[doc]-计算机网络安全和防火墙技术

计算机网络安全和防火墙技术山西信息职业技术学院毕业论文（设计）计算机网络安全及防火墙技术韩龑论文指导教师刘鹏信息工程系学生所在系部信息工程系专业名称网络系统管理论文提交日期2013年4月日2013年4月日2013年4月日论文题目计算机网络安全及防火墙技术专业网络系统管理学生韩龑签名指导老师刘鹏签名摘要近年来,网络犯罪的递增、大量黑客网站的诞生，网络系统的安全问题越来越受到重视。网络系统的安全对于国家机关、银行、企业是至关重要的，即使是对于学校、甚至个人也是如此。因此，安全保密工作越来越成为网络建设中的关键技术，防火墙技术就是其中重要的一环。防火墙相当于一个控流器，可用来监视或拒绝应用层的通信业务，它通过建立一整套规则和策略来监测和限制穿过防火墙的数据流，允许合法数据包通过，组织非法数据包通过，从而达到有效保护内部网络安全的目的。【关键词】计算机网络网络安全网络入侵数据加密【论文类型】应用、硬件或其它TITLEPROBLEMSANDCOUNTEMEASURESOFNETWORKSECUNTYMAJORNETWORKSYSTEMMANAGEMENTNAMEHANYANSIGNATURESUPERVISORLIUPENGSIGNATUREABSTRACTINRECENTYEARS,INCREASINGCYBERCRIME,THEBIRTHOFALARGENUMBEROFHACKINGSITES,NETWORKSECURITYISSUESMOREANDMOREATTENTIONNETWORKSECURITYFORTHECOUNTRYOFFICES,BANKS,BUSINESSISCRUCIAL,EVENFORSCHOOLS,EVENINDIVIDUALSASWELLTHEREFORE,THESECURITYANDCONFIDENTIALITYOFNETWORKCONSTRUCTIONISINCREASINGLYBECOMINGAKEYTECHNOLOGY,FIREWALLTECHNOLOGYISONEIMPORTANTPARTFIREWALLISEQUIVALENTTOAFLOWCONTROLDEVICECANBEUSEDTOMONITORORDENYTHEAPPLICATIONLAYERTRAFFICITISTHROUGHTHEESTABLISHMENTOFASETOFRULESANDPOLICIESTOMONITORANDRESTRICTTHEFLOWOFDATATHROUGHTHEFIREWALLTOALLOWLEGITIMATEPACKETS,ORGANIZINGILLEGALPACKETS,SOASTOACHIEVEEFFECTIVEPROTECTIONOFINTERNALNETWORKSECURITY【KEYWORDS】COMPUTERNETWORK,NETWORKSECURITY,FIREWALL,SINGLESUBNET【TYPEOFTHESIS】APPLICATION,HARDWAREOROTHER目录1计算机网络安全概述811计算机网络安全的含义812计算机网络安全面临的威胁8121网络缺陷8122黑客攻击8123各种病毒9124网络资源滥用9125信息泄漏913计算机网络安全产生的原因及缺陷9131TCP/IP的脆弱性9132网络结构的不安全性9133易被窃听9134缺乏安全意识914影响计算机网络安全的因素10141网络资源的共享性10142网络的开放性10143网络操作系统的漏洞10144网络系统设计的缺陷10145恶意攻击102计算机网络安全防范策略1021隐藏IP地址1022关闭不必要的端口1023更换管理员账户1124杜绝GUEST帐户的入侵1125防火墙技术1126数据加密与用户授权访问控制技术1327入侵检测系统1328病毒防患技术143防火墙技术1531防火墙的定义1532防火墙的功能1533防火墙的类型15331包过滤技术防火墙15332代理服务器防火墙16333复合型防火墙1633防火墙的工作原理16331包过滤防火墙16332应用网关防火墙16333状态监视技术17334复合型防火墙1734防火墙的初始配置1735过滤型防火墙的访问控制表（ACL）配置2036双宿主机网关DUALHOMEDGATEWAY2337屏蔽主机网关SCREENEDHOSTGATEWAY2438屏蔽子网SCREENEDSUBNET24总结26致谢27参考文献28引言近年来，随着计算机网络技术的飞速发展，尤其是互联网的应用变得越来越广泛，在带来了前所未有的海量信息的同时，计算机网络的安全性变得日益重要起来，由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素，致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。为确保信息的安全与网络畅通，研究计算机网络的安全与防护措施已迫在眉捷，但网络安全问题至今仍没有能够引起足够的重视，更多的用户认为网络安全问题离自己尚远，这一点从大约有40以上的用户特别是企业级用户没有安装防火墙FIREWALL便可以窥见一斑，而所有的问题都在向大家证明一个事实，大多数的黑客入侵事件都是由于未能正确安装防火墙而引发，所以防火墙技术应当引起我们的注意和重视。