用这些字段信息并结合访问控制列表来执行包过滤操作,并尽可能提高安全控制力度。3.4.2传统包过滤技术传统包过滤技术,大多是在IP层实现,它只是简单的对当前正在通过的单一数据包进行检测,查看源/目的IP地址、端口号以及协议类型(UDP/TCP)等,结合访问控制规则对数据包实施有选择的通过。这种技术实现简单,处理速度快,对应用透明,但是它存在的问题也很多,主要表现有:1.所有可能会用到的端口都必须静态放开。若允许建立HTTP连接,就需要开放1024以上所有端口,这无疑增加了被攻击的可能性。2.不能对数据传输状态进行判断。如接收到一个ACK数据包,就认为这是一个己建立的连接,这就导致许多安全隐患,一些恶意扫描和拒绝服务攻击就是利用了这个缺陷。3.无法过滤审核数据包上层的内容。即使通过防火墙的数据包有攻击性或包含病毒代码,也无法进行控制和阻断。综合上述问题,传统包过滤技术的缺陷在于:(l)缺乏状态检测能力;(2)缺乏应用防御能力。(3)只对当前正在通过的单一数据包进行检测,而没有考虑前后数据包之间的联系;(4)只检查包头信息,而没有深入检测数据包的有效载荷。传统包过滤技术必须发展进化,在继承其优点的前提下,采用新的技术手段,克服其缺陷,并进一步满足新的安全应用要求。从数据包结构出发考虑,目前包过滤技术向两个方向发展:(l)横向联系。即在包检测中考虑前后数据包之间的关系,充分利用包头信息中能体现此关系的字段,如IP首部的标识字段和片偏移字段、TCP首部的发送及确认序号、滑动窗口的大小、状态标识等,动态执行数据包过滤。(2)纵向发展。深入检测数据包有效载荷,识别并阻止病毒代码和基于高层协议的攻击,以此来提高应用防御能力。这两种技术的发展并不是独立的,动态包过滤可以说是基于内容检测技术的基础。实际上,在深度包检测技术中己经体现了两种技术的融合趋势。3.4.3动态包过滤动态包过滤[16]又称为基于状态的数据包过滤,是在传统包过滤技术基础之上发展起来的一项过滤技术,最早由Checkpoint提出。与传统包过滤技术只检查单个、孤立的数据包不同,动态包过滤试图将数据包的上下文联系起来,建立一种基于状态的包过滤机制。对于新建的应用连接,防火墙检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,这些相关信息构成一个状态表。这样,当一个新的数据包到达,如果属于已经建立的连接,则检查状态表,参考数据流上下文决定当前数据包通过与否;如果是新建连接,则检查静态规则表。动态包过滤通过在内存中动态地建立和维护一个状态表,数据包到达时,对该数据包的处理方式将综合静态安全规则和数据包所处的状态进行。这种方法的好处在于由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使安全性得到进一步地提高。动态包过滤技术克服了传统包过滤仅仅孤立的检查单个数据包和安全规则静态不可变的缺陷,使得防火墙的安全控制力度更为细致。3.4.4深度包检测目前许多造成大规模损害的网络攻击,比如红色代码和尼姆达,都是利用了应用的弱点。利用高层协议的攻击和网络病毒的频繁出现,对防火墙提出了新的要求。防火墙必须深入检查数据包的内部来确认出恶意行为并阻止它们。深度包检测(DeepPacketInspection)就是针对这种需求,深入检测数据包有效载荷,执行基于应用层的内容过滤,以此提高系统应用防御能力。应用防御的技术问题主要包括:(l)需要对有效载荷知道得更清楚;(2)也需要高速检查它的能力。简单的数据包内容过滤对当前正在通过的单一数据包的有效载荷进行扫描检测,但是对于应用防御的要求而言,这是远远不够的。如一段攻击代码被分割到10个数据包中传输,那么这种简单的对单一数据包的内容检测根本无法对攻击特征进行匹配:要清楚地知道有效载荷,必须采取有效方法,将单个数据包重新组合成完整的数据流。应用层的内容过滤要求大量的计算资源,很多情况下高达100倍甚至更高。因而要执行深度包检测,带来的问题必然是性能的下降,这就是所谓的内容处理障碍。为了突破内容处理障碍,达到实时地分析网络内容和行为,需要重点在加速上采取有效的办法。通过采用硬件芯片和更加优化的算法,可以解决这个问题。一个深度包检测的流程框图如图3.1所示。图3.1深度包检测框图在接收到网络流量后,将需要进行内容扫描的数据流定向到TCP/IP堆栈,其他数据流直接定向到状态检测引擎,按基本检测方式进行处理。