湖南环境生物职业技术学院学生毕业论文（设计）题目: 防火墙技术的研究姓名学号专业系部指导教师2011 年 6 月 4 日1湖南环境生物职业技术学院毕业论文（设计）评审登记卡(一)2湖南环境生物职业技术学院毕业（设计）评审登记卡(二)说明：评定成绩分为优秀、良好、中等、及格、不及格五个等级，实评总分90分以上记为优秀,80分以上为良好，70分以上记为中等，60分以上记为及格，60分以下记为不及格。

3湖南环境生物职业技术学院毕业论文（设计）评审登记卡(三)4目录摘要......................................................................................................................第一章引言 .. (01)1.1 研究背景 (01)1.2研究现状 (01)1.3论文结构 (02)第二章防火墙的概述 (03)2.1防火墙的概念 (03)2.1.1传统防火墙的发展历程 (03)2.1.2智能防火墙的简述 (04)2.2 防火墙的功能 (04)2.2.1防火墙的主要功能 (05)2.2.2入侵检测功能 (05)2.2.3虚假专网功能 (06)第三章防火墙的原理及分类 (08)3.1 防火墙的工作原理 (08)3.1.1 包过滤防火墙 (08)3.1.2应用级代理防火墙 (09)3.1.3代理服务型防火墙 (09)3.1.4复合型防火墙 (10)3.2防火墙的分类 (10)3.2.1按硬、软件分类 (10)3.2.2按技术、结构分类 (11)3.3防火墙包过滤技术 (13)3.3.1数据表结构 (15)3.3.2传统包过滤技术 (15)3.3.3动态包过滤 (15)3.3.4深度包检测 (16)3.4 防火墙的优缺点 (17)3.4.1状态／动态检测防火墙 (17)3.4.2包过滤防火墙 (18)3.4.3应用程序代理防火墙 (19)3.4.4个人防火墙 (19)第四章防火墙的配置 (20)4.1 防火墙的初始配置 (20)4.2 防火墙的特色配置 (22)第五章防火墙发展趋势 (24)5.1 防火墙的技术发展趋势 (24)5.2防火墙的体系结构发展趋势 (25)5.3防火墙的系统管理发展趋势 (26)结论 (27)参考文献 (28)5第一章引言1.1 研究背景随着互联网的普及和发展，尤其是Internet的广泛使用，使计算机应用更加广泛与深入。

同时，我们不得不注意到，网络虽然功能强大，也有其脆弱易受到攻击的一面。

据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全求平均每20秒钟就发生一起Internet计算机侵入事件[1]。

在我国，每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。

人们在利用网络的优越性的同时，对网络安全问题也决不能忽视。

如何建立比较安全的网络体系，值得我们关注研究。

1.2 研究现状为了解决互联网时代个人网络安全的问题，近年来新兴了防火墙技术[2]。

防火墙具有很强的实用性和针对性，它为个人上网用户提供了完整的网络安全解决方案，可以有效地控制个人电脑用户信息在互联网上的收发。

用户可以根据自己的需要，通过设定一些参数，从而达到控制本机与互联网之间的信息交流阻止恶性信息对本机的攻击，比如ICMPnood攻击、聊天室炸弹、木马信息破译并修改邮件密码等等。

而且防火墙能够实时记录其它系统试图对本机系统的访问，使计算机在连接到互联网的时候避免受到网络攻击和资料泄漏的安全威胁。

防火墙可以保护人们在网上浏览时免受黑客的攻击，实时防范网络黑客的侵袭，还可以根据自己的需要创建防火墙规则，控制互联网到PC以及PC到互联网的所有连接，并屏蔽入侵企图。

防火可以有效地阻截各种恶意攻击、保护信息的安全;信息泄漏拦截保证安全地浏览网页、遏制邮件病毒的蔓延;邮件内容检测可以实时监视邮件系统，阻挡一切针对硬盘的恶意活动。

个人防火墙就是在单机Windows系统上，采取一些安全防护措施，使得本机的息得到一定的保护。

个人防火墙是面向单机操作系统的一种小型安全防护软件，按一定的规则对TCP，UDP，ICMP和IGMP等报文进行过滤，对网络的信息流1和系统进程进行监控，防止一些恶意的攻击。

目前市场上大多数的防火墙产品仅仅是网关的，虽然它们的功能相当强大，但由于它们基于下述的假设:内部网是安全可靠的，所有的威胁都来自网外。

因此，他们防外不防内，难以实现对企业内部局域网内主之间的安全通信，也不能很好的解决每一个拨号上网用户所在主机的安全问题，而多数个人上网之时，并没有置身于得到防护的安全网络内部。

