防火墙技术的分析与研究

PAGE大连理工大学网络教育学院毕业论文（设计）模板PAGEPAGEII网络教育学院本科生毕业论文（设计）需要完整版请点击屏幕右上的“文档贡献者”题目：防火墙技术的分析与研究防火墙技术的分析与研究防火墙技术的分析与研究PAGEI内容摘要针对目前面临的网络安全问题，对网络安全和防火墙的基本概念进行了概括。防火墙是一种访问控制技术，它通过在某个机构的网络和不安全的网络之间设置障碍，阻止信息资源的非法访问。又系统地阐述了主机网络防火墙的工作原理和关键技术。分析了防火墙技术在Internet安全上的重要作用，并提出其不足之处和解决方案，阐述了防火墙发展趋势。本文通过对防火墙历史的发展和定义的描述，着重讲防火墙技术上可分为四种基本类型（包过滤型、网络地址转换—NAT、代理型和监测型），以及防火墙应用的重要性。关键词：防火墙；防火墙技术；防火墙技术分析；防火墙技术应用防火墙技术的分析与研究防火墙技术的分析与研究PAGEII目录内容摘要 I引言 11概述 21.1背景 21.2本文的主要内容及组织结构 22防火墙技术的优缺点 42.1防火墙技术 42.1.1防火墙的定义 42.1.2防火墙的功能 42.2防火墙的优缺点 53防火墙的基本类型及发展 73.1防火墙类型 73.1.1包过滤型 73.1.2网络地址转化一NAT 83.1.3代理型 83.1.4监测型 93.2防火墙的发展 94防火墙在网络安全中的应用 124.1防火墙在校园网络中的应用 124.1.1校园网络安全分析 124.1.2校园网防火墙网络安全策略 124.2防火墙在企业网络中的应用 144.2.1企业介绍 144.2.2企业网络安全分析 154.2.3企业网防火墙网络安全策略 165结论 19参考文献 20PAGE1引言随着网络经济和网络社会时代的到来，网络将会进入一个无所不在的境地。经济、文化、军事和社会活动将会强烈地依赖网络，作为国家重要基础设施的网络的安全和可靠将成为世界各国共同关注的焦点。针对目前的网络情况，如何解决网络的稳定运行问题刻不容缓，在考虑了多种防护手段后，应该来说防火墙是最简单也是最有效的解决方案。但是防火墙是死的，影响网络安全的问题却是在不断的变化的，如何能够用防火墙真正合理的解决网络问题，不是一个产品的简单选择问题，更为重要的是如何把产品的功能发挥出来，以适应不断变化的网络安全问题。本文阐述了防火墙技术以及黑客常用攻击手段和工具，对防火墙在网络安全中的应用进行了分析。PAGE51概述1.1背景1.2本文的主要内容及组织结构本文主要对防火墙技术相关理论及应用进行探讨。本文的组织结构：全文共分五章。第一章，主要是介绍防火墙的背景及文章的组织结构。第二章，介绍防火墙的技术的概念及防火墙的优缺点。第三章，介绍防火墙的基本类型及防火墙的发展趋势。第四章，介绍防火墙在网络安全中的应用。第五章，对论文进行总结概述。2防火墙技术的优缺点2.1防火墙技术2.1.1防火墙的定义图2.1防火墙示例2.1.2防火墙的功能防火墙应该具有以下5大基本功能：(1)过滤进、出网络的数据。(2)管理进、出网络的访问行为。(3)封堵某些禁止行为。(4)记录通过防火墙的信息内容和活动。(5)对网络攻击进行检测和告警。2.2防火墙的优缺点（一）防火墙的优点。（1）防火墙能强化安全策略。因为Internet上每天都有上百万人在那里收集信息、交换信息，不可避免地会出现个别品德不良的人，或违反规则的人，防火墙是为了防止不良现象发生的“交通警察”，它执行站点的安全策略，仅仅容许“认可的”和符合规则的请求通过。（2）防火墙能有效地记录Internet上的活动。因为所有进出信息都必须通过防火墙，所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录。（3）防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。（4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。（5）防火墙能有效的防止内部信息的外泄。通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节。了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。(二)防火墙的不足之处。（1）不能防范恶意的知情者。（2）不能防范不通过它的连接。（3）不能防备全部的威胁。3防火墙的基本类型及发展3.1防火墙类型3.1.1包过滤型图3.1简单包过滤防火墙3.1.2网络地址转化一NAT网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。3.1.3代理型代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理防火墙也叫应用层网关（ApplicationGateway）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。