《2022年防火墙的配置及应用-毕业论文.docx》由会员分享,可在线阅读,更多相关《2022年防火墙的配置及应用-毕业论文.docx(57页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、精选学习资料 - - - - - - - - - 娄底职业技术学院毕 业 论 文防火墙的配置及应用姓 名:学 号:20220206 指导老师:聂春雷系 名:电子信息工程系专 业:电脑网络班 级:二零一一年十一月二十五日名师归纳总结 - - - - - - -第 1 页,共 33 页精选学习资料 - - - - - - - - - 摘要本论文主要争论电脑网络安全与防火墙技术;论述了网络防火墙安全技术的功能,主要技术,配置,安全措施和防火墙设计思路等;随着电脑网络的普及,网络安全问题越来越得到人们的重视; 我们可以针对目前网络安全的缺点和漏洞以及防 火墙设置等, 提出相应措施, 以期望我们的网络能
2、够更加安全;在确保网络安全 和数据安全方面,有数据加密技术,智能卡技术,防火墙技术等,我们在这里主 要争论的是防火墙技术; 从防火墙的防范方式和侧重点的不同来看,防火墙可以 分为很多类型;然后介绍了防火墙两种基本实现技术:分组过滤,应用代理;防 火墙技术仍处在一个进展阶段,扔有很多问题有待解决;关键字 电脑网络安全、防火墙、防范措施、分组过滤、代理、堡垒主机名师归纳总结 - - - - - - -第 2 页,共 33 页精选学习资料 - - - - - - - - - Abstract This thesis mainly study computer network security and
3、 firewall technology. On the network firewall security technology function, main technical, the configuration, safety measures and firewall design ideas, etc. With the popularization of computer network, the problem of network security is more and more get peoples attention. We can according to the
4、present network safety defects and loopholes and firewall Settings etc, and proposes the corresponding measures, as we look forward to the network can safer. Ensure that the network security and data security, data encryption technology, i.c. technology, firewall etc, here we mainly study is a firew
5、all technology. From the firewall preventive way and emphasis of different perspective, firewall can be divided into many types. Then introduces firewall two basic: packet filtering, realization technology application agent. Firewall technology was still in the development stage, throw has many prob
6、lems to be solved. keyword Computer network security precautions packet filter firewall bastion host agent 名师归纳总结 - - - - - - -第 3 页,共 33 页精选学习资料 - - - - - - - - - 目录摘要 . 2Abstract . 3前言 . 5第一章防火墙的概论. 6防火墙是什么 . 6防火墙的分类 . 6静态包过滤防火墙:. 6动态包过滤防火墙:. 72.1.3 代理应用层网关防火墙:. 7自适应代理防火墙:. 7防火墙功能概述 . 84.1 防火墙主要技术
