防火墻技術(shù)的分析與研究

PAGE大連理工大學(xué)網(wǎng)絡(luò)教育學(xué)院畢業(yè)論文（設(shè)計(jì)）模板PAGEPAGEII網(wǎng)絡(luò)教育學(xué)院本科生畢業(yè)論文（設(shè)計(jì)）需要完整版請(qǐng)點(diǎn)擊屏幕右上的“文檔貢獻(xiàn)者”題目：防火墻技術(shù)的分析與研究防火墻技術(shù)的分析與研究防火墻技術(shù)的分析與研究PAGEI內(nèi)容摘要針對(duì)目前面臨的網(wǎng)絡(luò)安全問(wèn)題，對(duì)網(wǎng)絡(luò)安全和防火墻的基本概念進(jìn)行了概括。防火墻是一種訪問(wèn)控制技術(shù)，它通過(guò)在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止信息資源的非法訪問(wèn)。又系統(tǒng)地闡述了主機(jī)網(wǎng)絡(luò)防火墻的工作原理和關(guān)鍵技術(shù)。分析了防火墻技術(shù)在Internet安全上的重要作用，并提出其不足之處和解決方案，闡述了防火墻發(fā)展趨勢(shì)。本文通過(guò)對(duì)防火墻歷史的發(fā)展和定義的描述，著重講防火墻技術(shù)上可分為四種基本類型（包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測(cè)型），以及防火墻應(yīng)用的重要性。關(guān)鍵詞：防火墻；防火墻技術(shù)；防火墻技術(shù)分析；防火墻技術(shù)應(yīng)用防火墻技術(shù)的分析與研究防火墻技術(shù)的分析與研究PAGEII目錄內(nèi)容摘要 I引言 11概述 21.1背景 21.2本文的主要內(nèi)容及組織結(jié)構(gòu) 22防火墻技術(shù)的優(yōu)缺點(diǎn) 42.1防火墻技術(shù) 42.1.1防火墻的定義 42.1.2防火墻的功能 42.2防火墻的優(yōu)缺點(diǎn) 53防火墻的基本類型及發(fā)展 73.1防火墻類型 73.1.1包過(guò)濾型 73.1.2網(wǎng)絡(luò)地址轉(zhuǎn)化一NAT 83.1.3代理型 83.1.4監(jiān)測(cè)型 93.2防火墻的發(fā)展 94防火墻在網(wǎng)絡(luò)安全中的應(yīng)用 124.1防火墻在校園網(wǎng)絡(luò)中的應(yīng)用 124.1.1校園網(wǎng)絡(luò)安全分析 124.1.2校園網(wǎng)防火墻網(wǎng)絡(luò)安全策略 124.2防火墻在企業(yè)網(wǎng)絡(luò)中的應(yīng)用 144.2.1企業(yè)介紹 144.2.2企業(yè)網(wǎng)絡(luò)安全分析 154.2.3企業(yè)網(wǎng)防火墻網(wǎng)絡(luò)安全策略 165結(jié)論 19參考文獻(xiàn) 20PAGE1引言隨著網(wǎng)絡(luò)經(jīng)濟(jì)和網(wǎng)絡(luò)社會(huì)時(shí)代的到來(lái)，網(wǎng)絡(luò)將會(huì)進(jìn)入一個(gè)無(wú)所不在的境地。經(jīng)濟(jì)、文化、軍事和社會(huì)活動(dòng)將會(huì)強(qiáng)烈地依賴網(wǎng)絡(luò)，作為國(guó)家重要基礎(chǔ)設(shè)施的網(wǎng)絡(luò)的安全和可靠將成為世界各國(guó)共同關(guān)注的焦點(diǎn)。針對(duì)目前的網(wǎng)絡(luò)情況，如何解決網(wǎng)絡(luò)的穩(wěn)定運(yùn)行問(wèn)題刻不容緩，在考慮了多種防護(hù)手段后，應(yīng)該來(lái)說(shuō)防火墻是最簡(jiǎn)單也是最有效的解決方案。但是防火墻是死的，影響網(wǎng)絡(luò)安全的問(wèn)題卻是在不斷的變化的，如何能夠用防火墻真正合理的解決網(wǎng)絡(luò)問(wèn)題，不是一個(gè)產(chǎn)品的簡(jiǎn)單選擇問(wèn)題，更為重要的是如何把產(chǎn)品的功能發(fā)揮出來(lái)，以適應(yīng)不斷變化的網(wǎng)絡(luò)安全問(wèn)題。本文闡述了防火墻技術(shù)以及黑客常用攻擊手段和工具，對(duì)防火墻在網(wǎng)絡(luò)安全中的應(yīng)用進(jìn)行了分析。