本文主要研究网络安全的缺陷原由及网络安全技术的原理和其他技术，如防火墙技术对网络安全起到的不可忽视的影响。71计算机网络安全概述11计算机网络安全的含义计算机网络安全【2】的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的认识和要求也就不同。例如从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。12计算机网络安全面临的威胁近年来，威胁网络安全的事件不断发生，特别是计算机和网络技术发展迅速的国家和部门发生的网络安全事件越来越频繁和严重。一些国家和部门不断遭到入侵攻击，本文列举以下事例以供分析和研究之用。事件一2005年7月14日国际报道英国一名可能被引渡到美国的黑客MCKINNON表示，安全性差是他能够入侵美国国防部网站的主要原因。他面临“与计算机有关的欺诈”的指控，控方称，他的活动涉及了美国陆军、海军、空军以及美国航空航天局。可以看出，一方面尽管这位黑客的主动入侵没有恶意，但是事实上对美国国防部的网络信息在安全方面造成威胁，假如这位黑客出于某种目的，那么后果将无法估量；另一方面网络技术很高的国家和部门也会被黑客成功入侵。事件二2005年6月17日报道万事达信用卡公司称，大约4000万名信用卡用户的账户被一名黑客利用电脑病毒侵入，遭到入侵的数据包括信用卡用户的姓名、银行和账号，这都能够被用来盗用资金。如果该黑客真的用这些信息来盗用资金的话，不但将给这些信用卡用户带来巨大的经济损失，而且侵犯了这些信用卡用户的个人隐私。121网络缺陷INTEMET由于它的开放性迅速在全球范围内普及，但也正是因为开放性使其保护信息安全存在先天不足。INTERNET最初的设计考虑主要是考虑资源共享，基本没有考虑安全问题，缺乏相应的安全监督机制。122黑客攻击8自1998年后，网上的黑客越来越多，也越来越猖獗；与此同时黑客技术逐渐被越来越多的人掌握现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得黑客攻击的隐蔽性好，“杀伤力”强，这是网络安全的主要威胁之一。123各种病毒病毒时时刻刻威胁着整个互联网。像NIMDA和CODERED的爆发更是具有深远的影响，促使人们不得不在网络的各个环节考虑对于各种病毒的检测防治，对病毒彻底防御的重要性毋庸置疑。124网络资源滥用网络有了安全保证和带宽管理，依然不能防止员工对网络资源的滥用。等行为极大地降低了员工的工作效率。管理层希望员工更加有效地使用互联网，尽量避免网络对工作带来负面影响。125信息泄漏恶意、过失的不合理信息上传和发布，可能会造成敏感信息泄漏、有害信息扩散，危及社会、国家、体和个人利益。更有基于竞争需要，利用技术手段对目标机信息资源进行窃取。在众多人为威胁中来自用户和恶意软件即计算机病毒的非法侵入严重，计算机病毒是利用程序干扰破坏系统正常工作的一种手段，它的产生和蔓延给信息系统的可靠性和安全性带来严重的威胁和巨大的损失。13计算机网络安全产生的原因及缺陷131TCP/IP的脆弱性因特网的基石是TCP/IP协议【3】，不幸的是该协议对于网络的安全性考虑得并不多。并且，由于TCP/IP协议是公布于众的，如果人们对TCP/IP很熟悉，就可以利用它的安全缺陷来实施网络攻击。132网络结构的不安全性因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时，通常情况下它们之间互相传送的数据流要经过很多机器重重转发，如果攻击者利用一台处于用户的数据流传输路径上的主机，他就可以劫持用户的数据包。133易被窃听由于因特网上大多数数据流都没有加密，因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。134缺乏安全意识虽然网络中设置了许多安全保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施9形同虚设。如人们为了避开防火墙代理服务器的额外认证，进行直接的PPP连接从而避开了防火墙的保护。14影响计算机网络安全的因素141网络资源的共享性资源共享是计算机网络应用的主要目的，但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着互联网需求的日益增长，外部服务请求不可能做到完全隔离，攻击者利用服务请求的机会很容易获取网络数据包。142网络的开放性网上的任何一个用户很方便访问互联网上的信息资源，从而很容易获取到一个企业、单位以及个人的敏感性信息。143网络操作系统的漏洞网络操作系统是网络协议和网络服务得以实现的最终载体之一，它不仅负责网络硬件设备的接口封装，同时还提供网络通信所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性，决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。144网络系统设计的缺陷网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下，还可以提供较好的安全性。不合理的网络设计则会成为网络的安全威胁。