关 键 词：

毕业设计论文

资源描述：

JSJ06-195@VB多层防火墙技术的研究-状态检测(源代码+系统+开题报告+中期报告),毕业设计论文

内容简介：

ntsnts我们自己编的个人防火墙的功能说明：一.基本功能1.监控本地主机Tcp通讯:事实监控本地tcp通讯端口状态,显示本地主机开放的端口号,远程主机的端口号,远程主机的IP地址等信息。2。系统预定义过滤规则：系统提供了三个预定义规则：1。低级：不过虑任何数据包；2。中级：过滤局域网数据包，防止局域网用户访问本地主机；3。高级：除了过滤局域网数据包外，还能阻止常用特若伊木马的攻击；3。用户制定义过滤规则：用户可以自己定义数据包过滤规则：1。自定义要过滤的远程主机的IP：2。自定义要过滤的远程主机的端口：3。自定义要过滤的本地主机的端口：4。自定义要过滤的特若伊木马的端口：用户可以根据上面的四条自定义自己的过滤规则。4。日志纪录：1。事实纪录允许通过的数据包的状态：远程主机IP，端口，本地端口，通讯状态，通讯时间等；2。事实纪录被过滤的数据包的状态：包括：被过滤的时间，被过滤的方式：用户手动，系统自动6。通讯控制根据通讯状态，用户可以手动禁止或允许通讯：如：禁止正在进行的通讯，禁止本机与外界的任何数据通讯7。系统通讯状态分析：通过对本地主机通讯纪录的分析，以图表的方式显示 系统的通讯状态：1。 的数据包的数 ，分 数据包：Ip包，ICMP包，TCP包，UDP包。2。 的数据包的数 ：分 数据包：Ip包，ICMP包，TCP包，UDP包。3。通讯的数据 在 5 的远程主机的信息：远程主机的端口号,远程主机的IP地址4。通讯的数据 在 5 的本地主机的端口号8。 能提 系统根据系统的 对可能 的数据通讯提 信息: 功能1. :主机提供Http,ftp,telnet, 1.用户可以自己 本地 的端口号 :HTTP,FTP,TELNET等2.实时监控用 的户机的状态:XX户机的XX端口正在currency1远程XX主机的XX端口“XX户机正在currency1远程XX主机XX端口开XX户机正在 包fi用户fl 的数据XX户机正在用通讯进行 ,如:telnet,ftp等3.用户可以手动止 开 功能ntsnts湖南文理学院计算机科学与技术系 学生毕业设计（论文）中期检查表 学生姓名 尹光銮 学 号 0151011273 指导教师 朱利群 选题情况 课题名称 多层防火墙技术的研究 状态检测 难易程度 偏难 适中 偏易 工作量 较大 合理 较小 符合规范化的要求 任务书 有 无 开题报告 有 无 外文翻译质量 优 良 中 差 学习态度、出勤情况 好 一般 差 工作进度 快 按计划进行 慢 中期工作汇报及解答问题情况 优 良 中 差 中期成绩 评定： 所在教研室 意见： 教研室主任（签字）： 系分管 负责人： 年 月 日 年 月 日 nts 本科生毕业论文 （ 设计 ） 开 题 报 告 书 题 目 多层防火墙技术的研究 状态检测 学生姓名 尹 光 銮 系 别 计 算 机 专业班级 计 0 1 1 0 5 班 指导老师 朱 利 群 2005 年 4 月 10 日 nts论文（设计）题目 多层防火墙技术的研究 状态检测 课题目的、意义、国内外有关研究动态： 通过本课题 的毕业设计，全面掌握开发防火墙的全过程及其相关的理论与技术，以达到锻炼与提高软件开发动手能力之目的。按照学校对毕业设计各环节的要求，在指导老师的指导下认真完成毕业设计的全部内容。 1. 课题任务 系统的设计 模块的划分及功能描述 表述层组件，中间层组件，数据层组件的生成 防火墙安全方法的设计 状态检测子模块的划分与设计 系统的测试 2. 课题意义 通过查阅国内外相关文献，了解多层防火墙的最新技术与动态，掌握防火墙设计的基本技能。 3. 国内外有关研究动态 目前国内外研究状态检测防火墙有两钟方法： 一种是直接把 IDS、病毒检测部分直接“做”到防火墙中，使防火墙具有（简单的） IDS 和病毒检测设备的功能。另一种是各个产品分立，但是通过某种通讯方式形成一个整体，即相关检测系统专职某一类安全事件的检测，一旦发现安全事件，则立即通知防火墙，由防火墙完成过滤和报告。第一种方法似乎前途不明确，因为 IDS 本身也是一个非常复杂的系统，且不说能不能“做”到防火墙里边去，即使成为防火墙的一部分，这样一个防火墙的效率也很难说。第二种方法在实现起来困难一些，而且很明显的是： IDS、病毒检测设备必须置于防火墙之外，如果置于防火墙 之内，就起不到相应效果了。这样一来， IDS 等设备本身的安全性又不得不成为研究的一个重点。 从趋势上看，未来的防火墙将位于网络级防火墙和应用级防火墙之间，也就是说，网络级防火墙将变得更加能够识别通过的信息，而应用级防火墙在目前的功能上则向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽查系统，可保护数据以加密方式通过，使所有组织可以放心地在节点间传送数据。 课题的主要内容（观点）、创新之处： 状态监视器作为防火墙技术其安全特性最佳，它采用了一个在网关上执行网络安全策略的软件引擎 ，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。 创新之处：在于它与其它安全方案不同，当用户访问到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定，安全报警器就会拒绝该访问，并作下记录向系统管理器报告网络状态。状态监视器的另 一个优点就是可以监测 RemoteProcedureCall和 User DatagrqamProtocol 类的端口信息。问题当然也有，即状态监视器的配置非常复杂，而且会降低网络的速度。 nts研究方法、设计方案或论文撰写提纲： 本系统的研究方法及设计方案如下： 状态检测防火墙，试图跟踪通过防火墙的网络连接和包，这样防火墙就可以使用一组附加的标准，以确定是否允许和拒绝通信。它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。下面是 状态检测工作机制 ： 1. 状态监测表建立 防火墙的状态检测表使用 ACK 来建 立会话， 当通过使用一个 SYN 包来建立一个会话时，防火墙先将这个数据包和规则库进行比较。如果通过了这个数据连接请求，它被添加到状态检测表里。这时需要设置一个时间溢出值，参考 CHECK-POINT FW-1 的时间值，将其值设定为 60 秒。然后防火墙期待一个返回的确认连接的数据包，当接收到如此的包的时候，防火墙将连接的时间溢出值设定为 3600 秒。对于返回的连接请求的数据包的类型需要做出判断，已确认其含有 SYN/ACK 标志。 2. 连接的关闭 当状态监测模块监测到一个 FIN 或一个 RST 包的时候，减少 时间溢出值从我们缺省设定的值 3600 秒减少到 50 秒。如果在这个周期内没有数据包交换，这个状态检测表项将会被删除，如果有数据包交换，这个周期会被重新设置到 50 秒。如果继续通讯，这个连接状态会被继续地以 50 秒的周期维持下去。这种设计方式可以避免一些 DOS 攻击，例如，一些人有意地发送一些 FIN 或 RST 包来试图阻断这些连接。 3. UDP 的连接维护 当一个完成规则检查的数据包通过防火墙时，这次会话被添加到状态检测表内，并设置一个时间溢出值，任何一个在这个时间值内返回的包都会被允许通过，当然它的 SRC/DST 的 IP 地址和 SRC/DST 的端口号是必须匹配的。 