类型：课程设计题目：企业内部网中防火墙的应用与分析目录第一章引言 (1)1.1 本课题的研究意义 (1)1.2 本课题的内容 (1)第二章企业内部网中防火墙的研究现状及设计目标 (3)2.1 企业防火墙的特点及优缺点 (3)2.1.1 企业防火墙的特性 (3)2.1.2 企业内部网需要防火墙克服的风险......... 错误!未定义书签。

2.1.3 企业防火墙的主要优点 (4)2.1.4 企业防火墙的主要弱点 (5)2.2 本课题要达到的设计目标 (5)第三章企业内部网中防火墙技术及安全威胁 (6)3.1 目前防火墙的技术 (6)3.1.1 包过滤（packet Filtering）技术 (6)3.1.2 代理服务(Proxy Service)技术 (7)3.1.3 状态检测(State Inspection)技术 (7)3.2 企业防火墙防止非法者的入侵及各种应对方法 (8)3.2.1 企业防火墙来是怎样防止非法者的入侵的 (8)3.2.2 企业防火墙应对非法者入侵的各种方法 (8)3.2.2.1 IP地址过滤 (8)3.2.2.2 服务器TCP/UDP 端口过滤 (10)3.2.2.3 客户机TCP/UDP端口 (11)3.2.2.4 双向过滤 (13)3.2.2.5 检查ACK位 (14)3.2.2.6 FTP带来的困难 (15)3.2.2.7 UDP端口过滤 (15)3.2.2.8 小结 (16)3.3 企业防火墙防治病毒 (16)3.3.1 病毒的起源 (16)3.3.2 病毒的危害 (17)3.3.3 病毒的弱点 (17)3.3.4 病毒的防治 (17)第四章企业内部网中防火墙的安全管理技术以及定制安全机制 (19)4.1 企业内部网中防火墙具备的功能 (19)4.1.1 访问控制 (19)4.1.2 网络状态监控 (20)4.1.3 防御功能 (20)4.1.4 日志和警报 (21)4.1.5 安全特性 (21)4.1.6 管理功能 (22)4.2 定制安全机制 (23)4.2.1 存取控制 - 定义安全政策 (23)4.2.2 认证机制 (24)4.2.3 内容的安全性 (24)4.2.4 网络地址转译 (25)4.2.5 加密 (25)4.2.6 产品的后续支持及厂商的技术能力 (25)4.2.7 内部人员考核与训练 (26)第五章结束语....................................... 错误!未定义书签。

第一章引言以Internet为代表的全球性信息化浪潮迅猛发展，越来越多的人使用网络并通过网络获取信息、进行交流和沟通、参与网上贸易，网络对于当今中国社会的影响也愈来愈深、愈来愈广。

从这个意义上看，网络化已经成为我国现代化进程中的一个重要特征。

而网络安全也成为影响网络效能的重要问题。

网络防火墙作为防止黑客入侵的主要手段，也已经成为个人和企业网络安全建设的必选设备。

然而，企业网络的整体安全涉及的层面相当广，防火墙不仅无法解决所有的安全问题，防火墙所使用的控制技术、自身的安全保护能力、网络结构、安全策略等因素都会影响企业网络的安全性。

在享受丰盛的Internet/Intranet各种建置及所带来的效率与成本回收的成果之时，如果企业没有一个良好的安全防范机制，企业内部网络资源将不堪一击，这不是在危言耸听。

1.1 本课题的研究意义由于黑客的非法入侵时及病毒摧毁计算机所造成的威胁有越来越严重的趋势。

许多的企业也因为之前没有对网络架构作好网络防护措施，付出了惨痛而昂贵的代价。

企业对于功能更强大的防火墙的需求也越来越迫切。

因此，为了实现网络的安全，建立个高效、通用、安全体系，需要将各种防火墙技术、网络安全技术相结合，并配合有效的管理和组织措施，制定相应的规章制度，提高网络管理人员的安全息识，才能形成整体的和纵深有序的安全防御体系。

1.2 本课题的内容本论文较全面地介绍了防火墙技术的现状，就企业网络安全体系中防火墙技术的重要性、建立有企业特色的网络安全体系进行了叙述，讨论了企业防火墙安全技术的分类及其主要技术特征。

介绍了企业内部网防火墙具备的功能，重点研究企业防火墙应对非法者入侵的各种方法，针对各个漏洞进行分析详细叙述了应对方法。

本论文也稍微讨论了下企业防火墙应对病毒的一些方法。

以及如何为企业定制一套安全的机制。

第二章企业内部网中防火墙的研究现状及设计目标相关组织和机构经过几年的研究与讨论，已经基本上清晰地勾勒出了一个有关企业防火墙的框架。

2.1 企业防火墙的特点及优缺点2.1.1 防火墙企业的特性A．所有的通信都经过防火墙。

B．防火墙只放行经过授权的网络流量。

C．防火墙能经受的住对其本身的攻击。

我们可以看成防火墙是在可信任网络和不可信任网络之间的一个缓冲，防火墙可以是一台有访问控制策略的路由器（Route+ACL），一台多个网络接口的计算机，服务器等，被配置成保护指定网络，使其免受来自于非信任网络区域的某些协议与服务的影响。

所以一般情况下防火墙都位于网络的边界，例如保护企业网络的防火墙，将部署在内部网络到外部网络的核心区域上。

为什么要使用防火墙？很多人都会有这个问题，也有人提出，如果把每个单独的系统配置好，其实也能经受住攻击。

遗憾的是很多系统在缺省情况下都是脆弱的。

最显著的例子就是Windows系统，我们不得不承认在Windows 2003以前的时代， Windows默认开放了太多不必要的服务和端口，共享信息没有合理配置与审核。

