计算机网络安全与防火墙技术论文

计算机网络安全与防火墙技术论文内容摘要：

业心、责任心的培养教育以及相关技术培训。 （ 2）建立完善的安全管理体制和制度，以起到对管理人员和操作人员鼓励和监督的作用。 （ 3）管理措施要标准化 、规范化和科学化。 8 大学毕业论文 第三章 防火墙概述 随着 Inter 的迅速发展，网络应用涉及到越来越多的领域，网络中各类重要的、敏感的数据逐渐增多。 同时由于黑客入侵以及网络病毒的问题，使得网络安全问题越来越突出。 因此，保护网络资源不被非授权访问，阻止病毒的传播感染显得尤为重要。 就目前而言，对于局部网络的保护，防火墙仍然不失为一种有效的手段，防火墙技术主要分为包过滤和应用代理两类。 其中包过滤作为最早发展起来的一种技术，其应用非常广泛。 防火墙的概念 防火墙是设置在被保护 网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。 [4]防火墙是指设置在不同网络 (如可信任的企业内部网和不可信的公共网 )或网络安全域之间的一系列部件的组合。 它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制 (允许、拒绝、监测 )出入网络的信息流，且本身具有较强的抗攻击能力。 它是提供信息安全服务，实现网络和信息安全的基础设施。 防火墙提供信息安全服务，是实现网络和信息安全的基础设施。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网络和互联网之间 的任何活动，保证了内部网络的安全。 传统防火墙介绍 目前的防火墙技术无论从技术上还是从产品发展历程上，都经历了五个发展历程。 图 1表示了防火墙技术的简单发展历史。 图 1 第一代防火墙 第一代防火墙技术几乎与路由器同时出现，采用了包过滤（ Packet filter）技术。 第二代、第三代防火墙 1989年，贝尔实验室的 Dave Presotto和 Howard Trickey推 9 大学毕业论文 出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙 ——应用层防火墙（代理防火墙）的初步结构。 第四代防火墙 1992年， USC信息科学院的 BobBraden开发出了基于动态包过滤（ Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（ Stateful inspection）技术。 1994年，以色列的 CheckPoint公司开发出了第一个采用这种技术的商业化的产品。 第五代防火墙 1998 年， NAI 公司推出了一种自适应代理（ Adaptive proxy）技术，并在其产品 Gauntlet Firewall for NT 中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。 [5] 但传统的防火墙并没有解决目前网络中主要的安全问题。 目前网络安全的三大主要问题是 :以拒绝访问 (DDOS)为主要代表的网络攻击，以蠕虫 (Worm)为主要代表的病毒传播和以垃圾电子邮件 (SPAM)为代表的内容控制。 这三大安全问题占据网络安全问题九成以上。 而这三大问题，传统防火墙都无能为力。 主要有以下三个原因 : 一是传统防火墙的计算能力的限制。 传统的防火墙是以高强度的检查为代价，检查的强度越高，计算的代价越大。 二是传统防火墙的访 问控制机制是一个简单的过滤机制。 它是一个简单的条件过滤器，不具有智能功能，无法检测复杂的攻击。 三是传统的防火墙无法区分识别善意和恶意的行为。 该特征决定了传统的防火墙无法解决恶意的攻击行为。 现在防火墙正在向分布、智能的方向发展，其中智能防火墙可以很好的解决上面的问题。 智能防火墙简介 智能防火墙 [6]是相对传统的防火墙而言的，从技术特征上智能防火墙是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。 新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络行为的特 征值，直接进行访问控制。 由于这些方法多是人工智能学科采用的方法，因此，又称为智能防火墙。 10 大学毕业论文 防火墙的功能 防火墙的主要功能 1．包过滤。 包过滤是一种网络的数据安全保护机制，它可用来控制流出和流入网络的数据，它通常由定义的各条数据安全规则所组成，防火墙设置可基于源地址、源端口、目的地址、目的端口、协议和时间。 可根据地址簿进行设置规则。 2．地址转换。 网络地址变换是将内部网络或外部网络的 IP 地址转换，可分为源地址转换 Source NAT(SNAT)和目的地址转换 Destination NAT(DNAT)。 SNAT用于对内部网络地址进行转换，对外部网络隐藏起内部网络的结构，避免受到来自外部其他网络的非授权访问或恶意攻击。 