防火墻技術分析與應用計算機信息技術畢業(yè)論文

防火墻技術分析與應用防火墻技術分析與應用第第頁共14頁河北旅游職業(yè)學院畢業(yè)論文題目：防火墻技術分析與應用系另信息技術系班級：08計算機信息管理姓名： 學號：0809030101指導教師： 零一一年一月

指導老師指導老師評語答亠、丄辯結果畢業(yè)論文等級評定TOC\o"1-5"\h\z目 錄\o"CurrentDocument"摘要： 4關鍵詞： 4一 緒論 51） 研究背景 52） 研究目的 5\o"CurrentDocument"二防火墻的定義 6\o"CurrentDocument"三防火墻的原理 7\o"CurrentDocument"四防火墻技術 71） 簡單包過濾技術 72） 狀態(tài)檢測技術 83） 代理技術 8\o"CurrentDocument"五防火墻的應用 9\o"CurrentDocument"六防火墻的脆弱性 9\o"CurrentDocument"七防火墻發(fā)展趨勢 10（1）高速化。 10（2）更加實用、安全性。 10（3）多功能化。 11（4）智能化。 11\o"CurrentDocument"結束語 12\o"CurrentDocument"參考文獻 13\o"CurrentDocument"致謝 14摘要：文獻主要通過對防火墻技術的分析以及應用，總結了防火墻存在的安全脆弱性。最后介紹了防火墻技術的展望和發(fā)展趨勢。關鍵詞：防火墻 防火墻技術防火墻的應用發(fā)展趨勢緒論1） 研究背景隨著互聯(lián)網的普及和發(fā)展，尤其是Internet的廣泛使用，使計算機應用更加廣泛與深入。同時，我們不得不注意到，網絡雖然功能強大，也有其脆弱易受到攻擊的一面。據美國FBI統(tǒng)計，美國每年因網絡安全問題所造成的經濟損失高達75億美元，而全求平均每20秒鐘就發(fā)生一起Internet計算機侵入事件［1］。在我國，每年因黑客入侵、計算機病毒的破壞也造成了巨大的經濟損失。 人們在利用網絡的優(yōu)越性的同時，對網絡安全問題也決不能忽視。如何建立比較安全的網絡體系，值得我們關注研究。2） 研究目的為了解決互聯(lián)網時代個人網絡安全的問題，近年來新興了防火墻技術［2］。防火墻具有很強的實用性和針對性，它為個人上網用戶提供了完整的網絡安全解決方案，可以有效地控制個人電腦用戶信息在互聯(lián)網上的收發(fā)。 用戶可以根據自己的需要，通過設定一些參數，從而達到控制本機與互聯(lián)網之間的信息交流阻止惡性信息對本機的攻擊，比如ICMPnood攻擊、聊天室炸彈、木馬信息破譯并修改郵件密碼等等。而且防火墻能夠實時記錄其它系統(tǒng)試圖對本機系統(tǒng)的訪問， 使計算機在連接到互聯(lián)網的時候避免受到網絡攻擊和資料泄漏的安全威脅。 防火墻可以保護人們在網上瀏覽時免受黑客的攻擊，實時防范網絡黑客的侵襲，還可以根據自己的需要創(chuàng)建防火墻規(guī)則，控制互聯(lián)網到PC以及PC到互聯(lián)網的所有連接，并屏蔽入侵企圖。防火可以有效地阻截各種惡意攻擊、保護信息的安全 ；信息泄漏攔截保證安全地瀏覽網頁、遏制郵件病毒的蔓延；郵件內容檢測可以實時監(jiān)視郵件系統(tǒng)，阻擋一切針對硬盤的惡意活動。個人防火墻就是在單機Windows系統(tǒng)上，采取一些安全防護措施，使得本機的息得到一定的保護。個人防火墻是面向單機操作系統(tǒng)的一種小型安全防護軟件，按一定的規(guī)則對TCPUDPICMP和IGMP等報文進行過濾，對網絡的信息流和系統(tǒng)進程進行監(jiān)控，防止一些惡意的攻擊。目前市場上大多數的防火墻產品僅

