計算機網絡安全與防火墻技術畢業(yè)論

1、北京北大方正軟件技術學院畢業(yè)設計（論文）題 目：計算機網絡安全與防火墻技術系 別： 專 業(yè)： 學 號： 姓 名： 指導老師： 完成日期： 2010 年 4 月 6 日北京北大方正軟件技術學院畢業(yè)設計（論文）成績評定表（理科）年級 07級 專業(yè) 姓名學號 論文題目： 計算機網絡安全與防火墻技術 指導教師： 項目評分標準優(yōu)秀良好合格不合格選 題優(yōu) 秀：選題有重要理論意義和實際價值；良 好：選題有較強理論意義和實際價值；合 格：選題有一定理論意義和實際價值；不合格：選題欠妥?；A知識優(yōu) 秀：有堅實的理論基礎和系統(tǒng)深入的專業(yè)知識；良 好：有較堅實的理論基礎和系統(tǒng)深入的專業(yè)知識；合 格：有一定的理論基礎

2、和專業(yè)知識；不合格：基礎理論不夠全面，專業(yè)知識不系統(tǒng)。實踐能力優(yōu) 秀：體現(xiàn)出較強的實踐工作能力；良 好：體現(xiàn)出較好的實踐工作能力；合 格：體現(xiàn)出一定的實踐工作能力；不合格：體現(xiàn)出工作能力較差。寫作能力優(yōu) 秀：條理清楚，層次分明，文筆流暢，學風嚴謹；良 好：條理性好，層次分明，文字通順，工作認真；合 格：條理較好，層次較分明，文字較通順；不合格：條理不清，寫作較差。論文綜合評價優(yōu)秀 良好 合格 不合格指導教師評定意見簽 字：年 月 日畢業(yè)設計領導小組簽字簽 字：年 月 日注：此表附畢業(yè)設計（論文）后摘 要本論文主要研究計算機網絡安全與防火墻技術。論述了網絡防火墻安全技術的功能、主要技術、配置、安

3、全措施和防火墻設計思路等。隨著計算機網絡的普及，網絡安全問題越來越得到人們的重視。我們可以針對目前網絡安全的缺點和漏洞以及防火墻設置等，提出相應措施，以期待我們的網絡能夠更加安全。在確保網絡安全和數(shù)據安全方面，有數(shù)據加密技術、智能卡技術、防火墻技術等，我們在這里主要研究的是防火墻技術。從防火墻的防范方式和側重點的不同來看，防火墻可以分為很多類型。然后介紹了防火墻兩種基本實現(xiàn)技術：分組過濾、應用代理。防火墻技術還處在一個發(fā)展階段，仍有許多問題有待解決。關 鍵 字計算機網絡安全 防火墻 防范措施 分組過濾 代理 堡壘主機目錄一、緒論1.研究背景2.研究目的3.論文結構二、網絡安全1.網絡安全問題（

4、1）網絡安全面臨的主要威脅（2）影響網絡安全的因素2.網絡安全措施三、防火墻簡介1.防火墻的概述2.防火墻的功能3.防火墻的原理及分類4.防火墻的包過濾技術（1）深度表結構（2）傳統(tǒng)包過濾技術（3）動態(tài)包過濾（4）深度包過濾（5）流過濾技術四、防火墻的配置1.硬件連接與實施2.防火墻的特色配置3.防火墻的配置與實施五、防火墻的發(fā)展趨勢1.防火墻技術的發(fā)展趨勢2.防火墻的體系結構發(fā)展趨勢3.防火墻的系統(tǒng)發(fā)展管理趨勢4.防火墻技術隊網絡安全的影響六、謝辭七、參考文獻八、注釋九、畢業(yè)實習報告成績評定表一.緒論伴隨著網絡信息化建設的不斷深入，網絡安全問題已經越來越成為人們關注的焦點。在網絡給人們帶來便

