防火墙技术分析与研究 毕业论文.doc

山东广播电视大学毕业论文（设计）评审表 题 目_ 防火墙技术分析与研究 _ _姓 名 _ _ 教育层次 _专科_学 号 _1137001401533_ 省级电大 _专 业 _ 计算机信息管理_ 市级电大 _指导教师 _ 教 学 点 _防火墙技术分析与研究目 录摘要1综 述1一、防火墙的概述2（一）防火墙的概述2（二） 防火墙的背景与发展2（三） 防火墙的种类与类型21.数据包过滤型防火墙22.应用级网关型防火墙33.代理服务型防火墙34.复合型防火墙4（四） 防火墙的功能41.访问控制42.防御功能53.管理功能54.记录和报表功能5二、 网络安全6（一） 网络安全问题61.网络安全面临的主要威胁62.影响网络安全的因素6（二）网络安全措施71.完善计算机安全立法72.网络安全的关键技术73.制定合理的网络管理措施8三、防火墙技术的发展趋势8（一） 防火墙包过滤技术发展趋势8（二）防火墙的体系结构发展趋势8（三）防火墙的系统管理发展趋势9结束语9参考文献：10防火墙技术分析与研究摘要防火墙是目前网络安全领域广泛使用的设备，其主要目的就是限制非法流量，以保护内部子网。从部署位置来看，防火墙往往位于网络出口，是内部网和外部网之间的唯一通道，因此提高防火墙的性能、避免其成为瓶颈，就成为防火墙产品能否成功的一个关键问题。防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。本文的重点是介绍了防火墙的类型与主要功能，通过防火墙的数据包进行统计分析，并根据统计数据动态调整过滤规则的相对次序，使得使用最频繁的规则位于规则列表的最前面，使其和当前网络流量特性相一致，从而达到降低后继数据包规则匹配时间来提高防火墙性能之目的。 关键词：计算机 防火墙 internet 安全 技术特征综 述防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互连环境之中，尤以internet网络为最甚。internet的迅猛发展，使得防火墙产品在短短的几年内异军突起，很快形成了一个产业。防火墙是一种网络技术，最初它被定为一个实施某些安全策略保护一个可信网络，用以防止来自一个不可信的网络（如internet）的攻击的装置。防火墙就是一个或多组网络设备，可用来在两个或多个网络间加强访问控制。它的实现有好多种方式，有的实现还是很复杂的，但基本原理却很简单。可以把它想象成一个开关，一个是用来阻止输入，另一个用来允许输入。防火墙可以设置在不同的网络之间（如可信任的企业内部网和不可信的公共网）或网络安全域之间。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全策略控制（允许、拒绝、检测）出入网络的信息流，且本身也具有较强的攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效的监控了内部网和internet之间的任何活动，保证了内部网络的安全。一、防火墙的概述（一）防火墙的概述人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所。在网络上，如果一个网络接到了internet上面，它的用户就可以访问外部世界并与之通信。但同时，外部世界也同样可以访问该网络并与之交互。为安全起见，可以在该网络和internet之间插入一个中介系统，竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵，提供扼守本网络的安全和审计的唯一关卡，它的作用与建筑的防火砖墙有类似之处，因此我们把这个屏障就叫做“防火墙”。防火墙就是一个位于电脑和它所连接的网络之间的软件。该电脑流入流出的所有网络通信均要经过此防火墙。防火墙是一个或一组系统，它在网络之间执行访问控制策略。实现防火墙的实际方式各不相同，但是在原则上，防火墙可以被认为是这样一对机制：一种机制是拦阻传输流通行，另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行，而另一些防火墙则偏重允许传输流通过。（2） 防火墙的背景与发展第一代防火墙技术几乎与路由器同时出现，采用了包过滤(packet filter)技术。第二、三代防火墙是在1989年，贝尔实验室的dave presotto和howard trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙，应用层防火墙(代理防火墙)的初步结构。 第四代防火墙是在1992年，由usc信息科学院的bobbraden开发出了基于动态包过滤(dynamic packet filter)技术的第四代防火墙，后来演变为目前所说的状态监视(stateful inspection)技术。