【正文】 ...................................5 防火墻定義........................................................5 防火墻的功能......................................................5 防火墻技術(shù)........................................................6 防火墻系統(tǒng)的優(yōu)點(diǎn)..................................................7 防火墻系統(tǒng)的局限性................................................7 7 結(jié)論..................................................................8 參考文獻(xiàn).................................................................9 致 謝..................................................................10 鄭州電子信息職業(yè)技術(shù)學(xué)院2011屆畢業(yè)論文 引言隨著網(wǎng)絡(luò)技術(shù)的普遍推廣，電子商務(wù)的開展，實(shí)施和應(yīng)用網(wǎng)絡(luò)安全已經(jīng)不再僅僅為科學(xué)研究人員和少數(shù)黑客所涉足，日益龐大的網(wǎng)絡(luò)用戶群同樣需要掌握網(wǎng)絡(luò)安全知識(shí)。防火墻技術(shù)的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。網(wǎng)絡(luò)安全問題有其先天的脆弱性，黑客攻擊的嚴(yán)重性，網(wǎng)絡(luò)殺手集團(tuán)性和破壞手段的多無性，解決網(wǎng)絡(luò)安全問題重要手段就是防火墻技術(shù)。Firewall using design第14頁(yè)(共14頁(yè))第四篇：畢業(yè)論文(防火墻的技術(shù)與應(yīng)用)* * * * 學(xué)院畢業(yè)論文課題名稱： 防火墻的技術(shù)與應(yīng)用 作 者： 學(xué) 號(hào)： 系 別： 電子工程系 專 業(yè)： 指導(dǎo)教師：20**年**月**日中文摘要防火墻的技術(shù)與應(yīng)用摘要計(jì)算機(jī)網(wǎng)絡(luò)安全已成為當(dāng)今信息時(shí)代的關(guān)鍵技術(shù)。Firewall technology。旨在展望網(wǎng)絡(luò)安全，即防火墻技術(shù)的未來狀況。結(jié)束語(yǔ)第13頁(yè)(共14頁(yè))本論文主要研究防火墻技術(shù)的應(yīng)用，從防火墻的簡(jiǎn)單概述展開，描述了防火墻的四種技術(shù)，防火墻的應(yīng)用模式。在網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)體系結(jié)構(gòu)發(fā)生變化時(shí)，應(yīng)當(dāng)及時(shí)修改防火墻的安全策略，避免可能產(chǎn)生的安全漏洞。為了支持防火墻的系統(tǒng)配置、規(guī)則設(shè)置、日志查看和安全審計(jì)等管理操作，一般的防火墻產(chǎn)品都提供一種圖形化界面的管理軟件。對(duì)郵件的大小、數(shù)量，發(fā)送者、接收者，甚至內(nèi)容進(jìn)行檢查，并產(chǎn)生日志記錄。（3）代理服務(wù)器：代理服務(wù)器的缺省規(guī)則為禁止聽有連接．它允許內(nèi)部用戶訪向外部網(wǎng)絡(luò)的web站點(diǎn)，并提供代理功能，對(duì)所代理的連接進(jìn)行安全檢查，禁止內(nèi)部用戶訪問非法站點(diǎn)，并產(chǎn)生日志記錄。每次連接都要產(chǎn)生日志記錄。