计算机网络安全及防火墙技术.doc

《计算机网络安全及防火墙技术.doc》由会员分享，可在线阅读，更多相关《计算机网络安全及防火墙技术.doc（31页珍藏版）》请在三一办公上搜索。

1、毕业设计论文 题 目： _ 院 系： _ 专 业：_ 姓 名： _ 学 号：_ 指导老师 ：_二零一三年四月五日 摘 要随着时代的发展，Internet日益普及，网络已经成为信息资源的海洋，给人们带来了极大的方便。但由于Internet是一个开放的，无控制机构的网络，经常会受到计算机病毒、黑客的侵袭。它可使计算机和计算机网络数据和文件丢失，系统瘫痪。因此，计算机网络系统安全问题必须放在首位。作为保护局域子网的一种有效手段，防火墙技术备受睐。 关键字：计算机网络；网络安全；防范措施；防火墙技术 目录摘要.错误！未定义书签。第一章 引言.61.1研究背景.61.2论文结构.7第二章 网络安全概述.

2、错误！未定义书签。2.1 计算机网络安全的含义.错误！未定义书签。2.2 网络信息安全的主要威胁.82.2.1计算机病毒的侵袭.82.2.2黑客侵袭.82.2.3拒绝服务攻击.82.2.4信息泄密.82.2.5信息被篡改.,.82.2.6传输非法信息流.82.2.7网络资源的错误使用.82.2.8非法使用网络资源.82.2.9环境影响.92.2.10人为安全因素.92.3 计算机网络中的安全缺陷及产生原因.错误！未定义书签。2.4 影响计算机网络安全的因素.9第三章 计算机网络安全防范策略.错误！未定义书签。3.1 防火墙技术.错误！未定义书签。3.2 数据加密与用户授权访问控制技术.133.

3、3 入侵检测技术.143.4 防病毒技术.错误！未定义书签。3.5 安全管理队伍的建设.18第四章 防火墙技术.错误！未定义书签。4.1 防火墙的定义.错误！未定义书签。4.2 防火墙的功能.204.2.1防火墙是网络安全的屏障.204.2.2防火墙的种类.214.3 防火墙的技术原理.234.3.1 包过滤型.244.3.2 网络地址转换NAT.244.3.3 应用代理型防火墙.254.3.4 状态检测型.254.4 防火墙的不足.254.5 防火墙的典型配置.264.5.1、双宿主机网关（Dual Homed Gateway） .264.5.2、屏蔽主机网关（Screened Host G

4、ateway）.264.5.3、屏蔽子网（Screened Subnet）.26 4.6 各种防火墙体系的优缺点.274.6.1双重宿主主机体系结构.274.6.2被屏蔽主机体系结构.274.6.3被屏蔽子网体系结构.274.7 常见攻击方式及应对策略.27 4.7 .1常见攻击方式.274.7.2 应对策略.28 4.8 防火墙的发展历程.29 4.8.1基于路由器的防火墙.294.8.2 用户化的防火墙工具套.294.83 建立在通用操作系统上的防火墙.294.8.4. 第四代防火墙.304.9 防火墙的发展趋势.32 4.9.1.优良的性能 . 324.9.2. 可扩展的结构和功能 .

5、324.9.3. 简化的安装与管理.324.9.4. 主动过滤. 334.9.5. 防病毒与防黑客 . 33 4.10防火墙的反战前景以及技术方向.33 4.11防火墙的应用.344.11.1个人防火墙的应用.344.11.2防火墙技术在校园网中应用.38结论.49致谢.41参考文献.42 第一章 引言1.1研究背景随着互联网的普及和发展，尤其是Internet的广泛使用，使计算机应用更加广泛与深入。同时，我们不得不注意到，网络虽然功能强大，也有其脆弱易受到攻击的一面。据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全求平均每20秒钟就发生一起Internet计算机侵

