防火墻技術(shù)分析與應(yīng)用計算機信息技術(shù)畢業(yè)論文.doc

《防火墻技術(shù)分析與應(yīng)用計算機信息技術(shù)畢業(yè)論文.doc》由會員分享，可在線閱讀，更多相關(guān)《防火墻技術(shù)分析與應(yīng)用計算機信息技術(shù)畢業(yè)論文.doc（14頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、防火墻技術(shù)分析與應(yīng)用河北旅游職業(yè)學(xué)院畢業(yè)論文題目：防火墻技術(shù)分析與應(yīng)用系 別： 信息技術(shù)系 班 級：08計算機信息管理姓 名： 學(xué) 號： 0809030101 指導(dǎo)教師： 二 零一 一 年 一月 指導(dǎo)老師 指導(dǎo)老師評語 答辯結(jié)果畢業(yè)論文等級評定目 錄摘 要：4關(guān)鍵詞：4一 緒論51）研究背景52）研究目的5二 防火墻的定義6三 防火墻的原理7四 防火墻技術(shù)71)簡單包過濾技術(shù)72)狀態(tài)檢測技術(shù)83)代理技術(shù)8五 防火墻的應(yīng)用9六 防火墻的脆弱性9七 防火墻發(fā)展趨勢10（1）高速化。10（2）更加實用、安全性。10（3）多功能化。11（4）智能化。11結(jié)束語11參考文獻12致謝12摘 要：文獻主

2、要通過對防火墻技術(shù)的分析以及應(yīng)用，總結(jié)了防火墻存在的安全脆弱性。最后介紹了防火墻技術(shù)的展望和發(fā)展趨勢。關(guān)鍵詞： 防火墻 防火墻技術(shù) 防火墻的應(yīng)用 發(fā)展趨勢一 緒論1）研究背景隨著互聯(lián)網(wǎng)的普及和發(fā)展，尤其是Internet的廣泛使用，使計算機應(yīng)用更加廣泛與深入。同時，我們不得不注意到，網(wǎng)絡(luò)雖然功能強大，也有其脆弱易受到攻擊的一面。據(jù)美國FBI統(tǒng)計，美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟損失高達75億美元，而全求平均每20秒鐘就發(fā)生一起Internet計算機侵入事件1。在我國，每年因黑客入侵、計算機病毒的破壞也造成了巨大的經(jīng)濟損失。人們在利用網(wǎng)絡(luò)的優(yōu)越性的同時，對網(wǎng)絡(luò)安全問題也決不能忽視。如何建立比較

3、安全的網(wǎng)絡(luò)體系，值得我們關(guān)注研究。2）研究目的為了解決互聯(lián)網(wǎng)時代個人網(wǎng)絡(luò)安全的問題，近年來新興了防火墻技術(shù)2。防火墻具有很強的實用性和針對性，它為個人上網(wǎng)用戶提供了完整的網(wǎng)絡(luò)安全解決方案，可以有效地控制個人電腦用戶信息在互聯(lián)網(wǎng)上的收發(fā)。用戶可以根據(jù)自己的需要，通過設(shè)定一些參數(shù)，從而達到控制本機與互聯(lián)網(wǎng)之間的信息交流阻止惡性信息對本機的攻擊，比如ICMPnood攻擊、聊天室炸彈、木馬信息破譯并修改郵件密碼等等。而且防火墻能夠?qū)崟r記錄其它系統(tǒng)試圖對本機系統(tǒng)的訪問，使計算機在連接到互聯(lián)網(wǎng)的時候避免受到網(wǎng)絡(luò)攻擊和資料泄漏的安全威脅。防火墻可以保護人們在網(wǎng)上瀏覽時免受黑客的攻擊，實時防范網(wǎng)絡(luò)黑客的侵襲，