4. ICMP 的状态检测问题 在对做状态检测时是需要对 ICMP 的内容进行分析的。对于什么样的 ICMP 可以发出和放入在状态监测模块中如何确定是关键。 论文撰写提纲： 1、系统的需求分析 2、系统的建模分析及功能模块的划分 3、系统的编码 4、系统的调试 5、参考文献 6、总结与体会 nts完成期限和预期进度： 3 月 21 日 3 月 28 日（ 1 周） 3 月 25 日：师生见面会 文献资料检索，收集资料，问题定义，可行行分析，需求分析，书 写开题报告 3 月 28 日 4 月 18 日（ 3 周） 4 月 12 日：开题报告审查，提交论文 外文资料翻译，概要及详细设计，提交软件设计报告 4 月 18 日 5 月 1 日（ 2 周） 4 月 30 日：中期检查表 编写代码，系统设计，测试，完善程序，程序演示 5 月 1 日 5 月 15 日（ 2 周） 撰写毕业设计论文，修改装订，论文送审 5 月 16 日 5 月 30 日（ 2 周） 5 月 25 日：提交论文 上交毕业设计报告 (论文 )，整理文档，并准备答辩所用的所有材料，提交检查 5 月 31 日 6 月 15 日（ 2 周） 毕业答 辩，鉴定评 分 主要参考资料： 亨利曼凯 防火墙 珠海出版社 2004.1 福德 个人防火墙 人民邮电出版社 2002.8 WILLIAMR CHESWICK 防火墙与英特网的安全 北京机械出版社 2004.1 李静安 高级防火墙 ISAServer2000 北京铁道工业出版社 2002.1 朱辉雁 Windows 防火墙与网络封包截获技术 北京电子工业出版社 2002.7 （美）泰瑞威廉奥哥里瑞 防火墙原理与实例：网络安全 北京电子工业出版社 2004.7 黄文聪，严望佳 防火墙的选型，配置，安装和维护 清华大学出版社 2000.4 武国琪，唐逊 ISServer 2000 防火墙建置 中国青年出版社 2002.2 /pub/html/network/focus/firewall/ /safe/net/2005-03-30/3062.shtml 指导教师意见： 签名： 年 月 日 nts开 题 报 告 会 纪 要 时 间 地 点 与 会 人 员 姓 名 职务（职称） 姓 名 职务（职称） 姓 名 职务（职称） 会议记录摘要： 会议主持人： 记 录 人： 年 月 日 系工作小组意见 负责人签名： 年 月 日 nts 毕业论文 (设计 )成绩评定表 (一 ) 毕业论文 (设计 )题目 多层防火墙技术的研究 状态检测 学生姓名 尹光銮 专业班级 计算机系 01105班 学号 151011273 指导教师评语： 建议成绩： 指导教师签名： 年 月 日 nts 毕业论文 (设计 )成绩评定表 (二 ) 毕业论文 (设计 )题目 多层防火墙技术的研究 状态检测 学生姓名 尹光銮 专业班级 计算机系 01105班 学号 151011273 评阅人评语： 建议成绩： 评阅人签名： 年 月 日 nts 毕业论文 (设计 )成绩评定表 (三 ) 毕业论文 (设计 )题目 多层防火墙技术的研究 状态检测 学生姓名 尹光銮 专业班级 计算机系 01105班 学号 151011273 答辩时间 答辩地点 答 辩 小 组 成 员 姓名 职务 (职称 ) 姓名 职务 (职称 ) 姓名 职务 (职称 ) 答辩委员会评语： 答辩委员会主任签名： 年 月 日 系毕业论文 (设计 )工作领导小组审查意见： 评定成绩 组长签名： 年 月 日 nts湖南文理学院计算机科学与技术系 毕业设计 (论文 )外文资料翻译 学院 （ 系）： 湖南文理学院 专 业： 计算机科学与技术 姓 名： 尹 光 銮 学 号： 151011273 外文出处： Introduce Firewalls 附 件： 1.外文资料翻译译文； 2.外文原文 指导教师评语： 签名： 年 月 日 nts 1 附件 1：外文资料翻译译文 美国国家标准技术研究院商业部门特别出版社 800 10 摘要：美国国家标准技术研究院要特别感谢 CIAC 部门的 stephen weeber 先生，德国 DN-CERT 研究机构的 UweEllermann 先生和美国 Purdue 大学 David Curry先生能够提供本社关于这篇文章的文档和文稿。 介绍 防火墙 随着计算机网络技 术的突飞猛进，网络安全的问题已经日益突出地摆在各类用户的面前。仅从笔者掌握的资料表明，目前在互联网上大约有将近 20%以上的用户曾经遭受过黑客的困扰。尽管黑客如此猖獗，但网络安全问题至今仍没有能够引起足够的重视，更多的用户认为网络安全问题离自己尚远，这一点从大约有40%以上的用户特别是企业级用户没有安装防火墙 (Firewall)便可以窥见一斑，而所有的问题都在向大家证明一个事实，大多数的黑客入侵事件都是由于未能正确安装防火墙而引发的。 1. 防火墙的概念及作用 在互联网上防火墙是一种非常有效的网络安全模型，通 过它可以隔离风险区域 (即 Internet 或有一定风险的网络 )与安全区域 (局域网 )的连接，同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量，从而完成看似不可能的任务；仅让安全、核准了的信息进入，同时又抵制对企业构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使单位强化自己的网络安全政策。一般的防火墙都可以达到以下目的：一是可以限制他人进入 内部网络，过滤掉不安全服务和非法用户；二是防止入侵者接近你的防御设施；三是限定用户访问特殊站点；四是为监视 Internet 安全提供方便。由于防火墙假设了网络边界和服务，因此更适合于相对独立的网络，例如 Intranet 等种类相对集中的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上，在Internet 上的 Web 网站中，超过三分之一的 Web 网站都是由某种形式的防火墙加以保护，这是对黑客防范最严，安全性较强的一种方式，任何关键性的服务器，都建议放在防火墙之后。 nts 2 2.防火墙的架构与工作方式 定的 TCP/TP 功能。一个代理服务器本质上是一个应用层的网关，一个为特定网络应用而连接两个网络的网关。用户就一项 TCP/TP 应用，比如 Telnet 或者FTP，同代理服务器打交道，代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后，代理服务器连通远程主机，为两个通信点充当中继。整个过程可以对胜户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。最简单的情况是：它只由用户标识和口 防火墙可以使用户的网络划规划更加清晰明了，全面防止跨越权限的数据访问（因为有些人登录后的第一件 事就是试图超越权限限制）。如果没有防火墙的话，你可能会接到许许多多类似的报告，比如单位内部的财政报告刚刚被数万个 Email 邮件炸烂，或者用户的个人主页被人恶意连接向了 Playboy，而报告链接上却指定了另一家色情网站 一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的 IP 路由器，它通过对每一个到来的 IP 包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息，例如协议号、收发报文的 IP 地址和端口号、连接标志以至另外一些 IP 选项，对 IP包进行过滤。