6、入事件1。在我国，每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时，对网络安全问题也决不能忽视。如何建立比较安全的网络体系，值得我们关注研究。研究目的为了解决互联网时代个人网络安全的问题，近年来新兴了防火墙技术2。防火墙具有很强的实用性和针对性，它为个人上网用户提供了完整的网络安全解决方案，可以有效地控制个人电脑用户信息在互联网上的收发。用户可以根据自己的需要，通过设定一些参数，从而达到控制本机与互联网之间的信息交流阻止恶性信息对本机的攻击，比如ICMPnood攻击、聊天室炸弹、木马信息破译并修改邮件密码等等。而且防火墙能够实时记录其它系统试图对本机系统的访

7、问，使计算机在连接到互联网的时候避免受到网络攻击和资料泄漏的安全威胁。防火墙可以保护人们在网上浏览时免受黑客的攻击，实时防范网络黑客的侵袭，还可以根据自己的需要创建防火墙规则，控制互联网到PC以及PC到互联网的所有连接，并屏蔽入侵企图。防火可以有效地阻截各种恶意攻击、保护信息的安全;信息泄漏拦截保证安全地浏览网页、遏制邮件病毒的蔓延;邮件内容检测可以实时监视邮件系统，阻挡一切针对硬盘的恶意活动。个人防火墙就是在单机Windows系统上，采取一些安全防护措施，使得本机的息得到一定的保护。个人防火墙是面向单机操作系统的一种小型安全防护软件，按一定的规则对TCP，UDP，ICMP和IGMP等报文进行

8、过滤，对网络的信息流和系统进程进行监控，防止一些恶意的攻击。目前市场上大多数的防火墙产品仅仅是网关的，虽然它们的功能相当强大，但由于它们基于下述的假设:内部网是安全可靠的，所有的威胁都来自网外。因此，他们防外不防内，难以实现对企业内部局域网内主之间的安全通信，也不能很好的解决每一个拨号上网用户所在主机的安全问题，而多数个人上网之时，并没有置身于得到防护的安全网络内部。 个人上网用户多使用Windows操作系统，而Windows操作系统，特别是WindowsXP系统，本身的安全性就不高。各种Windows漏洞不断被公布，对主机的攻击也越来越多。一般都是利用操作系统设计的安全漏洞和通信协议的安全漏

9、洞来实现攻击。如假冒IP包对通信双方进行欺骗:对主机大量发送正数据包3进行轰炸攻击，使之际崩溃;以及蓝屏攻击等。因此，为了保护主机的安全通信，研制有效的个人防火墙技术很有必要。所谓的防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合 1 。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet 之间的任何活动, 保证了内部网络的安全。一个高效可靠的防火墙必须具有以下典型的特性:1 从里到

10、外和从外到里的所有通信都必须通过防火墙；2 只有本地安全策略授权的通信才允许通过；3 防火墙本身是免疫的,不会被穿透的。防火墙的基本功能有:过滤进出网络的数据；管理进出网络的访问行为；封堵某些禁止的业务； 记录通过防火墙的信息内容和活动；对网络攻击进行检测和报警1.2论文结构在论文中接下来的几章里，将会有下列安排:第二章，分析研究网络安全问题，网络安全面临的主要威胁，影响网络安全的因素，及保护网络安全的关键技术。第三章，介绍防火墙的相关技术，如防火墙的原理、功能、包过滤技术等;。第四章，以H3CH3C的F100防火墙为例，介绍防火墙配置方法。第五章，系统阐述防火墙发展趋势。 第二章 网络安全概

11、述 2.1计算机网络安全的含义计算机网络安全的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的认识和要求也就不同。例如从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和

12、攻击行为使得网络安全面临新的挑战。 【2】2.2网络安全面临的主要威胁网络中的主机可能会受到非法入侵者的攻击，网络中的敏感数据有可能泄露或被修改，从内部网向公共网传送的信息可能被他人窃听或篡改等等。以上这些影响网络安全的隐患都是网络系统自身存在的安全弱点和系统在使用管理过程中的失误或疏漏而导致的。影响网络安全的主要因素包括：2.2.1计算机病毒的侵袭当前，活性病毒达14000多种，计算机病毒侵入网络，对网络资源进行破坏，使网络不能正常工作，甚至造成整个网络的瘫痪。2.2.2黑客侵袭即黑客非法进入网络非法使用网络资源。例如通过隐蔽通道进行非法活动；采用匿名用户访问进行攻击；通过网络监听获取网上用

