網(wǎng)絡安全畢業(yè)論文

1、<p><b>　　網(wǎng)絡系統(tǒng)安全</b></p><p>　　--防火墻技術的現(xiàn)狀與展望</p><p><b>　　內(nèi)容提要：</b></p><p>　　網(wǎng)絡信息安全計算機網(wǎng)絡安全從本質(zhì)上來講就是網(wǎng)絡上傳輸信息的安全，是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、

2、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷，在信息發(fā)展的過程中，病毒與各類網(wǎng)絡攻擊直接或間接的威脅著用戶信息安全，為了保護用戶的計算機系統(tǒng)免受外部網(wǎng)絡侵害，在用戶計算機系統(tǒng)與外部網(wǎng)絡之間設置一組只允許合法訪問進入內(nèi)部網(wǎng)絡的軟硬件裝置，即防火墻（firewall），</p><p><b>　　關鍵字：</b></p><p>　　網(wǎng)絡安全 防火墻 防火墻技

3、術 防火墻功能 IP/TCP協(xié)議 </p><p><b>　　防火墻安全 局限性</b></p><p><b>　　正文：</b></p><p>　　防火墻原是指建筑物大廈用來防止火災蔓延的隔斷墻。</p><p>　　從理論上講，Internet防火墻服務也屬于類似的用來防止外界侵入的。

4、它可以防止Internet上的各種危險(病毒、資源盜用等)傳播到你的網(wǎng)絡內(nèi)部。而事實上，防火墻并不像現(xiàn)實生活中的防火墻，它有點像古代守護城池用的護城河，服務于以下多個目的： 1)限定人們從一個特定的控制點進入； 2)限定人們從一個特定的點離開； 3)防止侵入者接近你的其他防御設施；</p><p>　　防火墻是網(wǎng)絡安全策略的有機組成部分，它通過控制和監(jiān)測網(wǎng)絡之間的信息交

5、換和訪問行為來實現(xiàn)對網(wǎng)絡安全的有效管理。從總體上看，防火墻應該具有以下五大基本功能： ●過濾進、出網(wǎng)絡的數(shù)據(jù)； ●管理進、出網(wǎng)絡的訪問行為； ●封堵某些禁止行為； ●記錄通過防火墻的信息內(nèi)容和活動；  為實現(xiàn)以上功能，在防火墻產(chǎn)品的開發(fā)中，人們廣泛地應用了網(wǎng)絡拓撲、計算機操作系統(tǒng)、路由、加密、訪問控制、安全審計等成熟或先進的技術和手段?？v觀防火墻近年來的發(fā)展，可以將

6、其劃分為如下四個階段(即四代)。 ●對網(wǎng)絡攻擊進行檢測和告警</p><p>　　防火墻技術是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術。防火墻技術是設置在被保護網(wǎng)絡和外部網(wǎng)絡之間的一道屏障，實現(xiàn)網(wǎng)絡的安全保護，以防止發(fā)生不可預測的、潛在破壞性的侵入。防火墻本身具有較強的抗攻擊能力，它是提供信息安全服務、實現(xiàn)網(wǎng)絡和信息安全的基礎設施</p><p>　　防火墻

7、的主要技術及功能：防火墻產(chǎn)品將網(wǎng)關與安全系統(tǒng)合二為一，具有以下技術功能：  1. 雙端口或三端口的結構：新一代防火墻產(chǎn)品具有兩個或三個獨立的網(wǎng)卡，內(nèi)外兩個網(wǎng)卡可不做IP轉(zhuǎn)化而串接于內(nèi)部與外部 之間，另一個網(wǎng)卡可專用于對服務器的安全保護。  2 .透明的訪問方式：以前的防火墻在訪問方式上要么要求用戶做系統(tǒng)登錄，要么需要通過SOCKS等庫路徑修改客戶機的應用。第四代防火墻利用了透

8、明的代理系統(tǒng)技術，從而降低了系統(tǒng)登錄固有的安全風險和出錯概率  3 .靈活的代理系統(tǒng)：代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊，第四代防火墻采用了兩種代理機制：一種用于代理從內(nèi)部網(wǎng)絡到外部網(wǎng)絡的連接；另一種用于代理從外部網(wǎng)絡到內(nèi)部網(wǎng)絡的連接。前者采用網(wǎng)絡地址轉(zhuǎn)接(NIT)技術來解決，后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術來解決。  4 .多級過濾技術：為保證系統(tǒng)

