关 键 词：

机械毕业设计

资源描述：

tx091windows 2000 sever 安全技术研究——防火墙技术,机械毕业设计

内容简介：

江苏大学毕业设计论文 江苏大学毕业设计（论文） 题目： windows 2000 sever 安全技术研究 防火墙技术 院系：计算机科学与通信工程学院 专业：通 信 工 程 年级：通信 002 班 学生姓名：周 亮 指导老师：周莲英 2 0 0 4 年 0 5 月 2 8 日nts江苏大学毕业设计论文 摘要： 本文在分析因特网网络安全问题、相应安全策略与安全机制以及安全攻击与黑客攻击的基础上，重点研究了基于 windows 2000server 安全策略的防火墙技术，包括防火墙的功能、分类、特点与局限性，以及防火墙的实现方式、发展趋势等等 。最后以某工厂网络重建为例，具体分析了两套网络构建方案，并对其中一套方案进行了安全设计及初步实现。 关键词： 网络安全 ，安全策略 ，防火墙 nts江苏大学毕业设计论文 Abstract ： This article studies the firewall technology according to windows 2000servers security policies on the found of internet network security problems,corresponding security policies ,security mechanism ,security attack and hacker attack,including firewalls functions,classification,characters,develop tendency and so onl.At the last,it uses a case of netwoek reconstruction of some factory,concretely analysises two proposals about network construction,then designs the security demandings and realizes them preliminary. Keywords： network security, security policy, firewall nts江苏大学毕业设计论文 目录： 第一章 引 言 . 5 1.1 INTERNET 的发展及现状 . 5 1.2 INTERNET所面临的威胁 . 5 第二章 计算机网络安全概述 . 7 2.1 网络安全的定义 . 7 2.2 安全攻 击 . 7 2.2.1 典型的攻击过程 . 8 2.2.2 常用的攻击工具 . 8 2.2.3 常用的攻击手段 . 10 2.3 安全服务、安全机制与安全策略 . 12 第三章 防火墙技术综述 . 17 3.1 防火墙的基本概念 . 17 3.2 防火墙的分类 . 17 3.3 防火墙的实现方式 . 19 3.4 防火墙的局限性 . 21 3.5 防火墙的发展趋势 . 21 第四章 某工厂网络重建与防火墙技术应用 . 22 4.1 网络安全与企业内部网 . 22 4.2 某工厂网络重建需求 . 22 4.3 设计原则 . 22 4.4 方案选择 . 23 4.5 防火墙配置 . 26 nts江苏大学毕业设计论文 第一章 引 言 1.1 Internet 的发展及现状 Internet 起源于美国的 ARPAnet 计划，其目的是建立分布式的、存活力强的全国性信息网络。 ARPAnet 基于分组交换的概念，在网络建设和应用发展的过程中，逐步产生了 TCP/IP这一广泛应用的网络标准。随着 TCP/IP 协议被人们广泛接受，个人计算机和服务器的发展，计算机使用的日益普及，以及廉价的桌面系统、免费的共享软件和功能强大的网络服务器的结合，使得 Internet 以惊人的速度快速膨胀。 从技术 的角度看， Internet 是一种计算机网络的集合。它以 TCP/IP 网络协议为基础进行通信，将全世界众多的计算机网络和上百万台计算机连接在一起，使原来分散在单台计算机上或限制在局域网上的资源和信息，可以方便地互相交流。 从应用的角度看， Internet 提供了许多应用服务，如 :E-MAIL、 WWW、 FTP、 TELNET、 NEWS、网上聊天等等，尤其是 WWW 技术的发展，又进一步促进了 Internet 的广泛使用。这些应用服务使网民们利用普通的微机，就能与世界范围的计算机用户打交道，在这里，时间和空间的差别己不再重要 ，它大大拓宽了人类的生存空间和维度，它将整个地球联结成了一个“地球村”。 1.2 Internet 所面临的威胁 Internet 的广泛使用，带来了有关信息安全、社会安全等潜在的问题。到了 1988 年，Internet 成了通信的一种基本工具，由于各行各业人员的加入， Internet 原由的潜在的问题 (原先欠考虑 )暴露出来。