关 键 词：

设计

资源描述：

防火墙及入侵检测技术研究,设计

内容简介：

无锡职业技术学院毕业设计（论文）说明书第1页共14页目录一、引言2（一）课题研究背景及意义2（二）LINUX防火墙的介绍31、防火墙的基本类型32、应用网关4二、LINUX防火墙技术5（一）网络地址转换（NAT）技术5（二）包过滤技术6三、LINUX防火墙功能介绍7（一）包过滤功能7（二）代理服务功能8（三）包伪装8四、防火墙的原理与实现9（一）防火墙的实现原理9（二）构建防火墙步骤10（三）防火墙的实现过程101、数据包的捕获与协议解码102、规则库的解析和检测10（四）防火墙构造安全的解决方案111、堡垒主机或双穴主机网关112、被屏蔽主机网关113、被屏蔽子网12五、结论13参考文献14无锡职业技术学院毕业设计（论文）说明书第2页共14页防火墙及入侵检测技术研究摘要互联网络的蓬勃发展，方便了人们的工作和生活。但是，网络的不安全要素随着现代化网络应用的普遍提高，严峻地挑战了网络讯息的安全。对付这些日益严重的安全的威逼要挟，刚开始的网络安全技术是很难做到的。于是有必要开发专门的工具，来避免被这些不安全要素攻击。防火墙及入侵检测技术可以作为一种非常重要的技术拿来行使。本文主要介绍了一些防火墙的技术、防火墙的基本类型和实现原理，对多种防火墙技术和防火墙体系结构的分类进行了比较。还介绍了LINUX防火墙技术功能，在这里介绍的一些构造安全的解决方案实现过程能够为以后的防火墙构造提供一些借鉴。这种防火墙技术不仅可以使系统更具有灵活性和可扩展性，更使得系统的安全性得到提高。关键词包过滤防火墙；LINUX；网络安全；代理THERESEARCHOFFIREWALLANDINTRUSIONDETECTIONTECHNOLOGYABSTRACTTHEVIGOROUSDEVELOPMENTOFTHEINTERNETTOFACILITATEPEOPLESWORKANDLIFEHOWEVER,THENETWORKELEMENTSALONGWITHAGENERALINCREASEININSECURITYMODERNNETWORKAPPLICATIONSTOTHENETWORKPOSEDASERIOUSINFORMATIONSECURITYCHALLENGESNETWORKSECURITYTECHNOLOGYHASBEENDIFFICULTBEGINNINGTOADDRESSTHESEGROWINGSECURITYCOERCIONBLACKMAILSOTHEREISANEEDTODEVELOPSPECIALIZEDTOOLSTOAVOIDTHESEUNSAFEELEMENTSATTACKSTHISPAPERDESCRIBESTHEBASICTYPESOFFIREWALLS,FIREWALLTECHNOLOGYANDIMPLEMENTATIONPRINCIPLE,AVARIETYOFFIREWALLTECHNOLOGYANDCLASSIFICATIONFIREWALLARCHITECTURESARECOMPAREDITISALSODESCRIBESTHELINUXFIREWALLTECHNOLOGYFUNCTION,SOMECONSTRUCTSECURITYSOLUTIONSPRESENTEDHERECANPROVIDESOMEREFERENCEIMPLEMENTATIONFORFUTUREFIREWALLCONFIGURATIONTHISFIREWALLTECHNOLOGYCANNOTONLYMAKETHESYSTEMMOREFLEXIBILITYANDSCALABILITY,BUTALSOMAKESTHESECURITYOFTHESYSTEMISIMPROVEDKEYWORDSPACKETFILTERFIREWALLLINUXNETWORKSECURITYPROXY一、引言（一）课题研究背景及意义各种计算机的应用随着物联网的迅速普及更加的广泛和深入，从而使人们对计算机网络的依赖性逐步增加。