生设计关于网络安全及防火墙技术的研究毕业论文

本科生毕业论文关于网络安全及防火墙技术的研究Reserch on Network Security and Firewall Technology学生姓名所在专业所在班级申请学位指导教师 职称副 指 导 教 师 职称答辩时间目 录目 录摘 要 .IABSTRACT .II1 绪论 .11.1 网络安全 .11.1.1 网络安全的定义 .11.1.2 理想的安全网络应有的特征 .21.2 计算机网络所面临的威胁及攻击 .21.2.1 各种网络威胁 .21.2.2 各种网络攻击 .31.3 保障网络安全的一般措施 .42 网络安全技术简介 .52.1 网络安全技术 .52.2 网络安全策略 .52.2.1 风险分析 .52.2.2 安全策略的制定 .63 防火墙的基本介绍 .93.1 防火墙的基本概念 .93.2 防火墙的发展历程 .93.3 防火墙的分类 .103.4 防火墙的优势和不足 .103.5 使用防火墙的意义 .114 防火墙设计方案及技术 .124.1 普通防火墙设计方案 .124.1.1 DMZ.124.1.2 堡垒主机 .134.1.3 过滤网关 .164.1.4 三种设计方案的比较 .184.2 防火墙技术 .184.2.1 包过滤器 .194.2.2 应用级网关 .214.2.3 电路级网关 .23目 录4.2.4 状态包检查（SPI） .244.2.5 防火墙技术的选择 .265 防火墙的高级功能 .275.1 身份验证和授权 .275.2 网络地址转换 .285.3 虚拟专用网络 VPN .305.4 网络监控 .325.5 配置实例 .335.5.1 个人防火墙配置实例 .335.5.2 企业防火墙配置实例 .365.6 防火墙高级功能的选择 .396 防火墙未来的发展 .407 结束语 .42鸣 谢 .43参考文献 .44摘 要I摘 要Internet 以惊人的速度在全球发展，正广泛渗透到人们生活的各个领域，在不远的将来，我们的社会将进入一个全面的网络时代，我们的生活将与计算机网络更加息息相关，联系更加紧密，例如：Email，电子商务，获取信息等等，可以说我们的生活离不开计算机网络。然而随之而来的网络安全问题，使人民在享受网络便利的同时，还要面临网络入侵的威胁。显然网络安全对于我们来说是非常重要的。网络安全是一个十分广泛的题目，它包括：网络安全的本质含义，理想安全网络的特征，不同领域对网络安全的理解，保障网络安全的技术，网络安全的保障措施等等。为了应对日益严峻的网络安全形势，出现了各种各样的安全技术，防火墙技术是其中非常重要的防御手段，正被广泛应用于各种网络环境中。本文将介绍目前较流行的网络威胁，及其带来的影响，并集中从防火墙的基本技术、设计、功能等方面介绍防火墙的工作原理、体系结构和防火墙的一些高级功能如：网络地址转换，虚拟专用网等，并介绍防火墙现阶段所存在的问题，以及分析防火墙未来的发展趋势。关键词：网络安全；防火墙ABSTRACTIIABSTRACTWith the drastically world-wide booming of the Internet,it has penetrated into our life,we are living in a net world now.Our life is related to the network,we cant live without it.For example:Email,electronic business,acquiring information etc.However,with the rise of the problem of the network security,we have to confront the threat of Internet while enjoying the convenience from it.So it is without saying that the network security is very important.Network security is a big topic,which includes:the definition of the network security ,the identification of the ideal safe network ,different understanding of the net security ,proving the network security and the measures of protecting the network security etc.A variety of security technologies have been developed to deal with the more and more worse network situation.Firewall is one of the most important defensive measures,which is utilized in diverse network.In this paper,we