在 Internet 建立之初， Internet 安全被认为不是一种必要，Internet 文化就是开放性，鼓励数据和资源的共享。原先，使用 Internet 的人就是创建Internet 的科学家们，他 们有共同的目标，随着时间的推移， Internet 变得越来越有用，加入的人也越来越多，从公司到大学，甚至个人，涉及各行各业。各种形形色色的人的加入，使得 Internet 成了一个异常危险的地方。 Internet 带来了信息化的便利，也暴露了自身的脆弱性。现代的计算机网络中包含了各种局域网、计算机、数据库、工作站等等，我们知道计算机网络一方面提供了资源的共享性，提高了系统的可靠性，通过分散工作负荷提高了工作效率，并且还具有可扩充性，这些特点使得计算机网络深入到科研、文化、经济与国防的各个领域 ;而另一方面，也正是Internet的内在的脆弱性 (包括 TCP/IP协议族的内在脆弱 )导致了安全问题的产生，如病毒、黑客等等。从 1988 年 11 月发生的最引人注目及恐慌的“ Internet 蠕虫事件”，它使 Internet上 60， 000 台主机中的 6000 台主机受到了攻击，到现在，特别是最近几年，各种各样的安全事件频出： nts江苏大学毕业设计论文 1）在英国，用于军事目的的 4 颗卫星中有一颗被黑客控制，黑客们修改了这颗卫星的正常工作内容； 2）在北约对南联盟的空袭进入第 7 天的时候，一群俄罗斯黑客在一个名为“黑客地带”的网址上对北约宣战了； 3）印尼骚乱期间，印尼 的一些站点遭到了来自中国黑客的袭击，并被写上了抗议的标语； 4）台海危机期间，大陆黑客与台湾黑客在互联网上展开了一场没有硝烟的对抗； 5） 2001 年 5 月发生的著名的中美黑客大战； 6） 2001 年 RED 一 CODE 和 NIMDA 病毒及其变种病毒在 Internet 网上的泛滥，造成了巨大的经济损失。 美国国防部：最令人不安的是成功攻击中的 96%我们毫无察觉。网络安全和我们息息相关，它们已不是人们想象中的孩子的恶作剧，他们从早期的破坏数据、窃取信息，发展到威胁国家的经济发展，国家主权的安危。更可怕的是，我们知道的安全事 件只是所有安全事件的，一小部分，许多事件山于没有造成严重危害或商家不愿透露而未被暴光，其他的我们根本没有发觉。美国国防部曾对许多重要站点受攻击的情况作过分析，在多达 38000 次的攻击中，只有 267 次攻击公开报道，而检测到的攻击中有 73%未报道，最令人不安的是成功攻击中的 96%我们毫无察觉，他们到底造成多少危害，有多少关键数据丢失，我们无从统计。这是在信息技术发达的美国的安全状况。由于普遍缺乏网络安全的意识，或者技术实现上的困难，我国的安全状况比美国更令人不安。 nts江苏大学毕业设计论文 第二章 计算 机网络安全概述 对于一个网络而言，其性能、可靠性、可用性及信息安全等等都是不可忽视的问题。这些问题通常都由网络管理负责处理，它借助于相应的软、硬件实现对网络活动和资源的规划、组织、监视、审计和控制。国际标准化组织 IS0 把网络管理划分为五个领域，包括故障、性能、配置、审计和安全管理。故障管理负责检测或发现异常的网络运转、隔离和控制网络故障 ;性能管理负责分析网络出错量、网络吞吐量并建立优化的网络状态 ;配置管理负责检测网络的物理和逻辑配置，了解和控制网络连接状态 ;审计管理负责收集并处理用户使用网络资源的有关数据 ;安全管理负责控制网络访问，包括防止未授权者访问网络资源及网络管理系统。 2.1 网络安全的定义 网络安全是指借助于网络管理，使网络环境中信息的机密性、完整性及可使用性受到保护，其主要目标是确保经过网络传输的信息到达目的计算机时没有任何改变或丢失。因此必须确保所有组网部件能根据需求提供必要的功能且只有授权者可以访问网络。 1.机密性：定义哪些信息不能被窥探、哪些网络资源不能被未授权者访问 ; 2.完整性：决定系统资源应该怎样运转而且信息不能被未授权的来源替换或破坏 ; 3.可用性：意味着一个网络资源，每 当用户需要时就可以使用。 信息安全是指从防止偶然的泄露或未授权者的恶意泄露、修改、破坏或防止信息无法处理等方面保护信息财产 .这个定义也隐含着需要保护整个网络及有关资源，因此，必须有适当的机制便于发送者和接收者对网络传输的认证，防止从外界干涉整个网络环境，即信息不能被未授权者从网上窥测、篡改或提取。 安全不仅是技术问题更重要的是管理问题。这意味着要制定一个组织内部的有效的安全管理策略，有正确的管理委员会和组织机构，例如，某单位的信息应当由管理者们做出决策、确定哪些信息可以共享，哪些信息是内部机密，不得泄露以免 损害单位利益。安全管理涉及 :1需要保护什么； 2 为什么需要保护； 3 怎样保护； 4 何时保护； 5 在哪里保护。 l 和 2 体现管理者的决策， 3 到 5 涉及实现技术。网络安全与使用方便之间存在矛盾，强调安全，使用方便将受到影响，强调使用方便，安全性能会受到减弱，这也是需要管理者权衡的事。 