安徽城市管理职业学院毕业论文题目：防火墙技术的研究班级： 07计算机网络技术（1）班*名：**指导老师：***2009年11月29日内容提要internet的迅速发展给现代人的生产和生活都带来了前所未有的飞跃，大大提高了工作效率，丰富了人们的生活，弥补了人们的精神空缺；而与此同时给人们带来了一个日益严峻的问题———网络安全。

网络的安全性成为当今最热门的话题之一，很多企业为了保障自身服务器或数据安全都采用了防火墙。

随着科技的发展，防火墙也逐渐被大众所接受。

但是，由于防火墙是属于高科技产物，许多的人对此还并不是了解的十分透彻。

本文全面介绍了Internet防火墙技术与产品的发展历程；详细剖析了第四代防火墙的功能特色、关键技术、实现方法及抗攻击能力；防火墙工作的方式，以及防火墙的基本分类，并且讨论了每一种防火墙的优缺点。

同时简要描述了Internet防火墙技术的发展趋势。

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互连环境之中，尤以Internet网络为最甚。

Internet的迅猛发展，使得防火墙产品在短短的几年内异军突起，很快形成了一个产业：1995年，刚刚面市的防火墙技术产品市场量还不到1万套；到1996年底，就猛增到10万套；据国际权威商业调查机构的预测，防火墙市场将以173%的复合增长率增长，今年底将达到150万套，市场营业额将从1995年的 1.6亿美元上升到今年的9.8亿美元为了更加全面地了解Internet防火墙及其发展过程，特别是第四代防火墙的技术特色，我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。

关键词：Internet 网路安全防火墙过滤地址转换目录第一章Internet防火墙技术简介 (4)第一节防火墙的概念及作用 (4)第二章防火墙技术与产品发展的回顾 (5)第一节防火墙的分类 (6)第二节各类防火墙的优缺点 (7)第三节防火墙的功能 (9)第三章第四代防火墙技术的实现方法 (13)第一节安全内核的实现 (13)第二节代理系统的建立 (13)第三节分组过滤器的设计 (13)第四节安全服务器的设计 (14)第五节鉴别与加密的考虑 (14)第四章第四代防火墙的抗攻击能力 (15)第一节抗IP假冒攻击 (15)第二节抗特洛伊木马攻击 (15)第三节抗口令字探寻攻击 (15)第四节抗网络安全性分析 (15)第五节抗邮件诈骗攻击 (15)第五章防火墙技术展望 (16)第一章Internet防火墙技术简介1.1防火墙的概念及作用1.1.1 防火墙的概念网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络。

它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。

目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关以及电路层网关、屏蔽主机防火墙、双宿主机等类型。

防火墙作为内部网络与外部公共网络之间的第一道屏障 ,起着保护网络免遭黑客袭击的重要作用 ,但它也有明显不足 :无法防范通过防火墙以外的其它途径的攻击 ,不能防止来内部破坏者和不经心的用户们带来的威胁 ,也不能完全防止传送已感染病毒的软件或文件 ,以及无法防范数据驱动型病毒的攻击。

因此 ,属于网络层安全技术范畴的防火墙 ,随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次 ,不仅要完成传统防火墙的过滤任务 ,同时还能为各种网络应用提供相应的安全服务。

另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。

1.1.2 防火墙的目的事实上，防火墙并不像现实生活中的防火墙，它有点像古代守护城池用的护城河，服务于以下多个目的：1)限定人们从一个特定的控制点进入；2)限定人们从一个特定的点离开；3)防止侵入者接近你的其他防御设施；4)有效地阻止破坏者对你的计算机系统进行破坏。

所有来自Internet的传输信息或你发出的信息都必须经过防火墙。

这样，防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。

从逻辑上讲，防火墙是起分隔、限制、分析的作用，这一点同样可以从图1中体会出来。

那么，防火墙究竟是什么呢?实际上，防火墙是加强Internet(内部网)之间安全防御的一个或一组系统，它由一组硬件设备(包括路由器、服务器)及件构成。

第二章防火墙技术与产品发展的回顾2.1防火墙的分类2.1.1包过滤防火墙第一代防火墙和最基本形式防火墙检查每一个通过的网络包，或者丢弃，或者放行，取决于所建立的一套规则。

