防火墙技术分析与应用 计算机信息技术毕业论文.doc

《防火墙技术分析与应用 计算机信息技术毕业论文.doc》由会员分享，可在线阅读，更多相关《防火墙技术分析与应用 计算机信息技术毕业论文.doc（14页珍藏版）》请在三一办公上搜索。

1、河北旅游职业学院毕业论文题目：防火墙技术分析与应用系 别： 信息技术系 班 级：08计算机信息管理姓 名： 学 号： 0809030101 指导教师： 二 零一 一 年 一月 指导老师 指导老师评语 答辩结果毕业论文等级评定目 录摘 要：4关键词：4一 绪论51）研究背景52）研究目的5二 防火墙的定义6三 防火墙的原理7四 防火墙技术71)简单包过滤技术72)状态检测技术83)代理技术8五 防火墙的应用9六 防火墙的脆弱性9七 防火墙发展趋势10（1）高速化。10（2）更加实用、安全性。10（3）多功能化。11（4）智能化。11结束语11参考文献12致谢12摘 要：文献主要通过对防火墙技术的

2、分析以及应用，总结了防火墙存在的安全脆弱性。最后介绍了防火墙技术的展望和发展趋势。关键词： 防火墙 防火墙技术 防火墙的应用 发展趋势一 绪论1）研究背景随着互联网的普及和发展，尤其是Internet的广泛使用，使计算机应用更加广泛与深入。同时，我们不得不注意到，网络虽然功能强大，也有其脆弱易受到攻击的一面。据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全求平均每20秒钟就发生一起Internet计算机侵入事件1。在我国，每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时，对网络安全问题也决不能忽视。如何建立比较安全的网络体系，值得

3、我们关注研究。2）研究目的为了解决互联网时代个人网络安全的问题，近年来新兴了防火墙技术2。防火墙具有很强的实用性和针对性，它为个人上网用户提供了完整的网络安全解决方案，可以有效地控制个人电脑用户信息在互联网上的收发。用户可以根据自己的需要，通过设定一些参数，从而达到控制本机与互联网之间的信息交流阻止恶性信息对本机的攻击，比如ICMPnood攻击、聊天室炸弹、木马信息破译并修改邮件密码等等。而且防火墙能够实时记录其它系统试图对本机系统的访问，使计算机在连接到互联网的时候避免受到网络攻击和资料泄漏的安全威胁。防火墙可以保护人们在网上浏览时免受黑客的攻击，实时防范网络黑客的侵袭，还可以根据自己的需要

4、创建防火墙规则，控制互联网到PC以及PC到互联网的所有连接，并屏蔽入侵企图。防火可以有效地阻截各种恶意攻击、保护信息的安全;信息泄漏拦截保证安全地浏览网页、遏制邮件病毒的蔓延;邮件内容检测可以实时监视邮件系统，阻挡一切针对硬盘的恶意活动。个人防火墙就是在单机Windows系统上，采取一些安全防护措施，使得本机的息得到一定的保护。个人防火墙是面向单机操作系统的一种小型安全防护软件，按一定的规则对TCP，UDP，ICMP和IGMP等报文进行过滤，对网络的信息流和系统进程进行监控，防止一些恶意的攻击。目前市场上大多数的防火墙产品仅仅是网关的，虽然它们的功能相当强大，但由于它们基于下述的假设:内部网是

5、安全可靠的，所有的威胁都来自网外。因此，他们防外不防内，难以实现对企业内部局域网内主之间的安全通信，也不能很好的解决每一个拨号上网用户所在主机的安全问题，而多数个人上网之时，并没有置身于得到防护的安全网络内部。个人上网用户多使用Windows操作系统，而Windows操作系统，特别是WindowsXP系统，本身的安全性就不高。各种Windows漏洞不断被公布，对主机的攻击也越来越多。一般都是利用操作系统设计的安全漏洞和通信协议的安全漏洞来实现攻击。如假冒IP包对通信双方进行欺骗:对主机大量发送正数据包3进行轰炸攻击，使之际崩溃;以及蓝屏攻击等。因此，为了保护主机的安全通信，研制有效的个人防火墙

6、技术很有必要。二 防火墙的定义所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成， 防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件 (其中硬件防火墙用的较少，例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。 所谓“防火墙”

7、，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。三 防火墙的原理随着网络规模的扩大和开放性的增强，网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测)，但这几乎是一种不切合

8、实际的方法，因为对具有几百个甚至上千个节点的网络，它们可能运行着不同的操作系统，当发现了安全缺陷时，每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙 (Firewall)，防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备，作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障，它可以实施比较广泛的安全策略来控制信息流，防止不可预料的潜在的入侵破坏. DMZ外网和内部局域网的防火墙系统。四 防火墙技术防火墙是建立在现在通信网络技术和信息安全技术基础上的应用性安全技术。它是一个系统，