2.2 安全攻击 安全攻击的范围很广，不能光局限于黑客的攻击行为，任何危及有关信息安全的行为都可以称之为安全攻击。所以，安全攻击可以是有意识的，也可以是无意识的，其中包括内部人员的无知 (无安全意识 )或是误操作引起的安全威胁问题。本文中主要指黑 客攻击。 nts江苏大学毕业设计论文 2.2.1 典型的攻击过程 让我们先来看看黑客是如何攻击一个远程计算机的。所谓远程计算机是指它不是攻击者正在使用的计算机，而是能利用某种协议通过 Internet 网或其他任何网络介质被使用的计算机。入侵者开始如同普通用户一样，并没有任何特权，但通过各种手段达到非法访问或非法使用的目的。 尽管现在入侵方式、手段层出不穷，但大体上入侵者对远程目标进行攻击可以分为以下几步 : 1.外围扫描。入侵者先以正常用户的身份出现，通过各种正常合法的手段来收集关于目标网络所有可用的信息。实际上，在这一阶段是不能发现这些 怀有恶意企图的用户的。入侵者可以利用网络提供的一些服务，如 :WEB， FTP， DNS 等以及一些端口扫描工具来获取目标网络的所有可用的信息，并加以分析。 2.小心试探。入侵者分析出相关信息后，会进一步用更富有攻击性的手法以获取更多有用的信息，但他们不会对目标网络有任何不良影响。入侵者也许会仔细查看目标主机网站上的所有 CGI 脚本 ;也许会 ping 所有的目标主机，以查看哪个机子是活动的 ;也许会利用一些命令工具来试看哪一个是可用的。这时，入侵者的所有活动对于网络来说都是正常的，并没有任何明显的特征将其与普通用户区别开来 。只不过这些活动普通用户很少做而己。 3.攻击策略的形成并开始攻击。在搜集到目标网络及其系统管理员的相关资料后，入侵者会制定一个安全的攻击策略，因为一般而言，实际的攻击一定要一气呵成，如果中间被打断，那很少会有第二次机会的。 4.进行非授权活动。入侵者在攻击得手后，会利用其得到权利进行窃取机密数据、滥用系统资源、修改主页、删除文件、安装特洛伊木马程序创建属于他们自己的帐号，以便以后再次入侵等等，更有甚者，入侵者会利用攻破的主机最为跳板对其他的网络目标或系统中的其他部分实施攻击。 5.掩盖痕迹。入侵者攻击成功 后，入侵者就会想方设法来消除攻击痕迹，如将系统审计文件和日志文件中相关的记录抹去等。 还有一种攻击，攻击者并没有明确的攻击目标，他只是盲目的扫描某一地址范围内的主机，看是否有主机存在着漏洞，如果有，便用特定的黑客工具进行攻击。他们并不是针对某个机构、某个网络，他们也不关心目标是谁。这种攻击被称之为“生日攻击” 列出一系列的漏洞和一系列的 IP 地址，攻击者总有机会从中找到有漏洞的主机。 2.2.2 常用的攻击工具 黑客攻击时使用的武器多种多样，但万变不离其宗，离不开扫描器、嗅探器、口令攻击器、特洛伊木马以及这 些武器的综合使用。 nts江苏大学毕业设计论文 1.扫描器。 扫描器是一种自动检测远程或本地主机安全性弱点的程序。如果使用扫描器，攻击者可以令任何人都毫无觉察的发现远程服务器的各种 TCP 端口的分配，以及他们所提供的服务和软件版本。这就能让攻击者间接或直观的了解远程主机所存在的安全问题。好的扫描器是进行黑客活动的基础。黑客常用的扫描器主要有以下几种 :NNS(网络安全扫描器 )、 STROBE(超级优化 TCP 端口检测程序 )、 SATAN(安全管理员的网络分析工具 )， X-ray,流光系列等等。 2.嗅探器。 嗅探器是利用计算机的网络接口截获目的地 为其他计算机的数据包的一种工具。利用嗅探器可以获得 :口令、金融帐号、偷窥机密或敏感的数据信息、窥探低级的协议信息等等。常用的嗅探器有 Gobbler、 Ethload、 Netman、 Esniff.C 以及 Sinffit 等等。其中 Sinffit尤为著名。 扫描器和嗅探器如用在正确的方面，则可以帮助系统管理员解决网络的某些安全性及其他某些方面的问题。 3.口令攻击器。 口令攻击器是一个程序，它能将口令破译出来，或者让口令失效。口令破解器一般并不是真正的去解码，因为实际上很多加密算法是不可逆的。即只是知道被加密的数据和 加密算法，不可能从他们身上反解出原来未加密的数据。其实大多数口令破解器是通过尝试一个个地单词，用知道的加密算法来加密这些单词，知道发现一个单词经过加密后的结果和要解密的数据一样，就认为这个单词就是要找的密码了。 4.特洛伊木马。 所谓木马，用通俗的话说就是一个可以在机器上悄悄打开某个端口的程序。特洛伊木马是一个程序，它驻留在目标计算机里，随目标计算机系统的启动而自动启动。然后在某一端口进行侦听。如果在该端口收到数据，对这些数据进行识别，然后按识别后的命令，在目标计算机上执行一些操作。 木马主要通过电子邮件和 文件捆绑等方式传播。 5.邮件炸弹。 所谓邮件炸弹实际是一个地址不祥、容量很大、充满乱码或脏话或无用信息的恶意邮件，也是垃圾邮件。每个人的邮件信箱的空间都是有限的，所以当这种大量的垃圾到了用户信箱后，就会导致信箱容量不够而把正常的邮件冲掉，同时占用了大量的网络资源，使用户不能正常运行系统。 6.其他工具。 