防火墙技术研究.docx
- 文档编号:11464833
- 上传时间:2023-03-01
- 格式:DOCX
- 页数:30
- 大小:98.63KB
防火墙技术研究.docx
《防火墙技术研究.docx》由会员分享,可在线阅读,更多相关《防火墙技术研究.docx(30页珍藏版)》请在冰豆网上搜索。
防火墙技术研究
毕业设计论文
题目:
防火墙技术研究
专业:
信息治理与信息系统
学员:
指导教师:
二○一○年六月
毕业设计(论文)任务书
队别22年级06
专业信息治理与信息系统
学生姓名指导教师
同组姓名
一、题目
防火墙技术研究
二、设计课题要求
一、依照教务处的有关规定,按时按规定完成论文
二、毕业论文要有较强的系统性、理论性、完整性。
3、论文内容要完整,概念要准确。
4、论据要充分,方式要可行,方法要适当,结论要有创新性。
五、每篇论文(正文)不得少于1万字。
三、设计课题所需的要紧设备和资料
有关市场营销学的文章、书、刊较多,能够从以下方面普遍查阅:
一、各书店、二、图书馆、Internet。
另外,还能够做一些市场调查,并结合自身社会实践活动体会总结。
四、设计说明(论文)应包括的内容
一、防火墙技术的进展现状、前景
二、防火墙技术的要紧原理、分类
3、防火墙技术的应用研究
五、参考文献
[1]苏金树运算机网络应用基础[M]长沙国防科技大学出版社,2000
[2]张小斌严望佳黑客分析与防范技术[M]清华大学出版社1999
[3]周贤伟,信息网络与平安[M],北京:
国防工业出版社,2006
[4]周筱连,运算机网络平安防护[J],电脑知识与技术,2007,
(1):
148.
[5]BrewerD,NashM.TheChineseWallSecurityPolicy.IEEESymposiumonSecurityandPrivacyIEEE[J]ComputerSocietyPress,2000
[6]金雷,谢立,网络平安综述[J],运算机工程与设计2003,24
(2)
[7]ChapmanDBElizabethDZ,构筑因特网防火墙[M](北京)电子工业出版社1998
[8]陈爱民.运算机的平安与保密[M].北京:
电子工业出版社,2002.
[9]MillenJK.ModelsofmultilevelcomputersecurityAdvancesinComputers,1978(29).
[10]FredericJ.Cooper,etal.ImplementingInternet[J]NewRidersPublishing1995
[11](美)jackandSteven著戴宗坤等译.防火墙与酬特网平安[M].北京:
机械工业出版社,2000
[12]付歌,杨明福.一个快速的二维数据包分类算法.运算机工程.2004,30(6):
76一78
[13]付歌,杨明福,王兴军.基于空间分解的数据包分类技术.运算机工程与应用.2004(8):
63一65
[14]〕韩晓非,王学光,杨明福.位并行数据包分类算法研究.华东理工大学学报.2003,29(5):
504一508
[15]韩晓非,杨明福,王学光.基于元组空间的位并行包分类算法.运算机工程与应用.2003,(29):
188一192
[16]冯东雷,张勇,白英彩.一种高性能包分类渐增式更新算法.运算机研究与进展.2003,40(3):
387一392
[17]余胜生,张宁,周敬利,胡熠峰.一种用于大规模规那么库的快速包分类算法.运算机工程.2004,30(7):
49一51
[18]顶峰.许南山.防火墙包过滤规那么问题的研究[M].运算机应用.2003,23(6):
311一312.
[19]孟涛、杨磊.防火墙和平安审计[M].运算机平安.2004,(4):
17一18.
[20]郑林.防火墙原理入门[Z].E企业.2000.
