第一篇:畢業論文------論防火墻技術設計策略
基于Internet技術的網絡教學平臺組建 —— 論防火墻技術設計策略
Construction of network teaching platform based on Internet technique
—— Strategy of firewall technique design
[摘要] 防火墻是一種確保網絡安全的方法,通過隔離、過濾、封鎖等技術,防止來自外部網絡的攻擊。本文對防火墻自我保護能力的設計和防火墻體系結構進行了分析,并給出了設計方法。
[關鍵字] 防火墻;攻擊;路由器;分析
[Abstract] The firewall,an efficient measure which is used to protect the safety of network,prevents from attacking of outer network by technologies such as insulating,filtering and blockage etc.This article analyses the structure and self-protect designing of firewall,and also supplies its designing method.[Keyword] firewall;attack;router;analyse 引 言
古時候,人們常在寓所之間砌起一道磚墻,一旦火災發生它能夠防止火勢蔓延到別的寓所。自然,此種磚墻因此而得名“防火墻”。現在,如果一個網絡接入到了Internet上,在與外界進行通信時,勢必也會存在著受其攻擊的“火災發生”。
如何確保網絡安全,作為網絡安全產品中的防火墻技術,是目前最為成熟的技術。防火墻是建立在內外網絡邊界上的過濾封鎖機制,對內連接LAN,對外連接Internet,通過隔離、過濾、封鎖等技術,阻止信息資源的非法訪問。防火墻設計首要、重點問題
由于防火墻處于內外網絡邊界上,承擔過濾、封鎖等工作,自然也是眾多攻擊者的目標。因此,其自我保護能力(安全性)是設計時的首要、重點問題。
1.專用服務器端口
為降低設計上的難度,通過在防火墻上增設專用服務器端口,用于與主機進行連接。除專用服務器外,防火墻不接受任何其他端口的直接訪問。由于管理通信是單獨的通道,所以不管是內網主機還是外網主機都無法竊聽到該通信,顯然是很安全的。
2.透明應用代理
提供對高層應用服務,如HTTP、FTP、SMTP等的透明代理,終端無需在客戶機上進行代理服務器設置。管理員在防火墻產品上配置相關規則,這些配置對用戶來說完全是透明的,用戶訪問Web、FTP等服務時,便自由進行代理轉發,而外部網絡是不能通過代理主動訪問內部網絡的,從而有效保證了內部網絡的安全。防火墻體系結構構建
防火墻結構的構建可使用多種不同部件的組合,每個部件根據所提供的服務及能接受的安全等級來解決不同的問題。常見的幾種構建方式分析如下:
3.1 雙宿主機
雙宿主機將內外網絡隔離,防火墻內部的網絡系統與外部的網絡系統都與雙宿主機通信。這樣,內外網絡之間的IP數據流是完全切斷的,只有入侵者得到雙宿主機的訪問權,才會侵入內部網絡。所以為了保證內部網安全,雙宿主機應禁止網絡層的路由功能,避免防火墻上過多的用戶賬號。3.2 屏蔽主機
主機與內部網相連,使用一臺單獨的過濾路由器強迫所有到達路由器的數據包被發送到被屏蔽主機,任何試圖訪問內部系統或服務器的外部系統都須與此主機相連。過濾路由器能否正確配置是這種防火墻結構安全的關鍵,因此過濾路由器中的路由表應嚴格保護,防止路由表破壞造成數據包越過主機侵入內部網絡。
3.3 屏蔽子網
在以上基礎上,增加一個DMZ(隔離區),進一步將內網與外網隔開。采取兩個過濾路由器,攻擊者就算攻入了主機,還得通過內部路由器。所以原則上說,此種方式的網絡是安全的。應對常見攻擊方式的策略
4.1 病毒
盡管某些防火墻產品提供了在數據包通過時進行病毒掃描的功能,但仍然很難將所有的病毒(或特洛伊木馬程序)阻止在網絡外面,黑客很容易欺騙用戶下載一個程序從而讓惡意代碼進入內部網。
策略:設定安全等級,嚴格阻止系統在未經安全檢測的情況下執行下載程序;或者通過常用的基于主機的安全方法來保護網絡。
4.2 口令字
對口令字的攻擊方式有兩種:窮舉和嗅探。窮舉針對來自外部網絡的攻擊,來猜測防火墻管理的口令字。嗅探針對內部網絡的攻擊,通過監測網絡獲取主機給防火墻的口令字。策略:設計主機與防火墻通過單獨接口通信(即專用服務器端口)、采用一次性口令或禁止直接登錄防火墻。
4.3 郵件
來自于郵件的攻擊方式越來越突出,在這種攻擊中,垃圾郵件制造者將一條消息復制成成千上萬份,并按一個巨大的電子郵件地址清單發送這條信息,當不經意打開郵件時,惡意代碼即可進入。
策略:打開防火墻上的過濾功能,在內網主機上采取相應阻止措施。
4.4 IP地址
黑客利用一個類似于內部網絡的IP地址,以“逃過”服務器檢測,從而進入內部網達到攻擊的目的。
策略:通過打開內核rp_filter功能,丟棄所有來自網絡外部但卻有內部地址的數據包;同時將特定IP地址與MAC綁定,只有擁有相應MAC地址的用戶才能使用被綁定的IP地址進行網絡訪問。基本決策
5.1 方案選擇
市場上的防火墻大致有軟件防火墻和硬件防火墻兩大類。軟件防火墻需運行在一臺標準的主機設備上,依托網絡在操作系統上實現防火墻的各種功能,因此也稱“個人”防火墻,其功能有限,基本上能滿足單個用戶。硬件防火墻是一個把硬件和軟件都單獨設計,并集成在一起,運行于自己專用的系統平臺。由于硬件防火墻集合了軟件方面,從功能上更為強大,目前已普遍使用。
在制造上,硬件防火墻須同時設計硬件和軟件兩方面。國外廠家基本上是將軟件運算硬件化,將主要運算程序做成芯片,以減少CPU的運算壓力;國內廠家的防火墻硬件平臺仍使用通用PC系統,增加了內存容量,增大了CPU的頻率。在軟件性能方面,國外一些著名的廠家均采用專用的操作系統,自行設計防火墻,提供高性能的產品;而國內廠家大部分基于Linux操作平臺,有針對性的修改代碼、增加技術及系統補丁等。因此,國產防火墻與國外的相比仍有一定差距,但科技的進步,也生產出了較為優秀的產品。如北京天融信的NG系列產品,支持TOPSEC安全體系、多級過濾、透明應用代理等先進技術。
5.2 結構透明
防火墻的透明性是指防火墻對于用戶是透明的。以網橋的方式將防火墻接入網絡,網絡和用戶無需做任何設置和改動,也根本意識不到防火墻的存在。然后根椐自己企業的網絡規模,以及安全策略來選擇合適的防火墻的構造結構(可參照本文第3點分析),如果經濟實力雄厚的可采用屏蔽子網的拓撲結構。
5.3 堅持策略
(1)管理主機與防火墻專用服務器端口連接,形成單獨管理通道,防止來自內外部的攻擊。
(2)使用FTP、Telnet、News等服務代理,以提供高水平的審計和潛在的安全性。
(3)支持“除非明確允許,否則就禁止”的安全防范原則。
(4)確定可接受的風險水平,如監測什么傳輸,允許和拒絕什么傳輸流通過。5.4 實施措施
好的防火墻產品應向使用者提供完整的安全檢查功能,應有完善及時的售后服務。但一個安全的網絡仍必須靠使用者的觀察與改進,企業要達到真正的安全仍需內部的網絡管理者不斷記錄、追蹤、改進,定期對防火墻和相應操作系統用補丁程序進行升級。結束語
以上從防火墻所具有的功能出發,分別介紹了防火墻技術在設計時的重點問題、防火墻體系結構構建、常見攻擊方式的防范及基本設計決策。在分析的基礎上給出了具體解決方法,在設計過程中,應根據企業自身條件出發,選擇最優的策略。
參 考 文 獻
[1] 陶篤純,饒友玲,康曉東.網站建設項目管理[M].北京:人民郵電出版社,2002.[2] 彭濤.計算機網絡教程[M].北京:機械工業出版社,2002.[3] IBON.Marshield網絡安全技術白皮書.艾邦公司資料,2002.致
謝
在這次畢業設計中,我得到了XXX教師的大力支持和幫助,特表示衷心的感謝。同時也感謝同組同學。馬上就要踏上工作的崗位,本文是也算是我人生中的一段的總結。真心感謝所有傳授給我知識的敬愛的老師們。在你們的精心教導下,讓我擁有一段充實,精彩的大學生活,謝謝你們!
第二篇:現代網絡安全及防火墻畢業論文
摘要
隨著計算機網絡技術的飛速發展,尤其是互聯網的應用變得越來越廣泛,在帶來了前所未有的海量信息的同時,網絡的開放性和自由性也產生了私有信息和數據被破壞或侵犯的可能性,網絡信息的安全性變得日益重要起來,已被信息社會的各個領域所重視。本文對目前計算機網絡存在的安全隱患進行了分析,闡述了我國網絡安全的現狀及網絡安全問題產生的原因,對我們網絡安全現狀進行了系統的分析,并探討了針對計算機安全隱患的防范策略.正是因為安全威脅的無處不在,為了解決這個問題防火墻出現了。防火墻是網絡安全的關鍵技術,是隔離在本地網絡與外界網絡之間的一道防御系統,其核心思想是在不安全的網絡環境中構造一個相對安全的子網環境,防火墻是實施網絡安全控制得一種必要技術。本文討論了防火墻的安全功能、體系結構、實現防火墻的主要技術手段及配置等。
關鍵詞
網絡安全/黑客/病毒/防火墻
0 我國網絡安全現狀...........................................................................................................2 1.1研究背景..................................................................................................................2 1.2研究意義..................................................................................................................3 1.3 計算機網絡面臨的威脅.........................................................................................4 2 防火墻的安全功能及安全網絡方案...............................................................................7 2.1防火墻具備的安全功能..........................................................................................7 2.2 計算機網絡面臨的威脅網絡安全的解決方案 2.2.1入侵檢測系統部署..........7 3 計算機網絡安全方案設計并實現................................................................................10 3.1桌面安全系統........................................................................................................10 3.2病毒防護系統......................................................................................................10 3.3 動態口令系統........................................................................................................11 4 防火墻的配置.................................................................................................................13 4.1防火墻的初始配置................................................................................................13 4.2 過濾防火墻的訪問配置.......................................................................................15 4.3雙宿主機網關(Dual Homed Gateway)................................................................19 4.4屏蔽主機網關(Screened Host Gateway).............................................................19 4.5屏蔽子網(Screened Subnet).................................................................................20 總
結................................................................................................................................22 致
謝................................................................................................................................23 參考文獻.............................................................................................................................24 我國網絡安全現狀
1.1研究背景
據美國聯邦調查局統計,美國每年因網絡安全造成的損失高達75億美元。據美國金融時報報道,世界上平均每20分鐘就發生一次人侵國際互聯網絡的計算機安全事件,1/3的防火墻被突破。美國聯邦調查局計算機犯罪組負責人吉姆·塞特爾稱:給我精選10名“黑客”,組成小組,90天內,我將使美國趴下。一位計算機專家毫不夸張地說:如果給我一臺普通計算機、一條電話線和一個調制解調器,就可以令某個地區的網絡運行失常。