9、的安全性和防護水平，第四代防火墻采用了三級過濾措施，并輔以鑒別手段。在分組過濾一級，能過濾掉所有的源路由分組和假冒IP地址；在應用級網(wǎng)關一級，能利用FTP、SMTP等各種網(wǎng)關，控制和監(jiān)測Internet提</p><p>　　6.防火墻經(jīng)常有網(wǎng)絡地址轉(zhuǎn)換(NAT) 的功能, 并且主機被保護在防火墻之后共同地使用所謂的“私人地址空間”, 依照被定義在[RFC 1918] 。 管理員經(jīng)常設置了這樣情節(jié)在努力(無定論的

10、有效率) 假裝內(nèi)部地址或網(wǎng)絡。</p><p>　　7.監(jiān)視Internet的使用。防火墻也是審查和記錄內(nèi)部人員對Internet使用的一個最佳位置,可以在此對內(nèi)部訪問Internet的情況進行記錄</p><p>　　安全防火墻架構的首要關鍵組件是策略的設計。實現(xiàn)這些目標的最為重要的概念是使用原則的需要。在防火墻的策略中，這只是意味著除非有一個明確的原因要求使用某種服務，這種服務默認地必

11、須被阻止或拒絕。為實施默認的服務阻止規(guī)則，在所有策略集的末尾只需要全局性地實施一種防火墻策略，即丟棄一切的規(guī)則，意思就是防火墻的默認行為是丟棄來自任何源到達任何目的地的任何服務的數(shù)據(jù)包。這條規(guī)則在任何的防火墻策略中是最后一條規(guī)則，因為在某種通信在有機會進入之前，它已經(jīng)被封殺了。一旦實施了這種基本的行為，就需要對特定的源、特定的服務、對特定的目標地址的訪問等實施在一些精心設計的規(guī)則。一般而言，這些規(guī)則越精密，網(wǎng)絡也就越安全</p&g

12、t;<p>　　網(wǎng)絡防火墻一般是基于源地址和目的地址、應用、協(xié)議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個“傳統(tǒng)”的網(wǎng)絡級防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個IP包來自何方，去向何處。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會使用默認規(guī)則，一般情況下，默認規(guī)則就是要求防火墻丟棄該包。其次，通過定義基于TCP或U

13、DP數(shù)據(jù)包的端口號，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。</p><p>　　所有的防火墻都具有IP地址過濾功能。這項任務要檢查IP包頭，根據(jù)其IP源地址和目標地址作出放行/丟棄決定。在計算機中，兩個網(wǎng)段之間隔了一個防火墻，防火墻的一端有臺UNIX計算機，另一邊的網(wǎng)段則擺了臺PC客戶機。</p><p>　　當PC客戶機向UNIX計算機發(fā)起telnet請求時，

14、PC的telnet客戶程序就產(chǎn)生一個TCP包并把它傳給本地的協(xié)議棧準備發(fā)送。接下來，協(xié)議棧將這個TCP包“塞”到一個IP包里，然后通過PC機的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計算機。在這個例子里，這個IP包必須經(jīng)過橫在PC和UNIX計算機中的防火墻才能到達UNIX計算機。</p><p>　　現(xiàn)當我們“命令”防火墻把所有發(fā)給UNIX計算機的數(shù)據(jù)包都給拒了，完成這項工作以后，防火墻還會通知客戶程序！既然

15、發(fā)向目標的IP數(shù)據(jù)沒法轉(zhuǎn)發(fā)，那么只有和UNIX計算機同在一個網(wǎng)段用戶才能訪問UNIX計算機了</p><p><b>　　。</b></p><p>　　在內(nèi)部網(wǎng)絡與因特網(wǎng)連接上，防火墻使得內(nèi)部網(wǎng)絡與因特網(wǎng)或其他外部網(wǎng)絡之間互相隔離，從而限制了網(wǎng)絡互訪，以達到保護內(nèi)部網(wǎng)絡的目的，在定程度上保護了用戶資料信息安全。</p><p>　　當我們“配

16、置防火墻時候，防火墻把所有發(fā)給UNIX計算機的數(shù)據(jù)包都給拒了，完成這項工作以后，“！當發(fā)向目標的IP數(shù)據(jù)沒法轉(zhuǎn)發(fā)，那么只有和UNIX計算機同在一個網(wǎng)段的用戶才能訪問UNIX計算機了。　　　　　　服務器TCP/UDP 端口過濾　　　僅僅依靠地址進行數(shù)據(jù)過濾在實際運用中是不可行的，還有個原因就是目標主機上往往運行著多種通信服務，比方說，我們不想讓用戶采用 telnet的方式連到系統(tǒng)，但這絕不等于我們非得同時禁止他們使用SMTP/PO