13、户账号和密码；非法获取网上传输的数据；突破防火墙等。2.2.3拒绝服务攻击例如“点在邮件炸弹”，它的表现形式是用户在很短的时间内收到大量无用的电子邮件，从而影响正常业务的运行。严重时会使系统关机，网络瘫痪。具体讲，网络系统面临的安全威胁主要有如下表现：身份窃取、非授权访问、数据窃取、拒绝服务、病毒与恶意攻击、冒充合法用户等。2.2.4信息泄密主要表现为网络上的信息被窃听，这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。2.2.5信息被篡改这是纯粹的信息破坏，这样的网络侵犯被称为积极侵犯者。积极侵犯者截取网上的信息包，并对之进行更改使之失效，或者故意添加一些有利于自已的信息，起到信

14、息误导的作用，其破坏作用最大。2.2.6传输非法信息流只允许用户同其他用户进行特定类型的通信，但禁止其它类型的通信，如允许电子邮件传输而禁止文件传送。2.2.7网络资源的错误使用如不合理的资源访问控制，一些资源有可能被偶然或故意地破坏。2.2.8非法使用网络资源非法用户登录进入系统使用网络资源，造成资源的消耗，损害了合法用户的利益。2.2.9环境影响自然环境和社会环境对计算机网络都会产生极大的不良影响。如恶劣的天气、灾害、事故会对网络造成损害和影响。2.2.10人为安全因素除了技术层面上的原因外，人为的因素也构成了目前较为突出的安全因素，无论系统的功能是多么强大或者配备了多少安全设施，如果管理

15、人员不按规定正确地使用，甚至人为泄露系统的关键信息，则其造成的安全后果是难以估量的。这主要表现在管理措施不完善，安全意识淡薄，管理人员的误操作等。2.3 计算机网络中的安全缺陷及原因2.3.1 TCP/IP的脆弱性因特网的基石是TCP/IP协议【3】，不幸的是该协议对于网络的安全性考虑得并不多。并且，由于TCP/IP协议是公布于众的，如果人们对TCP/IP很熟悉，就可以利用它的安全缺陷来实施网络攻击。2.3.2网络结构的不安全性因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时，通常情况下它们之间互相传送的数据流要经过很多机器重重转发，

16、如果攻击者利用一台处于用户的数据流传输路径上的主机，他就可以劫持用户的数据包。2.3.3易被窃听由于因特网上大多数数据流都没有加密，因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。2.3.4缺乏安全意识虽然网络中设置了许多安全保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证，进行直接的PPP连接从而避开了防火墙的保护。2.4 影响计算机网络安全的因素资源共享是计算机网络应用的主要目的，但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着互联网需求的日益增长，外部服务请求不可能做到完全隔离，攻击者利用

17、服务请求的机会很容易获取网络数据包。网上的任何一个用户很方便访问互联网上的信息资源，从而很容易获取到一个企业、单位以及个人的敏感性信息。系统的漏洞网络操作系统是网络协议和网络服务得以实现的最终载体之一，它不仅负责网络硬件设备的接口封装，同时还提供网络通信所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性，决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下，还可以提供较好的安全性。不合理的网络设计则会成为网络的安全威胁。就是人们常见的黑客攻击及网络

18、病毒，这是最难防范的网络安全威胁。随着电脑教育的大众化，这类攻击也是越来越多，影响越来越大。 第三章 计算机网络安全防范措施计算机网络安全从技术上来说，主要由防病毒、防火墙、入侵检测等多个安全组件组成，任何一个单独的组件都无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有：防火墙技术、数据加密技术、入侵检测技术、防病毒技术等，以下就此几项技术分别进行分析。3.1防火墙技术 防火墙防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦着火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。在电脑术语中，当然就不是这个意思了，我们可 以类比来理