據了解,從1997年底至今,我國的政府部門、證券公司、銀行等機構的計算機網絡相繼遭到多次攻擊。公安機關受理各類信息網絡違法犯罪案件逐年劇增,尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國大量的網絡基礎設施和網絡應用依賴于外國的產品和技術,在電子政務、電子商務和各行業的計算機網絡應用尚處于發展階段,以上這些領域的大型計算機網絡工程都由國內一些較大的系統集成商負責。有些集成商仍缺乏足夠專業的安全支撐技術力量,同時一些負責網絡安全的工程技術人員對許多潛在風險認識不足。缺乏必要的技術設施和相關處理經驗,面對形勢日益嚴峻的現狀,很多時候都顯得有些力不從心。也正是由于受技術條件的限制,很多人對網絡安全的意識僅停留在如何防范病毒階段,對網絡安全缺乏整體意識。
隨著網絡的逐步普及,網絡安全的問題已經日益突。如同其它任何社會一樣,互連網也受到某些無聊之人的困擾,某些人喜愛在網上做這類的事,像在現實中向其他人的墻上噴染涂鴉、將他人的郵箱推倒或者坐在大街上按汽車喇叭一樣。網絡安全已成為互連網上事實上的焦點問題。它關系到互連網的進一步發展和普及,甚至關系著互連網的生存。近年來,無論在發達國家,還是在發展中國家,黑客活動越來越猖狂,他們無孔不入,對社會造成了嚴重的危害。目前在互連網上大約有將近80%以上的用戶曾經遭受過黑客的困擾。而與此同時,更讓人不安的是,互連網上病毒和黑客的聯姻、不斷增多的黑客網站,使學習黑客技術、獲得黑客攻擊工具變的輕而易舉。這樣,使原本就十分脆弱的互連網越發顯得不安全。
1.2研究意義
現在網絡的觀念已經深入人心,越來越多的人們通過網絡來了解世界,同時他們也可以通過網絡發布消息,與朋友進行交流和溝通,展示自己,以及開展電子商務等等。人們的日常生活也越來越依靠網絡進行。同時網絡攻擊也愈演愈烈,時刻威脅著用戶上網安全,網絡與信息安全已經成為當今社會關注的重要問題之一。黨的十六屆四中全會,把信息安全和政治安全、經濟安全、文化安全并列為國家安全的四大范疇之一,信息安全的重要性被提升到一個空前的戰略高度。正是因為安全威脅的無處不在,為了解決這個問題防火墻出現了。防火墻的本義原是指古代人們房屋之間修建的那道為防止火災蔓延而建立的墻,而現在意義上的防火墻是指隔離在本地網絡與外界網絡之間的一道防御系統,是這一類防范措施的總稱。應該說,在互連網上防火墻是一種非常有效的網絡安全模型,通過它可以隔離風險區域(即Internet或有一定風險的網絡)與安全區域(局域網)的連接,同時不會妨礙人們對風險區域的訪問。成而有效的控制用戶的上網安全。防火墻是實施網絡安全控制得一種必要技術,它是一個或一組系統組成,它在網絡之間執行訪問控制策略。實現它的實際方式各不相同,但是在原則上,防火墻可以被認為是這樣同一種機制:攔阻不安全的傳輸流,允許安全的傳輸流通過。特定應用程序行為控制等獨特的自我保護機制使它可以監控進出網絡的通信信息,僅讓安全的、核準了的信息進入;它可以限制他人進入內部網絡,過濾掉不安全服務和非法用戶;它可以封鎖特洛伊木馬,防止機密數據的外泄;它可以限定用戶訪問特殊站點,禁止用戶對某些內容不健康站點的訪問;它還可以為監視互聯網的安全提供方便。現在國外的優秀防火墻如Outpost不但能完成以上介紹的基本功能,還能對獨特的私人信息保護如防止密碼泄露、對內容進行管理以防止小孩子或員工查看不合適的網頁內容,允許按特定關鍵字以及特定網地進行過濾等、同時還能對DNS 緩存進行保護、對Web 頁面的交互元素進行控制如過濾不需要的GIF,Flash動畫等界面元素。隨著時代的發展和科技的進步防火墻功能日益完善和強大,但面對日益增多的網絡安全威脅防火墻仍不是完整的解決方案。但不管如何變化防火墻仍然是網絡安全必不可少的工具之一。
1.3 計算機網絡面臨的威脅
1.3.1 網絡安全脆弱的原因
(1)Internet所用底層TCP/IP網絡協議本身易受到攻擊,該協議本身的安全問題極大地影響到上層應用的安全。
(2)Internet上廣為傳插的易用黑客和解密工具使很多網絡用戶輕易地獲得了攻擊網絡的方法和手段。
(3)快速的軟件升級周期,會造成問題軟件的出現,經常會出現操作系統和應用程序存在新的攻擊漏洞。
(4)現行法規政策和管理方面存在不足。目前我國針對計算機及網絡信息保護的條款不細致,網上保密的法規制度可操作性不強,執行不力。同時,不少單位沒有從管理制度、人員和技術上建立相應的安全防范機制。缺乏行之有效的安全檢查保護措施,甚至有一些網絡管理員利用職務之便從事網上違法行為。
1.3.1網絡安全面臨的威脅
信息安全是一個非常關鍵而又復雜的問題。計算機信息系統安全指計算機信息系統資產(包括網絡)的安全,即計算機信息系統資源(硬件、軟件和信息)不受自然和人為有害因素的威脅和危害。
計算機信息系統之所以存在著脆弱性,主要是由于技術本身存在著安全弱點、系統的安全性差、缺乏安全性實踐等;計算機信息系統受到的威脅和攻擊除自然災害外,主要來自計算機犯罪、計算機病毒、黑客攻擊、信息戰爭和計算機系統故障等。由于計算機信息系統已經成為信息社會另一種形式的“金庫”和“保密室”,因而,成為一些人窺視的目標。再者,由于計算機信息系統自身所固有的脆弱性,使計算機信息系統面臨威脅和攻擊的考驗。計算機信息系統的安全威脅主要來自于以下幾個方面:
(1)自然災害。計算機信息系統僅僅是一個智能的機器,易受自然災害及環境(溫度、濕度、振動、沖擊、污染)的影響。目前,我們不少計算機房并沒有防震、防火、防水、避雷、防電磁泄漏或干擾等措施,接地系統也疏于周到考慮,抵御自然災害和意外事故的能力較差。日常工作中因斷電而設備損壞、數據丟失的現象時有發生。由于噪音和電磁輻射,導致網絡信噪比下降,誤碼率增加,信息的安全性、完整性和可用
性受到威脅。
(2)黑客的威脅和攻擊。計算機信息網絡上的黑客攻擊事件越演越烈,已經成為具有一定經濟條件和技術專長的形形色色攻擊者活動的舞臺。他們具有計算機系統和網絡脆弱性的知識,能使用各種計算機工具。境內外黑客攻擊破壞網絡的問題十分嚴重,他們通常采用非法侵人重要信息系統,竊聽、獲取、攻擊侵人網的有關敏感性重要信息,修改和破壞信息網絡的正常使用狀態,造成數據丟失或系統癱瘓,給國家造成重大政治影響和經濟損失。黑客問題的出現,并非黑客能夠制造入侵的機會,從沒有路的地方走出一條路,只是他們善于發現漏洞。即信息網絡本身的不完善性和缺陷,成為被攻擊的目標或利用為攻擊的途徑,其信息網絡脆弱性引發了信息社會脆弱性和安全問題,并構成了自然或人為破壞的威脅。
(3)計算機病毒。90年代,出現了曾引起世界性恐慌的“計算機病毒”,其蔓延范圍廣,增長速度驚人,損失難以估計。它像灰色的幽靈將自己附在其他程序上,在這些程序運行時進人到系統中進行擴散。計算機感染上病毒后,輕則使系統上作效率下降,重則造成系統死機或毀壞,使部分文件或全部數據丟失,甚至造成計算機主板等部件的損壞。
(4)垃圾郵件和間諜軟件。一些人利用電子郵件地址的“公開性”和系統的“可廣播性”進行商業、宗教、政治等活動,把自己的電子郵件強行“推入”別人的電子郵箱,強迫他人接受垃圾郵件。與計算機病毒不同,間諜軟件的主要目的不在于對系統造成破壞,而是竊取系統或是用戶信息。事實上,間諜軟件日前還是一個具有爭議的概念,一種被普遍接受的觀點認為間諜軟件是指那些在用戶小知情的情況下進行非法安裝發裝后很難找到其蹤影,并悄悄把截獲的一些機密信息提供給第下者的軟件。間諜軟件的功能繁多,它可以監視用戶行為,或是發布廣告,修改系統設置,威脅用戶隱私和計算機安全,并可能小同程度的影響系統性能。
(5)信息戰的嚴重威脅。信息戰,即為了國家的軍事戰略而采取行動,取得信息優勢,干擾敵方的信息和信息系統,同時保衛自己的信息和信息系統。這種對抗形式的目標,不是集中打擊敵方的人員或戰斗技術裝備,而是集中打擊敵方的計算機信息系統,使其神經中樞的指揮系統癱瘓。信息技術從根本上改變了進行戰爭的方法,其攻擊的首要目標主要是連接國家政治、軍事、經濟和整個社會的計算機網絡系統,信息武器已經成為了繼原子武器、生物武器、化學武器之后的第四類戰略武器。可以說,未來國與國之間的對抗首先將是信息技術的較量。網絡信息安全應該成為國家安全的前提。
(6)計算機犯罪。計算機犯罪,通常是利用竊取口令等手段非法侵人計算機信息系統,傳播有害信息,惡意破壞計算機系統,實施貪污、盜竊、詐騙和金融犯罪等活動。
在一個開放的網絡環境中,大量信息在網上流動,這為不法分子提供了攻擊目標。他們利用不同的攻擊手段,獲得訪問或修改在網中流動的敏感信息,闖入用戶或政府部門的計算機系統,進行窺視、竊取、篡改數據。不受時間、地點、條件限制的網絡詐騙,其“低成本和高收益”又在一定程度上刺激了犯罪的增長。使得針對計算機信息系統的犯罪活動日益增多。防火墻的安全功能及安全網絡方案
2.1防火墻具備的安全功能
防火墻是網絡安全策略的有機組成部分,它通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理。從總體上看,防火墻應該具有以下基本功能:
(1)報警功能,將任何有網絡連接請求的程序通知用戶,用戶自行判斷是否放行也或阻斷其程序連接網絡。
(2)黑白名單功能,可以對現在或曾經請求連接網絡的程序進行規則設置。包括以后不準許連接網網等功能。
(3)局域網查詢功能,可以查詢本局域網內其用戶,并顯示各用戶主機名。
(4)流量查看功能,對計算機進出數據流量進行查看,直觀的完整的查看實時數據量和上傳下載數據率。
(5)端口掃描功能,戶自可以掃描本機端口,端口范圍為0-65535端口,掃描完后將顯示已開放的端口。
(6)系統日志功能,日志分為流量日志和安全日志,流量日志是記錄不同時間數據包進去計算機的情況,分別記錄目標地址,對方地址,端口號等。安全日志負責記錄請求連接網絡的程序,其中包括記錄下程序的請求連網時間,程序目錄路徑等。(7)系統服務功能,可以方便的查看所以存在于計算機內的服務程序。可以關閉,啟動,暫停計算機內的服務程序。
(8)連網/斷網功能,在不使用物理方法下使用戶計算機連接網絡或斷開網絡。完成以上功能使系統能對程序連接網絡進行管理,大大提高了用戶上網的效率,降低的上網風險。從而用戶上網娛樂的質量達到提高,同時也達到網絡安全保護的目的。
2.2 計算機網絡面臨的威脅網絡安全的解決方案
2.2.1入侵檢測系統部署
入侵檢測能力是衡量一個防御體系是否完整有效的重要因素,強大完整的入侵檢
測體系可以彌補防火墻相對靜態防御的不足。對來自外部網和校園網內部的各種行為進行實時檢測,及時發現各種可能的攻擊企圖,并采取相應的措施。具體來講,就是將入侵檢測引擎接入中心交換機上。入侵檢測系統集入侵檢測、網絡管理和網絡監視功能于一身,能實時捕獲內外網之間傳輸的所有數據,利用內置的攻擊特征庫,使用模式匹配和智能分析的方法,檢測網絡上發生的入侵行為和異常現象,并在數據庫中記錄有關事件,作為網絡管理員事后分析的依據;如果情況嚴重,系統可以發出實時報警,使得學校管理員能夠及時采取應對措施。
2.2.2漏洞掃描系統
采用目前最先進的漏洞掃描系統定期對工作站、服務器、交換機等進行安全檢查,并根據檢查結果向系統管理員提供詳細可靠的安全性分析報告,為提高網絡安全整體水平產生重要依據。
2.2.3網絡版殺毒產品部署
在該網絡防病毒方案中,我們最終要達到一個目的就是:要在整個局域網內杜絕病毒的感染、傳播和發作,為了實現這一點,我們應該在整個網絡內可能感染和傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網絡的防病毒體系,應能實現遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。
2.2.4 安全服務配置
安全服務隔離區(DMZ)把服務器機群和系統管理機群單獨劃分出來, 設置為安全服務隔離區, 它既是內部網絡的一部分, 又是一個獨立的局域網,單獨劃分出來是為了更好的保護服務器上數據和系統管理的正常運行。建議通過NAT(網絡地址轉換)
技術將受保護的內部網絡的全部主機地址映射成防火墻上設置的少數幾個有效公網IP地址。這不僅可以對外屏蔽內部網絡結構和IP地址, 保護內部網絡的安全, 也可以大大節省公網IP地址的使用, 節省了投資成本。
如果單位原來已有邊界路由器, 則可充分利用原有設備, 利用邊界路由器的包過
濾功能, 添加相應的防火墻配置,這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護的內部網絡連接。對于DMZ區中的公用服務器, 則可直接與邊界路由器相連,不用經過防火墻。它可只經過路由器的簡單防護。在此拓撲結構中, 邊界路由器與防火墻就一起組成了兩道安全防線, 并且在這兩者之間可以設置一個DMZ區, 用來放置那些允許外部用戶訪問的公用服務器設施。
2.2.5 配置訪問策略
訪問策略是防火墻的核心安全策略, 所以要經過詳盡的信息統計才可以進行設置。在過程中我們需要了解本單位對內對外的應用以及所對應的源地址、目的地址、TCP 或UDP的端口, 并根據不同應用的執行頻繁程度對策略在規則表中的位置進行排序, 然后才能實施配置。原因是防火墻進行規則查找時是順序執行的, 如果將常用的規則放在首位就可以提高防火墻的工作效率。
2.2.6 日志監控
日志監控是十分有效的安全管理手段。往往許多管理員認為只要可以做日志的信息就去采集。如: 所有的告警或所有與策略匹配或不匹配的流量等等,這樣的做法看似日志信息十分完善, 但每天進出防火墻的數據有上百萬甚至更多, 所以, 只有采集到最關鍵的日志才是真正有用的日志。一般而言,系統的告警信息是有必要記錄的, 對于流量信息進行選擇, 把影響網絡安全有關的流量信息保存下來。計算機網絡安全方案設計并實現
3.1桌面安全系統
用戶的重要信息都是以文件的形式存儲在磁盤上,使用戶可以方便地存取、修改、分發。這樣可以提高辦公的效率,但同時也造成用戶的信息易受到攻擊,造成泄密。特別是對于移動辦公的情況更是如此。因此,需要對移動用戶的文件及文件夾進行本地安全管理,防止文件泄密等安全隱患。
本設計方案采用清華紫光公司出品的紫光S鎖產品,“紫光S鎖”是清華紫光“桌面計算機信息安全保護系統”的商品名稱。紫光S鎖的內部集成了包括中央處理器(CPU)、加密運算協處理器(CAU)、只讀存儲器(ROM),隨機存儲器(RAM)、電可擦除可編程只讀存儲器(E2PROM)等,以及固化在ROM內部的芯片操作系統COS(Chip Operating System)、硬件ID號、各種密鑰和加密算法等。紫光S鎖采用了通過中國人民銀行認證的SmartCOS,其安全模塊可防止非法數據的侵入和數據的篡改,防止非法軟件對S鎖進行操作。