定向到TCP/IP堆栈的数据流,首先转换成内容数据流。服务分析器根据数据流服务类型分离内容数据流,传送数据流到一个命令解析器中。命令解析器定制和分析每一个内容协议,分析内容数据流,检测病毒和蠕虫。如果检测到信息流是一个HTTP数据流,则命令解析器检查上载和下载的文件;如果数据是Mail类型,则检查邮件的附件。如果数据流包含附件或上载/下载文件,附件和文件将传输到病毒扫描引擎,所有其他内容传输到内容过滤引擎。如果内容过滤启动,数据流将根据过滤的设置进行匹配,通过或拒绝数据。3.4.5流过滤技术流过滤是东软集团提出的一种新型防火墙技术架构,它融基于状态的包过滤技术与基于内容的深度包检测技术为一体,提供了一个较好的应用防御解决方案,它以状态监测技术为基础,但在此基础上进行了改进其基本的原理是:以状态包过滤的形态实现应用层的保护能力:通过内嵌的专门实现的TCP/IP协议栈,实现了透明的应用信息过滤机制。流过滤技术[17]的关键在于其架构中的专用TCP/IP协议栈:这个协议栈是一个标准的TCP协议的实现,依据TCP协议的定义对出入防火墙的数据包进行了,完整的重组,重组后的数据流交给应用层过滤逻辑进行过滤,从而可以有效地识别并拦截应用层的攻击企图。在这种机制下,从防火墙外部看,仍然是包过滤的形态,工作在链路层或IP层,在规则允许下,两端可以直接访问,但是任何一个被规则允许的访问在防火墙内部都存在两个完全独立的TCP会话,数据以“流”的方式从一个会话流向另一个会话。由于防火墙的应用层策略位于流的中间,因此可以在任何时候代替服务器或客户端参与应用层的会话,从而起到了与应用代理防火墙相同的控制能力。如在对SMTP协议的处理中,系统可以在透明网桥的模式下实现完全的对邮件的存储转发,并实现丰富的对SMTP协议的各种攻击的防范功能一流过滤的示意图如图3.2所示。图3.2流过滤示意图在这种机制下,从防火墙外部看,仍然是包过滤的形态,工作在链路层或IP层,在规则允许下,两端可以直接访问,但是任何一个被规则允许的访问在防火墙内部都存在两个完全独立的TCP会话,数据以“流”的方式从一个会话流向另一个会话。由于防火墙的应用层策略位于流的中间,因此可以在任何时候代替服务器或客户端参与应用层的会话,从而起到了与应用代理防火墙相同的控制能力。如在对SMTP协议的处理中,系统可以在透明网桥的模式下实现完全的对邮件的存储转发,并实现丰富的对SMTP协议的各种攻击的防范功能一流过滤的示意图如图3.2所示。3.5防火墙体系结构目前,防火墙的体系结构一般有以下几种:(1)双宿主主机防火墙;(2)主机屏蔽防火墙;(3)子网屏蔽防火墙。3.5.1双宿主主机防火墙多宿主主机这个词是用来描述配有多个网卡的主机,每个网卡都和网络相连接。代理服务器可以算是多宿主主机防火墙的一种。在历史上,多宿主主机可以在网段之间传送流量,今天一般都使用专门的路由器来完成IP路由转发。双宿主主机如果多宿主主机的路由功能被禁止,则主机可以在它连接的网络之间提供网络流量的分离,并且每个网络都能在宿主主机上处理应用程序。另外,如果应用程序允许,网络还可以共享数据。
双宿主主机是多宿主主机的一个特例,它有两个网卡,并禁止路由功能。
双宿主主机可以用于把一个内部网络从一个不可信的外部网络分离出来。因为双宿主主机不能转发任何TCP/IP流量,所以它可以彻底堵塞内部和外部不可信网络间的任何IP流量。然后防火墙运行代理软件控制数据包从一个网络流向另一个网络,这样内部网络中的计算机就可以访问外部网络。双宿主主机双宿主主机是防火墙体系的基本形态。建立双宿主主机的关键是要禁止路由,网络之间通信的唯一路径是通过应用层的代理软件。如果路由被意外允许,那么双宿主主机防火墙的应用测功能就会被旁路,内部受保护网络就会完全暴露在危险中。3.5.2主机屏蔽防火墙主机屏蔽防火墙比双宿主机防火墙更安全。主机屏蔽防火墙体系结构是在防火墙的前面增加了屏蔽路由器。换句话说就是防火墙不直接连接外网,这样的形式提供一种非常有效的并且容易维护的防火墙体系。因为路由器具有数据过滤功能,路由器通过适当配置后,可以实现一部分防火墙的功能,因此,有人把屏蔽路由器也成为防火墙的一种。主机屏蔽防火墙实际上,我们常常把屏蔽路由器作为保护网络的第一道防线。根据内网的安全策略,屏蔽路由器可以过滤掉不允许通过的数据包。