同时也发现了，网络虽然强大，也有其脆弱的一面，随时都有被利用、被攻击的危险。网络通信大多数采用协议来完成，协议在设计上要竭力追求运行的效率，因此造成了网络的不安全现象。人们总是在网络安全发生了问题，产生了严重的恶果之后，方才深刻地了解到网络安全的重要性。网络安全产品跟随着网络的进一步普遍提高，也渐渐地投入了人们的视线。不过，为了看守用户安全大门，防火墙是个非常重要的工具，所以受到的注重在日益增加。研究全球信息安全方面的工作者，就这个问题展开了广泛而深入的研究，其中，防火墙技术是近几年来，渐渐发展起来的一种网络安全技术。也就是说，为了保护受保护网，在外部网络与受保护网络之间，该技术布出了一种保护层。必须要经由这个保护层，来连接内外网进行检查，于是护卫了受保护网资源防止受到外部的不法入侵。通过对越过防火墙的数据流进行限制、更改或监测，尽量地屏蔽外部网络，隐藏受保无锡职业技术学院毕业设计（论文）说明书第3页共14页护网的一些相关构造和讯息，从而保护了网络的安全。本文将从LINUX下的防火墙要用到的相关技能着手，对包过滤的实现原理进行了解。（二）LINUX防火墙的介绍当前的防火墙从技术上，或是产物发展过程中，经过了五个发展阶段。第一代防火墙技能，是与路由器差不多同一时间呈现出来的，选用了包过滤技术。1989年，贝尔实验室，推出了第二代防火墙就是电路层防火墙，并且提出了代理防火墙的初步结构，也就是第三代防火墙。在1992年，USC信息科学院推出了基于动态包过滤技能，后来演变成了如今的状态监视技术。在1998年，NAI公司推出了一种自适应代理技术，带给了代理类型的防火墙一个崭新的意义。这五种防火墙技术也有相同的特征都采用了逐一匹配的方法，不过计算量非常大。自从LINUX操作系统诞生以来，被广泛地应用着，因为LINUX操作系统的源代码是开放的，不需要交费。堡垒防火墙称为主机防火墙，是因为只有该防火墙被单独设置在一台主机上，经常使用的服务器（域名系统服务器、电子邮件服务器、网页服务器等）存在于隔离区，各个子网组成了别的的局域网。1、防火墙的基本类型在十多年的发展过程当中，有多种不同的应用防火墙的设计，这些技术之间的区别不是太明显。然而按照防火墙处置的数据对象和实现层次来分，能够分为应用层网关防火墙和包过滤防火墙（1）应用网关防火墙该防火墙是在应用层上达成的。对网络服务进行代理后，来对进出网络的各种服务进行检查。该防火墙是用来处理各种不同的应用服务。（2）包过滤防火墙该防火墙是在网络之间互连的协议层上实现的，是用来处理网络报文/网络之间互连的协议包。所以，它可以只用路由器来完成。包过滤判断是不是允许报文通过，就要依据网络报文的目的网络之间互连的协议地址、目的端口、源网络之间互连的协议地址、源端口及报文的传递方向等等一些报文的讯息。防火墙的类型不同，处理抽象出的通讯数据的层次就不同，是因为网络通讯基于层次参考模型。因此网络层数据被网络之间互连的协议包过滤处理，应用层数据被应用代理处理。随着防火墙技术的不断发展，近几年来，出现了需要索求加强功能的防火墙，从无锡职业技术学院毕业设计（论文）说明书第4页共14页本质上讲，都是这两类基本类型。比如，现在出现了一种智能型的包过滤器可以用于分析网络之间互连的协议包数据区内容，通过对网络之间互连的协议包进行深入检查，而得出了相关各种因特网服务的信息，因而进行访问控制，属于包过滤型防火墙。