（2）內(nèi)部分組過濾器：內(nèi)部分組過濾的缺省規(guī)則為禁止所有服務(wù)。主機(jī)規(guī)則為允許外部用戶訪問屏蔽子網(wǎng)中開放的服務(wù)器（如 Web服務(wù)器、FTP服務(wù)器等），允許外部用戶連接安全代理服務(wù)器。根據(jù)網(wǎng)絡(luò)應(yīng)用的安全需求，必須分別為它們?cè)O(shè)計(jì)安全策略和規(guī)則。這意味著可信的外部用戶只能邁過VPN隧道穿越內(nèi)部網(wǎng)的防火墻，而在建立VPN隧道時(shí)，雙方的身份是經(jīng)過認(rèn)證的，都是可信的用戶。另外，對(duì)于處于不同地理位置上的內(nèi)部網(wǎng)通過Internet交換信息時(shí)，可以采用VPN技術(shù)來解決信息傳輸過程中的數(shù)據(jù)機(jī)密性和數(shù)據(jù)完整性問題。（4）在防火墻中使用NAT功能，所有從防火墻流出的IP數(shù)據(jù)包的源地址均為防火墻上保留的合法IP地址，不僅可以使內(nèi)部主機(jī)共享有限的 Internet IP地址，而且能夠隱藏內(nèi)部網(wǎng)絡(luò)信息。（2）在防火墻中阻塞ICMP報(bào)文，只允許某些類型（如回應(yīng)請(qǐng)求類型）的ICMP報(bào)文通過，可以防御“Ping Of death”之類的攻擊。即使高明的黑客也是相當(dāng)困難的。這樣，既可以使外部用戶能方便瀏覽開放的信息服務(wù)、與內(nèi)部網(wǎng)用戶交換郵件等，又防止了外部用戶攻擊內(nèi)部網(wǎng)，篡改數(shù)據(jù)或破壞系統(tǒng)。對(duì)于各種對(duì)外開放的網(wǎng)絡(luò)服務(wù)器，如Web服務(wù)器、FTP服務(wù)器、Email服務(wù)器以及DNS服務(wù)器等可以放置在屏蔽子網(wǎng)中。而私有IP地址在internet中是不可見的，可見的只是代理服務(wù)器的公用IP地址。第11頁(yè)(共14頁(yè))圖6 網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)內(nèi)部屏蔽路由器還應(yīng)當(dāng)提供網(wǎng)絡(luò)地址翻譯器（NAT）功能。由于屏蔽子網(wǎng)是內(nèi)部子網(wǎng)與外部網(wǎng)之間的隔離區(qū)，所以屏蔽子網(wǎng)也稱為“非軍事區(qū)”或“停火區(qū)”。內(nèi)部屏蔽路由器的作用是保證內(nèi)部網(wǎng)發(fā)來的數(shù)據(jù)包只能輸出到屏蔽子網(wǎng)上，而不能到達(dá)外部網(wǎng)。從網(wǎng)絡(luò)體系結(jié)構(gòu)上通過屏蔽子網(wǎng)將內(nèi)部子網(wǎng)與不可信的外部網(wǎng)隔離開。不同子網(wǎng)的安全需求是不同的。在屏蔽路由器或雙穴主機(jī)網(wǎng)關(guān)應(yīng)用模式不能滿足系統(tǒng)安全需求的情況下，可以考慮采用屏蔽主機(jī)網(wǎng)關(guān)或屏蔽子網(wǎng)網(wǎng)關(guān)應(yīng)用模式。在安全要求不高的情況下，一般采用屏蔽路由器或雙宿主機(jī)網(wǎng)關(guān)應(yīng)用模式來構(gòu)造網(wǎng)絡(luò)安全系統(tǒng)。在上述的4種防火墻應(yīng)用模式中，每一種應(yīng)用模式所提供的安全防護(hù)能力和系統(tǒng)費(fèi)用都是不相同的。因此必須針對(duì)不同網(wǎng)絡(luò)應(yīng)用環(huán)境所面臨的安全風(fēng)險(xiǎn)采取適當(dāng)?shù)陌踩胧﹣碓鰪?qiáng)系統(tǒng)安全性。其防范措施主要側(cè)重第10頁(yè)(共14頁(yè))于解決內(nèi)部用戶對(duì)內(nèi)部網(wǎng)的攻擊問題，如采用VLAN、訪問控制、安全審計(jì)和安全管理等防范措施。