僅是網關的，雖然它們的功能相當強大，但由于它們基于下述的假設 ：內部網是安全可靠的，所有的威脅都來自網外。因此，他們防外不防內，難以實現對企業(yè)內部局域網內主之間的安全通信，也不能很好的解決每一個撥號上網用戶所在主機的安全問題，而多數個人上網之時，并沒有置身于得到防護的安全網絡內部。個人上網用戶多使用Windows操作系統(tǒng)，而Windows操作系統(tǒng)，特別是WindowsXP系統(tǒng)，本身的安全性就不高。各種Windows漏洞不斷被公布，對主機的攻擊也越來越多。一般都是利用操作系統(tǒng)設計的安全漏洞和通信協(xié)議的安全漏洞來實現攻擊。如假冒IP包對通信雙方進行欺騙：對主機大量發(fā)送正數據包[3]進行轟炸攻擊，使之際崩潰；以及藍屏攻擊等。因此，為了保護主機的安全通信，研制有效的個人防火墻技術很有必要。二防火墻的定義所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障 .是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使 Internet與Intranet之間建立起一個安全網關（SecurityGateway），從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件 （其中硬件防火墻用的較少，例如國防部以及大型機房等地才用 ，因為它價格昂貴）。該計算機流入流出的所有網絡通信均要經過此防火墻。所謂“防火墻”，是指一種將內部網和公眾訪問網 （如Internet）分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說，如果不通過防火墻，公司內部的人就無法訪問 Internet，Internet上的人也無法和公司內部的人進行通信。

三防火墻的原理隨著網絡規(guī)模的擴大和開放性的增強，網絡上的很多敏感信息和保密數據將受到很多主動和被動的人為攻擊。一種解決辦法是為需要保護的網絡上的每個工作站和服務器裝備上強大的安全特征 （例如入侵檢測），但這幾乎是一種不切合實際的方法，因為對具有幾百個甚至上千個節(jié)點的網絡，它們可能運行著不同的操作系統(tǒng)，當發(fā)現了安全缺陷時，每個可能被影響的節(jié)點都必須加以改進以修復這個缺陷。另一種選擇就是防火墻（Firewall），防火墻是用來在安全私有網絡 （可信任網絡）和外部不可信任網絡之間安全連接的一個設備或一組設備，作為私有網絡和外部網絡之間連接的單點存在。防火墻是設置在可信任的內部網絡和不可信任的外部網絡之間的一道屏障，它可以實施比較廣泛的安全策略來控制信息流，防止不可預料的潛在的入侵破壞 ?DMZ外網和內部局域網的防火墻系統(tǒng)。四防火墻技術防火墻是建立在現在通信網絡技術和信息安全技術基礎上的應用性安全技術。它是一個系統(tǒng)，位于被保護網絡和其它網絡之間，進行訪問控制，組織非法的信息訪問和傳遞。防火墻并非單純的軟件或硬件，它實質是軟件和硬件加上一組安全策略的集合。防火墻可以是硬件防火墻也可以是運行特定防火墻軟件的宿主機。根據防火墻對進、出網絡數據的處理方法，大致可以將防火墻分為兩大體系：包過濾（分為簡單的包過濾和狀態(tài)檢測的包過濾）防火墻和 防火墻（應用層網關防火墻和自適應代理防火墻）。1）簡單包過濾技術傳統(tǒng)的包過濾防火墻基于路由器，在網絡層進行過濾，根據事先定義好的過濾規(guī)則來檢測每個 IP包的相關信息來決定數據流的通過還是拒絕，這些相關信息包括IP源地址、IP目標地址、傳輸協(xié)議（TCPUDPICMP等）、TCP/UDP目標端口、ICMP消息類型等。過濾規(guī)則明確指出希望通過的數據包以及禁止的數據包。