4、還可以根據(jù)自己的需要創(chuàng)建防火墻規(guī)則，控制互聯(lián)網(wǎng)到PC以及PC到互聯(lián)網(wǎng)的所有連接，并屏蔽入侵企圖。防火可以有效地阻截各種惡意攻擊、保護信息的安全;信息泄漏攔截保證安全地瀏覽網(wǎng)頁、遏制郵件病毒的蔓延;郵件內(nèi)容檢測可以實時監(jiān)視郵件系統(tǒng)，阻擋一切針對硬盤的惡意活動。個人防火墻就是在單機Windows系統(tǒng)上，采取一些安全防護措施，使得本機的息得到一定的保護。個人防火墻是面向單機操作系統(tǒng)的一種小型安全防護軟件，按一定的規(guī)則對TCP，UDP，ICMP和IGMP等報文進行過濾，對網(wǎng)絡(luò)的信息流和系統(tǒng)進程進行監(jiān)控，防止一些惡意的攻擊。目前市場上大多數(shù)的防火墻產(chǎn)品僅僅是網(wǎng)關(guān)的，雖然它們的功能相當(dāng)強大，但由于它們基于

5、下述的假設(shè):內(nèi)部網(wǎng)是安全可靠的，所有的威脅都來自網(wǎng)外。因此，他們防外不防內(nèi)，難以實現(xiàn)對企業(yè)內(nèi)部局域網(wǎng)內(nèi)主之間的安全通信，也不能很好的解決每一個撥號上網(wǎng)用戶所在主機的安全問題，而多數(shù)個人上網(wǎng)之時，并沒有置身于得到防護的安全網(wǎng)絡(luò)內(nèi)部。個人上網(wǎng)用戶多使用Windows操作系統(tǒng)，而Windows操作系統(tǒng)，特別是WindowsXP系統(tǒng)，本身的安全性就不高。各種Windows漏洞不斷被公布，對主機的攻擊也越來越多。一般都是利用操作系統(tǒng)設(shè)計的安全漏洞和通信協(xié)議的安全漏洞來實現(xiàn)攻擊。如假冒IP包對通信雙方進行欺騙:對主機大量發(fā)送正數(shù)據(jù)包3進行轟炸攻擊，使之際崩潰;以及藍(lán)屏攻擊等。因此，為了保護主機的安全通信，

6、研制有效的個人防火墻技術(shù)很有必要。二 防火墻的定義所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)（Security Gateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成， 防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件或硬件 (其中硬件防火墻用的較少，例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火

7、墻。 所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進行通信。三 防火墻的原理隨著網(wǎng)絡(luò)規(guī)模的擴大和開放性的增強，網(wǎng)絡(luò)上的很多敏感信息和保密數(shù)據(jù)將受到很多主動和被動的人為攻擊。一種解決辦法是為需要保護的網(wǎng)絡(luò)上的每個工作站和服務(wù)器裝備上強大的安全特征(例如入侵檢測)，

8、但這幾乎是一種不切合實際的方法，因為對具有幾百個甚至上千個節(jié)點的網(wǎng)絡(luò)，它們可能運行著不同的操作系統(tǒng)，當(dāng)發(fā)現(xiàn)了安全缺陷時，每個可能被影響的節(jié)點都必須加以改進以修復(fù)這個缺陷。另一種選擇就是防火墻 (Firewall)，防火墻是用來在安全私有網(wǎng)絡(luò)(可信任網(wǎng)絡(luò))和外部不可信任網(wǎng)絡(luò)之間安全連接的一個設(shè)備或一組設(shè)備，作為私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間連接的單點存在。防火墻是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間的一道屏障，它可以實施比較廣泛的安全策略來控制信息流，防止不可預(yù)料的潛在的入侵破壞. DMZ外網(wǎng)和內(nèi)部局域網(wǎng)的防火墻系統(tǒng)。四 防火墻技術(shù)防火墻是建立在現(xiàn)在通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全

9、技術(shù)。它是一個系統(tǒng)，位于被保護網(wǎng)絡(luò)和其它網(wǎng)絡(luò)之間，進行訪問控制，組織非法的信息訪問和傳遞。防火墻并非單純的軟件或硬件，它實質(zhì)是軟件和硬件加上一組安全策略的集合。防火墻可以是硬件防火墻也可以是運行特定防火墻軟件的宿主機。根據(jù)防火墻對進、出網(wǎng)絡(luò)數(shù)據(jù)的處理方法，大致可以將防火墻分為兩大體系：包過濾（分為簡單的包過濾和狀態(tài)檢測的包過濾）防火墻和 防火墻（應(yīng)用層網(wǎng)關(guān)防火墻和自適應(yīng)代理防火墻）。1)簡單包過濾技術(shù)傳統(tǒng)的包過濾防火墻基于路由器，在網(wǎng)絡(luò)層進行過濾，根據(jù)事先定義好的過濾規(guī)則來檢測每個IP包的相關(guān)信息來決定數(shù)據(jù)流的通過還是拒絕，這些相關(guān)信息包括IP源地址、IP目標(biāo)地址、傳輸協(xié)議（TCP、UDP、I