PAGE51概述1.1背景1.2本文的主要內(nèi)容及組織結(jié)構(gòu)本文主要對(duì)防火墻技術(shù)相關(guān)理論及應(yīng)用進(jìn)行探討。本文的組織結(jié)構(gòu)：全文共分五章。第一章，主要是介紹防火墻的背景及文章的組織結(jié)構(gòu)。第二章，介紹防火墻的技術(shù)的概念及防火墻的優(yōu)缺點(diǎn)。第三章，介紹防火墻的基本類型及防火墻的發(fā)展趨勢(shì)。第四章，介紹防火墻在網(wǎng)絡(luò)安全中的應(yīng)用。第五章，對(duì)論文進(jìn)行總結(jié)概述。2防火墻技術(shù)的優(yōu)缺點(diǎn)2.1防火墻技術(shù)2.1.1防火墻的定義圖2.1防火墻示例2.1.2防火墻的功能防火墻應(yīng)該具有以下5大基本功能：(1)過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)。(2)管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為。(3)封堵某些禁止行為。(4)記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)。(5)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。2.2防火墻的優(yōu)缺點(diǎn)（一）防火墻的優(yōu)點(diǎn)。（1）防火墻能強(qiáng)化安全策略。因?yàn)镮nternet上每天都有上百萬(wàn)人在那里收集信息、交換信息，不可避免地會(huì)出現(xiàn)個(gè)別品德不良的人，或違反規(guī)則的人，防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點(diǎn)的安全策略，僅僅容許“認(rèn)可的”和符合規(guī)則的請(qǐng)求通過(guò)。（2）防火墻能有效地記錄Internet上的活動(dòng)。因?yàn)樗羞M(jìn)出信息都必須通過(guò)防火墻，所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問(wèn)的唯一點(diǎn)，防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄。（3）防火墻限制暴露用戶點(diǎn)。防火墻能夠用來(lái)隔開(kāi)網(wǎng)絡(luò)中一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。這樣，能夠防止影響一個(gè)網(wǎng)段的問(wèn)題通過(guò)整個(gè)網(wǎng)絡(luò)傳播。（4）防火墻是一個(gè)安全策略的檢查站。所有進(jìn)出的信息都必須通過(guò)防火墻，防火墻便成為安全問(wèn)題的檢查點(diǎn)，使可疑的訪問(wèn)被拒絕于門外。（5）防火墻能有效的防止內(nèi)部信息的外泄。通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問(wèn)題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)。了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN（虛擬專用網(wǎng)）。(二)防火墻的不足之處。（1）不能防范惡意的知情者。（2）不能防范不通過(guò)它的連接。（3）不能防備全部的威脅。3防火墻的基本類型及發(fā)展3.1防火墻類型3.1.1包過(guò)濾型圖3.1簡(jiǎn)單包過(guò)濾防火墻3.1.2網(wǎng)絡(luò)地址轉(zhuǎn)化一NAT網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問(wèn)因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。3.1.3代理型代理型防火墻也可以被稱為代理服務(wù)器，它的安全性要高于包過(guò)濾型產(chǎn)品，并已經(jīng)開(kāi)始向應(yīng)用層發(fā)展。代理防火墻也叫應(yīng)用層網(wǎng)關(guān)（ApplicationGateway）防火墻。