包過濾防火墻是安全性最低的防火墻，它不能給定通信的內容。2） 狀態(tài)檢測技術狀態(tài)檢測技術是防火墻近幾年才采用的新技術，該技術采用一種基于連接的狀態(tài)檢測機制，讀取，分析和利用了全方面的網絡通信信息和狀態(tài)，包括：通信信息所有7層協(xié)議的當前信息。通信狀態(tài)以前的通信信息。應用狀態(tài)其它相關應用信息。操作信息在數據包中能執(zhí)行邏輯或數學運算的信息。狀態(tài)檢測防火墻仍采用客戶端/服務器模式，數據包在網絡層被攔截，屬于同一連接的所有包作為一個整體的數據流看待，構成連接狀態(tài)表，接著與定義好的規(guī)則表共同配合，對表中的各個連接狀態(tài)加以識別。采用這種技術的防火墻對通過其建立的每一個連接都進行跟蹤，并且根據需要可動態(tài)地在過濾規(guī)則中增加或更新條目。對于 UDP這樣無狀態(tài)的連接，以虛擬的連接方式構成連接表。3） 代理技術進出的數據在代理防火墻出中轉，數據好像是從防火墻發(fā)出的，從而起到隱藏內部網結構的作用，它的核心技術就是代理服務器技術， 代理應用程序工作在應用層。代理服務器代表客戶來處理向服務器的連接請求。當代理服務器得到一個客戶額連接意圖時，它們將核實客戶請求，并經過特定的安全化的Ptoxy應用程序處理連接請求，將處理后的請求傳遞到真實的服務器上，然后接受服務器的應答，進一步處理后將答復交給發(fā)出請求的最終客戶。代理類型防火墻最突出的優(yōu)點就是安全。它打破了客戶端 /服務器模式，由于每一個內外網絡之間的連接都要通過 Proxy的介入和轉換，每個客戶端/服務器通信需要兩個連接：一個是從客戶到防火墻，一個是從防火墻到服務器。而且每個代理需要一個不同的應用軟件進程或守護進程，可移植性較差。新發(fā)展起來的第五代防火墻采用自適應代理技術，它結合了代理類型防火墻的安全性和包過濾防火墻的高速等優(yōu)點。五防火墻的應用常用防火墻探測如下：1） 利用防火墻探測數據包的返回信息，例如登陸目標主機 257端口時，若輸入一定關鍵字， Firewall-1 有可能返回’fwal'字符串。2） 利用一些工具，例如Traceroute、Firewalking、Hpinging和NMAPing,分析其返回結果，可以判定和定位防火墻，并能探測出該防火墻開放的端口等信息。Traceroute可以用來進行定位， Firewalking、Hpinging和NMAPing為探測和分析提供幫助。3） 利用端口掃描和ICMP報文。例如一臺主機開放了 256、257和258端口，它很有可能是一臺 Firewall-1,原因是Firewall-1 防火墻通常開放這些端口用于遠程管理：微軟的ProxyServer監(jiān)聽1080和1745端口等。4） 基于錯誤CRC的防火墻探測技術。5） 利用SYN,StelthFIN,XmasTree和Null掃描。以上技術都存在一定的適用范圍，而且使用一種技術的精確度并不高，因此攻擊往往開發(fā)多種探測方案，并對結果進行全面的分析。六防火墻的脆弱性防火墻的局限性必然導致其存在許多漏洞，這些漏洞表現在：1）目前在防火墻都裝有固定的操作系統(tǒng)，而這個操作系統(tǒng)本身是不能保證沒有安全漏洞，即在防火墻內部的操作系統(tǒng)存在隱患；2） 所有電子元器件都有一個生命周期，超過這個周期就會老化和失效，防火墻硬件設備也不例外；3） 防火墻的安全功能都是由應用軟件實現的，開發(fā)人員在設計這個應用軟件時是不能保證其沒有安全漏洞的。4） 由于防火墻本身是基于TCP/IP協(xié)議體系實現的，所以它無法解決TCP/IP協(xié)議體系中存在的漏洞；5） 防火墻只是一個政策執(zhí)行機構，它并不區(qū)分所執(zhí)行政策的對錯，更無法判別出一條合法政策是否真是管理員的本意。