除了上面所介绍的一些黑客工具外，还可以利用其他一些命令工具如 PING 等进行恶意破坏。 nts江苏大学毕业设计论文 2.2.3 常用的攻击手段 现代黑客常用的攻击手段主要有以下几种 : 1、获取口令 这又有三种方法 : 1）通过网络监听非 法得到用户口令，这类方法有一定的局限性，但危害性极大，监听者往往能够获得其所在网段的所有用户账号和口令，对局域网安全威胁巨大 ; 2）在知道用户的账号后 (如电子邮件 前面的部分 )利用一些专门软件强行破解用户口令，这种方法不受网段限制，但黑客要有足够的耐心和时间 ; 3）在获得一个服务器上的用户口令文件 (此文件成为 Shad。文件 )后，用暴力破解程序破解用户口令，该方法的使用前提是黑客获得口令的 Shadow 文件。此方法在所有方法中危害最大，因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器，而是在本地将加密后的 口令与 Shadow 文件中的口令相比较就能非常容易地破获用户密码。 2、 WEB 欺骗 WEB 欺骗是指攻击者建立一个使人相信的 WEB 站点的拷贝，这个 WEB 站点拷贝就像真的一样 :他具有所有的页面和连接。然而攻击者控制了这个 WEB 站点的拷贝，被攻击对象和真的 WEB 站点之间的所有信息流动都被攻击者控制了。 WEB 攻击技术使得攻击者可以创建整个WEB 站点的“影子拷贝“，用户访问影子 WEB 会经过攻击者的机器，这样攻击者就可以监视被攻击对象的所有信息包括帐号、口令以及其他的一些信息。攻击者既可以假冒成用户给服务器发送数据，也可 以假冒服务器给用户发送假冒的消息。这种攻击的关键在于攻击者的WEB 服务器能够插在浏览者和其他的 WEB 之间。 3、 IP 欺骗 IP 欺骗技术就是伪造某台主机的 IP 地址的技术。通过 IP 地址的伪装，使得某台主机能够伪装成另外的一台主机，而这台主机往往具有某种特权或被另外的主机所信任。 入侵者为了获得访问远程主机的权限，一般都会创建有欺骗性源 IP 地址的数据包。他们所用这种方法是利用了使用基于 IP 地址认证应用的特点，并可能导致获取非授权访问的权限，甚至对目标机器系统的 root 访问权限。这种攻击方法即便是在返回包不能到达入 侵者的情况下也可以得逞。 IP 欺骗还有其他一些形式，诸如 DNS 欺骗等等。在多数情况下，实施 DNS 欺骗时，入侵者要取得 DNS 服务器的信任并明目张胆地改变主机的 IP 地址表，这些变化被写入到 DNS 服务器的转换表数据库中。因此，当客户发出一个查询请求时，他会得到假的 IP 地址，这一地址会处于入侵者的完全控制之下。 4、利用后门攻击 从早期的计算机入侵者开始，他们就努力发展能使自己重返被入侵系统的技术或后门。目前常用的后门手法有 :密码破解后门、 Rhoss+后门、校验和及时间戳后门、 Login 后门、Telnet 后门、应用 服务后门、文件系统后门等等。 nts江苏大学毕业设计论文 5、 DOS 攻击 DOS 是 Denial Of Service 的简称，即拒绝服务，造成 DOS 的攻击行为被称为 DoS 攻击，其目的是使计算机或网络无法提供正常的服务。最常见的。 DOS 攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。例如， 2000年 2 月 6 日那个星期对 Yahoo 网站发生 的主要是带宽攻击。 1999 年 8 月以来，出现了一种新的网络攻击方式，就是分布式拒绝服务攻击 (DDOS 一一一 Distributed Denial of Service)。 DDOS 系统与客户机 /服务器工作模式非常相象。入侵者作为 Client 首先控制一些节点，将它们设计成控制点，即受控主机，由这些控制点再去控制大量的工 nternet 主机，将这些主机设计成攻击点，即分布端。分布端将被装载攻击程序，通过攻击者 -受控主机 -分布端 -目标主机实施攻击，这种结构使入侵者远离被攻击的目标，隐蔽了入侵者的具体位置，很难查出 元凶 .拒绝服务常用到的攻击方式有 :SHAFT 攻击、smurf 攻击、 teardrop 攻击、 nmap 攻击、 land 攻击、 Ping ofDeath 攻击等等。 6、缓冲区溢出 (BufferOverflow) 缓冲区溢出是一个非常普遍、非常危险的漏洞，在各种操作系统、应用软件程序中广泛存在。缓冲区溢出的原理是 : 向一个空间有限的缓冲区中拷贝了过长的字符串，他带来了两种后果 :一是过长的字符串覆盖了相邻的存储单元，引起程序运行的失败，严重的可能引起死机、系统重启动等后果 ;二是利用这种漏洞可以执行任意的指令，由此引发种种的 攻击方法。最为常见的是通过使某个特殊程序的缓冲区溢出而执行一个 Shell，通过该 Shell 来获得 root 的权限。一个缓冲区溢出程序通常由如下几个部分组成 : l)要准备一段可以调出一个 SHELL 的机器码形成的字符串，即我们通常所说的 SHELL CODE。 