3.2病毒防護系統
基于單位目前網絡的現狀,在網絡中添加一臺服務器,用于安裝IMSS。
(1)郵件防毒。采用趨勢科技的ScanMail for Notes。該產品可以和Domino的群件服務器無縫相結合并內嵌到Notes的數據庫中,可防止病毒入侵到LotueNotes的數據庫及電子郵件,實時掃描并清除隱藏于數據庫及信件附件中的病毒。可通過任何Notes工作站或Web界面遠程控管防毒管理工作,并提供實時監控病毒流量的活動記錄報告。ScanMail是Notes Domino Server使用率最高的防病毒軟件。
(2)服務器防毒。采用趨勢科技的ServerProtect。該產品的最大特點是內含集中管理的概念,防毒模塊和管理模塊可分開安裝。一方面減少了整個防毒系統對原系統的影響,另一方面使所有服務器的防毒系統可以從單點進行部署,管理和更新。
(3)客戶端防毒。采用趨勢科技的OfficeScan。該產品作為網絡版的客戶端防毒系統,使管理者通過單點控制所有客戶機上的防毒模塊,并可以自動對所有客戶端的防
毒模塊進行更新。其最大特點是擁有靈活的產品集中部署方式,不受Windows域管理模式的約束,除支持SMS,登錄域腳本,共享安裝以外,還支持純Web的部署方式。
(4)集中控管TVCS。管理員可以通過此工具在整個企業范圍內進行配置、監視和維護趨勢科技的防病毒軟件,支持跨域和跨網段的管理,并能顯示基于服務器的防病毒產品狀態。無論運行于何種平臺和位置,TVCS在整個網絡中總起一個單一管理控制臺作用。簡便的安裝和分發代理部署,網絡的分析和病毒統計功能以及自動下載病毒代碼文件和病毒爆發警報,給管理帶來極大的便利。
3.3 動態口令系統
動態口令系統在國際公開的密碼算法基礎上,結合生成動態口令的特點,加以精心修改,通過十次以上的非線性迭代運算,完成時間參數與密鑰充分的混合擴散。在此基礎上,采用先進的身份認證及加解密流程、先進的密鑰管理方式,從整體上保證了系統的安全性。
單位安全網由多個具有不同安全信任度的網絡部分構成,在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷,從而構成了對網絡安全的重要隱患。本設計方案選用四臺網御防火墻,分別配置在高性能服務器和三個重要部門的局域網出入口,實現這些重要部門的訪問控制。
通過在核心交換機和高性能服務器群之間及核心交換機和重要部門之間部署防火墻,通過防火墻將網絡內部不同部門的網絡或關鍵服務器劃分為不同的網段,彼此隔離。這樣不僅保護了單位網絡服務器,使其不受來自內部的攻擊,也保護了各部門網絡和數據服務器不受來自單位網內部其他部門的網絡的攻擊。如果有人闖進您的一個部門,或者如果病毒開始蔓延,網段能夠限制造成的損壞進一步擴大。
為有效解決辦公區之間信息的傳輸安全,可以在多個子網之間建立起獨立的安全通道,通過嚴格的加密和認證措施來保證通道中傳送的數據的完整性、真實性和私有性。
SJW-22網絡密碼機系統組成
網絡密碼機(硬件):是一個基于專用內核,具有自主版權的高級通信保護控制系
統。
本地管理器(軟件):是一個安裝于密碼機本地管理平臺上的基于網絡或串口方式的網絡密碼機本地管理系統軟件。
中心管理器(軟件):是一個安裝于中心管理平臺(Windows系統)上的對全網的密碼機設備進行統一管理的系統軟件。
根據以上多層次安全防范的策略,安全網的安全建設可采取“加密”、“外防”、“內審”相結合的方法,“內審”是對系統內部進行監視、審查,識別系統是否正在受到攻擊以及內部機密信息是否泄密,以解決內層安全。
安全審計系統能幫助用戶對安全網的安全進行實時監控,及時發現整個網絡上的動態,發現網絡入侵和違規行為,忠實記錄網絡上發生的一切,提供取證手段。作為網絡安全十分重要的一種手段,安全審計系統包括識別、記錄、存儲、分析與安全相關行為有關的信息。
在安全網中使用的安全審計系統應實現如下功能:安全審計自動響應、安全審計數據生成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。
本設計方案選用“漢邦軟科”的安全審計系統作為安全審計工具。
漢邦安全審計系統是針對目前網絡發展現狀及存在的安全問題,面向企事業的網絡管理人員而設計的一套網絡安全產品,是一個分布在整個安全網范圍內的網絡安全監視監測、控制系統。
(1)安全審計系統由安全監控中心和主機傳感器兩個部分構成。主機傳感器安裝在要監視的目標主機上,其監視目標主機的人機界面操作、監控RAS連接、監控網絡連接情況及共享資源的使用情況。安全監控中心是管理平臺和監控平臺,網絡管理員通過安全監控中心為主機傳感器設定監控規則,同時獲得監控結果、報警信息以及日志的審計。主要功能有文件保護審計和主機信息審計。
①文件保護審計:文件保護安裝在審計中心,可有效的對被審計主機端的文件進行管理規則設置,包括禁止讀、禁止寫、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報警等功能。以及對文件保護進行用戶管理。
②主機信息審計:對網絡內公共資源中,所有主機進行審計,可以審計到主機的機器名、當前用戶、操作系統類型、IP地址信息。
(2)資源監控系統主要有四類功能。①監視屏幕:在用戶指定的時間段內,系統自動每隔數秒或數分截獲一次屏幕;用戶實時控制屏幕截獲的開始和結束。防火墻的配置
4.1防火墻的初始配置
像路由器一樣,在使用之前,防火墻也需要經過基本的初始配置。但因各種防火墻的初始配置基本類似,所以在此僅以Cisco PIX防火墻為例進行介紹。
防火墻的初始配置也是通過控制端口(Console)與PC機(通常是便于移動的筆記本電腦)的串口連接,再通過Windows系統自帶的超級終端(HyperTerminal)程序進行選項配置。防火墻的初始配置物理連接與前面介紹的交換機初始配置連接方法一樣,參見圖1所示。
防火墻除了以上所說的通過控制端口(Console)進行初始配置外,也可以通過telnet和Tffp配置方式進行高級配置,但Telnet配置方式都是在命令方式中配置,難度較大,而Tffp方式需要專用的Tffp服務器軟件,但配置界面比較友好。
防火墻與路由器一樣也有四種用戶配置模式,即:普通模式(Unprivileged mode)、特權模式(Privileged Mode)、配置模式(Configuration Mode)和端口模式(Interface Mode),進入這四種用戶模式的命令也與路由器一樣:
普通用戶模式無需特別命令,啟動后即進入;
進入特權用戶模式的命令為“enable”;進入配置模式的命令為“config terminal”;而進入端口模式的命令為“interface ethernet()”。不過因為防火墻的端口沒有路由器那么復雜,所以通常把端口模式歸為配置模式,統稱為“全局配置模式”。
防火墻的具體配置步驟如下:
1.將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的
一個空余串口上,參見圖1。
2.打開PIX防火電源,讓系統加電初始化,然后開啟與防火墻連接的主機。
3.運行筆記本電腦Windows系統中的超級終端(HyperTerminal)程序(通常在“附件”程序組中)。對超級終端的配置與交換機或路由器的配置一樣,參見本教程前面有關介紹。
4.當PIX防火墻進入系統后即顯示“pixfirewall>”的提示符,這就證明防火墻已啟動成功,所進入的是防火墻用戶模式。可以進行進一步的配置了。
5.輸入命令:enable,進入特權用戶模式,此時系統提示為:pixfirewall#。
6.輸入命令: configure terminal,進入全局配置模式,對系統進行初始化設置。
(1).首先配置防火墻的網卡參數(以只有1個LAN和1個WAN接口的防火墻配置為例)
Interface ethernet0 auto # 0號網卡系統自動分配為WAN網卡,“auto”選項為系統自適應網卡類型
Interface ethernet1 auto
(2).配置防火墻內、外部網卡的IP地址
IP address inside ip_address netmask # Inside代表內部網卡
IP address outside ip_address netmask # outside代表外部網卡
(3).指定外部網卡的IP地址范圍:
global 1 ip_address-ip_address
(4).指定要進行轉換的內部地址
nat 1 ip_address netmask
(5).配置某些控制選項:
conduit global_ip port[-port] protocol foreign_ip [netmask]
其中,global_ip:指的是要控制的地址;port:指的是所作用的端口,0代表所有端口;protocol:指的是連接協議,比如:TCP、UDP等;foreign_ip:表示可訪問的global_ip外部IP地址;netmask:為可選項,代表要控制的子網掩碼。
7.配置保存:wr mem
8.退出當前模式
此命令為exit,可以任何用戶模式下執行,執行的方法也相當簡單,只輸入命令本身即可。它與Quit命令一樣。下面三條語句表示了用戶從配置模式退到特權模式,再退到普通模式下的操作步驟。
pixfirewall(config)# exit
pixfirewall# exit
pixfirewall>
9.查看當前用戶模式下的所有可用命令:show,在相應用戶模式下鍵入這個命令后,即顯示出當前所有可用的命令及簡單功能描述。
10.查看端口狀態:show interface,這個命令需在特權用戶模式下執行,執行后即顯示出防火墻所有接口配置情況。
11.查看靜態地址映射:show static,這個命令也須在特權用戶模式下執行,執行后顯示防火墻的當前靜態地址映射情況。
4.2 過濾防火墻的訪問配置
除了以上介紹的基本配置外,在防火墻的安全策略中最重要還是對訪問控制列表(ACL)進行配有關置。下面介紹一些用于此方面配置的基本命令。
1.access-list:用于創建訪問規則
這一訪問規則配置命令要在防火墻的全局配置模式中進行。同一個序號的規則可以看作一類規則,同一個序號之間的規則按照一定的原則進行排列和選擇,這個順序可以通過 show access-list 命令看到。在這個命令中,又有幾種命令格式,分別執行不同的命令。
(1)創建標準訪問列表
命令格式:access-list [ normal
special ] listnumber1 { permit
deny } source-addr [ source-mask ]
(2)創建擴展訪問列表
命令格式:access-list [ normal
special ] listnumber2 { permit
deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ]
icmp-type [ icmp-code ] ] [ log ]
(3)刪除訪問列表
命令格式:no access-list { normal
special } { all
listnumber [ subitem ] }
上述命令參數說明如下:
●normal:指定規則加入普通時間段。
●special:指定規則加入特殊時間段。
●listnumber1:是1到99之間的一個數值,表示規則是標準訪問列表規則。
●listnumber2:是100到199之間的一個數值,表示規則是擴展訪問列表規則。
●permit:表明允許滿足條件的報文通過。
●deny:表明禁止滿足條件的報文通過。
●protocol:為協議類型,支持ICMP、TCP、UDP等,其它的協議也支持,此時沒有端口比較的概念;為IP時有特殊含義,代表所有的IP協議。
●source-addr:為源IP地址。
●source-mask:為源IP地址的子網掩碼,在標準訪問列表中是可選項,不輸入則代表通配位為0.0.0.0。
●dest-addr:為目的IP地址。
●dest-mask:為目的地址的子網掩碼。
●operator:端口操作符,在協議類型為TCP或UDP時支持端口比較,支持的比較操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符為range,則后面需要跟兩個端口。
port1 在協議類型為TCP或UDP時出現,可以為關鍵字所設定的預設值(如telnet)或0~65535之間的一個數值。port2 在協議類型為TCP或UDP且操作類型為range時出現;可以為關鍵字所設定的預設值(如telnet)或0~65535之間的一個數值。
●icmp-type:在協議為ICMP時出現,代表ICMP報文類型;可以是關鍵字所設定的預設值(如echo-reply)或者是0~255之間的一個數值。
●icmp-code:在協議為ICMP,且沒有選擇所設定的預設值時出現;代表ICMP碼,是0~255之間的一個數值。
●log:表示如果報文符合條件,需要做日志。
●listnumber:為刪除的規則序號,是1~199之間的一個數值。
●subitem:指定刪除序號為listnumber的訪問列表中規則的序號。
例如,現要在華為的一款防火墻上配置一個“允許源地址為10.20.10.0 網絡、目的地址為10.20.30.0網絡的WWW訪問,但不允許使用FTP”的訪問規則。相應配置語句只需兩行即可,如下:
Quidway(config)#access-list 100 permit tcp 10.20.10.0 255.0.0.0 10.20.30.0
255.0.0.0 eq www
Quidway(config)#access-list 100 deny tcp 10.20.10.0 255.0.0.0 10.20.30.0 255.0.0.0 eq ftp
2.clear access-list counters:清除訪問列表規則的統計信息
命令格式:clear access-list counters [ listnumber ]
這一命令必須在特權用戶模式下進行配置。listnumber 參數是用指定要清除統計信息的規則號,如不指定,則清除所有的規則的統計信息。
如要在華為的一款包過濾路由器上清除當前所使用的規則號為100的訪問規則統計信息。訪問配置語句為:
clear access-list counters 100