10、CMP等）、TCP/UDP目標(biāo)端口、ICMP消息類型等。過濾規(guī)則明確指出希望通過的數(shù)據(jù)包以及禁止的數(shù)據(jù)包。包過濾防火墻是安全性最低的防火墻，它不能給定通信的內(nèi)容。2)狀態(tài)檢測技術(shù)狀態(tài)檢測技術(shù)是防火墻近幾年才采用的新技術(shù)，該技術(shù)采用一種基于連接的狀態(tài)檢測機制，讀取，分析和利用了全方面的網(wǎng)絡(luò)通信信息和狀態(tài)，包括： 通信信息 所有7層協(xié)議的當(dāng)前信息。 通信狀態(tài) 以前的通信信息。 應(yīng)用狀態(tài) 其它相關(guān)應(yīng)用信息。 操作信息 在數(shù)據(jù)包中能執(zhí)行邏輯或數(shù)學(xué)運算的信息。狀態(tài)檢測防火墻仍采用客戶端/服務(wù)器模式，數(shù)據(jù)包在網(wǎng)絡(luò)層被攔截，屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，接著與定義好的規(guī)則表共

11、同配合，對表中的各個連接狀態(tài)加以識別。采用這種技術(shù)的防火墻對通過其建立的每一個連接都進行跟蹤，并且根據(jù)需要可動態(tài)地在過濾規(guī)則中增加或更新條目。對于UDP這樣無狀態(tài)的連接，以虛擬的連接方式構(gòu)成連接表。3)代理技術(shù)進出的數(shù)據(jù)在代理防火墻出中轉(zhuǎn)，數(shù)據(jù)好像是從防火墻發(fā)出的，從而起到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用，它的核心技術(shù)就是代理服務(wù)器技術(shù)，代理應(yīng)用程序工作在應(yīng)用層。代理服務(wù)器代表客戶來處理向服務(wù)器的連接請求。當(dāng)代理服務(wù)器得到一個客戶額連接意圖時，它們將核實客戶請求，并經(jīng)過特定的安全化的Ptoxy 應(yīng)用程序處理連接請求，將處理后的請求傳遞到真實的服務(wù)器上，然后接 受服務(wù)器的應(yīng)答，進一步處理后將答復(fù)交給發(fā)出請求

12、的最終客戶。代理類型防火墻最突出的優(yōu)點就是安全。它打破了客戶端/服務(wù)器模式，由于每一個內(nèi)外網(wǎng)絡(luò)之間的連接都要通過Proxy的介入和轉(zhuǎn)換，每個客戶端/服務(wù)器通信需要兩個連接：一個是從客戶到防火墻，一個是從防火墻到服務(wù)器。而且每個代理需要一個不同的應(yīng)用軟件進程或守護進程，可移植性較差。新發(fā)展起來的第五代防火墻采用自適應(yīng)代理技術(shù)，它結(jié)合了代理類型防火墻的安全性和包過濾防火墻的高速等優(yōu)點。五 防火墻的應(yīng)用常用防火墻探測如下：1)利用防火墻探測數(shù)據(jù)包的返回信息，例如登陸目標(biāo)主機257端口時，若輸入一定關(guān)鍵字，F(xiàn)irewall-1 有可能返回fwal字符串。2)利用一些工具，例如Traceroute、Fi

13、rewalking、Hpinging和NMAPing，分析其返回結(jié)果，可以判定和定位防火墻，并能探測出該防火墻開放的端口等信息。Traceroute可以用來進行定位，F(xiàn)irewalking、Hpinging和NMAPing為探測和分析提供幫助。3)利用端口掃描和ICMP報文。例如一臺主機開放了256、257和258端口，它很有可能是一臺Firewall-1,原因是Firewall-1防火墻通常開放這些端口用于遠(yuǎn)程管理：微軟的Proxy Server監(jiān)聽1080和1745端口等。4)基于錯誤CRC的防火墻探測技術(shù)。5)利用SYN,Stelth FIN,Xmas Tree和Null掃描。以上技術(shù)都