9、位于被保护网络和其它网络之间，进行访问控制，组织非法的信息访问和传递。防火墙并非单纯的软件或硬件，它实质是软件和硬件加上一组安全策略的集合。防火墙可以是硬件防火墙也可以是运行特定防火墙软件的宿主机。根据防火墙对进、出网络数据的处理方法，大致可以将防火墙分为两大体系：包过滤（分为简单的包过滤和状态检测的包过滤）防火墙和 防火墙（应用层网关防火墙和自适应代理防火墙）。1)简单包过滤技术传统的包过滤防火墙基于路由器，在网络层进行过滤，根据事先定义好的过滤规则来检测每个IP包的相关信息来决定数据流的通过还是拒绝，这些相关信息包括IP源地址、IP目标地址、传输协议（TCP、UDP、ICMP等）、TCP/

10、UDP目标端口、ICMP消息类型等。过滤规则明确指出希望通过的数据包以及禁止的数据包。包过滤防火墙是安全性最低的防火墙，它不能给定通信的内容。2)状态检测技术状态检测技术是防火墙近几年才采用的新技术，该技术采用一种基于连接的状态检测机制，读取，分析和利用了全方面的网络通信信息和状态，包括： 通信信息 所有7层协议的当前信息。 通信状态 以前的通信信息。 应用状态 其它相关应用信息。 操作信息 在数据包中能执行逻辑或数学运算的信息。状态检测防火墙仍采用客户端/服务器模式，数据包在网络层被拦截，属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，接着与定义好的规则表共同配合，对表中的各个

11、连接状态加以识别。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。对于UDP这样无状态的连接，以虚拟的连接方式构成连接表。3)代理技术进出的数据在代理防火墙出中转，数据好像是从防火墙发出的，从而起到隐藏内部网结构的作用，它的核心技术就是代理服务器技术，代理应用程序工作在应用层。代理服务器代表客户来处理向服务器的连接请求。当代理服务器得到一个客户额连接意图时，它们将核实客户请求，并经过特定的安全化的Ptoxy 应用程序处理连接请求，将处理后的请求传递到真实的服务器上，然后接 受服务器的应答，进一步处理后将答复交给发出请求的最终客户。代理类型

12、防火墙最突出的优点就是安全。它打破了客户端/服务器模式，由于每一个内外网络之间的连接都要通过Proxy的介入和转换，每个客户端/服务器通信需要两个连接：一个是从客户到防火墙，一个是从防火墙到服务器。而且每个代理需要一个不同的应用软件进程或守护进程，可移植性较差。新发展起来的第五代防火墙采用自适应代理技术，它结合了代理类型防火墙的安全性和包过滤防火墙的高速等优点。五 防火墙的应用常用防火墙探测如下：1)利用防火墙探测数据包的返回信息，例如登陆目标主机257端口时，若输入一定关键字，Firewall-1 有可能返回fwal字符串。2)利用一些工具，例如Traceroute、Firewalking、

13、Hpinging和NMAPing，分析其返回结果，可以判定和定位防火墙，并能探测出该防火墙开放的端口等信息。Traceroute可以用来进行定位，Firewalking、Hpinging和NMAPing为探测和分析提供帮助。3)利用端口扫描和ICMP报文。例如一台主机开放了256、257和258端口，它很有可能是一台Firewall-1,原因是Firewall-1防火墙通常开放这些端口用于远程管理：微软的Proxy Server监听1080和1745端口等。4)基于错误CRC的防火墙探测技术。5)利用SYN,Stelth FIN,Xmas Tree和Null扫描。以上技术都存在一定的适用范围，

14、而且使用一种技术的精确度并不高，因此攻击往往开发多种探测方案，并对结果进行全面的分析。六 防火墙的脆弱性防火墙的局限性必然导致其存在许多漏洞，这些漏洞表现在：1）目前在防火墙都装有固定的操作系统，而这个操作系统本身是不能保证没有安全漏洞，即在防火墙内部的操作系统存在隐患； 2）所有电子元器件都有一个生命周期，超过这个周期就会老化和失效，防火墙硬件设备也不例外；待添加的隐藏文字内容23）防火墙的安全功能都是由应用软件实现的，开发人员在设计这个应用软件时是不能保证其没有安全漏洞的。 4）由于防火墙本身是基于TCP/IP协议体系实现的，所以它无法解决TCP/IP协议体系中存在的漏洞；5）防火墙只是一

