防火墙技术毕业设计论文(编辑修改稿)

防火墙技术毕业设计论文(编辑修改稿)内容摘要：

1．包过滤。 包过滤是一种网络的数据安全保护机制，它可用来控制流出和流入网络的数据，它通常由定义的各条数据安全规则所组成，防火墙设置可基于源地址、源端口、目的地址、目的端口、协议和时间。 可根据地址簿进行设置规则。 2．地址转换。 网络地址变换是将内部网络或外部网络的 IP 地址转换，可分为源地 址转换 Source NAT(SNAT)和目的 地址转 换 Destination NAT(DNAT)。 SNAT 用于对内部网络地址进行转换，对 外部网络隐藏起内部网络的结构，避免受到来自外部其他网络的非授权访问或恶意攻击。 并将有限的 IP 地址动态或静态的与内部 IP 地址对应起来，用来缓解地址空间的短缺问题，节省资源，降低成本。 DNAT 主要用于外网主机访问内网主机。 3．认证和应用代理。 认证指防火墙对访问网络者合法身分的确定。 代理指防火墙内置用户认证数据库。 提供 HTTP、 FTP 和 SMTP 代理功能，并可对这三种协议进行访问控制。 同时支持 URL 过滤功能。 4．透明和路由 16 指防火墙将网关隐藏在公共系统之后使其免遭直接攻击。 隐蔽智能网关提供了对互联网服 务进行几乎透明的访问，同时阻止了外部未授权访问者对专用网络的非法访问。 防火墙还支持路由方式，提供静态路由功能，支持内部多个子网之间的安全访问。 入侵检测功能 入侵检测技术 [7]就是一种主动保护自己免受黑客攻击的一种网络安全技术，包括以下内容 :。 端口扫描就是指黑客通过远程端口扫描的工具，从中发现主机的哪些非常用端口是打开的。 是否支持 FTP、 Web 服务。 且 FTP 服务是否支持“匿名”，以及 IIS 版本，是否有可以被成功攻破的 IIS 漏洞，进而对内部网络的主机进行攻击。 顾名思义反端口扫描就是 防范端口扫描的方法，目前常用的方法有 :关闭闲置和有潜在危险的端口。 检查各端口，有端口扫描的症状时，立即屏蔽该端口，多数防火墙设备采用的都是这种反端口扫描方式。 拒绝服务 (DoS)攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应，其攻击方式有很多种。 而分布式的拒绝服务攻击 (DDoS)攻击手段则是在传统的 DoS 攻击基础之上产生的一类攻击方式，分布式的拒绝服务攻击 (DDoS)。 其原理很简单，就是利用更多的受控主机同时发起进攻，以比 DoS 更大的规模 (或者说以更高 于受攻主机处理能力的进攻能力 )来进攻受害者。 现在的防火墙设备通常都可检测 Synflod、Land、 Ping of Death、 TearDrop、 ICMP flood 和 UDPflod 等多种 17 DOS/DDOS 攻击。 (Buffer Overflow)。 缓冲区溢出(Buffer Overflow)攻击指利用软件的弱点将任意数据添加进某个程序中，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。 更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进 行各种非法操作，防火墙设备可检测对 FTP、 Tel、 SSH、 RPC 和 SMTP 等服务的远程堆栈溢出入侵。 CGI/IIS 服务器入侵。 CGI 就是 Common Gateway Inter—— face 的简称。 是 World Wide Web 主机和 CGI 程序间传输资讯的定义。 IIS 就是 Inter Information server 的简称，也就是微软的Inter 信息服务器。 防火墙设备可检测包括针对 Unicode、 ASP 源码泄漏、 PHF、 NPH、 等已知上百种的有安全隐患的CGI/IIS 进行的探测和攻击方式。 、木马及其网络蠕虫。 后门程序是指采用某种方法定义出一个特殊的端口并依靠某种程序在机器启动之前自动加载到内存，强行控制机器打开那个特殊的端口的程序。 木马程序的全称是“特洛依木马”，它们是指寻找后门、窃取计算机的密码的一类程序。 网络蠕虫病毒分为 2 类，一种是面向企业用户和局域网而一言，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网造成瘫痪性的后果，以“红色代码”，“尼姆达”，以及最新的“ sql 蠕虫王”为代表。 另外一种是针对个人用户的，通过网络 (主要是电子邮件 ，恶 18 意网页形式 )迅速传播的蠕虫病毒，以爱虫病毒，求职信病毒为例。 防火墙设备可检测试图穿透防火墙系统的木马控制端和客户端程序。 检测试图穿透防火墙系统的蠕虫程序。 虚拟专网功能 指在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络中传播。 VPN 的基本原理是通过 IP 包的封装及加密、认证等手段，从而达到安全的目的。 其他功能 地址 /MAC 地址绑定。 可支持任一网络接口的 IP 地址和MAC 地址的绑定，从而禁止用户随意修改 IP 地址。 要求对使用身份标识和认证的机制，文件 的创建，修改，系统管理的所有操作以及其他有关安全事件进行记录，以便系统管理员进行安全跟踪。 一般防火墙设备可以提供三种日志审计功能 :系统管理日志、流量日志和入侵日志。 内置特殊站点数据库，用户可选择是否封禁色情、反动和暴力等特殊站点。 防火墙的原理及分类 国际计算机安全委员会 ICSA 将防火墙分成三大类 :包过滤防火墙，应用级代理服务器 [8]以及状态包检测防火墙。 包过滤防火墙 19 顾名思义，包过滤防火墙 [9]就是把接收到的每个数据包同预先设定的包过滤规则相比较，从而决定是否阻 塞或通过。 过滤规则是基于网络层 IP 包包头信息的比较。 