个人上网用户多使用Windows操作系统，而Windows操作系统，特别是WindowsXP系统，本身的安全性就不高。

各种Windows漏洞不断被公布，对主机的攻击也越来越多。

一般都是利用操作系统设计的安全漏洞和通信协议的安全漏洞来实现攻击。

如假冒IP包对通信双方进行欺骗:对主机大量发送正数据包[3]进行轰炸攻击，使之际崩溃;以及蓝屏攻击等。

因此，为了保护主机的安全通信，研制有效的个人防火墙技术很有必要。

所谓的防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合[ 1 ]。

它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。

1.3 论文结构本文根据课题的要求，讲述了防火墙的概念，介绍了防火墙的原理、类型、功能等，然后分析了防火墙技术及其不足和防火墙的技术的最新发展趋势。

并介绍了怎么预防黑客入侵内部网络内容一些方法。

让读者真正的了解其重要性并学会使用它，以免受被攻击之苦。

本文共分5章：第一章、为引言；第二章、对防火墙做了详细介绍；第三章、讲述了防火墙的原理及分类；第四章、重点介绍了防火墙的配置方法；第五章、阐述了防火墙的体系结构，系统管理及当今的发展趋势。

本文在写的过程当中，作者参考了有关书籍和资料，在此向这些作者们表示衷心感谢。

2第二章防火墙的概述随着Internet的迅速发展，网络应用涉及到越来越多的领域，网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题，使得网络安全问题越来越突出。

因此，保护网络资源不被非授权访问，阻止病毒的传播感染显得尤为重要。

就目前而言，对于局部网络的保护，防火墙仍然不失为一种有效的手段，防火墙技术主要分为包过滤和应用代理两类。

其中包过滤作为最早发展起来的一种技术，其应用非常广泛。

2.1防火墙的概念防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。

它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。

它是提供信息安全服务，实现网络和信息安全的基础设施。

防火墙提供信息安全服务，是实现网络和信息安全的基础设施。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网络和互联网之间的任何活动，保证了内部网络的安全。

2.1.1 传统防火墙的发展史目前的防火墙技术无论从技术上还是从产品发展历程上，都经历了五个发展历程。

1.第一代防火墙第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。

2.第二代、第三代防火墙1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。

3.第四代防火墙31992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。

1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。

4.第五代防火墙1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

但传统的防火墙并没有解决目前网络中主要的安全问题。

目前网络安全的三大主要问题是:以拒绝访问(DDOS)为主要代表的网络攻击，以蠕虫(Worm)为主要代表的病毒传播和以垃圾电子邮件(SPAM)为代表的内容控制。

这三大安全问题占据网络安全问题九成以上。

而这三大问题，传统防火墙都无能为力。

主要有以下三个原因:一是传统防火墙的计算能力的限制。

传统的防火墙是以高强度的检查为代价，检查的强度越高，计算的代价越大。

二是传统防火墙的访问控制机制是一个简单的过滤机制。

它是一个简单的条件过滤器，不具有智能功能，无法检测复杂的攻击。

三是传统的防火墙无法区分识别善意和恶意的行为。

该特征决定了传统的防火墙无法解决恶意的攻击行为。

现在防火墙正在向分布、智能的方向发展，其中智能防火墙可以很好的解决上面的问题。

2.1.2 智能防火墙的简述智能防火墙[6]是相对传统的防火墙而言的，从技术特征上智能防火墙是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。

新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络行为的特征值，直接进行访问控制。

由于这些方法多是人工智能学科采用的方法，因此，又称为智能防火墙。

2.2防火墙的功能从防火墙的功能来说，主要包含以下几个方面：访问控制，如应用 ACL 进行访问控制、 NAT; VPN ;路由、认证和加密、日志记录、管理、攻击防范等。

防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。

防火墙还可以关闭不使用的端口。

而且它还能禁止特定端4口的流出通信，封锁特洛伊木马。

最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

2.2.1防火墙的主要功能1．包过滤。

包过滤是一种网络的数据安全保护机制，它可用来控制流出和流入网络的数据，它通常由定义的各条数据安全规则所组成，防火墙设置可基于源地址、源端口、目的地址、目的端口、协议和时间;可根据地址簿进行设置规则。

2．地址转换。

网络地址变换是将内部网络或外部网络的IP地址转换，可分为源地址转换Source NAT(SNAT)和目的地址转换Destination NAT(DNAT)。

SNAT用于对内部网络地址进行转换，对外部网络隐藏起内部网络的结构，避免受到来自外部其他网络的非授权访问或恶意攻击。