代理服务器 是防火墙中的一个服务器进程，它能够代替网络用户完成特令构成。但是，如果防火墙是通过 Internet 可访问的，应推荐用户使用更强的认证机制，例如一次性口令或回应式系统等。 屏蔽路由器的最大优点就是架构简单且硬件成本较低，而缺点则是建立包过滤规则比较困难，加之屏蔽路由器的管理成本及用户级身份认证的缺乏等。好在路由器生产商们已经认识到并开始着手解决这些问题，他们正在开发编辑包过滤规则的图形用户界面，制订标准的用户级身份认证协议，以提供远程身份认证拨入用户服务 (REDIUS)。 代理服务器的优点在于用户级的 身份认证、日志记录和帐号管理。其缺点关系到这样一个事实；要想提供全面的安全保证，就要对每一项服务都建立对应的应用层网关。这个事实严重地限制了新应用的采纲。 屏蔽路由器和代理服务器通常组合在一起构成混合系统，其中屏蔽路由器主要用来防止 IP 欺骗攻击。目前采用最广泛的配置是 Dualhomed 防火墙、被屏蔽主机型防火墙以及被屏蔽子网型防火墙。 nts 3 防火墙可以是非常简单的过滤器，也可能是精心配置的网关，但它们的原理是一样，都是监测并过滤所有通向外部网和从外部网传来的信息，防火墙保护着内部敏感的数据不被偷窃和破坏， 并记下来通讯发生的时间和操作等等，新一代的防火墙甚至可以阻止内部人员故意将敏感数据传输到外界。而防火墙通常是运行在一台单独的计算机之上的一个特别的软件，它可以识别并屏蔽非法的请求。例如一台 WWW 代理服务器，所有的请求都间接地由代理服务器处理，这台服务器不同于普通的代理服务器，它不会直接地处理请求，它会验证请求发出者的身份、请求的目的地和请求内容。如果一切符合要求的话，这个请求会被批准送到真正的 WWW 服务器上。当真正的 WWW 服务器处理完这个请求后并不会直接把结果发送给请求者，它会把结果送到代理服务器，代理服务 器会按照事先的规定检查这个结果是否违反了安全规定，当这一切都通过后，返回结果才会真正地送到请求者的手里。 3.防火墙的体系结构 (1): 屏蔽路由器 屏蔽路由器可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的惟一通道，要求所有的报文都必须在此通过检查。路由器上可以安装基于 IP 层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。单纯由屏蔽路由器构成的防火墙的危险包括路由器本身及路由器允许访问的主机。屏蔽路 由器的缺点是一旦被攻隐后很难发现，而且不能识别不同的用户。 (2): 双穴主机网关 双穴主机网关是用一台装有两块网卡的堡垒主机的做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件，可以转发应用程序，提供服务等。与屏蔽路由器相比，双穴主机网关堡垒主机的系统软件可用于维护护系统日志、硬件拷贝日志或远程日志。但弱点也比较突出，一旦黑客侵入堡垒主机并使其只具有路由功能，任何网上用户均可以随便访问内部网。 (3): 被屏蔽主机网关 (ScreenedGatewy) 屏蔽主机网关易于实现也最为安全。一个堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络惟一可直接到达的nts 4 主机，这确保了内部网络不受未被授权的外部用户的攻击。如果受保护网是一个虚拟扩展的本地网，即没有子网和路由器，那么内部网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由器。网关的基本控制策略由安装在上面的软件决定。如果攻击者没法登录到它上面，内网中的其余主机就会受到很大威胁。这与双穴主机网关受攻击时的情形差不多。 (4): 被屏蔽子网 (ScreenedSubnet) 被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中，两个分组过滤路由器放在子网的两端，在子网内构成一个 DNS，内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信。有的屏蔽子网中还设有一堡垒主机作为惟一可访问点，支持终端交互或作为应用网关代理。这种配置的危险仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。如果攻击者试图完全破坏防火墙，他必须重新配置连接三个网的路由 器，既不切断连接又不要把自己锁在外面，同时又不使自己被发现，这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它，则攻击会变得很困难。在这种情况下，攻击者得先侵入堡垒主机，然后进入内网主机，再返回来破坏屏蔽路由器，并且整个过程中不能引发警报。 4 防火墙的基本类型 如今市场上的防火墙林林总总，形式多样。有以软件形式运行在普通计算机之上的，也有以固件形式设计在路由器之中的。总的来说可以分为三种：包过滤防火墙、代理服务器和状态监视器。 (1): 包过滤防火墙 (IPFiltingFirewall)： 包过滤 (PacketFilter)是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据据流中的每个数据包，根据数据包的源地址、目标地址、以及包所使用端口确定是否允许该类数据包通过。 (2): 代理服务器 (ProxyServer)： 代理服务器通常也称作应用级防火墙。包过滤防火墙可以按照 IP 地址来禁止未授权者的访问。但是它不适合单位用来控制内部人员访问外界的网络，对于这样的企业来说应用级防火墙是更好的选择。所谓代理服务，即防火墙内外的计nts 5 算机系统应用层的链接是在两个终止于 代理服务的链接来实现的，这样便成功地实现了防火墙内外计算机系统的隔离。代理服务是设置在 Internet 防火墙网关上的应用，是在网管员允许下或拒绝的特定的应用程度或者特定服务，同时，还可应用于实施较强的数据流监控、过滤、记录和报告等功能。一般情况下可应用于特定的互联网服务，如超文本传输 (HTTP)、远程文件传输 (FTP)等。代理服务器通常拥有高速缓存，缓存中存有用户经常访问站点的内容，在下一个用户要访问同样的站点时，服务器就用不着重复地去抓同样的内容，既节约了时间也节约了网络资源。 状态监视器 (StatefulInspection)： (3): 状态监视器 状态监视器作为防火墙技术其安全特性最佳，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与其它安全方案不同，当用户访问到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、鉴定 或给该通信加密等决定。一旦某个访问违反安全规定，安全报警器就会拒绝该访问，并作下记录向系统管理器报告网络状态。状态监视器的另一个优点就是可以监测 RemoteProcedureCall 和 User DatagrqamProtocol 类的端口信息。问题当然也有，即状态监视器的配置非常复杂，而且会降低网络的速度。 