包过滤防火墙工作在网络层， IP 包的包头中包含源、目的 IP 地址，封装协议类型 (TCP， UDP， ICMP或 IP Tunnel)， TCP/UDP 端口号， ICMP 消息类型， TCP 包头中的ACK 等等。 如果接收的数据包与允许转发的规则相匹配，则数据包按正常情况处理。 如果与拒绝转发的规则相匹配，则防火墙丢弃数据包。 如果没有匹配规则，则按缺省情况处理。 包过滤防火墙是速度最快的防火墙，这是因为它处于网络层，并且只是粗略的检查连接的正确性，所以在一般的传统路由器上就可以实现， 对用户来说都是透明的。 但是它的安全程度较低，很容易暴露内部网络，使之遭受攻击。 例如， HTTP。 通常是使用 80 端口。 如果公司的安全策略允许内部员工访问网站，包过滤防火墙可能设置允所有 80 端口的连接通过，这时，意识到这一漏洞的外部人员可以在没有被认证的情况下进入私有网络。 包过滤防火墙的维护比较困难，定义过滤规则也比较复杂，因为任何一条过滤规则的不完善都会给网络黑客造成可乘之机。 同时，包过滤防火墙一般无法提供完善的日志。 应用级代理防火墙 应用级代理技术通过在 OSI 的最高层检查每一个 IP 包，从而实现安全 策略。 代理技术与包过滤技术完全不同，包过滤技术在网络层控制所有的信息流，而代理技术一直处理到应用层，在应用层实现防火墙功能。 它的代理功能，就是在防火墙处终止客户连接并初始化一个新 20 的连接到受保护的内部网络。 这一内建代理机制提供额外的安全，这是因为它将内部和外部网络隔离开来，使网络外部的黑客在防火墙内部网络上进行探测变得困难，更重要的是能够让网络管理员对网络服务进行全面的控制。 但是，这将花费更多的处理时间，并且由于代理防火墙支持的应用有限，每一种应用都需要安装和配置不同的应用代理程序。 比如访问 WEB 站点的 HTTP，用于文件传输的 FTP，用于E 一 MAIL 的 SMTP/POP3 等等。 如果某种应用没有安装代理程序，那么该项服务就不被支持并且不能通过防火墙进行转发。 同时升级一种应用时，相应的代理程序也必须同时升级。 代理服务型防火墙 代理服务 (Proxy Service)也称链路级网关或 TCP 通道 (Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。 它是针对数据包过滤 [10]和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。 防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。 此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。 应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用。 同时 也常结合入过滤器的功能。 它工作在 OSI 模型的最高层，掌 握着应用系统中可用作安全决策的全部信息。 21 复合型防火墙 由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。 这种结合通常是以下两种方案。 屏蔽主机防火墙体系结构，在该结构中，分组过滤路由器或防火墙与 Inter 相连，同时一个堡垒机安装在内部网络，通过在分组过滤器路由器或防火墙上过滤规则的设置，使堡垒机成为 Inter上其他节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。 屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区， 两个分组过滤路由器放在这一子网的两端，使这一子网与 Inter 及内部网络分离。 在屏蔽子网防火墙体系结构中，堡垒机和分组过滤路由器共同构成了整个防火墙的安全基础。 防火墙包过滤技术 随着 Inter 的迅速发展，网络应用涉及到越来越多的领域，网络中各类重要的、敏感的数据逐渐增多。 同时由于黑客入侵以及网络病毒的问题，使得网络安全问题越来越突出。 因此，保护网络资源不被非授权访问，阻止病毒的传播感染显得尤为重要。 就目前而言，对于局部网络的保护，防火墙仍然不失为一种有效的手段，防火墙技术主要分为包过 滤和应用代理两类。 其中包过滤作为最早发展起来的一种技术，其应用非常广泛。 所谓包过滤，就是对流经网络防火墙的所有数据包逐个检查，并 22 依据所制定的安全策略来决定数据包是通过还是不通过。 包过滤最主要的优点在于其速度与透明性。 也正是由于此。 包过滤技术历经发展演变而未被淘汰。 由于其主要是对数据包的过滤操作，所以数据包结构是包过滤技术的基础。 考虑包过滤技术的发展过程，可以认为包过滤的核心问题就是如何充分利用数据包中各个字段的信息，并结合安全策略来完成防火墙的功能 [11][15] 数据表结构 当应用程序用 TCP 传送数据时，数据被送入协议栈中，然后逐个通过每一层直到被当作一串比特流送入网络。 其中每一层对接收到的数据都要增加一些首部信息。 TCP 传给 IP 的数据单元称作 TCP报文段 (TCP Segment)。 IP 传给网络接口层的数据单元称作 IP 数据报(IP Datagram)；通过以太网传输的比特流称作帧 (Frame)。 对于进防火墙的数据包，顺序正好与此相反，头部信息逐层剥掉。 IP， TCP首部格式如表 21 表 22 所示。 表 21 IP 首部格式 版本 首部长 服务类型 总 长 度 标识 标志 片偏移 生存时间 协 议 首部校验和 源 IP 地址 目的 IP 地址 选项 23 表 22 TCP 首部格式 源端口号 目的端口号 序列号 确认号 首部长 保留 L R C T B L P B H R C T C J H H J R 窗口大小 TCP 校验和 紧急指针 选项 对于帧的头部信息主要是源 /目的主机的 MAC 地址。 IP 数据报头部信息主要是源 /目的主机的 IP 地址。 TCP 头部的主要字段包括源 /目的端口、发送及。