6） 防火墻無法從流量上判別那些是正常的，那些是異常的，因此容易受到流量攻擊；7） 防火墻的安全性與其速度和多功能成反比。8） 防火墻準許某項服務，卻不能保證該服務的安全性，它需要由應用安全來解決。七防火墻發(fā)展趨勢防火墻是一種綜合性技術，用于加強網絡間的訪問控制，防止外部用戶非法使用內部資料。未來防火墻的技術發(fā)展將有如下特征：（1） 高速化。從國內外歷次測試的結果都可以看出，目前防火墻一個很大的局限性是速度不夠，所以防火墻必須在基于芯片加速的深度內容過濾技術上實現真正的突破，并推出實用化的產品以解決當前的網絡安全難題。 隨著算法和芯片技術的發(fā)展，防火墻會更多地參與應用層分析、芯片解決計算加速、軟件解決過濾精確，防火墻必將以軟硬兼施的方案為用戶的應用提供更安全的保障。 而VPNIDS/IPS、防病毒等功能可能以各類加速芯片的形式與防火墻協(xié)同工作，形成以芯片技術為主導的全系列硬件型安全網關。（2） 更加實用、安全性。防火墻下一步的發(fā)展與中國下一代網絡的建設緊密相關，如IPV6網絡、P2P應用、3G網絡等等。這里要特別強調的是防火墻與IPV6。由于IPV6網絡的新特性，如端到端的連接、移動IP的處理、內嵌IPSec、路徑MTU探測等，給防火墻帶來新的安全挑戰(zhàn)。防火墻不僅要及時適應IPV6網絡的發(fā)展，并解決IPV6引入后帶來的新問題，同時，由于IPV6與IPV4網絡長期共存，網絡必然會同時存在IPV4的安全問題與IPV6的安全問題，或由此造成新的安全問題。下一步要考慮的，不僅僅是更適應于網絡發(fā)展的防火墻模型，可能還會包括網絡安全防范與評估方法等等。（3） 多功能化。多功能也是防火墻的發(fā)展方向之一，鑒于目前路由器和防火墻價格都較高，組網環(huán)境也越來越復雜，一般用戶總希望防火墻可支持更多功能，滿足組網和節(jié)省投資的需要。（4） 智能化。目前網絡安全的三大主要問題是：以拒絕訪問為主要目的的網絡攻擊，以蠕蟲為主要代表的病毒傳播，以垃圾電子郵件為代表的內容控制。這三大安全問題覆蓋了網絡安全方面的絕大部分問題，達九成以上。而這三大問題，傳統(tǒng)的防火墻是無能為力的。所以智能防火墻是新一代防火墻發(fā)展的趨勢，必將成為主流產品。智能防火墻從技術特征上，是利用統(tǒng)計、記憶、概率和決策的智能方法來對數據進行識別，并達到訪問控制的目的。結束語在王老師的指導下，使我對防火墻技術有了一定的了解，并且認識到計算機網絡和計算機網絡安全就像矛和盾，自己算計誕生之日起就彼消此長。隨著Internet的高速發(fā)展和應用，其安全越來越引起人們的關注、如何保護企業(yè)和個人在網絡上的信息不受侵犯以成為當前擺在人們面前的一個重大問題。 防火墻技術作為一種用來保護用戶內部第一道安全屏障，始終受到人們的關注和重視，并成為網絡安全產品的首選。參考文獻【1】WilliamStallings.Cryptographyandnetworksecurity:principlesandpractice,SecondEdition【2】CharlesP.P.andShariL.P.,SecurityinComputing.ThirdEdition.【3】 防火墻原理與實用技術，北京啟明星辰有限公司，電子工業(yè)出版社 ，北京，2002,1【4】WilliamRCheswick,戴宗坤譯，防火墻與因特網安全，機械工業(yè)出版社，北京，2000,4【5】TerryWilliamOgletree,防火墻原理與實踐，電子工業(yè)出版社，北京，2001，2【6】魏利華.防火墻技術及其性能研究.能源研究與信息