此外，有些防火墙是对TCP通信会话层进行控制，比如防火墙安全会话转换协议，这种防火墙实际上是应用网关，都通过对连接会话进行控制来完成实施全部应用。2、应用网关应用网关便是实行一些特定的服务器程序或应用程序于网关上，统称为“代理”程序。代理服务器代理客户机代理获得客户机和服务器之间通信的全部控制权服务器被转发请求相应客户机请求被转发相应代理应用程序图1应用代理的工作原理在一个网络中，不同的请求，处理的方式就不同。一般认为，内部网络是较安全的，外部网络是比较危险的。所以要控制外部网络向内部的信息的请求。这个时候，就由代理程序将外部用户，根据已制定好的安全规则，来决定对内部网络的服务的请求是否向内部真实服务器提交。代理服务代替外部用户，与内部网络中的服务器进行一个连接。一个代理相当于一个应用服务与用户之间的转换。在远程用户向内部请求服务的情况下，一开始要和这个代理连接，继而通过认证之后，由代理连到目的主机上，这个时候，向所代理的客户服务器返回相对应的传送。如图1所示在这一过程中，代理是一个客户程序，并且担任了服务器的角色，对于真实的客户的请求来讲是服务器，但对于服务器来讲是一个客户的请求历程。解决软件防火墙有一种方案叫做代理服务。从代理达成，代理按照不同的开放式系统互联网络分层次结构来分，可分为应用层代理和回路层代理；按照代理控制的服务数来分，代理可分为专用代理和公用代理。无锡职业技术学院毕业设计（论文）说明书第5页共14页（1）回路层代理回路层代理，是一种工作在传输层上的代理方式，通常是在通用的传输层的上面插入代理模块。回路层代理也称作公共代理，因为所有的网络服务都要通过共同的回路层代理。所有的出站和入站链接都必须要先连接代理。建立一个连接请求之前，代理服务器要检查连接回话的请求，用访问控制规则来决定是否建立一个连接，然后建立一个连接，并且对连接状态进行监控。在打开连接时，回路层代理会在因特网服务和用户应用程序之间将网络之间互连的协议包进行转发。如果与安全规则相符，那就正常转发网络之间互相连接的协议数据包；反之则，网络之间互连的协议数据包不能通过。回路层代理能够提供的访问控制机制还是比较具体的，其中包括对代理人与其它客户之间的信息转换的认证。但是它是用来控制连接的，所以不支持UDP服务。这种代理也不好提供太细致的审计信息。（2）应用层代理防火墙可以针对特别的安全服务需求和不同的应用协议来处置，并能对网络之间互连的协议包中的数据（乃至数据重组后的内容）有着不同的处理方式。在这类防火墙体系中，会有不少的代理来分别对应于不同的应用。每当有一个新的的应用层代理时，会更好地交互与其相对等的实体。在这个过程当中，代理程序既是客户程序；又是服务器程序。最初，以服务器的身份代理，接受真正的客户的要求，然后进行安全检查和对客户进行认证；安全检查合格了之后，将客户的请求用客户机的身份转发至真正的服务器。等到会话成立之后，AGENT就作为一个转接器，拷贝出在已经被初始化的服务器和客户机之间的数据。应用层代理能够供给非常仔细的认证和对应用服务来进行访问的掌管。在服务器和客户机之间的全部的数据，是由应用程序代理进行存储并转发，应用层代理对数据和会话有着所有控制权。二、LINUX防火墙技术（一）网络地址转换（NAT）技术NAT称为网络地址转换。允许一个机构以一个地址，出现在互联网上。网络地址转换将每一个局域网节点的地址转换成了一个网络之间互连的协议地址，反过来也是这样。通常把网络地址的转换用在防火墙技术里，隐藏个别的网络之间互连的协议地址，从而使外界察觉不到该地址，并且不好直接地访问里面的网络设备。网络地址转无锡职业技术学院毕业设计（论文）说明书第6页共14页换同时还辅助网络能够逾越地址的限定，合理地安排网络中的私有网络之间互连的协议地址和公有互联网地址的使用。