19、解，在网络中，所谓“防火墙”，是指一种将上以保护一个子网，也可以安装在一台主机上，保护这台主机不受侵犯。为了让大家更好地使用防火墙，我们从反面列举4个有代表性的失败案例。例1：未制定完整的企业安全策略网络环境：某中型企业购买了适合自己网络特点的防火墙，刚投入使用后，发现以前局域网中肆虐横行的蠕虫病毒不见了，企业网站遭受拒绝服务攻击的次数也大大减少了，为此，公司领导特意表扬了负责防火墙安装实施的信息部。该企业网络环境如图2.1所示： 图2.1该企业内部网络的核心交换机是带路由模块的三层交换机，出口通过路由器和ISP连接。内部网划分为5个VLAN，VLAN 1、VLAN 2和VLAN 3分配给不同

20、的部门使用，不同的VLAN之间根据部门级别设置访问权限；VLAN 4分配给交换机出口地址和路由器使用；VLAN 5分配给公共服务器使用。在没有加入防火墙之前，各个VLAN中的PC机能够通过交换机和路由器不受限制地访问Internet。加入防火墙后，给防火墙分配一个VLAN 4中的空闲IP地址，并把网关指向路由器；将VLAN 5接入到防火墙的一个网口上。这样，防火墙就把整个网络分为3个区域: 内部网、公共服务器区和外部网，三者之间的通信受到防火墙安全规则的限制。问题描述：防火墙投入运行后，实施了一套较为严格的安全规则，导致公司员工无法使用QQ聊天软件，于是没过多久就有员工自己拨号上网，导致感染了

21、特洛依木马和蠕虫等病毒，并立刻在公司内部局域网中传播开来，造成内部网大面积瘫痪。问题分析：我们知道，防火墙作为一种保护网络安全的设备，必须部署在受保护网络的边界处，只有这样防火墙才能控制所有出入网络的数据通信，达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一，有很多出入口，那么只部署一台防火墙是不够的。在本案例中，防火墙投入使用后，没有禁止私自拨号上网行为，使得许多PC机通过电话线和Internet相连，导致网络边界不惟一，入侵者可以通过攻击这些PC机然后进一步攻击内部网络，从而成功地避开了防火墙。解决办法：根据自己企业网的特点，制定一整套安全策略，并彻底地贯彻实施。比如说，制定一套安全

22、管理规章制度，严禁员工私自拨号上网; 同时封掉拨号上网的电话号码，并购买检测拨号上网的软件，这样从管理和技术上杜绝出现网络边界不惟一的情况发生。另外，考虑到企业员工的需求，可以在防火墙上添加按照时间段生效的安全规则，在非工作时间打开QQ使用的TCP/UDP端口，使得企业员工可以在工余时间使用QQ聊天软件。例2：未考虑与其他安全产品的配合使用问题描述：某公司购买了防火墙后，紧接着又购买了漏洞扫描和IDS（入侵检测系统）产品。当系统管理员利用IDS发现入侵行为后，必须每次都要手工调整防火墙安全策略，使管理员工作量剧增，而且经常调整安全策略，也给整个网络带来不良影响。问题分析：选购防火墙时未充分考虑

23、到与其他安全产品如IDS的联动功能，导致不能最大程度地发挥安全系统的作用。解决办法：购买防火墙前应查看企业网是否安装了漏洞扫描或IDS等其他安全产品，以及具体产品名称和型号，然后确定所要购买的防火墙是否有联动功能（即是否支持其他安全产品，尤其是IDS产品），支持的是哪些品牌和型号的产品，是否与已有的安全产品名称相符，如果不符，最好不要选用，而选择能同已有安全产品联动的防火墙。这样，当IDS发现入侵行为后，在通知管理员的同时发送消息给防火墙，由防火墙自动添加相关规则，把入侵者拒之门外。 例3：未经常维护升级防火墙问题描述：某政府机构购置防火墙后已安全运行一年多，由于该机构网络结构一直很稳定，没有