7、特点:. 85.1 防火墙的进展历程 . 9基于路由器的防火墙. 9第一代防火墙产品的特点:. 9第一代防火墙产品的不足之处. 9用户化的防火墙工具套 . 10 作为其次代防火墙产品,用户化的防火墙工具套具有以下特点: . 10 其次代防火墙产品的缺点. 10 5.2 建立在通用操作系统上的防火墙 . 11 作系统上的防火墙的特点:操作系统上的防火墙的缺点. 11 . 11 其次章防火墙体系结构. 13 双重宿主主机体系结构 1.2 屏蔽主机体系结构 被屏蔽子网体系结构. 13 . 13 . 14 第三章防火墙的配置硬件. 17 防火墙的配置 . 17 宿主机网关 Dual Homed Gat
8、eway . 17 屏蔽主机网关Screened Host Gateway. 17 屏蔽子网 Screened Subnet . 18 防火墙配置原理 . 19 防火墙配置步骤 . 20 1.4 Cisco PIX 配置 . 21 第四章瑞星个人防火墙的使用软件. 26 瑞星个人防火墙的使用. 26 致谢 . 32 参考文献 . 33 名师归纳总结 - - - - - - -第 4 页,共 33 页精选学习资料 - - - - - - - - - 前言科学技术的飞速进展,人们已经生活在信息时代;电脑技术和网络技术深入到社会的各个领域,因特网把“ 地球村” 的居民紧密地连在了一起;近年来因特网的
9、飞速进展, 给人们的生活带来了全新地感受,人类社会各种活动对信息网络地依靠程度已经越来越大;然而,凡事“ 有利必有一弊” ,人们在得益于信息所带来的新的庞大机遇的同时,也不得不面对信息安全问题的严肃考查;“ 黑客攻击” 网站被“ 黑” ,“CIH 病毒” 无时无刻不布满在网络中;“ 电子战” 已成为国与国之间,商家与商家之间的一种重要的攻击与防卫手段;因此信息安全,网络安全的问题已经引起各国, 各部门,各行各业以及每个电脑用户的充分重视;因特网供应应人们的不仅仅是出色,仍无时无刻地存在各种各样的危急和陷阱;对此,我们既不能对那些潜在的危急不予重视,可怕某些危急而拒绝因特网的各种有益的服务,遭受
10、不必要的缺失; 也不能由于 对个人来说这样会失去了明白世界、展现自己的场所,对企业来说仍失去了拓展业务、提高服务、增强竞争力的 时机;不断地提高自身网络的安全才是行之有效地方法;名师归纳总结 - - - - - - -第 5 页,共 33 页精选学习资料 - - - - - - - - - 第一章 防火墙的概论所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的爱护屏障 . 是一种猎取安全性方法的形象说法,它是一种电脑硬件和软件的结合,使 Internet 与 Intranet之间建立起一个安全网关,从而爱护内部网免受非法用户的侵入,防火墙主要由
11、服务拜访规章、验证工具、包过滤和应用网关 4 个部分组成,防火墙就是一个位于电脑和它所连接的网络之间的软件或硬件 其中硬件防火墙用的较少,例如国防部以及大型机房等地才用 , 由于它价格昂贵 ;该电脑流入流出的全部网络通信均要经过此防火墙;从防火墙的防范方式和侧重点的不同来看,防火墙可以分为很多类型,但是依据防火墙对内外来往数据处理方法,大致可将防火墙分为两大体系:包过滤防火墙和代理防火墙;包过滤防火墙经受了两代:静态包过滤防火墙采纳的是一个都不放过的原就;它会检查全部通过信息包里的 IP 地址号,端口号及其它的包头信息,并依据系统治理员给定的过滤 规章和预备过滤的信息包一一匹配,其中:假如信息
12、包中存在一点与过滤规 就不符合,那么这个信息包里全部的信息都会被防火墙屏蔽掉,这个信息包 就不会通过防火墙;相反的,假如每条规都和过滤规章相匹配,那么信息包 就答应通过;静态包的过滤原理就是:将信息分成假设干个小数据片数据 包,确认符合防火墙的包过滤规章后,把这些个小数据片按次序发送,接 收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原 理;这种静态包过滤防火墙,对用户是透亮的,它不需要用户的用户名和密 码就可以登录,它的速度快,也易于爱护;但由于用户的使用记录没有记载,假如有不怀好意的人进行攻击的话,我们即不能从拜访记录中得到它的攻击 记录,也无法得知它的来源;而一个单纯的包
13、过滤的防火墙的防备才能是非 常弱的,对于恶意的攻击者来说是攻破它是特别简洁的;其中“信息包冲击 ”是攻击者最常用的攻击手段:主要是攻击者对包过滤防火墙发出一系列地址 被替换成一连串次序 IP 地址的信息包,一旦有一个包通过了防火墙,那么攻 击者停止再发测试 IP 地址的信息包, 用这个胜利发送的地址来假装他们所发 出的对内部网有攻击性的信息;名师归纳总结 - - - - - - -第 6 页,共 33 页精选学习资料 - - - - - - - - - 动态包过滤防火墙:静态包过滤防火墙的缺点, 动态包过滤防火墙都可以防止; 它采纳的规章 是进展为 “包状态检测技术 ”的动态设置包过滤规章;