包规则是否允许传输存储包过滤规则分析IP、TCP、UDP数据包包头文字应用下一个包规则允许包包规则是否阻止传输是否是最后一个包规则阻止包是否是否是图2包过滤操作流程图网络地址转换技术可以帮助克服网络之间互连的协议地址紧缺的问题，而且能够使内部网络和外部网络隔绝，供应一定的网络安全保障。网络地址转换技术克服问题的方法是于内部网络当中行使内部地址，通过网络地址转换把内部地址译成正当的网络之间互连的协议地址，在互联网上使用，具体的做法是使用合法的网络之间互连的协议地址来代替网络之间互连的协议包内的地址域。网络地址转换设备来维护一个状态表，把不法的网络之间互连的协议地址照射到正当的网络之间互连的协议地址上。在网络地址转换设备当中每一个包都被译成正确的网络之间互连的协议地址，继无锡职业技术学院毕业设计（论文）说明书第7页共14页而发往下一级，带给处理器一定的负担。但是对于正常的网络来讲，这种负担是不值得一提的。（二）包过滤技术包过滤技术是在网络层当中，对数据包实行通过是有选择性的。包过滤技术确定数据包的通过的条件，是按照系统内预先设置好的过滤规则，搜检每一个数据包。依据数据包的目的地址、源地址、TCP/UDP目的端口号、TCP/UDP源端口号及数据包头中的各种标志位等等因素，。简单地来说，便是对流经网络防火墙的全部数据包顺次查检，并根据所拟定的安全来决定数据包是否通过。包过滤最主要的益处就是其速度和透明性。也正是这个优点，包过滤技术的通过生长得以蜕变而不被裁汰。因为包过滤技术主要地是对数据包的过滤操作，所以数据包的结构是包过滤技术的基础包过滤具体操作流程如图2所示。三、LINUX防火墙功能介绍（一）包过滤功能依据数据包的包头中的某些标志性的字段，对数据包进行了过滤。包过滤可能发生在以下几个时刻发送数据包时；接收到数据包时及转发数据包时。LINUX中过滤包的方法如下（1）将过滤条例和数据包头逐个进行匹配。（2）第一条与包匹配的规则将会决定以下采取的行动首先，这个规则制定的策略将被用到该包上。应用在一个数据包的策略，包含以下几种拒绝，即扔掉该数据包并且发一个“主机不可到达”的INTERNET信报控制协议报文回给发送者；接受，即允许数据包通过该过滤器；丢弃，即扔掉该数据包并且不会发任何返回讯息。其次，修改字节计数器的值和对应此规则的数据包；再次，选择一些数据包的信息，将其写入日志中。（3）若没有过滤规则可以拿来匹配包，那么就采用缺省的过滤规则。LINUX的包过滤规则可以包含以下一些信息（A）包的类型可以是UDP、ICMP、TCP或“ANY”；（B）目的地址和源地址及子网掩码，其中子网掩码中的“0”表示可以匹配任何一个地址；（C）用一个标志来确定包的一些基本信息是否要被写入日志中；无锡职业技术学院毕业设计（论文）说明书第8页共14页（D）ICMP报文类型；（E）某块网卡的网络之间互连的协议地址或名字，这样就可以指定，数据包进出在特定的网卡上；（F）包中的TCP/IP建立连接时使用的握手信号和确认字符标志，是为了防止在某个特定的方向上，创建新的链接；（G）指定修不修改数据包头中的TOS字段；（H）目的端口号和源端口号，一条规则当中可以指定10个以上的端口，也可以允许指定端口的范围；（二）代理服务功能代理服务就是指在防火墙上，运行代理程序软件，若内部网络请求和外部网络进行通信，最初就要创建连接防火墙上代理程序，把该请求发送到代理程序上；代理程序接受后，建立连接外部网相对应的主机，再用新的连接，将请求发送到外部网的主机上，反过来也如此。但是LINUX内核支持透明代理服务功能，透明代理就是完全透明的将连接重新定向到当地代理服务器上。