5、利生活的同時，也讓人飽受安全問題的困擾。如何強化網絡安全意識、提高網絡安全技能已經成為刻不容緩的問題。1.研究背景隨著互聯(lián)網的普及和發(fā)展，尤其是Internet的廣泛使用，使計算機應用更加廣泛與深入。同時，我們不得不注意到，網絡雖然功能強大，也有其脆弱易受到攻擊的一面。在我國，每年因黑客入侵、計算機病毒的破壞也造成了巨大的經濟損失。人們在利用網絡的優(yōu)越性的同時，對網絡安全問題也決不能忽視。如何建立比較安全的網絡體系，值得我們關注和研究。2.研究目的為了解決互聯(lián)網時代個人網絡安全的問題，近年來新興了防火墻技術。防火墻具有很強的實用性和針對性，它為個人上網用戶提供了完整的網絡安全解決方案，可以有效

6、地控制個人電腦用戶信息在互聯(lián)網上的收發(fā)。用戶可以根據自己的需要，通過設定一些參數(shù)，從而達到控制本機與互聯(lián)網之間的信息交流阻止惡性信息對本機的攻擊。3.論文結構在論文中接下來的幾章里，將會有下列安排:第二部分，分析研究網絡安全問題，網絡安全面臨的主要威脅，影響網絡安全的因素，及保護網絡安全的關鍵技術。第三部分，介紹防火墻的相關技術，如防火墻的原理、功能、包過濾技術等;。第四部分，以H3CH3C的F100防火墻為例，介紹防火墻配置方法。第五部分，系統(tǒng)闡述防火墻發(fā)展趨勢。二.網絡安全1.網絡安全問題安全，通常是指只有被授權的人才能使用其相應資源的一種機制。我國對于計算機安全的定義是：“計算機系統(tǒng)的硬

7、件、軟件、數(shù)據受到保護，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運行。”（1）網絡安全面臨的主要威脅一般認為，計算機網絡系統(tǒng)的安全威脅主要來自計算機病毒、黑客的攻擊和拒絕服務攻擊三個方面，第一計算機病毒的侵襲；第二黑客侵襲；第三拒絕服務攻擊。具體講，網絡系統(tǒng)面臨的安全威脅主要有如下表現(xiàn)：身份竊取、非授權訪問、數(shù)據竊取、拒絕服務、病毒與惡意攻擊、冒充合法用戶等。（2） 影響網絡安全的因素第一是單機安全，購買單機時，型號的選擇；計算機的運行環(huán)境（電壓、濕度、強電磁場等）；計算機的操作等等，這些都是影響單機安全性的因素。第二是網絡安全，影響網絡安全的因素有：節(jié)點的安全、數(shù)據的安全

8、、文件的安全等。2.網絡安全措施網絡信息安全涉及方方面面的問題，是一個復雜的系統(tǒng)。一個完整的網絡信息安全體系至少應包括三類措施：一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。二是技術方面，如信息加密存儲傳輸、身份認證、防火墻技術、網絡防毒等。三是管理措施。 三.防火墻的簡介1.防火墻的概述防火墻是設置在被保護網絡和外部網絡之間的一道屏障，以防止發(fā)生不可預測的、潛在破壞性的侵入。防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口。它是提供信息安全服務，實現(xiàn)網絡和信息安全的基礎設施。防火墻提供信息安全服務，是實現(xiàn)網絡和信息安全的基礎設施。2.