14、它可以依据需要动态的在 过滤原就中增加或更新条目,在这点上静态防火墙是比不上它的,它主要对 建立的每一个连接都进行跟踪;在这里我们明白的是代理防火墙;代理服务 器型防火墙与包过滤防火墙不同之点在于,它的内外网之间不存在直接的连 接,一般由两部分组成:服务器端程序和客户端程序,其中客户端程序通过 中间节点与供应服务的服务器连接;代理服务器型防火墙供应了日志和审记 服务;代理防火墙也经受了两代:代理应用层网关防火墙:这种防火墙被网络安全专家认为是最安全的防火墙,主要是由于从内部发出的数据包经过这样的防火墙处理后,就像是源于防火墙外部网卡一样,可 以到达隐匿内部网结构的作用;由于内外网的电脑对话时机
15、根本没有,从而 防止了入侵者使用数据驱动类型的攻击方式入侵内部网;2.1.4 自适应代理防火墙:自适应代理技术是商业应用防火墙中实现的一种革命性技术;它结合了代 理类型防火墙和包过滤防火墙的优点,即保证了安全性又保持了高速度,同 时它的性能也在代理防火墙的十倍以上,在一般的情形下,用户更倾向于这 种防火墙;我们把两种防火墙的优缺点的比照用以下图表的形式表示如下:优点 缺点包过滤价格较低性能开销定义复杂,简洁显现小,处理速度较快速度较慢,不太适用于高速网之间的应防火墙内置了特地为提高用不能懂得特定服务代理安全性而编制的的上下文环境,相应Proxy 应用程序, 能掌握只能在高层由够透彻地懂得相关代
16、理服务和应用层服务的命令,对来往网关来完成防火墙的数据包进行安全化处理名师归纳总结 - - - - - - -第 7 页,共 33 页精选学习资料 - - - - - - - - - 防火墙功能概述防火墙是一个爱护装置,它是一个或一组网络设备装置;通常是指运行特殊编写或更换过操作系统的电脑,它的目的就是爱护内部网的拜访安全;防火墙可以安装在两个组织结构的内部网与外部的Internet 之间,同时在多个组织结构的内部网和 Internet 之间也会起到同样的爱护作用;它主要的保护就是加强外部 Internet 对内部网的拜访掌握,它主要任务是答应特殊的连接通过,也可以阻挡其它不答应的连接;防火墙
17、只是网络安全策略的一部分,它通过少数几个良好的监控位置来进行内部网与Internet 的连接;防火墙的核心功能主要是包过滤;其中入侵检测,控管规章过滤,实时监控 及电子邮件过滤这些功能都是基于封包过滤技术的;防火墙的主体功能归纳为以下几点:1 依据应用程序拜访规章可对应用程序连网动作进行过滤 2 对应用程序拜访规章具有自学习功能;3 可实时监控,监视网络活动;4 具有日志,以记录网络拜访动作的具体信息;5 被拦阻时能通过声音或闪耀图标给用户报警提示;防火墙仅靠这些核心技术功能是远远不够的;个核心技术是基础 , 必需在这基础之上加入帮助功能才能流畅的工作;而实现防火墙的核心功能是封包过滤;防火墙
18、主要技术特点:1应用层采纳 Winsock 2 SPI 进行网络数据掌握、过滤;2核心层采纳 NDIS HOOK进行掌握,特殊是在 技术属微软未公开技术;Windows 2000 下,此此防火墙仍采纳两种封包过滤技术: 一是应用层封包过滤, 采纳 Winsock 2 SPI ;二是核心层封包过滤,采纳 NDIS_HOOK Winsock 2 SPI 工作在 API 之下、 Driver 之上,属于应用层的范畴;利用这项技术可以截获全部的基于 Socket 的网络通信;比方 IE 、OUTLOOK 等常见的应用程序都是使用Socket 进行通信;采纳 Winsock 2 SPI 的优点是特别明显
19、的:其工作在应用层以DLL的形式存在,编程、测试便利;跨Windows 平台,可以直接在 Windows98/ME/NT/2000/XP 上通用,Windows95 只需安装上 Winsock 名师归纳总结 - - - - - - -第 8 页,共 33 页精选学习资料 - - - - - - - - - 2 for 95,也可以正常运行;效率高,由于工作在应用层,CPU 占用率低;封包仍没有依据低层协议进行切片,所以比较完整;而防火墙正是在 TCP/IP 协议在windows 的基础上才得以实现;5.1 防火墙的进展历程基于路由器的防火墙由于多数路由器本身就包含有分组过滤功能,故网络拜访掌握
