防火墙部署策略研究毕业论文

防火墙部署策略研究毕业论文内容摘要：

后也需要被组装还原。 包过滤防火墙设计主要依据这个原理，从而进行数据包访问控制。 数据包过滤产品是防火墙的主要类型之一。 在网络层中，包过滤对数据包的通过有所选择，根据系统预先设置好的 过滤逻辑 ,检查每个数据流中个的数据包 ,依据数据包的源地址、目的地址和端口用于确定是否允许此类数据包通过。 在互联网这样一个信息包交换网络上 ,往来的所有信息都被分为许多长度一定的信息包 ,这些信息包包含了发送方和接收方各自的 IP 地址。 把这些包送到互联网上时 ,路由器会读取接收方的 IP 并选择一条发送物理链路 ,信息包可能会从不同的路线到达目的地 ,当所有的包到达目的地后会被再次组装还原。 包过滤防火墙将所有包里的 IP 地址、通过信息检查一遍 ,并根据由系统管理员设定的过滤规则过滤信息包。 如果一个 IP 地址被防火墙设定为危险的话， ,从这个地址的所有信息将被防火墙阻止。 这种防火墙的用法很多 ,比如包过滤防火墙可以被国家相关部门用来禁止国内用户访问 “ 有问题 ” 或违反我国相关规定的外国网站。 数据包过滤防火墙通过读取数据包 ,从一些相关信息来判断数据的可信度和安全性 ,然后以判定结果为依据 ,进行数据处理。 一旦数据包得不到防火墙的信任 ,便无法进入计算机操作系统。 该防火墙技术具有很强的实用性 ,在一般网络环境下也可以保护计算机网络的安全 ,操作方便 ,成本低。 作为防火墙中最基本的类型，它在实际应用中得到了很大的推广。 然而 ,因为该技术是基于一些基本的信息来确 定其安全性 ,对于某些应用程序和邮件病毒不能起到有效的抵制作用。 一些数据为骗过防火墙的数据包过滤，通过伪造 IP 地址的方法 ,然后施行攻击和破坏。 这在一定程度上可以对计算机网络安全构成威胁。 包过滤是一种常见的、有效的和廉价安全手段。 因为它并不是为每一个具体的网络服务采用特殊的处理方式，适用于所有网络服务 ,所以常见；因为它可以在很大程度上满足大多数企业的安全要求，所以有效；因为大多数路由器都具有包过滤功能 ,这类防火墙大多数由路由器集成，所以廉价。 包过滤防火墙技术可以发挥一定的安全保护作用 ,也有很多优点 ,但也有很大的缺陷 ,无法提供比较高的安全性。 因此 ,在实际应用中 ,包过滤技术很少作为一个单独的安全解决方案 ,它通常跟其他防火墙技术组合在一起 ,形成一个防火墙系统。 9 代理服务器防火墙 Proxy Server 是代理服务器的英文全称 ,它的功能是代理网络用户获取网络信息。 形象的说 :它是网络信息的驿站。 一般来说 ,我们使用一个网络浏览器来直接连接到其他 Inter 站点取得网络信息 ,必须发送 Request 信号得到回答 ,然后对方再以 bit 方式把信 息传送回来。 代理服务器是一个 web 服务器和浏览器之间的服务器 ,因为有了它，浏览器是向代理服务器发送请求，先将 Request 信号送到代理服务器，浏览器所需要的信息由代理服务器取回，并传送给发送请求的浏览器。 此外 ,大多数代理服务器都有缓冲的功能 ,这好像一个大 Cache,它有大量的存储空间 ,它会不断地将新数据存储在机器的内存 ,如果浏览器请求数据的本地存储已经存在 ,而且它是最新的 ,那么它不是重新从 Web 服务器获取数据 ,而是直接将存储器上的数据传输给用户的浏览器， ,所以你可以显著提高浏览速度和效率。 更重要的是 :代理 服务器是 Inter 链路级网关提供了一种重要的安全功能 ,其工作主要是在开放系统互连。 代理型防火墙，就是代理服务器 ,它会回应输入封包 ,屏蔽内部网和外部网之间的信息交换。 因为代理网络位于服务器和客户机之间 ,这时对客户机来说，代理防火墙是一个服务机器 ,它增强了外部网络窜改内网的阻力 ,即使误用一个内部系统，也不会导致改善计算机安全漏洞在防火墙之外入侵。 它极大的网络安全性 ,而且正向应用层发展 ,可以针对应用层的病毒入侵实施保护措施。 这种新型的代理防火墙技术的缺点是增加投资的成本 ,和对管理员的专业技能和综合素质有较 高的要求 ,给网络管理带来了一定的压力。 从本质上讲 ,代理是在互联网网关防火墙设置特定功能的应用层代码 ,代理的主要功能是监控数据流 ,过滤数据流、记录数据流和报告数据流等。 在应用层，代理的任务主要是控制应用层服务 ,在内部网络向外部网络申请服务是进行转接 ,对内网来说，唯一被接受的服务请求只有代理提出的 ,将外部网络其他接点发出的请求直接拒绝。 