[21]魏利华.防火墙技术及其性能研究.能源研究与信息.2004,20(l):
57一62
教研室主任(签名)
系主任(签名)
年月日
独创性声明
本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研究功效,除稳重特以加以标注和致谢之外处,论文不包括其他人已经发表或撰写过的研究功效。
论文作者(签名)
摘要
防火墙是目前网络平安领域普遍利用的设备,其要紧目的确实是限制非法流量,以爱惜内部子网。
从部署位置来看,防火墙往往位于网络出口,是内部网和外部网之间的唯一通道,因此提高防火墙的性能、幸免其成为瓶颈,就成为防火墙产品可否成功的一个关键问题。
本文引用了表达性的文字概述了防火墙的概念、功能及类型等,让咱们全面了解了一个理论上的防火墙。
描述了一个模拟的大型离散事件可视化网络仿真器NS-2(NetworkSimulator)在Windows下的安装进程与犯错处置。
本文的重点是提出了对防火墙过滤规那么进行优化的方案,对通过防火墙的数据包进行统计分析,并依照统计数据动态调整过滤规那么的相对顺序,使得利用最频繁的规那么位于规那么列表的最前面,使其和当前网络流量特性相一致,从而达到降低后继数据包规那么匹配时刻、提高防火墙性能之目的,并在Windows下利用仿真器NS-2对两个方案(一方案:
不采纳此优化算法,二方案:
采纳此优化算法)进行仿真实验,通过对仿真结果的比较分析得出此优化算法真的能提高防火墙的性能。
关键词:
S-二、防火墙、规那么匹配、统计分析
Abstract
Frewallisthepresentnetworksafefieldequipmentusedextensively,itsmajorpurposeistorestrictillegalrateofflowinordertoprotectinternalsonnet.Fromdispositionlocation,firewallisoftenlocatedinnetworkexport,istheonlypassagewaybetweeninternalnetandexternalnet,thereforeraisestheperformanceoffirewall,avoidit
Thispaperhasquotedthewritingofstatement,isgeneraltohavestatedtype,functionandtheconceptoffirewall,letingusoverallhaveknownonetheoreticallyfirewall.ItisanalogtohavedescribedoneLargescaledispersedincidentvisualizednetworkemulatorNS-2(NetworkSimulatorwhenWindowsNextinstallationprocessandmakemistakestohandle.Thispaperfocalpointisputforwardforfirewallfilterrulecarryoutoptimizationscheme,forthroughfirewalldatabalecarryoutstatisticsanalysis,andaccordingtostatisticsdatadevelopmentadjustmentfilterrulerelativeorder,makeusemostfrequentlyruleislocatedinrulelistbeforemost,makeitwithcurrentnetworkrateofflowpropertyappearanceconsistent,soreachreductionsucceeddatabalerulematchtime,raisingfirewallperformancepurpose,andinWindowsNextuseEmulatorNS-2Isfortwoschemes(thecaseofoneside:
Donotadoptthisoptimizationalgorithmand2schemes:
Adoptthisoptimizationalgorithm)carryoutemulationexperiment,canreallyraisetheperformanceoffirewallthroughreachingthisoptimizationalgorithmforthetradeoffstudyofemulationresult.
Keywords:
NetworkSecurityfirewallVPSfirewallconfiguration