145恶意攻击就是人们常见的黑客攻击及网络病毒，这是最难防范的网络安全威胁。随着电脑教育的大众化，这类攻击也是越来越多，影响越来越大。2计算机网络安全防范策略21隐藏IP地址黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，如DOS拒绝服务攻击、FLOOP溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。使用代理服务器后，其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。22关闭不必要的端口黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序（比如NETWATCH），该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口，比如，10用“NORTONINTERNETSECURITY”关闭用来提供网页服务的80和443端口，其他一些不常用的端口也可关闭。23更换管理员账户ADMINISTRATOR帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得ADMINISTRATOR帐户的密码，所以我们要重新配置ADMINISTRATOR帐号。首先是为ADMINISTRATOR帐户设置一个强大复杂的密码，然后我们重命名ADMINISTRATOR帐户，再创建一个没有管理员权限的ADMINISTRATOR帐户欺骗入侵者。这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程度上减少了危险性。24杜绝GUEST帐户的入侵GUEST帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，GUEST也为黑客入侵打开了方便之门禁用或彻底删除GUEST帐户是最好的办法，但在某些必须使用到GUEST帐户的情况下，就需要通过其它途径来做好防御工作了。首先要给GUEST设一个强壮的密码，然后详细设置GUEST帐户对物理路径的访问权限。25防火墙技术防火墙网络安全的屏障，配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指一个由软件或和硬件设备组合而成，处于企业或网络群体计算机与外界通道之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。当一个网络接上INTERNET之后，系统的安全除了考虑计算机病毒、系统的健壮性之外，更主要的是防止非法用户的入侵，而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有安全软件如口令、加密、身份认证配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分，可实现内部网重点网段的隔离的影响。为了让大家更好地使用防火墙，我们从反面列举2个有代表性的失败案例。例1未制定完整的企业安全策略网络环境某中型企业购买了适合自己网络特点的防火墙，刚投入使用后，发现以前局【4】，从而降低了局部重点或敏感网络安全问题对全局网络造成11域网中肆虐横行的蠕虫病毒不见了，企业网站遭受拒绝服务攻击的次数也大大减少了，为此，公司领导特意表扬了负责防火墙安装实施的信息部。该企业网络环境如图21所示图21企业网络环境图该企业内部网络的核心交换机是带路由模块的三层交换机，出口通过路由器和ISP连接。内部网划分为5个VLAN，VLAN1、VLAN2和VLAN3分配给不同的部门使用，不同的VLAN之间根据部门级别设置访问权限；VLAN4分配给交换机出口地址和路由器使用；VLAN5分配给公共服务器使用。在没有加入防火墙之前，各个VLAN中的PC机能够通过交换机和路由器不受限制地访问INTERNET。加入防火墙后，给防火墙分配一个VLAN4中的空闲IP地址，并把网关指向路由器；将VLAN5接入到防火墙的一个网口上。这样，防火墙就把整个网络分为3个区域内部网、公共服务器区和外部网，三者之间的通信受到防火墙安全规则的限制。问题描述防火墙投入运行后，实施了一套较为严格的安全规则，导致公司员工无法使用QQ聊天软件，于是没过多久就有员工自己拨号上网，导致感染了特洛依木马和蠕虫等病毒，并立刻在公司内部局域网中传播开来，造成内部网大面积瘫痪。问题分析我们知道，防火墙作为一种保护网络安全的设备，必须部署在受保护网络的边界处，只有这样防火墙才能控制所有出入网络的数据通信，达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一，有很多出入口，那么只部署一台防火墙是不够的。在本案例中，防火墙投入使用后，没有禁止私自拨号上网行为，使得许多PC机通过电话线和INTERNET相连，导致网络边界不惟一，入侵者可以通过攻击这些PC机然后进一步攻击内部网络，从而成功地避开了防火墙。解决办法根据自己企业网的特点，制定一整套安全策略，并彻底地贯彻实施。比如说，12制定一套安全管理规章制度，严禁员工私自拨号上网同时封掉拨号上网的电话号码，并购买检测拨号上网的软件，这样从管理和技术上杜绝出现网络边界不惟一的情况发生。