图3.2传统代理型防火墙代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从暇务器束看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。3.1.4监测型3.2防火墙的发展4防火墙在网络安全中的应用4.1防火墙在校园网络中的应用4.1.1校园网络安全分析4.1.2校园网防火墙网络安全策略讨论防火墙安全策略一般实施两个基本设计方针之一：1．拒绝访问除明确许可以外的任何一种服务，即拒绝一切未予特许的东西2．允许访问除明确拒绝以外的任何一种服务，即允许一切未被特别拒绝的东西校园网防火墙的网络安全策略采取第一种安全控制的方针，确定所有可以被提供的服务以及它们的安全特性，然后开放这些服务，并将所有其它未被列入的服务排斥在外，禁止访问。校园网网络结构拓扑图如图4-1所示:图4-1校园网网络总拓扑结构图图4-2学院防火墙结构图4.2防火墙在企业网络中的应用4.2.1企业介绍4.2.2企业网络安全分析PIX防火墙能在两个或多个网络之间防止非授权的连接，即PIX防火墙能保护一个或多个网络，与外部的、非保护的网络隔离，防止非授权访问。这些网络间的所有连接都能被PIX防火墙控制。为了在你的组织中高效使用防火墙，你需要一个安全策略来确认被保护网络的所有数据包只能通过防火墙传递到非保护网络。这样，你就能控制谁能访问网络，访问什么服务，及如何利用PIX防火墙的功能实现你的安全策略。图4-3显示了PIX防火墙如何保护内部网络安全地访问Internet。InternetNoInternetNodirectInboundconnectionsOutsideInternetInternetaccesibleserverPerimeterPixFirewallServer1Server2OutboundconnectionsOKInsideProtectedServersProtectedClientsRouter图4-3在这个结构中，PIX防火墙在被保护网络和非保护网络之间形成了一个边界。被保护网络和非保护网络之间的所有数据包流量必须经过防火墙以遵循一定的安全策略。被保护网络通常能访问Internet。PIX防火墙让你将诸如Web、SNMP、E-mail等服务放置在被保护网络中，以控制外部用户的对这些服务的访问。另一方面，服务系统也能放置在Perimeter网络中，见图一。PIX防火墙也能控制和监视Inside网络或Outside网络对这些服务系统的访问。典型的，Inside网络就是一个组织自己的内部Intranet网络，Outside网络就是Internet。但是，PIX防火墙也能在Intranet网络中使用以隔离或保护一组内部的计算机系统。Perimeter网络能和Inside网络一样进行安全配置。PIX防火墙的Inside、Perimeter和Outside接口能监听RIP路由更新消息，如果需要，所有的接口能广播一个缺省的RIP路由。4.2.3企业网防火墙网络安全策略InternetInternet4Pix525FirewallInside53AAA、DNS服务器1CoreBuilder90009邮件服务器2WWW服务器3XXX网络交换机Outside3WWW、DNS服务器0图4-4在此网络中，PIX防火墙安装了两个接口，一个内部接口Inside（53）和一个外部接口Outside（3），Inside接口连接企业内部网络，Outside接口连接外部Internet。Inside接口连接的企业内部网络使用私有IP地址，Outside接口连接的外部的网络连接设备使用Internet合法的IP地址。此网络的Internet的访问使用一台Cisco3600路由器，通过2MDDN数据专线连接至Internet，防火墙外设置的一台服务器主要作为DNS服务，进行Web和电子邮件的域名解析。基本的Internet访问安全策略是内部网络授权用户可以访问外部Internet，而外部Internet用户不能访问内部网络；E-mail服务实现内外部网络电子邮件的相互访问，允许外部Internet电子邮件进入内部网络，即内部网络用户只需设置一个邮件账号，即可实现内部网络和外部Internet网络电子邮件的收发；实现企业信息的对外发布。根据上述安全策略的要求，内部网络需设置一台使用CiscoACS2.3软件的AAA验证服务器以适合PIX525防火墙实现Internet

访问的授权，只有授权用户才能进行相应服务类型的Internet访问。为了实现内部网络用户访问Internet，利用PIX防火墙的网络地址转换（NAT）功能，将内部网络地址转换为外部合法IP地址。为了允许外部网络访问内部E-mail服务资源，利用PIX防火墙的静态地址映射（Static）功能，将外部虚拟邮件服务器地址5和内部网络邮件服务器地址2映