目前防火墙已经在 Internet 上得到了广泛的应用，而且由于防火墙不限于TCP/IP 协议的特点，也使其逐步在 Internet 之外更具生命力。客观的讲，防火墙并不是解决网络安全问题的万能药方，而只是网络安 全政策和策略中的一个组成部分，但了解防火墙技术并学会在实际操作中应用防火墙技术，相信会在新世纪的网络生活中让每一位都受益菲浅 。 nts 6 附件 2：外文原文 (NIST SPECIAL PUBLICATION 800-10 U.S DEPARTMENT OF COMMERCENational Institute Of Standards And Technology) Abstract The National Institute of Standards and Technology would like to thank the following individuals who reviewed drafts of this document and advised on document structure and content: David Curry of Purdue University, Uwe Ellermann of the DFN-CERT in Germany, and Stephen Weeber of the Department of Energys Computer Incident Advisory Capability (CIAC). Introduces the firewall Advance by leaps and bounds technically along with the calculator network, the problem of the network safety is already to put in each kind of in front of customer increasingly and outstandingly.Only data control from the writer enunciation, currently at Internet up have about nearly 20% above of customer has ever suffered the harassment of the black guest.Though the black guest is thus rampant, the safe problem of network still has no up to now and can cause the enough value, more customers think that the safe problem of network leaves the oneself still far, this from have 40% the above customer about especially the business enterprise class customer did not install the fire wall( Firewall) and then can see segment of a whole, but all problems are proving a fact toward everyone, the black guest of the majority invade affairs are all because can not right gearing fire wall but cause of. 1.The concept and the function of the fire wall The fire wall is a kind of model with safe very valid network on the Internet, passing the conjunction that it can insulate the risk district( namely Internet or have the network of the certain risk) with the safe district( the area net of the bureau), will not hinder the nts 7 peoples interview to the risk district at the same time.The fire wall can supervise and control the amount of correspondence of pass in and out the network, thus completing to see impossible mission;Only let safety, the information for approving enter, boycotting the data that constitutes the threat to the business enterprise again at the same time.Along with the error and the blemish of the safety problem more and more widespread, invade to the network to not only come from the superb attack means, but also come from probably install up of low class mistake or not fit password choice.Therefore, the function of the fire wall is preventfrom not to hope of, did not authorize of the network that correspondence pass in and out to be protect, force the unit to enhance own policy with safe network.General fire walls can attain the following purpose:One is to limit the others into the internal network, filter the insecurity service and illegal customers;Two is keep invader from near to you of defense facilities;Three is to limit the customer to visit the special station to order;Four is for keep watch on the safety of Internet to provide the convenience.The fire wall supposed the network boundary and services, so even suited for the opposite and independent network, for