另外，考虑到企业员工的需求，可以在防火墙上添加按照时间段生效的安全规则，在非工作时间打开QQ使用的TCP/UDP端口，使得企业员工可以在工余时间使用QQ聊天软件。例2未考虑与其他安全产品的配合使用问题描述某公司购买了防火墙后，紧接着又购买了漏洞扫描和IDS（入侵检测系统）产品。当系统管理员利用IDS发现入侵行为后，必须每次都要手工调整防火墙安全策略，使管理员工作量剧增，而且经常调整安全策略，也给整个网络带来不良影响。问题分析选购防火墙时未充分考虑到与其他安全产品如IDS的联动功能，导致不能最大程度地发挥安全系统的作用。解决办法购买防火墙前应查看企业网是否安装了漏洞扫描或IDS等其他安全产品，以及具体产品名称和型号，然后确定所要购买的防火墙是否有联动功能（即是否支持其他安全产品，尤其是IDS产品），支持的是哪些品牌和型号的产品，是否与已有的安全产品名称相符，如果不符，最好不要选用，而选择能同已有安全产品联动的防火墙。这样，当IDS发现入侵行为后，在通知管理员的同时发送消息给防火墙，由防火墙自动添加相关规则，把入侵者拒之门外。26数据加密与用户授权访问控制技术与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击，虽无法避免，但却可以有效地检测；而对于被动攻击，虽无法检测，但却可以避免，实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法，这种变换是对称密钥算法”。这样的密钥必须秘密保管，只能为授权用户所知，授权用户既可以用该密钥加密信急，也可以用该密钥解密信息，DES是对称加密算法中最具代表性的算法。在公钥加密算法中，公钥是公开的，任何人可以用公钥加密信息，再将密文发送给私钥拥有者。私钥是保密的，用于解密其接收的公钥加密过的信息的公钥加密算法NRSA是目前使用比较广泛的加密算法。【5】。典型27入侵检测系统入侵检测系统INTRUSIONDETECTIONSYSTEM，IDS是从多种计算机系统及网络系统中收集信息，再通过此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门，它能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击在入侵攻击过程中，能减少入侵攻击所造成的损失；在被入侵攻击后，收集入13侵攻击的相关信息，作为防范系统的知识，添加入策略集中，增强系统的防范能力，避免系统再次受到同类型的入侵【6】。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。28病毒防患技术随着计算机技术的不断发展，计算机病毒变得越来越复杂和高级，对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件，从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上，即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒，一旦病毒入侵网络或者从网络向其它资源传染，网络防病毒软件会立刻检测到并加以删除【7】。143防火墙技术31防火墙的定义防火墙是指设置在不同网络或网络安全域之间信息的唯一出入口,能根据网络的安全政策控制允许拒绝监测出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。INTERNET防火墙是一个或一组系统，它能增强机构内部网络的安全性，用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取，防火墙系统还决定了哪些内部服务可以被外界访问，外界的哪些人可以访问内部的服务，以及哪些外部服务何时可以被内部人员访问。要使一个防火墙有效，所有来自和去往INTERNET的信息都必须经过防火墙并接受检查。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。但是，防火墙系统一旦被攻击突破或迂回绕过，就不能提供任何保护了。32防火墙的功能防火墙作为阻塞点,控制点能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略,通过以防火墙为中心的安全方案配置,能将所有安全软件如口令加密身份认证审计等配置在防火墙上，对网络存取和访问进行监控审计所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据,当发生可疑动作时，防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。防止内部信息的外泄，通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离,而限制了局部重点或敏感网络安全问题对全局网络造成的影响。33防火墙的类型331包过滤技术防火墙包过滤型防火墙PACKETFILTERFIREWALL通常建立在路由器上，在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型防火墙工作在网络层，基于单个IP包实施网络控制。