屏蔽路由器配置要根据实际的网络安全策略来进行,如服务器提供WEB服务就需要屏蔽路由器开放80端口。
因为这种体系结构允许数据包从外网向内网移动,所以它的设计比没有外部数据流量的双宿主机更冒风险,但实际上双宿主机体系结构在防备数据包流入内网时也会造成失败。总之保护路由器比保护主机更容易实现,因为路由器提供非常有限的服务,漏洞要比主机少得多,所以主机屏蔽防火墙体系结构能提供更好的安全性和可用性。3.5.3子网屏蔽防火墙子网屏蔽防火墙体系结构添加额外的安全层到主机屏蔽体系结构,即通过添加周边网络更进一步地把内部网络与外网隔离。通常,堡垒主机是网络上最容易受攻击的机器。任凭用户如何保护它,它仍有可能被突破或入侵,因为没有任何主机是绝对安全的。子网屏蔽防火墙在主机屏蔽体系中,用户的内部网络对堡垒主机没有任何防御措施,如果黑客成功入侵到主机屏蔽体系结构中的堡垒主机,那就毫无阻挡的进入了内部网络。通过在周边网络上隔离堡垒主机,能减少在堡垒主机上入侵的影响。可以说它只给入侵者一些访问的机会,但不是全部。
屏蔽子网体系结构的最简单的形式为使用两个屏蔽路由器,位于堡垒主机的两端,一端连接内网,一端连接外网。为了入侵这种类型的体系结构,入侵者必须穿透两个屏蔽路由器。即使入侵者控制了堡垒主机,他仍然需要通过内网端的屏蔽路由器才能到达内网。
在构造防火墙体系时,一般很少使用单一的技术,通常都是多种解决方案的组合。这种组合主要取决于网管中心向用户提供什么服务,以及网管中心能接受什么等级的风险。还要看投资经费、投资大小、技术人员的水平和时间等问题。一般包括下面几种形式:
(一)使用多个堡垒主机
(二)合并内部路由器和外部路由器
(三)合并堡垒主机和外部路由器
(四)合并堡垒主机和内部路由器
(五)使用多个内部路由器
(六)使用多个外部路由器
(七)使用多个周边网络
(八)使用双宿主主机与屏蔽子网第四章防火墙的配置4.1硬件连接与实施一般来说硬件防火墙和路由交换设备一样具备多个以太接口,速度根据档次与价格不同而在百兆与千兆之间有所区别。(如图4.1)图4.1对于中小企业来说一般出口带宽都在100M以内,所以我们选择100M相关产品即可。网络拓扑图中防火墙的位置很关键,一般介于内网与外网互连中间区域,针对外网访问数据进行过滤和监控。如果防火墙上有WAN接口,那么直接将WAN接口连接外网即可,如果所有接口都标记为LAN接口,那么按照常规标准选择最后一个LAN接口作为外网连接端口。相应的其他LAN接口连接内网各个网络设备。4.2防火墙的特色配置从外观上看防火墙和传统的路由器交换机没有太大的差别,一部分防火墙具备CONSOLE接口通过超级终端的方式初始化配置,而另外一部分则直接通过默认的LAN接口和管理地址访问进行配置。与路由器交换机不同的是在防火墙配置中我们需要划分多个不同权限不同优先级别的区域,另外还需要针对相应接口隶属的区域进行配置,例如1接口划分到A区域,2接口划分到B区域等等,通过不同区域的访问权限差别来实现防火墙保护功能。默认情况下防火墙会自动建立trust信任区,untrust非信任区,DMZ堡垒主机区以及LOCAL本地区域。相应的本地区域优先级最高,其次是trust信任区,DMZ堡垒主机区,最低的是untrust非信任区域。在实际设置时我们必须将端口划分到某区域后才能对其进行各个访问操作,否则默认将阻止对该接口的任何数据通讯。除此之外防火墙的其他相关配置与路由交换设备差不多,无外乎通过超级终端下的命令行参数进行配置或者通过WEB管理界面配置。4.3软件的配置与实施以H3C的F100防火墙为例,当企业外网IP地址固定并通过光纤连接的具体配置。首先当企业外网出口指定IP时配置防火墙参数。选择接口四连接外网,接口一连接内网。这里假设电信提供的外网IP地址为94。第一步:通过CONSOLE接口以及本机的超级终端连接F100防火墙,执行system命令进入配置模式。第二步:通过firewallpacketdefaultpermit设置默认的防火墙策略为“容许通过”。