客户端完全不知道其连接在被一个代理进程处理，认为自己是直接和指定的服务器对话的。（三）包伪装网络之间互连的协议包伪装是LINUX中的一种网络功能，只能在TCP/UDP包中使用，能够使没有互联网地址的主机，可以通过有互联网地址的主机来访问互联网。若利用网络之间互连的协议包伪装功能把一台LINUX服务器连接到互联网上，私接上去的电脑即使没有获得正式指定的网络之间互连的协议地址，也能接入互联网。这些电脑就可以访问互联网上的信息而不被发现，看起来就感觉像是服务器在转发此网络之间互连的协议包之前，用自己的网络之间互连的协议地址来代替此数据包的源网络之间互连的协议地址，并且此数据包的TCP/UDP头中的源端口号由临时产生了一个本机口号所取代同一时间，内核会记录下次更换。当外部的返回数据包到达防火墙主机的临时端时，服务器可以自动识别包伪装，将此返回包的端口号和网络之间互连的协议地址由内部主机的端口号和地址所取代，发送给内部主机。四、防火墙的原理与实现（一）防火墙的实现原理防火墙是设立在互联网与内部网之间的软件体系，用来达成2个网络之间的安全无锡职业技术学院毕业设计（论文）说明书第9页共14页策略和访问控制。至少要有2个网络设备，各自连接到互联网和被保护的内部网。被置在内核当中的LINUX的防火墙软件包，是一种基于包过滤型的防火墙。是因为其主要思想就是根据网络层的网络之间互连的协议包头，来控制数据包的流向。因此在LINUX中，对网络之间互连的协议包要用IPTABLES工具来进行严格的控制。包过滤器原本就是一段程序，是用来搜检网络之间互连的协议包的数据包头，决定数据包的命运，包过滤器方可丢弃这些数据包，将数据包扔掉，就像从来没有收到数据包一样，拒绝或接受数据包（数据包将被扔掉，但会产生1个ICMP回复，告诉发送数据包的人，目的地址不能到达）。使用IPTABLES命令来过滤盒地址转换规则的创建、检查及维护。LINUX防火墙分为5个链OUTPUT链（输出链）、FORWARD链（转发链）、INPUT（输入链）、POSTROUTING链（数据包传出）和PREROUTING链（数据包进入）。这5个链的作用是，所有的数据包访问都会经过PREROUTING链，继而再选择通过转发链和输入链（就是说是通过服务器还是访问服务器并进行转发），接着选择POSTROUTING链和输出链。当数据包从互联网进入，对防火墙的LINUX的主机进行了配置，内核使用INPUT链来取舍该数据包。若该数据包没有被抛弃，那么内核进而调用FORWARD链，决定该数据包是否可以发送到某个出口。最后当数据包要被发出前，OUTPUT链用来决定内核，流程如图3所示图3防火墙内核模块结构框架图上层协议栈OUTPUT链INPUT链输入包路由PREROUTING链输入包路由FORWARD链POSTROUTING链数据包传出数据包进入无锡职业技术学院毕业设计（论文）说明书第10页共14页（二）构建防火墙步骤下列步骤构造出禁止一切策略的包过滤防火墙（1）以ROOT身份登录系统，在/ETC/RCD/下简历RCFIREWALL脚本；（2）初始化防火墙规则；（3）设置数据包的过滤规则；（4）激活基本的服务；（5）禁止访问恶意网站；（6）激活局部区域网（LAN）对互联网的访问；（7）IP伪装在防火墙上设置的网络入侵检测系统，能够检测到绕过防火墙进行的非法入侵的事件，并能够检测全部网络的数据流量。此外，网络入侵检测能够在堡垒防火墙被攻破的情况下，保护内网较少的遭到亏损。（三）防火墙的实现过程1、数据包的捕获与协议解码包嗅探器是一个软件程序，用来监视网络的流量，通常被用于网络上，在OSI协议模型当中截取每个协议层次上的数据包。2、规则库的解析和检测网络入侵检测系统规则库中的每一条规则可分为规则选项和规则头。