它对所收到的IP数据包的源地址、目的地址、TCP数据分组或UDP报文的源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与网络管理员预先设定的访问控制表进行比较，确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。这种防火墙的优点是简单、方便、速度快、透明性好，对网络性能影响不大，可以用于禁止外部不合法用户对企业内部网的访问，也可以用来禁止访问某些服务类型，但是不能识别内15容有危险的信息包，无法实施对应用级协议的安全处理。332代理服务器防火墙它作用在应用层,其特点是完全“阻隔“了网络通信流通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用,实际中的应用网关通常由专用工作站实现【8】。这种技术使得外部网络与内部网络之间需要建立的连接必须通过代理服务器的中间转换，实现了安全的网络访问，并可以实现用户认证、详细日志、审计跟踪和数据加密等功能，实现协议及应用的过滤及会话过程的控制，具有很好的灵活性。333复合型防火墙复合型防火墙就是把包过滤、代理服务和许多其他的网络安全防护功能结合起来，形成新的网络安全平台，以提高防火墙的灵活性和安全性。33防火墙的工作原理331包过滤防火墙包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。包过滤防火墙的工作原理是系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。（如图31所示）缺点1）过滤规则难以配置和测试。2）包过滤只访问网络层和传输层的信息，访问信息有限，对网络更高协议层的信息无理解能力。3）对一些协议，如UDP和RPC难以有效的过滤。图31包过滤防火墙332应用网关防火墙应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破客户机服务器模式实现的。每个客户机服务器通信需要两个连接一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。（如图32所示）优点它将内部用户和外界隔离开来，使得从外面只能看到代理服务器而看不到任何内16部资源。与包过滤技术相比，代理技术是一种更安全的技术缺点在应用支持方面存在不足，执行速度较慢。【9】。图32应用网关防火墙333状态监视技术状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。（如图33所示）图33状态检测防火墙334复合型防火墙复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。（如图34所示）图34复合型防火墙34防火墙的初始配置像路由器一样，在使用之前，防火墙也需要经过基本的初始配置。但因各种防火墙的初17始配置【10】基本类似，所以在此仅以CISCOPIX防火墙为例进行介绍。防火墙的初始配置也是通过控制端口（CONSOLE）与PC机（通常是便于移动的笔记本电脑）的串口连接，再通过WINDOWS系统自带的超级终端（HYPERTERMINAL）程序进行选项配置。防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样，参见图31所示。图35防火墙配置接口防火墙除了以上所说的通过控制端口（CONSOLE）进行初始配置外，也可以通过TELNET和TFFP配置方式进行高级配置，但TELNET配置方式都是在命令方式中配置，难度较大，而TFFP方式需要专用的TFFP服务器软件，但配置界面比较友好。防火墙与路由器一样也有四种用户配置模式，即普通模式（UNPRIVILEGEDMODE）、特权模式（PRIVILEGEDMODE）、配置模式（CONFIGURATIONMODE）和端口模式（INTERFACEMODE），进入这四种用户模式的命令也与路由器一样普通用户模式无需特别命令，启动后即进入；进入特权用户模式的命令为“ENABLE“；进入配置模式的命令为“CONFIGTERMINAL“；而进入端口模式的命令为“INTERFACEETHERNET（）“。不过因为防火墙的端口没有路由器那么复杂，所以通常把端口模式归为配置模式，统称为“全局配置模式“。防火墙的具体配置步骤如下1将防火墙的CONSOLE端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上，参见图1。2打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。3运行笔记本电脑WINDOWS系统中的超级终端（HYPERTERMINAL）程序（通常在“附件“程序组中）。对超级终端的配置与交换机或路由器的配置一样，参见本教程前面有关介绍。4当PIX防火墙进入系统后即显示“PIXFIREWALL“的提示符，这就证明防火墙已启动18成功，所进入的是防火墙用户模式。可以进行进一步的配置了。5输入命令ENABLE,进入特权用户模式，此时系统提示为PIXFIREWALL。