example the Intranet waits the opposite and concentrated network of category.The fire wall is becoming the control to visit to the network system very popular of method.In fact, in the website of Web on the Internet, more than 1/3 websites of Web are all to be taken into the protection by the fire wall of a certain form, this guards against to the black guest the most strict, stronger kind of method of safety, any decisive server, all suggest to put after fire wall. 2.The structure and the work methods of the fire wall The fire wall can use the network of the door to row the programming more clear understand, preventfrom the data interview of cross over the legal power completely.( because the first matter after register of some nts 8 persons is to try to exceed the powers the restrict)If have no fire wall, you may receive much more similar reports of, for example the public finance of the unit inner part the report was just fry by ten thousand mails of Email lousy, or personal main page of the customer drive person malice conjunction to Playboy, but report that the chain mount but specified another color feeling website .A set of fire wall system of integrity usually is from shield the router and proxy servers to constitute. shield the router is an in many ways oscular router of IP, it passes a server progress to each IP of arrival wraps to carry on the check according to a rule to judge whether carry on turning the hair to it. shield the router from wrapped the head to obtain the information, for example the agreement number, the address of IP and port number, the conjunction marking that received and dispatch to report the text with go to another some options of IP, the rightness the IP wrapped to carry on the percolation. the proxy server was in the fire wall, it can replace the network the customer completed the particular function of TCP/ TP. a proxy server is a net pass that applied the layer essentially, an apply for particular network but linked two nets of network pass. the customer is for a TCP/ TP application, for example Telnet or FTP, make contact with proxy server, the proxy server requested the customer provide the long range that it want to visit the host. be the customer, reply also provided the right customer an information of body after, the proxy server connects the long range host, for two correspondences order act as medium after. the whole process can used for the attestation of the customer class towards winning the door completely transparently. the customer provide of an information of the customer body can. the most simple circumstance is: it only from customer the marking and password constitute. but, if the fire wall is to pass the Internet and can visit of, should recommend the stronger attestation mechanism of the customer usage, for example a nts 9 sex password or respond the type system etc. The biggest advantage that shields the router is a structure simple and the hardware cost is lower, but the weakness then builds up wrap to filter the rule more difficult, add it shields the router of management cost and the body an attestation of customer class lack etc.Fortunately