2)申请一个缓冲区，并将机器码填入缓冲区低端。 3)估算机器码在堆栈的可能起始位置，并将这个位置写入缓冲区的高端。这个起始位置也是我们在执行这一程序时反复要调整的一个参数。 4)将这个缓冲区作为系统一个有着缓冲区溢出错误的程序的一个入口参数，并执行这个有着错 误的程序。需要注意的是这类程序通常都是 SUID ROOT 程序。 7、危险的程序 除了上面介绍的几种常见的攻击手段之外，还有一些危险的程序方面的情况。 1)逻辑炸弹和时间炸弹 所谓逻辑炸弹是指在程序中设置了一些条件，当这些条件满足时，程序会执行一些破坏性的指令。时间炸弹也是一种能执行破坏指令的程序，它通常是在满足特定的时间或数目时发作； 2)蠕虫 nts江苏大学毕业设计论文 蠕虫是一种可以在网络上不同主机间传播，而不需要修改目标主机上其他程序的一类程序。蠕虫通常秘密的在网络上传播，并且不断地收集包括收收保护的密码文件在内的信息。它不断 通过计算机网络将自己传递到各处，最后由于不断地扩张使得系统不胜负荷。蠕虫严重的消耗系统资源和带宽； 3)种子 这是一类疯狂复制自己，以消耗系统资源的程序，这类程序通过不断复制自己，直到没有足够的磁盘空间或内存可以容纳下一代的繁殖为止。现在，蠕虫和种子通常融合在一段程序内，使之既有蠕虫的特点，又具有种子的特性。也有人认为这一类程序也是病毒程序，因为他不仅能够甲改已有的程序 .而日能够删除或替代他们。 一般的黑客攻击，所使用的手段也就是以上几种，比较高级的黑客攻击，也无非是这几种方法的联合使用。 2.3 安全服 务、安全机制与安全策略 1安全服务 针对计算机网络系统受到威胁， OSI 安全体系结构提出了六类安全服务： l）对等实体鉴别服务：这种服务是在两个计算机网络开放系统同等层中的计算机实体建立连接和数据传输期间，为提供对连接计算机实体身份的鉴别而规定的一种服务。这种服务防止假冒计算机实体或重放以前的连接，也即防止伪造连接初始化这种类型的黑客攻击。这种鉴别服务可以是双向的，也可以是单向的； 2）数据源鉴别：这是计算机网络传输协议中第 N 层向第 N+1 层提供的服务。主要用来确保数据是由合法的计算机实体发出的，它为第 N+1 层提供对数据源的对等实体进行鉴别； 3）禁止否认： 不得否认发送：这种服务向数据接受者提供数据源的证据，从而可防止发送者否认发送过数据； 不得否认接受：这种服务向数据发送者提供数据己交付给接受者的证据，因而接受者事后不能否认曾收到数据。 4）访问控制：计算机网络访问控制服务可以防治没有被授权的用户非法使用计算机系统资源； 5）数据完整性： 可恢复的数据连接完整性：该服务对一个连接上所有用户数据的完整性提供保障，而且对任何服务数据单元的修改、插入、删除或重放都能够使之复原； 数据无连接完整性：该服务提 供单个无连接数据单元的完整性，能确定收到的数据单元是否已被修改； 选择字段数据无连接完整性：该服务提供单个无连接数据单元中各个选择字段的完整性，能确定选择字段是否被修改； nts江苏大学毕业设计论文 选择字段的数据连接完整性：该服务提供在连接上传送的选择字段的完整性，并能确定所选字段是否已被修改、插入、删除或重放； 无恢复的数据连接完整性：该服务除了不具备恢复功能外，其余的功能与前面的几个服务相同； 6）数据保密： 选择字段保密：即对一个协议数据单元中的用户数据的一些经选择的字段提供保密； 连接保密：即对某个连接上所有的用户 数据提供保密； 信息流保密：即对有可能从观察信息流就能推导出的信息提供保密； 无连接保密：即对一个无连接的数据包的所有用户数据提供保密。 2安全机制 安全机制是操作系统、硬件和软件功能部件、管理程序以及它们的任意组合，用于为一个信息系统的任一部件来检测和防止被动与主动威胁。安全机制与安全服务有关，机制是用于实现服务的程序。为了实现上述各种服务，安全体系结构建议采用加密、数字签名、鉴别、数据完整性、公证等各种安全机制。 3安全策略 1 防火墙 防火墙设置在边界网络上，首先是为了保护内部网的安全，它在有效地 阻止外部用户的非授权访问、阻止攻击者的入侵、提高网络的安全性能的同时，还提供了以下功能： 1）防火墙能强化安全策略。防火墙是站在内网与外网交界处的“交通警察”，它执行站点的安全策略，仅仅允许认可的和符合规则的请求通过。保护内网的信息和资源免受外界的非法入侵。 2）防火墙能有效地记录 Internet 上的活动。由于所有进出信息都必须通过防火墙，作为访问的唯一通道，防火墙记录被保护的网络和外部网络之间进行的所有事件。 3）防火墙限制暴露用户点。所有的内部网址都可以隐藏在防火墙后面，便于隔离对安全性或敏威性要求更高 的部分。 4）允许内部网络使用内部 IP 地址，通过地址转换来解决 Internet IP 地址不足的问题。 5）集中的安全管理。防火墙对企业内部网实现集中的安全管理，在防火墙定义的安全规则可以运用于整个内部网络系统，而无需在内部网每台机器上分别设立安全策略。 