6输入命令CONFIGURETERMINAL,进入全局配置模式，对系统进行初始化设置。（1）首先配置防火墙的网卡参数（以只有1个LAN和1个WAN接口的防火墙配置为例）INTERFACEETHERNET0AUTO0号网卡系统自动分配为WAN网卡，“AUTO“选项为系统自适应网卡类型INTERFACEETHERNET1AUTO（2）配置防火墙内、外部网卡的IP地址IPADDRESSINSIDEIP_ADDRESSNETMASKINSIDE代表内部网卡IPADDRESSOUTSIDEIP_ADDRESSNETMASKOUTSIDE代表外部网卡（3）指定外部网卡的IP地址范围GLOBAL1IP_ADDRESSIP_ADDRESS（4）指定要进行转换的内部地址NAT1IP_ADDRESSNETMASK（5）配置某些控制选项CONDUITGLOBAL_IPPORTPORTPROTOCOLFOREIGN_IPNETMASK其中，GLOBAL_IP指的是要控制的地址；PORT指的是所作用的端口，0代表所有端口；PROTOCOL指的是连接协议，比如TCP、UDP等；FOREIGN_IP表示可访问的GLOBAL_IP外部IP地址；NETMASK为可选项，代表要控制的子网掩码。7配置保存WRMEM8退出当前模式此命令为EXIT，可以任何用户模式下执行，执行的方法也相当简单，只输入命令本身即可。它与QUIT命令一样。下面三条语句表示了用户从配置模式退到特权模式，再退到普通模式下的操作步骤。PIXFIREWALLCONFIGEXITPIXFIREWALLEXITPIXFIREWALL9查看当前用户模式下的所有可用命令SHOW，在相应用户模式下键入这个命令后，即显示出当前所有可用的命令及简单功能描述。10查看端口状态SHOWINTERFACE，这个命令需在特权用户模式下执行，执行后即显示出防火墙所有接口配置情况。11查看静态地址映射SHOWSTATIC，这个命令也须在特权用户模式下执行，执行后显19示防火墙的当前静态地址映射情况。35过滤型防火墙的访问控制表（ACL）配置除了以上介绍的基本配置外，在防火墙的安全策略中最重要还是对访问控制列表（ACL）进行配有关置。下面介绍一些用于此方面配置的基本命令。1ACCESSLIST用于创建访问规则这一访问规则配置命令要在防火墙的全局配置模式中进行。同一个序号的规则可以看作一类规则，同一个序号之间的规则按照一定的原则进行排列和选择，这个顺序可以通过SHOWACCESSLIST命令看到。在这个命令中，又有几种命令格式，分别执行不同的命令。（1）创建标准访问列表命令格式ACCESSLISTNORMALSPECIALLISTNUMBER1PERMITDENYSOURCEADDRSOURCEMASK（2）创建扩展访问列表命令格式ACCESSLISTNORMALSPECIALLISTNUMBER2PERMITDENYPROTOCOLSOURCEADDRSOURCEMASKOPERATORPORT1PORT2DESTADDRDESTMASKOPERATORPORT1PORT2ICMPTYPEICMPCODELOG（3）删除访问列表命令格式NOACCESSLISTNORMALSPECIALALLLISTNUMBERSUBITEM上述命令参数说明如下NORMAL指定规则加入普通时间段。SPECIAL指定规则加入特殊时间段。LISTNUMBER1是1到99之间的一个数值，表示规则是标准访问列表规则。LISTNUMBER2是100到199之间的一个数值，表示规则是扩展访问列表规则。PERMIT表明允许满足条件的报文通过。DENY表明禁止满足条件的报文通过。PROTOCOL为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。SOURCEADDR为源IP地址。SOURCEMASK为源IP地址的子网掩码，在标准访问列表中是可选项，不输入则代表通配位为0000。DESTADDR为目的IP地址。DESTMASK为目的地址的子网掩码。OPERATOR端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有20等于（EQ）、大于（GT）、小于（LT）、不等于（NEQ）或介于（RANGE）；如果操作符为RANGE，则后面需要跟两个端口。PORT1在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值（如TELNET）或065535之间的一个数值。PORT2在协议类型为TCP或UDP且操作类型为RANGE时出现；可以为关键字所设定的预设值（如TELNET）或065535之间的一个数值。ICMPTYPE在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值（如ECHOREPLY）或者是0255之间的一个数值。ICMPCODE在协议为ICMP，且没有选择所设定的预设值时出现；代表ICMP码，是0255之间的一个数值。LOG表示如果报文符合条件，需要做日志。LISTNUMBER为删除的规则序号，是1199之间的一个数值。SUBITEM指定删除序号为LISTNUMBER的访问列表中规则的序号。