计算机网络安全与防火墙技术毕业论

1、北京北大方正软件技术学院毕业设计（论文）题 目：计算机网络安全与防火墙技术系 别： 专 业： 学 号： 姓 名： 指导老师： 完成日期： 2010 年 4 月 6 日北京北大方正软件技术学院毕业设计（论文）成绩评定表（理科）年级 07级 专业 姓名学号 论文题目： 计算机网络安全与防火墙技术 指导教师： 项目评分标准优秀良好合格不合格选 题优 秀：选题有重要理论意义和实际价值；良 好：选题有较强理论意义和实际价值；合 格：选题有一定理论意义和实际价值；不合格：选题欠妥。基础知识优 秀：有坚实的理论基础和系统深入的专业知识；良 好：有较坚实的理论基础和系统深入的专业知识；合 格：有一定的理论基础

2、和专业知识；不合格：基础理论不够全面，专业知识不系统。实践能力优 秀：体现出较强的实践工作能力；良 好：体现出较好的实践工作能力；合 格：体现出一定的实践工作能力；不合格：体现出工作能力较差。写作能力优 秀：条理清楚，层次分明，文笔流畅，学风严谨；良 好：条理性好，层次分明，文字通顺，工作认真；合 格：条理较好，层次较分明，文字较通顺；不合格：条理不清，写作较差。论文综合评价优秀 良好 合格 不合格指导教师评定意见签 字：年 月 日毕业设计领导小组签字签 字：年 月 日注：此表附毕业设计（论文）后摘 要本论文主要研究计算机网络安全与防火墙技术。论述了网络防火墙安全技术的功能、主要技术、配置、安

3、全措施和防火墙设计思路等。随着计算机网络的普及，网络安全问题越来越得到人们的重视。我们可以针对目前网络安全的缺点和漏洞以及防火墙设置等，提出相应措施，以期待我们的网络能够更加安全。在确保网络安全和数据安全方面，有数据加密技术、智能卡技术、防火墙技术等，我们在这里主要研究的是防火墙技术。从防火墙的防范方式和侧重点的不同来看，防火墙可以分为很多类型。然后介绍了防火墙两种基本实现技术：分组过滤、应用代理。防火墙技术还处在一个发展阶段，仍有许多问题有待解决。关 键 字计算机网络安全 防火墙 防范措施 分组过滤 代理 堡垒主机目录一、绪论1.研究背景2.研究目的3.论文结构二、网络安全1.网络安全问题（

4、1）网络安全面临的主要威胁（2）影响网络安全的因素2.网络安全措施三、防火墙简介1.防火墙的概述2.防火墙的功能3.防火墙的原理及分类4.防火墙的包过滤技术（1）深度表结构（2）传统包过滤技术（3）动态包过滤（4）深度包过滤（5）流过滤技术四、防火墙的配置1.硬件连接与实施2.防火墙的特色配置3.防火墙的配置与实施五、防火墙的发展趋势1.防火墙技术的发展趋势2.防火墙的体系结构发展趋势3.防火墙的系统发展管理趋势4.防火墙技术队网络安全的影响六、谢辞七、参考文献八、注释九、毕业实习报告成绩评定表一.绪论伴随着网络信息化建设的不断深入，网络安全问题已经越来越成为人们关注的焦点。在网络给人们带来便

5、利生活的同时，也让人饱受安全问题的困扰。如何强化网络安全意识、提高网络安全技能已经成为刻不容缓的问题。1.研究背景随着互联网的普及和发展，尤其是Internet的广泛使用，使计算机应用更加广泛与深入。同时，我们不得不注意到，网络虽然功能强大，也有其脆弱易受到攻击的一面。在我国，每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时，对网络安全问题也决不能忽视。如何建立比较安全的网络体系，值得我们关注和研究。2.研究目的为了解决互联网时代个人网络安全的问题，近年来新兴了防火墙技术。防火墙具有很强的实用性和针对性，它为个人上网用户提供了完整的网络安全解决方案，可以有效