2.NAT Network Address Translation 所谓的 NAT(Network Address Translation)，即网络地址转换功能，就是指在一个组织网络内部，根据需要可以随意自定义内部保留的什地址 (不需要经过申请的保留 IP 地址 )，在本组织内部，各计算机间通过内部保留的 IP 地址 (即内部 IP 地址 )进行通讯，当组织内部的计算机要与外部 Internet 网络进行通讯是，具有 NAT 功能的设备负责将内部的 lP 地址转换为真正的内部合法的 IP 地址 (过申请的合法的 IP 地址 )。简单的说， NAT 就是通过某种方式将 IP 地址进行转换，其国际标准协议为 RFCl631。 nts江苏大学毕业设计论文 NAT 主要有以下几种应用： 1)你想连接 Internet，但不想让你的网络内的所有计算机都拥有一个真正的 Internet IP 地址，通过 NAT 功能，可以将申请的合法的 Internet IP 地址统 一管理，当内部的计算机需要上 Internet 时，动态或静态的将内部 IP 地址转换为内部合法的 IP 地址。 2)你不想让外部网络用户知道你的网络的内部结构，可以通过 NAT 将内部网络与外部INTERNET 隔离开，则外部用户根本不知道你的内部 lP 地址。 3)你申请的合法 Internet IP 地址很少，而内部用户很多，可以通过 NAT 功能实现多个用户同时共用一个合法的 lP 与外部 Internet 进行通信。 NAT 设置可以分为静杰地址转换、动态地址转换、复用动态她址转换。 1)静态地址转换 静态地址转换将内部保留的 IP 地址与 内部合法的 IP 地址进行一对一的转换，且需要制定和哪个合法地址进行转换。如果内部网络有服务器可以为外部用户提供服务，则这些服务器的 lP 地址必须采用静态地址转换，以便外部用户可以使用这些服务。 2)动态地址转换 动态地址转换也是将内部保留 IP 地址与内部合法 IP 地址一对一的转换，但是合法地址是从内部合法的 lP 地址池中动态地选择一个未使用的地址对内部保留地址进行转换。 3)复用动态地址转换 复用动态地址转换首先是一个动态地址转换，但是它可以允许多个内部保留地址共用一个内部合法地址。当多个用户同时使用一个内部合法地址 时，外部网络通过路由器内部利用上层的如 TCP 或 UDP 端口号等唯一标识某台计算机。 NAT 设置在内部网与外部网的连接处的路由器上，当 IP 数据包离开内部网时， NAT 负责将内部的保留 IP 源地址转换成内部合法的 IP 地址。当 IP 数据包进入内部网时， NAT 将内部合法的 IP 地址转换成内部保留的 IP 地址。启用 NAT 功能的路山器一定不能将内部网络路由信息广播到外部，然而，从外部广播来的路由信息，该路由器可以接受。 3.VLAN Virrtual LAN 在传统网络中，人员的迁移以及网络设备的增加、移动和更改给网络的管理带来了 极大的负担，这种改变是通过物理设备的变更来实现的，因此，网络管理的费用远远高于其他网络开销，移动、增加和更改花去了大部分的支持费用。现在，随着 VLAN 技术的出现，网络管理员可以在中央管理和控制台上对配置进行逻辑更改，避免了昂贵而耗时的物理重构，同时也减少了网络管理的开销。 1)虚拟局域网 (VLAN Virtual LAN)，是指组网所依据的不是站点的物理位置，而是逻辑位置 (MAC 地址、 IP 地址或其他 )，即所谓“逻辑上相关而物理上分散”。一般来讲， VLAN具有以下几个重要特征： 1.同一虚拟网的所有成员组成一 个“独立的物理位置而具有相同逻辑的广播域”共享一个 VLAN 标识 (VLAN ID)； 2)VLAN 的所有成员都能收到由同一个 VLAN 的其他成员发送来的广播包，但不能收到其nts江苏大学毕业设计论文 他 VLAN 的成员发送的广播包，从而消除了传统的桥接 /交换网络的固有缺陷 包经常被传送到并不需要它的局域网中，避免浪费带宽资源； 3)同一 VLAN 成员之间的通信不需要路由的支持，而不同 VLAN 的成员之间的通信则需要。 VLAN 于传统以太网相比 ,具有以下优势： 1)控制网络上的广播风暴。 传统的 LAN 交换机通过第二层的 MAC 地址与端口的映射关 系，使信息包的传输以线速进行交换，实现了碰撞域的隔离，但没有实现广播域的隔离。交换机在启动时，由于其内部的“映射表” (该表保存了每一端口和与其相连节点的 MAC 地址的对应关系 )是空的，需要通过发送广播消息来获得表项，当网络中节点数足够大时，广播信息包就可能影响其他信息流的传输，是网络的性能迅速下降，这就是所谓的“广播风暴”。控制网络上的广播风暴的最有效的方法之一是采用网络分段法，避免影响其余网络部分，这样可以保证有效的使用网络带宽，最小化过量的广播风暴。 VLAN 技术可以提供建立防火墙的机制，防止交换网络的过量 广播风暴。使用 VLAN 可以将某个交换端口和用户赋予某一个特定的 VLAN 组，该 VLAN组可以在一个交换网中或跨接多个交换机，在一个 VLAN 中的广播风暴不会送到 VLAN 之外，同样，相邻的端口不会收到其他 VLAN 产生的广播风暴。