这称为包过滤防火墙。

本质上，包过滤防火墙是多址的，表明它有两个或两个以上网络适配器或接口。

例如，作为防火墙的设备可能有两块网卡(nic)，一块连到内部网络，一块连到公共的internet。

防火墙的任务，就是作为“通信警察”，指引包和截住那些有危害的包。

包过滤防火墙检查每一个传入包，查看包中可用的基本信息（源地址和目的地址、端口号、协议等）。

然后，将这些信息与设立的规则相比较。

如果已经设立了阻断telnet连接，而包的目的端口是23的话，那么该包就会被丢弃。

如果允许传入web连接，而目的端口为80，则包就会被放行。

多个复杂规则的组合也是可行的。

如果允许web连接，但只针对特定的服务器，目的端口和目的地址二者必须与规则相匹配，才可以让该包通过。

最后，可以确定当一个包到达时，如果对该包没有规则被定义，接下来将会发生什么事情了。

通常，为了安全起见，与传入规则不匹配的包就被丢弃了。

如果有理由让该包通过，就要建立规则来处理它。

建立包过滤防火墙规则的例子如下：对来自专用网络的包，只允许来自内部地址的包通过，因为其他包包含不正确的包头部信息。

这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。

而且，如果黑客对专用网络内部的机器具有了不知从何得来的访问权，这种过滤方式可以阻止黑客从网络内部发起攻击。

在公共网络，只允许目的地址为80端口的包通过。

这条规则只允许传入的连接为web 连接。

这条规则也允许与web连接使用相同端口的连接，所以它并不是十分安全。

丢弃从公共网络传入的包，而这些包都有你的网络内的源地址，从而减少ip欺骗性的攻击。

丢弃包含源路由信息的包，以减少源路由攻击。

要记住，在源路由攻击中，传入的包包含路由信息，它覆盖了包通过网络应采取得正常路由，可能会绕过已有的安全程序。

2.1.2状态/动态检测防火墙状态/动态检测防火墙试图跟踪通过防火墙的网络连接和包，这样防火墙就可以使用一组附加的标准，以确定是否允许和拒绝通信。

它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。

当包过滤防火墙见到一个网络包，包是孤立存在的。

它没有防火墙所关心的历史或未来。

允许和拒绝包的决定完全取决于包自身所包含的信息，如源地址、目的地址、端口号等。

包中没有包含任何描述它在信息流中的位置的信息，则该包被认为是无状态的；它仅是存在而已。

一个有状态包检查防火墙跟踪的不仅是包中包含的信息。

为了跟踪包的状态，防火墙还记录有用的信息以帮助识别包，例如已有的网络连接、数据的传出请求等。

例如，如果传入的包包含视频数据流，而防火墙可能已经记录了有关信息，是关于位于特定ip地址的应用程序最近向发出包的源地址请求视频信号的信息。

如果传入的包是要传给发出请求的相同系统，防火墙进行匹配，包就可以被允许通过。

一个状态/动态检测防火墙可截断所有传入的通信，而允许所有传出的通信。

因为防火墙跟踪内部出去的请求，所有按要求传入的数据被允许通过，直到连接被关闭为止。

只有未被请求的传入通信被截断。

如果在防火墙内正运行一台服务器，配置就会变得稍微复杂一些，但状态包检查是很有力和适应性的技术。

例如，可以将防火墙配置成只允许从特定端口进入的通信，只可传到特定服务器。

如果正在运行web服务器，防火墙只将80端口传入的通信发到指定的web服务器。

状态/动态检测防火墙可提供的其他一些额外的服务有：将某些类型的连接重定向到审核服务中去。

例如，到专用web服务器的连接，在web服务器连接被允许之前，可能被发到secutid服务器（用一次性口令来使用）。

拒绝携带某些数据的网络通信，如带有附加可执行程序的传入电子消息，或包含activex 程序的web页面。

跟踪连接状态的方式取决于包通过防火墙的类型：tcp包。

当建立起一个tcp连接时，通过的第一个包被标有包的syn标志。

通常情况下，防火墙丢弃所有外部的连接企图，除非已经建立起某条特定规则来处理它们。

对内部的连接试图连到外部主机，防火墙注明连接包，允许响应及随后再两个系统之间的包，直到连接结束为止。

在这种方式下，传入的包只有在它是响应一个已建立的连接时，才会被允许通过。

udp包。

udp包比tcp包简单，因为它们不包含任何连接或序列信息。

它们只包含源地址、目的地址、校验和携带的数据。

这种信息的缺乏使得防火墙确定包的合法性很困难，因为没有打开的连接可利用，以测试传入的包是否应被允许通过。

可是，如果防火墙跟踪包的状态，就可以确定。

对传入的包，若它所使用的地址和udp包携带的协议与传出的连接请求匹配，该包就被允许通过。

和tcp包一样，没有传入的udp包会被允许通过，除非它是响应传出的请求或已经建立了指定的规则来处理它。

对其他种类的包，情况和udp包类似。

防火墙仔细地跟踪传出的请求，记录下所使用的地址、协议和包的类型，然后对照保存过的信息核对传入的包，以确保这些包是被请求的。

由信息，防火墙可以减少这种方式的攻击。

2.1.3 应用程序代理防火墙应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。

相反，它是接受来自内部网络特定用户应用程序的通信，然后建立于公共网络服务器单独的连接。

网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访问内部网的任何一部分。

另外，如果不为特定的应用程序安装代理程序代码，这种服务是不会被支持的，不能建立任何连接。

这种建立方式拒绝任何没有明确配置的连接，从而提供了额外的安全性和控制性。

例如，一个用户的web浏览器可能在80端口，但也经常可能是在1080端口，连接到了内部网络的http代理防火墙。

防火墙然后会接受这个连接请求，并把它转到所请求的web 服务器。

这种连接和转移对该用户来说是透明的，因为它完全是由代理防火墙自动处理的。

代理防火墙通常支持的一些常见的应用程序有：http,https/ssl,smtp,pop3,imap,nntp,telnet,ftp,irc应用程序代理防火墙可以配置成允许来自内部网络的任何连接，它也可以配置成要求用户认证后才建立连接。