6、地控制个人电脑用户信息在互联网上的收发。用户可以根据自己的需要，通过设定一些参数，从而达到控制本机与互联网之间的信息交流阻止恶性信息对本机的攻击。3.论文结构在论文中接下来的几章里，将会有下列安排:第二部分，分析研究网络安全问题，网络安全面临的主要威胁，影响网络安全的因素，及保护网络安全的关键技术。第三部分，介绍防火墙的相关技术，如防火墙的原理、功能、包过滤技术等;。第四部分，以H3CH3C的F100防火墙为例，介绍防火墙配置方法。第五部分，系统阐述防火墙发展趋势。二.网络安全1.网络安全问题安全，通常是指只有被授权的人才能使用其相应资源的一种机制。我国对于计算机安全的定义是：“计算机系统的硬

7、件、软件、数据受到保护，不因偶然的或恶意的原因而遭到破坏、更改、显露，系统能连续正常运行。”（1）网络安全面临的主要威胁一般认为，计算机网络系统的安全威胁主要来自计算机病毒、黑客的攻击和拒绝服务攻击三个方面，第一计算机病毒的侵袭；第二黑客侵袭；第三拒绝服务攻击。具体讲，网络系统面临的安全威胁主要有如下表现：身份窃取、非授权访问、数据窃取、拒绝服务、病毒与恶意攻击、冒充合法用户等。（2） 影响网络安全的因素第一是单机安全，购买单机时，型号的选择；计算机的运行环境（电压、湿度、强电磁场等）；计算机的操作等等，这些都是影响单机安全性的因素。第二是网络安全，影响网络安全的因素有：节点的安全、数据的安全

8、、文件的安全等。2.网络安全措施网络信息安全涉及方方面面的问题，是一个复杂的系统。一个完整的网络信息安全体系至少应包括三类措施：一是法律政策、规章制度以及安全教育等外部软环境。二是技术方面，如信息加密存储传输、身份认证、防火墙技术、网络防毒等。三是管理措施。 三.防火墙的简介1.防火墙的概述防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙提供信息安全服务，是实现网络和信息安全的基础设施。2.

9、防火墙的功能防火墙具有如下的功能：（1）包过滤。（2）地址转换。（3）认证和应用代理。（4）透明和路由。（5）入侵检测功能。（6）虚拟专网功能。3.防火墙的原理及分类国际计算机安全委员会将防火墙分成三大类:包过滤防火墙，应用级代理服务器以及状态包检测防火墙。包过滤防火墙就是把接收到的每个数据包同预先设定的包过滤规则相比较，从而决定是否阻塞或通过。 代理服务型防火墙也称链路级网关或TCP通道，它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术。复合型防火墙是指由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。4.防火墙的过滤技术所谓包过滤，

10、就是对流经网络防火墙的所有数据包逐个检查，并依据所制定的安全策略来决定数据包是通过还是不通过。(1数据表结构当应用程序用TCP传送数据时，数据被送入协议栈中，然后逐个通过每一层直到被当作一串比特流送入网络。其中每一层对接收到的数据都要增加一些首部信息。IP，TCP首部格式如表3-1表3-2所示。表3-1 IP首部格式版本首部长服务类型总 长 度标识标志片偏移生存时间协议首部校验和源IP地址目的IP地址选项表3-2 TCP首部格式源端口号目的端口号序列号确认号首部长保留LRCTBLPBHRCTCJHHJR窗口大小TCP校验和紧急指针选项(2传统包过滤技术传统包过滤技术，大多是在IP层实现，它只是

11、简单的对当前正在通过的单一数据包进行检测，查看源/目的IP地址、端口号以及协议类型(UDP/TCP等，结合访问控制规则对数据包实施有选择的通过。这种技术存在的问题主要表现有:有可能会用到的端口都必须静态放开；不能对数据传输状态进行判断；无法过滤审核数据包上层的内容。(3动态包过滤动态包过滤通过在内存中动态地建立和维护一个状态表，数据包到达时，对该数据包的处理方式将综合静态安全规则和数据包所处的状态进行。这种方法的好处在于由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包(通常是大量的数据包通过散列算法，直接进行状态检查，从而使性能得到了较大提高动态包过滤技术克服了传统包过滤仅仅孤立的