（3）內(nèi)部的網(wǎng)絡(luò)應(yīng)用環(huán)境：在內(nèi)部的網(wǎng)絡(luò)應(yīng)用環(huán)境中，內(nèi)部網(wǎng)與Internet是物理隔離的，網(wǎng)絡(luò)服務(wù)器沒置在內(nèi)部網(wǎng)，只允許內(nèi)部用戶通過內(nèi)部網(wǎng)訪問網(wǎng)絡(luò)服務(wù)器，這是一種封閉的網(wǎng)絡(luò)環(huán)境。根據(jù)網(wǎng)絡(luò)服務(wù)的安全要求，選擇適當(dāng)?shù)姆阑饓?yīng)用模式來建立網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。前者屬于網(wǎng)絡(luò)安全問題，主要是用防火墻等技術(shù)來防范；后者屬于信息安全問題，主要采用VPN等枝術(shù)來解決信息傳輸過程中的數(shù)據(jù)機(jī)密性和數(shù)據(jù)完整性問題。這些授權(quán)用戶是可信任的，他們通常是商業(yè)合作伙伴或者本單位的外地員工。（2）專用的網(wǎng)絡(luò)應(yīng)用環(huán)境：在專用的網(wǎng)絡(luò)應(yīng)用環(huán)境中，網(wǎng)絡(luò)服務(wù)和信息內(nèi)容是半開放的。這些安全風(fēng)險(xiǎn)需要采用多種安全措施來防范，包括使用接納控制技術(shù)阻止入侵者非法獲取系統(tǒng)控制權(quán)、使用防火墻技術(shù)過濾“有害”的信息，使用“補(bǔ)丁”程序來阻塞系統(tǒng)安全漏洞，使用入侵檢測(cè)技術(shù)來檢測(cè)和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為等。（1）開放的網(wǎng)絡(luò)應(yīng)用環(huán)境：在開放的網(wǎng)絡(luò)應(yīng)用環(huán)境中，網(wǎng)絡(luò)服務(wù)和信息內(nèi)容向internet上的所有用戶完全開放，如連接在Internet上的各種開放的Web服務(wù)器等。根據(jù)網(wǎng)絡(luò)應(yīng)用性質(zhì)，可以將網(wǎng)絡(luò)應(yīng)用環(huán)境分成3種：開放的、專用的和內(nèi)部的。因此，除了防火墻本身應(yīng)具有較好的安全防護(hù)能力之外，防火墻的應(yīng)用方案設(shè)計(jì)也是十分重要的。以滿足各種網(wǎng)絡(luò)系統(tǒng)的安全需求，完整的網(wǎng)絡(luò)安全體系應(yīng)當(dāng)包括防護(hù)、檢測(cè)、響應(yīng)和管理等各個(gè)環(huán)節(jié)，不是單靠某一種安全技本來解決的，也要形成一個(gè)動(dòng)態(tài)的安全防護(hù)系統(tǒng)。防火墻的應(yīng)用設(shè)計(jì)根據(jù)行業(yè)特征和應(yīng)用性質(zhì)可將網(wǎng)絡(luò)系統(tǒng)大致分成校園網(wǎng)、企業(yè)網(wǎng)、商務(wù)網(wǎng)、金融網(wǎng)、政務(wù)網(wǎng)以及軍用網(wǎng)等。參見圖5：屏蔽子網(wǎng)內(nèi)部網(wǎng)堡壘 主機(jī)堡壘主機(jī)屏蔽 路由器INTERNET圖5 屏蔽子網(wǎng)網(wǎng)關(guān)在這種應(yīng)用模式中，內(nèi)部服務(wù)器設(shè)有三道安全屏障：兩個(gè)屏蔽路由器和堡壘主機(jī)，入侵者要入侵內(nèi)部網(wǎng)必須攻破兩個(gè)屏蔽路由器和堡壘主機(jī)，這顯然是相當(dāng)困難的。（Screened Subnet Gateway）這種應(yīng)用模式是在內(nèi)部網(wǎng)與internet之間設(shè)置一個(gè)獨(dú)立的屏蔽子網(wǎng)，在內(nèi)部網(wǎng)與屏蔽子網(wǎng)之間和屏蔽子網(wǎng)與Internet之間都要沒置一個(gè)屏蔽路由器，堡壘主機(jī)連接在屏蔽子網(wǎng)上。由于這種應(yīng)用模式設(shè)有兩道安全屏障，并且是由兩種不同的防火墻構(gòu)成的，可以優(yōu)勢(shì)互補(bǔ)和相互協(xié)調(diào)。