例如，现要在华为的一款防火墙上配置一个“允许源地址为1020100网络、目的地址为1020300网络的WWW访问，但不允许使用FTP“的访问规则。相应配置语句只需两行即可，如下QUIDWAYCONFIGACCESSLIST100PERMITTCP10201002550001020300255000EQWWWQUIDWAYCONFIGACCESSLIST100DENYTCP10201002550001020300255000EQFTP2CLEARACCESSLISTCOUNTERS清除访问列表规则的统计信息命令格式CLEARACCESSLISTCOUNTERSLISTNUMBER这一命令必须在特权用户模式下进行配置。LISTNUMBER参数是用指定要清除统计信息的规则号，如不指定，则清除所有的规则的统计信息。如要在华为的一款包过滤路由器上清除当前所使用的规则号为100的访问规则统计信息。访问配置语句为CLEARACCESSLISTCOUNTERS100如有清除当前所使用的所有规则的统计信息，则以上语句需改为QUIDWAYCLEARACCESSLISTCOUNTERS3IPACCESSGROUP使用此命令将访问规则应用到相应接口上。使用此命令的NO形式来删除相应的设置，对应格式为IPACCESSGROUPLISTNUMBERINOUT21此命令须在端口用户模式下配置，进入端口用户模式的命令为INTERFACEETHERNET（），括号中为相应的端口号，通常0为外部接口，而1为内部接口。进入后再用IPACCESSGROUP命令来配置访问规则。LISTNUMBER参数为访问规则号，是1199之间的一个数值（包括标准访问规则和扩展访问规则两类）；IN表示规则应用于过滤从接口接收到的报文；而OUT表示规则用于过滤从接口转发出去的报文。一个接口的一个方向上最多可以应用20类不同的规则；这些规则之间按照规则序号的大小进行排列，序号大的排在前面，也就是优先级高。对报文进行过滤时，将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以，建议在配置规则时，尽量将对同一个网络配置的规则放在同一个序号的访问列表中；在同一个序号的访问列表中，规则之间的排列和选择顺序可以用SHOWACCESSLIST命令来查看。例如将规则100应用于过滤从外部网络接口上接收到的报文，配置语句为（同样为在倾为包过滤路由器上）IPACCESSGROUP100IN如果要删除某个访问控制表列绑定设置，则可用NOIPACCESSGROUPLISTNUMBERINOUT命令。4SHOWACCESSLIST此配置命令用于显示包过滤规则在接口上的应用情况。命令格式为SHOWACCESSLISTALLLISTNUMBERINTERFACEINTERFACENAME这一命令须在特权用户模式下进行配置，其中ALL参数表示显示所有规则的应用情况，包括普通时间段内及特殊时间段内的规则；如果选择LISTNUMBER参数，则仅需显示指定规则号的过滤规则；INTERFACE表示要显示在指定接口上应用的所有规则序号；INTERFACENAME参数为接口的名称。使用此命令来显示所指定的规则，同时查看规则过滤报文的情况。每个规则都有一个相应的计数器，如果用此规则过滤了一个报文，则计数器加1；通过对计数器的观察可以看出所配置的规则中，哪些规则是比较有效，而哪些基本无效。例如，现在要显示当前所使用序号为100的规则的使用情况，可执行QUIDWAYSHOWACCESSLIST100语句即可，随即系统即显示这条规则的使用情况，格式如下USINGNORMALPACKETFILTERINGACCESSRULESNOW100DENYICMP1010000255255ANYHOSTREDIRECT3MATCHES,252BYTESRULE1100PERMITICMP1010000255255ANYECHONOMATCHESRULE2100DENYUDPANYANYEQRIPNOMATCHESRULE3225SHOWFIREWALL此命令须在特权用户模式下执行，它显示当前防火墙状态。命令格式非常简单，也为SHOWFIREWALL。这里所说的防火墙状态，包括防火墙是否被启用，启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。6TELNET这是用于定义能过防火配置控制端口进行远程登录的有关参数选项，也须在全局配置用户模式下进行配置。命令格式为TELNETIP_ADDRESSNETMASKIF_NAME其中的IP_ADDRESS参数是用来指定用于TELNET登录的IP地址，NETMASK为子网掩码，IF_NAME用于指定用于TELNET登录的接口，通常不用指定，则表示此IP地址适用于所有端口。如TELNET19216811如果要清除防火墙上某个端口的TELNET参数配置，则须用CLEARTELNET命令，其格式为CLEARTELNETIP_ADDRESSNETMASKIF_NAME，其中各选项说明同上。它与另一个命令NOTELNET功能基本一样，不过它是用来删除某接口上的TELNET配置，命令格式为NOTELNETIP_ADDRESSNETMASKIF_NAME。如果要显示当前所有的TELNET配置，则可用SHOWTELNET命令。