第一章绪论
研究的意义和目的
意义:
是避免您电脑中的信息被外部侵袭的一项技术,在您的系统中监控、阻止任何XX许诺的数据进入或发出到互联网及其他网络系统。
防火墙产品如闻名Symantec公司的诺顿、NetworkIce公司的BlackIceDefender、McAfee公司的思科及ZoneLab的freeZoneAlarm等,都能帮忙您对系统进行监控及治理,避免特洛伊木马、spy-ware等病毒程序通过网络进入您的电脑或在您未知情形下向外部扩散。
这些软件都能够独立运行于整个系统中或针对对个别程序、项目,因此在利历时十分方便及有效
目的:
限制网络通信,提高平安性能。
国内外进展现状
以后防火墙的进展趋势是朝高速、多功能化、更平安的方向进展。
从国内外历次测试的结果都能够看出,目前防火墙一个专门大的局限性是速度不够。
应用ASIC、FPGA和网络处置器是实现高速防火墙的要紧方式,其中以采纳网络处置器最优,因为网络处置器采纳微码编程,能够依照需要随时升级,乃至能够支持IPV6,而采纳其它方式就不那么灵活。
实现高速防火墙,算法也是一个关键,因为网络处置器中集成了很多硬件协处置单元,因此比较容易实现高速。
关于采纳纯CPU的防火墙,就必需有算法支撑,例如ACL算法。
目前有的应用环境,动辄应用数百乃至数万条规那么,没有算法支撑,关于状态防火墙,成立会话的速度会十分缓慢。
受现有技术的限制,目前尚未有效的对
应用层进行高速检测的方式,也没有哪款芯片能做到这一点。
因此,防火墙不适宜于集成内容过滤、防病毒和IDS功能(传输层以下的IDS除外,这些检测对CPU消耗小)。
关于IDS,目前最经常使用的方式仍是把网络上的流量镜像到IDS设备中处置,如此能够幸免流量较大时造成网络堵塞。
另外,应用层漏洞很多,解决特点库需要频繁升级,关于处在网络出口关键位置的防火墙,如此频繁地升级也是不现实的。
多功能也是防火墙的进展方向之一鉴于目前路由器和防火墙价钱都比较高,组网环境也愈来愈复杂,一样用户总希望防火墙能够支持更多的功能,知足组网和节省投资的需要。
例如,防火墙支持广域网口,并非阻碍平安性,但在某些情形下却能够为用户节省一台路由器;支持部份路由器协议,如路由、拨号等,能够更好地知足组网需要;支持IPSECVPN,能够利用因特网组建平安的专用通道,既平安又节省了专线投资。
以后防火墙的操作系统会更平安。
随着算法和芯片技术的进展,防火墙会更多地参与应用层分析,为应用提供更平安的保障。
论文完成的要紧工作
本文论由6章组成。
第一章归纳了引言,第二章归纳了防火墙的概念及分类,第三章归纳了防火墙的体系结构,第四章归纳了常见解决方式及应付方式,第五章归纳了防火墙的进展趋势,第六章是结论。
第二章防火墙的概念及分类
防火墙的概念
防火墙是一种超级有效的网络平安模型。
要紧用来爱惜平安网
免受来自不平安网络的入侵,比如平安网络可能是企业的内部网络,不平安网络是因特网。
但防火墙不只是用于因特网,也用于Intranet中的部门网络之间。
在逻辑上,防火墙是过滤器限制器和分析器;在物理上,防火墙的实现有多种方式。
通常,防火墙是一组硬件设备-路由器,主运算机,或是路由器,运算机和配有的软件的网络的组合。
及全面计划等。
防火墙在网络中的位置如图1所示。
图1防火墙在网络中的位置
防火墙的分类
从防火墙的防范方式和偏重点的不同来看,防火墙能够分为很多类型,可是依照防火墙对内外来往数据处置方式,大致可将防火墙分为两大体系:
包过滤防火墙和代理防火墙。
静态包过滤防火墙
静态包过滤防火墙采纳的是一个都不放过的原那么。
它会检查所有通过信息包里的IP地址号,端口号及其它的包头信息,并依照系统治理员给定的过滤规那么和预备过滤的信息包一一匹配,其中:
若是信息包中存在一点与过滤规那么不符合,那么那个信息包里所有的信息都会被防火墙屏蔽掉,那个信息包就可不能通过防火墙。
相反的,若是每条规都和过滤规那么相匹配,那么信息包就许诺通过。
静态包的过滤原理确实是:
将信息分成假设干个小数据片(数据包),确认符合防火墙的包过滤规那么后,把这些个小数据片按顺序发送,接收到这些小数据片后再把它们组织成一个完整的信息那个确实是包过滤的原理。
图2是静态防火墙的示用意
图2静态包过滤防火墙
●静态包过滤防火墙的优势:
它对用户是透明的,不需要用户的用户名和密码就能够够登录,它的速度快,也易于保护。
●静态防火墙缺点:
由于用户的利用记录没有记载,若是有不怀好意的人进行解决的话,咱们即不能从访问记录中取得它的解决记录,也无法得知它的
来源。
而一个单纯的包过滤的防火墙的防御能力是超级弱的,关于歹意的解决者来讲是攻破它是超级容易的。
其中“信息包冲击”是解决者最经常使用的解决手腕:
主若是解决者对包过滤防火墙发出一系列地址被替换成连续串顺序IP地址的信息包,一旦有一个包通过了防火墙,那么解决者停止再发测试IP地址的信息包,用那个成功发送的地址来假装他们所发出的对内部网有解决性的信息。
动态包过滤防火墙
动态包过滤功能在维持着原有静态包过滤技术和过滤规那么的基础上,会对已经成功与运算机连接的报文传输进行跟踪,而且判定该连接发送的数据包是不是会对系统组成要挟,一旦触发其判定机制,防火墙就会自动产生新的临时过滤规那么或把已经存在的过滤规那么进行修改,从而阻止该有害数据的继续传输,可是由于动态包过滤需要消耗额外的资源和时刻来提取数据包内容进行判定处置,因此与静态包过滤相较它会降低运行效率。
图3是动态防火墙的示用意
图3动态包过滤防火墙
以下咱们了解的是代理防火墙。
代理效劳器型防火墙与包过滤防火墙不同之点在于,它的内外网之间不存在直接的连接,一样由两部份组成:
效劳器端程序和客户端程序,其中客户端程序通过中间节点与提供效劳的效劳器连接。
代理效劳器型防火墙提供了日记和审记效劳。
代理防火墙也经历了两代:
代理(应用层网关)防火墙
这种防火墙被网络平安专家以为是最平安的防火墙,主若是因为从内部发出的数据包通过如此的防火墙处置后,就像是源于防火墙外部网卡一样,能够达到隐藏内部网结构的作用。
由于内外网的运算机对话机遇全然没有,从而幸免了入侵者利用数据驱动类型的解决方式入侵内部网。
自适应代理防火墙
自适应代理技术是商业应用防火墙中实现的一种革命性技术。
它结合了代理类型防火墙和包过滤防火墙的优势,即保证了平安性又维持了高速度,同时它的性能也在代理防火墙的十倍以上,在一样的情形下,用户更偏向于这种防火墙。
2防火墙的功能
防火墙是一个爱惜装置,它是一个或一组网络设备装置。
一般是指运行专门编写或更悔改操作系统的运算机,它的目的确实是爱惜内部网的访问平安。
防火墙能够安装在两个组织结构的内部网与外部的Internet之间,同时在多个组织结构的内部网和Internet之间也会起到一样的爱惜作用。
它要紧的爱惜确实是增强外部Internet对内部网的访问操纵,它要紧任务是许诺专门的连接通过,也能够阻止其它不许诺的连接。
防火墙只是网络平安策略的一部份,它通过少数几个良好的监控位置来进行内部网与Internet的连接。
防火墙的核心功能主若是包过滤。
其中入侵检测,控管规那么过滤,实时监
控及电子邮件过滤这些功能都是基于封包过滤技术的。
防火墙的主体功能归纳为以下几点:
(1)防火墙是网络平安的屏障
一个防火墙(作为阻塞点、操纵点)能极大地提高一个内部网络的平安性,并通过过滤不平安的效劳而降低风险。
由于只有通过精心选择的应用协议才能通过防火墙,因此网络环境变得更平安。
如防火墙能够禁止诸如众所周知的不平安的NFS协议进出受爱惜网络,如此外部的解决者就不可能利用这些脆弱的协议来解决内部网络。
防火墙同时能够爱惜网络免受基于路由的解决,如IP选项中的源路由解决和ICMP重定向中的重定向途径。
防火墙应该能够拒绝所有以上类型解决的报文并通知防火墙治理员。
(2)防火墙能够强化网络平安策略
通过以防火墙为中心的平安方案配置,能将所有平安软件(如口令、加密、身
份认证、审计等)配置在防火墙上。
与将网络平安问题分散到各个主机上相较,防火墙的集中平安治理更经济。
例如在网络访问时,一次一密口令系统和其它的身份认证系统完全能够没必要分散在各个主机上,而集中在防火墙一身上。
(3)对网络存取和访问进行监控审计
若是所有的访问都通过防火墙,那么,防火墙就能够记录下这些访问并作出日记记录,同时也能提供网络利用情形的统计
数据。
当发生可疑动作时,防火墙能进行适当的报警,并提供网络是不是受到监测和解决的详细信息。
另外,搜集一个网络的利用和误用情形也是超级重要的。
第一的理由是能够清楚防火墙是不是能够招架解决者的探测和解决,而且清楚防火墙的操纵是不是充沛。
而网络利用统计对网络需求分析和要挟分析等而言也是超级重要的。
(4)避免内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或灵敏网络平安问题对全局网络造成的阻碍。
再者,隐私是内部网络超级关切的问题,一个内部网络中不引人注意的细节可能包括了有关平安的线索而引发外部解决者的爱好,乃至因此而暴漏了内部网络的某些平安漏洞。
利用防火墙就能够够隐蔽那些透漏内部细节如Finger、DNS等效劳。
Finger显示了主机的所有效户的注册名、真名,最后登录时刻和利用shell类型等。
可是Finger显示的信息超级容易被解决者所得悉。
解决者能够明白一个系统利用的频繁程度,那个系统是不是有效户正在连线上网,那个系统是不是在被解决时引发注意等等。