will talk about the popular network threaten at present and the influence they have made.We will analysis the technology，design project and function to introduce firewalls work theory,system structure and the high function such as NAT and VPN.We will also point out the problem of the firewall at present, and analysis the development of firewall.KEYWORDS: Network security； firewall 1 关于网络安全及防火墙技术的研究1 绪论Internet 已经成为了人类所构建的最为丰富多彩的虚拟世界。其绝对用户的数目正成百上千的在世界各地增长，而且这种增长速度将一直持续下去。网络的迅速发展，给我们的工作和学习生活带来了巨大的改变。Internet 遍布世界任何一个角落，并且欢迎任何一个人加入其中，相互沟通，相互交流。通过网络获得信息，共享资源已经成为现代人生活的一个重要环节。但是，随着网络的延伸，安全问题受到人们越来越多的关注。它也存在被误用、滥用和用来实施犯罪的可能性，而这种会导致危害的可能性使得用来保护 Internet 资源的安全措施和设备变得不可或缺。1.1 网络安全几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人，他们利用各种网络和系统的漏洞，非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源，可以任意使用和共享。不需要去了解那些攻击程序是如何运行的，只需要简单的执行就可以给网络造成巨大的威胁。甚至部分程序不需要人为的参与，非常智能化的扫描和破坏整个网络。这种情况使得近几年的攻击频率和密度显著增长，给网络安全带来越来越多的安全隐患。在网络安全的形势日益严峻的情况下，网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障，成为一项受到人们重视的网络安全技术。1.1.1 网络安全的定义网络安全的通常定义是指网络系统的硬件、软件及系统中数据信息能够受到保护，不会因为偶然或者恶意的原因而遭破坏、更改、泄露，系统能够可靠运行，网络服务不中断 1。对网络安全的定义，存在着许多不同的解释，不同角度会有不同的见解，例如：就用户（个人、企业）角度来说，网络安全定义侧重的是个人隐私或商业信息在网络上传输时受到机密性、完整性和真实性的保护，避免被窃听、冒充、篡改等侵犯，同时当信息保存在某个计算机系统上时，不受非法用户非授权的访问和破坏。从网络运营和管理者角度来说，本地网络中的信息访问等操作受到保护和控制， 2 避免出现网络资源非法占用、非法控制、病毒、拒绝服务等威胁，有效防御网络黑客攻击等，这就是网络安全的内容。对安全保密部门来说，网络安全应该能够对那些非法的、有害的或者涉及国家机密的信息进行过滤和防堵，避免其网络泄露，避免由此产生对社会的危害、对国家经济的损失。就社会教育和意识形态而言，网络安全就是能对网络上不健康的内容进行控制等 2。1.1.2 理想的安全网络应有的特征通过上面的分析，可知一个理想的安全网络应具有如下的特性：保密性：信息不泄露给非授权用户、实体、进程或供其利用的特性。完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性：可被授权实体访问并按其要求使用的特性，即当需要时应能存储所需的信息。其中网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。可控性：对信息的传播及内容具有控制能力。1.2 计算机网络所面临的威胁及攻击当前的计算机网络系统在许多方面存在弱点，比如数据弱点、软件弱点、物理弱点、传输弱点等。当系统接入 Internet 后，就面临不断增多的各种安全威胁和攻击。1.2.1 各种网络威胁所谓网络威胁，不光是指“CIH” 、 “冲击波”等传统病毒，还包括特洛伊木马、后门程序、流氓软件（包括间谍软件、广告软件、浏览器劫持等） 、网络钓鱼（网络诈骗）、垃圾邮件等等。它往往是集多种特征于一体的混合型威胁 3。网络威胁大体可以分为两类：一是对网络中信息的威胁；二是对网络中设备的威胁。这些威胁可能是有意的，也可能是无意的，可能是人为的，也可能是非人为的。具体论述如下：人为的无意失误：一些安全漏洞可能是人为失误原因造成的，如：系统安全配置不当；用户口令选择不慎；帐户随意转借或共享等。人为的恶意的攻击：人为的恶意攻击正是计算机网络面临的最大威胁，敌对攻击和计算机犯罪即属于此类。此类攻击一般包括两种情况：一种是主动攻击，它有选择的破坏网络信息的有效性和完整性；另一种为被动攻击，它是在不破坏网络正常运作的情况下，对网络信息进行截获、窃取、破译，从而获得其所需信息。无论哪种攻击，都会给网络带来极大危害，导致发生不可知的后果。 