24、什么变化，各种应用也运行稳定，因此管理员逐渐放松了对防火墙的管理，只要网络一直保持畅通即可，不再关心防火墙的规则是否需要调整，软件是否需要升级。而且由于该机构处于政府专网内，与Internet物理隔离，防火墙无法实现在线升级。因此该机构的防火墙软件版本一直还是购买时的旧版本，虽然管理员一直都收到防火墙厂家通过电子邮件发来的软件升级包，但从未手工升级过。在一次全球范围的蠕虫病毒迅速蔓延事件中，政府专网也受到蠕虫病毒的感染，该机构防火墙因为没有及时升级，无法抵御这种蠕虫病毒的攻击，造成整个机构的内部网大面积受感染，网络陷于瘫痪之中。问题分析：安全与入侵永远是一对矛盾。防火墙软件作为一种安全工具，必

25、须不断地升级与更新才能应付不断发展的入侵手段，过时的防护盾牌是无法抵挡最先进的长矛的。作为安全管理员来说，应当时刻留心厂家发布的升级包，及时给防火墙打上最新的补丁。解决办法：及时维护防火墙，当本机构发生人员变动、网络调整和应用变化时，要及时调整防火墙的安全规则，及时升级防火墙。从以上三个案例我们可以得出一些结论：防火墙只是保证安全的一种技术手段，要想真正实现安全，安全策略是核心问题。保护网络安全不仅仅是防火墙一种产品，只有将多种安全产品无缝地结合起来，充分利用它们各自的优点，才能最大限度地保证网络安全。而保护网络安全是动态的过程，防火墙需要积极地维护和升级。 3.2数据加密与用户授权访问控制技

26、术数据加密是网络系统中一种比较有效的数据保护方式，目的是为了防止网络数据的篡改、泄露和破坏。通常数据加密采用链路加密、端端加密、节点加密和混合加密等方式。链路加密是对网络中两个相邻节点之间传输的数据进行加密保密，所有传输数据均以密码的形式在链路中传送，任意一对节点之间的链路上的加密是独立实现的，可以采用不同的密码。链路加密的算法一般采用序列密码，可以对报文和报头同时进行加密，所以链路加密掩盖了被传输数据源节点和目标节点的信息。链路加密能够防止搭线窃听，但由于在中间节点暴露了信息的入侵检测技术 入侵检测系统(IntrusionDetectionSystem，IDS)是从多种计算机系统及网络系统中

27、收集信息，再通过此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门，它能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击：在入侵攻击过程中，能减少入侵攻击所造成的损失；在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入策略集中，增强系统的防范能力，避免系统再次受到同类型的入侵。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术的功能主要体现在以

28、下方面：1) 分析用户及系统活动，查找非法用户和合法用户的越权操作；2) 检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞；3) 识别反映已知进攻的活动模式并向相关人上报警；4) 对异常行为模式的统计分析；5) 能够实时地对检测到的入侵行为进行反应；6) 评估重要系统和数据文件的完整性；7) 可以发现新的攻击模式；入侵检测方法方法有很多，如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。目前一些入侵检测系统在应用层入侵检测中已有实现1.监视、分析用户及系统活动；2.系统构造和弱点的审计；3.识别反映已知进攻的活动模式并向相关人士报警；4.异常行为模式的统计分析；5.评估重要系统和数据文件的完整性；6.操作系统的审计跟踪管理，并识别用户违反安全策略的行为。入侵检测技术同样存在问题1.现有的入侵检测系统检测速度远小于网络传输速度, 导致误报率和漏报率2.入侵检测产品和其它网络安全产品结合问题, 即期间的信息交换,共同协作发现攻击并阻击攻击3. 基于网络的入侵检测系统对加密的数据流及交换网络下的数据流不能进行检测, 并且其本身构建易受攻击4. 入侵检测系统体系结构问题