VB多层防火墙技术的研究-开题报告书

本 科 生 毕 业 论 文 （ 设 计 ） 开 题 报 告 书题 目 多层防火墙技术的研究 状态检测 学生姓名 尹 光 銮系 别 计 算 机专业班级 计 0 1 1 0 5 班 指导老师 朱 利 群 2005 年 4 月 10 日论文（设计）题目 多层防火墙技术的研究状态检测课题目的、意义、国内外有关研究动态：通过本课题的毕业设计，全面掌握开发防火墙的全过程及其相关的理论与技术，以达到锻炼与提高软件开发动手能力之目的。按照学校对毕业设计各环节的要求，在指导老师的指导下认真完成毕业设计的全部内容。1. 课题任务 系统的设计 模块的划分及功能描述 表述层组件，中间层组件，数据层组件的生成 防火墙安全方法的设计 状态检测子模块的划分与设计 系统的测试2. 课题意义 通过查阅国内外相关文献，了解多层防火墙的最新技术与动态，掌握防火墙设计的基本技能。3. 国内外有关研究动态目前国内外研究状态检测防火墙有两钟方法： 一种是直接把 IDS、病毒检测部分直接“做”到防火墙中，使防火墙具有（简单的）IDS 和病毒检测设备的功能。另一种是各个产品分立，但是通过某种通讯方式形成一个整体，即相关检测系统专职某一类安全事件的检测，一旦发现安全事件，则立即通知防火墙，由防火墙完成过滤和报告。第一种方法似乎前途不明确，因为 IDS 本身也是一个非常复杂的系统，且不说能不能“做”到防火墙里边去，即使成为防火墙的一部分，这样一个防火墙的效率也很难说。第二种方法在实现起来困难一些，而且很明显的是：IDS、病毒检测设备必须置于防火墙之外，如果置于防火墙之内，就起不到相应效果了。这样一来，IDS 等设备本身的安全性又不得不成为研究的一个重点。 从趋势上看，未来的防火墙将位于网络级防火墙和应用级防火墙之间，也就是说，网络级防火墙将变得更加能够识别通过的信息，而应用级防火墙在目前的功能上则向“透明” 、 “低级”方面发展。最终防火墙将成为一个快速注册稽查系统，可保护数据以加密方式通过，使所有组织可以放心地在节点间传送数据。课题的主要内容（观点） 、创新之处：状态监视器作为防火墙技术其安全特性最佳，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。创新之处：在于它与其它安全方案不同，当用户访问到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定，安全报警器就会拒绝该访问，并作下记录向系统管理器报告网络状态。状态监视器的另一个优点就是可以监测RemoteProcedureCall 和 User DatagrqamProtocol 类的端口信息。问题当然也有，即状态监视器的配置非常复杂，而且会降低网络的速度。研究方法、设计方案或论文撰写提纲：本系统的研究方法及设计方案如下：状态检测防火墙，试图跟踪通过防火墙的网络连接和包，这样防火墙就可以使用一组附加的标准，以确定是否允许和拒绝通信。它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点的。下面是状态检测工作机制：1. 状态监测表建立防火墙的状态检测表使用 ACK 来建立会话，当通过使用一个 SYN 包来建立一个会话时，防火墙先将这个数据包和规则库进行比较。如果通过了这个数据连接请求，它被添加到状态检测表里。这时需要设置一个时间溢出值，参考 CHECK-POINT FW-1 的时间值，将其值设定为 60 秒。然后防火墙期待一个返回的确认连接的数据包，当接收到如此的包的时候，防火墙将连接的时间溢出值设定为 3600 秒。对于返回的连接请求的数据包的类型需要做出判断，已确认其含有 SYN/ACK 标志。2. 连接的关闭 当状态监测模块监测到一个 FIN 或一个 RST 包的时候，减少时间溢出值从我们缺省设定的值 3600 秒减少到 50 秒。如果在这个周期内没有数据包交换，这个状态检测表项将会被删除，如果有数据包交换，这个周期会被重新设置到 50 秒。如果继续通讯，这个连接状态会被继续地以 50 秒的周期维持下去。这种设计方式可以避免一些 DOS 攻击，例如，一些人有意地发送一些 FIN 或 RST 包来试图阻断这些连接。 3. UDP 的连接维护当一个完成规则检查的数据包通过防火墙时，这次会话被添加到状态检测表内，并设置一个时间溢出值，任何一个在这个时间值内返回的包都会被允许通过，当然它的 SRC/DST 的 IP 地址和 SRC/DST 的端口号是必须匹配的。4. ICMP 的状态检测问题 在对做状态检测时是需要对 ICMP 的内容进行分析的。对于什么样的 ICMP 可以发出和放入在状态监测模块中如何确定是关键。论文撰写提纲：1、系统的需求分析2、系统的建模分析及功能模块的划分3、系统的编码4、系统的调试5、参考文献6、总结与体会完成期限和预期进度：3 月 21 日3 月 28 日（1 周） 3 月 25 日：师生见面会 文献资料检索，收集资料，问题定义，可行行分析，需求分析，书写开题报告3 月 28 日4 月 18 日（3 周） 4 月 12 日：开题报告审查，提交论文 外文资料翻译，概要及详细设计，提交软件设计报告 4 月 18 日5 月 1 日（2 周） 4 月 30 日：中期检查表 编写代码，系统设计，测试，完善程序，程序演示5 月 1 日5 月 15 日（2 周） 撰写毕业设计论文，修改装订，论文送审5 月 16 日5 月 30 日（2 周） 5 月 25 日：提交论文 上交毕业设计报告(论文)，整理文档，并准备答辩所用的所有材料，提交检查5 月 31 日6 月 15 日（2 周） 毕业答辩，鉴定评分主要参考资料： 亨利曼凯 防火墙 珠海出版社 2004.1 福德 个人防火墙 人民邮电出版社 2002.8 WILLIAMRCHESWICK 防火墙与英特网的安全 北京机械出版社 2004.1 李静安 高级防火墙 ISAServer2000 北京铁道工业出版社 2002.1 朱辉雁 Windows 防火墙与网络封包截获技术 北京电子工业出版社 2002.7 （美）泰瑞威廉奥哥里瑞 防火墙原理与实例：网络安全北京电子工业出版社 2004.7 黄文聪，严望佳 防火墙的选型，配置，安装和维护 清华大学出版社 2000.4 武国琪，唐逊 ISServer 2000 防火墙建置 中国青年出版社 2002.2 http:/tech.cci /pub/html/network/focus/firewall/ http:/fanqiang.chinaunix.