the router produces the companies to have already known and entered upon to resolve these problems, they are developping to edit to wrap the sketch customer interface of filter the rule, establishing the body an attestation of customer class agreement of the standard, to provide an attestation of the long range body to stir into the customer to serve( REDIUS). The advantage of the proxy server lies in an attestation of body, the daily record record and account number managements of the customer class.Its weakness relates to thus a fact;To want to provide the overall safety assurance, will build up to each services to should of the applied layer net pass.This fact limits seriously to adopt the key link lately and appliedly. Shield the router and proxy servers to usually combine together to constitute the hybrid system, among them shield the router to mainly use to preventfrom the IP beguilement attack.Adopt to install most extensively to is a fire wall of Dualhomed and is shield currently a fire wall of host and is shield a fire wall of the son net. Fire wall can with is a very simple filter, the net pass that also may install with meticulous care, but their principle is similar, is all a monitor to combine to filter all informations that lead to the exterior net and spread from the exterior net, the fire wall protected the datas of the inner part sensitive to were not steal and break, and stick down to come to time of the communication occurrence and operate.etc., the fire wall of the new generation even can obstruct the internal personnel nts 10 to deliver the sensitive data to the external world intentionally.But fire wall usually is circulate in one a special software of lone calculator of pedestal is, it can identify and shield the illegal claim.For example one set WWW proxy server, all claims are handle by the proxy server indirectly, this set server differs from the common proxy server, it will not handle the claim directly, it will verify the destination and the claim contentses of the body, claim that the claim sends out.If everything meets the request, this claim will be grant to send to the real server of WWW up.After the real WWW server processing finishes this claim also cant directly as a result send out to claim, it would as a result send to the proxy server, proxy server would according to in advance of provision check this whether result breached or not the safety provision, be after all theses all pass, return the result and would send to request the hand really in. 3.The system structure of the fire wall (1): Shield the router( ScreeningRouter) Shield the router can from the router realization that the factory house produce exclusively, can also carry out with the host.Shield the only one passage that the router outside inside the conduct and actions link, request all report texts and must pass the check here.Can install on the router to filter the software according to the report text of the IP layer, realization report the text filter function.Many routers take to report the text percolation to install the options, but generally and more and in brief.Simplicity from shield the danger