這種防火墻通過(guò)一種代理（Proxy）技術(shù)參與到一個(gè)TCP連接的全過(guò)程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。圖3.2傳統(tǒng)代理型防火墻代理服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來(lái)看，代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器；而從暇務(wù)器束看，代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒(méi)有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。3.1.4監(jiān)測(cè)型3.2防火墻的發(fā)展4防火墻在網(wǎng)絡(luò)安全中的應(yīng)用4.1防火墻在校園網(wǎng)絡(luò)中的應(yīng)用4.1.1校園網(wǎng)絡(luò)安全分析4.1.2校園網(wǎng)防火墻網(wǎng)絡(luò)安全策略討論防火墻安全策略一般實(shí)施兩個(gè)基本設(shè)計(jì)方針之一：1．拒絕訪問(wèn)除明確許可以外的任何一種服務(wù)，即拒絕一切未予特許的東西2．允許訪問(wèn)除明確拒絕以外的任何一種服務(wù)，即允許一切未被特別拒絕的東西校園網(wǎng)防火墻的網(wǎng)絡(luò)安全策略采取第一種安全控制的方針，確定所有可以被提供的服務(wù)以及它們的安全特性，然后開(kāi)放這些服務(wù)，并將所有其它未被列入的服務(wù)排斥在外，禁止訪問(wèn)。校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D如圖4-1所示:圖4-1校園網(wǎng)網(wǎng)絡(luò)總拓?fù)浣Y(jié)構(gòu)圖圖4-2學(xué)院防火墻結(jié)構(gòu)圖4.2防火墻在企業(yè)網(wǎng)絡(luò)中的應(yīng)用4.2.1企業(yè)介紹4.2.2企業(yè)網(wǎng)絡(luò)安全分析PIX防火墻能在兩個(gè)或多個(gè)網(wǎng)絡(luò)之間防止非授權(quán)的連接，即PIX防火墻能保護(hù)一個(gè)或多個(gè)網(wǎng)絡(luò)，與外部的、非保護(hù)的網(wǎng)絡(luò)隔離，防止非授權(quán)訪問(wèn)。這些網(wǎng)絡(luò)間的所有連接都能被PIX防火墻控制。為了在你的組織中高效使用防火墻，你需要一個(gè)安全策略來(lái)確認(rèn)被保護(hù)網(wǎng)絡(luò)的所有數(shù)據(jù)包只能通過(guò)防火墻傳遞到非保護(hù)網(wǎng)絡(luò)。這樣，你就能控制誰(shuí)能訪問(wèn)網(wǎng)絡(luò)，訪問(wèn)什么服務(wù)，及如何利用PIX防火墻的功能實(shí)現(xiàn)你的安全策略。圖4-3顯示了PIX防火墻如何保護(hù)內(nèi)部網(wǎng)絡(luò)安全地訪問(wèn)Internet。InternetNoInternetNodirectInboundconnectionsOutsideInternetInternetaccesibleserverPerimeterPixFirewallServer1Server2OutboundconnectionsOKInsideProtectedServersProtectedClientsRouter圖4-3在這個(gè)結(jié)構(gòu)中，PIX防火墻在被保護(hù)網(wǎng)絡(luò)和非保護(hù)網(wǎng)絡(luò)之間形成了一個(gè)邊界。被保護(hù)網(wǎng)絡(luò)和非保護(hù)網(wǎng)絡(luò)之間的所有數(shù)據(jù)包流量必須經(jīng)過(guò)防火墻以遵循一定的安全策略。被保護(hù)網(wǎng)絡(luò)通常能訪問(wèn)Internet。PIX防火墻讓你將諸如Web、SNMP、E-mail等服務(wù)放置在被保護(hù)網(wǎng)絡(luò)中，以控制外部用戶的對(duì)這些服務(wù)的訪問(wèn)。另一方面，服務(wù)系統(tǒng)也能放置在Perimeter網(wǎng)絡(luò)中，見(jiàn)圖一。