14、存在一定的適用范圍，而且使用一種技術(shù)的精確度并不高，因此攻擊往往開發(fā)多種探測方案，并對結(jié)果進行全面的分析。六 防火墻的脆弱性防火墻的局限性必然導(dǎo)致其存在許多漏洞，這些漏洞表現(xiàn)在：1）目前在防火墻都裝有固定的操作系統(tǒng)，而這個操作系統(tǒng)本身是不能保證沒有安全漏洞，即在防火墻內(nèi)部的操作系統(tǒng)存在隱患； 2）所有電子元器件都有一個生命周期，超過這個周期就會老化和失效，防火墻硬件設(shè)備也不例外；3）防火墻的安全功能都是由應(yīng)用軟件實現(xiàn)的，開發(fā)人員在設(shè)計這個應(yīng)用軟件時是不能保證其沒有安全漏洞的。 4）由于防火墻本身是基于TCP/IP協(xié)議體系實現(xiàn)的，所以它無法解決TCP/IP協(xié)議體系中存在的漏洞；5）防火墻只是一個

15、政策執(zhí)行機構(gòu)，它并不區(qū)分所執(zhí)行政策的對錯，更無法判別出一條合法政策是否真是管理員的本意。 6）防火墻無法從流量上判別那些是正常的，那些是異常的，因此容易受到流量攻擊； 7）防火墻的安全性與其速度和多功能成反比。8）防火墻準(zhǔn)許某項服務(wù)，卻不能保證該服務(wù)的安全性，它需要由應(yīng)用安全來解決。 七 防火墻發(fā)展趨勢防火墻是一種綜合性技術(shù)，用于加強網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部資料。未來防火墻的技術(shù)發(fā)展將有如下特征：（1）高速化。從國內(nèi)外歷次測試的結(jié)果都可以看出，目前防火墻一個很大的局限性是速度不夠，所以防火墻必須在基于芯片加速的深度內(nèi)容過濾技術(shù)上實現(xiàn)真正的突破，并推出實用化的產(chǎn)品以解決當(dāng)前的網(wǎng)

16、絡(luò)安全難題。隨著算法和芯片技術(shù)的發(fā)展，防火墻會更多地參與應(yīng)用層分析、芯片解決計算加速、軟件解決過濾精確，防火墻必將以軟硬兼施的方案為用戶的應(yīng)用提供更安全的保障。而VPN、IDS/IPS、防病毒等功能可能以各類加速芯片的形式與防火墻協(xié)同工作，形成以芯片技術(shù)為主導(dǎo)的全系列硬件型安全網(wǎng)關(guān)。（2）更加實用、安全性。防火墻下一步的發(fā)展與中國下一代網(wǎng)絡(luò)的建設(shè)緊密相關(guān)，如 IPV6網(wǎng)絡(luò)、P2P應(yīng)用、3G網(wǎng)絡(luò)等等。這里要特別強調(diào)的是防火墻與IPV6。由于IPV6網(wǎng)絡(luò)的新特性，如端到端的連接、移動IP的處理、內(nèi)嵌IPSec、路徑MTU探測等，給防火墻帶來新的安全挑戰(zhàn)。防火墻不僅要及時適應(yīng)IPV6網(wǎng)絡(luò)的發(fā)展，并解

17、決IPV6引入后帶來的新問題，同時，由于IPV6與IPV4網(wǎng)絡(luò)長期共存，網(wǎng)絡(luò)必然會同時存在IPV4的安全問題與IPV6的安全問題，或由此造成新的安全問題。下一步要考慮的，不僅僅是更適應(yīng)于網(wǎng)絡(luò)發(fā)展的防火墻模型，可能還會包括網(wǎng)絡(luò)安全防范與評估方法等等。（3）多功能化。多功能也是防火墻的發(fā)展方向之一，鑒于目前路由器和防火墻價格都較高，組網(wǎng)環(huán)境也越來越復(fù)雜，一般用戶總希望防火墻可支持更多功能，滿足組網(wǎng)和節(jié)省投資的需要。（4）智能化。目前網(wǎng)絡(luò)安全的三大主要問題是：以拒絕訪問為主要目的的網(wǎng)絡(luò)攻擊，以蠕蟲為主要代表的病毒傳播，以垃圾電子郵件為代表的內(nèi)容控制。這三大安全問題覆蓋了網(wǎng)絡(luò)安全方面的絕大部分問題，達