每个检测，为了生成数据结构提供检测，需要分析规则库文件。在没有找到相对应的节点的情况下，凭据数据包当中的其他讯息来进行纵向查找。如果找到了相应的节点，则这个数据包就会被忽略；在没有找到或者存在较大的偏差的情况下，凭据检测策略处理。受保护网外部网堡垒主机图4堡垒主机解决方案无锡职业技术学院毕业设计（论文）说明书第11页共14页（四）防火墙构造安全的解决方案1、堡垒主机或双穴主机网关如图4所示，该防火墙使用堡垒主机做的，堡垒主机上有两块网卡。两块网卡一个与受保护网相连，另一个与外部网相连。防火墙软件在堡垒主机上运行，能够提供服务、转发应用程序。防火墙软件装配在双穴主机网关上，通常不会转发TCP/IP协议，提供了专门的应用程序为每种服务。由管理者设置的访问方式是否能够允许用户登录到防火墙上。若设置为为允许，方便性就会得到提高，但安全性将会降低。比如如果某个正当用户设置的安全口令比较的脆弱，很容易计算，则千方百计地想获得该用户口令的黑客，将使用用户的账户，登录到防火墙上，试图获得该超级用户的特殊权利，这样的危险带将扩展到整个的被受保护的网络。对于屏蔽路由器，双穴主机网关的好处是可以使用堡垒主机的系统软件来维护系统日志、硬件拷贝日志、远程日志。这对往后的检查有用的，但不能确定内网中的主机有哪些已经被黑客入侵了。双穴主机网关有一个致命的弊端如果入侵者侵入了堡垒主机，并且使堡垒主机只具备路由功能，那么网上的任何一个用户都可以随意进入内网进行访问。比方说，UNIX是堡垒主机的操作系统是,系统管理者就可以为了禁止TCP/IP的转发，将核心变量进行修改。然而对该操作系统比较熟悉的黑客，会千方百计地得到系统的特权，之后也能够重新设置该变量，使堡垒主机具有路由功能。所以系统管理员务必要注意对主机的配置和软件的校订级的监视，方可早点发现问题。2、被屏蔽主机网关屏蔽主机网关被广泛应用着，是因为该网关很容易实现，而且很安全。如图5所示，分组过滤路由器与外部网络连接，这个时候堡垒主机也安装在了内部网络上，在路由器上，一般会设立一个过滤规则，唯一能使这个堡垒主机从外部网络中直接到达的主机，这保证了内部网络，不会受到没有被授权的外部用户的攻击。从内部网络导入或导出数据，只可以流沿虚线。无锡职业技术学院毕业设计（论文）说明书第12页共14页外部网受保护网堡垒主机网中其他主机屏蔽路由器图5屏蔽主机网关图若受保护网没有路由器和子网，则屏蔽路由器和堡垒主机的配置，使其不会被内网上的变化影响。在攻击者千方百计登录到该上面的情况下，内部网络中的其余主机就会随之受到很大的威胁。这与双穴主机网关被受攻击时的情形类似。外部网被屏蔽子网受保护网屏蔽路由器堡垒主机屏蔽路由器图6屏蔽子网图3、被屏蔽子网这种方法是有一个被隔离的子网，建立于外网和内网之间，用两台分组过滤路由器，将这个子网与内网分开，也与外网分开。很多实现都在子网的两端放两个分组过滤路由器，构成一个隔离区于子网的内部，如图6所示，被屏蔽子网都可以被外部网络和内部网络访问，但禁止其穿过被屏蔽的子网通信，像万维网和文件传输协议服务器就可以放在隔离区中。有的屏蔽子网当中设置一个堡垒主机，来作为唯一的可访问点，支持终端交互或用来做应用网关代理。堡垒主机、屏蔽子网主机及所有连接外网、内网和屏蔽子网的路由器都属于这种配置的危险带。若是攻击者尝试着彻底地破坏防火墙，那么其必须重新配置路由器来连接外网、内网和屏蔽子网这三个网，既不割断网络连接，又不把自己锁在防火墙的外面，同时还使自己不被发现，这样情况仍然是有可能的。但如果禁止路由器被网络访问，或者该路由器可以只允许被内网中的某些主机访问，在这种状况下，攻击者必须先侵入到无锡职业技术学院毕业设计（论文）说明书第13页共14页堡垒主机上，继而进入到内网主机上，再返过来，去破坏路由器。