12、检查单个数据包和安全规则静态不可变的缺陷，使得防火墙的安全控制力度更为细致。(4深度包检测目前许多造成大规模损害的网络攻击，都是利用了应用的弱点。利用高层协议的攻击和网络病毒的频繁出现，对防火墙提出了新的要求。防火墙必须深入检查数据包的内部来确认出恶意行为并阻止它们。深度包检测(Deep Packet Inspection就是针对这种需求，深入检测数据包有效载荷，执行基于应用层的内容过滤，以此提高系统应用防御能力。应用防御的技术问题主要包括:第一需要对有效载荷知道得更清楚;第二也需要高速检查它的能力。一个深度包检测的流程框图如图3.1所示。图3.1 深度包检测框图(5流过滤技术流过滤是东软集团

13、提出的一种新型防火墙技术架构，它融基于状态的包过滤技术与基于内容的深度包检测技术为一体，提供了一个较好的应用防御解决方案，它以状态监测技术为基础。如在对SMTP协议的处理中，系统可以在透明网桥的模式下实现完全的对邮件的存储转发，并实现丰富的对SMTP协议的各种攻击的防范功能一流过滤的示意图如图3.2所示。图3.2 流过滤示意图四、防火墙的配置1.硬件连接与实施一般来说硬件防火墙和路由交换设备一样具备多个以太接口，速度根据档次与价格不同而在百兆与千兆之间有所区别。(如图4.1图4.1如果防火墙上有WAN接口，那么直接将WAN接口连接外网即可，如果所有接口都标记为LAN接口，那么按照常规标准选择最

14、后一个LAN接口作为外网连接端口。相应的其他LAN接口连接内网各个网络设备。2.防火墙的特色配置从外观上看防火墙和传统的路由器交换机没有太大的差别，一部分防火墙具备CONSOLE接口通过超级终端的方式初始化配置，而另外一部分则直接通过默认的LAN接口和管理地址访问进行配置。除此之外防火墙的其他相关配置与路由交换设备差不多，无外乎通过超级终端下的命令行参数进行配置或者通过WEB管理界面配置。3.软件的配置与实施以H3C的F100防火墙为例，当企业外网IP地址固定并通过光纤连接的具体配置。首先当企业外网出口指定IP时配置防火墙参数。选择接口四连接外网，接口一连接内网。这里假设电信提供的外网IP地址

15、为。第一步：通过CONSOLE接口以及本机的超级终端连接F100防火墙，执行system命令进入配置模式。第二步：通过firewall packet default permit设置默认的防火墙策略为“容许通过”。第三步：进入接口四设置其IP地址为，命令为int e0/4第四步：进入接口一设置其IP地址为内网地址，例如，命令为int e0/1第五步：将两个接口加入到不同的区域，外网接口配置到非信任区untrust，内网接口加入到信任区trustfire zone untrustadd int e0/4fire zone trustadd int e0/1第六步：由于防火墙运行基本是通过NAT来

16、实现，各个保护工作也是基于此功能实现的，所以还需要针对防火墙的NAT信息进行设置，首先添加一个访问控制列表acl num 2000rule deny第七步：接下来将这个访问控制列表应用到外网接口通过启用NATint e0/4nat outbound 2000第八步：最后添加路由信息，设置缺省路由或者静态路由指向外网接口或外网电信下一跳地址执行save命令保存退出后就可以在企业外网出口指定IP时实现防火墙数据转发以及安全保护功能了。五.防火墙的发展趋势针对传统防火墙不能解决的问题，及新的网络攻击的出现，防火墙技术也出现了新的发展趋势。主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体

17、现。1.防火墙包过滤技术发展趋势(1安全策略功能一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中，使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的，包过滤技术的防火墙不具有。(2多级过滤技术所谓多级过滤技术，是指防火墙采用多级过滤措施，并辅以鉴别手段。在分组过滤(网络层一级，过滤掉所有的源路由分组和假冒的IP源地址；在传输层一级，遵循过滤规则，过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等；在应用网关(应用层一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的

18、所用通用服务。(3功能扩展功能扩展是指一种集成多种功能的设计趋势，包括VPN、AAA、PKI、IPSec等附加功能，甚至防病毒、入侵检测这样的主流功能，都被集成到防火墙产品中。2.防火墙的体系结构发展趋势随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍，它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要，一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了CPU