1994年，以色列的checkpoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙在1998年，是nai公司推出了一种自适应代理(adaptive proxy)技术，并在其产品gauntlet firewall for nt中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。（3） 防火墙的种类与类型防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。 1.数据包过滤型防火墙 数据包过滤(packet filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(access control table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。数据包过滤防火墙的优点：不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。数据包过滤防火墙的缺点：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及ip的端口号都在数据包的头部，很有可能被窃听或假冒。据以过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如udp、rpc一类的协议；另外，大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差；对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。 2.应用级网关型防火墙应用级网关(application level gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。 3.代理服务型防火墙代理服务(proxy service)也称链路级网关或tcp通道(circuit level gateways or tcp tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用。同时也常结合入过滤器的功能。它工作在osi模型的最高层，掌握着应用系统中可用作安全决策的全部信息。 4.复合型防火墙由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。（4） 防火墙的功能防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标电脑。可以将防火墙配置成许多不同保护级别。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标电脑上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。 1.访问控制功能通过防火墙的包内容设置:包过滤防火墙的过滤规则集由若干条规则组成，它应涵盖对所有出入防火墙的数据包的处理方法，对于没有明确定义的数据包，应该有一个缺省处理方法;过滤规则应易于理解，易于编辑修改;同时应具备一致性检测机制，防止冲突。ip包过滤的依据主要是根据ip包头部信息如源地址和目的地址进行过滤，如果ip头中的协议字段表明封装协议为icmp、tcp或udp，那么再根据icmp头信息(类型和代码值)、tcp头信息(源端口和目的端口)或udp头信息(源端口和目的端口)执行过滤，其他的还有mac地址过滤。应用层协议过滤要求主要包括ftp过滤、基于rpc的应用服务过滤、基于udp的应用服务过滤要求以及动态包过滤技术等。 在应用层提供代理支持:指防火墙是否支持应用层代理，如http、ftp、telnet、snmp等。 在传输层提供代理支持:指防火墙是否支持传输层代理服务。允许ftp命令防止某些类型文件通过防火墙:指是否支持ftp文件类型过滤。 用户操作的代理类型:应用层高级代理功能，如http、pop3 。 支持网络地址转换(nat):nat指将一个ip地址域映射到另一个ip地址域，从而为终端主机提供透明路由的方法。nat常用于私有地址域与公有地址域的转换以解决ip地址匮乏问题。 支持硬件口令、智能卡: 是否支持硬件口令、智能卡等，这是一种比较安全的身份认证技术。 2.防御功能支持病毒扫描: 是否支持防病毒功能，如扫描电子邮件附件中的doc和zip文件，ftp中的下载或上载文件内容，以发现其中包含的危险信息。 