如有清除當前所使用的所有規則的統計信息,則以上語句需改為:Quidway#clear access-list counters
3.ip access-group
使用此命令將訪問規則應用到相應接口上。使用此命令的no形式來刪除相應的設置,對應格式為:
ip access-group listnumber { in
out }
此命令須在端口用戶模式下配置,進入端口用戶模式的命令為:interface ethernet(),括號中為相應的端口號,通常0為外部接口,而1為內部接口。進入后再用ip access-group 命令來配置訪問規則。listnumber參數為訪問規則號,是1~199之間的一個數值(包括標準訪問規則和擴展訪問規則兩類);in 表示規則應用于過濾從接口接收到的報文;而out表示規則用于過濾從接口轉發出去的報文。一個接口的一個方向上最多可以應用20類不同的規則;這些規則之間按照規則序號的大小進行排列,序號大的排在前面,也就是優先級高。對報文進行過濾時,將采用發現符合的規則即得出過濾結果的方法來加快過濾速度。所以,建議在配置規則時,盡量將對同一個網絡配置的規則放在同一個序號的訪問列表中;在同一個序號的訪問列表中,規則之間的排列和選擇順序可以用show access-list命令來查看。
例如將規則100應用于過濾從外部網絡接口上接收到的報文,配置語句為(同樣為在傾為包過濾路由器上):
ip access-group 100 in
如果要刪除某個訪問控制表列綁定設置,則可用no ip access-group listnumber { in
out } 命令。
4.show access-list
此配置命令用于顯示包過濾規則在接口上的應用情況。命令格式為:show access-list [ all
listnumber
interface interface-name ]
這一命令須在特權用戶模式下進行配置,其中all參數表示顯示所有規則的應用情況,包括普通時間段內及特殊時間段內的規則;如果選擇listnumber參數,則僅需顯示指定規則號的過濾規則;interface 表示要顯示在指定接口上應用的所有規則序號;interface-name參數為接口的名稱。
使用此命令來顯示所指定的規則,同時查看規則過濾報文的情況。每個規則都有一個相應的計數器,如果用此規則過濾了一個報文,則計數器加1;通過對計數器的觀察可以看出所配置的規則中,哪些規則是比較有效,而哪些基本無效。例如,現在要顯示當前所使用序號為100的規則的使用情況,可執行Quidway#show access-list 100語句即可,隨即系統即顯示這條規則的使用情況,格式如下:
Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)
permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)
deny udp any any eq rip(no matches--rule 3)
5.show firewall
此命令須在特權用戶模式下執行,它顯示當前防火墻狀態。命令格式非常簡單,也為:show firewall。這里所說的防火墻狀態,包括防火墻是否被啟用,啟用防火墻時是否采用了時間段包過濾及防火墻的一些統計信息。
6.Telnet
這是用于定義能過防火配置控制端口進行遠程登錄的有關參數選項,也須在全局配置用戶模式下進行配置。
命令格式為:telnet ip_address [netmask] [if_name]
其中的ip_address參數是用來指定用于Telnet登錄的IP地址,netmask為子網掩碼,if_name用于指定用于Telnet登錄的接口,通常不用指定,則表示此IP地址適用于所有端口。如:
telnet 192.168.1.1
如果要清除防火墻上某個端口的Telnet參數配置,則須用clear telnet命令,其格式為:clear telnet [ip_address [netmask] [if_name]],其中各選項說明同上。它與另一個命令no telnet功能基本一樣,不過它是用來刪除某接口上的Telnet配置,命令格式為:no telnet [ip_address [netmask] [if_name]]。
如果要顯示當前所有的Telnet配置,則可用show telnet命令。
最簡單的防火墻配置,就是直接在內部網和外部網之間加裝一個包過濾路由器或者應用網關。為更好地實現網絡安全,有時還要將幾種防火墻技術組合起來構建防火墻系統。目前比較流行的有以下三種防火墻配置方案。
4.3雙宿主機網關(Dual Homed Gateway)這種配置是用一臺裝有兩個網絡適配器的雙宿主機做防火墻。雙宿主機用兩個網絡適配器分別連接兩個網絡,又稱堡壘主機。堡壘主機上運行著防火墻軟件(通常是代理服務器),可以轉發應用程序,提供服務等。雙宿主機網關有一個致命弱點,一旦入侵者侵入堡壘主機并使該主機只具有路由器功能,則任何網上用戶均可以隨便訪問有保護的內部網絡(如圖1)。
三種流行防火墻配置方案分析(圖一)
4.4屏蔽主機網關(Screened Host Gateway)
屏蔽主機網關易于實現,安全性好,應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。先來看單宿堡壘主機類型。一個包過濾路由器連接外部網絡,同時
一個堡壘主機安裝在內部網絡上。堡壘主機只有一個網卡,與內部網絡連接(如圖2)。通常在路由器上設立過濾規則,并使這個單宿堡壘主機成為從 Internet惟一可以訪問的主機,確保了內部網絡不受未被授權的外部用戶的攻擊。而Intranet內部的客戶機,可以受控制地通過屏蔽主機和路由器訪問Internet.三種流行防火墻配置方案分析(圖二)
雙宿堡壘主機型與單宿堡壘主機型的區別是,堡壘主機有兩塊網卡,一塊連接內部網絡,一塊連接包過濾路由器(如圖3)。雙宿堡壘主機在應用層提供代理服務,與單宿型相比更加安全。
三種流行防火墻配置方案分析(圖三)
4.5屏蔽子網(Screened Subnet)
這種方法是在Intranet和Internet之間建立一個被隔離的子網,用兩個包過濾路由器將這一子網分別與Intranet和 Internet 分開。兩個包過濾路由器放在子網的兩端,在子網內構成一個“緩沖地帶”(如圖4),兩個路由器一個控制Intranet 數據流,另一個控制Internet數據流,Intranet和Internet均可訪問屏蔽子網,但禁止它們穿過屏蔽
子網通信。可根據需要在屏蔽子網中安裝堡壘主機,為內部網絡和外部網絡的互相訪問提供代理服務,但是來自兩網絡的訪問都必須通過兩個包過濾路由器的檢查。對于向Internet公開的服務器,像WWW、FTP、Mail等Internet服務器也可安裝在屏蔽子網內,這樣無論是外部用戶,還是內部用戶都可訪問。這種結構的防火墻安全性能高,具有很強的抗攻擊能力,但需要的設備多,造價高。
三種流行防火墻配置方案分析(圖四)當然,防火墻本身也有其局限性,如不能防范繞過防火墻的入侵,像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸;難以避免來自內部的攻擊等等。總之,防火墻只是一種整體安全防范策略的一部分,僅有防火墻是不夠的,安全策略還必須包括全面的安全準則,即網絡訪問、本地和遠程用戶認證、撥出撥入呼叫、磁盤和數據加密以及病毒防護等有關的安全
總 結
經過兩個月艱苦卓絕的努力,總于完成了本畢業設計.從當初領到題目到最后一個功能模塊的完成,經歷了無數次的錯誤->修改代碼->重啟服務器->運行的過程,感覺到平時學的知識是多么的淺薄,書到用時方恨少,現在是體驗的真真切切.也充分反應了我平時的基本功不扎實,給我以后的工作敲響了警鐘,有了努力的方向.但通過本次畢業設計,我也感受到了開源的方便,遇到什么問題,上網一查,就知道該怎么弄了,以前做個課程設計都是怕別人和我的一樣,不愿意給別人看,現在知道了程序弄不出來是多么的著急,學習都是相互的,互相研究才能共同進步的.以后要多多注意這方面的事情, 本次畢業設計是我工作前一次很好的演練和實踐的機會,是培養獨立考問題和自學能力的鍛煉,使我意識到必須努力學習才能才工作中體現自己的價值,適應社會的需要.致 謝
經過了三個月的努力,我完成了題目為:計算機網絡安全及防火墻技術。
本次設計能夠順利完成,我首先要感謝一些發表書籍的老師們。其次,我要感謝我的指導老師,她自始自終都給予了我莫大的幫助,對的設計中每一個計劃,每一項安排都提出了至關重要的建議,使我少走了許多彎路,節省了大量的時間,并且能不厭其煩地指導我技術上的問題,使我的系統更加完善和符合企業網站的要求.可以說,我的畢業設計的順利完成凝聚著導師的大量心血.另外,我還要感謝那些網上的朋友,他們毫不吝嗇的將自己所掌握的知識拿出來資源共享,才使我部分功能模塊得以實現,謝謝他們.通過這次畢業設計,我體會很多,學會是一回事,會用則就是另一回事了.以前感到自己專業技能還可以,但真正到用的時候就發現了很多缺陷,發現自己其實差距很大,還不能適應工作.為我今后指明了努力方向.再一次,我向多方面支持和幫助過我的人表示由衷的感謝!
參考文獻
[1]張寶劍.計算機安全與防護技術[M].機械工業出版社,2003.[2]林海波,網絡安全與防火墻技術[M].北京清華大學出版社,2000.[3]凌雨欣,常紅.網絡安全技術與反網絡入侵者[M].冶金工業出版社,2001.[4]王蓉,林海波.網絡安全與防火墻技術[M].清華大學出版社,2000.[5]余建斌.黑客的攻擊手段及用戶對策[M].北京人民郵電出版社,2005.[6](美)布萊克赫茲.Microsoft,UNIX及0racle主機和網絡安全[M].電子工業出版社,2004.[7] 馬程.防火墻在網絡安全中的應用[J].甘肅科技,2008
第三篇:計算機防火墻技術畢業論文
本文由yin528855貢獻
doc文檔可能在WAP端瀏覽體驗不佳。建議您優先選擇TXT,或下載源文件到本機查看。
計算機防火墻技術論文
畢 業 論 文
計算機防火墻技術
姓 學
名: 號:
指導老師: 系 專 班 名: 業: 級:
二零一零年十一月十五日 1 計算機防火墻技術論文
摘要
因特網的迅猛發展給人們的生活帶來了極大的方便,但同時因特網也面臨 著空前的威脅。因此,如何使用有效可行的方法使網絡危險降到人們可接受的范 圍之內越來越受到人們的關注。而如何實施防范策略,首先取決于當前系統的安 全性。所以對網絡安全的各獨立元素——防火墻、漏洞掃描、入侵檢測和反病毒 等進行風險評估是很有必要的。防火墻技術作為時下比較成熟的一種網絡安全技術,其安全性直接關系到用 戶的切身利益。針對網絡安全獨立元素——防火墻技術,通過對防火墻日志文件 的分析,設計相應的數學模型和軟件雛形,采用打分制的方法,判斷系統的安全 等級,實現對目標網絡的網絡安全風險評估,為提高系統的安全性提供科學依據。對網絡安全的威脅主要表現在:非授權訪問,冒充合法用戶,破壞數據完整性,干擾系統正常運行,利用網絡傳播病毒,線路竊聽等方面。這以要求我們與 Internet 互連所帶來的安全性問題予以足夠重視。計算機網絡技術的飛速發展 使網絡安全問題日益突出,而防火墻是應用最廣泛的安全產品。本文闡述了網絡 防火墻的工作原理并對傳統防火墻的利弊進行了對比分析,最后結合計算機科學 其它領域的相關新技術,提出了新的防火墻技術,并展望了其發展前景。
關鍵詞: 關鍵詞 :包過濾 智能防火墻
應用層網關
分布式防火墻
監測型防火墻 嵌入式防火墻
網絡安全,防火墻,防范策略,發展趨勢 2 計算機防火墻技術論文
摘要?? 1 第一章 引言 ?? 4 1.1 研究背景?? 4 1.2 研究目的?? 4 1.3 論文結構?? 5 第二章 網絡安全 ?? 6 2.1 網絡安全問題?? 6 2.1.1 網絡安全面臨的主要威脅 ?? 6 2.1.2 影響網絡安全的因素 ?? 6 2.2 網絡安全措施?? 7 2.2.1 完善計算機安全立法 ?? 7 2.2.2 網絡安全的關鍵技術 ?? 7 2.3 制定合理的網絡管理措施?? 8 第三章 防火墻概述 ?? 9 3.1 防火墻的概念?? 9 3.1.1 傳統防火墻介紹 ?? 9 3.1.2 智能防火墻簡介 ?? 10 3.2 防火墻的功能?? 11 3.2.1 防火墻的主要功能 ?? 11 3.2.2 入侵檢測功能 ?? 11 3.2.3 虛擬專網功能 ?? 12 3.2.4 其他功能 ?? 12 3.3 防火墻的原理及分類?? 13 3.3.1 包過濾防火墻 ?? 13 3.3.2 應用級代理防火墻 ?? 13 3.3.3 代理服務型防火墻 ?? 14 3.3.4 復合型防火墻 ?? 14 3.4 防火墻包過濾技術?? 14 3.4.1 數據表結構 ?? 15 3.4.2 傳統包過濾技術 ?? 16 3.4.3 動態包過濾 ?? 17 3.4.4 深度包檢測 ?? 17 3.4.5 流過濾技術 ?? 18 第四章 防火墻的配置 ?? 20 4.1 硬件連接與實施?? 20 4.2 防火墻的特色配置?? 20 4.3 軟件的配置與實施?? 21 第五章 防火墻發展趨勢 ?? 23 5.1 防火墻包過濾技術發展趨勢?? 23 5.2 防火墻的體系結構發展趨勢?? 24 5.3 防火墻的系統管理發展趨勢?? 24 結論?? 25 參考文獻?? 26 致謝?? 27 3 計算機防火墻技術論文
第一章
1.1 研究背景
引言
隨著互聯網的普及和發展,尤其是 Internet 的廣泛使用,使計算機應用更 加廣泛與深入。同時,我們不得不注意到,網絡雖然功能強大,也有其脆弱易受 到攻擊的一面。據美國 FBI 統計,美國每年因網絡安全問題所造成的經濟損失高 達 75 億美元,而全求平均每 20 秒鐘就發生一起 Internet 計算機侵入事件[1]。在我國,每年因黑客入侵、計算機病毒的破壞也造成了巨大的經濟損失。人們在 利用網絡的優越性的同時,對網絡安全問題也決不能忽視。如何建立比較安全的 網絡體系,值得我們關注研究。
1.2 研究目的