20、可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品;第一代防火墙产品的特点:1利用路由器本身对分组的解析,以拜访掌握表 组的过滤;Access List 方式实现对分2过滤判定的依据可以是:地址、端口号、IP 旗标及其他网络特点;3只有分组过滤的功能,且防火墙与路由器是一体的;这样,对安全要求低的网络可以采纳路由器附带防火墙功能的方法,单独利用一台路由器作为防火墙;第一代防火墙产品的不足之处具体表现为:而对安全性要求高的网络就需要1路由协议特别敏捷,本身具有安全漏洞,外部网络要探寻内部网络特别容易;例如,在使用FTP 协议时,外部服务器简洁从20 号端口上与内部网相连,即
21、使在路由器上设置了过滤规章,内部网络的20 号端口仍可以由外部探寻;2路由器上分组过滤规章的设置和配置存在安全隐患;对路由器中过滤规章 的设置和配置特别复杂, 它涉及到规章的规律一样性; 作用端口的有效性和规章集的正确性, 一般的网络系统治理员难于胜任,加之一旦显现新的协议, 治理员就得加上更多的规章去限制,这往往会带来很多错误;名师归纳总结 - - - - - - -第 9 页,共 33 页精选学习资料 - - - - - - - - - 3路由器防火墙的最大隐患是:攻击者可以“假冒”地址;由于信息在网络上是以明文方式传送的,黑客 Hacker 可以在网络上伪造假的路由信息欺诈防火墙;路由器
22、防火墙的本质缺陷是:由于路由器的主要功能是为网络拜访供应动态的、敏捷的路由, 而防火墙就要对拜访行为实施静态的、固定的掌握, 这是一对难以调和的冲突,防火墙的规章设置会大大降低路由器的性能;可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去应付黑客的攻击是特别危急的;用户化的防火墙工具套为了补偿路由器防火墙的不足, 很多大型用户纷纷要求以特地开发的防火墙系统来爱护自己的网络,从而推动了用户防火墙工具套的显现;作为其次代防火墙产品,用户化的防火墙工具套具有以下特点:1将过滤功能从路由器中独立出来,并加上审计和告警功能;2针对用户需求,供应模块化的软件包;3软件可以通过网络发
23、送,用户可以自己动手构造防火墙;4与第一代防火墙相比,安全性提高了,价格也降低了;其次代防火墙产品的缺点1无论在实现上仍是在爱护上都对系统治理员提出了相当复杂的要求,2配置和爱护过程复杂、费时;3对用户的技术要求高;名师归纳总结 - - - - - - -第 10 页,共 33 页精选学习资料 - - - - - - - - - 4全软件实现,使用中显现过失的情形很多;建立在通用操作系统上的防火墙基于软件的防火墙在销售、 使用和爱护上的问题迫使防火墙开发商很快推出了建 立在通用操 作系统上的商用防火墙产品;作系统上的防火墙的特点:1是批量上市的专用防火墙产品;2包括分组过滤或者借用路由器的分组
24、过滤功能;3装有专用的代理系统,监控全部协议的数据和指令;4爱护用户编程空间和用户可配置内核参数的设置;5安全性和速度大大提高;第三代防火墙有以纯软件实现的,也有以硬件方式实现的, 它们已经得到了宽阔用户的认同;但随着安全需求的变化和使用时间的推延,仍表现出不少问题;作系统上的防火墙的缺点1作为基础的操作系统及其内核往往不为防火墙治理者所知,由于源码的保密,其安全性无从保证;2由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;名师归纳总结 - - - - - - -第 11 页,共 33 页精选学习资料 - - - - - - - - - 3从本质上看,第
25、三代防火墙既要防止来自外部网络的攻击,仍要防止来自操作系统厂商的攻击;4在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;5透亮性好,易于使用;名师归纳总结 - - - - - - -第 12 页,共 33 页精选学习资料 - - - - - - - - - 其次章 防火墙体系结构双重宿主主机体系结构是环绕具有双重宿主的主机电脑而构筑的,该电脑至少有两个网络接口; 这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另一个网络发送IP 数据包;然而,实现双重宿主主机的防火墙体系结构禁止这种发送功能;因而,IP 数据包从一个网络例如,因特网并不是直接发送到其他网络