第三步:进入接口四设置其IP地址为94,命令为inte0/4ipadd94第四步:进入接口一设置其IP地址为内网地址,例如,命令为inte0/1ipadd第五步:将两个接口加入到不同的区域,外网接口配置到非信任区untrust,内网接口加入到信任区trust——firezoneuntrustaddinte0/4firezonetrustaddinte0/1第六步:由于防火墙运行基本是通过NAT来实现,各个保护工作也是基于此功能实现的,所以还需要针对防火墙的NAT信息进行设置,首先添加一个访问控制列表——aclnum2000rulepersource55ruledeny第七步:接下来将这个访问控制列表应用到外网接口通过启用NAT——inte0/4natoutbound2000第八步:最后添加路由信息,设置缺省路由或者静态路由指向外网接口或外网电信下一跳地址——iproute-static93(如图2)执行save命令保存退出后就可以在企业外网出口指定IP时实现防火墙数据转发以及安全保护功能了。第五章防火墙发展趋势针对传统防火墙不能解决的问题,及新的网络攻击的出现,防火墙技术也出现了新的发展趋势。主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。5.1防火墙包过滤技术发展趋势(1)安全策略功能一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的,包过滤技术的防火墙不具有。用户身份验证功能越强,它的安全级别越高,但它给网络通信带来的负面影响也越大,因为用户身份验证需要时间,特别是加密型的用户身份验证。(2)多级过滤技术所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等;在应用网关(应用层)一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术,它可以弥补以上各种单独过滤技术的不足。这种过滤技术在分层上非常清楚,每种过滤技术对应于不同的网络层,从这个概念出发,又有很多内容可以扩展,为将来的防火墙技术发展打下基础。(3)功能扩展功能扩展是指一种集成多种功能的设计趋势,包括VPN、AAA、PKI、IPSec等附加功能,甚至防病毒、入侵检测这样的主流功能,都被集成到防火墙产品中了,很多时候我们已经无法分辨这样的产品到底是以防火墙为主,还是以某个功能为主了,即其已经逐渐向我们普遍称之为IPS(入侵防御系统)的产品转化了。有些防火墙集成了防病毒功能,通常被称之为“病毒防火墙”,当然目前主要还是在个人防火墙中体现,因为它是纯软件形式,更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播,比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。5.2防火墙的体系结构发展趋势随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外,在以后几年里,多媒体应用将会越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要,一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。与基于ASIC的纯硬件防火墙相比,基于网络处理器的防火墙具有软件色彩,因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流,比起前两种类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性,使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。5.3防火墙的系统管理发展趋势(1)集中式管理,分布式和分层的安全结构。(2)强大的审计功能和自动日志分析功能。(3)网络安全产品的系统化纵观防火墙技术的发展,黑客入侵系统技术的不断进步以及网络病毒朝智能化和多样化发展,对防火墙技术的同步发展提出了更高的要求。防火墙技术只有不断向主动型和智能型等方向发展,才能更好的满足人们对防火墙技术日益增长的需求。结束语不积跬步何以至千里,本设计能够顺利的完成,也归功于各位任课老师的认真负责,使我能够很好的掌握和运用专业知识,并在设计中得以体现。正是有了他们的悉心帮助和支持,才使我的毕业论文工作顺利完成,在此向安徽水利水电职业技术学院,电子信息工程系计算机网络系统的全体老师表示由衷的谢意。