* * * * 学院毕业论文课题名称:防火墙的技术与应用作者:学号:系别:电子工程系专业:指导教师:20**年**月**日防火墙的技术与应用摘要计算机网络安全已成为当今信息时代的关键技术。
当前网络安全问题存在着计算机病毒,计算机黑客攻击等问题。
网络安全问题有其先天的脆弱性,黑客攻击的严重性,网络杀手集团性和破坏手段的多无性,解决网络安全问题重要手段就是防火墙技术。
走在中国特色的防火墙技术发展之路,是确保我国网络安全的有效途径。
防火墙技术的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。
本文重点介绍防火墙技术的基本概念和系统结构,讨论了实现防火墙的两种主要技术手段:一种是基于分组过滤技术(Packet filtering),它的代表是在筛选路由器上实现的防火墙功能;一种是基于代理技术(Proxy),它的代表是在应用层网关上实现的防火墙功能。
关键词:网络安全;防火墙;技术;功能目录中文摘要 (I)1 引言 (1)2 网络安全概述 (1)3 协议安全分析 (2)3.1 物理层安全 (2)3.2 网络层安全 (2)3.3 传输层安全 (3)4 网络安全组件 (3)4.1 防火墙 (3)4.2 扫描器 (3)4.3 防毒软件 (3)4.4 安全审计系统 (3)4.5 IDS (4)5 网络安全的看法 (4)5.1 隐藏IP地址有两种方法 (5)5.2 更换管理及账户 (5)6 防火墙概述 (5)6.1 防火墙定义 (5)6.2 防火墙的功能 (5)6.3 防火墙技术 (6)6.4 防火墙系统的优点 (7)6.5 防火墙系统的局限性 (7)7 结论 (8)参考文献 (8)致 (9)1 引言随着网络技术的普遍推广,电子商务的开展,实施和应用网络安全已经不再仅仅为科学研究人员和少数黑客所涉足,日益庞大的网络用户群同样需要掌握网络安全知识。
由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁,与它有关的安全事故屡次发生,一些黑客把先进的计算机网络技术,当成一种犯罪工具,不仅影响了网络的稳定运行和用户的正常使用,造成许多经济损失,而且还会威胁到国家的安全,一些国家的被黑客破坏造成网络瘫痪。
如何更有效地保护重要信息数据,提高计算机网络的安全性已经成为世界各国共同关注的话题,防火墙可以提供增强网络的安全性,是当今网络系统最基础设施,侧重干网络层安全,对于从事网络建设与管理工作而言,充分发挥防火墙的安全防护功能和网络管理功能至关重要。
2 网络安全概述网络安全是指网络系统的硬件、软件及其系统中的数据受到了保护,不因偶然的或恶意的原因而遭受到破坏、更改、泄露、系统正常地运行网络服务不中断,网络安全的定义从保护角度来看,是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,从广义上来说,凡是涉及到计算机网络上信息的性,完整性、可用性、可控性、可审查性的相关技术和理论都是计算机网络安全的研究领域。
网络安全的具体含义会随着“角度”的变化而变化,比如:从个人的角度来说,凡是涉及到个人隐私的信息在网络上传输时受到性完整性和真实性的保护避免其他人利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。
网络安全应具有以下五个方面的特征:性:确保信息不暴露给未授权的实体或进程。
完整性:只有得到授权的实体才能修改数据,并且能够判别出数据是否已被篡改。
可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。
可控性:可以控制授权围的信息流向及行为方式。
可审查性:对出现的网络安全问题提供调查的依据和手段。
从管理者角度说网络信息的访问读写操作受到保护和控制避免病毒侵入,非法存取、非法占用、非法控制等威胁,防止网络黑客的攻击,对安全部门来说,对于非法的有害的或涉及国家的信息进行过滤和防止,对社会造成危害,对国家造成巨大损失的机要信息的泄漏进行防止,做到杜绝。
现在全球普遍存在缺乏网络安全的重要性,这导致大多数网络存在着先天性的安全漏洞和安全威胁,使用TCP/IP协议的网络所提供的网络服务都包含许多不安全的因素,存在着一些漏洞网络的普及使信息共享达到了一个新的层次,信息被暴露的机会大大增多,特别是Internet网络就是一个不设防的开放大系统,近年来,计算机犯罪案件也急剧上升,计算机犯罪是商业犯罪中最大的犯罪类型之一,每年计算机犯罪造成的经济损失高达50亿美元,在信息安全的发展过程中企业和政府的的要求有一致的地方,也不有一致的地方,企业注重于信息和网络安全的可靠性,政府注重于信息和网络安全的可管性和可控性,在发展中国家,对信息安全的投入还满足不了信息安全的需求,同时投入也常常被挪用和借用。
3 协议安全分析3.1 物理层安全物理层安全威胁主要指网络周边环境和物理特性引起的网络设备和线路的不可用而造成的网络系统的不可用,如:设备老化、设备被盗、意外故障,设备损毁等。
由于以太局域网中采用广播方式,因此在某个广播域中利用嗅探器可以在设定的侦听端口侦听到所有的信息包,并且对信息包进分析,那么本广播域的信息传递都会暴露无遗,所以需将两个网络从物理上隔断同时保证在逻辑上两个网络能够连通。
3.2 网络层安全网络层的安全威胁主要有两类:IP欺骗和ICMP攻击。