并将有限的 IP 地址动态或静态的与内部 IP 地址对应起来，用来缓解地址空间的短缺问题，节省资源，降低成本。 DNAT 主要用于外网主机访问内网主机。 3．认证和应用代理。 认证指防火墙对访问网络者合法身分的确定。 代理指防火墙内置用户认证数据库。 提供HTTP、 FTP 和 SMTP代理功能，并可对这三种协议进行访问控制。 同时支持 URL过滤功能。 4．透明和路由 指防火墙将网关隐藏在公共系统之后使其免遭直接攻击。 隐蔽智能网关提供了对互联网服务进行几乎透明的访问，同时阻止了外部未授权访问者对专用网络的非法访问。 防火墙还支持路由方式，提供静态路由功能，支持内部多个子网之间的安全访问。 入侵检测功能 入侵检测技术 [7]就是一种主动保护自己免受黑客攻击的一种网络安全技术，包括以下内容 :。 端口扫描就是指黑客通过远程端口扫描的工具，从中发现主机的哪些非常用端口是打开的。 是否支持 FTP、 Web 服务。 且 FTP 服务是否支持 “匿名 ”，以及 IIS版本，是否有可以被成功攻破的 IIS漏洞，进而对内部网络的主机进行攻击。 顾名思义反端口扫描就是防范端口扫描的方法，目前常用的方法有 :关闭闲置和有潜在危险的端口。 检查各端口，有端口扫描的症状时，立即屏蔽该端口，多数防火墙设备采用的都是这种反端口扫描方式。 拒绝服务 (DoS)攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应，其攻击方式有很多种。 11 大学毕业论文 而分布式的拒绝服务攻击 (DDoS)攻击手段则是在传统的 DoS 攻击基础之上 产生的一类攻击方式，分布式的拒绝服务攻击 (DDoS)。 其原理很简单，就是利用更多的受控主机同时发起进攻，以比 DoS 更大的规模 (或者说以更高于受攻主机处理能力的进攻能力 )来进攻受害者。 现在的防火墙设备通常都可检测 Synflod、 Land、 Ping of Death、 TearDrop、 ICMP flood和 UDPflod等多种 DOS/DDOS攻击。 (Buffer Overflow)。 缓冲区溢出 (Buffer Overflow)攻击指利用软件的弱点将任意数据添加进某个程序中，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。 更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作，防火墙设备可检测对 FTP、 Tel、 SSH、 RPC和 SMTP 等服务的远 程堆栈溢出入侵。 CGI/IIS服务器入侵。 CGI就是 Common Gateway Inter——face的简称。 是 World Wide Web主机和 CGI程序间传输资讯的定义。 IIS就是 Inter Information server的简称，也就是微软的 Inter信息服务器。 防火墙设备可检测包括针对 Unicode、 ASP 源码泄漏、 PHF、NPH、 CGI/IIS进行的探测和攻击方式。 、木马及其网络蠕虫。 后门程序是指采用 某种方法定义出一个特殊的端口并依靠某种程序在机器启动之前自动加载到内存，强行控制机器打开那个特殊的端口的程序。 木马程序的全称是 “特洛依木马 ”，它们是指寻找后门、窃取计算机的密码的一类程序。 网络蠕虫病毒分为 2类，一种是面向企业用户和局域网而一言，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网造成瘫痪性的后果，以 “红色代码 ”， “尼姆达 ”，以及最新的 “sql蠕虫王 ”为代表。 另外一种是针对个人用户的，通过网络 (主要是电子邮件，恶意网页形式 )迅速传播的蠕虫病毒，以爱虫病毒，求职信病毒为例。 防火墙设备可检测试图穿 透防火墙系统的木马控制端和客户端程序。 检测试图穿透防火墙系统的蠕虫程序。 虚拟专网功能 指在公共网络中建立专用网络，数据通过安全的 “加密通道 ”在公共网络中传播。 VPN的基本原理是通过 IP包的封装及加密、认证等手段，从而达到安全的目的。 其他功能 地址 /MAC地址绑定。 可支持任一网络接口的 IP地址和 MAC地址的绑 12 大学毕业论文 定，从而禁止用户随意修改 IP地址。 要求对使用身份标识和认证的机制，文件的创建，修改，系统管理的所有操作以及其他有关安 全事件进行记录，以便系统管理员进行安全跟踪。 一般防火墙设备可以提供三种日志审计功能 :系统管理日志、流量日志和入侵日志。 内置特殊站点数据库，用户可选择是否封禁色情、反动和暴力等特殊站点。 防火墙的原理及分类 国际计算机安全委员会 ICSA 将防火墙分成三大类 :包过滤防火墙，应用级代理服务器 [8]以及状态包检测防火墙。 包过滤防火墙 顾名思义，包过滤防火墙 [9]就是把接收到的每个数据包同预先设定的包过滤规则相比较，从而决定是否阻塞或通过。 过滤规则是基于网络层 IP 包包头信息的比较。 包过滤防火墙工作在网络层，。