提供内容过滤: 是否支持内容过滤，信息内容过滤指防火墙在http、ftp、smtp等协议层，根据过滤条件，对信息流进行控制。防火墙控制的结果是:允许通过、修改后允许通过、禁止通过、记录日志、报警等。 过滤内容主要指url、http携带的信息:java applet、 javascript、activex和电子邮件中的subject、to、from域等。 能防御的dos攻击类型:拒绝服务攻击(dos)就是攻击者过多地占用共享资源，导致服务器超载或系统资源耗尽，而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警等机制，可在一定程度上防止或减轻dos黑客攻击。 阻止activex、java、cookies、javascript侵入:属于http内容过滤，防火墙应该能够从http页面剥离java applet、activex等小程序及从script、php和asp等代码检测出危险代码或病毒，并向浏览器用户报警。同时，能够过滤用户上载的cgi、asp等程序，当发现危险代码时，向服务器报警。 3.管理功能通过集成策略集中管理多个防火墙:是否支持集中管理，防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理，管理员的行为主要包括:通过防火墙的身份鉴别，编写防火墙的安全规则，配置防火墙的安全参数，查看防火墙的日志等。防火墙的管理一般分为本地管理、远程管理和集中管理等。本地管理:是指管理员通过防火墙的console口或防火墙提供的键盘和显示器对防火墙进行配置管理。 远程管理:是指管理员通过以太网或防火墙提供的广域网接口对防火墙进行管理，管理的通信协议可以基于ftp、telnet、http等。 支持带宽管理:防火墙能够根据当前的流量动态调整某些客户端占用的带宽。 4.记录和报表功能 防火墙处理完整日志的方法:防火墙规定了对于符合条件的报文做日志，应该提供日志信息管理和存储方法。 提供自动日志扫描:指防火墙是否具有日志的自动分析和扫描功能，这可以获得更详细的统计结果，达到事后分析、亡羊补牢的目的。提供自动报表，日志报告书写器:防火墙实现的一种输出方式，提供自动报表和日志报告功能。 警告通知机制:防火墙应提供告警机制，在检测到入侵网络以及设备运转异常情况时，通过告警来通知管理员采取必要的措施，包括e-mail、呼机、手机等。 提供简要报表(按照用户id或ip 地址):防火墙实现的一种输出方式，按要求提供报表分类打印。 提供实时统计:防火墙实现的一种输出方式，日志分析后所获得的智能统计结果，一般是图表显示。2、 网络安全（1） 网络安全问题 安全，通常是指只有被授权的人才能使用其相应资源的一种机制。我国对于计算机安全的定义是：“计算机系统的硬件、软件、数据受到保护，不因偶然的或恶意的原因而遭到破坏、更改、显露，系统能连续正常运行。” 1.网络安全面临的主要威胁 一般认为，计算机网络系统的安全威胁主要来自计算机病毒、黑客的攻击和拒绝服务攻击三个方面。 1）计算机病毒的侵袭。当前，活性病毒达14000多种，计算机病毒侵入网络，对网络资源进行破坏，使网络不能正常工作，甚至造成整个网络的瘫痪。 2）黑客侵袭。即黑客非法进入网络非法使用网络资源。例如通过隐蔽通道进行非法活动；采用匿名用户访问进行攻击；通过网络监听获取网上用户账号和密码；非法获取网上传输的数据；突破防火墙等。 3）拒绝服务攻击。例如“点在邮件炸弹”，它的表现形式是用户在很短的时间内收到大量无用的电子邮件，从而影响正常业务的运行。严重时会使系统关机，网络瘫痪。 具体讲，网络系统面临的安全威胁主要有如下表现：身份窃取、非授权访问、数据窃取、拒绝服务、病毒与恶意攻击、冒充合法用户等。2.影响网络安全的因素从技术讲，计算机安全分为3种： （1）实体的安全。它保证硬件和软件本身的安全。 （2）运行环境的安全性。它保证计算机能在良好的环境里持续工作。 （3）信息的安全性。它保障信息不会被非法阅读、修改和泄漏。 随着网络的发展，计算机的安全问题也延伸到了计算机网络。 1.单机安全购买单机时，型号的选择；计算机的运行环境（电压、湿度、防尘条件、强电磁场以及自然灾害等）；计算机的操作等，这些都是影响单机安全性的因素。 3.网络安全 影响网络安全的因素有：节点的安全、数据的安全（保存和传输方面）、文件的安全等。（二）网络安全措施网络信息安全涉及方方面面的问题，是一个复杂的系统。一个完整的网络信息安全体系至少应包括三类措施：一是法律政策、规章制度以及安全教育等外部软环境。二是技术方面，如信息加密存储传输、身份认证、防火墙技术、网络防毒等。三是管理措施，包括技术与社会措施。主要措施有：提供实时改变安全策略的能力、实时监控企业安全状态、对现有的安全系统实施漏洞检查等，以防患于未然。