（Screened Host Gateway）這種應(yīng)用模式采用雙重防火墻來實(shí)現(xiàn)，一個(gè)是屏蔽路由器，構(gòu)成內(nèi)部網(wǎng)的第一道安全屏障；另一個(gè)是堡壘主機(jī)．構(gòu)成內(nèi)部網(wǎng)的第二道安全屏障。但仍然比較脆弱，因?yàn)楸局鳈C(jī)是惟一的安全屏障，一旦被人侵者攻破。受保護(hù)網(wǎng)絡(luò)的所有開放服務(wù)必須由堡壘主機(jī)上的代理服務(wù)軟件來實(shí)施。這種應(yīng)用模式由雙宿主機(jī)充當(dāng)內(nèi)部網(wǎng)與internet之間的網(wǎng)關(guān)，并在其上運(yùn)行代理服務(wù)器軟件，受保護(hù)的內(nèi)部網(wǎng)與Internet之間不能直接建立連接，必 須通過堡壘主機(jī)才能進(jìn)行通信外部用戶只能看到堡壘主機(jī)。這種主機(jī)稱為堡壘主機(jī)（Bastion Host），而具有兩個(gè)網(wǎng)絡(luò)接口的堡壘。（Dual Homed Gateway）這種應(yīng)用模式采用單一的代理服務(wù)型防火墻來實(shí)現(xiàn)。在這種應(yīng)用模式中，防火墻功能也可以用單獨(dú)的防火墻設(shè)備或主機(jī)來實(shí)現(xiàn)，設(shè)置在內(nèi)部網(wǎng)與路由器之間。（Screened Route）這種應(yīng)用模式采用單一的分組過濾型防火墻或狀態(tài)檢測(cè)型防火墻來實(shí)現(xiàn)。3防火墻的應(yīng)用模式由于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和安全需求等方面的差異，在使用防火墻構(gòu)建網(wǎng)絡(luò)安全防護(hù)系統(tǒng)時(shí)，其應(yīng)用模式可能是千差萬(wàn)別的。狀態(tài)監(jiān)視可以對(duì)包內(nèi)容進(jìn)行分析，從而擺脫了傳統(tǒng)防火墻僅局限于幾個(gè)包頭部信息的檢測(cè)弱點(diǎn)，而且這種防火墻不必開放過多端口，進(jìn)一步杜絕了可能因?yàn)殚_放端口過多而帶來的安全隱患。這種防火墻技術(shù)通過一種被稱為“狀態(tài)監(jiān)視”的模塊，在不影響網(wǎng)絡(luò)安全正常工作的前提下采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各個(gè)層次實(shí)行監(jiān)測(cè)，并根據(jù)各種過濾規(guī)則做出安全決策。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問是安全的，可以接受訪問請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。圖1 NAT工作過程在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個(gè)開放的IP地址和端口來請(qǐng)求訪問。NAT的工作過程如圖1所示：在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。 NAT技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。（5）代理服務(wù)對(duì)用戶的限制比較多代理服務(wù)器通常要求對(duì)用戶和使用過程進(jìn)行限制，每一種限制都有不足之處，人們無法按他們自己的步驟來隨心所欲地使用代理服務(wù)。根據(jù)所用的代理軟件的不同，配置的難易程度也大不相同，在一個(gè)地方容易做的事情可能在其它地方非常困難。因?yàn)榇矸?wù)器需要理解這個(gè)服務(wù)所用的協(xié)議，以判斷什么是允許的，什么是不允許的，并且它還得扮演兩個(gè)角色，對(duì)真實(shí)服務(wù)器來說它是用戶，對(duì)代理服務(wù)器來說它是真實(shí)服務(wù)器。如果某個(gè)內(nèi)部子系統(tǒng)需要一種新的服務(wù)，那么在找到合適的代理軟件之前，將不得不把它置于防火墻之外，這等于打開了潛在的安全缺口。