of the fire wall of the router composing to include the host that the router and routers allow the interview.Weakness that shields the router is once is offend the 隐 is behind very difficult detection, and cant identify the different customer. (2): A cave host net pass( DualHomedGateway) nts 11 A cave host net pass is a fort host that has two pieces of net cards with a pedestal to do the fire wall.Two pieces of net cards are each from with is connect with each other by the protection net and the exterior nets.Circulate the fire wall software on the fort host, can turn the hair application procedure, provide the service etc.With shield the router to compare, the system software of a cave host net pass fort host can used for the maintenance to protect the system daily record, hardware to copy the daily record or long range daily records.But the weakness is also more outstanding, once the black guest invade the fort host to make it have the road only also from the function, any on-line customer all can visit the internal net literally. (3): Was shield the host net pass( ScreenedGatewy) Shield the host net pass is easy to the realization also most is safety.A fort host install interiorly network up, usually establish the percolation rule on the router, and make this fort host become the host that can arrive directly only one from the exterior network, this insured the internal network to be free from dont drive authorize of the attack of the exterior customer.If is is the native net that a conjecture expand by the protection net, then has no son net and routers, the variety of the so internal net does not affect the fort host and shield the router to install.The danger takes to limit in the fort host and shield the router.The basic control strategy of the net pass from install the software in top decision.If the aggressor can not register its top, will be very greatly threaten inside the rest host within net.This situation that is subjected to attackstone with a cave host net pass is about. (4): Was shield the son net( ScreenedSubnet) Was shield the son net is interiorly of the network and the exterior network builds up a son that is insulate net, using a percolation router to distinguish this son net to separate with internal network and the nts 12 exterior networks.In a lot of realizations, the set of two cents filters the both ends that the router put in the son net, constituting a DNS in the son net, the internal network and the exterior networks all can visit to be shield the son net, but forbid they cut through to be shield the son net correspondence.Have of shield and still establish a the fort host conduct and actions and can visit the point only one in the son net, support terminals hand over with each other or conduct and actions application net the pass act for.This kind of router that installs dangerous to include fort host, the son net host and all nets inside the conjunction, outside netses and shield the son net only.If the aggressor tries the complete breakage fire wall, he must the relocation link three routers of net, since dont cut off the conjunction and do not chase that oneself the