这三者缺一不可，其中，法律政策是安全的基石，技术是安全的保障，管理和审计是安全的防线。1.完善计算机安全立法 我国先后出台的有关网络安全管理的规定和条例。但目前，在这方面的立法还远不能适应形势发展的需要,应该在对控制计算机犯罪的国内外立法评价的基础上，完善我国计算机犯罪立法，以便为确保我国计算机信息网络健康有序的发展提供强有力的保障。2.网络安全的关键技术(1)数据加密 加密就是把明文变成密文，从而使未被授权的人看不懂它。有两种主要的加密类型：私匙加密和公匙加密。(2)认证 对合法用户进行认证可以防止非法用户获得对公司信息系统的访问，使用认证机制还可以防止合法用户访问他们无权查看的信息。(3)防火墙技术 防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。 目前，防火墙采取的技术，主要是包过滤应用网关、子网屏蔽等。但是，防火墙技术在网络安全防护方面也存在一些不足，防火墙不能防止内部攻击防火墙不能取代杀毒软件，防火墙不易防止反弹端口木马攻击等。 (4)检测系统入侵检测技术是网络安全研究的一个热点，是一种积极主动的安全防护技术，提供了对内部入侵、外部入侵和误操作的实时保护，在网络系统受到危害之前拦截相应入侵。随着时代的发展，入侵检测技术将朝着三个方向发展:分布式入侵检测、智能化入侵检测和全面的安全防御方案。 (5)防病毒技术 随着计算机技术的发展，计算机病毒变得越来越复杂和高级，计算机病毒防范不仅仅是一个产品、一个策略或一个制度，它是一个汇集了硬件、软件、网络、以及它们之间相互关系和接口的综合系统。3.制定合理的网络管理措施（1）加强网络用户及有关人员的安全意识、职业道德和事业心、责任心的培养教育以及相关技术培训。（2）建立完善的安全管理体制和制度，以起到对管理人员和操作人员鼓励和监督的作用。（3）管理措施要标准化、规范化和科学化。三、防火墙技术的发展趋势 防火墙未来的技术发展趋势随着新的网络攻击的出现，防火墙技术也有一些新的发展趋势。这主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。（1） 防火墙包过滤技术发展趋势 1. 一些防火墙厂商把系统上运用的用户认证及其服务扩展到防火墙中，使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的，而包过滤技术的防火墙不具有。 2.多级过滤技术是防火墙采用多级过滤措施，并辅以鉴别手段。在分组过滤（网络层）一级，过滤掉所有的源路由分组和假冒的ip源地址；在传输层一级，遵循过滤规则，过滤掉所有禁止出或入的协议和有害数据包；在应用网关（应用层）一级，利用ftp、smtp等各种网关，控制和监测internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术，它可以弥补以上各种单独过滤技术的不足。 3.使防火墙具有病毒防护功能。现在通常被称之为“病毒防火墙”，当然目前主要还是在个人防火墙中体现，因为它是纯软件形式，更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播，比等待攻击的发生更加积极。（二）防火墙的体系结构发展趋势随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍，它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要，一些防火墙制造商开发了基于asic的防火墙和基于网络处理器的防火墙。从执行速度的角度看来，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了cpu的负担，该类防火墙的性能要比传统防火墙的性能好许多。与基于asic的纯硬件防火墙相比，基于网络处理器的防火墙具有软件色彩，因而更加具有灵活性。基于asic的防火墙使用专门的硬件处理网络数据流，比起前两种类型的防火墙具有更好的性能。但是纯硬件的asic防火墙缺乏可编程性，这就使得它缺乏灵活性，从而跟不上防火墙功能的快速发展。理想的解决方案是增加asic芯片的可编程性，使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。（三）防火墙的系统管理发展趋势 防火墙的系统管理也有一些发展趋势，主要体现在以下几个方面：（1）首先是集中式管理，分布式和分层的安全结构是将来的趋势。集中式管理可以降低管理成本，并保证在大型网络中安全策略的一致性。快速响应和快速防御也要求采用集中式管理系统。也就是目前所称的“分布式防火墙”和“嵌入式防火墙”。（2）强大的审计功能和自动日志分析功能。这两点的应用可以更早地发现潜在的威胁并预防攻击的发生。日志功能还可以管