9、防火墻的功能防火墻具有如下的功能：（1）包過濾。（2）地址轉換。（3）認證和應用代理。（4）透明和路由。（5）入侵檢測功能。（6）虛擬專網功能。3.防火墻的原理及分類國際計算機安全委員會將防火墻分成三大類:包過濾防火墻，應用級代理服務器以及狀態(tài)包檢測防火墻。包過濾防火墻就是把接收到的每個數(shù)據包同預先設定的包過濾規(guī)則相比較，從而決定是否阻塞或通過。 代理服務型防火墻也稱鏈路級網關或TCP通道，它是針對數(shù)據包過濾和應用網關技術存在的缺點而引入的防火墻技術。復合型防火墻是指由于對更高安全性的要求，常把基于包過濾的方法與基于應用代理的方法結合起來，形成復合型防火墻產品。4.防火墻的過濾技術所謂包過濾，

10、就是對流經網絡防火墻的所有數(shù)據包逐個檢查，并依據所制定的安全策略來決定數(shù)據包是通過還是不通過。(1數(shù)據表結構當應用程序用TCP傳送數(shù)據時，數(shù)據被送入協(xié)議棧中，然后逐個通過每一層直到被當作一串比特流送入網絡。其中每一層對接收到的數(shù)據都要增加一些首部信息。IP，TCP首部格式如表3-1表3-2所示。表3-1 IP首部格式版本首部長服務類型總 長 度標識標志片偏移生存時間協(xié)議首部校驗和源IP地址目的IP地址選項表3-2 TCP首部格式源端口號目的端口號序列號確認號首部長保留LRCTBLPBHRCTCJHHJR窗口大小TCP校驗和緊急指針選項(2傳統(tǒng)包過濾技術傳統(tǒng)包過濾技術，大多是在IP層實現(xiàn)，它只是

11、簡單的對當前正在通過的單一數(shù)據包進行檢測，查看源/目的IP地址、端口號以及協(xié)議類型(UDP/TCP等，結合訪問控制規(guī)則對數(shù)據包實施有選擇的通過。這種技術存在的問題主要表現(xiàn)有:有可能會用到的端口都必須靜態(tài)放開；不能對數(shù)據傳輸狀態(tài)進行判斷；無法過濾審核數(shù)據包上層的內容。(3動態(tài)包過濾動態(tài)包過濾通過在內存中動態(tài)地建立和維護一個狀態(tài)表，數(shù)據包到達時，對該數(shù)據包的處理方式將綜合靜態(tài)安全規(guī)則和數(shù)據包所處的狀態(tài)進行。這種方法的好處在于由于不需要對每個數(shù)據包進行規(guī)則檢查，而是一個連接的后續(xù)數(shù)據包(通常是大量的數(shù)據包通過散列算法，直接進行狀態(tài)檢查，從而使性能得到了較大提高動態(tài)包過濾技術克服了傳統(tǒng)包過濾僅僅孤立的

12、檢查單個數(shù)據包和安全規(guī)則靜態(tài)不可變的缺陷，使得防火墻的安全控制力度更為細致。(4深度包檢測目前許多造成大規(guī)模損害的網絡攻擊，都是利用了應用的弱點。利用高層協(xié)議的攻擊和網絡病毒的頻繁出現(xiàn)，對防火墻提出了新的要求。防火墻必須深入檢查數(shù)據包的內部來確認出惡意行為并阻止它們。深度包檢測(Deep Packet Inspection就是針對這種需求，深入檢測數(shù)據包有效載荷，執(zhí)行基于應用層的內容過濾，以此提高系統(tǒng)應用防御能力。應用防御的技術問題主要包括:第一需要對有效載荷知道得更清楚;第二也需要高速檢查它的能力。一個深度包檢測的流程框圖如圖3.1所示。圖3.1 深度包檢測框圖(5流過濾技術流過濾是東軟集團

13、提出的一種新型防火墻技術架構，它融基于狀態(tài)的包過濾技術與基于內容的深度包檢測技術為一體，提供了一個較好的應用防御解決方案，它以狀態(tài)監(jiān)測技術為基礎。如在對SMTP協(xié)議的處理中，系統(tǒng)可以在透明網橋的模式下實現(xiàn)完全的對郵件的存儲轉發(fā)，并實現(xiàn)豐富的對SMTP協(xié)議的各種攻擊的防范功能一流過濾的示意圖如圖3.2所示。圖3.2 流過濾示意圖四、防火墻的配置1.硬件連接與實施一般來說硬件防火墻和路由交換設備一樣具備多個以太接口，速度根據檔次與價格不同而在百兆與千兆之間有所區(qū)別。(如圖4.1圖4.1如果防火墻上有WAN接口，那么直接將WAN接口連接外網即可，如果所有接口都標記為LAN接口，那么按照常規(guī)標準選擇最