这样可以减少广播流量，为用户应用释放带宽，减少广播风暴的产生。 2)增加网络的安全性 随着 LAN 应用的急剧增加，人们对在 LAN 上传送的数据的安全性的要求也越来越迫切。无论是共享式 LAN，还是交换式 LAN，安全性都很难保证，只要用户插入一个活动的端口，即可访问网段上的广播包，广播域越大，被访 问的广播包就越多。一个最有效和最容易的方式是将网络分段成几个不同的广播组，指网络管理员限制 VLAN 中的用户的数量，限制未经允许而访问 VLAN 的应用。 VLAN 提供安全性防火墙功能，限制了个别用户的访问和控制组的大小及位置等。 3)集中化的控制管理 通过集中化的 VLAN 管理程序，网络管理员可以确定 VLAN 组，并对其分配特定的用户和交换端口，设置安全性等级，限制广播域的大小，跨越交换机配置 VLAN 通信，监控网络流量和 VLAN 使用的网络带宽。 VLAN 的配置方式有：基于端口的 VLAN，基于 MAC 的 VLAN，基于第三 层协议的 VLAN.基于规则 (或策略 )的 VLAN。 4.VPN Virtual Private Networking VPN(virtual Private Networking)是利用不可靠的公用互联网络作为信息传输媒介，通过附加的安全隧道、用户认证等技术实现与专用网络相类似的安全性能，从而实现对重要信息的安全传输。其主要处理过程如下： l)将要保护的主机所发送的明文信息传送到连接公共网络的 VPN 设备； nts江苏大学毕业设计论文 2)VPN 设备根据网络管理员设置的规则，确定是否需要对数据进行加密和让数据直接通过； 3)对需要加密的数 据， VPN 设备对整个数据包 (包括要传送的数据、源 IP 地址和目的IP 地址 )进行加密和附上数字签名； 4)VPN 设备加上新的数据抱头，其中包括目的地 VPN 设备需要的安全信息和一些初始参数； 5)VPN 设备对加密后数据、鉴别包以及源 IP 地址、目标 VPN 设备 IP 地址进行重新封装，重新封装后数据包通过虚拟通道在 Internet 网上传输； 6)当数据包到达目标 VPN 设备时，数据包被核对无误后，数据包被解密。 nts江苏大学毕业设计论文 第三章 防火墙技术综述 3.1 防火墙的基本概念 防火墙 的定义。防火墙原是建筑物大厦设计用来防止火灾蔓延的隔断墙。在 Internet网络中，人们将加在内部网络与外部网络之间的，用来防止非法入侵者通过网络进行攻击，并提供数据可用性、完整性、保密性的安全和审查控制功能的一个或几个中介系统称之为网络防火墙。 防火墙的功能。防火墙是近年来发展起来的重要安全技术，其特征是通过在网络边界上建立相应的网络通讯监控系统来达到保障网络安全的目的。它通过检测、限制、修改跨越防火墙的数据流，尽可能的对外屏蔽网络内部的结构、信息和运行情况，以此来实现内部网络的安全保护。从逻辑上讲，防火 墙是分离器、限制器、分析器。从物理角度看，各站点防火墙物理实现的方式有所不同，通常防火墙是一组硬件设备 路由器、主计算机或配有相应防火墙软件的网络硬件的多种组合。 防火墙的矛盾。防火墙一方面限制数据流通，一方面又允许数据流通，由于不同网络的安全要求和管理机制有差别，这对矛盾也有不同的表现形式。这样就有了两种极端清况：一是一切未被允许的就是禁止的；二是一切未被禁止的就是允许的。第一种安全但不好用，第二种好用但不安全。现在多数防火墙都在这两种之间采取折中措施。这里所谓的好用和不好用主要指跨越防火墙的访问效率。 在确保防火墙安全或比较安全的前提下提高访问效率是当前防火墙技术研究和实现的热点。 3.2 防火墙的分类 1包过滤防火墙 1）数据包过滤 包过滤防火墙工作在网络层，一般是具有多个端口的路由器 (也有人称之为屏蔽路由器 )，它对每个进入的护数据包应用一组规则集合来判断该数据包是否应该转发。数据包过滤技术是以数据包头为基础，按照路由器配置中的一组规则将数据包分类，然后在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑 (被称为访问控制列表 )。访问控制列表 (ACL)制定某种类型的数据包是被转发、还是被丢弃。 数据包过滤是针对分组的包头信息来进行的，每个数据包都包含有特定信息的一组包头，其主要信息有： IP 源地址； IP 目标地址；封装的协议类型 (TCP、 UDP、 ICMP 等 )； TCP 或 UDP 源端口； TCP 或 UDP 目标端口； ICMP 消息类型。 数据包过滤技术通过检查的范围涉及网络层、传输层和会话层，过滤匹配的原则除上述包头信息外，有的还可以根据 TCP 序列号、 TCP 连接的握手序列 (如 SYN、 ACK)的逻辑分析nts江苏大学毕业设计论文 来进行判断，较为有效的抵御类似 IP Spoofing、 Sync flooding 等类型的攻击。具体来说，路由器审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP 转发过程的包头信息。