IP欺骗技术的一种实现方法是把源IP地址改成一个错误的IP地址,而接收主机不能判断源IP地址的正确性,由此形成欺骗,另外一种方法是利用源路由IP数据包让它仅仅被用于一个特殊的路径中传输,这种数据包被用于攻击防火墙。
ICMP在IP层检查错误和其他条件。
ICMP信息、对于判断网络状况非常有用,例如:当PING一台主机想看它是否运去时,就产生了一条ICMP信息。
远程主机将用它自己的ICMP信息对PING请求作出回应,这种过程在网络中普遍存在。
然而,ICMP信息能够被用于攻击远程网络或主机,利用ICMP来消耗带宽从而有效地摧毁站点。
3.3 传输层安全具体的传输层安全措施要取决于具体的协议,传输层安全协议在TCP的顶部提供了如身份验证,完整性检验以及性保证这样的安全服务,传输层安全需要为一个连接维持相应的场景,它是基于可靠的传输协议TCP的。
由于安全机制与特定的传输协议有关所以像密钥管理这样的安全服务可为每种传输协议重复使用。
现在,应用层安全已被分解成网络层、操作系统、数据库的安全,由于应用系统复杂多样不存在一种安全技术能够完全解决一些特殊应用系统的安全问题。
4 网络安全组件网络的整体安全是由安全操作系统、应用系统、防火墙、网络监控安全扫描、信息审计、通信加密、灾难恢复、网络反病毒等多个安全组件共同组成的,每一个单独的组件只能完成其中部分功能,而不能完成全部功能。
4.1 防火墙防火墙是指在两个网络之间加强访问控制的一整套装置,是软件和硬件的组合体,通常被比喻为网络安全的大门,在部网和外部网之间构造一个保护层,用来鉴别什么样的数据包可以进出企业部网。
防火墙可以阻止基于IP的攻击和非信任地址的访问,但无法阻止基于数据容的黑客攻击和病毒入侵,同时也无法控制部网络之间的攻击行为。
4.2 扫描器扫描器是一种自动检测远程或本地主机安全性弱点的程序,通过使用扫描器可以自动发现系统的安全缺陷,扫描器可以分为主机扫描器和网络扫描器,但是扫描器无法发现正在进行的入侵行为,而且它也可以被攻击者加以利用。
4.3 防毒软件防毒软件可以实时检测,清除各种已知病毒,具有一定的对未知病毒的预测能力利用代码分析等手段能够检查出最新病毒。
在应用对网络入侵方面,它可以查杀特洛伊木马和蠕虫等病毒程序,但不能有效阻止基于网络的攻击行为。
4.4 安全审计系统安全审计系统对网络行为和主机操作提供全面详实的记录,其目的是测试安全策略是否完善,证实安全策略的一致性,方便用户分析与审查事故原因,协助攻击的分析收集证据以用于起诉攻击者。
4.5 IDS由于防火墙所暴露出来的不足,引发人们对IDS(入侵检测系统)技术的研究和开发。
它被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下对网络进行监测,从而提供对部攻击,外部攻击和误操作的实时保护。
IDS的主要功能:监控、分析用户和系统的活动。
核查系统配置和漏洞。
评估关键系统和数据文件的完整性。
识别攻击的活动模式,并向网管人员报警。
对异常活动的统计分析。
操作系统审计跟踪管理,识别违反政策的用户活动。
评估重要系统和数据文件的完整性。
IDS可分为主机型和网络型两种:主机型入侵检测系统,主要用于保护运行关键应用的服务器,它通过监视与分析主机的审计记录和日志文件来检测入侵。
网络型入侵检测系统主要用于实时监控网络关键路径信息,它通过侦听网络上的所有分组来采集数据、分析可疑现象。
网络入侵检测系统通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务。
由于每个网络安全组件自身的限制,不可能把入侵检测和防护做到一应俱全所以不能指望通过使用某一种网络安全产品实现绝对的安全,只有根据具体的网络环境,有机整合这些网络安全组件才能最大限度地满足用户的安全需求,在这个通信发达的时代,网络安全组件是不可缺少的,用户的安全要得到保障那就使用网络安全组件吧!它能给你带来意想不到的效果。
5 网络安全的看法随着互联网在家庭中的普及,家庭网络安全越来越受欢迎。
家庭网络安全主要表现在两个方面,一是个人电脑中毒,二是被非法用户入侵。
个人以为可以从“”和“外”两个方面来解决。
从的方面来讲“”指用户本身,防止由于自己的疏忽而造成的损失。
主要包括安装一些必要的软件,主要是防火墙、杀毒、防木马等安全软件。
要有一个安全的工作习惯。
积极备份。
积极防。
打好补丁。
这几种方法只是网络安全方面常用的方法,实际上保证安全从“”的方面来说还包括很多方面,如操作不当造成软硬件损坏等。
当然这些就不仅仅是网络安全方面了,实际上只要用户在以上所说的五个方面做得不错的话,基本上网络安全方面可以放60%以上的心了。
只不过许多用户在这些方面一般不太在意结果造成数据的损失。
从外的方面来讲“外”指由外界而来的攻击,一般指黑客攻击。
要防止黑客的攻击,我介绍几种简单容易上手同时效果也不错的方法供大家参考。
5.1 隐藏IP地址有两种方法代理服务器的原理是在客户机和远程服务器之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。
使用代理服务器后,其它用户只能探测到代理服务器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。
二是使用一些隐藏IP的软件,如赛门铁克公司的Norton Internet security,不论黑客使用哪一个IP扫描工具,都会告诉你根本没有这个IP地址,黑客就无法攻击你的计算机了。