14、后一個LAN接口作為外網連接端口。相應的其他LAN接口連接內網各個網絡設備。2.防火墻的特色配置從外觀上看防火墻和傳統(tǒng)的路由器交換機沒有太大的差別，一部分防火墻具備CONSOLE接口通過超級終端的方式初始化配置，而另外一部分則直接通過默認的LAN接口和管理地址訪問進行配置。除此之外防火墻的其他相關配置與路由交換設備差不多，無外乎通過超級終端下的命令行參數(shù)進行配置或者通過WEB管理界面配置。3.軟件的配置與實施以H3C的F100防火墻為例，當企業(yè)外網IP地址固定并通過光纖連接的具體配置。首先當企業(yè)外網出口指定IP時配置防火墻參數(shù)。選擇接口四連接外網，接口一連接內網。這里假設電信提供的外網IP地址

15、為。第一步：通過CONSOLE接口以及本機的超級終端連接F100防火墻，執(zhí)行system命令進入配置模式。第二步：通過firewall packet default permit設置默認的防火墻策略為“容許通過”。第三步：進入接口四設置其IP地址為，命令為int e0/4第四步：進入接口一設置其IP地址為內網地址，例如，命令為int e0/1第五步：將兩個接口加入到不同的區(qū)域，外網接口配置到非信任區(qū)untrust，內網接口加入到信任區(qū)trustfire zone untrustadd int e0/4fire zone trustadd int e0/1第六步：由于防火墻運行基本是通過NAT來

16、實現(xiàn)，各個保護工作也是基于此功能實現(xiàn)的，所以還需要針對防火墻的NAT信息進行設置，首先添加一個訪問控制列表acl num 2000rule deny第七步：接下來將這個訪問控制列表應用到外網接口通過啟用NATint e0/4nat outbound 2000第八步：最后添加路由信息，設置缺省路由或者靜態(tài)路由指向外網接口或外網電信下一跳地址執(zhí)行save命令保存退出后就可以在企業(yè)外網出口指定IP時實現(xiàn)防火墻數(shù)據轉發(fā)以及安全保護功能了。五.防火墻的發(fā)展趨勢針對傳統(tǒng)防火墻不能解決的問題，及新的網絡攻擊的出現(xiàn)，防火墻技術也出現(xiàn)了新的發(fā)展趨勢。主要可以從包過濾技術、防火墻體系結構和防火墻系統(tǒng)管理三方面來體

17、現(xiàn)。1.防火墻包過濾技術發(fā)展趨勢(1安全策略功能一些防火墻廠商把在AAA系統(tǒng)上運用的用戶認證及其服務擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網絡應用中非常必要。具有用戶身份驗證的防火墻通常是采用應用級網關技術的，包過濾技術的防火墻不具有。(2多級過濾技術所謂多級過濾技術，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾(網絡層一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據包如nuke包、圣誕樹包等；在應用網關(應用層一級，能利用FTP、SMTP等各種網關，控制和監(jiān)測Internet提供的

18、所用通用服務。(3功能擴展功能擴展是指一種集成多種功能的設計趨勢，包括VPN、AAA、PKI、IPSec等附加功能，甚至防病毒、入侵檢測這樣的主流功能，都被集成到防火墻產品中。2.防火墻的體系結構發(fā)展趨勢隨著網絡應用的增加，對網絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據。另外，在以后幾年里，多媒體應用將會越來越普遍，它要求數(shù)據穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網絡處理器的防火墻。從執(zhí)行速度的角度看來，基于網絡處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據層面任務的引擎，從而減輕了CPU