最简单的防火墙配置，就是直接在内部网和外部网之间加装一个包过滤路由器或者应用网关。为更好地实现网络安全，有时还要将几种防火墙技术组合起来构建防火墙系统。36双宿主机网关DUALHOMEDGATEWAY这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络，又称堡垒主机。堡垒主机上运行着防火墙软件通常是代理服务器，可以转发应用程序，提供服务等。双宿主机网关有一个致命弱点，一旦入侵者侵入堡垒主机并使该主机只具有路由器功能，则任何网上用户均可以随便访问有保护的内部网络如图36所示。23图36双宿主机网关37屏蔽主机网关SCREENEDHOSTGATEWAY屏蔽主机网关易于实现，安全性好，应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡，与内部网络连接如图37所示。通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从INTERNET惟一可以访问的主机，确保了内部网络不受未被授权的外部用户的攻击。而INTRANET内部的客户机，可以受控制地通过屏蔽主机和路由器访问INTERNET图37屏蔽主机网关双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主机有两块网卡，一块连接内部网络，一块连接包过滤路由器如图38所示。双宿堡垒主机在应用层提供代理服务，与单宿型相比更加安全。图38双宿堡垒主机38屏蔽子网SCREENEDSUBNET这种方法是在INTRANET和INTERNET之间建立一个被隔离的子网，用两个包过滤路由器将这一子网分别与INTRANET和INTERNET分开。两个包过滤路由器放在子网的两端，在子网内构成一个“缓冲地带”如图39，两个路由器一个控制INTRANET数据流，另一个控制INTERNET数据流，INTRANET和INTERNET均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机，为内部网络和外部网络的互相访问提供代理服务，但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向INTERNET公开的服务器，像WWW、FTP、MAIL等INTERNET服务器也可安装在屏蔽子网内，这样无论是外部用户，还是内部用户都可访问。这种结构的防火墙安全性能高，具有很强的抗攻击能力，但需要的设备多，造价高。图39屏蔽子网当然，防火墙本身也有其局限性，如不能防范绕过防火墙的入侵，像一般的防火墙不能防止受到病毒感染的软件或文件的传输难以避免来自内部的攻击等等。总之，防火墙只是一种整体安全防范策略的一部分，仅有防火墙是不够的，安全策略还必须包括全面的安全准则，即网络访问、本地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全总结计算机网络的安全问题越来越受到人们的重视，一个安全的计算机网络系统的保护不仅和系统管理员的系统安全知识有关，而且和每个使用者的安全操作等都有关系。网络安全是动态的，新的INTERNET黑客站点、病毒与安全技术每日剧增，世界上不存在绝对安全的网络系统，随着计算机网络技术的进一步发展，网络安全防护技术也必然随着网络应用的发展而不断发展。防火墙不能完全解决网络安全的全部问题，如不能防范内部攻击等，因此还需要考虑其他技术的和非技术的因素，如身份鉴别，信息加密术，提高网络管理人员的安全意识等，总之，防火墙是网络安全的第一道重要的安全屏障，如何提高防火墙的防护能力并保证系统的高速高效运行，不断提高网络安全水平，这将是一个随着网络技术的发展而不断研究的课题。致谢感谢我的导师刘鹏老师，他严谨细致、一丝不苟的作风一直是我工作、学习中的榜样；他们循循善诱的教导和不拘一格的思路给予我无尽的启迪。感谢我的室友们，从遥远的家来到这个陌生的城市里，是你们和我共同维系着彼此之间兄弟般的感情，维系着寝室那份家的融洽。三年了，仿佛就在昨天。三年里，我们没有红过脸，没有吵过嘴，没有发生上大学前所担心的任何不开心的事情。只是今后大家就难得再聚在一起吃每年元旦那顿饭了吧，没关系，各奔前程，大家珍重。愿离开我们寝室的人开开心心。我们在一起的日子，我会记一辈子的。感谢我的爸爸妈妈，焉得谖草，言树之背，养育之恩，无以回报，你们永远健康快乐是我最大的心愿。在论文即将完成之际，我的心情无法平静，从不知道，到开始进入课题到论文的完成，再到顺利完成了，有多少可敬的师长、同学、朋友给了我无言的帮助，在这里请接受我诚意的谢意参考文献【1】张斌黑客与反黑客北京邮电大学出版社1991【2】石淑华计算机网络安全技术北京人民邮电出版社1992【3】肖新峰TCP/IP协议与网络管理,北京清华大学出版社1995【4】李军信息网络安全2004【5】陈爱民计算机的安全与保密北京电子工业出版社1996【6】蒋建春网络安全入侵检测研究综述软件学报1991【7】老聃安全网关网络边界防护的利器2003【8】陈平电脑2003合订本西南师范大学出版社2004标签乱码氓蔫乌贬抚铂础薪棱驭银痹氖了簿调琐习搀灸耀藕亿帽扦馋拿师暗藕唬燥厢泄逾盅瓦盼栅食延盏高烙匝诲土隧宅爆碎混定烈栈勇轴溪瞧鳖架泰苔妊望