為了解決互聯網時代個人網絡安全的問題,近年來新興了防火墻技術[2]。防火墻具有很強的實用性和針對性,它為個人上網用戶提供了完整的網絡安全解 決方案,可以有效地控制個人電腦用戶信息在互聯網上的收發。用戶可以根據自 己的需要,通過設定一些參數,從而達到控制本機與互聯網之間的信息交流阻止 惡性信息對本機的攻擊,比如 ICMPnood 攻擊、聊天室炸彈、木馬信息破譯并修 改郵件密碼等等。而且防火墻能夠實時記錄其它系統試圖對本機系統的訪問,使 計算機在連接到互聯網的時候避免受到網絡攻擊和資料泄漏的安全威脅。防火墻 可以保護人們在網上瀏覽時免受黑客的攻擊,實時防范網絡黑客的侵襲,還可以 根據自己的需要創建防火墻規則,控制互聯網到 PC 以及 PC 到互聯網的所有連接,并屏蔽入侵企圖。防火可以有效地阻截各種惡意攻擊、保護信息的安全;信息泄 漏攔截保證安全地瀏覽網頁、遏制郵件病毒的蔓延;郵件內容檢測可以實時監視 郵件系統,阻擋一切針對硬盤的惡意活動。個人防火墻就是在單機 Windows 系統上,采取一些安全防護措施,使得本機 的息得到一定的保護。個人防火墻是面向單機操作系統的一種小型安全防護軟 件,按一定的規則對 TCP,UDP,ICMP 和 IGMP 等報文進行過濾,對網絡的信息流 和系統進程進行監控,防止一些惡意的攻擊。目前市場上大多數的防火墻產品僅 僅是網關的,雖然它們的功能相當強大,但由于它們基于下述的假設:內部網是 安全可靠的,所有的威脅都來自網外。因此,他們防外不防內,難以實現對企業 內部局域網內主之間的安全通信,也不能很好的解決每一個撥號上網用戶所在主 機的安全問題,而多數個人上網之時,并沒有置身于得到防護的安全網絡內部。個人上網用戶多使用 Windows 操作系統,而 Windows 操作系統,特別是
計算機防火墻技術論文
WindowsXP 系統,本身的安全性就不高。各種 Windows 漏洞不斷被公布,對主機 的攻擊也越來越多。一般都是利用操作系統設計的安全漏洞和通信協議的安全漏 洞來實現攻擊。如假冒 IP 包對通信雙方進行欺騙:對主機大量發送正數據包[3] 進行轟炸攻擊,使之際崩潰;以及藍屏攻擊等。因此,為了保護主機的安全通信,研制有效的個人防火墻技術很有必要。所謂的防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共 網)或網絡安全域之間的一系列部件的組合[ 1 ]。它可通過監測、限制、更改跨 越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況, 以 此來實現網絡的安全保護。在邏輯上,防火墻是一個分離器,一個限制器,也是一 個分析器,有效地監控了內部網和 Internet 之間的任何活動, 保證了內部網絡 的安全。一個高效可靠的防火墻必須具有以下典型的特性: 1 從里到外和從外到里的所有通信都必須通過防火墻; 2 只有本地安全策略授權的通信才允許通過; 3 防火墻本身是免疫的,不會被穿透的。防火墻的基本功能有:過濾進出網絡的數據;管理進出網絡的訪問行為;封 堵某些禁止的業務; 記錄通過防火墻的信息內容和活動;對網絡攻擊進行檢測 和報警
1.3 論文結構
在論文中接下來的幾章里,將會有下列安排: 第二章,分析研究網絡安全問題,網絡安全面臨的主要威脅,影響網絡安 全的因素,及保護網絡安全的關鍵技術。第三章,介紹防火墻的相關技術,如防火墻的原理、功能、包過濾技術等。第四章,以 H3CH3C 的 F100 防火墻為例,介紹防火墻配置方法。第五章,系統闡述防火墻發展趨勢。5 計算機防火墻技術論文
第二章 網絡安全 2.1 網絡安全問題
安全,通常是指只有被授權的人才能使用其相應資源的一種機制。我國對于 計算機安全的定義是:“計算機系統的硬件、軟件、數據受到保護,不因偶然的 或惡意的原因而遭到破壞、更改、顯露,系統能連續正常運行。” 從技術講,計算機安全分為 3 種: 1)實體的安全。它保證硬件和軟件本身的安全。2)運行環境的安全性。它保證計算機能在良好的環境里持續工作。3)信息的安全性。它保障信息不會被非法閱讀、修改和泄漏。隨著網絡的發展,計算機的安全問題也延伸到了計算機網絡。2.1.1 網絡安全面臨的主要威脅 一般認為,計算機網絡系統的安全威脅主要來自計算機病毒、黑客的攻擊和 拒絕服務攻擊三個方面。1)計算機病毒的侵襲。當前,活性病毒達 14000 多種,計算機病毒侵入 網絡,對網絡資源進行破壞,使網絡不能正常工作,甚至造成整個網絡的癱瘓。2)黑客侵襲。即黑客非法進入網絡非法使用網絡資源。例如通過隱蔽通 道進行非法活動;采用匿名用戶訪問進行攻擊;通過網絡監聽獲取網上用戶賬號 和密碼;非法獲取網上傳輸的數據;突破防火墻等。3)拒絕服務攻擊。例如“點在郵件炸彈”,它的表現形式是用戶在很短 的時間內收到大量無用的電子郵件,從而影響正常業務的運行。嚴重時會使系統 關機,網絡癱瘓。具體講,網絡系統面臨的安全威脅主要有如下表現:身份竊取、非授權訪 問、數據竊取、拒絕服務、病毒與惡意攻擊、冒充合法用戶??等。2.1.2 影響網絡安全的因素 1)單機安全 購買單機時,型號的選擇;計算機的運行環境(電壓、濕度、防塵條件、強電磁場以及自然災害等);計算機的操作??等等,這些都是影響單機安全性 的因素。2)網絡安全 影響網絡安全的因素有:節點的安全、數據的安全(保存和傳輸方面)、文件的安全等。6 計算機防火墻技術論文 2.2 網絡安全措施
網絡信息安全涉及方方面面的問題,是一個復雜的系統。一個完整的網絡
信息安全體系至少應包括三類措施:一是法律政策、規章制度以及安全教育等外 部軟環境。二是技術方面,如信息加密存儲傳輸、身份認證、防火墻技術、網絡 防毒等。三是管理措施,包括技術與社會措施。主要措施有:提供實時改變安全 策略的能力、實時監控企業安全狀態、對現有的安全系統實施漏洞檢查等,以防 患于未然。這三者缺一不可,其中,法律政策是安全的基石,技術是安全的保障,管理和審計是安全的防線。2.2.1 完善計算機安全立法 我國先后出臺的有關網絡安全管理的規定和條例。但目前,在這方面的立 法還遠不能適應形勢發展的需要,應該在對控制計算機犯罪的國內外立法評價的 基礎上,完善我國計算機犯罪立法,以便為確保我國計算機信息網絡健康有序的 發展提供強有力的保障。2.2.2 網絡安全的關鍵技術(1)數據加密 加密就是把明文變成密文,從而使未被授權的人看不懂它。有兩種主要的 加密類型:私匙加密和公匙加密。(2)認證 對合法用戶進行認證可以防止非法用戶獲得對公司信息系統的訪問,使用 認證機制還可以防止合法用戶訪問他們無權查看的信息。(3)防火墻技術 防火墻就是用來阻擋外部不安全因素影響的內部網絡屏障,其目的就是防 止外部網絡用戶未經授權的訪問。目前,防火墻采取的技術,主要是包過濾、應 用網關、子網屏蔽等。但是,防火墻技術在網絡安全防護方面也存在一些不足: 防火墻不能防止內部攻擊防火墻不能取代殺毒軟件; 防火墻不易防止反彈端口木 馬攻擊等。(4)檢測系統 入侵檢測技術是網絡安全研究的一個熱點,是一種積極主動的安全防護技 術,提供了對內部入侵、外部入侵和誤操作的實時保護,在網絡系統受到危害之 前攔截相應入侵。隨著時代的發展,入侵檢測技術將朝著三個方向發展:分布式入侵檢測、智 能化入侵檢測和全面的安全防御方案。7 計算機防火墻技術論文
(5)防病毒技術 隨著計算機技術的發展,計算機病毒變得越來越復雜和高級,計算機病毒 防范不僅僅是一個產品、一個策略或一個制度,它是一個匯集了硬件、軟件、網 絡、以及它們之間相互關系和接口的綜合系統。(6)文件系統安全 在網絡操作系統中,權限是一個關鍵性的概念,因為訪問控制實現在兩個 方面:本地和遠程。建立文件權限的時候,必須在 Windows 2000 中首先實行新 技術文件系統(New Technology File System,NTFS)。一旦實現了 NTFS,你 可以使用 Windows 資源管理器在文件和文件夾上設置用戶級別的權限。你需要了 解可以分配什么樣的權限,還有日常活動期間一些規則是處理權限的。Windows 2000 操作系統允許建立復雜的文件和文件夾權限,你可以完成必要的訪問控制。2.3 制定合理的網絡管理措施
(1)加強網絡用戶及有關人員的安全意識、職業道德和事業心、責任心的
培養教育以及相關技術培訓。(2)建立完善的安全管理體制和制度,以起到對管理人員和操作人員鼓勵 和監督的作用。(3)管理措施要標準化、規范化和科學化。8 計算機防火墻技術論文
第三章
防火墻概述
隨著 Internet 的迅速發展,網絡應用涉及到越來越多的領域,網絡中各類 重要的、敏感的數據逐漸增多;同時由于黑客入侵以及網絡病毒的問題,使得網 絡安全問題越來越突出。因此,保護網絡資源不被非授權訪問,阻止病毒的傳播 感染顯得尤為重要。就目前而言,對于局部網絡的保護,防火墻仍然不失為一種 有效的手段,防火墻技術主要分為包過濾和應用代理兩類。其中包過濾作為最早 發展起來的一種技術,其應用非常廣泛。3.1 防火墻的概念
防火墻是設置在被保護網絡和外部網絡之間的一道屏障,以防止發生不可 預測的、潛在破壞性的侵入。防火墻是指設置在不同網絡(如可信任的企業內部 網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或 網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服 務,實現網絡和信息安全的基礎設施。防火墻提供信息安全服務,是實現網絡和 信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個 分析器,它有效地監控了內部網絡和互聯網之間的任何活動,保證了內部網絡的 安全。3.1.1 傳統防火墻介紹 目前的防火墻技術無論從技術上還是從產品發展歷程上,都經歷了五個發 展歷程。圖 1 表示了防火墻技術的簡單發展歷史。
圖1 第一代防火墻 第 一 代 防 火 墻 技 術 幾 乎 與 路 由 器 同 時 出 現,采 用 了 包 過 濾(Packet filter)技術。二代、第三代防火墻 第二代、第三代防火墻 1989 年,貝爾實驗室的 Dave Presotto 和 Howard Trickey 推 9 計算機防火墻技術論文
出了第二代防火墻,即電路層防火墻,同時提出了第三代防火墻—— 應用層防火墻(代理防火墻)的初步結構。
第四代防火墻 1992 年,USC 信息科學院的 BobBraden 開發出了基于動態包過濾(Dynamic packet filter)技 術 的 第 四 代 防 火 墻,后 來 演 變 為 目 前 所 說 的 狀 態 監 視(Stateful inspection)技術。1994 年,以色列的 CheckPoint 公司開發出了 第一個采用這種技術的商業化的產品。第五代防火墻 1998 年,NAI 公司推出了一種自適應代理(Adaptive proxy)技術,并在 其產品 Gauntlet Firewall for NT 中得以實現,給代理類型的防火墻賦予了全 新的意義,可以稱之為第五代防火墻。[5] [5] 但傳統的防火墻并沒有解決目前網絡中主要的安全問題。目前網絡安全的 三大主要問題是:以拒絕訪問(DDOS)為主要代表的網絡攻擊,以蠕蟲(Worm)為主 要代表的病毒傳播和以垃圾電子郵件(SPAM)為代表的內容控制。這三大安全問題 占據網絡安全問題九成以上。而這三大問題,傳統防火墻都無能為力。主要有以 下三個原因: 一是傳統防火墻的計算能力的限制。傳統的防火墻是以高強度的檢查為代 價,檢查的強度越高,計算的代價越大。二是傳統防火墻的訪問控制機制是一個 簡單的過濾機制。它是一個簡單的條件過濾器,不具有智能功能,無法檢測復雜 的攻擊。三是傳統的防火墻無法區分識別善意和惡意的行為。該特征決定了傳統 的防火墻無法解決惡意的攻擊行為。現在防火墻正在向分布、智能的方向發展,其中智能防火墻可以很好的解 決上面的問題。3.1.2 智能防火墻簡介 智能防火墻[6]是相對傳統的防火墻而言的,從技術特征上智能防火墻是利 用統計、記憶、概率和決策的智能方法來對數據進行識別,并達到訪問控制的目 的。新的數學方法,消除了匹配檢查所需要的海量計算,高效發現網絡行為的特 征值,直接進行訪問控制。由于這些方法多是人工智能學科采用的方法,因此,又稱為智能防火墻。10 計算機防火墻技術論文 3.2 防火墻的功能
3.2.1 防火墻的主要功能 1.包過濾。包過濾是一種網絡的數據安全保護機制,它可用來控制流出和流入網絡的數 據,它通常由定義的各條數據安全規則所組成,防火墻設置可基于源地址、源端 口、目的地址、目的端口、協議和時間;可根據地址簿進行設置規則。2.地址轉換。網絡地址變換是將內部網絡或外部網絡的 IP 地址轉換,可分為源地址轉換 Source NAT(SNAT)和目的地址轉換 Destination NAT(DNAT)。SNAT 用于對內部網 絡地址進行轉換,對外部網絡隱藏起內部網絡的結構,避免受到來自外部其他網 絡的非授權訪問或惡意攻擊。并將有限的 IP 地址動態或靜態的與內部 IP 地址對 應起來,用來緩解地址空間的短缺問題,節省資源,降低成本。DNAT 主要用于 外網主機訪問內網主機。3.認證和應用代理。認證指防火墻對訪問網絡者合法身分的確定。代理指防火墻內置用戶認證數 據庫;提供 HTTP、FTP 和 SMTP 代理功能,并可對這三種協議進行訪問控制;同時 支持 URL 過濾功能。4.透明和路由 指防火墻將網關隱藏在公共系統之后使其免遭直接攻擊。隱蔽智能網關提 供了對互聯網服務進行幾乎透明的訪問,同時阻止了外部未授權訪問者對專用網 絡的非法訪問;防火墻還支持路由方式,提供靜態路由功能,支持內部多個子網 之間的安全訪問。3.2.2 入侵檢測功能 入侵檢測技術[7]就是一種主動保護自己免受黑客攻擊的一種網絡安全技 術,包括以下內容: 1.反端口掃描。端口掃描就是指黑客通過遠程端口掃描的工具,從中發現主 機的哪些非常用端口是打開的;是否支持 FTP、服務;且 FTP 服務是否支持 Web “匿 名”,以及 IIS 版本,是否有可以被成功攻破的 IIS 漏洞,進而對內部網絡的主 機進行攻擊。顧名思義反端口掃描就是防范端口掃描的方法,目前常用的方法有: 關閉閑置和有潛在危險的端口;檢查各端口,有端口掃描的癥狀時,立即屏蔽該 端口,多數防火墻設備采用的都是這種反端口掃描方式。2.檢測拒絕服務攻擊。拒絕服務(DoS)攻擊就是利用合理的服務請求來占用 過多的服務資源,從而使合法用戶無法得到服務的響應,其攻擊方式有很多種;11 計算機防火墻技術論文