感谢他们四年来的辛勤栽培。参考文献[1]艾军.防火墙体系结构及功能分析[J].电脑知识与技术.2004,(s):79一82.[2]高峰.许南山.防火墙包过滤规则问题的研究[M].计算机应用.2003,23(6):311一312.[3]孟涛、杨磊.防火墙和安全审计[M].计算机安全.2004,(4):17一18.[4]郑林.防火墙原理入门[Z].E企业.2000.[5]魏利华.防火墙技术及其性能研究.能源研究与信息.2004,20(l):57一62[6]李剑,刘美华,曹元大.分布式防火墙系统.安全与环境学报.2002,2(l):59一61[7]王卫平,陈文惠,朱卫未.防火墙技术分析.信息安全与通信保密.2006,(8):24一27[8]付歌,杨明福.一个快速的二维数据包分类算法.计算机工程.2004,30(6):76一78[9]付歌,杨明福,王兴军.基于空间分解的数据包分类技术.计算机工程与应用.2004(8):63一65[10]〕韩晓非,王学光,杨明福.位并行数据包分类算法研究.华东理工大学学报.2003,29(5):504一508[11]韩晓非,杨明福,王学光.基于元组空间的位并行包分类算法.计算机工程与应用.2003,(29):188一192[12]冯东雷,张勇,白英彩.一种高性能包分类渐增式更新算法.计算机研究与发展.2003,40(3):387一392致谢从论文选题到搜集资料,从写稿到反复修改,期间经历了喜悦、聒噪、痛苦和彷徨,在写作论文的过程中心情是如此复杂。如今,伴随着这篇毕业论文的最终成稿,复杂的心情烟消云散,自己甚至还有一点成就感。那种感觉就宛如在一场盛大的颁奖晚会上,我在晚会现场看着其他人一个接着一个上台领奖,自己却始终未能被念到名字,经过了很长很长的时间后,终于有位嘉宾高喊我的大名,这时我忘记了先前漫长的无聊的等待时间,欣喜万分地走向舞台,然后迫不及待地开始抒发自己的心情,发表自己的感想。这篇毕业论文的就是我的舞台,以下的言语便是有点成就感后在舞台上发表的发自肺腑的诚挚谢意与感想:感谢培养教育我的安徽水利水电职业技术学院,学院浓厚的学术氛围,舒适的学习环境我将终生难忘!祝母校蒸蒸日上,永创辉煌!祝校长财源滚滚,仕途顺利!感谢对我倾囊赐教、鞭策鼓励的安徽水利水电职业技术学院电子信息工程系诸位师长,诸位恩师的谆谆训诲我将铭记在心。祝恩师们身体健康,家庭幸福!感谢论文中引文的原作者,他们都是计算机界的名师大家,大师风范,高山仰止。祝他们寿域无疆,德业永辉!感谢同窗好友龚帅、王康、康健、卞华林、陶赵伟等以及更多我无法逐一列出名字的朋友,他们和我共同度过了四年美好难忘的大学时光,我非常珍视和他们的友谊!祝他们前程似锦,事业有成!家有娇妻,外有二房!最最感谢生我养我的父母,他们给予了我最无私的爱,为我的成长付出了许多许多,焉得谖草,言树之背,养育之恩,无以回报,惟愿他们健康长寿!感谢我以最大的毅力完成了四年大学学习,在这个环境里我能洁身自爱,出淤泥而不染保持一颗纯洁的心,真的是很不容易!祝自己身体健康,权财两旺!家里红旗不倒,外面彩旗飘飘!基于C8051F单片机直流电动机反馈控制系统的设计与研究基于单片机的嵌入式Web服务器的研究MOTOROLA单片机MC68HC(8)05PV8/A内嵌EEPROM的工艺和制程方法及对良率的影响研究基于模糊控制的电阻钎焊单片机温度控制系统的研制基于MCS-51系列单片机的通用控制模块的研究基于单片机实现的供暖系统最佳启停自校正(STR)调节器单片机控制的二级倒立摆系统的研究基于增强型51系列单片机的TCP/IP协议栈的实现基于单片机的蓄电池自动监测系统基于32位嵌入式单片机系统的图像采集与处理技术的研究基于单片机的作物营养诊断专家系统的研究基于单片机的交流伺服电机运动控制系统研究与开发基于单片机的泵管内壁硬度测试仪的研制基于单片机的自动找平控制系统研究基于C8051F040单片机的嵌入式系统开发基于单片机的液压动力系统状态监测仪开发模糊Smith智能控制方法的研究及其单片机实现一种基于单片机的轴快流CO〈,2〉激光器的手持控制面板的研制基于双单片机冲床数控系统的研究基于CYGNAL单片机的在线间歇式浊度仪的研制基于单片机的喷油泵试
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
评论
0/150
提交评论