3 网络软件的漏洞和后门：网络软件在设计上不可能无缺陷和无漏洞，恰恰就是这些漏洞和缺陷，时常被黑客利用作为攻击的首选入口，有很多黑客攻入网络内部的案例的原因多数是因为安全措施不完善的结果，软件后门一般是开发人员预留的，通常情况下外人不知道，倘若后门泄露，其后果无法想象。1.2.2 各种网络攻击网络攻击简单的说就是黑客攻击或者蠕虫、木马攻击。网络攻击的方法有很多，例如：基于口令的攻击：口令攻击是黑客最常采用的攻击网络的方法。最常见的方法是：首先，黑客会试图用一个注册证书和口令闯入系统。他们通常用基于“字典”的方法进行攻击，也就是用一类程序按排列组合方法逐个尝试每个可用字符，直至成功为止，这种方法费时不费力，因为所有工作都是程序自动完成的。对于 Unix 系统来讲，因为它不像其它系统那样在一定次数失败注册后会封锁该用户，所以它更容易受到基于字典的攻击，黑客可以无数次的以错误的口令尝试进入 Unix 系统，而 Unix 系统既不会断开连接，也不会提醒管理员。一些黑客能成功使用诸如 Telnet、FTP 等 Unix 服务，从而得到口令文件。操作系统一般会对口令文件进行加密，然而 Unix 加密所有口令文件都采用同一种算法。黑客能轻易的绕过用该算法读取口令文件。网络偷窥和报文劫持攻击：这可能算是最难的攻击方法，它对 Internet 商务同样具有极大的威胁，从理论角度来讲，Internet 传输的报文在到达目的地之前需要通过数台计算机，如使用报文窥探方法，黑客就能阻截两地间传输的报文，获得报文后打开并盗取该报文的主机名、用户名及口令。黑客通常把报文窥探作为网络偷窥的一种常用方法。利用受托访问的攻击：该攻击方式常在有受托访问机制操作系统的网络中使用，特别对 Unix 系统而言，这种受托机制是极大的安全隐患。在这种系统中，用户能创建受托主机文件，该文件包含主机名或用户访问系统的地址。如果我们想有一个受托系统连接，只能用 rlogin或其它类似的命令，因此如果黑客能够猜到受托主机的名字，他就获得系统的扩展访问权，更糟的是大多数黑客知道：Unix 系统管理员在根目录创建 rhosts 文件，从而使用户能以超级用户权限在主机间随意移动访问，现在多数管理员已经开始意识到 rhosts花费太大，而且它会轻易的授予未认证的根目录访问权，这很容易被乘机而入。IP 欺骗攻击：顾名思义，这种攻击方法就是在用 IP 协议传送报文时，黑客使用 IP 欺骗法攻击网络，提供假认证通过复制主机的 IP 地址来宣称自己是网络中主机或受托网中的主机，从而获得返回的报文。利用许多自动工具，黑客只需在二十秒内就能执行一次完全的 4 IP 欺骗攻击。伪社会角色攻击：随着 Internet 越来越广泛的使用，这种攻击方式也变得越来越常见和危险，黑客通常给目标用户发送一个 E-mail 告诉他自己是系统管理员，伪装成社会角色进行攻击。这类 E-mail 通常会要求目标用户以 E-mail 形式把用户口令等重要信息回复给 “管理员”。这类攻击往往针对那些对网络了解不多的对象顺序号预测攻击：这是黑客利用 IP 欺骗进入 Unix 的另一种常见方法。任何 TCP/IP 连接在开始时都需要与连接的计算机交换“握手”信息或是含有顺序号的开始报文，计算机把顺序号当作每次传输的一部分，它依据内部时钟来创建序号。黑客就是利用预测手段，猜测到目标系统的“握手”信息或开始报文从而对其发动攻击的。会话劫持攻击：会话劫持攻击比 IP 欺骗更多见，原因是起对进出网络的数据都能实施攻击，而且它不需经预测“握手”信息和顺序号，而使得入侵行为变得易行。在这种攻击方式中，攻击者会寻找到现有的两台计算机间的一条连接，通常是服务器和客户间的连接，然后穿过未加保护的路由器或不合适的防火墙，他就能检测到交换信息的计算机所用的相关顺序号。入侵者得到合法用户的地址信息后，他模拟用户地址来劫持用户通话。这样主机会断开与合法用户的连接，正中攻击者的圈套。1.3 保障网络安全的一般措施保障网络安全的措施一般应有两大类：技术上的和政策上的。这里所讲的技术措施主要是指逻辑技术。具体来说，逻辑技术指的是诸如安全协议、密码技术、数字签名、防火墙、安全管理、安全审计等网络安全技术。通过提高这些网络技术水平，来有效地防止网络上传输的信息被非法窃取、篡改、伪造，保证其保密性和完整性：有效地防止非法用户（或程序）的侵入，限制网络上用户（或程序）的访问权限，保证信息存入的私有性及通信双方的身份真实性和信息的可用性 4。就政策措施而言，指的是通过制定完善细致的管理和控制措施，来保障网络活动秩序，建立网上道德和法律体系，保障网民合法权益。当然，这是一项长期任务，它会随着计算机网络发展而不断完善 5。 5 2 网络安全技术简介2.1 网络安全技术第一章中论述了种种网络威胁和攻击，它们对网络安全具有极大的影响。在这一章中，将研究保护网络安全的几种技术。网络设计之初只考虑到网络的方便性、开放性，这使得网络非常脆弱，极易受到破坏，无论这种破坏是有意的还是无意的，都将给网络带来极大的破坏。为了解决这个问题，专家做了大量研究，主要包括数据加密、身份认证、数字签名、防火墙、安全审计、安全管理、安全内核、安全协议、IC 卡（包括存储卡、加密存储卡、CPU 卡）、拒绝服务、网络安全性分析、网络信息安全监测、信息安全标准