代理的工作原理并不复杂 ,用户与代理服务器之间的连接建立后 ,向代理发送目的网站信息 ,如果请求是合法的 ,代理将和目的站点建立连接 ,然后两者之间的数据传输转发。 代理的主要特点是状态性 ,可以提供相关的状态和传输信息 ,审计 ,此外 ,内部 IP 地址也可以隐藏 ,和包过滤路由器相比 ,安全策略的实施更严格。 所有特定的应用程序有独家代理模块 ,对管理员来说 ,代理的选择可以从实际需求出发来安装需要的代理。 代理型防火墙主要集中作用在应用层 ,是建立在网络应用层上协议过滤和转发功能 ,通过防火墙检查发送和接收的数据包 ,并通过防火墙复制给传输的数据包 ,层交换技术能识别数据帧携带的 MAC 地址信息 ,并以此为基础对数据进行转发 ,而且通过这些 MAC 地址对应的计算机网络端口 ,可以把局域网 10 的用户记录在内部的 MAC 地址表中。 代理防火墙的最突出特点是 ,将防火墙网络通信链路可以分为两个部分。 应用层在防火墙内部和外部之间的 “ 链接 ” 计算机系统包含两个 “ 链接 ” 在代理服务器上 ,外部计算机网络链接只能达到代理服务器 ,它起到隔离在防火墙内部和外部计算机系统的作用。 除此之外 ,代理防火墙发现被攻击的迹象时 ,将通知网络管理员 ,维护攻击现场。 也就是说 ,在代理服务中 ,内部每个站点之间的链接被切断了 ,代理服务器在幕后操纵各个站点之间的连接。 状态检测防火墙 状态包检测防火墙采用状态包过滤技术 ,是传统包过滤的 功能扩展。 状态检测防火墙在网络层中有个检查引擎截取数据包并提取应用层状态相关的信息 ,并在此基础上决定接受或拒绝连接。 这种技术提供了高安全性的解决方案 ,同时具有良好的适应性和可扩展性。 状态检测防火墙通常也包括一些代理的服务 ,他们提供额外的支持应用程序数据的具体内容。 状态检测技术是最适合提供 UDP 协议有限的支持。 它将所有 UDP 数据包通过防火墙作为一个虚拟连接 ,当反向应答分组送达时 ,被认为是一个虚拟的连接已经建立。 状态检测防火墙弥补了包过滤防火墙和代理服务器的缺陷 ,不仅检测源地址和目的地址 ,而且不需要每一个访问应 用程序都有代理 状态检测防火墙是第三代防火墙技术 ,可以对网络通信的各个层进行检测。 跟包过滤技术一样 ,它可以通过 IP 地址和端口号和 TCP 检测标签 ,对发送和接收的数据包进行过滤。 它允许受信任的客户端和不可信主机直接建立连接 ,不依赖于应用层相关的代理 ,而是依靠一种算法来识别应用层的数据 ,这些算法通过已知的合法包模式比较数据包 ,所以理论上可以比应用级代理过滤数据包更有效。 状态监视器监视模块支持多种协议和应用程序 ,应用程序和服务可以很容易地扩大。 此外 ,它还可以监视 RPC 和 UDP 端口信息 ,但是包过滤和代理不支持这种类型的端口。 通过这种方式 ,对各层监控，状态监控实现网络安全的目标。 目前多使用状态监测防火墙 ,它对用户都是透明的 ,在 OSI 最高层对数据进行加密 ,而不需要修改客户端程序 ,也不需要对每一个需要在防火墙上运行的服务增加一个附加的代理。 监测型防火墙可以主动监测网络通信数据 ,在很大程度上改善了计算机网络的安全情况。 过滤破坏网络环境和网络操作的信息和数据是电脑防火墙最原始的设计理念 ,但监测型防火墙处于主动地位来监测信息 ,它有一个非常突出的优点 ,有很强的保证计算机安全性的能力。 但是 ,该类型防火墙的缺点之一是管理及投资成本 ,因 此 ,目前这种防火墙技术没有得到普及。 在实践中 ,可以根据具体的网 11 络环境 ,选择相符的监测技术 ,这样我们可以在提高计算机网络安全的基础上 ,降低投资成本。 防火墙技术的优缺点 以及 局限性 几种防火墙的技术比较 （ 1）包过滤防火墙过滤数据包本身 ,而不是一个针对特定的网络服务 ,因此 ,包过滤防火墙可以适应所有的网络。 和包过滤防火墙主要是通过路由器的数据包检测 ,大多数路由器都有数据包监测的作用 ,因此 ,包过滤防火墙价格较低 ,性能高 ,处理速度快。 但是 ,这种防火墙安全性不高 ,难以识别用户的身份。 包过滤防火墙 ,一般是安装在网络层的路由器上 ,可以根据由网络管理员设置的访问控制列表 ,有效筛查通过防火墙所有传送信息的 IP 源地址、目的地址和封装协议和端口号。 但由于防火墙无法确定数据包的源 ,目标和端口等 ,对于恶意JAVA 小程序病毒 ,电子邮件病毒和其他基于应用层的恶意入侵 ,不能识别 ,威胁到网络的安全。 (2)代理防火墙是一种工作在应用程序级别的防火墙 ,能监控网络连接的内容，可以在某种程度上打破内部网络和外部网络的连接 ,使网络活动更安全 ,但它在监测网络中较深内容的时候速度减慢 ,在数据吞吐量大市容易出问题，因此它不适合高速网络。 代理服务器防火墙 ,也就是代理服务器，通常坐落在用户终端和服务器之间可以完全阻止两者之间的数据交换。 包括服务端程序和客户端程序。 相对于包过滤防火墙，代理服务器防火墙可以在应用层工作 ,而且不提供直接的外部网络和内部服务器的数据通道 ,安全性高。 （ 3）状态监测防火墙可以通过测试模块提取和动态监测数据的保存 ,方便日后制定安全决策。 在安全规则和网络配置的基础上，该类型防火墙主要是提取分析用户的访问请求的数据，及时决定接受 ,拒绝 ,身份验证或加密等决策。 当发现违反网络配置和安全规定的访问数据时 ,发出安全警 报 ,同时防火墙拒绝访问 ,向系统管理器报警。 但是状态监测防火墙配置更为复杂 ,会影响网络信息传输速度的提高。 在目前的防火墙市场 ,一般采用采用应用网关集成包过滤技术。 12 防火墙部署策略实例分析 网络安全策略 的基本思想 所谓的计算机网络安全策略主要指的是在 具体 的计算网络环境中， 以确保计算机网络安全保护的水平需要遵守的规则。 由于计算机网络系统 可 随时遭受到各种攻击， 所以 ， 必须提高网络安全 策略 ， 如果采用相对单一的安全策略 ， 就不能起到很好保护计算机网络的作用 ， 所以 ， 常 常需 要 配合使用多种安全策略。 数据加密技术 在计算机网络系统中，数据加密技术可以 更 有效地 保护网络信息和 数据，进行数据的加密处理主要是为了防止计算机网络数据遭到窃取、篡改及破坏。 一般来说 ，使用 更多 的数据加密技术主要包括链路加密、节点加密、端端加密以及混合加密等方式。 计算机网络存取控制策略 网络 存取控制策略 可以识别计算机网络用户的身份 ， 防止 非法用户 的 入侵，威胁网络信息和数据。 目前，网络存取控制方法 比 较多，使用 比 较多的技术包括如下几种： （ 1）身份识别技术， 这是 一个 计算机网络安全系统中 的 基本 技术 特征外 ，也是 通讯 双方身份验证过 程中较为有效的手段，当用户向系统进行服务请求的发送过程中，首先 对其身份进行证明，例如，输入用户名 和 密码等。 而系统必须具备对用户身份进行验证的功能，通过验证用户所输入的信息， 判断这个输入是否来自合法用户 ， 保证合法用户的使用权益 ； （ 2）数字签名技术，它主要指的是 电子形式的签名， 通过密码形式来提高计算机网络系统的安全。 更 为常用的数字签名技术包括双 密匙与单密钥两种技术。 其中，单密钥体制所采用的加密及解密密钥不能 对外公开；而双密钥体制是两个用户公开登记的密钥，是对方进行签名验证的主要依据之一，双方均具有各自的保密密钥，可对所发送数据 做出 保密； （ 3）存取权限控制技术，它主要控制如下两点 ： 第 一是 防止 非法用户入侵 13 系统， 第 二是 防止 合法用户 非法使用系统的资源。 对于开放的系统 来说 ，必须 对网络资源 制订相关的使用规定 ， 一方面要处理什么类型的用户可以合法访问定义哪些资源 ，另一方面， 也处理合法用户的操作权限定义。 只有把 这两点 分清楚了，并且规范权限控制，才能保障计算机网络的安全 ； （ 4）灾难恢复策略，即所谓的备份策略。 管理人员必须备份服务器上的有关数据 ， 备份的 常用 形式有 本机完全备份和网络备份两种 形式。 应当不定 期 地进行备份，尽可能 让它远离服务器，将它单独的存储在独立的空间，防止因火灾和盗窃 等原因导致数据信息丢失。 防火墙 在广播制播网中的 部署实例 随着广播 业的 快速 发展，广播与外界之间的 数据交流更加 频繁， 以避免外界对 安全制播 的干扰 ，引入音频防火墙 到广播制播网中就显得非常 重要。 目前，大部分的 市级广播电台音频制播网都是 单独的内部网络 ， 与广播电台的办公网、广播门户网 等是完全物理隔离，目的是为了避免 外界 对安全制播干扰影响。 广播电视台不允许在音频制播网内使用 U 盘、移动硬盘等外接设备的，与音频制播网的文件交换由技术中心指派专人使用专门的设备 进行 拷贝，这种做法不仅延长了编辑记者使用外采音频编辑节目的时间，而且阻碍了广播电台与外界之间大量的音频 数据 交换。