26、例如,内部的、被爱护的网络;防火墙内部的系统能与双重宿主主机通信, 同时防火墙外部的系统 在因特网上 能与双重宿主主机通信,但是这些系统不能直接相互通信;它们之间的IP 通信被完全阻挡;双重宿主主机的防火墙体系结构是相当简洁的:双重宿主主机位于两者之 间,并且被连接到因特网和内部的网络,如图 2.1 所示;双重宿主主机体系结构屏蔽主机体系结构双重宿主主机体系结构供应来自与多个网络相连的主机的服务 但是路由关 闭, 而被屏蔽主机体系结构使用一个单独的路由器供应来自仅仅与内部的网络相连的主机的服务;在这种体系结构中 2.2 所示;, 主要的安全由数据包过滤,其结构如图名师归纳总结 - - - -
27、- - -第 13 页,共 33 页精选学习资料 - - - - - - - - - 屏蔽主机体系结构在屏蔽的路由器上的数据包过滤是按这样一种方法设置的 : 堡垒主机是因特网上的主机能连接到内部网络上的系统的桥梁 即使这样, 也仅有某些确定类型的连接被答应;例如,传送进来的电子邮件 ;任何外部的系统试图拜访内部的系统或服务将必需连接到这台堡垒主机上;因此,堡垒主机需要拥有高等级的安 全;数据包过滤也答应堡垒主机开放可答应的连接什么是 “ 可答应”将由用户的站点的安全策略打算 到外部世界; 在屏蔽的路由器中数据包过滤配置可以按 以下之一执行:1答应其他的内部主机为了某些服务与因特网上的主机连接即
28、答应那 些已经由数据包过滤的服务;2不答应来自内部主机的全部连接强迫那些主机经由堡垒主机使用代 理服务;用户可以针对不同的服务混合使用这些手段;某些服务可以被答应直接经由数据包过滤, 而其他服务可以被答应仅仅间接地经过代理;这完全取决于用户实 行的安全策略;由于这种体系结构答应数据包从因特网向内部网的移动,所以它的设计比没 有外部数据包能到达内部网络的双重宿主主机体系结构好像是更冒风险;实际 上,双重宿主主机体系结构在防范数据包从外部网络穿过内部的网络也简洁产生 失败由于这种失败类型是完全出乎预料的,不太可能防范黑客侵袭;进而言之,保卫路由器比保卫主机较易实现,由于它供应特别有限的服务组;多数
29、情形下,被屏蔽的主机体系结构供应比双重宿主主机体系结构具有更好的安全性和可 用性;然而,比较其他体系结构, 如在下面要争论的屏蔽子网体系结构也有一些缺点;主要是假如侵袭者没有方法侵入堡垒主机时,而且在堡垒主机和其余的内部主机之间没有任何爱护网络安全的东西存在的情形下,路由器同样显现一个单点失效;假如路由器被损害,整个网络对侵袭者是开放的;被屏蔽子网体系结构名师归纳总结 - - - - - - -第 14 页,共 33 页精选学习资料 - - - - - - - - - 被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络和外部网络通常是 Interne
30、t隔离开;被屏蔽子网体系结构的最简洁的形式为:两个屏蔽路由器, 每一个都连接到周边网;一个位于周边网与内部网络之间,另一个位于周边网与外部网络通常为 Internet之间;这样就在内部网络与外部网络之间形成了一个“ 隔离带”;为了侵入用这种体系结构构筑的内部网络,侵袭者必需通过两个路由器; 即使侵袭者侵入堡垒主机,它将仍旧必需通过内部路由器,如图 2.3 所示;被屏蔽子网体系结构对图的要点说明如下:1周边网络 周边网络是另一个安全层 ,是在外部网络与用户的被爱护的内部网络之间的 附加的网络; 假如侵袭者胜利地侵入用户的防火墙的外层领域,周边网络在那个 侵袭者与用户的内部系统之间供应一个附加的爱
31、护层;对于周边网络的作用, 举例说明如下; 在很多网络设置中, 用给定网络上的任何机器来查看这个网络上的每一台机器的通信是可能的,对大多数以太网为基础的网络的确如此而且以太网是当今使用最广泛的局域网技术;对假设干其他成熟的技术,诸如令牌环和FDDI 也是如此;探听者可以通过查看那些在Telnet、FTP 以及 Rlogin 会话期间使用过的口令胜利地探测出口令;即使口令没被攻破,探听者仍旧能偷看或拜访他人的敏锐文件的内容,电子邮件等;探听者能完全监视何人在使用网络;对于周边网络, 假如某人侵入周边网上的堡垒主机,或阅读他们感爱好的 他仅能探听到周边网上的通信;由于全部周边网上的通信来自或通往堡垒主机或 Internet;由于没有严格的内部通信 即在两台内部主机之间的通信,这通常是敏锐的 或专有的能越过周边网;所以,假如堡垒主机被损害,内部的通信仍将是安全 的;一般来说,来往于堡垒主机,或者外部世界的通信,仍旧是可监视的;防火 墙设计工作的一部分就是确保这种通信不至于秘密到阅读它将损害你的站点的 完整性;2堡垒主机 在屏蔽的子网体系结构中, 用户把堡垒主机连接到周边网; 这台主机便是接 受来自外界连接的主要入口;例如:名师归纳总结 - - - - - - -第 15 页,共 33 页精选学习资料 - - - - - - - -
黑公网安备:91230400333293403D