如果管理员通过安全部署，包括删除多余的服务和组件，严格执行NTFS 权限分配，控制系统映射和共享资源的访问，以及帐户的加固和审核，补丁的修补等。

做好了这些，我们也可以非常自信的说，Windows足够安全。

也可以抵挡住网络上肆无忌惮的攻击。

但是致命的一点是，该服务器系统无法在安全性，可用性和功能上进行权衡和妥协。

对于此问题我们的回答是：“防火墙只专注做一件事，在已授权和未授权通信之间做出决断。

”如果没有防火墙，粗略的下个结论，就是：整个网络的安全将倚仗该网络中所有系统的安全性的平均值。

遗憾的是这并不是一个正确的结论，真实的情况比这更糟：整个网络的安全性将被网络中最脆弱的部分所严格制约。

即非常有名的木桶理论也可以应用到网络安全中来。

没有人可以保证网络中每个节点每个服务都永远运行在最佳状态。

网络越庞大，把网络中所有主机维护至同样高的安全水平就越复杂，将会耗费大量的人力和时间。

整体的安全响应速度将不可忍受，最终导致网络安全框架的崩溃。

防火墙成为了与不可信任网络进行联络的唯一纽带，我们通过部署防火墙，就可以通过关注防火墙的安全来保护其内部的网络安全。

并且所有的通信流量都通过防火墙进行审记和保存，对于网络安全犯罪的调查取证提供了依据。

总之，防火墙减轻了网络和系统被用于非法和恶意目的的风险。

2.1.2 企业内部网需要防火墙克服的风险A．机密性的风险。

B．数据完整性的风险。

C．用性的风险。

我们说的防火墙主要是部署在网络的边界（Network Perimeter），这个概念主要是指一个本地网络的整个边界，表面看起来，似乎边界的定义很简单，但是随着虚拟专用网络（VPN）的出现，边界这个概念在通过VPN拓展的网络中变的非常模糊了。

在这种情况下，我们需要考虑的不仅仅是来自外部网络和内部网络的威胁，也包含了远程VPN客户端的安全。

因为远程VPN客户端的安全将直接影响到整个防御体系的安全。

2.1.3 企业防火墙的主要优点A．防火墙可以通过执行访问控制策略而保护整个网络的安全，并且可以将通信约束在一个可管理和可靠性高的范围之内。

B．防火墙可以用于限制对某些特殊服务的访问。

C．防火墙功能单一，不需要在安全性，可用性和功能上做取舍。

D．防火墙有审记和报警功能，有足够的日志空间和记录功能，可以延长安全响应的周期。

2.1.4 企业防火墙的主要弱点A．不能防御已经授权的访问,以及存在于网络内部系统间的攻击。

B．不能防御合法用户恶意的攻击.以及社交攻击等非预期的威胁。

C．不能修复脆弱的管理措施和存在问题的安全策略。

D．不能防御不经过防火墙的攻击和威胁。

2.2 本课题要达到的设计目标研究防火墙，透彻了解防火墙的原理，能从数据链路层一直到应用层施加全方位的控制；并运用防火墙尽可能地抵抗黑客入侵，并且尽量减少病毒对企业内部网造成的损失。

定制一套安全机制，产生一个新的防火墙理论。

第三章企业内部网中防火墙技术及安全威胁3.1 目前防火墙的技术防火墙从原理上主要有三种技术:包过滤(Packet Filtering)技术、代理服务(Proxy Service)技术不和状态检测(State Inspection)技术。

3.1.1 包过滤（packet Filtering）技术包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址和TCP端口号等规则，对通过设备的数据包进行检查，限制数据包在内部网络的进出。

由于包过滤技术要求内外通信的数据包必须通过使用这项技术的计算机，才能进行过滤，因而，包过滤技术必须用在路由器上。

它通常由包过滤路由器对IP包进行选择，允许或拒绝特定的包通过。

包过滤技术具有数据包过滤对用户透明、一个过滤路由器能协助保护整个网络、过滤路由器速度快、效率高等优点。

包过滤技术的缺点：配置访问控制列表比较复杂，要求网络管理员对Interne服务有深入了解，其性能随访问控制列表的长度的增加而呈指数下降，没有跟踪记录能力，不能从日志记录中发现黑客的攻击记录，不能在用户级别上进行过滤，即不能鉴别不同的用户和防止IP地址盗用，只检查地址和端口，对通过网络应用链路层协议实现的威胁无防范能力，无法抵御数据驱动型攻击不能理解特定服务的上下文环境和数据包过滤防火墙技术虽然能实现定的安全保护，但有许多优点，但是包过滤毕竟是第一代防火墙技术，本身存在较多缺陷，不能提供较高的安全性。

在实际应用中，很少把包过滤技术当作单独的安全解决力案，而是把它与其他防火墙技术结合在一起使用。

3.1.2 代理服务(Proxy Service)技术代理服务是另一种防火墙技术，与包过滤不同，它直接和应用程序打交道。

它不会让数据包直接通过，而是自己接收数据包，并对其进行分析。

代理实际是设置在Internet防火墙网关上有特殊功能的应用层代码，是在网管员允许下或拒绝的特定的应用程序或者特定服务，还可应用于实施数据流监控、过滤、记录和报告等功能。

代理的工作原理比较简单，首先是用户与代理服务器建立连接，然后将目的站点告知代理，对于合法的清求，代理以自己的身份（应用层网关）与目的站点建立连接，然后代理在这两个连接中转发数据。