17、P郵件服務器吧？所以說，在地址之外我們還要對服務器的TCP/ UDP端口進行過濾。 　　 　　比如，默認的telnet服務連接端口號是23。假如我們不許PC客戶機建立對UNIX計算機（在這時我們當它是服務器）的telnet連接，那么我們只需命令防火墻檢查發(fā)送目標是UNIX服務器的數(shù)據(jù)包，把其中具有23目標端口號的包過濾就行了</p><p>　　安全服務器網(wǎng)絡（SSN）</p><p>

18、;　　為適應越來越多的用戶向Internet上提供服務時對服務器保護的需要，新一代防火墻采用分別保護的策略對用戶上網(wǎng)的對外服務器實施保護，它利用一張網(wǎng)卡將對外服務器作為一個獨立網(wǎng)絡處理，對外服務器既是內(nèi)部網(wǎng)的一部分，又與內(nèi)部網(wǎng)關完全隔離。這就是安全服務器網(wǎng)絡（SSN）技術，對SSN上的主機既可單獨管理，也可設置成通過FTP、Telnet等方式從內(nèi)部網(wǎng)上管理。</p><p>　　SSN的方法提供的安全性要比傳統(tǒng)的

19、"隔離區(qū)（DMZ）"方法好得多，因為SSN與外部網(wǎng)之間有防火墻保護，SSN與內(nèi)部網(wǎng)之間也有防火墻的保護，而DMZ只是一種在內(nèi)、外部網(wǎng)絡網(wǎng)關之間存在的一種防火墻方式。換言之，一旦SSN受破壞，內(nèi)部網(wǎng)絡仍會處于防火墻的保護之下，而一旦DMZ受到破壞，內(nèi)部網(wǎng)絡便暴露于攻擊之下。</p><p><b>　　用戶鑒別與加密</b></p><p>　　為了

20、降低防火墻產(chǎn)品在Telnet、FTP等服務和遠程管理上的安全風險，鑒別功能必不可少，新一代防火墻采用一次性使用的口令字系統(tǒng)來作為用戶的鑒別手段，并實現(xiàn)了對郵件的加密。</p><p><b>　　用戶定制服務</b></p><p>　　為滿足特定用戶的特定需求，新一代防火墻在提供眾多服務的同時，還為用戶定制提供支持，這類選項有：通用TCP，出站UDP、FTP、SMT

21、P等類，如果某一用戶需要建立一個數(shù)據(jù)庫的代理，便可利用這些支持，方便設置。</p><p><b>　　審計和告警</b></p><p>　　新一代防火墻產(chǎn)品的審計和告警功能十分健全，日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站代理、FTP代理、出站代理、郵件服務器、名

22、服務器等。告警功能會守住每 一個TCP或UDP探尋，并能以發(fā)出郵件、聲響等多種方式報警。 此外新一代防火墻還在網(wǎng)絡診斷，數(shù)據(jù)備份與保全等方面具有特色</p><p>　　防火墻的局限性 　　盡管利用防火墻可以保護內(nèi)部網(wǎng)免受外部黑客的攻擊，但其只能提高網(wǎng)絡的安全性，不可能保證網(wǎng)絡的絕對安全。事實上仍然存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經(jīng)過防火墻的攻擊。例如，如果允許從受保護的網(wǎng)絡內(nèi)部

23、向外撥號，一些用戶就可能形成與Internet的直接連接。另外，防火墻很難防范來自于網(wǎng)絡內(nèi)部的攻擊以及病毒的威脅。所以在一個實際的網(wǎng)絡運行環(huán)境中，僅僅依靠防火墻來保證網(wǎng)絡的安全顯然是不夠，此時，應根據(jù)實際需求采取其他相應的安全策略</p><p><b>　　發(fā)展： </b></p><p>　　在未來網(wǎng)絡防火墻的發(fā)展上，會將在現(xiàn)有的基礎上繼續(xù)完善其功能并 <

24、/p><p><b>　　斷增加新的功能 ：</b></p><p>　?、僭诒Ｃ苄苑矫?將繼續(xù)發(fā)展高保密性的安全協(xié)議用建立專用網(wǎng)V P N ，基于防火墻的V P N 專暖在較長一段時間內(nèi)將繼續(xù)成為用戶使用的主流 。</p><p>　?、谠谶^濾方面，將從目前的地址 服務、U R L 文本、關鍵字過濾發(fā)展到對c G I 、A c t i