而分布式的拒絕服務攻擊(DDoS)攻擊手段則是在傳統的 DoS 攻擊基礎之上產生 的一類攻擊方式,分布式的拒絕服務攻擊(DDoS)。其原理很簡單,就是利用更多 的受控主機同時發起進攻,以比 DoS 更大的規模(或者說以更高于受攻主機處理 能力的進攻能力)來進攻受害者。現在的防火墻設備通常都可檢測 Synflod、Land、Ping of Death、TearDrop、ICMP flood 和 UDPflod 等多種 DOS/DDOS 攻 擊。3.檢 測 多 種 緩 沖 區 溢 出 攻 擊(Buffer Overflow)。緩 沖 區 溢 出(Buffer Overflow)攻擊指利用軟件的弱點將任意數據添加進某個程序中,造成緩沖區的 溢出,從而破壞程序的堆棧,使程序轉而執行其它指令,以達到攻擊的目的。更 為嚴重的是,可以利用它執行非授權指令,甚至可以取得系統特權,進而進行各 種非法操作,防火墻設備可檢測對 FTP、Telnet、SSH、RPC 和 SMTP 等服務的遠 程堆棧溢出入侵。4.檢測 CGI/IIS 服務器入侵。CGI 就是 Common Gateway Inter——face 的 簡稱。是 World Wide Web 主機和 CGI 程序間傳輸資訊的定義。IIS 就是 Internet Information server 的簡稱,也就是微軟的 Internet 信息服務器。防火墻設備 可檢測包括針對 Unicode、ASP 源碼泄漏、PHF、NPH、pfdisPlay.cgi 等已知上 百種的有安全隱患的 CGI/IIS 進行的探測和攻擊方式。5.檢測后門、木馬及其網絡蠕蟲。后門程序是指采用某種方法定義出一個 特殊的端口并依靠某種程序在機器啟動之前自動加載到內存,強行控制機器打開 那個特殊的端口的程序。木馬程序的全稱是 “特洛依木馬” 它們是指尋找后門、,竊取計算機的密碼的一類程序。網絡蠕蟲病毒分為 2 類,一種是面向企業用戶和 局域網而一言,這種病毒利用系統漏洞,主動進行攻擊,可以對整個互聯網造成 癱瘓性的后果,以“紅色代碼”,“尼姆達”,以及最新的“sql 蠕蟲王”為代 表。另外一種是針對個人用戶的,通過網絡(主要是電子郵件,惡意網頁形式)迅速傳播的蠕蟲病毒,以愛蟲病毒,求職信病毒為例。防火墻設備可檢測試圖穿 透防火墻系統的木馬控制端和客戶端程序;檢測試圖穿透防火墻系統的蠕蟲程 序。3.2.3 虛擬專網功能 指在公共網絡中建立專用網絡,數據通過安全的“加密通道”在公共網絡 中傳播。VPN 的基本原理是通過 IP 包的封裝及加密、認證等手段,從而達到安 全的目的。3.2.4 其他功能 1.IP 地址/MAC 地址綁定。可支持任一網絡接口的 IP 地址和 MAC 地址的綁 12 計算機防火墻技術論文
定,從而禁止用戶隨意修改 IP 地址。2.審計。要求對使用身份標識和認證的機制,文件的創建,修改,系統管 理的所有操作以及其他有關安全事件進行記錄,以便系統管理員進行安全跟蹤。一般防火墻設備可以提供三種日志審計功能:系統管理日志、流量日志和入侵日 志。3.特殊站點封禁。內置特殊站點數據庫,用戶可選擇是否封禁色情、反動 和暴力等特殊站點。3.3 防火墻的原理及分類
國際計算機安全委員會 ICSA 將防火墻分成三大類:包過濾防火墻,應用級代
理服務器[8]以及狀態包檢測防火墻。3.3.1 包過濾防火墻 顧名思義,包過濾防火墻[9]就是把接收到的每個數據包同預先設定的包過 濾規則相比較,從而決定是否阻塞或通過。過濾規則是基于網絡層 IP 包包頭信 息的比較。包過濾防火墻工作在網絡層,IP 包的包頭中包含源、目的 IP 地址,封裝協議類型(TCP,UDP,ICMP 或 IP Tunnel),TCP/UDP 端口號,ICMP 消息類型,TCP 包頭中的 ACK 等等。如果接收的數據包與允許轉發的規則相匹配,則數據包 按正常情況處理;如果與拒絕轉發的規則相匹配,則防火墻丟棄數據包;如果沒有 匹配規則,則按缺省情況處理。包過濾防火墻是速度最快的防火墻,這是因為它 處于網絡層,并且只是粗略的檢查連接的正確性,所以在一般的傳統路由器上就 可以實現,對用戶來說都是透明的。但是它的安全程度較低,很容易暴露內部網 絡,使之遭受攻擊。例如,HTTP。通常是使用 80 端口。如果公司的安全策略允 許內部員工訪問網站,包過濾防火墻可能設置允所有 80 端口的連接通過,這時,意識到這一漏洞的外部人員可以在沒有被認證的情況下進入私有網絡。包過濾防 火墻的維護比較困難,定義過濾規則也比較復雜,因為任何一條過濾規則的不完 善都會給網絡黑客造成可乘之機。同時,包過濾防火墻一般無法提供完善的日志。3.3.2 應用級代理防火墻 應用級代理技術通過在 OSI 的最高層檢查每一個 IP 包,從而實現安全策略。代理技術與包過濾技術完全不同,包過濾技術在網絡層控制所有的信息流,而代 理技術一直處理到應用層,在應用層實現防火墻功能。它的代理功能,就是在防 火墻處終止客戶連接并初始化一個新的連接到受保護的內部網絡。這一內建代理 13 計算機防火墻技術論文
機制提供額外的安全,這是因為它將內部和外部網絡隔離開來,使網絡外部的黑 客在防火墻內部網絡上進行探測變得困難,更重要的是能夠讓網絡管理員對網絡 服務進行全面的控制。但是,這將花費更多的處理時間,并且由于代理防火墻支 持的應用有限,每一種應用都需要安裝和配置不同的應用代理程序。比如訪問 WEB 站點的 HTTP,用于文件傳輸的 FTP,用于 E 一 MAIL 的 SMTP/POP3 等等。如 果某種應用沒有安裝代理程序,那么該項服務就不被支持并且不能通過防火墻進 行轉發;同時升級一種應用時,相應的代理程序也必須同時升級。3.3.3 代理服務型防火墻 代理服務(Proxy Service)也稱鏈路級網關或 TCP 通道(Circuit Level Gateways or TCP Tunnels),也有人將它歸于應用級網關一類。它是針對數據包 過濾[10]和應用網關技術存在的缺點而引入的防火墻技術,其特點是將所有跨越 防火墻的網絡通信鏈路分為兩段。防火墻內外計算機系統間應用層的“鏈接”,由兩個終止代理服務器上的“鏈接”來實現,外部計算機的網絡鏈路只能到達代 理服務器,從而起到了隔離防火墻內外計算機系統的作用。此外,代理服務也對 過往的數據包進行分析、注冊登記,形成報告,同時當發現被攻擊跡象時會向網 絡管理員發出警報,并保留攻擊痕跡。應用代理型防火墻是內部網與外部網的隔 離點,起著監視和隔絕應用層通信流的作用。同時 也常結合入過濾器的功能。它工作在 OSI 模型的最高層,掌握著應用系統中可用 作安全決策的全部信息。3.3.4 復合型防火墻 由于對更高安全性的要求,常把基于包過濾的方法與基于應用代理的方法 結合起來,形成復合型防火墻產品。這種結合通常是以下兩種方案。屏蔽主機防 火墻體系結構,在該結構中,分組過濾路由器或防火墻與 Internet 相連,同時 一個堡壘機安裝在內部網絡,通過在分組過濾器路由器或防火墻上過濾規則的設 置,使堡壘機成為 Internet 上其他節點所能到達的唯一節點,這確保了內部網 絡不受未授權外部用戶的攻擊。屏蔽子網防火墻體系結構:堡壘機放在一個子網 內,形成非軍事化區,兩個分組過濾路由器放在這一子網的兩端,使這一子網與 Internet 及內部網絡分離。在屏蔽子網防火墻體系結構中,堡壘機和分組過濾 路由器共同構成了整個防火墻的安全基礎。
3.4 防火墻包過濾技術
隨著 Internet 的迅速發展,網絡應用涉及到越來越多的領域,網絡中各類 14 計算機防火墻技術論文
重要的、敏感的數據逐漸增多;同時由于黑客入侵以及網絡病毒的問題,使得網 絡安全問題越來越突出。因此,保護網絡資源不被非授權訪問,阻止病毒的傳播 感染顯得尤為重要。就目前而言,對于局部網絡的保護,防火墻仍然不失為一種 有效的手段,防火墻技術主要分為包過濾和應用代理兩類。其中包過濾作為最早 發展起來的一種技術,其應用非常廣泛。所謂包過濾,就是對流經網絡防火墻的所有數據包逐個檢查,并依據所制定 的安全策略來決定數據包是通過還是不通過。包過濾最主要的優點在于其速度與 透明性。也正是由于此。包過濾技術歷經發展演變而未被淘汰。由于其主要是對數據包的過濾操作,所以數據包結構是包過濾技術的基礎。考慮包過濾技術的發展過程,可以認為包過濾的核心問題就是如何充分利用數據 包中各個字段的信息,并結合安全策略來完成防火墻的功能[11]-[15] 3.4.1 數據表結構 當應用程序用 TCP 傳送數據時,數據被送入協議棧中,然后逐個通過每一層 直到被當作一串比特流送入網絡。其中每一層對接收到的數據都要增加一些首部 信息。TCP 傳給 IP 的數據單元稱作 TCP 報文段(TCP Segment);IP 傳給網絡接口 層的數據單元稱作 IP 數據報(IP Datagram);通過以太網傳輸的比特流稱作幀(Frame)。對于進防火墻的數據包,順序正好與此相反,頭部信息逐層剝掉。IP,TCP 首部格式如表 2-1 表 2-2 所示。表 2-1 IP 首部格式 版本 首部長 服務類型 標識 生存時間 協議 源 IP 地址 目的 IP 地址 選項 標志 首部校驗和
總 長 度 片偏移
表 2-2 TCP 首部格式 源端口號 目的端口號 序列號 15 計算機防火墻技術論文
確認號 首 保 L 部 留 R 長 C T B L P R C B C J H T H TCP 校驗和 H J R 窗口大小
緊急指針 選項
對于幀的頭部信息主要是源/目的主機的 MAC 地址;IP 數據報頭部信息主要 是源/目的主機的 IP 地址;TCP 頭部的主要字段包括源/目的端口、發送及確認序 號、狀態標識等。理論上講,數據包所有頭部信息以及有效載荷都可以作為判斷包通過與否的 依據,但是在實際情況中,包過濾技術上的問題主要是選取哪些字段信息,以及 如何有效地利用這些字段信息并結合訪問控制列表來執行包過濾操作,并盡可能 提高安全控制力度。3.4.2 傳統包過濾技術 傳統包過濾技術,大多是在 IP 層實現,它只是簡單的對當前正在通過的單 一數據包進行檢測,查看源/目的 IP 地址、端口號以及協議類型(UDP/TCP)等,結合訪問控制規則對數據包實施有選擇的通過。這種技術實現簡單,處理速度快,對應用透明,但是它存在的問題也很多,主要表現有: 1.所有可能會用到的端口都必須靜態放開。若允許建立 HTTP 連接,就需 要開放 1024 以上所有端口,這無疑增加了被攻擊的可能性。2.不能對數據傳輸狀態進行判斷。如接收到一個 ACK 數據包,就認為這是 一個己建立的連接,這就導致許多安全隱患,一些惡意掃描和拒絕服務攻擊就是 利用了這個缺陷。3.無法過濾審核數據包上層的內容。即使通過防火墻的數據包有攻擊性或 包含病毒代碼,也無法進行控制和阻斷。綜合上述問題,傳統包過濾技術的缺陷在于:(l)缺乏狀態檢測能力;(2)缺 乏應用防御能力。(3)只對當前正在通過的單一數據包進行檢測,而沒有考慮前 后數據包之間的聯系;(4)只檢查包頭信息,而沒有深入檢測數據包的有效載荷。傳統包過濾技術必須發展進化,在繼承其優點的前提下,采用新的技術手 段,克服其缺陷,并進一步滿足新的安全應用要求。從數據包結構出發考慮,目 前包過濾技術向兩個方向發展:(l)橫向聯系。即在包檢測中考慮前后數據包之間 的關系,充分利用包頭信息中能體現此關系的字段,如 IP 首部的標識字段和片 16 計算機防火墻技術論文
偏移字段、TCP 首部的發送及確認序號、滑動窗口的大小、狀態標識等,動態執 行數據包過濾。(2)縱向發展。深入檢測數據包有效載荷,識別并阻止病毒代碼 和基于高層協議的攻擊,以此來提高應用防御能力。這兩種技術的發展并不是獨 立的,動態包過濾可以說是基于內容檢測技術的基礎。實際上,在深度包檢測技 術中己經體現了兩種技術的融合趨勢。3.4.3 動態包過濾 動態包過濾[16]又稱為基于狀態的數據包過濾,是在傳統包過濾技術基礎 之上發展起來的一項過濾技術,最早由 Checkpoint 提出。與傳統包過濾技術只檢查單個、孤立的數據包不同,動態包過濾試圖將數 據包的上下文聯系起來,建立一種基于狀態的包過濾機制。對于新建的應用連接,防火墻檢查預先設置的安全規則,允許符合規則的連接通過,并在內存中記錄下 該連接的相關信息,這些相關信息構成一個狀態表。這樣,當一個新的數據包到 達,如果屬于已經建立的連接,則檢查狀態表,參考數據流上下文決定當前數據 包通過與否;如果是新建連接,則檢查靜態規則表。動態包過濾通過在內存中動態地建立和維護一個狀態表,數據包到達時,對該數據包的處理方式將綜合靜態安全規則和數據包所處的狀態進行。這種方法 的好處在于由于不需要對每個數據包進行規則檢查,而是一個連接的后續數據包(通常是大量的數據包)通過散列算法,直接進行狀態檢查,從而使性能得到了較 大提高;而且,由于狀態表是動態的,因而可以有選擇地、動態地開通 1024 號以 上的端口,使安全性得到進一步地提高。動態包過濾技術克服了傳統包過濾僅僅孤立的檢查單個數據包和安全規則 靜態不可變的缺陷,使得防火墻的安全控制力度更為細致。3.4.4 深度包檢測 目前許多造成大規模損害的網絡攻擊,比如紅色代碼和尼姆達,都是利用 了應用的弱點。利用高層協議的攻擊和網絡病毒的頻繁出現,對防火墻提出了新 的要求。防火墻必須深入檢查數據包的內部來確認出惡意行為并阻止它們。深度包檢測(Deep Packet Inspection)就是針對這種需求,深入檢測數據 包有效載荷,執行基于應用層的內容過濾,以此提高系統應用防御能力。應用防御的技術問題主要包括:(l)需要對有效載荷知道得更清楚;(2)也需 要高速檢查它的能力。簡單的數據包內容過濾對當前正在通過的單一數據包的有效載荷進行掃描 檢測,但是對于應用防御的要求而言,這是遠遠不夠的。如一段攻擊代碼被分割 到 10 個數據包中傳輸,那么這種簡單的對單一數據包的內容檢測根本無法對攻 17 計算機防火墻技術論文
擊特征進行匹配: 要清楚地知道有效載荷,必須采取有效方法,將單個數據包重 新組合成完整的數據流。應用層的內容過濾要求大量的計算資源,很多情況下高 達 100 倍甚至更高。因而要執行深度包檢測,帶來的問題必然是性能的下降,這 就是所謂的內容處理障礙。為了突破內容處理障礙,達到實時地分析網絡內容和 行為,需要重點在加速上采取有效的辦法。通過采用硬件芯片和更加優化的算法,可以解決這個問題。一個深度包檢測的流程框圖如圖 3.1 所示。
圖 3.1 深度包檢測框圖 在接收到網絡流量后,將需要進行內容掃描的數據流定向到 TCP/IP 堆棧,其他數據流直接定向到狀態檢測引擎,按基本檢測方式進行處理。定向到 TCP/IP 堆棧的數據流,首先轉換成內容數據流。服務分析器根據數據流服務類型分離內 容數據流,傳送數據流到一個命令解析器中。命令解析器定制和分析每一個內容 協議,分析內容數據流,檢測病毒和蠕蟲。如果檢測到信息流是一個 HTTP 數據 流,則命令解析器檢查上載和下載的文件;如果數據是 Mail 類型,則檢查郵件的 附件。如果數據流包含附件或上載/下載文件,附件和文件將傳輸到病毒掃描引 擎,所有其他內容傳輸到內容過濾引擎。如果內容過濾啟動,數據流將根據過濾 的設置進行匹配,通過或拒絕數據。3.4.5 流過濾技術 流過濾是東軟集團提出的一種新型防火墻技術架構,它融基于狀態的包過 濾技術與基于內容的深度包檢測技術為一體,提供了一個較好的應用防御解決方 案,它以狀態監測技術為基礎,但在此基礎上進行了改進其基本的原理是:以狀 態包過濾的形態實現應用層的保護能力:通過內嵌的專門實現的 TCP/IP 協議棧,實現了透明的應用信息過濾機制。18 計算機防火墻技術論文