15、个政策执行机构，它并不区分所执行政策的对错，更无法判别出一条合法政策是否真是管理员的本意。 6）防火墙无法从流量上判别那些是正常的，那些是异常的，因此容易受到流量攻击； 7）防火墙的安全性与其速度和多功能成反比。8）防火墙准许某项服务，却不能保证该服务的安全性，它需要由应用安全来解决。 七 防火墙发展趋势防火墙是一种综合性技术，用于加强网络间的访问控制，防止外部用户非法使用内部资料。未来防火墙的技术发展将有如下特征：（1）高速化。从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够，所以防火墙必须在基于芯片加速的深度内容过滤技术上实现真正的突破，并推出实用化的产品以解决当前的

16、网络安全难题。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析、芯片解决计算加速、软件解决过滤精确，防火墙必将以软硬兼施的方案为用户的应用提供更安全的保障。而VPN、IDS/IPS、防病毒等功能可能以各类加速芯片的形式与防火墙协同工作，形成以芯片技术为主导的全系列硬件型安全网关。（2）更加实用、安全性。防火墙下一步的发展与中国下一代网络的建设紧密相关，如 IPV6网络、P2P应用、3G网络等等。这里要特别强调的是防火墙与IPV6。由于IPV6网络的新特性，如端到端的连接、移动IP的处理、内嵌IPSec、路径MTU探测等，给防火墙带来新的安全挑战。防火墙不仅要及时适应IPV6网络的发展，并

17、解决IPV6引入后带来的新问题，同时，由于IPV6与IPV4网络长期共存，网络必然会同时存在IPV4的安全问题与IPV6的安全问题，或由此造成新的安全问题。下一步要考虑的，不仅仅是更适应于网络发展的防火墙模型，可能还会包括网络安全防范与评估方法等等。（3）多功能化。多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都较高，组网环境也越来越复杂，一般用户总希望防火墙可支持更多功能，满足组网和节省投资的需要。（4）智能化。目前网络安全的三大主要问题是：以拒绝访问为主要目的的网络攻击，以蠕虫为主要代表的病毒传播，以垃圾电子邮件为代表的内容控制。这三大安全问题覆盖了网络安全方面的绝大部分问题，

18、达九成以上。而这三大问题，传统的防火墙是无能为力的。所以智能防火墙是新一代防火墙发展的趋势，必将成为主流产品。智能防火墙从技术特征上，是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。结束语在王老师的指导下，使我对防火墙技术有了一定的了解，并且认识到计算机网络和计算机网络安全就像矛和盾，自己算计诞生之日起就彼消此长。随着Internet的高速发展和应用，其安全越来越引起人们的关注、如何保护企业和个人在网络上的信息不受侵犯以成为当前摆在人们面前的一个重大问题。防火墙技术作为一种用来保护用户内部第一道安全屏障，始终受到人们的关注和重视，并成为网络安全产品的首选。参考文献

19、【1】 William Stallings, Cryptography and network security: principles and practice, Second Edition【2】 Charles P. P. and Shari L. P. , Security in Computing, Third Edition.【3】 防火墙原理与实用技术，北京启明星辰有限公司，电子工业出版社,北京， 2002,1【4】 William R Cheswick,戴宗坤译，防火墙与因特网安全,机械工业出版社,北京，2000,4 【5】 Terry William Ogletree, 防火

20、墙原理与实践, 电子工业出版社，北京，2001，2【6】魏利华.防火墙技术及其性能研究.能源研究与信息.2004，20(l):57一62【7】 李剑，刘美华，曹元大.分布式防火墙系统.安全与环境学报.2002，2(l):59一61【8】 王卫平，陈文惠，朱卫未.防火墙技术分析.信息安全与通信保密.2006，(8):24一27【9】A.Feldman, S.Muthukrishnan. Tradeoffs for Packet ClassifiCation. Proc.Of the 9th Annual Joint Conference of the IEEE Computer and Comm

21、unieations Soeieties.2000,vo1.3, 1193-1202.【10】王永纲，石江涛，戴雪龙，颜天信.网络包分类算法仿真测试与比较研究.中国科学技术大学学报.2004，34(4):400一409致谢本文是在王老师的悉心指导下完成的，从文献的查阅、论文的选题、撰写、修改、定稿，我的每一个进步都和王老师的关注与指导密不可分。王老师在论文的研究方向、资料的收集、论文的选题研究工作开展以及论文的最终定稿，给予我巨大无私的帮助。论文的字里行间无不凝结着老师的悉心指导和淳淳教诲，老师渊博的学识和严谨的治学态度给我留下了深刻的印象，我从他那里学到的不仅仅是专业知识，更重要的是严谨的治学态度、对事业忘我的追求、高度的使命感、责任感及和蔼热情的品质和做人的道理，这些将使我受益一生，并激励我不断向前奋进。 经过这次的实习也意味着我大学学习生涯的结束。在旅游学院的这三年时间转瞬即逝，借此机会我要感谢两年来传授我知识的老师们，更要感谢所有对我学业、生活上的支持和鼓励，感谢所有关心帮助过我的人。