25、 v e X ，J A V A 等w E B 應用的過濾并將逐漸具備病毒過濾的功能；</p><p>　　在服務方面， 將在目前的透明代理基礎上完善其性 ，并將具備針對大多數(shù)網(wǎng)絡通信協(xié)議的代理服務功能 </p><p>　　在營理方面， 將從子網(wǎng)和內(nèi)部網(wǎng)絡的管理方式向基于專用通道和安全通道的遠程集中管理方式發(fā)展：管理端口的安全性將是其重點考慮內(nèi)容：用戶費用統(tǒng)計、多種媒 體的遠程警報及友好的

26、圖形化管理界面將成為防火墻的基本功能模塊 ；</p><p>　?、菰诎踩矫?，對網(wǎng)絡攻擊的柱測、攔截及告警功能 將繼續(xù)是防火墻最主要的性能指標。</p><p>　　智能防火墻技術最新發(fā)展</p><p><b>　?。?</b></p><p><b>　　防攻擊技術： </b></p&g

27、t;<p>　　智能防火墻能智能識別惡意數(shù)據(jù)流量 ， 并有效地阻斷惡意數(shù)據(jù)攻擊 。智能防火墻可以有效地解決 S Y N F l o o d i n g ， L a n d At t a c k ，U DP F l o o di n g， Fr a g g l e At t a c k， P i n g F l o o d i n g， S muf f， Pi n g o f De a t

28、h， U n r e a c h a b l e Ho s t 等攻擊。防攻擊技術還可以有效的切斷惡意病毒或 木馬 的流量攻擊。 </p><p><b>　　防掃描技術：</b></p><p>　　智能防火墻能智能識別黑客的惡意掃描， 并有效地阻斷或欺騙惡意掃描者。對目前已知的掃描工具如 I S S ， S S S， N MA P等掃描工具 ， 智 <

29、;/p><p>　　能防火墻可以防止被掃描。 防掃描技術還可以有效地解決代表或惡意代碼的惡意掃描攻擊。 </p><p><b>　　防欺騙技術： </b></p><p>　　智能防火墻提供基于MAC的訪問控制機制．可以防止 MAC欺騙和 I P欺騙，支持 MA C過濾，支持 I P過濾。將防火墻的訪問控制擴展到 O S I 的第二層 <

30、/p><p><b>　　入侵防御技術： </b></p><p>　　智能防火墻為了解決準許放行包的安全性， 對準許放行的數(shù)據(jù)進行入侵檢測，并提供入侵防御保護。智能防火墻完成了深層數(shù)據(jù)包監(jiān)控，并能阻斷應用層攻擊。 </p><p>　　包擦洗和協(xié)議正?；夹g： </p><p>　　智能防火墻支持包擦洗技術 ， 對I P，

31、 T C P ， U DP ， I C MP等協(xié)議的擦洗，實現(xiàn)協(xié)議的正?；?，消除潛在的協(xié)議風險和攻擊。 </p><p><b>　　AA A技術 </b></p><p>　　I P v 4版本的一大缺陷是缺乏身份認證功能，所 以在 I Pv 6版本中增加了該功能。問題是I P v 6的推廣尚需時日，I P v 4在相 當長一段 時 </p><

32、;p>　　間內(nèi)，還會繼續(xù)存在。智能防火墻增加了對 I P層的身份認證?；谏矸輥韺崿F(xiàn)訪問控制。 </p><p><b>　　小結 </b></p><p>　　隨著 i n t e r n e t 和 i n t r a n e t 技術的發(fā)展 ， 網(wǎng)絡的安全已經(jīng)顯得越來越重要了， 網(wǎng)絡病毒對企業(yè)造成的危害已經(jīng)相當廣泛和嚴重． 相應的病毒防范技術也發(fā)展到了網(wǎng)

33、絡層面， 并且愈來愈有與黑客技術和漏洞相</p><p>　　結合的趨勢。新一代智能防火墻技術產(chǎn)生 ， 就是為了解決來自企業(yè)網(wǎng)</p><p>　　絡內(nèi)和外的攻擊； 克服傳統(tǒng)“ 邊界防火墻” 的缺點， 集成了I D S 、 V P N和防病毒等安全技術， 實現(xiàn)從網(wǎng)絡到服務器以及客戶端全方位的安全解決方案， 滿足企業(yè)實際應用和發(fā)展的安全要求。防火墻已經(jīng)在Internet上得到了廣泛的應用，而

34、且由于防火墻不限于TCP/IP協(xié)議的特點，也使其逐步在Internet之外更具生命力?？陀^的講，防火墻并不是解決網(wǎng)絡安全問題的萬能藥方，而只是網(wǎng)絡安全政策和策略中的一個組成部分，。 </p><p><b>　　注釋：</b></p><p>　?。溃├?著 《網(wǎng)絡安全》出 版 社：人民郵電出版社 </p><p>　　黎連業(yè)，張維，《防火