流過濾技術[17]的關鍵在于其架構中的專用 TCP/IP 協議棧:這個協議棧是 一個標準的 TCP 協議的實現,依據 TCP 協議的定義對出入防火墻的數據包進行了,完整的重組,重組后的數據流交給應用層過濾邏輯進行過濾,從而可以有效地識 別并攔截應用層的攻擊企圖。在這種機制下,從防火墻外部看,仍然是包過濾的形態,工作在鏈路層或 IP 層,在規則允許下,兩端可以直接訪問,但是任何一個被規則允許的訪問在 防火墻內部都存在兩個完全獨立的 TCP 會話,數據以“流”的方式從一個會話流 向另一個會話。由于防火墻的應用層策略位于流的中間,因此可以在任何時候代 替服務器或客戶端參與應用層的會話,從而起到了與應用代理防火墻相同的控制 能力。如在對 SMTP 協議的處理中,系統可以在透明網橋的模式下實現完全的對 郵件的存儲轉發,并實現豐富的對 SMTP 協議的各種攻擊的防范功能一流過濾的 示意圖如圖 3.2 所示。
圖 3.2 流過濾示意圖 19 計算機防火墻技術論文
第四章
4.1 硬件連接與實施
防火墻的配置
一般來說硬件防火墻和路由交換設備一樣具備多個以太接口,速度根據檔次 與價格不同而在百兆與千兆之間有所區別。(如圖 4.1)圖 4.1 對于中小企業來說一般出口帶寬都在 100M 以內,所以我們選擇 100M 相關產 品即可。網絡拓撲圖中防火墻的位置很關鍵,一般介于內網與外網互連中間區域,針對外網訪問數據進行過濾和監控。如果防火墻上有 WAN 接口,那么直接將 WAN 接口連接外網即可,如果所有接 口都標記為 LAN 接口,那么按照常規標準選擇最后一個 LAN 接口作為外網連接端 口。相應的其他 LAN 接口連接內網各個網絡設備。4.2 防火墻的特色配置
從外觀上看防火墻和傳統的路由器交換機沒有太大的差別,一部分防火墻
具備 CONSOLE 接口通過超級終端的方式初始化配置,而另外一部分則直接通過默 認的 LAN 接口和管理地址訪問進行配置。與路由器交換機不同的是在防火墻配置中我們需要劃分多個不同權限不同 優先級別的區域,另外還需要針對相應接口隸屬的區域進行配置,例如 1 接口劃 分到 A 區域,2 接口劃分到 B 區域等等,通過不同區域的訪問權限差別來實現防 火墻保護功能。默認情況下防火墻會自動建立 trust 信任區,untrust 非信任區,DMZ 堡壘主機區以及 LOCAL 本地區域。相應的本地區域優先級最高,其次是 trust 信任區,DMZ 堡壘主機區,最低的是 untrust 非信任區域。20 計算機防火墻技術論文 在實際設置時我們必須將端口劃分到某區域后才能對其進行各個訪問操 作,否則默認將阻止對該接口的任何數據通訊。除此之外防火墻的其他相關配置與路由交換設備差不多,無外乎通過超級 終端下的命令行參數進行配置或者通過 WEB 管理界面配置。4.3 軟件的配置與實施
以 H3C 的 F100 防火墻為例,當企業外網 IP 地址固定并通過光纖連接的具體
配置。首先當企業外網出口指定 IP 時配置防火墻參數。選擇接口四連接外網,接 口 一 連 接 內 網。這 里 假 設 電 信 提 供 的 外 網 IP 地 址 為 202.10.1.194 255.255.255.0。第一步:通過 CONSOLE 接口以及本機的超級終端連接 F100 防火墻,執行 system 命令進入配置模式。第二步:通過 firewall packet default permit 設置默認的防火墻策略為 “容許通過”。第三步:進入接口四設置其 IP 地址為 202.10.1.194,命令為 int e0/4 ip add 202.10.1.194 255.255.255.0 第四步:進入接口一設置其 IP 地址為內網地址,例如 192.168.1.1 255.255.255.0,命令為 int e0/1 ip add 192.168.1.1 255.255.255.0 第五步: 將兩個接口加入到不同的區域,外網接口配置到非信任區 untrust,內網接口加入到信任區 trust—— fire zone untrust add int e0/4 fire zone trust add int e0/1 第六步:由于防火墻運行基本是通過 NAT 來實現,各個保護工作也是基于此 功能實現的,所以還需要針對防火墻的 NAT 信息進行設置,首先添加一個訪問控 制列表—— acl num 2000 21 計算機防火墻技術論文
rule per source 192.168.0.0 0.0.255.255 rule deny 第七步:接下來將這個訪問控制列表應用到外網接口通過啟用 NAT—— int e0/4 nat outbound 2000 第八步:最后添加路由信息,設置缺省路由或者靜態路由指向外網接口或 外網電信下一跳地址—— ip route-static 0.0.0.0 0.0.0.0 202.10.1.193(如圖 2)執行 save 命令保存退出后就可以在企業外網出口指定 IP 時實現防火墻數據轉發 以及安全保護功能了。22 計算機防火墻技術論文
第五章
防火墻發展趨勢
針對傳統防火墻不能解決的問題,及新的網絡攻擊的出現,防火墻技術也 出現了新的發展趨勢。主要可以從包過濾技術、防火墻體系結構和防火墻系統管 理三方面來體現。5.1 防火墻包過濾技術發展趨勢
(1)安全策略功能 一些防火墻廠商把在 AAA 系統上運用的用戶認證及其服務擴展到防火墻中,使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網絡應用中非常 必要。具有用戶身份驗證的防火墻通常是采用應用級網關技術的,包過濾技術的 防火墻不具有。用戶身份驗證功能越強,它的安全級別越高,但它給網絡通信帶 來的負面影響也越大,因為用戶身份驗證需要時間,特別是加密型的用戶身份驗 證。(2)多級過濾技術 所謂多級過濾技術,是指防火墻采用多級過濾措施,并輔以鑒別手段。在分 組過濾(網絡層)一級,過濾掉所有的源路由分組和假冒的 IP 源地址;在傳輸層 一級,遵循過濾規則,過濾掉所有禁止出或/和入的協議和有害數據包如 nuke 包、圣誕樹包等;在應用網關(應用層)一級,能利用 FTP、SMTP 等各種網關,控 制和監測 Internet 提供的所用通用服務。這是針對以上各種已有防火墻技術的 不足而產生的一種綜合型過濾技術,它可以彌補以上各種單獨過濾技術的不足。這種過濾技術在分層上非常清楚,每種過濾技術對應于不同的網絡層,從這 個概念出發,又有很多內容可以擴展,為將來的防火墻技術發展打下基礎。(3)功能擴展 功能擴展是指一種集成多種功能的設計趨勢,包括 VPN、AAA、PKI、IPSec 等附加功能,甚至防病毒、入侵檢測這樣的主流功能,都被集成到防火墻產品中 了,很多時候我們已經無法分辨這樣的產品到底是以防火墻為主,還是以某個功 能為主了,即其已經逐漸向我們普遍稱之為 IPS(入侵防御系統)的產品轉化了。23 計算機防火墻技術論文
有些防火墻集成了防病毒功能,通常被稱之為“病毒防火墻”,當然目前主要還 是在個人防火墻中體現,因為它是純軟件形式,更容易實現。這種防火墻技術可 以有效地防止病毒在網絡中的傳播,比等待攻擊的發生更加積極。擁有病毒防護 功能的防火墻可以大大減少公司的損失。5.2 防火墻的體系結構發展趨勢
隨著網絡應用的增加,對網絡帶寬提出了更高的要求。這意味著防火墻要
能夠以非常高的速率處理數據。另外,在以后幾年里,多媒體應用將會越來越普 遍,它要求數據穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要,一些防 火墻制造商開發了基于 ASIC 的防火墻和基于網絡處理器的防火墻。從執行速度 的角度看來,基于網絡處理器的防火墻也是基于軟件的解決方案,它需要在很大 程度上依賴于軟件的性能,但是由于這類防火墻中有一些專門用于處理數據層面 任務的引擎,從而減輕了 CPU 的負擔,該類防火墻的性能要比傳統防火墻的性能 好許多。與基于 ASIC 的純硬件防火墻相比,基于網絡處理器的防火墻具有軟件色彩,因而更加具有靈活性。基于 ASIC 的防火墻使用專門的硬件處理網絡數據流,比 起前兩種類型的防火墻具有更好的性能。但是純硬件的 ASIC 防火墻缺乏可編程 性,這就使得它缺乏靈活性,從而跟不上防火墻功能的快速發展。理想的解決方 案是增加 ASIC 芯片的可編程性,使其與軟件更好地配合。這樣的防火墻就可以 同時滿足來自靈活性和運行性能的要求。5.3 防火墻的系統管理發展趨勢
(1)集中式管理,分布式和分層的安全結構。(2)強大的審計功能和自動日志分析功能。(3)網絡安全產品的系統化 縱觀防火墻技術的發展,黑客入侵系統技術的不斷進步以及網絡病毒朝智
能化和多樣化發展,對防火墻技術的同步發展提出了更高的要求。防火墻技術只 有不斷向主動型和智能型等方向發展,才能更好的滿足人們對防火墻技術日益增 長的需求。24 計算機防火墻技術論文
結論
隨著 Internet 和 Intranet 技術的發展,網絡的安全已經顯得越來越重要, 網絡病毒對企業造成的危害已經相當廣泛和嚴重, 其中也會涉及到是否構成犯 罪行為的問題,相應的病毒防范技術也發展到了網絡層面,并且愈來愈有與黑客 技術和漏洞相結合的趨勢。新型防火墻技術產生,就是為了解決來自企業網絡內 和外的攻擊;克服傳統“邊界防火墻”的缺點,集成了 IDS、VPN 和防病毒等安 全技術,實現從網絡到服務器以及客戶端全方位的安全解決方案,滿足企業實際 應用和發展的安全要求。防火墻目的在于為用戶提供信息的保密,認證和完整性保護機制,使網絡中 的服務,數據以及系統免受侵擾和破壞。本論文從防火墻方面解決網絡安全問題,對網絡安全技術的有深刻的了解。25 計算機防火墻技術論文
參考文獻
[1] 王艷.淺析計算機安全[J].電腦知識與技術.2010,(s):1054 一 1055.[2] 艾軍.防火墻體系結構及功能分析[J].電腦知識與技術.2004,(s):79 一 82.[3] 高峰.許南山.防火墻包過濾規則問題的研究[M].計算機應用.2003,23(6):311 一 312.[4] 孟濤、楊磊.防火墻和安全審計[M].計算機安全.2004,(4):17 一 18.[5] 鄭林.防火墻原理入門[Z].E 企業.2000.[6] 魏利華.防火墻技術及其性能研究.能源研究與信息.2004,20(l):57 一 62 [7] 李劍,劉美華,曹元大.分布式防火墻系統.安全與環境學報.2002,2(l):59 一 61 [8] 王衛平,陳文惠,朱衛未.防火墻技術分析.信息安全與通信保密.2006,(8):24 一 27 [9] A.Feldman, S.Muthukrishnan.Tradeoffs for Packet ClassifiCation.Proc.Of the 9 th Annual Joint Conference of the IEEE Computer and Communieations Soeieties.2000,vo1.3, 1193-1202.[10] ]王永綱,石江濤,戴雪龍,顏天信.網絡包分類算法仿真測試與比較研究.中國科學技 術大學學報.2004,34(4):400 一 409 [11] 邵華鋼,楊明福.基于空間分解技術的多維數據包分類.計算機工程.2003,29(12):123 一 124 [12] 付歌,楊明福.一個快速的二維數據包分類算法.計算機工程.2004,30(6):76 一 78 [13] 付 歌,楊 明 福,王 興 軍.基 于 空 間 分 解 的 數 據 包 分 類 技 術.計 算 機 工 程 與 應 用.2004(8):63 一 65 [14] 〕韓曉非,王學光,楊明福.位并行數據包分類算法研究.華東理工大學學報.2003,29(5):504 一 508 [15] 韓曉非,楊明福,王學光.基于元組空間的位并行包分類算法.計算機工程與應用.2003,(29):188 一 192 [16] 馮東雷,張勇,白英彩.一種高性能包分類漸增式更新算法.計算機研究與發展.2003,40(3):387 一 392 [17] 余勝生,張寧,周敬利,胡熠峰.一種用于大規模規則庫的快速包分類算法.計算機工 程.2004,30(7):49 一 51 26 計算機防火墻技術論文
致謝
本文是在李老師的悉心指導卜完成的,從文獻的查閱、論文的選題、撰寫、修改、定稿,我的每一個進步都和李老師的關注與指導密不可分。李老師在研究 方向、資料的收集、論文的選題、研究工作作的開展以及論文的最終定稿,給子 我巨大、無私的幫助。論文的字里行間無不凝結著老師的悉心指導和浮淳教海,老師淵博的學識和嚴謹的治學態度給我留下了深刻的印象,我從他那里學到的不 僅僅是專業知識,更重要的是嚴謹的治學態度、對事業忘我的追求、高度的使命 感、責任感及和藹熱情的品質和做人的道理,這些將使我受益一生,并將激勵我 不斷向前奮進。還 有 就 是 在 這 次 的 實習中 更要對和我一起并肩戰斗的其他幾位小組成 員說一聲辛苦了,我們有了今天的成績是我們不懈與團結。讓我們共同努力創造 更好的明天。在此過程中我們互相幫助,勉勵是我們能完成這次任務的最大動力,也是我們之間最大的收獲,最好的精神財富,愿我們還會有更好的合作!經 過 了 這 次 的 實習也 意 味 著 我 學習生 涯 的 結 束。在 TOP 的 三 年 時 間 轉 瞬 即 逝,借 此 機 會 我 要 感 謝 兩年來傳授我知識的老師們,更要感謝所 有對我學業、生活上的支持和鼓勵,感謝所有關心幫助過我的人。27
第四篇:畢業論文 LINUX路由防火墻配置
LINUX路由防火墻配置 加上摘要、關鍵字 LINUX系統應用概述(安全方面應用)防火墻的功能介紹 防火墻規則配置 防火墻路由配置 防火墻NAT配置
RedHat Linux 為增加系統安全性提供了防火墻保護。防火墻存在于你的計算機和網絡之間,用來判定網絡中的遠程用戶有權訪問你的計算機上的哪些資源。一個正確配置的防火墻可以極大地增加你的系統安全性。
其中有以下幾種配置方式:
高級:如只有以下連接是果你選擇了「高級」,你的系統就不會接受那些沒有被你具體指定的連接(除了默認設置外)。默認允許的: DNS回應