在一個(gè)新的服務(wù)出現(xiàn)以后，通常要經(jīng)過一個(gè)明顯的延遲，它的代理服務(wù)器才會(huì)出現(xiàn)，滯后時(shí)間的長(zhǎng)短主要依賴于為代理而設(shè)計(jì)的服務(wù)器。例如，一個(gè)FTP代理服務(wù)器可以只記錄已發(fā)出的命令和服務(wù)器返回的應(yīng)答，來代替記錄所有傳送的數(shù)據(jù)，這樣會(huì)產(chǎn)生一個(gè)小的多也有用的多的日志。數(shù)據(jù)包的傳輸?shù)缆肥情g接的:或者通過雙宿主主機(jī)，或者通過一個(gè)堡壘主機(jī)和屏蔽路由器系統(tǒng)。當(dāng)然，后臺(tái)仍會(huì)有更多程序在運(yùn)行，但它們對(duì)于用戶來說通常是透明的。代理技術(shù)有如下特點(diǎn)：（1）代理服務(wù)允許用戶直接地訪問因特網(wǎng)服務(wù)使用雙宿主主機(jī)方式，用戶需要在訪問任何因特網(wǎng)服務(wù)之前連入這個(gè)主機(jī)，通常這樣做很不方便，會(huì)使一些用戶變得很沮喪，以至于是他們?cè)诜阑饓χ車鷮ふ彝ǖ馈Ｈ绻粋€(gè)請(qǐng)求是許可的，代理服務(wù)器就會(huì)代表客戶與真正的服務(wù)器交談，繼而將客戶請(qǐng)求傳達(dá)給真實(shí)服務(wù)器，并將真實(shí)服務(wù)器的應(yīng)答返回給客戶。用戶的代理程序與這個(gè)代理服務(wù)器第3頁(yè)(共14頁(yè))交談，而不是直接與外部的因特網(wǎng)上的真實(shí)的服務(wù)器交談。代理只對(duì)單個(gè)(或很小一部分)主機(jī)提供因特網(wǎng)訪問服務(wù)，盡管它看起來像是對(duì)所有的主機(jī)提供服務(wù)。對(duì)于一個(gè)包來說，入站接口是在包出現(xiàn)的過濾路由器上的接口，而出站接口是包將經(jīng)由它出去的接口，如果它不被應(yīng)用過濾規(guī)則拒絕的話。注意:當(dāng)連接作為一個(gè)整體是出站的，它既包括出站包(指那些從內(nèi)部客戶機(jī)到外部服務(wù)器的)又包括入站包(指那些從外部服務(wù)器回到內(nèi)部客戶機(jī)的)。一個(gè)包在它到外部網(wǎng)絡(luò)的路上，對(duì)于過濾路由器來說，可能看來是入站的，但從內(nèi)部網(wǎng)絡(luò)作為一個(gè)整體來說，該包是出站的。依賴于過濾實(shí)現(xiàn)(有時(shí)候是過濾說明)，路由器可能給被丟棄的包的源主機(jī)回送一個(gè)ICMP信息(通常為主機(jī)不可達(dá)信息)，或只是假裝不曾收到該包。如果路由器決定允許或路由一個(gè)包，那么它將被送到它的目的地，好像路由不曾發(fā)生。如果一個(gè)恰當(dāng)改良版本的應(yīng)用程序?qū)τ谝粋€(gè)特定的主機(jī)(如適合于個(gè)人計(jì)算機(jī)的改良的Telnet客戶機(jī))是不可用的，內(nèi)部主機(jī)的用戶簡(jiǎn)直是不幸的，而且不能到達(dá)過去的應(yīng)用網(wǎng)關(guān)。T, DEC和其他幾個(gè)機(jī)構(gòu)使用的那些，通常也是不切實(shí)際的。以全有或全無(一種非常粗糙的包過濾形式)為基礎(chǔ)允許網(wǎng)絡(luò)訪問，然后嘗試去保護(hù)具有網(wǎng)絡(luò)訪問權(quán)的每一臺(tái)機(jī)器一般是不切實(shí)際的，沒有幾個(gè)站點(diǎn)有辦法去保護(hù)并監(jiān)控每一臺(tái)需要偶然的網(wǎng)絡(luò)訪問的機(jī)器?；蚨嗷蛏俚?，包過濾是完成所有這些目的的一種機(jī)制，但這只能通過對(duì)于它的優(yōu)勢(shì)和缺點(diǎn)的透徹地了解及它的實(shí)際能力的小心運(yùn)用來達(dá)到。第二個(gè)目的通常為機(jī)制在執(zhí)行用戶了解和安全措施的應(yīng)用程序認(rèn)識(shí)方面是透明的。這些策略的第一個(gè)目的通常在于防止