防火墙能够一样阻塞有关内部网络中的DNS信息,如此一台主机的域名和IP地址就可不能被外界所了解。
(5)被拦阻时能通过声音或闪烁图标给用户报警提示。
防火墙仅靠这些核心技术功能是远远不够的。
核心技术是基础,必需在那个
基础之上加入辅助功能才能流畅的工作。
而实现防火墙的核心功能是封包过滤
3防火墙的不足
防火墙对网络的要挟进行极好的防范,可是,它们不是平安解决方案的全数。
某些要挟是防火墙力所不及的。
(1)防火墙能够阻断解决,但不可消灭解决源
“各家自扫门前雪,不管他人瓦上霜”确实是目前网络平安的现状。
互联网上的病毒,歹意试探等造成的解决行为络绎不绝。
设置适当的防火墙能够阻挡他们,可是无法排除解决源。
即便防火墙进行了专门好的设置,使得解决无法渗透防火墙,但各类解决仍然会源源不断地向防火墙发出尝试。
(2)防火墙不能够抗击最新的未设置策略的解决漏洞
就如杀毒软件与病毒一样,老是先显现病毒,杀毒软件通过度析出其特点码后加入到病毒库内才能查杀。
防火墙的各类策略,也是在该解决方式通过专家
分析后依照其特点而进行设置的,若是世界上新发觉某个主机漏洞的CRACKER把第一个解决对象击中了您的网络,那么防火墙也没有方法帮忙您的。
(3)防火墙的并发连接数限制容易致使拥塞或谥出
由于要判定处置流经防火墙的每一个包,因此防火墙在某些流量大,并发请求多的情形下,很容易致使拥塞,成为整个网络的瓶颈阻碍性能。
而当防火墙谥出的时候,整个防线就犹如虚设,本来被禁止的连接也能从容通过了。
(4)防火墙对效劳器合法开放的端口解决大多无法阻止
某些情形下,解决者利用效劳器提供效劳进行缺点解决。
(5)防火墙对待内部主动发起连接的解决一样无法阻击
“外紧内松”是一样局域网络的特点,或许一道周密防火墙内部的网络是一片混乱也有可能。
通过社会工程学发送带木马的邮件、带木马的URL等方式,然
后由中木马的机械主动对解决者连接,将壁一样的防火墙刹时破坏掉。
另外,防火墙内部各主机间的解决行为,防火墙出只有如旁观者一样冷视而爱莫能助。
(6)防火墙本身也会显现问题和受到解决
防火墙也是一个OS,也有着其硬件系统和软件系统,因此仍然有着漏洞和bug。
因此其本身也有可能受到解决和显现软、硬件方面的故障。
4防火墙要紧技术特点
1)应用层采纳Winsock2SPI进行网络数据操纵、过滤;
2)核心层采纳NDISHOOK进行操纵,尤其是在Windows2000下,此技术属微软未公布技术。
此防火墙还采纳两种封包过滤技术:
一是应用层封包过滤,采纳Winsock2SPI;二是核心层封包过滤,采纳NDIS_HOOK。
Winsock2SPI工作在API之下、Driver之上,属于应用层的范围。
利用这项技术能够截获所有的基于Socket的网络通信。
比如IE、OUTLOOK等常见的
应用程序都是利用Socket进行通信。
采纳Winsock2SPI的优势是超级明显的:
其工作在应用层以DLL的形式存在,编程、测试方便;跨Windows平台,能够直接在Windows98/ME/NT/2000/XP上通用,Windows95只需安装上Winsock2for95,也能够正常运行;效率高,由于工作在应用层,CPU占用率低;封包尚未依照低层协议进行切片,因此比较完整。
而防火墙正是在TCP/IP协议在windows的基础上才得以实现。
第三章防火墙的体系结构
双重宿主主机体系结构
双重宿主主机体系结构是围绕具有双重宿主的主机运算机而构筑的,该运算机至少有两个网络接口。
如此的主性能够充当与这些接口相连的网络之间的路由器;它能够从一个网络到另一个网络发送IP数据包。
但是,实现双重宿主主机的防火墙体系结构禁止这种发送功能。
因此,IP数据包从一个网络(例如,因特网)并非是直接发送到其他网络(例如,内部的、被爱惜的网络)。
防火墙内部的系统能与双重宿主主机通信,同时防火墙外部的系统(在因特网上)能与双重宿主主机通信,可是这些系统不能直接相互通信。
它们之间的IP通信被完全阻止。
但这种体系结构顶用户访问因特网的速度会较慢,也会因为双重宿主主机的被侵袭而失效。
双重宿主主机的防火墙体系结构是相当简单的:
双重宿主主机位于二者之间,而且被连接到因特网和内部的网络,如图4所示
图4双重宿主主机体系结构
屏蔽主机体系结构
双重宿主主机体系结构提供来自与多个网络相连的主机的效劳(可是路由关闭),而被屏蔽主机体系结构利用一个单独的路由器提供来自仅仅与内部的网络相连的主机的效劳。
在这种体系结构中,要紧的平安由数据包过滤。
其结构如以下图5所示
图5屏蔽主机体系结构
在屏蔽的路由器上的数据包过滤是按如此一种方式设
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 技术研究