DHCP — 任何使用 DHCP 的網絡接口都可以被相應地配置。如果你選擇「高級」,你的防火墻將不允許下列連接
1.活躍狀態FTP(在多數客戶機中默認使用的被動狀態FTP應該能夠正常運行。)2.IRC DCC 文件傳輸
3.RealAudio 4.遠程 X 窗口系統客戶機 如果你要把系統連接到互聯網上,但是并不打算運行服務器,這是最安全的選擇。
如果需要額外的服務,你可以選擇 「定制」 來具體指定允許通過防火墻的服務。注記:如果你在安裝中選擇設置了中級或高級防火墻,網絡驗證方法(NIS 和 LDAP)將行不通。
中級:如果你選擇了「中級」,你的防火墻將不準你的系統訪問某些資源。訪問下列資源是默認不允許的:
1.低于1023 的端口 — 這些是標準要保留的端口,主要被一些系統服務所使用,例如: FTP、SSH、telnet、HTTP、和 NIS。2.NFS 服務器端口(2049)— 在遠程服務器和本地客戶機上,NFS 都已被禁用。3.為遠程 X 客戶機設立的本地 X 窗口系統顯示。4.X 字體服務器端口(xfs 不在網絡中監聽;它在字體服務器中被默認禁用)。
如果你想準許到RealAudio之類資源的訪問,但仍要堵塞到普通系統服務的訪問,選擇 「中級」。你可以選擇 「定制」 來允許具體指定的服務穿過防火墻。
注記:如果你在安裝中選擇設置了中級或高級防火墻,網絡驗證方法(NIS 和 LDAP)將行不通。
無防火墻:無防火墻給予完全訪問權并不做任何安全檢查。安全檢查是對某些服務的禁用。
建議你只有在一個可信任的網絡(非互聯網)中運行時,或者你想稍后再進行詳細的防火墻配置時才選此項。選擇 「定制」 來添加信任的設備或允許其它的進入接口。
信任的設備:選擇「信任的設備」中的任何一個將會允許你的系統接受來自這一設備的全部交通;它不受防火墻規則的限制。
例如,如果你在運行一個局域網,但是通過PPP撥號連接到了互聯網上,你可以選擇「eth0」,而后所有來自你的局域網的交通將會被允許。
把「eth0」選為“信任的”意味著所有這個以太網內的交通都是被允許的,但是ppp0接口仍舊有防火墻限制。如果你想限制某一接口上的交通,不要選擇它。建議你不要將連接到互聯網之類的公共網絡上的設備定為 「信任的設備」。
允許進入:啟用這些選項將允許具體指定的服務穿過防火墻。注意:在工作站類型安裝中,大多數這類服務在系統內沒有被安裝。
DHCP:如果你允許進入的 DHCP 查詢和回應,你將會允許任何使用 DHCP 來判定其IP地址的網絡接口。DHCP通常是啟用的。如果DHCP沒有被啟用,你的計算機就不能夠獲取 IP 地址。
SSH:Secure(安全)SHell(SSH)是用來在遠程機器上登錄及執行命令的一組工具。如果你打算使用SSH工具通過防火墻來訪問你的機器,啟用該選項。你需要安裝openssh-server 軟件包以便使用 SSH 工具來遠程訪問你的機器。
TELNET:Telnet是用來在遠程機器上登錄的協議。Telnet通信是不加密的,幾乎沒有提供任何防止來自網絡刺探之類的安全措施。建議你不要允許進入的Telnet訪問。如果你想允許進入的 Telnet 訪問,你需要安裝 telnet-server 軟件包。
HTTP:HTTP協議被Apache(以及其它萬維網服務器)用來進行網頁服務。如果你打算向公眾開放你的萬維網服務器,請啟用該選項。你不需要啟用該選項來查看本地網頁或開發網頁。如果你打算提供網頁服務的話,你需要安裝 httpd 軟件包。啟用 「WWW(HTTP)」 將不會為 HTTPS 打開一個端口。要啟用 HTTPS,在 「其它端口」 字段內注明。
SMTP:如果你需要允許遠程主機直接連接到你的機器來發送郵件,啟用該選項。如果你想從你的ISP服務器中收取POP3或IMAP郵件,或者你使用的是fetchmail之類的工具,不要啟用該選項。請注意,不正確配置的 SMTP 服務器會允許遠程機器使用你的服務器發送垃圾郵件。
FTP:FTP 協議是用于在網絡機器間傳輸文件的協議。如果你打算使你的 FTP 服務器可被公開利用,啟用該選項。你需要安裝 vsftpd 軟件包才能利用該選項。
其他端口:你可以允許到這里沒有列出的其它端口的訪問,方法是在 「其它端口」 字段內把它們列出。格式為: 端口:協議。例如,如果你想允許 IMAP 通過你的防火墻,你可以指定 imap:tcp。你還可以具體指定端口號碼 要允許 UDP 包在端口 1234 通過防火墻,輸入 1234:udp。要指定多個端口,用逗號將它們隔開。
竅門:要在安裝完畢后改變你的安全級別配置,使用 安全級別配置工具。
在 shell 提示下鍵入 redhat-config-securitylevel 命令來啟動 安全級別配置工具。如果你不是根用戶,它會提示你輸入根口令后再繼續。
運行防火墻的計算機(以下稱防火墻)既連接外部網,又連接內部網。一般情況下,內部網的用戶不能直接訪問外部網,反之亦然。如果內部網用戶要訪問外部網,必須先登錄到防火墻,由防火墻進行IP地址轉換后,再由防火墻發送給外部網,即當內部網機器通過防火墻時,源IP地址均被設置(或稱偽裝,或稱欺騙)成外部網合法的IP地址。經偽裝以后,在外部網看來,內部網的機器是一個具有合法的IP地址的機器,因而可進行通信。外部網用戶要訪問內部網用戶時,也要先登錄到防火墻,經過濾后,僅通過允許的服務。由此可見,防火墻在內部網與外部網之間起到了兩個作用:(1)IP包過濾——保護作用;(2)路由——網絡互連作用。
硬件安裝:運行Linux防火墻的計算機上必須安裝有兩塊網卡或一塊網卡、一塊Modem卡。本文以兩塊網卡為例。安裝網卡,正確設置中斷號及端口號,并為各網卡分配合適的IP地址。例如:eth0:172.16.77.99 255.255.255.0 Eth1:192.168.1.1 255.255.255.0 Iptables: 利用Iptables命令可以創建,刪除或插入鏈,并可以在鏈中創建,刪除或插入過濾規則。Iptables僅僅是一個包過濾管理工具,對過濾規則的執行是通過LINUX的NETWORK PACKET FILTERING內核和相關的支持模塊來實現的。
RED HAT LINUX在安裝時,也安裝了對舊版的IPCHAINS的支持,但是兩者不能同時使用,可以用以下命令卸下: Rmmod ipchains 然后可以檢查下Iptables是否安裝了: Rpm –q Iptables Iptables-1.2.7a-2 說明已經安裝了Iptables Iptables有以下服務: 啟用:service Iptables start 重啟:service Iptables restart 停止:servixe Iptables stop 對鏈的操作:
1. 2. 查看鏈:Iptables –L 創建與刪除鏈:Iptables –N block block為新鏈
Iptables –X 為刪除鏈 3.
對規則的操作:
1. 2. 3. 4. 5. 6. 7. 刪除鏈中規則:Iptables –E 歸零封包記數器:Iptables –Z 設置鏈的默認策略:Iptables –P 新增規則:Iptables –A 替換規則:Iptables –R 刪除規則:Iptables –D 插入規則:Iptables –I 更改鏈的名稱:Iptables-E 要禁止外網PING本機,可以執行規則為:
Iptables –A INPUT –p icmp –-icmp-type echo-request –I ppp0 –j DROP 若要禁止220.174.156.22主機訪問本機,規則為: Iptables –A INPUT –s 220.174.156.22 –j DROP 規則的處理動作: 1. 2. ACCEPT:允許封包通過或接收該封包
REJECT:攔截該封包,并回傳一個封包通知對方
3. 4. DROP:直接丟棄封包
5. 6. MASQUERADE:用于改寫封包的來源IP為封包流出的外網卡的IP地址,實現IP偽裝
假設外網卡為ETH0,則 : iptables –t –nat –A –POSTROUTING –o ETH0-j SNAT –to 172.16.77.99
構建路由: 增加一條靜態路由:
# route add-net 172.16.77.0 netmask 255.255.255.0 再增加一條靜態路由:
# route add-net 192.168.1.0 netmask 255.255.0.0 還要為系統增加一條缺省路由,因為缺省的路由是把所有的數據包都發往它的上一級網關
(假設地址是172.16.1.254,這個地址依賴于使用的網絡而定,由網絡管理員分配),因此增加如下的缺省路由記錄: # route add default gw 172.16.77.254 最后一步,要增加系統的IP轉發功能。這個功能由
執行如下命令打開ip轉發功能: echo 1 > /proc/sys/net/ipv4/ip_forward 這樣我們的路由器基本上是配置好了 測試路由器的工作情況。
第五篇:計算機網絡安全防火墻技術畢業論文
計算機網絡安全防火墻技術畢業論文
防火墻原是指建筑物大廈用來防止火災蔓延的隔斷墻。從理論上講,Internet防火墻服務也屬于類似的用來防止外界侵入的。它可以防止 Internet上的各種危險(病毒、資源盜用等)傳播到你的網絡內部。而事實上,防火墻并不像現實生活中的防火墻,它有點像古代守護城池用的護城河,服務于以下多個目的:
1)限定人們從一個特定的控制點進入;
2)限定人們從一個特定的點離開;
3)防止侵入者接近你的其他防御設施;
4)有效地阻止破壞者對你的計算機系統進行破壞。
在現實生活中,Internet防火墻常常被安裝在受保護的內部網絡上并接入Internet。
從上圖不難看出,所有來自Internet的傳輸信息或你發出的信息都必須經過防火墻。這樣,防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統間進行信息交換等安全的作用。從邏輯上講,防火墻是起分隔、限制、分析的作用,這一點同樣可以從圖1中體會出來。那么,防火墻究竟是什么呢?實際上,防火墻是加強Internet(內部網)之間安全防御的一個或一組系統,它由一組硬件設備(包括路由器、服務器)及相應軟件構成。3.防火墻技術與產品發展的回顧
防火墻是網絡安全策略的有機組成部分,它通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理。從總體上看,防火墻應該具有以下五大基本功能:●過濾進、出網絡的數據;
●管理進、出網絡的訪問行為;
●封堵某些禁止行為;
●記錄通過防火墻的信息內容和活動;
●對網絡攻擊進行檢測和告警。
為實現以上功能,在防火墻產品的開發中,人們廣泛地應用了網絡拓撲、計算機操作系統、路由、加密、訪問控制、安全審計等成熟或先進的技術和手段。縱觀防火墻近年來的發展,可以將其劃分為如下四個階段(即四代)。
3.1 基于路由器的防火墻
由于多數路由器本身就包含有分組過濾功能,故網絡訪問控制可能通過路控制來實現,從而使具有分組過濾功能的路由器成為第一代防火墻產品。第一代防火墻產品的特點是:
1)利用路由器本身對分組的解析,以訪問控制表(Access List)方式實現對分組的過濾;
2)過濾判斷的依據可以是:地址、端口號、IP旗標及其他網絡特征;
3)只有分組過濾的功能,且防火墻與路由器是一體的。這樣,對安全要求低的網絡可以采用路由器附帶防火墻功能的方法,而對安全性要求高的網絡則需要單獨利用一臺路由器作為防火墻。
●路由協議十分靈活,本身具有安全漏洞,外部網絡要探尋內部網絡十分容易。例如,在使用FTP協議時,外部服務器容易從20號端口上與內部網相連,即使在路由器上設置了過濾規則,內部網絡的20號端口仍可以由外部探尋。
●路由器上分組過濾規則的設置和配置存在安全隱患。對路由器中過濾規則的設置和配置十分復雜,它涉及到規則的邏輯一致性。作用端口的有效性和規則集的正確性,一般的網絡系統管理員難于勝任,加之一旦出現新的協議,管理員就得加上更多的規則去限制,這往往會帶來很多錯誤。
●路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網絡上是以明文方式傳送的,黑客(Hacker)可以在網絡上偽造假的路由信息欺騙防火墻。
●路由器防火墻的本質缺陷是:由于路由器的主要功能是為網絡訪問提供動態的、靈活的路由,而防火墻則要對訪問行為實施靜態的、固定的控制,這是一對難以調和的矛盾,防火墻的規則設置會大大降低路由器的性能。
可以說基于路由器的防火墻技術只是網絡安全的一種應急措施,用這種權宜之計去對付黑客的攻擊是十分危險的。
3.2 用戶化的防火墻工具套
為了彌補路由器防火墻的不足,很多大型用戶紛紛要求以專門開發的防火墻系統來保護自己的網絡,從而推動了用戶防火墻工具套的出現。
作為第二代防火墻產品,用戶化的防火墻工具套具有以下特征:
1)將過濾功能從路由器中獨立出來,并加上審計和告警功能;
2)針對用戶需求,提供模塊化的軟件包;
3)軟件可以通過網絡發送,用戶可以自己動手構造防火墻;
4)與第一代防火墻相比,安全性提高了,價格也降低了。
由于是純軟件產品,第二代防火墻產品無論在實現上還是在維護上都對系統管理員提出了相當復雜的要求,并帶來以下問題:
配置和維護過程復雜、費時;
對用戶的技術要求高;
全軟件實現,使用中出現差錯的情況很多。
3.3 建立在通用操作系統上的防火墻
基于軟件的防火墻在銷售、使用和維護上的問題迫使防火墻開發商很快推出了建立在通用操作系統上的商用防火墻產品。近年來市場上廣泛使用的就是這一代產品,它們具有如下一些特點:
1)是批量上市的專用防火墻產品;
2)包括分組過濾或者借用路由器的分組過濾功能;
3)裝有專用的代理系統,監控所有協議的數據和指令;
4)保護用戶編程空間和用戶可配置內核參數的設置;
5)安全性和速度大大提高。
第三代防火墻有以純軟件實現的,也有以硬件方式實現的,它們已經得到了廣大用戶的認同。但隨著安全需求的變化和使用時間的推延,仍表現出不少問題,比如:
1)作為基礎的操作系統及其內核往往不為防火墻管理者所知,由于源碼的保密,其安全性無從保證;
2)由于大多數防火墻廠商并非通用操作系統的廠商,通用操作系統廠商不會對操作系統的安全性負責;
3)從本質上看,第三代防火墻既要防止來自外部網絡的攻擊,還要防止來自操作系統廠商的攻擊;
4)在功能上包括了分組過濾、應用網關、電路級網關且具有加密鑒別功能;
5)透明性好,易于使用。
點擊咨詢 