PIX防火墻也能控制和監(jiān)視Inside網(wǎng)絡(luò)或Outside網(wǎng)絡(luò)對(duì)這些服務(wù)系統(tǒng)的訪問(wèn)。典型的，Inside網(wǎng)絡(luò)就是一個(gè)組織自己的內(nèi)部Intranet網(wǎng)絡(luò)，Outside網(wǎng)絡(luò)就是Internet。但是，PIX防火墻也能在Intranet網(wǎng)絡(luò)中使用以隔離或保護(hù)一組內(nèi)部的計(jì)算機(jī)系統(tǒng)。Perimeter網(wǎng)絡(luò)能和Inside網(wǎng)絡(luò)一樣進(jìn)行安全配置。PIX防火墻的Inside、Perimeter和Outside接口能監(jiān)聽(tīng)RIP路由更新消息，如果需要，所有的接口能廣播一個(gè)缺省的RIP路由。4.2.3企業(yè)網(wǎng)防火墻網(wǎng)絡(luò)安全策略InternetInternet4Pix525FirewallInside53AAA、DNS服務(wù)器1CoreBuilder90009郵件服務(wù)器2WWW服務(wù)器3XXX網(wǎng)絡(luò)交換機(jī)Outside3WWW、DNS服務(wù)器0圖4-4在此網(wǎng)絡(luò)中，PIX防火墻安裝了兩個(gè)接口，一個(gè)內(nèi)部接口Inside（53）和一個(gè)外部接口Outside（3），Inside接口連接企業(yè)內(nèi)部網(wǎng)絡(luò)，Outside接口連接外部Internet。Inside接口連接的企業(yè)內(nèi)部網(wǎng)絡(luò)使用私有IP地址，Outside接口連接的外部的網(wǎng)絡(luò)連接設(shè)備使用Internet合法的IP地址。此網(wǎng)絡(luò)的Internet的訪問(wèn)使用一臺(tái)Cisco3600路由器，通過(guò)2MDDN數(shù)據(jù)專線連接至Internet，防火墻外設(shè)置的一臺(tái)服務(wù)器主要作為DNS服務(wù)，進(jìn)行Web和電子郵件的域名解析?；镜腎nternet訪問(wèn)安全策略是內(nèi)部網(wǎng)絡(luò)授權(quán)用戶可以訪問(wèn)外部Internet，而外部Internet用戶不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)；E-mail服務(wù)實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)電子郵件的相互訪問(wèn)，允許外部Internet電子郵件進(jìn)入內(nèi)部網(wǎng)絡(luò)，即內(nèi)部網(wǎng)絡(luò)用戶只需設(shè)置一個(gè)郵件賬號(hào)，即可實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)和外部Internet網(wǎng)絡(luò)電子郵件的收發(fā)；實(shí)現(xiàn)企業(yè)信息的對(duì)外發(fā)布。根據(jù)上述安全策略的要求，內(nèi)部網(wǎng)絡(luò)需設(shè)置一臺(tái)使用CiscoACS2.3軟件的AAA驗(yàn)證服務(wù)器以適合PIX525防火墻實(shí)現(xiàn)Internet

訪問(wèn)的授權(quán)，只有授權(quán)用戶才能進(jìn)行相應(yīng)服務(wù)類型的Internet訪問(wèn)。為了實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)用戶訪問(wèn)Internet，利用PIX防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）功能，將內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換為外部合法IP地址。為了允許外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部E-mail服務(wù)資源，利用PIX防火墻的靜態(tài)地址映射（Static）功能，將外部虛擬郵件服務(wù)器地址5和內(nèi)部網(wǎng)絡(luò)郵件服務(wù)器地址2映