18、九成以上。而這三大問題，傳統(tǒng)的防火墻是無能為力的。所以智能防火墻是新一代防火墻發(fā)展的趨勢，必將成為主流產(chǎn)品。智能防火墻從技術(shù)特征上，是利用統(tǒng)計、記憶、概率和決策的智能方法來對數(shù)據(jù)進行識別，并達到訪問控制的目的。結(jié)束語在王老師的指導(dǎo)下，使我對防火墻技術(shù)有了一定的了解，并且認(rèn)識到計算機網(wǎng)絡(luò)和計算機網(wǎng)絡(luò)安全就像矛和盾，自己算計誕生之日起就彼消此長。隨著Internet的高速發(fā)展和應(yīng)用，其安全越來越引起人們的關(guān)注、如何保護企業(yè)和個人在網(wǎng)絡(luò)上的信息不受侵犯以成為當(dāng)前擺在人們面前的一個重大問題。防火墻技術(shù)作為一種用來保護用戶內(nèi)部第一道安全屏障，始終受到人們的關(guān)注和重視，并成為網(wǎng)絡(luò)安全產(chǎn)品的首選。參考文獻【

19、1】 William Stallings, Cryptography and network security: principles and practice, Second Edition【2】 Charles P. P. and Shari L. P. , Security in Computing, Third Edition.【3】 防火墻原理與實用技術(shù)，北京啟明星辰有限公司，電子工業(yè)出版社,北京， 2002,1【4】 William R Cheswick,戴宗坤譯，防火墻與因特網(wǎng)安全,機械工業(yè)出版社,北京，2000,4 【5】 Terry William Ogletree, 防火墻

20、原理與實踐, 電子工業(yè)出版社，北京，2001，2【6】魏利華.防火墻技術(shù)及其性能研究.能源研究與信息.2004，20(l):57一62【7】 李劍，劉美華，曹元大.分布式防火墻系統(tǒng).安全與環(huán)境學(xué)報.2002，2(l):59一61【8】 王衛(wèi)平，陳文惠，朱衛(wèi)未.防火墻技術(shù)分析.信息安全與通信保密.2006，(8):24一27【9】A.Feldman, S.Muthukrishnan. Tradeoffs for Packet ClassifiCation. Proc.Of the 9th Annual Joint Conference of the IEEE Computer and Commu

21、nieations Soeieties.2000,vo1.3, 1193-1202.【10】王永綱，石江濤，戴雪龍，顏天信.網(wǎng)絡(luò)包分類算法仿真測試與比較研究.中國科學(xué)技術(shù)大學(xué)學(xué)報.2004，34(4):400一409致謝本文是在王老師的悉心指導(dǎo)下完成的，從文獻的查閱、論文的選題、撰寫、修改、定稿，我的每一個進步都和王老師的關(guān)注與指導(dǎo)密不可分。王老師在論文的研究方向、資料的收集、論文的選題研究工作開展以及論文的最終定稿，給予我巨大無私的幫助。論文的字里行間無不凝結(jié)著老師的悉心指導(dǎo)和淳淳教誨，老師淵博的學(xué)識和嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度給我留下了深刻的印象，我從他那里學(xué)到的不僅僅是專業(yè)知識，更重要的是嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度、對事業(yè)忘我的追求、高度的使命感、責(zé)任感及和藹熱情的品質(zhì)和做人的道理，這些將使我受益一生，并激勵我不斷向前奮進。 經(jīng)過這次的實習(xí)也意味著我大學(xué)學(xué)習(xí)生涯的結(jié)束。在旅游學(xué)院的這三年時間轉(zhuǎn)瞬即逝，借此機會我要感謝兩年來傳授我知識的老師們，更要感謝所有對我學(xué)業(yè)、生活上的支持和鼓勵，感謝所有關(guān)心幫助過我的人。第 14 頁 共 14 頁