包的进入接口和出接口如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配原则，用户配置的缺省参数会决定是转发还是丢弃数据包。 2）过滤规则设计 为完成数据包过滤，需设计一套过滤规则以规定什么类型的数据包被转发或被丢弃。设计过滤规则的时候，我们应注意以下三个概念： 全连接：描述了一个 TCP 连接的完整信息，它可由一个五元 组来定义 (协议类型、源IP 地址、源 TCP/UDP 端口、目的 IP 地址，目的 TCP/UDP 端口 )； 半连接：描述了连接的一端的信息，它可由一个三元组来定义 (协议类型、 IP 地址、TCP/UDP 端口号 )； 端点也称为传输地址，它由一个两元组来定义 (IP 地址， TCP/UDP 端口号 )。 通过以上三个定义我们不难看出，过滤规则的设计主要依赖于数据包所提供的包头信息。根据包头信息，我们可以按 IP 地址过滤，可以按封装的协议类型过滤，也可以按端口号过滤甚至可以按 SYN/ACK 信号来进行过滤。当然，也可以将上述几种方式组合起 来制定过滤规则。 数据包过滤规则具体体现在访问控制列表 (ACL)的内容上。访问控制列表 (ACL)定义了各种规则来表明是否同意或拒绝包的通过。 有些类型的攻击难以用基本分组头信息加以鉴别，因为这些攻击不属于某种服务。防止这类攻击，在过滤规则中应检查特定 IP 选项、检验特殊片段偏移，下面是对几种攻击的对策： 源 IP 地址欺骗：这类攻击的形式是入侵者从伪装成内部主机的外部节点传送信息分组。只要在路由器的外部接口丢弃每个含有内部 IP 地址的分组即可； 源路由攻击：源站指定了一个信息分组穿越 INTERNET 时应走的路径 。只要丢弃所有含有源路由选项的分组即可； IP 残片攻击：入侵者利用 IP 残片特性生成一个极少的片断并将 TCP 包头信息支解成一个分离的信息分组片断。只要丢弃所有协议类型为 TCP，且 IP 片断偏移量为 1 的信息分组即可 . 3）对包过滤路由器的评价 包过滤路由器分组过滤简单方便，对用户透明，不需用户认证，易于安装管理，由于工作在 IP 层和 TCP/UDP 层，且不必对所有信息流进行审计和跟踪，因此速度快。但正因为其没有日志和审计功能，因此有很多信息不能提供，使得管理员不易对事件进行跟踪检查，有可能受到欺骗性攻击。 2基于 代理的防火墙 基于代理的防火墙又分为电路层网关和应用层网关两种。电路层网关是一个特殊的功nts江苏大学毕业设计论文 能，可以由应用层网关来完成。电路层网关只依赖于 TCP 连接，并不进行任何附加的包处理或过滤。电路层网关对 TCP 连接实行中继。调用者与网关的 TCP 端口相连， TCP 又连接到该网关另一边的某一目的地址上。在调用期间，网关中继程序复制往返的字节。 电路层网关常用于向外连接，这时网络管理员对其内部用户是信任的。他们的优点是堡垒主机可以被设置成混合网关，对于内连接支持应用层网关 (即代理服务 )，而对外连接支持电路层功能。这样使得防火墙系 统对于要访问 Internet 服务的内部人员来一说使用起来很方便，同时又能提供保护内部网络免于外部攻击的防火墙功能。 应用层网关又被称之为代理服务器。代理只对单个 (或很少一部分 )主机提供因特网访问服务，尽管它看起来像是面对用户所有的主机提供服务。具有访问 Internet 功能的主机充当没有该功能的主机的代理人来完成这些机器想做的事。即代理是指代表内部客户端与外部服务器通信的程序 代理服务在客户和服务器建立连接期间同时充当客户和服务器的角色。在连接建立起来后，对客户端来说，与代理服务器交谈就像与真实的服务器交谈一 样，此时，代理服务扮演服务器的角色；对真实的服务器来说，他是与一个运行在代理服务器上的用户交谈，他并不知道用户的真实所在，此时，代理服务扮演的是客户端的角色。代理在发出请求的客户和服务器之间复制数据，相当于一个中继。 由于客户端和服务器之间传输的数据均被代理截获，从而它对会话具有完全的控制并可按需要进行详细的日志记录。同时，代理服务器所具有的网络地址转换 (NAT)功能可以屏蔽内网的 IP 地址，使 Intranet 的网络拓扑结构对外界 Internet 来讲是不可见的。 代理服务器必须为每一个网络应用服务 (如 FTP、 TELNET、 HTTP 等等 )运行一个相应的专门开发的应用代理服务器软件，否则，该服务就不能通过代理服务器。因此，每出现一个新的协议，必须为之开发一个相应的新的应用代理程序。而且代理程序的使用，降低了透明性，同时，由于代理服务器是在基于协议的应用层工作，这会导致网络性能有所下降。 3.3 防火墙的实现方式 前面我们对防火墙的两种基本技术一包过滤和代理服务进行了详细的讨论。这两种技术各有优缺点。所以，在实际使用时，出于对更高的安全性的要求，通常把包过滤和代理服务技术结合起来使用，其基本的体系结构有： 1.双宿 主主机体系结构 所谓多宿主主机是指具