整个过程当中不可以引发警报。因此黑客的攻击变得很困难。五、结论随着计算机网络，特别是互联网的迅速发展，网络与信息的安全问题也愈来愈被受到重视。在许多方案当中，解决其安全策略的关键部分都会是防火墙。防火墙的应用代理技能，可以分析数据包，解析其内部的应用命令，并且能够供应详细的审计记录等优点。将会在未来的网络安全体系结构当中，发挥着及其重要的作用。利用防火墙技术，能够将安全控制集中起来，这样使网络的安全管理简化了，使攻击的可能性减小了。本文讲述了LINUX防火墙的功能、技术以及防火墙的解决方案和实现原理，题出的解决方案毫无疑问是一套性价比较高的安全系统。当企业选择、购买并安装了防火墙系统以后，进一步的任务就在于怎样有效地利用防火墙，使其在网络安全体系结构当中发挥出最大的作用。防火墙的管理和使用成为了每日工作的重点。然而网络用户的日趋增加，网络的复杂程度也会随之不断的提升，防火墙的管理难度也会快速的增加，进一步的工作便是要有机地结合防火墙系统管理和认证子系统。防火墙仅仅是整个网络安全防护的部分之一，还需要其他的防备维护技术和措施，对用户端的数据流进行加密技术，再结合当前的防火墙技术攻击检测、内容检测等，解决出内部网络的安全问题。无锡职业技术学院毕业设计（论文）说明书第14页共14页参考文献1戴宗坤，罗万伯，方勇等信息安全实用技术MJ重庆重庆大学出版社，20052博嘉科技LINUX防火墙技术探险M北京国防工业出版社，20023谢希仁计算机网络（第四版）M北京电子工业出版社，20034楚狂网络安全与防火墙技术M北京人民邮电出版社，20095顾巧计算机网络安全M北京北京科学出版社，20116吴功宜计算机网络（第二版）M北京清华大学出版社，20057ELIZABETHDZWICKY，OREILLY构建INTERNET防火墙（第二版）M北京清华大学出版社，20098RICHARDTIBBS，EDWARDOAKES防火墙与VPN原理与实践M北京清华大学出版社，20109WRICHARDSTRASSBERGTCP/IP详解卷1协议M北京人民邮电出版社，200710HEITHESTRASSBERG防火墙技术大全M北京机械工业出版社，200611黎连业，张维，向东明防火墙及其应用技术M北京清华大学出版社，200412阎慧防火墙原理与技术M北京机械工业出版社，200413王睿网络安全与防火墙技术M北京清华大学出版社，200014王伟编防火墙原理与技术M北京机械工业出版社，2010分类号无锡职业技术学院毕业设计（论文）题目防火墙及入侵检测技术研究英文并列题目THERESEARCHOFFIREWALLANDINTRUSIONDETECTIONTECHNOLOGY院系物联网系班级物联网31201学生姓名丁丽学号3040120104所在团队指导老师（1）刘贵锋职称讲师指导老师（2）职称答辩委员会主任主答辩人2二零15年4月毕业设计（论文）开题报告学生姓名丁丽学号3040120104班级物联网31201所属院系专业物联网应用技术指导教师刘贵锋职称讲师所在部门物联网技术学院毕业设计（论文）题目防火墙及入侵检测技术研究题目类型工程设计（项目）论文类作品设计类其他一、选题简介、意义各种计算机的应用随着物联网的迅速普及更加的广泛和深入，从而使人们对计算机网络的依赖性逐步增加。同时也发现了，网络虽然强大，也有其脆弱的一面，随时都有被利用、被攻击的危险。网络通信大多数采用协议来完成，协议在设计上要竭力追求运行的效率，因此造成了网络的不安全现象。人们总是在网络安全发生了问题，产生了严重的恶果之后，方才深刻地了解到网络安全的重要性。网络安全产品跟随着网络的进一步普遍提高，也渐渐地投入了人们